ISATAP技術及其網絡安全策略

2019-11-03 19:24:58

字體：大中小

來源：轉載

供稿：網友

徐貴寶

　　摘要：首先敘述了站內自動隧道尋址協議ＩＳＡＴＡＰ過渡技術原理，指出了該技術在網絡從ＩＰｖ４向ＩＰｖ６過渡過程中的作用，分析了該技術所存在的網絡安全問題，并提出了相應的應對策略。

　　關鍵詞：ＩＳＡＴＡＰ，因特網，網絡安全

　　由于從ＩＰｖ４向ＩＰｖ６過渡已經是大勢所趨，所以目前有許多人在積極探索從ＩＰｖ４向ＩＰｖ６過渡的技術。這些技術從實現方式上可以分為雙棧、翻譯和隧道三種，也可以從實現的網絡層次上分為核心網、企業網和主機三種。站內自動隧道尋址協議（ＩＳＡＴＡＰ：Ｉｎｔｒａ－ｓｉｔｅＡｕｔｏｍａｔｉｃＴｕｎｎｅｌＡｄｄｒｅｓｓｉｎｇＰｒｏｔｏｃｏｌ）過渡技術就是采用了雙棧和隧道技術，并基于企業網和主機的一種從ＩＰｖ４向ＩＰｖ６過渡的技術。

一、ISATAP技術原理

　　ＩＳＡＴＡＰ過渡技術基本原理如圖１所示。

圖1 ISATAP技術基本原理

　　雙棧主機在與其他主機或路由器通信之前，首先要獲得一個ＩＳＡＴＡＰ地址。雙棧主機先向ＩＳＡＴＡＰ服務器發送路由請求，得到一個６４位的ＩＰｖ６地址前綴，然后再加上６４位的接口標識符∷０：５ＥＦＥ：Ｘ．Ｘ．Ｘ．Ｘ（這里的Ｘ．Ｘ．Ｘ．Ｘ是雙棧主機的ＩＰｖ４單播地址），這樣就構成一個ＩＳＡＴＡＰ地址。雙棧主機配置了ＩＳＡＴＡＰ地址后，就成了一個ＩＳＡＴＡＰ客戶機，進而就可以在ＩＰｖ４域內和其他的ＩＳＡＴＡＰ客戶機進行通信了。一般來說，ＩＳＡＴＡＰ地址的配置既支持無狀態地址自動配置方式，也支持手工配置方式。

　?。保粋€ＩＰｖ４域內ＩＳＡＴＡＰ主機間的通信過程

　　在同一個ＩＰｖ４域內，兩臺ＩＳＡＴＡＰ客戶機的通信過程如下：

　?、匐p棧主機１獲得雙棧主機２的ＩＳＡＴＡＰ地址后，將需要發送的數據包交給ＩＳＡＴＡＰ接口進行發送；

　?、冢桑樱粒裕粒袕脑摂祿模桑校觯对吹刂泛湍康牡刂分刑崛〕鱿鄳模桑校觯丛春湍康牡刂?，并對該數據包用ＩＰｖ４頭部進行封裝；

　　③封裝后的數據包按照其ＩＰｖ４目的地址被發送到雙棧主機２；

　?、茈p棧主機２接收到該數據包后對其解封裝，得到原始ＩＰｖ６數據包；

　?、蓦p棧主機２通過與上述過程類似的過程將應答數據返回給雙棧主機１。

　　從上面的通信過程中我們可以看出，ＩＳＡＴＡＰ實際上是將ＩＰｖ４網絡作為一個承載平臺，通過在其上面建立一個ＩＰｖ６－ｉｎ－ＩＰｖ４自動隧道來完成ＩＰｖ６通信的。

　?。玻?ＩＳＡＴＡＰ主機與其他網絡之間的通信過程

　?。桑樱粒裕粒兄鳈C除了可以在ＩＳＡＴＡＰ域內與其他ＩＳＡＴＡＰ主機通信外，還可以通過ＩＳＡＴＡＰ路由器實現與其他網絡的通信。比如，ＩＳＡＴＡＰ主機就可以通過ＩＳＡＴＡＰ路由器與ＩＰｖ６網絡中的ＩＰｖ６服務器進行通信，其通信原理如圖２所示，通信過程如下：

圖2 ISATAP主機與ipv6網絡中的IPv6服務器之間的通信過程

　?、伲桑樱粒裕粒兄鳈C獲得ＩＳＡＴＡＰ地址（站點本地地址），并將下一跳躍點ｎｅｘｔｈｏｐ設為ＩＳＡＴＡＰ路由器的ＩＳＡＴＡＰ地址（站點本地地址）；

　?、诋敚桑樱粒裕粒兄鳈C送出目的地為所在子網絡以外的地址時，ＩＳＡＴＡＰ先將ＩＰｖ６數據包進行ＩＰｖ４封裝，然后以隧道方式送到ＩＳＡＴＡＰ路由器的ＩＰｖ４地址；

　?、郏桑樱粒裕粒?路由器除去ＩＰｖ４包頭后，將ＩＰｖ６數據包轉送給ＩＰｖ６網絡中的目的ＩＰｖ６服務器；

　?、埽桑校觯斗掌髦苯訉鸬模桑校觯稊祿l回給ＩＳＡＴＡＰ網絡；

　　⑤在應答ＩＰｖ６數據包經過ＩＳＡＴＡＰ路由器時，ＩＳＡＴＡＰ路由器先將應答ＩＰｖ６數據包進行ＩＰｖ４封裝，然后再轉發給ＩＳＡＴＡＰ主機；

　　⑥ＩＳＡＴＡＰ主機收到應答數據包后，將數據包去掉ＩＰｖ４包頭，恢復成原始ＩＰｖ６數據包。

　　通過上述步驟，ＩＳＡＴＡＰ主機與ＩＰｖ６網絡中的ＩＰｖ６服務器完成了一次完整的數據通信過程。

二、ISATAP地址解析相關機制

　?。桑樱粒裕粒羞^渡技術通過ＩＰｖ６的鄰居發現機制（參見ＩＥＴＦＲＦＣ２４６１）來實現路由重定向、鄰居不可達檢測（ＮＵＤ）和路由下一跳選擇。

　?。桑樱粒裕粒械刂返墨@得是由鏈路層ＩＰｖ４地址通過靜態計算得到的。在獲得了ＩＳＡＴＡＰ地址之后，主機通過發送鄰居請求和接收鄰居宣告消息來確認鄰居是否可達。另外，主機還需要執行鄰居不可達檢測。因為是在某一個ＩＳＡＴＡＰ域內實現的，所以它假設ＩＰｖ４地址是不重復的，這樣ＩＳＡＴＡＰ地址也就不需要進行重復地址檢測。

　?。桑樱粒裕粒泄濣c在執行路由器和前綴發現時，除了使用鄰居發現中的數據結構前綴列表和默認路由器列表外，ＩＳＡＴＡＰ鏈路還增加了一個新的數據結構——潛在路由器列表（ＰＲＬ），以及一個新的配置變量ＰｒｌＲｅｆｒｅｓｈＩｎｔｅｒｖａｌ。潛在路由器列表列出潛在的、可供ＩＳＡＴＡＰ節點使用的路由器；變量ＰｒｌＲｅｆｒｅｓｈＩｎｔｅｒｖａｌ用來設置初始化之后連續兩次ＰＲＬ重新刷新的間隔秒數。

三、ISATAP技術的優點

　?。桑樱粒裕粒羞^渡技術具有如下優點：

　?、伲桑樱粒裕粒羞^渡技術所使用的ＩＰｖ６地址前綴可以是任何合法的ＩＰｖ６單點傳播的６４位前綴，包括全球性地址前綴（以２００１：，２００２：，３ｆｆｅ：開頭）、鏈路本地前綴（以ｆｅ８０：開頭）和站點本地前綴（以ｆｅｃ０：開頭）等等，這使得該項技術很容易與其他過渡技術結合起來使用，尤其是在和６ｔｏ４隧道技術相結合使用時，可以使內部網的雙棧主機非常容易地接入ＩＰｖ６主干網；

　?、冢桑樱粒裕粒羞^渡技術不要求隧道端節點必須具有全球惟一的ＩＰｖ４地址，只要雙棧主機具有ＩＰｖ４單播地址即可，不管該地址公有的還是私有的都可以。這樣也就有效地避免了ＩＰｖ４地址不足的問題；

　?、郏桑樱粒裕粒羞^渡技術不需要站點提供特殊的ＩＰｖ４服務（例如多播等），實現起來簡便易行；

　?、苁褂茫桑樱粒裕粒羞^渡技術時，在邊界網關上不影響聚合范圍的情況下，能夠在ＩＰｖ４站點內部署新的ＩＰｖ６主機，因此可用于內部私有網中各雙棧主機之間進行ＩＰｖ６通信。

四、ISATAP網絡安全問題及應對策略

　　由于ＩＳＡＴＡＰ使用隧道技術，所以隧道技術所面臨的網絡安全問題也同樣是ＩＳＡＴＡＰ所面臨的網絡安全問題，它最容易受到的攻擊就是地址欺騙攻擊。如果不加防范，可以很容易地通過地址欺騙攻擊將大量的協議類型為４１的數據包注入到ＩＳＡＴＡＰ鏈路中。ＩＳＡＴＡＰ網絡所受到的地址欺騙攻擊可能來自于ＩＳＡＴＡＰ網絡外部。由于在整個ＩＰｖ４站點中都使用ＩＳＡＴＡＰ鏈路，所以對于來自于站點外的攻擊可以通過嚴格限制對站點的訪問來限制對鏈路的訪問，也就是要考慮在網絡入口處的數據過濾問題，通過在站點的邊界路由器入口處執行ＩＰｖ４數據過濾、ＩＰｖ６數據過濾和協議類型為４１的數據包過濾來保證。

　?。桑樱粒裕粒?網絡所受到的地址欺騙攻擊也可能來自于ＩＳＡＴＡＰ網絡內部。站點內的地址欺騙攻擊可以通過一個偽裝成路由器的節點來進行，ＩＳＡＴＡＰ網絡內部所有的ＩＳＡＴＡＰ主機都處于相同的鏈路上，這種來自于相同鏈路上的攻擊很難防止，尤其是在ＩＳＡＴＡＰ網絡內部存在大量主機的時候?？紤]到在ＰＲＬ中提供了路由器ＩＳＡＴＡＰ公布的ＩＰｖ４接口地址，所以可以將這些地址用在安全防范的策略之中?？墒?，這種防范方法需要保證隨時更新ＰＲＬ數據，這個操作通過手工實現幾乎是不可能的，而目前還沒有更好的自動實現的解決方案，這也就成了ＩＳＡＴＡＰ技術的最大弱點。

　　再有，由于站點內的所有ＩＳＡＴＡＰ主機都在同一個ＩＰｖ６鏈接上，盡管可以像通常一樣在ＩＳＡＴＡＰ路由器處監控流量，但是由于ＩＳＡＴＡＰ路由器處于站點的邊緣，而且在站點內的主機之間通過ＩＳＡＴＡＰ鏈路傳輸的包并不經過該路由器，因此根本沒有辦法監控和排除出現內部攻擊的可能性。為了有效地防止來自于ＩＳＡＴＡＰ站點內源ＩＰｖ６地址欺騙的攻擊，需要在路由器的ＩＳＡＴＡＰ接口上啟用緩解地址欺騙攻擊的安全機制，至少ＩＳＡＴＡＰ站點的邊界網關必須記錄地址欺騙源地址的來源。這樣，一旦出現了地址欺騙攻擊，還可以利用這些記錄進行分析，并能夠很快地找出產生地址欺騙攻擊的源頭。

　　由于ＩＳＡＴＡＰ技術使用ＲＦＣ２４６１所述的鄰居發現協議，而鄰居發現協議最容易受到的攻擊是拒絕服務（ＤｏＳ）攻擊。因此，這方面的安全問題也需要加以考慮。有關這方面的具體防范措施可參考ＩＥＴＦＲＦＣ２４６１中的“安全考慮（ＳｅｃｕｒｉｔｙＣｏｎｓｉｄｅｒａｔｉｏｎｓ）”一節。

五、結語

　?。桑樱粒裕粒羞^渡技術使用一個內嵌ＩＰｖ４地址的ＩＰｖ６地址，無論站點使用的是全球還是私有的ＩＰｖ４地址，都可以在站點內使用ＩＰｖ６－ｉｎ－ＩＰｖ４的自動隧道技術。ＩＳＡＴＡＰ地址格式既可以使用站點單播ＩＰｖ６地址前綴，也可以使用全局單播ＩＰｖ６地址前綴，即可以支持站點和全局的ＩＰｖ６路由。通過ＩＳＡＴＡＰ過渡技術，可以使ＩＰｖ４站點內的雙棧節點通過自動隧道接入到ＩＰｖ６路由器，并且允許雙棧節點不必使用與ＩＰｖ６路由器共享同一物理鏈路就可以通過ＩＰｖ４自動隧道將數據包送達ＩＰｖ６下一跳。ＩＳＡＴＡＰ過渡技術把ＩＰｖ４網絡視為ＩＰｖ６的鏈路層，而把其他網絡節點視為潛在的ＩＰｖ６主機或路由器，它不必使用任何ＩＰｖ６路由器，也不需為網絡中的所有成員重新做地址分配和規劃，甚至可以支持私有ＩＰｖ４地址或是在ＮＡＴ環境中運行。這種技術非常適合于在一個企業網、校園網和３ＧＰＰ／３ＧＰＰ２無線網中使用，尤其在ＩＰｖ４仍然是網絡主宰的今天。

　　雖然ＩＳＡＴＡＰ技術仍處于ＩＥＴＦ草案階段，但是由于其非常適用于在從ＩＰｖ４向ＩＰｖ６過渡的初期使用，所以很快就被眾多的設備廠商和測試儀表廠商乃至軟件供應商們所接受。目前，許多大型設備制造商都在其產品中提供ＩＳＡＴＡＰ支持（包括思科等）；許多大型測試儀表制造商也已經在其產品中提供有關ＩＳＡＴＡＰ的測試（包括思博倫、安捷倫、Ｉｘｉａ等）；此外，在終端操作系統方面，ＲｅｄＨａｔ從版本７．２就已經開始支持ＩＳＡＴＡＰ，微軟也已經在其ＷｉｎｄｏｗｓＸＰ／２００３中提供了ＩＳＡＴＡＰ支持。隨著ＩＳＡＴＡＰ技術逐步完善，其網絡域內的地址欺騙問題得到解決之后，我們有理由相信它會在網絡由ＩＰｖ４向ＩＰｖ６過渡的過程中發揮其應有的作用。

摘自　泰爾網

上一篇：IEEE802.16和WiMAX

下一篇：選購WLAN六大疑問