IPv6安全

內(nèi)容概要

　　《IPv6安全》綜述IPv6網(wǎng)絡(luò)所面臨的威脅，并提供應(yīng)對(duì)這些威脅的解決方案，內(nèi)容涵蓋這些問(wèn)題和當(dāng)前的最佳實(shí)踐。書中首先講述安全威脅，然后描述應(yīng)對(duì)這些威脅的方式，列出所有的風(fēng)險(xiǎn)，并針對(duì)每種威脅指明存在的解決方案。通過(guò)《IPv6安全》，讀者將學(xué)習(xí)到攻擊者可能用以攻破你的網(wǎng)絡(luò)的技術(shù)以及如何使用Cisco的產(chǎn)品保護(hù)你的網(wǎng)絡(luò)?！禝Pv6安全》的目的是較深入地研究協(xié)議，并從一名安全實(shí)踐人員的角度討論協(xié)議細(xì)節(jié)。書中涵蓋理論知識(shí)，也同時(shí)給出實(shí)踐例子。
　　《IPv6安全》適合負(fù)責(zé)網(wǎng)絡(luò)安全的IT工作人員和在校學(xué)生閱讀，另外，也可以作為從事網(wǎng)絡(luò)安全的研究人員和學(xué)者的參考書。

作者簡(jiǎn)介

作者:(美)Hogg

書籍目錄

第1章　IPv6安全引言　
　1.1　重溫IPv6　
　1.2　IPv6知識(shí)更新　
　1.3　IPv6弱點(diǎn)　
　1.4　黑客經(jīng)驗(yàn)　
　1.5　IPv6安全緩解技術(shù)　
　1.6　小結(jié)　
　1.7　推薦讀物和資料　　　
第2章　IPv6協(xié)議安全弱點(diǎn)　
　2.1　IPv6協(xié)議首部　
　　2.1.1　ICMPv6　
　　2.1.2　多播安全　
　2.2　擴(kuò)展首部威脅　
　　2.2.1　擴(kuò)展首部綜述　
　　2.2.2　擴(kuò)展首部的弱點(diǎn)　
　　2.2.3　逐跳選項(xiàng)首部和目的地選項(xiàng)首部　
　　2.2.4　路由首部　
　　2.2.5　分段首部　
　　2.2.6　未知的選項(xiàng)首部　
　　2.2.7　上層首部　
　2.3　IPv6網(wǎng)絡(luò)勘察　
　　2.3.1　掃描并評(píng)估目標(biāo)　
　　2.3.2　加速掃描過(guò)程　
　　2.3.3　應(yīng)對(duì)勘察攻擊　
　2.4　三層和四層欺騙　
　2.5　小結(jié)　
　2.6　參考文獻(xiàn)　　　
第3章　IPv6 Internet安全　
　3.1　大型Internet威脅　
　　3.1.1　數(shù)據(jù)包泛洪　
　　3.1.2　Internet蠕蟲　
　　3.1.3　分布式拒絕服務(wù)和機(jī)撲網(wǎng)(Botnets)　
　3.2　進(jìn)/出過(guò)濾　
　　3.2.1　過(guò)濾IPv6流量　
　　3.2.2　對(duì)被分配地址的過(guò)濾　
　　3.2.3　虛假地址過(guò)濾　
　　3.2.4　虛假地址過(guò)濾挑戰(zhàn)和過(guò)濾自動(dòng)化　
　3.3　保障BGP會(huì)話安全　
　　3.3.1　顯式配置的BGP對(duì)端　
　　3.3.2　使用BGP會(huì)話共享秘密　
　　3.3.3　利用一條IPSec隧道　
　　3.3.4　在BGP對(duì)端上使用環(huán)回地址　
　　3.3.5　在BGP數(shù)據(jù)包上控制存活時(shí)間(TTL)　
　　3.3.6　在對(duì)端關(guān)系接口上實(shí)施過(guò)濾　
　　3.3.7　使用鏈路本地對(duì)端關(guān)系　
　　3.3.8　防止長(zhǎng)的AS路徑　
　　3.3.9　限制接收到的前綴數(shù)量　
　　3.3.10　防止包含私有AS號(hào)碼的BGP更新　
　　3.3.11　最大化BGP對(duì)端的可用性　
　　3.3.12　對(duì)BGP鄰居活動(dòng)記錄日志　
　　3.3.13　保障IGP安全　
　　3.3.14　保障BGP對(duì)端之間通信安全的極端措施　
　3.4　MPLS上的IPv6安全　
　　3.4.1　在PE路由器之間IPv4隧道上使用靜態(tài)IPv6　
　　3.4.2　使用6PE　
　　3.4.3　使用6VPE產(chǎn)生支持IPv6的VRF　
　3.5　客戶前端設(shè)備　
　3.6　前綴委派威脅
　　3.6.1　SLAAC　
　　3.6.2　DHCPv6　
　3.7　多宿問(wèn)題　
　3.8　小結(jié)　
　3.9　參考文獻(xiàn)　　　
第4章　IPv6邊緣安全　
　4.1　IPv6防火墻　
　　4.1.1　過(guò)濾IPv6未分配地址　
　　4.1.2　其他的過(guò)濾考慮　
　　4.1.3　防火墻和NAT　
　4.2　Cisco IOS路由器ACL　
　　4.2.1　隱式IPv6 ACL規(guī)則　
　　4.2.2　Internet ACL范例　
　　4.2.3　IPv6反射性的ACL　
　4.3　Cisco IOS防火墻　
　　4.3.1　配置IOS防火墻　
　　4.3.2　IOS防火墻范例　
　　4.3.3　IOS防火墻的IPv6端口到應(yīng)用映射　
　4.4　Cisco PIX/ASA/FWSM防火墻　
　　4.4.1　配置防火墻接口　
　　4.4.2　管理接入權(quán)限　
　　4.4.3　配置路由　
　　4.4.4　安全策略配置　
　　4.4.5　對(duì)象組策略配置　
　　4.4.6　分段保護(hù)　
　　4.4.7　檢查流量統(tǒng)計(jì)信息　
　　4.4.8　鄰居發(fā)現(xiàn)協(xié)議保護(hù)　
　4.5　小結(jié)　
　4.6　參考文獻(xiàn)　　　
第5章　局域網(wǎng)安全　
　5.1　二層是重要的原因　
　5.2　IPv6的ICMPv6二層弱點(diǎn)　
　　5.2.1　無(wú)狀態(tài)地址自動(dòng)配置問(wèn)題　
　　5.2.2　鄰居發(fā)現(xiàn)的問(wèn)題　
　　5.2.3　重復(fù)地址檢測(cè)問(wèn)題　
　　5.2.4　重定向問(wèn)題　
　5.3　ICMPv6協(xié)議保護(hù)　
　　5.3.1　安全鄰居發(fā)現(xiàn)　
　　5.3.2　在Cisco IOS中實(shí)現(xiàn)CGA地址　
　　5.3.3　理解采用SEND的挑戰(zhàn)　
　5.4　ICMPv6攻擊的網(wǎng)絡(luò)檢測(cè)　
　　5.4.1　檢測(cè)偽造的RA消息　
　　5.4.2　檢測(cè)NDP攻擊　
　5.5　針對(duì)ICMPv6攻擊的網(wǎng)絡(luò)應(yīng)對(duì)措施　
　　5.5.1　Rafixd　
　　5.5.2　降低目標(biāo)范圍　
　　5.5.3　IETF工作　
　　5.5.4　擴(kuò)展IPv4交換機(jī)的IPv6安全　
　5.6　私有擴(kuò)展地址的優(yōu)劣　
　5.7　DHCPv6的威脅和應(yīng)對(duì)　
　　5.7.1　針對(duì)DHCPv6的威脅　
　　5.7.2　應(yīng)對(duì)DHCPv6攻擊　
　5.8　點(diǎn)到點(diǎn)鏈路　
　5.9　端點(diǎn)安全　
　5.10　小結(jié)　
　5.11　參考文獻(xiàn)　　　
第6章　加固IPv6網(wǎng)絡(luò)設(shè)備　
　6.1　針對(duì)網(wǎng)絡(luò)設(shè)備的威脅　
　6.2　Cisco IOS版本　
　6.3　禁止不必要的網(wǎng)絡(luò)服務(wù)　
　6.4　限制路由器訪問(wèn)　
　　6.4.1　物理訪問(wèn)安全　
　　6.4.2　保障控制臺(tái)訪問(wèn)的安全　
　　6.4.3　保障口令的安全　
　　6.4.4　VTY端口訪問(wèn)控制　
　　6.4.5　路由器的AAA　
　　6.4.6　HTTP訪問(wèn)　
　6.5　IPv6設(shè)備管理　
　　6.5.1　環(huán)回和Null接口　
　　6.5.2　管理接口　
　　6.5.3　保障SNMP通信的安全　
　6.6　針對(duì)內(nèi)部路由協(xié)議的威脅　
　　6.6.1　RIPng安全　
　　6.6.2　EIGRPv6安全　
　　6.6.3　IS-IS安全　
　　6.6.4　OSPF版本3安全　
　6.7　第一跳冗余協(xié)議安全　
　　6.7.1　鄰居不可達(dá)性檢測(cè)　
　　6.7.2　HSRPv6　
　　6.7.3　GLBPv6　
　6.8　控制資源　
　　6.8.1　基礎(chǔ)設(shè)施ACL　
　　6.8.2　接收ACL　
　　6.8.3　控制平面監(jiān)控　
　6.9　QoS威脅　
　6.10　小結(jié)　
　6.11　參考文獻(xiàn)　　　
第7章　服務(wù)器和主機(jī)安全　
　7.1　IPv6主機(jī)安全　
　　7.1.1　ICMPv6的主機(jī)處理　
　　7.1.2　偵聽(tīng)端口的服務(wù)　
　　7.1.3　檢查鄰居緩存　
　　7.1.4　檢測(cè)不希望出現(xiàn)的隧道　
　　7.1.5　IPv6轉(zhuǎn)發(fā)　
　　7.1.6　地址選擇問(wèn)題　
　7.2　主機(jī)防火墻　
　　7.2.1　Microsoft Windows防火墻　
　　7.2.2　Linux防火墻　
　　7.2.3　BSD防火墻　
　　7.2.4　Sun Solaris　
　7.3　采用Cisco安全代理6.0保障主機(jī)的安全　
　7.4　小結(jié)　
　7.5　參考文獻(xiàn)　　
第8章　IPSec和SSL虛擬專網(wǎng)　
　8.1　IPv6的IP安全　
　　8.1.1　IPSec擴(kuò)展首部　
　　8.1.2　IPSec操作模式　
　　8.1.3　Internet密鑰交換(IKE)　
　　8.1.4　IPsec和網(wǎng)絡(luò)地址轉(zhuǎn)換一起使用　
　　8.1.5　IPv6和IPSec　
　8.2　主機(jī)到主機(jī)的IPSec　
　　8.3　站點(diǎn)到站點(diǎn)的IPSec配置
　　8.3.1　IPv4之上的IPv6 IPSec例　
　　8.3.2　IPv6 IPSec示例
　　8.3.3　動(dòng)態(tài)多點(diǎn)VPN　
　8.4　采用IPSec的遠(yuǎn)端訪問(wèn)　
　8.5　SSL VPN　
　8.6　小結(jié)　
　8.7　參考文獻(xiàn)　　　
第9章　IPv6移動(dòng)性安全　
　9.1　移動(dòng)IPv6操作　
　9.2　MIPv6消息　
　　9.2.1　間接模式　
　　9.2.2　家鄉(xiāng)代理地址確定　
　　9.2.3　直接模式　
　9.3　與MIPv6有關(guān)的威脅　
　　9.3.1　保護(hù)移動(dòng)設(shè)備軟件　
　　9.3.2　偽造的家鄉(xiāng)代理　
　　9.3.3　移動(dòng)媒介安全　
　　9.3.4　中間人威脅　
　　9.3.5　連接截獲　
　　9.3.6　偽造MN到CN綁定　
　　9.3.7　DoS攻擊　
　9.4　在MIPv6中使用IPSec　
　9.5　針對(duì)MIPv6的過(guò)濾　
　　9.5.1　CN處的過(guò)濾器　
　　9.5.2　在MN/異地鏈路處實(shí)施過(guò)濾　
　　9.5.3　在HA處實(shí)施過(guò)濾　
　9.6　其他IPv6移動(dòng)性協(xié)議　
　　9.6.1　其他IETF移動(dòng)IPv6協(xié)議　
　　9.6.2　網(wǎng)絡(luò)移動(dòng)性(NEMO)　
　　9.6.3　IEEE 802.16e　
　　9.6.4　移動(dòng)Ad-Hoc網(wǎng)絡(luò)　
　9.7　小結(jié)　
　9.8　參考文獻(xiàn)　　　
第10章　保障遷移機(jī)制的安全　
　10.1　理解IPv4到IPv6的遷移技術(shù)　
　　10.1.1　雙?！?br />　　10.1.2　隧道　
　　10.1.3　協(xié)議轉(zhuǎn)換　
　10.2　實(shí)現(xiàn)雙棧安全　
　　10.2.1　利用雙棧環(huán)境　
　　10.2.2　保護(hù)雙棧主機(jī)　
　10.3　對(duì)隧道實(shí)施破壞　
　　10.3.1　安全的靜態(tài)隧道　
　　10.3.2　保障動(dòng)態(tài)隧道的安全　
　　10.3.3　保障6VPE的安全　
　10.4　攻擊NAT-PT　
　10.5　針對(duì)IPv4網(wǎng)絡(luò)的IPv6潛在威脅　
　10.6　小結(jié)　
　10.7　參考文獻(xiàn)　　　
第11章　安全監(jiān)視　
　11.1　管理和監(jiān)視IPv6網(wǎng)絡(luò)　
　　11.1.1　路由器接口性能　
　　11.1.2　設(shè)備性能監(jiān)視　
　　11.1.3　路由器Syslog消息　
　　11.1.4　準(zhǔn)確時(shí)間的益處　
　11.2　管理IPv6隧道　
　11.3　使用法醫(yī)證據(jù)方法　
　11.4　使用入侵檢測(cè)和防御系統(tǒng)　
　　11.4.1　Cisco IPS版本6.1　
　　11.4.2　測(cè)試IPS簽名　
　11.5　采用CS-MARS管理安全信息　
　11.6　管理安全配置　
　11.7　小結(jié)　
　11.8　參考文獻(xiàn)　　　
第12章　IPv6安全結(jié)論　
　12.1　比較IPv4和IPv6安全　
　　12.1.1　IPv4和IPv6之間的相似性　
　　12.1.2　IPv4和IPv6之間的差異　
　12.2　變化的安全邊緣　
　12.3　生成一項(xiàng)IPv6安全策略　
　　12.3.1　網(wǎng)絡(luò)邊緣　
　　12.3.2　擴(kuò)展首部　
　　12.3.3　LAN威脅　
　　12.3.4　主機(jī)和設(shè)備安全加固　
　　12.3.5　遷移機(jī)制　
　　12.3.6　IPSec　
　　12.3.7　安全管理　
　12.4　保持警醒狀態(tài)(On the Horizon)　
　12.5　建議的合并列表　
　12.6　小結(jié)　
　12.7　參考文獻(xiàn)　
　　　　

章節(jié)摘錄

　　第1章  IPv6安全引言　　Intemet協(xié)議（IP）是使用最為廣泛的通信協(xié)議。因?yàn)镮P是一項(xiàng)最普遍的通信技術(shù)，所以它是數(shù)十萬(wàn)IT專業(yè)人士的關(guān)注焦點(diǎn)。因?yàn)檫@么多的人依賴該協(xié)議進(jìn)行通信，所以通信的安全就是人們最關(guān)心的。好人和壞人都在進(jìn)行IP上的安全研究，所有這些安全研究導(dǎo)致人們對(duì)IP進(jìn)行修補(bǔ)和調(diào)整，原因是IP已經(jīng)被在國(guó)際范圍內(nèi)部署。以事后諸葛亮的說(shuō)法就是，在IP被廣泛部署之前，如果給予這個(gè)協(xié)議的安全以較深入考慮的話，可能會(huì)更好?！　”緯鵀槟峁㊣P的一個(gè)新版本，并關(guān)注其安全性，并給出在部署之前避免這些問(wèn)題的指南建議。本章給出有關(guān)IP的下一版本（IPv6）的簡(jiǎn)短背景。您將認(rèn)識(shí)到，在IPv6大規(guī)模部署之前，考慮IPv6的安全為什么是重要的。本章給出IPv6當(dāng)前風(fēng)險(xiǎn)的回顧和其弱點(diǎn)的業(yè)界知識(shí)，以及可保障IPv6安全的常用方式?！　?hellip;…

圖書封面

圖書標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    IPv6安全 PDF格式下載

---