IPv6安全

下载地址

《IPv6安全》综述IPv6网络所面临的威胁，并提供应对这些威胁的解决方案，内容涵盖这些问题和当前的最佳实践。书中首先讲述安全威胁，然后描述应对这些威胁的方式，列出所有的风险，并针对每种威胁指明存在的解决方案。通过《IPv6安全》，读者将学习到攻击者可能用以攻破你的网络的技术以及如何使用Cisco的产品保护你的网络。《IPv6安全》的目的是较深入地研究协议，并从一名安全实践人员的角度讨论协议细节。书中涵盖理论知识，也同时给出实践例子。
《IPv6安全》适合负责网络安全的IT工作人员和在校学生阅读，另外，也可以作为从事网络安全的研究人员和学者的参考书。
目　录
第1章　IPv6安全引言　1
1.1　重温IPv6　1
1.2　IPv6知识更新　4
1.3　IPv6弱点　5
1.4　黑客经验　7
1.5　IPv6安全缓解技术　8
1.6　小结　11
1.7　推荐读物和资料　11
第2章　IPv6协议安全弱点　15
2.1　IPv6协议首部　15
2.1.1　ICMPv6　17
2.1.2　多播安全　22
2.2　扩展首部威胁　24
2.2.1　扩展首部综述　24
2.2.2　扩展首部的弱点　27
2.2.3　逐跳选项首部和目的地选项首部　29
2.2.4　路由首部　35
2.2.5　分段首部　42
2.2.6　未知的选项首部　51
2.2.7　上层首部　53
2.3　IPv6网络勘察　54
2.3.1　扫描并评估目标　54
2.3.2　加速扫描过程　56
2.3.3　应对勘察攻击　62
2.4　三层和四层欺骗　63
2.5　小结　67
2.6　参考文献　68
第3章　IPv6 Internet安全　71
3.1　大型Internet威胁　72
3.1.1　数据包泛洪　72
3.1.2　Internet蠕虫　75
3.1.3　分布式拒绝服务和机扑网(Botnets)　78
3.2　进/出过滤　82
3.2.1　过滤IPv6流量　83
3.2.2　对被分配地址的过滤　83
3.2.3　虚假地址过滤　84
3.2.4　虚假地址过滤挑战和过滤自动化　87
3.3　保障BGP会话安全　88
3.3.1　显式配置的BGP对端　90
3.3.2　使用BGP会话共享秘密　90
3.3.3　利用一条IPSec隧道　91
3.3.4　在BGP对端上使用环回地址　91
3.3.5　在BGP数据包上控制存活时间(TTL)　92
3.3.6　在对端关系接口上实施过滤　95
3.3.7　使用链路本地对端关系　95
3.3.8　防止长的AS路径　100
3.3.9　限制接收到的前缀数量　100
3.3.10　防止包含私有AS号码的BGP更新　101
3.3.11　最大化BGP对端的可用性　101
3.3.12　对BGP邻居活动记录日志　104
3.3.13　保障IGP安全　104
3.3.14　保障BGP对端之间通信安全的极端措施　104
3.4　MPLS上的IPv6安全　105
3.4.1　在PE路由器之间IPv4隧道上使用静态IPv6　106
3.4.2　使用6PE　106
3.4.3　使用6VPE产生支持IPv6的VRF　107
3.5　客户前端设备　108
3.6　前缀委派威胁　111
3.6.1　SLAAC　112
3.6.2　DHCPv6　112
3.7　多宿问题　116
3.8　小结　119
3.9　参考文献　120
第4章　IPv6边缘安全　123
4.1　IPv6防火墙　124
4.1.1　过滤IPv6未分配地址　124
4.1.2　其他的过滤考虑　128
4.1.3　防火墙和NAT　132
4.2　Cisco IOS路由器ACL　134
4.2.1　隐式IPv6 ACL规则　138
4.2.2　Internet ACL范例　139
4.2.3　IPv6反射性的ACL　143
4.3　Cisco IOS防火墙　144
4.3.1　配置IOS防火墙　146
4.3.2　IOS防火墙范例　148
4.3.3　IOS防火墙的IPv6端口到应用映射　153
4.4　Cisco PIX/ASA/FWSM防火墙　154
4.4.1　配置防火墙接口　154
4.4.2　管理接入权限　156
4.4.3　配置路由　158
4.4.4　安全策略配置　159
4.4.5　对象组策略配置　164
4.4.6　分段保护　167
4.4.7　检查流量统计信息　168
4.4.8　邻居发现协议保护　169
4.5　小结　172
4.6　参考文献　172
第5章　局域网安全　175
5.1　二层是重要的原因　175
5.2　IPv6的ICMPv6二层弱点　176
5.2.1　无状态地址自动配置问题　177
5.2.2　邻居发现的问题　181
5.2.3　重复地址检测问题　184
5.2.4　重定向问题　186
5.3　ICMPv6协议保护　189
5.3.1　安全邻居发现　189
5.3.2　在Cisco IOS中实现CGA地址　191
5.3.3　理解采用SEND的挑战　192
5.4　ICMPv6攻击的网络检测　192
5.4.1　检测伪造的RA消息　192
5.4.2　检测NDP攻击　194
5.5　针对ICMPv6攻击的网络应对措施　194
5.5.1　Rafixd　195
5.5.2　降低目标范围　196
5.5.3　IETF工作　196
5.5.4　扩展IPv4交换机的IPv6安全　197
5.6　私有扩展地址的优劣　197
5.7　DHCPv6的威胁和应对　201
5.7.1　针对DHCPv6的威胁　203
5.7.2　应对DHCPv6攻击　204
5.8　点到点链路　206
5.9　端点安全　208
5.10　小结　208
5.11　参考文献　209
第6章　加固IPv6网络设备　213
6.1　针对网络设备的威胁　214
6.2　Cisco IOS版本　214
6.3　禁止不必要的网络服务　217
6.4　限制路由器访问　218
6.4.1　物理访问安全　218
6.4.2　保障控制台访问的安全　219
6.4.3　保障口令的安全　219
6.4.4　VTY端口访问控制　220
6.4.5　路由器的AAA　223
6.4.6　HTTP访问　225
6.5　IPv6设备管理　227
6.5.1　环回和Null接口　227
6.5.2　管理接口　228
6.5.3　保障SNMP通信的安全　229
6.6　针对内部路由协议的威胁　233
6.6.1　RIPng安全　235
6.6.2　EIGRPv6安全　236
6.6.3　IS-IS安全　238
6.6.4　OSPF版本3安全　241
6.7　第一跳冗余协议安全　249
6.7.1　邻居不可达性检测　249
6.7.2　HSRPv6　251
6.7.3　GLBPv6　253
6.8　控制资源　256
6.8.1　基础设施ACL　257
6.8.2　接收ACL　258
6.8.3　控制平面监控　259
6.9　QoS威胁　263
6.10　小结　270
6.11　参考文献　271
第7章　服务器和主机安全　275
7.1　IPv6主机安全　275
7.1.1　ICMPv6的主机处理　276
7.1.2　侦听端口的服务　278
7.1.3　检查邻居缓存　279
7.1.4　检测不希望出现的隧道　281
7.1.5　IPv6转发　286
7.1.6　地址选择问题　289
7.2　主机防火墙　292
7.2.1　Microsoft Windows防火墙　292
7.2.2　Linux防火墙　295
7.2.3　BSD防火墙　297
7.2.4　Sun Solaris　306
7.3　采用Cisco安全代理6.0保障主机的安全　307
7.4　小结　310
7.5　参考文献　311
第8章　IPSec和SSL虚拟专网　313
8.1　IPv6的IP安全　314
8.1.1　IPSec扩展首部　314
8.1.2　IPSec操作模式　316
8.1.3　Internet密钥交换(IKE)　317
8.1.4　IPsec和网络地址转换一起使用　319
8.1.5　IPv6和IPSec　320
8.2　主机到主机的IPSec　320
8.3　站点到站点的IPSec配置　322
8.3.1　IPv4之上的IPv6 IPSec例　323
8.3.2　IPv6 IPSec示例　333
8.3.3　动态多点VPN　343
8.4　采用IPSec的远端访问　354
8.5　SSL VPN　361
8.6　小结　366
8.7　参考文献　366
第9章　IPv6移动性安全　369
9.1　移动IPv6操作　370
9.2　MIPv6消息　371
9.2.1　间接模式　373
9.2.2　家乡代理地址确定　373
9.2.3　直接模式　374
9.3　与MIPv6有关的威胁　377
9.3.1　保护移动设备软件　378
9.3.2　伪造的家乡代理　378
9.3.3　移动媒介安全　378
9.3.4　中间人威胁　379
9.3.5　连接截获　380
9.3.6　伪造MN到CN绑定　381
9.3.7　DoS攻击　381
9.4　在MIPv6中使用IPSec　382
9.5　针对MIPv6的过滤　383
9.5.1　CN处的过滤器　387
9.5.2　在MN/异地链路处实施过滤　390
9.5.3　在HA处实施过滤　393
9.6　其他IPv6移动性协议　398
9.6.1　其他IETF移动IPv6协议　398
9.6.2　网络移动性(NEMO)　401
9.6.3　IEEE 802.16e　402
9.6.4　移动Ad-Hoc网络　403
9.7　小结　405
9.8　参考文献　405
第10章　保障迁移机制的安全　409
10.1　理解IPv4到IPv6的迁移技术　409
10.1.1　双栈　409
10.1.2　隧道　411
10.1.3　协议转换　429
10.2　实现双栈安全　431
10.2.1　利用双栈环境　431
10.2.2　保护双栈主机　434
10.3　对隧道实施破坏　435
10.3.1　安全的静态隧道　438
10.3.2　保障动态隧道的安全　440
10.3.3　保障6VPE的安全　450
10.4　攻击NAT-PT　450
10.5　针对IPv4网络的IPv6潜在威胁　451
10.6　小结　453
10.7　参考文献　455
第11章　安全监视　459
11.1　管理和监视IPv6网络　459
11.1.1　路由器接口性能　460
11.1.2　设备性能监视　461
11.1.3　路由器Syslog消息　470
11.1.4　准确时间的益处　473
11.2　管理IPv6隧道　474
11.3　使用法医证据方法　475
11.4　使用入侵检测和防御系统　477
11.4.1　Cisco IPS版本6.1　477
11.4.2　测试IPS签名　479
11.5　采用CS-MARS管理安全信息　481
11.6　管理安全配置　484
11.7　小结　486
11.8　参考文献　487
第12章　IPv6安全结论　489
12.1　比较IPv4和IPv6安全　489
12.1.1　IPv4和IPv6之间的相似性　489
12.1.2　IPv4和IPv6之间的差异　490
12.2　变化的安全边缘　491
12.3　生成一项IPv6安全策略　493
12.3.1　网络边缘　494
12.3.2　扩展首部　494
12.3.3　LAN威胁　495
12.3.4　主机和设备安全加固　495
12.3.5　迁移机制　496
12.3.6　IPSec　496
12.3.7　安全管理　496
12.4　保持警醒状态(On the Horizon)　496
12.5　建议的合并列表　498
12.6　小结　501
12.7　参考文献　502