|
|
|
|
|
|
|
|
范方法需要保证随时更新PRL数据,这个操作通过手工实现几乎是不可能的,而目前还没有更好的自动实现的解决方案,这也就成了ISATAP技术的最大弱点。
再有,由于站点内的所有ISATAP主机都在同一个IPv6链接上,尽管可以像通常一样在ISATAP路由器处监控流量,但是由于ISATAP路由器处于站点的边缘,而且在站点内的主机之间通过ISATAP链路传输的包并不经过该路由器,因此根本没有办法监控和排除出现内部攻击的可能性。为了有效地防止来自于ISATAP站点内源IPv6地址欺骗的攻击,需要在路由器的ISATAP接口上启用缓解地址欺骗攻击的安全机制,至少ISATAP站点的边界网关必须记录地址欺骗源地址的来源。这样,一旦出现了地址欺骗攻击,还可以利用这些记录进行分析,并能够很快地找出产生地址欺骗攻击的源头。
由于ISATAP技术使用RFC 2461所述的邻居发现协议,而邻居发现协议最容易受到的攻击是拒绝服务(DoS)攻击。因此,这方面的安全问题也需要加以考虑。有关这方面的具体防范措施可参考IETF RFC 2461中的“安全考虑(Security Considerations)”一节。
五、结语
ISATAP过渡技术使用一个内嵌IPv4地址的IPv6地址,无论站点使用的是全球还是私有的IPv4地址,都可以页码:[1] [2] [3] [4] [5] [6] [7] [8] 第7页、共8页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
