2010-3-5
Teredo的漏洞是否会导致其在使用中出现安全风险?Teredo允许内部网络过渡到IPv6, 通过它们的NAT设备互相连接并跨越IPv4的因特网。听起来很简单,不是吗?那么,在这里我将讨论一些企
问:Teredo的漏洞是否会导致其在使用中出现安全隐患?
答:当Teredo应用在企业环境时,这使我感到害怕——仅仅是因为它所具备的功能。对不熟悉技术的人来说,由微软倡导的Teredo是在IPv4的端口上使用UDP数据报建立IPv6通信隧道的技术,正如RFC4380中所定义的那样。
Teredo允许内部网络过渡到IPv6, 通过它们的NAT设备互相连接并跨越IPv4的因特网。听起来很简单,不是吗?那么,在这里我将讨论一些企业需要重点关注的安全问题。
在Teredo之前,许多组织在因特网上实验过网络到网络的IPv6连接,而且是使用IPv6-to-IPv4网关来实现的。下面是常见的情景: Continue reading »
IPv6地址方案
和IPv4相比,IPv6的主要改变就是地址的长度为128位,也就是说可以有2的128次方的IP地址,相当于10的后面有38个零。这么庞大的地址空间,足以保证地球上的每个人拥有一个或多个IP地址。
IPv6地址类型
在RFC1884中指出了三种类型的IPv6地址,他们分别占用不同的地址空间:
单点传送:这种类型的地址是单个接口的地址。发送到一个单点传送地址的信息包只会送到地址为这个地址的接口。
任意点传送:这种类型的地址是一组接口的地址,发送到一个任意点传送地址的信息包只会发送到这组地址中的一个(根据路由距离的远近来选择)
多点传送:这种类型的地址是一组接口的地址,发送到一个多点传送地址的信息包会发送到属于这个组的全部接口。
和IPv4不同的是,IPv6中出现了任意点传送地址,并以多点传送地址代替了IPv4中的广播地址。
IPv6地址表示
我们知道,IPv4地址长度为32位(4个字节)。书写IPv4的地址是用一个字节来代表一个无符号十进制整数,四个字节写成由3个点分开的四个十进制数,例如: Continue reading »
IPv6:战略资源须积极申请
更新日期:2006-05-25
【eNet特约评论】最近从权威媒体看到一篇关于IPv6的报道,报道明确表明继IPv4之后再次远远落后于各发达国家,中国下一代互联网IPv6地址的申请形势却依然堪忧。居全球首位的德国IPv6地址数量约为我国的345倍,亚洲邻国日本、韩国的地址数量分别是我国的269倍和154倍,目前我国仅以20块的IPv6地址拥有量排名世界第十五。
随后笔者又看到名为《IPv6地址中国申请落后又何妨》的文章,文章中明确表明IPv6地址不是一种稀缺资源,没有必要过分地看重IPv6申请数量与排名。两篇文章截然相反的论调,到底哪种论调比较合理有说服力?其实两者争论的焦点在于“IPv6到底是不是一种稀缺资源”,如果是稀缺资源前一篇报道就比较合理,否则后一篇文章的论调就比较合理,因此我们首先要明确这个问题。
客观地说,和IPv4相比,IPv6地址数量很大很大,的确,2的128次方是个天文数字,大到地球上的每一粒沙子都能分配一个IP地址。在可以预见的很长时间内,IPv6地址耗尽的机会是很小的。但IPv6地址够用么?这在大多数人看来,或许就是一个弱智性问题,因为如前所述,如果“IPv6地址耗尽的机会是很小”是真的话,那么IPv6地址肯定够用。实际上如果你认为这个问题弱智的话,那是因为你不了解IPv6地址的管理,不了解IPv6地址资源的相对有限性。
如果我们不能辩证地看待IPv6地址资源的相对有限性,我们很容易得出如《IPv6地址中国申请落后又何妨》文中的论调。事实上,从IP地址资源的国际管理架构上来看,IPv6地址对每个国家来讲都是相对有限的。
责全球IP地址分配的机构ICANN规定,IP地址的分配是分级进行的:ICANN先将部分IP地址分配给地区级的Internet注册机构(Regional Internet Registry,简称RIR),然后由这些RIR负责该地区的分配服务。目前全球共有5个RIR,中国属于APNIC管理。这些RIR同样采用这样的方式,给每个国家预留了足够的地址空间,但平均分配IP地址是根本不可能的。所以每个RIR对待IP地址的申请者都遵循这样一个原则:先到先得。如果我们天真地认为IPv6不是一种稀缺资源,而别人不这样认为的话(请注意前述数据:同属APNIC的日本、韩国的地址数量分别是我国的269倍和154倍!!!),也许留给我们申请的就不多了,这就是IPv6地址资源的相对有限性。
另外值得注意的是,地址资源同国土资源、矿物资源一样,是在一定时间内不可再生的有限资源,即使今天看来IPv6所能提供的地址资源空间足够巨大,但是对它的需求目前也难以估量究竟有多大。随着我国宽带互联网以及移动互联网的迅猛发展,我国互联网用户将继续保持迅猛增长。根据信息产业部的预测,到2007年底,我国互联网用户将达到3亿,而且,除了互联网用户的迅猛增长将产生对IP地址的大量需求外,随着以新一代网络为基础的信息化进程的全面推进,各种各样联网的智能终端乃至移动智能终端,比如信息家电、手机、PDA、网络汽车、传感器、RFID等,亦将对IP地址资源产生巨大的需求。
我们不能再报着一些人针对IPv4报着的观点。就最初在制定IPv4协议时,大多数人,包括协议的设计者本人,都认为IPv4提供了足够大的地址空间。但是仅仅20年以后,随着互联网在全球的迅猛发展,IPv4已面临严峻的地址资源匮乏甚至穷尽的危机。IPv6也一样,它虽然有巨大的地址空间,但也不是无穷尽的。IP地址不仅仅是一种网络资源,还是一种战略资源。为此,不能把IPv6地址的申请看成简单的资源申请,IP地址的稀缺对于国家长期的发展将会产生很大的影响。对于战略性资源的取得有时不能以成本太大为借口而不去申请,在战场上对于一些战略性高地一般都要求“不惜任何代价拿下”,对于IPv6地址资源的取得也同样需要“不惜任何代价”!
在《IPv6地址中国申请落后又何妨》这篇文章中,作者以美国作为参考点,认为“互联网的霸主美国在IPv6地址的申请数量上也并不多,只有158块,名列第9位”,并认为出现这种状况的原因是美国“但随着对IPv6地址的正确认识,加上IPv6商用的不顺利,确实没有必要预先多申请,完全可以需要再去申请。因此美国这两年来IPv6地址申请工作也非常缓慢”,对于这个论调我想用一个事实提醒一下:美国国防部一直致力于申请“/16”的IPv6地址块,这是我国目前已申请IPv6地址全部总和的近5000倍。
IPv6机遇与挑战
中国应该是全球最关心IPv6发展的国家之一,最主要的原因恐怕就是中国互联网对IP地址的渴求了。据统计,我国目前网民的数量已经激增到1600万,而总共申请到的IP地址却只有约900万个。与此形成鲜明对比的是,仅仅是美国斯坦福大学,所能使用的地址数量就已经达到了2650万个。因此IP地址的短缺对于中国来说,显得尤其紧迫和尖锐。
IPv6的好处
一旦IPv6在中国普及推广开来,首先,人们不用再为缺少地址而费尽心机地想出各种替代方法,以牺牲很多IP协议所提供的优良功能为代价了。那时,每人都将拥有一个或多个IP地址,配备上相应的计算机设备,无论你在天涯海角,都可以做到随时在线,连接全球。其次,IPv6与移动通信的结合将为目前的互联网开拓一个全新的领域——移动互联网。通过移动互联网,使我们能够在移动中购买商品和服务,我们的移动设备将成为无线钱包,使我们能够随时随地以在线方式选购商品或服务,并为之付款。我们能够使用移动设备查询飞机的航班,风景点的简要情况,以便做出最后的安排;我们还能够利用同一设备查找地图以及要参观的地方;我们还能够找到距离我们最近的餐馆;如果是平时,我们驾车外出,安装在我们汽车里的无线设施将提供实时定位技术,同时也起到导航和安全保护的作用。
此外,在不远的未来,中国的家电厂商们将开发出新一代的信息家电,即我们除了计算机之外,还可给电视机、冰箱、微波炉、空调、洗衣机等家用电器分配固定地址,以利于它们与Internet的连接。在信息家电与Internet连接后,外出的人就可操作家中的空调、冰箱等,比如,可以通过网络下载做菜方式,自动设定温度和作业时间,减少做菜的手续。
最后,实行IPv6协议可以从根本上优化路由器传输效率,使得目前的各种宽带传输技术迈上一个新的台阶。到那时,困扰中国网民很久的网络速度问题,将得到彻底解决,人们就可以舒舒服服呆在家里,享受超高速网络所带来的欢乐。信息家电连上光纤后,更可直接以交互方式收看电影、听音乐和广播。股民即使在家中,也能通过光纤网络和证券公司等金融机构的业务员在电视上交谈,同时进行交易。
IPv6带来的机遇
中国已经在IPv4的发展中错过了机遇,而世界现在给了我们一个新的机会,从以下几个方面都可以说明我们不应再与IPv6擦肩而过了。
在IPv4上我们没有发言权,直接造成了目前申请地址相当的困难,一个有着超过2500万网民的国度,一个A类地址都没有,目前总共申请到的IPv4地址才900多万个,还没有美国麻省理工大学一个学校的多。如果我们尽快参与国际IPv6的研究,则就有可能本身成为未来IPv6顶级地址分配单位之一,从根本上解决地址申请的问题。
另外一方面,我们尽早地参与 ,也可以使在我国设立域名解析的根服务器成为可能。这样,一来可以加快域名解析的速度,减少不必要的出国流量;二来也可避免受制于人。
中国的 电信 运营商们可以借此机会在将来的IPv6商业运用中占据先机,增进实力,扩大规模,甚至有可能让各种国外网络生产厂商按照中国网络企业的意见设计和生产更符合中国网络情况的硬件产品(如更高效的路由系统)。
国内生产厂商则可以利用本地化的先天优势抢占商机,在争夺市场份额方面获得主动,也有助于增强其在全球网络设备市场中的竞争力。
由于应用IPv6协议能大幅度改善网络的传输质量,因此,那个 电信 运营商能够率先进行商业运用,则必然大大改善其QoS,增强在同行业中的竞争实力。
第三代移动通信协议(3GPP)已经明确要求使用IPv6,作为潜在移动通信用户最多的中国,没有任何理由将这样巨大的市场机会拱手送人。
当前的时机非常好,客观地说,无论从经济条件、人力、备等方面,美国都占有绝对的优势,但美国由于是IPv4的既得利益者,又为此投入了亿万的金钱,所以现在美国发展IPv6的态度并不是非常积极,这样就给其它国家留出了相当大的发展空间。我们的工作就是迅速把握这样的时机,并联合国际上其它饱受地址短缺之苦的国家,在IPv6领域争得一席地位,让世界听到中国的声音。
IPv6带来的挑战
机遇和挑战往往是并存的,前景美好但道路曲折漫长。IPv6毕竟还是一个新兴的事物,还有一个相当长的不断完善的过程。相反,IPv4作为一个非常成熟的互联网协议,却在全球的民用和商用领域有着非常优秀的表现并仍在发挥着巨大的作用,而且全球在IPv4上投入的金钱数以亿万计,因此,由IPv6一步取代当前的IPv4,既无必要也不可取,当前国际上主要对策是让IPv6的“岛屿”慢慢在IPv4的“海洋”中发展壮大,直到完全替代目前的IPv4网络。中国IPv6的发展模式也必然要同国际接轨。回顾IPv4发展的历史,有很多成功的经验值得我们借鉴,IPv6在中国的推广和普及,应该也离不开下面这些原则:
政府的长期支持 :以最先推动互联网在全球发展的美国为例,其政府长期支持Internet技术的研究达20多年之久,并且在Internet发展的许多关键时刻。例如:TCP/IP的实验网研究,NSFNET的建立,Internet的商业化等等方面,其正确决策起了至关重要的作用。现在,以IPv4为基础的互联网在全世界范围内获得了巨大的成功。政府付出的努力使得美国的计算机网络及其应用技术目前领先于世界其它任何国家,更重要的是已经产生了特别巨大的经济利益回报。
对基础科学研究的的高度重视 :纵观IPv4的发展历史,几乎初期的实验研究性示范网络,都建立在大学和研究单位。这样做的原因,除了因为大学和研究单位有最强的研究实力外,大学也是为社会培养网络及其应用人才的场所。另外,在支持Internet的研究过程中,给各研究单位创造出公平竞争、鼓励发展的政策环境也十分重要。
开放的技术标准 :整个计算机业的发展历史似乎都证明,只有开放的标准和系统才具有最强的生命力,而Internet技术和标准从一开始就是开放的,也是公开的。它可以网聚所有人的智慧和力量,这种力量是任何个人或单个的公司所无法比拟的。
全球性的相互合作 :在Internet技术的发展历史中,无论是Internet技术研究本身,还是Internet的组织和管理,研究人员之间的相互合作和相互协调达到了空前的程度。中国想脱离国际的大背景关起门来发展自己的网络和技术是完全行不通的,而且几年前就已经有了深刻的教训。中国的互联网研究者和应用者必须时刻保持和全球同行的密切合作,大家共同促进IPv6的研究和推广。
坚持应用推进发展的原则 :与IP协议同时代发展的网络协议还有很多,但目前最成功的仍是IP协议,其中一个原因是其它的网络协议往往只有技术推动应用单向的过程,所以经常导致缺乏推动技术本身前进的动力。而IP协议与推动商业应用以后,商业应用的成功又反过来对这项协议提出了更高的要求并投入了新的资金,所以企业的积极参与和支持,在Internet技术的发展过程中扮演了十分重要的角色。IPv6的发展同样要遵循这一规律,才能不断获得新的活力。