當前,Internet網絡主要還是基于IPv4協議,但IPv6網絡已經開始了廣泛的部署,CNGI就是其中之一。然而IPv4網絡的成熟性和安 全性,還沒有完全的應用到IPv6網絡之中。比如現有的IPv6接入網絡,仍然是開放的,用戶可以隨意接入,自由獲得地址、更改地址,不受到任何制約和限制。因此,其接入安全性較難得到保證。
在這一點上WLAN無線網絡和有線網絡很大的區別是,無線用戶需要進行認證,無線接入設備能夠了解每一個用戶的在線狀態,了解其對應的MAC、 密鑰等信息,因此對于無線網絡的IPv6用戶接入安全,可以采用區別于有線的一些處理機制。作為承載包括WLAN在內H3C所有網絡產品特性的統一軟件平 臺,Comware平臺既考慮了在當前的普通IPv4網絡中的安全性,也考慮了在IPv6網絡中的安全性。
對于用戶,其上網的身份標識,在鏈路層為MAC地址,在網絡層為IP地址,在應用層為上網賬號。對于WLAN網絡,其鏈路層安全,即MAC的正 確使用可以由11i保證,但用戶報文的標識--IP地址,特別是跨三層之后IP識別的有效性,將是保證用戶安全的重要環節。現有無線安全技術并不保證IP 層可靠,即使IPv6也不例處。而且,相當多的無線網絡采用了共享密鑰的方式,各IPv6用戶之間實際上可以在鏈路層可以互訪,使得具有敵意的嗅探攻擊成 為可能,安全性問題反而比有線網絡中還要嚴重。
在IPv4網絡中,所有的網絡都面臨報文的偽造問題。傳統路由器
在轉發IP報文時,基于報文的目的IP地址進行查表轉發,不對報文源地址的真實性進行任何驗證。而基于IP協議的上層協議(例如TCP,UDP 等)都使用IP地址作為通訊對方的標識,只要攻擊者偽造了報文源IP地址,就能夠欺騙對方,從而攻擊服務器等現有網絡應用設備。H3C已經針對IPv4開 發出了一系列的特性防止此類的攻擊。
與IPv4一樣,IPv6網絡也面臨報文的偽造問題,主要是報文源地址偽造的問題。而且,因為IPv6網絡是新組建網絡,很容易忽視這個問題。但攻擊者已經開始"關注"它,并可能利用這些問題發起新的攻擊。
攻擊者偽造的報文可能是數據報文也可能是控制報文,最主要的是地址分配、解析的控制報文。在IPv6網絡中,與地址分配、解析相關的控制報文主要是ND(NeighborDiscovery)協議報文、DHCPv6協議。
針對ND協議的攻擊主要有如下幾類,圖1為幾種攻擊的示意。
類型一:欺騙攻擊。通過發送偽造NA/NS/RS報文,修改終端或網關上特定用戶的MAC地址。
類型二:DoS攻擊。通過發送大量偽造的NS/RS報文,攻擊網關,使得網關的ND表項數量溢出。
類型三:DAD攻擊。通過偽造的NA報文,阻斷終端正常的DAD過程。
類型四:RA攻擊。通過發送偽造的RA報文,欺騙網絡中的終端,進行錯誤的網絡參數配置。
針對DHCPv6協議的攻擊主要有偽造DHCPv6服務器攻擊。如果網絡中存在私自架設的偽DHCPv6服務器,則可能導致DHCPv6客戶端獲取錯誤的IPv6地址和網絡配置參數,無法正常通信。
圖1ND攻擊
在Comware平臺上所設計的SAVI(SourceAddressValidation,源地址有效性驗證)技術,通過對地址分配協議的偵 聽獲取用戶的IP地址,保證隨后的應用中能夠使用正確地址上網,且不可偽造他人IP地址,保證了源地址的可靠性。同時,通過SAVI和Portal技術的 結合,進一步保證了所有上網用戶報文的真實性和安全性。
Comware平臺針對IPv6網絡中的源地址偽造系列安全問題,提出了一系列解決方案。通過DHCPv6Snooping特性、 IPv6SourceGuard特性及NDSnooping特性建立起IPv6地址、MAC地址和端口的綁定關系表,并且以綁定關系為依據對DHCPv6 協議報文、ND協議報文和IPv6數據報文的源地址進行合法性的過濾檢查。
1.DHCPv6Snooping
DHCPv6Snooping特性可以保證客戶端從合法的服務器獲取IPv6地址,并記錄DHCPv6客戶端IPv6地址與MAC地址的對應關系,從而防止ND攻擊。
DHCPv6通過如下方式防止偽造服務器攻擊:為了使DHCPv6客戶端能通過合法的DHCPv6服務器獲取IPv6地 址,DHCPv6Snooping安全機制允許將端口設置為信任端口(TrustedPort)和不信任端口(UntrustedPort):信任端口正 常轉發接收到的DHCPv6報文;不信任端口接收到DHCPv6服務器發送的應答報文后,丟棄該報文。連接DHCPv6服務器、DHCPv6中繼或其他 DHCPv6Snooping設備的端口需要設置為信任端口,其他端口設置為不信任端口,從而保證DHCPv6客戶端只能從合法的DHCPv6服務器獲取 地址,私自架設的偽DHCPv6服務器無法為DHCPv6客戶端分配地址。
DHCPv6Snooping通過監聽DHCPv6報文,記錄DHCPv6Snooping表項,其中包括客戶端的MAC地址、獲取到的 IPv6地址、與DHCPv6客戶端連接的端口及該端口所屬的VLAN等信息。然后再通過在設備接入用戶側的端口上啟用IPv6SourceGuard功 能,針對生成的表項,在對應端口對收到的報文進行過濾控制,防止非法報文通過端口,從而限制了對網絡資源的非法使用,包括地址欺騙攻擊等,提高了端口的安 全性。
針對DAD攻擊,在有狀態分配地址時,使用DHCPsnooping生成可信表項,攻擊者無法通過DHCP過程獲取與受害者相同的地址,異常的 NA報文是無法通過接入層交換機過濾的,從而有效的防止了DAD攻擊。在無狀態自動分配地址時,用戶可以使用隨機的InterfaceID,這樣正常用戶 的地址分配過程中,設備上可以先建立起可信表項,并使用這個表項對攻擊者的NA報文進行過濾,從而有效的防止DAD攻擊。詳見圖2示意。
圖2防止DAD攻擊
2.IPv6SourceGuard
IPv6SourceGuard功能是針對用戶的合法性檢查功能,是報文中源IPv6地址和源MAC地址,檢查用戶是否是報文收到端口所屬 VLAN上的合法用戶,包括基于IPSourceGuard靜態綁定表項的檢查、基于NDSnooping表項的檢查和基于DHCPv6Snooping 安全表項的檢查。在這三種表項都存在的情況下,檢查過程如下(圖3為該過程示例):
首先進行基于IPSourceGuard靜態綁定表項檢查。如果找到了對應源IPv6地址和源MAC地址的靜態綁定表項,認為該ND報文合法, 進行轉發。如果找到了對應源IPv6地址的靜態綁定表項但源MAC地址不符,認為該ND報文非法,進行丟棄。如果沒有找到對應源IPv6地址的靜態綁定表 項,繼續進行DHCPv6Snooping安全表項、NDSnooping安全表項檢查。
在基于IPSourceGuard靜態綁定表項檢查之后進行基于DHCPv6Snooping安全表項、NDSnooping安全表項檢查,只要符合兩者中任何一個,就認為該ND報文合法,進行轉發。
如果所有檢查都沒有找到匹配的表項,則認為是非法報文,直接丟棄。
圖3防止源地址欺騙
3.NDSnooping
NDSnooping特性通過偵聽IPv6的自動地址配置過程中的DAD(DuplicateAddressDetection,重復地址檢 測)NS消息來建立NDSnooping表項,表項內容包括報文的源IPv6地址、源MAC地址、所屬VLAN、入端口等信息。當一個VLAN使能 NDSnooping后,該VLAN內所有端口接收的ND報文均會被重定向到CPU。全局使能NDSnooping后,CPU會對這些ND報文進行分析, 獲取報文的源IPv6地址、源MAC地址、源VLAN和入端口信息,并根據這些信息來新建或更新NDSnooping表項。更新表項主要根據DADNS報 文,同時兼顧其它種類的ND報文,并附加更為主動的確認機制:首先,設備將探測現有該表項的正確性、探測新收到報文(報文A)真實性。最后通過老化表項機 制,保證過期的NDSnooping表項能夠及時刪除。
與DHCPv6Snooping一樣,NDSnooping表項也可與IPv6SourceGuard功能配合使用,通過在設備接入用戶側的端 口上啟用IPv6SourceGuard功能,針對NDSnooping生成的表項,在對應端口對收到的報文進行過濾控制,防止地址欺騙攻擊,從而限制了 對網絡資源的非法使用,提高了端口的安全性。
4.NDDetection和其他預防機制
在DHCPv6Snooping和NDSnooping基礎上,Comware提供了NDDetection功能,檢查用戶的ND協議報文的合 法性。對于合法用戶的ND報文進行正常轉發,否則直接丟棄,從而防止仿冒用戶、仿冒網關的攻擊。NDDetection功能將接入設備上的端口分為兩 種:ND信任端口、ND非信任端口。對于ND信任端口,不進行用戶合法性檢查;對于ND非信任端口,如果收到RA和RR消息,則認為是非法報文直接丟棄, 如果收到其它類型的ND報文,則需要進行用戶合法性檢查,以防止仿冒用戶的攻擊(如圖4所示)。
圖4RATrust
針對DoS攻擊,Comware也提供了相應的預防機制。攻擊者通過構造IP或MAC不斷變化的NS/RS報文進行對三層設備的DoS攻擊,耗 盡網關的ND表項資源。Comware在網關上可以基于路由口,也可以基于物理端口配置ND學習的數量,將ND攻擊限定在一個較小的范圍,未來還可以通過 限制固定時間內的學習數量等技術,擴展對DoS攻擊的防御能力。
上述機制有力的保證了寬帶網絡中IPv6用戶的源地址的可靠性。針對WLAN的新型組網,Comware平臺提出了新穎的方案(H3C專利技術),解決了包括設備過濾性能、客戶端漫游等問題,并有效的完成了IPv6源地址驗證。
AP(AccessPoint,接入點),提供無線客戶端到局域網的橋接功能,在無線客戶端與無線局域網之間進行無線到有線和有線到無線的幀轉換。
AC(AccessController,無線控制器),對無線局域網中的所有AP進行控制和管理。無線控制器還可以通過同認證服務器交互信息,來為WLAN用戶提供認證服務。
因為存在兩級鏈路層轉發控制設備,如果類似于有線網絡,簡單的進行DHCPv6Snooping或NDsnooping,再進行 IPSourceGuard,需要考慮部署在哪一級。如果兩者都部署在AC上,則當用戶數很多時非常耗費資源,且性能很容易下降。如果兩者都部署在AP 上,則AP既要偵聽學習表項,又要維護IPSourceGuard表項,并以此過濾數據報文,性能也會有一定的影響。另外,不同AP之間仍然存在IP仿冒 問題。比如一個AP上有用戶使用了某個IP后,其它AP上某用戶仿冒同一IP,發送DHCPv6Confirm報文(也是合法的DHCP交互過程,用于重 新確認分配的地址),則原始AP上并不能及時知曉。
因此在WLAN環境下,Comware采用了新的源地址驗證模型,通過對WLAN原有的MAC驗證機制、漫游機制進行擴展,在AC/AP架構 下,在AP上采用類似于DHCPv6Snooping,NDSnooping的機制,生成基于用戶的IPv6地址相關信息,并采用 IPv6SourceGuard進行IPv6源地址驗證;在向AC同步用戶信息表時,同步用戶的IPv6信息以及對應的IPv6地址生命期等相關信息,在 用戶漫游后向新AP同步對應的信息生成新的用戶信息表;在AC上生成所有同鏈路用戶IPv6地址信息總表,在每個新用戶IPv6地址上報給AC時進行唯一 性對比,防止同一鏈路內的IPv6地址偽造(如圖5所示)。
圖5無線SAVI
通過上述技術,擴展了WLAN原有的用戶驗證技術,使用基于每用戶的IPv6地址表進行IPv6用戶查找,速度更快,更易于維護;并解決了WLAN網絡中,存在漫游的情況下保證對用戶進行IPv6源地址驗證的問題。
前面討論的對源地址驗證方法,解決了用戶偽造報文的問題。這樣,我們就可以通過用戶IPv6地址來唯一標識用戶身份,將其與用戶一一對應起來, 也可以使用跨越三層路由器的身份識別,從而方便的對用戶的上網行為進行管理,包括認證、授權和計費。典型的基于IP進行身份識別的認證技術為Portal 認證,通常也稱為Web認證。
在部署了Portal的網絡中,未認證用戶上網時,設備強制用戶登錄到特定站點,用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其它信息時,必須在門戶網站進行認證,認證通過后,設備才允許此用戶的IPv6地址使用互聯網資源。
Comware平臺所實現的Portal認證功能,支持本地Portal服務器功能,即Portal認證系統中不采用外部獨立的Portal服 務器,而由接入設備實現Portal服務器功能。這種情況下,Portal認證系統僅包括三個基本要素:認證客戶端、接入設備和認證/計費服務器。由于設 備支持Web用戶直接認證,因此就不需要部署額外的Portal服務器,增強了Portal認證的通用性。在無線應用環境中,可以給屬于不同 SSID(ServiceSetIdentifier,服務集識別碼)的用戶綁定不同的認證頁面,從而提供差異化服務。
IPv6源地址驗證技術(SAVI),保證了網絡上每一個用戶所發報文的源地址的可靠性,Portal認證保證了IPv6用戶的可管理性,將 Portal與IPv6源地址驗證有效結合,將有力保證用戶上網的易用性和安全性,并對用戶IPv6流量進行統一管理,保證網絡維護的簡潔和易操作性。
京公網安備 11010502049343號