正在阅读:IPv6系列安全篇——SAVI技术解析IPv6系列安全篇——SAVI技术解析

2019-02-25 17:48 出处:其他 作者:佚名 责任编辑:sunziyi

  【PConline 干货铺】通过之前两期文章,相信大家对IPv6的基础知识有了一定的了解,当IPv6在办公网、IDC实际部署后,大家开始关注IPv6下的安全问题,例如接入终端的合法性。

  清华大学2009年4月提出SAVI(Source Address Validation Improvements)源址合法性检验RFC(Request For Comments)草案,该草案描述通过源地址可以判断从指定端口接收到报文的合法性,本文将对SAVI技术进行详细的讲解。注:当前SAVI技术涉及的3篇RFC分别是RFC8074、RFC7513、RFC6620。三个文件当前均为Proposed Standard状态(建议标准:基本成熟,但还需要进一步的试验证实其可行性),尚未成为全球标准,在以下内容中将涉及SAVI技术的RFC文件统一描述为 RFC标准。

  SAVI技术介绍

  SAVI技术的工作机制

  通过监听控制类报文(如ND、DHCPv6),即CPS(Control Packet Snooping),在接入设备上(AP或交换机)为终端建立基于IPv6源地址、源MAC地址及接入设备端口的绑定关系,进而对通过指定端口的IP报文进行源地址校验。只有报文源地址与绑定表项匹配时才可以转发,保证网络上数据报文源地址真实性。

  CPS对于客户端是透明的,在客户端没有任何变化,也没有新增任何协议,所涉及的内容都是根据已有的协议操作流程。在接入设备上建立绑定关系,这种绑定关系一般都是临时的,有生存期,也有一些事件可以触发接入设备解除具体的绑定关系。

  SAVI RFC标准中,关于IPv6的合法接入主要包括了ND Snooping与DHCPv6 Snooping两部分内容。

  DHCPv6 Snooping和ND Snooping作为组件整合到了SAVI中, 通过SAVI-MIX整合,从而同时具备DHCPv6 Snooping和ND Snooping两个功能,按FCFS原则(First Come First Served ,先来先运行算法)实现其中任意一个功能,保证IPv6主机的合法接入。

  接下来将对DHCPv6 Snooping和ND Snooping,结合不同安全问题分别介绍实现原理。

  DHCPv6 Snooping功能解析

  在使用DHCPv6方式获取IPv6地址的环境下,可以独立使用DHCPv6 Snooping在交换机上绑定用户,通过对用户的源地址进行有效的控制,实现禁止用户私自配置地址而访问网络的目的。

  DHCPv6 Snooping功能的实现流程

  1.如图1所示,在接入交换机上开启DHCPv6 Snooping功能,将接入交换机上联端口默认为信任端口。接入交换机上联DHCP Server,下联客户主机A以及攻击主机B;

  2.利用接入交换机的DHCPv6 Snooping功能监听客户主机A与DHCP Server之间交互的DHCPv6协议报文;

  3.接入主机获取动态地址之前只能访问DHCP Server和使用本地链路地址fe80::/10访问本地资源,获取动态全球单播地址之后可以访问所有资源;

  4.当用户在动态获取地址的过程中获得用户的IPv6 Address、MAC、Port绑定信息时,下发硬件表项,严格控制接入主机的报文。只有完全匹配IPv6 Address、MAC、Port的IPv6报文和本地链路报文才允许转发。

▲图1: DHCPv6 Snooping功能的
▲图1: DHCPv6 Snooping功能的实现流程

  利用DHCPv6 Snooping在DHCPv6-Only场景下解决私设DHCP Server及DHCP Client攻击源问题

  如下图2所示

  1.私设DHCP Server及DHCP Client攻击源造成的问题:

  • 私设DHCP Server:导致主机获取到虚假的IPv6地址,影响业务转发;

  • DHCP Client攻击源:非法主机不断的向DHCP服务器发起请求,消耗DHCPv6资源,甚至造成无IP地址可以分配的情况,从而影响到其他合法主机获取IPv6地址。

  2.SAVI技术解决私设DHCP Server问题的主要步骤

  • 开启SAVI功能,配置SAVI为DHCPv6-Only模式;

  • SAVI的DHCPv6 Snooping组件在连接DHCP Server接口上配置Trust,其它端口默认为Untrust;

  • 针对Untrust接口丢弃DHCPv6 Advertise报文及Reply报文。

  3.SAVI技术解决DHCP Client攻击源问题的主要步骤

  • 开启SAVI功能,配置SAVI为DHCPv6-Only模式;

  •类似于SLAAC(Stateless Address Autoconfiguration,无状态地址自动配置)场景下用户RS泛洪攻击,用户主机异常发出大量RS报文请求IPV6地址,消耗网段地址空间;

  • 利用SAVI技术中DHCPv6 Snooping功能,限制接入交换机下联端口的MAC数量及单MAC分配IPv6地址数量,从而防止非法主机不断的向DHCP服务器发起请求,消耗DHCPv6资源。

▲图2:私设DHCP Server及DHCP
▲图2:私设DHCP Server及DHCP Client攻击源拓扑图

  ND Snooping功能解析

  ND Snooping利用CPS机制,通过源IPv6地址和接口设备的端口绑定的方式,对端口接入报文进行合法性检测,放行匹配绑定的报文,丢弃不匹配的报文,以达到对直连链路节点准入控制的目的。

  ND Snooping功能的实现流程

  1.如图3所示,在接入交换机S2上开启ND Snooping功能,进行ND Snooping学习,但是不下发硬件表项(即准入控制表项)进行过滤控制;

  2.在接入交换机S2下联端口启用ND Snooping功能,该端口拒绝转发所有IPv6报文(除了源地址为FE80::的IPv6报文和NS/NA报文);

  3.网关S1配置无状态地址自动配置协议,公告前缀2001::/64;

  4.主机PC接收到来自S1的RA公告后,通过无状态地址自动配置协议自动获取前缀为2001::/64的IPv6地址,地址生成后会先发送DAD NS报文,探测在当前链路上该IPv6地址是否可用;

  5.主机若收到DAD NA回应表示该地址不可用,反之表示可用;

  6.接入交换机S2当收到来自主机的DAD NS报文后,会为该主机建立ND Snooping绑定,在规定时间内若未探测到回应的DAD NA报文,则根据该ND Snooping绑定下发一个IPv6 Address、MAC、Port、VLAN ID四元组的准入控制表项(即硬件表项)允许转发该源地址的IPv6报文。从而达到主机IPv6流量的控制接入目的。

▲图3: ND Snooping功能的实现流程
▲图3: ND Snooping功能的实现流程

  结合ND Snooping功能的基本实现流程,下面介绍一下在SLAAC-Only场景中,通过ND Snooping功能解决实际问题的实现步骤。

  利用ND Snooping在SLAAC-Only场景下解决非法RA报文问题

  由于ND协议扩展了ARP协议的功能,而没有对其进行安全性的扩展,所以在IPv6的网络中,ND协议仍然面临原有ARP协议的风险;同时,在ND协议中新增的RA、RS报文,虽然简化了网络管理的工作,但引入了新的风险。

  1.非法RA报文(Router Advertisement,路由通告报文)造成的问题

  • 主机上线发送RS报文,攻击源会伪装成网关发送非法RA报文使得主机受到欺骗,获取到错误的网络配置信息。假如,RA携带的是伪造网络前缀列表,则会修改受害主机的路由表,造成受害主机无法上网。

  2.SAVI技术解决非法RA报文问题的步骤

  • 在图4所示的SLAAC-Only场景下,受害主机和攻击源通过接入交换机B接入到业务网关A;

  • 开启SAVI功能,配置 SAVI 为 SLAAC-Only模式;

  • 利用SAVI技术中ND-Snooping功能将接入交换机上联端口默认为信任端口,设置为Trust。接入交换机只允许已绑定的无状态地址自动配置方式分配的地址发送的报文通过;

  • 默认其它端口为非信任口Untrust,接入交换机不允许以DHCPv6方式分配的地址发送的报文通过。当收到该报文时直接丢弃。

▲图4:解决非法RA报文流程图
▲图4:解决非法RA报文流程图

  总 结

  本文主要介绍了SAVI技术背景、原理以及两个关键功能分析,即DHCPv6 Snooping和ND Snooping。接入设备通过监听终端获取IPv6地址的过程并生成安全绑定表项,从而在接入设备上过滤非法终端的IPv6报文,有效地解决了非法IPv6用户接入的问题。

  关于IPv6的安全话题,敬请期待后续的IPv6 SAVI技术在园区网中的应用篇文章。

 
利用AI来预测风电厂的能源输出?谷歌是这样做的 超级高铁HTT测试轨道将铺完 时速可达1223km/h 性能那么好为什么不买佳能打印机?原来门道在这 现代恶意软件战胜网络防御措施的5种方式及措施 在虚拟的互联网上 你能猜出哪张是真人照片吗?

为您推荐

加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多

网络设备论坛帖子排行

最高点击 最高回复 最新
最新资讯离线随时看 聊天吐槽赢奖品