当前,Internet网络主要还是基于IPv4协议,但IPv6网络已经开始了广泛的部署,CNGI就是其中之一。然而IPv4网络的成熟性和安全性,还没有完全的应用到IPv6网络之中。比如现有的IPv6接入网络,仍然是开放的,用户可以随意接入,自由获得地址、更改地址,不受到任何制约和限制。因此,其接入安全性较难得到保证。
在这一点上WLAN无线网络和有线网络很大的区别是,无线用户需要进行认证,无线接入设备能够了解每一个用户的在线状态,了解其对应的MAC、密钥等信息,因此对于无线网络的IPv6用户接入安全,可以采用区别于有线的一些处理机制。作为承载包括WLAN在内H3C所有网络产品特性的统一软件平台,Comware平台既考虑了在当前的普通IPv4网络中的安全性,也考虑了在IPv6网络中的安全性。
对于用户,其上网的身份标识,在链路层为MAC地址,在网络层为IP地址,在应用层为上网账号。对于WLAN网络,其链路层安全,即MAC的正确使用可以由11i保证,但用户报文的标识–IP地址,特别是跨三层之后IP识别的有效性,将是保证用户安全的重要环节。现有无线安全技术并不保证IP层可靠,即使IPv6也不例处。而且,相当多的无线网络采用了共享密钥的方式,各IPv6用户之间实际上可以在链路层可以互访,使得具有敌意的嗅探攻击成为可能,安全性问题反而比有线网络中还要严重。
源地址伪造系列安全问题
在IPv4网络中,所有的网络都面临报文的伪造问题。传统路由器在转发IP报文时,基于报文的目的IP地址进行查表转发,不对报文源地址的真实性进行任何验证。而基于IP协议的上层协议(例如TCP,UDP等)都使用IP地址作为通讯对方的标识,只要攻击者伪造了报文源IP地址,就能够欺骗对方,从而攻击服务器等现有网络应用设备。H3C已经针对IPv4开发出了一系列的特性防止此类的攻击。
与IPv4一样,IPv6网络也面临报文的伪造问题,主要是报文源地址伪造的问题。而且,因为IPv6网络是新组建网络,很容易忽视这个问题。但攻击者已经开始“关注”它,并可能利用这些问题发起新的攻击。
攻击者伪造的报文可能是数据报文也可能是控制报文,最主要的是地址分配、解析的控制报文。在IPv6网络中,与地址分配、解析相关的控制报文主要是ND(Neighbor Discovery)协议报文、DHCPv6协议。
针对ND协议的攻击主要有如下几类,图1为几种攻击的示意。
—类型一:欺骗攻击。通过发送伪造NA/NS/RS报文,修改终端或网关上特定用户的MAC地址。
—类型二:DoS攻击。通过发送大量伪造的NS/RS报文,攻击网关,使得网关的ND表项数量溢出。
—类型三:DAD攻击。通过伪造的NA报文,阻断终端正常的DAD过程。
—类型四:RA攻击。通过发送伪造的RA报文,欺骗网络中的终端,进行错误的网络参数配置。
针对DHCPv6协议的攻击主要有伪造DHCPv6服务器攻击。如果网络中存在私自架设的伪DHCPv6服务器,则可能导致DHCPv6客户端获取错误的IPv6地址和网络配置参数,无法正常通信。
图1ND攻击
在Comware平台上所设计的SAVI(Source Address Validation,源地址有效性验证)技术,通过对地址分配协议的侦听获取用户的IP地址,保证随后的应用中能够使用正确地址上网,且不可伪造他人IP地址,保证了源地址的可靠性。同时,通过SAVI和Portal技术的结合,进一步保证了所有上网用户报文的真实性和安全性。
一、源地址验证技术保证IPv6网络接入的安全性
Comware平台针对IPv6网络中的源地址伪造系列安全问题,提出了一系列解决方案。通过DHCPv6 Snooping特性、IPv6 Source Guard特性及ND Snooping特性建立起IPv6地址、MAC地址和端口的绑定关系表,并且以绑定关系为依据对DHCPv6协议报文、ND协议报文和IPv6数据报文的源地址进行合法性的过滤检查。
1.DHCPv6 Snooping
安全关键词:防伪造服务器攻击,防地址欺骗攻击,防DAD攻击
DHCPv6 Snooping特性可以保证客户端从合法的服务器获取IPv6地址,并记录DHCPv6客户端IPv6地址与MAC地址的对应关系,从而防止ND攻击。
DHCPv6通过如下方式防止伪造服务器攻击:为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6 Snooping安全机制允许将端口设置为信任端口(Trusted Port)和不信任端口(Untrusted Port):信任端口正常转发接收到的DHCPv6报文;不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文。连接DHCPv6服务器、DHCPv6中继或其他DHCPv6 Snooping设备的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的伪DHCPv6服务器无法为DHCPv6客户端分配地址。
DHCPv6 Snooping通过监听DHCPv6报文,记录DHCPv6 Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。然后再通过在设备接入用户侧的端口上启用IPv6 Source Guard功能,针对生成的表项,在对应端口对收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用,包括地址欺骗攻击等,提高了端口的安全性。
针对DAD攻击,在有状态分配地址时,使用DHCP snooping生成可信表项,攻击者无法通过DHCP过程获取与受害者相同的地址,异常的NA报文是无法通过接入层交换机过滤的,从而有效的防止了DAD攻击。在无状态自动分配地址时,用户可以使用随机的InterfaceID,这样正常用户的地址分配过程中,设备上可以先建立起可信表项,并使用这个表项对攻击者的NA报文进行过滤,从而有效的防止DAD攻击。详见图2示意。
图2防止DAD攻击
2.IPv6 Source Guard
安全关键词:用户的合法性检查
IPv6 Source Guard功能是针对用户的合法性检查功能,是报文中源IPv6地址和源MAC地址,检查用户是否是报文收到端口所属VLAN上的合法用户,包括基于IP Source Guard静态绑定表项的检查、基于ND Snooping表项的检查和基于DHCPv6 Snooping安全表项的检查。在这三种表项都存在的情况下,检查过程如下(图3为该过程示例):
—首先进行基于IP Source Guard静态绑定表项检查。如果找到了对应源IPv6地址和源MAC地址的静态绑定表项,认为该ND报文合法,进行转发。如果找到了对应源IPv6地址的静态绑定表项但源MAC地址不符,认为该ND报文非法,进行丢弃。如果没有找到对应源IPv6地址的静态绑定表项,继续进行DHCPv6 Snooping安全表项、ND Snooping安全表项检查。
—在基于IP Source Guard静态绑定表项检查之后进行基于DHCPv6 Snooping安全表项、ND Snooping安全表项检查,只要符合两者中任何一个,就认为该ND报文合法,进行转发。
—如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。
图3防止源地址欺骗
3.ND Snooping
安全关键词:防地址欺骗攻击
ND Snooping特性通过侦听IPv6的自动地址配置过程中的DAD(Duplicate Address Detection,重复地址检测) NS消息来建立ND Snooping表项,表项内容包括报文的源IPv6地址、源MAC地址、所属VLAN、入端口等信息。当一个VLAN使能ND Snooping后,该VLAN内所有端口接收的ND报文均会被重定向到CPU。全局使能ND Snooping后,CPU会对这些ND报文进行分析,获取报文的源IPv6地址、源MAC地址、源VLAN和入端口信息,并根据这些信息来新建或更新ND Snooping表项。更新表项主要根据DAD NS报文,同时兼顾其它种类的ND报文,并附加更为主动的确认机制:首先,设备将探测现有该表项的正确性、探测新收到报文(报文A)真实性。最后通过老化表项机制,保证过期的ND Snooping表项能够及时删除。
与DHCPv6 Snooping一样,ND Snooping表项也可与IPv6 Source Guard功能配合使用,通过在设备接入用户侧的端口上启用IPv6 Source Guard功能,针对ND Snooping生成的表项,在对应端口对收到的报文进行过滤控制,防止地址欺骗攻击,从而限制了对网络资源的非法使用,提高了端口的安全性。
4.ND Detection和其他预防机制
安全关键词:防仿冒网关攻击,防DoS攻击
在DHCPv6 Snooping和ND Snooping基础上,Comware提供了ND Detection功能,检查用户的ND协议报文的合法性。对于合法用户的ND报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。ND Detection功能将接入设备上的端口分为两种:ND信任端口、ND非信任端口。对于ND信任端口,不进行用户合法性检查;对于ND非信任端口,如果收到RA和RR消息,则认为是非法报文直接丢弃,如果收到其它类型的ND报文,则需要进行用户合法性检查,以防止仿冒用户的攻击(如图4所示)。
图4RA Trust
针对DoS攻击,Comware也提供了相应的预防机制。攻击者通过构造IP或MAC不断变化的NS/RS报文进行对三层设备的DoS攻击,耗尽网关的ND表项资源。Comware在网关上可以基于路由口,也可以基于物理端口配置ND学习的数量,将ND攻击限定在一个较小的范围,未来还可以通过限制固定时间内的学习数量等技术,扩展对DoS攻击的防御能力。
二、扩展的WLAN技术
上述机制有力的保证了宽带网络中IPv6用户的源地址的可靠性。针对WLAN的新型组网, Comware平台提出了新颖的方案(H3C专利技术),解决了包括设备过滤性能、客户端漫游等问题,并有效的完成了IPv6源地址验证。
WLAN组网中包括两个要素:
lAP(Access Point,接入点),提供无线客户端到局域网的桥接功能,在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换。
lAC(Access Controller,无线控制器),对无线局域网中的所有AP进行控制和管理。无线控制器还可以通过同认证服务器交互信息,来为WLAN用户提供认证服务。
因为存在两级链路层转发控制设备,如果类似于有线网络,简单的进行DHCPv6 Snooping或ND snooping,再进行IP Source Guard,需要考虑部署在哪一级。如果两者都部署在AC上,则当用户数很多时非常耗费资源,且性能很容易下降。如果两者都部署在AP上,则AP既要侦听学习表项,又要维护IP Source Guard表项,并以此过滤数据报文,性能也会有一定的影响。另外,不同AP之间仍然存在IP仿冒问题。比如一个AP上有用户使用了某个IP后,其它AP上某用户仿冒同一IP,发送DHCPv6 Confirm报文(也是合法的DHCP交互过程,用于重新确认分配的地址),则原始AP上并不能及时知晓。
因此在WLAN环境下,Comware采用了新的源地址验证模型,通过对WLAN原有的MAC验证机制、漫游机制进行扩展,在AC/AP架构下,在AP上采用类似于DHCPv6 Snooping,ND Snooping的机制,生成基于用户的IPv6地址相关信息,并采用IPv6 Source Guard进行IPv6源地址验证;在向AC同步用户信息表时,同步用户的IPv6信息以及对应的IPv6地址生命期等相关信息,在用户漫游后向新AP同步对应的信息生成新的用户信息表;在AC上生成所有同链路用户IPv6地址信息总表,在每个新用户IPv6地址上报给AC时进行唯一性对比,防止同一链路内的IPv6地址伪造(如图5所示)。
图5无线SAVI
通过上述技术,扩展了WLAN原有的用户验证技术,使用基于每用户的IPv6地址表进行IPv6用户查找,速度更快,更易于维护;并解决了WLAN网络中,存在漫游的情况下保证对用户进行IPv6源地址验证的问题。
三、 结合Portal认证,保证IPv6接入的可管理性
前面讨论的对源地址验证方法,解决了用户伪造报文的问题。这样,我们就可以通过用户IPv6地址来唯一标识用户身份,将其与用户一一对应起来,也可以使用跨越三层路由器的身份识别,从而方便的对用户的上网行为进行管理,包括认证、授权和计费。典型的基于IP进行身份识别的认证技术为Portal认证,通常也称为Web认证。
在部署了Portal的网络中,未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,认证通过后,设备才允许此用户的IPv6地址使用互联网资源。
Comware平台所实现的Portal认证功能,支持本地Portal服务器功能,即Portal认证系统中不采用外部独立的Portal服务器,而由接入设备实现Portal服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和认证/计费服务器。由于设备支持Web用户直接认证,因此就不需要部署额外的Portal服务器,增强了Portal认证的通用性。在无线应用环境中,可以给属于不同SSID(Service Set Identifier,服务集识别码)的用户绑定不同的认证页面,从而提供差异化服务。
四、结束语
IPv6源地址验证技术(SAVI),保证了网络上每一个用户所发报文的源地址的可靠性,Portal认证保证了IPv6用户的可管理性,将Portal与IPv6源地址验证有效结合,将有力保证用户上网的易用性和安全性,并对用户IPv6流量进行统一管理,保证网络维护的简洁和易操作性。