《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > IPv6的接入層安全技術(shù)
IPv6的接入層安全技術(shù)
摘要: 在IPv6網(wǎng)絡(luò)中,由于使用ND協(xié)議代替了IPv4中的ARP協(xié)議,以及對用戶的身份認證方面需要針對用戶的IPv6地址進行處理,所以在IPv6的接入層安全技術(shù)相比在IPv4網(wǎng)絡(luò)中,必須進行更新,使之能夠滿足在IPv6網(wǎng)絡(luò)中使用的要求。并且,IPv6的接入層安全技術(shù)應(yīng)能夠與IPv4的接入層安全技術(shù)共存,滿足在IPv6/IPv4雙棧網(wǎng)絡(luò)中的要求。
Abstract:
Key words :

IPv6" title="IPv6">IPv6網(wǎng)絡(luò)中,由于使用ND協(xié)議" title="ND協(xié)議">ND協(xié)議代替了IPv4中的ARP協(xié)議" title="ARP協(xié)議">ARP協(xié)議,以及對用戶的身份認證方面需要針對用戶的IPv6地址進行處理,所以在IPv6的接入層安全技術(shù)相比在IPv4網(wǎng)絡(luò)中,必須進行更新,使之能夠滿足在IPv6網(wǎng)絡(luò)中使用的要求。并且,IPv6的接入層安全技術(shù)應(yīng)能夠與IPv4的接入層安全技術(shù)共存,滿足在IPv6/IPv4雙棧網(wǎng)絡(luò)中的要求。
在園區(qū)網(wǎng)部署中,接入層的安全防護問題是一項很重要的部署考慮,在該問題上,主要考慮協(xié)議安全及用戶身份安全兩個部分。

協(xié)議安全:使用IPv4的園區(qū)網(wǎng)進行部署的時候,必須考慮ARP攻擊的問題,防止網(wǎng)絡(luò)中出現(xiàn)ARP欺騙及ARP泛洪帶來的網(wǎng)絡(luò)性能及可靠性問題。在部署IPv6后,要考慮使用ND協(xié)議帶來的接入層安全風(fēng)險。

用戶身份安全:采用802.1X認證,確保接入網(wǎng)絡(luò)的用戶身份的可靠性,在部署了IPv6的網(wǎng)絡(luò)中,為了確認接入用戶的身份信息,同樣需要進行用戶身份認證。同時,為了后續(xù)對用戶的接入信息進行綁定或?qū)徲嫷炔僮?,認證客戶端需要收集能夠標識用戶身份的信息,包括用戶的登錄名,IP地址等內(nèi)容,上傳到認證服務(wù)器。

一、ND協(xié)議安全

在IPv4網(wǎng)絡(luò)中,針對ARP攻擊問題,大部分的網(wǎng)絡(luò)設(shè)備廠商都推出了各自的ARP防攻擊解決方案,在很大程度上解決了ARP攻擊的問題。伴隨著IPv6網(wǎng)絡(luò)的建設(shè),在IPv6協(xié)議族中的NDP協(xié)議越來越被重視,而在ND協(xié)議的設(shè)計與ARP協(xié)議一樣并未提供認證機制,導(dǎo)致網(wǎng)絡(luò)中的主機是不可信的,從而使得針對ND協(xié)議的攻擊非常容易。

1. ND協(xié)議的功能介紹

ND協(xié)議,全稱為鄰居發(fā)現(xiàn)協(xié)議(Neighbor Discovery Protocol),是IPv6的關(guān)鍵協(xié)議之一,可以說,ND協(xié)議是IPv4某些協(xié)議在IPv6中綜合起來的升級和改進,如ARP、ICMP路由器發(fā)現(xiàn)和ICMP重定向等協(xié)議。當然,作為IPv6的基礎(chǔ)性協(xié)議,ND還提供了其他功能,如前綴發(fā)現(xiàn)、鄰居不可達檢測、重復(fù)地址檢測、地址自動配置等。

1) ND協(xié)議的主要報文類型ND協(xié)議定義的報文使用ICMP承載,其類型包括:路由器請求報文、路由器通告報文、鄰居請求報文、鄰居通告報文和重定向報文。在本文中,我們主要關(guān)注ND協(xié)議發(fā)生攻擊的情況,對ND的報文種類只做簡要描述:

●路由器請求(RS):主機啟動后,通過RS消息向路由器發(fā)出請求,期望路由器立即發(fā)送RA消息響應(yīng)。從而獲取網(wǎng)絡(luò)中的配置信息,包括網(wǎng)關(guān)地址,網(wǎng)絡(luò)前綴,鏈路MTU等信息。

● 路由器通告(RA):RA報文用于對RS報文進行回應(yīng)。網(wǎng)關(guān)也可以通過周期性的在鏈路范圍內(nèi)組播RA報文,是同一鏈路范圍內(nèi)的主機獲取相同的網(wǎng)絡(luò)配置信息。這些配置信息包括:主機的地址獲取方式;網(wǎng)絡(luò)中的前綴信息;網(wǎng)絡(luò)中的PMTU信息;網(wǎng)絡(luò)中的網(wǎng)關(guān)信息等。

●鄰居請求報文(NS):NS消息與NA消息配合實現(xiàn)鄰居的鏈路層地址獲取、檢查鄰居是否可達、重復(fù)地址檢測等功能。

●鄰居通告報文(NA):NA報文是主機對NS的響應(yīng)報文,同時主機在鏈路層地址變化時也可以主動發(fā)送NA消息,以通知相鄰節(jié)點自己的鏈路層地址或者角色發(fā)生改變。

2) ND協(xié)議主要功能介紹ND協(xié)議中,主要新增加了RA,RS兩種報文,這兩種報文的增加,使得在主機側(cè)能夠通過接收RA報文,獲取網(wǎng)絡(luò)中的配置參數(shù),更加方便的進行網(wǎng)絡(luò)的部署和管理。在地址解析,重復(fù)地址檢查等功能上,ND協(xié)議與ARP協(xié)議沒有過多的區(qū)別。

●路由器發(fā)現(xiàn)

路由器發(fā)現(xiàn)是指主機怎樣定位本地鏈路上路由器和確定其配置信息的過程,主要包含查詢?nèi)笔【W(wǎng)關(guān)、前綴發(fā)現(xiàn)及參數(shù)發(fā)現(xiàn)三方面的內(nèi)容。

●地址解析

地址解析是指某節(jié)點在知道目的節(jié)點IP地址的情況下,確定目的鏈路層地址的過程。

當一個節(jié)點需要得到同一本地鏈路上另外一個節(jié)點的鏈路層地址時,需要進行地址解析,該機制類似于IPv4中的ARP。 ND協(xié)議用NS和NA報文完成IPv6地址到鏈路層地址的解析,解析后的鏈路層地址和IP地址等信息用來建立節(jié)點的一個鄰居緩存表項。

●鄰居不可達檢測

鄰居不可達檢測是節(jié)點如何確定鄰居不可達狀態(tài)的過程。

ND協(xié)議用NS和NA報文來驗證鄰居節(jié)點的可達性。節(jié)點在確定鄰居的鏈路層地址后,跟蹤?quán)従泳彺姹淼臓顟B(tài),定時發(fā)送NS報文,如果鄰居在規(guī)定的可達時間內(nèi)(缺省值為30秒)不能接收或者發(fā)送返回的報文,則刪除此鄰居緩存表項。

鄰居的可達性并不能說明端到端的可達性。因為相鄰節(jié)點可能是主機或者路由器,所以相鄰節(jié)點并不一定就是數(shù)據(jù)包的最終目標。NUD檢測僅僅驗證了到目標路徑上第一跳的可達性狀態(tài)。

●重復(fù)地址檢測

重復(fù)地址檢測是節(jié)點確定即將使用的地址是否被另一節(jié)點使用的過程。

在節(jié)點自動配置某個接口的IPv6單播地址之前,必須在本地鏈路范圍內(nèi)驗證要使用的臨時地址是唯一的,并且未被其他節(jié)點使用過。

只要NS報文發(fā)送到本地鏈路上(缺省發(fā)送一次NS報文),如果在規(guī)定時間內(nèi)沒有NA報文進行應(yīng)答,則認為這個臨時單播地址在本地鏈路上是唯一的,可以分配給接口;反之,這個臨時地址是重復(fù)的,不能使用此地址。

2. ND常見攻擊介紹

由于ND協(xié)議擴展了ARP協(xié)議的功能,而沒有對其進行安全性的擴展,所以在IPv6的網(wǎng)絡(luò)中,ND協(xié)議仍然面臨原有ARP協(xié)議的風(fēng)險,同時,在ND協(xié)議中新增的RA,RS報文,雖然簡化了網(wǎng)絡(luò)管理的工作,但引入了新的風(fēng)險。

在IPv6的接入層ND防攻擊中,除了要關(guān)注同ARP共有的地址欺騙攻擊及DAD攻擊外,特別需要關(guān)注針對RA的攻擊。

1) 地址欺騙攻擊地址欺騙攻擊與IPv4中ARP攻擊的方式類似,攻擊者可以使用RS/NS/NA報文來修改受害主機或網(wǎng)關(guān)上受害主機的MAC地址,造成受害主機無法與網(wǎng)絡(luò)進行正常的通信
 



圖1 RS/NS/NA仿冒攻擊示意圖

 如圖1所示,攻擊者能夠偽造NS/NA報文,發(fā)送給網(wǎng)關(guān)或受害主機,通過這種方式來對網(wǎng)關(guān)上受害主機的MAC地址或受害主機上的特定的MAC地址進行修改,造成了受害用戶無法接收到正常的數(shù)據(jù)報文。

另外,攻擊者B能夠利用虛假的NA/RS/NS報文,對正常用戶及網(wǎng)關(guān)中的ND緩存進行改寫,造成正常用戶之間無法互訪及網(wǎng)關(guān)無法向正確的用戶專發(fā)報文等一系列的網(wǎng)絡(luò)故障。

2) DAD攻擊當受害主機進行DAD查詢的時候,攻擊者通過NS或NA報文進行干擾,使得受害主機的DAD過程失敗,無法獲取到IP地址,這種攻擊的概率和NS/NA的欺騙攻擊相比,相對較少。

圖2 DAD攻擊示意圖
如圖2所示,在受害者進行DAD檢測時,攻擊者可以偽造NS報文,與受害者產(chǎn)生沖突,也可以偽造NA報文,應(yīng)答受害者的NS報文。這兩種情況,受害主機都無法獲取地址,進行正常的網(wǎng)絡(luò)通信。
3) RA攻擊RA能夠攜帶很多網(wǎng)絡(luò)配置信息,包括默認路由器,網(wǎng)絡(luò)前綴列表,是否使用DHCP服務(wù)器進行有狀態(tài)地址分配等網(wǎng)絡(luò)配置的關(guān)鍵信息。如果受害者接收了虛假的RA信息,會造成網(wǎng)絡(luò)配置錯誤,從而引發(fā)欺騙攻擊。
圖3 RA攻擊示意圖
如圖3所示,攻擊者發(fā)送偽造的RA報文,其中可以造成多種攻擊:
偽造不存在的前綴,修改受害主機的路由表。
偽造網(wǎng)關(guān)的MAC及l(fā)ifetime,造成受害主機的默認網(wǎng)關(guān)改變。
偽造DHCP服務(wù)器,同時偽造RA中的M bit,造成受害主機使用DHCP服務(wù)器分配到虛假的地址。
4) 針對網(wǎng)關(guān)的泛洪攻擊通過發(fā)送大量的NS/RS報文,造成網(wǎng)關(guān)的表項溢出。
圖4 泛洪攻擊示意圖
攻擊者通過偽造大量的NS/RS報文,發(fā)送給網(wǎng)關(guān),使得網(wǎng)關(guān)的表項溢出,造成網(wǎng)關(guān)無法提供正常的服務(wù)。
3. ND防攻擊解決方案
通過對上述的ND攻擊類型的介紹分析,我們可以發(fā)現(xiàn)當前ND攻擊防御的關(guān)鍵所在:如何獲取到合法用戶和網(wǎng)關(guān)的IPv6地址-MAC對應(yīng)關(guān)系,并如何利用該對應(yīng)關(guān)系對ND報文進行檢查,過濾掉非法ND報文。針對該類攻擊,H3C公司解決這一關(guān)鍵問題的思路是,通過自動的ND 監(jiān)控模式、DHCP監(jiān)控模式與手工配置的方式,獲取到合法用戶的IP-MAC對應(yīng)關(guān)系。再配合RA trust與DHCP trust對RA報文與DHCP報文進行限制,從而解決不同環(huán)境下的ND防攻擊問題。
同時,為了避免網(wǎng)關(guān)的ND表項被異常的ND報文打滿溢出造成DoS攻擊,在網(wǎng)關(guān)上能夠針對端口配置最大的ND表項學(xué)習(xí)數(shù)量,緩解此類攻擊。
1) 信任表項與ND
Detection從前文的描述,我們知道,在局域網(wǎng)中ARP或ND攻擊的根本原因是無法對所交互的ARP或ND報文進行驗證,從而無法得知正確的用戶IP、MAC、端口的綁定信息,所以無法對異常的ND報文進行過濾,使得網(wǎng)絡(luò)中可能發(fā)生ARP/ND攻擊。
通過ND snooping、DHCP snooping、手工配置等手段在接入層交換機上建立的一張IP、MAC、Port的可信表項,獲取可靠的用戶IP地址與MAC地址的對應(yīng)關(guān)系。通過這張表項,結(jié)合ND Detection技術(shù),對異常的ND報文進行過濾,達到防止ND攻擊的效果。
ND snooping與DHCP snooping是一種動態(tài)獲取用戶IP、MAC、Port對應(yīng)關(guān)系的技術(shù),ND snooping:ND協(xié)議報文的交互過程在上文已經(jīng)進行了描述,在ND snooping中,監(jiān)聽ND協(xié)議的DAD交互過程,獲取用戶的IP、MAC、Port的對應(yīng)關(guān)系。
DHCP snooping:通過監(jiān)聽DHCP的交互過程,獲得用戶的IP、MAC、Port的綁定表項。
手工綁定表項:手工綁定是一種常用的技術(shù),在一些規(guī)模不大的網(wǎng)絡(luò)中,或者對安全性要求較高且不經(jīng)常變化的網(wǎng)絡(luò)中,使用手工綁定來建立可信表項。
在建立了綁定表項之后,能夠保證一個已經(jīng)獲取了IP地址的用戶只能使用已獲取的地址進行通信,過濾掉所有的不在綁定表項中的IPv6的非法用戶發(fā)送的IP報文。ND Detection通過結(jié)合已經(jīng)建立的綁定表項,這個綁定表項可以是使用ND snooping,DHCP snooping,手工來進行配置的,通過比較已經(jīng)獲取到的可信表項中的IP與MAC地址,對ND報文進行過濾,丟棄異常的報文。相比單純使用ACL進行的用戶綁定,ND
Detection技術(shù)結(jié)合綁定表項對ND報文進行過濾,能夠更好的防御ND攻擊。
2) RA Trust與DHCP TrustRA Trust與DHCP
Trust的功能不同,但是思路是相同的,管理員可以在相應(yīng)的連接DHCP服務(wù)器或網(wǎng)關(guān)的接口上進行配置,通過手工指定連接DHCP服務(wù)器與連接發(fā)送RA的設(shè)備的接口(通常是網(wǎng)關(guān)),能夠避免網(wǎng)絡(luò)中DHCP報文與RA報文的任意發(fā)送。當進行了RA
Trust與DHCP Trust后,DHCP的服務(wù)器端報文與RA報文只能從配置了TRUST的端口進入,避免了DHCP服務(wù)器欺騙與RA攻擊,提升了局域網(wǎng)安全性。
3) 限制接口學(xué)習(xí)ND表項的最大數(shù)目當指定接口下的ND
snooping表項達到允許學(xué)習(xí)的最大數(shù)目后,將不允許新增動態(tài)學(xué)習(xí)表項,以保證當一個接口所接入的某一臺主機發(fā)起ND攻擊時不會導(dǎo)致整個設(shè)備的ND
Snooping表資源都被耗盡。
4. ND協(xié)議安全功能總結(jié)
H3C的ND防攻擊技術(shù),通過在網(wǎng)絡(luò)設(shè)備學(xué)習(xí)可信的用戶接入表項,同時配合ND
Detection技術(shù),對非法報文進行過濾,提高了用戶側(cè)ND報文的可信性及安全性,防止網(wǎng)絡(luò)出現(xiàn)地址欺騙及DAD造成的攻擊。配合DHCP Trust與RA
Trust功能,禁止非法的DHCP報文與RA報文發(fā)送,防止了針對RA的攻擊。通過限制ND
snooping表項的學(xué)習(xí)數(shù)量,避免的對設(shè)備的DoS攻擊。通過提供了一套完整的ND防攻擊解決方案,提高了用戶接入層的ND安全水平。
二、用戶身份安全
1. 雙棧用戶的身份認證
在用戶接入網(wǎng)絡(luò)時,為了保證用戶的身份安全,需要對用戶進行身份驗證,認證的方式是使用802.1X認證協(xié)議。用戶身份驗證完成后,在服務(wù)器側(cè)會對用戶的接入地址、接入位置進行審計,在一些對安全要求較高的網(wǎng)絡(luò)中,同時結(jié)合網(wǎng)流分析系統(tǒng),對用戶后續(xù)的網(wǎng)絡(luò)訪問進行審計。
在雙棧網(wǎng)絡(luò)中,原有的IPv4用戶會升級為IPv6/IPv4的雙??蛻舳?,在這種情況下,需要對原有的用戶認證系統(tǒng)進行升級,使得客戶端,認證服務(wù)器能夠識別一個雙棧用戶,對其進行相應(yīng)的認證并執(zhí)行對應(yīng)的安全措施。
2. 雙棧網(wǎng)絡(luò)中認證設(shè)備的升級
由于802.1X是在鏈路層對用戶進行認證,當認證完成后,根據(jù)接入用戶的MAC地址進行控制。而對使用了IPv6/IPv4的雙棧用戶而言,認證客戶端不僅能夠在鏈路層執(zhí)行用戶認證過程,還需要針對這個用戶將用戶的IPv6/IPv4地址上傳到服務(wù)器上,為后續(xù)針對用戶的控制、審計提供必要的支撐。
如上文所述,在雙棧網(wǎng)絡(luò)中,需要對認證客戶端,認證服務(wù)器進行升級改造,使之能夠適應(yīng)雙棧網(wǎng)絡(luò)的情況,對認證客戶端及認證服務(wù)器的改造情況如下:
認證客戶端:支持對認證網(wǎng)卡上的雙棧地址的上傳。這里需要說明的是,對于一個使用隧道接入的用戶,其雖然能夠使用IPv6進行接入,但是還是使用IPv4進行隧道封裝后進行的轉(zhuǎn)發(fā),所以認證客戶端側(cè)仍然將其視為一個IPv4的用戶。
上傳IP地址的客戶端選項,在802.1X連接的屬性中進行配置,如圖5所示:

圖5 客戶端IP地址上傳
在認證客戶端側(cè)只有選中了“上傳IP地址”選項,對應(yīng)連接在做802.1X認證時才允許上報IPv4和IPv6地址。當選擇了“上傳IP地址”的選項后,認證客戶端會在802.1X認證時,將客戶端認證網(wǎng)卡上的IPv4地址以及IPv6的全球單播地址通過接入設(shè)備上傳至認證服務(wù)器,完成對雙棧用戶的識別。
認證服務(wù)器:認證服務(wù)器能夠?qū)蛻舳松蟼鞯腎Pv6/IPv4地址進行記錄,對接入用戶的日志信息進行審計。除了對用戶的接入信息進行審計之外,在認證服務(wù)器上還可以對用戶的身份信息進行綁定,能夠綁定用戶的IPv4/IPv6地址,接入端口,MAC地址等信息進行聯(lián)合綁定,提高用戶身份的可信度。
通過將認證客戶端及認證服務(wù)器升級,能夠處理雙棧用戶的網(wǎng)絡(luò)層信息,這樣為后續(xù)的用戶身份審計,用戶上網(wǎng)審計提供了有效參考。并且,在網(wǎng)絡(luò)中能夠?qū)﹄p棧用戶的各種身份信息進行綁定,大大提高了接入用戶的安全性。
三、 結(jié)束語
在雙棧園區(qū)網(wǎng)的接入層,主要考慮網(wǎng)絡(luò)協(xié)議安全及用戶接入的身份安全兩個部分,在升級為IPv6/IPv4后,接入層的安全控制同樣要發(fā)生變化。上文描述了雙棧網(wǎng)絡(luò)中的接入層安全技術(shù),包括ND協(xié)議安全及用戶身份安全部分。在接入層安全技術(shù)的部署中,根據(jù)所需的安全等級及具體網(wǎng)絡(luò)情況,有選擇的進行部署,對ND協(xié)議的風(fēng)險及非法用戶的風(fēng)險進行防御。在雙棧網(wǎng)絡(luò)中,可以與ARP防攻擊結(jié)合,在接入層完成對ARP攻擊,ND攻擊及非法用戶訪問的防御,提升接入層網(wǎng)絡(luò)的安全性。
 
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。