科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换IPv6用户的WLAN安全接入

IPv6用户的WLAN安全接入

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

作为H3C核心技术载体的Comware软件平台(或称为网络操作系统),为解决无线网络下IPv6用户的接入安全问题设计了一整套完善的处理机制。

来源:林涛 2011年8月4日

关键字: Wlan IPv6

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  当前,Internet网络主要还是基于IPv4协议,但IPv6网络已经开始了广泛的部署,CNGI就是其中之一。然而IPv4网络的成熟性和安全性,还没有完全的应用到IPv6网络之中。比如现有的IPv6接入网络,仍然是开放的,用户可以随意接入,自由获得地址、更改地址,不受到任何制约和限制。因此,其接入安全性较难得到保证。

  在这一点上WLAN无线网络和有线网络很大的区别是,无线用户需要进行认证,无线接入设备能够了解每一个用户的在线状态,了解其对应的MAC、密钥等信息,因此对于无线网络的IPv6用户接入安全,可以采用区别于有线的一些处理机制。作为承载包括WLAN在内H3C所有网络产品特性的统一软件平台,Comware平台既考虑了在当前的普通IPv4网络中的安全性,也考虑了在IPv6网络中的安全性。

  对于用户,其上网的身份标识,在链路层为MAC地址,在网络层为IP地址,在应用层为上网账号。对于WLAN网络,其链路层安全,即MAC的正确使用可以由11i保证,但用户报文的标识——IP地址,特别是跨三层之后IP识别的有效性,将是保证用户安全的重要环节。现有无线安全技术并不保证IP层可靠,即使IPv6也不例处。而且,相当多的无线网络采用了共享密钥的方式,各IPv6用户之间实际上可以在链路层可以互访,使得具有敌意的嗅探攻击成为可能,安全性问题反而比有线网络中还要严重。

  源地址伪造系列安全问题

  在IPv4网络中,所有的网络都面临报文的伪造问题。传统路由器在转发IP报文时,基于报文的目的IP地址进行查表转发,不对报文源地址的真实性进行任何验证。而基于IP协议的上层协议(例如TCP,UDP等)都使用IP地址作为通讯对方的标识,只要攻击者伪造了报文源IP地址,就能够欺骗对方,从而攻击服务器等现有网络应用设备。H3C已经针对IPv4开发出了一系列的特性防止此类的攻击。

  与IPv4一样,IPv6网络也面临报文的伪造问题,主要是报文源地址伪造的问题。而且,因为IPv6网络是新组建网络,很容易忽视这个问题。但攻击者已经开始“关注”它,并可能利用这些问题发起新的攻击。

  攻击者伪造的报文可能是数据报文也可能是控制报文,最主要的是地址分配、解析的控制报文。在IPv6网络中,与地址分配、解析相关的控制报文主要是ND(Neighbor Discovery)协议报文、DHCPv6协议。

  针对ND协议的攻击主要有如下几类,图1为几种攻击的示意。

  l 类型一:欺骗攻击。通过发送伪造NA/NS/RS报文,修改终端或网关上特定用户的MAC地址。

  l 类型二:DoS攻击。通过发送大量伪造的NS/RS报文,攻击网关,使得网关的ND表项数量溢出。

  l 类型三:DAD攻击。通过伪造的NA报文,阻断终端正常的DAD过程。

  l 类型四:RA攻击。通过发送伪造的RA报文,欺骗网络中的终端,进行错误的网络参数配置。

  针对DHCPv6协议的攻击主要有伪造DHCPv6服务器攻击。如果网络中存在私自架设的伪DHCPv6服务器,则可能导致DHCPv6客户端获取错误的IPv6地址和网络配置参数,无法正常通信。

IPv6用户的WLAN安全接入

  图1 ND攻击

  在Comware平台上所设计的SAVI(Source Address Validation,源地址有效性验证)技术,通过对地址分配协议的侦听获取用户的IP地址,保证随后的应用中能够使用正确地址上网,且不可伪造他人IP地址,保证了源地址的可靠性。同时,通过SAVI和Portal技术的结合,进一步保证了所有上网用户报文的真实性和安全性。

  一、 源地址验证技术保证IPv6网络接入的安全性

  Comware平台针对IPv6网络中的源地址伪造系列安全问题,提出了一系列解决方案。通过DHCPv6 Snooping特性、IPv6 Source Guard特性及ND Snooping特性建立起IPv6地址、MAC地址和端口的绑定关系表,并且以绑定关系为依据对DHCPv6协议报文、ND协议报文和IPv6数据报文的源地址进行合法性的过滤检查。

  1. DHCPv6 Snooping

  安全关键词:防伪造服务器攻击,防地址欺骗攻击,防DAD攻击

  DHCPv6 Snooping特性可以保证客户端从合法的服务器获取IPv6地址,并记录DHCPv6客户端IPv6地址与MAC地址的对应关系,从而防止ND攻击。

  DHCPv6通过如下方式防止伪造服务器攻击:为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6 Snooping安全机制允许将端口设置为信任端口(Trusted Port)和不信任端口(Untrusted Port):信任端口正常转发接收到的DHCPv6报文;不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文。连接DHCPv6服务器、DHCPv6中继或其他DHCPv6 Snooping设备的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的伪DHCPv6服务器无法为DHCPv6客户端分配地址。

  DHCPv6 Snooping通过监听DHCPv6报文,记录DHCPv6 Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。然后再通过在设备接入用户侧的端口上启用IPv6 Source Guard功能,针对生成的表项,在对应端口对收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用,包括地址欺骗攻击等,提高了端口的安全性。

  针对DAD攻击,在有状态分配地址时,使用DHCP snooping生成可信表项,攻击者无法通过DHCP过程获取与受害者相同的地址,异常的NA报文是无法通过接入层交换机过滤的,从而有效的防止了DAD攻击。在无状态自动分配地址时,用户可以使用随机的InterfaceID,这样正常用户的地址分配过程中,设备上可以先建立起可信表项,并使用这个表项对攻击者的NA报文进行过滤,从而有效的防止DAD攻击。详见图2示意。

IPv6用户的WLAN安全接入

  图2 防止DAD攻击

  2. IPv6 Source Guard

  安全关键词:用户的合法性检查

  IPv6 Source Guard功能是针对用户的合法性检查功能,是报文中源IPv6地址和源MAC地址,检查用户是否是报文收到端口所属VLAN上的合法用户,包括基于IP Source Guard静态绑定表项的检查、基于ND Snooping表项的检查和基于DHCPv6 Snooping安全表项的检查。在这三种表项都存在的情况下,检查过程如下(图3为该过程示例):

  l 首先进行基于IP Source Guard静态绑定表项检查。如果找到了对应源IPv6地址和源MAC地址的静态绑定表项,认为该ND报文合法,进行转发。如果找到了对应源IPv6地址的静态绑定表项但源MAC地址不符,认为该ND报文非法,进行丢弃。如果没有找到对应源IPv6地址的静态绑定表项,继续进行DHCPv6 Snooping安全表项、ND Snooping安全表项检查。

  l 在基于IP Source Guard静态绑定表项检查之后进行基于DHCPv6 Snooping安全表项、ND Snooping安全表项检查,只要符合两者中任何一个,就认为该ND报文合法,进行转发。

  l 如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。

IPv6用户的WLAN安全接入

  图3 防止源地址欺骗

  3. ND Snooping

  安全关键词:防地址欺骗攻击

  ND Snooping特性通过侦听IPv6的自动地址配置过程中的DAD(Duplicate Address Detection,重复地址检测) NS消息来建立ND Snooping表项,表项内容包括报文的源IPv6地址、源MAC地址、所属VLAN、入端口等信息。当一个VLAN使能ND Snooping后,该VLAN内所有端口接收的ND报文均会被重定向到CPU。全局使能ND Snooping后,CPU会对这些ND报文进行分析,获取报文的源IPv6地址、源MAC地址、源VLAN和入端口信息,并根据这些信息来新建或更新ND Snooping表项。更新表项主要根据DAD NS报文,同时兼顾其它种类的ND报文,并附加更为主动的确认机制:首先,设备将探测现有该表项的正确性、探测新收到报文(报文A)真实性。最后通过老化表项机制,保证过期的ND Snooping表项能够及时删除。

  与DHCPv6 Snooping一样,ND Snooping表项也可与IPv6 Source Guard功能配合使用,通过在设备接入用户侧的端口上启用IPv6 Source Guard功能,针对ND Snooping生成的表项,在对应端口对收到的报文进行过滤控制,防止地址欺骗攻击,从而限制了对网络资源的非法使用,提高了端口的安全性。

  4. ND Detection和其他预防机制

  安全关键词:防仿冒网关攻击,防DoS攻击

  在DHCPv6 Snooping和ND Snooping基础上,Comware提供了ND Detection功能,检查用户的ND协议报文的合法性。对于合法用户的ND报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。ND Detection功能将接入设备上的端口分为两种:ND信任端口、ND非信任端口。对于ND信任端口,不进行用户合法性检查;对于ND非信任端口,如果收到RA和RR消息,则认为是非法报文直接丢弃,如果收到其它类型的ND报文,则需要进行用户合法性检查,以防止仿冒用户的攻击(如图4所示)。

IPv6用户的WLAN安全接入

  图4 RA Trust

  针对DoS攻击,Comware也提供了相应的预防机制。攻击者通过构造IP或MAC不断变化的NS/RS报文进行对三层设备的DoS攻击,耗尽网关的ND表项资源。Comware在网关上可以基于路由口,也可以基于物理端口配置ND学习的数量,将ND攻击限定在一个较小的范围,未来还可以通过限制固定时间内的学习数量等技术,扩展对DoS攻击的防御能力。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章