IPv6用戶的WLAN安全接入
【51CTO.com 綜合報道】當(dāng)前,Internet網(wǎng)絡(luò)主要還是基于IPv4協(xié)議,但I(xiàn)Pv6網(wǎng)絡(luò)已經(jīng)開始了廣泛的部署,CNGI就是其中之一。然而IPv4網(wǎng)絡(luò)的成熟性和安全性,還沒有完全的應(yīng)用到IPv6網(wǎng)絡(luò)之中。比如現(xiàn)有的IPv6接入網(wǎng)絡(luò),仍然是開放的,用戶可以隨意接入,自由獲得地址、更改地址,不受到任何制約和限制。因此,其接入安全性較難得到保證。
在這一點上WLAN無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)很大的區(qū)別是,無線用戶需要進(jìn)行認(rèn)證,無線接入設(shè)備能夠了解每一個用戶的在線狀態(tài),了解其對應(yīng)的MAC、密鑰等信息,因此對于無線網(wǎng)絡(luò)的IPv6用戶接入安全,可以采用區(qū)別于有線的一些處理機制。作為承載包括WLAN在內(nèi)H3C所有網(wǎng)絡(luò)產(chǎn)品特性的統(tǒng)一軟件平臺,Comware平臺既考慮了在當(dāng)前的普通IPv4網(wǎng)絡(luò)中的安全性,也考慮了在IPv6網(wǎng)絡(luò)中的安全性。
對于用戶,其上網(wǎng)的身份標(biāo)識,在鏈路層為MAC地址,在網(wǎng)絡(luò)層為IP地址,在應(yīng)用層為上網(wǎng)賬號。對于WLAN網(wǎng)絡(luò),其鏈路層安全,即MAC的正確使用可以由11i保證,但用戶報文的標(biāo)識--IP地址,特別是跨三層之后IP識別的有效性,將是保證用戶安全的重要環(huán)節(jié)。現(xiàn)有無線安全技術(shù)并不保證IP層可靠,即使IPv6也不例處。而且,相當(dāng)多的無線網(wǎng)絡(luò)采用了共享密鑰的方式,各IPv6用戶之間實際上可以在鏈路層可以互訪,使得具有敵意的嗅探攻擊成為可能,安全性問題反而比有線網(wǎng)絡(luò)中還要嚴(yán)重。
源地址偽造系列安全問題
在IPv4網(wǎng)絡(luò)中,所有的網(wǎng)絡(luò)都面臨報文的偽造問題。傳統(tǒng)路由器在轉(zhuǎn)發(fā)IP報文時,基于報文的目的IP地址進(jìn)行查表轉(zhuǎn)發(fā),不對報文源地址的真實性進(jìn)行任何驗證。而基于IP協(xié)議的上層協(xié)議(例如TCP,UDP等)都使用IP地址作為通訊對方的標(biāo)識,只要攻擊者偽造了報文源IP地址,就能夠欺騙對方,從而攻擊服務(wù)器等現(xiàn)有網(wǎng)絡(luò)應(yīng)用設(shè)備。H3C已經(jīng)針對IPv4開發(fā)出了一系列的特性防止此類的攻擊。
與IPv4一樣,IPv6網(wǎng)絡(luò)也面臨報文的偽造問題,主要是報文源地址偽造的問題。而且,因為IPv6網(wǎng)絡(luò)是新組建網(wǎng)絡(luò),很容易忽視這個問題。但攻擊者已經(jīng)開始"關(guān)注"它,并可能利用這些問題發(fā)起新的攻擊。
攻擊者偽造的報文可能是數(shù)據(jù)報文也可能是控制報文,最主要的是地址分配、解析的控制報文。在IPv6網(wǎng)絡(luò)中,與地址分配、解析相關(guān)的控制報文主要是ND(Neighbor Discovery)協(xié)議報文、DHCPv6協(xié)議。
針對ND協(xié)議的攻擊主要有如下幾類,圖1為幾種攻擊的示意。
類型一:欺騙攻擊。通過發(fā)送偽造NA/NS/RS報文,修改終端或網(wǎng)關(guān)上特定用戶的MAC地址。
類型二:DoS攻擊。通過發(fā)送大量偽造的NS/RS報文,攻擊網(wǎng)關(guān),使得網(wǎng)關(guān)的ND表項數(shù)量溢出。
類型三:DAD攻擊。通過偽造的NA報文,阻斷終端正常的DAD過程。
類型四:RA攻擊。通過發(fā)送偽造的RA報文,欺騙網(wǎng)絡(luò)中的終端,進(jìn)行錯誤的網(wǎng)絡(luò)參數(shù)配置。
針對DHCPv6協(xié)議的攻擊主要有偽造DHCPv6服務(wù)器攻擊。如果網(wǎng)絡(luò)中存在私自架設(shè)的偽DHCPv6服務(wù)器,則可能導(dǎo)致DHCPv6客戶端獲取錯誤的IPv6地址和網(wǎng)絡(luò)配置參數(shù),無法正常通信。
在Comware平臺上所設(shè)計的SAVI(Source Address Validation,源地址有效性驗證)技術(shù),通過對地址分配協(xié)議的偵聽獲取用戶的IP地址,保證隨后的應(yīng)用中能夠使用正確地址上網(wǎng),且不可偽造他人IP地址,保證了源地址的可靠性。同時,通過SAVI和Portal技術(shù)的結(jié)合,進(jìn)一步保證了所有上網(wǎng)用戶報文的真實性和安全性。#p#
一、 源地址驗證技術(shù)保證IPv6網(wǎng)絡(luò)接入的安全性
Comware平臺針對IPv6網(wǎng)絡(luò)中的源地址偽造系列安全問題,提出了一系列解決方案。通過DHCPv6 Snooping特性、IPv6 Source Guard特性及ND Snooping特性建立起IPv6地址、MAC地址和端口的綁定關(guān)系表,并且以綁定關(guān)系為依據(jù)對DHCPv6協(xié)議報文、ND協(xié)議報文和IPv6數(shù)據(jù)報文的源地址進(jìn)行合法性的過濾檢查。
1. DHCPv6 Snooping
安全關(guān)鍵詞:防偽造服務(wù)器攻擊,防地址欺騙攻擊,防DAD攻擊
DHCPv6 Snooping特性可以保證客戶端從合法的服務(wù)器獲取IPv6地址,并記錄DHCPv6客戶端IPv6地址與MAC地址的對應(yīng)關(guān)系,從而防止ND攻擊。
DHCPv6通過如下方式防止偽造服務(wù)器攻擊:為了使DHCPv6客戶端能通過合法的DHCPv6服務(wù)器獲取IPv6地址,DHCPv6 Snooping安全機制允許將端口設(shè)置為信任端口(Trusted Port)和不信任端口(Untrusted Port):信任端口正常轉(zhuǎn)發(fā)接收到的DHCPv6報文;不信任端口接收到DHCPv6服務(wù)器發(fā)送的應(yīng)答報文后,丟棄該報文。連接DHCPv6服務(wù)器、DHCPv6中繼或其他DHCPv6 Snooping設(shè)備的端口需要設(shè)置為信任端口,其他端口設(shè)置為不信任端口,從而保證DHCPv6客戶端只能從合法的DHCPv6服務(wù)器獲取地址,私自架設(shè)的偽DHCPv6服務(wù)器無法為DHCPv6客戶端分配地址。
DHCPv6 Snooping通過監(jiān)聽DHCPv6報文,記錄DHCPv6 Snooping表項,其中包括客戶端的MAC地址、獲取到的IPv6地址、與DHCPv6客戶端連接的端口及該端口所屬的VLAN等信息。然后再通過在設(shè)備接入用戶側(cè)的端口上啟用IPv6 Source Guard功能,針對生成的表項,在對應(yīng)端口對收到的報文進(jìn)行過濾控制,防止非法報文通過端口,從而限制了對網(wǎng)絡(luò)資源的非法使用,包括地址欺騙攻擊等,提高了端口的安全性。
針對DAD攻擊,在有狀態(tài)分配地址時,使用DHCP snooping生成可信表項,攻擊者無法通過DHCP過程獲取與受害者相同的地址,異常的NA報文是無法通過接入層交換機過濾的,從而有效的防止了DAD攻擊。在無狀態(tài)自動分配地址時,用戶可以使用隨機的InterfaceID,這樣正常用戶的地址分配過程中,設(shè)備上可以先建立起可信表項,并使用這個表項對攻擊者的NA報文進(jìn)行過濾,從而有效的防止DAD攻擊。詳見圖2示意。
2. IPv6 Source Guard
安全關(guān)鍵詞:用戶的合法性檢查
IPv6 Source Guard功能是針對用戶的合法性檢查功能,是報文中源IPv6地址和源MAC地址,檢查用戶是否是報文收到端口所屬VLAN上的合法用戶,包括基于IP Source Guard靜態(tài)綁定表項的檢查、基于ND Snooping表項的檢查和基于DHCPv6 Snooping安全表項的檢查。在這三種表項都存在的情況下,檢查過程如下(圖3為該過程示例):#p#
首先進(jìn)行基于IP Source Guard靜態(tài)綁定表項檢查。如果找到了對應(yīng)源IPv6地址和源MAC地址的靜態(tài)綁定表項,認(rèn)為該ND報文合法,進(jìn)行轉(zhuǎn)發(fā)。如果找到了對應(yīng)源IPv6地址的靜態(tài)綁定表項但源MAC地址不符,認(rèn)為該ND報文非法,進(jìn)行丟棄。如果沒有找到對應(yīng)源IPv6地址的靜態(tài)綁定表項,繼續(xù)進(jìn)行DHCPv6 Snooping安全表項、ND Snooping安全表項檢查。
在基于IP Source Guard靜態(tài)綁定表項檢查之后進(jìn)行基于DHCPv6 Snooping安全表項、ND Snooping安全表項檢查,只要符合兩者中任何一個,就認(rèn)為該ND報文合法,進(jìn)行轉(zhuǎn)發(fā)。
如果所有檢查都沒有找到匹配的表項,則認(rèn)為是非法報文,直接丟棄。
3. ND Snooping
安全關(guān)鍵詞:防地址欺騙攻擊
ND Snooping特性通過偵聽IPv6的自動地址配置過程中的DAD(Duplicate Address Detection,重復(fù)地址檢測) NS消息來建立ND Snooping表項,表項內(nèi)容包括報文的源IPv6地址、源MAC地址、所屬VLAN、入端口等信息。當(dāng)一個VLAN使能ND Snooping后,該VLAN內(nèi)所有端口接收的ND報文均會被重定向到CPU。全局使能ND Snooping后,CPU會對這些ND報文進(jìn)行分析,獲取報文的源IPv6地址、源MAC地址、源VLAN和入端口信息,并根據(jù)這些信息來新建或更新ND Snooping表項。更新表項主要根據(jù)DAD NS報文,同時兼顧其它種類的ND報文,并附加更為主動的確認(rèn)機制:首先,設(shè)備將探測現(xiàn)有該表項的正確性、探測新收到報文(報文A)真實性。最后通過老化表項機制,保證過期的ND Snooping表項能夠及時刪除。
與DHCPv6 Snooping一樣,ND Snooping表項也可與IPv6 Source Guard功能配合使用,通過在設(shè)備接入用戶側(cè)的端口上啟用IPv6 Source Guard功能,針對ND Snooping生成的表項,在對應(yīng)端口對收到的報文進(jìn)行過濾控制,防止地址欺騙攻擊,從而限制了對網(wǎng)絡(luò)資源的非法使用,提高了端口的安全性。
4. ND Detection和其他預(yù)防機制
安全關(guān)鍵詞:防仿冒網(wǎng)關(guān)攻擊,防DoS攻擊
在DHCPv6 Snooping和ND Snooping基礎(chǔ)上,Comware提供了ND Detection功能,檢查用戶的ND協(xié)議報文的合法性。對于合法用戶的ND報文進(jìn)行正常轉(zhuǎn)發(fā),否則直接丟棄,從而防止仿冒用戶、仿冒網(wǎng)關(guān)的攻擊。ND Detection功能將接入設(shè)備上的端口分為兩種:ND信任端口、ND非信任端口。對于ND信任端口,不進(jìn)行用戶合法性檢查;對于ND非信任端口,如果收到RA和RR消息,則認(rèn)為是非法報文直接丟棄,如果收到其它類型的ND報文,則需要進(jìn)行用戶合法性檢查,以防止仿冒用戶的攻擊(如圖4所示)。
針對DoS攻擊,Comware也提供了相應(yīng)的預(yù)防機制。攻擊者通過構(gòu)造IP或MAC不斷變化的NS/RS報文進(jìn)行對三層設(shè)備的DoS攻擊,耗盡網(wǎng)關(guān)的ND表項資源。Comware在網(wǎng)關(guān)上可以基于路由口,也可以基于物理端口配置ND學(xué)習(xí)的數(shù)量,將ND攻擊限定在一個較小的范圍,未來還可以通過限制固定時間內(nèi)的學(xué)習(xí)數(shù)量等技術(shù),擴展對DoS攻擊的防御能力。#p#
二、 擴展的WLAN技術(shù)
上述機制有力的保證了寬帶網(wǎng)絡(luò)中IPv6用戶的源地址的可靠性。針對WLAN的新型組網(wǎng), Comware平臺提出了新穎的方案(H3C專利技術(shù)),解決了包括設(shè)備過濾性能、客戶端漫游等問題,并有效的完成了IPv6源地址驗證。
WLAN組網(wǎng)中包括兩個要素:
AP(Access Point,接入點),提供無線客戶端到局域網(wǎng)的橋接功能,在無線客戶端與無線局域網(wǎng)之間進(jìn)行無線到有線和有線到無線的幀轉(zhuǎn)換。
AC(Access Controller,無線控制器),對無線局域網(wǎng)中的所有AP進(jìn)行控制和管理。無線控制器還可以通過同認(rèn)證服務(wù)器交互信息,來為WLAN用戶提供認(rèn)證服務(wù)。
因為存在兩級鏈路層轉(zhuǎn)發(fā)控制設(shè)備,如果類似于有線網(wǎng)絡(luò),簡單的進(jìn)行DHCPv6 Snooping或ND snooping,再進(jìn)行IP Source Guard,需要考慮部署在哪一級。如果兩者都部署在AC上,則當(dāng)用戶數(shù)很多時非常耗費資源,且性能很容易下降。如果兩者都部署在AP上,則AP既要偵聽學(xué)習(xí)表項,又要維護(hù)IP Source Guard表項,并以此過濾數(shù)據(jù)報文,性能也會有一定的影響。另外,不同AP之間仍然存在IP仿冒問題。比如一個AP上有用戶使用了某個IP后,其它AP上某用戶仿冒同一IP,發(fā)送DHCPv6 Confirm報文(也是合法的DHCP交互過程,用于重新確認(rèn)分配的地址),則原始AP上并不能及時知曉。
因此在WLAN環(huán)境下,Comware采用了新的源地址驗證模型,通過對WLAN原有的MAC驗證機制、漫游機制進(jìn)行擴展,在AC/AP架構(gòu)下,在AP上采用類似于DHCPv6 Snooping,ND Snooping的機制,生成基于用戶的IPv6地址相關(guān)信息,并采用IPv6 Source Guard進(jìn)行IPv6源地址驗證;在向AC同步用戶信息表時,同步用戶的IPv6信息以及對應(yīng)的IPv6地址生命期等相關(guān)信息,在用戶漫游后向新AP同步對應(yīng)的信息生成新的用戶信息表;在AC上生成所有同鏈路用戶IPv6地址信息總表,在每個新用戶IPv6地址上報給AC時進(jìn)行唯一性對比,防止同一鏈路內(nèi)的IPv6地址偽造(如圖5所示)。
通過上述技術(shù),擴展了WLAN原有的用戶驗證技術(shù),使用基于每用戶的IPv6地址表進(jìn)行IPv6用戶查找,速度更快,更易于維護(hù);并解決了WLAN網(wǎng)絡(luò)中,存在漫游的情況下保證對用戶進(jìn)行IPv6源地址驗證的問題。
三、 結(jié)合Portal認(rèn)證,保證IPv6接入的可管理性
前面討論的對源地址驗證方法,解決了用戶偽造報文的問題。這樣,我們就可以通過用戶IPv6地址來唯一標(biāo)識用戶身份,將其與用戶一一對應(yīng)起來,也可以使用跨越三層路由器的身份識別,從而方便的對用戶的上網(wǎng)行為進(jìn)行管理,包括認(rèn)證、授權(quán)和計費。典型的基于IP進(jìn)行身份識別的認(rèn)證技術(shù)為Portal認(rèn)證,通常也稱為Web認(rèn)證。
在部署了Portal的網(wǎng)絡(luò)中,未認(rèn)證用戶上網(wǎng)時,設(shè)備強制用戶登錄到特定站點,用戶可以免費訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時,必須在門戶網(wǎng)站進(jìn)行認(rèn)證,認(rèn)證通過后,設(shè)備才允許此用戶的IPv6地址使用互聯(lián)網(wǎng)資源。
Comware平臺所實現(xiàn)的Portal認(rèn)證功能,支持本地Portal服務(wù)器功能,即Portal認(rèn)證系統(tǒng)中不采用外部獨立的Portal服務(wù)器,而由接入設(shè)備實現(xiàn)Portal服務(wù)器功能。這種情況下,Portal認(rèn)證系統(tǒng)僅包括三個基本要素:認(rèn)證客戶端、接入設(shè)備和認(rèn)證/計費服務(wù)器。由于設(shè)備支持Web用戶直接認(rèn)證,因此就不需要部署額外的Portal服務(wù)器,增強了Portal認(rèn)證的通用性。在無線應(yīng)用環(huán)境中,可以給屬于不同SSID(Service Set Identifier,服務(wù)集識別碼)的用戶綁定不同的認(rèn)證頁面,從而提供差異化服務(wù)。
四、 結(jié)束語
IPv6源地址驗證技術(shù)(SAVI),保證了網(wǎng)絡(luò)上每一個用戶所發(fā)報文的源地址的可靠性,Portal認(rèn)證保證了IPv6用戶的可管理性,將Portal與IPv6源地址驗證有效結(jié)合,將有力保證用戶上網(wǎng)的易用性和安全性,并對用戶IPv6流量進(jìn)行統(tǒng)一管理,保證網(wǎng)絡(luò)維護(hù)的簡潔和易操作性。