说一说IPv6系列安全篇SA技术解析

供应信息

通过之前两期文章，相信大家对IPv6的基础知识有了一定的了解，当IPv6在办公、IDC际部署后，大家开始关注IPv6下的安全问题，例如接入终端的合法性。
清华大学2022年4月提出SA(SourceAddressValidationImprovements)源址合法性检验RFC(RequestForComments）草案，该草案描述通过源地址可以判断从指定端口接收到报文的合法性，本文将对SA技术进行详细的讲解。
注：当前SA技术涉及的3篇RFC分别是RFC8074、RFC73、RFC6620。个文件当前均为ProposedStandard状态（建议标准：基本成熟，但还需要进一步的试验证其可行性），尚未成为全球标准，在以下内容中将涉及SA技术的RFC文件统一描述为RFC标准。

SA技术介绍
SA技术的工作机制
通过监听控制类报文（如ND、DHCPv6），即CPS（ControlPacketSnooping），在接入设备上（AP或交换机）为终端建立基于IPv6源地址、源MAC地址及接入设备端口的绑定关系，进而对通过指定端口的IP报文进行源地址校验。只有报文源地址与绑定表项匹配时才可以转发，保证络上数据报文源地址真性。
CPS对于客户端是透明的，在客户端没有任何变化，也没有新增任何协议，所涉及的内容都是根据已有的协议操作流程。在接入设备上建立绑定关系，这种绑定关系一般都是临时的，有生存期，也有一些事件可以触发接入设备解除具体的绑定关系。
SARFC标准中，关于IPv6的合法接入主要包括了NDSnooping与DHCPv6Snooping两部分内容。
DHCPv6Snooping和NDSnooping作为组件整合到了SA中，通过SA-MIX整合，从而同时具备DHCPv6Snooping和NDSnooping两个功能，按FCFS原则（FirstComeFirstServed，先来先运行算法）现其中任意一个功能，保证IPv6主机的合法接入。
接下来将对DHCPv6Snooping和NDSnooping，结合不同安全问题分别介绍现原理。

DHCPv6Snooping功能解析
在使用DHCPv6方式获取IPv6地址的环境下，可以单独使用DHCPv6Snooping在交换机上绑定用户，通过对用户的源地址进行有效的控制，现禁止用户私自配置地址而访问络的目的。
DHCPv6Snooping功能的现流程
1、如图1所示，在接入交换机上开启DHCPv6Snooping功能，将接入交换机上联端口默认为信任端口。接入交换机上联DHCPServer，下联客户主机A以及攻击主机B；
2、利用接入交换机的DHCPv6Snooping功能监听客户主机A与DHCPServer之间交互的DHCPv6协议报文；
3、接入主机获取动态地址之前只能访问DHCPServer和使用本地链路地址fe80::10访问本地资源，获取动态全球单播地址之后可以访问所有资源；
4、当用户在动态获取地址的过程中获得用户的IPv6Address、MAC、Port绑定信息时，下发硬件表项，严格控制接入主机的报文。只有完全匹配IPv6Address、MAC、Port的IPv6报文和本地链路报文才允许转发。

▲图1HCPv6Snooping功能的现流程

利用DHCPv6Snooping在DHCPv6-Only场景下解决私设DHCPServer及DHCPClient攻击源问题
如下图2所示
1、私设DHCPServer及DHCPClient攻击源造成的问题：
•私设DHCPServer：导致主机获取到虚假的IPv6地址，影响业务转发；
•DHCPClient攻击源：非法主机不断的向DHCP服务器发起请求，消耗DHCPv6资源，甚至造成IP地址可以分配的情况，从而影响到其他合法主机获取IPv6地址。
2、SA技术解决私设DHCPServer问题的主要步骤：
•开启SA功能，配置SA为DHCPv6-Only模式；
•SA的DHCPv6Snooping组件在连接DHCPServer接口上配置Trust，其它端口默认为Untrust；
•针对Untrust接口丢弃DHCPv6Advertise报文及Reply报文。
3、SA技术解决DHCPClient攻击源问题的主要步骤：
•开启SA功能，配置SA为DHCPv6-Only模式；
•类似于SLAAC（StatelessAddressAutoconfiguration，状态地址自动配置）场景下用户RS泛洪攻击，用户主机异常发出大量RS报文请求IPV6地址，消耗段地址空间；
•利用SA技术中DHCPv6Snooping功能，限制接入交换机下联端口的MAC数量及单MAC分配IPv6地址数量，从而防止非法主机不断的向DHCP服务器发起请求，消耗DHCPv6资源。

▲图2:私设DHCPServer及DHCPClient攻击源拓扑图


NDSnooping功能解析
NDSnooping利用CPS机制，通过源IPv6地址和接口设备的端口绑定的方式，对端口接入报文进行合法性检测，放行匹配绑定的报文，丢弃不匹配的报文，以达到对直连链路节点准入控制的目的。
NDSnooping功能的现流程
1、如图3所示，在接入交换机S2上开启NDSnooping功能，进行NDSnooping学习，但是不下发硬件表项（即准入控制表项）进行过滤控制；
2、在接入交换机S2下联端口启用NDSnooping功能，该端口拒绝转发所有IPv6报文（除了源地址为FE80::的IPv6报文和NSNA报文）；
3、关S1配置状态地址自动配置协议，公告前缀2022::64；
4、主机PC接收到来自S1的RA公告后，通过状态地址自动配置协议自动获取前缀为2022::64的IPv6地址，地址生成后会先发送DADNS报文，探测在当前链路上该IPv6地址是否可用；
5、主机若收到DADNA回应表示该地址不可用，反之表示可用；
6、接入交换机S2当收到来自主机的DADNS报文后，会为该主机建立NDSnooping绑定，在规定时间内若未探测到回应的DADNA报文，则根据该NDSnooping绑定下发一个IPv6Address、MAC、Port、VLANID四元组的准入控制表项（即硬件表项）允许转发该源地址的IPv6报文。从而达到主机IPv6流量的控制接入目的。

▲图3:NDSnooping功能的现流程

结合NDSnooping功能的基本现流程，下面介绍一下在SLAAC-Only场景中，通过NDSnooping功能解决际问题的现步骤。

利用NDSnooping在SLAAC-Only场景下解决非法RA报文问题
由于ND协议扩展了ARP协议的功能，而没有对其进行安全性的扩展，所以在IPv6的络中，ND协议仍然面临原有ARP协议的风险；同时，在ND协议中新增的RA、RS报文，虽然简化了络管理的工作，但引入了新的风险。
1、非法RA报文（RouterAdvertisement，路由通告报文）造成的问题：
•主机上线发送RS报文，攻击源会伪装成关发送非法RA报文使得主机受到欺，获取到错误的络配置信息。假如，RA携带的是伪造络前缀列表，则会修改受害主机的路由表，造成受害主机法上。
2、SA技术解决非法RA报文问题的步骤：
•在图4所示的SLAAC-Only场景下，受害主机和攻击源通过接入交换机B接入到业务关A；
•开启SA功能，配置SA为SLAAC-Only模式；
•利用SA技术中ND-Snooping功能将接入交换机上联端口默认为信任端口，设置为Trust。接入交换机只允许已绑定的状态地址自动配置方式分配的地址发送的报文通过；
•默认其它端口为非信任口Untrust，接入交换机不允许以DHCPv6方式分配的地址发送的报文通过。当收到该报文时直接丢弃。

▲图4:解决非法RA报文流程图

总结
本文主要介绍了SA技术背景、原理以及两个关键功能分析，即DHCPv6Snooping和NDSnooping。接入设备通过监听终端获取IPv6地址的过程并生成安全绑定表项,从而在接入设备上过滤非法终端的IPv6报文，有效地解决了非法IPv6用户接入的问题。
关于IPv6的安全话题，敬请期待后续的IPv6SA技术在园区中的应用篇文章。

本期作者：史永亮
锐捷络互联系统部行业咨询



往期精彩回顾

【首期】浅谈物联技术之通信协议的纷争
【第二期】如何通过络遥测（NetworkTelemetry）技术现精细化络运维
【第期】畅谈数据中心络运维自动化
【第四期】基于RogueAP反制的线安全技术探讨
【第五期】流量可视化之ERSPAN的前世今生
【第六期】如何现数据中心络架构去堆叠
【第七期】运维可视化之INT功能详解
【第八期】浅析RDMA络下MMU水线设置
【第九期】第七代线技术80211ax详解
【第十期】数据中心自动化运维技术探索之交换机零配置上线
【第十一期】浅谈数据中心100G光模块
【第十二期】数据中心络等价多路径（ECMP）技术应用研究
【第十期】如何为RDMA构建损络
【第十四期】基于EVPN的分布式VXLAN现方案
【第十五期】数据中心自动化运维技术探索之NETCONF
【第十六期】一文读懂络界新贵SegmentRouting技术化繁为简的奥秘
【第十七期】浅谈UWB（超宽带）室内定位技术
【第十八期】PoE以太供电技术详解
【第十九期】机框式核心交换机硬件架构演进
【第二十期】IPv6基础篇（上）地址与报文格式
【第二十一期】IPv6系列基础篇（下）邻居发现协议NDP

相关推荐：

IPv6系列基础篇（上）地址与报文格式
IPv6系列基础篇（下）邻居发现协议NDP
IPv6系列安全篇园区IPv6的接入安全策略






在同行眼中，分布式数据库有着让人觊觎的好品质，也有着很多让人嫉妒的忠实粉丝。产品采用自研的一体化架构，兼顾分布式架构的扩展性与集中式架构的性能优势，用一套引擎同时支持 TP 和 AP 的混合负载，具有数据强一致、高可用、高性能、在线扩展、高度兼容 Oracle/MySQL、对应用透明、高性价比等特点。https://www.oceanbase.com/topic/techwiki-distributed-database