圖1ND攻擊

在Comware平臺上所設(shè)計的SAVI（Source Address Validation，源地址有效性驗證）技術(shù)，通過對地址分配協(xié)議的偵聽獲取用戶的IP地址，保證隨后的應(yīng)用中能夠使用正確地址上網(wǎng)，且不可偽造他人IP地址，保證了源地址的可靠性。同時，通過SAVI和Portal技術(shù)的結(jié)合，進一步保證了所有上網(wǎng)用戶報文的真實性和安全性。

一、源地址驗證技術(shù)保證IPv6網(wǎng)絡(luò)接入的安全性

Comware平臺針對IPv6網(wǎng)絡(luò)中的源地址偽造系列安全問題，提出了一系列解決方案。通過DHCPv6 Snooping特性、IPv6 Source Guard特性及ND Snooping特性建立起IPv6地址、MAC地址和端口的綁定關(guān)系表，并且以綁定關(guān)系為依據(jù)對DHCPv6協(xié)議報文、ND協(xié)議報文和IPv6數(shù)據(jù)報文的源地址進行合法性的過濾檢查。 

1.DHCPv6 Snooping

安全關(guān)鍵詞：防偽造服務(wù)器攻擊，防地址欺騙攻擊，防DAD攻擊

DHCPv6 Snooping特性可以保證客戶端從合法的服務(wù)器獲取IPv6地址，并記錄DHCPv6客戶端IPv6地址與MAC地址的對應(yīng)關(guān)系，從而防止ND攻擊。

DHCPv6通過如下方式防止偽造服務(wù)器攻擊：為了使DHCPv6客戶端能通過合法的DHCPv6服務(wù)器獲取IPv6地址，DHCPv6 Snooping安全機制允許將端口設(shè)置為信任端口（Trusted Port）和不信任端口（Untrusted Port）：信任端口正常轉(zhuǎn)發(fā)接收到的DHCPv6報文；不信任端口接收到DHCPv6服務(wù)器發(fā)送的應(yīng)答報文后，丟棄該報文。連接DHCPv6服務(wù)器、DHCPv6中繼或其他DHCPv6 Snooping設(shè)備的端口需要設(shè)置為信任端口，其他端口設(shè)置為不信任端口，從而保證DHCPv6客戶端只能從合法的DHCPv6服務(wù)器獲取地址，私自架設(shè)的偽DHCPv6服務(wù)器無法為DHCPv6客戶端分配地址。

DHCPv6 Snooping通過監(jiān)聽DHCPv6報文，記錄DHCPv6 Snooping表項，其中包括客戶端的MAC地址、獲取到的IPv6地址、與DHCPv6客戶端連接的端口及該端口所屬的VLAN等信息。然后再通過在設(shè)備接入用戶側(cè)的端口上啟用IPv6 Source Guard功能，針對生成的表項，在對應(yīng)端口對收到的報文進行過濾控制，防止非法報文通過端口，從而限制了對網(wǎng)絡(luò)資源的非法使用，包括地址欺騙攻擊等，提高了端口的安全性。

針對DAD攻擊，在有狀態(tài)分配地址時，使用DHCP snooping生成可信表項，攻擊者無法通過DHCP過程獲取與受害者相同的地址，異常的NA報文是無法通過接入層交換機過濾的，從而有效的防止了DAD攻擊。在無狀態(tài)自動分配地址時，用戶可以使用隨機的InterfaceID，這樣正常用戶的地址分配過程中，設(shè)備上可以先建立起可信表項，并使用這個表項對攻擊者的NA報文進行過濾，從而有效的防止DAD攻擊。詳見圖2示意。

圖2防止DAD攻擊 

2.IPv6 Source Guard

安全關(guān)鍵詞：用戶的合法性檢查

IPv6 Source Guard功能是針對用戶的合法性檢查功能，是報文中源IPv6地址和源MAC地址，檢查用戶是否是報文收到端口所屬VLAN上的合法用戶，包括基于IP Source Guard靜態(tài)綁定表項的檢查、基于ND Snooping表項的檢查和基于DHCPv6 Snooping安全表項的檢查。在這三種表項都存在的情況下，檢查過程如下（圖3為該過程示例）：

—首先進行基于IP Source Guard靜態(tài)綁定表項檢查。如果找到了對應(yīng)源IPv6地址和源MAC地址的靜態(tài)綁定表項，認為該ND報文合法，進行轉(zhuǎn)發(fā)。如果找到了對應(yīng)源IPv6地址的靜態(tài)綁定表項但源MAC地址不符，認為該ND報文非法，進行丟棄。如果沒有找到對應(yīng)源IPv6地址的靜態(tài)綁定表項，繼續(xù)進行DHCPv6 Snooping安全表項、ND Snooping安全表項檢查。

—在基于IP Source Guard靜態(tài)綁定表項檢查之后進行基于DHCPv6 Snooping安全表項、ND Snooping安全表項檢查，只要符合兩者中任何一個，就認為該ND報文合法，進行轉(zhuǎn)發(fā)。

—如果所有檢查都沒有找到匹配的表項，則認為是非法報文，直接丟棄。

圖3防止源地址欺騙

3.ND Snooping

安全關(guān)鍵詞：防地址欺騙攻擊

ND Snooping特性通過偵聽IPv6的自動地址配置過程中的DAD（Duplicate Address Detection，重復(fù)地址檢測） NS消息來建立ND Snooping表項，表項內(nèi)容包括報文的源IPv6地址、源MAC地址、所屬VLAN、入端口等信息。當一個VLAN使能ND Snooping后，該VLAN內(nèi)所有端口接收的ND報文均會被重定向到CPU。全局使能ND Snooping后，CPU會對這些ND報文進行分析，獲取報文的源IPv6地址、源MAC地址、源VLAN和入端口信息，并根據(jù)這些信息來新建或更新ND Snooping表項。更新表項主要根據(jù)DAD NS報文，同時兼顧其它種類的ND報文，并附加更為主動的確認機制：首先，設(shè)備將探測現(xiàn)有該表項的正確性、探測新收到報文（報文A）真實性。最后通過老化表項機制，保證過期的ND Snooping表項能夠及時刪除。

與DHCPv6 Snooping一樣，ND Snooping表項也可與IPv6 Source Guard功能配合使用，通過在設(shè)備接入用戶側(cè)的端口上啟用IPv6 Source Guard功能，針對ND Snooping生成的表項，在對應(yīng)端口對收到的報文進行過濾控制，防止地址欺騙攻擊，從而限制了對網(wǎng)絡(luò)資源的非法使用，提高了端口的安全性。

4.ND Detection和其他預(yù)防機制

安全關(guān)鍵詞：防仿冒網(wǎng)關(guān)攻擊，防DoS攻擊

在DHCPv6 Snooping和ND Snooping基礎(chǔ)上，Comware提供了ND Detection功能，檢查用戶的ND協(xié)議報文的合法性。對于合法用戶的ND報文進行正常轉(zhuǎn)發(fā)，否則直接丟棄，從而防止仿冒用戶、仿冒網(wǎng)關(guān)的攻擊。ND Detection功能將接入設(shè)備上的端口分為兩種：ND信任端口、ND非信任端口。對于ND信任端口，不進行用戶合法性檢查；對于ND非信任端口，如果收到RA和RR消息，則認為是非法報文直接丟棄，如果收到其它類型的ND報文，則需要進行用戶合法性檢查，以防止仿冒用戶的攻擊（如圖4所示）。

圖4RA Trust

針對DoS攻擊，Comware也提供了相應(yīng)的預(yù)防機制。攻擊者通過構(gòu)造IP或MAC不斷變化的NS/RS報文進行對三層設(shè)備的DoS攻擊，耗盡網(wǎng)關(guān)的ND表項資源。Comware在網(wǎng)關(guān)上可以基于路由口，也可以基于物理端口配置ND學(xué)習(xí)的數(shù)量，將ND攻擊限定在一個較小的范圍，未來還可以通過限制固定時間內(nèi)的學(xué)習(xí)數(shù)量等技術(shù)，擴展對DoS攻擊的防御能力。

二、擴展的WLAN技術(shù)

上述機制有力的保證了寬帶網(wǎng)絡(luò)中IPv6用戶的源地址的可靠性。針對WLAN的新型組網(wǎng)， Comware平臺提出了新穎的方案（H3C專利技術(shù)），解決了包括設(shè)備過濾性能、客戶端漫游等問題，并有效的完成了IPv6源地址驗證。

WLAN組網(wǎng)中包括兩個要素：

lAP（Access Point，接入點），提供無線客戶端到局域網(wǎng)的橋接功能，在無線客戶端與無線局域網(wǎng)之間進行無線到有線和有線到無線的幀轉(zhuǎn)換。

lAC（Access Controller，無線控制器），對無線局域網(wǎng)中的所有AP進行控制和管理。無線控制器還可以通過同認證服務(wù)器交互信息，來為WLAN用戶提供認證服務(wù)。

因為存在兩級鏈路層轉(zhuǎn)發(fā)控制設(shè)備，如果類似于有線網(wǎng)絡(luò)，簡單的進行DHCPv6 Snooping或ND snooping，再進行IP Source Guard，需要考慮部署在哪一級。如果兩者都部署在AC上，則當用戶數(shù)很多時非常耗費資源，且性能很容易下降。如果兩者都部署在AP上，則AP既要偵聽學(xué)習(xí)表項，又要維護IP Source Guard表項，并以此過濾數(shù)據(jù)報文，性能也會有一定的影響。另外，不同AP之間仍然存在IP仿冒問題。比如一個AP上有用戶使用了某個IP后，其它AP上某用戶仿冒同一IP，發(fā)送DHCPv6 Confirm報文（也是合法的DHCP交互過程，用于重新確認分配的地址），則原始AP上并不能及時知曉。

因此在WLAN環(huán)境下，Comware采用了新的源地址驗證模型，通過對WLAN原有的MAC驗證機制、漫游機制進行擴展，在AC/AP架構(gòu)下，在AP上采用類似于DHCPv6 Snooping，ND Snooping的機制，生成基于用戶的IPv6地址相關(guān)信息，并采用IPv6 Source Guard進行IPv6源地址驗證；在向AC同步用戶信息表時，同步用戶的IPv6信息以及對應(yīng)的IPv6地址生命期等相關(guān)信息，在用戶漫游后向新AP同步對應(yīng)的信息生成新的用戶信息表；在AC上生成所有同鏈路用戶IPv6地址信息總表，在每個新用戶IPv6地址上報給AC時進行唯一性對比，防止同一鏈路內(nèi)的IPv6地址偽造（如圖5所示）。

圖5無線SAVI

通過上述技術(shù)，擴展了WLAN原有的用戶驗證技術(shù)，使用基于每用戶的IPv6地址表進行IPv6用戶查找，速度更快，更易于維護；并解決了WLAN網(wǎng)絡(luò)中，存在漫游的情況下保證對用戶進行IPv6源地址驗證的問題。

三、 結(jié)合Portal認證，保證IPv6接入的可管理性

前面討論的對源地址驗證方法，解決了用戶偽造報文的問題。這樣，我們就可以通過用戶IPv6地址來唯一標識用戶身份，將其與用戶一一對應(yīng)起來，也可以使用跨越三層路由器的身份識別，從而方便的對用戶的上網(wǎng)行為進行管理，包括認證、授權(quán)和計費。典型的基于IP進行身份識別的認證技術(shù)為Portal認證，通常也稱為Web認證。

在部署了Portal的網(wǎng)絡(luò)中，未認證用戶上網(wǎng)時，設(shè)備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務(wù)。當用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進行認證，認證通過后，設(shè)備才允許此用戶的IPv6地址使用互聯(lián)網(wǎng)資源。

Comware平臺所實現(xiàn)的Portal認證功能，支持本地Portal服務(wù)器功能，即Portal認證系統(tǒng)中不采用外部獨立的Portal服務(wù)器，而由接入設(shè)備實現(xiàn)Portal服務(wù)器功能。這種情況下，Portal認證系統(tǒng)僅包括三個基本要素：認證客戶端、接入設(shè)備和認證/計費服務(wù)器。由于設(shè)備支持Web用戶直接認證，因此就不需要部署額外的Portal服務(wù)器，增強了Portal認證的通用性。在無線應(yīng)用環(huán)境中，可以給屬于不同SSID（Service Set Identifier，服務(wù)集識別碼）的用戶綁定不同的認證頁面，從而提供差異化服務(wù)。

四、結(jié)束語

IPv6源地址驗證技術(shù)（SAVI），保證了網(wǎng)絡(luò)上每一個用戶所發(fā)報文的源地址的可靠性，Portal認證保證了IPv6用戶的可管理性，將Portal與IPv6源地址驗證有效結(jié)合，將有力保證用戶上網(wǎng)的易用性和安全性，并對用戶IPv6流量進行統(tǒng)一管理，保證網(wǎng)絡(luò)維護的簡潔和易操作性。

fanz

<center id="dbvf7"></center>