第7章 IPv6网络安全

第7章IPv6网络安全第7章IPv6网络安全7.1基础协议安全7.2交换网络安全7.3路由协议安全7.4网络边界安全7.5业务通信安全2新一代互联网技术与实践-IPv6网络安全IPv6在安全性方面的优化新一代互联网技术与实践-IPv6网络安全3攻击溯源更容易：IPv6地址空间巨大，足以满足任何未来可预计的地址需求，每个终端都可以获得独一无二的IPv6地址，无需使用网络地址转换技术，这使得攻击溯源变得更加容易。反黑客嗅探与扫描能力增强：在IPv6中，分配给终端的网络地址段是64bit的前缀长度，庞大的地址空间使用传统的嗅探与扫描方式已经难以达成攻击目标。避免广播攻击：在IPv6中，广播地址已经被取消，从而避免了广播地址引起的广播风暴和DDoS攻击。减少分片攻击：IPv6仅允许报文发送方执行分片，禁止中间转发设备对报文进行分片，在这个层面上，IPv6减少了分片攻击的可能性。7.1基础协议安全NDSnoopingIPv6RAGuardDHCPv6SnoopingIPSG新一代互联网技术与实践-IPv6网络安全41NDSnooping新一代互联网技术与实践-IPv6网络安全5NDP是IPv6协议体系中一个重要的基础协议。NDP基于ICMPv6报文实现了地址解析，邻居不可达性检测，重复地址检测，路由器发现，重定向等功能。NDP缺乏相应的安全机制，容易受到攻击者利用从而对网络造成威胁。针对NDP的常见攻击新一代互联网技术与实践-IPv6网络安全6IPv6地址欺骗攻击RA攻击攻击者仿冒其他节点发送NS/NA或RS报文给被攻击者，从而对后者进行欺骗。攻击者仿冒网关向其他用户发送RA，篡改被攻击用户的ND表项或IPv6配置参数，造成这些用户无法正常上网。NDSnooping简介NDSnooping是针对IPv6ND邻居发现的一种安全特性，常被部署于接入交换机，用于二层交换网络环境。基本思路划分网络安全边界：NDSnooping将设备连接IPv6节点的接口区分为信任接口与非信任接口，避免来自非信任接口的安全威胁。嗅探网络信息，建立地址绑定关系NDSnooping通过侦听信任接口的RA建立前缀管理表NDSnooping通过侦听用户重复地址检测DAD过程的邻居请求报文NS来建立NDSnooping动态绑定表，从而记录下报文的源IPv6地址、源MAC地址、所属VLAN、入端口等信息，以防止后续仿冒用户、仿冒网关的ND报文攻击。7新一代互联网技术与实践-IPv6网络安全NDSnooping基本概念：信任接口/非信任接口NDSnooping将设备连接IPv6节点的接口分为信任接口和非信任接口，不同接口类型对NDP报文的处理行为不同。缺省情况下，设备的所有接口均为非信任接口，网络管理员通过手工配置的方式按需将特定接口指定为信任接口。信任接口非信任接口8新一代互联网技术与实践-IPv6网络安全信任接口接收到的NDP报文，设备正常转发，同时根据接收到的RA报文建立前缀管理表表项设备丢弃从非信任接口收到的RA报文；收到的NA/NS/RS报文，如果激活了NDP报文合法性检查功能，设备会根据NDSnooping动态绑定表对这些报文进行检查；其他类型的NDP报文，设备则正常转发。NDSnooping基本概念2：前缀管理表RA报文中可以携带IPv6网络前缀等信息，路由器通过RA报文发布IPv6前缀。终端通过解析RA报文获得该前缀，然后自动产生IPv6地址；配置NDSnooping功能的设备侦听从NDSnooping信任接口接收到的RA报文并在NDSnooping前缀管理表中生成相应的表项。9新一代互联网技术与实践-IPv6网络安全NDSnooping基本概念3：动态绑定表设备通过动态绑定表对非信任接口接收到的NA、NS和RS报文进行绑定表匹配检查。NDSnooping动态绑定表的表项内容包括IP报文的源IPv6地址、源MAC地址、VLAN和接口（报文的入接口）等信息。设备通过检查DADNS报文来生成NDSnooping动态绑定表表项，通过检查NS和NA报文来更新NDSnooping动态绑定表。10新一代互联网技术与实践-IPv6网络安全①

Switch在信任接口上收到R1发送的RA报文，在前缀管理表中创建一个对应的表项。②

Switch将RA报文进行转发。③

PC2收到RA报文后解析出报文中的IPv6前缀，然后生成IPv6单播地址，此时该地址暂未正式启用。④

PC2针对即将启用的IPv6单播地址进行DAD检测，它发送NS报文到网络中，报文中的“TargetAddress”字段包含待检测的IPv6单播地址。⑤

Switch收到PC2发送的DADNS报文后，新建或者更新NDSnooping动态绑定表表项并转发该报文。NDSnooping工作原理：防地址欺骗攻击11新一代互联网技术与实践-IPv6网络安全NDSnooping工作原理：防RA攻击12新一代互联网技术与实践-IPv6网络安全2IPv6RAGuard新一代互联网技术与实践-IPv6网络安全13RA报文是NDP中用于IPv6路由器通告相关网络信息（如IPv6地址前缀、路由器优先级等）的一种重要的报文类型。攻击者可以利用RA报文实施攻击，例如仿冒网关向其他设备发送RA报文，改写这些设备的邻居表项，或导致它们记录错误的IPv6配置参数，造成这些设备无法正常通信。IPv6RAGuard是一种可部署在二层设备上的针对RA攻击的安全功能。IPv6RAGuard应用场景1：通过接口角色防RA攻击14新一代互联网技术与实践-IPv6网络安全网络管理员为设备接口配置接口角色，设备根据接口角色选择转发还是丢弃该RA报文：若接口角色为路由器（Router），则直接转发RA报文；若接口角色为用户（Host），则直接丢弃RA报文。IPv6RAGuard应用场景2：通过策略防RA攻击15新一代互联网技术与实践-IPv6网络安全网络管理员为接收RA报文的接口配置IPv6RAGuard策略，按照策略内配置的匹配规则对RA报文进行过滤：若IPv6RAGuard策略中未配置任何匹配规则，则应用该策略的接口直接转发RA报文；若IPv6RAGuard策略中配置了匹配规则，则RA报文需成功匹配策略下所有规则后才会被转发；否则，该报文被丢弃。在部署IPv6RAGuard时，可能会出现如下情况：（1）网络管理员无法确定交换机接口所连接的设备类型，因此无法明确接口的IPv6RAGuard角色；（2）网络管理员希望对接口上收到的某些满足要求的RA报文进行转发，其他RA报文丢弃。3DHCPv6Snooping实际网络中，DHCP被广泛应用DHCP客户端（DHCPClient）通过该协议自动从服务端（DHCPServer）获取IPv6地址/前缀及其他网络配置参数。DHCP适用于设备规模较大，或对配置维护效率有高要求的场景。16新一代互联网技术与实践-IPv6网络安全DHCPv6存在的安全问题DHCPServer和DHCPClient之间没有认证机制，容易产生网络安全威胁。若网络中的非法DHCP服务器为用户分配错误的IP地址和其他网络参数，将会对网络造成非常大的危害。17新一代互联网技术与实践-IPv6网络安全DHCPSnooping简介DHCPSnooping是一种针对DHCP的安全特性。DHCPSnooping可部署在交换机上用于确保DHCPClient从合法的DHCPServer获取IP地址。DHCPSnooping能够侦听DHCP报文交互过程，并建立DHCPSnooping绑定表项来记录DHCP客户端IP地址与MAC地址等参数的对应关系，然后基于这些表项防止DHCP攻击行为。DHCPSnooping分为DHCPv4Snooping和DHCPv6Snooping，两者实现原理相似。18新一代互联网技术与实践-IPv6网络安全DHCPSnooping信任功能DHCPSnooping的信任功能，能够保证客户端从合法的服务器获取IP地址。该功能将接口分为信任接口和非信任接口：信任接口正常接收DHCPv6Server响应的Advertise、Reply等报文。在实际应用中，通常将连接合法DHCPv6Server的接口指定为信任接口。非信任接口丢弃收到的Advertise、Reply报文。在实际应用中，通常将连接合法DHCPv6Server之外的接口指定为非信任接口。DHCPSnooping信任端口DHCPSnooping非信任端口19新一代互联网技术与实践-IPv6网络安全DHCPSnooping绑定表交换机激活DHCPv6Snooping功能后侦听DHCPv6报文交互，并解析这些报文，然后生成绑定表项由于DHCPv6Snooping绑定表记录了DHCPv6Client的相关网络参数，因此交换机收到报文后，将报文与绑定表中的表项进行匹配、检查，能够有效防范非法用户的攻击行为。20新一代互联网技术与实践-IPv6网络安全DHCPSnooping的应用场景21新一代互联网技术与实践-IPv6网络安全防止DHCPv6Server仿冒攻击防止DHCPv6报文泛洪攻击防止仿冒DHCPv6报文攻击防止DHCPv6Server拒绝服务攻击4IPSG随着网络规模越来越大，IP地址欺骗攻击也逐渐增多。网络中一些攻击者可能还通过伪造合法终端的IPv6地址进行终端仿冒，从而对网络造成威胁。IPSG（IPSoureceGuard）是一种针对IP报文的安全技术。在实际网络中，IPSG常用于防止主机私自更改IPv6地址，或限制非法主机接入22新一代互联网技术与实践-IPv6网络安全IPSG与绑定表IPSG利用绑定表（源IP地址、源MAC地址、所属VLAN、入接口的绑定关系）去匹配检查二层接口上收到的IP报文，只有匹配绑定表的报文才允许通过，其他报文将被丢弃。IPSG可以针对IPv4及IPv6报文进行匹配及检查。绑定表类型生成过程静态绑定表网络管理员通过配置命令手工配置的绑定表DHCPSnooping动态绑定表通过DHCPv6Snooping管理的动态绑定表NDSnooping动态绑定表通过NDSnooping管理的动态绑定表23新一代互联网技术与实践-IPv6网络安全IPSG的基本原理24新一代互联网技术与实践-IPv6网络安全PC2仿冒PC1的地址向Server发送报文。Switch激活IPSG功能，收到PC2发送的报文后在绑定表中进行检查。报文与绑定表项不匹配，被丢弃。7.2交换网络安全新一代互联网技术与实践-IPv6网络安全25端口安全端口隔离1端口安全PortSecurity应用场景1：某些企业内网需要对接入到交换机特定接口的终端的数量做限制应用场景2：交换机特定接口上仅允许特定的终端接入，并通过禁止特定终端接入到交换机的其他接口从而保证员工不能私自更换办公位置。26新一代互联网技术与实践-IPv6网络安全在交换机Switch1上部署端口安全，限制接口的MAC地址学习数量，并且配置出现越限时的保护措施。在交换机接口上维护安全MAC地址表项，阻止非法用户通过本接口和交换机通信，从而增强设备的安全性安全MAC地址表类型定义安全动态MAC地址激活PortSecurity并且未激活StickyMAC功能时转换的MAC地址表项。这些MAC地址表项在交换机重启后会被丢失。安全静态MAC地址激活PortSecurity时，网络管理员手工配置的静态MAC地址表项，这些表项不会被老化，手动保存配置后重启设备不会丢失。StickyMAC地址激活PortSecurity后又同时激活StickyMAC功能后转换到的MAC地址表项，这些表项不会被老化，手动保存配置后重启设备不会丢失。27新一代互联网技术与实践-IPv6网络安全当交换机接口学习到的MAC地址达到PortSecurity设置的上限后，交换机将不在该接口上继续学习MAC地址，来其他非信任的终端便无法通过该接口进行通信。同时，交换机会根据配置的动作对接口做保护处理。缺省情况下，保护动作是丢弃该报文并上报告警。2端口隔离28新一代互联网技术与实践-IPv6网络安全PortIsolation应用场景1：缺省时，相同VLAN内的节点之间可直接进行二层通信，为了实现二层隔离，可将不同的用户加入不同的VLAN。但若企业规模很大，则需耗费大量的VLAN，且增加了配置维护工作量。应用场景2：IPv6设备的接口一旦UP之后可能会自动配置IPv6链路本地地址，然后便可以直接与相同VLAN内的其他设备通信，这增加了安全隐患。端口隔离技术采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。将需要隔离的端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。不同隔离组的接口之间或者不属于任何隔离组的接口与其他接口之间都能进行正常的数据转发。29新一代互联网技术与实践-IPv6网络安全端口隔离类型与隔离模式30新一代互联网技术与实践-IPv6网络安全双向隔离单向隔离隔离模式L2ALL隔离组内接口之间二层隔离，但是可通过三层路由实现互通。缺省情况下，隔离模式为二层隔离三层互通。隔离组内接口之间二层、三层都不能互通。隔离类型同一个隔离组内的接口相互之间无法通信。若在接口A上配置它与接口B隔离，则从接口A发送的报文不能到达接口B，但从接口B发送的报文可以到达接口A。7.3路由协议安全新一代互联网技术与实践-IPv6网络安全311.OSPFv3单播欺骗报文远程攻击者伪装成邻居路由器发布高优先级的路由信息2.非法接入伪造合法路由消息试图加入网络建立邻居关系3.路由泄露(routeleak)/路由劫持(routehijack)发布非法路由信息。4.路由信息泄露在交换机上捕获路由消息，窥探网络路由信息。5.CPU效率DoS攻击发送大量控制平面路由消息（如OSPFv3消息），占用CPU资源，造成DoS攻击IPv6IGP协议安全：OSPFv3新一代互联网技术与实践-IPv6网络安全321.GTSM（GeneralizedTTLSecurityMechanism，通用TTL安全机制）如果攻击者模拟真实的OSPFv3单播报文对设备进行攻击，GTSM可通过检测报文TTL值是否在一个预先定义好的范围内来进行保护（RFC5082）。2.报文认证开启OSPFv3报文认证功能，可对设备间交互的OSPFv3协议报文进行检查，仅当设备配置正确的口令才能够正常建立邻接关系。3.路由策略通过路由策略，对发送、接收的路由的信息过滤。4.IPSec对协议报文进行加密，并实现真实性、合法性、完整性校验。5.CPU防攻击配置上送CPU报文的限速规则，抵御DoS攻击。7.4网络边界安全新一代互联网技术与实践-IPv6网络安全33

网络接入控制

防火墙1网络准入控制网络接入控制NAC（NetworkAdmissionControl）通过对接入网络的设备和用户的认证保证网络的安全，是一种“端到端”的安全技术。34新一代互联网技术与实践-IPv6网络安全1.

终端接入网络并向接入设备发起网络接入请求（通常会携带账号，密码等认证信息）。接入设备通常为网络设备，例如交换机、路由器或防火墙等。2.

接入设备将收到的认证信息通过AAA协议（如RADIUS）向认证服务器发起认证请求。3.

认证服务器对用户提供的账号、密码等进行校验。认证服务器可以使用本地的数据源（一个保存了用户合法账号及密码信息的数据库），也可以使用外部数据源。4.

认证服务器进行用户授权，将授权结果通知接入设备。5.

接入设备根据收到的授权结果开启/禁止终端的网络访问，执行授权结果。802.1X认证新一代互联网技术与实践-IPv6网络安全35简介工作原理用户终端设备作为802.1X客户端连接到接入设备（例如交换机）接入设备通过AAA协议与认证服务器通信。用户终端需支持802.1X认证并运行802.1X客户端软件，通过该软件发起802.1X认证，认证过程中，用户在客户端界面上输入用户名和密码。应用场景适用于对安全要求较高的认证场景，例如企业办公场景。802.1X协议是一种基于接口的网络接入控制协议，是一种广泛应用于企业网络的认证方式。MAC地址认证新一代互联网技术与实践-IPv6网络安全36适用于打印机、传真机等哑终端认证的场景。应用场景终端连接到接入设备后，通过NDP、DHCPv6等报文触发认证。接入设备将终端的MAC地址作为身份凭据发送到认证服务器进行认证。用户终端设备不需要安装任何客户端软件，并且认证过程中，用户也不需要在终端设备上输入用户名或密码。工作原理MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方式。该认证方式以用户的MAC地址作为身份凭据到认证服务器进行认证。简介Portal认证新一代互联网技术与实践-IPv6网络安全37简介工作原理客户端连接到接入设备后，客户端通过Web浏览器访问网络资源时，接入设备会将该访问重定向到Portal服务器；Portal服务器向客户端推送用于认证的Portal页面，用户在页面中输入用户名及密码进行认证，认证成功后，客户端即可正常访问网络资源。Portal认证是一种基于网页的认证方式（也被称为Web认证），客户端一般是运行HTTP/HTTPS协议的浏览器。应用场景直接在Web页面上认证，简单方便且便于运营。主要用于无特殊客户端软件要求的接入场景或访客接入场景，，例如酒店客房等。2防火墙新一代互联网技术与实践-IPv6网络安全38应用场景：企业网络通常员工人数众多、业务复杂，极易成为各类网络威胁的攻击目标。需要边界设备具备威胁检测与防御能力，能够在持续大流量环境下稳定运行。防火墙可以作为企业的出口网关，连接企业内网与外部网络，对企业的网络边界进行安全防护。部署防火墙后，可以基于防火墙划分网络安全区域，实现内部网络或关键业务系统与外部网络的安全隔离，隐藏内部网络结构。防火墙典型应用场景新一代互联网技术与实践-IPv6网络安全39防火墙基本概念：安全区域新一代互联网技术与实践-IPv6网络安全40安全区域（SecurityZone）是防火墙的一个基本安全概念。防火墙大部分的安全策略都基于安全区域实施。安全区域是绑定了一个或多个物理接口或逻辑接口的逻辑实体，绑定了同一个安全区域的接口下的网络具有相同的安全属性。GE1/0/1GE1/0/2GE1/0/3DMZTrustUntrustServersPCInternet防火墙企业内网外部网络防火墙上定义了三个安全区域：Trust（受信区域）、DMZ（DemilitarizedZone，非军事化区域）和Untrust（非受信区域）。三个安全区域的安全级别由高到低。防火墙基本概念：安全策略新一代互联网技术与实践-IPv6网络安全41安全策略（SecurityPolicy）是防火墙的核心特性，作用是对通过防火墙的数据流进行检验，只有符合安全策略的流量才能通过防火墙进行转发。7.5业务通信安全新一代互联网技术与实践-IPv6网络安全42访问控制列表ACLIPSec1ACL新一代互联网技术与实践-IPv6网络安全43ACL（AccessControlList，访问控制列表），通过ACL实现流量匹配，并应用关联ACL的流量过滤器（TrafficFilter）来实现流量过滤。ACL功能新一代互联网技术与实践-IPv6网络安全44ACL是一种通过名称或编号定义的列表，可以