本文來(lái)自微信公眾號(hào)“郵電設(shè)計(jì)技術(shù)”,作者/佟恬、趙菁、龐冉、曹暢。
IPv6/IPv6+適用于更多的場(chǎng)景、更多樣的用戶(hù)需求以及更復(fù)雜的安全環(huán)境,在全面推進(jìn)IPv6商用部署和IPv6+創(chuàng)新研究的過(guò)程中,網(wǎng)絡(luò)安全問(wèn)題也被更加重視。然而IPv6+新技術(shù)尚在研究和試點(diǎn)中,其安全威脅還未充分暴露,需要結(jié)合國(guó)內(nèi)外最新標(biāo)準(zhǔn)研究進(jìn)展和試點(diǎn)應(yīng)用經(jīng)驗(yàn)來(lái)分析IPv6+新協(xié)議、新技術(shù)、新地址編碼可能會(huì)帶來(lái)的安全風(fēng)險(xiǎn)和問(wèn)題,強(qiáng)化IPv6+技術(shù)安全管理和防護(hù)手段,以做到安全保護(hù)措施與IPv6網(wǎng)絡(luò)改造同步規(guī)劃、同步建設(shè)、同步使用,為構(gòu)建IPv6/IPv6+下一代網(wǎng)絡(luò)安全防護(hù)體系開(kāi)展前瞻布局研究。
0 1
概述
互聯(lián)網(wǎng)是國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的重要基礎(chǔ)設(shè)施,IPv6是互聯(lián)網(wǎng)升級(jí)演進(jìn)的必然趨勢(shì),是網(wǎng)絡(luò)技術(shù)創(chuàng)新的重要方向。IPv6/IPv6+將適用于更多的應(yīng)用場(chǎng)景、更多樣的用戶(hù)需求以及更復(fù)雜的安全環(huán)境。隨著IPv6規(guī)模部署和IPv6演進(jìn)技術(shù)(IPv6+)研究工作的不斷開(kāi)展,產(chǎn)業(yè)界也更加注重IPv6網(wǎng)絡(luò)的安全問(wèn)題,然而IPv6+新技術(shù)尚在研究和試點(diǎn)中,其安全威脅還未充分暴露,需要由內(nèi)而外的對(duì)IPv6+網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)、安全策略與措施展開(kāi)研究,提升IPv6網(wǎng)絡(luò)安全的保障能力。本文結(jié)合國(guó)內(nèi)外最新研究進(jìn)展,充分分析IPv6+協(xié)議的安全風(fēng)險(xiǎn),提出IPv6+內(nèi)生安全解決思路。
0 2
IPv6網(wǎng)絡(luò)的安全優(yōu)勢(shì)
IPv6以其充足的地址空間、層次化的地址結(jié)構(gòu)、簡(jiǎn)化的報(bào)文頭格式、靈活的擴(kuò)展頭、增強(qiáng)的鄰居發(fā)現(xiàn)機(jī)制而快速發(fā)展。相比于IPv4網(wǎng)絡(luò),IPv6在資產(chǎn)管理、保護(hù)能力等方面均有明顯優(yōu)勢(shì),具體可以描述為以下4點(diǎn)。
a)資產(chǎn)管理能力增強(qiáng)。IPv6具備充足的地址編碼空間,可為每個(gè)終端配置全球唯一的“身份證”,可以應(yīng)用到網(wǎng)絡(luò)資產(chǎn)探測(cè)、流量綜合分析及流量行為異常檢測(cè)、資產(chǎn)唯一標(biāo)識(shí)等場(chǎng)景。
b)保護(hù)能力增強(qiáng)。許多網(wǎng)絡(luò)攻擊者通過(guò)地址掃描識(shí)別用戶(hù)的地理位置,發(fā)現(xiàn)漏洞并入侵,IPv6海量地址空間可以避免野蠻掃描風(fēng)險(xiǎn),有效降低被嗅探的風(fēng)險(xiǎn),提升網(wǎng)站與用戶(hù)終端設(shè)備的安全性。IPv6可以更好地支持源地址驗(yàn)證,因?yàn)镮Pv6地址構(gòu)造是可匯聚的、層次化的,其地址前綴的分配較規(guī)律,這將會(huì)使下游互聯(lián)網(wǎng)服務(wù)提供商(Internet service provider,ISP)的地址總是落在上游ISP的匯總地址空間內(nèi),易于ISP在入口實(shí)現(xiàn)過(guò)濾,有效防御虛假源地址攻擊,也增加了IPv6網(wǎng)絡(luò)的安全性。此外,利用IPv6的地址規(guī)劃、虛假子網(wǎng)、拓?fù)潆[藏等技術(shù),有效隱藏網(wǎng)絡(luò)真實(shí)結(jié)構(gòu),也會(huì)增加攻擊者網(wǎng)絡(luò)偵查和嗅探的資源消耗,提高專(zhuān)網(wǎng)反偵察能力。
c)傳輸安全能力增強(qiáng)。IPv6協(xié)議支持互聯(lián)網(wǎng)安全協(xié)議(Internet Protocol Security,IPSec),為通信雙方提供數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)內(nèi)容的機(jī)密性驗(yàn)證、有限的數(shù)據(jù)流機(jī)密性保證和數(shù)據(jù)起源驗(yàn)證,并提供了抗報(bào)文重放保護(hù)。因而,可以將用戶(hù)、報(bào)文和攻擊一一對(duì)應(yīng),實(shí)現(xiàn)對(duì)用戶(hù)行為的安全監(jiān)控,在網(wǎng)絡(luò)層實(shí)現(xiàn)端到端數(shù)據(jù)加密傳輸。
d)監(jiān)控、檢測(cè)與溯源能力增強(qiáng)。IPv6網(wǎng)絡(luò)可以規(guī)范地址管理策略,實(shí)現(xiàn)終端標(biāo)識(shí)信息與位置信息的擴(kuò)展、實(shí)現(xiàn)用戶(hù)與IP綁定,禁止自生成地址和隱私擴(kuò)展地址等。在威脅的檢測(cè)和阻斷方面,通過(guò)基于媒體訪問(wèn)控制(Media Access Control,MAC)地址或端口的阻斷可以精確地識(shí)別和阻斷威脅終端,通過(guò)五元組/三元組精準(zhǔn)阻斷威脅流量而不影響正常業(yè)務(wù)。IPv4網(wǎng)絡(luò)中由于大量私網(wǎng)的存在,使得惡意行為很難溯源,在IPv6網(wǎng)絡(luò)中,節(jié)點(diǎn)采用公網(wǎng)地址取代私網(wǎng)地址,每一個(gè)地址都是真實(shí)的,易于對(duì)威脅行為溯源。
基于上述優(yōu)勢(shì),IPv6可以避免或緩解IPv4存在的不足和安全風(fēng)險(xiǎn)。
a)防范網(wǎng)絡(luò)放大攻擊。ICMPv6(Internet Control Message Protocol for the Internet Protocol Version 6)在設(shè)計(jì)上不響應(yīng)組播地址和廣播地址的消息,可以有效避免IPv4網(wǎng)絡(luò)中利用廣播地址發(fā)起的廣播風(fēng)暴攻擊和分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)攻擊的風(fēng)險(xiǎn)。
b)防止已知的碎片攻擊。IPv6不僅對(duì)碎片機(jī)制進(jìn)行了嚴(yán)格限制,還提供了更健全的分片機(jī)制,通過(guò)發(fā)送偽造碎片報(bào)文發(fā)動(dòng)攻擊的方式在IPv6下不再有效。
c)有效抵御基于遍歷掃描的網(wǎng)絡(luò)蠕蟲(chóng)攻擊。IPv6網(wǎng)段地址空間巨大,基于地址遍歷的網(wǎng)絡(luò)漏洞掃描不再適用。因此,病毒及網(wǎng)絡(luò)蠕蟲(chóng)通過(guò)遍歷掃描和隨機(jī)選擇IP地址的方式在IPv6網(wǎng)絡(luò)中傳播變得極為困難,有效防范了蠕蟲(chóng)病毒的傳播。
d)對(duì)網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施的安全性提供擴(kuò)展。DNSv6定義了域名系統(tǒng)(Domain Name System,DNS)安全擴(kuò)展協(xié)議,提供認(rèn)證和完整性保障,避免域名被篡改。
e)避免NAT使用帶來(lái)的安全隱患和管理困難。NAT通過(guò)將私有地址和公網(wǎng)地址進(jìn)行轉(zhuǎn)換,解決了IPv4地址不足的問(wèn)題,隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的終端,避免來(lái)自公共互聯(lián)網(wǎng)的攻擊,起到一定安全作用,但也帶來(lái)了安全隱患和管理上的困難,IPv6網(wǎng)絡(luò)中無(wú)需NAT地址轉(zhuǎn)換。
f)有效防御基于IP地址欺騙的攻擊方式。IPv6有較為健全的認(rèn)證機(jī)制,有能力在第一跳阻止惡意設(shè)備,可以最大限度預(yù)防中間人攻擊。
0 3
IPv6網(wǎng)絡(luò)協(xié)議的安全風(fēng)險(xiǎn)
IPv6協(xié)議是對(duì)IPv4協(xié)議的優(yōu)化和改進(jìn),因此會(huì)繼承IPv4協(xié)議的一些安全問(wèn)題,也可能出現(xiàn)新的安全漏洞,面臨原有安全機(jī)制無(wú)法應(yīng)對(duì)新技術(shù)新業(yè)務(wù)下的威脅。本章將對(duì)IPv6網(wǎng)絡(luò)協(xié)議面臨的安全風(fēng)險(xiǎn)進(jìn)行介紹。
3.1從IPv4網(wǎng)絡(luò)繼承的安全風(fēng)險(xiǎn)
IPv6相較于IPv4在保密性和完整性方面有較大幅度的改進(jìn),但有些安全風(fēng)險(xiǎn)并沒(méi)有因?yàn)镮Pv6協(xié)議的出現(xiàn)而發(fā)生改變,例如:嗅探攻擊、拒絕服務(wù)攻擊、中間人攻擊、應(yīng)用層攻擊等,這些攻擊都可能對(duì)IPv6網(wǎng)絡(luò)造成潛在的危害。
3.2 IPv6新協(xié)議引入新的安全風(fēng)險(xiǎn)
IP協(xié)議在設(shè)計(jì)之初幾乎沒(méi)有考慮安全問(wèn)題,IPv6協(xié)議在安全性的考慮上要比IPv4更加周全,但I(xiàn)Pv6/IPv6+協(xié)議的應(yīng)用依然會(huì)引入一些新的安全風(fēng)險(xiǎn),攻擊者總能找到協(xié)議交互機(jī)制上的漏洞并加以利用,出現(xiàn)一些專(zhuān)門(mén)針對(duì)IPv6新協(xié)議的攻擊。本節(jié)對(duì)IPv6協(xié)議特有的安全風(fēng)險(xiǎn)進(jìn)行介紹。
a)IPv6擴(kuò)展頭攻擊。IPv6相比IPv4報(bào)文格式的一個(gè)重要變化就是引入了擴(kuò)展頭,協(xié)議對(duì)擴(kuò)展頭數(shù)量沒(méi)有限制,同種類(lèi)型的擴(kuò)展頭被允許在IPv6擴(kuò)展報(bào)文頭中多次出現(xiàn)。攻擊者可以通過(guò)構(gòu)造異常數(shù)量擴(kuò)展頭的報(bào)文對(duì)防火墻或目標(biāo)主機(jī)進(jìn)行DoS攻擊,防火墻或者目標(biāo)主機(jī)在解析報(bào)文時(shí)將耗費(fèi)大量資源,從而影響設(shè)備性能。逐跳選項(xiàng)擴(kuò)展頭可能導(dǎo)致拒絕服務(wù)攻擊,因?yàn)榫W(wǎng)絡(luò)中所有節(jié)點(diǎn)都需要檢查并處理該報(bào)頭。
b)ICMPv6協(xié)議攻擊。ICMPv6是IPv6協(xié)議簇中的一個(gè)基礎(chǔ)協(xié)議,合并了IPv4中的因特網(wǎng)控制報(bào)文協(xié)議(Internet Control Message Protocol,ICMP)、地址解析協(xié)議(Address Resolution Protocol,ARP)、反向地址解析協(xié)議(Reverse Address Resolution Protocol,RARP)等多個(gè)協(xié)議的功能。ICMPv6協(xié)議控制著IPv6網(wǎng)絡(luò)中的地址生成、地址解析、差錯(cuò)控制、組播控制等關(guān)鍵環(huán)節(jié),因此攻擊者可能利用ICMPv6協(xié)議的漏洞和機(jī)制達(dá)到攻擊目標(biāo)。
c)NDP協(xié)議攻擊。IPv6網(wǎng)絡(luò)采用NDP協(xié)議實(shí)現(xiàn)了IPv4網(wǎng)絡(luò)中的ARP協(xié)議的功能,二者雖然協(xié)議層次不同但實(shí)現(xiàn)機(jī)制大同小異,所以針對(duì)ARP協(xié)議的攻擊如ARP欺騙、ARP泛洪攻擊、中間人攻擊等在IPv6網(wǎng)絡(luò)中仍然存在。
d)重復(fù)地址監(jiān)測(cè)(Duplicate Address Detection,DAD)攻擊和前綴欺騙攻擊。攻擊者在某個(gè)主機(jī)的IP地址自動(dòng)分配過(guò)程中監(jiān)聽(tīng)DAD過(guò)程,在偵聽(tīng)到鄰居請(qǐng)求(Neighbor Solicitation,NS)報(bào)文時(shí),通過(guò)發(fā)送非法的鄰居通告(Neighbor Advertisement,NA)報(bào)文來(lái)宣稱(chēng)占用該地址,破壞主機(jī)的地址分配的過(guò)程,造成該主機(jī)無(wú)法完成網(wǎng)絡(luò)地址配置從而無(wú)法聯(lián)網(wǎng)。DAD攻擊產(chǎn)生的根本原因,是無(wú)法對(duì)NA報(bào)文的合法性進(jìn)行驗(yàn)證。攻擊者還可能把DAD攻擊和前綴欺騙攻擊結(jié)合起來(lái),首先通過(guò)DAD攻擊使新入網(wǎng)設(shè)備不能獲得正確的IP地址,同時(shí)發(fā)布自己的前綴,并且開(kāi)啟本機(jī)路由轉(zhuǎn)發(fā)功能,這樣攻擊者將能成為本鏈路所有主機(jī)的默認(rèn)路由器,實(shí)施中間人攻擊。
0 4
IPv6+網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與安全策略
IPv6+是以IPv6為基礎(chǔ),通過(guò)擴(kuò)展報(bào)文頭來(lái)支持一系列新的網(wǎng)絡(luò)應(yīng)用,包括SRv6、業(yè)務(wù)鏈(Service Function Chain,SFC)、網(wǎng)絡(luò)切片、隨流檢測(cè)、IPv6封裝的比特位索引顯式復(fù)制(Bit Index Explicit Replication IPv6 encapsulation,BIERv6)、應(yīng)用感知網(wǎng)絡(luò)等一系列協(xié)議創(chuàng)新。
IPv6+可以升級(jí)網(wǎng)絡(luò)導(dǎo)航能力、為業(yè)務(wù)提供專(zhuān)屬通道、提升運(yùn)維能力和安全防御能力。針對(duì)IPv6網(wǎng)絡(luò)運(yùn)維中的安全問(wèn)題,在國(guó)際標(biāo)準(zhǔn)方面,IETF RFC9099分析了對(duì)IPv6網(wǎng)絡(luò)運(yùn)營(yíng)安全的考慮,RFC9098分析了IPv6擴(kuò)展頭在運(yùn)營(yíng)中存在的問(wèn)題。在國(guó)內(nèi)標(biāo)準(zhǔn)方面,CCSA行業(yè)標(biāo)準(zhǔn)《IPv6安全標(biāo)準(zhǔn)化關(guān)鍵問(wèn)題研究》對(duì)IPv6安全標(biāo)準(zhǔn)化現(xiàn)狀與趨勢(shì)、IPv6安全標(biāo)準(zhǔn)化的領(lǐng)域和技術(shù)、IPv6安全標(biāo)準(zhǔn)等內(nèi)容進(jìn)行了梳理。
在IPv6+創(chuàng)新技術(shù)方面,國(guó)內(nèi)外標(biāo)準(zhǔn)組織近年來(lái)積極開(kāi)展了IPv6+的研究與標(biāo)準(zhǔn)化工作,但I(xiàn)Pv6+安全方面,目前只有IETF的SRv6 Security Considerations個(gè)人草案和CCSA的《SRv6網(wǎng)絡(luò)安全技術(shù)研究》對(duì)SRv6的安全威脅進(jìn)行了分析。
4.1 SRv6的安全風(fēng)險(xiǎn)與安全策略
基于IPv6轉(zhuǎn)發(fā)平面的段路由(Segment Routing IPv6,SRv6)是指采用IPv6數(shù)據(jù)平面的段路由(Segment Routing,SR)技術(shù),利用一種新型的IPv6路由擴(kuò)展報(bào)頭(Segment Routing Header,SRH)來(lái)施加一個(gè)有序的路徑列表來(lái)控制數(shù)據(jù)包的轉(zhuǎn)發(fā)。為保障SRv6網(wǎng)絡(luò)安全可靠運(yùn)行,需要注意或解決一些安全問(wèn)題,本節(jié)分析了SRv6網(wǎng)絡(luò)中常見(jiàn)的安全威脅,并提出避免或減輕這些安全威脅的方法。
4.1.1 SRv6安全風(fēng)險(xiǎn)分析
在SRv6網(wǎng)絡(luò)中,攻擊者可以通過(guò)監(jiān)聽(tīng)SRH來(lái)竊取網(wǎng)絡(luò)拓?fù)?,篡改SRH發(fā)起源路由攻擊等,具體如下。
a)偵聽(tīng)攻擊竊取SRv6相關(guān)信息。SRv6的段列表中保存著報(bào)文轉(zhuǎn)發(fā)路徑中經(jīng)過(guò)的多個(gè)網(wǎng)元或服務(wù)的地址信息,SRv6網(wǎng)絡(luò)中的沿途攻擊者通過(guò)各種探測(cè)手段獲取IPv6頭部和SRH擴(kuò)展頭中攜帶的節(jié)點(diǎn)信息、SR策略等SRv6相關(guān)信息,以獲取網(wǎng)絡(luò)拓?fù)浼巴茢喑雎酚刹呗?。雖然偵聽(tīng)攻擊收集的信息不會(huì)損害用戶(hù)數(shù)據(jù)的機(jī)密性,但攻擊者利用收集的信息可發(fā)動(dòng)其他攻擊。攻擊者還可能竊取報(bào)文payload信息,但這并不是SRv6特有的風(fēng)險(xiǎn)。
b)報(bào)文的重放、插入、刪除、修改等。報(bào)文重放是指攻擊者記錄數(shù)據(jù)包進(jìn)行報(bào)文重放攻擊;報(bào)文插入是指攻擊者惡意生成包含虛假信息的報(bào)文并將報(bào)文注入網(wǎng)絡(luò);報(bào)文修改是指攻擊者在報(bào)文傳輸過(guò)程中對(duì)報(bào)文進(jìn)行修改,典型的如修改段路由直接影響報(bào)文的SR策略;報(bào)文刪除是指攻擊者通過(guò)攔截和刪除網(wǎng)絡(luò)中的數(shù)據(jù)包,阻止數(shù)據(jù)包到達(dá)目的地,其中選擇性丟包可能比隨機(jī)丟包造成更嚴(yán)重的損失;報(bào)文修改是將流量轉(zhuǎn)移到攻擊者可以訪問(wèn)且擁有更多處理資源的另一個(gè)節(jié)點(diǎn),從而為更復(fù)雜的在途攻擊提供便利。上述攻擊一般是由對(duì)傳輸報(bào)文具有訪問(wèn)權(quán)限的沿途攻擊者實(shí)施的。
c)段路由的安全威脅。攻擊者可通過(guò)篡改SRv6段列表實(shí)現(xiàn)任意定義流量轉(zhuǎn)發(fā)路徑,致使數(shù)據(jù)包路由到不同的路徑上,而不是通過(guò)預(yù)期的路徑路由。對(duì)SRH的修改包括將1個(gè)或多個(gè)段標(biāo)識(shí)(Segment Identifiers,SIDs)添加到段列表中,刪除1個(gè)或多個(gè)SIDs,或?qū)⑻鎿Q掉其中一些SIDs;另一種可能的修改類(lèi)型是通過(guò)添加、刪除或修改SRH中的TLV字段,SR修改攻擊可以通過(guò)以下1種或多種方式篡改轉(zhuǎn)發(fā)路徑,影響報(bào)文的轉(zhuǎn)發(fā)行為(見(jiàn)圖1)。
圖1 SRv6源路由威脅示意
(a)定制特定路徑/服務(wù)。攻擊者通過(guò)在SRv6段列表中增加某些地址,獲取未經(jīng)授權(quán)的服務(wù),例如流量加速等。
(b)避開(kāi)特定節(jié)點(diǎn)或路徑。攻擊者可以操縱目的IP地址或SRH來(lái)避開(kāi)特定的節(jié)點(diǎn)或路徑,使報(bào)文避免各種處理步驟。比如繞過(guò)計(jì)費(fèi)服務(wù)、避免訪問(wèn)控制、繞過(guò)安全防護(hù)策略以實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的非法訪問(wèn)、流量攻擊等。
(c)發(fā)起DoS攻擊。攻擊者利用SRv6作為損害網(wǎng)絡(luò)性能或?qū)е翫oS的手段。通過(guò)在SRv6段列表中插入重復(fù)SRv6地址,控制流量在網(wǎng)絡(luò)中重復(fù)轉(zhuǎn)發(fā)以放大流量,發(fā)起大帶寬DoS攻擊,或?qū)?shù)據(jù)引流到非預(yù)期的目的地,降低網(wǎng)絡(luò)性能和目的端服務(wù)器性能。
d)對(duì)SRv6控制和管理平面的攻擊。當(dāng)SRv6控制平面和管理平面被入侵,會(huì)對(duì)網(wǎng)絡(luò)造成不可預(yù)估的影響,內(nèi)部攻擊者可以通過(guò)發(fā)布SIDs來(lái)操縱網(wǎng)絡(luò)中使用的SR策略,從而實(shí)施一系列攻擊,包括非法注入控制平面信息、選擇性刪除合法報(bào)文、報(bào)文重放和被動(dòng)監(jiān)聽(tīng)等。其中,非法注入控制面信息可以由非路徑攻擊者執(zhí)行,而報(bào)文刪除、重放和監(jiān)聽(tīng)則由沿途攻擊者執(zhí)行。
e)對(duì)安全設(shè)備的影響。SRv6是運(yùn)營(yíng)商網(wǎng)絡(luò)中常用的隧道技術(shù),入口PE將負(fù)載封裝在一個(gè)外部IPv6首部中,其中SRH攜帶SR策略段列表以及VPN業(yè)務(wù)SID。SRv6網(wǎng)絡(luò)中的安全設(shè)備需要處理SRv6數(shù)據(jù)包,這可能會(huì)影響網(wǎng)絡(luò)的安全設(shè)備。一是網(wǎng)絡(luò)中較舊的安全設(shè)備不知道SRv6附加首部和隧道機(jī)制,可能會(huì)丟棄或以其他方式阻礙SRv6報(bào)文轉(zhuǎn)發(fā);二是SRv6報(bào)文在SRv6域內(nèi)轉(zhuǎn)發(fā)時(shí),其目的地址不斷變化,且常使用入口PE設(shè)備的loopback地址作為源IP地址,網(wǎng)絡(luò)安全設(shè)備無(wú)法學(xué)習(xí)到真正的目的地址和源地址,難以對(duì)某些SRv6流量進(jìn)行訪問(wèn)控制。例如,在SRv6報(bào)文轉(zhuǎn)發(fā)路徑上,SR-aware防火墻會(huì)檢查雙向VPN流量報(bào)文的關(guān)聯(lián)關(guān)系,當(dāng)PE1到PE2的報(bào)文的為,反方向報(bào)文為時(shí),往返報(bào)文的源、目的IP地址信息是非對(duì)稱(chēng)的,安全設(shè)備會(huì)因?yàn)檎騐PN流量和反向VPN流量的源地址和目的地址不同,認(rèn)為是不同的流,導(dǎo)致合法流量被防火墻阻斷過(guò)濾,影響安全設(shè)備的有效性。
4.1.2 SRv6安全機(jī)制
傳統(tǒng)源路由威脅防護(hù)一般采用直接丟棄源路由報(bào)文、關(guān)閉源路由轉(zhuǎn)發(fā)功能,而SRv6網(wǎng)絡(luò)需要在正常轉(zhuǎn)發(fā)SRv6報(bào)文的同時(shí)防護(hù)SRv6源路由攻擊,無(wú)法直接采用丟棄源路由報(bào)文的方法進(jìn)行安全防護(hù),這對(duì)網(wǎng)絡(luò)安全防護(hù)提出了新的挑戰(zhàn)。IETF的RFC 7855和RFC 8799等標(biāo)準(zhǔn)文稿定義了SRv6網(wǎng)絡(luò)需要規(guī)定網(wǎng)絡(luò)邊緣,即明確網(wǎng)絡(luò)可信域,可信域內(nèi)的設(shè)備將被認(rèn)為是安全的。
a)邊界過(guò)濾。在可信域邊界通過(guò)部署訪問(wèn)控制列表(Access Control List,ACL)策略對(duì)從可信域外進(jìn)入的報(bào)文進(jìn)行流量過(guò)濾,丟棄從外部非法訪問(wèn)內(nèi)部信息的流量,包括如下3個(gè)方面。
(a)在可信域邊緣設(shè)備的對(duì)外接口上配置ACL規(guī)則。如果SRv6報(bào)文從非SRv6可信域進(jìn)入SRv6可信域,若收到的SRv6報(bào)文的源地址來(lái)自本域可分配SID地址塊,則丟棄報(bào)文;如果SRv6報(bào)文從一個(gè)SRv6可信域進(jìn)入另一個(gè)SRv6可信域,若SRv6報(bào)文的目的地址以及SRH中SID List的后續(xù)SID來(lái)自本域可分配SID地址塊,則丟棄報(bào)文。這是因?yàn)檎G闆r下不應(yīng)該將內(nèi)部SID泄露到域外,若被域外用戶(hù)獲取和使用,則認(rèn)定攜帶該地址的報(bào)文為攻擊報(bào)文。
(b)對(duì)外接口和對(duì)內(nèi)接口上配置ACL規(guī)則。當(dāng)SRv6報(bào)文的目的地址為本地SID時(shí),且源地址不是內(nèi)部SID或內(nèi)部接口地址,或者源地址不在SID空間范圍內(nèi)時(shí),則將報(bào)文丟棄。這是由于只有內(nèi)部的設(shè)備才能進(jìn)行SRv6報(bào)文封裝,所以當(dāng)目的地址為本地SID時(shí),源地址必須是內(nèi)部SID或者內(nèi)部接口地址。
(c)SRv6只對(duì)顯式發(fā)布為SID的本地IPv6接口地址進(jìn)行End操作。即未聲明成SID的本地IPv6接口地址如果被插入段列表,將匹配到接口地址路由,而不會(huì)觸發(fā)SID的處理操作。如果本地IPv6接口地址插入最后一個(gè)SID,即SL=0時(shí),節(jié)點(diǎn)需跳過(guò)SRH的處理。如果該地址被插入Segment List中間,即SL>0,則它被當(dāng)作錯(cuò)誤處理,將會(huì)被丟棄。
b)SRH擴(kuò)展頭校驗(yàn)。SRv6路由擴(kuò)展首部的安全屬性由SRH解決?;贖MAC對(duì)通信源進(jìn)行身份驗(yàn)證和SRv6報(bào)文頭校驗(yàn),防止報(bào)文被篡改帶來(lái)的攻擊。
c)管控面安全。SRv6可信域邊界過(guò)濾可用于抵御外部攻擊者對(duì)控制平面和管理平面的攻擊,但無(wú)法抵御內(nèi)部攻擊者對(duì)其的攻擊。現(xiàn)有的控制平面或管理平面協(xié)議中,對(duì)段路由沒(méi)有定義任何特定的安全機(jī)制,建議采用認(rèn)證和安全機(jī)制來(lái)驗(yàn)證信息的真實(shí)性。
4.2 SFC的安全風(fēng)險(xiǎn)與安全策略
SRv6 SFC在SRv6 SDN架構(gòu)基礎(chǔ)上增加了服務(wù)功能(Service Function,SF),SF可能是傳統(tǒng)的防火墻、TCP加速等網(wǎng)絡(luò)服務(wù),也可能是各種應(yīng)用服務(wù),SRv6 SFC為用戶(hù)提供定制化服務(wù)能力。
4.2.1 SRv6 SFC的安全風(fēng)險(xiǎn)分析
攻擊者可竊取網(wǎng)絡(luò)和服務(wù)等相關(guān)信息,通過(guò)仿冒、篡改服務(wù)功能鏈獲取非授權(quán)服務(wù)功能(如TCP加速),繞過(guò)已定制的服務(wù)功能(如計(jì)費(fèi)服務(wù)、安全檢測(cè)服務(wù)等)造成網(wǎng)絡(luò)/服務(wù)提供商損失、實(shí)現(xiàn)網(wǎng)絡(luò)攻擊。此外,服務(wù)功能的安全防護(hù)能力不一,容易成為黑客攻擊的突破口,進(jìn)而將威脅擴(kuò)散到整個(gè)SRv6 SFC網(wǎng)絡(luò)。
4.2.2 SFC安全機(jī)制
SRv6 SFC的安全防護(hù)需要在SRv6網(wǎng)絡(luò)安全防護(hù)基礎(chǔ)上,防止非授權(quán)用戶(hù)接入到SRv6 SFC網(wǎng)絡(luò),防止SF的威脅擴(kuò)散到SRv6 SFC網(wǎng)絡(luò),防止篡改SRv6段列表獲取非授權(quán)服務(wù)或繞過(guò)已定制的服務(wù),防止SRv6 SFC多租戶(hù)之間威脅擴(kuò)散等。
SRv6 SFC網(wǎng)絡(luò)安全機(jī)制應(yīng)包括SRv6 SDN網(wǎng)絡(luò)安全防護(hù)、SRv6 SFC接入認(rèn)證、SRv6 SFC路徑校驗(yàn)、SF安全加固、多用戶(hù)隔離措施等,具體如下。
a)SRv6信任域防御。定義SRv6 SFC信任域,將流分類(lèi)器、業(yè)務(wù)功能轉(zhuǎn)發(fā)器、業(yè)務(wù)功能劃分到信任域內(nèi),開(kāi)啟SRv6信任域相關(guān)防護(hù)措施,避免源路由威脅進(jìn)入SRv6 SFC網(wǎng)絡(luò),避免攻擊者任意定義SRv6 SFC服務(wù)。
b)控制面安全。包括控制器自身安全、控制器北向接口和南向接口安全、網(wǎng)元控制面和數(shù)據(jù)面安全等。
c)業(yè)務(wù)功能SF安全加固。為SF制定統(tǒng)一的安全防護(hù)基線(xiàn),提升業(yè)務(wù)功能安全性,避免SF成為網(wǎng)絡(luò)攻擊突破口。
d)接入認(rèn)證。用戶(hù)流量進(jìn)入SRv6 SFC時(shí),首先對(duì)用戶(hù)身份進(jìn)行校驗(yàn)。認(rèn)證成功后,為用戶(hù)流量提供SRv6 SFC功能,避免攻擊流量進(jìn)入SRv6 SFC網(wǎng)絡(luò),避免非授權(quán)用戶(hù)獲取業(yè)務(wù)服務(wù)。
e)SRv6 SFC路徑校驗(yàn)。在SRv6 SFC轉(zhuǎn)發(fā)過(guò)程中對(duì)SRv6段列表路徑進(jìn)行校驗(yàn),可采用SRv6 HMAC、SID加密校驗(yàn)等技術(shù),為用戶(hù)提供安全可靠的定制化服務(wù)。
f)SRv6用戶(hù)隔離。為不同用戶(hù)提供獨(dú)立的業(yè)務(wù)和網(wǎng)絡(luò)服務(wù),為不同用戶(hù)提供獨(dú)立的校驗(yàn)密鑰,避免用戶(hù)間威脅的擴(kuò)散。
綜上所述,如圖2所示,當(dāng)用戶(hù)流量進(jìn)入SRv6 SFC網(wǎng)絡(luò)時(shí),首先根據(jù)SRv6信任域過(guò)濾,丟棄目的地址是信任域內(nèi)SRv6地址的報(bào)文,避免SRv6源路由威脅進(jìn)入到SRv6 SFC信任域。然后邊界網(wǎng)關(guān)對(duì)用戶(hù)進(jìn)行接入認(rèn)證,認(rèn)證通過(guò)后為用戶(hù)提供SRv6 SFC服務(wù)。報(bào)文轉(zhuǎn)發(fā)過(guò)程中,開(kāi)啟SRv6路徑校驗(yàn)技術(shù),丟棄校驗(yàn)失敗報(bào)文,防止攻擊者篡改路徑獲取非授權(quán)服務(wù)或繞過(guò)已定制的服務(wù)。
圖2 SRv6 SFC安全防護(hù)
4.3 APN的安全風(fēng)險(xiǎn)與安全策略
4.3.1 APN安全風(fēng)險(xiǎn)分析
APN的標(biāo)準(zhǔn)尚在推進(jìn)中,國(guó)內(nèi)外標(biāo)準(zhǔn)對(duì)其安全風(fēng)險(xiǎn)和安全機(jī)制的研究較少。APN分為網(wǎng)絡(luò)側(cè)APN方案和主機(jī)側(cè)APN方案,網(wǎng)絡(luò)側(cè)APN是在網(wǎng)絡(luò)側(cè)的頭節(jié)點(diǎn)和邊緣節(jié)點(diǎn)感知應(yīng)用,為用戶(hù)流量添加應(yīng)用標(biāo)記,APN ID的添加在ISP內(nèi)部可信網(wǎng)絡(luò)中,因此安全風(fēng)險(xiǎn)較小可以忽略。應(yīng)用側(cè)APN是應(yīng)用側(cè)/云側(cè)設(shè)備直接將應(yīng)用標(biāo)識(shí)信息和需求信息封裝進(jìn)IPv6數(shù)據(jù)報(bào)文擴(kuò)展頭中,APN ID是在ISP網(wǎng)絡(luò)信任域外添加的,可能會(huì)帶來(lái)安全問(wèn)題。APN的可信域如圖3所示,這里假設(shè)設(shè)備操作系統(tǒng)可信,APN頭節(jié)點(diǎn)之后的ISP內(nèi)部網(wǎng)絡(luò)是可信的,業(yè)務(wù)感知節(jié)點(diǎn)及其之后的鏈路是ISP的核心網(wǎng),并連接到APP服務(wù)器的數(shù)據(jù)中心,鏈路安全性較高。APN的相關(guān)安全問(wèn)題可以分為4類(lèi)。
圖3 APN的可信域及安全風(fēng)險(xiǎn)示意
a)應(yīng)用側(cè)(端側(cè)/服務(wù)器側(cè))內(nèi),一個(gè)惡意應(yīng)用盜取了其他應(yīng)用的APN ID,比如郵件APP獲取了視頻會(huì)議APP的APN ID,從而獲得了高優(yōu)先級(jí)的網(wǎng)絡(luò)服務(wù)。
b)應(yīng)用側(cè)(端側(cè)/服務(wù)器側(cè))之間,不同應(yīng)用側(cè)設(shè)備上的相同應(yīng)用,沒(méi)有購(gòu)買(mǎi)APN服務(wù)的應(yīng)用竊取購(gòu)買(mǎi)APN服務(wù)的應(yīng)用的APN ID。
c)應(yīng)用側(cè)設(shè)備打上APN ID之后,到APN頭節(jié)點(diǎn)經(jīng)過(guò)不可信路徑,可能被竊取和篡改。
d)惡意用戶(hù)可能會(huì)申請(qǐng)?jiān)S多APN ID。
4.3.2 APN安全機(jī)制分析
APN的安全也分為應(yīng)用側(cè)的安全可信和網(wǎng)絡(luò)側(cè)的安全可信。應(yīng)用側(cè)內(nèi)的可信,需要通過(guò)端側(cè)/服務(wù)器內(nèi)的安全機(jī)制來(lái)保證,不同APP之間不能互相搶占和使用不屬于自己的APN ID。在應(yīng)用側(cè)外的可信,即報(bào)文一旦發(fā)出,需要由網(wǎng)絡(luò)側(cè)的安全機(jī)制來(lái)保證報(bào)文內(nèi)攜帶的APN ID可信無(wú)篡改。
APN ID的可信與安全:由于APN ID本身攜帶了應(yīng)用層的信息和用戶(hù)的信息,如果使用不當(dāng),可能會(huì)涉及隱私泄露問(wèn)題。因此建議以一種輕量的方式來(lái)保證應(yīng)用側(cè)打上的APN ID在網(wǎng)絡(luò)側(cè)是可以被信任的,沒(méi)有被篡改和仿冒。網(wǎng)絡(luò)中業(yè)務(wù)感知邊緣節(jié)點(diǎn)接收到報(bào)文后,通過(guò)HMAC、數(shù)字簽名、IPSec等技術(shù)進(jìn)行校驗(yàn),如果身份認(rèn)證通過(guò),則映射進(jìn)入相應(yīng)網(wǎng)絡(luò)資源(如SRv6路徑、切片等);如果身份認(rèn)證不通過(guò),則流量過(guò)濾或者進(jìn)入普通等級(jí)路徑。接入認(rèn)證有效防止單設(shè)備內(nèi)的不同應(yīng)用之間相互偽裝/盜用應(yīng)用信息、不同設(shè)備的相同應(yīng)用之間相互偽裝/盜用應(yīng)用信息、不同設(shè)備的不同應(yīng)用之間相互偽裝/盜用應(yīng)用信息、應(yīng)用信息發(fā)送后在到達(dá)接收方之前被篡改。
4.4網(wǎng)絡(luò)切片的安全風(fēng)險(xiǎn)與安全策略
基于IPv6的網(wǎng)絡(luò)切片在網(wǎng)絡(luò)基礎(chǔ)物理架構(gòu)上,通過(guò)擴(kuò)展IGP多拓?fù)浣Y(jié)構(gòu)實(shí)現(xiàn)切片的劃分與管理。OSPF、ISIS等IGP路由協(xié)議為每個(gè)切片域管理SRv6 SID空間,基于切片內(nèi)的SRv6 SID進(jìn)行切片業(yè)務(wù)轉(zhuǎn)發(fā),SRv6在進(jìn)行切片封裝轉(zhuǎn)發(fā)時(shí)封裝切片定制的切片參數(shù)。此外通過(guò)分配不同的切片Slice-ID實(shí)現(xiàn)切片資源的區(qū)分,業(yè)務(wù)轉(zhuǎn)發(fā)時(shí),在IPv6頭中進(jìn)行擴(kuò)展,封裝切片Slice-ID以及相應(yīng)的切片參數(shù)。
切片攻擊者可以通過(guò)偽造被攻擊切片的封裝信息,實(shí)現(xiàn)跨切片的數(shù)據(jù)訪問(wèn),因此,需要將切片彼此隔離,不同網(wǎng)絡(luò)切片的資源不應(yīng)相互影響,以盡量減少對(duì)數(shù)據(jù)機(jī)密性和完整性的攻擊。切片有如下安全機(jī)制。
a)對(duì)用戶(hù)進(jìn)行安全認(rèn)證以及授權(quán)。授權(quán)用戶(hù)訪問(wèn)相應(yīng)安全級(jí)別的網(wǎng)絡(luò)切片,限制用戶(hù)訪問(wèn)非授權(quán)的網(wǎng)絡(luò)切片。
b)安全引流。在用戶(hù)接入側(cè),通過(guò)實(shí)施增強(qiáng)ACL等方式,對(duì)用戶(hù)流量進(jìn)行過(guò)濾,將符合IP地址規(guī)劃的流量引入切片通道。
c)切片安全隔離技術(shù)。為不同切片設(shè)置不同的安全級(jí)別,對(duì)于高級(jí)別的切片通道可以部署FlexE、時(shí)隙化小顆粒等技術(shù),增強(qiáng)切片帶寬隔離能力,避免當(dāng)網(wǎng)絡(luò)切片進(jìn)行擴(kuò)縮容時(shí)相互影響導(dǎo)致資源缺失。
d)部署切片安全技術(shù)?;诰W(wǎng)絡(luò)切片組網(wǎng)環(huán)境以及切片隔離技術(shù)進(jìn)行設(shè)計(jì),滿(mǎn)足切片的靈活擴(kuò)展、不同切片的端到端安全特性的需求。
0 5
未來(lái)與展望
隨著數(shù)字化進(jìn)程的加速推進(jìn),網(wǎng)絡(luò)安全已經(jīng)成為社會(huì)和國(guó)家穩(wěn)定發(fā)展的重要保障。作為下一代互聯(lián)網(wǎng)技術(shù)的引領(lǐng)技術(shù),IPv6+基于IPv6技術(shù)全面升級(jí),不僅繼承了IPv6技術(shù)原有的安全威脅,也導(dǎo)致攻擊鏈更加智能化和多樣化,危害程度更高。在國(guó)家政策、技術(shù)發(fā)展和需求的多重驅(qū)動(dòng)下,IPv6+網(wǎng)絡(luò)內(nèi)生安全機(jī)制與關(guān)鍵技術(shù)研究也已成為未來(lái)網(wǎng)絡(luò)發(fā)展的重要方向,此外,還應(yīng)充分挖掘IPv6+賦能安全的能力,構(gòu)建基于IPv6+技術(shù)體系的新安全網(wǎng)絡(luò),推進(jìn)網(wǎng)絡(luò)安全體系和能力建設(shè),為下一代互聯(lián)網(wǎng)安全可信保駕護(hù)航。
參考文獻(xiàn)
[1]李振斌,胡志波,李星.SRv6網(wǎng)絡(luò)編程:開(kāi)啟IP網(wǎng)絡(luò)新時(shí)代[M].北京:人民郵電出版社,2020.
[2]傅小兵,宗春鴻,嚴(yán)寒冰,等.基于IPv6的互聯(lián)網(wǎng)絡(luò)安全探討[J].中國(guó)新通信,2024,26(2):16-18.
[3]許國(guó)棟.IPv6網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)點(diǎn)與應(yīng)對(duì)建議[J].數(shù)字技術(shù)與應(yīng)用,2023,41(2):237-239.
[4]賀樂(lè)樂(lè),毛云軒.基于IPv6規(guī)模部署下的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范措施研究[J].數(shù)字通信世界,2022(11):41-43.
[5]李振斌,趙鋒.“IPv6+”技術(shù)標(biāo)準(zhǔn)體系[J].電信科學(xué),2020,36(8):11-21.
[6]魯冬杰,楊凱,莊小君,等.基于SRv6的網(wǎng)絡(luò)安全技術(shù)研究[J].電信工程技術(shù)與標(biāo)準(zhǔn)化,2022,35(12):27-33.
[7]李樹(shù)軍,蔡長(zhǎng)安.IPv6源路由機(jī)制安全性分析與攻擊技術(shù)研究[J].成都大學(xué)學(xué)報(bào)(自然科學(xué)版),2010,29(1):60-63.
[8]IETE.IPv6 Segment Routing Header(SRH):RFC 8754[S/OL].[2023-12-25].https://www.rfc-editor.org/rfc/rfc8754.
[9]IETE.Source packet routing in networking(spring)problem statement and requirements:RFC 7855[S/OL].[2023-12-25].https://www.rfc-editor.org/rfc/rfc7855.
[10]BURAGLIO N,MIZRAHI T,TONG T,et al.SRv6 Security Considerations:draft-bdmgct-spring-srv6-security-01[S/OL].[2023-12-25].
https://datatracker.ietf.org/doc/draft-bdmgct-spring-srv6-secu?rity/.
[11]FILSFILS C,CAMARILLO P,LEDDY J,et al.SRv6 network programming:draft-ietf-spring-srv6-network-programming-15[S/OL].[2023-12-25].https://datatracker.ietf.org/doc/html/draft-ietfspring-srv6-network-programming-15.
[12]IETF.Service Function Chaining(SFC)Architecture:RFC7665[S/OL].[2023-12-25].https://datatracker.ietf.org/doc/rfc7665/.
[13]王士誠(chéng),況鵬,何林.基于“IPv6+”的應(yīng)用感知網(wǎng)絡(luò)(APN6)[J].電信科學(xué),2020,36(8):36-42.
[14]IETE.Operational Security Considerations for IPv6 Networks:RFC9099[S/OL].[2023-12-25].https://datatracker.ietf.org/doc/rfc9099/.
[15]IETE.Operational Implications of IPv6 Packets with Extension Headers:RFC9098[S/OL].[2023-12-25].https://datatracker.ietf.org/doc/rfc9098/.
[16]IETE.Limited Domains and Internet Protocols:RFC8799[S/OL].[2023-12-25].https://www.rfc-editor.org/rfc/rfc8799.html.
作者簡(jiǎn)介
圖片
佟恬,研究員,碩士,主要從事下一代互聯(lián)網(wǎng)、IPv6網(wǎng)絡(luò)安全、源地址驗(yàn)證方向的研究工作;
趙菁,研究員,碩士,主要從事下一代互聯(lián)網(wǎng)、IPv6網(wǎng)絡(luò)安全、DNS方向的研究工作;
龐冉,首席研究員,碩士,主要從事下一代互聯(lián)網(wǎng)、算力網(wǎng)絡(luò)方向研究工作;
曹暢,高級(jí)工程師,博士,主要從事算力網(wǎng)絡(luò)、下一代互聯(lián)網(wǎng)等方向的研究工作。