一、 源地址验证技术保证IPv6网络接入的安全性
Comware平台针对IPv6网络中的源地址伪造系列安全问题,提出了一系列解决方案。通过DHCPv6 Snooping特性、IPv6 Source Guard特性及ND Snooping特性建立起IPv6地址、MAC地址和端口的绑定关系表,并且以绑定关系为依据对DHCPv6协议报文、ND协议报文和IPv6数据报文的源地址进行合法性的过滤检查。
1. DHCPv6 Snooping
安全关键词:防伪造服务器攻击,防地址欺骗攻击,防DAD攻击
DHCPv6 Snooping特性可以保证客户端从合法的服务器获取IPv6地址,并记录DHCPv6客户端IPv6地址与MAC地址的对应关系,从而防止ND攻击。
DHCPv6通过如下方式防止伪造服务器攻击:为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6 Snooping安全机制允许将端口设置为信任端口(Trusted Port)和不信任端口(Untrusted Port):信任端口正常转发接收到的DHCPv6报文;不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文。连接DHCPv6服务器、DHCPv6中继或其他DHCPv6 Snooping设备的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的伪DHCPv6服务器无法为DHCPv6客户端分配地址。
DHCPv6 Snooping通过监听DHCPv6报文,记录DHCPv6 Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。然后再通过在设备接入用户侧的端口上启用IPv6 Source Guard功能,针对生成的表项,在对应端口对收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用,包括地址欺骗攻击等,提高了端口的安全性。