IPv6系列安全篇——SAVI技术解析

【SAVI技术】本文主要介绍了SAVI技术背景、SAVI原理以及SAVI两个关键功能分析，即DHCPv6 Snooping和ND Snooping。

发布时间：2019-01-21
点击量：
点赞：

分享至

我想评论

通过之前两期文章，相信大家对IPv6的基础知识有了一定的了解，当IPv6在办公网、IDC实际部署后，大家开始关注IPv6下的安全问题，例如接入终端的合法性。

清华大学2009年4月提出SAVI(Source Address Validation Improvements)源址合法性检验RFC(Request For Comments）草案，该草案描述通过源地址可以判断从指定端口接收到报文的合法性，本文将对SAVI技术进行详细的讲解。

注：当前SAVI技术涉及的3篇RFC分别是RFC8074、RFC7513、RFC6620。三个文件当前均为Proposed Standard状态（建议标准：基本成熟，但还需要进一步的试验证实其可行性），尚未成为全球标准，在以下内容中将涉及SAVI技术的RFC文件统一描述为 RFC标准。

SAVI技术介绍

SAVI技术的工作机制

通过监听控制类报文（如ND、DHCPv6），即CPS（Control Packet Snooping），在接入设备上（AP或交换机）为终端建立基于IPv6源地址、源MAC地址及接入设备端口的绑定关系，进而对通过指定端口的IP报文进行源地址校验。只有报文源地址与绑定表项匹配时才可以转发，保证网络上数据报文源地址真实性。

CPS对于客户端是透明的，在客户端没有任何变化，也没有新增任何协议，所涉及的内容都是根据已有的协议操作流程。在接入设备上建立绑定关系，这种绑定关系一般都是临时的，有生存期，也有一些事件可以触发接入设备解除具体的绑定关系。

SAVI RFC标准中，关于IPv6的合法接入主要包括了ND Snooping与DHCPv6 Snooping两部分内容。

DHCPv6 Snooping和ND Snooping作为组件整合到了SAVI中，通过SAVI-MIX整合，从而同时具备DHCPv6 Snooping和ND Snooping两个功能，按FCFS原则（First Come First Served ，先来先运行算法）实现其中任意一个功能，保证IPv6主机的合法接入。

接下来将对DHCPv6 Snooping和ND Snooping，结合不同安全问题分别介绍实现原理。

DHCPv6 Snooping功能解析

在使用DHCPv6方式获取IPv6地址的环境下，可以独立使用DHCPv6 Snooping在交换机上绑定用户，通过对用户的源地址进行有效的控制，实现禁止用户私自配置地址而访问网络的目的。

DHCPv6 Snooping功能的实现流程

1、如图1所示，在接入交换机上开启DHCPv6 Snooping功能，将接入交换机上联端口默认为信任端口。接入交换机上联DHCP Server，下联客户主机A以及攻击主机B；

2、利用接入交换机的DHCPv6 Snooping功能监听客户主机A与DHCP Server之间交互的DHCPv6协议报文；

3、接入主机获取动态地址之前只能访问DHCP Server和使用本地链路地址fe80::/10访问本地资源，获取动态全球单播地址之后可以访问所有资源；

4、当用户在动态获取地址的过程中获得用户的IPv6 Address、MAC、Port绑定信息时，下发硬件表项，严格控制接入主机的报文。只有完全匹配IPv6 Address、MAC、Port的IPv6报文和本地链路报文才允许转发。

▲图1: DHCPv6 Snooping功能的实现流程

利用DHCPv6 Snooping在DHCPv6-Only场景下解决私设DHCP Server及DHCP Client攻击源问题

如下图2所示

1、私设DHCP Server及DHCP Client攻击源造成的问题：

• 私设DHCP Server：导致主机获取到虚假的IPv6地址，影响业务转发；

• DHCP Client攻击源：非法主机不断的向DHCP服务器发起请求，消耗DHCPv6资源，甚至造成无IP地址可以分配的情况，从而影响到其他合法主机获取IPv6地址。

2、SAVI技术解决私设DHCP Server问题的主要步骤：

• 开启SAVI功能，配置SAVI为DHCPv6-Only模式；

• SAVI的DHCPv6 Snooping组件在连接DHCP Server接口上配置Trust，其它端口默认为Untrust；

• 针对Untrust接口丢弃DHCPv6 Advertise报文及Reply报文。

3、SAVI技术解决DHCP Client攻击源问题的主要步骤：

• 开启SAVI功能，配置SAVI为DHCPv6-Only模式；

•类似于SLAAC（Stateless Address Autoconfiguration，无状态地址自动配置）场景下用户RS泛洪攻击，用户主机异常发出大量RS报文请求IPV6地址，消耗网段地址空间；

• 利用SAVI技术中DHCPv6 Snooping功能，限制接入交换机下联端口的MAC数量及单MAC分配IPv6地址数量，从而防止非法主机不断的向DHCP服务器发起请求，消耗DHCPv6资源。

▲图2:私设DHCP Server及DHCP Client攻击源拓扑图

ND Snooping功能解析

ND Snooping利用CPS机制，通过源IPv6地址和接口设备的端口绑定的方式，对端口接入报文进行合法性检测，放行匹配绑定的报文，丢弃不匹配的报文，以达到对直连链路节点准入控制的目的。

ND Snooping功能的实现流程

1、如图3所示，在接入交换机S2上开启ND Snooping功能，进行ND Snooping学习，但是不下发硬件表项（即准入控制表项）进行过滤控制；

2、在接入交换机S2下联端口启用ND Snooping功能，该端口拒绝转发所有IPv6报文（除了源地址为FE80::的IPv6报文和NS/NA报文）；

3、网关S1配置无状态地址自动配置协议，公告前缀2001::/64；

4、主机PC接收到来自S1的RA公告后，通过无状态地址自动配置协议自动获取前缀为2001::/64的IPv6地址，地址生成后会先发送DAD NS报文，探测在当前链路上该IPv6地址是否可用；

5、主机若收到DAD NA回应表示该地址不可用，反之表示可用；

6、接入交换机S2当收到来自主机的DAD NS报文后，会为该主机建立ND Snooping绑定，在规定时间内若未探测到回应的DAD NA报文，则根据该ND Snooping绑定下发一个IPv6 Address、MAC、Port、VLAN ID四元组的准入控制表项（即硬件表项）允许转发该源地址的IPv6报文。从而达到主机IPv6流量的控制接入目的。