当前位置:网站首页>SRv6网络的安全解决方案

SRv6网络的安全解决方案

2022-08-04 22:25:00 InfoQ

当前解决SRv6网络源路由安全的方案主要分为基础方案和增强方案两部分。
  • 基础方案
    :基于ACL进行流量过滤,丢弃非法访问内部信息的流量。
  • 增强方案
    :基于HMAC对通信源进行身份验证,并对SRv6报文进行校验,防止报文被篡改带来的攻击。

RFC 7855和RFC 8402等标准文稿定义了SR网络需要规定明确的网络边缘,确定了明确的网络可信域,可信域内的设备将被认定为是安全的。基于可信域的前提,基础方案是通过部署ACL策略对可信域外进入的报文进行防范 。基础方案大致包括3个方面:
null
  • 对外接口上需配置ACL规则
    。若收到的SRv6报文的源地址或目的地址来自分配SID的地址块,则丢弃报文。这是因为正常情况下不应该将内部SID泄露到域外,若被域外获取,则认定携带该地址的报文为攻击报文。
  • 对外接口和对内接口上均需配置 ACL 规则
    。当 SRv6报文的目的地址为本地SID 时,且源地址不是内部 SID 或内部接口地址,或不在 SID 空间范围内时,则将报文丢弃。这是因为只有内部的设备才能进行 SRv6报文封装,所以当目的地址是 SID 时,源地址必须是内部的 SID 或者内部接口地址。
  • SRv6只对显式发布为SID的本地IPv6接口地址进行End操作
    。即未声明成SID的本地IPv6接口地址如果被插入Segment List,将匹配到接口地址路由,而不会触发SID的处理操作。如果本地IPv6接口地址插入最后一个SID,即SL = 0时,节点需跳过SRH的处理。如果该地址被插入Segment List中间,即SL > 0,则它被当作错误处理,丢弃该报文。

在理想情况下,禁止内部SID等信息泄露到SRv6可信域外,所以以上的安全策略能够在一定程度上保障SRv6网络的安全。

不过,在一些情况下,也会有意将域内的SID泄露到外域,比如通过泄露Binding SID用于TE选路。对于这样的例外,需要在边缘设备的对外接口上部署对应的ACL规则,允许携带Binding SID的流量通行。出于安全考虑, Binding SID也仅会在有限的范围内泄露,例如一些可信的SRv6域,不会造成大的安全问题。

此外,为了提高安全保障,解决泄露SID到外域时带来的风险,SRv6网络增加了HMAC机制对SRH进行验证,确保从域外进来的SRv6报文来自可信数据源。我们称这些安全措施为SRv6安全增强方案。

除了Binding SID场景可能用到SRH以外,在一些特定场景下,例如在云数据中心中,管理者可能将封装SRH的能力从路由器委托给主机,从而实现主机自主选路、应用级别精细调优等功能,此时就需要在接入层设备上增加一定的安全机制来确定接收到的SRv6报文安全可信,这同样需要
用到增强方案的HMAC机制

一般地,HMAC用于在边缘路由器上校验SRH,防止SRH等数据被篡改,同时也对数据发送源进行身份验证。所以在增强方案中,需要在边缘路由器上配置对应的HMAC策略。当携带SRH的报文进入SRv6可信域时,将触发HMAC处理。如果SRH不携带HMAC TLV或HMAC校验失败(计算摘要与携带摘要不一致),则丢弃报文。当且仅当HMAC校验成功时,才能放行。

路由器在处理HMAC时,需要先检测IPv6报文头的目的地址字段与Segment List中SL指向的SID地址是否一致,然后检测SL是否大于Last Entry,最后才基于以上的字段计算校验和,并进行校验。通过HMAC,不仅可以确认SRv6报文来自可信主机,还可以确保SRv6 SRH等相关数据在传输的过程中没有被篡改,从而有效保护SRv6网络。

基于当前的IPsec,可以为基础网络提供一定程度的安全保障。在此基础上,通过配置ACL规则的SRv6安全基础方案和使用HMAC校验的安全增强方案,可以确保SRv6域的通信源可信以及报文不被篡改
,从而保障了SRv6域安全,解决了窃听、报文篡改、仿冒、DoS/DDoS等网络安全问题,为当前的SRv6部署提供了充足的保障。





原网站

版权声明
本文为[InfoQ]所创,转载请带上原文链接,感谢
https://xie.infoq.cn/article/5dcd91b9ab646750bbed9fcfa

边栏推荐

猜你喜欢

随机推荐