当前位置:网站首页>SRv6网络的安全解决方案
SRv6网络的安全解决方案
2022-08-04 22:25:00 【InfoQ】
当前解决SRv6网络源路由安全的方案主要分为基础方案和增强方案两部分。
- 基础方案:基于ACL进行流量过滤,丢弃非法访问内部信息的流量。
- 增强方案:基于HMAC对通信源进行身份验证,并对SRv6报文进行校验,防止报文被篡改带来的攻击。
RFC 7855和RFC 8402等标准文稿定义了SR网络需要规定明确的网络边缘,确定了明确的网络可信域,可信域内的设备将被认定为是安全的。基于可信域的前提,基础方案是通过部署ACL策略对可信域外进入的报文进行防范 。基础方案大致包括3个方面:
- 对外接口上需配置ACL规则。若收到的SRv6报文的源地址或目的地址来自分配SID的地址块,则丢弃报文。这是因为正常情况下不应该将内部SID泄露到域外,若被域外获取,则认定携带该地址的报文为攻击报文。
- 对外接口和对内接口上均需配置 ACL 规则。当 SRv6报文的目的地址为本地SID 时,且源地址不是内部 SID 或内部接口地址,或不在 SID 空间范围内时,则将报文丢弃。这是因为只有内部的设备才能进行 SRv6报文封装,所以当目的地址是 SID 时,源地址必须是内部的 SID 或者内部接口地址。
- SRv6只对显式发布为SID的本地IPv6接口地址进行End操作。即未声明成SID的本地IPv6接口地址如果被插入Segment List,将匹配到接口地址路由,而不会触发SID的处理操作。如果本地IPv6接口地址插入最后一个SID,即SL = 0时,节点需跳过SRH的处理。如果该地址被插入Segment List中间,即SL > 0,则它被当作错误处理,丢弃该报文。
在理想情况下,禁止内部SID等信息泄露到SRv6可信域外,所以以上的安全策略能够在一定程度上保障SRv6网络的安全。
不过,在一些情况下,也会有意将域内的SID泄露到外域,比如通过泄露Binding SID用于TE选路。对于这样的例外,需要在边缘设备的对外接口上部署对应的ACL规则,允许携带Binding SID的流量通行。出于安全考虑, Binding SID也仅会在有限的范围内泄露,例如一些可信的SRv6域,不会造成大的安全问题。
此外,为了提高安全保障,解决泄露SID到外域时带来的风险,SRv6网络增加了HMAC机制对SRH进行验证,确保从域外进来的SRv6报文来自可信数据源。我们称这些安全措施为SRv6安全增强方案。
除了Binding SID场景可能用到SRH以外,在一些特定场景下,例如在云数据中心中,管理者可能将封装SRH的能力从路由器委托给主机,从而实现主机自主选路、应用级别精细调优等功能,此时就需要在接入层设备上增加一定的安全机制来确定接收到的SRv6报文安全可信,这同样需要
用到增强方案的HMAC机制
。
一般地,HMAC用于在边缘路由器上校验SRH,防止SRH等数据被篡改,同时也对数据发送源进行身份验证。所以在增强方案中,需要在边缘路由器上配置对应的HMAC策略。当携带SRH的报文进入SRv6可信域时,将触发HMAC处理。如果SRH不携带HMAC TLV或HMAC校验失败(计算摘要与携带摘要不一致),则丢弃报文。当且仅当HMAC校验成功时,才能放行。
路由器在处理HMAC时,需要先检测IPv6报文头的目的地址字段与Segment List中SL指向的SID地址是否一致,然后检测SL是否大于Last Entry,最后才基于以上的字段计算校验和,并进行校验。通过HMAC,不仅可以确认SRv6报文来自可信主机,还可以确保SRv6 SRH等相关数据在传输的过程中没有被篡改,从而有效保护SRv6网络。
基于当前的IPsec,可以为基础网络提供一定程度的安全保障。在此基础上,通过配置ACL规则的SRv6安全基础方案和使用HMAC校验的安全增强方案,可以确保SRv6域的通信源可信以及报文不被篡改
,从而保障了SRv6域安全,解决了窃听、报文篡改、仿冒、DoS/DDoS等网络安全问题,为当前的SRv6部署提供了充足的保障。
边栏推荐
- 基于事实的结果
- 第二讲 软件生命周期
- Both synchronized and ReentrantLock are smooth, because they are reentrant locks, and a thread will not deadlock if it takes the lock multiple times. We need reentrant locks
- ANT1.7 download and configuration method
- 软测人面试 ,HR 会问到哪些问题?学会涨薪3000+
- ANT1.7下载以及配置方法
- How to right use of WebSocket in project
- 打卡第 1 天:正则表达式学习总结
- 快速web开发框架——learun framework
- QT 子窗口—>主窗口 信号和槽的交互
猜你喜欢
随机推荐
1、网页结构
得不到你的心,就用“分布式锁”锁住你的人
Cocoa Application-基础
FinClip崁入式搭建生态平台,降低合作门槛
剑指Offer | 数值的整数次方
Latex快速插入作者ORCID
看看XDOC如何做Word文档预览
3D激光SLAM:LeGO-LOAM---两步优化的帧间里程计及代码分析
打卡第 2 天: urllib简记
LeetCode143:重排链表
第二讲 软件生命周期
ANT1.7 download and configuration method
The upgrade and transformation plan of the fortress machine for medium and large commercial banks!Must see!
单片机原理[一] 学好单片机必会的五张图
Domestic PMP certificate of gold content how
QT[一] 信号与槽
VSCode - common shortcut keys (continuous recording
炽热如初 向新而生|ISC2022 HackingClub白帽峰会圆满举办!
Driving point cloud format changes bring efficiency improvement
Rt-thread [二] 系统初始化流程