分类
动态

漫谈IPv6之用户管理

继上一篇文章《子网IP地址规划》谈到IP地址后,今天继续聊关于IP地址的话题,不过今天咱们要聊的是IPv6地址。

随着2019年11月26日全球43亿个IPv4地址中最后一批的分配完毕,意味着没有更多的IPv4地址可以分配给ISP和其他大型网络基础设施提供商。最早关于IPv4地址的全面系统介绍见于1980年1月发表的RFC 760文件中,没曾想这个IPv4地址不到40年就分配完毕了!这里要说一点,分配完毕不代表其他组织和个人就没有IPv4地址可用了,分配完毕和可用是两个概念。例如咱们的家用网络和手机网络,就是使用动态IP方式来上网,家里的带宽网络、手机网络以及一些使用PPPoE线路上网的小型公司,都是使用动态IP技术来完成互联网的接入,即将有限的IP地址动态的分配给需要连接Internet的用户,在用户不使用时或者固定时间到期后,定期轮换IP地址。

随着全球IPv4地址的告罄,IPv6的规模应用已经逐步展开。由于业务与用户的迅猛增长,如何将IPv6建设成和IPv4网络一样安全、可管理、可运营成为IPv6网络环境下新的挑战。

IPv4地址设计可用数为2的32次方,即4294967296,约合43亿个。除去组播地址和部分保留地址,实际可用数字远没有43亿个。
IPv6地址设计可用数为2的128次方,即340282366920938463463374607431768211456,受限于我的文化水平,这串数字我都没办法用个十百千万的单位读出来。举一个不可靠、无法验证的例子说明:可以为地球上每一粒沙子都匹配一个IPv6地址。

在原有的IPv4网络中,主要面临的用户安全和管理问题有重放攻击、ARP攻击、网络身份难以界定等,很多厂商设计、开发了相关技术以解决IPv4网络使用授权与运营、网络行为审计、用户攻击行为、安全准入等问题。而IPv6建设初期是以基础平台搭建为重点,缺乏对用户管理的切实有效手段,存在用户资源不可控的风险(如基于IPv6网络的用户可控运营、IPv6非法网络行为审计、ND攻击与伪DHCPv6服务等造成的安全隐患、IPv4与IPv6网络使用授权不统一等问题)。

事实上,IPv4网络的中的很多接入控制技术都可以应用到IPv6网络中。基于TCP/IP二层的身份认证技术,基本上不做变动就可以使用;基于三层的技术一般需要做相应的改动。我们不妨参考IPv4网络下的管理模式来看看,IPv6网络环境下如何对网络接入用户进行控制和管理。

模式一:静态绑定IP、MAC地址

在IPv4网络中,为了防止非法用户接入网络,常采用静态分配IP地址的管理模式,通过IP地址、MAC地址、接入交换机端口的绑定来实现用户的接入控制。这种控制手段是比较严格的,即使盗用者修改了IP地址,也会因MAC地址不匹配而盗用失败。且事后行为审计也较容易,由于网卡MAC地址的唯一性,可以根据MAC地址以及接入交换机的端口信息,准确的定位接入位置和该MAC地址对应的电脑终端。但这种管理模式通常要求网络接入设备具有管理能力,能够支持IP和端口绑定,每端口成本相对较高。且这种管理手段并不能阻止局域网内的IP仿冒和违规活动,同时也增加了网管工作量,限制了用户的移动漫游。此外,静态IP地址分配方式还存在地址利用率低和地址回收困难的问题。因此采用此管理模式的网络不多。

在IPv6网络中继续沿用此方式同样会存在问题,因为IPv6地址相对于IPv4地址而言,在长度和易记性上复杂得多。此外,由于无线网络和智能终端的不断普及,IPv6网络中,用户常常需要进行漫游,因此也难保证使用固定的IPv6地址。基于以上原因,IPv6网络中用户计算机很少采用手工配置地址。虽然IPv6网络中采用静态分配并绑定IPv6地址、MAC方式在技术上是可行的,但由于静态配置地址会比较麻烦,通常不推荐。

模式二:动态绑定IPv6 和MAC地址

与静态绑定相比,动态绑定在IPv4中应用更加普及。依托于DHCP Snooping技术,可以监控用户申请IP地址时的报文交互过程,并将用户获取的IPv4地址、MAC和交换机端口自动做严格绑定,因此在防ARP、DHCP攻击方面,比较有优势。但这种方式在事后审计某IP地址对应的用户时比较费力。由于MAC地址是匿名未登记的,根据IP和时间查出MAC地址也无法定位用户。所以这种方式要实现用户定位,必须和别的系统相配合使用。例如依赖于某些网关系统,通过定时扫描IP、MAC和端口的对应关系并记录,事后根据IP地址查找到对应的物理端口。但如果网络中存在Hub的情况或是有大量终端设备进行漫游时,用户一样很难定位。因此该种方式在定位用户时仍然有缺陷,一般需要配合其他的认证方式。

在IPv6网络中,尽管有SLAAC和DHCPv6等技术来解决报文源地址伪造的问题。但通过分析可以发现,在协议交互过程中,终端主机始终没有发送用户名和密码的机制,因此严格来说不能算作是一种接入认证技术,更多地是一种终端配置实现,包括地址、DNS地址、缺省网关、时效等参数。因此,在IPv6部署这种技术手段的缺陷和IPv4是类似的。

模式三:802.1X认证技术

802.1X是IPv4网络中应用范围广、历史悠久的网络接入认证技术。它是一种二层技术,因此对IPv4和IPv6网络均可使用。由于802.1X是基于用户账号的,因此可以支持用户在网络内的漫游。但802.1X在应用于IPv6时,需要考虑双栈的情况。在IPv4、IPv6双栈环境下,原有的IPv4用户会升级为IPv6/IPv4的双栈客户端,在这种情况下,需要对原有的IPv4用户认证系统进行升级,使得客户端、认证服务器能够识别一个双栈用户,对其进行相应的认证并执行对应的安全措施。

由于802.1X是在链路层对用户进行认证,当认证完成后,根据接入用户的MAC地址进行控制。而对使用了IPv6/IPv4的双栈用户而言,认证客户端不仅能够在链路层执行用户认证过程,还需要针对这个用户将用户的IPv6/IPv4地址上传到服务器上,为后续针对用户的控制、审计提供必要的支撑。因此认证客户端需要支持对认证网卡上的双栈地址的上传。升级后的认证客户端会在802.1X认证时,将客户端认证网卡上的IPv4地址以及IPv6的全球单播地址通过接入设备上传至认证服务器,完成对双栈用户的识别。

认证服务器需要能够对客户端上传的IPv6/IPv4地址进行记录,对接入用户的日志信息进行审计。除了对用户的接入信息进行审计之外,在认证服务器上还可以对用户的身份信息进行绑定,能够绑定用户的IPv4/IPv6地址,接入端口,MAC地址等信息进行联合绑定,提高用户身份的可信度。

通过对802.1X认证客户端及认证服务器升级,能够处理双栈用户的网络层信息,这样为后续的用户身份审计,用户上网审计提供了有效参考。并且,在网络中能够对双栈用户的各种身份信息进行绑定,大大提高了接入用户的安全性。

模式四:Web Portal认证技术

Web Portal技术也简称为Web认证。未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。Web Portal认证方式由于无客户端、终端兼容性好的优点,近年来大量应用于基于接入或汇聚交换机的准入认证控制,或是企业的准入认证控制系统中。由于Web Portal是基于三层技术,因此交换机、Web Portal服务器和RADIUS服务器都需要进行相应的改造升级,以支持IPv6的Portal认证。

在IPv6环境下用户尝试接入网络时,Web Portal服务器将提供给用户IPv6 HTTP页面,用于输入访问的用户名和密码。用户提交密码后,Web Portal服务器从用户提交的用户名和密码,组装后发送给认证控制设备,由认证控制设备进一步封装为认证请求报文传递给RADIUS服务器,并等待返回认证结果报文。若认证结果成功,认证控制设备将开启受控逻辑端口,允许接入用户访问更多的IPv6网络资源。

虽然在IPv6环境下,Web Portal认证相对于802.1X认证,在控制严格度上略有不足,但是其依赖于无需安装客户端和客户端兼容性好的优点,更适合于在诸多校园及科研机构部署。目前以清华大学、山东大学为领导的《基于Web的以太网接入身份认证技术规范》,就是以Web Portal技术为核心指导思想的网络用户接入规范,为诸多高校的IPv6网络建设指明了一条可以成功复制的技术方向。

最后说一下,随着IPv6新技术的高速发展,新网络环境下的用户接入控制将成为安全问题的核心。无论是通过绑定方式还是接入身份认证方式,都有各自的适用范围。众所周知,用户身份认证是建设安全可信网络的前提条件,真实可信的网络身份认证体系一方面能够让恶意者在做有害行为之前有所顾忌,防微杜渐;另一方面也可以让网络管理者在安全事件发生后能准确及时地找到肇事者,在一定程度上防止安全事件的再次发生。因此,802.1X认证技术和基于Web Portal的用户身份认证技术,在IPv6网络下提供了更好的易用性和兼容性,将安全性和易用性进行有机结合,不仅大大降低了用户接受认证的阻力,也更好地满足了网络的身份准入安全和网络易管理易部署的要求。

发表评论

电子邮件地址不会被公开。 必填项已用*标注