浅谈IPv6网络下的用户管理
2022-06-09
摘要:随着全球IPv4地址的告罄,IPv6的大规模应用已经走上舞台。由于业务与用户的迅猛增长,如何能够将IPv6建设成和IPv4网络一样安全、可管理、可运营的模式成为IPv6网络环境下新的挑战。本文结合在IPv4网络中使用的用户管理模式,探讨了IPv6网络环境下如何对网络接入用户进行控制和管理。
关键词:IPv6;用户管理;身份认证
中图分类号:TP393.0 文献标识码:A
1 引言(Introduction)
在原有的IPv4网络中,主要面临的用户安全和管理问题有伪造报文、ARP攻击、网络身份难以界定等,很多厂商设计、开发了相关技术以解决IPv4网络使用授权与运营、网络行为审计、用户攻击行为、安全准入等问题。而IPv6建设初期是以基础平台搭建为重点,缺乏对用户管理的有效手段,存在用户资源不可控的风险(如基于IPv6网络的用户可控运营、IPv6非法网络行为审计、ND攻击与伪DHCPv6服务等造成的安全隐患、IPv4与IPv6网络使用授权不统一等问题)。
事实上,IPv4网络中的很多接入控制技术都可以应用到IPv6网络中。基于TCP/IP二层的身份认证技术,基本上不做变动就可以使用;基于三层的技术一般需要做相应的改动。我们不妨参考IPv4网络下的管理模式来看看,IPv6网络环境下如何对网络接入用户进行控制和管理。
2 静态绑定IP、MAC地址(Static binding IP, MAC
address)
在IPv4网络中,为了防止非法用户接入网络,常采用静态分配IP地址的管理模式,通过IP地址、MAC地址、接入交换机端口的绑定来实现用户的接入控制。这种控制手段是比较严格的,即使盗用者修改了IP地址,也会因MAC地址不匹配而盗用失败。且事后行为审计也较容易,由于网卡MAC地址的唯一性,可以根据MAC地址以及接入交换机的端口信息,准确的定位接入位置和该MAC地址对应的电脑终端[1]。但这种管理模式通常要求网络接入设备具有管理能力,能够支持IP和端口绑定,每端口成本相对较高。且这种管理手段并不能阻止局域网内的IP仿冒和违规活动,同时也增加了网管工作量,限制了用户的移动漫游。此外,静态IP地址分配方式还存在地址利用率低和地址回收困难的问题。因此采用此管理模式的网络不多。
在IPv6网络中继续沿用此方式同样会存在问题,因为IPv6地址相对于IPv4地址而言,在长度和易记性上复杂得多。此外,由于无线网络和智能终端的不断普及,IPv6网络中,用户常常需要进行漫游,因此也难保证使用固定的IPv6地址。基于以上原因,IPv6网络中用户计算机很少采用手工配置地址。虽然IPv6网络中采用静态分配并绑定IPv6地址、MAC方式在技术上是可行的,但由于静态配置地址会比较麻烦,一般不予推荐。
3 动态绑定IPv6 和MAC地址(Dynamic binding of
IPv6 and MAC)
与静态绑定相比,动态绑定在IPv4中应用更加普及。依托于DHCP Snooping技术,可以监控用户申请IP地址时的报文交互过程,并将用户获取的IPv4地址、MAC和交换机端口自动做严格绑定,因此在防ARP、DHCP攻击方面,比较有优势。但这种方式在事后审计某IP地址对应的用户时比较费力。由于MAC地址是匿名未登记的,根据IP和时间查出MAC地址也无法定位用户。所以这种方式要实现用户定位,必须和别的系统相配合使用[2]。例如依赖于某些网关系统,通过定时扫描IP、MAC和端口的对应关系并记录,事后根据IP地址查找到对应的物理端口。但如果网络中存在Hub的情况或是有大量终端设备进行漫游时,用户一样很难定位。因此该种方式在定位用户时仍然有缺陷,一般需要配合其他的认证方式。
在IPv6网络中,尽管有SLAAC和DHCPv6等技术来解决报文源地址伪造的问题。但通过分析可以发现,在协议交互过程中,终端主机始终没有发送用户名和密码的机制,因此严格来说不能算作是一种接入认证技术,更多地是一种终端配置实现,包括地址、DNS地址、缺省网关、时效等参数。因此,在IPv6部署这种技术手段的缺陷和IPv4是类似的。
4 802.1X认证技术(802.1X authentication
technology)
802.1X是IPv4网络中应用范围广、历史悠久的网络接入认证技术。它是一种二层技术,因此对IPv4和IPv6网络均可使用。由于802.1X是基于用户账号的,因此可以支持用户在网络内的漫游。但802.1X在应用于IPv6时,需要考虑双栈的情况。在IPv4、IPv6双栈环境下,原有的IPv4用户会升级为IPv6/IPv4的双栈客户端,在这种情况下,需要对原有的IPv4用户认证系统进行升级,使得客户端、认证服务器能够识别一个双栈用户,对其进行相应的认证并执行对应的安全措施[3]。