Zum Hauptinhalt springen

7. Security Considerations (Sicherheitsüberlegungen)

7. Security Considerations (Sicherheitsüberlegungen)

Dieser Abschnitt überprüft Sicherheitsüberlegungen im Zusammenhang mit dem SRH, unter Berücksichtigung der in diesem Dokument diskutierten SRH-Verarbeitung und Bereitstellungsmodelle.

Wie in Abschnitt 5 beschrieben, ist es notwendig, den Pakete-Ingress zur SR-Domäne zu filtern, die für SIDs innerhalb der SR-Domäne bestimmt sind (d.h. eine SID in der Zieladresse tragen). Diese Ingress-Filterung erfolgt über eine IACL an SR-Domänen-Ingress-Border-Knoten. Zusätzlicher Schutz wird über eine IACL an jedem SR-Segment-Endpunkt-Knoten angewendet, der Pakete filtert, die nicht aus der SR-Domäne stammen und für SIDs in der SR-Domäne bestimmt sind. ACLs werden problemlos für kleine Mengen selten wechselnder Präfixe unterstützt, was die Zusammenfassung wichtig macht.

Zusätzlich SOLLTE Ingress-Filterung von IPv6-Quelladressen wie in BCP 38 [RFC2827] empfohlen verwendet werden.

7.1. SR Attacks (SR-Angriffe)

Eine SR-Domäne implementiert verteilten und knotenweisen Schutz, wie in Abschnitt 5.1 beschrieben. Zusätzlich verweigern Domänen Verkehr mit gefälschten Adressen durch Implementierung der Empfehlungen in BCP 84 [RFC3704].

Die vollständige Implementierung des empfohlenen Schutzes blockiert die in [RFC5095] dokumentierten Angriffe von außerhalb der SR-Domäne, einschließlich der Umgehung von Filtergeräten, des Erreichens ansonsten unerreichbarer Internet-Systeme, der Netzwerktopologie-Erkennung, der Bandbreitenerschöpfung und der Niederlage von Anycast.

Das Versäumnis, verteilten und knotenweisen Schutz zu implementieren, ermöglicht es Angreifern, Filtergeräte zu umgehen und setzt die SR-Domäne diesen Angriffen aus.

Kompromittierte Knoten innerhalb der SR-Domäne können die oben aufgeführten Angriffe zusammen mit anderen bekannten Angriffen auf IP-Netzwerke durchführen (z.B. DoS/DDoS, Topologie-Erkennung, Man-in-the-Middle, Verkehrsabfangen/Verkehrsableitung).

7.2. Service Theft (Dienstdiebstahl)

Dienstdiebstahl ist definiert als die Nutzung eines von der SR-Domäne angebotenen Dienstes durch einen Knoten, der nicht zur Nutzung des Dienstes berechtigt ist.

Dienstdiebstahl ist innerhalb der SR-Domäne kein Anliegen, da alle SR-Quellknoten und SR-Segment-Endpunkt-Knoten innerhalb der Domäne in der Lage sind, die Dienste der Domäne zu nutzen. Wenn ein Knoten außerhalb der SR-Domäne von Segmenten oder einem topologischen Dienst innerhalb der SR-Domäne erfährt, verweigert die IACL-Filterung den Zugriff auf diese Segmente.

7.3. Topology Disclosure (Topologie-Offenlegung)

Der SRH ist unverschlüsselt und kann SIDs einiger zwischengeschalteter SR-Knoten auf dem Pfad zum Ziel innerhalb der SR-Domäne enthalten. Wenn Pakete innerhalb der SR-Domäne belauscht werden können, kann der SRH Topologie, Verkehrsflüsse und Dienstnutzung offenbaren.

Dies ist innerhalb einer SR-Domäne anwendbar, aber die Offenlegung ist weniger relevant, da ein Angreifer andere Mittel hat, um Topologie, Flüsse und Dienstnutzung zu erfahren.

7.4. ICMP Generation (ICMP-Generierung)

Die Generierung von ICMPv6-Fehlermeldungen kann verwendet werden, um Denial-of-Service-Angriffe zu versuchen, indem eine fehlerverursachende Zieladresse oder SRH in aufeinanderfolgenden Paketen gesendet wird. Eine Implementierung, die Abschnitt 2.4 von [RFC4443] korrekt befolgt, würde durch den ICMPv6-Ratenbegrenzungsmechanismus geschützt sein.

7.5. Applicability of AH (Anwendbarkeit von AH)

Die SR-Domäne ist eine vertrauenswürdige Domäne, wie in [RFC8402], Abschnitte 2 und 8.2 definiert. Die SR-Quelle ist vertrauenswürdig, einen SRH hinzuzufügen (optional verifiziert als von einer vertrauenswürdigen Quelle über das HMAC TLV in diesem Dokument generiert), und Segmente, die innerhalb der Domäne angekündigt werden, sind vertrauenswürdig, genau zu sein und von vertrauenswürdigen Quellen über eine sichere Kontrollebene angekündigt zu werden. Als solche verlässt sich die SR-Domäne nicht auf den Authentication Header (AH), wie in [RFC4302] definiert, um den SRH zu sichern.

Die Verwendung von SRH mit AH durch einen SR-Quellknoten und seine Verarbeitung an einem SR-Segment-Endpunkt-Knoten sind in diesem Dokument nicht definiert. Zukünftige Dokumente können die Verwendung von SRH mit AH und seine Verarbeitung definieren.

Letztes Update am