7. Security Considerations (安全考虑)

本节回顾与 SRH 相关的安全考虑, 基于本文档中讨论的 SRH 处理和部署模型。

如第 5 节所述, 有必要对进入 SR 域的数据包进行过滤, 这些数据包的目的地为 SR 域内的 SID (即在目的地址中携带 SID)。此入口过滤通过 SR 域入口边界节点上的 IACL 来实现。每个 SR 段端点节点还通过 IACL 应用额外保护, 过滤来自 SR 域外部但目的地为 SR 域内 SID 的数据包。ACL 很容易支持少量很少更改的前缀, 这使得汇总变得很重要。

此外, 应该 (SHOULD) 使用 BCP 38 [RFC2827] 中推荐的 IPv6 源地址入口过滤。

7.1. SR Attacks (SR 攻击)

SR 域实现了如第 5.1 节所述的分布式和逐节点保护。此外, 域通过实施 BCP 84 [RFC3704] 中的建议来拒绝具有欺骗地址的流量。

完全实施推荐的保护可以阻止 [RFC5095] 中记录的来自 SR 域外部的攻击, 包括绕过过滤设备、访问原本无法访问的互联网系统、网络拓扑发现、带宽耗尽和破坏任播。

未能实施分布式和逐节点保护会使攻击者能够绕过过滤设备, 并使 SR 域暴露于这些攻击。

SR 域内受损的节点可能会发起上述攻击以及其他已知的 IP 网络攻击 (例如 DoS/DDoS、拓扑发现、中间人攻击、流量拦截/虹吸)。

7.2. Service Theft (服务盗用)

服务盗用被定义为未经授权使用服务的节点使用 SR 域提供的服务。

服务盗用在 SR 域内不是一个问题, 因为域内的所有 SR 源节点和 SR 段端点节点都能够利用域的服务。如果 SR 域外的节点获知 SR 域内的段或拓扑服务, IACL 过滤将拒绝对这些段的访问。

7.3. Topology Disclosure (拓扑泄露)

SRH 是未加密的, 并且可能包含 SR 域内通往目的地路径中某些中间 SR 节点的 SID。如果可以在 SR 域内窃听数据包, SRH 可能会泄露拓扑、流量流向和服务使用情况。

这适用于 SR 域内, 但泄露不太相关, 因为攻击者有其他方法来了解拓扑、流量和服务使用情况。

7.4. ICMP Generation (ICMP 生成)

生成 ICMPv6 错误消息可能被用于尝试拒绝服务攻击, 方法是连续发送导致错误的目的地址或 SRH 数据包。正确遵循 [RFC4443] 第 2.4 节的实现将受到 ICMPv6 速率限制机制的保护。

7.5. Applicability of AH (AH 的适用性)

SR 域是一个可信域, 如 [RFC8402] 第 2 节和第 8.2 节中所定义。SR 源被信任添加 SRH (可选地通过本文档中的 HMAC TLV 验证为由可信源生成), 并且域内通告的段被信任为准确的并由可信源通过安全控制平面通告。因此, SR 域不依赖 [RFC4302] 中定义的认证头 (Authentication Header, AH) 来保护 SRH。

SR 源节点使用 SRH 与 AH 以及 SR 段端点节点对其的处理在本文档中未定义。未来的文档可能会定义 SRH 与 AH 的使用及其处理。