Validação de endereço MAC do cliente DHCPv6 para evitar sequestro de sessão
A partir do Junos OS Release 18.2R1, existe um mecanismo não configurável para servidores locais DHCPv6 e agentes de retransmissão para descartar pacotes de um cliente com um endereço MAC desconhecido para evitar que um cliente mal-intencionado sequestre uma sessão. Quando um servidor local DHCPv6 ou agente de retransmissão recebe uma mensagem de solicitação de um cliente para estabelecer uma sessão, ele extrai o endereço MAC do cliente (endereço da camada de link) da mensagem e o adiciona a uma tabela local que mapeia endereços MAC para endereços IPv6 ou prefixos do cliente. O servidor ou agente de retransmissão usa essa tabela para comparar endereços MAC recebidos em mensagens subsequentes do cliente para validar se o cliente é conhecido; caso contrário, presume-se que seja mal-intencionado e o pacote de controle é descartado. Como o pacote falhou na validação MAC, o contador de validação MAC do cliente é incrementado.
A suposição aqui é que o cliente que envia a mensagem de solicitação inicial é benigno. Nesse caso, a validação de endereço MAC do cliente protege contra um cliente mal-intencionado que tenta sequestrar uma sessão do cliente que já está estabelecida ou em processo de estabelecimento. A validação do endereço MAC do cliente não protege contra um cliente mal-intencionado que envia a mensagem de solicitação inicial.
Quando nenhum agente de retransmissão estiver presente; O servidor local compartilha um link ou nó de acesso com o cliente. Nesse caso, o servidor local extrai o endereço MAC do cliente diretamente do cabeçalho da Camada 2 do pacote de controle DHCPv6 e valida o endereço em relação à tabela.
Quando um agente de retransmissão está presente, a validação é executada pelo agente de retransmissão. RFC 6939, Opção de endereço de camada de link do cliente no DHCPv6, permite que os agentes de retransmissão DHCPv6 conectados ao mesmo link que um cliente DHCPv6 extraiam o endereço MAC do cliente do cabeçalho Ethernet (Camada 2) no pacote de controle DHCPv6 recebido. O pacote inclui o endereço da camada de enlace do cliente como o endereço MAC de origem em seu cabeçalho Ethernet. O agente de retransmissão valida o endereço MAC em relação ao valor desse cliente armazenado em sua tabela local. Se o endereço não corresponder, ele descarta o pacote.
Se o endereço for validado pelo agente de retransmissão e o pacote não for descartado, o agente de retransmissão também incluirá esse endereço MAC na opção 79 (Endereço da camada de enlace do cliente) no cabeçalho da mensagem de encaminhamento de retransmissão DHCPv6 que o agente de retransmissão envia ao servidor local. Quando o servidor local DHCPv6 recebe uma mensagem de encaminhamento de retransmissão de um agente de retransmissão, o servidor examina automaticamente a mensagem quanto à presença da opção 79. Quando a opção está presente, o servidor local extrai o endereço MAC e o valida em relação ao valor armazenado na tabela para esse cliente. Se a opção 79 não estiver presente, o servidor local não poderá executar a validação.
No entanto, como o agente de retransmissão já validou o endereço, o servidor local não deve descobrir nenhuma incompatibilidade de endereço.
Os cenários a seguir descrevem possíveis configurações do agente de retransmissão e suas implicações para a validação do servidor:
Um único agente de transmissão DHCPv6 leve (LDRA; Camada 2) está conectada entre o cliente e o servidor. Se o LDRA não adicionou a opção 79 ao cabeçalho, o servidor local extrairá o endereço MAC do cliente diretamente do cabeçalho de Camada 2 do pacote de controle DHCPv6 e validará o endereço em relação à tabela.
Um ou mais agentes de retransmissão DHCPv6 de Camada 3 estão conectados entre o cliente e o servidor. Nesse caso, o servidor verifica a opção 79 no cabeçalho da mensagem de encaminhamento de retransmissão mais interna enviada pelo agente de retransmissão. O cabeçalho mais interno é exibido porque é o cabeçalho modificado pelo primeiro agente de retransmissão alcançado pelo cliente. Outros cabeçalhos são adicionados por agentes de retransmissão subsequentes no caminho. Esses agentes não adicionam a opção 79 e não podem extrair o endereço MAC do cabeçalho de Camada 2 do primeiro agente de retransmissão, porque esse agente altera o endereço para seu próprio endereço, assim como cada agente de retransmissão subsequente.
Uma combinação de um agente de retransmissão de Camada 2 (LDRA) voltado para o cliente seguido por um ou mais agentes de retransmissão DHCPv6 de Camada 3 é conectada entre o cliente e o servidor. O servidor verifica a opção 79 no cabeçalho mais interno da mensagem de encaminhamento de retransmissão enviada pelo agente de retransmissão. Se o LDRA não adicionou a opção 79 ao cabeçalho, provavelmente não será capaz de alterar o endereço MAC no cabeçalho para o seu próprio. Consequentemente, o servidor verifica o segundo cabeçalho mais interno para a opção, porque o primeiro agente de retransmissão de Camada 3 pode ter extraído o endereço MAC e adicionado a opção 79 para transmitir o endereço.
Nenhuma configuração é necessária para habilitar a validação de endereços MAC do cliente. Você pode exibir quantos pacotes de controle foram descartados devido a uma falha de validação emitindo o show dhcpv6 server statistics comando.
Benefícios da validação de endereço MAC do cliente
A validação de endereço MAC do cliente permite que você evite que um cliente DHCPv6 com um endereço MAC desconhecido sequestre uma sessão estabelecida por um cliente conhecido. O uso de endereços MAC de cliente DHCPv6 provavelmente aumentará, pois é conveniente para correlacionar clientes DHCPv4 e DHCPv6 em um ambiente de pilha dupla.
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.