有效提高寬帶城域網(wǎng)安全性

林 瀟

中國(guó)聯(lián)通福州分公司，福建福州 350001

0 引言

隨著互聯(lián)網(wǎng)的日益普及，人們通過(guò)網(wǎng)絡(luò)來(lái)查找資料、交流信息，對(duì)企業(yè)而言網(wǎng)絡(luò)更是占有舉足輕重的地位，電子商務(wù)得到了飛速的發(fā)展。但是由于互聯(lián)網(wǎng)本身所具有的開(kāi)放性與設(shè)計(jì)缺陷，使其極易受到攻擊，用戶(hù)輕著網(wǎng)絡(luò)癱瘓，重著企業(yè)敏感信息丟失，蒙受巨大經(jīng)濟(jì)損失。網(wǎng)絡(luò)攻擊行為也為運(yùn)營(yíng)商網(wǎng)絡(luò)的正常運(yùn)營(yíng)帶來(lái)了巨大壓力，當(dāng)攻擊行為大面積爆發(fā)時(shí)造成網(wǎng)絡(luò)擁塞，無(wú)用信息占據(jù)了網(wǎng)絡(luò)的大量帶寬，網(wǎng)絡(luò)傳輸時(shí)延、丟包率、差錯(cuò)率明顯上升，對(duì)用戶(hù)的服務(wù)質(zhì)量顯著下降。因此，熟悉了解網(wǎng)絡(luò)攻擊并進(jìn)行有效的防護(hù)，對(duì)提高網(wǎng)絡(luò)質(zhì)量有重要意義。

1 提高城域網(wǎng)核心、匯聚層設(shè)備的安全性

1.1 提高設(shè)備自身基本穩(wěn)定性方法

1）服務(wù)進(jìn)程安全：要求遵循最小化服務(wù)原則，關(guān)閉網(wǎng)絡(luò)設(shè)備不需要的服務(wù)；

2）遠(yuǎn)程訪問(wèn)管理安全：建議使用集中認(rèn)證、單點(diǎn)登錄等方式控制維護(hù)人員遠(yuǎn)程訪問(wèn)；

3）設(shè)備關(guān)鍵資源保護(hù)：利用設(shè)備的自身安全特征，提高設(shè)備的安全水平，保護(hù)路由引擎CPU 資源；

4）密碼管理安全：不允許使用缺省配置的用戶(hù)和口令，口令必須進(jìn)行加密；

5）完善設(shè)備網(wǎng)管，提高網(wǎng)管安全：建立統(tǒng)一網(wǎng)管平臺(tái)，采用集中監(jiān)控，注意設(shè)備流量情況，及時(shí)處理告警；僅允許授權(quán)網(wǎng)段訪問(wèn)路由器的SNMP 服務(wù)；盡量使用SNMP 3.0，community 屬性設(shè)置為只讀；

6）設(shè)備安全審計(jì)：設(shè)備必須啟用日志，記錄中高風(fēng)險(xiǎn)事件，并對(duì)高風(fēng)險(xiǎn)事件產(chǎn)生告警，定期對(duì)設(shè)備日志進(jìn)行審計(jì)。

1.2 路由器安全性與可靠性提升

路由器是城域網(wǎng)中的主要設(shè)備，城域核心路由器主要完成IP業(yè)務(wù)的交換及路由選擇，并通過(guò)高速端口與主干網(wǎng)絡(luò)相連；匯聚路由器完成業(yè)務(wù)的匯聚，提供流量控制和用戶(hù)管理功能。因此必須對(duì)路由器設(shè)置進(jìn)行合理規(guī)劃、配置，采取必要的安全保護(hù)措施，避免因路由器自身安全問(wèn)題而給整個(gè)網(wǎng)絡(luò)帶來(lái)漏洞和風(fēng)險(xiǎn)。

1）限制動(dòng)態(tài)路由開(kāi)啟端口，為路由器間的協(xié)議交換增加認(rèn)證功能

路由器重要功能是路由的管理和維護(hù)，目前網(wǎng)絡(luò)一般采用動(dòng)態(tài)的路由協(xié)議，城域網(wǎng)常用的有：OSPF、IS-IS、BGP等。當(dāng)路由器設(shè)置了相同路由協(xié)議與區(qū)域標(biāo)示符加入網(wǎng)絡(luò)后，會(huì)學(xué)習(xí)網(wǎng)絡(luò)上的路由信息表，可能導(dǎo)致網(wǎng)絡(luò)拓?fù)湫畔⑿孤瑫r(shí)也可能由于用戶(hù)設(shè)備向網(wǎng)絡(luò)發(fā)送自己的路由表，擾亂網(wǎng)絡(luò)正常工作的路由表，嚴(yán)重時(shí)可以使整個(gè)網(wǎng)絡(luò)癱瘓。解決辦法是限制動(dòng)態(tài)路由開(kāi)啟端口，同時(shí)對(duì)網(wǎng)絡(luò)內(nèi)的路由器之間的路由信息交換進(jìn)行認(rèn)證，避免外部設(shè)備干擾網(wǎng)內(nèi)路由。

2）保護(hù)路由器設(shè)置口令

路由器配置文件密碼即使是加密形式存放，仍存在被破解的可能，一旦密碼泄漏網(wǎng)絡(luò)將毫無(wú)安全可言，因此應(yīng)該妥善保存設(shè)備配置文件，定期更新設(shè)備密碼。

3）阻止察看路由器診斷信息

4）推薦的路由器安全性設(shè)置

（1）關(guān)閉Cisco設(shè)備發(fā)現(xiàn)協(xié)議（CDP服務(wù)）

CDP使用OSI二層協(xié)議來(lái)查找鄰居設(shè)備的信息：設(shè)備平臺(tái)、操作系統(tǒng)版本、端口、IP地址等，不過(guò)CDP有1個(gè)缺陷：它對(duì)所有發(fā)出相應(yīng)請(qǐng)求的設(shè)備都進(jìn)行應(yīng)答，可以用命令： no cdp running或no cdp enable關(guān)閉該服務(wù)。

（2）管理HTTP服務(wù)

許多設(shè)備允許使用WEB瀏覽器進(jìn)行配置和監(jiān)控，在不必要時(shí)應(yīng)關(guān)閉設(shè)備HTTP服務(wù)，如果必須使用HTTP服務(wù)，嚴(yán)格控制允許訪問(wèn)的IP地址，同時(shí)設(shè)定授權(quán)限制。

（3）管理ntp服務(wù)

路由器使用ntp服務(wù)來(lái)進(jìn)行時(shí)間同步，當(dāng)使用ntp服務(wù)時(shí)，應(yīng)當(dāng)使用MD5算法來(lái)認(rèn)證ntp數(shù)據(jù)包發(fā)送者，不使用的話應(yīng)當(dāng)關(guān)閉ntp服務(wù)。

（4）關(guān)閉UDP/TCP/Finger服務(wù)

（5）部分危險(xiǎn)ICMP報(bào)文的處理

IP unreachable與ICMP redirect報(bào)文常被DOS攻擊利用，路由器外部接口應(yīng)關(guān)閉對(duì)上述報(bào)文的處理與響應(yīng)。

（6）阻止路由器接收帶源路由標(biāo)記的包，將帶有源路由選項(xiàng)的數(shù)據(jù)流丟棄

（7）關(guān)閉路由器定向廣播

1.3 寬帶接入服務(wù)器BRAS安全性與可靠性提升

BRAS 是寬帶網(wǎng)絡(luò)重要的設(shè)施，負(fù)責(zé)終結(jié)用戶(hù)的PPPoE連接，完成用戶(hù)認(rèn)證計(jì)費(fèi)；應(yīng)該采取相應(yīng)的措施提高BRAS 的安全性和可用性。

2 利用冗余設(shè)計(jì)避免單點(diǎn)故障大容量的BRAS能提供冗余設(shè)計(jì)，應(yīng)充分利用冗余特性提高設(shè)備穩(wěn)定性

1）在關(guān)鍵部件的配置上，如主控與交換單元進(jìn)行1+1 熱備，設(shè)備電源雙路供電；

2）設(shè)備滿(mǎn)足在主控板熱切換時(shí)，用戶(hù)不重?fù)?，業(yè)務(wù)不中斷，用戶(hù)無(wú)感知；

3）通過(guò)同一業(yè)務(wù)板不同端口捆綁或不同業(yè)務(wù)單板上的端口捆綁，保證用戶(hù)接入的可靠性；

4）在設(shè)計(jì)和規(guī)劃上，BRAS 應(yīng)提供雙上行至城域網(wǎng)核心設(shè)備，上行端口雙歸屬等價(jià)路由，實(shí)現(xiàn)鏈路備份和負(fù)載均衡。

3 利用BRAS 自身的安全特性提高設(shè)備的安全性，尤其重要的是保護(hù)BRAS 主控板CPU 資源

1）主控板應(yīng)啟用資源保護(hù)的能力，能識(shí)別進(jìn)入主控板的異常流量，并能阻塞進(jìn)入主控CPU 的異常流量。

2）嚴(yán)格限制對(duì)BRAS的遠(yuǎn)程登錄管理，限制用戶(hù)訪問(wèn)管理地址段；

3）在輸入端口對(duì)廣播包數(shù)量進(jìn)行限制（廣播包閾值的設(shè)置要考慮PPPOE接入的影響）；

4）Port Security 防范CAM 攻擊；5）根據(jù)BRAS 容量和寬帶應(yīng)用的實(shí)際情況，預(yù)留流量攻擊所消耗帶寬，調(diào)整BRAS 并發(fā)用戶(hù)數(shù)。

4 提高LAN PPPOE 接入的安全性

公眾用戶(hù)主要采用PPPOE接入方式，提高PPPOE接入的安全性能夠有效提高整個(gè)城域網(wǎng)的安全與穩(wěn)定性：

1）細(xì)化Vlan 劃分，控制單個(gè)Vlan 的用戶(hù)數(shù)，盡量采用端口隔離技術(shù)（PVlan和UpLink）隔離，避免同一VLAN 用戶(hù)相互干擾；

2）如BRAS 支持QINQ功能，并且二層網(wǎng)絡(luò)允許，建議采用QINQ配置；

3）實(shí)施廣播包速率限制（broadcast-limit），防止小區(qū)用戶(hù)對(duì)寬帶接入服務(wù)器和匯聚層實(shí)施二層DOS 攻擊；

4）針對(duì)虛假BRAS干擾LAN PPPOE 用戶(hù)正常接入情況，應(yīng)充分利用設(shè)備支持的安全特征 （如PVlan 配置和UpLink 端口隔離配置）加以控制；對(duì)于不支持該安全特征的設(shè)備，可采取定期掃描的方式，及時(shí)屏蔽干擾設(shè)備。

5 Sniffer介紹與防御

5.1 Sniffer 介紹與原理

Sniffe是一種威脅極大的被動(dòng)攻擊工具。使用這種工具，可以監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流動(dòng)的情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ．?dāng)信息以明文的形式在網(wǎng)絡(luò)傳輸時(shí)，便可以使用這種方式來(lái)進(jìn)行偵聽(tīng)。當(dāng)黑客成功控制了一臺(tái)主機(jī)后，他常常會(huì)在其上安裝Sniffer，對(duì)以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進(jìn)行偵聽(tīng)，以發(fā)現(xiàn)重要的信息，為進(jìn)一步入侵準(zhǔn)備。

5.2 Sniffer監(jiān)測(cè)與防御

由于Sniffer是一種被動(dòng)攻擊工具，發(fā)現(xiàn)一個(gè)Sniffer是很困難的，但仍然有辦法抵御它的嗅探。首先，應(yīng)該對(duì)重要信息進(jìn)行有效的加密處理后再進(jìn)行傳輸，這樣即使黑客通過(guò)Sniffer捕捉到了數(shù)據(jù)包，也無(wú)法解密。其次使用安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，路由器、交換機(jī)都能夠有效的隔離網(wǎng)絡(luò)廣播，使用交換機(jī)對(duì)用戶(hù)進(jìn)行有效VLAN的劃分可以防止Sniffer的非法的偵聽(tīng)，提高網(wǎng)絡(luò)安全性。

6 拒絕服務(wù)（DoS）的介紹與防御

6.1 拒絕服務(wù)介紹

“拒絕服務(wù)”是一種簡(jiǎn)單的破壞性攻擊，攻擊者利用TCP/IP協(xié)議中的弱點(diǎn)或系統(tǒng)安全漏洞，對(duì)目標(biāo)發(fā)起進(jìn)攻，致使攻擊目標(biāo)無(wú)法對(duì)合法用戶(hù)提供正常的服務(wù)。

6.2 拒絕服務(wù)的防護(hù)

1）為了防止接入路由器成為DoS攻擊的廣播放大器應(yīng)在接入路由器接口上使用：no ip directed-broadcast；

2）采用訪問(wèn)控制列表對(duì)所有進(jìn)出流量進(jìn)行過(guò)濾，過(guò)濾掉源地址為私有和保留的IP包，同時(shí)讓路由器進(jìn)行ICMP相反路徑校驗(yàn)，丟棄那些沒(méi)有路徑存在的包，防止源IP地址欺騙；

3）參照RFC 2267，使用訪問(wèn)控制列表（ACL）過(guò)濾進(jìn)出報(bào)文，過(guò)濾掉源地址為私有和保留的IP包，同時(shí)讓路由器進(jìn)行ICMP相反路徑校驗(yàn)，丟棄那些沒(méi)有路徑存在的包，防止源IP地址欺騙。

參考以下例子：{ISP中心} -ISP端邊界路由器 - 客戶(hù)端邊界路由器 - {客戶(hù)端網(wǎng)絡(luò)}

ISP端邊界路由器應(yīng)該只接受源地址屬于客戶(hù)端網(wǎng)絡(luò)的通信，而客戶(hù)端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶(hù)端網(wǎng)絡(luò)過(guò)濾的通信。

1）采用CAR（Committed acces rate 承諾訪問(wèn)速率)來(lái)對(duì)ICMP數(shù)據(jù)風(fēng)暴進(jìn)行限制。先利用訪問(wèn)控制列表對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)，定義ICMP數(shù)據(jù)流，然后利用CAR有選擇的進(jìn)行數(shù)據(jù)流量的限制。

2）對(duì)SYN包進(jìn)行管理與控制。如：可以先查出正常狀態(tài)下的SYN流量，從而使用CAR來(lái)對(duì) SYN流量進(jìn)行管理與限制，同時(shí)還可以在接入路由器上采用TCP攔截來(lái)防御SYN攻擊。

啟用接入路由器的日志功能，以便于查找Dos攻擊源。

流量清洗系統(tǒng)的使用:

（1）流量清洗系統(tǒng)介紹

流量清洗系統(tǒng)主要是針對(duì)網(wǎng)絡(luò)發(fā)生的DOS/DDOS攻擊進(jìn)行有效的監(jiān)控、告警和防護(hù)，系統(tǒng)對(duì)進(jìn)入保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)包括DOS攻擊在內(nèi)的異常流量，在不影響正常業(yè)務(wù)的前提下清洗掉異常流量，有效提升網(wǎng)絡(luò)安全性與健壯性。

（2）流量清洗系統(tǒng)通常部署在寬帶城域網(wǎng)出口，整個(gè)系統(tǒng)由三部分組成：異常流量檢測(cè)平臺(tái)、異常流量清洗平臺(tái)和業(yè)務(wù)管理平臺(tái)。系統(tǒng)工作過(guò)程主要分為三個(gè)步驟。第一步，利用專(zhuān)用的檢測(cè)設(shè)備對(duì)用戶(hù)業(yè)務(wù)流量進(jìn)行分析監(jiān)控。第二步，當(dāng)用戶(hù)遭受到DOS/DDOS攻擊時(shí)，檢測(cè)設(shè)備上報(bào)給專(zhuān)用的業(yè)務(wù)管理平臺(tái)生成清洗任務(wù)，將用戶(hù)流量牽引到流量清洗中心。第三步，流量清洗中心對(duì)牽引過(guò)來(lái)的用戶(hù)流量進(jìn)行清洗，并將清洗后的用戶(hù)合法流量回注到城域網(wǎng)，同時(shí)上報(bào)清洗日志到業(yè)務(wù)管理平臺(tái)生成報(bào)表。

7 網(wǎng)絡(luò)病毒防御

7.1 網(wǎng)絡(luò)病毒介紹

目前對(duì)網(wǎng)絡(luò)設(shè)備影響最大的主要是蠕蟲(chóng)病毒，蠕蟲(chóng)病毒對(duì)網(wǎng)絡(luò)設(shè)備的沖擊形式主要有兩種：一是堵塞帶寬，導(dǎo)致服務(wù)不可用；二是占用CPU資源，導(dǎo)致宕機(jī)。紅色代碼、Slammer、沖擊波等蠕蟲(chóng)病毒不停地掃描IP地址，在很短時(shí)間內(nèi)就占用大量的帶寬資源，造成網(wǎng)絡(luò)出口堵塞。

7.2 使用路由器應(yīng)用識(shí)別技術(shù)來(lái)防御網(wǎng)絡(luò)病毒

可以利用路由器基于網(wǎng)絡(luò)的應(yīng)用程序識(shí)別和訪問(wèn)控制列表來(lái)有效防御網(wǎng)絡(luò)病毒。Cisco NBAR（Network-Based Application Recognition）是一種網(wǎng)絡(luò)應(yīng)用識(shí)別技術(shù)，能動(dòng)態(tài)在ISO四到七層尋找協(xié)議，它不但能想普通ACL那樣控制靜態(tài)的、簡(jiǎn)單的網(wǎng)絡(luò)應(yīng)用協(xié)議，也能完成一般 ACL做不到的動(dòng)態(tài)端口協(xié)議的控制，例如VoIP中的H.323, SIP等。

8 超負(fù)荷下載BT的介紹與防御

8.1 超負(fù)荷下載BT的介紹

BT是一個(gè) 自由的下載工具，用類(lèi)似電驢的方式，不像 FTP或者 P2P 軟件那樣只有一個(gè)發(fā)送源，而是所有正在下載某個(gè)文件或者已經(jīng)下好了某個(gè)文件但還沒(méi)有把下載窗口關(guān)閉的人都是發(fā)送源。下載的人越多，下載的速度也越快，這使得 BT 有 FTP 和傳統(tǒng) P2P 不可比擬的速度優(yōu)勢(shì)，但同樣也需要下載的人能自覺(jué)的繼續(xù)提供文件給別人下載。BT 的發(fā)布文件擴(kuò)展名是 .torrent ，很小，一般幾十K,方便傳播。這個(gè)文件里面存放了對(duì)應(yīng)的發(fā)布文件的描述信息、該使用哪個(gè) Tracker、文件的校驗(yàn)等信息。

8.2 超負(fù)荷下載BT的防御

1）使用路由策略方法

正常網(wǎng)絡(luò)訪問(wèn)中，都是通過(guò)數(shù)據(jù)包來(lái)進(jìn)行的。以太網(wǎng)絡(luò)中包大小為64-1518BYTE，可正常情況下，包都不會(huì)太大，因?yàn)闆](méi)有更多的數(shù)據(jù)需要傳輸。但進(jìn)行BT下載時(shí)，大量的數(shù)據(jù)需要傳輸，每個(gè)包幾乎都到達(dá)長(zhǎng)度極限，因此，當(dāng)我們有意識(shí)的對(duì)包長(zhǎng)度進(jìn)行過(guò)濾，既避免了網(wǎng)絡(luò)中BT下載占用大量網(wǎng)絡(luò)帶寬，又保證用戶(hù)正常使用網(wǎng)絡(luò)。然后，把這個(gè)策略應(yīng)用于接口。當(dāng)然了，這個(gè)長(zhǎng)度范圍可以調(diào)整以不影響正常業(yè)務(wù)為宜。

2）使用Cisco的NBAR方法

要使用Cisco的NBAR實(shí)現(xiàn)對(duì) BT 流量的控制，就要在Cisco路由器上實(shí)現(xiàn)對(duì) PDLM 的支持。 PDLM 是 Packet Description Language Module 縮寫(xiě)，是一種對(duì)網(wǎng)絡(luò)高層應(yīng)用的協(xié)議層的描述。它的優(yōu)勢(shì)是讓 NBAR 適應(yīng)很多已有的網(wǎng)絡(luò)應(yīng)用，像 HTTP URL ，DNS ， FTP, VoIP 等 , 同時(shí)它還可以通過(guò)定義，來(lái)使 NBAR 支持許多新興的網(wǎng)絡(luò)應(yīng)用。PDLM 在思科的網(wǎng)站上可以下載，并且利用PDLM 可以限制一些網(wǎng)絡(luò)上的惡意流量。 首先通過(guò) TFTP 服務(wù)器將 bittorrent.pdlm 拷貝到路由中，然后用 ip nbar pdlm bittorrent.pdlm命令將 NBAR 中的 BT 功能啟動(dòng)，再創(chuàng)建策略并且應(yīng)用到相應(yīng)的路由器的接口上。

9 結(jié)論

只要網(wǎng)絡(luò)自身存在缺陷，網(wǎng)絡(luò)攻擊就會(huì)存在下去。隨著網(wǎng)絡(luò)安全問(wèn)題的日益突出，如何保障網(wǎng)絡(luò)暢通，提高網(wǎng)絡(luò)安全，有效防御與避免網(wǎng)絡(luò)攻擊，將成為一個(gè)日益受關(guān)注的課題。

[1][美] Sharma,R.K著.《Cisco Security Bible》.

[2]華為公司.城域網(wǎng)安全加固及流量清洗安全解決方案.

[3]Http://www.cisco.com.