C網(wǎng)承載網(wǎng)安全隱患分析及防御策略

中國(guó)電信股份有限公司江蘇分公司操作維護(hù)中心 向九松 柏 林 錢 琰 季鴻宇

0 引言

C網(wǎng)承載網(wǎng)與傳統(tǒng)承載網(wǎng)絡(luò)相比，產(chǎn)生網(wǎng)絡(luò)安全的兩個(gè)最重要的原因是網(wǎng)絡(luò)開放性和終端智能化。由于IP網(wǎng)絡(luò)的開放性，一方面給承載網(wǎng)帶來(lái)了業(yè)務(wù)上的靈活性和擴(kuò)展性，極大地提高了網(wǎng)絡(luò)效率，另一方面也給承載網(wǎng)帶來(lái)了許多難以預(yù)計(jì)的惡意攻擊和外界干擾。電信運(yùn)營(yíng)商時(shí)刻都面臨賬號(hào)被盜用、服務(wù)被破壞、資源被搶占、設(shè)備癱瘓等嚴(yán)重安全威脅；終端智能化在帶來(lái)業(yè)務(wù)靈活性的同時(shí)也使終端具備了產(chǎn)生安全攻擊的強(qiáng)大能力，這種攻擊能夠延伸到其他終端、業(yè)務(wù)系統(tǒng)甚至網(wǎng)絡(luò)設(shè)備。C網(wǎng)承載網(wǎng)的安全風(fēng)險(xiǎn)從短期看，會(huì)影響到運(yùn)營(yíng)商凈收入減少、維護(hù)成本上升、客戶滿意度下降、管理重點(diǎn)偏移；從長(zhǎng)期看，將影響到運(yùn)營(yíng)商客戶流失、競(jìng)爭(zhēng)力降低、品牌價(jià)值下降、內(nèi)部士氣不振。因此，提升C網(wǎng)承載網(wǎng)安全防御水平刻不容緩。

1 承載網(wǎng)安全問題對(duì)C網(wǎng)業(yè)務(wù)的影響

中國(guó)電信CDMA（碼分多址）網(wǎng)主要由C網(wǎng)承載網(wǎng)、終端用戶、業(yè)務(wù)平臺(tái)、業(yè)務(wù)支撐系統(tǒng)、無(wú)線、核心網(wǎng)等重要部分組成，這些子系統(tǒng)縱向與橫向之間，進(jìn)行數(shù)據(jù)信息交換和資源共享，相互提供服務(wù)，互相補(bǔ)充，形成CDMA運(yùn)營(yíng)、管理、服務(wù)的統(tǒng)一整體。C網(wǎng)承載網(wǎng)作為這些子系統(tǒng)之間的基礎(chǔ)承載載體，一旦承載網(wǎng)出現(xiàn)安全問題，將會(huì)對(duì)C網(wǎng)業(yè)務(wù)產(chǎn)生以下幾方面影響。

1.1 對(duì)運(yùn)營(yíng)商造成的影響

1）破壞設(shè)備程序及數(shù)據(jù):通過承載網(wǎng)設(shè)備遠(yuǎn)程加載或數(shù)據(jù)配置流程的漏洞破壞設(shè)備，導(dǎo)致設(shè)備無(wú)法正常運(yùn)行，進(jìn)而導(dǎo)致整個(gè)網(wǎng)絡(luò)無(wú)法正常運(yùn)行；

2）業(yè)務(wù)盜用:未經(jīng)授權(quán)使用3G業(yè)務(wù)，如通過非法手段繞過AAA（鑒權(quán)、授權(quán)、計(jì)費(fèi)）/AN（接入網(wǎng)）AAA認(rèn)證，直接發(fā)起3G上網(wǎng)連接、篡改用戶計(jì)費(fèi)信息等，導(dǎo)致運(yùn)營(yíng)商收人流失；

3）帶寬盜用:利用承載網(wǎng)設(shè)備端口連接用戶私有的數(shù)據(jù)網(wǎng)絡(luò)，造成運(yùn)營(yíng)商數(shù)據(jù)業(yè)務(wù)收入流失并影響C網(wǎng)業(yè)務(wù)質(zhì)量；

4）DoS（拒絕服務(wù)）攻擊:黑客通過網(wǎng)絡(luò)層或應(yīng)用層發(fā)起大流量的攻擊，致使真實(shí)業(yè)務(wù)數(shù)據(jù)被大量垃圾流量所淹沒，進(jìn)而使承載網(wǎng)設(shè)備無(wú)法響應(yīng)正常用戶的業(yè)務(wù)請(qǐng)求或降低業(yè)務(wù)的品質(zhì)。

1.2 對(duì)用戶造成的影響

1）賬號(hào)被盜用:用戶賬號(hào)被他人盜用，致使產(chǎn)生高額通信費(fèi)用；

2）信息被監(jiān)聽:非法監(jiān)聽其他呼叫的信息或媒體流內(nèi)容；

3）個(gè)人隱私被竊取:黑客通過木馬程序、釣魚網(wǎng)站等手段竊取用戶的個(gè)人隱私。

2 構(gòu)建C網(wǎng)承載網(wǎng)安全防御策略思路

2.1 實(shí)施業(yè)務(wù)隔離

要建立安全的承載網(wǎng)保障機(jī)制，首先要實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的安全隔離。出于業(yè)務(wù)融合、建設(shè)成本、網(wǎng)絡(luò)安全等因素綜合考慮，目前通常采用物理網(wǎng)絡(luò)隔離加邏輯網(wǎng)絡(luò)隔離的方式。由于MPLSVPN（多協(xié)議標(biāo)簽交換虛擬專用網(wǎng)）具有較強(qiáng)的業(yè)務(wù)融合能力及靈活的業(yè)務(wù)擴(kuò)展能力，尤其在安全方面，MPLSVPN相對(duì)于其他VPN而言具有路由安全隔離、隱藏MPLS核心結(jié)構(gòu)、抗攻擊性強(qiáng)、易于抵御標(biāo)記欺騙等優(yōu)勢(shì)，MPLSVPN技術(shù)在現(xiàn)網(wǎng)環(huán)境中得到了廣泛的應(yīng)用。

以中國(guó)電信某省C網(wǎng)承載網(wǎng)為例，該省C網(wǎng)承載網(wǎng)絡(luò)采用CN2+（下一代承載網(wǎng)）融合CE（用戶邊緣設(shè)備）的組網(wǎng)方式，負(fù)責(zé)承載CDMA移動(dòng)網(wǎng)絡(luò)無(wú)線接入網(wǎng)元、核心網(wǎng)電路域網(wǎng)元、核心網(wǎng)分組域網(wǎng)元、移動(dòng)業(yè)務(wù)平臺(tái)和網(wǎng)管系統(tǒng)等，為其提供互聯(lián)互通、Internet訪問等服務(wù)。為了確保網(wǎng)絡(luò)安全，承載網(wǎng)根據(jù)業(yè)務(wù)特性劃分了若干VPN，如移動(dòng)軟交換VPN、增值業(yè)務(wù)VPN、無(wú)線接入RP（匯聚點(diǎn)）VPN、網(wǎng)管VPN等等，具體拓?fù)淙鐖D1所示。

通過MPLSVPN傳送數(shù)據(jù)提高了用戶信息在IP網(wǎng)絡(luò)上傳送的安全性，但這種安全性也是相對(duì)而言的，需要采用必要的技術(shù)措施來(lái)保障。所以在部署MPLSVPN時(shí)，有以下兩點(diǎn)需要注意:

1）防止標(biāo)簽欺騙:在MPLS網(wǎng)絡(luò)中，包的轉(zhuǎn)發(fā)不再是基于IP目的地址，而是基于PE（網(wǎng)絡(luò)邊界設(shè)備）路由器預(yù)先添加的標(biāo)記，理論上有可能出現(xiàn)MPLS包的標(biāo)記欺騙。因此出于安全考慮，PE路由器應(yīng)該不接受來(lái)自CE路由器的任何標(biāo)記，同時(shí)要做好MPLS標(biāo)記的整體規(guī)劃工作，便于后期定期開展網(wǎng)絡(luò)設(shè)備標(biāo)簽轉(zhuǎn)發(fā)的定期檢查工作。

2）防止VPN之間的路由泄漏:PE路由器之間通過MP-BGP（多協(xié)議擴(kuò)展邊界網(wǎng)關(guān)協(xié)議）交換路由信息，PE路由器之間路由信息的傳送要經(jīng)過一個(gè)或多個(gè)P（供應(yīng)商）路由器，非法用戶有可能采用源地址欺騙等手段要求與PE路由器建立連接MP-BGP并交換VPN路由信息。因此，PE路由器在另外一個(gè)對(duì)等體通信時(shí)，應(yīng)該部署相應(yīng)的驗(yàn)證策略，如BGP鄰居的MD5（消息摘要算法）認(rèn)證等。另外，由于3G業(yè)務(wù)需要，承載網(wǎng)的部分VPN需要進(jìn)行部分互通，例如為了滿足接入認(rèn)證需要，無(wú)線接入VPN需要與AAAVPN進(jìn)行互通，這種VPN之間的互通就造成了VPN路由泄漏的可能。所以在進(jìn)行數(shù)據(jù)配置時(shí)，必須對(duì)互通VPN路由條目進(jìn)行嚴(yán)格控制，合理規(guī)劃MPLSVPN的RT（路由目標(biāo)）屬性。

2.2 承載網(wǎng)自身的安全保護(hù)策略

如圖2所示，可以根據(jù)C網(wǎng)IP綜合承載網(wǎng)的網(wǎng)絡(luò)架構(gòu)及業(yè)務(wù)特性，將承載網(wǎng)的安全域邏輯劃分為控制平面、數(shù)據(jù)轉(zhuǎn)發(fā)層面、管理平面等三大安全層面，每個(gè)安全層面部署不同的安全策略。具體如下:

1）控制平面:控制平面防護(hù)的主要目標(biāo)是保證設(shè)備系統(tǒng)資源的可用性和路由的安全性，使得路由器可以正常的實(shí)現(xiàn)路由交換、更新。具體策略包括設(shè)置路由密碼認(rèn)證、通過設(shè)置白名單方式控制路由的發(fā)布、規(guī)范路由參數(shù)的配置，等等。

2）轉(zhuǎn)發(fā)平面:在數(shù)據(jù)轉(zhuǎn)發(fā)平面的主要安全策略是對(duì)異常流量進(jìn)行控制，防止網(wǎng)絡(luò)蠕蟲和拒絕服務(wù)攻擊流量在CDMA網(wǎng)絡(luò)的泛濫，造成網(wǎng)絡(luò)的擁塞或不可用。具體策略包括對(duì)典型異常流量的過濾、部署URPF（單播反向路徑檢查）策略預(yù)防地址偽造攻擊等內(nèi)容。

3）管理平面:管理平面防護(hù)的主要目的是保護(hù)路由器遠(yuǎn)程管理及本地服務(wù)的安全性，減少網(wǎng)元設(shè)備受到網(wǎng)絡(luò)攻擊或者被入侵的可能性。具體包括:強(qiáng)化設(shè)備密碼管理，關(guān)閉無(wú)用的系統(tǒng)服務(wù)；通過部署ACL（訪問控制列表）和SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）密碼，確保SNMP的安全；通過部署一次性口令認(rèn)證系統(tǒng)以及設(shè)備訪問控制提升遠(yuǎn)程終端訪問安全；其他諸如NTP（網(wǎng)絡(luò)時(shí)間協(xié)議）、Syslog（系統(tǒng)日志）、Netflow等應(yīng)用的安全控制，等等。

2.3 承載業(yè)務(wù)的保護(hù)

在業(yè)務(wù)安全方面，除了業(yè)務(wù)平臺(tái)應(yīng)該具備必要的安全手段外，承載網(wǎng)絡(luò)本身應(yīng)該能夠協(xié)助業(yè)務(wù)層面提供有效的安全保障機(jī)制。具體包括以下幾個(gè)方面:

1）限制訪問范圍:承載網(wǎng)應(yīng)該根據(jù)業(yè)務(wù)需求嚴(yán)格限定訪問范圍，例如允許哪些網(wǎng)段訪問、只允許那種類型的數(shù)據(jù)報(bào)文通過等等；

2）針對(duì)關(guān)鍵應(yīng)用部署QoS（服務(wù)質(zhì)量）策略:3G網(wǎng)絡(luò)的特點(diǎn)確實(shí)就是IP化，這就導(dǎo)致CDMA網(wǎng)絡(luò)無(wú)法像傳統(tǒng)交換網(wǎng)絡(luò)一樣形成完全封閉的網(wǎng)絡(luò)，這就給外界的黑客從發(fā)起DoS攻擊創(chuàng)造了可能。在帶寬有限的條件下，應(yīng)該通過部署基于MPLS的QoS策略，優(yōu)先保障關(guān)鍵應(yīng)用的數(shù)據(jù)流量，如信令流、語(yǔ)音媒體流等等；

3）加強(qiáng)對(duì)非可信網(wǎng)元的接入管理:因業(yè)務(wù)合作需要，有時(shí)承載網(wǎng)需要為第三方的網(wǎng)絡(luò)設(shè)備提供接入，此時(shí)需要部署專門的安全防護(hù)設(shè)備，同時(shí)在承載網(wǎng)設(shè)備部署最為嚴(yán)格的安全策略。

2.4 強(qiáng)化網(wǎng)絡(luò)預(yù)警與攻擊溯源

為了確保承載網(wǎng)安全，當(dāng)承載網(wǎng)絡(luò)遭受異常攻擊時(shí)能及時(shí)得到處理，避免C網(wǎng)業(yè)務(wù)因惡意攻擊遭受影響。一方面，需要加強(qiáng)對(duì)承載網(wǎng)流量、設(shè)備性能、業(yè)務(wù)狀況等內(nèi)容的監(jiān)控，另一方面，需要運(yùn)用實(shí)時(shí)安全監(jiān)控技術(shù)，實(shí)時(shí)檢查網(wǎng)絡(luò)數(shù)據(jù)流并將其與系統(tǒng)入侵特征數(shù)據(jù)庫(kù)的數(shù)據(jù)相比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立即根據(jù)事先所定義的動(dòng)作做出反應(yīng)，例如自動(dòng)啟動(dòng)異常報(bào)文過濾機(jī)制、立即用短信通知網(wǎng)絡(luò)維護(hù)人員等等。

安全攻擊的溯源就是在發(fā)生安全事件或者出現(xiàn)安全問題時(shí)，能夠根據(jù)相關(guān)有效信息定位到導(dǎo)致安全事件或者發(fā)起攻擊的來(lái)源，甚至“順藤摸瓜”找到攻擊者。傳統(tǒng)的網(wǎng)絡(luò)在響應(yīng)方面只能被動(dòng)地實(shí)施安全補(bǔ)救措施，而不能主動(dòng)地進(jìn)行反擊。要建立新一代具備安全動(dòng)態(tài)防御能力的承載網(wǎng)，需要加強(qiáng)對(duì)威脅攻擊的有效反擊，因此調(diào)查取證、攻擊溯源便成為有效反擊的首要步驟和關(guān)鍵環(huán)節(jié)。

3 加強(qiáng)網(wǎng)絡(luò)管理，避免安全事件

隨著3G網(wǎng)絡(luò)規(guī)模的擴(kuò)大以及設(shè)備容量的擴(kuò)大，設(shè)備越來(lái)越復(fù)雜，不可控因素隨之增加。對(duì)網(wǎng)絡(luò)安全而言，管理和技術(shù)同樣重要，即使是先進(jìn)的安全技術(shù)和設(shè)備也會(huì)可能因管理不善而崩潰。這種案例比比皆是，可以說(shuō)內(nèi)部人員的安全意識(shí)和安全管理的重要性一點(diǎn)也不亞于使用各種復(fù)雜而昂貴的網(wǎng)絡(luò)技術(shù)。因此在運(yùn)營(yíng)商內(nèi)部建立一套有效的安全管理制度是確保網(wǎng)絡(luò)安全運(yùn)行的關(guān)鍵手段。這里所說(shuō)的管理并不局限于技術(shù)層面的管理，還包括管理制度、應(yīng)急體系、運(yùn)維規(guī)章、人員培訓(xùn)、密鑰分發(fā)、保密制度等方方面面。完善的管理可以在一定程度上消除技術(shù)落后帶來(lái)的不利因素。

4 結(jié)束語(yǔ)

隨著3G業(yè)務(wù)的迅猛發(fā)展，NGN（下一代網(wǎng)絡(luò)）、IMS（IP多媒體子系統(tǒng)）業(yè)務(wù)與3G融合越來(lái)越緊密，如何更好地解決C網(wǎng)承載網(wǎng)的安全問題，成為關(guān)乎電信業(yè)務(wù)是否能正常運(yùn)營(yíng)，用戶對(duì)電信服務(wù)是否滿意，未來(lái)網(wǎng)絡(luò)能否健康發(fā)展的關(guān)鍵問題之一。本文僅在業(yè)務(wù)隔離、業(yè)務(wù)保障、網(wǎng)絡(luò)自身安全等方面進(jìn)行了初步的探索，還有很多諸如承載網(wǎng)IPv6演進(jìn)、智能管道等課題需要去進(jìn)一步深入研究，希望通過這些有益的探索，不斷提升C網(wǎng)承載網(wǎng)服務(wù)能力，為打造一張優(yōu)質(zhì)、安全、高效的3G網(wǎng)絡(luò)貢獻(xiàn)一份力量。