寬帶IP網(wǎng)中以太接入網(wǎng)的安全性

廣西桂林有線電視臺(tái)　秦旭
　　隨著社會(huì)信息化程度的提高，信息化需求已從單純的數(shù)據(jù)信息向交互式多媒體信息發(fā)展，從專項(xiàng)服務(wù)向數(shù)字、語(yǔ)音、圖像統(tǒng)一服務(wù)和綜合網(wǎng)傳輸發(fā)展。而傳統(tǒng)IP網(wǎng)絡(luò)已無(wú)法滿足新業(yè)務(wù)的需求，給新業(yè)務(wù)的發(fā)展造成了“瓶頸”。在此情況下，寬帶IP網(wǎng)便應(yīng)運(yùn)而生。所謂寬帶IP就是一個(gè)運(yùn)行實(shí)時(shí)業(yè)務(wù)時(shí)能保證服務(wù)質(zhì)量的IP網(wǎng)，各種寬帶多媒體業(yè)務(wù)可以直接在寬帶IP網(wǎng)上運(yùn)行。這種寬帶IP網(wǎng)絡(luò)是一個(gè)真正的綜合業(yè)務(wù)網(wǎng)，它可以提供數(shù)據(jù)、語(yǔ)音、視頻的綜合傳輸業(yè)務(wù)。近年來，寬帶IP網(wǎng)技術(shù)有了重大突破，IP over DWDM開始被商業(yè)運(yùn)營(yíng)系統(tǒng)采用。廣域?qū)拵�IP骨干網(wǎng)帶寬從數(shù)十Gbps向數(shù)百Gbps發(fā)展，不久將達(dá)到Tbps的水平。近年來，光纜到小區(qū)、到大樓10-100Mbps以太網(wǎng)入戶的接系統(tǒng)異軍突起，成為寬帶接入網(wǎng)的新趨勢(shì)。


　　目前的寬帶IP網(wǎng)的接入網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，其介質(zhì)存儲(chǔ)控制（MAC）協(xié)議采用的是沖突檢測(cè)/載波偵聽多路存取協(xié)議（CSMA/CD）。CSMA/CD的基本原理是：網(wǎng)絡(luò)上的每個(gè)節(jié)點(diǎn)共享同一傳輸介質(zhì)，但同一時(shí)間只有其中一臺(tái)能夠傳輸合法數(shù)據(jù)。網(wǎng)絡(luò)上的每一個(gè)節(jié)點(diǎn)接收到每個(gè)被傳輸?shù)臄?shù)據(jù)包，它們把數(shù)據(jù)解碼，并比較封裝在幀里面的目的地址MAC，如果與接收工作站的地址匹配，就接收數(shù)據(jù)，如果不匹配，節(jié)點(diǎn)工作站就丟棄該數(shù)據(jù)包。準(zhǔn)備在網(wǎng)絡(luò)上發(fā)送數(shù)據(jù)的工作必須先偵聽線纜來確定是否有其他數(shù)據(jù)的工作站必須先偵聽線纜來確定是否有其他數(shù)據(jù)已經(jīng)在傳輸，當(dāng)傳輸介質(zhì)空閑時(shí)，它們就能夠開始傳輸了。當(dāng)發(fā)送數(shù)據(jù)時(shí)，它們監(jiān)視著線纜上出現(xiàn)的數(shù)據(jù)，并與所傳輸?shù)臄?shù)據(jù)進(jìn)行比較。這很有必要，因?yàn)橛袝r(shí)會(huì)偶然發(fā)生2臺(tái)或多臺(tái)工作站同時(shí)開始傳輸數(shù)據(jù)，在這種情況下，線纜上的數(shù)據(jù)會(huì)混淆，變得無(wú)法使用，這就是沖突的現(xiàn)象。正在傳輸數(shù)據(jù)的工作站監(jiān)視著它們的數(shù)據(jù)，將會(huì)注意到?jīng)_突并停止傳送，它們將等待一個(gè)隨機(jī)時(shí)間來再次發(fā)送數(shù)據(jù)。這種沖突檢測(cè)機(jī)制事實(shí)上限制了網(wǎng)絡(luò)的長(zhǎng)度。相距最遠(yuǎn)的2個(gè)節(jié)點(diǎn)必須足夠接近至于使它們可能檢測(cè)到?jīng)_突，這樣，整個(gè)網(wǎng)絡(luò)長(zhǎng)度可以通過網(wǎng)絡(luò)時(shí)鐘、信息在介質(zhì)上的傳輸速度和最短的幀來計(jì)算。這個(gè)計(jì)算對(duì)于傳統(tǒng)以太網(wǎng)、快速以太網(wǎng)和吉位以太網(wǎng)分別得出的結(jié)果是5120m、512m和51.2m。這些理論上的數(shù)據(jù)，在實(shí)際網(wǎng)絡(luò)中，除了線纜的廣播延遲外，網(wǎng)卡、中繼器、集線器和其他網(wǎng)絡(luò)設(shè)備會(huì)引入延遲。


　　CSMA/CD協(xié)議使得網(wǎng)絡(luò)上任何一個(gè)以太網(wǎng)沖突域間2個(gè)節(jié)點(diǎn)之間通信的數(shù)據(jù)包，不僅為這2個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，也同時(shí)被在同一以太網(wǎng)沖突域上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此，只要對(duì)接入以太網(wǎng)沖突域上的任一節(jié)點(diǎn)進(jìn)行偵聽，就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對(duì)其進(jìn)行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全急患。


　　當(dāng)前，對(duì)于以太接入網(wǎng)安全必須考慮的問題主要是針對(duì)于它的MAC層協(xié)議，解決辦法有以下幾種：


　　（1）網(wǎng)絡(luò)分段


　　目前，一般多采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局，因此交換機(jī)的每一個(gè)端口都是一個(gè)獨(dú)立的以太網(wǎng)沖突域，不同的交換端口的數(shù)據(jù)通信是不為第三端口可見的。這實(shí)際上也是按交換機(jī)的端口對(duì)網(wǎng)絡(luò)進(jìn)行了分段。


　　網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽。


　�。�2）以交換式集線器代替共享式集線器


　　對(duì)以太網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器，這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，2臺(tái)機(jī)器之間的數(shù)據(jù)包還是會(huì)同一臺(tái)集線器上的其他用戶所偵聽。同時(shí)共享集線器除了安全性不強(qiáng)、網(wǎng)絡(luò)用戶可監(jiān)聽到其他用戶的信息的缺點(diǎn)外，還人傳輸速度低、無(wú)法避免非法用戶上網(wǎng)等缺點(diǎn)。


　　因此，應(yīng)該以交換式集線器代替共享式集線器，使數(shù)據(jù)包僅在2個(gè)節(jié)點(diǎn)之間傳送，從而防止非法偵聽。當(dāng)然，交換式集線器無(wú)法控制廣播包（Broadcast Packet）和多播包（Multicast Packet）在交換式集線器所有端口的傳播。


　�。�3）VLAN的劃分


　　為了克服以太網(wǎng)的廣播問題，可以運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止網(wǎng)絡(luò)偵聽。交換機(jī)的每一個(gè)端口配置成獨(dú)立的的VLAN，享有獨(dú)立的VID。將每個(gè)用戶端口配置成獨(dú)立的VLAN，利用支持VLAN的LAN SWITCH進(jìn)行信息的隔離，用戶的IP地址被綁定在端口的VLAN號(hào)上，以保證正確路由選擇。


　　目前的VLAN技術(shù)主要有3種：基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN�；�于端口的VLAN雖然銷欠靈活，但卻比較成熟，在實(shí)際應(yīng)用中效果顯著，廣受歡迎。基于MAC地址的VLAN為移動(dòng)計(jì)算提供了可能性，但同時(shí)也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實(shí)際應(yīng)用尚不成熟。


　　在集中式網(wǎng)絡(luò)環(huán)境下，我們通常將中心的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里，在這個(gè)VLAN里不允許有任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，我們可以按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN，各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_。


　　VLAN內(nèi)部的連接采用交換實(shí)現(xiàn)，而VLAN與VLAN之間的連接則采用路由實(shí)現(xiàn)。目前，大多數(shù)的交換都支持RIP和OSPF國(guó)際標(biāo)準(zhǔn)的路由協(xié)議，如果有特殊需要，必須使用其他路由協(xié)議，也可以用外接的多以太網(wǎng)口路由器來代替交換機(jī)，實(shí)現(xiàn)VLAN之間的路由功能。當(dāng)然，這種情況下，路由轉(zhuǎn)發(fā)的效率會(huì)有所下降。


　　在VLAN方式中，利用VLAN可以隔離ARP、DHCP等攜帶用戶信息的廣播消息，從而使用戶數(shù)據(jù)的安全性得到了進(jìn)一步提高。VLAN方式雖然解決了用戶數(shù)據(jù)的安全性問題，但是缺少對(duì)用戶進(jìn)行管理的手段，即無(wú)法對(duì)用戶進(jìn)行認(rèn)證、授權(quán)。


　　（4）IP+MAC捆綁來確保網(wǎng)絡(luò)的安全性


　　在所有的用戶間采用VLAN隔離，這個(gè)特性最大限度地保護(hù)了網(wǎng)絡(luò)和用戶信息的安全，但是用戶的IP地址或MAC地址可能被盜用或被仿昌，有經(jīng)驗(yàn)的黑客純粹的玩家都可以這樣做，因此采用VLAN+IP+MAC捆綁的方式來認(rèn)證和保證網(wǎng)絡(luò)的安全，這意味著只有正確分配的IP地址、正確的網(wǎng)絡(luò)接口卡并且連到特定的端口的用戶的唯一性，才能夠獲取服務(wù)。


　�。�5）用戶身份認(rèn)證方式


　　為便于用戶漫游和提供用戶等級(jí)服務(wù)，需要進(jìn)行身份認(rèn)證和相應(yīng)的計(jì)費(fèi)。采用PPPoE結(jié)合Radius協(xié)議�？梢赃M(jìn)行用戶身份的認(rèn)證，但采用該技術(shù)導(dǎo)致整個(gè)系統(tǒng)不僅成本高，而且網(wǎng)絡(luò)性能嚴(yán)重下降。如果采用DHCP方式，一方面DHCP協(xié)議存在著較多的廣播開銷，對(duì)于用戶量較多的大型以太交換網(wǎng)絡(luò)，采用DHCP會(huì)造成配置管理困難；另外，無(wú)法解決用戶自行配置IP地址的問題。為實(shí)現(xiàn)最佳性能，需要采用其他更好的協(xié)議，如改進(jìn)的DHCP協(xié)議，即DHCP+Radius協(xié)議。


　　基于以太網(wǎng)技術(shù)的寬帶接入網(wǎng)和傳統(tǒng)的用于計(jì)算機(jī)局域網(wǎng)的以太網(wǎng)技術(shù)大不一樣，它僅借用了以太網(wǎng)的幀結(jié)構(gòu)的接口，網(wǎng)絡(luò)結(jié)構(gòu)和工作原理完全不一樣，它具有高度的信息安全性、電信級(jí)的網(wǎng)絡(luò)可靠性、強(qiáng)大的網(wǎng)管功能，并且能保證用戶的接入帶寬，這些都是以太網(wǎng)接入網(wǎng)需要考慮的�；�于以及網(wǎng)技術(shù)的寬帶接入網(wǎng)給用戶提供標(biāo)準(zhǔn)的以及網(wǎng)接口，能夠兼容所有帶標(biāo)準(zhǔn)以太網(wǎng)接口的終端，用戶不需要另配新的新口卡或協(xié)議軟件，因而它是一種十分廉價(jià)的寬帶接入技術(shù)。寬帶城域網(wǎng)的發(fā)展由于其應(yīng)用的復(fù)雜性，出現(xiàn)了多樣的局面。在光纜網(wǎng)上直架結(jié)構(gòu)吉位以太網(wǎng)（將來是10Gbe）寬帶IP城域網(wǎng)正在成為主流。對(duì)于Tbps以上的寬帶城域核心網(wǎng)，將采用由DWDM的光交換機(jī)（波長(zhǎng)路由器）構(gòu)成的光多業(yè)務(wù)平臺(tái)。運(yùn)營(yíng)商建設(shè)寬帶城域網(wǎng)，應(yīng)進(jìn)行綜合分析，并做出選擇，特別是采用以太網(wǎng)作為主要的接入網(wǎng)時(shí)必須考慮安全性。


摘自《寬帶商情》2001.12