浙江金華電業(yè)局調(diào)度所 張立群
引 言:在當(dāng)前情況下,政府上網(wǎng)及企業(yè)上網(wǎng)工程的實(shí)施,電子商務(wù)的廣泛應(yīng)用導(dǎo)致了越來越多的敏感數(shù)據(jù)通過網(wǎng)絡(luò)進(jìn)行傳輸,網(wǎng)絡(luò)的安全性正成為日益迫切的需求。本文將針對(duì)典型的IP寬帶網(wǎng)的各類安全隱患,結(jié)合相應(yīng)的黑客的入侵方式,對(duì)IP寬帶網(wǎng)內(nèi)的安全技術(shù)進(jìn)行全面介紹,通過實(shí)施相應(yīng)的安全策略及安裝安全設(shè)備極大的增強(qiáng)IP寬帶網(wǎng)的安全性。
一、IP寬帶網(wǎng)的典型連接方式
寬帶IP網(wǎng)的典型連接方式如下
在該拓?fù)渲,主干設(shè)備采用了支持IP over SDH/SONET的多業(yè)務(wù)光傳輸平臺(tái)(采用IP Over ATM、IP Over Optical等技術(shù)時(shí)類似)該平臺(tái)能夠同時(shí)提供高速數(shù)據(jù)業(yè)務(wù)和傳統(tǒng)的DS1、DS3技術(shù)。
在分布接入層,根據(jù)應(yīng)用需求的大小不同選擇了相應(yīng)的2/3層以太網(wǎng)交換機(jī)連接提供用戶接入服務(wù)。
從網(wǎng)絡(luò)安全的角度來看,傳統(tǒng)的DS1、DS3業(yè)務(wù)采用獨(dú)立的信道進(jìn)行傳輸,能夠提供和電信相關(guān)設(shè)備同等的安全性;在高速數(shù)據(jù)業(yè)務(wù)上,該設(shè)備支持MPLS多協(xié)議標(biāo)志交換技術(shù),能夠克服傳統(tǒng)以太網(wǎng)在安全控制方面的各類缺點(diǎn),提供和電信專線等同的安全性。
但在該寬帶IP網(wǎng)中,絕大多數(shù)個(gè)人和單位用戶都不會(huì)直接接入骨干設(shè)備,而是連入專門提供用戶接入用的2/3層以太網(wǎng)交換機(jī),該類交換機(jī)本身無法提供足夠的安全保護(hù)來保障數(shù)據(jù)傳輸?shù)陌踩?/p>
二、安全威脅
從上文可知,在寬帶IP網(wǎng)絡(luò)中,除開物理安全性不談,主干網(wǎng)在技術(shù)上幾乎沒有任何可利用的安全隱患,一般可以看作是安全的網(wǎng)絡(luò)。IP寬帶網(wǎng)主要的安全威脅來自采用傳統(tǒng)以太網(wǎng)技術(shù),提供用戶接入的2/3層交換機(jī)組成的分布接入層。以下將對(duì)現(xiàn)有IP寬帶網(wǎng)分布接入層的部分安全隱患進(jìn)行分析
。ㄗⅲ阂韵滤邪踩[患未經(jīng)說明一律針對(duì)以太網(wǎng)、快速以太網(wǎng)和千兆以太網(wǎng)。)
● MAC地址-端口對(duì)應(yīng)表欺騙攻擊
● ARP表欺騙攻擊
● Vlan信息偽造攻擊
● 路由欺騙攻擊
● 源路由攻擊
2.1 MAC地址-端口對(duì)應(yīng)表欺騙攻擊
眾所周知,以太網(wǎng)上的二層交換設(shè)備使用MAC地址和端口的對(duì)應(yīng)表來決定數(shù)據(jù)幀的轉(zhuǎn)發(fā)過程。交換機(jī)通過它接收到的每一個(gè)數(shù)據(jù)幀的源MAC地址來構(gòu)建MAC地址-端口對(duì)應(yīng)表。當(dāng)兩個(gè)端口先后接收到相同源地址的數(shù)據(jù)幀時(shí),絕大多數(shù)交換設(shè)備將使用較后收到幀的端口進(jìn)行轉(zhuǎn)發(fā)。這樣,當(dāng)處于不同交換端口的主機(jī)A想要截獲主機(jī)B的信息時(shí),主機(jī)A只需向交換機(jī)以一定速率持續(xù)發(fā)送以主機(jī)B網(wǎng)卡的MAC地址作為源地址的數(shù)據(jù)幀,就可以將幾乎所有交換機(jī)應(yīng)該發(fā)往主機(jī)B所在端口的數(shù)據(jù)幀重定向到主機(jī)A所在端口,實(shí)現(xiàn)數(shù)據(jù)流的截獲。然后主機(jī)A可以使用廣播地址或是組播地址等方式將該數(shù)據(jù)包重新封裝成主機(jī)B可接收的數(shù)據(jù)幀發(fā)往主機(jī)B所在端口。這樣,主機(jī)B數(shù)據(jù)通信的整個(gè)過程被主機(jī)A截獲。主機(jī)A可以對(duì)傳輸給B的數(shù)據(jù)進(jìn)行監(jiān)聽、篡改等一系列操作。
2.2 ARP表欺騙攻擊
針對(duì)三層設(shè)備的攻擊主要是對(duì)三層設(shè)備維護(hù)的用于在三層設(shè)備和二層設(shè)備間進(jìn)行聯(lián)系的ARP表進(jìn)行攻擊。每個(gè)三層設(shè)備需要維護(hù)一張IP地址和二層MAC地址的對(duì)應(yīng)表。當(dāng)主機(jī)需要給某個(gè)IP地址發(fā)送數(shù)據(jù)時(shí),根據(jù)該表對(duì)應(yīng)的MAC地址封裝數(shù)據(jù)包。
主機(jī)主要是通過偵聽網(wǎng)絡(luò)上的ARP查詢和發(fā)出ARP查詢來維護(hù)自身的ARP表。入侵者可以通過偽造ARP信息包讓被攻擊主機(jī)得到錯(cuò)誤的ARP信息,例如讓某臺(tái)主機(jī)錯(cuò)誤的將缺省網(wǎng)關(guān)的IP地址映射到攻擊者的MAC地址,那么所有該主機(jī)發(fā)往缺省網(wǎng)關(guān)的數(shù)據(jù)包都將用攻擊者的MAC地址封裝被網(wǎng)絡(luò)設(shè)備發(fā)送到攻擊者的機(jī)器,和3.1中介紹的攻擊方式類似,攻擊者可以對(duì)被攻擊者傳輸?shù)臄?shù)據(jù)進(jìn)行竊聽,篡改等一系列操作。
2.3 Vlan信息偽造攻擊
在進(jìn)行網(wǎng)絡(luò)設(shè)置的過程中,經(jīng)常會(huì)出現(xiàn)將連接最終用戶的端口的Vlan模式設(shè)置為自動(dòng)Trunk模式的錯(cuò)誤設(shè)置。這樣,連接該接口的用戶可以發(fā)送和運(yùn)營(yíng)商網(wǎng)絡(luò)采用相同Vlan協(xié)議進(jìn)行封裝的數(shù)據(jù)幀,欺騙交換機(jī)從而跨越Vlan的限制任意連接到其它Vlan。
2.4路由欺騙攻擊
一般的網(wǎng)絡(luò)用戶在對(duì)傳統(tǒng)的三層路由設(shè)備(多層交換機(jī)和路由器)進(jìn)行設(shè)置時(shí),一般不會(huì)對(duì)路由更新進(jìn)行過濾。這樣外部攻擊者可以通過監(jiān)聽了解到網(wǎng)絡(luò)中正在使用的動(dòng)態(tài)路由協(xié)議和部分網(wǎng)絡(luò)拓?fù)涞刃畔ⅰM瑫r(shí)可以偽裝成網(wǎng)絡(luò)上的路由器發(fā)送路由更新信息欺騙其它路由設(shè)備,這樣,其它被欺騙的路由器可能錯(cuò)誤的認(rèn)為攻擊者的機(jī)器是到達(dá)目的IP地址的最佳路徑,而將數(shù)據(jù)包發(fā)往攻擊者主機(jī),然后攻擊者在對(duì)數(shù)據(jù)進(jìn)行了竊聽和篡改后采用源路由技術(shù)將數(shù)據(jù)包發(fā)往正常的接收方。采用該種攻擊方式,通信的雙方都無法發(fā)現(xiàn)數(shù)據(jù)流被截獲,威脅性極大。
2.5源路由攻擊
TCP/IP協(xié)議集中的源路由技術(shù),是一種在IP數(shù)據(jù)包內(nèi)部指定路由選擇過程的技術(shù),通過該技術(shù)可以在數(shù)據(jù)包內(nèi)部指定該數(shù)據(jù)包通過的每一跳路由地址。采用該技術(shù),攻擊者可以利用該技術(shù)對(duì)截獲的數(shù)據(jù)包進(jìn)行正常發(fā)送,或是跨越路由規(guī)則或相應(yīng)的訪問控制規(guī)則將IP包發(fā)往受保護(hù)的網(wǎng)絡(luò)。
三、IP寬帶網(wǎng)中傳輸安全保障技術(shù)簡(jiǎn)介
●用戶認(rèn)證及訪問控制技術(shù)
●VLAN技術(shù)
●MPLS技術(shù)
●VPN及加密與密鑰交換
●設(shè)備廠商提供的增強(qiáng)技術(shù)
3.1用戶認(rèn)證及訪問控制技術(shù)
訪問控制主要可以分為三種,首先是對(duì)網(wǎng)絡(luò)設(shè)備的訪問,采用基于用戶名/口令的認(rèn)證技術(shù),然后根據(jù)該用戶名的權(quán)限進(jìn)行相關(guān)的訪問控制。主要實(shí)施在運(yùn)營(yíng)商的和用戶的網(wǎng)絡(luò)設(shè)備上。
第二種是采用運(yùn)營(yíng)商分配的IP地址作為用戶的認(rèn)證信息,通過基于IP地址以及端口號(hào)的訪問控制策略實(shí)現(xiàn)訪問控制。此類訪問控制策略主要實(shí)施在不同的用戶之間,網(wǎng)絡(luò)本身僅僅為不同用戶提供了一種完全連接的手段,而并非所有的用戶都需要讓其他用戶訪問到自身機(jī)器的全部信息。運(yùn)營(yíng)商可以通過分配給用戶的IP地址作為認(rèn)證信息來實(shí)施問控制策略。
最后是采用增強(qiáng)的認(rèn)證手段(口令,密鑰等)進(jìn)行用戶認(rèn)證后根據(jù)用戶進(jìn)行相應(yīng)的訪問控制。第三類訪問控制技術(shù)提供了進(jìn)一步增強(qiáng)的驗(yàn)證,防止了通過偽造源IP地址和源路由等技術(shù)跨越原有的基于IP地址和端口號(hào)的訪問控制的可能,同時(shí)通過密鑰等幾乎不可破解的強(qiáng)密鑰認(rèn)證技術(shù),保證了VPN等應(yīng)用的高安全性。
3.2 VLAN技術(shù)
Vlan技術(shù)在處于第二層的交換設(shè)備上實(shí)現(xiàn)了不同端口之間的邏輯隔離,在劃分了Vlan的交換機(jī)上,處于不同Vlan的端口間無法直接通過二層交換設(shè)備進(jìn)行通訊。從安全性的角度講,Vlan首先分割了廣播域,不同的用戶從邏輯上看連接在不互相連接的不同二層設(shè)備上,Vlan間的通訊只能夠通過三層路由設(shè)備進(jìn)行:實(shí)施Vlan技術(shù),可以實(shí)現(xiàn)不同用戶之間在二層交換設(shè)備上的隔離。外部攻擊者無法通過類似3.1、3.2小節(jié)介紹的在同一廣播域內(nèi)才可能實(shí)施的攻擊方式對(duì)其它用戶進(jìn)行攻擊。
從靈活性的角度將,在典型的IP寬帶網(wǎng)中,在相對(duì)不安全的分布接入層,首先采用Vlan技術(shù)實(shí)現(xiàn)用戶間的隔離,然后數(shù)據(jù)進(jìn)入由MPLS技術(shù)提供了較高安全性的主干網(wǎng)進(jìn)行傳輸,在數(shù)據(jù)通過主干網(wǎng)后再采用Vlan技術(shù)接入到對(duì)端用戶。采用 用戶-Vlan-MPLS-Vlan-用戶 的連接模式保障網(wǎng)絡(luò)傳輸?shù)陌踩。同時(shí)Vlan限制在本地而不是穿越本地主干網(wǎng)的避免了在大量用戶接入后Vlan的設(shè)定受到Vlan最大數(shù)目的限制。
3.3 MPLS技術(shù)
MPLS(多協(xié)議標(biāo)志交換)交換與傳統(tǒng)的基于下一跳的IP路由協(xié)議不同,MPLS是基于一種顯式的路由交換(explicit routing),采用源地址路由方式。通過網(wǎng)絡(luò)拓?fù)鋪韺?shí)現(xiàn)MPLS的路由控制管理。
在標(biāo)志交換的環(huán)境中,MPLS為第3層路由表中的路由前綴分配一個(gè)特定含義的標(biāo)簽,MPLS標(biāo)記技術(shù)隱藏了真實(shí)的IP地址以及信息包流的其他內(nèi)容,至少提供了相當(dāng)于窄帶的幀中繼技術(shù)的第二層數(shù)據(jù)安全保護(hù)。類似的,我們也可以將基于MPLS技術(shù)的數(shù)據(jù)隔離看作是等同于Vlan技術(shù)的廣域網(wǎng)。
3.4 VPN及加密與密鑰交換技術(shù)
Vlan技術(shù)和MPLS技術(shù)的綜合應(yīng)用保障了第二層的網(wǎng)絡(luò)安全,充分防止了外部攻擊者利用IP寬帶網(wǎng)的第二層安全缺陷進(jìn)行攻擊。
網(wǎng)絡(luò)提供商提供的主要是下三層和部分第四層的服務(wù)(Qos等服務(wù),幾乎無須考慮安全性),所以僅僅做到第二層的安全性是遠(yuǎn)遠(yuǎn)不夠的,在第三層上,我們主要通過基于IPSec的VPN技術(shù)來實(shí)現(xiàn)相關(guān)的安全性。
3.4.1 IKE技術(shù)
IKE(Internet 密鑰交換協(xié)議)用于在VPN通道建立前對(duì)雙方的身分進(jìn)行驗(yàn)證,然后協(xié)商加密算法并生成共享密鑰。為了防止密鑰泄漏,IKE并不在不安全的網(wǎng)絡(luò)上傳輸密鑰而是通過一系列強(qiáng)安全性的非對(duì)稱算法通過交換非密鑰數(shù)據(jù),實(shí)現(xiàn)雙方的密鑰交換。按照當(dāng)前的解密技術(shù)和計(jì)算機(jī)應(yīng)用的發(fā)展水平該算法可以被看作是不可破解的。
3.4.2 IPSec技術(shù)
IPSec技術(shù)是一組協(xié)議的總稱,在通常的IPSec應(yīng)用中,同時(shí)使用了用于保障完整性和真實(shí)性的AH協(xié)議,和進(jìn)行數(shù)據(jù)加密用于保障數(shù)據(jù)的私有性的ESP協(xié)議,來保證傳輸過程中的數(shù)據(jù)安全。
3.4.3 VPN的應(yīng)用
VPN在兩臺(tái)支持VPN的設(shè)備間建立了對(duì)等關(guān)系并協(xié)商建立一條安全傳輸信道,有兩種典型的連接方式,一種是各個(gè)部門之間通過專用的VPN通道通過公用網(wǎng)絡(luò)進(jìn)行連接。第二種方式是遠(yuǎn)程授權(quán)用戶通過撥號(hào)(撥號(hào)方式采用的是專用鏈路連接,不存在二層安全性問題)等方式進(jìn)入Internet并和內(nèi)部網(wǎng)絡(luò)采用VPN技術(shù)建立傳輸通道,進(jìn)而訪問公司內(nèi)部網(wǎng)絡(luò)。
3.5設(shè)備廠商提供的增強(qiáng)技術(shù)
各大網(wǎng)絡(luò)設(shè)備廠商在其網(wǎng)絡(luò)設(shè)備上都添加了部分增強(qiáng)網(wǎng)絡(luò)安全性的功能,例如接入層的MAC地址綁定及端口安全保護(hù),靜態(tài)ARP表等網(wǎng)絡(luò)安全性增強(qiáng)技術(shù),IP寬帶網(wǎng)運(yùn)營(yíng)商可以在充分了解網(wǎng)絡(luò)設(shè)備的安全性增強(qiáng)功能后為客戶提供更加細(xì)致的安全服務(wù)。
四、傳輸安全典型解決方案
按照二至四三部分的分析:以下的傳輸安全解決方案,將以某大型集團(tuán)用戶接入IP寬帶網(wǎng)為例,綜合運(yùn)用IP寬帶網(wǎng)上的傳輸安全增強(qiáng)技術(shù),提供安全可靠的數(shù)據(jù)網(wǎng)絡(luò)。
實(shí)施部署的整體拓?fù)鋱D如下:
改方案的實(shí)施主要包括兩個(gè)部分,第一部份是對(duì)IP寬帶網(wǎng)的設(shè)備進(jìn)行增強(qiáng)安全性的相關(guān)設(shè)置,主要包括Vlan的劃分,MPLS交換設(shè)置,Vlan匯接設(shè)備上的訪問列表以及針對(duì)路由更新的過濾。
第二部分是在第一部份的基礎(chǔ)上實(shí)施相應(yīng)的VPN解決方案,通過加密和認(rèn)證技術(shù),進(jìn)一步保障數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)耐暾、安全性和私有性。VPN的實(shí)施主要通過在所有需要通過VPN技術(shù)進(jìn)行傳輸?shù)墓?jié)點(diǎn)添加相應(yīng)的VPN加密設(shè)備以建立VPN通道
在該實(shí)施方案中,在第二層的安全上,綜合使用了Vlan技術(shù)和MPLS技術(shù)來保障安全性。在分布接入層,該集團(tuán)用戶的網(wǎng)絡(luò)與其他用戶處于不同的Vlan中,邏輯上完全隔離,其他用戶無法對(duì)該集團(tuán)用戶的網(wǎng)絡(luò)進(jìn)行第二層的訪問。在核心層基于MPLS的主干網(wǎng)上,不同的用戶采用不同的MPLS標(biāo)記進(jìn)行交換,數(shù)據(jù)傳輸上完全獨(dú)立,在第二層上保證了充分的隔離。
為了避免路由欺騙,Vlan欺騙等技術(shù):在Vlan匯接設(shè)備上,我們將針對(duì)用戶采取基于源的嚴(yán)格訪問控制列表和路由更新過濾技術(shù)來防止攻擊者利用傳統(tǒng)路由技術(shù)本身的缺陷對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。
在充分保證二層傳輸安全的同時(shí),在第三層上實(shí)施基于IPSec協(xié)議的VPN技術(shù)對(duì)傳輸安全性進(jìn)行進(jìn)一步的加強(qiáng)。即便鏈路上傳輸?shù)臄?shù)據(jù)因?yàn)槟承┨厥庠颍ɡ缰苯釉谖锢礞溌飞蟼陕牐蚴且驗(yàn)槟承┰O(shè)置不當(dāng)導(dǎo)致攻擊者有機(jī)可乘)導(dǎo)致數(shù)據(jù)包被外部攻擊者截獲,外部攻擊者也無法對(duì)包含有加密和驗(yàn)證信息的應(yīng)用數(shù)據(jù)進(jìn)行任何監(jiān)聽和篡改,進(jìn)一步的保障了網(wǎng)絡(luò)傳輸?shù)陌踩浴?/p>
摘自《計(jì)算機(jī)世界網(wǎng)》