IP網(wǎng)絡(luò)安全與設(shè)備測(cè)試

高巍

　　摘要　介紹了IP網(wǎng)絡(luò)目前所面臨的安全威脅，并討論了路由器設(shè)備安全功能的測(cè)試。

　　關(guān)鍵詞　IP網(wǎng)絡(luò)　安全　測(cè)試

一、引言

　　當(dāng)今的時(shí)代是網(wǎng)絡(luò)的時(shí)代，20世紀(jì)末出現(xiàn)的IP網(wǎng)絡(luò)，以前所未有的發(fā)展速度創(chuàng)造了人類科技史上的奇跡，并大有取代已經(jīng)存在了100多年的電路交換網(wǎng)的趨勢(shì)。但從電信網(wǎng)的角度來(lái)說(shuō)，IP網(wǎng)絡(luò)還存在著諸如安全、服務(wù)質(zhì)量、運(yùn)營(yíng)模式等問(wèn)題。其中，IP網(wǎng)絡(luò)的安全問(wèn)題是其中非常重要的一個(gè)方面，由于IP網(wǎng)絡(luò)的開(kāi)放性，又使得它的安全問(wèn)題變得十分復(fù)雜。本文著重分析IP網(wǎng)絡(luò)中所面臨的安全威脅，并討論路由器設(shè)備安全功能的測(cè)試。

二、IP網(wǎng)絡(luò)所面臨的安全威脅

　　IP網(wǎng)絡(luò)的最大優(yōu)勢(shì)是它的開(kāi)放性，并最大限度地支持終端的智能，這使得IP網(wǎng)絡(luò)中存在著各種各樣豐富多彩的業(yè)務(wù)與應(yīng)用。但與此同時(shí)，IP網(wǎng)絡(luò)的開(kāi)放性與終端的智能化也使得IP網(wǎng)絡(luò)面臨著前所未有的安全威脅。

　　IP網(wǎng)絡(luò)的安全威脅有兩個(gè)方面，一是主機(jī)(包括用戶主機(jī)和應(yīng)用服務(wù)器等)的安全，二是網(wǎng)絡(luò)自身(主要是網(wǎng)絡(luò)設(shè)備，包括路由器、交換機(jī)等)的安全。用戶主機(jī)所感知的安全威脅主要是針對(duì)特定操作系統(tǒng)(主要是Windows系統(tǒng))的攻擊，即所謂病毒。網(wǎng)絡(luò)設(shè)備主要面對(duì)的是基于TCP/IP協(xié)議的攻擊。本文主要討論網(wǎng)絡(luò)自身，即網(wǎng)絡(luò)設(shè)備(主要是路由器)自身的安全問(wèn)題。

　　路由器設(shè)備從功能上可以劃分為數(shù)據(jù)平面、控制/信令平面和管理平面，也可以從協(xié)議系統(tǒng)的角度按TCP/IP協(xié)議的層次進(jìn)行劃分。圖l所示為路由器的系統(tǒng)框架。路由器設(shè)備在系統(tǒng)框架中的每個(gè)層次上都有可能受到攻擊。

圖1　路由器的系統(tǒng)框架

　　(1)對(duì)數(shù)據(jù)平面來(lái)說(shuō)，其功能是負(fù)責(zé)處理進(jìn)入設(shè)備的數(shù)據(jù)流，它有可能受到基于流量的攻擊，如大流量攻擊、畸形報(bào)文攻擊。這些攻擊的主要目的是占用設(shè)備CPU的處理時(shí)間，造成正常的數(shù)據(jù)流量無(wú)法得到處理，使設(shè)備的可用性降低。由于數(shù)據(jù)平面負(fù)責(zé)用戶數(shù)據(jù)的轉(zhuǎn)發(fā)，因此也會(huì)受到針對(duì)用戶數(shù)據(jù)的攻擊，主要是對(duì)用戶數(shù)據(jù)的惡意竊取、修改、刪除等，使用戶數(shù)據(jù)的機(jī)密性和完整性受到破壞。

　　(2)對(duì)路由器來(lái)說(shuō)，控制/信令平面的主要功能是進(jìn)行路由信息的交換。這一平面受到的主要威脅來(lái)自對(duì)路由信息的竊取，對(duì)IP地址的偽造等，這會(huì)造成網(wǎng)絡(luò)路由信息的泄漏或?yàn)E用。

　　(3)對(duì)系統(tǒng)管理平面來(lái)說(shuō)，威脅來(lái)自于兩個(gè)方面，一個(gè)是系統(tǒng)管理所使用的協(xié)議(如Telnet協(xié)議、HTTP協(xié)議等)的漏洞，另一個(gè)是不嚴(yán)密的管理，如設(shè)備管理賬號(hào)的泄露等。

三、威脅網(wǎng)絡(luò)安全的主要攻擊手段

　　1.數(shù)據(jù)平面

　　數(shù)據(jù)平面受到的主要攻擊是拒絕服務(wù)(DoS，Deny of Service)攻擊，拒絕服務(wù)攻擊針對(duì)不同的協(xié)議會(huì)有很多種形式。

　　(1)LAND攻擊。LAND攻擊是利用某些系統(tǒng)TCP協(xié)議實(shí)現(xiàn)中的漏洞，制造TCPSYN報(bào)文，這些報(bào)文的源IP地址和TCP端口號(hào)與目的IP地址和TCP端口號(hào)相同，這樣系統(tǒng)就會(huì)向自身發(fā)起一個(gè)TCP連接，造成了系統(tǒng)資源的無(wú)謂消耗。

　　(2)SYNF1ood攻擊。SYNF1ood攻擊是利用TCP協(xié)議三次握手的機(jī)制，由攻擊主機(jī)向被攻擊設(shè)備發(fā)送大量的SYN請(qǐng)求報(bào)文，這些報(bào)文的源地址是一個(gè)不可達(dá)的主機(jī)地址，被攻擊設(shè)備發(fā)送SYNACK報(bào)文后，就開(kāi)始等待大量根本不可能到達(dá)的ACK報(bào)文，造成了系統(tǒng)資源的大量占用。

　　(3)Smurf攻擊。Smurf攻擊是利用ICMP協(xié)議的一種DoS攻擊手段。該攻擊是將ICMP Echo Request(Ping)報(bào)文的源地址偽造成被攻擊設(shè)備的地址，目的地址為網(wǎng)絡(luò)中的廣播地址，這樣大量的ICMP響應(yīng)報(bào)文將造成被攻擊設(shè)備以及所在網(wǎng)絡(luò)的負(fù)載大大增加。如果攻擊中使用的是UDP的應(yīng)答請(qǐng)求消息則演變?yōu)镕raggle攻擊。

　　(4)PingF1ood攻擊。PingF1ood攻擊是從一條高帶寬的連接向一條低帶寬的連接連續(xù)發(fā)送大量的Ping報(bào)文，被攻擊設(shè)備將對(duì)每一個(gè)Ping報(bào)文進(jìn)行回應(yīng)，造成了網(wǎng)絡(luò)可用帶寬的降低。

　　(5)Teardrop攻擊。Teardrop攻擊是利用IP報(bào)文的分片/重組機(jī)制，發(fā)送偽造的分片IP報(bào)文，而將IP報(bào)文頭部中指示分片標(biāo)記的Offset字段設(shè)為重復(fù)的值，使得被攻擊設(shè)備在處理這些分片報(bào)文時(shí)造成系統(tǒng)的掛起甚至宕機(jī)。

　　(6)Ping of Death攻擊。Ping of Death攻擊通過(guò)發(fā)送一個(gè)包長(zhǎng)超過(guò)65535的Ping報(bào)文，使被攻擊設(shè)備的內(nèi)存分配產(chǎn)生錯(cuò)誤，從而導(dǎo)致設(shè)備的癱瘓。

　　除了DoS攻擊，網(wǎng)絡(luò)設(shè)備還會(huì)面對(duì)網(wǎng)絡(luò)中大量的各種各樣的畸形報(bào)文和錯(cuò)誤報(bào)文，這些報(bào)文將耗費(fèi)網(wǎng)絡(luò)設(shè)備大量的處理能力，Ping of Death攻擊也可以看作是畸形報(bào)文的一種形式。

　　同時(shí)，網(wǎng)絡(luò)上的用戶數(shù)據(jù)也有可能受到惡意監(jiān)聽(tīng)或截取，目前比較有效的防范方式是使用IPSec協(xié)議進(jìn)行用戶數(shù)據(jù)的加密。

　　2.控制/信令平面

　　對(duì)控制/信令平面的攻擊主要是通過(guò)使用非法的或未授權(quán)的路由設(shè)備與網(wǎng)絡(luò)中的合法設(shè)備建立路由鄰接關(guān)系，獲取網(wǎng)絡(luò)中的路由信息。通過(guò)路由協(xié)議的加密認(rèn)證可以有效阻止這種攻擊。目前，主要使用的RIPv2，OSPF，IS-IS都支持對(duì)協(xié)議報(bào)文的明文認(rèn)證和MD5加密認(rèn)證，BGP，LDP等協(xié)議則依靠TCP的MD5加密認(rèn)證來(lái)保證協(xié)議報(bào)文的安全性。

　　3.管理平面

　　目前，對(duì)設(shè)備的遠(yuǎn)程管理主要采用Telnet，Web等方式，而Telnet，HTTP協(xié)議本身都沒(méi)有提供安全功能，用戶數(shù)據(jù)、用戶賬號(hào)和口令等都是明文傳送，很容易被監(jiān)聽(tīng)竊取，也很容易受到中間人(Man In the Middle)攻擊。

　　解決網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理問(wèn)題主要依靠SSH和SSL協(xié)議。SSH(Secure Shell)是目前比較可靠的為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠(yuǎn)程管理過(guò)程中的信息泄露問(wèn)題。SSL(Secure Socket Layer)協(xié)議可以在使用Web方式進(jìn)行遠(yuǎn)程管理時(shí)對(duì)瀏覽器和Web服務(wù)器之間的通信進(jìn)行加密。

四、網(wǎng)絡(luò)安全與設(shè)備測(cè)試

　　目前的路由器測(cè)試主要針對(duì)的是設(shè)備的功能、協(xié)議、性能等基本能力，隨著對(duì)IP網(wǎng)絡(luò)中安全要求的不斷提高，路由器本身也需要支持各種各樣的安全能力，因此在測(cè)試中需要加強(qiáng)對(duì)路由器安全能力的測(cè)試。對(duì)路由器能力的測(cè)試同樣也可以從數(shù)據(jù)平面、控制/信令平面和管理平面三個(gè)層次來(lái)考慮。

　　1.數(shù)據(jù)平面的安全測(cè)試

　　(1)抗DoS攻擊能力的測(cè)試。主要是利用儀表模擬攻擊流量，驗(yàn)證被測(cè)設(shè)備對(duì)攻擊流量的處理。被測(cè)設(shè)備應(yīng)該對(duì)異常流量采取丟棄策略，并生成告警日志。

　　(2)ACL功能測(cè)試。驗(yàn)證設(shè)備可以提供豐富的ACL功能來(lái)對(duì)非法流量進(jìn)行過(guò)濾。

　　(3)防止IP地址欺騙測(cè)試。主要是URPF(單播逆向路徑轉(zhuǎn)發(fā)，Unicast Reverse Path Forwarding)功能的測(cè)試。被測(cè)設(shè)備應(yīng)具備URPF功能，即設(shè)備可以檢查數(shù)據(jù)包的源地址，在FIB表中查找該源地址是否與數(shù)據(jù)包的來(lái)源接口相匹配，如果沒(méi)有匹配表項(xiàng)將丟棄該數(shù)據(jù)包。

　　(4)IPSec協(xié)議測(cè)試。驗(yàn)證設(shè)備是否支持IPSec協(xié)議來(lái)保證用戶數(shù)據(jù)的機(jī)密性。

　　(5)對(duì)協(xié)議的控制測(cè)試。被測(cè)設(shè)備應(yīng)該能夠關(guān)閉一些可能造成攻擊的協(xié)議端口或過(guò)濾某些可能對(duì)網(wǎng)絡(luò)造成安全隱患的協(xié)議報(bào)文，如關(guān)閉UDP的回應(yīng)請(qǐng)求端口、過(guò)濾源路由數(shù)據(jù)包等。

　　2.控制/信令平面的安全測(cè)試

　　(1)OSPF協(xié)議安全測(cè)試。包括鄰居路由器之間的明文/MD5認(rèn)證、OSPF區(qū)域內(nèi)使用明文/MD5認(rèn)證。

　　(2)IS-IS協(xié)議安全測(cè)試。包括接口間Level-1明文/MD5認(rèn)證、接口Level-2明文/MD5認(rèn)證、IS-IS區(qū)域內(nèi)明文/MD5認(rèn)證和IS-IS路由域上的明文/MD5認(rèn)證。

　　(3)BGP協(xié)議的MD5認(rèn)證。

　　(4)RIPv2協(xié)議的認(rèn)證。

　　3.管理平面的安全測(cè)試

　　(1)SSH協(xié)議支持能力的測(cè)試。

　　(2)SSL協(xié)議支持能力的測(cè)試。

　　(3)安全審計(jì)功能的測(cè)試。包括提供安全告警日志以及用戶操作日志等的能力。

　　除安全功能及協(xié)議的測(cè)試外，路由器的安全測(cè)試還應(yīng)包括性能測(cè)試，開(kāi)啟安全功能后對(duì)路由器的正常轉(zhuǎn)發(fā)能力不應(yīng)產(chǎn)生嚴(yán)重影響。

五、結(jié)束語(yǔ)

　　目前的IP網(wǎng)絡(luò)仍然面臨著許多安全問(wèn)題，新的攻擊手段和技術(shù)層出不窮，在這種形勢(shì)下，迫切需要網(wǎng)絡(luò)設(shè)備，尤其是路由器設(shè)備支持完善的安全功能。除了對(duì)安全技術(shù)的不斷研究，對(duì)路由器等網(wǎng)絡(luò)設(shè)備進(jìn)行嚴(yán)格的安全測(cè)試。強(qiáng)制網(wǎng)絡(luò)設(shè)備支持應(yīng)有的安全功能也是提高IP網(wǎng)絡(luò)安全性的一個(gè)重要方面。目前，《高端路由器的安全技術(shù)要求》、《中低端路由器的安全技術(shù)要求》、《高端路由器的安全測(cè)試規(guī)范》、《中低端路由器的安全測(cè)試規(guī)范》等標(biāo)準(zhǔn)文稿都已經(jīng)在制訂之中，這些標(biāo)準(zhǔn)的制訂必將使路由器設(shè)備的測(cè)試更加完善，同時(shí)也會(huì)有助于網(wǎng)絡(luò)安全水平的提高。

摘自　泰爾網(wǎng)