IP宽带网数据传输安全策略
引 言:在当前情况下,政府上网及企业上网工程的实施,电子商务的广泛应用导致了越来越多的敏感数据通过网络进行传输,网络的安全性正成为日益迫切的需求。本文将针对典型的IP宽带网的各类安全隐患,结合相应的黑客的入侵方式,对IP宽带网内的安全技术进行全面介绍,通过实施相应的安全策略及安装安全设备极大的增强IP宽带网的安全性。
一、IP宽带网的典型连接方式
宽带IP网的典型连接方式如下
在该拓扑中,主干设备采用了支持IP over SDH/SONET的多业务光传输平台(采用IP Over ATM、IP Over Optical等技术时类似)该平台能够同时提供高速数据业务和传统的DS1、DS3技术。
在分布接入层,根据应用需求的大小不同选择了相应的2/3层以太网交换机连接提供用户接入服务。
从网络安全的角度来看,传统的DS1、DS3业务采用独立的信道进行传输,能够提供和电信相关设备同等的安全性;在高速数据业务上,该设备支持MPLS多协议标志交换技术,能够克服传统以太网在安全控制方面的各类缺点,提供和电信专线等同的安全性。
但在该宽带IP网中,绝大多数个人和单位用户都不会直接接入骨干设备,而是连入专门提供用户接入用的2/3层以太网交换机,该类交换机本身无法提供足够的安全保护来保障数据传输的安全。
二、安全威胁
从上文可知,在宽带IP网络中,除开物理安全性不谈,主干网在技术上几乎没有任何可利用的安全隐患,一般可以看作是安全的网络。IP宽带网主要的安全威胁来自采用传统以太网技术,提供用户接入的2/3层交换机组成的分布接入层。以下将对现有IP宽带网分布接入层的部分安全隐患进行分析
(注:以下所有安全隐患未经说明一律针对以太网、快速以太网和千兆以太网。)
● MAC地址-端口对应表欺骗攻击
● ARP表欺骗攻击
● Vlan信息伪造攻击
● 路由欺骗攻击
● 源路由攻击
2.1 MAC地址-端口对应表欺骗攻击
众所周知,以太网上的二层交换设备使用MAC地址和端口的对应表来决定数据帧的转发过程。交换机通过它接收到的每一个数据帧的源MAC地址来构建MAC地址-端口对应表。当两个端口先后接收到相同源地址的数据帧时,绝大多数交换设备将使用较后收到帧的端口进行转发。这样,当处于不同交换端口的主机A想要截获主机B的信息时,主机A只需向交换机以一定速率持续发送以主机B网卡的MAC地址作为源地址的数据帧,就可以将几乎所有交换机应该发往主机B所在端口的数据帧重定向到主机A所在端口,实现数据流的截获。然后主机A可以使用广播地址或是组播地址等方式将该数据包重新封装成主机B可接收的数据帧发往主机B所在端口。这样,主机B数据通信的整个过程被主机A截获。主机A可以对传输给B的数据进行监听、篡改等一系列操作。
2.2 ARP表欺骗攻击
针对三层设备的攻击主要是对三层设备维护的用于在三层设备和二层设备间进行联系的ARP表进行攻击。每个三层设备需要维护一张IP地址和二层MAC地址的对应表。当主机需要给某个IP地址发送数据时,根据该表对应的MAC地址封装数据包。
主机主要是通过侦听网络上的ARP查询和发出ARP查询来维护自身的ARP表。入侵者可以通过伪造ARP信息包让被攻击主机得到错误的ARP信息,例如让某台主机错误的将缺省网关的IP地址映射到攻击者的MAC地址,那么所有该主机发往缺省网关的数据包都将用攻击者的MAC地址封装被网络设备发送到攻击者的机器,和3.1中介绍的攻击方式类似,攻击者可以对被攻击者传输的数据进行窃听,篡改等一系列操作。
2.3 Vlan信息伪造攻击
在进行网络设置的过程中,经常会出现将连接最终用户的端口的Vlan模式设置为自动Trunk模式的错误设置。这样,连接该接口的用户可以发送和运营商网络采用相同Vlan协议进行封装的数据帧,欺骗交换机从而跨越Vlan的限制任意连接到其它Vlan。
2.4路由欺骗攻击
一般的网络用户在对传统的三层路由设备(多层交换机和路由器)进行设置时,一般不会对路由更新进行过滤。这样外部攻击者可以通过监听了解到网络中正在使用的动态路由协议和部分网络拓扑等信息。同时可以伪装成网络上的路由器发送路由更新信息欺骗其它路由设备,这样,其它被欺骗的路由器可能错误的认为攻击者的机器是到达目的IP地址的最佳路径,而将数据包发往攻击者主机,然后攻击者在对数据进行了窃听和篡改后采用源路由技术将数据包发往正常的接收方。采用该种攻击方式,通信的双方都无法发现数据流被截获,威胁性极大。
2.5源路由攻击
TCP/IP协议集中的源路由技术,是一种在IP数据包内部指定路由选择过程的技术,通过该技术可以在数据包内部指定该数据包通过的每一跳路由地址。采用该技术,攻击者可以利用该技术对截获的数据包进行正常发送,或是跨越路由规则或相应的访问控制规则将IP包发往受保护的网络。
三、IP宽带网中传输安全保障技术简介
●用户认证及访问控制技术
●VLAN技术
●MPLS技术
●VPN及加密与密钥交换
●设备厂商提供的增强技术
3.1用户认证及访问控制技术
访问控制主要可以分为三种,首先是对网络设备的访问,采用基于用户名/口令的认证技术,然后根据该用户名的权限进行相关的访问控制。主要实施在运营商的和用户的网络设备上。
第二种是采用运营商分配的IP地址作为用户的认证信息,通过基于IP地址以及端口号的访问控制策略实现访问控制。此类访问控制策略主要实施在不同的用户之间,网络本身仅仅为不同用户提供了一种完全连接的手段,而并非所有的用户都需要让其他用户访问到自身机器的全部信息。运营商可以通过分配给用户的IP地址作为认证信息来实施问控制策略。
最后是采用增强的认证手段(口令,密钥等)进行用户认证后根据用户进行相应的访问控制。第三类访问控制技术提供了进一步增强的验证,防止了通过伪造源IP地址和源路由等技术跨越原有的基于IP地址和端口号的访问控制的可能,同时通过密钥等几乎不可破解的强密钥认证技术,保证了VPN等应用的高安全性。
3.2 VLAN技术
Vlan技术在处于第二层的交换设备上实现了不同端口之间的逻辑隔离,在划分了Vlan的交换机上,处于不同Vlan的端口间无法直接通过二层交换设备进行通讯。从安全性的角度讲,Vlan首先分割了广播域,不同的用户从逻辑上看连接在不互相连接的不同二层设备上,Vlan间的通讯只能够通过三层路由设备进行:实施Vlan技术,可以实现不同用户之间在二层交换设备上的隔离。外部攻击者无法通过类似3.1、3.2小节介绍的在同一广播域内才可能实施的攻击方式对其它用户进行攻击。
从灵活性的角度将,在典型的IP宽带网中,在相对不安全的分布接入层,首先采用Vlan技术实现用户间的隔离,然后数据进入由MPLS技术提供了较高安全性的主干网进行传输,在数据通过主干网后再采用Vlan技术接入到对端用户。采用 用户-Vlan-MPLS-Vlan-用户 的连接模式保障网络传输的安全。同时Vlan限制在本地而不是穿越本地主干网的避免了在大量用户接入后Vlan的设定受到Vlan最大数目的限制。
3.3 MPLS技术
MPLS(多协议标志交换)交换与传统的基于下一跳的IP路由协议不同,MPLS是基于一种显式的路由交换(explicit routing),采用源地址路由方式。通过网络拓扑来实现MPLS的路由控制管理。
在标志交换的环境中,MPLS为第3层路由表中的路由前缀分配一个特定含义的标签,MPLS标记技术隐藏了真实的IP地址以及信息包流的其他内容,至少提供了相当于窄带的帧中继技术的第二层数据安全保护。类似的,我们也可以将基于MPLS技术的数据隔离看作是等同于Vlan技术的广域网。
3.4 VPN及加密与密钥交换技术
Vlan技术和MPLS技术的综合应用保障了第二层的网络安全,充分防止了外部攻击者利用IP宽带网的第二层安全缺陷进行攻击。
网络提供商提供的主要是下三层和部分第四层的服务(Qos等服务,几乎无须考虑安全性),所以仅仅做到第二层的安全性是远远不够的,在第三层上,我们主要通过基于IPSec的VPN技术来实现相关的安全性。
3.4.1 IKE技术
IKE(Internet 密钥交换协议)用于在VPN通道建立前对双方的身分进行验证,然后协商加密算法并生成共享密钥。为了防止密钥泄漏,IKE并不在不安全的网络上传输密钥而是通过一系列强安全性的非对称算法通过交换非密钥数据,实现双方的密钥交换。按照当前的解密技术和计算机应用的发展水平该算法可以被看作是不可破解的。
3.4.2 IPSec技术
IPSec技术是一组协议的总称,在通常的IPSec应用中,同时使用了用于保障完整性和真实性的AH协议,和进行数据加密用于保障数据的私有性的ESP协议,来保证传输过程中的数据安全。
3.4.3 VPN的应用
VPN在两台支持VPN的设备间建立了对等关系并协商建立一条安全传输信道,有两种典型的连接方式,一种是各个部门之间通过专用的VPN通道通过公用网络进行连接。第二种方式是远程授权用户通过拨号(拨号方式采用的是专用链路连接,不存在二层安全性问题)等方式进入Internet并和内部网络采用VPN技术建立传输通道,进而访问公司内部网络。
3.5设备厂商提供的增强技术
各大网络设备厂商在其网络设备上都添加了部分增强网络安全性的功能,例如接入层的MAC地址绑定及端口安全保护,静态ARP表等网络安全性增强技术,IP宽带网运营商可以在充分了解网络设备的安全性增强功能后为客户提供更加细致的安全服务。
四、传输安全典型解决方案
按照二至四三部分的分析:以下的传输安全解决方案,将以某大型集团用户接入IP宽带网为例,综合运用IP宽带网上的传输安全增强技术,提供安全可靠的数据网络。
实施部署的整体拓扑图如下:
