有效提高寬帶城域網安全性

林 瀟

中國聯通福州分公司，福建福州 350001

0 引言

隨著互聯網的日益普及，人們通過網絡來查找資料、交流信息，對企業而言網絡更是占有舉足輕重的地位，電子商務得到了飛速的發展。但是由于互聯網本身所具有的開放性與設計缺陷，使其極易受到攻擊，用戶輕著網絡癱瘓，重著企業敏感信息丟失，蒙受巨大經濟損失。網絡攻擊行為也為運營商網絡的正常運營帶來了巨大壓力，當攻擊行為大面積爆發時造成網絡擁塞，無用信息占據了網絡的大量帶寬，網絡傳輸時延、丟包率、差錯率明顯上升，對用戶的服務質量顯著下降。因此，熟悉了解網絡攻擊并進行有效的防護，對提高網絡質量有重要意義。

1 提高城域網核心、匯聚層設備的安全性

1.1 提高設備自身基本穩定性方法

1）服務進程安全：要求遵循最小化服務原則，關閉網絡設備不需要的服務；

2）遠程訪問管理安全：建議使用集中認證、單點登錄等方式控制維護人員遠程訪問；

3）設備關鍵資源保護：利用設備的自身安全特征，提高設備的安全水平，保護路由引擎CPU 資源；

4）密碼管理安全：不允許使用缺省配置的用戶和口令，口令必須進行加密；

5）完善設備網管，提高網管安全：建立統一網管平臺，采用集中監控，注意設備流量情況，及時處理告警；僅允許授權網段訪問路由器的SNMP 服務；盡量使用SNMP 3.0，community 屬性設置為只讀；

6）設備安全審計：設備必須啟用日志，記錄中高風險事件，并對高風險事件產生告警，定期對設備日志進行審計。

1.2 路由器安全性與可靠性提升

路由器是城域網中的主要設備，城域核心路由器主要完成IP業務的交換及路由選擇，并通過高速端口與主干網絡相連；匯聚路由器完成業務的匯聚，提供流量控制和用戶管理功能。因此必須對路由器設置進行合理規劃、配置，采取必要的安全保護措施，避免因路由器自身安全問題而給整個網絡帶來漏洞和風險。

1）限制動態路由開啟端口，為路由器間的協議交換增加認證功能

路由器重要功能是路由的管理和維護，目前網絡一般采用動態的路由協議，城域網常用的有：OSPF、IS-IS、BGP等。當路由器設置了相同路由協議與區域標示符加入網絡后，會學習網絡上的路由信息表，可能導致網絡拓撲信息泄漏，同時也可能由于用戶設備向網絡發送自己的路由表，擾亂網絡正常工作的路由表，嚴重時可以使整個網絡癱瘓。解決辦法是限制動態路由開啟端口，同時對網絡內的路由器之間的路由信息交換進行認證，避免外部設備干擾網內路由。

2）保護路由器設置口令

路由器配置文件密碼即使是加密形式存放，仍存在被破解的可能，一旦密碼泄漏網絡將毫無安全可言，因此應該妥善保存設備配置文件，定期更新設備密碼。

3）阻止察看路由器診斷信息

4）推薦的路由器安全性設置

（1）關閉Cisco設備發現協議（CDP服務）

CDP使用OSI二層協議來查找鄰居設備的信息：設備平臺、操作系統版本、端口、IP地址等，不過CDP有1個缺陷：它對所有發出相應請求的設備都進行應答，可以用命令： no cdp running或no cdp enable關閉該服務。

（2）管理HTTP服務

許多設備允許使用WEB瀏覽器進行配置和監控，在不必要時應關閉設備HTTP服務，如果必須使用HTTP服務，嚴格控制允許訪問的IP地址，同時設定授權限制。

（3）管理ntp服務

路由器使用ntp服務來進行時間同步，當使用ntp服務時，應當使用MD5算法來認證ntp數據包發送者，不使用的話應當關閉ntp服務。

（4）關閉UDP/TCP/Finger服務

（5）部分危險ICMP報文的處理

IP unreachable與ICMP redirect報文常被DOS攻擊利用，路由器外部接口應關閉對上述報文的處理與響應。

（6）阻止路由器接收帶源路由標記的包，將帶有源路由選項的數據流丟棄

（7）關閉路由器定向廣播

1.3 寬帶接入服務器BRAS安全性與可靠性提升

BRAS 是寬帶網絡重要的設施，負責終結用戶的PPPoE連接，完成用戶認證計費；應該采取相應的措施提高BRAS 的安全性和可用性。

2 利用冗余設計避免單點故障大容量的BRAS能提供冗余設計，應充分利用冗余特性提高設備穩定性

1）在關鍵部件的配置上，如主控與交換單元進行1+1 熱備，設備電源雙路供電；

2）設備滿足在主控板熱切換時，用戶不重撥，業務不中斷，用戶無感知；

3）通過同一業務板不同端口捆綁或不同業務單板上的端口捆綁，保證用戶接入的可靠性；

4）在設計和規劃上，BRAS 應提供雙上行至城域網核心設備，上行端口雙歸屬等價路由，實現鏈路備份和負載均衡。

3 利用BRAS 自身的安全特性提高設備的安全性，尤其重要的是保護BRAS 主控板CPU 資源

1）主控板應啟用資源保護的能力，能識別進入主控板的異常流量，并能阻塞進入主控CPU 的異常流量。

2）嚴格限制對BRAS的遠程登錄管理，限制用戶訪問管理地址段；

3）在輸入端口對廣播包數量進行限制（廣播包閾值的設置要考慮PPPOE接入的影響）；

4）Port Security 防范CAM 攻擊；5）根據BRAS 容量和寬帶應用的實際情況，預留流量攻擊所消耗帶寬，調整BRAS 并發用戶數。

4 提高LAN PPPOE 接入的安全性

公眾用戶主要采用PPPOE接入方式，提高PPPOE接入的安全性能夠有效提高整個城域網的安全與穩定性：

1）細化Vlan 劃分，控制單個Vlan 的用戶數，盡量采用端口隔離技術（PVlan和UpLink）隔離，避免同一VLAN 用戶相互干擾；

2）如BRAS 支持QINQ功能，并且二層網絡允許，建議采用QINQ配置；

3）實施廣播包速率限制（broadcast-limit），防止小區用戶對寬帶接入服務器和匯聚層實施二層DOS 攻擊；

4）針對虛假BRAS干擾LAN PPPOE 用戶正常接入情況，應充分利用設備支持的安全特征 （如PVlan 配置和UpLink 端口隔離配置）加以控制；對于不支持該安全特征的設備，可采取定期掃描的方式，及時屏蔽干擾設備。

5 Sniffer介紹與防御

5.1 Sniffer 介紹與原理

Sniffe是一種威脅極大的被動攻擊工具。使用這種工具，可以監視網絡狀態、數據流動的情況以及網絡上傳輸的信息。當信息以明文的形式在網絡傳輸時，便可以使用這種方式來進行偵聽。當黑客成功控制了一臺主機后，他常常會在其上安裝Sniffer，對以太網設備上傳送的數據包進行偵聽，以發現重要的信息，為進一步入侵準備。

5.2 Sniffer監測與防御

由于Sniffer是一種被動攻擊工具，發現一個Sniffer是很困難的，但仍然有辦法抵御它的嗅探。首先，應該對重要信息進行有效的加密處理后再進行傳輸，這樣即使黑客通過Sniffer捕捉到了數據包，也無法解密。其次使用安全的網絡拓撲結構，路由器、交換機都能夠有效的隔離網絡廣播，使用交換機對用戶進行有效VLAN的劃分可以防止Sniffer的非法的偵聽，提高網絡安全性。

6 拒絕服務（DoS）的介紹與防御

6.1 拒絕服務介紹

“拒絕服務”是一種簡單的破壞性攻擊，攻擊者利用TCP/IP協議中的弱點或系統安全漏洞，對目標發起進攻，致使攻擊目標無法對合法用戶提供正常的服務。

6.2 拒絕服務的防護

1）為了防止接入路由器成為DoS攻擊的廣播放大器應在接入路由器接口上使用：no ip directed-broadcast；

2）采用訪問控制列表對所有進出流量進行過濾，過濾掉源地址為私有和保留的IP包，同時讓路由器進行ICMP相反路徑校驗，丟棄那些沒有路徑存在的包，防止源IP地址欺騙；

3）參照RFC 2267，使用訪問控制列表（ACL）過濾進出報文，過濾掉源地址為私有和保留的IP包，同時讓路由器進行ICMP相反路徑校驗，丟棄那些沒有路徑存在的包，防止源IP地址欺騙。

參考以下例子：{ISP中心} -ISP端邊界路由器 - 客戶端邊界路由器 - {客戶端網絡}

ISP端邊界路由器應該只接受源地址屬于客戶端網絡的通信，而客戶端網絡則應該只接受源地址未被客戶端網絡過濾的通信。

1）采用CAR（Committed acces rate 承諾訪問速率)來對ICMP數據風暴進行限制。先利用訪問控制列表對數據包進行分類，定義ICMP數據流，然后利用CAR有選擇的進行數據流量的限制。

2）對SYN包進行管理與控制。如：可以先查出正常狀態下的SYN流量，從而使用CAR來對 SYN流量進行管理與限制，同時還可以在接入路由器上采用TCP攔截來防御SYN攻擊。

啟用接入路由器的日志功能，以便于查找Dos攻擊源。

流量清洗系統的使用:

（1）流量清洗系統介紹

流量清洗系統主要是針對網絡發生的DOS/DDOS攻擊進行有效的監控、告警和防護，系統對進入保護網絡的數據流量進行實時監控，及時發現包括DOS攻擊在內的異常流量，在不影響正常業務的前提下清洗掉異常流量，有效提升網絡安全性與健壯性。

（2）流量清洗系統通常部署在寬帶城域網出口，整個系統由三部分組成：異常流量檢測平臺、異常流量清洗平臺和業務管理平臺。系統工作過程主要分為三個步驟。第一步，利用專用的檢測設備對用戶業務流量進行分析監控。第二步，當用戶遭受到DOS/DDOS攻擊時，檢測設備上報給專用的業務管理平臺生成清洗任務，將用戶流量牽引到流量清洗中心。第三步，流量清洗中心對牽引過來的用戶流量進行清洗，并將清洗后的用戶合法流量回注到城域網，同時上報清洗日志到業務管理平臺生成報表。

7 網絡病毒防御

7.1 網絡病毒介紹

目前對網絡設備影響最大的主要是蠕蟲病毒，蠕蟲病毒對網絡設備的沖擊形式主要有兩種：一是堵塞帶寬，導致服務不可用；二是占用CPU資源，導致宕機。紅色代碼、Slammer、沖擊波等蠕蟲病毒不停地掃描IP地址，在很短時間內就占用大量的帶寬資源，造成網絡出口堵塞。

7.2 使用路由器應用識別技術來防御網絡病毒

可以利用路由器基于網絡的應用程序識別和訪問控制列表來有效防御網絡病毒。Cisco NBAR（Network-Based Application Recognition）是一種網絡應用識別技術，能動態在ISO四到七層尋找協議，它不但能想普通ACL那樣控制靜態的、簡單的網絡應用協議，也能完成一般 ACL做不到的動態端口協議的控制，例如VoIP中的H.323, SIP等。

8 超負荷下載BT的介紹與防御

8.1 超負荷下載BT的介紹

BT是一個 自由的下載工具，用類似電驢的方式，不像 FTP或者 P2P 軟件那樣只有一個發送源，而是所有正在下載某個文件或者已經下好了某個文件但還沒有把下載窗口關閉的人都是發送源。下載的人越多，下載的速度也越快，這使得 BT 有 FTP 和傳統 P2P 不可比擬的速度優勢，但同樣也需要下載的人能自覺的繼續提供文件給別人下載。BT 的發布文件擴展名是 .torrent ，很小，一般幾十K,方便傳播。這個文件里面存放了對應的發布文件的描述信息、該使用哪個 Tracker、文件的校驗等信息。

8.2 超負荷下載BT的防御

1）使用路由策略方法

正常網絡訪問中，都是通過數據包來進行的。以太網絡中包大小為64-1518BYTE，可正常情況下，包都不會太大，因為沒有更多的數據需要傳輸。但進行BT下載時，大量的數據需要傳輸，每個包幾乎都到達長度極限，因此，當我們有意識的對包長度進行過濾，既避免了網絡中BT下載占用大量網絡帶寬，又保證用戶正常使用網絡。然后，把這個策略應用于接口。當然了，這個長度范圍可以調整以不影響正常業務為宜。

2）使用Cisco的NBAR方法

要使用Cisco的NBAR實現對 BT 流量的控制，就要在Cisco路由器上實現對 PDLM 的支持。 PDLM 是 Packet Description Language Module 縮寫，是一種對網絡高層應用的協議層的描述。它的優勢是讓 NBAR 適應很多已有的網絡應用，像 HTTP URL ，DNS ， FTP, VoIP 等 , 同時它還可以通過定義，來使 NBAR 支持許多新興的網絡應用。PDLM 在思科的網站上可以下載，并且利用PDLM 可以限制一些網絡上的惡意流量。 首先通過 TFTP 服務器將 bittorrent.pdlm 拷貝到路由中，然后用 ip nbar pdlm bittorrent.pdlm命令將 NBAR 中的 BT 功能啟動，再創建策略并且應用到相應的路由器的接口上。

9 結論

只要網絡自身存在缺陷，網絡攻擊就會存在下去。隨著網絡安全問題的日益突出，如何保障網絡暢通，提高網絡安全，有效防御與避免網絡攻擊，將成為一個日益受關注的課題。

[1][美] Sharma,R.K著.《Cisco Security Bible》.

[2]華為公司.城域網安全加固及流量清洗安全解決方案.

[3]Http://www.cisco.com.