C網(wǎng)承載網(wǎng)安全隱患分析及防御策略

中國電信股份有限公司江蘇分公司操作維護中心 向九松 柏 林 錢 琰 季鴻宇

0 引言

C網(wǎng)承載網(wǎng)與傳統(tǒng)承載網(wǎng)絡(luò)相比，產(chǎn)生網(wǎng)絡(luò)安全的兩個最重要的原因是網(wǎng)絡(luò)開放性和終端智能化。由于IP網(wǎng)絡(luò)的開放性，一方面給承載網(wǎng)帶來了業(yè)務(wù)上的靈活性和擴展性，極大地提高了網(wǎng)絡(luò)效率，另一方面也給承載網(wǎng)帶來了許多難以預(yù)計的惡意攻擊和外界干擾。電信運營商時刻都面臨賬號被盜用、服務(wù)被破壞、資源被搶占、設(shè)備癱瘓等嚴重安全威脅；終端智能化在帶來業(yè)務(wù)靈活性的同時也使終端具備了產(chǎn)生安全攻擊的強大能力，這種攻擊能夠延伸到其他終端、業(yè)務(wù)系統(tǒng)甚至網(wǎng)絡(luò)設(shè)備。C網(wǎng)承載網(wǎng)的安全風險從短期看，會影響到運營商凈收入減少、維護成本上升、客戶滿意度下降、管理重點偏移；從長期看，將影響到運營商客戶流失、競爭力降低、品牌價值下降、內(nèi)部士氣不振。因此，提升C網(wǎng)承載網(wǎng)安全防御水平刻不容緩。

1 承載網(wǎng)安全問題對C網(wǎng)業(yè)務(wù)的影響

中國電信CDMA（碼分多址）網(wǎng)主要由C網(wǎng)承載網(wǎng)、終端用戶、業(yè)務(wù)平臺、業(yè)務(wù)支撐系統(tǒng)、無線、核心網(wǎng)等重要部分組成，這些子系統(tǒng)縱向與橫向之間，進行數(shù)據(jù)信息交換和資源共享，相互提供服務(wù)，互相補充，形成CDMA運營、管理、服務(wù)的統(tǒng)一整體。C網(wǎng)承載網(wǎng)作為這些子系統(tǒng)之間的基礎(chǔ)承載載體，一旦承載網(wǎng)出現(xiàn)安全問題，將會對C網(wǎng)業(yè)務(wù)產(chǎn)生以下幾方面影響。

1.1 對運營商造成的影響

1）破壞設(shè)備程序及數(shù)據(jù):通過承載網(wǎng)設(shè)備遠程加載或數(shù)據(jù)配置流程的漏洞破壞設(shè)備，導(dǎo)致設(shè)備無法正常運行，進而導(dǎo)致整個網(wǎng)絡(luò)無法正常運行；

2）業(yè)務(wù)盜用:未經(jīng)授權(quán)使用3G業(yè)務(wù)，如通過非法手段繞過AAA（鑒權(quán)、授權(quán)、計費）/AN（接入網(wǎng)）AAA認證，直接發(fā)起3G上網(wǎng)連接、篡改用戶計費信息等，導(dǎo)致運營商收人流失；

3）帶寬盜用:利用承載網(wǎng)設(shè)備端口連接用戶私有的數(shù)據(jù)網(wǎng)絡(luò)，造成運營商數(shù)據(jù)業(yè)務(wù)收入流失并影響C網(wǎng)業(yè)務(wù)質(zhì)量；

4）DoS（拒絕服務(wù)）攻擊:黑客通過網(wǎng)絡(luò)層或應(yīng)用層發(fā)起大流量的攻擊，致使真實業(yè)務(wù)數(shù)據(jù)被大量垃圾流量所淹沒，進而使承載網(wǎng)設(shè)備無法響應(yīng)正常用戶的業(yè)務(wù)請求或降低業(yè)務(wù)的品質(zhì)。

1.2 對用戶造成的影響

1）賬號被盜用:用戶賬號被他人盜用，致使產(chǎn)生高額通信費用；

2）信息被監(jiān)聽:非法監(jiān)聽其他呼叫的信息或媒體流內(nèi)容；

3）個人隱私被竊取:黑客通過木馬程序、釣魚網(wǎng)站等手段竊取用戶的個人隱私。

2 構(gòu)建C網(wǎng)承載網(wǎng)安全防御策略思路

2.1 實施業(yè)務(wù)隔離

要建立安全的承載網(wǎng)保障機制，首先要實現(xiàn)關(guān)鍵業(yè)務(wù)的安全隔離。出于業(yè)務(wù)融合、建設(shè)成本、網(wǎng)絡(luò)安全等因素綜合考慮，目前通常采用物理網(wǎng)絡(luò)隔離加邏輯網(wǎng)絡(luò)隔離的方式。由于MPLSVPN（多協(xié)議標簽交換虛擬專用網(wǎng)）具有較強的業(yè)務(wù)融合能力及靈活的業(yè)務(wù)擴展能力，尤其在安全方面，MPLSVPN相對于其他VPN而言具有路由安全隔離、隱藏MPLS核心結(jié)構(gòu)、抗攻擊性強、易于抵御標記欺騙等優(yōu)勢，MPLSVPN技術(shù)在現(xiàn)網(wǎng)環(huán)境中得到了廣泛的應(yīng)用。

以中國電信某省C網(wǎng)承載網(wǎng)為例，該省C網(wǎng)承載網(wǎng)絡(luò)采用CN2+（下一代承載網(wǎng)）融合CE（用戶邊緣設(shè)備）的組網(wǎng)方式，負責承載CDMA移動網(wǎng)絡(luò)無線接入網(wǎng)元、核心網(wǎng)電路域網(wǎng)元、核心網(wǎng)分組域網(wǎng)元、移動業(yè)務(wù)平臺和網(wǎng)管系統(tǒng)等，為其提供互聯(lián)互通、Internet訪問等服務(wù)。為了確保網(wǎng)絡(luò)安全，承載網(wǎng)根據(jù)業(yè)務(wù)特性劃分了若干VPN，如移動軟交換VPN、增值業(yè)務(wù)VPN、無線接入RP（匯聚點）VPN、網(wǎng)管VPN等等，具體拓撲如圖1所示。

通過MPLSVPN傳送數(shù)據(jù)提高了用戶信息在IP網(wǎng)絡(luò)上傳送的安全性，但這種安全性也是相對而言的，需要采用必要的技術(shù)措施來保障。所以在部署MPLSVPN時，有以下兩點需要注意:

1）防止標簽欺騙:在MPLS網(wǎng)絡(luò)中，包的轉(zhuǎn)發(fā)不再是基于IP目的地址，而是基于PE（網(wǎng)絡(luò)邊界設(shè)備）路由器預(yù)先添加的標記，理論上有可能出現(xiàn)MPLS包的標記欺騙。因此出于安全考慮，PE路由器應(yīng)該不接受來自CE路由器的任何標記，同時要做好MPLS標記的整體規(guī)劃工作，便于后期定期開展網(wǎng)絡(luò)設(shè)備標簽轉(zhuǎn)發(fā)的定期檢查工作。

2）防止VPN之間的路由泄漏:PE路由器之間通過MP-BGP（多協(xié)議擴展邊界網(wǎng)關(guān)協(xié)議）交換路由信息，PE路由器之間路由信息的傳送要經(jīng)過一個或多個P（供應(yīng)商）路由器，非法用戶有可能采用源地址欺騙等手段要求與PE路由器建立連接MP-BGP并交換VPN路由信息。因此，PE路由器在另外一個對等體通信時，應(yīng)該部署相應(yīng)的驗證策略，如BGP鄰居的MD5（消息摘要算法）認證等。另外，由于3G業(yè)務(wù)需要，承載網(wǎng)的部分VPN需要進行部分互通，例如為了滿足接入認證需要，無線接入VPN需要與AAAVPN進行互通，這種VPN之間的互通就造成了VPN路由泄漏的可能。所以在進行數(shù)據(jù)配置時，必須對互通VPN路由條目進行嚴格控制，合理規(guī)劃MPLSVPN的RT（路由目標）屬性。

2.2 承載網(wǎng)自身的安全保護策略

如圖2所示，可以根據(jù)C網(wǎng)IP綜合承載網(wǎng)的網(wǎng)絡(luò)架構(gòu)及業(yè)務(wù)特性，將承載網(wǎng)的安全域邏輯劃分為控制平面、數(shù)據(jù)轉(zhuǎn)發(fā)層面、管理平面等三大安全層面，每個安全層面部署不同的安全策略。具體如下:

1）控制平面:控制平面防護的主要目標是保證設(shè)備系統(tǒng)資源的可用性和路由的安全性，使得路由器可以正常的實現(xiàn)路由交換、更新。具體策略包括設(shè)置路由密碼認證、通過設(shè)置白名單方式控制路由的發(fā)布、規(guī)范路由參數(shù)的配置，等等。

2）轉(zhuǎn)發(fā)平面:在數(shù)據(jù)轉(zhuǎn)發(fā)平面的主要安全策略是對異常流量進行控制，防止網(wǎng)絡(luò)蠕蟲和拒絕服務(wù)攻擊流量在CDMA網(wǎng)絡(luò)的泛濫，造成網(wǎng)絡(luò)的擁塞或不可用。具體策略包括對典型異常流量的過濾、部署URPF（單播反向路徑檢查）策略預(yù)防地址偽造攻擊等內(nèi)容。

3）管理平面:管理平面防護的主要目的是保護路由器遠程管理及本地服務(wù)的安全性，減少網(wǎng)元設(shè)備受到網(wǎng)絡(luò)攻擊或者被入侵的可能性。具體包括:強化設(shè)備密碼管理，關(guān)閉無用的系統(tǒng)服務(wù)；通過部署ACL（訪問控制列表）和SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）密碼，確保SNMP的安全；通過部署一次性口令認證系統(tǒng)以及設(shè)備訪問控制提升遠程終端訪問安全；其他諸如NTP（網(wǎng)絡(luò)時間協(xié)議）、Syslog（系統(tǒng)日志）、Netflow等應(yīng)用的安全控制，等等。

2.3 承載業(yè)務(wù)的保護

在業(yè)務(wù)安全方面，除了業(yè)務(wù)平臺應(yīng)該具備必要的安全手段外，承載網(wǎng)絡(luò)本身應(yīng)該能夠協(xié)助業(yè)務(wù)層面提供有效的安全保障機制。具體包括以下幾個方面:

1）限制訪問范圍:承載網(wǎng)應(yīng)該根據(jù)業(yè)務(wù)需求嚴格限定訪問范圍，例如允許哪些網(wǎng)段訪問、只允許那種類型的數(shù)據(jù)報文通過等等；

2）針對關(guān)鍵應(yīng)用部署QoS（服務(wù)質(zhì)量）策略:3G網(wǎng)絡(luò)的特點確實就是IP化，這就導(dǎo)致CDMA網(wǎng)絡(luò)無法像傳統(tǒng)交換網(wǎng)絡(luò)一樣形成完全封閉的網(wǎng)絡(luò)，這就給外界的黑客從發(fā)起DoS攻擊創(chuàng)造了可能。在帶寬有限的條件下，應(yīng)該通過部署基于MPLS的QoS策略，優(yōu)先保障關(guān)鍵應(yīng)用的數(shù)據(jù)流量，如信令流、語音媒體流等等；

3）加強對非可信網(wǎng)元的接入管理:因業(yè)務(wù)合作需要，有時承載網(wǎng)需要為第三方的網(wǎng)絡(luò)設(shè)備提供接入，此時需要部署專門的安全防護設(shè)備，同時在承載網(wǎng)設(shè)備部署最為嚴格的安全策略。

2.4 強化網(wǎng)絡(luò)預(yù)警與攻擊溯源

為了確保承載網(wǎng)安全，當承載網(wǎng)絡(luò)遭受異常攻擊時能及時得到處理，避免C網(wǎng)業(yè)務(wù)因惡意攻擊遭受影響。一方面，需要加強對承載網(wǎng)流量、設(shè)備性能、業(yè)務(wù)狀況等內(nèi)容的監(jiān)控，另一方面，需要運用實時安全監(jiān)控技術(shù)，實時檢查網(wǎng)絡(luò)數(shù)據(jù)流并將其與系統(tǒng)入侵特征數(shù)據(jù)庫的數(shù)據(jù)相比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立即根據(jù)事先所定義的動作做出反應(yīng)，例如自動啟動異常報文過濾機制、立即用短信通知網(wǎng)絡(luò)維護人員等等。

安全攻擊的溯源就是在發(fā)生安全事件或者出現(xiàn)安全問題時，能夠根據(jù)相關(guān)有效信息定位到導(dǎo)致安全事件或者發(fā)起攻擊的來源，甚至“順藤摸瓜”找到攻擊者。傳統(tǒng)的網(wǎng)絡(luò)在響應(yīng)方面只能被動地實施安全補救措施，而不能主動地進行反擊。要建立新一代具備安全動態(tài)防御能力的承載網(wǎng)，需要加強對威脅攻擊的有效反擊，因此調(diào)查取證、攻擊溯源便成為有效反擊的首要步驟和關(guān)鍵環(huán)節(jié)。

3 加強網(wǎng)絡(luò)管理，避免安全事件

隨著3G網(wǎng)絡(luò)規(guī)模的擴大以及設(shè)備容量的擴大，設(shè)備越來越復(fù)雜，不可控因素隨之增加。對網(wǎng)絡(luò)安全而言，管理和技術(shù)同樣重要，即使是先進的安全技術(shù)和設(shè)備也會可能因管理不善而崩潰。這種案例比比皆是，可以說內(nèi)部人員的安全意識和安全管理的重要性一點也不亞于使用各種復(fù)雜而昂貴的網(wǎng)絡(luò)技術(shù)。因此在運營商內(nèi)部建立一套有效的安全管理制度是確保網(wǎng)絡(luò)安全運行的關(guān)鍵手段。這里所說的管理并不局限于技術(shù)層面的管理，還包括管理制度、應(yīng)急體系、運維規(guī)章、人員培訓(xùn)、密鑰分發(fā)、保密制度等方方面面。完善的管理可以在一定程度上消除技術(shù)落后帶來的不利因素。

4 結(jié)束語

隨著3G業(yè)務(wù)的迅猛發(fā)展，NGN（下一代網(wǎng)絡(luò)）、IMS（IP多媒體子系統(tǒng)）業(yè)務(wù)與3G融合越來越緊密，如何更好地解決C網(wǎng)承載網(wǎng)的安全問題，成為關(guān)乎電信業(yè)務(wù)是否能正常運營，用戶對電信服務(wù)是否滿意，未來網(wǎng)絡(luò)能否健康發(fā)展的關(guān)鍵問題之一。本文僅在業(yè)務(wù)隔離、業(yè)務(wù)保障、網(wǎng)絡(luò)自身安全等方面進行了初步的探索，還有很多諸如承載網(wǎng)IPv6演進、智能管道等課題需要去進一步深入研究，希望通過這些有益的探索，不斷提升C網(wǎng)承載網(wǎng)服務(wù)能力，為打造一張優(yōu)質(zhì)、安全、高效的3G網(wǎng)絡(luò)貢獻一份力量。