IPTV承載網網絡安全分析與加固

摘 要：隨著IPTV業務在城域網上部署和發展，引入了新的安全風險，文章對這些風險進行了綜合分析，提出了IPTV承載網安全加固建議。希望通過文章的分析，可以為相關提供幫助。

關鍵詞：IPTV；組播；安全風險；DHCP；安全加固

1 背景

當前，電信運營商大都采用原有IP城域網作為IPTV業務承載網來開展IPTV業務，大致架構如下：采用PIM-SM作為三層組播路由協議；網內部署2個以上RP，這些RP間建立MSDP協議鄰居關系形成anycast RP，提供RP的負載分擔和冗余；IPTV客戶端設備采用IPoE方式接入網絡，集中部署DHCP server。整個承載網按照網絡層次劃分可分成三個層面：城域骨干層（含核心、匯聚路由器）；業務控制層（SR）；二層接入匯聚層（星型/環網交換機、OLT等）。

隨著IPTV業務的部署及用戶的快速增長，引入了新的安全風險。作為IPTV承載網維護部門應該就這些風險部署相應的防范措施。

2 風險總體分析

按照風險類型，大致分以下四種。

組播協議風險：設備間建立組播鄰接關系的安全性，另外組播協議在安全上沒有提供可靠的保證，用戶可以隨意加入一個組播組，該IGMP Join報文被SR終結后依靠組播路由協議PIM-SM加入到組播分發樹中，這種行為直接影響到城域網接入/匯聚/核心設備。

組播源安全風險：在路由層面上RP沒有對組播源做限定，存在非法組播源及非法頻道的接入隱患。同樣在二層匯聚交換機層面上，任意任何用戶都可以作為組播源發送組播流量，缺乏組播源可靠的控制，若用戶偽造IGMP查詢報文，可能導致正常業務中斷，同樣也存在非法組播源傳播的問題。

用戶異常行為風險：傳統IP城域網SR設備與用戶采用3層隔離的方式，用戶端的2層異常行為不會影響SR，而IPTV業務使得SR設備與用戶間采用2層連接方式，SR設備自身直接面臨傳統2層環境所帶來的安全問題，比如ARP攻擊。同時，由于采用2層以太接入網，用戶異常行為除了影響直連接入設備外，還能影響所在接入網的業務穩定性。

DHCP server安全風險： DHCP server面臨諸如DHCP DOS攻擊等攻擊等問題。

對應到承載網，每個層面設備所面臨的風險又各有不同，具體分析如下：

城域核心層： 這個層面中，由于核心層設備處于網絡的中心位置，通常連接IPTV組播源所在網絡，同時多臺核心設備間運行MSDP協議形成作為anycast-RP。這個層面設備風險主來自PIM協議安全性、MSDP協議安全性、組播源及組播頻道的安全性。

業務控制層： 作為IPTV業務的控制接入點，地位至關重要，對下二層匯聚網絡端口啟用IGMP協議，啟用DHCP relay功能，SR設備自身除了面臨PIM協議安全性及IGMP協議安全性帶來的控制平面風險外，由于設備直接通過二層網絡連接大量客戶終端設備，在轉發平面上還需要面臨傳統二層網絡對帶來的大量安全風險如廣播風暴、ARP攻擊等；作為DHCP RELAY設備，還需面對client端設備的異常DHCP行為所帶來的安全風險。

接入匯聚層： 對于IPTV業務會面臨DHCP server仿冒、IGMP ROUTER仿冒、非法組播源等業務安全風險；另外，默認情況下，當組播報文由IP層轉發到數據鏈路層時，組播報文在數據鏈路層采用的是廣播方式，IPTV業務VLAN內的組播組成員和非組播組成員都能收到組播數據報文，浪費網絡帶寬的同時使非鑒權用戶也能收看節目。

3 安全加固建議

結合上述IPTV業務引入的主要安全風險，需要考慮如何來控制這些風險。由于安全風險涉及承載網各個層面，所以防御措施的部署也應當貫穿整個網絡，在最佳的位置配置最佳的防御策略。下面討論承載IPTV業務后承載網各個層面設備需要重點部署的安全策略。

3.1 城域骨干層

（1）嚴格控制組播域范圍，只在必要端口下啟用PIM路由協議。

（2）在設備全局下部署pim join過濾策略，限定合法源地址范圍和組地址范圍；部署pim register過濾策略，防止非法注冊報文攻擊，保證信息安全性。

（3）對于MSDP，靜態指定peer建立鄰接關系并配置MSDP MD5或Key-Chain認證，提高MSDP對等體之間建立TCP連接的安全性。

（4）調整設備CPU防護策略，將組播相關協議（pim、msdp）加入白名單，保證設備間組播協議鄰接關系的正常建立和保持。

3.2 業務控制層

（1）嚴格控制組播域范圍，只在必要端口下啟用PIM路由協議及IGMP協議。

（2）部署pim source過濾策略，保證信息安全性。

（3）調整設備自身CPU防護策略，將組播相關協議（pim、igmp）加入白名單，保證設備間組播協議鄰接關系的正常建立和保持。

（4）在下聯二層接入匯聚網絡端口單播子接口上部署 ARP協議相關安全策略。常態化策略可以部署ARP泛洪防御策略，設置允許通過的ARP報文的速率，防止來自接入網絡的arp異常報文對SR設備DDOS攻擊；對非法ARP報文、免費ARP報文和目的MAC地址非空的ARP請求報文進行過濾。

（5）在下聯二層接入匯聚網絡端口組播子接口上部署IGMP組播組的過濾器，限制主機能夠加入的組播組范圍。

（6）啟用SR設備的DHCP安全特性，配置基于DHCP Snooping的 DHCP安全特性，過濾不信任的DHCP消息。SR設備作為DHCP RELAY設備，需將到達DHCP SERVER的端口設為信任端口。DHCP RELAY端口在收到dhcp、ip、arp報文時，依照初次上線時生成的dhcp snooping binding table進行合法性檢查。

3.3 接入匯聚層

（1）在匯聚層LSW組播VLAN內啟用IGMP Snooping，通過偵聽路由器和主機之間發送的組播協議報文來維護組播報文的出端口信息，從而管理和控制組播數據報文的轉發，實現二層組播，既可節約網絡帶寬又可提高信息安全性。

（2）啟用組播vlan內組播組策略，對主機加入的組播組及組播組數量進行限制。

（3）在匯聚層LSW組播VLAN內禁用IGMP路由器端口動態學習功能，改為靜態指定路由器端口。必須抑制從非路由器端口發送的未經授權的組播報文，防止非法組播源；另需配置IGMP報文抑制功能，降低SR路由器的處理壓力。

（4）在OLT設備上啟用IGMP Proxy功能，OLT響應SR路由器的查詢報文并將用戶主機加入、離開組播組的信息匯總處理后通告路由器，對大量用戶主機頻繁加入、離開組播組時發送的IGMP協議報文起到抑制作用，從而減輕SR路由器的處理壓力及安全風險。

（5）基于vlan或端口設置最大MAC地址學習數量，當MAC地址數量達到限制后，對超過MAC地址學習限制的報文采取直接丟棄的動作，可防止針對DHCP SERVER的攻擊。

4 結束語

文章結合IPTV承載網的典型架構，在對IPTV相關安全風險深入分析的基礎上提出了安全加固建議。在實際網絡部署時，承載網三個層面的加固策略可以分階段獨立實施。整體實施完成后，承載網形成一張針對IPTV業務的立體安全防御體系，必將較大程度地提高IPTV業務的可靠性和安全性，IPTV業務將健康穩定地發展，成為運營商重要的互聯網增值業務。