IP寬頻網資料傳輸安全性原則
一、IP寬頻網的典型連接方式
寬頻IP網的典型連接方式如下
在該拓撲中,主幹設備採用了支援IP over SDH/SONET的多業務光傳輸平臺(採用IP Over ATM、IP Over Optical等技術時類似)該平臺能夠同時提供高速資料業務和傳統的DS1、DS3技術。
在分佈接入層,根據應用需求的大小不同選擇了相應的2/3層乙太網交換機連接提供使用者接入服務。
從網路安全的角度來看,傳統的DS1、DS3業務採用獨立的通道進行傳輸,能夠提供和電信相關設備同等的安全性;在高速資料業務上,該設備支援MPLS多協定標誌交換技術,能夠克服傳統乙太網在安全控制方面的各類缺點,提供和電信專線等同的安全性。
但在該寬頻IP網中,絕大多數個人和單位使用者都不會直接接入骨幹設備,而是連入專門提供用戶接入用的2/3層乙太網交換機,該類交換機本身無法提供足夠的安全保護來保障資料傳輸的安全。
二、安全威脅
從上文可知,在寬頻IP網路中,除開物理安全性不談,骨幹在技術上幾乎沒有任何可利用的安全隱患,一般可以看作是安全的網路。IP寬頻網主要的安全威脅來自採用傳統乙太網技術,提供使用者接入的2/3層交換機組成的分佈接入層。以下將對現有IP寬頻網分佈接入層的部分安全隱患進行分析
(注:以下所有安全隱患未經說明一律針對乙太網、快速乙太網和千兆乙太網。)
● MAC位址-埠對應表欺騙攻擊
● ARP表欺騙攻擊
● Vlan資訊偽造攻擊
● 路由欺騙攻擊
● 源路由攻擊
2.1 MAC位址-埠對應表欺騙攻擊
眾所周知,乙太網上的二層交換設備使用MAC位址和埠的對應表來決定資料幀的轉發過程。交換機通過它接收到的每一個資料幀的源MAC位址來構建MAC位址-埠對應表。當兩個埠先後接收到相同源位址的資料幀時,絕大多數交換設備將使用較後收到幀的埠進行轉發。這樣,當處於不同交換埠的主機A想要截獲主機B的資訊時,主機A只需向交換機以一定速率持續發送以主機B網卡的MAC位址作為源位址的資料幀,就可以將幾乎所有交換機應該發往主機B所在埠的資料幀重定向到主機A所在埠,實現資料流程的截獲。然後主機A可以使用廣播位址或是組播位址等方式將該資料包重新封裝成主機B可接收的資料幀發往主機B所在埠。這樣,主機B資料通信的整個過程被主機A截獲。主機A可以對傳輸給B的資料進行監聽、篡改等一系列操作。
2.2 ARP表欺騙攻擊
針對三層設備的攻擊主要是對三層設備維護的用於在三層設備和二層設備間進行聯繫的ARP表進行攻擊。每個三層設備需要維護一張IP位址和二層MAC位址的對應表。當主機需要給某個IP位址發送資料時,根據該表對應的MAC位址封裝資料包。
主機主要是通過偵聽網路上的ARP查詢和發出ARP查詢來維護自身的ARP表。入侵者可以通過偽造ARP資訊包讓被攻擊主機得到錯誤的ARP資訊,例如讓某台主機錯誤的將缺省閘道的IP位址映射到攻擊者的MAC位址,那麼所有該主機發往缺省閘道的資料包都將用攻擊者的MAC位址封裝被網路設備發送到攻擊者的機器,和3.1中介紹的攻擊方式類似,攻擊者可以對被攻擊者傳輸的資料進行竊聽,篡改等一系列操作。
2.3 Vlan資訊偽造攻擊
在進行網路設置的過程中,經常會出現將連接最終使用者的埠的Vlan模式設置為自動Trunk模式的錯誤設置。這樣,連接該介面的使用者可以發送和運營商網路採用相同Vlan協定進行封裝的資料幀,欺騙交換機從而跨越Vlan的限制任意連接到其它Vlan。
2.4路由欺騙攻擊
一般的網路使用者在對傳統的三層路由設備(多層交換機和路由器)進行設置時,一般不會對路由更新進行過濾。這樣外部攻擊者可以通過監聽瞭解到網路中正在使用的動態路由式通訊協定和部分網路拓撲等資訊。同時可以偽裝成網路上的路由器反射式路由更新資訊欺騙其它路由設備,這樣,其它被欺騙的路由器可能錯誤的認為攻擊者的機器是到達目的IP位址的最佳路徑,而將資料包發往攻擊者主機,然後攻擊者在對資料進行了竊聽和篡改後採用源路由技術將資料包發往正常的接收方。採用該種攻擊方式,通信的雙方都無法發現資料流程被截獲,威脅性極大。
2.5源路由攻擊
TCP/IP協議集中的源路由技術,是一種在IP資料包內部指定路由選擇過程的技術,通過該技術可以在資料包內部指定該資料包通過的每一跳路由位址。採用該技術,攻擊者可以利用該技術對截獲的資料包進行正常發送,或是跨越路由規則或相應的存取控制規則將IP包發往受保護的網路。
三、IP寬頻網中傳輸安全保障技術簡介
●用戶認證及存取控制技術
●VLAN技術
●MPLS技術
●VPN及加密與金鑰交換
●設備廠商提供的增強技術
3.1用戶認證及存取控制技術
存取控制主要可以分為三種,首先是對網路設備的訪問,採用基於用戶名/口令的認證技術,然後根據該用戶名的許可權進行相關的存取控制。主要實施在運營商的和使用者的網路設備上。
第二種是採用運營商分配的IP位址作為使用者的認證資訊,通過基於IP位址以及埠號的存取控制策略實現存取控制。此類存取控制策略主要實施在不同的使用者之間,網路本身僅僅為不同使用者提供了一種完全連接的手段,而並非所有的使用者都需要讓其他使用者訪問到自身機器的全部資訊。運營商可以通過分配給用戶的 IP位址作為認證資訊來實施問控制策略。
最後是採用增強的認證手段(口令,金鑰等)進行使用者認證後根據使用者進行相應的存取控制。第三類存取控制技術提供了進一步增強的驗證,防止了通過偽造源 IP位址和源路由等技術跨越原有的基於IP位址和埠號的存取控制的可能,同時通過金鑰等幾乎不可破解的強金鑰認證技術,保證了VPN等應用的高安全性。
3.2 VLAN技術
Vlan技術在處於第二層的交換設備上實現了不同埠之間的邏輯隔離,在劃分了Vlan的交換機上,處於不同Vlan的埠間無法直接通過二層交換設備進行通訊。從安全性的角度講,Vlan首先分割了廣播域,不同的使用者從邏輯上看連接在不互相連接的不同二層設備上,Vlan間的通訊只能夠通過三層路由設備進行:實施Vlan技術,可以實現不同用戶之間在二層交換設備上的隔離。外部攻擊者無法通過類似3.1、3.2小節介紹的在同一廣播域內才可能實施的攻擊方式對其它使用者進行攻擊。
從靈活性的角度將,在典型的IP寬頻網中,在相對不安全的分佈接入層,首先採用Vlan技術實現用戶間的隔離,然後資料進入由MPLS技術提供了較高安全性的骨幹進行傳輸,在資料通過骨幹後再採用Vlan技術接入到對端用戶。採用 使用者-Vlan-MPLS-Vlan-使用者 的連接模式保障網路傳輸的安全。同時Vlan限制在本地而不是穿越本地骨幹的避免了在大量用戶接入後Vlan的設定受到Vlan最大數目的限制。
3.3 MPLS技術
MPLS(多協定標誌交換)交換與傳統的基於下一跳的IP路由式通訊協定不同,MPLS是基於一種顯式的路由交換(explicit routing),採用源位址路由方式。通過網路拓撲來實現MPLS的路由控制管理。
在標誌交換的環境中,MPLS為第3層路由表中的路由首碼分配一個特定含義的標籤,MPLS標記技術隱藏了真實的IP位址以及資訊包流的其他內容,至少提供了相當於窄帶的框架轉送技術的第二層資料安全保護。類似的,我們也可以將基於MPLS技術的資料隔離看作是等同於Vlan技術的廣域網路。
3.4 VPN及加密與金鑰交換技術
Vlan技術和MPLS技術的綜合應用保障了第二層的網路安全,充分防止了外部攻擊者利用IP