|
摘要:宽带接入网络的技术发展迅速,其应用也越来越广泛,但是安全问题也伴随着它的发展成为大家越来越关心的问题。在接入网环境下,用户、接入设备和网络都面临着各种威胁,特别是来自用户侧的威胁。针对当前网络中出现的问题,可以采用端口定位、媒体访问控制(MAC)地址防欺骗、非法业务监测等技术和方案加以解决。 关键词:宽带接入;安全;宽带接入远程服务;接入节点;DSL接入复用器 Abstract:The broadband access security is receiving increasing attention as the broadband access network technology is growing briskly and broadband-enabled applications become more extensive. In an open access scenario, users, access equipments and networks are confronted with all kinds of threats and challenges, especially those from users’ ends. Preventive measures and solutions can be taken to unlock such challenges, which include port positioning, anti-spoofing of Media Access Control (MAC) address and monitoring of illegal services Key words:broadband access; security; broadband remote access service; access point; DSL access multiplexer 最近10年,宽带接入网络在全球蓬勃发展,越来越多的个人用户和企业用户通过宽带接入到Internet。同时,用户对网络性能的要求也越来越高,他们不再满足于畅通无阻的高带宽接入能力,逐渐对服务的质量提出了更高的要求。在服务质量(QoS)中,一个重要的不能忽视的指标就是安全保证。 1 宽带接入安全性问题 宽带接入网络的快速发展使得宽带用户数成倍增加,但是也使得网络遭受安全攻击的可能性大大增加。特别是引入以太网技术、IP技术后,接入网安全性问题日益凸现。因为以太网络是共享式的网络,它的优点和缺点均很明显。当前网络上很多黑客工具可以用来在以太网上兴风作浪:监听他人信息、盗取业务、发起拒绝服务(DOS)攻击[1],造成网络设备瘫痪。IP网络因为历史原因,最初在安全性方面的设计考虑不多。IP网络上的业务大都通过智能终端来完成,处于运营商控制范围内的中间设备主要的功能就是交换,运营商对业务很难控制,这就为恶意用户提供了开展破坏活动的空间。 为提供“电信运营级”的接入网络,为用户提供安全的接入服务,检测非法业务,保证网络设备正常运行,目前是设备提供商和电信运营商共同关注的问题[2-3]。 目前,宽带接入技术呈现多样化趋势,包括数字用户线(DSL)、混合光纤/同轴电缆(HFC)、无源光网络(PON)和WiMax无线接入等,他们都具有如图1所示的网络架构:
宽带接入网络的架构包括以下几个组成部分: (1)用户自组网络 用户自组网络是以家庭网关为核心组成的局部网络,这个网络物理上归属于用户。DSL是当前最普遍的用户接入方式。 (2)接入节点 接入节点完成用户线缆的物理终结,或者无线信道的终结,实现用户数据的汇聚,满足高密度、多形式的接入。接入节点最靠近用户,是运营商网络的边缘,是安全防护的第一道门槛。在接入网安全问题中,接入节点处于重要的地位。 (3)以太网汇聚网络 因为性价比突出,以太网受到运营商的青睐。进一步,以太网同时也肩负汇聚数据和网络内部数据交换的任务。 (4)宽带网络网关 宽带网络网关包括很多功能:终结以太层及其对应的封装、用户认证(结合认证服务器)、用户端自动配置、QoS业务保证等。物理上,宽带网络网关可以是一个设备,也可以是多个设备,执行宽带接入远程服务器、动态主机配置协议(DHCP)服务器(或DHCP中继器)和路由器的功能。 接入节点、以太汇聚网络和宽带网络网关属于运营商所有,这些设备或者网络对运营商而言都是可信的。用户自组网络归用户自己所有和使用。对运营商而言,用户自组网络是不可信的。安全威胁大都来自不可信网络内恶意用户或者程序的攻击。当然,有时安全问题也产生于可信任域内,比如因为设备不稳定等原因产生的安全问题。但安全问题主要还是来自不可信域对可信任域的安全威胁。 归纳起来,接入网络中主要有下面的一些安全问题: (1)非法用户的接入。 (2)非法报文和恶意报文发送。 (3)通过媒体访问控制(MAC)/IP地址欺骗,如冒用MAC地址或者IP地址,偷取他人的业务服务或者造成DOS攻击。 (4)非法业务,如开展非法的IP语音(VoIP)业务、私拉乱接用户等。 下面依次对上述问题以及与其相对应的解决方案展开论述。 2 非法用户接入 非法用户接入性质严重,直接影响运营商的运营收益。如果不对用户进行识别和认证,那么非法用户接入就会大量存在。 用户识别与认证技术已经非常的成熟,基于以太网的点到点协议(PPPoE)、DHCP+Web和802.1x协议等已经被普遍使用。当前,业界关注的问题是:对用户端口(也称为用户线路)的识别。在零售模式下,每个用户在接入节点处都有一个逻辑端口,有线环境下是硬端口,无线环境下是一个软端口。如果认证服务器只是通过用户名来识别用户,那么用户可以把自己的用户名和密码共享给其他用户,其他用户也能通过这一逻辑端口上网,这是运营商不希望看到的,会造成运营商的运营收入的减少。 在基于ATM的点到点协议(PPPoA)为主要接入方式时,用户虚通道(VC)在宽带接入远程服务器(BRAS)上终结,因此,用户的端口信息直接就可以在BRAS上获取。现在,PPPoE和IPoA是主要的接入方式。在这两种接入方式下,物理上,用户线路在接入节点处就被终结;VC信息要么在接入节点处终结,要么根本没有,因此BRAS没有办法直接获取用户的端口信息。所以,必须有一套有效的机制能够将接入节点处的用户端口信息传递给BRAS。当前,有多种用户端口(或者用户线路)识别方案被提出来: (1)DHCP option82协议 DHCP Option82(RFC3046)协议在DHCP(RFC2131)的基础上,对协议流程进行了扩充。接入节点需要截获DHCP上下行协议报文,扮演二层DHCP中继代理的角色。上行方向,将端口信息(也就是uPortID)插入到协议的Option82字段中;下行方向,剥离此字段信息(可选)。图2为协议交互示意图。
(2)PPPoE+协议 PPPoE+协议又称为PPPoE中间代理。和DHCP Option82类似,它对PPPoE协议报文进行了扩充。接入节点截获PPPoE搜索阶段的协议报文,在上行方向插入端口信息。图3为PPPoE+协议交互示意图。
(3)VBAS协议 VBAS协议和PPPoE+略有不同,VBAS协议修改PPPoE的流程,在用户与BRAS协议交互中,插入BRAS与接入节点的交互,获取端口信息。图4为VBAS协议交互示意图。
(4)虚拟局域网栈 虚拟局域网栈(VLAN Stacking)采用双标签(Tag),使用内层VLAN来唯一标识用户端口信息。 (5)虚拟MAC 虚拟媒体访问控制(VMAC)对每个用户数据报文的源MAC地址按照特定规则进行翻译,翻译后的MAC地址包含了用户端口信息。这样BRAS在PPPoE协议交互时,就可以直接从源MAC地址信息中获取用户端口信息。 各种用户端口识别方案的优缺点如表1所示。
3 非法报文和过量报文 上行方向,因为用户自组网络不受控,恶意用户或者恶意程序就可构造非法协议报文,向上发送,这不仅会导致网络设备处理性能下降,有时还造成网络设备系统紊乱甚至死机。另外,如果恶意用户或者程序过量地上行发送协议、广播报文,无论是合法还是非法,同样会造成系统设备性能明显下降,因为协议、广播等报文的处理非常消耗设备资源。 下行方向,尽管处于可控的网络域内,但是因为设备自身稳定性问题,以及网络复杂性问题,也可能会出现非法或者过量报文发送,也需要进行防范。 非法报文包括: (1)非法源MAC地址报文。源MAC地址不能是广播或者组播地址,因为有些MAC地址已经被标准组织所预留,不能被普通用户使用。 (2)非法协议报文。从理论上分析,互联网组管理协议(IGMP)上行方向不可能有询问(Query)报文,下行方向不可能有报告/离开/加入(Report/Leave/Join)报文;DHCP协议上行不可能出现提供/确认(OFFER/ACK)报文,下行不可能出现发现/请求(DISCOVER/REQUEST)报文;PPPoE协议上行不会有PADO和PADS报文,下行不会有PADI和PADR报文。根据需要,对这些报文都要拦截过滤。 (3)超长报文、超短报文或者校验错报文,如低于64字节的报文或者大于1 518字节的报文。特定情况下,超长报文是允许的。 对于非法报文,一般的技术是使用过滤器来过滤丢弃这些报文。过滤器的基本原理是,根据用户定义的被过滤数据报文的特征,匹配数据报文。如果符合预定义的特征,那么过滤掉该报文。当前的交换芯片大都具备报文特征提取和匹配功能,可以完成数据链路层、网络层甚至更高层数据报文特征信息的提取和匹配。 过量报文类型一般分成以下几类: 过量的协议报文 过量的广播报文 过量的组播报文 过量不同源MAC地址的报文 前面3种过量报文会大量吞噬设备处理资源,第4种会占用交换芯片有限的MAC地址表资源,都需要进行控制。 前3种过量报文的处理步骤为:匹配特定类型的报文,特征是:特定的协议报文、广播报文(或者某种更具体特征的广播报文)、组播报文(或者某种更具体特征的组播报文);统计此类报文的发送速率;如果发送速率超过预定义的速率,抛弃报文。 处理过量协议、广播和组播报文的技术又被称为报文抑制。 解决过量源MAC地址问题比较简单:可设定用户侧端口MAC地址个数的上限。这样,一旦端口达到预定义的MAC地址个数,后续带有新MAC地址的报文一律被丢弃。 非法报文和过量报文的处理在接入网络的各个层次都需要处理,但是对于接入节点,因为其在接入网中的位置,上述功能的实现尤其显得重要。 4 MAC/IP地址欺骗 MAC/IP地址欺骗是非常严重的安全威胁。 MAC地址欺骗的本质是会出现MAC地址重复,造成交换芯片MAC地址学习迁移,部分用户无法上网。MAC地址欺骗可以分成下面两种类型: (1)用户的MAC地址欺骗。 (2)上游网络业务服务器(如BRAS、DHCP服务器/中继、默认网关等)的MAC地址欺骗。 因为以太网自身的特点,MAC地址信息都是公开的,通过扫描工具,用户可以较容易地获取其他用户的MAC地址信息。如果相同的MAC地址出现在设备的不同用户端口上,就会造成MAC地址学习发生紊乱,导致用户无法上网。 为了增强安全性,在接入网络,一般要求在接入节点处实现用户端口隔离:在同一个VLAN下的用户之间相互不能通信,而只能和上行汇聚端口互通。用户端口隔离可以通过私有虚拟局域网(PVLAN)技术来实现。 不是所有的交换芯片都支持PVLAN的功能,即使支持PVLAN的功能,也有可能因为设备MAC地址设置不当造成MAC地址重复问题,或者用户通过其他渠道获得其他用户的MAC(比如“暴力”MAC尝试)。PVLAN技术本身不足以完全解决用户侧MAC地址欺骗问题。解决用户侧MAC地址欺骗,有如下解决方法: (1)VMAC 在接入节点处,在上行方向,给每个<物理端口,MAC>分配或者生成一个独一无二的VMAC地址。被解释以后的MAC地址因为是设备自己产生的,因此是可信的,而且确保不会出现用户侧MAC地址重复的现象。使用VMAC地址代替报文的源MAC地址。下行方向,根据VMAC查找到对应的原始的MAC地址,然后使用原始MAC地址代替VMAC地址。VMAC不仅仅可用来防止用户MAC地址欺骗,还可防止对业务服务器MAC地址的欺骗,并且也可以用于用户端口识别。缺点是影响与MAC地址相关的协议,处理复杂。 (2)MAC地址绑定。将MAC地址静态绑定到用户端口,如果数据报文的源MAC地址和绑定的MAC地址不同,则地址被丢弃。此方法虽简单,但是可用性差。用户自组网络的MAC地址千差万别,而且个数也不确定,如果采用静态绑定,很难管理。 (3)基于PPPoE会话(Session)感知的数据报文转发,应用于PPPoE接入环境。每个用户都对应唯一的PPPoE会话标识(SessionID)。可以在接入节点上记录一张 (4)基于IP感知的数据报文转发。应用于IPoE的接入环境。在接入节点上,建立一张 上述3、4两种处理方法对接入节点归属的VLAN有一定的要求。如果一个接入节点属于一个唯一的VLAN,那么只要接入节点按照上述要求转发数据报文即可。如果多个接入节点属于一个VLAN,那么需要保证汇聚这些接入节点的交换机也要按照上述的要求转发下行数据报文。利用PPPoE Session或者IP感知的方式和传统的二层交换机的转发机制有质的不同,一般的交换芯片难以实现,而且只解决特定类型接入的MAC地址重复问题。优点是不用修改数据报文,不会影响其他协议。 业务服务器的MAC地址欺骗将会使得网络设备的业务服务器MAC地址学习发生迁移,从而造成设备下的部分用户无法上网。业务服务器MAC地址防欺骗可以使用下面的技术来解决: (1)VMAC 使用VMAC可以解决各种接入环境下的业务服务器MAC欺骗。 (2)业务服务器MAC地址静态配置 手动将业务服务器的MAC配置到接入节点交换芯片的静态MAC地址表上,这样业务服务器MAC地址学习就不会发生迁移。这个方法虽然简单,但灵活性和扩充性都很差。 (3)业务服务器MAC地址自动配置 这是本文提出的一种解决业务服务器MAC地址欺骗的方法。基本思想是,让接入节点充当PPPoE或者DHCP客户端,定期发起PPPoE或者DHCP请求,这样就可以动态地获取BRAS和DHCP服务器/中继的MAC地址。其优点非常明显:可利用现有协议,不用手动配置,不修改数据报文,不影响其他协议。 IP欺骗存在于IPoE接入场景下,冒用他人IP地址,盗取服务,或者没有通过DHCP获得配置信息的情况下接入网络,妨碍了运营商的统一管理。解决这个问题需要在接入节点上实现“DHCP IP源警卫”,监听来往于用户和DHCP服务器/中继的协议报文,在用户没有获取配置信息以前,除了DHCP协议报文,其他上行报文统统抛弃。一旦监听到DHCP ACK报文,就绑定<分配的IP,用户MAC>到用户端口,使能上行数据报文的发送,同时保证上行数据报文的 5 非法业务 经过多年的接入网络建设,对于运营商而言,接入带宽已经不是主要的问题。当务之急,一是在现有网络的基础上,提供尽可能多的业务,改变目前仅靠接入和带宽盈利的模式,改变粗放式的经营路线;另一个就是控制目前在已有网络中存在的非法业务。 所谓的非法业务是从运营商的角度来判定的一些目前网络上存在的部分数据服务。非法业务形式多种多样,下面仅是其中几例: (1)P2P流下载。P2P流下载能大量吞噬宝贵的网络带宽,影响用户上网。 (2)VoIP。VoIP分流运营商已有的公共交换电话网(PSTN)业务,可能严重损害其业务收益。 (3)用户侧私拉乱接。宽带用户以个人的身份申请业务,但给企业或黑网吧使用,或与其他家庭共用宽带,从而损害运营商的业务收益。 不同于前面几节的安全问题,非法业务具有非常复杂的业务特征,不可能通过简单的特征提取方法来判定某数据报文是否属于非法业务的报文。为了检测出某条数据流是否是非法业务,需要对数据流进行深度智能分析,依据预定义的特征信息库,对数据流匹配才能判定。 用户私拉乱接现象一般发生在用户使用具有网络地址转换(NAT)功能的设备和接入节点对接情况下,上行数据报文从表面看起来好像从一个用户发出的一样。解决这个问题需要收集各种“蛛丝马迹”:分析传输控制协议(TCP)连接数量、网络流量、源TCP端口范围,这些信息有一定的参考价值;分析MSN、Windows Update能携带的一些用户特定信息;用户上行数据流中,如OS版本、IE版本、用户的行为习惯等有用的用户信息。往往需要结合部分或者全部特征,作出综合判断,减少误判和漏判。 非法VoIP检测起来具有很大的难度,VoIP软件数量众多。为了穿越防火墙或者NAT,防止被检测,有些VoIP软件甚至在特殊端口上启动私有隧道来承载VoIP相关数据。需要对数据报协议/传输控制协议(UDP/TCP)所有的数据流进行监控,利用VoIP注册、呼叫、准入等特征来分析数据流。 P2P流容易监控,因为流行的P2P软件数量有限,这些软件所发出的数据报文的特征相对容易定义。 非法业务的检测可以在接入网络的各个层次进行。检测点越往下游偏移,“分布式处理”的特征越强烈,容易在性能上得到提升,但是在价格、检测点协作和管理方面相对于集中式检测来说稍稍略弱一点。 非法业务的检测技术上具有智能化的趋势。但是回报较高,因为可以为运营商创造更高的附加值。随着未来各种业务在宽带接入网络的兴起,非法业务检测将大有用武之地,代表着接入网络安全研究的一个重要方向。 6 结束语 对于接入网络的商业应用,安全是一个重要的不容回避的问题,也是一个随着时间动态变化的课题。不仅运营商高度重视安全问题,网络设备提供商对安全问题也异常重视,中兴通讯提供的DSLAM和BRAS可以解决上述大部分接入网安全问题。 7 参考文献 [1] PIKE J. Cisco 网络安全[M]. 北京:清华大学出版社, 2004. [2] 鲍淑娣, 沈连丰. 宽带无线接入带来的机遇与挑战[J]. 中兴通讯技术,2004,10(3): 36-39. [3] 周武, 毛雪鸿. 固定宽带无线接入技术的发展[J]. 中兴通讯技术, 2004,10(3): 1-4. 作者简介: 王德强,南京大学毕业,博士。中兴通讯股份有限公司网络事业部系统三部系统工程师,主要从事网络产品的开发和技术研究。已发表文章10篇,申请发明专利5项。 |
Powered by Discuz!
© 2003-2024 广州威思信息科技有限公司
