構(gòu)建安全的下一代網(wǎng)絡(luò)
王琦 2007/05/31
近年來(lái),以軟交換為核心的下一代網(wǎng)絡(luò)一直是研究的熱點(diǎn),不僅設(shè)備制造商投入大量的金錢和人力研發(fā)設(shè)備,而且電信運(yùn)營(yíng)商也開(kāi)展大量的測(cè)試和實(shí)驗(yàn),用來(lái)驗(yàn)證設(shè)備的穩(wěn)定性、協(xié)議的標(biāo)準(zhǔn)化程度以及規(guī)模組網(wǎng)的可行性。但是,隨著軟交換網(wǎng)絡(luò)大規(guī)模商用步伐的逐步推進(jìn),我們?cè)诳吹杰浗粨Q網(wǎng)絡(luò)與傳統(tǒng)電信技術(shù)相比具有很多優(yōu)點(diǎn)的同時(shí),也發(fā)現(xiàn)基于IP的軟交換網(wǎng)絡(luò)實(shí)現(xiàn)電信級(jí)的運(yùn)營(yíng),還存在一些問(wèn)題,包括:網(wǎng)絡(luò)的QoS保證、網(wǎng)絡(luò)的安全性、控制層面的組網(wǎng)問(wèn)題等,如果不很好地解決這些問(wèn)題,將大大影響軟交換的商用速度。
以軟交換為核心的下一代網(wǎng)絡(luò)采用IP分組網(wǎng)絡(luò)承載,傳統(tǒng)的IP網(wǎng)絡(luò)是一個(gè)盡力傳送和開(kāi)放自由的網(wǎng)絡(luò),有些IP網(wǎng)絡(luò)用戶可以不經(jīng)任何認(rèn)證和鑒權(quán)就可以接入IP網(wǎng)絡(luò),IP網(wǎng)絡(luò)用戶也不需要進(jìn)行任何業(yè)務(wù)認(rèn)證與鑒權(quán)。IP網(wǎng)絡(luò)的開(kāi)放性是推動(dòng)互聯(lián)網(wǎng)發(fā)展的重要因素,但同時(shí)也帶來(lái)了網(wǎng)絡(luò)的安全隱患。NGN采用IP承載網(wǎng)絡(luò),如果在建設(shè)初期沒(méi)有合理規(guī)劃,將會(huì)存在更大的安全威脅。
NGN網(wǎng)絡(luò)安全威脅
終端設(shè)備安全威脅
軟交換網(wǎng)絡(luò)中存在大量的終端設(shè)備,包括IAD設(shè)備、SIP/H.323終端和PC軟終端等。軟交換網(wǎng)絡(luò)接入靈活,任何可以接入IP網(wǎng)絡(luò)的地點(diǎn)均可以接入終端。但是,這種特性在為用戶帶來(lái)方便的同時(shí),也導(dǎo)致可能存在用戶利用非法終端或設(shè)備訪問(wèn)網(wǎng)絡(luò),占用網(wǎng)絡(luò)資源,非法使用業(yè)務(wù)和服務(wù),同時(shí),某些用戶可能使用非法終端或設(shè)備向網(wǎng)絡(luò)發(fā)起攻擊,對(duì)網(wǎng)絡(luò)的安全造成威脅。另外,由于接入與地點(diǎn)的無(wú)關(guān)性,使得安全威脅發(fā)生后,很難定位發(fā)起安全攻擊的確切地點(diǎn),無(wú)法追查責(zé)任人。
網(wǎng)絡(luò)安全威脅
由于缺乏合理有效的安全措施,以IP為基礎(chǔ)的因特網(wǎng)網(wǎng)絡(luò)安全事件十分頻繁,主要包括蠕蟲病毒的泛濫和黑客的攻擊。當(dāng)前互聯(lián)網(wǎng)病毒十分猖獗,每天都有新病毒出現(xiàn),這些病毒輕則大量占用網(wǎng)絡(luò)資源和網(wǎng)絡(luò)帶寬,導(dǎo)致正常業(yè)務(wù)訪問(wèn)緩慢,甚至無(wú)法訪問(wèn)網(wǎng)絡(luò)資源;重則導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓,造成無(wú)法彌補(bǔ)的損失。另外,黑客憑借網(wǎng)絡(luò)工具和高超的技術(shù),攻擊網(wǎng)絡(luò)上的關(guān)鍵設(shè)備,篡改上面的路由數(shù)據(jù)、用戶數(shù)據(jù)等,導(dǎo)致路由異常,網(wǎng)絡(luò)無(wú)法訪問(wèn)等。
軟交換網(wǎng)絡(luò)采用IP分組網(wǎng)作為傳輸承載,而且軟交換網(wǎng)絡(luò)提供的業(yè)務(wù)大部分屬于實(shí)時(shí)業(yè)務(wù),對(duì)網(wǎng)絡(luò)的安全可靠性要求更高。當(dāng)網(wǎng)絡(luò)由于病毒導(dǎo)致帶寬大量被占用,訪問(wèn)速度很慢甚至無(wú)法訪問(wèn)時(shí),軟交換網(wǎng)絡(luò)就無(wú)法為用戶提供任何服務(wù)。
關(guān)鍵設(shè)備安全威脅
軟交換網(wǎng)絡(luò)中的關(guān)鍵設(shè)備包括:軟交換設(shè)備、媒體網(wǎng)關(guān)、信令網(wǎng)關(guān)、應(yīng)用服務(wù)器、媒體服務(wù)器等。由于下一代網(wǎng)絡(luò)選擇分組網(wǎng)絡(luò)作為承載網(wǎng)絡(luò),并且各種信息主要采用IP分組的方式進(jìn)行傳輸,IP協(xié)議的簡(jiǎn)單性和通用性為網(wǎng)絡(luò)上對(duì)關(guān)鍵設(shè)備的各種攻擊提供了便利的條件。目前對(duì)網(wǎng)絡(luò)設(shè)備常見(jiàn)的攻擊有:
DoS和DDoS攻擊
DoS攻擊:Denial of Service,也就是“拒絕服務(wù)”的意思,指通過(guò)過(guò)量的服務(wù)從而使軟交換網(wǎng)絡(luò)中的關(guān)鍵設(shè)備陷入崩潰的邊緣或崩潰。包括UDPflood、SYNflood、ICMPflood、Smurf攻擊、IP碎片攻擊、畸形消息攻擊等。DDoS攻擊:Distributed
Denialof Service,即“分布式拒絕服務(wù)”。它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊,是一種分布、協(xié)作的大規(guī)模攻擊方式。它通過(guò)入侵一些具有漏洞的主機(jī),并操控這些受害主機(jī),以其為攻擊平臺(tái)向軟交換網(wǎng)絡(luò)中的關(guān)鍵設(shè)備發(fā)起大量的DoS攻擊,從而導(dǎo)致軟交換網(wǎng)絡(luò)中的關(guān)鍵設(shè)備因無(wú)法處理過(guò)多的服務(wù)請(qǐng)求而癱瘓。
利用型攻擊
此種攻擊方式以通過(guò)竊取用戶密碼等方式獲取關(guān)鍵設(shè)備的控制權(quán)為目的,主要包括口令猜測(cè)、特洛伊木馬和緩沖區(qū)溢出等手段。
由于目前軟交換網(wǎng)絡(luò)中的關(guān)鍵設(shè)備(如軟交換、網(wǎng)關(guān)和各種服務(wù)器等)的硬件實(shí)現(xiàn)普遍基于通用平臺(tái)(CompactPCI),各種應(yīng)用服務(wù)器同樣基于業(yè)界流行的主機(jī)、服務(wù)器等,這就導(dǎo)致黑客可以利用一些已知的后門和漏洞來(lái)攻擊主機(jī),非法獲取主機(jī)的口令和密碼,達(dá)到控制關(guān)鍵設(shè)備的目的。
信息安全威脅
信息安全主要包括軟交換與終端之間信令消息的安全、用戶之間媒體信息的安全以及用戶私有信息(包括用戶名、密碼等)的安全。由于軟交換網(wǎng)絡(luò)采用開(kāi)放的IP網(wǎng)絡(luò)傳輸信息,這樣在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)就很容易被監(jiān)聽(tīng),如果軟交換與終端之間的信令消息被監(jiān)聽(tīng),有可能導(dǎo)致終端用戶私有信息的泄露,導(dǎo)致監(jiān)聽(tīng)者可以利用監(jiān)聽(tīng)到的信息偽造成合法用戶接入網(wǎng)絡(luò);如果用戶之間媒體信息被惡意監(jiān)聽(tīng),將導(dǎo)致用戶私密信息的泄露。
NGN網(wǎng)絡(luò)安全解決方案
邊界隔離
軟交換網(wǎng)絡(luò)關(guān)鍵設(shè)備如軟交換、應(yīng)用服務(wù)器和網(wǎng)關(guān)等放置在IP網(wǎng)絡(luò)上,相當(dāng)于IP網(wǎng)絡(luò)上的主機(jī),存在著被攻擊的危險(xiǎn),為保證關(guān)鍵設(shè)備的安全,需要在重要的網(wǎng)絡(luò)設(shè)備前面放置防火墻以保證軟交換核心網(wǎng)絡(luò)設(shè)備的安全。
防火墻通常具有以下功能:
1)防火墻定義了單個(gè)的阻塞點(diǎn),將未授權(quán)的用戶隔離在被保護(hù)的網(wǎng)絡(luò)之外,禁止?jié)撛诘囊资芄舻姆⻊?wù)進(jìn)入或離開(kāi)網(wǎng)絡(luò),并且對(duì)于不同類型的IP欺騙和選路攻擊提供保護(hù)。
2)防火墻提供了監(jiān)視與安全有關(guān)事件的場(chǎng)所,在防火墻系統(tǒng)中可以實(shí)現(xiàn)審計(jì)和告警。
3)防火墻可以實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換以及審計(jì)和記錄網(wǎng)絡(luò)使用日志的網(wǎng)絡(luò)管理功能。
防火墻最重要的功能就是包過(guò)濾功能,包過(guò)濾應(yīng)該做到按照IP報(bào)文的如下屬性——源IP地址、目的IP地址、源端口、目的端口、傳輸層協(xié)議進(jìn)行過(guò)濾;部分廠家的防火墻還可以做到基于報(bào)文內(nèi)容的訪問(wèn)控制,即可以檢查應(yīng)用層協(xié)議信息并監(jiān)控應(yīng)用層協(xié)議狀態(tài)。
為保障軟交換網(wǎng)絡(luò)的安全,可以將軟交換網(wǎng)絡(luò)進(jìn)行安全區(qū)域的劃分,根據(jù)軟交換網(wǎng)絡(luò)中設(shè)備的安全需求以及軟交換網(wǎng)絡(luò)的安全區(qū)域,劃分成內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)兩個(gè)安全區(qū)域。
軟交換網(wǎng)絡(luò)內(nèi)網(wǎng)區(qū):由軟交換、信令網(wǎng)關(guān)、應(yīng)用服務(wù)器、媒體服務(wù)器、中繼網(wǎng)關(guān)、大容量用戶綜合接入網(wǎng)關(guān)等設(shè)備組成的網(wǎng)絡(luò)區(qū)域。該網(wǎng)絡(luò)區(qū)域設(shè)備面向大量用戶提供服務(wù),安全等級(jí)要求高。
軟交換網(wǎng)絡(luò)外網(wǎng)區(qū):由SIP終端、PC軟終端、普通用戶IAD等終端設(shè)備組成的網(wǎng)絡(luò)區(qū)域,該網(wǎng)絡(luò)區(qū)域設(shè)備放置在用戶側(cè),面向個(gè)人用戶提供服務(wù)。
內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)的互通,通過(guò)信令媒體代理設(shè)備實(shí)現(xiàn),信令媒體代理設(shè)備除進(jìn)行外網(wǎng)區(qū)終端訪問(wèn)軟交換和網(wǎng)關(guān)設(shè)備的信令、媒體轉(zhuǎn)發(fā)之外,同時(shí)在安全方面應(yīng)具有以下功能:
- 設(shè)備應(yīng)能支持基于SIP、MGCP和H.248協(xié)議的應(yīng)用層攻擊防護(hù)。
- 設(shè)備應(yīng)能對(duì)異常消息、異常流量等高風(fēng)險(xiǎn)行為進(jìn)行識(shí)別并產(chǎn)生實(shí)時(shí)告警,供維護(hù)人員作進(jìn)一步處理。
- 對(duì)于以下情況,設(shè)備應(yīng)能進(jìn)行識(shí)別并按照預(yù)定策略進(jìn)行處理。
(a)應(yīng)能根據(jù)用戶注冊(cè)狀態(tài)進(jìn)行消息的處理,對(duì)未注冊(cè)用戶發(fā)送的非注冊(cè)消息進(jìn)行丟棄處理;
(b)設(shè)備應(yīng)能對(duì)注冊(cè)鑒權(quán)失敗的用戶終端建立監(jiān)視列表,記錄IP地址/端口和用戶名,并能采取相應(yīng)措施。
- 設(shè)備應(yīng)具有防常見(jiàn)DoS攻擊能力。
網(wǎng)絡(luò)隔離
把NGN與其他網(wǎng)絡(luò)進(jìn)行物理隔離,即在物理上單獨(dú)構(gòu)建一個(gè)獨(dú)立的網(wǎng)絡(luò),可以有效規(guī)避外部攻擊,但是這種建網(wǎng)與維護(hù)成本顯然較高,所以這種方法并不可取。近年來(lái),隨著VPN技術(shù)的成熟,在同一個(gè)物理網(wǎng)絡(luò)上構(gòu)建不同的VPN已經(jīng)實(shí)際可行,可以采用MPLS、VLAN等VPN技術(shù)從分組數(shù)據(jù)物理網(wǎng)絡(luò)中劃分出一個(gè)獨(dú)立邏輯網(wǎng)絡(luò)作為NGN虛擬業(yè)務(wù)網(wǎng)絡(luò),把NGN從邏輯上與其他網(wǎng)絡(luò)進(jìn)行隔離,其他網(wǎng)絡(luò)用戶無(wú)法通過(guò)非法途徑訪問(wèn)NGN網(wǎng)絡(luò),將可以避免來(lái)自其他網(wǎng)絡(luò)特別是Internet網(wǎng)絡(luò)上用戶對(duì)NGN網(wǎng)絡(luò)的攻擊與破壞。
數(shù)據(jù)加密
為了防止NGN中傳送的信令和媒體信息被非法監(jiān)聽(tīng),可以采用目前互聯(lián)網(wǎng)上通用的數(shù)據(jù)加密技術(shù)對(duì)信令流和媒體流進(jìn)行加密。
對(duì)于IP網(wǎng)絡(luò)上的信令傳輸,目前提出的主要安全機(jī)制是IPSec協(xié)議。在Megaco協(xié)議規(guī)范(RFC3015)中,指定Megaco協(xié)議的實(shí)現(xiàn)要采用IPSec協(xié)議保證媒體網(wǎng)關(guān)和軟交換設(shè)備之間的通信安全。在不支持IPSec的環(huán)境下,使用Megaco提供的鑒權(quán)頭(AH)鑒權(quán)機(jī)制對(duì)IP分組實(shí)施鑒權(quán)。在Megaco協(xié)議中強(qiáng)調(diào)了如果支持IPSec就必須采用IPSec機(jī)制,并且指出IPSec的使用不會(huì)影響Megaco協(xié)議進(jìn)行交互接續(xù)的性能。IPSec是IPv4協(xié)議上的一個(gè)應(yīng)用協(xié)議,IPv6直接支持IPSec選項(xiàng)。
對(duì)于媒體流的傳輸,采用對(duì)RTP包進(jìn)行加密,目前主要采用對(duì)稱加密算法對(duì)RTP包進(jìn)行加密。
對(duì)于用戶賬號(hào)、密碼等私有信息,目前采用的加密算法主要是MD5,用于用戶身份的認(rèn)證。
訪問(wèn)控制
軟交換終端用戶特別是智能終端、PC軟終端、桌面IAD等接入NGN網(wǎng)絡(luò)時(shí)必須經(jīng)過(guò)嚴(yán)格的認(rèn)證,確認(rèn)用戶的身份后才允許用戶接入NGN網(wǎng)絡(luò)。
用戶接入認(rèn)證時(shí)可以采用保密強(qiáng)度比較高的公開(kāi)密鑰體系來(lái)進(jìn)行,以保證用戶身份的可靠性。NGN系統(tǒng)認(rèn)證確認(rèn)用戶身份接入NGN網(wǎng)絡(luò)后,可以把用戶標(biāo)志、IP地址等信息進(jìn)行綁定并記錄到網(wǎng)絡(luò)安全日志中。這樣一旦用戶的身份在接入時(shí)得到了確認(rèn),即使個(gè)別用戶進(jìn)行網(wǎng)絡(luò)破壞也很容易通過(guò)網(wǎng)絡(luò)的安全日志迅速定位和查處該用戶。通過(guò)這種方式從根源上基本可以杜絕從用戶側(cè)發(fā)起網(wǎng)絡(luò)攻擊而導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題。另外,可以強(qiáng)制軟交換或終端網(wǎng)管設(shè)備對(duì)終端的IP地址、MAC地址與終端標(biāo)志進(jìn)行匹配,當(dāng)終端標(biāo)志正確,但是IP地址或MAC地址不正確時(shí),也不予提供接入和服務(wù)。
1.設(shè)備管理控制臺(tái)訪問(wèn)
控制臺(tái)是設(shè)備提供的最基本的配置方式?刂婆_(tái)擁有對(duì)設(shè)備最高配置權(quán)限,對(duì)控制臺(tái)訪問(wèn)方式的權(quán)限管理應(yīng)擁有最嚴(yán)格的方式。包括:用戶登錄驗(yàn)證、控制臺(tái)超時(shí)注銷、控制臺(tái)終端鎖定。
2.異步輔助端口的本地、遠(yuǎn)程撥號(hào)訪問(wèn)嚴(yán)格控制通過(guò)設(shè)備的其他異步輔助端口對(duì)設(shè)備進(jìn)行本地、遠(yuǎn)程撥號(hào)的交互配置,缺省要求身份驗(yàn)證。
3.TELNET訪問(wèn)嚴(yán)格控制Telnet訪問(wèn)
用戶、缺省要求身份驗(yàn)證,以及限制Telnet終端的IP地址,限制同時(shí)Telnet用戶數(shù)目等。
NGN網(wǎng)絡(luò)安全建議
根據(jù)前面的論述,為了保證所構(gòu)建的NGN網(wǎng)絡(luò)的安全性,必須做到以下幾點(diǎn):
- 在網(wǎng)絡(luò)關(guān)鍵設(shè)備前放置防火墻和信令媒體代理設(shè)備,防止對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備的攻擊;
- 把NGN與Internet等其他網(wǎng)絡(luò)進(jìn)行隔離,保證除NGN設(shè)備和用戶外其他用戶無(wú)法通過(guò)非法途徑訪問(wèn)NGN;
- 對(duì)用戶與軟交換交互的信令消息進(jìn)行加密,確保無(wú)法被非法監(jiān)聽(tīng);
- 在接入層對(duì)用戶接入和業(yè)務(wù)使用進(jìn)行嚴(yán)格控制,用戶必須經(jīng)過(guò)嚴(yán)格的鑒權(quán)和認(rèn)證才可以接入NGN網(wǎng)絡(luò),用戶的業(yè)務(wù)使用也必須經(jīng)過(guò)嚴(yán)格的鑒權(quán)和認(rèn)證。
軟交換、應(yīng)用服務(wù)器和各種網(wǎng)關(guān)設(shè)備組成封閉的MPLSVPN網(wǎng)絡(luò),對(duì)于內(nèi)部大客戶可以通過(guò)專線直接接入,其他非信任區(qū)域的終端用戶只能通過(guò)信令媒體代理設(shè)備訪問(wèn),同時(shí)采用IPSec加密交互的信令消息。軟交換和信令媒體代理設(shè)備嚴(yán)格控制終端的接入,對(duì)終端標(biāo)志、IP地址、MAC地址進(jìn)行認(rèn)證。
總之,下一代網(wǎng)絡(luò)的安全保證是一個(gè)系統(tǒng)工程,使用任何單獨(dú)的技術(shù)都無(wú)法完成這個(gè)任務(wù),只有綜合運(yùn)用加密、認(rèn)證、防攻擊等各種安全保障手段,并且相互配合才可以構(gòu)建一個(gè)安全的下一代網(wǎng)絡(luò)。
中國(guó)聯(lián)通網(wǎng)站
相關(guān)鏈接: