當今的時代是網絡的時代,20世紀末出現的IP網絡,以前所未有的發展速度創造了人類科技史上的奇跡,并大有取代已經存在了100多年的電路交換網的趨勢。但從電信網的角度來說,IP網絡還存在著諸如安全、服務質量、運營模式等問題。其中,IP網絡的安全問題是其中非常重要的一個方面,由于IP網絡的開放性,又使得它的安全問題變得十分復雜。本文著重分析IP網絡中所面臨的安全威脅,并討論路由器設備安全功能的測試。
二、IP網絡所面臨的安全威脅
IP網絡的最大優勢是它的開放性,并最大限度地支持終端的智能,這使得IP網絡中存在著各種各樣豐富多彩的業務與應用。但與此同時,IP網絡的開放性與終端的智能化也使得IP網絡面臨著前所未有的安全威脅。
IP網絡的安全威脅有兩個方面,一是主機(包括用戶主機和應用服務器等)的安全,二是網絡自身(主要是網絡設備,包括路由器、交換機等)的安全。用戶主機所感知的安全威脅主要是針對特定操作系統(主要是Windows系統)的攻擊,即所謂病毒。網絡設備主要面對的是基于TCP/IP協議的攻擊。本文主要討論網絡自身,即網絡設備(主要是路由器)自身的安全問題。
路由器設備從功能上可以劃分為數據平面、控制/信令平面和管理平面,也可以從協議系統的角度按TCP/IP協議的層次進行劃分。圖l所示為路由器的系統框架。路由器設備在系統框架中的每個層次上都有可能受到攻擊。
(1)對數據平面來說,其功能是負責處理進入設備的數據流,它有可能受到基于流量的攻擊,如大流量攻擊、畸形報文攻擊。這些攻擊的主要目的是占用設備CPU的處理時間,造成正常的數據流量無法得到處理,使設備的可用性降低。由于數據平面負責用戶數據的轉發,因此也會受到針對用戶數據的攻擊,主要是對用戶數據的惡意竊取、修改、刪除等,使用戶數據的機密性和完整性受到破壞。
(2)對路由器來說,控制/信令平面的主要功能是進行路由信息的交換。這一平面受到的主要威脅來自對路由信息的竊取,對IP地址的偽造等,這會造成網絡路由信息的泄漏或濫用。
(3)對系統管理平面來說,威脅來自于兩個方面,一個是系統管理所使用的協議(如Telnet協議、HTTP協議等)的漏洞,另一個是不嚴密的管理,如設備管理賬號的泄露等。
三、威脅網絡安全的主要攻擊手段
1.數據平面
數據平面受到的主要攻擊是拒絕服務(DoS,Deny of Service)攻擊,拒絕服務攻擊針對不同的協議會有很多種形式。
(1)LAND攻擊。LAND攻擊是利用某些系統TCP協議實現中的漏洞,制造TCPSYN報文,這些報文的源IP地址和TCP端口號與目的IP地址和TCP端口號相同,這樣系統就會向自身發起一個TCP連接,造成了系統資源的無謂消耗。
(2)SYNF1ood攻擊。SYNF1ood攻擊是利用TCP協議三次握手的機制,由攻擊主機向被攻擊設備發送大量的SYN請求報文,這些報文的源地址是一個不可達的主機地址,被攻擊設備發送SYNACK報文后,就開始等待大量根本不可能到達的ACK報文,造成了系統資源的大量占用。
(3)Smurf攻擊。Smurf攻擊是利用ICMP協議的一種DoS攻擊手段。該攻擊是將ICMP Echo Request(Ping)報文的源地址偽造成被攻擊設備的地址,目的地址為網絡中的廣播地址,這樣大量的ICMP響應報文將造成被攻擊設備以及所在網絡的負載大大增加。如果攻擊中使用的是UDP的應答請求消息則演變為Fraggle攻擊。
(4)PingF1ood攻擊。PingF1ood攻擊是從一條高帶寬的連接向一條低帶寬的連接連續發送大量的Ping報文,被攻擊設備將對每一個Ping報文進行回應,造成了網絡可用帶寬的降低。
(5)Teardrop攻擊。Teardrop攻擊是利用IP報文的分片/重組機制,發送偽造的分片IP報文,而將IP報文頭部中指示分片標記的Offset字段設為重復的值,使得被攻擊設備在處理這些分片報文時造成系統的掛起甚至宕機。
(6)Ping of Death攻擊。Ping of Death攻擊通過發送一個包長超過65535的Ping報文,使被攻擊設備的內存分配產生錯誤,從而導致設備的癱瘓。
除了DoS攻擊,網絡設備還會面對網絡中大量的各種各樣的畸形報文和錯誤報文,這些報文將耗費網絡設備大量的處理能力,Ping of Death攻擊也可以看作是畸形報文的一種形式。
同時,網絡上的用戶數據也有可能受到惡意監聽或截取,目前比較有效的防范方式是使用IPSec協議進行用戶數據的加密。
2.控制/信令平面
對控制/信令平面的攻擊主要是通過使用非法的或未授權的路由設備與網絡中的合法設備建立路由鄰接關系,獲取網絡中的路由信息。通過路由協議的加密認證可以有效阻止這種攻擊。目前,主要使用的RIPv2,OSPF,IS-IS都支持對協議報文的明文認證和MD5加密認證,BGP,LDP等協議則依靠TCP的MD5加密認證來保證協議報文的安全性。
3.管理平面
目前,對設備的遠程管理主要采用Telnet,Web等方式,而Telnet,HTTP協議本身都沒有提供安全功能,用戶數據、用戶賬號和口令等都是明文傳送,很容易被監聽竊取,也很容易受到中間人(Man In the Middle)攻擊。
解決網絡設備遠程管理問題主要依靠SSH和SSL協議。SSH(Secure Shell)是目前比較可靠的為遠程登錄會話和其他網絡服務提供安全性的協議。利用SSH協議可以有效防止遠程管理過程中的信息泄露問題。SSL(Secure Socket Layer)協議可以在使用Web方式進行遠程管理時對瀏覽器和Web服務器之間的通信進行加密。
四、網絡安全與設備測試
目前的路由器測試主要針對的是設備的功能、協議、性能等基本能力,隨著對IP網絡中安全要求的不斷提高,路由器本身也需要支持各種各樣的安全能力,因此在測試中需要加強對路由器安全能力的測試。對路由器能力的測試同樣也可以從數據平面、控制/信令平面和管理平面三個層次來考慮。
1.數據平面的安全測試
(1)抗DoS攻擊能力的測試。主要是利用儀表模擬攻擊流量,驗證被測設備對攻擊流量的處理。被測設備應該對異常流量采取丟棄策略,并生成告警日志。
(2)ACL功能測試。驗證設備可以提供豐富的ACL功能來對非法流量進行過濾。
(3)防止IP地址欺騙測試。主要是URPF(單播逆向路徑轉發,Unicast Reverse Path Forwarding)功能的測試。被測設備應具備URPF功能,即設備可以檢查數據包的源地址,在FIB表中查找該源地址是否與數據包的來源接口相匹配,如果沒有匹配表項將丟棄該數據包。
(4)IPSec協議測試。驗證設備是否支持IPSec協議來保證用戶數據的機密性。
(5)對協議的控制測試。被測設備應該能夠關閉一些可能造成攻擊的協議端口或過濾某些可能對網絡造成安全隱患的協議報文,如關閉UDP的回應請求端口、過濾源路由數據包等。
2.控制/信令平面的安全測試
(1)OSPF協議安全測試。包括鄰居路由器之間的明文/MD5認證、OSPF區域內使用明文/MD5認證。
(2)IS-IS協議安全測試。包括接口間Level-1明文/MD5認證、接口Level-2明文/MD5認證、IS-IS區域內明文/MD5認證和IS-IS路由域上的明文/MD5認證。
(3)BGP協議的MD5認證。
(4)RIPv2協議的認證。
3.管理平面的安全測試
(1)SSH協議支持能力的測試。
(2)SSL協議支持能力的測試。
(3)安全審計功能的測試。包括提供安全告警日志以及用戶操作日志等的能力。
除安全功能及協議的測試外,路由器的安全測試還應包括性能測試,開啟安全功能后對路由器的正常轉發能力不應產生嚴重影響。
五、結束語
目前的IP網絡仍然面臨著許多安全問題,新的攻擊手段和技術層出不窮,在這種形勢下,迫切需要網絡設備,尤其是路由器設備支持完善的安全功能。除了對安全技術的不斷研究,對路由器等網絡設備進行嚴格的安全測試。強制網絡設備支持應有的安全功能也是提高IP網絡安全性的一個重要方面。目前,《高端路由器的安全技術要求》、《中低端路由器的安全技術要求》、《高端路由器的安全測試規范》、《中低端路由器的安全測試規范》等標準文稿都已經在制訂之中,這些標準的制訂必將使路由器設備的測試更加完善,同時也會有助于網絡安全水平的提高。
