思科運營商路由系統CRS-1的安全性
2008-04-22
- 思科運營商路由系統和它的分布式、模塊化Cisco IOS XR軟件微內核架構可以通過跨越管理、控制和數據面板的內嵌檢測、訪問控制和流程隔離技術,支持高度安全、持續的系統運營。
服務供應商利潤面臨的威脅
對于服務供應商而言,網絡安全與業務發展息息相關。由于病毒、入侵、操作錯誤和軟件配置錯誤所導致的安全事件可能會導致廣泛的相關成本提高和一系列后果,例如服務中斷、經濟損失、客戶不滿、生產率降低,甚至媒體關注。為了保護收入和利潤,服務供應商必須保護他們的基礎設施,為安全連接、威脅防范和終端保護提供可管理的服務。
為了在一個安全威脅(例如拒絕服務[DDoS]攻擊)層出不窮和策略日益復雜的環境中保持很高的可用性,服務供應商希望采用新的路由和交換解決方案。這些解決方案應當可以提供有效、內嵌、基于硬件的安全檢測,從而建立自我防御網絡。這些新的不間斷系統運營解決方案必須支持:
訪問隔離、故障隔離和內存保護
無縫的軟件和硬件恢復
配置和管理保護
主動、迅速的響應
思科運營商路由系統
思科運營商路由系統(CRS-1)是一個多機架路由平臺,采用了一個模塊化、分布式的微內核操作系統——Cisco IOS XR。
在設計CRS-1時,思科的開發人員利用了Cisco IOS軟件的互聯網安全經驗。Cisco IOS XR軟件的模塊化架構在邏輯上和物理上都具有分布式的特性(如圖1所示),因而可以在創建一個高度可用的、安全的路由平臺和網絡方面提供巨大的優勢。分散的軟件組件(子系統)被部署為獨立的軟件流程,運行在它們自己的受保護的內存地址空間中。這可以在發生安全事件時實現真正的故障隔離和分區,防止一個子系統中發生的故障對其他的子系統造成不利影響。
與像FreeBSD UNIX這樣的單內核架構不同,網絡堆棧(例如TCP)作為一個單獨的進程,在微內核之外運行。因此,即使TCP堆棧受到安全威脅,系統仍然可以正常運行。在需要恢復服務時,相關流程會自動重啟,不需要人為干預。此外,模塊化軟件架構和服務中軟件升級(ISSU)支持讓用戶可以在不關閉整個系統的情況下,迅速地安裝一個補丁。
在Cisco IOS XR軟件中保持深入的故障隔離和實現安全檢測的關鍵是,它在三個面板之間對流程進行了邏輯分配。每個面板都采用了自己的訪問控制機制,以實現網絡的安全運行。這三個面板分別是:
控制面板
數據面板
管理面板控制面板保護
所有路由控制信息都在控制面板進行交換,這使得控制面板及其組件成為了一個攻擊目標。因為控制面板的永續性取決于CPU的處理能力和可擴展性,所以針對CPU的“資源耗盡式”攻擊并不少見。
為了支持可擴展性和性能,CRS-1控制面板采用了分布式、冗余的路由處理器——對稱式多處理器(SMP)CPU。在正常情況下,CRS-1所傳輸的流量由它的線卡以線速進行處理。但是,在發生意外情況時,分組被轉發到路由器本身。這些包括路由協議、互聯網控制消息協議(ICMP)和網絡管理分組在內的“轉移分組”將從線卡分組處理器發送到線卡CPU或者路由處理器CPU。
為了防止控制面板在一個開放的環境中遭受DoS攻擊,CRS-1在線卡和它的分組處理器中分配了多種層次化的安全功能。這些功能包括:
動態控制面板保護(DCPP)
自動控制面板擁塞過濾器
控制面板生存時間(TTL)完整性檢查(RFC 3682,通用TTL安全機制(GTSM))
邊界網關協議(BGP)路由協議過濾和路由策略語言(RPL)
動態控制面板保護
由于違反規定的行為(例如入侵者轉移或者分析網絡流量)所導致的未經授權的或者惡意的路由更新可能會威脅網絡安全。部署基于報文摘要算法5(MD5)的相鄰路由器身份驗證是避免偽裝的一種常用方法,它實際上確保了路由器從某個可靠的來源獲得可靠的信息——但是這僅僅是第一步。如果偽裝的BGP分組開始涌向路由器,接收路徑訪問控制列表(ACL)和模塊化QoS CLI(MQC)速率限制能夠準確地控制這些分組的傳輸。但是,ACL和MQC控制并不是自動進行的。如果BGP對等主機關機或者重啟,第四層端口編號就會隨著每個進程的重新建立而改變。因此,網絡設計人員一直在尋找一種自動、動態的方式來準許經過設置的BGP對等進程和丟棄未經設置的進程。
為此,CRS-1為線卡分組處理提供了一個DCPP方法。利用DCPP,經過正確設置的BGP對等進程會自動獲得足夠的資源,而未經設置的進程則會被丟棄或者獲得最低限度的處理。這種準許-拒絕模式建立在靜態設置的IP地址和動態的第四層端口號之間的關聯關系的基礎上。在身份驗證和建立最大限度的準入控制之前,需要為初始連接設置不同的資源策略。控制面板分組必須經過是一個多層次的事先篩選流程,直到得到一個內部搜索表的授權之后,它們才會獲得足夠的資源。這種自動化的流程可以節約網絡管理員為了其他關鍵任務進行手動設置所需要的時間。
自動控制面板擁塞過濾器
在嚴重的DoS或者DDoS攻擊導致線卡超出CRS-1的插槽容量時,控制機制會以特定用途集成電路(ASIC)的速度執行,將超出線卡容量的分組導入第三層模塊化服務卡(MSC)上的硅分組處理器,從而確保控制面板分組得到優先處理。在網絡管理員利用其他安全工具安裝緩解方案以解決問題時,這種功能可以保持拓撲的完整性。
控制面板TTL完整性檢查(RFC 3682,GTSM)
大部分控制協議對等進程都建立在相鄰或者直連的路由器之間。在GTSM(過去被稱為BGP TTL安全破解[BTSH])出現之前,從非定向對等節點發往路由器的BGP分組必須由路由器CPU進行處理。在生成大量這類分組時,它會導致一個嚴重的DDoS攻擊,從而耗盡CPU資源。現在,管理員可以利用GTSM對BGP對等分組進行TTL檢查,從而在MSC SPP中有效地阻止所有非定向BGP偽裝分組。
這些技術還可用于很多其他的應用,例如標簽分發協議(LDP)和資源預留協議(RSVP)。RSVP可以利用通用GTSM的功能。由于CRS-1采用了完全可編程的MSC架構,GTSM對于其他應用協議的支持可以被方便地添加到MSC。
BGP路由協議過濾和RPL
BGP是互聯網上最基礎的路由協議之一。不幸的是,如果BGP在沒有采用適當的前綴過濾措施的情況下遭受攻擊,互聯網上將會出現大量的“垃圾”流量。因此,前綴過濾多年以來一直是互聯網服務供應商(ISP)行業的最佳實踐之一。(如需了解更多信息,請訪問http://www.ispbook.com)
但是,隨著路由策略的日益復雜和每臺對等路由器必須交互的對等主機的不斷增多,服務供應商在如何成功地部署前綴過濾方面面臨著艱巨的挑戰。為此,思科推出了RPL,并將其集成到了Cisco IOS XR軟件中。針對大規模路由配置而開發的RPL具有一些重要的功能,可以改進傳統路由圖中的設置,以及ACL或者面向前綴列表的配置。
第一項改進是模塊化的策略組件。這樣,通用的策略模塊可以獨立地定義和維護。這些通用模塊可用于其他策略模塊,以構成完整的策略,從而減少需要維護的配置信息。另外,可以為這些通用策略模塊設置參數。這使得網絡管理員可以將那些具有相同結構,但是特定參數不同的策略作為獨立的策略模塊進行維護。例如,三個除了本地優先值以外完全相同的策略可以表示為一個統一的策略,并使用不同的本地優先值作為策略的參數。
RPL還采用了集合的概念。它是可以被用于路由屬性匹配和設置操作中的類似數據的容器。有多種不同的集合類型,例如前綴集合、公共集合、as-path集合和擴展公共集合,它們包含了相應的群組。這些集合分別類似于傳統的Cisco IOS軟件配置中的前綴列表、公共列表、as-path列表和擴展公共列表,但是兩者之間存在一個重要的區別。集合并不包括Cisco IOS軟件配置中的“接受”和“拒絕”的概念。集合僅僅是數據的容器。大部分集合還擁有一個內嵌變量,它允許在完全在內部指定的數據值,而不需要引用某個只包含部分數據的特定集合。
決策——例如接受還是丟棄路由——完全取決于所制定的策略。RPL讓用戶可以將匹配的操作符(可能使用集合數據)和傳統布爾邏輯操作符(“與”、“或”和“非”)集成到復雜的條件表達式中。所有匹配操作符都會返回一個“真”或“偽”結果。這些條件表達式的執行和相關操作都可以由用戶所指定的、簡單的“if-then,else-if,else”結構控制。這使得策略的評估路徑可以完全由用戶設置。
隨著RPL的采用,對等策略預計將會比現有的、基于路由圖的對等語句更加模塊化和更有效率。RPL可以提供必要的可擴展性,使得用戶能夠通過一個多機架路由系統(例如CRS-1)與數千個對等主機進行對等通信。
數據面板保護
數據面板可以接收、處理和傳輸網絡組件之間的網絡數據,控制進出路由器的大量網絡流量。為了防止數據面板流量遭受已知的攻擊,CRS-1的轉發引擎中內置了一些缺省的完整性檢查(基于互聯網行業積累的知識)。此外,CRS-1還提供了多種功能和工具,例如ACL、單播反向路徑轉發(uRPF)和NetFlow記帳,并在MSC上進行專門的輸入和輸出處理。
ACL——ACL(包括IPv4和IPv6)是很多路由器數據面板應用——例如分組分類、速率限制、統計和審核——的一個重要組成部分。它實際上是一個針對分組的準許-拒絕操作符。 Cisco CRS-1的設計目的是滿足最嚴格的性能和可擴展性要求,因而它能夠在網絡負載繁重的情況下以線速處理ACL。例如,在處理200萬個路由和500個BGP對等主機的同時,CRS-1可以在不影響性能的情況下處理數千個ACL及其條目。
熱詞搜索:
上一篇:配置路由器成為你安全防范的堡壘
下一篇:高手實測無線路由器的安全功能
