ip宽带网数据传输安全策略.txt

BBS的精华之处

发信人: glees (我心底的中国), 信区: Network 
标  题: IP宽带网数据传输安全策略 
发信站: 哈工大紫丁香 (2001年10月01日09:51:32 星期一), 站内信件 
  
IP宽带网数据传输安全策略 
  
发布日期: 2001-9-30 
  
--------------------------------------------------------------------------- 
---- 
作者：浙江金华电业局调度所 张立群 
---------------------------------------------------------------------------- 
---- 
引 言：在当前情况下，政府上网及企业上网工程的实施，电子商务的广泛应用导致了越 
来越多的敏感数据通过网络进行传输，网络的安全性正成为日益迫切的需求。本文将针 
对典型的IP宽带网的各类安全隐患，结合相应的黑客的入侵方式，对IP宽带网内的安全 
技术进行全面介绍，通过实施相应的安全策略及安装安全设备极大的增强IP宽带网的安 
全性。 
一、IP宽带网的典型连接方式 
宽带IP网的典型连接方式如下 
在该拓扑中，主干设备采用了支持IP over SDH/SONET的多业务光传输平台（采用IP Ov 
er ATM、IP Over Optical等技术时类似）该平台能够同时提供高速数据业务和传统的D 
S1、DS3技术。 
在分布接入层，根据应用需求的大小不同选择了相应的2/3层以太网交换机连接提供用户 
接入服务。 
从网络安全的角度来看，传统的DS1、DS3业务采用独立的信道进行传输，能够提供和电 
信相关设备同等的安全性；在高速数据业务上，该设备支持MPLS多协议标志交换技术， 
能够克服传统以太网在安全控制方面的各类缺点，提供和电信专线等同的安全性。 
但在该宽带IP网中，绝大多数个人和单位用户都不会直接接入骨干设备，而是连入专门 
提供用户接入用的2/3层以太网交换机，该类交换机本身无法提供足够的安全保护来保障 
数据传输的安全。 
二、安全威胁 
从上文可知，在宽带IP网络中，除开物理安全性不谈，主干网在技术上几乎没有任何可 
利用的安全隐患，一般可以看作是安全的网络。IP宽带网主要的安全威胁来自采用传统 
以太网技术，提供用户接入的2/3层交换机组成的分布接入层。以下将对现有IP宽带网分 
布接入层的部分安全隐患进行分析 
（注：以下所有安全隐患未经说明一律针对以太网、快速以太网和千兆以太网。） 
● MAC地址－端口对应表欺骗攻击 
● ARP表欺骗攻击 
● Vlan信息伪造攻击 
● 路由欺骗攻击 
● 源路由攻击 
2.1 MAC地址－端口对应表欺骗攻击 
众所周知，以太网上的二层交换设备使用MAC地址和端口的对应表来决定数据帧的转发过 
程。交换机通过它接收到的每一个数据帧的源MAC地址来构建MAC地址－端口对应表。当 
两个端口先后接收到相同源地址的数据帧时，绝大多数交换设备将使用较后收到帧的端 
口进行转发。这样，当处于不同交换端口的主机A想要截获主机B的信息时，主机A只需向 
交换机以一定速率持续发送以主机B网卡的MAC地址作为源地址的数据帧，就可以将几乎 
所有交换机应该发往主机B所在端口的数据帧重定向到主机A所在端口，实现数据流的截 
获。然后主机A可以使用广播地址或是组播地址等方式将该数据包重新封装成主机B可接 
收的数据帧发往主机B所在端口。这样，主机B数据通信的整个过程被主机A截获。主机A 
可以对传输给B的数据进行监听、篡改等一系列操作。 
2.2 ARP表欺骗攻击 
针对三层设备的攻击主要是对三层设备维护的用于在三层设备和二层设备间进行联系的 
ARP表进行攻击。每个三层设备需要维护一张IP地址和二层MAC地址的对应表。当主机需 
要给某个IP地址发送数据时，根据该表对应的MAC地址封装数据包。 
主机主要是通过侦听网络上的ARP查询和发出ARP查询来维护自身的ARP表。入侵者可以通 
过伪造ARP信息包让被攻击主机得到错误的ARP信息，例如让某台主机错误的将缺省网关 
的IP地址映射到攻击者的MAC地址，那么所有该主机发往缺省网关的数据包都将用攻击者 
的MAC地址封装被网络设备发送到攻击者的机器，和3.1中介绍的攻击方式类似，攻击者 
可以对被攻击者传输的数据进行窃听，篡改等一系列操作。 
2.3 Vlan信息伪造攻击 
在进行网络设置的过程中，经常会出现将连接最终用户的端口的Vlan模式设置为自动Tr 
unk模式的错误设置。这样，连接该接口的用户可以发送和运营商网络采用相同Vlan协议 
进行封装的数据帧，欺骗交换机从而跨越Vlan的限制任意连接到其它Vlan。 
2.4路由欺骗攻击 
一般的网络用户在对传统的三层路由设备（多层交换机和路由器）进行设置时，一般不 
会对路由更新进行过滤。这样外部攻击者可以通过监听了解到网络中正在使用的动态路 
由协议和部分网络拓扑等信息。同时可以伪装成网络上的路由器发送路由更新信息欺骗 
其它路由设备，这样，其它被欺骗的路由器可能错误的认为攻击者的机器是到达目的IP 
地址的最佳路径，而将数据包发往攻击者主机，然后攻击者在对数据进行了窃听和篡改 
后采用源路由技术将数据包发往正常的接收方。采用该种攻击方式，通信的双方都无法 
发现数据流被截获，威胁性极大。 
2.5源路由攻击 
TCP/IP协议集中的源路由技术，是一种在IP数据包内部指定路由选择过程的技术，通过 
该技术可以在数据包内部指定该数据包通过的每一跳路由地址。采用该技术，攻击者可 
以利用该技术对截获的数据包进行正常发送，或是跨越路由规则或相应的访问控制规则 
将IP包发往受保护的网络。 
三、IP宽带网中传输安全保障技术简介 
●用户认证及访问控制技术 
●VLAN技术 
●MPLS技术 
●VPN及加密与密钥交换 
●设备厂商提供的增强技术 
3.1用户认证及访问控制技术 
访问控制主要可以分为三种，首先是对网络设备的访问，采用基于用户名/口令的认证技 
术，然后根据该用户名的权限进行相关的访问控制。主要实施在运营商的和用户的网络 
设备上。 
第二种是采用运营商分配的IP地址作为用户的认证信息，通过基于IP地址以及端口号的 
访问控制策略实现访问控制。此类访问控制策略主要实施在不同的用户之间，网络本身 
仅仅为不同用户提供了一种完全连接的手段，而并非所有的用户都需要让其他用户访问 
到自身机器的全部信息。运营商可以通过分配给用户的IP地址作为认证信息来实施问控 
制策略。 
最后是采用增强的认证手段（口令，密钥等）进行用户认证后根据用户进行相应的访问 
控制。第三类访问控制技术提供了进一步增强的验证，防止了通过伪造源IP地址和源路 
由等技术跨越原有的基于IP地址和端口号的访问控制的可能，同时通过密钥等几乎不可 
破解的强密钥认证技术，保证了VPN等应用的高安全性。 
3.2 VLAN技术 
Vlan技术在处于第二层的交换设备上实现了不同端口之间的逻辑隔离，在划分了Vlan的 
交换机上，处于不同Vlan的端口间无法直接通过二层交换设备进行通讯。从安全性的角 
度讲，Vlan首先分割了广播域，不同的用户从逻辑上看连接在不互相连接的不同二层设 
备上，Vlan间的通讯只能够通过三层路由设备进行：实施Vlan技术，可以实现不同用户 
之间在二层交换设备上的隔离。外部攻击者无法通过类似3.1、3.2小节介绍的在同一广 
播域内才可能实施的攻击方式对其它用户进行攻击。 
从灵活性的角度将，在典型的IP宽带网中，在相对不安全的分布接入层，首先采用Vlan 
技术实现用户间的隔离，然后数据进入由MPLS技术提供了较高安全性的主干网进行传输 
，在数据通过主干网后再采用Vlan技术接入到对端用户。采用 用户－Vlan－MPLS－Vla 
n－用户 的连接模式保障网络传输的安全。同时Vlan限制在本地而不是穿越本地主干网 
的避免了在大量用户接入后Vlan的设定受到Vlan最大数目的限制。 
3.3 MPLS技术 
MPLS（多协议标志交换）交换与传统的基于下一跳的IP路由协议不同，MPLS是基于一种 
显式的路由交换（explicit routing），采用源地址路由方式。通过网络拓扑来实现MP 
LS的路由控制管理。 
在标志交换的环境中，MPLS为第3层路由表中的路由前缀分配一个特定含义的标签，MPL 
S标记技术隐藏了真实的IP地址以及信息包流的其他内容，至少提供了相当于窄带的帧中 
继技术的第二层数据安全保护。类似的，我们也可以将基于MPLS技术的数据隔离看作是 
等同于Vlan技术的广域网。 
3.4 VPN及加密与密钥交换技术 
Vlan技术和MPLS技术的综合应用保障了第二层的网络安全，充分防止了外部攻击者利用 
IP宽带网的第二层安全缺陷进行攻击。 
网络提供商提供的主要是下三层和部分第四层的服务（Qos等服务，几乎无须考虑安全性 
），所以仅仅做到第二层的安全性是远远不够的，在第三层上，我们主要通过基于IPSe 
c的VPN技术来实现相关的安全性。 
3.4.1 IKE技术 
IKE（Internet 密钥交换协议）用于在VPN通道建立前对双方的身分进行验证，然后协商 
加密算法并生成共享密钥。为了防止密钥泄漏，IKE并不在不安全的网络上传输密钥而是 
通过一系列强安全性的非对称算法通过交换非密钥数据，实现双方的密钥交换。按照当 
前的解密技术和计算机应用的发展水平该算法可以被看作是不可破解的。 
3.4.2 IPSec技术 
IPSec技术是一组协议的总称，在通常的IPSec应用中，同时使用了用于保障完整性和真 
实性的AH协议，和进行数据加密用于保障数据的私有性的ESP协议，来保证传输过程中的 
数据安全。 
3.4.3 VPN的应用 
VPN在两台支持VPN的设备间建立了对等关系并协商建立一条安全传输信道，有两种典型 
的连接方式，一种是各个部门之间通过专用的VPN通道通过公用网络进行连接。第二种方 
式是远程授权用户通过拨号（拨号方式采用的是专用链路连接，不存在二层安全性问题 
）等方式进入Internet并和内部网络采用VPN技术建立传输通道，进而访问公司内部网络 
。 
3.5设备厂商提供的增强技术 
各大网络设备厂商在其网络设备上都添加了部分增强网络安全性的功能，例如接入层的 
MAC地址绑定及端口安全保护，静态ARP表等网络安全性增强技术，IP宽带网运营商可以 
在充分了解网络设备的安全性增强功能后为客户提供更加细致的安全服务。 
四、传输安全典型解决方案 
按照二至四三部分的分析：以下的传输安全解决方案，将以某大型集团用户接入IP宽带 
网为例，综合运用IP宽带网上的传输安全增强技术，提供安全可靠的数据网络。 
实施部署的整体拓扑图如下： 
该方案的实施主要包括两个部分，第一部份是对IP宽带网的设备进行增强安全性的相关 
设置，主要包括Vlan的划分，MPLS交换设置，Vlan汇接设备上的访问列表以及针对路由 
更新的过滤。 
第二部分是在第一部份的基础上实施相应的VPN解决方案，通过加密和认证技术，进一步 
保障数据在网络上传输的完整性、安全性和私有性。VPN的实施主要通过在所有需要通过 
VPN技术进行传输的节点添加相应的VPN加密设备以建立VPN通道 
在该实施方案中，在第二层的安全上，综合使用了Vlan技术和MPLS技术来保障安全性。 
在分布接入层，该集团用户的网络与其他用户处于不同的Vlan中，逻辑上完全隔离，其 

他用户无法对该集团用户的网络进行第二层的访问。在核心层基于MPLS的主干网上，不 
同的用户采用不同的MPLS标记进行交换，数据传输上完全独立，在第二层上保证了充分 
的隔离。 
为了避免路由欺骗，Vlan欺骗等技术：在Vlan汇接设备上，我们将针对用户采取基于源 
的严格访问控制列表和路由更新过滤技术来防止攻击者利用传统路由技术本身的缺陷对 
网络进行攻击。 
在充分保证二层传输安全的同时，在第三层上实施基于IPSec协议的VPN技术对传输安全 
性进行进一步的加强。即便链路上传输的数据因为某些特殊原因（例如直接在物理链路 
上侦听，或是因为某些设置不当导致攻击者有机可乘）导致数据包被外部攻击者截获， 
外部攻击者也无法对包含有加密和验证信息的应用数据进行任何监听和篡改，进一步的 
保障了网络传输的安全性。 
  
-- 
世界上有两件东西能够深深地震撼人们的心灵 
一件是我们心中崇高的道德准则 
另一件是我们头顶上灿烂的星空 
  
                                ——伊曼努尔·康德