电信IP承载网安全防御
万方数据
Solution?解决之道
往往通过利用一批受控制的网络终端向某一个公共端口同时发起攻击。利用从任意源地址向任意目标地址提交数据包,很难将非法的数据包与合法的数据包区分开,具有极大的破坏性、复杂性和隐蔽性。
g.路由风险:利用公网向IP承载网网元恶意注入非法路由,泄露远超过网元容量的海量路由,造成核心路由器出现强烈的路由震荡和路由泛洪,内部的合法业务受损,合法路由数量减少,影响全系列业务服务品质。
h.病毒风险:蠕虫、病毒、特洛伊木马进入系统后,会不断复制自我并向其他文件传播,侵占资源,损坏内存,甚至将敏感信息发送出网络,会持续相当长的时间。
i.运维风险:各种网元由网络工程师人工进行配置,配置错误或产品的一些默认配置存在安全漏洞。同时网元部分内部故障无告警上报,故障定位根因困难。
j.流程风险:缺乏明确而连贯的安全策略和规范,信息资产风险观念和基础安全意识淡薄,也欠缺必要的流程组织及安全事故监控和响应恢复计划。
以上种种安全风险从短期看,影响到运营商净收入减少,维护成本上升,客户满意度下降,管理重点偏移。从长期看,将影响到运营商客户流失,竞争力降低,品牌价值下降,内部士气不振。因此提升IP承载网安全防御水平刻不容缓。
3.IP承载网的安全防御体系
从技术的角度出发,运营商需要定期分析与评估IP承载网的风险纬度,及时选择正确合理的安全措施,提高用户体验,构建起分层、严密、高可靠性的安全防御体系。
首先,通过业务分域将各种典型电信业务种类接入场景如软交换、IMS、NGN、IPTV、3GCS、3GPs、城域网、大客户专线等明确地划分成各类安全域,涉及包括四方面。
a.业务服务器所在的核心业务域,其接人IP承载网安全防御的重点是服务器系统安全补丁、安全日志审计等。
b.非智能终端接入系统所在的封闭业务域,其接入IP承载网安全防御的重点是路由安全、地址欺骗等。
C.智能终端接入系统所在的半封闭业务域,其接入IP承载网安全防御的重点是终端身份认证、流量过载等。
d.不可控的网络接入所在的开放业务域,其接入IP承载网安全防御的重点是DDos攻击、病毒扩散、内容监控等。根据不同安全域的特点制定不同的安全防御措施,将不同的级别的安全问题控制在域内解决,同时利用防火墙手段重点加强在安全域间的安全访问控制。
?110?2010.10?WWW.infosting.org
其次,针对安全域的接人采取物理和逻辑的隔离,将IP承载网中边界的骨干PE设备分别对应连接各安全域,避免其受到集中攻击和非法访问。可以针对安全域下各种不同的业务系统,直接启用双平面、双归属的冗余PE来接入,通过PE分设保证受到信任的安全域和不受信任的其他安全域的物理隔离,并采用BFD、快速路由收敛、快速重路由等技术来快速检测网络断点,缩短故障设备、故障链路和故障路由的倒换时间。
接着采用基于MPLS技术的IP虚拟专用网络VPN来进行安全域及安全域下面各业务域的逻辑隔离,在IP承载网上划分出各业务的专用逻辑域,其它业务不可能渗透到这些逻辑域里,逻辑域之间以及逻辑域到承载网络任何情况下都不会有自身业务的泄露。这已经是一种非常成熟的应用,MPLS/VPN利用结合传统路由技术的标签转发交换技术,简化了网络的拓扑结构,优化了核心路由器的路由选择性能,缩短了数据包转发时延,还便于进行安全域内的IP地址规划。
在理论上MPLS/VPN采用路由隔离,地址隔离和信息隐藏等手段抗攻击和标记欺骗,达到了FR/ATM级别的安全性,MieEom曾经对MPLS/VPN,FR/ATM进行安全比较测试,结论是两者安全性基本等同}在BGPMPLS/VPN的RFC里,也指出了MPLS/VPN是一种安全的隔离技术,其安全性等同于FR/ATM。
图l所示为电信基于MPLs/VPN的IP承载网拓扑。
图1电信基于M|)Ls/VPN的IP承载网拓扑
根据多家运营商的实践观察,确实没有过出现运行中的个别VPN客户攻击IP承载网导致整网业务瘫痪的场景,一般MPLs/VPN内用户也很难被其他VPN用户攻击。
当然,对于MPLs/VPN隔离后的网络中PE设备存在着一定的安全隐患,如数据面的异常流量,PE设备可以通过
流量整形等控制手段来有效避免带宽资源被挤占而影响其他
万方数据
万方数据
万方数据
电信IP承载网安全防御
作者:俞正方, Yu Zheng-fang
作者单位:华为技术有限公司,广东,深圳,518129
刊名:
信息安全与技术
英文刊名:INFORMATION SECURITY AND TECHNOLOGY
年,卷(期):2010(8)
参考文献(6条)
1.孙玉电信网络安全总体防卫讨论 2008
2.周毅;郑雪峰;贾佳下一代IP承载网安全设计方案的研究和实施 2009(04)
3.吕勇浅谈广西电信承载网的构建和发展方向 2003(03)
4.高祥IPv6承载网安全部署研究[期刊论文]-无线电电子学与电信技术 2009(06)
5.李涛网络安全概论 2004
6.冯登国计算机通信网络安全 2004
本文链接:https://www.wendangku.net/doc/d45675401.html,/Periodical_xxaqyjs201008034.aspx