寬帶接入網(wǎng)絡(luò)的安全

1、寬帶接入網(wǎng)絡(luò)的安全Security of Broadband Access Networks2006-10-12作者:王德強摘要:寬帶接入網(wǎng)絡(luò)的技術(shù)發(fā)展迅速，其應(yīng)用也越來越廣泛，但是安全問題也伴隨著它的發(fā)展成為大家越來 越關(guān)心的問題。在接入網(wǎng)環(huán)境下，用戶、接入設(shè)備和網(wǎng)絡(luò)都面臨著各種威脅，特別是來自用戶側(cè)的威脅。針對當前網(wǎng)絡(luò)中出現(xiàn)的問題，可以采用端口定位、媒體訪問控制(MAC)地址防欺騙、非法業(yè)務(wù)監(jiān)測等技術(shù)和 方案加以解決。關(guān)鍵字：寬帶接入；安全；寬帶接入遠程服務(wù)；接入節(jié)點；DSL接入復(fù)用器英文摘要:The broadband access security is receiving incre

2、asing attention as the broadband access network technology is growing briskly and broadband-enabled applications become more extensive.In an open access scenario, users, access equipments and networks are confronted with all kinds of threats and challenges, especially those from users ends. Preventi

3、ve measures and solutions can be taken to unlock such challenges, which include port positioning, anti-spoofing of Media Access Control (MAC) address and monitoring of illegal services英文關(guān)鍵字:broadband access; security; broadband remote access service; access point; DSL access multiplexer最近10年，寬帶接入網(wǎng)絡(luò)在

4、全球蓬勃發(fā)展，越來越多的個人用戶和企業(yè)用戶通過寬帶接入到 Internet。同時，用戶對網(wǎng)絡(luò)性能的要求也越來越高，他們不再滿足于暢通無阻的高帶寬接入能力，逐漸 對服務(wù)的質(zhì)量提出了更高的要求。在服務(wù)質(zhì)量(QoS )中，一個重要的不能忽視的指標就是安全保證。1寬帶接入安全性問題寬帶接入網(wǎng)絡(luò)的快速發(fā)展使得寬帶用戶數(shù)成倍增加，但是也使得網(wǎng)絡(luò)遭受安全攻擊的可能性大大增 加。特別是引入以太網(wǎng)技術(shù)、IP技術(shù)后，接入網(wǎng)安全性問題日益凸現(xiàn)。因為以太網(wǎng)絡(luò)是共享式的網(wǎng)絡(luò)，它 的優(yōu)點和缺點均很明顯。當前網(wǎng)絡(luò)上很多黑客工具可以用來在以太網(wǎng)上興風作浪：監(jiān)聽他人信息、盜取業(yè) 務(wù)、發(fā)起拒絕服務(wù)(DOS)攻擊1，造成網(wǎng)絡(luò)設(shè)備癱

5、瘓。IP網(wǎng)絡(luò)因為歷史原因，最初在安全性方面的設(shè)計考 慮不多。IP網(wǎng)絡(luò)上的業(yè)務(wù)大都通過智能終端來完成，處于運營商控制范圍內(nèi)的中間設(shè)備主要的功能就是交 換，運營商對業(yè)務(wù)很難控制，這就為惡意用戶提供了開展破壞活動的空間。為提供“電信運營級”的接入網(wǎng)絡(luò)，為用戶提供安全的接入服務(wù)，檢測非法業(yè)務(wù)，保證網(wǎng)絡(luò)設(shè)備正 常運行，目前是設(shè)備提供商和電信運營商共同關(guān)注的問題2-3。目前，寬帶接入技術(shù)呈現(xiàn)多樣化趨勢，包括數(shù)字用戶線(DSL)、混合光纖/同軸電纜(HFC)、無源光網(wǎng) 絡(luò)(PON)和WiMax無線接入等，他們都具有如圖1所示的網(wǎng)絡(luò)架構(gòu)：寬帶接入網(wǎng)絡(luò)的架構(gòu)包括以下幾個組成部分：用戶自組網(wǎng)絡(luò)用戶自組網(wǎng)絡(luò)是以家庭

6、網(wǎng)關(guān)為核心組成的局部網(wǎng)絡(luò)，這個網(wǎng)絡(luò)物理上歸屬于用戶。DSL是當前最普 遍的用戶接入方式。(2 )接入節(jié)點接入節(jié)點完成用戶線纜的物理終結(jié)，或者無線信道的終結(jié)，實現(xiàn)用戶數(shù)據(jù)的匯聚，滿足高密度、多 形式的接入。接入節(jié)點最靠近用戶，是運營商網(wǎng)絡(luò)的邊緣，是安全防護的第一道門檻。在接入網(wǎng)安全問題 中，接入節(jié)點處于重要的地位。以太網(wǎng)匯聚網(wǎng)絡(luò)因為性價比突出，以太網(wǎng)受到運營商的青睞。進一步，以太網(wǎng)同時也肩負匯聚數(shù)據(jù)和網(wǎng)絡(luò)內(nèi)部數(shù)據(jù) 交換的任務(wù)。寬帶網(wǎng)絡(luò)網(wǎng)關(guān)寬帶網(wǎng)絡(luò)網(wǎng)關(guān)包括很多功能：終結(jié)以太層及其對應(yīng)的封裝、用戶認證(結(jié)合認證服務(wù)器)、用戶端自 動配置、QoS業(yè)務(wù)保證等。物理上，寬帶網(wǎng)絡(luò)網(wǎng)關(guān)可以是一個設(shè)備，也可以是

7、多個設(shè)備，執(zhí)行寬帶接入遠 程服務(wù)器、動態(tài)主機配置協(xié)議(DHCP)服務(wù)器(或DHCP中繼器)和路由器的功能。接入節(jié)點、以太匯聚網(wǎng)絡(luò)和寬帶網(wǎng)絡(luò)網(wǎng)關(guān)屬于運營商所有，這些設(shè)備或者網(wǎng)絡(luò)對運營商而言都是可 信的。用戶自組網(wǎng)絡(luò)歸用戶自己所有和使用。對運營商而言，用戶自組網(wǎng)絡(luò)是不可信的。安全威脅大都來 自不可信網(wǎng)絡(luò)內(nèi)惡意用戶或者程序的攻擊。當然，有時安全問題也產(chǎn)生于可信任域內(nèi)，比如因為設(shè)備不穩(wěn) 定等原因產(chǎn)生的安全問題。但安全問題主要還是來自不可信域?qū)尚湃斡虻陌踩{。歸納起來，接入網(wǎng)絡(luò)中主要有下面的一些安全問題：非法用戶的接入。非法報文和惡意報文發(fā)送。通過媒體訪問控制(MAC)/IP地址欺騙，如冒用MAC地

8、址或者IP地址，偷取他人的業(yè)務(wù)服務(wù)或者 造成DOS攻擊。非法業(yè)務(wù)，如開展非法的IP語音(VoIP)業(yè)務(wù)、私拉亂接用戶等。下面依次對上述問題以及與其相對應(yīng)的解決方案展開論述。2非法用戶接入非法用戶接入性質(zhì)嚴重，直接影響運營商的運營收益。如果不對用戶進行識別和認證，那么非法用 戶接入就會大量存在。用戶識別與認證技術(shù)已經(jīng)非常的成熟，基于以太網(wǎng)的點到點協(xié)議(PPPoE)、DHCP+Web和802.1x協(xié)議 等已經(jīng)被普遍使用。當前，業(yè)界關(guān)注的問題是：對用戶端口(也稱為用戶線路)的識別。在零售模式下，每 個用戶在接入節(jié)點處都有一個邏輯端口，有線環(huán)境下是硬端口，無線環(huán)境下是一個軟端口。如果認證服務(wù) 器只是通

9、過用戶名來識別用戶，那么用戶可以把自己的用戶名和密碼共享給其他用戶，其他用戶也能通過 這一邏輯端口上網(wǎng)，這是運營商不希望看到的，會造成運營商的運營收入的減少。在基于ATM的點到點協(xié)議(PPPoA)為主要接入方式時，用戶虛通道(VC)在寬帶接入遠程服務(wù)器(BRAS)上終 結(jié)，因此，用戶的端口信息直接就可以在BRAS上獲取?，F(xiàn)在，PPPoE和IPoA是主要的接入方式。在這兩 種接入方式下，物理上，用戶線路在接入節(jié)點處就被終結(jié)；VC信息要么在接入節(jié)點處終結(jié)，要么根本沒有， 因此BRAS沒有辦法直接獲取用戶的端口信息。所以，必須有一套有效的機制能夠?qū)⒔尤牍?jié)點處的用戶端口 信息傳遞給BRAS。當前，有多

10、種用戶端口(或者用戶線路)識別方案被提出來：DHCP option82 協(xié)議DHCP Option82(RFC3046)協(xié)議在DHCP(RFC2131 )的基礎(chǔ)上，對協(xié)議流程進行了擴充。接入節(jié)點需要 截獲DHCP上下行協(xié)議報文，扮演二層DHCP中繼代理的角色。上行方向，將端口信息(也就是uPortID)插 入到協(xié)議的Option82字段中；下行方向，剝離此字段信息(可選)。圖2為協(xié)議交互示意圖。PPPoE+協(xié)議PPPoE+協(xié)議又稱為PPPoE中間代理。和DHCP Option82類似，它對PPPoE協(xié)議報文進行了擴充。接 入節(jié)點截獲PPPoE搜索階段的協(xié)議報文，在上行方向插入端口信息。圖3為P

11、PPoE+協(xié)議交互示意圖。VBAS 協(xié)議VBAS協(xié)議和PPPoE+略有不同，VBAS協(xié)議修改PPPoE的流程，在用戶與BRAS協(xié)議交互中，插入BRAS客戶機與接入節(jié)點的交互，獲取端口信息。圖4為VBAS協(xié)議交互示意圖。RiiDIPDOP.BDRuFC-dlD RFQUC5TuEHD .此 KRig中目技理職場:寬壽跳入遠牡張髡囂邛E ： EE主句搜索詢蛟妄主卻慎索啟旬報交邛DE：EE主句索會話蜩帔妄Wig ：E主卻慎索提供報交哄耳于頃木畛點留點1D汝圖耳VBAS協(xié)議玄互示意圖虛擬局域網(wǎng)棧虛擬局域網(wǎng)棧(VLAN Stacking)采用雙標簽(Tag)，使用內(nèi)層VLAN來唯一標識用戶端口信息。虛擬

12、MAC虛擬媒體訪問控制(VMAC)對每個用戶數(shù)據(jù)報文的源MAC地址按照特定規(guī)則進行翻譯，翻譯后的MAC 地址包含了用戶端口信息。這樣BRAS在PPPoE協(xié)議交互時，就可以直接從源MAC地址信息中獲取用戶端口 信息。各種用戶端口識別方案的優(yōu)缺點如表1所示。甲表1各種用戶端口識別方案的憂缺點D CP 口 OlE WEPOE+,性5伽|.此T充風有忸戒，無翻外的 町臨蜘建， 理解利觀方便.也戒有一定的可/匕 可用卑控制用戶其他后 性，如口兇1用戶寺寬等.與業(yè)案不關(guān)I效具有悄強的安全d酒點常妥或時獰橋DHB麝口珍息皆式不沆一.TDSlBM，配 置裳呆，詛SD受收.只支二居ViEif劃，日時覦支胎二居詭

13、麗標笛，對沒宙段求町嫉相關(guān)住較大， 滯耍點齡t理利：虛損局嫌聊易于頃志命的點碼點10戒匚：媒體由同控制例1虹：虔報媒悻訪月控削必斗艮至匝置3非法報文和過量報文上行方向，因為用戶自組網(wǎng)絡(luò)不受控，惡意用戶或者惡意程序就可構(gòu)造非法協(xié)議報文，向上發(fā)送， 這不僅會導致網(wǎng)絡(luò)設(shè)備處理性能下降，有時還造成網(wǎng)絡(luò)設(shè)備系統(tǒng)紊亂甚至死機。另外，如果惡意用戶或者 程序過量地上行發(fā)送協(xié)議、廣播報文，無論是合法還是非法，同樣會造成系統(tǒng)設(shè)備性能明顯下降，因為協(xié) 議、廣播等報文的處理非常消耗設(shè)備資源。下行方向，盡管處于可控的網(wǎng)絡(luò)域內(nèi)，但是因為設(shè)備自身穩(wěn)定性問題，以及網(wǎng)絡(luò)復(fù)雜性問題，也可 能會出現(xiàn)非法或者過量報文發(fā)送，也需要進行

14、防范。非法報文包括：非法源MAC地址報文。源MAC地址不能是廣播或者組播地址，因為有些MAC地址已經(jīng)被標準組織 所預(yù)留，不能被普通用戶使用。非法協(xié)議報文。從理論上分析，互聯(lián)網(wǎng)組管理協(xié)議(IGMP)上行方向不可能有詢問(Query)報文，下行方向不可能有報告/離開/加入(Report/Leave/Join)報文；DHCP協(xié)議上行不可能出現(xiàn)提供/確認 (OFFER/ACK)報文，下行不可能出現(xiàn)發(fā)現(xiàn)/請求(DISCOVER/REQUEST)報文；PPPoE協(xié)議上行不會有PADO和PADS 報文，下行不會有PADI和PADR報文。根據(jù)需要，對這些報文都要攔截過濾。超長報文、超短報文或者校驗錯報文，如低

15、于64字節(jié)的報文或者大于1 518字節(jié)的報文。特定 情況下，超長報文是允許的。對于非法報文，一般的技術(shù)是使用過濾器來過濾丟棄這些報文。過濾器的基本原理是，根據(jù)用戶定 義的被過濾數(shù)據(jù)報文的特征，匹配數(shù)據(jù)報文。如果符合預(yù)定義的特征，那么過濾掉該報文。當前的交換芯 片大都具備報文特征提取和匹配功能，可以完成數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層甚至更高層數(shù)據(jù)報文特征信息的提取 和匹配。過量報文類型一般分成以下幾類：過量的協(xié)議報文過量的廣播報文過量的組播報文過量不同源MAC地址的報文前面3種過量報文會大量吞噬設(shè)備處理資源，第4種會占用交換芯片有限的MAC地址表資源，都需 要進行控制。前3種過量報文的處理步驟為：匹配特定類

16、型的報文，特征是：特定的協(xié)議報文、廣播報力或者某 種更具體特征的廣播報文)、組播報文(或者某種更具體特征的組播報文)；統(tǒng)計此類報文的發(fā)送速率；如果 發(fā)送速率超過預(yù)定義的速率，拋棄報文。處理過量協(xié)議、廣播和組播報文的技術(shù)又被稱為報文抑制。解決過量源MAC地址問題比較簡單：可設(shè)定用戶側(cè)端口 MAC地址個數(shù)的上限。這樣，一旦端口達到 預(yù)定義的MAC地址個數(shù)，后續(xù)帶有新MAC地址的報文一律被丟棄。非法報文和過量報文的處理在接入網(wǎng)絡(luò)的各個層次都需要處理，但是對于接入節(jié)點，因為其在接入 網(wǎng)中的位置，上述功能的實現(xiàn)尤其顯得重要。4 MAC/IP地址欺騙MAC/IP地址欺騙是非常嚴重的安全威脅。MAC地址欺騙

17、的本質(zhì)是會出現(xiàn)MAC地址重復(fù)，造成交換芯片MAC地址學習遷移，部分用戶無法上網(wǎng)。MAC地 址欺騙可以分成下面兩種類型：用戶的MAC地址欺騙。上游網(wǎng)絡(luò)業(yè)務(wù)服務(wù)器(如BRAS、DHCP服務(wù)器/中繼、默認網(wǎng)關(guān)等)的MAC地址欺騙。因為以太網(wǎng)自身的特點，MAC地址信息都是公開的，通過掃描工具，用戶可以較容易地獲取其他用戶的MAC 地址信息。如果相同的MAC地址出現(xiàn)在設(shè)備的不同用戶端口上，就會造成MAC地址學習發(fā)生紊亂，導致用 戶無法上網(wǎng)。為了增強安全性，在接入網(wǎng)絡(luò)，一般要求在接入節(jié)點處實現(xiàn)用戶端口隔離：在同一個VLAN下的用戶 之間相互不能通信，而只能和上行匯聚端口互通。用戶端口隔離可以通過私有虛擬局

18、域網(wǎng)(PVLAN)技術(shù)來實 現(xiàn)。不是所有的交換芯片都支持PVLAN的功能，即使支持PVLAN的功能，也有可能因為設(shè)備MAC地址設(shè) 置不當造成MAC地址重復(fù)問題，或者用戶通過其他渠道獲得其他用戶的MAC(比如“暴力”MAC嘗試)。PVLAN 技術(shù)本身不足以完全解決用戶側(cè)MAC地址欺騙問題。解決用戶側(cè)MAC地址欺騙，有如下解決方法：VMAC在接入節(jié)點處，在上行方向，給每個物理端口，MAC分配或者生成一個獨一無二的VMAC地址。被解釋以后的MAC地址因為是設(shè)備自己產(chǎn)生的，因此是可信的，而且確保不會出現(xiàn)用戶側(cè)MAC 地址重復(fù)的現(xiàn)象。使用VMAC地址代替報文的源MAC地址。下行方向，根據(jù)VMAC查找到對

19、應(yīng)的原始的MAC 地址，然后使用原始MAC地址代替VMAC地址。VMAC不僅僅可用來防止用戶MAC地址欺騙，還可防止對業(yè) 務(wù)服務(wù)器MAC地址的欺騙，并且也可以用于用戶端口識別。缺點是影響與MAC地址相關(guān)的協(xié)議，處理復(fù)雜。MAC地址綁定。將MAC地址靜態(tài)綁定到用戶端口，如果數(shù)據(jù)報文的源MAC地址和綁定的MAC地址 不同，則地址被丟棄。此方法雖簡單，但是可用性差。用戶自組網(wǎng)絡(luò)的MAC地址千差萬別，而且個數(shù)也不 確定，如果采用靜態(tài)綁定，很難管理?；赑PPoE會話(Session)感知的數(shù)據(jù)報文轉(zhuǎn)發(fā)，應(yīng)用于PPPoE接入環(huán)境。每個用戶都對應(yīng)唯一 的PPPoE會話標識(SessionlD)?？梢栽诮尤?/p>

20、節(jié)點上記錄一張PPPoE_SessionID，端口表，上行直接匯聚， 下行可以查看該表來進行數(shù)據(jù)轉(zhuǎn)發(fā)。這樣，數(shù)據(jù)報文的轉(zhuǎn)發(fā)完全可以不使用MAC地址，也就不需要學習， 從而也就不存在MAC地址重復(fù)問題?；贗P感知的數(shù)據(jù)報文轉(zhuǎn)發(fā)。應(yīng)用于IPoE的接入環(huán)境。在接入節(jié)點上，建立一張IP，端口 表，因為IP是唯一的，所以不會存在IP重復(fù)的現(xiàn)象，數(shù)據(jù)報文下行轉(zhuǎn)發(fā)沒有問題。和基于PPPoE Session 的數(shù)據(jù)報文轉(zhuǎn)發(fā)一樣，接入節(jié)點上也不需要MAC地址學習。上述3、4兩種處理方法對接入節(jié)點歸屬的VLAN有一定的要求。如果一個接入節(jié)點屬于一個唯一的 VLAN，那么只要接入節(jié)點按照上述要求轉(zhuǎn)發(fā)數(shù)據(jù)報文即可。

21、如果多個接入節(jié)點屬于一個VLAN，那么需要保 證匯聚這些接入節(jié)點的交換機也要按照上述的要求轉(zhuǎn)發(fā)下行數(shù)據(jù)報文。利用PPPoE Session或者IP感知的 方式和傳統(tǒng)的二層交換機的轉(zhuǎn)發(fā)機制有質(zhì)的不同，一般的交換芯片難以實現(xiàn)，而且只解決特定類型接入的 MAC地址重復(fù)問題。優(yōu)點是不用修改數(shù)據(jù)報文，不會影響其他協(xié)議。業(yè)務(wù)服務(wù)器的MAC地址欺騙將會使得網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)服務(wù)器MAC地址學習發(fā)生遷移，從而造成設(shè)備下的部 分用戶無法上網(wǎng)。業(yè)務(wù)服務(wù)器MAC地址防欺騙可以使用下面的技術(shù)來解決：VMAC使用VMAC可以解決各種接入環(huán)境下的業(yè)務(wù)服務(wù)器MAC欺騙。業(yè)務(wù)服務(wù)器MAC地址靜態(tài)配置手動將業(yè)務(wù)服務(wù)器的MAC配置到

22、接入節(jié)點交換芯片的靜態(tài)MAC地址表上，這樣業(yè)務(wù)服務(wù)器MAC地址 學習就不會發(fā)生遷移。這個方法雖然簡單，但靈活性和擴充性都很差。業(yè)務(wù)服務(wù)器MAC地址自動配置這是本文提出的一種解決業(yè)務(wù)服務(wù)器MAC地址欺騙的方法?；舅枷胧?，讓接入節(jié)點充當PPPoE或 者DHCP客戶端，定期發(fā)起PPPoE或者DHCP請求，這樣就可以動態(tài)地獲取BRAS和DHCP服務(wù)器/中繼的MAC 地址。其優(yōu)點非常明顯：可利用現(xiàn)有協(xié)議，不用手動配置，不修改數(shù)據(jù)報文，不影響其他協(xié)議。IP欺騙存在于IPoE接入場景下，冒用他人IP地址，盜取服務(wù)，或者沒有通過DHCP獲得配置信息 的情況下接入網(wǎng)絡(luò)，妨礙了運營商的統(tǒng)一管理。解決這個問題需要

23、在接入節(jié)點上實現(xiàn)“ DHCP IP源警衛(wèi)”， 監(jiān)聽來往于用戶和DHCP服務(wù)器/中繼的協(xié)議報文，在用戶沒有獲取配置信息以前，除了 DHCP協(xié)議報文，其 他上行報文統(tǒng)統(tǒng)拋棄。一旦監(jiān)聽到DHCP ACK報文，就綁定分配的IP，用戶MAC到用戶端口，使能上行數(shù) 據(jù)報文的發(fā)送，同時保證上行數(shù)據(jù)報文的IP，MAC和綁定的分配的IP，用戶MAC一致。在DHCP租用到 期后，取消這種捆綁，并停止上行非DHCP協(xié)議報文發(fā)送。5非法業(yè)務(wù)經(jīng)過多年的接入網(wǎng)絡(luò)建設(shè)，對于運營商而言，接入帶寬已經(jīng)不是主要的問題。當務(wù)之急，一是在現(xiàn) 有網(wǎng)絡(luò)的基礎(chǔ)上，提供盡可能多的業(yè)務(wù)，改變目前僅靠接入和帶寬盈利的模式，改變粗放式的經(jīng)營路線；

24、 另一個就是控制目前在已有網(wǎng)絡(luò)中存在的非法業(yè)務(wù)。所謂的非法業(yè)務(wù)是從運營商的角度來判定的一些目前網(wǎng)絡(luò)上存在的部分數(shù)據(jù)服務(wù)。非法業(yè)務(wù)形式多 種多樣，下面僅是其中幾例：P2P流下載。P2P流下載能大量吞噬寶貴的網(wǎng)絡(luò)帶寬，影響用戶上網(wǎng)。VoIP。VoIP分流運營商已有的公共交換電話網(wǎng)(PSTN)業(yè)務(wù)，可能嚴重損害其業(yè)務(wù)收益。用戶側(cè)私拉亂接。寬帶用戶以個人的身份申請業(yè)務(wù)，但給企業(yè)或黑網(wǎng)吧使用，或與其他家庭共用 寬帶，從而損害運營商的業(yè)務(wù)收益。不同于前面幾節(jié)的安全問題，非法業(yè)務(wù)具有非常復(fù)雜的業(yè)務(wù)特征，不可能通過簡單的特征提取方法 來判定某數(shù)據(jù)報文是否屬于非法業(yè)務(wù)的報文。為了檢測出某條數(shù)據(jù)流是否是非法業(yè)務(wù)，需要對數(shù)據(jù)流進行 深度智能分析，依據(jù)預(yù)定義的特征信息庫，對數(shù)據(jù)流匹配才能判定。用戶私拉亂接現(xiàn)象一般發(fā)生在用戶使用具有網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能的設(shè)備和接入節(jié)點對接情況下， 上行數(shù)據(jù)報文從表面看起來好像從一個用戶發(fā)出的一