基于宽带接入的局域网安全问题分析

摘 要:随着宽带接入网络的技术发展迅速,在接入网环境下,用户、接入设备和网络都面临着各种威胁,特别是来自用户侧的威胁。文章就宽带接入的局域网过程中常出现的问题,结合实际生活中用户的实际要求和已有的解决方案进行归纳和总结,重点针对用户端口定位技术方案做了介绍和分析。

关键词:宽带接入 安全 网络攻击 接入节点 VBAS

中图分类号:TP39文献标识码:A 文章编号:1007-3973 (2010) 03-046-02

1引言

宽带接入网络在全球不断蓬勃发展,越来越多的个人用户和企业用户通过宽带接入到Internet上。用户对网络性能的要求不再满足于高带宽接入能力,而对服务质量提出了更高要求。在服务质量(QOS)中,一个重要的指标就是安全保证,用户局域网内部的不安全因素远比外部危害更恐怖。归纳起来,接入网络中主要有下面的安全问题:非法用户的接入;非法报文和恶意报文发送;通过媒体访问控制(MAC)/IP地址欺骗,如冒用MAC地址或者IP地址,偷取他人的业务服务或者造成DOS攻击;非法业务,如开展非法的IP语音(VoIP)业务、私拉乱接用户等。作为网络安全防范的源头,如何阻止非法用户接入网络、限制用户的安全行为、加强内部用户的网络接入控制已成为各个部门建立信息网络安全防御体系必须重点考虑的问题。

2入侵层次的划分及其对策

2.1敏感层的划分

使用敏感层的概念来划分标志攻击技术所引起的危险程度:

(1)邮件炸弹攻击(emailbomb)(layer1)

(2)简单服务拒绝攻击(denial of service)(layer1+)

(3)本地用户获得非授权读访问(layer2)

(4)本地用户获得他们非授权的文件写权限(layer3)

(5)远程用户获得非授权的账号(layer3+)

(6)远程用户获得了特权文件的读权限(layer4)

(7)远程用户获得了特权文件的写权限(layer5)

(8)远程用户拥有了根(root)权限(黑客已攻克系统)(layer6)

2.2不同层次的相应对策

根据遭受的攻击的不同层次,应采取不同的对策:第一层:处于第一层的攻击基本上应互不相干,第一层的攻击包括服务拒绝攻击和邮件炸弹攻击。邮件炸弹的攻击还包括登记列表攻击。对付此类攻击的最好的方法是对源地址进行分析,把攻击者使用的主机(网络)信息加入inetd.sec的拒绝列表中,使攻击者网络中所有的主机都不能对自己的网络进行访问外。此类型的攻击只会带来相对小的危害,但具备有限的经验和专业知识就能进行此类型的攻击,发生的频率很高。

第二层和第三层:这两层的攻击的严重程度取决于那些文件的读或写权限被非法获得。对于isp来说,最安全的办法是将所有的shell账户都集中到某一台(或几台)主机上,只有它们才能接受登录,这样可以使得管理日志,控制访问,协议配置和相关的安全措施实施变得更加简单。另外,还应该把存贮用户编写的cgi程序的机器和系统中的其它机器相隔离。

第四层:该层攻击涉及到远程用户如何获取访问内部文件的权利。其起因大多是服务器的配置不当,cgi程序的漏洞和溢出问题。

第五层和第六层:只有利用那些不该出现却出现的漏洞,才可能出现这种致命的攻击。

出现第三、四、五层的攻击表明网络已经处于不安全状态之中,安全管理员应该立即采取有效措施, 保护重要数据, 进行日志记录和汇报,同时争取能够定位攻击发起地点:

(1)将遭受攻击的网段分离出来,将此攻击范围限制在小的范围内;

(2)记录当前时间,备份系统日志,检查记录损失范围和程度;

(3)分析是否需要中断网络连接;

(4)让攻击行为继续进行;

(5)如果可能,对系统做0级备份;

(6)将入侵的详细情况逐级向主管领导和有关主管部门汇报,如果系统受到严重破坏,影响网络业务功能,立即调用备件恢复系统;

(7) 对此攻击行为进行大量的日志工作;

(8) (在另一个网段上)竭尽全力地判断寻找攻击源。

3宽带接入的安全性问题分析

针对宽带接入的安全性问题人们已经提出了许多相关的解决方案,如:端口定位、媒体访问控制(MAC)地址防欺骗、非法业务监测等技术。

3.1非法用户的接入

用户识别与认证技术已经非常的成熟,基于以太网的点到点协议(PPPoE)、DHCP+Web和802.1X协议等被普遍使用,必须考虑对用户端口(也称为用户线路)的识别。在零售模式下,每个用户在接入节点处都有一个逻辑端口,有线环境下是硬端口,无线环境下是一个软端口。如果认证服务器只是通过用户名来识别用户,那么用户可以把自己的用户名和密码共享给其他用户,其他用户也能通过这一逻辑端口上网,会造成运营商的运营收入的减少。在基于ATM的点到点协议(PPPoA)为主要接入方式时,用户虚通道(VC)在宽带接入远程服务器(BRAS)上终结,用户的端口信息直接就可以在BRAS上获取。在PPPoE和IPoA两种接入方式中,物理上,用户线路在接入节点处就被终结;VC信息要么在接入节点处终结,要么根本没有,因此BRAS没有办法直接获取用户的端口信息。必须有一套有效的机制能够将接入节点处的用户端口信息传递给BRAS。目前,用户端口(或者用户线路)识别方案主要有以下几种:VBAS协议;虚拟局域网栈;DHCP option82协议; PPPoE+协议; 虚拟MAC。

3.2各种用户识别方案的优缺点对比

解决IPDSLAM用户端口定位问题,可总结以下几种具备了可行性且已运用于现在的网络中的几种接入方式,优缺点对比如下:

4 宽带接入的安全性问题解决方案

为有效的防止黑客的攻击以及病毒的入侵,使用户的信息和数据得到安全可靠的保护,采用端口定位、媒体访问控制防欺骗、对非法业务进行检测等技术。从不同的角度,根据不同用户的需求来制定方案,虽然在一定程度上解决部分用户的需求,但是也都存在局限性:

(1)端口定位方案是宽带接入局域网安全的关键技术之一,是针对非法用户的接入有效的方案,其中基于以太网的点到点交互协议运用得也十分的广泛,但是要求DSLAM实现对协议报文的修改、对用户的其他管理和控制属性扩展性较差;DHCP Option 82协议具有相似的缺点;虚拟宽带接入服务器虽然其复杂性相对较低但其组网复杂,要统一规划虚拟局域网栈,并且一个用户的虚拟局域网栈(VLAN)对应一个数字用户接入复用器(DSLAM);虚拟局域网栈协议没有交互过程不需配置,但其两层VLAN必须统一规划,对设备的要求较高,其报文有可能造成分片和重组;虚拟媒体访问控制(VMAC)技术其运用也有很大的局限性,其MAC地址的修改涉及到设备硬件修改,较为复杂。如果能将这几种方案归结起来,找出一种无需配置、能扩充、不易造成分片或重组,与业务无关联,能够独立完成信息交互的协议则可以为局域网的接入带来更安全更便捷的接入方式。

(2)对于非法报文主要是使用过滤器来过滤丢弃报文。根据不同的过量报文采取不同的解决方法,对于过量协议、广播和组播报文则通过报文抑制的技术来抛弃报文,而对于像处理过量源MAC地址的报文,则通过设定用户侧端口MAC地址的个数的上限来丢弃报文。这些方法能解决非法和过量报文的问题,但在处理之前就已经对网络造成了威胁,使系统的性能下降,消耗了资源。因此在接入网络中的每一层都要进行处理,这样又增加了网络设备的复杂性。如果能在网络的接入节点处设置一种十分有效的方案来过滤或者丢弃报文,使得报文在还未真正进入用户侧的时候就已经被处理,能更好的保护用户的信息安全。

(3)MAC/IP地址欺骗是很严重的安全威胁,用户端口隔离可在一定的程度上解决这类威胁,可并不是所有的MAC地址欺骗都能解决,如用户侧MAC地址欺骗。用户侧MAC地址欺骗可采取复杂的虚拟MAC的方法来解决。MAC地址绑定也可解决用户侧MAC地址欺骗问题,这个方法简单,但是可用性差。还有的方法就是数据报文转发,有基于PPPoE会话感知的数据报文转发有基于IP感知的数据报文转发,但该方法只解决了MAC地址重复的问题,对于业务服务器的MAC地址欺骗问题则又要采用其他的技术来解决。

(4)非法业务这一问题是从运营商的角度出发而提出的。非法业务检测将成为接入网络安全研究的一个重要方向,因为该技术具有智能化的趋势,它的回报很高,可为运营商创造出很高的附加值。

5总结

网络安全是一个系统工程,不是单一的产品或技术可以完全解决的。如何有效的防止外来的入侵使用户的安全得到最好的保护,维护用户的最大利益。如今人们可以通过端口定位、媒体访问控制(MAC)地址防欺骗、非法业务监测等技术和方案加以解决。这些方案已经可以在一定程度上很有效的解决了宽带接入的安全隐患问题。但是还是有许多不足之处,各种技术一直都在不断的完善中,宽带接入局域网的安全将会得到进一步的发展。

参考文献:

[1]Shen W,Norrie D H.Dynamic manufacturing scheduling using both functional and resource related agents,Integrated Computer-Aided Engineering.2001,08.

[2] Merike Kaeo.网络安全设计(Design of network safety)[M].北京:人民邮电出版社,2000.

[3]王德强.宽带接入网络的安全[J].中兴通讯技术,2006年10月.第12卷第5期.

[4] 赵小林,高虹.网络管理技术教程[M].国防工业出版社,2002.

[5]冯登国.计算机通信网安全[M].清华大学出版社,2001.