简论大型电信网络的安全设计(7.3).doc

电信骨干网的安全设计摘要：随着信息技术在我国的广泛运用，信息系统已经成为金融、交通、能源等基础设施的神经中枢，电信网已经和电力设施一样，成为所有基础设施的基础之一。电信网的安全状况直接影响这些基础设施的正常运行。电信网一旦出现重大事故，将可能严重影响国民经济发展和社会稳定。随着信息化的进一步推进，社会对电信网的依赖性还会越来越强。因此，我们应该重点关注电信网的安全问题，研究采取应对措施，做到未雨绸缪。关键词：电信网、安全、协议、设计正文：关于电信级网络的安全设计主要有以下几方面：1. 协议的安全性在网络中运行着很多网络协议，包括路由协议和各种为上层应用服务的广域网，局域网络协议等，路由器上也存在着很多服务，有些服务是网络运行所必需的，必须打开它，而有些服务是对网络运行无关紧要或无用的，可以关闭。正是这些网络协议或服务，确保了网络系统的正常运行，因此，我们首先应确保这些网络协议或服务的安全性。1.1应用服务协议的安全对这些路由协议和各种上层应用服务的协议，我们应区别对待。首先，对于网络运行所必需的协议，如路由协议等，我们不但应正常运行，而且必须加以保护，以防止非法路由器加入或伪造的路由信息，系统如何能够鉴别出哪些路由信息是可靠的呢，就必须采用一些加密技术或邻机校验方法，以完成认证，对于网络运行无关紧要或无用的协议，则应严格限制或关闭，而对于对网络运行有危害或本身有安全缺陷的协议，则应关闭，例如finger等。对于具体网络环境，采用以下命令关闭一些应用或服务：#禁用Http服务器no ip http-server #禁用finger服务no ip fingerno service finger#禁用X.25 PADno service pad#禁用小堆UDP包服务 no service udp-small-servers#禁用小堆TCP包服务no service tcp-small-servers#禁用 BOOTP服务no ip bootp server#禁用IP源路由，防止路由欺骗no ip source routing在具体网络接口下，可关闭以下一些服务：#禁用IP重定向no ip redirects#禁用IP重定向no ip directed-broadcast#禁用代理ARP，防止引起路由表混乱no ip proxy-arp#禁用IP地址不可达消息no ip unreachable#禁用CDP发现no cdp enable#打开IP单播反向路径的校验,防止IP地址欺骗ip verify unicast reverse-path同时，为增强安全性，应打开以下一些标记时间和密码加密，设置系统LOG功能等的服务，：#对debug的调试信息进行记录，并采用日期时间(精确到毫秒)的格式记录service timestamps debug datetime msec#对系统日志进行记录，并采用日期时间(精确到毫秒)的格式记录service timestamps log datetime msec#对用户级密码进行加密显示service password-encryption#在设备上定义日志缓存大小logging buffered 16384 debugging #对debugging及以上等级的所有事件进行记录logging trap debugging #使对loopback0接口向syslog服务器发送日志消息 logging source-interface Loopback0#定义syslog服务器的IP地址，并向它发送日志logging 01.2路由协议的安全在路由协议安全性方面，我们可以采用路由器邻居相互校验，校验方式可以是明码方式或MD5加密方式，对于OSPF可采用MD5校验方式，也可以采用明码方式。通过明码或MD5加密方式校验，可以确保只有通过认证的路由器才能加入到该OSPF网络中，从而能够避免非法的路由器或伪造的路由信息加入到网络中，使路由出错，导致网络瘫痪。OSPF 认证,需要在路由器配置模式和接口配置模式配置认证，指定“message-digest参数进行MD5认证，如果在路由器配置模式指定了MD5认证，则必须在接口上也定义MD5认证。OSPF的adjacency之间的认证方式和密码必须相同。路由器配置模式定义area authentication message-digest接口配置模式定义#启用OSPF认证，或MD5认证ip ospf authentication message-digest 定义明文认证密码ip ospf authentication-key 定义MD5认证密码,取值范围1255ip ospf message-digest-key md5 1.3网管SNMP的安全性SNMP是另一种访问网络设备的方式。使用SNMP，你可以收集网络设备的状态，配置网络设备。Get-request、get-next-request消息用来 收集状态信息，set-request消息用来配置网络设备。在每台路由器都要 配置community string，每一个SNMP消息都有一个community string来进 行校验，每个网络设备的SNMP代理上可以进行配置不同的community string来进行读模式和写模式的访问。SNMPv1的community string是采用 明文方式传输的，SNMPv2的community string采用MD5来进行加密，同时SNMP可以和访问列表结合起来，使指定的IP地址或端口才可以访问到网管信息,支持基于用户名和组的认证方式。#激活SNMP并定义SNMP字串snmp-server community readonly RO 98 snmp-server community readwrite RW 98#下列4行只有当需要向SNMP服务器发送SNMP字串的时候才需要配置#定议SNMP监听字串的源接口snmp-server trap-source Loopback0 #对SNMP的字串进行认证snmp-server trap-authentication#指定SNMP服务器的主机地址和SNMP字串值snmp-server host readonlysnmp-server host readwrite#定义ACL以允许特定的SNMP服务器access-list permit access-list permit access-list deny any同时，我们也可以用snmp-server enable traps命令来打开所需要 的Trap功能，未被该命令所明确的功能则被屏蔽掉。1.3.1双机热备份协议(HSRP)的安全双机热备份路由协议(HSRP)提供了一个虚拟网关给接入端用户，当HSRP活动路由器当机、上联或下联链路中断时，同一组中的HSRP路由器便自动选举出一台新的HSRP活动路由器，用户端均可以通过这台新的活动路由器访问外部网络。并且用户端始终使用同一个HSRP组提供的虚拟网关，无需更改用户端的IP地址配置，网络的中断或恢复中的一切行为，对用户端是透明的。保证了网络的稳定性和可靠性。HSRP活动路由器的选举条件为：根据同一HSRP组中的优先级和IP地址来选举活动路由器，最高优先级的路由器被选举为活动路由器，如果同一组中存在多台路由器，并且优先级相同，则最高IP的被选举为活动路由器。然而一在个不安全的网络环境中，某些不良分子则利用HSRP协议的选举条件配置一台不合法的HSRP路由器，使之胜出选举而破坏了原有HSRP组的路由环境而致使网络中断。根据这一情况，Cisco在设计HSRP时采用了HSRP组的认证，只有具有相同认证密鈅的路由器才能加入到这个合法的HSRP组中，才有资格进行HSRP的选举，这就保证了HSRP网络的稳定性和安全性。配置HSRP组认证时，在HSRP组配置模式下添加下列语句：standby authentication 1.3.2网络时间协议(NTP)的安全网络时间协议(NTP)用于全网的时间同步控制，为syslog日志记录提供准确的时间(精确到毫秒)，为网络管理员有效地管理整个网络提供了良好的工具。为了给网络上的路由交换设备提供有效安全的时间服务，只允许通过认证的NTP客户端才为其提供时间同步服务，Cisco在其NTP协议上添加了认证功能。在配置NTP认证时主要有以下几条命令： #启用NTP认证功能 ntp authenticate #设置NTP认证密码，并启用MD5加密ntp authentication-key md5 #设置NTP信任键 ntp trusted-key #设置NTP服务范围的主机ntp access-group peer 另外在NTP客户端还需指定NTP服务器的IP地址及密鈅号 ntp server key 1.4设备的安全性对网络设备的访问与配置，主要有以下两种方式：控制口console的控制和远程登录telnet 的控制。1.4.1端口console的控制控制口（console）是完成网络设备最初是配置的，它一般用来直接连接一个终端，另外，AUX口作为辅助。通常，采用密码校验来控制用户访问console口，缺省设置是不需要密码就可以访问。我们可以通过以下方法来控制console口的安全：用户模式密码（只能用一些查看设备状态的命令）;特权模式密码（能使用所有命令查看设备状态和配置设备）会话超时（console口没有使用一段时间后自动断开）;密码加密（将密码以加密的格式保存）;同时，可以和访问列表结合，以保证只有合法的地址才能访问设备，对于具体网络环境，本方案建议采用以下一些命令来加强安全性,其中exec-timeout命令用来设置会话超时，access-class用来设置合法的IP地址访问列表，login authentication用来和 TACACS 或RADIUS结合实现集中认证：下列举出使用TACACS+认证方式的console端口配置方法line con 0exec-timeout 5 0access-class 3 inlogin authentication String #定义ACL以允许特定的主机进行Console登录access-list 3 permit 55 access-list 3 deny any1.4.2远程登录telnet 的控制通过telnet到网络设备上，我们可以进入用户模式和特权模式，完成查看和配置设备的全部功能，一般的网络设备同时可以有几个虚拟终端口用来远程登陆。我们用上面提到的控制console口的方法来控制telnet的安全，还可以用访问列表来限制远程登陆的主机，还可以通过设置TCP端口来控制远程登陆的权限。以上的方法都只有密码验证，没有用户名验证，我们还可以用终端访问控制器访问控制系统（TACACS）来进行分用户管理telnet的访问权限，与console口控制类似，我们可以采用下面一些命令来加强telnet的管理其中exec-timeout命令用来设置会话超时， access-class用来设置合法的IP地址，login authentication用来和 TACACS 或RADIUS结合实现集中认证： line vty 0 4 access-class 3 in exec-timeout 5 0 login authentication String transport preferred none!#定义ACL以允许特定的主机进行VTY访问access-list 3 permit 55access-list 3 deny any1.4.3设备间发现控制(CDP)CDP(Cisco Discovery Protocol)Cisco发现协议是Cisco公司开发的专用于Cisco设备间发现并查看对端设备信息的二层协议，并按一定的周期进行更新所发现的信息。使用cdp run命令打开CDP功能（缺省打开），使用cdp timer 及cdp holdtime命令更改CDP的轮询周期时间和信息保持时间，缺省timer为60秒，holdtime时间为180秒。使用show cdp neighbor可以看到对端所连接Cisco设备名称、平台、型号、互联接口及CDP保持时间。使用show cdp neighbor detail命令可以看到除以上信息外，还可以看到对端设备的版本号和接口IP地址。在大型电信网络的项目实施中，对所有网络设备互联接口上启用CDP发现功能，对于连接客户终端主机的端口的CDP功能进行关闭。以避免对外发送或接收无效及不安全的CDP二层信息，保证网络的稳定和安全。1.5系统日志(Syslog)的安全网络安全管理中，对系统日志的管理是其中非常重要的，一个网络管理得好坏，与对该网络日志管理情况有着直接的关系，从安全管理角度考虑，建议对网络的warning及以上等级的系统日志进行分类采集，并发送到syslog服务器上进行统一管理。由网管理员定时、定期地对日志进行分析。1.6其它安全设置路由器其他安全配置 1). 及时的升级IOS软件，并且要迅速的为IOS安装补丁。 2). 要严格认真的为IOS作安全备份。 3). 要为路由器的配置文件作安全备份。 4). 购买UPS设备，或者至少要有冗余电源。 5). 要有完备的路由器的安全访问和维护记录日志。 6). 要严格设置登录Banner。必须包含非授权用户禁止登录的字样。 7). IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址；回环地址(/；RFC1918私有地址；DHCP自定义地址(/16)；科学文档作者测试用地址(/24)；不用的组播地址(/4)；SUN公司的古老的测试地址(/24; /23 )； 全网络地址(/)。 8). 建议采用访问列表控制流出内部网络的地址必须是属于