宽带接入网络的安全

1、宽带接入网络的安全Security of Broadband Access Networks2006-10-12作者:王德强摘要:宽带接入网络的技术发展迅速，其应用也越来越广泛，但是安全问题也伴随着它的发展成为大家越来 越关心的问题。在接入网环境下，用户、接入设备和网络都面临着各种威胁，特别是来自用户侧的威胁。针对当前网络中出现的问题，可以采用端口定位、媒体访问控制(MAC)地址防欺骗、非法业务监测等技术和 方案加以解决。关键字：宽带接入；安全；宽带接入远程服务；接入节点；DSL接入复用器英文摘要:The broadband access security is receiving incre

2、asing attention as the broadband access network technology is growing briskly and broadband-enabled applications become more extensive.In an open access scenario, users, access equipments and networks are confronted with all kinds of threats and challenges, especially those from users ends. Preventi

3、ve measures and solutions can be taken to unlock such challenges, which include port positioning, anti-spoofing of Media Access Control (MAC) address and monitoring of illegal services英文关键字:broadband access; security; broadband remote access service; access point; DSL access multiplexer最近10年，宽带接入网络在

4、全球蓬勃发展，越来越多的个人用户和企业用户通过宽带接入到 Internet。同时，用户对网络性能的要求也越来越高，他们不再满足于畅通无阻的高带宽接入能力，逐渐 对服务的质量提出了更高的要求。在服务质量(QoS )中，一个重要的不能忽视的指标就是安全保证。1宽带接入安全性问题宽带接入网络的快速发展使得宽带用户数成倍增加，但是也使得网络遭受安全攻击的可能性大大增 加。特别是引入以太网技术、IP技术后，接入网安全性问题日益凸现。因为以太网络是共享式的网络，它 的优点和缺点均很明显。当前网络上很多黑客工具可以用来在以太网上兴风作浪：监听他人信息、盗取业 务、发起拒绝服务(DOS)攻击1，造成网络设备瘫

5、痪。IP网络因为历史原因，最初在安全性方面的设计考 虑不多。IP网络上的业务大都通过智能终端来完成，处于运营商控制范围内的中间设备主要的功能就是交 换，运营商对业务很难控制，这就为恶意用户提供了开展破坏活动的空间。为提供“电信运营级”的接入网络，为用户提供安全的接入服务，检测非法业务，保证网络设备正 常运行，目前是设备提供商和电信运营商共同关注的问题2-3。目前，宽带接入技术呈现多样化趋势，包括数字用户线(DSL)、混合光纤/同轴电缆(HFC)、无源光网 络(PON)和WiMax无线接入等，他们都具有如图1所示的网络架构：宽带接入网络的架构包括以下几个组成部分：用户自组网络用户自组网络是以家庭

6、网关为核心组成的局部网络，这个网络物理上归属于用户。DSL是当前最普 遍的用户接入方式。(2 )接入节点接入节点完成用户线缆的物理终结，或者无线信道的终结，实现用户数据的汇聚，满足高密度、多 形式的接入。接入节点最靠近用户，是运营商网络的边缘，是安全防护的第一道门槛。在接入网安全问题 中，接入节点处于重要的地位。以太网汇聚网络因为性价比突出，以太网受到运营商的青睐。进一步，以太网同时也肩负汇聚数据和网络内部数据 交换的任务。宽带网络网关宽带网络网关包括很多功能：终结以太层及其对应的封装、用户认证(结合认证服务器)、用户端自 动配置、QoS业务保证等。物理上，宽带网络网关可以是一个设备，也可以是

7、多个设备，执行宽带接入远 程服务器、动态主机配置协议(DHCP)服务器(或DHCP中继器)和路由器的功能。接入节点、以太汇聚网络和宽带网络网关属于运营商所有，这些设备或者网络对运营商而言都是可 信的。用户自组网络归用户自己所有和使用。对运营商而言，用户自组网络是不可信的。安全威胁大都来 自不可信网络内恶意用户或者程序的攻击。当然，有时安全问题也产生于可信任域内，比如因为设备不稳 定等原因产生的安全问题。但安全问题主要还是来自不可信域对可信任域的安全威胁。归纳起来，接入网络中主要有下面的一些安全问题：非法用户的接入。非法报文和恶意报文发送。通过媒体访问控制(MAC)/IP地址欺骗，如冒用MAC地

8、址或者IP地址，偷取他人的业务服务或者 造成DOS攻击。非法业务，如开展非法的IP语音(VoIP)业务、私拉乱接用户等。下面依次对上述问题以及与其相对应的解决方案展开论述。2非法用户接入非法用户接入性质严重，直接影响运营商的运营收益。如果不对用户进行识别和认证，那么非法用 户接入就会大量存在。用户识别与认证技术已经非常的成熟，基于以太网的点到点协议(PPPoE)、DHCP+Web和802.1x协议 等已经被普遍使用。当前，业界关注的问题是：对用户端口(也称为用户线路)的识别。在零售模式下，每 个用户在接入节点处都有一个逻辑端口，有线环境下是硬端口，无线环境下是一个软端口。如果认证服务 器只是通

9、过用户名来识别用户，那么用户可以把自己的用户名和密码共享给其他用户，其他用户也能通过 这一逻辑端口上网，这是运营商不希望看到的，会造成运营商的运营收入的减少。在基于ATM的点到点协议(PPPoA)为主要接入方式时，用户虚通道(VC)在宽带接入远程服务器(BRAS)上终 结，因此，用户的端口信息直接就可以在BRAS上获取。现在，PPPoE和IPoA是主要的接入方式。在这两 种接入方式下，物理上，用户线路在接入节点处就被终结；VC信息要么在接入节点处终结，要么根本没有， 因此BRAS没有办法直接获取用户的端口信息。所以，必须有一套有效的机制能够将接入节点处的用户端口 信息传递给BRAS。当前，有多

10、种用户端口(或者用户线路)识别方案被提出来：DHCP option82 协议DHCP Option82(RFC3046)协议在DHCP(RFC2131 )的基础上，对协议流程进行了扩充。接入节点需要 截获DHCP上下行协议报文，扮演二层DHCP中继代理的角色。上行方向，将端口信息(也就是uPortID)插 入到协议的Option82字段中；下行方向，剥离此字段信息(可选)。图2为协议交互示意图。PPPoE+协议PPPoE+协议又称为PPPoE中间代理。和DHCP Option82类似，它对PPPoE协议报文进行了扩充。接 入节点截获PPPoE搜索阶段的协议报文，在上行方向插入端口信息。图3为P

11、PPoE+协议交互示意图。VBAS 协议VBAS协议和PPPoE+略有不同，VBAS协议修改PPPoE的流程，在用户与BRAS协议交互中，插入BRAS客户机与接入节点的交互，获取端口信息。图4为VBAS协议交互示意图。RiiDIPDOP.BDRuFC-dlD RFQUC5TuEHD .此 KRig中目技理职场:宽寿跳入远牡张髡嚣邛E ： EE主句搜索询蛟妄主却慎索启旬报交邛DE：EE主句索会话蜩帔妄Wig ：E主却慎索提供报交哄耳于顷木畛点留点1D汝图耳VBAS协议玄互示意图虚拟局域网栈虚拟局域网栈(VLAN Stacking)采用双标签(Tag)，使用内层VLAN来唯一标识用户端口信息。虚拟

12、MAC虚拟媒体访问控制(VMAC)对每个用户数据报文的源MAC地址按照特定规则进行翻译，翻译后的MAC 地址包含了用户端口信息。这样BRAS在PPPoE协议交互时，就可以直接从源MAC地址信息中获取用户端口 信息。各种用户端口识别方案的优缺点如表1所示。甲表1各种用户端口识别方案的忧缺点D CP 口 OlE WEPOE+,性5伽|.此T充风有忸戒，无翻外的 町临蜘建， 理解利观方便.也戒有一定的可/匕 可用卑控制用户其他后 性，如口凶1用户寺宽等.与业案不关I效具有悄强的安全d酒点常妥或时狞桥DHB麝口珍息皆式不沆一.TDSlBM，配 置裳呆，诅SD受收.只支二居ViEif划，日时觎支胎二居诡

13、丽标笛，对没宙段求町嫉相关住较大， 滞耍点龄t理利：虚损局嫌聊易于顷志命的点码点10戒匚：媒体由同控制例1虹：虔报媒悻访月控削必斗艮至匝置3非法报文和过量报文上行方向，因为用户自组网络不受控，恶意用户或者恶意程序就可构造非法协议报文，向上发送， 这不仅会导致网络设备处理性能下降，有时还造成网络设备系统紊乱甚至死机。另外，如果恶意用户或者 程序过量地上行发送协议、广播报文，无论是合法还是非法，同样会造成系统设备性能明显下降，因为协 议、广播等报文的处理非常消耗设备资源。下行方向，尽管处于可控的网络域内，但是因为设备自身稳定性问题，以及网络复杂性问题，也可 能会出现非法或者过量报文发送，也需要进行

14、防范。非法报文包括：非法源MAC地址报文。源MAC地址不能是广播或者组播地址，因为有些MAC地址已经被标准组织 所预留，不能被普通用户使用。非法协议报文。从理论上分析，互联网组管理协议(IGMP)上行方向不可能有询问(Query)报文，下行方向不可能有报告/离开/加入(Report/Leave/Join)报文；DHCP协议上行不可能出现提供/确认 (OFFER/ACK)报文，下行不可能出现发现/请求(DISCOVER/REQUEST)报文；PPPoE协议上行不会有PADO和PADS 报文，下行不会有PADI和PADR报文。根据需要，对这些报文都要拦截过滤。超长报文、超短报文或者校验错报文，如低

15、于64字节的报文或者大于1 518字节的报文。特定 情况下，超长报文是允许的。对于非法报文，一般的技术是使用过滤器来过滤丢弃这些报文。过滤器的基本原理是，根据用户定 义的被过滤数据报文的特征，匹配数据报文。如果符合预定义的特征，那么过滤掉该报文。当前的交换芯 片大都具备报文特征提取和匹配功能，可以完成数据链路层、网络层甚至更高层数据报文特征信息的提取 和匹配。过量报文类型一般分成以下几类：过量的协议报文过量的广播报文过量的组播报文过量不同源MAC地址的报文前面3种过量报文会大量吞噬设备处理资源，第4种会占用交换芯片有限的MAC地址表资源，都需 要进行控制。前3种过量报文的处理步骤为：匹配特定类

16、型的报文，特征是：特定的协议报文、广播报力或者某 种更具体特征的广播报文)、组播报文(或者某种更具体特征的组播报文)；统计此类报文的发送速率；如果 发送速率超过预定义的速率，抛弃报文。处理过量协议、广播和组播报文的技术又被称为报文抑制。解决过量源MAC地址问题比较简单：可设定用户侧端口 MAC地址个数的上限。这样，一旦端口达到 预定义的MAC地址个数，后续带有新MAC地址的报文一律被丢弃。非法报文和过量报文的处理在接入网络的各个层次都需要处理，但是对于接入节点，因为其在接入 网中的位置，上述功能的实现尤其显得重要。4 MAC/IP地址欺骗MAC/IP地址欺骗是非常严重的安全威胁。MAC地址欺骗

17、的本质是会出现MAC地址重复，造成交换芯片MAC地址学习迁移，部分用户无法上网。MAC地 址欺骗可以分成下面两种类型：用户的MAC地址欺骗。上游网络业务服务器(如BRAS、DHCP服务器/中继、默认网关等)的MAC地址欺骗。因为以太网自身的特点，MAC地址信息都是公开的，通过扫描工具，用户可以较容易地获取其他用户的MAC 地址信息。如果相同的MAC地址出现在设备的不同用户端口上，就会造成MAC地址学习发生紊乱，导致用 户无法上网。为了增强安全性，在接入网络，一般要求在接入节点处实现用户端口隔离：在同一个VLAN下的用户 之间相互不能通信，而只能和上行汇聚端口互通。用户端口隔离可以通过私有虚拟局

18、域网(PVLAN)技术来实 现。不是所有的交换芯片都支持PVLAN的功能，即使支持PVLAN的功能，也有可能因为设备MAC地址设 置不当造成MAC地址重复问题，或者用户通过其他渠道获得其他用户的MAC(比如“暴力”MAC尝试)。PVLAN 技术本身不足以完全解决用户侧MAC地址欺骗问题。解决用户侧MAC地址欺骗，有如下解决方法：VMAC在接入节点处，在上行方向，给每个物理端口，MAC分配或者生成一个独一无二的VMAC地址。被解释以后的MAC地址因为是设备自己产生的，因此是可信的，而且确保不会出现用户侧MAC 地址重复的现象。使用VMAC地址代替报文的源MAC地址。下行方向，根据VMAC查找到对

19、应的原始的MAC 地址，然后使用原始MAC地址代替VMAC地址。VMAC不仅仅可用来防止用户MAC地址欺骗，还可防止对业 务服务器MAC地址的欺骗，并且也可以用于用户端口识别。缺点是影响与MAC地址相关的协议，处理复杂。MAC地址绑定。将MAC地址静态绑定到用户端口，如果数据报文的源MAC地址和绑定的MAC地址 不同，则地址被丢弃。此方法虽简单，但是可用性差。用户自组网络的MAC地址千差万别，而且个数也不 确定，如果采用静态绑定，很难管理。基于PPPoE会话(Session)感知的数据报文转发，应用于PPPoE接入环境。每个用户都对应唯一 的PPPoE会话标识(SessionlD)。可以在接入

20、节点上记录一张PPPoE_SessionID，端口表，上行直接汇聚， 下行可以查看该表来进行数据转发。这样，数据报文的转发完全可以不使用MAC地址，也就不需要学习， 从而也就不存在MAC地址重复问题。基于IP感知的数据报文转发。应用于IPoE的接入环境。在接入节点上，建立一张IP，端口 表，因为IP是唯一的，所以不会存在IP重复的现象，数据报文下行转发没有问题。和基于PPPoE Session 的数据报文转发一样，接入节点上也不需要MAC地址学习。上述3、4两种处理方法对接入节点归属的VLAN有一定的要求。如果一个接入节点属于一个唯一的 VLAN，那么只要接入节点按照上述要求转发数据报文即可。

21、如果多个接入节点属于一个VLAN，那么需要保 证汇聚这些接入节点的交换机也要按照上述的要求转发下行数据报文。利用PPPoE Session或者IP感知的 方式和传统的二层交换机的转发机制有质的不同，一般的交换芯片难以实现，而且只解决特定类型接入的 MAC地址重复问题。优点是不用修改数据报文，不会影响其他协议。业务服务器的MAC地址欺骗将会使得网络设备的业务服务器MAC地址学习发生迁移，从而造成设备下的部 分用户无法上网。业务服务器MAC地址防欺骗可以使用下面的技术来解决：VMAC使用VMAC可以解决各种接入环境下的业务服务器MAC欺骗。业务服务器MAC地址静态配置手动将业务服务器的MAC配置到

22、接入节点交换芯片的静态MAC地址表上，这样业务服务器MAC地址 学习就不会发生迁移。这个方法虽然简单，但灵活性和扩充性都很差。业务服务器MAC地址自动配置这是本文提出的一种解决业务服务器MAC地址欺骗的方法。基本思想是，让接入节点充当PPPoE或 者DHCP客户端，定期发起PPPoE或者DHCP请求，这样就可以动态地获取BRAS和DHCP服务器/中继的MAC 地址。其优点非常明显：可利用现有协议，不用手动配置，不修改数据报文，不影响其他协议。IP欺骗存在于IPoE接入场景下，冒用他人IP地址，盗取服务，或者没有通过DHCP获得配置信息 的情况下接入网络，妨碍了运营商的统一管理。解决这个问题需要

23、在接入节点上实现“ DHCP IP源警卫”， 监听来往于用户和DHCP服务器/中继的协议报文，在用户没有获取配置信息以前，除了 DHCP协议报文，其 他上行报文统统抛弃。一旦监听到DHCP ACK报文，就绑定分配的IP，用户MAC到用户端口，使能上行数 据报文的发送，同时保证上行数据报文的IP，MAC和绑定的分配的IP，用户MAC一致。在DHCP租用到 期后，取消这种捆绑，并停止上行非DHCP协议报文发送。5非法业务经过多年的接入网络建设，对于运营商而言，接入带宽已经不是主要的问题。当务之急，一是在现 有网络的基础上，提供尽可能多的业务，改变目前仅靠接入和带宽盈利的模式，改变粗放式的经营路线；

24、 另一个就是控制目前在已有网络中存在的非法业务。所谓的非法业务是从运营商的角度来判定的一些目前网络上存在的部分数据服务。非法业务形式多 种多样，下面仅是其中几例：P2P流下载。P2P流下载能大量吞噬宝贵的网络带宽，影响用户上网。VoIP。VoIP分流运营商已有的公共交换电话网(PSTN)业务，可能严重损害其业务收益。用户侧私拉乱接。宽带用户以个人的身份申请业务，但给企业或黑网吧使用，或与其他家庭共用 宽带，从而损害运营商的业务收益。不同于前面几节的安全问题，非法业务具有非常复杂的业务特征，不可能通过简单的特征提取方法 来判定某数据报文是否属于非法业务的报文。为了检测出某条数据流是否是非法业务，需要对数据流进行 深度智能分析，依据预定义的特征信息库，对数据流匹配才能判定。用户私拉乱接现象一般发生在用户使用具有网络地址转换(NAT)功能的设备和接入节点对接情况下， 上行数据报文从表面看起来好像从一个用户发出的一