网络设备安全加固技术
课程内容
BFD、FRR、NSF、GR等原理及部署
BFD原理及部署 (双向转发检测) FRR原理及部署(快速重定向路由) NSF原理及部署 GR原理及部署
入侵检测及防御原理及部署 流量监控及清洗原理及部署
网络设备安全加固技术
以业务为中心的网络安全防护策略
网络设备的安全防护策略----三平 面安全
• 采用uRPF 反向路径查询功能,有效地阻挡来自接入层的虚假地址的攻击。
安全策略部署对设备影响评估
管理平面:路由器性能不会造成任何影响。 控制平面:部署相应的安全策略如路由协议加密、 如网络路由策略不会对网络设备的转发性能没有 影响。 数据平面:不建议在AR路由器采用ACL/uRPF技术 对业务流量限制。
BGP 协议保护
安全目标:保护BGP协议免受非法用户的攻击。 攻击手段: • 建立非法BGP PEER,向承载网网络产生虚假路由,可同时导致全网 路由表增和全网流量的乱序 • 非法用户无法建立BGP PEER,但通过伪造BGP合法Neighbor的IP地 址并利用TCP包头的控制字段攻击已有的TCP连接,导致合法BGP连 接的异常 • 直接对BGP TCP端口进行DoS攻击
定期对网络系统、主机系统、应用系统进行风险评估,通过对相 关IT资产的识别、脆弱性和威胁分析,确认系统各自面临的风险 ,根据风险等级的不同,有针对性的强化系统的安全策略。 终端安全技术及部署方案 • 在业务系统主机和终端部署专业的网络防病毒、防木马。NAC系 统,实现桌面级的细粒度安全保护。
ቤተ መጻሕፍቲ ባይዱ
•
电信级业务系统的安全防护设计4
安全管理中心的建设
• 网络安全问题日益向规模化、隐蔽性发展,传统的网络静态防护、 事件的局部分析已完全不能满足网络安全的需要。IP承载网安全管 理需要建立一个统一安全管理体系,将技术手段与管理手段进行充 分整合,发挥网络安全管理的整体优势,充分体现网络安全管理集 中化、层次化的特点。在技术上层面上需要通过必要的技术手段建 立全网统一的网络安全监控和管理平台,从全局的层面掌握全网的 安全情况。并在安全管理体制中,建立完善网络安全运行管理机制 、流程、制度、策略 。
• 数据平面-公众业务:开启该功能开启该功能对性能不会 有影响,能达到线速转发。 • 在路由器系统满负荷转发时,启用uRPF后,路由器的报 文转发性能会略有下降; • 在路由器系统轻载的情况下,启用uRPF对路由器报文转 发基本无影响。
电信级业务系统的安全防护设 计 -1
安全网络设计 • 日益严重的安全攻击对核心业务系统造成了极大的威胁,造成的损失也 与日俱增,为了满足核心业务系统对安全的需求,采用如下安全技术构 建核心业务系统的安全保护体系。 系统层安全 • 软交换的各系统的服务软件都是构建在通用操作系统之上的。通用的操 作系统如UNIX,Linux,Windows NT等一般存在系统漏洞,可能被发 现并被利用来对系统发起对软交换系统攻击的。因此软交换系统服务器 投入使用前必须对操作系统进行及时加固。 应用层安全 • 应用层安全需要考虑软交换中常用的媒体控制信令的安全。在信令协议 中启动加密和鉴权机制,保证媒体网关控制器对媒体网关的控制权,防 止非法用户对业务的盗用或干扰。 业务安全 • 业务安全控制设置在网络设备上,主要实现网络业务的安全防护,如通 过设备相互认证进行设备间的访问控制,通过对用户的业务权限认证避 免业务被非法使用,通过协议信令的加密来防止网络监听等
控制平面安全方案
安全防护措施
• 协议包过滤和路由限制 – 在与大客户VPN建立的路由上实施路由过滤,在 PE与CE的接口上应用访问控制列表(ACL)来限 制,只允许来自CE的路由协议进入PE。同时在所 有Access端口上采用分组过滤策略拒绝非法的 EBGP协议数据包。
– 针对大客户VPN网络,PE路由器启动路由限制, 限制VRF路由条目,避免可能来自用户网络的海量 路由攻击对该PE所接其他VPN的不良影响。 – 实施NTP过滤,同时在NTP 会话上进行MD5认证 。
• 防控制引擎攻击 • 目前高端设备控制引擎具备动态状态防火墙功能,能 够动态访问Syn Flood、TCP伪装攻击,保护设备控制 引擎CPU资源。
数据平面安全方案
业务平面主要是指承载网承载的各种业务
• 软交换信令业务、媒体业务、分组数据和增值业 务等
可分为2类
• 第一类电信类业务 • 第二类业务是部分可信任的运营商业务
设备级安全配置
关闭所有默认开启但是不必需的服务:如 TCP/UDP 小包服务、finger等服务;
关闭source-route、ARP代理、定向广播服 务避免引发地址欺骗和DDoS攻击;
关闭ICMP网络不可达、IP重定向、路由器掩 码回应服务,避免引发ARP欺骗、地址欺骗 和DDoS攻击;
设备级安全配置
控制平面安全方案
路由振荡抑制
• 在启动了动态路由协议的P/PE路由器启动路由振 荡抑制功能,主要包括三个方面: – IP承载网路由器之间启动链路振荡抑制功能,防止 链路波动对路由的冲击。 – PE路由器与外部网络的路由协议启动振荡抑制,防 止客户网络路由波动对IP承载网的影响;
– 静态路由方式,不响应客户网络路由的波动。
管理平面安全方案
安全防护措施
• 关闭网络不必用的功能和端口,关闭所有默认 开启但是不必需的服务:如TCP/UDP 小包服 务、finger等服务; • SNMP采用V2/V3版本,实施MD5认证加密, 通过MIB View限制对包含大数据量的表类型 变量的访问(路由表和CEF表)。
控制平面安全方案
数据平面安全方案
业务平面的安全威胁
• 不同安全域的流量互通冲击,主要是业务VPN网 络或者其它网络对内部系统的攻击 • 外部系统流量过载或者内部系统流量过载,超过 SLA承诺带宽,影响其它业务的正常使用; • 非法流量泛滥消耗带宽,主要来自业务VPN网络 ,这些流量会抢占IP承载网的带宽,影响其它业 务,如软交换业务的使用。
• CAR进行流量限制
业务接入的详细安全策略
采取相关的安全措施控制流量的冲击带来的安全风险,保证PE 的安全 • 在PE 与CE 的接口通过路由过滤或ACL的方式来限制,只允许来自CE 的路由 协议进入PE。
• 通过路由过滤或ACL的方式隐藏承载网骨干路由设备及网管等系统的IP地址, 减少其它不可信网络的安全风险。
入侵检测技术及部署方案
•
漏洞扫描技术及部署方案
•
异常流量监控、清洗技术及部署方案
•
电信级业务系统的安全防护设计3
安全远程访问技术及部署方案 • 部署基于IPSEC 或SSL 技术VPN网关产品,确保远程访问的安全 性。 系统加固及部署方案 在业务系统的网络设备和主机系统进行必要的安全加固,提升操 作系统的安全等级。 安全风险评估技术的应用 •
管理平面安全方案
安全威胁分析
• 管理平面的安全威胁主要是恶意用户对路由器的 非法登录,控制路由器的管理平面;
管理平面安全方案
安全防护措施
• 实施网络管理员的分权和分级制
– 严格控制对网络控制访问的权限,从内部管 理上避免误操作的安全隐患。 – 高级网管员可以修改配置,删除账号。低级 管理员只能查看网管界面,不能做任何改动
• 对用户VPNv4路由进行限制,避免可能来自用户网络的海量路由攻击对该PE 所接其他VPN 的不良影响。
• CE 与PE 之间应当通过配置静态路由或者运行带有验证功能的路由协议来进行 路由交换,对路由协议交换进行MD5 和DES 加密认证控制,防止恶意路由攻 击。
• 根据SLA协议对用户流量进行限速,并进行流量监管。
• 加强网络设备的安全,增加网络设备(路由器、 交换机、接入服务器等)的口令强度,所有网络 设备的口令需要满足一定的复杂性要求; • 对设备口令在本地的存储,应采用系统支持的强 加密方式;
• 在口令的配置策略上,所有网络设备口令不得相 同,口令必须定时更新等; • 在口令的安全管理上,必须实施相应的用户授权 及集中认证单点登录等机制,不得存在测试账户 、口令现象。可以采用TACACS+服务器实行集 中式口令管理和操作记录管理。
管理平面安全方案
• 网络口令管理 – 对设备的访问控制实施AAA集中管理,避 免采用设备本身的认证。 – 启动SSH用户管理安全,禁止从客户网络直 接登入到网络设备。
– 采用Radius、TACACS+(可选)等加密的 认证方式,保证用户名和密码在网上的的传 递是经过加密的,同时对网络口令需要有审 计的功能,防止被盗用密码的现象发生。
电信级业务系统的安全防护设计2
防火墙技术及部署方案
• 在核心业务系统的网络出口部署高性能的防火墙产品,保证所有 的流量通过防火墙,从而实现对网络边界的访问控制,采用冗余 方式部署防火墙,保证核心业务系统的高可用性。 在业务系统的核心交换机开启SPAN功能,将关键业务流量发送 给入侵检测系统,入侵检测系统会对流量进行分析,及时发现可 疑的攻击行为。 部署基于网络的漏洞扫描系统对核心业务系统进行定期的脆弱性 评估,并根据评估结果做进一步的处理。 在网络出口处部署异常流量监控、清洗系统系统,分析并防护大 规模的DDoS攻击。
安全威胁分析
• 控制平面主要包括指路由协议、路由信息和其它 协议报文,还包括承载网设备本身的主机软件, 控制平面对于IP承载网是非常重要的,关系到整 个网络的正常运转。控制平面的安全威胁主要包 括以下三个方面: – 非法路由攻击,如非法邻居,发布非法路由, 路由振荡等,主要来自大客户VPN网络。 – 大客户VPN内部恶意用户对控制资源的侵占, 如PE的路由表容量、ARP表容量等。
安全防护措施
MPLS VPN安全隔离
• 业务平面安全基础是采用MPLS VPN逻辑网络实现不同业 务的安全隔离,MPLS VPN安全等级能够等同于ATM/FR ,并且在IP承载网得到成熟应用。 • 从实际使用情况来看,目前没有由于VPN客户对运营商网 络的攻击导致网络瘫痪的报告,也没有MPLS VPN内用户 被其他VPN用户攻击的报告。
