南京大学光通信研究中心 范忠礼 据最新的互联网安全威胁报告显示,混合式网络威胁日益增多。目前全球每20秒就发生一次计算机入侵事件,Windows系统和组件的漏洞增多以及严重信息系统漏洞的不断涌现,使得网络安全成为亟待解决的问题。如何保护企业的机密信息不受黑客和工业间谍的入侵,已成为政府机构、电信运营商、企事业单位信息化健康发展需首要考虑的问题。 由于层出不穷的病毒攻击着网络系统中的各级设备,而各种病毒、CIH、冲击波等更是侵犯着网络中的基础设施,这些情况迫使安全问题解决策略不能再局限于某一节点、某一设备上,而是要从系统的高度出发,全面考虑全网的设施,全新认识安全防护。对于电信运营商而言,不仅要从物理层保证传输安全,而且还要站在网络层次的高度,重新看待和分析网络安全,在全网架构中确定重点的防范区域,分层次、分阶段的布设安全措施。 一、传统电信网的安全 传统电信网是基于连接的物理通信网络,且是封闭的网络。同时,传统用户终端也是模拟终端,如电话机、传真机等是不带智能的,这就使得相应业务完全由运营商控制,即控制和承载不分离,网络面临的安全的复杂性也就大大低于现有网络。 传统电信网解决通信安全的主要目的是在物理传输上防止窃听及数据传输问题,对数据传输其主要的安全保护措施是密码技术,不涉及OSI或TCP/IP的上层协议。 二、现有网络的安全 近年来由于互联网的快速发展,电信网的分组数据业务呈爆炸性增长,基于TDM的PSTN话音网和分组交换数据网呈现融合趋势,即电信网与互联网的融合,形成可以传递话音和数据等综合业务的新一代网络。 由于互联网是一个IP网络,它是开放且无连接性的,具有边界和路径不确定性:从用户源主机到另一个目的主机可能存在多条路径,一个主机可能是两个不同网络中的一个中转点。因此,一个网络中的资源可由另一网中的用户访问。这样,一些未经授权的非法用户可能就会给网络安全构成严重的威胁。 网络安全已经成为互联网发展过程中不容忽视的问题。尤其是为了减缓IP地址匮乏,引进了NAT技术,现在大部分诸如企业网、校园网等的局域网都采用了这种NAT技术,这种技术破坏了端到端的基本原则,在很大程度上破坏了互联网的授权和鉴定机制。 三、网络安全体系结构 这里针对互联网络系统实际运行TCP/IP协议模型来分析。TCP/IP 协议模型网络安全贯穿于信息系统的四个层次,即网络接口层、网络层、传输层、应用层。为此基于TCP/IP分层模型的网络安全服务也是分层的,相应的不同层次的网络服务也是不同的,需要分层进行配置。下表是TCP/IP分层模型中提供的的网络安全服务 (Y表示服务选项并入该层的标准之中,空格表示不提供)。 1.网络接口层安全 网络接口层是TCP/IP的最低层,包括OSI的物理层、数据链路层。网络接口层有两种类型:第一种是设备驱动程序(如局域网的网络接口);第二种是含自身数据链路协议的复杂子系统(如X.25中的网络接口)。为保证通过网络链路传送的数据不被窃听,主要采用划分VLAN、加密通信(远程网)等手段进行加密。 对于通过使用VPN业务连接多个私有地点的组织应该使用NAT、防火墙和数据加密技术。在VPN拓扑结构中,私有数据在公共网络上传送,因此加密是必须的。第2层隧道协议(L2TP)就是互联网工程任务组(IETF)针对在公共网络上用隧道传送私有数据而制定的标准。作为VPN业务中的一种,光虚拟专用网(OVPN)是下一代光传送网-智能光网络最有潜力的增值业务。OVPN的关键技术包括:安全隧道与信息加密技术,即使用加密与封装相结合的技术对用户数据进行安全保护;在VPN用户访问网络资源及管理员对VPN系统进行管理之前,采用用户认证技术进行身份认证;访问控制技术提供细粒度的访问控制功能以实现对用户信息资源的保护。 使用光虚拟专用网不仅具有共享的经济性、灵活性、可靠性和可扩展性等特点,更重要的是它在光层的安全性受到电信运营商的重视,这对于客户来说支出更少,而对于运营商来说则有更多的收入、更安全的网络。可以说,OVPN服务对于用户和运营商来说是一种双赢的选择方案,在将来的智能光网络领域有着广泛的应用前景。 2.网络层安全 网络层安全即IP层安全性,它的主要优点是其透明性,也就是说,安全服务的提供不需要应用程序,也不需要对其他通信层次和网络部件做任何改动。最主要缺点的是IP层一般对属于不同进程的包不作区别。对所有去往同一地址的包,它将按照同样的加密密钥和访问控制策略来处理,这将使得网络安全性能下降。针对面向主机密钥分配的这些问题,RFCl825推荐使用面向用户的密钥分配,其中,不同的连接会得到不同的加密密钥。但是,面向用户的密钥分配需要对相应的操作系统内核作比较大的改动。 IP层非常适合提供基于主机的安全服务,相应的安全协议可以用来在互联网上建立安全的IP通道和虚拟专网。例如,利用它对IP包的加密和解密功能,可以简捷地强化防火墙系统的防卫能力。 网络层的安全性问题核心在于网络是否能得到控制,目标网站通过对来源IP进行分析,便能够初步判断来自这一IP的数据是否安全,是否会对本网络系统造成危害,来自这一IP的用户是否有权使用本网络的数据。一旦发现某些数据来自不可信任的IP地址,系统便会自动将这些数据阻挡在系统之外,并且大多数系统能够自动记录那些曾经造成过危害的IP地址,使它们的数据无法造成第二次危害。网络层主要的安全技术包括: (1)防火墙 防火墙是建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的,而外部网络(通常是互联网)被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进入被保护的内部网络,通过边界控制强化内部网络的安全策略。 防火墙对于解决一些机构网络边界安全问题起到了比较好的效果,应用很广泛,但它只能是网络安全措施的一个组成部分,而不能解决所有的网络安全问题。 (2)IP安全协议(IPSec) IP安全协议(IPSec)是一组提供数据保密性、数据完整性和对IP层的参与各方进行身份验证的公开标准。IPSec已经获得行业的认可,客户也要求所购买的互联网产品中包含对它的支持。IPSec使用认证头部(AH)和安全内容封装(ESP)两种机制,前者提供认证和数据完整性,后者实现通信保密。 IPSec使得一个系统能够选择安全协议和算法,并且建立密钥。互联网密钥交换(IKE)协议提供了对IPSec同等各方的身份验证。使用IKE还可以对IPSec密钥和其他安全性相关措施进行协商。IKE主要使用以下技术: ① DES——用来对数据包数据进行加密; ② Diffie-Hellman——用来建立一个共享的、保密的会话密钥; ③ Message Digest 5(MD5)——一个对数据包数据进行身份验证的哈希算法; ④ Secure Hash Algorithm(SHA) ——一个对数据包数据进行身份验证的哈希算法; ⑤ RSA encryptednonces——提供否认功能; ⑥RSA签名——提供认可功能。 (3) 入侵检测技术 ICSA(入侵检测系统论坛)对入侵检测技术的定义是:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击迹象的一种安全技术。 入侵检测技术是动态安全技术中最为核心的技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,在不影响网络性能的情况下能对网络进行监测,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。 目前,利用最新的可适应网络安全技术和P2DR(PolicyProtectionDetectionResvonse)安全模型,已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。入侵检测技术通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应。入侵检测技术的一个发展趋势是将它集成到路由器或三层交换机中,在实现网络安全的过程中入侵检测技术执行的任务包括:监视、分析用户及系统活动;系统构造和弱点的审计;识别、反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 3.传输层安全 传输层的脆弱性已经成为网络协议攻击的主要突破口之一,其漏洞如下: ① TCP连接的建立与终止。TCP连接的建立与断开机制保证了传输的可靠性与速度,但是在连接建立过程完成之后,服务器端不再验证连接的另一方是不是合法的用户,这种脆弱性的直接后果是连接可能被窃取。 ② TCP连接请求对队列的处理方法看起来很适用于连接的实际情况,但是很容易出现以下现象:如果某一用户不断地向服务器某一端口发送申请TCP连接的SYN请求包,但不对服务器的SYN包发回ACK确认信息,则无法完成连接。当未完成的连接填满传输层的队列时,它不再接受任何连接请求,包括合法的连接请求,这样就可能使服务器端口服务挂起。 ③TCP连接的坚持。TCP连接仍旧能保持的特性会造成当TCP连接上很长时间内无数据被传送时TCP连接资源的浪费。毕竟服务器某个端口可以存在的最大连接数有限,保持着大量不传输数据的连接将极大地降低服务器性能,而且在服务器的两次探测之间,可能导致TCP连接被窃取,使得原来与服务器连接的机器死机或重启。 由于TCP/IP协议本身非常简单,没有加密、身份认证等安全特性,因此要向上层应用提供安全通信的机制就必须在TCP之上建立一个安全通信层次。传输层网关就是在两个通信节点之间代为传递TCP连接并进行控制,这个层次一般称作传输层安全。最常见的传输层安全技术有SSL(安全套接层协议)、SOCKS和安全RPC等。同网络层安全机制相比,传输层安全机制的主要优点是它提供基于进程对进程(而不是主机对主机)的安全服务和加密传输信道,利用公钥体系进行身份认证、安全强度高、支持用户选择的加密算法。这一成就如果再加上应用级的安全服务,就可以提供更加安全可靠的安全性能。 4.应用层安全 应用层的缺陷主要集中在R系列命令中(rcp、rsh、rlogin等),这些命令是基于可信任主机之间的关系而设置的方便用户登录的一种方法,可信任主机不需要口令也可以通过R系列命令登录进入目标系统。 一般说来,在应用层提供安全服务有下面几种可能的做法。首先是对每个应用(及应用协议)分别进行修改和扩展,加入新的安全功能。一些重要的TCP/IP应用已经这样做了。例如,在RFCl421~1424中,IETF规定了私用强化邮件(PEM)来为基于SMTP的电子邮件系统提供安全服务,应用层对防止系统遭病毒侵入和黑客攻击都有极其重要的作用。另外,应用层还可以使用应用平台提供的安全服务,如采用通信内容安全保护、通信双方的认证、审计等手段来保证基本安全。 四、结束语 在安全性设计中包含的任务与网络总体设计所包含的任务是一致的:分析网络安全需求和目标,对其复杂性作出折中,因为任何网络都不会有绝对的安全,安全的保护和策略越复杂,则投入的网络运营成本越高。因此,找到两者的平衡点,制定出一种合适的安全策略是非常必要的。