作者:资深网络安全顾问 冯朝明 CCIE
摘要:对于城域网的安全,我们可以进行分层考虑,下面就对汇聚层安全来进行阐述。
关键词:网络安全 城域网
汇聚层负责汇集分散的接入点进行数据交换,提供流量控制和用户管理(用户识别、授权、认证、计费)功能,作为城域网的业务提供层面,它是使城域网可运营、可管理的最重要组成部分。汇聚层设备是用户管理的基本设备,也是保证城域网承载网和业务安全的基本屏障,更是保障城域网安全性能的关键。
对汇聚层设备提出的安全建议主要归纳为以下几点:
●调整BRAS部署策略
进行BRAS边缘化,访问控制可以在边缘BRAS上进行,如果仍然保持集中方式,可以考虑在BRAS后部署防火墙,可以将原有BRAS访问控制功能转移到防火墙后,这样可以降低BRAS负载,及进行更细粒度的访问控制。
限制每个VLAN下的用户数量,减少PPP建立过程中广播包的广播范围,提高网络性能, BRAS推到边缘后,VLAN ID数目受到的限制问题也得到了缓解。
细粒度的三层访问控制在BRAS或BRAS设备后端三层设备上进行。
●部署小容量BRAS服务器,PVLAN的划分和端口保护技术,专线用户的VLAN在城域网汇聚层终结
进行接入侧用户相互隔离,防止IP地址被盗用或仿冒,防止用户间的相互攻击;充分利用宽带接入服务器BRAS支持802.1q的特性,来实现对不同用户的服务,缩小广播域,提高城域网的整体服务性能。在用户侧部署中小容量的BRAS服务器,可把原来的超大二层网络分成若干个小型的二层网络,降低管理的难度和复杂度。
在若干小型网络中还可以继续划分PVLAN,PVLAN是在802.3Q VLAN的基础之产生的,是在VLAN内进行进一步的VLAN划分,从而可以实现灵活的用户隔离方案,即把同一VLAN里的不同端口进行逻辑的隔离,从而更好的进行同一个VLAN里不同端口出入流的控制。端口保护是提供对端口进行相应的配置来实现保端口隔离,各个保护端口只允许与非保护端口进行信息交流,而各个保护端口之间的信息不能互通;一般来讲,PVLAN和端口保护技术结合使用效果会更好。
宽带专线用户的VLAN在城域网汇聚层终结,这样可以防止用户的广播包对骨干交换机的冲击。基于LAN的专线用户,通过专线直接连到网络核心,当用户发起广播时,就会使核心网络路由表产生波动,还会影响核心网络设备的性能,所以建议在汇聚层终结,再把信息上传到网络核心。
●用户认证机制,安全密码体系
目前常见的用户认证机制主要可以分为两大类,一种是基于网关的验证机制,利用BRAS+AAA验证服务器完成对用户的身份验证, AAA绑定一般采用的都是静态绑定方式,而动态绑定一般是在接入设备上实现的,绑定技术的有效应用,主要用于解决帐号盗用,用户定位等问题。另外一种认证机制是将用户的数据流和控制信息分开,认证服务只需对用户的认证信息(控制信息)进行验证,通过验证后,用户数据包就不再通过认证服务器而直接由交换机处理。
根据我们实际的情况,对于纯的DLSAM汇聚方式那部分网络,可以采用第一种基于网关的验证机制,利用BRAS+AAA验证服务器完成对用户的身份验证,所有拨号用户都首先进行拨号与 BRAS进行连接,从BRAS获得动态分配给的IP地址,并从AAA服务器获得用户名验证信息,从而完成通讯。
对于具有支持IEEE802.1X认证机制的二层以太交换机部分,我们采用第二种基于IEEE802.1X的认证机制,IEEE802.1X认证机制是把用户的认证和交换机端口激活联系在一起,交换机要求用户提供有关的用户名和口令信息,通过了认证,端口就激活,实现正常访问,否则断开。
通过上述认证机制可以实现基于用户的访问权限控制、计费和服务类型控制,而不是基于每个站点内的所有用户计费。
用户接入网络的密码验证,包括加强口令、多层密码设置等访问控制手段,口令必须进行MD5加密,长度和复杂性必须符合规定,还要设置多层密码,层层设防。
●IP地址、MAC地址、用户名及卡号绑定
IP地址、MAC地址、用户名及卡号绑定能够准确定位用户,并可提供追查恶意用户的。
对于纯DLSAM拨号用户可实现MAC、端口和用户名绑定,将不同VLAN内对应用户的MAC地址送到BRAS,再由BRAS将其送到AAA服务器,实现与用户名和MAC的绑定。进而防止个人用户的帐号、密码被盗用,也可确定出用户上网的位置,如果用户名和密码被盗,通过这一方式可以确定偷盗者的上网地点和时间,为问题的解决提供重要线索。
针对专线用户,是纯粹的固定IP网络,我们可以采取多种手段来对其进行安全管理,管理功能必须依靠三层网络设备,多数BRAS可将用户的IP地址、MAC、用户名、端口、卡号一起绑定或有选择的绑定,限制用户对IP地址的随意修改,增强了网络的安全性。
●访问控制列表(ACL),IP地址数量及连接数的限制
我们可以在路由器中创建ACL列表,采用多种过滤规则来对目标网络进行的保护,可以针对于不同服务、不同协议和MAC地址进行访问控制。
网络设备上进行设置,来限制基于不同协议的过多的连接数或IP地址数,例如:限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数等,有效防止DOS、DDOS攻击。
●流量整形、拥塞控制、队列调度及CAR等QOS保障
在网络设备上对用户接入的业务流进行匹配,对相应用户业务流按照约定的速率进行带宽限制,通过入口或出口的CAR和流量整形进行调整,保证重要业务流的带宽;进行拥塞设置,当流量超过缓存值时,路由器入口处就将该流量超过阀值的数据包丢弃,同时告诉数据源端的TCP应用减少窗口尺寸。
对于支持VC Shaping的BRAS设备来说还可以针接入用户的发送数据频率来进行控制;对不同的应用进行不同的队列优先级分配,当网络拥挤时,保证重要数据优先通过,从而实现队列调度。
●安全日志管理,流量监控
保证网络设备具备审计信息发送、查询、统计等功能;进行设备日志的配置,记录和观察网络的运行情况,来进行信息跟踪。
对网络的拓扑、设备、流量、等进行深入的分析,找出对网络影响最大的因素或找出网络流量、用户及业务增长的规律,在网络出现故障或者是在网络即将出现瓶颈之前给出科学的预测,对网络进行优化、升级、或改造,以满足不断增长的用户和业务的需求。
通过流量监控,可以从上网行为上很容易辨认(比如非包月用户长时间在线等),相应可以采用流量计费方式和资费政策使盗用的行为不能有效。
个人信息:
姓名:冯朝明
英文名字:Mars.Feng
专业认证: CCIE
性别:男
职业:资深网络安全顾问
电子信箱:mycisco@263.net