简论大型电信网络的安全设计(7.3).doc

1、电信骨干网的安全设计摘要：随着信息技术在我国的广泛运用，信息系统已经成为金融、交通、能源等基础设施的神经中枢，电信网已经和电力设施一样，成为所有基础设施的基础之一.电信网的安全状况直接影响这些基础设施的正常运行.电信网一旦出现重大事故,将可能严重影响国民经济发展和社会稳定.随着信息化的进一步推进，社会对电信网的依赖性还会越来越强。因此，我们应该重点关注电信网的安全问题，研究采取应对措施，做到未雨绸缪。关键词：电信网、安全、协议、设计正文：关于电信级网络的安全设计主要有以下几方面：1. 协议的安全性在网络中运行着很多网络协议,包括路由协议和各种为上层应用服务的广域网，局域网络协议等，路由器上也存

2、在着很多服务，有些服务是网络运行所必需的,必须打开它,而有些服务是对网络运行无关紧要或无用的，可以关闭。正是这些网络协议或服务，确保了网络系统的正常运行，因此，我们首先应确保这些网络协议或服务的安全性。1。1应用服务协议的安全对这些路由协议和各种上层应用服务的协议，我们应区别对待。首先，对于网络运行所必需的协议，如路由协议等，我们不但应正常运行，而且必须加以保护，以防止非法路由器加入或伪造的路由信息，系统如何能够鉴别出哪些路由信息是可靠的呢，就必须采用一些加密技术或邻机校验方法，以完成认证，对于网络运行无关紧要或无用的协议,则应严格限制或关闭，而对于对网络运行有危害或本身有安全缺陷的协议,则应

3、关闭，例如finger等。对于具体网络环境,采用以下命令关闭一些应用或服务：禁用Http服务器no ip http-server #禁用finger服务no ip fingerno service finger#禁用X。25 PADno service pad禁用小堆UDP包服务 no service udpsmallservers#禁用小堆TCP包服务no service tcp-smallservers#禁用 BOOTP服务no ip bootp server#禁用IP源路由，防止路由欺骗no ip source routing在具体网络接口下，可关闭以下一些服务：禁用IP重定向no ip

4、 redirects#禁用IP重定向no ip directed-broadcast#禁用代理ARP,防止引起路由表混乱no ip proxyarp#禁用IP地址不可达消息no ip unreachable禁用CDP发现no cdp enable#打开IP单播反向路径的校验,防止IP地址欺骗ip verify unicast reversepath同时，为增强安全性，应打开以下一些标记时间和密码加密，设置系统LOG功能等的服务，：对debug的调试信息进行记录，并采用日期时间（精确到毫秒)的格式记录service timestamps debug datetime msec对系统日志进行记录，

5、并采用日期时间(精确到毫秒）的格式记录service timestamps log datetime msec对用户级密码进行加密显示service password-encryption#在设备上定义日志缓存大小logging buffered 16384 debugging 对debugging及以上等级的所有事件进行记录logging trap debugging 使对loopback0接口向syslog服务器发送日志消息 logging source-interface Loopback0#定义syslog服务器的IP地址，并向它发送日志logging 10.1.1。101.2路由协议

6、的安全在路由协议安全性方面,我们可以采用路由器邻居相互校验，校验方式可以是明码方式或MD5加密方式,对于OSPF可采用MD5校验方式,也可以采用明码方式.通过明码或MD5加密方式校验，可以确保只有通过认证的路由器才能加入到该OSPF网络中,从而能够避免非法的路由器或伪造的路由信息加入到网络中，使路由出错，导致网络瘫痪。OSPF 认证，需要在路由器配置模式和接口配置模式配置认证,指定“messagedigest参数进行MD5认证,如果在路由器配置模式指定了MD5认证,则必须在接口上也定义MD5认证。OSPF的adjacency之间的认证方式和密码必须相同.路由器配置模式定义area area-i

7、d authentication message-digest接口配置模式定义启用OSPF认证，或MD5认证ip ospf authentication message-digest 定义明文认证密码ip ospf authentication-key password定义MD5认证密码, md5 key1。3网管SNMP的安全性SNMP是另一种访问网络设备的方式。使用SNMP，你可以收集网络设备的状态，配置网络设备。Getrequest、get-nextrequest消息用来 收集状态信息，set-request消息用来配置网络设备。在每台路由器都要 配置community string，每

8、一个SNMP消息都有一个community string来进 行校验，每个网络设备的SNMP代理上可以进行配置不同的community string来进行读模式和写模式的访问。SNMPv1的community string是采用 明文方式传输的，SNMPv2的community string采用MD5来进行加密，同时SNMP可以和访问列表结合起来，使指定的IP地址或端口才可以访问到网管信息，支持基于用户名和组的认证方式.#激活SNMP并定义SNMP字串snmpserver community readonly RO 98 snmpserver community readwrite RW 98

9、#下列4行只有当需要向SNMP服务器发送SNMP字串的时候才需要配置定议SNMP监听字串的源接口snmp-server trapsource Loopback0 对SNMP的字串进行认证snmp-server trap-authentication指定SNMP服务器的主机地址和SNMP字串值snmpserver host SNMPSERVER_IP readonlysnmpserver host SNMP-SERVER_IP readwrite定义ACL以允许特定的SNMP服务器accesslist ACL-Number permit access-list ACLNumber permit

10、SNMPSERVER_IPaccesslist ACL-Number deny any同时，我们也可以用snmpserver enable traps命令来打开所需要 的Trap功能，未被该命令所明确的功能则被屏蔽掉。1.3.1双机热备份协议(HSRP）的安全双机热备份路由协议（HSRP)提供了一个虚拟网关给接入端用户，当HSRP活动路由器当机、上联或下联链路中断时，同一组中的HSRP路由器便自动选举出一台新的HSRP活动路由器，用户端均可以通过这台新的活动路由器访问外部网络.并且用户端始终使用同一个HSRP组提供的虚拟网关，无需更改用户端的IP地址配置，网络的中断或恢复中的一切行为，对用户端

11、是透明的。保证了网络的稳定性和可靠性。HSRP活动路由器的选举条件为:根据同一HSRP组中的优先级和IP地址来选举活动路由器，最高优先级的路由器被选举为活动路由器,如果同一组中存在多台路由器，并且优先级相同，则最高IP的被选举为活动路由器。然而一在个不安全的网络环境中，某些不良分子则利用HSRP协议的选举条件配置一台不合法的HSRP路由器，使之胜出选举而破坏了原有HSRP组的路由环境而致使网络中断。根据这一情况,Cisco在设计HSRP时采用了HSRP组的认证，只有具有相同认证密鈅的路由器才能加入到这个合法的HSRP组中，才有资格进行HSRP的选举，这就保证了HSRP网络的稳定性和安全性。配置

12、HSRP组认证时，在HSRP组配置模式下添加下列语句：standby Group ID authentication md5 #设置NTP信任键 ntp trustedkey key-number#设置NTP服务范围的主机ntp accessgroup peer accesslist number另外在NTP客户端还需指定NTP服务器的IP地址及密鈅号 ntp server ip address key 1.4设备的安全性对网络设备的访问与配置，主要有以下两种方式：控制口console的控制和远程登录telnet 的控制。1。4。1端口console的控制控制口(console）是完成网络设备

13、最初是配置的，它一般用来直接连接一个终端,另外，AUX口作为辅助.通常，采用密码校验来控制用户访问console口,缺省设置是不需要密码就可以访问.我们可以通过以下方法来控制console口的安全：用户模式密码(只能用一些查看设备状态的命令）;特权模式密码（能使用所有命令查看设备状态和配置设备)会话超时（console口没有使用一段时间后自动断开);密码加密(将密码以加密的格式保存）;同时,可以和访问列表结合，以保证只有合法的地址才能访问设备,对于具体网络环境，本方案建议采用以下一些命令来加强安全性,其中exectimeout命令用来设置会话超时，access-class用来设置合法的IP地址

14、访问列表，login authentication用来和 TACACS 或RADIUS结合实现集中认证：下列举出使用TACACS+认证方式的console端口配置方法line con 0exec-timeout 5 0access-class 3 inlogin authentication String定义ACL以允许特定的主机进行Console登录access-list 3 permit 10.1。10。0 0.0。0。255 access-list 3 deny any1.4。2远程登录telnet 的控制通过telnet到网络设备上，我们可以进入用户模式和特权模式，完成查看和配置设备的

15、全部功能，一般的网络设备同时可以有几个虚拟终端口用来远程登陆。我们用上面提到的控制console口的方法来控制telnet的安全，还可以用访问列表来限制远程登陆的主机,还可以通过设置TCP端口来控制远程登陆的权限。以上的方法都只有密码验证，没有用户名验证，我们还可以用终端访问控制器访问控制系统（TACACS）来进行分用户管理telnet的访问权限，与console口控制类似,我们可以采用下面一些命令来加强telnet的管理其中exectimeout命令用来设置会话超时, accessclass用来设置合法的IP地址,login authentication用来和 TACACS 或RADIUS结

16、合实现集中认证： line vty 0 4 access-class 3 in exec-timeout 5 0 login authentication String transport preferred none！#定义ACL以允许特定的主机进行VTY访问access-list 3 permit 10。1.10.0 0.0.0。255accesslist 3 deny any1.4.3设备间发现控制(CDP）CDP（Cisco Discovery Protocol）Cisco发现协议是Cisco公司开发的专用于Cisco设备间发现并查看对端设备信息的二层协议，并按一定的周期进行更新所发现

17、的信息.使用cdp run命令打开CDP功能（缺省打开），使用cdp timer 及cdp holdtime命令更改CDP的轮询周期时间和信息保持时间,缺省timer为60秒，holdtime时间为180秒。使用show cdp neighbor可以看到对端所连接Cisco设备名称、平台、型号、互联接口及CDP保持时间。使用show cdp neighbor detail命令可以看到除以上信息外，还可以看到对端设备的版本号和接口IP地址.在大型电信网络的项目实施中,对所有网络设备互联接口上启用CDP发现功能，对于连接客户终端主机的端口的CDP功能进行关闭。以避免对外发送或接收无效及不安全的CD

18、P二层信息,保证网络的稳定和安全。1。5系统日志(Syslog）的安全网络安全管理中，对系统日志的管理是其中非常重要的,一个网络管理得好坏,与对该网络日志管理情况有着直接的关系，从安全管理角度考虑，建议对网络的warning及以上等级的系统日志进行分类采集,并发送到syslog服务器上进行统一管理。由网管理员定时、定期地对日志进行分析。1。6其它安全设置路由器其他安全配置 1)。 及时的升级IOS软件,并且要迅速的为IOS安装补丁。 2）。 要严格认真的为IOS作安全备份。 3). 要为路由器的配置文件作安全备份. 4）。 购买UPS设备,或者至少要有冗余电源。 5）。 要有完备的路由器的安全

19、访问和维护记录日志。 6)。 要严格设置登录Banner。必须包含非授权用户禁止登录的字样。 7)。 IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址；回环地址（127。0。0.0/；RFC1918私有地址；DHCP自定义地址(169.254.0。0/16）;科学文档作者测试用地址（192。0.2.0/24）;不用的组播地址(224.0。0。0/4）；SUN公司的古老的测试地址（20。20.20.0/24; 204.152。64。0/23 ）； 全网络地址（0.0。0。0/）。 8）. 建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。9)。 TCP SYN的防

20、范。如： A： 通过访问列表防范。 B：通过TCP截获防范。（这会给路由器产生一定负载) 10）。 LAND.C 进攻的防范。 11). Smurf进攻的防范。 12)。 ICMP协议的安全配置。对于进入ICMP流，我们要禁止ICMP协议的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探测。对于流出的ICMP流，我们可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用. #出站ICMP控制#入站ICMP控制 #出站Traceroute 控制#入站Traceroute 控制 13)。 D

21、DoS(Distributed Denial of Service)的防范。 防止TRINOO DDoS 攻击 #防止 Stacheldtraht DDoS 攻击 防止 TrinityV3 攻击防止 SubSeven DDoS 以及一些 Variants 攻击14)。 建议启用SSH。一种经济安全的方法是采用一台Unix服务台，配置SSH服务作为安全网关，并只允许进行SSH连接,将其它服务全部关闭，并在路由器上配置只允许SSH安全网关进行连接.#设置SSH的超时间隔和尝试登录次数 #启用SSH服务,生成RSA密钥对。 结束语:电信级骨干网络的安全问题随着技术发展日益凸显，相关技术也多样化,在技术改革大潮中,希望能有更多的厂商参与,才能取得长足的发展。