1、电信骨干网的安全设计 摘要: 随着信息技术在我国的广泛运用,信息系统已经成为金融、交通、能源等基础设施的神经中枢,电信网已经和电力设施一样,成为所有基础设施的基础之一.电信网的安全状况直接影响这些基础设施的正常运行.电信网一旦出现重大事故,将可能严重影响国民经济发展和社会稳定.随着信息化的进一步推进,社会对电信网的依赖性还会越来越强。因此,我们应该重点关注电信网的安全问题,研究采取应对措施,做到未雨绸缪。 关键词:电信网、安全、协议、设计 正文: 关于电信级网络的安全设计主要有以下几方面: 1. 协议的安全性 在网络中运行着很多网络协议,包括路由协议和各种为上层应用服务的广域网,
2、局域网络协议等,路由器上也存在着很多服务,有些服务是网络运行所必需的,必须打开它,而有些服务是对网络运行无关紧要或无用的,可以关闭。正是这些网络协议或服务,确保了网络系统的正常运行,因此,我们首先应确保这些网络协议或服务的安全性。 1。1应用服务协议的安全 对这些路由协议和各种上层应用服务的协议,我们应区别对待。首先,对于网络运行所必需的协议,如路由协议等,我们不但应正常运行,而且必须加以保护,以防止非法路由器加入或伪造的路由信息,系统如何能够鉴别出哪些路由信息是可靠的呢,就必须采用一些加密技术或邻机校验方法,以完成认证,对于网络运行无关紧要或无用的协议,则应严格限制或关闭,而对于对网络运
3、行有危害或本身有安全缺陷的协议,则应关闭,例如finger等。 对于具体网络环境,采用以下命令关闭一些应用或服务: #禁用Http服务器 no ip http-server #禁用finger服务 no ip finger no service finger #禁用X。25 PAD no service pad #禁用小堆UDP包服务 no service udp—small—servers #禁用小堆TCP包服务 no service tcp-small—servers #禁用 BOOTP服务 no ip bootp server #禁用IP源
4、路由,防止路由欺骗 no ip source routing 在具体网络接口下,可关闭以下一些服务: #禁用IP重定向 no ip redirects #禁用IP重定向 no ip directed-broadcast #禁用代理ARP,防止引起路由表混乱 no ip proxy—arp #禁用IP地址不可达消息 no ip unreachable #禁用CDP发现 no cdp enable #打开IP单播反向路径的校验,防止IP地址欺骗 ip verify unicast reverse—path 同时,为增强安全性,应打开以下一些标记时间和密码加密,设置系统
5、LOG功能等的服务,: #对debug的调试信息进行记录,并采用日期时间(精确到毫秒)的格式记录 service timestamps debug datetime msec #对系统日志进行记录,并采用日期时间(精确到毫秒)的格式记录 service timestamps log datetime msec #对用户级密码进行加密显示 service password-encryption #在设备上定义日志缓存大小 logging buffered 16384 debugging #对debugging及以上等级的所有事件进行记录 logging trap de
6、bugging #使对loopback0接口向syslog服务器发送日志消息 logging source-interface Loopback0 #定义syslog服务器的IP地址,并向它发送日志 logging 10.1.1。10 1.2路由协议的安全 在路由协议安全性方面,我们可以采用路由器邻居相互校验,校验方式可以是明码方式或MD5加密方式,对于OSPF可采用MD5校验方式,也可以采用明码方式. 通过明码或MD5加密方式校验,可以确保只有通过认证的路由器才能加入到该OSPF网络中,从而能够避免非法的路由器或伪造的路由信息加入到网络中,使路由出错,导致网络瘫
7、痪。 OSPF 认证,需要在路由器配置模式和接口配置模式配置认证,指定“message—digest"参数进行MD5认证,如果在路由器配置模式指定了MD5认证,则必须在接口上也定义MD5认证。OSPF的adjacency之间的认证方式和密码必须相同. 路由器配置模式定义 area 〈area-id〉 authentication [message-digest] 接口配置模式定义 #启用OSPF认证,或MD5认证 ip ospf authentication [message-digest] #定义明文认证密码 ip ospf authentication-key 〈pas
8、sword〉
#定义MD5认证密码,
9、mmunity string来进行读模式和写模式的访问。SNMPv1的community string是采用 明文方式传输的,SNMPv2的community string采用MD5来进行加密,同时SNMP可以和访问列表结合起来,使指定的IP地址或端口才可以访问到网管信息,支持基于用户名和组的认证方式. #激活SNMP并定义SNMP字串 snmp—server community readonly RO 98 snmp—server community readwrite RW 98 #下列4行只有当需要向SNMP服务器发送SNMP字串的时候才需要配置 #定议SNMP监听字串的源
10、接口
snmp-server trap—source Loopback0
#对SNMP的字串进行认证
snmp-server trap-authentication
#指定SNMP服务器的主机地址和SNMP字串值
snmp—server host 〈SNMP—SERVER_IP> readonly
snmp—server host
11、r> permit 〈SNMP—SERVER_IP〉 access—list 〈ACL-Number> deny any 同时,我们也可以用snmp—server enable traps命令来打开所需要 的Trap功能,未被该命令所明确的功能则被屏蔽掉。 1.3.1双机热备份协议(HSRP)的安全 双机热备份路由协议(HSRP)提供了一个虚拟网关给接入端用户,当HSRP活动路由器当机、上联或下联链路中断时,同一组中的HSRP路由器便自动选举出一台新的HSRP活动路由器,用户端均可以通过这台新的活动路由器访问外部网络.并且用户端始终使用同一个HSRP组提供的虚拟网关,无需更改用户端的I
12、P地址配置,网络的中断或恢复中的一切行为,对用户端是透明的。保证了网络的稳定性和可靠性。 HSRP活动路由器的选举条件为:根据同一HSRP组中的优先级和IP地址来选举活动路由器,最高优先级的路由器被选举为活动路由器,如果同一组中存在多台路由器,并且优先级相同,则最高IP的被选举为活动路由器。 然而一在个不安全的网络环境中,某些不良分子则利用HSRP协议的选举条件配置一台不合法的HSRP路由器,使之胜出选举而破坏了原有HSRP组的路由环境而致使网络中断。根据这一情况,Cisco在设计HSRP时采用了HSRP组的认证,只有具有相同认证密鈅的路由器才能加入到这个合法的HSRP组中,才有资格进行H
13、SRP的选举,这就保证了HSRP网络的稳定性和安全性。
配置HSRP组认证时,在HSRP组配置模式下添加下列语句:
standby 〈Group ID> authentication 14、启用NTP认证功能
ntp authenticate
#设置NTP认证密码,并启用MD5加密
ntp authentication—key 〈key-number> md5 15、访问与配置,主要有以下两种方式:控制口console的控制和远程登录telnet 的控制。
1。4。1端口console的控制
控制口(console)是完成网络设备最初是配置的,它一般用来直接连接一个终端,另外,AUX口作为辅助.通常,采用密码校验来控制用户访问console口,缺省设置是不需要密码就可以访问.我们可以通过以下方法来控制console口的安全:
用户模式密码(只能用一些查看设备状态的命令);
特权模式密码(能使用所有命令查看设备状态和配置设备)
会话超时(console口没有使用一段时间后自动断开);
密码加密(将密码以加密的格式保存);
同时,可以和访问列表结 16、合,以保证只有合法的地址才能访问设备,对于具体网络环境,本方案建议采用以下一些命令来加强安全性,其中exec—timeout命令用来设置会话超时,access-class用来设置合法的IP地址访问列表,login authentication用来和 TACACS 或RADIUS结合实现集中认证:
下列举出使用TACACS+认证方式的console端口配置方法
line con 0
exec-timeout 5 0
access-class 3 in
login authentication String
#定义ACL以允许特定的主机进行Console登录
access-list 17、3 permit 10.1。10。0 0.0。0。255
access-list 3 deny any
1.4。2远程登录telnet 的控制
通过telnet到网络设备上,我们可以进入用户模式和特权模式,完成查看和配置设备的全部功能,一般的网络设备同时可以有几个虚拟终端口用来远程登陆。我们用上面提到的控制console口的方法来控制telnet的安全,还可以用访问列表来限制远程登陆的主机,还可以通过设置TCP端口来控制远程登陆的权限。以上的方法都只有密码验证,没有用户名验证,我们还可以用终端访问控制器访问控制系统(TACACS)来进行分用户管理telnet的访问权限,与console 18、口控制类似,我们可以采用下面一些命令来加强telnet的管理其中exec—timeout命令用来设置会话超时, access—class用来设置合法的IP地址,login authentication用来和 TACACS 或RADIUS结合实现集中认证:
line vty 0 4
access-class 3 in
exec-timeout 5 0
login authentication String
transport preferred none
!
#定义ACL以允许特定的主机进行VTY访问
access-list 3 permit 10。1.10.0 0.0 19、0。255
access—list 3 deny any
1.4.3设备间发现控制(CDP)
CDP(Cisco Discovery Protocol)-Cisco发现协议是Cisco公司开发的专用于Cisco设备间发现并查看对端设备信息的二层协议,并按一定的周期进行更新所发现的信息.使用cdp run命令打开CDP功能(缺省打开),使用cdp timer 及cdp holdtime命令更改CDP的轮询周期时间和信息保持时间,缺省timer为60秒,holdtime时间为180秒。使用show cdp neighbor可以看到对端所连接Cisco设备名称、平台、型号、互联接口及CD 20、P保持时间。使用show cdp neighbor detail命令可以看到除以上信息外,还可以看到对端设备的版本号和接口IP地址.
在大型电信网络的项目实施中,对所有网络设备互联接口上启用CDP发现功能,对于连接客户终端主机的端口的CDP功能进行关闭。以避免对外发送或接收无效及不安全的CDP二层信息,保证网络的稳定和安全。
1。5系统日志(Syslog)的安全
网络安全管理中,对系统日志的管理是其中非常重要的,一个网络管理得好坏,与对该网络日志管理情况有着直接的关系,从安全管理角度考虑,建议对网络的warning及以上等级的系统日志进行分类采集,并发送到syslog服务器上进行统一管理 21、由网管理员定时、定期地对日志进行分析。
1。6其它安全设置
路由器其他安全配置
1)。 及时的升级IOS软件,并且要迅速的为IOS安装补丁。
2)。 要严格认真的为IOS作安全备份。
3). 要为路由器的配置文件作安全备份.
4)。 购买UPS设备,或者至少要有冗余电源。
5)。 要有完备的路由器的安全访问和维护记录日志。
6)。 要严格设置登录Banner。必须包含非授权用户禁止登录的字样。
7)。 IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127。0。0.0/;RFC1918私有地址;DHCP自定义地址(169.25 22、4.0。0/16);科学文档作者测试用地址(192。0.2.0/24);不用的组播地址(224.0。0。0/4);SUN公司的古老的测试地址(20。20.20.0/24; 204.152。64。0/23 ); 全网络地址(0.0。0。0/)。
8). 建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。
9)。 TCP SYN的防范。如:
A: 通过访问列表防范。
B:通过TCP截获防范。(这会给路由器产生一定负载)
10)。 LAND.C 进攻的防范。
11). Smurf进攻的防范。
12)。 ICMP协议的安全配置。对于进入ICMP流,我们要禁止ICMP 23、协议的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探测。对于流出的ICMP流,我们可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用.
#出站ICMP控制
#入站ICMP控制
#出站Traceroute 控制
#入站Traceroute 控制
13)。 DDoS(Distributed Denial of Service)的防范。
#防止TRINOO DDoS 攻击
#防止 Stacheldtraht DDoS 攻击
#防止 TrinityV3 攻击
#防止 SubSeven DDoS 以及一些 Variants 攻击
14)。 建议启用SSH。一种经济安全的方法是采用一台Unix服务台,配置SSH服务作为安全网关,并只允许进行SSH连接,将其它服务全部关闭,并在路由器上配置只允许SSH安全网关进行连接.
#设置SSH的超时间隔和尝试登录次数
#启用SSH服务,生成RSA密钥对。
结束语:
电信级骨干网络的安全问题随着技术发展日益凸显,相关技术也多样化,在技术改革大潮中,希望能有更多的厂商参与,才能取得长足的发展。






