基于控制平面協(xié)議的IP核心網(wǎng)安全加固策略部署

1 引言

隨著(zhù)網(wǎng)絡(luò )帶寬需求的迅速增長(cháng)以及芯片等技術(shù)的發(fā)展，IP核心網(wǎng)轉發(fā)處理能力得到了極大的提升。作為網(wǎng)絡(luò )流量的承載節點(diǎn)，在互聯(lián)網(wǎng)公網(wǎng)地址空間的場(chǎng)景下，現網(wǎng)設備經(jīng)常會(huì )收到大量上送至CPU的報文攻擊，若不加保護，往往可能由于大量非法報文的沖擊造成控制平面協(xié)議、業(yè)務(wù)中斷和CPU被掛死等問(wèn)題。本文通過(guò)對某地市IDC SR至CR間控制平面協(xié)議的安全加固策略部署案例，給出城域網(wǎng)核心路由器上控制平面防攻擊策略加固的建議。

圖1 IP核心網(wǎng)控制面協(xié)議架構

2 IP核心網(wǎng)控制平面協(xié)議部署

IP城域網(wǎng)整個(gè)網(wǎng)絡(luò )結構分為三層：核心層、匯聚層和接入層，其中核心層和匯聚層路由器分別稱(chēng)為CR、BRAS/SR。每地市城域網(wǎng)核心層設置2臺高性能路由器，設備型號主要包括華為NE5000E和阿卡7950。匯聚層BRAS/SR設備采用N*10G電路雙上聯(lián)至2臺市核心CR，業(yè)務(wù)流量在兩個(gè)方向上進(jìn)行負載均擔。河南聯(lián)通每地市城域網(wǎng)各自構成單獨私有AS域，每地市一個(gè)獨立的AS域，現網(wǎng)各層次網(wǎng)絡(luò )設備間涉及的控制面協(xié)議有IGP(connected、static、ospf 、isis)、BGP、LDP和PIM等。IGP協(xié)議以ospf為例，主要用于設備的loopback地址和互聯(lián)地址承載，不做業(yè)務(wù)路由承載。IBGP協(xié)議用于城域網(wǎng)內IPV4和VPNV4用戶(hù)路由承載。IP核心網(wǎng)控制面協(xié)議架構如圖1所示。

針對IP核心網(wǎng)中設備運行的各種業(yè)務(wù)涉及的協(xié)議進(jìn)行分類(lèi)，部署了相關(guān)安全策略加固。

3 IP核心網(wǎng)安全加固策略

超高寬帶時(shí)代IP核心網(wǎng)轉發(fā)平面的處理能力急劇提升，但控制面基于設備CPU運行，處理能力的增長(cháng)有限。攻擊者一旦向IP核心網(wǎng)設備發(fā)起海量消息請求，將導致網(wǎng)絡(luò )節點(diǎn)設備CPU無(wú)法實(shí)時(shí)處理消息，進(jìn)而引發(fā)正常業(yè)務(wù)交互及內部處理流程阻塞。IP網(wǎng)絡(luò )的開(kāi)放性在帶來(lái)各種業(yè)務(wù)、管理維護便利性的同時(shí)也帶來(lái)了巨大的安全隱患。因此，為保障相關(guān)控制協(xié)議和業(yè)務(wù)的正常運行，我們對IP核心網(wǎng)進(jìn)行了各類(lèi)安全加固策略部署。

3.1 IP核心網(wǎng)控制平面防攻擊安全加固機制

IP核心網(wǎng)轉發(fā)平面相對于控制平面來(lái)說(shuō)，其處理能力近乎是無(wú)限的，因此轉發(fā)面能夠輕易地上送海量報文將控制面沖擊過(guò)載。為防止過(guò)多的報文由轉發(fā)面上送至控制面，在不影響正常業(yè)務(wù)運行的基礎上可進(jìn)行協(xié)議限速、動(dòng)態(tài)/靜態(tài)白名單、動(dòng)態(tài)/靜態(tài)黑名單等安全防御機制部署，如表1所示。

表1 轉發(fā)面和控制面間安全防御機制

通過(guò)上述抑制措施，可實(shí)現對高優(yōu)先級和通過(guò)安全檢測的正常業(yè)務(wù)放行，在保障網(wǎng)絡(luò )可靠運行的前提下盡可能的提供高性能的業(yè)務(wù)處理能力。

3.1.1 路由協(xié)議認證校驗

IP城域網(wǎng)內節點(diǎn)繁多，組網(wǎng)復雜，設備型號多樣化，目前現網(wǎng)運行的多種路由協(xié)議均支持安全認證，在設備間報文交互時(shí)，啟用IGP、BGP等協(xié)議加密認證部署，采用HASH算法保證協(xié)議報文不被篡改，增強路由協(xié)議的安全性。

3.1.2 訪(fǎng)問(wèn)控制安全防御

訪(fǎng)問(wèn)控制列表ACL（Access Control List）是由一系列允許和拒絕語(yǔ)句組成的有序規則列表，通過(guò)匹配報文的信息實(shí)現對報文的分類(lèi)。ACL是一個(gè)匹配工具，能夠對報文和路由進(jìn)行匹配。IP核心網(wǎng)具備完善的ACL訪(fǎng)問(wèn)控制能力，基于A(yíng)CL，可以實(shí)現流量速率限制、黑白名單及用戶(hù)自定義流匹配。

（1）流量速率限制，用來(lái)設置上送至設備CPU的報文分類(lèi)限速規則，通過(guò)對不同協(xié)議報文設置帶寬限制，降低報文相互影響，同時(shí)也可限制上送CPU報文的整體速率，當上送整體速率超出閾值將丟棄報文，避免CPU過(guò)載。

（2）白名單中包含合法及高優(yōu)先級用戶(hù)集合，將確定為正常使用設備的合法用戶(hù)以及高優(yōu)先級用戶(hù)設置在白名單中，匹配白名單特征的報文將會(huì )被高速率高優(yōu)先級上送。

（3）黑名單中包含非法用戶(hù)集合，通過(guò)ACL設定將確定為攻擊的非法用戶(hù)設置到黑名單中，匹配黑名單特征的報文將被丟棄或者進(jìn)行低優(yōu)先級上送。

（4）用戶(hù)自定義流可通過(guò)自定義防攻擊ACL規則的設定靈活的匹配攻擊流數據特征，將符合特征的數據限制上送。

訪(fǎng)問(wèn)控制列表ACL可以根據數據包的源地址、目的地址、協(xié)議類(lèi)型、端口號等元素來(lái)過(guò)濾IP流量并在路由策略中被調用。ACL通過(guò)設定規則對數據包進(jìn)行分類(lèi)，并根據規則來(lái)判斷接收哪些數據包、拒絕哪些數據包。每個(gè)ACL可以自定義多個(gè)規則，ACL根據功能可分為接口A(yíng)CL、基本ACL和高級ACL列表，如表2所示。

表2 訪(fǎng)問(wèn)控制列表ACL

3.2現網(wǎng)基于報文限速的CPU防護

3.2.1 總體描述

在互聯(lián)網(wǎng)公網(wǎng)地址空間的場(chǎng)景下，作為網(wǎng)絡(luò )流量的承載節點(diǎn)，IP核心網(wǎng)路由器通過(guò)管理控制協(xié)議完成業(yè)務(wù)策略的部署，控制報文按照預期路徑轉發(fā)?，F網(wǎng)設備對上送至CPU的報文進(jìn)行類(lèi)型劃分，不同類(lèi)型的報文占用不同的上送通道，不同的通道具有獨立的帶寬和優(yōu)先級，基于此方式重點(diǎn)保障信任的協(xié)議報文以高優(yōu)先級、大帶寬上送，限制不信任報文以低優(yōu)先級、小帶寬上送，從而避免由于非法報文沖擊導致正常協(xié)議報文無(wú)法及時(shí)處理造成業(yè)務(wù)中斷，IP核心網(wǎng)基于報文限速的CPU保護如圖2所示。

圖2 IP核心網(wǎng)設備報文限速CPU防護

3.2.2 現網(wǎng)基于報文限速的CPU防護策略部署

根據當前現網(wǎng)業(yè)務(wù)和被攻擊情況，對IP核心網(wǎng)上常見(jiàn)的運行協(xié)議進(jìn)行歸類(lèi)并按需制定策略配置方案。配置內容涵蓋全局配置、IPv4和IPv6相關(guān)配置。

（1）全局配置內容：調整白名單、自定義流、黑名單順序；關(guān)閉tcpsyn-flood防御功能，通過(guò)白名單、自定義流、黑名單過(guò)濾tcpsyn攻擊報文。

（2）IPv4配置內容，以現網(wǎng)設備涉及到的路由及組播協(xié)議為例，相應的配置內容如表3所示。

表3 IPv4相關(guān)流量配置內容

對于BGP協(xié)議來(lái)說(shuō)，對于已生成鏈接的協(xié)議報文走動(dòng)態(tài)白名單上送，此處僅對還未生成鏈接的BGP協(xié)議報文限速。

3.2.3 CPU防攻擊策略配置模板和配置步驟

收集現網(wǎng)設備上運行的各種業(yè)務(wù)涉及的協(xié)議，進(jìn)行歸類(lèi)后通過(guò)ACL匹配相應的協(xié)議報文。ACL列表編號可以自定義，注意不要與現網(wǎng)存在的ACL沖突即可。高級ACL中可以以名字或數字表示協(xié)議類(lèi)型，如果用整數形式表示取值范圍是1-255，如果用字符串形式表示可以選取bgp、ospf、tcp、udp。以華為高端路由器設備相關(guān)配置為例，CPU防攻擊策略配置模板和配置步驟如下所示，以BGP/OSPF/LDP/PIM協(xié)議配置為例。

（1）通過(guò)ACL匹配設備上運行協(xié)議報文，如表4所示。其中，ISIS不是IP報文，不通過(guò)ACL匹配。

表4 ACL匹配協(xié)議報文

（2）配置防攻擊模板。將ACL關(guān)聯(lián)自定義流；指定白名單、自定義流、黑名單的帶寬；調整白名單、自定義流、黑名單的處理順序；將ACL關(guān)聯(lián)到黑名單；設置自定義流的優(yōu)先級；設置丟包告警參數；關(guān)閉tcpsyn泛洪防御功能，改由通過(guò)黑白名單和自定義流作過(guò)濾。具體配置如表5所示。

表5 CPU防攻擊配置模板

（3）將防攻擊策略應用在各單板。

3.3 IP核心網(wǎng)控制平面防攻擊加固

部署ISIS、OSPF、BGP、LDP、PIM等協(xié)議認證，避免攻擊者嘗試經(jīng)過(guò)控制平面協(xié)議對路由等轉發(fā)依賴(lài)的表項進(jìn)行破壞。通過(guò)將配置的密碼進(jìn)行MD5等加密算法后再加入到協(xié)議報文中，提高了協(xié)議加密密碼的安全性。在接口視圖下配置協(xié)議驗證模式和驗證字，其中驗證字標識符必須與對端保持一致。在配置認證的過(guò)程中，如果在協(xié)議鄰居超時(shí)間隔內沒(méi)有在OSPF、ISIS等鄰居兩端設備上配置相同的認證，則原有UP的協(xié)議鄰居狀態(tài)將置DOWN一次。

圖3 OSPF鄰居關(guān)系的建立

4 地市SR至CR擴容中繼OSPF協(xié)議狀態(tài)異常案例分析

4.1 故障現象

某地市城域網(wǎng)核心層設置一臺華為高端路由器NE5000E和阿卡高端路由器7950，為保障城域網(wǎng)中繼合格率不低于98%，其申請某臺IDC SR至CR間擴容中繼10條。根據地市提供的核心設備數據制作模板在CR和SR兩端設備均正常配置IP接口和IGP協(xié)議數據后，發(fā)現有三條新開(kāi)至阿卡7950的中繼IDC SR端的OSPF鄰居狀態(tài)一直處于Init狀態(tài)，無(wú)法進(jìn)入最終全毗鄰的Full穩態(tài)。

4.2 故障分析定位

OSPF定義了Hello、DBD、LSR、LSU、LSAck五種協(xié)議報文，Hello包用來(lái)發(fā)現直連鏈路上的鄰居建立鄰居關(guān)系并周期性的發(fā)送Hello包?；钹従雨P(guān)系；DBD報文是兩臺路由器在建立全毗鄰的鄰接關(guān)系的過(guò)程中交互的消息，用來(lái)描述LSDB信息；LSR報文向OSPF鄰居請求鏈路狀態(tài)信息；LSU為鏈路狀態(tài)更新報文，包含一條或多條LSA；LSAck對LSU中的LSA進(jìn)行確認，保證OSPF的LSA可靠傳輸。

兩臺ospf路由器在建立鄰居關(guān)系的過(guò)程中定義了很多狀態(tài)機，其中Init是中間狀態(tài)，長(cháng)時(shí)間處于此狀態(tài)是不正常的。Init狀態(tài)表示本路由器已經(jīng)收到了對方的hello報文，但不確定對方收到了自己發(fā)送的hello報文，原因是對方發(fā)過(guò)來(lái)的hello報文鄰居表中沒(méi)有自己的routerid?？赡艿脑蛴校?/p>

（1）物理鏈路問(wèn)題，導致hello報文丟失。

（2）ospf配置了驗證，驗證沒(méi)通過(guò)。

（3）配置了訪(fǎng)問(wèn)控制列表，阻止了hello報文。

（4）幀中繼網(wǎng)絡(luò )配置錯誤。

4.2.1 OSPF鄰居建立過(guò)程

OSPF通過(guò)Hello包發(fā)現直連鏈路上的OSPF路由器建立雙向關(guān)系，通過(guò)DBD報文協(xié)商主/從關(guān)系并交換LSA頭部摘要信息，然后通過(guò)請求/發(fā)送LSAs同步鏈路狀態(tài)信息，最終完成同步進(jìn)入OSPF全毗鄰的Full穩態(tài)，OSPF具體的鄰居建立細節如圖3所示。

由上述OSPF鄰居關(guān)系建立過(guò)程可以看出，OSPF鄰居狀態(tài)長(cháng)期處于Init是由于Hello報文中相應字段沒(méi)有成功交互造成的。

4.2.2 故障定位測試

從故障現象初步判斷，造成OSPF協(xié)議狀態(tài)異常的原因有2個(gè)方面，一個(gè)是物理鏈路問(wèn)題，另一個(gè)是協(xié)議配置及策略配置問(wèn)題。IP城域網(wǎng)BRAS/SR至CR間中繼IPv4和IPv6協(xié)議棧所采用的動(dòng)態(tài)IGP協(xié)議分別為OSPF和ISIS，并對協(xié)議報文進(jìn)行了MD5加密部署，其中OSPF網(wǎng)絡(luò )類(lèi)型為點(diǎn)到點(diǎn)網(wǎng)絡(luò )。逐一排查光路、接口數據配置、OSPF及協(xié)議加密配置后發(fā)現，3條故障鏈路均使用裸光纖直連承載未經(jīng)過(guò)任何傳輸設備，對互聯(lián)IPv4/IPv6地址Ping大包測試均為丟包現象，且接口IGP協(xié)議認證類(lèi)型及認證密鑰均沿用已有正常鏈路配置，IPv6使用的ISIS協(xié)議鄰居狀態(tài)正常，所以重點(diǎn)考慮OSPF安全加固策略配置的問(wèn)題。

進(jìn)一步聯(lián)系地市詢(xún)問(wèn)得知，該3條擴容鏈路所使用的ipv4互聯(lián)地址均為新啟用的網(wǎng)段，在CR和SR側抓包發(fā)現，7950 CR側收不到NE40發(fā)過(guò)來(lái)的Hello包，NE40側可以可以收到7950側發(fā)來(lái)的包。檢查7950上OSPF相關(guān)配置發(fā)現，其設置了OSPF協(xié)議相應的白名單并在系統策略中應用，該白名單中定義的IP網(wǎng)段并不包含3條故障鏈路所使用的互聯(lián)IP，分析可能是由于這個(gè)原因導致新分地址段鏈路OSPF鄰居無(wú)法正常建立。在CR側OSPF協(xié)議相應的白名單中添加新增互聯(lián)IP網(wǎng)段地址，查看接口流量情況、鄰居狀態(tài)建立情況，通過(guò)一段時(shí)間的觀(guān)察和業(yè)務(wù)測試能夠確定協(xié)議建立正常。7950配置有CPU保護策略，該策略配置有基于OSPF協(xié)議源地址的前綴列表，未出現在白名單內的OSPF協(xié)議報文都會(huì )被丟棄，新地址段未配置在白名單內，導致7950丟棄來(lái)自SR的hello報文，鄰居無(wú)法建立。

4.3 IP核心網(wǎng)控制平面協(xié)議防攻擊策略部署注意事項

IP核心網(wǎng)在進(jìn)行控制面協(xié)議安全加固的過(guò)程中必須要保證業(yè)務(wù)的暢通運行。黑名單不要限速為0，避免由于個(gè)別協(xié)議漏配置導致業(yè)務(wù)不通。修改防攻擊配置時(shí)要避免修改過(guò)程中影響現網(wǎng)業(yè)務(wù)，注意配置的先后順序，應先配置好白名單和自定義流數據，黑名單最后配置，避免配置過(guò)程中黑名單優(yōu)先生效導致協(xié)議中斷或設備脫網(wǎng)。根據現網(wǎng)業(yè)務(wù)及時(shí)增加、刪除及修改相關(guān)業(yè)務(wù)報文配置策略并調整協(xié)議帶寬。由于IP核心網(wǎng)設備設置有控制面協(xié)議報文過(guò)濾限制，如LDP協(xié)議標簽過(guò)濾僅允許匯聚層設備某環(huán)回地址生成LDP標簽，所以各城域網(wǎng)在新啟用環(huán)回地址網(wǎng)段和與CR的互聯(lián)地址網(wǎng)段時(shí)需要提前規劃好，避免出現瑣碎地址段以便管理。

5 結束語(yǔ)

IP核心網(wǎng)轉發(fā)處理能力強，但控制面和管理面處理能力有限，同時(shí)IP網(wǎng)絡(luò )對接入終端缺乏認證授權機制，導致任何終端均可隨意接入網(wǎng)絡(luò )，IP網(wǎng)絡(luò )通信節點(diǎn)眾多，通信協(xié)議層出不窮。網(wǎng)絡(luò )的開(kāi)放性和復雜性，對運營(yíng)商的管理和運維提出了更高要求，在進(jìn)行網(wǎng)絡(luò )安全加固的過(guò)程中，應保證設計配置方案最大限度的滿(mǎn)足安全要求，確保安全加固目標服從業(yè)務(wù)目標，提升互聯(lián)網(wǎng)用戶(hù)的感知水平，打造高質(zhì)量的網(wǎng)絡(luò )品牌口碑。

參考文獻：

[1]劉倩,呂艷娜.基于MD5的IP城域網(wǎng)動(dòng)態(tài)IGP協(xié)議加密部署[J].信息通信,2019(12):216-217.

[2]丁文龍.基于IP城域網(wǎng)優(yōu)化及實(shí)現策略的探討[J].中國新通信,2019,21(07):58.

[3]潘偉.IP城域網(wǎng)網(wǎng)絡(luò )安全防護策略思考[J].西部廣播電視,2019(07):252-253.

[4]舒暢,張琰.路由優(yōu)化的網(wǎng)絡(luò )安全設計與實(shí)現[J].信息與電腦(理論版),2018(24):184-185.

[5]張潤哲. 基于信任機制的BGP安全研究[D].廣西大學(xué),2018.

[6]趙一方. IS-IS協(xié)議網(wǎng)絡(luò )拓撲發(fā)現及異常檢測技術(shù)研究與實(shí)現[D].北京郵電大學(xué),2018.

[7]何鈺,張威.策略路由在網(wǎng)絡(luò )安全中的應用[J].網(wǎng)絡(luò )安全和信息化,2017(04):108-109.

[8]王耀偉. IP城域網(wǎng)網(wǎng)絡(luò )優(yōu)化方案設計與實(shí)施[D].北京郵電大學(xué),2009.

作者簡(jiǎn)介：

劉倩（1987年-），女，畢業(yè)于廈門(mén)大學(xué)通信工程系，工程師，碩士，主要從事IP城域網(wǎng)及承載網(wǎng)的維護與優(yōu)化工作；項朝君，畢業(yè)于南京郵電大學(xué)，高級工程師，碩士，主要從事IP網(wǎng)、承載網(wǎng)網(wǎng)絡(luò )研究?jì)?yōu)化；黃華峰，畢業(yè)于重慶郵電大學(xué)，工程師，碩士，主要從事IP網(wǎng)、承載網(wǎng)網(wǎng)絡(luò )研究?jì)?yōu)化；王高松，畢業(yè)于北京郵電大學(xué)，工程師，本科，主要從事IP網(wǎng)、承載網(wǎng)網(wǎng)絡(luò )研究?jì)?yōu)化。

注：本文來(lái)源于《電子產(chǎn)品世界》雜志2020年10月期