1、3) 互联网的基础构架(服务商的网络核心)面临越来越多的攻击,使得整个互联网的安全威胁越来越多;4) 通常服务商还经常接到用户的申告,希望能够提供网络安全的防护。用户需要ISP提供安全防护和安全方面的顾问服务;大部分电信的宽带城域网作为互联网的一部分,连接了以下几种用户:1)小型企业的专线用户;2)大型企业的专线用户;3)普通用户;4)专业用户;根据2001年相关的统计资料表明,网络安全的攻击主要分为以下几种类型:1)90%攻击用户电脑的系统/应用,包括病毒攻击,系统漏洞攻击和应用软件漏洞攻击,这几乎是每个ISP的用户天天都会面临的问题,用户一般通过加强系统的安全防范和及时更新病毒代码和软件补
2、丁就可以消除了;2)9%更加严重的DOS或DDOS攻击,这种攻击往往是需要ISP协助用户才能够解决的,是互联网上的主要的威胁之一;3)1%最为严重的攻击ISP网络的基础构架,对ISP来说,这才是真正可怕的攻击!目前只有通过ISP的加强网络构架和安全防范才能够减小攻击引起的危害;2 网络安全防护的范围:作为ISP,需要在以下的范围实施保护:1)保护ISP自己的网络;2)保护自己的用户不受来自互联网的攻击;3)防止自己的用户不对互联网发起攻击;4)能够在任何时间内,防止相当数量的DOS/DDOS攻击;3 ISP的安全策略:ISP的网络安全是非常关键的,这个问题关系到ISP在互联网环境下的生存问题,
3、不是可有可无的。安全策略应该包含以下几个方面,这4个方面共同组成了整个ISP网络安全策略:1)安全防护措施,包括ACL,防火墙,加密,用户身份鉴别等;2)监控和反馈,包括入侵监测系统,各项状态监控等;3)测试系统漏洞,包括弱点扫描,模拟攻击等;4)网络构架增强和改进,包括网络结构调整和新安全策略制定这4个方面相辅相成,互相关联,相互作用。ISP的网络安全不是一成不变的,也不是一日而就的,需要长期连续的在这4个方面循环实施中不断加强,不断完善。4 ISP实施安全的范围ISP的网络安全,需要在以下几个层次实施1)ISP网络的基础构架,包括互连中继,光缆,外线和物理设备2)ISP网络的安全,包括主干
4、网络的拓扑结构,路由和带宽3)ISP网络的服务设备,包括接入服务设备,应用服务(DNS,MAIL,Portal,RADIUS等)5 ISP网络安全防护的6个阶段1)事先的准备所有的ISP都需要对网络攻击做好准备,调整好网络,准备好各项工具,制定各项操作规范和技术指导书,训练员工和贯彻实施各项安全策略,其中最重要的是制定计划,当发生网络安全时间的时候,如何应变。2) 发现攻击如何发现自己或是用户正在遭受攻击;3) 攻击分类详细了解攻击的类型和会产生什么样的危害;4) 反跟踪攻击源研究攻击的发起源头;5) 攻击的对策实施策略和调整,减小攻击带来的后果(即使什么也做不了,也要收集攻击的数据)6) 事
5、后的分析和安全的加强分析攻击究竟是怎么回事,采取一些措施和手段以防止下次发生类似的攻击。本文就“ISP网络安全的6个阶段”进行详细解释,并且以某电信的宽带城域网和IDC为例,讲解ISP如何防范网络攻击和实施网络安全策略。二ISP网络安全的6个阶段1为攻击事先做好准备首先,需要对可能的攻击做好了解:1)需要去了解用户什么时候可能会遭受攻击,为什么可能会遭受攻击;2)需要去了解攻击的发生情况,以及引起的严重后果;3)需要设想互联网处处都不安全,要考虑一切的可能因素;4)要实现设想好对策和计划,以及发生攻击的应变措施;一定要建立ISP的安全管理制度,而且要杜绝以下情况:1)没有安全计划,没有在制度上
6、规定安全方面的规范;2)没有安全的应急措施,和应急预案3)没有经常练习使用工具和演练应急步骤;4)没有对员工进行专业和系统的培训,只是当安全事件发生后,维护人员才得到某些的处理事件的实践经验;对于负责网络维护的技术主管,一定需要准备很多具体内容:1)训练一个团队来应付网络安全攻击;2)与所有相连的ISP保持联系3)与主要的网络安全厂商保持联系4)把安全策略归档,包括需要提供安全防护的用户资料,对攻击进行分类的标准,反跟踪攻击的方法,摆脱网络构架攻击的方法为了便于技术准确的判断攻击和解决攻击,还需要随时准备好各项工具和方法,包括:1)经常在各种环境下测试各种类型的ACL,随时准备好适当的ACL以
7、备应用2)经常测试Scripts脚本程序,保证都能用,随时准备好3)准备好测试的工具,包括模拟攻击和漏洞扫描的工具,4)经常进行假象攻击的讨论,必要时需要在测试环境下模拟各种类型的攻击,以检验各项工具和防御手段的可用。5)经常考虑采用网络结构和系统调整的方式提高网络的安全性;6)要经常给用户和维护人员培训,加强他们对TCP/IP,操作系统原理,应用软件架构和安全。作为系统管理员,需要审计网络设备的配置:1)保证路由器和交换机的安全2)保证路由协议的安全3)保证整个网络的安全作为设备维护人员,需要详细了解整个网络的所有设备和基础构架:1)需要细致了解所有设备(包括路由器、交换机、工作站等等)需要
8、了解这些设备究竟能够具有什么功能;2)需要细致了解能够具有什么性能和容量,必要的时候应该搭个模拟环境来测试,在安全事件发生时才发现设备性能和容量不够,是非常可怕的事情;用以下的图例来总结ISP在应付网络安全攻击的实施步骤。1)首先ISP需要根据上面提到的准备内容,制定安全策略ISPs Security Policy;2)采用防火墙,加密,鉴别/审计等步骤和手段来落实安全策略,实现防护。Secure3)通过入侵监测系统和其他告警机制来检视网络的安全Monitor and Respond4)采用漏洞扫描和模拟攻击等手段来测试网络的安全防护坚固程度Test5)处理安全问题和改进安全策略,具体分析安全
9、事件的内容,修改安全计划和应急步骤,形成新的安全策略,Manage and Improve以下从技术角度详细解释ISP在应付网络安全攻击的准备工作,需要按步骤检查和实施的具体内容:1)组建和预备好应急相应的团队;任何一个ISP都需要有网管中心,网管中心内部应该加强沟通,还需要和客户,其他ISP沟通。还要设立应急响应小组和发生安全攻击的第一时间响应人员。应急响应人员只是提出建议,提供帮助,技术支持,和提供应急预案,不建议从事普通的维护工作;应急响应小组一般来说隶属于网管中心。2)保障路由器和其他网路设备的自身安全新购的网络设备没有安全方面的设置,一旦这些设备连接上网络,就有可能受到入侵和破坏,需
10、要作相应的安全设置,包括关闭一些全局的系统服务,接口上的局部服务,配置登录验证授权和管理员验证,可能的话,远程管理采用加密或隧道的方式实现。建议对新设备加电之后所作的安全设置编写一个规范的配置步骤和标准;3)保障路由协议的安全动态路由协议也是容易受到攻击的。建议配置验证路由协议的交换(包括常见的OSPF, IS-IS,BGP等),设置丢弃一些影响路由交换的不正常数据包(采用SPD等功能),优化路由的快速收敛,要使得路由收敛符合整个网络的情况,避免出现路由收敛不一致导致的路由紊乱的问题。4)加强网络的稳定和安全采用路由过滤,包过滤,速率限制等手段来实现。路由过滤应该限制入方向的路由宣告和出方向的
11、路由宣告,过滤不必要的路由,包括:(1)RFC1918,127.0.0.0/8,169.254.0.0/16等属于私有网段的路由;(2)不宣告不属于自己IP范围的路由,不接收属于自己IP范围的路由。(3)建议不接收掩码长于24位的路由(特殊情况除外);(4)与其他ISP互连的时候,建议不接收默认路由(特殊情况除外);(5)监视相互宣告的路由,作相关的设置防止垃圾路由的泛滥;5)设置的路由黑洞过滤,防止路由循环ISP在BGP里设置本ISP的路由黑洞,可以加快IBGP的收敛和路由的稳定,有利于发生DOS/DDOS攻击的时候反跟踪攻击源,还可以防止类似“红色代码”的网络攻击6)预备旁路过滤设备在网络
12、中设置功能强大的安全过滤设备,把受到安全攻击的主机或网络的流量通过旁路过滤设备进行过滤,这种设置有利于网络攻击的分析和反跟踪,还可以实现利用有限的资源,动态的保护正在受攻击的主机和网络。7)设置必要的包过滤限制ISP的用户只能发送合法源地址的IP包,限制其他ISP不能发送不合法源地址的IP包,限制ISP发往用户的IP包只包括需要的应用端口。一般采用反向路由检测,边缘路由入口访问控制,和动态访问控制等方法实现。8)在网络的入口重设置IP的优先级为不同的网络应用数据包区分不同优先级,设置访问控制列表观察不同优先级IP包的情况。9)检查采用默认路由的隐患在BGP全连接的网络环境中应该尽量采用默认路由
13、,特殊情况需要实施,也需要非常认真考虑,默认路由配置不当很容易导致路由循环和DOS/DOS。对于其他ISP连接的时候尤其注意。10)管理上的安全机制为设备配置适当的loopback地址,设置网络设备通过TFTP将配置备份到服务器上,并且通过TFTP下载配置(有利于紧急情况下远程的配置变更),配置网络设备通过ftp将core dump备份到服务器上,配置syslog和snmp对设备进行监控,配置网络时间协议同步整个网络设备的时钟和系统日志。配置Netflow,Netstream等,便于网络攻击的反跟踪和网络流量的详细分析。建议将流量详细的分析数据导出到服务器。对远程带外管理的用户进行集中认证和授
14、权,并且自动记录操作内容和系统状态变化。限制远程带外管理的用户范围。2发现攻击1)一般来说受到扫描是被攻击的前兆。要注意什么时候本ISP或用户被扫描,最好能够通过IDS或其他机制来监测可能有敌意的扫描行为;2)对于判断用户受攻击的情况,一般来说有以下的办法:(1)对ISP保护的用户主机应用系统进行监控,根据监控的情况判断用户是否受到攻击;(2)安排7x24小时的热线支持电话,以用户申告热线电话为准,判断用户受到攻击;(3)在网络中配置IDS系统,根据IDS检测的情况判断用户受到攻击;3)判断ISP自己受到攻击,一般来说,要根据网管中心的各种告警信息,包括突发的网络流量,部分网络的连通阻断等(1
15、)采用SNMP收集设备的CPU情况,当发现CPU Load不正常,可以判断为受到攻击,其中CPU load包括传送数据和系统进程两个部分。如果传送数据的CPU load很高,一般来说是受到突发网络流量的攻击;如果系统进程的CPU load很高,一般来说是受到伪装源地址,伪造应用类型的DOS攻击,或是系统的某些进程有问题(2)利用Netflow提供的信息发现攻击,首先,需要在网络设备上启动Netflow,然后需要统计正常情况下的到达某个ISP主机的数据流情况,当通过Netflow监测到当前数据流大大超过正常情况下的流量情况,一般来说可以判断为受到攻击(3)应用DANTE(基于主机的监控软件)判断
16、攻击,主机接收到的错包比例超过2%,主机收到的大量的包只有源IP地址不同,主机建立的大量TCP半连接都超时,主机收到大量长度很小的包等,都可以作为主机受到攻击的依据。(4)根据IDS的监控判断攻击,要经常更新IDS入侵检测的特征列表。最好在旁路过滤的节点上部署IDS,要经常用模拟攻击的攻击测试IDS的可用性。要过滤IDS的告警信息,不要让严重的告警淹没在普通信息当中。3攻击分类发生攻击后,需要知道我们收到的攻击的具体类型,可以通过客户申告并且提供受攻击的信息来判断,也可以通过ISP内部的工具和一些操作手册来判断。对于攻击的分类,最重要的是要查清楚攻击的源地址和协议类型! 可以配置带permit
17、的ACL,应用在可能的端口上,检查ACL的match信息来显示不同分类的协议包信息。 准备好旁路过滤设备,一旦发生攻击,ISP的旁路节点就宣告一个受攻击IP的最长路由,就把攻击的流量旁路到该设备进行分析和过滤。通过syslog和snmp以及将攻击日志导出,通过Netflow和sniffer等工具将具体的攻击行为详细记录下来。4反跟踪攻击源对于合法IP源地址的攻击是很容易的事情,一般来说DOS/DDOS攻击都会采用一些私有网段的IP地址作为源地址,伪造源地址的攻击也会伪造很多源地址,追踪攻击源是很困难的事情,尤其是不同ISP互联的时候,更为困难。 如果攻击的源地址是真实的,反跟踪就容易得多。可以
18、通过路由表,Internet Routing Registry (IRR,互联网路由注册)和InterNIC直接找到对方的详细信息。如果源地址是伪装的,需要反跟踪该攻击数据流在本ISP网络中的流向,才能反跟踪到攻击的源头,如果反跟踪到上一级的ISP,这需要上一级ISP继续反跟踪下去。直到找到该伪造源地址攻击源。 判断攻击的源头,首先需要搞清楚攻击是来自ISP网络内部还是外部。一旦搞清楚攻击的基本类型(IP源地址和协议类型),需要一步一步反跟踪到攻击的入口。 一般来说,有3种办法能够确定攻击的入口: 1)配置临时ACL,并且配置log参数,将ACL应用到可能的入口上,观察是否就是攻击的入口。2)
19、查询Netflow的流状态表,可以看到攻击数据流来自那个接口3)反向散射技术。把攻击流导向到路由旁路节点,采用路由旁路节点的监测工具实现反向跟踪。5攻击的对策采取一些措施减缓攻击的危害,最好是能够直接终止攻击!实施这些措施之前要仔细考虑,不要因为采用相应攻击的措施而带来其他的问题。实在不行也可以什么都不做,只是记录攻击的数据包或中断受攻击节点网络连接。大多数的ISP一般是采用以下的措施来帮助他们的用户:1)对攻击的数据流进行数率限制2)封闭/丢弃基于某些源地址和协议类型的数据包反应必须是快速,果断,稳妥的。并且具有多个实施预案备案。一般来说,有3种技术用来实现包丢弃和速率限制1)ACLs手工加
20、载ACL是一种传统的终止攻击的手段,但是具有扩展性问题。在很多很多的路由器上配置ACL是一种很痛苦的事情。如果发生不止一个攻击,针对不止一个用户,用ACL来终止攻击简直是非常可怕的事情。而且很容易因为手工输入的错误引起其他的问题。2)uRPF可以通过BGP远程触发uRPF的主要实现步骤:(1)uRPF不需要在所有边界路由器上进行检测和配置;(2)事先在边界路由器上配置测试网段(例如:192.0.2.1)的IP路由添加静态路由指向到null0,uRPF(3)用BGP的公共属性在网络中插入一个BGP的宣告路由,就可以触发丢弃指定特征的攻击包。uRPF的相对于ACL的好处在于:不需要手工添加ACL;
21、不需要改变路由器的配置;在攻击包转发路径上就可以实现丢弃;尤其是在同时发生多起攻击和多个攻击源的时候,很容易动态配置。3)CAR的手工加载或通过BGP远程触发CAR和其他的速率限制功能,是对应攻击的常用的有效反应。对攻击的数据流进行速率限制可以监控的监控攻击的情况。速率限制的同时,还可以收集数据,用于事后采用法律手段解决问题提供证物。QOS group support (QPPB)功能可以实现远程触发CAR,而不用登录到路由器。配置3层的输入和输出的速率限制,尤其是输入的速率限制是很重要的。采用输入输率限制来实现安全过滤,在那些造成危害的攻击包被转发穿透过整个网络之前,就被丢弃可以采用汇聚和细
22、颗粒度的分类限制,包括应用端口,MAC地址,IP地址,应用类型,优先级和QOS的ID;CAR可以实现对突发的 “网络浪涌”进行限制!CAR的输率限制已经是被证明对付DOS/DDOS攻击的有效措施,但是问题在于如何快速的变更配置当很多网络入口的路由器,尤其是攻击复杂多样,从多个方向同时进行的时候。这种情况下,最好的办法是CAR,CAR是一种基于FIB机制的控制功能,由CEF实现的,可以采用网络协议触发而不用手工配置。可以实现给予特定源地址和目的地址的速率限制。通过BGP的公共属性标志,针对特定的目的地址前缀,传递IP优先级,实现速率限制。允许网络入口的路由器对输入的流量区分优先级。并且允许IP优
23、先级基于ACL和AS-path等属性设置。还可以在ISP之间实现服务水平承诺(SLA)6事后的分析和安全的加强从错误中得到学习是防范攻击的关键千万不能等下次故障发生的时候才实施防范策略1)在发生安全事件之后,一定要花时间去研究是不是过程,步骤,工具,技巧和配置可以改进的地方。2)这是种很好的学习机会,只有在对错误地总结中学习才能很快的提高三以某电信宽带城域网和IDC的两次攻击为例说明 1某电信宽带城域网的Bras故障 1)电信宽带城域网的宽带接入部分网络结构:某电信城域宽带网采用Cisco 7206 VXR作为PPPOE服务器,以Cisco Catalyst 6509为汇聚层设备。用户只要采用
24、ADSL方式接入,以PPPOE方式接入网络。该7206以两条FE链路捆绑成FEC实现上行链路的负载分担和带宽增倍。 2)网络安全攻击的现象说明: 某日,该电信网管中心接到用户申告:已经建立PPPOE连接的上网速度很慢;建立PPPOE网络连接后容易断线,PPPOE认证过程中,提示用户名和密码错误。 从网管监控看到,该PPPOE服务器7206的上联链路(FEC)输入方向流量很大(达到80M上行/140M下行),而且该链路的丢包情况很严重,达到2%. 该7206已经不能远程登录管理了,设备维护人员通过console端口连接7206,发现CPU Load很高(达到5 Sec 95%/80%) 3)网络
25、攻击的分析,反跟踪和对策 依据上述的判断攻击的步骤,根据CPU Load的情况,初步判断,发生了网络浪涌攻击。 (1)为了不被告进信息打断,能够正常输入配置命令,首先消除6509在console输出系统信息:jt6509(config)# no logging console (2)然后在上联的6509上定义ACL,并且在与7206的接口上应用该ACL:access-list 169 permit icmp any any echoaccess-list 169 permit icmp any any echo-replyaccess-list 169 permit udp any any e
26、q echoaccess-list 169 permit udp any eq echo anyaccess-list 169 permit tcp any any establishedaccess-list 169 permit tcp any any range 0 65535access-list 169 permit ip any anyinterface port-channel 1ip access-group 169 out(3)执行shou ip access-list 169察看6509发送往7206的数据包jt6509(config)#show ip access-lis
27、t 169Extended IP access list 169permit icmp any any echo (2 matches)permit icmp any any echo-reply (21374 matches)permit udp any any eq echopermit udp any eq echo anypermit tcp any any established (150 matches)permit tcp any any (15 matches)permit ip any any (45 matches)发现是ICMP的flood攻击,但是需要进一步研究究竟是从
28、哪里来的攻击?(4)加大6509的loging buffer:jt6509(config)# logging buffered 8192000然后在上联的6509上定义新的ACL,并且在与7206的接口上应用该ACL:access-list 170 permit icmp any any echoaccess-list 170 permit icmp any any echo-reply log-inputaccess-list 170 permit udp any any eq echoaccess-list 170 permit udp any eq echo anyaccess-list 170 permit tcp any any establishedaccess-list 170 permit tcp any any
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1