《简论大型电信网络的安全设计(7.3).doc》由会员分享,可在线阅读,更多相关《简论大型电信网络的安全设计(7.3).doc(8页珍藏版)》请在金锄头文库上搜索。
1、电信骨干网的安全设计摘要:随着信息技术在我国的广泛运用,信息系统已经成为金融、交通、能源等基础设施的神经中枢,电信网已经和电力设施一样,成为所有基础设施的基础之一。电信网的安全状况直接影响这些基础设施的正常运行。电信网一旦出现重大事故,将可能严重影响国民经济发展和社会稳定。随着信息化的进一步推进,社会对电信网的依赖性还会越来越强。因此,我们应该重点关注电信网的安全问题,研究采取应对措施,做到未雨绸缪。关键词:电信网、安全、协议、设计正文:关于电信级网络的安全设计主要有以下几方面:1. 协议的安全性在网络中运行着很多网络协议,包括路由协议和各种为上层应用服务的广域网,局域网络协议等,路由器上也存
2、在着很多服务,有些服务是网络运行所必需的,必须打开它,而有些服务是对网络运行无关紧要或无用的,可以关闭。正是这些网络协议或服务,确保了网络系统的正常运行,因此,我们首先应确保这些网络协议或服务的安全性。1.1应用服务协议的安全对这些路由协议和各种上层应用服务的协议,我们应区别对待。首先,对于网络运行所必需的协议,如路由协议等,我们不但应正常运行,而且必须加以保护,以防止非法路由器加入或伪造的路由信息,系统如何能够鉴别出哪些路由信息是可靠的呢,就必须采用一些加密技术或邻机校验方法,以完成认证,对于网络运行无关紧要或无用的协议,则应严格限制或关闭,而对于对网络运行有危害或本身有安全缺陷的协议,则应
3、关闭,例如finger等。对于具体网络环境,采用以下命令关闭一些应用或服务:#禁用Http服务器no ip http-server #禁用finger服务no ip fingerno service finger#禁用X.25 PADno service pad#禁用小堆UDP包服务 no service udp-small-servers#禁用小堆TCP包服务no service tcp-small-servers#禁用 BOOTP服务no ip bootp server#禁用IP源路由,防止路由欺骗no ip source routing在具体网络接口下,可关闭以下一些服务:#禁用IP重定
4、向no ip redirects#禁用IP重定向no ip directed-broadcast#禁用代理ARP,防止引起路由表混乱no ip proxy-arp#禁用IP地址不可达消息no ip unreachable#禁用CDP发现no cdp enable#打开IP单播反向路径的校验,防止IP地址欺骗ip verify unicast reverse-path同时,为增强安全性,应打开以下一些标记时间和密码加密,设置系统LOG功能等的服务,:#对debug的调试信息进行记录,并采用日期时间(精确到毫秒)的格式记录service timestamps debug datetime msec
5、#对系统日志进行记录,并采用日期时间(精确到毫秒)的格式记录service timestamps log datetime msec#对用户级密码进行加密显示service password-encryption#在设备上定义日志缓存大小logging buffered 16384 debugging #对debugging及以上等级的所有事件进行记录logging trap debugging #使对loopback0接口向syslog服务器发送日志消息 logging source-interface Loopback0#定义syslog服务器的IP地址,并向它发送日志logging 10
6、.1.1.101.2路由协议的安全在路由协议安全性方面,我们可以采用路由器邻居相互校验,校验方式可以是明码方式或MD5加密方式,对于OSPF可采用MD5校验方式,也可以采用明码方式。通过明码或MD5加密方式校验,可以确保只有通过认证的路由器才能加入到该OSPF网络中,从而能够避免非法的路由器或伪造的路由信息加入到网络中,使路由出错,导致网络瘫痪。OSPF 认证,需要在路由器配置模式和接口配置模式配置认证,指定“message-digest参数进行MD5认证,如果在路由器配置模式指定了MD5认证,则必须在接口上也定义MD5认证。OSPF的adjacency之间的认证方式和密码必须相同。路由器配置
7、模式定义area authentication message-digest接口配置模式定义#启用OSPF认证,或MD5认证ip ospf authentication message-digest 定义明文认证密码ip ospf authentication-key 定义MD5认证密码,取值范围1255ip ospf message-digest-key md5 1.3网管SNMP的安全性SNMP是另一种访问网络设备的方式。使用SNMP,你可以收集网络设备的状态,配置网络设备。Get-request、get-next-request消息用来 收集状态信息,set-request消息用来配置网
8、络设备。在每台路由器都要 配置community string,每一个SNMP消息都有一个community string来进 行校验,每个网络设备的SNMP代理上可以进行配置不同的community string来进行读模式和写模式的访问。SNMPv1的community string是采用 明文方式传输的,SNMPv2的community string采用MD5来进行加密,同时SNMP可以和访问列表结合起来,使指定的IP地址或端口才可以访问到网管信息,支持基于用户名和组的认证方式。#激活SNMP并定义SNMP字串snmp-server community readonly RO 98 sn
9、mp-server community readwrite RW 98#下列4行只有当需要向SNMP服务器发送SNMP字串的时候才需要配置#定议SNMP监听字串的源接口snmp-server trap-source Loopback0 #对SNMP的字串进行认证snmp-server trap-authentication#指定SNMP服务器的主机地址和SNMP字串值snmp-server host readonlysnmp-server host readwrite#定义ACL以允许特定的SNMP服务器access-list permit access-list permit access-
10、list deny any同时,我们也可以用snmp-server enable traps命令来打开所需要 的Trap功能,未被该命令所明确的功能则被屏蔽掉。1.3.1双机热备份协议(HSRP)的安全双机热备份路由协议(HSRP)提供了一个虚拟网关给接入端用户,当HSRP活动路由器当机、上联或下联链路中断时,同一组中的HSRP路由器便自动选举出一台新的HSRP活动路由器,用户端均可以通过这台新的活动路由器访问外部网络。并且用户端始终使用同一个HSRP组提供的虚拟网关,无需更改用户端的IP地址配置,网络的中断或恢复中的一切行为,对用户端是透明的。保证了网络的稳定性和可靠性。HSRP活动路由器的
11、选举条件为:根据同一HSRP组中的优先级和IP地址来选举活动路由器,最高优先级的路由器被选举为活动路由器,如果同一组中存在多台路由器,并且优先级相同,则最高IP的被选举为活动路由器。然而一在个不安全的网络环境中,某些不良分子则利用HSRP协议的选举条件配置一台不合法的HSRP路由器,使之胜出选举而破坏了原有HSRP组的路由环境而致使网络中断。根据这一情况,Cisco在设计HSRP时采用了HSRP组的认证,只有具有相同认证密鈅的路由器才能加入到这个合法的HSRP组中,才有资格进行HSRP的选举,这就保证了HSRP网络的稳定性和安全性。配置HSRP组认证时,在HSRP组配置模式下添加下列语句:st
12、andby authentication 1.3.2网络时间协议(NTP)的安全网络时间协议(NTP)用于全网的时间同步控制,为syslog日志记录提供准确的时间(精确到毫秒),为网络管理员有效地管理整个网络提供了良好的工具。为了给网络上的路由交换设备提供有效安全的时间服务,只允许通过认证的NTP客户端才为其提供时间同步服务,Cisco在其NTP协议上添加了认证功能。在配置NTP认证时主要有以下几条命令: #启用NTP认证功能 ntp authenticate #设置NTP认证密码,并启用MD5加密ntp authentication-key md5 #设置NTP信任键 ntp trusted
13、-key #设置NTP服务范围的主机ntp access-group peer 另外在NTP客户端还需指定NTP服务器的IP地址及密鈅号 ntp server key 1.4设备的安全性对网络设备的访问与配置,主要有以下两种方式:控制口console的控制和远程登录telnet 的控制。1.4.1端口console的控制控制口(console)是完成网络设备最初是配置的,它一般用来直接连接一个终端,另外,AUX口作为辅助。通常,采用密码校验来控制用户访问console口,缺省设置是不需要密码就可以访问。我们可以通过以下方法来控制console口的安全:用户模式密码(只能用一些查看设备状态的命令
14、);特权模式密码(能使用所有命令查看设备状态和配置设备)会话超时(console口没有使用一段时间后自动断开);密码加密(将密码以加密的格式保存);同时,可以和访问列表结合,以保证只有合法的地址才能访问设备,对于具体网络环境,本方案建议采用以下一些命令来加强安全性,其中exec-timeout命令用来设置会话超时,access-class用来设置合法的IP地址访问列表,login authentication用来和 TACACS 或RADIUS结合实现集中认证:下列举出使用TACACS+认证方式的console端口配置方法line con 0exec-timeout 5 0access-class 3 inlogin authentication String #定义ACL以允许特定的主机进行Console登录access-list 3 permit 10.1.10.0 0.0.0.255 access-list 3 deny any1.4.2远程登录telnet 的控制通过telnet到网络设备上,我们可以进入用户模式和特权模式,完成查看和配置设备的全部功能,一般的网络设备同时可以有几个虚拟终端口用来远程登陆。我们用上面提到的控制console口的方法来控制telnet的安全
