首頁>>>技術>>>NGN

構建安全的下一代網(wǎng)絡

王琦 2007/05/31

  近年來,以軟交換為核心的下一代網(wǎng)絡一直是研究的熱點,不僅設備制造商投入大量的金錢和人力研發(fā)設備,而且電信運營商也開展大量的測試和實驗,用來驗證設備的穩(wěn)定性、協(xié)議的標準化程度以及規(guī)模組網(wǎng)的可行性。但是,隨著軟交換網(wǎng)絡大規(guī)模商用步伐的逐步推進,我們在看到軟交換網(wǎng)絡與傳統(tǒng)電信技術相比具有很多優(yōu)點的同時,也發(fā)現(xiàn)基于IP的軟交換網(wǎng)絡實現(xiàn)電信級的運營,還存在一些問題,包括:網(wǎng)絡的QoS保證、網(wǎng)絡的安全性、控制層面的組網(wǎng)問題等,如果不很好地解決這些問題,將大大影響軟交換的商用速度。

  以軟交換為核心的下一代網(wǎng)絡采用IP分組網(wǎng)絡承載,傳統(tǒng)的IP網(wǎng)絡是一個盡力傳送和開放自由的網(wǎng)絡,有些IP網(wǎng)絡用戶可以不經(jīng)任何認證和鑒權就可以接入IP網(wǎng)絡,IP網(wǎng)絡用戶也不需要進行任何業(yè)務認證與鑒權。IP網(wǎng)絡的開放性是推動互聯(lián)網(wǎng)發(fā)展的重要因素,但同時也帶來了網(wǎng)絡的安全隱患。NGN采用IP承載網(wǎng)絡,如果在建設初期沒有合理規(guī)劃,將會存在更大的安全威脅。

NGN網(wǎng)絡安全威脅

  終端設備安全威脅

  軟交換網(wǎng)絡中存在大量的終端設備,包括IAD設備、SIP/H.323終端和PC軟終端等。軟交換網(wǎng)絡接入靈活,任何可以接入IP網(wǎng)絡的地點均可以接入終端。但是,這種特性在為用戶帶來方便的同時,也導致可能存在用戶利用非法終端或設備訪問網(wǎng)絡,占用網(wǎng)絡資源,非法使用業(yè)務和服務,同時,某些用戶可能使用非法終端或設備向網(wǎng)絡發(fā)起攻擊,對網(wǎng)絡的安全造成威脅。另外,由于接入與地點的無關性,使得安全威脅發(fā)生后,很難定位發(fā)起安全攻擊的確切地點,無法追查責任人。

  網(wǎng)絡安全威脅

  由于缺乏合理有效的安全措施,以IP為基礎的因特網(wǎng)網(wǎng)絡安全事件十分頻繁,主要包括蠕蟲病毒的泛濫和黑客的攻擊。當前互聯(lián)網(wǎng)病毒十分猖獗,每天都有新病毒出現(xiàn),這些病毒輕則大量占用網(wǎng)絡資源和網(wǎng)絡帶寬,導致正常業(yè)務訪問緩慢,甚至無法訪問網(wǎng)絡資源;重則導致整個網(wǎng)絡癱瘓,造成無法彌補的損失。另外,黑客憑借網(wǎng)絡工具和高超的技術,攻擊網(wǎng)絡上的關鍵設備,篡改上面的路由數(shù)據(jù)、用戶數(shù)據(jù)等,導致路由異常,網(wǎng)絡無法訪問等。

  軟交換網(wǎng)絡采用IP分組網(wǎng)作為傳輸承載,而且軟交換網(wǎng)絡提供的業(yè)務大部分屬于實時業(yè)務,對網(wǎng)絡的安全可靠性要求更高。當網(wǎng)絡由于病毒導致帶寬大量被占用,訪問速度很慢甚至無法訪問時,軟交換網(wǎng)絡就無法為用戶提供任何服務。

  關鍵設備安全威脅

  軟交換網(wǎng)絡中的關鍵設備包括:軟交換設備、媒體網(wǎng)關、信令網(wǎng)關、應用服務器、媒體服務器等。由于下一代網(wǎng)絡選擇分組網(wǎng)絡作為承載網(wǎng)絡,并且各種信息主要采用IP分組的方式進行傳輸,IP協(xié)議的簡單性和通用性為網(wǎng)絡上對關鍵設備的各種攻擊提供了便利的條件。目前對網(wǎng)絡設備常見的攻擊有:

  DoS和DDoS攻擊

  DoS攻擊:Denial of Service,也就是“拒絕服務”的意思,指通過過量的服務從而使軟交換網(wǎng)絡中的關鍵設備陷入崩潰的邊緣或崩潰。包括UDPflood、SYNflood、ICMPflood、Smurf攻擊、IP碎片攻擊、畸形消息攻擊等。DDoS攻擊:Distributed Denialof Service,即“分布式拒絕服務”。它是一種基于DoS的特殊形式的拒絕服務攻擊,是一種分布、協(xié)作的大規(guī)模攻擊方式。它通過入侵一些具有漏洞的主機,并操控這些受害主機,以其為攻擊平臺向軟交換網(wǎng)絡中的關鍵設備發(fā)起大量的DoS攻擊,從而導致軟交換網(wǎng)絡中的關鍵設備因無法處理過多的服務請求而癱瘓。

  利用型攻擊

  此種攻擊方式以通過竊取用戶密碼等方式獲取關鍵設備的控制權為目的,主要包括口令猜測、特洛伊木馬和緩沖區(qū)溢出等手段。

  由于目前軟交換網(wǎng)絡中的關鍵設備(如軟交換、網(wǎng)關和各種服務器等)的硬件實現(xiàn)普遍基于通用平臺(CompactPCI),各種應用服務器同樣基于業(yè)界流行的主機、服務器等,這就導致黑客可以利用一些已知的后門和漏洞來攻擊主機,非法獲取主機的口令和密碼,達到控制關鍵設備的目的。

  信息安全威脅

  信息安全主要包括軟交換與終端之間信令消息的安全、用戶之間媒體信息的安全以及用戶私有信息(包括用戶名、密碼等)的安全。由于軟交換網(wǎng)絡采用開放的IP網(wǎng)絡傳輸信息,這樣在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)就很容易被監(jiān)聽,如果軟交換與終端之間的信令消息被監(jiān)聽,有可能導致終端用戶私有信息的泄露,導致監(jiān)聽者可以利用監(jiān)聽到的信息偽造成合法用戶接入網(wǎng)絡;如果用戶之間媒體信息被惡意監(jiān)聽,將導致用戶私密信息的泄露。

NGN網(wǎng)絡安全解決方案

  邊界隔離   軟交換網(wǎng)絡關鍵設備如軟交換、應用服務器和網(wǎng)關等放置在IP網(wǎng)絡上,相當于IP網(wǎng)絡上的主機,存在著被攻擊的危險,為保證關鍵設備的安全,需要在重要的網(wǎng)絡設備前面放置防火墻以保證軟交換核心網(wǎng)絡設備的安全。

  防火墻通常具有以下功能:

  1)防火墻定義了單個的阻塞點,將未授權的用戶隔離在被保護的網(wǎng)絡之外,禁止?jié)撛诘囊资芄舻姆⻊者M入或離開網(wǎng)絡,并且對于不同類型的IP欺騙和選路攻擊提供保護。

  2)防火墻提供了監(jiān)視與安全有關事件的場所,在防火墻系統(tǒng)中可以實現(xiàn)審計和告警。

  3)防火墻可以實現(xiàn)網(wǎng)絡地址轉換以及審計和記錄網(wǎng)絡使用日志的網(wǎng)絡管理功能。

  防火墻最重要的功能就是包過濾功能,包過濾應該做到按照IP報文的如下屬性——源IP地址、目的IP地址、源端口、目的端口、傳輸層協(xié)議進行過濾;部分廠家的防火墻還可以做到基于報文內容的訪問控制,即可以檢查應用層協(xié)議信息并監(jiān)控應用層協(xié)議狀態(tài)。
  為保障軟交換網(wǎng)絡的安全,可以將軟交換網(wǎng)絡進行安全區(qū)域的劃分,根據(jù)軟交換網(wǎng)絡中設備的安全需求以及軟交換網(wǎng)絡的安全區(qū)域,劃分成內網(wǎng)區(qū)和外網(wǎng)區(qū)兩個安全區(qū)域。

  軟交換網(wǎng)絡內網(wǎng)區(qū):由軟交換、信令網(wǎng)關、應用服務器、媒體服務器、中繼網(wǎng)關、大容量用戶綜合接入網(wǎng)關等設備組成的網(wǎng)絡區(qū)域。該網(wǎng)絡區(qū)域設備面向大量用戶提供服務,安全等級要求高。

  軟交換網(wǎng)絡外網(wǎng)區(qū):由SIP終端、PC軟終端、普通用戶IAD等終端設備組成的網(wǎng)絡區(qū)域,該網(wǎng)絡區(qū)域設備放置在用戶側,面向個人用戶提供服務。

  內網(wǎng)區(qū)和外網(wǎng)區(qū)的互通,通過信令媒體代理設備實現(xiàn),信令媒體代理設備除進行外網(wǎng)區(qū)終端訪問軟交換和網(wǎng)關設備的信令、媒體轉發(fā)之外,同時在安全方面應具有以下功能:
  1. 設備應能支持基于SIP、MGCP和H.248協(xié)議的應用層攻擊防護。


  2. 設備應能對異常消息、異常流量等高風險行為進行識別并產(chǎn)生實時告警,供維護人員作進一步處理。


  3. 對于以下情況,設備應能進行識別并按照預定策略進行處理。


    4. (a)應能根據(jù)用戶注冊狀態(tài)進行消息的處理,對未注冊用戶發(fā)送的非注冊消息進行丟棄處理;

    (b)設備應能對注冊鑒權失敗的用戶終端建立監(jiān)視列表,記錄IP地址/端口和用戶名,并能采取相應措施。

  4. 設備應具有防常見DoS攻擊能力。
  網(wǎng)絡隔離

  把NGN與其他網(wǎng)絡進行物理隔離,即在物理上單獨構建一個獨立的網(wǎng)絡,可以有效規(guī)避外部攻擊,但是這種建網(wǎng)與維護成本顯然較高,所以這種方法并不可取。近年來,隨著VPN技術的成熟,在同一個物理網(wǎng)絡上構建不同的VPN已經(jīng)實際可行,可以采用MPLS、VLAN等VPN技術從分組數(shù)據(jù)物理網(wǎng)絡中劃分出一個獨立邏輯網(wǎng)絡作為NGN虛擬業(yè)務網(wǎng)絡,把NGN從邏輯上與其他網(wǎng)絡進行隔離,其他網(wǎng)絡用戶無法通過非法途徑訪問NGN網(wǎng)絡,將可以避免來自其他網(wǎng)絡特別是Internet網(wǎng)絡上用戶對NGN網(wǎng)絡的攻擊與破壞。

  數(shù)據(jù)加密

  為了防止NGN中傳送的信令和媒體信息被非法監(jiān)聽,可以采用目前互聯(lián)網(wǎng)上通用的數(shù)據(jù)加密技術對信令流和媒體流進行加密。

  對于IP網(wǎng)絡上的信令傳輸,目前提出的主要安全機制是IPSec協(xié)議。在Megaco協(xié)議規(guī)范(RFC3015)中,指定Megaco協(xié)議的實現(xiàn)要采用IPSec協(xié)議保證媒體網(wǎng)關和軟交換設備之間的通信安全。在不支持IPSec的環(huán)境下,使用Megaco提供的鑒權頭(AH)鑒權機制對IP分組實施鑒權。在Megaco協(xié)議中強調了如果支持IPSec就必須采用IPSec機制,并且指出IPSec的使用不會影響Megaco協(xié)議進行交互接續(xù)的性能。IPSec是IPv4協(xié)議上的一個應用協(xié)議,IPv6直接支持IPSec選項。

  對于媒體流的傳輸,采用對RTP包進行加密,目前主要采用對稱加密算法對RTP包進行加密。

  對于用戶賬號、密碼等私有信息,目前采用的加密算法主要是MD5,用于用戶身份的認證。

  訪問控制
  軟交換終端用戶特別是智能終端、PC軟終端、桌面IAD等接入NGN網(wǎng)絡時必須經(jīng)過嚴格的認證,確認用戶的身份后才允許用戶接入NGN網(wǎng)絡。

  用戶接入認證時可以采用保密強度比較高的公開密鑰體系來進行,以保證用戶身份的可靠性。NGN系統(tǒng)認證確認用戶身份接入NGN網(wǎng)絡后,可以把用戶標志、IP地址等信息進行綁定并記錄到網(wǎng)絡安全日志中。這樣一旦用戶的身份在接入時得到了確認,即使個別用戶進行網(wǎng)絡破壞也很容易通過網(wǎng)絡的安全日志迅速定位和查處該用戶。通過這種方式從根源上基本可以杜絕從用戶側發(fā)起網(wǎng)絡攻擊而導致的網(wǎng)絡安全問題。另外,可以強制軟交換或終端網(wǎng)管設備對終端的IP地址、MAC地址與終端標志進行匹配,當終端標志正確,但是IP地址或MAC地址不正確時,也不予提供接入和服務。
  1.設備管理控制臺訪問

  控制臺是設備提供的最基本的配置方式。控制臺擁有對設備最高配置權限,對控制臺訪問方式的權限管理應擁有最嚴格的方式。包括:用戶登錄驗證、控制臺超時注銷、控制臺終端鎖定。

  2.異步輔助端口的本地、遠程撥號訪問嚴格控制通過設備的其他異步輔助端口對設備進行本地、遠程撥號的交互配置,缺省要求身份驗證。

  3.TELNET訪問嚴格控制Telnet訪問

  用戶、缺省要求身份驗證,以及限制Telnet終端的IP地址,限制同時Telnet用戶數(shù)目等。

  NGN網(wǎng)絡安全建議

  根據(jù)前面的論述,為了保證所構建的NGN網(wǎng)絡的安全性,必須做到以下幾點:
  1. 在網(wǎng)絡關鍵設備前放置防火墻和信令媒體代理設備,防止對網(wǎng)絡關鍵設備的攻擊;


  2. 把NGN與Internet等其他網(wǎng)絡進行隔離,保證除NGN設備和用戶外其他用戶無法通過非法途徑訪問NGN;


  3. 對用戶與軟交換交互的信令消息進行加密,確保無法被非法監(jiān)聽;


  4. 在接入層對用戶接入和業(yè)務使用進行嚴格控制,用戶必須經(jīng)過嚴格的鑒權和認證才可以接入NGN網(wǎng)絡,用戶的業(yè)務使用也必須經(jīng)過嚴格的鑒權和認證。
  軟交換、應用服務器和各種網(wǎng)關設備組成封閉的MPLSVPN網(wǎng)絡,對于內部大客戶可以通過專線直接接入,其他非信任區(qū)域的終端用戶只能通過信令媒體代理設備訪問,同時采用IPSec加密交互的信令消息。軟交換和信令媒體代理設備嚴格控制終端的接入,對終端標志、IP地址、MAC地址進行認證。

  總之,下一代網(wǎng)絡的安全保證是一個系統(tǒng)工程,使用任何單獨的技術都無法完成這個任務,只有綜合運用加密、認證、防攻擊等各種安全保障手段,并且相互配合才可以構建一個安全的下一代網(wǎng)絡。

中國聯(lián)通網(wǎng)站


相關鏈接:
基于J2EE實現(xiàn)Web方式軟交換配置研究 2007-05-30
SIP及其在軟交換網(wǎng)絡和IMS中的應用 2007-05-29
借助網(wǎng)絡轉型提供基于NGN的新型業(yè)務 2007-05-28
基于軟交換的一號通業(yè)務 2007-05-28
中興通訊軟交換系統(tǒng)解析 2007-05-28

分類信息:  電信_與_NGN及軟交換技術     行業(yè)_電信_文摘   技術_NGN及軟交換_文摘