寬帶接入網(wǎng)絡的安全

摘要：本文討論了在寬帶接入環(huán)境下，接入設備、接入網(wǎng)絡面臨的各種安全威脅，以及針對這些安全問題業(yè)界提出的各種解決方案，并且對接入網(wǎng)未來的安全研究做了一點展望。

關鍵詞：寬帶接入，安全，寬帶接入服務器，接入節(jié)點，DSL接入復用器

Abstract: This paper describes variant security threats to broadband access network. Different solutions to these threats are brought forward and weighted. Meanwhile, a prospect of research on broadband access network research is made.

Keyword: Broadband access, Security, BRAS, AN, DSLAM

最近10年，寬帶接入網(wǎng)絡在全球蓬勃發(fā)展，越來越多的個人用戶和企業(yè)用戶通過寬帶接入連接到了Internet。同時，用戶的上網(wǎng)體驗越來越細膩，他們不再滿足于接入能力、暢通無阻的高帶寬，而逐漸對服務的質(zhì)量提出了更高的要求。在服務質(zhì)量中，一個重要的、不能忽視的課題就是 安全保證。

1 寬帶接入安全性問題

接入網(wǎng)絡的蓬勃發(fā)展帶來了成倍的用戶，但是也使得網(wǎng)絡遭受安全攻擊的可能性大大增加。特別是引入以太網(wǎng)技術、IP技術后，接入網(wǎng)安全性問題日益凸現(xiàn)，監(jiān)聽他人信息，盜取業(yè)務（Theft of Service），甚至造成他人遭受拒絕服務（Denial of Service）攻擊[3]等安全性問題時有發(fā)生。提供'電信運營級'的接入網(wǎng)絡，為用戶提供安全的接入服務，檢測非法業(yè)務，保證網(wǎng)絡設備正常運行，就成為設備商和運營商共同關注的問題。

　　寬帶接入技術呈現(xiàn)多樣化趨勢，包括xDSL、HFC、xPON和Wimax無線接入等等，他們大致都具有下面的網(wǎng)絡架構[1]：

圖 1 寬帶接入網(wǎng)絡的架構

包括以下幾個組成部分：

1． 用戶自組網(wǎng)絡 Customer Prem. Net。xDSL是當前最普遍的用戶接入方式。

2． 接入節(jié)點 AN（Access Node）。完成用戶線纜的物理終結(jié)，或者無線信道的終結(jié)。AN最靠近用戶，是安全防護的第一道門欄。在接入網(wǎng)安全中，AN占有重要的地位。

3． 以太網(wǎng)匯聚網(wǎng)絡 Ethernet Aggregation Network。它進一步對匯聚數(shù)據(jù)，同時也肩負網(wǎng)絡內(nèi)部數(shù)據(jù)交換的任務。

4． 寬帶網(wǎng)絡網(wǎng)關 Broadband Network Geteway ，它包括很多功能：終結(jié)以太層及其對應的封裝、用戶認證（結(jié)合認證服務器）、用戶端自動配置、QoS業(yè)務保證、默認網(wǎng)關等等。

接入節(jié)點、以太匯聚網(wǎng)絡和寬帶網(wǎng)絡網(wǎng)關屬于運營商所有，這些設備或者網(wǎng)絡對運營商而言都是可信的。用戶自組網(wǎng)絡歸用戶自己所有和使用，用戶自主網(wǎng)路對運營商是不可信的。有時安全問題產(chǎn)生于信任域內(nèi)，但是安全威脅大都來自不信任網(wǎng)絡內(nèi)惡意用戶或者程序的攻擊。歸納起來，當前，接入網(wǎng)絡中主要有下面的一些安全問題：

1． 非法用戶的接入

2． 非法報文和惡意報文發(fā)送

3． MAC/IP地址欺騙，冒用MAC地址或者IP地址，偷取他人的業(yè)務服務或者造成DoS攻擊

下面本文依次對上述問題以及其對應的解決方案展開論述。

2 非法用戶接入

非法用戶接入性質(zhì)嚴重，直接損害運營商的運營收益。如果不對用戶進行識別和認證，那么非法用戶接入就會大量存在。

用戶識別與認證技術已經(jīng)非常的成熟，比如PPPoE、DHCP+Web和802.1x等已經(jīng)被普遍使用。業(yè)界當前普遍關注的問題是：對用戶端口（也稱為用戶線路）的識別。如果認證服務器只是通過用戶名來識別用戶，那么用戶可以把自己的用戶名和密碼共享給其他用戶，其他用戶也能上網(wǎng)，這是運營商不希望看到的。

過去在PPPoA為主要接入方式時，用戶VC在BRAS上終結(jié)，因此，用戶的端口信息直接就可以在BRAS上獲取�，F(xiàn)在，PPPoE和IPoA是主要的接入方式。這兩種接入方式下，沒有辦法讓BRAS直接獲取端口信息。當前，有多種用戶端口（或者用戶線路）識別方案被提出來：

* DHCP option82 DHCP Option82（RFC3046）在DHCP（RFC2131）的基礎上，對DHCP協(xié)議流程進行了擴充。AN需要截獲DHCP上下行協(xié)議報文，扮演2層DHCP Relay Agent的角色。上行方向，將端口信息插入到option82字段中；下行方向，剝離此字段信息（可選）。下圖為協(xié)議交互圖：

圖 2 DHCP Option82協(xié)議交互圖

* PPPoE+ 又稱為PPPoE Intermediate Agent，和DHCP option82類似，它對PPPoE協(xié)議報文進行了擴充。AN截獲PPPoE搜索階段的協(xié)議報文，上行插入端口信息。下圖為其協(xié)議交互圖：

圖 3 PPPoE+協(xié)議交互圖

* VBAS 和PPPoE+略有不同，VBAS修改PPPoE的流程，在用戶與BRAS協(xié)議交互中，插入BRAS與AN的交互，獲取端口信息。協(xié)議交互圖如下：

圖 4 VBAS協(xié)議交互圖

* VLAN Stacking 也就是雙Tag，使用內(nèi)層VLAN來唯一標識用戶端口信息。

* VMAC 該方法對每個用戶數(shù)據(jù)報文的源MAC地址按照特定規(guī)則進行翻譯，翻譯后的MAC地址包含了用戶端口信息。這樣BRAS在PPPoE協(xié)議交互時，就可以直接從源MAC地址信息中獲取到用戶端口信息。

各種實現(xiàn)方式的優(yōu)缺點如下：
 

表格 1 端口識別技術優(yōu)缺點對比

3 非法報文和過量報文

上行方向，因為用戶自組網(wǎng)絡不受控，如果惡意用戶構造非法協(xié)議報文，向上發(fā)送，就會導致網(wǎng)絡設備處理性能下降，有時還造成網(wǎng)絡設備系統(tǒng)紊亂，甚至死機。如果惡意用戶過量地上行發(fā)送協(xié)議、廣播報文，無論是合法還是非法，都會造成系統(tǒng)設備性能明顯下降，因為協(xié)議、廣播等報文的處理非常消耗設備資源。

下行方向，盡管處于可控的網(wǎng)絡域內(nèi)，但是因為設備自身穩(wěn)定性問題，以及網(wǎng)絡復雜性問題，也可能會出現(xiàn)非法或者過量報文發(fā)送，也需要進行防范。

歸納起來，非法報文包括：

1. 非法源MAC地址報文。源MAC地址不能是廣播或者組播地址；有些MAC地址已經(jīng)被標準組織所預留，不能被普通用戶使用。

2. 非法協(xié)議報文。從理論上分析，IGMP協(xié)議上行方向不可能有Query報文，下行方向不可能有Report/Leave/Join報文；DHCP協(xié)議上行不可能出現(xiàn)Offer/Ack報文，下行不可能出現(xiàn)Discover/Request；PPPoE協(xié)議上行不會有PADO和PADS報文，下行不會有PADI和PADR報文；路由協(xié)議報文等。根據(jù)需要，對這些報文都可以攔截過濾。

3. 超長報文、超短報文或者校驗錯報文。低于64字節(jié)的報文或者大于1518字節(jié)的報文。特定情況下，超長報文（jumbo frame）是允許的。

過量報文類型一般分成以下幾類：

1. 過量的協(xié)議報文

2. 過量的廣播報文

3. 過量的組播報文

4. 過量不同源MAC地址的報文

前面三種過量報文類型會大量吞噬設備處理資源，第四種會占用交換芯片有限的MAC地址表資源，都需要進行控制。

前三種過量報文的處理步驟一般如下：

1. 匹配特定類型的報文 特征是：特定的協(xié)議報文、廣播報文（或者某種更具體特征的廣播報文）、組播報文（或者某種更具體特征的組播報文）

2. 統(tǒng)計此類報文的發(fā)送速率

3. 如果發(fā)送速率超過預定義的速率，拋棄報文

處理過量協(xié)議、廣播和組播報文的技術又稱為報文抑制。

解決過量源MAC地址問題比較簡單：可設定用戶側(cè)端口學習MAC地址個數(shù)的上限。這樣，一旦端口達到預定義的MAC地址個數(shù)，后續(xù)帶有新MAC地址的報文一律被丟棄。

4 MAC/IP地址欺騙

MAC/IP地址欺騙是非常嚴重的安全威脅。

MAC地址欺騙的本質(zhì)是會出現(xiàn)重復的MAC地址，造成交換芯片MAC學習遷移，部分用戶無法上網(wǎng)。MAC地址欺騙可以分成下面兩種類型：

1． 用戶的MAC地址欺騙；

2． 上游網(wǎng)絡業(yè)務服務器（如BRAS，DHCP Server/Relay，默認網(wǎng)關等）的MAC地址欺騙；

以太網(wǎng)中MAC地址信息基本是公開的，通過掃描工具，用戶也可以較容易地獲取其它用戶的MAC地址信息。如果相同的MAC地址出現(xiàn)在設備的不同用戶端口上，就會造成MAC地址學習發(fā)生紊亂，導致用戶無法上網(wǎng)。

為了增強安全性，在接入網(wǎng)絡，一般要求在AN處實現(xiàn)用戶端口隔離：在同一個VLAN下的用戶之間相互不能通信，而只能和上行匯聚口互通。用戶端口隔離可以通過PVLAN（Private VLAN）技術來實現(xiàn)。

圖 5 PVLAN

假定PortA、PortB到PortF都屬于一個VLAN，PortA是上聯(lián)口。如果設置為PVLAN，那么上行，用戶口只能和PortA互通；下行PortA可以和PortB到PortF用戶端口相通。

不是所有的交換芯片都支持PVLAN的功能，即使支持PVLAN的功能，也有可能因為設備MAC地址設置不當造成MAC地址重復問題，或者用戶通過其他渠道獲得其他用戶的MAC（比如'暴力'MAC嘗試）。PVLAN技術本身不足以完全解決用戶側(cè)MAC地址欺騙問題。解決用戶側(cè)MAC地址欺騙，存在不同的解決方法，優(yōu)缺點各不相同：

1. VMAC 在AN處，上行方向，給每個<物理端口, MAC>分配或者生成一個獨一無二的虛擬MAC（Virtual MAC，簡稱VMAC）地址。被解釋以后的MAC地址因為是設備自己產(chǎn)生的，因此是可信的，而且確保不會出現(xiàn)用戶側(cè)MAC地址重復的現(xiàn)象。使用VMAC地址代替報文的源MAC地址。下行方向，根據(jù)VMAC查找到對應的原始的MAC地址，然后使用原始MAC地址代替VMAC地址。VMAC不僅僅可用來防止用戶MAC地址欺騙，還可防止對業(yè)務服務器MAC地址的欺騙，并且也可以用于用戶端口識別。缺點是影響與MAC地址相關的協(xié)議，處理復雜。

2. MAC地址綁定 將MAC地址靜態(tài)綁定到用戶端口，如果數(shù)據(jù)報文的源MAC地址和綁定的MAC地址不同，那么被丟棄。此方法非常簡單，但存在管理難的問題。

3. 基于PPPoE Session感知的數(shù)據(jù)報文轉(zhuǎn)發(fā) 應用于PPPoE接入環(huán)境。每個用戶都對應獨一的PPPoE_SessionID。我們可以在AN上記錄一張的表，上行直接匯聚，下行可以查看該表來進行數(shù)據(jù)轉(zhuǎn)發(fā)。這樣，數(shù)據(jù)報文的轉(zhuǎn)發(fā)完全可以不使用MAC地址，也就不需要學習，從而也就不存在MAC地址重復問題。

4. 基于IP感知的數(shù)據(jù)報文轉(zhuǎn)發(fā) 應用于IPoE的接入環(huán)境。在AN上，建立一張表，因為IP是唯一的，所以不會存在IP重復的現(xiàn)象，數(shù)據(jù)報文下行轉(zhuǎn)發(fā)沒有問題。和基于PPPoE Session的數(shù)據(jù)報文轉(zhuǎn)發(fā)一樣，AN上也不需要MAC學習。

利用PPPoE Session或者IP感知的方式和傳統(tǒng)的二層交換機的轉(zhuǎn)發(fā)機制已經(jīng)有質(zhì)的不同，一般的交換芯片難以實現(xiàn)。他們的優(yōu)點是，不用修改數(shù)據(jù)報文，不會影響其它協(xié)議。

業(yè)務服務器的MAC地址欺騙將會使得網(wǎng)絡設備的業(yè)務服務器MAC地址學習發(fā)生遷移，從而造成設備下的部分用戶無法上網(wǎng)。業(yè)務服務器MAC地址防欺騙可以使用下面的技術來解決：

1. VMAC 使用VMAC可以解決在各種接入環(huán)境下的業(yè)務服務器MAC欺騙。

2. 業(yè)務服務器MAC地址靜態(tài)配置 手動將業(yè)務服務器的MAC配置到AN交換芯片的靜態(tài)MAC地址表上，這樣業(yè)務服務器MAC地址學習就不會發(fā)生遷移。

3. 業(yè)務服務器MAC地址自動配置 基本思想是，讓AN充當PPPoE或者DHCP客戶端，定期發(fā)起PPPoE或者DHCP請求，這樣就可以動態(tài)的獲取BRAS和DHCP Server/Relay的MAC地址。其優(yōu)點非常明顯：利用現(xiàn)有的協(xié)議，不用手動配置，不修改數(shù)據(jù)報文，不影響其它協(xié)議。

IP欺騙存在于IPoE接入場景下，冒用他人IP地址，盜取服務，或者沒有通過DHCP獲得配置信息的情況下接入網(wǎng)絡，妨礙了運營商的統(tǒng)一管理。解決這個問題需要在AN上實現(xiàn)DHCP IP Source Guard。它監(jiān)聽來往于用戶和DHCP Server/Relay的協(xié)議報文，在用戶沒有獲取配置信息以前，除了DHCP協(xié)議報文，其他上行報文統(tǒng)統(tǒng)拋棄。一旦監(jiān)聽到DHCP Ack報文，就綁定<分配的IP, 用戶MAC>到用戶端口，使能上行數(shù)據(jù)報文的發(fā)送，同時保證上行數(shù)據(jù)報文的和綁定的<分配的IP, 用戶MAC>一致。在DHCP租用到期后，取消這種捆綁，并且停止上行非DHCP協(xié)議報文的發(fā)送。

5 中興寬帶接入設備的安全功能及特點

經(jīng)過多年的積累，中興通訊的寬帶接入設備已經(jīng)在國際國內(nèi)大規(guī)模使用。面對各種不同的安全要求場景，中興通訊的寬帶接入設備都經(jīng)受住了各種各樣的考驗。

前面描述的技術問題，是目前業(yè)界比較關注的問題。除了提供對這些問題的解決方法外，中興通信寬帶接入設備還支持很多其他重要的安全功能。具體如下：

1. 用戶標識功能（也就是前面說的非法用戶接入）

* DHCP Option82

* PPPoE+

* VBAS

* VLAN Stacking

2. 認證

* 802.1x

* Radius client

3. MAC/IP地址欺騙

* MAC地址綁定，通過綁定MAC地址來防止MAC地址欺騙。

* IP地址綁定，通過綁定IP地址來防止IP地址欺騙。

* MAC地址個數(shù)限制，限制MAC地址個數(shù)可以減少MAC地址欺騙的可能性。

* IP地址個數(shù)限制，限制IP地址個數(shù)可以減少IP地址欺騙的可能性。

* DHCP Snooping Guard，動態(tài)綁定IP/MAC地址到端口。

4. 過量和非法報文

* 廣播報文抑制/組播報文抑制/未知單播報文抑制

* 數(shù)據(jù)流限速

* 非法協(xié)議報文過濾，PPPoE非法協(xié)議報文過濾和IGMP非法協(xié)議過濾

* 未知組播報文過濾

5. 組播安全

* IGMP協(xié)議報文抑制，基于端口和基于VLAN。

* 用戶端口組播組過濾，用戶端口組播組個數(shù)限制

* 組播組個數(shù)限制

* 組播VLAN，其他VLAN不跑組播業(yè)務

6. 高層協(xié)議安全

* SNMP v3

* SSHv2

* 路由協(xié)議認證，包括RIP/OSPF/IS-IS/BGP的各種認證

7. 其他

* ACL，強大的L2到L7多層次報文識別功能。

* PVLAN

* 網(wǎng)管IP地址限制，只有特定的IP地址才能SNMP訪問設備。

* Telnet IP地址限制，只有特定的IP地址才能Telnet訪問設備。

* 多級用戶權限和口令保護

6 結(jié)束語

對于接入網(wǎng)絡的商業(yè)應用，安全是一個重要的不容回避的問題，安全也是一個隨著時間動態(tài)變化的課題。不僅運營商高度重視安全問題，包括中興通訊在內(nèi)的網(wǎng)絡設備提供商對安全問題也是異常重視，中興通訊提供的DSLAM設備提供了接入層次的強大的安全解決方案。

參考文獻：

[1] http://www.dslforum.org/ftparchive/Working_Texts/WT-101v11.doc, 2006

[2] http://www.greatbit.com/.

[3] James Pike. 《Cisco 網(wǎng)絡安全》, 北京：清華大學出版社, 2004-09.