互联网服务商的网络安全基本策略.docx
- 文档编号:3339713
- 上传时间:2022-11-21
- 格式:DOCX
- 页数:19
- 大小:79.85KB
互联网服务商的网络安全基本策略.docx
《互联网服务商的网络安全基本策略.docx》由会员分享,可在线阅读,更多相关《互联网服务商的网络安全基本策略.docx(19页珍藏版)》请在冰豆网上搜索。
互联网服务商的网络安全基本策略
互联网服务商的网络安全基本策略
吴灵熙
[摘要]
在互联网高速进展的今天,基于网络的应用日益增加,网络安全的威逼也日趋严峻。
互联网服务商需要加强安全防范和实施有效的安全策略,才能在网络攻击中幸免于难,在严肃的安全威逼环境下生存。
本文要紧以某电信的宽带城域网和IDC为例,讲解ISP如何防范网络攻击和实施网络安全策略。
[关键词]
网络攻击,安全原那么,安全策略,攻击计策
DOS〔denial-of-service拒绝服务攻击〕,DDOS〔distributedDOS分布式拒绝服务攻击〕,ACL〔accesscontrollist访问操纵列表〕,FW〔firewall防火墙〕,Netflow/Netstream〔某些路由器或交换机支持将输入的数据包进行分类,归属成数据流,并记录相关的信息〕,IDS〔IntrusionDetectionSystem入侵监测系统〕SSH〔Secureshell一种远程治理加密协议〕
[参考文献]
«ISP安全要素ISPSecurityEssentials—BestPracticeCiscoIOS®andOtherTechniquestoHelpanISPSurviveinToday’sInternetVersion1.9»—人民邮电出版社2003年;«运算机网络大全»—电子工业出版社1997年;«运算机网络安全隐秘»—电子工业出版社1999年;«Internet网络安全专业参考手册»—机械工业出版社1997年;«TCP/IP路由技术〔第二卷〕»—人民邮电出版社2002年;«Internet/Intranet网络安全结构设计»—清华大学出版社2002年。
一.前言
1.互联网安全现状
互联网进展至今,差不多达到一个相当的规模,网络安全的威逼也日益严峻,电信公司作为一个互联网服务提供商〔ISP〕,也面临同样严肃的问题。
绝对安全的网络是不存在的。
然而能够通过一系列的措施和步骤,长期连续的在循环实施中不断加强,不断完善,达到一定的安全级别。
只有如此才能在一定程度上防范日益增长的网络安全威逼。
跟往常相比,网络安全的威逼,差不多发生了变化:
1)原先的只有专业黑客才会攻击,现在有专门多能够自由下载的黑客软件,介面友好,容易使用;
2)电子商务的日益流行,吸引黑客为了金钱利益而采取一些行动,不再是原先的炫耀个人技巧和表现自我意识;
3)互联网的基础构架〔服务商的网络核心〕面临越来越多的攻击,使得整个互联网的安全威逼越来越多;
4)通常服务商还经常接到用户的申告,期望能够提供网络安全的防护。
用户需要ISP提供安全防护和安全方面的顾问服务;
大部分电信的宽带城域网作为互联网的一部分,连接了以下几种用户:
1〕小型企业的专线用户;
2〕大型企业的专线用户;
3〕一般用户;
4〕专业用户;
依照2001年相关的统计资料说明,网络安全的攻击要紧分为以下几种类型:
1〕90%攻击用户电脑的系统/应用,包括病毒攻击,系统漏洞攻击和应用软件漏洞攻击,这几乎是每个ISP的用户天天都会面临的问题,用户一样通过加强系统的安全防范和及时更新病毒代码和软件补丁就能够排除了;
2〕9%更加严峻的DOS或DDOS攻击,这种攻击往往是需要ISP协助用户才能够解决的,是互联网上的要紧的威逼之一;
3〕1%最为严峻的攻击ISP网络的基础构架,对ISP来说,这才是真正可怕的攻击!
目前只有通过ISP的加强网络构架和安全防范才能够减小攻击引起的危害;
2.网络安全防护的范畴:
作为ISP,需要在以下的范畴实施爱护:
1〕爱护ISP自己的网络;
2〕爱护自己的用户不受来自互联网的攻击;
3〕防止自己的用户不对互联网发起攻击;
4〕能够在任何时刻内,防止相当数量的DOS/DDOS攻击;
3.ISP的安全策略:
ISP的网络安全是专门关键的,那个问题关系到ISP在互联网环境下的生存问题,不是可有可无的。
安全策略应该包含以下几个方面,这4个方面共同组成了整个ISP网络安全策略:
1〕安全防护措施,包括ACL,防火墙,加密,用户身份鉴别等;
2〕监控和反馈,包括入侵监测系统,各项状态监控等;
3〕测试系统漏洞,包括弱点扫描,模拟攻击等;
4〕网络构架增强和改进,包括网络结构调整和新安全策略制定
这4个方面相辅相成,互相关联,相互作用。
ISP的网络安全不是一成不变的,也不是一日而就的,需要长期连续的在这4个方面循环实施中不断加强,不断完善。
4.ISP实施安全的范畴
ISP的网络安全,需要在以下几个层次实施
1〕ISP网络的基础构架,包括互连中继,光缆,外线和物理设备
2〕ISP网络的安全,包括主干网络的拓扑结构,路由和带宽
3〕ISP网络的服务设备,包括接入服务设备,应用服务〔DNS,MAIL,Portal,RADIUS等〕
5.ISP网络安全防护的6个时期
1〕事先的预备
所有的ISP都需要对网络攻击做好预备,调整好网络,预备好各项工具,制定各项操作规范和技术指导书,训练职员和贯彻实施各项安全策略,其中最重要的是制定打算,当发生网络安全时刻的时候,如何应变。
2)发觉攻击
如何发觉自己或是用户正在遭受攻击;
3)攻击分类
详细了解攻击的类型和会产生什么样的危害;
4)反跟踪攻击源
研究攻击的发起源头;
5)攻击的计策
实施策略和调整,减小攻击带来的后果〔即使什么也做不了,也要收集攻击的数据〕
6)事后的分析和安全的加强
分析攻击怎么说是如何回事,采取一些措施和手段以防止下次发生类似的攻击。
本文就〝ISP网络安全的6个时期〞进行详细说明,同时以某电信的宽带城域网和IDC为例,讲解ISP如何防范网络攻击和实施网络安全策略。
二.ISP网络安全的6个时期
1.为攻击事先做好预备
第一,需要对可能的攻击做好了解:
1〕需要去了解用户什么时候可能会遭受攻击,什么缘故可能会遭受攻击;
2〕需要去了解攻击的发生情形,以及引起的严峻后果;
3〕需要设想互联网处处都不安全,要考虑一切的可能因素;
4〕要实现设想好计策和打算,以及发生攻击的应变措施;
一定要建立ISP的安全治理制度,而且要杜绝以下情形:
1〕没有安全打算,没有在制度上规定安全方面的规范;
2〕没有安全的应急措施,和应急预案
3〕没有经常练习使用工具和演练应急步骤;
4〕没有对职员进行专业和系统的培训,只是当安全事件发生后,爱护人员才得到某些的处理事件的实践体会;
关于负责网络爱护的技术主管,一定需要预备专门多具体内容:
1〕训练一个团队来应对网络安全攻击;
2〕与所有相连的ISP保持联系
3〕与要紧的网络安全厂商保持联系
4〕把安全策略归档,包括需要提供安全防护的用户资料,对攻击进行分类的标准,反跟踪攻击的方法,摆脱网络构架攻击的方法
为了便于技术准确的判定攻击和解决攻击,还需要随时预备好各项工具和方法,包括:
1〕经常在各种环境下测试各种类型的ACL,随时预备好适当的ACL以备应用
2〕经常测试Scripts脚本程序,保证都能用,随时预备好
3〕预备好测试的工具,包括模拟攻击和漏洞扫描的工具,
4〕经常进行假象攻击的讨论,必要时需要在测试环境下模拟各种类型的攻击,以检验各项工具和防备手段的可用。
5〕经常考虑采纳网络结构和系统调整的方式提高网络的安全性;
6〕要经常给用户和爱护人员培训,加强他们对TCP/IP,操作系统原理,应用软件架构和安全。
作为系统治理员,需要审计网络设备的配置:
1〕保证路由器和交换机的安全
2〕保证路由协议的安全
3〕保证整个网络的安全
作为设备爱护人员,需要详细了解整个网络的所有设备和基础构架:
1〕需要细致了解所有设备〔包括路由器、交换机、工作站等等〕需要了解这些设备怎么说能够具有什么功能;
2〕需要细致了解能够具有什么性能和容量,必要的时候应该搭个模拟环境来测试,在安全事件发生时才发觉设备性能和容量不够,是专门可怕的情况;
用以下的图例来总结ISP在应对网络安全攻击的实施步骤。
1〕第一ISP需要依照上面提到的预备内容,制定安全策略ISP’sSecurityPolicy;
2〕采纳防火墙,加密,鉴别/审计等步骤和手段来落实安全策略,实现防护。
Secure
3〕通过入侵监测系统和其他告警机制来检视网络的安全MonitorandRespond
4〕采纳漏洞扫描和模拟攻击等手段来测试网络的安全防护牢固程度Test
5〕处理安全问题和改进安全策略,具体分析安全事件的内容,修改安全打算和应急步骤,形成新的安全策略,ManageandImprove
以下从技术角度详细说明ISP在应对网络安全攻击的预备工作,需要按步骤检查和实施的具体内容:
1〕组建和预备好应急相应的团队;
任何一个ISP都需要有网管中心,网管中心内部应该加强沟通,还需要和客户,其他ISP沟通。
还要设立应急响应小组和发生安全攻击的第一时刻响应人员。
应急响应人员只是提出建议,提供关心,技术支持,和提供应急预案,不建议从事一般的爱护工作;应急响应小组一样来说隶属于网管中心。
2〕保证路由器和其他网路设备的自身安全
新购的网络设备没有安全方面的设置,一旦这些设备连接上网络,就有可能受到入侵和破坏,需要作相应的安全设置,包括关闭一些全局的系统服务,接口上的局部服务,配置登录验证授权和治理员验证,可能的话,远程治理采纳加密或隧道的方式实现。
建议对新设备加电之后所作的安全设置编写一个规范的配置步骤和标准;
3〕保证路由协议的安全
动态路由协议也是容易受到攻击的。
建议配置验证路由协议的交换〔包括常见的OSPF,IS-IS,BGP等〕,设置丢弃一些阻碍路由交换的不正常数据包〔采纳SPD等功能〕,优化路由的快速收敛,要使得路由收敛符合整个网络的情形,幸免显现路由收敛不一致导致的路由紊乱的问题。
4〕加强网络的稳固和安全
采纳路由过滤,包过滤,速率限制等手段来实现。
路由过滤应该限制入方向的路由宣告和出方向的路由宣告,过滤不必要的路由,包括:
〔1〕RFC1918,127.0.0.0/8,169.254.0.0/16等属于私有网段的路由;
〔2〕不宣告不属于自己IP范畴的路由,不接收属于自己IP范畴的路由。
〔3〕建议不接收掩码长于24位的路由〔专门情形除外〕;
〔4〕与其他ISP互连的时候,建议不接收默认路由〔专门情形除外〕;
〔5〕监视相互宣告的路由,作相关的设置防止垃圾路由的泛滥;
5〕设置的路由黑洞过滤,防止路由循环
ISP在BGP里设置本ISP的路由黑洞,能够加快IBGP的收敛和路由的稳固,有利于发生DOS/DDOS攻击的时候反跟踪攻击源,还能够防止类似〝红色代码〞的网络攻击
6〕预备旁路过滤设备
在网络中设置功能强大的安全过滤设备,把受到安全攻击的主机或网络的流量通过旁路过滤设备进行过滤,这种设置有利于网络攻击的分析和反跟踪,还能够实现利用有限的资源,动态的爱护正在受攻击的主机和网络。
7〕设置必要的包过滤
限制ISP的用户只能发送合法源地址的IP包,限制其他ISP不能发送不合法源地址的IP包,限制ISP发往用户的IP包只包括需要的应用端口。
一样采纳反向路由检测,边缘路由入口访问操纵,和动态访问操纵等方法实现。
8〕在网络的入口重设置IP的优先级
为不同的网络应用数据包区分不同优先级,设置访问操纵列表观看不同优先级IP包的情形。
9〕检查采纳默认路由的隐患
在BGP全连接的网络环境中应该尽量采纳默认路由,专门情形需要实施,也需要专门认真考虑,默认路由配置不当专门容易导致路由循环和DOS/DOS。
关于其他ISP连接的时候专门注意。
10〕治理上的安全机制
为设备配置适当的loopback地址,设置网络设备通过TFTP将配置备份到服务器上,同时通过TFTP下载配置〔有利于紧急情形下远程的配置变更〕,配置网络设备通过ftp将coredump备份到服务器上,配置syslog和snmp对设备进行监控,配置网络时刻协议同步整个网络设备的时钟和系统日志。
配置Netflow,Netstream等,便于网络攻击的反跟踪和网络流量的详细分析。
建议将流量详细的分析数据导出到服务器。
对远程带外治理的用户进行集中认证和授权,同时自动记录操作内容和系统状态变化。
限制远程带外治理的用户范畴。
2.发觉攻击
1〕一样来说受到扫描是被攻击的前兆。
要注意什么时候本ISP或用户被扫描,最好能够通过IDS或其他机制来监测可能有敌意的扫描行为;
2〕关于判定用户受攻击的情形,一样来说有以下的方法:
〔1〕对ISP爱护的用户主机应用系统进行监控,依照监控的情形判定用户是否受到攻击;
〔2〕安排7x24小时的热线支持,以用户申告热线为准,判定用户受到攻击;
〔3〕在网络中配置IDS系统,依照IDS检测的情形判定用户受到攻击;
3〕判定ISP自己受到攻击,一样来说,要依照网管中心的各种告警信息,包括突发的网络流量,部分网络的连通阻断等
〔1〕采纳SNMP收集设备的CPU情形,当发觉CPULoad不正常,能够判定为受到攻击,其中CPUload包括传送数据和系统进程两个部分。
假如传送数据的CPUload专门高,一样来说是受到突发网络流量的攻击;假如系统进程的CPUload专门高,一样来说是受到假装源地址,伪造应用类型的DOS攻击,或是系统的某些进程有问题
〔2〕利用Netflow提供的信息发觉攻击,第一,需要在网络设备上启动Netflow,然后需要统计正常情形下的到达某个ISP主机的数据流情形,当通过Netflow监测到当前数据流大大超过正常情形下的流量情形,一样来说能够判定为受到攻击
〔3〕应用DANTE〔基于主机的监控软件〕判定攻击,主机接收到的错包比例超过2%,主机收到的大量的包只有源IP地址不同,主机建立的大量TCP半连接都超时,主机收到大量长度专门小的包等,都能够作为主机受到攻击的依据。
〔4〕依照IDS的监控判定攻击,要经常更新IDS入侵检测的特点列表。
最好在旁路过滤的节点上部署IDS,要经常用模拟攻击的攻击测试IDS的可用性。
要过滤IDS的告警信息,不要让严峻的告警埋住在一般信息当中。
3.攻击分类
发生攻击后,需要明白我们收到的攻击的具体类型,能够通过客户申告同时提供受攻击的信息来判定,也能够通过ISP内部的工具和一些操作手册来判定。
关于攻击的分类,最重要的是要查清晰攻击的源地址和协议类型!
能够配置带permit的ACL,应用在可能的端口上,检查ACL的match信息来显示不同分类的协议包信息。
预备好旁路过滤设备,一旦发生攻击,ISP的旁路节点就宣告一个受攻击IP的最长路由,就把攻击的流量旁路到该设备进行分析和过滤。
通过syslog和snmp以及将攻击日志导出,通过Netflow和sniffer等工具将具体的攻击行为详细记录下来。
4.反跟踪攻击源
关于合法IP源地址的攻击是专门容易的情况,一样来说DOS/DDOS攻击都会采纳一些私有网段的IP地址作为源地址,伪造源地址的攻击也会伪造专门多源地址,追踪攻击源是专门困难的情况,专门是不同ISP互联的时候,更为困难。
假如攻击的源地址是真实的,反跟踪就容易得多。
能够通过路由表,InternetRoutingRegistry〔IRR,互联网路由注册〕和InterNIC直截了当找到对方的详细信息。
假如源地址是假装的,需要反跟踪该攻击数据流在本ISP网络中的流向,才能反跟踪到攻击的源头,假如反跟踪到上一级的ISP,这需要上一级ISP连续反跟踪下去。
直到找到该伪造源地址攻击源。
判定攻击的源头,第一需要搞清晰攻击是来自ISP网络内部依旧外部。
一旦搞清晰攻击的差不多类型〔IP源地址和协议类型〕,需要一步一步反跟踪到攻击的入口。
一样来说,有3种方法能够确定攻击的入口:
1〕配置临时ACL,同时配置log参数,将ACL应用到可能的入口上,观看是否确实是攻击的入口。
2〕查询Netflow的流状态表,能够看到攻击数据流来自那个接口
3〕反向散射技术。
把攻击流导向到路由旁路节点,采纳路由旁路节点的监测工具实现反向跟踪。
5.攻击的计策
采取一些措施减缓攻击的危害,最好是能够直截了当终止攻击!
实施这些措施之前要认真考虑,不要因为采纳相应攻击的措施而带来其他的问题。
实在不行也能够什么都不做,只是记录攻击的数据包或中断受攻击节点网络连接。
大多数的ISP一样是采纳以下的措施来关心他们的用户:
1〕对攻击的数据流进行数率限制
2〕封闭/丢弃基于某些源地址和协议类型的数据包
反应必须是快速,果断,稳妥的。
同时具有多个实施预案备案。
一样来说,有3种技术用来实现包丢弃和速率限制
1〕ACLs—手工加载
ACL是一种传统的终止攻击的手段,然而具有扩展性问题。
在专门多专门多的路由器上配置ACL是一种专门痛楚的情况。
假如发生不止一个攻击,针对不止一个用户,用ACL来终止攻击简直是专门可怕的情况。
而且专门容易因为手工输入的错误引起其他的问题。
2〕uRPF能够通过BGP远程触发
uRPF的要紧实现步骤:
〔1〕uRPF不需要在所有边界路由器上进行检测和配置;
〔2〕事先在边界路由器上配置测试网段〔例如:
192.0.2.1〕的IP路由添加静态路由指向到null0,uRPF
〔3〕用BGP的公共属性在网络中插入一个BGP的宣告路由,就能够触发丢弃指定特点的攻击包。
uRPF的相关于ACL的好处在于:
不需要手工添加ACL;不需要改变路由器的配置;在攻击包转发路径上就能够实现丢弃;专门是在同时发生多起攻击和多个攻击源的时候,专门容易动态配置。
3〕CAR的手工加载或通过BGP远程触发
CAR和其他的速率限制功能,是对应攻击的常用的有效反应。
对攻击的数据流进行速率限制能够监控的监控攻击的情形。
速率限制的同时,还能够收集数据,用于事后采纳法律手段解决问题提供证物。
QOSgroupsupport(QPPB)功能能够实现远程触发CAR,而不用登录到路由器。
配置3层的输入和输出的速率限制,专门是输入的速率限制是专门重要的。
采纳输入输率限制来实现安全过滤,在那些造成危害的攻击包被转发穿透过整个网络之前,就被丢弃
能够采纳汇聚和细颗粒度的分类限制,包括应用端口,MAC地址,IP地址,应用类型,优先级和QOS的ID;
CAR能够实现对突发的〝网络浪涌〞进行限制!
CAR的输率限制差不多是被证明应付DOS/DDOS攻击的有效措施,然而问题在于如何快速的变更配置当专门多网络入口的路由器,专门是攻击复杂多样,从多个方向同时进行的时候。
这种情形下,最好的方法是CAR,CAR是一种基于FIB机制的操纵功能,由CEF实现的,能够采纳网络协议触发而不用手工配置。
能够实现给予特定源地址和目的地址的速率限制。
通过BGP的公共属性标志,针对特定的目的地址前缀,传递IP优先级,实现速率限制。
承诺网络入口的路由器对输入的流量区分优先级。
同时承诺IP优先级基于ACL和AS-path等属性设置。
还能够在ISP之间实现服务水平承诺〔SLA〕
6.事后的分析和安全的加强
从错误中得到学习是防范攻击的关键
•千万不能等下次故障发生的时候才实施防范策略
1〕在发生安全事件之后,一定要花时刻去研究是不是过程,步骤,工具,技巧和配置能够改进的地点。
2〕这是种专门好的学习机会,只有在对错误地总结中学习才能专门快的提高
三.以某电信宽带城域网和IDC的两次攻击为例说明
1.某电信宽带城域网的Bras故障
1〕电信宽带城域网的宽带接入部分网络结构:
某电信城域宽带网采纳Cisco7206VXR作为PPPOE服务器,以CiscoCatalyst6509为汇聚层设备。
用户只要采纳ADSL方式接入,以PPPOE方式接入网络。
该7206以两条FE链路捆绑成FEC实现上行链路的负载分担和带宽增倍。
2〕网络安全攻击的现象说明:
某日,该电信网管中心接到用户申告:
差不多建立PPPOE连接的上网速度专门慢;建立PPPOE网络连接后容易断线,PPPOE认证过程中,提示用户名和密码错误。
从网管监控看到,该PPPOE服务器7206的上联链路〔FEC〕输入方向流量专门大〔达到80M上行/140M下行〕,而且该链路的丢包情形专门严峻,达到2%.
该7206差不多不能远程登录治理了,设备爱护人员通过console端口连接7206,发觉CPULoad专门高〔达到5Sec95%/80%〕
3〕网络攻击的分析,反跟踪和计策
依据上述的判定攻击的步骤,依照CPULoad的情形,初步判定,发生了网络浪涌攻击。
〔1〕为了不被告进信息打断,能够正常输入配置命令,第一排除6509在console输出系统信息:
jt6509(config)#nologgingconsole
〔2〕然后在上联的6509上定义ACL,同时在与7206的接口上应用该ACL:
access-list169permiticmpanyanyecho
access-list169permiticmpanyanyecho-reply
access-list169permitudpanyanyeqecho
access-list169permitudpanyeqechoany
access-list169permittcpanyanyestablished
access-list169permittcpanyanyrange065535
access-list169permitipanyany
interfaceport-channel1
ipaccess-group169out
〔3〕执行shouipaccess-list169观看6509发送往7206的数据包
jt6509(config)#showipaccess-list169
ExtendedIPaccesslist169
permiticmpanyanyecho(2matches)
permiticmpanyanyecho-reply(21374matches)
permitudpanyanyeqecho
permitudpanyeqechoany
permittcpanyanyestablished(150matches)
permittcpanyany(15matches)
permitipanyany(45matches)
发觉是ICMP的flood攻击,然而需要进一步研究怎么说是从哪里来的攻击?
〔4〕加大6509的logingbuffer:
jt6509(config)#loggingbuffered8192000
然后在上联的6509上定义新的ACL,同时在与7206的接口上应用该ACL:
access-list170permiticmpanyanyecho
access-list170permiticmpanyanyecho-replylog-input
access-list170permitudpanyanyeqecho
access-list170permitudpanyeqechoany
access-list170permittcpanyanyestablished
access-list170permittcpanyany
access-list
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 互联网 服务商 网络安全 基本 策略