以软交换为核心的下一代网络采用IP分组网络承载,传统的IP网络是一个尽力传送和开放自由的网络,有些IP网络用户可以不经任何认证和鉴权就可以接入IP网络,IP网络用户也不需要进行任何业务认证与鉴权。IP网络的开放性是推动互联网发展的重要因素,但同时也带来了网络的安全隐患。NGN采用IP承载网络,如果在建设初期没有合理规划,将会存在更大的安全威胁。
NGN网络安全威胁
终端设备安全威胁
软交换网络中存在大量的终端设备,包括IAD设备、SIP/H.323终端和PC软终端等。软交换网络接入灵活,任何可以接入IP网络的地点均可以接入终端。但是,这种特性在为用户带来方便的同时,也导致可能存在用户利用非法终端或设备访问网络,占用网络资源,非法使用业务和服务,同时,某些用户可能使用非法终端或设备向网络发起攻击,对网络的安全造成威胁。另外,由于接入与地点的无关性,使得安全威胁发生后,很难定位发起安全攻击的确切地点,无法追查责任人。
网络安全威胁
由于缺乏合理有效的安全措施,以IP为基础的因特网网络安全事件十分频繁,主要包括蠕虫病毒的泛滥和黑客的攻击。当前互联网病毒十分猖獗,每天都有新病毒出现,这些病毒轻则大量占用网络资源和网络带宽,导致正常业务访问缓慢,甚至无法访问网络资源;重则导致整个网络瘫痪,造成无法弥补的损失。另外,黑客凭借网络工具和高超的技术,攻击网络上的关键设备,篡改上面的路由数据、用户数据等,导致路由异常,网络无法访问等。
软交换网络采用IP分组网作为传输承载,而且软交换网络提供的业务大部分属于实时业务,对网络的安全可靠性要求更高。当网络由于病毒导致带宽大量被占用,访问速度很慢甚至无法访问时,软交换网络就无法为用户提供任何服务。
关键设备安全威胁
软交换网络中的关键设备包括:软交换设备、媒体网关、信令网关、应用服务器、媒体服务器等。由于下一代网络选择分组网络作为承载网络,并且各种信息主要采用IP分组的方式进行传输,IP协议的简单性和通用性为网络上对关键设备的各种攻击提供了便利的条件。目前对网络设备常见的攻击有:
——DoS和DDoS攻击
DoS攻击:DenialofService,也就是“拒绝服务”的意思,指通过过量的服务从而使软交换网络中的关键设备陷入崩溃的边缘或崩溃。包括UDPflood、SYNflood、ICMPflood、Smurf攻击、IP碎片攻击、畸形消息攻击等。DDoS攻击:DistributedDenialof Service,即“分布式拒绝服务”。它是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式。它通过入侵一些具有漏洞的主机,并操控这些受害主机,以其为攻击平台向软交换网络中的关键设备发起大量的DoS攻击,从而导致软交换网络中的关键设备因无法处理过多的服务请求而瘫痪。
——利用型攻击
此种攻击方式以通过窃取用户密码等方式获取关键设备的控制权为目的,主要包括口令猜测、特洛伊木马和缓冲区溢出等手段。
由于目前软交换网络中的关键设备(如软交换、网关和各种服务器等)的硬件实现普遍基于通用平台(CompactPCI),各种应用服务器同样基于业界流行的主机、服务器等,这就导致黑客可以利用一些已知的后门和漏洞来攻击主机,非法获取主机的口令和密码,达到控制关键设备的目的。
信息安全威胁
信息安全主要包括软交换与终端之间信令消息的安全、用户之间媒体信息的安全以及用户私有信息(包括用户名、密码等)的安全。由于软交换网络采用开放的IP网络传输信息,这样在网络上传输的数据就很容易被监听,如果软交换与终端之间的信令消息被监听,有可能导致终端用户私有信息的泄露,导致监听者可以利用监听到的信息伪造成合法用户接入网络;如果用户之间媒体信息被恶意监听,将导致用户私密信息的泄露。
NGN网络安全解决方案
边界隔离
★防火墙隔离
软交换网络关键设备如软交换、应用服务器和网关等放置在IP网络上,相当于IP网络上的主机,存在着被攻击的危险,为保证关键设备的安全,需要在重要的网络设备前面放置防火墙以保证软交换核心网络设备的安全。
防火墙通常具有以下功能:
1)防火墙定义了单个的阻塞点,将未授权的用户隔离在被保护的网络之外,禁止潜在的易受攻击的服务进入或离开网络,并且对于不同类型的IP欺骗和选路攻击提供保护。
2)防火墙提供了监视与安全有关事件的场所,在防火墙系统中可以实现审计和告警。
3)防火墙可以实现网络地址转换以及审计和记录网络使用日志的网络管理功能。
防火墙最重要的功能就是包过滤功能,包过滤应该做到按照IP报文的如下属性——源IP地址、目的IP地址、源端口、目的端口、传输层协议进行过滤;部分厂家的防火墙还可以做到基于报文内容的访问控制,即可以检查应用层协议信息并监控应用层协议状态。
★信令媒体代理设备隔离
为保障软交换网络的安全,可以将软交换网络进行安全区域的划分,根据软交换网络中设备的安全需求以及软交换网络的安全区域,划分成内网区和外网区两个安全区域。
软交换网络内网区:由软交换、信令网关、应用服务器、媒体服务器、中继网关、大容量用户综合接入网关等设备组成的网络区域。该网络区域设备面向大量用户提供服务,安全等级要求高。
软交换网络外网区:由SIP终端、PC软终端、普通用户IAD等终端设备组成的网络区域,该网络区域设备放置在用户侧,面向个人用户提供服务。
内网区和外网区的互通,通过信令媒体代理设备实现,信令媒体代理设备除进行外网区终端访问软交换和网关设备的信令、媒体转发之外,同时在安全方面应具有以下功能:
1.设备应能支持基于SIP、MGCP和H.248协议的应用层攻击防护。
2.设备应能对异常消息、异常流量等高风险行为进行识别并产生实时告警,供维护人员作进一步处理。
3.对于以下情况,设备应能进行识别并按照预定策略进行处理。
(a)应能根据用户注册状态进行消息的处理,对未注册用户发送的非注册消息进行丢弃处理;
(b)设备应能对注册鉴权失败的用户终端建立监视列表,记录IP地址/端口和用户名,并能采取相应措施。
4.设备应具有防常见DoS攻击能力。
网络隔离
把NGN与其他网络进行物理隔离,即在物理上单独构建一个独立的网络,可以有效规避外部攻击,但是这种建网与维护成本显然较高,所以这种方法并不可取。近年来,随着VPN技术的成熟,在同一个物理网络上构建不同的VPN已经实际可行,可以采用MPLS、VLAN等VPN技术从分组数据物理网络中划分出一个独立逻辑网络作为NGN虚拟业务网络,把NGN从逻辑上与其他网络进行隔离,其他网络用户无法通过非法途径访问NGN网络,将可以避免来自其他网络特别是Internet网络上用户对NGN网络的攻击与破坏。
数据加密
为了防止NGN中传送的信令和媒体信息被非法监听,可以采用目前互联网上通用的数据加密技术对信令流和媒体流进行加密。
对于IP网络上的信令传输,目前提出的主要安全机制是IPSec协议。在Megaco协议规范(RFC3015)中,指定Megaco协议的实现要采用IPSec协议保证媒体网关和软交换设备之间的通信安全。在不支持IPSec的环境下,使用Megaco提供的鉴权头(AH)鉴权机制对IP分组实施鉴权。在Megaco协议中强调了如果支持IPSec就必须采用IPSec机制,并且指出IPSec的使用不会影响Megaco协议进行交互接续的性能。IPSec是IPv4协议上的一个应用协议,IPv6直接支持IPSec选项。
对于媒体流的传输,采用对RTP包进行加密,目前主要采用对称加密算法对RTP包进行加密。
对于用户账号、密码等私有信息,目前采用的加密算法主要是MD5,用于用户身份的认证。
访问控制
★接入用户身份认证
软交换终端用户特别是智能终端、PC软终端、桌面IAD等接入NGN网络时必须经过严格的认证,确认用户的身份后才允许用户接入NGN网络。
用户接入认证时可以采用保密强度比较高的公开密钥体系来进行,以保证用户身份的可靠性。NGN系统认证确认用户身份接入NGN网络后,可以把用户标志、IP地址等信息进行绑定并记录到网络安全日志中。这样一旦用户的身份在接入时得到了确认,即使个别用户进行网络破坏也很容易通过网络的安全日志迅速定位和查处该用户。通过这种方式从根源上基本可以杜绝从用户侧发起网络攻击而导致的网络安全问题。另外,可以强制软交换或终端网管设备对终端的IP地址、MAC地址与终端标志进行匹配,当终端标志正确,但是IP地址或MAC地址不正确时,也不予提供接入和服务。
★访问控制
1.设备管理控制台访问
控制台是设备提供的最基本的配置方式。控制台拥有对设备最高配置权限,对控制台访问方式的权限管理应拥有最严格的方式。包括:用户登录验证、控制台超时注销、控制台终端锁定。
2.异步辅助端口的本地、远程拨号访问严格控制通过设备的其他异步辅助端口对设备进行本地、远程拨号的交互配置,缺省要求身份验证。
3.TELNET访问严格控制Telnet访问
用户、缺省要求身份验证,以及限制Telnet终端的IP地址,限制同时Telnet用户数目等。
NGN网络安全建议
根据前面的论述,为了保证所构建的NGN网络的安全性,必须做到以下几点:
1.在网络关键设备前放置防火墙和信令媒体代理设备,防止对网络关键设备的攻击;
2.把NGN与Internet等其他网络进行隔离,保证除NGN设备和用户外其他用户无法通过非法途径访问NGN;
3.对用户与软交换交互的信令消息进行加密,确保无法被非法监听;
4.在接入层对用户接入和业务使用进行严格控制,用户必须经过严格的鉴权和认证才可以接入NGN网络,用户的业务使用也必须经过严格的鉴权和认证。
软交换、应用服务器和各种网关设备组成封闭的MPLSVPN网络,对于内部大客户可以通过专线直接接入,其他非信任区域的终端用户只能通过信令媒体代理设备访问,同时采用IPSec加密交互的信令消息。软交换和信令媒体代理设备严格控制终端的接入,对终端标志、IP地址、MAC地址进行认证。
总之,下一代网络的安全保证是一个系统工程,使用任何单独的技术都无法完成这个任务,只有综合运用加密、认证、防攻击等各种安全保障手段,并且相互配合才可以构建一个安全的下一代网络。