网络融合 安全为先
运营商应对电信网络IP化的安全策略
中国电信股份公司广州研究院 金华敏 沈军 2007/01/29
随着软交换网络的逐步投入商用以及第三代移动通信网络(3G)全IP承载技术的日益成熟,加之此前以IP网络技术为基础构建的互联网络在全球范围的飞速发展,电信网络的IP化趋势已经不可逆转。电信网络IP化在给电信运营商带来业务多样化、业务控制能力加强、网络建设成本降低等诸多好处的同时,IP网络所固有的安全问题始终是电信网络IP化中挥之不去的阴影。网络安全,已经成为电信网络IP化过程中运营商必须解决的重要问题之一。
目前不少电信运营商在考虑软交换、3G等业务的承载时,往往一开始就将眼光投向目前已经建成并正在运营的公众互联网络,这种想法一旦付诸实施将给电信业务的开展留下巨大的安全隐患。现有的公众互联网络为了迎合互联网络开放性和端到端透明的需要,业务流、信令和控制流、网络和业务管理流在同一网络空间承载,导致电信运营商的网元设备、业务系统和管理系统等对用户可见,这就给恶意用户对这些设备和系统的攻击创造了条件,一旦攻击成功将可能影响某一电信业务甚至一系列电信业务的提供。同时,公众互联网络上频发的大规模异常攻击流量以及垃圾邮件、虚假地址流量等垃圾流量,都在大量挤占网络带宽,将直接影响语音等电信业务的服务质量。鉴于上述种种安全风险,运营商需从平面分离控制及带宽管理等方面着手,建设一张安全的电信IP承载网络,以满足电信网络IP化的要求。
网络平面的逻辑分离
首先,应在目前IP网络架构下实现各电信业务的业务平面、控制平面、管理平面的逻辑分离,其中互联网业务平面主要承载互联网业务流,互联网控制平面承载IP路由控制信息,互联网管理平面承载互联网业务的认证、计费、网管信息;软交换业务平面主要承载语音流、媒体流,软交换控制平面承载信令流,软交换管理平面承载相应的认证、计费信息等。通过平面的逻辑分离,一方面使电信运营商的关键业务系统和管理系统对用户不再直接可见,有效避免恶意用户对这些设备和系统的攻击;另一方面可限制安全问题的影响范围,即某个电信业务存在的安全问题不会扩散影响至其它电信业务,例如互联网用户将无法直接攻击软交换、3G等业务。
不同平面的逻辑分离可通过以MPLSVPN为主,VLAN、专线接入为辅的方式实现。考虑具体实施难度,互联网业务平面和互联网控制平面可直接承载在IP网络上,互联网管理平面、软交换业务平面、软交换控制平面、软交换管理平面等分别承载于不同的MPLSVPN中。核心设备,如TG、SG、SS等,可用光纤/SDH/MSTP等方式通过就近的PE接入相应的VPN。大客户终端可通过独立专线或原有专线中新增的逻辑通道接入VPN。对于公众散户终端,可为其互联网业务流量和软交换业务流量等分配不同的VLANID,进而将不同的流量引到相应的VPN。
平面内的安全保护
其次,在对各平面逻辑隔离形成不同的安全区域后,应该根据各域的特点辅以相应的安全保护和控制措施。
业务平面实现用户终端接入,因此该平面防护的主要目标是加强用户认证,防止非授权用户接入网络,譬如在软交换业务边缘接入控制设备BAC上设置访问控制列表,对未注册用户发送的信息进行丢弃等。同时需要加强业务和网络资源使用的控制能力,避免部分用户产生的大量垃圾流量影响正常用户的网络使用,例如对于用户私自架设SMTP邮件服务器滥发垃圾邮件的行为,可通过在用户的接入点设置过滤规则来进行全网边缘化控制,防范垃圾邮件流量穿透至大网。
控制平面承载了信令流和IP路由信息等,保障控制平面的安全是其它平面能够正常工作的基础。控制平面防护主要应加强网元设备之间的信令和路由控制信息的认证及控制,避免受到虚假信令和路由信息的干扰。以互联网控制平面防护为例,应选用具有邻居认证的网络路由协议,并在实际使用中启用路由认证机制,以确保系统接受的所有路由更新都来自正确的邻居;同时需要加强路由的保密性,尽量避免对外部自治系统宣告关键系统的地址空间,实施路由保护。
管理平面的防护目标是保护各网元设备和系统的安全性,减少其受到网络攻击或被入侵的可能性。具体防护措施可包括:加强网元设备和系统的安全配置,关闭可能会给系统带来安全风险的网络服务;实施对设备和系统的访问控制,限制远程访问的终端地址范围,并对远程访问通信进行安全加密;构建统一认证鉴权系统,加强设备和应用的身份认证和授权;加强网络管理和业务终端的终端安全管理。
平面间的访问控制
再次,在互联网络/软交换/3G不同业务之间或同一业务不同平面之间,由于业务要求需要进行信息交互时,为保证网络的安全性,应尽量仅实现在应用层的有限互联,避免在网络层的直接互联,并辅以相应的访问控制策略。访问控制策略的设置应遵循最小化原则,即平面间只开放所需的最小互访权限;要严格限制互联网业务平面等低安全级别平面到其它高安全级别平面的访问,防止互联网攻击者借此互访通道入侵软交换/3G等关键业务系统。以软交换为例,部分的软交换业务平台有着接收来自互联网的业务定制或配置的需求,需要将来自互联网的业务信息传入软交换业务平台,在这种情况下,为避免平台直接与互联网相连所带来的风险,可将两者之间的访问规则设置为只允许该业务平台到互联网的应用层连接,由业务平台定期读取互联网业务定制请求。
启用带宽管理机制
最后,在同一物理网络承载互联网络/软交换/3G等不同业务的情况下,需要实施不同业务之间以及同一业务不同流量平面的带宽管理机制,避免某一业务、某一平面发生的大规模异常流量等安全问题给其他业务和平面造成影响。考虑流量的QoS等级划分,管理和控制信息安全是保障业务正常运作的关键,因此管理平面和控制平面应赋予比业务平面更高的QoS等级;在不同业务平面之间,软交换、3G承载了语音等实时性要求较高的业务,因此软交换和3G等业务应赋予比互联业务更高的QoS等级。
QoS可采用DiffServ模型实现对流量的分类、标记、队列调度和拥塞管理。接入层面可通过专线或CoS区分机制来实现分类和标记,例如对SS、TG等核心系统以及大客户终端等,可使用专线方式完成不同业务的分类和标记。在队列调度和拥塞管理方面,针对时延敏感的语音流、关键的信令流,应考虑通过优先级队列策略保证其带宽资源,而对于其他流量可采用加权公平队列策略(WFQ)。这样一方面使重要的业务流和控制流有良好的带宽保证,另一方面也可以使其他流量得到公平的带宽保证。在通过队列管理各个业务流量的同时,可辅以带宽限制手段,对DDOS流量加以压制,降低其对正常业务流的影响。
综上所述,随着电信网络IP化后NGN、3G承载逐步转向IP网络,作为业务承载核心的电信IP网络,必须对网络安全问题进行周密的考虑,只要在网络改造或网络设计和实施上充分考虑以上的各点要求,真正实现电信网络安全将不再遥不可及。
中国信息产业网(www.cnii.com.cn)
相关链接: