1、寬帶接入網絡的安全Security of Broadband Access Networks2006-10-12作者:王德強摘要:寬帶接入網絡的技術發展迅速，其應用也越來越廣泛，但是安全問題也伴隨著它的發展成為大家越來 越關心的問題。在接入網環境下，用戶、接入設備和網絡都面臨著各種威脅，特別是來自用戶側的威脅。針對當前網絡中出現的問題，可以采用端口定位、媒體訪問控制(MAC)地址防欺騙、非法業務監測等技術和 方案加以解決。關鍵字：寬帶接入；安全；寬帶接入遠程服務；接入節點；DSL接入復用器英文摘要:The broadband access security is receiving incre

2、asing attention as the broadband access network technology is growing briskly and broadband-enabled applications become more extensive.In an open access scenario, users, access equipments and networks are confronted with all kinds of threats and challenges, especially those from users ends. Preventi

3、ve measures and solutions can be taken to unlock such challenges, which include port positioning, anti-spoofing of Media Access Control (MAC) address and monitoring of illegal services英文關鍵字:broadband access; security; broadband remote access service; access point; DSL access multiplexer最近10年，寬帶接入網絡在

4、全球蓬勃發展，越來越多的個人用戶和企業用戶通過寬帶接入到 Internet。同時，用戶對網絡性能的要求也越來越高，他們不再滿足于暢通無阻的高帶寬接入能力，逐漸 對服務的質量提出了更高的要求。在服務質量(QoS )中，一個重要的不能忽視的指標就是安全保證。1寬帶接入安全性問題寬帶接入網絡的快速發展使得寬帶用戶數成倍增加，但是也使得網絡遭受安全攻擊的可能性大大增 加。特別是引入以太網技術、IP技術后，接入網安全性問題日益凸現。因為以太網絡是共享式的網絡，它 的優點和缺點均很明顯。當前網絡上很多黑客工具可以用來在以太網上興風作浪：監聽他人信息、盜取業 務、發起拒絕服務(DOS)攻擊1，造成網絡設備癱

5、瘓。IP網絡因為歷史原因，最初在安全性方面的設計考 慮不多。IP網絡上的業務大都通過智能終端來完成，處于運營商控制范圍內的中間設備主要的功能就是交 換，運營商對業務很難控制，這就為惡意用戶提供了開展破壞活動的空間。為提供“電信運營級”的接入網絡，為用戶提供安全的接入服務，檢測非法業務，保證網絡設備正 常運行，目前是設備提供商和電信運營商共同關注的問題2-3。目前，寬帶接入技術呈現多樣化趨勢，包括數字用戶線(DSL)、混合光纖/同軸電纜(HFC)、無源光網 絡(PON)和WiMax無線接入等，他們都具有如圖1所示的網絡架構：寬帶接入網絡的架構包括以下幾個組成部分：用戶自組網絡用戶自組網絡是以家庭

6、網關為核心組成的局部網絡，這個網絡物理上歸屬于用戶。DSL是當前最普 遍的用戶接入方式。(2 )接入節點接入節點完成用戶線纜的物理終結，或者無線信道的終結，實現用戶數據的匯聚，滿足高密度、多 形式的接入。接入節點最靠近用戶，是運營商網絡的邊緣，是安全防護的第一道門檻。在接入網安全問題 中，接入節點處于重要的地位。以太網匯聚網絡因為性價比突出，以太網受到運營商的青睞。進一步，以太網同時也肩負匯聚數據和網絡內部數據 交換的任務。寬帶網絡網關寬帶網絡網關包括很多功能：終結以太層及其對應的封裝、用戶認證(結合認證服務器)、用戶端自 動配置、QoS業務保證等。物理上，寬帶網絡網關可以是一個設備，也可以是

7、多個設備，執行寬帶接入遠 程服務器、動態主機配置協議(DHCP)服務器(或DHCP中繼器)和路由器的功能。接入節點、以太匯聚網絡和寬帶網絡網關屬于運營商所有，這些設備或者網絡對運營商而言都是可 信的。用戶自組網絡歸用戶自己所有和使用。對運營商而言，用戶自組網絡是不可信的。安全威脅大都來 自不可信網絡內惡意用戶或者程序的攻擊。當然，有時安全問題也產生于可信任域內，比如因為設備不穩 定等原因產生的安全問題。但安全問題主要還是來自不可信域對可信任域的安全威脅。歸納起來，接入網絡中主要有下面的一些安全問題：非法用戶的接入。非法報文和惡意報文發送。通過媒體訪問控制(MAC)/IP地址欺騙，如冒用MAC地

8、址或者IP地址，偷取他人的業務服務或者 造成DOS攻擊。非法業務，如開展非法的IP語音(VoIP)業務、私拉亂接用戶等。下面依次對上述問題以及與其相對應的解決方案展開論述。2非法用戶接入非法用戶接入性質嚴重，直接影響運營商的運營收益。如果不對用戶進行識別和認證，那么非法用 戶接入就會大量存在。用戶識別與認證技術已經非常的成熟，基于以太網的點到點協議(PPPoE)、DHCP+Web和802.1x協議 等已經被普遍使用。當前，業界關注的問題是：對用戶端口(也稱為用戶線路)的識別。在零售模式下，每 個用戶在接入節點處都有一個邏輯端口，有線環境下是硬端口，無線環境下是一個軟端口。如果認證服務 器只是通

9、過用戶名來識別用戶，那么用戶可以把自己的用戶名和密碼共享給其他用戶，其他用戶也能通過 這一邏輯端口上網，這是運營商不希望看到的，會造成運營商的運營收入的減少。在基于ATM的點到點協議(PPPoA)為主要接入方式時，用戶虛通道(VC)在寬帶接入遠程服務器(BRAS)上終 結，因此，用戶的端口信息直接就可以在BRAS上獲取。現在，PPPoE和IPoA是主要的接入方式。在這兩 種接入方式下，物理上，用戶線路在接入節點處就被終結；VC信息要么在接入節點處終結，要么根本沒有， 因此BRAS沒有辦法直接獲取用戶的端口信息。所以，必須有一套有效的機制能夠將接入節點處的用戶端口 信息傳遞給BRAS。當前，有多

10、種用戶端口(或者用戶線路)識別方案被提出來：DHCP option82 協議DHCP Option82(RFC3046)協議在DHCP(RFC2131 )的基礎上，對協議流程進行了擴充。接入節點需要 截獲DHCP上下行協議報文，扮演二層DHCP中繼代理的角色。上行方向，將端口信息(也就是uPortID)插 入到協議的Option82字段中；下行方向，剝離此字段信息(可選)。圖2為協議交互示意圖。PPPoE+協議PPPoE+協議又稱為PPPoE中間代理。和DHCP Option82類似，它對PPPoE協議報文進行了擴充。接 入節點截獲PPPoE搜索階段的協議報文，在上行方向插入端口信息。圖3為P

11、PPoE+協議交互示意圖。VBAS 協議VBAS協議和PPPoE+略有不同，VBAS協議修改PPPoE的流程，在用戶與BRAS協議交互中，插入BRAS客戶機與接入節點的交互，獲取端口信息。圖4為VBAS協議交互示意圖。RiiDIPDOP.BDRuFC-dlD RFQUC5TuEHD .此 KRig中目技理職場:寬壽跳入遠牡張髡囂邛E ： EE主句搜索詢蛟妄主卻慎索啟旬報交邛DE：EE主句索會話蜩帔妄Wig ：E主卻慎索提供報交哄耳于頃木畛點留點1D汝圖耳VBAS協議玄互示意圖虛擬局域網棧虛擬局域網棧(VLAN Stacking)采用雙標簽(Tag)，使用內層VLAN來唯一標識用戶端口信息。虛擬

12、MAC虛擬媒體訪問控制(VMAC)對每個用戶數據報文的源MAC地址按照特定規則進行翻譯，翻譯后的MAC 地址包含了用戶端口信息。這樣BRAS在PPPoE協議交互時，就可以直接從源MAC地址信息中獲取用戶端口 信息。各種用戶端口識別方案的優缺點如表1所示。甲表1各種用戶端口識別方案的憂缺點D CP 口 OlE WEPOE+,性5伽|.此T充風有忸戒，無翻外的 町臨蜘建， 理解利觀方便.也戒有一定的可/匕 可用卑控制用戶其他后 性，如口兇1用戶寺寬等.與業案不關I效具有悄強的安全d酒點常妥或時獰橋DHB麝口珍息皆式不沆一.TDSlBM，配 置裳呆，詛SD受收.只支二居ViEif劃，日時覦支胎二居詭

13、麗標笛，對沒宙段求町嫉相關住較大， 滯耍點齡t理利：虛損局嫌聊易于頃志命的點碼點10戒匚：媒體由同控制例1虹：虔報媒悻訪月控削必斗艮至匝置3非法報文和過量報文上行方向，因為用戶自組網絡不受控，惡意用戶或者惡意程序就可構造非法協議報文，向上發送， 這不僅會導致網絡設備處理性能下降，有時還造成網絡設備系統紊亂甚至死機。另外，如果惡意用戶或者 程序過量地上行發送協議、廣播報文，無論是合法還是非法，同樣會造成系統設備性能明顯下降，因為協 議、廣播等報文的處理非常消耗設備資源。下行方向，盡管處于可控的網絡域內，但是因為設備自身穩定性問題，以及網絡復雜性問題，也可 能會出現非法或者過量報文發送，也需要進行

14、防范。非法報文包括：非法源MAC地址報文。源MAC地址不能是廣播或者組播地址，因為有些MAC地址已經被標準組織 所預留，不能被普通用戶使用。非法協議報文。從理論上分析，互聯網組管理協議(IGMP)上行方向不可能有詢問(Query)報文，下行方向不可能有報告/離開/加入(Report/Leave/Join)報文；DHCP協議上行不可能出現提供/確認 (OFFER/ACK)報文，下行不可能出現發現/請求(DISCOVER/REQUEST)報文；PPPoE協議上行不會有PADO和PADS 報文，下行不會有PADI和PADR報文。根據需要，對這些報文都要攔截過濾。超長報文、超短報文或者校驗錯報文，如低

15、于64字節的報文或者大于1 518字節的報文。特定 情況下，超長報文是允許的。對于非法報文，一般的技術是使用過濾器來過濾丟棄這些報文。過濾器的基本原理是，根據用戶定 義的被過濾數據報文的特征，匹配數據報文。如果符合預定義的特征，那么過濾掉該報文。當前的交換芯 片大都具備報文特征提取和匹配功能，可以完成數據鏈路層、網絡層甚至更高層數據報文特征信息的提取 和匹配。過量報文類型一般分成以下幾類：過量的協議報文過量的廣播報文過量的組播報文過量不同源MAC地址的報文前面3種過量報文會大量吞噬設備處理資源，第4種會占用交換芯片有限的MAC地址表資源，都需 要進行控制。前3種過量報文的處理步驟為：匹配特定類

16、型的報文，特征是：特定的協議報文、廣播報力或者某 種更具體特征的廣播報文)、組播報文(或者某種更具體特征的組播報文)；統計此類報文的發送速率；如果 發送速率超過預定義的速率，拋棄報文。處理過量協議、廣播和組播報文的技術又被稱為報文抑制。解決過量源MAC地址問題比較簡單：可設定用戶側端口 MAC地址個數的上限。這樣，一旦端口達到 預定義的MAC地址個數，后續帶有新MAC地址的報文一律被丟棄。非法報文和過量報文的處理在接入網絡的各個層次都需要處理，但是對于接入節點，因為其在接入 網中的位置，上述功能的實現尤其顯得重要。4 MAC/IP地址欺騙MAC/IP地址欺騙是非常嚴重的安全威脅。MAC地址欺騙

17、的本質是會出現MAC地址重復，造成交換芯片MAC地址學習遷移，部分用戶無法上網。MAC地 址欺騙可以分成下面兩種類型：用戶的MAC地址欺騙。上游網絡業務服務器(如BRAS、DHCP服務器/中繼、默認網關等)的MAC地址欺騙。因為以太網自身的特點，MAC地址信息都是公開的，通過掃描工具，用戶可以較容易地獲取其他用戶的MAC 地址信息。如果相同的MAC地址出現在設備的不同用戶端口上，就會造成MAC地址學習發生紊亂，導致用 戶無法上網。為了增強安全性，在接入網絡，一般要求在接入節點處實現用戶端口隔離：在同一個VLAN下的用戶 之間相互不能通信，而只能和上行匯聚端口互通。用戶端口隔離可以通過私有虛擬局

18、域網(PVLAN)技術來實 現。不是所有的交換芯片都支持PVLAN的功能，即使支持PVLAN的功能，也有可能因為設備MAC地址設 置不當造成MAC地址重復問題，或者用戶通過其他渠道獲得其他用戶的MAC(比如“暴力”MAC嘗試)。PVLAN 技術本身不足以完全解決用戶側MAC地址欺騙問題。解決用戶側MAC地址欺騙，有如下解決方法：VMAC在接入節點處，在上行方向，給每個物理端口，MAC分配或者生成一個獨一無二的VMAC地址。被解釋以后的MAC地址因為是設備自己產生的，因此是可信的，而且確保不會出現用戶側MAC 地址重復的現象。使用VMAC地址代替報文的源MAC地址。下行方向，根據VMAC查找到對

19、應的原始的MAC 地址，然后使用原始MAC地址代替VMAC地址。VMAC不僅僅可用來防止用戶MAC地址欺騙，還可防止對業 務服務器MAC地址的欺騙，并且也可以用于用戶端口識別。缺點是影響與MAC地址相關的協議，處理復雜。MAC地址綁定。將MAC地址靜態綁定到用戶端口，如果數據報文的源MAC地址和綁定的MAC地址 不同，則地址被丟棄。此方法雖簡單，但是可用性差。用戶自組網絡的MAC地址千差萬別，而且個數也不 確定，如果采用靜態綁定，很難管理。基于PPPoE會話(Session)感知的數據報文轉發，應用于PPPoE接入環境。每個用戶都對應唯一 的PPPoE會話標識(SessionlD)。可以在接入

20、節點上記錄一張PPPoE_SessionID，端口表，上行直接匯聚， 下行可以查看該表來進行數據轉發。這樣，數據報文的轉發完全可以不使用MAC地址，也就不需要學習， 從而也就不存在MAC地址重復問題?；贗P感知的數據報文轉發。應用于IPoE的接入環境。在接入節點上，建立一張IP，端口 表，因為IP是唯一的，所以不會存在IP重復的現象，數據報文下行轉發沒有問題。和基于PPPoE Session 的數據報文轉發一樣，接入節點上也不需要MAC地址學習。上述3、4兩種處理方法對接入節點歸屬的VLAN有一定的要求。如果一個接入節點屬于一個唯一的 VLAN，那么只要接入節點按照上述要求轉發數據報文即可。

21、如果多個接入節點屬于一個VLAN，那么需要保 證匯聚這些接入節點的交換機也要按照上述的要求轉發下行數據報文。利用PPPoE Session或者IP感知的 方式和傳統的二層交換機的轉發機制有質的不同，一般的交換芯片難以實現，而且只解決特定類型接入的 MAC地址重復問題。優點是不用修改數據報文，不會影響其他協議。業務服務器的MAC地址欺騙將會使得網絡設備的業務服務器MAC地址學習發生遷移，從而造成設備下的部 分用戶無法上網。業務服務器MAC地址防欺騙可以使用下面的技術來解決：VMAC使用VMAC可以解決各種接入環境下的業務服務器MAC欺騙。業務服務器MAC地址靜態配置手動將業務服務器的MAC配置到

22、接入節點交換芯片的靜態MAC地址表上，這樣業務服務器MAC地址 學習就不會發生遷移。這個方法雖然簡單，但靈活性和擴充性都很差。業務服務器MAC地址自動配置這是本文提出的一種解決業務服務器MAC地址欺騙的方法?；舅枷胧?，讓接入節點充當PPPoE或 者DHCP客戶端，定期發起PPPoE或者DHCP請求，這樣就可以動態地獲取BRAS和DHCP服務器/中繼的MAC 地址。其優點非常明顯：可利用現有協議，不用手動配置，不修改數據報文，不影響其他協議。IP欺騙存在于IPoE接入場景下，冒用他人IP地址，盜取服務，或者沒有通過DHCP獲得配置信息 的情況下接入網絡，妨礙了運營商的統一管理。解決這個問題需要

23、在接入節點上實現“ DHCP IP源警衛”， 監聽來往于用戶和DHCP服務器/中繼的協議報文，在用戶沒有獲取配置信息以前，除了 DHCP協議報文，其 他上行報文統統拋棄。一旦監聽到DHCP ACK報文，就綁定分配的IP，用戶MAC到用戶端口，使能上行數 據報文的發送，同時保證上行數據報文的IP，MAC和綁定的分配的IP，用戶MAC一致。在DHCP租用到 期后，取消這種捆綁，并停止上行非DHCP協議報文發送。5非法業務經過多年的接入網絡建設，對于運營商而言，接入帶寬已經不是主要的問題。當務之急，一是在現 有網絡的基礎上，提供盡可能多的業務，改變目前僅靠接入和帶寬盈利的模式，改變粗放式的經營路線；

24、 另一個就是控制目前在已有網絡中存在的非法業務。所謂的非法業務是從運營商的角度來判定的一些目前網絡上存在的部分數據服務。非法業務形式多 種多樣，下面僅是其中幾例：P2P流下載。P2P流下載能大量吞噬寶貴的網絡帶寬，影響用戶上網。VoIP。VoIP分流運營商已有的公共交換電話網(PSTN)業務，可能嚴重損害其業務收益。用戶側私拉亂接。寬帶用戶以個人的身份申請業務，但給企業或黑網吧使用，或與其他家庭共用 寬帶，從而損害運營商的業務收益。不同于前面幾節的安全問題，非法業務具有非常復雜的業務特征，不可能通過簡單的特征提取方法 來判定某數據報文是否屬于非法業務的報文。為了檢測出某條數據流是否是非法業務，需要對數據流進行 深度智能分析，依據預定義的特征信息庫，對數據流匹配才能判定。用戶私拉亂接現象一般發生在用戶使用具有網絡地址轉換(NAT)功能的設備和接入節點對接情況下， 上行數據報文從表面看起來好像從一個用戶發出的一