城域網安全

?2001,CiscoSystems,Inc.Allrightsreserved.1

Agenda

?城域網絡安全狀況及實施目標

?思科城域網安全解決方案及部署

?總結

?2001,CiscoSystems,Inc.Allrightsreserved.2

運營商寬帶城域網組網現狀

核心網絡

核心層X：

（核心路由器）

匯聚層

（匯聚路由器）PC

接入層

（業務接入BRASARBRAAR

控制點.）.......

匯接交換機

接交換機米

ATMCATV接入網

寬帶接入網

小區交換機

DSLAM

DSLAM樓道交換機

;貴小區用戶

個人用戶企加訶戶公共無線接入

網吧用戶?2001,CiscoSystems,Inc.Allrightsreserved.3

城域網組網現狀

llllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllli

?工P城域網的組網結構

0A類：采用高速路由器為核心組建的工P城域網，即以高

速路由器為核心，路由器或交換機作為匯聚層設備（路

由+交換）的三層網絡設計。寬帶服務器一般掛接在網

絡的匯聚層，少數大容量的寬帶服務器直接掛接在網絡

的核心層。

0B類：采用高速LAN交換機為核心組建的工P城域網，即

以多層交換設備高速LAN交換機和容量適中的高速路由

器為核心，多層交換機作為匯聚層設備的二三層網絡設

計。有些交換型網絡采用POP點延伸組建的工P城域網，

即依托現有的POP點延伸來組建的工P城域網。

?2001,CiscoSystems,Inc.Allrightsreserved.4

城域網主要安全問題

?工P城域網安全已經成為IP網絡業務發展的瓶頸

口眾多安全威脅發生在城域網，如網絡資源濫用，DDoS停止服務攻擊，蠕蟲泛濫等，導致

城域網不可用或網絡服務質量下降

口使工P網絡達到電信級標準始終處于不確定中，無法對用戶提供SLA承諾

?城域網安全防護的復雜性

口城域網組網架構不統一，設備不統一，安全防護能力各異，不利于安全策略的統一規劃

和配置

口二、三層交換型的城域網，對抗攻擊能力明顯不足

口城域網安全沒有形成相應的安全規范，包括技術，產品，業務模式等，缺乏必要的指導

,城域網安全整治缺乏前瞻性全局規劃

?城域網安全狀態的不可知性和不可控性

口沒有有效手段對城域網安全狀態時實監控和評估及預警措施

口對城域網絡的流量種類及分布沒有了解，無法采取措施進行有效的流量控制

口沒有專業的安全人員對安全進行管理，還沒有明確的安全管理中心的概念

?2001,CiscoSystems,Inc.Allrightsreserved.5

引起城域網安全的原因

IIIIIIIIIIIIIIIIIIIIIIIIIIII

?終端行為不可控，是攻擊的源泉

□除了認證計費外，基本上是一個完全開放的網絡，缺乏對終端有效的安全控制措施

口寬帶接入服愛器BRAS作為業務匯聚的節點，其安全業務功能的配置有待加強，以實現

對用戶接入業客實施更嚴格的控制和管理

?城域網絡本身不夠安全

口部分以交換型組網作為網絡的匯聚或核心層的寬帶網絡抗攻擊的能力弱

口城域網層次結構定義不夠清晰，安全策略沒有或模糊

口現網設備安全功能在一定程度上存在不同缺陷，如不支持反向地址查詢等

口對應用流量控制的能力不夠

口對防DDoS攻擊沒有有效的辦法

?安全管理和預警系統不到位

口缺乏對城域網系統化的安全監控手段

口對攻擊源的追溯沒有系統的方法，無法追查攻擊者，缺乏威懾力

?2001,CiscoSystems,Inc.Allrightsreserved.6

城域網安全實施目標

■保證業務的持續性，提高網絡設施的自我防護的能力，

提高城域網的整體穩定性

?保證業務的可監控性，使城域網具有安全預警和快速響

應和恢復的能力

?保證業務的可控制性，降低城域網安全威脅，提高城域

網整體安全水平

?2001,CiscoSystems,Inc.Allrightsreserved.7

城域網安全的關注點

Illllllllllllllllllllllllllllllllllllllllll

主要關注業務的可非信任域

持續性，可監測性M

和可控制性中間域________A

信任域N

C

業務的可持續，可監測，可控制，可盈利o

r

e

p

u

b

_

網絡服務安全對象?

W

L

A

N

管理平面控制平面數據平面

?2001,CiscoSystems,Inc.Allrightsreserved.8

Agenda

MnWWllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllh

?城域網絡安全狀況及實施目標

?思科城域網安全解決方案及部署

0網絡設備層問題及應對

0網絡服務層問題及應對

0網路應用層問題及應對

?城域網安全策略總結

?2001,CiscoSystems,Inc.Allrightsreserved.9

riiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii

網絡設備層問題及應對

PresentationJD?2003CiscoSystems,Inc.Allrightsreserved.?2001,CiscoSystems,Inc.Allrightsreserved.10

思科網絡自身安全一三平面立體安全

安全的網絡必須建立在安全的基礎架構上

控制保護網絡設備核心控制平臺的業務處

理轉發

管理平面保保護網絡設備管理平臺的安全訪問和信

息收集二1F-

保護網絡設備數據平臺信息數據安全轉

數據平面保護'

發

?2001,CiscoSystems,Inc.Allrightsreserved.11

網絡設備管理安全

^^^^^^^^^^^^^■Fllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllillllllllll

?設備本身潛在的安全威脅

?對設備的訪問限制不嚴格，無密碼加密

?對網絡設備的越權訪問和控制，造成設備故障

?沒有設備訪問審計體系，無法確認責任者

?管理信息（管理員密碼,SNMP信息，配置文件）泄漏

?2001,CiscoSystems,Inc.Allrightsreserved.12

網絡設備基本管理安全最佳實踐

方法作用

關閉不必要的服務將網絡設備本身的安全威脅減少到最小

SNMPV3安全設置防止管理方面的信息泄漏，侵入

訪問控制ACLVTY,console,access,SNMP

OOB帶外管理保證管理信息的安全保密和穩定

訪問認證AAARadius,TACACS+,Kerberos認證，授權和審計

H11PS/SSH/SCP安全的連接，保證數據加密

訪問授權分級分級授權，以控制不同的訪問權限

Syslog送至USOC為安全信息分析提供原始數據

設置NTP保持時間同步，以利于安全信息分析和保證

CPU&MEM報警自動報告設備的威脅

?2001,CiscoSystems,Inc.Allrightsreserved.13

網絡設備控制安全問題和應對

1

^^^^^^^^^^^^^■FnllilllllllllllIl'IllllllllHlllllIllIlIllI'l：lIlIlIlIIlIlllllIlllllllllMlllllIlIllI'l'lIllIlIIlIl?lllIl'llllll

?CPU達到100%,網絡故障，癱瘓

?路由動蕩

?STP算法故障

?控制直接到CPU的數據流量，保證在任何情況下，設備均可

訪問和控制

?加強路由認證和控制，防止惡意的路由注入

?優化二層SpanningTree的設計

?2001,CiscoSystems,Inc.Allrightsreserved.14

網絡設備控制安全

■啟動CEF快速轉發

CiscoExpressForwarding（CEF—思科快速轉發）是思科先進的交換轉發結

構機制，實現每個數據流每個數據包全硬件處理，避免控制平臺受到攻擊。

相比較傳統流交換轉發機制，

CEF天生具備抵抗惡意攻擊的安全交換轉發能力

?2001,CiscoSystems,Inc.Allrightsreserved.15

網絡設備控制安全

■思科網絡設備控制平臺保護RPRateLimiters

?采用控制平面速率限制，可以限制

流向中心處理器的流量速率，保證

CPU的工作狀態

UnicastRPRateLimitersIPmcRPRateLimiters

ACLInputICMPRedirectFIBMiss

ACLOutputICMPUnreachablePartial

ACLVACLLogRPFFailureConnected

CEFGleanLayer2PDU

CEFReceiveL2ProtocolTunneling

IPErrorsTTLFailure修量獺縫要皴綾然藪皴然皴

IPFeaturesMTUFailure

UnicastRPRateLimitersIPmcRPRateLimiters

?2001,CiscoSystems,Inc.Allrightsreserved.16

網絡設備控制安全

-思科網絡設備控制平臺保護手段

lllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllliHiiir

CPU

核心設備Inputprocesses

PRP

PD

CPP

CSARqueue

Jngress^LC(E3)

5：CPP(controlplaneprotection)

rawqueues4:ReceiveACL

3:IPSourceTracker

2:NetFlow

1:IngressACLsandCAR

?2001,CiscoSystems,Inc.Allrightsreserved.17

網絡設備控制安全

-思科網絡設備路由協議認證

OSPF/BGP

RouterA路由交換RouterB

、路由協議認證

SignatureRoutingUpdateSignatureRoutingUpdate

?確保自身路由設備

之間路由信息正確

傳遞，路由表計算

OSPF/BGP路由信息正確

?避免網絡路由信息

泄露

?保護網絡架構免受

干擾，穩定運行

?2001,CiscoSystems,Inc.Allrightsreserved.18

網絡設備控制安全

■網絡設備路由控制

?2001,CiscoSystems,Inc.Allrightsreserved.19

網絡設備控制安全

-BPDU/RootGuard阻擋不明交換設備的接入

IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIIIIIIIII

造成網絡

非授權交換設備非法的不穩定交換機BPDUGuard功能確保

STP信息非信任端口一旦受到其它交換機的

EnterpriseBPDU信息，此端口立刻

Shutdown,以防止接入“非法”

交換機。

非授權交換設備

UserAccess

PortUserAccess的端口只允許

計算機接入，阻止Hub接入

交換機ROOTGuard貝ij是防

止新加入的交換機成為root,保

證STP樹的穩定性

RootGuard

?2001,CiscoSystems,Inc.Allrightsreserved.20

思科城域網設備對安全控制的支持

MIUIii!iiilhi...........!HI!IIIIII.

CEF交換中心處理器保路由認證控制STP保護

護

BPDU/Root

樓層和匯聚交換機支持CPUQueuezRIP2,OSPF

29xx/35xx/45xxStormControlGuard,RSTP

匯聚寬帶服務器支持RPRateRIP2,OSPF,

73xx/10KLimiters,BGP,路由過

Queue濾

核心交換機/路由支持CoPP,RPRateR1P2,OSPF,BPDU/Root

器(CAT6K,0SR)LimitersBGP,路由過Guard,RSTP

濾

核心路由器(GSR)支持CoPP,rACLR1P2,OSPF,

BGP,路由過

濾

?2001,CiscoSystems,Inc.Allrightsreserved.21

網絡設備用戶數據安全控制

llllllllllllllllllllilliliillllll^

動態ARP檢測DHCP月艮務器

查看輸入APR

條目的MAC-IP

動態查看信息（來

匹配關系的正確DHCP

自于DHCP監聽），驗證

輸入DHCP響應的正確性

ARP

DHCP

Snooping

PrivateVLAN防護

APRSpoof,控制

罐同一子網的用戶相

本互訪問

?粉口MAC的

條定，可接防止對SPT的攻擊

忸

榔受的MAC數

Cainlysi3559/3559/3759量，預防.

MAC攻擊'防止對跨VLAN的

攻擊

風暴控制防止瞬間

超大大數據流量

Catalyst2959/2979缸?2001,CiscoSystems,Inc.Allrightsreserved.22

網絡咚備用戶數據安全控制

■端口安全PortSecurity

保證交換機穩定工作SwitchA

網絡中斷

*￡

了？？？*#####TTTrTTTryr

aa

?”Il，1PLTT

iWritMr

SwitchCSwitchB

:每秒1萬個MAC包

限制單個端口所連接MAC地址的數目可以保護交換機CAM地址表不

被惡意猿滿，有效防止類似macof工具和SQL蠕蟲病毒發起的攻擊。

?2001,CiscoSystems,Inc.Allrightsreserved.23

網絡設備用戶數據安全控制

■端口安全防止ARP欺騙

HiY,我是網關

HiG,我是YARP

ARPArp壽

Arp表

Mac

MacIPIP

XXXX-XXXX-XXXXx.x.x.x

yyyy-yyyy-yyyyY.Y.Y.Y

gggg-gggg-ggggG.G.G.GWyyyyyyyyyy

XXXX-XXXX-XXXXG.G.G.G

動態ARP檢測可以利用DHCPSnooping監聽綁定表（包括IP地址與

MAC地址的綁定信息并將其與特定的交換機端口相關聯）檢查所有

非信任端口的ARP請求和應答（主動式ARP和非主動式ARP）,確保

應答來自真正的ARP所有者。

?2001,CiscoSystems,Inc.Allrightsreserved.24

網絡設備用戶數據安全控制

■端口安全防止DHCP欺騙

在城域網采用DHCP的

情況下，交換機通過建

立和維護DHCP

Snooping綁定表過濾

不可信任的DHCP信息

o所有用戶端口除非特

別設置，被認為不可信

任端口，不應該作出任

何DHCP響應。

客戶端虛假DHCP

服務器

?2001,CiscoSystems,Inc.Allrightsreserved.25

網絡設備用戶數據安全控制

■端口安全IPSourceGuard防止地址欺騙

IIiII:[II''I':'IIIIIIII;;II1III'II,,一>―

■rnilllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllliil

IP:

程序制造IP哄騙流量

交換機IP源地址保護功能可以根據DHCPSnooping的IP綁定表動態產

生PVACL,強制來自此端口流量的源地址符合DHCPSnooping綁定

表的記錄，防止攻擊者通過假定一個合法用戶IP地址來實施攻擊。

?2001,CiscoSystems,Inc.Allrightsreserved.26

網絡設備用戶數據安全控制

■端口安全PVAL防止用戶間直接通訊

^^^^^^^^^^^^^^■FnilillllllllllIl'lIlIIllll|l]iIIlIlIlIlIl|'llIl|l|lIl|l'l：lIlIlIlIIl|lIl|lIlIIllIl|iIlIlIIlIlIl|i|lIIlilIlIl|lilI'l'lIlilIlIlIIl?l'ljl|l：lllllil

PromiscuousPromiscuous

CommunityVLANIsolatedVLAN

PVLAN的應用可以防止用戶之間直接通訊，特別是當惡意代碼傳

播的時候，可以有效的防止快速泛濫，提高控制能力

?2001,CiscoSystems,Inc.Allrightsreserved.27

城域網交換機的安全控制

Fllll/'HH!

0EnhancedPasswordrecovery

0UNI/NNI(DefaultUNIportdown)

0UNIportstillprocess802.lxandIGMP

packets

0CPUProtection

0Nolocalswitching

0DAI/IPSG.DHCPSnooping

0.,…

?2001,CiscoSystems,Inc.Allrightsreserved.28

網絡設備用戶數據安全控制

■全面的ACL提供安全控制能力

ACLs類型

?RouterACL

?VirtualLANACLACLRules

?Time-basedACLsSubnetA：：SubnetB

?Port-basedACLs

?MACbaseACL

"■

■■■■Switch

卜一，J

II

ACLRules

?2001,CiscoSystems,Inc.Allrightsreserved.

以太網接入的網絡安全

用戶//保證物理安全一不被用戶更改配置

□□□口

□

□

防止攻擊

□□□□□DDOSPOP

□和資源強占

□□□□一

□□□□□

□□□□□

房設備

益

VLAN1

10/100/1000VLAN2

10/100/1000

CFVIAM1(QlnQ)VLAN5

GEVLAN2GigabitEthernetTransport

不可信網絡TI可以信賴的網絡可信網絡

I用戶負責電信負責

AuthenticateCustomerUNIProtectfromCompromisedU-PE

?2001,CiscoSystems,Inc.Allrightsreserved.

網絡設備用戶數據安全控制

?對以太網安全性的建議

lllllllllllllllllllllllll

DisablePasswordRecovery

BPDUFilter(forEgressSPBPDU)VTPModeTransparent

MACACLs(forIngressCEBPDU)

AccessVTPModeTransparent

EnableROOTGuard

omer-SPperVLANMACLimiting

oundary

?xSPBPDUCore

SP

CEBPDUX

IP/MPLS/

NV66

UntaggedNV5NV66802.1Q

VLAN10XVLAN5

VLAN20VLAN20Network

VLAN30VLAN30

VLAN40VLAN40

802.1Q802.1QI______________

EnablePortSecurityTrunkUNITrunk

Enable802.1X/LOOPGuard

DisableCDPPruneAllUnusedVLANsfrom

RemoveVLAN1andReservedVLANsfromUNIsAllowedList

SetDTPto“Non-Negotiate”RemoveVLAN1andReserved

PruneAllUnusedVLANsfromAllowedListVLANsfromTrunks

UNIVLANsMustNotBeUsedasNativeVLANReserveaVLANIDforthe

onSPTrunksNativeVLANontheSPTrunks

?2001,CiscoSystems,Inc.Allrightsreserved.31