公務(wù)員期刊網(wǎng) 論文中心 正文

有線電視網(wǎng)絡(luò)設(shè)備安全技術(shù)淺析

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了有線電視網(wǎng)絡(luò)設(shè)備安全技術(shù)淺析范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

有線電視網(wǎng)絡(luò)設(shè)備安全技術(shù)淺析

摘要:按照國(guó)家廣播電視總局關(guān)于推進(jìn)IPv6規(guī)模部署和應(yīng)用的要求,運(yùn)營(yíng)商正逐年落實(shí)IPv6部署和應(yīng)用工作,有線電視網(wǎng)絡(luò)IPv6應(yīng)用規(guī)模不斷提升。與此同時(shí),運(yùn)營(yíng)商應(yīng)同步開(kāi)展IPv6網(wǎng)絡(luò)安全部署實(shí)踐,以更好地應(yīng)對(duì)當(dāng)前IPv6攻擊不斷攀升的態(tài)勢(shì)。本文圍繞有線電視網(wǎng)絡(luò)設(shè)備IPv6安全關(guān)鍵技術(shù)展開(kāi)研究,對(duì)IPv6網(wǎng)絡(luò)安全性進(jìn)行分析,對(duì)有線電視網(wǎng)絡(luò)中的通用網(wǎng)絡(luò)設(shè)備路由協(xié)議的安全風(fēng)險(xiǎn)和防護(hù)進(jìn)行研究,以期為IPv6網(wǎng)絡(luò)安全實(shí)踐提供一些參考。

關(guān)鍵詞:IPv6網(wǎng)絡(luò)安全路由協(xié)議

1引言

IPv6協(xié)議是下一代互聯(lián)網(wǎng)協(xié)議,在地址空間、安全性等方面有巨大提升。物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)驅(qū)動(dòng)網(wǎng)絡(luò)空間向萬(wàn)物互聯(lián)演進(jìn),利用IPv6技術(shù)解決地址短缺問(wèn)題、培育創(chuàng)新空間是大勢(shì)所趨。世界各國(guó)已充分認(rèn)識(shí)到規(guī)模部署IPv6的迫切性,全球通信行業(yè)及開(kāi)展新興技術(shù)應(yīng)用的企業(yè)都在向IPv6遷移。目前,全球IPv6支持能力水平穩(wěn)步提升,APNICLabs國(guó)家/地區(qū)IPv6支持能力統(tǒng)計(jì)數(shù)據(jù)顯示,截至2022年3月8日,全球IPv6支持能力達(dá)29.8%。2021年,中央網(wǎng)信辦、發(fā)改委、工信部聯(lián)合發(fā)布《關(guān)于加快推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署和應(yīng)用工作的通知》,明確了“十四五”時(shí)期應(yīng)全面深入推進(jìn)IPv6規(guī)模部署和應(yīng)用,加快促進(jìn)互聯(lián)網(wǎng)演進(jìn)升級(jí)。隨后,廣電行業(yè)制定了相應(yīng)的工作任務(wù)臺(tái)賬,全面推進(jìn)廣電行業(yè)IPv6規(guī)模部署和應(yīng)用。在IPv6規(guī)模部署過(guò)程中,安全問(wèn)題是非常重要的。在網(wǎng)絡(luò)層面,IPv6網(wǎng)絡(luò)面臨協(xié)議、機(jī)制自身存在的安全問(wèn)題,通用網(wǎng)絡(luò)設(shè)備路由器和路由協(xié)議在IPv6環(huán)境下也面臨著新的安全挑戰(zhàn)。

2IPv6網(wǎng)絡(luò)安全性分析

2.1IPv6協(xié)議的特征和安全性增強(qiáng)

與IPv4相比,IPv6在地址空間、首部格式、安全性支持、配置和維護(hù)等方面進(jìn)行了改進(jìn),同時(shí)實(shí)現(xiàn)了安全性的增強(qiáng)。安全性的增強(qiáng)一方面源于地址空間大大提升,另一方面源于IPv6協(xié)議族中提供了若干安全特性。IPv6的主要特征如下。2.1.1地址空間的擴(kuò)展。IPv6將地址長(zhǎng)度從IPv4的64位擴(kuò)展到128位,地址空間容量是IPv4的296倍,地址空間得到極大擴(kuò)展。IPv6海量地址空間提升了網(wǎng)絡(luò)掃描和網(wǎng)絡(luò)勘察的難度,在網(wǎng)絡(luò)層實(shí)施傳統(tǒng)的順序掃描或隨機(jī)掃描策略將是不可行的。2.1.2層級(jí)化的編制方式和豐富的地址類型。IPv6采用了可聚合的層級(jí)化的子網(wǎng)分級(jí)編址方式,并定義了全球聚合單播地址、本地鏈路地址、多播/選播地址等一系列地址類型,有助于提高路由表的空間聚合效率和路由交換性能,更加適合交換式的高速網(wǎng)絡(luò)環(huán)境。2.1.3高效的協(xié)議首部。IPv6的協(xié)議報(bào)文首部格式采用基本首部和擴(kuò)展首部相結(jié)合的定義方式?;臼撞烤哂泄潭ǖ拈L(zhǎng)度,便于節(jié)點(diǎn)進(jìn)行快速處理,可以減少處理開(kāi)銷,提升數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。擴(kuò)展首部采用選項(xiàng)鏈表形式,可以為協(xié)議功能的擴(kuò)展提供高度的靈活性和自主性。2.1.4支持IPsecIPv6以一組RFC定義了網(wǎng)絡(luò)安全。協(xié)議框架IPsec,包括了鑒別首部機(jī)制(AH)和安全負(fù)載封裝機(jī)制(ESP),以及支持多種密鑰加密方式的因特網(wǎng)密鑰管理交換協(xié)議(IKE)等,以保障IP層數(shù)據(jù)包的安全傳輸。2.1.5IP層鄰居發(fā)現(xiàn)協(xié)議與無(wú)狀態(tài)地址自動(dòng)配置IPv6協(xié)議族中定義基于IP的鄰居發(fā)現(xiàn)協(xié)議,替代IPv4中采用的鏈路層ARP協(xié)議和部分ICMP功能,在三層實(shí)現(xiàn)地址解析和鄰居發(fā)現(xiàn),并提供無(wú)狀態(tài)地址自動(dòng)配置功能,提升了協(xié)議在不同二層介質(zhì)條件下的適用性,減輕了二層網(wǎng)絡(luò)壓力,而且可以使用三層的安全機(jī)制增強(qiáng)網(wǎng)絡(luò)維護(hù)管理機(jī)制的健壯性。

2.2IPv6網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)層面的IPv6安全風(fēng)險(xiǎn)分析主要從IPv6協(xié)議機(jī)制出發(fā)來(lái)展開(kāi),包括網(wǎng)絡(luò)編址機(jī)制、IPv6報(bào)文格式、ICMPv6協(xié)議、鄰居發(fā)現(xiàn)協(xié)議等。2.2.1網(wǎng)絡(luò)編址機(jī)制的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)尋址空間的大小對(duì)于目前的網(wǎng)絡(luò)安全分析技術(shù)將產(chǎn)生直接的影響。任何類型的攻擊的第一個(gè)階段通常都涉及對(duì)目標(biāo)的勘察,攻擊者會(huì)評(píng)估目標(biāo),選定穿透防御最容易的方法以及實(shí)施攻擊的最優(yōu)方式,并確定攻擊實(shí)際上是否成功。與IPv4相比,IPv6高達(dá)128位的地址長(zhǎng)度顯著提升了網(wǎng)絡(luò)掃描的難度,傳統(tǒng)的基于網(wǎng)絡(luò)層的隨機(jī)掃描和順序掃描策略在IPv6下難以實(shí)施。然而,若IPv6編址方式不合理,如采用將EUI-64地址轉(zhuǎn)換為IPv6地址的編制方式、在IPv6地址中嵌入IPv4地址的編制方式、在IPv6地址中嵌入端口號(hào)的編制方式或采用十六進(jìn)制“字”構(gòu)造IPv6地址的方式等[1],則會(huì)降低掃描的搜索空間,減弱網(wǎng)絡(luò)掃描的難度。2.2.2IPv6報(bào)文格式的安全風(fēng)險(xiǎn)。IPv6采用了基本首部和可選的擴(kuò)展首部相結(jié)合的分組格式?;臼撞扛袷胶?jiǎn)練且具有相對(duì)固定的長(zhǎng)度;擴(kuò)展首部以選項(xiàng)鏈表的形式替代了IPv4下單一且長(zhǎng)度不定的IP頭選項(xiàng)字段,以提供良好的協(xié)議擴(kuò)展性。IPv6在安全性方面優(yōu)于IPv4,但其設(shè)計(jì)仍然有不嚴(yán)密之處,為安全威脅的產(chǎn)生創(chuàng)造了便利條件。IPv6基本首部中存在未完全定義字段和保留字段,如版本、流量類型、流標(biāo)簽、下一報(bào)頭、跳限制等字段。一方面,攻擊者可能將字段設(shè)置為未定義取值,用以干擾安全設(shè)備或消耗資源,甚至實(shí)施拒絕服務(wù)(DoS)攻擊;另一方面,攻擊者可能利用這些字段來(lái)構(gòu)建隱蔽信道,它能使通信雙方繞過(guò)系統(tǒng)安全訪問(wèn)機(jī)制的檢查,并以違反系統(tǒng)安全策略的方式傳遞秘密信息。IPv6擴(kuò)展首部機(jī)制是IPv6協(xié)議的新特性之一。擴(kuò)展首部的引入最大程度地減少了節(jié)點(diǎn)處理IPv6協(xié)議首部的開(kāi)銷,而且它使得未來(lái)IPv6功能的擴(kuò)展具有高度的靈活性和自主性。IPv6協(xié)議主要定義了逐跳選項(xiàng)首部、分段首部、目的地選項(xiàng)首部、路由首部、認(rèn)證首部、封裝安全載荷首部等擴(kuò)展首部。IPv6協(xié)議還明確規(guī)定了發(fā)送節(jié)點(diǎn)對(duì)IPv6擴(kuò)展首部的順序和次數(shù)的要求,但同時(shí)IPv6協(xié)議要求IPv6節(jié)點(diǎn)必須能夠接收并嘗試處理以任意順序構(gòu)成的擴(kuò)展首部。任意類型的擴(kuò)展首部能夠以不同的順序或是未定的次數(shù)在IPv6數(shù)據(jù)包中出現(xiàn),這種不受約束的特性存在極大的安全隱患,比如將許多擴(kuò)展首部鏈接在一起精心構(gòu)造的報(bào)文,可能會(huì)被用來(lái)規(guī)避防火墻和入侵防御系統(tǒng)的安全控制;處理冗長(zhǎng)的擴(kuò)展首部會(huì)帶來(lái)極大的資源消耗,由此可能導(dǎo)致拒絕服務(wù)攻擊;擴(kuò)展首部存在大量的數(shù)據(jù)空間,可能會(huì)被用于實(shí)現(xiàn)隱蔽通信等。2.2.3ICMPv6協(xié)議的安全風(fēng)險(xiǎn)。ICMPv6協(xié)議是IPv6協(xié)議族中的一個(gè)基礎(chǔ)協(xié)議,合并了IPv4中的ICMP(控制報(bào)文協(xié)議)、IGMP(組成員協(xié)議)、ARP(地址解析協(xié)議)、NDP(鄰居發(fā)現(xiàn)協(xié)議)等多個(gè)協(xié)議的功能。每個(gè)IPv6節(jié)點(diǎn)都必須完全實(shí)現(xiàn)ICMPv6的基礎(chǔ)協(xié)議。對(duì)于ICMPv6協(xié)議的攻擊,主要分為四類:一是通過(guò)偽造虛假報(bào)文或產(chǎn)生大量不合法報(bào)文等方式,利用ICMPv6報(bào)文造成拒絕服務(wù)攻擊;二是利用精心編制的ICMPv6消息開(kāi)展網(wǎng)絡(luò)嗅探,通過(guò)探測(cè)站點(diǎn)以確定拓?fù)洳⒆R(shí)別潛在的攻擊目標(biāo);三是利用重定向消息發(fā)起重定向攻擊;四是一些ICMPv6錯(cuò)誤數(shù)據(jù)報(bào)文可能需要雙向通過(guò)防火墻,而報(bào)文透明傳輸容易被用來(lái)進(jìn)行隱蔽通信等。2.2.4鄰居發(fā)現(xiàn)協(xié)議的安全風(fēng)險(xiǎn)。鄰居發(fā)現(xiàn)協(xié)議是IPv6中的一種重要協(xié)議,定義在ICMPv6中,屬于ICMPv6的消息性報(bào)文。鄰居發(fā)現(xiàn)協(xié)議定義了路由器公告(RA)報(bào)文、路由器信息請(qǐng)求(RS)報(bào)文、鄰居請(qǐng)求(NS)報(bào)文、鄰居公告(NA)報(bào)文和重定向報(bào)文。利用這些報(bào)文,鄰居發(fā)現(xiàn)協(xié)議主要實(shí)現(xiàn)地址解析、重復(fù)地址檢測(cè)、鄰居不可達(dá)檢測(cè)、無(wú)狀態(tài)地址自動(dòng)配置和重定向功能。IPv6節(jié)點(diǎn)通過(guò)鄰居發(fā)現(xiàn)協(xié)議確定鏈路上鄰居節(jié)點(diǎn)的鏈路層地址,尋找進(jìn)行包轉(zhuǎn)發(fā)的鄰居路由器。另外,節(jié)點(diǎn)使用鄰居發(fā)現(xiàn)協(xié)議可以確定鄰居的可達(dá)性,并能檢測(cè)改變了的鏈路層地址?;卩従影l(fā)現(xiàn)協(xié)議的攻擊是IPv6下一個(gè)需要面對(duì)的十分重要的安全威脅,主要分為兩類:一類是基于鄰居發(fā)現(xiàn)協(xié)議的拒絕服務(wù)攻擊,包括RA報(bào)文配置虛假的地址前綴或網(wǎng)絡(luò)參數(shù)(MTU、跳數(shù)限制等)造成主機(jī)的拒絕服務(wù)、重復(fù)地址檢測(cè)中通過(guò)虛假的NS或NA報(bào)文干擾造成拒絕服務(wù)攻擊、鄰居不可達(dá)檢測(cè)中通過(guò)虛假的NA報(bào)文回應(yīng)NS報(bào)文造成拒絕服務(wù)攻擊等;另一類是基于鄰居發(fā)現(xiàn)協(xié)議的欺騙攻擊,包括偽裝路由器發(fā)送虛假RA報(bào)文實(shí)施監(jiān)聽(tīng)或中間人欺騙攻擊、使用RS/NS/NA報(bào)文實(shí)施鄰居緩存欺騙攻擊或地址欺騙攻擊,以及發(fā)送虛假的重定向報(bào)文實(shí)施重定向攻擊。

3通用網(wǎng)絡(luò)設(shè)備路由協(xié)議安全風(fēng)險(xiǎn)及防護(hù)

有線網(wǎng)絡(luò)運(yùn)營(yíng)商內(nèi)部環(huán)境的安全是IPv6安全的一個(gè)重要領(lǐng)域。一個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商如何保障其網(wǎng)絡(luò)的安全會(huì)直接影響整個(gè)互聯(lián)網(wǎng)的安全。有線網(wǎng)絡(luò)運(yùn)營(yíng)商IP數(shù)據(jù)網(wǎng)通常劃分為骨干網(wǎng)、城域網(wǎng)和接入網(wǎng)。骨干網(wǎng)匯聚了全省的所有業(yè)務(wù),通常由核心層、匯接層和出口層組成,如圖1所示。核心層負(fù)責(zé)省內(nèi)各城域網(wǎng)絡(luò)間的訪問(wèn)流量;匯接層負(fù)責(zé)接入層流量的匯聚和轉(zhuǎn)發(fā);出口層負(fù)責(zé)與ISP/ICP等外部網(wǎng)絡(luò)間的Internet訪問(wèn)流量。有線電視IP數(shù)據(jù)骨干網(wǎng)的主要網(wǎng)絡(luò)設(shè)備通常為路由器、三層交換機(jī)等,一臺(tái)網(wǎng)絡(luò)設(shè)備可以劃分為4個(gè)不同流量平面,即數(shù)據(jù)平面、管理平面、控制平面和服務(wù)平面。網(wǎng)絡(luò)設(shè)備的控制平面主要涉及信令協(xié)議,路由協(xié)議是其中的一種重要協(xié)議。路由器使用路由協(xié)議以收斂IP轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)。目前,最常用的支持IPv6的路由協(xié)議分別是邊界網(wǎng)關(guān)協(xié)議BGP4+、路由信息協(xié)議下一代(RIPng)、最短路徑優(yōu)先路由協(xié)議版本3(OSPFv3)和中間系統(tǒng)到中間系統(tǒng)版本6(ISISv6)。在網(wǎng)絡(luò)中,路由器容易受到中斷攻擊、消耗路由器計(jì)算資源的攻擊、緩沖區(qū)溢出攻擊或重放攻擊,這些攻擊可能造成DoS或數(shù)據(jù)包的次優(yōu)路由。此外,路由器被攻擊的方式可能還包括大量路由信息的注入、錯(cuò)誤路由信息注入以及其他可能導(dǎo)致其性能下降的流量。路由協(xié)議最初是針對(duì)友好環(huán)境設(shè)計(jì)的,用以處理數(shù)據(jù)流量的路由,所有路由器協(xié)作完成加快收斂時(shí)間的共同目標(biāo),意味著路由協(xié)議本身面對(duì)攻擊是脆弱的。因此,在控制層面需要采取措施保證路由器及其路由協(xié)議的安全。路由器應(yīng)對(duì)威脅的一種重要方式是使用密碼學(xué)方法認(rèn)證在路由器之間發(fā)送的消息。邊界網(wǎng)關(guān)協(xié)議BGP4+支持使用MD5認(rèn)證或Keychain認(rèn)證;RIPng支持MD5認(rèn)證,同時(shí)還可使用IPsec認(rèn)證;OSPFv3通常使用IPsec認(rèn)證保證鄰接鄰居之間的信息安全;ISISv6則采用自身協(xié)議定義的ISIS認(rèn)證方式。針對(duì)DoS攻擊,路由器實(shí)行白名單安全機(jī)制,為每個(gè)端口建立“白名單安全”標(biāo)簽,在“白名單安全”列表中的端口之間可以實(shí)現(xiàn)快速的報(bào)文互換;針對(duì)大量路由信息注入的攻擊,應(yīng)采取單鄰居路由數(shù)量限制的策略,限制存入路由數(shù)據(jù)庫(kù)的路徑數(shù)目或設(shè)置接收路徑數(shù)目的限制值。

4結(jié)語(yǔ)

在IPv6規(guī)模部署與應(yīng)用的同時(shí),需要同步加強(qiáng)IPv6網(wǎng)絡(luò)安全保障。本文從網(wǎng)絡(luò)層面展開(kāi)對(duì)IPv6相關(guān)網(wǎng)絡(luò)安全性的分析,有助于加深對(duì)于網(wǎng)絡(luò)層面IPv6安全問(wèn)題的理解;對(duì)有線電視網(wǎng)絡(luò)設(shè)備中的路由器及路由協(xié)議的安全風(fēng)險(xiǎn)和防護(hù)進(jìn)行分析,為有線網(wǎng)絡(luò)設(shè)備控制平面的網(wǎng)絡(luò)安全實(shí)踐提供了參考。

參考文獻(xiàn)

[1]張連成,郭毅.IPv6網(wǎng)絡(luò)安全威脅分析[J].信息通信技術(shù),2019,13(6):7-14.

作者:趙翠 趙明 湯新坤 單位:國(guó)家廣播電視總局廣播電視科學(xué)研究院

相關(guān)熱門標(biāo)簽