C網承載網安全隱患分析及防御策略

中國電信股份有限公司江蘇分公司操作維護中心 向九松 柏 林 錢 琰 季鴻宇

0 引言

C網承載網與傳統承載網絡相比，產生網絡安全的兩個最重要的原因是網絡開放性和終端智能化。由于IP網絡的開放性，一方面給承載網帶來了業務上的靈活性和擴展性，極大地提高了網絡效率，另一方面也給承載網帶來了許多難以預計的惡意攻擊和外界干擾。電信運營商時刻都面臨賬號被盜用、服務被破壞、資源被搶占、設備癱瘓等嚴重安全威脅；終端智能化在帶來業務靈活性的同時也使終端具備了產生安全攻擊的強大能力，這種攻擊能夠延伸到其他終端、業務系統甚至網絡設備。C網承載網的安全風險從短期看，會影響到運營商凈收入減少、維護成本上升、客戶滿意度下降、管理重點偏移；從長期看，將影響到運營商客戶流失、競爭力降低、品牌價值下降、內部士氣不振。因此，提升C網承載網安全防御水平刻不容緩。

1 承載網安全問題對C網業務的影響

中國電信CDMA（碼分多址）網主要由C網承載網、終端用戶、業務平臺、業務支撐系統、無線、核心網等重要部分組成，這些子系統縱向與橫向之間，進行數據信息交換和資源共享，相互提供服務，互相補充，形成CDMA運營、管理、服務的統一整體。C網承載網作為這些子系統之間的基礎承載載體，一旦承載網出現安全問題，將會對C網業務產生以下幾方面影響。

1.1 對運營商造成的影響

1）破壞設備程序及數據:通過承載網設備遠程加載或數據配置流程的漏洞破壞設備，導致設備無法正常運行，進而導致整個網絡無法正常運行；

2）業務盜用:未經授權使用3G業務，如通過非法手段繞過AAA（鑒權、授權、計費）/AN（接入網）AAA認證，直接發起3G上網連接、篡改用戶計費信息等，導致運營商收人流失；

3）帶寬盜用:利用承載網設備端口連接用戶私有的數據網絡，造成運營商數據業務收入流失并影響C網業務質量；

4）DoS（拒絕服務）攻擊:黑客通過網絡層或應用層發起大流量的攻擊，致使真實業務數據被大量垃圾流量所淹沒，進而使承載網設備無法響應正常用戶的業務請求或降低業務的品質。

1.2 對用戶造成的影響

1）賬號被盜用:用戶賬號被他人盜用，致使產生高額通信費用；

2）信息被監聽:非法監聽其他呼叫的信息或媒體流內容；

3）個人隱私被竊取:黑客通過木馬程序、釣魚網站等手段竊取用戶的個人隱私。

2 構建C網承載網安全防御策略思路

2.1 實施業務隔離

要建立安全的承載網保障機制，首先要實現關鍵業務的安全隔離。出于業務融合、建設成本、網絡安全等因素綜合考慮，目前通常采用物理網絡隔離加邏輯網絡隔離的方式。由于MPLSVPN（多協議標簽交換虛擬專用網）具有較強的業務融合能力及靈活的業務擴展能力，尤其在安全方面，MPLSVPN相對于其他VPN而言具有路由安全隔離、隱藏MPLS核心結構、抗攻擊性強、易于抵御標記欺騙等優勢，MPLSVPN技術在現網環境中得到了廣泛的應用。

以中國電信某省C網承載網為例，該省C網承載網絡采用CN2+（下一代承載網）融合CE（用戶邊緣設備）的組網方式，負責承載CDMA移動網絡無線接入網元、核心網電路域網元、核心網分組域網元、移動業務平臺和網管系統等，為其提供互聯互通、Internet訪問等服務。為了確保網絡安全，承載網根據業務特性劃分了若干VPN，如移動軟交換VPN、增值業務VPN、無線接入RP（匯聚點）VPN、網管VPN等等，具體拓撲如圖1所示。

通過MPLSVPN傳送數據提高了用戶信息在IP網絡上傳送的安全性，但這種安全性也是相對而言的，需要采用必要的技術措施來保障。所以在部署MPLSVPN時，有以下兩點需要注意:

1）防止標簽欺騙:在MPLS網絡中，包的轉發不再是基于IP目的地址，而是基于PE（網絡邊界設備）路由器預先添加的標記，理論上有可能出現MPLS包的標記欺騙。因此出于安全考慮，PE路由器應該不接受來自CE路由器的任何標記，同時要做好MPLS標記的整體規劃工作，便于后期定期開展網絡設備標簽轉發的定期檢查工作。

2）防止VPN之間的路由泄漏:PE路由器之間通過MP-BGP（多協議擴展邊界網關協議）交換路由信息，PE路由器之間路由信息的傳送要經過一個或多個P（供應商）路由器，非法用戶有可能采用源地址欺騙等手段要求與PE路由器建立連接MP-BGP并交換VPN路由信息。因此，PE路由器在另外一個對等體通信時，應該部署相應的驗證策略，如BGP鄰居的MD5（消息摘要算法）認證等。另外，由于3G業務需要，承載網的部分VPN需要進行部分互通，例如為了滿足接入認證需要，無線接入VPN需要與AAAVPN進行互通，這種VPN之間的互通就造成了VPN路由泄漏的可能。所以在進行數據配置時，必須對互通VPN路由條目進行嚴格控制，合理規劃MPLSVPN的RT（路由目標）屬性。

2.2 承載網自身的安全保護策略

如圖2所示，可以根據C網IP綜合承載網的網絡架構及業務特性，將承載網的安全域邏輯劃分為控制平面、數據轉發層面、管理平面等三大安全層面，每個安全層面部署不同的安全策略。具體如下:

1）控制平面:控制平面防護的主要目標是保證設備系統資源的可用性和路由的安全性，使得路由器可以正常的實現路由交換、更新。具體策略包括設置路由密碼認證、通過設置白名單方式控制路由的發布、規范路由參數的配置，等等。

2）轉發平面:在數據轉發平面的主要安全策略是對異常流量進行控制，防止網絡蠕蟲和拒絕服務攻擊流量在CDMA網絡的泛濫，造成網絡的擁塞或不可用。具體策略包括對典型異常流量的過濾、部署URPF（單播反向路徑檢查）策略預防地址偽造攻擊等內容。

3）管理平面:管理平面防護的主要目的是保護路由器遠程管理及本地服務的安全性，減少網元設備受到網絡攻擊或者被入侵的可能性。具體包括:強化設備密碼管理，關閉無用的系統服務；通過部署ACL（訪問控制列表）和SNMP（簡單網絡管理協議）密碼，確保SNMP的安全；通過部署一次性口令認證系統以及設備訪問控制提升遠程終端訪問安全；其他諸如NTP（網絡時間協議）、Syslog（系統日志）、Netflow等應用的安全控制，等等。

2.3 承載業務的保護

在業務安全方面，除了業務平臺應該具備必要的安全手段外，承載網絡本身應該能夠協助業務層面提供有效的安全保障機制。具體包括以下幾個方面:

1）限制訪問范圍:承載網應該根據業務需求嚴格限定訪問范圍，例如允許哪些網段訪問、只允許那種類型的數據報文通過等等；

2）針對關鍵應用部署QoS（服務質量）策略:3G網絡的特點確實就是IP化，這就導致CDMA網絡無法像傳統交換網絡一樣形成完全封閉的網絡，這就給外界的黑客從發起DoS攻擊創造了可能。在帶寬有限的條件下，應該通過部署基于MPLS的QoS策略，優先保障關鍵應用的數據流量，如信令流、語音媒體流等等；

3）加強對非可信網元的接入管理:因業務合作需要，有時承載網需要為第三方的網絡設備提供接入，此時需要部署專門的安全防護設備，同時在承載網設備部署最為嚴格的安全策略。

2.4 強化網絡預警與攻擊溯源

為了確保承載網安全，當承載網絡遭受異常攻擊時能及時得到處理，避免C網業務因惡意攻擊遭受影響。一方面，需要加強對承載網流量、設備性能、業務狀況等內容的監控，另一方面，需要運用實時安全監控技術，實時檢查網絡數據流并將其與系統入侵特征數據庫的數據相比較，一旦發現有被攻擊的跡象，立即根據事先所定義的動作做出反應，例如自動啟動異常報文過濾機制、立即用短信通知網絡維護人員等等。

安全攻擊的溯源就是在發生安全事件或者出現安全問題時，能夠根據相關有效信息定位到導致安全事件或者發起攻擊的來源，甚至“順藤摸瓜”找到攻擊者。傳統的網絡在響應方面只能被動地實施安全補救措施，而不能主動地進行反擊。要建立新一代具備安全動態防御能力的承載網，需要加強對威脅攻擊的有效反擊，因此調查取證、攻擊溯源便成為有效反擊的首要步驟和關鍵環節。

3 加強網絡管理，避免安全事件

隨著3G網絡規模的擴大以及設備容量的擴大，設備越來越復雜，不可控因素隨之增加。對網絡安全而言，管理和技術同樣重要，即使是先進的安全技術和設備也會可能因管理不善而崩潰。這種案例比比皆是，可以說內部人員的安全意識和安全管理的重要性一點也不亞于使用各種復雜而昂貴的網絡技術。因此在運營商內部建立一套有效的安全管理制度是確保網絡安全運行的關鍵手段。這里所說的管理并不局限于技術層面的管理，還包括管理制度、應急體系、運維規章、人員培訓、密鑰分發、保密制度等方方面面。完善的管理可以在一定程度上消除技術落后帶來的不利因素。

4 結束語

隨著3G業務的迅猛發展，NGN（下一代網絡）、IMS（IP多媒體子系統）業務與3G融合越來越緊密，如何更好地解決C網承載網的安全問題，成為關乎電信業務是否能正常運營，用戶對電信服務是否滿意，未來網絡能否健康發展的關鍵問題之一。本文僅在業務隔離、業務保障、網絡自身安全等方面進行了初步的探索，還有很多諸如承載網IPv6演進、智能管道等課題需要去進一步深入研究，希望通過這些有益的探索，不斷提升C網承載網服務能力，為打造一張優質、安全、高效的3G網絡貢獻一份力量。