支持联网基础设施与保护用户和服务的安全常是互补的任务。将路由和安全基础设施与具有策略意识的控制机制结合在一起,可帮助服务供应商设置利润丰厚的服务,同时保护网络安全。关于实现上述目标的战略和建议,请参见Juniper 网络公司面向供应商网络安全的“超人法则”。
对于金融服务、电子商务、交通运输和能源等行业的公司来说,保证网络全天候的正常运行变得越来越重要。大多数企业都与服务供应商签订了服务水平协议,让服务供应商为亏损买单。随着基于botnet的分布式拒绝服务(DDoS)攻击等安全威胁手段日益高明、次数日益频繁,迫使服务供应商必须预防、监视并最终牵制这些攻击对客户及自己的基础设施的影响。
说到保护网络基础设施安全,服务供应商如果能够借鉴“超人法则”中提供的战术,定将受益匪浅。具体说:
• 尽量隐藏自己
• 如果不能隐藏自己,则力求别人无法接触自己
• 如果不能阻止别人接触自己,则尽量保持别人无法参透自己
• 始终警惕表象上的好人和坏人
如想实施这些战术,服务供应商的基础设施设备必须能够以线速过滤数万个实体传输的数据包,并能够在攻击期间通过灵活的链接和分配技术动态增加和传播这些过滤器。供应商还需要路由器的控制面板和数据面板同时提供流量整形功能,包括对流量进行限速以及将流量放置到优先级队列中。最后,操作人员需要安全套件来实现网络策略层的自动化流程,以帮助动态牵制威胁。专业化的服务厂商和路由软件都能为服务供应商提供具备这些功能的工具。
尽量隐藏自己
在服务供应商的网络中,路由器和网络是操作人员提供安全保护所需的基本IP基础设施。除极少数系统因法律原因无法向路由器发送流量外,几乎所有系统都将流量发送到路由器中。网络安全经理可通过数据包过滤器只允许合法用户向路由器的控制面板发送流量,从而将路由器隐藏起来。
大多数的过滤工作都是在入口和出口处完成的,但是,为了尽量靠近源头阻断攻击,服务供应商有时必须在所有核心路由器、汇聚路由器和客户端设备的入口处端到端地实施过滤器。这些路由器必须能够支持数据包过滤器,同时以线速处理流量,以便为服务供应商开展工作提供足够的数据包转发灵活性。
网络经理必须在这些过滤器上穿孔,以便允许有效流量进入路由器。网络管理站、直接联网的主机、同一个子网上的服务器、内部路由器以及用作外部边界网关协议 (EBGP) 对等体的外部路由器,都是需要接入网络路由器的合法设备。
如果不能隐藏自己,则力求别人无法接触自己
当然,基础设施也存在大量的合法用户。例如,多协议标签交换(MPLS) 客户边缘(CE)路由器必须与供应商边缘(PE)路由器交谈。同样,您必须将直接联网的设备之间传输的网间控制报文协议(ICMP)流量传输到网络中任何路由器的控制面板中。如果无法通过过滤器实施拒绝接入策略,网络经理可使用流量整形和限速等机制来牵制攻击的影响力,以防攻击利用有效的路由器间通信技术。
入站ICMP流量增长速度异常是DoS攻击来临的第一个信号。为了牵制攻击的影响力,操作人员必须对ICMP流量实施限速,迫使路由器丢弃超限流量。这种做法可大幅度减少穿过网络的恶意ICMP流量。限速意味着限制存在威胁的合法用户使用网络或完全阻止来自存在安全威胁的网络的用户访问某些网站,直到攻击停止。然而,限速最重要的目的是保护网络的其他部分。
限速并不是网络经理用于保护网络不被接触的唯一工具。状态过滤器可阻断通过IP地址欺骗或端口地址拦截发动的TCP SYN泛滥攻击和TCP zombies 攻击,并保护BGP会话(和网络)不受被感染主机的影响,从而使网络免遭恶意流量的攻击。此外,通过单播逆向路径转发(uRPF)等技术对源地址进行验证也是遏制欺骗攻击的有效手段。
如果不能阻止别人接触自己,则尽量保持别人无法参透自己
如果不想让别人参透自己的网络,网络经理必须实施RFC 3871中面向网络管理的最佳业务实践,即“确保大型ISP IP 网络基础设施运行安全的业务实践”(见http://www.faqs.org/rfcs/rfc3871.html)。首先,网络经理必须改掉将制造商全称或简称用作路由器登录密码的习惯,而应使用一次性密码 。此外,无论对逻辑还是物理网络,通过应用适当类型的服务或过滤机制来实施带外管理也很重要。另一个有效的最佳业务实践是使用MD5等验证机制将恶意流量遏制在控制面板上。
如想构建高效的安全运营团队,服务供应商需要去挖掘深入了解内部网关协议、BGP和入侵检测与防护技术的高素质人才。接下来,运营商应基于这个团队的网络安全原则来定义、记录并实施安全策略。运营商还应提供热线服务,以便客户和供应商了解当他们遇到攻击时该与谁联系。最重要的是,服务供应商应进行一些演练,考察自己对各类攻击的响应能力。
始终警惕表象上的好人和坏人
服务器和最终用户计算机的安全生来不如路由器。路由器控制面板只拥有几名合法用户,而许多人都能设法接入服务器。服务器操作系统的安全漏洞也比路由器操作系统多很多。Web浏览和电子邮件允许最终用户采取大量措施来响应请求,因此难以维护安全的环境。
如果没有支持线速过滤和灵活更新的路由器,许多供应商及其客户将继续使用基于目的地进行过滤等陈旧技术,实际上通过断开危险服务器或站点的网络连接而成就了DDoS攻击。如果服务供应商能够带领客户远离这些片面的解决方案,将很快成为客户值得信赖的顾问。
这对服务供应商来说的确是一个好消息。为了防止故障停机并确保交易安全,公司迫切希望利用安全服务来确保服务连续性。Juniper业务部署系统(SDX)等安装在网络运行中心(NOC)具有策略意识的系统,如果与路由器上的入侵检测与防护系统和实时分析系统相集成,将能够通过对重大事件进行审计跟踪而为企业提供所需的服务保证。当系统识别出攻击时,BGP防火墙过滤器等先进的牵制技术能够跨越多个网络快速阻断攻击。高吞吐量安全防火墙网关等其他可管理的服务或CPE转售产品也能够为客户创造截然不同的安全体验,如Juniper网络公司面向分支办事处的安全业务网关(SSG)。
采用长期的战略方法
安全是长期问题,服务供应商应制订长期战略来解决安全问题。要求如下:
• 通过灵活的过滤器选项提供线速数据包过滤
• 通过先进的限速功能实现有效的流量整形
• 在更高级别的控制层和IP基础设施中实施策略工具
只有Juniper 网络公司能够为服务供应商提供涉及到所有网元的全面的功能套件。关于您在保护网络骨干安全时还需考虑哪些问题,请下载我们的白皮书《保护供应商骨干网的安全:数据包过滤器、流量整形及相关最佳实践》,以便详细了解本文讨论的技术,您还可发现网络可靠性和互操作性理事会(NRIC)以及北美网络运营商联盟(NANOG)在其网站上提供的相关资料。
网友评论