刘彩录
铁路分散自律调度集中系统 (CTC),已被广泛应用于我国既有铁路、高速铁路及城际客专等铁路运输上,提高了运输组织工作效率,也被国家相关部门评定为“等级保护”四级系统,对该系统信息网络安全提出了更高的要求。铁路CTC网络均采用了带访问控制功能的路由器,正确地设置ACL(访问控制列表),将起到防火墙的作用,降低网络安全风险。本文探讨在CTC网络路由器上进行规则设定,阻挡不匹配安全规则的数据包,实现CTC网络安全。
1.病毒。CTC系统在建立和运营过程中,需进行大量的软件上传、修改、备份和检查升级工作,远程连接登录、使用U盘等都可能造成系统的“病毒”感染,导致中心或车站系统瘫痪。
2.非法登录。掌握CTC系统各级口令的人可以随时通过中心或车站某台终端接入CTC系统,有可能对系统进行破坏。
3.信息安全。CTC系统直接指挥和控制行车,是铁路调度指挥进行生产组织的核心系统,其内部网络中传输着涉密信息,尤其是军运或专运列车的行车组织信息。
1.设置杀毒软件服务器。CTC中心部署一套网络版杀毒软件服务器,通过控制中心管理全网的客户端,实现统一升级、设置,对网络中的病毒进行实时监控和查杀。
2.访问控制。大多数方案是安装硬件防火墙,主要是过滤非法数据包或者不安全的流量,保证网络安全。车站防火墙均布置在网络出入口处 (网络交换机和路由器之间),防火墙一次故障或死机就可能危及整个车站网络,导致信息传输中断,影响行车组织;而且专门增设防火墙也增加了成本。
3.强化CTC用户管理。杜绝一机双网,确保与外部网络物理隔离;拒绝未经检测的移动存储使用;验证CTC用户的身份和使用权限,防止用户越权操作等。
访问控制是实现网络安全的主要途径。目前实现访问控制的技术方案有MAC地址过滤、交换机VLAN隔离、基于IP地址的访问控制列表等。
访问控制列表 (Access control list,缩写ACL),是一种基于包过滤的数据控制技术,在路由器和三层交换机中被广泛使用。它把源地址、目的地址以及端口号作为数据包检查的基本要素,并规定符合检查条件的数据包允许通过,不符合检查条件的数据包禁止通过,从而保证网络安全。
现有CTC网络绝大多数部署了防火墙,但实际运行防火墙死机或故障发生率偏高。由于防火墙部署在网络出入口,即便是瞬间重启也必然导致整个车站CTC网络中断。而在路由器适当配置访问控制列表 (ACL),对网络流量进行规则检查,限制非法数据包通过,实践证明,可以有效减少网络安全风险,实现一般防火墙具有的功能。
访问控制列表实现方法:首先进入路由器全局配置模式,依次定义访问控制列表,最后将其配置到网络接口中。这样通过该接口的数据包都必须接受规则检查,被禁止的数据流量将无法通过。
ACL根据情况配置检查源IP地址、目的IP地址、网络协议和端口号等,主要使用以下2种。
1.标准访问控制列表是最简单的ACL,格式:
access-list ACL号permit|deny主机IP地址
2.扩展访问控制列表是一种高级ACL,格式:
access-list ACL号[permit|deny][协议][定义过滤源主机][定义过滤源端口][定义过滤目的主机][定义过滤目的端口]
实际应用中,还要分清ACL所应用的接口及其方向。
1.限制计算机病毒传播。由于微软操作系统的漏洞,一些病毒或木马软件使用UDP端口135、137等和 TCP端口135、137、9996等进行传播,可设置ACL规则关闭这些端口,阻碍其传播,有利于病毒的查杀。比如关闭UDP和TCP135端口。
access-list 101 deny udp any any eq 135
access-list 101 deny tcp any any eq 135
access-list 101 permit ip any any
2.屏蔽非法主机通信。假设一台主机ip 172.22.10.5非法进入网络 (或者感染了病毒),那么可以采用ACL策略,限制该主机的数据传输。
access-list 3 deny 172.22.10.5
access-list 3 permit ip any any
int f1/0
ip access-group 3 in
exit
3.保护CTC中心服务器安全。CTC中心服务器作为网络中枢,对所有的网络终端都是可访问的,这样也很容易招来黑客和病毒的攻击,通过设置车站路由器ACL可以将除了必用服务端口之外的其他端口都关掉。假设172.22.10.1为中心服务器,必用服务端口为99,协议为TCP。
access-list 101 permit tcp any 172.22.10.1 0.0.0.0 eq 99
access-list 101 deny any
4.保护CTC车站车务终端不被非法登录。为了防止非法用户远程登录车站车务终端 (一般使用PC Anywhere软件),非法操作而危及行车安全,可以设置ACL只允许正常合法的维修终端访问,其他主机远程登录均禁止。假设合法的维修终端为172.22.10.201,PC Anywhere使用的默认端口号为tcp,5631,udp,5632。
access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq 5631
access-list 101 permit udp any 172.22.10.201 0.0.0.0 eq 5632
access-list 101 deny any
5.保护车站自律机安全。自律机是分散自律调度集中系统的车站核心设备,负责与联锁、列控及中心服务器交换信息,使用定制的LINUX操作系统。正常通过telnet和ftp访问。为了防止其被非法操作,同样可以设置ACL只允许合法的维修终端访问。
假设合法的维修终端为172.22.10.201.
access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq telnet
access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq ftp
access-list 101 deny any
路由器ACL功能灵活、使用方便,这对网管人员也提出了更高的要求。在CTC路由器ACL配置上述实例,可以实现访问控制,使路由器发挥防火墙作用,降低网络安全风险。随着CTC网络的不断扩展,网络安全问题也日益突出,网络维护人员应根据本单位具体网络需求情况,认真分析配置ACL,不允许有丝毫差错。
[1] [美]Brenton,C.Cisco.王军译.路由器从入门到精通[M].电子工业出版社,2003.
[2] 谭浩强.Cisco路由器实用技术[M].北京:中国铁道出版社,2006.