刘国强
摘要:随着IMS网络的快速发展,IMS边缘汇聚层的网络安全成为重点关注之,该文针对IMS边缘汇聚层来自互联网的各种主要安全威胁,提出相应的防范方法和措施,通过设置ACL策略等,有效了保证了网络的安全。
关键词:IMS; 安全; 防范; ACL; 策略
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)31-7321-02
Abstract: With the rapid development of the IMS network, the network security become one of the focus for the IMS edge convergence layer .This article in view of the IMS edge convergence layer of the major security threat from the Internet and put forward the corresponding prevent methods and measures, by setting the ACL strategy, effectively guarantee the safety of the network.
Key words: IMS; Security; Prevent; ACL; Strategy
随着通信技术的发展和人们通信需求的多样化,传统的PSTN网络技术和软交换网络技术已经越来越无法满足人们的需求,迫切需要一种可以融合有线网络和无线网络、并且能同时提供语音、数据以及其他增值业务的新技术,为此,人们提出了IMS[1,2] (IP Multimedia Subsystem)技术, IMS将最终融合固定网、移动网、企业网、无线网等各种网络,简化网络结构,支持更丰富的定制化业务。
IMS采用了分层式架构,不仅实现了软交换中承载和业务控制的分离,更进一步实现了控制和业务的分离,这种分层式架构打破了传统网络的垂直式业务体系,通过模块、接口的标准化,能快速地实现不同应用业务的部署及新业务的引入,同时 IMS采用了开放的网络和业务能力,从而使应用组合更加灵活多样,与现有网络相比,具有更加丰富的业务提供能力。
IMS网络与传统PSTN网络和软交换网络相比,IMS网络实现了全网IP化和扁平化。由于整个IMS网络都通过IP相连,而且网络中的接入层设备都暴露在公网中,入侵者就可以通过这些设备非法访问IMS核心层设备,而边缘汇聚层设备起到隔离公网和内部网络作用,其安全防范措施尤为重要。
1 IMS网络的网络结
其中接入层设备主要是指直接连接用户话机的各种接入设备,包括单用户终端和多用户终端等,该层设备处于公网环境下,信令、媒体等数据在公网中传送,通过VPN等技术保证路由和数据的安全。
边缘汇聚层设备主要是公网和内部网络的连接点和隔离点,其中BAC设备进行公网IP地址和内部网IP地址转化,一方面保证业务的畅通,另一方面隔离了内部网络和公网网络,保证内部网络的安全,而外网三层交换机主要连接接入层三层交换机,而内网三层交换机主要连接核心层三层交换机。
核心层设备主要包括IMS核心处理设备,负责整个IMS业务的控制、业务转发等,核心层设备处在内网中,安全性相对较高。
2 边缘汇聚层设备面临的安全威胁
边缘汇聚层设备一面连接内网设备、一面连接接入层设备,暴露在公网中,其网络安全威胁包括来自互联网的各种安全威胁,该文总结边缘汇聚层设备主要面临的各种互联网安全威胁如下:
1)三层交换机等负责处理进入设备的数据流,它有可能受到基于流量的攻击,如大流量攻击、畸形报文攻击。这些攻击的主要目的是占用设备CPU的处理时间,造成正常的数据流量无法得到处理,使设备的可用性降低。
2)三层交换机的一个主要功能是进行路由信息的交换。这一方面的主要威胁来自对路由信息的窃取,这样会造成网络路由信息的泄漏,使得侵入者可以通过伪造IP地址侵入内部网络,对网络带来严重的威胁。
3)对系统管理来说,威胁来自于两个方面,一个是系统管理所使用的协议(如Telnet协议、HTTP协议等)的漏洞,另一个是不严密的管理,如设备管理账号的泄露等。
3 边缘汇聚层设备的防范方法
1)加强密码安全。一方面使用强密码,增加密码的复杂程度和长度,采用大小写字母、数字、特殊字符混合而成的长位长密码,这种方式可以大大减少侵入者破解的几率。根据LockDown.com公布了一份采用“暴力字母破解”方式获取密码的“时间列表”,如果用一台双核心PC破解密码,如果是最简单的数字密码,破解时六位数密码瞬间搞定, 而如果采用数字、大小写字母与特殊字符混合组成密码,破解八位需要23年。同时定期修改密码,一方面可以减少密码泄露的几率、另一方面可以进一步增加侵入者破解的难度。
2) 如IMS边缘汇聚层主要汇接SIP语音业务,在IP网络中将SIP协议封装在TCP或UDP中,端口固定,那么可以只开放TCP或UDP的固定端口以及其他一些必要的协议及其端口,禁止开放TELNET、SNMP、PING、FTP等协议访问边缘汇聚层设备,可以通过ACL访问控制列表进行访问控制的方法实现以上功能,这样可以防止侵入者利用这些协议的已知和未知漏洞对设备进行非法操作。
3)网络安全一个重要威胁就是通过发送大量垃圾数据来消耗三层交换机的资源,而使得网络无法正常运行。如发送大量非法源IP地址的连接请求到BAC,使得BAC由于处理能力不足而导致网络瘫痪等,这时可以根据业务的特殊性进行源IP地址的拦截,如IMS业务的源IP地址是固定的IP地址段,可以在外网三层交换机上设置ACL,只允许业务源IP地址段通过,其余源IP地址段地址一律拦截,这样可以有效防止非法入侵。
4)对三层交换机不使用的物理端口进行关闭。很多情况下三层交换机端口在不使用时不做任何处理,当有线路连接时,端口自动开启并进行协商,侵入者有可能通过端口协商使得端口自动变成TRUNK模式,进而通过TRUNK口非法获取三层交换机内部的数据流。
5)在外网三层交换机和接入层设备之间不要使用OSPF、GBP等动态路由协议。这些动态路由协议可能造成内部路由泄露,使得入侵者可以获知内部组网结构等信息,建议在外网三层交换机和接入层设备之间接口使用静态路由,这样外网只能看到有限的几条路由信息,可以最大限度的隐藏内部路由。
4 ACL的设置方法
设置了ACL之后,三层交换机对通过设置了ACL策略的端口来的每个数据包都要进行策略匹配和处理,这样会占用交换机的CPU和内存等资源,因此ACL策略是会对三层交换机性能产生影响的,尤其对低端的三层交换机影响较大,因此,在设置ACL时,应充分考虑条件的严谨性,尽量通过较少的条目来实现需求,在实际设置ACL时,确保ACL条目在50条以下,这样既可以发挥ACL的作用又不影响交换机的正常工作。
5 结束语
本文首先分析了IMS网络的结构,总结了IMS边缘汇聚层设备所面临的各种安全威胁,并针对相关的安全威胁提出了对应的防范方法和措施,通过以上方法,能够有效的保证IMS边缘汇聚层设备的安全。
参考文献:
[1] 程宝平,梁守青,IMS 原理与应用[M].北京:机械工业出版社,2007.
[2] 左伯茹.IMS 网络接入安全方案研究[D].北京:北京邮电大学, 2006.
[3] 孙丽敏.访问控制列表应用分析[J].通信管理与技术,2007.
[4] 刘军,王彩萍. ACL 在IP 网络中的应用[J].计算机与数字工程,2009.
[5] 张巍娜.QoS 与ACL 的配置及应用[J].赤峰学院报:自然科学版,2009(2).