互联网服务商(ISP)的网络安全基本策略

1互联网服务商（ISP）的网络安全基本策略吴灵熙[摘要]在互联网高速发展的今天，基于网络的应用日益增加，网络安全的威胁也日趋严重。互联网服务商需要加强安全防范和实施有效的安全策略，才能在网络攻击中幸免于难，在严峻的安全威胁环境下生存。本文主要以某电信的宽带城域网和IDC为例，讲解ISP如何防范网络攻击和实施网络安全策略。[关键词]网络攻击，安全原则，安全策略，攻击对策DOS（denial-of-service拒绝服务攻击），DDOS（distributedDOS分布式拒绝服务攻击）,ACL（accesscontrollist访问控制列表）,FW（firewall防火墙），Netflow/Netstream（某些路由器或交换机支持将输入的数据包进行分类，归属成数据流，并记录相关的信息），IDS（IntrusionDetectionSystem入侵监测系统）SSH（Secureshell一种远程管理加密协议）[参考文献]《ISP安全要素ISPSecurityEssentials—BestPracticeCiscoIOS®andOtherTechniquestoHelpanISPSurviveinToday’sInternetVersion1.9》—人民邮电出版社2003年；《计算机网络大全》—电子工业出版社1997年；《计算机网络安全奥秘》—电子工业出版社1999年；《Internet网络安全专业参考手册》—机械工业出版社1997年；《TCP/IP路由技术（第二卷）》—人民邮电出版社2002年；《Internet/Intranet网络安全结构设计》—清华大学出版社2002年。2一．前言1．互联网安全现状互联网发展至今，已经达到一个相当的规模，网络安全的威胁也日益严重，电信公司作为一个互联网服务提供商（ISP）,也面临同样严峻的问题。绝对安全的网络是不存在的。但是可以通过一系列的措施和步骤，长期连续的在循环实施中不断加强，不断完善，达到一定的安全级别。只有这样才能在一定程度上防范日益增长的网络安全威胁。跟以前相比，网络安全的威胁，已经发生了变化：1）原先的只有专业黑客才会攻击，现在有很多可以自由下载的黑客软件，介面友好，容易使用；2）电子商务的日益流行，吸引黑客为了金钱利益而采取一些行动，不再是原来的炫耀个人技巧和表现自我意识；3）互联网的基础构架（服务商的网络核心）面临越来越多的攻击，使得整个互联网的安全威胁越来越多；4）通常服务商还经常接到用户的申告，希望能够提供网络安全的防护。用户需要ISP提供安全防护和安全方面的顾问服务；大部分电信的宽带城域网作为互联网的一部分，连接了以下几种用户：1）小型企业的专线用户；2）大型企业的专线用户；3）普通用户；4）专业用户；根据2001年相关的统计资料表明，网络安全的攻击主要分为以下几种类型：1）90%攻击用户电脑的系统/应用，包括病毒攻击，系统漏洞攻击和应用软件漏洞攻击，这几乎是每个ISP的用户天天都会面临的问题，用户一般通过加强系统的安全防范和及时更新病毒代码和软件补丁就可以消除了；2）9%更加严重的DOS或DDOS攻击，这种攻击往往是需要ISP协助用户才能够解决的，是互联网上的主要的威胁之一；3）1%最为严重的攻击ISP网络的基础构架，对ISP来说，这才是真正可怕的攻击！目前只有通过ISP的加强网络构架和安全防范才能够减小攻击引起的危害；2．网络安全防护的范围：作为ISP，需要在以下的范围实施保护：1）保护ISP自己的网络；2）保护自己的用户不受来自互联网的攻击；3）防止自己的用户不对互联网发起攻击；4）能够在任何时间内，防止相当数量的DOS/DDOS攻击；3．ISP的安全策略：ISP的网络安全是非常关键的，这个问题关系到ISP在互联网环境下的生存问题，不是可有可无的。安全策略应该包含以下几个方面，这4个方面共同组成了整个ISP网络安全策略：1）安全防护措施，包括ACL，防火墙，加密，用户身份鉴别等；2）监控和反馈，包括入侵监测系统，各项状态监控等；3）测试系统漏洞，包括弱点扫描，模拟攻击等；4）网络构架增强和改进，包括网络结构调整和新安全策略制定3这4个方面相辅相成，互相关联，相互作用。ISP的网络安全不是一成不变的，也不是一日而就的，需要长期连续的在这4个方面循环实施中不断加强，不断完善。4．ISP实施安全的范围ISP的网络安全，需要在以下几个层次实施1）ISP网络的基础构架，包括互连中继，光缆，外线和物理设备2）ISP网络的安全，包括主干网络的拓扑结构，路由和带宽3）ISP网络的服务设备，包括接入服务设备，应用服务（DNS，MAIL，Portal，RADIUS等）5．ISP网络安全防护的6个阶段1）事先的准备所有的ISP都需要对网络攻击做好准备，调整好网络，准备好各项工具，制定各项操作规范和技术指导书，训练员工和贯彻实施各项安全策略，其中最重要的是制定计划，当发生网络安全时间的时候，如何应变。2）发现攻击如何发现自己或是用户正在遭受攻击；3）攻击分类详细了解攻击的类型和会产生什么样的危害；4）反跟踪攻击源研究攻击的发起源头；5）攻击的对策实施策略和调整，减小攻击带来的后果（即使什么也做不了，也要收集攻击的数据）6）事后的分析和安全的加强分析攻击究竟是怎么回事，采取一些措施和手段以防止下次发生类似的攻击。本文就“ISP网络安全的6个阶段”进行详细解释，并且以某电信的宽带城域网和IDC为例，讲解ISP如何防范网络攻击和实施网络安全策略。4二．ISP网络安全的6个阶段1．为攻击事先做好准备首先，需要对可能的攻击做好了解：1）需要去了解用户什么时候可能会遭受攻击，为什么可能会遭受攻击；2）需要去了解攻击的发生情况，以及引起的严重后果；3）需要设想互联网处处都不安全，要考虑一切的可能因素；4）要实现设想好对策和计划，以及发生攻击的应变措施；一定要建立ISP的安全管理制度，而且要杜绝以下情况：1）没有安全计划，没有在制度上规定安全方面的规范；2）没有安全的应急措施，和应急预案3）没有经常练习使用工具和演练应急步骤；4）没有对员工进行专业和系统的培训，只是当安全事件发生后，维护人员才得到某些的处理事件的实践经验；对于负责网络维护的技术主管，一定需要准备很多具体内容：1）训练一个团队来应付网络安全攻击；2）与所有相连的ISP保持联系3）与主要的网络安全厂商保持联系4）把安全策略归档，包括需要提供安全防护的用户资料，对攻击进行分类的标准，反跟踪攻击的方法，摆脱网络构架攻击的方法为了便于技术准确的判断攻击和解决攻击，还需要随时准备好各项工具和方法，包括：1）经常在各种环境下测试各种类型的ACL，随时准备好适当的ACL以备应用2）经常测试Scripts脚本程序，保证都能用，随时准备好3）准备好测试的工具，包括模拟攻击和漏洞扫描的工具，4）经常进行假象攻击的讨论，必要时需要在测试环境下模拟各种类型的攻击，以检验各项工具和防御手段的可用。5）经常考虑采用网络结构和系统调整的方式提高网络的安全性；6）要经常给用户和维护人员培训，加强他们对TCP/IP，操作系统原理，应用软件架构和安全。作为系统管理员，需要审计网络设备的配置：1）保证路由器和交换机的安全2）保证路由协议的安全3）保证整个网络的安全作为设备维护人员，需要详细了解整个网络的所有设备和基础构架：1）需要细致了解所有设备（包括路由器、交换机、工作站等等）需要了解这些设备究竟能够具有什么功能；2）需要细致了解能够具有什么性能和容量，必要的时候应该搭个模拟环境来测试，在安全事件发生时才发现设备性能和容量不够，是非常可怕的事情；5用以下的图例来总结ISP在应付网络安全攻击的实施步骤。1）首先ISP需要根据上面提到的准备内容，制定安全策略ISP’sSecurityPolicy;2）采用防火墙，加密，鉴别/审计等步骤和手段来落实安全策略，实现防护。Secure3）通过入侵监测系统和其他告警机制来检视网络的安全MonitorandRespond4）采用漏洞扫描和模拟攻击等手段来测试网络的安全防护坚固程度Test5）处理安全问题和改进安全策略，具体分析安全事件的内容，修改安全计划和应急步骤，形成新的安全策略，ManageandImprove以下从技术角度详细解释ISP在应付网络安全攻击的准备工作，需要按步骤检查和实施的具体内容：1）组建和预备好应急相应的团队；任何一个ISP都需要有网管中心，网管中心内部应该加强沟通，还需要和客户，其他ISP沟通。还要设立应急响应小组和发生安全攻击的第一时间响应人员。应急响应人员只是提出建议，提供帮助，技术支持，和提供应急预案，不建议从事普通的维护工作；应急响应小组一般来说隶属于网管中心。2）保障路由器和其他网路设备的自身安全新购的网络设备没有安全方面的设置，一旦这些设备连接上网络，就有可能受到入侵和破坏，需要作相应的安全设置，包括关闭一些全局的系统服务，接口上的局部服务，配置登录验证授权和管理员验证，可能的话，远程管理采用加密或隧道的方式实现。建议对新设备加电之后所作的安全设置编写一个规范的配置步骤和标准；3）保障路由协议的安全动态路由协议也是容易受到攻击的。建议配置验证路由协议的交换（包括常见的OSPF,IS-IS，BGP等），设置丢弃一些影响路由交换的不正常数据包（采用SPD等功能），优化路由的快速收敛，要使得路由收敛符合整个网络的情况，避免出现路由收敛不一致导致的路由紊乱的问题。4）加强网络的稳定和安全采用路由过滤，包过滤，速率限制等手段来实现。路由过滤应该限制入方向的路由宣告和出方向的路由宣告，过滤不必要的路由，包括：（1）RFC1918，127.0.0.0/8，169.254.0.0/16等属于私有网段的路由；（2）不宣告不属于自己IP范围的路由，不接收属于自己IP范围的路由。6（3）建议不接收掩码长于24位的路由（特殊情况除外）；（4）与其他ISP互连的时候，建议不接收默认路由（特殊情况除外）；（5）监视相互宣告的路由，作相关的设置防止垃圾路由的泛滥；5）设置的路由黑洞过滤，防止路由循环ISP在BGP里设置本ISP的路由黑洞，可以加快IBGP的收敛和路由的稳定，有利于发生DOS/DDOS攻击的时候反跟踪攻击源，还可以防止类似“红色代码”的网络攻击6）预备旁路过滤设备在网络中设置功能强大的安全过滤设备，把受到安全攻击的主机或网络的流量通过旁路过滤设备进行过滤，这种设置有利于网络攻击的分析和反跟踪，还可以实现利用有限的资源，动态的保护正在受攻击的主机和网络。7）设置必要的包过滤限制ISP的用户只能发送合法源地址的IP包，限制其他ISP不能发送不合法源地址的IP包，限制ISP发往用户的IP包只包括需要的应用端口。一般采用反向路由检测，边缘路由入口访问控制，和动态访问控制等方法实现。8）在网络的入口重设置IP的优先级为不同的网络应用数据包区分不同优先级，设置访问控制列表观察不同优先级IP包的情况。9）检查采用默认路由的隐患在BGP全连接的网络环境中应该尽量采用默认路由，特殊情况需要实施，也需要非常认真考虑，默认路由配置不当很容易导致路由循环和DOS/DOS。对于其他ISP连接的时候尤其注意。10）管理上的安全机制为设备配置适当的loopback地址，设置网络设备通过TFTP将配置备份到服务器上，并且通过TFTP下载配置（有利于紧急情况下远程的配置变更），配置网络设备通过ftp将coredump备份到服务器上，配置syslog和snmp对设备进行监控，配置网络时间协议同步整个网络设备的时钟和系统日志。配置Netflow，Netstream等，便于网络攻击的反跟踪和网络流量的详细分析。建议将流量详细的分析数据导出到服务器。对远程带外管理的用户进行集中认证和授权，并且自动记录操作内容和系统状态变化。限制远程带外管理的用户范围。2．发现攻击1）一般来说受到扫描是被攻击的前兆。要注意什么时候本ISP或用户被扫描，最好能够通过IDS或其他机制来监测可能有敌意的扫描行为；2）对于判断用户受攻击的情况，一般来说有以下的办法：