文章编号:1009-6868(2001)05-0031-05 文献标识码:A 中图分类号:TN918.91
1 概况
随着基于互联网的业务、应用的日益增多,互联网的规模不断扩大,网络时代已经来临。为业务、应用的开展提供一个可靠、安全的数据传输保证,便成了当务之急。没有可靠、安全的传输保证,基于互联网的业务迟早会陷入崩溃的地步。
路由器则是互联网的主要节点设备,它通过路由决定数据的转发。作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP 的国际互联网络(Internet)的主体脉络,也可以说,路由器构成了 Internet 的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互联的质量。因此,在园区网、地区网,乃至整个 Internet 研究领域中,路由器技术始终处于核心地位,其发展历程和方向,成为整个 Internet 研究的一个缩影。处于这样一个关键地位,路由器就不光要能够保证数据包的正确转发,还要能担负起保证合法数据安全传输的作用。
安全路由器已逐渐成为一个开发的热点。它集数据转发、数据保护、网络保护于一身,可以有效地分隔开内外网络,既有路由器的有效组网作用,又可以具备防火墙的安全保护作用。
安全路由器的作用主要体现在以下各方面:
2 路由器的安全威胁
对路由器的安全威胁可以分为对路由器自身的威胁和对路由器功能的威胁两部分。
(1)对路由器自身的威胁,如:
(2)对路由器功能(准确、安全、高效地转发授权的数据包)的威胁,如:
3 安全路由器描述
安全路由器提供的安全服务功能是安全路由器能提供给用户什么样的安全服务。安全机制则是对安全服务的保障措施。一项安全服务的事项要通过若干项安全机制进行保障。具体安全技术则是目前在实际中已经或即将制订的安全协议和实施的安全技术。
(1)安全路由器的结构
图1 给出了安全路由器的一个基本框架,其中:
图1 安全路由器框架
信息包从输入单元进入安全路由器。首先在安全处理单元中依据系统的安全策略和信息包中的内容对信息包进行安全处理,根据处理结果决定是否经过路由交换单元从输出单元输出。为了保证路由器的正常处理,在此还可能对信息包进行分流,送到具有安全分析功能的服务器进行安全分析,根据分析结果,发出告警或通知安全控制单元,进行安全策略的调整。
路由控制单元在通过路由协议进行路由信息交换时,也需要通过安全处理单元进行路由安全的保障。一些安全问题还可以送到后台安全服务器记录,以供事后追踪。
(2)安全路由器可以提供的安全服务功能
很多安全功能,用户也可以在自己的终端上实现。但这样对网络来说,管理太复杂,而且容易出现局部漏洞,从而对整个系统的安全构成威胁。通过路由器实现这些安全功能,可以方便地统一管理,减少对用户的技术要求。
安全路由器应该为客户提供的安全服务包括:
1)认证:对和路由器进行联系的对方实体或数据包的身份进行确认或识别,又分为:
2)访问权限:控制对系统资源的访问权限。系统内不同的资源对不同的用户提供不同的访问级别。
3)保密性:用来防止数据或业务流的非授权泄漏。根据要进行保密处理的数据项分为:
4)完整性:发现对传输的数据进行的各种非法改变,有3种主要类型:
5)抗否认性:用来防止在通信过程中双方对自己行为的否认,可以作为事后追究的依据,根据否认方的不同分为:
(3)安全路由器的安全机制保障
为了能够提供上述的安全服务,安全路由器提供一套安全方法来保证,也就是安全路由器的安全机制。这些安全机制包括:
(4)安全路由器中的安全技术
安全路由器中的安全技术从层次上主要涉及到硬件、操作系统、各网络层次(主要链路层、网络层和部分应用层)等几方面。从防范的时序上包括事前预防、事中告警、事后追踪等各项技术。事前预防主要是事先对硬件、操作系统、各网络层次进行安全设置,使得攻击难以进行;事中告警则是在对进出的数据包进行安全分析的基础上,发现可疑点后,发出告警或进行动态策略调整,防止攻击的扩散;事后追踪则能够根据日志或其他的记录信息在事后进行分析,追踪攻击者的行迹,并协助提供攻击证据,意图通过法律手段对攻击者进行制裁。硬件的安全一方面指硬件设备本身要能够在不同温度、湿度条件下,防震、防电磁干扰、防雷、防电源波动以及在通信电缆的绝缘电阻、介电强度等方面有要求,其物理安全防护应符合GB4943-90和GB9254-88;另一方面在硬件设计上考虑对安全的辅助,能够通过硬件动态地隔离开网络,使网络可以通过物理分离达到安全目的。
操作系统的安全很复杂,因为很多操作系统的不安全性来自于自身的漏洞。而这些漏洞可能就是由于操作系统实现时的疏忽而造成的。如:由于没有对输入的数据量进行长度控制造成的缓冲区溢出、由于用户密码管理文件的访问权限的门槛太低造成的密码文件泄漏。
在安全路由器中应该实现的安全技术还有:
1)链路层安全技术:针对在本地终止的PPP连接,当作为访问路由器或要实现VPDN(虚拟专用拨号网络)等业务时,就会有该层的安全要求。在PPP层要能提供实体身份认证、加密、压缩等。
PPP安全所涉及的实体身份认证协议主要有:PAP(口令认证协议)、CHAP(质询握手认证协议)。安全的链路层协议必须保证用户名、口令非明文传输,推荐采用CHAP机制实现。验证方式可以采用本地数据库或者AAA协议。
PPP提供的加密服务由ECP(PPP加密控制协议)来完成。通过ECP协议,PPP在链路建立完成时,可以在通信的两点之间协商合适的算法,对数据进行加密(具体见RFC1968)。由于ECP本身的协商不受保护,ECP协议也没有密钥管理的描述,这使得ECP协议的安全性存在漏洞,需要进一步完善。
2)网络层安全技术:网络层的安全最能显示路由器的安全作用。它的作用是为IP层提供可操作的、高效的和基于密码技术的安全性。在这一层提供的安全服务包括了访问控制、无连接完整性、数据来源认证、防重放保护、加密和有限的业务流机密性。而且这些服务在IP层提供时,要为IP层或更高层协议统一提供保护。网络层安全协议目前主要支持IPSec(网际协议安全体系结构)及密钥交换协议(见RFC2401~RFC2412、RFC2451等)。另外路由的安全技术、NAT(网络地址转换)技术、IP过滤器技术也可以体现在网络层中。
3)IPSec安全协议:对于普通的IP数据包通过使用两个业务安全协议:IP认证头(见RFC2402)、IP封装安全载荷(见RFC2406)来进行数据完整性、数据来源、防重放、加密等处理。而进行处理的安全策略参数来源于手工配置或通过IKE(网际密钥交换)进行的安全协商(见RFC2409)。
IPSec安全协议应该实现:
?支持自动生成(IKE) 和 手工配置(SA);
4)路由的安全技术:路由的安全技术主要是防止伪造路由信息。这就要求对路由信息包进行源认证、包本身的完整性校验,以确保路由信息来自于可信任方,并且没有被篡改。在实际中路由协议主要通过预配置密钥,也可以通过ISAKMP(网际安全协商和密钥管理协议)协商得到密钥(见RFC2408),以后的认证和完整性校验都以此密钥进行。
5)NAT技术:NAT用于将一个地址、端口对映射成另一个地址、端口对,从而为终端主机提供透明路由的方法。它可以隐藏受保护网络的内部结构,通过设置映射策略对转发包进行控制,从而提高系统的安全性。NAT映射关系包括静态地址转换、动态地址转换、地址及端口转换、负载分配。静态地址转换完成一组内部IP地址到外部IP地址的一对一静态转换;动态地址转换则可以使得外部IP地址动态地映射到内部的IP地址上;地址及端口转换将不同的IP地址及传输标识符(TCP、UDP端口号,ICMP询问标识符等)转换为一个或多个外部地址的不同传输标识符。这样的转化既可以是外部地址向内部地址的映射,也可以是内部地址向外部地址的映射。通过实现上述一组或多组的映射关系,可以加强映射关系的可控性。
6)IP过滤器技术:IP过滤器用于实现对IP层及其以上的数据包进行访问控制。访问控制的依据是若干过滤规则。
过滤器应该有如下要求:
7)管理安全技术:管理安全技术所涉及的是不属于正常通信实例,但要用来支持和控制该通信的安全方面的操作。安全路由器中的安全管理包括系统安全管理、安全服务管理、安全机制管理、安全通道管理。
SNMP安全规范允许使用多种安全协议保护网络管理操作。它要利用密码技术及相关机制,对网络管理提供数据完整性、数据源认证、数据机密性保护,这些安全服务是通过摘要认证协议和对称加密协议来实现的(参见RFC1446、RFC1352)。它要能提供以下服务:为每个收到的SNMP消息在通过网络期间没有被非授权管理操作引起改变提供验证;为每个收到的SNMP消息的发送端身份进行验证;为每个最近收到的SNMP消息提供明确的产生时间;为所有先传递的来自类似源的消息的每个后续收到的SNMP消息提供明确的产生时间;必要时使每个收到的SNMP消息的内容不被泄漏。
Telnet协议的安全要求包括机密性、完整性、用户认证。这些服务基于密码技术,可作为Telnet的安全扩展提供,或者作为一个封装的安全协议。它要能提供下列的服务:请求或响应数据的机密性;请求或响应的数据源的验证和数据完整性;请求或响应的数据源的不可抵赖性。
安全分析是事前预防、事中告警、事后追踪的基础。它主要对进入系统的信息进行统计、分析,检测和识别系统中未授权或异常的现象。安全分析的依据主要有两种:一种是正常用户的行为模型,一种是入侵者的行为模型,即根据统计结果判断是否偏离了一个正常用户的行为,或者符合一个入侵者的行为,据此进行相应的安全处理。这里行为模型如何确立,是一个关键问题。
(5)性能
安全分析、安全处理本身往往都是很耗资源的,应该在安全和系统性能方面进行综合考虑,尽可能地在能够满足用户安全需求的情况下,提高安全路由器处理的性能。提高性能的措施有:
[摘要] 文章针对安全路由器进行了总体描述,包括路由器受到的威胁、安全路由器的作用、系统架构、提供的安全服务、涉及的安全机制和安全技术。
[关键词] 安全路由器 路由器威胁 安全服务 安全机制 安全技术
[Abstract] The article presents the general structure of security router, mainly referring to the threat to router ,and the function, system architecture and service of security router, as well as the security mechanism and security technologies.
[Keywords] Security router Threat to router Service of security router Security mechanism Security technology