深度剖析目前电信宽带种种安全隐患.docVIP

深度剖析目前电信宽带的种种安全隐患 记得张楚有句歌词:“隐藏的危险，变得很阴险”，最近怎么觉着这首名为“小人”的摇滚是写给网络犯罪的。随着网络化步伐的加快，网络已经成为我们生活中的一部分，宽带对应的安全问题日益突出，大家在谈论宽带问题，往往爱谈论个人用户应该怎样注意保护自己的账号安全，但是安全问题只是个人用户造成的吗，这篇文章从另一个角度，以宽带问题为切入点，通过对某省的电信网上计费网站安全测试及获取电信的管理帐号过程这一案例，深度剖析目前源于电信宽带的种种隐患。 　　宽带安全问题抛开个人用户的种种问题，从电信角度来说:现有网络硬件设备不能满足现有需求,造成用户认证困难:假如目前每个宽带账号和电话线路都可以绑定，真正做到一个账号只能在一条线路上使用，似乎目前很多安全问题都可以解决了。但目前的情况不是这样子的:在各种账号安全问题中，非法共享和盗用以及非法用户追踪困难的原因，主要是因为电信运营商没有对宽带用户账号安全提供限制和可靠的保护，无法形成对宽带用户的唯一的标志。市场经济下，投资成本和利润回报影响各个行业的决策，电信也不例外，目前国内整个宽带网络的认证和计费系统主要由BRAS设备和RadiusServer设备来共同完成，基于当前的城域网，而VLAN资源不足致使多个用户共用一个VLAN的网络现状。根据目前网络现状开发的PITP协议、PPPoE+协议、DHCPOption82等技术就是为了解决这一问题。 　　当然，这些方式虽然可以解决用户唯一标志问题，但无法在国内统一，原因其一就是成本问题:成本包含两部分:现有设备投资还没有收回，新技术投资收益还不能确定;其二就是由于中国的各地发展不平衡，改造起来很困难。对此我们应多给些时间，相信不久就会解决这个问题。从电信角度说，对于盗用账户的解决方法目前主要有两个方法: 　　解决方法一，MAC地址绑定解决方案,电信运营商可以在RadiusServer上将用户上网计算机的MAC地址同用户上网账号进行唯一性绑定，利用MAC的唯一性，从而限制上网账号的唯一使用性。 　　用户在进行PPPoE拨号连接的时候，BRAS设备获取用户的上网账号以及上网计算机的MAC地址，然后通过标准Radius协议将用户账号和MAC上报给RadiusServer，由Radiusserver完成账号和MAC地址一一对应的判别工作。由于MAC地址的唯一性，用户无法进行账号的非法共享或漫游，同时盗用的上网账号也无法使用。简单方便，无须改造现有网络结构和DSLAM设备，只要BRAS设备能根据标准Radius协议上报用户账号和用户计算机MAC地址给RadiusServer，这一点目前的BRAS设备都能够做到。不过Radiusserver端的维护工作量很大，需要经常维护庞大的用户MAC地址表;而且一旦用户更换电脑或者更换网卡都必须在Radiusserver上进行重新绑定，带来额外的工作量和用户投诉;同时对多个用户共用一个VLAN上行的组网模式，二层接入网络的用户安全隔离和广播报文控制也需要额外的解决方案。方法二：LAN或PVC绑定解决方案,VLAN或PVC绑定解决方案是在RadiusServer上对用户的宽带上网账号同接入用户的VLAN或PVC进行绑定。在宽带拨号用户进行拨号时，BRAS设备将接入用户的VLAN或PVC信息通过标准Radius协议上报给RadiusServer，由RadiusServer完成用户上网账号同VLAN或PVC的唯一性鉴别工作。显然，VLAN或PVC绑定解决方案在技术要求和宽带网络建网过程中，将每个用户划分为一个单独的VLAN或者PVC。目前，在实际的组网中，ATM-DSLAM都采用一个用户一条PVC方式接入，非常容易实现用户账号同PVC的唯一性绑定;为每个接入的宽带用户分配不同的VLAN标志，实现了用户上网账号同VLAN唯一性绑定，避免账号公用和盗用问题。用户间通过VLAN或PVC隔离也可有效地解决二层接入网络广播风暴问题。硬件上的问题不是最令人心的，从发展的角度，可以很快解决，可有些软问题却比较令人担忧。 　　电信部门的管理的软问题：记得2000年初接触到宽带，接宽带时那个电信人员说“宽带密码不存在安全问题，只有你的电话能用”，中国的宽带账户安全观念也在这种观念中成长，这样无形中养成宽带用户的安全意识匮乏，造就了中国的宽带成长中的先天不良。我就以这几天测试的某省的电信网上宽带收费网站为例子，谈谈这个问题:进入该网站后，找到计费业务版块。 　　这里就暴露了一个历史遗留问题:宽带用户的用户名密码容易被猜解问题: 一直以来电信出于管理方便角度，对用户名很多都以电话号码为基数，加上其他一些简易字母，后边加上诸如@163等的后缀，密码几乎都是电话号码,用通式来表达: 帐户名:城市名称缩写(如