IPTV承载网网络安全分析和加固.docVIP

IPTV承载网网络安全分析和加固 　　摘 要：随着IPTV业务在城域网上部署和发展，引入了新的安全风险，文章对这些风险进行了综合分析，提出了IPTV承载网安全加固建议。希望通过文章的分析，可以为相关提供帮助。 　　关键词：IPTV；组播；安全风险；DHCP；安全加固 　　1 背景 　　当前，电信运营商大都采用原有IP城域网作为IPTV业务承载网来开展IPTV业务，大致架构如下：采用PIM-SM作为三层组播路由协议；网内部署2个以上RP，这些RP间建立MSDP协议邻居关系形成anycast RP，提供RP的负载分担和冗余；IPTV客户端设备采用IPoE方式接入网络，集中部署DHCP server。整个承载网按照网络层次划分可分成三个层面：城域骨干层（含核心、汇聚路由器）；业务控制层（SR）；二层接入汇聚层（星型/环网交换机、OLT等）。 　　随着IPTV业务的部署及用户的快速增长，引入了新的安全风险。作为IPTV承载网维护部门应该就这些风险部署相应的防范措施。 　　2 风险总体分析 　　按照风险类型，大致分以下四种。 　　组播协议风险：设备间建立组播邻接关系的安全性，另外组播协议在安全上没有提供可靠的保证，用户可以随意加入一个组播组，该IGMP Join报文被SR终结后依靠组播路由协议PIM-SM加入到组播分发树中，这种行为直接影响到城域网接入/汇聚/核心设备。 　　组播源安全风险：在路由层面上RP没有对组播源做限定，存在非法组播源及非法频道的接入隐患。同样在二层汇聚交换机层面上，任意任何用户都可以作为组播源发送组播流量，缺乏组播源可靠的控制，若用户伪造IGMP查询报文，可能导致正常业务中断，同样也存在非法组播源传播的问题。 　　用户异常行为风险：传统IP城域网SR设备与用户采用3层隔离的方式，用户端的2层异常行为不会影响SR，而IPTV业务使得SR设备与用户间采用2层连接方式，SR设备自身直接面临传统2层环境所带来的安全问题，比如ARP攻击。同时，由于采用2层以太接入网，用户异常行为除了影响直连接入设备外，还能影响所在接入网的业务稳定性。 　　DHCP server安全风险： DHCP server面临诸如DHCP DOS攻击等攻击等问题。 　　对应到承载网，每个层面设备所面临的风险又各有不同，具体分析如下： 　　城域核心层： 这个层面中，由于核心层设备处于网络的中心位置，通常连接IPTV组播源所在网络，同时多台核心设备间运行MSDP协议形成作为anycast-RP。这个层面设备风险主来自PIM协议安全性、MSDP协议安全性、组播源及组播频道的安全性。 　　业务控制层： 作为IPTV业务的控制接入点，地位至关重要，对下二层汇聚网络端口启用IGMP协议，启用DHCP relay功能，SR设备自身除了面临PIM协议安全性及IGMP协议安全性带来的控制平面风险外，由于设备直接通过二层网络连接大量客户终端设备，在转发平面上还需要面临传统二层网络对带来的大量安全风险如广播风暴、ARP攻击等；作为DHCP RELAY设备，还需面对client端设备的异常DHCP行为所带来的安全风险。 　　接入汇聚层： 对于IPTV业务会面临DHCP server仿冒、IGMP ROUTER仿冒、非法组播源等业务安全风险；另外，默认情况下，当组播报文由IP层转发到数据链路层时，组播报文在数据链路层采用的是广播方式，IPTV业务VLAN内的组播组成员和非组播组成员都能收到组播数据报文，浪费网络带宽的同时使非鉴权用户也能收看节目。 　　3 安全加固建议 　　结合上述IPTV业务引入的主要安全风险，需要考虑如何来控制这些风险。由于安全风险涉及承载网各个层面，所以防御措施的部署也应当贯穿整个网络，在最佳的位置配置最佳的防御策略。下面讨论承载IPTV业务后承载网各个层面设备需要重点部署的安全策略。 　　3.1 城域骨干层 　　（1）严格控制组播域范围，只在必要端口下启用PIM路由协议。 　　（2）在设备全局下部署pim join过滤策略，限定合法源地址范围和组地址范围；部署pim register过滤策略，防止非法注册报文攻击，保证信息安全性。 　　（3）对于MSDP，静态指定peer建立邻接关系并配置MSDP MD5或Key-Chain认证，提高MSDP对等体之间建立TCP连接的安全性。 　　（4）调整设备CPU防护策略，将组播相关协议（pim、msdp）加入白名单，保证设备间组播协议邻接关系的正常建立和保持。 　　3.2 业务控制层 　　（1）严格控制组播域范围，只在必要端口下启用PIM路由协议及IGMP协议。 　　（2）部署pim source过滤策略，保证信息安全性。 　　（3）调整设备自身CPU防护策略