思科運營商路由系統(tǒng)CRS-1的安全性
2008-04-22
- 思科運營商路由系統(tǒng)和它的分布式、模塊化Cisco IOS XR軟件微內(nèi)核架構可以通過跨越管理、控制和數(shù)據(jù)面板的內(nèi)嵌檢測、訪問控制和流程隔離技術,支持高度安全、持續(xù)的系統(tǒng)運營。
服務供應商利潤面臨的威脅
對于服務供應商而言,網(wǎng)絡安全與業(yè)務發(fā)展息息相關。由于病毒、入侵、操作錯誤和軟件配置錯誤所導致的安全事件可能會導致廣泛的相關成本提高和一系列后果,例如服務中斷、經(jīng)濟損失、客戶不滿、生產(chǎn)率降低,甚至媒體關注。為了保護收入和利潤,服務供應商必須保護他們的基礎設施,為安全連接、威脅防范和終端保護提供可管理的服務。
為了在一個安全威脅(例如拒絕服務[DDoS]攻擊)層出不窮和策略日益復雜的環(huán)境中保持很高的可用性,服務供應商希望采用新的路由和交換解決方案。這些解決方案應當可以提供有效、內(nèi)嵌、基于硬件的安全檢測,從而建立自我防御網(wǎng)絡。這些新的不間斷系統(tǒng)運營解決方案必須支持:
訪問隔離、故障隔離和內(nèi)存保護
無縫的軟件和硬件恢復
配置和管理保護
主動、迅速的響應
思科運營商路由系統(tǒng)
思科運營商路由系統(tǒng)(CRS-1)是一個多機架路由平臺,采用了一個模塊化、分布式的微內(nèi)核操作系統(tǒng)——Cisco IOS XR。
在設計CRS-1時,思科的開發(fā)人員利用了Cisco IOS軟件的互聯(lián)網(wǎng)安全經(jīng)驗。Cisco IOS XR軟件的模塊化架構在邏輯上和物理上都具有分布式的特性(如圖1所示),因而可以在創(chuàng)建一個高度可用的、安全的路由平臺和網(wǎng)絡方面提供巨大的優(yōu)勢。分散的軟件組件(子系統(tǒng))被部署為獨立的軟件流程,運行在它們自己的受保護的內(nèi)存地址空間中。這可以在發(fā)生安全事件時實現(xiàn)真正的故障隔離和分區(qū),防止一個子系統(tǒng)中發(fā)生的故障對其他的子系統(tǒng)造成不利影響。
與像FreeBSD UNIX這樣的單內(nèi)核架構不同,網(wǎng)絡堆棧(例如TCP)作為一個單獨的進程,在微內(nèi)核之外運行。因此,即使TCP堆棧受到安全威脅,系統(tǒng)仍然可以正常運行。在需要恢復服務時,相關流程會自動重啟,不需要人為干預。此外,模塊化軟件架構和服務中軟件升級(ISSU)支持讓用戶可以在不關閉整個系統(tǒng)的情況下,迅速地安裝一個補丁。
在Cisco IOS XR軟件中保持深入的故障隔離和實現(xiàn)安全檢測的關鍵是,它在三個面板之間對流程進行了邏輯分配。每個面板都采用了自己的訪問控制機制,以實現(xiàn)網(wǎng)絡的安全運行。這三個面板分別是:
控制面板
數(shù)據(jù)面板
管理面板控制面板保護
所有路由控制信息都在控制面板進行交換,這使得控制面板及其組件成為了一個攻擊目標。因為控制面板的永續(xù)性取決于CPU的處理能力和可擴展性,所以針對CPU的“資源耗盡式”攻擊并不少見。
為了支持可擴展性和性能,CRS-1控制面板采用了分布式、冗余的路由處理器——對稱式多處理器(SMP)CPU。在正常情況下,CRS-1所傳輸?shù)牧髁坑伤木€卡以線速進行處理。但是,在發(fā)生意外情況時,分組被轉發(fā)到路由器本身。這些包括路由協(xié)議、互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)和網(wǎng)絡管理分組在內(nèi)的“轉移分組”將從線卡分組處理器發(fā)送到線卡CPU或者路由處理器CPU。
為了防止控制面板在一個開放的環(huán)境中遭受DoS攻擊,CRS-1在線卡和它的分組處理器中分配了多種層次化的安全功能。這些功能包括:
動態(tài)控制面板保護(DCPP)
自動控制面板擁塞過濾器
控制面板生存時間(TTL)完整性檢查(RFC 3682,通用TTL安全機制(GTSM))
邊界網(wǎng)關協(xié)議(BGP)路由協(xié)議過濾和路由策略語言(RPL)
動態(tài)控制面板保護
由于違反規(guī)定的行為(例如入侵者轉移或者分析網(wǎng)絡流量)所導致的未經(jīng)授權的或者惡意的路由更新可能會威脅網(wǎng)絡安全。部署基于報文摘要算法5(MD5)的相鄰路由器身份驗證是避免偽裝的一種常用方法,它實際上確保了路由器從某個可靠的來源獲得可靠的信息——但是這僅僅是第一步。如果偽裝的BGP分組開始涌向路由器,接收路徑訪問控制列表(ACL)和模塊化QoS CLI(MQC)速率限制能夠準確地控制這些分組的傳輸。但是,ACL和MQC控制并不是自動進行的。如果BGP對等主機關機或者重啟,第四層端口編號就會隨著每個進程的重新建立而改變。因此,網(wǎng)絡設計人員一直在尋找一種自動、動態(tài)的方式來準許經(jīng)過設置的BGP對等進程和丟棄未經(jīng)設置的進程。
為此,CRS-1為線卡分組處理提供了一個DCPP方法。利用DCPP,經(jīng)過正確設置的BGP對等進程會自動獲得足夠的資源,而未經(jīng)設置的進程則會被丟棄或者獲得最低限度的處理。這種準許-拒絕模式建立在靜態(tài)設置的IP地址和動態(tài)的第四層端口號之間的關聯(lián)關系的基礎上。在身份驗證和建立最大限度的準入控制之前,需要為初始連接設置不同的資源策略。控制面板分組必須經(jīng)過是一個多層次的事先篩選流程,直到得到一個內(nèi)部搜索表的授權之后,它們才會獲得足夠的資源。這種自動化的流程可以節(jié)約網(wǎng)絡管理員為了其他關鍵任務進行手動設置所需要的時間。
自動控制面板擁塞過濾器
在嚴重的DoS或者DDoS攻擊導致線卡超出CRS-1的插槽容量時,控制機制會以特定用途集成電路(ASIC)的速度執(zhí)行,將超出線卡容量的分組導入第三層模塊化服務卡(MSC)上的硅分組處理器,從而確保控制面板分組得到優(yōu)先處理。在網(wǎng)絡管理員利用其他安全工具安裝緩解方案以解決問題時,這種功能可以保持拓撲的完整性。
控制面板TTL完整性檢查(RFC 3682,GTSM)
大部分控制協(xié)議對等進程都建立在相鄰或者直連的路由器之間。在GTSM(過去被稱為BGP TTL安全破解[BTSH])出現(xiàn)之前,從非定向對等節(jié)點發(fā)往路由器的BGP分組必須由路由器CPU進行處理。在生成大量這類分組時,它會導致一個嚴重的DDoS攻擊,從而耗盡CPU資源。現(xiàn)在,管理員可以利用GTSM對BGP對等分組進行TTL檢查,從而在MSC SPP中有效地阻止所有非定向BGP偽裝分組。
這些技術還可用于很多其他的應用,例如標簽分發(fā)協(xié)議(LDP)和資源預留協(xié)議(RSVP)。RSVP可以利用通用GTSM的功能。由于CRS-1采用了完全可編程的MSC架構,GTSM對于其他應用協(xié)議的支持可以被方便地添加到MSC。
BGP路由協(xié)議過濾和RPL
BGP是互聯(lián)網(wǎng)上最基礎的路由協(xié)議之一。不幸的是,如果BGP在沒有采用適當?shù)那熬Y過濾措施的情況下遭受攻擊,互聯(lián)網(wǎng)上將會出現(xiàn)大量的“垃圾”流量。因此,前綴過濾多年以來一直是互聯(lián)網(wǎng)服務供應商(ISP)行業(yè)的最佳實踐之一。(如需了解更多信息,請訪問http://www.ispbook.com)
但是,隨著路由策略的日益復雜和每臺對等路由器必須交互的對等主機的不斷增多,服務供應商在如何成功地部署前綴過濾方面面臨著艱巨的挑戰(zhàn)。為此,思科推出了RPL,并將其集成到了Cisco IOS XR軟件中。針對大規(guī)模路由配置而開發(fā)的RPL具有一些重要的功能,可以改進傳統(tǒng)路由圖中的設置,以及ACL或者面向前綴列表的配置。
第一項改進是模塊化的策略組件。這樣,通用的策略模塊可以獨立地定義和維護。這些通用模塊可用于其他策略模塊,以構成完整的策略,從而減少需要維護的配置信息。另外,可以為這些通用策略模塊設置參數(shù)。這使得網(wǎng)絡管理員可以將那些具有相同結構,但是特定參數(shù)不同的策略作為獨立的策略模塊進行維護。例如,三個除了本地優(yōu)先值以外完全相同的策略可以表示為一個統(tǒng)一的策略,并使用不同的本地優(yōu)先值作為策略的參數(shù)。
RPL還采用了集合的概念。它是可以被用于路由屬性匹配和設置操作中的類似數(shù)據(jù)的容器。有多種不同的集合類型,例如前綴集合、公共集合、as-path集合和擴展公共集合,它們包含了相應的群組。這些集合分別類似于傳統(tǒng)的Cisco IOS軟件配置中的前綴列表、公共列表、as-path列表和擴展公共列表,但是兩者之間存在一個重要的區(qū)別。集合并不包括Cisco IOS軟件配置中的“接受”和“拒絕”的概念。集合僅僅是數(shù)據(jù)的容器。大部分集合還擁有一個內(nèi)嵌變量,它允許在完全在內(nèi)部指定的數(shù)據(jù)值,而不需要引用某個只包含部分數(shù)據(jù)的特定集合。
決策——例如接受還是丟棄路由——完全取決于所制定的策略。RPL讓用戶可以將匹配的操作符(可能使用集合數(shù)據(jù))和傳統(tǒng)布爾邏輯操作符(“與”、“或”和“非”)集成到復雜的條件表達式中。所有匹配操作符都會返回一個“真”或“偽”結果。這些條件表達式的執(zhí)行和相關操作都可以由用戶所指定的、簡單的“if-then,else-if,else”結構控制。這使得策略的評估路徑可以完全由用戶設置。
隨著RPL的采用,對等策略預計將會比現(xiàn)有的、基于路由圖的對等語句更加模塊化和更有效率。RPL可以提供必要的可擴展性,使得用戶能夠通過一個多機架路由系統(tǒng)(例如CRS-1)與數(shù)千個對等主機進行對等通信。
數(shù)據(jù)面板保護
數(shù)據(jù)面板可以接收、處理和傳輸網(wǎng)絡組件之間的網(wǎng)絡數(shù)據(jù),控制進出路由器的大量網(wǎng)絡流量。為了防止數(shù)據(jù)面板流量遭受已知的攻擊,CRS-1的轉發(fā)引擎中內(nèi)置了一些缺省的完整性檢查(基于互聯(lián)網(wǎng)行業(yè)積累的知識)。此外,CRS-1還提供了多種功能和工具,例如ACL、單播反向路徑轉發(fā)(uRPF)和NetFlow記帳,并在MSC上進行專門的輸入和輸出處理。
ACL——ACL(包括IPv4和IPv6)是很多路由器數(shù)據(jù)面板應用——例如分組分類、速率限制、統(tǒng)計和審核——的一個重要組成部分。它實際上是一個針對分組的準許-拒絕操作符。 Cisco CRS-1的設計目的是滿足最嚴格的性能和可擴展性要求,因而它能夠在網(wǎng)絡負載繁重的情況下以線速處理ACL。例如,在處理200萬個路由和500個BGP對等主機的同時,CRS-1可以在不影響性能的情況下處理數(shù)千個ACL及其條目。
熱詞搜索:
上一篇:配置路由器成為你安全防范的堡壘
下一篇:高手實測無線路由器的安全功能
