思科運營商路由系統CRS-1的安全性

2019-11-05 00:43:12

字體：大中小

來源：轉載

供稿：網友

　　思科運營商路由系統和它的分布式、模塊化Cisco IOS XR軟件微內核架構可以通過跨越治理、控制和數據面板的內嵌檢測、訪問控制和流程隔離技術，支持高度安全、持續的系統運營。
　　
　　服務供給商利潤面臨的威脅
　　
　　對于服務供給商而言，網絡安全與業務發展息息相關。由于病毒、入侵、操作錯誤和軟件配置錯誤所導致的安全事件可能會導致廣泛的相關成本提高和一系列后果，例如服務中斷、經濟損失、客戶不滿、生產率降低，甚至媒體關注。為了保護收入和利潤，服務供給商必須保護他們的基礎設施，為安全連接、威脅防范和終端保護提供可治理的服務。
　　為了在一個安全威脅（例如拒絕服務[DDoS]攻擊）層出不窮和策略日益復雜的環境中保持很高的可用性，服務供給商希望采用新的路由和交換解決方案。這些解決方案應當可以提供有效、內嵌、基于硬件的安全檢測，從而建立自我防御網絡。這些新的不間斷系統運營解決方案必須支持：
　　

訪問隔離、故障隔離和內存保護

無縫的軟件和硬件恢復

配置和治理保護

主動、迅速的響應

　　思科運營商路由系統
　　
　　思科運營商路由系統（CRS-1）是一個多機架路由平臺，采用了一個模塊化、分布式的微內核操作系統——Cisco IOS XR。
　　在設計CRS-1時，思科的開發人員利用了Cisco IOS軟件的互聯網安全經驗。Cisco IOS XR軟件的模塊化架構在邏輯上和物理上都具有分布式的特性（如圖1所示），因而可以在創建一個高度可用的、安全的路由平臺和網絡方面提供巨大的優勢。分散的軟件組件（子系統）被部署為獨立的軟件流程，運行在它們自己的受保護的內存地址空間中。這可以在發生安全事件時實現真正的故障隔離和分區，防止一個子系統中發生的故障對其他的子系統造成不利影響。
　　與像FreeBSD UNIX這樣的單內核架構不同，網絡堆棧（例如TCP）作為一個單獨的進程，在微內核之外運行。因此，即使TCP堆棧受到安全威脅，系統仍然可以正常運行。在需要恢復服務時，相關流程會自動重啟，不需要人為干預。此外，模塊化軟件架構和服務中軟件升級（ISSU）支持讓用戶可以在不關閉整個系統的情況下，迅速地安裝一個補丁。
　　在Cisco IOS XR軟件中保持深入的故障隔離和實現安全檢測的要害是，它在三個面板之間對流程進行了邏輯分配。每個面板都采用了自己的訪問控制機制，以實現網絡的安全運行。這三個面板分別是：
　　

控制面板

數據面板

治理面板

控制面板保護
　　
　　所有路由控制信息都在控制面板進行交換，這使得控制面板及其組件成為了一個攻擊目標。因為控制面板的永續性取決于CPU的處理能力和可擴展性，所以針對CPU的“資源耗盡式”攻擊并不少見。
　　為了支持可擴展性和性能，CRS-1控制面板采用了分布式、冗余的路由處理器——對稱式多處理器（SMP）CPU。在正常情況下，CRS-1所傳輸的流量由它的線卡以線速進行處理。但是，在發生意外情況時，分組被轉發到路由器本身。這些包括路由協議、互聯網控制消息協議（ICMP）和網絡治理分組在內的“轉移分組”將從線卡分組處理器發送到線卡CPU或者路由處理器CPU。
　　為了防止控制面板在一個開放的環境中遭受DoS攻擊，CRS-1在線卡和它的分組處理器中分配了多種層次化的安全功能。這些功能包括：
　　

動態控制面板保護（DCPP）

自動控制面板擁塞過濾器

控制面板生存時間（TTL）完整性檢查（RFC 3682，通用TTL安全機制（GTSM））

邊界網關協議（BGP）路由協議過濾和路由策略語言（RPL）

　　動態控制面板保護
　　
　　由于違反規定的行為（例如入侵者轉移或者分析網絡流量）所導致的未經授權的或者惡意的路由更新可能會威脅網絡安全。部署基于報文摘要算法5（md5）的相鄰路由器身份驗證是避免偽裝的一種常用方法，它實際上確保了路由器從某個可靠的來源獲得可靠的信息——但是這僅僅是第一步。假如偽裝的BGP分組開始涌向路由器，接收路徑訪問控制列表（ACL）和模塊化QoS CLI（MQC）速率限制能夠準確地控制這些分組的傳輸。但是，ACL和MQC控制并不是自動進行的。假如BGP對等主機關機或者重啟，第四層端口編號就會隨著每個進程的重新建立而改變。因此，網絡設計人員一直在尋找一種自動、動態的方式來準許經過設置的BGP對等進程和丟棄未經設置的進程。
　　為此，CRS-1為線卡分組處理提供了一個DCPP方法。利用DCPP，經過正確設置的BGP對等進程會自動獲得足夠的資源，而未經設置的進程則會被丟棄或者獲得最低限度的處理。這種準許－拒絕模式建立在靜態設置的ip地址和動態的第四層端口號之間的關聯關系的基礎上。在身份驗證和建立最大限度的準入控制之前，需要為初始連接設置不同的資源策略。控制面板分組必須經過是一個多層次的事先篩選流程，直到得到一個內部搜索表的授權之后，它們才會獲得足夠的資源。這種自動化的流程可以節約網絡治理員為了其他要害任務進行手動設置所需要的時間。
　　
　　自動控制面板擁塞過濾器
　　
　　在嚴重的DoS或者DDoS攻擊導致線卡超出CRS-1的插槽容量時，控制機制會以特定用途集成電路（ASIC）的速度執行，將超出線卡容量的分組導入第三層模塊化服務卡（MSC）上的硅分組處理器，從而確保控制面板分組得到優先處理。在網絡治理員利用其他安全工具安裝緩解方案以解決問題時，這種功能可以保持拓撲的完整性。
　　控制面板TTL完整性檢查（RFC 3682，GTSM）
　　大部分控制協議對等進程都建立在相鄰或者直連的路由器之間。在GTSM（過去被稱為BGP TTL安全破解[BTSH]）出現之前，從非定向對等節點發往路由器的BGP分組必須由路由器CPU進行處理。在生成大量這類分組時，它會導致一個嚴重的DDoS攻擊，從而耗盡CPU資源。現在，治理員可以利用GTSM對BGP對等分組進行TTL檢查，從而在MSC SPP中有效地阻止所有非定向BGP偽裝分組。
　　這些技術還可用于很多其他的應用，例如標簽分發協議（LDP）和資源預留協議（RSVP）。RSVP可以利用通用GTSM的功能。由于CRS-1采用了完全可編程的MSC架構，GTSM對于其他應用協議的支持可以被方便地添加到MSC。
　　
　　BGP路由協議過濾和RPL
　　
　　BGP是互聯網上最基礎的路由協議之一。不幸的是，假如BGP在沒有采用適當的前綴過濾措施的情況下遭受攻擊，互聯網上將會出現大量的“垃圾”流量。因此，前綴過濾多年以來一直是互聯網服務供給商（ISP）行業的最佳實踐之一。（如需了解更多信息，請訪問http://www.ispbook.com）
　　
　　但是，隨著路由策略的日益復雜和每臺對等路由器必須交互的對等主機的不斷增多，服務供給商在如何成功地部署前綴過濾方面面臨著艱巨的挑戰。為此，思科推出了RPL，并將其集成到了Cisco IOS XR軟件中。針對大規模路由配置而開發的RPL具有一些重要的功能，可以改進傳統路由圖中的設置，以及ACL或者面向前綴列表的配置。
　　
　　第一項改進是模塊化的策略組件。這樣，通用的策略模塊可以獨立地定義和維護。這些通用模塊可用于其他策略模塊，以構成完整的策略，從而減少需要維護的配置信息。另外，可以為這些通用策略模塊設置參數。這使得網絡治理員可以將那些具有相同結構，但是特定參數不同的策略作為獨立的策略模塊進行維護。例如，三個除了本地優先值以外完全相同的策略可以表示為一個統一的策略，并使用不同的本地優先值作為策略的參數。
　　
　　RPL還采用了集合的概念。它是可以被用于路由屬性匹配和設置操作中的類似數據的容器。有多種不同的集合類型，例如前綴集合、公共集合、as-path集合和擴展公共集合，它們包含了相應的群組。這些集合分別類似于傳統的Cisco IOS軟件配置中的前綴列表、公共列表、as-path列表和擴展公共列表，但是兩者之間存在一個重要的區別。集合并不包括Cisco IOS軟件配置中的“接受”和“拒絕”的概念。集合僅僅是數據的容器。大部分集合還擁有一個內嵌變量，它答應在完全在內部指定的數據值，而不需要引用某個只包含部分數據的特定集合。
　　
　　決策——例如接受還是丟棄路由——完全取決于所制定的策略。RPL讓用戶可以將匹配的操作符（可能使用集合數據）和傳統布爾邏輯操作符（“與”、“或”和“非”）集成到復雜的條件表達式中。所有匹配操作符都會返回一個“真”或“偽”結果。這些條件表達式的執行和相關操作都可以由用戶所指定的、簡單的“if-then，else-if，else”結構控制。這使得策略的評估路徑可以完全由用戶設置。
　　
　　隨著RPL的采用，對等策略預計將會比現有的、基于路由圖的對等語句更加模塊化和更有效率。RPL可以提供必要的可擴展性，使得用戶能夠通過一個多機架路由系統（例如CRS-1）與數千個對等主機進行對等通信。
　　
　　數據面板保護
　　
　　數據面板可以接收、處理和傳輸網絡組件之間的網絡數據，控制進出路由器的大量網絡流量。為了防止數據面板流量遭受已知的攻擊，CRS-1的轉發引擎中內置了一些缺省的完整性檢查（基于互聯網行業積累的知識）。此外，CRS-1還提供了多種功能和工具，例如ACL、單播反向路徑轉發（uRPF）和NetFlow記帳，并在MSC上進行專門的輸入和輸出處理。
　　

ACL——ACL（包括IPv4和IPv6）是很多路由器數據面板應用——例如分組分類、速率限制、統計和審核——的一個重要組成部分。它實際上是一個針對分組的準許－拒絕操作符。 Cisco CRS-1的設計目的是滿足最嚴格的性能和可擴展性要求，因而它能夠在網絡負載繁重的情況下以線速處理ACL。例如，在處理200萬個路由和500個BGP對等主機的同時，CRS-1可以在不影響性能的情況下處理數千個ACL及其條目。

uRPF——Cisco CRS-1支持uRPF（嚴格和松散模式）。它使得Cisco CRS-1可以通過丟棄缺乏可驗證的IP源地址的IP分組，解決因為在網絡中引入錯誤的或者偽裝的IP源地址所導致的問題。當某個接口啟用uRPF嚴格模式時，路由器會檢查接收到的所有分組，驗證源地址和接口是否出現在路由表中，以及與收到分組的接口是否匹配。 uRPF松散模式是在ISP行業廣泛使用的觸發式黑洞過濾技術的基礎。在松散模式下，uRPF可以根據源IP地址有效地丟棄DoS和DDoS攻擊分組，并在很短的時間內將該方案發送到數百臺路由器。

NetFlow——記帳是網絡治理在流量工程、網絡監控和計費領域的一個不可或缺的組成部分。NetFlow最初是一個記帳應用，可以為查看單個分組報頭的內部信息、按照不同的流量等級匯總分組，以及搜集每個流量等級的統計數據和具體路由信息提供一個有效的機制。部署于Cisco IOS XR軟件中的NetFlow統計數據構成了一個重要的數據庫。它可以精確地發現流量的細微行為，從而為流量工程和安全分析提供支持。

靜態NetFlow和分組監聽——Cisco IOS XR軟件還支持功能超過NetFlow的靜態NetFlow。與動態的NetFlow不同，靜態NetFlow對待分組流的方式與ACL處理數據的方式很類似，但是它具有一些擴展字段，例如源或者目的地自治系統號和多協議標簽交換（MPLS）標簽。利用靜態NetFlow，治理員可以定義一個帶有擴展ACL的數據流過濾器，以跟蹤某個特定數據流的分組或者字節計數器。大量的NetFlow數據能夠與某個擴展ACL關聯，從而讓操作人員可以過濾其他數據，直接找到他們所感愛好的數據流，從而為防御DoS和DDoS攻擊創造了又一個有效的工具。

　　從Cisco IOS XR靜態NetFlow功能中衍生出來的帶內分組監聽采用了與靜態NetFlow相同的功能，例如類似于ACL的過濾，且還可以搜集樣本，并將它們轉發到某個指定的目的地。
　　
　　治理面板保護
　　
　　治理面板是所有與路由平臺的系統治理有關的流量的邏輯路徑。在一個分布式、模塊化的環境中，治理面板可以提供新的復雜度等級，因而提高了對于確保安全訪問的要求。這種安全訪問最好通過下列手段實現：
　　

拒絕缺省訪問——一個已知的、常見的系統漏洞是在缺省情況下啟用某些協議。這些開放的端口導致了一些讓入侵者有可乘之機的安全漏洞。為了滿足服務供給商的要求，CRS-1采用了專門的設計，即在缺省配置下關閉所有這些服務，直到由操作人員手動啟用這些服務。

身份驗證、授權和記帳（AAA）和加密協議——所有對路由器的訪問和路由器對外的訪問都應當被加密和控制。Cisco CRS-1支持AAA身份驗證和加密協議SSH、SSL、IPSec和SNMPv3。利用ACL，還可以使用其他的控制功能，將訪問權限只限制于特定的源主機。每個用戶都可以被明確歸于某個AAA區域，以反映用戶的訪問權限。

隔離治理端口——核心路由器和交換機通常都帶有專用的治理以太網端口，它們可能會導致對設備的不安全訪問。Cisco CRS-1以太網治理端口都是可以路由的，因而可以通過AAA訪問控制和加密進行控制。隔離數據和控制面板流量可以防止它們不會“干擾”。ACL可以被用于阻塞干擾，而且治理員利用Cisco Craft Works界面（CWI），只需點擊幾下鼠標就可以在多個端口之間有效地部署ACL。CWI是一個專門為多機架路由器治理而設計的增值GUI工具。

基于角色的權限模式——因為未經授權的或者缺乏經驗的網絡操作人員可能會對系統的可用性造成威脅，服務供給商需要用靈活的方法，根據用戶所設定的標準分配操作人員的權限。

　　Cisco IOS XR軟件可以通過一種方便、靈活的方法，向特定的操作人員或團隊分配適當的訪問權限，從而實現一種基于角色的權限模式。它可以將各項操作業務設置為不同的任務。例如，BGP配置是一項任務，而開放最短路徑優先（OSPF）是另外一項任務。系統重啟也是另外一項任務。每項任務都具有一個與眾不同的標識號——任務ID，并且具有指定的讀取或者寫入權限。用戶可以與任務組關聯，以繼續相應的訪問權限。為了確保安全，任務ID可以與AAA服務器配合，為訪問路由器提供最大限度的集中控制。
　　
　　總結
　　
　　DoS和DDoS攻擊是互聯網現狀的重要組成部分，也是服務供給商的盈利能力面臨的最嚴重的威脅之一。為了保護利潤，服務供給商必須在具有嵌入式安全檢測功能的下一代路由系統的基礎上建設一個自我防御網絡。服務供給商應當確保該系統的成功，并在整個網絡中采用最佳實踐。
　　Cisco CRS-1的分布式、模塊化架構通過內存保護，邏輯路由器內部的服務隔離，以及治理、控制和數據面板之間的流程隔離，支持高度安全的、不間斷的系統運營。
　　除了CRS-1的內嵌功能和推薦的最佳實踐以外，思科產品安全事件響應團隊（PSIRT）是一個全球性的專家小組，天天24小時待命。他們能夠迅速地解決涉及到思科產品的客戶安全事件和消除產品的安全漏洞。借助于思科在網絡市場上的領先優勢，思科客戶可以獲得業界獨一無二的、主動、迅速的響應服務。

上一篇：Cisco 1800、2800 和3800 集成多業務路由器的安全特性

下一篇：配置路由器和交換機上的安全Shell運行的Cisco IOS