DIY编程器网
标题:
安全路由器研究
[打印本页]
作者:
admin
时间:
2014-10-13 14:33
标题:
安全路由器研究
1、引言
随着全社会信息化程度的日益提高,国家政治、经济、文化以及军事对基础信息网以及重要信息系统的依赖性越来越大,因此网络与信息安全也越来越成为关注的焦点。路由器是IP网络的核心设备,直接影响大多数网络与信息系统的安全。路由器的安全性以及安全保障能力也越来越受关注。一方面,一些厂家将安全路由器作为一种特殊的设备或者一个卖点来宣传。另一方面,相关部门也希望将安全路由器作为影响信息安全的设备强制认证。
对于安全路由器而言,无论是业界还是学术界都还没有统一的认识。一些支持部分安全选项、具备一定防攻击能力、集成某些例如防火墙的安全模块、支持加密能力的路由器都被称为“安全路由器”来宣传和销售。这些产品形态和功能各异,定位也各不相同,被当作同一类特殊的设备来对待也不甚妥当。研究安全路由器专门的定义与定位,有利于网络与信息安全的保障以及国家相关部门的有效监管。
2、安全路由器介绍
2.1 路由器产品概述
按照信息产业部行业标准中的定义,路由器是通过转发数据包来实现网络互联的设备,通常是指基于TCP/IP协议族,运行路由协议维护路由表,通过转发IP包来实现IP网网络层互联的设备。可见路由器的核心功能是按照IP包的目的地址以及路由表中的信息,将IP包转交到下一个目的地。
最初的路由器设备是计算机网络的互联设备,主要用于校园网,用于替代在校园网规模扩大的过程中越来越不能满足需求的网桥设备。为满足互联网的飞速发展的需求,路由器设备也有了很大的发展,端口速度越来越高,转发能力也越来越强,路由协议处理能力也越来越大。在电信企业应用IP技术作为下一代网的承载网以及3G网络的核心网技术以后,路由器的稳定性以及可靠性有了进一步的发展,已经由企业网和校园网设备演进成电信设备。
当前高端路由器主要来自思科,华为,Juniper,上海贝尔阿尔卡特,中兴等企业。主流的高端设备交换能力超过360G,单端口速率10Gbit/s,端口能力最小包线速,路由表能力超过100万条,支持五元组ACL,支持MPLS。中低端路由器生产厂家较多,除了上述厂家以外,还有H3C,锐捷,博达,比威,神州数码,迈普等众多厂家。中低端设备适用范围广泛,定位相差较远,功能形态各异,不再一一赘述。
2.2 相关的安全特性
所谓安全路由器,是相对普通路由器而言的。一般具备一些普通路由器所不具备的安全功能与特性,能额外防范一些安全风险。因此,要研究安全路由器,有必要首先研究与路由器相关的安全特性。路由器相关的安全功能与特性主要包括以下几方面:
(1)路由器自身的可靠性和稳定性。路由器是一种非常复杂的设备,不但包括高速复杂的硬件,而且包括非常复杂的软件。典型的高端路由器大约有150万行代码,注重功能的边缘路由器可能会超过300万行。路由器设备的可靠性和稳定性直接影响IP网络的性能。
(2)保护路由器抵御一定程度攻击的能力。一般来说,针对路由器的攻击主要来自管理面、控制面以及数据面。来自管理面的攻击一般指通过远程登录、SNMP以及一些系统的后门和漏洞进行非授权的操作。来自控制面的攻击主要是指利用路由协议使用中配置上的疏漏,干扰路由表的正确建立。来自数据面的攻击主要是指用产生大流量占用路由器主控板或者转发板的资源,造成设备过载影响效能。
(3)保护所转发数据的机密性、可用性以及完整性。一般来说出于安全责任考虑以及路由器能力有限的考虑,IP网络上数据的完整性机密性和可用性是通过端到端加密来实施的,路由器不会也没有能力对所转发数据作加密处理。随着技术的发展,路由器性能越来越高,当前路由器设备已经有能力协商密钥并对所转发的数据作加密操作,甚至一些设备可以做到最小包线速加密。
(4)基于安全策略的访问控制。由于基于策略的访问控制通常在包括网络层、会话层、应用层等多个层面实施,而路由器是网络层设备,所以通常来说基于策略的访问控制不是路由器的必需和主要功能。防火墙是指一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统,所以防火墙才是基于策略访问控制的典型设备。由于路由器通常能针对五元组作ACL,所以访问控制即防火墙功能也与路由器安全特性相关。
(5)VPN功能。VPN即虚拟专用网功能,能在公共网上通过封装隧道等方式架构一个封闭的用户群组,群组内的用户可以相互通信,不同群组的用户不能或者只能通过专用的网关通信。VPN能够对用户的数据作一定程度的隔离,因此也是路由器的安全特性之一。
(6)入侵检测、日志审计等其他安全功能。入侵检测系统指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,发现违反安全策略的行为和被攻击迹象的软件或软硬件组合。安全审计产品指能够对网络应用行为或信息系统的各种日志实行采集、分析,形成审计记录的软件或软硬件组合。
2.3 路由器安全属性分析
在互联网早期,路由器设备的软件不成熟,自身的可靠性和稳定性较低;互联网用户相互信任,部分协议没有设计和实现相互认证,来自用户的攻击也较少,路由器抵抗攻击的能力有限;路由器性能较低没有能力对所转发的数据流作加密、密钥协商、访问控制、VPN以及附加的安全功能。
总体来看,最初的互联网没有设计安全功能,再加上大规模集成电路水平的低下,因此一直以来互联网给人的印象是没有安全保障的网络,路由器给人的印象是不够安全的计算机网/用户设备。
随着技术的发展以及信息化的进一步深入,互联网已经成为信息基础设施。IP技术也在电信网络领域有了越来越多的应用,3G的核心网、软交换以及IMS体系架构都基于路由器构造的IP网络。路由器的安全能力与特性有了显著的提高。对路由器安全属性的分析和筛选如下所述:
(1)路由器自身的可靠性和稳定性。随着路由器在电信企业的广泛应用,路由器设备自身的安全性和可靠性越来越高。来自主流路由器厂家的设备例如华为,Juniper,思科等厂家的一些核心路由器的可靠性到达了99.999%,完全达到了电信设备的可靠性水平。因此,当前网络上,特别是电信级的公众网络上路由器设备的可靠性稳定性已经不再是最大的安全威胁来源。可靠性和稳定性已经是路由器的必要属性,而不仅仅是附加或者是特色的安全属性。因此,可靠性和稳定性是路由器的安全属性,但不应该是安全路由器的特色属性。
(2)保护路由器抵御一定程度攻击的能力。随着互联网从科研人员使用的科研教育网演变成公众普遍使用的信息基础设施,互联网设备的特性也随着需求有了很大的改变。为满足电信运营的要求,路由器普遍实现了路由协议的认证选项、远程登录的访问控制、网管的认证与授权、典型攻击的防范。可以说目前主流路由器设备对于来自管理面、控制面以及数据面的攻击都有一定的抵抗能力。根据互联网重大事故上报的数据统计,近几年来很少有因路由器设备被攻击而造成的大规模网络瘫痪。因此,路由器一定程度的抵御攻击方法能力也是路由器的必要属性。
(3)保护所转发数据的机密性、可用性以及完整性。保护所转发的数据安全能力一般在用户的边缘实施,是与网络层转发直接相关的安全特性。该特性需要较强的硬件能力。随着路由器性能的越来越高,路由器端口加密已经不是不可逾越的瓶颈。虽然在10G端口上最小包线速加密比较困难,但是在例如常见的千兆端口上,最小包线速加密已经比较常见。最小包线速加密一般需要专用的硬件/固件,普通路由器通常不需要具备这样的能力。因此,保护所转发数据的机密性、完整性和可用性可以作为安全路由器的特殊安全功能。
(4)基于安全策略的访问控制。访问控制是防火墙的主要功能,有别于路由器的网络层转发功能。虽然路由器能基于五元组作一些访问控制的工作,但是由于该工作比较耗资源,一般不会大量配置。此外,访问控制通常基于一定的安全策略,因此企业通常单独配置防火墙来实现上述功能。随着设备能力的增强,一些厂家将防火墙功能集成到企业网使用的边界路由器上,这样能降低企业成本。因此,基于安全策略的访问控制功能、防火墙功能是与路由器密切相关的安全能力。
(5)虚拟专用网/VPN功能:VPN是一种业务,能在公众网络上为用户提供隔离能力,即提供一定的数据保密性。但是数据的安全性、机密性、完整性以及可用性也可以由其他功能与特性实现。因此,VPN能增加路由器的安全特性,但是不一定是安全路由器的必要功能。
(6)入侵检测、日志审计等其他安全功能:诸如此类的专用安全产品和路由器功能基本没有关系。仅仅因为路由器通常是局域网的出入口,一些厂家将这些专用的产品作为功能模块集成上去。
2.4 安全路由器定义
安全路由器首先应该是路由器,其次应当是一类具备安全功能或者安全特性的特殊的路由器。上述安全功能和安全特性应当是与路由器功能密切相关的功能和特性,与路由器基本功能无关的安全功能与特性不包括在内。
上述安全功能与特性中,可靠性/稳定性、一定程度的抗攻击能力以及VPN功能已经成为普通路由器必备的功能,不能作为安全路由器的必要特征。基于安全策略的访问功能以及入侵检测、日志审计以及其他安全功能与路由器基本功能相差较远,也不能作为安全路由器的基本特征。
因此,安全路由器应该是一种特殊的路由器,支持一定性能端口加密能力,以保障所转发信息的机密性完整性和可用性为主要目的的特殊路由器。
虽然集成了防火墙、入侵检测、日志审计或者其他专用安全功能的路由器能够提供一些附加的其他方面的安全性,但是对路由器的基本功能相关的安全性没有很大的帮助,主要满足了用户节约成本的需求。如果称之为安全路由器则似乎有误导用户的嫌疑,就好像路由器上集成了一只消防用的灭火器,是不是也能作为安全路由器来销售?因此,像上述集成了防火墙、入侵检测以及日志审计等专用安全功能的设备不如称之为带路由功能的防火墙、带路由功能的入侵检测设备或者带日志审计功能的路由器更为合适。
3、结束语
随着用户对隐私的关注以及对信息基础设施依赖性的增加,用户数据的机密性、完整性以及可用性需求将不断增强。用户对安全路由器的需求也将随之不断增加。不断会有新的,功能强大的安全路由器涌现出来,满足用户的通信秘密和隐私需求。随着技术的发展,也有可能数据安全要求会被作为未来路由器必备的安全特性集成到每个路由器中,如果安全路由器必备的安全属性成为所有路由器都具备的属性,就没有所谓的安全路由器了。当然,满足用户节约成本的需求,市场上也会有集成防火墙功能、入侵检测以及日志审计等其他安全功能的设备。
欢迎光临 DIY编程器网 (http://diybcq.com/)
Powered by Discuz! X3.2