IPTV承載網(wǎng)網(wǎng)絡(luò)安全分析與加固

摘 要：隨著IPTV業(yè)務(wù)在城域網(wǎng)上部署和發(fā)展，引入了新的安全風(fēng)險(xiǎn)，文章對這些風(fēng)險(xiǎn)進(jìn)行了綜合分析，提出了IPTV承載網(wǎng)安全加固建議。希望通過文章的分析，可以為相關(guān)提供幫助。

關(guān)鍵詞：IPTV；組播；安全風(fēng)險(xiǎn)；DHCP；安全加固

1 背景

當(dāng)前，電信運(yùn)營商大都采用原有IP城域網(wǎng)作為IPTV業(yè)務(wù)承載網(wǎng)來開展IPTV業(yè)務(wù)，大致架構(gòu)如下：采用PIM-SM作為三層組播路由協(xié)議；網(wǎng)內(nèi)部署2個(gè)以上RP，這些RP間建立MSDP協(xié)議鄰居關(guān)系形成anycast RP，提供RP的負(fù)載分擔(dān)和冗余；IPTV客戶端設(shè)備采用IPoE方式接入網(wǎng)絡(luò)，集中部署DHCP server。整個(gè)承載網(wǎng)按照網(wǎng)絡(luò)層次劃分可分成三個(gè)層面：城域骨干層（含核心、匯聚路由器）；業(yè)務(wù)控制層（SR）；二層接入?yún)R聚層（星型/環(huán)網(wǎng)交換機(jī)、OLT等）。

隨著IPTV業(yè)務(wù)的部署及用戶的快速增長，引入了新的安全風(fēng)險(xiǎn)。作為IPTV承載網(wǎng)維護(hù)部門應(yīng)該就這些風(fēng)險(xiǎn)部署相應(yīng)的防范措施。

2 風(fēng)險(xiǎn)總體分析

按照風(fēng)險(xiǎn)類型，大致分以下四種。

組播協(xié)議風(fēng)險(xiǎn)：設(shè)備間建立組播鄰接關(guān)系的安全性，另外組播協(xié)議在安全上沒有提供可靠的保證，用戶可以隨意加入一個(gè)組播組，該IGMP Join報(bào)文被SR終結(jié)后依靠組播路由協(xié)議PIM-SM加入到組播分發(fā)樹中，這種行為直接影響到城域網(wǎng)接入/匯聚/核心設(shè)備。

組播源安全風(fēng)險(xiǎn)：在路由層面上RP沒有對組播源做限定，存在非法組播源及非法頻道的接入隱患。同樣在二層匯聚交換機(jī)層面上，任意任何用戶都可以作為組播源發(fā)送組播流量，缺乏組播源可靠的控制，若用戶偽造IGMP查詢報(bào)文，可能導(dǎo)致正常業(yè)務(wù)中斷，同樣也存在非法組播源傳播的問題。

用戶異常行為風(fēng)險(xiǎn)：傳統(tǒng)IP城域網(wǎng)SR設(shè)備與用戶采用3層隔離的方式，用戶端的2層異常行為不會影響SR，而IPTV業(yè)務(wù)使得SR設(shè)備與用戶間采用2層連接方式，SR設(shè)備自身直接面臨傳統(tǒng)2層環(huán)境所帶來的安全問題，比如ARP攻擊。同時(shí)，由于采用2層以太接入網(wǎng)，用戶異常行為除了影響直連接入設(shè)備外，還能影響所在接入網(wǎng)的業(yè)務(wù)穩(wěn)定性。

DHCP server安全風(fēng)險(xiǎn)： DHCP server面臨諸如DHCP DOS攻擊等攻擊等問題。

對應(yīng)到承載網(wǎng)，每個(gè)層面設(shè)備所面臨的風(fēng)險(xiǎn)又各有不同，具體分析如下：

城域核心層： 這個(gè)層面中，由于核心層設(shè)備處于網(wǎng)絡(luò)的中心位置，通常連接IPTV組播源所在網(wǎng)絡(luò)，同時(shí)多臺核心設(shè)備間運(yùn)行MSDP協(xié)議形成作為anycast-RP。這個(gè)層面設(shè)備風(fēng)險(xiǎn)主來自PIM協(xié)議安全性、MSDP協(xié)議安全性、組播源及組播頻道的安全性。

業(yè)務(wù)控制層： 作為IPTV業(yè)務(wù)的控制接入點(diǎn)，地位至關(guān)重要，對下二層匯聚網(wǎng)絡(luò)端口啟用IGMP協(xié)議，啟用DHCP relay功能，SR設(shè)備自身除了面臨PIM協(xié)議安全性及IGMP協(xié)議安全性帶來的控制平面風(fēng)險(xiǎn)外，由于設(shè)備直接通過二層網(wǎng)絡(luò)連接大量客戶終端設(shè)備，在轉(zhuǎn)發(fā)平面上還需要面臨傳統(tǒng)二層網(wǎng)絡(luò)對帶來的大量安全風(fēng)險(xiǎn)如廣播風(fēng)暴、ARP攻擊等；作為DHCP RELAY設(shè)備，還需面對client端設(shè)備的異常DHCP行為所帶來的安全風(fēng)險(xiǎn)。

接入?yún)R聚層： 對于IPTV業(yè)務(wù)會面臨DHCP server仿冒、IGMP ROUTER仿冒、非法組播源等業(yè)務(wù)安全風(fēng)險(xiǎn)；另外，默認(rèn)情況下，當(dāng)組播報(bào)文由IP層轉(zhuǎn)發(fā)到數(shù)據(jù)鏈路層時(shí)，組播報(bào)文在數(shù)據(jù)鏈路層采用的是廣播方式，IPTV業(yè)務(wù)VLAN內(nèi)的組播組成員和非組播組成員都能收到組播數(shù)據(jù)報(bào)文，浪費(fèi)網(wǎng)絡(luò)帶寬的同時(shí)使非鑒權(quán)用戶也能收看節(jié)目。

3 安全加固建議

結(jié)合上述IPTV業(yè)務(wù)引入的主要安全風(fēng)險(xiǎn)，需要考慮如何來控制這些風(fēng)險(xiǎn)。由于安全風(fēng)險(xiǎn)涉及承載網(wǎng)各個(gè)層面，所以防御措施的部署也應(yīng)當(dāng)貫穿整個(gè)網(wǎng)絡(luò)，在最佳的位置配置最佳的防御策略。下面討論承載IPTV業(yè)務(wù)后承載網(wǎng)各個(gè)層面設(shè)備需要重點(diǎn)部署的安全策略。

3.1 城域骨干層

（1）嚴(yán)格控制組播域范圍，只在必要端口下啟用PIM路由協(xié)議。

（2）在設(shè)備全局下部署pim join過濾策略，限定合法源地址范圍和組地址范圍；部署pim register過濾策略，防止非法注冊報(bào)文攻擊，保證信息安全性。

（3）對于MSDP，靜態(tài)指定peer建立鄰接關(guān)系并配置MSDP MD5或Key-Chain認(rèn)證，提高M(jìn)SDP對等體之間建立TCP連接的安全性。

（4）調(diào)整設(shè)備CPU防護(hù)策略，將組播相關(guān)協(xié)議（pim、msdp）加入白名單，保證設(shè)備間組播協(xié)議鄰接關(guān)系的正常建立和保持。

3.2 業(yè)務(wù)控制層

（1）嚴(yán)格控制組播域范圍，只在必要端口下啟用PIM路由協(xié)議及IGMP協(xié)議。

（2）部署pim source過濾策略，保證信息安全性。

（3）調(diào)整設(shè)備自身CPU防護(hù)策略，將組播相關(guān)協(xié)議（pim、igmp）加入白名單，保證設(shè)備間組播協(xié)議鄰接關(guān)系的正常建立和保持。

（4）在下聯(lián)二層接入?yún)R聚網(wǎng)絡(luò)端口單播子接口上部署 ARP協(xié)議相關(guān)安全策略。常態(tài)化策略可以部署ARP泛洪防御策略，設(shè)置允許通過的ARP報(bào)文的速率，防止來自接入網(wǎng)絡(luò)的arp異常報(bào)文對SR設(shè)備DDOS攻擊；對非法ARP報(bào)文、免費(fèi)ARP報(bào)文和目的MAC地址非空的ARP請求報(bào)文進(jìn)行過濾。

（5）在下聯(lián)二層接入?yún)R聚網(wǎng)絡(luò)端口組播子接口上部署IGMP組播組的過濾器，限制主機(jī)能夠加入的組播組范圍。

（6）啟用SR設(shè)備的DHCP安全特性，配置基于DHCP Snooping的 DHCP安全特性，過濾不信任的DHCP消息。SR設(shè)備作為DHCP RELAY設(shè)備，需將到達(dá)DHCP SERVER的端口設(shè)為信任端口。DHCP RELAY端口在收到dhcp、ip、arp報(bào)文時(shí)，依照初次上線時(shí)生成的dhcp snooping binding table進(jìn)行合法性檢查。

3.3 接入?yún)R聚層

（1）在匯聚層LSW組播VLAN內(nèi)啟用IGMP Snooping，通過偵聽路由器和主機(jī)之間發(fā)送的組播協(xié)議報(bào)文來維護(hù)組播報(bào)文的出端口信息，從而管理和控制組播數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)，實(shí)現(xiàn)二層組播，既可節(jié)約網(wǎng)絡(luò)帶寬又可提高信息安全性。

（2）啟用組播vlan內(nèi)組播組策略，對主機(jī)加入的組播組及組播組數(shù)量進(jìn)行限制。

（3）在匯聚層LSW組播VLAN內(nèi)禁用IGMP路由器端口動態(tài)學(xué)習(xí)功能，改為靜態(tài)指定路由器端口。必須抑制從非路由器端口發(fā)送的未經(jīng)授權(quán)的組播報(bào)文，防止非法組播源；另需配置IGMP報(bào)文抑制功能，降低SR路由器的處理壓力。

（4）在OLT設(shè)備上啟用IGMP Proxy功能，OLT響應(yīng)SR路由器的查詢報(bào)文并將用戶主機(jī)加入、離開組播組的信息匯總處理后通告路由器，對大量用戶主機(jī)頻繁加入、離開組播組時(shí)發(fā)送的IGMP協(xié)議報(bào)文起到抑制作用，從而減輕SR路由器的處理壓力及安全風(fēng)險(xiǎn)。

（5）基于vlan或端口設(shè)置最大MAC地址學(xué)習(xí)數(shù)量，當(dāng)MAC地址數(shù)量達(dá)到限制后，對超過MAC地址學(xué)習(xí)限制的報(bào)文采取直接丟棄的動作，可防止針對DHCP SERVER的攻擊。

4 結(jié)束語

文章結(jié)合IPTV承載網(wǎng)的典型架構(gòu)，在對IPTV相關(guān)安全風(fēng)險(xiǎn)深入分析的基礎(chǔ)上提出了安全加固建議。在實(shí)際網(wǎng)絡(luò)部署時(shí)，承載網(wǎng)三個(gè)層面的加固策略可以分階段獨(dú)立實(shí)施。整體實(shí)施完成后，承載網(wǎng)形成一張針對IPTV業(yè)務(wù)的立體安全防御體系，必將較大程度地提高IPTV業(yè)務(wù)的可靠性和安全性，IPTV業(yè)務(wù)將健康穩(wěn)定地發(fā)展，成為運(yùn)營商重要的互聯(lián)網(wǎng)增值業(yè)務(wù)。