IPTV 业务解决方案之IPTV业务的安全维护

1 IPTV业务的安全维护

从安全性的角度来看,IPTV业务承载网不同于传统宽带网。它不但需要像传统宽带网一样防止网络病毒和网络攻击,同时对用户向网络发送的内容是否合法也一定要严格地控制,并对IDC中节目源进行保护。在保证IP网安全性方面,思科已经可以通过自防御网络战略,帮助运营商将网络从被动的防御,转为主动的防御。特别是在对DDOS攻击防护方面,CISCO 提供的解决方案能够有效的保护IPTV的业务服务器,业务管理平台不受DDOS攻击。

1.1 利用CISCO Guard 提供IPTV视频源的保护

Cisco Guard解决方案提供完整保护来防御各种DDoS攻击,甚至那些还未出现的DDOS攻击。以积极缓解性能为特色,快速检测攻击,从合法业务中分离出恶意数据包,Cisco Guard解决方案提出以秒计而不是以小时计的快速DDoS响应。该方案容易布署在关键路由器和交换机附近,并且不影响现存的网络部件的性能和可靠性。

Cisco Guard解决方案套件包括两个独立的组件 -- Cisco Detector和Cisco Guard,两部分协同工作,能为任何环境提供DDoS保护。

  • Cisco 监测器(Cisco Detector):作为早期报警系统,Cisco检测器提供对最复杂DDoS攻击的深入分析,搜寻与“正常” 行为的偏差或DDoS攻击的基本行为。攻击被识别后,检测器发警报给Cisco保护器,提供详细的报告和具体警报来快速响应该威胁。例如,即使在没有超出全面界限的情况下,检测器也能观测到从单个源头来的UDP包速率超出了范围。
  • Cisco保护器(Cisco Guard):Cisco保护器是Cisco DDoS解决方案套件的基石 -- 它是一个高性能DDoS攻击缓解设备,保护IPTV业务中心来的数据资源。

当保护器被通知有一个目标处于被攻击状态(无论是来自Cisco检测器还是其它诸如入侵检测或防火墙的安全监测设备)时,指向目标的业务将被转移到与该目标设备相连的保护器。然后,业务将通过五个阶段的分析和过滤,以除去所有恶意业务使得好的数据包能不间断的继续传送。

保护器位于一个单独网络接口处的路由器或交换机附近,在不影响其他系统的数据业务流情况下实现按需保护。由于它的位置,保护器可同时保护多个可能的目标,包括路由器、Web服务器、DNS服务器、LAN和WAN带宽。

利用CISCO Guard 提供IPTV视频源的保护

思科公司完整的DDoS防护解决方案实施

具体实现过程请参见下图

思科公司完整的DDoS防护解决方案实施

首先看看网络的部署情况,左边是原有网络结构,不受任何影响。将CISCO DDoS保护器部署在上层路由器旁边,一般是PoP点,CISCO保护器和此路由器有BGP的连接;再靠近需要保护的对象网络区域,部署CISCO DDoS监测器,或IDS入侵检测,或流量检测等设备,用以发现DDoS攻击的发生

    第一步:DDoS检测器发现有DDoS攻击发生,而且确认被攻击对象的地址或网段

    第二步:DDoS检测器通过SSH发出告警信息给DDoS保护器,DDoS保护器知道哪段IP地址被攻击了。DDoS保护器可以自动启动防护,也可以是管理员人为干涉启动防护

    第三步:DDoS保护器一旦启动对于相应网段的防护功能,将向旁边的路由器广播一条相关于被攻击网段的BGP路由,支出下一跳地址是DDoS保护器的地址。由于BGP路由的优先级高于OSPF/ISIS等IGP路由,这时路由器中关于被攻击网段的路发生变化,下一跳不再是原来的下一跳地址,而变成了DDoS保护器的地址

    思科DDoS防护解决方案

    第四步:这时所有面向被攻击者的流量被路由器转向到了DDoS保护器,如上图的红色的流量表示。红色的流量是混合流量,包含有攻击流量和正常用户请求流量;混合流量送达DDoS保护器后,DDoS保护器拥有MVP多级验证体系结构,具有识别攻击流量和正常流量的能力(具体技术细节参见下段的MVP多级验证体系结构),将DDoS攻击流量区分和过滤掉

    第五步:DDoS保护器将合法流量再转发到原有的网络中,因此合法流量可以到达被攻击的服务器。这时,我们可以知道,DDoS攻击已经被有效防止了,不管是哪一种攻击,对于服务器而言,基本没有感觉到被攻击了,网络实现自动防护

    第六步:其他的非被攻击流量的路由没有任何改变

总结以上过程,这是一种非常适合电信网络的解决方案,对网络结构没有任何改变,同时可以透传正常流量;DDoS保护器的资源不是被独占的,而是动态随机的资源分享;其他流量没有任何影响和变化

思科公司的创新技术和体系结构提供了这种全新的防护DDoS攻击的方法,对业务进行最详细的审查,不仅能检测最复杂的DDoS攻击,也能提供阻断日益复杂和难于检测的攻击的能力,同时不影响合法业务的正常处理,确保DDoS攻击停止业务操作的目的失败。此创新技术解决方案超越了简单过滤,它能自动检测数据并去除恶意业务,允许好的数据包通过,确保了业务的持续进行和完整性,为有效防护大规模互联网突发事件提供了一个好的参考模型。

1.2 组播技术的安全维护

IPTV业务的大规模开展,组播技术将是必不可少的。与传统IP业务不同的是,组播业务的安全更多的是体现在对组播源和组播流的控制上。由于每台运行组播路由协议并转发组播流的路由器都会保留大量的组播组的状态信息。因此,当有恶意的组播源向网内随即发送组播数据流时,如不作控制,不但可能造成对网络带宽的恶意占用,影响其他业务的品质,也会在路由器之间造成大量的协议数据包,加重路由器的计算负载。

通常情况下,组播数据流与组播协议在路由器中是时时互相影响的。组播数据包经过路由器时会影响组播路由的信息状态,反之,组播协议的变化也会触发数据转发层面的变化。举例来说,假设网络运行PIM-SM组播路由协议,某接收终端需要预定某组播地址的组播数据流。网关路由器会根据自身学习到的RP信息查找到关于这个组播组的RP,并显示的向RP发出Join信息,要求加入RP的组播共享树。假设RP已经有了此组播组的一个数据源的信息,并与源建立了源树,接收到了组播源的数据流。RP会将组播流下发到共享树。当网关路由器接收到第一个组播包时,就获得了这个组的组播源信息。缺省情况下,网关路由器就会直接向组播数据源发起一个请求,要求直接与数据源的第一跳路由器建立一棵最短路径树,也就是源树,以便于绕开RP,获得更好的转发路径。这就是一个比较典型的组播中,数据转发影响协议和路由状态的情况。同时,还有很多情况下,协议的变化会影响数据的转发。

因此,在对组播业务的运维中,应尽量部署控制策略,最大限度的保证业务的正常进行。通常可以通过以下一些手段来完成。

  • 限制源信息注册

    PIM-SM实现中重要的一点就是从源到RP的信息注册,只有通过RP这个会合点,网内的组播接收终端才能知道组播源的信息,继而接收到组播信息流。如果允许恶意的没经过验证的源的注册信息,RP就必须将宝贵的计算资源浪费在大量的无用计算上。建议中采用分布式的RP部署,从而为控制源注册信息带来方便。

    建议在实际的组播源服务器部署时,对其分配较为集中的单播地址段,此后只需在本区的AnyCast RP上对这部分本区内的组播源的源地址进行限制就可以了,即本区的RP只接收来自固定地址段的组播源服务器的源信息注册。

  • 限制组播组信息注册

    除了在RP上需要限制组播源的注册信息外,还需对组播源所服务的组播组地址信息进行限制。即限制经过验证的组播源服务器对未经允许的组播组目的地址发送数据流。同样的,由于在组播地址分配建议中明确了分布在各个主要机房的组播源可以使用的目的组播地址范围,且RP采用分布式的部署,只需在本区的RP上允许本区内的组播地址就可以了。

  • RP位置信息控制

    RP作为PIM-SM中的关键功能点,让所有的组播路由器都能正确获得RP的位置信息和RP对应的服务组的信息是非常重要的。因此,建议在网络内静态的配置RP的信息来做到最大的控制。通过静态的配置方式,每台路由器都明确的了解任何组播组的RP信息,对于规划中暂时没有使用的组播组,建议配置一台缺省RP,这个RP地址可以是实际存在的地址,也可以是不存在的虚拟地址,主要作用在于防止在普通路由器找不到对应的组RP信息时,没有经过验证的组播数据流在网内以DM的模式转发。

  • SSM组播业务

    SSM组播相比于传统的PIM-SM组播在安全性方面有着天然的优势。由于在SSM业务中,终端会明确的提出希望预定的组播组的源信息,即(S,G)信息。因此网络中,将不再需要RP,终端的网关路由器会直接向源发出请求,建立源树,这就大大降低了组播网内的虚假信息风险。在只有SSM业务的组播网络中,由于不需要RP,则网络中的路由器将不存在(*,G)的转发信息,所有未经认证的源发出的数据包将不能在网络内转发。而伪装了源地址的组播包,也将受到反向路径查询的限制而最大程度的受到了限制。

    但由于目前SSM要求终端对IGMPv3协议的支持,而主流操作系统中只有Windows XP和部分Unix/Linux支持,因此暂时SSM业务还不具备部署的成熟条件,但在未来的一对多的视频业务中,SSM将具有非常明显的优势。

    1.3 利用Netflow技术进行IPTV承载网络的安全管理

    利用Netflow技术,运营商的网络管理人员主要可以实现对网络异常通信的检测,重点防范网络攻击和大范围的蠕虫病毒发作,为IPTV业务的顺利开展提供更多的保障。

    建议的处理流程如下:

    • 管理准备阶段:预先在网络设备上启动Netflow,并把Netflow采集到的网络通信流量和流向数据发送给运营商安全管理中心部署的相应Netflow分析和安全管理系统。管理系统通过分析日常Netflow采集到的统计数据,可以事先掌握网络的流量分布状况以及全网通信的正常基线,并以此为依据为日后可能出现的通信异常进行评估。
    • 攻击发现和识别阶段:由于Netflow管理代理是内嵌在网络设备中的,当网络流量突然出现异常时,Netflow可以迅速做出反应。异常通信的流量和流向统计信息可以被实时汇总到管理中心的安全管理系统。通过分析,管理系统可以区分出异常流量的具体属性,包括异常出现的时刻,通信的来源地址和目的地地址的分布,占用端口的分布状况,通信流量的峰值,持续的时间等等。
    • 攻击确认和分类阶段:根据分析出的异常通信的具体属性,以及与网络通信正常基线的比对,管理员可以快速定性出现的通信异常是否为网络安全攻击、确定安全攻击的类型和评估本次攻击的危险程度及可能造成的影响范围。对会造成大范围网络影响甚至业务瘫痪的恶性安全攻击需要进行实时告警。
    • 攻击追踪阶段:在确定安全攻击的类型和危险级别后,为便于在源头阻塞安全攻击,需要为进一步澄清安全攻击出现的原始来源以及除主要攻击源外是否还存在其它安全危险来源。管理员可以利用管理系统对Netflow采集到的原始攻击数据包的具体特性进行察看,查找最先出现攻击的数据源,以及随时间的发展是否还有其它新的安全攻击数据源的出现。
    • 处理阶段:在确认了所有主要安全攻击的来源后,管理员可根据本次所受攻击的特点采用相应技术手段实施事故应急处理,如为出现攻击的网络端口配置入向或出向的访问控制列表,对特定类型通信流量进行限速等。通过这些技术措施可以对网络安全攻击流量进行阻断,防止其对大范围网络的运行造成影响。
    • 后续监视阶段:在安全攻击被阻断后,全网所有设备中的Netflow管理代理还会继续对网络通信流量进行采集和检测,汇总到管理系统的统计数据可以评估是否所有攻击都已经被屏蔽,并持续监视是否还有新的安全攻击的出现。

返回
[an error occurred while processing this directive]