路由器控制面安全防御能力
在NE20E控制平面,为了保障控制协议和业务的正常运行,提供了如下的安全防御能力:
- 应用层联动
- 畸形报文防攻击
- 路由协议认证核验(OSPF和BGP基于MD5核验)
- GTSM(Generalized TTL Security Mechanism)
- 攻击溯源与告警
- CPU报文速率限制(CPCAR)
- 黑名单和白名单
- 用户自定义流(基于ACL)
应用层联动
应用层联动指的是将控制层面的协议开关状态和底层转发引擎的协议上送关联起来。通过在上层和底层建立联系,在协议开关状态上保持一致,对于设备没有开启业务的协议,底层硬件默认是以小带宽上送其协议报文,也可以配置为完全不上送,这样就将攻击者的攻击范围尽可能缩小,增加了攻击的成本,减少了设备的安全风险。
畸形报文防攻击
NE20E当前能够对如下的畸形报文进行攻击检测,并在检测到攻击后,丢弃攻击报文:
- Null IP payload flooding attack
- IGMP null payload attack
- TCP illegal flags attack
- Duplicated fragment attack
- Fragment flooding
- Tear Drop
- Syndrop
- Nesta
- Fawx
- Bonk
- NewTear
- Rose
- Jolt
- Big offset
- Fraggle
路由协议认证校验
一些路由协议支持安全认证,在设备间报文交互时,采用HASH算法计算报文摘要,接收时重新计算摘要进行比较,能够及时识别出被篡改的报文。
路由协议安全认证算法根据协议自身的机制,更新使用业界最安全的SHA2算法(协议明确不支持的除外),保证了协议报文不会被篡改,增强了路由协议的安全性。
协议认证的密钥在设备的存储采用了业界最安全的AES256算法。大大提升了被破解的难度,更不容易泄露。
基于访问控制的安全防御
CPCAR用来设置上送CPU的报文的分类限速上送规则,针对每类报文可设置均值速率、承诺突发尺寸、优先级信息等。通过对不同的报文设置不同的CAR规则,可以降低报文的相互影响,达到保护CPU的目的。CAR还可以设置上送CPU报文的整体速率,当整体上送速率超过阈值后,报文将被丢弃,避免CPU过载。
白名单指合法用户或者是高优先级用户的集合。通过设定白名单信息可主动保护现有业务、高优先级用户业务。可将确定为正常使用设备的合法用户或者是高优先级用户业务设置到白名单中,匹配白名单特征的报文会被采用高速率高优先级上送。
黑名单指非法用户的集合。通过设定ACL,可将确定为攻击的非法用户设置到黑名单中,匹配黑名单特征的报文会被丢弃或者低优先级上送。
用户自定义流指用户自定义防攻击ACL规则。主要应用于当后续网络中出现不明攻击时,用户可灵活指明攻击流数据特征,将符合此特征的数据流进行上送限制。
为了避免NE20E遭受非法用户控制设备,或者进行管理报文的泛洪攻击的时候,可以部署管理控制平面功能。这样只有用户指定的接口可以接收管理报文,其他接口接收的管理报文将直接丢弃,从而有效地减少资源浪费。用户还配置对应接口可以接收的管理类报文,其他的协议报文直接丢弃,避免无关协议报文的攻击。
GTSM
GTSM(Generalized TTL Security Mechanism)是通用跳数检测机制的缩写,即通过检测上送报文的TTL值合法与否,来保护CPU免受CPU-utilization(CPU overload)类型的攻击。
根据路由器组网的特点,发给路由器控制面的报文,历经的网络节点条数是有限的,用户可以根据组网情况,限制发给控制面的报文历经的节点条数,避免网络上恶意的用户从远端发起攻击。
攻击溯源与告警
当路由器受到攻击,可以利用攻击溯源功能记录攻击报文,通过对攻击报文的分析,进行攻击定位和攻击防范。
攻击溯源对攻击报文的信息进行分析,对攻击位置、等级、原因等进行提取,并输出记录和告警。
