資源描述:
《深度剖析目前電信寬帶的種種安全隱患》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)����。
1、深度剖析目前電信寬帶的種種安全隱患記得張楚冇句歌詞:“隱藏的危險(xiǎn)�����,變得很陰險(xiǎn)”��,最近怎么覺(jué)著這首名為“小人”的搖滾是寫給網(wǎng)絡(luò)犯罪的��。隨著網(wǎng)絡(luò)化步伐的加快���,網(wǎng)絡(luò)己經(jīng)成為我們生活屮的一部分,寬帶對(duì)應(yīng)的女全問(wèn)題I」益突出�����,大家在談?wù)搶拵?wèn)題,往往愛(ài)談?wù)搨€(gè)人用戶應(yīng)該怎樣注意保護(hù)自己的賬號(hào)安全��,但是安全問(wèn)題只是個(gè)人用戶造成的嗎�,這篇文章從另一個(gè)角度,以寬帶問(wèn)題為切入點(diǎn)���,通過(guò)對(duì)某省的電信網(wǎng)上計(jì)費(fèi)網(wǎng)站安全測(cè)試及獲取電信的管理帳號(hào)過(guò)程這一案例���,深度剖析目前源于電信寬帶的種種隱患。寬帶安全問(wèn)題拋開個(gè)人用戶的種種問(wèn)題���,從電信角度來(lái)說(shuō):現(xiàn)有網(wǎng)絡(luò)硬件設(shè)備不能滿足現(xiàn)有需求��,造成用戶認(rèn)證困難:假如
2、目前每個(gè)寬帶賬號(hào)和電話線路都可以綁定����,真正做到一個(gè)賬號(hào)只能在i條線路上使用,似乎目前很多安全問(wèn)題都町以解決了�。但目前的悄況不是這樣子的:在各種賬號(hào)安全問(wèn)題中,非法共亨和盜用以及非法用八追蹤困難的原因���,主要是因?yàn)殡娦胚\(yùn)營(yíng)商沒(méi)有對(duì)寬帶用戶賬號(hào)安全提供限制和可靠的保護(hù)�,無(wú)法形成對(duì)寬帶用戶的唯一的標(biāo)志。市場(chǎng)經(jīng)濟(jì)下���,投資成本和利潤(rùn)回報(bào)影響各個(gè)行業(yè)的決策��,電信也不例外���,冃前國(guó)內(nèi)整個(gè)寬帶網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)系統(tǒng)主要由BRAS設(shè)備和RadiusServer設(shè)備來(lái)共同完成��,基于當(dāng)前的城域網(wǎng)�����,而VLAN資源不足致使多個(gè)用戶共用一個(gè)VLAN的網(wǎng)絡(luò)現(xiàn)狀�����。根據(jù)1=1前網(wǎng)絡(luò)現(xiàn)狀開發(fā)的PITP協(xié)議����、PP
3����、PoE+協(xié)議�����、DHCPOption82技術(shù)就是為了解決這一問(wèn)題���。當(dāng)然,這些方式雖然可以解決用戶唯一標(biāo)志問(wèn)題���,但無(wú)法在國(guó)內(nèi)統(tǒng)一���,原因其一就是成木問(wèn)題:成木包含兩部分:現(xiàn)有設(shè)備投資還沒(méi)有收回,新技術(shù)投資收益還不能確定;其二就是市于屮國(guó)的各地發(fā)展不平衡�����,改造起來(lái)很困難���。對(duì)此我們應(yīng)多給些時(shí)間��,相信不久就會(huì)解決這個(gè)問(wèn)題����。從電信角度說(shuō)�����,對(duì)于盜用賬戶的解決方法目前主要有兩個(gè)方法:解決方法一��,MAC地址綁定解決方案��,電信運(yùn)營(yíng)商可以在RadiusServer上將用戶上網(wǎng)計(jì)算機(jī)的MAC地址同用戶上網(wǎng)賬號(hào)進(jìn)行唯一性綁定���,利用MAC的唯一性,從而限制上網(wǎng)賬號(hào)的唯一使用性����。用戶在進(jìn)行PPPoE撥
4、號(hào)連接的時(shí)候�����,BRAS設(shè)備獲取用戶的上網(wǎng)賬號(hào)以及上網(wǎng)計(jì)算機(jī)的MAC地址,然后通過(guò)標(biāo)準(zhǔn)Radius協(xié)議將用戶賬號(hào)和MAC上報(bào)給RadiusServer,illRadiusserver完成賬號(hào)和MAC地址對(duì)應(yīng)的判別工作�����。由于MAC地址的唯一性�,用八無(wú)法進(jìn)行賬號(hào)的非法共享或漫游����,同吋盜用的上網(wǎng)賬號(hào)也無(wú)法使用��。簡(jiǎn)單方便����,無(wú)須改造現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和DSLAM設(shè)備,只要BRAS設(shè)備能根據(jù)標(biāo)準(zhǔn)Radius協(xié)議上報(bào)用八賬號(hào)和用八計(jì)算機(jī)MAC地址給RadiusServer,這一點(diǎn)II前的BRAS設(shè)備都能夠做到�����。不過(guò)Radiusserver端的維護(hù)工作量很大����,需要經(jīng)常維護(hù)龐大的用戶MAC地址表
5、;而fl.一旦用戶更換豳或者更換網(wǎng)卡都必須在Radiusserver上進(jìn)行重新綁定��,帶來(lái)額外的工作址和用戶投訴;同時(shí)對(duì)多個(gè)用八共用一個(gè)VLAN上行的組網(wǎng)模式,二層接入網(wǎng)絡(luò)的用戶安全隔離和廣播報(bào)文控制也需要額外的解決方案����。方法二:LAN或PVC綁定解決方案,VLAN或PVC綁定解決方案是在RadiusServer上對(duì)用戶的寬帶上網(wǎng)賬號(hào)同接入用戶的VLAN或PVC進(jìn)行綁定。在寬帶撥號(hào)用戶進(jìn)行撥號(hào)時(shí),BRAS設(shè)備將接入用戶的VLAN或PVC信息通過(guò)標(biāo)準(zhǔn)Radius協(xié)議上報(bào)給RadiusServer,ftlRadiusServer完成用戶上網(wǎng)賬號(hào)同VLAN或PVC的唯一性鑒別工
6���、作����。顯然,VLAN或PVC綁定解決方案在技術(shù)要求和寬帶網(wǎng)絡(luò)建網(wǎng)過(guò)程屮����,將每個(gè)用戶劃分為一個(gè)單獨(dú)的VLAN或者PVCokl前,在實(shí)際的組網(wǎng)中��,ATM?DSLAM都采用一個(gè)用戶一條PVC方式接入��,非常容易實(shí)現(xiàn)用戶賬號(hào)同PVC的唯一性綁定;為每個(gè)接入的寬帶用戶分配不同的VLAN標(biāo)志��,實(shí)現(xiàn)了用八上網(wǎng)賬號(hào)同VLAN唯一性綁立���,避免賬號(hào)公用和盜用問(wèn)題。用戶間通過(guò)VLAN或PVC隔離也nJ有效地解決二層接入網(wǎng)絡(luò)廣播風(fēng)暴問(wèn)題���。硬件上的問(wèn)題不是最令人心的���,從發(fā)展的角度,可以很快解決�,可有些軟問(wèn)題卻比較令人擔(dān)憂。電信部門的管理的軟問(wèn)題:記得2000年初接觸到寬帶����,接寬帶時(shí)那個(gè)電信人員說(shuō)“寬
7����、帶密碼不存在女全問(wèn)題���,只冇你的電話能用”��,中國(guó)的寬帶賬戶女全觀念也在這種觀念屮成長(zhǎng),這樣無(wú)形中養(yǎng)成寬帶用戶的安全意識(shí)贋乏����,造就了中國(guó)的寬帶成長(zhǎng)中的先天不良�����。我就以這兒天測(cè)試的某省的電信網(wǎng)上寬帶收費(fèi)網(wǎng)站為例子����,談?wù)勥@個(gè)問(wèn)題:進(jìn)入該網(wǎng)站后,找到計(jì)費(fèi)業(yè)務(wù)版塊��。這里就暴露了一個(gè)歷史遺留問(wèn)題:寬帶用戶的用戶名密碼容易被猜解問(wèn)題:一直以來(lái)電信出于管理方便角度����,対用戶名很多都以電話號(hào)碼為基數(shù)�����,加上其他一些簡(jiǎn)易字母��,后邊加上諸如@163等的后綴���,密碼幾乎都是電話號(hào)碼,用通式來(lái)衣達(dá):帳八名:城市名稱縮寫(如bj)+電話號(hào)碼(如12345678)+@+片綴(
