控制平面的暴露程度很大程度上取决于设备的位置和可达性。例如,服务提供商(SP)网络边缘的路由器比SP核心深处的路由器暴露得更多,这仅仅是因为它们直接毗邻不受控制的客户网络和对等网络。企业路由器在互联网边缘也有类似的风险增加点。某些第2层漏洞也存在。这些问题和其他问题将在第二章中描述。此外,第5章“控制平面安全”详细描述了当前控制平面安全的最佳实践。
管理平面
管理平面是描述访问、管理和监控所有网元的流量的逻辑实体。管理平面支持网络的所有发放、维护和监控功能。与其他IP流量平面一样,管理平面流量与所有其他IP流量一起在带内处理。大多数服务提供商和许多大型企业还构建独立的带外(OOB)管理网络,以在主带内IP路径不可达时提供备用的可达性。这些基本的管理平面概念在图1-8.
管理平面的例子
管理平面始终包括接收数据包。通过在路由器上运行的各种管理进程生成和消耗接收数据包。正如您可能想象的那样,SSH(请不要使用Telnet!),FTP,TFTP,SNMP,Syslog,Tacacs +和RADIUS,DNS,Netflow,Rommon等管理协议,包括NOC工作人员和监测应用程序的使用在管理平面。此外,从某些路由器的角度来看,传输数据包也将是管理平面的一部分。根据管理服务器和网络运营人员所在的位置,之前的所有前述管理协议都显示为中间设备的传输数据包,并且作为目标设备的接收数据包。然而,管理平面流量通常保持完全“内部”到网络,并且应该仅交叉路由器的某些接口。关于第8章和第9章中提出的案例研究涵盖了有关此主题的进一步详细信息。管理平面很少应包括IP异常数据包(使用路由器警报IP选项的MPLS OAM是一个例外)。但是,它可以包括非IP异常数据包。CDP是一种基于第2层的协议,允许Cisco路由器和交换机彼此动态发现。
对于正确的路由器和网络操作来说,保护管理平面与保护控制平面同样重要。被破坏的管理平面不可避免地会导致未经授权的访问,这可能允许攻击者通过添加路由、修改流量流或简单地过滤传输包来进一步破坏IP流量平面。攻击者已经多次证明,当使用弱密码、未加密的管理访问(例如Telnet)或其他弱管理平面安全机制时,他们有能力破坏路由器。记住,访问路由器就像获得“王国的钥匙!”第2章提供了对管理平面威胁的其他讨论,第6章“管理平面安全”详细描述了当前管理平面安全的最佳实践。
服务的飞机
网络融合导致在一个共同的IP网络核心上运行多种不同特性的服务。在这种情况下,可以在“服务平面”中处理这些问题,以便在整个网络中一致地应用适当的处理。业务平面是业务流量的逻辑实体,业务平面包括接收专用网络业务的客户流量,例如VPN隧道(MPLS、IPsec、SSL)、私网到公网接口(NAT、防火墙、入侵检测和防御系统[IDS/IPS])、QoS(语音、视频)、和许多其他人。这些基本的服务平面概念在图1-9.
服务平面交通基本上是“客户”流量,如数据平面流量,但具有一个主要区别。服务平面包括旨在具有应用专用基于网络的功能的流量,并具有一致的处理申请端到端。另一方面,数据平面流量通常仅接收本机IP传送支持。由于可以表示不同类型的服务,所以在与服务平面一起工作时可能需要创建和强制执行不同的策略。
飞机服务的例子
业务平面交通一般是“过境”交通。但是路由器和其他转发设备通常使用特殊处理对各种服务类型应用或实施预期的策略。也就是说,业务平面流量可能以与常规数据平面流量非常不同的方式进行处理。下面的例子有助于说明这一点:
使用SSL或IPsec加密隧道。为了支持SSL或IPsec vpn,可能需要内部重定向到专用加密硬件。这通常会为某些设备带来额外的CPU和切换开销。隧道中的服务封装经常改变流量从传输到接收的性质,因为数据包现在在网络设备上终止解封装。这也会影响某些设备的处理操作。
通过MPLS VPN实现路由分离。参与MPLS VPN业务的路由器必须为每个客户维护VRF实例。这需要额外的内存,并且由于封装可能导致碎片,可能会产生额外的包开销。
基于网络的安全通过防火墙,入侵保护系统(IPS),和类似的系统。基于网络的安全业务的应用通常会影响网络的流量特性。防火墙和IPS通常要求流量对称(出口流量和入口流量遵循相同的路径)。对称流量流不是IP固有的,必须人为地强制执行。
通过QoS实现的基于网络的服务水平协议(SLA): QoS使用单个物理网络提供虚拟服务等级网络。QoS策略的应用会由于包转发机制的修改而影响其他非QoS流量,比如延迟和抖动预算。
由于服务平面经常在较低层次的基础上“覆盖”(第7层)应用程序流,服务平面经常增加控制平面和管理平面的负担。例如,MPLS vpn (rfc4364)在BGP中加入控制平面机制,实现路由分离,在LDP和RSVP中加入控制平面机制进行转发路径计算。IPsec vpn通过在控制平面添加IKE (Internet Key Exchange)机制,实现加密密钥的生成、隧道的创建和维护。还需要在管理平面提供额外的支持。IPsec vpn的隧道管理需要与业务交付所涉及的每一个路由器都有接口。同样,端到端标签交换路径验证也需要MPLS OAM。其他业务增加了不同的控制平面和管理平面负担。
业务平面的安全是保证专业流量稳定、可靠传输的关键。在某些情况下,这可能很简单。将用户生成的IP流量封装在一个公共服务报头中可以实现一种简化的安全方法。策略只需要查看服务类型,而不需要查看使用服务的单个用户流量(如在数据平面的情况下)。在某些情况下,这种封装可以为核心网络增加保护,因为相对“不可信”的用户流量可以在服务包装器中被隔离,而不能接触到网络基础设施。例如,MPLS vpn将单客户路由功能和网络基础设施路由功能分开。业务平面与控制平面、管理平面之间的依赖关系增加了复杂性,需要慎重考虑。第2章提供了对服务平面的一些威胁的额外讨论,第7章详细描述了当前保护服务平面的最佳实践。
IP路由器报文处理概念
在这个介绍性的章节中,最后要讨论的主题是路由器的软件和硬件架构。这将把上述所有概念联系在一起,说明为什么IP流量平面分离和控制对IP网络的稳定性、性能和运行如此重要。
路由器是在数据平面或服务平面中的转发数据包的构建,尽可能有效。这些相同的路由器还必须通过控制平面和管理平面构建和维护网络。IP交通飞机的概念是一个“逻辑”一个,并提供了一个开发和强制安全要求的框架。如图所示图1 - 5在本章的前面,IP流量平面安全的概念可以从互联网的角度向下看到单个路由器的角度。交通从哪里开始,又从哪里开始?网络边界在哪里?哪些流量应该跨越这些边界?哪些IP地址应该包含在各种路由协议中并发布?这些以及更多的问题将在接下来的章节中讨论和回答。
这个过程中最重要的领域之一,以及前面显示的透视图的原因图1 - 5,每个路由器处理网络中实际的数据包。在一天结束的时候,这些设备只能以与它们的硬件、软件和配置一致的自主方式运行。了解单个路由器如何处理到达其接口的每一种包类型,以及它必须花费多少资源来处理这些包,是IP流量平面安全的关键概念。
虽然本节特别关注Cisco路由器,但这些概念绝不是Cisco平台独有的。每一个“接触”信息包的网络设备都有一个硬件和软件架构,该架构被设计用来处理信息包,确定它需要对信息包做什么,然后对信息包应用一些策略。此处的“策略”指应用于数据包的任何操作,一般包括:转发/丢弃、形状/速率限制、重新着色、复制和隧道/封装。
路由器的主要目的是将数据包从一个网络接口转发到另一个网络接口。每个网络接口表示包含主机和服务器的直接连接的段,或者将与另一个路由设备的连接沿着数据包的最终目标的下游路径。在最基本的意义上,IP路由器的第3层决策过程包括以下步骤:
一个数据包进入一个接口。
重新计算IP标头校验和,以验证数据包完整性。如果它没有比较,则删除数据包。
如果它确实正确比较,则递减IP报头TTL,并且重新计算校验和(因为标题数据随着新的TTL值而变化)。
检查新的TTL值,确保其大于0。如果不是,则丢弃该报文,并生成一条超时的ICMP Type 11报文返回报文源。
如果TTL值是有效的(> = 1),则使用目标地址完成转发查找。该目的地可以在路由器(传输数据包)之外的某个位置或路由器本身(接收数据包)之外。如果不存在匹配,则会删除数据包,并生成ICMP目的地无法访问(类型3)。
如果找到匹配,则准备适当的二层封装信息,并将数据包转发到适当的接口(transit)。在“接收”目的地的情况下,包被踢到路由器CPU进行处理。
这个过程在图1 - 10.
简单IP转发示例
当然,实际的数据包处理流程可以明显比这更复杂,作为内存,I / O硬件,IP数据包变体,配置的策略以及许多其他因素会影响数据包处理。通常,网络中所有数据包的大多数都与数据平面和服务平面有关。控制平面和管理平面流量构成整体网络流量的一小部分。存在例外情况存在数据平面分组可能需要额外的控制平面资源,或者在普通分组转发机制不能处理分组的位置。通常,路由器以不同方式处理传输,接收和异常数据包。您可能想象的是,路由器经过优化,以便以最大的效率和速度处理运输流量。但是,路由器处理如何接收和异常情况,使您可以完全了解路由器的性能包围(和漏洞或攻击向量)。