记得张楚有句歌词:“隐藏的危险,变得很阴险“,最近怎么觉着这首名为“小人“的摇滚是写给网络犯罪的。随着网络化步伐的加快,网络已经成为我们生活中的一部分,宽带对应的安全问题日益突出,大家在谈论宽带问题,往往爱谈论个人用户应该怎样注意保护自己的账号完全,但是安全问题 只是个人用户造成的吗,这篇文章从另一个角度,以宽带问题为切入点,通过对某省的电信网上计费网站安全测试及获取电信的管理帐号过程这一案例,深度剖析目前源于电信宽带的种种隐患。
宽带安全问题抛开个人用户的种种问题,从电信角度来说:现有网络硬件设备不能满足现有需求,造成用户认证困难:假如目前每个宽带账号和电话线路都可以绑定,真正做到一个账号只能在一条线路上使用,似乎目前很多安全问题都可以解决了。但目前的情况不是这样子的:在各种账号安全问题中,非法共享和盗用以及非法用户追踪困难的原因,主要是因为电信运营商没有对宽带用户账号安全提供限制和可靠的保护,无法形成对宽带用户的唯一的标志。市场经济下,投资成本和利润回报影响各个行业的决策,电信也不例外,目前国内整个宽带网络的认证和计费系统主要由BRAS设备和RadiusServer设备来共同完成,基于当前的城域网,而VLAN资源不足致使多个用户共用一个VLAN的网络现状。根据目前网络现状开发的PITP协议、PPPoE+协议、DHCPOption82等技术就是为了解决这一问题。
当然,这些方式虽然可以解决用户唯一标志问题,但无法在国内统一,原因其一就是成本问题:成本包含两部分:现有设备投资还没有收回,新技术投资收益还不能确定;其二就是由于中国的各地发展不平衡,改造起来很困难。对此我们应多给些时间,相信不久就会解决这个问题。从电信角度说,对于盗用账户的 解决方法目前主要有两个方法:
解决方法一,MAC地址绑定解决方案,电信运营商可以在RadiusServer上将用户上网计算机的MAC地址同用户上网账号进行唯一性绑定,利用MAC的唯一性,从而限制上网账号的唯一使用性。
用户在进行PPPoE拨号连接的时候,BRAS设备获取用户的上网账号以及上网计算机的MAC地址,然后通过标准Radius协议将用户账号和MAC上报给RadiusServer,由Radiusserver完成账号和MAC地址一一对应的判别工作。由于MAC地址的唯一性,用户无法进行账号的非法共享或漫游,同时盗用的上网账号也无法使用。简单方便,无须改造现有网络结构和DSLAM设备,只要BRAS设备能根据标准Radius协议上报用户账号和用户计算机MAC地址给RadiusServer,这一点目前的BRAS设备都能够做到。不过Radiusserver端的维护工作量很大,需要经常维护庞大的用户MAC地址表;而且一旦用户更换电脑或者更换网卡都必须在Radiusserver上进行重新绑定,带来额外的工作量和用户投诉;同时对多个用户共用一个VLAN上行的组网模式,二层接入网络的用户安全隔离和广播报文控制也需要额外的解决方案。
