十種機(jī)制保護(hù)三大網(wǎng)絡(luò)基礎(chǔ)協(xié)議（BGP、NTP和FTP）

除了DNS，還有其他網(wǎng)絡(luò)基礎(chǔ)協(xié)議也會(huì)變成攻擊者的武器，該如何保護(hù)呢？

涉及基礎(chǔ)互聯(lián)網(wǎng)協(xié)議的攻擊見諸報(bào)端時(shí)，人們的視線往往集中在Web上，HTTP或DNS是絕對(duì)的主角。但歷史告訴我們，其他協(xié)議也會(huì)被當(dāng)做攻擊脆弱公司企業(yè)的武器和入口。

比如BGP(邊界網(wǎng)關(guān)協(xié)議)、NTP(網(wǎng)絡(luò)時(shí)間協(xié)議)和FTP(文件傳輸協(xié)議)，就是攻擊者用以破壞運(yùn)營(yíng)或盜取數(shù)據(jù)資產(chǎn)的利器。最近頻發(fā)的加密貨幣錢包劫持事件，充分展現(xiàn)出了BGP劫持作為攻擊鏈一部分的有效性。從大多數(shù)用戶的角度來看，BGP的神秘源于其復(fù)雜性，而大多數(shù)公司企業(yè)僅在其網(wǎng)絡(luò)變得非常巨大之時(shí)才考慮應(yīng)用BGP，更是增添了公司的風(fēng)險(xiǎn)。

NTP常被看做是僅提供對(duì)時(shí)便利性的協(xié)議，讓用戶免去自行對(duì)時(shí)并手動(dòng)錄入系統(tǒng)的麻煩。但實(shí)際上，從數(shù)據(jù)加密到文件傳輸?shù)纫粦?yīng)事務(wù)，都依賴NTP協(xié)議從標(biāo)準(zhǔn)服務(wù)器獲取權(quán)威時(shí)間。因此，NTP協(xié)議無處不在，對(duì)攻擊者非常有價(jià)值。

另外，雖然用戶更喜歡用HTTP在系統(tǒng)間傳輸文件，但很多應(yīng)用程序和系統(tǒng)仍將FTP作為基本的文件傳輸機(jī)制。因?yàn)槌１挥糜趥鬏敶笪募灰軌驅(qū)δ繕?biāo)使用，F(xiàn)TP就是網(wǎng)絡(luò)罪犯的有力武器。

對(duì)大多數(shù)公司而言，“停止使用這些協(xié)議”并不現(xiàn)實(shí)；有太多應(yīng)用程序和用戶都依賴這些協(xié)議，很長(zhǎng)時(shí)間內(nèi)都無法放棄其中哪一個(gè)。而且BGP和NTP這兩個(gè)協(xié)議甚至都沒有替代方案可用。所以，公司企業(yè)有必要找到保護(hù)這些協(xié)議的方法，讓它們作為工具為公司所用，而不是作為武器為攻擊者所用。

保護(hù)網(wǎng)絡(luò)基礎(chǔ)協(xié)議的方法當(dāng)然有很多，其中有一些是可以激發(fā)思維，推動(dòng)防御策略向前發(fā)展的。下面我們就為讀者呈上幾種保護(hù)網(wǎng)絡(luò)基礎(chǔ)協(xié)議的有效方法。

1. BGP：保護(hù)發(fā)言人

BGP是路由器間相互告知所處位置的協(xié)議，還可供路由器組用以建立數(shù)據(jù)包發(fā)送的最佳路徑。其實(shí)現(xiàn)過程中需要確定路由器仍然接在互聯(lián)網(wǎng)上：通過發(fā)言人(Speaker)每隔60秒在179端口發(fā)送一條TCP消息來保持與其相鄰節(jié)點(diǎn)的連接。如果發(fā)言人被拿下，不僅僅是路由器掉線，還會(huì)打開非法路由器頂替上位的大門。

很明顯，在已知端口上定期通信的關(guān)鍵網(wǎng)絡(luò)鏈路是脆弱的，網(wǎng)絡(luò)擁有者需采取特別的預(yù)防措施來保護(hù)它。互聯(lián)網(wǎng)工程任務(wù)組(IETF)的專家們建議，可以采用訪問控制列表(ACL)來屏蔽掉來自非鄰居路由器節(jié)點(diǎn)的通信。

另外，網(wǎng)絡(luò)管理員還應(yīng)在控制層和數(shù)據(jù)層上施加速率限制，預(yù)防數(shù)據(jù)包洪水把發(fā)言人擠掉線。不僅僅是攻擊洪水，過量的合法流量也會(huì)將網(wǎng)絡(luò)從互聯(lián)網(wǎng)上擠掉。所以，預(yù)設(shè)速率限制是個(gè)不錯(cuò)的預(yù)防方法。

2. BGP：TTL保安全

ACL是保護(hù)BGP的首要方法，其次就是利用網(wǎng)絡(luò)防護(hù)中一個(gè)更廣泛的機(jī)制：生存時(shí)間(TTL)。

TTL安全在 IETF RFC 5082 的“通用TTL安全機(jī)制”(GTSM)中有所描述。其大意是，花費(fèi)太長(zhǎng)時(shí)間到達(dá)的數(shù)據(jù)包不可能來自鄰居節(jié)點(diǎn)，而不是來自鄰居節(jié)點(diǎn)的數(shù)據(jù)包是可以丟棄的。

TTL安全的基本操作是：將TTL設(shè)置成255(最大值)，也就是要求數(shù)據(jù)包來自直接連接。因?yàn)榈?層設(shè)備每碰一次數(shù)據(jù)包，都會(huì)導(dǎo)致TTL的衰減，所以繞來繞去的數(shù)據(jù)包是達(dá)不到TTL要求的。

3. BGP：前綴過濾器

想要保護(hù)BGP及其在網(wǎng)絡(luò)中的職能，須得確保通告特定路由的路由器具備通告該路由的權(quán)限。比如說，如果有路由器通告稱，“訪問AWS要經(jīng)過一家小電鋸修理廠的路由器”，那這臺(tái)路由器就肯定是惡意路由器，應(yīng)被禁止其路由通告行為。可以預(yù)防惡意路由通告的方法之一，是前綴過濾——有點(diǎn)復(fù)雜，還有些現(xiàn)實(shí)世界的局限性，但是非常有效的方法。

前綴過濾可以判斷路由器是否具備通告某路由的權(quán)限。其基本方法是基于互聯(lián)網(wǎng)路由注冊(cè)表(IRR)中包含的信息來過濾前綴。但因?yàn)镮RR未必能及時(shí)更新，所以該方法在實(shí)際應(yīng)用上情況有點(diǎn)復(fù)雜。

前綴過濾應(yīng)僅允許路由器接受合法鄰居節(jié)點(diǎn)的路由，僅傳送合法路由到下游鄰居節(jié)點(diǎn)。雖然非常有效，但網(wǎng)絡(luò)管理員卻必須時(shí)常維護(hù)更新合法節(jié)點(diǎn)列表。當(dāng)網(wǎng)絡(luò)(或客戶網(wǎng)絡(luò))有很多冗余內(nèi)部和外部路由時(shí)，管理員的工作就會(huì)變得相當(dāng)復(fù)雜。不過，在安全非常重要的場(chǎng)合，還是值得為此付出努力的。

4. BGP：保護(hù)會(huì)話

因?yàn)锽GP使用TCP進(jìn)行傳輸，所以保護(hù)BGP會(huì)話也就意味著保護(hù)TCP會(huì)話，用于保護(hù)通用TCP的很多機(jī)制同樣能用在保護(hù)BGP會(huì)話上?？梢圆捎?RFC 2827 和 RFC 3704 中的建議，在網(wǎng)絡(luò)邊界處封鎖明顯的欺騙數(shù)據(jù)包。

有了數(shù)據(jù)包封鎖，MD-5或TCP身份驗(yàn)證選項(xiàng)(TCP-AO)就可以提供有效防護(hù)了。

這些會(huì)話保護(hù)措施都會(huì)增加部署和維護(hù)上的開銷。個(gè)人網(wǎng)絡(luò)擁有者需衡量其安全收益與所花開銷的性價(jià)比。不過，這四步走下來，就能讓BGP更加安全而健壯。

5. NTP： NTPsec

保護(hù)NTP很重要，但這里面明顯應(yīng)該先用NTPsec替換掉“經(jīng)典”的NTP。作為更安全的NTP，NTPsec直接兼容經(jīng)典代碼，且用戶不應(yīng)感覺到有什么變化。NTPsec僅僅是讓該基礎(chǔ)服務(wù)更難以被黑客利用而已。換成NTPsec，黑客就難以利用NTP來執(zhí)行DDoS放大攻擊了。另外，大家普遍認(rèn)為，NTPsec還能清潔代碼，并添加基本的管理和報(bào)告功能。

必須指出的是，NTP和NTPsec都是開源項(xiàng)目，吸引了很多志愿者和支持者。網(wǎng)上支持和反對(duì)NTPsec的人都不難找到，但權(quán)衡下來，該協(xié)議的基本功能還是值得企業(yè)認(rèn)真考慮的。

6. NTP：更新很重要

作為攻擊武器，NTP的主要價(jià)值在于：特定查詢所返回的數(shù)據(jù)可以比從原始攻擊系統(tǒng)發(fā)出的數(shù)據(jù)多上很多倍。NTP協(xié)議的一個(gè)問題是，該協(xié)議往往部署到系統(tǒng)上后再不更新了，讓很多老版本的服務(wù)器面臨攻擊風(fēng)險(xiǎn)。

NTP服務(wù)器軟件ntpd的每個(gè)版本，只要是4.2.7之前的，都可被黑客用于發(fā)起攻擊。更新的版本也可能存在漏洞，但只要不是更改了默認(rèn)配置，一般還是比較健壯的。為增強(qiáng)安全性，最好保證ntpd是最新版本。

7. NTP：注意Monlist指令

Monlist指令是ntpd可被利用成強(qiáng)力放大攻擊武器的根源，該指令能返回最近連接NTP服務(wù)器的600個(gè)客戶端的詳細(xì)信息。

想要防止NTP被黑客武器化，必須限制monlist指令的執(zhí)行。4.2.7之后的ntpd版本默認(rèn)是限制monlist指令執(zhí)行的；如果必須使用之前的版本，可以將該限制顯式添加到其配置文件ntp.conf里。

8. FTP：別用標(biāo)準(zhǔn)版

FTP有用，但其基本形太過古舊僵化。該協(xié)議最根本的問題在于，從身份驗(yàn)證到文件傳輸，所有操作都沒加密。如果應(yīng)用程序或工作流需要文件傳輸功能，其替代版可以提供更加安全的功能執(zhí)行。

最常見的兩個(gè)替代版是FTPS和SFTP。這兩個(gè)版本完成相同的功能：通過加密隧道傳輸文件(以及傳輸前的憑證)。不過，二者的實(shí)現(xiàn)方法并不相同。

SFTP是SSH中的FTP。FTPS是加了SSL的FTP。二者在安全上并無優(yōu)劣之分，具體要實(shí)現(xiàn)哪一個(gè)，就看FTP在文件呈現(xiàn)和傳輸上的安全性需求了。或者，可以像很多團(tuán)隊(duì)選擇的那樣，兩個(gè)都實(shí)現(xiàn)。

9. FTP：架在正確的網(wǎng)關(guān)后

很多情況下，F(xiàn)TP實(shí)現(xiàn)需允許合作伙伴、供應(yīng)商或客戶與公司之間互傳文件。這意味著FTP服務(wù)器必須面對(duì)互聯(lián)網(wǎng)，通常是架在網(wǎng)絡(luò)中的非軍事區(qū)(DMZ)。

直面互聯(lián)網(wǎng)的服務(wù)器往往比隔離網(wǎng)絡(luò)中的服務(wù)器更脆弱。所以，如果必須保留FTP功能，就得設(shè)置FTP網(wǎng)關(guān)來保護(hù)FTP服務(wù)器。大多數(shù)情況下，該網(wǎng)關(guān)就是另一種形式的反向代理：外部客戶端先與網(wǎng)關(guān)發(fā)起會(huì)話，然后網(wǎng)關(guān)建立起從服務(wù)器到該外部客戶端的安全隧道。

FTP網(wǎng)關(guān)可選范圍很廣：AWS、IBM、Barracuda、Ipswitch都是能提供多種實(shí)現(xiàn)方式的公司，還有其他很多公司也能提供該功能。

10. FTP：目錄和文件安全

在網(wǎng)絡(luò)時(shí)代早期，人們還很單純的時(shí)候，公司企業(yè)有時(shí)候會(huì)通過FTP設(shè)置專用于發(fā)送和接收文件的子目錄。匿名FTP也可以在該子目錄中發(fā)送和接收文件，而且享有全部讀寫權(quán)限，文件保存時(shí)間還可以很長(zhǎng)。

應(yīng)采取一系列措施保護(hù)FTP服務(wù)器及其收發(fā)的文件：限制子目錄讀寫權(quán)限，限制子目錄中文件的讀寫權(quán)限，限制該子目錄呈現(xiàn)的內(nèi)容僅為剛剛上傳或需要馬上下載的文件。

公網(wǎng)上的任何活動(dòng)都可能有風(fēng)險(xiǎn)。但運(yùn)用恰當(dāng)?shù)募夹g(shù)和策略，公司企業(yè)可以讓很多網(wǎng)絡(luò)活動(dòng)變得更安全。