劉彩錄
鐵路分散自律調(diào)度集中系統(tǒng) (CTC),已被廣泛應(yīng)用于我國(guó)既有鐵路、高速鐵路及城際客專(zhuān)等鐵路運(yùn)輸上,提高了運(yùn)輸組織工作效率,也被國(guó)家相關(guān)部門(mén)評(píng)定為“等級(jí)保護(hù)”四級(jí)系統(tǒng),對(duì)該系統(tǒng)信息網(wǎng)絡(luò)安全提出了更高的要求。鐵路CTC網(wǎng)絡(luò)均采用了帶訪問(wèn)控制功能的路由器,正確地設(shè)置ACL(訪問(wèn)控制列表),將起到防火墻的作用,降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。本文探討在CTC網(wǎng)絡(luò)路由器上進(jìn)行規(guī)則設(shè)定,阻擋不匹配安全規(guī)則的數(shù)據(jù)包,實(shí)現(xiàn)CTC網(wǎng)絡(luò)安全。
1.病毒。CTC系統(tǒng)在建立和運(yùn)營(yíng)過(guò)程中,需進(jìn)行大量的軟件上傳、修改、備份和檢查升級(jí)工作,遠(yuǎn)程連接登錄、使用U盤(pán)等都可能造成系統(tǒng)的“病毒”感染,導(dǎo)致中心或車(chē)站系統(tǒng)癱瘓。
2.非法登錄。掌握CTC系統(tǒng)各級(jí)口令的人可以隨時(shí)通過(guò)中心或車(chē)站某臺(tái)終端接入CTC系統(tǒng),有可能對(duì)系統(tǒng)進(jìn)行破壞。
3.信息安全。CTC系統(tǒng)直接指揮和控制行車(chē),是鐵路調(diào)度指揮進(jìn)行生產(chǎn)組織的核心系統(tǒng),其內(nèi)部網(wǎng)絡(luò)中傳輸著涉密信息,尤其是軍運(yùn)或?qū)_\(yùn)列車(chē)的行車(chē)組織信息。
1.設(shè)置殺毒軟件服務(wù)器。CTC中心部署一套網(wǎng)絡(luò)版殺毒軟件服務(wù)器,通過(guò)控制中心管理全網(wǎng)的客戶端,實(shí)現(xiàn)統(tǒng)一升級(jí)、設(shè)置,對(duì)網(wǎng)絡(luò)中的病毒進(jìn)行實(shí)時(shí)監(jiān)控和查殺。
2.訪問(wèn)控制。大多數(shù)方案是安裝硬件防火墻,主要是過(guò)濾非法數(shù)據(jù)包或者不安全的流量,保證網(wǎng)絡(luò)安全。車(chē)站防火墻均布置在網(wǎng)絡(luò)出入口處 (網(wǎng)絡(luò)交換機(jī)和路由器之間),防火墻一次故障或死機(jī)就可能危及整個(gè)車(chē)站網(wǎng)絡(luò),導(dǎo)致信息傳輸中斷,影響行車(chē)組織;而且專(zhuān)門(mén)增設(shè)防火墻也增加了成本。
3.強(qiáng)化CTC用戶管理。杜絕一機(jī)雙網(wǎng),確保與外部網(wǎng)絡(luò)物理隔離;拒絕未經(jīng)檢測(cè)的移動(dòng)存儲(chǔ)使用;驗(yàn)證CTC用戶的身份和使用權(quán)限,防止用戶越權(quán)操作等。
訪問(wèn)控制是實(shí)現(xiàn)網(wǎng)絡(luò)安全的主要途徑。目前實(shí)現(xiàn)訪問(wèn)控制的技術(shù)方案有MAC地址過(guò)濾、交換機(jī)VLAN隔離、基于IP地址的訪問(wèn)控制列表等。
訪問(wèn)控制列表 (Access control list,縮寫(xiě)ACL),是一種基于包過(guò)濾的數(shù)據(jù)控制技術(shù),在路由器和三層交換機(jī)中被廣泛使用。它把源地址、目的地址以及端口號(hào)作為數(shù)據(jù)包檢查的基本要素,并規(guī)定符合檢查條件的數(shù)據(jù)包允許通過(guò),不符合檢查條件的數(shù)據(jù)包禁止通過(guò),從而保證網(wǎng)絡(luò)安全。
現(xiàn)有CTC網(wǎng)絡(luò)絕大多數(shù)部署了防火墻,但實(shí)際運(yùn)行防火墻死機(jī)或故障發(fā)生率偏高。由于防火墻部署在網(wǎng)絡(luò)出入口,即便是瞬間重啟也必然導(dǎo)致整個(gè)車(chē)站CTC網(wǎng)絡(luò)中斷。而在路由器適當(dāng)配置訪問(wèn)控制列表 (ACL),對(duì)網(wǎng)絡(luò)流量進(jìn)行規(guī)則檢查,限制非法數(shù)據(jù)包通過(guò),實(shí)踐證明,可以有效減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn),實(shí)現(xiàn)一般防火墻具有的功能。
訪問(wèn)控制列表實(shí)現(xiàn)方法:首先進(jìn)入路由器全局配置模式,依次定義訪問(wèn)控制列表,最后將其配置到網(wǎng)絡(luò)接口中。這樣通過(guò)該接口的數(shù)據(jù)包都必須接受規(guī)則檢查,被禁止的數(shù)據(jù)流量將無(wú)法通過(guò)。
ACL根據(jù)情況配置檢查源IP地址、目的IP地址、網(wǎng)絡(luò)協(xié)議和端口號(hào)等,主要使用以下2種。
1.標(biāo)準(zhǔn)訪問(wèn)控制列表是最簡(jiǎn)單的ACL,格式:
access-list ACL號(hào)permit|deny主機(jī)IP地址
2.擴(kuò)展訪問(wèn)控制列表是一種高級(jí)ACL,格式:
access-list ACL號(hào)[permit|deny][協(xié)議][定義過(guò)濾源主機(jī)][定義過(guò)濾源端口][定義過(guò)濾目的主機(jī)][定義過(guò)濾目的端口]
實(shí)際應(yīng)用中,還要分清ACL所應(yīng)用的接口及其方向。
1.限制計(jì)算機(jī)病毒傳播。由于微軟操作系統(tǒng)的漏洞,一些病毒或木馬軟件使用UDP端口135、137等和 TCP端口135、137、9996等進(jìn)行傳播,可設(shè)置ACL規(guī)則關(guān)閉這些端口,阻礙其傳播,有利于病毒的查殺。比如關(guān)閉UDP和TCP135端口。
access-list 101 deny udp any any eq 135
access-list 101 deny tcp any any eq 135
access-list 101 permit ip any any
2.屏蔽非法主機(jī)通信。假設(shè)一臺(tái)主機(jī)ip 172.22.10.5非法進(jìn)入網(wǎng)絡(luò) (或者感染了病毒),那么可以采用ACL策略,限制該主機(jī)的數(shù)據(jù)傳輸。
access-list 3 deny 172.22.10.5
access-list 3 permit ip any any
int f1/0
ip access-group 3 in
exit
3.保護(hù)CTC中心服務(wù)器安全。CTC中心服務(wù)器作為網(wǎng)絡(luò)中樞,對(duì)所有的網(wǎng)絡(luò)終端都是可訪問(wèn)的,這樣也很容易招來(lái)黑客和病毒的攻擊,通過(guò)設(shè)置車(chē)站路由器ACL可以將除了必用服務(wù)端口之外的其他端口都關(guān)掉。假設(shè)172.22.10.1為中心服務(wù)器,必用服務(wù)端口為99,協(xié)議為T(mén)CP。
access-list 101 permit tcp any 172.22.10.1 0.0.0.0 eq 99
access-list 101 deny any
4.保護(hù)CTC車(chē)站車(chē)務(wù)終端不被非法登錄。為了防止非法用戶遠(yuǎn)程登錄車(chē)站車(chē)務(wù)終端 (一般使用PC Anywhere軟件),非法操作而危及行車(chē)安全,可以設(shè)置ACL只允許正常合法的維修終端訪問(wèn),其他主機(jī)遠(yuǎn)程登錄均禁止。假設(shè)合法的維修終端為172.22.10.201,PC Anywhere使用的默認(rèn)端口號(hào)為tcp,5631,udp,5632。
access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq 5631
access-list 101 permit udp any 172.22.10.201 0.0.0.0 eq 5632
access-list 101 deny any
5.保護(hù)車(chē)站自律機(jī)安全。自律機(jī)是分散自律調(diào)度集中系統(tǒng)的車(chē)站核心設(shè)備,負(fù)責(zé)與聯(lián)鎖、列控及中心服務(wù)器交換信息,使用定制的LINUX操作系統(tǒng)。正常通過(guò)telnet和ftp訪問(wèn)。為了防止其被非法操作,同樣可以設(shè)置ACL只允許合法的維修終端訪問(wèn)。
假設(shè)合法的維修終端為172.22.10.201.
access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq telnet
access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq ftp
access-list 101 deny any
路由器ACL功能靈活、使用方便,這對(duì)網(wǎng)管人員也提出了更高的要求。在CTC路由器ACL配置上述實(shí)例,可以實(shí)現(xiàn)訪問(wèn)控制,使路由器發(fā)揮防火墻作用,降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。隨著CTC網(wǎng)絡(luò)的不斷擴(kuò)展,網(wǎng)絡(luò)安全問(wèn)題也日益突出,網(wǎng)絡(luò)維護(hù)人員應(yīng)根據(jù)本單位具體網(wǎng)絡(luò)需求情況,認(rèn)真分析配置ACL,不允許有絲毫差錯(cuò)。
[1] [美]Brenton,C.Cisco.王軍譯.路由器從入門(mén)到精通[M].電子工業(yè)出版社,2003.
[2] 譚浩強(qiáng).Cisco路由器實(shí)用技術(shù)[M].北京:中國(guó)鐵道出版社,2006.