摘要:
最近安全新媒体《安全客》发布2016年全球十大网络安全事件,排在第二德国90万家庭断网遭黑客蓄意入侵和第四的美国遭史上最大规模DDoS攻击、东海岸网站集体瘫痪两起安全事件,均是用户侧的终端被入侵,这一次次警醒我们要做好IPTV的网络安全保障。这篇文章是2013年写的,2016年12月稍微再整理了再回顾了一遍,还是很有意义的。
本文分析了IPTV业务系统面临的网络安全TOP威胁和自身的脆弱性,提出了针对性的IPTV系统网络安全防护策略,并把细化策略措施在G省的IPTV平台现网网络中加以实践,验证了策略的有效性,保障了G省的IPTV业务系统的网络安全,为业务发展和用户业务体验保驾护航。
关键字:IPTV CDN 网络安全 防护策略
1 IPTV系统面临的TOP网络安全威胁
国内运营商IPTV业务系统通常部署在独立的物理专网或逻辑专网(使用公网IP,但路由上通过ACL访问策略隔离)上,向省内电信用户提供IPTV视频服务。近几年业界OTT发展迅速,电信要实现向用户提供OTT业务(例如提供多屏业务、向公网开放IPTV业务等),可选择新建开放的OTT平台,或可直接把原有的专网IPTV平台改造演进为开放的IPTV平台,显然后者的投资成本更小、建设周期更短,因此当前已有多省改造演进原有的IPTV平台为开放的IPTV平台,实现了同时融合提供OTT和IPTV业务。
然而,当下开放的IPTV的平台面临着诸多严峻的网络安全风险,根据维护经验,IPTV面临的TOP3网络安全风险为:
-
第一,平台设备和终端机顶盒被入侵控制成为肉鸡,被黑产利用对外进行DDOS流量攻击。这是因为IPTV平台中CDN节点、服务器数量多,设备性能高、出口带宽大,一省的CDN设备量通常有数千台、出口总带宽达到T bit级,每台CDN设备网卡带宽通常是1G以上,甚至可达10G,因此即使控制少量几台,对目标IP发起DDOS攻击,很容易产生数G甚至上百G的DDOS攻击流量,攻击能取得到立竿见影的效果,因此IPTV的主机是黑产眼中最理想的肥肉鸡。例如,在图1中,通过异常流量监控系统NTG监控显示,2013年Z市IPTV有4台主机被控为肉鸡,在凌晨0点至6点间发起对外DDOS攻击,攻击流量约2.5G/s,DDOS除了会造成被攻击目标瘫痪外,也会消耗受控主机的CPU和上行链路带宽,影响受控机上正常业务。
图1 NTG监控系统发现IPTV有主机对外发起DDOS攻击 -
第二,篡改EPG和节目内容。IPTV的开放化,则内容服务器更多的暴露在公共互联网上,恶意的入侵,可能会篡改IPTV的EPG页面、节目内容或海报图片等,如果内容被恶意篡改为涉黄、反动等内容,会对电信IPTV品牌和业务造成信任危机,同时会带来政治、法律上的风险。2014年8月1日19点至次日凌晨6点,W市的网络电视平台遭到黑客入侵,EPG被篡改并出现大量政治敏感内容,影响50万用户,如图2,这再次为我们的IPTV业务运营和运行敲响警钟。
图2 W市网络电视平台被入侵、内容被篡改 -
第三,节目内容盗播。早期IPTV平台厂家开发的系统多部署在专网内,未过多考虑视频防盗链功能,即使后来平台侧也开发了新版本支持防盗链,但由于早期生产的终端机顶盒性能低、软件版本已EOS很难升级到兼容防盗链功能,为兼容这部分终端,目前多省的IPTV平台,仍然面临无法支持节目内容防盗链功能,因此只要抓取机顶盒访问的视频URL,把URL经过简单编辑就可搭建外挂EPG,直接调用运营商CDN上的视频资源播放,淘宝上已有各种渠道流出或国内各省窜货的盒子,采用这种盗播方式在销售,见图3。恶意者搭建简易EPG,如图4,不仅盗取了电信运营商IPTVCDN计算资源进行视频播放,可能会导致运营商CDN服务能力下降或瘫痪,例如2013年H省的某CDN节点下流媒体服务器视频流并发负荷大常导致链路拥塞,经查是有很多外部的视频盗链,如图5。并且恶意者盗用EPG,可能会在EPG中融入涉黄内容,而销售给用户的终端是各种渠道流出的电信运营商的IPTV终端,终端上仍然有运营商的LOGO,这很容易被误认为是运营商的IPTV存在涉黄等信息安全风险。
图3 淘宝上销售的IPTV盗播盒子
图4 自搭建EPG运营
图5 某省IPTV节目链接被盗取
入侵和盗取内部数据方面,S市T运营商拥有庞大的网络电视用户,模拟黑客通过其EPG中的IP设置选项,把接机顶盒的网线插入PC后,PC能获取到IP等信息,之后利用漏洞和弱口令扫描器进行爆破渗透,可渗透到内网盗取内部信息,盗取到了很多内部数据,如图6。
图6 S市T运营商网络电视平台被入侵内部数据被盗取
2 IPTV系统的脆弱性
随着IPTV系统逐步走向公网开放,前述的分析显示,IPTV所面临的TOP3网络安全风险,无论是控制肉鸡发起DDOS攻击、篡改EPG或节目内容、还是盗取内部数据,其实现途径都是入侵到IPTV系统内部服务器,因此我们需要分析IPTV系统自身的脆弱性,研究恶意者入侵的方法,进而针对性地设计和实施对应的安全防护举措。
从维护经验看,访问控制策略缺失或不当、口令泄漏、系统和服务漏洞、重要基线项无配置或配置不当,是IPTV的主要脆弱性,也是导致被入侵的主要原因。
在网络访问控制策略方面,IPTV的CDN节点,除了向公网开放访问,上下级之间CDN节点还需要互访进行内容分发、业务管理和设备管理,这意味着IPTV系统的网络安全域范围较大,且一个CDN节点内部的主机,一般是一个局域网,主机之间路由可达,如果发生一台主机被入侵,则黑客通常会通过这台肉鸡做跳板,采用NMAP等扫描工具,对内网、对相近IP网段进行批量扫描,踩点找到更多的存活和存在特定的高危端口(如22、21、23、8899、1521、3306等)的主机,进而采用破解工具进行密码爆破,另外由于IPTV系统设备量巨大,对同类设备,管理员常对某个账号设置相同的密码,因此只要有一台被攻破,通常会有一批主机也跟着沦陷。因此需要在可维性和安全性之间找到一个平衡点,设置合理的网络安全访问策略来减小IPTV平台在互联网的暴露度以提升系统安全性。
口令的泄漏方面。随着维护人员的安全意识提高和安全技术和管理手段健全,系统出现弱口令的几率在下降,但维护经验发现,黑客收集的密码字典和所要渗透的业务平台越来越有针对性,呈现出密码字段精简(图7)、或从被入侵主机的history、messages、passwd和各种系统或业务config文件中分析、攫取可能的密码加入到字典中。例如国内电信各种业务平台软硬,主要由HW、ZTE等主要电信设备厂家提供,厂家的设备存有各种默认的账号密码,例如,hwadmin:hwadmin、zte:zte,由于系统交付没及修改默认口令,导致G市DCN网多台有该账号密码的设备被渗透控制;又如,由于厂家或电信管理员,编写Shell脚本对设备进行辅助监控或日常维护,可能Shell配置文件中含有账号密码,或管理员对一批设备定期批量修改账号密码,由于设备数量多,可能会采用脚本的方式修改,则可能会在history中留下了明文的修改后的密码痕迹未及时擦除等,只要黑客突破某台主机就能很容易翻查出这些密码信息或者安装上后门软件捕抓到管理员修改账号的密码;又如,互联网上如百度文库,有大量的电信各种相关业务系统、厂家设备的培训、介绍文档,里面包含了账号密码等敏感信息,黑客也能搜索到并加入到密码字典中进行爆破。
图7 黑客的密码字典有针对性
图8 百度搜索到电信含账号密码的各种文档
系统和服务漏洞方面,IPTV平台通常由业务能力服务层(如视频流服务、EPG服务)、业务控制层(调度、认证鉴权)、业务管理层(业务、用户、产品数据管理)、业务支撑层(内容分发、网管、报表等)以及衍生的各种其他子系统组成,系统功能模块众多架构复杂规模庞大,因此各种功能模块的中间件、应用软件可能由于版本低,没有及时升级,存在漏洞,例如SUSE10SP2及以前版本存在提权漏洞,OpenSSH、Jboss、Tomcat、Strus2、Oracle等低版本的中间件存在可远程执行代码、重定向攻击、溢出攻击、信息泄漏、跨站等众多高危漏洞,厂家开发的应用软件也存在各种漏洞,如HW厂家开发的iDeploy软件部署工具存在上传漏洞,黑客利用该漏洞上传后门木马可控制主机。
在重要基线项无配置或配置方面,电信集团公司[2011]555号文和[2014]528号文,规定了操作系统和主要第三方软件的基线配置规范,但在现网中,难以所有设备百分百按基线规范配置,例如由于历史原因某些应用服务直接运行在root下,无法一刀切限制root远程登录;又或者由于工程建设期安全措施滞后或日常管理的不当,可能导致设备未及时配置输入错误超过阀值次数锁定等基线项,导致了入侵者只要突破了一台设备,就可以大概率地在相同或临近网段发起密码猜解爆破行为。
3 IPTV网络安全防护策略设计
最大化减小IPTV面临的TOP3风险,就是要做好访问控制策略配置、防范口令泄漏、修补存留漏洞和严格落实基线配置,而其中重中之重,就是要设计和实施合理的访问控制策略,这是因为访问控制策略是系统的大门,完善的访问控制策略可以在一定程度上弥补其他安全措施不当或缺失带来的脆弱性。而访问控制策略,需要结合业务需求,基于IPTV现状,我们设计了G省的IPTV网络访问控制策略如下,这也是对集团关于业务平台安全域划分策略在现网的应用实践。
IPTV平台由多级CDN节点组成,各级CDN节点通常对接城域网或骨干网核心路由设备,而用户终端通过OTT网络域拨号或共享家庭AD宽带网络接入访问各级CDN节点,如图9所示,C区的用户通过B区接入承载网络访问A区的IPTV CDN资源,可见A区的平台服务器和C区的终端都暴露在开放的互联网上,因此需要从IPTV平台的出口网络边界上,实施合适的访问控制策略,达到在满足最小化的业务运行需求的同时最小化平台的暴露,从而减少面临安全风险。
在IPTV的CDN节点内部,通常由出口交换机、防火墙、主机操作系统以及其上的应用服务组成,CDN上下级节点之间需要互访实现内容在整个CDN网内之间的分发。如图10所示,CDN节点出口网络交换机和防火墙,可通过配置网络层的访问控制列表ACL来匹配外部网络对CDN必要的访问需求,达到阻挡非受信外部网络访问,起到保护CDN内部网络的目的;而CDN内部服务器操作系统内置的iptables防火墙、tcpwrap(hostsallow|deny)列表可配置网络层和传输层的更细颗粒度访问控制策略,如允许CDN内部指定IP或协议的互访,达到规避CDN出口网络策略被突破后CDN内部服务器之间的相互入侵风险;服务器上应用服务自身也有访问控制策略,如SSH、FTP等服务,可通过配置应用层的白名单,限制非法请求,达到即使网络策略和主机操作系统防护策略失效后,应用服务自身还有最后一道安全防线。
图9 IPTV系统在网络中的位置
图10 IPTV系统内部边界
4 G省IPTV网络安全防护策略实践
根据1和2的分析,我们提出了3中的IPTV网络安全防护策略,从2013年以来,我们把这套策略在G省的IPTV平台上进行了实践,具体实践的措施包括如下:
| IPTV安全项目 | IPTV设备类型 | 采取的安全措施 |
|---|---|---|
| 访问控制策略 | 网络设备 | (1)筑起防线,实现本地平台只向本地网IP开放,最小化本地网平台的暴露度,降低被攻击和节目导播的风险;(2)最小化系统运行和运维需要的SSH和FTP等协议的互访需求,降低系统暴露度;(3)出方向限制IP,大大降低了平台对外DDOS攻击的价值,即使平台被入侵,也失去了DDOS的价值。 |
| 访问控制策略 | 服务器 | 主机本身再筑防线,从传输层和应用层上增强访问安全控制,降低CDN节点内部网络被突破后,渗透在平台内部扩散的风险。 |
| 基线配置 | 所有 | 解决基线配置不规范,厂家部分设备不支持或业务需求原因无法实现基线配置需求,存在安全隐患容易被攻击入侵的风险 |
| 漏洞修补 | 所有 | 作系统、第三方软件、应用软件存在多种中高危漏洞,需要修复 |
| 安全维护 | 所有 | 完善安全手段和工具,提升安全监控和维护的效率和成效 |
采取上述措施后,我省IPTV平台网络安全防护效果较明显,例如SOC日志监控显示,每天IPTV网络交换机和防火墙,都拦截了大量的各种网络扫描和攻击;实施访问控制策略后,IPTV系统也未再发生主机被劫持对外发起DDOS流量攻击;IPTV平台的漏洞数量也从2013年的3000多个下降到了当前的个位数;同时,我们还在IPTV内部部署了蜜罐系统和日志审计系统,辅助监测异常入侵事件。
5 IPTV网络安全展望
IPTV/OTT系统面向互联网开放,面临的网络安全威胁繁多,且由于平台架构复杂、设备规模庞大、业务需求复杂,自身脆弱性较多,综合面临的风险较高,除了采取本文提到的技术层面的安全防护策略,仍有许多需要探索和完善,如终端安全等,同时一定要有合理的网络安全组织架构、匹配的安全运维力量和安全管理机制,并在生产实践中不断地试错和完善,形成贯穿从系统的扩容规划、建设、投产和退网全生命周期的网络安全防护体系,才能游刃地应对严峻的网络安全形势和挑战。
