科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道MPLS VPN安全问题探讨

MPLS VPN安全问题探讨

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

首先指出MPLSVPN可能受到的安全威胁,然后分析了三层VPN、二层VPN在数据面、控制面和管理面上传送信息的安全性,提出目前在网络上可以采用的安全措施。

作者:吴英桦 来源:泰尔网 2008年6月19日

关键字: VPN MPLS

  • 评论
  • 分享微博
  • 分享邮件

  IP/MPLSVPN技术采用了严格的路由信息隔离机制,同时采用面向连接的方式在运营商边界(PE)设备之间建立标记交换隧道来传送用户信息,在一定程度上保证了用户信息传送的安全性。但作为基于IP的技术,其安全性是相对于普通的IP数据业务而言的,IP/MPLSVPN仍然有可能遭受来自IP网络的攻击,因此仍需采用必要的安全措施来保障系统的安全性。

  一、IP/MPLSVPN面临的安全问题

  IP/MPLS系统的信息传送和处理分为控制面、数据面和管理面三个层面。控制面完成路由信息的交换和处理,建立并维护VPN路由表;数据面完成VPN用户数据包的转发功能;管理面完成设备的配置管理及相应管理信息的传送功能。对系统安全的威胁也往往针对这三个层面。

  1.来自控制面的安全威胁 

  控制面上,提供VPN业务的运营商边界路由器(PE路由器)之间要交换VPN路由信息,运营商IP网络上的路由器(P路由器)要交换公网路由信息,安全性攻击主要针对这两类设备。因此,控制面上的安全威胁主要来自两个方面:一方面是攻击者对路由协议进行攻击,主要由非法交换路由信息而造成;另一方面是攻击者对路由器设备发动攻击而使得路由器无法正常工作造成的。

  (1)对VPN路由协议的攻击

  对业务提供商(SP)设备上运行的支持VPN业务的路由协议进行攻击,通常在成员发现和路由信息发布阶段进行。例如,攻击者伪装成某个PE设备与SP的PE设备建立会话连接并交换路由信息,造成VPN内部路由的泄漏;攻击者还可以通过伪造或篡改路由信息,使用户的数据流传往错误的方向,以便窃听和分析用户的内部信息,从而进行下一步的攻击。

  (2)对网络基础设施的攻击

  由于网络上的用户数据包和路由协议包是共享带宽传送的,因此过多的用户业务流有可能造成网络和设备资源被耗尽,使路由信息无法正常传送和处理,构成安全威胁,这是一种以“资源挤占”为手段的攻击方式。对PE或P路由器的拒绝服务(DoS)攻击会影响和破坏路由信息的正常传送,防碍路由信息的建立和维护,从而影响VPN数据包的转发处理,进而影响到用户业务。

  2.来自数据面的安全威胁

  IP/MPLSVPN提供了严格的路由隔离机制,VPN用户之间的信息传送是严格隔离的,在建立专网、使用专用的网络资源(包括PE路由器、P路由器、中继线路等)开放业务的情况下,数据面上VPN用户的信息传送有可靠的安全保障。数据面上的安全威胁主要表现为以下两个方面:

  (1)来自Internet的安全威胁

  在VPN用户访问Internet的情况下,攻击者可以通过IP源地址欺骗、TCP会话劫持、种植特洛伊木马等Internet上传统的攻击手段发起攻击,对用户数据流进行非授权的查看、修改、伪造和删除等操作,对设备发起DoS攻击。

  (2)来自共享设备的安全威胁

  IP/MPLSVPN业务可以利用非专用网络开放,普通的IP用户和VPN用户可以共用网络资源(例如P路由器、中继线路等)。这种情况下,虽然VPN采用的隧道机制可以在一定程度上保证信息传送的安全性,但所有的安全措施只是提高了安全防卫的门槛,使黑客实施攻击的难度大大增加,却并不能完全排除攻击者非法捕获、伪造和重放标记包的可能性,VPN用户信息传送的安全性仍面临威胁。

  3.来自管理面的安全威胁

  管理面上的安全威胁一方面来自网络黑客的攻击,一方面则是由于管理员的误操作造成的。

  (1)通过管理接口攻击SP的设备

  这种安全威胁主要表现为:攻击者以远程接入方式经网络接入网管系统(例如采用拨号方式接入,利用telnet或http访问网管接口),通过口令猜测等手段非法获得网管接口的访问控制权,非法访问SP基础设施的管理系统,对设备中的配置管理信息进行查看,非法提取信息(例如统计、拓扑信息等)甚至对设备配置进行改动,通过种植病毒、木马、开后门等恶意手段实施攻击。

  (2)“资源挤占”影响或破坏管理信息的传送

  如果管理信息不是通过专门的传送通道、采用“带外”方式传送,而是与VPN的数据流、控制流共用网络资源,那么同样会因为攻击者过度挤占网络资源而无法正常传送。

  (3)管理员误操作导致的内部信息泄漏

  VPN之间的地址空间和路由空间是严格隔离的,在正确的配置下可以保证VPN之间的路由信息不相互泄漏。在VPN数量较多、配置管理比较复杂的情况下,管理员的误操作有可能造成VPN之间的交错连接,VPN内加入了错误的成员,造成路由信息的错误传送以及泄漏。

  二、三层VPN的安全模型

  三层VPN(又称边界网关协议(BGP)MPLSVPN)系统为用户提供三层路由的维护管理功能,运营商的PE设备为用户建立虚拟路由表(VRF),将用户边界(CE)设备发来的路由注入本地的VRF中,并通过多协议扩展BGP(MP-BGP)协议与远端PE交换VPN路由信息,将VPN路由信息传送到远端PE的相应VRF中。从VPN用户角度看,整个系统就像一个覆盖广域网的专门为自己服务的虚拟路由器,使用起来安全方便。MPLSVPN系统的构成如图1所示。

  图1三层IP/MPLSVPN系统结构

  三层IP/MPLSVPN网络系统必须保证控制面路由信息传送的准确可靠性,保证数据面用户数据传送的私密性、准确性和完整,保证管理面上配置信息的安全性。为了支持这些功能,网络设备本身必须具备一定的抗攻击能力,安全上应考虑如下三个方面的问题:

  ·控制面上CE-PE、PE-PE之间VPN路由信息传送的安全性;

  ·数据面上CE-PE、PE-PE、CE-CE之间VPN用户数据传送的安全性;

  ·管理面上管理信息的安全性。

  1.三层VPN控制面的安全性

  (1)PE-CE间VPN路由信息传送的安全性

  CE通过BGP、开放最短路径优先(OSPF)协议、路由信息协议(RIP)或中间系统-中间系统(ISIS)等路由协议将本地站点的路由信息传送给PE(也可以通过静态设置方式使PE获取路由),控制面上首先要保证这些路由信息传送的安全性。

  VPN用户的CE设备如果是通过专线(如ATM、帧中继(FR)等)接入PE设备,或者通过以太网交换机以虚拟局域网(VLAN)方式接入,因为CE到PE之间的数据链路通常是由网络管理员建立的,非法CE设备很难以冒名顶替的方式介入,所以与PE设备建立连接并交换路由信息时,CE与PE之间路由信息的传送路径本身可保证一定的安全性。在这种情况下,运营商如果考虑业务开放的成本和配置的简单化,可以允许CE接入时不经过认证。

  VPN用户的CE设备如果以无线方式接入,或者通过IP网络远程接入,则要求对CE设备进行认证,在经过认证之后才允许进行路由信息的交换。对于基于TCP的路由协议(如BGP),通常使用TCP认证来保证路由信息的可靠性和完整性,其他路由协议(如OSPF、ISIS等)可以采用自身的认证机制。

  (2)PE路由器之间VPN路由信息传送的安全性

  PE路由器之间通过MP-BGP协议交换路由信息,PE路由器之间路由信息的传送要经过一个或多个P路由器,非法用户有可能采用源地址欺骗等手段要求与PE路由器建立连接并交换VPN路由信息。因此,PE路由器不应该在控制连接上任意与另外一个对等体通信,除非它确信这个对等体确实是合法的。否则,可能会导致VPN路由泄漏、用户数据信息被传往错误的方向、受到DoS攻击或者用户期望的QoS发生了变化等不良后果。

  运营商对PE路由器之间MP-BGP路由信息的交换应强制执行认证功能,每个PE路由器都应在认证的基础上接受来自其他实体的连接请求,以防止非法用户对路由信息的窃取和攻击。PE之间的VPN路由信息是通过MP-BGP传送的,可以使用TCP认证算法对MP-BGP消息的完整性进行保护,保证路由信息的来源可靠,而且在传送过程中未被修改。

  (3)网络基础设施的安全性

  MPLSVPN系统是由运营商PE路由器和P路由器相互连接构成的,这两类设备自身的安全性是保证整个系统安全性的关键。

  PE路由器承担着为用户建立虚拟路由表、转发VPN用户数据包的任务,P路由器为VPN业务提供传送通道,PE路由器和P路由器如果受到过大业务量的冲击而不能正常工作甚至瘫痪,必然会影响VPN业务的正常运作。因此,PE路由器和P路由器上应采取流量控制措施,PE路由器上应对每个接入用户的流量进行限制;P路由器上应采取单播反向路径转发(URPF)检查、设置过滤器、关闭Internet控制消息协议(ICMP)功能等流控措施来防范DoS攻击。

  2.三层VPN数据面的安全性

  在数据面上,用户IP包从CE传送到PE,在PE上被打上标记,形成标记包经MPLS网络内的一个或多个P路由器传送,送达对端PE之后,包的外层标记被去掉,内层封装的IP包被传送给对端CE。数据面的安全性主要考虑防止用户数据包被非法截获和篡改,采取的主要安全措施是加密,通常采用IPSec加密方式。

  (1)CE-PE数据信息的加密传送

  如果用户以专线方式(如ATM、FR等)接入,或通过以太网交换机VLAN方式接入,传输路径是由网络管理员配置调度的,CE与PE之间的传输路径相对来说比较安全,如果考虑业务开放的成本和配置的简单化,可以允许用户信息以非加密方式接入。如果用户以无线方式接入,或者通过IP网络远程接入,则通常采用加密接入方式。

  (2)PE-PE数据信息的加密传送

  PE-PE数据信息的加密传送功能是由运营商的网络边缘设备完成的,用户设备无需进行特别的配置,由运营商的PE设备完成基于IPSec的加密功能,是基于网络的加密模式。

  为了保证数据传送的安全性,可以用基于IPSec的安全IP隧道传送MPLS包,即将MPLS包封装到IPSec的载荷部分传送。PE之间数据的安全封装传送存在两种方式:MPLS-in-IP和MPLS-in-GRE,这两种封装方式实际上是在PE之间建立了一条基于IPSec的安全IP隧道,这是IETF提出的加密方式。

  对于一般的企业用户,PE之间信息的传送可以不采用加密方式,这是因为PE之间的加密方式信息传送的开销比较大,而VPN自身的安全性已经可以满足普通用户的安全性要求,应尽量避免给设备带来额外的加密和解密的处理负担。此外,如果需要支持国家网络的信息安全功能,在PE路由器和P路由器上设置信息检测点,就需要要求PE间信息的传送不加密。

  (3)CE-CE数据信息的加密传送

  CE-CE用户数据的加密和解密功能完全可以在VPN用户的CE设备上完成,运营商网络只是提供了加密数据包的透明承载通道,不参与加密过程中的任何操作。这样做需要付出一定成本,一般企业用户可以不使用这类加密传送方式,仅利用VPN自身的安全机制来保证信息传送的安全性即可。

  CE-CE数据信息的加密传送也可以由SP来支持。为了支持这一功能,运营商需要维护一个安全VPN数据库,CE设备要从数据库中提取信息,完成安全配置并建立基于IPSec的安全隧道,通过安全隧道传送VPN用户的数据包。IETF为运营商支持的CE-CE数据信息加密传送提供了一种实现方案,在这个方案中,SP要提供安全服务器,在服务器上维护管理一个安全数据库,这个数据库可以为多个VPN提供服务。

  3.三层VPN管理面的安全性

  三层VPN管理面的安全性表现为如下三个方面:

  (1)网管系统访问控制的安全性

  黑客对网管系统的攻击主要是通过网管接口实施的,因此对管理接口的访问都要经过认证,以防止攻击者对管理信息的窃取和恶意篡改。

  (2)网管信息传送通道的安全性

  为了防止由于资源挤占而影响网管信息的正常传送,可以让管理终端以带外的方式访问管理接口,使用的链路可以是物理上或逻辑上与VPN的其他基础设施隔离开的。如果管理终端以带内的方式访问管理接口,则可以使用过滤器或防火墙技术限制非授权用户的访问。

  (3)设备配置的正确性

  运营维护人员应保障VPN设备配置的正确性,防止由于配置操作不当而导致用户数据的泄漏。

  三、二层VPN的安全模型

  二层VPN技术是为了充分利用IP/MPLS网络资源来支持数据业务而推出的,用IP/MPLS网络为二层数据链路包(如ATM信元、FR帧、以太网帧)提供传送通道,以便实现IP网和数据网的融合,目前的二层VPN技术主要有两种形式,即虚拟专用线路业务(VPWS)和虚拟专用局域网业务(VPLS)。下面分别从控制面、数据面两个方面对其安全性进行分析,管理面的安全特性及可采取的安全措施与三层VPN类似,在此不再赘述。

  1.VPWS的安全模型

  VPWS系统在PE之间建立伪线路(PW)连接,该连接对应于用户的二层接入电路(AC),AC可以是以太网、ATM或FR链路。VPWS系统通过伪线路将网络两侧的AC连接起来,通过PE之间的包交换网络(PSN)隧道(例如MPLS隧道)来传送用户的二层链路帧,可以支持多条伪线路在一条PSN隧道内的复用。系统模型如图2所示。

  图2VPWS系统结构

  VPWS为用户提供的伪线路是在PE之间通过信令建立的,用户数据通过建立好的伪线路进行端到端传送,系统的安全性决定于如下三个方面:

  ·控制面PE-PE信令传送的安全性;

  ·数据面CE-CE、PE-PE用户数据传送的安全性;

  ·管理面管理信息的安全性。

  (1)VPWS控制面的安全性

  在控制面上,VPWS通过BGP或标记分配协议(LDP)建立伪线路。一个PE不应该在控制连接上与另外一个PE通信,除非它确信这个对等体确实是一个它想要与之建立伪线路的PE,否则可能会把二层VPN流量发送到错误的地方。

  因此,对于PE之间的控制连接,也建议运营商采用某种认证机制。对于采用TCP方式传送的信令,可以利用TCPMD5选项作为PE-PE之间的认证方式,这要求PE之间使用一个共享的密钥。如果控制协议要使用用户数据报协议(UDP)消息,也应采用某些认证保护机制,有关技术正处于研究之中。

  VPWS系统由PE路由器和P路由器相互连接构成,PE路由器和P路由器的安全性同样关系到整个系统的安全性,应采取一些措施防范恶意攻击,主要是DoS攻击:PE路由器上应对用户的接入速率进行限制;P路由器上应采取URPF检查、设置过滤器、关闭ICMP等措施对流量进行控制。

  (2)VPWS数据面的安全性

  目前VPWSCE设备通常采用ATM、FR、以太网等二层链路接入运营商的PE设备,这种接入电路是通过网管人员调配的,本身具有较强的安全性。但PE设备之间的连接经过了IP网络,因此仍有可能遭受攻击。

  二层VPN的加密技术具有一定的复杂性,因为IPSec等常用的加密方式是在IP层上进行的,如果要对通过IP网传送的二层链路帧进行加密,则要进行一系列复杂的封装转换处理,信息传送的开销比较大。此外,运营商通过隧道机制实现了二层链路帧的端到端传送,本身具有一定的安全性。虽然运营商有可能利用某种方式实现二层链路帧的加密传送,但这种做法的必要性仍不明确,是否需要加密以及如何加密仍有待研究。

  2.VPLS的安全模型

  VPLS的解决方案实际上是对VPWS解决方案概念的扩展,通过在PE之间建立一个全网状的伪线路连接来仿真多点到多点的连接。除此之外,VPLS系统可以向用户提供基于以太网的桥接接入方式,具备媒体接入控制(MAC)路由学习和二层交换功能,使得整个VPLS系统的外在表现类似于一个功能强大的二层交换机。VPLS的系统模型如图3所示。

图3VPLS/IPLS系统结构

  VPLS系统首先要为用户提供伪线路,同时在通信过程中完成MAC地址的学习功能,以及MAC单播和广播包的转发功能,系统的安全性决定于如下三个方面:

  ·控制面PE-PE信令传送的安全性;

  ·数据面CE-CE、PE-PE用户数据传送的安全性;

  ·管理面管理信息的安全性。

  (1)VPLS控制面的安全性

  控制面上,VPLS使用与VPWS相同的机制建立伪线路,PE之间建立伪线路时也应采用同样的安全认证机制。

  对于PE之间的控制连接,同样建议运营商采用某种认证机制。对于采用TCP方式传送的信令,可以利用TCPMD5选项作为PE-PE之间的认证方式,这要求PE之间使用一个共享的密钥。如果控制协议利用UDP消息,也应采用某些认证保护机制,有关技术正在研究之中。

  VPLS系统对网络基础设施采取的安全措施类似于VPWS:PE路由器上应对用户的接入速率进行限制;P路由器上应采取URPF检查、设置过滤器、关闭ICMP等措施对流量进行控制。

  (2)VPLS数据面的安全性

  与VPWS业务类似,VPLS传送的是二层链路帧,加密的必要性有待研究,加密技术目前也还没有切实可行的方案。

  此外,VPLS系统具有MAC地址学习和广播包的发送功能,如果某个CE设备发送大量的广播包,就会给很多接收广播包的PE设备和网络上的P设备带来较重的处理负担,如果这种发送是恶意的,就可能产生类似于DoS攻击的效果,使PE设备或P设备不能正常工作。

  为了保证系统的安全性,运营商应在PE上采取措施对广播信息的传送进行限制,例如对广播包的带宽进行限制等。

  四、结语

  通过MPLSVPN系统传送数据提高了用户信息在IP网络上传送的安全性,但这种安全性是相对而言的,需要采用必要的技术措施来保障。各种安全性措施都会增加设备的处理负担,业务运营部门应根据网络和业务的实际情况,对是否采用某种安全措施进行权衡,以便在充分保证业务安全的前提下尽量降低业务成本。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章