MPLS VPN安全问题探讨

　　ＩＰ／ＭＰＬＳＶＰＮ技术采用了严格的路由信息隔离机制，同时采用面向连接的方式在运营商边界（ＰＥ）设备之间建立标记交换隧道来传送用户信息，在一定程度上保证了用户信息传送的安全性。但作为基于ＩＰ的技术，其安全性是相对于普通的ＩＰ数据业务而言的，ＩＰ／ＭＰＬＳＶＰＮ仍然有可能遭受来自ＩＰ网络的攻击，因此仍需采用必要的安全措施来保障系统的安全性。

　　一、IP/MPLSVPN面临的安全问题

　　ＩＰ／ＭＰＬＳ系统的信息传送和处理分为控制面、数据面和管理面三个层面。控制面完成路由信息的交换和处理，建立并维护ＶＰＮ路由表；数据面完成ＶＰＮ用户数据包的转发功能；管理面完成设备的配置管理及相应管理信息的传送功能。对系统安全的威胁也往往针对这三个层面。

　　１．来自控制面的安全威胁　

　　控制面上，提供ＶＰＮ业务的运营商边界路由器（ＰＥ路由器）之间要交换ＶＰＮ路由信息，运营商ＩＰ网络上的路由器（Ｐ路由器）要交换公网路由信息，安全性攻击主要针对这两类设备。因此，控制面上的安全威胁主要来自两个方面：一方面是攻击者对路由协议进行攻击，主要由非法交换路由信息而造成；另一方面是攻击者对路由器设备发动攻击而使得路由器无法正常工作造成的。

　　（１）对ＶＰＮ路由协议的攻击

　　对业务提供商（ＳＰ）设备上运行的支持ＶＰＮ业务的路由协议进行攻击，通常在成员发现和路由信息发布阶段进行。例如，攻击者伪装成某个ＰＥ设备与ＳＰ的ＰＥ设备建立会话连接并交换路由信息，造成ＶＰＮ内部路由的泄漏；攻击者还可以通过伪造或篡改路由信息，使用户的数据流传往错误的方向，以便窃听和分析用户的内部信息，从而进行下一步的攻击。

　　（２）对网络基础设施的攻击

　　由于网络上的用户数据包和路由协议包是共享带宽传送的，因此过多的用户业务流有可能造成网络和设备资源被耗尽，使路由信息无法正常传送和处理，构成安全威胁，这是一种以“资源挤占”为手段的攻击方式。对ＰＥ或Ｐ路由器的拒绝服务（ＤｏＳ）攻击会影响和破坏路由信息的正常传送，防碍路由信息的建立和维护，从而影响ＶＰＮ数据包的转发处理，进而影响到用户业务。

　　２．来自数据面的安全威胁

　　ＩＰ／ＭＰＬＳＶＰＮ提供了严格的路由隔离机制，ＶＰＮ用户之间的信息传送是严格隔离的，在建立专网、使用专用的网络资源（包括ＰＥ路由器、Ｐ路由器、中继线路等）开放业务的情况下，数据面上ＶＰＮ用户的信息传送有可靠的安全保障。数据面上的安全威胁主要表现为以下两个方面：

　　（１）来自Ｉｎｔｅｒｎｅｔ的安全威胁

　　在ＶＰＮ用户访问Ｉｎｔｅｒｎｅｔ的情况下，攻击者可以通过ＩＰ源地址欺骗、ＴＣＰ会话劫持、种植特洛伊木马等Ｉｎｔｅｒｎｅｔ上传统的攻击手段发起攻击，对用户数据流进行非授权的查看、修改、伪造和删除等操作，对设备发起ＤｏＳ攻击。

　　（２）来自共享设备的安全威胁

　　ＩＰ／ＭＰＬＳＶＰＮ业务可以利用非专用网络开放，普通的ＩＰ用户和ＶＰＮ用户可以共用网络资源（例如Ｐ路由器、中继线路等）。这种情况下，虽然ＶＰＮ采用的隧道机制可以在一定程度上保证信息传送的安全性，但所有的安全措施只是提高了安全防卫的门槛，使黑客实施攻击的难度大大增加，却并不能完全排除攻击者非法捕获、伪造和重放标记包的可能性，ＶＰＮ用户信息传送的安全性仍面临威胁。

　　３．来自管理面的安全威胁

　　管理面上的安全威胁一方面来自网络黑客的攻击，一方面则是由于管理员的误操作造成的。

　　（１）通过管理接口攻击ＳＰ的设备

　　这种安全威胁主要表现为：攻击者以远程接入方式经网络接入网管系统（例如采用拨号方式接入，利用ｔｅｌｎｅｔ或ｈｔｔｐ访问网管接口），通过口令猜测等手段非法获得网管接口的访问控制权，非法访问ＳＰ基础设施的管理系统，对设备中的配置管理信息进行查看，非法提取信息（例如统计、拓扑信息等）甚至对设备配置进行改动，通过种植病毒、木马、开后门等恶意手段实施攻击。

　　（２）“资源挤占”影响或破坏管理信息的传送

　　如果管理信息不是通过专门的传送通道、采用“带外”方式传送，而是与ＶＰＮ的数据流、控制流共用网络资源，那么同样会因为攻击者过度挤占网络资源而无法正常传送。

　　（３）管理员误操作导致的内部信息泄漏

　　ＶＰＮ之间的地址空间和路由空间是严格隔离的，在正确的配置下可以保证ＶＰＮ之间的路由信息不相互泄漏。在ＶＰＮ数量较多、配置管理比较复杂的情况下，管理员的误操作有可能造成ＶＰＮ之间的交错连接，ＶＰＮ内加入了错误的成员，造成路由信息的错误传送以及泄漏。

　　二、三层VPN的安全模型

　　三层ＶＰＮ（又称边界网关协议（ＢＧＰ）ＭＰＬＳＶＰＮ）系统为用户提供三层路由的维护管理功能，运营商的ＰＥ设备为用户建立虚拟路由表（ＶＲＦ），将用户边界（ＣＥ）设备发来的路由注入本地的ＶＲＦ中，并通过多协议扩展ＢＧＰ（ＭＰ－ＢＧＰ）协议与远端ＰＥ交换ＶＰＮ路由信息，将ＶＰＮ路由信息传送到远端ＰＥ的相应ＶＲＦ中。从ＶＰＮ用户角度看，整个系统就像一个覆盖广域网的专门为自己服务的虚拟路由器，使用起来安全方便。ＭＰＬＳＶＰＮ系统的构成如图１所示。

　　图1三层IP/MPLSVPN系统结构

　　三层ＩＰ／ＭＰＬＳＶＰＮ网络系统必须保证控制面路由信息传送的准确可靠性，保证数据面用户数据传送的私密性、准确性和完整，保证管理面上配置信息的安全性。为了支持这些功能，网络设备本身必须具备一定的抗攻击能力，安全上应考虑如下三个方面的问题：

　　·控制面上ＣＥ－ＰＥ、ＰＥ－ＰＥ之间ＶＰＮ路由信息传送的安全性；

　　·数据面上ＣＥ－ＰＥ、ＰＥ－ＰＥ、ＣＥ－ＣＥ之间ＶＰＮ用户数据传送的安全性；

　　·管理面上管理信息的安全性。

　　１．三层ＶＰＮ控制面的安全性

　　（１）ＰＥ－ＣＥ间ＶＰＮ路由信息传送的安全性

　　ＣＥ通过ＢＧＰ、开放最短路径优先（ＯＳＰＦ）协议、路由信息协议（ＲＩＰ）或中间系统－中间系统（ＩＳＩＳ）等路由协议将本地站点的路由信息传送给ＰＥ（也可以通过静态设置方式使ＰＥ获取路由），控制面上首先要保证这些路由信息传送的安全性。

　　ＶＰＮ用户的ＣＥ设备如果是通过专线（如ＡＴＭ、帧中继（ＦＲ）等）接入ＰＥ设备，或者通过以太网交换机以虚拟局域网（ＶＬＡＮ）方式接入，因为ＣＥ到ＰＥ之间的数据链路通常是由网络管理员建立的，非法ＣＥ设备很难以冒名顶替的方式介入，所以与ＰＥ设备建立连接并交换路由信息时，ＣＥ与ＰＥ之间路由信息的传送路径本身可保证一定的安全性。在这种情况下，运营商如果考虑业务开放的成本和配置的简单化，可以允许ＣＥ接入时不经过认证。

　　ＶＰＮ用户的ＣＥ设备如果以无线方式接入，或者通过ＩＰ网络远程接入，则要求对ＣＥ设备进行认证，在经过认证之后才允许进行路由信息的交换。对于基于ＴＣＰ的路由协议（如ＢＧＰ），通常使用ＴＣＰ认证来保证路由信息的可靠性和完整性，其他路由协议（如ＯＳＰＦ、ＩＳＩＳ等）可以采用自身的认证机制。

　　（２）ＰＥ路由器之间ＶＰＮ路由信息传送的安全性

　　ＰＥ路由器之间通过ＭＰ－ＢＧＰ协议交换路由信息，ＰＥ路由器之间路由信息的传送要经过一个或多个Ｐ路由器，非法用户有可能采用源地址欺骗等手段要求与ＰＥ路由器建立连接并交换ＶＰＮ路由信息。因此，ＰＥ路由器不应该在控制连接上任意与另外一个对等体通信，除非它确信这个对等体确实是合法的。否则，可能会导致ＶＰＮ路由泄漏、用户数据信息被传往错误的方向、受到ＤｏＳ攻击或者用户期望的ＱｏＳ发生了变化等不良后果。

　　运营商对ＰＥ路由器之间ＭＰ－ＢＧＰ路由信息的交换应强制执行认证功能，每个ＰＥ路由器都应在认证的基础上接受来自其他实体的连接请求，以防止非法用户对路由信息的窃取和攻击。ＰＥ之间的ＶＰＮ路由信息是通过ＭＰ－ＢＧＰ传送的，可以使用ＴＣＰ认证算法对ＭＰ－ＢＧＰ消息的完整性进行保护，保证路由信息的来源可靠，而且在传送过程中未被修改。

　　（３）网络基础设施的安全性

　　ＭＰＬＳＶＰＮ系统是由运营商ＰＥ路由器和Ｐ路由器相互连接构成的，这两类设备自身的安全性是保证整个系统安全性的关键。

　　ＰＥ路由器承担着为用户建立虚拟路由表、转发ＶＰＮ用户数据包的任务，Ｐ路由器为ＶＰＮ业务提供传送通道，ＰＥ路由器和Ｐ路由器如果受到过大业务量的冲击而不能正常工作甚至瘫痪，必然会影响ＶＰＮ业务的正常运作。因此，ＰＥ路由器和Ｐ路由器上应采取流量控制措施，ＰＥ路由器上应对每个接入用户的流量进行限制；Ｐ路由器上应采取单播反向路径转发（ＵＲＰＦ）检查、设置过滤器、关闭Ｉｎｔｅｒｎｅｔ控制消息协议（ＩＣＭＰ）功能等流控措施来防范ＤｏＳ攻击。

　　２．三层ＶＰＮ数据面的安全性

　　在数据面上，用户ＩＰ包从ＣＥ传送到ＰＥ，在ＰＥ上被打上标记，形成标记包经ＭＰＬＳ网络内的一个或多个Ｐ路由器传送，送达对端ＰＥ之后，包的外层标记被去掉，内层封装的ＩＰ包被传送给对端ＣＥ。数据面的安全性主要考虑防止用户数据包被非法截获和篡改，采取的主要安全措施是加密，通常采用ＩＰＳｅｃ加密方式。

　　（１）ＣＥ－ＰＥ数据信息的加密传送

　　如果用户以专线方式（如ＡＴＭ、ＦＲ等）接入，或通过以太网交换机ＶＬＡＮ方式接入，传输路径是由网络管理员配置调度的，ＣＥ与ＰＥ之间的传输路径相对来说比较安全，如果考虑业务开放的成本和配置的简单化，可以允许用户信息以非加密方式接入。如果用户以无线方式接入，或者通过ＩＰ网络远程接入，则通常采用加密接入方式。

　　（２）ＰＥ－ＰＥ数据信息的加密传送

　　ＰＥ－ＰＥ数据信息的加密传送功能是由运营商的网络边缘设备完成的，用户设备无需进行特别的配置，由运营商的ＰＥ设备完成基于ＩＰＳｅｃ的加密功能，是基于网络的加密模式。

　　为了保证数据传送的安全性，可以用基于ＩＰＳｅｃ的安全ＩＰ隧道传送ＭＰＬＳ包，即将ＭＰＬＳ包封装到ＩＰＳｅｃ的载荷部分传送。ＰＥ之间数据的安全封装传送存在两种方式：ＭＰＬＳ－ｉｎ－ＩＰ和ＭＰＬＳ－ｉｎ－ＧＲＥ，这两种封装方式实际上是在ＰＥ之间建立了一条基于ＩＰＳｅｃ的安全ＩＰ隧道，这是ＩＥＴＦ提出的加密方式。

　　对于一般的企业用户，ＰＥ之间信息的传送可以不采用加密方式，这是因为ＰＥ之间的加密方式信息传送的开销比较大，而ＶＰＮ自身的安全性已经可以满足普通用户的安全性要求，应尽量避免给设备带来额外的加密和解密的处理负担。此外，如果需要支持国家网络的信息安全功能，在ＰＥ路由器和Ｐ路由器上设置信息检测点，就需要要求ＰＥ间信息的传送不加密。

　　（３）ＣＥ－ＣＥ数据信息的加密传送

　　ＣＥ－ＣＥ用户数据的加密和解密功能完全可以在ＶＰＮ用户的ＣＥ设备上完成，运营商网络只是提供了加密数据包的透明承载通道，不参与加密过程中的任何操作。这样做需要付出一定成本，一般企业用户可以不使用这类加密传送方式，仅利用ＶＰＮ自身的安全机制来保证信息传送的安全性即可。

　　ＣＥ－ＣＥ数据信息的加密传送也可以由ＳＰ来支持。为了支持这一功能，运营商需要维护一个安全ＶＰＮ数据库，ＣＥ设备要从数据库中提取信息，完成安全配置并建立基于ＩＰＳｅｃ的安全隧道，通过安全隧道传送ＶＰＮ用户的数据包。ＩＥＴＦ为运营商支持的ＣＥ－ＣＥ数据信息加密传送提供了一种实现方案，在这个方案中，ＳＰ要提供安全服务器，在服务器上维护管理一个安全数据库，这个数据库可以为多个ＶＰＮ提供服务。

　　３．三层ＶＰＮ管理面的安全性

　　三层ＶＰＮ管理面的安全性表现为如下三个方面：

　　（１）网管系统访问控制的安全性

　　黑客对网管系统的攻击主要是通过网管接口实施的，因此对管理接口的访问都要经过认证，以防止攻击者对管理信息的窃取和恶意篡改。

　　（２）网管信息传送通道的安全性

　　为了防止由于资源挤占而影响网管信息的正常传送，可以让管理终端以带外的方式访问管理接口，使用的链路可以是物理上或逻辑上与ＶＰＮ的其他基础设施隔离开的。如果管理终端以带内的方式访问管理接口，则可以使用过滤器或防火墙技术限制非授权用户的访问。

　　（３）设备配置的正确性

　　运营维护人员应保障ＶＰＮ设备配置的正确性，防止由于配置操作不当而导致用户数据的泄漏。

　　三、二层VPN的安全模型

　　二层ＶＰＮ技术是为了充分利用ＩＰ／ＭＰＬＳ网络资源来支持数据业务而推出的，用ＩＰ／ＭＰＬＳ网络为二层数据链路包（如ＡＴＭ信元、ＦＲ帧、以太网帧）提供传送通道，以便实现ＩＰ网和数据网的融合，目前的二层ＶＰＮ技术主要有两种形式，即虚拟专用线路业务（ＶＰＷＳ）和虚拟专用局域网业务（ＶＰＬＳ）。下面分别从控制面、数据面两个方面对其安全性进行分析，管理面的安全特性及可采取的安全措施与三层ＶＰＮ类似，在此不再赘述。

　　１．ＶＰＷＳ的安全模型

　　ＶＰＷＳ系统在ＰＥ之间建立伪线路（ＰＷ）连接，该连接对应于用户的二层接入电路（ＡＣ），ＡＣ可以是以太网、ＡＴＭ或ＦＲ链路。ＶＰＷＳ系统通过伪线路将网络两侧的ＡＣ连接起来，通过ＰＥ之间的包交换网络（ＰＳＮ）隧道（例如ＭＰＬＳ隧道）来传送用户的二层链路帧，可以支持多条伪线路在一条ＰＳＮ隧道内的复用。系统模型如图２所示。

　　图2VPWS系统结构

　　ＶＰＷＳ为用户提供的伪线路是在ＰＥ之间通过信令建立的，用户数据通过建立好的伪线路进行端到端传送，系统的安全性决定于如下三个方面：

　　·控制面ＰＥ－ＰＥ信令传送的安全性；

　　·数据面ＣＥ－ＣＥ、ＰＥ－ＰＥ用户数据传送的安全性；

　　·管理面管理信息的安全性。

　　（１）ＶＰＷＳ控制面的安全性

　　在控制面上，ＶＰＷＳ通过ＢＧＰ或标记分配协议（ＬＤＰ）建立伪线路。一个ＰＥ不应该在控制连接上与另外一个ＰＥ通信，除非它确信这个对等体确实是一个它想要与之建立伪线路的ＰＥ，否则可能会把二层ＶＰＮ流量发送到错误的地方。

　　因此，对于ＰＥ之间的控制连接，也建议运营商采用某种认证机制。对于采用ＴＣＰ方式传送的信令，可以利用ＴＣＰＭＤ５选项作为ＰＥ－ＰＥ之间的认证方式，这要求ＰＥ之间使用一个共享的密钥。如果控制协议要使用用户数据报协议（ＵＤＰ）消息，也应采用某些认证保护机制，有关技术正处于研究之中。

　　ＶＰＷＳ系统由ＰＥ路由器和Ｐ路由器相互连接构成，ＰＥ路由器和Ｐ路由器的安全性同样关系到整个系统的安全性，应采取一些措施防范恶意攻击，主要是ＤｏＳ攻击：ＰＥ路由器上应对用户的接入速率进行限制；Ｐ路由器上应采取ＵＲＰＦ检查、设置过滤器、关闭ＩＣＭＰ等措施对流量进行控制。

　　（２）ＶＰＷＳ数据面的安全性

　　目前ＶＰＷＳＣＥ设备通常采用ＡＴＭ、ＦＲ、以太网等二层链路接入运营商的ＰＥ设备，这种接入电路是通过网管人员调配的，本身具有较强的安全性。但ＰＥ设备之间的连接经过了ＩＰ网络，因此仍有可能遭受攻击。

　　二层ＶＰＮ的加密技术具有一定的复杂性，因为ＩＰＳｅｃ等常用的加密方式是在ＩＰ层上进行的，如果要对通过ＩＰ网传送的二层链路帧进行加密，则要进行一系列复杂的封装转换处理，信息传送的开销比较大。此外，运营商通过隧道机制实现了二层链路帧的端到端传送，本身具有一定的安全性。虽然运营商有可能利用某种方式实现二层链路帧的加密传送，但这种做法的必要性仍不明确，是否需要加密以及如何加密仍有待研究。

　　２．ＶＰＬＳ的安全模型

　　ＶＰＬＳ的解决方案实际上是对ＶＰＷＳ解决方案概念的扩展，通过在ＰＥ之间建立一个全网状的伪线路连接来仿真多点到多点的连接。除此之外，ＶＰＬＳ系统可以向用户提供基于以太网的桥接接入方式，具备媒体接入控制（ＭＡＣ）路由学习和二层交换功能，使得整个ＶＰＬＳ系统的外在表现类似于一个功能强大的二层交换机。ＶＰＬＳ的系统模型如图３所示。

图3VPLS/IPLS系统结构

　　ＶＰＬＳ系统首先要为用户提供伪线路，同时在通信过程中完成ＭＡＣ地址的学习功能，以及ＭＡＣ单播和广播包的转发功能，系统的安全性决定于如下三个方面：

　　·控制面ＰＥ－ＰＥ信令传送的安全性；

　　·数据面ＣＥ－ＣＥ、ＰＥ－ＰＥ用户数据传送的安全性；

　　·管理面管理信息的安全性。

　　（１）ＶＰＬＳ控制面的安全性

　　控制面上，ＶＰＬＳ使用与ＶＰＷＳ相同的机制建立伪线路，ＰＥ之间建立伪线路时也应采用同样的安全认证机制。

　　对于ＰＥ之间的控制连接，同样建议运营商采用某种认证机制。对于采用ＴＣＰ方式传送的信令，可以利用ＴＣＰＭＤ５选项作为ＰＥ－ＰＥ之间的认证方式，这要求ＰＥ之间使用一个共享的密钥。如果控制协议利用ＵＤＰ消息，也应采用某些认证保护机制，有关技术正在研究之中。

　　ＶＰＬＳ系统对网络基础设施采取的安全措施类似于ＶＰＷＳ：ＰＥ路由器上应对用户的接入速率进行限制；Ｐ路由器上应采取ＵＲＰＦ检查、设置过滤器、关闭ＩＣＭＰ等措施对流量进行控制。

　　（２）ＶＰＬＳ数据面的安全性

　　与ＶＰＷＳ业务类似，ＶＰＬＳ传送的是二层链路帧，加密的必要性有待研究，加密技术目前也还没有切实可行的方案。

　　此外，ＶＰＬＳ系统具有ＭＡＣ地址学习和广播包的发送功能，如果某个ＣＥ设备发送大量的广播包，就会给很多接收广播包的ＰＥ设备和网络上的Ｐ设备带来较重的处理负担，如果这种发送是恶意的，就可能产生类似于ＤｏＳ攻击的效果，使ＰＥ设备或Ｐ设备不能正常工作。

　　为了保证系统的安全性，运营商应在ＰＥ上采取措施对广播信息的传送进行限制，例如对广播包的带宽进行限制等。

　　四、结语

　　通过ＭＰＬＳＶＰＮ系统传送数据提高了用户信息在ＩＰ网络上传送的安全性，但这种安全性是相对而言的，需要采用必要的技术措施来保障。各种安全性措施都会增加设备的处理负担，业务运营部门应根据网络和业务的实际情况，对是否采用某种安全措施进行权衡，以便在充分保证业务安全的前提下尽量降低业务成本。