無(wú)論是從技術(shù)本身,還是從常規(guī)的網(wǎng)絡(luò)應(yīng)用來(lái)說(shuō),MPLS VPN都可以達(dá)到與ATM、幀中繼同樣的安全程度。
一、MPLS技術(shù)安全性
為了實(shí)現(xiàn)MPLS網(wǎng)的高度安全性,MPLS VPN做到了以下幾點(diǎn):
1.地址空間和路由獨(dú)立
在MPLS VPN中,不同的VPN之間,地址空間是完全獨(dú)立的。這意味著:
(1)任一VPN必須使用與其他VPN同樣的地址空間;
(2)任一VPN必須使用與MPLS核心同樣的地址空間;
(3)任意兩個(gè)VPN之間的路由必須相互獨(dú)立;
(4)任意VPN和核心網(wǎng)絡(luò)之間的路由必須相互獨(dú)立。
這是為了實(shí)現(xiàn)某一VPN中的數(shù)據(jù)包不至于到達(dá)其他VPN或MPLS核心網(wǎng)中具有同樣地址的主機(jī)。
2.隱藏MPLS核心網(wǎng)
MPLS不會(huì)暴露任何不必要的信息給外界,包括其VPN用戶(hù),這樣將使網(wǎng)絡(luò)攻擊變得十分艱難。圖1示出了VPN可能暴露于外界的地址空間:VPN1看不到P路由器或其他VPN,CE和PE路由器之間的連接屬于VPN的地址空間,而PE路由器上的其他地址則屬于核心網(wǎng)。
3.攻擊防范
由于地址空間和路由的獨(dú)立性,直接實(shí)施對(duì)某一VPN的攻擊幾乎不可能,只能通過(guò)MPLS核心網(wǎng)實(shí)現(xiàn)。對(duì)MPLS核心的攻擊有兩種基本途徑:直接攻擊PE路由器、攻擊MPLS信令機(jī)制(多數(shù)為路由)。
VPN和MPLS核心網(wǎng)之間有兩種路由配置方式:一是靜態(tài)路由,二是動(dòng)態(tài)路由。
如果從CE路由器到PE路由器的靜態(tài)路由指向CE接口,CE路由器就不需要知道核心網(wǎng)絡(luò)的任何IP地址,甚至不需要知道PE路由器地址。這雖不利于網(wǎng)絡(luò)的進(jìn)一步配置,但對(duì)網(wǎng)絡(luò)安全來(lái)講,是一種更有優(yōu)勢(shì)的選擇。
除上述情況外,CE路由器至少需要知道PE路由器的標(biāo)識(shí)符(RID,IP地址),這將導(dǎo)致安全隱患的出現(xiàn)。一種可能的攻擊是,攻擊者向PE路由器發(fā)送大規(guī)模的路由或路由變更數(shù)據(jù)包,實(shí)施DoS攻擊。在實(shí)際網(wǎng)絡(luò)應(yīng)用中,可通過(guò)訪問(wèn)列表(ACL)將對(duì)PE路由器的訪問(wèn)限制在某些必需的路由協(xié)議范圍之內(nèi)。
為了降低這種被攻擊的風(fēng)險(xiǎn),在PE路由器上盡可能安全地配置路由協(xié)議,有以下幾種途徑達(dá)到這一目的。
(1) 只允許來(lái)自CE的路由協(xié)議進(jìn)入PE,而禁止來(lái)自任何其他地方的路由;或在CE路由器的接口上綁定ACL,只允許到達(dá)PE路由器的訪問(wèn)進(jìn)入。
(2) 為路由協(xié)議配置MD5鑒權(quán),BGP、OSPF、RIPv2都可以做到這一點(diǎn)。需要注意的是,這需要SP和用戶(hù)就所有CE和PE路由器之間的共享加密達(dá)成一致意見(jiàn)。
(3) 配置某些路由協(xié)議參數(shù)。如在BGP協(xié)議中,配置“BGP dampen”及相關(guān)參數(shù),有效抑制路由震蕩和相互制約。此外,如果可能,對(duì)每個(gè)VRF配置可以接受的最大路由數(shù)。
由上可知,從一個(gè)VPN攻擊其他VPN或核心網(wǎng)幾乎不可能,但從理論上講,CE路由器依然可能通過(guò)路由協(xié)議對(duì)PE路由器實(shí)施DoS攻擊,因此,必須對(duì)PE路由器加以很好的保護(hù),尤其是與CE路由器相連接的PE接口。
4.拒絕標(biāo)記哄騙
在MPLS網(wǎng)絡(luò)中,數(shù)據(jù)包轉(zhuǎn)發(fā)是依據(jù)PE路由器所附加的標(biāo)記來(lái)完成的,而非目標(biāo)IP地址。與IP地址哄騙(攻擊者調(diào)換源IP地址和目的IP地址)攻擊相類(lèi)似,攻擊者也可能對(duì)MPLS數(shù)據(jù)包實(shí)施標(biāo)記哄騙。
但PE路由器不可以接受來(lái)自CE路由器帶有標(biāo)記的數(shù)據(jù)包,任何此類(lèi)數(shù)據(jù)包都將會(huì)被丟棄,因此,在MPLS網(wǎng)絡(luò),通過(guò)標(biāo)記哄騙來(lái)實(shí)施攻擊是不可能的。但發(fā)送到MPLS核心網(wǎng)的數(shù)據(jù)包,其IP地址仍然有可能被哄騙,然而由于PE路由器有嚴(yán)格的地址獨(dú)立性,每個(gè)VPN都有自己的VRF,因此,這種攻擊只能影響產(chǎn)生地址哄騙的VPN,而對(duì)MPLS并沒(méi)有增加任何風(fēng)險(xiǎn)。
二、MPLS的安全加強(qiáng)措施
僅靠MPLS的自身技術(shù)安全性還不足以讓人放心。對(duì)SP來(lái)說(shuō),采取附加措施保護(hù)MPLS核心網(wǎng)安全非常重要。首先要考慮以下因素。
● 可信任設(shè)備:PE及P路由器、遠(yuǎn)程訪問(wèn)服務(wù)器、AAA服務(wù)器等,都必須被看作可信任的系統(tǒng),這需要非常強(qiáng)大的安全管理,包括物理安全系統(tǒng)及訪問(wèn)控制列表、安全配置管理等等。而CE路由器不屬于SP的管理范圍,被視作不可信任系統(tǒng)。
● CE/PE接口:PE和CE路由器之間的接口對(duì)于MPLS網(wǎng)絡(luò)的安全來(lái)說(shuō)至關(guān)重要,PE路由器的配置應(yīng)盡可能?chē)?yán)密。從安全角度講,最好將CE路由器配置為非指定IP地址,并使用靜態(tài)路由。
1.網(wǎng)絡(luò)核心的保護(hù)
包過(guò)濾器的配置非常重要,它可以只允許來(lái)自CE路由器的某些特定路由到達(dá)PE路由器對(duì)等接口,而其他流量將被拒絕。這可有效防止針對(duì)P及PE路由器的攻擊,而PE路由器上的對(duì)等接口,由于其特殊地位,需要專(zhuān)門(mén)的保護(hù)措施。
(1)路由鑒權(quán):路由是PE和CE路由設(shè)備之間的信令機(jī)制,路由協(xié)議有可能將虛假的信息引入核心網(wǎng),這是最顯而易見(jiàn)的攻擊點(diǎn)。因此,所有的路由協(xié)議(尤其BGP、OSPF等)都應(yīng)該針對(duì)不同的CE和Internet連接,配置有相應(yīng)的安全鑒定選項(xiàng),所有的對(duì)等關(guān)系都應(yīng)該采用相應(yīng)的方法加以安全防護(hù): CE/PE(BGP:MD5鑒權(quán))、PE/P(標(biāo)記分配協(xié)議LDP的MD5鑒權(quán))以及P/P等。
(2)CE/PE連接獨(dú)立:如果有多個(gè)CE設(shè)備共享某二層設(shè)備接入同一PE路由器(如VLAN),其中一個(gè)VPN的CE設(shè)備就有可能哄騙其他VPN的數(shù)據(jù)包,這時(shí)采用上述的路由協(xié)議就不能產(chǎn)生安全效果,可在CE和PE之間盡可能采用獨(dú)立的物理連接。在PE和多個(gè)CE路由器之間采用交換機(jī)也并非不可以,但一定要將不同的CE/PE連接劃歸不同的VLAN,使各自的流量相互獨(dú)立。
(3)LDP鑒權(quán):標(biāo)記分配協(xié)議LDP也可以在MPLS網(wǎng)絡(luò)采用MD5鑒權(quán),可以防止黑客引入虛假路由器參加標(biāo)記的分配。
2.VPN連接及Internet接入
MPLS不僅提供了VPN的獨(dú)立性,同樣也允許VPN的融合和Internet訪問(wèn)。
為了實(shí)現(xiàn)VPN間的互連,PE路由器必須維護(hù)多種不同的列表:針對(duì)每個(gè)CE路由器的路由關(guān)聯(lián)表專(zhuān)用于存儲(chǔ)VPN路由,從這里發(fā)布到VPN路由轉(zhuǎn)發(fā)表VRF的路由表中,并進(jìn)而得出VRF轉(zhuǎn)發(fā)表。對(duì)于每個(gè)獨(dú)立的VPN,VRF路由表僅包含來(lái)自一個(gè)路由關(guān)聯(lián)表的路由,為了實(shí)現(xiàn)不同VPN的融合,不同路由關(guān)聯(lián)表(來(lái)自不同的VPN)被置入同一VRF路由表中(如圖2所示)。需要說(shuō)明的是,這時(shí),多個(gè)被合并的VPN的地址空間就有了相關(guān)性,必須是排他性的。同樣,也可以通過(guò)ACL來(lái)控制VRF表中的路由。 #p#分頁(yè)標(biāo)題#e#
對(duì)于要接入Internet的VPN也可以采用同樣的方式:來(lái)自Internet VRF路由表(缺省路由表)的路由發(fā)布到準(zhǔn)備接入Internet的VPN的VRF路由表中,這時(shí),該VPN與Internet之間必須使用經(jīng)過(guò)注冊(cè)的Internet IP地址。
3.防火墻
(1)VPN間防火墻
企業(yè)之間往來(lái)密切時(shí),它們之間需要進(jìn)行VPN之間的通信,這時(shí)就有了VPN連接。但在多數(shù)情況下,企業(yè)仍有可能希望保持與互連企業(yè)間邏輯上的獨(dú)立性。為了實(shí)現(xiàn)這一目的,可以在兩個(gè)VPN之間配置防火墻,此時(shí)的防火墻在SP處管理,而不在企業(yè)內(nèi)。
要通過(guò)防火墻連接兩個(gè)VPN,必須在PE路由器上為每個(gè)VPN增加一個(gè)接口,用于連接防火墻(如圖3所示)。這樣,從VPN A路由器到VPN B的數(shù)據(jù)包到達(dá)PE路由器后,由于PE到VPN B的路由指向與防火墻相連的接口,因此,數(shù)據(jù)包將穿過(guò)防火墻,并通過(guò)另一個(gè)接口(屬于VPN B的接口)回到PE路由器。
由于交換機(jī)不提供流量的獨(dú)立性,因此,如果防火墻的兩個(gè)接口要連接交換機(jī),則最好使用兩臺(tái)交換機(jī)分別連接防火墻的兩個(gè)接口;如果只能連接在同一個(gè)交換機(jī)上,必須在防火墻的兩邊使用不同的VLAN。
(2)Internet防火墻
連接到其他SP的PE路由器必須通過(guò)防火墻實(shí)現(xiàn)與其他SP的互聯(lián)互通。如果一個(gè)防火墻可能用于所有VPN(共享防火墻),則PE路由器通過(guò)這一道防火墻完成與其他SP的互連,PE路由器在缺省VRF路由表中維護(hù)Internet路由,Internet路由被發(fā)布到需要Internet接入的VPN VRF表中,而各VPN的路由則被發(fā)布到PE路由器的缺省VRF表中,并進(jìn)而通過(guò)防火墻發(fā)布到Internet中。需要接入Internet的VPN必須使用經(jīng)過(guò)注冊(cè)的IP地址。
圖4為通過(guò)防火墻接入Internet的一種情況,Internet路由表被看作另外一個(gè)VPN,而與其他VPN的連接需要通過(guò)一個(gè)外置的防火墻。
如果所有VPN必須通過(guò)同一個(gè)防火墻,其安全策略必須完全相同。如果要為每個(gè)VPN配置個(gè)性化的安全策略,則必須為每個(gè)VPN配置獨(dú)立的防火墻,PE路由器也要為每個(gè)VPN增加一個(gè)接口,在防火墻之外,這些連接又可以匯總到一個(gè)路由器中,再通過(guò)同一臺(tái)路由器連接其他SP。
(3)CE防火墻
對(duì)于龐大的網(wǎng)絡(luò),安全管理較難,這時(shí),可對(duì)網(wǎng)絡(luò)加以分割。越來(lái)越多的企業(yè)正在用防火墻來(lái)分割不同的分支機(jī)構(gòu),以保證內(nèi)部網(wǎng)絡(luò)的安全性。
在分割企業(yè)網(wǎng)并在MPLS網(wǎng)絡(luò)中作為一個(gè)VPN時(shí),在每個(gè)CE路由器上放置一道防火墻可以使整個(gè)網(wǎng)絡(luò)更易于管理。這時(shí),辦公室以外的所有設(shè)備都被視為不可信任,即使來(lái)自本公司其他部門(mén)的流量也同樣需要進(jìn)行安全檢查。
4.IPSec與MPLS結(jié)合
在MPLS網(wǎng)上運(yùn)行IPSec,通過(guò)數(shù)據(jù)加密和頭部鑒權(quán)(AH),可提供額外的系統(tǒng)安全,即使來(lái)自MPLS網(wǎng)絡(luò)內(nèi)部的攻擊也無(wú)法破壞VPN的安全性。
IPSec可以運(yùn)行在CE路由器或遠(yuǎn)離核心網(wǎng)的設(shè)備上,如果CE路由器在用戶(hù)的控制之中,IPSec將是非常好的選擇;如果CE屬于SP的管理范圍,那么用戶(hù)就必須確定是否信任SP,決定IPSec是運(yùn)行在CE上還是在SP的范圍之外增加其他IPSec設(shè)備。
