mp - reachnlri属性有6个领域.pptVIP

Analysis of security threats to MPLS virtual private networks International Journal of Critical Infrastructure Protection, Volume 2, Issue 4, December 2009, Pages 146-153 Denise Grayson, Daniel Guernsey, Jonathan Butts, Michael Spainhower, Sujeet Shenoi 報告者:李長璟 Abstract 1.Introduction 2.MPLS-based virtual private networks 3.Multiple-provider VPNs 4.General security analysis 5.Attacks on BGP-based MPLS VPNs 6.Mitigation strategies 7.Conclusions Abstract 多協議標籤交換（MPLS）是一種在開放的通信網上利用標籤引導數據高速、高效傳輸的新技術 。 分析的主要安全威脅 MPLS和VPN。特別針對的是協議和多協議擴展。 本文介紹三類基於 MPLS VPN的漏洞：修訂路線，交通注射和拒絕服務攻擊。 1.Introduction 多協議標籤交換（MPLS）使用電路交換和封包交換網路技術 虛擬私有網路（VPN）主要的應用 MPLS技術 邊界網關協議（BGP）和多協議擴展用於創建第3層 VPN，隱藏的服務提供商的基礎設施和執行路由和分流服務供應商之間的網路和客戶網路。 BGP / MPLS VPN的安全，他們主要依靠定址分離和內部定址隱藏，以防止外部攻擊。 攻擊者一旦進入相對保護網路的核心，攻擊者可以針對客戶的虛擬私有網路，竊取機密 2.MPLS-based virtual private networks MPLS VPN Model VPN packet forwarding MP- BGP 標準 BGP 只分發與 IPv4 定址相關聯的路線 。 MP- BGP兩個新的屬性 多協議可達的邊界網關（型號：MP - REACHNLRI） 邊界網關和多協議不可達（型號：MP - UNREACHNLRI）。 MP - REACHNLRI屬性有6個領域 1.Address Family Identifier (AFI) 2. Subsequent Address Family Identifier (SAFI ) 3.Length of the Next Hop Address 4. Next Hop Address that specifies the address of the next router in the path to the destination 5. Reserved (one octet) 6. NLRI MP-UNREACH-NLRI 屬性包含一個 AFI、 SAFI和撤回的 NLRI 路線。 3. Multiple-provider VPNs VRF-to-VRF model Redistribution model Multihop redistribution model 4.General security analysis 服務提供者必須確保連線性客戶 vpn 和防止交通攔截和注射。 討論有關網路分離，主要的安全問題 BGP 通信和 MPLS 包標記。 1.網路分離：BGP的社區和路由過濾技術非常有效地分離 VPN和防止交通注入到客戶網路 BGP 通訊 :提供 的安全機制 BGP 和其他路由式通訊協定，再加上安全控制項在 LERs 中實現是一個 MPLS 網路的安全運作的重要因素。 BGP 有四個消息類型： OPEN KEEPALIVE、 警告 和 UPDATE MPLS 封包標記 :LSRs 位於網路核心傾向于接受並轉發任何傳入的資料封包。 攻擊者用核心網路訪問可以中斷傳輸、 服務，及VPN服務提供安全的支援。 因此，強化的週邊是 MPLS VPN 安全最重要的。 5. Attacks on BGP-based MPLS VPNs 很多攻擊是可能的 因為 BGP -based MPLS vpn 依賴于多項技術 ，常見的三個大類攻擊 1. route modification （修訂路線 ）? 2. traffic injection 3. denial -of -service attacks （拒絕服務攻擊 ） route modification：路由改造攻擊更改路徑（包括目標） 的資料包的網路