MPLSVPN技术安全的探讨.docVIP

MPLSVPN技术安全的探讨 　　[摘要]VPN（虚拟专用网）安全方面必须是地址和路由隔离、骨干网对外界隐蔽和能预防攻击。基于MPLS（多协议标签交换）的VPN与一般第二层VPN的安全方案比较及其加强措施进行探讨。 　　[关键词]MPLS VPN 网络安全 　　中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0320052－02 　　 　　目前，企业客户已接受了帧中继和ATM等第二层VPN提供的安全性，但是，他们对基于MPLS的VPN的安全性还是心存疑虑。无论是从技术本身，还是从常规的网络应用来说，MPLS VPN都可以达到与ATM、帧中继同样的安全程度。 　　 　　一、MPLS技术安全性 　　 　　当将基于MPLS-VPN的解决方案与帧中继和ATM等第二层VPN解决方案进行比较时，必须满足几个关键的安全要求：必须隔离地址和路由；骨干网的内部结构必须对外界隐蔽，与帧中继或ATM网络核心一样，MPLS-VPN核心也必须隐蔽。网络必须能预防攻击，包括拒绝服务（DoS）和入侵攻击。 　　为了实现MPLS网的高度安全性，MPLS VPN做到了以下几点： 　　1．地址空间和路由独立 　　在MPLS VPN中，不同的VPN之间，地址空间是完全独立的。这意味着： 　　（1）任一VPN必须使用与其他VPN同样的地址空间；（2）任一VPN必须使用与MPLS核心同样的地址空间；（3）任意两个VPN之间的路由必须相互独立；（4）任意VPN和核心网络之间的路由必须相互独立。 　　这是为了实现某一VPN中的数据包不至于到达其他VPN或MPLS核心网中具有同样地址的主机。 　　 　　2．隐藏MPLS核心网 　　MPLS不会暴露任何不必要的信息给外界，包括其VPN用户，这样将使网络攻击变得十分艰难。图1示出了VPN可能暴露于外界的地址空间：VPN1看不到P路由器或其他VPN，CE和PE路由器之间的连接属于VPN的地址空间，而PE路由器上的其他地址则属于核心网。 　　3．攻击防范 　　由于地址空间和路由的独立性，直接实施对某一VPN的攻击几乎不可能，只能通过MPLS核心网实现。对MPLS核心的攻击有两种基本途径：直接攻击PE路由器、攻击MPLS信令机制（多数为路由）。 　　VPN和MPLS核心网之间有两种路由配置方式：一是静态路由，二是动态路由。 　　为了降低这种被攻击的风险，在PE路由器上尽可能安全地配置路由协议，有以下几种途径达到这一目的。 　　（1）只允许来自CE的路由协议进入PE，而禁止来自任何其他地方的路由；或在CE路由器的接口上绑定ACL，只允许到达PE路由器的访问进入。 　　（2）为路由协议配置MD5鉴权，BGP、OSPF、RIPv2都可以做到这一点。需要注意的是，这需要SP和用户就所有CE和PE路由器之间的共享加密达成一致意见。 　　（3）配置某些路由协议参数。如在BGP协议中，配置“BGP dampen”及相关参数，有效抑制路由震荡和相互制约。此外，如果可能，对每个VRF配置可以接受的最大路由数。 　　由上可知，从一个VPN攻击其他VPN或核心网几乎不可能，但从理论上讲，CE路由器依然可能通过路由协议对PE路由器实施DoS攻击，因此，必须对PE路由器加以很好的保护，尤其是与CE路由器相连接的PE接口。 　　4．拒绝标记哄骗 　　在MPLS网络中，数据包转发是依据PE路由器所附加的标记来完成的，而非目标IP地址。与IP地址哄骗（攻击者调换源IP地址和目的IP地址）攻击相类似，攻击者也可能对MPLS数据包实施标记哄骗。 　　但PE路由器不可以接受来自CE路由器带有标记的数据包，任何此类数据包都将会被丢弃，因此，在MPLS网络，通过标记哄骗来实施攻击是不可能的。但发送到MPLS核心网的数据包，其IP地址仍然有可能被哄骗，然而由于PE路由器有严格的地址独立性，每个VPN都有自己的VRF，因此，这种攻击只能影响产生地址哄骗的VPN，而对MPLS并没有增加任何风险。 　　 　　二、MPLS的安全加强措施 　　 　　仅靠MPLS的自身技术安全性还不足以让人放心。对SP来说，采取附加措施保护MPLS核心网安全非常重要。首先要考虑以下因素： 　　（1）可信任设备：PE及P路由器、远程访问服务器、AAA服务器等，都必须被看作可信任的系统，这需要非常强大的安全管理，包括物理安全系统及访问控制列表、安全配置管理等等。而CE路由器不属于SP的管理范围，被视作不可信任系统。 　　（2）CE/PE接口：PE和CE路由器之间的接口对于MPLS网络的安全来说至关重要，PE路由器的配置应尽可能严密。从安全角度讲，最好将CE路由器配置为非指定IP地址，并使用静态路由。 　　1．网络核