通过对MPLS-VPN网络环境进行分析,得出MPLS VPN环境中数据传输存在的安全隐患,针对安全隐患分析提出路由间认证、安全审计、Ipsec数据加密、冗余链路解决方案和措施。对网络环境防护前后进行对比得出MPLS-VPN的应用特点。
企业信息化和规模的扩大使得不同地区之间数据实时互访需求越发强烈,如何为企业提供高效、灵活、安全的网络访问技术,MPLS (多协议标签交换)VPN应运而生。MPLS VPN通过结合数据链路层和三层路由技术的优势,在现代快速网络中得到了广泛的应用,尤其是电信运营商、大型企业及政府单位,但在MPLS VPN的环境中数据传输存在的隐患却值得思考。
1 基本理论
1.1 MPLS简介
多协议标签交换(Multiprotocol Label Switching)起源于IPv4,是一种用于数据包快速交换和路由的体系。LSR(Label Switching Router)是MPLS网络的基本构成单元,由LSR构成的网络称为MPLS域。位于MPLS域边缘、连接其他用户网络的LSR称为LER(Label Edge Router,边缘LSR),区域内部的LSR称为核心LSR。
1.2 VPN简介
VPN是一个可靠的,在公用网络上搭建的临时连接,它通过逻辑隧道连接地理上分散的网络。VPN技术通常用于扩大企业网络,通过VPN可以将远程接入的用户、企业分支机构和合作伙伴与企业内部之间建立信息安全连接,并能保证可靠的数据传输。VPN主要采用安全隧道技术,用户认证技术,访问控制技术和加解密技术。
1.3 MPLS VPN原理
MPLS VPN是一种基于MPLS技术的IP虚拟专用网络,是在网络路由和交换设备上应用MPLS技术[1]。它融合了传统路由技术,使用标签交换,简化运营商网络的路由选择方式,可用来构造宽带的企业内部网络和外网,满足多种灵活的业务需求[2]。
1.3.1 MPLS VPN的设备角色
组成MPLS VPN网络的路由器共有三个类别:用户边缘路由器(CE),运营商边缘标签转发路由器(PE LSR)和运营商骨干标签转发路由器(P LSR):
CE是用户端边缘路由器,VPN用户的网络终端直接与服务提供商相连的设备,为用户提供到达PE路由器的连接。
PE LSR是运营商的边缘标签转发路由器。它与用户的边缘路由器直接相连,对进入MPLS网络的流量进行划分,把相同的流量归于同一个FEC然后分配相应的标签,进行流量的划分,标签的压入和弹出功能,并且负责和其他PE路由器进行交换路由信息,充当数据转发的载体,把来自CE路由器的信息通过标签交换传递给另一端的CE端[3]。
P LSR是运营商网络除了边缘路由器的核心设备,提供标签分发和标签交换功能,在数据包的传输过程中使用添加外层标签来代替传统路由的繁杂查找。
1.3.2 标签转发原理
当数据包到达PE 路由器时,找到到达目的地的下一跳所给的标签,通过CEF转发给下一跳标签转发路由器,下一跳路由器接收到数据包时,执行标签转发表,并为数据包交换标签,再发给下一跳路由器。倒数第二跳标签转发路由器执行标签查找时,将数据包的标签弹出,即倒数第二跳标签机制,数据包传输到靠近分支的PE路由器,通过三层路由查找到达分支用户端,实现MPLS VPN的这个传输过程[4]。
2 基于MPLS VPN网络数据传输的隐患分析
为了对基于MPLS VPN网络数据传输的隐患分析,本文使用GN3搭建网络仿真,网络拓扑图如图1所示,总部HQ网络与分部Branch网络通过由ISP构建的MPLS VPN网络互联。通过对总部网络到达分部网络的数据传输为基础寻找安全隐患路径。
2.1 PE-CE间的入侵
当总部的网络锁传输的数据到达边缘时,MPLS VPN在PE和CE间只是简单地使用IGP协议完成连接,而且企业边缘设备和运营商边缘设备的连接不属于内部网络,中间长距离的部署连接中间可能存在入侵问题,如图2所示。
在PE和CE间只要插入一台交换机,入侵者配置与CE和PE间相同网段的路由,就可以实现入侵,无论是数据的监听,还是伪装成第三方与VPN内部进行通信,都是可行的。
2.2 运用商内部的配置失误
当数据传输到运营商内部时,如果没有实施必要的安全措施,可能存在内部人员的配置失误导致不同用户之间的数据传输混乱。如新PE端与连接分部网络的边缘路由器配置一致时,就可以造成分部网络与总部之间的信息间断,而且总部在没有得到故障报告时,无法正确地感知失去分部的联系,这样可能造成数据的泄漏和第三方的恶意访问和身份隐藏,如图3所示。
2.3 MPLS VPN本身的不加密
在总部的CE端到分部的CE端之间使用wireshark抓包工具进行抓包分析,观察数据以明文形式传输,可以直接截获或者篡改。数据在MPLS VPN的环境中是以明文形式传输的,说明了MPLS VPN本身的不加密性。
2.4 单链路问题
用户VPN依靠因特网服务提供商来进行不同地域之间的网络互连,这就需要用户支付专门的服务费用,因此一般的用户只通过单链路来维持通信,这样容易造成链路故障,对于某些实时的企业或政府来说有时损失时巨大的。
3 防护措施
MPLS VPN的安全性问题使得它无法单一的为一些对数据传输的安全性有特殊要求的客户服务如电子商务应用、金融行业的应用等,单纯依靠网络服务提供商提供的网络服务存在一定的安全漏洞。因此用户需要在自己管理的网络范围内以及对于提供商的链路配置采取一定的安全措施,虽然会增加用户管理和配置网络的复杂性,但可以增加额外的安全可靠[5]。
3.1 路由间认证
消息摘要算法(MD5)在CE-PE间是用OSPF协议的,OSPF协议对路由器之间的所有数据包都具有认证的能力。认证有简单口令认证和MD5加密校验和认证。简单口令认证虽然可以起到一定的作用,但是它是明文传输,没有经过加密,很容易被中间网络截获并窃取。所以建议使用MD5认证来解决路由认证问题[6]。
配置完MD5认证后通过对比可以发现CE-PE间的入侵者已经断开邻居关系。如图4所示.
3.2 安全审计
无论是内部人员的误操作还是外部入侵者的恶意访问,都可能导致网络的瘫痪,如何清晰的了解网络资源的使用情况和访问者的实施操作动作,是提高系统安全性的重要举措。采用日志审计,把系统资源的使用情况和访问者的操作记录下,在追究责任和排查问题时也有据可查。
3.3 Ipsec数据加密
IPSEC(因特网安全协议)是专门针对TCP/IP路由协议没有安全机制而制定的,它工作在IP层,为IP层及其以上协议提供保护。Ipsec通过加密隧道传送信息,提供访问控制机制、信息的源认证、数据的私密性、完整性、防重放保护、自动密钥管理等安全服务[7]。
ISP所提供的MPLS VPN骨干网服务中,所提供的安全措施基本为一般的认证、数据完整性和机密性方法,满足不了用户的数据安全性需求,因此用户可通过在边缘设备CE上进行Ipsec数据加密,保障用户数据在公网上传输的安全。在总部的CE端到分部的CE端之间使用wireshark抓包,分析经过Ipsec加密后的数据如图5所示。
3.4 冗余链路
在骨干网设备连接中,单一链路连接较容易实现,但一个简单的故障都会造成网络的中断.因此为了保持网络的稳定性,在实际组网过程中通常都使用备份连接,以提高网络的稳定性、健壮性。同时为了使线路利用最大化,可在线路上应用负载均衡技术。
4 总结
本文分析了MPLS VPN环境中数据传输的安全隐患,分析了中间网络侵入问题、第三方隐藏、明文传输、单链路故障等常见问题,提出了相应的保护措施保证了路由间的认证、数据的私密性、完整性和不间断性。对网络拓扑防护前后进行配置分析,发现各有优缺点。对于简单的MPLS VPN,它支持高速联网服务,且可伸缩性强,但数据安全性低,适用于MPLS VPN的两端位置固定不变、对网络的服务质量、实时性和可管理性要求较高的客户,例如办公地点固定的超市、连锁远程办公点;而对于IPSec加密的MPLS VPN适用于位置分部广泛,比如各街道办事处、连锁店等、移动站点多、对线路的保密性和可用性要求比较苛刻的但对实时性要求不高的用户,例如教育行业、设计公司高度机密的企业等。
作者:许明 陈剑清 来源:电脑知识与技术 2015年27期