无论是从技术本身,还是从常规的网络应用来说,MPLS VPN都可以达到与ATM、帧中继同样的安全程度。
一、MPLS技术安全性
为了实现MPLS网的高度安全性,MPLS VPN做到了以下几点:
1.地址空间和路由独立
在MPLS VPN中,不同的VPN之间,地址空间是完全独立的。这意味着:
(1)任一VPN必须使用与其他VPN同样的地址空间;
(2)任一VPN必须使用与MPLS核心同样的地址空间;
(3)任意两个VPN之间的路由必须相互独立;
(4)任意VPN和核心网络之间的路由必须相互独立。
这是为了实现某一VPN中的数据包不至于到达其他VPN或MPLS核心网中具有同样地址的主机。
2.隐藏MPLS核心网
MPLS不会暴露任何不必要的信息给外界,包括其VPN用户,这样将使网络攻击变得十分艰难。图1示出了VPN可能暴露于外界的地址空间:VPN1看不到P路由器或其他VPN,CE和PE路由器之间的连接属于VPN的地址空间,而PE路由器上的其他地址则属于核心网。
3.攻击防范
由于地址空间和路由的独立性,直接实施对某一VPN的攻击几乎不可能,只能通过MPLS核心网实现。对MPLS核心的攻击有两种基本途径:直接攻击PE路由器、攻击MPLS信令机制(多数为路由)。
VPN和MPLS核心网之间有两种路由配置方式:一是静态路由,二是动态路由。
如果从CE路由器到PE路由器的静态路由指向CE接口,CE路由器就不需要知道核心网络的任何IP地址,甚至不需要知道PE路由器地址。这虽不利于网络的进一步配置,但对网络安全来讲,是一种更有优势的选择。
除上述情况外,CE路由器至少需要知道PE路由器的标识符(RID,IP地址),这将导致安全隐患的出现。一种可能的攻击是,攻击者向PE路由器发送大规模的路由或路由变更数据包,实施DoS攻击。在实际网络应用中,可通过访问列表(ACL)将对PE路由器的访问限制在某些必需的路由协议范围之内。
为了降低这种被攻击的风险,在PE路由器上尽可能安全地配置路由协议,有以下几种途径达到这一目的。
(1) 只允许来自CE的路由协议进入PE,而禁止来自任何其他地方的路由;或在CE路由器的接口上绑定ACL,只允许到达PE路由器的访问进入。
(2) 为路由协议配置MD5鉴权,BGP、OSPF、RIPv2都可以做到这一点。需要注意的是,这需要SP和用户就所有CE和PE路由器之间的共享加密达成一致意见。
(3) 配置某些路由协议参数。如在BGP协议中,配置“BGP dampen”及相关参数,有效抑制路由震荡和相互制约。此外,如果可能,对每个VRF配置可以接受的最大路由数。
由上可知,从一个VPN攻击其他VPN或核心网几乎不可能,但从理论上讲,CE路由器依然可能通过路由协议对PE路由器实施DoS攻击,因此,必须对PE路由器加以很好的保护,尤其是与CE路由器相连接的PE接口。
4.拒绝标记哄骗
在MPLS网络中,数据包转发是依据PE路由器所附加的标记来完成的,而非目标IP地址。与IP地址哄骗(攻击者调换源IP地址和目的IP地址)攻击相类似,攻击者也可能对MPLS数据包实施标记哄骗。
但PE路由器不可以接受来自CE路由器带有标记的数据包,任何此类数据包都将会被丢弃,因此,在MPLS网络,通过标记哄骗来实施攻击是不可能的。但发送到MPLS核心网的数据包,其IP地址仍然有可能被哄骗,然而由于PE路由器有严格的地址独立性,每个VPN都有自己的VRF,因此,这种攻击只能影响产生地址哄骗的VPN,而对MPLS并没有增加任何风险。
二、MPLS的安全加强措施
仅靠MPLS的自身技术安全性还不足以让人放心。对SP来说,采取附加措施保护MPLS核心网安全非常重要。首先要考虑以下因素。
● 可信任设备:PE及P路由器、远程访问服务器、AAA服务器等,都必须被看作可信任的系统,这需要非常强大的安全管理,包括物理安全系统及访问控制列表、安全配置管理等等。而CE路由器不属于SP的管理范围,被视作不可信任系统。
● CE/PE接口:PE和CE路由器之间的接口对于MPLS网络的安全来说至关重要,PE路由器的配置应尽可能严密。从安全角度讲,最好将CE路由器配置为非指定IP地址,并使用静态路由。
1.网络核心的保护
包过滤器的配置非常重要,它可以只允许来自CE路由器的某些特定路由到达PE路由器对等接口,而其他流量将被拒绝。这可有效防止针对P及PE路由器的攻击,而PE路由器上的对等接口,由于其特殊地位,需要专门的保护措施。
(1)路由鉴权:路由是PE和CE路由设备之间的信令机制,路由协议有可能将虚假的信息引入核心网,这是最显而易见的攻击点。因此,所有的路由协议(尤其BGP、OSPF等)都应该针对不同的CE和Internet连接,配置有相应的安全鉴定选项,所有的对等关系都应该采用相应的方法加以安全防护: CE/PE(BGP:MD5鉴权)、PE/P(标记分配协议LDP的MD5鉴权)以及P/P等。
(2)CE/PE连接独立:如果有多个CE设备共享某二层设备接入同一PE路由器(如VLAN),其中一个VPN的CE设备就有可能哄骗其他VPN的数据包,这时采用上述的路由协议就不能产生安全效果,可在CE和PE之间尽可能采用独立的物理连接。在PE和多个CE路由器之间采用交换机也并非不可以,但一定要将不同的CE/PE连接划归不同的VLAN,使各自的流量相互独立。
(3)LDP鉴权:标记分配协议LDP也可以在MPLS网络采用MD5鉴权,可以防止黑客引入虚假路由器参加标记的分配。
2.VPN连接及Internet接入
MPLS不仅提供了VPN的独立性,同样也允许VPN的融合和Internet访问。
为了实现VPN间的互连,PE路由器必须维护多种不同的列表:针对每个CE路由器的路由关联表专用于存储VPN路由,从这里发布到VPN路由转发表VRF的路由表中,并进而得出VRF转发表。对于每个独立的VPN,VRF路由表仅包含来自一个路由关联表的路由,为了实现不同VPN的融合,不同路由关联表(来自不同的VPN)被置入同一VRF路由表中(如图2所示)。需要说明的是,这时,多个被合并的VPN的地址空间就有了相关性,必须是排他性的。同样,也可以通过ACL来控制VRF表中的路由。
对于要接入Internet的VPN也可以采用同样的方式:来自Internet VRF路由表(缺省路由表)的路由发布到准备接入Internet的VPN的VRF路由表中,这时,该VPN与Internet之间必须使用经过注册的Internet IP地址。
3.防火墙
(1)VPN间防火墙
企业之间往来密切时,它们之间需要进行VPN之间的通信,这时就有了VPN连接。但在多数情况下,企业仍有可能希望保持与互连企业间逻辑上的独立性。为了实现这一目的,可以在两个VPN之间配置防火墙,此时的防火墙在SP处管理,而不在企业内。
要通过防火墙连接两个VPN,必须在PE路由器上为每个VPN增加一个接口,用于连接防火墙(如图3所示)。这样,从VPN A路由器到VPN B的数据包到达PE路由器后,由于PE到VPN B的路由指向与防火墙相连的接口,因此,数据包将穿过防火墙,并通过另一个接口(属于VPN B的接口)回到PE路由器。
由于交换机不提供流量的独立性,因此,如果防火墙的两个接口要连接交换机,则最好使用两台交换机分别连接防火墙的两个接口;如果只能连接在同一个交换机上,必须在防火墙的两边使用不同的VLAN。
(2)Internet防火墙
连接到其他SP的PE路由器必须通过防火墙实现与其他SP的互联互通。如果一个防火墙可能用于所有VPN(共享防火墙),则PE路由器通过这一道防火墙完成与其他SP的互连,PE路由器在缺省VRF路由表中维护Internet路由,Internet路由被发布到需要Internet接入的VPN VRF表中,而各VPN的路由则被发布到PE路由器的缺省VRF表中,并进而通过防火墙发布到Internet中。需要接入Internet的VPN必须使用经过注册的IP地址。
图4为通过防火墙接入Internet的一种情况,Internet路由表被看作另外一个VPN,而与其他VPN的连接需要通过一个外置的防火墙。
如果所有VPN必须通过同一个防火墙,其安全策略必须完全相同。如果要为每个VPN配置个性化的安全策略,则必须为每个VPN配置独立的防火墙,PE路由器也要为每个VPN增加一个接口,在防火墙之外,这些连接又可以汇总到一个路由器中,再通过同一台路由器连接其他SP。
(3)CE防火墙
对于庞大的网络,安全管理较难,这时,可对网络加以分割。越来越多的企业正在用防火墙来分割不同的分支机构,以保证内部网络的安全性。
在分割企业网并在MPLS网络中作为一个VPN时,在每个CE路由器上放置一道防火墙可以使整个网络更易于管理。这时,办公室以外的所有设备都被视为不可信任,即使来自本公司其他部门的流量也同样需要进行安全检查。
4.IPSec与MPLS结合
在MPLS网上运行IPSec,通过数据加密和头部鉴权(AH),可提供额外的系统安全,即使来自MPLS网络内部的攻击也无法破坏VPN的安全性。
IPSec可以运行在CE路由器或远离核心网的设备上,如果CE路由器在用户的控制之中,IPSec将是非常好的选择;如果CE属于SP的管理范围,那么用户就必须确定是否信任SP,决定IPSec是运行在CE上还是在SP的范围之外增加其他IPSec设备。
