您好!欢迎光临云杰通信官网,本公司专业提供企业国际网络加速优化、企业MPLS-VPN、SD-WAN等跨境网络技术服务。
服务热线:13631779516

企业网络优化专家

国际网络互联综合解决方案

常见问题 NEWS

云杰通信助您了解行业,全方位掌握国际互联网最新资讯

您当前的位置:首页 > 资讯中心 > 常见问题

MPLS IP VPN安全吗?

2020-02-25 17:36:21云杰小编阅读:92

MPLS IP VPN安全吗?

随着IP/MPLSVPN的兴起,用户和运营商都将目光转向了这种极具竞争力和市场前景的VPN。对用户而言,IP/MPLSVPN可以非常方面地替代租用线和传统的ATM/帧中继VPN来连接计算机或LAN,也可以提供租用线的备份、冗余和峰值负载分担等,费用节省明显。而就服务提供商而言,IP/MPLSVPN是其未来数年内扩大业务范围,保持竞争力和客户忠诚度,降低成本,增加利润的重要手段。

IP/MPLS的安全性究竟如何,比ATM/帧中继VPN安全性要高还是不如?要回答这个问题并不容易,因为安全性是一个复杂的系统问题,任何一个网络系统单靠VPN提供的安全通信是不可能保证安全的。本文不讨论IP/MPLS与ATM/帧中继VPN面临的相同的安全问题,如实现上和实施时的安全问题,而是从不同的VPN隧道技术和不同的组网方式的角度来探讨其安全性。

VPN安全性实施方式

传统的基于帧中继和ATM的VPN都假定运营商是值得信赖的,在IP/MPLSVPN的实施中,也可以这样假设。

在这种情况下,防火墙功能的提供以及包传输的安全性保证都是由运营商提提供的。如果是基于网络的VPN,运营商负责运营商两个边缘设备(PE)之间的安全性,不包括用户接入链路的安全性(这段链路一般是用户专用的,通常认为是安全的);如果是基于用户设备(CE)的VPN,则运营商负责保证CE设备到PE设备之间的安全性,包括了用户接入链路的安全性,这是一种基于CE的管理型VPN。

IPSec的安全性

IPSec是专门设计为IP提供安全服务的一种协议(其实是一个协议族)。IPSec可有效保护IP数据报的安全,所采取的具体保护形式包括:数据源验证;无连接数据的完整性验证;数据内容的机密性保护;抗重播保护等。

使用IPSec协议中的认证头(AH)协议和封装安全载荷(ESP)协议,可以对IP数据报或上层协议(如UDP和TCP)进行保护,这种保护由IPSec两种不同的工作模式(分别对应隧道模式和传输模式)来提供。其中AH可以验证数据的起源、保障数据的完整性以及防止相同数据包的不断重播。ESP除具有AH的所有能力之外,还可选择保障数据的机密性,以及为数据流提供有限的机密性保障。

AH和ESP协议根据安全联盟(SA)规定的参数为IP数据包提供安全服务。SA可以手工建立,也可以自动建立。IKE就是IPSec规定的一种用来自动管理SA的协议。IKE的实现可支持协商VPN,也可支持IP地址事先并不知道的远程接入。IKE必须支持协商方不是SA协商发生的端点的客户协商模式,这样可以隐藏端方身份。

L2TP的安全性

二层隧道技术(L2TP)定义了利用包交换方式的公共网络基础设施(如IP网络、ATM和帧中继)封装链路层PPP帧的方法。远程拨号接入VPN(VPDN)通常使用L2TP在用户和企业客户网络之间通过拨号方式创建一个虚拟的点到点连接。

在L2TP隧道建立的过程中,隧道终点之间可以选择是否进行认证。这种认证的安全性与PPPCHAP相同,能够在隧道建立的过程中有效防止重放和窃听攻击。该机制设计用于隧道的建立过程,因此并不适用于其它方面。对于一个恶意用户而言,在已经认证的隧道成功建立之后,窃听隧道数据流或插入数据包是一件很容易的事情。

在使用中L2TP可能会遇到的安全性问题分析总结如下(这些都是相对于IPSec所提供的安全服务比较而言的):

  1. L2TP只定义了对隧道的终端实体进行身份认证,而不是认证隧道中流过的每一个数据报文。这样的隧道无法抵抗插入攻击和地址欺骗攻击。

  2. L2TP由于没有针对每个数据报文的完整性校验,就有可能进行拒绝服务(DoS)攻击:发送一些假冒的控制信息,导致L2TP隧道或底层PPP连接的关闭。

  3. L2TP本身不提供任何加密手段,当数据需要保密时,需要其它技术的支持。

  4. 虽然PPP报文的数据可以加密,但PPP协议不支持密钥的自动产生和自动刷新。这样进行监听的攻击者就可能最终攻破密钥,从而得到所传输的数据。

  5. 当L2TP运行在IP上时是不安全的。但对于IPSec而言,特定隧道的所有L2TP控制和数据包都是相同的UDP/IP数据包,因此可以将L2TP与IPSec结合使用,使用IPSec安全保护后的L2TP能够提供与IPSec相同程度的安全性。

MPLS的安全性

MPLS为每个IP包加上一个固定长度的标签,并根据标签值转发数据包。MPLS实际上就是一种隧道技术,所以使用它来建立VPN隧道十分容易而高效。由于MPLS技术本身就非常新,因此这里对MPLSVPN的安全性从多个方面做了一个较为详细的、同时适用于BGP方式和虚拟路由器方式的实现的分析和介绍。

从下面的分析可以得出这样的结论:MPLSVPN采用路由隔离、地址隔离和信息隐藏等多种手段提供了抗攻击和标记欺骗的手段,完全能够提供与传统的ATM或帧中继VPN相类似的安全保证。

1)路由隔离

MPLSVPN实现了VPN之间的路由隔离。每个PE路由器为每个所连接的VPN都维护一个独立的虚拟路由转发实例(VFI),每个VFI驻留来自同一VPN的路由(静态配置或在PE和CE之间运行路由协议)。因为每个VPN都产生一个独立的VFI,因此不会受到该PE路由器上其它VPN的影响。

在穿越MPLS核心到其它PE路由器时,这种隔离是通过为多协议BGP(MP-BGP)增加唯一的VPN标志符(比如路由区分器)来实现的(这是在BGP方式下,虚拟路由的方式与此类似)。MP-BGP穿越核心网专门交换VPN路由,只把路由信息重新分发给其它PE路由器,并保存在其它PE的特定VPN的VFI中,而不会把这些BGP信息重新分发给核心网络。因此穿越MPLS网络的每个VPN的路由是相互隔离的。

2)隐藏MPLS核心结构

出于安全考虑,运营商和终端用户通常并不希望把它们的网络拓扑暴露给外界,这可以使攻击变得更加困难。如果知道了IP地址,一个潜在的攻击者至少可以对该设备发起DoS攻击。但由于使用了“路由隔离”,MPLS不会将不必要的信息泄露给外界,甚至是向客户VPN。

在不提供因特网接入服务的“纯粹”的MPLSVPN中,信息隐藏的程度可以与帧中继或ATM网络相媲美,因为它不会把任何编址信息泄露给第三方或因特网。因此当MPLS网络没有到因特网的互联时,其安全性等价于帧中继或ATM网络。但如果客户选择通过MPLS核心网络同时接入到因特网,那么运营商至少会把一个IP地址(对等PE路由器的)暴露给下一个运营商或用户,存在被攻击的可能性。

3)抗攻击性

因为进行了路由隔离,因此不可能从一个VPN攻击另外一个VPN或核心网络。但从理论上讲有可能利用路由协议对PE路由器进行DoS攻击,或者攻击MPLS的信令信息。

要想攻击PE路由器就必须知道它的IP地址,但由于上面介绍的原因,IP地址已经被隐藏。另外,就算是攻击者猜测到了PE的IP地址,也无法进行有效的攻击,因为已经进行了有效的MPLS“路由隔离”。对于MPLS信令系统的攻击,如果在所有PE/CE对等体上对路由协议使用MD5认证,就能够有效防止虚假路由的问题。另外,很容易跟踪这种潜在的对PE的DoS攻击的源地址。

4)标记欺骗

在MPLS网络中,包的转发不是基于IP目的地址,而是基于由PE路由器预先添加的标记。与IP欺骗攻击时攻击者替代包的IP源地址和目的地址相似,理论上有可能出现MPLS包的标记欺骗。

任何CE路由器和它的对等PE路由器之间的接口主要是IP接口(也就是说没有标记)。CE路由器不知道MPLS核心的存在,所有的“标记”工作都应该是由PE完成的。因此出于安全考虑,PE路由器应该不接受来自CE路由器的任何标记包。当然,发送到MPLS网络中的包仍然存在IP地址欺骗的可能性,但这可以通过地址隔离来实现,使得属于某个VPN的用户只可能攻击他自己的网络,而无法攻击别人的网络。

从上面的分析可以得到如下的IP/MPLSVPN的重要结论:

  1. 与传统ATM/帧中继VPN类似,安全性可以由用户自己实施,也可以由运营商实施。

  2. 用于VPDN业务的L2TP只做连接建立时的身份认证,安全性存在隐患。

  3. 根据分析,MPLSVPN的安全性与ATM/帧中继一样。

  4. IPSec是到目前为止最为安全的协议,其安全性甚至比享有很高的声誉的ATM/帧中继还要好。

  5. IPSec与L2TP和MPLS不是互斥的,而是可以结合使用。在基于L2TP或MPLS组建VPN时,如果需要“绝对”的安全保,则可以与IPSec结合使用。

最后必须强调的是:安全问题是一个系统问题,不仅仅取决于VPN的这些隧道协议自身的安全性。

文章标题:《MPLS IP VPN安全吗?》

作  者:云杰小编。本文部分资料来源于网络,转载目的在于传递更多信息及学习参考:https://www.gdyunjie.cn/showinfo-115-1328-0.html

主要业务
国际网络加速MPLS-VPNSD-WAN短信业务
行业解决方案
跨境电商智能制造业互联网医疗国际教育
关于我们
公司简介服务支持商务合作 联系我们
Copyright @ 版权所有2012-2019 广东云杰通信有限公司 粤ICP备18062193号-2

在线咨询

在线咨询真诚为您提供专业解答服务

咨询热线

13631779516欢迎致电咨询

微信咨询

二维码微信扫一扫咨询
返回顶部