在經(jīng)濟(jì)全球化的今天，越來越多的企業(yè)在全球各地開辦分支機(jī)構(gòu)，同時(shí)隨著企業(yè)信息化進(jìn)程的加快，網(wǎng)絡(luò)中的各種應(yīng)用，如電子商務(wù)、視頻會(huì)議等在各行各業(yè)中不斷普及。為了保證信息傳遞的實(shí)時(shí)性與安全性，企業(yè)紛紛組建自己的VPN(虛擬專用網(wǎng))。

　　通常VPN 用戶對(duì)網(wǎng)絡(luò)的基本要求是保證數(shù)據(jù)的安全性、網(wǎng)絡(luò)操作的簡(jiǎn)便性和網(wǎng)絡(luò)的可擴(kuò)展性。傳統(tǒng)的VPN 采用隧道技術(shù)為用戶在公網(wǎng)上傳遞私有數(shù)據(jù)存在很多缺陷，已經(jīng)很難滿足用戶對(duì)VPN的需求。MPLS(多協(xié)議標(biāo)簽交換)VPN 是基于MPLS 協(xié)議構(gòu)建的一種站點(diǎn)到站點(diǎn)的VPN 技術(shù)，它繼承了MPLS 網(wǎng)絡(luò)的優(yōu)勢(shì)，具有擴(kuò)展性強(qiáng)、易于實(shí)現(xiàn)服務(wù)質(zhì)量、服務(wù)等級(jí)和流量工程等特點(diǎn)。但是在安全性方面，盡管MPLS VPN 采用了嚴(yán)格的路由隔離，依然有受到內(nèi)網(wǎng)和外網(wǎng)攻擊的可能。本文提出一種方案，在控制層面上對(duì)MPLS VPN 核心網(wǎng)絡(luò)的安全性進(jìn)行了加強(qiáng)改進(jìn)。

　 1.MPLS VPN 的安全性分析

　　1.1 MPLS VPN 自身安全保障分析

　　MPLS VPN 采用地址隔離、路由隔離和核心隱藏等手段，提供防范攻擊和抗標(biāo)記欺騙的安全保障。

　　(1)地址空間和路由隔離

　　MPLS VPN 在不同VPN 的IP 地址前添加了不同的RD(路徑區(qū)分符)，可以確保VPN 用戶的IP地址在全網(wǎng)唯一，即不同的VPN 可以使用相同的地址空間。同時(shí)，PE(服務(wù)提供商邊緣路由器)為每個(gè)VPN 維護(hù)一個(gè)獨(dú)立的VRF(VPN 路由轉(zhuǎn)發(fā)表)，控制每個(gè)VPN 的流量，使其只會(huì)在本VRF內(nèi)轉(zhuǎn)發(fā)。

　　(2)核心信息隱藏

　　由于只有PE 上包含了VPN 的信息，MPLS VPN不需要暴露任何有關(guān)核心網(wǎng)的信息給用戶。由于不知道網(wǎng)絡(luò)拓?fù)�，攻擊者只能通過猜測(cè)IP 地址進(jìn)行攻擊，使得攻擊變得艱難。

　　(3)抗標(biāo)記欺騙

　　在MPLS 網(wǎng)絡(luò)中交換是基于標(biāo)簽的，標(biāo)簽交換不會(huì)在通向CE(用戶邊緣路由器)的PE 接口上出現(xiàn)，同樣任何一個(gè)從CE 到達(dá)PE 上標(biāo)記過的分組將被丟棄。因此，通過標(biāo)記欺騙來實(shí)施攻擊是不可能的。

　　1.2 可能遇到的安全威脅

　　從前面的分析可知，攻擊者無法從一個(gè)VPN攻擊另一個(gè)VPN。因此，他們可能會(huì)通過攻擊MPLS 核心網(wǎng)絡(luò)來攻擊VPN。

　　核心網(wǎng)絡(luò)中，PE之間交換MP-BGP(多協(xié)議擴(kuò)展BGP-4)路由信息建立VPN 路由表，P(服務(wù)商路由器)之間交換公網(wǎng)路由信息建立公網(wǎng)傳輸路徑。因此，攻擊者通常偽裝成PE 與運(yùn)營商網(wǎng)絡(luò)的PE 建立連接并交換路由信息，獲取VPN 的內(nèi)部路由，篡改或偽造路由信息，使用戶數(shù)據(jù)流入自己的PE 設(shè)備。除此之外，攻擊者對(duì)PE 或P 的DoS (拒絕服務(wù))攻擊會(huì)影響和破壞路由信息的正常交換，妨礙路由表的建立和維護(hù)，導(dǎo)致VPN 數(shù)據(jù)包的轉(zhuǎn)發(fā)丟失或錯(cuò)誤。

   2.安全改進(jìn)方案

    2.1 改進(jìn)思路

    為防御攻擊，需要在路由器間加強(qiáng)鄰居安全，如增加MD5(信息摘要算法第五版)鑒權(quán)機(jī)制。如果MPLS 域內(nèi)所有的設(shè)備都配置同一MD5 密鑰，則密鑰的泄漏會(huì)導(dǎo)致整個(gè)域內(nèi)認(rèn)證失效。但是為每一對(duì)路由器單獨(dú)配置一個(gè)密鑰，則會(huì)大大增加管理配置的復(fù)雜度。因此，考慮使用另一種簡(jiǎn)單有效的保護(hù)機(jī)制GTSM(通用TTL安全機(jī)制)。

　　GTSM是一種基于TTL(生存周期)的安全保護(hù)機(jī)制，通過檢查協(xié)議報(bào)文中的TTL 值是否在一個(gè)預(yù)先定義好的特定范圍內(nèi)，來確定與自己建立連接的對(duì)端路由器是否合法。攻擊者經(jīng)過簡(jiǎn)單的調(diào)試即可知道與目標(biāo)路由器的距離，然后設(shè)置相應(yīng)的TTL值，靠路徑上路由器的遞減，使得包到達(dá)目標(biāo)路由器時(shí)TTL 值正好為指定值，即可以進(jìn)行DoS攻擊。在MPLS域內(nèi)，P之間建立基于LDP(標(biāo)簽分發(fā)協(xié)議)的直連鄰居關(guān)系，如果事先設(shè)置GTSM，使得路由器只發(fā)出TTL為255的LDP 包，且只接收鄰居發(fā)來的TTL 為255的LDP包，則攻擊者除非是直接連在目標(biāo)路由器上，否則目標(biāo)路由器收到的攻擊包必然是TTL小于255的，因此很容易分辨出對(duì)端路由器是否合法。同時(shí)，GTSM 僅僅依靠對(duì)每個(gè)IP包都會(huì)攜帶的TTL 字段進(jìn)行處理，不會(huì)增加帶寬消耗，也不需要經(jīng)過復(fù)雜的加解密程，可以實(shí)現(xiàn)迅速而有效的保護(hù)。

　　2.2 方案流程

　　根據(jù)以上分析，方案設(shè)計(jì)在PE之間采用基于MP-BGP的MD5鑒權(quán)機(jī)制，將所有PE 劃分為不同區(qū)域，為每個(gè)區(qū)域配置不同的MD5 密鑰，由于PE的數(shù)量較少，對(duì)網(wǎng)絡(luò)管理影響不大。而在P 直連鄰居間采用基于LDP的GTSM機(jī)制。

　　(1)基于MP-BGP 的MD5 鑒權(quán)

　　在PE上為BGP鄰居配置一致的MD5 認(rèn)證密鑰后，發(fā)送BGP消息之前，PE 將BGP 消息與設(shè)置的認(rèn)證密鑰一起進(jìn)行MD5 計(jì)算，將計(jì)算出的信息摘要填充在TCP(傳輸控制協(xié)議)頭部后面，然后再將消息發(fā)送出去。

　　當(dāng)接收端路由器收到BGP 消息后，先取得相關(guān)信息段與本地密鑰進(jìn)行MD5 計(jì)算，將結(jié)果與收到的消息中的信息摘要相對(duì)比，若一致則接收，若不一致則說明報(bào)文被篡改過或密鑰不一致，直接丟棄。

　　(2)基于LDP的GTSM 機(jī)制

　　LDP 會(huì)話時(shí)兩端路由器發(fā)送Hello消息進(jìn)行鄰居發(fā)現(xiàn)，為使雙方協(xié)商并使用GTSM，需要在Hello消息中使用一個(gè)標(biāo)志位來表示自己是否使能GTSM。為了不影響MPLS 基礎(chǔ)功能，取Hello消息中Common Hello TLV 保留字段的第一個(gè)bit位作為G 標(biāo)志位。G為1，表示本路由器使能GTSM；G為0，表示本路由器未使能GTSM。只有雙方都使能，才能協(xié)商成功。擴(kuò)展后Common Hello TLV格式如圖1所示。

T：是否為遠(yuǎn)端連接  G：是否使能GTSM  R：是否發(fā)送目標(biāo)Hello包
圖1 擴(kuò)展后Common Hello TLV 格式

　　協(xié)商成功后，路由器發(fā)送與接收LDP 消息都會(huì)經(jīng)過如下處理流程：

　　(1)發(fā)送LDP 消息時(shí)，路由器首先判斷該協(xié)議是否注冊(cè)了GTSM 機(jī)制。若沒有注冊(cè)，則直接發(fā)送消息；若已注冊(cè)，則路由器先將TTL 字段設(shè)為255，然后通過數(shù)據(jù)發(fā)送模塊發(fā)送出去。

　　(2)在接收方，路由器收到LDP 消息后先判斷該協(xié)議是否注冊(cè)了GTSM 機(jī)制。若沒有注冊(cè)，則直接送交LDP 模塊處理;若已注冊(cè)，檢查TTL 字段，如果TTL=255，則接收并交給LDP 模塊進(jìn)行處理，如果TTL≠255，則直接丟棄。由此可見，在LDP 上增加GTSM，協(xié)商時(shí)只使用了Hello消息的一個(gè)保留位，在處理LDP 消息前只需對(duì)TTL作簡(jiǎn)單處理，因此這一功能模塊的添加對(duì)MPLS VPN 基本功能和網(wǎng)絡(luò)性能的影響不大。

　 3.實(shí)驗(yàn)及結(jié)果分析

    按圖2所示拓?fù)浯罱▽?shí)驗(yàn)網(wǎng)絡(luò)。

圖2 實(shí)驗(yàn)拓?fù)鋱D

　　(1)在PE上使用基于BGP的MD5

　　為PE1與PE2配置相同的密鑰，在攻擊者路由器上分別配置正確密鑰、錯(cuò)誤密鑰和不配置密鑰，在這3種情況下，PE1上的路由表內(nèi)容如圖3所示。

圖3 3種情況下PE1的路由表

　　由實(shí)驗(yàn)結(jié)果可以看出，當(dāng)攻擊者無法獲取正確密鑰或無密鑰配置時(shí)，PE1上不會(huì)出現(xiàn)攻擊者發(fā)布的路由信息，此時(shí)攻擊者無法對(duì)BGP進(jìn)行路由信息的攻擊，因此在BGP上配置MD5 密鑰可以保證PE間的鄰居安全。

    (2)在P上使用基于LDP 的GTSM

    在P與攻擊者PE 上使能GTSM，從攻擊者PE發(fā)送標(biāo)簽信息攻擊P，P的標(biāo)簽轉(zhuǎn)發(fā)表如圖4所示。

圖4 P的標(biāo)簽轉(zhuǎn)發(fā)表

    由圖4可以看出，由于不能與目標(biāo)路由器直接相連，攻擊者發(fā)往目標(biāo)路由器的LDP 包會(huì)因?yàn)門TL<255而被丟棄，無法對(duì)目標(biāo)路由器的LDP發(fā)動(dòng)攻擊。而為LDP增加GTSM，只需為每個(gè)路由器增加一條相同的使能命令，配置與管理都十分簡(jiǎn)單。

   4.結(jié)束語

    MPLS VPN 能為用戶提供靈活、安全和實(shí)時(shí)的傳輸需求，它將是未來構(gòu)建VPN 技術(shù)發(fā)展的方向，具有廣闊的應(yīng)用前景。而是否具有良好的安全性，是MPLS VPN 能否大規(guī)模商用的關(guān)鍵。本文提出的安全改進(jìn)方案，根據(jù)MPLS VPN 的特點(diǎn)，在BGP鄰居和LDP 鄰居間分別采用MD5 和GTSM 鄰居保護(hù)機(jī)制，可以有效防范非法用戶的侵入、DoS 攻擊等安全威脅，為MPLS VPN 提供更強(qiáng)的安全保障，與此同時(shí)卻并不增加網(wǎng)絡(luò)管理和程序處理的復(fù)雜
度，可以很好地滿足用戶及運(yùn)營商的需求。 

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：MPLS VPN 核心網(wǎng)的鄰居保護(hù)方案

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839411367.html