BGPMPLSVPN安全技术的研究.PDF

BGP MPLS VPN 安全技术的研究 吴英桦 摘要：本文分析了 BGP MPLS VPN 面临的安全威胁，说明了目前采用的几种主要的安全技 术，介绍了控制面、数据面、管理面上采取的安全措施。 关键词：PPVPN 虚拟专用网 1 概述 BGP MPLS VPN系统的构成如图1所示，CE路由器将用户站点的VPN路由传 送到PE，PE为VPN用户建立VRF路由表，PE之间通过MP-BGP协议交换用户的 VPN路由信息，建立和维护完整的VPN用户的内部路由表，在此基础上传送VPN 用户数据包。 三层 IP/MPLS VPN 网络系统必须保证控制面路由信息传送准确可靠，保证 数据面用户数据传送的私密性、准确性和完整性，保证管理面上配置信息的安 全性。为了支持这些功能，网络设备本身必须具备一定的抗攻击能力，安全上 需要考虑如下三个方面的问题： ·控制面上CE-PE、PE-PE之间VPN路由信息传送的安全性； ·数据面上CE-PE、PE-PE、CE-CE之间VPN用户数据传送的安全性； ·管理面管理信息的安全性。 MPLS VPN 系统 站点 CE1 PE1 P P PE2 CE2 站点 internet 注：CE －用户边界路由器 PE －运营商边界路由器 P －运营商路由器 图 1 三层IP/MPLS VPN系统结构示意图 5 2 面临的安全威胁 2.1 来自控制面的安全威胁 控制面上，提供 VPN 业务的运营商边界路由器（PE）之间要交换 VPN 路由 信息，运营商 IP 网络上的路由器（P）要交换公网路由信息，安全性攻击主要 针对的是这两类设备。安全威胁来自两个方面：一方面是攻击者对路由协议进 行攻击，非法交换路由信息造成的；另一方面是对路由器设备发动攻击，使路 由器无法正常工作造成的。主要的安全威胁表现在如下几个方面： 1）对PPVPN路由协议的攻击 对SP设备上运行的支持VPN业务的路由协议进行攻击，这种攻击通常在成 员发现和路由信息发布阶段进行，例如攻击者伪装为某个 PE 设备与 SP 的 PE 设备建立会话连接并交换路由信息，造成 VPN 内部路由的泄漏，攻击者还可以 通过伪造或窜改路由信息，使用户的数据流传往错误的方向，以便窃听和分析 用户的内部信息，进行下一步的攻击。 2）对网络基础设施的攻击 网络上用户数据包和路由协议包是共享带宽传送的，因此过多的用户业务 流有可能造成网络和设备资源被耗尽，使路由信息无法正常传送和处理，构成 安全威胁，这是一种以“资源挤占”为手段的攻击方式。对PE或P路由器的服 务拒绝攻击会影响和破坏路由信息的正常传送，防碍路由信息的建立和维护， 从而影响VPN数据包转发处理，影响到用户业务。 2.2 来自数据面的安全威胁 IP/MPLS VPN提供了严格的路由隔离机制，VPN用户之间的信息不会相互泄 漏，PE 之间通过 MPLS 隧道传送信息，这些措施的采用都保证了 PPVPN 具有较 强的安全性。但是，由于PPVPN用户通常与普通的IP用户公用网络基础设施， 因此 PPVPN 用户数据遭受安全性攻击的可能性并不能完全排除。PPVPN 数据面 上可能存在的安全威胁表现为几个方面： 1）未经授权查看数据流 这是指对 VPN 包进行嗅探，检查包中的内容，从而导致机密信息的泄漏。 当 VPN 数据传送路径上的某个设备被攻击者控制，或者非法设备被安插到 VPN 数据传输路径上时，攻击者就能够对 VPN 上传输的数据进行拦截和查看。还有 6 一种可能是搭线侦听，直接对链路上的信号进行复制和还原。非法查看数据往 往是攻击者实施其他类型的攻击的准备工作。 2）修