慧聪网首页 > 通信行业 > 技术文章 > 传输网
MPLS VPN安全问题探讨
 
慧聪网   2005年11月1日13时59分   信息来源:泰尔网 作者:吴英桦    

  导读:首先指出MPLSVPN可能受到的安全威胁,然后分析了三层VPN、二层VPN在数据面、控制面和管理面上传送信息的安全性,提出目前在网络上可以采用的安全措施。

    关键词:MPLSVPN二层VPN三层VPN安全

    IP/MPLSVPN技术采用了严格的路由信息隔离机制,同时采用面向连接的方式在运营商边界(PE)设备之间建立标记交换隧道来传送用户信息,在一定程度上保证了用户信息传送的安全性。但作为基于IP的技术,其安全性是相对于普通的IP数据业务而言的,IP/MPLSVPN仍然有可能遭受来自IP网络的攻击,因此仍需采用必要的安全措施来保障系统的安全性。

    一、IP/MPLSVPN面临的安全问题

    IP/MPLS系统的信息传送和处理分为控制面、数据面和管理面三个层面。控制面完成路由信息的交换和处理,建立并维护VPN路由表;数据面完成VPN用户数据包的转发功能;管理面完成设备的配置管理及相应管理信息的传送功能。对系统安全的威胁也往往针对这三个层面。

    1.来自控制面的安全威胁 

    控制面上,提供VPN业务的运营商边界路由器(PE路由器)之间要交换VPN路由信息,运营商IP网络上的路由器(P路由器)要交换公网路由信息,安全性攻击主要针对这两类设备。因此,控制面上的安全威胁主要来自两个方面:一方面是攻击者对路由协议进行攻击,主要由非法交换路由信息而造成;另一方面是攻击者对路由器设备发动攻击而使得路由器无法正常工作造成的。

    (1)对VPN路由协议的攻击

    对业务提供商(SP)设备上运行的支持VPN业务的路由协议进行攻击,通常在成员发现和路由信息发布阶段进行。例如,攻击者伪装成某个PE设备与SP的PE设备建立会话连接并交换路由信息,造成VPN内部路由的泄漏;攻击者还可以通过伪造或篡改路由信息,使用户的数据流传往错误的方向,以便窃听和分析用户的内部信息,从而进行下一步的攻击。

    (2)对网络基础设施的攻击

    由于网络上的用户数据包和路由协议包是共享带宽传送的,因此过多的用户业务流有可能造成网络和设备资源被耗尽,使路由信息无法正常传送和处理,构成安全威胁,这是一种以“资源挤占”为手段的攻击方式。对PE或P路由器的拒绝服务(DoS)攻击会影响和破坏路由信息的正常传送,防碍路由信息的建立和维护,从而影响VPN数据包的转发处理,进而影响到用户业务。

    2.来自数据面的安全威胁

    IP/MPLSVPN提供了严格的路由隔离机制,VPN用户之间的信息传送是严格隔离的,在建立专网、使用专用的网络资源(包括PE路由器、P路由器、中继线路等)开放业务的情况下,数据面上VPN用户的信息传送有可靠的安全保障。数据面上的安全威胁主要表现为以下两个方面:

    (1)来自Internet的安全威胁

    在VPN用户访问Internet的情况下,攻击者可以通过IP源地址欺骗、TCP会话劫持、种植特洛伊木马等Internet上传统的攻击手段发起攻击,对用户数据流进行非授权的查看、修改、伪造和删除等操作,对设备发起DoS攻击。

    (2)来自共享设备的安全威胁

    IP/MPLSVPN业务可以利用非专用网络开放,普通的IP用户和VPN用户可以共用网络资源(例如P路由器、中继线路等)。这种情况下,虽然VPN采用的隧道机制可以在一定程度上保证信息传送的安全性,但所有的安全措施只是提高了安全防卫的门槛,使黑客实施攻击的难度大大增加,却并不能完全排除攻击者非法捕获、伪造和重放标记包的可能性,VPN用户信息传送的安全性仍面临威胁。

    3.来自管理面的安全威胁

    管理面上的安全威胁一方面来自网络黑客的攻击,一方面则是由于管理员的误操作造成的。

    (1)通过管理接口攻击SP的设备

    这种安全威胁主要表现为:攻击者以远程接入方式经网络接入网管系统(例如采用拨号方式接入,利用telnet或http访问网管接口),通过口令猜测等手段非法获得网管接口的访问控制权,非法访问SP基础设施的管理系统,对设备中的配置管理信息进行查看,非法提取信息(例如统计、拓扑信息等)甚至对设备配置进行改动,通过种植病毒、木马、开后门等恶意手段实施攻击。

 
 
评论    【推荐】 【打印】 【论坛
 
 
[热门关键词]:MPLS VPN 安全 
特别推荐: 
· [专题]拍照手机将蚕食数码相机市场?
· [专题]科健爆特大财务丑闻9月1日被迫退市
更多精彩:
· [专题]熊猫马志平被捕 10亿黑洞三大悬疑
· [专题]中移动海外扩张 收购路线图初现
 相关文章 更多 
·MPLS弥补以太网缺陷运营商提供服务  (10.24 9:59)
·MPLS技术在城域传送网中的应用探析  (9.29 14:9)
·MPLS应用于接入网络提供高端业务  (9.13 11:1)
·谈NGI、MPLS与IPv6技术的融合探讨  (8.15 11:31)
·NGI、MPLS与IPv6的融合  (4.5 15:0)
·VPN技术的发展现状及展望  (4.4 14:49)
·GMPLS流量工程的一种仿真试验  (2.28 17:28)
·MPLS在城域网中的应用  (2.17 16:15)
·VPN中的隧道技术详解  (1.26 15:31)
·MPLS与ATM多重角色的较量与融合  (1.14 15:9)
 我来评两句〖查看最新评论〗 
请您注意:
·遵守中华人民共和国的各项有关法律法规
·承担一切因您的行为而导致的法律责任
·本网留言板管理人员有权删除其管辖留言内容
·您在本网的留言,本网有权在网站内转载或引用
·参与本留言即表明您已经阅读并接受上述条款
昵称:匿名
 
分类广告  
产品交易市场
[求购] 大量短信卡
[求购] 网络分析仪
[求购] 电话限时器
[求购] 来电显示电话机
[求购] 中文P/TD电话机
[招标] 交警队通信系统
[招标] 社保触摸屏等设备
热点专题
“简单”线缆复杂应用
你家楼顶的基站安全吗?
高通反诉讼诺基亚侵权
光通信技术与市场研讨会
手机配件:一个都不能少
第四届电信增值业务论坛
首部短信法规近日将出台
行业书店