| 1. 介绍 |
| 随着IP/MPLS VPN 的VPN。对用户而言,IP/MP 计算机或LAN,也可以提供 提供商而言,IP/MPLS VPN 本,增加利润的重要手段。 |
的兴起,用户和运营商都将目光 LS VPN可以非常方面地替代租用 租用线的备份、冗余和峰值负载 是其未来数年内扩大业务范围, |
转向了这种极具竞争力和市场前景 线和传统的ATM/帧中继VPN来连接 分担等,费用节省明显。而就服务 保持竞争力和客户忠诚度,降低成 |
| 安全性保证是IP/M 的一个关键因素(另外一个 出传统的ATM/帧中继VPN存 的声誉。与人们对ATM/帧中 供了安全性保证,但由于人 性仍然存在很大疑虑。 |
PLS VPN(以下统称VPN)能否取 是QoS的保证)。尽管2000年2月 在严重的安全隐患,但ATM/帧中 继 VPN安全性非常信任的情况相 们普遍认为IP网本身是不安全的 |
代租用线和传统的ATM/帧中继 VPN Yankee group发表了研究报告,指 继VPN在安全性方面仍然享有很高 反,尽管IP/MPLS VPN技术声称提 ,因此对基于IP/MPLS的VPN的安全 |
| IP/MPLS的安全性 题并不容易,因为安全性是 是不可能保证安全的。本文 上(比如后门)和实施时( 方式的角度来探讨其安全性 |
究竟如何,比ATM/帧中继 VPN安 一个复杂的系统问题,任何一个 不讨论IP/MPLS与ATM/帧中继 VP 配置错误)的安全问题,而是从 。 |
全性要高还是不如?要回答这个问 网络系统单靠VPN提供的安全通信 N面临的相同的安全问题,如实现 不同的VPN隧道技术和不同的组网 |
| 2. VPN安全性实施方式 |
| 根据用户是否信任运营商以及用 安全性保障,也可以选择由用户自己实施 。 |
户数据的安全敏感程度,用户可以选择由运营商提供 安全性保障。IP/MPLS VPN同时支持这两种实施方式 |
| 2.1 用户不信任运营商 |
| 当用户不相信运营商提供的任何 户应该使用防火墙以及具有安全隧道功能 况下,用户自己负责所传递数据的安全性 隧道协议的安全性(后文对不同隧道协议 素。 |
形式的安全服务时(比如用户的数据特别敏感),用 的用户驻地设备(CPE)来实现IP/MPLS VPN。在这种情 ,VPN数据的安全性取决于用户防火墙以及所使用的 的安全性分别进行了讨论)等具体实施时的多方面因 |
| 与在传统的ATM/帧 ,运营商这时只负责提供传 用户自己负责。 |
中继VPN的中运营商只提供传递A 递IP/MPLS包的传输通道,不负 |
TM信元或帧中继帧的传输通道相似 责安全保证,隧道数据的安全性由 |
| 2.2 用户信任运营商 |
| 传统的基于帧中继和ATM的VPN都 ,也可以这样假设。 |
假定运营商是值得信赖的,在IP/MPLS VPN的实施中 |
| 在这种情况下,防 如果是基于网络的VPN,运 链路的安全性(这段链路一 的VPN,则运营商负责保证C 是一种基于CE的管理型VPN |
火墙功能的提供以及包传输的安 营商负责运营商两个边缘设备(P 般是用户专用的,通常认为是安 E设备到PE设备之间的安全性, 。 |
全性保证都是由运营商提提供的。 E)之间的安全性,不包括用户接入 全的);如果是基于用户设备(CE) 包括了用户接入链路的安全性,这 |
| 在不同场合下运营 到CE的路径本来就是安全的 营商的IP骨干网中传递), SONET/SDH电路,波长或光 节点间的隧道安全服务。如 全机制就很有必要。 |
商可以根据需要采用不同的安全 ,因为运营商拥有整个骨干网基 或者把部分骨干网外包给另一个 纤),那么就不大需要太高的安 果VPN数据的传递横跨多个运营 |
等级。如果运营商认为PE到PE或CE 础设施(VPN数据传递只在一个运 值得信赖的运营商(比如可能是 全机制(如IPSec)来提供骨干网 商的骨干网,那么使用高级别的安 |
| 3. IPSec的安全性 |
| IPSec是专门设计 效保护IP数据报的安全,所 ;数据内容的机密性保护; |
为IP提供安全服务的一种协议( 采取的具体保护形式包括:数据 抗重播保护等。 |
其实是一个协议族)。IPSec可有 源验证;无连接数据的完整性验证 |
| 使用IPSec协议中的认证头(AH) 上层协议(如UDP和TCP)进行保护,这种 式和传输模式)来提供。其中AH可以验证 的不断重播。ESP除具有AH的所有能力之 有限的机密性保障。 |
协议和封装安全载荷(ESP)协议,可以对IP数据报或 保护由IPSec两种不同的工作模式(分别对应隧道模 数据的起源、保障数据的完整性以及防止相同数据包 外,还可选择保障数据的机密性,以及为数据流提供 |
| AH和ESP协议根据安全联盟(SA) 立,也可以自动建立。IKE就是IPSec规定 商VPN,也可支持IP地址事先并不知道的 点的客户协商模式,这样可以隐藏端方身 |
规定的参数为IP数据包提供安全服务。SA可以手工建 的一种用来自动管理SA的协议。IKE的实现可支持协 远程接入。IKE必须支持协商方不是SA协商发生的端 份。 |
| 虽然到目前为止, 美之词,最主要的批评是它 两个运行模式:传输模式和 和/或加密。这导致了额外 可供选择:传输/AH,隧道/ 功能和性能差别都很小(因 的安全专家经过多年的研究 则应是多家竞争,择优使用 |
全球安全专家普遍认为IPSec是 的复杂性,因为系统复杂性是系 隧道模式,有两个安全协议:AH 的复杂性:打算认证一个包的两 AH,空加密的传输/ESP以及空加 此没有太大实际意义)。产生这 和讨论后折衷的产物。因此有安 ,正如AES(高级加密标准)那 |
最安全的IP协议,但也并非全是赞 统安全的主要威胁之一。IPSec有 和ESP。AH提供认证,ESP提供认证 台机器之间的通信总共有四种模式 密的隧道/ESP,而这些选择之间的 种问题的原因是IPSec是多个国家 全专家已经提出安全协议的设计原 样。 |
| ATM/帧中继 VPN的 保证主要来自它的“闭合用 据传递错误,不会监听用户 授权方进行流量分析等,根 的数据(如金融信息)等, VPN,连接的也是一组闭合 可以这样认为,IPSec比传 VPN技术。 |
“专用”性体现在虚电路连接的 户群(CUG)”的特性,假设运营 的流量,不会不经过授权就进入 本不提供认证和加密等安全服务 通常需要采用用户自己实施的链 的用户或社区,但这时提供的安 统的ATM/帧中继 VPN更强的安全 |
是一组闭合的用户或社区,安全性 商不会(恶意)错误配置而导致数 用户网络,不会被修改,不会被非 (当然如果用户需要传递特别敏感 路加密等方法)。而对于IPSec 全服务还包括认证和加密等。因此 服务,是到目前为止最为安全的 |
| 4. L2TP的安全性 |
| 二层隧道技术(L2TP) 定义了利 和帧中继)封装链路层PPP帧的方法。远 户网络之间通过拨号方式创建一个虚拟的 |
用包交换方式的公共网络基础设施(如IP网络、ATM 程拨号接入VPN(VPDN)通常使用L2TP在用户和企业客 点到点连接。 |
| 在L2TP隧道建立的 与PPP CHAP相同,能够在隧 建立过程,因此并不适用于 后,窃听隧道数据流或插入 |
过程中,隧道终点之间可以选择 道建立的过程中有效防止重放和 其它方面。对于一个恶意用户而 数据包是一件很容易的事情。 |
是否进行认证。这种认证的安全性 窃听攻击。该机制设计用于隧道的 言,在已经认证的隧道成功建立之 |
| 在使用中L2TP可能 的安全服务比较而言的): |
会遇到的安全性问题分析总结如 |
下(这些都是相对于IPSec所提供 |
| 1) L2TP只定义了对隧道的终端 数据报文。这样的隧道无法抵抗插入攻击 |
实体进行身份认证,而不是认证隧道中流过的每一个 和地址欺骗攻击。 |
| 2) L2TP由于没有 攻击:发送一些假冒的控制 |
针对每个数据报文的完整性校验 信息,导致L2TP隧道或底层PPP |
,就有可能进行拒绝服务 (DoS) 连接的关闭。 |
| 3) L2TP本身不提供任何加密手 |
段,当数据需要保密时,需要其它技术的支持。 |
| 4) 虽然PPP报文的 样进行监听的攻击者就可能 |
数据可以加密,但PPP协议不支 最终攻破密钥,从而得到所传输 |
持密钥的自动产生和自动刷新。这 的数据。 |
| 当L2TP运行在IP上 据包都是相同的UDP/IP数据 L2TP能够提供与IPSec相同 |
时是不安全的。但对于IPSec而 包,因此可以将L2TP与IPSec结 程度的安全性。 |
言,特定隧道的所有L2TP控制和数 合使用,使用IPSec安全保护后的 |
| 5. MPLS的安全性 |
| MPLS为每个IP包加上一个固定长 是一种隧道技术,所以使用它来建立VPN ,因此这里对MPLS VPN的安全性从多个方 路由器方式的实现的分析和介绍。 |
度的标签,并根据标签值转发数据包。MPLS实际上就 隧道十分容易而高效。由于MPLS 技术本身就非常新 面做了一个较为详细的、同时适用于BGP方式和虚拟 |
| 从下面的分析可以得出 手段提供了抗攻击和标记欺 证。 |
这样的结论:MPLS VPN采用路由 骗的手段,完全能够提供与传统 |
隔离、地址隔离和信息隐藏等多种 的ATM或帧中继VPN相类似的安全保 |
| 1) 路由隔离 |
| MPLS VPN实现了VPN之间的路由 独立的虚拟路由转发实例(VFI),每个VFI 运行路由协议)。因为每个VPN都产生一 影响。 |
隔离。每个PE路由器为每个所连接的VPN都维护一个 驻留来自同一VPN的路由(静态配置或在PE和CE之间 个独立的VFI,因此不会受到该PE路由器上其它VPN的 |
| 在穿越MPLS核心到其它PE路由器 的VPN标志符(比如路由区分器)来实现 。MP-BGP穿越核心网专门交换VPN路由, 它PE的特定VPN的VFI中,而不会把这些BG 个VPN的路由是相互隔离的。 |
时,这种隔离是通过为多协议BGP(MP-BGP)增加唯一 的(这是在BGP方式下,虚拟路由的方式与此类似) 只把路由信息重新分发给其它PE路由器,并保存在其 P信息重新分发给核心网络。因此穿越MPLS网络的每 |
| 2) 隐藏MPLS核心结构 |
| 出于安全考虑,运 以使攻击变得更加困难。如 击。但由于使用了“路由隔 |
营商和终端用户通常并不希望把 果知道了IP地址,一个潜在的攻 离”,MPLS不会将不必要的信息 |
它们的网络拓扑暴露给外界,这可 击者至少可以对该设备发起DoS攻 泄露给外界,甚至是向客户VPN。 |
| 在不提供因特网接 ATM网络相媲美,因为它不 因特网的互联时,其安全性 接入到因特网,那么运营商 户,存在被攻击的可能性。 |
入服务的“纯粹”的MPLS VPN中 会把任何编址信息泄露给第三方 等价于帧中继或ATM网络。但如 至少会把一个IP地址(对等PE路 |
,信息隐藏的程度可以与帧中继或 或因特网。因此当MPLS网络没有到 果客户选择通过MPLS核心网络同时 由器的)暴露给下一个运营商或用 |
| 3) 抗攻击性 |
| 因为进行了路由隔离,因此不可 上讲有可能利用路由协议对PE路由器进行 |
能从一个VPN攻击另外一个VPN或核心网络。但从理论 DoS攻击,或者攻击MPLS的信令信息。 |
| 要想攻击PE路由器就必须知道它 藏。另外,就算是攻击者猜测到了PE的IP 的MPLS“路由隔离”。对于MPLS信令系统 MD5认证,就能够有效防止虚假路由的问 源地址。 |
的IP地址,但由于上面介绍的原因,IP地址已经被隐 地址,也无法进行有效的攻击,因为已经进行了有效 的攻击,如果在所有PE/CE对等体上对路由协议使用 题。另外,很容易跟踪这种潜在的对PE的DoS攻击的 |
| 4) 标记欺骗 |
| 在MPLS网络中,包 。与IP欺骗攻击时攻击者替 欺骗。 |
的转发不是基于IP目的地址,而 代包的IP源地址和目的地址相似 |
是基于由PE路由器预先添加的标记 ,理论上有可能出现MPLS包的标记 |
| 任何CE路由器和它的对 由器不知道MPLS核心的存在 PE路由器应该不接受来自CE 址欺骗的可能性,但这可以 的网络,而无法攻击别人的 |
等PE路由器之间的接口主要是IP ,所有的“标记”工作都应该是 路由器的任何标记包。当然,发 通过地址隔离来实现,使得属于 网络。 |
接口(也就是说没有标记)。CE路 由PE完成的。因此出于安全考虑, 送到MPLS网络中的包仍然存在IP地 某个VPN的用户只可能攻击他自己 |
| 6. 总结 |
| 从上面的分析可以得到如下的IP/MPLS VPN的重要结论: |
| 1) 与传统ATM/帧中继 |
VPN类似,安全性可以由用户自 |
己实施,也可以由运营商实施。 |
| 2) 用于VPDN业务的L2TP只做连接建立时的身份认证,安全性存在隐患。 |
| 3) 根据分析,MPLS VPN的安全性与ATM/帧中继一样。 |
| 4) IPSec是到目前为 还要好。 |
止最为安全的协议,其安全性甚 |
至比享有很高的声誉的ATM/帧中继 |
| 5) IPSec与L2TP和MPL ,如果需要 “绝对”的安 |
S不是互斥的,而是可以结合使 全保,则可以与IPSec结合使用 |
用。在基于L2TP或MPLS组建VPN时 。 |
| 最后必须强调的是:安全问题是 身的安全性。 |
一个系统问题,不仅仅取决于VPN的这些隧道协议自 |