MPLS—VPN環(huán)境中數(shù)據(jù)安全隱患分析與防護(hù)論文

　　通過(guò)對(duì)MPLS-VPN網(wǎng)絡(luò)環(huán)境進(jìn)行分析，得出MPLS VPN環(huán)境中數(shù)據(jù)傳輸存在的安全隱患，針對(duì)安全隱患分析提出路由間認(rèn)證、安全審計(jì)、Ipsec數(shù)據(jù)加密、冗余鏈路解決方案和措施。對(duì)網(wǎng)絡(luò)環(huán)境防護(hù)前后進(jìn)行對(duì)比得出MPLS-VPN的應(yīng)用特點(diǎn)。

　　企業(yè)信息化和規(guī)模的擴(kuò)大使得不同地區(qū)之間數(shù)據(jù)實(shí)時(shí)互訪需求越發(fā)強(qiáng)烈，如何為企業(yè)提供高效、靈活、安全的網(wǎng)絡(luò)訪問(wèn)技術(shù)，MPLS (多協(xié)議標(biāo)簽交換)VPN應(yīng)運(yùn)而生。MPLS VPN通過(guò)結(jié)合數(shù)據(jù)鏈路層和三層路由技術(shù)的優(yōu)勢(shì)，在現(xiàn)代快速網(wǎng)絡(luò)中得到了廣泛的應(yīng)用，尤其是電信運(yùn)營(yíng)商、大型企業(yè)及政府單位，但在MPLS VPN的環(huán)境中數(shù)據(jù)傳輸存在的隱患卻值得思考。

　　1 基本理論

　　1.1 MPLS簡(jiǎn)介

　　多協(xié)議標(biāo)簽交換(Multiprotocol Label Switching)起源于IPv4，是一種用于數(shù)據(jù)包快速交換和路由的體系。LSR(Label Switching Router)是MPLS網(wǎng)絡(luò)的基本構(gòu)成單元，由LSR構(gòu)成的網(wǎng)絡(luò)稱(chēng)為MPLS域。位于MPLS域邊緣、連接其他用戶(hù)網(wǎng)絡(luò)的LSR稱(chēng)為L(zhǎng)ER(Label Edge Router，邊緣LSR)，區(qū)域內(nèi)部的LSR稱(chēng)為核心LSR。

　　1.2 VPN簡(jiǎn)介

　　VPN是一個(gè)可靠的，在公用網(wǎng)絡(luò)上搭建的臨時(shí)連接，它通過(guò)邏輯隧道連接地理上分散的網(wǎng)絡(luò)。VPN技術(shù)通常用于擴(kuò)大企業(yè)網(wǎng)絡(luò)，通過(guò)VPN可以將遠(yuǎn)程接入的用戶(hù)、企業(yè)分支機(jī)構(gòu)和合作伙伴與企業(yè)內(nèi)部之間建立信息安全連接，并能保證可靠的數(shù)據(jù)傳輸。VPN主要采用安全隧道技術(shù)，用戶(hù)認(rèn)證技術(shù)，訪問(wèn)控制技術(shù)和加解密技術(shù)。

　　1.3 MPLS VPN原理

　　MPLS VPN是一種基于MPLS技術(shù)的IP虛擬專(zhuān)用網(wǎng)絡(luò)，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)[1]。它融合了傳統(tǒng)路由技術(shù)，使用標(biāo)簽交換，簡(jiǎn)化運(yùn)營(yíng)商網(wǎng)絡(luò)的路由選擇方式，可用來(lái)構(gòu)造寬帶的企業(yè)內(nèi)部網(wǎng)絡(luò)和外網(wǎng)，滿(mǎn)足多種靈活的業(yè)務(wù)需求[2]。

　　1.3.1 MPLS VPN的設(shè)備角色

　　組成MPLS VPN網(wǎng)絡(luò)的路由器共有三個(gè)類(lèi)別：用戶(hù)邊緣路由器(CE)，運(yùn)營(yíng)商邊緣標(biāo)簽轉(zhuǎn)發(fā)路由器(PE LSR)和運(yùn)營(yíng)商骨干標(biāo)簽轉(zhuǎn)發(fā)路由器(P LSR)：

　　CE是用戶(hù)端邊緣路由器，VPN用戶(hù)的網(wǎng)絡(luò)終端直接與服務(wù)提供商相連的設(shè)備，為用戶(hù)提供到達(dá)PE路由器的連接。

　　PE LSR是運(yùn)營(yíng)商的邊緣標(biāo)簽轉(zhuǎn)發(fā)路由器。它與用戶(hù)的邊緣路由器直接相連，對(duì)進(jìn)入MPLS網(wǎng)絡(luò)的流量進(jìn)行劃分，把相同的流量歸于同一個(gè)FEC然后分配相應(yīng)的標(biāo)簽，進(jìn)行流量的劃分，標(biāo)簽的壓入和彈出功能，并且負(fù)責(zé)和其他PE路由器進(jìn)行交換路由信息，充當(dāng)數(shù)據(jù)轉(zhuǎn)發(fā)的載體，把來(lái)自CE路由器的信息通過(guò)標(biāo)簽交換傳遞給另一端的CE端[3]。

　　P LSR是運(yùn)營(yíng)商網(wǎng)絡(luò)除了邊緣路由器的核心設(shè)備，提供標(biāo)簽分發(fā)和標(biāo)簽交換功能，在數(shù)據(jù)包的傳輸過(guò)程中使用添加外層標(biāo)簽來(lái)代替?zhèn)鹘y(tǒng)路由的繁雜查找。

　　1.3.2 標(biāo)簽轉(zhuǎn)發(fā)原理

　　當(dāng)數(shù)據(jù)包到達(dá)PE 路由器時(shí)，找到到達(dá)目的地的下一跳所給的標(biāo)簽，通過(guò)CEF轉(zhuǎn)發(fā)給下一跳標(biāo)簽轉(zhuǎn)發(fā)路由器，下一跳路由器接收到數(shù)據(jù)包時(shí)，執(zhí)行標(biāo)簽轉(zhuǎn)發(fā)表，并為數(shù)據(jù)包交換標(biāo)簽，再發(fā)給下一跳路由器。倒數(shù)第二跳標(biāo)簽轉(zhuǎn)發(fā)路由器執(zhí)行標(biāo)簽查找時(shí)，將數(shù)據(jù)包的標(biāo)簽彈出，即倒數(shù)第二跳標(biāo)簽機(jī)制，數(shù)據(jù)包傳輸?shù)娇拷�分支的PE路由器，通過(guò)三層路由查找到達(dá)分支用戶(hù)端，實(shí)現(xiàn)MPLS VPN的這個(gè)傳輸過(guò)程[4]。

　　2 基于MPLS VPN網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)碾[患分析

　　為了對(duì)基于MPLS VPN網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)碾[患分析，本文使用GN3搭建網(wǎng)絡(luò)仿真，網(wǎng)絡(luò)拓?fù)鋱D如圖1所示，總部HQ網(wǎng)絡(luò)與分部Branch網(wǎng)絡(luò)通過(guò)由ISP構(gòu)建的MPLS VPN網(wǎng)絡(luò)互聯(lián)。通過(guò)對(duì)總部網(wǎng)絡(luò)到達(dá)分部網(wǎng)絡(luò)的數(shù)據(jù)傳輸為基礎(chǔ)尋找安全隱患路徑。

　　2.1 PE-CE間的入侵

　　當(dāng)總部的網(wǎng)絡(luò)鎖傳輸?shù)臄?shù)據(jù)到達(dá)邊緣時(shí)，MPLS VPN在PE和CE間只是簡(jiǎn)單地使用IGP協(xié)議完成連接，而且企業(yè)邊緣設(shè)備和運(yùn)營(yíng)商邊緣設(shè)備的連接不屬于內(nèi)部網(wǎng)絡(luò)，中間長(zhǎng)距離的部署連接中間可能存在入侵問(wèn)題，如圖2所示。

　　在PE和CE間只要插入一臺(tái)交換機(jī)，入侵者配置與CE和PE間相同網(wǎng)段的路由，就可以實(shí)現(xiàn)入侵，無(wú)論是數(shù)據(jù)的監(jiān)聽(tīng)，還是偽裝成第三方與VPN內(nèi)部進(jìn)行通信，都是可行的。

　　2.2 運(yùn)用商內(nèi)部的配置失誤

　　當(dāng)數(shù)據(jù)傳輸?shù)竭\(yùn)營(yíng)商內(nèi)部時(shí)，如果沒(méi)有實(shí)施必要的安全措施，可能存在內(nèi)部人員的配置失誤導(dǎo)致不同用戶(hù)之間的數(shù)據(jù)傳輸混亂。如新PE端與連接分部網(wǎng)絡(luò)的邊緣路由器配置一致時(shí)，就可以造成分部網(wǎng)絡(luò)與總部之間的信息間斷，而且總部在沒(méi)有得到故障報(bào)告時(shí)，無(wú)法正確地感知失去分部的聯(lián)系，這樣可能造成數(shù)據(jù)的泄漏和第三方的惡意訪問(wèn)和身份隱藏，如圖3所示。

　　2.3 MPLS VPN本身的不加密

　　在總部的CE端到分部的CE端之間使用wireshark抓包工具進(jìn)行抓包分析，觀察數(shù)據(jù)以明文形式傳輸，可以直接截獲或者篡改。數(shù)據(jù)在MPLS VPN的環(huán)境中是以明文形式傳輸?shù)�，說(shuō)明了MPLS VPN本身的不加密性。

　　2.4 單鏈路問(wèn)題

　　用戶(hù)VPN依靠因特網(wǎng)服務(wù)提供商來(lái)進(jìn)行不同地域之間的網(wǎng)絡(luò)互連，這就需要用戶(hù)支付專(zhuān)門(mén)的服務(wù)費(fèi)用，因此一般的用戶(hù)只通過(guò)單鏈路來(lái)維持通信，這樣容易造成鏈路故障，對(duì)于某些實(shí)時(shí)的企業(yè)或政府來(lái)說(shuō)有時(shí)損失時(shí)巨大的。

　　3 防護(hù)措施

　　MPLS VPN的安全性問(wèn)題使得它無(wú)法單一的為一些對(duì)數(shù)據(jù)傳輸?shù)陌踩�性有特殊要求的客�?hù)服務(wù)如電子商務(wù)應(yīng)用、金融行業(yè)的應(yīng)用等，單純依靠網(wǎng)絡(luò)服務(wù)提供商提供的網(wǎng)絡(luò)服務(wù)存在一定的安全漏洞。因此用戶(hù)需要在自己管理的網(wǎng)絡(luò)范圍內(nèi)以及對(duì)于提供商的鏈路配置采取一定的安全措施，雖然會(huì)增加用戶(hù)管理和配置網(wǎng)絡(luò)的復(fù)雜性，但可以增加額外的安全可靠[5]。

　　3.1 路由間認(rèn)證

　　消息摘要算法(MD5)在CE-PE間是用OSPF協(xié)議的，OSPF協(xié)議對(duì)路由器之間的所有數(shù)據(jù)包都具有認(rèn)證的能力。認(rèn)證有簡(jiǎn)單口令認(rèn)證和MD5加密校驗(yàn)和認(rèn)證。簡(jiǎn)單口令認(rèn)證雖然可以起到一定的作用，但是它是明文傳輸，沒(méi)有經(jīng)過(guò)加密，很容易被中間網(wǎng)絡(luò)截獲并竊取。所以建議使用MD5認(rèn)證來(lái)解決路由認(rèn)證問(wèn)題[6]。

　　配置完MD5認(rèn)證后通過(guò)對(duì)比可以發(fā)現(xiàn)CE-PE間的入侵者已經(jīng)斷開(kāi)鄰居關(guān)系。如圖4所示.

　　3.2 安全審計(jì)

　　無(wú)論是內(nèi)部人員的誤操作還是外部入侵者的惡意訪問(wèn)，都可能導(dǎo)致網(wǎng)絡(luò)的癱瘓，如何清晰的了解網(wǎng)絡(luò)資源的使用情況和訪問(wèn)者的實(shí)施操作動(dòng)作，是提高系統(tǒng)安全性的重要舉措。采用日志審計(jì)，把系統(tǒng)資源的使用情況和訪問(wèn)者的操作記錄下，在追究責(zé)任和排查問(wèn)題時(shí)也有據(jù)可查。

　　3.3 Ipsec數(shù)據(jù)加密

　　IPSEC(因特網(wǎng)安全協(xié)議)是專(zhuān)門(mén)針對(duì)TCP/IP路由協(xié)議沒(méi)有安全機(jī)制而制定的，它工作在IP層，為IP層及其以上協(xié)議提供保護(hù)。Ipsec通過(guò)加密隧道傳送信息，提供訪問(wèn)控制機(jī)制、信息的源認(rèn)證、數(shù)據(jù)的私密性、完整性、防重放保護(hù)、自動(dòng)密鑰管理等安全服務(wù)[7]。

　　ISP所提供的MPLS VPN骨干網(wǎng)服務(wù)中，所提供的安全措施基本為一般的認(rèn)證、數(shù)據(jù)完整性和機(jī)密性方法，滿(mǎn)足不了用戶(hù)的數(shù)據(jù)安全性需求，因此用戶(hù)可通過(guò)在邊緣設(shè)備CE上進(jìn)行Ipsec數(shù)據(jù)加密，保障用戶(hù)數(shù)據(jù)在公網(wǎng)上傳輸?shù)陌踩�。在總部的CE端到分部的CE端之間使用wireshark抓包，分析經(jīng)過(guò)Ipsec加密后的數(shù)據(jù)如圖5所示。

　　3.4 冗余鏈路

　　在骨干網(wǎng)設(shè)備連接中，單一鏈路連接較容易實(shí)現(xiàn)，但一個(gè)簡(jiǎn)單的故障都會(huì)造成網(wǎng)絡(luò)的中斷.因此為了保持網(wǎng)絡(luò)的穩(wěn)定性，在實(shí)際組網(wǎng)過(guò)程中通常都使用備份連接，以提高網(wǎng)絡(luò)的穩(wěn)定性、健壯性。同時(shí)為了使線路利用最大化，可在線路上應(yīng)用負(fù)載均衡技術(shù)。

　　4 總結(jié)

　　本文分析了MPLS VPN環(huán)境中數(shù)據(jù)傳輸?shù)陌踩�隱患，分析了中間網(wǎng)絡(luò)侵入問(wèn)題、第三方隱藏、明文傳輸、單鏈路故障等常見(jiàn)問(wèn)題，提出了相應(yīng)的保護(hù)措施保證了路由間的認(rèn)證、數(shù)據(jù)的私密性、完整性和不間斷性。對(duì)網(wǎng)絡(luò)拓?fù)浞雷o(hù)前后進(jìn)行配置分析，發(fā)現(xiàn)各有優(yōu)缺點(diǎn)。對(duì)于簡(jiǎn)單的MPLS VPN，它支持高速聯(lián)網(wǎng)服務(wù)，且可伸縮性強(qiáng)，但數(shù)據(jù)安全性低，適用于MPLS VPN的兩端位置固定不變、對(duì)網(wǎng)絡(luò)的服務(wù)質(zhì)量、實(shí)時(shí)性和可管理性要求較高的客戶(hù)，例如辦公地點(diǎn)固定的超市、連鎖遠(yuǎn)程辦公點(diǎn);而對(duì)于IPSec加密的MPLS VPN適用于位置分部廣泛，比如各街道辦事處、連鎖店等、移動(dòng)站點(diǎn)多、對(duì)線路的保密性和可用性要求比較苛刻的但對(duì)實(shí)時(shí)性要求不高的用戶(hù)，例如教育行業(yè)、設(shè)計(jì)公司高度機(jī)密的企業(yè)等。

【MPLS—VPN環(huán)境中數(shù)據(jù)安全隱患分析與防護(hù)論文】相關(guān)文章：

干熄焦鍋爐爆管的危害與防護(hù)分析論文09-17

數(shù)據(jù)分析報(bào)告07-15

數(shù)據(jù)分析報(bào)告03-26

數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全防護(hù)策略08-24

神經(jīng)內(nèi)科護(hù)理安全隱患分析及對(duì)策論文10-24

數(shù)據(jù)分析報(bào)告通用12-15

數(shù)據(jù)分析個(gè)人報(bào)告12-20

個(gè)人的數(shù)據(jù)分析報(bào)告10-27

銷(xiāo)售數(shù)據(jù)分析報(bào)告07-10

數(shù)據(jù)分析報(bào)告優(yōu)秀09-10