MPLS—VPN環(huán)境中數(shù)據(jù)安全隱患分析與防護(hù)論文

　　通過對MPLS-VPN網(wǎng)絡(luò)環(huán)境進(jìn)行分析，得出MPLS VPN環(huán)境中數(shù)據(jù)傳輸存在的安全隱患，針對安全隱患分析提出路由間認(rèn)證、安全審計(jì)、Ipsec數(shù)據(jù)加密、冗余鏈路解決方案和措施。對網(wǎng)絡(luò)環(huán)境防護(hù)前后進(jìn)行對比得出MPLS-VPN的應(yīng)用特點(diǎn)。

　　企業(yè)信息化和規(guī)模的擴(kuò)大使得不同地區(qū)之間數(shù)據(jù)實(shí)時(shí)互訪需求越發(fā)強(qiáng)烈，如何為企業(yè)提供高效、靈活、安全的網(wǎng)絡(luò)訪問技術(shù)，MPLS (多協(xié)議標(biāo)簽交換)VPN應(yīng)運(yùn)而生。MPLS VPN通過結(jié)合數(shù)據(jù)鏈路層和三層路由技術(shù)的優(yōu)勢，在現(xiàn)代快速網(wǎng)絡(luò)中得到了廣泛的應(yīng)用，尤其是電信運(yùn)營商、大型企業(yè)及政府單位，但在MPLS VPN的環(huán)境中數(shù)據(jù)傳輸存在的隱患卻值得思考。

　　1 基本理論

　　1.1 MPLS簡介

　　多協(xié)議標(biāo)簽交換(Multiprotocol Label Switching)起源于IPv4，是一種用于數(shù)據(jù)包快速交換和路由的體系。LSR(Label Switching Router)是MPLS網(wǎng)絡(luò)的基本構(gòu)成單元，由LSR構(gòu)成的網(wǎng)絡(luò)稱為MPLS域。位于MPLS域邊緣、連接其他用戶網(wǎng)絡(luò)的LSR稱為LER(Label Edge Router，邊緣LSR)，區(qū)域內(nèi)部的LSR稱為核心LSR。

　　1.2 VPN簡介

　　VPN是一個(gè)可靠的，在公用網(wǎng)絡(luò)上搭建的臨時(shí)連接，它通過邏輯隧道連接地理上分散的網(wǎng)絡(luò)。VPN技術(shù)通常用于擴(kuò)大企業(yè)網(wǎng)絡(luò)，通過VPN可以將遠(yuǎn)程接入的用戶、企業(yè)分支機(jī)構(gòu)和合作伙伴與企業(yè)內(nèi)部之間建立信息安全連接，并能保證可靠的數(shù)據(jù)傳輸。VPN主要采用安全隧道技術(shù)，用戶認(rèn)證技術(shù)，訪問控制技術(shù)和加解密技術(shù)。

　　1.3 MPLS VPN原理

　　MPLS VPN是一種基于MPLS技術(shù)的IP虛擬專用網(wǎng)絡(luò)，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)[1]。它融合了傳統(tǒng)路由技術(shù)，使用標(biāo)簽交換，簡化運(yùn)營商網(wǎng)絡(luò)的路由選擇方式，可用來構(gòu)造寬帶的企業(yè)內(nèi)部網(wǎng)絡(luò)和外網(wǎng)，滿足多種靈活的業(yè)務(wù)需求[2]。

　　1.3.1 MPLS VPN的設(shè)備角色

　　組成MPLS VPN網(wǎng)絡(luò)的路由器共有三個(gè)類別：用戶邊緣路由器(CE)，運(yùn)營商邊緣標(biāo)簽轉(zhuǎn)發(fā)路由器(PE LSR)和運(yùn)營商骨干標(biāo)簽轉(zhuǎn)發(fā)路由器(P LSR)：

　　CE是用戶端邊緣路由器，VPN用戶的網(wǎng)絡(luò)終端直接與服務(wù)提供商相連的設(shè)備，為用戶提供到達(dá)PE路由器的連接。

　　PE LSR是運(yùn)營商的邊緣標(biāo)簽轉(zhuǎn)發(fā)路由器。它與用戶的邊緣路由器直接相連，對進(jìn)入MPLS網(wǎng)絡(luò)的流量進(jìn)行劃分，把相同的流量歸于同一個(gè)FEC然后分配相應(yīng)的標(biāo)簽，進(jìn)行流量的劃分，標(biāo)簽的壓入和彈出功能，并且負(fù)責(zé)和其他PE路由器進(jìn)行交換路由信息，充當(dāng)數(shù)據(jù)轉(zhuǎn)發(fā)的載體，把來自CE路由器的信息通過標(biāo)簽交換傳遞給另一端的CE端[3]。

　　P LSR是運(yùn)營商網(wǎng)絡(luò)除了邊緣路由器的核心設(shè)備，提供標(biāo)簽分發(fā)和標(biāo)簽交換功能，在數(shù)據(jù)包的傳輸過程中使用添加外層標(biāo)簽來代替?zhèn)鹘y(tǒng)路由的繁雜查找。

　　1.3.2 標(biāo)簽轉(zhuǎn)發(fā)原理

　　當(dāng)數(shù)據(jù)包到達(dá)PE 路由器時(shí)，找到到達(dá)目的地的下一跳所給的標(biāo)簽，通過CEF轉(zhuǎn)發(fā)給下一跳標(biāo)簽轉(zhuǎn)發(fā)路由器，下一跳路由器接收到數(shù)據(jù)包時(shí)，執(zhí)行標(biāo)簽轉(zhuǎn)發(fā)表，并為數(shù)據(jù)包交換標(biāo)簽，再發(fā)給下一跳路由器。倒數(shù)第二跳標(biāo)簽轉(zhuǎn)發(fā)路由器執(zhí)行標(biāo)簽查找時(shí)，將數(shù)據(jù)包的標(biāo)簽彈出，即倒數(shù)第二跳標(biāo)簽機(jī)制，數(shù)據(jù)包傳輸?shù)娇拷�分支的PE路由器，通過三層路由查找到達(dá)分支用戶端，實(shí)現(xiàn)MPLS VPN的這個(gè)傳輸過程[4]。

　　2 基于MPLS VPN網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)碾[患分析

　　為了對基于MPLS VPN網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)碾[患分析，本文使用GN3搭建網(wǎng)絡(luò)仿真，網(wǎng)絡(luò)拓?fù)鋱D如圖1所示，總部HQ網(wǎng)絡(luò)與分部Branch網(wǎng)絡(luò)通過由ISP構(gòu)建的MPLS VPN網(wǎng)絡(luò)互聯(lián)。通過對總部網(wǎng)絡(luò)到達(dá)分部網(wǎng)絡(luò)的數(shù)據(jù)傳輸為基礎(chǔ)尋找安全隱患路徑。

　　2.1 PE-CE間的入侵

　　當(dāng)總部的網(wǎng)絡(luò)鎖傳輸?shù)臄?shù)據(jù)到達(dá)邊緣時(shí)，MPLS VPN在PE和CE間只是簡單地使用IGP協(xié)議完成連接，而且企業(yè)邊緣設(shè)備和運(yùn)營商邊緣設(shè)備的連接不屬于內(nèi)部網(wǎng)絡(luò)，中間長距離的部署連接中間可能存在入侵問題，如圖2所示。

　　在PE和CE間只要插入一臺交換機(jī)，入侵者配置與CE和PE間相同網(wǎng)段的路由，就可以實(shí)現(xiàn)入侵，無論是數(shù)據(jù)的監(jiān)聽，還是偽裝成第三方與VPN內(nèi)部進(jìn)行通信，都是可行的。

　　2.2 運(yùn)用商內(nèi)部的配置失誤

　　當(dāng)數(shù)據(jù)傳輸?shù)竭\(yùn)營商內(nèi)部時(shí)，如果沒有實(shí)施必要的安全措施，可能存在內(nèi)部人員的配置失誤導(dǎo)致不同用戶之間的數(shù)據(jù)傳輸混亂。如新PE端與連接分部網(wǎng)絡(luò)的邊緣路由器配置一致時(shí)，就可以造成分部網(wǎng)絡(luò)與總部之間的信息間斷，而且總部在沒有得到故障報(bào)告時(shí)，無法正確地感知失去分部的聯(lián)系，這樣可能造成數(shù)據(jù)的泄漏和第三方的惡意訪問和身份隱藏，如圖3所示。

　　2.3 MPLS VPN本身的不加密

　　在總部的CE端到分部的CE端之間使用wireshark抓包工具進(jìn)行抓包分析，觀察數(shù)據(jù)以明文形式傳輸，可以直接截獲或者篡改。數(shù)據(jù)在MPLS VPN的環(huán)境中是以明文形式傳輸?shù)�，說明了MPLS VPN本身的不加密性。

　　2.4 單鏈路問題

　　用戶VPN依靠因特網(wǎng)服務(wù)提供商來進(jìn)行不同地域之間的網(wǎng)絡(luò)互連，這就需要用戶支付專門的服務(wù)費(fèi)用，因此一般的用戶只通過單鏈路來維持通信，這樣容易造成鏈路故障，對于某些實(shí)時(shí)的企業(yè)或政府來說有時(shí)損失時(shí)巨大的。

　　3 防護(hù)措施

　　MPLS VPN的安全性問題使得它無法單一的為一些對數(shù)據(jù)傳輸?shù)陌踩�性有特殊要求的客戶服�?wù)如電子商務(wù)應(yīng)用、金融行業(yè)的應(yīng)用等，單純依靠網(wǎng)絡(luò)服務(wù)提供商提供的網(wǎng)絡(luò)服務(wù)存在一定的安全漏洞。因此用戶需要在自己管理的網(wǎng)絡(luò)范圍內(nèi)以及對于提供商的鏈路配置采取一定的安全措施，雖然會增加用戶管理和配置網(wǎng)絡(luò)的復(fù)雜性，但可以增加額外的安全可靠[5]。

　　3.1 路由間認(rèn)證

　　消息摘要算法(MD5)在CE-PE間是用OSPF協(xié)議的，OSPF協(xié)議對路由器之間的所有數(shù)據(jù)包都具有認(rèn)證的能力。認(rèn)證有簡單口令認(rèn)證和MD5加密校驗(yàn)和認(rèn)證。簡單口令認(rèn)證雖然可以起到一定的作用，但是它是明文傳輸，沒有經(jīng)過加密，很容易被中間網(wǎng)絡(luò)截獲并竊取。所以建議使用MD5認(rèn)證來解決路由認(rèn)證問題[6]。

　　配置完MD5認(rèn)證后通過對比可以發(fā)現(xiàn)CE-PE間的入侵者已經(jīng)斷開鄰居關(guān)系。如圖4所示.

　　3.2 安全審計(jì)

　　無論是內(nèi)部人員的誤操作還是外部入侵者的惡意訪問，都可能導(dǎo)致網(wǎng)絡(luò)的癱瘓，如何清晰的了解網(wǎng)絡(luò)資源的使用情況和訪問者的實(shí)施操作動作，是提高系統(tǒng)安全性的重要舉措。采用日志審計(jì)，把系統(tǒng)資源的使用情況和訪問者的操作記錄下，在追究責(zé)任和排查問題時(shí)也有據(jù)可查。

　　3.3 Ipsec數(shù)據(jù)加密

　　IPSEC(因特網(wǎng)安全協(xié)議)是專門針對TCP/IP路由協(xié)議沒有安全機(jī)制而制定的，它工作在IP層，為IP層及其以上協(xié)議提供保護(hù)。Ipsec通過加密隧道傳送信息，提供訪問控制機(jī)制、信息的源認(rèn)證、數(shù)據(jù)的私密性、完整性、防重放保護(hù)、自動密鑰管理等安全服務(wù)[7]。

　　ISP所提供的MPLS VPN骨干網(wǎng)服務(wù)中，所提供的安全措施基本為一般的認(rèn)證、數(shù)據(jù)完整性和機(jī)密性方法，滿足不了用戶的數(shù)據(jù)安全性需求，因此用戶可通過在邊緣設(shè)備CE上進(jìn)行Ipsec數(shù)據(jù)加密，保障用戶數(shù)據(jù)在公網(wǎng)上傳輸?shù)陌踩�。在總部的CE端到分部的CE端之間使用wireshark抓包，分析經(jīng)過Ipsec加密后的數(shù)據(jù)如圖5所示。

　　3.4 冗余鏈路

　　在骨干網(wǎng)設(shè)備連接中，單一鏈路連接較容易實(shí)現(xiàn)，但一個(gè)簡單的故障都會造成網(wǎng)絡(luò)的中斷.因此為了保持網(wǎng)絡(luò)的穩(wěn)定性，在實(shí)際組網(wǎng)過程中通常都使用備份連接，以提高網(wǎng)絡(luò)的穩(wěn)定性、健壯性。同時(shí)為了使線路利用最大化，可在線路上應(yīng)用負(fù)載均衡技術(shù)。

　　4 總結(jié)

　　本文分析了MPLS VPN環(huán)境中數(shù)據(jù)傳輸?shù)陌踩�隱患，分析了中間網(wǎng)絡(luò)侵入問題、第三方隱藏、明文傳輸、單鏈路故障等常見問題，提出了相應(yīng)的保護(hù)措施保證了路由間的認(rèn)證、數(shù)據(jù)的私密性、完整性和不間斷性。對網(wǎng)絡(luò)拓?fù)浞雷o(hù)前后進(jìn)行配置分析，發(fā)現(xiàn)各有優(yōu)缺點(diǎn)。對于簡單的MPLS VPN，它支持高速聯(lián)網(wǎng)服務(wù)，且可伸縮性強(qiáng)，但數(shù)據(jù)安全性低，適用于MPLS VPN的兩端位置固定不變、對網(wǎng)絡(luò)的服務(wù)質(zhì)量、實(shí)時(shí)性和可管理性要求較高的客戶，例如辦公地點(diǎn)固定的超市、連鎖遠(yuǎn)程辦公點(diǎn);而對于IPSec加密的MPLS VPN適用于位置分部廣泛，比如各街道辦事處、連鎖店等、移動站點(diǎn)多、對線路的保密性和可用性要求比較苛刻的但對實(shí)時(shí)性要求不高的用戶，例如教育行業(yè)、設(shè)計(jì)公司高度機(jī)密的企業(yè)等。

【MPLS—VPN環(huán)境中數(shù)據(jù)安全隱患分析與防護(hù)論文】相關(guān)文章：

分析電子商務(wù)中的數(shù)據(jù)安全論文04-26

Hadoop物聯(lián)網(wǎng)數(shù)據(jù)挖掘的算法分析論文10-10

實(shí)驗(yàn)數(shù)據(jù)的計(jì)量經(jīng)濟(jì)分析挑戰(zhàn)與機(jī)遇論文10-10

大數(shù)據(jù)與統(tǒng)計(jì)學(xué)分析方法比較論文11-13

環(huán)境分析與現(xiàn)代儀器分析方法論文09-17

文明進(jìn)程中的倫理憂患分析論文10-10

相助中黑人女傭的性格分析論文10-10

負(fù)荷終端數(shù)據(jù)采集成功率分析論文10-10

辦公計(jì)算機(jī)安全隱患問題分析論文10-10

環(huán)境公益訴訟濫用的規(guī)制分析論文10-10