MPLS—VPN環(huán)境中數(shù)據(jù)安全隱患分析與防護論文

　　通過對MPLS-VPN網(wǎng)絡環(huán)境進行分析，得出MPLS VPN環(huán)境中數(shù)據(jù)傳輸存在的安全隱患，針對安全隱患分析提出路由間認證、安全審計、Ipsec數(shù)據(jù)加密、冗余鏈路解決方案和措施。對網(wǎng)絡環(huán)境防護前后進行對比得出MPLS-VPN的應用特點。

　　企業(yè)信息化和規(guī)模的擴大使得不同地區(qū)之間數(shù)據(jù)實時互訪需求越發(fā)強烈，如何為企業(yè)提供高效、靈活、安全的網(wǎng)絡訪問技術，MPLS (多協(xié)議標簽交換)VPN應運而生。MPLS VPN通過結合數(shù)據(jù)鏈路層和三層路由技術的優(yōu)勢，在現(xiàn)代快速網(wǎng)絡中得到了廣泛的應用，尤其是電信運營商、大型企業(yè)及政府單位，但在MPLS VPN的環(huán)境中數(shù)據(jù)傳輸存在的隱患卻值得思考。

　　1 基本理論

　　1.1 MPLS簡介

　　多協(xié)議標簽交換(Multiprotocol Label Switching)起源于IPv4，是一種用于數(shù)據(jù)包快速交換和路由的體系。LSR(Label Switching Router)是MPLS網(wǎng)絡的基本構成單元，由LSR構成的網(wǎng)絡稱為MPLS域。位于MPLS域邊緣、連接其他用戶網(wǎng)絡的LSR稱為LER(Label Edge Router，邊緣LSR)，區(qū)域內部的LSR稱為核心LSR。

　　1.2 VPN簡介

　　VPN是一個可靠的，在公用網(wǎng)絡上搭建的臨時連接，它通過邏輯隧道連接地理上分散的網(wǎng)絡。VPN技術通常用于擴大企業(yè)網(wǎng)絡，通過VPN可以將遠程接入的用戶、企業(yè)分支機構和合作伙伴與企業(yè)內部之間建立信息安全連接，并能保證可靠的數(shù)據(jù)傳輸。VPN主要采用安全隧道技術，用戶認證技術，訪問控制技術和加解密技術。

　　1.3 MPLS VPN原理

　　MPLS VPN是一種基于MPLS技術的IP虛擬專用網(wǎng)絡，是在網(wǎng)絡路由和交換設備上應用MPLS技術[1]。它融合了傳統(tǒng)路由技術，使用標簽交換，簡化運營商網(wǎng)絡的路由選擇方式，可用來構造寬帶的企業(yè)內部網(wǎng)絡和外網(wǎng)，滿足多種靈活的業(yè)務需求[2]。

　　1.3.1 MPLS VPN的設備角色

　　組成MPLS VPN網(wǎng)絡的路由器共有三個類別：用戶邊緣路由器(CE)，運營商邊緣標簽轉發(fā)路由器(PE LSR)和運營商骨干標簽轉發(fā)路由器(P LSR)：

　　CE是用戶端邊緣路由器，VPN用戶的網(wǎng)絡終端直接與服務提供商相連的設備，為用戶提供到達PE路由器的連接。

　　PE LSR是運營商的邊緣標簽轉發(fā)路由器。它與用戶的邊緣路由器直接相連，對進入MPLS網(wǎng)絡的流量進行劃分，把相同的流量歸于同一個FEC然后分配相應的標簽，進行流量的劃分，標簽的壓入和彈出功能，并且負責和其他PE路由器進行交換路由信息，充當數(shù)據(jù)轉發(fā)的載體，把來自CE路由器的信息通過標簽交換傳遞給另一端的CE端[3]。

　　P LSR是運營商網(wǎng)絡除了邊緣路由器的核心設備，提供標簽分發(fā)和標簽交換功能，在數(shù)據(jù)包的傳輸過程中使用添加外層標簽來代替?zhèn)鹘y(tǒng)路由的繁雜查找。

　　1.3.2 標簽轉發(fā)原理

　　當數(shù)據(jù)包到達PE 路由器時，找到到達目的地的下一跳所給的標簽，通過CEF轉發(fā)給下一跳標簽轉發(fā)路由器，下一跳路由器接收到數(shù)據(jù)包時，執(zhí)行標簽轉發(fā)表，并為數(shù)據(jù)包交換標簽，再發(fā)給下一跳路由器。倒數(shù)第二跳標簽轉發(fā)路由器執(zhí)行標簽查找時，將數(shù)據(jù)包的標簽彈出，即倒數(shù)第二跳標簽機制，數(shù)據(jù)包傳輸?shù)娇拷�分支的PE路由器，通過三層路由查找到達分支用戶端，實現(xiàn)MPLS VPN的這個傳輸過程[4]。

　　2 基于MPLS VPN網(wǎng)絡數(shù)據(jù)傳輸?shù)碾[患分析

　　為了對基于MPLS VPN網(wǎng)絡數(shù)據(jù)傳輸?shù)碾[患分析，本文使用GN3搭建網(wǎng)絡仿真，網(wǎng)絡拓撲圖如圖1所示，總部HQ網(wǎng)絡與分部Branch網(wǎng)絡通過由ISP構建的MPLS VPN網(wǎng)絡互聯(lián)。通過對總部網(wǎng)絡到達分部網(wǎng)絡的數(shù)據(jù)傳輸為基礎尋找安全隱患路徑。

　　2.1 PE-CE間的入侵

　　當總部的網(wǎng)絡鎖傳輸?shù)臄?shù)據(jù)到達邊緣時，MPLS VPN在PE和CE間只是簡單地使用IGP協(xié)議完成連接，而且企業(yè)邊緣設備和運營商邊緣設備的連接不屬于內部網(wǎng)絡，中間長距離的部署連接中間可能存在入侵問題，如圖2所示。

　　在PE和CE間只要插入一臺交換機，入侵者配置與CE和PE間相同網(wǎng)段的路由，就可以實現(xiàn)入侵，無論是數(shù)據(jù)的監(jiān)聽，還是偽裝成第三方與VPN內部進行通信，都是可行的。

　　2.2 運用商內部的配置失誤

　　當數(shù)據(jù)傳輸?shù)竭\營商內部時，如果沒有實施必要的安全措施，可能存在內部人員的配置失誤導致不同用戶之間的數(shù)據(jù)傳輸混亂。如新PE端與連接分部網(wǎng)絡的邊緣路由器配置一致時，就可以造成分部網(wǎng)絡與總部之間的信息間斷，而且總部在沒有得到故障報告時，無法正確地感知失去分部的聯(lián)系，這樣可能造成數(shù)據(jù)的泄漏和第三方的惡意訪問和身份隱藏，如圖3所示。

　　2.3 MPLS VPN本身的不加密

　　在總部的CE端到分部的CE端之間使用wireshark抓包工具進行抓包分析，觀察數(shù)據(jù)以明文形式傳輸，可以直接截獲或者篡改。數(shù)據(jù)在MPLS VPN的環(huán)境中是以明文形式傳輸?shù)模�說明了MPLS VPN本身的不加密性。

　　2.4 單鏈路問題

　　用戶VPN依靠因特網(wǎng)服務提供商來進行不同地域之間的網(wǎng)絡互連，這就需要用戶支付專門的服務費用，因此一般的用戶只通過單鏈路來維持通信，這樣容易造成鏈路故障，對于某些實時的企業(yè)或政府來說有時損失時巨大的。

　　3 防護措施

　　MPLS VPN的安全性問題使得它無法單一的為一些對數(shù)據(jù)傳輸?shù)陌踩�性有特殊要求的客戶服務如電子商務應用、金融行業(yè)的應用等，單純依靠網(wǎng)絡服務提供商提供的網(wǎng)絡服務存在一定的安全漏洞。因此用戶需要在自己管理的網(wǎng)絡范圍內以及對于提供商的鏈路配置采取一定的安全措施，雖然會增加用戶管理和配置網(wǎng)絡的復雜性，但可以增加額外的安全可靠[5]。

　　3.1 路由間認證

　　消息摘要算法(MD5)在CE-PE間是用OSPF協(xié)議的，OSPF協(xié)議對路由器之間的所有數(shù)據(jù)包都具有認證的能力。認證有簡單口令認證和MD5加密校驗和認證。簡單口令認證雖然可以起到一定的作用，但是它是明文傳輸，沒有經(jīng)過加密，很容易被中間網(wǎng)絡截獲并竊取。所以建議使用MD5認證來解決路由認證問題[6]。

　　配置完MD5認證后通過對比可以發(fā)現(xiàn)CE-PE間的入侵者已經(jīng)斷開鄰居關系。如圖4所示.

　　3.2 安全審計

　　無論是內部人員的誤操作還是外部入侵者的惡意訪問，都可能導致網(wǎng)絡的癱瘓，如何清晰的了解網(wǎng)絡資源的使用情況和訪問者的實施操作動作，是提高系統(tǒng)安全性的重要舉措。采用日志審計，把系統(tǒng)資源的使用情況和訪問者的操作記錄下，在追究責任和排查問題時也有據(jù)可查。

　　3.3 Ipsec數(shù)據(jù)加密

　　IPSEC(因特網(wǎng)安全協(xié)議)是專門針對TCP/IP路由協(xié)議沒有安全機制而制定的，它工作在IP層，為IP層及其以上協(xié)議提供保護。Ipsec通過加密隧道傳送信息，提供訪問控制機制、信息的源認證、數(shù)據(jù)的私密性、完整性、防重放保護、自動密鑰管理等安全服務[7]。

　　ISP所提供的MPLS VPN骨干網(wǎng)服務中，所提供的安全措施基本為一般的認證、數(shù)據(jù)完整性和機密性方法，滿足不了用戶的數(shù)據(jù)安全性需求，因此用戶可通過在邊緣設備CE上進行Ipsec數(shù)據(jù)加密，保障用戶數(shù)據(jù)在公網(wǎng)上傳輸?shù)陌踩�。在總部的CE端到分部的CE端之間使用wireshark抓包，分析經(jīng)過Ipsec加密后的數(shù)據(jù)如圖5所示。

　　3.4 冗余鏈路

　　在骨干網(wǎng)設備連接中，單一鏈路連接較容易實現(xiàn)，但一個簡單的故障都會造成網(wǎng)絡的中斷.因此為了保持網(wǎng)絡的穩(wěn)定性，在實際組網(wǎng)過程中通常都使用備份連接，以提高網(wǎng)絡的穩(wěn)定性、健壯性。同時為了使線路利用最大化，可在線路上應用負載均衡技術。

　　4 總結

　　本文分析了MPLS VPN環(huán)境中數(shù)據(jù)傳輸?shù)陌踩�隱患，分析了中間網(wǎng)絡侵入問題、第三方隱藏、明文傳輸、單鏈路故障等常見問題，提出了相應的保護措施保證了路由間的認證、數(shù)據(jù)的私密性、完整性和不間斷性。對網(wǎng)絡拓撲防護前后進行配置分析，發(fā)現(xiàn)各有優(yōu)缺點。對于簡單的MPLS VPN，它支持高速聯(lián)網(wǎng)服務，且可伸縮性強，但數(shù)據(jù)安全性低，適用于MPLS VPN的兩端位置固定不變、對網(wǎng)絡的服務質量、實時性和可管理性要求較高的客戶，例如辦公地點固定的超市、連鎖遠程辦公點;而對于IPSec加密的MPLS VPN適用于位置分部廣泛，比如各街道辦事處、連鎖店等、移動站點多、對線路的保密性和可用性要求比較苛刻的但對實時性要求不高的用戶，例如教育行業(yè)、設計公司高度機密的企業(yè)等。

【MPLS—VPN環(huán)境中數(shù)據(jù)安全隱患分析與防護論文】相關文章：

分析電子商務中的數(shù)據(jù)安全論文04-26

Hadoop物聯(lián)網(wǎng)數(shù)據(jù)挖掘的算法分析論文10-10

實驗數(shù)據(jù)的計量經(jīng)濟分析挑戰(zhàn)與機遇論文10-10

大數(shù)據(jù)與統(tǒng)計學分析方法比較論文11-13

環(huán)境分析與現(xiàn)代儀器分析方法論文09-17

文明進程中的倫理憂患分析論文10-10

相助中黑人女傭的性格分析論文10-10

負荷終端數(shù)據(jù)采集成功率分析論文10-10

辦公計算機安全隱患問題分析論文10-10

環(huán)境公益訴訟濫用的規(guī)制分析論文10-10