|

Анализ угроз информационной безопасности виртуальных частных сетей VPLS на базе сети MPLS

Авторы: Бельфер Р.А., Петрухин И.С., Тепикин А.П. Опубликовано: 08.02.2015
Опубликовано в выпуске: #1(100)/2015  
DOI: 10.18698/0236-3933-2015-1-47-57

 
Раздел: Информатика, вычислительная техника и управление | Рубрика: Методы и системы защиты информации, информационная безопасность  
Ключевые слова: виртуальная частная сеть, информационная безопасность, услуга частной виртуальной сети локальной вычислительной сети, многопротокольная коммутация по меткам, граничный маршрутизатор клиента, граничный маршрутизатор провайдера, псевдоканал, маршрутизатор провайдера

Проанализированы угрозы информационной безопасности виртуальной частной сети (VPN), которая называется услугой виртуальной частной локальной сети VPLS. Рассмотрены два типа угроз информационной безопасности этой VPLS: 1) угрозы абонентского доступа между граничными маршрутизаторами пользователей LAN и MPLS; 2) угрозы, аналогичные угрозам в виртуальной локальной вычислительной сети VLAN. Предложен алгоритм обеспечения шифрования на участке абонентского доступа в транзитную сеть MPLS. В основу положен алгоритм, принятый для сети ISDN и рекомендованный Международным союзом электросвязи ITU-T. Для некоторых угроз безопасности, аналогичных угрозам в сети VLAN, предложены реализуемые при конфигурировании сети VPLS механизмы защиты. К таким угрозам относятся DoS-атака на протокол связующего дерева STP, угроза вставки фиктивной метки в структуру кадра стандарта 802.1q, угроза подмены DHCP-сервера, угроза переполнения таблицы памяти адресов CAM и др. Согласно имеющимся отечественным и зарубежным материалам (включая документы некоторых зарубежных фирм, по которым осуществляется проектирование сети VPLS на сетях связи России), защита от таких угроз информационной безопасности не предусмотрена. Предложен реализованный на некоторых корпоративных сетях VPLS механизм защиты от перечисленных угроз.

Литература

[1] Гольдштейн Ф.Б., Гольдштейн Б.С. Технология и протоколы MPLS. СПб.: БХВ-Петербург, 2005. 304 с.

[2] Оливейн В. Структура и реализация современной технологии MPLS. М.: Вильямс, 2004. 480 с.

[3] Бельфер Р.А., Петрухин И.С. Анализ источников угроз информационной безопасности виртуальных частных сетей VPRN на базе сети MPLS // Вестник МГТУ им. Н.Э. Баумана. Сер. Приборостроение. 2013. № 4. C. 79-89.

[4] Бельфер Р.А. Угрозы безопасности VPN MPLS на участке между соседними маршрутизаторами и защита с помощью IPSec // Электросвязь. 2013. № 4. С. 25-27.

[5] Таненбаум Э., Уэзеролл Д. Компьютерные сети. СПб.: Питер, 2012. 954 с.

[6] IEEE 802.1d. Media Access Control Bridges. 2011.

[7] IEEE 802.1q. Media Access Control Bridges and Virtual Bridged Local Area Networks. 2013.

[8] http://xgu.ru/wiki/DHCP_snooping [Электронный ресурс].

[9] Michael H. Behringer, Monique J. Morrow. MPLS VPN Security. Cisco Press, 2005. P. 312.

[10] ITU-T Recommendation X.509. Information technology - Open Systems Interconnection. The Directory: Authentication framework (1993 edition - version 2, 1997 edition version 3).

[11] ETSI ETS 300 841. Telecommunications Security; Integrated Services digital Network (ISDN); Encryption Key management system for audio-visual services, 1998.

[12] Бельфер Р.А. Сети и системы связи (технологии, безопасность) [Электронное учебное издание]. М.: МГТУ им. Н.Э. Баумана, 2012. 738 с.