Анализ источников угроз информационной безопасности виртуальных частных сетей VPRN на базе сети MPLS
Авторы: Бельфер Р.А., Петрухин И.С. | Опубликовано: 19.12.2013 |
Опубликовано в выпуске: #4(93)/2013 | |
DOI: | |
Раздел: Информатика и вычислительная техника | |
Ключевые слова: виртуальная частная сеть, информационная безопасность, таблица маршрутизации VPN, виртуальные частные маршрутизируемые сети, многопротокольная коммутация по меткам, отказ в обслуживании, центр управления |
Ведущими провайдерами услуг большинство виртуальных частных сетей строятся как VPRN, т.е. на базе сетей MPLS. Это объясняется их преимуществом перед VPN на базе протокола IPSec - обеспечивают пользователям затребованное ими качество обслуживания соединения, обладают большей масштабируемостью, более эффективно используют пропускную способность сети и др. Опыт авторов настоящей работы по проектированию и вводу в эксплуатацию сетей VPRN показал актуальность проведения анализа обеспечения их информационной безопасности на всех трех плоскостях - управление сетью, управление соединением, работа конечного пользователя (данные). Для разных корпоративных сетей VPRN характерны определенные схемы взаимодействия виртуальных частных сетей в окружающей среде с устройствами других зон сети (топологии VPRN). Приведены результаты исследований уязвимости информационной безопасности к угрозам внедрения и атакам DoS злоумышленника в наиболее характерных шести топологиях корпоративных сетей VPRN. Приведены источники нарушения информационной безопасности. Показано, что некоторые потенциальные угрозы имеют место в эксплуатируемых сетях VPRN. Предложен реализованный в некоторых корпоративных сетях VPRN механизм защиты от таких угроз.
Литература
[1] Оливейн В. Структура и реализация современной технологии MPLS. М.: Вильямс, 2004. 480 c.
[2] Гольдштейн Ф.Б., Гольдштейн Б.С. Технология и протоколы MPLS. СПб.: БХВ-Петербург, 2005. 304 c.
[3] ITU-T Recommendation X.805. Security architecture for system providing end-to-end communication, 2003.
[4] Rosen E., Rekhter Y. RFC 4364, BGP/MPLS IP Virtual Private Networks (VPNs), 2006.
[5] Luyuan Fang [and others]. Interprovider IP-MPLS services: Requirements, implementations, and challenges // IEEE Communications Magazine. 2005. № 5. P. 119-128.
[6] Бельфер Р.А. Сети и системы связи (технологии, безопасность): электронное учебное издание: МГТУ им. Н.Э. Баумана, 2012. 738 c.
[7] Олифер В.Г., Олифер Н.А. Компьютерные сети. СПб.: Питер, 2006. 997 c.
[8] Michael H. Behringer, Monique J. Morrow. MPLS VPN security. Cisco Press, 2005. 312 c.
[9] Rong Ren, Deng-Guo Feng, Ke Ma. A detailed implement and analysis of MPLS VPN based on IPSec // Proc. of the Third Int. Conf. on Machine Learning and Cybernetics. - Shanghai, 26-29 August 2004. P. 2779-2783.
[10] Mu Zhang, ZhongPing Tao. Application research of MPLS VPN All-in-one campus card network based on IPSec 4th Int. Conf. on Computational and Information Sciences, 2012. P. 872-875.
[11] Jonah Pezeshki et al. Performance implications of instantiating IPSec over BGP enabled RFC 4364 VPNS // IEEE, 2007. P. 1-7.
[12] Столлингс В. Основы защиты сетей. Приложения и стандарты. М.: Вильямс, 2002. 324 c.
[13] Бельфер Р.А. Угрозы безопасности VPN MPLS на участке между соседними маршрутизаторами и защита с помощью IPSec // Электросвязь. 2013. № 4. P. 2527.
[14] Bonica R., Rekhter Y., Raszuk R., Rosen E., Tappa D. CE-to-CE member verification for layer 3 VPNs. Available at: http://tools.ietf.org/id/draft-ietf-l3vpn-auth-00.txt (accessed: 28 February 2003).
[15] Behringer M., Guichard J., Marques P. Layer 3 VPN import/export verification. Available at: http://tools.ietf.org/id/draft-ietf-l3vpn-vpn-verification-00.txt (accessed: 22 March 2005).