эксплуатации и обслуживания сети OAM&P (Operation Administration
Maintenance&Provision). В некоторых работах этот центр управления
называется NOC (network operation center).
2. Плоскость безопасности (Control Security Plane) по обеспечению
безопасности управления соединением, к которой относится защита
функций и передаваемой по сети информации, например, по маршру-
тизации сообщений. Согласно документу [4], в сети VPRN сообщения
протоколов LDP, BGP по обеспечению маршрутизации должны быть
аутентифицированы. В этом документе в качестве механизма защиты
рекомендуется протокол аутентификации MD5.
3. Плоскость безопасности конечного пользователя (End-User
Security Plane). Плоскость безопасности конечного пользователя отно-
сится к безопасности сети доступа и пользования абонентами сетью
поставщика услуг. К этой плоскости безопасности относится также
защита потоков данных конечного пользователя. В документе [4] эта
плоскость безопасности называется плоскостью безопасности данных
(data plane). Под этим понимается защита от случаев нарушения по-
литики безопасности, когда пакеты данной сети VPN поступают в
другие сети VPN или наоборот.
Согласно работе [5], сформулированы следующие общие требо-
вания к информационной безопасности VPRN: разделение плоскости
управления соединением (маршрутная изоляция), адресная изоляция
от различных VPN, разделение пользовательских данных разных VPN
и их пользователей, защита от атак DoS и спуфинга, аутентификация
доступа.
Топологии сетей VPRN и источники угроз ИБ.
В настоящем раз-
деле приведены различные топологии взаимодействия виртуальных
частных сетей с анализом источников угроз ИБ. К плоскости безо-
пасности управления сетью относятся последние две из приведенных
топологий. Остальные топологии относятся к плоскости безопасности
управления соединением и плоскости безопасности конечного поль-
зователя. На рис. 1 приведена топология взаимодействия сети VPRN
с одним ядром MPLS. Здесь сеть VPN
A
состоит из двух сайтов, сеть
VPN
В
— из трех сайтов и сеть VPN
С
— из четырех сайтов.
Показано, что ядро сети MPLS включает в себя внутренние марш-
рутизаторы провайдера P (Provider router) и граничные маршрутиза-
торы провайдера PE (Provider Edge router). Граничный маршрутизатор
клиента CE (Customer Edge router) является оборудованием абонент-
ского доступа к ядру сети MPLS. Для приведенной базовой модели
безопасности недопустимо передавать сообщения из одной сети VPN
в другую, из сети VPN — абонентам ядра сети (не в VPN), принимать в
сети VPN сообщения от абонентов ядра сети. На практике модель безо-
пасности более сложная, чем приведенная базовая модель. Например,
ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2013. № 4 81
