Embed Size (px)
DESCRIPTION
Analysis of security threats to MPLS virtual private networks. International Journal of Critical Infrastructure Protection, Volume 2, Issue 4, December 2009, Pages 146-153 Denise Grayson, Daniel Guernsey, Jonathan Butts, Michael Spainhower, Sujeet Shenoi 報告者 : 李長璟. Abstract 1.Introduction - PowerPoint PPT Presentation
Citation preview
Analysis of security threats to MPLS virtual private networks
International Journal of Critical Infrastructure Protection, Volume 2, Issue 4, December 2009, Pages 146-153Denise Grayson, Daniel Guernsey, Jonathan Butts, Michael Spainhower, Sujeet Shenoi報告者 : 李長璟
Abstract 1.Introduction 2.MPLS-based virtual private networks 3.Multiple-provider VPNs 4.General security analysis 5.Attacks on BGP-based MPLS VPNs 6.Mitigation strategies 7.Conclusions
Abstract
多協議標籤交換( MPLS )是一種在開放的通信網上利用標籤引導數據高速、高效傳輸的新技術 。
分析的主要安全威脅 MPLS 和 VPN 。特別針對的是協議和多協議擴展。
本文介紹三類基於 MPLS VPN 的漏洞:修訂路線,交通注射和拒絕服務攻擊。
1.Introduction
多協議標籤交換( MPLS )使用電路交換和封包交換網路技術
虛擬私有網路( VPN )主要的應用 MPLS 技術
邊界網關協議( BGP )和多協議擴展用於創建第 3 層 VPN ,隱藏的服務提供商的基礎設施和執行路由和分流服務供應商之間的網路和客戶網路。
BGP / MPLS VPN 的安全,他們主要依靠定址分離和內部定址隱藏,以防止外部攻擊。
攻擊者一旦進入相對保護網路的核心,攻擊者可以針對客戶的虛擬私有網路,竊取機密
2.MPLS-based virtual private networks
MPLS VPN Model
VPN packet forwarding
MP- BGP
標準 BGP 只分發與 IPv4 定址相關聯的路線 。
MP- BGP 兩個新的屬性 多協議可達的邊界網關(型號: MP - REACH
NLRI ) 邊界網關和多協議不可達(型號: MP - UNR
EACHNLRI )。
MP - REACHNLRI屬性有 6個領域
1.Address Family Identifier (AFI)
2. Subsequent Address Family Identifier (SAFI )
3.Length of the Next Hop Address
4. Next Hop Address that specifies the address of the next router in the path to the destination
5. Reserved (one octet) 6. NLRI MP UNREACH NLRI 屬性包含一個 AFI 、 S
AFI 和撤回的 NLRI 路線。
3. Multiple-provider VPNs
VRF to VRF model
Redistribution model
Multihop redistribution model
4.General security analysis
服務提供者必須確保連線性客戶 vpn 和防止交通攔截和注射。
討論有關網路分離,主要的安全問題 BGP 通信和 MPLS 包標記。
1. 網路分離: BGP 的社區和路由過濾技術非常有效地分離 VPN 和防止交通注入到客戶網路
BGP 通訊 : 提供 的安全機制 BGP 和其他路由式通訊協定,再加上安全控制項在 LERs 中實現是一個 MPLS 網路的安全運作的重要因素。
BGP 有四個消息類型: OPEN KEEPALIVE 、 警告 和 UPDATE
MPLS 封包標記 :LSRs 位於網路核心傾向于接受並轉發任何傳入的資料封包。
攻擊者用核心網路訪問可以中斷傳輸、 服務,及 VPN 服務提供安全的支援。
因此,強化的週邊是 MPLS VPN 安全最重要的。
5. Attacks on BGP-based MPLS VPNs
很多攻擊是可能的 因為 BGP based MPLS vpn 依賴于多項技術 ,常見的三個大類攻擊
1. route modification (修訂路線 ) 2. traffic injection 3. denial of service attacks (拒絕服務攻擊 )
route modification:路由改造攻擊更改路徑(包括目標) 的資料包的網路核心穿過一服務提供者。
Modifying LER Labels 修改 LER 標籤 Modifying VPN Labels 修改 VPN 標籤 Abusing BGP UPDATE Messages濫用 BGP更新信息 Compromising Route Reflectors (妥協的路由反射器 ) Modifying VRF Tables
Injection attacks :注入的攻擊涉及插入 vpn 或其它地區的一個服務提供網路虛假交通核心
Injection Based on VPN Labels
Injection Based on LER Labels
Denial of service 攻擊 :分析顯示 4 個拒絕服務攻擊,降低或中斷服務的攻擊
1. Modifying the Community Attribute in BGP Messages (在 BGP 訊息修正社區屬性 )
2. Modifying the Community Attribute in LERs (在 LERs 修正社區屬性 )
3. Withdrawing BGP Routes (退出 BGP 路由 )
4. Injecting Capability Advertisements (廣告注入能力 )
6. Mitigation strategies
服務提供者和 VPN 必須配置客戶共用負責保護提供 vpn 。所有在完整性檢查和身份驗證機制的實施信號轉導和路由式通訊協定。
客戶不應假設網路的核心是完全安全的。安裝防火牆的 CE 在 PE 連接 VPN站點以阻止從被感染的供應商發起攻擊。
另一種對策是使用異常檢測系統。根據的攻擊進行了論述,規則集可以開發警惕行動不符合“正常”的行為。
Conclusions
MPLS VPNs 的快速成長主要是企業大力的支持,因為它價格低廉, flexible &高頻寬網路,一般外來的攻擊很難MPLS VPN
但是攻擊者只要一攻破它的防護,就很容易竊取機密,提出這篇文章它的重點是把重心集中在的努力將安全建立的 BGP/MPLS 的 VPN
