CC BY
10
УДК 004.056
Калистратов А.П. студент магистратуры, 2 курс кафедра «Системы обработки информации и управления» факультет «Информатика и системы управления»
МГТУ им. Н.Э. Баумана Россия, г. Москва Федосеев Д.А. студент бакалавриата, 3 курс кафедра «Системы обработки информации и управления» факультет «Информатика и системы управления»
МГТУ им. Н.Э. Баумана Россия, г. Москва БЕЗОПАСНОСТЬ В СЕТЯХ VPN НА ОСНОВЕ MPLS
Статья посвящена обзору способов обеспечения безопасности в сетях VPN на основе MPLS. Рассматриваются принципы организации сети VPN на основе MPLS. Рассматривается организация безопасности на трех уровнях MPLS.
Ключевые слова: VPN, MPLS, безопасность, сети
MPLS VPN SECURITY
The article is about security in MPLS based VPN networks. Principles of MPLS VPN network are described. Authors analyzed three planes of MPLS networking and each level's security means.
Keywords: VPN, MPLS, security, networks
Введение
С развитием современных сетевых технологий развивается и спрос на эффективную, безопасную и одновременно масштабируемую сеть передачи данных. Для организации таких сетей принято применять технологию Virtual Private Network (VPN), т.е., виртуальную частную сеть. Технология VPN позволяет обеспечить узлы, физически удаленные друг от друга, связью друг с другом по локальной сети. Локальная сеть в этом случае обеспечивается поверх сети Интернет. Несмотря на обеспечение связи через Интернет, когда уровень доверия к сети низок, уровень доверия к организованной таким образом локальной сети высок из-за организации безопасного соединения узлов в сеть. Для более эффективной организации VPN применяется механизм MultiProtocol Label Switching (MPLS), т.е., многопротокольная коммуникация по меткам. В сети MPLS передача данных идет согласно присвоенным пакетам меткам. В значении метки пакета хранится адрес узла-получателя данных. Таким образом передача данных производится без изучения пакета данных. Таким образом создается т.н., сквозной виртуальный канал, который не зависит от сети передачи данных и протокола передачи данных.
Обзор механизма MPLS
Многопротокольная коммуникация по меткам (MPLS) представляет собой механизм высокоскоростной передачи данных через сети общего пользования. Она позволяет преодолеть ограничения стека протоколов TCP/IP в части передачи пакетов между узлами и являет собой собой комбинацию маршрутизации на сетевом уровне и высокоскоростную коммутацию пакетов на канальном уровне. Ключевая особенность MPLS -использование заголовка MPLS, добавляемого к каждому пакету данных. Заголовок состоит из одной или нескольких меток, которые являют собой 32-битные записи и влияют на следующего получателя данных в сегменте сети. Локальность меток предназначена для легкости их обработки, что положительно сказывается на скорости передачи данных. Ценность MPLS заключается в том, что с помощью добавления меток пакеты обрабатываются так, как если бы отправитель и получатель находились в одном сегменте сети. В MPLS VPN применяется многоуровневая ячеистая сеть, которая состоит из нескольких различных наборов маршрутов передачи данных, состоящих из отдельных сайтов, причем каждый сайт может быть как помечен как предпочтительный для передачи данных, так и как изолируемый от прохождения пакетов. Архитектура MPLS VPN в целом состоит из уровня данных и уровня контроля, также при необходимости может добавляться уровень менеджмента. Уровень данных определяет собой процесс передачи данных через виртуальную частную сеть. Уровень контроля определяет собой установление Пути Коммутации Меток (LSP) и процесс распределения информации о нем внутри VPN.
В разрезе оборудования же архитектура MPLS VPN состоит из трех уровней: клиентского уровня (CE), пограничного уровня (PE) и уровня провайдера (P). Под клиентским уровнем имеется в виду пользовательский интерфейс, посредством которого хост взаимодействует с VPN. СЕ может быть как сетевым устройством (свитч, роутер), так и напрямую клиентом. В случае, если это сетевое устройство, то оно является конечной точкой для VPN, трафик от устройства к клиентам уже не является трафиком VPN. Пограничный уровень и уровень провайдера - это устройства сети передачи данных, которые являются гибридами маршрутизаторов и коммутаторов, взяв от маршрутизатора протоколы маршрутизации и возможность определять топологию сети, а от коммутаторов работу с метками и хранение таблиц коммутации. Для клиента уровень провайдера является «черным ящиком», т.к., устройства клиентского уровня взаимодействую только с устройствами пограничного уровня.
Угрозы MPLS VPN
Так как архитектура MPLS VPN разделена на три уровня (данных, контроля, менеджмента), угрозы безопасности исходят из этих процессов, содержащихся на этих трех уровнях. На контрольном уровне происходят процессы обмена и обработки информации маршрутизации и
поддерживаются таблицы маршрутизации VPN. На уровне данных происходит процесс передачи данных. На уровне менеджмента происходит конфигурация оборудования и обмен служебной информацией.
На контрольном уровне информация о маршрутизации VPN передается между оборудованием уровня Р и РЕ, таким образом возникает угроза нарушения процесса обмена информацией. Атаки проводятся как на протоколы обмена информацией, так и на сами устройства, вызывая отказ в их работе. Например, злоумышленник нарушает процесс публикации информации маршрутизации, представляясь как оборудование РЕ и рассылая запросы на получение данных к другим устройствам уровня. Таким образом, злоумышленник может получить таблицы маршрутизации для РЕ и обнаружить точки контакта с уровнями СЕ и Р. Также (при наличии достаточного количества подставных устройств в сети) злоумышленник может внести в таблицы маршрутизации неверные данные и пользовательские пакеты попадут не к получателю, а в руки злоумышленника. Атаки на оборудование проводятся с помощью отправки на оборудование уровня Р или РЕ значительного числа запросов на отправку или пакетов, содержащих в себе обновления таблиц маршрутизации. В этом случае оборудование цели обрабатывает только нежелательные пакеты, оставляя без внимания пользовательские пакеты. Таким образом, атакованный маршрут становится полностью недоступен для конечного (СЕ) пользователя.
На уровне данных возникают угрозы спуфинга IP-адресов и перехвата TCP-сессий, после чего пакеты с данными пользователя могут быть как перехвачены, так и уничтожены. Эти угрозы характерны для всех протоколов передачи данных, использующих сети общего доступа как среду передачи данных. Несмотря на наличие маршрутов и системы туннелирования, конечный пользователь уязвим для атакующего, т.к., MPLS только передает данные, оставляя для злоумышленника возможность вмешиваться в процесс формирования меток как на стороне отправителя, так и на стороне получателя.
На уровне менеджмента возникает угроза атаки устройств через вспомогательные интерфейсы передачи данных, используемые для передачи служебной информации и администрирования самих сетевых устройств. В случае нахождения уязвимостей в системе защиты самих устройств атакующий может сымитировать подключение авторизованного пользователя (системного администратора) и вмешаться в конфигурацию устройства, выключив его или изменив настройки сетевых интерфейсов. Также нельзя оставлять без внимания человеческий фактор, например, сохранение заводских паролей администратора обслуживающим персоналом или передачу ключей доступа третьим лицам. В этом случае злоумышленнику достаточно просто воспользоваться данными администратора сети для получения доступа к атакованному устройству.
Меры безопасности в сетях MPLS VPN
Для обеспечения защиты от угроз безопасности на всех трех уровнях необходимо принимать меры, различные для каждого из трех уровней. Функционал MPLS позволяет адаптировать меры, принятые для сетей асинхронной передачи данных, таким образом основной упор делается на протокол граничного шлюза и исходящий интерфейс любого индивидуального пакета данных является функцией только входящего интерфейса. Соответственно, в магистральной сети маршрут передачи пакета не определяется IP-адресом. Это позволяет предотвратить попадание и передачу несанкционированного трафика в сеть VPN и из нее.
Меры безопасности на контрольном уровне в основном заключаются в обеспечении безопасной передачи служебной информации о таблицах маршрутизации и изолировании маршрутов от внешних сетей. Широко используются протоколы IGP для установления пути передачи меток и пакетов. Таким образом, маршрутизатор-получатель заранее организует канал передачи данных с маршрутизатором-отправителем и верифицирует его подлинность, делая невозможным внедрение злоумышленника вместо отправителя или между этими двумя узлами, т.к., при каждом сеансе передачи данных получатель и отправитель сверяют хэш-суммы меток и в случае возникновения различий связь прерывается. Также вводится ограничение на количество служебной информации от одного устройства с целью предотвращения атак, направленных на переполнение очереди обработки пакетов и вытеснения полезных пакетов поддельными.
На уровне данных меры безопасности включают в себя шифрование данных, передаваемых от СЕ к РЕ, т.к., сеть MPLS может включать в себя участки, где данные между оборудованием передаются в открытом виде и могут быть легко перехвачены. Из-за особенностей виртуальной локальной сети и маршрутов передачи данных MPLS нельзя гарантировать отсутствие таких участков при передаче данных через сеть Интернет. Также производится дополнительное шифрование и сжатие информации между оборудованием РЕ с целью уменьшить нагрузку на уровень Р. Для гарантии безопасной передачи данных между Р и РЕ обычно устанавливаются туннели IPSec. Таким образом, при передачи данных из одного узла СЕ в другой узел СЕ трафик не только шифруется, но и проходит через IPSec туннель, делая простой перехват информации на (обычно наименее защищенном) уровне СЕ бессмысленным.
Меры безопасности на уровне менеджмента включают в себя включение дополнительной аутентификации пользователя на уровне интерфейсов сетевого менеджмента и защиту от атак методом спуфинга. В целях безопасности также допускается физическая изоляция интерфейсов управления от основной сети путем их выключения. В этом случае управление устройством осуществляется либо с помощью выделения группы интерфейсов в отдельный, недоступный из основного, VPN с фильтрацией
адресов входящих подключений, либофизически, полностью убрав возможность удаленного подключения к самому устройству. Также не следует забывать и о человеческом факторе, дополнительно следя за политиками паролей и регулярном обновлении программного обеспечения оборудования.
Заключение
Построение VPN в целом актуально в том случае, когда физическое объединение локальных сетей нецелесообразно из-за, например, удаленности узлов. При этом необходимо особо оценивать безопасность используемых сетей передачи данных и при необходимости дополнительно шифровать исходящий трафик. При защите отдельных узлов сети передачи данных инфраструктура остается доступной для внешнего наблюдателя, этого можно избежать путем построения туннелей и настроек выбора маршрутов передачи данных между разными уровнями сети. Для обеспечения безопасности вместе с VPN рекомендуется использовать межсетевые экраны. Таким образом, даже если злоумышленник получит доступ к VPN, он не сможет вмешаться в локальную сеть конечного пользователя.
Использованные источники:
1.Галкин В.А., Григорьев Ю.А. «Телекоммуникации и сети», М.:МГТУ им. Н.Э.Баумана, 2003 - 608 с.
2.Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов. 3-е издание. СПб: Питер, 2008. 960 с. З.Оливейн В. Структура и реализация современной технологии MPLS. М. Вильямс, 2004. 480с.
4.Юшков Т. Организация VPN на базе MPLS // Сайт OpenNET. 2007. Режим доступа: www.opennet.ru/docs/RUS/mpls/mplsvpn.html (дата обращения: 10.01.2017).
Камалова Г.Н. ассистент кафедры «Анатомии, клинической анатомии и биофизики»
Бобоев А.Х.
студент, 520 гр,. стоматологический факультет Нукусский филиал Ташкентского педиатрического
медицинского института Узбекистан, г. Нукус
СМЕРТНОСТЬ НАСЕЛЕНИЯ ТРУДОСПОСОБНОГО ВОЗРАСТА КАК МЕДИКО-СОЦИАЛЬНАЯ ПРОБЛЕМА КАРАКАЛПАКСТАНА Аннотация. Выявлена специфика смертности населения Республики Каракалпакстан в условиях определяющего влияния на нее факторов заболеваемости и инвалидности.
