Анализ источников угроз информационной безопасности виртуальных частных сетей VPRN на базе сети MPLS

Ведущими провайдерами услуг большинство виртуальных частных сетей строятся как VPRN, т.е. на базе сетей MPLS. Это объясняется их преимуществом перед VPN на базе протокола IPSec - обеспечивают пользователям затребованное ими качество обслуживания соединения, обладают большей масштабируемостью, более эффективно используют пропускную способность сети и др. Опыт авторов настоящей работы по проектированию и вводу в эксплуатацию сетей VPRN показал актуальность проведения анализа обеспечения их информационной безопасности на всех трех плоскостях - управление сетью, управление соединением, работа конечного пользователя (данные). Для разных корпоративных сетей VPRN характерны определенные схемы взаимодействия виртуальных частных сетей в окружающей среде с устройствами других зон сети (топологии VPRN). Приведены результаты исследований уязвимости информационной безопасности к угрозам внедрения и атакам DoS злоумышленника в наиболее характерных шести топологиях корпоративных сетей VPRN. Приведены источники нарушения информационной безопасности. Показано, что некоторые потенциальные угрозы имеют место в эксплуатируемых сетях VPRN. Предложен реализованный в некоторых корпоративных сетях VPRN механизм защиты от таких угроз.

Литература

[1] Оливейн В. Структура и реализация современной технологии MPLS. М.: Вильямс, 2004. 480 c.

[2] Гольдштейн Ф.Б., Гольдштейн Б.С. Технология и протоколы MPLS. СПб.: БХВ-Петербург, 2005. 304 c.

[3] ITU-T Recommendation X.805. Security architecture for system providing end-to-end communication, 2003.

[4] Rosen E., Rekhter Y. RFC 4364, BGP/MPLS IP Virtual Private Networks (VPNs), 2006.

[5] Luyuan Fang [and others]. Interprovider IP-MPLS services: Requirements, implementations, and challenges // IEEE Communications Magazine. 2005. № 5. P. 119-128.

[6] Бельфер Р.А. Сети и системы связи (технологии, безопасность): электронное учебное издание: МГТУ им. Н.Э. Баумана, 2012. 738 c.

[7] Олифер В.Г., Олифер Н.А. Компьютерные сети. СПб.: Питер, 2006. 997 c.

[8] Michael H. Behringer, Monique J. Morrow. MPLS VPN security. Cisco Press, 2005. 312 c.

[9] Rong Ren, Deng-Guo Feng, Ke Ma. A detailed implement and analysis of MPLS VPN based on IPSec // Proc. of the Third Int. Conf. on Machine Learning and Cybernetics. - Shanghai, 26-29 August 2004. P. 2779-2783.

[10] Mu Zhang, ZhongPing Tao. Application research of MPLS VPN All-in-one campus card network based on IPSec 4th Int. Conf. on Computational and Information Sciences, 2012. P. 872-875.

[11] Jonah Pezeshki et al. Performance implications of instantiating IPSec over BGP enabled RFC 4364 VPNS // IEEE, 2007. P. 1-7.

[12] Столлингс В. Основы защиты сетей. Приложения и стандарты. М.: Вильямс, 2002. 324 c.

[13] Бельфер Р.А. Угрозы безопасности VPN MPLS на участке между соседними маршрутизаторами и защита с помощью IPSec // Электросвязь. 2013. № 4. P. 2527.

[14] Bonica R., Rekhter Y., Raszuk R., Rosen E., Tappa D. CE-to-CE member verification for layer 3 VPNs. Available at: http://tools.ietf.org/id/draft-ietf-l3vpn-auth-00.txt (accessed: 28 February 2003).

[15] Behringer M., Guichard J., Marques P. Layer 3 VPN import/export verification. Available at: http://tools.ietf.org/id/draft-ietf-l3vpn-vpn-verification-00.txt (accessed: 22 March 2005).