Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

MPLS и безопасность

Д. В. Сереченко

Начиная с 1988 г., с началом широкого применения международных сетей передачи данных общего пользования (Интернет), темпы роста сетевой преступности увеличиваются год от года в геометрической прогрессии. По оценкам экспертов Международного центра безопасности Интернет — CERT Coordination Center, — число инцидентов, связанных с нарушениями сетевой безопасности, выросло с 1988 г. в 10 тыс. раз (табл. 1).

Удаленные атаки на информационные ресурсы через сети передачи данных несут в себе угрозу национальной безопасности. Эта угроза настолько серьезна, что вынуждает правительство РФ идти на дополнительные административные меры по защите информации, вплоть до отключения государственных учреждений от международных сетей передачи данных общего пользования: “...Субъектам международного информационного обмена в Российской Федерации запрещено осуществлять включение информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения, а также для которых установлены особые правила доступа к информационным ресурсам, в состав средств международного информационного обмена, в том числе в международную ассоциацию сетей “Интернет”” (Указ Президента РФ от 12.05.2004 № 611 “О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена”).

Одними из основных причин, провоцирующих рост сетевой преступности, являются несовершенство существующих средств и методов сетевой защиты и неэффективность противодействия этих средств ряду информационных угроз. По отчетам того же Международного центра безопасности Интернет CERT, число уязвимостей, обнаруживаемых ежегодно в программном обеспечении систем сетевой защиты, с 1995 г. возросло более чем в 20 раз, причем наблюдается устойчивая тенденция их роста (табл. 2).

Полную версию данной статьи смотрите в 13-ом номере журнала за 2004 год.

Согласно данным специализированного сайта по безопасности Zone-H, 31,4% успешных информационных атак через сеть общего пользования происходит через незакрытые известные уязвимости, 24,2% — из-за ошибок в настройках, 21,1% — через ранее неизвестные уязвимости, 16,3% атак осуществляются с применением “грубой силы” и, наконец, 4,7% приходится на остальные атаки.

Как видно из приведенных данных, 52,5% преступлений в сетях совершаются в результате ошибок в проектировании и специфицировании ПО и 24,2% — из-за ошибок администрирования (например, согласно исследованиям, проведенным ассоциацией ICSA, до 70% всех межсетевых экранов имеют различные ошибки в конфигурации). Для “закрытия” такого рода уязвимостей системы сетевой защиты, построенные по принципу разграничения и контроля доступа, малоэффективны. Если некий информационный сервис открыт и доступен через сеть (по ошибке администратора или согласно установленной политике безопасности), то, при наличии уязвимостей в реализующем этот сервис ПО, сетевая атака с их использованием может быть успешно проведена.

Отмеченные выше тенденции к усилению хакерской активности, увеличению числа ошибок в программном коде и настройках сетевых систем защиты ведут к постоянному росту экономических потерь. В табл. 3 приведены данные по общим финансовым потерям мировой экономики в результате нарушений сетевой безопасности (согласно оценкам издания InformationWeek и консалтингового агентства PricewaterhouseCoopers).

Таким образом, можно сделать следующий вывод: большинство нарушений в области информационной безопасности в сетях нельзя полностью контролировать только традиционными средствами защиты на основе разграничения и контроля доступа (межсетевые экраны и т. п.), независимо от того, происходят нарушения из-за наличия ошибок в сетевом ПО или в настройках системы защиты. Поэтому необходимо принимать превентивные меры по обеспечению сетевой защиты и разрабатывать политику сетевой безопасности на базе технологий, позволяющих реализовать упреждающие стратегии защиты, таких, например, как MPLS VPN (виртуальные частные сети на основе протоколов MPLS).

Основные угрозы

Прежде чем говорить о технологии MPLS VPN, как о методе и средстве обеспечения сетевой безопасности, обозначим, какие угрозы чаще всего возникают в современных сетях передачи данных. Можно выделить четыре основные группы таких угроз: первая группа — это вирусные атаки, с которыми, согласно статистике, так или иначе связаны до 70% всех сетевых инцидентов; вторая — это рассылка спама, которая больше относится к такой области информационной безопасности, как защита от информации; третья — это атаки типа “отказ в обслуживании” и наиболее опасная их разновидность — распределенная атака “отказ в обслуживании”; и, наконец, четвертая — это атаки с использованием уязвимостей ПО открытых информационных сервисов, ошибок программирования и настройки.

Как уже отмечалось выше, традиционные средства и методы борьбы с этими угрозами основаны на принципе установки разнообразных “информационных барьеров” — межсетевых экранов и сетевых фильтров, систем обнаружения вторжения, активного аудита, сканеров безопасности (сюда же можно отнести различные обманные системы, mail sweeper, mime sweeper). Средства и методы построения виртуальных частных сетей (VPN) отличаются от традиционного подхода к защите сетей на основе “информационных барьеров”. Они позволяют строить выделенные, или частные, сети на базе разделяемой сетевой инфраструктуры и таким образом реализовать упреждающую, превентивную стратегию защиты сети.

Условно сети VPN можно разделить на три основные группы по способу реализации:

• традиционные сети VPN на основе криптографических сервисов шифрования и аутентификации данных, реализованных в таких протоколах, как IPSec;

• традиционные сети VPN на основе разделения каналов второго уровня (Frame Relay, ATM, Ethernet VLAN);

• сети VPN на основе разделения таблиц коммутации и маршрутизации (MPLS VPN).

Традиционные сети VPN

Средства реализации VPN первой группы часто имеют серьезные недостатки. Потенциально слабая криптография и ошибки в ее реализации, а также частные (т. е. нестандартные, а значит, поддерживаемые не всеми производителями и разработчиками) схемы распределения ключей приводят к нарушению целостности, доступности или конфиденциальности передаваемых данных. Также к минусам подобных средств следует отнести сложность в управлении сетью и схемой распределения ключей при больших масштабах и географической распределенности VPN; потенциальные проблемы при работе VPN через межсетевые экраны (например, в случае использования алгоритмов трансляции сетевых адресов (NAT) с протоколом IPSec); частую несовместимость различных реализаций VPN.

Традиционные технологии построения сетей VPN на основе разделения каналов второго уровня (L2 VPN) тоже обладают рядом существенных недостатков. Для того чтобы обеспечить полноценный, качественный сервис с помощью традиционных технологий построения L2 VPN (например, таких, как ATM и Frame Relay), сервис-провайдер должен обладать собственной L2-сетью. Это влечет за собой существенные расходы прежде всего на построение и затем на поддержание такой сети. Такие капиталовложения по силам, как правило, только очень крупным операторам (провайдерам первого уровня, Tier 1, таким, как AT&T, WorldCom и др.). Если же сервис-провайдер не имеет собственной выделенной L2-сети, то обеспечить полноценный сервис L2 VPN он может, только арендуя каналы доступа у других компаний, что тоже требует существенных затрат.

MPLS VPN

Сервисы L2 VPN, организованные на основе технологии MPLS, лишены вышеперечисленных недостатков. Сервис-провайдер не обязан содержать выделенную L2-сеть для того, чтобы поддерживать такой сервис. Технологии MPLS L2 VPN позволяют “прокладывать” каналы второго уровня через разделяемую опорную сеть, по которой, помимо MPLS VPN, работают традиционные IP-сервисы. С точки зрения клиента, его точки подключения к MPLS L2 VPN выглядят как подключения к одному большому L2-коммутатору. Фактически, по своей функциональности, сервис MPLS L2 VPN является полноценной альтернативой традиционным выделенным каналам связи (Frame Relay, ATM). При этом уровень защищенности данных, который обеспечивает этот сервис, не ниже уровня защищенности выделенных каналов связи.

Основное отличие L2 VPN от сетей VPN, функционирующих на третьем уровне (L3 VPN), — их прозрачность на сетевом уровне. Значит, у пользователя появляется определенная гибкость в управлении своим VPN на этом уровне: он может сам управлять политикой маршрутизации и в случае необходимости устанавливать дополнительные сервисы сетевой защиты, шифрование, аутентификацию, например IPSec-туннель.

Существует два основных драфта стандартов MPLS L2 VPN — Martini и Kompella (по фамилиям их авторов — Лука Мартини и Кириети Компелла; подробнее об этих и других драфтах VPN см.: Сети и системы связи. 2004. № 6. С. 82. — Прим. ред.). Принципиально они отличаются в алгоритмах инкапсуляции и сигнализации. С точки зрения сетевой безопасности оба этих драфта в общем случае эквивалентны. Ни тот, ни другой не предлагают дополнительных сервисов безопасности на уровне инкапсуляции MPLS-фреймов. Если говорить о сигнализации, то эти драфты описывают разные сигнальные протоколы — LDP (Мартини) и iBGP (Компелла). Но здесь скорее нужно говорить о безопасности протоколов маршрутизации, а не сервисов MPLS L2 VPN.

Сети MPLS L3 VPN строятся на основе разделения таблиц маршрутизации. Сетевые префиксы, принадлежащие определенной сети VPN, выносятся в отдельную таблицу маршрутизации, и продвижение трафика в рамках данной VPN происходит по маркированному пути LSP (Label Switched Path), построенному специально для префиксов в этой таблице. Продвижение трафика в рамках одной сети MPLS L3 VPN осуществляется следующим образом: на точке входа в MPLS-домен к пакету добавляются две метки — внутренняя и внешняя; внешняя метка используется для продвижения трафика по MPLS-домену от точки входа к точке выхода, а внутренняя — для направления трафика в точке выхода на устройство пользователя CE — Customer Edge (см. рисунок). Внутренняя метка необходима, поскольку через устройства PE1 и PE2 (Provider Edge) могут проходить несколько VPN-сетей.

Технологии MPLS L3 VPN допускают весьма гибкие схемы организации виртуальных соединений пользователей, когда один пользователь может участвовать в нескольких виртуальных сетях сразу. В этом случае продвижение трафика также управляется на основе внешних и внутренних меток.

С точки зрения сетевой безопасности технологии MPLS L2/L3 VPN предлагают новый уровень защиты сетевого трафика. Несмотря на то что пакеты передаются по разделяемой опорной сети, из-за разнесения сетевых префиксов в разные маршрутные таблицы трафик одной VPN-сети получается изолированным в рамках каждого маршрутизатора — еще до применения к нему (трафику) правил продвижения пакетов и тем более до реализации правил традиционной, “барьерной”, политики сетевой безопасности. В результате атаки типа “отказ в обслуживании”, а также атаки с использованием уязвимостей прикладного ПО в принципе не могут быть осуществлены извне выделенной сети MPLS VPN. Трафик такой атаки просто не дойдет до цели потому, что маршруты MPLS VPN находятся в выделенной маршрутной таблице, которая не задействуется в процессе принятия решения по маршрутизации внешнего трафика.

Об авторе
Сереченко Денис Владимирович
ведущий специалист по передаче данных
и хостингу компании WideXs
Телефон: (095) 797-9155
E-mail: Denis.Serechenko@ionip.ru





  
13 '2004
СОДЕРЖАНИЕ

бизнес

• 44 этажа «интеллекта» на Canary Wharf

инфраструктура

• Снова о виртуализации памяти

• Централизованное управление удаленными офисами

• Раздача воздуха в системах кондиционирования

• Что стоит за ACD

информационные системы

• Фактор XML

• Приложения ИКТ в здравоохранении

сети связи

• Оптические беспроводные системы связи

• Все дороги телефонии ведут к... IP?

кабельные системы

• Рефлектометры на любой вкус

• Разработка стандарта на центры обработки данных близится к завершению

защита данных

• Пожалуйте на ковер

• Управляю, следовательно, существую

• MPLS и безопасность

новые продукты

• Angel преодолевает препятствия; Новые монтажные шкафы EcoLine; Сервисный маршрутизатор Alcatel 7750 SR


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх