IP/MPLS VPN安全吗?
2018-06-11 来源:
1. 介绍
随着IP/MPLS VPN的兴起,用户和运营商都将目光转向了这种极具竞争力和市场前景的VPN。对用户而言,IP/MPLS VPN可以非常方面地替代租用线和传统的ATM/帧中继VPN来连接计算机或LAN,也可以提供租用线的备份、冗余和峰值负载分担等,费用节省明显。而就服务提供商而言,IP/MPLS VPN是其未来数年内扩大业务范围,保持竞争力和客户忠诚度,降低成本,增加利润的重要手段。
安全性保证是IP/MPLS VPN(以下统称VPN)能否取代租用线和传统的ATM/帧中继 VPN的一个关键因素(另外一个是QoS的保证)。尽管2000年2月Yankee group发表了研究报告,指出传统的ATM/帧中继VPN存在严重的安全隐患,但ATM/帧中继VPN在安全性方面仍然享有很高的声誉。与人们对ATM/帧中继 VPN安全性非常信任的情况相反,尽管IP/MPLS VPN技术声称提供了安全性保证,但由于人们普遍认为IP网本身是不安全的,因此对基于IP/MPLS的VPN的安全性仍然存在很大疑虑。
IP/MPLS的安全性究竟如何,比ATM/帧中继 VPN安全性要高还是不如?要回答这个问题并不容易,因为安全性是一个复杂的系统问题,任何一个网络系统单靠VPN提供的安全通信是不可能保证安全的。本文不讨论IP/MPLS与ATM/帧中继 VPN面临的相同的安全问题,如实现上(比如后门)和实施时(配置错误)的安全问题,而是从不同的VPN隧道技术和不同的组网方式的角度来探讨其安全性。
2. VPN安全性实施方式
根据用户是否信任运营商以及用户数据的安全敏感程度,用户可以选择由运营商提供安全性保障,也可以选择由用户自己实施安全性保障。IP/MPLS VPN同时支持这两种实施方式。
2.1 用户不信任运营商
当用户不相信运营商提供的任何形式的安全服务时(比如用户的数据特别敏感),用户应该使用防火墙以及具有安全隧道功能的用户驻地设备(CPE)来实现IP/MPLS VPN。在这种情况下,用户自己负责所传递数据的安全性,VPN数据的安全性取决于用户防火墙以及所使用的隧道协议的安全性(后文对不同隧道协议的安全性分别进行了讨论)等具体实施时的多方面因素。
与在传统的ATM/帧中继VPN的中运营商只提供传递ATM信元或帧中继帧的传输通道相似,运营商这时只负责提供传递IP/MPLS包的传输通道,不负责安全保证,隧道数据的安全性由用户自己负责。
2.2 用户信任运营商
传统的基于帧中继和ATM的VPN都假定运营商是值得信赖的,在IP/MPLS VPN的实施中,也可以这样假设。
在这种情况下,防火墙功能的提供以及包传输的安全性保证都是由运营商提提供的。如果是基于网络的VPN,运营商负责运营商两个边缘设备(PE)之间的安全性,不包括用户接入链路的安全性(这段链路一般是用户专用的,通常认为是安全的);如果是基于用户设备(CE)的VPN,则运营商负责保证CE设备到PE设备之间的安全性,包括了用户接入链路的安全性,这是一种基于CE的管理型VPN。
在不同场合下运营商可以根据需要采用不同的安全等级。如果运营商认为PE到PE或CE到CE的路径本来就是安全的,因为运营商拥有整个骨干网基础设施(VPN数据传递只在一个运营商的IP骨干网中传递),或者把部分骨干网外包给另一个值得信赖的运营商(比如可能是SONET/SDH电路,波长或光纤),那么就不大需要太高的安全机制(如IPSec)来提供骨干网节点间的隧道安全服务。如果VPN数据的传递横跨多个运营商的骨干网,那么使用高级别的安全机制就很有必要。
3. IPSec的安全性
IPSec是专门设计为IP提供安全服务的一种协议(其实是一个协议族)。IPSec可有效保护IP数据报的安全,所采取的具体保护形式包括:数据源验证;无连接数据的完整性验证;数据内容的机密性保护;抗重播保护等。
使用IPSec协议中的认证头(AH)协议和封装安全载荷(ESP)协议,可以对IP数据报或上层协议(如UDP和TCP)进行保护,这种保护由IPSec两种不同的工作模式(分别对应隧道模式和传输模式)来提供。其中AH可以验证数据的起源、保障数据的完整性以及防止相同数据包的不断重播。ESP除具有AH的所有能力之外,还可选择保障数据的机密性,以及为数据流提供有限的机密性保障。
AH和ESP协议根据安全联盟(SA)规定的参数为IP数据包提供安全服务。SA可以手工建立,也可以自动建立。IKE就是IPSec规定的一种用来自动管理SA的协议。IKE的实现可支持协商VPN,也可支持IP地址事先并不知道的远程接入。IKE必须支持协商方不是SA协商发生的端点的客户协商模式,这样可以隐藏端方身份。
虽然到目前为止,全球安全专家普遍认为IPSec是最安全的IP协议,但也并非全是赞美之词,最主要的批评是它的复杂性,因为系统复杂性是系统安全的主要威胁之一。IPSec有两个运行模式:传输模式和隧道模式,有两个安全协议:AH和ESP。AH提供认证,ESP提供认证和/或加密。这导致了额外的复杂性:打算认证一个包的两台机器之间的通信总共有四种模式可供选择:传输/AH,隧道/AH,空加密的传输/ESP以及空加密的隧道/ESP,而这些选择之间的功能和性能差别都很小(因此没有太大实际意义)。产生这种问题的原因是IPSec是多个国家的安全专家经过多年的研究和讨论后折衷的产物。因此有安全专家已经提出安全协议的设计原则应是多家竞争,择优使用,正如AES(高级加密标准)那样。
ATM/帧中继 VPN的“专用”性体现在虚电路连接的是一组闭合的用户或社区,安全性保证主要来自它的“闭合用户群(CUG)”的特性,假设运营商不会(恶意)错误配置而导致数据传递错误,不会监听用户的流量,不会不经过授权就进入用户网络,不会被修改,不会被非授权方进行流量分析等,根本不提供认证和加密等安全服务(当然如果用户需要传递特别敏感的数据(如金融信息)等,通常需要采用用户自己实施的链路加密等方法)。而对于IPSec VPN,连接的也是一组闭合的用户或社区,但这时提供的安全服务还包括认证和加密等。因此可以这样认为,IPSec比传统的ATM/帧中继 VPN更强的安全服务,是到目前为止最为安全的VPN技术。
标签: 安全 标准 防火墙 防火墙功能 金融 通信 网络 问题 选择 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
上一篇:IBM采用新技术改进灾难管理模型