Dostęp - szeroki i bezpieczny

Nie ulega wątpliwości, że obecnie jednym z najpoważniejszych wyzwań dla działów bezpieczeństwa jest zapewnienie bezpiecznego dostępu do korporacyjnych zasobów - zarówno dla użytkowników mobilnych, jak i oddalonych fizycznie placówek firmy. Przyjrzyjmy się bezpieczeństwu popularnej w sieciach operatorskich technologii MPLS VPN.

Równie ciekawym, co pracownik mobilny problemem związanym z bezpieczeństwem są technologie wykorzystywane do zapewnienia stałego łącza do współdzielenia zasobów pomiędzy oddziałami firmy, partnerami handlowymi czy firmami wchodzącymi w skład holdingu. Takie zadanie realizują kanały VPN. Na rynku istnieje przynajmniej kilka technologii, z których możemy wybierać. W zastosowaniach operatorskich i w dużych korporacjach najbardziej liczy się MPLS VPN. Nieco mniej popularne - głównie ze względu na cenę - są Frame Relay VPN czy ATM VPN. W mniejszych organizacjach, gdzie stawia się na połączenia typu punkt-punkt, wykorzystywane są bardziej klasyczne VPN-y, czyli IPSec VPN czy SSL VPN. Na pierwszy rzut oka są to więc dwa różne światy. W jednym prym wiedzie MPLS VPN, w drugim wciąż IPSec VPN. W praktyce jednak organizacje stale się rozwijając zmieniają technologie VPN i stają przed wyborem - jeszcze IPSec, a może już MPLS? Mimo licznych różnic obie realizują ten sam cel - pozwalają na ustanowienie stałego kanału dla przepływu danych na dużych odległościach.

MPLS + VPN

MPLS (Multi Protocol Label Switching) jest technologią typową dla sieci operatorskich, którą wyróżnia duża szybkość działania oraz wysoki poziom niezawodności. Z architektonicznego punktu widzenia, MPLS należy zaliczyć do sieci typu mesh. Jej działanie, jak wynika z nazwy, opiera się na nadawaniu określonych etykiet pakietom. Jeżeli wykorzystamy MPLS jako bazę dla VPN, to właśnie dzięki etykietom będziemy w stanie rozpoznać przynależność do określonej domeny VPN. Etykiety mogą zawierać inne ciekawe informacje, np. wagę przenoszonych danych. Nie są one widoczne dla ostatecznego odbiorcy danych, gdyż ich nadawanie odbywa się jedynie w sieci szkieletowej domeny MPLS. Jeżeli chcielibyśmy dokonać klasyfikacji, to technologia MPLS VPN znajdzie się w grupie tzw. trusted VPN (VPN zaufanych). Idea zaufanych VPN-ów polega na tym, że musimy obdarzyć zaufaniem dostawcę, który będzie realizował dla nas tę usługę - wykorzystując MPLS, 95% firm skazanych jest na korzystanie z infrastruktury dostarczanej przez dostawcę.

Ponieważ trudno jednoznacznie określić miejsce MPLS w modelu OSI (elementy L2 i L3), często mówi się, że jest to protokół warstwy 2.5. Warto też powiedzieć, że możemy spotkać dwie główne implementacje MPLS VPN. Pierwsza opiera się na RFC 2547 i realizowana jest w warstwie trzeciej. Druga odbywa się na poziomie warstwy drugiej - tzw. pseudowire VPN. Jeżeli mamy do czynienia z tą pierwszą odmianą, to pewną rolę będzie pełnił tu także protokół BGP (Border Gateway Protocol) lub IGP (Interior Gateway Protocol), który dba o właściwy dobór trasy pakietu w szkielecie.

Właśnie z powodu mechanizmów przypisywania drogi pakietowi MPLS jest lubianą przez sieciowców technologią wymiany danych. Decyzja, w przeciwieństwie do tradycyjnych mechanizmów routingu, podejmowana jest tylko raz, na początku tej drogi. To pozytywnie wpływa na parametry transmisji - obsługa pakietów MPLS nie wymaga wykonywania skomplikowanych (i zasobożernych) obliczeń.

MPLS VPN umożliwia realizację niektórych postulatów bezpieczeństwa. Dzięki tej technologii jesteśmy w stanie sprostać podstawowemu wymaganiu, jakim jest oddzielenie ruchu VPN od ruchu w sieci szkieletowej oraz jednego kanału VPN od innego. Ta funkcjonalność realizowana jest po pierwsze poprzez segmentację przestrzeni adresowych, a także oddzielenie właściwego ruchu kanałów VPN. Segmentacja przestrzeni adresowej odbywa się na poziomie warstwy trzeciej i polega na dodaniu do właściwego adresu IP deskryptora (tzw. RD - route distinguisher), którego podstawowym zadaniem jest właśnie identyfikacja obszaru, w którym dana klasa ma zastosowanie. Oddzielenie samego ruchu z kolei realizowane jest dzięki enkapsulacji i LSP (Label Switch Path). W obydwa te mechanizmy zamieszane są oczywiście informacje niesione przez etykiety.

W odróżnieniu od IPSec VPN, w MPLS nie znajdziemy typowych mechanizmów, które zapewnią spełnienie innych postulatów bezpieczeństwa - poufności i integralności przesyłanych danych. Brakuje bowiem mechanizmów takich jak szyfrowanie czy uwierzytelnianie. Nietrudno więc wyobrazić sobie, że mogą istnieć skuteczne ataki na tę technologię. Ataki na MPLS VPN możemy bardzo ogólnie podzielić na te, które swe źródło mogą mieć wewnątrz sieci szkieletowej, oraz - poza nią.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200