Dostęp - szeroki i bezpieczny
-
- Patryk Królikowski,
- 15.01.2010
Krecia robota i zewnętrzny napastnik
Analizując możliwe zagrożenia dla MPLS, pierwsze, co może nam przyjść do głowy, to ujawnienie i manipulacja etykietami. Skoro, jak pamiętamy, zarówno za rozdział tuneli, jak i przestrzeni adresowych odpowiadają etykiety, to ich rozpoznanie stanowi poważne zagrożenie. Spowoduje to, że będziemy w stanie wstrzyknąć własny ruch, odpowiednio go oznakować, a co za tym idzie przesłać do wskazanego adresata. Możemy zatem wyobrazić sobie sytuację zarówno zmiany drogi pakietu, jak i zaatakowania określonego odbiorcy po drugiej stronie "kabla". Nie są to zresztą tylko teoretyczne dywagacje. Na ubiegłorocznej, europejskiej edycji konferencji Black Hat panowie Enno Ray i Daniel Mende zaprezentowali praktyczną realizację ataków i odpowiednie narzędzia. W przypadku technologii MPLS VPN, realizowanej w warstwie trzeciej, wykorzystali oni słabości samej technologii, o których już wspomnieliśmy - brak mechanizmów, które pozwoliłyby wykryć wprowadzanie modyfikacji w etykietach. Dzięki narzędziu mpls_redirect jesteśmy w stanie manipulować etykietami VPN. Z kolei mpls_tun pozwala na stworzenie wirtualnego interfejsu, który stanie się częścią domeny MPLS VPN, a stąd droga do prowadzenia innych ataków stoi otworem. Jedyną niedogodnością, z którą potencjalny napastnik musi się zmierzyć, jest posiadanie dostępu do infrastruktury szkieletowej. Nie jest to jednak niewykonalne. Ten sam zespół przedstawił także ataki na MPLS VPN realizowane w warstwie drugiej. Wykorzystano tutaj kolejne narzędzie ldp_cli, z którego pomocą jesteśmy w stanie przyglądać się procesowi dystrybucji etykiet - LDP (Label Distribution Protocol). Co więcej, możemy rozpowszechniać pozyskane w ten sposób informacje. Ponieważ narzędzia te wymagają dostępu do szkieletu, nieco spokojniej mogą spać ci, którzy mają własne łącza na całej trasie pakietu i nie muszą polegać na infrastrukturze dostawcy usług. Nie jest to jednak całkowity spokój, bo trzeba mieć zaufanie do własnej infrastruktury. Niestety, komfort posiadania w pełni własnej infrastruktury ma tylko kilka firm w Polsce.
Istnieje także wiele ataków na MPLS, które wcale nie wymagają dostępu do sieci szkieletowej. Mogą one wynikać zarówno ze słabości samej technologii, jak i błędów w konfiguracji. Jeżeli na przykład udałoby nam się odnaleźć adres docelowy, z którym realizowane jest połączenie, możemy być w stanie uzyskać informacje o etykietach LSP (Label Switch Path), a więc o trasie, jaką będzie pokonywał pakiet. Ten scenariusz mógłby się sprawdzić w szczególności w sytuacji, w której urządzenie przetwarzające MPLS pozwalałoby na otrzymywanie "otagowanych" pakietów spoza sieci szkieletowej. Pod podobnym warunkiem bylibyśmy również w stanie sfałszować dane wymieniane za pomocą wspomnianego już wcześniej protokołu LDP. Możemy więc przeczytać o atakach takich jak Label Information Base Poisoning, które mogą stanowić punkt wyjścia do wykonania chociażby ataków DoS.
Podstawowym sposobem na wzmocnienie ochrony przed tymi zagrożeniami jest właściwa konfiguracja. Nie można dopuścić do sytuacji, w której sieć szkieletowa będzie akceptowała pakiety opatrzone etykietami, a nie pochodzące z jej wnętrza. To samo dotyczy możliwości wpuszczania z zewnątrz informacji, które mogą modyfikować proces dystrybucji etykiet. Ponieważ wiemy, że MPLS nie zapewnia mechanizmów szyfrujących, kolejnym logicznym wnioskiem byłoby nieprzepuszczanie przez tę sieć ruchu, który nie jest szyfrowany (np. SSH zamiast Telnet, HTTPS zamiast HTTP.)
Słabości bezpieczeństwa MPLS dostrzegli skwapliwie niektórzy producenci, oferując rozwiązania wprowadzające dodatkowe mechanizmy ochronne. Przykładem takiego produktu może być CypherEngine firmy CipherOptics, który potrafi szyfrować ruch MPLS bez (wg producenta) znaczącego wpływu na jego wydajność.
