Odporność na ataki

Użytkownicy wyrażają obawy co do faktycznego bezpieczeństwa usług MPLS IP VPN i sposobów zabezpieczenia ich przed atakami internetowymi. Jednakże odpowiedź na te obawy jest dość prosta i nie wymaga technicznej analizy. W środowisku wyłącznie MPLS bez dostępu do Internetu, w którym sieci służy do połączenia między dwoma lokalizacjami, rdzeń sieci jak i przestrzeń adresowa klienta są w całości ukryte. To oznacza, że żadne informacje nie trafiają do Internetu czy jakiegoś zewnętrznego podmiotu. Jeśli żadne informacje nie są ujawnianie, włamywacze nie są w stanie uzyskać dostępu do istotnych danych, jak adresy IP routerów, co umożliwiałoby przeprowadzanie ataków DDoS. Dodatkowo dostawcy usług chronią swoje routery przed dostępem do nich z Internetu, stosując dobrze znane techniki, jak filtry pakietów czy listy kontroli dostępu, które zezwalają na dostęp do portów routingu tylko ruchowi z określonych obszarów ich sieci.

W środowisku, w którym klient ma dostęp do Internetu poprzez sieci MPLS, ISP wdrażają podobne mechanizmy, aby ograniczyć dostęp do routerów brzegowych CE, które zapewniają dostęp do Internetu. Dodatkowo, protokoły routingu używane przez operatorów sieciowych mają wbudowane mechanizmy, które z reguły jeszcze bardziej zwiększają poziom bezpieczeństwa. Kilka przykładów takich mechanizmów, to uwierzytelnianie MD5 dla protokołów routingu (BGP, OSPF itd.) oraz konfiguracja maksymalnej liczby routerów akceptowanych przez funkcję Virtual Routing and Forwarding (VRF).

Zobacz również:

• Jak uwolniono Internet, czyli początki komercyjnego dostępu do Sieci w Polsce
• Trwają prace nad komputerami symulującymi działanie ludzkiego mózgu

Dostęp do Internetu

Klient, korzystając z usługi MPLS IP VPN, może za jej pośrednictwem mieć również dostęp do Internetu. ISP może odróżniać typowe trasy klienta, które wymagają bezpośredniego dostępu do Internetu bez obciążania połączeń VPN między lokalizacjami. Przykładowo, możliwa jest konfiguracja, w której klient korzysta z łącza MPLS 10 Mbit/s. ISP rozdziela to łącze na dwa, przydzielając połowę pasma usłudze MPLS IP VPN, a resztę pozostawia do obsługi ruchu internetowego. Dostawca kompletnie rozdziela te dwa łącza, nawet jeśli korzystają one z tego samego interfejsu. Komunikacja z Internetem odbywa się z wykorzystaniem mechanizmu Network Address Translation (NAT). Dzięki temu klient nie ujawnia na zewnątrz więcej informacji o swojej sieci, niż ma to miejsce w przypadku typowego połączenia dostępowego do Internetu.

Szyfrowanie MPLS IP VPN

MPLS IP VPN umożliwia budowanie skalowalnego środowiska, w którym klienci mogą tworzyć bezpieczne połączenia między lokalizacjami. Jednak cały czas trwa dyskusja na temat usług szyfrowania oferowanych w ramach usługi MPLS przez operatorów sieciowych. Faktem jest, że dostawcy MPLS IP VPN z reguły nie oferują żadnych usług szyfrowania. Architektura MPLS VPN czyni bardzo trudnym podpięcie się do połączeń MPLS i wystawienie wewnętrznej sieci czy routerów na atak, chyba że wystąpi poważny błąd lub luka w konfiguracji sieci operatorskiej.

Szyfrowanie w połączeniach MPLS VPN realizuje się z wykorzystaniem IPSec, który jest pakietem protokołów do tworzenia bezpiecznych połączeń IP pomiędzy dwoma lub więcej punktami końcowymi. Można się spotkać z kilkoma wariantami szyfrowania połączeń MPLS VPN. Omawiamy dwa z nich. W pierwszym zakładamy szyfrowanie IPSec między routerami brzegowymi klienta (CE) z każdej strony połączenia. Taka konfiguracja daje najlepszą ochronę przed atakami. Pakiety są szyfrowane od razu po dotarciu do routera CE. Gdy pakiety są deszyfrowane przez wyjściowy router CE, trafiają bezpośrednio do sieci lokalnej klienta.

Znacznie mniej bezpieczną metodą jest szyfrowanie komunikacji między routerami brzegowymi operatora (PE). Komunikacja jest szyfrowana tylko na trasie między routerami operatora, pozostawiając niezabezpieczoną resztę trasy, co oznacza, że w tym przypadku nie mamy do czynienia z prawdziwym bezpieczeństwem VPN.

Ogólnie, połączenia punkt-punkt są łatwe do zarządzania, ale jeśli topologia staje się bardziej skomplikowana i przybywa punktów końcowych, zarządzanie tunelami IPSec wymaga nieproporcjonalnie większego wysiłku. Przykładowo, zarządzanie szyfrowaniem IPSec w połączeniach między pięcioma lokalizacjami wymaga konfiguracji wielu tuneli Crypto IPSec w każdym routerze w każdej lokalizacji. Każda zmiana wprowadzona w którymś z tych routerów wymaga rekonfiguracji wszystkich pozostałych routerów, żeby tunel IPSec działał poprawnie.