图 4-1 HAIPE 设备典型部署
图中 VPN 网络由 A 和 B 两部分组成,分别由对等体 HAIPE A 和 HAIPE B 前置网络边缘进行保护,并在 HAIPE A 和 HAIPE B 二者之间建立 ESP 加密隧道,站点 A 与站点 B 的任何通信流量都受 ESP 加密隧道的保护,只有去往对等体保护的网络的流量或者来自对等体保护的网络的流量才会通过安全网关,其余流量均被 HAIPE 安全网关阻止。该部署方案并没有考虑用户访问因特网的情况,客户无法与因特网进行直接通信,客户网络的非保护数据不会泄露到因特网上,而来自因特网的攻击也不能奏效,因此安全性很高。如果客户有访问因特网的需求,只需在客户网络任意位置配置一台具有防火墙功能的代理服务器,并在内部路由器上设置路由映射图,将客户网络内部站点间的通信流量旁路至 HAIPE 设备,而与公网的通信流量的默认路由指向代理服务器就可以实现与互联网通信了。 应用 HAIPE 安全网关之后,PT 网域和 CT 网域通过 PT 接口和 CT 接口独立的安全策略控制实现了基于安全策略的有效隔离。HAIPE3.0 安全策略由于实现了精细粒度控 制,即五元组(源地址、目的地址、源端口/目的端口、协议、DSCP 代码),安全控制能力为强大。PT 接口安全策略检测任何经由 PT 接口出站或入站的数据包,符合 PT 出站安全策略的 PT 网域数据包经由安全处理之后送达 CT 接口,而不符合 PT 出站安全策略的 PT 网域数据包直接被 PT 接口丢弃,无法通过 CT 接口转发出去,这样在 CT 网域上只存在经过高强度加密处理和封装的用户数据,明文数据不会出现在 CT 网域上,机密性和完整性得到高可靠性保证。PT 入站安全策略确保解密和封装之后的数据包是发送到本地 PT 网域的合法流量,否则即使通过了 CT 接口,也无法通过 PT 接口发往 PT网域。CT 安全策略确保流入和流出的均为 ESP 协议安全处理后的加密数据包或 IKE 协商数据包,对于
35
任何其他协议数据包直接丢弃,这样来自 CT 网域的各种攻击将被 CT接口阻断,CT 接口实现了防火墙的功能。为防止来自 CT 网域的拒绝服务攻击,则需要在 HAIPE 网关外前置带 ACL 的路由器或者防火墙,先期阻断来自互联网的攻击,确保 HAIPE 设备的安全运行。
4.3.3 MPLS VPN的改进
如前章所述,BGP/MPLS VPN的局限性主要体现在以下两个方面:
(1) MP-BGP携带的扩展共同体属性需要对核心网络里除PE对等体外的第三方透明,但PE对等体之间交换的VPN路由信息并没有相应的安全保护。
(2) VPN成员路由分发基于简单的RT过滤。虚拟路由转发实例(VRF)表仅凭路由目标RT控制其本地路由输出或远端路由导入策略,而没有相应的VRF路由认证及授权机制。攻击者只要猜测出目标VPN使用的RT属性便可顺利导入目标VPN的路由信息,进而对目标VPN进行渗透攻击。
对于第一种安全局限性,简单的配置IB GP路由邻居虽然解决了信任设备间路由信息的通告和重发布,但是BGP扩展共同体所携带的属性这些需要保持透明性并跨越骨干网提供给PE对等体的数据仍然没有相应的保护,因此,需要对BFP扩展共同体所携带的信息进行加密保护。这里,我们利用PKI公钥体系,为每个VPN申请证书和配置公钥一私钥对,VPN每个成员VRF对其输出的VPN路由使用该VPN的私钥进行加密,PE对等体接收到VPN路由后使用该VPN的公钥进行解密,这样VPN路由在PE-PE之间属于加密传输,同时这也提供了VPN路由的验证功能,确保了该VPN路由来自正确的VPN成员。没有该VPN的公钥的PE对等体将无法解密这条VPN路由并安装到它的相应VRF中。[34]
对于第二种安全局限,通过修改BGP扩展共同体属性,增加一个新的团体属性,使得VRF导入路由决策过程基于路由目标以及共同属性这两个因素访问控制,大大增加了安全性。新增团体名为Vpn-Group,格式为VPNID:nn,为一个32位编号,其中VPNID是分配给每个VPN的唯一识别号,而后一部分nn为一个两字节的编号。每个VPN划分为一个或多个Vpn--Group,对每个VPN成员配置两个组列表,一个是保存本地成员所属的全部VPN组的out组列表,另一个是保存本地成员可访问的全部VPN组的in组列表。
VPN组的数量根据安全拓扑而定,如果是全互联拓扑,且没有访问其他VPN的需求,则只设置一个VPN组,此时该组仅用于控制属于本VPN成员之间的互访;如果是星型拓扑(Hub and Spoke),则需要设置两个VPN组,一个是Hub组,另一个是Spoke组,Hub节点加入Hub组,可分别对spoke组和Hub组进行访问,而所有的Spoke节点都加入Spoke组,
36
只可访问Hub组,Spoke组成员间不能进行通信;对于不同VPN之间的互访,每两个需要互访的VPN都需要单独设置一个VPN组,用以控制两个VPN中需要外联的站点间的对等访问。[35]
结合前文所述的两种安全局限,我们采用一种基于PKI公钥加密体系的VPN组密钥访问控制机制来增强运营商网络VPN部署的安全性。该机制利用PKI体系,根据VPN组标识为每个VPN组生成一对公钥和私钥,组内成员拥有本组的公钥和私钥,默认可以互访,需要跨组访问的成员被分发可以访问的VPN组公钥。对核心网络分发VPN路由信息的机制予以修改,实现VPN路由信息基于公钥密码体系的加密认证功能,增强BGP/MPLS VPN的安全性,由于只加密VPN路由信息,数据量比较小,且对VPN性能的影响仅仅表现在初次VPN拓扑发现,之后VPN拓扑和路由趋于稳定,只分发少量更新的路由信息,因而该改进方案的可行性较强。[36]改进后的VRF输出、输入路由决策流程如图4-2 , 4-3所示。
37
图4-2改进后的VRF输出决策流程
38
图4-3改进后的VRF导入决策流程
39