RFC: 4761
Оригинал: Virtual Private LAN Service (VPLS) Using BGP for Auto-Discovery and Signaling
Категория: Предложенный стандарт
Дата публикации:
Авторы: ,
Перевод: Семенов Юрий Алексеевич

6. Соображения безопасности

Центральным аспектом сервисов виртуальных частных локальных сетей (VPLS)является конфиденциальность данных, т.e., данные в VPLS рассылаются только узлам из VPLS, и ни при каких обстоятельствах не каким-либо внешним агентам или другим VPLS. Заметим, VPLS сама по себе не гарантирует конфиденциальности, целостности или аутентичности: пакеты VPLS посылаются открыто через сети с коммутацией пакетов, и человек по середине без труда может перехватить, исказить или вставить любые данные. Если секретность желательна, туннели PE-PE могут быть заменены туннелями IPsec. Для обеспечения большей безопасности оконечные устройства в VPLS-сайтах могут использовать подходящие средства криптографии.

Имеется два аспекта обеспечения конфиденциальности в VPLS: обеспечение безопасности плоскости управления и защита пути переадресации. Компрометация плоскости управления может привести к тому, что данные, посылаемые PE, принадлежащие некоторой VPLS, могут попасть в другую VPLS, или будет осуществлена передача информации злоумышленнику. Так как все обмены в плоскости управления происходят через BGP, методики, описанные в [2], помогут аутентифицировать BGP-сообщения, что затруднит их искажение (которые могут приводить к ответвлению VPLS-трафика в сомнительную VPLS или реализовать DoS-атаку). В методах работы с несколькими автономными системами (b) и (c), описанных в разделе 3,это означает защиту BGP-сессий, реализуемых между разными AS (между ASBR, PE или RR. Можно использовать методики, описанные в разделе 10(b) и (c) [6], и предназначенные для плоскостей управления и данных. Заметим, что [2] не поможет сохранить конфиденциальность VPLS меток.Однако, это требует доступа к потоку данных в сети сервис-провайдера.

Могут иметь место ошибки в конфигурации, приводящие к непреднамеренному соединению CE, принадлежащих к разным VPLS. Это может быть вызвано,например, при ассоциации неверного адреса места назначения (Route Target) для некоторой VPLS. Защита плоскости данных требует гарантии того, что туннели PE-PE работают адекватно, и что метки VPLS воспринимаются только от легальных интерфейсов. Для PE, легальными интерфейсами являютсяканалы от маршрутизаторов P. Для ASBR, легальным интерфейсом является канал от ASBR в AS, которая является частью данной VPLS. Особенно важно для VPLS-сетей с несколькими AS, чтобы воспринимались пакеты только от легальных интерфейсов.

MPLS-в-IP и туннелирование MPLS-в-GRE специфицированы в [3]. Если желательно использовать такие туннели, для передачи VPLS-пакетов, тогда надо использовать соображения безопасности, описанные в разделе 8 того же документа. Любая реализация VPLS, которая позволяет туннелировать VPLS-пакеты так, как это описано в данной статье, должна содержать реализацию IPsec. Если безопасность туннеля не обеспечена IPsec, тогда следует применить методику фильтрации по IP-адресам в пограничном маршрутизаторе, описанную в разделе 8.2 [3]. Это является единственным средством, которое может гарантировать то, что пакет на выходе туннеля был туда направлен туда легальным узлом (т.e., что пакет не содержит фальсифицированного адреса отправителя). Так как пограничные маршрутизаторы часто фильтруют только адреса отправителя, фильтрация пакетов может быть неэффективной, если только выходной PE не может проверить IP-адрес отправителя для любого пакета, который он получает, и сравнить его со списком IP-адресов, которые являются легальными для данного туннеля. Любая реализация, которая допускает туннелирование MPLS-в-IP и/или MPLS-в-GRE без IPsec должна позволять выходному PE проверять IP-адрес отправителя для любого пакет, полученного из туннеля.

Техника VPLS используется для подключения к информационным центрам (см. [9]), так как она может гарантировать определенный уровень CoS.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.