当第一次讨论的MPLS VPN的想法,有MPLS的VPN和IPSec VPN之间竞争的一个强有力的概念。很多人表示担忧MPLS VPN技术都的IPSec VPN添加显著的优势,而事实上,这是在某些方面逊色:在默认情况下,MPLS VPN没有在网络上提供机密性,例如。
今天,至少有一个强烈的市场观念,即MPLS vpn是有用的。实际上,MPLS vpn和IPsec vpn都有重要的部署,这表明这两种类型都有它们的优点,尽管在不同的场景中。MPLS VPN的优势主要体现在服务提供商方面,该技术允许高度可扩展的VPN架构,并提供集成的QoS支持。VPN客户通过更低的价格间接受益,因为服务提供商可以提供更便宜的VPN服务。IPsec vpn在客户网络安全方面有其主要优点:传输中的数据经过加密、身份验证并保持完整性。
我们将不参加在这里的参数有关的VPN技术是针对特定的网络更好或更合适。相反,我们将提供关于如何在两个VPN技术可以一起使用的技术参数。两者有不同的目标群体,在VPN客户和服务供应商的优势。两者的结合可以导致一个非常引人注目的整体VPN架构。
本章的第一部分给出了与MPLS的IPsec在一起的多种部署方案的概述。随后的章节给他们每个人的更多细节。最后,一些实际的决策准则就如何决定哪些IPsec的映射到MPLS的方式是最好的一个给定的情况下。
IPsec概述
IPsec是一种通过IP网络提供安全服务的技术:
通过使用加密的保密性
通过使用对等点和消息验证实现真实性
通过使用消息完整性检查实现完整性
反重放,通过使用验证的序列号,以保证消息的新鲜度
IPsec的主要优点之一是,它的安全服务与IP一样都应用于第三层(网络层)。这样,安全服务就独立于底层传输机制以及栈顶使用的协议和应用程序。
注意 -IPsec解决了最典型的安全需求,如刚刚讨论的保密性。然而,IPsec不能回答的一个重要需求是可用性。使用IPsec通常不会使网络更容易受到DoS攻击。
原则上,IPsec可以端到端应用,例如,在客户机和服务器之间。IPsec传输模式可以用于此目的。然而,目前最广泛使用的IPsec的特定IPSec网关,在企业网络中,例如之间。在这种情况下,办公室(受信任的区域)内的流量一般在明确的是,与IPSec网关固定流量通过公共网络。在这种情况下,隧道模式用于隧道数据包从一个办公室安全其他。图6 - 1给出了传输模式和隧道模式的典型应用。
注意 -在口语中,IPsec“加密”数据包。这里我们使用“安全”一词,因为加密只是IPsec的几个特性之一。
IPsec传输模式和隧道模式
使用这两种连接模式,有两种方法可以将明文IP包映射到IPsec包中。在隧道模式下,整个明文IP包是安全的,一个新的IP报头是预先写好的,接着是一个IPsec报头,它标识IPsec网关之间的逻辑连接。在传输模式中,原始的IP报头被保留,IPsec报头被插入到受保护的IP包之前。图6 - 2显示这两种包格式。
IPsec包格式
一个IPsec隧道连接两个站点。通过添加更多的隧道,可以在IPsec网关之间构建一个VPN。这可以在一个完整的网格拓扑、轮辐拓扑或两者的任意组合中完成。图6 - 3显示可以使用IPsec构建的基本VPN拓扑。
的IPsec VPN拓扑
在保护一个网络时(例如,假设有两个中心办公室和100个分支机构的银行网络),关键的设计标准是在何处放置IPsec网关。在大多数设计中,银行的每个办公室都被认为是受信任的区域,从VPN客户的角度来看,它们之间的通信基础设施是不受信任的。在这样的设计中,IPsec网关必须位于整个VPN的可信区域内,这样才能通过IPsec服务保持受保护。
在设计IPsec覆盖网络时,必须讨论两个主要问题:
应该在哪里IPsec隧道应用?
应该如何隧道建立?
对于这两个问题,有许多选择。因此,我们将首先讨论IPsec终止点的位置;稍后,我们将讨论如何在这些地点之间建立隧道。
IPSec的终端点的位置
在MPLS VPN环境中,IPsec可以应用于网络的各个点:
在VPN站点内-例如,端到端IPsec安全。(这里不再讨论这种情况,因为这里的安全性完全独立于MPLS。)
CE路由器之间的VPN在这种情况下,MPLS核心也不涉及安全服务。此解决方案的信任取决于是否信任管理CE的一方。
在MPLS VPN核心内的PE路由器之间-这里,服务提供商正在管理IPsec服务,而VPN客户看不到它。
在VPN和PE点之间-这是一个特殊的情况,通常用于远程访问PC客户端(例如远程工作者)到MPLS VPN。
图6 - 4说明IPsec在MPLS VPN环境中的应用。
MPLS VPN环境中的IPsec终止点
不同的终止点提供不同的安全属性。一个基本原则是,IPsec网关必须位于受信任区域内,并由受信任方操作。
在下面的部分中,各种选项,以提供上的MPLS VPN基础设施进行了详细讨论的IPsec。这是其次的选项的概述,用在不同的场景都适用的讨论。
CE-CE的IPsec
如果在CEs之间使用IPsec,则CEs之间的整个路径受到保护—访问线路(CE和PE之间),以及由PEs、Ps和线路组成的整个MPLS核心。该模型的假设是,CE位于可信区域,即具有访问控制和物理安全性的办公大楼。网关的操作员必须是可信的:要么是VPN客户的雇员,要么是可信的外包合作伙伴。外包伙伴可以是服务提供者。图6 - 5概述CE-CE IPsec模型。
从IPsec的CE到CE
CE-CE IPsec是跨不受信任的基础设施保护VPN客户流量的适当解决方案。两个关键需求通常是使用CE-CE IPsec的原因:
交通必须是安全的,只要它是一个值得信赖的区(办公室)之外。这包括存取线,芯线,而且还潜在直接在核心设备嗅探。这一要求可能来自于公司的安全策略,但它也可能是一个法律规定,当个人数据通过公共网络传输等。
MPLS VPN服务提供商不受信任。正如在第3章“MPLS安全分析”中所讨论的,在一个标准的MPLS VPN网络中,客户必须信任服务提供商。例如,服务提供商可能通过错误配置PE路由器而使任何VPN都不安全。但是,如果VPN客户使用IPsec CE-CE保护传输中的所有数据,则这种信任可能非常有限。甚至不存在错误配置的问题,因为所有的包都被验证来自一个可信的源。
建议 -如果需要加密或服务提供者不受信任(错误配置和相关问题),那么建议使用由VPN客户操作控制的CEs之间的IPsec来保护VPN。
IPsec CE-CE可防止以下威胁(括号内为提供该功能的服务):
窃听CE之间的任何地方。需要注意的是最关键的部分,以保护通常是接入线路:通常是比核更容易发现和记录的流量接入线路上。(保密)
向网络中插入虚假数据包。(真实性)
传输中数据包的更改。(完整性)
重播合法的,记录的数据包(抗重播)的
通过防范这些基本威胁,IPsec CE-CE还在以下情况下提供了隐性保护:
一个假的CE到VPN的插入:这不可能发生,因为假的CE将无法对抗一个合法的CE认证。
其他VPN的流量泄漏到安全的VPN:如果通过从其他VPN配置错误的流量重定向到一个CE,该流量将被丢弃,因为数据包无法通过身份验证。
从受保护的VPN到另一个不受信任的VPN的流量泄漏:来自传输中的受保护VPN的流量将被加密,而不受信任的VPN将无法看到明文流量。
IPsec的CE-CE不能预防以下威胁:
拒绝服务(DoS)从受信任的VPN外部进入VPN-IPsec无法改善服务的可用性。事实上,它已被认为IPSec网关本身可能成为DoS攻击的目标。虽然这在理论上是如此,可用性为任何类型的服务的一个棘手的问题,而IPsec不能破例在这里。
受信任区域内的威胁-一个例子是一个蠕虫爆发的VPN将通过IPsec隧道,就像合法的交通。
总的来说,CE-CE IPsec提供了一种理想的方法来保护MPLS VPN,使其超越MPLS网络的标准安全性。它是为MPLS VPN提供额外安全性(如流量加密)的首选技术。
在这一点上,MPLS的反对者会认为,因为IPsec提供了所有必要的VPN功能,而且实际上比标准的MPLS(例如,加密)更多,所以MPLS并不是真正需要的。在考虑这一论点时,必须分别讨论两个主题:安全性和包传输。即使IPsec已经足够了,也必须将IPsec包从一个CE传输到另一个CE。在大多数情况下,对于这种类型的服务,MPLS VPN服务比所有办公站点的一般IPsec服务更便宜。还应该指出的是,在撰写本文时,大多数MPLS VPN服务并没有额外的安全与IPsec,这意味着大多数MPLS VPN客户信任他们的服务提供商,不需要加密广域网。
为什么CE-CE的IPsec不说,今天广泛实施的原因是直到最近,在很大程度上,由于实施的IPsec覆盖网络的复杂性:有迹象表明国产大IPsec部署复杂的可扩展性问题。新的部署模型,如DMVPN和GD01显著提高可伸缩性。在本章的后面,我们讨论了各种类型的IPsec部署和他们的可扩展性。
要解决基于CE-的IPSec VPN的可扩展性问题,一些顾问提出的基于PE的IPsec服务的使用。这将使IPsec的网络服务;但是,也有这种模式潜在的安全问题。
PE-PE的IPsec
很多时候,PE-PE的IPsec被看作是一种方式,以避免设置基于CE的IPsec VPN的客户。一些顾问这个定位在安全类似,但更容易实现的架构,尤其是为客户着想。图6-6显示基于pe的IPsec服务。
IPsec从PE到PE
人们认为VPN安全的主要威胁是对MPLS核心的窃听。实际上,这是不正确的:与在MPLS核心上执行相同的操作相比,攻击者更容易找到靠近办公大楼的本地循环并嗅探这条线路上的流量。
建议 -如果IPsec部署的目的是VPN安全,那么基于pe的IPsec不能满足所有需求:具体来说,本地循环(CE-PE)是不安全的。