YD/T 1909-2009
基本信息
标准号: YD/T 1909-2009
中文名称:运营商提供的虚拟专用网安全技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:757685
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1909-2009.Technique Specification of Provider Provisioned Virtual Private Network Security.
1范围
YD/T 1909规定了运营商提供的虚拟专用网(PPVPN)在安全技术方面的要求,主要包括PPVPN面临的安全威胁、对运营商的安全要求、运营商使用的安全技术、运营安全防护要求等。
YD/T 1909适用于单播技术的PPVPN,不适用于组播技术的PPVPN。PPVPN主要指MPLS VPN。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
IETF RFC1918 (1996)专用网地址分配
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
用户网络边缘设备Customer Edge (CE)
用户网络和运营商网络直接相连的设备,可以是主机或者路由器,用户边缘设备“感知”不到VPN的存在。
3.1.2
运营商边缘设备Provider Edge (PE)
运营商网络和用户网络直接相连的设备,负责运营商网络同VPN客户网络的交互。PE处理来自CE 的数据,并转发到相同VPN中的其他PE,PE也要能够处理来自网络的到所属VPN的站点的资料。PE能够理解和处理VPN用户的私网地址,并提供不同VPN用户网络之间的隔离性。
3.1.3
运营商设备Provider (P)
运营商骨干网络中不和CE相连的路由器,负责转发从PE发过来的VPN数据,如果PE之间使用MPLS隧道,需要相应的P设备支持MPLS和LDP (或RSVP-TE)信令。
1范围
YD/T 1909规定了运营商提供的虚拟专用网(PPVPN)在安全技术方面的要求,主要包括PPVPN面临的安全威胁、对运营商的安全要求、运营商使用的安全技术、运营安全防护要求等。
YD/T 1909适用于单播技术的PPVPN,不适用于组播技术的PPVPN。PPVPN主要指MPLS VPN。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
IETF RFC1918 (1996)专用网地址分配
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
用户网络边缘设备Customer Edge (CE)
用户网络和运营商网络直接相连的设备,可以是主机或者路由器,用户边缘设备“感知”不到VPN的存在。
3.1.2
运营商边缘设备Provider Edge (PE)
运营商网络和用户网络直接相连的设备,负责运营商网络同VPN客户网络的交互。PE处理来自CE 的数据,并转发到相同VPN中的其他PE,PE也要能够处理来自网络的到所属VPN的站点的资料。PE能够理解和处理VPN用户的私网地址,并提供不同VPN用户网络之间的隔离性。
3.1.3
运营商设备Provider (P)
运营商骨干网络中不和CE相连的路由器,负责转发从PE发过来的VPN数据,如果PE之间使用MPLS隧道,需要相应的P设备支持MPLS和LDP (或RSVP-TE)信令。
标准图片预览
标准内容
ICS 33.040.01
中华人民共和国通信行业标准
YD/T1909-2009
运营商提供的虚拟专用网安全技术要求Technigque Specification of
Provider Provisioned Virtual Private Network Security2009-06-15 发布
2009-09-01实施
中华人民共和国工业和信息化部发布前言
2规范性引用文件
3术语、定义和缩略语
4:安全威胁
5对运营商的安全要求
6安全技术
7运营安全防护
附录A(规范性附录)三层VPN的PE-PE数据信息的加密传送·附录B(资料性附录)三层 VPN的 CE-CE数据信息的加密传送,附录C(资料性附录)兰层VPN几种加密力式的比较YD/T1909-2009
YD/T.1909-2009
本标准是P虚拟专用网系列标准之一,该系列标准包括如下标准:→基于网络的虚拟 IP 专用网(IP-VPN)框架运营商提供的虚拟专用网安全技术要求基于达界网关协议/多协议标记交换的虚拟专用网(BGP/MIPLSVPN)组网要求+基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)技术要求公用三层IP虚拟专用网(PPVPN)业务技术要求*基于IP的二层虚拟专用网(VPN)业务技术要求。BGP/MPLS虚拟专用网测试方法LDP信令的虚拟专用以太网技术要求*LDP信令的虚拟专用以太网测试规范本标准的附录A是规范性附录,附录B、附录C是资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电借研究院、上海贝尔阿尔卡特股份有限公司、华为技术有限公司、中兴通讯股份有限公司
本标准主婴起草人:吴英桦、田辉、张立薪1范围
运营商提供的虚拟专用网安全技术要求YD/T 1909-2009
本标准规定了运营商提供的虚拟专用网(PPVPN)在安全技术方面的要求,土要包括PPVPN面临的安全威胁,对运营商的安全要求、运营商使用的安全技术,运营安全防护耍求等。本标准适用丁单播技术的PPVPN,不适用于组播技术的PPVPN。PPVPN主要指MPLSVPN2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标推达成协议的各方研究甚否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。ETFRFC1918 (1996)
专用网地址分配
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用汀本标准。3.1.1
用户网络边缘设备CustomerEdge(CE)用户网络和运营商网络直接相连的设备,可以是主机或者路由器,用户边缘设备\感知\不到VFV的存在。
运营商边缘设备ProviderEdge(PE)运营商网络和用户网络直接相连的设备,负责运营商网络同VPN客户网络的交互。PE处理自CE的数据,并转发到机同VPN中的其他PE,PE也要能够处理来自网络的到所属VPN的站点的资料。PE能够理解和处理VPN用户的私网地址,并提供不同VPN川户网络之间的隔离性。3.1.3
运营商设备Provider(P)
运营商骨F网络中不和 CE 相连的路山器,负责转发从 PE发过米的 VPN 数据,如果 PE 之问使用MPLS 隧道,需要相的 P设备支持 MPLS和I LDP(或RSVP-TE)信令。如果PE之间使用其他隧道机制,P设备可以不支持MPLS和LDP(域RSVP-TE),只需要按照该隧道机制的要求支持相应技术。3.1.4
站点SITE
VPN用户的网络:JF退过一个CE或多个CE连接到一个或多个PE上。一个SITE可能是由位于相向地理位置的一系列主机和网络设备组成,比如一个银行的分理处,也可能是一个地理分布的网络,但作为一个遵辑的整体统一出口和PE连接。一个VPN出通过公共基础设施连接的多个SITE组成,-
YD/T 1909-2009
3.2缩略语
下列缩略语适用于本标准:
RADIUS
4安全威胁
Autonomous Syslem
Asynchronous transfer mode
Barder Gateway Prulocol
Customer Edge
denial of service
distributed denial of serviceInternet Engineering Task ForceIntemet Key Exchange
Internet protocol
IntemationalTelecommunicationUnion-Telecommunication StandardizationSectorLayer 2 Tunneling Protocol
Local Area Network
Multi-protocol label switchingNetwork Address Translalion
Provider
ProviderEdge
Provider-Provisioned Virtual Private NetworksQuality of Service
Remote Authentication Dial In User ServiceResource reservation protocolService level agreement
Service Provider
Transinission control protocolType of service
Time to live
User datagram protocol
Virtual Privale LAN Service
Virtual Local Area Network
Virtual Private Netw ork
VPNrouting/forwardinginstanceUnicast Reverse Path Forwarding自治系统
异步传输模式
边界网关协议
用户网络边缘设备
服务拒绝
分布式服务拒绝
因特网工程任务组
因特网密钥交换
互联网协定
国际电信联盟-电信标准化部
第2层隧道协议
局域网
多协议标记交换
网络地址转换
运营商设备
运营商边缘设备
运营商提供的虚拟专用网
服务质量
远程认证拨号用户服务
资源预留协议
服务等级协定
服务提供商
传输控制协议
业务类型
生存期
用户数据报协议
虚拟专用局域网业务
虚拟局域网
虚拟专用网
VPN路由/转发实例
单播反向路径转发
PPVPN网络安全是IP网络安全的一个有机组成部分,可从三个维度米分析PPVPN网络的安全问题。2
YD/T 1909-2009
网络系统维度的安全性,包括骨干网络设备(P路由器)的安全性,边缘网络设备(PE路由器)的安全性和用户接入投备(已路由器)的安全性。网络分层维度的安全性,包括基础IP网络层面的安全性,VPN层面的安全性,用户数据层面的安全性。安全特性维度的安全性,包括通信安全、访问控制、身份认证、私密性、不可否认性、数据机密性、数据完整性等方面的安全性。
以上三个维度可能受到的安全减胁可细分为来自数据面的安全威励,来自控面的安全威胁和来自管理面的安全戚胁。
4.2来自数据面的安全威胁
数据面上的攻击主要是针对PPVPN用户数据的,表现为如下几个方面。4.2.1未经援权查看数据流
指对VPN包进行唤探,检查包中的内容,这会导致机密信息的泄漏。当VPN数据传送路径上的个设备被攻击者控制,或者攻击者在VPN数据传输路径上插入非法的设备,该攻击者即能够对VPN内传输的数据进行拦截和查看。另外一种可能是搭线侦听,直接对链路上的信号进行复制和还原。
这种查看也可能是实施其他类型的攻击的第一步,例如将内容修改后重新发送等。4.2.2修改报文
指在VPN用户报文的传送过程中将其载获,修改该用户报文后继续传送。此类攻击只针对单个报文的内客,包括长度、报文头和报文净荷,但一般不改变报文的传送顺序等特性。报文修改攻击一般在VPN数据路径上的设备被控制或被插入非法的设备的时嵌可能发生,,4.2.3不可信数据流的插入:哄骗和重放指将不属于某个VPN的包发送到该VPN中,并使接收者将这些非法包当作合法包接收下来。还有一种方式是将合法报文复制下来,在其后的某个时间重新发送到VPN中。如果 PE 不能严格区分一个来白 CE的报文属于哪一个 VPN,则可能会发生哄骗。一些 VPN 技术依赖丁埠区分,一些VPN技术依赖密码学方法(如安全联盟)。VPN技术不应该依赖地址来判断一个报女属于娜一个,固为延容易被仿冒。重放利参改报文一样,都是比较精密的攻击方式,不同的是,报文修改破坏单个报文的完整性,而重放破坏了一个通信流的完整性。4.2.4未经授权删除数据流
指将VPN用户数据包在传送过程中删除,这是一种特殊类型的DoS攻击。同重放一样,删膝也是破坏通后流的完整性的一个方式,4.2.5未经授权的业务流类型分析指膜探YPN包并查看其可以被识别的特征,即使包被加密过也可以查看。根据数据流发送的数量和时问、包的大小,源地址和目的地址:等特征,攻击者有可能获得有用的信息。多数PPVPN用户较少关往这种类型的攻中,认为其他类型的攻击更需要关注。4.2.6VPN上的服务否认(DoS)攻击指于扰或阻断合法用户使用服务的攻市。使网络设备不能支持服务、修改设备配置、或者用大量服务请求“掩没”设备都是可能的DoS攻击方式。3
YD/T1909-2009
用服务请求“淹没”设备的攻击被称为资源耗尽型DoS攻计,攻击的目标可以是网络中的任何资源,例如链路带宽、包转发容量、各种协议的会话容量和CPU处理能力。资源耗尽型DoS攻击的方式是:从VPN之外将“港没”数量的不可信数据发送到某个特定的PPVPN数据面上,可能产生的结果是耗尽该YPN的可用带宽资源,或者“湾没”了该VPN的加密认证机制。资源耗尽型DaS攻击的方式还可以是用业务流将PPVPN运营商的通用基础设施“淹没”,这种攻击一般不属于PPVPN特定的范畴,除非攻出来自某个具有特权地位的PPVPN用户,例如,某个PPVPN用户可以独额网络数据面资源,因此妨碍了其他PPVPN用户对资源的使用。4.3来自控制面的安全戚胁
控制面上,提供VPN业务的运普商边界路由器(PE)之间要交换VPN路由信息,运营商P网络上的路由器(P)要交换公网络由信息,安全性攻击士要针对的是这两类设备。安全威胁来自两个方面:一方面是攻击者对路由协议进行攻击,非法交换路由信息造成的:另--方面是对路由器设备发动攻击,使路由器无法正常工作造成的。主要的安全威胁表现在如下几个方面。4.3.1对网络基础设施的DoS攻击控制面上的攻击可以是针对PPVPN运商使用的控制机制的(例如IPsec、MPLS等),也可以是钊对通用的网络基础设施的(例如P路由器或PE路由器)。本规范只涉及与使用PPVPN业务有关的DaS攻击,其他类型的对网络基础设施的DoS攻击不是PPVPN特有的间题:这里主要关注一个PPVPN用户的行为引发了DoS攻击,对其他用户造成了影响。这种情况是有可能发生的,例如如果允许一个PPVPN用户过多占用任意类型的网络资源,其他PPVPN用户就会因为得不到资源而影响正常的业务。下载标准就来标准下载网
4.3.2通过管理接口对服务提供商设备的攻击这种攻击包括对服务提供商基础设施的非法访问,例如为了对一个或多个PPVPN进行设备的重新配置,或者为了提取信息(统计信息,拓扑信息等)而进行攻击。这种攻击是通过恶意地进入系统实现的,也可能是由于在PPVPN用户自管理接口上没有做好VPN之问的离而无意造成的。前一种情况不是PPVPN特有的问题。一些运营商为VPN用户提供客户网络管理系统(CNM),客产可以通过VPN访问位于公网上的CNM服务,这种情况也有可能为恶意用户攻入管理系统提供可能。4.3.3对运营商基础设施的杜会工程技术攻击对服务提供商网络的重配置或破坏、不适当地泄漏机密资讯也可能是服务提供商员工的操作造成的。这类操作的结果影响了PPVPN业务的运作机制,是PPVPN特有的安全攻击。与在IP层面“白已提供服务”的VPN相比,“运营商提供服务”的PPVPN上可能更容易发生这种攻未,这是由PPVPN与生俱来的机构的分离(用户、服务提供商)性质造成的。4.3.4PPVPN之间业务流的交叉连接指破坏PPVPN之间的隔离性的事件,表现为如下几个方面:→站点被连接到“错误的\VPN:+两个或多个VPN的不适当合并:出现点到点的VPN连接错误,连接了两个错误的点;+本应在某个VPN内传送的包被不适当地传送到该VPN之外。4
YD/T 1909-2009
VPN之问的错误连接或交叉连接可能是由服务提供商或设备商的错误造成的,也可能是攻击者的恶意行为造成的。这种对隔离性的破坏可能是物理上的(例如PE-CE链路的错误连接),也可能是逻辑上的(例如设备的不当配置)。交又连接问题是PPVPN用户(或潜在用户)最为关心的安全问题之~。4.3.5对PPVPN路由协设的政击
指对服务提供上运营的以及直接支持PPVPN业务的路由协定的击。对于三层VPN,主要指与成员发现以及每个VPN的路由发布有关的协议。对于二层VPN,主要指成员和端点发现协设。对运营商骨干网络路由协议的攻击不在本标准涉及范围内。4.3.6对露由隔鹭的攻击
“路由隔离”指每个VPN的拓扑、可达性信息都应与其他VPN相分离,并且不能被征何其他VPN用户获得(除非PPVPN运营商为了某种目的做了特殊配置)。只有三层VPN涉及路由随离方面的安全问题,因为服务提供商参与了VPN内部路出的操作(即VR,BGP-MPLS等>。对路由隔离性的破坏会泄漏PPVPN的拓扑和地址信息,也会在PPVPN之间引发黑洞路由或非授权的数据面交叉连接问题。4.3.7对地址空同隔离的攻击
不同三层VPN用户使用的IP地址空间应完全隔离的,不同二层VPN用户使用的MAC地址和VLAN空间也应是完全隔离的。如果在控制面.上破坏了这种地址隔离,将会导致在未经授权的情况下数据面上出现VPN之间的交叉连接。4.3.8对PPV户N控制面的其他攻击除了路由和管理协议之外,还可能有其他一些控制协议也参与了PPVPN业务的提供(例如各种PPVPN的邻居发现和对到建协议等),这些协议包括:+MPLS信令(LDPRSVP-TE)
+IPsec信令(IKE);
L2TP:
·基于BGP的成员发现;
基于数据库的成员发现(例如基于RADIUS)→其他。
攻击者可能会干扰和破坏这些协议的执行,例如采用假冒或者Das方式进行攻击。4.4来自管理面的安全威胁
对PPVPN的管理和配置命令可牵涉到PPE路由器、路由协定,VPN拓扑,用户虚拟路由实例和虚拟交换实例、安全认证方法等各部分、各层面的业务参数。攻击者以远程接入方式经网络接入网管系统(例如求用摄号方式接入,利用telnet或htp访问网管接口),通过口令猜测等手段非法获得网管接口的访间控制权,非法访问SP基础设施的管理系统,对设备中的配置管理信息进行查看,非法提取信息(例如统计、拓扑信息等)其至对设备配置进行改动,通过种植病毒、木马、开后门等恶意手段实施政击。5对运营商的安全要求
5.1隔离要求
虚拟专用网的专用性决定了一个用户的PPVPN应与其他用广的PPVPN以及Intermet相隔离,这种隔5
YD/T 1909-2008
离包据如下几个方面:
5.1.1地址隔离
PPVPN用户可以使用整个 Internet 地址空问,包括按 RFC1918 中所规定的专用地址空间,同时一个PPVPN用户不会干扰同一运营商支持的另一个PPVPN用户。接入Internet时,可能需要NAT功能。二层VPN有同样的地址隔离要求,例如MAC地址的隔离。5.1.2路由隔离
PPVPN核心应维护用户的信任区域之间路由的隔离性,不允许任意一个信任区域内的路由信息被泄漏到另一个信任区域,除非信任区域特意要配置为泄漏某些路由(例如接入Internet)。对于二层VPN,信任区域问应保持交换信息的隔离性,使得一个PPVPN中的交换信息不会影响其他PPVPN或PPVPN核心网。
5.1.3业务流隔离
来自某个信任域的业务流在传送过程中不允许离开该信任域,来自其他信任域的业务流不充许进入该信任域,某些情况下进行的专门配置除外(例如为extanet或访问Inemet而逛行的专门配置)。5.2防护
完全隔离的专用网一般定义了一些进入界面点,只有这些进入界面点面对着外界的攻击或入侵。PPVPN的用户共享了一个公共的核心,对丁信任域以外的网络就失去了一些明确的接口。在这种情况下,FPVPN运营商应提供与专用网相同水平的安全防护措施。5.2.1对入侵的防护
入假是指从外界渗透到信任域内:入侵可以来自Internet,另一个PPVPN或者核心网自身。对1-PPVPN网络,不允许添加面向信任域以外的其他部分的新的接口。此要求不涉及一些已知的接口(例如Internet网关)。
5.2.2对DoS攻击的防护
DoS攻击的目的在于使合法用户不能使用业务或设备。通过VPN提供网络业务时遵受的DoS攻击在本规范涉及范围内,遁过标准接口入侵信任域的DoS攻击不在涉及范围内。PPVPN做为一种虚拟专用网,其抗DoS攻出的能力应不低于真正的专用网。对于每个VPN能够占用的带宽资源应该能够限制,对于超过带宽限制的用户流量,随该进行限流防止一个 VPN占用其他VPN的资源。5.2.3对哄骗的防护
要防止在业务流传送过程中,因为攻击者改变了发送者标识(源地址、源卷标等)而破坏PPVPN的完整性。例如,个E连接到同一个PE,一个CE对发送包进行了改造,试图使PE相信这些包来自男一个CE时,PE要能够识别,不把这些包发往错误的PPVPN。5.3机密性要求
某些情况下要求运营商提供加密功能,使数据以密码形式安全地通过PPVPN核心网络传送,防止被窃昕。
5.4CE认证要求
运营商可提供CE认证功能,使得PPVPN外部的用户不能假扮做内部用户,用自已的CE设备非法接入 PPVPN。
5.5完整性要求
YD/T 1909-2009
在数据传送过程中,应保证数据不被更改,或者对资料的任何更改都可以被接收者发现。5.6反重放要求
在数据传送过程中,保证数据不被截获、保存并重新发送。为了防范重放攻击,要提供数据流的完整性检查机制。
6安全技术
6.1对攻击的监测与报告
攻击者的攻击通常是从对系统进行试探、分析从系统中非法获取的数据开始的,如果系统能够监测和报告这些初级的攻街,及时地识别攻击者身份,发现他们的攻击目标和步骤,就可以及早采取防卫措施,防止遭受更加危险的攻击。安全监视系统和入侵检测系统通常要从PE、CE和/或运营商的肯干网设备(P)以及主机、服务器上采集信息,应具有从这些设备上生动提取信息(例如,SNMP get)或被动接收信息(例如,SNMPnotifications)的功能;PE、CE以及运营商骨干网设备、主机、服务器也应具有相应的信息提取和传送能力。
安全监视系统与PPVPN设备之间的通信应得到安全保护,可以使用专用的安全通道。应当对这种通信的业务望进行合理的设计和管理,使其不干扰正常的VPN业务。例如,多个攻击事件可以用一个消息来报告,而不是每次攻击事件触发一个单独的消息,后者会导致消息的洪泛,本质上变成一种针对监视系统或网络的 DoS。
报告安全攻击的机制应足够灵活,以便满足VPN运营商、VPN用户和代理机构的不同需要。应根据设备和安全监视系统的能力、VPN类型、运营商与用户达成的服务等级协议来确定报告的内容。6.2认证
为了避免网络设备遭受攻击,对访间FPVPN的设备的身份进行认证核实是一项关键的安全措施。认证包括VPN成员认证、对等体认证、臂理系统认证,VPN成员远程接入认证。6.2.1VPN成员认证
为了保证 CE设备接入它所期待的VPN,FE和 CE之间要对彼此的身份进行检查核实,保证自己与期符的对等体进行通信。
6.2.2管理系统认证
包括在使用基于目录的\自动发现\机制时,PE设备到中心管理目录服务器的认证。还包括在使用配置服务器系统时,CE到PPVPN配置服务器的认证。6.2.3对等体认证
主要指控制面上PE之间为了保证路由信息传送正确而进行的认证。除此之外,控制面上运营商为了保证骨干网络路由信息传送的正确性,可以对网络路由协议(如BGP、OSPF、ISIS、LDP等)进行认证,这种认证可以是基于下层传输协议的(如TCP),也可以是基于路由协议白身的认证机制的。6.2.4VPN成员远程接入认证
VPN成员通过IP网络远程接入时可以使用多种认证协议,例如RADIUS、DLAMETER等,这类VPN成员通常通过安全隧道接入,例如L2TP和IPsc隧道等。YD/T1909-2009
PPVPN通过网关设备建立远程连接,网关设备可以是由VPN用户的某个站点管理的,也可以是由PPVPN运营商管理的,前者不在本规范涉及范围内。PPVPN运营商在远程接入网关上对认证进行管理时,通常采用代理认证服务机制,即从远程用户设备那里接收加密的认证证书,并将其转发给PPVPN用户的认证系统,接收来自该认证系统的是/否响成,确定用户的认证是否通过。因此,PPVPN运营商并没有真正去访问PPVPN用户的认证数据库,而是起到选程认证用户代理的作用。
6.3加密
IP/MPLSVPN为了保证资料传送的安全性可以采用加密技术。二层VPN的加密技术有待研究,三层VPN的 CE与PE之间、PE与PE之间、CE与CE之间均可以支持数据包的加密传送。三层 VPN 可以采用基于 IPsec 的加密方式,PE 与 PE 之间进行如密时,采用 MPLS-in-IP 和MPLS-in-GRE两种加密封装方式(详见附件A);CE之间,CE与PE之间可以采用传送模式和隧道模式的IPsec加密封装方式。
PPVPN用户数据包的传送路径为从 CEPE、到对端PE、再到对端CE,数据包传送过程中使用的加密方式可分为如下四种。
*站点到站点的加密(CE-to-CB):在两个CB设备之问提供端到端的加密,这种加密可以是VPN用户内部支持的,也可以是PPVPN运营商提供的(详见附录B),在这种情况下,期户业务流以加密的形式穿过运商网络,实现端到端的加密。PPVPN用户要保证数据信息对运营商网络的私密性的情况下,可以采用这种加密措施。
运营商边缘到逆缘加密.(PE-to-PE):在运营网络边缘的PE设备之间进行加密。PE接收CE发来的未加密的数据流,如密后经SP网络传送到对端PE,对端PE将其解密后发给对端CE。在接入链路安全性载高、网络内部有安全感胁的情况下,可以来用这种加密方式。→接入链路加密(CE-to-PE):在网络两侧的CE租PE之间进行加密,也可以只在一侧的CE和PE设各之间加密。在接入链路有安全威胁、网络内部安全性较高的情况下,可以采用这种加密方式,,混合的全程加密:将上述的第二种和第三种方式结合起来进行加密,加密过程在CE到PE、PE到PE、PE到CE的链路_上进行。在接入链路和网络内部都存在安全威胁,同时为了支持某些增值服务凿要运营商完成加密功能的情况下使用这种加密力式。加密技术可以保证设备之间传送的信息的私密性和完整性,但加密也有可能带来一些负面的影响,例如加密措施给完成加密解密功能的设备增加了额外的计算负担,有可能导致设备可以支持的VPN用户数童减少;在设备上配置加密业务,增加了设备配置的复杂性,提了操作难度,潜在地提高了运背商的业务成本:加密包的长度增加,增加了包分段的可能几率,加重了网络业务量负担,在实际操作中要权衡加密的利弊使用造当的方法。6.4接入控制
接入控制是指利用过滤器或防火墙对进入PPVPN的数据流进行逐个包或逐个流的检查控制,对丁PPVPN的控制/信令/管理协议上建立会话请求进行接纳控制。这里过滤器和防火墙的主要区别石:于:过魂器是单向过滤数据流的,防火墩可以在其两侧的会话之问进行分析和控制。6.4.1过滤器
露由器上通带使用过滤器,即据据流的转发特征,数据包的特征制定一些匹配规则,并对匹配8
YD/T1909-2009
这些规则的包进行特殊处理,这些特征主要包括输入输出遇辑或物理接口,P包头信息,TCP或UDP包头息等,P包头信息通常包括源地址、目的地址、协议字段、分段偏移、ToS字段等,TCP或UDP包头信息通常包括端口字段、SYN字段等。过滤分为无状态过滤和有状态过滤两类,无状态过滤是指完全根据匹配规则对包进行过滤,有状态过滤是指保存了特定包的状态信息,做为判定包是否符合匹配规则的辅助信息。例如,路由器对分段卫包的第一个包进行无状态过滤,如果符合匹配规则,则记下该包的数据单元D,后续其他分段的P包都被认为是匹配该规则。
对于符合匹配规则的包,通常进行如下处理。+丢弃:通常对某些来源不明的、非预期的包逊行悄俏予以丢弃,还可以同时对丢弃包进行记录或计数。
速率限制:将符合匹配规则的包的发送速率限制在特定带宽范围内,对包进行技术,并使包的转发速率不超过规定的限度。
转发和复制:在转发包的同时进行复制,并将复制包转发到另一一个地址或接口。这样做可以实现包的合法截获功能,或把滤山包发送到某个入侵监查系统,6.4.2防火墙
防火墙在不同的PPVPN信任区域之间对数据流的传送提供控制机制,也可以在信任区域和非信在区域之间提供控制机制。防火墙通带可以比过滤器提供更多的功能,它可以对流而不仪仪对单个包进行详细分析和处理,可以提供多种复杂的服务,例如门限驱动的DoS攻击保护,病毒扫描或者做为TCP连接代理等等。
对于PPVPN,一般不允许在不同用户的VPN之问传送数据流。但悬企业外部网(extranet)是特例它允许从另外一个VPN对某个用户的VPN进行特定的外部访问,这种情况下,可以用防火墙来保障企业外部网的安全要求。
在PPVPN中,在由运营商间问VPN用户站点提供Intemet访问服务时,可以将防火墙设置在公众Internet和用户VPN之问。此外,在VPN用户站点与PPVPN运营商提供的任何共享的基于网络的服务之间,也可以设置防火墙。
防火墙可能有助于保护PPVPN核心网,使核心网免受来自Internet或PPVPN用户站点的攻击,但一般都采用其他的技术来达到这一目的。防火墙还可以保护用户站点免受来自Internet的攻击、保护不同的YPN用户网络甚至保护一个VPN用户网络中的不同站点。6.4.3对管理接口的接入控制
对管理接口的安全替理措施大多要使用到前文提到的认证技术,除此之外管理接口还应采取其他一:些措施。
应该对管理接口(特别是PPVPN设备上的控制口)进行配置,使得对管理接口的访问只能以带外方式进行,即应通过物理上或逻辑上与PPVPN基础设施相隔离的系统来访问管理接口。如果要在PPVPN域内以带内方式访尚管理接口,则可以使用过滤器或防火墙技术,以便限制未经未经授权的带内数据流进入管理按口。可以将过滤器或防火墙配置在数据流可能经过的其他设备上,也可以直接配置在PPVPN设备上,选摔哪种方式可以根据设备能来考虑。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T1909-2009
运营商提供的虚拟专用网安全技术要求Technigque Specification of
Provider Provisioned Virtual Private Network Security2009-06-15 发布
2009-09-01实施
中华人民共和国工业和信息化部发布前言
2规范性引用文件
3术语、定义和缩略语
4:安全威胁
5对运营商的安全要求
6安全技术
7运营安全防护
附录A(规范性附录)三层VPN的PE-PE数据信息的加密传送·附录B(资料性附录)三层 VPN的 CE-CE数据信息的加密传送,附录C(资料性附录)兰层VPN几种加密力式的比较YD/T1909-2009
YD/T.1909-2009
本标准是P虚拟专用网系列标准之一,该系列标准包括如下标准:→基于网络的虚拟 IP 专用网(IP-VPN)框架运营商提供的虚拟专用网安全技术要求基于达界网关协议/多协议标记交换的虚拟专用网(BGP/MIPLSVPN)组网要求+基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)技术要求公用三层IP虚拟专用网(PPVPN)业务技术要求*基于IP的二层虚拟专用网(VPN)业务技术要求。BGP/MPLS虚拟专用网测试方法LDP信令的虚拟专用以太网技术要求*LDP信令的虚拟专用以太网测试规范本标准的附录A是规范性附录,附录B、附录C是资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电借研究院、上海贝尔阿尔卡特股份有限公司、华为技术有限公司、中兴通讯股份有限公司
本标准主婴起草人:吴英桦、田辉、张立薪1范围
运营商提供的虚拟专用网安全技术要求YD/T 1909-2009
本标准规定了运营商提供的虚拟专用网(PPVPN)在安全技术方面的要求,土要包括PPVPN面临的安全威胁,对运营商的安全要求、运营商使用的安全技术,运营安全防护耍求等。本标准适用丁单播技术的PPVPN,不适用于组播技术的PPVPN。PPVPN主要指MPLSVPN2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标推达成协议的各方研究甚否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。ETFRFC1918 (1996)
专用网地址分配
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用汀本标准。3.1.1
用户网络边缘设备CustomerEdge(CE)用户网络和运营商网络直接相连的设备,可以是主机或者路由器,用户边缘设备\感知\不到VFV的存在。
运营商边缘设备ProviderEdge(PE)运营商网络和用户网络直接相连的设备,负责运营商网络同VPN客户网络的交互。PE处理自CE的数据,并转发到机同VPN中的其他PE,PE也要能够处理来自网络的到所属VPN的站点的资料。PE能够理解和处理VPN用户的私网地址,并提供不同VPN川户网络之间的隔离性。3.1.3
运营商设备Provider(P)
运营商骨F网络中不和 CE 相连的路山器,负责转发从 PE发过米的 VPN 数据,如果 PE 之问使用MPLS 隧道,需要相的 P设备支持 MPLS和I LDP(或RSVP-TE)信令。如果PE之间使用其他隧道机制,P设备可以不支持MPLS和LDP(域RSVP-TE),只需要按照该隧道机制的要求支持相应技术。3.1.4
站点SITE
VPN用户的网络:JF退过一个CE或多个CE连接到一个或多个PE上。一个SITE可能是由位于相向地理位置的一系列主机和网络设备组成,比如一个银行的分理处,也可能是一个地理分布的网络,但作为一个遵辑的整体统一出口和PE连接。一个VPN出通过公共基础设施连接的多个SITE组成,-
YD/T 1909-2009
3.2缩略语
下列缩略语适用于本标准:
RADIUS
4安全威胁
Autonomous Syslem
Asynchronous transfer mode
Barder Gateway Prulocol
Customer Edge
denial of service
distributed denial of serviceInternet Engineering Task ForceIntemet Key Exchange
Internet protocol
IntemationalTelecommunicationUnion-Telecommunication StandardizationSectorLayer 2 Tunneling Protocol
Local Area Network
Multi-protocol label switchingNetwork Address Translalion
Provider
ProviderEdge
Provider-Provisioned Virtual Private NetworksQuality of Service
Remote Authentication Dial In User ServiceResource reservation protocolService level agreement
Service Provider
Transinission control protocolType of service
Time to live
User datagram protocol
Virtual Privale LAN Service
Virtual Local Area Network
Virtual Private Netw ork
VPNrouting/forwardinginstanceUnicast Reverse Path Forwarding自治系统
异步传输模式
边界网关协议
用户网络边缘设备
服务拒绝
分布式服务拒绝
因特网工程任务组
因特网密钥交换
互联网协定
国际电信联盟-电信标准化部
第2层隧道协议
局域网
多协议标记交换
网络地址转换
运营商设备
运营商边缘设备
运营商提供的虚拟专用网
服务质量
远程认证拨号用户服务
资源预留协议
服务等级协定
服务提供商
传输控制协议
业务类型
生存期
用户数据报协议
虚拟专用局域网业务
虚拟局域网
虚拟专用网
VPN路由/转发实例
单播反向路径转发
PPVPN网络安全是IP网络安全的一个有机组成部分,可从三个维度米分析PPVPN网络的安全问题。2
YD/T 1909-2009
网络系统维度的安全性,包括骨干网络设备(P路由器)的安全性,边缘网络设备(PE路由器)的安全性和用户接入投备(已路由器)的安全性。网络分层维度的安全性,包括基础IP网络层面的安全性,VPN层面的安全性,用户数据层面的安全性。安全特性维度的安全性,包括通信安全、访问控制、身份认证、私密性、不可否认性、数据机密性、数据完整性等方面的安全性。
以上三个维度可能受到的安全减胁可细分为来自数据面的安全威励,来自控面的安全威胁和来自管理面的安全戚胁。
4.2来自数据面的安全威胁
数据面上的攻击主要是针对PPVPN用户数据的,表现为如下几个方面。4.2.1未经援权查看数据流
指对VPN包进行唤探,检查包中的内容,这会导致机密信息的泄漏。当VPN数据传送路径上的个设备被攻击者控制,或者攻击者在VPN数据传输路径上插入非法的设备,该攻击者即能够对VPN内传输的数据进行拦截和查看。另外一种可能是搭线侦听,直接对链路上的信号进行复制和还原。
这种查看也可能是实施其他类型的攻击的第一步,例如将内容修改后重新发送等。4.2.2修改报文
指在VPN用户报文的传送过程中将其载获,修改该用户报文后继续传送。此类攻击只针对单个报文的内客,包括长度、报文头和报文净荷,但一般不改变报文的传送顺序等特性。报文修改攻击一般在VPN数据路径上的设备被控制或被插入非法的设备的时嵌可能发生,,4.2.3不可信数据流的插入:哄骗和重放指将不属于某个VPN的包发送到该VPN中,并使接收者将这些非法包当作合法包接收下来。还有一种方式是将合法报文复制下来,在其后的某个时间重新发送到VPN中。如果 PE 不能严格区分一个来白 CE的报文属于哪一个 VPN,则可能会发生哄骗。一些 VPN 技术依赖丁埠区分,一些VPN技术依赖密码学方法(如安全联盟)。VPN技术不应该依赖地址来判断一个报女属于娜一个,固为延容易被仿冒。重放利参改报文一样,都是比较精密的攻击方式,不同的是,报文修改破坏单个报文的完整性,而重放破坏了一个通信流的完整性。4.2.4未经授权删除数据流
指将VPN用户数据包在传送过程中删除,这是一种特殊类型的DoS攻击。同重放一样,删膝也是破坏通后流的完整性的一个方式,4.2.5未经授权的业务流类型分析指膜探YPN包并查看其可以被识别的特征,即使包被加密过也可以查看。根据数据流发送的数量和时问、包的大小,源地址和目的地址:等特征,攻击者有可能获得有用的信息。多数PPVPN用户较少关往这种类型的攻中,认为其他类型的攻击更需要关注。4.2.6VPN上的服务否认(DoS)攻击指于扰或阻断合法用户使用服务的攻市。使网络设备不能支持服务、修改设备配置、或者用大量服务请求“掩没”设备都是可能的DoS攻击方式。3
YD/T1909-2009
用服务请求“淹没”设备的攻击被称为资源耗尽型DoS攻计,攻击的目标可以是网络中的任何资源,例如链路带宽、包转发容量、各种协议的会话容量和CPU处理能力。资源耗尽型DoS攻击的方式是:从VPN之外将“港没”数量的不可信数据发送到某个特定的PPVPN数据面上,可能产生的结果是耗尽该YPN的可用带宽资源,或者“湾没”了该VPN的加密认证机制。资源耗尽型DaS攻击的方式还可以是用业务流将PPVPN运营商的通用基础设施“淹没”,这种攻击一般不属于PPVPN特定的范畴,除非攻出来自某个具有特权地位的PPVPN用户,例如,某个PPVPN用户可以独额网络数据面资源,因此妨碍了其他PPVPN用户对资源的使用。4.3来自控制面的安全戚胁
控制面上,提供VPN业务的运普商边界路由器(PE)之间要交换VPN路由信息,运营商P网络上的路由器(P)要交换公网络由信息,安全性攻击士要针对的是这两类设备。安全威胁来自两个方面:一方面是攻击者对路由协议进行攻击,非法交换路由信息造成的:另--方面是对路由器设备发动攻击,使路由器无法正常工作造成的。主要的安全威胁表现在如下几个方面。4.3.1对网络基础设施的DoS攻击控制面上的攻击可以是针对PPVPN运商使用的控制机制的(例如IPsec、MPLS等),也可以是钊对通用的网络基础设施的(例如P路由器或PE路由器)。本规范只涉及与使用PPVPN业务有关的DaS攻击,其他类型的对网络基础设施的DoS攻击不是PPVPN特有的间题:这里主要关注一个PPVPN用户的行为引发了DoS攻击,对其他用户造成了影响。这种情况是有可能发生的,例如如果允许一个PPVPN用户过多占用任意类型的网络资源,其他PPVPN用户就会因为得不到资源而影响正常的业务。下载标准就来标准下载网
4.3.2通过管理接口对服务提供商设备的攻击这种攻击包括对服务提供商基础设施的非法访问,例如为了对一个或多个PPVPN进行设备的重新配置,或者为了提取信息(统计信息,拓扑信息等)而进行攻击。这种攻击是通过恶意地进入系统实现的,也可能是由于在PPVPN用户自管理接口上没有做好VPN之问的离而无意造成的。前一种情况不是PPVPN特有的问题。一些运营商为VPN用户提供客户网络管理系统(CNM),客产可以通过VPN访问位于公网上的CNM服务,这种情况也有可能为恶意用户攻入管理系统提供可能。4.3.3对运营商基础设施的杜会工程技术攻击对服务提供商网络的重配置或破坏、不适当地泄漏机密资讯也可能是服务提供商员工的操作造成的。这类操作的结果影响了PPVPN业务的运作机制,是PPVPN特有的安全攻击。与在IP层面“白已提供服务”的VPN相比,“运营商提供服务”的PPVPN上可能更容易发生这种攻未,这是由PPVPN与生俱来的机构的分离(用户、服务提供商)性质造成的。4.3.4PPVPN之间业务流的交叉连接指破坏PPVPN之间的隔离性的事件,表现为如下几个方面:→站点被连接到“错误的\VPN:+两个或多个VPN的不适当合并:出现点到点的VPN连接错误,连接了两个错误的点;+本应在某个VPN内传送的包被不适当地传送到该VPN之外。4
YD/T 1909-2009
VPN之问的错误连接或交叉连接可能是由服务提供商或设备商的错误造成的,也可能是攻击者的恶意行为造成的。这种对隔离性的破坏可能是物理上的(例如PE-CE链路的错误连接),也可能是逻辑上的(例如设备的不当配置)。交又连接问题是PPVPN用户(或潜在用户)最为关心的安全问题之~。4.3.5对PPVPN路由协设的政击
指对服务提供上运营的以及直接支持PPVPN业务的路由协定的击。对于三层VPN,主要指与成员发现以及每个VPN的路由发布有关的协议。对于二层VPN,主要指成员和端点发现协设。对运营商骨干网络路由协议的攻击不在本标准涉及范围内。4.3.6对露由隔鹭的攻击
“路由隔离”指每个VPN的拓扑、可达性信息都应与其他VPN相分离,并且不能被征何其他VPN用户获得(除非PPVPN运营商为了某种目的做了特殊配置)。只有三层VPN涉及路由随离方面的安全问题,因为服务提供商参与了VPN内部路出的操作(即VR,BGP-MPLS等>。对路由隔离性的破坏会泄漏PPVPN的拓扑和地址信息,也会在PPVPN之间引发黑洞路由或非授权的数据面交叉连接问题。4.3.7对地址空同隔离的攻击
不同三层VPN用户使用的IP地址空间应完全隔离的,不同二层VPN用户使用的MAC地址和VLAN空间也应是完全隔离的。如果在控制面.上破坏了这种地址隔离,将会导致在未经授权的情况下数据面上出现VPN之间的交叉连接。4.3.8对PPV户N控制面的其他攻击除了路由和管理协议之外,还可能有其他一些控制协议也参与了PPVPN业务的提供(例如各种PPVPN的邻居发现和对到建协议等),这些协议包括:+MPLS信令(LDPRSVP-TE)
+IPsec信令(IKE);
L2TP:
·基于BGP的成员发现;
基于数据库的成员发现(例如基于RADIUS)→其他。
攻击者可能会干扰和破坏这些协议的执行,例如采用假冒或者Das方式进行攻击。4.4来自管理面的安全威胁
对PPVPN的管理和配置命令可牵涉到PPE路由器、路由协定,VPN拓扑,用户虚拟路由实例和虚拟交换实例、安全认证方法等各部分、各层面的业务参数。攻击者以远程接入方式经网络接入网管系统(例如求用摄号方式接入,利用telnet或htp访问网管接口),通过口令猜测等手段非法获得网管接口的访间控制权,非法访问SP基础设施的管理系统,对设备中的配置管理信息进行查看,非法提取信息(例如统计、拓扑信息等)其至对设备配置进行改动,通过种植病毒、木马、开后门等恶意手段实施政击。5对运营商的安全要求
5.1隔离要求
虚拟专用网的专用性决定了一个用户的PPVPN应与其他用广的PPVPN以及Intermet相隔离,这种隔5
YD/T 1909-2008
离包据如下几个方面:
5.1.1地址隔离
PPVPN用户可以使用整个 Internet 地址空问,包括按 RFC1918 中所规定的专用地址空间,同时一个PPVPN用户不会干扰同一运营商支持的另一个PPVPN用户。接入Internet时,可能需要NAT功能。二层VPN有同样的地址隔离要求,例如MAC地址的隔离。5.1.2路由隔离
PPVPN核心应维护用户的信任区域之间路由的隔离性,不允许任意一个信任区域内的路由信息被泄漏到另一个信任区域,除非信任区域特意要配置为泄漏某些路由(例如接入Internet)。对于二层VPN,信任区域问应保持交换信息的隔离性,使得一个PPVPN中的交换信息不会影响其他PPVPN或PPVPN核心网。
5.1.3业务流隔离
来自某个信任域的业务流在传送过程中不允许离开该信任域,来自其他信任域的业务流不充许进入该信任域,某些情况下进行的专门配置除外(例如为extanet或访问Inemet而逛行的专门配置)。5.2防护
完全隔离的专用网一般定义了一些进入界面点,只有这些进入界面点面对着外界的攻击或入侵。PPVPN的用户共享了一个公共的核心,对丁信任域以外的网络就失去了一些明确的接口。在这种情况下,FPVPN运营商应提供与专用网相同水平的安全防护措施。5.2.1对入侵的防护
入假是指从外界渗透到信任域内:入侵可以来自Internet,另一个PPVPN或者核心网自身。对1-PPVPN网络,不允许添加面向信任域以外的其他部分的新的接口。此要求不涉及一些已知的接口(例如Internet网关)。
5.2.2对DoS攻击的防护
DoS攻击的目的在于使合法用户不能使用业务或设备。通过VPN提供网络业务时遵受的DoS攻击在本规范涉及范围内,遁过标准接口入侵信任域的DoS攻击不在涉及范围内。PPVPN做为一种虚拟专用网,其抗DoS攻出的能力应不低于真正的专用网。对于每个VPN能够占用的带宽资源应该能够限制,对于超过带宽限制的用户流量,随该进行限流防止一个 VPN占用其他VPN的资源。5.2.3对哄骗的防护
要防止在业务流传送过程中,因为攻击者改变了发送者标识(源地址、源卷标等)而破坏PPVPN的完整性。例如,个E连接到同一个PE,一个CE对发送包进行了改造,试图使PE相信这些包来自男一个CE时,PE要能够识别,不把这些包发往错误的PPVPN。5.3机密性要求
某些情况下要求运营商提供加密功能,使数据以密码形式安全地通过PPVPN核心网络传送,防止被窃昕。
5.4CE认证要求
运营商可提供CE认证功能,使得PPVPN外部的用户不能假扮做内部用户,用自已的CE设备非法接入 PPVPN。
5.5完整性要求
YD/T 1909-2009
在数据传送过程中,应保证数据不被更改,或者对资料的任何更改都可以被接收者发现。5.6反重放要求
在数据传送过程中,保证数据不被截获、保存并重新发送。为了防范重放攻击,要提供数据流的完整性检查机制。
6安全技术
6.1对攻击的监测与报告
攻击者的攻击通常是从对系统进行试探、分析从系统中非法获取的数据开始的,如果系统能够监测和报告这些初级的攻街,及时地识别攻击者身份,发现他们的攻击目标和步骤,就可以及早采取防卫措施,防止遭受更加危险的攻击。安全监视系统和入侵检测系统通常要从PE、CE和/或运营商的肯干网设备(P)以及主机、服务器上采集信息,应具有从这些设备上生动提取信息(例如,SNMP get)或被动接收信息(例如,SNMPnotifications)的功能;PE、CE以及运营商骨干网设备、主机、服务器也应具有相应的信息提取和传送能力。
安全监视系统与PPVPN设备之间的通信应得到安全保护,可以使用专用的安全通道。应当对这种通信的业务望进行合理的设计和管理,使其不干扰正常的VPN业务。例如,多个攻击事件可以用一个消息来报告,而不是每次攻击事件触发一个单独的消息,后者会导致消息的洪泛,本质上变成一种针对监视系统或网络的 DoS。
报告安全攻击的机制应足够灵活,以便满足VPN运营商、VPN用户和代理机构的不同需要。应根据设备和安全监视系统的能力、VPN类型、运营商与用户达成的服务等级协议来确定报告的内容。6.2认证
为了避免网络设备遭受攻击,对访间FPVPN的设备的身份进行认证核实是一项关键的安全措施。认证包括VPN成员认证、对等体认证、臂理系统认证,VPN成员远程接入认证。6.2.1VPN成员认证
为了保证 CE设备接入它所期待的VPN,FE和 CE之间要对彼此的身份进行检查核实,保证自己与期符的对等体进行通信。
6.2.2管理系统认证
包括在使用基于目录的\自动发现\机制时,PE设备到中心管理目录服务器的认证。还包括在使用配置服务器系统时,CE到PPVPN配置服务器的认证。6.2.3对等体认证
主要指控制面上PE之间为了保证路由信息传送正确而进行的认证。除此之外,控制面上运营商为了保证骨干网络路由信息传送的正确性,可以对网络路由协议(如BGP、OSPF、ISIS、LDP等)进行认证,这种认证可以是基于下层传输协议的(如TCP),也可以是基于路由协议白身的认证机制的。6.2.4VPN成员远程接入认证
VPN成员通过IP网络远程接入时可以使用多种认证协议,例如RADIUS、DLAMETER等,这类VPN成员通常通过安全隧道接入,例如L2TP和IPsc隧道等。YD/T1909-2009
PPVPN通过网关设备建立远程连接,网关设备可以是由VPN用户的某个站点管理的,也可以是由PPVPN运营商管理的,前者不在本规范涉及范围内。PPVPN运营商在远程接入网关上对认证进行管理时,通常采用代理认证服务机制,即从远程用户设备那里接收加密的认证证书,并将其转发给PPVPN用户的认证系统,接收来自该认证系统的是/否响成,确定用户的认证是否通过。因此,PPVPN运营商并没有真正去访问PPVPN用户的认证数据库,而是起到选程认证用户代理的作用。
6.3加密
IP/MPLSVPN为了保证资料传送的安全性可以采用加密技术。二层VPN的加密技术有待研究,三层VPN的 CE与PE之间、PE与PE之间、CE与CE之间均可以支持数据包的加密传送。三层 VPN 可以采用基于 IPsec 的加密方式,PE 与 PE 之间进行如密时,采用 MPLS-in-IP 和MPLS-in-GRE两种加密封装方式(详见附件A);CE之间,CE与PE之间可以采用传送模式和隧道模式的IPsec加密封装方式。
PPVPN用户数据包的传送路径为从 CEPE、到对端PE、再到对端CE,数据包传送过程中使用的加密方式可分为如下四种。
*站点到站点的加密(CE-to-CB):在两个CB设备之问提供端到端的加密,这种加密可以是VPN用户内部支持的,也可以是PPVPN运营商提供的(详见附录B),在这种情况下,期户业务流以加密的形式穿过运商网络,实现端到端的加密。PPVPN用户要保证数据信息对运营商网络的私密性的情况下,可以采用这种加密措施。
运营商边缘到逆缘加密.(PE-to-PE):在运营网络边缘的PE设备之间进行加密。PE接收CE发来的未加密的数据流,如密后经SP网络传送到对端PE,对端PE将其解密后发给对端CE。在接入链路安全性载高、网络内部有安全感胁的情况下,可以来用这种加密方式。→接入链路加密(CE-to-PE):在网络两侧的CE租PE之间进行加密,也可以只在一侧的CE和PE设各之间加密。在接入链路有安全威胁、网络内部安全性较高的情况下,可以采用这种加密方式,,混合的全程加密:将上述的第二种和第三种方式结合起来进行加密,加密过程在CE到PE、PE到PE、PE到CE的链路_上进行。在接入链路和网络内部都存在安全威胁,同时为了支持某些增值服务凿要运营商完成加密功能的情况下使用这种加密力式。加密技术可以保证设备之间传送的信息的私密性和完整性,但加密也有可能带来一些负面的影响,例如加密措施给完成加密解密功能的设备增加了额外的计算负担,有可能导致设备可以支持的VPN用户数童减少;在设备上配置加密业务,增加了设备配置的复杂性,提了操作难度,潜在地提高了运背商的业务成本:加密包的长度增加,增加了包分段的可能几率,加重了网络业务量负担,在实际操作中要权衡加密的利弊使用造当的方法。6.4接入控制
接入控制是指利用过滤器或防火墙对进入PPVPN的数据流进行逐个包或逐个流的检查控制,对丁PPVPN的控制/信令/管理协议上建立会话请求进行接纳控制。这里过滤器和防火墙的主要区别石:于:过魂器是单向过滤数据流的,防火墩可以在其两侧的会话之问进行分析和控制。6.4.1过滤器
露由器上通带使用过滤器,即据据流的转发特征,数据包的特征制定一些匹配规则,并对匹配8
YD/T1909-2009
这些规则的包进行特殊处理,这些特征主要包括输入输出遇辑或物理接口,P包头信息,TCP或UDP包头息等,P包头信息通常包括源地址、目的地址、协议字段、分段偏移、ToS字段等,TCP或UDP包头信息通常包括端口字段、SYN字段等。过滤分为无状态过滤和有状态过滤两类,无状态过滤是指完全根据匹配规则对包进行过滤,有状态过滤是指保存了特定包的状态信息,做为判定包是否符合匹配规则的辅助信息。例如,路由器对分段卫包的第一个包进行无状态过滤,如果符合匹配规则,则记下该包的数据单元D,后续其他分段的P包都被认为是匹配该规则。
对于符合匹配规则的包,通常进行如下处理。+丢弃:通常对某些来源不明的、非预期的包逊行悄俏予以丢弃,还可以同时对丢弃包进行记录或计数。
速率限制:将符合匹配规则的包的发送速率限制在特定带宽范围内,对包进行技术,并使包的转发速率不超过规定的限度。
转发和复制:在转发包的同时进行复制,并将复制包转发到另一一个地址或接口。这样做可以实现包的合法截获功能,或把滤山包发送到某个入侵监查系统,6.4.2防火墙
防火墙在不同的PPVPN信任区域之间对数据流的传送提供控制机制,也可以在信任区域和非信在区域之间提供控制机制。防火墙通带可以比过滤器提供更多的功能,它可以对流而不仪仪对单个包进行详细分析和处理,可以提供多种复杂的服务,例如门限驱动的DoS攻击保护,病毒扫描或者做为TCP连接代理等等。
对于PPVPN,一般不允许在不同用户的VPN之问传送数据流。但悬企业外部网(extranet)是特例它允许从另外一个VPN对某个用户的VPN进行特定的外部访问,这种情况下,可以用防火墙来保障企业外部网的安全要求。
在PPVPN中,在由运营商间问VPN用户站点提供Intemet访问服务时,可以将防火墙设置在公众Internet和用户VPN之问。此外,在VPN用户站点与PPVPN运营商提供的任何共享的基于网络的服务之间,也可以设置防火墙。
防火墙可能有助于保护PPVPN核心网,使核心网免受来自Internet或PPVPN用户站点的攻击,但一般都采用其他的技术来达到这一目的。防火墙还可以保护用户站点免受来自Internet的攻击、保护不同的YPN用户网络甚至保护一个VPN用户网络中的不同站点。6.4.3对管理接口的接入控制
对管理接口的安全替理措施大多要使用到前文提到的认证技术,除此之外管理接口还应采取其他一:些措施。
应该对管理接口(特别是PPVPN设备上的控制口)进行配置,使得对管理接口的访问只能以带外方式进行,即应通过物理上或逻辑上与PPVPN基础设施相隔离的系统来访问管理接口。如果要在PPVPN域内以带内方式访尚管理接口,则可以使用过滤器或防火墙技术,以便限制未经未经授权的带内数据流进入管理按口。可以将过滤器或防火墙配置在数据流可能经过的其他设备上,也可以直接配置在PPVPN设备上,选摔哪种方式可以根据设备能来考虑。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。