1 / 19

Leimakytkentäisten virtuaaliverkkojen yhteenliittämistapojen vertailu

Leimakytkentäisten virtuaaliverkkojen yhteenliittämistapojen vertailu. Sampsamatti Tanner, TeliaSonera Työn valvoja: Prof. Raimo Kantola Työn ohjaaja: DI Johan Laxén. Esitelmän sisältö. Tutkimuksen taustaa Tutkimusongelma ja menetelmä Toimintaympäristö MPLS-VPN-palveluiden esittely

skylar
Download Presentation

Leimakytkentäisten virtuaaliverkkojen yhteenliittämistapojen vertailu

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Leimakytkentäisten virtuaaliverkkojen yhteenliittämistapojen vertailu Sampsamatti Tanner, TeliaSonera Työn valvoja: Prof. Raimo Kantola Työn ohjaaja: DI Johan Laxén

  2. Esitelmän sisältö • Tutkimuksen taustaa • Tutkimusongelma ja menetelmä • Toimintaympäristö • MPLS-VPN-palveluiden esittely • Yhteenliittämistapojen esittely • Vertailun tuloksista • Johtopäätökset • Jatkotutkittavaa

  3. Tutkimuksen taustaa • Verkkoteknologian kehitys • Konvergenssi: monesta verkosta yhteen • Pakettiverkkoteknologioiden kustannustehokkuus • Leimakytkennän tarjoamat mahdollisuudet • MPLS:n mahdollistamat virtuaaliverkkopalvelut • Toimialan kehitys • Operaattorien yhdistyessä yhdellä operaattorilla monta verkkoa • Dataliikenteen merkityksen ja käytön kasvu heijastuu myös MPLS-VPN-palveluihin • Kattavuusalueen laajentaminen kumppanien avulla • Regulaatio (verkkojen yhteiskäyttö)

  4. Tutkimusongelma Millä tavoin operaattorin kannattaa liittää eri verkoissa toteutetut leimakytkentäiset virtuaaliverkkopalvelut toisiinsa tietoturvan näkökulmasta?

  5. Tutkimusmenetelmä • Vertailu • Teoreettinen lähestyminen • Käytännön kokemus taustalla

  6. Työssä tehdyt rajaukset • Operaattorin hallinnoimat • Leimakytkentää hyödyntävät • Virtuaaliverkkopalvelut. • Kolme palvelua • Yhteenliittämistavat • Neljä tapaa • Fokus: tietoturva • Näkökulma: operaattorin

  7. toimipiste A2 toimipiste A1 liityntäverkko 3 liityntäverkko 2 liityntäverkko 1 CEA3 CEA1 CEA2 PE3 PE1 PE2 toimipiste A3 Leimakytkentäiset virtuaaliverkot:yleinen arkkitehtuuri runkoverkko Asiakaan liityntälaite, CE Operaattorin palvelun reunalaite, PE

  8. CEB2 CEB1 CEB2 CEA1 CEA2 CEA1 CEA2 PE1 PE2 P1 PE2 PE1 P1 B_data A_data B_data A_data B A B A MPLS-VPN: hallinta- ja kuljetustaso VPN-hallinta (signalointi) ”runkokuljetuksen” hallinta (signalointi) 1 1 2 2 kuljetusleima VPN-leima

  9. IP-virtuaaliverkko-palvelu (L3-MPLS/BGP-VPN) IETF RFC 4364 BGP:hen perustuva VPN-signalointi Signalointi ja välitys erotettu toisistaan Sisältää autodiscovery-toiminteen Tarkasteltavat VPN-palvelut Virtuaalijohdinpalvelu (VPWS) • ei standardoitu • pisteestä-pisteeseen-yhteys • LDP-protokollaan perustuva • Signalointi ja välitys sidoksissa toisiinsa • Autodiscovery erikseen (esim. BGP:llä) Virtuaalinen lähiverk-kopalvelu (VPLS) • Kaksi kilpailevaa ehdotusta (RFC 4761 ja RFC 4762) • BGP-ehdotus ja LDP-ehdotus • Toinen sisältää autodiscoveryn, toinen ei

  10. ASBR21 CEA2 CEA4 CEA3 AS2 AS1 AS3 AS4 CEB2 CEB3 CEA1 ASBR31 PE3 PE1 PE4 PE2 CEB1 Toimintaympäristö: Useita verkkoja AC:t AC:t ASBR23 ASBR12 ASBR32 ASBR13 ASBR14 ASBR41

  11. Pohdittuja tietoturva-asioita • Uhat operaattorin verkolle • hallintatasolle • suojautuminen virheelliseltä signaloinnin toiminnalta (määrä, taajuus, formaatti) • signalointikumppanin varmistaminen • signalointitiedon alkuperän varmistaminen • liikenteen välitykselle • liikenteen määrän hallinta • liikenne vain sieltä mistä sen kuuluu tulla • liikenne vain sinne, minne sen kuuluu mennä • Uhat asiakkaalle • Heikkeneekö virtuaaliverkon: erillisyys, suoja, yksityisyys tai eheys • Ovatko uhat erilaiset Intra- ja Inter-AS-asiakkaille? • Strategisen tiedon välittyminen/rajoittaminen • operaattorin verkon rakenteesta • asiakkuuksista • asiakkaan verkon rakenteesta

  12. Vertailun tuloksia: Malli A + tietoturvallisin: tietoja verkkojen välillä vaihdetaan vain VPN-kontekstin sisällä - reititystiedon alkuperän varmistaminen - toisen operaattorin konfigurointivirheitä vaikea havaita -> Ongelmat liittyvät vain Inter-AS-VPN:iin

  13. Vertailun tuloksia: Malli B • VPN-hallintatason yhdistäminen tuo riippuvuuden naapuriverkon VPN:ien operoinnista + Pelkästään Inter-AS-VPN:iin liittyvää tietoa pitää välittää toiseen verkkoon + ”Paperilla” tietoturvallisuus lähes Malli A:n tasolla • Käytännössä toteutukset eivät ole niin tietoturvallisia: Rajareititin ei tee älykästä suodatusta leimatiedon perusteella -> Teoriassa ongelmat liittyvät vain Inter-AS-VPN:iin, käytännössä myös operaattorin omaan verkkoon ja Intra-AS-asiakkaisiin

  14. Vertailun tuloksia: Malli C • Sekä VPN- että kuljetustason liittäminen tuo riippuvuuden naapuriverkon operoinnista sekä VPN:ien että MPLS:n osalta + parempi näkyvyys kumppanin verkkoon • Oman verkon avaaminen kumppanille sekä signaloinnin että liikenteen välityksen tasolla • Rajareititin ei voi tehdä suodatusta alempien leimojen perusteella -> monimutkaistaa suojautumista (hyökkäykset voivat helpommin tulla ”runkoverkon sisältä”) -> Edellyttää isoa luottamusta kumppaniin tai erittäin huolellisia tietoturvakäytäntöjä (käytännön toteutettavuus?)

  15. Vertailun tuloksia: Malli D • Tietoturvallisuus riippuu käytetystä IP-tunnelointitekniikasta (IPSec suositeltava) + Vastapään PE:n luotettava tunnistaminen ja sen mukaan toimiminen • Altis IP-tason häiriöille • riippuvuus IP-reitityksestä • ”Internet-liikenteen” seassa (esim. palvelunestohyökkäys)

  16. Johtopäätöksiä 1 • Vertailun rajaaminen tietoturvaan oli palveli työn tarkoitusta, mutta vertailu ei sinällään ole riittävä yhteenliittämistapaa valitessa • tietoturva ei ole erillinen asia, vaan valinnassa vaikuttaa moni muukin asia • Tietoturvan painoarvoa mietittäessä olennaista on luottamuksen määrä kumppaniin • Mikään malli ei ole turvaton, jos kaikki operaattorit huolehtivat verkkojen ja palveluiden tietoturvallisesta operoinnista • Tässä työssä vertailua oleellisempaa oli löytää eri yhteenliittämistapojen ja virtuaaliverkkopalveluiden tietoturvahaasteet

  17. Johtopäätöksiä 2 • Eri virtuaaliverkkopalvelut toimivat varsin eri tavoin • ero tulee selkeästi esiin liitettäessä autonomisia alueita yhteen • erot tulevat valtaosin VPN:lle käytetystä signalointiprotokollasta (LDP vs. BGP) • Virtuaaliverkkopalveluiden toimiminen yli AS-rajojen on standardoinnin osalta kesken • Erityisesti pätee LDP:tä käyttäviin palveluihin

  18. Jatkokehitettävää ja -tutkittavaa • Implementointi (reititinvalmistajat): • leimakytketyn liikenteen suodattaminen AS-rajalla • Standardointi • erityisesti LDP:n (tai jonkin korvaavan protokollan) käyttö yli AS-rajan • Tietoturvan ohella tulisi tarkastella • palvelun laadun varmistamista • palvelun hallintaa • skaalautuvuutta

  19. Kysyttävää / mietteitä

More Related