190 likes | 339 Views
Leimakytkentäisten virtuaaliverkkojen yhteenliittämistapojen vertailu. Sampsamatti Tanner, TeliaSonera Työn valvoja: Prof. Raimo Kantola Työn ohjaaja: DI Johan Laxén. Esitelmän sisältö. Tutkimuksen taustaa Tutkimusongelma ja menetelmä Toimintaympäristö MPLS-VPN-palveluiden esittely
E N D
Leimakytkentäisten virtuaaliverkkojen yhteenliittämistapojen vertailu Sampsamatti Tanner, TeliaSonera Työn valvoja: Prof. Raimo Kantola Työn ohjaaja: DI Johan Laxén
Esitelmän sisältö • Tutkimuksen taustaa • Tutkimusongelma ja menetelmä • Toimintaympäristö • MPLS-VPN-palveluiden esittely • Yhteenliittämistapojen esittely • Vertailun tuloksista • Johtopäätökset • Jatkotutkittavaa
Tutkimuksen taustaa • Verkkoteknologian kehitys • Konvergenssi: monesta verkosta yhteen • Pakettiverkkoteknologioiden kustannustehokkuus • Leimakytkennän tarjoamat mahdollisuudet • MPLS:n mahdollistamat virtuaaliverkkopalvelut • Toimialan kehitys • Operaattorien yhdistyessä yhdellä operaattorilla monta verkkoa • Dataliikenteen merkityksen ja käytön kasvu heijastuu myös MPLS-VPN-palveluihin • Kattavuusalueen laajentaminen kumppanien avulla • Regulaatio (verkkojen yhteiskäyttö)
Tutkimusongelma Millä tavoin operaattorin kannattaa liittää eri verkoissa toteutetut leimakytkentäiset virtuaaliverkkopalvelut toisiinsa tietoturvan näkökulmasta?
Tutkimusmenetelmä • Vertailu • Teoreettinen lähestyminen • Käytännön kokemus taustalla
Työssä tehdyt rajaukset • Operaattorin hallinnoimat • Leimakytkentää hyödyntävät • Virtuaaliverkkopalvelut. • Kolme palvelua • Yhteenliittämistavat • Neljä tapaa • Fokus: tietoturva • Näkökulma: operaattorin
toimipiste A2 toimipiste A1 liityntäverkko 3 liityntäverkko 2 liityntäverkko 1 CEA3 CEA1 CEA2 PE3 PE1 PE2 toimipiste A3 Leimakytkentäiset virtuaaliverkot:yleinen arkkitehtuuri runkoverkko Asiakaan liityntälaite, CE Operaattorin palvelun reunalaite, PE
CEB2 CEB1 CEB2 CEA1 CEA2 CEA1 CEA2 PE1 PE2 P1 PE2 PE1 P1 B_data A_data B_data A_data B A B A MPLS-VPN: hallinta- ja kuljetustaso VPN-hallinta (signalointi) ”runkokuljetuksen” hallinta (signalointi) 1 1 2 2 kuljetusleima VPN-leima
IP-virtuaaliverkko-palvelu (L3-MPLS/BGP-VPN) IETF RFC 4364 BGP:hen perustuva VPN-signalointi Signalointi ja välitys erotettu toisistaan Sisältää autodiscovery-toiminteen Tarkasteltavat VPN-palvelut Virtuaalijohdinpalvelu (VPWS) • ei standardoitu • pisteestä-pisteeseen-yhteys • LDP-protokollaan perustuva • Signalointi ja välitys sidoksissa toisiinsa • Autodiscovery erikseen (esim. BGP:llä) Virtuaalinen lähiverk-kopalvelu (VPLS) • Kaksi kilpailevaa ehdotusta (RFC 4761 ja RFC 4762) • BGP-ehdotus ja LDP-ehdotus • Toinen sisältää autodiscoveryn, toinen ei
ASBR21 CEA2 CEA4 CEA3 AS2 AS1 AS3 AS4 CEB2 CEB3 CEA1 ASBR31 PE3 PE1 PE4 PE2 CEB1 Toimintaympäristö: Useita verkkoja AC:t AC:t ASBR23 ASBR12 ASBR32 ASBR13 ASBR14 ASBR41
Pohdittuja tietoturva-asioita • Uhat operaattorin verkolle • hallintatasolle • suojautuminen virheelliseltä signaloinnin toiminnalta (määrä, taajuus, formaatti) • signalointikumppanin varmistaminen • signalointitiedon alkuperän varmistaminen • liikenteen välitykselle • liikenteen määrän hallinta • liikenne vain sieltä mistä sen kuuluu tulla • liikenne vain sinne, minne sen kuuluu mennä • Uhat asiakkaalle • Heikkeneekö virtuaaliverkon: erillisyys, suoja, yksityisyys tai eheys • Ovatko uhat erilaiset Intra- ja Inter-AS-asiakkaille? • Strategisen tiedon välittyminen/rajoittaminen • operaattorin verkon rakenteesta • asiakkuuksista • asiakkaan verkon rakenteesta
Vertailun tuloksia: Malli A + tietoturvallisin: tietoja verkkojen välillä vaihdetaan vain VPN-kontekstin sisällä - reititystiedon alkuperän varmistaminen - toisen operaattorin konfigurointivirheitä vaikea havaita -> Ongelmat liittyvät vain Inter-AS-VPN:iin
Vertailun tuloksia: Malli B • VPN-hallintatason yhdistäminen tuo riippuvuuden naapuriverkon VPN:ien operoinnista + Pelkästään Inter-AS-VPN:iin liittyvää tietoa pitää välittää toiseen verkkoon + ”Paperilla” tietoturvallisuus lähes Malli A:n tasolla • Käytännössä toteutukset eivät ole niin tietoturvallisia: Rajareititin ei tee älykästä suodatusta leimatiedon perusteella -> Teoriassa ongelmat liittyvät vain Inter-AS-VPN:iin, käytännössä myös operaattorin omaan verkkoon ja Intra-AS-asiakkaisiin
Vertailun tuloksia: Malli C • Sekä VPN- että kuljetustason liittäminen tuo riippuvuuden naapuriverkon operoinnista sekä VPN:ien että MPLS:n osalta + parempi näkyvyys kumppanin verkkoon • Oman verkon avaaminen kumppanille sekä signaloinnin että liikenteen välityksen tasolla • Rajareititin ei voi tehdä suodatusta alempien leimojen perusteella -> monimutkaistaa suojautumista (hyökkäykset voivat helpommin tulla ”runkoverkon sisältä”) -> Edellyttää isoa luottamusta kumppaniin tai erittäin huolellisia tietoturvakäytäntöjä (käytännön toteutettavuus?)
Vertailun tuloksia: Malli D • Tietoturvallisuus riippuu käytetystä IP-tunnelointitekniikasta (IPSec suositeltava) + Vastapään PE:n luotettava tunnistaminen ja sen mukaan toimiminen • Altis IP-tason häiriöille • riippuvuus IP-reitityksestä • ”Internet-liikenteen” seassa (esim. palvelunestohyökkäys)
Johtopäätöksiä 1 • Vertailun rajaaminen tietoturvaan oli palveli työn tarkoitusta, mutta vertailu ei sinällään ole riittävä yhteenliittämistapaa valitessa • tietoturva ei ole erillinen asia, vaan valinnassa vaikuttaa moni muukin asia • Tietoturvan painoarvoa mietittäessä olennaista on luottamuksen määrä kumppaniin • Mikään malli ei ole turvaton, jos kaikki operaattorit huolehtivat verkkojen ja palveluiden tietoturvallisesta operoinnista • Tässä työssä vertailua oleellisempaa oli löytää eri yhteenliittämistapojen ja virtuaaliverkkopalveluiden tietoturvahaasteet
Johtopäätöksiä 2 • Eri virtuaaliverkkopalvelut toimivat varsin eri tavoin • ero tulee selkeästi esiin liitettäessä autonomisia alueita yhteen • erot tulevat valtaosin VPN:lle käytetystä signalointiprotokollasta (LDP vs. BGP) • Virtuaaliverkkopalveluiden toimiminen yli AS-rajojen on standardoinnin osalta kesken • Erityisesti pätee LDP:tä käyttäviin palveluihin
Jatkokehitettävää ja -tutkittavaa • Implementointi (reititinvalmistajat): • leimakytketyn liikenteen suodattaminen AS-rajalla • Standardointi • erityisesti LDP:n (tai jonkin korvaavan protokollan) käyttö yli AS-rajan • Tietoturvan ohella tulisi tarkastella • palvelun laadun varmistamista • palvelun hallintaa • skaalautuvuutta