Analysis of security threats to MPLS virtual private networks

1. Analysis of security threats to MPLS virtual private networks International Journal of Critical Infrastructure Protection, Volume 2, Issue 4, December 2009, Pages 146-153 Denise Grayson, Daniel Guernsey, Jonathan Butts, Michael Spainhower, Sujeet Shenoi 報告者:李長璟

2. Abstract • 1.Introduction • 2.MPLS-based virtual private networks • 3.Multiple-provider VPNs • 4.General security analysis • 5.Attacks on BGP-based MPLS VPNs • 6.Mitigation strategies • 7.Conclusions

3. Abstract • 多協議標籤交換（MPLS）是一種在開放的通信網上利用標籤引導數據高速、高效傳輸的新技術 。 • 分析的主要安全威脅 MPLS和VPN。特別針對的是協議和多協議擴展。 • 本文介紹三類基於 MPLS VPN的漏洞：修訂路線，交通注射和拒絕服務攻擊。

4. 1.Introduction • 多協議標籤交換（MPLS）使用電路交換和封包交換網路技術 • 虛擬私有網路（VPN）主要的應用 MPLS技術 • 邊界網關協議（BGP）和多協議擴展用於創建第3層 VPN，隱藏的服務提供商的基礎設施和執行路由和分流服務供應商之間的網路和客戶網路。

5. BGP / MPLS VPN的安全，他們主要依靠定址分離和內部定址隱藏，以防止外部攻擊。 • 攻擊者一旦進入相對保護網路的核心，攻擊者可以針對客戶的虛擬私有網路，竊取機密

6. 2.MPLS-based virtual private networks

7. MPLS VPN Model

8. VPN packet forwarding

9. MP- BGP • 標準 BGP 只分發與 IPv4 定址相關聯的路線 。 • MP- BGP兩個新的屬性 • 多協議可達的邊界網關（型號：MP - REACHNLRI） • 邊界網關和多協議不可達（型號：MP - UNREACHNLRI）。

10. MP - REACHNLRI屬性有6個領域 • 1.Address Family Identifier (AFI) • 2. Subsequent Address Family Identifier (SAFI ) • 3.Length of the Next Hop Address

11. 4. Next Hop Address that specifies the address of the next router in the path to the destination • 5. Reserved (one octet) • 6. NLRI • MP­UNREACH­NLRI 屬性包含一個 AFI、 SAFI和撤回的 NLRI 路線。

12. 3. Multiple-provider VPNs • VRF­to­VRF model

13. Redistribution model

14. Multihop redistribution model

15. 4.General security analysis • 服務提供者必須確保連線性客戶 vpn 和防止交通攔截和注射。 • 討論有關網路分離，主要的安全問題 BGP 通信和 MPLS 包標記。

16. 1.網路分離：BGP的社區和路由過濾技術非常有效地分離 VPN和防止交通注入到客戶網路

17. BGP 通訊:提供 的安全機制 BGP 和其他路由式通訊協定，再加上安全控制項在 LERs 中實現是一個 MPLS 網路的安全運作的重要因素。 • BGP 有四個消息類型： OPEN KEEPALIVE、 警告 和 UPDATE

19. MPLS 封包標記:LSRs 位於網路核心傾向于接受並轉發任何傳入的資料封包。 • 攻擊者用核心網路訪問可以中斷傳輸、 服務，及VPN服務提供安全的支援。 • 因此，強化的週邊是 MPLS VPN 安全最重要的。

20. 5. Attacks on BGP-based MPLS VPNs • 很多攻擊是可能的 因為 BGP ­based MPLS vpn 依賴于多項技術 ，常見的三個大類攻擊 • 1. route modification（修訂路線） • 2. traffic injection • 3. denial ­of ­service attacks （拒絕服務攻擊 ）

21. route modification：路由改造攻擊更改路徑（包括目標） 的資料包的網路核心穿過一服務提供者。 • Modifying LER Labels修改LER標籤 • Modifying VPN Labels修改VPN標籤 • Abusing BGP UPDATE Messages濫用 BGP更新信息 • Compromising Route Reflectors（妥協的路由反射器 ） • Modifying VRF Tables

22. Injection attacks ：注入的攻擊涉及插入 vpn 或其它地區的一個服務提供網路虛假交通核心 • Injection Based on VPN Labels • Injection Based on LER Labels

23. Denial­of­service 攻擊 ：分析顯示 4個拒絕服務攻擊，降低或中斷服務的攻擊 • 1. Modifying the Community Attribute in BGP Messages（在 BGP 訊息修正社區屬性 ） • 2. Modifying the Community Attribute in LERs（在 LERs 修正社區屬性 ） • 3. Withdrawing BGP Routes（退出BGP路由 ） • 4. Injecting Capability Advertisements（廣告注入能力 ）

24. 6.Mitigation strategies • 服務提供者和 VPN 必須配置客戶共用負責保護提供 vpn。所有在完整性檢查和身份驗證機制的實施信號轉導和路由式通訊協定。 • 客戶不應假設網路的核心是完全安全的。安裝防火牆的CE在PE連接 VPN站點以阻止從被感染的供應商發起攻擊。 • 另一種對策是使用異常檢測系統。根據的攻擊進行了論述，規則集可以開發警惕行動不符合“正常”的行為。

25. Conclusions • MPLS VPNs 的快速成長主要是企業大力的支持，因為它價格低廉，flexible ＆高頻寬網路，一般外來的攻擊很難MPLS VPN • 但是攻擊者只要一攻破它的防護，就很容易竊取機密，提出這篇文章它的重點是把重心集中在的努力將安全建立的BGP／MPLS 的VPN