НОВЫЕ МЕТОДЫ
ЗАЩИТЫ СЕТЕЙ, РАБОТАЮЩИХ ПО ТЕХНОЛОГИИ МНОГОПРОТОКОЛЬНОЙ КОММУТАЦИИ МЕТОК
А.Е. Шубарев
(Москва, Московский Государственный Университет Путей
Сообщения, Россия)
Технология многопротокольной коммутации по меткам (MPLS) [1,2],
обеспечивает построение магистральных сетей, имеющих практически неограниченные
возможности масштабирования и повышенную скорость обработки трафика. Передача
данных в MPLS-сетях осуществляется на основе информации
содержащейся в метках. Метка добавляется к пакету при входе в сеть, а на выходе
из сети метка удаляется. Метка имеет размер 32 бита и описывает класс
эквивалентности при пересылке, то есть определяет способы передачи и обработки
пакета.
В связи с тем, что MPLS-сети имеют каналы связи большой протяженности,
злоумышленник может осуществить атаку на протоколы информационного обмена при
непосредственном подключении к каналу связи. Анализируя перехваченных трафик,
злоумышленник сможет изучить архитектуру и логику работы распределенной
вычислительной сети; получить конфиденциальную информацию; подменить информацию
и вставить свой пакет в поток данных.
В работе представлены методы, повышающие защищенность
данных, передаваемых через MPLS-сеть, а именно:
-
отказ
от использования протоколов сетевого уровня;
В случае коммутации по метке полный
анализ заголовков сетевого уровня осуществляется один раз – на входе пакета в
сеть. В этом месте заголовок сетевого уровня преобразуется в метку
фиксированной длины. Далее передача пакета осуществляется по метке и на выходе
из сети метка удаляется. Метка используется для идентификации класса
эквивалентности при пересылке, то есть описывает семейство пакетов 3-го уровня,
которые отправляются и обрабатываются одинаковым способом. Таким образом, можно
отказаться от использования протоколов сетевого уровня при передаче данных.
Сетевые адреса MPLS – устройств осуществляющих
коммутацию по метке необходимо соотнести к отдельным классам эквивалентности
при пересылке и назначить им отдельные метки. И передачу соответствия сетевой
адрес – метка осуществлять с помощью протоколов маршрутизации или протоколов
распространения меток.
-
шифрование пакетов при входе в MPLS-сеть и последующая расшифровка на выходе из сети;
-
шифрование
данных протоколов маршрутизации и протоколов распространения меток;
Шифрование пакетов можно
осуществлять любым известным алгоритмом. Например, алгоритмом с открытым
ключом. Таким же способом необходимо выполнять шифрование данных протоколов
маршрутизации и протоколов распространения меток.
-
кодирование значений меток с помощью
однонаправленных функций.
Для кодирования значений меток
можно использовать однонаправленные функции [3,4]. С целью не дать
злоумышленнику возможность отсортировать пакеты по классам эквивалентности при
пересылке.
Алгоритм работы вычислительной
сети, работающей по усовершенствованной технологии коммутации меток, принимает
следующий вид: при входе в MPLS-сеть пакет соотносится с классами
эквивалентности при пересылке и в пакет вставляется соответствующая метка;
осуществляется шифрование данных и их передача следующему MPLS –устройству; на выходе из MPLS-сети пакет расшифровывается.
В работе описаны методы позволяющие, повысить защиту
компьютерной сети, работающей по технологии коммутации меток от атак на
протоколы информационного обмена при непосредственном подключении к каналу
связи.
ЛИТЕРАТУРА
1. Гольдштейн А.Б., Гольдштейн Б.С. Технология и
протоколы MPLS -- СПб.: БХВ-Санкт-Петербург, 2005. - 304 с.
2. Олвейн В. Структура и реализация современной
технологии MPLS.: Пер. с англ. -- М.: Издательский дом "Вильямс",
2004. - 480 с.
3. Справочник по криптологии / К.П. Исагулиев - Мн.:
Новое знание, 2004. - 237 с.
4. Шнайер Б. Прикладная криптография. Протоколы,
алгоритмы, исходные тексты на языке Си. - М.: Издательство ТРИУМФ, 2003. - 816
с.
5. Шубарев А.Е. Методы повышения защищенности сетей
работающих по технологии коммутации меток // 11-я международная
научно-техническая конференция студентов и аспирантов. Труды. Т. 1. Секц. 20:
Вычислительные машины, сети и системы. 2005. С. 379