Сетевые сервисы, основанные на IP-маршрутизации третьего уровня, обеспечивают немало преимуществ для современных коммуникаций, но в то же время остаются уязвимыми для целого ряда сетевых угроз. В этой статье объясняется, как использование средств коммутации второго уровня на основе технологии Carrier Ethernet может повысить безопасность сетевых сервисов и снизить риск несанкционированного доступа к информации.

Стандартизованная технология Carrier Ethernet появилась в сетях операторов связи несколько лет назад. С ее помощью они намеревались более эффективно использовать имеющуюся полосу пропускания и предоставлять заказчикам адаптированные к их требованиям сервисы с гарантированными характеристиками. Те же качества, которые делают Carrier Ethernet привлекательной в коммерческой сфере, можно использовать для повышения безопасности, что особенно важно для государственных и военных структур.

Оптические сети на основе технологии IP стали стандартом для многих организаций, в том числе для таких серьезных, как Министерство обороны США. К сожалению, технологии IP, составляющие основу современных телекоммуникаций, привлекают и злоумышленников, которые пытаются использовать любые уязвимости Интернета. Изощренные атаки, нацеленные на получение и раскрытие информации, нарушение доступа к ней или ее уничтожение, разрабатываются государственными службами, преступными сообществами и отдельными «искателями приключений». Они мотивируются политической идеологией, экономической выгодой или просто стремлением нарушить работу учреждений.

В качестве инфраструктуры передачи конфиденциальных данных часто используются шифруемые туннели. Хотя такое решение обеспечивает адекватную защиту конфиденциальных данных, его применение означает также, что оператор сети не контролирует инфраструктуру, по которой осуществляется доставка данных. Эта схема обеспечивает хорошую защиту против прямых атак, но доступ к данным может быть скомпрометирован в результате атаки, нацеленной на отдельные элементы сети.

ПРИНЦИПЫ БЕЗОПАСНОСТИ СЕТИ

Чтобы обосновать возможность использования Carrier Ethernet для укрепления безопасности сети, следует остановиться на некоторых базовых принципах. Если говорить кратко, сетевая безопасность — это гарантия беспрепятственной доставки вашей информации указанному получателю в неизмененном виде и без ее прочтения посторонними. Стратегия защиты сети превращается во все ускоряющуюся гонку, поскольку новые механизмы защиты должны эффективно развиваться, чтобы соответствовать постоянно растущим угрозам. К сожалению, ни одну сеть нельзя защитить полностью. Ключевые элементы стратегии защиты сети позволяют лишь максимально затруднить нарушение ее работы, ограничить масштаб и область действия любой атаки и обеспечить быстрое восстановление после какого-либо урона.

В дополнение к шифрованию, аутентификации и другим механизмам, нацеленным на защиту границы сети, сетевую безопасность можно усовершенствовать, встроив алгоритмы защиты в саму архитектуру сети. Определенная изоляция обеспечивается несколькими способами, реализуемыми на разных уровнях стека OSI, включая уровень IP. Однако здесь есть две фундаментальные проблемы. Во-первых, очень трудно по-настоящему изолировать сеть, так как в плоскостях управления и контроля неизбежно происходит взаимопроникновение. Во-вторых, изолированные сети по определению ограничивают доступ к информации. Существует и еще одна проблема: средства криптографической и технической изоляции сетей очень дороги.

CARRIER ETHERNET И ЕЕ МЕХАНИЗМЫ

В основе Carrier Ethernet лежат основанные на стандартах расширения традиционных протоколов IEEE 802.3 Ethernet. Они позволяют, в частности, обеспечить надежность операторского класса, то есть уровень доступности в пять или шесть девяток. В дополнение к повышенной надежности масштабируемость сетей Carrier Ethernet на несколько порядков выше по сравнению с масштабируемостью традиционных локальных сетей (LAN).

Благодаря возможности реализации разнообразных сервисов по очень привлекательной цене, решения Carrier Ethernet получили широкое распространение в коммерческих операторских сетях. Сервисы Ethernet, стандартизированные организациями Metro Ethernet Forum (MEF) и Optical Interworking Forum (OIF), определяются как ориентированные на установление соединения услуги второго уровня (L2). Carrier Ethernet дает возможность реализовать виртуальные частные сети (Virtual Private Network, VPN) второго уровня с гарантированной пропускной способностью и поддержкой до восьми градаций качества сервиса (Quality of Service, QoS), что позволяет операторам дифференцировать предлагаемые ими сервисы передачи голоса, видео и данных в сетях IP (см. Рисунок 1).

 

Сравнение архитектур ядра сети, целиком построенной на базе IP, и наложения IP-сети поверх Carrier Ethernet.
Рисунок 1. Сравнение архитектур ядра сети, целиком построенной на базе IP, и наложения IP-сети поверх Carrier Ethernet.

 

МАРШРУТИЗАЦИЯ ИЛИ КОММУТАЦИЯ?

По сути, маршрутизаторы и коммутаторы выполняют одну базовую задачу — обеспечивают пересылку трафика через сеть. Важное отличие состоит в том, что работающие на третьем уровне (L3) маршрутизаторы формируют путь пересылки трафика, «общаясь» с соседними маршрутизаторами и «изучая» топологию сети. Выбор маршрута зависит от используемого протокола, текущего состояния топологии и загрузки сети. Коммутаторы, работающие на втором уровне (L2), «прокладывают» через сеть виртуальные соединения, которые большую часть времени фиксированы. При изменении топологии, например в случае аварии на одной из линий связи, путь соединения может быть изменен, но для этого оно должно быть установлено заново. Детерминированное определение пути коммутируемых соединений позволяет операторам сетей лучше управлять их работой, гарантировать допустимый уровень задержки, а также избегать потенциально проблемных маршрутов.

КАЧЕСТВО СЕРВИСА

Механизмы качества сервиса (QoS) используются операторами для пропуска критичного трафика с наивысшим приоритетом. С точки зрения безопасности сети информация о приоритетах трафика должна быть конфиденциальной. В ядре сети добиться этого непросто: несмотря на шифрование High Assurance Internet Protocol Encryptor (HAIPE) содержимого пакетов (блока данных), заголовок IP оно не затрагивает. Некоторые сетевые устройства используют дополнительную «упаковку» с репликацией в нее контрольных байтов из оригинального заголовка пакета, которые передаются в незашифрованном виде. При этом другие устройства могут игнорировать эти байты, интерпретируя их как неиспользуемые.

Обычно качество обслуживания трафика в сетевом ядре обеспечивается за счет выделения избыточной пропускной способности, так что потенциальная конкуренция за ресурсы сводится к минимуму. Но при увеличении загрузки сети этот подход становится слишком дорогим. К тому же он оказывается непригоден в случае нарушения работы сети, например, при множественных обрывах кабелей в результате аварий, вызванных природными или рукотворными факторами.

При коммутации L2 качество обслуживания можно обеспечить двумя способами с разной степенью конфиденциальности. Во-первых, MEF стандартизировал для Ethernet набор уровней QoS.

Поскольку информацию об источнике (отправителе информации) и данные можно скрыть от атаки типа man-in-the-middle с помощью шифрования, указание уровня приоритета имеет вполне допустимый уровень риска. Во-вторых, качество обслуживания можно обеспечить путем назначения информационным потокам выделенной пропускной способности в L2-VPN. Данный метод аналогичен концепции создания запаса емкости в сети IP, однако не влечет за собой таких же высоких затрат, поскольку делать это можно с высоким уровнем детализации и только для приоритетных потоков.

VPN ДЛЯ ИЗОЛЯЦИИ ПОТОКОВ

Принятые MEF стандарты Ethernet предусматривают алгоритмы для создания VPN на втором уровне, что делается путем присоединения к кадру Ethernet тегов VPN, дифференцирующих виртуальные сети по типу сервиса и приоритету. Этот механизм можно последовательно масштабировать, добавляя новые уровни тегов VPN для создания сетевых VPN, логически изолированных от граничных VPN. Такая организация отличается от алгоритмов формирования VPN третьего уровня, которые создаются в маршрутизаторе с использованием протокола IPsec для изоляции информационных потоков. IPsec может защитить данные, но не предотвратит перебоев, которые возникают из-за других влияющих на маршрутизатор событий.

Алгоритм формирования стека тегов VPN был введен рабочей группой IEEE 802.1ah, чтобы заказчики и операторы могли создавать VPN независимо друг от друга. Он известен под названием Q-in-Q, и его можно использовать как дополнительный элемент безопасности в сети Ethernet. Детали внутренней топологии сети заказчика можно изолировать от инфраструктуры оператора путем создания клиентской VPN и последующего применения технологии Provider Backbone Bridging (PBB).

Рассматриваемый механизм добавляет еще один набор тегов VPN и меняет адресную информацию (см. Рисунок 2). При этом информация с MAC-адресом маршрутизатора PE содержится внутри изолированного туннеля и не используется в процессе коммутации в сети. При необходимости данные, описывающие подробности клиентской сети, можно зашифровать, и тогда передаваемая по сети оператора информация станет еще более закрытой.

 

Пример инкапсуляция IP-пакета в кадры Ethernet с последовательным тегированием VLAN и Q-in-Q.
Рисунок 2. Пример инкапсуляция IP-пакета в кадры Ethernet с последовательным тегированием VLAN и Q-in-Q.

 

НОВЫЙ УРОВЕНЬ БЕЗОПАСНОСТИ

Добавление сетевого оборудования L2 с присущими ему уязвимостями может тем не менее повысить общую безопасность сети за счет сегментации отдельных частей сетевой инфраструктуры и изоляции этих сегментов от границы сети. В результате улучшаются все целевые показатели безопасности по сравнению с ситуацией, когда используется обычное ядро IP. С помощью Carrier Ethernet эту сегментацию можно реализовать, не ограничивая повсеместный доступ к информации, который присущ технологии IP. При этом стоимость будет меньше, чем у решения, целиком построенного на базе IP/MPLS.

Итак, маршрутизаторы PE, расположенные на границе сети оператора, соединяют проложенные через нее туннели L2-VPN. Каждому туннелю гарантируется определенная пропускная способность. Оператор может выделять потоки на основе класса сервиса, типа данных, приоритета или любой другой информации. Скажем, трафику VoIP можно назначить туннели с гарантированной пропускной способностью и отделить его от трафика видео и данных. Хотя такая архитектура не защищает конфиденциальный трафик от атаки на уровне самой L2-VPN, она изолирует его от намного более вероятной опасности, связанной с нарушениями в передаче других потоков трафика.

Усовершенствование в части безопасности определяется двумя моментами. Первый наиболее наглядно демонстрирует анализ последовательной упаковки кадра (см. Рисунок 2). На каждом шаге к пакету добавляется новый служебный заголовок, при этом предыдущий заголовок становится частью полезной нагрузки. Разумное применение шифрования (как показывают стрелки на Рисунке 2) полностью скрывает от ядра сети пользовательские данные и информацию о маршрутизации. Вторым моментом, улучшающим безопасность, является то, что все это можно реализовать еще на границе сети заказчика. Когда же поток данных выходит из-под его физического контроля, он оказывается полностью скрытым.

Сети L2-VPN и L3-VPN имеют схожие уязвимости, но с одним исключением: L2-VPN не подвержены атакам типа DDoS, нацеленным на маршрутизатор, или порче таблиц маршрутизации. Выгода использования Carrier Ethernet состоит в том, что, ограничивая туннели L2-VPN ядром сети, их можно сделать невидимыми для границ сети. При соотнесении Ethernet-устройства агрегирования с MAC-адресом маршрутизатора PE инфраструктуру L2 можно скомбинировать с маршрутизацией (L3) и получить более защищенную сеть, чем при раздельном использовании любой из этих технологий.

Добавление шифрования еще более изолирует туннели L2-VPN и дает ряд преимуществ. Прежде всего, если данные являются критичными и требуют двойного шифрования, шифрование на втором уровне оказывается наиболее экономичным способом выполнения данного требования. Однако основная причина шифрования на втором уровне — это криптографическая изоляция туннелей L2-VPN. Кроме того, поскольку шифруется весь пакет IP, биты QoS в его заголовке недоступны для анализа злоумышленником.

ИНСАЙДЕРСКИЕ УГРОЗЫ

Возможность злонамеренных (или просто неблагоразумных) действий доверенного инсайдера в сети — один из самых трудных для оператора сети сценариев. Защититься от этого очень сложно. В таком случае самой сильной составляющей стратегии защиты является сегментация сети. Если ограничить доступ любого пользователя только разрешенными ему ресурсами, то масштаб возможного ущерба можно минимизировать. Чем более детальной и соответствующей выполняемым задачам будет «нарезка» доступных пользователю ресурсов, тем сильнее защита. И это еще один пример того, как использовать Carrier Ethernet (с присущей этой технологии возможностью определять гранулярные потоки) для укрепления безопасности сетей.

Способность выявлять угрозы сети и быстро на них реагировать — это ключевая составляющая стратегии защиты сети, особенно в отношении действий инсайдеров. Неотъемлемая часть технологии Carrier Ethernet — мощный набор средств администрирования и обслуживания в процессе эксплуатации (Operations, Administration, and Maintenance, OAM), с помощью которых операторы могут быстро идентифицировать и диагностировать проблемы в сети. Угрозы в сети можно идентифицировать, установив текущие параметры работы сети для описания ее типичного «поведения» и используя инструменты OAM для выявления аномалий.

ВОССТАНОВЛЕНИЕ СЕТИ

Одна из самых серьезных сетевых опасностей, с которыми приходится сталкиваться Министерству обороны США, это прерывание информационных потоков вследствие атак, нацеленных на масштабные искажения таблиц маршрутизации. Из-за сложности этих таблиц и высокой нагрузки на сеть такая атака с большой вероятностью может привести при их восстановлении к длительным перебоям в работе, которые могут продолжаться часы и даже дни. Коммутируемое ядро L2 дает ряд преимуществ. Во-первых, высока вероятность, что единичная векторная атака не повлияет на уровень коммутации и сетевые пути в ядре сохранятся. Даже если информация в устройствах второго уровня будет искажена, восстановление L2-маршрутов в сети Carrier Ethernet пройдет очень быстро. В любом случае нет никакой необходимости заново распознавать топологию сети со всей связанной с ней нагрузкой на сетевые ресурсы. Останется только восстановить таблицы маршрутизации для граничных сетевых сегментов. Соответственно, каждая такая таблица будет компактнее и восстановление займет меньше времени.

CARRIER ETHERNET И КОГЕРЕНТНЫЙ ПРИЕМ

Ядро Carrier Ethernet обычно реализуется поверх оптической транспортной системы Optical Transport Network (OTN). Современные системы OTN, функционирующие на высоких скоростях (40G и выше), используют когерентную обработку оптического сигнала. В более старых и медленных сетях применялась технология прямого детектирования, при которой измеряется оптическая мощность входящего сигнала. Когерентный приемник измеряет фактическое электрическое поле, поэтому сохраняется вся информация о фазе, поляризации и интенсивности входящего светового импульса. Эти физические атрибуты можно использовать для определения изменений в маршруте передачи. Данный анализ теоретически пригоден и для создания системы обнаружения вторжений, которая будет не дополнительным механизмом, а частью сети.

ЗАКЛЮЧЕНИЕ

В свое время считалось, что сетевая архитектура на базе ядра IP обеспечивает эффективный и экономичный способ поддержания потоков данных с разным уровнем безопасности. Спустя десятилетие после появления этой концепции непрекращающийся шквал кибератак высветил ряд слабых мест в данном подходе, включая невозможность ограничения масштаба и области распространения атак, риск дополнительного ущерба от атак, влияющих на общую сетевую инфраструктуру, и трудности восстановления сети после атаки.

Использование сетевой архитектуры, где применяется коммутация на втором уровне, устраняет эту слабость. Появление стандартов Carrier Ethernet дало операторам возможность ввести сегментацию и обеспечить повышенную безопасность. Кроме того, благодаря такой архитектуре удается изолировать группы пользователей в зависимости от их уровней авторизации, а также обеспечить защиту соседних VPN. Наконец, использование коммутации L2 существенно повышает надежность в случае серьезного прорыва «фронта» защиты или масштабной катастрофы.

Евгений Савельев — главный инженер поддержки продаж в компании Ciena. С ним можно связаться по адресу: esavelie@ciena.com.