Возможные сценарии приникновения в сеть:

  1. Вброс маркированного трафика из сети клиента
    Нарушитель, находящийся в клиентской сети, может попытаться проникнуть в другую виртуальную частную сеть, передав «своему» PE устройству пакеты, уже содержащие метку. Речь идет о метке, на основании которой пакет направляется в другую VPN. Но как написано в RFC 2547: «Пакеты с метками из не заслуживающих доверия источников не принимаются магистральными маршрутизаторами».
    С точки зрения провайдера, клиентская сеть никогда «не заслуживает доверия», а значит, такие пакеты должны сразу же отбрасываться маршрутизатором РЕ.
    Мы проверили это требование в тестовой среде на базе оборудования Cisco, и маркированные пакеты действительно без каких-либо комментариев и сообщений об отладке были отвергнуты маршрутизатором.
  2. Вброс промаркированного трафика из Internet
    Нарушитель может попытаться отправить на маршрутизатор РЕ промаркированные пакеты из сети Internet, с целью передать их в клиентскую сеть. Для этого ему необходимо узнать или угадать используемые метки и IP-адреса, что вполне возможно. IP-адрес 10.1.1.1, к примеру, встречается в большинстве сетей, а кроме того, зная производителя оборудования, метки довольно легко угадать. Между тем уже имеется инструмент, который служит для автоматического определения используемых в сети меток. Инструмент предназначен только для магистрали и не рассчитан на применение из Internet, и поэтому он не подходит для описанной атаки. Тем не менее его наличие — показатель того, что атаки на MPLS попали в сферу интересов хакеров. В ближайшем будущем наверняка появятся новые средства для автоматического проведения описанных здесь атак.
    Маркированные соответствующим образом пакеты необходимо доставить до атакуемой точки (что маловероятно), а атакуемый маршрутизтор PЕ должен быть достижим из Internet (что зависит от организации конкретной сети провайдера) — только тогда атака будет успешной. Но благодаря тенденции к концентрации все большего количества функций на все меньшем числе многофункциональных устройств, такие условия нельзя полностью исключать. Как уже упоминалось, RFC 2547 предписывает, чтобы пакеты с метками из не заслуживающих доверия источников, к каковым, безусловно, относится Internet, отбрасывались. В том, что это требование выполняется, мы могли убедиться, проведя различные тесты. Однако cоставители книги «Безопасность виртуальных частных сетей MPLS», выпущенной компанией Cisco, утверждают: такая атака на маршрутизаторы может быть успешной при использовании некоторых (старых) версий операционной системы IOS.
  3. Атаки изнутри магистрали
    Если нарушитель контролирует один из узлов магистрали, то у него появляется возможность для проведения целого ряда различных атак. Конечно, прежде всего весь проходящий через этот узел трафик, если он дополнительно не зашифрован, подвергается угрозе считывания. Как правило, такое шифрование обеспечить довольно просто, однако нередко от него отказываются ради экономии и простоты администрирования виртуальной частной сети MPLS, чего не скажешь о VPN на базе IPsec, — как известно, MPLS VPN призваны заменить IPSec VPN.
    При обсуждении безопасности виртуальных частных сетей MPLS магистраль, за эксплуатацию которой отвечает провайдер, принимается как надежная и безопасная, но мы не готовы считать что бы то ни было изначально надежным и безопасным.