2.3 Cách thức che dấu cấu trúc lõi MPLS

Vì lý do bảo mật mà nhà cung cấp dịch vụ SP (Service Provider) cũng như người dùng đầu cuối không muốn topo mạng của họ bị nhòm ngó bởi bên ngoài. Điều này làm cho những cuộc tấn công trở nên khó khăn hơn. Nếu một kẻ tấn công không biết những thông tin về đích đến của anh ta/cô ta là gì thì khó lòng mà tấn công được. Hầu hết những cuộc tấn công DoS diễn ra khi đích đến đã xác định qua địa chỉ IP chẳng hạn.
Một khi địa chỉ IP được biết thì nguy bị tấn sẽ tăng lên nhất là tấn công DoS. Vì vậy một ý tưởng đưa ra là tiết lộ bất kỳ thông tin về mạng nội (internal network) ra bên ngoài cho dù đó là VPN khách hàng. Trong thực tế, để đảm bảo mức độ an toàn thì phải kết hợp với việc lọc gói (packet filtering). [Hình 13] dưới đây cho ta thấy không gian địa chỉ VPN. Không có router P hoặc VPN khác nhình thấy được VPN1


MPLS không hiện những thông tin cần thiết ra bên ngoài, ngay cả những VPN của khách hàng. Địa chỉ mạng lõi có thể được thiết lập thành địa chỉ riêng hoặc công khai. Vì giao tiếp trên các VPN và internet là BGP (Border Gateway Protocol) nên không hiện bất kỳ thông tin nào. Chỉ có những thông tin được yêu cầu trong trường hợp sử dụng giao thức định tuyến giữa PE (Provider Edge) và CE (Customer Edge) là địa chỉ của router PE. Nếu không muốn những thông tin đó được nhìn thấy thì có thể sử dụng định tuyến tĩnh giữa PE và CE. Với khả năng này thì mạng lõi MPLS sẽ được ẩn hoàn toàn.
Trong dịch vụ VPN thông qua hạ tầng internet, thì nhà SP sẽ thông báo mạng của những khách hàng của họ đến SP ngang hàng hoặc ngược dòng (upstream) ra ngoài internet. Do đó để che dấu được mạng phía khách hàng thì phải sử dụng chức năng NAT (Network Address Translation). Thông tin mạng lõi vẫn không được hiện ra bên ngoài ngoại trừ địa chỉ của các router PE ngang hàng.

2.4 Các cách thức tấn công vào mạng MPLS

Theo nguyên lý thì một PE có thể bị tấn công với lưu lượng chuyển tiếp (PE đó không phải là đích đến) hoặc lưu lượng đích (PE đó là đích đến). Lưu lượng đến một router gọi là lưu lượng nhận (receive traffic), một cuộc tấn công xảy ra khi lưu nhận vào vượt mức xử lý của router hoặc chiếm giữa một kênh truyền thông để kiểm soát router.
Đối với lưu lượng chuyển tiếp không phải là một vấn đề lớn vì phần lớn các router hiện nay điều sử dụng kỹ thuật chuyển tiếp lưu lượng nhanh (Forward Traffic Fast). Còn đối với những gói là đích đến thì ta sử dụng cơ chế lọc gói (filter packet) để chống lại các cuộc tấn công DoS và Intrusion.
- DoS: một kẻ tấn công cố gắng làm tiêu tốn tất cả các nguồn tài nguyên của router PE. Ví dụ, kẻ tấn công gởi quá nhiều gói đến cập nhật định tuyến đến router, làm tiêu tốn tài nguyên bộ nhớ và CPU.
- Intrusion: kẻ tấn nổ lực chiếm giữ một kênh hợp pháp để cấu hình router PE. Ví dụ, tấn công yêu cầu mật khẩu để kiểm soát việc telnet, cổng SSH, SNMP (dùng để quản trị mạng).
Tất cả các nguy cơ tấn công có thể được kiểm soát tốt bằng cách cấu hình phù hợp. Khuyến nghị khóa tất cả các truy cập trên các giao diện có đích đến là PE bằng ACL (Access Control List), nếu tuyến nào được yêu cầu thì mở port đó ra. Một kẻ tấn công chỉ có thể tấn công bằng giao thức định tuyến.
Như vậy câu hỏi đặt ra là có thể tấn công vào những điểm nào trên mạng ? câu trả lời sẽ được giải đáp ngay sau đây.
Như ở phần trước, các VPN được tách biệt với nhau (tách biệt về không gian địa chỉ và lưu lượng) và tách biệt với lõi MPLS. Phần này chỉ ra những điểm có thể bị tấn công trên mạng MPLS. [Hình 14] minh họa chỉ có điểm duy nhất có thể bị tấn công là điểm giao tiếp giữa phía khách hàng và mạng lõi MPLS hay nói đúng hơn là nơi mà VPN có thể nhìn thấy mạng lõi và gởi gói đến một thiết bị mạng lõi: ở đây là router PE bởi vì giao tiếp giữa CE và PE phụ thuộc vào VPN. Do đó chỉ có một điểm có thể tấn công đó là các giao tiếp PE kết nối đến CE của VPN. Trong [Hình 14], VPN1 chỉ có thể nhìn thấy giao diện (interface) của PE – điểm kết nối trực tiếp với router CE.


Lưu ý rằng một router CE có thể là không tin cậy, ngay cả khi nó được quản lý bởi nhà cung cấp SP (Sevice Provider) vì nó là thiết bị không được bên ngoài nhìn thấy. Như vậy qua cái nhìn tổng quát về những lỗ hỏng của mạng MPLS, thì điều kiện tiên quyết để bảo vệ mạng đó bảo vệ từ môi trường vật lý (bảo vệ không cho thâm nhập vào các thiết bị vật lý bất hợp pháp).

2.5 Chống lại các cuộc tấn công

Mạng lõi có thể bị tấn bằng 2 cách sau:
- Tấn công trực tiếp vào các router PE
- Tấn công vào cơ chế báo hiệu của MPLS
Để tấn công vào những thành phần mạng MPLS, điều quan trọng đầu tiên là phải biết địa chỉ IP của nó. Theo như phần che dấu cấu trúc mạng lõi MPLS thì địa chỉ IP của bất kỳ router nào trong mạng lõi sẽ không được tiết lộ ra ngoài. Nếu kẻ tấn công muốn biết được địa chỉ thì gởi yêu cầu đến mạng lõi. Tuy nhiên, MPLS sử dụng cơ chế tách biệt địa chỉ nến mỗi gói đến sẽ được xử lý phụ thuộc vào không gian địa chỉ của khách hàng. Cơ chế này chỉ có một ngoại lệ trên những giao diện ngang hàng của router PE.
Định tuyến giữa VPN và lõi MPLS có thể được cấu hình theo 2 cách như sau:
• Tĩnh (static): trong trường hợp này thì router PE được cấu hình với những tuyến tĩnh đến mỗi mạng phía bên của khách hàng (mạng trong nối với router CE), còn CE được cấu hình tĩnh đối với bất kỳ mạng nào ngoài VPN (hầu hết là tuyến mặc định).
• Động (dynamic): sử dụng giao thức định tuyến (ví dụ RIP, OSPF) để trao đổi những thông tin định tuyến giữa CE và PE.
Trong trường hợp định tuyến tĩnh từ router CE đến router PE, thì router CE không cần biết bất kỳ địa chỉ nào trong mạng lõi, ngay cả địa chỉ của router PE. Điều này sẽ bất lợi thay đổi cấu hình khi mạng thay đổi, nhưng theo quan điểm bảo mật thì đây là phương pháp thích hợp.
Trong trường hợp còn lại thì router CE cần biết ít nhất là địa chỉ của router PE ngang hàng (địa chỉ trên interface của PE kết nối trực tiếp với CE) trong mạng lõi. Dẫn đến tiềm ẩn nhiều nguy cơ bị tấn công. Trong thực tế, việc truy cập đến router PE qua giao diện CE/PE có thể bị giới hạn bằng cách sử dụng ACLs (Access Control Lists). Đây sẽ giới hạn điểm tấn đến một giao thức định tuyến, ví dụ BGP.
Để giới hạn những rủi ro thì điều cần thiết là cấu hình các giao thức định tuyến trên router PE một cách an toàn. Việc này có thể được làm theo những cách khác nhau:
• Dùng ACL, chỉ cho phép giao thực định tuyến từ router CE, mới có thể trao đổi những thông tin định tuyến với PE thông qua việc thiết lập chính sách inbound ACL trên mỗi giao diện CE.
• Sử dụng những giao thức xác thực như MD5 song song với các giao thức định tuyến như BGP, OSPF, RIP2,… Yêu cầu này đỏi hỏi nhà cung cấp và khách hàng thỏa thuận chia sẽ khóa bí mật giữa tất cả các CE và PE router. Đây sẽ là tiền đề để thiết lập VPN để đảm bảo mức độ bảo mật cao nhất.
• Cấu hình những tham số định tuyến trong giao thức định phải đảm bảo hiệu suất và bảo mật cao. Ví dụ trong giao thức BGP, có thể cấu hình damping – giới hạn số tương tác định tuyến, số tuyến cực đại được chấp nhận trên VRF,…

2.6 Vấn đề giả nhãn

Trong mạng MPLS, các gói không được chuyển tiếp dựa trên địa chỉ IP đích đến, mà nó dựa trên nhãn được thực hiện từ router PE. Tương tự như những tấn công giả địa chỉ IP - những kẻ tấn công sẽ thay đổi địa chỉ IP của nguồn hoặc đích, thì trong MPLS những kẻ tấn công sẽ giả nhãn của gói MPLS. Phần này sẽ nhấn mạnh việc có thể chèn nhãn vào gói trên mạng MPLS từ bên ngoài hay không, từ một VPN khách hàng hoặc từ internet.
Theo nguyên lý thì giao tiếp giữa bất kỳ router CE nào và router PE ngang hàng là giao tiếp IP truyền thống. Router CE không quan tâm đến mạng lõi MPLS, nó cứ việc gởi những gói IP từ phía khách hàng đến router PE. Tại router PE sẽ xem xét những thông tin cần thiết và gán nhãn vào gói tin này. Với lý do này mà router PE sẽ không bao giờ chấp nhận những gói từ router CE mà nó đã được gán nhãn. Chính vì vậy mà không thể chèn nhãn giả vào gói trước khi nó đi vào mạng lõi MPLS. Mặc dù nhãn không thể giả được nhưng địa chỉ IP vẫn có thể giả được trước khi gởi gói tin đến mạng lõi. Tuy nhiên do có sự tách biệt về không gian địa chỉ trên router PE, và mỗi VPN có VRF riêng, nên việc tấn công giả mạo gói gốc xảy ra khi mà khách hàng có chủ định muốn tấn công vào chính VPN của anh/cô ta.

2.7 Lựa chọn lõi bảo mật MPLS

Phần này sẽ khuyến nghị phương thức chọn/cấu hình mạng lõi MPLS sao cho bảo mật nhất.
• Thiết bị tin cậy (trusted device) – các thiết bị như router PE, P, hay những server truy cập từ xa nên thực thi theo phương thức AAA (Authentication, Authorization, Accounting) để đáp ứng được như là một hệ thống tin cậy. Để có một cơ chế bảo mật mạnh thì phải bắt đầu từ việc xây dựng chính sách bảo mật ở cấp độ vật lý cho tốt.
• Giao tiếp giữa route CE và PE: giao tiếp này nên được cấu hình đóng (không hiện những thông tin cần thiết ra bên ngoài như địa chỉ IP) cách tốt nhất là ta nên cấu hình tĩnh.
Cách tốt nhất để ẩn hoàn toàn thông tin của các router PE đến người dùng VPN là dùng không gian địa chỉ không đánh số (địa chỉ liên tiếp) và định tuyến tĩnh giữa PE và CE. Ở đây ACL có thể được sử dụng để áp dụng cho các interface ngang hàng trên PE. [Hình 15] minh họa địa chỉ đánh số.


Sử dụng phương pháp lọc gói như ACL để hỗ trợ khắc phục những điểm yếu khi sử dụng các giao thức định tuyến. Tất cả các lưu lượng đến router và mạng bên trong của nhà cung cấp dịch vụ nên được từ chối, rồi sau đó cấp quyền cho phép những lưu lượng được chỉ định. Kịch bản này nhằm ngăn cản tấn công trên các router PE và P, vì router PE sẽ hủy tất cả cc gĩi trong dải địa chỉ không phù hợp. Chỉ có một ngoại lệ là lưu lượng trên router PE ngang hàng với mục đích định tuyến.
• Xác thực định tuyến: định tuyến dùng cơ chế báo hiệu giữa các CE và PE. Những giao thức định tuyến là đích nhắm của những kẻ tấn công. Do đó những thông tin định tuyến cần được bảo vệ. Để đạt được mục đích này thì tất cả cc giao thức phải được cấu hình với ty chọn xc thực ph hợp hướng về phí CE và về bất kỳ kết nối internet nào. Tất cả các giao tiếp ngang hàng trong mạng cần được bảo vệ: CE – PE (xc thực BGP – MD5), PE – P (xc thực LDP – MD5). Thiết lập này sẽ ngăn cản những kẻ tấn cơng giả nhn để xâm nhập vào mạng bất hợp pháp.
• Tch biệt cc lin kết CE – PE: nếu nhiều CE chia sẽ hạ tầng lớp 2 để truy cập đến router PE (ví dụ VLAN), thì một router CE cĩ thể giả gĩi đến các VPN khác mà VPN đó cũng có cùng kết nối tới router PE. Bảo vệ những giao thức định tuyến ở trên là không đủ, vì việc ny khơng ảnh hưởng đến các gói bình thường. Để tránh vấn đề này, được khuyến nghị nên sử dụng những kết nối tách biệt giữa CE và PE.
• Xác thực LDP: LDP cũng có thể được bảo vệ với xác thực MD5 qua mạng li MPLS.

2.8 So sánh MPLS VPN với các công nghệ lớp 2 truyền thống

Để có cái nhìn tổng quan về các công nghệ VPN lớp 2 truyền thống với MPLS VPN, trước tiên ta xem xét một số đặc điểm chính của MPLS VPN.
Không giống như các mạng VPN truyền thống, các mạng MPLS-VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “labels/tags” để tạo nên tính bảo mật cho mạng VPN.
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàng khi được nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của forwarding table; các quy tắc, các tham số của giao thức định tuyến... Mỗi site chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của site khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó là thành viên.
Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các IP routing table và CEF table. Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. Đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm.
Ưu điểm đầu tiên của MPLS-VPN là không yêu cầu các thiết bị CPE thông minh. Vì các yêu cầu định tuyến và bảo mật đã được tích hợp trong mạng lõi. Chính vì thế việc bảo dưỡng cũng khá đơn giản, vì chỉ phải làm việc với mạng lõi.
Trễ trong mạng MPLS-VPN là rất thấp, sở dĩ như vậy là do MPLS-VPN không yêu cầu mã hoá dữ liệu vì đường đi của VPN là đường riêng, được định tuyến bởi mạng lõi, nên bên ngoài không có khả năng thâm nhập và ăn cắp dữ liệu (điều này giống với FR). Ngoài ra việc định tuyến trong MPLS chỉ làm việc ở lớp 2,5 chứ không phải lớp 3 vì thế giảm được một thời gian trễ đáng kể. Các thiết bị định tuyến trong MPLS là các Switch router định tuyến bằng phần cứng, vì vậy tốc độ cao hơn phần mềm như ở các router khác.
Việc tạo Full mesh là hoàn toàn đơn giản vì việc tới các site chỉ cần dựa theo địa chỉ được cấu hình sẵn trong bảng định tuyến chuyển tiếp VPN (VEF).
[Bảng 2] so sánh cụ thể giữa các công nghệ VPN

Anh ơi cho em xin mấy cái hình vẽ với em đang làm đồ án rất cần bài viết của anh , cám ơn anh rất nhiều .

anh có thể cho em xin tìa liệu về vấn đề này được k anh? em cũng đang làm đồ án về cái này mà tìm tài liệu k có bao nhiêu! nếu được anh gửi mail giúp em hieu0991@gmail.com