Tìm hiểu về dịch vụ vpn lớp ba chạy trên nền mpls
MỤC LỤC MỤC LỤC .3 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT TRONG ĐỒ ÁN .4 DANH MỤC CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN MỞ ĐẦU 10 12 12 Chương 13 1.1 Giới thiệu chuyển mạch nhãn đa giao thức 13 1.1.1 Cấu trúc nhãn MPLS .15 1.1.2 Ngăn xếp nhãn (Label Stack) 15 1.1.3 Bộ định tuyến chuyển mạch nhãn (LSR-Lable Switch Router) .16 1.1.4 Lớp chuyển tiếp tương đương (FEC-Forward Equivalence Class) .17 1.1.5 Cơ sở thông tin nhãn (LIB-Label Information Base) .17 1.1.6 Cơ sở thông tin chuyển tiếp nhãn (LFIB- Label Forwarding Information Base) 18 1.1.7 Tuyến chuyển mạch nhãn (LSP - Lable Switching Path) .18 1.2 Hoạt động MPLS 18 1.2.1 Phân phối nhãn 18 1.2.2 Tải MPLS (MPLS Payload) .19 1.3 Các phương thức chuyển tiếp nhãn .19 1.3.1 Các hoạt động .19 1.3.2 Tra cứu IP nhãn 20 1.4 Một số hoạt động khác 24 1.4.1 Phân tải cho gói tin nhãn 24 1.4.2 Nhãn không xác định (Null label) 25 1.5 Giao thức phân phối nhãn .27 1.5.1 Sơ lược LDP .27 1.5.2 Cơ chế hoạt động LDP 29 1.5.2.1 Tìm kiếm LSR chạy giao thức LDP 29 1.5.2.2 LDP ID 31 1.5.2.3 Thiết lập LDP ID 31 1.5.2.4 Phiên LDP 33 1.5.2.5 Quảng bá đồ nhãn 34 Hình 1.16 LSR upstream LSR downstream 35 Chương 38 TÌM HIỂU VỀ MẠNG MPLS VPN .38 2.1 Hạn chế mạng VPN truyền thống 38 2.2 MPLS VPN 42 2.2.2 Route Distinguisher (RD) 44 2.2.3 Route Targets (RT) 46 2.2.4 Address Families .50 2.3 Hoạt động mặt phẳng điều khiển MPLS VPN .51 2.4 Hoạt động mặt phẳng liệu 54 2.5 Hoạt động MPLS/ VPN 55 2.5.1 Quá trình trao đổi thông tin định tuyến MPLS VPN 55 2.5.2 Quá trình gửi tin định tuyến VPN 56 2.6 Ưu điểm MPLS VPN 59 Chương 61 VẤN ĐỀ BẢO MẬT TRONG MẠNG MPLS VPN 61 3.1 Tổng quan bảo mật MPLS VPN .61 3.1.1 Tổng quan vấn đề an ninh mạng 61 3.1.2 Mô hình tham chiếu bảo mật mạng MPLS VPN 64 3.2 Các mô hình có nguy bị công .67 3.2.1 Xâm nhập từ bên VPN 69 3.2.2 Tấn công từ chối dịch vụ VPN 71 3.2.3 Các mối đe dọa chống lại site Extranet 72 3.2.4 Các mối đe dọa chống lại mạng lõi 73 3.2.4.1 Xâm nhâp .74 3.2.4.2 Tấn công từ chối dịch vụ (DoS) 75 3.2.4.3 Mối đe dọa đến từ bên mạng lõi 75 3.3 Một vài khuyến nghị bảo mật 77 3.3.1 Bảo mật Router 77 3.3.2 Sử dụng IPSec mã hóa liệu đường truyền 78 3.3.3 Vị trí triển khai IPSec mạng 79 3.3.4 CE-CE IPSec 80 3.3.5 PE-PE IPSec 81 KẾT LUẬN 84 TÀI LIỆU THAM KHẢO .85 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT TRONG ĐỒ ÁN Từ viết tắt ACL AES Từ đầy đủ Chú giải tiếng Việt Access Control List Danh sách điều khiển truy cập Advanced Encryption Chuẩn mã hóa cấp cao Standard AH Authentication Header Tiêu đề xác thực AS Autonomous System Hệ thống tự trị Asynchronous Transfer Cơ chế truyền tải không đồng Mode ATM Giao thức định tuyến cổng BGP Border Gateway Protocol CE Customer Edge DES Data Encryption Standard Chuẩn mã hóa liệu Data Link Connection Nhận dạng kết nối lớp kênh Identifier liệu External Gateway Protocol Giao thức định tuyến liên miền DLCI EGP FEC FR GRE miền Thiết bị biên mạng người dùng Forwarding Equivalence Class Lớp chuyển tiếp tương đương Frame Relay Chuyển mạch khung Generic Routing Giao thức đóng gói định tuyến Encapsulation chung High-level Data Link Điều khiển liên kết liệu Control mức cao ID Identifier Nhận dạng IGP Interior Gateway Protocol IKE Internet Key Exchange Giao thức trao đổi khóa IP Internet Protocol Giao thức Internet IPSec Internet Protocol Security Giao thức an ninh Internet ISP Internet Service Provider Nhà cung cấp dịch vụ Internet L2F Layer hai Forwarding Giao thức chuyển tiếp lớp HDLC L2TP Layer hai Tunneling Giao thức định tuyến miền Giao thức đường hầm lớp Protocol LAN Local Area Network Mạng cục LDP Label Distribution Protocol Giao thức phân bổ nhãn LER Label Edge Router Bộ định tuyến chuyển mạch nhãn biên Label Forwarding Cơ sở thông tin chuyển tiếp Information Base nhãn LIB Label Information Base Cơ sở thông tin nhãn LSP Label Switching Path Đường chuyển mạch nhãn LSR Label Switching Router MD Multicast Domain Miền đa điểm MultiProtocol Label Chuyển mạch nhãn đa giao Switching thức LFIB MPLS Bộ định tuyến chuyển mạch nhãn NOC Network Operations Center Trung tâm vận hành mạng OSPF Open Shortest Path First PE Provider Edge Giao thức đường ngắn Thiết bị biên mạng nhà cung cấp Point to Point Tunneling Giao thức đường hầm điểm tới Protocol điểm PVC Permanent Virtual Circuit Kênh ảo cố định QoS Quality of Service Chất lượng dịch vụ RD Route Distinguisher Thuộc tính phân biệt tuyến Resource Reservation Giao thức dành trước tài Protocol nguyên RT Route Target Thuộc tính tuyến đích SP Service Provider Nhà cung cấp dịch vụ Transmission Control Giao thức điều khiển truyền Protocol dẫn TDP Tag Distribution Protocol Giao thức phân phối thẻ UDP User Datagram Protocol Giao thức lược đồ liệu VC Virtual Circuit Kênh ảo VCI Virtual Circuit Identifier Nhận dạng kênh ảo VP Virtual Path Đường ảo VPI Virtual Path Identifier Nhận dạng đường ảo PPP RSVP TCP VPLS VPN Virtual Private LAN Dịch vụ LAN riêng ảo Service Virtual Private Network Mạng riêng ảo VR VRF WAN Virtual Router Bộ định tuyến ảo VPN Routing and Bảng định tuyến chuyển Forwarding tiếp VPN Wide Area Network Mạng diện rộng DANH MỤC CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN MỤC LỤC .3 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT TRONG ĐỒ ÁN .4 DANH MỤC CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN MỞ ĐẦU 10 12 12 Chương 13 1.1 Giới thiệu chuyển mạch nhãn đa giao thức 13 1.1.1 Cấu trúc nhãn MPLS .15 1.1.2 Ngăn xếp nhãn (Label Stack) 15 1.1.3 Bộ định tuyến chuyển mạch nhãn (LSR-Lable Switch Router) .16 1.1.4 Lớp chuyển tiếp tương đương (FEC-Forward Equivalence Class) .17 1.1.5 Cơ sở thông tin nhãn (LIB-Label Information Base) .17 1.1.6 Cơ sở thông tin chuyển tiếp nhãn (LFIB- Label Forwarding Information Base) 18 1.1.7 Tuyến chuyển mạch nhãn (LSP - Lable Switching Path) .18 1.2 Hoạt động MPLS 18 1.2.1 Phân phối nhãn 18 1.2.2 Tải MPLS (MPLS Payload) .19 1.3 Các phương thức chuyển tiếp nhãn .19 1.3.1 Các hoạt động .19 1.3.2 Tra cứu IP nhãn 20 1.4 Một số hoạt động khác 24 1.4.1 Phân tải cho gói tin nhãn 24 1.4.2 Nhãn không xác định (Null label) 25 1.5 Giao thức phân phối nhãn .27 1.5.1 Sơ lược LDP .27 1.5.2 Cơ chế hoạt động LDP 29 Hình 1.16 LSR upstream LSR downstream 35 Chương 38 TÌM HIỂU VỀ MẠNG MPLS VPN .38 2.1 Hạn chế mạng VPN truyền thống 38 2.2 MPLS VPN 42 2.2.2 Route Distinguisher (RD) 44 2.2.3 Route Targets (RT) 46 2.2.4 Address Families .50 2.3 Hoạt động mặt phẳng điều khiển MPLS VPN .51 2.4 Hoạt động mặt phẳng liệu 54 2.5 Hoạt động MPLS/ VPN 55 2.5.1 Quá trình trao đổi thông tin định tuyến MPLS VPN 55 2.5.2 Quá trình gửi tin định tuyến VPN 56 2.6 Ưu điểm MPLS VPN 59 Chương 61 VẤN ĐỀ BẢO MẬT TRONG MẠNG MPLS VPN 61 3.1 Tổng quan bảo mật MPLS VPN .61 3.1.1 Tổng quan vấn đề an ninh mạng 61 3.1.2 Mô hình tham chiếu bảo mật mạng MPLS VPN 64 3.2 Các mô hình có nguy bị công .67 3.2.1 Xâm nhập từ bên VPN 69 3.2.2 Tấn công từ chối dịch vụ VPN 71 3.2.3 Các mối đe dọa chống lại site Extranet 72 3.2.4 Các mối đe dọa chống lại mạng lõi 73 3.3 Một vài khuyến nghị bảo mật 77 3.3.1 Bảo mật Router 77 3.3.2 Sử dụng IPSec mã hóa liệu đường truyền 78 3.3.3 Vị trí triển khai IPSec mạng 79 3.3.4 CE-CE IPSec 80 3.3.5 PE-PE IPSec 81 KẾT LUẬN 84 TÀI LIỆU THAM KHẢO .85 MỞ ĐẦU Nhiều năm trở lại đây, công nghệ có bước phát triển lớn Đi đôi với việc áp dụng thành tựu khoa học vào lĩnh vực mang lại cho doanh nghiệp nhiều lợi nhuận vấn đề an ninh mạng điều mà tổ chức doanh nghiệp quan tâm Trong nhiều trường hợp vấn đề bảo vệ liệu mang tính sống doanh nghiệp Việc trao đổi liệu doanh nghiệp diễn liên tục với hạ tầng mạng cũ khả liệu quan bị đánh cắp lớn Đứng trước nhu cầu cấp thiết đó, công nghệ triển khai cho phép chi nhánh doanh nghiệp khắp nơi trao đổi thông tin với môi trường có tính bảo mật cao Đó 10 phạm vi đồ án đưa khả không sâu vào việc cách thức bị công hay biện pháp khắc phục 3.2.2 Tấn công từ chối dịch vụ VPN Một nguy có khả VPN bị công từ bên từ chối dịch vụ Như biết, công từ VPN khác, mạng lõi hay Internet Tuy nhiên chìa khóa khác biệt xâm nhập từ chối dịch vụ là: xâm nhập cho phép tất dòng lưu lượng truy cập vào từ chối lại ngăn chặn tất truy cập thành viên Để xâm nhập, hacker phải đưa gói tin điều khiển vào vùng tin cậy VPN, , VPN bảo vệ từ biên mạng giảm thiểu khả bị xâm nhập nhiều Hành động có nghĩa đảm bảo điểm đột nhập điều khiển điểm xâm nhập ẩn Mô hình đe dọa công từ chối dịch vụ nhằm chống lại VPN khác Tuy nhiên, site VPN nhận công từ chối dịch vụ từ sở hạ tầng mạng họ (nghĩa mục tiêu phần VPN điều khiển người dùng VPN) Nhưng ta biết, trái ngược với xâm nhập, công từ chối dịch vụ gây ảnh hưởng gián tiếp đến người dùng VPN Đặt trường hợp định tuyến PE bị công từ chối dịch vụ, điều ảnh hưởng đến kết nối VPN qua định tuyến PE đó, công từ chối dịch vụ trực tiếp chống lại VPN Kết làm giảm khả kết nối site VPN 71 Hình 3.8 Các điểm công DoS Về nguyên tắc, thành phần mạng chia sẻ đặt công từ chối dịch vụ ảnh hưởng đến VPN Hình 3.8 cho thấy công từ chối dịch vụ đến điểm từ VPN điểm hạ tầng mạng chia sẻ Điều nghĩa áp dụng thiết bị lõi PE, P hay đường lõi truy cập chia sẻ (như truy cập từ site mạng Extranet hay Internet) 3.2.3 Các mối đe dọa chống lại site Extranet Có nhiều định nghĩa nói mạng Extranet, nhiên hiểu cách chung Extranet, VPN khác kết nối chia sẻ thông tin với Trong MPLS VPN có hai đường để triển khai Extranet là: • Tích hợp Intranet Extranet: Các site VPN khác trao đổi trực tiếp với thông qua giá trị RT cấu hình định tuyến PE Trong trường hợp Extranet bao gồm tất site có VPN • Dịch vụ trung tâm: Trong mô hình này, site Extranet riêng thiết lập nhằm mục đích điều khiển tất kết nối từ VPN RT định tuyến PE định nghĩa giao tiếp site đưa vào site Extranet 72 Trên góc nhìn vấn đề an ninh mạng hai mô hình Cả hai mô hình cho thấy với site VPN liên lạc với điều đồng nghĩa với việc lưu lượng chuyển tiếp site hoàn toàn tự Cho dù liên lạc hai site hay khác VPN kỹ thuật cấu hình Điều có nghĩa qua điểm bảo mật việc triển khai sách bảo mật VPN site Extranet kiểm soát phải thực công nghệ bảo mật tưởng lửa Tuy nhiên, triển khai hoàn toàn độc lập với sở hạ tầng MPLS Do mối đe dọa đến từ site Extranet tương đương với mối đe dọa đến từ site VPN 3.2.4 Các mối đe dọa chống lại mạng lõi Có nhiều lựa chọn khác cho việc xây dựng kiến trúc mạng lõi MPLS Nó hệ thống tự trị Autonomous System (AS) với dạng mạng lõi đồng quản trị người hay tổ chức loạt AS liên kết với Tất kiến trúc đa AS phổ biến thân mạng lõi chia thành vùng tin cậy khác Trong tất trường hợp mối đe dọa không đến từ VPN hay Internet mà đến từ hướng mới: thành phần mạng lõi, đa số trường hợp đặt điều khiển nhà cung cấp dịch vụ khác Các trung tâm vận hành mạng nhà cung cấp dịch vụ NOC (Network Operations Center) xem hành phần logic lõi Trong trường hợp nhạy cảm cần bảo vệ tốt bảo vệ lõi coi vùng tin tưởng với lõi Vì NOC đưa vào phần riêng mô hình đe dọa mạng lõi Trong mục bàn mô hình đe dọa loại kiến trúc lõi, nhìn thấy mạng lõi Xét cấu trúc Monolithic Core Monolithich core chuẩn kiến trúc MPLS VPN định nghĩa RFC 2547, “BGP/MPLS VPNs” 73 Một đơn vùng AS cấu tạo nên mạng lõi, tất site VPN kết nối đến đơn vùng AS Các nguy đến với mô hình là: 3.2.4.1 Xâm nhâp Có thể đến từ bên Xâm nhập nhắm đến mục tiêu định tuyến Với mục tiêu kỹ thuật mối đe dọa việc bảo vệ chống lại so sánh với mạng lõi Internet bình thường Tuy nhiên việc công xảy ra, rủi ro kinh doanh cao trường hợp mạng MPLS VPN an ninh VPN phụ thuộc nhiều vào hoạt động mạng lõi, phần lớn site kết nối Internet không nhờ vào bảo mật nhà cung cấp dịch vụ mạng Một mạng lõi MPLS mà kết nối vào Internet tự nhiên thân giảm công đến từ Internet Tuy nhiên gần điều không thể, ta biết, khách hàng VPN hoàn toàn kết nối Internet mạng riêng họ, cách không trực tiếp hoàn toàn công mạng lõi đường thông qua VPN, dù khó nghĩa Các định tuyễn lõi MPLS bị truy cập từ VPN hay Internet Chỉ số trường hợp ngoại lệ giao thức mà PE sử dụng để liên lạc với bên ngoài, cổng tương ứng giao thức PE phải cho phép gói tin qua Điều quan trọng phải giảm thiểu cách tối đa giao thức giao tiếp với bên giao thức phải đảm bảo an toàn Xâm nhập đưa NOC thiết bị NOC vào mục tiêu chúng Đó máy chủ AAA, TFTP FTP hay trạm quản lý Rủi ro liên kết tương đối cao mạng lõi lẫn kết nối VPN Giả sử có cố tình làm thay đổi cấu hình định tuyến PE làm cho site bên kết nối đến mục tiêu VPN 74 3.2.4.2 Tấn công từ chối dịch vụ (DoS) Các mối đe dọa công DoS chống lại mạng lõi công nghệ tương đương với việc công vào mạng IP thông thường Các khách hàng VPN hoàn toàn đề nghị mức hợp đồng với độ đảm bảo an toàn cao mạng IP thông thường Giải pháp chống lại công DoS thiết kế mạng lõi thích hợp: Các định tuyến dây phải thật xác, điều có nghĩa công từ VPN, tải đến với kích cỡ gói tin cho phép, định tuyến PE phải xử lý kiểm tra tất lưu lượng Trong trường hợp lưu lượng đến mức xử lý phải có biện pháp phù hợp với mức độ dịch vụ để đảm bảo chất lượng dịch vụ theo thỏa thuận cho khách hàng 3.2.4.3 Mối đe dọa đến từ bên mạng lõi Đây thực mối đe dọa đáng phải quan tâm Mối đe dọa đến từ lỗi phát sinh hay lỗi cấu hình cố tình tạo từ thân nhân viên nhà cung cấp dịch vụ Các mối đe dọa có liên quan đến mạng lõi VPN lỗi cấu hình có ảnh hưởng trực tiếp đến an ninh VPN Một lỗi cấu hình đơn giản cấu hình sai RT dẫn đến hậu nghiêm trọng vấn đề bảo mật Đơn giản tất site VPN ngân hàng nhận RT nhập xuất từ định tuyến mà có chèn thêm VRF khác, tất site chứa VRF trở thành thành viên VPN thuộc ngân hàng Và việc thực vấn đề nghiêm trọng ta biết VPN, khả kiểm soát VPN kẻ xâm nhập lớn toàn lưu lượng phép cho qua Để làm rõ vấn đề ta lấy ví dụ điển hình 3.9 3.10 75 Hình 3.9 Thông tin cấu hình Hình 3.10 Thông tin cấu hình sai 76 Như ta thấy với lỗi cấu hình đơn giản site VPN ngân hàng B toàn quyền truy cập vào VPN ngân hàng A Lúc này, không gian địa hai ngân hàng hợp gây lỗi trùng lặp địa Tuy nhiên với tượng quản trị viên hai ngân hàng đủ khả thay đổi dải địa để không xảy tượng Như mối nguy hiểm ngân hàng A thực hữu Các site bên hoàn toàn xâm nhập vào VPN ngân hàng A mà họ hoàn toàn kết nối hoạt động bình thường dấu hiệu cho thấy xẩy lỗi Đối với site ngân hàng B nhanh chóng phát kết nối đến trang liệu ngân hàng B thực được, thay lại trỏ đến ngân hàng A Như vậy, đường từ site ngân hàng B hoàn toàn thông suốt với ngân hàng A loại virus, sâu hay ứng dụng kết nối ngang hàng tự lưu thông hai VPN Như thấy lỗi cố tình đến từ nhân viên nhà cung cấp dịch vụ thực nguy hiểm khó phát việc thay đổi dải địa để tránh trùng lặp đơn giản với người quản trị Luôn tiềm ẩn khả cấu hình lỗi điều tác động lớn đến an ninh cho VPN số khó phát Trong trường hợp phải lưu ý điều tất giải pháp ngăn chặn có (từ người thiết kế giải pháp) vấn đề lỗi đến từ người cung cấp giải pháp việc họ có khả điều khiển tường lửa, kiểm tra kiểm soát vấn đề an ninh tất yếu, dẫn đến việc mở thêm vài dịch vụ hay cổng hậu đơn giản 3.3 Một vài khuyến nghị bảo mật 3.3.1 Bảo mật Router Đối với định tuyến, việc truy cập vào để cấu cài đặt sách cần thiết phải bảo mật Nếu để hacker xâm nhập vào thiết bị điều đồng nghĩa với việc 77 kẻ chỉnh sửa cấu hình, tức có toàn quyền hệ thống mạng Do việc liên kết giao tiếp với định tuyến yêu cầu sử dụng hình thức liên kết mang tính bảo mật cao SSH Việc giao tiếp liệu sử dụng giao thức khác đòi hỏi số cổng phải mở Tuy nhiên cổng không bắt buộc nên khóa lại đề phòng đối tượng công sử dụng chúng vào việc xâm nhập hệ thống Thiết lập Access Control List ACL giao diện Với việc sử dụng ACL ta khống chế, quản lý luồng lưu lượng lại qua giao diện Như ta ngăn chặn gói tin sử dụng giao thức không cần thiết, khóa cổng có nguy bị sử dụng với mục đích xấu 3.3.2 Sử dụng IPSec mã hóa liệu đường truyền Giao thức bảo mật IPSec cung cấp tính bảo mật cao cấp thuật toán mã hóa tốt hơn, trình thẩm định quyền đăng nhập toàn diện IPSec hoạt động tốt hai loại mạng VPN VPN truy cập từ xa VPN kết nối point-to-point (Intranet VPN Extranet VPN) Tất nhiên, phải hỗ trợ hai giao diện Tunnel IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề kích thước gói tin, Transport mã hóa kích thước Chỉ hệ thống hỗ trợ giao thức IPSec tận dụng giao thức Ngoài ra, tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống IPSec mã hóa liệu nhiều thiết bị khác Router với Router, PC với Router, PC với máy chủ Firewall với IPSec cung cấp dịch vụ bảo mật cách sử dụng IKE (Internet Key Exchange) để điều khiển thỏa thuận giao thức thuật toán sở sách bảo mật cục để tạo mã hóa khóa xác nhận sử dụng IPSec 78 IPSec hoạt động lớp 3, truyền gói tin IP Trong L2TP hoạt động lớp hai (trong mô hình lớp) nên truyền gói nhiều giao thứ khác IP, IPX NETBEUI Giao thức L2TP hỗ trợ giao thức IPSec để tăng cường tính bảo mật truyền qua mạng Tiếp theo ta tìm hiểu kỹ IPSec IPSec giao thức hoạt động lớp 3, đặt nhóm giao thức công nghệ AH (Authentication Header – AH), ESP (Encapsulating Security Payload), IKE (Internet Key Exchange), DES (Data Encryption Standard), AES (Advanced Encryption Standard) kỹ thuật khác vào hệ thống để đảm bảo cung cấp phương pháp xác thực tin cậy an toàn cho gói tin IP IPSec dùng cho IPv4 IPv6 Là tiêu chuẩn mở, IPSec cho phép hoạt động với thiết bị nhiều nhà sản xuất khác sử dụng với nhiều loại VPN khác Mặc dù IPSec triển khai chủ yếu cho mở rộng WAN môi trường công cộng chia sẻ, nhiên giao thức sử dụng cho việc mã hóa đảm bảo an ninh LAN, mạng Campus chí Intranet VPN Theo IETF RFC 2401, IPSec thiết kế để cung cấp khả hoạt động liên kết, chất lượng cao cho IPv4 IPv6 Các dịch vụ bảo mật bao gồm điều khiển truy cập, tính toàn vẹn không kết nối, xác thực liệu gốc, mã hóa bảo mật luồng liệu 3.3.3 Vị trí triển khai IPSec mạng Đối với mạng MPLS, có hai mô hình triển khai IPSec phổ biến sau: • Triển khai Router CE VPN: Trong trường hợp mạng lõi MPLS không liên quan đến vấn đề bảo mật dịch vụ • Triển khai Router PE mạng lõi MPLS VPN 79 Hình 3.11 Vị trí đặt IPSec 3.3.4 CE-CE IPSec Nếu IPSec sử dụng CE toàn liệu mã hóa, kể lõi hay mạng biên Hình 3.12 IPSec CE Giải pháp IPSec CE đưa với mục đích truyền liệu qua thiết bị không tin cậy Có hai lý cho việc sử dụng mô hình này: • Lưu lượng phải bảo mật chuyển tiếp mạng • Nhà cung cấp dịch vụ MPLS VPN không tin cậy IPSec CE-CE có khả ngăn chặn nguy công: Nghe trộm thông tin vị trí đường kết nối từ CECE 80 Chèn gói tin giả mạo Thay đổi thông tin gói tin Đó khả ngăn chặn nguy cơ bản, IPSec cung cấp khả bảo mật ngầm định sau: Giả mạo CE VPN: Điều xẩy CE sử dụng IPSec phải có chế xác thực tin cậy với Ngăn chặn luồng lưu lượng từ VPN khác (do lỗi cấu hình) Tuy IPSec ngăn chặn công sau: Tấn công DoS từ vùng vào VPN: Vấn đề IPSec đảm bảo tính bảo mật thông tin truyền đi, DoS loại hình công làm tắc nghẽn đường truyền, mô hình không ngăn chặn hay giảm thiểu DoS Nguy từ vùng tin cậy IPSec CE-CE mô hình chuẩn để nâng cao khả bảo mật cho liệu Hiện nay, nhà cung cấp dịch vụ khuyến cáo nên sử dụng mô hình thực tế mô hình triển khai tương đối rộng rãi doanh nghiệp tổ chức Việt Nam Mặc dù đòi hỏi Router CE đầu cuối phải có lực cao, điều đồng nghĩa với việc vấn đề tài đưa phục vụ cho việc đầu tư trì thiết bị phía khách hàng cao Mặc dù vậy, với tính an toàn cao mô hình này, việc đầu tư để bảo vệ liệu doanh nghiệp cần thiết 3.3.5 PE-PE IPSec Kiến trúc bảo mật PE thực dễ dàng triển khai so với IPSec CE 81 Hình 3.13 IPSec PE IPSec áp dụng Router PE cung cấp khả bảo vệ trước mối đe dọa nghe thông tin Router PE P, đặc biệt lõi MPLS định tuyến qua vùng không tin cậy Internet,… Trong mô hình này, đường LSP mạng lõi MPLS thay đường hầm IPSec • Nhãn VPN gắn vào MPLS, IPSec bảo mật cho gói tin IP không dùng cho gói tin nhãn • Gói tin nhãn đóng gói nhờ giao thức GRE (Generic Routing Encapsulation) • Gói tin GRE bảo mật IPSec Hình 3.14 Đóng gói IPSec Giải pháp IPSec PE kết hợp vấn đề an toàn liệu đường truyền qua mạng lõi, vừa cho khả mở rộng mạng không phức tạp thiết bị khách hàng không đòi hỏi cao toàn trình xử lý diễn thiết bị nhà cung cấp dịch vụ Tuy nhiên thực tế với mô hình đòi hỏi hoàn toàn tin cậy nhà cung cấp dịch vụ, đồng thời liệu vùng liên lạc CE-PE hoàn toàn không bảo vệ có khả bị đánh cắp cao Vì thực tế triển khai mô hình này, doanh nghiệp mạo hiểm tiết kiệm chi phí để liệu họ nằm tình trạng bị nghe thời điểm 82 83 KẾT LUẬN Với đồ án này, em trình bày tương đối chi tiết công nghệ chuyển mạch nhãn đa giao thức MPLS ứng dụng quan trọng MPLS việc xây dựng dịch vụ mạng riêng ảo để thấy dịch vụ VPN chạy MPLS hạn chế nhiều nhược điểm mô hình VPN truyền thống Từ em tìm hiểu vấn đề an toàn liệu, mô khuyến nghị để xây dựng hệ thống mạng MPLS/VPN có tính bảo mật cao cho doanh nghiệp, tổ chức… Với ưu điểm bật MPLS, tương lai MPLS công nghệ chuyển mạch thay phương thức chuyển mạch truyền thống Và đặc biệt công nghệ MPLS/VPN đem lại cho nhà cung cấp dịch vụ khách hàng nhiều lợi nhuận Tuy thời gian tìm hiểu không nhiều cho em nhìn rõ công nghệ MPLS nói chung mạng MPLS VPN nói riêng Mặc dù chắn đồ án nhiều hạn chế thời gian kiến thức có hạn Vì em mong nhận bảo, góp ý thầy cô để em hoàn thiện đề tài thời gian tới tìm hiểu sâu công nghệ để đưa giải pháp hoàn thiện Một lần em xin chân thành cảm ơn thầy giáo Nguyễn Đào Trường tất thầy cô giáo trường dạy dỗ em năm năm học qua Em xin chân thành cảm ơn! 84 TÀI LIỆU THAM KHẢO [1] Trần thị Tố Uyên, “Chuyển mạch nhãn đa giao thức” [2] Jim Duichard, Ivan Pepelnjak, “ MPLS and VPN Architecture”, Cisco Press,2000 [3] Luc De Ghein, “MPLS Fundamentals” [4] Cisco System, “Implementing Cisco MPLS VPN” ver 2.1, Cisco Press, 2004 [5] http://www.vnpro.org [6] http://www.cisco.com 85 [...]... những yêu cầu khác nhau về độ an toàn, bảo mật và chất lượng dịch vụ Đồ án Tìm hiểu về dịch vụ VPN lớp ba chạy trên nền MPLS nhằm mục đích tìm hiểu về công nghệ MPLS, cũng như dịch vụ VPN lớp ba được triển khai trên nền tảng MPLS, cuối cùng đưa ra một số mô hình có khả năng bị tấn công và một vài khuyến nghị về bảo mật Đồ án được trình bày qua ba chương: • Chương 1: Tìm hiểu về công nghệ chuyển mạch... lập nên một mạng chuyển mạch nhãn • Chương 2: Tìm hiểu về dịch vụ VPN lớp ba chạy trên nền MPLS, các khái niệm và cách thức hoạt động của dịch vụ VPN, ưu điểm của dịch vụ VPN chạy trên nền công nghệ MPLS • Chương 3: Khái quát các nguy cơ về an ninh mạng, các mô hình có khả năng bị tấn công và một vài khuyến nghị về bảo mật cho khách hàng khi đăng kí dịch vụ VPN để đảm bảo an toàn cao nhất cho dữ liệu.. .dịch vụ mạng riêng ảo (Virtual Private Network - VPN) chạy trên nền công nghệ mới MPLS Mạng riêng ảo VPN là một trong những ứng dụng rất quan trọng trong mạng MPLS Các công ty, doanh nghiệp đặc biệt các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch vụ này Với VPN họ hoàn toàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu nội bộ với chi... 12 Chương 1 TÌM HIỂU CÔNG NGHỆ MPLS 1.1 Giới thiệu chuyển mạch nhãn đa giao thức Chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching MPLS) là một công nghệ kết hợp giữa lợi ích của chuyển mạch gói dựa trên chuyển mạch lớp hai với định tuyến lớp 3 Tương tự như các mạng lớp hai (Frame relay hay Asynchronous Transfer Mode - ATM), MPLS là một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng... Mạng riêng ảo (Virtual Private Network – VPN) … Chuyển tiếp các gói trong MPLS hoàn toàn tương phản với môi trường không kết nối hiện có, nơi mà các gói tin được phân tích trên từng hop một (Router), đấy chính là quá trình kiểm tra tiêu đề lớp 3, và một quyết định forward gói tin được tiến hành dựa trên thuật toán định tuyến ở lớp mạng Cấu trúc của một nút MPLS bao gồm hai mặt thành phần: thành phần chuyển... liệu 13 dựa trên các nhãn đi kèm với gói tin Thành phần điều khiển chịu trách nhiệm tạo và duy trì các thông tin chuyển tiếp nhãn (còn được gọi là bindings) giữa nhóm các chuyển mạch nhãn với nhau Tất cả các nút MPLS phải chạy một hoặc nhiều giao thức định tuyến IP (hoặc dựa trên định tuyến tĩnh) để có thể trao đổi thông tin định tuyến với các nút MPLS khác trên mạng Theo đó, mỗi một nút MPLS (bao gồm... đáy, bit BoS được bật bằng 1, các nhãn ở trên nó có bit BoS = 0 Vị trí của ngăn xếp nhãn: Ngăn xếp nhãn MPLS nằm ở trước header lớp ba và ở sau header lớp hai, được gọi là Shim header (lớp mào đầu chèn giữa) Hình 1.4 Vị trí nhãn MPLS 1.1.3 Bộ định tuyến chuyển mạch nhãn (LSR-Lable Switch Router) Là thiết bị chuyển mạch hay thiết bị định tuyến sử dụng trong mạng MPLS để chuyển các gói tin bằng thủ tục... IP và quyết định chuyển tiếp về mạng đích Mặc dù vậy đối với MPLS VPN, 24 các Router P không lưu trữ bảng định tuyến VPN vì thế đối với gói tin không nhãn chúng không thể tìm kiếm được đích đến Tải MPLS là khung tầng 2, nếu gói tin bị mất nhãn, các Router P cũng không thể xác định được tuyến đích để chuyển tiếp vì bản thân Router P không lưu trữ thông tin về định tuyến lớp 2 Việc sử dụng cân bằng tải... 1.11 Mô hình dùng để tìm hiểu hoạt động của LDP 1.5.2.1 Tìm kiếm các LSR đang chạy giao thức LDP Các LSR chạy LDP sẽ gửi các bản tin hello LDP trên tất cả các đường link đã khởi động LDP Bản tin hello LDP là một loại bản tin được gửi tới tất cả các Router trên cùng một subnet bằng địa chỉ multicast 224.0.0.2 LSR nhận được bản tin này sẽ biết được sự tồn tại của một Router LDP hàng xóm trên interface mà... LFIB và cách tạo ra chúng Để các gói tin chạy trên đường chuyển mạch nhãn LSP trong mạng MPLS, tất cả các LSR phải chạy giao thức phân phối nhãn và trao đổi nhãn với nhau Khi tất cả các LSR đã có nhãn cho các FEC cụ thể , gói tin có thể được chuyển tiếp trên các đường chuyển mạch nhãn (LSP) chạy thông qua các LSR Các hoạt động đối với nhãn (Swap, Pop, Push) trên các LSR đều dựa vào bảng LFIB Bảng LFIB ... độ an toàn, bảo mật chất lượng dịch vụ Đồ án Tìm hiểu dịch vụ VPN lớp ba chạy MPLS nhằm mục đích tìm hiểu công nghệ MPLS, dịch vụ VPN lớp ba triển khai tảng MPLS, cuối đưa số mô hình có khả... mạng chuyển mạch nhãn • Chương 2: Tìm hiểu dịch vụ VPN lớp ba chạy MPLS, khái niệm cách thức hoạt động dịch vụ VPN, ưu điểm dịch vụ VPN chạy công nghệ MPLS • Chương 3: Khái quát nguy an ninh mạng,... để phân phối dịch vụ VPN, chế xử lý thông minh MPLS VPN lúc nằm hoàn toàn phần lõi mạng Hình 2.2 Mạng MPLS VPN Trước tiên, ta xem xét số thuật ngữ dùng mạng MPLS VPN 2.2.1 Bảng VRF (VPN Routing