5.8. Vấn đề bảo mật trong VPN
5.8.4.1. Khoảng địa chỉ và định tuyến riêng biệt
Yêu cầu bảo mật quan trọng nhất của VPN là phải đảm bảo dữ liệu của nó khơng bao giờ đi lệch sang một tuyến VPN khác và ngợc lại. MPLS cho phép các VPN sử dụng một dải địa chỉ IP nh nhau. Do đó, để có thể tách biệt giữa các VPN, ngời ta phải bổ sung thêm tham số phân biệt định tuyến RD 64 bit vào mỗi địa chỉ IPv4 trớc khi chuyển vào mạng lõi. Và để dữ liệu VPN đến đúng địa chỉ cần phải đến, tham số RT đợc sử dụng.
Bên cạnh đó. để ngăn khơng cho kẻ tấn cơng bên ngồi xâm nhập vào VPN thì thờng phải triển khai hệ thống tờng lửa để lọc các lu lợng không hợp lệ.
Chú ý: Các giải pháp trên chỉ thực sự có ý nghĩa khi các PE router đợc cấu hình
chính xác. Nếu cấu hình sai dù là vơ tình hay cố ý thì một site bên ngồi có thể sẽ trở thành một thành viên trong mạng VPN. Và điều đó thực sự rất nguy hiểm cho vấn đề an tồn thơng tin của khách hàng.
Việc bảo vệ VPN khỏi sự xâm nhập từ bên ngồi có thể dễ dàng thực hiện khi cấu hình PE router. Tuy nhiên, để đối phó với DoS thì phức tạp hơn nhiều. Nếu biết đợc địa chỉ IP của thiết bị, hacker có thể tiến hành một cuộc tấn cơng DoS. Vì thế tốt nhất là không tiết lộ bất cứ thông tin nào về mạng nội bộ ra bên ngoài. Việc này cần phải đợc áp dụng cho hệ thống mạng của khách hàng cũng nh lõi nhà cung cấp MPLS. Ngời ta cần phải tính tốn đến việc chống lại DoS ngay từ khi thiết kế mạng VPN, sao cho các tài nguyên chia sẻ không bị quá tải bởi những hacker:
Bố trí các thiết bị phù hợp: mỗi thiết bị trong mạng phải có khả năng
xử lý lợng tải tối đa.
Dự tính băng thơng hợp lý: các đờng truyền trong mạng phải xử lý đợc các trờng hợp “ bùng nổ lu lợng“. Điều này có thể thực hiện đợc bằng 2 cách: dự phịng băng thơng hoặc hỗ trợ QoS (lu lợng đợc phân lớp và những dữ liệu quan trọng đợc phục vụ trớc tiên).
Các giải pháp chống DoS: mỗi một mạng cần phải có một giải pháp
để phát hiện và làm giảm bớt các cuộc tấn cơng DoS. Ví dụ: Cisco Guard. Đồng thời cần phải có các biện pháp ứng cứu khi có sự cố.
Riêng đối với mạng VPN/MPLS, các PE router cần đợc chú ý đặc biệt khi thiết kế mạng: nh đã trình bày ở trên, PE router chính là biên giữa
VPN và mạng lõi. Một hacker ở mạng VPN này muốn tấn công vào mạng lõi hay VPN khác thì phải thơng qua PE. Vì vậy, ngời quản trị cần phải cấu hình PE cẩn thận để đảm bảo mỗi một giao diện của PE chỉ đợc “nhìn thấy” bởi mạng VPN nối trực tiếp với nó. Phơng pháp hay đợc dùng là cấu hình ACL (access control list) cho tất cả các giao diện trên PE, chỉ cho phép các thơng tin định tuyến đi qua, cịn các gói tin đến từ một VPN không nối trực tiếp với giao diện sẽ bị ACL trên giao diện đó loại bỏ.
Trong trờng hợp mạng VPN có kết nối với Internet, sử dụng cơ chế biên dịch địa chỉ mạng NAT có thể đảm bảo che giấu đợc thơng tin địa chỉ mạng của khách hàng.
5.8.4.3. Che giấu cấu trúc lõi
Phần trên chỉ ra rằng không thể nào từ một VPN này xâm nhập vào VPN khác. Cách cịn lại là tấn cơng vào lõi MPLS và từ đây xâm nhập vào VPN mong muốn.
Muốn tấn công vào mạng lõi MPLS, hacker cần phải biết địa chỉ của một P router trong đó. Nhng mạng VPN/MPLS lại có khả năng che giấu cấu trúc lõi của nó trớc ngời dùng. Ngời dùng VPN chỉ biết đợc địa chỉ IP của PE (nối trực tiếp với CE). Các P router hoàn toàn đợc che giấu với bên ngoài. Điều này thực hiện đợc khơng phải nhờ vào ACL mà nhờ chính bản chất của cơng nghệ MPLS. Địa chỉ mà P router sử dụng không thuộc không gian địa chỉ IP thông thờng của mạng VPN. Nên dù địa chỉ của P có bị lộ ra ngồi thì một hacker ở một VPN nào đó cũng khơng thể chiếm quyền sử dụng P đợc.
Cách cịn lại là tấn cơng trực tiếp vào PE router bằng cách liên tục gửi các gói tin IP nhằm làm tràn bộ đệm router. Nhng vấn đề này có thể đợc xử lý bằng cách cấu hình ACL nh trình bày ở trên, loại bỏ tất cả các gói IP từ các mạng khơng nối trực tiếp với giao diện, chỉ cho thông tin định tuyến đi qua.
Vấn đề cuối cùng là hacker sẽ lợi dụng đặc điểm này của ACL để tấn công vào cơ chế thông báo của MPLS. Nh chúng ta đã biết, định tuyến giữa CE – PE có thể cấu hình theo 2 cách:
• Tĩnh: ngời quản trị cấu hình mặc định tuyến CE – PE. Ngời dùng VPN
không đợc biết địa chỉ của PE , nên độ bảo mật của mạng lõi sẽ cao hơn.
• Động: để cung cấp mức độ bảo mật cho môi trờng định tuyến động, giữa
PE và CE cần áp dụng cơ chế xác thực MD5. Cơ chế này sử dụng thuật toán băm để đảm bảo không bị giả mạo địa chỉ.
5.8.4.4. Chống lại sự giả mạo
Trong mạng IP truyền thống, hacker có thể tấn cơng kiểu giả mạo địa chỉ IP nguồn, hoặc đích để chiếm phiên làm việc. Nhng nếu trong mạng VPN/MPLS, một hacker ở VPN A giả mạo địa chỉ của một VPN B thì cũng khơng ảnh hởng gì. Bởi vì MPLS cho phép một VPN sử dụng toàn bộ dải địa chỉ 0.0.0.0 : 255.255.255.255 và mỗi VPN có một bảng định tuyến VRF của riêng nó. Chẳng những vậy mà việc tấn công kiểu này chỉ làm ảnh hởng đến chính VPN A, hay nói cách khác khách hàng VPN tự tấn cơng chính mình.
Vấn đề cịn lại là liệu có thể làm giả nhãn để chiếm phiên làm việc trong mạng lõi hay không? Một hacker ngồi trong một VPN, có thể tạo ra một gói tin dán nhãn một cách thủ cơng và tìm cách chèn gói tin đó vào mạng lõi MPLS để đa tới một mạng VPN khác. Nhng trớc khi vào đợc mạng lõi, gói tin đó phải đi qua
PE. Mà theo nguyên tắc, kết nối giữa PE – CE là một kết nối IP. PE sẽ không bao giờ chấp nhận một gói dữ liệu dán nhãn đi đến từ CE. Do đó một gói tin với nhãn giả nh thế sẽ bị PE huỷ bỏ ngay trớc khi đi vào đợc mạng lõi.
Kết luận:
Với những phân tích nh trên, có thể thấy rõ rằng MPLS VPN đáp ứng đợc những yêu cầu đặt ra của một mạng VPN, đồng thời giải quyết đợc một cách triệt để những hạn chế của VPN truyền thống sử dụng FR, ATM hay đờng hầm IPSec. MPLS là một trong những giải pháp mạng đờng trục cho mạng thế hệ mới, có thể đáp ứng bất cứ loại hình dịch vụ nào: thoại, video, fax, data...Tuy MPLS VPN vẫn đang cịn là một cơng nghệ khá mới mẻ ở Việt Nam, nhng hứa hẹn sẽ là một thị tr- ờng đầy tiềm năng và mang lại nhiều lợi ích cho cả ngời sử dụng lẫn nhà cung cấp dịch vụ viễn thông.
Chơng cuối cùng của đồ án đề cập đến thực tế ứng dụng công nghệ MPLS trong mạng thế hệ mới của Việt Nam hiện nay và phơng án triển khai mạng riêng ảo VPN/MPLS dựa trên nền hạ tầng mạng sẵn có.
Chơng 6
Khuyến nghị ứng dụng MPLS trong mạng viễn thông VNPT
6.1. Mạng NGN ở Việt Nam
Các hãng cung cấp thiết bị và các nhà khai thác trên thế giới đã đa ra một nguyên tắc tổ chức mới cho mạng viễn thông trong giai đoạn sắp tới - đợc gọi là mạng thế hệ sau NGN. Mạng NGN ra đời đáp ứng sự hội tụ giữa cácloại hình dịch vụ khác nhau: thoại cố định, thoại di động, dữ liệu, đa phơng tiện... trên một cơ sở hạ tầng mạng duy nhất. Các loại hình dịch vụ này trớc đây đợc cung cấp từ các mạng khác nhau, mỗi loại mạng có đặc thù riêng biệt. Q trình phát triển lên NGN không phải là xây dựng một mạng hoàn toàn mới mà cần phải kế thừa từ hạ tầng mạng sẵn có, đồng thời đảm bảo duy trì hoạt động cho các th bao hiện có một cách liên tục.
Tháng 12/2003, Tổng cơng ty Bu chính Viễn thơng Việt Nam VNPT đã lắp đặt xong giai đoạn 1 mạng NGN và vận hành thành công. Đây là mạng có hạ tầng thơng tin duy nhất dựa trên cơng nghệ chuyển mạch gói IP/MPLS, có đặc tính linh hoạt, tích hợp đợc các dịch vụ thoại và truyền số liệu.
Cấu trúc mạng NGN của Việt Nam chia làm 4 lớp cơ bản:
• Lớp ứng dụng và dịch vụ : trong giai đoạn 1 n y, VNPT cung cấp một loạtà các dịch vụ gia tăng nh dịch vụ Prepaid 1719, Freephone 1800, VPN, Free Call Button... Hiện tại, mạng NGN đã kết nối với mạng viễn thông công cộng (PSTN) thông qua các Media Gateway thuộc lớp truy nhập đặt tại các tỉnh, th nh nhằm trung chuyển là u lợng thoại truyền thống. Và chuyển một phần lu lợng VoIP qua hạ tầng mạng NGN.
• Lớp điều khiển: thực hiện điều khiển kết nối cuộc gọi giữa các thuê bao
thông qua việc điều khiển các thiết bị chuyển mạch của lớp truyền tải và các thiết bị truy nhập của lớp truy nhập bằng các softswitch hay call server với dung lợng rất lớn (1M). Sau giai đoạn 1, mới chỉ có 2 softswitch HiQ9200 (Siemens) đặt tại Hà Nội và Tp. Hồ Chí Minh và hệ thống quản lý mạng NMS.
• Lớp truyền tải: gồm 3 nút trục quốc gia đặt tại Hà Nội, Tp. Hồ Chí Minh và
Đà Nẵng ( 3 core router M160 dung lợng 160 Gbps ) cộng với 11 nút vùng tại 11 thành phố trọng điểm. Tuyến đờng trục có băng thơng tối thiểu là 155Mbps dựa trên truyền dẫn SDH, và sẽ đợc nâng cấp lên STM – 4 và STM – 16 dựa trên Ring 10Gb/WDM sử dụng các bộ định tuyến IP/MPLS.
• Lớp truy nhập: đợc VPNT gấp rút triển khai với các Media Gateway và hệ
thống băng thông rộng công nghệ xDSL hỗ trợ kết nối ADSL và SHDSL. Nh vậy, chúng ta có thể thấy rằng cơng nghệ MPLS đợc sử dụng cho mạng truyền tải cuả NGN ở Việt Nam. Ngời ta đa ra 3 giải pháp cơ bản để triển khai MPLS trong mạng lõi:
• Giải pháp 1: triển khai MPLS trong mạng lõi (các tổng đài chuyển tiếp vùng).
• Giải pháp 2: triển khai MPLS trong các tổng đài đa dịch vụ tại các vùng lu lợng, mạng lõi sử dụng tổng đài ATM.
• Giải pháp 3: mạng lõi và các tổng đài đa dịch vụ đều sử dụng MPLS.
Giải pháp số 1 đa ra tơng đối hợp lý về tổ chức mạng cũng nh khả năng t- ơng thích với các cơng nghệ hiện đang sử dụng cho mạng Internet, mạng PSTN của Tổng công ty BCVT Việt nam.
Giải pháp số 2 phức tạp về tổ chức và nâng cấp sau này đồng thời cũng khơng giảm đợc chi phí đầu t.
Giải pháp số 3 tuy có nhiều u điểm nhng chi phí đầu t cao.
6.2. Triển khai MPLS trong mạng lõi
Đối với mạng của VPNT, việc triển khai MPLS gồm các giai đoạn sau:
Giai đoạn 2001 2003:–
• Triển khai 3 tổng đài core MPLS ở Hà Nội, Tp. Hồ Chí Minh và Đà Nẵng.
• Tại 11 tỉnh thành phố trọng điểm bao gồm: Hà nội, T.p Hồ Chí Minh, Hải phịng, Quảng Ninh, Huế, Đà nẵng, Khánh Hoà, Bà Rịa – Vũng Tàu, Đồng Nai, Cần Thơ, Bình Dơng trang bị các nút ghép luồng trung kế TGW và các tổng đài đa dịch vụ ATM + IP có hỗ trợ cổng MPLS.
• Các nút truy nhập NGN tại 11 tỉnh thành phố nêu trên nếu đợc trang bị sẽ kết nối vào mạng MPLS thông qua các tổng đài đa dịch vụ ATM + IP tại các địa phơng đó.
• Chức năng điều khiển các thủ tục MPLS đợc thiết lập trong 2 trung tâm điều khiển đặt tại Hà Nội và Tp. Hồ Chí Minh.
Giai đoạn 2004 2005:–
• Tăng thêm 2 tổng đài MPLS tại 2 vùng lu lợng mới xuất hiện, hình thành hồn chỉnh 2 mặt phẳng MPLS ( A và B ).
• Bổ sung nút điều khiển tại Đà Nẵng, tạo 3 vùng điều khiển riêng biệt.
• Khơng mở rộng phạm vi MPLS xuống cấp vùng.
Giai đoạn 2006 2010: –
• Hồn chỉnh nút điều khiển ( 5 vùng lu lợng ).
• Khơng mở rộng phạm vi MPLS xuống cấp vùng. Dới đây là cấu hình triển khai:
Hình 6.1. Cấu hình triển khai MPLS trong mạng chuyển tải
6.3. Phơng án triển khai MPLS/VPN trên hạ tầng mạng VNN
Hình 6.2: Cấu trúc hiện tại của mạng VNN
Mạng chia làm 3 lớp sau:
• Lớp truy cập (Access router): lớp này phục vụ việc truy cập Internet cho
khách hàng. Khách hàng đợc kết nối trực tiếp vào các Router tầng truy cập.
• Lớp phân phối: tập hợp các kết nối từ các router lớp truy cập và liên kết
với lớp cao hơn.
• Lớp lõi: tập hợp các router có tốc độ cao, khả năng chuyển tải dữ liệu lớn.
Lớp này liên kết 3 miền cuả mạng VNN và kết nối ra quốc tế.
So sánh mạng VNN với mơ hình mạng MPLS, ta thấy để xây dựng mạng MPLS trên nền mạng VNN thì: các router lớp truy cập của VNN phải đóng vai trị các Edge – LSR và các router ở lớp phân phối và lớp lõi phải đóng vai trị là LSR.
Hình 6.3: Mạng VNN/ IP MPLS– Những cơng việc cần phải thực hiện là:
• Nâng cấp phần mềm và phần cứng cuả các router trên mạng: các router tầng truy cập phải làm việc đa chức năng, vừa định tuyến, chuyển mạch gói IP vừa làm nhiệm vụ của mạng MPLS/VPN nên các router này địi hỏi phải có cấu hình mạnh hơn. Phần mềm trên router cũng phải là dịng phần mềm mới, hỗ trợ bổ sung tính năng VPN/MPLS ( nh dịng 12.2 của Cisco ).
• Kích hoạt các router lớp lõi và lớp phân phối của mạng VNN để chúng đòng vai trò LSR bằng các lệnh cấu hình sau:
Router#config terminal
Router(config)# mpls label protocol ldp
• Kích hoạt các router lớp truy cập của mạng VNN để chúng đóng vai trị các PE router:
Thực hiện các lệnh tơng tự nh trên để kích hoạt LDP
Ngồi ra, để kích hoạt thủ tục dịnh tuyến MP – BGP thì cịn phải thực hiện các lệnh sau: (AS là số hiệu mạng)
Router(config)# router AS
Router(config router)# no bgp default ipv4 unicast– –
Các lệnh sau cho phép router PE trao đổi thông tin định tuyến MP – BGP với các PE hàng xóm khác. Trong đó, A.B.C.D là địa chỉ của các PE hàng xóm:
Router#config terminal
Router(config)#address-family vpnv4
Router(config-router)#neighbor A.B.C.D activate Router(config-router)#neighbor A.B.C.D send- community extended
Router(config-router)#exit-address-family
Định nghĩa MTU: vì phần lớn các thiết bị trên mạng chỉ cho phép gói tin có kích thớc tối đa 1500 byte đi qua, các gói lớn hơn sẽ bị loại bỏ. Khi triển khai VPN/MPLS , kích thớc gói tin có thể tăng thêm tới 16 byte, do vậy ta phải cấu hình để thiết bị hỗ trợ MTU>=1516 byte:
Router#config terminal
Router(config)#interface NAME PORT
Router(config-interface)#tag-switching mtu 1516
6.3.3. Xây dựng một mạng intranet cho khách hàng qua dịch vụ VPN/MPLS
Sau khi đã triển khai mạng VPN/MPLS trên hạ tầng mạng VNN, bây giờ có thể tiến hành cung cấp dịch vụ cho khách hàng. Giả sử cần xây dựng cho khách hàng A mạng VPNcó 3 văn phịng ở Hà Nội, Tp. Hồ Chí Minh và Đà Nẵng. Văn phòng cuả khách hàng A ở Hà Nội kết nối với PE ở POP Hà Nội, Văn phòng Sài Gòn kết nối với PE ở POP Sài Gòn, Văn phòng Đà Nẵng kết nối với PE ở POP Đà Nẵng. Để thiết lập mạng VPN cần phải thực hiện các bớc cấu hình sau trên các PE của các 3 POP Hà Nội, Tp. Hồ Chí Minh và Đà Nẵng. Vì cấu hình trên 3 PE tơng tự nhau nên ở đây chỉ trình bày ví dụ ở PE Hà Nội:
Mạng chuyển tảI IP/MPLS