VI. BẢO MẬT TRONG MPLS VPN
I.14 So sánh tính bảo mật của MPLS VPN với ATM / Frame
Relay VPN
Rất nhiều tổ chức đang sử dụng dịch vụ VPN dựa trên công nghệ ATM hoặc Frame Relay trước đây đang chuyển sang sử dụng dịch vụ MPLS VPN. Những người mới sử dụng MPLS thường lo ngại trước một thực tế là dịch vụ MPLS VPN có một vùng điều khiển ở lớp 3. Tuy nhiên, như đã biết từ trước, các dịch vụ lớp 3 này có thể được đảm bảo an toàn một cách chính xác và phù hợp với sự cung cấp các dịch vụ VPN.
I.14.1 Sự tách biệt VPN
Trong các công nghệ lớp 2, việc tách VPN của người sử dụng với các VPN
khác và với mạng lõi là hoàn toàn đạt được bằng cách chia lớp: mạng lõi dành riêng sử dụng lớp 2, thông tin lớp 3 của một VPN được tách ra. Trong các mạng MPLS VPN, sự tách biệt này là hợp lý bằng cách duy trì các nội dung tách biệt đó trên một bộ định tuyến của nhà cung cấp dịch vụ. Mặc dù hai công nghệ khác nhau nhưng cùng đem lại một kết quả là mỗi VPN có thể sử dụng toàn bộ không gian địa chỉ trong VPN của họ và không thể gửi các gói tin tới các VPN khác trong cùng một mạng lõi.
I.14.2 Chống lại các cuộc tấn công
Với nhiều người sử dụng VPN, họ không thể chấp nhận được nếu một dịch vụ VPN bị ảnh hưởng bởi các cuộc tấn công DoS từ bên ngoài. Một kẻ tấn công có quyền kiểm soát một thành phần mạng từ đó có thể kiểm soát bất kỳ VPN nào. Vì thế công nghệ VPN phải chống lại được các cuộc tấn công này.
Các mạng MPLS VPN thường xuyên có thể truy cập từ Internet, vì vậy, một kẻ tấn công có chủ ý nếu có đủ thời gian có thể truy cập vào bộ định tuyến PE qua
cuộc tấn công. Với chuyển mạch ATM hoặc Frame Relay cũng có miền điều khiển lớp 3 (ví dụ telnet) và có thể bị tấn công nếu không được bảo vệ tốt. Trong các trường hợp nếu VPNđược cấu hình chính xác thì kẻ tấn công không dễ gì thực hiện mục đích được.
I.14.3 Không có sự giả mạo VPN
Như đã phân tích ở trên, không thể giả mạo VPN khác hoặc mạng lõi. Trường hợp ATM và Frame Relay cũng vậy, không có cách nào để giả mạo cơ chế báo hiệu như Virtual Path Identifier/Circuit Identifier (VPI/VCI) để có thể giả mạo một VPN khác.