Vấn đề bảo mật trong VPN

Một phần của tài liệu CÔNG NGHỆ MPLS và ỨNG DỤNG MẠNG RIÊNG ảo VPN (Trang 90)

Yêu cầu quan trọng nhất khi thiết lập một mạng VPN là phải bảo mật dữ liệu. Phần này sẽ xem xét đến các mối đe dọa đối với vấn đề an toàn thông tin trong VPN và cách xử lý của MPLS.

5.8.1. Các mối đe doạ đối với một VPN

Phần này đề cập đến các nguy cơ đối với một VPN intranet đứng trên quan điểm của ngời sử dụng. Đó có thể là:

a. Sự xâm nhập từ bên ngoài : ( từ các mạng VPN khác, mạng lõi hay từ Internet) nhằm chiếm quyền điều khiển các thành phần trong mạng VPN nh : PC, server hay các thiết bị networking khác.

Hình 5.14: Các nguy cơ đối với một VPN

b. Kiểu tấn công từ chối dịch vụ DoS : cũng đến từ các tác nhân bên ngoài, nh VPN khác, mạng lõi hay từ Internet. Nhng nó khác với kiểu xâm nhập ở chỗ là: DoS không cần truy nhập vào mạng VPN, mà nó ngăn cản sự truy nhập của các user khác (hợp lệ hay không) vào mạng. Ví dụ: một PE router bị tấn công DoS thì một mạng VPN nào đó kết nối vào nó cũng bị ảnh hởng lây, cho dù mục tiêu tấn công của hacker không phải là mạng VPN đó.

Hình 5.15: DoS

Về nguyên tắc, bất cứ một thành phần nào trong hạ tầng mạng chia sẻ bị tấn công DoS thì đều ảnh hởng đến VPN. Nh hình trên, các điểm tấn công có thể là PE, P, CE router hay ngay cả trên đờng truyền dẫn.

Tấn công DoS có thể thực hiện bằng các cách:

 Làm quá tải đờng truyền trong mạng

 Liên tục gửi gói đến để làm tràn bộ đệm của router

 Liên tục gửi gói đến để làm quá tải khả năng xử lý của server

Nh vậy, các tài nguyên bị DoS tấn công có thể là: băng thông, CPU hay bộ nhớ.

5.8.2. Các mối đe doạ đối với mạng extranet

Có thể nói mạng extranet cho phép các VPN khác nhau kết nối và chia sẻ nguồn tài nguyên chung. Các site VPN trong extranet liên kết với nhau nhờ vào thông số RT đợc cấu hình tại PE router.

Vì vậy, các nguy cơ về an ninh mạng extranet cũng tơng tự nh trong mạng intranet - đã đợc đề cập ở trên.

5.8.3. Các mối đe doạ đối với mạng lõi

Phần này đề cập đến vấn đề bảo mật đứng trên quan điểm của nhà cung cấp dịch vụ. Một mạng lõi MPLS có thể đợc xây dựng trong một hoặc nhiều miền AS khác nhau.

• Mạng lõi chỉ thuộc một miền AS: trờng hợp này các mối đe doạ có thể là:  Tấn công kiểu xâm nhập, chiếm quyền sử dụng từ bên ngoài ( nh các VPN hay mạng Internet): đối với các router lõi. Các router này không bị “nhìn thấy” bởi các VPN hay Internet. Tuy nhiên, kẻ tấn công có thể lợi dụng các bản tin định tuyến trao đổi giữa P và PE (thành phần duy nhất của mạng lõi tiếp xúc với bên ngoài) để thực hiện mục đích của mình.

 Tấn công DoS từ các VPN hay Internet.

 Nguy cơ từ bên trong: có thể là lỗi hay cố tình cấu hình sai của ngời điều hành mạng lõi. Việc làm này còn ảnh hởng tới cả các mạng VPN.

• Mạng lõi thuộc nhiều miền AS : trờng hợp này bên cạnh các nguy cơ tơng tự nh trên, còn có mối đe doạ từ miền AS này đến miền AS kia.

5.8.4. Các giải pháp hỗ trợ bởi MPLS

5.8.4.1. Khoảng địa chỉ và định tuyến riêng biệt

Yêu cầu bảo mật quan trọng nhất của VPN là phải đảm bảo dữ liệu của nó không bao giờ đi lệch sang một tuyến VPN khác và ngợc lại. MPLS cho phép các VPN sử dụng một dải địa chỉ IP nh nhau. Do đó, để có thể tách biệt giữa các VPN, ngời ta phải bổ sung thêm tham số phân biệt định tuyến RD 64 bit vào mỗi địa chỉ IPv4 trớc khi chuyển vào mạng lõi. Và để dữ liệu VPN đến đúng địa chỉ cần phải đến, tham số RT đợc sử dụng.

Bên cạnh đó. để ngăn không cho kẻ tấn công bên ngoài xâm nhập vào VPN thì thờng phải triển khai hệ thống tờng lửa để lọc các lu lợng không hợp lệ.

Chú ý: Các giải pháp trên chỉ thực sự có ý nghĩa khi các PE router đợc cấu hình chính xác. Nếu cấu hình sai dù là vô tình hay cố ý thì một site bên ngoài có thể sẽ trở thành một thành viên trong mạng VPN. Và điều đó thực sự rất nguy hiểm cho vấn đề an toàn thông tin của khách hàng.

Việc bảo vệ VPN khỏi sự xâm nhập từ bên ngoài có thể dễ dàng thực hiện khi cấu hình PE router. Tuy nhiên, để đối phó với DoS thì phức tạp hơn nhiều. Nếu biết đợc địa chỉ IP của thiết bị, hacker có thể tiến hành một cuộc tấn công DoS. Vì thế tốt nhất là không tiết lộ bất cứ thông tin nào về mạng nội bộ ra bên ngoài. Việc này cần phải đợc áp dụng cho hệ thống mạng của khách hàng cũng nh lõi nhà cung cấp MPLS. Ngời ta cần phải tính toán đến việc chống lại DoS ngay từ khi thiết kế mạng VPN, sao cho các tài nguyên chia sẻ không bị quá tải bởi những hacker:

Bố trí các thiết bị phù hợp: mỗi thiết bị trong mạng phải có khả năng xử lý lợng tải tối đa.

Dự tính băng thông hợp lý: các đờng truyền trong mạng phải xử lý đợc các trờng hợp “ bùng nổ lu lợng“. Điều này có thể thực hiện đợc bằng 2 cách: dự phòng băng thông hoặc hỗ trợ QoS (lu lợng đợc phân lớp và những dữ liệu quan trọng đợc phục vụ trớc tiên).

Các giải pháp chống DoS: mỗi một mạng cần phải có một giải pháp để phát hiện và làm giảm bớt các cuộc tấn công DoS. Ví dụ: Cisco Guard. Đồng thời cần phải có các biện pháp ứng cứu khi có sự cố.

Riêng đối với mạng VPN/MPLS, các PE router cần đợc chú ý đặc biệt khi thiết kế mạng: nh đã trình bày ở trên, PE router chính là biên giữa VPN và mạng lõi. Một hacker ở mạng VPN này muốn tấn công vào mạng lõi hay VPN khác thì phải thông qua PE. Vì vậy, ngời quản trị cần phải cấu hình PE cẩn thận để đảm bảo mỗi một giao diện của PE chỉ đợc “nhìn thấy” bởi mạng VPN nối trực tiếp với nó. Phơng pháp hay đợc dùng là cấu hình ACL (access control list) cho tất cả các giao diện trên PE, chỉ cho phép các thông tin định tuyến đi qua, còn các gói tin đến từ một VPN không nối trực tiếp với giao diện sẽ bị ACL trên giao diện đó loại bỏ.

 Trong trờng hợp mạng VPN có kết nối với Internet, sử dụng cơ chế biên dịch địa chỉ mạng NAT có thể đảm bảo che giấu đợc thông tin địa chỉ mạng của khách hàng.

5.8.4.3. Che giấu cấu trúc lõi

Phần trên chỉ ra rằng không thể nào từ một VPN này xâm nhập vào VPN khác. Cách còn lại là tấn công vào lõi MPLS và từ đây xâm nhập vào VPN mong muốn.

Muốn tấn công vào mạng lõi MPLS, hacker cần phải biết địa chỉ của một P router trong đó. Nhng mạng VPN/MPLS lại có khả năng che giấu cấu trúc lõi của nó trớc ngời dùng. Ngời dùng VPN chỉ biết đợc địa chỉ IP của PE (nối trực tiếp với CE). Các P router hoàn toàn đợc che giấu với bên ngoài. Điều này thực hiện đợc không phải nhờ vào ACL mà nhờ chính bản chất của công nghệ MPLS. Địa chỉ mà P router sử dụng không thuộc không gian địa chỉ IP thông thờng của mạng VPN. Nên dù địa chỉ của P có bị lộ ra ngoài thì một hacker ở một VPN nào đó cũng không thể chiếm quyền sử dụng P đợc.

Cách còn lại là tấn công trực tiếp vào PE router bằng cách liên tục gửi các gói tin IP nhằm làm tràn bộ đệm router. Nhng vấn đề này có thể đợc xử lý bằng cách cấu hình ACL nh trình bày ở trên, loại bỏ tất cả các gói IP từ các mạng không nối trực tiếp với giao diện, chỉ cho thông tin định tuyến đi qua.

Vấn đề cuối cùng là hacker sẽ lợi dụng đặc điểm này của ACL để tấn công vào cơ chế thông báo của MPLS. Nh chúng ta đã biết, định tuyến giữa CE – PE có thể cấu hình theo 2 cách:

Tĩnh: ngời quản trị cấu hình mặc định tuyến CE – PE. Ngời dùng VPN không đợc biết địa chỉ của PE , nên độ bảo mật của mạng lõi sẽ cao hơn.

Động: để cung cấp mức độ bảo mật cho môi trờng định tuyến động, giữa PE và CE cần áp dụng cơ chế xác thực MD5. Cơ chế này sử dụng thuật toán băm để đảm bảo không bị giả mạo địa chỉ.

5.8.4.4. Chống lại sự giả mạo

Trong mạng IP truyền thống, hacker có thể tấn công kiểu giả mạo địa chỉ IP nguồn, hoặc đích để chiếm phiên làm việc. Nhng nếu trong mạng VPN/MPLS, một hacker ở VPN A giả mạo địa chỉ của một VPN B thì cũng không ảnh hởng gì. Bởi vì MPLS cho phép một VPN sử dụng toàn bộ dải địa chỉ 0.0.0.0 : 255.255.255.255 và mỗi VPN có một bảng định tuyến VRF của riêng nó. Chẳng những vậy mà việc tấn công kiểu này chỉ làm ảnh hởng đến chính VPN A, hay nói cách khác khách hàng VPN tự tấn công chính mình.

Vấn đề còn lại là liệu có thể làm giả nhãn để chiếm phiên làm việc trong mạng lõi hay không? Một hacker ngồi trong một VPN, có thể tạo ra một gói tin dán nhãn một cách thủ công và tìm cách chèn gói tin đó vào mạng lõi MPLS để đa tới một mạng VPN khác. Nhng trớc khi vào đợc mạng lõi, gói tin đó phải đi qua

PE. Mà theo nguyên tắc, kết nối giữa PE – CE là một kết nối IP. PE sẽ không bao giờ chấp nhận một gói dữ liệu dán nhãn đi đến từ CE. Do đó một gói tin với nhãn giả nh thế sẽ bị PE huỷ bỏ ngay trớc khi đi vào đợc mạng lõi.

Kết luận:

Với những phân tích nh trên, có thể thấy rõ rằng MPLS VPN đáp ứng đợc những yêu cầu đặt ra của một mạng VPN, đồng thời giải quyết đợc một cách triệt để những hạn chế của VPN truyền thống sử dụng FR, ATM hay đờng hầm IPSec. MPLS là một trong những giải pháp mạng đờng trục cho mạng thế hệ mới, có thể đáp ứng bất cứ loại hình dịch vụ nào: thoại, video, fax, data...Tuy MPLS VPN vẫn đang còn là một công nghệ khá mới mẻ ở Việt Nam, nhng hứa hẹn sẽ là một thị tr- ờng đầy tiềm năng và mang lại nhiều lợi ích cho cả ngời sử dụng lẫn nhà cung cấp dịch vụ viễn thông.

Chơng cuối cùng của đồ án đề cập đến thực tế ứng dụng công nghệ MPLS trong mạng thế hệ mới của Việt Nam hiện nay và phơng án triển khai mạng riêng ảo VPN/MPLS dựa trên nền hạ tầng mạng sẵn có.

Chơng 6

Khuyến nghị ứng dụng MPLS trong mạng viễn thông VNPT

6.1. Mạng NGN ở Việt Nam

Các hãng cung cấp thiết bị và các nhà khai thác trên thế giới đã đa ra một nguyên tắc tổ chức mới cho mạng viễn thông trong giai đoạn sắp tới - đợc gọi là mạng thế hệ sau NGN. Mạng NGN ra đời đáp ứng sự hội tụ giữa cácloại hình dịch vụ khác nhau: thoại cố định, thoại di động, dữ liệu, đa phơng tiện... trên một cơ sở hạ tầng mạng duy nhất. Các loại hình dịch vụ này trớc đây đợc cung cấp từ các mạng khác nhau, mỗi loại mạng có đặc thù riêng biệt. Quá trình phát triển lên NGN không phải là xây dựng một mạng hoàn toàn mới mà cần phải kế thừa từ hạ tầng mạng sẵn có, đồng thời đảm bảo duy trì hoạt động cho các thuê bao hiện có một cách liên tục.

Tháng 12/2003, Tổng công ty Bu chính Viễn thông Việt Nam VNPT đã lắp đặt xong giai đoạn 1 mạng NGN và vận hành thành công. Đây là mạng có hạ tầng thông tin duy nhất dựa trên công nghệ chuyển mạch gói IP/MPLS, có đặc tính linh hoạt, tích hợp đợc các dịch vụ thoại và truyền số liệu.

Cấu trúc mạng NGN của Việt Nam chia làm 4 lớp cơ bản:

Lớp ứng dụng và dịch vụ : trong giai đoạn 1 n y, VNPT cung cấp một loạtà các dịch vụ gia tăng nh dịch vụ Prepaid 1719, Freephone 1800, VPN, Free Call Button... Hiện tại, mạng NGN đã kết nối với mạng viễn thông công cộng (PSTN) thông qua các Media Gateway thuộc lớp truy nhập đặt tại các tỉnh, th nh nhằm trung chuyển là u lợng thoại truyền thống. Và chuyển một phần lu lợng VoIP qua hạ tầng mạng NGN.

Lớp điều khiển: thực hiện điều khiển kết nối cuộc gọi giữa các thuê bao thông qua việc điều khiển các thiết bị chuyển mạch của lớp truyền tải và các thiết bị truy nhập của lớp truy nhập bằng các softswitch hay call server với dung lợng rất lớn (1M). Sau giai đoạn 1, mới chỉ có 2 softswitch HiQ9200 (Siemens) đặt tại Hà Nội và Tp. Hồ Chí Minh và hệ thống quản lý mạng NMS.

Lớp truyền tải: gồm 3 nút trục quốc gia đặt tại Hà Nội, Tp. Hồ Chí Minh và Đà Nẵng ( 3 core router M160 dung lợng 160 Gbps ) cộng với 11 nút vùng tại 11 thành phố trọng điểm. Tuyến đờng trục có băng thông tối thiểu là 155Mbps dựa trên truyền dẫn SDH, và sẽ đợc nâng cấp lên STM – 4 và STM – 16 dựa trên Ring 10Gb/WDM sử dụng các bộ định tuyến IP/MPLS.

Lớp truy nhập: đợc VPNT gấp rút triển khai với các Media Gateway và hệ thống băng thông rộng công nghệ xDSL hỗ trợ kết nối ADSL và SHDSL. Nh vậy, chúng ta có thể thấy rằng công nghệ MPLS đợc sử dụng cho mạng truyền tải cuả NGN ở Việt Nam. Ngời ta đa ra 3 giải pháp cơ bản để triển khai MPLS trong mạng lõi:

• Giải pháp 1: triển khai MPLS trong mạng lõi (các tổng đài chuyển tiếp vùng).

• Giải pháp 2: triển khai MPLS trong các tổng đài đa dịch vụ tại các vùng lu lợng, mạng lõi sử dụng tổng đài ATM.

• Giải pháp 3: mạng lõi và các tổng đài đa dịch vụ đều sử dụng MPLS.

Giải pháp số 1 đa ra tơng đối hợp lý về tổ chức mạng cũng nh khả năng t- ơng thích với các công nghệ hiện đang sử dụng cho mạng Internet, mạng PSTN của Tổng công ty BCVT Việt nam.

Giải pháp số 2 phức tạp về tổ chức và nâng cấp sau này đồng thời cũng không giảm đợc chi phí đầu t.

Giải pháp số 3 tuy có nhiều u điểm nhng chi phí đầu t cao.

6.2. Triển khai MPLS trong mạng lõi

Đối với mạng của VPNT, việc triển khai MPLS gồm các giai đoạn sau:

Giai đoạn 2001 2003:

• Triển khai 3 tổng đài core MPLS ở Hà Nội, Tp. Hồ Chí Minh và Đà Nẵng.

• Tại 11 tỉnh thành phố trọng điểm bao gồm: Hà nội, T.p Hồ Chí Minh, Hải phòng, Quảng Ninh, Huế, Đà nẵng, Khánh Hoà, Bà Rịa – Vũng Tàu, Đồng Nai, Cần Thơ, Bình Dơng trang bị các nút ghép luồng trung kế TGW và các tổng đài đa dịch vụ ATM + IP có hỗ trợ cổng MPLS.

• Các nút truy nhập NGN tại 11 tỉnh thành phố nêu trên nếu đợc trang bị sẽ kết nối vào mạng MPLS thông qua các tổng đài đa dịch vụ ATM + IP tại các địa phơng đó.

• Chức năng điều khiển các thủ tục MPLS đợc thiết lập trong 2 trung tâm điều khiển đặt tại Hà Nội và Tp. Hồ Chí Minh.

Giai đoạn 2004 2005:

• Tăng thêm 2 tổng đài MPLS tại 2 vùng lu lợng mới xuất hiện, hình thành hoàn chỉnh 2 mặt phẳng MPLS ( A và B ).

• Bổ sung nút điều khiển tại Đà Nẵng, tạo 3 vùng điều khiển riêng biệt.

• Không mở rộng phạm vi MPLS xuống cấp vùng.

Giai đoạn 2006 2010:

• Hoàn chỉnh nút điều khiển ( 5 vùng lu lợng ).

• Không mở rộng phạm vi MPLS xuống cấp vùng. Dới đây là cấu hình triển khai:

Hình 6.1. Cấu hình triển khai MPLS trong mạng chuyển tải

6.3. Phơng án triển khai MPLS/VPN trên hạ tầng mạng VNN

Hình 6.2: Cấu trúc hiện tại của mạng VNN

Một phần của tài liệu CÔNG NGHỆ MPLS và ỨNG DỤNG MẠNG RIÊNG ảo VPN (Trang 90)

Tải bản đầy đủ (DOC)

(104 trang)
w