Chương 6: Vấn đề bảo mật và chất lượng dịch vụ MPLS/VPN
6.1. 5 So sánh tính bảo mật với ATM/Frame Relay
Rất nhiều công ty đang sử dụng dịch vụ VPN dựa trên công nghệ ATM hoặc Frame Relay trước đây đang chuyển sang sử dụng dịch vụ MPLS VPN.
Những người mới sử dụng MPLS thường lo lắng về thực tế rằng một dịch vụ MPLS VPN có một vùng điều khiển ở lớp 3. Tuy nhiên, như đã biết từ trước, các dịch vụ lớp 3 này có thể được đảm bảo an toàn và phù hợp với sự cung cấp các dịch vụ VPN.
ATM/Frame Relay có thể nhận ra là an toàn hơn bởi vì chúng không bị tổn thương với các tấn công ở lớp 3 (hơn nữa chuyển mạch ATM/FR có miền điều khiển ở lớp 3, ví dụ như telnet). Tuy nhiên, bảo mật ở lớp 2 trong các công nghệ này thường không đạt được như mong đợi. Chúng ta sẽ thảo luận các vấn đề này và so sánh chúng.
Sự tách biệt VPN
Một người sử dụng VPN yêu cầu VPN của họ phải tách biệt với các VPN khác và với mạng lõi. Trong công nghệ lớp 2, điều này hoàn toàn đạt được bằng cách chia lớp: mạng lõi dành riêng sử dụng lớp 2, vì thế thông tin lớp 3 của một VPN được tách nhau ra. Trong công nghệ MPLS VPN, sự tách biệt này đạt được là logic và bằng cách duy trì các môi trường tách biệt nhau trên một bộ định tuyến của nhà cung cấp dịch vụ. Hai công nghệ là khác nhau nhưng cùng đem lại một kết quả: mỗi VPN có thể sử dụng toàn bộ dải địa chỉ trong VPN của họ và nó không thể gửi các gói tin tới các VPN khác trong
Chống lại các cuộc tấn công
Người dùng VPN yêu cầu một dịch vụ ổn định và các dịch vụ không bị tấn công từ bên ngoài. Với nhiều người sử dụng VPN, thật là không thể chấp nhận được nếu một dịch vụ VPN bị ảnh hưởng bởi tấn công DoS từ bên ngoài. Tồi tệ hơn, một hacker có quyền kiểm soát một thành phần mạng có thể kiểm soát bất kỳ VPN nào. Vì thế công nghệ VPN phải chống lại được các cuộc tấn công.
MPLS VPN thường xuyên có thể truy cập từ Internet. Như thế một hacker giỏi nếu có đủ thời gian có thể truy cập vào bộ định tuyến PE qua môi trường Internet.
Trong phần trước, phần lõi có một số điểm giao diện nối tới phần ngoài. Một MPLS lõi không thể so sánh với mạng lõi IP truyền thống, nơi mà mọi bộ định tuyến có thể truy cập tới (giả sử rằng lõi MPLS không có giao diện global với bên ngoài, chỉ có các giao diện VRF). Hơn thế nữa, chỉ có các interface đơn là có thể truy cập được và chúng được bảo đảm tốt. Vì thế, thật là khó để tấn công mạng MPLS một cách trực tiếp.
Mạng ATM hoặc Frame Relay cũng chống lại được các cuộc tấn công. Tuy nhiên, các chuyển mạch ATM hoặc Frame Relay cũng có miền điều khiển lớp 3 (ví dụ telnet) và có thể bị tấn công nếu không được bảo vệ tốt.
Nhưng nếu cả ai dạng này của VPN nếu được cấu hình chính xác thì chẳng dễ để tấn công.
Dấu cơ sở hạ tầng mạng lõi
Với mạng lớp 2 thì mạng lõi được dấu đi bởi người sử dụng VPN làm việc trên lớp 3. Lõi MPLS VPN cũng dấu đối với người sử dụng VPN, mặc dù sử dụng một phương pháp khác: phần lớn các địa chỉ được dấu đi bởi cấu trúc của nó; chỉ có một phần được nhìn thấy đó là địa chỉ PE ngang hàng (peering PE address). Tuy nhiên, địa chỉ này là một phần của dải địa chỉ VPN, vì thế trên thực tế sẽ không có thông tin về mạng lõi đối với người dùng từ bên ngoài.
Không có sự giả mạo VPN
Ta đã biết không thể giả mạo VPN khác hoặc mạng lõi. ATM và Frame Relay cũng thế, không có cách nào để giả mạo cơ chế báo hiệu như Virtual Path Identifier/Circuit Identifier (VPI/VCI) để có thể giả mạo một VPN khác.
CE-CE visibility
Có một ưu điểm mà dịch vụ kết nối point-to-point ATM/FR hơn so với MPLS VPN đó là: do thực hiện các dịch vụ lớp 2, các CE có thể thiết lập trực tiếp mối quan hệ
hàng xóm lớp 3 và có thể thấy các CE khác. Ví dụ, Cisco Discovery Protocol (CDP) có thể được sử dụng để tìm hiểu các đặc tính cơ bản của một bộ định tuyến hàng xóm. Nó bao gồm cả địa chỉ liên kết lớp 3, vì thế một bộ định tuyến khách hàng có thể xác định ở một mức độ nào đó bộ định tuyến CE ở đầu kia của kết nối point-to-point.
Đối với kiến trúc MPLS thì không thể thực hiện được điều đó, một bộ định tuyến CE không thể nhìn trực tiếp tới các CE khác trong VPN của mình. Đó là bởi vì kiểu kết nối của kiến trúc MPLS VPN: MPLS VPN cung cấp kết nối từ một CE tới một đám mây mạng. Điều này tránh được sự chồng lấp trong việc thiết lập thiết lập đường hầm tới tất cả các CE khác, nhưng cũng vì thế mà nó sẽ không có được thông tin trực tiếp của CE hàng xóm
So sánh tính bảo mật của MPLS với ATM/Frame Relay
MPLS ATM/Frame Relay
Tách biệt VPN Có Có
Chống lại sự tấn công Có Có
Dấu kiến trúc mạng lõi Có Có
Không thể giả mạo VPN Có Có
Thông tin CE-CE Không Có
MPLS VPN chỉ có thể bảo mật tốt nếu nó được cấu hình và hoạt động tốt.