Chương 6: Vấn đề bảo mật và chất lượng dịch vụ MPLS/VPN
6.1.4 Bảo vệ chống lại sự giả mạo
Spoofing (giả mạo) – Là một dạng vi phạm an toàn trong đó hacker dưới danh nghĩa một user hợp pháp truy nhập vào hệ thống máy tính một cách bất hợp pháp. Dạng đơn giản nhất của spoofing là lấy được tên và mật khẩu của người dùng để truy cập. Một cách khác là dùng thiết bị khác như bộ phân tích mạng để theo dõi và nắm được luồng giao thông trên mạng, sau đó chèn các gói dữ liệu giả vào dòng dữ liệu
Trước đây, khi Internet ở giai đoạn đầu, địa chỉ nguồn của gói tin được dùng để chứng tỏ rằng gói tin đó được gửi từ chính địa chỉ IP này. Ngày nay, sự giả mạo địa chỉ IP là một sự kiện xảy ra hàng ngày ở nhiều dạng tấn công khác nhau.
Khi MPLS là một công nghệ lớp 3, người sử dụng lo lắng về vấn đề giả mạo trên mạng, ở cả mức độ IP lẫn sử dụng nhãn bởi các giao thức MPLS. Câu hỏi được đặt ra “ Một người sử dụng VPN khác có thể giả mạo địa chỉ IP của tôi để truy cập vào VPN của tôi? ” và “ Một người khác có thể giả mạo nhãn VPN để xâm nhập vào VPN của tôi? ”. Những câu hỏi này dễ dàng được trả lời như sau:
Giả mạo địa chỉ IP – Ta đã biêt một VPN có thể sử dụng toàn bộ dải địa chỉ IP, từ 0.0.0.0 tới 255.255.255.255. Một site VPN hoặc một host nào đó có thế giả mạo địa chỉ IP nhưng địa chỉ giả mạo này vẫn là địa chỉ local
đối với VPN kia. Đây chính là điểm mạnh của kiến trúc MPLS VPN: người sử dụng VPN có thể sử dụng toàn bộ dải địa chỉ, gồm cả địa chỉ giả mạo kia, và VPN sẽ giống như là một mạng vật lý đối với người sử dụng VPN kia. Điều đó là có thể bởi vì các bộ định tuyến PE giữ tất cả các gói tin bên trong VRF (VPN Routing and Forwarding), vì thế ngay cả gói tin giả mạo kia cũng không “ thoát ” ra được VPN.Vì thế địa chỉ IP giả mạo trong một VPN không ảnh hưởng tới VPN khác.
Giả mạo nhãn – Bên trong một mạng lõi MPLS, các gói tin khác nhau được phân biệt bởi DE (phân biệt tuyến). Một người sử dụng VPN xấu tính nào đấy có thể tạo các gói tin với nhãn giả và chèn vào mạng lõi MPLS, cố gắng đưa các gói tin này vào các VPN khác. Điều này là không thể thực hiện được bởi vì các bộ định tuyến PE không chấp nhận các gói tin đã được gán nhãn từ các bộ định của khách hàng. Vì thế một gói tin giả sẽ bị drop bởi PE.