5 So sánh tính bảo mật với ATM/Frame Relay

Một phần của tài liệu mpls và ứng dụng (Trang 82 - 85)

5. 2 2 Tồn tại và giải pháp

6.1. 5 So sánh tính bảo mật với ATM/Frame Relay

Rất nhiều công ty đang sử dụng dịch vụ VPN dựa trên công nghệ ATM hoặc Frame Relay trước đây đang chuyển sang sử dụng dịch vụ MPLS VPN.

Những người mới sử dụng MPLS thường lo lắng về thực tế rằng một dịch vụ MPLS VPN có một vùng điều khiển ở lớp 3. Tuy nhiên, như đã biết từ

trước, các dịch vụ lớp 3 này có thể được đảm bảo an toàn và phù hợp với sự

cung cấp các dịch vụ VPN.

ATM/Frame Relay có thể nhận ra là an toàn hơn bởi vì chúng không bị

tổn thương với các tấn công ở lớp 3 (hơn nữa chuyển mạch ATM/FR có miền

điều khiển ở lớp 3, ví dụ như telnet). Tuy nhiên, bảo mật ở lớp 2 trong các công nghệ này thường không đạt được như mong đợi. Chúng ta sẽ thảo luận các vấn đề này và so sánh chúng.

Sự tách biệt VPN

Một người sử dụng VPN yêu cầu VPN của họ phải tách biệt với các VPN khác và với mạng lõi. Trong công nghệ lớp 2, điều này hoàn toàn đạt được bằng cách chia lớp: mạng lõi dành riêng sử dụng lớp 2, vì thế thông tin lớp 3 của một VPN được tách nhau ra. Trong công nghệ MPLS VPN, sự tách biệt

này đạt được là logic và bằng cách duy trì các môi trường tách biệt nhau trên một bộ định tuyến của nhà cung cấp dịch vụ. Hai công nghệ là khác nhau

nhưng cùng đem lại một kết quả: mỗi VPN có thể sử dụng toàn bộ dải địa chỉ

trong VPN của họ và nó không thể gửi các gói tin tới các VPN khác trong cùng một mạng lõi.

Chống lại các cuộc tấn công

Người dùng VPN yêu cầu một dịch vụ ổn định và các dịch vụ không bị

tấn công từ bên ngoài. Với nhiều người sử dụng VPN, thật là không thể chấp nhận được nếu một dịch vụ VPN bịảnh hưởng bởi tấn công DoS từ bên ngoài. Tồi tệ hơn, một hacker có quyền kiểm soát một thành phần mạng có thể kiểm soát bất kỳ VPN nào. Vì thế công nghệ VPN phải chống lại được các cuộc tấn công.

MPLS VPN thường xuyên có thể truy cập từ Internet. Như thế một hacker giỏi nếu có đủ thời gian có thể truy cập vào bộ định tuyến PE qua môi trường Internet.

Trong phần trước, phần lõi có một số điểm giao diện nối tới phần ngoài. Một MPLS lõi không thể so sánh với mạng lõi IP truyền thống, nơi mà mọi bộ định tuyến có thể truy cập tới (giả sử rằng lõi MPLS không có giao diện global với bên ngoài, chỉ có các giao diện VRF). Hơn thế nữa, chỉ có các interface

đơn là có thể truy cập được và chúng được bảo đảm tốt. Vì thế, thật là khó để

Mạng ATM hoặc Frame Relay cũng chống lại được các cuộc tấn công. Tuy nhiên, các chuyển mạch ATM hoặc Frame Relay cũng có miền điều khiển lớp 3 (ví dụ telnet) và có thể bị tấn công nếu không được bảo vệ tốt.

Nhưng nếu cả ai dạng này của VPN nếu được cấu hình chính xác thì chẳng dễđể tấn công.

Dấu cơ sở hạ tầng mạng lõi

Với mạng lớp 2 thì mạng lõi được dấu đi bởi người sử dụng VPN làm việc trên lớp 3. Lõi MPLS VPN cũng dấu đối với người sử dụng VPN, mặc dù sử dụng một phương pháp khác: phần lớn các địa chỉ được dấu đi bởi cấu trúc của nó; chỉ có một phần được nhìn thấy đó là địa chỉ PE ngang hàng (peering PE address). Tuy nhiên, địa chỉ này là một phần của dải địa chỉ VPN, vì thế trên thực tế sẽ không có thông tin về mạng lõi đối với người dùng từ

bên ngoài.

Không có sự giả mạo VPN

Ta đã biết không thể giả mạo VPN khác hoặc mạng lõi. ATM và Frame Relay cũng thế, không có cách nào để giả mạo cơ chế báo hiệu như Virtual

Path Identifier/Circuit Identifier (VPI/VCI) để có thể giả mạo một VPN khác.

CE-CE visibility

Có một ưu điểm mà dịch vụ kết nối point-to-point ATM/FR hơn so với

MPLS VPN đó là: do thực hiện các dịch vụ lớp 2, các CE có thể thiết lập trực tiếp mối quan hệ hàng xóm lớp 3 và có thể thấy các CE khác. Ví dụ, Cisco Discovery Protocol (CDP) có thể được sử dụng để tìm hiểu các đặc tính cơ

bản của một bộ định tuyến hàng xóm. Nó bao gồm cả địa chỉ liên kết lớp 3, vì thế một bộ định tuyến khách hàng có thể xác định ở một mức độ nào đó bộ định tuyến CE ởđầu kia của kết nối point-to-point.

Đối với kiến trúc MPLS thì không thể thực hiện được điều đó, một bộ định tuyến CE không thể nhìn trực tiếp tới các CE khác trong VPN của mình.

Đó là bởi vì kiểu kết nối của kiến trúc MPLS VPN: MPLS VPN cung cấp kết nối từ một CE tới một đám mây mạng. Điều này tránh được sự chồng lấp trong việc thiết lập thiết lập đường hầm tới tất cả các CE khác, nhưng cũng vì thế mà nó sẽkhông có được thông tin trực tiếp của CE hàng xóm

MPLS ATM/Frame Relay Tách biệt VPN Có Có Chống lại sự tấn công Có Có Dấu kiến trúc mạng lõi Có Có Không thể giả mạo VPN Có Có Thông tin CE-CE Không Có

MPLS VPN chỉ có thể bảo mật tốt nếu nó được cấu hình và hoạt động tốt.

Một phần của tài liệu mpls và ứng dụng (Trang 82 - 85)

Tải bản đầy đủ (PDF)

(93 trang)