Vị trí các điểm kết thúc của IPSec

Một phần của tài liệu Nâng cao khả năng bảo mật của hệ thống thông tin bằng giải pháp tích hợp mạng riêng ảo MPLS VPN và IPSEC (Trang 43 - 51)

Trong một môi trường MPLS VPN, IPsec có thể được sử dụng tại các điểm khác nhau của mạng:

Trong phạm vi các địa điểm VPN. Ví dụ, bảo mật IPsec đầu cuối. (Trường hợp này sẽ không được thảo luận thêm ở đây, bởi vì ở đây bảo mật là hoàn toàn độc lập của MPLS).

Giữa các bộ định tuyến CE của VPN. Trong trường hợp này, lõi MPLS cũng không tham gia trong các dịch vụ bảo mật. Độ tin cậy của giải pháp này phụ thuộc việc quản lý các CE có đáng tin cậy hay không.

Giữa các bộ định tuyến PE trong lõi MPLS VPN. Ở đây, các nhà cung cấp dịch vụ quản lý các dịch vụ IPsec và khách hàng của VPN không thấy được nó.

Giữa một điểm trong VPN và PE. Đây là một trường hợp đặc biệt và thường được sử dụng để truy cập từ xa của máy tính khách hàng (ví dụ, teleworkers) vào một mạng MPLS VPN.

Hình 2 cho thấy vị trí IPsec có thể được sử dụng trong một môi trường MPLS VPN.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Hình 2 .9: Điểm kết thúc của IPsec trong môi trƣờng MPLS VPN

Các điểm kết thúc khác nhau cung cấp các thuộc tính bảo mật khác nhau. Một nguyên tắc cơ bản là gateway IPsec phải nằm trong một khu vực đáng tin cậy và được điều hành bởi một bên đáng tin cậy.Trong các phần tiếp theo, các lựa chọn khác nhau cung cấp cho IPsec trên một cơ sở hạ tầng MPLS VPN được đề cập chi tiết. Tiếp theo là một cái nhìn tổng quan về các lựa chọn, đề cập về tình huống khác nhau được sử dụng.

2.3.1.1 CE-CE IPsec

Nếu IPsec được sử dụng giữa các CE, toàn bộ đường dẫn giữa các CE được bảo mật các đường truy cập (giữa CE và PE), cũng như toàn bộ lõi MPLS bao gồm các PE, các P và các đường dẫn. Giả thuyết cho mô hình này là CE là nằm trong khu vực đáng tin cậy, có nghĩa là, xây dựng văn phòng với điều khiển truy cập và bảo mật vật lý. Người vận hành của các gateway phải đáng tin cậy: hoặc là một nhân viên của khách hàng VPN, hoặc là đối tác gia công phần mềm đáng tin cậy. Các đối tác gia công phần mềm có thể là nhà cung cấp dịch vụ. Hình 2 -17 phác thảo mô hình CE-CE IPsec.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

CE-CE IPsec là một giải pháp thích hợp để đảm bảo lưu lượng của khách hàng VPN qua một cơ sở hạ tầng không đáng tin cậy. Hai yêu cầu quan trọng thường là lý do cho việc sử dụng IPsec CE-CE:

• Phải đảm bảo lưu lượng bất cứ khi nào dù là bên ngoài một khu vực đáng tin cậy (văn phòng). Điều này bao gồm các đường truy cập, đường dây lõi, mà còn có khả năng phát hiện đường dẫn trên các thiết bị lõi. Yêu cầu này từ chính sách bảo mật của công ty, nhưng nó cũng có thể là một yêu cầu pháp lý, chẳng hạn như khi các dữ liệu cá nhân được truyền qua mạng công cộng.

• MPLS VPN cung cấp dịch vụ là không đáng tin cậy. Ví dụ, các nhà cung cấp dịch vụ có thể làm cho bất kỳ một VPN nào đó không an toàn bằng cách cấu hình sai một bộ định tuyến PE. Tuy nhiên, nếu khách hàng VPN được bảo mật tất cả dữ liệu trên đường vận chuyển với IPsec CE-CE, sự tin tưởng này có thể bị hạn chế. Thậm chí không sai là một vấn đề bởi vì tất cả các gói tin được xác nhận đến từ một nguồn đáng tin cậy.

Chú ý

Nếu mã hóa là được yêu cầu hoặc nhà cung cấp dịch vụ không đáng tin cậy (cấu hình sai và các vấn đề liên quan), giữa IPsec và các CE dưới sự kiểm soát hoạt động của khách hàng VPN là cách đề nghị để bảo mật cho VPN.

IPsec CE-CE bảo vệ để chống lại các mối đe dọa sau (các tính năng được ghi chú trong ngoặc đơn):

Nghe lén bất cứ nơi nào giữa các CE. Lưu ý rằng phần quan trọng nhất để bảo vệ thường là đường truy cập: nó thường dễ dàng tìm thấy và ghi lại lưu lượng trên đường truy cập hơn so với lõi. (tính bảo mật)

Chèn các gói tin không có thật vào mạng. (tính xác thực) Thay đổi các gói tin trên đường vận chuyển. (tính toàn vẹn) Phát lại các gói tin hợp pháp, ghi lại các gói tin ( chống phát lại ).

Bằng cách bảo vệ để chống lại những mối đe dọa cơ bản, IPsec CE-CE cũng cung cấp cách bảo mật ngầm trong các trường hợp sau:

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Chèn một CE không có thật vào các VPN: điều này không thể xảy ra bởi vì các CE không có thật sẽ không thể được xác thực đối với một CE hợp pháp.

Việc rò rỉ các lưu lượng truy cập của VPN khác vào VPN đã được bảo mật: nếu thông qua cấu hình sai lưu lượng truy cập từ một VPN được chuyển đến một CE, lưu lượng này sẽ bị loại bỏ bởi vì các gói không thể được chứng thực.

Việc rò rỉ của lưu lượng từ VPN đã được bảo mật vào một VPN khác không đáng tin cậy: lưu lượng truy cập từ VPN bảo mật trên đường vận chuyển sẽ được mã hóa, và VPN không đáng tin cậy sẽ không thể xem lưu lượng truy cập văn bản rõ ràng.

IPsec CE-CE không bảo vệ chống lại các mối đe dọa sau đây:

Tấn công từ chối dịch vụ (DoS) từ bên ngoài VPN đáng tin cậy vào VPN IPsec không thể hoàn thiện tính sẵn có của một dịch vụ. Trong thực tế, nó đã được lý luận rằng cổng của chính IPsec có thể trở thành một mục tiêu cho các cuộc tấn công DoS. Trong khi điều này là giả thuyết đúng, tính sẵn có là một vấn đề khó khăn cho bất kỳ loại hình dịch vụ nào, và IPsec không là một ngoại lệ ở đây.

Các mối đe dọa trong khu vực đáng tin cậy. Một ví dụ sẽ là một dịch sâu trong VPN sẽ được thực hiện trên các đường hầm IPsec, cũng như lưu lượng truy cập hợp pháp.

Nhìn chung, CE-CE IPsec cung cấp một phương tiện lý tưởng đảm bảo một MPLS VPN vượt quá tiêu chuẩn an ninh của các mạng MPLS. Đây là kỹ thuật của sự lựa chọn cho việc cung cấp an ninh bổ sung, chẳng hạn như mã hóa lưu lượng truy cập đến một MPLS VPN. Những người phản đối để MPLS sẽ, vào thời điểm này, lập luận rằng vì IPsec cung cấp tất cả các chức năng VPN cần thiết và thực sự nhiều hơn so với tiêu chuẩn MPLS (ví dụ mã hóa), MPLS không phải là thực sự cần thiết. Trong việc xem xét lập luận này, hai chủ đề sẽ được thảo luận một cách riêng biệt: an ninh gói và vận chuyển. Thậm chí nếu IPsec sẽ được đầy đủ, các gói IPsec đã được vận chuyển từ một CE khác. Trong hầu hết trường hợp, MPLS VPN dịch vụ rẻ hơn cho loại hình dịch vụ hơn so với chung IPsec dịch vụ cho tất cả các địa điểm văn phòng. Nó cũng cần lưu ý rằng tại thời điểm này, hầu hết các dịch vụ

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

MPLS VPN không được bảo đảm thêm với IPsec, có nghĩa rằng hầu hết các MPLS VPN khách hàng không tin tưởng các nhà cung cấp dịch vụ của họ và không yêu cầu mã hóa qua mạng diện rộng. Lý do tại sao CE-CE IPsec là không phải là triển khai rộng rãi ngày nay là cho đến gần đây, đến một mức độ lớn, do sự phức tạp của việc thực hiện một lớp phủ IPsec mạng có vấn đề khả năng mở rộng lớn IPsec triển khai phức tạp. Các mô hình triển khai mới, cải thiện đáng kể khả năng mở rộng. Sau đó trong chương này, chúng tôi thảo luận các loại khác nhau của IPsec triển khai và khả năng mở rộng của họ. Để làm việc xung quanh các vấn đề khả năng mở rộng dựa trên CE IPsec VPN, một số chuyên gia tư vấn đã đề xuất việc sử dụng các dịch vụ IPsec PE-. Điều này sẽ làm cho IPsec một dịch vụ mạng, tuy nhiên, có những vấn đề bảo mật tiềm năng với mô hình này.

2.3.1.2 PE-PE IPsec

Thường, PE-PE IPsec được xem như một cách để tránh khách hàng VPN phải thiết lập CE dựa trên IPsec. Một vài vị trí tư vấn này là một cấu trúc tương tự như trong bảo mật nhưng dễ thực thi hơn nhiều, đặc biệt đối với khách hàng.

Hình 2.11: IPsec từ PE đến PE.

Cần biết rằng mối đe dọa chính của bảo mật VPN là nghe trộm trên mạng lõi MPLS. Trong thực tế, điều này không đúng: dễ dàng cho một kẻ tấn công tìm thấy một vòng nội bộ gần tòa nhà văn phòng và phát hiện ra lưu lượng trên đường truyền hơn là làm điều tương tự trên mạng lõi MPLS.

Chú ý

Nếu mục đích của việc triển khai IPsec là bảo mật VPN, thì PE dựa trên IPsec không giải quyết tất cả các yêu cầu: đặc biệt, vòng nội bộ (CE-PE) không bảo mật.

Dự thảo mạng “sử dụng PE-PE IPsec trong RFC2547 VPN” (draft-ietf- 2547-03.txt) mô tả cách thức IPsec có thể được sử dụng để đóng gói dữ liệu giữa

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

các PE. Trong nội dung này trình bày rõ ràng về vấn đề trên: “các liên kết bảo mật liên kết ngõ vào PE với các bộ định tuyến PE không đảm bảo tính riêng tư cho dữ liệu VPN”.

Trong chế độ này, các LSP (Label Switching Path) trong mạng lõi MPLS được thay thế bằng các đường hầm IPsec. Vì vậy, đây cũng là một thay thế để chạy các mạng RFC 2547bis trên trên một cơ sở hạ tầng không phải MPLS. Hình 2 -19 cho thấy việc đóng gói được sử dụng:

Nhãn VPN được thêm vào các gói VPN như trong MPLS thông thường; tuy nhiên IPsec có thể chỉ bảo mật các gói IP, không dán nhãn các gói

khác.

Hình 2 .12:Đóng gói IPsec trong bảo mật PE-PE.

Do đó, các gói đã dán nhãn được đóng gói lần đầu tiên trong đóng gói định tuyến chung (GRE).

Gói GRE sau đó có thể được bảo mật với IPsec. Vì các thiết bị đầu cuối của đường hầm GRE giống đường hầm IPsec, chế độ vận chuyển có thể được sử dụng, và điều này tái sử dụng header GRE.

IPsec PE-PE cung cấp đầy đủ các bảo vệ đối với các mối đe dọa sau:

Việc nghe lén trên đường dây giữa các PE hoặc các P router, đặc biệt nếu mạng lõi MPLS được định tuyến qua các khu vực không đáng tin cậy như mạng internet công cộng.

Các bộ định tuyến P có hoạt động không tốt dẫn đến các gói tin bị thay đổi hoặc định tuyến PE đi sai.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Có một vài trường hợp đặc biệt liên quan đến bảo mật PE-PE IPsec được áp dụng và có thể sử dụng được. Ở Mỹ, các nhà cung cấp thị trường bang ILEC tổ chức các kết nối VPN nội bộ trên các bộ định tuyến PE. Để kết nối đến vị trí VPN ở tiểu bang khác, các nhà cung cấp cần đi qua một mạng công cộng. PE-PE IPsec là một công nghệ đầy đủ để bảo vệ việc chuyển tiếp này. Tuy nhiên trong trường hợp này, mạng lõi MPLS như thế không thể được giả sử rằng gần một khu vực đáng tin cậy. Sử dụng IPsec cung cấp phương thức bảo mật này, và nó hoàn toàn minh bạch đối với các người dùng VPN bởi vì họ nhận thấy rằng họ được kết nối đến mạng lõi MPLS VPN đáng tin cậy.

Ở các nước châu Âu, chính phủ kết nối với các Bộ đến một đường trục quốc gia của chính phủ. Lúc này, không có dịch vụ MPLS nào sẵn sàng, vì vậy chính phủ xây dựng đường thuê bao của một mạng và kết nối các bộ định tuyến đến họ. Vì chính phủ muốn cung cấp VPN đến các Bộ, nó được xây dựng trên lõi MPLS của nó, được kết nối bởi các đường dây cho thuê. Các PE được nằm an toàn trong các tòa nhà chính phủ, nhưng các đường dây không an toàn, vì vậy mã hóa IPsec PE-PE được lựa chọn trong trường hợp này. Chú ý việc triển khai này không thể so sánh với các triển khai MPLS VPN của các nhà cung cấp dịch vụ bình thường vì trong trường hợp này các bộ định tuyến “nhà cung cấp biên” thực sự là thiết bị người dùng biên, do đó, từ quan điểm hợp lí, IPsec được áp dụng từ vị trí khách hàng đến khách hàng. Mô hình triển khai này cung cấp bảo mật khách hàng.

Việc thay thế sẽ được chạy IPsec giữa các CE, nhưng trong trường hợp này sẽ phức tạp hơn nhiều thường số CE nhiều hơn số PE đáng kể.

Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE hiện tại không được sử dụng nhiều vì lí do bảo mật. Rõ ràng nó không là một giải pháp tổng thể cho bảo mật VPN. Trong các trường hợp này nên sử dụng IPsec CE-CE. Ngoài việc sử dụng IPsec giữa CE-CE và PE-PE, có một hình thức thứ 3 của việc sử dụng IPsec như là một cách truy cập từ xa VPN.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Trong các mạng doanh nghiệp, các công nhân kết nối với các mạng ở nhà thông qua VPN: được sử dụng để quay số. Tuy nhiên, các nhân viên đi du lịch sử dụng IPsec để để kết nối từ các điểm phát mạng không dây, khách sạn, và các tòa nhà hội nghị đến các văn phòng của họ. Trong các thiết lập truyền thống, một doanh nghiệp qui định một bộ tập trung VPN trong mạng riêng của mình. Nếu một công ty đã là một khách hàng trên một dịch vụ MPLS, việc truy cập truy cập từ xa IPsec đến nhà cung cấp dịch vụ là dễ dàng. Thiết lập này được thể hiện trong hình

2 -20

Hình 2.13: Truy cập từ xa IPsec vào MPLS VPN.

Đường hầm IPsec từ người dùng từ xa được kết thúc trên các bộ định tuyến PE, dựa trên sự nhận dạng của người dùng, được ánh xạ vào VPN. Do đó, bộ định tuyến PE thực hiện đầy đủ 2 nhiệm vụ: điểm cuối truy cập từ xa IPsec và PE MPLS.

Trong ứng dụng này, IPsec phục vụ chủ yếu như một phương pháp truy cập an toàn vào VPN của người dùng, như các điểm truy cập không dây công cộng hay mang internet.

Tất cả các lựa chọn sử dụng IPsec có các ứng dụng đặc biệt của nó. Các cách khác nhau để áp dụng IPsec được tóm tắt trong bảng sau

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Bảng 2 - 2: Tóm tắt các ứng dụng IPsec trên MPLS.

Bảo vệ CE-CE PE-PE Truy cập từ xa

Nghe lén trên lõi Có Có ?

Nghe lến trên đường dây truy cập Có Không ? Nhận lưu lượng bên ngoài một VPN Có Không ? Truyền lưu lượng bên ngoài VPN Có Không ? Xâm nhập thông qua giả CE Có Không ?

Bảo mật truy cập ? ? Có

DoS chống lại VPN Không Không ?

Bảng trên mô tả 3 mô hình IPsec có khả năng ứng dụng hoàn toàn khác nhau và do đó chúng không thể thay thế lẫn nhau được: IPsec CE-CE bảo vệ một VPN chống lại các mối hiểm họa từ bên ngoài; IPsec PE-PE có các ứng dụng rất đặc biệt và giới hạn các ứng dụng, như đã mô tả trong phần trước; và IPsec truy cập từ xa là việc sử dụng rất đặc biệt của IPsec, chứ không phải là một giải pháp bảo mật tổng quát trong đó nó chỉ truy cập vào VPN và không có lưu lượng chung.

Xem xét vị trí để thực thi điểm cuối IPsec. Tiếp theo xem xét cách thức thiết lập đường hầm IPsec.

Một phần của tài liệu Nâng cao khả năng bảo mật của hệ thống thông tin bằng giải pháp tích hợp mạng riêng ảo MPLS VPN và IPSEC (Trang 43 - 51)

Tải bản đầy đủ (PDF)

(64 trang)