Dùng chƣơng trình Wireshare mở cả hai file A1.cap và A2.cap chứa các gói tin bắt đƣợc. Ta chỉ thấy duy nhất 1 loại gói tin là ESP. Vì ở đây đã sử dụng giao thức mã hóa ESP để mã hóa mọi lƣu lƣợng bao gồm cả dữ liệu và lƣu lƣợng điều khiển (Các giao thức định tuyến nhƣ EIGRP,…)
0f 00 08 00 45 c0 00 78 00 cd 00 00 ff 32 60 a2 ac 10 01 02 ac 10 00 02 6e 12 83 3e 00 00 00 5e d9 c4 79 fc 7e 56 1f cb d7 41 bb e1 3a d7 a4 0b d6 c7 eb a9 cd e4 3c b8 f3 6f 2e 6f c6 f6 cd ea 0d 2e d1 f6 8a d3 5b 54 ae 10 e6 37 fe ab e5 ad 0b cb b3 29 68 e9 ee 3c 5e 05 ad 11 b7 32 49 81 31 2b e9 00 c6 b6 b7 ed 82 c3 dc 2c 89 5c 8a 72 f2 ce 4c 7b f9 ad 83 f9 04 31 fa 1a Trong đó
4 Byte đầu tiên 0x0f: Cho biết đây là gói tin unicast 12 byte tiếp theo: 00 08 00: Đây là gói tin IP (0x0800)
80 byte tiếp theo c0 00 78 00 cd 00 00 ff 32 60 a2 ac 10 01 02 ac 10 00
02 là phần mào đầu của địa chỉ IP : bao gồm địa chỉ IP nguồn là
172.16.1.2 (ac 10 01 02) và IP đích là 172.16.0.2 (ac 10 00 02)
Các byte còn lại là nội dung của gói tin đã đƣợc mã hóa ESP, không thể dịch ra nội dung chính xác.
Nhận xét :Tòan bộ các trƣờng Original IP header, data và ESP trailer đều đƣợc
mã hóa. Nhƣ vậy hacker không những không đọc đƣợc nội dung gói tin, mà còn không biết đƣợc địa chỉ thực của ngƣời nhận và ngƣời gửi, do đó chỉ có thể thống kê đƣợc lƣu lƣợng IP mà thôi.
3.4. Kết luận
Từ kết quả phân tích và mô phỏng công nghệ IPsec và công nghệ MPLS, ta có thể đƣa ra một số đánh giá nhƣ sau:
Trong khi công nghệ VPN/MPLS cung cấp khả năng mềm dẻo trong các kết nối WAN, giải pháp tối ƣu cho các bài toán về kinh tế đối với giải pháp kết nối mạng của các doanh nghiệp thì IPSec tăng cƣờng tính tin cậy và bù đắp những lỗ hổng bảo mật.
Các triển khai thực tế VPN/MPLS dựa trên dịch vụ của nhà cung cấp (ví dụ dịch vụ MegaWAN của Công ty Viễn thông Liên tỉnh) còn đƣờng ngầm IPSec đƣợc thực hiện trên các modem đầu cuối hỗ trợ tính năng IPSec (nhƣ Juniper SSG20, Cisco series 800 …). Cách triển khai này áp dụng cho các Ngân hàng và các tổ chức doanh nghiệp lớn yêu cầu điều kiện ngặt nghèo về bảo mật trong các kết nối VPN.
Ngoài ra, nếu không muốn sử dụng IPSec, có thể sử dụng công nghệ Layer3 VPN/MPLS cùng với việc đặt các thiết bị phần cứng mã hóa (Data Encryt Device) tại mỗi đầu cuối kênh. Bằng phƣơng pháp này có thể đảm bảo tuyệt đối bảo mật với cả nhà cung cấp dịch vụ khi dữ liệu đƣợc truyền trên các kênh VPN. Tuy nhiên nhƣợc điểm của giải pháp này là: chỉ bảo mật về dữ
liệu chứ không bảo mật về định tuyến và chi phí tốn kém do phải đầu tƣ thiết bị mã hóa đắt tiền cho mỗi kênh đầu cuối. Giải pháp này hiện đang đƣợc một số ngân hàng sử dụng nhƣ Ngân hàng Phát triển và Đầu tƣ…
KẾT LUẬN
Luận văn đã trình bày về bảo mật trong mạng riêng ảo sử dụng công nghệ MPLS trên nền NGN của Tập đòan Bƣu chính Viễn thông Việt Nam VNPT.
Phần tổng quan nêu lên những khái niệm, những đặc điểm nổi bật về mạng riêng ảo VPN, đồng thời trình bày các kỹ thuật cơ bản của công nghệ MPLS VPN trên mạng NGN bao gồm chuẩn RFC 2547 và Router ảo (VR-Virtual Router).
Đi sấu nghiên cứu về bảo mật trong MPLS VPN, tại chƣơng 2, tác giả tập trung nghiên cứu về các khái niệm bảo mật trong công nghệ MPLS VPN, đƣa ra một số mô hình hiểm họa đối với VPN, phân tích bảo mật trong MPLS VPN, đồng thời tiến hành mô phỏng, phân tích kết quả mô hình mô phỏng để chỉ ra rằng, nếu đƣợc cấu hình đầy đủ và chính xác thì vấn đề bảo mật của VPN khi sử dụng đƣờng hầm MPLS cũng giống nhƣ các điểm VPN đã sử dụng kết nối VC ATM/Frame Relay.
Phần cuối luận văn, tác giả đi sâu vào vấn đề bảo mật về phía khách hàng, nội dung trình bày về công nghệ IPsec để mã hóa dữ liệu, đồng thời mô phỏng công nghệ này, để chứng minh độ tin cậy của IPsec.
Do thời gian nghiên cứu có hạn, nên nhiều chỗ, nhiều vấn đề trong luận văn có thể đƣợc trình bầy chƣa sâu sắc và đầy đủ, vì vậy tác giả mong nhận đƣợc sự thông cảm và góp ý quý báu của các thầy, cô để rút ra những bài học kinh nghiệm trên con đƣờng nghiên cứu khoa học sau này.
TÀI LIỆU THAM KHẢO
[1]. Michael H. Behringer, Monique J. Morrow, “MPLS VPN Security”, Cisco Press, 2005.
[2]. Chuck Semeria, “RFC 2547bis: BGP/ MPLS VPN Fundamentals”,
Juniper Networks, Inc, 2003.
[3]. Telecommunications Research Associates, “Understanding MPLS VPNs”, Telecommunications Research Associates LLC, 2002.
[4]. Jon Harison, “VPN Technologies – A comparision”, Data Connection
Limited, http://www.dataconnection.com, 2/2003.
[5]. Draf-ietf-l3vpn-vpn-vr-02, http://www.ietf.org/internet-drafts/.
[6]. Peter Tomsu & Gerhard Wieser, “MPLS – Based VPNs”, Prentice Hall PTR; Prentice – Hall, Inc; 2002.