2.3. Phân tích bảo mật trong MPLS
2.3.2. Tăng cƣờng chống lại tấn công
Từ nhiều năm qua, các cuộc tấn công mạng ngày càng tăng không chỉ tấn công vào những máy chủ ứng dụng mà còn nhắm đến kiến trúc hạ tầng mạng. Do đó các nhà cung cấp dịch vụ cần hết sức chú ý bảo vệ mạng lõi của mình. Hậu quả nghiêm trọng mà tấn công DoS nhƣ chúng ta đã biết nhƣng khi tấn công này xảy ra trong mạng MPLS VPN thì còn nguy hiểm hơn nếu nhƣ mục tiêu của cuộc tấn công nhằm vào các PE thì sự bảo mật của mạng lõi và MPLS VPN mà có kết nối với PE đó đều bị ảnh hƣởng. Các nhà cung cấp dịch vụ cần bảo vệ các PE khỏi bị tấn công.
2.3.2.1. Nơi mà mạng lõi MPLS có thể bị tấn công
VPN đƣợc tách biệt với nhau và với mạng lõi. Điều này làm hạn chế các điểm có khả năng bị tấn công trên mạng.
Hình 2-12: Không gian địa chỉ có thể nhìn thấy từ VPN
Hình vẽ cho thấy chỉ có một giao diện mà VPN có thể gửi gói tin vào mạng lõi là có thể nhận biết đƣợc từ VPN. Đây là giao diện nối từ thiết bị CE đến thiết bị PE và giao diện này thuộc về VPN đó. VPN không thể nhận biết các giao diện khác trên PE cũng nhƣ các thiết bị mạng lõi. Do đó các điểm có khả năng bị tấn công là các điểm trên thiết bị PE có kết nối đến CE trong VPN và những điểm này cần phải đƣợc tăng cƣờng bảo mật.
Một CE luôn phải đƣợc coi là không bảo mật vì CE là thiết bị đặt tại khách hàng VPN và có thể bị thay thế bởi các thiết bị định tuyến khác. PE luôn đƣợc coi là thiết bị bảo mật và cần phải đƣợc bảo mật bởi sự xâm nhập vào PE có thể gây ra nguy cơ mất bảo mật tới toàn bộ mọi VPN trên PE đó. PE cũng phải hoàn toàn đƣợc bảo mật trong môi trƣờng vật lý.(trạm, nhà đặt thiết bị…).
Mặc định thì VPN có thể nhận biết tất cả các địa chỉ gateway PE trong không gian địa chỉ của VPN đó. Đây là những điểm PE có nguy cơ bị tấn công trong môi trƣờng VPN MPLS.
2.3.2.2. Mạng lõi MPLS có thể bị tấn công như thế nào
Về cơ bản PE có thể bị tấn công từ các gói tin truyền qua PE hoặc các gói tin truyền đến PE. Lƣu lƣợng gói tin mà đƣợc đích đến PE gọi là lƣu lƣợng nhận.
Lƣu lƣợng truyền qua PE thƣờng ít gây nguy hiểm hơn bởi vì router lúc đó chỉ đóng vai trò chuyển tiếp gói tin. Tuy nhiên một số dạng gói nhất định không thể xử lý bằng phần cứng gây ra tải nặng trên thiết bị định tuyến. Do đó việc làm ngập các gói tin có thể dẫn đến tấn công DoS trên thiết bị định tuyến.
Các gói với phần lựa chọn IP là một ví dụ. Một gói với phần mào đầu IP có chiều dài thay đổi mà không thể xử lý trên bộ vi xử lý trong router (ASIC). Điều này có nghĩa là các gói bất thƣờng đó phải đƣợc xử lý bằng phần mềm làm giảm khả năng hoạt động tốt của router.
Các lƣu lƣợng gói tin có đích đến chính là PE thì có nguy cơ gây ra tác hại hơn vì nó tác động trực tiếp lên PE. Có hai dạng tấn công có thể xảy ra đối với các gói đích đến PE là:
DoS: Trong kiểu tấn công này, kẻ tấn công cố gắng dùng hết các tài nguyên trên PE. Điều này có thể xảy ra ví dụ nhƣ gửi rất nhiều cập nhập định tuyến cho PE, chiếm tài nguyên trên PE.
Sự xâm nhập: Trong trƣờng hợp này kẻ tấn công cố gắng sử dụng các kênh hợp pháp để cấu hình PE. Ví dụ dò tìm password của telnet, ssh hoặc SNMP và sử dụng để điều khiển PE.
2.3.2.3. Mạng lõi có thể được bảo vệ như thế nào
Tất cả các cuộc tấn công có thể đƣợc ngăn chặn nếu nhƣ cấu hình mạng là chính xác và an toàn. Có thể sử dụng ACL để bảo mật tất cả các kết nối đến PE. Nếu việc định tuyến là cần thiết thì giao diện có định tuyến nên là giao diện duy nhất không bị khóa bởi ACL. Đến đây thì kẻ tấn công chỉ có thể tấn công đến giao thức định tuyến một cách trực tiếp và các giao thức đó cần phải đƣợc bảo mật riêng.
PE chỉ nên chấp nhận các gói tin trên các cổng có tƣơng tác giao thức định tuyến và không chấp nhận bất kỳ gói tin nào khác đƣợc gửi đích đến PE bằng ACL. Tất nhiên để bảo mật hoàn toàn, tất cả các giao diện đi vào mạng lõi phải đƣợc xem xét.