2.3. Phân tích bảo mật trong MPLS
2.3.5. Vấn đề bảo mật trong mô hình mạng CsC
Kiến trúc Carrier’s Carries (CsC) đƣợc miêu tả trong RFC 2547bis và có thể đƣợc hiểu nhƣ sau: CsC cung cấp dịch vụ VPN mà đƣợc các nhà cung cấp khác bán lại dịch vụ.
2.3.5.1. Hoạt động của mạng CsC
Kiến trúc của mạng CsC đƣợc miêu tả trong hình vẽ dƣới đây:
Hình 2-14: Mạng CsC
Đứng từ quan điểm bảo mật, mô hình này tƣơng tự nhƣ chuẩn mạng trong RFC 2547, ngoại trừ các gói gán nhãn đƣợc trao đổi giữa các kết nối CE-PE.
Nhà cung cấp dịch vụ cho khách hàng là nhà cung cấp dịch vụ Internet. Nhà cung cấp dịch vụ cho khách hàng là nhà cung cấp VPN MPLS
Nếu nhà cung cấp dịch vụ là ISP, lƣu lƣợng Internet sẽ đƣợc gửi qua toàn mạng của ISP. Để thực hiện đƣợc điều này, mỗi thiết bị định tuyến trên đƣờng dẫn phải biết các định tuyến Internet. Đây có thể là router của ISP nhƣng cũng có thể là PE của nhà cung cấp mạng truyền tải. Đối với nhà cung cấp mạng truyền tải, PE sẽ cần phải giữ toàn bộ thông tin định tuyến cho từng VRF.
Giải pháp là sử dụng LSP thông qua mạng truyền tải lõi chủ yếu là đƣờng ngầm hóa lƣu lƣợng Internet đi qua mạng lõi. Theo cách này PE chỉ cần biết địa chỉ của điểm cuối LSP thay vì toàn bộ bảng định tuyến Internet. Trong giải pháp này PE truyền các prefix với nhãn tới CE do đó PE phải có khả năng nhận và gửi các prefix đƣợc gán nhãn.
Nếu nhà cung cấp dịch vụ là nhà cung cấp dịch vụ VPN MPLS, thì ngƣời sử dụng phải đƣợc kết nối các site một cách trong suốt với mạng truyền tải của nhà cung cấp dịch vụ khách hàng. Điều này có thể thực hiện đƣợc với chuẩn RFC2547 MPLS, nhƣng yêu cầu nhà cung cấp mạng truyền tải phải cấu hình trên mạng lõi một VRF cho mỗi khách hàng của nhà cung cấp dịch vụ. Đối với một khách hàng VPN cần phải cấu hình trên cả mạng của nhà cung cấp dịch vụ lẫn mạng của nhà cung cấp mạng truyền tải. Thêm vào nữa là rất khó có thể mở rộng.
Có một giải pháp là chi trao đổi các địa chỉ loopback của giao thức IGP với nhãn qua mạng lõi theo đó CE sẽ áp đặt nhãn mới cho lƣu lƣợng giữa các site. Theo cách này những PE từ nhà cung cấp dịch vụ chạy giao thức MP-iBGP trực tiếp và mạng lõi không bao giờ nhìn thấy các thông tin VPN của ngƣời sử dụng.
Hình 2-15: CsC - Phân cấp VPN
Các gói tin IP từ khách hàng đƣợc bao gói trong nhãn VPN trên mạng của nhà cung cấp dịch vụ. Để thực hiện đƣợc nhà cung cấp dịch vụ phải có các cấu hình VPN cho mỗi khách hàng. Mạng lõi của nhà cung cấp mạng truyền tải cũng phải cấu hình VPN cho mỗi khách hàng trên PE của nhà cung cấp dịch vụ. Kết quả là các gói lại một lần nữa đƣợc bao gói trong mạng của nhà cung cấp mạng truyền tải.
2.3.5.2.Vấn đề bảo mật của mạng CsC
Để xem xét giải pháp bảo mật cho mạng CsC, phải chia thành mặt phẳng điều khiển và mặt phẳng dữ liệu. Giao diện giữa khách hàng và nhà cung cấp dịch vụ tuân theo chuẩn RFC 2547. Phần mới trong kiến trúc mạng CsC là kết nối giữa PE trong mạng lõi và CE là thiết bị định tuyến của nhà cung cấp dịch vụ.
Trên mặt phẳng điều khiển giao diện này có 2 lựa chọn cơ bản:
Cấu hình giao thức IGP với LDP hoặc TDP. Giao thức định tuyến trong IGP chịu trách nhiệm phân phối định tuyến trong khi LDP/TDP phân phối các nhãn của thiết bị định tuyến này.
Cấu hình BGP với phân phối nhãn mà bao gồm 2 stack trong một giao thức. Tất cả các giao thức này có thể đƣợc bảo mật. Quan trọng là các peer phải biết các kết nối điều khiển. Có thể sử dụng xác thực MD5 cho các giao thức.
Giao thức phân phối nhãn trên giao diện này đƣợc điều khiển trong mọi trƣờng hợp bởi mạng lõi truyền tải. Nguyên tắc trong RFC 2547bis là PE không đƣợc quảng bá cùng nhãn tới 2 CE khác nhau trên mặt phẳng điều khiển. Trong mặt phẳng dữ liệu
chuẩn này yêu cầu khi PE nhận đƣợc gói gán nhãn từ CE nó phải xác định ra nhãn trên cùng đúng là nhãn đƣợc phân phối từ CE đó.
Điều này có nghĩa là mạng lõi truyền tải phát ra các nhãn duy nhất và sau đó trên mặt phẳng dữ liệu điều khiển tất cả các gói sao cho chúng chỉ sử dụng nhãn đƣợc gán cho chúng. Điều này làm cho sự giả mạo từ nhà cung cấp dịch vụ là không thể.
Tấn công đối với mạng truyền tải lõi có thể là các giao thức đƣợc sử dụng (IGP và LDP/TDP hoặc BGP). Do đó chúng phải đƣợc bảo mật chống lại tấn công DoS và chống quảng bá các thông tin sai. Mạng lõi không thể bị tấn công thông qua các gói đƣợc trao đổi. Tuy nhiên bởi vì các gói đƣợc gửi từ CE tới PE không rõ ràng. Chỉ có chuyển đổi nhãn diễn ra đƣợc điều khiển bởi mạng truyền tải.