2.3. Phân tích bảo mật trong MPLS
2.3.4. Bảo vệ chống lại sự giả mạo địa chỉ
Thủa sơ khai ban đầu của Internet, địa chỉ nguồn của gói tin đƣợc sử dụng để chứng thực một gói tin đƣợc truyền từ một nguồn địa chỉ nào đó. Tuy nhiên cho đến ngày nay việc giả mạo địa chỉ diễn ra thƣờng xuyên trong các kiểu tấn công mạng khác nhau và địa chỉ nguồn của gói tin không thể tin tƣởng đƣợc.
Bởi vì MPLS là công nghệ lớp 3, do đó ngƣời sử dụng quan tâm đến các vấn đề giả mạo địa chỉ trên mạng MPLS ở cả mức IP lẫn mức nhãn của giao thức MPLS. Một câu hỏi đƣợc đặt ra đối với ngƣời sử dụng VPN là có thể nào một ngƣời sử dụng VPN khác có thể giả mạo địa chỉ để kết nối đến VPN của mình hay không? Hoặc giả mạo nhãn VPN để xâm nhập vào VPN của mình hay không? Câu trả lời nhƣ sau:
Giả mạo địa chỉ IP: Mỗi VPN đƣợc phép sử dụng toàn bộ không gian địa chỉ IP từ 0.0.0.0 đến 255.255.255.255. Một máy tính hoặc một điểm VPN nào đó có thể giả mạo địa chỉ IP nhƣng việc giả mạo này bị cô lập trong bản thân VPN đó mà thôi. Bởi vì các thiết bị định tuyến PE giữ tất cả các gói trong VRF của VPN này và các gói đó không thể “thoát” đến một VPN khác. Do đó giả mạo địa chỉ trong một VPN không ảnh hƣởng đến các VPN tách biệt khác.
Giả mạo nhãn: Trong mạng lõi thì các gói tin của các VPN khác nhau đƣợc tách biệt bởi nhãn VPN. Có giả thiết là ngƣời sử dụng tạo ra các nhãn giả mạo cho gói tin và gửi chúng vào trong mạng lõi nhằm mục đích lấy đƣợc các gói tin của VPN khác. Tuy nhiên điều này là không thể đƣợc bởi vì PE không chấp nhận các gói đƣợc gán nhãn từ CE. Do đó PE sẽ thực hiện việc loại bỏ các gói tin giả mạo nhãn đƣợc gửi đến từ CE. ( Có một ngoại lệ nếu
trong trƣờng hợp VPN là liên AS. Khi đó các PE cho phép các gói tin gián nhãn đƣợc gửi từ bên ngoài)
Tuy nhiên điều gì sẽ xảy ra nếu nhƣ gói tin giả mạo nhãn VPN có thể đột nhập vào mạng lõi. Sau đó gói tin này đƣợc định tuyến đến một VPN nào đó với giả thuyết là kẻ tấn công biết đƣợc một số thông tin trong mạng lõi nhƣ số nhãn của VPN và số nhãn ra của PE. Nhƣ các giả thuyết trƣớc đây cho rằng mạng lõi VPN là bảo mật và nhân tố không bảo mật chỉ là kết nối ra bên ngoài (giữa PE-CE). Ban đầu điều này nghe dƣờng nhƣ là không thực tế nhƣng sự thực là bất kỳ công nghệ VPN nào cũng đều không bảo mật nếu nhƣ một ai đó có thể đƣa gói tin vào mạng lõi.
Giả sử rằng gói tin có thể vào trong mạng lõi thông qua duy nhất kết nối PE-CE thì việc giả mạo không thể xảy ra bởi vì phiên bản đầu tiên của chuẩn BGP/MPLS VPN RFC2547 chỉ cho các gói IP đƣợc đi qua và đƣợc chặn bằng các công cụ bảo mật đơn giản trên thiết bị PE. Tuy nhiên phiên bản chuẩn thứ hai RFC2547bis thêm vào một dạng giao diện khác: giao diện liên AS và giao diện giữa các Carrier. Trong kiến trúc VPN này thì có cho phép các gói gán nhãn từ bên ngoài đƣợc phép đi vào trong mạng lõi. Điều này thay đổi quan điểm bảo mật trong mạng lõi và đƣợc đề cập ở phần sau: vấn đề bảo mật đối với VPN giữa các AS.