CHƢƠNG 3 MẠNG RIÊNG ẢO TRÊN NỀN MPLS
3.2 Công nghệ VPN dựa trên MPLS
3.2.6 Bảo mật trong MPLS-VPN
[7] Bảo mật là một trong những yếu tố rất quan trọng đối với tất cả các giải pháp mạng VPN. Về khía cạnh bảo mật thì giải pháp VPN dựa trên BGP/MPLS có thể đạt đƣợc mức độ tƣơng đƣơng với các giải pháp VPN xây dựng trên công nghệ ATM hoặc Frame Relay.
Bảo mật cho VPN phải đảm bảo đƣợc sự cách ly về thông tin định tuyến cũng nhƣ về không gian địa chỉ của mỗi VPN. Nghĩa là việc cấp địa chỉ của mỗi VPN là hoàn toàn độc lập nhau. Thông tin định tuyến từ VPN này không đƣợc phép sang VPN khác và ngƣợc lại. Yêu cầu thứ hai là bảo mật phải đảm bảo đƣợc cấu trúc mạng lõi hoàn toàn trong suốt với khách hàng sử dụng dịch vụ. Thứ ba, bảo mật phải đảm bảo đƣợc việc tránh làm giả nhãn nhƣ việc làm giả địa chỉ IP và chống lại các cuộc tấn công từ chối dịch vụ (Denial of Service) cũng nhƣ tấn công truy nhập dịch vụ (Instrusion).
Để thấy rõ việc bảo mật trong MPLS-VPN đƣợc thực hiện nhƣ thế nào, trƣớc hết cần hiểu rằng MPLS-VPN cho phép sử dụng cùng không gian địa chỉ giữa các VPN nhƣng vẫn đảm bảo đƣợc tính duy nhất của địa chỉ các site khách hàng nhờ vào giá trị 64 bit của trƣờng phân biệt tuyến. Do đó, khách hàng sử dụng dịch vụ MPLS- VPN không cần phải thay đổi địa chỉ hiện tại của mình.
Việc định tuyến trong mạng của nhà cung cấp dịch vụ VPN đƣợc thực hiện trên chuyển mạch nhãn chứ không phải dựa trên địa chỉ IP truyền thống. Hơn nữa, mỗi LSP tƣơng ứng với một tuyến VPN-IP đƣợc bắt đầu và kết thúc tại các bộ định tuyến PE chứ không bắt đầu và kết thúc ở một điểm trung gian nào trong mạng của nhà cung cấp. Do đó mạng lõi bên trong hoàn toàn trong suốt đối với khách hàng. Mỗi bộ định tuyến PE duy trì một bảng VRF riêng cho từng VPN, và VRF này chỉ phổ biến các tuyến thuộc về VPN đó. Nhờ vậy đảm bảo đƣợc sự cách ly thông tin định tuyến giữa các VPN với nhau.
Đối với giải pháp MPLS-VPN, thật khó có thể tấn công trực tiếp vào VPN. Chỉ có thể tấn công vào mạng lõi MPLS, rồi từ đó tấn công vào VPN. Mạng lõi có thể tấn công theo hai cách là trực tiếp vào bộ định tuyến PE hoặc vào các cơ chế báo hiệu MPLS. Tuy nhiên, để tấn công vào mạng, trƣớc hết cần phải biết địa chỉ IP của nó. Nhƣng mạng lõi MPLS lại hoàn toàn trong suốt với bên ngoài, do đó kẻ tấn công không thể biết đƣợc địa chỉ IP của bất kì bộ định tuyến nào trong mạng lõi. Chúng có thể đoán địa chỉ và gửi gói tin đến những địa chỉ này. Song trong mạng MPLS mỗi gói tin đi vào đều đƣợc xem nhƣ là thuộc về không gian địa chỉ nào đó của khách hàng, do đó khó có thể tìm đƣợc các bộ định tuyến bên trong ngay cả khi đoán đƣợc địa chỉ.
Có thể việc trao đổi thông tin định tuyến giữa các bộ định tuyến PE và CE sẽ là điểm yếu trong mạng MPLS-VPN, nhƣng trên bộ định tuyến PE có thể dùng ACL và các phƣơng pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo đƣợc vấn đề bảo mật. Việc làm giả nhãn cũng khó có thể xảy ra vì bộ định tuyến PE chỉ chấp nhận những gói tin từ bộ định tuyến CE gửi đến không có nhãn. Nếu gói tin là có nhãn thì nhãn đó phải do PE kiểm soát và quản lý.
Từ những vấn đề nêu trên, có thể thấy việc bảo mật trong MPLS-VPN đƣợc bảo đảm ở mức độ rất cao và hoàn toàn có thể so sánh ngang bằng với việc bảo mật trong các giải pháp dựa trên ATM hay Frame Relay.