5.8. Vấn đề bảo mật trong VPN
5.8.4.3.Che giấu cấu trúc lõi
Phần trên chỉ ra rằng không thể nào từ một VPN này xâm nhập vào VPN khác. Cách còn lại là tấn công vào lõi MPLS và từ đây xâm nhập vào VPN mong muốn.
Muốn tấn công vào mạng lõi MPLS, hacker cần phải biết địa chỉ của một P router trong đó. Nhng mạng VPN/MPLS lại có khả năng che giấu cấu trúc lõi của nó trớc ngời dùng. Ngời dùng VPN chỉ biết đợc địa chỉ IP của PE (nối trực tiếp với CE). Các P router hoàn toàn đợc che giấu với bên ngoài. Điều này thực hiện đợc không phải nhờ vào ACL mà nhờ chính bản chất của cơng nghệ MPLS. Địa chỉ mà P router sử dụng không thuộc không gian địa chỉ IP thông thờng của mạng VPN. Nên dù địa chỉ của P có bị lộ ra ngồi thì một hacker ở một VPN nào đó cũng khơng thể chiếm quyền sử dụng P đợc.
Cách cịn lại là tấn cơng trực tiếp vào PE router bằng cách liên tục gửi các gói tin IP nhằm làm tràn bộ đệm router. Nhng vấn đề này có thể đợc xử lý bằng cách cấu hình ACL nh trình bày ở trên, loại bỏ tất cả các gói IP từ các mạng khơng nối trực tiếp với giao diện, chỉ cho thông tin định tuyến đi qua.
Vấn đề cuối cùng là hacker sẽ lợi dụng đặc điểm này của ACL để tấn công vào cơ chế thông báo của MPLS. Nh chúng ta đã biết, định tuyến giữa CE – PE có thể cấu hình theo 2 cách:
• Tĩnh: ngời quản trị cấu hình mặc định tuyến CE – PE. Ngời dùng VPN
không đợc biết địa chỉ của PE , nên độ bảo mật của mạng lõi sẽ cao hơn.
• Động: để cung cấp mức độ bảo mật cho môi trờng định tuyến động, giữa
PE và CE cần áp dụng cơ chế xác thực MD5. Cơ chế này sử dụng thuật tốn băm để đảm bảo khơng bị giả mạo địa chỉ.