Bảo mật trong MPLS VPN

14:17 | 16/10/2013

Mạng riêng ảo (Virtual Private Network - VPN) đã và đang trở thành một giải pháp khá hiệu quả trong việc bảo mật thông tin trong quá trình truyền thông trên các mạng công cộng. Tuy nhiên, mức độ an toàn của nó còn phụ thuộc vào môi trường công nghệ được kết hợp, ví dụ như công nghệ MPLS.

Bài báo này đề cập tới một số khả năng bảo mật nổi bật của công nghệ chuyển mạch nhãn đa giao thức (Multiprotocol Label Switching - MPLS) trong VPN, giải pháp đảm bảo an toàn thông tin cho những người sử dụng mạng riêng ảo; So sánh mức độ bảo mật giữa mạng riêng ảo sử dụng công nghệ chuyển mạch nhãn (MPLS VPN) với các mạng lớp 2 (Frame Relay hay ATM - Asynchronous Transfer Mode), từ đó cho thấy xu thế sử dụng công nghệ mạng riêng ảo ngày nay.
1.  Bảo mật trong MPLS VPN
Công nghệ MPLS là kết quả phát triển của công nghệ chuyển mạch IP sử dụng cơ chế hoán đổi nhãn như của ATM để tăng tốc độ truyền tin mà không cần thay đổi các giao thức định tuyến của IP. Công nghệ MPLS là sự kết hợp giữa lợi ích của chuyển mạch gói lớp 2 (Frame Relay hay ATM) với định tuyến lớp 3. Mạng riêng ảo là một trong những ứng dụng rất quan trọng của công nghệ MPLS. Hiện nay, có nhiều doanh nghiệp, công ty đa quốc gia đã và đang có nhu cầu rất lớn về loại hình dịch vụ này vì nó có nhiều tính năng bảo mật có lợi trong quá trình sử dụng môi trường truyền thông công cộng. Các tính năng bảo mật nổi bật của MPLS VPN thường được chú ý là: tách biệt các VPN, chống lại các cuộc tấn công từ bên ngoài, bảo vệ chống sự giả mạo.
1.1. Tách biệt các VPN
Điều quan trọng trong vấn đề bảo mật thông tin của người sử dụng mạng VPN là lưu lượng thông tin của họ phải được giữ tách biệt với các lưu lượng thông tin của mạng VPN khác và luồng lưu lượng trên mạng lõi. 
Bên cạnh đó, mỗi VPN phải có khả năng sử dụng một không gian địa chỉ IP mà không ảnh hưởng hoặc bị ảnh hưởng bởi các mạng VPN khác và mạng lõi. Tiêu chuẩn của IETF là RFC 2547 bis có thể đáp ứng được yêu cầu này vì có thể có được không gian địa chỉ tách biệt nhau, luồng dữ liệu và sự điều khiển được phân biệt rõ ràng giữa các mạng VPN cũng như giữa một mạng VPN với mạng lõi.
Tách biệt không gian địa chỉ
Để có thể phân biệt các địa chỉ khác nhau giữa các mạng VPN khác nhau, tiêu chuẩn RFC 2547 bis không sử dụng chuẩn địa chỉ IPv4 (hoặc IPv6) trong miền điều khiển của các mạng VPN trên mạng lõi mà đưa ra khái niệm địa chỉ VPN- IPv4 hoặc VPN- IPv6. Một địa chỉ VPN-IPv4 bao gồm 8 byte phân biệt định tuyến RD (Route Distinguisher) tiếp theo sau đó là 4 byte địa chỉ IPv4 (như được mô tả trong hình 1). Tương tự, một địa chỉ VPN- IPv6 bao gồm 8 byte RD, tiếp theo là 16 byte địa chỉ IPv6.

Hình 1: Cấu trúc của địa chỉ VPN-IPv4
Bởi vì trong cấu trúc của MPLS VPN chỉ có các bộ định tuyến biên của nhà cung cấp (PE - Provider Edge) mới phải biết các tuyến VPN và nhà cung cấp, và sử dụng địa chỉ VPN- IPv4 cho các VPN, nên không gian địa chỉ là tách biệt giữa các VPN. Hơn nữa, việc sử dụng IPv4 bên trong mạng lõi, đó là các địa chỉ khác với địa chỉ VPN- IPv4, nên mạng lõi cũng có không gian địa chỉ độc lập cho các VPN khác nhau. Việc cung cấp này tạo ra sự khác nhau rõ ràng giữa các VPN cũng như giữa các VPN với mạng lõi. Hình 2 dưới đây cho thấy các không gian địa chỉ khác nhau được sử dụng trong mạng lõi MPLS VPN.
Hình 2: Mặt phẳng địa chỉ trong mạng MPLS VPN
 Tách biệt về lưu lượng
Lưu lượng VPN bao gồm mặt phẳng dữ liệu VPN và mặt phẳng điều khiển. Người sử dụng VPN đòi hỏi lưu lượng của họ không bị lẫn với lưu lượng mạng VPN khác hoặc với lưu lượng lõi, tức là các gói tin không bị gửi tới một VPN khác và ngược lại. Trên mạng của nhà cung cấp dịch vụ, yêu cầu này càng rõ ràng vì lưu lượng sẽ phải được chuyển qua mạng lõi MPLS. Ở đây, phân biệt lưu lượng miền điều khiển và miền dữ liệu. Miền điều khiển là nơi lưu lượng khởi đầu và kết thúc bên trong mạng lõi, miền dữ liệu bao gồm lưu lượng từ các VPN khác nhau. Luồng lưu lượng VPN này được đóng gói, thường là đường dẫn chuyển mạch nhãn (LSP- Label Switch Path) và được gửi đi từ PE tới PE. Hình 3 dưới đây mô tả các kiểu lưu lượng khác nhau trong mạng lưới MPLS VPN.
Hình 3: Tách biệt lưu lượng
1.2. Chống lại các tấn công
Trong thời gian qua, các cuộc tấn công mạng không chỉ nhằm vào các ứng dụng mà còn tấn công trực tiếp vào cơ sở hạ tầng mạng. Vì thế nhà cung cấp dịch vụ phải chú trọng tới vấn đề bảo mật cho mạng lõi. Đối với dạng tấn công như Tấn công từ chối dịch vụ thì trên môi trường mạng MPLS VPN nó càng trở nên nguy hiểm hơn: nếu kẻ tấn công (hacker) có thể nắm quyền kiểm soát thiết bị PE, thì độ an toàn của bất kỳ VPN nào trên mạng MPLS lõi cũng có thể bị tổn hại, cho dù có kết nối tới PE này hay không.
  Tấn công mạng lõi MPLS
Như đã đề cập đến phần trước, các VPN được tách biệt với nhau và với mạng lõi.  Điều đó cũng hạn chế khả năng tấn công tới các điểm trong mạng. Như trong hình 4, chỉ một giao diện là nơi mà một VPN có thể thấy được mạng lõi và gửi các gói tin tới một thiết bị của mạng lõi, đó là bộ định tuyến PE, bởi vì mạch kết nối giữa các bộ định tuyến biên khách hàng (CE -  Customer Edge) và PE thuộc về VPN. Vì thế, chỉ có các điểm tấn công có thể nhìn thấy từ một VPN là tất cả các giao diện của bộ định tuyến PE kết nối tới bộ định tuyến CE của khách hàng. Ví dụ, trong hình 4, VPN1 chỉ có thể thấy giao diện PE mà nó kết nối tới và không thể thấy các giao diện trên PE khác.

Hình 4: Không gian địa chỉ có thể nhận ra từ VPN
Bộ định tuyến CE được coi là không tin cậy bởi vì nó luôn được đặt ở phía khách hàng và có thể bị thay thế bởi các bộ định tuyến khác hoặc thậm chí trong một số trường hợp bị thay bởi một máy trạm. Còn bộ định tuyến PE phải luôn được đặt trong môi trường an toàn.
Theo lý thuyết, một bộ định tuyến PE có thể bị tấn công bởi một luồng lưu lượng chuyển tiếp hoặc chính bởi luồng lưu lượng mà đích là PE này. Luồng lưu lượng chuyển tiếp thường ít ảnh hưởng bởi vì các bộ định tuyến được thiết kế để chuyển tiếp gói tin một cách nhanh nhất. Với luồng lưu lượng nhận được (đích đến chính là PE này) cần phải quan tâm hơn vì nó ảnh hưởng trực tiếp lên PE. Có hai dạng tấn công:
- Từ chối dịch vụ (DDoS): Trong trường hợp này, kẻ tấn công có gắng sử dụng hết tất cả tài nguyên trên bộ định tuyến PE bằng cách gửi nhiều gói tin cập nhật cho bộ định tuyến, các bộ nhớ sẽ bị sử dụng hết.
- Xâm nhập (intrusion): Kẻ tấn công cố gắng sử dụng một kênh hợp lệ để cấu hình lại bộ định tuyến PE. Ví dụ dùng Telnet hoặc SSH (Secure Shell) port hoặc SNMP (Simple Network Management Protocol) để cấu hình lên bộ định tuyến.
Bảo vệ mạng lưới MPLS
Tất cả các khả năng tấn công đều có thể kiểm soát được bằng cách cấu hình một cách chính xác. Có thể dùng Danh sách điều khiển truy cập (ACL - Access control list) cho tất cả các giao diện của bộ định tuyến PE. Nếu định tuyến được yêu cầu thì cổng định tuyến phải không được khóa bởi ACL, khi đó kẻ tấn công chỉ có thể tấn công trực tiếp vào giao thức định tuyến.
Từ phân tích trên, bộ định tuyến PE sẽ nhận các gói tin trên cổng cho giao thức định tuyến và được bảo đảm bất kỳ gói tin nào khác tới PE sẽ bị chặn lại bởi ACL. Cấu trúc MPLS VPN sẽ cung cấp tính bảo mật cao hơn do giao diện vào mạng lõi bị giới hạn và chỉ để lộ ra địa chỉ IP của bộ định tuyến PE. Mạng MPLS VPN ít bị lộ thông tin ra để có thể bị tấn công từ bên ngoài hơn so với công nghệ IP truyền thống. Một ưu điểm nữa của MPLS là dùng bộ định tuyến biên với bên ngoài, nên càng có sự tách bạch cấu trúc mạng hơn.
Tuy nhiên, độ an toàn mạng MPLS còn tùy thuộc vào cách định tuyến trên mạng Internet được thực hiện như thế nào. Tính an toàn của MPLS cao hơn là do nó hạn chế được việc truy cập tới bảng định tuyến toàn cục (global table).
  Bảo vệ chống lại sự giả mạo
Giả mạo (Spoofing) là một dạng vi phạm an toàn trong đó kẻ tấn công dưới danh nghĩa một người dùng hợp pháp truy nhập vào hệ thống máy tính một cách bất hợp pháp. Dạng đơn giản nhất của spoofing là lấy được tên và mật khẩu của người dùng để truy cập. Do ngày nay sự giả mạo IP hay được dùng để thực hiện các cuộc tấn công dưới nhiều hình thức vào các mạng có kết nối Internet, VPN cũng không phải là ngoại lệ. Dưới đây phân tích khả năng giả mạo địa chỉ IP hoặc giả mạo nhãn VPN để xâm nhập vào VPN của người dùng:
- Giả mạo địa chỉ IP: Một VPN có thể sử dụng toàn bộ dải địa chỉ IP, từ 0.0.0.0 tới 255.255.255.255. Một site VPN hoặc một host nào đó có thể giả mạo địa chỉ IP nhưng địa chỉ giả mạo này vẫn là địa chỉ cục bộ (local) đối với VPN kia. Vì thế địa chỉ IP giả mạo trong một VPN không ảnh hưởng tới VPN khác.
- Giả mạo nhãn: Bên trong một mạng lõi MPLS, các gói tin được phân biệt bằng việc thêm vào trước nó một nhãn VPN. Một người sử dụng VPN giả mạo mong muốn tạo các gói tin với nhãn giả, chèn vào mạng lõi MPLS và cố gắng đưa các gói tin này vào các VPN khác. Điều này không thể thực hiện được vì các bộ định tuyến PE không chấp nhận các gói tin đã được gán nhãn từ các bộ định tuyến của khách hàng. Vì thế gói tin giả sẽ bị chặn bởi PE.
2. So sánh tính bảo mật của MPLS VPN với ATM / Frame
Relay VPN
Rất nhiều tổ chức đang sử dụng dịch vụ VPN dựa trên công nghệ ATM hoặc Frame Relay trước đây đang chuyển sang sử dụng dịch vụ MPLS VPN. Những người mới sử dụng MPLS thường lo ngại trước một thực tế là dịch vụ MPLS VPN có một vùng điều khiển ở lớp 3. Tuy nhiên, như đã biết từ trước, các dịch vụ lớp 3 này có thể được đảm bảo an toàn một cách chính xác và phù hợp với sự cung cấp các dịch vụ VPN.
 2.1. Sự tách biệt VPN
Trong các công nghệ lớp 2, việc tách VPN của người sử dụng với các VPN khác và với mạng lõi là hoàn toàn đạt được bằng cách chia lớp: mạng lõi dành riêng sử dụng lớp 2, thông tin lớp 3 của một VPN được tách ra. Trong các mạng MPLS VPN, sự tách biệt này là hợp lý bằng cách duy trì các nội dung tách biệt đó trên một bộ định tuyến của nhà cung cấp dịch vụ. Mặc dù hai công nghệ khác nhau nhưng cùng đem lại một kết quả là mỗi VPN có thể sử dụng toàn bộ không gian địa chỉ trong VPN của họ và không thể gửi các gói tin tới các VPN khác trong cùng một mạng lõi.
2.2. Chống lại các cuộc tấn công
Với nhiều người sử dụng VPN, họ không thể chấp nhận được nếu một dịch vụ VPN bị ảnh hưởng bởi các cuộc tấn công DoS từ bên ngoài. Một kẻ tấn công có quyền kiểm soát một thành phần mạng từ đó có thể kiểm soát bất kỳ VPN nào. Vì thế công nghệ VPN phải chống lại được các cuộc tấn công này.
Các mạng MPLS VPN thường xuyên có thể truy cập từ Internet, vì vậy, một kẻ tấn công có chủ ý nếu có đủ thời gian có thể truy cập vào bộ định tuyến PE qua môi trường Internet. Còn mạng ATM hoặc Frame Relay cũng chống lại được các cuộc tấn công. Với chuyển mạch ATM hoặc Frame Relay cũng có miền điều khiển lớp 3 (ví dụ telnet) và có thể bị tấn công nếu không được bảo vệ tốt. Trong các trường hợp nếu VPN được cấu hình chính xác thì kẻ tấn công không dễ gì thực hiện mục đích được.
2.3. Không có sự giả mạo VPN
Như đã phân tích ở trên, không thể giả mạo VPN khác hoặc mạng lõi. Trường hợp ATM và Frame Relay cũng vậy, không có cách nào để giả mạo cơ chế báo hiệu như Virtual Path Identifier/Circuit Identifier (VPI/VCI) để có thể giả mạo một VPN khác.
2.4. CE - CE visibility
Dịch vụ kết nối điểm tới điểm của ATM hay Frame Relay có ưu điểm hơn so với MPLS VPN là do thực hiện các dịch vụ lớp 2 nên các CE có thể thiết lập trực tiếp mối quan hệ “hàng xóm” với lớp 3 và có thể thấy các CE khác. Đối với kiến trúc MPLS thì không thể thực hiện được điều đó, vì kiểu kết nối của kiến trúc MPLS VPN sẽ cung cấp kết nối từ một CE tới một đám mây mạng. Điều này tránh được sự chồng lấp trong việc thiết lập đường hầm tới tất cả các CE khác, nhưng cũng vì thế mà nó sẽ không có được thông tin trực tiếp của CE kề bên.

So sánh tính bảo mật của MPLS VPN với ATM / Frame Relay VPN
3. Kết luận
Bên cạnh việc cung cấp hầu hết các vấn đề bảo mật tương đương các mạng VPN lớp 2 truyền thống như ATM hay Frame Relay, MPLS VPN là một công nghệ có nhiều ưu điểm về độ an toàn như: Các mạng VPN có thể tách biệt riêng phần địa chỉ và phần lưu lượng, mạng lõi không dễ bị tấn công; Việc giả mạo VPN là khó thực hiện; Mạng lõi là hoàn toàn ẩn đối với người dùng VPN. Do đó, hiện nay nhiều tổ chức, doanh nghiệp lựa chọn mô hình này để triển khai hệ thống mạng an toàn cho doanh nghiệp của mình. Tuy nhiên, các mạng MPLS VPN chỉ an toàn khi việc thực thi (triển khai, cấu hình, sử dụng) và điều hành mạng được thực hiện một cách đúng đắn và đầy đủ. Nhờ ưu điểm vượt trội của chất lượng dịch vụ qua mạng IP, MPLS VPN sẽ khắc phục được nhiều vấn đề mà các công nghệ trước đó chưa giải quyết được. Đây thực sự là một lựa chọn khá hiệu quả trong triển khai hạ tầng thông tin của tổ chức, doanh nghiệp.
Khảo sát mức độ hài lòng của độc giả