Hoạt động ở chế độ Flow-based, Passive. Thông thường hệ thống chỉ hoạt động ở chế độ
Passive, không can thiệp v ào luồng dữ liệu mạng. Khi phát hiện tấn công, luồng dữ liệu bị
phát hiện“không sạch” sẽ được định tuyến đến các bộ phận“làm sạch” trước khi chuyển đến
đích.
103 trang |
Chia sẻ: lylyngoc | Lượt xem: 4809 | Lượt tải: 4
Bạn đang xem trước 20 trang tài liệu Luận văn Nghiên cứu và đề xuất giải pháp an ninh đầu cuối cho Next Generation Network(NGN), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Hiện trạng nghiên cứu về an ninh NGN của các tổ chức chuẩn hoá
Tại Việt Nam, các công việc nghiên cứu liên quan đến lý thuyết cũng như các liên quan đến xây dựng
phương án thực tế nhằm đảm bảo an toàn cho mạng NGN còn rất hạn chế.
Trên thế giới, vấn đề an ninh NGN trở thành tâm điểm và thu hút rất nhiều sự quan tâm của cả các tổ
chức chuẩn hoá cũng như các nhà sản xuất thiết bị viễn thông.
Sau những nỗ lực chuẩn hoá về kiến trúc mạng cũng như những vấn đề xung quanh các tổ chức chuẩn
hoá lớn như ITU, ETSI, 3GPP… đã tập trung khá nhiều vào việc nghiên cứu an ninh cho NGN, các
chủ đề nghiên cứu trong an ninh cho NGN được thực hiện khá đa dạng, tuy nhiên hiện các chuẩn công
nghệ hoàn chỉnh giải quyết đến những vấn đề cụ thể trong an ninh NGN thì gần như chưa có.
Các nhà sản xuất thiệt bị lớn như Alcatel, Cisco, Huawei… bên cạnh giải pháp NGN mà họ đưa ra thì
đều cũng giới thiệu giải pháp an ninh cho mạng NGN. Gần như tất cả các hãng đều nhận ra tầm quan
trọng của vấn đề an ninh cho NGN khi được triển khai trên quy mô rộng, họ cho đó là điều bắt buộc
cần phải triển khai chứ không còn là sự tuỳ chọn, tuy nhiên qua các tài liệu mà học viên nghiên cứu
được thì các hãng chỉ đưa ra những vấn đề chung mang tính chất nguyên tắc và gợi mở còn chi tiết và
cách thức thực hiện giải pháp luôn là bí mật của từng hãng và không được công bố rộng rãi.
4.3.1 Lựa chọn framework an ninh
Trước hết chúng ta xem xét các công việc mà các tổ chức chuẩn hóa đã thực hiện liên quan đến vấn đề
an ninh cho NGN.
ITU: Trước đây trong phần phụ lục của khuyến nghị Y.2012 (Functional requirements and
architecture of the NGN release 1) có nêu ra chức nnăg của phần tử SBC - Session/border
control (S/BC) và gần đây ban hành khuyến nghị chính thức Y.2701 (4/2007) về Yêu cầu an
ninh cho NGN. Ngoài ra các chuẩn liên quan đến an ninh NGN của ITU gần như không có.
Một tập các khuyến nghị liên quan đến vấn đề an ninh của ITU đó là tập X.8xx, trong đó đáng
chú ý là X805 (10/2003): Kiến trúc an ninh từ đầu cuối đến đầu cuối cho mạng chuyển mạch
gói nói chung.
IETF: Các chuẩn công nghệ giải quyết vấn đề an ninh cho phần mạng truyền tải IP, không
phải cho các ứng dụng trên đó.
3GPP: Kiến trúc an ninh cho mạng truy nhập di động với kiến trúc điều khiển theo lõi IMS
hướng đến mạng hội tụ, tuy nhiên cũng chưa rõ ràng.
ETSI: Tổ chức này đã đưa ra các chuẩn công nghệ liên quan đến một số vấn đề an ninh của
NGN như: Phân tích nguy cơ, Yêu cầu an ninh, và Kiến trúc an ninh cho NGN theo IMS
nhưng còn rất chung chung mang tính nguyên tắc chưa thể áp dụng được.
Nhìn chung có thể thấy là khuyến nghị X.805 của ITU về Kiến trúc an ninh từ đầu cuối đến
đầu cuối cho các hệ thống truyền thông là một trong những nền tảng cho việc nghiên cứu vấn
đề an ninh trong các mạng gói và cũng là nền tảng để xây dựng các khuyến nghị khác về an
ninh từ đầu cuối đến đầu cuối. Mặc dù chuẩn công nghệ này áp dụng một cách tương đối tổng
quát cho mọi công nghệ mạng bên dưới (không phải với mục đích sử dụng cho riêng mạng
NGN) và hiện tại vẫn chưa có một tài liệu nào công bố về việc áp dụng chuẩn này cho mạng
69
NGN. Qua quá trình nghiên cứu các tài liệu chuẩn về vấn đề an ninh của một số tổ chức đó,
học viên xác định sẽ sử dụng khuyến nghị này để xây dựng một cơ sở lý thuyết chính cho việc
xây dựng giải pháp an ninh đối vói mạng NGN. Do đó, trong phần này học viên sẽ đi sâu phân
tích nội dung của khuyến nghị X.805, làm rõ được qui trình cách thức áp dụng của chúng. Và
trong phần tiếp sau đó, toàn bộ kết quả của việc phân tích trong phần này sẽ được áp dụng trực
tiếp sang mạng NGN, được diễn tả dưới ngôn ngữ của các phần tử trong NGN.
Khuyến nghị X.805 nhằm xây dựng được một tập các phần tử kiến trúc (các thành phần
trong kiến trúc) liên quan đến việc thực hiện chức năng an ninh tổng quát để có thể cung cấp
cơ chế an ninh từ đầu cuối đến đầu cuối (end-to-end security).
4.3.2 Phân tích khuyến nghị X.805
4.3.2.1 Đánh giá ưu nhược điểm của X.805
Ưu điểm
Là một Framework rất rõ ràng và bài bản.
Đưa ra đầy đủ định nghĩa vễ các Nguy cơ và các Giải pháp tổng quát tương ứng rất thuận lợi
cho việc xây dựng các Giải pháp an ninh end-to-end cho một đối tượng.
Nhược điểm
Chưa chỉ rõ loại nguy cơ xuất phát từ bên trong hay từ các tương tác bên ngoài.
Chỉ áp dụng đảm bảo an ninh theo kiến trúc end-to-end nên có thể bỏ sót các đối tượng an
ninh trong nội bộ đối tượng. Như vậy X.805 chỉ có hiệu quả khi đối tượng đầu vào được phân
tích kỹ càng thành các đối tượng nhỏ hơn đảm bảo không bỏ sót các giao diện tiềm ẩn nguy
cơ.
4.3.2.2 Miền an ninh
Việc áp dụng khuyến nghị X.805 có thể thực hiện cho từng phần tử mạng một cách riêng biệt tuy
nhiên điều này nảy sinh 2 vấn đề.
Một là mức độ bảo vệ sẽ không cao, điều này thể hiện ở chỗ: vì các phần tử chức năng ngoài
việc thực hiện chức năng an ninh còn phải thực hiện chức năng chính khác của nó trong mạng
do đó không thể năng lực xử lý chức năng an ninh của các phần tử sẽ không thể lớn.
Hai là có sự lặp trong việc phải xử lý cùng chức năng an ninh đối với các phần tử. Một giải
pháp được nghĩ ra đề giải quyết vấn đề này đó là sử dụng biện pháp phân miền an ninh, nhờ
việc gom các phần tử lại thành một miền như khái niệm sẽ được làm rõ trong phần dưới đây.
Bản thân miền an ninh là một khái niệm không được nêu ra trong khuyến nghị X.805, nó không là một
thành phần an ninh trong kiến trúc an ninh mà khuyến nghị X.805 đưa ra, mà chỉ được đề cập gần đây
trong các kiến trúc an ninh của 3GPP hay của TISPAN. Học viên lựa chọn đưa khái niệm này vào
trình bày trong phần này đó là bởi vì các giải pháp an ninh thực tế đều dựa trên khái niệm này, và theo
ý kiến chủ quan của học viên thì việc thực hiện kỹ thuật phân miền an ninh sẽ làm cho việc phân tích
các vấn đề an ninh trở nên bớt phức tạp đi rất nhiều so với áp kiến trúc an ninh đầy đủ đến từng thực
thể chức năng trong mạng, đồng thời cũng làm cho giải pháp an ninh được đơn giản hơn như chúng ta
sẽ thấy về sau.
70
Khái niệm miền an ninh có thể được hiểu là một tập các phần tử cần có độ an toàn tương đương, được
quản trị bởi một nhà quản lý duy nhất. Một mạng sẽ được phân chia thành nhiều miền an ninh, mỗi
miền bao gồm một vài phần tử, các miền được phân cách nhau bởi một phần tử biên, có nghĩa là lưu
lượng liên miền đều phải đi qua phần tử biên đặt giữa 2 miền đó. Phần tử biên này sẽ thực hiện một số
biện pháp an ninh chung cho cả những phần tử bên trong nó.
Khi chúng ta thực hiện cơ chế phân miền an ninh và sử dụng các phần tử biên như vậy sẽ khắc phục
được 2 vấn đề gặp phải như đã nói ở trên khi áp dụng đối với từng phần tử riêng biệt. Đó là do chỉ tập
trung vào thực hiện chức năng an ninh cho nên có thể yêu cầu phần tử biên này có năng lực xử lý chức
năng an ninh khá lớn, chúng ta sẽ có thể tăng cường áp dụng biện pháp an ninh cho toàn miền nhờ
việc thực hiện chức năng an ninh trên phần tử này. Mặt khác cũng tránh được sự chồng lặp về việc
phải xử lý các biện pháp an ninh nhờ việc đẩy các biện pháp an ninh chung cần áp dụng cho các phần
tử ra phần tử biên.
Vì vậy trong những phân tích và đề xuất về giải pháp an ninh của học viên về sau học viên sử dụng
khái niệm miền an ninh như là một thành phần trong kiến trúc an ninh đồng thời thực hiện phân miền
an ninh trong qui trình áp dụng X.805.
4.4 Các bổ sung cho X.805
4.4.1 Bổ sung về phân loại nguy cơ
X.805 đưa ra 5 nguy cơ nhưng chưa chỉ rõ nguồn gốc các nguy cơ này. Để dễ nhìn nhận, theo học
viên, để thuận tiện cho việc đánh giá mức độ quan trọng, các nguy cơ cần phải được phân loại thành
Nguy cơ nội bộ: Là loại nguy cơ xảy ra khi đối tượng mạng hoạt động độc lập, không có sự
tương tác với các đối tượng khác. Trên thực tế loại nguy cơ này có nguồn gốc từ các hoạt
động liên quan đến quá trình OA&M.
Nguy cơ từ bên ngoài: Là loại nguy cơ xảy ra khi đối tượng mạng tham gia vào hoạt động
tương tác với các đối tượng khác.
4.4.2 Bổ sung về phân loại giải pháp
Tương ứng với việc phân loại nguồn gốc nguy cơ, 8 giải pháp X.805 đưa ra cũng cần được chia làm 2
loại:
Nguy cơ t? bên
trong
Nguy cơ t? bên
ngoài
Đ?i tư?ng an ninh
Hình 4.1 Phân loại nguy cơ an ninh
71
Giải pháp OAM: Trong nhiều trường hợp, nguy cơ mất an ninh xảy ra do chính nội bộ đối
tượng, cụ thể là thông qua các lỗ hổng OAM. Người thực hiện OAM vô tình hay hữu ý có thể
gây ra sai sót ở nhiều mức độ khác nhau. Đồng thời đôi khi sự bảo đảm an toàn trong quy
trình OAM cũng làm giảm thiểu rất nhiều nguy cơ mất an ninh (phòng trước khi chống).
Giải pháp tự bảo vệ: Loại giải pháp này được áp dụng cho bản thân NeE chứ không phải các
NSE.
Giải pháp bảo vệ dưới sự hỗ trợ của các NSE.
Giải pháp bảo vệ
dưới sự hỗ trợ của
đối tượng khác
Giải pháp tự
bảo vệ
Giải pháp đảm
bảo quy trình hoạt
động
4.5 Quy trình xây dựng giải pháp an ninh mạng NGN
Như đã nêu trong phần phân tích khuyến nghị X.805, bản thân X.805 chỉ là một framework an ninh
thực hiện từ đầu cuối đến đầu cuối (end-to-end), mà bài toán an ninh đặt ra thường thì không phải
dạng này, vì nguy cơ có thể đến từ bất kỳ đoạn mạng nào, trên bất kỳ giao diện nào. Như vậy, việc
phân rã đối tượng mạng thành các đối tượng nhỏ hơn rồi áp dụng X.805 là một bước cần thiết để có
thể phát hiện đầy đủ các nguy cơ đồng thời giảm thiểu độ phức tạp xử lý trong quá trình xây dựng giải
pháp an ninh cho bất kỳ mạng nào.
Dưới đây là quy trình thực hiện nhiệm vụ do học viên cùng nhóm nghiên cứu tại CDiT đề xuất.
Hình 4.2 Phân loại giải pháp an ninh
72
Tiền xử lý (TXL)
X.805
Dữ liệu mạng
Tối ưu hoá (TUH)
Giải pháp
Cập nhật dữ
liệu mạng
Cập nhật tiêu
chí tiền xử lý
Cập nhật tiêu
chí tối ưu hoá
4.5.1 Module tiền xử lý
Như đã phân tích ở trên, phân tích mạng là một khâu rất quan trọng, vấn đề đặt ra là phân tích thế nào?
Tiêu chí nào được sử dụng? Mức độ quan trọng ra sao?
Nguyên tắc chung
Phải xây dựng được bộ tiêu chí và thứ tự ưu tiên để khuyến nghị ban đặt hàng đồng thời phải
thống nhất với ban đặt hàng trước khi đi vào xử lý.
Phân chia càng nhỏ thì càng tránh bỏ sót nguy cơ an ninh, tuy nhiên cũng nên tránh phân chia
quá nhỏ gây phức tạp hoá giải pháp.
Các miền phải có tính độc lập tương đối theo nguyên tắc các giao diện nội bộ phải nhiều hơn
các giao diện với miền khác
Đầu vào
Thông tin về Mô hình quản lý
Thông tin về Dịch vụ
Thông tin về Cấu trúc mạng
Thông tin về Công nghệ
Thông tin về Thiết bị cụ thể
Thông tin về Nhà cung cấp thiết bị
Thông tin về Lộ trình phát triển mạng
Hình 4.3 Quy trình xây dựng giải pháp
73
Đầu ra
Sơ đồ phân rã mạng theo các tiêu chí phân chia (quản lý, công nghệ, dịch vụ,…), thành các
đối tượng, gọi là các miền an ninh
Bước 0: Chốt danh sách tiêu chí và thứ tự ưu tiên
Dữ liệu mạng
Các miền an
ninh
Bước 1: Phân rã theo tiêu chí cao nhất
Bước 2: Loại bỏ tiêu chí cao nhất
Bước 3: Thiết lập tiêu chí có độ ưu tiên thứ hai thành thứ nhất
Còn tiêu chí?
Bước 4: Lặp lại bước 1
Đúng
Sai
4.5.2 Module X.805
Nguyên tắc chung
Không được bỏ sót bất kỳ yếu nố nào liên quan đến công nghệ
Ưu tiên xử lý các nguy cơ từ bên ngoài trước
Đầu vào
Miền an ninh
Đầu ra
Bảng các giao diện của miền an ninh với các miền an ninh khác và mức độ quan trọng tương
ứng.
Bảng các giao thức trên từng giao diện.
Bảng các nguy cơ ứng với các giao thức, kịch bản tấn công kèm theo.
Bảng các giải pháp cho từng nguy cơ.
Hình 4.4 Quy trình tiền xử lý
74
Các Yêu cầu an ninh đối với từng thiết bị thuộc miền an ninh.
Các thiết bị an bổ trợ cho miền an ninh (nếu cần).
Mô tả Quy trình X.805
Quy trình này được áp dụng để xây dựng giải pháp cho từng miền an ninh.
Bước 1: Sử dụng ma trận lớp-mặt phẳng để phát hiện giao diện
Miền an ninh
Giải pháp an
ninh cho miền
Bước 2: Xử lý an ninh cho từng giao diện
Bước 3: Xử lý quy trình OA&M liên quan đến miền an ninh
Bước 4: Đưa ra các Yêu cầu an ninh theo các mức (PHẢI, NÊN)
Bước 5: Đưa ra các Khuyến nghị về thiết bị an ninh phụ trợ
Bước 6: Tổng hợp giải pháp an ninh cho miền
Hình 4.5 Quy trình X.805
75
Bước 1. Sử dụng ma trận lớp-mặt phẳng để phát hiện các giao diện
Bước này được thực hiện theo trình tự như sau
Bước 1.1: Liệt kê các giao diện, đánh giá mức độ quan trọng và
chốt lại danh sách giao diện cần xét.
Miền an ninh
Danh sách các giao diện và các giao
thức trên từng giao diện (OSI)
Bước 1.4: Dựng bảng ngăn xếp giao thức (OSI) của từng giao
diện cần xét
Công nghệ
mạng
Mô hình OSI
Bước 1.2: Phân tích và chốt lại danh sách các giao diện cần xét
Bước 1.3: Phân tích và chốt lại thứ tự ưu tiên của các giao diện cần
xét
Bảng 4.1 Mẫu bảng ma trận Lớp-Mặt phẳng (Mã số: MT_L_MP)
M_L_MP Mặt phẳng an ninh
quản lý
Mặt phẳng an ninh
điều khiển
Mặt phẳng an ninh người
sử dụng
Lớp an ninh
các ứng dụng
Lớp an ninh
các dịch vụ
Lớp an ninh cơ
sở hạ tầng
Bước 2. Xử lý vấn đề an ninh cho từng Giao diện
Bước này được thực hiện theo trình tự như sau (xét cho từng giao diện cần xét)
Hình 4.6 Quy trình phát hiện các giao diện của một miền an ninh
76
Bước 2.1: Xét loại giao thức đầu tiên trong ngăn xếp
Giao diện cần xét
Bảng tổng hợp nguy cơ giải
pháp trên giao diện
Bước 2.2: Xét loại nguy cơ đầu tiên trong bảng
Ngăn xếp giao
thức
Bảng 5 nguy cơ
Bước 2.3: Mô tả kịch bản tấn công
Nguy cơ thực tế
Bước 2.4: Đề xuất giải pháp
Loại bỏ giao thức đang xét
khỏi ngăn xếp
Còn loại nguy
cơ khác
Còn giao thức
trên giao diện
Loại bỏ loại nguy
cơ đang xét
Không
Có
Sai
Đúng
Ma trận Nguy
cơ-Giải pháp
Các công nghệ
được sử dụng
Bảng 4.2 Mẫu bảng tổng hợp các giao thức (Mã số: M_I_OSI)
M_I_OSI Giao thức Mô tả
Layer 2 Ethernet, .1Q, QinQ, VTP, STP, ARP, ATM
Layer 3 ARP
Bảng 4.3 Mẫu bảng tổng hợp các nguy cơ (Mã số: M_T_S)
Mã số Loại Lớp (OSI) Giao thức Nguy cơ Giải pháp
DES_001 Destruction
CRP_ Corruption
RMV_ Removal
Hình 4.7 Quy trình xây dựng giải pháp an ninh cho từng giao diện
77
DIS_ Disclosure
INT_ Interuption
Bước 3. Xử lý vấn đề an ninh cho Quy trình OA&M
Bước này giải quyết các nguy cơ có thể xảy ra đối với quy trình vận hành khai thác và bảo dưỡng
(OA&M) các thiết bị trong một miền an ninh. Sở dĩ các nguy cơ này được tách riêng vì nó liên quan
đến yếu tố con người và từ nội bộ là chính. Khả năng xảy ra các nguy cơ thuộc loại này không cao
nhưng nếu xảy ra có thể sẽ rất nghiêm trọng. Giải pháp đưa ra cũng thường là các nội quy, quy định,
chế tài của nội bộ đơn vị quản lý.
Bước 4. Đưa ra các Yêu cầu an ninh theo các mức (PHẢI, NÊN)
Bước 5. Đưa ra các Khuyến nghị về thiết bị an ninh phụ trợ
Bước 6. Tổng hợp giải pháp cho đối tượng an ninh
4.5.3 Module Tối ưu hoá (TUH)
Nguyên tắc chung
Các đối tượng có chung giao diện chỉ cần sử dụng chung một thiết bị phụ trợ an ninh trên giao
diện đó (nếu có).
Chỉ nên đầu tư các module cần thiết cho các thiết bị an ninh phụ trợ (nếu có thể).
Chỉ nên đầu tư các thiết bị an ninh phụ trợ với hiệu năng phù hợp, tránh lãng phí.
Các công nghệ được sử dụng giống nhau thì có thể tái sử dụng kết quả giải pháp an ninh đã có
cho công nghệ đó.
Các quy trình OAM giống nhau có thể tái sử dụng kết quả giải pháp an ninh đã có cho quy
trình đó.
Đầu vào
Kết quả X.805 cho các đối tượng mạng
Các tham số về năng lực mạng
Đầu ra
Giải pháp tổng hợp (Mạng + Yêu cầu an ninh + Thiết bị an ninh phụ trợ).
Giải pháp chi tiết cho từng Đối tượng an ninh.
Giải pháp cho từng Dịch vụ.
Giải pháp cho từng Giai đoạn phát triển mạng trên lộ trình phát triển.
78
Mô tả Quy trình TUH
Bước 1: Loại bỏ các giao diện an ninh không cần thiết (theo từng giai đoạn và yêu cầu của
SP)
Bước 2: Loại bỏ các thiết bị an ninh phụ trợ bị lặp trên một giao diện.
Bước 3: Điều chỉnh năng lực cần thiết của thiết bị phụ trợ theo yêu cầu.
…
4.5.4 Danh sách tiêu chí và thứ tự ưu tiên
Như đã phân tích ở trên, học viên và nhóm nghiên cứu tại CDiT đề xuất lựa chọn 2 tiêu chí tiền xử lý
là:
Tiêu chí Dịch vụ: Dịch vụ là tiêu chí quan trọng nhất và có tính ổn định cao ít bị thay đổi,
nếu có cũng chỉ là thêm các dịch vụ mới. Ngoài ra, việc phân theo dịch vụ cũng thuận tiện
cho Kết quả giải pháp và có thể áp dụng ngay không cần biên tập lại từ kết quả tổng hợp.
Tiêu chí Cấu trúc mạng: Bản thân mỗi miền trong cấu trúc mạng đã có sự phân miền về
chức năng hoạt động. Các dịch vụ cũng cần được phân theo từng miền này.
Tiêu chí Công nghệ mặc dù khá quan trọng nhưng theo chúng tôi chỉ nên áp dụng khi thực
hiện X.805 cho mỗi miễn an ninh vì hai lý do:
o Các công nghệ rất phong phú, có thể sẽ làm chia nhỏ quá mức cần thiết gây phức tạp
cho giải pháp (số miền an ninh sẽ rất lớn).
o Một số thông tin về công nghệ chưa rõ ràng (bản thân nhóm nghiên cứu cũng chưa
nắm được tường tận).
4.6 Kết luận chương
X.805 là một framework an ninh cho mọi hệ thống thông tin, việc áp dụng X.805 như thế nào còn phụ
thuộc vào tính chất và quy mô cụ thể của từng hệ thống, đặc biệt là với một hệ thống lớn và phức tạp
như NGN. Với những kết quả nghiên cứu đã đạt được như trong phần trình bày, học viên và nhóm
nghiên cứu tại CDiT đã ứng dụng vào trong thực tế đối với NGN của VNPT. Chương 5 sẽ trình bày cụ
thể hơn kết quả áp dụng X.805 như đã phân tích đối với dịch vụ VPN L2 và HSI cho 1 MAN-E điển
hình.
79
Chương 5. KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN
5.1 Tóm tắt chương
Chương này trình bày các nguy cơ tấn công từ phía khách hàng đối với các thiết bị trong NGN của SP
đối với 2 dịch vụ là VPN L2 và HSI và các giải pháp phòng chống tương ứng. Các nguy cơ tấn công
được xét trên từng giao diện theo các giao thức sử dụng cho từng loại dịch vụ áp dụng các quy trình đã
chỉ ra trong chương 4.
5.2. Kết quả áp dụng X.805 cho dịch vụ E-LINE
5.2.1 Xác định cầu hình hệ thống cung cấp dịch vụ
Về lý thuyết thì có khá nhiều loại cấu hình truy cập có thể sử dụng dịch vụ này nhưng trên thực tế khai
thác, đối tượng sử dụng dịch vụ này đa phần là các doanh nghiệp sử dụng đầu cuối là L2Switch (L2S)
hoặc router, điển hình nhất là dùng L2S.
Chú ý: Cấu hình này không liên quan đến giải pháp Tripple-Play.
Đặc điểm cấu hình của dịch vụ
Khách hàng sử dụng thiết bị L2S/router. Cấu hình này thường được sử dụng cho khách hàng
doanh nghiệp. Cáp thuê bao là cáp quang.
Thiết bị phía nhà khai thác sẽ là L2S thu gom lưu lượng trước khi đẩy lên UPE.
Cáp giữa thiết bị người sử dụng và switch thu gom thường là cáp quang.
Trong cấu hình sử dụng FTTx thì OLT sẽ đóng vai trò switch thu gom.
Miền an
ninh
thiết bị
Access
Miền an ninh thiết bị MAN-E Miền an
ninh
thiết bị
Access
Cus A
Site 1
FE/GE
Intra Province E-LINE Topology
UPE UPE
GPON GPON
Cus A
Site 2
L2Switch
OLT
802.1q
FE/GE
802.1q
VLL
Ethernet
QinQ
TE
GE
L2Switch
OLT
Hình 5.1 Chồng giao thức dịch vụ E-LINE
80
5.2.2 Miền an ninh thiết bị Access
Các thiết bị thực tế trong miền này bao gồm
Các switch thu gom (L2S) hoặc các OLT.
Cáp quang cho thuê bao
Bước 1. Ma trận lớp-mặt phẳng để phát hiện giao diện
Mặt phẳng an ninh
quản lý
Mặt phẳng an ninh
điều khiển
Mặt phẳng an ninh người
sử dụng
Lớp an ninh các
ứng dụng
Lớp an ninh các
dịch vụ
Lớp an ninh cơ sở
hạ tầng
(1) Giao diện với hệ
thống quản lý thiết bị
L2S
(2) Giao diện UPE
của miền MANE
(3) Giao diện L2S với miền
thiết bị người sử dụng
Bước 2. Xử lý an ninh cho giao diện L2S với miền thiết bị người sử dụng
Bảng tổng hợp các giao thức
Lớp (OSI) Giao thức
1 GPON/Cáp quang
Layer 2 802.1D (STP), CDP, ARP, 802.1Q (ISL) Trunking , Ethernet
Layer 2,5 802.1Q
Bảng tổng hợp các nguy cơ
Loại Lớp
(OSI)
Giao thức Nguy cơ Giải pháp
Destruction Lớp 1 Cáp sợi
quang
Đứt hoặc cắt trộm cáp Access Control,
Avaiability
Corruption Lớp 2 STP Giả mạo Root Bride Access Control
Corruption Lớp 2 STP Phát tràn các bản tin cấu hình Spanning
Tree
Access Control
Bảng 5.1 Ma trận lớp-mặt phẳng để phát hiện giao diện dịch vụ E-LINE
Bảng 5.2 Bảng tổng hợp các giao thức dịch vụ E-LINE
81
Corruption Lớp 2 STP Phát tràn các bản tin thông báo sự thay
đổi Spanning Tree
Access Control
Removal Lớp 2 CDP Đánh cắp thông tin cấu hình Layer 2
Switch (L2S)
Access Control
Corruption Lớp 2 CDP Cạn kiệt tài nguyên bộ nhớ của L2S Access Control
Corruption Lớp 2 ARP Đầu độc bộ nhớ ARP Cache của L2S Access Control
Corruption Lớp 2 802.1Q
Trunking
Tấn công Vlan khách hàng Access Control
Corruption Lớp 2 802.1Q
Tunneling
Tấn công Vlan khách hàng Access Control
Bước 3. Xử lý an ninh cho quy trình OA&M
Phần này chỉ thực hiện được khi có quy trình OA&M chi tiết cho từng mạng NGN (không thuộc phạm
vi của luận văn).
Bước 4. Đưa ra các Yêu cầu an ninh
Đối với thiết bị L2SW/OLT của miền Access
Các yêu cầu bắt buộc
Ngăn chặn các bản tin BPDU gửi đến L2S phía giao diện khách hàng (BPDU Filtering)
Bảo vệ Root Bridge, không cho switch giả lập của khách hàng làm Root Bridge (Root Guard)
Không cho phép các bản tin BPDU phía giao diện khách hàng ảnh hưởng đến STP đã được
cấu hình cho các L2S (BPDU Guard)
Không kích hoạt giao thức CDP trên L2S
L2S chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy (Dynamic
ARP Inspection)
Không kích hoạt chức năng Auto Trunking giao diện phía khách hàng trên L2S
Cấu hình Vlan Trunking Protocol (VTP) chế độ transparent trên L2S
Tạo riêng 1 Vlan trên L2S với các cổng Trunk tách biệt với các Vlan của khách hàng
Đối với đường dây thuê bao
Bảng 5.3 Bảng tổng hợp các nguy cơ tấn công dịch vụ E-LINE từ phía khách hàng
82
CẦN có biện pháp cách ly cáp tránh đứt đoạn (ví dụ, hạ ngầm cáp)
CẦN có cáp rỗi dự phòng trong trường hợp đứt cáp nhưng chưa xử lý kịp
Bước 5. Đưa ra các khuyến nghị về thiết bị an ninh phụ trợ
KHÔNG cần thiết sử dụng thiết bị an ninh phụ trợ trong trường hợp này.
Bước 6. Tổng hợp giải pháp cho dịch vụ
E-LINE Miền thiết bị người sử dụng
Các giao diện chưa xét
L2S/OLT Thiết bị
khách hàng
Bộ Yêu cầu an ninh cho
L2S/OLT cho dịch vụ E-LINE
802.1Q/GPON/cáp
quang
Bộ Yêu cầu an ninh cho
đường cáp quang của thuê
bao dịch vụ E-LINE
5.3. Kết quả áp dụng X.805 cho dịch vụ E-LAN
5.3.1 Xác định cầu hình hệ thống cung cấp dịch vụ
Khách hàng sử dụng thiết bị L2S/router. Cấu hình này thường được sử dụng cho khách hàng
doanh nghiệp. Cáp thuê bao là cáp quang.
Thiết bị phía nhà khai thác sẽ là L2S thu gom lưu lượng trước khi đẩy lên UPE.
Cáp giữa thiết bị người sử dụng và switch thu gom thường là cáp quang.
Trong cấu hình sử dụng FTTx thì OLT sẽ đóng vai trò switch thu gom.
Hình 5.2 Mô hình Giải pháp an ninh cho miền thiết bị dịch vụ E-LINE
83
Miền an
ninh
thiết bị
Access
Miền an ninh thiết bị MAN-E Miền an
ninh
thiết bị
Access
Cus A
Site 1
FE/GE
Intra Province E-TREE Topology
UPE UPE
GPON GPON
Cus A
Site 2
L2Switch
OLT
802.1q
FE/GE
802.1q
Ethernet
L2Switch
OLT
PE-AGG
Ethernet
QinQ
VPLS
TE
GE
Ethernet Ethernet
5.3.2 Miền an ninh thiết bị Access
Có thể thấy, miền Access của dịch vụ E-LAN cũng tương tự như trường hợp dịch vụ E-LINE. Hoàn
toàn có thể sử dụng các kết quả X.805 cho miền an ninh Access của dịch vụ E-LINE cho miền an ninh
Access của dịch vụ E-LAN.
5.3.3 Miền an ninh thiết bị MANE
Thiết bị thuộc miền này có giao diện với thiết bị khách hàng là các PEAGG. Khi cấu hình VPLS tại
PEAGG, PEAGG sẽ phải học MAC của switch khách hàng.
Hình 5.3 Chồng giao thức dịch vụ E-LAN
84
5.3.4 Tổng hợp giải pháp cho dịch vụ
E-LAN Miền thiết bị người sử dụng
L2SW/OLT Thiết bị
khách hàng
802.1Q/GPON/cáp
quang
Bộ Yêu cầu an ninh cho
đường cáp quang của thuê
bao dịch vụ E-LINE
E-LAN
PEAGG
Bộ Yêu cầu an ninh cho
PEAGG cho dịch vụ E-LAN Ethernet
Bộ Yêu cầu an ninh cho
L2SW/OLT cho dịch vụ
E-LINE
5.4. Kết quả áp dụng X.805 cho dịch vụ HSI
5.4.1 Khách hàng cá nhân
5.4.1.1 Xác định cấu hình dịch vụ
Cấu hình cũng cấp dịch vụ HSI cho khách hàng cá nhân chỉ khác nhau ở miền Access với hai loại cấu
hình điển hình là
Khách hàng sử dụng ADSL modem, HGW hoặc ONT kết nối tới IP DSLAM/ONU trên giao
diện xDSL.
Khách hàng sử dụng HGW/ONT kết nối trực tiếp tới L2SW/OLT trên giao diện GPON hoặc
Ethernet.
Hình 5.4 Mô hình Giải pháp an ninh cho miền thiết bị dịch vụ E-LAN
85
5.4.1.2 Miền an ninh thiết bị Access
Internet HSI
User
xDSL GiE
Ethernet
GiE
ATM
Ethernet
10 BaseT
MPLS/TE
RADIUS
Server
IP
DSLAM
ONU
MPLS
10xGiE
Ethernet Ethernet
GiE
UPE
PE
AGG
Ethernet
PPPoE
IP
BRAS
SR
SR
IP Core
Modem
ADSL/
HGW
MANE
.1Q QinQ/Stacking VLAN
GiE
Internet HSI
User
GPON GiE
Ethernet
GiE
Ethernet
10 BaseT
MPLS/TE
RADIUS
Server
IP
DSLAM
ONU
MPLS
10xGiE
Ethernet Ethernet
GiE
UPE
PE
AGG
Ethernet
PPPoE
IP
BRAS
SR
SR
IP Core
Modem
ADSL/
HGW
MANE
.1Q QinQ/Stacking VLAN
GiE
Thiết bị thực tế trong miền này là IP DSLAM/ONU hoặc L2S/OLT
Bước 1. Ma trận lớp-mặt phẳng để phát hiện giao diện
Mặt phẳng an
ninh quản lý
Mặt phẳng an ninh
điều khiển
Mặt phẳng an ninh người
sử dụng
Lớp an ninh các ứng
dụng
Lớp an ninh các dịch
vụ
Lớp an ninh cơ sở hạ
(1) Giao diện với
hệ thống quản lý
thiết bị IP
DSLAM/ONU,
(2) Giao diện với UPE
của miền MANE
(3) Giao diện IP
DSLAM/ONU, L2S/OLT
với miền thiết bị người sử
dụng
Hình 5.5 Cấu hình khách hàng sử dụng giao diện xDSL trên cáp đồng
Hình 5.6 Cấu hình khách hàng sử dụng giao diện GPON trên cáp quang
86
tầng L2S/OLT
Bước 2. Xử lý an ninh cho giao diện IP DSLAM/ONU, L2S/OLT với miền thiết bị người sử dụng
Bảng tổng hợp các giao thức
Lớp (OSI) Giao thức
1 xDSL trên cáp đồng, GPON trên cáp quang
2 Ethernet, 802.1D (STP), CDP, ARP
Bảng tổng hợp các nguy cơ
Loại Lớp (OSI) Giao thức Nguy cơ Giải pháp
Destruction Lớp 1 Đôi dây đồng Đứt hoặc cắt trộm cáp Access Control
Destruction Lớp 1 Tín hiệu xDSL Gây nhiễu tín hiệu Access Control
Destruction Lớp 1 Dòng điện trên
đường dây
Đặt lên đôi dây dòng điện và điện
áp lớn gây hư hỏng IP
SLAM/ONU
Access Control
Removal Lớp 1 Dòng điện trên
đường dây
Sử dụng trái phép dòng điện trên
đôi dây gây hư hỏng IP
SLAM/ONU
Access Control
Destruction Lớp 1 Cáp quang Đứt hoặc cắt trộm cáp Access Control
Removal Lớp 2 CDP Đánh cắp thông tin cấu hình IP
DSLAM/ONU
Access Control
Corruption Lớp 2 CDP Cạn kiệt tài nguyên bộ nhớ của IP
DSLAM/ONU
Access Control
Corruption Lớp 2 ARP Đầu độc bộ nhớ ARP Cache của
IP DSLAM/ONU
Access Control
Bước 3. Xử lý an ninh cho quy trình OA&M
Phần này chỉ thực hiện được khi có quy trình OA&M chi tiết cho từng mạng NGN (không thuộc phạm
vi của luận văn).
87
Bước 4. Đưa ra các Yêu cầu an ninh
IP DSLAM/ONU
DSLAM/ONU chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy
(Dynamic ARP Inspection).
Đối với DSLAM của Cissco: KHÔNG kích hoạt giao thức CDP trên IP DSLAM.
L2SW/OLT
L2S/OLT chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy
(Dynamic ARP Inspection).
Bước 5. Đưa ra các khuyến nghị về thiết bị phụ trợ
KHÔNG cần thiết sử dụng thiết bị an ninh phụ trợ trong trường hợp này.
Bước 6.Tổng hợp giải pháp
HSI Access
Miền thiết bị người sử dụng
Các giao diện chưa xét
IP DSLAM/
ONU
Thiết bị
khách hàng
Bộ Yêu cầu an ninh cho đường
cáp thuê bao
L2S/OLT
Bộ Yêu cầu an ninh
cho L2S/OLT
Bộ Yêu cầu an ninh
cho IP DSLAM/ONU
5.4.1.3 Miền an ninh thiết bị IP Core và dành riêng
Các thiết bị trong miền
AAA Server (thường là RADIUS)
BRAS ()
ASBR (Autonomous System Border Router)
Các SR (Service Router) và RR (Route Reflector)
Bước 1. Ma trận lớp-mặt phẳng để phát hiện giao diện
Mặt phẳng an
ninh quản lý
Mặt phẳng an ninh điều khiển Mặt phẳng an ninh
người sử dụng
Hình 5.7 Mô hình Giải pháp an ninh cho miền thiết bị dịch vụ HSI (khách hàng cá nhân)
88
Lớp an ninh các
ứng dụng
Lớp an ninh các
dịch vụ
Lớp an ninh cơ
sở hạ tầng
(1) Giao diện với
hệ thống quản lý
thiết bị
BRAS/SR/ASBR
(2) Giao diện giữa BRAS với PEAGG
của miền MANE
(3) Giao diện giữa BRAS, SR và
ASBR
(4) Giao diện với P của miền IPCore
(5) Giao diện với
thiết bị khách hàng
(6) Giao diện với
thiết bị trên Internet
Bước 2. Xử lý an ninh cho giao diện diện với thiết bị khách hàng
Bảng tổng hợp các giao thức
Lớp (OSI) Giao thức
2 ARP
3 IP, ICMP
4 TCP, UDP, BGP
Bảng 5.4 Ma trận lớp-mặt phẳng để phát hiện giao diện dịch vụ HSI
89
Bảng tổng hợp các nguy cơ
Loại Lớp
(OSI)
Giao
thức
Nguy cơ Giải pháp
Corruption Lớp 2 ARP Đầu độc bộ nhớ ARP Cache của BRAS Access Control
Destruction Lớp 3 IP Gửi nhiều phân đoạn xấu của gói tin IP Access Control
Destruction Lớp 3 ICMP Gửi gói tin ICMP thông báo lỗi kết nối TCP Non-Repudation
Destruction Lớp 3 ICMP
Gửi gói tin ICMP Echo Request với tần xuất
lớn
Access Control
Corruption Lớp 3 IP
Chèn nhiều gói tin IP làm suy giảm băng
thông mạng
Access Control
Corruption Lớp 3 ICMP Quảng bá gói tin ICMP Echo Request Access Control
Corruption Lớp 4 TCP
Gửi gói tin SYN tới BRAS với địa chỉ IP
nguồn giả mạo
Data Integrity
Corruption Lớp 4 TCP
Gửi gói tin ICMP thông báo lỗi kết nối
phiên TCP
Data Integrity
Corruption Lớp 4 TCP
Gửi gói tin TCP thiết lập cờ FIN để kết thúc
phiên TCP
Non-Repudation
Corruption Lớp 4 TCP
Gửi gói tin TCP thiết lập cờ RST để tạo lại
phiên TCP
Non-Repudation
Corruption Lớp 4 TCP Gửi gói tin lặp ACK báo hiệu nghẽn mạng
Non-Repudation
Corruption Lớp 4 BGP
Gửi gói tin Open Message gây xung đột và
kết thúc phiên BGP
Non-Repudation
Corruption Lớp 4 BGP
Gửi gói tin Keepalive Message làm chuyển
trạng thái phiên BGP
Non-Repudation
Corruption Lớp 4 BGP
Gửi gói tin Update Message làm sai lạc
thông tin định tuyến BGP
Non-Repudation
Corruption Lớp 4 BGP
Gửi gói tin Notification Message làm mất
tính ổn định của định tuyến BGP
Non-Repudation
Bước 3. Xử lý an ninh cho quy trình OA&M
90
Phần này chỉ thực hiện được khi có quy trình OA&M chi tiết cho từng mạng NGN (không thuộc phạm
vi của luận văn).
Bước 4. Đưa ra các Yêu cầu an ninh
Đối với BRAS
BRAS chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy (Dynamic
ARP Inspection).
Giới hạn tốc độ gửi các gói tin ICMP gửi đến BRAS từ các thuê bao HSI (ICMP Rate
Limiting).
Kiểm tra xác thực trong các bản tin thuộc kết nối TCP tại BRAS bằng mã hoá xác thực thông
báo MD5.
BRAS huỷ các gói tin IP nhận được có tuỳ chọn IP Source Routing trong trường Option.
Ngăn không cho BRAS gửi quảng bá gói tin ICMP Echo Request tới các thuê bao HIS.
BRAS dùng 1 Access List mở rộng (Extended ACL) lưu lại các ánh xạ 1-1 về địa chỉ IP/MAC
từ các bản tin SYN nhận được trước đó của các kết nối TCP tin cậy (không phải từ các cuộc
tấn công). Trước khi thiết lập một kết nối TCP, BRAS sẽ kiểm tra địa chỉ IP/MAC của bản tin
SYN nhận được với các điểm vào trong Extended ACL.
Tăng cường kiểm tra xác thực trong các bản tin thiết lập kết nối TCP tại BRAS bằng mã hoá
xác thực thông báo MD5 đối với các kết nối TCP cho phần định tuyến.
BRAS có thể sử dụng một phần mềm cho phép thiết lập kết nối TCP tới các địa chỉ IP nhận
được từ tin SYN, phần mềm này giúp BRAS phát hiện và ngăn chặn sớm tấn công DoS.
Giới hạn tốc độ gửi các gói tin SYN đến BRAS (SYN Rate Limiting).
Đối với SR, RR, ASBR
SR, RR, ASBR PHẢI nhận dạng được các gói tin có địa chỉ IP có địa chỉ trùng với địa chỉ của
chính nó để chống hacker giả mạo SR gửi bản tin ICMP Echo Request tới BRAS.
Cấu hình kiểm tra giá trị TTL (Time to Live) cho gói tin iBGP là 254 tại các SR RR và ASBR.
Áp dụng các chính sách lọc tuyến (Route Filtering) trên RR và SR.
Cấu hình thiểt lập các tham số ngưỡng đối với các bản tin thông báo sự thay đổi / mất ổn định
tuyến (Route Flap Damping) trên RR và SR.
Bước 5. Đưa ra các khuyến nghị về thiết bị phụ trợ
Đặt trước BRAS phía giao diện với thuê bao HSI thiết bị giám sát lưu lượng mạng (ví dụ
eSerie của Arbor) để phân tích lưu lượng mạng và đưa ra các cảnh báo về các cuộc tấn công
gửi nhiều phân đoạn xấu gói tin IP.
91
Trang bị hệ thống kiểm soát định tuyến iBGP (ví dụ PeakFlow của Arbor) tại RR để kiểm soát
việc định tuyến iBGP/eBGPgiữa RR với SR và RR với ASBR.
Bước 6. Tổng hợp giải pháp cho miền
HSI_S + IPCore
Miền thiết bị người sử dụng
BRAS
Modem/
HGW
Thiết bị phát hiện
sớm các bản tin
ICMP/IP/TCP không
hợp lệ (IDS, IPS) (ví
dụ eSerie của Arbor)
SR, ASBR
Bộ Yêu cầu an ninh
cho SR, ASBR
RR
Thiết bị kiểm soát
định tuyến iBGP
Bộ Yêu cầu an ninh
cho RR
Bộ Yêu cầu an ninh
cho BRAS
Hình 5.8 Mô hình Giải pháp an ninh cho miền thiết bị dành riêng dịch vụ HSI
92
5.4.1.4 Tổng hợp giải pháp cho dịch vụ
HSI_S + IP Core
Miền thiết bị người sử dụng
Modem/
HGW
Thiết bị phát hiện
sớm các bản tin
ICMP/IP/TCP không
hợp lệ (IDS)
HSI_A
IP DSLAM/
ONU
BRAS
Bộ Yêu cầu an ninh
đường cáp thuê bao
xDSL, GPON
L2S/OLT
RR
Bộ Yêu cầu an ninh
cho L2S/OLT
Bộ Yêu cầu an ninh
cho DSLAM/MDU
Thiết bị kiểm soát
định tuyến iBGP
Bộ Yêu cầu an ninh
cho RR, SR
Bộ Yêu cầu an ninh
cho RR
SR, ASBR
Bộ Yêu cầu an ninh
cho BRAS
5.4.2 Khách hàng SMB (Small Business)
Có thể thấy dịch vụ HSI cho SMB là một loại hình đặc biệt của dịch vụ HSI cho người dùng cá nhân
(Resident) với điểm khác biệt là thiết bị người sử dụng (modem, router) không kết nối với Internet qua
BRAS mà đến thẳng SR của IPCore.
Như vậy có thể thấy, miền mạng Access, MANE và IPCore của dịch vụ này, cấu hình cũng giống của
dịch vụ HSI cho khách hàng cá nhân nên có thể áp dụng kết quả đã phân tích.
Ở miền thiết bị dành riêng, các yêu cầu kỹ thuật của BRAS đối với dịch vụ HSI cho khách hàng cá
nhân có thể áp dụng cho khách hàng SMB.
5.5 Kết luận chương
Những tấn công từ phía khách hàng luôn là mối quan tâm lớn nhất đối với các SP. Việc phát hiện ra
những tấn công và triển khai biện pháp khắc phục còn phụ thuộc vào năng lực làm việc của các thiết bị
mạng. Chương này đã chỉ ra các tấn công điển hình và các giải pháp phòng chống hữu hiệu ở thời
điểm hiện tại căn cứ vào những sản phẩm đã tích hợp các tính năng về an ninh của các hãng như
Cisco, Huawei, Juniper. Các khuyến nghị về việc triển khia thiết bị phụ trợ cũng được đề xuất và có
thể tham chiếu trong phần phụ lục về giải pháp chống DoS của Arbor.
Hình 5.9 Mô hình Giải pháp an ninh cho dịch vụ HSI (khách hàng cá nhân)
93
Chương 6. KẾT LUẬN VÀ KHUYẾN NGHỊ
6.1 Kết luận
6.1.1 Các vấn đề đã giải quyết được
Cập nhật tình hình nghiên cứu và phát triển trong lĩnh vực an toàn bảo mật hệ thống thông tin.
Đánh giá một số sản phẩm trong lĩnh vực an toàn bảo mật.
Đánh giá một số chuẩn trong lĩnh vực an toàn bảo mật.
Phân tích, đề xuất lựa chọn sử dụng X.805 làm nền tảng để xây dựng framework an toàn bảo
mật.
Xây dựng, đề xuất hai quy trình mức cao giải quyết bài toán về an toàn bảo mật cho các hệ
thống thông tin.
Xây dựng giải pháp mức cao cho một hệ thống NGN cung cấp dịch vụ VPN L2, HSI điển
hình.
Đưa ra được các khuyến nghị với
o Các nhà phát triển giải pháp an ninh NGN
o Các nhà cung cấp dịch vụ Viễn thông và khai thác NGN
o Các nhà đơn vị quản lý nhà nước có liên quan đến lĩnh vực thông tin, truyền thông và
an ninh.
Đề xuất một số hướng nghiên cứu tiếp theo.
6.1.2 Các đề xuất và khuyến nghị
6.1.2.1 Khuyến nghị đối với các nhà phát triển giải pháp an ninh mạng
Nên chia sẻ kinh nghiệm phát triển các giải pháp an toàn bảo mật bằng cách công bố các chuẩn cơ sở
tham chiếu (ví dụ Cisco, IBM,…).
6.1.2.2 Khuyến nghị đối với các nhà khai thác NGN
Cần phải nắm được quy trình xây dựng giải pháp an ninh để
o Đưa ra được các yêu cầu kỹ thuật đối với các giải pháp an toàn bảo mật
o Phân tích đánh giá được các giải pháp khi có đối tác chào hàng
Dự trên việc phân tích kỹ càng các nguy cơ an toàn bảo mật, các nhà khai thác hoàn toàn có
thể xây dựng các dịch vụ gia tăng trong lĩnh vực này. Trong tương lai đây là một mảng dịch
vụ hữu ích và rất có tiềm năng
Đối với những dịch vụ gia tăng về bảo mật, cần đưa ra các thoả thuận về chất lượng dịch vụ
(SLA) với khách hàng.
6.1.2.3 Khuyến nghị đối với các cơ quan quản lý nhà nước
Vấn đề ban hành các quy định, chế tài có liên quan đến an toàn bảo mật trên NGN
Ngoài việc bản thân các nhà khai thác phải tự có giải pháp bảo vệ mạng của mình thì các cơ
quan quản lý nhà nước có thẩm quyền cũng cần ban hành các quy định và cách thức xử phạt
các tình huống vi phạm trong việc làm mất an toàn bảo mật giữa
o Người sử dụng dịch vụ và nhà khai thác
o Các nhà khai thác có kết nối liên mạng với nhau
Các quy định được ban hành vừa là yêu cầu các nhà khai thác phải đảm bảo an toàn bảo mật
cho dịch vụ của mình cũng như các khách hàng và đối tác của họ đồng thời cũng là cơ sở để
họ ban hành các quy định, chế tài thông qua các chính sách an toàn bảo mật của riêng họ.
94
Các SLA cho các tính năng an toàn bảo mật của các dịch vụ trên 3G và NGN là một vấn đề
cần được cơ quan quản lý nhà nước có thẩm quyền chỉ đạo và nghiên cứu tìm hiểu. Các kết
quả đạt được sẽ được ban hành thành quy định, yêu cầu các nhà khai thác phải đưa ra các SLA
về bảo mật ký với khách hàng. Các thoả thuận đó, vừa là để yêu cầu các doanh nghiệp nâng
cao trách nhiệm kinh doanh khai thác đồng thời sẽ là cơ sở pháp lý để các cơ quan quản lý có
thể xử lý khi có các sự cố về an toàn bảo mật xảy ra.
6.2 Hướng nghiên cứu tiếp theo
Tiếp tục nghiên cứu ứng dụng các chuẩn trong họ X.81x của ITU-T để hoàn thiện framework.
Ứng dụng framework an ninh để xây dựng giải pháp an toàn bảo mật cho các dịch vụ trên
NGN như
o Dịch vụ VPN L3
o Dịch vụ VoIP
o Dịch vụ IPTV, VoD
o Các dịch vụ trên mạng di động 3G
Các SLA về các tính năng an toàn bảo mật cho các dịch vụ trên nền IP-NGN và 3G.
95
PHỤ LỤC. GIẢI PHÁP CHỐNG DoS CỦA ARBOR
1 Giải pháp Peakflow SP
1.1 Các chức năng chính
Hỗ trợ Carrier có thể quan sát được tình hình lưu lượng trên toàn mạng.
Hoạt động ở chế độ Flow-based, Passive. Thông thường hệ thống chỉ hoạt động ở chế độ
Passive, không can thiệp vào luồng dữ liệu mạng. Khi phát hiện tấn công, luồng dữ liệu bị
phát hiện “không sạch” sẽ được định tuyến đến các bộ phận “làm sạch” trước khi chuyển đến
đích.
Các thành phần của hệ thống thực chất là các router giao tiếp với các router khác của mạng
thông qua IP, định tuyến BGP nên có thể tương thích với thiết bị của nhiều nhà cung cấp thíêt
bị (Vendor) khác nhau.
Peakflow có 3 module nhỏ
o Peakflow SP CP (Collector Platform)
- Thực hiện chức năng thu thập và phân tích dòng IP, BGP, SNMP
- Phân tích hoạt động bất thường
- Quản lý các thiết bị khác
Hình P.1 Kiến trúc về giải pháp của Peakflow SP
96
o Peakflow SP FS (Flow Sensor)
- Tương tự như Peakflow SP CP nhưng đặt tại phía khách hàng
o Peakflow SP TMS (Threat Management System)
- Chỉ hoạt động khi CP phát hiện có nguy cơ tấn công
- Thực hiện chức năng chặn các thông tin không hợp lệ khi có yêu cầu từ
Peakflow SP CP theo thời gian thực
Hình P.2 Xử lý luồng lưu lượng bị tấn công của Peakflow SP
97
1.2 Đánh giá
Ưu điểm
Hoạt động ở chế độ Flow-based, Passive, không can thiệp vào luồng dữ liệu, không làm ảnh
hưởng đến hiệu năng của hệ thống.
Dễ tương thích với các hệ thống router, đặc biệt là của các Carrier tại các Data Center.
Có các chế độ cảnh báo DDoS
Giám sát và phân tích các loại lưu lượng theo giao diện, người dùng.
Phân tích được các luồng lưu lượng theo giao thức (TCP, UDP, ICMP, BGP…)
Phân tích được các luồng lưu lượng theo các kiểu dịch vụ (HTTP, FTP, …)
Cảnh báo DDoS theo thời gian thực
Cảnh báo các loại sâu máy tính
Tự động phát hiện và quét các mã độc bằng TMS khi cần thiết rồi trả về router đích
Đã triển khai thử nghiệm và đánh giá tốt tại Viễn thông thành phố Hồ Chí Minh năm 2006, tại
VDC năm 2007
Hình P.3 Năng lực làm việc của thiết bị Peakflow SP
98
Peakflow SP sẽ hoạt động theo các bước sau khi được triển khai
Peakflow SP thực hiện học các hoạt động của mạng của toàn bộ hệ thống bằng các luồng
thông tin Flow, SNMP, BGP được gửi đến các đối tượng mạng (Network Object) qua các
giao tiêp M160 Core router
Xây dựng Cơ sở dữ liệu quan hệ và tạo các mẫu lưu lượng (traffic baselines) liên tục trong
hoạt động bình thường của toàn bộ hệ thống từ học dữ liệu. Bên cạnh đó, cơ sở dữ liệu của
Peakflow SP còn được cập nhật liên tục (24x7x365) bằng các dịch vụ gia tăng của nhà cung
cấp.
Giám sát và phát hiện các bất thường (nếu có) của toàn bộ hệ thống dựa trên các traffic
baselines và thực hiện cập nhật cơ sở dữ liệu mới. Cảnh báo người điều hành mạng (Network
Operator) và khuyến nghị các chính sách thích hợp để xử lý các bất thường của toàn bộ hệ
thống. Người điều hành mạng có toàn quyền quyết định chấp nhận hoặc huỷ bỏ các khuyến
nghị đó dựa trên hệ thống thực đang vận hành.
Giúp tạo các báo biểu chi tiết của toàn bộ hệ thống dựa trên các chính sách quản lý (xây dựng
sẵn, định nghĩa mới) qua các kết xuất thông dụng (CVS, PDF, XML,…)
Đối với các nhà cung cấp dịch vụ mạng và Viễn thông, điều quan trọng nhất là cần xây dựng được
tập các chính sách quản lý tài nguyên hạ tầng, chính sách kiểm toán khách hàng. SP cần hiểu rõ
hơn các yêu cầu này để khai thác tối đa năng lực của Peakflow SP.
Nhược điểm
Chưa được triển khai thực tế.
99
Mới chỉ tập trung vào nguy cơ DoS.
1.3 Peakflow SP với DoS
Peakflow SP hiển thị các dạng DoS đang cảnh báo (Ongoing DoS Alert), cảnh báo gần đây
(Recent DoS Alert).
Peakflow SP phân loại các dạng cảnh báo DoS theo 3 cấp (Cao – High, Trung bình – Medium
và Thấp – Low).
Có 4 giai đoạn cần triển khai để xử lý một tấn công dạng DoS gồm:
o Phát hiện (Detection).
o Phân tích (Analysis).
o Truy tìm nguồn gốc (Track back).
o Đề ra hướng xử lý (Mitigation).
Peakflow SP phát hiện những tấn công DoS và cung cấp thông tin chi tiết của tấn công đó
gồm: phân loại theo mức độ nghiêm trọng, ngày giờ tấn công theo thời gian thực, hướng
tấn công, giao thức mạng dùng để tấn cống và đặc biệt xác định được tầm ảnh hưởng của
tấn công đó.
Sau phân tích là xác định nguồn xuất phát của tấn công DoS, định danh được các giao tiếp
mạng trên router nào tham gia vào tấn công DoS.
Chọn và cho phép người quản trị lọc (filtering) những nguồn tham gia tấn công được chỉ
định bằng địa chỉ IP cụ thể.
Tùy hệ thống thiết bị chuyên dụng như router, firewall, filtering đã được thiết lập,
Peakflow SP giúp tạo các ACLs (danh sách quản lý truy nhập), Ratelimits (các bộ lọc định
mức lưu lượng dữ liệu) hoặc theo các cơ chế xử lý chuyên biệt khác nếu được trang bị như
Blackholeing, Sinkholing hoặc thiết bị Delicated Filtering.
Xác định mức độ nghiêm trọng của một cảnh báo mức cao (High), Người quản trị hệ
thống ngay lập tức có thể xác định chi tiết của dạng tấn công DoS đó:
o Xác định được đặc tính của loại tấn công DoS hiện tại.
o Thông tin chi tiết của tấn công đó gồm: lớp mạng của nguồn tấn công (Source
Network), lớp mạng đích của tấn công đang nhắm tới (Destination Network). Thông
số cổng giao tiếp nguồn và đích.
o Giao thức thực hiện tấn công và chi tiết của nó.
o Đặc biệt Peakflow SP cung cấp biểu đồ thể hiện mức độ lưu lượng của tấn công DoS
hiện hành so với mức lưu lượng mong muốn của hệ thống.
100
Khả năng nhận định chính xác mức độ nguy hiểm của tấn công DoS sẽ ảnh hưởng đến
thành phần tài nguyên hệ thống
o Cho thấy cụ thể lưu lượng ảnh hưởng trên từng thành phần của hệ thống so với lưu
lượng mong muốn của hệ thống trước khi có tấn công DoS.
o Người quản trị có thể xem chi tiết những ảnh hưởng cụ thể theo thành phần tài nguyên
hệ thống.
o Giúp xác định hướng và đường đi của tấn công DoS và nhanh chống có giải pháp đáp
ứng kịp thời trước khi tấn công gây ra nhiều tổn thất trên nhiều tài nguyên.
Phản ứng truớc tấn công DoS. Peakflow xác định được các địa chỉ nguồn cụ thể cùng
tham gia vào tấn công các địa chỉ đích cùng các nhóm cổng giao tiếp
o Nhóm cổng nguồn (Source Ports), đích (Destination Ports)
o Giao thức (Protocol) và đặc biệt là các giao tiếp vào / ra trên tấn công DoS
(Input/Output Interfaces).
o Người quản trị cần xác định lượng dữ liệu nào sẽ phải ngăn chặn thông qua tính năng
Filter (một dạng Mitigation) của Peakflow SP. Peakflow SP sẽ giúp tạo ra các ACLs
và Ratelimits thích hợp và khuyến nghị người quản trị sử dụng.
Người quản trị sẽ toàn quyền quyết định (chấp nhận, thay đổi hoặc hủy bỏ các khuyến
nghị của Peakflow SP) và chịu trách nhiệm trước ngữ cảnh của tấn công DoS xác định
o Peakflow SP tự động tạo ra các khuyến nghị (ACL hay Ratelimit) phù hợp với các
thiết bị hiện có trên hệ thống đã được học.
o Các khuyến nghị sẽ do Người quản trị toàn quyền quyết định. Peakflow SP không tự
động áp đặt các khuyến nghị này vào hệ thống.
o Đối với một số cách thức xử lý chuyên dụng thông qua các thiết bị chuyên nghiệp như
Blackhole, Sinkhole hay Delicated Filtering cho các tấn công DoS, Peakflow SP hỗ
trợ nhận biết qua cấu hình chỉ định của Người quản trị. Điều này giúp xây dựng hạ
tầng an ninh mạng vững chắc trước các dạng tấn công DoS ngày càng nguy hiểm.
2 Giải pháp eSeries
2.1 Các chức năng chính
Ứng dụng để cung cấp các dịch vụ gia tăng về nội dung và bảo mật
Hoạt động ở chế độ Inline
Phân tích rất nhiều loại lưu lượng vào ra khác nhau để phân loại dữ liệu
101
2.2 Đánh giá
Ưu điểm
Cho phép ngăn chặn các dữ liệu tiêu tốn tài nguyên băng thông mạng IP
Cho phép cung cấp nhiều dịch vụ gia tăng về nội dung dữ liệu trên mạng IP
Nhược điểm
Làm ảnh hưởng đến hiệu năng của mạng
Nằm phân tán nên có thể chi phí đầu tư cao
TÀI LIỆU THAM KHẢO
Tài liệu của ITU-T
1. ITU-T (2005), ITU-T Recommendation X.805 and its application to NGN, ITU/IETF Workshop on NGN.
2. ITU-T (2007), Highlight on telecommunication standards, Broadband and ICT Development for Improved
Communication in Central Asia.
Hình P.5 Giải pháp tổng thể của Arbor đối với mạng băng rộng
102
3. ITU-T (2008), Gigabit-capable Passive Optical Networks (G-PON): Transmission convergence layer
specification, ITU-T Recommendation G.984.3.
Tài liệu của Cisco
4. Cisco Systems (2005), BGP Support for TTL Security Check.
5. Cisco Systems (2005), REMOTELY TRIGGERED BLACK HOLE FILTERING - DESTINATION BASED AND
SOURCE BASED.
6. Cisco Systems (2006), VNPT MAN-E High Level Design.
7. Cisco Systems (2006), Carrier Ethernet Services Version 2.6.
8. Cisco Systems (2006), Yusuf Bhaiji, LAYER 2 ATTACKS & MITIGATION TECHNIQUES.
9. Cisco Systems (2007), Advanced MPLS Deployment in Enterprise Networks.
10. Cisco Systems (2007), H-VPLS N-PE Redundancy for QinQ and MPLS Access.
11. Cisco Systems (2007), IEEE 802.1Q-in-Q VLAN Tag Termination.
12. Cisco Systems (2007), Wei Yin Tay, Metro Ethernet BMT Workshop for VNPT.
13. Cisco Systems (2007), Yusuf Bhaiji, Understanding-Preventing and Defending Against
Layer 2 Attacks.
14. Cisco Systems (2007), Using Dot1q Tunneling (1q in 1q) on Cisco Catalyst 6500 Series Switches to Form
Layer 2 VPNs.
15. Cisco Systems (2007), Virtual Private LAN Service over MPLS on Cisco 12000 Series Router Line Cards.
16. Cisco Systems (2008), Anthony Kirkham, SP Security – Threats and Best Practices.
17. Cisco Systems (2009), Monique Morro, MPLS Application - Services & Best Practices for Deployment.
Tài liệu của Juniper Networks
18. Juniper Networks, Combating Bots and Mitigating DDoS Attacks, Solution Brief.
19. Juniper Networks (2006), Understanding PPPoE and DHCP.
20. Juniper Networks (2006), Using PPPoE and IPoE in Ethernet Broadband Networks.
21. Juniper Networks (2008), Protecting the Network from Denial of Service Floods.
Tài liệu của Alcatel Lucent
22. Alcatel Lucent, “Litespant-1540 FR3.0 System Description”, Technical Manual Edition 01.
23. Alcatel Lucent, Virtual Private LAN Service (VPLS) Technical Primer.
103
24. Alcatel Lucent (2004), Alcatel 7450 Ethernet Service Switch Release 1.0.
25. Alcatel Lucent (2007), Gordon Wilfong, Border Gateway Protocol (BGP).
26. Alcatel Lucent (2007), VNPT Training Metro E – Workshop.
Tài liệu của Huawei
27. Huawei Confidential (2006), “Quidway NetEngine40 Series Universal Switching Router”.
28. Huawei Confidential (2007), “SmartAX MA5600/MA5603 Multi - Service Access”.
29. Huawei Confidential (2009), Last Mile Deployment for VNPT.
Các tài liệu khác
30. RFC: 2516 (1999), A Method for Transmitting PPP Over Ethernet (PPPoE).
31. Transwitch Corporation (2005), Kumar Shakti Singh, GPON - The Next Generation Access Network.
32. DSL Forum (2006), Migration to Ethernet-Based DSL Aggregation, TR-101.
33. MFA Forum (2006), Monique Morro, MPLS Virtual Private Network (VPN) Security.
34. Prentice Hall (2007), CHRIS HELLBERG, DYLAN GREENE, TRUMAN BOYES, “BROADBAND
NETWORK ARCHITECTURES”.
35. Telecommunication Networks Group- Technische Universität Berlin (2007), Filip Idzikowski, Hagen
Woesner, Synchronous Digital Hierarchy Synchronous Optical Network SDH/SONET.
36. 4th ETSI Security Workshop (2009), TISPAN NGN Security standards.
37. Trend Communication, Trend’s Next Generation SDH.
38. Agilent Technologies, Understanding DSLAM and BRAS Access Devices.
39. Nortel Networks, WDM for Cable MSOs, Technical Overview.
Các file đính kèm theo tài liệu này:
- LUẬN VĂN- NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP AN NINH ĐẦU CUỐI CHO NGN.pdf