Mạng riêng ảo và giải pháp hệ thống trong Tổng cục Thuế

hi một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới. Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể. 2.3 Kết luận Như vậy có thể nói VPN là một trong những ứng dụng quan trọng nhất của MPLS. Kỹ thuật MPLS VPN đưa ra một thay đổi cơ bản trong công nghệ VPN đó là sử dụng khái niệm Virtual Router thay cho Dedicated Router và Shared Router. Từ 40 việc phân tích phương thức hoạt động của MPLS VPN ta thấy nó có nhiều ưu điểm hơn so với các dịch vụ VPN truyền thống: Riêng biệt và bảo mật: MPLS VPN giữ các thông tin định tuyến riêng biệt cho mỗi VPN, đảm bảo người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn cho VPN của mình. Độc lập với khách hàng: MPLS VPN có cách đánh địa chỉ (gán nhãn trong mạng MPLS) hết sức linh hoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể cả các địa chỉ kiểm tra hoặc các địa chỉ không được đăng ký) hoặc có thể sử sụng NAT (Network Address Translation). Mặt khác, người dùng còn có thể sử dụng các dải địa chỉ trùng hoặc giống nhau. Một điểm nổi bật khác là mạng của người dùng không yêu cầu các thiết bị hỗ trợ MPLS, các thiết bị đắt tiền như VPN Router với IP Sec hoặc bất cứ yêu cầu đặc biệt nào khác ngoài IP. Linh hoạt và khả năng phát triển: Với các dịch vụ VPN dựa trên IP, số lượng router trên mạng tăng nhanh chóng theo số lượng các VPN. VPN sẽ phải chứa các bảng định tuyến ngày một lớn. MPLS VPN sử dụng một tập các BGP (Border Gateway Protocol) ngang hàng giữa các LSR cạnh (Edge LSR), cho phép số lượng VPN không hạn chế và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site mới (chỉ cần thực hiện tại router của site mới). Như vậy MPLS là một trong những giải pháp mạng đường trục cho mạng thế hệ mới, hiện xu hướng phát triển của MPLS là ATOM (Any traffic Over MPLS), nghĩa là có khả năng đáp ứng bất cứ loại dịch vụ nào: thoại, video, fax, data... MPLS VPN sẽ là một thị trường đầy tiềm năng và hứa hẹn mang lại nhiều lợi ích cho cả người dùng và nhà cung cấp dịch vụ viễn thông. Ngày nay, tuy VPN vẫn đang còn là một công nghệ mới mẻ ở Việt nam, nhưng việc đầu tư nghiên cứu để chọn giải pháp tối ưu cũng là điều nên làm đối với các nhà cung cấp dịch vụ mạng./. 41 CHƯƠNG 3 ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH VÀ GIẢI PHÁP HỆ THỐNG Tổng quan hệ thống mạng ngành thuế Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại Giải pháp MPLS IP VPN để nâng cao an ninh mạng cho ngành Thuế Các đề xuất cải tiến hệ thống Thiết kế hệ thống cải tiến Đánh giá về hệ thống đảm bảo an ninh Tổng quan hệ thống mạng ngành Thuế 3.1 Bối cảnh chung Hệ thống mạng ngành Thuế nằm trong hệ thống mạng của ngành tài chính. Ngành Tài chính bắt đầu tiến hành xây dựng hệ thống hạ tầng truyền thông thống nhất từ năm 1999. Cho đến nay, Ngành Tài Chính đã thu được các thành quả đáng kể như: Về mặt kết nối: Đã xây dựng Trung tâm Miền Bắc và Nam, kết nối tới các đơn vị cấp TW như TCT, KBNN, TCHQ, Cục DTQG, Cục QLG, UBCK, Học viện Tài chính, đồng thời kết nối tới 64 Trung Tâm Tỉnh. Đã xây dựng 64 TTT và kết nối từ TTT tới các đơn vị Thuế, Kho Bạc và Tài chính của tỉnh, thành phố. Đã triển khai tới cấp huyện của 3 tỉnh Hà Nội, TpHCM và Hải Phòng. Với hệ thống như vậy đã bước đầu đáp ứng được yêu cầu của ngành Thuế: Trao đổi mã số thuế, quản lý thuế, trao đổi thông tin hệ thống,... Tuy nhiên, kể từ khi có thiết kế hệ thống đầu tiên vào năm 1999 đến nay, đã có sự phát triển rất nhanh của lĩnh vực công nghệ thông tin trên thế giới và Việt nam, kèm theo sự ra đời của nhiều loại hình dịch vụ công cộng dựa trên các công nghệ mới. Do đó, vấn đề đặt ra là cần phải có các phân tích xem xét mức độ phù hợp với các yêu cầu mới của các thiết kế trước đây và hạ tầng truyền thông hiện tại, qua đó xây dựng cập nhật hệ thống hạ tầng mới phục vụ cho các nhu cầu cấp bách ngay hiện tại và trong tương lai xa hơn. Tổng quan hệ thống mạng hiện tại ngành Thuế TCT dùng chung hạ tầng mạng của BTC, thông qua việc chia sẻ kinh phí / dịch vụ với Cục Tin học và Thống kê Tài chính của BTC. 42 Hình 3.1 Hạ tầng mạng BTC BTC duy trì hạ tầng mạng cho tất cả các đơn vị trực thuộc, bao gồm Tổng cục Thuế, Tổng cục Hải Quan, Kho Bạc... tại cấp trung ương, cấp tỉnh và cấp huyện. Mỗi đơn vị trực thuộc được cấp phát một lượng băng thông nhất định từ hạ tầng truyền thông chung. Công nghệ VPN được dùng để phân chia logic các mạng của các đơn vị thành viên. Mạng diện rộng của BTC bao gồm hai trung tâm miền, hoạt động như là đầu kết nối cho miền Bắc và miền Nam. Các tỉnh miền Bắc kết nối thông qua Trung tâm miền Bắc, các tỉnh miền Nam kết nối qua trung tâm miền Nam. Tổng băng thông của mạng xưong sống Bắc Nam năm 2007 là 32Mbps Bởi vì băng thông của mạng xương sống được chia sẻ bới nhiều đơn vị của BTC, TCT nên có thoả thuận chất lượng dịch vụ với BTC về chất lượng và các cam kết đảm bảo dịch vụ mạng mà BTC cung cấp cho TCT, điều này hiện chưa có. Chất lượng dịch vụ mạng mà BTC cung cấp hiện tại được đánh giá là chưa thực sự ổn định như TCT mong muốn. Hiện tại chưa có sự hỗ trợ 24/7. Hiện tại TCT kết nối trực tiếp tới trung tâm miền Bắc, văn phòng B tại TPHCM nối trực tiếp tới trung tâm miền Nam. Các chi cục Thuế kết nối lên Trung tâm tỉnh và từ Trung tâm tỉnh kết nối tới các Trung tâm miền. Các kết nối này là các đường truyền cáp quang, đường thuê bao và các đường truyền dự phòng sử dụng công nghệ MPLS Các cục thuế đều có hạ tầng mạng giống nhau như hình vẽ phía dưới. Hệ thống mạng của Cục thuế các Tỉnh sẽ được quy hoạch và tổ chức thành các vùng riêng biệt với chức năng và nhiệm vụ cụ thể. Các vùng được kết nối với nhau thông qua firewall, các luật thiết lập trên firewall đảm bảo khả năng truyền tải dữ liệu từ mạng bên ngoài 43 tới mạng bên trong và ngược lại, đồng thời ngăn chặn được các xâm nhập bất hợp pháp tới các vùng dữ liệu quan trọng. Kết nối Internet thông qua đường ADSL. Các truy cập không dây cũng được bảo vệ nghiêm ngặt bởi giải pháp an ninh của Cisco. Hình 3.1 Hệ thống mạng logic tại Cục Thuế TCT đang vận hành hệ thống theo dõi cho phép TCT có thể giám sát, và nhận được cảnh báo về hoạt động không bình thường của tất cả các máy chủ trong mạng và tình trạng băng thông mạng tại cục thuế, chi cục thuế. TCT có chính sách duy trì chức năng và cấu hình cho các máy chủ tại các cục Thuế. Theo đó các cục thuế có số lượng máy chủ giống nhau cùng thực hiện chức năng mà TCT đã quy định. Chính sách này giúp việc hỗ trợ và duy trì từ TCT, nhưng không giải quyết vấn đề thực tế là tải của các máy chủ không giống nhau ở các cục Thuế. (ví dụ tại các cục thuế lớn thì số lượng người dùng truy cập vào máy chủ nhiều hơn và tần suất truy cập cao hơn so với các cục thuế nhỏ.) Các máy chủ, đặc biệt là máy chủ cấp cục thuế và chi cục thuế thường không đáp ứng đủ. Một máy chủ thường phải dùng cho nhiều mục đích. Khó có thể đánh giá 44 và đạt được hiệu năng tối đa của một hệ thống với tài nguyên máy chủ chia sẻ như vậy. 3.2 Đánh giá ưu nhược điểm của hệ thống cơ sở hạ tầng hiện tại 3.2.1 Mô hình kết nối WAN và những vấn đề đặt ra? Quan điểm thiết kế ban đầu cho việc sử dụng frame-relay riêng cho mạng WAN Bộ tài chính là xây dựng 1 cơ sở hạ tầng cung cấp dịch vụ kết nối frame-relay theo mô hình nhà cung cấp dịch vụ cho các ngành như Tổng cục thuế, KBNN, ... dùng chung 1 kênh thuê công cộng để giảm chi phí cũng như tập trung quản lý ngành. Tuy nhiên, trong thiết kế cũng như triển khai thực tế thì lại không có sự nhất quán về việc cung cấp loại hình kết nối đối với các ngành thành viên TCT, KBNN, ...., các mạng này được kết nối tới mạng WAN Bộ thông qua : + Kết nối phân lớp Frame-relay & IP ở mức TT miền, mạng trục + Kết nối phân lớp IP ở mức TT tỉnh. Như vậy, mô hình kết nối sử dụng là sự trộn lẫn giữa 2 mô hình VPN như hình dưới đây: Hình 3.2 Mô hình Overlay layer – 2 – VPN tại mạng trục 45 Hình 3.3 Mô hình Peer – to – Peer VPN tại TTM, TTT Theo đó, tại mạng trục , với mô hình Overlay Layer-2 VPN được áp dụng trên phần mạng trục tại cấp trung ương & mạng Backbone. Được thực hiện bởi các thiết bị Cisco IGX, cung cấp kết nối L2 Frame-relay cho các đơn vị cấp trung ương. Các nhược điểm chính của mô hình này: Số lượng PVC cần phải tạo nhiều: n(n-1)/2 , khi số lượng site kết nối tăng lên, số lượng PVC cần tạo ra sẽ lớn, khó khăn trong việc triển khai, quản lý, & giám sát. Để hệ thống có khả năng định tuyến linh hoạt, cần sử dụng phương thức định tuyến động. Tuy nhiên trong mô hình kết nối này, các updates của các giao thức định tuyến IGP sẽ chiếm nhiều băng thông do có nhiều PVC. Ngoài ra, việc có nhiều PVC dẫn tới việc quản lý, cấu hình, giám sát các giao thức định tuyến IGP cũng phức tạp. Trong khi đó, từ TTM trở xuống các đơn vị cấp tỉnh, huyện, mô hình mạng sử dụng lại là peer-to-peer shared-router. Được thực hiện bởi việc dùng chung router cấp TTM, cấp TTT kết nối tới các ngành trực thuộc. Các nhược điểm chính của mô hình này: Lưu lượng của các ngành khác nhau đều được truyền dưới dạng IP trên cùng cơ sở hạ tầng mạng WAN BTC, điều này có thể gây nên các khe hở về bảo mật, đặc biệt trong trường hợp có cả các lưu lượng từ bên ngoài như Internet, phân hệ mạng truy cập công cộng, ... Việc phân chia địa chỉ IP giữa các ngành trực thuộc không thể độc lập với nhau, toàn bộ BTC và các ngành trực thuộc chia sẻ dải địa chỉ 10.x.x.x. Việc tách biệt hệ thống mạng của các ngành trực thuộc khi kết nối vào mạng WAN BTC, nhằm mục đích đảm bảo cho các ngành có sự độc lập nhất định được dựa theo các Access-Control-List rất phức tạp. Dải địa chỉ IP được dùng chung cho Bộ tài chính và các ngành trực thuộc, kết nối IP để trao đổi số liệu giữa các đơn vị, do đó tổng thể toàn bộ hệ thống truyền thông 46 Bộ tài chính thực tế lại đi theo mô hình doanh nghiệp với dịch vụ truy cập "toàn IP", không có sự phân tách tại phân lớp dưới là frame-relay ý tưởng khi như khi đưa hệ thống Cisco IGX vào để phân tách các mạng ngành dọc ra thành từng mạng ảo riêng. Do đó, cần phải giải quyết các vấn đề về mô hình kết nối trên hệ thống mạng WAN BTC nêu trên: Các nhược điểm Mô hình peer-to-peer dùng chung router cấp TTM, TTT. Toàn bộ các kết nối WAN của BTC đều sử dụng các công nghệ kết nối truyền thống (các công nghệ như TDM, Frame-relay, X.25, ATM được gọi là công nghệ truyền thống), trong đó chủ yếu sử dụng TDM ( các đường leased-lines của VNPT ). Việc sử dụng các kết nối leased-lines có ưu điểm là dịch vụ lâu đời, sẵn có nhất của nhà cung cấp dịch vụ tại Việt nam hiện nay. Tuy nhiên, với chi phí thuê kênh hàng tháng cao, việc tăng băng thông kênh thuê lên cao để đáp ứng các nhu cầu sử dụng đa dịch vụ hiện tại và tương lai là không khả thi đối với những hệ thống mạng lớn, nhiều ngừoi sử dụng nhu hệ thống của Bộ tài chính. 3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh Các thiết kế bổ sung sau không đưa ra giải pháp chi tiết hoàn chỉnh với các chính sách về an toàn, bảo mật. Một trong những lý do chính là các kết nối WAN có tốc độ thấp, do đó không thể cung cấp cổng kết nối internet tập trung. Kết nối Internet được thiết lập theo nhu cầu phát sinh tùy thuộc các ngành, đơn vị, không có một chính sách chung, điều này dẫn tới các lỗ hổng tiềm tàng về bảo mật. 47 Error! Hình 3.4 Mô hình kết nối Internet BTC Các Internet Gateway được các ngành phân bố tùy ý ở mức trung ương, cấp tỉnh, cấp huyện thông qua các kết nối Leased-lines, ADSL, dialup. Trong khi đó, các biện pháp đảm bảo an ninh hệ thống chỉ là Access-Control-List trên các Routers, NAT trên các thiết bị kết nối Internet, hầu hết không có các thiết bị bảo vệ khác như IDS, IPS, Virus-scan, URL-filtering, ... Truy cập Internet cho trung tâm BTC, các ngành TCT, KBNN, Hải quan,... được cung cấp riêng biệt, không có một chính sách, quy định chung bắt buộc về 1 hệ thống kết nối Internet. Các truy cập Internet tại trung ương, Trung tâm Tỉnh hiện sử dụng thông qua Proxy-Server, các truy cập tại địa phương đi thẳng ra Internet mà không hề sử dụng các Server scan virus. Phương pháp kết nối hiện tại tiết kiệm được băng thông kết nối WAN, tuy nhiên an ninh hệ thống không được đảm bảo. Từ những tìm hiểu phân tích trên ta thấy hệ thống an ninh hiện tại tồn tại hàng loạt các vấn đề cần giải quyết Phân lớp truy cập LAN: không có biện pháp an ninh cho phép những thiết bị cụ thể được phép kết nối vào mạng LAN. Trên thực tế, > 70% các tấn công là xảy ra từ bên trong. (Ví dụ: hoàn toàn có thể gắn một máy tính vào mạng LAN với phần mềm monitor trên switched-LAN, qua đó giám sát tất cả các số liệu trao đổi trên hệ thống LAN) 48 Các kết nối WAN, cáp đồng sử dụng HDSL: hiện tại không có các thiết bị mã hóa đường truyền trên các kết nối WAN, cáp đồng sử dụng HDSL. Hoàn toàn có thể gắn các thiết bị nghe trộm vào các đường truyền số liệu này, qua đó giám sát được tất cả các số liệu trao đổi trên kết nối WAN, cáp đồng sử dụng HDLC) Thiết bị Firewall: Hiện chỉ có một Checkpoint Firewall trên hệ điều hành MS Windows. Có những lỗ hổng tiềm tàng tại phân lớp OS, đặc biệt là với Hệ điều hành thông dụng và cũng nhiều lỗi như MS Windows. Access-Control-List: được sử dụng như là một biện pháp an ninh trên các Cisco Router, ACL chỉ bảo vệ ở phân lớp 3,4, do đó không đủ tính linh hoạt cũng như khả năng xử lý thông tin ở các phân lớp cao hơn. Các ACL được sử dụng như là firewall ngăn cách hệ thống mạng BTC với các ngành khác như TCT, KBNN, ... Các truy cập Internet: trừ trung tâm BTC có firewall là Checkpoint trên nền MS Windows và Proxy Server với Virus scan, các sở TC kết nối Internet qua dial-up trực tiếp từ máy tính. Như vậy toàn bộ mạng của BTC chỉ được bảo vệ bởi ACL trên các Router, NAT, Checkpoint Firewall trên nền MS Windows. Ngoài ra, trên hệ thống không có các thiết bị bảo vệ khác như: IDS, IPS, Transparent Network Virus-scan, URL-filtering. Không có quy định, chính sách bắt buộc tổng thể đối với hệ thống Internet gateway cho các ngành khác như TCT, KBNN, Hải quan,.... Trong khi các hệ thống mạng các ngành này đều bám vào mạng WAN của BTC với kết nối IP đan xen nhau từ cấp trung ương đến cấp tỉnh, nếu hệ thống mạng các ngành này bị tấn công sẽ đe dọa đến hệ thống mạng của BTC, nhất là khi việc bảo vệ của BTC với các tấn công xuất phát từ các ngành TCT, KBNN, ... chỉ là các ACL thông thường được triển khai rất hạn chế trên Cisco Routers TTT, TTM. Bên cạnh những vấn đề về an ninh còn xuất hiện các vấn đề về chất lượng dịch vụ: Chính do không có một chính sách cũng như kế hoạch về QoS rõ ràng cho toàn bộ hệ thống mạng Bộ tài chính mà các cấu hình QoS được thực hiện trên các kết nối WAN một cách thụ động theo nhu cầu phát sinh trên từng kết nối. Cơ chế QoS sử dụng chỉ là WFQ, chỉ phân chia băng thông đều cho các ứng dụng chứ không có khả năng đảm bảo băng thông, độ trễ cho các ứng dụng khi xảy ra tắc nghẽn, cũng như không có khả năng giới hạn băng thông tối đa cho 1 ứng dụng cụ thể nào. Các thực tế này dẫn đến việc đảm bảo QoS "end-to-end" đối với các loại hình dịch vụ khác nhau không nhất quán, dẫn đến chất lượng không ổn định. Hiện trạng kết nối WAN hệ thống thuế 49 Hệ thống mạng nghành Thuế nằm trong hệ thống mạng của BTC nên ngoài các vấn đề chung của hệ thống mạng tổng TCT còn vướng mắc phải một vài vấn đề khi thực hiện các công việc mang tính đặc thù nghành: Hình vẽ dưới đây mô tả kết nối mạng hệ thống thuế trên hệ thống mạng WAN BTC Error! Hình 3.5 Kết nối mạng diện rộng hệ thống Thuế Mục đích yêu cầu của hệ thống mạng ngành Thuế là: Trao đổi mã số thuế Quản lý thuế Trao đổi thông tin hệ thống: email, ftp, update virus, hỗ trợ từ xa về ứng dụng, xử lý sự cố, chỉnh sửa web Portal tại tổng cục Quản lý thu nhập cá nhân Khi thực hiện các yêu cầu nghiệp vụ vấn đề chính đối với hệ thống mạng ngành Thuế khi sử dụng kết nối WAN BTC là băng thông thấp, chất lượng dịch vụ kém dẫn đến các khó khăn trong việc sử dụng.các loại hình dịch vụ mới. Việc kết nối từ các 50 Cục thuế tỉnh và chi cục thuế tỉnh lên các đơn vị bên trên, tổng cục thuế dữ liệu đi lòng vòng không tối ưu nên khả năng bị hỏng, lỗi đường truyền lớn, thời gian khắc phục lỗi khá lâu do chưa có đội ngũ quản lý mạng chuyên nghiệp và phụ thuộc nhiều vào BTC. Dữ liệu ngành Thuế được xử lý tập trung tại Cục Thuế Tỉnh và cấp Tổng cục, trong đó 80% số liệu được xử lý cấp tỉnh, 20% sẽ được chuyển tiếp xử lý tại cấp tổng cục. Yêu cầu về an toàn thông tin, về khả năng dự phòng tại các Cục thuế, Tổng cục thuế là cao, không cho phép gián đoạn thông tin. Cơ chế dial-up backup hiện tại cho Cục thuế Tỉnh không đáp ứng được nhu cầu ứng dụng ngành Thuế. Không có trao đổi trực tiếp giữa các Chi cục Thuế với nhau, giữa các Cục thuế với nhau. Tất cả đều phải thông qua xử lý tại Cục thuế, Tổng cục thuế. Hình 3.6 Dòng dữ liệu ngành Thuế Tóm lại : Đối với hệ thống mạng hiện tại còn rất nhiều vấn đề cần khắc phục đặc biệt về phía an ninh hệ thống Kết nối WAN có băng thông thấp, với giá thuê đường truyền cao đối với dịch vụ truyền thống TDM, Frame-relay khiến cho việc tăng băng thông kết nối WAN khó khăn. Kết quả là tắc nghẽn xảy ra thường xuyên trên các kết nối WAN. Truy cập Internet: không có thiết kế tổng thể cho toàn bộ hệ thống, không có các chính sách, quy định bắt buộc cho các điểm kết nối ra Internet trên toàn bộ hệ thống 51 An toàn bảo mật hệ thống: không có chính sách tổng thể về an toàn bảo mật hệ thống do đó tồn tại hàng loạt các lỗ hỏng tiềm tàng về anh ninh hệ thống. Không triển khai các cơ chế mã hóa gói tin trên đường truyền WAN, cáp đồng sử dụng HDSL. Chất lượng dich vụ ( QoS) thấp, không có chính sách chung cho việc đảm bảo QoS end-to-end. Chưa có một hệ thống quản lý tập trung cho toàn bộ hạ tầng truyền thông, hiện tại chỉ sử dụng một vài công cụ quản lý mang tính đơn lẻ. 3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT Dưới đây là sơ đồ tổng thể cho hệ thống hạ tầng truyền thông Bộ tài chính. Mô tả chi tiết từng phân hệ được trình bày trong các phần dưới đây. (Hình vẽ cụ thể trang cuối) 3.3.1 Đề xuất cải tiến để đảm bảo tính dự phòng và an ninh cho hệ thống Thiết kế hệ thống truyền thông Bộ tài chính bao gồm cấu trúc khối theo như hình vẽ dưới đây: Hình 3.7 Kiến trúc hệ thống truyền thông BTC Và mô hình kết nối mạng trục Bộ tài chính được đề xuất như hình vẽ dưới đây, trong đó sẽ xây dựng thêm trung tâm miền Trung, tạo nên tam giác mạng trục dự phòng. Ví dụ, khi kết nối giữa 2 miền Nam-Bắc bị gián đoạn, lưu lượng sẽ được định 52 tuyến chạy vòng qua miền Trung, việc định tuyến này được thực hiện hoàn toàn tự động Error! Hình 3.8 Sơ đồ kết nối mạng trục BTC Ngoài việc dự phòng bằng việc xây dựng thêm một trung tâm miền Trung, kết nối WAN giữa 2 miền còn được đảm bảo bằng 3 kết nối khác nhau, hoạt động dự phòng, phân tải lẫn nhau ( xem hình vẽ dưới đây) Kết nối chính, có băng thông lớn nhất là kết nối MPLS IP VPN. Kết nối thứ hai là kết nối truyền thống TDM, frame-relay, hoặc có thể là ATM ( nếu có trong tương lai). Do giá thành cao, kết nối truyền thống này sẽ được duy trì ở mức thấp nhất, tạo kết nối dự phòng, phân tải cho kết nối chính là MPLS IP VPN. Kết nối thứ ba là IPSec VPN, tận dụng cổng ra Internet sẵn có ở 3 trung tâm miền Bắc, trung, Nam. Kết nối này cũng chỉ mang tính dự phòng, phân tải cho kết nối chính MPLS IP VPN. Do chất lượng dịch vụ khi truyền qua Internet không được đảm bảo, do đó kết nối này không nên sử dụng cho các ứng dụng như thoại, video- conference. Ở chế độ hoạt động bình thường, các lưu lượng của các loại hình ứng dụng khác nhau sẽ được thiết lập chạy trên các kết nối cụ thể trong 3 kết nối MPLS IP VPN, IPSec VPN, và kết nối truyền thống nói trên, trong trường hợp một trong 3 kết nối bị đứt, lưu lượng ứng dụng sẽ được định tuyến chuyển sang 2 kết nối còn lại, hoặc có thể đi vòng qua trung tâm miền thứ 3. Tất cả việc định tuyến này được thực hiện thông qua các giao thức định tuyến động. 53 Hình 3.9 Các kết nối WAN giữa hai trung tâm miền Các kết nối từ trung tâm miền xuống các trung tâm tỉnh cũng được dự phòng, chia tải thông qua việc sử dụng 2 kết nối song song, kết nối chính có băng thông lớn là MPLS IP VPN, kết nối phụ là các dịch vụ truyền thống TDM, Frame-relay, và có thể la ATM nếu có trong tương lai. ( xem hình vẽ dưới đây) Tại TTM, TTT, hệ thống Access-Server phục vụ truy cập từ xa qua dial-up, backup cũng được thiết kế dự phòng. 54 Hình 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống các TTT 3.3.2 Giải pháp thiết kế hệ thống 3.3.2.1 Kết nối Wan Như đã trình bày ở trên, các công nghệ mới sẽ được sử dụng cho kết nối WAN ở cấp trung ương và cấp tỉnh bổ sung cho kết nối truyền thống là: MPLS IP VPN hiện tại cung cấp bởi VTN và CPT và có thể một số nhà cung cấp dịch vụ khác nữa trong tương lai. Kết nối truyền thống như Leased-lines, Frame-relay sẽ chỉ được duy trì ở mức độ thấp nhất mang tính chất dự phòng, phân tải và những nơi chưa thể sử dụng được các dịch vụ mới. 55 Hình 3.11 Cấu trúc mạng trục với WAN truyền thống và MPLS VPN Khi sử dụng kết nối MPLS VPN của nhà cung cấp dịch vụ, mô hình kết nối WAN sẽ như hình vẽ dưới đây: Hình 3.12 Mô hình kết nối sử dụng dịch vụ MPLS IP VPN Hình vẽ dưới đây mô tả khả năng khác biệt giữa đường đi của gói tin giữa dịch vụ MPLS IP VPN và các dịch vụ truyền thống TDM, frame-relay. Cụ thể, gói tin đi từ trung tâm tỉnh thuộc khu vực phía Bắc tới trung tâm tỉnh thuộc khu vực phía nam sẽ không cần phải đi qua các trung tâm miền mà có thể đi thẳng trên hệ thống hạ tầng của nhà cung cấp dịch vụ. Tương tự, gói tin giữa 2 trung tâm tỉnh của cùng một miền sẽ không phải đi qua trung tâm Miền. 56 Hình 3.13 Khả năng định tuyến gói tin trong MPLS IP VPN Sự khác biệt này khiến cho tải trên router tại trung tâm miền sẽ giảm đi. Tuy nhiên, để không phá vỡ tính cấu trúc phân cấp của hệ thống toàn bộ hệ thống sẽ sử dụng các VPN khác nhau cho các vùng mạng khác nhau: VPN cho vùng mạng trục nối 3 miền Bắc, Trung, Nam VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Bắc VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Trung VPN cho vùng mạng phân phối từ TTM xuống cấp tỉnh miền Nam VPN cho vùng mạng phân phối từ TTT tới các đơn vị trực thuộc tỉnh. Hình 3.14 Mô hình các vùng MPLS IP VPN sẽ thuê của nhà cung cấp dịch vụ 57 Bên cạnh việc sử dụng công nghệ mới MPLS IP VPN, sẽ tận dụng kết nối lên Internet sẵn có tại các Internet Gateway, tạo thêm kết nối IPSec VPN qua Internet với mục đích tăng thêm tính dự phòng của hệ thống cũng như băng thông kết nối giữa 3 miền. Ngược với dịch vụ MPLS IP VPN là trong suốt đối với khía cạnh Bộ tài chính, IPsec VPN lại trong suốt đối với nhà cung cấp dịch vụ. Hình 3.15 Mô hình kết nối sử dụng IP Sec VPN thông qua Internet 3.3.2.2 Xây dựng Hệ thống MPLS cung cấp dịch vụ MPLS VPN riêng ngành tài chính 3.3.2.2.1 Lớp mạng trục Lớp mạng trục cung cấp hạ tầng MPLS cho các đơn vị thuộc Bộ tài chính. Giải pháp dựa trên các yêu cầu tiên quyết như độ sẵn sàng cao, tính dự phòng cao, khả năng mở rộng lớn, năng lực chuyển mạch của các thiết bị phải lớn để có thể phục vụ các ứng dụng đa dạng cho toàn ngành Tài chính trong tương lai. 58 Hình 3.16 Lớp mạng trục BTC Theo sơ đồ trên, các cặp Backbone Router đặt tại 3 miền sẽ làm nhiệm vụ kết nối các miền với nhau. Mỗi cặp Backbone Router bao gồm BB-1 và BB-2 có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau, cụ thể: Các cặp router tại 3 miền ( TTM-1, TTM-2) sẽ có trách nhiệm kết nối tới các Trung Tâm Tỉnh, đổng thời kết nối trực tiếp tới cơ quan đầu não các ngành ( Tổng cục thuế, Kho bạc NN, tổng cục Hải quan, ... ). Mỗi cặp TTM-1, TTM-2 có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau, cụ thể: Các router thuộc lớp mạng trục ( BB-1, BB-2, TTM-1, TTM-2) đóng vai trò là các P-router trên hệ thống mạng trục MPLS của Bộ Tài Chính, ngoài ra, trường hợp ngoại lệ, các router phân phối như TTM-1, TTM-2 còn đóng vai trò là PE-router trong hệ thống mạng trục MPLS khi kết nối trực tiếp tới các cơ quan đầu não các ngành ( Datacenter thuộc Bộ Tài chính, Tổng cục thuế, Kho bạc NN, Tổng cục Hải quan, ... ). Hình vẽ dưới mô tả kết nối WAN từ các TTT lên TTM. Kết nối truyền thống (Leased-lines) TTT lên TTM ngoài nhiệm vụ dự phòng còn làm nhiệm vụ phân tải. Đối với các Tỉnh chưa có sẵn dịch vụ MPLS VPN, để có thể đáp ứng được nhu cầu sử dụng của các đơn vị, tạm thời sử dụng 2 kết nối Leased-lines đồng thời ( 1 giữa TTT-1 & TTM2, 1 giữa TTT-2 & TTM-2). Đến khi dịch vụ MPLS VPN sẵn sàng, sẽ giảm bớt kết nối leased-lines giữa TTT-1 & TTM-2 đi và thay thế bằng kết nối từ TTT-1 lên mạng MPLS VPN. 59 Hình 3.17 Kết nối từ TTT lên TTM 3.3.2.2.2 Lớp mạng phân phối Các router thuộc lớp mạng phân phối bao gồm các cặp router tại các Trung tâm Tỉnh ( TTT-1, TTT-2). Theo sơ đồ dưới đây, các cặp Router đặt tại các Trung Tâm Tỉnh sẽ làm nhiệm vụ kết nối lên Trung Tâm Miền tương ứng (TTM-1, TTM-2) và phân phối tới các đơn vị trong phạm vi tỉnh ( bao gồm cả cấp huyện). Mỗi cặp Router tại Trung Tâm Tỉnh bao gồm có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau. 60 Hình 3.18 Lớp mạng phân phối Bộ tài chính Các router tại Trung Tâm Tỉnh này (TTT-1, TTT-2) đóng vai trò là các PE- router trên hệ thống mạng MPLS của Bộ Tài Chính kết nối trực tiếp tới các đơn vị trực thuộc tỉnh (bao gồm cả cấp huyện) 3.3.2.2.3 MPLS và hệ thống MPLS VPN Công nghệ MPLS được áp dụng trên hạ tầng truyền thông BTC nhằm cung cấp các kết nối MPLS VPN cho các đơn vị trong ngành cũng như các đơn vị bên ngoài có nhu cầu kết nối vào hạ tầng truyền thông BTC. 61 Hình 3.19 Các phân lớp mạng Cấu trúc toàn bộ hệ thống bao gồm các P-Router thuộc lớp mạng Trục, các PE- Router thuộc lớp mạng phân phối. Trên hệ thống mạng MPLS Bộ Tai Chính, sử dụng giao thức định tuyến IGP là OSPF đảm bảo kết nối IP giữa các MPLS Router trên hệ thống, Sử dụng giao thức LDP ( Label Distribution Protocol) cho việc phân phối Label trên hệ thống. Giao thức MP-BGP ( Multi-protocol BGP) được sử dụng bắt buộc trên tất cả các PE-Router để phân phối định tuyến cho dịch vụ MPLS VPN. Ngoài ra, giao thức định tuyên IGP OSPF còn được sử dụng trong việc cung cấp dịch vụ TE ( Traffic Engineering) trên hệ thống mạng MPLS BTC. 3.3.2.2.4 Quan hệ giữa MPLS riêng ngành tài chính với MPLS công cộng Từ khía cạnh hệ thống của Bộ Tài Chính, sẽ áp dụng đồng thời 2 dạng dịch vụ MPLS VPN khác nhau: MPLS VPN của các nhà cung cấp dịch vụ công cộng (VNPT): Chỉ có vai trò là kết nối WAN tốc độ cao trên hạ tầng truyền thông Ngành Tài Chính. MPLS VPN của Bộ Tài Chính: Đây là dich vụ riêng của Bộ Tài Chính được cung cấp bởi hạ tầng truyền thông MPLS nội bộ Ngành Tài Chính, cung cấp dịch vụ 62 MPLS VPN cho các đơn vị trực thuộc ( và có thể các truy cập công cộng từ bên ngoài). Như vậy, vấn đề đặt ra là làm sao có thể triển khai được hệ thống MPLS VPN riêng ngành tài chính trên các kết nối MPLS VPN sử dụng của các nhà cung cấp dịch vụ công cộng Sử dụng Tunnel: ở đây sẽ tạo các GRE Tunnel (có thể sử dụng các kiểu encapsulation để tạo IP tunnel khác, nhưng GRE được sử dụng phổ biến nhất) đi qua kết nối MPLS VPN của nhà cung cấp dịch vụ công cộng, các GRE Tunnel sẽ tạo nên các giao diện ảo ( Virtual Interface) kết nối trực tiếp với nhau đóng vai trò hoàn toàn như các giao diện vật lý sử dụng kết nối WAN truyền thống ( như leased-lines hiện tại). Phương án này hoàn toàn trong suốt với nhà cung cấp dịch vụ công cộng, không cần đạt được thỏa thuận kết nối đặc biệt gì với nhà cung cấp dịch vụ MPLS VPN công cộng. Phương án này có nhược điểm là lãng phí một phần băng thông do phải gánh thêm phần header cho GRE Encapsulation, đồng thời cũng yêu cầu thiết bị Router kết nối dịch vụ MPLS VPN phải xử lý nhiều hơn. Tuy nhiên, phần băng thông lãng phí do GRE Encapsulation chỉ chiếm phần nhỏ, đồng thời, hiện vẫn phải sử dụng mã hóa IPSec để đảm bảo tính bảo mật khi truyền số liệu qua hệ thống MPLS VPN công cộng, các công nghệ về phần cứng tiên tiến đã giúp tạo năng lực xử lý lớn trên các loại Router hiện có trên thị trường. Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS VPN công cộng 63 Hình vẽ dưới đây mô tả các kết nối GRE trên toàn hê thống. Hình 3.21 Các kết nối GRE trên hệ thống Với việc thiết lập các kết nối GRE qua mạng MPLS VPN công cộng, các Router kết nối không cần phải quảng bá bảng định tuyến nội bộ BTC ra mạng MPLS VPN bên ngoài. Điều này được thực hiện bằng các giao thức định tuyến động qua kết nối GRE đã được thiết lập, hoàn toàn trong suốt đối với nhà cung cấp dịch vụ. Việc không quảng bá bảng định tuyến mạng nội bộ ra bên ngoài nhằm đảm bảo an ninh hệ thống. 3.3.2.3 Lớp mạng truy cập vào hệ thống MPLS VPN riêng của ngành tài chính 3.3.2.3.1 Kết nối mạng trung ương của các ngành vào hệ thống Mạng Trung ương của các ngành được kết nối vào hệ thống tương tự như việc kết nối các TTT vào hệ thống mạng trục. Các cặp router tại 3 miền ( TTM-1, TTM-2) sẽ có trách nhiệm kết nối trực tiếp tới cơ quan đầu não các ngành ( Tổng cục thuế, Kho bạc NN, tổng cục Hải quan, ... ). Xem hình vẽ dưới đây. 64 Hình 3.22 Mạng trung ương các ngành truy cập vào mạng WAN BTC 3.3.2.3.2 Kết nối mạng của đơn vị vào hệ thống Các đơn vị cấp tỉnh, huyện của các ngành trực thuộc sẽ kết nối thẳng tới TTT. TTT bao gồm 1 cặp router TTT-1 và TTT-2. Theo như đã nêu, mỗi Router này có nhiệm vụ kết nối WAN và năng lực xử lý khác nhau: Do yêu cầu về tính sẵn sàng kết nối vào mạng trục BTC của các điểm kết nối trong địa bàn tỉnh không đồng đều nhau, do đó không nhất thiết phải sử dụng cả hai loại hình kết nối WAN là MPLS VPN và 1 loại kết nối truyền thống khác. Hình vẽ dưới đây mô tả việc truy cập của các đơn vị thuộc 1 tỉnh vào hệ thống mạng Bộ Tài chính: 65 Hình 3.23 Lớp truy cập của các đơn vị vào mạng WAN bộ tài chính Đối với các đơn vị như cục Thuế Tỉnh, Tổng cục thuế có yêu cầu khả năng dự phòng cao hơn nữa, Bộ tài chính có thể chọn lựa giải pháp sử 02 Router kết nối, một Router kết nối MPLS VPN, một router cho kết nối Leased-lines và backup như sơ đồ dưới đây: Hình 3.24 Sử dụng 02 Router kết nối cho các đơn vị có yêu cầu tính dự phòng rất cao 66 3.3.2.4 Truy cập Internet tới MPLS VPN Hình vẽ dưới đây mô tả quá trình người sử dụng ở bên ngoài Internet muốn truy cập vào hệ thống mạng MPLS VPN của Bộ tài chính, qua đó truy cập tới hệ thống mạng của đơn vị mình. Hình 3.25 Truy cập IPSec VPN tới MPLS VPN bộ tài chính thông qua Internet Trước hết, cần một thiết bị vừa đóng vai trò là PE-Router trên hệ thống mạng MPLS VPN riêng của Bộ tài chính, vừa đóng vai trò là IPSec VPN Server cho các kết nối từ các VPN client ngoài Internet. Sau khi người sử dụng xác thực thành công, PE- router đóng vai trò VPN Server này có khả năng ánh xạ IPSec Tunnel của người sử dụng này tới VRF tương ứng với MPLS VPN của đơn vị mình. Kết quả là người sử dụng thuộc một ngành sẽ chỉ được gán với một MPLS VPN thuộc ngành đó như khi ở tại văn phòng của mình. Cụ thể, IPSec VPN Server ( xem hình vẽ) bao gồm 2 giao diện FastEthernet, một giao diện kết nối tới mạng trục MPLS VPN ( FastEthernet 0 trên hình vẽ), một giao diện kết nối ra cổng truy cập Internet ( FastEthernet 1). Giao diện FastEthernet 1 67 sẽ có 1 địa chỉ Public IP, là địa chỉ kết cuối của VPN Server cho các kết nối VPN ( VPN client, hoặc site-to-site) từ người sử dụng bên ngoài Internet. 3.3.2.5 Kết nối tới các mạng bên ngoài Hệ thống hạ tầng truyền thông ngành Tài chính theo thiết kế đề xuất là một hệ thống mở, cho phép các đơn vị khác bên ngoài ngành Tài chính có thể truy cập vào các đơn vị thuộc Ngành Tài chính trong khi vẫn đảm bảo an ninh, chất lượng dịch vụ của toàn bộ hệ thống. Một số các kết nối từ bên ngoài vào hạ tầng Truyền thông ngành Tài chính như: Kết nối của các Ngân hàng bên ngoài Kết nối Tới mạng MAN Hồ Chí Minh Kết nối VAN cho hải quan Các kết nối phục vụ khai báo Thuế online. .... Về nguyên tắc, tất cả các lưu lượng của các đơn vị bên ngoài khác nhau khi đi trên hạ tầng dùng chung ngành Tài chính sẽ được phân tách trên các MPLS VPN khác nhau của mạng MPLS VPN riêng BTC. Dưới đây là ví dụ kết nối cụ thể. Mô hình khai báo Thuế online Hình vẽ dưới đây là mô hình khai báo Thuế online có thể được triển khai trên hạ tầng BTC. Theo đó, các cá nhân, tổ chức sẽ truy cập qua Internet, qua cổng kết nối Internet ngành tài chính, tới IPSec VPN Server. Tại đây, người khai báo thuế sẽ sử dụng username/password công cộng ( giả sử: user= thue_online, pass=public), sau khi xác thực thành công, kết nối IPSec VPN từ máy tính người khai báo thuế tới VPN Server sẽ được ánh xạ tới 1 VPN dùng chung cho khai báo thuế online. Qua đó, người sử dụng có thể truy cập Server khai báo Thuê online đặt tại Thuế. Các lưu lượng khai báo thuế online hoàn toàn được phân tách bởi 1 VPN riêng trên hệ thống MPLS VPN riêng ngành Tài chính, vì vậy an ninh tổng thể toàn hệ thống được đảm bảo. 68 Hình 3.26 Mô hình khai báo Thuế On-line Ngoài ra, với sự hỗ trợ của dịch vụ truy cập từ Internet hoặc dial-up vào MPLS VPN Bộ tài chính, cho phép Các ngành trực thuộc Bộ Tài chính triển khai các loại hình truy cập cho công cộng một cách an toàn và dễ dàng mở rộng. Khách hàng công cộng sẽ truy cập VPN bằng ‘username’ công cộng và chỉ được ánh xạ tương ứng tới các MPLS VPN công cộng trên hệ thống Bộ Tài chính, qua đó khách hàng có thể truy cập các tài nguyên công cộng được phép Các truy cập công cộng hoàn toàn được tách riêng với các MPLS VPN khác trên hệ thống, do đó an ninh tổng thể toàn bộ hệ thống Bộ tài chính được đảm bảo. 3.3.3 Đánh giá về hệ thống đảm bảo an ninh Ngày nay, hầu như doanh nghiệp nào có kết nối Internet cũng sử dụng các Firewall để tự bảo vệ mình trước thế giới nhiều biến động bên ngoài. Và đây chính là lớp phòng vệ bên ngoài của các doanh nghiệp. Với sự tiến bộ vượt bậc của công nghệ, các công cụ, kỹ thuật tấn công ngày dễ dàng hơn, có vô số những website hướng dẫn và cung cấp miễn phí các công cụ tấn công trên Internet. Do đó, phòng thủ vòng ngoài hoặc chỉ phòng thủ một lớp không thôi thì không đủ để đảm bảo các vấn đề an ninh mạng. 69 Cho đến nay, các doanh nghiệp buộc phải triển khai nhiều thứ trong công nghệ bảo mật để đối phó với một mối đe dọa mới khi nó xuất hiện. Phòng ngừa virus, các bộ lọc chống thư rác (spam mail), tường lửa để kiểm soát truy cập, phát hiện xâm nhập để chống hacker, ..... Toàn bộ quá trình này rất tốn kém, cồng kềnh và dư thừa. Mục tiêu thực hiện bảo mật là đưa ra giải pháp bảo mật tốt với chi phí đầu tư thấp nhất. Hình 3.27 Kiến trúc bảo mật đề xuất Kiến trúc bảo mật bao gồm nhiều phân lớp bảo mật: Phân lớp bảo vệ: sử dụng các công nghệ bảo mật như Firewall, IDS, IPS để chống lại các tấn công xuất phát từ bên trong lẫn bên ngoài. Bảo mật các kết nối mạng: đảm bảo các thông tin quan trọng được bảo mật trên đường truyền. Xác thực và nhận dạng, và cấp quyền truy cập tới các tài nguyên hệ thống. Kiểm soát truy cập, đảm bao an ninh tại phân lớp ứng dụng Áp dụng vào hệ thống mạng Bộ tài chính, việc đảm bảo an ninh cho toàn bộ hệ thống được chia ra thành các phần chính: An ninh cho các kết nối WAN An ninh cho phần mạng trục MPLS Bộ tài chính An ninh giữa các đơn vị sử dụng dịch vụ MPLS VPN nội bộ ngành Tài chính An ninh hệ thống cho cổng kết nối Internet ( Internet gateway) 3.3.3.1 An ninh cho các kết nối WAN Trên hạ tầng mạng Bộ tài Chính ( Bao gồm các TTT & TTM), đối với các kết nối sử dụng MPLS VPN của các nhà cung cấp dịch vụ công cộng, đã sử dụng phương 70 thức mã hóa IPSec cho các GRE tunnel theo như đã mô tả ở trên do đó hoàn toàn đảm bảo tính an toàn. Đối với các kết nối WAN truyền thống ( hiện sử dụng leased-lines), sử dụng các thiết bị mã hóa đường truyền Layer-1 cho các đường leased-lines, Layer-2 cho Frame-Relay. Hình vẽ dưới đây mô tả việc sử dụng các thiết bị mã hóa Layer-1 điểm- điểm cho các kết nối Leased-lines từ TTT, trụ sở chính các Ngành lên thiết bị TTM-2. Ưu điểm của việc sử dụng các thiết bị mã hóa Layer-1 điểm-điểm ở đây là không làm phức tạp hóa cấu trúc lôgíc của toàn bộ hệ thống. Hình 3.28 Mã hoá đường truyền Leased – lines giữa TTT - TTM 3.3.3.2 An ninh cho phần mạng trục của MPLS VPN của bộ tài chính MPLS cung cấp khả năng tách biệt định tuyến, địa chỉ mạng đầy đủ như các dịch vụ layer-2 VPN truyền thống khác. MPLS dấu các cấu trúc địa chỉ lớp mạng core và các VPN khác. Cần thực hiện biện pháp chống giả mạo địa chỉ (IP Spoofing): Yêu cầu triển khai trên tất cả các PE router để chống IP spoofing. Cho phép kiểm tra từng gói tin 71 nhận được của một giao diện. Căn cứ vào địa chỉ IP nguồn của gói tin, nếu trong bảng định tuyến không có đường định tuyến nào trỏ tới cùng một cổng giao tiếp nơi mà gói tin đã đến, thì router sẽ loại bỏ gói tin này. Có biện pháp chống tấn công từ chối dịch vụ kiểu phân bố (DDoS): Lọc, giới hạn các route. Áp dụng các bước ingress & egress filter (xem RFC 2267) bằng các access lists (ACLs). Các PE router cần được cấu hình chỉ chấp nhận các gói tin đi vào từ phía CE khi gói tin đó thuộc về các CE. Kết quả là các PE router sẽ loại bỏ bất kỳ gói tin nào đi vào PE từ CE với địa chỉ nguồn trùng với địa chỉ trên mạng Core hoặc thuộc về CE khác. 3.3.3.3 An ninh cho các đơn vị sử dụng dịch vụ MPLS VPN riêng ngành tài chính Hình vẽ dưới đây thể hiện mô hình phân tách các lớp mạng, đảm bảo an ninh cho các ngành trực thuộc khi sử dụng dịch vụ MPLS VPN trên cùng hạ tầng mạng của Bộ tài chính. Hình 3.29 Mô hình phân tách các lớp mạng, đảm bảo an ninh cho các đơn vị 72 Trong đó, mạng nội bộ của các ngành trực thuộc như Thuế, KB, HQ,... được tách biệt bởi các VPN khác nhau, có thể sử dụng dải địa chỉ IP trùng nhau ( ví dụ 10.1.x.x như trên hình vẽ). Giữa các mạng nội bộ này không thể có sự trao đổi số liệu trực tiếp với nhau. Để có thể tách riêng Server dùng chung của các đơn vị thành 1 VRF riêng, có thể áp dụng tính năng Multi-VRF trên các CE router. ( Multi-VRF là một tính năng cho phép cấu hình nhiều bảng VRF trên cùng 1 CE router vật lý, ứng dụng được mô tả như hình vẽ dưới đây: Trong chính sách đánh số RD, RT đưa ra ở đây, mạng nội bộ của ngành này không truy cập trực tiếp được tới phân hệ Server dùng chung của ngành khác, mà phải thông qua phân hệ Server dùng chung của ngành mình. Ví dụ, User ở mạng trong của Thuế không trực tiếp truy cập tới Servers dùng chung của KB, mà phải gián tiếp thông qua các Servers dùng chung của Thuế. Địa chỉ IP sử dụng trên sơ đồ mang tính chất mô tả, theo đó, mạng nội bộ thuộc các ngành hoàn toàn tách biệt với nhau, việc trao đổi số liệu giữa các ngành được thực hiện thông qua các phân hệ Server dùng chung. Do đó, việc bảo vệ an ninh giữa các ngành với nhau, chống các loại hình tấn công xuất phát từ bên trong sang các ngành khác, chống việc lan tràn virus, worm trên hệ thống được thực hiện bởi các thiết bị đảm bảo an ninh hệ thống trên kết nối giữa CE-Router của một đơn vị ( kết nối tới mạng MPLS BTC) và phân hệ Server dùng chung của đơn vị đó. Các thiết bị đảm bảo an ninh hệ thống này bao gồm các Firewall, IDS/IPS, Anti-virus, Anti-worm, ngoài ra, trên các Server ứng dụng quan trọng có thể bổ sung thêm các phần mềm bảo vệ H-IPS 3.3.3.4 An ninh hệ thống cho kết nối Internet Việc bảo vệ an ninh hệ thống chống lại các mối đe dọa từ bên ngoài Internet được thực hiện thông qua nhiều mức bảo vệ khác nhau. Bảo vệ vòng ngoài: 73 Hình 3.30 An ninh vòng ngoài Bắt đầu từ kết nối Internet, Internet router thực hiện các công việc bảo vệ chống các tấn công cơ bản từ bên ngoài dựa vào các danh sách điều khiển truy cập ( Access- Control-List), sau đó trước khi lưu lượng đến được firewall, hệ thống chống xâm nhập (IPS) được đặt ngay tại vòng ngoài. Hệ thống IPS được đặt trước tường lửa làm lớp bảo vệ đầu tiên và phản ứng lại với các cuộc xâm nhập, không cần sự can thiêp của người quản trị hệ thống Kiểm soát truy cập từ Internet được bảo vệ bởi tường lửa. Đây là lớp phòng vệ đầu tiên trước các mạng không có độ tin cậy cao về mạng an ninh hệ thống như BTC. Hệ thống Firewall vòng ngoài này được nối thẳng tới PE-router của mạng MPLS BTC, hệ thống firewall này cần hỗ trợ khả năng phân chia VLAN trên các giao diện Ethernet, khả năng tạo nhiều ‘virtual-firewall’, để qua đó có thể gán mỗi ‘virtual- firewall’ cho một ngành trực thuộc, gán các VLAN các VRF tương ứng với VPN của các ngành. Như vậy, khi các ngành sử dụng kết nối ra ngoài Internet trên hạ tầng chung của BTC, các ngành này sẽ có thể được trao quyền quản lý ‘virtual-firewall’ đó cho các ngành trực thuộc tự thiết lập các chính sách bảo mật riêng phù hợp với đặc thù của từng ngành. Tầng Firewall thứ hai bảo vệ hệ thống các ứng dụng 74 Hình 3.31 Bảo vệ các hệ thống ứng dụng Tường lửa thứ hai của bộ tài chánh là lớp phòng vệ thứ hai và phòng vệ chiều sâu để bảo vệ hệ thống những ứng dụng. Một đặc điểm của các ứng dụng ngành Tài chính là việc sử dụng giao thức https cho các ứng dụng quan trọng, do đó các thiết bị chống xâm nhập IDS cần hỗ trợ khả năng phân tích giám sát lưu lượng dạng mã hóa SSL. Phân hệ các Server cơ sở dữ liệu ( backend server) Được bảo vệ bởi tầng firewall thứ ba. Firewall thuộc các tầng khác nhau được sử dụng của các hãng khác nhau nhằm mục đích giảm thiểu khả năng bị tấn công do lỗ hổng bảo mật trên tại một thời điểm của một chủng loại firewall nào đó. Ngoài ra, cần có các hệ thống chống Virus, Worm, lọc URL làm việc với các Firewall, cho phép hoạt động trong suốt đối với người sử dụng. Xác thực và Nhận dạng Các truy cập từ bên ngoài vào một số Server ứng dụng đặc biệt nào đó trên vùng DMZ cần được xác thực username/password và cấp quyền truy cập. Việc này được thực hiện nhờ các RADIUS Server. Các firewall có khả năng xác thực & cấp quyền truy cập sẽ làm việc với các RADIUS Server. RADIUS Server được đặt trong phân hệ quản trị mạng. 75 3.3.4 Hoạt động thử nghiệm Qua những phân tích đánh giá trên. Hiện tại Tổng cục thuế đã tiến hành thử nghiệm trên hệ thống đang sử dụng đối với Cục thuế Hải Dương, chi cục Thuế Hải Dương, chi cục thuế Huyện Chí Linh, chi cục Thuế Huyện Gia Lộc và đã thu được kết quả như mong muốn đối với các tiêu chí đã đặt ra cụ thể: Hình 3.32 Mô hình thử nghiệm Truyền số liệu thực tế qua hệ thống MPLS VPN của VNPT Trên các Cisco router tham gia thử nghiệm, sử dụng lệnh “Ping” kiểm tra xem kết nối IP tới các Virtual-Template của các Router khác tham gia vào hệ thống thử nghiệm có thành công. Kiểm tra với lưu lượng thật. Kiểm nghiệm độ ổn định của hệ thống dịch vụ công cộng MPLS VPN Giám sát độ ổn định của kết nối qua hệ thống MPLS VPN. Chất lượng dịch vụ, tốc độ truyền số liệu thực tế so với tốc độ cam kết của dịch vụ công cộng MPLS VPN Thực hiện download với nhiều session khác nhau, từ các máy tính khác nhau, xác định tốc độ truyền thực tế lớn nhất có thể. Kiểm nghiệm khả năng đảm bảo security thực tế cho kết nối MPLS VPN của nhà cung cấp dịch vụ. Giả mạo địa chỉ: Từ 1 máy tính trong mạng LAN của 1 đơn vị (giả sử Cục thuế Hải dương) ping tới địa chỉ nào đó ( có thể ping được) với địa chỉ nguồn IP của 1 máy tính khác trên mạng LAN của 1 đơn vị khác ( giả sử chi cục thuế Chí Linh). Kiểm tra xem máy tính trên mạng LAN của đơn vị bị giả mạo ( Chí linh) có nhận được gói tin 76 phản hồi hay không. Nếu nhận được, chức năng chống giả mạo địa chỉ của hệ thống mạng MPLS VPN đối với người sử dụng không có. Với công nghệ MPLS VPN, đã được kiểm chứng là không thể gửi 1 gói tin từ 1 VPN này tới 1 VPN khác, do đó không cần kiểm tra đặc tính này ( trong mạng thử nghiệm chỉ có 1 VPN). Cần duy trì hệ thống thử nghiệm hoạt động với lưu lượng thực tế sau 1 khoảng thời gian đủ dài ( ít nhất 1 tháng) để có thể kết luận về tính khả thi trong việc triển khai sử dụng rộng rãi dịch vụ MPLS VPN trên toàn ngành Tài chính. 3.4 Kết luận Tóm lại với giải pháp thiết kế hệ thống đưa ra đối với hệ thống mạng truyền thông Bộ Tài chính nói chung và Tổng cục Thuế nói riêng đã khắc phục được nhược điểm của mô hình kết nối hiện tại và thu được một hệ thống tổng thể mới đáp ứng được nhu cầu về tốc độ truyền và an toàn dữ liệu. Hệ thống với thiết kế cập nhật mới ứng dụng các thành tựu mới của CNTT kết hợp với sự kế thừa hệ thống hiện tại, cho phép tạo nên một hệ thống linh hoạt, có khả năng phát triển, mở rộng cao, tính dự phòng cao đáp ứng được các nhu cầu mới của toàn Bộ Tài Chính nói chung và Tổng cục Thuế nói riêng trong tương lai. Tuy nhiên, hiệu quả của hệ thống mới không thể tính được bằng các giá trị vật chất, bằng các số liệu cụ thể. Với thiết kế mới, các thông tin trên toàn Bộ Tài Chính được xử lý an toàn, chính xác, kịp thời và vì vậy đảm bảo hoạt động ổn định của toàn Bộ Tài Chính trước những yêu cầu mới. Việc áp dụng công nghệ MPLS IP VPN đối với hệ thống mạng ngành Tài chính thu được những lợi ích đáng kể trước tiên ta thấy rõ hệ thống này không yêu cầu thêm bất kỳ thiết bị mạng như Router, switch nào so với xây dựng hệ thống mạng IP truyền thống. Tất cả các thiết bị Router, Switch tại TTT, TTM đều hỗ trợ sẵn sàng các tính năng, giao thức MPLS, do đó việc xây dựng hệ thống MPLS VPN riêng chỉ đơn thuần là triển khai sử dụng các tính năng MPLS sẵn trên các thiết bị này. Với việc xây dựng MPLS VPN riêng ngành tài chính, Bộ tài chính sẽ tiết kiệm được khoản đầu tư đáng kể để đảm bảo an ninh hệ thống, phân tách các đơn vị khác nhau bằng các hệ thống Firewall, IPS, Anti-Virus cần thiết trên tất cả 64 TTT, TTM so với khi không xây dựng hệ thống MPLS VPN riêng. Hệ thống phù hợp với định hướng về CNTT của Bộ Tài Chính, đồng thời phù hợp với xu thế phát triển công nghệ trên thế giới, không bị lãng phí, lạc hậu trong 77 tương lai. Phù hợp với môi trường tin học và viễn thông của Việt nam trong thời điểm hiện tại, đón bắt được xu hướng công nghệ tại Việt nam trong tương lai. 78 CHƯƠNG 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Ngày nay, các ứng dụng Internet đã được sử dụng rộng rãi trong mọi lĩnh vực, ở khắp mọi nơi trên thế giới. Sự mở rộng của Internet kéo theo sự cải tiến không ngừng của các mô hình mạng, kéo theo đó là các dịch vụ mạng để đáp ứng nhu cầu truyền thông tin một cách an toàn, hiệu quả. Một trong những ứng dụng quan trọng đó là mạng riêng ảo. Ngoài việc giới thiệu khái niệm về mạng riêng ảo, luận văn còn đi sâu vào phân tích các loại mạng riêng ảo hiện nay, những hạn chế còn tồn tại trong mỗi mô hình, những thế mạnh của mỗi mô hình đó giúp người đọc có cái nhìn tổng quan về mỗi mô hình để từ đó lựa chọn áp dụng vào mỗi mô hình sao cho có hiệu qủa nhất. Hiện nay có nhiều công nghệ mới ra đời nhằm nghiên cứu phương thức truyền tin trên mạng một cách an toàn một trong những công nghệ đang được ứng dụng rộng rãi hiện nay đó là MPLS VPN. Luận văn trình bày khái niệm và phương thức hoạt động của công nghệ MPLS đi sâu vào phân tích cấu trúc MPLS cũng như cách thức truyền gói tin gắn nhãn đi trong mạng từ một địa chỉ nguồn tới một địa chỉ đích một cách an toàn. Trên cơ sở phân tích hệ thống mạng hiện trạng của Bộ tài chính nói chung, Tổng cục Thuế nói riêng luận văn cũng đưa ra các giải pháp thiết kế hệ thống cụ thể để thu được một hệ thống mới có mức độ đảm bảo an ninh hơn. Để có được một hệ thống mạng đáp ứng được nhu cầu thực tế của Bộ tài chính Luận văn xin đề xuất một số hướng nghiên cứu trong tương lai sau: - Xây dựng giải pháp thiết kế một trung tâm dự phòng thông tin. - Xây dựng một hệ thống vận hành bảo dưỡng ở đó hệ thống này có thể phân tích, chuẩn đoán các kết nối mạng chi tiết theo thời gian thực, hệ thống quản lý các vấn đề an ninh, bảo mật, hệ thống cho phép thực hiện khảo sát và tập hợp dữ liệu và lập báo cáo chi tiết và đo đạc hiệu xuất của mạng - điều mà BTC quan tâm. - Qui hoạch lại địa chỉ IP cho Bộ tài chính, sao cho có thể khai thác được ưu điểm và tận dụng hết tài nguyên mạng. 79 TÀI LIỆU THAM KHẢO Tiếng Việt 1. Mô hình hạ tầng truyền thông Bộ tài chính 2. Mô hình hạ tầng truyền thông Tổng cục Thuế Tiếng Anh 3. 4. 2. 60/ArticleID/525/tid/585/Default.aspx 5. Ina Minei, Junian Lucek “ MPLS – Enable Application” Emering Development and New Technologies 6. “MPLS – Enable Application” 7. paper.pdf 8. 9. Rosen E., Viswanathan, A. and R. Callon, "Multiprotocol Label Switching Architecture", Work in Progress. 10. Callon R., et al., "A Framework for Multiprotocol Label Switching", Work in Progress. 11. 81