BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG VÕ XUÂN NAM NGHIÊN CỨU ÁP DỤNG KHUYẾN NGHỊ X.805 ĐỂ ĐẢM BẢO AN TOÀN CHO DỊCH VỤ HSI TRÊN NGN CHUYÊN NGÀNH: TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH MÃ SỐ: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SỸ KỸ THUẬT Người hướng dẫn: PGS.TS. Hoàng Minh HÀ NỘI - NĂM 2010 Luận văn được hoàn thành tại: Học viện Công nghệ Bưu chính Viễn thông Tập đoàn Bưu chính Viễn thông Việt Nam Người hướng dẫn khoa học: ……………… …………………………………… Phản biện 1: …………………………………………………… …………………………………………………… Phản biện 2: …………………………………………………… …………………………………………………… Luận văn sẽ được bảo vệ trước hội đồng chấm luận văn tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: giờ ngày tháng năm……. Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu chính Viễn thông 1 MỞ ĐẦU Hiện nay mạng NGN của VNPT đã triển khai và đang cung cấp 1 số dịch vụ với mục tiêu tiến tới hội tụ hoàn toàn các mạng với nhau. Khi cung cấp dịch vụ cho khách hàng thì vấn đề đảm bảo an toàn cho mạng phải được tính đến ngay từ những ngày đầu. Khác với mạng truyền thống, khi chuyển lên mạng sử dụng IP thì vấn đề về an toàn bảo mật cho hệ thống mạng sẽ phức tạp hơn rất nhiều, vấn đề đặt ra là làm thế nào để phân tách cô lập mạng để tránh xảy ra sự cố cũng như để có thể nhanh chóng phát hiện ra các lỗ hổng phải được đặt lên hàng đầu. Dựa vào khuyến nghị X.805, dựa trên hiện trạng cơ chế hoạt động của các dịch vụ, dựa vào các dịch vụ đang cung cấp trên mạng NGN của VNPT, luận văn sẽ đưa ra các khuyến nghị cho các dịch vụ VPN L2. Trong khuôn khổ bản luận văn này, tác giả sẽ tập trung chủ yếu vào các vấn đề sau: Chương 1: Tổng quan, phân tích mô hình tổ chức khai thác dịch vụ trên mạng NGN của VNPT nhìn từ các góc độ kiến trúc mạng, dịch vụ, quản lý, thiết bị và nhà cung cấp. Chương 2: Áp dụng khuyến nghị X.805 của ITU cho phương án đảm bảm an toàn mạng và dịch vụ trên mạng NGN của VNPT, phân tích khuyến nghị X.805, đánh giá ưu nhược điểm của X.805, các miền an ninh, các bổ sung cần thiết cho X.805. Chương 3:Dựa trên khuyến nghị X.805 để đề xuất các giải pháp an ninh cho dịch vụ VPN L2 trên mạng NGN của VNPT. 2 CHƯƠNG 1: TỔNG QUAN VỀ MÔ HÌNH TỔ CHỨC VÀ KHAI THÁC DỊCH VỤ TRÊN NGN VÀ VẤN ĐỀ AN NINH MẠNG 1.1 Mạng thế hệ kế tiếp - NGN Từ tình hình mạng viễn thông hiện nay và sự bùng nổ về nhu cầu dịch vụ băng rộng, việc xây dựng một mạng cung cấp đa loại hình dịch vụ tốc độ cao băng thông lớn là vấn đề tất yếu của các nhà khai thác mạng. NGN tập hợp được ưu điểm của các công nghệ mạng hiện có, tận dụng băng thông rộng và lưu lượng truyền tải cao của mạng gói để đáp ứng sự bùng nổ nhu cầu lưu lượng thoại truyền thông hiện nay và nhu cầu truyền thông đa phương tiện của người dùng đầu cuối. Điện thoại IP là ví dụ điển hình để minh họa cách tín hiệu thoại được chuyển đổi thành gói dữ liệu rồi truyền trên nền IP trong mạng NGN như thế nào. Có thể nói truyền thoại trên nền gói là ưu điểm lớn nhất mà NGN đã thực hiện được hơn hẳn so với các công nghệ mạng trước đây. Đặc điểm của NGN là cấu trúc phân lớp theo chức năng và phân tán các tài nguyên trên mạng. Điều này đã làm cho mạng được mềm hóa và sử dụng các giao diện mở API để kiến tạo các dịch vụ mà không phụ thuộc nhiều vào các nhà cung cấp thiết bị và dịch vụ mạng. Kiến trúc của mạng NGN là sự tổ hợp pha trộn của các mạng hiện có và có thêm những phần tử mới để cung cấp các dịch vụ cho người dùng. Thực tế vấn đề an ninh mạng đã được đề cập và quan tâm ngay khi thiết lập mạng. Song song với sự phát triển của hệ thống mạng thì các nguy cơ về an ninh cũng ngày càng nhiều lên và các nhà mạng cũng phải đầu tư nhiều hơn cho vấn đề này. Thực tế khi xây dựng 1 hệ thống mạng IP thì 3 vấn đề cần phải quan tâm là: 3 - Tính sẵn sàng: thực tế trong mạng IP thì TE (Traffic Engineering) đã giải quyết được vấn đề đảm bảo tính sẵn sàng cao cho những kết nối quan trọng. - Vấn đề an toàn bảo mật: khởi tạo thiết lập các phương thức bảo vệ cho hệ thống mạng đảm bảo dịch vụ được thông suốt. Trên thực tế thì 90% các lỗ hổng đã được các nhà cung cấp thiết bị hỗ trợ sẵn, vấn đề là làm sao tận dụng tối đa các chức năng này. - Vấn đề thứ 3 phải quan tâm đó là QoS thực hiện phân mức ưu tiên chuyển tải trong mạng theo các mức độ ưu tiên được định nghĩa trước đó. Thực tế các dịch vụ và lưu lượng quan trọng như điều khiển, thoại, video sẽ phải có mức độ cao hơn so với các dịch vụ khác như HSI. Bản thân kiến trúc mạng NGN khá phức tạp, ngoài hạ tầng mạng lõi IP (một mạng với rất nhiều vấn đề an ninh) còn có khá nhiều loại mạng truy nhập khác nhau và rất nhiều điểm liên kết nối ra bên ngoài (với mạng Internet, với nhà cung cấp dịch vụ khác, với nhà cung cấp dịch vụ thứ 3…), trong thời gian ngắn chúng ta cũng không thể bao hàm hết tất cả các phân đoạn mạng, việc thực hiện cần theo lộ trình làm tuần tự, ưu tiên các mạng truy nhập hiện đang có kết nối với NGN và các điểm kết đã và có thể kết nối ra ngoài trong thời gian sắp tới. 1.2 Mô hình tổ chức khai thác dịch vụ trên mạng NGN của VNPT Trong tài liệu này chỉ đề cập đến những nét khái quát về mô hình tổ chức và quy trình khai thác trên mạng của VNPT. Nếu nhìn từ góc độ kiến trúc, mạng NGN của VNPT sẽ có kiến trúc như sau: 4 Hình 1.1. Mạng NGN của VNPT nhìn từ góc độ kiến trúc Về mô hình tổ chức phân công chức năng nhiệm vụ của các đơn vị Tập đoàn đang thực hiện và dần hoàn thiện quy trình, tương lai sẽ có mô hình như sau: Mạng truy nhập Dịch vụ VOIP Dịch vụ IPTV VPN Mạng chuyển tải băng rộng Khách hàng Dịch vụ HSI Giao diện điều khiển (logic) Mạng chuyển tải băng rộng do VTN quản lý Nội hạt Liên tỉnh Phần truy nhập và hạ tầng thiết bị Metro do VTNP tỉnh quản lý Dịch vụ VPN do VTN hoặc VDC quản lý Dịch vụ VoIP do VTN quản lý Dịch vụ IPTV do VASC quản lý Dịch vụ HSI do VDC quản lý Hình 1.2. Cấu trúc mạng NGN xét từ góc độ mô hình tổ chức Cấu trúc mạng NGN bao gồm 5 lớp chức năng, lớp truy nhập, lớp chuyển tải, lớp điều khiển, lớp ứng dụng/dịch vụ và lớp quản lý. 5 Hình 1.3. Cấu trúc mạng NGN phân theo các lớp chức năng 1.3 Tóm tắt chương Như vậy trong chương 1 đã giới thiệu chung về mạng NGN, khảo sát qua các mạng viễn thông hiện có và qua đó có những đánh giá về vấn đề an toàn bảo mật. Trong chương 1 cũng đã trình bầy về mô hình tổ chức khai thác dịch vụ trên mạng NGN của VNPT, nhìn từ góc độ kiến trúc mạng, dịch vụ cung cấp, mô hình tổ chức quản lý, các thiết bị được sử dụng trong mạng NGN của VNPT được tổng hợp và cập nhật lại từ nhiều nguồn tài liệu khác nhau. CHƯƠNG 2: ÁP DỤNG KHUYẾN NGHỊ X.805 CHO PHƯƠNG ÁN ĐẢM BẢO AN TOÀN MẠNG VÀ DỊCH VỤ TRÊN MẠNG NGN CỦA VNPT. 2.1 Đặt vấn đề Hiện tại có thể nói các chuẩn công nghệ về an ninh trong NGN đang thu hút nhiều sự quan tâm của nhiều tổ chức nghiên cứu, song đa số vẫn đang còn nằm ở dưới dạng các tài liệu nghiên cứu. Việc áp dụng trực tiếp các chuẩn công nghệ để xây dựng nên giải pháp an ninh là khá khó khăn. Chính vì lý do trên việc nghiên cứu Lớp truy nhập Lớp chuyển tải Lớp điều khi ển Lớp dịch vụ Media Gateway Softswitch Chuy ển mạch kênh Lớp quả n lý HSI VOIP IPTV 6 tìm hiểu lựa chọn các chuẩn công nghệ để có thể áp dụng làm framework trong việc xây dựng giải pháp an ninh cho kiến trúc mạng NGN hiện tại cũng như trong tương lai của VNPT là một vấn đề quan trọng. 2.2 Hiện trạng nghiên cứu về an ninh trong mạng NGN của các tổ chức chuẩn hóa Trong nước hiện tại các công việc nghiên cứu liên quan đến lý thuyết cũng như các liên quan đến xây dựng phương án thực tế nhằm đảm bảo an toàn cho mạng NGN còn rất hạn chế. Ngoài nước các hãng đã tập trung khá nhiều vào việc nghiên cứu an ninh cho NGN, các chủ đề nghiên cứu trong an ninh cho NGN được thực hiện khá đa dạng, tuy nhiên hiện các chuẩn công nghệ hoàn chỉnh giải quyết đến những vấn đề cụ thể trong an ninh NGN thì gần như chưa có. 2.3 Lựa chọn framework an ninh Khuyến nghị X.805 của ITU về Kiến trúc an ninh từ đầu cuối đến đầu cuối cho các hệ thống truyền thông là một trong những nền tảng cho việc nghiên cứu vấn đề an ninh trong các mạng gói và cũng là nền tảng để xây dựng các khuyến nghị khác về an ninh từ đầu cuối đến đầu cuối. Mặc dù chuẩn công nghệ này áp dụng một cách tương đối tổng quát cho mọi công nghệ mạng bên dưới (không phải với mục đích sử dụng cho riêng mạng NGN) và hiện tại vẫn chưa có một tài liệu nào công bố về việc áp dụng chuẩn này cho mạng NGN. Qua quá trình nghiên cứu các tài liệu chuẩn về vấn đề an ninh của một số tổ chức đó, chúng tôi xác định sẽ sử dụng khuyến nghị này để xây dựng một cơ sở lý thuyết chính cho việc xây dựng giải pháp an ninh đối vói mạng NGN. Chính vì những lý do trên tôi 7 sẽ đi sâu phân tích nội dung của khuyến nghị X.805, làm rõ được quy trình cách thức áp dụng của chúng 2.4 Phân tích khuyến nghị X.805 1.2.1 Đánh giá ưu nhược điểm của X.805 Ưu điểm: Là một Framework rất rõ ràng và bài bản, đưa ra đầy đủ định nghĩa về các nguy cơ và các giải pháp tổng quát tương ứng rất thuận lợi cho việc xây dựng các giải pháp an ninh end-to-end cho một đối tượng. Nhược điểm: Chưa chỉ rõ loại nguy cơ xuất phát từ bên trong hay từ các tương tác bên ngoài. Chỉ áp dụng đảm bảo an ninh theo kiến trúc end-to-end nên có thể bỏ sót các đối tượng an ninh trong nội bộ đối tượng. Như vậy X.805 chỉ có hiệu quả khi đối tượng đầu vào được phân tích kỹ càng thành các đối tượng nhỏ hơn đảm bảo không bỏ sót các giao diện tiềm ẩn nguy cơ. 1.2.2 Miền an ninh Bản thân miền an ninh là một khái niệm không được nêu ra trong khuyến nghị X.805, nó không là một thành phần an ninh trong kiến trúc an ninh mà khuyến nghị X.805 đưa ra, nó chỉ được đề cập gần đây trong các kiến trúc an ninh của 3GPP hay của TISPAN. Sở dĩ lựa chọn đưa khái niệm này vào trình bày trong phần này bởi vì các giải pháp an ninh thực tế đều dựa trên khái niệm này, và theo ý kiến chủ quan thì việc thực hiện kỹ thuật phân miền an ninh sẽ làm cho việc phân tích các vấn đề an ninh trở nên bớt phức tạp đi rất nhiều so với áp kiến trúc an ninh đầy đủ đến từng thực thể chức năng trong mạng, đồng thời cũng làm cho giải pháp an ninh được đơn giản hơn. 8 Khái niệm miền an ninh có thể được hiểu là một tập các phần tử cần có độ an toàn tương đương, được quản trị bởi một nhà quản lý duy nhất. Một mạng sẽ được phân chia thành nhiều miền an ninh, mỗi miền bao gồm một vài phần tử, các miền được phân cách nhau bởi một phần tử biên, có nghĩa là lưu lượng liên miền đều phải đi qua phần tử biên đặt giữa 2 miền đó. Phần tử biên này sẽ thực hiện một số biện pháp an ninh chung cho cả những phần tử bên trong nó. Khi chúng ta thực hiện cơ chế phân miền an ninh và sử dụng các phần tử biên như vậy sẽ khắc phục được 2 vấn đề gặp phải như đã nói ở trên khi áp dụng đối với từng phần tử riêng biệt. Đó là do chỉ tập trung vào thực hiện chức năng an ninh cho nên có thể yêu cầu phần tử biên này có năng lực xử lý chức năng an ninh khá lớn, chúng ta sẽ có thể tăng cường áp dụng biện pháp an ninh cho toàn miền nhờ việc thực hiện chức năng an ninh trên phần tử này. Mặt khác cũng tránh được sự chồng lặp về việc phải xử lý các biện pháp an ninh nhờ việc đẩy các biện pháp an ninh chung cần áp dụng cho các phần tử ra phần tử biên. 2.5 Các bổ sung cho X.805 2.5.1 Bổ sung về phân loại nguy cơ X.805 đưa ra 5 nguy cơ nhưng chưa chỉ rõ nguồn gốc các nguy cơ này, để dễ nhìn nhận và thuận tiện cho việc đánh giá mức độ quan trọng, các nguy cơ cần phải được phân loại thành: Nguy cơ nội bộ: Là loại nguy cơ xảy ra khi đối tượng mạng hoạt động độc lập, không có sự tương tác với các đối tượng khác. Trên thực tế loại nguy cơ này có nguồn gốc từ các hoạt động liên quan đến quá trình OA&M. Nguy cơ từ bên ngoài: Là loại nguy cơ xảy ra khi đối tượng mạng tham gia vào hoạt động tương tác với các đối tượng khác. [...]... dựa trên khuyến nghị X. 805 để áp dụng cho mạng NGN Đề xuất việc phân rã đối tượng mạng thành các đối tượng nhỏ hơn rồi áp dụng X. 805 là một bước cần thiết để có thể phát hiện đầy đủ các nguy cơ và giảm thiểu độ phức tạp x lý trong quá trình x y dựng giải pháp an ninh Đề xuất quy trình triển khai khuyến nghị X. 805 Khuyến nghị - Việc triển khai các giải pháp an toàn cho hệ thống mạng NGN là hết sức quan... ELINE nội tỉnh sử dụng cáp quang - Bộ yêu cầu an ninh cho Access Switch cho dịch vụ ELINE nội tỉnh - Bộ yêu cầu an ninh SR tham gia cung cấp dich vụ ELINE liên tỉnh KẾT LUẬN & KHUYẾN NGHỊ Với mục tiêu đưa ra là nghiên cứu áp dụng khuyến nghị X. 805 để đảm bảo an toàn mạng, dịch vụ trên mạng NGN của VNPT và áp dụng cụ thể cho 2 dịch vụ VPN L2 trên NGN là ELINE nội tỉnh và ELINE liên tỉnh, luận văn đã... dịch vụ E-LINE nội tỉnh và E-LINE liên tỉnh với thông tin cụ thể gồm mô hình cung cấp dịch vụ, miền an ninh cho thiết bị truy nhập, MAN E và IP core Áp dụng quy trình x y dựng giải pháp đã đề xuất ở trong chương 2 để triển khai áp dụng cho 2 dịch vụ E-LINE nội tỉnh và E-LINE liên tỉnh qua đó đưa ra được: - Bộ yêu cầu an ninh đường cáp thuê bao dịch vụ ELINE nội tỉnh sử dụng cáp quang - Bộ yêu cầu an. .. trạng nghiên cứu về an ninh trong mạng NGN của các tổ chức chuẩn hóa, qua đó đề xuất phương án tại sao lại lựa chọn khuyến nghị X. 805 làm Framewwork để định hướng cho việc triển khai 11 Trong chương 2 cũng đã đánh giá ưu nhược điểm của khuyến nghị X. 805, các điểm cần bổ sung và đặc biệt là đề xuất 1 quy trình cho việc triển khai khuyến nghị vào trong mạng thực CHƯƠNG 3: ÁP DỤNG KHUYẾN NGHỊ X. 805 CHO. .. của VNPT, kiến trúc mạng NGN với các góc nhìn theo mô hình quản lý, theo thiết bị, theo các dịch vụ mạng để từ đó x y dựng nên quy trình bảo đảm bảo an ninh mạng Phân tích cách thức áp dụng X. 805 như một công cụ để phân tích và tìm các giải pháp an toàn bảo mật cho một hệ thống thông tin và áp dụng cho mạng băng rộng của VNPT 26 Phân tích hiện trạng nghiên cứu về an ninh NGN của các tổ chức chuẩn... CÁC MIỀN AN NINH CỦA DỊCH VỤ VPN TRÊN MẠNG NGN CỦA VNPT (DỊCH VỤ E-LINE) Chương này sẽ thực hiện việc áp dụng khuyến nghị X. 805 với các miền an ninh cho dịch vụ VPN L2 trên NGN Do thời gian có hạn nên phần này sẽ tập trung vào 2 dịch vụ cơ bản là E-LINE nội tỉnh và E-LINE liên tỉnh Nội dung cần thực hiện là x c định các giao diện giữa các miền an ninh, các giao thức sử dụng, các nguy cơ có thể x y ra... không x t đến 3.2.6 Tổng hợp giải pháp an ninh cho dịch vụ Giải pháp an ninh cho dịch vụ này bao gồm: - Bộ yêu cầu an ninh dành cho các thiết bị L2SW kết cuối giao diện 802.1Q từ phía thiết bị khách hàng - Bộ yêu cầu an ninh cho các thiết bị SR tham gia cung cấp dịch vụ ELINE liên tỉnh Bộ Yêu cầu an ninh cho đường cáp quang của thuê bao dịch vụ ELINE nội tỉnh ELI_NT_A Miền thiết bị người sử dụng Thiết... hàng Bộ Yêu cầu an ninh cho Access Switch cho dịch vụ ELINE nội tỉnh 802.1Q/GPON/cáp quang L2SW Êthernet ELI_LT_IPCore SR Bộ Yêu cầu an ninh cho SR tham gia cung cấp dịch vụ ELINE liên tỉnh Hình 3.8 Tổng hợp giải pháp an ninh cho dịch vụ VPN L2 - ELINE liên tỉnh 25 3.3 Tóm tắt chương Trong chương này đã đưa ra được các giải pháp nhằm đảm bảo an ninh mạng từ đầu cuối đến đầu cuối cho dịch vụ VPN L2 với... giữa miền Access của dịch vụ ELINE liên tỉnh cũng tương tự như trường hợp dịch vụ ELINE nội tỉnh Như vậy, hoàn toàn có thể sử dụng các kết quả X. 805 cho miền an ninh Access của dịch vụ ELINE nội tỉnh cho miền an ninh Access của dịch vụ ELINE liên tỉnh 3.2.3 Miền an ninh thiết bị MANE Miền này không có giao diện trực tiếp với thiết bị khách hàng nên không cần x t đến 3.2.4 Miền an ninh thiết bị IPCore... các giải pháp nhằm đảm bảo an ninh mạng 3.1 Dịch vụ E - LINE nội tỉnh 3.1.1 Mô hình cung cấp dịch vụ Về lý thuyết thì có khá nhiều loại cấu hình truy cập có thể sử dụng dịch vụ này nhưng trên thực tế khai thác, đối tượng sử dụng dịch vụ này đa phần là các doanh nghiệp sử dụng đầu cuối là L2Switch (L2SW) hoặc Router, điển hình nhất là dùng L2SW (hiện nay Bưu điện Hà nội cũng đã cung cấp dịch vụ với cấu . CHÍNH VIỄN THÔNG VÕ XUÂN NAM NGHIÊN CỨU ÁP DỤNG KHUYẾN NGHỊ X. 805 ĐỂ ĐẢM BẢO AN TOÀN CHO DỊCH VỤ HSI TRÊN NGN CHUYÊN NGÀNH: TRUYỀN DỮ. X. 805, các miền an ninh, các bổ sung cần thiết cho X. 805. Chương 3:Dựa trên khuyến nghị X. 805 để đề xuất các giải pháp an ninh cho dịch vụ VPN L2 trên