Đăng ký
  1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Luận văn nghiên cứu đề xuất giải pháp an ninh đầu cuối cho NGN

103 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Phạm Quý Phương NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP AN NINH ĐẦU CUỐI CHO NGN LUẬN VĂN THẠC SĨ Hà Nội - 2010 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LỜI MỞ ĐẦU Những năm qua với phát triển nhanh chóng Cơng nghệ thông tin truyền thông, nhu cầu yêu cầu chất lượng dịch vụ người dùng ngày cao loại hình dịch vụ như: thoại, truyền số liệu, gửi nhận Fax, dịch vụ giá trị gia tăng mang tính chất tích hợp, đa dạng tiện lợi Các dịch vụ cung cấp qua nhiều kênh phân phối, nhiều chủng loại thiết bị đầu cuối khác nhau: truyền hình, điện thoại cố định, điện thoại di động, máy tính, thiết bị cá nhân, điểm truy cập dịch vụ…Các dịch vụ phải sử dụng truy cập đâu, không phụ thuộc vào không gian, thời gian Trong môi trường kinh doanh động đầy cạnh trang doanh nghiệp cần giải pháp dịch vụ truyền thông chuyên nghiệp, giúp họ thu hút chăm sóc khách hàng  Khẳ cung cấp kênh truyền thông để tự động phân phối thông tin sản phẩm, dịch vụ doanh nghiệp đến với khách hàng nhanh chóng tiện lợi, cho phép doanh nghiệp nhận phản hồi từ khách hàng không hạn chế thời gian không gian  Cung cấp giải pháp giao diện mở cho phép doanh nghiệp dễ dàng triển khai, tích hợp với hệ thống nhà cung cấp hạ tầng truyền thơng, tài ngân hàng với doanh nghiệp khác  Tiết kiệm chi phí đầu tư để phát triển hệ thống, đội ngũ kỹ thuật, sở hạn tầng, rủi ro, lợi nhuận cao nhanh chóng thu hồi lại vốn Yêu cầu nhà cung cấp dịch vụ Viễn thông  Thu hút nhiều khách hàng qua khai thác tối đa sở hạ tầng truyền thơng, tài mang lại nhiều doanh thu  Đáp ứng yêu cầu ngày cao chất lượng lọại hình dịch vụ vủa khách hàng Khi sở hạ tầng mạng Viễn thơng ổn định bão hồ dịch vụ trở thành nguồn doanh thu doanh nghiệp Viễn thông Sự phong phú dịch vụ yếu tố thu hút khách hàng Các nhà khai thác mạng Viễn thông cần việc quản lý mạng cách tập trung qua giám sát mạng chất lượng cách tốt để cung cấp cho khách hàng với dịch vụ tốt Cấu trúc mạng Viễn thông phức tạp Mạng Viễn thông hệ cũ tồn phát triển gần 100 năm, 100 năm có thay đổi mang tính cách mạng khoảng cách mốc chuyển đổi công nghệ xa (từ chuyển mạch sang mạch điệ tử analog đến chuyển mạch số, chuyển mạch gói, ) Các nhà cung cấp công nghệ Viễn thông khác tạo mạng lõi cung cấp dịch vụ Viễn thông tồn dạng ”ốc đảo” mạng chuyển mạch PSTN, mạng X25, mạng di động Khái niệm “ốc đảo” ngăn cách mặt công nghệ, cô lập dịch vụ mạng (ví dụ: dịch vụ mạng cố định di động) Các rào cản cho việc hợp mạng chưa có cơng nghệ chuẩn hoá bao trùm tất công nghệ khác LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Cấu trúc mạng đóng tạo độc quyền nhà cung cấp hệ thống Thời gian trước công nghệ chưa phát triển, thiết bị Viễn thông độc quyền công ty Viễn thông lớn Các công nghệ (phần cứng/phần mềm) chuyên dụng sử dụng thiết bị thường bí mật cơng nghệ hãng không công bố rộng rãi Do vậy, mua thiết bị chuyển mạch sở hãng thiết bị cấu thành khác như: Các trạm lắp đặt thuê bao xa, tập trung, module chuyển mạch vệ tinh phải chọn hãng Rất nhiều cơng ty dùng hạn chề để ép khách hàng Cũng cấu trúc hệ thống chuyển mạch đóng nên hãng sản xuất phần cứng Viễn thông nhỏ lẻ khơng có hội tồn khơng có khả tương thích với thiết bị hãng lớn khác Việc cung cấp dịch vụ chậm có nhiều bất cập Do kiến trúc ốc đảo mạng Viễn thông nên dịch vụ giới hạn ốc đảo cơng nghệ mạng q khác Các dịch vụ nghèo nàn khó có hội phát triển Mặt khác, dịch vụ mạng thường nhà khai thác Viễn thơng cung cấp, tích hợp ln vào thiết bị Viễn thơng nhà khai thác (ví dụ: dịch vụ mạng thông minh hay di động) Quản lý mạng khó khăn Các nhà khai thác mạng Viễn thơng q trình số hố mạng Viễn thơng năm qua cố gắng trang bị sở hạ tầng Viễn thông số đại cố gắng tránh tình bị ép giá cách trang bị tổng đài nhiều hãng khác Điều nảy sinh phức tạp kiến trúc mạng, tương thích chủng loại thiết bị phức tạp quản lý Mạng NGN đời Các yếu tố đưa mạng Viễn thông phát triển đến giai đoạn bước ngoặt có tính cách mạng mạng Viễn thơng hệ (NGN-Next Generation Network) Mạng NGN vấn đề thu hút quan tâm nhiều tổ chức Viễn thông lớn nhằm cho đời mơ hình cấu trúc mạng dựa tảng công nghệ đại, đầu tư hiệu đáp ứng nhu cầu phong phú dịch vụ Các tổ chức kể đến như: ITU-T (Các nhóm SG16, SG11…)[1], IETF (Internet Engineering Task Force) [2], MSF (Multiservice Switching Forum)[3], ETSI[4] LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com An ninh cho mạng NGN Với phát triển dịch vụ NGN tương lai, việc xây dựng mạng cung cấp dịch vụ cần kèm với việc thực đảm bảo an tồn cho mạng Đó điểm khác biệt tạo nên tính cạnh tranh nhà cung cấp dịch vụ Hiện nói chuẩn công nghệ an ninh NGN thu hút nhiều quan tâm nhiều tổ chức nghiên cứu, song đa số nằm dạng thảo nghiên cứu Việc áp dụng trực tiếp chuẩn công nghệ để xây dựng nên giải pháp an ninh khó khăn Vì việc nghiên cứu tìm hiểu lựa chọn chuẩn cơng nghệ để áp dụng làm framework việc xây dựng giải pháp an ninh cho kiến trúc mạng NGN tương lai vấn đè quan trọng cần thực Với mục đích đảm bảo an ninh cho mạng nói chung mạng viễn thơng nói riêng, có nhiều giải pháp đưa nhìn nhận cách khách quan phương án thường khơng đầy đủ chưa xây dựng tảng lý luận vững bảo đảm an ninh đặc bịêt cho NGN Trong bối cảnh đó, khung làm việc liên quan đến đảm bảo an ninh cần phải nghiên cứu X.805 ITU đề xuất Bản thân X.805 không cách thức đảm bảo an ninh cho đối tượng cụ thể (mạng, thiết bị) mà phân rã nguy cơ, biện pháp chể an ninh tổng quát cho loại hình mạng từ nhiều góc độ, lớp mặt cắt khác thuận tiện để phân tích cặn kẽ vấn đề an ninh cho hệ thống khơng ngoại trừ NGN Mục đích luận văn Luận văn Học viên đề xuất sở nghiên cứu mạng NGN phát triển thử nghiệm thực thể NGN năm nghiên cứu an ninh mạng NGN Trung tâm Công nghệ Thơng tin (thuộc Học viện Cơng nghệ Bưu Viễn thông) – CDiT (Center for Development of Information Technology) Qua luận văn Học viên mong muốn giới thiệu vấn đề công nghệ sau   Mạng hệ (Next Generation Network - NGN) o Xu hướng dịch vụ Viễn thơng o Mơ hình tham chiếu NGN o Công nghệ truyền tải mạng NGN o Các phương thức truy nhập NGN o Mơ hình mạng NGN điển hình Mạng thị (Metro Arear Network - MAN) o Những yếu tố thúc đẩy phát triển mạng MAN o Xu hướng phát triển công nghệ Ethernet MAN o Kiến trúc mạng MAN Cisco o Khuyến nghị TR-101 o Mơ hình mạng MAN điển hình o Cung cấp dịch vụ VPN L2 HSI qua MANE LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com  An ninh NGN o Xây dựng quy trình đảm bảo an ninh dựa việc tổng hợp ưu điểm khuyến nghị X.805 o Phân tích kịch cơng từ phía khách hàng thiết bị mạng nhà cung cấp dịch vụ Viễn thơng cho hai loại hình dịch vụ VPN L2 HSI o Bước đầu áp dụng để đưa phương án đảm bảo an ninh cho hệ thống NGN điển hình với dịch vụ VPN L2 HSI Kết nghiên cứu đồng thời khuyến nghị cho nhà khai thác Viễn thông Việt Nam trình triển khai NGN Cấu trúc luận văn  Chương 1: MẠNG THẾ HỆ MỚI o  Chương 2: MẠNG ĐÔ THỊ o  Chương trình bày kết áp dụng X.805 thiết bị mạng NGN dịch vụ VPN L2 (E-LINE, E-LAN) dịch vụ HSI Chương ĐÁNH GIÁ KẾT QUẢ ĐẠT ĐƯỢC VÀ KHUYẾN NGHỊ o  Chương trình bày quy trình áp dụng X.805 vào thiết kế giải pháp an ninh mạng NGN học viên nhóm nghiên cứu CDiT đề xuất Chương KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN o  Chương phân tích cách tiếp cận X.805 an ninh mạng theo mặt phẳng lớp an ninh, đồng thời nguy xảy thực thể mạng biện pháp phòng chống tương ứng Chương 4: PHÂN TÍCH ÁP DỤNG KHUYẾN NGHỊ X.805 CHO THIẾT KẾ AN NINH MẠNG NGN o  Chương trình bày vấn đề liên quan đến cơng nghệ giải pháp mạng MAN, cách thức cung cấp dịch vụ VPN L2 HSI qua mạng MAN nêu phần mục đích luận văn Chương 3: PHÂN TÍCH KIẾN TRÚC VÀ CÁC THÀNH PHẦN AN NINH X.805 DO ITU-T ĐỀ XUẤT o  Chương trình bày vấn đề liên quan đến công nghệ giải pháp mạng NGN nêu phần mục đích luận văn Chương đánh giá kết đạt luận văn, khuyến nghị an ninh đầu cuối cho NGN nhà cung cấp dịch vụ Viễn thông Phụ Lục GIẢI PHÁP CHỐNG DoS CỦA ARBOR o Phần giới thiệu giải pháp an ninh mạng băng rộng Arbor Chương MẠNG THẾ HỆ MỚI LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 1.1 Tóm tắt chương Chương trình bày vấn đề liên quan đến mạng (NGN) gồm: mơ hình tham chiếu NGN theo ITU-T, số công nghệ chủ đạo cho truyền tải truy nhập NGN Quan trọng việc đề xuất mơ hình NGN điển hình áp dụng với nhà khai thác cung cấp dịch vụ Viễn thông, đặc biệt Việt Nam 1.2 Xu hướng dịch vụ Viễn thơng • Lưu lượng thoại truyền thống suy giảm, chuyển dịch sang dịch vụ di động VoIP • Sự phát triển nhanh chóng phương thức truy nhập băng rộng gia tốc thêm suy giảm dịch vụ truyền thống Hình 1.1 Xu hướng dịch vụ Viễn thơng • Các dịch vụ băng rộng chiếm tài ngun mạng nhiều so với dịch vụ truyền thống • Tuy nhiên, tương lai gần 80% lợi nhuận nhà khai thác viễn thông đến từ dịch vụ truyền thống: TDM voice, Leased-line… 1.2.1 Các thách thức với nhà cung cấp dịch vụ viễn thơng  Duy trì “sự trung thành” khách hàng có  Tăng tỉ lệ ARPU cách giới thiệu gói dịch vụ, loại hình dịch vụ mới, đa dạng tới đối tượng khách hàng khác  Giảm chi phí đầu từ (CAPEX) chi phí vận hành (OPEX) nhiều so với đối thủ cạnh tranh  Xây dựng sở hạ tầng mạng thống nhất, vững đáp ứng sẵn sàng yêu cầu dịch vụ phát triển tương lai  Xu hướng tiến lên NGN xu hướng tất yếu nhà cung cấp dịch vụ viễn thông 1.2.2 Những hạn chế mạng nhu cầu phát triển NGN  Cứng nhắc việc phân bổ băng thông LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com  Khó khăn việc tổ hợp mạng  Khó khăn việc cung cấp dịch vụ  Đầu tư cho mạng PSTN lớn  Giới hạn phát triển mạng  Không đáp ứng tăng trưởng nhanh dịch vụ liệu 1.3 Tổng quan NGN 1.3.1 Định nghĩa NGN ITU-T Y.2001 Mạng NGN mạng dựa chuyển mạch gói có khả cung cấp dịch vụ Viễn thông sử dụng công nghệ chuyển tải băng rộng, hỗ trợ QoS; (và đó) việc cung cấp dịch vụ độc lập với công nghệ liên quan đến chuyển tải Hỗ trợ người sử dụng lựa chọn dịch vụ mà không phụ thuộc với mạng với nhà cung cấp dịch vụ NGN hỗ trợ khả di động tạo điều kiện cung cấp dịch vụ lúc, nơi Hình 1.2 Sự hội tụ thoại số liệu, cố định di động NGN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trước PCS IS-95A IS-95B Hiện CDMA2000 1X Tương lai 1X EV-DV 1X EV-DO WCDMA Mạng di động IEEE802.11a IEEE802.11 Mạng hội tụ băng rộng Tồn IP IEEE802.11b IEEE802.11g Mạng khơng dây PSTN Modem ADSL VDSL FTTH ISDN Mạng cố định Thơng minh Hình 1.3 Xu hướng hội tụ cơng nghệ mạng (theo 3GPP) Môi trường hội tụ Dịch vụ định vị Điều khiển từ xa Dịch vụ biểu cảm Người-Máy Hội nghị truyền hình DAB/DVB Thoại thấy hình TV di động Người-Người Hướng thoại VOD Video streaming Di động Dịch vụ theo vị trí SMS Tải nhạc chng Hướng thoại Dữ liệu tốc độ thấp Multimedia Multimedia nhanh, băng rộng Hình 1.4 Xu hướng hội tụ dịch vụ viễn thông (theo 3GPP) LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 1.3.2 Các đặc điểm NGN Nền tảng hệ thống mạng mở  Các khối chức tổng đài truyền thống chia thành phần tử mạng độc lập, phần tử phân theo chức phát triển cách độc lập  Giao diện giao thức phận phải dựa tiêu chuẩn tương ứng Là mạng dịch vụ thúc đẩy  Chia tách dịch vụ với điều khiển gọi  Chia tách gọi với truyền tải Là mạng chuyển mạch gói, giao thức thống  Các mạng thơng tin tích hợp mạng thống dựa gói  IP trở thành giao thức vạn năng, làm sở cho mạng đa dịch vụ  NGN tảng cho sở hạ tầng thông tin quốc gia (NII) Là mạng có dung lượng tính thích ứng cao, đủ lực để đáp ứng nhu cầu  Có khả cung cấp nhiều loại hình dịch vụ đa phương tiện băng thơng cao  Có khả thích ứng với mạng tồn để tận dụng sở hạ tầng mạng, dịch vụ khách hàng sẵn có 1.3.3 Một số nguyên tắc tổ chức mạng NGN  Mạng có cấu trúc đơn giản  Đáp ứng nhu cầu cung cấp loại hình dịch vụ viễn thơng phong phú đa dạng  Nâng cao hiệu sử dụng, chất lượng mạng lưới giảm chi phí khai thác, bảo dưỡng  Dễ dàng tăng dung lượng, phát triển dịch vụ  Có độ linh hoạt tính sẵn sàng cao, lực tồn mạnh  Tổ chức mạng dựa số lượng thuê bao theo vùng địa lý nhu cầu phát triển dịch vụ, khơng theo địa bàn hành mà theo vùng mạng vùng lưu lượng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 10 1.4 Mơ hình tham chiếu NGN 1.4.1 Mơ hình tham chiếu NGN ITU Mơ hình tham chiếu mạng NGN ITU hình 1.5 Beare r Control APPLICATIONs Manageme nt ANI SERRVICE STRATUM control functions OTHER NETWORK Service userService profile END USER MANAGEMENT Application/service support functions TRANSPORT STRATUM Transport control function Transport user profile NACF RACF Transport function UNI NNI Hình 1.5 Mơ hình tham chiếu mạng NGN ITU-T Phần trình bày cấu trúc chức mạng NGN ITU-T Các chức người sử dụng nối tới NGN theo giao diện UNI (User Network Interface), mạng kết nối thông qua giao diện NNI Giao diện API kết nối NGN với nhà cung cấp dịch vụ Viễn thông thứ ba 1.4.1.1 Các chức tầng chuyển tải  Tầng chuyển tải thực chức kết nối thành phần mạng gồm thiết bị (thường nằm Server mạng) thiết bị người sử dụng IP coi phương tiện chuyển tảihứa hẹn cho NGN Tầng chuyển tải phải có khả cung cấp QoS tồn trình  Tầng chuyển tải chia thành mạng lõi mạng truy nhập Các thành phần chức tầng chuyển tải miêu tả ngắn gọn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 89 Bảng tổng hợp nguy Loại Lớp (OSI) Giao thức Nguy Giải pháp Corruption Lớp ARP Đầu độc nhớ ARP Cache BRAS Access Control Destruction Lớp IP Gửi nhiều phân đoạn xấu gói tin IP Access Control Destruction Lớp ICMP Gửi gói tin ICMP thơng báo lỗi kết nối TCP Destruction Lớp ICMP Gửi gói tin ICMP Echo Request với tần xuất Access Control lớn Corruption Lớp IP Chèn nhiều gói tin IP làm suy giảm băng Access Control thông mạng Corruption Lớp ICMP Quảng bá gói tin ICMP Echo Request Corruption Lớp TCP Gửi gói tin SYN tới BRAS với địa IP Data Integrity nguồn giả mạo Corruption Lớp TCP Gửi gói tin ICMP thơng báo lỗi kết nối Data Integrity phiên TCP Corruption Lớp TCP Gửi gói tin TCP thiết lập cờ FIN để kết thúc Non-Repudation phiên TCP Corruption Lớp TCP Gửi gói tin TCP thiết lập cờ RST để tạo lại Non-Repudation phiên TCP Corruption Lớp TCP Gửi gói tin lặp ACK báo hiệu nghẽn mạng Corruption Lớp BGP Gửi gói tin Open Message gây xung đột Non-Repudation kết thúc phiên BGP Corruption Lớp BGP Gửi gói tin Keepalive Message làm chuyển Non-Repudation trạng thái phiên BGP Corruption Lớp BGP Gửi gói tin Update Message làm sai lạc Non-Repudation thông tin định tuyến BGP Corruption Lớp BGP Gửi gói tin Notification Message làm tính ổn định định tuyến BGP Non-Repudation Access Control Non-Repudation Non-Repudation Bước Xử lý an ninh cho quy trình OA&M LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 90 Phần thực có quy trình OA&M chi tiết cho mạng NGN (không thuộc phạm vi luận văn) Bước Đưa Yêu cầu an ninh Đối với BRAS  BRAS nhận tin ARP Reply giao diện cấu hình tin cậy (Dynamic ARP Inspection)  Giới hạn tốc độ gửi gói tin ICMP gửi đến BRAS từ thuê bao HSI (ICMP Rate Limiting)  Kiểm tra xác thực tin thuộc kết nối TCP BRAS mã hố xác thực thơng báo MD5  BRAS huỷ gói tin IP nhận có tuỳ chọn IP Source Routing trường Option  Ngăn không cho BRAS gửi quảng bá gói tin ICMP Echo Request tới thuê bao HIS  BRAS dùng Access List mở rộng (Extended ACL) lưu lại ánh xạ 1-1 địa IP/MAC từ tin SYN nhận trước kết nối TCP tin cậy (không phải từ công) Trước thiết lập kết nối TCP, BRAS kiểm tra địa IP/MAC tin SYN nhận với điểm vào Extended ACL  Tăng cường kiểm tra xác thực tin thiết lập kết nối TCP BRAS mã hố xác thực thơng báo MD5 kết nối TCP cho phần định tuyến  BRAS sử dụng phần mềm cho phép thiết lập kết nối TCP tới địa IP nhận từ tin SYN, phần mềm giúp BRAS phát ngăn chặn sớm cơng DoS  Giới hạn tốc độ gửi gói tin SYN đến BRAS (SYN Rate Limiting) Đối với SR, RR, ASBR  SR, RR, ASBR PHẢI nhận dạng gói tin có địa IP có địa trùng với địa để chống hacker giả mạo SR gửi tin ICMP Echo Request tới BRAS  Cấu hình kiểm tra giá trị TTL (Time to Live) cho gói tin iBGP 254 SR RR ASBR  Áp dụng sách lọc tuyến (Route Filtering) RR SR  Cấu hình thiểt lập tham số ngưỡng tin thông báo thay đổi / ổn định tuyến (Route Flap Damping) RR SR Bước Đưa khuyến nghị thiết bị phụ trợ  Đặt trước BRAS phía giao diện với thuê bao HSI thiết bị giám sát lưu lượng mạng (ví dụ eSerie Arbor) để phân tích lưu lượng mạng đưa cảnh báo cơng gửi nhiều phân đoạn xấu gói tin IP LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 91  Trang bị hệ thống kiểm sốt định tuyến iBGP (ví dụ PeakFlow Arbor) RR để kiểm soát việc định tuyến iBGP/eBGPgiữa RR với SR RR với ASBR Bước Tổng hợp giải pháp cho miền Miền thiết bị người sử dụng Modem/ HGW Thiết bị phát sớm tin ICMP/IP/TCP khơng hợp lệ (IDS, IPS) (ví dụ eSerie Arbor) HSI_S + IPCore Bộ Yêu cầu an ninh cho BRAS BRAS SR, ASBR Bộ Yêu cầu an ninh cho SR, ASBR Thiết bị kiểm soát định tuyến iBGP RR Bộ Yêu cầu an ninh cho RR Hình 5.8 Mơ hình Giải pháp an ninh cho miền thiết bị dành riêng dịch vụ HSI LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 92 5.4.1.4 Tổng hợp giải pháp cho dịch vụ HSI_S + IP Core RR Bộ Yêu cầu an ninh cho RR Thiết bị kiểm soát định tuyến iBGP SR, ASBR Thiết bị phát sớm tin ICMP/IP/TCP không hợp lệ (IDS) Bộ Yêu cầu an ninh cho RR, SR BRAS Bộ Yêu cầu an ninh cho BRAS HSI_A Bộ Yêu cầu an ninh cho DSLAM/MDU Miền thiết bị người sử dụng Modem/ HGW IP DSLAM/ ONU L2S/OLT Bộ Yêu cầu an ninh đường cáp thuê bao xDSL, GPON Bộ Yêu cầu an ninh cho L2S/OLT Hình 5.9 Mơ hình Giải pháp an ninh cho dịch vụ HSI (khách hàng cá nhân) 5.4.2 Khách hàng SMB (Small Business) Có thể thấy dịch vụ HSI cho SMB loại hình đặc biệt dịch vụ HSI cho người dùng cá nhân (Resident) với điểm khác biệt thiết bị người sử dụng (modem, router) không kết nối với Internet qua BRAS mà đến thẳng SR IPCore Như thấy, miền mạng Access, MANE IPCore dịch vụ này, cấu hình giống dịch vụ HSI cho khách hàng cá nhân nên áp dụng kết phân tích Ở miền thiết bị dành riêng, yêu cầu kỹ thuật BRAS dịch vụ HSI cho khách hàng cá nhân áp dụng cho khách hàng SMB 5.5 Kết luận chương Những công từ phía khách hàng ln mối quan tâm lớn SP Việc phát cơng triển khai biện pháp khắc phục cịn phụ thuộc vào lực làm việc thiết bị mạng Chương công điển hình giải pháp phịng chống hữu hiệu thời điểm vào sản phẩm tích hợp tính an ninh hãng Cisco, Huawei, Juniper Các khuyến nghị việc triển khia thiết bị phụ trợ đề xuất tham chiếu phần phụ lục giải pháp chống DoS Arbor LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 93 Chương KẾT LUẬN VÀ KHUYẾN NGHỊ 6.1 Kết luận 6.1.1 Các vấn đề giải  Cập nhật tình hình nghiên cứu phát triển lĩnh vực an toàn bảo mật hệ thống thông tin  Đánh giá số sản phẩm lĩnh vực an toàn bảo mật  Đánh giá số chuẩn lĩnh vực an toàn bảo mật  Phân tích, đề xuất lựa chọn sử dụng X.805 làm tảng để xây dựng framework an toàn bảo mật  Xây dựng, đề xuất hai quy trình mức cao giải tốn an tồn bảo mật cho hệ thống thông tin  Xây dựng giải pháp mức cao cho hệ thống NGN cung cấp dịch vụ VPN L2, HSI điển hình  Đưa khuyến nghị với o Các nhà phát triển giải pháp an ninh NGN o Các nhà cung cấp dịch vụ Viễn thông khai thác NGN o Các nhà đơn vị quản lý nhà nước có liên quan đến lĩnh vực thông tin, truyền thông an ninh  Đề xuất số hướng nghiên cứu 6.1.2 Các đề xuất khuyến nghị 6.1.2.1 Khuyến nghị nhà phát triển giải pháp an ninh mạng Nên chia sẻ kinh nghiệm phát triển giải pháp an tồn bảo mật cách cơng bố chuẩn sở tham chiếu (ví dụ Cisco, IBM,…) 6.1.2.2 Khuyến nghị nhà khai thác NGN  Cần phải nắm quy trình xây dựng giải pháp an ninh để o Đưa yêu cầu kỹ thuật giải pháp an tồn bảo mật o Phân tích đánh giá giải pháp có đối tác chào hàng  Dự việc phân tích kỹ nguy an tồn bảo mật, nhà khai thác hồn tồn xây dựng dịch vụ gia tăng lĩnh vực Trong tương lai mảng dịch vụ hữu ích có tiềm  Đối với dịch vụ gia tăng bảo mật, cần đưa thoả thuận chất lượng dịch vụ (SLA) với khách hàng 6.1.2.3 Khuyến nghị quan quản lý nhà nước Vấn đề ban hành quy định, chế tài có liên quan đến an toàn bảo mật NGN  Ngoài việc thân nhà khai thác phải tự có giải pháp bảo vệ mạng quan quản lý nhà nước có thẩm quyền cần ban hành quy định cách thức xử phạt tình vi phạm việc làm an toàn bảo mật o Người sử dụng dịch vụ nhà khai thác o Các nhà khai thác có kết nối liên mạng với  Các quy định ban hành vừa yêu cầu nhà khai thác phải đảm bảo an tồn bảo mật cho dịch vụ khách hàng đối tác họ đồng thời sở để họ ban hành quy định, chế tài thơng qua sách an toàn bảo mật riêng họ LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 94  Các SLA cho tính an tồn bảo mật dịch vụ 3G NGN vấn đề cần quan quản lý nhà nước có thẩm quyền đạo nghiên cứu tìm hiểu Các kết đạt ban hành thành quy định, yêu cầu nhà khai thác phải đưa SLA bảo mật ký với khách hàng Các thoả thuận đó, vừa để yêu cầu doanh nghiệp nâng cao trách nhiệm kinh doanh khai thác đồng thời sở pháp lý để quan quản lý xử lý có cố an toàn bảo mật xảy 6.2 Hướng nghiên cứu    Tiếp tục nghiên cứu ứng dụng chuẩn họ X.81x ITU-T để hoàn thiện framework Ứng dụng framework an ninh để xây dựng giải pháp an toàn bảo mật cho dịch vụ NGN o Dịch vụ VPN L3 o Dịch vụ VoIP o Dịch vụ IPTV, VoD o Các dịch vụ mạng di động 3G Các SLA tính an tồn bảo mật cho dịch vụ IP-NGN 3G LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 95 PHỤ LỤC GIẢI PHÁP CHỐNG DoS CỦA ARBOR Giải pháp Peakflow SP Hình P.1 Kiến trúc giải pháp Peakflow SP 1.1 Các chức  Hỗ trợ Carrier quan sát tình hình lưu lượng tồn mạng  Hoạt động chế độ Flow-based, Passive Thông thường hệ thống hoạt động chế độ Passive, không can thiệp vào luồng liệu mạng Khi phát công, luồng liệu bị phát “không sạch” định tuyến đến phận “làm sạch” trước chuyển đến đích  Các thành phần hệ thống thực chất router giao tiếp với router khác mạng thông qua IP, định tuyến BGP nên tương thích với thiết bị nhiều nhà cung cấp thíêt bị (Vendor) khác  Peakflow có module nhỏ o Peakflow SP CP (Collector Platform) - Thực chức thu thập phân tích dịng IP, BGP, SNMP - Phân tích hoạt động bất thường - Quản lý thiết bị khác LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 96 o Peakflow SP FS (Flow Sensor) - o Tương tự Peakflow SP CP đặt phía khách hàng Peakflow SP TMS (Threat Management System) - Chỉ hoạt động CP phát có nguy cơng - Thực chức chặn thơng tin khơng hợp lệ có yêu cầu từ Peakflow SP CP theo thời gian thực Hình P.2 Xử lý luồng lưu lượng bị cơng Peakflow SP LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 97 1.2 Đánh giá Ưu điểm  Hoạt động chế độ Flow-based, Passive, không can thiệp vào luồng liệu, không làm ảnh hưởng đến hiệu hệ thống  Dễ tương thích với hệ thống router, đặc biệt Carrier Data Center Hình P.3 Năng lực làm việc thiết bị Peakflow SP  Có chế độ cảnh báo DDoS  Giám sát phân tích loại lưu lượng theo giao diện, người dùng  Phân tích luồng lưu lượng theo giao thức (TCP, UDP, ICMP, BGP…)  Phân tích luồng lưu lượng theo kiểu dịch vụ (HTTP, FTP, …)  Cảnh báo DDoS theo thời gian thực  Cảnh báo loại sâu máy tính  Tự động phát quét mã độc TMS cần thiết trả router đích  Đã triển khai thử nghiệm đánh giá tốt Viễn thơng thành phố Hồ Chí Minh năm 2006, VDC năm 2007 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 98 Peakflow SP hoạt động theo bước sau triển khai     Peakflow SP thực học hoạt động mạng toàn hệ thống luồng thông tin Flow, SNMP, BGP gửi đến đối tượng mạng (Network Object) qua giao tiêp M160 Core router Xây dựng Cơ sở liệu quan hệ tạo mẫu lưu lượng (traffic baselines) liên tục hoạt động bình thường tồn hệ thống từ học liệu Bên cạnh đó, sở liệu Peakflow SP cập nhật liên tục (24x7x365) dịch vụ gia tăng nhà cung cấp Giám sát phát bất thường (nếu có) toàn hệ thống dựa traffic baselines thực cập nhật sở liệu Cảnh báo người điều hành mạng (Network Operator) khuyến nghị sách thích hợp để xử lý bất thường toàn hệ thống Người điều hành mạng có tồn quyền định chấp nhận huỷ bỏ khuyến nghị dựa hệ thống thực vận hành Giúp tạo báo biểu chi tiết tồn hệ thống dựa sách quản lý (xây dựng sẵn, định nghĩa mới) qua kết xuất thông dụng (CVS, PDF, XML,…) Đối với nhà cung cấp dịch vụ mạng Viễn thông, điều quan trọng cần xây dựng tập sách quản lý tài nguyên hạ tầng, sách kiểm toán khách hàng SP cần hiểu rõ yêu cầu để khai thác tối đa lực Peakflow SP Nhược điểm  Chưa triển khai thực tế LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 99  Mới tập trung vào nguy DoS 1.3 Peakflow SP với DoS  Peakflow SP hiển thị dạng DoS cảnh báo (Ongoing DoS Alert), cảnh báo gần (Recent DoS Alert)  Peakflow SP phân loại dạng cảnh báo DoS theo cấp (Cao – High, Trung bình – Medium Thấp – Low)  Có giai đoạn cần triển khai để xử lý công dạng DoS gồm:  o Phát (Detection) o Phân tích (Analysis) o Truy tìm nguồn gốc (Track back) o Đề hướng xử lý (Mitigation) Peakflow SP phát công DoS cung cấp thơng tin chi tiết cơng gồm: phân loại theo mức độ nghiêm trọng, ngày công theo thời gian thực, hướng công, giao thức mạng dùng để cống đặc biệt xác định tầm ảnh hưởng cơng  Sau phân tích xác định nguồn xuất phát công DoS, định danh giao tiếp mạng router tham gia vào công DoS  Chọn cho phép người quản trị lọc (filtering) nguồn tham gia công định địa IP cụ thể  Tùy hệ thống thiết bị chuyên dụng router, firewall, filtering thiết lập, Peakflow SP giúp tạo ACLs (danh sách quản lý truy nhập), Ratelimits (các lọc định mức lưu lượng liệu) theo chế xử lý chuyên biệt khác trang bị Blackholeing, Sinkholing thiết bị Delicated Filtering  Xác định mức độ nghiêm trọng cảnh báo mức cao (High), Người quản trị hệ thống xác định chi tiết dạng cơng DoS đó: o Xác định đặc tính loại cơng DoS o Thơng tin chi tiết cơng gồm: lớp mạng nguồn công (Source Network), lớp mạng đích cơng nhắm tới (Destination Network) Thơng số cổng giao tiếp nguồn đích o Giao thức thực cơng chi tiết o Đặc biệt Peakflow SP cung cấp biểu đồ thể mức độ lưu lượng công DoS hành so với mức lưu lượng mong muốn hệ thống LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 100  Khả nhận định xác mức độ nguy hiểm công DoS ảnh hưởng đến thành phần tài nguyên hệ thống o Cho thấy cụ thể lưu lượng ảnh hưởng thành phần hệ thống so với lưu lượng mong muốn hệ thống trước có cơng DoS o Người quản trị xem chi tiết ảnh hưởng cụ thể theo thành phần tài nguyên hệ thống o Giúp xác định hướng đường công DoS nhanh chống có giải pháp đáp ứng kịp thời trước công gây nhiều tổn thất nhiều tài nguyên  Phản ứng truớc công DoS Peakflow xác định địa nguồn cụ thể tham gia vào cơng địa đích nhóm cổng giao tiếp o Nhóm cổng nguồn (Source Ports), đích (Destination Ports) o Giao thức (Protocol) đặc biệt giao tiếp vào / công DoS (Input/Output Interfaces) o Người quản trị cần xác định lượng liệu phải ngăn chặn thông qua tính Filter (một dạng Mitigation) Peakflow SP Peakflow SP giúp tạo ACLs Ratelimits thích hợp khuyến nghị người quản trị sử dụng  Người quản trị toàn quyền định (chấp nhận, thay đổi hủy bỏ khuyến nghị Peakflow SP) chịu trách nhiệm trước ngữ cảnh công DoS xác định o Peakflow SP tự động tạo khuyến nghị (ACL hay Ratelimit) phù hợp với thiết bị có hệ thống học o Các khuyến nghị Người quản trị tồn quyền định Peakflow SP khơng tự động áp đặt khuyến nghị vào hệ thống o Đối với số cách thức xử lý chuyên dụng thông qua thiết bị chuyên nghiệp Blackhole, Sinkhole hay Delicated Filtering cho công DoS, Peakflow SP hỗ trợ nhận biết qua cấu hình định Người quản trị Điều giúp xây dựng hạ tầng an ninh mạng vững trước dạng công DoS ngày nguy hiểm Giải pháp eSeries 2.1 Các chức  Ứng dụng để cung cấp dịch vụ gia tăng nội dung bảo mật  Hoạt động chế độ Inline  Phân tích nhiều loại lưu lượng vào khác để phân loại liệu LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 101 2.2 Đánh giá Ưu điểm  Cho phép ngăn chặn liệu tiêu tốn tài nguyên băng thông mạng IP  Cho phép cung cấp nhiều dịch vụ gia tăng nội dung liệu mạng IP Nhược điểm  Làm ảnh hưởng đến hiệu mạng  Nằm phân tán phí đầu tư cao Hình P.5 Giải pháp tổng thể Arbor mạng băng rộng TÀI LIỆU THAM KHẢO Tài liệu ITU-T ITU-T (2005), ITU-T Recommendation X.805 and its application to NGN, ITU/IETF Workshop on NGN ITU-T (2007), Highlight on telecommunication standards, Broadband and ICT Development for Improved Communication in Central Asia LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 102 ITU-T (2008), Gigabit-capable Passive Optical Networks (G-PON): Transmission convergence layer specification, ITU-T Recommendation G.984.3 Tài liệu Cisco Cisco Systems (2005), BGP Support for TTL Security Check Cisco Systems (2005), REMOTELY TRIGGERED BLACK HOLE FILTERING - DESTINATION BASED AND SOURCE BASED Cisco Systems (2006), VNPT MAN-E High Level Design Cisco Systems (2006), Carrier Ethernet Services Version 2.6 Cisco Systems (2006), Yusuf Bhaiji, LAYER ATTACKS & MITIGATION TECHNIQUES Cisco Systems (2007), Advanced MPLS Deployment in Enterprise Networks 10 Cisco Systems (2007), H-VPLS N-PE Redundancy for QinQ and MPLS Access 11 Cisco Systems (2007), IEEE 802.1Q-in-Q VLAN Tag Termination 12 Cisco Systems (2007), Wei Yin Tay, Metro Ethernet BMT Workshop for VNPT 13 Cisco Systems (2007), Yusuf Bhaiji, Understanding-Preventing and Defending Against Layer Attacks 14 Cisco Systems (2007), Using Dot1q Tunneling (1q in 1q) on Cisco Catalyst 6500 Series Switches to Form Layer VPNs 15 Cisco Systems (2007), Virtual Private LAN Service over MPLS on Cisco 12000 Series Router Line Cards 16 Cisco Systems (2008), Anthony Kirkham, SP Security – Threats and Best Practices 17 Cisco Systems (2009), Monique Morro, MPLS Application - Services & Best Practices for Deployment Tài liệu Juniper Networks 18 Juniper Networks, Combating Bots and Mitigating DDoS Attacks, Solution Brief 19 Juniper Networks (2006), Understanding PPPoE and DHCP 20 Juniper Networks (2006), Using PPPoE and IPoE in Ethernet Broadband Networks 21 Juniper Networks (2008), Protecting the Network from Denial of Service Floods Tài liệu Alcatel Lucent 22 Alcatel Lucent, “Litespant-1540 FR3.0 System Description”, Technical Manual Edition 01 23 Alcatel Lucent, Virtual Private LAN Service (VPLS) Technical Primer LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 103 24 Alcatel Lucent (2004), Alcatel 7450 Ethernet Service Switch Release 1.0 25 Alcatel Lucent (2007), Gordon Wilfong, Border Gateway Protocol (BGP) 26 Alcatel Lucent (2007), VNPT Training Metro E – Workshop Tài liệu Huawei 27 Huawei Confidential (2006), “Quidway NetEngine40 Series Universal Switching Router” 28 Huawei Confidential (2007), “SmartAX MA5600/MA5603 Multi - Service Access” 29 Huawei Confidential (2009), Last Mile Deployment for VNPT Các tài liệu khác 30 RFC: 2516 (1999), A Method for Transmitting PPP Over Ethernet (PPPoE) 31 Transwitch Corporation (2005), Kumar Shakti Singh, GPON - The Next Generation Access Network 32 DSL Forum (2006), Migration to Ethernet-Based DSL Aggregation, TR-101 33 MFA Forum (2006), Monique Morro, MPLS Virtual Private Network (VPN) Security 34 Prentice Hall (2007), CHRIS HELLBERG, DYLAN GREENE, TRUMAN BOYES, “BROADBAND NETWORK ARCHITECTURES” 35 Telecommunication Networks Group- Technische Universität Berlin (2007), Filip Idzikowski, Hagen Woesner, Synchronous Digital Hierarchy Synchronous Optical Network SDH/SONET 36 4th ETSI Security Workshop (2009), TISPAN NGN Security standards 37 Trend Communication, Trend’s Next Generation SDH 38 Agilent Technologies, Understanding DSLAM and BRAS Access Devices 39 Nortel Networks, WDM for Cable MSOs, Technical Overview LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... đích luận văn Chương đánh giá kết đạt luận văn, khuyến nghị an ninh đầu cuối cho NGN nhà cung cấp dịch vụ Viễn thông Phụ Lục GIẢI PHÁP CHỐNG DoS CỦA ARBOR o Phần giới thiệu giải pháp an ninh. .. thiết kế giải pháp an ninh mạng NGN học viên nhóm nghiên cứu CDiT đề xuất Chương KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN o  Chương phân tích cách tiếp cận X.805 an ninh mạng theo mặt phẳng lớp an ninh, ... dựng nên giải pháp an ninh khó khăn Vì việc nghiên cứu tìm hiểu lựa chọn chuẩn cơng nghệ để áp dụng làm framework việc xây dựng giải pháp an ninh cho kiến trúc mạng NGN tương lai vấn đè quan trọng

Ngày đăng: 01/11/2022, 16:01

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN

w