Tập dịch vụ cơ bản không có cơ sở hạ tầng còn gọi là mạng Ad Hoc. Ad Hoc là mô hình mạng mà trong đó chỉ bao gồm các máy trạm, không có Access Point (AP). Mỗi thiết bị kết nối trực tiếp với các thiết bị khác trong mạng. Mô hình này rất thích hợp cho việc kết nối một nhóm nhỏ các thiết bị và không cần phải giao tiếp với các hệ thống mạng khác.
1 LỜI MỞ ĐẦU Những năm qua với phát triển nhanh chóng Công nghệ thông tin truyền thông, nhu cầu yêu cầu chất lượng dịch vụ người dùng ngày cao loại hình dịch vụ như: thoại, truyền số liệu, gửi nhận Fax, dịch vụ giá trị gia tăng mang tính chất tích hợp, đa dạng tiện lợi Các dịch vụ cung cấp qua nhiều kênh phân phối, nhiều chủng loại thiết bị đầu cuối khác nhau: truyền hình, điện thoại cố định, điện thoại di động, máy tính, thiết bị cá nhân, điểm truy cập dịch vụ…Các dịch vụ phải sử dụng truy cập đâu, không phụ thuộc vào không gian, thời gian Trong môi trường kinh doanh động đầy cạnh trang doanh nghiệp cần giải pháp dịch vụ truyền thông chuyên nghiệp, giúp họ thu hút chăm sóc khách hàng • Khẳ cung cấp kênh truyền thông để tự động phân phối thông tin sản phẩm, dịch vụ doanh nghiệp đến với khách hàng nhanh chóng tiện lợi, cho phép doanh nghiệp nhận phản hồi từ khách hàng không hạn chế thời gian không gian • Cung cấp giải pháp giao diện mở cho phép doanh nghiệp dễ dàng triển khai, tích hợp với hệ thống nhà cung cấp hạ tầng truyền thông, tài ngân hàng với doanh nghiệp khác • Tiết kiệm chi phí đầu tư để phát triển hệ thống, đội ngũ kỹ thuật, sở hạn tầng, rủi ro, lợi nhuận cao nhanh chóng thu hồi lại vốn Yêu cầu nhà cung cấp dịch vụ Viễn thông • Thu hút nhiều khách hàng qua khai thác tối đa sở hạ tầng truyền thông, tài mang lại nhiều doanh thu • Đáp ứng yêu cầu ngày cao chất lượng lọại hình dịch vụ vủa khách hàng Khi sở hạ tầng mạng Viễn thông ổn định bão hoà dịch vụ trở thành nguồn doanh thu doanh nghiệp Viễn thông Sự phong phú dịch vụ yếu tố thu hút khách hàng Các nhà khai thác mạng Viễn thông cần việc quản lý mạng cách tập trung qua giám sát mạng chất lượng cách tốt để cung cấp cho khách hàng với dịch vụ tốt Cấu trúc mạng Viễn thông phức tạp Mạng Viễn thông hệ cũ tồn phát triển gần 100 năm, 100 năm có thay đổi mang tính cách mạng khoảng cách mốc chuyển đổi công nghệ xa (từ chuyển mạch sang mạch điệ tử analog đến chuyển mạch số, chuyển mạch gói, ) Các nhà cung cấp công nghệ Viễn thông khác tạo mạng lõi cung cấp dịch vụ Viễn thông tồn dạng ”ốc đảo” mạng chuyển mạch PSTN, mạng X25, mạng di động Khái niệm “ốc đảo” ngăn cách mặt công nghệ, cô lập dịch vụ mạng (ví dụ: dịch vụ mạng cố định di động) Các rào cản cho việc hợp mạng chưa có công nghệ chuẩn hoá bao trùm tất công nghệ khác Cấu trúc mạng đóng tạo độc quyền nhà cung cấp hệ thống Thời gian trước công nghệ chưa phát triển, thiết bị Viễn thông độc quyền công ty Viễn thông lớn Các công nghệ (phần cứng/phần mềm) chuyên dụng sử dụng thiết bị thường bí mật công nghệ hãng không công bố rộng rãi Do vậy, mua thiết bị chuyển mạch sở hãng thiết bị cấu thành khác như: Các trạm lắp đặt thuê bao xa, tập trung, module chuyển mạch vệ tinh phải chọn hãng Rất nhiều công ty dùng hạn chề để ép khách hàng Cũng cấu trúc hệ thống chuyển mạch đóng nên hãng sản xuất phần cứng Viễn thông nhỏ lẻ hội tồn khả tương thích với thiết bị hãng lớn khác Việc cung cấp dịch vụ chậm có nhiều bất cập Do kiến trúc ốc đảo mạng Viễn thông nên dịch vụ giới hạn ốc đảo công nghệ mạng khác Các dịch vụ nghèo nàn khó có hội phát triển Mặt khác, dịch vụ mạng thường nhà khai thác Viễn thông cung cấp, tích hợp vào thiết bị Viễn thông nhà khai thác (ví dụ: dịch vụ mạng thông minh hay di động) Quản lý mạng khó khăn Các nhà khai thác mạng Viễn thông trình số hoá mạng Viễn thông năm qua cố gắng trang bị sở hạ tầng Viễn thông số đại cố gắng tránh tình bị ép giá cách trang bị tổng đài nhiều hãng khác Điều nảy sinh phức tạp kiến trúc mạng, tương thích chủng loại thiết bị phức tạp quản lý Mạng NGN đời Các yếu tố đưa mạng Viễn thông phát triển đến giai đoạn bước ngoặt có tính cách mạng mạng Viễn thông hệ (NGN-Next Generation Network) Mạng NGN vấn đề thu hút quan tâm nhiều tổ chức Viễn thông lớn nhằm cho đời mô hình cấu trúc mạng dựa tảng công nghệ đại, đầu tư hiệu đáp ứng nhu cầu phong phú dịch vụ Các tổ chức kể đến như: ITU-T (Các nhóm SG16, SG11…)[1], IETF (Internet Engineering Task Force) [2], MSF (Multiservice Switching Forum)[3], ETSI[4] An ninh cho mạng NGN Với phát triển dịch vụ NGN tương lai, việc xây dựng mạng cung cấp dịch vụ cần kèm với việc thực đảm bảo an toàn cho mạng Đó điểm khác biệt tạo nên tính cạnh tranh nhà cung cấp dịch vụ Hiện nói chuẩn công nghệ an ninh NGN thu hút nhiều quan tâm nhiều tổ chức nghiên cứu, song đa số nằm dạng thảo nghiên cứu Việc áp dụng trực tiếp chuẩn công nghệ để xây dựng nên giải pháp an ninh khó khăn Vì việc nghiên cứu tìm hiểu lựa chọn chuẩn công nghệ để áp dụng làm framework việc xây dựng giải pháp an ninh cho kiến trúc mạng NGN tương lai vấn đè quan trọng cần thực Với mục đích đảm bảo an ninh cho mạng nói chung mạng viễn thông nói riêng, có nhiều giải pháp đưa nhìn nhận cách khách quan phương án thường không đầy đủ chưa xây dựng tảng lý luận vững bảo đảm an ninh đặc bịêt cho NGN Trong bối cảnh đó, khung làm việc liên quan đến đảm bảo an ninh cần phải nghiên cứu X.805 ITU đề xuất Bản thân X.805 không cách thức đảm bảo an ninh cho đối tượng cụ thể (mạng, thiết bị) mà phân rã nguy cơ, biện pháp chể an ninh tổng quát cho loại hình mạng từ nhiều góc độ, lớp mặt cắt khác thuận tiện để phân tích cặn kẽ vấn đề an ninh cho hệ thống không ngoại trừ NGN Mục đích luận văn Luận văn Học viên đề xuất sở nghiên cứu mạng NGN phát triển thử nghiệm thực thể NGN năm nghiên cứu an ninh mạng NGN Trung tâm Công nghệ Thông tin (thuộc Học viện Công nghệ Bưu Viễn thông) – CDiT (Center for Development of Information Technology) Qua luận văn Học viên mong muốn giới thiệu vấn đề công nghệ sau Mạng hệ (Next Generation Network - NGN) o Xu hướng dịch vụ Viễn thông o Mô hình tham chiếu NGN o Công nghệ truyền tải mạng NGN o Các phương thức truy nhập NGN o Mô hình mạng NGN điển hình Mạng đô thị (Metro Arear Network - MAN) o Những yếu tố thúc đẩy phát triển mạng MAN o Xu hướng phát triển công nghệ Ethernet MAN o Kiến trúc mạng MAN Cisco o Khuyến nghị TR-101 o Mô hình mạng MAN điển hình o Cung cấp dịch vụ VPN L2 HSI qua MANE An ninh NGN o Xây dựng quy trình đảm bảo an ninh dựa việc tổng hợp ưu điểm khuyến nghị X.805 o o Phân tích kịch công từ phía khách hàng thiết bị mạng nhà cung cấp dịch vụ Viễn thông cho hai loại hình dịch vụ VPN L2 HSI Bước đầu áp dụng để đưa phương án đảm bảo an ninh cho hệ thống NGN điển hình với dịch vụ VPN L2 HSI Kết nghiên cứu đồng thời khuyến nghị cho nhà khai thác Viễn thông Việt Nam trình triển khai NGN Cấu trúc luận văn Chương 1: MẠNG THẾ HỆ MỚI o Chương trình bày vấn đề liên quan đến công nghệ giải pháp mạng NGN nêu phần mục đích luận văn Chương 2: MẠNG ĐÔ THỊ o Chương trình bày vấn đề liên quan đến công nghệ giải pháp mạng MAN, cách thức cung cấp dịch vụ VPN L2 HSI qua mạng MAN nêu phần mục đích luận văn Chương 3: PHÂN TÍCH KIẾN TRÚC VÀ CÁC THÀNH PHẦN AN NINH X.805 DO ITU-T ĐỀ XUẤT o Chương phân tích cách tiếp cận X.805 an ninh mạng theo mặt phẳng lớp an ninh, đồng thời nguy xảy thực thể mạng biện pháp phòng chống tương ứng Chương 4: PHÂN TÍCH ÁP DỤNG KHUYẾN NGHỊ X.805 CHO THIẾT KẾ AN NINH MẠNG NGN o Chương trình bày quy trình áp dụng X.805 vào thiết kế giải pháp an ninh mạng NGN học viên nhóm nghiên cứu CDiT đề xuất Chương KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN o Chương trình bày kết áp dụng X.805 thiết bị mạng NGN dịch vụ VPN L2 (E-LINE, E-LAN) dịch vụ HSI Chương ĐÁNH GIÁ KẾT QUẢ ĐẠT ĐƯỢC VÀ KHUYẾN NGHỊ o Chương đánh giá kết đạt luận văn, khuyến nghị an ninh đầu cuối cho NGN nhà cung cấp dịch vụ Viễn thông Phụ Lục GIẢI PHÁP CHỐNG DoS CỦA ARBOR o Phần giới thiệu giải pháp an ninh mạng băng rộng Arbor Chương MẠNG THẾ HỆ MỚI 1.1 Tóm tắt chương Chương trình bày vấn đề liên quan đến mạng (NGN) gồm: mô hình tham chiếu NGN theo ITU-T, số công nghệ chủ đạo cho truyền tải truy nhập NGN Quan trọng việc đề xuất mô hình NGN điển hình áp dụng với nhà khai thác cung cấp dịch vụ Viễn thông, đặc biệt Việt Nam 1.2 Xu hướng dịch vụ Viễn thông • Lưu lượng thoại truyền thống suy giảm, chuyển dịch sang dịch vụ di động VoIP • Sự phát triển nhanh chóng phương thức truy nhập băng rộng gia tốc thêm suy giảm dịch vụ truyền thống Hình 1.1 Xu hướng dịch vụ Viễn thông • Các dịch vụ băng rộng chiếm tài nguyên mạng nhiều so với dịch vụ truyền thống • Tuy nhiên, tương lai gần 80% lợi nhuận nhà khai thác viễn thông đến từ dịch vụ truyền thống: TDM voice, Leased-line… 1.2.1 Các thách thức với nhà cung cấp dịch vụ viễn thông • Duy trì “sự trung thành” khách hàng có • Tăng tỉ lệ ARPU cách giới thiệu gói dịch vụ, loại hình dịch vụ mới, đa dạng tới đối tượng khách hàng khác • Giảm chi phí đầu từ (CAPEX) chi phí vận hành (OPEX) nhiều so với đối thủ cạnh tranh • Xây dựng sở hạ tầng mạng thống nhất, vững đáp ứng sẵn sàng yêu cầu dịch vụ phát triển tương lai Xu hướng tiến lên NGN xu hướng tất yếu nhà cung cấp dịch vụ viễn thông 1.2.2 Những hạn chế mạng nhu cầu phát triển NGN Cứng nhắc việc phân bổ băng thông Khó khăn việc tổ hợp mạng Khó khăn việc cung cấp dịch vụ Đầu tư cho mạng PSTN lớn Giới hạn phát triển mạng Không đáp ứng tăng trưởng nhanh dịch vụ liệu 1.3 Tổng quan NGN 1.3.1 Định nghĩa NGN ITU-T Y.2001 Mạng NGN mạng dựa chuyển mạch gói có khả cung cấp dịch vụ Viễn thông sử dụng công nghệ chuyển tải băng rộng, hỗ trợ QoS; (và đó) việc cung cấp dịch vụ độc lập với công nghệ liên quan đến chuyển tải Hỗ trợ người sử dụng lựa chọn dịch vụ mà không phụ thuộc với mạng với nhà cung cấp dịch vụ NGN hỗ trợ khả di động tạo điều kiện cung cấp dịch vụ lúc, nơi Hình 1.2 Sự hội tụ thoại số liệu, cố định di động NGN Hình 1.3 Xu hướng hội tụ công nghệ mạng (theo 3GPP) Hình 1.4 Xu hướng hội tụ dịch vụ viễn thông (theo 3GPP) 1.3.2 Các đặc điểm NGN Nền tảng hệ thống mạng mở Các khối chức tổng đài truyền thống chia thành phần tử mạng độc lập, phần tử phân theo chức phát triển cách độc lập Giao diện giao thức phận phải dựa tiêu chuẩn tương ứng Là mạng dịch vụ thúc đẩy Chia tách dịch vụ với điều khiển gọi Chia tách gọi với truyền tải Là mạng chuyển mạch gói, giao thức thống Các mạng thông tin tích hợp mạng thống dựa gói IP trở thành giao thức vạn năng, làm sở cho mạng đa dịch vụ NGN tảng cho sở hạ tầng thông tin quốc gia (NII) Là mạng có dung lượng tính thích ứng cao, đủ lực để đáp ứng nhu cầu Có khả cung cấp nhiều loại hình dịch vụ đa phương tiện băng thông cao Có khả thích ứng với mạng tồn để tận dụng sở hạ tầng mạng, dịch vụ khách hàng sẵn có 1.3.3 Một số nguyên tắc tổ chức mạng NGN Mạng có cấu trúc đơn giản Đáp ứng nhu cầu cung cấp loại hình dịch vụ viễn thông phong phú đa dạng Nâng cao hiệu sử dụng, chất lượng mạng lưới giảm chi phí khai thác, bảo dưỡng Dễ dàng tăng dung lượng, phát triển dịch vụ Có độ linh hoạt tính sẵn sàng cao, lực tồn mạnh Tổ chức mạng dựa số lượng thuê bao theo vùng địa lý nhu cầu phát triển dịch vụ, không theo địa bàn hành mà theo vùng mạng vùng lưu lượng 1.4 Mô hình tham chiếu NGN 1.4.1 Mô hình tham chiếu NGN ITU Mô hình tham chiếu mạng NGN ITU hình 1.5 Hình 1.5 Mô hình tham chiếu mạng NGN ITU-T Phần trình bày cấu trúc chức mạng NGN ITU-T Các chức người sử dụng nối tới NGN theo giao diện UNI (User Network Interface), mạng kết nối thông qua giao diện NNI Giao diện API kết nối NGN với nhà cung cấp dịch vụ Viễn thông thứ ba 1.4.1.1 Các chức tầng chuyển tải • Tầng chuyển tải thực chức kết nối thành phần mạng gồm thiết bị (thường nằm Server mạng) thiết bị người sử dụng IP coi phương tiện chuyển tảihứa hẹn cho NGN Tầng chuyển tải phải có khả cung cấp QoS toàn trình • Tầng chuyển tải chia thành mạng lõi mạng truy nhập Các thành phần chức tầng chuyển tải miêu tả ngắn gọn Chức truy nhập (Access Functions - AF) Đây khối chức quản lý truy nhập thuê bao tới mạng Hoạt động phụ thuộc vào công nghệ truy nhập, ví dụ: xDSL, Ethernet, quang, vô tuyến Chức chuyển tải truy nhập (Access Transport Functions - ATF) • Khối chức thực chuyển tải thông tin qua mạng truy nhập Nó có kỹ thuật điều khiển QoS cho lưu lượng người sử dụng gồm: quản lý đệm, xếp hàng lập lịch, lọc gói, phân loại lưu lượng, đánh dấu thiết lập sách Chức biên (Edge Functions - EF) • Khối chức xử lý lưu lượng lưu lượng từ phần truy nhập nhập vào mạng lõi Chức chuyển tải lõi (Core Transport Functions - CTF) Khối chức đảm bảo chuyển tải thông tin qua mạng lõi Nó cung cấp phương pháp phân biệt chất lượng chuyển tảitrên mạng, dựa vào mối tương tác với chức điều khiển chuyển tải (Transport Control Function) Nó cung cấp kỹ thuật QoS, xử lý trực tiếp lưu lượng người sử dụng gồm: quản lý đệm, xếp hàng đặt lịch, lọc gói, phân loại lưu lượng, đánh dấu thiết lập sách, điều khiển cổng firewall Chức điều khiển gắn kết mạng (Network Attachment Control Functions - NACF) Khối chức cung cấp hoạt động đăng ký lớp truy nhập khởi tạo chức người dử dụng cuối để truy nhập dịch vụ NGN, cụ thể là: đinh danh/xác thực lớp mạng, quản lý không gian địa IP mạng truy nhập, xác thực phiên truy nhập Chức điều khiển tài nguyên nhận vào (Resource and Admission Control Functions RACF) Khối chức cung cấp chức điều khiển nhận vào điều khiển cổng Điều khiển nhận vào gồm kiểm tra xác thực dựa vào profile người dùng thông qua chức NACF cấp phép có tính đếm lực tài nguyên RACF tương tác với chức lớp chuyển tải để điều khiển số chức sau: lọc gói, phân loại lưu lượng, đánh dấu định sách, dành trước cấp phát băng thông, chống giả mạo địa chỉ, NAPT, tính cước sử dụng… 10 Chức quản lý User Profile lớp chuyển tải (Transport User Profile Functions - TUPF) Khối chức xử lý thông tin hoạt động người sử dụng liên quan đến tầng chuyển tải, lưu trữ “user profile” Chức cổng (Gateway Functions) Khối chức tạo khả tương tác với mạng khác PSTN/ISDN, Internet mạng NGN nhà cung cấp Viễn thông khác Giao diện NNI có lớp điều khiển chuyển tải Tương tác lớp điều khiển chuyển tải thực trực tiếp thông qua chức điều khiển chuyển tải Chức quản lý Media (Media Handling Functions) Cung cấp dịch vụ tạo tín hiệu âm tone, chuyển mã, làm cầu nối cho dịch vụ hội nghị truyền hình (Conferencing) 1.4.1.2 Các chức tầng dịch vụ Các chức cung cấp dịch vụ có phiên, dịch vụ không phiên, toàn dịch vụ PSTN/ISDN thời Chức điều khiển dịch vụ (Service and Control Functions) Gồm chức điều khiển phiên, chức đăng ký, xác thực cấp phép mức dịch vụ Chúng bao gồm chức điều khiển tài nguyên Media Chức quản lý User Profile dịch vụ (Service User Profile Functions) Khối chức xử lý thông tin hoạt động người sử dụng liên quan đến tầng dịch vụ, lưu trữ “user profile” 1.4.1.3 Chức ứng dụng (Application Functions) NGN hỗ trợ giao diện API mở, cho phép nhà cung cấp dịch vụ thứ ba sử dụng lực mạng NGN để kiến tạo phát triển dịch vụ cho người sử dụng 1.4.1.4 Các chức quản lý • Hỗ trợ quản lý mạng nguyên tắc cho hoạt động mạng NGN Các chức quản lý cho phép nhà điều hành NGN quản lý mạng cung cấp dịch vụ NGN với chất lượng, mức độ tin cậy tính an toàn theo mong muốn • Các chức phân tán vào phần tử chức (FE) Chúng tương tác với phần tử chức quản lý phần tử mạng (NE), quản lý mạng quản lý dịch vụ • Các chức quản lý gồm việc tính cước toán Các chức hỗ trợ tính cước off-line (tính cước trả sau) tương tác với ứng dụng cho dịch vụ trả trước (online charging) 78 Destruction Lớp Đôi dây đồng Đứt cắt trộm cáp Access Control Destruction Lớp Tín hiệu xDSL Gây nhiễu tín hiệu Access Control Destruction Lớp Dòng điện đường dây Đặt lên đôi dây dòng điện điện Access Control áp lớn gây hư hỏng IP SLAM/ONU Removal Dòng điện đường dây Sử dụng trái phép dòng điện Access Control đôi dây gây hư hỏng IP SLAM/ONU Destruction Lớp Cáp quang Đứt cắt trộm cáp Access Control Removal Lớp CDP Đánh cắp thông tin cấu hình IP DSLAM/ONU Access Control Corruption Lớp CDP Cạn kiệt tài nguyên nhớ IP DSLAM/ONU Access Control Corruption Lớp ARP Đầu độc nhớ ARP Cache IP DSLAM/ONU Access Control Lớp Bước Xử lý an ninh cho quy trình OA&M Phần thực có quy trình OA&M chi tiết cho mạng NGN (không thuộc phạm vi luận văn) Bước Đưa Yêu cầu an ninh IP DSLAM/ONU DSLAM/ONU nhận tin ARP Reply giao diện cấu hình tin cậy (Dynamic ARP Inspection) Đối với DSLAM Cissco: KHÔNG kích hoạt giao thức CDP IP DSLAM L2SW/OLT L2S/OLT nhận tin ARP Reply giao diện cấu hình tin cậy (Dynamic ARP Inspection) Bước Đưa khuyến nghị thiết bị phụ trợ KHÔNG cần thiết sử dụng thiết bị an ninh phụ trợ trường hợp 79 Bước 6.Tổng hợp giải pháp Hình 5.7 Mô hình Giải pháp an ninh cho miền thiết bị dịch vụ HSI (khách hàng cá nhân) 5.4.1.3 Miền an ninh thiết bị IP Core dành riêng Các thiết bị miền AAA Server (thường RADIUS) BRAS () ASBR (Autonomous System Border Router) Các SR (Service Router) RR (Route Reflector) Bước Ma trận lớp-mặt phẳng để phát giao diện Mặt phẳng an ninh quản lý Mặt phẳng an ninh điều khiển Mặt phẳng an ninh người sử dụng Lớp an ninh ứng dụng Lớp an ninh (1) Giao diện với hệ thống quản lý dịch vụ thiết bị Lớp an ninh BRAS/SR/ASBR sở hạ tầng (2) Giao diện BRAS với PEAGG miền MANE (3) Giao diện BRAS, SR ASBR (4) Giao diện với P miền IPCore (5) Giao diện với thiết bị khách hàng (6) Giao diện với thiết bị Internet Bảng 5.4 Ma trận lớp-mặt phẳng để phát giao diện dịch vụ HSI Bước Xử lý an ninh cho giao diện diện với thiết bị khách hàng 80 Bảng tổng hợp giao thức Lớp (OSI) Giao thức ARP IP, ICMP TCP, UDP, BGP Bảng tổng hợp nguy Loại Lớp (OSI) Giao thức Nguy Giải pháp Corruption Lớp ARP Đầu độc nhớ ARP Cache BRAS Access Control Destruction Lớp IP Gửi nhiều phân đoạn xấu gói tin IP Access Control Destruction Lớp ICMP Gửi gói tin ICMP thông báo lỗi kết nối TCP Destruction Lớp ICMP Gửi gói tin ICMP Echo Request với tần xuất lớn Corruption Lớp IP Chèn nhiều gói tin IP làm suy giảm băng Access Control thông mạng Corruption Lớp ICMP Quảng bá gói tin ICMP Echo Request Corruption Lớp TCP Corruption Lớp TCP Non-Repudation Access Control Access Control Gửi gói tin SYN tới BRAS với địa IP Data Integrity nguồn giả mạo Gửi gói tin ICMP thông báo lỗi kết nối Data Integrity phiên TCP Gửi gói tin TCP thiết lập cờ FIN để kết thúc Corruption Lớp TCP Non-Repudation phiên TCP Gửi gói tin TCP thiết lập cờ RST để tạo lại Corruption Lớp TCP Non-Repudation phiên TCP Corruption Lớp TCP Corruption Lớp BGP Non-Repudation Gửi gói tin lặp ACK báo hiệu nghẽn mạng Gửi gói tin Open Message gây xung đột Non-Repudation kết thúc phiên BGP 81 Corruption Lớp BGP Gửi gói tin Keepalive Message làm chuyển Non-Repudation trạng thái phiên BGP Corruption Lớp BGP Gửi gói tin Update Message làm sai lạc Non-Repudation thông tin định tuyến BGP Corruption Lớp BGP Gửi gói tin Notification Message làm Non-Repudation tính ổn định định tuyến BGP Bước Xử lý an ninh cho quy trình OA&M Phần thực có quy trình OA&M chi tiết cho mạng NGN (không thuộc phạm vi luận văn) Bước Đưa Yêu cầu an ninh Đối với BRAS BRAS nhận tin ARP Reply giao diện cấu hình tin cậy (Dynamic ARP Inspection) Giới hạn tốc độ gửi gói tin ICMP gửi đến BRAS từ thuê bao HSI (ICMP Rate Limiting) Kiểm tra xác thực tin thuộc kết nối TCP BRAS mã hoá xác thực thông báo MD5 BRAS huỷ gói tin IP nhận có tuỳ chọn IP Source Routing trường Option Ngăn không cho BRAS gửi quảng bá gói tin ICMP Echo Request tới thuê bao HIS BRAS dùng Access List mở rộng (Extended ACL) lưu lại ánh xạ 1-1 địa IP/MAC từ tin SYN nhận trước kết nối TCP tin cậy (không phải từ công) Trước thiết lập kết nối TCP, BRAS kiểm tra địa IP/MAC tin SYN nhận với điểm vào Extended ACL Tăng cường kiểm tra xác thực tin thiết lập kết nối TCP BRAS mã hoá xác thực thông báo MD5 kết nối TCP cho phần định tuyến BRAS sử dụng phần mềm cho phép thiết lập kết nối TCP tới địa IP nhận từ tin SYN, phần mềm giúp BRAS phát ngăn chặn sớm công DoS Giới hạn tốc độ gửi gói tin SYN đến BRAS (SYN Rate Limiting) Đối với SR, RR, ASBR SR, RR, ASBR PHẢI nhận dạng gói tin có địa IP có địa trùng với địa để chống hacker giả mạo SR gửi tin ICMP Echo Request tới BRAS Cấu hình kiểm tra giá trị TTL (Time to Live) cho gói tin iBGP 254 SR RR ASBR Áp dụng sách lọc tuyến (Route Filtering) RR SR Cấu hình thiểt lập tham số ngưỡng tin thông báo thay đổi / ổn định tuyến (Route Flap Damping) RR SR 82 Bước Đưa khuyến nghị thiết bị phụ trợ Đặt trước BRAS phía giao diện với thuê bao HSI thiết bị giám sát lưu lượng mạng (ví dụ eSerie Arbor) để phân tích lưu lượng mạng đưa cảnh báo công gửi nhiều phân đoạn xấu gói tin IP Trang bị hệ thống kiểm soát định tuyến iBGP (ví dụ PeakFlow Arbor) RR để kiểm soát việc định tuyến iBGP/eBGPgiữa RR với SR RR với ASBR Bước Tổng hợp giải pháp cho miền Hình 5.8 Mô hình Giải pháp an ninh cho miền thiết bị dành riêng dịch vụ HSI 83 5.4.1.4 Tổng hợp giải pháp cho dịch vụ Hình 5.9 Mô hình Giải pháp an ninh cho dịch vụ HSI (khách hàng cá nhân) 5.4.2 Khách hàng SMB (Small Business) Có thể thấy dịch vụ HSI cho SMB loại hình đặc biệt dịch vụ HSI cho người dùng cá nhân (Resident) với điểm khác biệt thiết bị người sử dụng (modem, router) không kết nối với Internet qua BRAS mà đến thẳng SR IPCore Như thấy, miền mạng Access, MANE IPCore dịch vụ này, cấu hình giống dịch vụ HSI cho khách hàng cá nhân nên áp dụng kết phân tích Ở miền thiết bị dành riêng, yêu cầu kỹ thuật BRAS dịch vụ HSI cho khách hàng cá nhân áp dụng cho khách hàng SMB 5.5 Kết luận chương Những công từ phía khách hàng mối quan tâm lớn SP Việc phát công triển khai biện pháp khắc phục phụ thuộc vào lực làm việc thiết bị mạng Chương công điển hình giải pháp phòng chống hữu hiệu thời điểm vào sản phẩm tích hợp tính an ninh hãng Cisco, Huawei, Juniper Các khuyến nghị việc triển khia thiết bị phụ trợ đề xuất tham chiếu phần phụ lục giải pháp chống DoS Arbor Chương KẾT LUẬN VÀ KHUYẾN NGHỊ 84 6.1 Kết luận 6.1.1 Các vấn đề giải Cập nhật tình hình nghiên cứu phát triển lĩnh vực an toàn bảo mật hệ thống thông tin Đánh giá số sản phẩm lĩnh vực an toàn bảo mật Đánh giá số chuẩn lĩnh vực an toàn bảo mật Phân tích, đề xuất lựa chọn sử dụng X.805 làm tảng để xây dựng framework an toàn bảo mật Xây dựng, đề xuất hai quy trình mức cao giải toán an toàn bảo mật cho hệ thống thông tin Xây dựng giải pháp mức cao cho hệ thống NGN cung cấp dịch vụ VPN L2, HSI điển hình Đưa khuyến nghị với o Các nhà phát triển giải pháp an ninh NGN o Các nhà cung cấp dịch vụ Viễn thông khai thác NGN o Các nhà đơn vị quản lý nhà nước có liên quan đến lĩnh vực thông tin, truyền thông an ninh Đề xuất số hướng nghiên cứu 6.1.2 Các đề xuất khuyến nghị 6.1.2.1 Khuyến nghị nhà phát triển giải pháp an ninh mạng Nên chia sẻ kinh nghiệm phát triển giải pháp an toàn bảo mật cách công bố chuẩn sở tham chiếu (ví dụ Cisco, IBM,…) 6.1.2.2 Khuyến nghị nhà khai thác NGN Cần phải nắm quy trình xây dựng giải pháp an ninh để o Đưa yêu cầu kỹ thuật giải pháp an toàn bảo mật o Phân tích đánh giá giải pháp có đối tác chào hàng Dự việc phân tích kỹ nguy an toàn bảo mật, nhà khai thác hoàn toàn xây dựng dịch vụ gia tăng lĩnh vực Trong tương lai mảng dịch vụ hữu ích có tiềm Đối với dịch vụ gia tăng bảo mật, cần đưa thoả thuận chất lượng dịch vụ (SLA) với khách hàng 6.1.2.3 Khuyến nghị quan quản lý nhà nước Vấn đề ban hành quy định, chế tài có liên quan đến an toàn bảo mật NGN Ngoài việc thân nhà khai thác phải tự có giải pháp bảo vệ mạng quan quản lý nhà nước có thẩm quyền cần ban hành quy định cách thức xử phạt tình vi phạm việc làm an toàn bảo mật o Người sử dụng dịch vụ nhà khai thác o Các nhà khai thác có kết nối liên mạng với Các quy định ban hành vừa yêu cầu nhà khai thác phải đảm bảo an toàn bảo mật cho dịch vụ khách hàng đối tác họ đồng thời sở để họ ban hành quy định, chế tài thông qua sách an toàn bảo mật riêng họ Các SLA cho tính an toàn bảo mật dịch vụ 3G NGN vấn đề cần quan quản lý nhà nước có thẩm quyền đạo nghiên cứu tìm hiểu Các kết đạt ban hành thành quy định, yêu cầu nhà khai thác phải đưa SLA bảo mật ký với khách hàng Các thoả thuận đó, vừa để yêu cầu doanh nghiệp nâng 85 cao trách nhiệm kinh doanh khai thác đồng thời sở pháp lý để quan quản lý xử lý có cố an toàn bảo mật xảy 6.2 Hướng nghiên cứu Tiếp tục nghiên cứu ứng dụng chuẩn họ X.81x ITU-T để hoàn thiện framework Ứng dụng framework an ninh để xây dựng giải pháp an toàn bảo mật cho dịch vụ NGN o Dịch vụ VPN L3 o Dịch vụ VoIP o Dịch vụ IPTV, VoD o Các dịch vụ mạng di động 3G Các SLA tính an toàn bảo mật cho dịch vụ IP-NGN 3G 86 PHỤ LỤC GIẢI PHÁP CHỐNG DoS CỦA ARBOR Giải pháp Peakflow SP Hình P.1 Kiến trúc giải pháp Peakflow SP 1.1 Các chức Hỗ trợ Carrier quan sát tình hình lưu lượng toàn mạng Hoạt động chế độ Flow-based, Passive Thông thường hệ thống hoạt động chế độ Passive, không can thiệp vào luồng liệu mạng Khi phát công, luồng liệu bị phát “không sạch” định tuyến đến phận “làm sạch” trước chuyển đến đích Các thành phần hệ thống thực chất router giao tiếp với router khác mạng thông qua IP, định tuyến BGP nên tương thích với thiết bị nhiều nhà cung cấp thíêt bị (Vendor) khác Peakflow có module nhỏ o Peakflow SP CP (Collector Platform) - Thực chức thu thập phân tích dòng IP, BGP, SNMP - Phân tích hoạt động bất thường - Quản lý thiết bị khác o Peakflow SP FS (Flow Sensor) 87 - Tương tự Peakflow SP CP đặt phía khách hàng o Peakflow SP TMS (Threat Management System) - Chỉ hoạt động CP phát có nguy công - Thực chức chặn thông tin không hợp lệ có yêu cầu từ Peakflow SP CP theo thời gian thực Hình P.2 Xử lý luồng lưu lượng bị công Peakflow SP 1.2 Đánh giá Ưu điểm Hoạt động chế độ Flow-based, Passive, không can thiệp vào luồng liệu, không làm ảnh hưởng đến hiệu hệ thống Dễ tương thích với hệ thống router, đặc biệt Carrier Data Center 88 Hình P.3 Năng lực làm việc thiết bị Peakflow SP Có chế độ cảnh báo DDoS Giám sát phân tích loại lưu lượng theo giao diện, người dùng Phân tích luồng lưu lượng theo giao thức (TCP, UDP, ICMP, BGP…) Phân tích luồng lưu lượng theo kiểu dịch vụ (HTTP, FTP, …) Cảnh báo DDoS theo thời gian thực Cảnh báo loại sâu máy tính Tự động phát quét mã độc TMS cần thiết trả router đích Đã triển khai thử nghiệm đánh giá tốt Viễn thông thành phố Hồ Chí Minh năm 2006, VDC năm 2007 Peakflow SP hoạt động theo bước sau triển khai 89 Peakflow SP thực học hoạt động mạng toàn hệ thống luồng thông tin Flow, SNMP, BGP gửi đến đối tượng mạng (Network Object) qua giao tiêp M160 Core router Xây dựng Cơ sở liệu quan hệ tạo mẫu lưu lượng (traffic baselines) liên tục hoạt động bình thường toàn hệ thống từ học liệu Bên cạnh đó, sở liệu Peakflow SP cập nhật liên tục (24x7x365) dịch vụ gia tăng nhà cung cấp Giám sát phát bất thường (nếu có) toàn hệ thống dựa traffic baselines thực cập nhật sở liệu Cảnh báo người điều hành mạng (Network Operator) khuyến nghị sách thích hợp để xử lý bất thường toàn hệ thống Người điều hành mạng có toàn quyền định chấp nhận huỷ bỏ khuyến nghị dựa hệ thống thực vận hành Giúp tạo báo biểu chi tiết toàn hệ thống dựa sách quản lý (xây dựng sẵn, định nghĩa mới) qua kết xuất thông dụng (CVS, PDF, XML,…) Đối với nhà cung cấp dịch vụ mạng Viễn thông, điều quan trọng cần xây dựng tập sách quản lý tài nguyên hạ tầng, sách kiểm toán khách hàng SP cần hiểu rõ yêu cầu để khai thác tối đa lực Peakflow SP Nhược điểm Chưa triển khai thực tế Mới tập trung vào nguy DoS 1.3 Peakflow SP với DoS Peakflow SP hiển thị dạng DoS cảnh báo (Ongoing DoS Alert), cảnh báo gần (Recent DoS Alert) Peakflow SP phân loại dạng cảnh báo DoS theo cấp (Cao – High, Trung bình – Medium Thấp – Low) Có giai đoạn cần triển khai để xử lý công dạng DoS gồm: o Phát (Detection) o Phân tích (Analysis) o Truy tìm nguồn gốc (Track back) o Đề hướng xử lý (Mitigation) Peakflow SP phát công DoS cung cấp thông tin chi tiết công gồm: phân loại theo mức độ nghiêm trọng, ngày công theo thời gian thực, hướng công, giao thức mạng dùng để cống đặc biệt xác định tầm ảnh hưởng công Sau phân tích xác định nguồn xuất phát công DoS, định danh giao tiếp mạng router tham gia vào công DoS 90 Chọn cho phép người quản trị lọc (filtering) nguồn tham gia công định địa IP cụ thể Tùy hệ thống thiết bị chuyên dụng router, firewall, filtering thiết lập, Peakflow SP giúp tạo ACLs (danh sách quản lý truy nhập), Ratelimits (các lọc định mức lưu lượng liệu) theo chế xử lý chuyên biệt khác trang bị Blackholeing, Sinkholing thiết bị Delicated Filtering Xác định mức độ nghiêm trọng cảnh báo mức cao (High), Người quản trị hệ thống xác định chi tiết dạng công DoS đó: o Xác định đặc tính loại công DoS o Thông tin chi tiết công gồm: lớp mạng nguồn công (Source Network), lớp mạng đích công nhắm tới (Destination Network) Thông số cổng giao tiếp nguồn đích o Giao thức thực công chi tiết o Đặc biệt Peakflow SP cung cấp biểu đồ thể mức độ lưu lượng công DoS hành so với mức lưu lượng mong muốn hệ thống Khả nhận định xác mức độ nguy hiểm công DoS ảnh hưởng đến thành phần tài nguyên hệ thống o Cho thấy cụ thể lưu lượng ảnh hưởng thành phần hệ thống so với lưu lượng mong muốn hệ thống trước có công DoS o Người quản trị xem chi tiết ảnh hưởng cụ thể theo thành phần tài nguyên hệ thống o Giúp xác định hướng đường công DoS nhanh chống có giải pháp đáp ứng kịp thời trước công gây nhiều tổn thất nhiều tài nguyên Phản ứng truớc công DoS Peakflow xác định địa nguồn cụ thể tham gia vào công địa đích nhóm cổng giao tiếp o Nhóm cổng nguồn (Source Ports), đích (Destination Ports) o Giao thức (Protocol) đặc biệt giao tiếp vào / công DoS (Input/Output Interfaces) o Người quản trị cần xác định lượng liệu phải ngăn chặn thông qua tính Filter (một dạng Mitigation) Peakflow SP Peakflow SP giúp tạo ACLs Ratelimits thích hợp khuyến nghị người quản trị sử dụng Người quản trị toàn quyền định (chấp nhận, thay đổi hủy bỏ khuyến nghị Peakflow SP) chịu trách nhiệm trước ngữ cảnh công DoS xác định o Peakflow SP tự động tạo khuyến nghị (ACL hay Ratelimit) phù hợp với thiết bị 91 có hệ thống học o Các khuyến nghị Người quản trị toàn quyền định Peakflow SP không tự động áp đặt khuyến nghị vào hệ thống o Đối với số cách thức xử lý chuyên dụng thông qua thiết bị chuyên nghiệp Blackhole, Sinkhole hay Delicated Filtering cho công DoS, Peakflow SP hỗ trợ nhận biết qua cấu hình định Người quản trị Điều giúp xây dựng hạ tầng an ninh mạng vững trước dạng công DoS ngày nguy hiểm Giải pháp eSeries 2.1 Các chức Ứng dụng để cung cấp dịch vụ gia tăng nội dung bảo mật Hoạt động chế độ Inline Phân tích nhiều loại lưu lượng vào khác để phân loại liệu 2.2 Đánh giá Ưu điểm Cho phép ngăn chặn liệu tiêu tốn tài nguyên băng thông mạng IP Cho phép cung cấp nhiều dịch vụ gia tăng nội dung liệu mạng IP Nhược điểm Làm ảnh hưởng đến hiệu mạng Nằm phân tán phí đầu tư cao 92 Hình P.5 Giải pháp tổng thể Arbor mạng băng rộng ... động) Quản lý mạng khó khăn Các nhà khai thác mạng Viễn thông trình số hoá mạng Viễn thông năm qua cố gắng trang bị sở hạ tầng Viễn thông số đại cố gắng tránh tình bị ép giá cách trang bị tổng... tạp kiến trúc mạng, tương thích chủng loại thiết bị phức tạp quản lý Mạng NGN đời Các yếu tố đưa mạng Viễn thông phát triển đến giai đoạn bước ngoặt có tính cách mạng mạng Viễn thông hệ (NGN-Next... giao thức thống Các mạng thông tin tích hợp mạng thống dựa gói IP trở thành giao thức vạn năng, làm sở cho mạng đa dịch vụ NGN tảng cho sở hạ tầng thông tin quốc gia (NII) Là mạng có dung lượng