4.1.1. Phân tích các nguy cơ an ninh đối với hệ thống điều khiển dịch vụ
Việc triển khai Middleware phía STB của thuê bao và máy chủ cung cấp dịch vụ của Service Provider theo mô hình Cient/Server cho phép thuê bao lựa chọn loại hình dịch vụ IPTV trước khi truy cập nội dung dịch vụ Xác thực thiết bị thuê bao chống lại các hình thức tấn công đánh cắp dịch vụ (truy cập không được phép tới nội dung Video). STB của thuê bao gửi các bản tin IGMP gia nhập tới IP DSLAM (Switch Layer 2) để yêu cầu IP DSLAM gửi luồng Video qua đường xDSL. Nếu hệ thống cung cấp dịch vụ IPTV không có xác thực và thuê bao có thể giả mạo bản tin gia nhập IGMP, thuê bao có thể xem nội dung Video mà không phải thanh toán cước phí. Các vấn đề an ninh cần được xem xét:
Gửi nhiều phân đoạn xấu của gói tin IP tới EPG Server
Gửi gói tin ICMP Echo Request tới EPG Server với tần xuất lớn Gửi gói tin ICMP thông báo lỗi kết nối TCP tới EPG Server Gửi gói tin SYN tới EPG Server với địa chỉ IP nguồn giả mạo
Tấn công tràn bộ đệm (Buffer OverFlow) của máy chủ quản lý tài khoản thuê bao
Tấn công cơ sở dữ liệu (Database) máy chủ quản lý tài khoản thuê bao Làm tràn bộ đệm (Buffer OverFlow) của EPG Server
4.1.2. Phân tích các nguy cơ an ninh đối với hệ thống cung cấp nội dung
Bảo vệ bản quyền tác giả đối với nội dung Video được truyền tải qua mạng là vấn đề chính về an toàn bảo mật cần quan tâm đối với nhà cung cấp nội dung (Content Provider) trong hệ thống cung cấp dịch vụ IPTV. Các vấn đề an ninh đối với hệ thống cung cấp nội dung cần được xem xét:
Tấn công DoS tới hạ tầng mạng truyền tải bằng cách làm tràn lụt các gói tin RTP/RTCP
Tấn công DoS tới hạ tầng mạng truyền tải và VoD Server bằng cách yêu cầu xem nhiều bộ phim cùng một lúc
Làm tràn bộ đệm (Buffer OverFlow) của VoD Server
Tấn công DoS tới VoD Server với gửi bản tin RTSP yêu cầu quá mức năng lực xử lý của VoD Server
Sử dụng trái phép tài khoản của người khác để yêu cầu về xem nội dung Metadata
Tấn công DoS tới VoD Server với gửi bản tin RTCP tần xuất lớn Ngắt phiên RTSP của thuê bao khác
4.1.3. Phân tích các nguy cơ an ninh đối với quản lý hệ thống cung cấp dịch vụ IPTV
Hệ thống cung cấp dịch vụ IPTV cần đảm bảo các yêu cầu an ninh từ phía người quản lý dịch vụ và điều hành mạng, các vấn đề an ninh cần được xem xét:
- An ninh hệ thống tài khoản - An ninh các dịch vụ tập tin - An ninh các dịch vụ Web
- An ninh trong quản lý thiết bị mạng
- An ninh trong vấn đề quy hoạch và sử dụng địa chỉ Multicast
4.1.4. Phân tích các nguy cơ an ninh đối với hạ tầng IP
Hệ thống IPTV dựa trên IP Multicast được triển khai trên hạ tầng mạng IP của nhà cung cấp dịch vụ mạng (Network Provider). Network Provider phải cầu hình các giao thức định tuyến IP (OSPF / IS-IS) và IP Multicast (PIM-SSM) để đảm bảo truyền tải lưu lượng Multicast từ các máy chủ VoD đến IP DSLAM. Set-top-Box (STB) của các thuê bao cần có địa chỉ IP do nhà cung cấp dịch vụ mạng (Service Provider) cấp phát để tham gia vào một nhóm Multicast. Các vấn đề an ninh đối với hạ tầng IP cần được xem xét:
Đứt hoặc cắt trộm cáp (đồng, quang)
Đặt lên đôi dây thuê bao dòng điện hoặc điện áp lớn quá giá trị quy định gây hư hỏng IP DSLAM / Access Switch
Sử dụng trái phép dòng điện trên đôi dây thuê bao (ví dụng, dùng để chiếu sáng,…)
Đánh cắp thông tin cấu hình IP DSLAM / Access Switch Cạn kiệt tài nguyên bộ nhớ của IP DSLAM / Access Switch Đầu độc bộ nhớ ARP Cache của IP DSLAM / Access Switch Tấn công VLAN quản trị
Giả mạo địa chỉ MAC làm tràn bảng CAM của IP DSLAM / Access Switch Gửi nhiều bản tin DHCP Request/ giả mạo bản tin DHCP Request tới DHCP
Gửi bản tin DHCP Reply giả mạo của DHCP Server với địa chỉ IP sai lạc tới STB của khách hàng
Gửi bản tin IGMP Join có địa chỉ G và S không hợp lệ tới IP DSLAM / Access Switch
Gửi bản tin IGMP Leave giả mạo làm ngắt phiên Multicast của thuê bao khác Gửi bản tin PIM-SSM giả mạo tới các Router có chức năng Multicast
(MRouter)
Gửi nhiều phân đoạn xấu của gói tin IP tới VoD Server
Gửi gói tin ICMP Echo Request tới VoD Server với tần xuất lớn Gửi gói tin ICMP thông báo lỗi kết nối TCP tới VoD Server
4.1.5. Phân tích các nguy cơ an ninh đối với thuê bao
STB dùng trong hệ thống IPTV ngày nay hầu hết đều sử dụng thẻ thông minh (Smart Card). Smart Card là một trong số các kỹ thuật được ứng dụng rộng rãi để làm đơn giản tiến trình xác thực thuê bao trong hệ thống IPTV. Smart Card chứa một bộ nhớ Flash và một vi xử lý dùng lưu trữ các thông tin an ninh như: thông tin về tài khoản của thuê bao (tên thuê bao, mật khẩu), các khóa dùng để giải mã nội dung Video,...Flash là bộ nhớ lập trình lại được (Erasable Programmable Read-Only-Memory, EPROM) do vậy STB có những Option bị hạn chế tới việc bảo vệ các khóa mật. Hacker hoàn toàn tìm hiểu được cách thức hoạt động của STB, sửa đổi phần mềm Middleware để có thể truy cập trái phép dịch vụ IPTV (đánh cắp dịch vụ). Hacker cũng có thể sử dụng máy tính cá nhân (Personal Computer, PC) như một STB (Soft-based STB) với các mô đun chương trình cho phần mềm Middleware được lập trình sẵn cho phép nhiều hơn những tấn công tới hệ thống máy chủ của nhà cung cấp dịch vụ (Servide Provider).
Sau khi có địa chỉ IP của Service Provider, STB nhận được danh sách các kênh chương trình từ máy chủ cung cấp danh sách kênh chương trình (Electronic Program Guidge, EPG). Với dịch vụ xem truyền hình theo yêu cầu (Video On Demand, VoD), STB sẽ gửi một bản tin yêu cầu về kênh chương trình được lựa chọn tới VoD Server theo giao thức HTTP. Trong hệ thống IPTV, ngôn ngữ đánh dấu mở rộng (Extended Markup Language, XML) thường được sử dụng để đặc tả danh sách nội dung các kênh chương trình tại EPG Server. Việc mã hóa các thành phần dữ liệu riêng lẻ (Individual) trong tài liệu XML cũng như chữ ký XML để đảm bảo sự toàn vẹn của tài liệu XML khi nó được truyền tải qua HTTP là rất cần thiết. Với dịch vụ xem ti vi phát quảng bá (Broadcast Tivi, BTV), STB gửi bản tin IGMP Join tới IP DSLAM/ Access Switch để chọn kênh chương trình. Cơ chế xác thực an toàn tài khoản và bản tin IGMP Join của thuê bao cần được nghiên cứu kỹ để tránh lại hình thức tấn công đánh cắp dịch vụ (xem nội dung Video mà không phải thanh toán cước). Thuê bao dịch vụ VoD luôn đòi hỏi Service Provider phải đáp ứng các tính năng ưu việt của dịch vụ như chặn các nội dung chương trình dành cho người lớn không phù hợp với trẻ em (Parent Control). Thuê bao cũng có thể xem trước Trailer quảng cáo và nội dung giới thiệu của từng bộ phim (Metadata). Hacker có thể lợi dụng những tác vụ này và kẽ hở của giao thức HTTP để tấn công máy chủ EPG Server. Service Provider phải phân quyền và tổ chức các Profile cho thuê bao, cũng như có cơ chế kiểm soát an ninh đảm bảo an toàn hệ thống máy chủ cung cấp dịch vụ.
4.2. CÁC GIẢI PHÁP AN NINH CHO HẠ TẦNG IP HỆ THỐNG CUNG CẤP DỊCH VỤ IPTV
4.2.1. Phân tích các nguy cơ an ninh và đưa ra các giải pháp cụ thể đối với hạ tầng mạng IP
Hệ thống IPTV dựa trên IP Multicast được triển khai trên hạ tầng mạng IP của nhà cung cấp dịch vụ mạng (Network Provider). Network Provider phải cầu hình giao thức
định tuyến PIM-SSM cho IP Multicast để đảm bảo truyền tải lưu lượng Multicast từ các máy chủ Video đến IP DSLAM / Access Switch. Set-top-Box (STB) của các thuê bao cần có địa chỉ IP do nhà cung cấp dịch vụ mạng (Service Provider) cấp phát để tham gia vào một nhóm Multicast. Các vấn đề an ninh đối với hạ tầng IP cần được xem xét gồm:
Giả mạo địa chỉ IP / cạn kiệt tài nguyên máy chủ cung cấp địa chỉ IP theo giao thức DHCP.
Giả mạo bản tin ARP/IP/ICMP với các hình thức tấn công DoS
Giả mạo thành viên nhóm Multicast bằng cách gửi các bản tin giả mạo IGMP ra nhập nhóm Multicat.
Gửi nhiều gói tin định tuyến Multicast tới các Router thực thi chức năng Multicast (MRouter) với những địa chỉ IP không có điểm vào trong cơ sở thông tin chuyển tiếp (Forwarding Information Base, FIB).
Các giao thức đối với hạ tầng IP dùng trong hệ thống cung cấp dịch vụ IPTV được liệt kê ở bảng 4-1 dưới đây:
Bảng 4- 1: Các giao thức đối với hạ tầng IP của hệ thống cung cấp dịch vụ IPTV
Lớp (OSI) Giao thức
Layer 1 GPON/Cáp quang / xDSL
Layer 2 Ethernet, CDP, ARP, VLAN Trunking Layer 3 DHCP, IP, PIM-SSM, IGMP, ICMP
Bảng tổng hợp các nguy cơ đối với hạ tầng IP được liệt kê dưới đây
Bảng 4- 2: Bảng tổng hợp các nguy cơ đối với hạ tầng IP
STT Loại Lớp
(OSI)
Giao thức Nguy cơ
1 Destruction Lớp 1 Kết nối vật lý trên cáp thuê bao Đứt hoặc cắt trộm cáp (đồng, quang) 2 Destruction Lớp 1 Kết nối vật lý trên cáp thuê bao
Đặt lên đôi dây thuê bao dòng điện hoặc điện áp lớn quá giá trị quy định gây hư hỏng IP DSLAM / Access Switch
3 Destruction Lớp 1
Kết nối vật lý trên cáp thuê bao
Sử dụng trái phép dòng điện trên đôi dây thuê bao (ví dụng, dùng để chiếu sáng,…)
4 Removal Lớp 2 CDP Đánh cắp thông tin cấu hình IP
DSLAM / Access Switch
5 Corruption Lớp 2 CDP Cạn kiệt tài nguyên bộ nhớ của
IP DSLAM / Access Switch
6 Corruption Lớp 2 ARP Đầu độc bộ nhớ ARP Cache của
IP DSLAM / Access Switch
7 Corruption Lớp 2 VLAN
8 Corruption Lớp 2 Ethernet
Giả mạo địa chỉ MAC làm tràn bảng CAM của IP DSLAM / Access Switch
9 Destruction Lớp 3 DHCP
Gửi nhiều bản tin DHCP Request/ giả mạo bản tin DHCP Request tới DHCP Server
10 Interuption Lớp 3 DHCP
Gửi bản tin DHCP Reply giả mạo của DHCP Server với địa chỉ IP sai lạc tới STB của khách hàng
11 Corruption Lớp 3 IGMP
Gửi bản tin IGMP Join có địa chỉ G và S không hợp lệ tới IP DSLAM / Access Switch
12 Interuption Lớp 3 IGMP
Gửi bản tin IGMP Leave giả mạo làm ngắt phiên Multicast của thuê bao khác
13 Destruction Lớp 3 PIM-SSM
Gửi bản tin PIM-SSM giả mạo tới các Router có chức năng Multicast (MRouter)
14 Destruction Lớp 3 IP Gửi nhiều phân đoạn xấu của gói tin IP tới VoD Server
15 Destruction Lớp 3 ICMP Gửi gói tin ICMP Echo Request tới VoD Server với tần xuất lớn
16 Destruction Lớp 3 ICMP Gửi gói tin ICMP thông báo lỗi kết nối TCP tới VoD Server
4.2.1.1. Nguy cơ đứt hoặc cắt trộm cáp Giải pháp:
Sử dụng cáp có độ bền tốt, trang bị cáp dự phòng.
Đi ngầm cáp, có hệ thống bể, cống, ống cáp tốt tránh xâm phạm trái phép. 4.2.1.2. Nguy cơ đặt lên đôi dây thuê bao dòng điện hoặc điện áp lớn quá giá trị
quy định gây hư hỏng IP DSLAM / Access Switch Giải pháp:
Yêu cầu IP DSLAM / Access Switch phải có khả năng phát hiện và cách ly khi xảy ra hiện tượng quá áp, quá dòng.
Nếu IP DSLAM / Access Switch không có khả năng trên, khi đó phải lắp thêm mạch phụ trợ.
4.2.1.3. Nguy cơ sử dụng trái phép dòng điện trên đôi dây thuê bao() Giải pháp:
Yêu cầu IP DSLAM / Access Switch phải có khả năng phát hiện các tình huống sử dụng dòng điện trái phép.
Nếu IP DSLAM / Access Switch không có khả năng trên, khi đó phải lắp thêm mạch phụ trợ.
Kịch bản:
Kịch bản này xảy ra đối với Network Provider dùng Access Switch của Cisco hoặc các hãng khác có dùng giao thức CDP (Cisco Dicovery Protocol).
Hacker ở phía STB của thuê bao có khả năng gửi đi bản tin thăm dò thiết bị Cisco. Access Switch khi nhận được bản tin này sẽ gửi trả lời 1 bản tin trong đó có các trường thông tin như: Địa chỉ IP (IP Address), tên miền VTP (VTP domain).
Hình 4- 1: Nguy cơ đánh cắp thông tin cấu hình IP DSLAM / Access switch
Giải pháp:
Không kích hoạt giao thức CDP trên Access Switch đối với các cổng nối tới thuê bao
4.2.1.5. Nguy cơ tấn công cạn kiệt tài nguyên bộ nhớ của IP DSLAM / Access Switch
Kịch bản này xảy ra đối với Network Provider dùng Access Switch của Cisco hoặc các hãng khác có dùng giao thức CDP (Cisco Dicovery Protocol).
Hacker ở phía STB của thuê bao có khả năng gửi đi bản tin giả mạo CDP với tần xuất lớn. Các bản tin này có giá trị trường Device ID, IP Address, Port ID khác nhau với mục đích giả lập nhiều thiết bị Cisco mới tham gia vào mạng. Access Switch phải tiêu tốn nhiều tài nguyên bộ nhớ RAM để xử lý các bản tin này, dẫn đến bị lỗi và khởi động lại (Reboot).
Hình 4- 2: Nguy cơ tấn công cạn kiệt tài nguyên bộ nhớ của IP DSLAM / Access Switch
Giải pháp:
Không kích hoạt giao thức CDP trên Access Switch
4.2.1.6. Nguy cơ tấn công cạn kiệt tài nguyên bộ nhớ của IP DSLAM / Access Switch
Kịch bản này xảy ra khi địa chỉ IP của Access Switch bị lộ (ví dụ thông qua CDP)
Hacker ở phía STB của thuê bao có khả năng gửi đến Access Switch các bản tin ARP Reply. Mục đích của tấn công là làm sai lạc các ánh xạ 1-1 giữa địa chỉ IP và địa chỉ MAC tương ứng trong bộ nhớ ARP Cache của Access Switch, làm tràn bộ nhớ ARP Cache.
Giải pháp:
Access Switch chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy ( cấu hình Dynamic ARP Inspection trust và untrust trên các interface của Access Switch)
4.2.1.7. Nguy cơ tấn công VLAN quản trị Kịch bản:
Nếu giao diện phía thuê bao trên IP DSLAM / Access Switch có tính năng Auto Trunking, khi đó Hacker ở phía STB của thuê bao có khả năng gia vào VLAN dành cho quản trị thiết bị IP DSLAM / Access Switch của Network Provider (thông suốt VLAN).
Hình 4- 3: Nguy cơ tấn công VLAN quản trị
Giải pháp:
Không kích hoạt chức năng Auto Trunking giao diện phía khách hàng trên IP DSLAM / Access Switch.
Cấu hình VLAN Trunking Protocol (VTP) chế độ Transparent trên IP DSLAM / Access Switch
Toàn bộ giao diện phía khách hàng phải được thiết lập ở chế độ access. 4.2.1.8. Nguy cơ giả mạo địa chỉ MAC làm tràn bảng CAM của IP DSLAM /
Access Switch Kịch bản tấn công:
Kịch bản này xảy ra đối với thuê bao sử dụng dịch vụ Broadcast TV
Hacker ở phía STB của thuê bao gửi đến IP DSLAM / Access Switch các bản tin Ethernet có địa chỉ MAC nguồn liên tục thay đổi (giả mạo).
Bảng CAM (Content Address Memory) của IP DSLAM / Access Switch sẽ bị tràn trong một khoảng thời gian ngắn với hình thức tấn công giả mạo địa chỉ MAC.
Khi bảng CAM bị tràn, IP DSLAM / Access Switch sẽ không chuyển tiếp được các gói tin Multicast đến các thuê bao trước đó đã được nhận biết theo IGMP Snooping.
Hình 4- 4: Nguy cơ giả mạo địa chỉ MAC làm tràn bảng CAM của IP DSLAM / Access Switch
Giải pháp:
IP DSLAM / Access Switch phải cấu hình Port Security đối với từng địa chỉ MAC nhận được khi thuê bao đăng ký sử dụng dịch vụ IPTV
Nếu IP DSLAM / Access Switch không có khả năng cấu hình Port Security, khi đó phải cấu hình danh sách giới hạn những địa chỉ MAC nguồn được chấp nhận.
4.2.1.9. Nguy cơ gửi nhiều bản tin DHCP Request/ giả mạo bản tin DHCP