Đối với an ninh cho đường dây thuê bao

Một phần của tài liệu IPTV và bảo mật trong IPTV (Trang 112)

 Sử dụng cáp có độ bền tốt, trang bị cáp dự phòng (Redundance).

 Đi ngầm cáp, có hệ thống bể, cống, ống cáp tốt tránh xâm phạm trái phép 4.2.2.2. Đối với an ninh cho IP DSLAM / Access Switch

 Có khả năng phát hiện và cách ly khi xảy ra hiện tượng quá áp, quá dòng. Nếu không có khả năng trên, khi đó phải lắp thêm mạch phụ trợ.

 Không kích hoạt giao thức CDP trên Access Switch tại các cổng nối trực tiếp tới thuê bao.

 Chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy (Dynamic ARP Inspection).

 Cấu hình VLAN Trunking Protocol (VTP) chế độ Transparent.  Tạo riêng 1 VLAN với các cổng Trunk tách biệt với thuê bao.

 Phải cấu hình Port Security đối với từng địa chỉ MAC nhận được khi thuê bao đăng ký sử dụng dịch vụ IPTV. Nếu không có khả năng cầu hình Port Security, khi đó phải cấu hình danh sách giới hạn những địa chỉ MAC nguồn được chấp nhận.

 Phải nhận biết được bản tin yêu cầu DHCP hợp lệ của thuê bao cũng như bản tin trả lời DHCP tin cậy từ DHCP Server gửi tới trong việc cấp phát địa chỉ IP cho STB của thuê bao.

 Cấu hình tùy chọn DHCP Relay Option 82.

 Cấu hình danh sách giới hạn các kênh chương trình cho Broadcast.  Nên cấu hình hỗ trợ các chức năng sau đây:

 Chỉ báo số bản tin IGMP tối đa trên 1 giây (max-msg-rate) có thể được nhận.

 Chỉ báo tổng số các loại bản tin (total-msg) nhận được từ phía các thuê bao, gồm các bản tin IGMP và các bản tin không hợp lê.

 Chỉ báo tổng số các bản tin IGMP (total-igmp-msg) nhận được từ phía các thuê bao, gồm các bản tin IGMP Join và IGMP Leave thành công và không thành công.

 Chỉ báo tổng số bản tin IGMP Join (total-req) nhận được từ phía các thuê bao, gồm các bản tin IGMP Join thành công và không thành công.

 Chỉ báo tổng số bản tin IGMP Join thành công (success-req) nhận được từ phía các thuê bao, gồm các bản tin IGMP Join mới và các bản tin IGMP Join lại.

 Chỉ báo tổng số bản tin IGMP Join mới không thành công (unsuccess-req) nhận được từ phía các thuê bao.

 Chỉ báo tổng số bản tin IGMP Leave (total-leave-req) nhận được từ phía các thuê bao.

 Chỉ báo số lượng các kết nối bởi các bản tin IGMP Join mới không thành công (num-connects) nhận được từ phía thuê bao.

 Chỉ báo số phiên bị ngắt kết nối tới thuê bao (num-disconnects).

 Chỉ báo số lượng các nhóm Multicast đã được kết nối (curr-root-conn).

 Chỉ báo số lượng các nhóm Multicast có được khai báo trong bảng nguồn Multicast đã được kết nối (con-cfgd).

 Chỉ báo số lượng các nhóm Multicast không được khai báo trong bảng nguồn Multicast đã được kết nối (con-un-cfgd).

 Cần cấu hình kiểm tra xác thực trong các bản tin IGMP.

 Phải cấu hình băng thông đường lên tối đa cho từng thuê bao. Nếu băng thông được sử dụng bởi cổng đường lên cho từng thuê bao vượt quá ngưỡng cho phép, chương trình được thuê bao đã chọn sẽ bị ngưng (treo) tạm thời. Khi băng thông đường lên đã ngang bằng với ngưỡng cho phép, chương trình bị tạm ngưng (treo) sẽ được xem trở lại.

 Phải cấu hình số chương trình tối đa thuê bao có thể được xem tại một thời điểm.

 Cấu hình chức năng ghi Log và khóa cổng thuê bao khi phát hiện thuê bao muốn xem số kênh chương trình vượt quá gới hạn cho phép.

 Tham gia trong VLAN quản lý các thiết bị hạn tầng mạng: IP DSLAM, Access Switch, MRouter.

 Đặt mật khẩu truy cập, kiểm soát truy cập người dùng thông qua: xác thực, cấp quyền.

 Giới hạn số lần người dùng đăng nhập không thành công. Tất cả các tác vụ quản trị phải thông qua các kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3.

4.2.2.3. Đối với an ninh cho các Router thực thi chức năng Multicast (MRouter) Cấu hình danh sách giới hạn các kênh chương trình cho Broadcast.  Cấu hình danh sách giới hạn các kênh chương trình cho Broadcast.

 Cấu hình ánh xạ tĩnh PIM-SSM (Static PIM-SSM Mapping).

 Cấu hình chức năng lọc bản tin PIM-SSM của các láng giềng lân cận (PIM Neighbor Filtering) để ngăn chặn các Router không thuộc miền Multicast tham gia chuyển tiếp bản tin giao thức định tuyến PIM.

 Bảo vệ tài nguyên CPU khi có nhiều phiên Multicast yêu cầu tiến trình đăng ký PIM tại cùng một thời điểm (PIM Register Rate Limiting).

 Cấu hình kiểm tra xác thực trong các bản tin thuộc giao thức định tuyến PIM- SSM bằng mã hoá xác thực thông báo MD5.

 Đặt mật khẩu truy cập, kiểm soát truy cập người dùng thông qua: xác thực, cấp quyền.

 Giới hạn số lần người dùng đăng nhập không thành công. Tất cả các tác vụ quản trị phải thông qua các kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3.

 Cơ sở thông tin quản lý (Management Information Base) dành cho quản lý mạng Multicast (Multicast MIBs) cần được dùng với công cụ SNMP (Simple Network Management Protocol) trong việc gửi các bản tin thông báo lỗi hệ

thống Multicast (Multicast Traps) như thông báo PIM không đúng hoặc những thay đổi về kênh Multicast tới người quản trị hệ thống.

 Các cơ chế ghi Multicast Syslog và giám sát lưu lượng mạng (NetFlow).  Lưu ý khi sử dụng một số không gian địa chỉ dành riêng cho Multicast. 4.2.2.4. Đối với an ninh cho DHCP Server

 Phải cấu hình chức năng DCHP Snooping để ánh xạ việc cấp phát địa chỉ IP cho STB dựa vào địa chỉ MAC của STB.

 Phải cấu hình chức năng giới hạn nhận bản tin DHCP Request hợp lệ đối với từng thuê bao.

 Nên sử dụng ánh xạ tĩnh khi cấp địa chỉ IP cho STB của thuê bao theo cơ chế gán tĩnh địa chỉ IP theo địa chỉ MAC và Serial Number của STB.

 Tham gia trong VLAN quản lý các máy chủ: EPG, VoD, DHCP, máy chủ quản lý tài khoản.

 Cần có một Card mạng chuyên biệt để quản trị theo VLAN và các Card mạng khác tùy thuộc vào nhu cầu cần thiết cho truyền thông. VLAN cần được cấu hình các ACL lọc địa MAC và địa chỉ IP tương ứng với các tác vụ quản trị và truyền thông.

 Đặt mật khẩu truy cập, kiểm soát truy cập người dùng thông qua: xác thực, cấp quyền.

 Giới hạn số lần người dùng đăng nhập không thành công. Tất cả các tác vụ quản trị phải thông qua các kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3.  Phải được cập nhật các bản vá lỗi, các chương trình diệt virus.

KẾT LUẬN

IPTV được các chuyên gia nhìn nhận là một công nghệ có khả năng mang tới lợi nhuận rất lớn cho các nhà cung cấp viễn thông trong một tương lai gần. IPTV có thể thay đổi phương thức xem các chương trình truyền hình và là một cuộc cách mạng trong việc tạo ra nội dung. Với sự phát triển của công nghệ truy cập băng rộng và các thiết bị sản xuất chương trình truyền hình, các chuyên gia tin tưởng rằng IPTV thực sự có khả năng cạnh tranh với các chương trình truyền hình vệ tinh, truyền hình cáp hay các loại truyền hình thông thường.

Tuy nhiên xem xét tất cả các thành phần cần thiết cho hoạt động của hệ thống dịch vụ IPTV có thể thấy rất nhiều các điểm yếu cũng như nguy cơ bảo mật trong quá trình triển khai xây dựng hệ thống IPTV.

Mặc dù IPTV vẫn trong giai đoạn bắt đầu, nhưng đã có sự phát triển của một số nhà cung cấp cũng như số lượng thuê bao. Hiện tại IPTV là một nhân tố quan trọng trong thị trường truyền hình thu phí, và trong tương lai các nhà cung cấp IPTV sẽ cho ra các dịch vụ mới và sẽ thu hút được rất nhiều khách hàng.

Với nội dung đã được trình bày ở trên, luận văn đã đưa ra được cái nhìn tổng quát về công nghệ IPTV, một số mô hình triển khai IPTV hiện nay. Luận văn đã đưa ra và đánh giá mô hình triển khai IPTV của VNPT và giải pháp nhằm nâng cao chất lượng dịch vụ. Các tài liệu sử dụng trong khóa luận này chủ yếu được lấy từ Internet, VNPT Thanh Hóa và đặc biệt là sự hướng dẫn của thầy giáo PGS. TS Đỗ Xuân Thụ. Đề tài

luận văn này không thế tránh khỏi còn nhiều thiếu sót, do đó em rất mong nhận được ý kiến đóng góp của các thầy cô và các học viên để luận văn này được hoàn thiện hơn. Xin chân thành cảm ơn !

Kiến nghị và hướng nghiên cứu tiếp theo

Kiến nghị:

 Bảo mật đối với một hệ thống cung cấp dịch vụ viễn thông có ý nghĩa rất quan trọng đặc biệt là trong môi trường Multiscast như dịch vụ IPTV, một cuộc tấn công có thể gây ảnh hưởng đến nhiều thuê bao, tuy nhiên việc áp dụng các chính sách và cấu hình trên các giao diện mạng để đảm bảo về Security sẽ ảnh hưởng tỷ lệ yếu tố chất lượng dịch vụ. Do đó nhà cung cấp hạ tầng mạng phải xem xét đến năng lực trước mắt của các thiết bị về mặt cấu hình Security như ở chương 3 đã nêu đồng thời có sự quy hoạch, phân luồng lưu lượng hợp lý đối với các dịch vụ VoD, Broadcast từ Video server đến DSLAM / Access Switch.

Hướng nghiên cứu tiếp theo:

 Nghiên cứu phân tích các nguy cơ an ninh đối với hệ thống điều khiển dịch vụ, đầu cuối IPTV và đưa ra các giải pháp.

Danh mục tài liệu tham khảo

1. David Ramirez, IPTV security – Protecting High Value Digital Contents, Alcatel – Lucent,2008.

2. Gerard O’Driscoll,Next Generation IPTV Services and Technologies, John Wiley & Sons, 2007.

3. Fenner, W. (1997), ‘Internet Group Management Protocol, Version 2’, IETF. 4. IETF (2002), ‘Internet Group Management Protocol, Version 3’.

5. IETF (2002), ‘RTP:a Transport Protocol for Real-Time Applications’. 6. IETF (2003), ‘Multicast Source Discovery Protocol (MSDP)’.

7. Website: http://www.ietf.org/

8. Website:http://www.rsa.com/

Một phần của tài liệu IPTV và bảo mật trong IPTV (Trang 112)