6.3.1. DSLAM
DSLAM thực tế là thành phần đầu tiên có ý nghĩa quan trọng về bảo mật trong hệ thống IPTV. STB được triển khai bởi các nhà cung cấp dịch vụ IPTV, nhưng lại nằm ngoài phạm vi bảo vệ được bởi nhà cung cấp. Gateway khu vực điểm truy cập dịch vụ cũng nằm ngoài phạm vi quản lý của nhà cung cấp dịch vụ IPTV.
Đặc biệt, khi nói về mạng dịch vụ sử dụng truy cập băng rộng, có một nhu cầu chính về IP DSLAM như là một thiết bị đầu tiên cần có độ tin cậy trong kiến trúc hệ thống. DSLAM là nơi các thuê bao kết nối vật lý (cáp đồng hay cáp quang) trực tiếp đến mạng dịch vụ. Các điểm truy cập là nơi duy nhất có thể kết nối đến giao thức chứng thực người dùng hợp lệ cho sử dụng về sau.
Quá trình chứng thực chủ yếu dựa trên giao thức DHCP Option 82. DHCP option 82 thực hiện thu nhận các yêu cầu DHCP từ thuê bao và đưa phản hồi các thông tin về xác định đường truyền vật lý vào trường option 82 trong giao thức DHCP. Thông tin này chủ yếu bao gồm: node ID, shelf ID, slot ID và cuối cùng là line ID. Quá trình chứng thực được thực hiện sau hơn trong hệ thống mạng bởi DHCP Server, server
một địa chỉ IP hợp lệ cho thuê bao để truy cập dịch vụ. Hơn nữa nếu thuê bao điều khiển STB và gateway, các thông tin sẽ luôn được đưa thêm vào bởi một thành phần mới ngoài tầm kiểm suát của thuê bao.
Tiếp theo cơ chế chứng thực ở trên là các cơ chế bảo mật được sử dụng trong DSLAM. Trong lớp 2, có các cơ chế như chống giả mạo địa chỉ MAC, và ở Lớp 3 có cơ chế chống giả mạo IP.
Chức năng chống giả mạo địa chỉ MAC được sử dụng để bảo vệ mạng khỏi các kẻ tấn công giả mạo địa chỉ MAC của đầu cuối trung với địa chỉ MAC của một thuê bao trong mạng. Chức năng này gắn mỗi địa chỉ MAC với một đường truyền vật lý tới thuê bao, một khi một máy mới truy cập đường truyền vật lý, quá trình chứng thực được thực hiện.
Khi khả năng bảo mật trong lớp 2 được đảm bảo, các cơ chế bảo vệ cũng được tiếp tục thực hiện tại lớp 3. Trong hệ thống mạng truy cập băng rộng DHCP, các người dùng giả mạo có thể dùng các PC và tự cấu hình địa chỉ IP để truy cập đến mạng dịch vụ và có thể không phải trả phí dịch vụ. Với chức năng chống giả mạo địa chỉ IP, các điểm truy cập mạng sẽ khóa tất cả các dải thông từ thuê bao trước khi có yêu cầu DHCP và gói tin trả lời về sự hợp lệ của người truy cập, điều này đảm bảo các người dùng không được chứng thực bởi DHCP sẽ không thể truy cập được dịch vụ.
Một chức năng khác được sử dụng trong hệ thống DSLAM là khóa các giao dịch từ user đến user. Chức năng này cung cấp sự tách biệt giữa các thuê bao trong hệ thống mạng đồng thời giảm thiểu các nguy cơ tấn công mức thấp vào các thiết bị đầu cuối thuê bao. Một chức năng khác là sử dụng cơ chế địa chỉ MAC ảo (là địa chỉ được thông dịch bởi DSLAM) và sử dụng các hệ thống lọc – dựa trên các chính sách với các quy tắc lọc từ nhà cung cấp dịch vụ, nhằm điều khiển luồng dữ liệu đến và đi từ các thuê bao DSL.
Với khả năng thêm các tính năng trên vào DSLAM, có thể đảm bảo bất kỳ các kết nối đến dịch vụ nào được chấp nhận đều được thực hiện từ các đường truyền vật lý hợp lệ và không có cách nào để truyền tin trực tiếp giữa các thuê bao. Worms, viruses và
các hacker sẽ chỉ có thể truy cập từ các điểm đầu cuối hợp lệ và các đầu cuối này sẽ được bảo vệ.
DSLAM được triển khai trong một môi trường mạng vật lý được bảo vệ ở đó các cấu hình logic để xâm nhập hệ thống có thể bị phát hiện và ngăn chặn. Đây là bức tường chính của nhà cung cấp dịch vụ IPTV để ngăn chặn các truy cập trái phép.
Có 3 chức năng chính trong DSLAM:
1. IP concentration. Chức năng này tập hợp các dữ liệu nhận được bởi các chức năng khác và sự chuẩn bị dữ liệu cho truyền dẫn.
2. IP services. Chức năng này cung cấp các chức năng mở rộng về IP và bao gồm các khu vực chẳng hạn như routing và bridging. Các chức năng lớp 2 và lớp 3 được thực hiện bởi chức năng này. Hầu hết các cơ chế bảo mật trong hệ thống DSLAM được thực hiện bởi chức năng này.
3. DSL line service. Chức năng này cung cấp các chức năng xử lý về đường truyền thuê bao vật lý và quản lý các thiết bị đầu cuối thuê bao.
Hầu hết các đặc điểm bảo mật chính trong hệ thống DSLAM nằm trong chức năng IP Service. Các đặc tính chính cần xem xét như sau:
6.3.1.1 Access và Session control
DSLAM hỗ trợ một tập các cơ chế chứng thực thuê bao khác nhau cũng như khả năng kiểm tra phiên giao dịch – một chức năng rất quan trọng trong xác thực cho một STB trong hệ thống IPTV. Sử dụng các thông tin định danh của thuê bao trên STB, các thuê bao được chứng thực thông qua hệ thống cơ sở dữ liệu người dùng được lưu trên DSLAM hay trên một RADIUS server bên ngoài. DSLAM có thể trao đổi các thông tin cơ sở dữ liệu người dùng vớiư RADIUS server hoặc với Middleware server. Thuê bao và các dữ liệu về đường truyền vật lý có thể được xem xét trong quá trình chứng thực. Chỉ những cổng vật lý đã được đăng kỹ được quyền truy cập các thông tin trên mạng dịch vụ cũng như truy cập đến hệ thống Head-end. Cơ chế này sẽ giảm thiểu phần lớn các truy cập trái phép đến hệ htống mạng. Có mối liên hệ một một
giữa các cổng vật lý và các thuê bao. Bất kỳ kẻ tấn công nào cũng phải được chứng thực qua nhờ sử dụng các cổng vật lý hợp lệ.
DSLAM có thể kiểm tra tính hợp lệ của các người dùng truy cập trên cơ sở địa chỉ MAC, cũng như sử các cơ chế chứng thực phổ thông khác chẳng hạn như: giao thức bắt tay, chứng thực địa chỉ IP và giao thức chứng thực PPP. Khi mỗi cổng được liên kết với một địa chỉ MAC của thuê bao, do đó không thể giả mạo thuê bao từ các đường truyền khác nhau. Trong môi trường IP sẽ dễ dàng việc giả mạo các gói tin hơn hay dễ dàng thực hiện tấn công một phiên giao dịch IP. Tuy nhiên quá trình xác thực cung cấp bởi DSLAM sẽ loại trừ kiểu tấn công này.
Hệ thống IPTV bao gồm hàng nghìn các thuê bao. Thông thường có từ 5,000 đến 10,000 thuê bao đối mỗi DSLAM, và cách thực tế duy nhất khả thi để quản lý địa chỉ IP là sử dụng giao thức DHCP. Khi DHCP được sử dụng, DSLAM có thể sử dụng trường thông tin DHCP Option 82 để đưa vào các thông tin dữ liệu có liên quan đến đường truyền vật lý. Quá trình chứng thực với một STB chủ yếu thực hiện thông qua giao thức DHCP option 82. DHCP option 82 nghe ngóng các yêu cầu DHCP từ các thuê bao và chèn các thông tin xác định đường truyền vật lý trong trường option 82 của gói tin DHCP. Thông tin này thông thường bao gồm: access node ID, shelf ID, slot ID và cuối cùng là line ID. Trường thông tin này được sử dụng để xác định thuê bao và gán (hoặc từ chối gán) địa chỉ IP hợp lệ cho thuê bao để truy cập dịch vụ. Nếu một thuê bao cố gắng làm sai quá trình chứng thực của DSLAM, hệ thống sẽ dễ dàng nhận ra các tham số đã được chỉnh sửa bởi thởi thuê bao này. DHCP option 82 là một cơ chế rất mạnh để đảm bảo điều khiển truy cập đến hệ thống mạng dịch vụ. Các địa chỉ MAC đã được chứng thực có thể lưu lại với thông tin về đường thuê bao vật lý, cho phép mỗi thuê bao có một số lượng nhỏ các thiết bị mạng đã được tiền chứng thực để truy cập mạng. Mỗi khi một địa chỉ mạng mới cố gắng truy cập mạng, hệ thống sẽ hỏi các thông tin cho chứng thực (user name, password) trước khi thêm địa chỉ MAC đó vào trong hệ thống cơ sở dữ liệu. Khi được triển khai đúng đắn, DHCP option 82 sẽ loại trừ hầu hết các cơ hội để tấn công giả mạo IP cũng như địa chỉ IP.
DSLAM cũng có thể cung cấp các bộ lọc với các quy tắc lọc được cung cấp bới gateway. Đặc biệt DSLAM có thể quản lý loại yêu cầu được gửi từ các STB thông qua các mạng VLAN khác nhau. Ví dụ DSLAM có thể được cấu hình để chỉ cho phép các yêu cầu dịch vụ HTTP, HTTPS, DHCP, DNS và RTSP từ STB. Bằng cách loại bỏ tất cả các yêu cầu đến các cổng không cần thiết, DSLAM có thể bảo vệ phần còn lại của hệ thống khỏi các tấn công DOS.
Bảng 6.10 sau cho thấy tác dụng của phương thức bảo mật với ACL nhằm đảm bảo tính bảo mật, thống nhất và khả năng cung cấp dịch vụ liên tục:
Bảng 6.10 - Cách bảo mật hệ thống ACL đảm bảo tính bảo mật, thống nhất và tính liên tục của dịch vụ Bảo mật Thống nhất Tính liên tục dịch vụ Điều khiển truy cập và phiên truyền dẫn DHCP option 82 Giảm thiểu nguy cơ làm giả địa chỉ MAC, địa chỉ IP.
Kẻ tấn công không thể giả mạo các địa chỉ hợp lệ để tấn công Head-end và chỉnh sử các thông tin.
Kẻ tấn công không thể giả mạo các địa chỉ hợp lệ để tấn công từ chối dịch vụ DOS.
6.3.1.2. Định tuyến - routing
Nhà cung cấp dịch vụ có thể sử dụng định tuyến lớp 3 tĩnh, động hoặc theo các chính sách bởi nhà cung cấp dịch vụ. Định tuyến dựa trên chính sách được thực hiện bằng cách sử dụng một số miền địch tuyến ảo Virtual routing domains (VRDs). Mỗi VRD được sử dụng để cung cấp quyết định định tuyến cho các gói tin thuê bao và dựa trên các thành phần định tuyến VRD để xác định thuê bao thuộc về cây định tuyến nào. Với phương thức định tuyến cơ bản, các gói tin có thể được phân đoạn chỉ trong các miền hợp lệ, đảm bảo rằng chỉ các thành phần mạng đã được chứng thực được phép
gói tin trong mạng IPTV. Điều này cũng bao gồm trường hợp kẻ tấn công cố gắng truy cập mạng dịch vụ bằng cách tấn công một đường truyền vật lý.
Bảng 6.11 sau cho thấy tác dụng của phương thức định tuyến nhằm đảm bảo tính bảo mật, thống nhất và khả năng cung cấp dịch vụ liên tục: (adsbygoogle = window.adsbygoogle || []).push({});
Bảng 6.11 - Cách bảo mật hệ thống định tuyến đảm bảo tính bảo mật, thống nhất và tính liên tục của dịch vụ
Bảo mật Thống nhất Tính liên tục dịch vụ
Định tuyến Tạo ra các miền VRDs giảm thiểu các nguy cơ truy cập trái phép đến các thông tin.
Trong VRDs, các thông tin được bảo vệ khỏi các quá trình chỉnh sửa thay đổi.
Mỗi VRD được gán một lức dải thông nhất định và hoạt động với các tham số QoS.
6.3.1.3. Tách biệt các thuê bao
Với các nguy cơ xảy ra từ các viruses và worms, cùng với các nguy cơ hiển nhiên của việc kẻ tấn công sử dụng một STB để tấn công các STB lân cận, cần phải tách biệt các người dùng trong mạng dịch vụ cung cấp. Chức năng tách biệt các người dùng đảm bảo rằng các người dùng không thể truy cập các STB của người dùng khác, giảm các ảnh hưởng của quá trình lây nhiễm hàng loạt các đầu cuối trong mạng bởi Virus, worm. Nếu kẻ tấn công có thể lấy được quyền điều khiển của một STB, khi đó kẻ tấn công này cũng không thể kết nối đến các STB khác trong cùng mạng để thực hiện tấn công được. Do các gói tin truyền giữa các STb là không hợp lệ và bị loại bỏ bởi DSLAM, do đó cũng không ảnh hưởng đến truyền dẫn dịch vụ trong mạng. Bảng 6.12 sau cho thấy tác dụng của phương thức tách biệt các thuê bao nhằm đảm bảo tính bảo mật, thống nhất và khả năng cung cấp dịch vụ liên tục:
thống nhất và tính liên tục của dịch vụ Bảo mật Thống nhất Tính liên tục dịch vụ Tách biệt người sử dụng STB các các thiết bị khác được an toàn cách biệt với các truy cập từ các thuê bao khác Kẻ tấn công không thể thực hiện truy cập các STB từ một STB bất kỳ để thực hiện thao túng STB ở xa. Các kẻ tấn công không thể giả mạo để thực hiện tấn công từ chối dịch vụ DOS trên các thiết bị và đầu cuối thuê bao khác.
6.3.1.4. Quản lý chất lượng dịch vụ
DSLAM có thể phân loại các dải thông để đảm bảo QoS của dịch vụ đạt được trên các đường truyền. Quy tắc trên DSLAM đảm bảo các dịch vụ thiết yếu quan trọng luôn được cung cấp. Chức năng này cung cấp sự bảo vệ thêm cho hệ thống khỏi các tấn công DOS từ các thuê bao cố gắng dành hết các dải thông dịch vụ từ head-end. Các phiên truyền dẫn được điều khiển đảm bảo luôn có một lượng dải thông tối thiểu cho mỗi dịch vụ quan trọng thiết yếu. Trong khi thiết kế triển khai DSLAM và các yêu cầu về dải thông dịch vụ, người thiết kế cần xác định được mức dải thông lớn nhất mỗi STB có thể yêu cầu. Mọi cố gắng sử dụng nhiều hơn giải thông được phép sẽ bị loại trừ do chức năng đảm bảo QoS tỏng các hệ thống DSLAM.
Trong hệ thống IPTV, cần thiết phải đảm bảo các người dùng không thể thực hiện tấn công Flood bằng cách gửi đi rất nhiều các yêu cầu đến head-end. Một giải thông tối thiểu cần được dành ra để đảm bảo tất cả các người dùng có thể kết nối đến Head-end tại bất kỳ thời điểm nào để truy cập dịch vụ. Hơn nữa các nội dung quảng bá gửi đi bởi head-end cần có một mức giải thông tối thiểu đến thỏa mãn cấp chất lượng của người xem.
Bảng 6.13 sau cho thấy tác dụng của phương thức QOS nhằm đảm bảo tính liên tục dịch vụ:
Bảng 6.13 - Chức năng QoS đảm bảo tính bảo mật, thống nhất và tính liên tục của dịch vụ Bảo mật Thống nhất Tính liên tục dịch vụ Quản lý chất lượng dịch vụ QoS -- -- Kẻ tấn công không thể sử dụng toàn bộ dải thông nhằm tấn công từ chối dịch vụ DOS.
6.3.1.5. Mạng ảo và mạng kết nối thuê bao ảo
Khi mạng ảo virtual private networks (VPNs và VLANs) được sử dụng để truyền các thông tin giá trị sử dụng nền tảng mạng công cộng, các dữ liệu được bảo vệ khỏi các truy cập trái phép.
Trong mạng VPN, một nhóm các thành phần mạng đã được chứng thực được phép truy cập đến nội dung. Các mạng ảo có thể được sử dụng để tách biệt các giải thông IPTV khỏi tất cả các loại hình dịch vụ khác thông qua DSLAM. Với chức năng QoS và DSLAM, các dải thông có thể được điều khiển đảm bảo loại trừ các tấn công từ chối dịch vụ.
VLAN hoặc VPNs có thể được sử dụng để chia tách các giải thông truyền dẫn giữa các dịch vụ khác nhau như: IPTV, VoIP, Internet access, control, … Trong mỗi mạch vòng thuê bao, các quy tắc và các cơ chế bảo mật khác nhau có thể được triển khai, các dải thông nhất định có thể bị khóa và giảm thiểu các nhiễu trong mạng. Ví dụ trong VLAN dùng trong IPTV, các cơ chế bảo mật có thể được triển khai để đảm bảo chỉ các yêu cầu giao thức HTTPS được truyền từ STB đến Head-end.
Tùy thuộc vào loại thiết bị, chức năng này có thể triển khai sử dụng các hệ thống lọc lớp 2 hoặc lớp 3 – chức năng này liên kết đến các yêu cầu về bảo mật cũng như các khả năng bảo mật của thiết bị.