3.2.1 Mô hình cung cấp dịch vụ MyTV
Dịch vụ Truyền hình tương tác MyTV là dịch vụ truyền hình qua giao thức Internet của Tập đoàn Bưu chính Viễn thông Việt Nam-VNPT cung cấp tới khách hàng dựa trên công nghệ IPTV (Internet Protocol Television). Tín hiệu truyền hình được chuyển hóa thành tín hiệu IP, truyền qua hạ tầng mạng băng thông rộng của VNPT đến thiết bị đầu cuối STB (Set – top – box : bộ giải mã tín hiệu truyền hình) và tới TV của khách hàng.
Giải pháp và thiết bị cung cấp dịch vụ IPTV của VNPT do hãng ZTE cung cấp. Cấu hình đấu nối hệ thống cung cấp dịch vụ IPTV của VASC như trong hình dưới đây.
Hình 3.1. Cấu hình đấu nối hệ thống cung cấp dịch vụ IPTV của VASC [1] Trong cấu hình trên, VASC là chủ cung cấp dịch vụ với trung tâm nội dung và quản lý IPTV tại Hà Nội. Công ty VTN cung cấp hạ tầng mạng core truyền tải dịch vụ IPTV đến các VNPT tỉnh/thành phố. Các VNPT tỉnh/thành phố .cung cấp hạ tầng mạng truy nhập truyền tải dịch vụ IPTV đến từng khách hàng. Để giảm tải, tại mỗi tỉnh/thành phố đêu đặt các VoD Server.
Lưu lượng multicast cho dịch vụ broadcast TV:
Để tiết kiệm tài nguyên mạng, một số dịch vụ của hệ thống IPTV như LiveTV và NVOD sử dụng phương thức truyền tải lưu lượng multicast. Để các lưu lượng multicast có thể truyền tải trong hệ thống mạng một cách hiệu quả, các tính năng multicast cần được hỗ trợ tại các thiết bị mạng. Các giao thức thực hiện tại các thiết bị mạng như Hìnhdưới đây
Hình 3.2. Cấu hình các giao thức thiết bị mạng cho dịch vụ MyTV [1] Trong giải pháp cung cấp dịch vụ IPTV của VASC, dịch vụ IPTV cung cấp cho khách hàng dựa trên mạng ADSL hoặc mạng FTTx.
Mô hình cung cấp dịch vụ IPTV cho khách hàng dựa trên mạng ADSL Mạng khách hàng sử dụng mô hình ánh xạ dịch vụ multi-PVC.
Dịch vụ IPTV được cung cấp trên các kết nối ADSL2+. Mỗi kết nối ADSL2+ đến thuê bao gồm có 2 PVC khác nhau nhằm cung cấp 2 loại dịch vụ:
PVC 1: cung cấp dịch vụ truy nhập Internet tốc độ cao (HSI).
PVC 2: cung cấp dịch vụ video (bao gồm cả VoD, LiveTV, VAS ...). Khách hàng sử dụng các thiết bị đầu cuối khác nhau cho từng loại dịch vụ: Video: STB (Set-Top - Box).và Internet: PC. Đối với dịch vụ IPTV, địa chỉ IP được cấp phát động bằng DHCP. Tại các PE được cấu hình DHCP relay để chuyển tiếp các gói tin DHCP đến DHCP server và thực hiện định tuyến các gói tin đến đích mong muốn.
Kết nối ADSL2+ được kết cuối bởi thiết bị modem. Các thiết bị này chuyển các lưu lượng trên các PVC đến các giao diện đầu ra tương ứng kết nối với các thiết bị đầu cuối dịch vụ.
Sơ đồ cung cấp địa chỉ động DHCP cho STB như Hình dưới đây.
Hình 3.3. Sơ đồ cung cấp địa chỉ động DHCP cho STB [1]
Đối với dịch vụ truy nhập Internet tốc độ cao (HSI), thuê bao thực hiện quay số PPPoE đến BRAS. BRAS cấp địa chỉ IP cho từng kết nối PPPoE, thực hiện NAT (nếu cần) và chuyển tiếp các lưu lượng ra Internet.
Đối với các dịch vụ IPTV, địa chỉ IP được cấp phát động bằng DHCP. Tại BRAS hoặc PE cấu hình DHCP relay chuyển tiếp các gói tin DHCP đến DHCP server và thực hiện định tuyến các gói tin của các dịch vụ này đến đích mong muốn.
Hình 3.4. Sơ đồ cung cấp dịch vụ IPTV dựa trên FTTx [1]
Mô hình cung cấp dịch vụ IPTV cho khách hàng dựa trên mạng FTTx tương tự như trường hợp dựa trên mạng ADSL với việc thay thế thiết bị IP DSLAM/MSAN bởi OLT.
Phía mạng truy nhập tại các tỉnh/thành phố được triển khai theo mô hình S- VLAN (Vlan per service). Mô hình S-VLAN trong mạng truy nhập như Hìndưới đây bao gồm:
HSI Vlan : Vlan dành cho internet
VOD vlan: Vlan dành cho dịch vụ VOD – chạy unicast LiveTV vlan: Vlan dành cho dịch vụ liveTV – chạy multicast
Hình 3.5. Mô hình S-VLAN trong mạng truy nhập [1]
Cụ thể đối với hệ thống mạng hiện tại, mô hình S-VLAN hoạt động như sau: Tại các IP-DSLAM, mỗi cổng ADSL2+ gồm 3 PVC, mỗi PVC dành cho một dịch vụ (Internet, VoIP, video).
Tại các giao diện uplink, các PVC được ánh xạ vào các S-VLAN tương ứng với từng loại dịch vụ sử dụng phương thức đóng gói 802.1q
Tại các switch lớp 2, access switch, cấu hình các giao diện trunk mang lưu lượng của các S-VLAN này.
BRAS/PE có nhiệm vụ kết cuối các S-VLAN và thực hiện định tuyến các gói tin đến đích mong muốn.
Các biện pháp đảm bảo QoS được áp dụng trên từng S-VLAN thông qua cấu hình 802.1p đối với các S-VLAN tương ứng. Tại BRAS/PE, nơi kết cuối các S- VLAN, thực hiện QoS lớp 3 bằng DSCP (Diffrentiated Service Code Point). Như vậy tại BRAS/PE cần cấu hình chuyển đổi QoS từ 802.1p của lớp 2 sang DSCP của lớp 3.
3.2.2 Các yêu cầu bảo mật trong dịch vụ MyTV
3.3. Các giải pháp bảo mật trong MyTV
3.3.1. Đường dây thuê bao [3]
Sử dụng cáp có độ bền tốt, trang bị cáp dự phòng (Redundance).
Đi ngầm cáp, có hệ thống bể, cống, ống cáp tốt tránh xâm phạm trái phép
3.3.2. IP DSLAM / Access Switch [6]
Có khả năng phát hiện và cách ly khi xảy ra hiện tượng quá áp, quá dòng. Nếu không có khả năng trên, khi đó phải lắp thêm mạch phụ trợ
Không kích hoạt giao thức CDP trên Access Switch
Chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy (Dynamic ARP Inspection)
Không kích hoạt chức năng Auto Trunking giao diện phía thuê bao Cấu hình Vlan Trunking Protocol (VTP) chế độ Transparent
Tạo riêng một Vlan với các cổng Trunk tách biệt với thuê bao
Phải cấu hình Port Security đối với từng địa chỉ MAC nhận được khi thuê bao đăng ký sử dụng dịch vụ IPTV. Nếu không có khả năng cấu hình Port Security, phải cấu hình danh sách giới hạn những địa chỉ MAC nguồn được chấp nhận.
Phải nhận biết được bản tin yêu cầu DHCP hợp lệ của thuê bao cũng như bản tin trả lời DHCP tin cậy từ DHCP Server gửi tới trong việc cấp phát địa chỉ IP cho STB của thuê bao.
Cấu hình tùy chọn DHCP Relay Option 82
Cấu hình danh sách giới hạn các kênh chương trình cho Broadcast.
Nên cấu hình hỗ trợ các chức năng sau đây:
o Chỉ báo số bản tin IGMP tối đa trên 1 giây (max-msg-rate) có thể được nhận
o Chỉ báo tổng số các loại bản tin (total-msg) nhận được từ phía các thuê bao, gồm các bản tin IGMP và các bản tin không hợp lệ
o Chỉ báo tổng số các bản tin IGMP (total-igmp-msg) nhận được từ phía các thuê bao, gồm các bản tin IGMP Join và IGMP Leave thành công và không thành công.
o Chỉ báo tổng số bản tin IGMP Join (total-req) nhận được từ phía các thuê bao, gồm các bản tin IGMP Join thành công và không thành công.
o Chỉ báo tổng số bản tin IGMP Join thành công (success-req) nhận được từ phía các thuê bao, gồm các bản tin IGMP Join mới và các bản tin IGMP Join lại
o Chỉ báo tổng số bản tin IGMP Join mới không thành công (unsuccess- req) nhận được từ phía các thuê bao.
o Chỉ báo tổng số bản tin IGMP Leave (total-leave-req) nhận được từ phía các thuê bao
o Chỉ báo số lượng các kết nối bởi các bản tin IGMP Join mới không thành công (num-connects) nhận được từ phía thuê bao
o Chỉ báo số phiên bị ngắt kết nối tới thuê bao (num-disconnects
o Chỉ báo số lượng các nhóm Multicast đã được kết nối (curr-root-conn) o Chỉ báo số lượng các nhóm Multicast có được khai báo trong bảng nguồn
Multicast đã được kết nối (con-cfgd)
o Chỉ báo số lượng các nhóm Multicast không được khai báo trong bảng nguồn Multicast đã được kết nối (con-un-cfgd)
Cần cấu hình kiểm tra xác thực trong các bản tin IGMP
Phải cấu hình băng thông đường lên tối đa cho từng thuê bao. Nếu băng thông được sử dụng bởi cổng đường lên cho từng thuê bao vượt quá ngưỡng cho phép, chương trình được thuê bao đã chọn sẽ bị ngưng (treo) tạm thời. Khi băng thông
đường lên đã ngang bằng với ngưỡng cho phép, chương trình bị tạm ngưng (treo) sẽ được xem trở lại
Phải cấu hình số chương trình tối đa thuê bao có thể xem tại một thời điểm
Cấu hình chức năng ghi Log và khóa cổng thuê bao khi phát hiện thuê bao muốn xem số kênh chương trình vượt quá gới hạn cho phép.
Tham gia trong VLAN quản lý các thiết bị hạ tầng mạng: IP DSLAM, Access Switch, UPE, PE-AGG.
Đặt mật khẩu truy cập, kiểm soát truy cập qua: xác thực, cấp quyền.
Giới hạn số lần người dùng đăng nhập không thành công. Tất cả các tác vụ quản trị phải thông qua các kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3.
3.3.3. Router thực thi chức năng Multicast (UPE, PE-AGG)[8]
UPE Phải cấu hình danh sách giới hạn các địa chỉ MAC của STB
Cấu hình danh sách giới hạn các kênh chương trình cho Broadcast.
Cấu hình ánh xạ tĩnh PIM-SSM (Static PIM-SSM Mapping)
Cấu hình chức năng lọc bản tin PIM-SSM của các láng giềng lân cận (PIM Neighbor Filtering) để ngăn chặn các Router không thuộc miền Multicast tham gia chuyển tiếp bản tin giao thức định tuyến PIM
Bảo vệ tài nguyên CPU khi có nhiều phiên Multicast yêu cầu tiến trình đăng ký PIM tại cùng một thời điểm (PIM Register Rate Limiting)
Cấu hình kiểm tra xác thực trong các bản tin thuộc giao thức định tuyến PIM-SSM bằng mã hoá xác thực thông báo MD5.
Đặt mật khẩu truy cập, kiểm soát truy cập qua: xác thực, cấp quyền.
Giới hạn số lần người dùng đăng nhập không thành công. Tất cả các tác vụ quản trị phải thông qua các kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3.
Cơ sở thông tin quản lý (Management Information Base) dành cho quản lý mạng Multicast (Multicast MIBs) cần được dùng với công cụ SNMP (Simple Network Management Protocol) trong việc gửi các bản tin thông báo lỗi hệ thống Multicast (Multicast Traps) như thông báo PIM không đúng hoặc những thay đổi về kênh Multicast tới người quản trị hệ thống.
Các cơ chế ghi Multicast Syslog và giám sát lưu lượng mạng (NetFlow)
Lưu ý khi sử dụng một số không gian địa chỉ dành riêng cho Multicast.
3.3.4. DHCP Server [6]
Phải cấu hình chức năng DCHP Snooping để ánh xạ việc cấp phát địa chỉ IP cho STB dựa vào địa chỉ MAC của STB.
Phải cấu hình giới hạn nhận bản tin DHCP Request hợp lệ đối với từng thuê bao.
Nên sử dụng ánh xạ tĩnh khi cấp địa chỉ IP cho STB của thuê bao theo cơ chế gán tĩnh địa chỉ IP theo địa chỉ MAC và Serial Number của STB.
Tham gia trong VLAN quản lý các máy chủ: EPG, VoD, DHCP, máy chủ quản lý tài khoản.
Đặt mật khẩu truy cập, kiểm soát truy cập qua: xác thực, cấp quyền.
Đặt mật khẩu truy cập, kiểm soát truy cập qua: xác thực, cấp quyền.
Giới hạn số lần người dùng đăng nhập không thành công. Tất cả các tác vụ quản trị phải thông qua các kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3.
Phải được cập nhật các bản vá lỗi, các chương trình diệt virus.
3.3.5. EPG Server
Giới hạn tốc độ gửi các gói tin ICMP gửi đến EPG Server từ các thuê bao (ICMP Rate Limiting).
Cấu hình kiểm tra xác thực trong các bản tin thuộc kết nối TCP/UDP tại EPG Server bằng mã hoá xác thực thông báo MD5.
Giới hạn tốc độ gửi các gói tin SYN đến EPG Server (SYN Rate Limiting).
Cấu hình bộ lọc các ký tự đặc biệt không tương thích với những giá trị và cấu trúc được chấp thuận từ trước để chặn những bản tin tấn công Buffer Overflow từ phía thuê bao.
Đặt trước EPG Server phía giao diện kết nối đến thuê bao thiết bị giám sát lưu lượng mạng (NetFlow) để phân tích lưu lượng và đưa ra các cảnh báo về các cuộc tấn công.
Đặt trước EPG Server phía giao diện kết nối đến thuê bao thiết bị giám sát lưu lượng mạng (NetFlow) để phân tích lưu lượng và đưa ra các cảnh báo về các cuộc tấn công.
o Gửi nhiều phân đoạn xấu gói tin IP từ phía thuê bao. o Gửi nhiều gói tin ICMP Echo Request với tần xuất lớn. o Gửi nhiều gói tin SYN.
o Tấn công Buffer Overflow qua giao thức HTTP
Dự phòng thiết bi NetFlow
Sử dụng giao thức HTTPs (HTTP over Secure Socket Layer) thay cho HTTP trong tương tác với STB.
Không kích hoạt các mô đun Web (Web Modules) thường được gọi là plug-ins khi không có yêu cầu
Gỡ bỏ các tập tin nháp, Scripts, Code thực thi từ thư mục gốc dành cho Web Site.
Cấu hình các tập tin của Web Site có thể đọc được bởi các tiến trình xử lý tại nhưng không thể ghi đè.
Duy trì bản Copy nội dung Web Site trên một Host được đảm bảo an ninh.
Tham gia trong VLAN quản lý các máy chủ: EPG, VoD, DHCP, máy chủ quản lý tài khoản.
Cần có một Card mạng chuyên biệt để quản trị theo VLAN và các Card mạng khác tùy thuộc vào nhu cầu cần thiết cho truyền thông. VLAN cần được cấu hình các ACL lọc địa MAC và địa chỉ IP tương ứng với các tác vụ quản trị và truyền thông.
Đặt mật khẩu truy cập, kiểm soát truy cập qua: xác thực, cấp quyền.
Giới hạn số lần người dùng đăng nhập không thành công. Tất cả các tác vụ quản trị phải thông qua các kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3.
Phải được cập nhật các bản vá lỗi, các chương trình diệt virus
Sao lưu các File hệ thống và mã nguồn chương trình ứng dụng
3.3.6. Account Server
Kết hợp xác thực tài khoản thuê bao với xác thực STB (Bundled Authentication), giá trị tài khoản thuê bao được lưu trong Smart Card của STB.
Dùng giá trị Serial Number của STB để xác thực STB của thuê bao.
Xác thực thuê bao cần được kết hợp với Profile cấp quyền cho việc hạn chế số kênh chương trình thuê bao được xem.
Xác thực thuê bao cần được kết hợp với Profile cấp quyền cho việc được xem nội dung Metadata.
Áp dụng cơ chế phân quyền truy cập nội dung Video đối với thuê bao
Cấu hình bộ lọc các ký tự đặc biệt không tương thích với những giá trị và cấu trúc được chấp thuận từ trước để chặn những bản tin tấn công Buffer Overflow / SQL Injection từ phía thuê bao.
Tham gia trong VLAN quản lý các máy chủ: EPG, VoD, DHCP, máy chủ quản lý tài khoản.
Cần có một Card mạng chuyên biệt để quản trị theo VLAN và các Card mạng khác tùy thuộc vào nhu cầu cần thiết cho truyền thông. VLAN cần được cấu hình các ACL lọc địa MAC và địa chỉ IP tương ứng với các tác vụ quản trị và truyền thông.
Đặt mật khẩu truy cập, kiểm soát truy cập qua: xác thực, cấp quyền.
Giới hạn số lần người dùng đăng nhập không thành công. Tất cả các tác vụ quản trị phải thông qua các kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3.
Phải được cập nhật các bản vá lỗi, các chương trình diệt virus
3.3.7. VoD Server
Phải cấu hình bộ lọc các ký tự đặc biệt không tương thích với những giá trị và cấu trúc được chấp thuận từ trước để chặn những bản tin tấn công Buffer Overflow từ phía thuê bao
Đặt trước VoD Server phía giao diện kết nối đến thuê bao thiết bị giám sát lưu lượng mạng (NetFlow) để phân tích lưu lượng và đưa ra các cảnh báo về các cuộc tấn công từ phía thuê bao.
Gửi nhiều phân đoạn xấu gói tin IP
Gửi nhiều gói tin ICMP Echo Request với tần xuất lớn (ICMP Rate Limiting)
Gửi nhiều yêu cầu về xem phân đoạn phim khác nhau
Gửi nhiều bản tin báo cáo lỗi về chất lượng luồng Video