Quy hoạch địa chỉ IP sử dụng nhóm thiết bị camera và IOT

Một phần của tài liệu LUẬN văn THẠC sĩ NGHIÊN cứu TRIỂN TRAI GIẢI PHÁP kết nối các hệ THỐNG CAMERA TRÊN địa bàn THÀNH PHỐ TAM kỳ (Trang 70 - 99)

3. Đối tượng nghiên cứu, phạm vi nghiên cứu, đối tượng khảo sát của đề tài:

4.3.5. Quy hoạch địa chỉ IP sử dụng nhóm thiết bị camera và IOT

Không gian sử dụng địa chỉ IP có vai trò rất quan trọng trong sử dụng hiệu quả và tích hợp các hệ thống camera và thiết bị IOT trên địa bàn thành phố. Trên cơ sở kiến trúc và mô hình tích hợp, kết nối. Nhóm nghiên cứu thực hiện việc quy hoạch dải địa chỉ IP tĩnh do Sở Thông tin và Truyền thông quản lý cho hệ thống camera lẫn IOT như sau.

4.4. MÔ HÌNH AN TOÀN AN NINH THÔNG TIN CHO HỆ THỐNG CCTV SAU KẾT NỐI

4.4.1. Tổng quan về các nguy cơ bảo mật, tấn công mạng đối với của hệ thống camera quy mô lớn

Hệ thống CCTV đóng một vai trò quan trọng trong việc giám sát và bảo vệ con người, tài sản cũng như quản lý khu vực công cộng. Tuy nhiên, hệ thống điện tử vẫn có nguy cơ bị tấn công mạng, bị lợi dụng để phục vụ vào mục đích ngoài mong muốn. Nội dung mục này đề cập đến các nội dung lớn như sau:

- Trình bày về quy trình tấn công mạng trong hệ thống CCTV

- Sắp xếp, phân loại các nguy cơ, các lỗ hổng bảo mật, tấn công mạng và mức độ phức tạp của việc khắc phục xử lý sự cố.

- Các tiêu chuẩn về bảo đảm an toàn an ninh thông tin đối với hệ thống CCTV quy mô lớn

4.4.1.1. Tổng quan về quy trình tấn công mạng vào hệ thống CCTV

Về cơ bản có thể sắp xếp các bước tấn công theo mô hình vòng tròn tuần hoàn với các bước như sau:

- Tạo nguy cơ

- Thăm dò: củng cố và xác định đợt, điểm tấn công

- Kích hoạt: trang bị công cụ tấn công (các Malware, virus máy tính, v.v…)

- Phát tán: Thực hiện phát tán để tìm mục tiêu tấn công - Khai thác: khai thác các lỗ hổng bảo mật tìm được - Chiếm quyền điều khiển

- Tấn công

Quy trình tấn công được mô tả như Hình 4.18.

Hình 0.18. Quy trình tấn công mạng vào hệ thống CCTV

Các nguy cơ tấn công mạng đối với hệ thống CCTV lớn có thể được mô hình hoá với trung tâm là hệ thống lõi tập trung đến từ các nguồn sau:

- Bên ngoài tấn công vào hệ thống lõi thông qua Internet - Tấn công từ mạng truyền dẫn nội bộ vào hệ thống core

Tấn công Tạo nguy cơ Thăm dò Kích hoạt Phát tán Khai thác Ra lệnh và điều khiển

- Lỗi do trong quá trình quản lý an toàn an ninh thông tin

- Việc lấy cắp dữ liệu của các phần mềm mã độc được cài sẵn để cung cấp ra bên ngoài

4.4.1.2. Các nguy cơ được mô hình hoá :

Ở đây, nhóm nghiên cứu thực hiện phân loại các nguy cơ tấn công theo cách phân loại như sau:

- Phân loại tấn công theo lĩnh vực: phần mềm, phần cứng, truyền dẫn vô tuyến

- Phân loại theo giao diện tấn công: giao diện web, firmware, cổng, giao thức mạng.

- Phân loại loại tấn công: tấn công chiếm điều khiển (access control), từ chối dịch vụ (DoS), phát tán XXS, CSRF, v.v…

- Phân loại loại thiết bị, thành phần bị tấn công trong hệ thống CCTV. - Phân loại về mức độ thiệt hại đối với các loại tấn công

- Phần phụ chú về một số các biện pháp khắc phục.

4.4.1.3. Kiến trúc an toàn an ninh thông tin đối với hệ thống CCTV quy mô lớn

Trên cơ sở mô hình kiến trúc hệ thống CCTV tổng thể đã được trình bày ở các chuyên đề trước, nhóm nghiên cứu đề xuất kiến trúc an toàn an ninh thông tin của hệ thống như minh hoạ ở Hình 4.19.

Với kiến trúc này, nhóm nghiên cứu đề xuất các giải pháp an toàn an ninh thông tin theo các phân lớp như sau:

a) An toàn, an ninh thông tin cho các thiết bị đầu cuối: camera, DVR, NVR, cảm biến, các thiết bị lưu trữ biên (edge storage).

b) An toàn, an ninh thông tin cho hệ thống truyền dẫn kết nối từ thiết bị đầu cuối đến hệ thống core, giữa các hệ thống core cùng cấp với nhau (gọi tắt là mạng ngoại vi).

c) An toàn, an ninh cho hệ thống lõi gồm hai thành phần:

- An toàn, an ninh thông tin cho với các ứng dụng: phần mềm VMS, các phần mềm phụ trợ khác.

- An toàn, an ninh thông tin cho hệ thống mạng liên kết các máy chủ quản lý hệ thống CCTV tập trung.

+ An toàn, an ninh thông tin tại hạ tầng máy chủ quản lý chung. + An toàn, an ninh thông tin cho phân hệ cơ sở dữ liệu.

+ An toàn, an ninh thông tin cho phân hệ lưu trữ video tập trung. + An toàn, an ninh thông tin cho máy chủ/ dịch vụ di động

d) An toàn, an ninh thông tin cho hệ thống truy nhập người dùng (client access)

Một điểm cần lưu ý trong mô hình kiến trúc này, mạng truyền dẫn ngoại vi và mạng truyền dẫn máy chủ được tách bạch thành hai mạng độc lập. Cụ

thể, mỗi máy chủ ghi hình ảnh (recording server) tại hệ thống lõi sẽ có hai giao diện (cổng mạng) độc lập [ CITATION Nat4 \l 1066 ]:

- Một kết nối vào mạng ngoại vi để ghi hình từ camera.

- Một kết nối vào mạng máy chủ để liên lạc giữa các máy chủ với nhau. Đối với truy cập người dùng (client access) chung (ví dụ, máy tính cá nhân, di động, v.v… truy cập để quan sát thông qua Internet hoặc mạng nội bộ), phân hệ máy chủ mobile sẽ được đặt trong vùng an toàn DMZ với hai giao diện mạng độc lập:

- Một kết nối đến môi trường Internet để dùng chung

- Một kết nối đến mạng máy chủ để tương tác với các máy chủ còn lại. Thực hiện phân đoạn mạng và quản lý việc truy cập bằng cách: bố trí hệ thống tường lửa, phân đoạn và quản lý truy cập ở 03 lớp khác nhau [ CITATION Nat5 \l 1033 ]:

- Lớp kết nối đến người dùng. - Lớp kết nối đến máy chủ.

thủ các tiêu chuẩn về an toàn an ninh thông tin của NIST hoặc ISO/IEC. Trong đó gồm các thành phần an toàn an ninh cần quan tâm gồm:

- Chức năng quản lý truy cập và điều khiển - Chức năng quản lý cấu hình

- Chức năng nhận thực và xác thực

- Chức năng đánh giá và xuất bằng chứng

- Chức năng bảo vệ hệ thống và bảo vệ thông tin - Chức năng thu thập thông tin hoạt động của hệ thống - Chức năng hoạch định

4.4.1.4. Mô hình an toàn, an ninh thông tin cho các thiết bị đầu cuối

Thiết bị đầu cuối hệ thống CCTV bao gồm các thành phần như sau: - Thiết bị IP camera

- Thiết bị Analog camera và đầu ghi DVR

- Thiết bị IP camera và các thành phần lưu trữ biên (edge storage) như: máy tính mini, thẻ nhớ kèm theo camera.

- Các thiết bị cảm biến khác.

Hình 0.130. Các thiết bị đầu cuối của hệ thống CCTV

Để bảo đảm an toàn an ninh thông tin cho thiết bị đầu cuối, đặc biệt là thiết bị camera; nhóm nghiên cứu đề xuất các yêu cầu về an ninh thông tin đối với trang thiết bị đầu cuối như sau:

Bảng 0-8. Yêu cầu, khuyến nghị bảo đảm ATTT cho thiết bị đầu cuối

ST T

Loại thiết bị đầu cuối

Tính năng cần có Khuyến nghị cấu hình bảo mật khác

1 IP-Camera -Hỗ trợ giao thức HTTPS, SNMPv35

-Bảo vệ bằng mật khẩu -Hỗ trợ mặt nạ riêng tư (privacy mask)6

- Hạn chế cấu hình 2 luồng video stream. - Tắt tất cả các giao thức có hỗ trợ nhưng không dùng đến như: HTTP, DDNS, DN7S, 802.1x8, FTP, SMB, Bonjour, Telnet, SSH. - Thay đổi mật khẩu mặc định của camera và 5 Giao thức SNMP: tên đầy đủ là giao thức Simple Network Management Protocol, cho phép hỗ trợ việc truy cập từ xa để quản lý, cấu hình từ xa các thiết bị mạng, thiết bị đầu cuối. Giao thức SNMPv1 và SNMPv2 không hỗ trợ các tính năng bảo mật. Giao thức SNMPv3 hỗ trọ tính năng mật mã hoá, cho phép cài đặt mật khẩu và tương thích khi hoạt động cùng với giao thức HTTPS.

-Lọc địa chỉ IP

-Hỗ trợ giao thức RSTP có nhận thực.

- Hỗ trợ chế độ ký số hoặc thuỷ vân video (để chống copy hình ảnh)

sử dụng mật khẩu đủ mạnh.

- Cấu hình danh sách các địa chỉ IP mà camera được kết nối đến; để chặn các kết nối đến các địa chỉ IP khác.

- Tắt chế độ sử dụng giao thức RSTP không cần nhận thực

- Ưu tiên sử dụng giao thức SNMP để truyền tải các dòng sự kiện (event stream) liên quan đến hoạt động của camera

2 DVR, NVR -Hỗ trợ giao thức HTTPS, SNMPv3 -Hỗ trợ giao thức RSTP có nhận thực. -Hỗ trợ các giao thực dự phòng lưu trữ RAID 0, 1, 5 trở lên - Có hỗ trợ các cơ chế mật mã hoá hình ảnh video khi lưu trữ tại chỗ như RSA, AES 256, v.v… - Có mật khẩu quản trị. - Bản OS gần nhất do - Tắt tất cả các giao thức có hỗ trợ nhưng không dùng đến như: HTTP, DDNS, DN9S, 802.1x10, FTP, SMB, Bonjour, Telnet, SSH, Cloud P2P.

- Cấu hình dự phòng RAID 0 trở lên

- Không cho phép kết nối đến Internet trực tiếp đến router.

- Sử dụng đúng bản nâng cấp do hãng sản xuất khi nâng cấp firmware.

- Cài đặt mật khẩu quản trị thiết bị.

- Cấu hình mật mã hoá hình ảnh video đối với các camera đặt ở vị trí có tính riêng tư cao.

6 Privacy Mask: tính năng cho phép người dùng, bằng cách cấu hình camera, hạn chế được vùng không cần quan sát để bảo mật tính riêng tư.

7 Không sử dụng chức năng DNS và DDNS khi camera đã được kết nối nội bộ thông qua truyền dẫn lớp mạng theo giao thức IP.

8 Tắt nếu trường hợp camera không dùng chức năng truyền dẫn vô tuyến như Wifi 802.11, Wimax 802.16, v.v…

9 Không sử dụng chức năng DNS và DDNS khi camera đã được kết nối nội bộ thông qua truyền dẫn lớp mạng theo giao thức IP.

10 Tắt nếu trường hợp camera không dùng chức năng truyền dẫn vô tuyến như Wifi 802.11, Wimax 802.16, v.v…

nhà sản xuất ấn hành. - Hỗ trợ chức năng loc địa chỉ IP 3 Máy chủ lưu trữ tại chỗ -Hỗ trợ giao thức HTTPS, SNMPv3 -Hỗ trợ giao thức RSTP có nhận thực. -Hỗ trợ các giao thực dự phòng lưu trữ RAID 0, 1, 5 trở lên - Có hỗ trợ các cơ chế mật mã hoá hình ảnh video khi lưu trữ tại chỗ như RSA, AES 256, v.v… - Có mật khẩu quản trị. - Bản OS gần nhất do nhà sản xuất ấn hành. - Hỗ trợ chức năng loc địa chỉ IP - Tắt tất cả các giao thức có hỗ trợ nhưng không dùng đến như: HTTP, DDNS, DN11S, 802.1x12, FTP, SMB, Bonjour, Telnet, SSH, Cloud P2P.

- Cấu hình dự phòng RAID 0 trở lên

- Không cho phép kết nối đến Internet trực tiếp đến router.

- Sử dụng đúng bản nâng cấp do hãng sản xuất khi nâng cấp firmware.

- Cài đặt mật khẩu quản trị thiết bị.

- Cấu hình mật mã hoá hình ảnh video đối với các camera đặt ở vị trí có tính riêng tư cao.

4 Thiết bị cảm biến khác

- Hỗ trợ cơ chế định danh thiết bị (ví dụ MAC address, Partnumber, v.v…).

- Áp dụng các cơ chế mật

- Trường hợp truyền dẫn vô tuyến, sử dụng các giao thức hỗ trợ mật mã hoá như WEP/PSK-2, AES, RSA, v.v…

11 Không sử dụng chức năng DNS và DDNS khi camera đã được kết nối nội bộ thông qua truyền dẫn lớp mạng theo giao thức IP.

12 Tắt nếu trường hợp camera không dùng chức năng truyền dẫn vô tuyến như Wifi 802.11, Wimax 802.16, v.v…

mã hoá ví dụ AES, RSA, SHA, v.v…

4.4.1.5. An toàn, an ninh thông tin cho mạng truyền dẫn

Với kiến trúc an toàn an ninh thông tin như mô tả ở Hình 4.27, mạng ngoại vi được hiểu là mạng truyền dẫn kết nối đến các camera và các thiết bị đầu cuối khác. Về mặt cấu trúc mạng, mạng ngoại vi được phân hoạch hệ thống mạng này theo kiến trúc 03 lớp như đã nêu ở các phần kiến trúc tổng quan, gồm:

- Lớp mạng lõi

- Lớp mạng phân phối

- Lớp mạng biên An toàn an ninh thông tin cho mạng ngoại vi có vai trò quan trọng trong cung cấp đường truyền an toàn từ thiết bị camera đến hệ thống máy chủ quản lý tập trung, từ hệ thống máy chủ của hệ thống CCTV này đến hệ thống CCTV khác.

Hình 0.141. Kiến trúc mạng kết nối đến thiết bị đầu cuối

Với kiến trúc mạng nền tảng là hệ thống chuyển mạch dựa trên công nghệ IP/MPLS và kiến trúc 03 lớp mạng như trên, các mô hình an toàn mạng đề xuất áp dụng bao gồm các nội dung như sau (xem Hình 4.30):

Hình 0.22. Mô hình bảo mật mạng của hệ thống CCTV

- Sử dụng đường truyền bảo mật và tin cậy.

- Triển khai các tường lửa để hạn chế truy cập giao thức IP trực tiếp đến máy chủ và máy tính, trao đổi trực tiếp giữa phần mềm VMS và Internet.

- Triển khai các giao thức truyền dẫn không dây an toàn (trường hợp phải dùng mạng không dây)

- Áp dụng quản lý truy cập dựa vào dịch vụ port

4.4.1.6. Triển khai các giao thức truyền dẫn không dây an toàn (trường hợp phải dùng mạng không dây)

Mạng không dây hiện nay được sử dụng phổ biến trong các mạng IoTs do sự tiện lợi trong quá trình lắp đặt và triển khai hệ thống. Tuy nhiên, việc sử dụng môi trường vô tuyến đặt ra các thách thức rất lớn trong bảo đảm an ninh thông tin.

Nhằm bảo đảm an toàn thông tin cho nhóm thiết bị kết nối không dây vào hệ thống, nhóm nghiên cứu đề xuất áp dụng những giải pháp sau:

- Sử dụng các thiết bị mạng không dây phải có hỗ trợ các chuẩn về nhận thực và mật mã hoá cao như Wifi IEEE 802.11, WiMax IEEE 802.16, LTE UMTS, Bluetooth.

- Các giao thức mật mã hoá được khuyến nghị áp dụng bao gồm: AES- 256, WEP-PSK-2, RSA.

4.4.1.7. Áp dụng quản lý truy cập dựa vào dịch vụ port

Bên cạnh các cơ chế quản lý truy cập an toàn khác như áp dụng các giao diện mạng an toàn như IEEE 802.3x, MPLS, … hoặc các phương pháp mật mã hoá như SSL, VPN, SSH, IPSEC,….; việc hạn chế truy cập trực tiếp đến hệ thống camera và hạ tầng máy chủ bằng địa chỉ IP là rất cần thiết.

Một trong các giải pháp cần áp dụng là quản lý truy cập theo dịch vụ port (ở lớp ứng dụng thay vì trực tiếp truy cập và cung cấp dữ liệu trực tiếp ở gói tin theo giao thức IP) [ CITATION Nat6 \l 1066 ].

Ở Mục trên đã liệt kê một loạt dịch vụ trong hệ thống CCTV áp dụng cơ chế quản lý theo port và kết nối đến hệ thống tường lửa. Ngoài các dịch vụ kết nối đã liệt kê, các dịch vụ kết nối truy cập khác (không thông qua hệ thống tường lửa) cũng được đề xuất sử dụng thông qua hệ thống các port. Việc áp dụng phương pháp này có một số ưu điểm như sau:

- Các dịch vụ cùng một subnet IP có thể trao đổi ngang trong nội bộ mà không cần phân giải đến lớp IP.

- Việc thay đổi port để hạn chế tấn công mạng được cấu hình dễ dàng hơn so với giải pháp thay đổi địa chỉ IP.

4.4.2. Các tiêu chuẩn an toàn an ninh khuyến nghị áp dụng đối với vấn đề cho mạng ngoại vi

Sau đây các tiêu chuẩn an toàn an ninh thông tin khuyến nghị áp dụng cho mạng ngoại vi:

STT Nội dung Tiêu chuẩn khuyến

Một phần của tài liệu LUẬN văn THẠC sĩ NGHIÊN cứu TRIỂN TRAI GIẢI PHÁP kết nối các hệ THỐNG CAMERA TRÊN địa bàn THÀNH PHỐ TAM kỳ (Trang 70 - 99)

(99 trang)