Kiến trúc bảo mật bao gồm nhiều phân lớp bảo mật:
Phân lớp bảo vệ: sử dụng các công nghệ bảo mật như Firewall, IDS, IPS để chống lại các tấn công xuất phát từ bên trong lẫn bên ngoài.
Bảo mật các kết nối mạng: đảm bảo các thông tin quan trọng được bảo mật trên đường truyền.
Xác thực và nhận dạng, và cấp quyền truy cập tới các tài nguyên hệ thống. Kiểm soát truy cập, đảm bao an ninh tại phân lớp ứng dụng
Áp dụng vào hệ thống mạng Bộ tài chính, việc đảm bảo an ninh cho toàn bộ hệ thống được chia ra thành các phần chính:
An ninh cho các kết nối WAN
An ninh cho phần mạng trục MPLS Bộ tài chính
An ninh giữa các đơn vị sử dụng dịch vụ MPLS VPN nội bộ ngành Tài chính An ninh hệ thống cho cổng kết nối Internet ( Internet gateway)
3.3.3.1 An ninh cho các kết nối WAN
Trên hạ tầng mạng Bộ tài Chính ( Bao gồm các TTT & TTM), đối với các kết nối sử dụng MPLS VPN của các nhà cung cấp dịch vụ công cộng, đã sử dụng phương
thức mã hóa IPSec cho các GRE tunnel theo như đã mô tả ở trên do đó hoàn toàn đảm bảo tính an toàn.
Đối với các kết nối WAN truyền thống ( hiện sử dụng leased-lines), sử dụng các thiết bị mã hóa đường truyền Layer-1 cho các đường leased-lines, Layer-2 cho Frame-Relay. Hình vẽ dưới đây mô tả việc sử dụng các thiết bị mã hóa Layer-1 điểm- điểm cho các kết nối Leased-lines từ TTT, trụ sở chính các Ngành lên thiết bị TTM-2. Ưu điểm của việc sử dụng các thiết bị mã hóa Layer-1 điểm-điểm ở đây là không làm phức tạp hóa cấu trúc lôgíc của toàn bộ hệ thống.
Hình 3.28 Mã hoá đƣờng truyền Leased – lines giữa TTT - TTM
3.3.3.2 An ninh cho phần mạng trục của MPLS VPN của bộ tài chính
MPLS cung cấp kh ả năng tách biệt định tuyến, địa chỉ mạng đầy đủ như các dịch vụ layer-2 VPN truyền thống khác. MPLS dấu các cấu trúc địa ch ỉ lớp mạng core và các VPN khác.
Cần thực hiện biện pháp chống giả mạo địa chỉ (IP Spoofing): Yêu cầu triển khai trên tất cả các PE router để chống IP spoofing . Cho phép kiểm tra từng gói tin
nhận được của một giao diện . Căn cứ vào địa chỉ IP nguồn của gói tin , nếu trong bảng định tuyến không có đường định tuyến nào trỏ tới cùng một cổng giao tiếp nơi mà gói tin đã đến, thì router sẽ loại bỏ gói tin này.
Có biện pháp chống tấn công từ chối dịch vụ kiểu phân bố (DDoS): Lọc, giới hạn các route.
Áp dụng các bước ingress & egress filter (xem RFC 2267) bằng các access lists (ACLs).
Các PE router cần được cấu hình chỉ ch ấp nhận các gói tin đi vào t ừ phía CE khi gói tin đó thuộc về các CE. Kết quả là các PE router sẽ loại bỏ bất kỳ gói tin nào đi vào PE từ CE với địa chỉ nguồn trùng với địa chỉ trên mạng Core hoặc thuộc về CE khác.
3.3.3.3 An ninh cho các đơn vị sử dụng dịch vụ MPLS VPN riêng ngành tài chính
Hình vẽ dưới đây thể hiện mô hình phân tách các lớp mạng, đảm bảo an ninh cho các ngành trực thuộc khi sử dụng dịch vụ MPLS VPN trên cùng hạ tầng mạng của Bộ tài chính.
Trong đó, mạng nội bộ của các ngành trực thuộc như Thuế, KB, HQ,... được tách biệt bởi các VPN khác nhau, có thể sử dụng dải địa chỉ IP trùng nhau ( ví dụ 10.1.x.x như trên hình vẽ). Giữa các mạng nội bộ này không thể có sự trao đổi số liệu trực tiếp với nhau.
Để có thể tách riêng Server dùng chung của các đơn vị thành 1 VRF riêng, có thể áp dụng tính năng Multi-VRF trên các CE router. ( Multi-VRF là một tính năng cho phép cấu hình nhiều bảng VRF trên cùng 1 CE router vật lý, ứng dụng được mô tả như hình vẽ dưới đây:
Trong chính sách đánh số RD, RT đưa ra ở đây, mạng nội bộ của ngành này không truy cập trực tiếp được tới phân hệ Server dùng chung của ngành khác, mà phải thông qua phân hệ Server dùng chung của ngành mình.
Ví dụ, User ở mạng trong của Thuế không trực tiếp truy cập tới Servers dùng chung của KB, mà phải gián tiếp thông qua các Servers dùng chung của Thuế.
Địa chỉ IP sử dụng trên sơ đồ mang tính chất mô tả, theo đó, mạng nội bộ thuộc các ngành hoàn toàn tách biệt với nhau, việc trao đổi số liệu giữa các ngành được thực hiện thông qua các phân hệ Server dùng chung. Do đó, việc bảo vệ an ninh giữa các ngành với nhau, chống các loại hình tấn công xuất phát từ bên trong sang các ngành khác, chống việc lan tràn virus, worm trên hệ thống được thực hiện bởi các thiết bị đảm bảo an ninh hệ thống trên kết nối giữa CE-Router của một đơn vị ( kết nối tới mạng MPLS BTC) và phân hệ Server dùng chung của đơn vị đó. Các thiết bị đảm bảo an ninh hệ thống này bao gồm các Firewall, IDS/IPS, Anti-virus, Anti-worm, ngoài ra, trên các Server ứng dụng quan trọng có thể bổ sung thêm các phần mềm bảo vệ H-IPS
3.3.3.4 An ninh hệ thống cho kết nối Internet
Việc bảo vệ an ninh hệ thống chống lại các mối đe dọa từ bên ngoài Internet được thực hiện thông qua nhiều mức bảo vệ khác nhau.
Anti Virus, worm Internet IPS Firewall BTC Hình 3.30 An ninh vòng ngoài
Bắt đầu từ kết nối Internet, Internet router thực hiện các công việc bảo vệ chống các tấn công cơ bản từ bên ngoài dựa vào các danh sách điều khiển truy cập ( Access- Control-List), sau đó trước khi lưu lượng đến được firewall , hệ thống chống xâm nhập (IPS) được đặt ngay tại vòng ngoài . Hệ thống IPS được đặt trước tường lửa làm lớp bảo vệ đ ầu tiên và phản ứng l ại với các cuộc xâm nhập , không cần sự can thiêp của người quản trị hệ thống
Kiểm soát truy cập t ừ Internet được bảo vệ bởi tư ờng lửa. Đây là lớp phòng vệ đầu tiên trước các mạng không có độ tin cậy cao về mạng an ninh hệ thống như BTC.
Hệ thống Firewall vòng ngoài này được nối thẳng tới PE-router của mạng MPLS BTC, hệ thống firewall này cần hỗ trợ khả năng phân chia VLAN trên các giao diện Ethernet, khả năng tạo nhiều „virtual-firewall‟, để qua đó có thể gán mỗi „virtual- firewall‟ cho một ngành trực thuộc, gán các VLAN các VRF tương ứng với VPN của các ngành. Như vậy, khi các ngành sử dụng kết nối ra ngoài Internet trên hạ tầng chung của BTC, các ngành này sẽ có thể được trao quyền quản lý „virtual-firewall‟ đó cho các ngành trực thuộc tự thiết lập các chính sách bảo mật riêng phù hợp với đặc thù của từng ngành.
App Server
CA Server Mail Server
N-IDS
H-IPS
Firewall
Hình 3.31 Bảo vệ các hệ thống ứng dụng
Tường lửa thứ hai của b ộ tài chánh là lớp phòng vệ thứ hai và phòng vệ chiều sâu để bảo vệ hệ thống những ứng dụng.
Một đặc điểm của các ứng dụng ngành Tài chính là việc sử dụng giao thức https cho các ứng dụng quan trọng, do đó các thiết bị chống xâm nhập IDS cần hỗ trợ khả năng phân tích giám sát lưu lượng dạng mã hóa SSL.
Phân hệ các Server cơ sở dữ liệu ( backend server)
Được bảo vệ bởi tầng firewall thứ ba. Firewall thuộc các tầng khác nhau được sử dụng của các hãng khác nhau nhằm mục đích giảm thiểu khả năng bị tấn công do lỗ hổng bảo mật trên tại một thời điểm của một chủng loại firewall nào đó.
Ngoài ra, cần có các hệ thống chống Virus, Worm, lọc URL làm việc với các Firewall, cho phép hoạt động trong suốt đối với người sử dụng.
Xác thực và Nhận dạng
Các truy cập từ bên ngoài vào một số Server ứng dụng đặc biệt nào đó trên vùng DMZ cần được xác thực username/password và cấp quyền truy cập. Việc này được thực hiện nhờ các RADIUS Server. Các firewall có khả năng xác thực & cấp quyền truy cập sẽ làm việc với các RADIUS Server. RADIUS Server được đặt trong phân hệ quản trị mạng.
3.3.4 Hoạt động thử nghiệm
Qua những phân tích đánh giá trên. Hiện tại Tổng cục thuế đã tiến hành thử nghiệm trên hệ thống đang sử dụng đối với Cục thuế Hải Dương, chi cục Thuế Hải Dương, chi cục thuế Huyện Chí Linh, chi cục Thuế Huyện Gia Lộc và đã thu được kết quả như mong muốn đối với các tiêu chí đã đặt ra cụ thể:
Hình 3.32 Mô hình thử nghiệm
Truyền số liệu thực tế qua hệ thống MPLS VPN của VNPT
Trên các Cisco router tham gia thử nghiệm, sử dụng lệnh “Ping” kiểm tra xem kết nối IP tới các Virtual-Template của các Router khác tham gia vào hệ thống thử nghiệm có thành công.
Kiểm tra với lưu lượng thật.
Kiểm nghiệm độ ổn định của hệ thống dịch vụ công cộng MPLS VPN Giám sát độ ổn định của kết nối qua hệ thống MPLS VPN.
Chất lượng dịch vụ, tốc độ truyền số liệu thực tế so với tốc độ cam kết của dịch vụ công cộng MPLS VPN
Thực hiện download với nhiều session khác nhau, từ các máy tính khác nhau, xác định tốc độ truyền thực tế lớn nhất có thể.
Kiểm nghiệm khả năng đảm bảo security thực tế cho kết nối MPLS VPN của nhà cung cấp dịch vụ.
Giả mạo địa chỉ: Từ 1 máy tính trong mạng LAN của 1 đơn vị (giả sử Cục thuế Hải dương) ping tới địa chỉ nào đó ( có thể ping được) với địa chỉ nguồn IP của 1 máy tính khác trên mạng LAN của 1 đơn vị khác ( giả sử chi cục thuế Chí Linh). Kiểm tra
phản hồi hay không. Nếu nhận được, chức năng chống giả mạo địa chỉ của hệ thống mạng MPLS VPN đối với người sử dụng không có.
Với công nghệ MPLS VPN, đã được kiểm chứng là không thể gửi 1 gói tin từ 1 VPN này tới 1 VPN khác, do đó không cần kiểm tra đặc tính này ( trong mạng thử nghiệm chỉ có 1 VPN).
Cần duy trì hệ thống thử nghiệm hoạt động với lưu lượng thực tế sau 1 khoảng thời gian đủ dài ( ít nhất 1 tháng) để có thể kết luận về tính khả thi trong việc triển khai sử dụng rộng rãi dịch vụ MPLS VPN trên toàn ngành Tài chính.
3.4 Kết luận
Tóm lại với giải pháp thiết kế hệ thống đưa ra đối với hệ thống mạng truyền thông Bộ Tài chính nói chung và Tổng cục Thuế nói riêng đã khắc phục được nhược điểm của mô hình kết nối hiện tại và thu được một hệ thống tổng thể mới đáp ứng được nhu cầu về tốc độ truyền và an toàn dữ liệu.
Hệ thống với thiết kế cập nhật mới ứng dụng các thành tựu mới của CNTT kết hợp với sự kế thừa hệ thống hiện tại, cho phép tạo nên một hệ thống linh hoạt, có khả năng phát triển, mở rộng cao, tính dự phòng cao đáp ứng được các nhu cầu mới của toàn Bộ Tài Chính nói chung và Tổng cục Thuế nói riêng trong tương lai.
Tuy nhiên, hiệu quả của hệ thống mới không thể tính được bằng các giá trị vật chất, bằng các số liệu cụ thể. Với thiết kế mới, các thông tin trên toàn Bộ Tài Chính được xử lý an toàn, chính xác, kịp thời và vì vậy đảm bảo hoạt động ổn định của toàn Bộ Tài Chính trước những yêu cầu mới.
Việc áp dụng công nghệ MPLS IP VPN đối với hệ thống mạng ngành Tài chính thu được những lợi ích đáng kể trước tiên ta thấy rõ hệ thống này không yêu cầu thêm bất kỳ thiết bị mạng như Router, switch nào so với xây dựng hệ thống mạng IP truyền thống. Tất cả các thiết bị Router, Switch tại TTT, TTM đều hỗ trợ sẵn sàng các tính năng, giao thức MPLS, do đó việc xây dựng hệ thống MPLS VPN riêng chỉ đơn thuần là triển khai sử dụng các tính năng MPLS sẵn trên các thiết bị này.
Với việc xây dựng MPLS VPN riêng ngành tài chính, Bộ tài chính sẽ tiết kiệm được khoản đầu tư đáng kể để đảm bảo an ninh hệ thống, phân tách các đơn vị khác nhau bằng các hệ thống Firewall, IPS, Anti-Virus cần thiết trên tất cả 64 TTT, TTM so với khi không xây dựng hệ thống MPLS VPN riêng.
Hệ thống phù hợp với định hướng về CNTT của Bộ Tài Chính, đồng thời phù hợp với xu thế phát triển công nghệ trên thế giới, không bị lãng phí, lạc hậu trong
tương lai. Phù hợp với môi trường tin học và viễn thông của Việt nam trong thời điểm hiện tại, đón bắt được xu hướng công nghệ tại Việt nam trong tương lai.
CHƢƠNG 4 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN
Ngày nay, các ứng dụng Internet đã được sử dụng rộng rãi trong mọi lĩnh vực, ở khắp mọi nơi trên thế giới. Sự mở rộng của Internet kéo theo sự cải tiến không ngừng của các mô hình mạng, kéo theo đó là các dịch vụ mạng để đáp ứng nhu cầu truyền thông tin một cách an toàn, hiệu quả. Một trong những ứng dụng quan trọng đó là mạng riêng ảo.
Ngoài việc giới thiệu khái niệm về mạng riêng ảo, luận văn còn đi sâu vào phân tích các loại mạng riêng ảo hiện nay, những hạn chế còn tồn tại trong mỗi mô hình, những thế mạnh của mỗi mô hình đó giúp người đọc có cái nhìn tổng quan về mỗi mô hình để từ đó lựa chọn áp dụng vào mỗi mô hình sao cho có hiệu qủa nhất.
Hiện nay có nhiều công nghệ mới ra đời nhằm nghiên cứu phương thức truyền tin trên mạng một cách an toàn một trong những công nghệ đang được ứng dụng rộng rãi hiện nay đó là MPLS VPN. Luận văn trình bày khái niệm và phương thức hoạt động của công nghệ MPLS đi sâu vào phân tích cấu trúc MPLS cũng như cách thức truyền gói tin gắn nhãn đi trong mạng từ một địa chỉ nguồn tới một địa chỉ đích một cách an toàn.
Trên cơ sở phân tích hệ thống mạng hiện trạng của Bộ tài chính nói chung, Tổng cục Thuế nói riêng luận văn cũng đưa ra các giải pháp thiết kế hệ thống cụ thể để thu được một hệ thống mới có mức độ đảm bảo an ninh hơn.
Để có được một hệ thống mạng đáp ứng được nhu cầu thực tế của Bộ tài chính Luận văn xin đề xuất một số hướng nghiên cứu trong tương lai sau:
- Xây dựng giải pháp thiết kế một trung tâm dự phòng thông tin.
- Xây dựng một hệ thống vận hành bảo dưỡng ở đó hệ thống này có thể phân tích, chuẩn đoán các kết nối mạng chi tiết theo thời gian thực, hệ thống quản lý các vấn đề an ninh, bảo mật, hệ thống cho phép thực hiện khảo sát và tập hợp dữ liệu và lập báo cáo chi tiết và đo đạc hiệu xuất của mạng - điều mà BTC quan tâm.
- Qui hoạch lại địa chỉ IP cho Bộ tài chính, sao cho có thể khai thác được ưu điểm và tận dụng hết tài nguyên mạng.
TÀI LIỆU THAM KHẢO Tiếng Việt
1. Mô hình hạ tầng truyền thông Bộ tài chính 2. Mô hình hạ tầng truyền thông Tổng cục Thuế
Tiếng Anh
3. http://www.tech-faq.com/tunneling.shtml
4. 2.http://www.congnghemoi.net/Hatangmang/ChitietHatangmang/tabid/7 60/ArticleID/525/tid/585/Default.aspx
5. Ina Minei, Junian Lucek “ MPLS – Enable Application” Emering Development and New Technologies
6. “MPLS – Enable Application”
7. http://www.slb.com/media/services/consulting/infrastructure/mpls_white paper.pdf
8. http://en.wikipedia.org/wiki/MPLS_VPN
9. Rosen E., Viswanathan, A. and R. Callon, "Multiprotocol Label Switching Architecture", Work in Progress.
10.Callon R., et al., "A Framework for Multiprotocol Label Switching", Work in Progress.