Hiện nay, tại trung tâm của Cục tần số vô tuyến điện kết nối đến Internet bằng 1 đường Lease line 2Mbps và 1 đường 128Kbps. Thiết bị định tuyến ở vùng biên là Router 2811 của Cisco. Tại trung tâm của Cục tần số ở Hà nội và 08 trung tâm tại các tỉnh, thành sẽ cần đầu tư thuê các kênh riêng dung lượng từ 128kbps đến 256kbps và trang bị mới các thiết bị định tuyến (router) phục vụ cho các kết nối leased line để liên kết với trung tâm tại Hà Nội và với các trung tâm khác.
Dịch vụ Leased line được dựa trên nền tảng của chuyển mạch kênh sử dụng công nghệ SDH (Synchronous Digital Hierarchy) để phân ghép các kênh trên các khe thời gian. Chính vì vậy leased line có thơng lượng cao và độ trễ trong mạng rất thấp. Thực chất công nghệ này tạo ra các kênh trong suốt (transparency channel) giữa các điểm đầu cuối nên leased line là một đường truyền cố định về tốc độ, luôn đạt được tốc độ đã thuê của nhà cung cấp với độ an toàn dữ liệu rất cao.
Tuy nhiên, với giải pháp sử dụng đường truyền leased line thì chi phí đầu tư ban đầu lớn, cộng với phí sử dụng hàng tháng. Nhưng ngân sách đầu tư hiện nay của Cục tần số vô tuyến điện hạn chế. Nên giải pháp sử dụng đường truyền leased line là không khả thi.
Hệ thống bảo mật hiện nay của Cục tần số vô tuyến điện là hệ thống firewall 2 lớp. Lớp bên ngoài sử dụng Firewall PIX 515E của Cisco và Firewall cho mạng bên trong là ISA Server.
Ngồi ra, hệ thống mạng cịn có 1 thiết bị Switch 2950 của Cisco được cấu hình để chia làm 3 VLAN:
VLAN1: bao gồm cổng Ethernet của Router 2811 và cồng Outside của PIX 515E
VLAN2: bao gồm cổng DMZ của PIX 515E và Web/Mail Server VLAN3: bao gồm cổng Inside của PIX 515E và ISA Server.
Hệ thống mạng LAN bên trong là 1 hệ thống domain có khoảng 100 người sử dụng với 1 PDC (Primary Domain Controller) và 2 BDC (Backup Domain Controller).
Cục tần số vơ tuyến điện có 8 chi nhánh và trung tâm nằm ở các tỉnh khác nhau. Trong đó có 2 trung tâm ở TP Hồ Chí Minh và Đà Nẵng là lớn nhất, ở mỗi trung tâm có khoảng 30 nhân viên và có thể sẽ gia tăng số lượng nhân viên trong thời gian tới. Các trung tâm cịn lại có số lượng nhân viên ít hơn.
Hiện nay các trung tâm đều kết nối Internet bằng đường ADSL có IP động. Các trung tâm kết nối đến Internet thơng qua modem ADSL mà khơng có 1 hệ thống bảo mật nào bảo vệ cho mạng LAN bên trong.
Vấn đề đặt ra với cục tần số vơ tuyến điệncó hiện nay là:
- Đảm bảo kết nối liên tục và bảo mật từ tất cả các trung tâm về Trung tâm tại Hà Nội
- Giải pháp bảo mật tổng thể cho toàn bộ hệ thống mạng của Cục tần số.
5.2 Đánh giá hiện trạng
5.2.1 Trung tâm
Hiện nay, trung tâm tại Hà Nội đã có 100 nhân viên, cộng với các kết nối từ các trung tâm trên khắp cả nước về trung tâm tại Hà Nội. Nên lưu lượng truy cập từ các nơi về trung tâm rất lớn, đòi hỏi phải có 1 thiết bị Firewall có năng lực xử lý cao.
Hệ thống bảo mật tại trung tâm là thiết bị PIX 515E của Cisco – 1 dòng firewall dành cho hệ thống mạng vừa và nhỏ. Thông lượng Firewall của PIX515E chỉ có 190Mbps, chỉ có thể đáp ứng cho hệ thống mạng có số lượng users vừa và nhỏ, vào khoảng dưới 100 users. Với 1 đơn vị đang phát triển và sẽ được mở rộng thêm trong nay mai như Cục tần số vô tuyến điện, không chỉ
số lượng nhân viên tăng lên mà các kết nối của khách hàng từ bên ngoài vào hệ thống mạng cũng tăng lên rất lớn, thì năng lực xử lý của PIX 515E khơng thể đáp ứng được các yêu cầu về hiệu suất cũng như năng lực xử lý.
Mặc dù đã có hệ thống Firewall tại cửa ngõ nhưng với hệ thống mạng lớn, chứa đựng nhiều thơng tin nhạy cảm thì hệ thống mạng tại Trung tâm Hà Nội vẫn tiềm ẩn rất nhiều rủi ro. Đồng thời, hệ thống vẫn chưa có thiết bị chuyên dụng bảo vệ mức ứng dụng khỏi các cuộc tấn công từ chối dịch vụ và khai thác lỗ hổng ứng dụng.
Đồng thời, nằm giữa thiết bị PIX 515E và Router 2811 là Switch 2950 của Cisco. Switch 2950 đang được chia làm 3 VLAN, mỗi 1 interface của PIX 515E nằm trên 1 VLAN riêng - đây là lỗ hổng bảo mật rất nghiêm trọng. Swicth 2950 khơng có khả năng tự bảo vệ cũng như khơng có 1 thiết bị bảo mật nào bảo vệ thiết bị này. Nếu người tấn cơng bên ngồi làm chủ được thiết bị Switch này thì khả năng thể tấn cơng tồn bộ hệ thống sẽ rất lớn.
Ngoài hệ thống firewall ra, tại trung tâm chưa có các hệ thống bảo mật quan trọng khác như: IPS (hệ thống ngăn chặn sự xâm nhập), thiết bị quản lý băng thông. Hệ thống anti-virus của Cục tần số vô tuyến điện cũng khơng phải là 1 hệ thống anti-virus hồn thiện. Hệ thống anti-virus cần được bảo vệ từ Gateway, Server cho đến các client.
5.2.2 Các chi nhánh
Tại tất cả các trung tâm ở các tỉnh đều khơng có 1 hệ thống bảo mật nào. Các trung tâm đều kết nối đến Internet bằng 1 thiết bị modem ADSL mà không được bảo vệ bằng bất kỳ thiết bị nào.Điều này rất nguy hiểm vì các đối tượng có thể tấn cơng vào hệ thống từ các chi nhánh.
Đồng thời, Cục tần số cũng chưa có hệ thống kiểm sốt truy nhập và giới hạn quyền đối với người sử dụng, chưa có hệ thống kiểm sốt antivirus và
phòng chống các mã nguy hiểm tập trung, chưa có hệ thống giám sát tồn bộ hệ thống mạng. Việc quản lý mạng chưa có quy trình kiểm sốt, hoạt động trong trạng thái cịn sơ khởi.
5.3 Đề xuất giải pháp
Trên cơ sở hệ thống mạng hiện tại, cùng với nhu cầu bức thiết phải đảm bảo an tồn thơng tin và kết nối giữa các trung tâm về Trung tâm Hà Nội. Tơi đề xuất thiết lập lại mơ hình mạng để đảm bảo:
- Đảm bảo tính khả mở, thuận tiện cho việc phục vụ nhu cầu kết nối và phát triển thêm ứng dụng, thêm các trung tâm trên tồn quốc, thêm các kênh thơng tin phục vụ khách hàng trong tương lai.
- An tồn, bảo mật về thơng tin, môi trường và an ninh vật lý, cũng như khả năng dự phòng cho các vị trí quan trọng của hạ tầng.
- Chi phí hợp lý và thấp nhất nhưng đảm bảo hiệu quả cao nhất. Giải pháp đưa ra được thực hiện trong 2 giai đoạn.
5.3.1 Giai đoạn 1: Triển khai mạng VPN
Mạng diện rộng VPN (Virtual Private Network) là một mạng riêng ảo được xây dựng trên nền hạ tầng mạng viễn thông công cộng. VPN cho phép trao đổi thông tin, triển khai các ứng dụng một cách an toàn với nhiều lựa chọn kết nối linh hoạt, kinh phí thấp mà chất lượng dịch vụ vẫn đảm bảo.
VPN cung cấp một kênh an toàn từ đầu mạng giúp cho các đơn vị trực thuộc, các trung tâm ở xa hoặc những người làm việc từ xa có thể dùng Internet truy cập tài nguyên của Cục tần số vô tuyến điện một cách bảo mật và thoải mái như đang sử dụng máy tính cục bộ trong mạng cơng ty. VPN là một đường hầm vận chuyển những gói tin mạng đã được mã hóa từ một hệ thống ở
đầu này đến hệ thống ở đầu kia qua mạng cơng cộng, nó trong suốt đối với người sử dụng.
Sơ đồ giải pháp mạng VPN tạiCục tần số vô tuyến điện: