Các hệ thống IDP thường được đặt sau bức tường lửa (Hình 2.9) để thiết bị có thể kiểm tra các gói đi vào và đi ra khỏi mạng. Khi lưu lượng có hại được phát
hiện, thiết bị IDP sẽ ngăn ngừa lưu lượng này không được đi vào mạng hoặc rời khỏi mạng. Đặt một hệ thống IDP trên đường liên kết đầu ra là quan trọng bởi vì IDP cho phép nhà khai thác ngăn ngừa các tấn công khởi nguồn từ bên trong mạng không tác động tới các nhà khai thác khác.
2.3.4. Bảo vệ mạng bằng VPN
Kỹ thuật bảo vệ ở lớp mạng tốt nhất là IPSec, IPSec bảo vệ lưu lượng trên mỗi kết nối và do đó độc lập với lớp ứng dụng chạy trên nó, ngồi ra IPSec được sử dụng để thực hiện các mạng VPN. Một mạng VPN dựa trên IPSec được sử dụng để nhận thực và cho phép người sử dụng truy nhập tới các nguồn tài nguyên; thiết lập các đường hầm bảo mật giữa các thực thể truyền thơng; đóng gói và bảo vệ dữ liệu được phát bởi mạng. Sử dụng VPN, các nhà khai thác mạng di động khắc phục được các điểm yếu của giao thức GTP bằng cách mật mã hoá lưu lượng qua một IPSec VPN và triển khai các bức tường lửa để khố các dịng lưu lượng có ý định khai thác các điểm yếu của GTP.
2.3.5. Bảo vệ trên từng phần tử mạng
2.3.5.1. Bảo vệ thiết bị người dùng
Hướng dẫn người dùng sử dụng dịch vụ
Hướng dẫn người dùng sử dụng dịch vụ là phương pháp hiệu quả nhất để bảo vệ UE. Thông báo cho người dùng về những rủi ro thiệt hại từ các thiết bị không an toàn sẽ thúc đẩy người dùng giữ các UE an toàn về mặt vật lý. Người dùng được thơng báo tắt các tính năng vị trí địa lý trên thiết bị của họ để bảo vệ quyền riêng tư của vị trí thực tế của họ. Nhà mạng có thể gửi quyền hạn và trách nhiệm bảo vệ thiết bị cho người dùng thông qua các thỏa thuận sử dụng và điều luật xử lý liên quan.
Anti-Virus
Các UE cũng như máy tính cá nhân (PC) rất dễ bị nhiễm Virus, các phần mềm độc hại và các tấn công công nghệ. Các phần mềm chống Virus bảo vệ các thiết bị tránh khỏi phần lớn mối đe dọa từ Virus, phần mềm độc hại, phần mềm gián điệp và các phần mềm chống Virus này luôn được cập nhật bởi nhà cung cấp. Phần
mềm chống virus, chống phần mềm độc hại nên được cài đặt trên các UE và được cập nhật như một cơ chế bảo vệ cơ bản cho thiết bị.
Xác thực mạnh, ủy quyền, mã hóa
UE nên có cơ chế xác thực mạnh để xác minh người dùng truy cập UE. Thuê bao nên cài đặt mật khẩu mạnh trên UE. Kết quả là những kẻ tấn cơng sẽ khơng cịn có quyền truy cập ngay vào dữ liệu trên thiết bị, ngay cả khi thiết bị thuộc quyền sở hữu của chúng. UE có thể được thiết lập với các đặc quyền truy cập khác nhau cho người dùng và quản trị viên. Điều này sẽ cung cấp cho UE các lớp bảo vệ truy cập khác. Hơn nữa, người dùng 5G cần được tư vấn để lựa chọn thiết bị với hệ điều hành được mã hóa, hay khả năng xóa thơng tin dữ liệu từ xa để mã hóa dữ liệu lưu trữ trên thiết bị.
Các tiêu chuẩn và kiểm soát bảo mật
Các nhà mạng cần làm việc với các nhà mạng khác và nhà sản xuất để thiết lập các tiêu chuẩn an ninh bền vững và quản lý thông minh, phù hợp với các thiết lập bảo mật mặc định trên UE. Nhà mạng cần chia sẻ và hướng dẫn các thuê bao sử dụng các tính năng bảo mật của UE để bảo vệ chính người dùng và nhà mạng.
1.1.1.1. Bảo vệ truy cập
Bảo mật vật lý
Các nhà mạng cần cố gắng bảo vệ các thiết bị vật lý tại các vị trí cơng cộng. Những nơi kẻ tấn cơng có thể làm xáo trộn các thiết bị và thực hiện quyền kiểm soát truy cập, nhà mạng cần có các biện pháp để xác định và ngăn chặn kẻ tấn công như gắn camera, các cơ chế phát hiện xâm nhập.
Xác thực, ủy quyền, mã hóa
Trong chuẩn TS 33,203 của 3GPP có nêu rõ các bảo mật truy cập trong đó bao gồm các cơ chế xác thực liên quan và bảo vệ đường truyền giữa UE và mạng lõi. Mã hóa mạnh trong q trình attach và xác thực UE để các eNB ngăn chặn được nghe lén, lửa đảo và tấn cơng MITM. Thơng qua khóa cơ sở công khai (PKI) với khóa cơng khai của nhà mạng được lưu trữ trong USIM, UE có thể mã hóa thơng tin bảo mật liên quan như IMSI khi gửi tới eNB. Mã hóa cần được thực hiện giữa UE
và eNB để ngăn chặn kẻ tấn công tận dụng paging xác định vị trí người dùng và bảo vệ bảo mật và an ninh cho thuê bao.
Giám sát mạng
Hệ thống phát hiện xâm nhập không dây và hệ thống phát hiện xâm nhập khơng dây có thể được sử dụng khi phát hiện các eNB giả mạo để xác định tấn công nhanh nhất, giảm thiểu các rủi ro tác động.
Kiến trúc bảo mật
Với khối lượng dữ liệu di động nâng theo cấp số nhân, các nhà mạng đang phải đối mặt với những thách thức của việc quản lý băng thông và các biện pháp bảo mật như xác thực, mã hóa mà khơng làm ảnh hướng xấu đến độ trễ và QoS của lưu lượng dữ liệu. Các nhà mạng nên xem xét bảo mật trước trong giai đoạn thiết kế mạng và mở rộng mạng lưới kiến trúc bảo mật tạo điều kiện cho các hoạt động bảo mật trong mạng 5G tương lai.
2.3.5.2. Bảo vệ mạng lõi (EPC)
Kiến trúc bảo mật
Để giải quyết lỗ hổng IP, IPSec được triển khai cho luồng dữ liệu điều khiển và luồng dữ liệu người dùng. Các thế hệ mạng di dộng tiếp theo đều được khuyến cáo sử dụng VPN để bảo mật truyền dữ liệu trong mạng lõi. Đồng thời, việc sử dụng VLAN trong mạng và phân biệt luồng dữ liệu là một biện pháp bảo mật được áp dụng. Điều này sẽ tách biệt đường truyền báo hiệu khỏi một mạng cụ thể hoặc các đường dẫn được định nghĩa bởi các VLAN. Những biện pháp này sẽ hạn chế thiệt hại do kẻ tấn công gây ra bằng cách truy cập trái phép, nghe lén, giả mạo và các cuộc tấn cơng khác.
Mã hóa IKE/ IPSec
3GPP khuyến nghị bao gồm IKE/IPSec để ủy quyền, xác thực, bảo vệ tính tồn vẹn và bảo mật. Cả hai biện pháp nói trên sẽ cung cấp một mức độ bảo vệ nhất định chống lại các cuộc tấn cơng dựa trên IP và có thể ngăn chặn các cuộc tấn công quá mức.
Các nhà mạng nên giám sát các mạng hoạt động đáng ngờ. Một điểm mới là nhà mạng những phải quan tâm đến việc bảo vệ mạng lưới của riêng họ mà còn phải đạt được thỏa thuận với các nhà khai thác di động và các đối tác khác tại các điểm kết nối về quản lý cấu hình, quản lý hiệu năng, quản lý lỗi và các quản lý bảo mật tại biên và trong mạng lõi.
Cân bằng tải
Các nhà mạng phải đảm bảo mạng lưới của họ trong đường truyền tín hiệu tại tất cả các thực thể trong mạng EPC. Chính sách và độ ưu tiên đường truyền dữ liệu cần được áp dụng triệt để để ngăn chặn tình trạng quá tải. Điều này sẽ giúp giảm tác động của tấn công DoS/DdoS. Các nhà mạng có thể tiến hành phân tích hop by hop giữa các thành phần mạng để đảm bảo an ninh giữa các thực thể. Triển khai các cổng bảo mật, tường lửa, IDS và IPS được nhiều nhà cung cấp cơ sở hạ tầng khuyến nghị.
2.3.5.3. Bảo vệ dịch vụ mạng
Bảo mật biên
Hệ thống IMS cần có sự bảo mật giữa các mạng với nhau để bảo vệ mạng khỏi các truy cập không hợp pháp thông qua các mạng khác nhau. Các thuê bao chuyển vùng sẽ truy cập vào hệ thống IMS thông qua mạng Internet và các điểm chuyển giao không đáng tin cậy sẽ được bảo vệ một cách đặc biệt. Nhà mạng phải đảm bảo và kiểm soát các vùng biên của mạng, đồng thời cần đầu tư hạ tầng bảo mật như tường lửa, bộ lọc dữ liệu, phân giải địa chỉ, VPN và khả năng mã hóa giữa các nhà mạng.
Xác thực mạnh
Các nhà mạng nên thực hiện xác thực mạnh giữa UE và IMS, cũng như sử dụng cổng bảo mật (SEG) để đảm bảo tính bảo mật của dữ liệu giữa khách hàng và mạng IMS. Các mạng phải được cấu hình trong đó các UE được định tuyến đến SEG chính xác trước khi kết nối tới mạng IMS và đảm bảo IPSec được kích hoạt từ UE để truyền dữ liệu thông qua Internet đến IMS. IPSec cung cấp bảo mật, tính tồn vẹn, xác thực nguồn gốc dữ liệu và bảo vệ chống lại phát lại.
Kích hoạt các giao thức bảo mật
Các giao thức bảo mật cung cấp bảo vệ ở các lớp khác nhau như lớp secure socket (SSL), bảo mật lớp vận chuyển (TLS). Đánh cắp mạng có thể được ngăn chặn bằng cách mã hóa các bản tin báo hiệu SIP. Các nhà mạng phải thiết kế mạng để cho phép hoạt động ổn định khi đang kích hoạt các giao thức bảo mật. Các giao thức này cho phép kết nối và truyền dữ liệu giữa UE và các dịch vụ trong mạng IMS được an tồn.
Bảo mật Gateway
Với mục đích của IMS là tạo ra một nền tảng duy nhất cho nhiều nhà cung cấp, quản lý bảo mật vượt xa các tường lửa và bộ định tuyến truyền thống như hoạt động của các phiên bản hiện tại, hệ thống IMS đòi hỏi nhiều cấp độ QoS khác nhau, yêu cầu thực thi các chính sách, mã hóa và xác thực. Các nhà mạng cần đầu tư phát triển cơ sở hạ tầng an ninh và bảo mật các Gateway để có thể mở rộng quản lý một hệ thống phức tạp.
2.4. Kết luận chương 2
Đến chương 2, luận văn đưa ra hai vấn đề chính liên quan đến các giải pháp bảo mật mạng 5G.
Vấn đề thứ nhất là các mối đe dọa trong mạng di dộng, trong đó bao gồm những hiểm họa đối với các thiết bị di dộng như worms, zombies, viusues, trojan horses, logic bombs, trap doors, phishing scam và spyware. Cũng trong vấn đề này, luận văn đề cập đến các kiểu tấn cơng trên mạng di động trong đó có một vài kiểu tấn cơng điển hình như tấn cơng theo dõi thiết bị và nhận dạng, tấn công từ chối dịch vụ (DoS), tấn công gây q cước, tấn cơng khóa bảo mật hay tấn cơng chặn cuộc gọi.
Vấn đề thứ hai trong chương này, luận văn đưa ra các giải pháp bảo vệ mạng 5G dựa trên các hiểm họa, mối đe dọa và các kiểu tấn cơng đã nêu ra trước đó. Các giải pháp bảo vệ mạng bao gồm bảo vệ chống lại Malware, bảo vệ bằng tường lửa, bảo vệ mạng bằng hệ thống phát hiện và ngăn ngừa xâm nhập, bảo vệ trên các phần từ mạng và bảo vệ bằng VPN. Trong đó có đề cập tới IPSec, một giao thức IP tích hợp các cơ chế bảo mật cao, đây là một giải pháp hiệu quả cho các nhà mạng trong q trình triển khai mạng thơng tin di động 5G.
Chương 3. NGHIÊN CỨU CƠ CHẾ IP SECURITY TRONG BẢO MẬT MẠNG 5G
Trong các cách bảo vệ mạng, IPSec trở thành một giải pháp hiệu quả giúp bảo mật các gói tin được truyền trong hệ thống mạng thông tin di động hiện nay. Trong chương này, luận văn sẽ trình bày tổng quan các vấn đề về giao thức bảo mật IP Security, đồng thời giới thiệu cơ chế bảo mật IPSec trong mạng thông tin di động hiện nay.
3.1. Tổng quan IP Security
3.1.1. Tổng quan về giao thức bảo mật IPSec
Thuật ngữ IPSec là một từ viết tắt của thuật ngữ Internet Protocol Security. Giao thức IPSec được phát triển bởi tổ chức Internet Engineering Task Force (IETF). IPSec bao gồm một hệ thống các giao thức chuẩn, cung cấp các dịch vụ bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP). Bao gồm xác thực và mã hoá (Authenticating and Encrypting) cho mỗi gói IP (IP packet) trong q trình truyền thơng tin.
Mơ hình
TCP/IP
Mơ hình OSI Các giao thức sử dụng
Tầng ứng dụng
Tầng ứng dụng
DNS, DHCP, FTP, HTTPS, IMAP, LDAP, NTP, POP3, SSH, SNMP, Telnet, RTP, RTSP...
Tầng trình diễn JPEG, MPEG, PICT, TIFF, MIDI... Tầng phiên NetBIOS, NFS, PAP, SCP, SQL, ZIP... Tầng giao vận Tầng vận chuyển TCP, UDP...
Tầng mạng Tầng mạng ICMP, IGMP, IPSec, Ipv4, Ipv6, IPX, RIP...
Tầng liên kết
Tầng liên kết
ARP, ATM, CDP, FDDI, Frame Relay, HDLC, MPLS, PPP, STP, Token Ring...
Tầng vật lý Bluetooth, Ethernet, DSL, ISDN, 802.11 Wifi…
Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP. Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3 (Network layer) trong mơ hình OSI. (Đó là lý do tại sao IPSec được phát triển ở giao thức tầng 3 thay vì tầng 2).
IPSec cung cấp một cơ cấu bảo mật ở Network layer của mơ hình OSI, và ở Internet layer của mơ hình TCP/IP.
IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản Ipv4 và Ipv6. Đối với Ipv4, việc áp dụng IPSec là một tuỳ chọn, nhưng đối với Ipv6, giao thức bảo mật này được triển khai bắt buộc.
3.1.2. Tính năng của IPSec
Để thực hiện được chức năng chính của mình là bảo mật dữ liệu trong VPN, IPSec cung cấp những tính năng sau:
Sự bảo mật dữ liệu (Data Confidentiality):
Đảm bảo dữ liệu được an toàn, tránh những kẻ tấn công phá hoại bằng cách thay đổi nội dung hoặc đánh cắp dữ liệu quan trọng. Việc bảo vệ dữ liệu được thực hiện bằng các thuật tốn mã hóa như DES, 3DES và AES. Tuy nhiên, đây là một tính năng tùy chọn trong IPSec.
Sự toàn vẹn dữ liệu (Data Integrity):
Đảm bảo rằng dữ liệu khơng bị thay đổi trong suốt q trình trao đổi. Data Integrity bản thân nó khơng cung cấp sự an tồn dữ liệu. Nó sử dụng thuật tốn băm (hash) để kiểm tra dữ liệu bên trong gói tin có bị thay đổi hay khơng.
Những gói tin nào bị phát hiện là đã bị thay đổi thì sẽ bị loại bỏ. Những thuật tốn băm: MD5 hoặc SHA-1.
Chứng thực nguồn dữ liệu (Data Origin Authentication):
Mỗi điểm cuối của VPN dùng tính năng này để xác định đầu phía bên kia có thực sự là người muốn kết nối đến mình hay khơng. Lưu ý là tính năng này khơng tồn tại một mình mà phụ thuộc vào tính năng tồn vẹn dữ liệu. Việc chứng thực dựa vào những kĩ thuật: Pre-shared key, RSA-encryption, RSAsignature.
Đảm bảo gói tin khơng bị trùng lặp bằng việc đánh số thứ tự. Gói tin nào trùng sẽ bị loại bỏ, đây cũng là tính năng tùy chọn.
3.1.3. Kiến trúc và các chế độ hoạt động của IPSec
3.1.3.1. Kiến trúc IPSec
Cơng việc bảo mật các gói tin IP được thực hiện bằng hai giao thức:
Xác thực tiêu đề (AH) và đóng gói tải bảo mật (ESP). AH được sử dụng để đảm bảo tính tồn vẹn của dữ liệu, cung cấp khả năng bảo vệ trước sự giả mạo và chế độ xác
thực đối với máy chủ. ESP cũng thực hiện các chức năng tương tự như AH nhưng nhưng kèm thêm khả năng bảo mật dữ liệu. Cũng cần nhấn mạnh rằng cả hai giao thức này đều khơng chỉ ra bất kỳ một thuật tốn mã hoá và xác thực cụ thể nào mà
chỉ tạo ra khả năng ứng dụng tốt nhất một trong các thuật tốn đang hiện hành.
Hình 3.1. Kiến trúc IPSec.
Bộ giao thức IPSec mang lại ba khả năng chính, đó là:
- Đảm bảo tính tồn vẹn và xác thực dữ liệu: IPSec cung cấp một cơ chế mạnh để xác minh tính xác thực của người gửi và nhận ra bất kỳ sự thay đổi nào không bị phát giác trước đó về nội dung của gói dữ liệu bởi người nhận không
mong muốn. Giao thức IPSec mang lại sự bảo vệ tốt chống lại sự giả mạo, do thám