Với trên 100 triệu đường dây đã được cung cấp trên toàn thế giới, DSL là công nghệ đã được thừa nhận trên toàn cầu. DSL đã được triển khai rộng khắp ở nhiều quốc gia. Một số quốc gia rất chú trọng tới phát triển dịch vụ DSL bằng cách tạo chính sách thúc đẩy phát triển cơ sở hạ tầng nhằm thu hút và phát triển thuê bao. Hiện tại DSL chiếm tới hơn 63% thị trường kết nối mạng băng rộng toàn cầu và hiện vẫn đang phát triển mạnh tại các nước phát triển. Với các nước phát triển như các nước châu Âu, Mỹ, Nhật Bản, Hàn quốc, ADSL chiếm tới hơn 75% thị trường mạng băng rộng.
Cùng với các dịch vụ ứng dụng ban đầu như là Internet, voice và video, giá thành cung cấp dịch vụ DSL đã giảm đáng kể trong thời gian vừa qua. Ngày nay, ADSL có thể cung cấp phần lớn nhu cầu dịch vụ, từ các dịch vụ thông thường nhất cho tới dịch vụ tốc độ cao. Các công ty viễn thông hiện đang nỗ lực tìm kiếm những phương thức mới để tạo các dịch vụ giá trị gia tăng từ dịch vụ truy nhập DSL. Họ đã tìm kiếm từ nhu cầu của khách hàng về mạng băng rộng. Internet tốc độ cao hơn, triển khai giao thức kiến tạo các dịch vụ quảng bá broadcast hay multicast để cung cấp truyền hình chất lượng cao theo xu hướng phát triển của thị trường cũng như nhu cầu của người sử dụng trong xã hội.
Hiện tại đang nổi lên xu hướng cung cấp loại hình dịch vụ Triple-Play. Dịch vụ này cho phép cung cấp đồng thời thoại, truyền dữ liệu và truyền hình trên mọt thiết bị đầu cuối khách hàng duy nhất. Để thực hiện được loại hình dịch vụ nói trên, điều quan trọng là thực thi được cơ chế hữu hiệu đảm bảo chất lượng của dịch vụ. Phương thức mã hóa đường dây thông qua ADSL 2+ và VDSL2 hiện nay tăng tốc độ trên đôi cáp đồng lên tới hàng chục Mbps cho phép truyền tải các dịch vụ video và dịch vụ đa phương tiện chất lượng cao. Như vậy các thuê bao có thể được đảm bảo về độ tin cậy và chất lượng dịch vụ cao hơn.
1.8 Kết luận chương I
Lịch sử phát triển công nghệ mạng và dịch vụ viễn thông đã cho thấy một bước ngoặt lớn về công nghệ hiện đang được hình thành và phát triển. Từ những sự kết nối tốc độ bit thấp đơn giản trong mạng chuyển mạch kênh đến sự phát triển các dịch vụ mạng băng rộng tốc độ cao, cung cấp băng thông rộng một cách linh hoạt đang được triển khai rỗng rãi tại các nước trên thế giới trong giai đoạn hiện nay và trong giai đoạn tiếp theo.
Chương I: Lịch sử mạng băng rộng
Các hãng cung cấp dịch vụ có thể thu được nhiều hơn lợi nhuận thông qua các dịch vụ giá trị gia tăng trên nền triển khai dịch vụ Triple-Play tới khách hàng. Sự phát triển và cải tiến liên tục của công nghệ DSL hướng tới thỏa mãn yêu cầu kỹ thuật để hạ tầng mạng truy nhập cáp đồng có thể triển khai được loại hình dịch vụ nói trên. Bằng chứng của sự phát triển công nghệ đó là tiêu chuẩn về DSL đã được diễn đàn về công nghệ DSL cập nhật liên tục các phiên bản, từ TR-001, TR-018 qua TR-025 và tiến tới TR-059 và TR-101 như hiện tại.
Hiện tại hạ tầng mạng viễn thông hướng tới tích hợp hạ tầng mạng dùng chung và hướng tới công nghệ truyền tải IP cho tất cả các loại hình dịch vụ. Điều này tạo ra một đặc điểm là khái niệm về người sử dụng trong môi trường mạng tích hợp đa dịch vụ chủ yếu sẽ được hiểu có sự tách biệt về mặt lô-gíc chứ không tách biệt với nhau về mặt vật lý như các công nghệ mạng và dịch vụ cũ mang lại. Điều đó đồng nghĩa với nguy cơ xuất hiện những lỗ hổng về an toàn trao đổi thông tin. Bảo mật dịch vụ, bảo mật quyền truy cập của người sử dụng là một vấn đề lớn đặt ra cần phải giải quyết không chỉ đối với mạng hiện tại mà còn cả đối với mạng thế hệ kế tiếp. Chương tiếp theo của luận án sẽ đi vào tìm hiểu vấn đề nói trên.
Chương II: Bảo mật trong mạng băng rộng
CHƯƠNG II : BẢO MẬT TRONG MẠNG BĂNG RỘNG
Internet là một nơi thân thiện với con người. Tuy nhiên, có những tuyến phân định giữa những vùng mong muốn, và cũng giống như có cánh cửa vào nhà hay cửa hàng, ta cũng có các cổng giữa các điểm trên mạng băng rộng .. Chương này mô tả những mối lo ngại về an ninh mà nhà cung cấp dịch vụ phải đối mặt và trình bày một số giải pháp .
Các BNG là các điểm tập hợp IP cho hàng ngàn khách hàng. Điều quan trọng cần lưu ý rằng BNG là điểm kết thúc IP, là nơi định tuyến xác định và là nơi các dịch vụ IP bắt đầu. Một số yếu tố khác, như các cổng khách hàng, các nút truy nhập, các mạng Ethernet tập hợp, cung cấp việc truyền tải.
Các nhà cung cấp dịch vụ mạng có 2 mục tiêu chính khi cung cấp bảo mật. Đầu tiên là bảo vệ miền cung cấp dịch vụ. Có nghĩa là nhà cung cấp dịch vụ cần bảo vệ mạng của họ khỏi các tác động bên ngoài, bao gồm cả khách hàng và mạng bên ngoài. Thứ hai, đó là bảo vệ khách hàng khỏi các mạng bên ngoài. Sau tất cả, mục tiêu chính của nhà cung cấp dịch vụ là cung cấp một dịch vụ hữu ích và đáng tin cậy. Nếu cung cấp các dịch vụ không thỏa mãn được khách hàng, thì họ sẽ tìm một nhà cung cấp khác.
Một số khái niệm bảo mật chồng chéo nhau giữa bảo vệ nhà cung cấp dịch vụ và bảo vệ khách hàng. Phần tiếp theo và phần “ Các tính năng bảo mật cổng khách hàng “ đi sâu vào các vấn đề này.
2.1 Từ chối dịch vụ
10 năm qua đã cho thấy sự tấn công đáng kể của từ chối dịch vụ (DoS) qua mạng Internet. Chúng đã gây ra sự tàn phá cho các nhà cung cấp và gây ra mất mạng, các vấn đề về thanh toán, các trang web không có sẵn để cung cấp cho cả nội dung thương mại và phi thương mại, và gây thất vọng cho hàng triệu người dùng. Những cuộc tấn công này có nguồn gốc và quy mô khác nhau và thường có một mục tiêu duy nhất : làm có một máy chủ, mạng hoặc dịch vụ không sẵn sàng hoạt động.
Lý do các cuộc tấn công DoS là khác nhau. Hệ thống UNIX trong thập niên 1980 đã chứng kiến cuộc tấn công của một người dùng duy nhất gây thiệt hại cho hệ thống chia sẻ. Một số cuộc tấn công tập trung vào việc tạo ra số lượng tối đa các quá trình xử lý mà một hệ thống có thể xử lý. Giữa thập niên 90 chứng
Chương II: Bảo mật trong mạng băng rộng
kiến cuộc tấn công DoS, tập trung vào e-mail và các dịch vụ FTP, với mục tiêu làm đầy các máy chủ lưu trữ và ngăn ngừa các e-mail có hiệu lực và các tệp tin được chuyển giao đến máy chủ. Những cuộc tấn công thường không phá hoại mạng, mà tập trung vào các hệ thống cụ thể. Vì vậy, chúng thường được sửa chữa bởi các quản trị viên hệ thống .
Năm 1997, với một phiên bản của mã nguồn và phương thức tấn công gọi là WinNuke, hàng triệu máy tính Window 95 trên Internet đã trở nên dễ bị tấn công. Những cuộc tấn công này có thể thực hiện đơn giản qua Internet đơn giản chỉ bằng cách gửi một chuỗi dữ liệu nhỏ đến một cổng đang ở trạng thái lắng nghe trên máy tính. Mục tiêu của các cuộc tấn công này chủ yếu tập trung vào máy tính cá nhân hoặc các mạng con. Bởi vì phần lưu lượng đã được quang hóa, nên các nhà cung cấp dịch vụ rất không quan tâm đến tổn thất do các cuộc tấn công.
Tất cả điều này đã thay đổi với các kiểu tấn công tràn lụt, kiểu mà làm tổn hao một lượng lớn lưu lượng mạng đường trục. Một trong những cuộc tấn công được công nhận nhất là cuộc tấn công “ smurf”, đặt theo tên của ứng dụng có cùng tên gọi. Kỹ thuật này sử dụng chức năng của nhiều bộ định tuyến tại thời điểm cho phép các gói tin được gửi đến địa chỉ IP quảng bá đầu xa, các gói tin này được gửi quảng bá ở lớp 2. Chức năng này kết hợp với IP giả (thay đổi hoặc giả địa chỉ nguồn của lưu lượng ), dẫn đến một tình huống đó là một địa chỉ IP ping được gửi tới một mạng IP có thể tạo ra khuếch đại đáp ứng ICMP từ hàng trăm máy chủ. Nếu ban đầu việc truyền tải tới mạng mục tiêu là có nguồn gốc với một địa chỉ IP giả, sau đó hàng trăm phản hồi sẽ gửi đến mạng nạn nhân mà sở hữu địa chỉ IP giả mạo. Những kẻ tấn công thật sự bản chất là một bên thứ ba đã tạo ra cuộc tấn công mạng. Truy tìm các loại tấn công rất khó khăn, vì nó liên quan đến các lưu lượng được gửi giữa các mạng, mặc dù một mạng không tạo ra yêu cầu. Thậm chí tệ hơn, nó có thể là một nguồn địa chỉ mạng khuếch đại lưu lượng và sử dụng địa chỉ IP nguồn để gửi cho các bộ khuếch đại khác. Những kẻ tấn công thật sự chỉ cần quan sát các hành vi ( thường là bằng cách ping các máy chủ trên mạng mục tiêu và theo dõi độ trễ khứ hồi ), như hai mạng mục tiêu bắt đầu tràn lụt nhau cho đến khi một trong hai hoặc mạng lưới truyền tải đạt đến giới hạn.
Các kiểu tấn công “smurf” không còn phổ biến bởi một số lý do. Đó là việc thực hiện tốt theo các tài liệu từ nhà cung cấp mạng và các cuộc thảo luận trên
Chương II: Bảo mật trong mạng băng rộng
diễn đàn điều hành mạng đã giúp vô hiệu hóa việc sử dụng các IP quảng bá định hướng bằng cách thay đổi mạng. Ngoài ra, một trong những thay đổi mạng quan trọng nhất được đưa ra đó là khái niệm Reverse Path Forwarding ( chuyển tiếp đường truyền ngược), giúp cho các nhà cung cấp dịch vụ dễ dàng ngăn chặn IP giả mạo.
2.1.1 Chuyển tiếp đường truyền ngược (RPF)
Khái niệm về kiểm tra RPF rất đơn giản. Các bộ định tuyến, thực hiện kiểm tra RPF, sẽ chấp nhận các gói tin IP khi bộ định tuyến có 1 tuyến đường tới nguồn của gói tin trên cùng một giao diện mà chúng nhận được các gói tin. Ví dụ, một bộ định tuyến có một entry trong bảng định tuyến cho các prefix 192.168.10.0/24, mà có thể truy cập thông qua giao diện Gigabit Ethernet2/0.100, và giao diện này đã được kích hoạt kiểm tra RPF, bộ định tuyến sẽ chỉ chấp nhận các gói tin từ host trong giải địa chỉ 192.168.10.0/24 trên riêng giao diện này. Chức năng của bộ định tuyến là kiểm tra đường dẫn ngược lại cho một gói tin nhận được và chấp nhận nó nếu bộ định tuyến thông thường sẽ gửi một gói tin đến địa chỉ đó qua cùng 1 giao diện.
Hình 2. 1: Hoạt động RPF
Kiểm tra RPF trên cổng mạng băng rộng là cần thiết. Trên phần lớn các bộ định tuyến dựa trên phần cứng, kiểm tra RPF không gây ra bất kỳ sự chuyển tiếp
Chương II: Bảo mật trong mạng băng rộng
chậm trễ đáng chú ý nào, mặc dù nó cho phép các gói tin được kiểm tra việc giả mạo. Nếu chức năng này được kích hoạt trên tất cả các giao diện thuê bao, nó có thể không làm dừng lại các tấn công, nhưng ít nhất nó sẽ đảm bảo rằng gói tin có nguồn gốc từ các thuê bao đang sử dụng địa chỉ hợp lệ của họ, như thể hiện trong hình 2.1. Điều này làm cho theo dõi các cuộc tấn công dễ dàng hơn nhiều.
2.1.2 Các tính năng bảo mật cổng mạng nhà riêng
Các bộ định tuyến gia đình, bây giờ gọi là các cổng mạng nhà riêng (RG), mang nhiều tính năng hơn trước, trong đó có tính năng bảo vệ các thuê bao khỏi các cuộc tấn công từ Internet. Thiết bị này cần có khả năng tự bảo vệ từ những TCP bất thường và các cuộc tấn công như LAND, Ping of Death, tràn lụt TCP syn, các cuộc tấn công TCP thiết lập lại, và các gói tin IP ko hợp lệ. Các cuộc tấn công từ Internet thường nhằm vào các thiết bị này. Các thiết bị này dễ bị các cuộc tấn công này làm hại, nếu chúng nhận được các cuộc tấn công này, chúng thường gặp phải sự cố hoặc tự thiết lập lại.
Nhà cung cấp dịch vụ sẽ mất một thời gian khó khăn để xử lý sự cố kết nối nếu cổng của khách hàng bị tấn công. Vì vậy RG là điều quan trọng để nhà cung cấp dịch vụ giảm lượng cuộc gọi bàn trợ giúp có liên quan đến mất kết nối. Do đó, nhà cung cấp dịch vụ lựa chọn RG hoặc giới thiệu đến khách hàng để cung cấp mức độ an ninh thỏa đáng đến khách hàng. Khi an ninh được thắt chặt, thì việc cung cấp các dịch vụ đáng tin cậy hơn trở nên dễ dàng.
Các tính năng của RG khác nhau tùy thuộc vào nhà cung cấp và kiểu RG . Dưới đây là một số tính năng bảo mật cơ bản có sẵn trên RG :
• Cấu hình tường lửa với khả năng ghi lại các gói tin mà phù hợp với các quy định cụ thể.
• Có khả năng khóa hoặc không đáp ứng lại các yêu cầu ping trên giao diện WAN.
• Cổng ứng dụng layer SIP để mở cổng cho dữ liệu thoại.
• Có khả năng tạo các VLAN trên các cổng Ethernet cho phép phân đoạn giữa các mạng gia đình khác nhau.
• Phân loại lưu lượng dựa trên 5 bộ (địa chỉ nguồn, địa chỉ đích, giao thức, cổng nguồn, cổng đích) và có thể là các cờ TCP. Điều này rất hữu ích cho việc cấu hình QoS trên cổng nhà riêng, bởi vì nó cho phép lưu
Chương II: Bảo mật trong mạng băng rộng
lượng được phân loại, và sau đó các cơ chế thiết lập chương trình có thể tạo ưu tiên cho phù hợp cho lưu lượng.
• NAT/PAT.
• Cổng chuyển tiếp cho phép các host bên ngoài tiếp cận các host nội bộ trên cổng cụ thể.
• Vùng không tranh chấp (DMZ) cấu hình cho host cụ thể.
Với việc kết hợp các cơ chế bảo mật cơ bản của nhà cung cấp và các tính năng bảo mật được tiến hành trong cá thiết bị cổng nhà riêng, mạng lưới thuê bao có thể tập trung sử dụng các dịch vụ và không lo ngại về mỗi gói tin được hướng theo đường của nó.
2.2 Bảo mật trong mạng băng rộng và VOIP
Trong 1 số khía cạnh , hệ thống thoại qua IP (VoIP) cho phép khách hàng giao tiếp với cái được gọi là báo hiệu cơ học. VoIP vẫn có khái niệm phân chia giữa luồng thoại và các luồng báo hiệu, nhưng việc triển khai VoIP đã cơ bản được đặt giao diện báo hiệu trở lại với các thuê bao. Đây là lý do bảo mật VoIP cho các mạng băng rộng là rất quan trọng.
Hãy so sánh một số khái niệm giữa các mạng điện thoại tiêu chuẩn và mạng VoIP. Mạng điện thoại tiêu chuẩn thường không có thông tin người dùng cung cấp cho hệ thống điện thoại. Có trường hợp ngoại lệ, chẳng hạn như tại biên giới, và tính năng gọi điện thoại qua biên giới, nơi mà mã PIN được nhập vào để cho phép mô hình cuộc gọi cụ thể, như là cuộc gọi đường dài. Tuy nhiên, phổ biến nhất , khi chọn 1 chiếc điện thoại cầm tay, cuộc gọi đã được chứng thực, vì đường dây thực tế đã xác nhận khách hàng. Đường dây POTS là địa điểm thực tế của thuê bao đã đủ chứng thực là cuộc gọi đã được thiết lập bởi các bên xác định. Các dịch vụ VoIP thì khác. Chúng không vị ràng buộc bởi vị trí địa lý của thuê bao. Bởi vì gói tin IP có thể bắt nguồn bất cứ nơi đâu ở trên mạng.