a, Thiết bị Radisys SEG-LTE
Hình 3.2. Thiết bị Radisys SEG-LTE đảm bảo an ninh tường lửa
- Đây là thiết bị cho phép tường lửa trong mạng không dây có thể hoạt động ở mức hiệu suất cao. SEG LTE cũng cung cấp một tường lửa trạng thái với các bộ lọc IP và cơ chế phòng chống tấn công mạnh mẽ để bảo vệ các phần tử mạng gói. Tăng cường Core từ mối đe dọa an ninh và các cuộc tấn công mạng. Nó hỗ trợ hơn 4.000.000 dòng IP đồng thời trên mỗi lưỡi dao, và cung cấp các bộ lọc được xác định trước và tùy chỉnh, kiểm tra tính nhất quán và từ chối dịch vụ phòng chống cơ chế (DoS).
Ngoài ra, SEG LTE cho phép các nhà khai thác để tăng cường 2G/3G hiện tại của mạng di động với các giải pháp truy cập khác - bao gồm cả các femtocell, I- WLAN, và UMA/GAN - được phát triển để làm việc với LTE. Các ứng dụng này sử dụng internet công cộng để truyền dẫn bằng giọng nói, dữ liệu và lưu lượng truy cập video, lộ cả hai thuê bao và mạng lưới các rủi ro bảo mật IP.
- Thiết bị mạng này cho phép bảo mật trong cơ sở hạ tầng không dây ở hiệu suất cao và cải thiện hiệu suất trong đường truyền an toàn gấp 5 lần các giải pháp hiện hành.
Để cải thiện an ninh trong các hình thức đóng gói dựa trên IPsec và Tunneling là cần thiết để đảm bảo lưu lượng truy cập dữ liệu di động. LTE Security Gateway (SEG- LTE) là một giải pháp mới cho phép truyền dẫn an toàn và bảo vệ mạng gói tin cho mạng 2G, 3G và 4G.
48
Hình 3.3. Công nghệ Firewall và Tunneling
Trong đó:
IPSec (Internet Protocol Security): là một tập hợp các chuẩn, các nguyên tắc đã được định nghĩa để kiểm tra, xác thực và mã hóa gói dữ liệu IP để cung cấp cho kênh truyền dẫn mạng bảo mật, có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và một số chuẩn khác) được phát triển bởi Internet Engineering Task Force (IETF). Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.
Tunneling- Xuyên hầm: là những kỹ thuật cho phép ta mã hoá đường dây thông
tin liên lạc giữa máy của ta và máy khác.
Được thiết lập chỉ để mã hóa luồng thông tin của một ứng dụng nào đó. hoặc dựa vào sổ cổng dùng (port number) hoặc dựa vào đường hầm nào để dùng trong mỗi ứng dụng. đường hầm đòi hỏi mỗi ứng dụng, ví dụ như trình duyệt Web, e-mail hay tin nhắn nhanh, phải được cấu hình riêng biệt để sử dụng đường hầm. Đáng nói là không phải ứng dụng nào cũng có khả năng đi xuyên qua các loại đường hầm thông thường. Đa số điện thoại qua mạng (VoIP), chẳng hạn, sử dụng giao thức UDP, mà loại này không được hổ trợ bởi nhiều hệ thống đường hầm thông thường.
Đồng thời, một số ứng dụng thông thường như trình duyệt Opera không có khả năng hỗ trợ cho SOCKS proxy, loại phần mềm xuyên hầm phổ biến nhất. Một khi đường hầm và ứng dụng đã được thiết lập, nó sẽ chạy qua đường
49
hầm đã được mã hóa tới máy tính ở đầu bên kia, và sẽ chuyển những yêu cầu và các hồi đáp của ta một cách rõ ràng.
Những người sử dụng mạng nếu có người quen ở vùng không bị kiểm duyệt thì có thể thiết lập đường hầm riêng trong khi những ai không có người quen thì có thể mua dịch vụ xuyên hầm thương mại, thông thường bằng thuê bao hàng tháng với giá khoảng 5 đô la Mỹ một tháng (thường trả bằng thẻ tín dụng).
Cũng có một số dịch vụ xuyên hầm miễn phí. Khi sử dụng dịch vụ xuyên hầm miễn phí, người dùng nên lưu ý rằng nó thường bao gồm quảng cáo. Luồng thông tin quảng cáo đôi khi truyền qua ngõ http không có mã hóa, do đó có thể bị những người trung gian chặn bắt và từ đó suy ra đây chính là dịch vụ xuyên hầm. Hơn nữa, nhiều dịch vụ xuyên hầm dựa vào việc sử dụng SOCKS proxy, nên có thể làm lộ ra tên miền.
Yêu cầu Công nghệ SEG LTE
SEG LTE cung cấp một kết nối an toàn giữa các thành phần mạng qua một liên kết thông tin liên lạc "không đáng tin cậy". Liên kết có thể được tin cậy bởi vì các yếu tố thuộc sở hữu của các nhà khai thác khác nhau và do đó cư trú trong các lĩnh vực bảo mật khác nhau (giao diện Za), hoặc bởi vì các yếu tố được sở hữu bởi các nhà điều hành trong lĩnh vực bảo mật tương tự, nhưng được kết nối trong một cách mà có thể dẫn vi phạm an ninh (giao diện Zb). Các yếu tố có thể là một phần của mạng lưới truyền dẫn LTE, giống như các trang web di động (eNodeBs), hoặc một phần của lõi gói tăng cường, như phục vụ và các cổng gói tin (S-GWY, P-GWY).
Các yêu cầu để cung cấp một kết nối an toàn giữa các thành phần mạng LTE được quy định trong tiêu chuẩn An ninh 3GPP miền mạng (NDS). Yêu cầu chính là để sử dụng Internet Protocol Security (IPsec). Với IPsec, dữ liệu được truyền giữa các yếu tố mạng trong đường hầm "an toàn" bằng cách sử dụng một giao thức gọi là Encapsulating Security Payload (ESP), trong đó bao gồm thuê bao xác thực, tính toàn vẹn nội dung, và mã hóa dữ liệu. Những đường hầm này được thiết lập bằng cách sử dụng một giao thức được gọi là Internet Key Exchange (IKE) cho phép các yếu tố để xác định với nhau một cách đáng tin cậy được gọi là Hiệp hội bảo mật (SA). Ta quan sát hình sau:
50
Hình 3.4. SEG LTE cung cấp một kết nối an toàn
RADISYS SEG-100 Cổng an ninh cho các thế hệ điện thoại di động tiếp theo
Mô tả:
Radisys SEG-100 là một cổng an ninh viễn thông mạnh mẽ dựa trên NDS và I- WLAN cung cấp tường lửa trạng thái và IPsec trong một nền tảng duy nhất. Radisys SEG-100 đóng chặt LTE Truy cập / Backhaul và mạng lõi gói LTE, cũng như các ứng dụng giảm tải thế hệ hiện tại không dây như I-WLAN, UMA / GAN và femtocell được phát triển lên LTE. SEG-100 Radisys là xây dựng xung quanh kiến trúc vận chuyển cấp máy tính Viễn thông (ATCA), và cung cấp các tính năng bảo mật tầm cỡ thế giới với hiệu suất gigabit đa. SEG-100 cũng có sẵn như là một lưỡi chìa khóa trao tay ATCA có thể được tích hợp vào các phần tử mạng khác. Cả hai khung và cấu hình lưỡi hỗ trợ nhà cung cấp dịch vụ cấp tính sẵn sàng cao với phần cứng dự phòng và lỗi phần mềm tinh vi .
51
o Thông số kỹ thuật:
Tính năng Chức năng Mô tả
Nền tảng
Chassis 2U x 19 ", 2 khe cắm ATCA khung (48V DC) Blade
8U x 6HP x 280mm ATCA lưỡi
PICMG 3,0, PICMG 3.1 Lựa chọn 9 sửa đổi 2,0
Mặt trận Bảng điều
chỉnh I / O 4x SFP + kết nối, 6x SFP kết nối Tính sẵn sàng cao
Active / Passive với chuyển đổi dự phòng, đồng bộ Nhà nước,
Không phát hiện thiết bị / liên kết / giao diện
Quản lý
CLI / Console, đăng nhập (SYSLOG, bẫy SNMP v2),
Giám sát (SNMP v2 khách hàng)
Hiệu suất
Firewall 40 Gbps (đồng bằng văn bản)
IPsec trong việc mã
hóa 10 Gbps (512 B kích thước gói)
Đồng thời Sessions 4 triệu (có thể mở rộng với bộ nhớ bổ sung) Đồng thời đường
hầm 100.000 (mở rộng với bộ nhớ bổ sung)
Giao diện ảo
(VLAN) 4096
Rounting
Ethernet 10GE, 1GE, FE
Giao thức Internet
(IP) IPv4, IPv6 tuân thủ
IP biểu Hỗ trợ CIDR, Phạm vi IP, IP Phân nhóm
Address Translation NAT (năng động), SAT (tĩnh), PAT (port), mỗi quy tắc Định tuyến tĩnh Proxy ARP, lộ trình chuyển đổi dự phòng, tuyến đường cân bằng tải Ảo Routing Nhiều bảng định tuyến, chính sách dựa trên định tuyến, IPsec ảo
Multicast IGMPv2/v3, proxy / snoop chế độ
DHCP hỗ trợ DHCP Server, DHCP Client, DHCP Relay
Tường lửa
Bộ lọc
Giao diện, mạng IP, TCP / UDP, ICMP, tuỳ chọn số giao thức IP, các dịch vụ được xác định trước
Tấn công từ chối dịch vụ (DoS) kiểm
Địa chỉ bất hợp pháp, kiểm tra, TTL, SYN Flood
52
tra
Tính nhất quán
Kiểm tra IP, TCP
Lớp Cổng tuyển dụng FTP IPsec Đường hầm giao diện IPsec Internet Key
Exchange IKEv1, các giao thức IKEv2
Mã hóa 3DES, AES, DES, Null
Xác thực SHA-1, MD5, AES-XCBC
Pseudo Random HMAC-SHA1, HMAC-MD5, AES-XCBC-PRF-128 Tính toàn vẹn HMAC-SHA1-96, HMAC-MD5-96, AES-XCBC-MAC-96 Nhóm Diffie-
Hellman 1,2,5,14
Hiệp hội An Ninh
(SA) một mạng, cho mỗi máy chủ
Keying Trước khi chia sẻ phím, X.509 CMP
Peer xác thực Nội bộ cơ sở dữ liệu (IP, DNS-tên), email hoặc tên X.500 Giấy chứng nhận Tự ký, yêu cầu PKI (PKCS # 7, # 10) Đường hầm quản lý Ta bè phát hiện đã chết, đường hầm VPN duy trì IPsec tính năng IPsec NAT traversal, IPsec khách hàng chuyển vùng, chế độ IPsec cấu hình
Truy cập mạng LTE Domain Security (NDS)
IPsec ESP RFC 4303 là profiled trong 3GPP 33.210
IKE v2 RFC 4306 là profiled trong 3GPP 33,210
Giấy chứng nhận
quản lý 3GPP 33:310
Máy bay bảo vệ
người dùng 3GPP 33,401
Xác thực bên ngoài LDAP máy chủ cơ sở dữ liệu
Cổng I-WLAN Tunnel Chấm dứt (TTG) WLAN ảnh hưởng lẫn nhau 3GPP 23,234 WLAN ảnh hưởng lẫn nhau an ninh 3GPP 33,234 GTP trên giao diện
Gn / Gp 3GPP 29,060
Wm giao diện 3GPP 29,234
53
b, BreakingPoint
Hình 3.5. Thiết bị BreakingPoint CTM
Đây là sản phẩm được tạo bởi nhóm chuyên gia nghiên cứu về “Hiệu suất và bảo mật của mạng”. BreakingPoint có các chức năng:
- Phòng tránh bị tấn công và mất mát dữ liệu nhờ vào việc cập nhâp thường xuyên từ ATI (Application and Threat Intelligence: nhóm nghiên cứu các ứng dụng và mối đe dọa thông minh).
- Cân bằng tải và ổn định hiệu suất của mạng, có thể xử lý 120Gbps từ các cuộc tấn công mạng và các ứng dụng.
- Hiệu suất của xác thực và trung tâm dữ liệu có thể tái tạo lại hơn 150 giao thức ứng dụng, bao gồm Twitter Mobile, AOL® IM, Yahoo!® Mail and Messenger,… hỗ trợ Multicast.
- Có thể chống lại hơn 4.500 cuộc tấn công an ninh và 28.000 phần phần mềm độc hại.
- Phát hiện ra điểm yếu tiềm ẩn để tránh các cuộc tấn công DoS.
Kết luận chương
Mặc dù đã có nhiều cải tiến song mạng không dây di động băng thông rộng vẫn còn có nhiều điểm yếu mà kẻ gian có thể lợi dụng để tấn công vào mạng. Điển hình ở hai công nghệ Wimax và LTE vẫn còn tồn tại những lỗ hổng an ninh. Ở Wimax, chuẩn 802.16 vẫn tồn tại nhiều nhược điểm. Các điểm yếu của Wimax nằm ở lớp vật lý và lớp con bảo mật, vấn đề chứng thực, bảo mật dữ liệu, vấn đề quản lý khóa… Ở LTE cũng có những hạn chế và lỗ hổng an ninh. Những vấn đề mà LTE gặp phải là vấn đề triển khai băng tần, những nguy cơ tấn công xuất phát từ eNodeB ra… Đây rõ ràng là
54
những vấn đề cần phải giải quyết để nâng cao độ an toàn và chất lượng dịch vụ cho mạng không dây di động băng thông rộng.
Vấn đề đảm bảo an ninh trong mạng không dây di động băng thông rộng là yếu tố then chốt nâng cao chất lượng dịch vụ của mạng. Mô hình kiến trúc an ninh của mạng được xây dựng dựa trên ba nguyên lý: nhận thực, bảo mật và toàn vẹn. Đối với mạng Wimax thì vấn đề xác thực lẫn nhau giữa SS và BS là rất quan trọng. Bên cạnh đó là việc sử dụng mã hóa, chữ ký số, điều khiển truy nhập… cũng là những biện pháp hết sức cần thiết để đảm bảo an ninh cho mạng. Ở mạng LTE thì vấn đề xử lý các gói dữ liệu ở eNodeB, xác minh thuê bao (authentication) là giải pháp cần được coi trọng để đảm bảo an toàn và nâng cao chất lượng dịch vụ. Với yêu cầu về đảm bảo an ninh cho mạng di động băng thông rộng thì một trong các giải pháp về phần cứng là sử dụng các công cụ như Radisys SEG-LTE hay Breaking Point là hết sức cần thiết.
55
CHƯƠNG III – GIẢI PHÁP KHUYẾN NGHỊ