Dựa vào khuyến nghị X.805, dựa trên hiện trạng cơ chế hoạt động của các dịch vụ, dựa vào các dịch vụ đang cung cấp trên mạng NGN của VNPT, luận văn sẽ đưa ra các khuyến nghị cho các dịch
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
TÓM TẮT LUẬN VĂN THẠC SỸ KỸ THUẬT
Người hướng dẫn: PGS.TS Hoàng Minh
HÀ NỘI - NĂM 2010
Trang 2Luận văn được hoàn thành tại:
Học viện Công nghệ Bưu chính Viễn thông
Tập đoàn Bưu chính Viễn thông Việt Nam
Người hướng dẫn khoa học:
……… ………
Phản biện 1: ………
………
Phản biện 2: ………
………
Luận văn sẽ được bảo vệ trước hội đồng chấm luận văn tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: giờ ngày tháng năm……
Có thể tìm hiểu luận văn tại:
- Thư viện Học viện Công nghệ Bưu chính Viễn thông
Trang 3MỞ ĐẦU
Hiện nay mạng NGN của VNPT đã triển khai và đang cung cấp 1 số dịch vụ với mục tiêu tiến tới hội tụ hoàn toàn các mạng với nhau Khi cung cấp dịch vụ cho khách hàng thì vấn đề đảm bảo an toàn cho mạng phải được tính đến ngay từ những ngày đầu Khác với mạng truyền thống, khi chuyển lên mạng sử dụng IP thì vấn đề về an toàn bảo mật cho hệ thống mạng sẽ phức tạp hơn rất nhiều, vấn đề đặt ra là làm thế nào để phân tách cô lập mạng để tránh xảy ra sự cố cũng như để có thể nhanh chóng phát hiện ra các lỗ hổng phải được đặt lên hàng đầu
Dựa vào khuyến nghị X.805, dựa trên hiện trạng cơ chế hoạt động của các dịch vụ, dựa vào các dịch vụ đang cung cấp trên mạng NGN của VNPT, luận văn sẽ đưa ra các khuyến nghị cho các dịch
Chương 2: Áp dụng khuyến nghị X.805 của ITU cho phương
án đảm bảm an toàn mạng và dịch vụ trên mạng NGN của VNPT, phân tích khuyến nghị X.805, đánh giá ưu nhược điểm của X.805, các miền an ninh, các bổ sung cần thiết cho X.805
Chương 3:Dựa trên khuyến nghị X.805 để đề xuất các giải pháp an ninh cho dịch vụ VPN L2 trên mạng NGN của VNPT
Trang 4CHƯƠNG 1: TỔNG QUAN VỀ MÔ HÌNH TỔ CHỨC VÀ KHAI THÁC DỊCH VỤ TRÊN NGN VÀ VẤN ĐỀ AN NINH MẠNG
1.1 Mạng thế hệ kế tiếp - NGN
Từ tình hình mạng viễn thông hiện nay và sự bùng nổ về nhu cầu dịch vụ băng rộng, việc xây dựng một mạng cung cấp đa loại hình dịch vụ tốc độ cao băng thông lớn là vấn đề tất yếu của các nhà khai thác mạng NGN tập hợp được ưu điểm của các công nghệ mạng hiện có, tận dụng băng thông rộng và lưu lượng truyền tải cao của mạng gói để đáp ứng sự bùng nổ nhu cầu lưu lượng thoại truyền thông hiện nay và nhu cầu truyền thông đa phương tiện của người dùng đầu cuối Điện thoại IP là ví dụ điển hình để minh họa cách tín hiệu thoại được chuyển đổi thành gói dữ liệu rồi truyền trên nền IP trong mạng NGN như thế nào Có thể nói truyền thoại trên nền gói là
ưu điểm lớn nhất mà NGN đã thực hiện được hơn hẳn so với các công nghệ mạng trước đây
Đặc điểm của NGN là cấu trúc phân lớp theo chức năng và phân tán các tài nguyên trên mạng Điều này đã làm cho mạng được mềm hóa
và sử dụng các giao diện mở API để kiến tạo các dịch vụ mà không phụ thuộc nhiều vào các nhà cung cấp thiết bị và dịch vụ mạng Kiến trúc của mạng NGN là sự tổ hợp pha trộn của các mạng hiện có và có thêm những phần tử mới để cung cấp các dịch vụ cho người dùng Thực tế vấn đề an ninh mạng đã được đề cập và quan tâm ngay khi thiết lập mạng Song song với sự phát triển của hệ thống mạng thì các nguy cơ về an ninh cũng ngày càng nhiều lên và các nhà mạng cũng phải đầu tư nhiều hơn cho vấn đề này Thực tế khi xây dựng 1 hệ thống mạng IP thì 3 vấn đề cần phải quan tâm là:
Trang 5- Tính sẵn sàng: thực tế trong mạng IP thì TE (Traffic Engineering) đã giải quyết được vấn đề đảm bảo tính sẵn sàng cao cho những kết nối quan trọng
- Vấn đề an toàn bảo mật: khởi tạo thiết lập các phương thức bảo vệ cho hệ thống mạng đảm bảo dịch vụ được thông suốt Trên thực tế thì 90% các lỗ hổng đã được các nhà cung cấp thiết bị hỗ trợ sẵn, vấn đề là làm sao tận dụng tối đa các chức năng này
- Vấn đề thứ 3 phải quan tâm đó là QoS thực hiện phân mức
ưu tiên chuyển tải trong mạng theo các mức độ ưu tiên được định nghĩa trước đó Thực tế các dịch vụ và lưu lượng quan trọng như điều khiển, thoại, video sẽ phải có mức độ cao hơn so với các dịch
vụ khác như HSI
Bản thân kiến trúc mạng NGN khá phức tạp, ngoài hạ tầng mạng lõi IP (một mạng với rất nhiều vấn đề an ninh) còn có khá nhiều loại mạng truy nhập khác nhau và rất nhiều điểm liên kết nối ra bên ngoài (với mạng Internet, với nhà cung cấp dịch vụ khác, với nhà cung cấp dịch vụ thứ 3…), trong thời gian ngắn chúng ta cũng không thể bao hàm hết tất cả các phân đoạn mạng, việc thực hiện cần theo lộ trình làm tuần tự, ưu tiên các mạng truy nhập hiện đang có kết nối với NGN và các điểm kết đã và có thể kết nối ra ngoài trong thời gian sắp tới
1.2 Mô hình tổ chức khai thác dịch vụ trên mạng NGN của VNPT
Trong tài liệu này chỉ đề cập đến những nét khái quát về mô hình tổ chức và quy trình khai thác trên mạng của VNPT
Nếu nhìn từ góc độ kiến trúc, mạng NGN của VNPT sẽ có kiến trúc như sau:
Trang 6Hình 1.1 Mạng NGN của VNPT nhìn từ góc độ kiến trúc
Về mô hình tổ chức phân công chức năng nhiệm vụ của các đơn vị Tập đoàn đang thực hiện và dần hoàn thiện quy trình, tương lai sẽ có mô hình như sau:
Mạng chuyển tải băng rộng
Phần truy nhập và hạ tầng thiết bị
Metro do VTNP tỉnh quản lý
Dịch vụ VPN do VTN hoặc VDC quản lý
Dịch vụ VoIP do VTN quản lý
Dịch vụ IPTV do VASC quản lý
Dịch vụ HSI do VDC quản lý
Hình 1.2 Cấu trúc mạng NGN xét từ góc độ mô hình tổ chức
Cấu trúc mạng NGN bao gồm 5 lớp chức năng, lớp truy nhập, lớp chuyển tải, lớp điều khiển, lớp ứng dụng/dịch vụ và lớp quản lý
Trang 7mô hình tổ chức khai thác dịch vụ trên mạng NGN của VNPT, nhìn
từ góc độ kiến trúc mạng, dịch vụ cung cấp, mô hình tổ chức quản lý, các thiết bị được sử dụng trong mạng NGN của VNPT được tổng hợp và cập nhật lại từ nhiều nguồn tài liệu khác nhau
PHƯƠNG ÁN ĐẢM BẢO AN TOÀN MẠNG VÀ DỊCH VỤ
TRÊN MẠNG NGN CỦA VNPT
2.1 Đặt vấn đề
Hiện tại có thể nói các chuẩn công nghệ về an ninh trong NGN đang thu hút nhiều sự quan tâm của nhiều tổ chức nghiên cứu, song đa số vẫn đang còn nằm ở dưới dạng các tài liệu nghiên cứu Việc áp dụng trực tiếp các chuẩn công nghệ để xây dựng nên giải pháp an ninh là khá khó khăn Chính vì lý do trên việc nghiên cứu
Lớp truy nhập Lớp chuyển tải
Lớp điều
khiển
Lớp dịch vụ
Media Gateway
Softswitch
Chuyển mạch
kênh
Lớp quả
n lý
HSI VOIP IPTV
Trang 8tìm hiểu lựa chọn các chuẩn công nghệ để có thể áp dụng làm framework trong việc xây dựng giải pháp an ninh cho kiến trúc mạng NGN hiện tại cũng như trong tương lai của VNPT là một vấn đề quan trọng
2.2 Hiện trạng nghiên cứu về an ninh trong mạng NGN của các
tổ chức chuẩn hóa
Trong nước hiện tại các công việc nghiên cứu liên quan đến
lý thuyết cũng như các liên quan đến xây dựng phương án thực tế nhằm đảm bảo an toàn cho mạng NGN còn rất hạn chế
Ngoài nước các hãng đã tập trung khá nhiều vào việc nghiên cứu an ninh cho NGN, các chủ đề nghiên cứu trong an ninh cho NGN được thực hiện khá đa dạng, tuy nhiên hiện các chuẩn công nghệ hoàn chỉnh giải quyết đến những vấn đề cụ thể trong an ninh NGN thì gần như chưa có
2.3 Lựa chọn framework an ninh
Khuyến nghị X.805 của ITU về Kiến trúc an ninh từ đầu cuối đến đầu cuối cho các hệ thống truyền thông là một trong những nền tảng cho việc nghiên cứu vấn đề an ninh trong các mạng gói và cũng là nền tảng để xây dựng các khuyến nghị khác về an ninh từ đầu cuối đến đầu cuối Mặc dù chuẩn công nghệ này áp dụng một cách tương đối tổng quát cho mọi công nghệ mạng bên dưới (không phải với mục đích sử dụng cho riêng mạng NGN) và hiện tại vẫn chưa có một tài liệu nào công bố về việc áp dụng chuẩn này cho mạng NGN Qua quá trình nghiên cứu các tài liệu chuẩn về vấn đề
an ninh của một số tổ chức đó, chúng tôi xác định sẽ sử dụng khuyến nghị này để xây dựng một cơ sở lý thuyết chính cho việc xây dựng giải pháp an ninh đối vói mạng NGN Chính vì những lý do trên tôi
Trang 9sẽ đi sâu phân tích nội dung của khuyến nghị X.805, làm rõ được quy trình cách thức áp dụng của chúng
Nhược điểm:
Chưa chỉ rõ loại nguy cơ xuất phát từ bên trong hay từ các tương tác bên ngoài Chỉ áp dụng đảm bảo an ninh theo kiến trúc end-to-end nên có thể bỏ sót các đối tượng an ninh trong nội bộ đối tượng Như vậy X.805 chỉ có hiệu quả khi đối tượng đầu vào được phân tích kỹ càng thành các đối tượng nhỏ hơn đảm bảo không bỏ sót các giao diện tiềm ẩn nguy cơ
Bản thân miền an ninh là một khái niệm không được nêu ra trong khuyến nghị X.805, nó không là một thành phần an ninh trong kiến trúc an ninh mà khuyến nghị X.805 đưa ra, nó chỉ được đề cập gần đây trong các kiến trúc an ninh của 3GPP hay của TISPAN Sở
dĩ lựa chọn đưa khái niệm này vào trình bày trong phần này bởi vì các giải pháp an ninh thực tế đều dựa trên khái niệm này, và theo ý kiến chủ quan thì việc thực hiện kỹ thuật phân miền an ninh sẽ làm cho việc phân tích các vấn đề an ninh trở nên bớt phức tạp đi rất nhiều so với áp kiến trúc an ninh đầy đủ đến từng thực thể chức năng trong mạng, đồng thời cũng làm cho giải pháp an ninh được đơn giản hơn
Trang 10Khái niệm miền an ninh có thể được hiểu là một tập các phần tử cần có độ an toàn tương đương, được quản trị bởi một nhà quản lý duy nhất Một mạng sẽ được phân chia thành nhiều miền an ninh, mỗi miền bao gồm một vài phần tử, các miền được phân cách nhau bởi một phần tử biên, có nghĩa là lưu lượng liên miền đều phải
đi qua phần tử biên đặt giữa 2 miền đó Phần tử biên này sẽ thực hiện một số biện pháp an ninh chung cho cả những phần tử bên trong nó
Khi chúng ta thực hiện cơ chế phân miền an ninh và sử dụng các phần tử biên như vậy sẽ khắc phục được 2 vấn đề gặp phải như
đã nói ở trên khi áp dụng đối với từng phần tử riêng biệt Đó là do chỉ tập trung vào thực hiện chức năng an ninh cho nên có thể yêu cầu phần tử biên này có năng lực xử lý chức năng an ninh khá lớn, chúng
ta sẽ có thể tăng cường áp dụng biện pháp an ninh cho toàn miền nhờ việc thực hiện chức năng an ninh trên phần tử này Mặt khác cũng tránh được sự chồng lặp về việc phải xử lý các biện pháp an ninh nhờ việc đẩy các biện pháp an ninh chung cần áp dụng cho các phần tử ra phần tử biên
2.5 Các bổ sung cho X.805
X.805 đưa ra 5 nguy cơ nhưng chưa chỉ rõ nguồn gốc các nguy cơ này, để dễ nhìn nhận và thuận tiện cho việc đánh giá mức độ quan trọng, các nguy cơ cần phải được phân loại thành:
Nguy cơ nội bộ: Là loại nguy cơ xảy ra khi đối tượng mạng hoạt động độc lập, không có sự tương tác với các đối tượng khác Trên thực tế loại nguy cơ này có nguồn gốc từ các hoạt động liên quan đến quá trình OA&M
Nguy cơ từ bên ngoài: Là loại nguy cơ xảy ra khi đối tượng
mạng tham gia vào hoạt động tương tác với các đối tượng khác
Trang 11Nguy cơ từ bên trong Nguy cơ từ bên
ngoài
Đối tượng an ninh
Hình 2.1 Phân loại nguy cơ an ninh
Hình 2.2 Phân loại giải pháp an ninh Tương ứng với việc phân loại nguồn gốc nguy cơ, 8 giải pháp X.805 đưa ra cũng cần được chia làm 2 loại:
- Giải pháp OAM: Trong nhiều trường hợp, nguy cơ mất an
ninh xảy ra do chính nội bộ đối tượng, cụ thể là thông qua các lỗ hổng OAM Người thực hiện OAM vô tình hay hữu ý
có thể gây ra sai sót ở nhiều mức độ khác nhau Đồng thời đôi khi sự bảo đảm an toàn trong quy trình OAM cũng làm giảm thiểu rất nhiều nguy cơ mất an ninh (phòng trước khi chống)
Trang 12- Giải pháp tự bảo vệ: Loại giải pháp này được áp dụng cho
bản thân NeE chứ không phải các NSE Giải pháp bảo vệ dưới sự hỗ trợ của các NSE
2.6 Quy trình thực hiện đảm bảo an ninh
Như đã nêu trong phần phân tích khuyến nghị X.805, bản thân X.805 chỉ là một framework an ninh thực hiện từ đầu cuối đến đầu cuối (end-to-end), mà bài toán an ninh đặt ra thường thì không phải dạng này, vì nguy cơ có thể đến từ bất kỳ đoạn mạng nào, trên bất kỳ giao diện nào Như vậy, việc phân rã đối tượng mạng thành các đối tượng nhỏ hơn rồi áp dụng X.805 là một bước cần thiết để có thể phát hiện đầy đủ các nguy cơ đồng thời giảm thiểu độ phức tạp
xử lý trong quá trình xây dựng giải pháp an ninh cho bất kỳ mạng nào
Dưới đây là quy trình thực hiện đề xuất
Hình 2.3 Quy trình xây dựng giải pháp
2.7 Tóm tắt chương
Chương 2 đưa ra hiện trạng nghiên cứu về an ninh trong mạng NGN của các tổ chức chuẩn hóa, qua đó đề xuất phương án tại sao lại lựa chọn khuyến nghị X.805 làm Framewwork để định hướng cho việc triển khai
Trang 13Trong chương 2 cũng đã đánh giá ưu nhược điểm của khuyến nghị X.805, các điểm cần bổ sung và đặc biệt là đề xuất 1 quy trình cho việc triển khai khuyến nghị vào trong mạng thực
MIỀN AN NINH CỦA DỊCH VỤ VPN TRÊN MẠNG NGN
CỦA VNPT (DỊCH VỤ E-LINE)
Chương này sẽ thực hiện việc áp dụng khuyến nghị X.805 với các miền an ninh cho dịch vụ VPN L2 trên NGN Do thời gian có hạn nên phần này sẽ tập trung vào 2 dịch vụ cơ bản là E-LINE nội tỉnh và E-LINE liên tỉnh Nội dung cần thực hiện là xác định các giao diện giữa các miền an ninh, các giao thức sử dụng, các nguy cơ
có thể xẩy ra và đưa ra các giải pháp nhằm đảm bảo an ninh mạng
3.1 Dịch vụ E - LINE nội tỉnh
Về lý thuyết thì có khá nhiều loại cấu hình truy cập có thể sử dụng dịch vụ này nhưng trên thực tế khai thác, đối tượng sử dụng dịch vụ này đa phần là các doanh nghiệp sử dụng đầu cuối là L2Switch (L2SW) hoặc Router, điển hình nhất là dùng L2SW (hiện nay Bưu điện Hà nội cũng đã cung cấp dịch vụ với cấu hình này) Chú ý: Cấu hình này không liên quan đến giải pháp Tripple-Play Đặc điểm cấu hình của dịch vụ:
Khách hàng sử dụng thiết bị L2SW/Router Cấu hình này thường được sử dụng cho khách hàng doanh nghiệp Cáp thuê bao là cáp quang
Thiết bị phía nhà khai thác sẽ là Access Switch thu gom lưu lượng trước khi đẩy lên UPE
Trang 14 Cáp giữa thiết bị người sử dụng và switch thu gom thường là cáp quang
Trong cấu hình sử dụng FTTx thì OLT sẽ đóng vai trò switch thu gom
Miền an ninh thiết bị Access
Miền an ninh thiết bị MAN-E Miền an
Cus A Site 2 L2Switch
TE
GE
L2Switch OLT
Hình 3.1 Mô hình cung cấp dịch vụ VPN L2 – ELINE nội tỉnh
Các thiết bị thực tế trong miền này bao gồm:
Các switch thu gom (L2SW) hoặc các OLT
Cáp quang cho thuê bao
3.1.2.1 Bước 1: Ma trận lớp-mặt phẳng để phát hiện giao diện
Mặt phẳng an ninh quản lý
Mặt phẳng an ninh điều khiển
Mặt phẳng an ninh người
sử dụng Lớp an ninh các ứng
(2) Giao diện UPE của miền MANE
(3) Giao diện Access Switch với miền thiết bị người sử dụng
Các giao diện:
