Việc bảo vệ thông tin, chống lại rò rỉ thông tin, sự truy nhập bất hợp pháp của các hacker, ngày càng trở nên quan trọng và khó khăn hơn bao giờ hết. Nội dung của đồ án gồm các chương : Chương I : Lịch sử mạng băng rộng Chương II: Bảo mật trong mạng băng rộng Chương III : Bảo mật trong mạng 3G
Trang 1MỤC LỤC
MỤC LỤC i
DANH MỤC HÌNH VẼ iv
THUẬT NGỮ VIẾT TẮT v
LỜI NÓI ĐẦU 1
1.1 Tài nguyên mạng truy nhập 3
1.2 Cáp đồng 4
1.3 Sự phát triển của DSL 5
1.4 Sự phát triển của DSLAM 6
1.4.1 Khởi tạo kết cuối DSL 7
1.4.2 ATM DSLAM 7
1.4.3 Ethernet DSLAM 8
1.5 Sự phát triển của dịch vụ 9
1.5.1 Các máy chủ truy nhập nhà riêng 9
1.5.2 Chứng nhận người truy nhập 9
1.5.3 Sự bổ sung truy nhập người dùng ban đầu 10
1.5.4 Diễn đàn DSL về nhu cầu thiết bị truy nhập băng rộng 12
1.6 Phát triển kiến trúc DSL 13
1.7 Mạng băng rộng ngày nay 19
1.8 Kết luận chương I 20
CHƯƠNG II : BẢO MẬT TRONG MẠNG BĂNG RỘNG 22
2.1 Từ chối dịch vụ 22
2.1.1 Chuyển tiếp đường truyền ngược (RPF) 24
2.1.2 Các tính năng bảo mật cổng mạng nhà riêng 25
2.2 Bảo mật trong mạng băng rộng và VOIP 26
2.2.1 Bảo mật của VoIP và nhà riêng 27
Trang 22.2.2 SBC như là lớp ứng dụng ủy nhiệm 27
2.2.3 Các tính năng bảo mật truyền dẫn với mạng VoIP 29
2.2.4 Bảo mật VoIP quy mô lớn trên mạng băng rộng 30
2.3 Ngăn chặn hợp pháp trong mạng băng rộng 31
2.3.1 Kích hoạt trên các giao diện BNG 32
2.4 Từ chối dịch vụ trên hệ thống nhận thực 32
2.5 Các giải pháp nâng cao bảo mật trong hệ thống nhận thực 33
2.5.1 Xác thực và chấp nhận tất cả các yêu cầu 33
2.5.2 Mạng không mật khẩu 34
2.5.3 Cân bằng tải của hệ thống nhận thực 34
2.6 Đảm bảo các hệ thống phân phối video 35
2.6.1 Trạng thái tham gia và tốc độ phát đa phương đối với các kênh quảng bá 35
2.6.2 Danh sách truy nhập nhóm phát đa phương đối với kênh quảng bá .36
2.6.3 Bảo mật video theo yêu cầu 36
2.7 Bảo vệ kế hoạch kiểm soát tại cơ sở hạ tầng định tuyến 37
2.7.1 Phát hiện luồng đáng ngờ (SFD) 38
2.7.2 Thu thập thông kê luồng NET/ luồng J/ luồng C 38
2.8 Các bộ lọc gói tin 39
2.9 Định tuyến blackhole/ sinkhole 40
2.10 Kết luận chương II 42
CHƯƠNG III: BẢO MẬT TRONG MẠNG 3G 44
3.1 Bảo mật truy nhập mạng 44
3.1.1 Bảo mật danh tính người dùng 44
3.1.2 Sự thỏa thuận giữa nhận thực và khóa bảo mật 45
3.1.3 Bảo mật dữ liệu và bảo vệ toàn vẹn thông tin báo hiệu 47
3.2 Bảo mật miền mạng 47
Trang 33.2.1 Giao thức dựa trên nền IP 48
3.2.2 Các giao thức dựa trên SS7 48
3.2.3 Các tính năng bảo mật mạng truyền thống 49
3.3 Bảo mật miền người dùng, miền ứng dụng và miền có thể thấy được .52
3.3.1 Bảo mật miền ứng dụng 52
3.3.2 Bảo mật miền có thể thấy được và có thể cấu hình được 53
3.4 Những đặc điểm bảo mật trong mạng 3G 54
3.4.1 Làm giảm nhược điểm mạng 2G 54
3.4.2 Các tính năng bảo mật mới và bảo mật của dịch vụ mới 61
3.5 Kết luận chương III 62
KẾT LUẬN 63
Trang 4DANH MỤC HÌNH VẼ
Hình 1 1: Sự phân phối quang phổ trên một đường dây đồng đối với dịch
vụ thoại 5
Hình 1 2: Mô hình tham khảo kiến trúc DSL Forum’s TR-025 8
Hình 1 3 : Mô hình tham khảo kiến trúc DSL Forum’s TR-059 8
Hình 1 4: Kiến trúc truy nhập được khuyến nghị bởi Forum DSL trong TR-001 13
Hình 1 5: Mô hình tham khảo hệ thống DSL trên Forum DSL TR-001 14
Hình 1 6: Kiến trúc mạng truyền tải lõi ATM 15
Hình 1 7: Kết hợp truy nhập L2TP 16
Hình 1 8: Kết hợp kết cuối PPP 16
Hình 1 9: Kiến trúc đường liên mạng ảo 17
Hình 1 10: Liên kết nối định tuyến 17
Hình 1 11: Miền mạng cho phép IP 19
Hình 2 1: Hoạt động RPF 24
Hình 2 2: IDS bảo vệ cổng thoại 28
Hình 2 3: BSC kết nối với các mạng khác và tường lửa kiểm duyệt sâu 31
Hình 2 4: Ứng dụng cân bằng tải 35
Hình 2 5 Tấn công bằng DDoS đến một host 41
Hình 2 6:Lưu lượng Sinkhole đến host bị tấn công bằng cách loại bỏ địa chỉ nguồn của luồng lưu lượng DoS tại router biên 41
Hình 2 7:Lưu lượng Sinkhole đến host bị tấn công 42
Hình 3 1:Sự thỏa thuận giữa nhận thực và khóa bảo mật 46
Trang 5THUẬT NGỮ VIẾT TẮT
Chữ viết tắt Tiếng Anh Tiếng Việt
Modulation
Điều biên không sóng mang
DMT Discrete Multi-tone Đa âm rời rạc
DSLAM Digital Subscriber Line
Access Multiplexer
Bộ ghép kênh truy nhập đường dây thuê bao sốGPRS General Packet Radio
Service
Dịch vụ vô tuyến gói tổng hợp
GSM Global System for Mobile
communication
Hệ thống thông tin di động toàn cầu
HFC Hybrid Fiber/Co-axial Cáp quang/đồng trục hỗn hợpIDS Intrusion Detection System Hệ thống phát hiện xâm phạmIDP Intrusion Prevention
System
Hệ thống ngăn chặn xâm phạm
IMEI International Mobile
Station Equipment Identity
Nhận dạng thiết bị di động quốc tế
IMSI International Mobile
Subscriber Identity
Nhận dạng thuê bao di động quốc tế
IGMP Internet Group Membership Giao thức thành viên nhóm
Trang 6Protocol InternetMSDP Multicast Source Discovery
Chuyển đổi địa chỉ mạng
NDS Network Domain Security Bảo mật miền mạng
PAT Port Address Translation Chuyển đổi địa chỉ cổng
PIN Personal Identification
Dịch vụ điện thoại cũ đơn giản
QAM Quadrature Amplitude
Modulation
Điều chế biên độ vuông góc
RG Residential Gateway Cổng nhà riêng
RPF Reverse Path Forwarding Chuyển tiếp đường truyền
ngược
SA Security Association Liên kết bảo mật
SBC Session Border Controller Bộ điều khiển giao tiếp biên
SIP Session Initiation Protocol Giao thức khởi tạo phiên
SNMP Simple Network Giao thức quản lý mạng đơn
Trang 7Management Protocol giảnSFD Suspicious Flow Detection Phát hiện luồng bất thường
TACACS The Terminal Access
Controller Access–Control System
Bộ điều khiển truy nhập đầu cuối truy nhập điều khiển hệ thống
TLS Transport Layer Security Bảo mật lớp truyền tải
UMTS Universal Mobile
Telecommunication System
hệ thống thông tin di động phổtoàn cầu
USIM Universal Subsciber
Indentity Module
Thuê bao tổng hợp
VoIP Voice Over Internet
Protocol
Thoại qua giao thức internet
VPN Virtual Private Network Mạng riêng ảo
WAP Wireless Application
Protocol
Giao thức ứng dụng không dây
WEP Weak Encryption Protocol Giao thức mã hóa yếu
WPA Wi-Fi Protected Access Bảo vệ truy nhập WiFi
WTLS Wireless Transport Layer
Security
Bảo mật lớp vận chuyển không dây
Trang 8LỜI NÓI ĐẦU
Thông tin luôn là một tài sản vô giá của doanh nghiệp và cần được bảo vệbằng mọi giá Tuy nhiên, với những đòi hỏi ngày càng ngắt gao của môi trườngkinh doanh yêu cầu doanh nghiệp phải năng động chia sẻ thông tin của mình chonhiều đối tượng khác nhau Việc bảo vệ thông tin, chống lại rò rỉ thông tin, sựtruy nhập bất hợp pháp của các hacker, ngày càng trở nên quan trọng và khókhăn hơn bao giờ hết Chình vì vậy, em đã chọn đề tài “ Tìm hiểu bảo mật trongmạng băng rộng” làm đồ án tốt nghiệp Nội dung đồ án đi vào việc tìm hiểu lịch
sử của mạng băng rộng và bảo mật trong mạng băng rộng, bên cạnh đó em cũngtiến hành tìm hiểu bảo mật trong mạng di động băng rộng 3G Nội dung của đồ
án gồm các chương :
Chương I : Lịch sử mạng băng rộng
Chương II: Bảo mật trong mạng băng rộng
Chương III : Bảo mật trong mạng 3G
Trong quá trình hoàn thiện đồ án, do còn hạn chế về mặt kiến thức và thờigian chuẩn bị nên không tránh khỏi những sai sót Em rất mong được sự giúp
đỡ, đóng góp của thầy cô
Em xin chân thành cảm ơn TS Nguyễn Đức Thủy (Viện khoa học kỹ thuậtbưu điện) đã hướng dẫn em hoàn thành đồ án này, đồng thời em xin gửi lời cảm
ơn đến các thầy cô trong khoa Viễn Thông 1 đã truyền đạt kiến thức cho emtrong thời gian học tập tại trường
Hà Nội, ngày 3 tháng 12 năm 2010
Sinh viên thực hiện
Trần Thanh Tùng
Trang 9CHƯƠNG I : LỊCH SỬ MẠNG BĂNG RỘNG
Với khoảng 190 triệu đôi dây cáp đồng như là một cơ sở của thị trường viễnthông Mỹ và trên 650 triệu chặng cuối cùng của cuộn dây đồng trên toàn thếgiới, các công ty viễn thông trên toàn thế giới đã chuyển hướng hội tụ các dịch
vụ băng rộng để mở rộng và phát triển Về mặt lịch sử, phạm vi giới hạn của cácdịch vụ khác nhau đó có thể đưa ra trên một truy nhập mạch vòng nội hạt đơngiản là cản trở lớn nhất của các công ty viễn thông khi cố gắng để mở rộng vốnđầu tư các dịch vụ đó Do các kiến trúc mạng băng rộng đa dịch vụ luôn pháttriển, các công ty viễn thông có thể đưa ra loại hình phong phú hơn so với trước
đó về: âm thanh, hình ảnh, và các dịch vụ dữ liệu
Về mặt lịch sử, giới hạn băng rộng đã được sử dụng để chỉ ra sụ khác biệtgiữa hệ thống viễn thông đa tần và hệ thống băng tần cơ sở Cách đây không lâu,các công ty viễn thông chỉ có thể đưa ra một phạm vi giới hạn về độ tin cậy cao,băng thông thấp, các dịch vụ đó thường được thiết lập trên đôi dây cáp đồngtrên đường dây điện thoại Lựa chọn khác có thể được đưa ra, chi phí-hiệu quả,băng thông của dịch vụ qua môi trường vật lý và vô tuyến cũng đã được hạnchế Qua thời gian, do các công nghệ hiện đại phát triển, giới hạn băng rộng trởthành đồng nghĩa với các dịch vụ băng thông cao hơn Tài liệu này thảo luận vềkiến trúc đằng sau những dịch vụ đó, bắt đầu trong chương này với bản tóm tắt
vè lịch sử của băng rộng Đường dây thuê bao số ( DSL) cũng được sử dụng như
là công nghệ chính để thiết kế và đưa ra các dịch vụ triple-play Tuy nhiên cómột số loại công nghệ băng rộng khác có thể được sử dụng để đưa ra một dịch
vụ Triple-play , từ cáp HFC tới vô tuyến và sợi phân phối quang sử dụng hệthống PON
Giữa những năm 1990 được coi là thời gian khủng hoảng trong sự phát triểncủa ngành công nghiệp viễn thông Một số sự đổi mới đã trở nên thiết thực trong
sự thi hành triển khai trong suốt thời kỳ này, bao gồm mạng quang đồng bộ(SONET), phương thức truyền bất đồng bộ (ATM), Frame Relay, và mạng sốtích hợp dịch vụ ISDN Tất cả những dịch vụ này nổi lên trong suốt trong suốtmột thời gian thay đổi đặc biệt trong thị trường viễn thông Các công ty viễn
Trang 10thông đã phải đối mặt và cuối cùng cũng đem lại sự phát triển từ lợi nhuận dịchvụ.
Các công ty ở cùng thời điểm hiện tại cũng đã kinh doanh với những sảnphẩm này, các nhà khai thác cáp (MultiSystem Operators [MSOs]) đã phải đốimặt với hàng loạt những sự thách thức giống nhau Đối mặt với sự giảm thunhập và sự phát triển, các nhà khai thác cáp, chính những người mở rộng hạ tầngbăng thông cao, đã thúc đẩy tìm kiếm mới phạm vi phát triển cho việc kinhdoanh của họ Điều này tạo ra môi trường cạnh tranh trong khoảng giữa và đếncuối những năm 1990 giữa những nhà khai thác cáp và các công ty viễn thông,muốn tiếp cận va thu lợi nhuận từ khách hàng khác
1.1 Tài nguyên mạng truy nhập
Hoạt động truy cập các mạng cáp có lịch sử là nền tảng trên một sợi cápquang /đồng trục hỗn hợp (HFC), trong khi tổng đài nội hạt (LEC), thiết bịchuyển mạch đặc trưng của các mạng viễn thông có cung cấp nền tảng truy cậptrên đôi dây đồng Mạng sử dụng cáp đồng hướng ban đầu đưa ra tốc độ bitthấp, độ tin cậy dữ liệu cao Những nhà khai thác cáp sẽ đưa ra dịch vụ dữ liệutới khách hàng và các công ty viễn thông sẽ đưa ra hình ảnh
Một trong những công nghệ cạnh tranh là ADSL Các hãng viễn thông xemxét cơ hội đưa ra dịch vụ video băng rộng bằng cách sử dụng hiệu quả hơn nữagiải tần truyền tải thông tin trong hạ tầng cáp đồng toàn cầu Như vậy, người ta
có thể truyền các dịch vụ tốc độ dữ liệu cao như là video theo yêu cầu, đáp ứngyêu cầu của khách hàng
Cũng thời điểm đó ngoài những đề xuất về tập trung vào phát triển nghànhcông nghiệp viễn thông, việc thực hiện cơ sở hạ tầng mạng Internet cũng đã cócác bước phát triển mạnh mẽ về thị trường với mức tăng trưởng theo cấp sốnhân theo hàng năm Một công nghệ truy cập đường dây thuê bao số DSL đãđược phát triển cung cấp dịch vụ video tới tại nhà bằng hình thức cấp phát thêmcác giải phổ tần số truyền thông tin hướng luồng xuống theo hình thức bất đốixứng Sau khi sớm thử nghiệm Video theo yêu cầu và sự bùng nổ thị trường yêucầu về Internet băng rộng, điều đó đã đủ động lực để mở rộng của ngành côngnghiệp tập trung vào công nghệ truy nhập DSL từ video tới băng rộng đa dịch
vụ Mạng băng rộng đã chứng minh khả năng của nó bổ sung các dịch vụ băngthông cao như là VoIP
Trang 111.2 Cáp đồng
Hầu hết các dịch vụ viễn thông nói chung là các dịch vụ thoại cũ đơn giảnPOTS- Plain Old Telephone Service, tài sản của hàng triệu khách hàng trên toànthế giới Trong dây đồng, môi trường truyền dẫn cơ sở, công suất đầu ra giảmtheo hàm mũ và tạo hiện tượng suy hao theo chiều dài đôi dây Ban đầu ứngdụng của nó chỉ mang lưu lượng thoại Để bảo toàn băng thông trên các đườngtrung kế giữa các tổng đài và một số khu vực dân cư, riêng những thuê baoPOTS đặc trưng được kết nối với giải tần truyền tải âm thanh trong khoảng 300
Hz đến 3,400 Hz Với cách thiết kế các bộ lọc, bộ khuếch đại tại giao diện phíatổng đài và các máy điện thoại đầu cuối thì giải tần số cao hơn sẽ suy giảm rấtnhiều do không sử dụng cho mục đích truyền thông tin
Trong trường hợp lắp đặt tốt nhất, khả năng dữ liệu của một đường POTStruyền thống là khoảng 53kbps (theo đặc tính của các bộ lọc thông dải) Trongtrường hợp xấu nhất thì tốc độ đạt khoảng 33.6 kbps Tốc độ dữ liệu này là thấphơn so với chuẩn của đôi dây cáp đồng Mặc dù các công ty viễn thông có thểđưa ra các dịch vụ dữ liệu khác trên cùng hạ tầng cáp đồng sử dụng tái điều chế
và các công nghệ mã hóa, đặc trưng của những dịch vụ này là khá phụ thuộc vàokhoảng cách và có băng thông rất hạn chế Khoảng cách lớn nhất mà tại đó tínhiệu có thể được truyền chính xác, đặc trưng của dây đồng là các đôi dây đượcbọc lại để làm giảm nhiễu và xuyên âm
Internet đã trở nên phổ biến trong những năm 1990 Các công ty viễn thông
đã phải đối mặt với sự gia tăng cạnh tranh từ các nhà cung cấp cáp, họ đã nhanhchóng xây dựng các mạng HFC trong những năm 1990 Các công ty viễn thôngcần tìm ra một con đường nhằm lợi dụng hạ tầng họ đang có để cung cấp cácdịch vụ dữ liệu băng thông cao tới thuê bao của họ
Phát triển đầu tiên tại Bellcore, ADSL đặc biệt tạo ra sự chú ý từ các công tyviễn thông như một tiềm năng để cạnh tranh với những mạng cáp HFC Nhữngmạng này cung cấp các dịch vụ dữ liệu tới tài nguyên các thuê bao công ty viễnthông Dịch vụ ADSL Bellcore có thể đưa ra các dịch vụ dữ liệu tốc độ cao vàdịch vụ âm thanh số qua khả năng của cáp đồng ADSL có một số ý nghĩa khác
từ HFC ADSL cung cấp các tài nguyên dành riêng và băng thông cho mỗi thuêbao từ DSLAM trái ngược với HFC, bởi vì nó là một môi trường chia sẻ lượngbăng thông tổng cho từ nhiều người sử dụng trên một tiện ích truyền tải truynhập cáp đồng
Trang 12Một lợi ích của ADSL đó là tích hợp tương đối dễ dàng với POTS hiện tại.DSL có thể cho phép sự truyền tải đồng thời dịch vụ thoại và dịch vụ dữ liệubăng hẹp và dịch vụ DSL qua một đôi dây cáp đồng Kỹ thuật thực hiện DSLcho phép sử dụng đơn giản và tiết kiệm các bộ lọc thông dải ở trên hai đầu cuốicủa dây đồng đã có, đồng thời kiến tạo những tiện ích mới để có thể truyền tảidịch vụ âm thanh số băng rộng, dịch vụ dữ liệu tốc độ cao cho khách hàng vớichi phí giảm thiểu phải bỏ ra ban đầu của của các công ty viễn thông hoặc cácthuê bao đầu cuối Như trong hình 1.1, ADSL có thể chạy song song với mộtPOTS dịch vụ âm thanh trên cùng cáp đồng sử dụng các tần số cao Chúng đãđược lọc sử dụng bộ lọc thông dải trước khi đến modem DSL làm giảm nhiễutần số vô tuyến (RF) tới modem
Hình 1 1: Sự phân phối quang phổ trên một đường dây đồng đối với dịch
vụ thoại
1.3 Sự phát triển của DSL
Ý tưởng đầu tiên bởi Bellcore vào năm 1988, ADSL chỉ ra sự thông qua banđầu của 2 tiêu chuẩn : Viện tiêu chuẩn quốc gia Mỹ (ANSI ), và diễn đàn ADSL,một tập đoàn công nghiệp được tạo nên vào năm 1994 Những nhóm này tiến tới
sự chuẩn hóa các đặc điểm kỹ thuật của ADSL
Các tiêu chuẩn ban đầu của DSL đã có hai sự phối hợp điều chế đâu tiên:Điều biên không sóng mang CAP và đa tần rời rạc DMT CAP là công nghệđiều chế đã được triển khai nhiều nhất, một cách thức điều chế đơn sóng mang
sử dụng một dải thông rộng (do sử dụng một băng tần rộng ) Ngay từ đầu CAP
đã là một phương thức điều chế thực hiện, bởi vì nó khá thông dụng như điềubiến biên độ vuông góc QAM DMT, sử dụng nhiều sóng mang riêng biệt , đạtđược tốc độ băng thông cao bởi sử dụng nhiều kênh băng thấp Mặc dù những
Trang 13công nghệ này có những nét điều chế đặc trưng khác nhau, cả hai có thể đưa racùng một dịch vụ hoặc giao diện đến những giao thức lớp cao hơn ADSL bắtđầu được thử nghiệm vào đầu năm 1993 Xung quanh thời điểm này, ANSIT1E1.4 đã phê chuẩn DMT như là một công nghệ điều chế, mở ra cánh cửa choviệc truyền tốc độ dữ liệu cao hơn trong mạng truy nhập Điều chế CAP có thể
là không thể đem lại tốc độ cao, đa kênh dịch vụ hình ảnh hiệu quả như đối vớiDMT
Sau năm 1994 một nhóm cố vấn cho hội liên hiệp cáp đồng quốc tế International Copper Association) và đại diện từ Motorola thỏa luận cần thiếtcho một công ty tập đoàn các bên để xúc tiến và triển khai ADSL Mục tiêu cuốicùng của năm, nhóm diễn đàn ADSL hướng tới hình thức, với các thành viên đạidiện cho một thay đổi tập đoàn công ty viễn thông, nhà sản suất thiết bị, và các
(ICA-bộ phận liên quan khác
Chuẩn DMT ban đầu yêu cầu cần 256 kênh con, mỗi kêng có giải tần 4 kHz
và có tới 224 sóng mang con được sử dụng cho hướng luồng xuống, 25 sóng concho luồng lên Có một số sóng mang con không được sử dụng, chúng được dùngcho POTS và băng tần bảo vệ giữa 3400 và 25 kHz Mỗi băng con sau khi đượcđiều chế riêng biệt và được kết hợp lại sử dụng một tín hiệu QAM tổng hợp -giống như điều chế mã hóa dưới dạng mắt lưới Có thể nói phương thức điều chếpha số xét về khía cạnh thực hiện thì tương tự với phương thức điều tần Tuynhiên, thay vì thay đổi tần số của dạng sóng truyền, pha và biên độ được thayđổi để biểu diễn dữ liệu số
Ban đầu DMT được hỗ trợ từ Alcatel, Amati, Westell, Orckit, và ECITelecom Alcatel sớm mang lại sự chú ý tới DMT bằng sự khai thác hợp đồngvới bốn chuyên gia RBOC tại Mỹ vào cuối năm 1996 về DMT-cơ sở thiết bị.Forum DSL (DSL-F) cũng đã đưa ra một số tác dụng kỹ thuật nó có tínhchất toàn cầu, tương thích với sự triển khai của DSL Các công việc kỹ thuật baogồm chi tiết về các công nghệ mã hóa đường dây, sự tương thích với các đặcđiểm kỹ thuật, và kiến trúc các hệ thống đầu cuối nhằm đưa ra đa dịch vụ trênmột đường dây DSL
Trang 141.4 Sự phát triển của DSLAM
Giống như DSL dưới sự phát triển của các công nghệ điều chế văn phòngtrung tâm các công ty viễn thông những thiết bị cáp đồng đã được mở rộng ratrong thị trường toàn cầu Các nhà cung cấp thiết bị đã nắm bắt được cơ hội này
và bắt đầu triển khai dòng thiết bị đầu cuối DSL mới, bộ ghép kênh đa truy nhậpđường dây thuê bao số (Digital Subscriber Line Access Multiplexer DSLAM) Ban đầu các DSLAM được triển khai rầm rộ và hoạt động như một thiết bịtruyền tải dữ liệu lớp 2 Xét về khía cạnh vật lý, DSLAM thực hiện chức năngtruyền tải, điều khiển mã hóa đường dây Ở khía cạnh khác của DSLAM, sự kếtnối các thuê bao DSL riêng biệt có thể được ghép kênh để đưa lưu lượng tậptrung lên các giao diện đường trung kế với băng thông cao hơn Sau đó cácDSLAM sẽ triển khai những nền tảng đa dịch vụ, ghép với chuyển mạch ATM,thực hiện đảm bảo chất lượng dịch vụ QoS, định tuyến IP, các phương thức mãhóa khác, bảo mật và một số chức năng khác khác
1.4.1 Khởi tạo kết cuối DSL
DSLAM hoạt động như một đầu cuối và tập hợp các thiết bị đó nằm trênbiên vật lý của mạng cáp đồng, logic dịch vụ mạng truy nhập DSLAM ghép nốitrực tiếp với mạng cáp đồng truy nhập của hạ tầng viễn thông thông qua mặtgiao tiếp có tính chất như là một giao diện cách ly giữa môi trường PSTN vàmôi trường DSL Mỗi thuê bao riêng biệt kết nối qua MDF và kết cuối trên mộtcổng DSLAMthông qua một bộ lọc thông dải tới MDF được kết nối vào bộchuyển mạch âm thanh đối với dịch vụ POTS tiêu chuẩn
Trên đường trung kế của DSLAM, Forum DSL tiêu chuẩn hóa mặt giao tiếpvới giao diện mạng ATM và coi như như giao thức lớp truyền tải, một số thiết
bị DSLAM ban đầu bao gồm hỗ trợ riêng cho ATM Gần đây nhất, GigabitEthernet-các cổng trung kế cũng đã được hỗ trợ trên một số DSLAM Với hàngnghìn kết cuối DSL trung tâm văn phòng và có thể thực hiện hiệu quả việc sửdụng tài nguyên kết nối và băng thông trong mạng truy nhập trên đường trung
kế của DSLAM
1.4.2 ATM DSLAM
Một số mô hình triển khai DSL ngày nay là dựa trên mô hình DSL Forum’sTR-025 chỉ ra trong hình 1.2, hoặc theo phiên bản mới nhất của chuẩn TR-059.Tất cả những kiến trúc này là nỗ lực kết hợp cao nhất của mạng truy nhập DSL
Trang 15(sự kết nối giữa DSLAM và B-RAS hoặc BNG sử dụng ATM ) Dịch vụDSLAM hoạt động như một ATM kết hợp hướng tới mạng truy nhập thông quakết nối chéo logic giữa ATM kênh ảo cố định PVC (permanent virtual circuit )vào trong mạng truy nhập và những thuê bao DSL ban đầu vào trong MDF.
Hình 1 2: Mô hình tham khảo kiến trúc DSL Forum’s TR-025
Trong mô hình này, DSLAM kết nối chéo lưu lượng thuê bao giữa vòng lặpthuê bao trên MDF với một cổng logic trên thiết bị IP biên, đặc trưng của B-RAS chủ yếu xử lý giao thức điểm điểm PPP ( Point-to-Point Protocol ) phiênkết cuối thuê bao và truyền liên mạng Với cấu trúc tiên tiến hơn theo chuẩn TR-
059 chỉ ra trong hình 1.3, B-RAS ( hoặc BNG ) được định vị trên biên của vùngmạng
Nó có thêm các chức năng,bao gồm tăng cường quản lý lưu lượng, quản lýthuê bao, giao thức cấu hình động máy chủ (DHCP-Dynamic HostConfiguration Protocol ), đa kênh ảo trên một thuê bao, tuân thủ theo RFC 2684
IP dạng Ethernet có tính năng bắc cầu và các chức năng khác
Hình 1 3 : Mô hình tham khảo kiến trúc DSL Forum’s TR-059
Trang 161.4.3 Ethernet DSLAM
Các mạng DSL đang hướng tới băng thông người dùng cao hơn để có thểcung cấp các dịch vụ mới cho thuê bao và thỏa mãn yêu cầu chất lượng dịch vụ,các dịch vụ này có thể là dịch vụ âm thanh và hình ảnh, dịch vụ nhắn tin đaphương tiện Tại thời điểm đó, với sợ xuất hiện của một số xu hướng công nghệkhác như IP/MPLS thì công nghệ ATM và công nghệ DSL được xem như là cáccông nghệ truyền tải mạng truy nhập Thế hệ DSLAM mới trên cơ sở công nghệEthernet (Ethernet-DSLAM) hiện đang nổi lên nhằm hỗ trợ tốc độ kết nối caohơn cho người dùng và cho cổng trung kế cung cấp QoS, hiệu năng thực thi cao
và có thể kiến tạo mạng riêng ảo và chức năng khác
Thông thường Ethernet-DSLAM nhận biết gói hơn so với các loại node truynhập khác Chúng cho phép người dùng và dịch vụ kiểm soát về lưu kượng.Các nhà cung cấp DSL ban đầu yêu cầu PPP qua nhân tố trung gian Ethernet vàDHCP với 82 tùy chọn để đánh dấu trên các gói đi vào BNG Khả năng nàyđược mở rộng thông qua các đặc trưng khác của sự kết nối giữa CPE của thuêbao và DSLAM tới BNG Chức năng này cho phép sự tích hợp liên thông giữacác mạng truy nhập và IP
1.5 Sự phát triển của dịch vụ
1.5.1 Các máy chủ truy nhập nhà riêng
Để cung cấp dịch vụ IP qua các mạng băng rộng và băng hẹp, đòi hỏi phải
có một thiết bị là kết cuối của tất cả các giao tiếp của người dùng Điều này cónghĩa là thiết bị mới cần có sự kết hợp của nhiều chức năng, bao gồm địnhtuyến, quản lý thuê bao, quản lý giao diện, và chất lượng dịch vụ Kết quả là,các nhóm làm việc đã nghiên cứu phát triển kỹ thuật để giải quyết một vài vấn
đề trên Các nhà sản xuất cũng sản xuất các sản phẩm phần cứng với phần mềm
để đáp ứng các yêu cầu này Và bộ định tuyến cổng mạng băng rộng ra đời(BNG), đáp ứng đầy đủ các yêu cầu trên
1.5.2 Chứng nhận người truy nhập
Một số chức năng cơ bản đã được thực hiện bởi cổng mạng băng rộng BNGngày nay có những nguồn gốc trong những sản phẩm và các công nghệ đó đãđược phát triển qua từng năm về truy nhập băng rộng và băng hẹp BNG ngàynay về cơ bản một bộ định tuyến IP thông qua các giao diện vật lý Sự xác thựccủa người dùng, các giao thức và các giao diện hỗ trợ việc kiểm soát lưu lượng,
Trang 17tính cước, hỗ trợ chất lượng dịch vụ và các chức năng khác Có thể nói, hầu hếtcác chức năng nói trên thực hiện tại các cổng băng thông rộng đều xuất từ cáccông nghệ dùng cho việc hỗ trợ sự kết nối băng hẹp Đặc trưng của các dịch vụbăng thấp là hỗ trợ một xác lập đơn giản về khả năng xác thực của người dùng.Lấy ví dụ, một người dùng có thể quay số truy nhập vào địa chỉ IP của một cơquan tổ chức như là trường học, mạng công ty, hay Internet Băng rộng hỗ trợnhiều dịch vụ cho một người dùng riêng biệt bởi vì nó có cơ chế bổ sung băngthông theo yêu cầu Thông qua một kết nối đơn giản, một người dùng có thểđăng kí nhiều dịch vụ Chẳng hạn như qua một kết nối đơn giản người dùng cóthể khai thác Internet một cách tốt nhất, dành ưu tiên thoại qua IP hoặc sử dụngcác dịch vụ video
Giữa những năm 1980 các giao thức ban đầu được thiết kế nhằm cung cấptruy nhập tới các đầu cuối từ xa Bộ điều khiển truy nhập đầu cuối truy nhậpđiều khiển hệ thống (TACACS) giao thức tuân thủ theo RFC về BNG năm
1984 cho phép sự xác thực người dùng từ xa từ các phiên telnet
1.5.3 Sự bổ sung truy nhập người dùng ban đầu
Bên cạnh giao thức TACACS, những nhà cung cấp khác đã bắt đầu triểnkhai giao thức xác thực cá nhân người sử dụng Các khởi thảo ban đầu đã đượcđược tạo ra bởi một số công ty như là Xylogics (Expedited Remote ProcedureCall [ERPC]) , Livingston’s RADIUS, Telebit, Unisphere (now Juniper),Cosine, và các công ty khác
Sản phẩm của Xylogic bao gồm một dải các máy chủ quay số truy nhập Đặctrưng của các máy chủ đầu cuối này hỗ trợ không đồng bộ theo từng truy nhậpđầu cuối và có thể hoạt động như một sự kết hợp và điểm đầu cuối đối với sựkết nối IP Các sản phẩm Annex ban đầu hỗ trợ các giao thức như là SLIP vàPPP,người dùng truy nhập từ xa tới các hệ thống TCP/IP bao gồm Internet.Xylogic cuối cùng cũng đã đạt được qua hệ thống Bay
Một sự chú ý ban đầu khác máy chủ mạng truy nhập NAS (Network AccessServer) là Telebit Netblazer Telebit đã được tìm ra bởi một trong các nhà tạonên định nghĩa về chuyển mạch gói Sự phát triển của các dòng sản phẩmTelebit được bắt nguồn từ con đẻ của Cupertino-công ty về những công nghệ góiCalifornia Các công nghệ gói cuối cùng cũng thất bại
Sản phẩm được biết đến rộng rãi nhất của Telebit là Netblazer, phần mềmviết bởi Telebit được kết hợp hoàng loạt các thiết bị truy nhập (modem, ISDN),
Trang 18cho phép người dùng truy nhập từ xa các mạng IP sử dụng SLIP và PPP Đây
đã là một NAS phổ biến sử dụng trong một số ISP ban đầu và những mạng quay
số truy nhập khác
Nhà cung cấp đã tạo ra một số các giao thức thông thường nhìn thấy trongcác thiết bị băng rộng ngày nay là các hệ thống Livingston Livingston đã đượctạo ra cùng với giao thức RADIUS, ngày nay RADIUS dùng để hỗ trợ hàngtriệu thuê bao Internet trong các mạng lưới trên toàn thế giới
RADIUS đã được chú ý nhiều trong những năm 1990 trong suốt sự pháttriển ban đầu trong các mạng truy nhập Internet như là MichNet Năm 1992IETF thành lập một nhóm làm việc dành riêng cho yêu cầu máy chủ mạng truynhập-nhóm làm việc NASREQ Nhóm này bao gồm những thành viên củaMerit/MichNet và có sự lien quan tới các nhà cung cấp như là Livingston
Vào năm 1994 Livingston đã đề suất RADIUS như là một tiêu chuẩn choNASREQ IETF Tại cùng thời điểm, Livingston đã đưa ra mã nguồn truy nhậptới RADIUS RADIUS ban đầu đã nhận được sự thừa nhận đáng kể sự phản đối
từ IETF Bản dự thảo IETF RADIUS Internet cũng đã được phát hành, nhà cungcấp NAS trong thị trường đã bắt đầu hỗ trợ nó Nó ngày càng phổ biến Bởi vìnhiều sự bổ sung và tồn tại những biến đổi trong suốt giai đoạn đầu của các giaothức, người dùng đã bắt đầu đòi hỏi khắt khe sự tiêu chuẩn hóa trên sự xácthực,sự cho phép và cơ cấu thanh toán
Sự kết hợp mã hóa đường dây tốc độ cao hơn, sự phát triển của các dịch vụbăng rộng, và sự quản lý thuê bao ngày càng tăng cần thiết sinh ra một thịtrường giữa cuối những năm 1990 dịch vụ phát triển nhu cầu về băng rộng từcác nhà cung cấp dịch vụ và các công ty viễn thông Trước đó, các nhà khai thác
đã có một vị trí quan trọng trong việc cải tiến các mạng lõi
Các nhà cung cấp cũng đang tìm kiếm những đặc điểm thuận lợi để đưa vàocác dịch vụ như QoS, tiện lợi cho việc quản lý thuê bao chẳng hạn như dịch vụVPN Một số công ty phát triển các sản phẩm cố gắng để đạt được phần thịtrường này Các công nghệ truy nhập máy chủ đã cải thiện các chức năng đểhoàn thiện việc sự quản lý thuê bao tốc độ cao và xử lý gói IP Sự tích hợp củacác hệ thông riêng biệt trước đây như chuyển mạch, định tuyến, quản lý thuêbao và chất lượng dịch vụ đã tạo ra và giới thiệu thiết bị tích hợp băng rộng tốc
độ cao là thiết bị BNG Các công ty như: Cisco, Redstone, Unisphere, Redback,Laurel, Cosine, Springtide đã sản xuất ra các sản phẩm nói trên trong suốt một
Trang 19giai đoạn dài, kết quả là nhiều sản phẩm đã được tìm ra trong những mạng băngrộng ngày nay
1.5.4 Diễn đàn DSL về nhu cầu thiết bị truy nhập băng rộng
Với các chuẩn giao thức truy nhập người dùng như RADIUS và TACACS,DSLAM tiên tiến và sự xuất hiện của các công nghệ hỗ trợ khác, Forum DSL đãbắt đầu chỉ ra các yêu cầu về các máy chủ truy nhập băng rộng cùng với sự mô
tả các kiến trúc đó Vào năm 1996, nó tạo ra mô hình hệ thống tham chiếu
DSL-F TR-001 Thiết kế TR-001 ban đầu cùng với kiến trúc mạng lõi TR-012,yêucầu PPP qua một lớp truyền tải ATM qua ADSL giao diện gói mức thấp hơngiữa nút truy nhập và định tuyến gianh giới giữa mạng và người sử dụng
Vào năm 1999 DSLF đã tạo ra một kiến trúc TR-025 Nó đã cung cấp nhiềunhu cầu chi tiết hơn cho máy chủ truy nhập băng rộng giống như mô tả các kiểntrúc mạng chi tiết hơn nhưng duy trì được tính tương thích với PPP qua ATM –TR-012 TR-025 thực hiện bốn kiến trúc yêu cầu cả về tính tương thích và dịch
vụ mới: kiến trúc mạng lõi trong suốt ATM, sự kết hợp truy nhập L2TP, sự kếthợp đầu cuối PPP (PTA-PPP Terminated Aggregation), kiến trúc đường hầm ảo(VPTA-Virtual Path Tunneling Architecture ) Bốn kiến trúc này được miêu tảtrong phần tới
Mô hình TR-059, được mô tả trong phần kế tiếp và đã được phát hành vàonăm 2003, mong muốn có những chức năng mới trong BNG, bao gồm nhữngđiều sau:
Phiên PPP hỗ trợ kết hợp vào trong L2TP ( chức năng LAC)
Phiên PPP đầu cuối và phân chia định tuyến dựa trên cấu hình thuê bao(chức năng LNS)
Sự xác thực RADIUS
IP over Bridged Ethernet (IETF RFC 2684)
Cấp phát địa chỉ động sử dụng DHCP
Kết nối đa kênh ảo trên thuê bao
Sự kết hợp và kết cuối kết nối kênh ảo ATM
Giải quyết cơ bản về băng thông luồng xuống phân phối qua nhữngcông nghệ ATM,PPP,Ethernet và IP
Giải quyết cơ bản về IP QoS
Trang 20 Giải quyết kiểm soát cơ bản cho thuê bao luồng lên
ATM,MPSL và Ethernet hỗ trợ các kỹ thuật lưu lượng
Định hình tốc độ luồng xuống cho thuê bao
Giải quyết RED và WRED luồng lên
Hình 1 4: Kiến trúc truy nhập được khuyến nghị bởi Forum DSL trong
Trang 21 Xử lý sự phức tạp, điều đó có thể ảnh hưởng đến chi phí của dịch vụ
Giảm nhẹ sự cung cấp dịch vụ
Tính tương thích với thiết bị đầu cuối khách hàng
Những chủ đề này đã được tranh luận trong một thời gian dài Vào năm
1997 Forum DSL đã đưa ra những dịch vụ sẽ là nền tảng là ATM Mặc dù điềunày đã được xem xét thành công với trên 100 triệu ATM dựa trên ADSL trêntoàn thế giới, năm 2004 Forum DSL đối diện với chiều hướng với sự chấp thuậndựa trên gói TR-059 và dựa trên các IP-TR khác Quá sớm để dựa trên góiADSL thông thường trong năm 1997
Từ ban đầu kiến trúc dựa trên ATM đã mô tả trong TR-001 và trong hình1.4 chỉ ra các kiến trúc dựa trên gói thông thường trong các TR trong ForumDSL gần đây nhất (như là TR-059 và TR-101) mục đích cung cấp nhiều,đồngthời các dịch vụ chất lượng cao trên một mạch cáp đồng đơn giản được duy trì
và tiến triển qua thời gian Để hiểu các điểm kiến trúc hệ thống nhắc đến trongTR-001 DSL Forum, hình 1.5 chỉ ra các giao diện và các thiết bị
Hình 1 5: Mô hình tham khảo hệ thống DSL trên Forum DSL TR-001
Những kiến trúc DSL mới nhất cho phép hỗ trợ điều chỉnh sự thay đổi và bốicảnh của sự cạnh tranh, như là mở ra tiếp cận tới CLEC Những công nghệ khácnhau đã có sự cạnh tranh bao gồm lớp1/ lớp 2 truy cập tới các thuê bao Cácdịch vụ DSL có thể mở ra sự kết nối riêng tới ISP dựa trên lớp 3 Đòi hỏi nàyxuất phát từ yêu cầu thực hiện kết cuối truy nhập vật lý tới các thuê bao và yêu
Trang 22cầu truyền tải dữ liệu thuê bao tới ISP thích hợp Các thiết bị có thể truyền tải dữliệu thông qua lớp truyền tải IP hoặc L2TP.
Nền tảng cho tương lai phát triển của các kiến trúc DSL được xác lập dựatrên sự lập mô hình tham chiếu TR-001 và các khuyến nghị trong kiến trúcmạng lõi TR-018 TR-025 đã được ban hành bởi DSL-F vào năm 1999, đã mô tả
4 kiến trúc: kiến trúc mạng lõi ATM trong suốt, sự kết hợp truy nhập L2TP, kếthợp đầu cuối PPP (PTA), và kiến trúc đường hầm ảo (VPTA-Virtual PathTunneling Architecture )
Kiến trúc đường hầm trong suốt chỉ ra trong hình 1.6 Tất cả các giao thứcphía trên qua lớp ATM đi ngang qua vùng mạng băng rộng ATM vàcác thuê bao là kết thúc ngay tại vùng định tuyến trên các thiết bị dịch
vụ mạng của nhà cung cấp Ở đó không có chức năng liên kết dịch vụmạng Tất cả các chức năng trên mức ATM là sự chịu trách nhiệm củanhà cung cấp dịch vụ
Sự kết hợp truy nhập L2TP chỉ ra trong hình 1.7
Hình 1 6: Kiến trúc mạng truyền tải lõi ATM.
Điều này cho phép thuê bao sử dụng các phiên PPP liên mạng thông quaphạm vi mạng truy nhập băng rộng Hai chức năng yêu cầu: L2TP tập trung truynhập (LAC) trên vùng mạng băng rộng bên và L2TP máy chủ mạng (LNS) trêndịch vụ mạng của nhà cung cấp Điều này cho phép bất cứ công nghệ mạng IPnào kết nối tới nhà cung cấp băng rộng và nhà cung cấp dịch vụ mạng bằng cácphiên liên mạng PPP của thuê bao qua L2TP
Trang 23Hình 1 7: Kết hợp truy nhập L2TP.
Sự kết hợp kết cuối PPP (PTA) chỉ ra trong hình 1.8 Cấu hình này cho phép cácphiên PPP kết cuối trên máy chủ truy nhập băng rộng của nó trong mạng truyềntải băng rộng Điều này cho phép sóng mang sử dụng PPP từ trong mạng truynhập ADSL thay vì các phiên liên mạng PPP đơn giản đến nhà cung cấp dịch vụmạng Sự lựa chọn kiến trúc này là nhân tố điều khiển trong một số kiến trúcBNG tiên tiến suất hiện ngày nay
Hình 1 8: Kết hợp kết cuối PPP
Trang 24Kiến trúc đường hầm ảo (VPTA) chỉ ra trong hình 1.9 Đường hầm là giốngnhau để lựa chọn, mô hình ATM trong suốt Tuy nhiên nó cung cấp một đầucuối SVC tới phiển PPP giữa thiết bị trong nhà của khách hàng và nút truy nhập.
Hình 1 9: Kiến trúc đường liên mạng ảo.
Một kiểu lựa chọn ISP chỉ ra trong hình 1.10 Lợi ích của một thuê bao riêng
lẻ truy nhập tới các loại dịch vụ lưu trữ khác nhau
Hình 1 10: Liên kết nối định tuyến
Năm 2003 DSL-F đã phát hành TR-059 miêu tả kiến trúc và các yêu cầudịch vụ nhằm hỗ trợ các dịch vụ IP QoS trong các mạng DSL Mô hình này đã
Trang 25công nhận cho các chức năng mới như là dựa trên các dịch vụ IP, băng thôngtheo yêu cầu, truy nhập nhiều chiều Nó tạo ra một cơ chế thống nhất về chứcnăng thực hiện QoS và mặt bằng điều khiển mạng Đồng thời nó cũng cho phépmạng hiện tại hướng tới các công nghệ mới nhất TR-059 mô tả 5 kiểu khácnhau của sự cấu tạo của những thực thể và vai trò của chúng trong mạng DSL:
Nhà cung cấp dịch vụ mạng (NSP)
Bao gồm các nhà cung cấp dịch vụ Internet (ISP) và cácmạng nội bộ
Chịu trách nhiệm đảm bảo cho mọi loại dịch vụ
Chịu trách nhiệm xác thực và quản lý địa chỉ IP
Nhà cung cấp dịch vụ ứng dụng (ASP)
Cung cấp các dịch vụ ứng dụng
Nhà cung cấp các vòng dây nội hạt
Cung cấp các vòng dây nội hạt vật lý giữa thiết bị mạng truynhập và phòng của thuê bao
Trang 26Hình 1 11: Miền mạng cho phép IP
Một số mô hình ban đầu đã cung cấp các dịch vụ Internet đơn giản và cácdịch vụ mạng riêng ảo VPN Nhưng các dịch vụ nổi lên yêu cầu hỗ trợ thêmdành cho hiệu quả triển khai dịch vụ quảng bá (multicast) và tích hợp vớiMPLS, đầu cuối chất lượng dịch vụ Các nhà nghiên cứu thị trường, nhà phântích môi trường trường kinh doanh, các tổ chức quản lý về viễn thông của chínhphủ, tổ chức xây dựng tiêu chuẩn, các công ty kinh doanh và cuối cùng là cácngười sử dụng phải hiểu tất cả xu hướng phát triển công nghệ nói chung và củacông nghệ DSL nói riêng, cũng như mô hình kiến trúc mạng để có thể có biệnpháp tiếp cận thực hiện và sử dụng công nghệ, dịch vụ một cách hiệu quả nhất Các nhà cung cấp hạ tâng truyền tải mạng ngày nay đang tìm kiếm phương thứcthực hiện để hướng tới việc thay đổi cách thức tạo ra dịch vụ giá trị nội dung,giá trị ứng dụng cũng như biện pháp thúc đẩy thị trường, quản lý lưu lượngtruyền tải trên mạng
1.7 Mạng băng rộng ngày nay
Với trên 100 triệu đường dây đã được cung cấp trên toàn thế giới, DSL làcông nghệ đã được thừa nhận trên toàn cầu DSL đã được triển khai rộng khắp
ở nhiều quốc gia Một số quốc gia rất chú trọng tới phát triển dịch vụ DSL bằngcách tạo chính sách thúc đẩy phát triển cơ sở hạ tầng nhằm thu hút và phát triểnthuê bao Hiện tại DSL chiếm tới hơn 63% thị trường kết nối mạng băng rộngtoàn cầu và hiện vẫn đang phát triển mạnh tại các nước phát triển Với các nướcphát triển như các nước châu Âu, Mỹ, Nhật Bản, Hàn quốc, ADSL chiếm tớihơn 75% thị trường mạng băng rộng
Trang 27Cùng với các dịch vụ ứng dụng ban đầu như là Internet, voice và video, giáthành cung cấp dịch vụ DSL đã giảm đáng kể trong thời gian vừa qua Ngàynay, ADSL có thể cung cấp phần lớn nhu cầu dịch vụ, từ các dịch vụ thôngthường nhất cho tới dịch vụ tốc độ cao Các công ty viễn thông hiện đang nỗ lựctìm kiếm những phương thức mới để tạo các dịch vụ giá trị gia tăng từ dịch vụtruy nhập DSL Họ đã tìm kiếm từ nhu cầu của khách hàng về mạng băng rộng.Internet tốc độ cao hơn, triển khai giao thức kiến tạo các dịch vụ quảng bábroadcast hay multicast để cung cấp truyền hình chất lượng cao theo xu hướngphát triển của thị trường cũng như nhu cầu của người sử dụng trong xã hội.Hiện tại đang nổi lên xu hướng cung cấp loại hình dịch vụ Triple-Play Dịch
vụ này cho phép cung cấp đồng thời thoại, truyền dữ liệu và truyền hình trênmọt thiết bị đầu cuối khách hàng duy nhất Để thực hiện được loại hình dịch vụnói trên, điều quan trọng là thực thi được cơ chế hữu hiệu đảm bảo chất lượngcủa dịch vụ Phương thức mã hóa đường dây thông qua ADSL 2+ và VDSL2hiện nay tăng tốc độ trên đôi cáp đồng lên tới hàng chục Mbps cho phép truyềntải các dịch vụ video và dịch vụ đa phương tiện chất lượng cao Như vậy cácthuê bao có thể được đảm bảo về độ tin cậy và chất lượng dịch vụ cao hơn
Các hãng cung cấp dịch vụ có thể thu được nhiều hơn lợi nhuận thông quacác dịch vụ giá trị gia tăng trên nền triển khai dịch vụ Triple-Play tới kháchhàng Sự phát triển và cải tiến liên tục của công nghệ DSL hướng tới thỏa mãnyêu cầu kỹ thuật để hạ tầng mạng truy nhập cáp đồng có thể triển khai được loạihình dịch vụ nói trên Bằng chứng của sự phát triển công nghệ đó là tiêu chuẩn
về DSL đã được diễn đàn về công nghệ DSL cập nhật liên tục các phiên bản, từTR-001, TR-018 qua TR-025 và tiến tới TR-059 và TR-101 như hiện tại
Hiện tại hạ tầng mạng viễn thông hướng tới tích hợp hạ tầng mạng dùngchung và hướng tới công nghệ truyền tải IP cho tất cả các loại hình dịch vụ.Điều này tạo ra một đặc điểm là khái niệm về người sử dụng trong môi trường
Trang 28mạng tích hợp đa dịch vụ chủ yếu sẽ được hiểu có sự tách biệt về mặt lô-gíc chứkhông tách biệt với nhau về mặt vật lý như các công nghệ mạng và dịch vụ cũmang lại Điều đó đồng nghĩa với nguy cơ xuất hiện những lỗ hổng về an toàntrao đổi thông tin Bảo mật dịch vụ, bảo mật quyền truy cập của người sử dụng
là một vấn đề lớn đặt ra cần phải giải quyết không chỉ đối với mạng hiện tại màcòn cả đối với mạng thế hệ kế tiếp Chương tiếp theo của luận án sẽ đi vào tìmhiểu vấn đề nói trên
Trang 29CHƯƠNG II : BẢO MẬT TRONG MẠNG BĂNG RỘNG
Internet là một nơi thân thiện với con người Tuy nhiên, có những tuyếnphân định giữa những vùng mong muốn, và cũng giống như có cánh cửa vàonhà hay cửa hàng, ta cũng có các cổng giữa các điểm trên mạng băng rộng Chương này mô tả những mối lo ngại về an ninh mà nhà cung cấp dịch vụ phảiđối mặt và trình bày một số giải pháp
Các BNG là các điểm tập hợp IP cho hàng ngàn khách hàng Điều quantrọng cần lưu ý rằng BNG là điểm kết thúc IP, là nơi định tuyến xác định và lànơi các dịch vụ IP bắt đầu Một số yếu tố khác, như các cổng khách hàng, cácnút truy nhập, các mạng Ethernet tập hợp, cung cấp việc truyền tải
Các nhà cung cấp dịch vụ mạng có 2 mục tiêu chính khi cung cấp bảo mật.Đầu tiên là bảo vệ miền cung cấp dịch vụ Có nghĩa là nhà cung cấp dịch vụ cầnbảo vệ mạng của họ khỏi các tác động bên ngoài, bao gồm cả khách hàng vàmạng bên ngoài Thứ hai, đó là bảo vệ khách hàng khỏi các mạng bên ngoài.Sau tất cả, mục tiêu chính của nhà cung cấp dịch vụ là cung cấp một dịch vụ hữuích và đáng tin cậy Nếu cung cấp các dịch vụ không thỏa mãn được kháchhàng, thì họ sẽ tìm một nhà cung cấp khác
Một số khái niệm bảo mật chồng chéo nhau giữa bảo vệ nhà cung cấp dịch
vụ và bảo vệ khách hàng Phần tiếp theo và phần “ Các tính năng bảo mật cổngkhách hàng “ đi sâu vào các vấn đề này
2.1 Từ chối dịch vụ
10 năm qua đã cho thấy sự tấn công đáng kể của từ chối dịch vụ (DoS) quamạng Internet Chúng đã gây ra sự tàn phá cho các nhà cung cấp và gây ra mấtmạng, các vấn đề về thanh toán, các trang web không có sẵn để cung cấp cho cảnội dung thương mại và phi thương mại, và gây thất vọng cho hàng triệu ngườidùng Những cuộc tấn công này có nguồn gốc và quy mô khác nhau và thường
có một mục tiêu duy nhất : làm có một máy chủ, mạng hoặc dịch vụ không sẵnsàng hoạt động
Lý do các cuộc tấn công DoS là khác nhau Hệ thống UNIX trong thập niên
1980 đã chứng kiến cuộc tấn công của một người dùng duy nhất gây thiệt hạicho hệ thống chia sẻ Một số cuộc tấn công tập trung vào việc tạo ra số lượng tối
đa các quá trình xử lý mà một hệ thống có thể xử lý Giữa thập niên 90 chứng
Trang 30kiến cuộc tấn công DoS, tập trung vào e-mail và các dịch vụ FTP, với mục tiêulàm đầy các máy chủ lưu trữ và ngăn ngừa các e-mail có hiệu lực và các tệp tinđược chuyển giao đến máy chủ Những cuộc tấn công thường không phá hoạimạng, mà tập trung vào các hệ thống cụ thể Vì vậy, chúng thường được sửachữa bởi các quản trị viên hệ thống
Năm 1997, với một phiên bản của mã nguồn và phương thức tấn công gọi làWinNuke, hàng triệu máy tính Window 95 trên Internet đã trở nên dễ bị tấncông Những cuộc tấn công này có thể thực hiện đơn giản qua Internet đơn giảnchỉ bằng cách gửi một chuỗi dữ liệu nhỏ đến một cổng đang ở trạng thái lắngnghe trên máy tính Mục tiêu của các cuộc tấn công này chủ yếu tập trung vàomáy tính cá nhân hoặc các mạng con Bởi vì phần lưu lượng đã được quang hóa,nên các nhà cung cấp dịch vụ rất không quan tâm đến tổn thất do các cuộc tấncông
Tất cả điều này đã thay đổi với các kiểu tấn công tràn lụt, kiểu mà làm tổnhao một lượng lớn lưu lượng mạng đường trục Một trong những cuộc tấn côngđược công nhận nhất là cuộc tấn công “ smurf”, đặt theo tên của ứng dụng cócùng tên gọi Kỹ thuật này sử dụng chức năng của nhiều bộ định tuyến tại thờiđiểm cho phép các gói tin được gửi đến địa chỉ IP quảng bá đầu xa, các gói tinnày được gửi quảng bá ở lớp 2 Chức năng này kết hợp với IP giả (thay đổi hoặcgiả địa chỉ nguồn của lưu lượng ), dẫn đến một tình huống đó là một địa chỉ IPping được gửi tới một mạng IP có thể tạo ra khuếch đại đáp ứng ICMP từ hàngtrăm máy chủ Nếu ban đầu việc truyền tải tới mạng mục tiêu là có nguồn gốcvới một địa chỉ IP giả, sau đó hàng trăm phản hồi sẽ gửi đến mạng nạn nhân mà
sở hữu địa chỉ IP giả mạo Những kẻ tấn công thật sự bản chất là một bên thứ ba
đã tạo ra cuộc tấn công mạng Truy tìm các loại tấn công rất khó khăn, vì nó liênquan đến các lưu lượng được gửi giữa các mạng, mặc dù một mạng không tạo rayêu cầu Thậm chí tệ hơn, nó có thể là một nguồn địa chỉ mạng khuếch đại lưulượng và sử dụng địa chỉ IP nguồn để gửi cho các bộ khuếch đại khác Những kẻtấn công thật sự chỉ cần quan sát các hành vi ( thường là bằng cách ping các máychủ trên mạng mục tiêu và theo dõi độ trễ khứ hồi ), như hai mạng mục tiêu bắtđầu tràn lụt nhau cho đến khi một trong hai hoặc mạng lưới truyền tải đạt đếngiới hạn
Các kiểu tấn công “smurf” không còn phổ biến bởi một số lý do Đó là việcthực hiện tốt theo các tài liệu từ nhà cung cấp mạng và các cuộc thảo luận trên
Trang 31diễn đàn điều hành mạng đã giúp vô hiệu hóa việc sử dụng các IP quảng bá địnhhướng bằng cách thay đổi mạng Ngoài ra, một trong những thay đổi mạngquan trọng nhất được đưa ra đó là khái niệm Reverse Path Forwarding ( chuyểntiếp đường truyền ngược), giúp cho các nhà cung cấp dịch vụ dễ dàng ngăn chặn
IP giả mạo
2.1.1 Chuyển tiếp đường truyền ngược (RPF)
Khái niệm về kiểm tra RPF rất đơn giản Các bộ định tuyến, thực hiện kiểmtra RPF, sẽ chấp nhận các gói tin IP khi bộ định tuyến có 1 tuyến đường tớinguồn của gói tin trên cùng một giao diện mà chúng nhận được các gói tin Ví
dụ, một bộ định tuyến có một entry trong bảng định tuyến cho các prefix192.168.10.0/24, mà có thể truy cập thông qua giao diện GigabitEthernet2/0.100, và giao diện này đã được kích hoạt kiểm tra RPF, bộ địnhtuyến sẽ chỉ chấp nhận các gói tin từ host trong giải địa chỉ 192.168.10.0/24 trênriêng giao diện này Chức năng của bộ định tuyến là kiểm tra đường dẫn ngượclại cho một gói tin nhận được và chấp nhận nó nếu bộ định tuyến thông thường
sẽ gửi một gói tin đến địa chỉ đó qua cùng 1 giao diện
Hình 2 1: Hoạt động RPF
Kiểm tra RPF trên cổng mạng băng rộng là cần thiết Trên phần lớn các bộđịnh tuyến dựa trên phần cứng, kiểm tra RPF không gây ra bất kỳ sự chuyển tiếp
Trang 32chậm trễ đáng chú ý nào, mặc dù nó cho phép các gói tin được kiểm tra việc giảmạo Nếu chức năng này được kích hoạt trên tất cả các giao diện thuê bao, nó cóthể không làm dừng lại các tấn công, nhưng ít nhất nó sẽ đảm bảo rằng gói tin cónguồn gốc từ các thuê bao đang sử dụng địa chỉ hợp lệ của họ, như thể hiệntrong hình 2.1 Điều này làm cho theo dõi các cuộc tấn công dễ dàng hơn nhiều.
2.1.2 Các tính năng bảo mật cổng mạng nhà riêng
Các bộ định tuyến gia đình, bây giờ gọi là các cổng mạng nhà riêng (RG),mang nhiều tính năng hơn trước, trong đó có tính năng bảo vệ các thuê bao khỏicác cuộc tấn công từ Internet Thiết bị này cần có khả năng tự bảo vệ từ nhữngTCP bất thường và các cuộc tấn công như LAND, Ping of Death, tràn lụt TCPsyn, các cuộc tấn công TCP thiết lập lại, và các gói tin IP ko hợp lệ Các cuộctấn công từ Internet thường nhằm vào các thiết bị này Các thiết bị này dễ bị cáccuộc tấn công này làm hại, nếu chúng nhận được các cuộc tấn công này, chúngthường gặp phải sự cố hoặc tự thiết lập lại
Nhà cung cấp dịch vụ sẽ mất một thời gian khó khăn để xử lý sự cố kết nốinếu cổng của khách hàng bị tấn công Vì vậy RG là điều quan trọng để nhà cungcấp dịch vụ giảm lượng cuộc gọi bàn trợ giúp có liên quan đến mất kết nối Do
đó, nhà cung cấp dịch vụ lựa chọn RG hoặc giới thiệu đến khách hàng để cungcấp mức độ an ninh thỏa đáng đến khách hàng Khi an ninh được thắt chặt, thìviệc cung cấp các dịch vụ đáng tin cậy hơn trở nên dễ dàng
Các tính năng của RG khác nhau tùy thuộc vào nhà cung cấp và kiểu RG Dưới đây là một số tính năng bảo mật cơ bản có sẵn trên RG :
Cấu hình tường lửa với khả năng ghi lại các gói tin mà phù hợp vớicác quy định cụ thể
Có khả năng khóa hoặc không đáp ứng lại các yêu cầu ping trêngiao diện WAN
Cổng ứng dụng layer SIP để mở cổng cho dữ liệu thoại
Có khả năng tạo các VLAN trên các cổng Ethernet cho phép phânđoạn giữa các mạng gia đình khác nhau
Phân loại lưu lượng dựa trên 5 bộ (địa chỉ nguồn, địa chỉ đích, giaothức, cổng nguồn, cổng đích) và có thể là các cờ TCP Điều này rất hữuích cho việc cấu hình QoS trên cổng nhà riêng, bởi vì nó cho phép lưu
Trang 33lượng được phân loại, và sau đó các cơ chế thiết lập chương trình có thểtạo ưu tiên cho phù hợp cho lưu lượng.
NAT/PAT
Cổng chuyển tiếp cho phép các host bên ngoài tiếp cận các host nội
bộ trên cổng cụ thể
Vùng không tranh chấp (DMZ) cấu hình cho host cụ thể
Với việc kết hợp các cơ chế bảo mật cơ bản của nhà cung cấp và các tínhnăng bảo mật được tiến hành trong cá thiết bị cổng nhà riêng, mạng lưới thuêbao có thể tập trung sử dụng các dịch vụ và không lo ngại về mỗi gói tin đượchướng theo đường của nó
2.2 Bảo mật trong mạng băng rộng và VOIP
Trong 1 số khía cạnh , hệ thống thoại qua IP (VoIP) cho phép khách hànggiao tiếp với cái được gọi là báo hiệu cơ học VoIP vẫn có khái niệm phân chiagiữa luồng thoại và các luồng báo hiệu, nhưng việc triển khai VoIP đã cơ bảnđược đặt giao diện báo hiệu trở lại với các thuê bao Đây là lý do bảo mật VoIPcho các mạng băng rộng là rất quan trọng
Hãy so sánh một số khái niệm giữa các mạng điện thoại tiêu chuẩn và mạngVoIP Mạng điện thoại tiêu chuẩn thường không có thông tin người dùng cungcấp cho hệ thống điện thoại Có trường hợp ngoại lệ, chẳng hạn như tại biêngiới, và tính năng gọi điện thoại qua biên giới, nơi mà mã PIN được nhập vào đểcho phép mô hình cuộc gọi cụ thể, như là cuộc gọi đường dài Tuy nhiên, phổbiến nhất , khi chọn 1 chiếc điện thoại cầm tay, cuộc gọi đã được chứng thực, vìđường dây thực tế đã xác nhận khách hàng Đường dây POTS là địa điểm thực
tế của thuê bao đã đủ chứng thực là cuộc gọi đã được thiết lập bởi các bên xácđịnh Các dịch vụ VoIP thì khác Chúng không vị ràng buộc bởi vị trí địa lý củathuê bao Bởi vì gói tin IP có thể bắt nguồn bất cứ nơi đâu ở trên mạng
Các nhà cung cấp dịch vụ phải đối mặt với các vấn đề bảo mật VoIP sau :
Xác nhận đáng tin cậy của các chi tiết thuê bao
Phòng chống gian lận
Giảm tiềm năng các cuộc tấn công DOS vào dịch vụ VoIP
Khả năng ngăn chặn hợp pháp trong mạng cung cấp dịch vụ
Trang 34Đăng ký thuê bao cho các dịch vụ VoIP sử dụng SIP được thực hiện trongcác văn bản rõ ràng Trong một miền nhà cung cấp dịch vụ đơn lẻ, điều nàykhông có nhiều lo lắng, vì nhà cung cấp dịch vụ có thể kiểm soát truy cập và cómối quan hệ với các thuê bao thoại nhà riêng.
2.2.1 Bảo mật của VoIP và nhà riêng
Thực hiện xác thực đáng tin cậy các thông tin thuê bao đi đôi với công tácphòng chống gian lận Với các chi tiết xác thực hợp lệ, một máy chủ lưu trữ IP
có thể đặt các cuộc gọi có thể phải trả phí cho một thuê bao và nhà cung cấpdịch vụ Nếu các thông tin thuê bao SIP bị xâm phạm, kẻ tấn công có thể thiếtlập các cuộc gọi được lập hóa đơn cho 1 một bên khác Vì lý do này, các nhàcung cấp được khuyến nghị là tạo ra mật khẩu được sử dụng cho các thiết bị SIP Mật khẩu người dùng tạo ra sẽ gây ra rủi ro và dẫn đến nguy cơ các nhà cungcấp dịch vụ phải áp dụng 1 phương pháp tổng lực cho các đăng ký SIP trong nỗlực tìm kiếm thông tin hợp lệ
2.2.2 SBC như là lớp ứng dụng ủy nhiệm
Chuyển mạch mềm là tên gọi của chuyển mạch mạng điện thoại IP-capable,
và bảo vệ chúng là điều cần thiết bởi vì tầm quan trọng đặt ở cơ sở hạ tầngchuyển mạch SBC giúp bảo vệ cơ sở hạ tầng chuyển mạch này bằng cách tạomột lớp an ninh bổ sung giữa khách hàng và miền chuyển mạch SBC cung cấp
hỗ trợ người dùng back-to-back, hoạt động như một chuyển tiếp lớp ứng dụng.SBC có thể cung cấp điểu khiển bổ sung trong các mạng VoIP Các tínhnăng bao gồm :
Trang 35này có thể bị thay đổi, do vậy người ta sẽ khai thác các giao thức ngăn xếp trêncổng thoại Những gói tin bất thường có thể có những đặc điểm sau :
Tiêu đề SIP liên quan đến các thủ tục không chuẩn hoặc cácphương pháp không có sự tuân thủ RFC
Các trường gói tin SIP quá lớn
Các chuyển tiếp tối đa SIP là giá trị không khuyên khích
Không rõ tiêu đề SIP
Hình 2 2: IDS bảo vệ cổng thoại
Hệ thống IDS, nằm trên đường dẫn đến các SBC hoặc cổng thoại , phải thựchiện các giao thức kiểm tra và cảnh báo sự cố, như minh họa hình 2.2 Bởi vì tộiphạm máy tính thường cố gắng khám phá những hành vi hệ thống trước khi tung
ra một cuộc tấn công trực tiếp Điều này thật khôn ngoan để điều tra sự cố trướckhi hệ thống có lỗi thật sự
Như trong hình, tường lửa kiểm duyệt sâu kiểm duyệt tất cả các luồng đến
và đi khỏi cổng VoIP Đối với điện thoại SIP và khách hàng SIP, tưởng lửa nàyđược xây dựng trong cổng nhà riêng ( RG),VoIP đi qua BNG, băng qua lõi cungcấp dịch vụ, và sau đó qua các tường lửa kiệt duyệt sâu Các tường lửa này đảm
