Viện tiêu chuẩn Châu Âu ETSI đã thành lập một ban cố vấn về vấn đề bảo mật, và ban này phục vụ cho các nhà vận hành mạng công cộng.. Trong tương lai, các yêu cầu về bảo mật không chỉ đặt
Trang 1CHƯƠNG 6:
CÁC VẤN ĐỀ LIÊN
QUAN ĐẾN DỊCH VỤ
WX
I BẢO MẬT
1 Giới thiệu
Khả năng bảo mật của một mạng viễn thông là một trong những yếu tố hàng đầu quyết định chất lượng cũng như tính khả dụng của mạng viễn thông đó Nhiều hướng dẫn khác nhau của liên minh Châu Âu EU đã được đưa ra để bảo vệ dữ liệu và tính riêng tư của người sử dụng, trong đó bao gồm cả bảo vệ thông tin trong mạng công cộng Viện tiêu chuẩn Châu Âu (ETSI) đã thành lập một ban cố vấn về vấn đề bảo mật, và ban này phục vụ cho các nhà vận hành mạng công cộng Trong tương lai, các yêu cầu về bảo mật không chỉ đặt ra với các nhà vận hành mạng viễn thông mà còn cho từng quốc gia riêng biệt Đặc biệt, các vấn đề bảo mật trong mạng NGN là một vấn đề quan trọng cần được chú ý
Có nhiều thành phần yêu cầu về bảo mật ở mức độ cao trong mạng NGN:
vụ được cung cấp, bao gồm cả việc tính cước Thêm vào đó, họ yêu cầu dịch vụ phải có tính sẵn sàng cao, cạnh tranh lành mạnh và bảo đảm sự riêng tư của họ
nhập đều cần phải bảo mật để bảo vệ hoạt động , vận hành và kinh doanh của họ, đồng thời có thể giúp họ phục vụ tốt khách hàng cũng như cộng đồng
ra các hướng dẫn và tạo ra các bộ luật để đảm bảo tính sẵn sàng của dịch vụ, cạnh tranh lành mạnh và tính riêng tư
trường kỹ thuật càng nhấn mạnh sự cần thiết ngày càng gia tăng về tính bảo mật trong mạng thế hệ mới NGN
Trang 2Ngày nay các “tội phạm” trong lĩnh vực máy tính đang tăng nhanh Các tin tặc này không chỉ dừng lại ở mạng Internet, chúng tấn công cả những chuyển mạch công cộng Các hacker thường thu được những thông tin cần thiết qua một cổng truy nhập không được bảo vệ, và nhà cung cấp dịch vụ phải trả giá cho những dịch vụ vô nghĩa Một ví dụ khác liên quan đến các chuyển mạch bảo vệ là sự lạm dụng của dịch vụ thoại miễn phí (freephone) Hình sau đây mô tả một số nguy hiểm đối với một thành phần mạng/dịch vụ Mặc dù hầu hết khách hàng đều đáng tin cậy, tuy nhiên thật sai lầm khi đặt niềm tin vào tất cả khách hàng Thông thường, một tội phạm thường được hỗ trợ từ một trong những khách hàng
Hình 6-1 Các nguy cơ đối với các server và thành phần mạng
Tính riêng tư cũng trở nên quan trọng Sự cần thiết của riêng tư đã được trình bày trong các bộ luật của các quốc gia và các hướng dẫn trong phạm vi toàn quốc về riêng tư và bảo mật
Các tiến bộ về công nghệ cũng liên quan đến vấn đề bảo mật Trong thời gian gần đây, người ta hi vọng rằng các giao diện và giao thức được sử dụng trong các thiết bị viễn thông không thể dễ dàng giải mã và lợi dụng Các giao diện và giao thức này không được phố biến rộng rãi bên ngoài, ngoại trừ các nhà cung cấp thiết bị hay các tổ chức viễn thông Tuy nhiên tình hình hiện nay đã thay đổi Các hệ thống mở vẫn còn các giao diện phức tạp, nhưng như đã định nghĩa, nó được trang bị và nhiều khách hàng tìm hiểu Để đảm bảo tính bảo mật của các hệ thống này, công nghệ phải trở nên có chi phí thấp và dễ dàng đạt được Ví dụ, nhiều giao thức xử lý cho
Trang 3các PC sẵn sàng miễn phí cho các phần mềm công cộng Do đó, nhiệm vụ chống hacker trở nên dễ dàng hơn
Một số dịch vụ cũng yêu cầu tính bảo mật cao hơn Các dịch vụ này không giới hạn trong các khu vực xác định như trước đây, do đó nó chịu nhiều nguy hiểm hơn Do đó sự bảo mật tốt hơn là thực sự cần thiết do các lý
do kinh tế hay riêng tư Ví dụ về các dịch vụ này là dịch vụ thoại chất lượng cao, video hội nghị và các dịch vụ đa phương tiện khác Các khách hàng này chỉ đời truy nhập vào dữ liệu của họ, và tối thiểu có thể cung cấp thêm cho họ chức năng truy nhập vào hệ thống quản lý
2 Các yêu cầu bảo mật
Một nhà cung cấp mạng hay dịch vụ sẽ quyết định giới hạn thực hiện bảo mật dựa vào kết quả của phân tích nguy cơ và đánh giá rủi ro Sau đó nhà cung cấp sẽ tạo ra một “chiến lược bảo mật” Hình sau mô tả sự tương tác của các khối liên quan đến bảo mật
Hình 6-2 Mô hình bảo mật
Phân tích nguy cơ và đánh giá rủi ro trên nguyên tắc chỉ có thể thực hiện trong một trường hợp cụ thể Phạm vi bảo mật có thể tùy thuộc vào các hoạt động khác nhau Do đó thách thức đặt ra cho các nhà cung cấp thiết bị là xác định một chính sách chung cho phần lớn các khách hàng và khách hàng có thể tạo ra cách bảo mật của mình trong một số tùy chọn sẵn có Việc xác định chính xác các yêu cầu bảo mật của mạng tương đối khó khăn Sau đây là một ví dụ cụ thể về các yêu cầu của bảo mật Chẳng hạn như khách hàng phải chịu trách nhiệm về các hành động của họ, đây thường
Trang 4là tiêu chí số một của mục tiêu bảo mật Do đó việc thẩm tra đặc tính của khách hàng là một yêu cầu cơ bản của bảo mật Sự nhận thực cũng là một cách dùng cho bảo mật dịch vụ Ngoài ra còn có một số yêu cầu khác, tùy thuộc vào nguy cơ và rủi ro Dựa vào các yêu cầu bảo mật có thể xác định mức độ ưu tiên của dịch vụ Ví dụ trên không phải chọn tùy ý, trách nhiệm của khách hàng thường là ưu tiên chính của các dịch vụ Mức độ ưu tiên cao nhất sẽ quyết định dịch vụ nào xếp đầu trong các dịch vụ ưu tiên được cung cấp
3 Các vấn đề cần bảo mật
Các vấn đề này được thực hiện trong mọi dạng cấu hình NGN, bao gồm các dạng truyền dẫn khác nhau và xử lý các nguy cơ sau đây:
dẫn bằng cách liên tục đưa dồn dập dữ liệu làm cho các khách hàng NGN khác không thể sử dụng tài nguyên mạng
chuyện bằng cách chặn đường dây giữa người gửi và người nhận
dụ anh ta có thể thu được một đặc tính giả bằng cách theo dõi mật mã và
ID của khách hàng, bằng cách thao tác khởi tạo tin nhắn hay thao tác địa chỉ vào/ra của mạng
và phù hợp với chính sách bảo mật Nếu kẻ tấn công truy nhập trái phép vào các thực thể mạng thì các dạng tấn công khác như từ chối dịch vụ, nghe trộm hay giả dạng cũng có thể xảy ra Truy nh6ạp trái phép cũng là kết quả của các nguy cơ kể trên
không thể sử dụng được do thao tác của hacker Một hậu quả của hành động này là những khách hàng hợp pháp không truy xuất vào tài nguyên mạng được Trên nguyên tắc không thể ngăn cản khách hàng thao tác trên dữ liệu hay phá hủy một cơ sở dữ liệu trong phạm vi truy nhập cho phép của họ
chối tham gia vào một phần hay toàn bộ mạng với các khách hàng/ dịch vụ/server khác Phương pháp tấn công có thể là tác động lên đường truyền, truy nhập dữ liệu hay sửa đổi dữ liệu Trên quan điểm của nhà vận hành mạng hay nhà cung cấp dịch vụ, dạng tấn công này gây hậu quả là mất niềm tin, mất khách hàng và dẫn tới mất doanh thu
Trang 54 Các giải pháp tạm thời
Các biện pháp đối phó có thể chia thành hai loại sau: phòng chống và dò tìm Sau đây là các biện pháp tiêu biểu:
Trong mọi trường hợp cần lưu ý rằng các hệ thống vận hành trong các thành phần NGN cần phải bảo vệ cấu hình như một biện pháp đối phó cơ bản:
TCP/UDP) phải ở tình trạng thụ động
phải thụ động Nếu các đặc tính này được đăng nhập, tất cả các hoạt động cần được kiểm tra
hệ thống cần được bảo vệ Tất cả các hệ thống vận hành có một vài đặc tính đặc biệt để bảo vệ bảng điều khiển này
được giám sát thường xuyên
Thêm vào đó, cần phải nhấn mạnh rằng mạng tự nó phải có cách bảo vệ cấu hình Ví dụ như nhà vận hành phải thực hiện các công việc sau:
Trang 6Hình 6-3 Biện pháp chống lại các nguy cơ
5 Kết luận
Một thách thức quan trọng đối với hệ thống mạng NGN trên nền IP là thực hiện các bảo mật trong các dạng ứng dụng khác nhau Từ khi bắt đầu, cấu trúc NGN đã được phát triển với sự quan tâm đến các vấn đề bảo mật, dựa vào các phân tích nguy cơ và chế độ IPSec từ IETF Sự linh hoạt đảm bảo tính bảo mật có thể đạt được yêu cầu của môi trường thực tế Sử dụng NGN trong mạng dựa trên nền PacketCable đã được kiểm định các giải pháp bảo mật Công việc còn lại là tiếp tục bảo vệ mạng chống lại các cuộc tấn công trong tương lai từ các nguồn chưa biết trước
II QoS (Quality of Service)
1 Giới thiệu
Chất lượng dịch vụ QoS chính là yếu tố thúc đẩy MPLS So sánh với các yếu tố khác, như quản lý lưu lượng và hỗ trợ VPN thì QoS không phải là lý do quan trọng nhất để triển khai MPLS Như chúng ta sẽ thấy dưới đây, hầu hết các công việc được thực hiện trong MPLS QoS tập trung vào việc hỗ trợ các đặïc tính của IP QoS trong mạng Nói cách khác, mục tiêu là thiết lập điểm tương đồng giữa các đặc tính QoS của IP và MPLS, chứ không phải là làm cho MPLS QoS có chất lượng cao hơn IP QoS
Một lý do để khẳng định MPLS không giống như IP là MPLS không phải là giao thức xuyên suốt MPLS không vận hành trong các máy chủ, và trong tương lai nhiều mạng IP không sử dụng nhưng MPLS vẫn tồn tại QoS
Trang 7mặt khác là đặc tính thường trực của liên lạc giữa các LSR cùng cấp Ví dụ nếu một kênh kết nối trong tuyến xuyên suốt có độ trễ cao, tổn thất lớn, băng thông thấp sẽ giới hạn QoS có thể cung cấp dọc theo tuyến đó Một cách nhìn nhận khác về vấn đề này là MPLS không thay đổi về căn bản mô hình dịch vụ IP Các nhà cung cấp dịch vụ không bản dịch vụ MPLS, họ cung cấp các dịch vụ IP (hay Frame Relay và các dịch vụ khác), và do đó, nếu họ đưa ra QoS thì họ phải dựa trên IP QoS (Frame Relay QoS,…) chứ không phải là MPLS QoS
Điều này không có nghĩa là MPLS không có vai trò trong IP QoS Thứ nhất, MPLS có thể giúp nhà cung cấp đưa ra các dịch vụ IP QoS hiệu quả hơn Thứ hai, hiện đang xuất hiện một số khả năng QoS mới hỗ trợ qua mạng sử dụng MPLS, tuy không thực sự xuyên suốt nhưng có thể chứng tỏ là rất hữu ích, một số chúng có thể bảo đảm băng thông của LSP
Do có mối quan hệ gần gũi giữa IP QoS và MPLS QoS, phần này sẽ được xây dựng xung quanh các thành phần chính của IP QoS IP cung cấp hay mô hình QoS: dịch vụ tích hợp IntServ (sử dụng chế độ đồng bộ với RSVP) và dụng cụ Diffserv
Sự thỏa thuận mức dịch vụ theo:
Để thực hiện QoS, mạng phải có:
