Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (tt)

Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học:

Vào lúc: 09 giờ 00, ngày 06 tháng 01 năm 2018

Có thể tìm hiểu luận văn tại:

‐ Thư viện của Học viện Công nghệ Bưu chính Viễn Thông.

MỞ ĐẦU

Trong thời đại công nghệ thông tin phát triển với tốc độ chóng mặt, ứng dụng của Internet phát triển nhằm cung cấp dịch vụ cho người dùng trên các thiết bị mới ra đời như smart phone, tablet v.v Ứng dụng truyền hình hội nghị (THHN - Video Conferencing) ra đời và hiện nay đã được sử dụng rất rộng rãi với ưu điểm là một công

cụ đem lại sự thuận tiện trong việc trao đổi thông tin với nhiều ứng dụng trong các lĩnh vực Đồng thời công nghệ này cũng góp phần tiết giảm chi phí tổ chức các cuộc họp, xóa nhòa khoảng cách địa lý, nhanh chóng và hiệu quả cho công việc

Với mục đích nghiên cứu và ứng dụng phương pháp bảo mật thông tin vào công việc hiện tại đang công tác trong lĩnh vực công nghệ truyền hình hội nghị nói chung và cho hệ thống truyền hình hội nghị quân sự nói riêng, cùng với sự thúc đẩy triển khai sử dụng công nghệ IPv6 năm 2017 của Ban Công tác thúc đẩy phát triển IPv6 quốc gia

Đó cũng chính là lý do tôi chọn đề tài “Nghiên cứu công nghệ đường hầm ipv6

và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự” làm đề tài Luận văn Thạc sĩ Luận văn bao gồm 3 chương:

Chương 1: Tổng quan về truyền hình hội nghị và các vấn đề về bảo mật truyền hình hội nghị

Chương 2: Công nghệ đường hầm IPv6 - giải pháp bảo mật đường truyền Chương 3: Mô phỏng thử nghiệm công nghệ đường hầm ipv6 ứng dụng cho truyền hình hội nghị quân sự

CHƯƠNG 1: TỔNG QUAN VỀ TRUYỀN HÌNH HỘI NGHỊ VÀ CÁC

VẤN ĐỀ VỀ BẢO MẬT TRUYỀN HÌNH HỘI NGHỊ

1.1 Truyền hình hội nghị

Hội nghị truyền hình là hệ thống thiết bị (bao gồm cả phần cứng và phần mềm) truyền tải hình ảnh và âm thanh giữa hai hoặc nhiều địa điểm từ xa kết nối qua đường truyền mạng Internet, WAN hay LAN, để đưa tín hiệu âm thanh và hình ảnh của các phòng họp đến với nhau như đang ngồi họp cùng một phòng họp

1.1.1 Lịch sử phát triển

Lịch sử phát triển của truyền hình hội nghị khái quát qua 4 thế hệ:

- Thế hệ đầu tiên: được thực hiện qua mạng kỹ thuật số đa dịch vụ ISDN theo tiêu chuẩn H230 (ITU)

- Thế hệ thứ hai: vẫn dựa trên mạng kỹ thuật số đa dịch vụ ISDN, sử dụng các thiết bị mã hóa/giải mã và nén/giải nén

- Thế hệ thứ ba: phát triển trên mạng LAN

- Thế hệ thứ tư: sự ra đời của hệ thống truyền hình hội nghị chuyên dụng với các công nghệ hiện đại

1.1.2 Công nghệ

Hệ thống thiết bị hội nghị truyền hình là một hệ thống thiết bị điện tử (bao gồm

cả phần cứng và phần mềm) sử dụng công nghệ kỹ thuật số, nén (coder/decoder) âm thanh và video trong thời gian thực Giải pháp hội nghị truyền hình dựa trên công nghệ

IP với sự hỗ trợ nhiều giao thức (H.320, H.323, SIP ) cho phép triển khai hệ thống Hội

nghị truyền hình tiên tiến nhưng vẫn tận dụng được cơ sở hạ tầng có sẵn

1.1.3 Lợi ích mang lại

Công nghệ truyền hình hội nghị được ứng dụng trong nhiều lĩnh vực với ác lợi ích mang lại như: tiết kiệm thời gian di chuyển; tiết kiệm kinh phí; thực hiện cuộc họp trực tuyến giữa nhiều địa điểm khác nhau; nhanh chóng tổ chức cuộc họp; lưu trữ toàn

bộ nội dung cuộc họp; an toàn bảo mật v.v

1.2 Hệ thống truyền hình hội nghị trong quân sự

Hệ thống truyền hình hội nghị được sử dụng trong quân sự hiện nay là hệ thống truyền hình hội nghị theo chuẩn H.323

1.2.1 Cấu trúc và các thành phần của hệ thống H.323

H.323 là chuẩn của ITU-T quy định về các thiết bị, giao thức và thủ tục để cung cấp các dịch vụ thông tin đa phương tiện thời gian thực trên các mạng chuyển mạch gói, bao gồm cả mạng IP H.323 là một tập hợp các khuyến nghị, bao gồm các chuẩn nén tiếng nói như G.729, G.723.1, chuẩn truyền dẫn thời gian thực như RTP, các chuẩn báo hiệu như H.225, H.245

Hình 1.1 Cấu trúc và các thành phần H.323

* Thiết bị đầu cuối H.323 (H.323 Terminal): Là một trạm đầu cuối trong mạng

LAN, đảm nhận việc cung cấp truyền thông hai chiều theo thời gian thực

* H.323 Gateway: GW là thành phần dùng để kết nối 2 mạng khác loại Một

cổng H.323 dùng dể liên kết mạng H.323 với mạng không phải mạng chuẩn H.323

* Gatekeeper: Một GK được xem là bộ não của mạng H.323, nó chính là điểm

trung tâm cho mọi cuộc gọi trong mạng H.323 Mặc dù là thành phần tùy chọn nhưng

GK cung cấp các dịch vụ quan trọng như việc dịch địa chỉ, sự ban quyền và nhận thực cho đầu cuối terminal và GW quản lý băng thông, thu thập số liệu và tính cước

* MCU (Multipoint Control Unit): MCU là thành phần hỗ trợ trong dịch vụ hội

nghị đa điểm có sự tham gia của từ 2 terminal H.323 trở lên khi tham gia vào hội nghị đều phải thiết lập một kết nối với các MCU quản lý tài nguyên phục vụ hội nghị, đồng thời xử

lý dòng thông tin truyền

1.2.2 Bộ giao thức H.323

Khuyến nghị H.323 đề ra những giao thức nằm trên tầng IP và các tầng vận tải (TCP hay UDP), những giao thức này được sử dụng một cách kết hợp bảo đảm cho

việc thiết lập cuộc gọi thoại và truyền dòng tiếng nói tuân thủ tính thời gian thực qua mạng chuyển mạch gói.

Hình 1.2 Các lớp của bộ giao thức H.323

1.2.3 Mô hình hệ thống truyền hình hội nghị quân sự

Hệ thống truyền hình hội nghị quân sự sử dụng các thiết bị chuyên dụng do hãng Polycom cung cấp, thông qua mạng truyền hình và truyền số liệu quân sự do Binh chủng Thông tin liên lạc triển khai và điều hành

Hình 1.3 Mô hình kết nối hệ thống truyền hình hội nghị 1.3 Các phương pháp bảo mật truyền hình hội nghị

1.3.1 Yếu tố bảo mật, an toàn thông tin và phân loại lỗ hổng bảo mật

* Một số yếu tố trong vấn đề bảo mật, an ninh mạng: đối tượng tấn công

mạng (Intruder), các lỗ hổng bảo mật, chính sách bảo mật

* Phân loại lỗ hổng bảo mật: lỗ hổng loại A, loại B, loại C

1.3.2 Giao thức bảo mật trong truyền hình hội nghị chuẩn H.323

* Giao thức bảo mật H.235: H.235 là chuẩn về bảo mật dành cho hội thoại qua

mạng sử dụng giao thức báo hiệu H.323 được đưa ra bởi hiệp hội liên minh viễn thông quốc tế ITU Là loại hình truyền thông thời gian thực, ở đây chúng ta cần quan tâm đến 2 vấn đề là xác thực và bảo mật

* Thủ tục và báo hiệu H.245

1.3.3 Các giải pháp bảo mật truyền hình hội nghị hiện nay

- Mã hóa thông tin giữa MCU và Endpoint

CHƯƠNG 2 CÔNG NGHỆ ĐƯỜNG HẦM IPV6 – GIẢI PHÁP BẢO

MẬT ĐƯỜNG TRUYỀN 2.1 Đặt vấn đề

Việc bảo mật cho hệ thống truyền hình hội nghị quân sự là rất cần thiết, luận văn này lựa chọn phương thức bảo mật ở lớp truyền dữ liệu với việc sử dụng địa chỉ IPv6 và các giao thức bảo mật gói tin IPsec và công nghệ đường hầm cho việc truyền tải gói tin

Những hạn chế của IPv4 dẫn đến sự ra đời của IPv6 để giải quyết các vấn đề được đặt ra với những ưu điểm nổi trội như: không gian địa chỉ lớn (128 bit địa chỉ); hỗ trợ end to end và loại bỏ hoàn toàn công nghệ NAT; có sẵn thành phần bảo mật (built-in security); cấu hình đơn giản, cho phép các nút mạng sử dụng địa chỉ IP di động; tối ưu header do phần option được đưa ra sau, giúp việc mở rộng được dễ dàng hơn

Bảng 2.1 Điểm khác biệt cơ bản giữa IPv4 và IPv6

Không định dạng luồng dữ liệu Định dạng luồng dữ liệu nên hỗ trợ QoS tốt hơn

Sự phân mảnh được thực hiện bởi các

host gửi gói tin và các router trên

đường đi của gói tin

Sự phân mảnh chỉ xảy ra tại host gửi

mà không có sự tham gia của các router trên đường đi của gói tin

Có checksum header Không có checksum header

Header có phần tùy chọn Tất cả dữ liệu tùy chọn được chuyển

vào phần header mở rộng

Có địa chỉ Broadcast Địa chỉ multicast được sử dụng thay cho địa chỉ broadcast IGMP được dùng để quản lý các thành

viên của mạng con cục bộ IGMP được thay thế bởi MLD

ICMP Router Discovery được dùng để

xác định địa chỉ của gateway mặc định

tốt nhất và là tùy chọn

ICMP Router Discovery được thay thế bởi ICMPv6

Sử dụng các mẫu tin (A) chứa tài

nguyên địa chỉ host trong DNS để ánh

xạ tên host thành địa chỉ IPv4

Sử dụng các mẫu tin AAAA trong DNS

để ánh xạ tên host thành địa chỉ IPv6

2.2 Công nghệ đường hầm

2.2.1 Khái niệm công nghệ đường hầm

Công nghệ đường hầm là một phương pháp sử dụng cơ sở hạ tầng sẵn có của mạng IPv4 để thực hiện các kết nối IPv6 bằng cách sử dụng các thiết bị mạng có khả

năng hoạt động dual-stack tại hai điểm đầu và cuối nhất định Các thiết bị này “bọc” gói tin IPv6 trong gói tin IPv4 và truyền tải đi trong mạng IPv4 tại điểm đầu và gỡ bỏ gói tin IPv4, nhận lại gói tin IPv6 ban đầu tại điểm đích cuối đường truyền IPv4

* Phân loại công nghệ tạo đường hầm:

- Đường hầm bằng tay (manual tunnel)

- Đường hầm tự động (automatic tunnel)

- Đường hầm cấu hình (configured tunnel)

2.2.2 Địa chỉ IPv6

Địa chỉ IPv6 (Internet protocol version 6) là thế hệ địa chỉ Internet phiên bản mới được thiết kế để thay thế cho phiên bản địa chỉ IPv4 trong hoạt động Internet

* Cấu trúc địa chỉ IPv6: Một địa chỉ gồm có 16 byte, đó là 128 bít độ dài Kiểu

ký hiệu dấu 2 chấm trong hệ đếm 16 ( Hexadecimal Colon Notation)

* Phân loại địa chỉ IPv6: Một địa chỉ IPv6 có thể được phân thành 1 trong 3

loại Unicast, Multicast, Anycast

* Cấu trúc mào đầu của IPv6: Header của IPv6 đơn giản và hợp lý hơn IPv4,

chỉ có 6 trường và 2 địa chỉ (IPv4 chứa 10 trường và 2 địa chỉ)

2.2.3 Giao thức bảo mật IPsec

Thuật ngữ IP Sec là một từ viết tắt của thuật Internet Protocol Security, có quan

hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và một số chuẩn khác) được phát triển bởi IETF Mục đích chính của việc phát triển IP Sec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI

Hình 2.1 IPsec trong mô hình OSI

* Các giao thức sử dụng trong Ipsec: IPSec là một nền (Frame work) kết hợp

giao thức bảo mật và cung cấp mạng riêng ảo với các dữ liệu bảo mật, toàn vẹn và xác thực Với các giao thức chính trong IPSec:

- IP Security Protocol (IPSec): AH, ESP

- Message Encryption: DES, Triple DES (3DES)

- Message Integrity (Hash) Functions: Hash-based Message Authentication Code

(HMAC), MD5, Secure Hash Algorithm-1,2 (SHA-1,2)

- Peer Authentication: Rivest, Shamir, and Adelman (RSA) Digital Signutures, RSA Encrypted Nonces

- Key Management: Diffie-Hellman (D-H), Certificate Authority (CA)

- Security Association: IKE, Internet Security Association and Key

Management Protocol (ISAKMP)

* Chế độ vận hành:

- Chế độ chuyển giao (Transport mode): chỉ có trọng tải (dữ liệu được truyền) của gói tin IP mới được mã hóa và/hoặc chứng thực Transport mode sử dụng trong tình huống giao tiếp host to host

- Chế độ đường hầm (Tunnel mode): Trong chế độ tunnel, toàn bộ gói tin IP sẽ được mã hóa và/hoặc chứng thực Sau đó nó được đóng gói vào một gói tin IP mới với tiêu đề IP mới Chế độ tunnel được sử dụng để tạo mạng riêng ảo VPN phục vụ cho việc liên lạc giữa các mạng, liên lạc giữa máy chủ và mạng, và giữa các máy chủ

* Tích hợp bảo mật IPsec trong địa chỉ IPv6: Cấu trúc địa chỉ IPv6 sử dụng

IPSec để đảm bảo tính toàn vẹn, bảo mật và xác thực nguồn gốc dữ liệu sử dụng hai mào đầu mở rộng tùy chọn là mào đầu Xác thực - AH và mào đầu Mã hóa ESP có thể được sử dụng chung hay riêng để hỗ trợ nhiều chức năng bảo mật

* Nguyên tắc hoạt động của các giao thức bảo mật trong địa chỉ IPv6:

- Nguyên tắc hoạt động của AH: AH là một IPSec header cung cấp xác thực gói

tin và kiểm tra tính toàn vẹn AH cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói tin IP truyền giữa 2 hệ thống Nó là phương tiện để kiểm tra xem dữ liệu

có bị thay đổi trong khi truyền hay không

- Nguyên tắc hoạt động của ESP: ESP Header cung cấp mã hóa bảo mật và toàn vẹn dữ liệu trên mỗi điểm kết nối IPv6 ESP là một giao thức an toàn cho phép mật mã

dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn của dữ liệu Khác với AH, ESP cung cấp khả năng bí mật của thông tin thông qua việc mã hóa gói tin ở lớp IP, tất

cả các lưu lượng ESP đều được mã hóa giữa 2 hệ thống, do đó xu hướng sử dụng ESP nhiều hơn AH trong tương lai để làm tăng tính an toàn cho dữ liệu

- IKE: Giao thức IKE sẽ có chức năng trao đổi key giữa các thiết bị tham gia VPN và trao đổi chính sách an ninh giữa các thiết bị Nếu không có giao thức này thì người quản trị phải cấu hình thủ công, và những chính sách an ninh trên những thiết bị này được gọi là SA (Security Associate)

IKE gồm 2 Phases (IKE Phases 1 và IKE Phases 2) và 4 modes (Main mode, Aggressive mode, Quick mode, New Group mode)

Hình 2.2 Hai giai đoạn tạo phiên làm việc IKE

IKE Modes:

- Main mode (thuộc giai đoạn I): xác nhận và bảo vệ tính đồng nhất của các bên

có liên quan trong qua trình giao dịch, 6 thông điệp được trao đổi

Hình 2.3 Chế độ chính Main-mode

- Aggressive Mode (thuộc giai đoạn I): về bản chất giống Main mode, chỉ khác

nhau thay vì main mode có 6 thông điệp thì chết độ này chỉ có 3 thông điệp được trao đổi

Hình 2.4 Chế độ linh hoạt – Aggressive mode

- Quick Mode (thuộc giai đoạn II): nó dùng để thỏa thuận SA cho các dịch vụ

bảo mật IP Sec Ngoài ra, Quick mode cũng có thể phát sinh khóa chính mới Nếu chính sách của Perfect Forward Secrecy (PFS) được thỏa thuận trong giai đoạn I, một

sự thay đổi hoàn toàn Diffie-Hellman key được khởi tạo

Hình 2.5 Chế độ nhanh – Quick mode

- New Group Mode (thực hiện sau giai đoạn I, nhưng không thuộc giai đoạn II):

được dùng để thỏa thuận một private group mới nhằm tạo điều kiện trao đổi Hellman key được dễ dàng

Diffie-Hình 2.6 Chế độ nhóm mới – New group mode 2.3 Kết luận chương

Chương 2 đề cập đến công nghệ đường hầm, khái niệm và cách thức triển khai công nghệ này Mặc dù không phải là một công nghệ mới nhưng việc nghiên cứu và ứng dụng trực tiếp công nghệ này cho việc bảo mật dòng dữ liệu truyền hình hội nghị

là rất cần thiết Sử dụng địa chỉ IPv6 có tích hợp công nghệ bảo mật IPsec cho việc truyền tải gói tin đi trên hạ tầng mạng IP hỗ trợ mạnh mẽ đến việc đảm bảo an toàn bảo mật dữ liệu và cũng thúc đẩy việc sử dụng công nghệ mới, thúc đẩy việc thay thế dần công nghệ IPv4 bằng công nghệ IPv6 với nhiều ưu điểm khắc phục tốt những hạn chế và nhược điểm của công nghệ IPv4

CHƯƠNG 3: MÔ PHỎNG THỬ NGHIỆM CÔNG NGHỆ ĐƯỜNG HẦM IPV6 ỨNG DỤNG CHO TRUYỀN HÌNH HỘI NGHỊ QUÂN SỰ 3.1 Phần mềm mô phỏng

3.1.1 Phần mềm GNS3

GNS3 là 1 chương trình giả lập mạng có giao diện đồ họa cho phép giả lập các loại router Cisco sử dụng IOS (hệ điều hành của router) thật và có thể kết nối vào hệ thống mạng thật và sử dụng như thiết bị thật

Hình 3.1 Giao diện của phần mềm GNS3

3.1.2 Phần mềm tạo máy ảo VMware

VMware Workstation Pro là phần mềm máy ảo cung cấp các tính năng cạnh hàng đầu và hiệu suất cao

Hình 3.2 Giao diện của phần mềm VMware

3.1.3 Phần mềm bắt gói tin Wireshark

Wireshark, hay còn gọi là Ethereal, là 1 trong những ứng dụng phân tích dữ liệu

hệ thống mạng, với khả năng theo dõi, giám sát các gói tin theo thời gian thực, hiển thị chính xác báo cáo cho người dùng qua giao diện khá đơn giản và thân thiện

Hình 3.3 Giao diện phần mềm Wireshark

3.1.4 Phần mềm Polycom PVX

Polycom PVX, công nghệ hội nghị trực tuyến trên màn hình máy tính tốt nhất chưa từng có trước đây với phần mềm ứng dụng được cung cấp bởi một ngành công nghệ hàng đầu