Bảo mật
Các yêu cầu bảo mật
Một nhà cung cấp mạng hay dịch vụ sẽ quyết định giới hạn thực hiện bảo mật dựa vào kết qủa của phân tích nguy cơ và đánh giá rủi ro. Sau đó nhà cung cấp sẽ tạo ra một
"chiến lược bảo mật". Hình sau mô tả sự tương tác của các khối liên quan đến bảo mật.
Mô h ì n h bả o m ật
Phân tích nguy cơ và đánh giá rủi ro trên nguyên tắc chỉ có thể thực hiện trong một trưường hợp cụ thể. Phạm vi bảo mật có thể tùy thuộc vào các hoạt động khác nhau. Do đó thách thức đặt ra cho các nhà cung cấp thiết bị là xác định một chính sách chung cho phần lớn các khách hàng và khách hàng có thể tạo ra cách bảo mật của mình trong một số tùy chọn sẵn có.
Việc xác định chính xác các yêu cầu bảo mật của mạng tương đối khó khăn. Sau đây là một ví dụ cụ thể về các yêu cầu của bảo mật. Chẳng hạn như khách hàng phải chịu trách nhiệm về các hành động của họ
Các vấn đề cần bảo mật
Các vấn đề này được thực hiện trong mọi dạng cấu hình NGN, bao gồm các dạng truyền khác nhau và xử lý các nguy cơ sau đây:
Từ chối dịch vu: Nguy cơ này tán công vào các thành phần mạng truyền dẫn bằng cách liên tục đưa dồn dập dữ liệu làm cho các khách hàng NGN khác không thể sử dụng tài nguyên mạng.
Nghe trộm: Nguy cơ này ảnh hưởng đến tính riêng tư của một cuộc nói chuyện bằng cách chặn đường dây giữa người gười và người nhận.
Giả dạng: Thủ phạm sử dụng một mặt nạ để tạo ra một đặc tính giả. Ví dụ anh ta có thể thu được một đặc tính giả bằng cách theo dõi mật mã và ID củaa khách hàng, bằng cách thao tác khởi tạo tin nhắn hay thao tác địa chỉ vào/ra của mạng.
Truy nhập trái phép: Truy nhập vào các thưc thể mạng phải được hạn chế và phù hợp với chính sách bảo mật. Nếu kẻ tấn công truy nhập trái phép vào các thực thể mạng thì các dạng tấn công khác như từ chối dịch vụ, nghe trộm hay giả dạng cũng có thể xảy ra.
Truy nhập trái phép cũng là kết quả của các nguy cơ kể trên.
Sửa đổi thông tin: Trong trường hợp này, dữ liệu bị phá hỏng hay làm cho không thể sử dụng được do thao tác của hacker. Một hậu quả của hành động này là những khách hàng hợp pháp không truy xuất vào tài nguyên mạng được. Trên nguyên tắc không thể ngăn cản khách hàng thao tác trên dữ liệu hay phá hủy một cơ sở dữ liệu trong phạm vi truy nhập cho phép của họ.
Từ chối khách hàng: Một hay nhiều khách hàng trong mạng có thể bị từ chối tham gia vào một phần hay toàn bộ mạng với các khách hàng dịch vụ/server khác. Phương pháp tấn công có thể là tác động lên đường truyền, truy nhập dữ liệu hay sửa đổi dữ liệu. Trên quan điểm của nhà vận hành mạng hay nhà cung cấp dịch vụ, dạng tấn công này gây hậu quả là mất niềm tin, mất khách hàng và dẫn tới mất doanh thu.
Các giải pháp tạm thời
Các biện pháp đối phó có thể chia thành hai loại sau: phòng chống và dò tìm. Sau đây là các biện pháp tiêu biểu:
Xác thực Chữ ký số
Ðiều khiển truy nhập
Mạng riêng ảo Phát hiện xâm nhập Ghi nhất ký và kiểm toán Mã hóa
Trong mọi trường hợp cần lưu ý rằng các hệ thống vận hành trong các thành phần NGN cần phải bảo vệ cấu hình như một biện pháp đối phó cơ bản:
- Tất cả các thành phần không quan trọng (chẳng hạn như các cổng TCP/UDP) phải ở tình trạng thụ động.
- Các đặc tính truy nhập từ xa cho truy nhập trong và truy nhập ngoài cũng phải thu động. Nếu các đặc tính này được đăng nhập, tất cả các hoạtt động cần được kiểm tra.
− Bảng điều khiển server để điều khiển tất cả các đặc tính vận hành của hệ thống cần được bảo vệ. Tất cả các hệ thống vận hành có một vài đặc tính đặc biệt để bảo vệ bảng điều khiển nay.
− Hệ thống hoàn chỉnh có thể đăng nhập và kiểm tra. Các log file cần phải được giám sát thường xuyên.
Thêm vào đó, cần phải nhấn mạnh rằng mạng tư nó phải có cách bảo vệ cấu hình. Ví dụ: như nhà vận hành phải thực hiện các công việc sau:
− Thay đổi password đã lộ.
− Làm cho các port không dùng phải không hoạt động được.
− Duy trì một nhất ký password.
− Sử dụng sự nhận thực các thực thể.
− Bảo vệ điều khiển cấu hình
B iệ n p há p c h ố ng lại cá c ng uy c ơ
Chất lượng dịch vụ (QoS)
Giới thiệu
Chất lượng dịch vụ QoS chính là yếu tố thúc đẩy MPLS. So sánh với các yếu tố khác, như quản lý lưu lượng và hỗ trợ VPN thì QoS không phải là lý do quan trọng nhất để triển khai MPLS. Như chúng ta sẽ thấy dưới đây, hầu hết các công việc được thực hiện trong MPLS QoS tập trung vào việc hỗ trợ các đặc tính của IP QoS trong mạng. Nói cách khác, mục tiêu là thiết lập điểm tương đồng giữa các đặc tính QoS của IP và MPLS, chứ không phải là làm cho MPLS QoS có chất lượng cao hơn IP QoS.
Một lý do để khảng định MPLS không giống như IP là MPLS không phải là giao thức xuyên suốt. MPLS không vận hành trong cảc máy chủ, và trong tương lai nhiều mạng IP không sử dụng nhưng MPLS vẫn tồn tại.
QoS mặt khác là đặc tính liên lạc giữa các LSR cung cấp. Ví dụ nếu một kênh kết nối trong tuyến xuyên suốt có độ trễ cao, tổn thất lớn, băng thông thấp sẽ giới hạn QoS có thể cung cấp dọc theo tuyến đó. Một cách nhìn nhận khác về vấn đề này là MPLS không thay đổi về căn bản mộ hình dịch vụ IP. Các nhà cung cấp dịch vụ không ban dịch vụ MPLS, họ cung cấp các dịch vụ IP (hay Frame Relay và các dịch vụ khác), và do đó, nếu họ đưa ra QoS thì họ phải dựa trên IP QoS (Frame Relay QoS,.) chứ không phải là MPLS QoS.
Ðiều này không có nghĩa là MPLS không có vai trò trong IP QoS. Thứ nhất, MPLS có thể giúp nhà cung cấp đưa ra các dịch vụ IP QoS hiệu quả hơn. Thứ hai, hiện đang xuất hiện một số khả năng QoS mới hỗ trợ qua mạng sử dụng MPLS, tuy không thực sự xuyên suốt nhưng có thể chứng tỏ là rất hữu ích, một số chúng có thể bảo đảm băng thông của LSP.
Do có mội quan hệ giữa IP QoS và MPLS QoS, phần này sẽ được xây dựng xung quanh các thành phần chính của IP QoS. IP cung cấp hay mô hình QoS: dịch vụ tích hợp IntServ (sử dụng chế độ động với RSVP) và dụng cụ Diffserv.
Sự thỏa thuận mức dịch vụ theo:
− Lớp dịch vụ hay lớp ứng dụng
− Loại khách hàng hay nhóm khách hàng (thực hiện ở lớp mạng VPN)
− Luồng hay kết nố?i
Ðể thực hiện QoS, mạng phải có:
− Các server hoạch định tuyến
− Các phần tử mạng thực hiện hoạch định tuyến
− Các giao diện nhận biết hoạch định tuyến.
Sự phát triển QoS
Các kỹ thuật phục vụ QoS
Các kỹ thuật QoS trong mạng IP Dịch vụ cố gắng tối đa (Best Effort)
Ðây là dịch vụ phổ biến trên mạng Internet hay mạng IP nói chung. Các gói thông tin được truyền đi theo nguyên tắc "đến trước được phục vụ trước" mà không quan tâm đến đặc tính lưu lượng của dịch vụ là gì. Ðiều này dẫn đến rất khó hỗ trợ các dịch vụ đòi hỏi độ trễ thấp như các dịch vụ thời gian thực hay video. Cho đến thời điểm nay, đa phần các dịch vụ được cung cấp bởi mạng Internet vàn sử dụng nguyên tắc Best Effort này.
Dịch vụ tích hợp (IntServ)
Ðứng trước nhu cầu ngày càng tăng trong việc cung cấp dịch vụ thời gian thực (thoại, video) và băng thông cao (đa phương tiện), dịch vụ tích hợp IntServ đã ra đời. Ðây là sự phát triển của mạng IP nhằm đồng thời cung cấp dịch vụ truyền thống Best Effort và các dịch vụ thời gian thực. Sau đây là những động lực thúc đẩy sự ra đời của mô hình này:
Dịch vụ cố gắng tối đa không còn đủ đáp ứng nữa: ngày càng có nhiều ứng dụng khác nhau, các yêu cầu khác nhau về đặc tính lưu lượng được triển khai, đồng thời người sử dụng cũng yêu cầu chất lương dịch vụ ngày càng cao hơn.
Các ứng dụng đa phương tiện ngày càng xuất hiện nhiều: mạng IP phải có khả năng hỗ trợ không chỉ đơn dịch vụ mà còn hỗ trợ đa dịch vụ của nhiều loại lưu lượng khác nhau từ thoại, số liệu đến video.
Tối ưu hóa hiệu suất sử dụng mạng và tài nguyên mạng: đảm bảo hiệu quả sử dụng và đầu tư. Tài nguyên mạng sẽ được dự trữ cho lưu lượng có độ ưu tiên cao hơn, phần còn lại sẽ dành cho số liệu best effort.
Cung cấp dịch vụ tốt nhất: mô hình IntServ cho phép nhà cung cấp mạng tung ra những dịch vụ tốt nhất, khác biệt với các đối thủ cạnh tranh khác.
Mô hình dịch vụ IntServ
Một số thành phần chính th am g ia t r o n g m ô h ì nh nh ư :
Giao thức thiết lập setup: cho phép các máy chủ và các router dự trữ động tài nguyên mạng đe xử lý các yêu cầu của các luồng lưu lượng riêng. RSVP, Q.2391 là một trong nhưng giao thức đó.
Ðặc tính lượng: xác định chất lượng dịch vụ QoS sẽ cung cấp cho các luồng xác định.
Luồng ở đây được định nghĩa như một luồng các gói từ nguồn đến đích có cùng yêu cầu về QoS. Về nguyên tắc có thể đặc tính luồng như băng tần tối thiểu mà mạng bắt buộc phải cung cấp để đảm bảo QoS cho các luồng yêu cầu.
Ðiều khiển lưu lượng: trong các thiết bị thiết bị mạng (máy chủ, router, chuyển mạch) có thành phần điều khiển và quản lý tài nguyên mạng cần thiết để hỗ trợ QoS theo yêu cầu. Các thành phần điều khiển lưu lượng này có thể được khai báo bởi giao thức báo hiệu RSVP hay nhân công. Thành phần điều khiển lưu lượng bao gồm:
Ðiều khiện chấp nhận: xác định các thiết bị mạng có khả năng hỗ trợ QoS theo yêu cầu hay không.
Thiết bị phân loại (Classifier): nhận dạng và chọn lựa lớp dịch vụ trên nội dung của một số trường nhất định trong đầu gói.
Thiết bị phân phối(Scheduler): cung cấp các mức chất lượng dịch vụ QoS qua kênh ra của thiết bị mạng.
Các mức chất lượng dịch vụ cung cấp bởi IntServ gồm:
Dịch vụ đảm bảo GS: băng tần dành riêng, trên có giới hạn và không bị thất thoát gói tin trong hàng. Các ứng dụng cung cấp thuộc loại ấy có thể kể đến: hội nghị truyền hình chất lượng cao, thanh toán tàii chính thời gian thực,.
Dịch vụ kiểm soát tối: không đảm bảo về băng tần hay trễ, nhưng khác với best effort ở điểm không giảm chất lượng một cách đáng kể khi tải mạng tăng lên. Dịch vụ này phù hợp cho các ứng dụng không nhạy cảm lắm với độ trễ hay mất gói như truyền hình multicast audio/video chất lượng trung bình.
Dịch vụ best effort Dịch vụ Diffserv
Việc đưa ra mô hình IntServ có vẻ như giải quyết được nhiều vấn đề liên quan đến QoS trong mạng IP. Tuy nhiên trong thực tế mô hình này đã không đảm bảo được QoS xuyên suốt (end to end). Ðã có nhiều cố gắng nhằm thay đổi điều này nhằm đạt một mức QoS cao hơn cho mạng IP, và một trong những cố gắng đó là sự ra đời của DiffServ. Diffserv sử dụng việc đánh dấu gọi và xếp hàng theo loại để hỗ trợ dịch vụ ưu tiên qua mạng IP.
Hiện tại IETF đang có một nhóm làm việc DiffServ để đưa ra các tiêu chuẩn RFC về DiffServ.
Nguyên tắc cơ bản của Diffserv như sau:
Ðịnh nghĩa một số lượng nhỏ các lớp dịch vụ hay mức ưu tiên. Một lớp dịch vụ có thể liên quan đến đặc tính lưu lượng (băng tần min- max, kích cỡ burst, thời gian kéo dài burst)
Phân loại và đánh dấu các gói riêng biệt tại biên của mạng vào các lớpp dịch vụ.
Các thiết bị chuyển mạch, router trong mạng lại sẽ phục vụ các gói theo nội dung của các bit đã được đánh dấu trong phần đầu của gói.
Với nguyên tắc này, Diffserv có nhiều lợi thế hơn so với IntServ:
Không yêu cầu báo hiệu cho từng luồng
Dịch vụ ưu tiên có thể áp dụng cho một số luồng riêng biệt cùng một lớp dịch vụ. Ðiều này cho phép nhà cung cấp dịch vụ đa dạng phân phối một số mức dịch vụ khác nhau cho các khách hàng có nhu cầu.
Không yêu cầu thay đổi tại các máy chủ hay các ứng dụng để hỗ trợ dịch vụ ưu tiên.
Ðây là nhiệm vụ của thiết bị biên.
Hỗ trợ rất tốt dịch vụ VPN.
Tuy nhiên có thể nhận thấy DiffServ cần vượt qua một số vấn đề như:
− Không có khả năng cung cấp băng tần và độ trễ đảm bảo như GS của IntServ hay ATM.
− Thiết bị biên vẫn yêu cầu bộ Classifier chất lượng cao cho từng gói giống như trong mô hình IntServ.
− Vấn đề quản lý trạng thái Classifier của một số lượng lớn các thiết bị biên là một vấn đề không nhỏ cần quan tâm.
− Chính sách khuyến khích khách hàng trên cơ sở giá cước cho dịch vụ cung cấp cũng ảnh hưởng đến giá trị của DiffServ.
Mô hình DiffServ tại biên và lõi