CHƯƠNG 3: CÁC NGUY CƠ MẤT AN TOÀN TRONG TRIỂN KHAI HỆ THỐNG MẠNG DỊCH VỤ IPTV HIỆN NAY
4.2. Hệ thống Head-end của nhà cung cấp dịch vụ IPTV
4.2.1. Các thành phần thiết yếu của hệ thống head-end
Hệ thống head-end nhận một tập các dòng truyền nội dung – data feeds với
nội dung chính từ các công ty khác, tái truyền dẫn các nội dung, các nguyền Video từ vệ tinh và các dòng video đã có sẵn trong hệ thống. Do các nội dung được nhận về có các định dạng khác nhau, định dạng Analog không thể truyền dẫn được qua mạng IP. Nội dung có thể nhận được nhờ các phương tiện lưu trữ khác như DVD, CD, Tape hoặc các dòng trực tiếp như từ vệ tinh và truyền hình mặt đất. Các nội dung cần mã hóa sang số và đóng gói theo giao thức TCP/IP. Một số thành phần khác cũng liên quan như DRM và hệ thống quản lý nội dung cũng bao gồm trong hệ thống. Tất cả các quá trình truyền dẫn thông tin với thuê bao được phối hợp bởi Middleware server nhận các yêu cầu kết nối từ STB.
Các thành phần khác nhau của Head-end được mô tả trong Hình 4.1 dưới đây. Các hệ thống lọc bảo mật phải được xây dựng nhằm đảm bảo sự bảo vệ đối với hệ thống Head-end.
Hình 4.1: Hệ thống IPTV Head-end
Các server trong hệ thống head-end được bảo vệ bởi 6 lớp bảo mật được thực hiện bởi các cơ chế bảo mật độc lập. Các lớp bảo mật này thường gồm một số công nghệ khác nhau và được quản trị bởi các nhóm cũng như giảm thiểu các nguy cơ cấu kết thông đồng và giả mạo. Hình 4.2 sau mô tả các lớp bảo mật trong hệ thống Head-end.
Hình 4.2: Các lớp bảo mật tại Head-end
- Lớp ngoài cùng được thực hiện bởi các thành phần network firewalls và network IDS/IPS. Lớp này cung cấp hệ thống quản lý truy cập giữa các chức năng chính cũng như đảm bảo bảo vệ khỏi các tấn công đã được biết đến như worms và viruses.
- Lớp thứ 2 bao gồm mạng VLAN được tạo ra tại các chuyển mạch. VLAN được cấu hình cho phép chỉ các máy hợp lệ được gia nhập vào mạng. Máy chủ sẽ có một card mạng kết nối đến VLAN quản trị và một số các Card mạng khác cho các VLAN khác tùy theo cấu hình truyền dẫn cần có. Truy cập đến VLAN được điều khiển bởi địa chỉ MAC của card mạng hoặc địa chỉ IP của một máy.
- Lớp thứ 3 được thực hiện bởi danh mục quản lý truy cập ACL tại các Switcher.
Trong phần lớn trường hợp, các đườn truyến dẫn sẽ được khởi tạo bởi một đầu và được chấp nhận kết nối bởi đích đến. Các dải thông này sẽ được truyền đi theo hướng đã được chấp nhận thông qua trước đó với các cổng và dịch vụ cụ thể. Trình quản trị console có tính linh hoạt cao trong truy cập đến Server, nhưng phải được chứng thực bởi firewall.
- Lớp thứ 4 được thực hiện bởi hệ thống đóng gói và các giao thức bảo mật. Lớp này bản chất là các đường truyền dẫn ngầm được thiết lập giữa các máy bằng giao thức kênh truyền SSL, TLS, SSH, SNMPv3 hoặc các giao thức kênh truyền khác, các kênh truyền bảo mật này bảo vệ các phiên truyền dẫn khỏi sự can thiệp và chỉnh sửa cũng như giảm thiểu nguy cơ tấn công MITM (man-in-the-middle
- Lớp thứ 5 được thực hiện bởi các cơ chế bảo mật cụ thể được triển khai bởi các nhà cung cấp phần mềm người tạo ra các ứng dụng đặc biệt cho các chức năng này.
Trong phần lớn trường hợp, các ứng dụng sẽ yêu cầu các thông tin chứng minh sự hợp lệ trước khi cho phép truy cập với vai trò là người dùng hay quản trị viên và gán các profile khác nhau cho từng đối tượng truy cập.
- Lớp thứ 6 là lớp làm kiên cố hóa hệ thống platform, bao gồm các quá trình thực hiện vá lỗi hệ thống và các hình cho hệ điều hành, trong một số trường hợp bao gồm các khuyến cáo từ SCAP như đã được trình bày ở phần trước.
Với cách tiếp cận theo lớp này, rất khó để lấy cắp quyền truy cập của một thành phần trong hệ thống Head-end. Tuy nhiên việc phân chia này lại không áp dụng cho VOD server và Middleware server. Các phần này sẽ được đề cập chi tiết sau trong chương này.