Gửi lúc: 03/07/2007 14:02:34
Bookmark and Share

An ninh thông tin cho mạng đô thị

Phần đầu của bài báo đăng trong số 1/2007 đã phân tích khái niệm mạng đô thị và vấn đề an ninh thông tin cho mạng đô thị với công nghệ MPLS VPN. Trong phần này, bài báo tiếp tục giới thiệu về một số giải pháp bảo vệ mạng đô thị qua các mô hình thiết kế cụ thể.

(Tiếp theo số trước)
III. Một số giải pháp bảo vệ mạng đô thị
Phần này đề cập tới một số thiết kế an toàn có thể ứng dụng trong mạng MPLS VPN. Đó là một số mô hình kết nối nhằm giảm thiểu các nguy cơ đã phân tích ở phần trước. Sau đây là vấn đề về hoạch định các VPN trên nền tảng MPLS. 
1. Mạng MAN kết nối Internet và cung cấp dịch vụ nối Internet cho khách hàng qua mạng lõi MPLS VPN
Nên triển khai một VPN trong mạng MAN và cung cấp dịch vụ kết nối ra Internet cho tất cả các VPN khách hàng qua VPN này.
Trên quan điểm an ninh thông tin, ta cần chú ý các điểm sau khi thiết kế và triển khai:



Hình 1- Mô hình kết nối Internet thông qua mạng lõi của MAN


- CE router không do MAN quản lý, vì vậy phải bảo vệ tốt PE router.
- Tuy kết nối Internet có thể chỉ nằm trong một VRF, nhưng lưu lượng của kết nối này có thể ảnh hưởng đến toàn bộ hoạt động của PE router.
- Các luồng dữ liệu kết nối giữa các VPN thông qua default route 0.0.0.0 sẽ chuyển qua CE router thông qua kết nối WAN CE-PE. Đây là điểm cần tránh bằng cách xây dựng ACL trên PE router.
- Nếu mạng lõi MPLS có nhiều đường ra Internet và không sử dụng defaul route (default-free) thì có thể xảy ra khả năng rất nhiều route cần được lưu trên các VRF của các PE router dẫn đến làm cạn kiệt tài nguyên bộ nhớ của PE router.
Mô hình trên còn có thể áp dụng cho cả các dịch vụ khác như email nhằm có một quá trình xử lý email như log, backup, chống virus… một cách tập trung tại NOC. Các email khi chuyển về các đơn vị đã được “làm sạch” tại máy chủ của NOC. Dịch vụ proxy cũng có thể thực hiện tương tự.
2. Không nên cho phép triển khai kết nối Internet từ các khách hàng
Một trong các tình huống có thể xảy ra là một đơn vị có kết nối Internet phía bên trong mạng nội bộ và cho phép các chi nhánh từ xa được kết nối Internet thông qua mạng lõi của MAN như hình 1.
Mô hình này có thể là phổ biến cho MAN vì nhiều đơn vị đã xây dựng kết nối Internet của riêng mình. Với sự hình thành của MAN, các cơ sở ở xa có thể kết nối vào cơ sở chính và sử dụng kết nối Internet hiện có. Nhược điểm căn bản của mô hình này về an ninh thông tin là:
- Đơn vị quản lý không thể biết rằng có dòng dữ liệu kết nối Internet đi qua mạng lõi. Rất may là dòng dữ liệu này không thể “dừng” ở trong mạng lõi.
- Các thiết bị của mạng lõi, đặc biệt là các PE router trở nên mở với Internet và các tấn công DoS có thể từ Internet làm ảnh hưởng các PE router.
3. Nên tách đường truyền, thiết bị kết nối ra Internet với các đường truyền thiết bị phục vụ kết nối VPN khách hàng tại điểm kết nối của khách hàng
Chúng ta thấy Internet là nơi có khả năng và điểm xuất phát tấn công lớn nhất. Vì vậy chúng ta cần thiết kế mạng sao cho ngay cả trong trường hợp xấu nhất, khi chúng ta bị tấn công DoS từ Internet thì các dịch vụ cung cấp kết nối của mạng lõi bị ảnh hưởng ít nhất.
Một trong các phương pháp để thực hiện tốt yêu cầu này là tách riêng đường truyền, thiết bị kết nối Internet với các kết nối khác. Mô hình sau đây mô tả cách thức tổ chức kết nối và cung cấp dịch vụ Internet sao cho tách biệt 2 dòng dữ liệu (hình 2).



Hình 2. Mô hình tách riêng kết nối Internet và các đường truyền phục vụ kết nối VPN khách hàng


Ở mô hình này, một mạng khách hàng sử dụng 2 CE routers riêng để kết nối tới 2 PE router của nhà cung cấp. Với cách thức trên, ngay cả khi một trong hai hướng kết nối bị nghẽn mạch do DoS, kết nối còn lại vẫn hoạt động bình thường. Nhược điểm cơ bản của mô hình này là tốn kém về mặt thiết bị.
Mô hình sau nhằm giảm bớt nhu cầu về thiết bị PE router của nhà cung cấp dịch vụ (hình 3).



Với mô hình này, khách hàng sử dụng 2 VRF khác nhau trên cùng PE router để thực hiện hai hướng kết nối ra Internet và tới mạng chi nhánh của mình. Nhược điểm của mô hình này là vẫn cần sử dụng 2 CE router khác nhau và cần thuê 2 kết nối vật lý khác nhau tới PE router. Ở đây phải chi phí lớn vì các cổng vật lý trên PE router thường có giá thành cao .
Phương án thứ 3 gọi là VRF Lite là một mô hình nên xem xét triển khai của MAN (hình 4).
Trong mô hình này, kết nối CE và PE là một kết nối vật lý với nhiều kết nối logic khác nhau. CE của khách hàng sử dụng một VRF để là điểm nối với Internet CE router của khách hàng. Còn global routing table thì sử dụng cho kết nối VPN tới các VPN khác.
Trong trường hợp này, VRF trên CE router không có chức năng MPLS forwarding mà chỉ làm nhiệm vụ phân tách các mạng khác nhau và người ta gọi là VRF Lite.
Kết luận.
Với những yêu cầu thiết yếu của hành chính điện tử, công nghệ MPLS VPN với hạ tầng kết nối cáp quang có lẽ là thích hợp nhất, mặc dù kinh phí đầu tư về trang thiết bị và nhân lực quản lý cho hạ tầng này còn tương đối đắt đỏ.
Bảo đảm an ninh thông tin cho hệ thống mạng đô thị với hành chính điện tử hoạt động trên đó là một bài toán quan trọng, phức tạp. Chỉ với một thiết kế từ ban đầu định hướng bảo mật hệ thống, một đội ngũ cán bộ quản trị mạng chuyên nghiệp và chính sách đảm bảo an toàn thông tin chặt chẽ, khả thi và được giám sát thực hiện nghiêm ngặt, chúng ta mới có thể đảm bảo được thành công của hành chính điện tử

TS. Trịnh Ngọc Minh

Bài viết khác