1. Tổng quan về mạng thế hệ mới và các nguy cơ an toàn mạng
1.1. Tổng quan mạng thế hệ mới
Sự gia tăng cả về số lượng và chất lượng của các nhu cầu dịch vụ ngày càng phức tạp từ phía khách hàng đã kích thích sự phát triển nhanh chóng của thị trường công nghệ Điện tử – Tin học – Viễn thông. Tuy nhiên, việc phát triển các công nghệ cơ bản liên quan đến các tổng đài chuyển mạch kênh hiện nay là còn quá chậm so với tốc độ thay đổi liên quan đến công nghiệp máy tính. Chuyển mạch kênh là các phần tử có độ tin cậy cao trong kiến trúc PSTN, song chưa đạt được sự tối ưu so với chuyển mạch gói. Khi lưu lượng mạng tăng lên sẽ phải có các giải pháp kỹ thuật, công nghệ mới cho các chuyển mạch trong tương lai.
Giải pháp mới này dựa trên công nghệ gói để chuyển tải chung cả thông tin thoại và dữ liệu. Hiện nay, các nhà cung cấp dịch vụ đang cố gắng hướng tới việc xây dựng một Mạng thế hệ mới (Next Generation Network – NGN) trên đó hội tụ các dịch vụ thoại, số liệu, đa phương tiện trên một mạng duy nhất - sử dụng công nghệ chuyển mạch gói trên mạng xương sống (Backbone Network). Đây là mạng của các ứng dụng mới và các khả năng mang lại lợi nhuận mà chỉ đòi hỏi giá thành thấp.
Mạng thế hệ mới - NGN là một bước phát triển, một xu hướng tất yếu. Tuy nhiên, nó phải tương thích tốt với môi trường mạng sẵn có và phải kết nối hiệu quả với mạng PSTN.
Các phần tử trong mạng NGN bao gồm:
- Softswitch: là phần tử có chức năng điều khiển cuộc gọi, với thành phần tương tác chính là các Media Gateway, và các Access Gateway thông qua các giao thức điều khiển gateway truyền thông như MGCP/H248 MEGACO. Mặt khác nó cũng có khả năng tương tác với mạng H323 và SIP (Session Initiation Protcol), cho phép người sử dụng thực hiện các cuộc gọi PC to Phone, PC to PC, phone to PC.
- SIP Server: Có vai trò chức năng định tuyến các bản tin báo hiệu SIP giữa các SIP client. Nếu trong mạng chỉ có một SIP server thì nó vừa đóng vai trò là Proxy Server, Redirect Server, Location Sever.
- Gatekeeper: cho phép các thuê bao H323 đăng ký, nhận thực, đồng thời giám sát các kết nối Multimedia giữa các đầu cuối H323.
- Signalling Gateway: thực hiện chức năng Gateway báo hiệu
- Media Sever: Cho phép sự tương tác giữa thuê bao và các ứng dụng thông qua thiết bị điện thoại, ví dụ có thể trả lời cuộc gọi, đưa ra một lời thông báo, đọc thư điện tử, thực hiện chức năng của IVR.
- Media Gateway: là thiết bị truyền thông kết nối với mạng chuyển mạch kênh hiện tại và mạng NGN. Nó cung cấp các cổng kết nối trực tiếp với đường trung kế của mạng PSTN và mạng di động, biến đổi các luồng TDM đó thành những gói IP và ngược lại. Các Gateway này hoạt động đơn thuần như một thiết bị kết nối trung gian, được điều khiển bởi Softswitch.
- Access Gateway: là Gateway có thể cung cấp truy cập đa dịch vụ như xDSL, VoDSL, POTS/ISDN....
- IP client: là các thiết bị đầu cuối IP, hỗ trợ các giao thức H323, SIP. Các thiết bị đầu cuối này có thể thực hiện những cuộc gọi Multimedia trong mạng của nó hay gọi thoại ra mạng PSTN thông qua softswitch. Các thiết bị đầu cuối này có thể là IP phone, PBX trên nền IP (Hình 1).
NGN có khả năng cung cấp phạm vi rộng các loại hình dịch vụ, bao gồm: dịch vụ tài nguyên chuyên dụng, dịch vụ lưu trữ và xử lý, dịch vụ trung gian, dịch vụ ứng dụng cụ thể, dịch vụ cung cấp nội dung, dịch vụ interworking dùng để tương tác với các dịch vụ khác, các giao thức hoặc các định dạng khác như chuyển đổi dữ liệu điện tử (EDI) và các dịch vụ bảo dưỡng, vận hành và quản lý các dịch vụ và mạng truyền thông.
1.2. An toàn mạng NGN
Mạng hội tụ yêu cầu các mạng giao tiếp với nhau thông qua các giao thức dùng chung, cho phép trao đổi các bản tin với nhau. Trong trường hợp không sử dụng chung một giao thức thì gateway được sử dụng để dịch giao thức giữa các mạng với nhau. Dưới đây chỉ ra một số kiểu tấn công có thể thực hiện vào mạng NGN.
- Từ chối dịch vụ: Nguy cơ này tấn công vào các thành phần mạng truyền dẫn bằng cách liên tục đưa dồn dập dữ liệu làm cho các khách hàng NGN khác không thể sử dụng được tài nguyên mạng.
- Nghe trộm: Nguy cơ này ảnh hưởng đến tính riêng tư của một cuộc nói chuyện bằng cách chặn bắt thông tin trên đường truyền giữa người gửi và người nhận.
- Giả dạng: Thủ phạm sử dụng một “mặt nạ” để tạo ra một đặc tính giả. Ví dụ, có thể thu được một đặc tính giả bằng cách theo dõi mật mã và ID của khách hàng, bằng cách thao tác khởi tạo tin nhắn hay thao tác địa chỉ vào/ra của mạng.
Các gateway H.323 hỗ trợ ba cấp độ nhận thực:
- Endpoint (điểm cuối): Kênh RAS sử dụng báo hiệu gateway- to- gatekeeper không phải là kênh bảo mật. Để đảm bảo liên lạc có bảo mật, H.235 cho phép các gateway có một khoá xác thực trong các bản tin RAS của chúng. Khoá này được sử dụng bởi gatekeeper để xác thực điểm nguồn của các bản tin. Ở cấp endpoint, kiểm tra hợp lệ được thực hiện trên tất cả các bản tin từ gateway. Các cryptoToken được kiểm tra hợp lệ bằng cách sử dụng mật khẩu đã cấu hình cho gateway.
- Per- Call (cho mỗi cuộc gọi): Khi gateway nhận một cuộc gọi qua chặng điện thoại (telephony leg), nó đòi hỏi người dùng cung cấp mã số account và PIN. Hai mã số này chứa trong các bản tin RAS nào đó đã gửi từ điểm cuối để xác thực nguồn gốc của cuộc gọi.
• All (tất cả): Tùy chọn này bao gồm cả hai cấp độ trên. Với tùy chọn này, kiểm tra hợp lệ của cryptoToken trong bản tin đề nghị thu nhận ARQ (admission request) dựa trên một mã số account và PIN của người dùng đang tạo ra một cuộc gọi. Kiểm tra hợp lệ của các cryptoToken đã gửi trong tất cả các bản tin RAS khác dựa trên mật khẩu đã cấu hình cho gateway.
Ngoài chuẩn H.235, việc đảm bảo an toàn cho H.232 còn được thực hiện tăng cường ở lớp truyền tải nhờ TLS và lớp mạng IPSec.
An toàn giao thức MEGACO/H.248
MEGACO là trung tâm của việc thực hiện giải pháp thoại qua gói VoIP. Nó có thể tích hợp để trở thành sản phẩm như tổng đài trung tâm, máy chủ truy nhập mạng, modem cáp, PBX, điện thoại IP.
Giao thức MEGACO cung cấp một giải pháp toàn diện cho việc điều khiển các MG. MG sẽ không nhớ được các thông tin của trạng thái cuộc gọi, nó chỉ cung cấp khả năng kết nối chéo các dòng media khác nhau dưới sự điều khiển của MGC, và khả năng tách sóng rồi truyền tải các loại tín hiệu khác nhau mà kết hợp một cách tương ứng với các dòng media đó.
Bản thân giao thức không tồn tại cơ chế đảm bảo an toàn, do đó nó sử dụng các giao thức tầng dưới để đảm bảo an toàn. IPSec được khuyến nghị sử dụng để đảm bảo an toàn khi sử dụng MEGACO.
2.2. An toàn các giao thức điều khiển truyền thong
An toàn TCP/IP
IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP), bao gồm xác thực và mã hoá cho mỗi gói IP trong quá trình truyền thông tin. IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực
Giao thức IPsec làm việc tại tầng Network Layer – layer 3 của mô hình OSI. Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng truyền tải trở lên. Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP và hầu hết các giao thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của mô hình OSI.
IPsec cung cấp các dịch vụ bảo mật là: Mã hoá quá trình truyền thông tin, đảm bảo tính nguyên vẹn của dữ liệu và xác thực giữa các giao tiếp và chống quá trình replay trong các phiên bảo mật.
Có hai chế độ khi thực hiện IPsec đó là:
- Transport mode: Trong chế độ này, các dữ liệu không được mã hoá hoặc xác thực. Trong quá trình định tuyến, tiêu đề IP không bị chỉnh sửa hay mã hoá. Tuy nhiên, khi authentication header được sử dụng, địa chỉ IP không thể biết được bởi các thông tin đã bị hash (băm). Các lớp ứng dụng và truyền tải thường được bảo mật bởi hàm băm (hash) và chúng không thể chỉnh sửa (ví dụ như port number). Transport mode sử dụng trong tình huống giao tiếp host-to- host.
- Tunnel mode: Trong chế độ này, toàn bộ gói IP (bao gồm cả dữ liệu và tiêu đề) sẽ được mã hoá và xác thực. Nó được đóng gói lại trong một dạng IP packet khác trong quá trình định tuyến của router. Tunnel mode được sử dụng trong giao tiếp network- to- network (hay giữa các routers với nhau), hoặc host- to- network và host- to- host trên internet.
An toàn SS7
Khi hệ thống báo hiệu số SS7 được thiết kế và sử dụng, chỉ có một số công ty điện thoại dùng cho các mạng liên kết quy mô nhỏ khi bảo mật của SS7 không cần quan tâm. Ngày nay, vai trò của SS7 trong mạng thoại chuyển mạch gói và những công nghệ mới khác đang tăng lên, khả năng tấn công vào mạng cũng tăng.
Nghiên cứu gần đây cho thấy, những rủi ro liên quan đến truyền bản tin SS7 bao gồm: Ăn cắp dữ liệu từ các bản tin báo hiệu số 7, Sửa đổi dữ liệu trong các bản tin báo hiệu số 7; Phá vỡ bản tin báo hiệu số 7 để thay đổi một số lệnh vận hành mạng SS7; Phá vỡ bản tin vận hành (bao gồm cả bản tin báo hiệu số 7 được gửi trên các kênh điều khiển) để thay đổi cấu hình, chất lượng hay độ tin cậy của mạng SS7; Phá hoại về mặt vật lý hoặc phá hoại các nút báo hiệu hay các kết nối (link) báo hiệu.
Những rủi ro này hiện vẫn tồn tại vì giao thức báo hiệu SS7 không có chức năng bảo mật hoàn chỉnh bên cạnh bảo mật phần vật lý và phần điều hành. Hai kỹ thuật sử dụng để tăng cường độ an toàn khi sử dụng SS7 hiện nay là kỹ thuật sàng lọc lưu lượng và kỹ thuật giám sát lưu lượng.
Kết luận
An toàn mạng là một vấn đề phức tạp, giải pháp bảo an toàn với VoIP và đa phương tiện phải được xem xét từ nhiều góc độ. Trong những năm tới đây, cùng với một số lượng lớn những sản phẩm thương mại NGN được tung ra thị trường, việc NGN phải chịu những cuộc tấn công bất hợp pháp hoàn toàn có khả năng gia tăng. Do vậy, xu hướng tích hợp năng lực an toàn mạng vào trong thiết kế và vận hành hệ thống sẽ tiếp tục phát triển và an toàn mạng cần phải trở thành một phần tích hợp của mọi giải pháp và tiến trình.
15:34 | 06/04/2010
14:34 | 20/11/2009
16:34 | 06/04/2008
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
08:00 | 10/02/2024
Hệ thống mật mã RSA là một trong các hệ mật mã khóa công khai đang được sử dụng rất phổ biến trong hệ thống mạng máy tính hiện nay. Việc lựa chọn tham số an toàn cho hệ mật RSA là vấn đề rất quan trọng trong cài đặt ứng dụng hệ mật này. Bài báo này trình bày chi tiết về khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA như thừa số modulo, số mũ bí mật, số mũ công khai và các thừa số nguyên tố trong một số tiêu chuẩn mật mã của châu Âu, Đức và Mỹ.
09:00 | 10/01/2024
Ngày nay, công nghệ trí tuệ nhân tạo (AI) có vai trò hết sức quan trọng trong mọi lĩnh vực của đời sống. Trong đó, lĩnh vực an toàn thông tin, giám sát an ninh thông minh có tiềm năng ứng dụng rất lớn. Bên cạnh các giải pháp như phát hiện mạng Botnet [1], phát hiện tấn công trinh sát mạng [2], việc ứng dụng AI trong giám sát an ninh, hỗ trợ điều tra tội phạm cũng đang được nghiên cứu, phát triển và ứng dụng rộng rãi. Trong bài báo này, nhóm tác giả đề xuất giải pháp sử dụng mô hình mạng nơ-ron tinh gọn phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc. Kết quả nghiên cứu có vai trò quan trọng làm cơ sở xây dựng và phát triển các mô hình phân loại hành động bất thường, phát hiện xâm nhập.
14:00 | 22/08/2023
Trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề an ninh, an toàn thông tin cũng trở thành một trong những thách thức lớn. Một trong những mối nguy cơ gây tác động đến nhiều hệ thống mạng vẫn chưa xử lý được triệt để trong nhiều năm qua chính là các hoạt động tấn công từ chối dịch vụ (DoS), một thủ đoạn phổ biến của tin tặc nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, Internet và thiết bị số. Bài báo phân tích thực trạng và các thủ đoạn tấn công DoS, đồng thời nêu lên thách thức trong đảm bảo an ninh, an toàn thông tin trên cổng thông tin điện tử dịch vụ công của các cơ quan nhà nước và các doanh nghiệp trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho cổng thông tin điện tử trên mạng Internet trong thời gian tới.
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Sự phổ biến của các giải pháp truyền tệp an toàn là minh chứng cho nhu cầu của các tổ chức trong việc bảo vệ dữ liệu của họ tránh bị truy cập trái phép. Các giải pháp truyền tệp an toàn cho phép các tổ chức bảo vệ tính toàn vẹn, bí mật và sẵn sàng cho dữ liệu khi truyền tệp, cả nội bộ và bên ngoài với khách hàng và đối tác. Các giải pháp truyền tệp an toàn cũng có thể được sử dụng cùng với các biện pháp bảo mật khác như tường lửa, hệ thống phát hiện xâm nhập (IDS), phần mềm chống virus và công nghệ mã hóa như mạng riêng ảo (VPN). Bài báo sẽ thông tin tới độc giả những xu hướng mới nổi về chia sẻ tệp an toàn năm 2024, từ các công nghệ, giải pháp nhằm nâng cao khả năng bảo vệ dữ liệu trước các mối đe dọa tiềm ẩn.
08:00 | 07/05/2024