Các tiêu chuẩn mạng máy tính đã và đang trải qua một giai đoạn phát triển vượt bậc trong suốt 2 thập kỷ gần đây. Sự phức tạp trong việc tích hợp các giải pháp bảo mật cho các luồng dữ liệu khi cần chuyển đổi công năng trong hệ thống Network, phục vụ cho các mục đích khác nhau trong hệ thống; Các quyết định xử lý như thế nào đối với từng luồng lưu lượng hiện tại đang được thực hiện trên các thiết bị riêng biệt như switch/router… đó là một vài vấn đề tồn tại trong các hệ thống mạng. Công nghệ SDN - Software defined Networking (Mạng định nghĩa bằng phần mềm) ra đời như một giải pháp cho hệ thống Network hiện nay, đồng thời nó cũng đặt ra những thách thức trong việc đảm bảo an ninh và an toàn dữ liệu trong thời gian tới.
Công nghệ mạng định nghĩa bằng phần mềm (SDN) dựa trên các tiêu chuẩn mở đầu tiên giúp mở rộng hạ tầng cơ sở, phần mềm điều khiển và các lớp ứng dụng với một “mặt bằng điều khiển duy nhất”, cho phép các doanh nghiệp và các nhà cung cấp dịch vụ điện toán đám mây đơn giản và tối đa hóa tính linh hoạt từ trung tâm dữ liệu tới các mạng lưới chi nhánh.
1. Tổng quan về SDN
Hầu hết các mạng thông thường đều theo kiến trúc phân cấp, được xây dựng với các tầng của thiết bị chuyển mạch Ethernet, được sắp xếp theo cấu trúc cây. Thiết kế này thực sự hiệu quả khi mô hình tính toán khách – chủ chiếm ưu thế, nhưng kiến trúc cố định như vậy không thích hợp với yêu cầu tính toán đa dạng, năng động và nhu cầu lưu trữ dữ liệu tại các trung tâm dữ liệu của doanh nghiệp, trường học và trong môi trường của các nhà cung cấp dịch vụ. Một số xu hướng tính toán quan trọng dẫn tới yêu cầu ngày càng tăng cho một mô hình mạng mới bao gồm: Sự thay đổi mô hình lưu lượng; Hướng tới người dùng CNTT; Sự phát triển của các dịch vụ điện toán đám mây; “Dữ liệu lớn” yêu cầu nhiều băng thông hơn.
Mạng định nghĩa bằng phần mềm (SDN) được dựa trên cơ chế tách bạch việc kiểm soát một luồng mạng với luồng dữ liệu. SDN tách riêng việc định tuyến và chuyển các luồng dữ liệu, và chuyển kiểm soát luồng sang thành phần mạng riêng có tên gọi là thiết bị kiểm soát luồng (Flow controller). Điều này cho phép luồng các gói dữ liệu đi qua mạng được kiểm soát theo một cách thức có lập trình.
SDN cũng bao gồm khả năng ảo hóa các nguồn lực mạng. Nguồn lực mạng ảo hóa được biết đến như một “ngăn mạng” (network slice). Một ngăn có thể mở rộng nhiều thành phần mạng bao gồm đường trục mạng, bộ định tuyến và các host. Khả năng kiểm soát nhiều luồng dữ liệu sẽ tạo ra sự linh hoạt và nguồn lớn hơn trong tay người sử dụng.
Kiến trúc của SDN
Kiến trúc SDN bao gồm: Lớp ứng dụng (Application Layer), lớp điều khiển (Control Layer) và lớp hạ tầng cơ sở (Infrastructure Layer).
Lớp ứng dụng cung cấp các giao diện có khả năng lập trình mở; Phần mềm Virtual Cloud Networks cho phép các nhà cung cấp dịch vụ điện toán đám mây cung cấp các dịch vụ đám mây công cộng tự động và có khả năng mở cho các doanh nghiệp. Sử dụng phần mềm này, các tổ chức, doanh nghiệp có thể tạo ra một “đám mây ảo” cô lập, thông qua hạ tầng cơ sở đám mây công cộng tự phục vụ, giúp họ sự kiểm soát hoàn toàn cho các dịch vụ và các ứng dụng mới cho người sử dụng.
Cũng tại lớp ứng dụng, phần mềm ứng dụng mới Sentinel Security tự động kiểm soát truy cập và bảo đảm phòng chống xâm nhập cho các mạng trong khuôn khổ của tổ chức, doanh nghiệp với phần cứng chuyển đổi OpenFlow thông qua bộ điều khiển. Có thể giảm bớt sự phức tạp và chi phí của các thiết bị phần cứng chuyên dụng, đồng thời có được sự đảm bảo khả năng mở rộng cần thiết cho các ứng dụng mới.
Lớp điều khiển cung cấp cách nhìn tập trung và sự tự động cấu hình mạng của tất cả các thiết bị trong hạ tầng cơ sở. Bộ điều khiển cho phép các nhà quản trị mạng thiết lập chương trình một cách dễ dàng, linh hoạt và mở rộng môi trường mạng của họ cho các ứng dụng tự động cảm ứng đơn. Nó cũng cung cấp các giao diện chương trình ứng dụng (APls) cho các nhà phát triển bên thứ ba để tùy chỉnh tích hợp các ứng dụng.
Lớp hạ tầng cơ sở cung cấp việc truy cập có khả năng lập trình mở thông qua OpenFlow, một giao thức mạng giúp tự động cấu hình phần cứng. Chức năng SDN mới trong lớp hạ tầng cơ sở cho phép người quản trị đơn giản cấu hình mạng, mang đến một giao diện linh hoạt và khả năng lập trình theo tiêu chuẩn.
Lợi ích của mạng SDN dựa trên giao thức OpenFlow
Mạng SDN dựa trên OpenFlow cho phép giải quyết các vấn đề liên quan tới băng thông, sự thay đổi liên tục của các ứng dụng, chuyển đổi mạng cho phù hợp với các yêu cầu làm việc và giảm đáng kể độ phức tạp của hoạt động điều hành và quản lý mạng. Các lợi ích có thể đạt được thông qua kiến trúc mạng SDN dựa trên OpenFlow bao gồm:
Tập trung hóa việc điều khiển trong môi trường mạng của nhiều nhà cung cấp
Phần mềm điều khiển SDN có thể kiểm soát thiết bị mạng hỗ trợ OpenFlow từ bất kỳ nhà cung cấp nào, bao gồm chuyển mạch, định tuyến và chuyển mạch ảo. Thay vì phải quản lý từng nhóm thiết bị từ các nhà cung cấp riêng lẻ, nhà quản lý có thể sử dụng đồng bộ các thiết bị và các công cụ quản lý dựa trên SDN để nhanh chóng triển khai, cấu hình và cập nhật các thiết bị trong toàn bộ mạng.
Giảm độ phức tạp thông qua tự động hóa Mạng SDN dựa trên giao thức OpenFlow cung cấp các công cụ giúp tự động hóa và quản lý mạng một cách linh hoạt. Điều này hỗ trợ nhà quản lý có thể phát triển các công cụ giúp thực hiện các tác vụ quản lý một cách tự động hóa.
Tốc độ đổi mới cao hơn
Sử dụng mạng SDN làm tăng khả năng đổi mới trong công việc, bằng cách cho phép nhà vận hành mạng có thể thực sự lập trình theo thời gian thực để đáp ứng những yêu cầu công việc đặc biệt và nhu cầu phát sinh của người sử dụng, bằng cách ảo hóa và trừu tượng hóa cơ sở hạ tầng mạng từ các dịch vụ mạng.
Tăng cường độ tin cậy và an ninh mạng
SDN cho phép các nhà quản lý tự định nghĩa các cấu hình cấp cao (high-level configuration) và chính sách trong mạng, điều này được chuyển xuống cơ sở hạ tầng thông qua OpenFlow. Kiến trúc mạng SDN dựa trên OpenFlow loại bỏ nhu cầu phải cấu hình lại cho từng thiết bị mạng đơn mỗi khi một thiết bị đầu cuối có sự thay đổi. Điều này làm giảm thiểu khả năng phát sinh lỗi trong mạng do xung đột cấu hình hoặc chính sách.
Bộ điều khiển mạng SDN cung cấp khả năng hiển thị đầy đủ và kiểm soát qua mạng. Điều này đảm bảo rằng việc kiểm soát truy cập, lưu lượng, chất lượng dịch vụ, an ninh và các chính sách khác được thực thi nhất quán trên các cơ sở hạ tầng mạng của các tổ chức. Bởi vậy, sẽ giảm chi phí hoạt động, khả năng cấu hình linh hoạt, ít gặp lỗi, thực thi chính sách và cấu hình thống nhất.
Trải nghiệm người dùng tốt hơn
Bằng cách tập trung hóa điều khiển mạng và đảm bảo thông tin trạng thái sẵn sàng cho các ứng dụng cấp cao hơn, cơ sở hạ tầng mạng SDN có thể thích ứng tốt hơn với nhu cầu đa dạng của người dùng. Với mạng SDN dựa trên OpenFlow, các ứng dụng video có thể tự nhận diện băng thông cho phép trong mạng theo thời gian thực và tự động điều chỉnh độ phân giải video cho phù hợp.
2. đảm bảo an toàn hệ điều hành mạng
Các nguy cơ đối với bảo mật hệ thống
Kẻ tấn công có thể lấy được các thông tin về hệ điều hành và ứng dụng (thông tin này là rất quan trọng để thực hiện một cuộc tấn công tập trung), người dùng, các nhóm, các tệp dùng chung, thông tin DNS thông qua các đợt chuyển giao miền và các dịch vụ đang chạy như SNMP, finger, SMTP, telnet. rules, sunrpc, NELBIOS.
Các mạng Internet bị cấu hình sai có thể tạo điều kiện cho việc truy nhập trái phép. Phần mềm chưa được vá lỗ hổng bảo mật hoặc giữ lại các cấu hình ngầm định không cần thiết, có thể gây ra các điểm yếu bảo mật; tính năng ghi nhật ký, giám sát và phát hiện truy nhập không chính đáng tại cấp mạng và hệ chủ tạo ra lỗ hổng ngoài ý muốn.
Một số điểm yếu dễ bị tấn công trong hệ thống:
Không gian tráo đổi (swap space): Hầu hết các hệ thống đều dành khoảng vài trăm Mbyte cho không gian tráo đổi nhằm phục vụ các yêu cầu đến từ máy khách. Không gian này được dùng cho những tác vụ khó, thời gian tồn tại ngắn, vì vậy không gian tráo đổi hầu như liên tục được truy xuất thông tin. Một cuộc tấn công DoS sẽ bằng cách nào đó có thể làm đầy không gian tráo đổi này, dẫn tới hệ thống ngừng phục vụ.
Đường truyền (bandwidth): Khi lưu lượng trên đường truyền quá lớn, mạng sẽ giảm tốc độ hoặc ngừng phục vụ. Hầu hết các cuộc tấn công DoS đều nhằm vào việc làm tắc nghẽn đường truyền, các bảng thông tin cốt lõi (kernel tables). Các bảng thông tin này có thể bị làm tràn trong một cuộc tấn công, gây ra những hư hỏng nghiêm trọng trong hệ thống.
Định vị bộ nhớ nhân (Kernel memory allocation) cũng là điểm rất dễ bị tấn công. Nhân hệ thống có một giới hạn bản đồ nhân, nếu hệ thống đạt đến giới hạn này, nó sẽ không thể chiếm thêm bộ nhớ nữa và sẽ phải khởi động lại. Bộ nhớ nhân không chỉ được dùng cho RAM, CPU, màn hình mà nó còn được sử dụng cho các tác vụ thông thường.
Tiêu thụ tài nguyên hệ thống: Một cuộc tấn công DoS có thể chiếm dụng rất nhiều dung lượng bộ nhớ trong, lấp đầy khoảng trống trên đĩa cứng, làm quá tải ổ đĩa. Do đó có thể gây ra các hỏng hóc nghiêm trọng cho hệ thống.
Bị tấn công mã số mô tả tập tin
Đối với hệ điều hành Unix các mã số mô tả tập tin (file descriptors) là các số nguyên không âm, mà hệ thống dùng để theo dõi các tập tin, thay vì dùng các tên tập tin cụ thể. Nếu một mã số mô tả tập tin được mở đọc/ghi bởi một tiến trình ưu tiên, kẻ tấn công có thể ghi ra tập tin khi nó đang được sửa đổi, do đó có thể sửa đổi một tập tin hệ thống quan trọng và giành được quyền truy nhập gốc.
Bị tấn công hệ vỏ bọc
Hệ vỏ bọc UNIX rất mạnh và cung cấp cho người dùng nhiều tiện lợi. Một trong các tính năng chính của môi trường hệ vỏ bọc UNIX là khả năng lập trình các lệnh và ấn định các tuỳ chọn cụ thể cai quản cách hoạt động của hệ vỏ bọc. Tuy nhiên, đi kèm với năng lực này là nguy cơ bị tấn công cũng rất lớn.
Xoá nhật ký (xoá các dõi vết đăng nhập)
Tấn công bằng virus, nguy cơ hệ thống bị tấn công và phá hoại qua việc nhiễm virus và các đoạn mã chương trình có nội dung xấu. Với độ phức tạp và nguy hiểm ngày càng cao, sự đa dạng của việc lây nhiễm virus, việc cả một hệ thống bị phá vỡ bởi virus máy tính là điều hoàn toàn có thể. Việc xâm nhập phá hoại có thể thông qua những cách sau: Quá trình trao đổi File giữa các máy tính; Trao đổi dữ liệu trong hệ thống, hoặc các thiết bị cắm thêm, đĩa mềm, USB; Quá trình trao đổi thư điện tử. Virus máy tính hoặc các đoạn mã chương trình có thể nằm ẩn trong nội dung của thư điện tử hoặc ẩn trong các tệp đính kèm, qua đó phát tán trong hệ thống trong quá trình trao đổi thư và việc truy cập Internet. Đây là kiểu lây nhiễm phổ biến nhất và nguy hiểm nhất bởi sự đa dạng, cập nhật mới của virus máy tính.
Các nguy cơ đối với an toàn dữ liệu
Nếu bị tấn công, dữ liệu có thể bị sửa đổi một cách bất hợp pháp hoặc bị đánh cắp. Hacker có thể dùng những công cụ hack có sẵn trên mạng hoặc các Trojan để xâm nhập vào hệ thống, lấy cắp mật khẩu admin để có toàn quyền sửa đổi, làm hỏng dữ liệu quan trọng.
3. Kết luận
Xu hướng của người sử dụng ngày nay như: ưa chuộng tính di động, ảo hóa máy chủ, yêu cầu đáp ứng một cách nhanh chóng với điều kiện công việc luôn thay đổi đã đặt ra ngày càng nhiều yêu cầu đối với hệ thống mạng. Kiến trúc mạng thông thường nhiều khi không đáp ứng kịp. Mạng điều khiển bằng phần mềm (SDN) cung cấp một kiến trúc mạng mới, năng động, có khả năng thay đổi mạng xương sống truyền thống sang một nền tảng có khả năng cung cấp dịch vụ phong phú hơn.
Tương lai của mạng sẽ dựa nhiều hơn nữa vào các phần mềm. Việc này sẽ giúp đẩy nhanh tốc độ đổi mới cho hệ thống mạng như nó đã từng xảy ra trong lĩnh vực máy tính và lưu trữ. SDN hứa hẹn sẽ biến đổi mạng cố định hiện nay thành nền tảng dựa trên lập trình với khả năng phân bổ nguồn lực một cách năng động, trở nên linh hoạt hơn, đủ quy mô để hỗ trợ các trung tâm dữ liệu khổng lồ với sự ảo hóa cần thiết cho một môi trường điện toán đám mây tự động hóa cao, năng động, và an toàn.
Sở hữu nhiều lợi thế và tiềm năng công nghiệp hấp dẫn, mạng SDN đang trên đường để trở thành một chuẩn mới cho mạng trong tương lai. Tuy nhiên, song song với nó là vấn đề đảm bảo an toàn và chống mất mát dữ liệu trên hệ điều hành mạng. Đó là vấn đề mang tính thời sự, đặt ra nhiều thách thức cho chuyên gia an ninh mạng trong thời gian tới.
14:00 | 14/10/2023
09:00 | 24/11/2023
Bằng chứng không tiết lộ tri thức (Zero-Knowledge Proofs - ZKP) là một dạng kỹ thuật mật mã được công bố từ thập niên 90 của thế kỷ trước, công nghệ mật mã này cho phép xác minh tính xác thực của một phần thông tin mà không tiết lộ chính thông tin đó. Tuy nhiên, trong những năm gần đây ZKP mới được đưa vào ứng dụng nhiều trong hệ thống công nghệ thông tin. Bài viết này sẽ trình bày chi tiết về khái niệm, tính chất, cách thức phân loại và một số ứng dụng phổ biến của ZKP trong an toàn thông tin.
18:00 | 22/09/2023
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
14:00 | 14/09/2023
NFT (Non-fungible token) là một sản phẩm của thời đại công nghệ mới và đang phát triển như vũ bão, ảnh hưởng sâu rộng đến nhiều lĩnh vực. Thị trường NFT bùng nổ mạnh mẽ vào năm 2021, tăng lên khoảng 22 tỷ USD và thu hút ước tính khoảng 280 nghìn người tham gia. Nhưng khi thị trường này phát triển, phạm vi hoạt động của tin tặc cũng tăng theo, đã ngày càng xuất hiện nhiều hơn các báo cáo về những vụ việc lừa đảo, giả mạo, gian lận và rửa tiền trong NFT. Bài báo sau sẽ giới thiệu đến độc giả tổng quan về NFT, các hành vi lừa đảo NFT và cách thức phòng tránh mối đe dọa này.
15:00 | 03/09/2023
Để bảo vệ thông tin dữ liệu được an toàn và tránh bị truy cập trái phép, mã hóa là một trong những cách thức hiệu quả nhất đảm bảo dữ liệu không thể đọc/ghi được, ngay cả trong trường hợp bị xâm phạm. Trong số 1 (065) 2022 của Tạp chí An toàn thông tin đã hướng dẫn về cách mã hóa ổ đĩa cứng sử dụng Bitlocker. Tuy nhiên, với người dùng phiên bản Windows 10 Home thì giải pháp này lại không được hỗ trợ. Bài viết sau sẽ giới thiệu đến độc giả VeraCrypt, một công cụ mã hóa miễn phí đa nền tảng với khả năng hỗ trợ nhiều thuật toán mật mã và hàm băm, cho phép người dùng mã hóa các tệp tin, phân vùng hệ thống và tạo ổ đĩa ảo mã hóa với tùy chọn phù hợp.
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024