Các tiêu chuẩn mạng máy tính đã và đang trải qua một giai đoạn phát triển vượt bậc trong suốt 2 thập kỷ gần đây. Sự phức tạp trong việc tích hợp các giải pháp bảo mật cho các luồng dữ liệu khi cần chuyển đổi công năng trong hệ thống Network, phục vụ cho các mục đích khác nhau trong hệ thống; Các quyết định xử lý như thế nào đối với từng luồng lưu lượng hiện tại đang được thực hiện trên các thiết bị riêng biệt như switch/router… đó là một vài vấn đề tồn tại trong các hệ thống mạng. Công nghệ SDN - Software defined Networking (Mạng định nghĩa bằng phần mềm) ra đời như một giải pháp cho hệ thống Network hiện nay, đồng thời nó cũng đặt ra những thách thức trong việc đảm bảo an ninh và an toàn dữ liệu trong thời gian tới.
Công nghệ mạng định nghĩa bằng phần mềm (SDN) dựa trên các tiêu chuẩn mở đầu tiên giúp mở rộng hạ tầng cơ sở, phần mềm điều khiển và các lớp ứng dụng với một “mặt bằng điều khiển duy nhất”, cho phép các doanh nghiệp và các nhà cung cấp dịch vụ điện toán đám mây đơn giản và tối đa hóa tính linh hoạt từ trung tâm dữ liệu tới các mạng lưới chi nhánh.
1. Tổng quan về SDN
Hầu hết các mạng thông thường đều theo kiến trúc phân cấp, được xây dựng với các tầng của thiết bị chuyển mạch Ethernet, được sắp xếp theo cấu trúc cây. Thiết kế này thực sự hiệu quả khi mô hình tính toán khách – chủ chiếm ưu thế, nhưng kiến trúc cố định như vậy không thích hợp với yêu cầu tính toán đa dạng, năng động và nhu cầu lưu trữ dữ liệu tại các trung tâm dữ liệu của doanh nghiệp, trường học và trong môi trường của các nhà cung cấp dịch vụ. Một số xu hướng tính toán quan trọng dẫn tới yêu cầu ngày càng tăng cho một mô hình mạng mới bao gồm: Sự thay đổi mô hình lưu lượng; Hướng tới người dùng CNTT; Sự phát triển của các dịch vụ điện toán đám mây; “Dữ liệu lớn” yêu cầu nhiều băng thông hơn.
Mạng định nghĩa bằng phần mềm (SDN) được dựa trên cơ chế tách bạch việc kiểm soát một luồng mạng với luồng dữ liệu. SDN tách riêng việc định tuyến và chuyển các luồng dữ liệu, và chuyển kiểm soát luồng sang thành phần mạng riêng có tên gọi là thiết bị kiểm soát luồng (Flow controller). Điều này cho phép luồng các gói dữ liệu đi qua mạng được kiểm soát theo một cách thức có lập trình.
SDN cũng bao gồm khả năng ảo hóa các nguồn lực mạng. Nguồn lực mạng ảo hóa được biết đến như một “ngăn mạng” (network slice). Một ngăn có thể mở rộng nhiều thành phần mạng bao gồm đường trục mạng, bộ định tuyến và các host. Khả năng kiểm soát nhiều luồng dữ liệu sẽ tạo ra sự linh hoạt và nguồn lớn hơn trong tay người sử dụng.
Kiến trúc của SDN
Kiến trúc SDN bao gồm: Lớp ứng dụng (Application Layer), lớp điều khiển (Control Layer) và lớp hạ tầng cơ sở (Infrastructure Layer).
Lớp ứng dụng cung cấp các giao diện có khả năng lập trình mở; Phần mềm Virtual Cloud Networks cho phép các nhà cung cấp dịch vụ điện toán đám mây cung cấp các dịch vụ đám mây công cộng tự động và có khả năng mở cho các doanh nghiệp. Sử dụng phần mềm này, các tổ chức, doanh nghiệp có thể tạo ra một “đám mây ảo” cô lập, thông qua hạ tầng cơ sở đám mây công cộng tự phục vụ, giúp họ sự kiểm soát hoàn toàn cho các dịch vụ và các ứng dụng mới cho người sử dụng.
Cũng tại lớp ứng dụng, phần mềm ứng dụng mới Sentinel Security tự động kiểm soát truy cập và bảo đảm phòng chống xâm nhập cho các mạng trong khuôn khổ của tổ chức, doanh nghiệp với phần cứng chuyển đổi OpenFlow thông qua bộ điều khiển. Có thể giảm bớt sự phức tạp và chi phí của các thiết bị phần cứng chuyên dụng, đồng thời có được sự đảm bảo khả năng mở rộng cần thiết cho các ứng dụng mới.
Lớp điều khiển cung cấp cách nhìn tập trung và sự tự động cấu hình mạng của tất cả các thiết bị trong hạ tầng cơ sở. Bộ điều khiển cho phép các nhà quản trị mạng thiết lập chương trình một cách dễ dàng, linh hoạt và mở rộng môi trường mạng của họ cho các ứng dụng tự động cảm ứng đơn. Nó cũng cung cấp các giao diện chương trình ứng dụng (APls) cho các nhà phát triển bên thứ ba để tùy chỉnh tích hợp các ứng dụng.
Lớp hạ tầng cơ sở cung cấp việc truy cập có khả năng lập trình mở thông qua OpenFlow, một giao thức mạng giúp tự động cấu hình phần cứng. Chức năng SDN mới trong lớp hạ tầng cơ sở cho phép người quản trị đơn giản cấu hình mạng, mang đến một giao diện linh hoạt và khả năng lập trình theo tiêu chuẩn.
Lợi ích của mạng SDN dựa trên giao thức OpenFlow
Mạng SDN dựa trên OpenFlow cho phép giải quyết các vấn đề liên quan tới băng thông, sự thay đổi liên tục của các ứng dụng, chuyển đổi mạng cho phù hợp với các yêu cầu làm việc và giảm đáng kể độ phức tạp của hoạt động điều hành và quản lý mạng. Các lợi ích có thể đạt được thông qua kiến trúc mạng SDN dựa trên OpenFlow bao gồm:
Tập trung hóa việc điều khiển trong môi trường mạng của nhiều nhà cung cấp
Phần mềm điều khiển SDN có thể kiểm soát thiết bị mạng hỗ trợ OpenFlow từ bất kỳ nhà cung cấp nào, bao gồm chuyển mạch, định tuyến và chuyển mạch ảo. Thay vì phải quản lý từng nhóm thiết bị từ các nhà cung cấp riêng lẻ, nhà quản lý có thể sử dụng đồng bộ các thiết bị và các công cụ quản lý dựa trên SDN để nhanh chóng triển khai, cấu hình và cập nhật các thiết bị trong toàn bộ mạng.
Giảm độ phức tạp thông qua tự động hóa Mạng SDN dựa trên giao thức OpenFlow cung cấp các công cụ giúp tự động hóa và quản lý mạng một cách linh hoạt. Điều này hỗ trợ nhà quản lý có thể phát triển các công cụ giúp thực hiện các tác vụ quản lý một cách tự động hóa.
Tốc độ đổi mới cao hơn
Sử dụng mạng SDN làm tăng khả năng đổi mới trong công việc, bằng cách cho phép nhà vận hành mạng có thể thực sự lập trình theo thời gian thực để đáp ứng những yêu cầu công việc đặc biệt và nhu cầu phát sinh của người sử dụng, bằng cách ảo hóa và trừu tượng hóa cơ sở hạ tầng mạng từ các dịch vụ mạng.
Tăng cường độ tin cậy và an ninh mạng
SDN cho phép các nhà quản lý tự định nghĩa các cấu hình cấp cao (high-level configuration) và chính sách trong mạng, điều này được chuyển xuống cơ sở hạ tầng thông qua OpenFlow. Kiến trúc mạng SDN dựa trên OpenFlow loại bỏ nhu cầu phải cấu hình lại cho từng thiết bị mạng đơn mỗi khi một thiết bị đầu cuối có sự thay đổi. Điều này làm giảm thiểu khả năng phát sinh lỗi trong mạng do xung đột cấu hình hoặc chính sách.
Bộ điều khiển mạng SDN cung cấp khả năng hiển thị đầy đủ và kiểm soát qua mạng. Điều này đảm bảo rằng việc kiểm soát truy cập, lưu lượng, chất lượng dịch vụ, an ninh và các chính sách khác được thực thi nhất quán trên các cơ sở hạ tầng mạng của các tổ chức. Bởi vậy, sẽ giảm chi phí hoạt động, khả năng cấu hình linh hoạt, ít gặp lỗi, thực thi chính sách và cấu hình thống nhất.
Trải nghiệm người dùng tốt hơn
Bằng cách tập trung hóa điều khiển mạng và đảm bảo thông tin trạng thái sẵn sàng cho các ứng dụng cấp cao hơn, cơ sở hạ tầng mạng SDN có thể thích ứng tốt hơn với nhu cầu đa dạng của người dùng. Với mạng SDN dựa trên OpenFlow, các ứng dụng video có thể tự nhận diện băng thông cho phép trong mạng theo thời gian thực và tự động điều chỉnh độ phân giải video cho phù hợp.
2. đảm bảo an toàn hệ điều hành mạng
Các nguy cơ đối với bảo mật hệ thống
Kẻ tấn công có thể lấy được các thông tin về hệ điều hành và ứng dụng (thông tin này là rất quan trọng để thực hiện một cuộc tấn công tập trung), người dùng, các nhóm, các tệp dùng chung, thông tin DNS thông qua các đợt chuyển giao miền và các dịch vụ đang chạy như SNMP, finger, SMTP, telnet. rules, sunrpc, NELBIOS.
Các mạng Internet bị cấu hình sai có thể tạo điều kiện cho việc truy nhập trái phép. Phần mềm chưa được vá lỗ hổng bảo mật hoặc giữ lại các cấu hình ngầm định không cần thiết, có thể gây ra các điểm yếu bảo mật; tính năng ghi nhật ký, giám sát và phát hiện truy nhập không chính đáng tại cấp mạng và hệ chủ tạo ra lỗ hổng ngoài ý muốn.
Một số điểm yếu dễ bị tấn công trong hệ thống:
Không gian tráo đổi (swap space): Hầu hết các hệ thống đều dành khoảng vài trăm Mbyte cho không gian tráo đổi nhằm phục vụ các yêu cầu đến từ máy khách. Không gian này được dùng cho những tác vụ khó, thời gian tồn tại ngắn, vì vậy không gian tráo đổi hầu như liên tục được truy xuất thông tin. Một cuộc tấn công DoS sẽ bằng cách nào đó có thể làm đầy không gian tráo đổi này, dẫn tới hệ thống ngừng phục vụ.
Đường truyền (bandwidth): Khi lưu lượng trên đường truyền quá lớn, mạng sẽ giảm tốc độ hoặc ngừng phục vụ. Hầu hết các cuộc tấn công DoS đều nhằm vào việc làm tắc nghẽn đường truyền, các bảng thông tin cốt lõi (kernel tables). Các bảng thông tin này có thể bị làm tràn trong một cuộc tấn công, gây ra những hư hỏng nghiêm trọng trong hệ thống.
Định vị bộ nhớ nhân (Kernel memory allocation) cũng là điểm rất dễ bị tấn công. Nhân hệ thống có một giới hạn bản đồ nhân, nếu hệ thống đạt đến giới hạn này, nó sẽ không thể chiếm thêm bộ nhớ nữa và sẽ phải khởi động lại. Bộ nhớ nhân không chỉ được dùng cho RAM, CPU, màn hình mà nó còn được sử dụng cho các tác vụ thông thường.
Tiêu thụ tài nguyên hệ thống: Một cuộc tấn công DoS có thể chiếm dụng rất nhiều dung lượng bộ nhớ trong, lấp đầy khoảng trống trên đĩa cứng, làm quá tải ổ đĩa. Do đó có thể gây ra các hỏng hóc nghiêm trọng cho hệ thống.
Bị tấn công mã số mô tả tập tin
Đối với hệ điều hành Unix các mã số mô tả tập tin (file descriptors) là các số nguyên không âm, mà hệ thống dùng để theo dõi các tập tin, thay vì dùng các tên tập tin cụ thể. Nếu một mã số mô tả tập tin được mở đọc/ghi bởi một tiến trình ưu tiên, kẻ tấn công có thể ghi ra tập tin khi nó đang được sửa đổi, do đó có thể sửa đổi một tập tin hệ thống quan trọng và giành được quyền truy nhập gốc.
Bị tấn công hệ vỏ bọc
Hệ vỏ bọc UNIX rất mạnh và cung cấp cho người dùng nhiều tiện lợi. Một trong các tính năng chính của môi trường hệ vỏ bọc UNIX là khả năng lập trình các lệnh và ấn định các tuỳ chọn cụ thể cai quản cách hoạt động của hệ vỏ bọc. Tuy nhiên, đi kèm với năng lực này là nguy cơ bị tấn công cũng rất lớn.
Xoá nhật ký (xoá các dõi vết đăng nhập)
Tấn công bằng virus, nguy cơ hệ thống bị tấn công và phá hoại qua việc nhiễm virus và các đoạn mã chương trình có nội dung xấu. Với độ phức tạp và nguy hiểm ngày càng cao, sự đa dạng của việc lây nhiễm virus, việc cả một hệ thống bị phá vỡ bởi virus máy tính là điều hoàn toàn có thể. Việc xâm nhập phá hoại có thể thông qua những cách sau: Quá trình trao đổi File giữa các máy tính; Trao đổi dữ liệu trong hệ thống, hoặc các thiết bị cắm thêm, đĩa mềm, USB; Quá trình trao đổi thư điện tử. Virus máy tính hoặc các đoạn mã chương trình có thể nằm ẩn trong nội dung của thư điện tử hoặc ẩn trong các tệp đính kèm, qua đó phát tán trong hệ thống trong quá trình trao đổi thư và việc truy cập Internet. Đây là kiểu lây nhiễm phổ biến nhất và nguy hiểm nhất bởi sự đa dạng, cập nhật mới của virus máy tính.
Các nguy cơ đối với an toàn dữ liệu
Nếu bị tấn công, dữ liệu có thể bị sửa đổi một cách bất hợp pháp hoặc bị đánh cắp. Hacker có thể dùng những công cụ hack có sẵn trên mạng hoặc các Trojan để xâm nhập vào hệ thống, lấy cắp mật khẩu admin để có toàn quyền sửa đổi, làm hỏng dữ liệu quan trọng.
3. Kết luận
Xu hướng của người sử dụng ngày nay như: ưa chuộng tính di động, ảo hóa máy chủ, yêu cầu đáp ứng một cách nhanh chóng với điều kiện công việc luôn thay đổi đã đặt ra ngày càng nhiều yêu cầu đối với hệ thống mạng. Kiến trúc mạng thông thường nhiều khi không đáp ứng kịp. Mạng điều khiển bằng phần mềm (SDN) cung cấp một kiến trúc mạng mới, năng động, có khả năng thay đổi mạng xương sống truyền thống sang một nền tảng có khả năng cung cấp dịch vụ phong phú hơn.
Tương lai của mạng sẽ dựa nhiều hơn nữa vào các phần mềm. Việc này sẽ giúp đẩy nhanh tốc độ đổi mới cho hệ thống mạng như nó đã từng xảy ra trong lĩnh vực máy tính và lưu trữ. SDN hứa hẹn sẽ biến đổi mạng cố định hiện nay thành nền tảng dựa trên lập trình với khả năng phân bổ nguồn lực một cách năng động, trở nên linh hoạt hơn, đủ quy mô để hỗ trợ các trung tâm dữ liệu khổng lồ với sự ảo hóa cần thiết cho một môi trường điện toán đám mây tự động hóa cao, năng động, và an toàn.
Sở hữu nhiều lợi thế và tiềm năng công nghiệp hấp dẫn, mạng SDN đang trên đường để trở thành một chuẩn mới cho mạng trong tương lai. Tuy nhiên, song song với nó là vấn đề đảm bảo an toàn và chống mất mát dữ liệu trên hệ điều hành mạng. Đó là vấn đề mang tính thời sự, đặt ra nhiều thách thức cho chuyên gia an ninh mạng trong thời gian tới.
14:00 | 14/10/2023
13:00 | 29/12/2023
Hiện nay, số lượng các vụ tấn công mạng trên ứng dụng web đang có xu hướng ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, với mục tiêu nhắm vào các dịch vụ cơ sở trọng yếu, khối tài chính, ngân hàng và các tổ chức/doanh nghiệp (TC/DN) lớn. Hậu quả của các cuộc tấn công này có thể là giả mạo giao dịch, gián đoạn hoạt động kinh doanh hay vi phạm dữ liệu, dẫn đến nguy cơ rò rỉ thông tin và mất mát dữ liệu quan trọng. Điều này gây ra nhiều thiệt hại đáng kể về tài chính cũng như uy tín của các TC/ DN. Bài báo sẽ trình bày thực trạng về bảo mật ứng dụng web năm 2023 dựa trên báo cáo của công ty an ninh mạng OPSWAT, cùng các giải pháp phòng tránh mối đe dọa tấn công mạng này.
08:00 | 21/12/2023
Theo số liệu của DataReportal, hiện Việt Nam đang có khoảng 49,9 triệu người sử dụng mạng xã hội TikTok, xếp thứ 6 trên 10 quốc gia có số người sử dụng TikTok nhiều nhất thế giới. Đáng chú ý là mạng xã hội này đang dần chiếm lĩnh thị trường nhờ vào những đoạn video có nội dung đa dạng mang tính "gây nghiện", thu hút mọi lứa tuổi trong đó có trẻ em. Tuy nhiên không như những mạng xã hội khác, TikTok thường xuyên bị cáo buộc việc gây ra những rủi ro nghiêm trọng về bảo mật và quyền riêng tư của người dùng. Thời gian qua đã có ít nhất 10 quốc gia cấm sử dụng ứng dụng này, trong đó có những nguyên nhân là do Tiktok gây ảnh hưởng nghiêm trọng tới suy nghĩ và hành động của trẻ em.
10:00 | 10/07/2023
Khi mạng viễn thông triển khai 5G trên toàn cầu, các nhà khai thác mạng di động ảo, nhà cung cấp dịch vụ truyền thông và các nhà cung cấp hạ tầng mạng đều đóng vai trò quan trọng trong việc thiết kế, triển khai và duy trì mạng 5G. Không giống như các thế hệ trước, nơi các nhà khai thác di động có quyền truy cập và kiểm soát trực tiếp các thành phần hệ thống, các nhà khai thác di động 5G đang dần mất toàn quyền quản lý bảo mật và quyền riêng tư.
07:00 | 08/02/2023
Với sự phát triển không ngừng của công nghệ, những cuộc tấn công mạng thông qua mạng Internet cũng ngày càng trở nên đa dạng hơn. Đặc biệt là hoạt động trò chơi trực tuyến tiềm ẩn không ít những mối đe dọa bị tấn công bởi mã độc. Bài báo này sẽ đưa ra các mối đe dọa liên quan đến trò chơi trực tuyến, phân tích các phương thức, thủ đoạn mà tin tặc tấn công mạng dựa vào các trò chơi trực tuyến, từ đó đưa ra một số giải pháp phòng tránh.
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024