1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Phạm Quý Phương
NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP
AN NINH ĐẦU CUỐI CHO NGN
LUẬN VĂN THẠC SĨ
Hà Nội - 2010
2
LỜI MỞ ĐẦU
Những năm qua với sự phát triển nhanh chóng của Công nghệ thông tin và truyền thông, nhu cầu và
yêu cầu về chất lượng dịch vụ của người dùng ngày càng cao trên các loại hình dịch vụ như: thoại,
truyền số liệu, gửi nhận Fax, các dịch vụ giá trị gia tăng mang tính chất tích hợp, đa dạng và tiện lợi.
Các dịch vụ cung cấp qua nhiều kênh phân phối, nhiều chủng loại thiết bị đầu cuối khác nhau: truyền
hình, điện thoại cố định, điện thoại di động, máy tính, thiết bị cá nhân, các điểm truy cập dịch
vụ…Các dịch vụ phải có thể sử dụng và truy cập được tại bất kỳ đâu, không phụ thuộc vào không
gian, thời gian.
Trong môi trường kinh doanh năng động và đầy cạnh trang như hiện nay các doanh nghiệp rất cần các
giải pháp và dịch vụ truyền thông chuyên nghiệp, hiện đại để giúp họ thu hút và chăm sóc được khách
hàng
Khẳ năng cung cấp các kênh truyền thông để tự động phân phối thông tin về sản phẩm, dịch
vụ doanh nghiệp đến với khách hàng nhanh chóng và tiện lợi, cho phép các doanh nghiệp
nhận được các phản hồi từ khách hàng không hạn chế về thời gian và không gian.
Cung cấp các giải pháp và giao diện mở cho phép doanh nghiệp có thể dễ dàng triển khai,
tích hợp với hệ thống của các nhà cung cấp hạ tầng truyền thông, tài chính ngân hàng và với
các doanh nghiệp khác.
Tiết kiệm chi phí đầu tư để phát triển hệ thống, đội ngũ kỹ thuật, cơ sở hạn tầng, ít rủi ro, lợi
nhuận cao và nhanh chóng thu hồi lại vốn.
Yêu cầu của nhà cung cấp dịch vụ Viễn thông
Thu hút được nhiều khách hàng qua đó khai thác tối đa cơ sở hạ tầng truyền thông, tài chính
và mang lại nhiều doanh thu.
Đáp ứng yêu cầu ngày càng cao về chất lượng và lọại hình dịch vụ vủa khách hàng.
Khi cơ sở hạ tầng mạng Viễn thông đã ổn định và bão hoà thì dịch vụ sẽ trở thành nguồn doanh thu
chính của các doanh nghiệp Viễn thông. Sự phong phú về dịch vụ sẽ là một trong các yếu tố thu hút
khách hàng. Các nhà khai thác mạng Viễn thông rất cần việc quản lý mạng một cách tập trung qua đó
có thể giám sát mạng và chất lượng một cách tốt nhất để cung cấp cho các khách hàng của mình với
dịch vụ tốt nhất.
Cấu trúc mạng Viễn thông hiện tại quá phức tạp
Mạng Viễn thông thế hệ cũ đã tồn tại và phát triển gần 100 năm, trong 100 năm đó ít có sự thay đổi
mang tính cách mạng và khoảng cách giữa các mốc chuyển đổi công nghệ cũng rất xa nhau (từ chuyển
mạch cơ sang mạch điệ tử analog rồi đến chuyển mạch số, chuyển mạch gói,..).
Các nhà cung cấp công nghệ Viễn thông khác nhau đã tạo ra các mạng lõi cung cấp các dịch vụ Viễn
thông tồn tại dưới dạng những ”ốc đảo” như mạng chuyển mạch PSTN, mạng X25, mạng di động..
Khái niệm “ốc đảo” ở đây không những chỉ bởi sự ngăn cách về mặt công nghệ, sự cô lập về dịch vụ
giữa các mạng (ví dụ: các dịch vụ trên mạng cố định và di động). Các rào cản cho việc hợp nhất các
mạng này là chưa có một công nghệ được chuẩn hoá nào bao trùm được tất cả các công nghệ khác.
3
Cấu trúc mạng đóng tạo ra sự độc quyền của các nhà cung cấp hệ thống
Thời gian trước đây do công nghệ chưa phát triển, các thiết bị Viễn thông là độc quyền của các công
ty Viễn thông lớn. Các công nghệ (phần cứng/phần mềm) chuyên dụng được sử dụng trong các thiết bị
này thường là bí mật công nghệ của các hãng và không được công bố rộng rãi. Do vậy, khi mua thiết
bị chuyển mạch cơ sở của một hãng nào đó thì các thiết bị cấu thành khác như: Các trạm lắp đặt thuê
bao ở xa, các bộ tập trung, các module chuyển mạch vệ tinh.. cũng phải chọn của chính hãng đó.
Rất nhiều công ty dùng chính những hạn chề này để ép khách hàng. Cũng vì cấu trúc của các hệ thống
chuyển mạch rất đóng nên các hãng sản xuất các phần cứng Viễn thông nhỏ lẻ cũng không có cơ hội
tồn tại vì không có khả năng tương thích với các thiết bị của các hãng lớn khác.
Việc cung cấp dịch vụ mới chậm và có nhiều bất cập
Do kiến trúc ốc đảo trong mạng Viễn thông hiện tại nên các dịch vụ cũng chỉ giới hạn trong các ốc đảo
này vì các công nghệ của các mạng đó quá khác nhau. Các dịch vụ bởi vậy cũng nghèo nàn và khó có
cơ hội phát triển.
Mặt khác, các dịch vụ mạng hiện tại thường do nhà khai thác Viễn thông cung cấp, được tích hợp luôn
vào các thiết bị Viễn thông của nhà khai thác (ví dụ: các dịch vụ mạng thông minh hay di động).
Quản lý mạng khó khăn
Các nhà khai thác mạng Viễn thông trong quá trình số hoá mạng Viễn thông trong những năm qua đã
cố gắng trang bị cơ sở hạ tầng Viễn thông số hiện đại và cố gắng tránh tình huống bị ép giá bằng cách
trang bị các tổng đài của nhiều hãng khác nhau. Điều này nảy sinh sự phức tạp trong kiến trúc mạng,
sự tương thích của các chủng loại thiết bị và sự phức tạp trong quản lý.
Mạng NGN ra đời
Các yếu tố trên đây đưa mạng Viễn thông phát triển đến một giai đoạn bước ngoặt mới có tính cách
mạng đó là mạng Viễn thông thế hệ mới (NGN-Next Generation Network).
Mạng NGN là vấn đề đang thu hút sự quan tâm của nhiều tổ chức Viễn thông lớn nhằm cho ra đời một
mô hình cấu trúc mạng mới dựa trên nền tảng công nghệ hiện đại, đầu tư hiệu quả và đáp ứng nhu cầu
phong phú về dịch vụ. Các tổ chức có thể kể đến như: ITU-T (Các nhóm SG16, SG11…)[1], IETF
(Internet Engineering Task Force) [2], MSF (Multiservice Switching Forum)[3], ETSI[4]..
4
An ninh cho mạng NGN
Với sự phát triển của các dịch vụ trên NGN hiện tại và tương lai, việc xây dựng mạng cung cấp dịch
vụ cần đi kèm với việc thực hiện đảm bảo an toàn cho mạng. Đó chính là điểm khác biệt tạo nên tính
cạnh tranh giữa các nhà cung cấp dịch vụ. Hiện tại có thể nói các chuẩn công nghệ về an ninh trong
NGN đang thu hút nhiều sự quan tâm của nhiều tổ chức nghiên cứu, song đa số vẫn đang còn nằm ở
dưới dạng bản thảo nghiên cứu. Việc áp dụng trực tiếp các chuẩn công nghệ để xây dựng nên giải
pháp an ninh là khá khó khăn.
Vì vậy việc nghiên cứu tìm hiểu lựa chọn các chuẩn công nghệ để có thể áp dụng làm framework
trong việc xây dựng giải pháp an ninh cho kiến trúc mạng NGN hiện tại cũng như trong tương lai là
một vấn đè quan trọng cần được thực hiện.
Với mục đích đảm bảo an ninh cho mạng nói chung và mạng viễn thông nói riêng, có rất nhiều các
giải pháp đã được đưa ra nhưng nhìn nhận một cách khách quan là các phương án đó thường không
đầy đủ và chưa được xây dựng trên một nền tảng lý luận vững chắc về bảo đảm an ninh đặc bịêt là cho
NGN.
Trong bối cảnh đó, một khung làm việc liên quan đến đảm bảo an ninh cần phải được nghiên cứu đó là
X.805 được ITU đề xuất. Bản thân X.805 không chỉ ra cách thức đảm bảo an ninh cho một đối tượng
cụ thể (mạng, thiết bị) mà phân rã các nguy cơ, biện pháp và cơ chể an ninh tổng quát cho mọi loại
hình mạng từ nhiều góc độ, lớp và mặt cắt khác nhau rất thuận tiện để phân tích cặn kẽ các vấn đề an
ninh cho bất kỳ hệ thống nào không ngoại trừ NGN.
Mục đích của luận văn
Luận văn này được Học viên đề xuất trên cơ sở nghiên cứu về mạng NGN cũng như phát triển thử
nghiệm các thực thể NGN trong một năm nghiên cứu về an ninh mạng NGN tại Trung tâm Công nghệ
Thông tin (thuộc Học viện Công nghệ Bưu chính Viễn thông) – CDiT (Center for Development of
Information Technology). Qua luận văn này Học viên mong muốn giới thiệu các vấn đề công nghệ
sau
Mạng thế hệ mới (Next Generation Network - NGN)
o Xu hướng của các dịch vụ Viễn thông
o Mô hình tham chiếu NGN
o Công nghệ truyền tải mạng NGN
o Các phương thức truy nhập NGN
o Mô hình mạng NGN điển hình
Mạng đô thị (Metro Arear Network - MAN)
o Những yếu tố thúc đẩy sự phát triển mạng MAN
o Xu hướng phát triển công nghệ Ethernet trên MAN
o Kiến trúc mạng MAN của Cisco
o Khuyến nghị TR-101
o Mô hình mạng MAN điển hình
o Cung cấp dịch vụ VPN L2 và HSI qua MANE
5
An ninh trong NGN
o Xây dựng một quy trình đảm bảo an ninh dựa trên việc tổng hợp các ưu điểm của
khuyến nghị X.805.
o Phân tích các kịch bản tấn công từ phía khách hàng đối với các thiết bị mạng của nhà
cung cấp dịch vụ Viễn thông cho hai loại hình dịch vụ là VPN L2 và HSI.
o Bước đầu áp dụng để đưa ra phương án đảm bảo an ninh cho một hệ thống NGN điển
hình với các dịch vụ VPN L2 và HSI.
Kết quả nghiên cứu cũng đồng thời là khuyến nghị cho các nhà khai thác Viễn thông ở Việt Nam trong
quá trình triển khai NGN.
Cấu trúc của luận văn
Chương 1: MẠNG THẾ HỆ MỚI
o Chương này trình bày các vấn đề liên quan đến công nghệ và giải pháp mạng NGN
như đã nêu trong phần mục đích của luận văn.
Chương 2: MẠNG ĐÔ THỊ
o Chương này trình bày các vấn đề liên quan đến công nghệ và giải pháp mạng MAN,
cách thức cung cấp dịch vụ VPN L2 và HSI qua mạng MAN như đã nêu trong phần
mục đích của luận văn.
Chương 3: PHÂN TÍCH KIẾN TRÚC VÀ CÁC THÀNH PHẦN AN NINH X.805 DO
ITU-T ĐỀ XUẤT
o Chương này phân tích cách tiếp cận của X.805 về an ninh mạng theo các mặt phẳng
và lớp an ninh, đồng thời chỉ ra các nguy cơ có thể xảy ra đối với thực thể mạng và
các biện pháp phòng chống tương ứng.
Chương 4: PHÂN TÍCH ÁP DỤNG KHUYẾN NGHỊ X.805 CHO THIẾT KẾ AN NINH
MẠNG NGN
o Chương này trình bày về quy trình áp dụng X.805 vào thiết kế giải pháp an ninh mạng
NGN do học viên và nhóm nghiên cứu tại CDiT đề xuất.
Chương 5. KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN
o Chương này trình bày các kết quả áp dụng X.805 đối với các thiết bị trong mạng NGN
đối với các dịch vụ VPN L2 (E-LINE, E-LAN) và dịch vụ HSI.
Chương 6. ĐÁNH GIÁ KẾT QUẢ ĐẠT ĐƯỢC VÀ KHUYẾN NGHỊ
o Chương này đánh giá các kết quả đạt được của luận văn, các khuyến nghị về an ninh
đầu cuối cho NGN đối với các nhà cung cấp dịch vụ Viễn thông
Phụ Lục. GIẢI PHÁP CHỐNG DoS CỦA ARBOR
o Phần này giới thiệu giải pháp an ninh mạng băng rộng của Arbor.
Chương 1. MẠNG THẾ HỆ MỚI
