Tải bản đầy đủ (.pdf) (26 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Kỹ thuật lập trình

Nghiên cứu bảo mật an toàn thông tin trong giải pháp hội nghị truyền hình đa điểm (video conferencing) (tt)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.01 MB, 26 trang )

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

DƯƠNG BẮC SƠN

NGHIÊN CỨU BẢO MẬT AN TOÀN THÔNG TIN
TRONG GIẢI PHÁP HỘI NGHỊ TRUYỀN HÌNH ĐA ĐIỂM
(VIDEO CONFERENCING)

CHUYÊN NGÀNH : KHOA HỌC MÁY TÍNH
MÃ SỐ:

0

60.48.01.01

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. NGUYỄN VĨNH AN

HÀ NỘI – 2017


Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: TS. Nguyễn Vĩnh An

Phản biện 1: ………………………………………………
Phản biện 2: ………………………………………………



Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại
Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: ... giờ .... ngày ..... tháng .... năm ….....
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông


1

MỞ ĐẦU
1. Tính cấp thiết của đề tài
Trong những năm gần đây giải pháp hội nghị truyền hình là dịch vụ mở rộng
trên nền tảng hạ tầng IP, cho phép các tổ chức/đơn vị, công ty/doanh nghiệp có trụ sở
chính đặt tại một nơi và các đơn vị/chi nhánh thành viên đặt ở những nơi khác nhau
bị ngăn cách về mặt địa lý có thể trao đổi/hội họp với nhau không chỉ bằng lời nói,
hình ảnh và có thể tham gia cùng một lúc nhiều tổ chức/đơn vị tại các địa điểm, vị trí
địa lý khác nhau, từ đó hình thành một mạng thống nhất trên toàn hệ thống.
Giải pháp Hội nghị truyền hình đã được người sử dụng biết đến rộng rãi, nó là
công cụ đem lại sự thuận tiện trong việc trao đổi thông tin với nhiều ứng dụng trong
nhiều lĩnh vực khác nhau của đời sống xã hội. Công nghệ này ra đời đã phục vụ công
tác hội họp, quản lý, điều hành, khai thác thông qua môi trường mạng một cách hiệu
quả và tiết kiệm chi phí, xóa bỏ biên giới về khoảng cách, địa lý mang lại nhiều lợi
ích và hiệu quả cao cho công việc. Giải pháp còn cung cấp thêm nhiều tiện ích cho
người sử dụng: cho phép truyền hình ảnh, âm thanh và trình chiếu, chia sẻ các văn
bản cũng như các ứng dụng Multimedia khác. Cùng với sự phát triển của công nghệ
và nhu cầu các cuộc họp/hội nghị/hội thảo từ xa (không phụ thuộc vào môi trường và
vị trí địa lý) đã trở nên rất cấp thiết với các tổ chức/đơn vị cũng như các doanh
nghiệp. Hội nghị truyền hình độ nét cao HD được phát triển trong những năm gần
đây đã đáp ứng được những nhu cầu đó.

Vấn đề mã hóa, bảo mật thông tin của hệ thống Hội nghị truyền hình hiện nay
vẫn chưa được các tổ chức, đơn vị quan tâm đúng mức, qua các nghiên cứu đánh giá
thì rất nhiều hệ thống hội nghị truyền hình khi triển khai chưa được áp dụng những
biện pháp an ninh, an toàn bảo mật và vì thế dễ dàng bị truy cập, đánh cắp, nghe lén
thông tin. Chính Vì vậy vấn đề bảo mật, an ninh, an toàn trong giải pháp Hội nghị
truyền hình cần được nghiên cứu và đưa ra những giải pháp, khuyến cáo áp dụng
trong thực tế để đảm bảo an ninh thông tin cho các tổ chức/đơn vị, cơ quan/doanh
nghiệp đang sử dụng loại hình dịch vụ này. Đó cũng chính là lý do Tôi lựa chọn đề
tài “Nghiên cứu bảo mật an toàn thông tin trong giải pháp Hội nghị truyền hình đa
điểm (Video conferencing)”.


2

2. Tổng quan về các vấn đề nghiên cứu
Ngày nay, Giải pháp Hội nghị truyền hình là một giải pháp Hội nghị trực tuyến
giúp cơ quan, tổ chức, doanh nghiệp, các chủ thể kết nối từ xa qua đường truyền
mạng Internet, WAN hay LAN. Giảm bớt chi phí đi lại và các cuộc hội họp dày đặc,
đáp ứng các cuộc hội họp tức thời với chất lượng hình ảnh và thoại sinh động, an toàn
và bảo mật, lưu trữ toàn bộ thông tin hội họp. Hội nghị truyền hình cho phép những
người tham dự tại nhiều địa điểm từ những quốc gia khác nhau có thể nhìn thấy và
trao đổi trực tiếp với nhau qua màn hình tivi như đang họp trong cùng một hội
trường. Công nghệ này đã được ứng dụng rộng rãi trong nhiều lĩnh vực giáo dục đào
tạo, an ninh quốc phòng, y tế và chăm sóc sức khỏe.

Hình 0.1: Hội nghị truyền hình 2 điểm:

Hình 0.2: Hội nghị truyền hình đa điểm (ở đây là 5 điểm)



3

Về giao thức sử dụng trong các hệ thống hội nghị truyền hình IP có thể chia
làm hai loại chính: sử dụng giao thức H.323 và sử dụng IP multicast. Tuy nhiên vấn
đề hết sức quan trọng đặt ra là đảm bảo an toàn, bảo mật cho các hội nghị truyền hình
trên mạng IP và tại Việt Nam chưa có giải pháp trọn gói nào cho hệ thống Hội nghị
truyền hình IP đảm bảo được tất cả các yêu cầu về an ninh, an toàn dữ liệu để có thể
đưa vào ứng dụng rộng rãi. Năm 2005 nhóm tác giả của Viện khoa học kỹ thuật Bưu
điện, Bộ công an, Học viện Mật mã, Ban cơ yếu chính phủ, … trong chương trình
Nghiên cứu khoa học và phát triển Công nghệ Thông tin và truyền thông đã thực hiện
đề tài KC.01.18 về việc Nghiên cứu Xây dựng Quy trình tổng thể, giải pháp đảm bảo
an toàn, an ninh thông tin, ứng dụng cho Hội nghị truyền hình (Video Conferencing).
Đề tài đã đưa ra được quy trình tổng thể và giải pháp an ninh cho hệ thống hội nghị
truyền hình tại thời điểm đó và đã được ứng dụng vào một số cơ quan tổ chức, bộ ban
ngành tại Việt Nam.
Tuy nhiên cùng với sự phát triển của công nghệ, vẫn dựa trên nền tảng IP thì tới
nay đã có nhiều thay đổi trong việc phát triển các thiết bị phần cứng, phền mềm sử
dụng trong Hội nghị truyền hình. Việc đánh giá và đưa ra các giải pháp đảm bảo an
ninh, an toàn dữ liệu của hệ thống trong thời điểm hiện nay chưa thực sự được quan
tâm, mọi người vẫn chỉ quan tâm đến việc làm thế nào để tăng dung lượng đường
truyền, truyền dữ liệu với tốc độ cao (hình ảnh sắc nét, âm thanh sống động, …). Vì
vậy trong phạm vi đề tài của luận Văn sẽ tập trung vào một số nghiên cứu sau:
- Nghiên cứu giải pháp triển khai hội nghị truyền hình đa điểm tốc độ cao qua
mạng WAN/Internet.
- Đánh giá các nguy cơ, lỗ hổng đối với giải pháp Hội nghị truyền hình.
- Nghiên cứu các tiêu chuẩn đóng gói dữ liệu, nén dữ liệu và mã hóa dữ liệu
trên kênh truyền nhằm bảo đảm an ninh, an toàn hệ thống của giải pháp hội nghị
truyền hình.
- Đề xuất ứng dụng các giải pháp đảm bảo an ninh, an toàn dữ liệu đối với hệ
thống Hội nghị truyền hình.



4

3. Mục đích nghiên cứu
- Nghiên cứu, tìm hiểu các vấn đề cơ bản về phương pháp mã hóa, bảo mật, an
ninh, an toàn thông tin ứng dụng trong giải pháp Hội nghị truyền hình.
- Đề xuất, ứng dụng trong các hệ thống Hội nghị truyền hình của doanh nghiệp hiện nay.
4. Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu của luận văn là các phương pháp mã hóa, giải pháp đảm
bảo an toàn, bảo mật thông tin dữ liệu trong hệ thống hội nghị truyền hình đa điểm.
5. Phương pháp nghiên cứu
- Phương pháp nghiên cứu lý thuyết: Tổng hợp, thu thập, nghiên cứu tài liệu,
các thuật toán mã hóa dữ liệu sử dụng trong giải pháp hội nghị truyền hình.
- Phương pháp thực nghiệm: Ứng dụng các kết quả lý thuyết đã được phân tích
vào hệ thống hội nghị truyền hình đa điểm. Nhận xét, đánh giá mức độ bảo mật, an
toàn thông tin dữ liệu các cuộc họp/hội nghị.


5

CHƯƠNG 1: GIỚI THIỆU VỀ HỆ THỐNG HỘI NGHỊ TRUYỀN HÌNH
1.1. Quá trình phát triển dịch vụ, giải pháp hội nghị truyền hình.
1.1.1 Khái niệm về Hội nghị Truyền hình (Video Conference)
Hội nghị truyền hình (Video Conference) là hệ thống thiết bị (phần cứng) và
phần mềm kết hợp với nhau để truyền tải hình ảnh và âm thanh giữa hai hoặc nhiều
địa điểm từ xa kết nối qua đường truyền mạng Internet, WAN hay LAN giúp cho
những người ngồi ở các nơi khác nhau có thể nói chuyện như đang ngồi trong cùng
một phòng họp.


Hình 1.1: Hội nghị truyền hình đa điểm
Hội nghị truyền hình (Video Conference) là một phương thức thông tin liên lạc
mới, được tích hợp bởi những đặc tính của công nghệ viễn thông và công nghệ thông
tin nhằm đem đến cho người sử dụng nhiều tiện ích hơn một cuộc gọi điện thoại bình
thường. Về cơ bản Video Conference giống như liên lạc bằng điện thoại nhưng được
bổ sung hàng loạt các tiện ích khác như:
- Những người đàm thoại có thể nhìn thấy nhau.
- Cùng chia sẻ dữ liệu trên máy tính như văn bản, hình ảnh, video, bảng tính,
cơ sở dữ liệu, …


6

- Có thể kết nối bằng bất kỳ phương thức nào như: kênh thuê riêng (LeasedLine), ISDN, IP (Internet Protocol), WAN (mạng diện rộng).
Hệ thống Video Conference được ứng dụng trong các lĩnh vực:
- Các cuộc họp, hội nghị, thảo luận, trao đổi của các đơn vị có vị trí cách xa
nhau hoặc không thể gặp nhau ở cùng một nơi;
- Trao đổi thông tin và tài liệu của các nhóm làm việc chung nhưng ở các nơi
khác nhau;
- Mô hình dạy học trực tuyến được trường đại học hay các trung tâm dạy học
hay sử dụng;
- Tư vấn từ xa, các chuyên gia có thể lắng nghe khách hàng và tư vấn các vấn
đề của họ như đang ở trong một cuộc gặp trực tiếp;
- Chăm sóc y tế từ xa người bệnh có thể được khám bệnh, chẩn đoán hay thậm
chí phẫu thuật gián tiếp từ các chuyên gia y tế tại những nơi rất xa;
Với mỗi lĩnh vực kể trên hội nghị truyền hình luôn là lựa chọn tối ưu khi
khoảng cách giữa các điểm liên lạc với nhau là khá xa, không thuận lợi cho việc đi lại
để trực tiếp gặp mặt nhau trao đổi công việc.
1.1.2 Ưu điểm và nhược điểm của Video Conference
Ưu điểm:

- Cung cấp một môi trường làm việc đa phương tiện.
- Chức năng chuyển mạch gói trên nền TCP/IP.
- Cung cấp giải pháp tích hợp trên nền mạng máy tính sẵn có của đơn vị.
- Triển khai, cài đặt, cấu hình và bảo dưỡng nhanh chóng và dễ dàng.
- Độ tin cậy và ổn định cao.
- Hỗ trợ đầy đủ các tính năng như cuộc họp thông thường.
- Sử dụng các chuẩn công nghệ mới nhất H.320, H.323, SIP, 3G…
- Tiết kiệm thời gian di chuyển.
- Tiết kiệm chi phí tổ chức hội nghị.
- Thực hiện cuộc họp trực tuyến giữa nhiều văn phòng.
- Tổ chức cuộc họp, hội nghị nhanh chóng và đơn giản
- Độ bảo mật và an toàn của cuộc họp cao;


7

- Các quyết định và nội dung trao đổi được đưa ra kịp thời và đúng lúc.
Nhược điểm
- Chất lượng dịch vụ: do các mạng truyền số liệu vốn dĩ không được thiết kế
để truyền thoại thời gian thực cho nên việc bị trễ trên đường truyền hay việc mất mát
các gói tin hoàn toàn có thể xảy ra và sẽ ảnh hưởng tới chất lượng dịch vụ.
- Chi phí thường lớn đối với các hệ thống Video Conference chuyên dụng.
1.2. Cấu trúc và kiến trúc của hệ thống hội nghị truyền hình
1.2.1. Các thành phần
Hội nghị truyền hình bao gồm 4 thành phần chính:
- Máy chủ Video Conference Server:
- Thiết bị chuyên dùng để thu và truyền tín hiệu âm thanh, hình ảnh:

Hình 1.2: Thiết bị đầu cuối cho hệ thống Video Conference
- Hệ thống mạng truy nhập IP phù hợp: Hội nghị truyền hình được sử dụng

trong hai hệ thống mạng thông thường sau:
- Phòng hội nghị


8

1.2.2. Kiến trúc tổng quát

Hình 1.3: Mô phỏng các cuộc họp trực tuyến
1.3. Công nghệ sử dụng và Các thành phần kết nối Video Conference.
1.3.1. Công nghệ sử dụng:
Giải pháp hội nghị truyền hình dựa trên công nghệ IP với sự hỗ trợ nhiều giao
thức (H.320, H.323, SIP, SCCP).
1.3.2. Các thành phần kết nối Video Conference:
- Phòng họp cá nhân:
Với phòng họp cá nhân, người tham gia chỉ cần trang bị thiết bị máy tính được
cài đặt phần mềm thực hiện chức năng HNTH đầu cuối. Các thiết bị đầu cuối cần tích
hợp hoặc bổ sung các thiết bị ngoại vi như camera, micro…
- Phòng họp chung:
Với mỗi điểm tham gia kết nối, cần phải trang bị đầy đủ các thành phần sau để
tham gia cuộc họp: Camera quan sát, Micro, Codec, Màn hình hiển thị, Loa, Thiết bị
lưu trữ, MCU- Kết nối đa điểm.
1.3.2.1 Mô hình kết nối điểm - điểm:


9

Hình 1.5: Mô hình Hội nghị truyền hình kết nối điểm - điểm
Tại site 1 và site 2 sử dụng hội nghị truyền hình giữa 2 điểm thì có thể gọi trực
tiếp giữa 2 điểm với nhau thông qua địa chỉ IP đã được gán trên thiết bị hoặc thông

qua tên hay số do quản lí theo quy định.
Yêu cầu đường truyền đủ lớn cho 02 vị trí cùng hội nghị với nhau, nhằm đảm
bảo chất lượng hình ảnh và âm thanh phục vụ tốt cho hội nghị.
1.3.2.2 Mô hình kết nối đa điểm:
Hội nghị truyền hình được thiết lập giữa từ 3 văn phòng trở lên với nhau. Đối
với kết nối đa điểm cần phải có thiết bị xử lí thông tin đa điểm (MCU – Multipoint
Control Unit) để thu nhận và phân phối hình ảnh, âm thanh đến các vị trí tham gia hội
nghị truyền hình.

Hình 1.4: Mô hình Hội nghị truyền hình kết nối đa điểm


10

1.4 Kết luận Chương
Tại chương này đã trình bày trình bày giới thiệu một số kiến thức tổng quan về
giải pháp Hội nghị truyền hình, quá trình hình thành và phát triển cũng như mô hình
triển khai hệ thống Hội nghị truyền hình đa điểm, kiến trúc thành phần của một hệ
thống Hội nghị truyền hình. Giới thiệu các mô hình kết nối điểm - điểm, Đa điểm
trong hệ thống Hội nghị truyền hình hiện nay.
CHƯƠNG 2: CÁC VẤN ĐỀ BẢO MẬT CHO HỆ THỐNG HỘI NGHỊ
TRUYỀN HÌNH
2.1. Tổng quan về bảo mật cho hệ thống hội nghị truyền hình
2.1.1. Bảo mật dưới góc độ người sử dụng cuối
Dưới góc độ người sử dụng cuối thì một buổi hội thảo truyền hình sẽ mở một
cửa sổ tới phòng họp; Do đó, nhân viên phải đảm bảo rằng họ biết những người đang
tham gia vào hội nghị truyền hình. Ngoài ra, bởi vì công nghệ hội nghị truyền hình
cho phép ghi âm các buổi hội nghị, nên việc phân quyền và giao nhiệm vụ cho người
quản trị cấp cao cần được xem xét kỹ để tránh lộ lọt các thông tin cá nhân cũng như
của tổ chức, doanh nghiệp.

2.1.2. Dưới góc độ người quản trị kỹ thuật
Hiện nay các thiết bị hội nghị truyền hình, được sử dụng trong hầu hết các
phòng họp trên cả nước cũng như toàn thế giới. Tuy nhiên đến nay vẫn có những vi
phạm an ninh gây ảnh hưởng tới việc bảo mật an toàn thông tin của các cuộc họp, hội
nghị. Một tính năng mặc định thông thường hiện nay đối với hệ thống video
(Polycom Conference) đó là tự động trả lời cuộc gọi đến. Lợi dụng điều này kẻ xấu
có thể sử dụng các kỹ thuật để tấn công lỗ hổng nghiêm trọng này nhằm khai thác và
phát tán thông tin.
2.2. Các tiêu chuẩn về bảo mật hội nghị truyền hình
Tiêu chuẩn bảo mật của ITU (International Telecommunication Union) như
H323 và H235 về đóng gói dữ liệu, nén dữ liệu và mã hóa dữ liệu trên kênh truyền
nhằm bảo đảm an ninh.


11

2.2.1. Bảo mật H.323
H.323 là chuẩn quốc tế về hội thoại trên mạng được đưa ra bởi hiệp hội viễn
thông quốc tế ITU (International Telecommunication Union). Nó qui định các thành
phần, các giao thức sử dụng, các thủ tục cho phép truyền các dữ liệu đa phương tiện
(âm thanh, hình ảnh) và số liệu thời gian thực thông qua mạng IP mà không quan tâm
tới chất lượng dịch vụ (QoS). Các đầu cuối của các hãng khác nhau có thể giao tiếp
được với nhau nếu các đầu cuối này tuân theo chuẩn H.323.
2.2.2 Bảo mật H.235
H.235 là chuẩn về bảo mật dành cho hội thoại qua mạng sử dụng giao thức
báo hiệu H.323 được đưa ra bởi hiệp hội liên minh viễn thông quốc tế ITU
(International Telecommunication Union). Ví dụ, những hệ thống H.323 hoạt động
dựa trên mạng chuyển mạch gói (không cung cấp sự bảo đảm về chất lượng dịch vụ
QoS). Vì vậy truyền thông thời gian thực cần quan tâm tới 2 điều: xác thực và bảo
mật.

H.235 mô tả những cơ sở và kĩ thuật bảo mật được tận dụng cho những
thiết bị đầu cuối đa phương tiện H.3xx. Nó cũng bao gồm những phạm vi cần
quan tâm của việc tương tác trong hội nghị truyền thông (những giao thức và
thuật toán cần thiết giữa những thực thể H.323).
H.235 cung cấp khả năng dàn xếp dịch vụ, nó liên quan đến khả năng hệ
thống, yêu cầu của ứng dụng và đặc tả về ràng buộc của cách thức bảo mật. Nó hỗ trợ
những thuật toán mã hóa khác nhau, với những tùy chọn thích hợp với những mục
đích khác nhau (Ví dụ như độ dài khóa).
2.3. Các giải pháp hạn chế nguy cơ, lỗ hổng bảo mật đối với hệ thống Hội
nghị truyền hình.
2.3.1. Giải pháp cho nguy cơ bảo mật theo các thành phần của hệ thống
 Giải pháp cho nguy cơ ở đường truyền.
Hiện nay hầu hết các nhà cung cấp dịch vụ đều đang sử dụng mạng chuyển
mạch nhãn đa giao thức MPLS do đó việc áp dụng bảo mật trên mạng được thực hiện
khá thuận tiện, sử dụng các mạng riêng ảo VPN trên nền công nghệ MPLS có độ tách
biệt mạng rất cao và việc áp dụng rất linh hoạt.


12

 Lỗ hổng mức điều khiển
Căn cứ vào kiến trúc hệ thống HNTH phân cấp như đã để cập ở chương trước
do đó giải pháp quản lý hệ thống theo mô hình tập trung là phù hợp. Khi đó sẽ thực
hiện bảo mật cho thiết bị trung tâm của toàn bộ cầu truyền hình một cách hiệu quả,
thuận lợi, trước hết có thể bảo vệ về an ninh, thiết bị ở mức vật lý. Ngoài ra các chế
độ bảo mật đường truyền, áp dụng mã hóa sẽ được thực hiện tại đây.
 Lỗ hổng truy nhập.
Bao gồm cả vấn đề quy định bảo mật cần tuân thủ đồng thời với quy trình về
kỹ thuật đảm bảo an toàn truy nhập.
Lỗ hổng trong truy cập được xem xét dưới hai góc độ:

- Vấn đề quy định an toàn bảo mật thông tin:
- Áp dụng các giao thức truy nhập điều khiển an toàn:
 Lỗ hổng endpoint.
- Bỏ chế độ tự động trả lời (Auto Answer):
- Bỏ chế độ điều khiển camera từ xa (Far end camera control):
- Bỏ chế độ Streaming trên endpoint:
- Thiết lập mã hóa thông tin:
 Lỗ hổng hệ thống MCU
- Phân quyền cho đúng đối tượng điều khiển MCU.
Đối với MCU: MCU hỗ trợ các mức truy cập khác nhau từ thấp đến cao, bao
gồm: mức Operator, Administrator.
- Đặt mật khẩu mã truy nhập riêng (PIN code) cho phiên THHN.
 Lỗ hổng mã hóa giữa MCU và endpoint.
- Thuật toán mã hóa đối xứng AES
- Thuật toán Rijndeal có những đặc tính sau:
- Bảo mật thông tin giữa MCU và Endpoint qua chuẩn mã hóa AES
2.3.2. Giải pháp bảo mật cho nguy cơ theo kỹ thuật tấn công
 Nghe lén (Snooping)
DHCP spoofing là kỹ thuật giả mạo DHCP Server trong mạng LAN. Kẻ tấn
công có thể cài đặt một phần mềm DHCP Server trên máy tính của mình và cấp phát


13

địa chỉ IP cho máy nạn nhân với các thông số giả mạo như default gateway, DNS. Từ
đó, máy tính của nạn nhân sẽ bị chuyển hướng truy cập theo ý đồ của kẻ tấn công.

Hình 2.1: Mô phỏng kỹ thuật giả mạo DHCP Server trong mạng LAN
 Tấn công từ chối dịch vụ (DoS)
Một cuộc tấn công từ chối dịch vụ (tấn công DoS - Viết tắt của Denial of

Service) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS - Viết tắt của
Distributed Denial of Service) là một nỗ lực làm cho những người dùng không thể sử
dụng tài nguyên của một máy tính.

Hình 2.2: Mô phỏng cuộc tấn công từ chối dịch vụ DDoS
Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch
vụ có thể khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của
một người hay nhiều người để một trang, hay hệ thống mạng không thể sử dụng, làm


14

gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình
thường, bằng cách làm quá tải tài nguyên của hệ thống. Thủ phạm tấn công từ chối
dịch vụ thường nhắm vào các trang mạng hay server tiêu biểu như ngân hàng, cổng
thanh toán thẻ tín dụng và thậm chí DNS root servers.
2.4. Kết luận chương
Tại chương này đã trình bày chi tiết về các vấn đề an toàn, bảo mật cho hệ
thống Hội nghị truyền hình đa điểm từ góc độ người sử dụng, người quản trị hệ
thống; nghiên cứu các phương pháp, giao thức mã hóa thông tin dữ liệu, luồng dữ
liệu trên kênh truyền. Các tiêu chuẩn về bảo mật của Hội nghị Truyền hình với các
giao thức bảo mật theo tiêu chuẩn ITU (International Telecommunication Union) như
H.323; H.235 … Đưa ra một số giải pháp nhằm hạn chế nguy cơ, lỗ hổng bảo mật đối
với hệ thống Hội nghị Truyền hình.

CHƯƠNG 3: GIẢI PHÁP CHO BẢO MẬT HỘI NGHỊ TRUYỀN HÌNH TẠI
HỆ THỐNG HỘI NGHỊ TRUYỀN HÌNH DẦU KHÍ
3.1 Giới thiệu mô hình hoạt động và hệ thống Hội nghị truyền hình tại
Viện Dầu khí Việt Nam.
- Viện Dầu khí Việt Nam là đơn vị Nghiên cứu Khoa học hàng đầu của Ngành

Dầu khí Việt Nam, với số lượng nhân sự khoảng 550 người, có trụ sở chính tại Hà
Nội và Chi nhánh tại Tp. Hồ Chí Minh (Khu công nghệ cao - Quận 9 và Số 4 Nguyễn
Thông - Quận 3);
- Viện Dầu khí Việt Nam đã đầu tư hệ thống phòng họp trực tuyến (Hội nghị
truyền hình) với các thiết bị đồng bộ của hãng sản xuất Polycom:
o Thiết bị đầu cuối Codec Polycom HDX 9000;
o Thiết bị hỗ trợ kết nối đa điểm MCU Polycom
o Thiết bị hiển thị hình ảnh và âm thanh: Tivi Plasma Samsung, máy chiếu;
o Camera Polycom;
o Âm thanh theo hệ thống.


15

3.2. Giải pháp chung
Giải pháp tổng thể để bảo mật cho dịch vụ hội nghị truyền hình là áp dụng một
hoặc nhiều hoặc toàn bộ các giải pháp đã nêu ở chương II của luận văn này. Trong đó
có thể tách ra gồm 2 nhóm nội dung chính cần thực hiện đó là:
- Thực hiện theo đúng Quy định, quy trình bảo mật hệ thống;
- Áp dụng phương án kỹ thuật đảm bảo an toàn bảo mật.
3.3. Giải pháp áp dụng cho Viện Dầu khí Việt Nam.
3.3.1. Đối với Đường truyền sử dụng:
Sử dụng mạng truyền số liệu chuyên dùng, mạng truyền dẫn tốc độ cao, sử
dụng phương thức chuyển mạch nhãn đa giao thức trên nền giao thức liên mạng
(IP/MPLS) sử dụng riêng trong hoạt động ứng dụng công nghệ thông tin của Viện
Dầu khí Việt Nam. Kênh truyền này được thuê lại của nhà cung cấp (CMC, VNPT,
FPT) và được thiết lập là kênh riêng biệt, Mạng chuyển mạch nhãn đa giao thức tiên
tiến được bảo vệ 2 lớp tuyệt đối an toàn.
3.3.2. Đối với vị trí thiết bị HNTH trong mạng tổng thể chung
Đặt hệ thống Hội nghị truyền hình sau Firewall

Trong hệ thống mạng đặt kết nối của thiết bị Hội nghị Truyền hình sau
Firewall để đảm bảo an toàn, chống tấn công từ bên ngoài. Đảm bảo kiểm soát các
luồng thông tin từ Internet vào Intranet. Thiết lập cơ chế điều khiển dòng thông tin
giữa mạng bên trong nội bộ (Intranet) và mạng Internet đồng thời sử dụng các giao
thức Policy đảm bảo an toàn hơn với các mục tiêu:
- Cho phép hoặc cấm (chặn) những dịch vụ truy cập từ nội bộ ra bên ngoài;
- Cho phép hoặc cấm (chặn) những dịch vụ từ bên ngoài truy cập vào mạng
nội bộ;
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet;
- Kiểm soát địa chỉ truy cập, cấm (chặn) các địa chỉ truy cập;
- Kiểm soát người dùng và việc truy cập của người sử dụng;
- Kiểm soát nội dung thông tin lưu chuyển trên mạng.


16

Ngoài ra để tránh việc tấn công từ bên trong nội bộ mạng Lan, riêng hệ thống
Hội nghị truyền hình được thiết kế một VLAN riêng biệt để tránh VLAN người dùng
có thể truy cập.
3.3.3. Sử dụng thiết bị đầu cuối chuyên dụng:
Thiết bị đầu cuối Polycom HDX 9000:
Viện Dầu khí Việt Nam đầu tư thiết bị đầu cuối chuyên dụng (bộ điều khiển
Polycom HDX 9000), có phần cứng chuyên dụng đảm bảo an toàn thông tin, đồng thời
nâng cao chất lượng hình ảnh, âm thanh đáp ứng cao về dịch vụ của các Hội nghị.
Thiết bị hội nghị truyền hình HDX 9000 cung cấp khả năng xử lý mạnh và dễ
dàng mở rộng với nhiều cổng kết nối audio, video. Cho phép người dùng linh hoạt và
thuận tiện để sắp xếp một cuộc họp theo ý mình, bộ sản phẩm Polycom HDX 9000
gồm: Polycom HDX 9000 codec; EagleEye Camera; Microphone array; HDX remote
control. Ngoài ra còn có các thiết bị phụ khác trong Phòng họp, hội trường như Tivi,
máy chiếu, ….

Bộ điều khiển MCU Polycom RMX 1500
Polycom RMX 1500 là thiết bị điều khiển đa điểm (MCU), cho chất lượng
hình ảnh HD là chuẩn video chất lượng cao. Giao thức này sử dụng thuật toán H.264.
RMX 1500 Polycom cho phép các thiết bị đầu cuối có thể kết nối đến điểm trung tâm
hội nghị truyền hình với độ phân giải 1080 x 720. Chế độ Gọi video chất lượng HD là
chuẩn video chất lượng cao nhất hiện nay. Với HD cho phép các thiết bị đầu cuối kết
nối đến trung tâm Hội nghị truyền hình với độ phân giải 1280 x 720 (720p) và tốc độ
nằm trong khoảng từ 384Kbps đến 4Mbps.
3.3.4. Bảo mật trên MCU:
Đối với hệ thống tại Viện Dầu khí VIệt Nam, ngoài các giải pháp liên quan đến
MCU đã được phân tích ở chương II của Luận văn, cần bổ sung:
- Thường xuyên thay đổi mật khẩu kịch bản MCU (Script file.
- Sử dụng tính năng đòi hỏi PIN code cho moderator.
- Áp dụng mã hóa AES-128 bit cho tất cả các phiên Hội nghị truyền hình.


17

- Phương thức kết nối cuộc gọi: Sử dụng phương thức quay số Dial out cho
các phiên Hội nghị truyền hình để an toàn trong việc giám sát, quản lý đặc biệt khi số
lượng điểm cầu lớn.
3.4. Triển khai thực tế và đánh giá.
Thực hiện triển khai thực tế trên thiết bị, trong quá trình triển khai đã thực hiện
một số giải pháp tổng thể bao gồm:
- Không cho phép hệ thống trả lời tự động khi có cuộc gọi đến.
- Khóa chế độ điều khiển từ xa đối với các điểm cầu..
- Thay đổi chế độ remotering video;
- Thay đổi mật khẩu quản lý;
- Mở và đóng chế độ Streaming của đầu cuối Hội nghị truyền hình;
- Thử nghiệm PIN code trên MCU theo từng phiên Hội nghị truyền hình;

- Đặt chế độ mã hóa H.235 AES – 128 trên MCU và các thiết bị đầu cuối Hội
nghị truyền hình.
Qua đó các thử nghiệm đều đạt kết quả, phù hợp với các phân tích về giải pháp
ở chương 2 và phần đề xuất triển khai tại chương 3.
3.4.1. Phân quyền cho đúng đối tượng điều khiển MCU
MCU hỗ trợ các mức truy cập khác nhau từ thấp đến cao, bao gồm: mức
Operator, Administrator. Việc cấp Account cho quyền điều khiển MCU cần hạn chế và
đúng quyền hạn, người quản trị đặt mật khẩu đảm bảo an toàn cho việc truy cập từ xa và
hạn chế việc những can thiệp vào các phiên kết nối.
Ngoài ra sử dụng linh hoạt chế độ cấp theo phiên, theo thời gian, sau đó khóa lại
để chỉ có thể điều khiển được các phiên Hội nghị theo đúng phân quyền, đúng phân công
nhiệm vụ cho từng phiên Hội nghị.
3.4.2 Thực hiện cuộc gọi ở các chế độ:
- Cuộc gọi khi chưa mã hóa H323 AES – 128.
Cuộc gọi vẫn được kết nối tuy nhiên các thông tin của cuộc gọi không được mã
hóa  dẫn đến nguy cơ mất an toàn bảo mật thông tin.


18

Hình 3.1: Cuộc gọi khi chưa đặt chế độ mã hóa H.323 AES - 128
Trường Call Encryption  ở chế độ Disabled
- Thực hiện việc Enable chế độ mã hóa Call Encryption.
Đặt lại chế độ mã hóa các cuộc gọi ở chế độ H.323 AES – 128 (lưu ý ta phải
thực hiện đặt chế độ mã hóa ở MCU và tất cả các thiết bị đầu cuối ở các điểm cầu,
việc đặt chế độ mã hóa không đồng bộ sẽ dẫn đến không thực hiện được kết nối).

Hình 3.2: Mặc định chế độ AES Encryption để ở chế độ Off



19

Hình 3.3: Đặt lại chế độ AES Encryption
- Cuộc gọi khi chế độ mã hóa H323 AES – 128 đã được bật.

Hình 3.4: Cuộc gọi sau khi đặt mã hóa AES - 128
Thực hiện cuộc gọi khi đặt chế độ mã hóa H.323 AES – 128, trường Call
Encryption (mã hóa cuộc gọi): AES / DH-1024/ …  Cuộc gọi đã được mã hóa
theo chuẩn AES – 128.


20

3.5 Đánh giá mô hình triển khai:
3.5.1 Những mặt đạt được:
Mô hình Hội nghị truyền hình được triển khai tại Viện Dầu khí Việt Nam từ
những năm 2010 đến nay đã mang lại nhiều lợi ích về mặt kinh tế cho đơn vị, giảm
thiểu chi phí đi lại cho những hội nghị, cuộc họp, những hội thảo nghiên cứu khoa
học, những buổi trình bày, bảo vệ đề tài nghiên cứu khoa học của các chủ biên, tác
giả tại các đơn vị trực thuộc Viện Dầu khí Việt Nam (từ TP. Hồ Chí Minh); ước tính
chi phí tiết kiệm cho mỗi năm khoảng gần 2,5 tỷ đồng.
Mô hình triển khai ngày được hoàn thiện cả về trang thiết bị và vấn đề an ninh
bảo mật của hệ thống. Những cuộc họp, Hội nghị của Viện Dầu khí Việt Nam giữa
Hà Nội – TP. Hồ Chí Minh được diễn ra tiện lợi, an toàn và đảm bảo chất lượng.
Kênh truyền kết nối liên tỉnh (Hà Nội – TP. Hồ Chí Minh) và nội tỉnh trong TP.
HCM được Viện DKVN đầu tư nâng cấp hàng năm đảm bảo ổn định về tốc độ băng
thông cũng như độ bảo mật từ phía nhà cung cấp.
Mở rộng hơn nữa những cuộc họp hội nghị với các đối tác trong và ngoài nước (có
cùng chung hệ thống thiết bị đầu cuối Polycom) đảm bảo nhanh chóng, an toàn và hiệu
quả. Trong những năm gần đây (2015, 2016) liên tục Viện Dầu khí Việt Nam làm việc

cùng các đối tác nước ngoài (tại Nga, Mỹ, Ý) qua hệ thống Hội nghị truyền hình chuyên
dụng Polycom.
3.5.2 Những mặt hạn chế
Trước những năm 2011 hệ thống được kết nối trực tiếp ra ngoài Internet và có
nguy cơ về lỗ hổng bảo mật, tuy nhiên nguy cơ đó đã được ngăn chặn từ năm 2011
với sự đầu tư của hệ thống thiết bị firewall cứng phần nào hạn chế và đảm bảo được
cho sự an toàn của vùng mạng nội bộ và mạng bên ngoài Internet trước những nguy
cơ tấn công trái phép từ Internet.
Hệ thống thiết bị chuyên dụng nên chi phí đầu tư ban đầu khá cao, việc đầu tư
mở rộng sẽ chiếm một phần kinh phí lớn.
Hệ thống hoạt động tối ưu với băng thông kênh truyền đạt chuẩn (tối thiểu 02
Mbs kênh truyền WAN kết nối riêng) và 512 Mbs kênh truyền Internet Lease Line đi
Quốc tế (nếu họp với đối tác nước ngoài).


21

Chỉ kết nối giao tiếp được với các hệ thống có thiết bị đầu cuối (hoặc sử dụng
giao thức kết nối) tương tự, chính vì vậy chưa tích hợp được các phần mềm, ứng
dụng hội nghị truyền hình miễn phí ngày một phát triển đa dạng hiện nay như: Skype,
Google Hangout, TrueConf Online, Vsee.
3.5.3 Hướng phát triển hệ thống
Tiếp tục nghiên cứu và tìm hiểu về phần cứng, phần mềm của các hãng sản
xuất khác nhau để tìm cách tích hợp hệ thống Polycom chuyên dụng (trên nền tảng
kết nối IP) với các thiết bị, phần mềm hội nghị truyền hình qua Internet.
Hiện nay Viện Dầu khí Việt Nam đã triển khai thành công việc kết nối hệ
thống thiết bị Hội nghị truyền hình Polycom chuyên dụng với các thiết bị IP Phone
(điện thoại IP) của Cisco, cho phép người dùng sử dụng IP Phone trong mạng nội bộ
của Viện (Lãnh đạo đơn vị) có thể ngồi trực tiếp từ phòng làm việc kết nối tới phiên
Hội nghị Truyền hình đang diễn ra tại các điểm cầu.

3.6. Kết luận chương
Ở chương này, luận văn tập trung vào việc đưa ra giải pháp tổng thể nhằm đảm
bảo an ninh, an toàn dữ liệu hệ thống cho dịch vụ Hội nghị truyền hình đa điểm. Áp
dụng một/nhiều các giải pháp đã nêu tại chương II của luận văn. Đề xuất việc thực
hiện mô hình trong doanh nghiệp, triển khai thực hiện mô hình Hội nghị truyền hình
đa điểm tại Viện Dầu khí Việt Nam với các giải pháp bảo mật:
- Bảo mật trên kênh truyền dữ liệu.
- Sử dụng (đầu tư) các thiết bị đầu cuối chuyên dụng.
- Thay đổi các chế độ mặc định của các thiết bị chuyên dụng nhằm mã hóa và
nâng cao tính bảo mật của thiết bị.
- Bảo mật mức người quản trị, người sử dụng.


22

KẾT LUẬN
Kết quả của đề tài này là tìm hiểu các phương thức bảo mật, mã hóa và đánh
giá lỗ hổng trong giải pháp Hội nghị truyền hình trực tuyến nhiều điểm cầu, xây dựng
một tập hợp các giải pháp bao gồm cả các quy định về mặt nghiệp vụ khai thác, các
điều chỉnh thiết lập về kênh truyền vật lý, áp dụng điều chỉnh các tham số kỹ thuật
cũng như áp dụng các chế độ mã hóa cho Hội nghị truyền hình do đó hoàn toàn có
thể giúp nâng cao khả năng bảo mật cho dịch vụ Hội nghị truyền hình được sử dụng
hiện nay tại Cơ quan doanh nghiệp.
Các giải pháp này đã và đang được áp dụng đối với hệ thống Hội nghị truyền
hình tại Viện Dầu khí Việt Nam và những nghiên cứu của đề tài đều dựa trên nền
tảng thiết bị, công nghệ phổ biến hiện nay đã và đang được nhiều cơ quan doanh
nghiệp trong ngành Dầu khí cũng như các cơ quan doanh nghiệp nhà nước khác đang
sử dụng.
Khi áp dụng các chính sách, giải pháp bảo mật thì đi kèm với đó sẽ làm tăng tải
của hệ thống, có một phần ảnh hưởng đến chất lượng dịch vụ khi số lượng điểm cầu

tham gia nhiều. Chi phí cho việc áp dụng nếu cần bổ sung thiết bị như firewall cứng
cho cả hệ thống sẽ tương đối cao, vì vậy khuyến nghị chỉ sử dụng bảo mật firewall
với MCU ở điểm cầu chính, còn các điểm cầu còn lại sẽ trang bị tùy theo năng lực tài
chính của đơn vị.
Hiện nay với việc phát triển về công nghệ Internet các phần mềm ứng dụng
dành cho các thiết bị thông minh (máy tính bảng, Smart phone, …) nhiều hãng phần
mềm đã cho ra đời những phần mềm ứng dụng dành cho hội nghị truyền hình tương
đối tốt (Skype, Google Hangout, TrueConf Online, Vsee). Tuy nhiên các phần mềm
này chỉ sử dụng qua Internet và dành cho số ít lượng người tham gia vào các cuộc hội
thoại (5 – 10 người). Để đáp ứng nhu cầu của công việc thường xuyên phải trao đổi
với các đối tác ở nước ngoài (Mỹ, Nga, Pháp, Ý, …) Viện Dầu khí Việt Nam ngoài
việc sử dụng hệ thống Hội nghị truyền hình chuyên dụng (Polycom) cũng đang sử
dụng các phần mềm bản quyền như Skype for Bussiness để thực hiện các cuộc họp
với đối tác nước ngoài (qua Internet), tuy nhiên việc đó sẽ có những rủi ro về tính bảo
mật thông tin, vì vậy giải pháp tích hợp được các phần mềm hội nghị truyền hình này


23

với hệ thống Hội nghị truyền hình sẵn có của Viện đang được ưu tiên tìm hiểu và
nghiên cứu. Làm sao để các cuộc họp có số lượng người tham gia đông (từ 20 người
ở mỗi điểm cầu) kết hợp được giữa hệ thống hội nghị truyền hình chuyên dụng và các
ứng dụng phần mềm hội nghị truyền hình qua mạng Internet và vẫn phải đảm bảo an
ninh, an toàn bảo mật thông tin.
Để đảm bảo an toàn, bảo mật thông tin nói chung và bảo mật cho Hội nghị
Truyền hình là một lĩnh vực cần tiếp tục nghiên cứu. Trong phạm vi luận văn cũng
không thể tránh khỏi còn những thiếu sót, hạn chế. Rất mong nhận được ý kiến đóng
góp của các Thầy cô và các bạn để luận văn tiếp tục được hoàn thiện và phát triển.
Một lần nữa Em xin chân thành cảm ơn các thầy cô giáo tại Học viện Công
nghệ Bưu chính Viễn thông. Xin cảm ơn Thầy giáo, Tiến sỹ Nguyễn Vĩnh An đã trực

tiếp hướng dẫn Em hoàn thành luận văn này./.
Hà nội, tháng 05 năm 2017
Dương Bắc Sơn


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×