Ngày nay, 5G hướng đến độ trễ thấp hơn, kết nối nhiều thiết bị hơn với mức tiêu thụ năng lượng thấp. Để đạt được các yêu cầu trên, các công nghệ khác nhau đã được áp dụng cho hệ thống 5G như: Mạng không đồng nhất (HetNet); Công nghệ MIMO (multiple-input multiple-output); Công nghệ mmWave; Truyền thông D2D (Device To Device); Mạng SDN; Công nghệ NFV (Network Functions Virtualization) ảo hóa các chức năng mạng. Với các công nghệ mới được sử dụng, mạng 5G đòi hỏi các tính năng và các giải pháp an toàn mới cho các công nghệ này.
Software-Defined Networking (SDN) là công nghệ mạng mới có khả năng phân tách chức năng, ảo hóa mạng và tự động hóa làm cho các mạng trở nên linh hoạt hơn, cho phép các quản trị viên mạng nhanh chóng xử lý các yêu cầu thay đổi thông qua một bộ điều khiển tập trung. Kiến trúc SDN chia làm 3 lớp kết nối thông qua API southbound và northbound: Lớp ứng dụng, Lớp điều khiển và lớp dữ liệu (cơ sở hạ tầng).
Đảm bảo an toàn lớp ứng dụng SDN: Cần thực hiện xác minh nghiêm ngặt các ứng dụng trước khi chúng được cấp quyền truy cập cho các cấu hình mạng. Một số giải pháp cụ thể như:
- Sử dụng hệ thống PermOF, đây là một hệ thống cấp phép chi tiết đặt ranh giới để ứng dụng hoạt động trong các đặc quyền đã xác định của nó. PermOF cung cấp quyền đọc, ghi, thông báo vào hệ thống cho các ứng dụng khác nhau để thực thi kiểm soát quyền.
- Sử dụng bộ điều khiển Rosemary để cung cấp quyền ranh giới hoạt động của ứng dụng giúp cho hệ thống có thể bảo vệ các nền tảng kiểm soát khỏi các ứng dụng độc hại.
- Sử dụng hệ thống FortNOX, đây là một nhân thực thi bảo mật được thực hiện phân quyền dựa trên vai trò cho mỗi ứng dụng OpenFlow. FortNox thực thi quy tắc luồng dựa trên luật với các yêu cầu chèn quy tắc luồng từ ứng dụng OpenFlow với ba cấp độ truy cập.
Đảm bảo an toàn lớp điểu khiển SDN: Lớp điều khiển hoạt động như bộ não của SDN quản lý các chính sách và luồng lưu lượng trên toàn mạng. Do vai trò quan trọng của lớp điều khiển, có nhiều đề xuất và phương pháp tiếp cận để tăng cường an ninh. Cụ thể như đối với Bộ điều khiển SDN gốc Floodlight sử dụng giao thức OpenFlow cần bổ sung nâng cấp thêm tính năng bảo mật SE-Floodlight (Security Enhanced Floodlight).
Tính năng này cung cấp cơ chế phân tách đặc quyền bằng cách thêm một API north-bound có thể lập trình an toàn vào bộ điều khiển SDN. Nó hoạt động như một trung gian giữa ứng dụng và các mặt phẳng dữ liệu bằng cách xác minh các quy tắc luồng do các ứng dụng tạo ra. Cũng như lớp ứng dụng SDN, việc sử dụng một giải pháp mạnh mẽ như Bộ điều khiển Rosemary cũng giúp bảo vệ hệ thống khỏi các ứng dụng độc hại ở lớp điều khiển SDN. Bên cạnh đó, còn có thể áp dụng Hệ thống Avant-Guard sử dụng công cụ di chuyển kết nối để giới hạn các yêu cầu luồng (phiên TCP không thành công) đến lớp điều khiển nhằm giảm thiểu các vấn đề về khả năng mở rộng của control plane và cải thiện khả năng phục hồi chống lại các cuộc tấn công DoS.
Hình 1. Ba lớp kết nối trong kiến trúc SDN
Đảm bảo an toàn Lớp dữ liệu SDN: Lớp này được tạo thành từ các thiết bị vật lý trong mạng nên việc cấu hình lớp dữ liệu có thể bị thay đổi bởi các ứng dụng, nên phải giữ an toàn cho nó khỏi các ứng dụng trái phép. Do đó, các cơ chế đảm bảo an toàn xác thực và ủy quyền được áp dụng cho các ứng dụng như: FortNox cung cấp cơ chế trong bộ điều khiển để kiểm tra các mâu thuẫn trong quy tắc luồng được tạo ra bởi các ứng dụng; FlowChecker kiểm tra và xác định sự mâu thuẫn trong quy tắc luồng trong OpenFlow, phát hiện các cấu hình chuyển mạch sai.
Ảo hóa chức năng mạng NFV có thể làm tăng số lượng người dùng, nâng cao dịch vụ và an toàn mạng. Phương án đảm bảo an toàn đầu tiên là sử dụng phương pháp cắt để phân tách lưu lượng của các dịch vụ hoặc các phân đoạn mạng dựa trên các bảo mật ưu tiên. Phương án thứ hai là các triển khai các các chức năng mạng ảo (Virtual network functions - VNF) để tăng khả năng mở rộng và tính sẵn sàng của hệ thống nhằm giải quyết các cuộc tấn công DoS/DDoS. Việc chia nhỏ mạng cho các dịch vụ khác nhau được coi là thế mạnh của 5G so với các mạng thế hệ trước. Dưới đây là giải pháp đảm bảo an toàn cho các thành phần trong công nghệ NFV.
Giải pháp cho Hệ thống ảo: So với hệ thống vật lý, hệ thống ảo khó giám sát hơn nhưng cũng có những ưu điểm riêng về mặt an toàn. Hệ thống ảo có thể dễ dàng di chuyển hoặc sao chép để giảm thiểu tác động của các cuộc tấn công. Chính vì vậy, cần đưa ra một quy định quản lý thực thi chính sách an toàn trong môi trường VNF và xây dựng hệ thống phần mềm cho NFV để người sử dụng đưa ra chính xác các đánh giá và thực thi yêu cầu mà không cần xử lý các cấu hình an toàn mạng phức tạp.
Giải pháp cho phần mềm giám sát máy ảo: Do vai trò trung tâm trong việc quản lý, truy cập và phân bổ các tài nguyên máy ảo của phần mềm giám sát (hypervisor), lựa chọn cơ bản để tăng cường tính an toàn của nó chính là hạn chế tiếp xúc máy ảo và các hệ thống khác. OpenVirteX đã đưa ra một nền tảng ảo hóa mạng cung cấp cho khách hàng SDN ảo. Nền tảng này hoạt động tương tự như triển khai OpenFlow SDN, hypervisor hoạt động giống như bộ điều khiển trong OpenFlow, trong đó người dùng có các control và data plane riêng của họ. Giải pháp này khiến bộ điều khiển SDN có khả năng bao quát các hoạt động của hypervisor và có thể dễ dàng theo dõi các lỗ hổng bảo mật.
Công nghệ điện toán đám mây trong mạng di động 5G chiếm vai trò trọng tâm trong các tổ chức nghiên cứu làm việc về 5G và các ngành công nghiệp công nghệ liên quan. Với các công nghệ cung cấp dịch vụ và tài nguyên giúp chia sẻ dữ liệu trong thời gian thực giữa các thiết bị và lưu trữ ảo trên đám mây. Dưới đây là những giải pháp đảm bảo an toàn cho các thành phần trong công nghệ Cloud.
Đảm bảo an toàn cho ảo hóa: Các mối đe dọa bảo mật liên quan đến ảo hóa chủ yếu nằm trên các phần của máy ảo. Điều quan trọng là trong việc đảm bảo an toàn cho các nền tảng ảo hóa là phải mở rộng tất cả các biện pháp đảm bảo an toàn trên hệ điều hành của máy vật lý sang hệ điều hành của máy ảo, chỉ khi đó hiệu quả của chiến lược an toàn mới được đảm bảo. Vì vậy, cần xây dựng hệ thống giám sát an toàn để kiểm soát luồng thông tin và giao tiếp giữa các máy ảo trên các máy khác nhau, cũng như cần triển khai proxy tường lửa để giảm thiểu tấn công DoS trong các hệ thống ảo hóa.
Phòng tránh tấn công xâm nhập đám mây: Có thể giảm thiểu sự xâm nhập đám mây bằng cách xây dựng các IDS hoạt động kết hợp với các cơ chế kiểm soát khác trong môi trường điện toán đám mây. Thiết kế các hệ thống IDS để liên tục giám sát các hoạt động trong môi trường đám mây và sẽ xác định bất kỳ hình thức hoạt động độc hại nào vi phạm chính sách. Xây dựng các ứng dụng đám mây có khả năng xác định và bỏ qua các yêu cầu xâm nhập bất hợp pháp.
Phòng tránh Tấn công nội bộ: Nhà cung cấp dịch vụ có quyền truy cập vào các máy chủ vật lý mà dữ liệu người dùng được lưu trữ. Tuy nhiên nội bộ nhà cung cấp có thể mắc lỗi khiến thông tin của người dùng bị sử dụng sai mục địch. Do đó việc thực hiện kiểm tra thường xuyên và theo định kỳ cùng với việc đánh dấu thời gian và chữ ký số trên dữ liệu đám mây, có thể giúp giảm thiểu khả năng lạm dụng và sử dụng bất chính dữ liệu đám mây.
Công nghệ MIMO là trang bị cho trạm gốc một số lượng lớn các ăng ten có thể phục vụ cho số lượng lớn các thiết bị đầu cuối của người dùng với cùng một dải tần. Đi kèm với số lượng thiết bị khổng lồ, MIMO rất dễ bị khai thác tấn công nghe trộm: Nghe trộm thụ động và nghe trộm chủ động. Có 2 giải pháp chính để phát hiện kẻ nghe trộm đang hoạt động:
Giải pháp thứ nhất là, khai thác tính ngẫu nhiên có kiểm soát bằng cách truyền các tín hiệu ước tính kênh truyền ngẫu nhiên để phát hiện những kẻ nghe trộm đang hoạt động. Người dùng hợp pháp truyền một chuỗi ký hiệu ngẫu nhiên của khóa dịch chuyển pha ngẫu nhiên cho phép trạm gốc phát hiện kẻ nghe trộm. Hạn chế của phương pháp này là nó phải chịu chi phí truyền các chuỗi ngẫu nhiên bổ sung.
Giải pháp thứ hai là, xây dựng các bộ định dạng, điều hướng sóng sao cho những người dùng hợp pháp nhận được tương đương với giá trị đã thoả thuận. Các trạm cơ sở hợp tác có thể phát hiện ra các hoạt động nghe trộm. Các phương pháp học máy cũng có thể được áp dụng để phát hiện các cuộc tấn công nghe trộm đang hoạt động.
Trong quá trình phát triển mạng 5G, để đáp ứng yêu cầu và dịch vụ mạng, 5G sử dụng các công nghệ mới như các khái niệm điện toán đám mây tiên tiến MEC, SDN, NFV, MIMO massive... Sự đa dạng của công nghệ mạng mới làm tăng cảnh quan về mối đe dọa an ninh, và do đó phải tìm kiếm các giải pháp, đảm bảo an toàn mới để kết nối hiệu quả và an toàn. Trên đây là một số giải pháp, nghiên cứu đảm bảo an toàn công nghệ mạng để cải thiện an toàn mạng 5G và làm cơ sở để tiếp tục các nghiên cứu trong tương lai.
TÀI LIỆU THAM KHẢO 1. 3GPP TS 23.502 - Procedures for the 5G System (Release 16) July 2020 2. Ijaz Ahmad, Shahriar Shahabuddin, Tanesh Kumar, sJude Okwuibe, Andrei Gurtov, Mika Ylianttila “Security for 5G and Beyond”, IEEE Communications Surveys & Tutorials Vol. 21, 2019. 3. IEEE Journal on Selected Areas in Communications Vol. 36, 2018. 4. IEEE Communications Surveys & Tutorials Vol. 19, 2017. 5. IEEE Communications Letters, vol. 21, 2017. 6. Muhammad Arif, Ari Pouttu, Ijaz Ahmad, Olli Liinamaa, Mika Ylianttila, “On the Demonstration and Evaluation of ServiceBased Slices in 5G Test Network using NFV,” in workshop on Future Networking Workshop for 5G and Beyond Testbed and Trials, 2019 IEEE WCNC. IEEE, 2019. |
TS. Đỗ Cao Khánh, Học viện Kỹ thuật mật mã
08:00 | 25/12/2020
15:00 | 30/06/2023
08:00 | 08/09/2022
08:00 | 19/08/2020
07:00 | 12/05/2022
09:00 | 25/03/2019
10:00 | 15/09/2023
10:00 | 10/07/2023
10:00 | 04/10/2024
Trong thời đại kỹ thuật số ngày nay, ransomware đã trở thành một trong những mối đe dọa nguy hiểm nhất đối với cả cá nhân lẫn tổ chức. Đây không chỉ là một loại phần mềm độc hại, mà còn là một công cụ về chính trị và kinh tế của các nhóm tội phạm mạng. Ransomware không chỉ gây tổn thất về tài chính mà còn đe dọa đến sự bảo mật thông tin, uy tín và hoạt động kinh doanh của các tổ chức. Bài báo này sẽ trang bị một số kỹ năng cần thiết cho các tổ chức để thực hiện các biện pháp giúp giảm thiểu tác động của các cuộc tấn công ransomware, nhấn mạnh việc triển khai một cách chủ động để bảo vệ hệ thống trước các mối nguy hiểm tiềm tàng.
14:00 | 02/10/2024
Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi và phức tạp, Zero Trust đang nổi lên như một mô hình bảo mật toàn diện cho doanh nghiệp. Tại Hội thảo Netpoleon Solutions Day 2024 với chủ đề “Transforming Security with Zero Trust”, ông Nguyễn Kỳ Văn, Giám đốc Netpoleon Việt Nam đã chia sẻ những góc nhìn sâu sắc về tầm quan trọng của mô hình Zero Trust và cách thức doanh nghiệp Việt Nam có thể ứng dụng hiệu quả giải pháp này.
14:00 | 04/03/2024
Ngày nay, tất cả các lĩnh vực trong đời sống xã hội đều có xu hướng tích hợp và tự động hóa, trong đó các giao dịch số là yêu cầu bắt buộc. Do vậy, các tấn công lên thiết bị phần cứng, đặc biệt là các thiết bị bảo mật có thể kéo theo những tổn thất to lớn như: lộ thông tin cá nhân, bị truy cập trái phép hoặc đánh cắp tài khoản ngân hàng,… So với các loại tấn công khác, tấn công kênh kề hiện đang có nhiều khả năng vượt trội. Trong bài báo này, nhóm tác giả sẽ trình bày sơ lược về kết quả thực hành tấn công kênh kề lên mã khối Kalyna trên hệ thống Analyzr của Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công thành công và khôi phục đúng 15 byte khóa trên tổng số 16 byte khóa của thuật toán Kalyna cài đặt trên bo mạch Nucleo 64.
13:00 | 26/02/2024
Operation Triangulation là một chiến dịch phức tạp nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Tạp chí An toàn thông tin đã từng cung cấp một số bài viết liên quan đến chiến dịch này, như giải mã tính năng che giấu của phần mềm độc hại TriangleDB, những cuộc tấn công zero-day trên thiết bị iOS hay giới thiệu cách sử dụng công cụ bảo mật phát hiện tấn công zero-click. Tiếp nối chuỗi bài viết về chiến dịch Operation Triangulation, bài viết sẽ phân tích các phương thức khai thác, tấn công chính của tin tặc trong chuỗi tấn công này, dựa trên báo cáo của hãng bảo mật Kaspersky.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong cuộc đua 5G tại Việt Nam, Viettel đã vươn lên dẫn đầu khi trở thành nhà mạng đầu tiên chính thức tuyên bố khai trương mạng 5G. Trong khi đó, các nhà mạng khác cũng đang ráo riết chuẩn bị cho việc triển khai dịch vụ 5G, hứa hẹn một thị trường viễn thông sôi động và cạnh tranh trong thời gian tới.
09:00 | 29/10/2024