1. Tổng quan về mạng thế hệ mới và các nguy cơ an toàn mạng
1.1. Tổng quan mạng thế hệ mới
Sự gia tăng cả về số lượng và chất lượng của các nhu cầu dịch vụ ngày càng phức tạp từ phía khách hàng đã kích thích sự phát triển nhanh chóng của thị trường công nghệ Điện tử – Tin học – Viễn thông. Tuy nhiên, việc phát triển các công nghệ cơ bản liên quan đến các tổng đài chuyển mạch kênh hiện nay là còn quá chậm so với tốc độ thay đổi liên quan đến công nghiệp máy tính. Chuyển mạch kênh là các phần tử có độ tin cậy cao trong kiến trúc PSTN, song chưa đạt được sự tối ưu so với chuyển mạch gói. Khi lưu lượng mạng tăng lên sẽ phải có các giải pháp kỹ thuật, công nghệ mới cho các chuyển mạch trong tương lai.
Giải pháp mới này dựa trên công nghệ gói để chuyển tải chung cả thông tin thoại và dữ liệu. Hiện nay, các nhà cung cấp dịch vụ đang cố gắng hướng tới việc xây dựng một Mạng thế hệ mới (Next Generation Network – NGN) trên đó hội tụ các dịch vụ thoại, số liệu, đa phương tiện trên một mạng duy nhất - sử dụng công nghệ chuyển mạch gói trên mạng xương sống (Backbone Network). Đây là mạng của các ứng dụng mới và các khả năng mang lại lợi nhuận mà chỉ đòi hỏi giá thành thấp.
Mạng thế hệ mới - NGN là một bước phát triển, một xu hướng tất yếu. Tuy nhiên, nó phải tương thích tốt với môi trường mạng sẵn có và phải kết nối hiệu quả với mạng PSTN.
Các phần tử trong mạng NGN bao gồm:
- Softswitch: là phần tử có chức năng điều khiển cuộc gọi, với thành phần tương tác chính là các Media Gateway, và các Access Gateway thông qua các giao thức điều khiển gateway truyền thông như MGCP/H248 MEGACO. Mặt khác nó cũng có khả năng tương tác với mạng H323 và SIP (Session Initiation Protcol), cho phép người sử dụng thực hiện các cuộc gọi PC to Phone, PC to PC, phone to PC.
- SIP Server: Có vai trò chức năng định tuyến các bản tin báo hiệu SIP giữa các SIP client. Nếu trong mạng chỉ có một SIP server thì nó vừa đóng vai trò là Proxy Server, Redirect Server, Location Sever.
- Gatekeeper: cho phép các thuê bao H323 đăng ký, nhận thực, đồng thời giám sát các kết nối Multimedia giữa các đầu cuối H323.
- Signalling Gateway: thực hiện chức năng Gateway báo hiệu
- Media Sever: Cho phép sự tương tác giữa thuê bao và các ứng dụng thông qua thiết bị điện thoại, ví dụ có thể trả lời cuộc gọi, đưa ra một lời thông báo, đọc thư điện tử, thực hiện chức năng của IVR.
- Media Gateway: là thiết bị truyền thông kết nối với mạng chuyển mạch kênh hiện tại và mạng NGN. Nó cung cấp các cổng kết nối trực tiếp với đường trung kế của mạng PSTN và mạng di động, biến đổi các luồng TDM đó thành những gói IP và ngược lại. Các Gateway này hoạt động đơn thuần như một thiết bị kết nối trung gian, được điều khiển bởi Softswitch.
- Access Gateway: là Gateway có thể cung cấp truy cập đa dịch vụ như xDSL, VoDSL, POTS/ISDN....
- IP client: là các thiết bị đầu cuối IP, hỗ trợ các giao thức H323, SIP. Các thiết bị đầu cuối này có thể thực hiện những cuộc gọi Multimedia trong mạng của nó hay gọi thoại ra mạng PSTN thông qua softswitch. Các thiết bị đầu cuối này có thể là IP phone, PBX trên nền IP (Hình 1).
NGN có khả năng cung cấp phạm vi rộng các loại hình dịch vụ, bao gồm: dịch vụ tài nguyên chuyên dụng, dịch vụ lưu trữ và xử lý, dịch vụ trung gian, dịch vụ ứng dụng cụ thể, dịch vụ cung cấp nội dung, dịch vụ interworking dùng để tương tác với các dịch vụ khác, các giao thức hoặc các định dạng khác như chuyển đổi dữ liệu điện tử (EDI) và các dịch vụ bảo dưỡng, vận hành và quản lý các dịch vụ và mạng truyền thông.
1.2. An toàn mạng NGN
Mạng hội tụ yêu cầu các mạng giao tiếp với nhau thông qua các giao thức dùng chung, cho phép trao đổi các bản tin với nhau. Trong trường hợp không sử dụng chung một giao thức thì gateway được sử dụng để dịch giao thức giữa các mạng với nhau. Dưới đây chỉ ra một số kiểu tấn công có thể thực hiện vào mạng NGN.
- Từ chối dịch vụ: Nguy cơ này tấn công vào các thành phần mạng truyền dẫn bằng cách liên tục đưa dồn dập dữ liệu làm cho các khách hàng NGN khác không thể sử dụng được tài nguyên mạng.
- Nghe trộm: Nguy cơ này ảnh hưởng đến tính riêng tư của một cuộc nói chuyện bằng cách chặn bắt thông tin trên đường truyền giữa người gửi và người nhận.
- Giả dạng: Thủ phạm sử dụng một “mặt nạ” để tạo ra một đặc tính giả. Ví dụ, có thể thu được một đặc tính giả bằng cách theo dõi mật mã và ID của khách hàng, bằng cách thao tác khởi tạo tin nhắn hay thao tác địa chỉ vào/ra của mạng.

Các gateway  H.323 hỗ trợ ba cấp độ nhận thực:
- Endpoint (điểm cuối): Kênh RAS sử dụng báo hiệu gateway- to- gatekeeper không phải là kênh bảo mật. Để đảm bảo liên lạc có bảo mật, H.235 cho phép các gateway có một khoá xác thực trong các bản tin RAS của chúng. Khoá này được sử dụng bởi gatekeeper để xác thực điểm nguồn của các bản tin. Ở cấp endpoint, kiểm tra hợp lệ được thực hiện trên tất cả các bản tin từ gateway. Các cryptoToken được kiểm tra hợp lệ bằng cách sử dụng mật khẩu đã cấu hình cho gateway.
- Per- Call (cho mỗi cuộc gọi): Khi gateway  nhận một cuộc gọi qua chặng điện thoại (telephony leg), nó đòi hỏi người dùng cung cấp mã số account và PIN. Hai mã số này chứa trong các bản tin RAS nào  đó  đã gửi từ  điểm cuối để xác thực nguồn gốc của cuộc gọi.
• All (tất cả): Tùy chọn này bao gồm cả hai cấp độ trên. Với tùy chọn này, kiểm tra hợp lệ của cryptoToken trong bản tin  đề nghị thu nhận ARQ (admission request) dựa trên một mã số account và PIN của người dùng đang tạo ra một cuộc gọi. Kiểm tra hợp lệ của các cryptoToken đã gửi trong tất cả các bản tin RAS khác dựa trên mật khẩu đã cấu hình cho gateway.
Ngoài chuẩn H.235, việc đảm bảo an toàn cho H.232 còn được thực hiện tăng cường ở lớp truyền tải nhờ TLS và lớp mạng IPSec.
An toàn giao thức MEGACO/H.248
MEGACO là trung tâm của việc thực hiện giải pháp thoại qua gói VoIP. Nó có thể tích hợp để trở thành sản phẩm như tổng đài trung tâm, máy chủ truy nhập mạng, modem cáp, PBX, điện thoại IP.  
Giao thức MEGACO cung cấp một giải pháp toàn diện cho việc điều khiển các MG. MG sẽ không nhớ được các thông tin của trạng thái cuộc gọi, nó  chỉ cung cấp khả năng kết nối  chéo các dòng media khác nhau dưới sự điều khiển của MGC, và khả năng tách sóng rồi truyền tải các loại tín hiệu khác nhau mà kết hợp một cách tương ứng với các dòng media đó. 
Bản thân giao thức không tồn tại cơ chế đảm bảo an toàn, do đó nó sử dụng các giao thức tầng dưới để đảm bảo an toàn. IPSec được khuyến nghị sử dụng để đảm bảo an toàn khi sử dụng MEGACO.

2.2. An toàn các giao thức điều khiển truyền thong
An toàn TCP/IP
IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP), bao gồm xác thực và mã hoá  cho mỗi gói IP trong quá trình truyền thông tin. IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực
Giao thức IPsec làm việc tại tầng Network Layer – layer 3 của mô hình OSI. Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng truyền tải trở lên. Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP và hầu hết các giao thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của mô hình OSI.
IPsec cung cấp các dịch vụ bảo mật là: Mã hoá quá trình truyền thông tin, đảm bảo tính nguyên vẹn của dữ liệu và xác thực giữa các giao tiếp và chống quá trình replay trong các phiên bảo mật.
Có hai chế độ khi thực hiện IPsec đó là:
- Transport mode: Trong chế độ này, các dữ liệu không được mã hoá hoặc xác thực. Trong quá trình định tuyến, tiêu đề IP không bị chỉnh sửa hay mã hoá. Tuy nhiên, khi authentication header được sử dụng, địa chỉ IP không thể biết được bởi các thông tin đã bị hash (băm). Các lớp ứng dụng và truyền tải thường được bảo mật bởi hàm băm (hash) và chúng không thể chỉnh sửa (ví dụ như port number). Transport mode sử dụng trong tình huống giao tiếp host-to- host.
- Tunnel mode: Trong chế độ này, toàn bộ gói IP (bao gồm cả dữ liệu và tiêu đề) sẽ được mã hoá và xác thực. Nó được đóng gói lại trong một dạng IP packet khác trong quá trình định tuyến của router. Tunnel mode được sử dụng trong giao tiếp network- to- network (hay giữa các routers với nhau), hoặc host- to- network và host- to- host trên internet.
An toàn SS7
Khi hệ thống báo hiệu số SS7 được thiết kế và sử dụng, chỉ có một số công ty điện thoại dùng cho các mạng liên kết quy mô nhỏ khi bảo mật của SS7 không cần quan tâm. Ngày nay, vai trò của SS7 trong mạng thoại chuyển mạch gói và những công nghệ mới khác đang tăng lên, khả năng tấn công vào mạng cũng tăng.
Nghiên cứu gần đây cho thấy, những rủi ro liên quan đến truyền bản tin SS7 bao gồm: Ăn cắp dữ liệu từ các bản tin báo hiệu số 7, Sửa đổi dữ liệu trong các bản tin báo hiệu số 7; Phá vỡ bản tin báo hiệu số 7 để thay đổi một số lệnh vận hành mạng SS7; Phá vỡ bản tin vận hành (bao gồm cả bản tin báo hiệu số 7 được gửi trên các kênh điều khiển) để thay đổi cấu hình, chất lượng hay độ tin cậy của mạng SS7; Phá hoại về mặt vật lý hoặc phá hoại các nút báo hiệu hay các kết nối (link) báo hiệu.
Những rủi ro này hiện vẫn tồn tại vì giao thức báo hiệu SS7 không có chức năng bảo mật hoàn chỉnh bên cạnh bảo mật phần vật lý và phần điều hành. Hai kỹ thuật sử dụng để tăng cường độ an toàn khi sử dụng SS7 hiện nay là kỹ thuật sàng lọc lưu lượng và kỹ thuật giám sát lưu lượng.

Kết luận
An toàn mạng là một vấn đề phức tạp, giải pháp bảo an toàn với VoIP và đa phương tiện phải được xem xét từ nhiều góc độ. Trong những năm tới đây, cùng với một số lượng lớn những sản phẩm thương mại NGN được tung ra thị trường, việc NGN phải chịu những cuộc tấn công bất hợp pháp hoàn toàn có khả năng gia tăng. Do vậy, xu hướng tích hợp năng lực an toàn mạng vào trong thiết kế và vận hành hệ thống sẽ tiếp tục phát triển và an toàn mạng cần phải trở thành một phần tích hợp của mọi giải pháp và tiến trình.