Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 28 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
28
Dung lượng
1,66 MB
Nội dung
BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐỒN BƯU CHÍNH VIỄN THƠNG VIỆT NAM HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG VÕ XUÂN NAM NGHIÊN CỨU ÁP DỤNG KHUYẾN NGHỊ X.805 ĐỂ ĐẢM BẢO AN TOÀN CHO DỊCH VỤ HSI TRÊN NGN CHUYÊN NGÀNH: TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH MÃ SỐ: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SỸ KỸ THUẬT Người hướng dẫn: PGS.TS Hoàng Minh HÀ NỘI - NĂM 2010 Luận văn hồn thành tại: Học viện Cơng nghệ Bưu Viễn thơng Tập đồn Bưu Viễn thông Việt Nam Người hướng dẫn khoa học: ……………… …………………………………… Phản biện 1: …………………………………………………… …………………………………………………… Phản biện 2: …………………………………………………… …………………………………………………… Luận văn bảo vệ trước hội đồng chấm luận văn Học viện Cơng nghệ Bưu Viễn thông Vào lúc: ngày tháng năm…… Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Hiện mạng NGN VNPT triển khai cung cấp số dịch vụ với mục tiêu tiến tới hội tụ hoàn toàn mạng với Khi cung cấp dịch vụ cho khách hàng vấn đề đảm bảo an tồn cho mạng phải tính đến từ ngày đầu Khác với mạng truyền thống, chuyển lên mạng sử dụng IP vấn đề an tồn bảo mật cho hệ thống mạng phức tạp nhiều, vấn đề đặt làm để phân tách cô lập mạng để tránh xảy cố để nhanh chóng phát lỗ hổng phải đặt lên hàng đầu Dựa vào khuyến nghị X.805, dựa trạng chế hoạt động dịch vụ, dựa vào dịch vụ cung cấp mạng NGN VNPT, luận văn đưa khuyến nghị cho dịch vụ VPN L2 Trong khuôn khổ luận văn này, tác giả tập trung chủ yếu vào vấn đề sau: Chương 1: Tổng quan, phân tích mơ hình tổ chức khai thác dịch vụ mạng NGN VNPT nhìn từ góc độ kiến trúc mạng, dịch vụ, quản lý, thiết bị nhà cung cấp Chương 2: Áp dụng khuyến nghị X.805 ITU cho phương án đảm bảm an toàn mạng dịch vụ mạng NGN VNPT, phân tích khuyến nghị X.805, đánh giá ưu nhược điểm X.805, miền an ninh, bổ sung cần thiết cho X.805 Chương 3:Dựa khuyến nghị X.805 để đề xuất giải pháp an ninh cho dịch vụ VPN L2 mạng NGN VNPT CHƯƠNG 1: TỔNG QUAN VỀ MƠ HÌNH TỔ CHỨC VÀ KHAI THÁC DỊCH VỤ TRÊN NGN VÀ VẤN ĐỀ AN NINH MẠNG 1.1 Mạng hệ - NGN Từ tình hình mạng viễn thơng bùng nổ nhu cầu dịch vụ băng rộng, việc xây dựng mạng cung cấp đa loại hình dịch vụ tốc độ cao băng thông lớn vấn đề tất yếu nhà khai thác mạng NGN tập hợp ưu điểm công nghệ mạng có, tận dụng băng thơng rộng lưu lượng truyền tải cao mạng gói để đáp ứng bùng nổ nhu cầu lưu lượng thoại truyền thông nhu cầu truyền thông đa phương tiện người dùng đầu cuối Điện thoại IP ví dụ điển hình để minh họa cách tín hiệu thoại chuyển đổi thành gói liệu truyền IP mạng NGN Có thể nói truyền thoại gói ưu điểm lớn mà NGN thực hẳn so với công nghệ mạng trước Đặc điểm NGN cấu trúc phân lớp theo chức phân tán tài nguyên mạng Điều làm cho mạng mềm hóa sử dụng giao diện mở API để kiến tạo dịch vụ mà không phụ thuộc nhiều vào nhà cung cấp thiết bị dịch vụ mạng Kiến trúc mạng NGN tổ hợp pha trộn mạng có có thêm phần tử để cung cấp dịch vụ cho người dùng Thực tế vấn đề an ninh mạng đề cập quan tâm thiết lập mạng Song song với phát triển hệ thống mạng nguy an ninh ngày nhiều lên nhà mạng phải đầu tư nhiều cho vấn đề Thực tế xây dựng hệ thống mạng IP vấn đề cần phải quan tâm là: - Tính sẵn sàng: thực tế mạng IP TE (Traffic Engineering) giải vấn đề đảm bảo tính sẵn sàng cao cho kết nối quan trọng - Vấn đề an toàn bảo mật: khởi tạo thiết lập phương thức bảo vệ cho hệ thống mạng đảm bảo dịch vụ thông suốt Trên thực tế 90% lỗ hổng nhà cung cấp thiết bị hỗ trợ sẵn, vấn đề tận dụng tối đa chức - Vấn đề thứ phải quan tâm QoS thực phân mức ưu tiên chuyển tải mạng theo mức độ ưu tiên định nghĩa trước Thực tế dịch vụ lưu lượng quan trọng điều khiển, thoại, video phải có mức độ cao so với dịch vụ khác HSI Bản thân kiến trúc mạng NGN phức tạp, hạ tầng mạng lõi IP (một mạng với nhiều vấn đề an ninh) cịn có nhiều loại mạng truy nhập khác nhiều điểm liên kết nối bên (với mạng Internet, với nhà cung cấp dịch vụ khác, với nhà cung cấp dịch vụ thứ 3…), thời gian ngắn bao hàm hết tất phân đoạn mạng, việc thực cần theo lộ trình làm tuần tự, ưu tiên mạng truy nhập có kết nối với NGN điểm kết kết nối ngồi thời gian tới 1.2 Mơ hình tổ chức khai thác dịch vụ mạng NGN VNPT Trong tài liệu đề cập đến nét khái quát mơ hình tổ chức quy trình khai thác mạng VNPT Nếu nhìn từ góc độ kiến trúc, mạng NGN VNPT có kiến trúc sau: Mạng NGN VNPT nhìn từ góc độ kiến trúc Hình 1.1 Về mơ hình tổ chức phân công chức nhiệm vụ đơn vị Tập đồn thực dần hồn thiện quy trình, tương lai có mơ sau: Dịch vụ VoIP VTN quản lý Phần truy nhập hạ tầng thiết bị Metro VTNP tỉnh quản lý Dịch vụ HSI Mạng chuyển tải băng rộng Nội hạt Liên tỉnh Giao diện điều khiển (logic) Hình 1.2 Dịch vụ IPTV VASC quản lý VPN Mạng truy nhập Khách hàng Dịch vụ VOIP Dịch vụ IPTV Dịch vụ VPN VTN VDC quản lý Dịch vụ HSI VDC quản lý Mạng chuyển tải băng rộng VTN quản lý Cấu trúc mạng NGN xét từ góc độ mơ hình tổ chức Cấu trúc mạng NGN bao gồm lớp chức năng, lớp truy nhập, lớp chuyển tải, lớp điều khiển, lớp ứng dụng/dịch vụ lớp quản lý Lớp dịch vụ Softswitch Chuyển mạch kênh Lớpkhiển chuyển tải Media Gateway Lớp truy nhập HSI Hình 1.3 Lớp n lý Lớp điều VOIP IPTV Cấu trúc mạng NGN phân theo lớp chức 1.3 Tóm tắt chương Như chương giới thiệu chung mạng NGN, khảo sát qua mạng viễn thơng có qua có đánh giá vấn đề an toàn bảo mật Trong chương trình bầy mơ hình tổ chức khai thác dịch vụ mạng NGN VNPT, nhìn từ góc độ kiến trúc mạng, dịch vụ cung cấp, mơ hình tổ chức quản lý, thiết bị sử dụng mạng NGN VNPT tổng hợp cập nhật lại từ nhiều nguồn tài liệu khác CHƯƠNG 2: ÁP DỤNG KHUYẾN NGHỊ X.805 CHO PHƯƠNG ÁN ĐẢM BẢO AN TOÀN MẠNG VÀ DỊCH VỤ TRÊN MẠNG NGN CỦA VNPT 2.1 Đặt vấn đề Hiện nói chuẩn cơng nghệ an ninh NGN thu hút nhiều quan tâm nhiều tổ chức nghiên cứu, song đa số nằm dạng tài liệu nghiên cứu Việc áp dụng trực tiếp chuẩn công nghệ để xây dựng nên giải pháp an ninh khó khăn Chính lý việc nghiên cứu tìm hiểu lựa chọn chuẩn cơng nghệ để áp dụng làm framework việc xây dựng giải pháp an ninh cho kiến trúc mạng NGN tương lai VNPT vấn đề quan trọng 2.2 Hiện trạng nghiên cứu an ninh mạng NGN tổ chức chuẩn hóa Trong nước công việc nghiên cứu liên quan đến lý thuyết liên quan đến xây dựng phương án thực tế nhằm đảm bảo an tồn cho mạng NGN cịn hạn chế Ngồi nước hãng tập trung nhiều vào việc nghiên cứu an ninh cho NGN, chủ đề nghiên cứu an ninh cho NGN thực đa dạng, nhiên chuẩn cơng nghệ hồn chỉnh giải đến vấn đề cụ thể an ninh NGN gần chưa có 2.3 Lựa chọn framework an ninh Khuyến nghị X.805 ITU Kiến trúc an ninh từ đầu cuối đến đầu cuối cho hệ thống truyền thông tảng cho việc nghiên cứu vấn đề an ninh mạng gói tảng để xây dựng khuyến nghị khác an ninh từ đầu cuối đến đầu cuối Mặc dù chuẩn công nghệ áp dụng cách tương đối tổng quát cho cơng nghệ mạng bên (khơng phải với mục đích sử dụng cho riêng mạng NGN) chưa có tài liệu cơng bố việc áp dụng chuẩn cho mạng NGN Qua trình nghiên cứu tài liệu chuẩn vấn đề an ninh số tổ chức đó, chúng tơi xác định sử dụng khuyến nghị để xây dựng sở lý thuyết cho việc xây dựng giải pháp an ninh đối vói mạng NGN Chính lý sâu phân tích nội dung khuyến nghị X.805, làm rõ quy trình cách thức áp dụng chúng 2.4 Phân tích khuyến nghị X.805 1.2.1 Đánh giá ưu nhược điểm X.805 Ưu điểm: Là Framework rõ ràng bản, đưa đầy đủ định nghĩa nguy giải pháp tổng quát tương ứng thuận lợi cho việc xây dựng giải pháp an ninh end-to-end cho đối tượng Nhược điểm: Chưa rõ loại nguy xuất phát từ bên hay từ tương tác bên Chỉ áp dụng đảm bảo an ninh theo kiến trúc end-to-end nên bỏ sót đối tượng an ninh nội đối tượng Như X.805 có hiệu đối tượng đầu vào phân tích kỹ thành đối tượng nhỏ đảm bảo không bỏ sót giao diện tiềm ẩn nguy 1.2.2 Miền an ninh Bản thân miền an ninh khái niệm không nêu khuyến nghị X.805, khơng thành phần an ninh kiến trúc an ninh mà khuyến nghị X.805 đưa ra, đề cập gần kiến trúc an ninh 3GPP hay TISPAN Sở dĩ lựa chọn đưa khái niệm vào trình bày phần giải pháp an ninh thực tế dựa khái niệm này, theo ý kiến chủ quan việc thực kỹ thuật phân miền an ninh làm cho việc phân tích vấn đề an ninh trở nên bớt phức tạp nhiều so với áp kiến trúc an ninh đầy đủ đến thực thể chức mạng, đồng thời làm cho giải pháp an ninh đơn giản Khái niệm miền an ninh hiểu tập phần tử cần có độ an toàn tương đương, quản trị nhà quản lý Một mạng phân chia thành nhiều miền an ninh, miền bao gồm vài phần tử, miền phân cách phần tử biên, có nghĩa lưu lượng liên miền phải qua phần tử biên đặt miền Phần tử biên thực số biện pháp an ninh chung cho phần tử bên Khi thực chế phân miền an ninh sử dụng phần tử biên khắc phục vấn đề gặp phải nói áp dụng phần tử riêng biệt Đó tập trung vào thực chức an ninh yêu cầu phần tử biên có lực xử lý chức an ninh lớn, tăng cường áp dụng biện pháp an ninh cho toàn miền nhờ việc thực chức an ninh phần tử Mặt khác tránh chồng lặp việc phải xử lý biện pháp an ninh nhờ việc đẩy biện pháp an ninh chung cần áp dụng cho phần tử phần tử biên 2.5 2.5.1 Các bổ sung cho X.805 Bổ sung phân loại nguy X.805 đưa nguy chưa rõ nguồn gốc nguy này, để dễ nhìn nhận thuận tiện cho việc đánh giá mức độ quan trọng, nguy cần phải phân loại thành: Nguy nội bộ: Là loại nguy xảy đối tượng mạng hoạt động độc lập, khơng có tương tác với đối tượng khác Trên thực tế loại nguy có nguồn gốc từ hoạt động liên quan đến trình OA&M Nguy từ bên ngồi: Là loại nguy xảy đối tượng mạng tham gia vào hoạt động tương tác với đối tượng khác 12 Cáp thiết bị người sử dụng switch thu gom thường cáp quang Trong cấu hình sử dụng FTTx OLT đóng vai trị switch thu gom Miền an ninh thiết bị Access Cus A Site L2Switch OLT Miền an ninh thiết bị MAN-E Miền an ninh thiết bị Access UPE L2Switch OLT UPE Cus A Site Ethernet 802.1q QinQ 802.1q VLL TE GPON FE/GE GE FE/GE GPON Intra Province E-LINE Topology Hình 3.1 Mơ hình cung cấp dịch vụ VPN L2 – ELINE nội tỉnh 3.1.2 Miền an ninh thiết bị Access Các thiết bị thực tế miền bao gồm: Các switch thu gom (L2SW) OLT Cáp quang cho thuê bao 3.1.2.1 Bước 1: Ma trận lớp-mặt phẳng để phát giao diện Mặt phẳng an Mặt phẳng an Mặt phẳng an ninh người ninh quản lý ninh điều khiển sử dụng Lớp an ninh ứng dụng Lớp an ninh dịch (1) Giao diện với (2) Giao diện (3) Giao diện Access vụ hệ thống quản lý UPE miền Switch với miền thiết bị Lớp an ninh sở hạ thiết bị Access MANE người sử dụng tầng Switch Các giao diện: 13 - Giao diện với hệ thống quản lý thiết bị Access Switch giao diện nội không cần xét đến - Giao diện với UPE miền MANE giao diện nội không xét đến - Giao diện downlink Access Switch với miền thiết bị khách hàng giao diện quan trọng cần phải xét 3.1.2.2 Bước 2: Xử lý an ninh cho giao diện với miền thiết bị khách hàng Bảng 3.1 Tổng hợp giao thức giao diện với miền thiết bị khách hàng Lớp (OSI) Giao thức Cáp quang Ethernet, 802.1D STP(Spanning tree protocol), CDP (Cisco Dicovery Protocol), ARP(Address Resolution Protocol), 802.1Q (ISL) Trunking , Ethernet 2,5 802.1Q Bảng 3.2 Bảng tổng hợp nguy Mã số Loại DES_ELI_NT_A_W Destruction Lớp Giao thức Nguy Giải pháp (OSI) Lớp ire_01 Cáp sợi Đứt cắt trộm cáp quang Access Control, Avaiability CRP_ELI_NT_A_S Corruption Lớp STP Giả mạo Root Bride Corruption Lớp STP Phát tràn tin Access cấu Spanning Control Phát tràn tin Access thông báo thay đổi Control TP_01 CRP_ELI_NT_A_S Access Control TP_02 hình Tree CRP_ELI_NT_A_S Corruption Lớp STP TP_03 Spanning Tree RMV_ELI_NT_A_C Removal Lớp CDP Đánh cắp thông tin Access 14 cấu hình Layer DP_01 Control Switch (L2SW) CRP_ELI_NT_A_C Corruption Lớp Cạn kiệt tài nguyên Access nhớ L2SW Control Đầu độc nhớ ARP Access Cache L2SW Control 802.1Q Tấn công Vlan khách Access Trunking hàng Control 802.1Q Tấn công Vlan khách Access Tunneling hàng Control CDP DP_01 CRP_ELI_NT_A_A Corruption Lớp ARP RP_01 CRP_ELI_NT_A_1 Corruption Lớp Corruption Lớp Q_01 CRP_ELI_NT_A_1 Q_02 3.1.2.2.1 Đứt cắt trộm cáp Kịch bản: - Cáp đứt cố vơ tình - Cáp đứt có kẻ phá hoại Đối chiếu vào bảng Quan hệ biện pháp an ninh nguy an ninh, với loại nguy nguy phá hủy áp dụng biện pháp an ninh điều khiển truy nhập Giải pháp: - Cần có biện pháp cách ly cáp tránh đứt đoạn (ví dụ, hạ ngầm cáp) - Cần có cáp rỗi dự phịng trường hợp đứt cáp chưa xử lý kịp 3.1.2.2.2 Giả mạo Root Bride CustomerB site1 L2S Root L2S CustomerA site1 Hacker UPE Root Metro Access BPDU (Rogue Root) L2S Hình 3.2 Kịch giả mạo Root Bride CustomerC site1 15 Kịch bản: - Kịch xảy VTT triển khai kết chuỗi nhiều L2SW đến UPE, có dùng STP - Hacker mạng khách hàng dùng phần mềm giả lập Switch gửi đến L2SW tin BPDU nhằm bầu cử Switch giả lập làm Root Bridge Nếu việc bầu cử thành công, lưu lượng mạng từ L2SW gửi đến Switch giả lập Đối chiếu vào bảng quan hệ biện pháp an ninh nguy an ninh ta có giải pháp - Ngăn chặn tin BPDU gửi đến L2SW phía giao diện khách hàng (BPDU Filtering) - Bảo vệ Root Bridge, không cho Switch giả lập khách hàng làm Root Bridge (Root Guard) 3.1.2.2.3 Phát tràn tin cấu hình Spanning Tree Kịch bản: - Kịch xảy VTT triển khai kết chuỗi nhiều L2SW đến UPE, có dùng STP - Hacker mạng khách hàng dùng phần mềm giả lập Switch gửi tới L2SW tin cấu hình STP với tần xuất lớn Các tin có địa MAC nguồn, Root ID, Root Path Cost, Bridge IP, Port ID sinh ngẫu nhiên với mục đích giả lập hàng nghìn thiết bị kết nối vào mạng tham gia STP L2SW phải tiêu tốn nhiều tài nguyên CPU, nhớ RAM để xử lý tin này, dẫn đến bị treo (Crash) khởi động lại (Reboot) Đối chiếu vào bảng quan hệ biện pháp an ninh nguy an ninh ta có giải pháp 16 - Ngăn chặn tin BPDU gửi đến L2SW phía giao diện khách hàng (BPDU Filtering) - Không cho phép tin BPDU phía giao diện khách hàng ảnh hưởng đến STP cấu hình cho L2SW (BPDU Guard) - Giới hạn tốc độ gửi gói tin BPDU đến L2SW phía giao diện khách hàng (Layer PDU Rate Limiting) 3.1.2.2.4 Phát tràn tin thông báo thay đổi Spanning Tree Kịch bản: - Kịch tương tự kịch gửi tin cấu hình STP với tần xuất lớn - Hacker mạng khách hàng gửi đến L2SW tin TCN thông báo thay đổi Topology mạng với tần xuất lớn Các L2SW phải tiêu tốn nhiều tài nguyên CPU, RAM để xác định lại Root Bridge, dẫn đến bị treo (Crash) khởi động lại (Reboot) Giải pháp: - Tương tự nguy phát tràn tin cấu hình spanning tree 3.1.2.2.5 Đánh cắp thơng tin cấu hình Access Switch (L2SW) Kịch bản: - Kịch xảy VTT dùng L2SW Cisco hãng khác có dùng giao thức CDP (Cisco Dicovery Protocol) - Hacker trọng mạng khách hàng dùng phần mềm giả lập thiết bị Cisco gửi tin thăm dò thiết bị Cisco L2SW nhận tin gửi trả lời tin 17 có trường thơng tin như: Địa IP (IP Address), tên miền VTP (VTP domain) Đối chiếu vào bảng quan hệ biện pháp an ninh nguy an ninh ta có giải pháp: - Khơng kích hoạt giao thức CDP Access Switch 3.1.2.2.6 Cạn kiệt tài nguyên nhớ L2SW Kịch bản: - Kịch xảy VNPT tỉnh/thành dùng Access Switch Cisco - Hacker trọng mạng khách hàng dùng phần mềm giả lập thiết bị gửi tới Access Switch tin giả mạo CDP với tần xuất lớn Các tin có giá trị trường Device ID, IP Address, Port ID khác với mục đích giả lập nhiều thiết bị Cisco tham gia vào mạng IP-DSLAM phải tiêu tốn nhiều tài nguyên nhớ RAM để xử lý tin này, dẫn đến bị lỗi khởi động lại Đây lỗ hổng cho kịch cơng từ chối dịch vụ Đối chiếu vào bảng quan hệ biện pháp an ninh nguy an ninh ta có giải pháp: - Khơng kích hoạt giao thức CDP Access Switch 3.1.2.2.7 Đầu độc nhớ ARP Cache Access Switch Kịch bản: - Kịch xảy địa IP Access Switch bị lộ (ví dụ thơng qua CDP) - Hacker mạng khách hàng dùng phần mềm giả lập gói tin ARP (ví dụ Arpspoof) gửi đến Access Switch tin ARP Reply Mục đích cơng làm sai lệch ánh xạ 1-1 địa IP địa MAC tương ứng 18 nhớ ARP Cache Access Switch, làm tràn nhớ ARP Cache Đối chiếu vào bảng quan hệ biện pháp an ninh nguy an ninh ta có giải pháp: - Access Switch nhận tin ARP Reply giao diện cấu hình tin cậy (Dynamic ARP Inspection) 3.1.2.2.8 Tấn công VLAN khách hàng CustomerB site1 UPE L2S CustomerA site1 Metro Access Auto Trunking Hacker Advertisment Request Advertisment Reply Vlans information will be modified Sumary Advertisment Subset Advertisment Joint Hình 3.3 Kịch cơng VLAN khách hàng Kịch bản: - Nếu giao diện phía khách hàng Access Switch có tính Auto Trunking, Switch khách hàng có khả gia vào VLAN khác (thơng suốt VLan) Hacker gửi gói tin VTP đến port cấu hình trunking giao diện khách hàng Access Switch với giá trị trường VTP revision numbers lớn nhằm thay đổi thông tin Vlan khách hàng Đối chiếu vào bảng quan hệ biện pháp an ninh nguy an ninh ta có giải pháp: - Khơng kích hoạt chức Auto Trunking giao diện phía khách hàng Access Switch 19 - Cấu hình Vlan Trunking Protocol (VTP) chế độ transparent Access Switch - Tạo riêng Vlan Access Switch với cổng Trunk tách biệt với Vlan khách hàng 3.1.2.3 Bước 3: Đưa Yêu cầu an ninh 3.1.2.3.1 - Đối với đường dây thuê bao Cần có biện pháp cách ly cáp tránh đứt đoạn (ví dụ hạ ngầm cáp, trang bị loại cáp có gia cố để chịu va đập) - Cần có phương án cáp dự phịng trường hợp đứt cáp chưa xử lý kịp 3.1.2.3.2 - Yêu cầu Access Switch Access Switch nhận tin ARP Reply giao diện cấu hình tin cậy - Khơng kích hoạt giao thức CDP Access Switch - Ngăn chặn tin BPDU gửi đến Access Switch từ phía giao diện khách hàng (BPDU Filtering) - Bảo vệ Root Bridge, không cho Switch giả lập khách hàng làm Root Bridge (Root Guard) - Không cho phép tin BPDU phía giao diện khách hàng ảnh hưởng đến STP cấu hình cho Access Switch (BPDU Guard) - Cấu hình Vlan Trunking Protocol (VTP) chế độ transparent Access Switch - Tạo riêng Vlan L2S với cổng Trunk tách biệt với Vlan khách hàng 3.1.2.4 Bước 4: Đưa khuyến nghị thiết bị phụ trợ - Không cần thiết sử dụng thiết bị an ninh phụ trợ trường hợp 20 3.1.2.5 Bước 5: Tổng hợp giải pháp Bộ Yêu cầu an ninh cho đường cáp quang thuê bao dịch vụ ELINE nội tỉnh ELI_NT_A Miền thiết bị người sử dụng Thiết bị khách hàng 802.1Q/GPON/cáp quang Bộ Yêu cầu an ninh cho L2SW/OLT cho dịch vụ ELINE nội tỉnh L2SW Các giao diện chưa xét Hình 3.4 Mơ hình giải pháp an ninh cho miền Access dịch vụ VPN L2 ELINE nội tỉnh 3.1.3 Miền thiết bị MANE Miền khơng có giao diện trực tiếp với thiết bị khách hàng nên không cần phải xét đến 3.1.4 Miền thiết bị IPCore dành riêng Đối với dịch vụ E-LINE nội tỉnh miền không tham gia cung cấp dịch vụ Như bỏ qua mà không cần xét đến 3.2 Dịch vụ E-LINE liên tỉnh 3.2.1 - Mơ hình cung cấp dịch vụ Phần truy nhập: Cấu hình phần mạng truy nhập dịch vụ tương tự phần tương ứng dịch vụ ELINE nội tỉnh - Phần mạng lõi: Sử dụng IPCore VN2 VNPT kết nối o VLL khơng có đường dự phịng 21 o VPLS có dự phịng, SR phải học MAC khách hàng Miền thiết bị Access L2SW OLT Cus A Site Miền thiết bị MAN-E UPE PE AGG Miền thiết bị dành riêng Miền thiết bị MAN-E SR PE AGG SR Miền thiết bị Access L2SW OLT UPE Cus A Site SR phải học MAC VN2 cấu hình VPLS để dự phịng Ethernet 802.1q QinQ VLL 802.1q VLL/VPLS VLL 10GE GE TE ADSL FE/GE GE TE GE GE FE ADSL Inter Province E-Line Topology Hình 3.5 Mơ hình cung cấp dịch vụ VPN L2 – ELINE liên tỉnh 3.2.2 Miền an ninh thiết bị Access Có thể thấy, phân chia theo quy mô địa lý giao diện miền Access dịch vụ ELINE liên tỉnh tương tự trường hợp dịch vụ ELINE nội tỉnh Như vậy, hoàn toàn sử dụng kết X.805 cho miền an ninh Access dịch vụ ELINE nội tỉnh cho miền an ninh Access dịch vụ ELINE liên tỉnh 3.2.3 Miền an ninh thiết bị MANE Miền giao diện trực tiếp với thiết bị khách hàng nên không cần xét đến 3.2.4 Miền an ninh thiết bị IPCore Thiết bị thuộc miền SR nằm biên miền thiết bị IPCore Trong trường hợp VN2 cấu hình VPLS để dự phịng, SR phải học MAC switch khách hàng 22 3.2.4.1 Bước 1: Ma trận lớp-mặt phẳng để phát giao diện Mặt phẳng an ninh Mặt phẳng an ninh Mặt phẳng an ninh quản lý điều khiển người sử dụng Lớp an ninh (1) Giao diện với hệ (2) Giao diện UPE (3) Giao diện SR với dịch vụ thống quản lý thiết bị miền MANE miền thiết bị người sử Lớp an ninh sở SR Lớp an ninh ứng dụng dụng hạ tầng 3.2.4.2 Bước 2: Xử lý an ninh cho giao diện Bảng 3.10 Bảng tổng hợp giao thức Lớp (OSI) Giao thức Layer Ethernet Bảng 3.11 Bảng tổng hợp nguy Mã số Loại Lớp Giao thức Giải pháp Nguy (OSI) CRP_ELI_NT_A_E Corruption (dự kiến) Lớp Ethernet th_01 Giả mạo địa Access MAC làm tràn Control bảng CAM Nguy CRP_ELI_LT_S_Eth_01 CustomerA site1 Hacker IP DSLAM CAM Êthernet (Source MAC X, Y ) Port MAC X Y CAM Overlapping ………… Hình 3.6 Mơ hình cung cấp dịch vụ VPN L2 - ELINE liên tỉnh Kịch công: - Hacker mạng khách hàng gửi đến SR tin Ethernet có địa MAC nguồn liên tục thay đổi (giả mạo) 23 - Trong trường hợp SR có học địa MAC nguồn tin Ethernet từ mạng khách hàng gửi đến, bảng CAM (Content Address Memory) SR bị tràn khoảng thời gian ngắn với hình thức cơng giả mạo địa MAC - Khi bảng CAM SR bị tràn, thông thường SR gửi quảng bá (Broadcast) tin Ethernet nhận tất cổng phía giao diện với khách hàng Giải pháp CRP_ELI_LT_S_Eth_01_AC_01 - Trường hợp SR phải học địa MAC nguồn tin Ethernet từ mạng khách hàng, SR PHẢI cấu hình danh sách giới hạn địa MAC nguồn chấp nhận 3.2.4.3 Bước 4: Đưa yêu cầu an ninh Đối với thiết bị SR - Trong trường hợp cấu hình VPLS VN2 để đảm bảo dự phòng cho dịch vụ ELINE liên tỉnh, SR tham gia cung cấp dịch vụ PHẢI cấu hình danh sách giới hạn địa MAC nguồn chấp nhận để tránh tràn bảng CAM 3.2.4.4 Bước 5: Đưa khuyến nghị thiết bị an ninh phụ trợ Khơng có 24 3.2.4.5 Bước 6: Tổng hợp giải pháp cho miền ELI_LT_S Ethernet Thiết bị khách hàng SR Bộ Yêu cầu an ninh cho SR tham gia cung cấp dịch vụ ELINE liên tỉnh Hình 3.7 Tổng hợp giải pháp cho miền cung cấp dịch vụ VPN L2 ELINE liên tỉnh 3.2.5 Miền an ninh thiết bị dành riêng Hiện khơng thấy có thiết bị thuộc miền nên không xét đến 3.2.6 Tổng hợp giải pháp an ninh cho dịch vụ Giải pháp an ninh cho dịch vụ bao gồm: - Bộ yêu cầu an ninh dành cho thiết bị L2SW kết cuối giao diện 802.1Q từ phía thiết bị khách hàng - Bộ yêu cầu an ninh cho thiết bị SR tham gia cung cấp dịch vụ ELINE liên tỉnh Bộ Yêu cầu an ninh cho đường cáp quang thuê bao dịch vụ ELINE nội tỉnh ELI_NT_A Miền thiết bị người sử dụng Thiết bị khách hàng Bộ Yêu cầu an ninh cho Access Switch cho dịch vụ ELINE nội tỉnh 802.1Q/GPON/cáp quang L2SW Êthernet ELI_LT_IPCore SR Bộ Yêu cầu an ninh cho SR tham gia cung cấp dịch vụ ELINE liên tỉnh Hình 3.8 Tổng hợp giải pháp an ninh cho dịch vụ VPN L2 - ELINE liên tỉnh 25 3.3 Tóm tắt chương Trong chương đưa giải pháp nhằm đảm bảo an ninh mạng từ đầu cuối đến đầu cuối cho dịch vụ VPN L2 với trường hợp cụ thể dịch vụ E-LINE nội tỉnh E-LINE liên tỉnh với thông tin cụ thể gồm mơ hình cung cấp dịch vụ, miền an ninh cho thiết bị truy nhập, MAN E IP core Áp dụng quy trình xây dựng giải pháp đề xuất chương để triển khai áp dụng cho dịch vụ E-LINE nội tỉnh E-LINE liên tỉnh qua đưa được: - Bộ yêu cầu an ninh đường cáp thuê bao dịch vụ ELINE nội tỉnh sử dụng cáp quang - Bộ yêu cầu an ninh cho Access Switch cho dịch vụ ELINE nội tỉnh - Bộ yêu cầu an ninh SR tham gia cung cấp dich vụ ELINE liên tỉnh KẾT LUẬN & KHUYẾN NGHỊ Với mục tiêu đưa nghiên cứu áp dụng khuyến nghị X.805 để đảm bảo an toàn mạng, dịch vụ mạng NGN VNPT áp dụng cụ thể cho dịch vụ VPN L2 NGN ELINE nội tỉnh ELINE liên tỉnh, luận văn thực nội dung sau: Phân tích trạng mạng viễn thơng VNPT, kiến trúc mạng NGN với góc nhìn theo mơ hình quản lý, theo thiết bị, theo dịch vụ mạng để từ xây dựng nên quy trình bảo đảm bảo an ninh mạng Phân tích cách thức áp dụng X.805 cơng cụ để phân tích tìm giải pháp an tồn bảo mật cho hệ thống thông tin áp dụng cho mạng băng rộng VNPT 26 Phân tích trạng nghiên cứu an ninh NGN tổ chức chuẩn hóa lựa chọn framework dựa khuyến nghị X.805 để áp dụng cho mạng NGN Đề xuất việc phân rã đối tượng mạng thành đối tượng nhỏ áp dụng X.805 bước cần thiết để phát đầy đủ nguy giảm thiểu độ phức tạp xử lý trình xây dựng giải pháp an ninh Đề xuất quy trình triển khai khuyến nghị X.805 Khuyến nghị - Việc triển khai giải pháp an toàn cho hệ thống mạng NGN quan trọng tới VNPT thực việc hợp mạng di động băng rộng sử dụng chung hạ tầng Việc triển khai giải pháp phải trình liên tục để đảm bảo lỗ hổng phát xử lý - Các nhà khai thác mạng phải có đội ngũ lên kế hoạch để thường xuyên khảo sát đánh giá nhằm tìm lỗ hổng bảo mật mạng - Cần có phương án để quản lý lưu lượng từ thiết bị nhà cung thứ hệ thống IPTV, nhà cung cấp dịch vụ khác - Đảm bảo nhà khai thác không trở thành nơi bắt nguồn cho hỗ hổng bảo mật - Phải xây dựng quy định để bảo vệ hạ tầng mạng nhà khai thác mạng, mối đe dọa bắt nguồn từ nơi - từ phía khách hàng, từ người bên mạng Qua việc thực luận văn này, thấy cần phải tiếp tục triển khai áp dụng khuyến nghị X.805 với dịch vụ khác IPTV, VoIP, VPN Layer 3, IPTV, dựa nguy giải pháp xác định, phối hợp với nhà cung cấp thiết bị để đề xuất câu lệnh chi tiết loại thiết bị ... bảm an toàn mạng dịch vụ mạng NGN VNPT, phân tích khuyến nghị X. 805, đánh giá ưu nhược điểm X. 805, miền an ninh, bổ sung cần thiết cho X. 805 Chương 3:Dựa khuyến nghị X. 805 để đề xuất giải pháp an. .. LUẬN & KHUYẾN NGHỊ Với mục tiêu đưa nghiên cứu áp dụng khuyến nghị X. 805 để đảm bảo an toàn mạng, dịch vụ mạng NGN VNPT áp dụng cụ thể cho dịch vụ VPN L2 NGN ELINE nội tỉnh ELINE liên tỉnh, luận... trình cho việc triển khai khuyến nghị vào mạng thực CHƯƠNG 3: ÁP DỤNG KHUYẾN NGHỊ X. 805 CHO CÁC MIỀN AN NINH CỦA DỊCH VỤ VPN TRÊN MẠNG NGN CỦA VNPT (DỊCH VỤ E-LINE) Chương thực việc áp dụng khuyến