3, Tấn cơng trì hỗn giải phóng địa chỉ IP ngƣợc trở lại tớ
3.3.4.2Bảo mật mạng rộng VPN và bảo mật dựa trên đƣờng biên VPN
Bảo mật mạng rộng VPN và bảo mật dựa trên đƣờng biên VPN tích hợp chức năng VPN vào hạ tầng mạng 3G theo một mô hình bảo mật có sự trợ giúp của mạng. Ở cả hai phƣơng pháp này, máy di động MS khởi đầu một kết nối VPN đã đƣợc thỏa thuận và thiết lập bởi hạ tầng mạng, do đó giảm thiểu tác động đến các ngƣời sử dụng đầu cuối và thiết bị của họ. Các nhà khai thác mạng cung cấp các chức năng bảo mật, đƣợc chia sẻ giữa các thuê bao trong mạng nhƣ là một dịch vụ giá trị gia tăng.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Để triển khai bảo mật mạng rộng VPN và bảo mật dựa trên đƣờng biên VPN, máy di động MS phải đƣợc phát triển thêm chức năng bảo mật client (SecC) và mạng lõi UMTS phải đƣợc tích hợp một server bảo mật (SecS). SecC đƣợc ứng dụng bởi ngƣời sử dụng để yêu cầu các dịch vụ VPN và biểu thị các ƣa thích của ngƣời sử dụng. SecC là một module nhẹ, không yêu cầu các khả năng xử lý và bộ nhớ đáng kể, do đó có thể đƣợc tích hợp dễ dàng với bất kỳ kiểu máy di động nào. Ở phần mạng lõi UMTS, SecS thiết lập, điều khiển và quản lý các VPN giữa nó và các gateway cổng (SG) ở xa trong các mạng LAN. SecS thực hiện IPsec đƣợc phổ biến để thích nghi với sơ đồ VPN đƣợc khởi đầu từ phía khách hàng và sự cung cấp dịch vụ bảo mật trong mạng 3G. SecS có thể đƣợc tích hợp sẵn trong hạ tầng mạng hiện tại, do đó cả hai phƣơng pháp bảo mật đều có thể đƣợc ứng dụng trong mạng 3G.
Bảo mật mạng rộng VPN tích hợp SecS vào RNC của hạ tầng mạng 3G. Phƣơng pháp này cung cấp các dịch vụ đƣợc bảo mật tốt nhất cho các thực thể truyền thông bằng cách ứng dụng mật mã hóa UMTS trên giao diện vô tuyến và mở rộng VPN qua mạng xƣơng sống UMTS và mạng internet công cộng. Do đó dữ liệu nhạy cảm của ngƣời sử dụng vẫn đƣợc mật mã hóa trên toàn bộ tuyến mạng giữa máy di động và thiết bị nhận. Bảo mật mạng rộng VPN cho phép ngăn chặn thông tin một cách hợp lệ, tuy nhiên việc đóng gói giao thức UDP đƣợc áp dụng đối với sự chuyển dịch địa chỉ mạng (NAT).
Bảo mật dựa trên đƣờng biên tích hợp SecS ở GGSN. Phƣơng pháp này bảo vệ dữ liệu đi qua mạng internet. Tính di động của ngƣời sử dụng là trong suốt với hoạt động VPN bởi vì ngƣời sử dụng vẫn ở trong vùng phủ của cùng nhà khai thác mạng và đƣợc phục vụ bởi cùng GGSN. Tuy nhiên, khi ngƣời sử dụng chuyển vùng tới GGSN khác, tổ hợp bảo mật SA hiện tại không thể sử dụng đƣợc và một VPN mới cần đƣợc thiết lập. Bảo mật dựa trên đƣờng biên phù hợp với việc ngăn chặn thông tin một cách hợp lệ và sự hiện diện của NAT. Bởi vì SecS nằm ở GGSN, nên SecS cũng cung cấp bức tƣờng lửa cho mạng di động 3G, áp dụng chính sách bảo mật mạng.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn