Miền an ninh thiết bị Access

Một phần của tài liệu LUẬN VĂN: NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP AN NINH ĐẦU CUỐI CHO NGN pdf (Trang 80 - 82)

Chương 5 KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN

5.2.2 Miền an ninh thiết bị Access

Các thiết bị thực tế trong miền này bao gồm

 Các switch thu gom (L2S) hoặc các OLT.

 Cáp quang cho thuê bao

Bước 1. Ma trận lớp-mặt phẳng để phát hiện giao diện

Mặt phẳng an ninh quản lý Mặt phẳng an ninh điều khiển Mặt phẳng an ninh người sử dụng Lớp an ninh các ứng dụng Lớp an ninh các dịch vụ Lớp an ninh cơ sở hạ tầng

(1) Giao diện với hệ thống quản lý thiết bị L2S

(2) Giao diện UPE của miền MANE

(3) Giao diện L2S với miền thiết bị người sử dụng

Bước 2. Xử lý an ninh cho giao diện L2S với miền thiết bị người sử dụng Bảng tổng hợp các giao thức

Lớp (OSI) Giao thức

1 GPON/Cáp quang

Layer 2 802.1D (STP), CDP, ARP, 802.1Q (ISL) Trunking , Ethernet

Layer 2,5 802.1Q

Bảng tổng hợp các nguy cơ

Loại Lớp

(OSI)

Giao thức Nguy cơ Giải pháp

Destruction Lớp 1 Cáp sợi quang

Đứt hoặc cắt trộm cáp Access Control,

Avaiability

Corruption Lớp 2 STP Giả mạo Root Bride Access Control

Corruption Lớp 2 STP Phát tràn các bản tin cấu hình Spanning Tree

Access Control

Bảng 5.1 Ma trận lớp-mặt phẳng để phát hiện giao diện dịch vụ E-LINE

Corruption Lớp 2 STP Phát tràn các bản tin thông báo sự thay đổi Spanning Tree

Access Control

Removal Lớp 2 CDP Đánh cắp thông tin cấu hình Layer 2 Switch (L2S)

Access Control

Corruption Lớp 2 CDP Cạn kiệt tài nguyên bộ nhớ của L2S Access Control

Corruption Lớp 2 ARP Đầu độc bộ nhớ ARP Cache của L2S Access Control

Corruption Lớp 2 802.1Q Trunking

Tấn công Vlan khách hàng Access Control

Corruption Lớp 2 802.1Q Tunneling

Tấn công Vlan khách hàng Access Control

Bước 3. Xử lý an ninh cho quy trình OA&M

Phần này chỉ thực hiện được khi có quy trình OA&M chi tiết cho từng mạng NGN (không thuộc phạm vi của luận văn).

Bước 4. Đưa ra các Yêu cầu an ninh

Đối với thiết bị L2SW/OLT của miền Access Các yêu cầu bắt buộc

 Ngăn chặn các bản tin BPDU gửi đến L2S phía giao diện khách hàng (BPDU Filtering)

 Bảo vệ Root Bridge, không cho switch giả lập của khách hàng làm Root Bridge (Root Guard)

 Không cho phép các bản tin BPDU phía giao diện khách hàng ảnh hưởng đến STP đã được cấu hình cho các L2S (BPDU Guard)

 Không kích hoạt giao thức CDP trên L2S

 L2S chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy (Dynamic ARP Inspection)

 Không kích hoạt chức năng Auto Trunking giao diện phía khách hàng trên L2S

 Cấu hình Vlan Trunking Protocol (VTP) chế độ transparent trên L2S

 Tạo riêng 1 Vlan trên L2S với các cổng Trunk tách biệt với các Vlan của khách hàng

Đối với đường dây thuê bao

 CẦN có biện pháp cách ly cáp tránh đứt đoạn (ví dụ, hạ ngầm cáp)

 CẦN có cáp rỗi dự phòng trong trường hợp đứt cáp nhưng chưa xử lý kịp

Bước 5. Đưa ra các khuyến nghị về thiết bị an ninh phụ trợ

 KHÔNG cần thiết sử dụng thiết bị an ninh phụ trợ trong trường hợp này.

Bước 6. Tổng hợp giải pháp cho dịch vụ

Một phần của tài liệu LUẬN VĂN: NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP AN NINH ĐẦU CUỐI CHO NGN pdf (Trang 80 - 82)

Tải bản đầy đủ (PDF)

(103 trang)