Chương 5 KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN
5.2.2 Miền an ninh thiết bị Access
Các thiết bị thực tế trong miền này bao gồm
Các switch thu gom (L2S) hoặc các OLT.
Cáp quang cho thuê bao
Bước 1. Ma trận lớp-mặt phẳng để phát hiện giao diện
Mặt phẳng an ninh quản lý Mặt phẳng an ninh điều khiển Mặt phẳng an ninh người sử dụng Lớp an ninh các ứng dụng Lớp an ninh các dịch vụ Lớp an ninh cơ sở hạ tầng
(1) Giao diện với hệ thống quản lý thiết bị L2S
(2) Giao diện UPE của miền MANE
(3) Giao diện L2S với miền thiết bị người sử dụng
Bước 2. Xử lý an ninh cho giao diện L2S với miền thiết bị người sử dụng Bảng tổng hợp các giao thức
Lớp (OSI) Giao thức
1 GPON/Cáp quang
Layer 2 802.1D (STP), CDP, ARP, 802.1Q (ISL) Trunking , Ethernet
Layer 2,5 802.1Q
Bảng tổng hợp các nguy cơ
Loại Lớp
(OSI)
Giao thức Nguy cơ Giải pháp
Destruction Lớp 1 Cáp sợi quang
Đứt hoặc cắt trộm cáp Access Control,
Avaiability
Corruption Lớp 2 STP Giả mạo Root Bride Access Control
Corruption Lớp 2 STP Phát tràn các bản tin cấu hình Spanning Tree
Access Control
Bảng 5.1 Ma trận lớp-mặt phẳng để phát hiện giao diện dịch vụ E-LINE
Corruption Lớp 2 STP Phát tràn các bản tin thông báo sự thay đổi Spanning Tree
Access Control
Removal Lớp 2 CDP Đánh cắp thông tin cấu hình Layer 2 Switch (L2S)
Access Control
Corruption Lớp 2 CDP Cạn kiệt tài nguyên bộ nhớ của L2S Access Control
Corruption Lớp 2 ARP Đầu độc bộ nhớ ARP Cache của L2S Access Control
Corruption Lớp 2 802.1Q Trunking
Tấn công Vlan khách hàng Access Control
Corruption Lớp 2 802.1Q Tunneling
Tấn công Vlan khách hàng Access Control
Bước 3. Xử lý an ninh cho quy trình OA&M
Phần này chỉ thực hiện được khi có quy trình OA&M chi tiết cho từng mạng NGN (không thuộc phạm vi của luận văn).
Bước 4. Đưa ra các Yêu cầu an ninh
Đối với thiết bị L2SW/OLT của miền Access Các yêu cầu bắt buộc
Ngăn chặn các bản tin BPDU gửi đến L2S phía giao diện khách hàng (BPDU Filtering)
Bảo vệ Root Bridge, không cho switch giả lập của khách hàng làm Root Bridge (Root Guard)
Không cho phép các bản tin BPDU phía giao diện khách hàng ảnh hưởng đến STP đã được cấu hình cho các L2S (BPDU Guard)
Không kích hoạt giao thức CDP trên L2S
L2S chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy (Dynamic ARP Inspection)
Không kích hoạt chức năng Auto Trunking giao diện phía khách hàng trên L2S
Cấu hình Vlan Trunking Protocol (VTP) chế độ transparent trên L2S
Tạo riêng 1 Vlan trên L2S với các cổng Trunk tách biệt với các Vlan của khách hàng
Đối với đường dây thuê bao
CẦN có biện pháp cách ly cáp tránh đứt đoạn (ví dụ, hạ ngầm cáp)
CẦN có cáp rỗi dự phòng trong trường hợp đứt cáp nhưng chưa xử lý kịp
Bước 5. Đưa ra các khuyến nghị về thiết bị an ninh phụ trợ
KHÔNG cần thiết sử dụng thiết bị an ninh phụ trợ trong trường hợp này.
Bước 6. Tổng hợp giải pháp cho dịch vụ