Xác định cấu hình dịch vụ

Một phần của tài liệu thiết kế an ninh mạng ngn (Trang 84 - 87)

- KHÔNG ĐƯỢC (MUST NOT)

Chương 5 KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN 5.1 Tóm tắt chương

5.4.1.1 Xác định cấu hình dịch vụ

Cấu hình cũng cấp dịch vụ HSI cho khách hàng cá nhân chỉ khác nhau ở miền Access với hai loại cấu hình điển hình là

 Khách hàng sử dụng ADSL modem, HGW hoặc ONT kết nối tới IP DSLAM/ONU trên giao diện xDSL.

 Khách hàng sử dụng HGW/ONT kết nối trực tiếp tới L2SW/OLT trên giao diện GPON hoặc Ethernet.

5.4.1.2 Miền an ninh thiết bị Access

Thiết bị thực tế trong miền này là IP DSLAM/ONU hoặc L2S/OLT

Bước 1. Ma trận lớp-mặt phẳng để phát hiện giao diện Mặt phẳng an ninh quản lý Mặt phẳng an ninh điều khiển Mặt phẳng an ninh người sử dụng Lớp an ninh các ứng dụng Lớp an ninh các dịch vụ

(1) Giao diện với hệ thống quản lý thiết bị IP

(2) Giao diện với UPE của miền MANE

(3) Giao diện IP DSLAM/ONU, L2S/OLT với miền thiết bị người Lớp an ninh cơ sở hạ

tầng

85

Hình 5.5 Cấu hình khách hàng sử dụng giao diện xDSL trên cáp đồng

Bước 2. Xử lý an ninh cho giao diện IP DSLAM/ONU, L2S/OLT với miền thiết bị người sử dụng

Bảng tổng hợp các giao thức Lớp (OSI) Giao thức

1 xDSL trên cáp đồng, GPON trên cáp quang 2 Ethernet, 802.1D (STP), CDP, ARP

Bảng tổng hợp các nguy cơ

Loại Lớp

(OSI)

Giao thức Nguy cơ Giải pháp

Destruction Lớp 1 Đôi dây đồng Đứt hoặc cắt trộm cáp Access Control Destruction Lớp 1 Tín hiệu xDSL Gây nhiễu tín hiệu Access

Control Destruction Lớp 1 Dòng điện trên

đường dây

Đặt lên đôi dây dòng điện và điện áp lớn gây hư hỏng IP SLAM/ONU

Access Control

Removal Lớp 1 Dòng điện trên đường dây

Sử dụng trái phép dòng điện trên đôi dây gây hư hỏng IP SLAM/ONU

Access Control

Destruction Lớp 1 Cáp quang Đứt hoặc cắt trộm cáp Access Control Removal Lớp 2 CDP Đánh cắp thông tin cấu hình IP

DSLAM/ONU

Access Control Corruption Lớp 2 CDP Cạn kiệt tài nguyên bộ nhớ

của IP DSLAM/ONU

Access Control Corruption Lớp 2 ARP Đầu độc bộ nhớ ARP Cache

của IP DSLAM/ONU

Access Control

Bước 3. Xử lý an ninh cho quy trình OA&M

Phần này chỉ thực hiện được khi có quy trình OA&M chi tiết cho từng mạng NGN (không thuộc phạm vi của luận văn).

Bước 4. Đưa ra các Yêu cầu an ninh IP DSLAM/ONU

 DSLAM/ONU chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy (Dynamic ARP Inspection).

 Đối với DSLAM của Cissco: KHÔNG kích hoạt giao thức CDP trên IP DSLAM.

L2SW/OLT

 L2S/OLT chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy (Dynamic ARP Inspection).

Bước 5. Đưa ra các khuyến nghị về thiết bị phụ trợ

 KHÔNG cần thiết sử dụng thiết bị an ninh phụ trợ trong trường hợp này.

Bước 6.Tổng hợp giải pháp

Một phần của tài liệu thiết kế an ninh mạng ngn (Trang 84 - 87)

Tải bản đầy đủ (DOC)

(103 trang)
w