Miền an ninh thiết bị Access

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu và đề xuất giải pháp an ninh đầu tư cuối cho NGN (Trang 99 - 101)

Chương 5 KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN

5.2.2 Miền an ninh thiết bị Access

Cỏc thiết bị thực tế trong miền này bao gồm

 Cỏc switch thu gom (L2S) hoặc cỏc OLT.

 Cỏp quang cho thuờ bao

Bước 1. Ma trận lớp-mặt phẳng để phỏt hiện giao diện

Mặt phẳng an ninh quản lý Mặt phẳng an ninh điều khiển Mặt phẳng an ninh người sử dụng Lớp an ninh cỏc ứng dụng Lớp an ninh cỏc dịch vụ

(1) Giao diện với hệ thống quản lý thiết bị L2S

(2) Giao diện UPE của miền MANE

(3) Giao diện L2S với miền thiết bị người sử dụng

Lớp an ninh cơ sở hạ tầng

Bước 2. Xử lý an ninh cho giao diện L2S với miền thiết bị người sử dụng Bảng tổng hợp cỏc giao thức

Lớp (OSI) Giao thức

1 GPON/Cỏp quang

Layer 2 802.1D (STP), CDP, ARP, 802.1Q (ISL) Trunking , Ethernet

Layer 2,5 802.1Q

Bảng tổng hợp cỏc nguy cơ

Loại Lớp

(OSI)

Giao thức Nguy cơ Giải phỏp

Destructio n

Lớp 1 Cỏp sợi quang

Đứt hoặc cắt trộm cỏp Access Control, Avaiability

Corruption Lớp 2 STP Giả mạo Root Bride Access Control

Corruption Lớp 2 STP Phỏt tràn cỏc bản tin cấu hỡnh Spanning Tree

Access Control

Bảng 5.1 Ma trận lớp-mặt phẳng để phỏt hiện giao diện dịch vụ E-LINE

Corruption Lớp 2 STP Phỏt tràn cỏc bản tin thụng bỏo sự thay đổi Spanning Tree

Access Control

Removal Lớp 2 CDP Đỏnh cắp thụng tin cấu hỡnh Layer 2 Switch (L2S)

Access Control

Corruption Lớp 2 CDP Cạn kiệt tài nguyờn bộ nhớ của L2S Access Control

Corruption Lớp 2 ARP Đầu độc bộ nhớ ARP Cache của L2S Access Control

Corruption Lớp 2 802.1Q Trunking

Tấn cụng Vlan khỏch hàng Access Control

Corruption Lớp 2 802.1Q Tunneling

Tấn cụng Vlan khỏch hàng Access Control

Bước 3. Xử lý an ninh cho quy trỡnh OA&M

Phần này chỉ thực hiện được khi cú quy trỡnh OA&M chi tiết cho từng mạng NGN (khụng thuộc phạm vi của luận văn).

Bước 4. Đưa ra cỏc Yờu cầu an ninh

Đối với thiết bị L2SW/OLT của miền Access Cỏc yờu cầu bắt buộc

 Ngăn chặn cỏc bản tin BPDU gửi đến L2S phớa giao diện khỏch hàng (BPDU Filtering)

 Bảo vệ Root Bridge, khụng cho switch giả lập của khỏch hàng làm Root Bridge (Root Guard)

 Khụng cho phộp cỏc bản tin BPDU phớa giao diện khỏch hàng ảnh hưởng đến STP đó được cấu hỡnh cho cỏc L2S (BPDU Guard)

 Khụng kớch hoạt giao thức CDP trờn L2S

 L2S chỉ nhận cỏc bản tin ARP Reply trờn cỏc giao diện được cấu hỡnh là tin cậy (Dynamic ARP Inspection)

 Khụng kớch hoạt chức năng Auto Trunking giao diện phớa khỏch hàng trờn L2S

 Cấu hỡnh Vlan Trunking Protocol (VTP) chế độ transparent trờn L2S

 Tạo riờng 1 Vlan trờn L2S với cỏc cổng Trunk tỏch biệt với cỏc Vlan của khỏch hàng

Đối với đường dõy thuờ bao

 CẦN cú biện phỏp cỏch ly cỏp trỏnh đứt đoạn (vớ dụ, hạ ngầm cỏp)

 CẦN cú cỏp rỗi dự phũng trong trường hợp đứt cỏp nhưng chưa xử lý kịp

Bước 5. Đưa ra cỏc khuyến nghị về thiết bị an ninh phụ trợ

 KHễNG cần thiết sử dụng thiết bị an ninh phụ trợ trong trường hợp này.

Bước 6. Tổng hợp giải phỏp cho dịch vụ

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu và đề xuất giải pháp an ninh đầu tư cuối cho NGN (Trang 99 - 101)

Tải bản đầy đủ (PDF)

(122 trang)