Chương 5 KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN
5.2.2 Miền an ninh thiết bị Access
Cỏc thiết bị thực tế trong miền này bao gồm
Cỏc switch thu gom (L2S) hoặc cỏc OLT.
Cỏp quang cho thuờ bao
Bước 1. Ma trận lớp-mặt phẳng để phỏt hiện giao diện
Mặt phẳng an ninh quản lý Mặt phẳng an ninh điều khiển Mặt phẳng an ninh người sử dụng Lớp an ninh cỏc ứng dụng Lớp an ninh cỏc dịch vụ
(1) Giao diện với hệ thống quản lý thiết bị L2S
(2) Giao diện UPE của miền MANE
(3) Giao diện L2S với miền thiết bị người sử dụng
Lớp an ninh cơ sở hạ tầng
Bước 2. Xử lý an ninh cho giao diện L2S với miền thiết bị người sử dụng Bảng tổng hợp cỏc giao thức
Lớp (OSI) Giao thức
1 GPON/Cỏp quang
Layer 2 802.1D (STP), CDP, ARP, 802.1Q (ISL) Trunking , Ethernet
Layer 2,5 802.1Q
Bảng tổng hợp cỏc nguy cơ
Loại Lớp
(OSI)
Giao thức Nguy cơ Giải phỏp
Destructio n
Lớp 1 Cỏp sợi quang
Đứt hoặc cắt trộm cỏp Access Control, Avaiability
Corruption Lớp 2 STP Giả mạo Root Bride Access Control
Corruption Lớp 2 STP Phỏt tràn cỏc bản tin cấu hỡnh Spanning Tree
Access Control
Bảng 5.1 Ma trận lớp-mặt phẳng để phỏt hiện giao diện dịch vụ E-LINE
Corruption Lớp 2 STP Phỏt tràn cỏc bản tin thụng bỏo sự thay đổi Spanning Tree
Access Control
Removal Lớp 2 CDP Đỏnh cắp thụng tin cấu hỡnh Layer 2 Switch (L2S)
Access Control
Corruption Lớp 2 CDP Cạn kiệt tài nguyờn bộ nhớ của L2S Access Control
Corruption Lớp 2 ARP Đầu độc bộ nhớ ARP Cache của L2S Access Control
Corruption Lớp 2 802.1Q Trunking
Tấn cụng Vlan khỏch hàng Access Control
Corruption Lớp 2 802.1Q Tunneling
Tấn cụng Vlan khỏch hàng Access Control
Bước 3. Xử lý an ninh cho quy trỡnh OA&M
Phần này chỉ thực hiện được khi cú quy trỡnh OA&M chi tiết cho từng mạng NGN (khụng thuộc phạm vi của luận văn).
Bước 4. Đưa ra cỏc Yờu cầu an ninh
Đối với thiết bị L2SW/OLT của miền Access Cỏc yờu cầu bắt buộc
Ngăn chặn cỏc bản tin BPDU gửi đến L2S phớa giao diện khỏch hàng (BPDU Filtering)
Bảo vệ Root Bridge, khụng cho switch giả lập của khỏch hàng làm Root Bridge (Root Guard)
Khụng cho phộp cỏc bản tin BPDU phớa giao diện khỏch hàng ảnh hưởng đến STP đó được cấu hỡnh cho cỏc L2S (BPDU Guard)
Khụng kớch hoạt giao thức CDP trờn L2S
L2S chỉ nhận cỏc bản tin ARP Reply trờn cỏc giao diện được cấu hỡnh là tin cậy (Dynamic ARP Inspection)
Khụng kớch hoạt chức năng Auto Trunking giao diện phớa khỏch hàng trờn L2S
Cấu hỡnh Vlan Trunking Protocol (VTP) chế độ transparent trờn L2S
Tạo riờng 1 Vlan trờn L2S với cỏc cổng Trunk tỏch biệt với cỏc Vlan của khỏch hàng
Đối với đường dõy thuờ bao
CẦN cú biện phỏp cỏch ly cỏp trỏnh đứt đoạn (vớ dụ, hạ ngầm cỏp)
CẦN cú cỏp rỗi dự phũng trong trường hợp đứt cỏp nhưng chưa xử lý kịp
Bước 5. Đưa ra cỏc khuyến nghị về thiết bị an ninh phụ trợ
KHễNG cần thiết sử dụng thiết bị an ninh phụ trợ trong trường hợp này.
Bước 6. Tổng hợp giải phỏp cho dịch vụ