Tải bản đầy đủ
Bước 6.Tổng hợp giải pháp

Bước 6.Tổng hợp giải pháp

Tải bản đầy đủ

80
Bảng tổng hợp các giao thức
Lớp (OSI)

Giao thức

2

ARP

3

IP, ICMP

4

TCP, UDP, BGP

Bảng tổng hợp các nguy cơ
Loại

Lớp
(OSI)

Giao
thức

Nguy cơ

Giải pháp

Corruption

Lớp 2

ARP

Đầu độc bộ nhớ ARP Cache của BRAS

Access Control

Destruction

Lớp 3

IP

Gửi nhiều phân đoạn xấu của gói tin IP

Access Control

Destruction

Lớp 3

ICMP Gửi gói tin ICMP thông báo lỗi kết nối TCP

Destruction

Lớp 3

ICMP

Gửi gói tin ICMP Echo Request với tần xuất
lớn

Corruption

Lớp 3

IP

Chèn nhiều gói tin IP làm suy giảm băng
Access Control
thông mạng

Corruption

Lớp 3

ICMP Quảng bá gói tin ICMP Echo Request

Corruption

Lớp 4

TCP

Corruption

Lớp 4

TCP

Non-Repudation
Access Control

Access Control

Gửi gói tin SYN tới BRAS với địa chỉ IP
Data Integrity
nguồn giả mạo
Gửi gói tin ICMP thông báo lỗi kết nối
Data Integrity
phiên TCP
Gửi gói tin TCP thiết lập cờ FIN để kết thúc

Corruption

Lớp 4

TCP

Non-Repudation
phiên TCP
Gửi gói tin TCP thiết lập cờ RST để tạo lại

Corruption

Lớp 4

TCP

Non-Repudation

phiên TCP
Corruption

Lớp 4

TCP

Corruption

Lớp 4

BGP

Non-Repudation
Gửi gói tin lặp ACK báo hiệu nghẽn mạng
Gửi gói tin Open Message gây xung đột và Non-Repudation
kết thúc phiên BGP

81
Corruption

Lớp 4

BGP

Gửi gói tin Keepalive Message làm chuyển Non-Repudation
trạng thái phiên BGP

Corruption

Lớp 4

BGP

Gửi gói tin Update Message làm sai lạc Non-Repudation
thông tin định tuyến BGP

Corruption

Lớp 4

BGP

Gửi gói tin Notification Message làm mất Non-Repudation
tính ổn định của định tuyến BGP

Bước 3. Xử lý an ninh cho quy trình OA&M Phần này chỉ thực hiện được khi có quy trình OA&M
chi tiết cho từng mạng NGN (không thuộc phạm vi của luận văn).

Bước 4. Đưa ra các Yêu cầu an ninh
Đối với BRAS
 BRAS chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy (Dynamic
ARP Inspection).


Giới hạn tốc độ gửi các gói tin ICMP gửi đến BRAS từ các thuê bao HSI (ICMP Rate
Limiting).



Kiểm tra xác thực trong các bản tin thuộc kết nối TCP tại BRAS bằng mã hoá xác thực thông
báo MD5.



BRAS huỷ các gói tin IP nhận được có tuỳ chọn IP Source Routing trong trường Option.



Ngăn không cho BRAS gửi quảng bá gói tin ICMP Echo Request tới các thuê bao HIS.



BRAS dùng 1 Access List mở rộng (Extended ACL) lưu lại các ánh xạ 1-1 về địa chỉ IP/MAC
từ các bản tin SYN nhận được trước đó của các kết nối TCP tin cậy (không phải từ các cuộc
tấn công). Trước khi thiết lập một kết nối TCP, BRAS sẽ kiểm tra địa chỉ IP/MAC của bản tin
SYN nhận được với các điểm vào trong Extended ACL.



Tăng cường kiểm tra xác thực trong các bản tin thiết lập kết nối TCP tại BRAS bằng mã hoá
xác thực thông báo MD5 đối với các kết nối TCP cho phần định tuyến.



BRAS có thể sử dụng một phần mềm cho phép thiết lập kết nối TCP tới các địa chỉ IP nhận
được từ tin SYN, phần mềm này giúp BRAS phát hiện và ngăn chặn sớm tấn công DoS.



Giới hạn tốc độ gửi các gói tin SYN đến BRAS (SYN Rate Limiting).

Đối với SR, RR, ASBR
 SR, RR, ASBR PHẢI nhận dạng được các gói tin có địa chỉ IP có địa chỉ trùng với địa chỉ của
chính nó để chống hacker giả mạo SR gửi bản tin ICMP Echo Request tới BRAS.


Cấu hình kiểm tra giá trị TTL (Time to Live) cho gói tin iBGP là 254 tại các SR RR và ASBR.



Áp dụng các chính sách lọc tuyến (Route Filtering) trên RR và SR.



Cấu hình thiểt lập các tham số ngưỡng đối với các bản tin thông báo sự thay đổi / mất ổn định
tuyến (Route Flap Damping) trên RR và SR.

82
Bước 5. Đưa ra các khuyến nghị về thiết bị phụ trợ
 Đặt trước BRAS phía giao diện với thuê bao HSI thiết bị giám sát lưu lượng mạng (ví dụ
eSerie của Arbor) để phân tích lưu lượng mạng và đưa ra các cảnh báo về các cuộc tấn công
gửi nhiều phân đoạn xấu gói tin IP.


Trang bị hệ thống kiểm soát định tuyến iBGP (ví dụ PeakFlow của Arbor) tại RR để kiểm soát
việc định tuyến iBGP/eBGPgiữa RR với SR và RR với ASBR.

Bước 6. Tổng hợp giải pháp cho miền

Hình 5.8 Mô hình Giải pháp an ninh cho miền thiết bị dành riêng dịch vụ HSI

83
5.4.1.4 Tổng hợp giải pháp cho dịch vụ

Hình 5.9 Mô hình Giải pháp an ninh cho dịch vụ HSI (khách hàng cá nhân)

5.4.2 Khách hàng SMB (Small Business)
Có thể thấy dịch vụ HSI cho SMB là một loại hình đặc biệt của dịch vụ HSI cho người dùng cá nhân
(Resident) với điểm khác biệt là thiết bị người sử dụng (modem, router) không kết nối với Internet qua
BRAS mà đến thẳng SR của IPCore.
Như vậy có thể thấy, miền mạng Access, MANE và IPCore của dịch vụ này, cấu hình cũng giống của
dịch vụ HSI cho khách hàng cá nhân nên có thể áp dụng kết quả đã phân tích.
Ở miền thiết bị dành riêng, các yêu cầu kỹ thuật của BRAS đối với dịch vụ HSI cho khách hàng cá
nhân có thể áp dụng cho khách hàng SMB.

5.5 Kết luận chương
Những tấn công từ phía khách hàng luôn là mối quan tâm lớn nhất đối với các SP. Việc phát hiện ra
những tấn công và triển khai biện pháp khắc phục còn phụ thuộc vào năng lực làm việc của các thiết bị
mạng. Chương này đã chỉ ra các tấn công điển hình và các giải pháp phòng chống hữu hiệu ở thời
điểm hiện tại căn cứ vào những sản phẩm đã tích hợp các tính năng về an ninh của các hãng như
Cisco, Huawei, Juniper. Các khuyến nghị về việc triển khia thiết bị phụ trợ cũng được đề xuất và có
thể tham chiếu trong phần phụ lục về giải pháp chống DoS của Arbor.

Chương 6. KẾT LUẬN VÀ KHUYẾN NGHỊ