Tải bản đầy đủ - 92 (trang)
9 Cung cấp dịch vụ qua MANE

9 Cung cấp dịch vụ qua MANE

Tải bản đầy đủ - 92trang

50

2.9.2.1.2 Khách hàng là SMB (Small/Medium Business)





Dịch vụ SMB là dịch vụ mà ngoài việc truy nhập Internet như các khách hàng cá nhân thông

thường, ở phía mạng khách hàng còn có thể có các server (Ví dụ: mail server, web server,

content server),… Dịch vụ SMB chia làm 2 loại o Khách hàng có router. o Khách hàng không

có router (sử dụng switch).



Cơ chế hoạt động của dịch vụ SMB với khách hàng có router 

SOHO (Small Office HOme) gateway gửi IpoE request.





Switch thu gom (Agg switch) đóng gói S-VLAN vào gói tin.







UPE thiết lập VPLS với PE-AGG.







PE-AGG kết cuối VPLS và gửi request lên router PE của IP Core.







Router PE cấp phát 1 địa chỉ IP public cho SOHO gateway.







Các server gửi DHCP request đến SOHO gateway.







SOHO gate way cấp phát địa chỉ cho NAT server và các server khác.



51



Hình 2.14 Dịch vụ SMB, khách hàng không có Gateway



Cơ chế hoạt động của dịch vụ SMB với khách hàng không có router





Các server gửi IPoE request.







Switch thu gom đóng gói S-VLAN.







UPE thiết lập phiên VPLS với PEAGG.







PEAGG kết cuối phiên VPLS và gửi request đến PE của IP Core.







PE cấp phát cho mỗi server của doanh nghiệp 1 địa chỉ IP public.



Hình 2.15 Sơ đồ tổng thể dịch vụ HSI trên IP DSLAM / MSAN



52



Hình 2.16 Sơ đồ tổng thể dịch vụ HSI trên Switch L2



2.9.2.2 Dịch vụ VPN L2

2.9.2.2.1 Dịch vụ E-LINE

Dịch vụ E-LINE dành cho khách hàng doanh nghiệp có nhu cầu kết nối VPN L2 điểm-điểm.



Hình 2.17 Dịch vụ E-LINE



53

Cơ chế hoạt động của dịch vụ E-LINE





Đối với dịch vụ E-LINE nội tỉnh, UPE sẽ thiết lập VLL trực tiếp với nhau (mô hình bên trái

trong hình 48).







Đối với dịch vụ E-LINE liên tỉnh, UPE thiết lập VLL với PEAGG, lưu lượng giữa các tỉnh

được chuyển qua IP Core (mô hình bên phải hình 48).







Tag dot1Q được gán cho khách hàng, mỗi khách hàng khác nhau có VC-ID khác nhau. UPE

và PEAGG không phải học địa chỉ MAC.







Với các khách hàng có nhu cầu truy nhập Internet, PE sẽ kết cuối VLAN.



2.9.2.2.2 Dịch vụ E-LAN

Dịch vụ E-LAN dành cho khách hàng doanh nghiệp có nhu cầu kết nối VPN L2 đa điểm – đa điểm.



Hình 2.18 Dịch vụ E-LAN



Cơ chế hoạt động của dịch vụ E-LAN như sau





Đối với cả dịch vụ E-LAN nội tỉnh và liên tỉnh, UPE sẽ thiết lập VPLS với 2 PEAGG.







Khách hàng doanh nghiệp khác nhau được định nghĩa trong các VSI khác nhau, 1 khách hàng

1 VLAN.







PE-AGG không kích hoạt tính năng split horizon. Các PE-AGG không thiết lập VPLS peer

với nhau để tránh lặp vòng (loop) với IP Core. Để bảo vệ link, tính năng MAC-withdraw được

kích hoạt trên PEAGG.







Tag dot1Q được gán cho khách hàng tại UPE. Tính năng học địa chỉ MAC trên VSI được kích

hoạt trên PEAGG, nhưng số lượng MAC học được cần phải bị giới hạn.







Các khách hàng nối đến cùng UPE có thể liên lạc nội bộ với nhau trên VSI.



54

2.10 Kết luận chương





Triển khai mạng MAN là một nhu cầu cấp bách nhằm đáp ứng nhu cầu cung cấp dịch vụ trao

đổi, liên kết chia sẻ dữ liệu ngày càng gia tăng.







Mạng cần có khả năng tích hợp đa dịch vụ băng rộng trên cùng một cơ sở hạ tầng tạo điều

kiện để quản lý thống nhất dễ dàng cho quản lý, mở rộng, nâng cấp, tiết kiệm chi phí đầu tư.







Mạng có năng lực truyền tải, phục vụ kết nối với các mạng khác, cung cấp đa giao diện, đa tốc

độ.



Chương 3. PHÂN TÍCH KIẾN TRÚC VÀ CÁC THÀNH PHẦN AN NINH

X.805 DO ITU-T ĐỀ XUẤT

3.1 Tóm tắt chương

Nội dung chương này tập trung mô tả kiến trúc an ninh X.805 do ITU-T đề xuất



3.2. Phân tích các lớp (Layer) an ninh trong X.805

Để cung cấp giải pháp an ninh từ đầu cuối đến đầu cuối, các biện pháp an ninh phải được áp dụng cho

từng thiết bị (hay thực thể chức năng), một thiết bị hay thực thể chức năng nào đó được phân lớp trừu

tượng dưới dạng lớp hạ tầng, lớp dịch vụ và lớp ứng dụng - điều này tạo ra khái niệm lớp an ninh.

Điều này tạo ra sự phân cấp trong việc bảo vệ các thiết bị hay thực thể chức năng, các thực thể dường

như là được bảo vệ theo vòng. Việc phân lớp an ninh trong từng thiết bị hay thực thể chức năng tạo

điều kiện thuận lợi cho việc xác định cách thức bảo vệ các phần tử mạng lớp cao dựa trên sự bảo vệ ở

lớp dưới. Trong khuyến nghị này, có ba lớp an ninh được định nghĩa đó là





Lớp an ninh cơ sở hạ tầng







Lớp an ninh các dịch vụ







Lớp an ninh các ứng dụng



Tất cả những lớp an ninh này xây dựng dựa vào nhau để tạo thành giải pháp an ninh tổng thể cho

mạng. Cách thức xử lý theo mô hình phân lớp sẽ thực hiện như sau: Các lỗ hổng an ninh được xử lý tại

lớp an ninh cơ sở hạ tầng, sau đó xử lý tại lớp dịch vụ, cuối cùng các lỗ hổng an ninh được xử lý tại

mức ứng dụng. Hình 3.1 minh hoạ việc áp dụng các biện pháp an ninh vào các lớp an ninh để khắc

phục các lỗ hổng an ninh và giảm thiểu nguy cơ tấn công.



55



Hình 3.1 Áp dụng các biện pháp an ninh vào các lớp an ninh



3.2.1 Lớp an ninh cơ sở hạ tầng

Lớp an ninh cơ sở hạ tầng bao gồm tập hợp các phương tiện truyền dẫn cũng như các phần tử mạng

được bảo vệ bằng các biện pháp an ninh. Lớp cơ sở hạ tầng là thành phần cơ bản xây dựng nên mạng,

các dịch vụ mạng và các ứng dụng trên đó. Các thành phần thường thấy trong lớp cơ sở hạ tầng mạng

đó là: router, switch và các server cũng như các tuyến truyền thông nối giữa các thiết bị đó.



3.2.2 Lớp an ninh các dịch vụ

Lớp an ninh các dịch vụ giải quyết các vấn đề an ninh của các dịch vụ mà các nhà cung cấp đưa tới

khách hàng. Những dịch vụ này bao gồm các dịch vụ truyền tải cơ bản cũng như các dịch vụ hỗ trợ

dùng để hỗ trợ các dịch vụ khác (người sử dụng dùng trực tiếp dịch vụ này). Một số dịch vụ hỗ trợ

thường thấy đó là: Dịch vụ hỗ trợ người dùng truy cập Internet (các dịch vụ AAA, dịch vụ DHCP, dịch

vụ DNS,..), một số dịch vụ hỗ trợ giá trị gia tăng như là dịch vụ thông tin vị trí, dịch vụ chat,… Lớp an

ninh dịch vụ được dùng để bảo vệ các nhà cung cấp dịch vụ và khách hàng của họ, cả hai đối tượng

này là mục tiêu của các nguy cơ. Chẳng hạn, kẻ tấn công có thể nhằm vào nhà cung cấp dịch vụ để hạn

chế khả năng cung cấp dịch vụ của họ hay làm gián đoạn dịch vụ cho một khách hàng nào đó (có thể

là một tổng công ty) của nhà cung cấp dịch vụ.



3.2.3 Lớp an ninh các ứng dụng

Lớp an ninh ứng dụng tập trung vào an ninh cho các ứng dụng chạy trên mạng được truy nhập bới

khách hàng. Những ứng dụng này được thực thi nhờ sự hỗ trợ của các dịch vụ mạng và bao gồm một

số ứng dụng điển hình như ứng dụng truyền file (FTP), ứng dụng duyệt Web (HTTP/HTTPS). Một số

ứng dụng cơ bản như tra số điện thoại, ứng dụng thư điện tử và thư thoại, thương mại điện tử,… Các

ứng dụng có thể được cung cấp bởi nhà cung cấp dịch vụ ứng dụng (ASP) thứ 3.



3.3 Phân tích các mặt phẳng (plane) an ninh trong X.805

Trong mạng, để tiện cho việc bảo vệ thông tin người ta phân biệt các hoạt động ra thành các loại hoạt

động khác nhau. Mặt phẳng an ninh là kiểu hoạt động mạng nào đó được bảo vệ bằng các biện pháp an



56

ninh. Trong khuyến nghị này luận văn chỉ đề cập đến 3 kiểu hoạt động cần được bảo vệ ứng với 3 mặt

phẳng an ninh





Mặt phẳng an ninh quản lý







Mặt phẳng an ninh điều khiển







Mặt phẳng an ninh người sử dụng



Những mặt phẳng an ninh này đề cập đến các nhu cầu về an ninh kết hợp với các hoạt động quản lý

mạng, hoạt động báo hiệu và điều khiển mạng và hoạt động liên quan đến người sử dụng tương ứng.

Các mạng nên được thiết kế theo cách để làm sao các sự kiện xảy ra đối với mặt phẳng an ninh này

được cách ly hoàn toàn với các mặt phẳng an ninh khác.

3.3.1 Mặt phẳng an ninh quản lý

Mặt phẳng an ninh quản lý liên quan đến việc bảo vệ các chức năng OAM&P của các phần tử mạng,

các phương tiện truyền dẫn, các hệ thống hỗ trợ (các hệ thống hỗ trợ vận hành, hệ thống hỗ trợ kinh

doanh, hệ thống hỗ trợ khách hàng,…) và các trung tâm dữ liệu. Mặt phẳng an ninh quản lý hỗ trợ các

chức năng liên quan đến lỗi hệ thống, dung lượng hệ thống, quản trị hệ thống, độ khả dụng và an ninh

hệ thống.



3.3.2 Mặt phẳng an ninh điều khiển

Mặt phẳng an ninh điều khiển liên quan đến việc bảo vệ các hoạt động nhằm cho phép phân bổ thông

tin, các dịch vụ và ứng dụng một cách hiệu quả trên mạng. Hoạt động trong mặt phẳng điều khiển

thường bao gồm các dòng thông tin giữa các thiết bị trong mạng để xác định đường đi tốt nhất trong

mạng. Kiểu thông tin này thường được gọi là thông tin điều khiển hay báo hiệu. Thành phần mạng

dùng để vận chuyển những kiểu gói tin này có thể dùng chung hay tách rời khỏi lưu lượng người sử

dụng của nhà cung cấp dịch vụ.



3.3.3 Mặt phẳng an ninh người sử dụng

Mặt phẳng an ninh người sử dụng đề cập đến các vấn đề an ninh của việc truy nhập và sử dụng mạng

của nhà cung cấp dịch vụ từ phía khách hàng. Mặt phẳng này liên quan đến dòng lưu lượng của người

sử dụng.



3.4 Phân tích các nguy cơ (threat) an ninh trong X.805

Kiến trúc an ninh xác định nên một lược đồ và một tập các nguyên lý dùng để mô tả giải pháp an ninh

từ đầu cuối đến đầu cuối. Kiến trúc này cũng chỉ ra các vấn đề an ninh cần phải được giải quyết để

ngăn chặn các nguy cơ có chủ định cũng như các nguy cơ ngẫu nhiên. Các nguy cơ được nêu ra ở đây

được mô tả trong ITU-T Rec.X.800 (1991) là





Phá huỷ thông tin hay các tài nguyên khác (Destruction of Information & Resource)







Sửa đổi thông tin (Information Corruption and Modification)







Đánh cắp thông tin hay các tài nguyên khác (Theft of Information)







Làm lộ thông tin (Disclosure of Information)







Làm gián đoạn các dịch vụ (Interruption of Service)



57

3.5 Phân tích các giải pháp (dimension) an ninh trong X.805

Đứng trước các nguy cơ an ninh hiện có, các biện pháp an ninh cần thiết phải được thực hiện một cách

chặt chẽ cho hệ thống. Xem xét một cách có hệ thống, có thể thấy nhìn chung các biện pháp an ninh

được phân chia thành một số biện pháp dưới đây. Mỗi biện pháp có thể được thực hiện bởi các cơ chế

khác nhau, do đó ứng với mỗi biện pháp chúng ta cũng đề cập luôn đến phần cơ chế để thực hiện biện

pháp đó.

3.5.1 Điều khiển truy nhập (Access Control)





Phương pháp này nhằm hạn chế và điều khiển việc truy nhập vào các phần tử mạng, các dịch

vụ và các ứng dụng.







Một số cơ chế phổ biến để thực hiện biện pháp này đó là: Sử dụng mật khẩu, sử dụng danh

sách điều khiển truy nhập (ACL), sử dụng Firewall.



3.5.2 Nhận thực người sử dụng (Authentication)





Phương pháp này sử dụng nhận dạng người sử dụng để kiểm tra tính đúng đắn của người sử

dụng.







Một số cơ chế phổ biến để thực hiện biện pháp này: sử dụng khoá chia sẻ, sử dụng hạ tầng

khoá công cộng, sử dụng chữ ký số, sử dụng chứng chỉ số.



3.5.3 Chứng minh tránh phủ nhận (Non-Reputation)





Phương pháp này nhằm ngăn chặn khả năng người sử dụng nào đó từ chối hành động mà họ

đã thực hiện vào mạng.







Một số cơ chế phổ biến để thực hiện biện pháp này chúng ta thường thấy đó là: sử dụng cơ chế

ghi lại sự kiện hệ thống, sử dụng chữ ký số.



3.5.4 Bảo mật dữ liệu (Confidentiality of Data)





Phương pháp này nhằm đảm bảo tính bí mật cho dữ liệu của người sử dụng tránh không được

biết bởi người không mong muốn.







Cơ chế phổ biến để thực hiện biện pháp này đó là: mật mã



3.5.5 Đảm bảo an toàn trong quá trình truyền dữ liệu (Communication)





Phương pháp này nhằm đảm bảo dòng thông tin chỉ đi từ nguồn đến đích mong muốn, các

điểm trung gian không muốn được biết thông tin không thể truy nhập vào dòng thông tin.







Một số cơ chế phổ biến để thực hiện biện pháp này đó là: sử dụng VPN thông qua MPLS hay

một số giao thức như là L2P,..



58

3.5.6 Đảm bảo toàn vẹn dữ liệu (Data Integrity)





Phương pháp này nhằm đảm bảo rằng dữ liệu nhận được và được phục hồi là giống với dữ liệu

đã được gửi đi từ nguồn.







Một số cơ chế phổ biến để thực hiện biện pháp này là: sử dụng thuật toán băm MD5, sử dụng

chữ ký số, sử dụng phần mềm chống Virus.



3.5.7 Đảm bảo tịnh khả dụng (Avaiability)





Phương pháp này nhằm đảm bảo cho người sử dụng hợp lệ luôn có thể sử dụng các phần tử

mạng, các dịch vụ và các ứng dụng.







Một số cơ chế phổ biến để thực hiện biện pháp này là: sử dụng hệ thống phát hiện / ngăn ngừa

truy nhập trái phép (IDS / IPS), sử dụng cơ chế dự phòng (Reduntdance).



3.5.8 Đảm bảo tính riêng tư cho người sử dụng (Privacy)





Phương pháp này nhằm đảm bảo tính riêng tư cho nhận dạng và việc sử dụng mạng của người

sử dụng.







Một số cơ chế phổ biến để thực hiện biện pháp này là: sử dụng NAT, sử dụng mật mã.



3.6 Quan hệ giữa các nguy cơ và các giải pháp an ninh

Phần giao giữa lớp an ninh với mặt phẳng an ninh thể hiện một khía cạnh an ninh (module dịch vụ an

ninh), tại đó các biện pháp an ninh được áp dụng để chống lại các nguy cơ an ninh. Bảng 3.1 đưa ra

mối quan hệ giữa các biện pháp an ninh và nguy cơ an ninh. Quan hệ này có thể áp dụng cho mỗi khía

cạnh an ninh.

Chữ “Y” trong mỗi ô thể hiện việc nguy cơ an ninh ở cột tương ứng sẽ bị ngăn chặn bởi biện pháp an

ninh tại hạ tầng tương ứng. Đây là một bảng rất quan trọng, dựa vào đó có thể tìm ra các loại giải

pháp có thể đối với một loại nguy cơ.



59



Bảng 3.1 Mối quan hệ giữa các nguy cơ và biện pháp an ninh



3.7 Kết luận chương

Có thể thấy bảng phân loại các nguy cơ và giải pháp an ninh của ITU-T X.805 là một gợi ý rất quan

trọng dù không đưa ra các giải pháp cụ thể. Dựa trên các đặc điểm này, trong các chương sau Học viên

sẽ đưa ra đề xuẩt về cách thức áp dụng ITU-T X.805 để giải quyết bài toán an ninh mạng NGN.



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

9 Cung cấp dịch vụ qua MANE

Tải bản đầy đủ ngay(92 tr)

×