Tải bản đầy đủ - 92 (trang)
Bước 6.Tổng hợp giải pháp

Bước 6.Tổng hợp giải pháp

Tải bản đầy đủ - 92trang

80

Bảng tổng hợp các giao thức

Lớp (OSI)



Giao thức



2



ARP



3



IP, ICMP



4



TCP, UDP, BGP



Bảng tổng hợp các nguy cơ

Loại



Lớp

(OSI)



Giao

thức



Nguy cơ



Giải pháp



Corruption



Lớp 2



ARP



Đầu độc bộ nhớ ARP Cache của BRAS



Access Control



Destruction



Lớp 3



IP



Gửi nhiều phân đoạn xấu của gói tin IP



Access Control



Destruction



Lớp 3



ICMP Gửi gói tin ICMP thông báo lỗi kết nối TCP



Destruction



Lớp 3



ICMP



Gửi gói tin ICMP Echo Request với tần xuất

lớn



Corruption



Lớp 3



IP



Chèn nhiều gói tin IP làm suy giảm băng

Access Control

thông mạng



Corruption



Lớp 3



ICMP Quảng bá gói tin ICMP Echo Request



Corruption



Lớp 4



TCP



Corruption



Lớp 4



TCP



Non-Repudation

Access Control



Access Control



Gửi gói tin SYN tới BRAS với địa chỉ IP

Data Integrity

nguồn giả mạo

Gửi gói tin ICMP thông báo lỗi kết nối

Data Integrity

phiên TCP

Gửi gói tin TCP thiết lập cờ FIN để kết thúc



Corruption



Lớp 4



TCP



Non-Repudation

phiên TCP

Gửi gói tin TCP thiết lập cờ RST để tạo lại



Corruption



Lớp 4



TCP



Non-Repudation



phiên TCP

Corruption



Lớp 4



TCP



Corruption



Lớp 4



BGP



Non-Repudation

Gửi gói tin lặp ACK báo hiệu nghẽn mạng

Gửi gói tin Open Message gây xung đột và Non-Repudation

kết thúc phiên BGP



81

Corruption



Lớp 4



BGP



Gửi gói tin Keepalive Message làm chuyển Non-Repudation

trạng thái phiên BGP



Corruption



Lớp 4



BGP



Gửi gói tin Update Message làm sai lạc Non-Repudation

thông tin định tuyến BGP



Corruption



Lớp 4



BGP



Gửi gói tin Notification Message làm mất Non-Repudation

tính ổn định của định tuyến BGP



Bước 3. Xử lý an ninh cho quy trình OA&M Phần này chỉ thực hiện được khi có quy trình OA&M

chi tiết cho từng mạng NGN (không thuộc phạm vi của luận văn).



Bước 4. Đưa ra các Yêu cầu an ninh

Đối với BRAS

 BRAS chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy (Dynamic

ARP Inspection).





Giới hạn tốc độ gửi các gói tin ICMP gửi đến BRAS từ các thuê bao HSI (ICMP Rate

Limiting).







Kiểm tra xác thực trong các bản tin thuộc kết nối TCP tại BRAS bằng mã hoá xác thực thông

báo MD5.







BRAS huỷ các gói tin IP nhận được có tuỳ chọn IP Source Routing trong trường Option.







Ngăn không cho BRAS gửi quảng bá gói tin ICMP Echo Request tới các thuê bao HIS.







BRAS dùng 1 Access List mở rộng (Extended ACL) lưu lại các ánh xạ 1-1 về địa chỉ IP/MAC

từ các bản tin SYN nhận được trước đó của các kết nối TCP tin cậy (không phải từ các cuộc

tấn công). Trước khi thiết lập một kết nối TCP, BRAS sẽ kiểm tra địa chỉ IP/MAC của bản tin

SYN nhận được với các điểm vào trong Extended ACL.







Tăng cường kiểm tra xác thực trong các bản tin thiết lập kết nối TCP tại BRAS bằng mã hoá

xác thực thông báo MD5 đối với các kết nối TCP cho phần định tuyến.







BRAS có thể sử dụng một phần mềm cho phép thiết lập kết nối TCP tới các địa chỉ IP nhận

được từ tin SYN, phần mềm này giúp BRAS phát hiện và ngăn chặn sớm tấn công DoS.







Giới hạn tốc độ gửi các gói tin SYN đến BRAS (SYN Rate Limiting).



Đối với SR, RR, ASBR

 SR, RR, ASBR PHẢI nhận dạng được các gói tin có địa chỉ IP có địa chỉ trùng với địa chỉ của

chính nó để chống hacker giả mạo SR gửi bản tin ICMP Echo Request tới BRAS.





Cấu hình kiểm tra giá trị TTL (Time to Live) cho gói tin iBGP là 254 tại các SR RR và ASBR.







Áp dụng các chính sách lọc tuyến (Route Filtering) trên RR và SR.







Cấu hình thiểt lập các tham số ngưỡng đối với các bản tin thông báo sự thay đổi / mất ổn định

tuyến (Route Flap Damping) trên RR và SR.



82

Bước 5. Đưa ra các khuyến nghị về thiết bị phụ trợ

 Đặt trước BRAS phía giao diện với thuê bao HSI thiết bị giám sát lưu lượng mạng (ví dụ

eSerie của Arbor) để phân tích lưu lượng mạng và đưa ra các cảnh báo về các cuộc tấn công

gửi nhiều phân đoạn xấu gói tin IP.





Trang bị hệ thống kiểm soát định tuyến iBGP (ví dụ PeakFlow của Arbor) tại RR để kiểm soát

việc định tuyến iBGP/eBGPgiữa RR với SR và RR với ASBR.



Bước 6. Tổng hợp giải pháp cho miền



Hình 5.8 Mô hình Giải pháp an ninh cho miền thiết bị dành riêng dịch vụ HSI



83

5.4.1.4 Tổng hợp giải pháp cho dịch vụ



Hình 5.9 Mô hình Giải pháp an ninh cho dịch vụ HSI (khách hàng cá nhân)



5.4.2 Khách hàng SMB (Small Business)

Có thể thấy dịch vụ HSI cho SMB là một loại hình đặc biệt của dịch vụ HSI cho người dùng cá nhân

(Resident) với điểm khác biệt là thiết bị người sử dụng (modem, router) không kết nối với Internet qua

BRAS mà đến thẳng SR của IPCore.

Như vậy có thể thấy, miền mạng Access, MANE và IPCore của dịch vụ này, cấu hình cũng giống của

dịch vụ HSI cho khách hàng cá nhân nên có thể áp dụng kết quả đã phân tích.

Ở miền thiết bị dành riêng, các yêu cầu kỹ thuật của BRAS đối với dịch vụ HSI cho khách hàng cá

nhân có thể áp dụng cho khách hàng SMB.



5.5 Kết luận chương

Những tấn công từ phía khách hàng luôn là mối quan tâm lớn nhất đối với các SP. Việc phát hiện ra

những tấn công và triển khai biện pháp khắc phục còn phụ thuộc vào năng lực làm việc của các thiết bị

mạng. Chương này đã chỉ ra các tấn công điển hình và các giải pháp phòng chống hữu hiệu ở thời

điểm hiện tại căn cứ vào những sản phẩm đã tích hợp các tính năng về an ninh của các hãng như

Cisco, Huawei, Juniper. Các khuyến nghị về việc triển khia thiết bị phụ trợ cũng được đề xuất và có

thể tham chiếu trong phần phụ lục về giải pháp chống DoS của Arbor.



Chương 6. KẾT LUẬN VÀ KHUYẾN NGHỊ



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Bước 6.Tổng hợp giải pháp

Tải bản đầy đủ ngay(92 tr)

×