RSS

Advanced Manajemen Keamanan di Jaringan Metro Ethernet

28 Jan

Abstract

Dengan peningkatan pesat dalam bandwidth dan pengenalan layanan IP canggih termasuk suara, internet berkecepatan tinggi  akses, dan video / IPTV, konsumen lebih rentan terhadap pengguna yang jahat dari sebelumnya. Dalam beberapa tahun terakhir, menyediakan aman dan  jaringan layanan suara dan telah menjadi prioritas puncak bagi penyedia layanan dan operator jaringan yang sama. Pengguna  ragu-ragu untuk berlangganan ke layanan baru kecuali penyedia layanan jaminan koneksi yang aman. Lebih penting lagi,  instansi pemerintah di banyak negara telah memperkenalkan peraturan perundang-undangan yang memerlukan penyedia layanan untuk melacak dan  catatan pemilik alamat IP dan MAC sepanjang waktu.

Dalam tulisan ini, kami pertama menyajikan ikhtisar Metro Ethernet (atau Ethernet-To-The-Home/Business (ETTx)) dan membandingkan  dengan berbagai teknologi akses IP broadband termasuk DSL, wireless dan kabel. Kami kemudian garis besar keamanan utama  keprihatinan untuk jaringan Metro Ethernet termasuk jaringan dan pelanggan / keamanan pengguna akhir.

Selanjutnya kami memperkenalkan algoritma state-of-the-art untuk mencegah penyerang dari mencuri setiap alamat IP atau MAC. Kami proposal  adalah dengan menggunakan manajemen jaringan dalam hubungannya dengan fitur hardware untuk manajemen keamanan untuk memberikan yang aman dan  spoofing-bebas ETTx jaringan. Ide kunci di balik proposal kami adalah dengan memanfaatkan manajemen jaringan untuk menegakkan ketat (port,  MAC, IP) yang mengikat dalam jaringan akses untuk memberikan keamanan pelanggan. 

Kertas kemudian mengusulkan pengendali kebijakan keamanan berbasis adaptif untuk dengan cepat mengidentifikasi pengguna yang jahat dicurigai,  sementara mengisolasi mereka tanpa melepaskan mereka dari jaringan atau validasi kontrak mereka, dan kemudian membawa  diperlukan analisis. Pengendali yang diusulkan mengidentifikasi pengguna yang jahat tanpa mengorbankan antara akurat tapi panjang  Analisis lalu lintas dan keputusan prematur. Ini juga menyediakan kemampuan untuk membuat tindakan perbaikan granular yang adaptif  untuk kondisi jaringan didefinisikan.

Keywords: Internet Security, Network Management, Network Security Management

Pendahuluan
Fleksibilitas broadband dan Internet Protocol (IP) jaringan memperkenalkan tantangan baru untuk hardware  vendor serta penyedia layanan. Broadband akses ke Internet menjadi mana-mana. Emerging  teknologi seperti akses Ethernet dan VDSL menawarkan peningkatan kapasitas akses link. Kecepatan akses  melebihi 1 Gbps menjadi kenyataan. Pada saat yang sama, juga memperkenalkan tantangan baru kepada vendor perangkat keras  serta penyedia layanan.

Tantangan yang paling penting adalah mungkin keamanan jaringan dan layanan. Bisnis dan pelanggan perumahan enggan untuk berlangganan ke layanan kecuali penyedia jasa menjamin bahwa transaksi mereka dan aktivitas online benar-benar aman. Artinya, tidak ada orang lain memiliki akses ke isi aplikasi mereka, tidak ada yang bisa spoof alamat IP mereka, dll Penyedia layanan sangat mengkhawatirkan keamanan jaringan terutama ketika pemanfaatan jaringan dan latensi tinggi. Akibatnya, deteksi yang efektif dan efisien kegiatan berbahaya sangat penting. Namun, hal ini memerlukan analisis lalu lintas rinci untuk menentukan apakah kegiatan mencurigakan tertentu memang berbahaya. Setelah kegiatan ditentukan sebagai berbahaya, penyedia layanan kemudian dapat melakukan tindakan korektif, misalnya, menonaktifkan port pengguna. Salah mengidentifikasi aktivitas yang tepat sebagai jahat akan menyebabkan, pada gangguan, pelayanan minimum yang tidak perlu dan dapat berakibat pada hilangnya pendapatan dan ketidakpuasan pelanggan. Pada saat yang sama, analisis lalu lintas rinci rumit dan memakan waktu. Akibatnya, sebelum analisis selesai dan hasilnya dimengerti, aktivitas berbahaya dapat menyebabkan kerusakan kuburan ke jaringan. Jadi, untuk menjamin integritas jaringan, maka sangat penting untuk mencegah pengguna yang mencurigakan dari kerusakan inflecting lebih lanjut ke jaringan sedangkan analisis lalu lintas rinci sedang dilakukan.

Keberhasilan solusi pencegahan keamanan yang menyeluruh sangat tergantung pada memberikan dan melaksanakan  aman dan dilindungi jaringan. Memberikan kemampuan seperti dalam perangkat keras saja adalah tugas yang menakutkan. Keamanan  sering ditangani di tingkat perangkat keras, misalnya, mengimplementasikan fitur keamanan tertentu di switch  [2]. Dalam tulisan ini, kami fokus pada hardware dan software secara keseluruhan / kontrol (manajemen jaringan) solusi.  Solusi gabungan akan menghalangi siapa pun dari menggunakan identitas orang lain (misalnya alamat IP selain  salah satu yang sudah ditentukan oleh operator selular), identitas elemen jaringan (klaim misalnya untuk menjadi default  gateway) atau unassigned tetapi identitas yang masih berlaku (misalnya menggunakan alamat IP yang valid belum ditentukan).

Ide dasar dibalik solusinya adalah untuk menjaga hubungan yang mengikat [6] antara perangkat Layer 2  identifier (yaitu MAC (Medium Access Control) alamat atau alamat Ethernet) dengan Layer 3 identifier (yaitu IP  alamat pengguna) dan menerapkan aturan ketat untuk menegakkan hubungan seperti di tingkat pelabuhan. Solusinya  meminimalkan ketergantungan pada peningkatan hardware dan menyediakan mekanisme mudah untuk mendukung pelanggan  ketertelusuran.

Selanjutnya, kami mengusulkan controller keamanan berbasis kebijakan (PSC) yang memungkinkan penyedia layanan untuk mengisolasi  pengguna curiga sehingga kegiatan berbahaya yang sebenarnya tidak akan menyebabkan kerusakan jaringan sementara memungkinkan  Analisis lalu lintas yang efektif untuk menyelesaikan dan mengambil level granular tindakan terhadap penyerang berdasarkan jaringan  kondisi.

Sisa kertas ini disusun sebagai berikut. Bagian 2 memberikan gambaran Metro Ethernet / jaringan ETTx.  Bagian 3 menjelaskan masalah keamanan yang khusus untuk jaringan Metro Ethernet. Bagian 4 membahas spoofing  teknik isolasi pencegahan melalui pelabuhan. Bagian 5 menyajikan lingkungan spoofing gratis untuk Metro Ethernet  jaringan. Bagian 6 mendefinisikan controller kebijakan berbasis keamanan. Pernyataan Penutup diberikan dalam Bagian 7.

Arsitektur Jaringan

Perumahan atau pelanggan bisnis memiliki beberapa pilihan teknologi broadband untuk mengakses internet termasuk  digital subscriber line (DSL), kabel, nirkabel, dan terakhir Metro Ethernet / serat-ke-rumah-atau bisnis  (FTTx atau ETTx). DSL menggunakan pasangan tembaga saat terbelit dalam sistem Plain Old Telephony (POTS) untuk  menyediakan akses Internet. Kecepatan sebenarnya tergantung pada implementasi khusus dan jarak antara  premis pelanggan dan kantor pusat, yaitu, panjang loop. Hari DSL penyebaran terbatas dalam kecepatan  dan bisa sangat mahal untuk digunakan dan ditetapkan. akses kabel dapat menyediakan kecepatan koneksi sampai dengan 6  Mbps. Menjadi medium bersama, akses kabel bisa sangat lambat meningkat ketika lalu lintas.

Beberapa rasa broadband fixed wireless telah dikerahkan termasuk Distribusi multipoint Lokal  Service (LMDS) dan Multi-channel Multi-point Distributed System (MMDS). Pengangkutan ATM solusi berbasis LMDS, yang didasarkan pada teknologi SpectraPoint, merupakan sebutan peraturan untuk broadband  tetap nirkabel sistem yang beroperasi pada pita 28 GHz dan menawarkan hingga beberapa Giga-Hertz dari lisensi  spektrum (1,3 GHz di Amerika Serikat). Hal ini dirancang untuk cakupan line-of-sight selama rentang 3 sampai 5  kilometer dan memiliki kapasitas untuk menyediakan data dan layanan telepon untuk sampai 80.000 pelanggan dari  node tunggal.

ETTx menawarkan kecepatan akses tertinggi akibat penggunaan teknologi serat. Mendukung sampai dengan Giga bit per  detik (Gbps) jangkauan. Namun, melibatkan peletakan serat ke lokasi pelanggan, yang mungkin sulit dan  mahal. Akibatnya, Ethernet sering digunakan dalam mil terakhir dan drive menurunkan biaya secara signifikan. ETTx  adalah sebuah teknologi akses muncul sebagai alternatif untuk DSL dan kabel.

Gambar 1 menunjukkan arsitektur jaringan untuk teknologi tersebut akses broadband. Secara umum, di pelanggan  premis, akan ada gateway akses. Tujuan utama dari gateway akses untuk mengkonversi paket  ke dalam format teknologi-spesifik dan menengah. Sebagai contoh, dalam lingkungan kabel akses, akses  gateway akan menjadi modem kabel, sementara di lingkungan DSL itu akan menjadi modem DSL. Dalam ETTx, seperti  konversi yang tidak perlu, dan gateway akses dalam hal ini (jika kehadiran) akan memainkan peran concentrator  untuk layanan yang berbeda, misalnya, akses Internet, VoIP (Voice over IP) dan video. Lalu lintas pengguna kemudian digabungkan  di aggregator sebelum memasuki jaringan backbone ke ISP (Internet Service Provider).


Terlepas dari teknologi akses, kebutuhan keamanan yang umum. Pelanggan tidak mau pelanggan ke layanan baru kecuali jika jaringan tersebut aman. Layanan dan penyedia jaringan perlu untuk mengimplementasikan protokol untuk mencegah pengguna yang tidak sah dari mencuri identitas seorang pelanggan yang sah itu, identitas jaringan elemen, dan / atau ditugaskan tetapi berlaku identitas seperti alamat IP, alamat MAC, log-in ID dan password, kartu kabel, atau menghubungkan langsung untuk mengakses switch. Keamanan di ETTx menimbulkan masalah menantang karena kurangnya operasi mirip standar DOCSIS (Data-over-Service Cable Spesifikasi Interface) dalam teknologi akses kabel. Selain itu, arsitektur ETTx adalah seperti memperluas LAN (Local Area Network) teknologi untuk jaringan publik. Keterbukaan arsitektur tersebut dan bayi teknologi ini dalam domain akses publik lain menimbulkan tingkat kesulitan untuk masalah keamanan. Selain itu, dalam ETTx, tidak jarang untuk melihat subnet besar mencakup seluruh multiple access switch untuk menghemat alamat IP. Akibatnya, kita sering melihat sejumlah besar pelanggan berbagi subnet IP yang sama. Hal ini membuat masalah keamanan lebih menarik. Dalam tulisan ini, kita akan fokus pada isu-isu keamanan yang muncul dalam ETTx dan memperkenalkan solusi yang merupakan kombinasi dari hardware dan software (manajemen jaringan). Solusi gabungan akan menghalangi masalah spoofing yang paling umum dan pada saat yang sama mengurangi ketergantungan pada peningkatan hardware dan menyediakan mekanisme yang mudah untuk mendukung ketertelusuran pelanggan.

Masalah Keamanan di Jaringan ETTx


Dalam lingkungan ETTx, jaringan akses terdiri dari switch, switch agregasi dan tulang punggung  jaringan yang terhubung ke ISP yang berbeda, seperti yang ditunjukkan pada Gambar 2. Biasanya, ada akses saklar yang berada di  ruang bawah tanah bangunan menggabungkan lalu lintas pengguna dalam gedung. Dalam penyebaran ETTx khas, sebuah  bangunan sering terdiri dari pengguna bisnis (di lantai dasar) dan pengguna perumahan (di lantai atas).  Beberapa akses switch kemudian dikumpulkan sebelum memasuki jaringan backbone ke ISP. Akses  switch adalah pembatas jaringan operator. Link Ethernet pergi dari switch akses dalam bangunan  basement ke outlet Ethernet di setiap unit menyediakan akses jaringan. Di dalam unit bangunan, satu baik  menghubungkan Personal Computer (PC) melalui Network Interface Card (NIC) ke outlet Ethernet, atau  menghubungkan semacam gerbang akses ke perangkat yang berbeda agregat seperti PC, set-top-box, telepon untuk  simultan data, suara dan video jasa. Untuk tujuan diskusi keamanan, adanya akses  gateway tidak relevan. Kita akan mempertimbangkan hal sederhana di mana PC terhubung langsung ke switch akses  port melalui NIC.

Dalam sekuel, kami akan mempertimbangkan beralih akses adalah Layer 2 perangkat. aggregator adalah hop pertama dari Layer 3  perangkat. Artinya, aggregator beroperasi pada Layer 2 di sisi saklar akses menghadapi dan pada Layer 3 pada  backbone menghadap samping. aggregator ini juga berfungsi sebagai default gateway dari IP subnet, yang terdiri dari  jumlah switch akses.

Dari titik pandang pengguna, yang terpenting adalah pelayanan yang disampaikan dengan aman dalam arti  bahwa spoofing-bebas. Intinya adalah tak seorang pun harus mampu memasuki jalur komunikasi siapa pun,  dan tidak ada orang yang harus mampu mencuri identitas bahwa dia tidak seharusnya menggunakan. Yang sedang berkata,  dari perspektif pengguna, ada tiga masalah keamanan utama: 1) pengguna jahat adalah seseorang mencuri  identitas lain, misalnya, alamat IP lainnya dari satu yang sudah ditentukan oleh server tugas alamat IP, 2)  berbahaya pengguna adalah mencuri identitas elemen jaringan, yaitu identitas default gateway, 3)  berbahaya pengguna mencuri unassigned tetapi identitas yang valid, misalnya, menggunakan alamat IP yang valid belum ditentukan.

Untuk memanfaatkan identitas orang lain atau identitas jaringan, pengguna berbahaya perlu merusak Alamat  Resolution Protocol (ARP) tabel pada hop pertama Layer 3 perangkat. Tujuan dari ARP adalah untuk menyelesaikan  Alamat MAC perangkat dari alamat IP yang diberikan. Sebuah paket ARP terdiri dari 2-tuple (MAC, IP) dari  perangkat. Dalam IP subnet, dua perangkat berkomunikasi harus mengetahui masing-masing alamat MAC. Untuk  Misalnya, jika host A perlu berkomunikasi dengan default gateway, host A akan mengeluarkan permintaan ARP dengan  (NULL, IPdefault gateway), biasanya siaran di dalam subnet IP. Default gateway akan menjawab melalui unicast  untuk Host A (MACdefault gateway, IPdefault gateway). Host A kemudian akan menyimpan informasi ARP dalam tabel ARP lokal.

Jika default gateway diganti, gateway default dapat disiarkan permintaan ARP dengan (default gateway MACnew,  IPdefault gateway). Semua penghuni di dalam subnet maka akan memperbarui tabel ARP lokal untuk memperhitungkan fakta  bahwa perangkat gateway default diganti. Seperti operasi ARP pada awalnya dirancang untuk terpercaya  jaringan ramah lingkungan. Dalam jaringan IP publik, ARP dapat disalahgunakan untuk penggunaan sembarangan.

Pertimbangkan pada Gambar 2 dimana Host A adalah pengguna berbahaya, berniat untuk mencuri identitas Host C. Untuk mencuri Host C  identitas, host A perlu merusak tabel ARP pada default gateway, yang biasanya aggregator. The  ARP tabel di toko default gateway semua hubungan alamat MAC-IP untuk semua perangkat dalam subnet IP  (Atau LAN VLAN (Virtual)). Jadi tabel ARP pada gateway default akan memiliki entri berikut:

 
Leave a comment

Posted by on January 28, 2011 in PEMROGRAMAN

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: