در این مقاله، ایده‌های اساسی برای حصول امنیت در NGN ارائه می‌شوند و فناوری دفاع حاشیه‌ای کلیدی در مدل امنیتی بیان شده در استانداردهای بین‌المللی NGN معرفی می‌شود. این وظایف امنیتی چند لایه باید در برابر ریسک‌های مختلف امنیتی دفاع کنند و سطح یکسانی از ایمنی و امنیت با سرویس‌های تلفنی متعارف را فراهم کنند.

روندهای استانداردسازی امنیت NGN

بخش استانداردسازی مخابرات اتحادیه بین‌المللی مخابرات (ITU-T)، نیازهای امنیتی را برای NGN نسخه ۱ در آوریل ۲۰۰۷ به شکل توصیه‌نامه Y.2701 صادر کرد. این توصیه‌نامه، تهدیدهای امنیتی و اقدامات پیشگیرانه را برطبق هشت بُعد امنیتی مشخص‌شده در توصیه‌نامه X.805 بیان می‌کند. مدل اعتماد امنیت NGN که پایه و اساسی برای Y.2701 شده است، در شکل ۱ نشان داده شده است. این مدل برطبق اطمینان از عناصر تشکیل‌دهنده NGN به سه ناحیه تقسیم‌بندی شده است. ناحیه نامطمئن شامل تجهیزات نظیر پایانه‌های کاربری است که نمی‌توانند به‌طور مستقیم توسط تأمین‌کننده NGN کنترل شوند. به عبارت دیگر، این ناحیه، منطقه‌ای را نشان می‌دهد که حاوی تجهیزاتی است که نمی‌توان به آن‌ها اعتماد کرد. از طرف دیگر، ناحیه مطمئن ولی آسیب‌پذیر توسط تأمین‌کننده NGN کنترل می‌شود و شامل تجهیزاتی است که دیوارهای آتش و سایر ابزارهای دفاعی را تأمین می‌کنند. در این ناحیه، می‌توان به تجهیزات و کاربران اعتماد کرد، ولی احتمال وجود تهدیدهای خارجی نامحتمل نیست. بالاخره، ناحیه مطمئن شامل تجهیزاتی است که تأمین‌کننده NGN آن‌ها را کنترل می‌کند و متناظر با ناحیه‌ای است که هم به تجهیزات و هم به کاربران (اپراتورها) می‌توان اعتماد کرد. در NGN، عناصر حاشیه‌ای شبکه در ناحیه مطمئن ولی آسیب‌پذیر در برابر حملات مختلف از سوی ناحیه نامطمئن دفاع می‌کنند و برای هر ناحیه، نیازهایی که باید دنبال شوند و اقداماتی که توصیه می‌شوند، مشخص می‌گردند. نیازها برای تأمین‌کنندگان NGN در Y.2701 مشخص شده و در جدول ۱ فهرست شده‌اند.
توصیه‌نامه Y.2701 همچنین نیازهای خاصی از قبیل مستحکم کردن تجهیزات (بدون درب‌های پشتی)، دنباله‌های ممیزی، ثبت وقایع، مهر زمانی، تخصیص منابع و مدیریت استثنا، پایش و صحت سیستم و کد و کنترل منفذ‌های ریز پروتکل شروع جلسه (SIP) را بیان می‌کند.

حصول امنیت در NGN مربوط به NTT

با باز کردن حساب روی سرویس‌های ارائه شده، روندهای استانداردسازی بیان شده در بالا و روند حملات اینترنتی، هدف NTT برای NGN خود، فراهم کردن یک زیرساخت شبکه ایمن و مطمئن به‌وسیله رویکرد دفاعی چندلایه است که اقدامات امنیتی را در هر عنصر NGN انجام می‌دهد. در ادامه، وظایف دفاعی متناظر با NBEها را بیان می‌کنیم که ویژگی متمایزی از NGN است.

 کنترل دسترسی برای کل شبکه

با بلوکه‌ کردن بسته‌ها از و به فضاهای آدرس خصوصی با استفاده از یک کارکرد هم‌ارز با NBE، NGN دسترس‌پذیری را از نقاط خارج NGN (پایانه‌های خارجی و شبکه‌های دیگر) که سرویس‌دهی به آن‌ها در نقاطی داخل NGN (تجهیزات شبکه و انواع مختلف سرورها) غیرضروری است، محدود می‌کند (شکل ۲ (الف)). این کارکرد، دسترسی غیرمجاز در سراسر کل شبکه را کاهش می‌دهد.

کم کردن حملات با جلوگیری از Spoofing

NGN از یک کارکرد هم‌ارز با NBE برای جلوگیری از حملات مربوط به Spoofing که آدرس IP مبدأ را اشتباه نشان می‌دهد یا از شماره تلفن سرچشمه می‌گیرد، استفاده می‌کند (شکل ۲ (ب)). این کارکرد، حملات مختلف صورت گرفته احتمالی با نشان دادن اشتباه آدرس IP مبدأ کم می‌کند (مثلاً، حمله قطع جلسه با یک پیام نادرست صورت می‌گیرد، با این فرض که آدرس IP مبدأ هدف حمله، حمله انکار سرویس (DoS) از پاسخ‌ها برای نشان دادن اشتباه آدرس و سایر حملاتی که مبدأ حملات را پنهان می‌کنند، بهره‌برداری می‌کند). تناظر بین آدرس‌های IP مبدأ و خطوط دسترسی هم‌چنین می‌تواند طوری مدیریت شود که یک آدرس IP مبدأ بتواند در جهت تشخیص بسته‌های شبیه جمله مدیریت شود و خطوط دسترسی مبدأ بسته‌های حمله می‌توانند تعیین شوند.

محافظت از ارتباطات کنترل‌شده SIP

NGN یک کارکرد دفاعی پابرجای ویژه را برای ارتباطات جلسه‌محور کنترل SIP فراهم می‌کند که دارای نیازهای کیفی و قابلیت اتکاست. به‌ویژه، NGN از یک کارکرد هم‌ارز NBE پیوند شده به پیام‌های SIP برای باز کردن و بستن یک منفذ کوچک استفاده می‌کند، بنابراین ارتباطات بین پایانه‌هایی که جلسه در آن‌ها توسط پیام‌های SIP ایجاد شده‌اند، می‌توانند از یک پهنای باند اولویت‌دار استفاده کنند (شکل ۲ (ج)). با مجاز ساختن فقط ارتباطات تحت کنترل SIP برای استفاده از پهنای باند یک اولویت، این کارکرد می‌تواند از اثرات آسیب‌رسان حملاتی که از ترافیک‌های بالای سایر کاربران استفاده می‌کنند، جلوگیری کند، بنابراین از عملکرد ثابت ارتباط اطمینان می‌دهد.

نتیجه‌گیری

طراحی و کارکردهای پایه NGN کمک می‌کنند تا حملات به دشواری روی دهند و به مبدأ امکان می‌دهند چنانچه حمله‌ای روی می‌دهد، آن را تعیین کند. به هر حال، با پیشرفت سرویس‌های NGN، می‌توانیم انتظار دیدن انواع جدیدی از حملات و ریسک‌ها را داشته باشیم. برای برطرف کردن سریع این ریسک‌ها و دستیابی به ایمنی و امنیت همیشگی، نیاز به همکاری اپراتورها و توسعه‌دهندگان سیستم‌ها وجود دارد. با ترکیب کردن این کارکردهای پایه با کارکردهای دفاعی نصب شده در هر بخش از تجهیزات شبکه، سعی خواهد شد شبکه ایمن‌تر و مطمئن‌تری حاصل شود.

منبع:  ماهنامه کامپیوتری رایانه

It's only fair to share...Share on FacebookDigg thisShare on Google+Tweet about this on TwitterShare on LinkedIn

۱ دیدگاه

  1. sina

    mersi az etela resanitun

    پاسخ دادن

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *