Nguy cơ mất an toàn VPN và xây dựng mô hình VPN an toàn

Nguy cơ mất an toàn VPN và xây dựng mô hình VPN an toàn

1

MỤC LỤC

MỤC LỤC 1

LỜI NÓI ĐẦU 3

CHƯƠNG 1 TỔNG QUAN VỀ VPN 9

1.1 Khái niệm VPN 9

1.2 Phân loại VPN 9

1.3 Các giao thức VPN 9

1.3.1 Giao thức PPTP 9

1.3.2 Giao thức L2TP 9

1.3.3 Giao thức IPSec 10

CHƯƠNG 2 CÁC NGUY CƠ MẤT AN TOÀN VPN 11

2.1 Virus 11

2.2 Tấn công giao thức VPN 12

2.2.1 Tấn công PPTP 12

2.2.2 Tấn công trên IPSec 13

2.3 Tấn công bằng kỹ thuật mật mã 14

2.3.1 Tấn công vào các văn bản viết bằng mật mã 14

2.3.2 Tấn công vào các bản rõ đã biết(hình thức có thể hiểu được của các văn bản mã hóa) 15

2.3.3 Tấn công vào các bản rõ được chọn 15

2.3.4 Tấn công người xen giữa (Man-in-the-Middle Attacks) 16

2.3.5 Tấn công bằng sức mạnh vật lý 16

2.3.6 Tấn công timing (timing attacks) 17

2

2.4 Tấn công từ chối dịch vụ: 17

2.4.1 SYN Foods 18

2.4.2 Cơn bão quảng bá ( Broadcast Storm) 19

2.4.3 Smurf DoS 19

2.4.4 Ping of Death 20

2.4.5 Bom mail (mail bomb) 21

2.4.6 Thư rác (spam mailing) 21

CHƯƠNG 3 XÂY DỰNG VPN AN TOÀN 23

3.1 Kỹ thuật xác thực từ xa 23

3.1.1 Cơ chế xác thực, cấp phép, tính toán( AAA) 23

3.1.2 Dịch vụ người dùng truy nhập quay số từ xa 25

3.1.3 TACACS(Terminal Access Controller Access Controller System) 27

3.2 Các kỹ thuật bảo vệ của VPN 28

3.2.1 Tường lửa 28

3.2.2 NAT (Network Address Translation ) 32

3.2.3 SOCKS (SOCKet Server) 37

3.2.4 SSL(Secure Socket Layer) và TLS (Transport Layer Security) 38

3.3 Xây dựng VPN an toàn 40

Kết Luận 53

Tài liệu tham khảo 55

3

LỜI NÓI ĐẦU

Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sự bùng

nổ thông tin Cùng với sự phát triển như vũ bão của các phương tiện truyền thông đại chúng, lĩnh vực truyền thông máy tính đã và đang phát triển không ngừng Mạng máy tính toàn cầu internet đã và đang trở thành nhu cầu bức thiết cho mọi người Với internet, bức tường ngăn cách giữa các quốc gia, giữa các nền văn hóa, giữa những con người với nhau đã ngày càng giảm đi Ngày nay có khoảng 50 – 60 triệu người đang sử dụng internet và các ứng dụng trên internet

là vô cùng phong phú Từ các ứng dụng truy xuất từ xa như: NC (Network Computer), WWW,VPN… thì mạng máy tính đồng thời cung cấp môi trường truyền thông tốt cho các dịch vụ thư tín điện tử (Email), tin tức, các hệ quản trị

dữ liệu phân bố……

Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ chức, giữa các cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bí mật, các tài nguyên thông tin cũng tăng lên Theo thống kê, số vụ tấn công và xâm phạm tài nguyên thông tin trên internet mỗi năm tăng lên 100% so với năm trước

Làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham gia internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng không bị sao chép, sửa đổi hay phá hủy, vừa đảm bảo được tính sẵn sàng cao của dữ liệu mỗi khi cần đến, đồng thời vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh chóng… Vấn đề này đã trở nên hết sức quan trọng Tuy nhiên để cho người quản trị hệ thống mạng có thể đảm bảo yêu cầu trên, họ cần có những công cụ hữu hiệu

Với lý do trên, em chọn đề tài “Nguy cơ mất an toàn VPN và xây dựng mô hình VPN an toàn” làm đề tài thực tập của em

CHƯƠNG II: NGUY CƠ MẤT AN TOÀN VPN

Ở chương này là một số nguy cơ cho người sử dụng VPN có thể không được

an toàn nếu người dùng không sử dụng hiệu quả theo một tiêu chuẩn an toàn thì khả năng bị các hacker kiểm soát được kết nối VPN là hoàn toàn có thể

CHƯƠNG III: XÂY DỰNG VPN AN TOÀN

Dựa vào tính cấp thiết để đảm bảo an toàn cho người dùng VPN ta xây dựng một mô hình VPN an toàn có thể đáp ứng được nhu cầu dùng VPN một cách thực sự an toàn

VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối

an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng

Trong đề tài nghiên cứu này em đưa ra một số nguy cơ mất an toàn đối với mạng VPN những điều đó là hoàn toàn có thể bị phá vỡ và em xây dựng một mô hình VPN an toàn nhằm đáp ứng nhu cầu phát triển công nghệ thông tin hiện nay

mà vẫn đảm bảo tính an toàn cho dữ liệu

5

Trong thời gian thực hiện đề tài này, do thời gian không cho phép, và kiến thức chưa sâu sắc nên em còn nhiều sai sót, mong cô và các thầy, cô góp ý chân thành để em hoàn thành đề tài này một cách tốt nhất

Em xin chân thành cảm ơn sự hướng dẫn chỉ bảo tận tình của giáo viên hướng dẫn đa giúp em hoàn thành đề tài này

6

Danh mục hình vẽ

Hình 2.1: Các tin tặc làm tắc nghẽn mạng 18

Hình 3.1: Mô hình 1 mạng dùng AAA 25

Hình 3.2: Hai thành phần của RADIUS 26

Hình 3.3: RADIUS traffic flow 27

Hình 3.4: Xác thực từ xa TACACS 27

Hình 3.5: Tường lửa 29

Hình 3.6: Tường lửa nằm sau máy chủ VPN 31

Hình 3.7: Mô hình VPN đặt sau tường lửa 32

Hình 3.8: Mô hình triển khai NAT 33

Hình 3.9: Mô hình NATs tĩnh 34

Hình 3.10: Mô hình NATs động 34

Hình 3.11: Mô hình NATs động quá tải 35

Hình 3.12: Mô hình NATs động chồng lấp 36

Hình 3.13: Mô hình triển khai SOCKS trên VPN 37

Hình 3.14: Hai lớp của SSL 39

Hình 3.15: Mô hình VPN+NPS 40

Hình 3.16: Cài Active Directory certlcate server 41

Hình 3.17: Chọn giao diện xin CA 41

Hình 3.18: Cài đặt Network policy and access services 42

Hình 3.19: Cài role service 42

Hình 3.20: Vào network server 43

Hình 3.21: Chọn chính sách yêu cầu cho VPN 44

Hình 3.22: Chính sách được truy cập 44

Hình 3.23: Tạo chính sách không được truy cập 45

Hình 3.24 : New network policy được truy cập 45

Hình 3.25: New network policy không được truy cập 46

Hình 3.26: Chính sách cho VPN 47

Hình 3.27: Chọn giao thức kết nối 47

Hình 3.28: Chọn cơ chế mã hóa 48

7

Hình 3.29: Cài đặt VPN 49

Hình 3.30: Cấu hình IP để VPN cấp 49

Hình 3.31: Enable this enfocenert client 50

Hình 3.32: Start dịch vụ mạng 50

Hình 3.33: Cấu hình VPN trên Client 51

Hình 3.34: Cấu hình kết nối L2TP 51

Hình 3.35: Kết nối VPN thành công 52

8

Danh mục viết tắt

02 Transmission Control Protocol/Internet

Protocol

TCP/IP

05 Point to Point Tunneling Protocol PPTP

10 Terminal Access Controller Access

Controller System

TACACS

11 Remote Access Dial- In-User Service RADIUS

12 Authentication Authirization Accounting AAA

9

CHƯƠNG 1 TỔNG QUAN VỀ VPN 1.1 Khái niệm VPN

Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian

1.2 Phân loại VPN

Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN Trước tiên, các mạng VPN có thể kết nối hai mạng với nhau Điều này được biết đến như một mạng kết nối LAN to LAN VPN hay mạng kết nối site to site VPN Thứ hai, một VPN truy cập từ xa có thể kết nối người dùng từ xa tới mạng

1.VPN truy nhập từ xa( Remote Access)

2.VPN điểm nối điểm (Site to Site)

1.3 Các giao thức VPN

1.3.1 Giao thức PPTP

PPTP là giải pháp độc quyền cho phép truyền dữ liệu một cách an toàn giữa một client từ xa và một server của doanh nghiệp bằng việc tạo ra một VPN qua một mạng dựa trên IP

1.3.2 Giao thức L2TP

Được phát triển bởi IETF và được tán thành bởi nhiều hãng lớn như: Cisco, Microsoft, 3Com và Asend L2TP là một sự kết hợp của các giao thức VPN trước đây như PPTP và L2F Thực tế nó là sự kết hợp tốt nhất của PPTP và L2F

10

1.3.3 Giao thức IPSec

IPSec là một kiến trúc an toàn dựa trên chuẩn mở, có đặc điểm sau:

- Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại

- Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một cách an toàn

11

CHƯƠNG 2 CÁC NGUY CƠ MẤT AN TOÀN VPN

VPN có thể bị tấn công bằng rất nhiều đường:

ta phải thiết lập chặt chẽ hơn để giảm thiểu nguy cơ mất an toàn đối với VPN Sau đây ta phân tích một số nguy cơ mất an toàn đối với người dùng VPN không cẩn trọng đó là virut

Virut Keystroke logger là ẩn phần mềm ngồi giữa phần cứng bàn phím và

hệ điều hành hệ thống nó có thể ghi lại tất cả các quy trình của người dùng khi

gõ bàn phím và được truyền tải qua thư điện tử hoặc trang web hoặc lưu trên cùng một hệ thống như một tập tin ẩn

Keystroke logger ghi tên ứng dụng, thời gian và ngày ứng dụng được mở

ra và tổ hợp phím liên quan tới ứng dụng đó Keystroke logger có khả năng nắm bắt thông tin trước khi nó có thể được mã hóa để truyền qua mạng

Trojrans subseven (xem tài nguyên), hoặc bao gồm khả năng quét từ xa và

để chuyển tiếp các kết nối Những kẻ tấn công có thể cấu hình các trojan để nó

có thể chuyển tiếp lưu lượng thông qua hệ thống từ xa vào mạng nội bộ Việc chuyển tiếp lưu lượng truy cập có địa chỉ nguồn giống như các hệ thống từ xa và

sử dụng cùng đường hầm VPN Đối với kẻ tấn công thì họ đã đạt được mục đích

12

Chính vì những yếu tố đó mà khi xây dựng mạng VPN ta cần xây dựng làm sao cho giảm thiểu được rủi ro khi dùng mạng VPN Bằng cách là thiết lập bắt buộc người dùng cá nhân muốn VPN vào hệ thống thì máy tính của người đó phải đảm bảo yêu cầu đặt ra là máy tính phải đảm bảo an toàn thì mới được VPN vào hệ thống ví dụ như phải bật tường lửa hay có chương trình diệt virut thì mới cho phép VPN vào hệ thống Vậy thì sẽ giảm bớt được nguy cơ mất an toàn cho

- Generic Routing Encapsulation(GRE)- quá trình đóng gói tin

- Trao đổi mật khẩu trong quá trình xác thực

Để bảo mật dữ liệu người ta cần đóng gói dữ liệu.GRE là một giao thức đường hầm dùng để đóng gói dữ liệu dạng văn bản Nó không cung cấp cơ chế bảo mật cho dữ liệu Do đó các hacker dễ dàng bắt được các gói tin được đóng gói bằng GRE Do đó dữ liệu sau khi đóng gói cần mã hóa trước khi truyền đi

Chú ý :GRE sử dụng cơ chế định tuyến một cách tự động, điều này ảnh

hưởng nghiêm trọng đến VPN Để ngăn các gói tin địn tuyến tự động, VPN yêu cầu bạn phải sử dụng cơ chế định tuyến tĩnh Một giải pháp khác là cho dữ liệu

đi qua tường lửa sau khi GRE header được gỡ bỏ

13

Một điểm yếu khác của GRE là gói tin GRE sử dụng một chuỗi # để đồng

bộ đường hầm Tuy nhiên GRE không đưa ra cơ chế để GRE chống lại các chuỗi bất hợp lệ Lợi dụng điểm này, các tin tặc sẽ truyền dữ liệu nguy hiểm vào các

dữ liệu bị biến đổi để đánh lừa điểm đích, điểm đích tưởng đó là các chuỗi đồng

bộ và không xử lý, nhờ chiến thuật này các dữ liệu nguy hiểm sẽ lọt vào mạng nội bộ của công ty

PPTP cũng có thể bị tấn công bằng “ kĩ thuật tấn công bằng từ điển” PPTP dùng Microsoft-Point-to-Point-Encryption (MPPE) để gửi mật khẩu đi mà không hề mã hóa Nếu kẻ xâm nhập có thể lấy được một phần của mật khẩu : như giải thuật toán băm,mật khẩu được băm, chúng sẽ dùng những thông tin có được để khôi phục được mật khẩu chính xác ban đầu

Bây giờ password có kích thước nhỏ do chuẩn mã hóa Do đó nó có thể được xác định bằng brute-force Phụ thuộc vào hệ thống, password và trình độ người tấn công thì sự tấn công có thể thành công trong 1 ngày 1 giờ hay chỉ 1 vài giây

2.2.2 Tấn công trên IPSec

IPSec không phải là một giải thuật mã hóa cũng như cơ chế xác thực IPSec sẽ kêt hợp với các giải thuật khác để bảo vệ dữ liệu Tuy nhiên IPSec vẫn

có điểm yếu :

 Tấn công chống lại việc triển khai IPSec

 Tấn công chống lại việc quản lý khóa

 Administrative and winlcard attacks

Các tin tặc khai thác hai điểm yếu của việc triển khai IPSec để tấn công:

sử dụng giải thuật null, hai máy kết nối sẽ thống nhất một khóa yếu hơn nếu một trong hai máy không có hỗ trợ khóa mạnh

IPSec sử dụng DES-CBC để mã hóa và HMAC-MD5 và HMAC-SHA-1

để xác thực Bên cạnh đó giao thức IPSec cũng có thể sử dụng ESP hoặc AH Do IPSec cho sử dụng giải thuật null nên một máy có thể không sử dụng DES-CBC

14

trong quá trình truyền thông trong khi máy còn lại có thể sử dụng Máy không có

sử dụng DES-CBC để mã hóa chính là điểm yếu để tin tặc khai thác Điều này thường xảy ra khi các nhà cung cấp dịch vụ mạng sử dụng các tiêu chuẩn khác nhau

IPSec cho phép 2 máy truyền thông tự thống nhất khóa mã hoa Nếu một bên sử dụng khóa yếu (40bit) máy còn lại cũng phải sử dụng khóa yếu (40bit) để thông tin mặc dù khả năng hỗ trợ của nó có thể cao hơn (56 hoặc 128 bit) Muốn phá một khóa 56 bit bạn phải mất hằng ngày hoặc hằng tháng, nhưng bạn cũng

có thể phá một khóa 40 bit một cách dễ dàng

IPSec sử dụng IKE để quản lý khóa Các tin tặc có thể khai thác điểm yếu của quá trình trao đổi khóa Nếu một máy kết thúc phiên làm việc máy còn lại không hề biết rằng phiên làm việc đã kết thúc Như vậy máy đó vẫn mở port để trao đổi thông tin với bên ngoài Ngay lúc này các tin tặc có thể giả danh trao đổi thông tin với máy đó

Cách tấn công cuối cùng ít gặp nhất : IPSec cung cấp giao diện quản lý cho SA Việc này gia tăng khả năng tấn công vào các thông số của SA

Chú ý : L2TP dễ bị tấn công bằng các kiểu tấn công như: Dictionary attacks,Brute Force attacks, và Spoofing attacks Tuy nhiên L2TP hiếm khi được thực thi độc lập, nó thường được thực thi trên IPSec

2.3 Tấn công bằng kỹ thuật mật mã

Sử dụng kĩ thuật này tin tặc có thể mã hóa ngược lại mà không cần biết quá trình mã hóa đã được tiến hành như thế nào Dựa trên các kỹ thuật mã hóa có sẵn người ta cũng đã tìm ra kỹ thuật giải mã tương ứng

2.3.1 Tấn công vào các văn bản viết bằng mật mã

Trong các kỹ thuật tấn công này, tin tặc không cần quan tâm đến nội dung

dữ liệu gốc mà chỉ cần các văn bản mã hóa Các tin tặc sẽ sử dụng các công cụ

có sẵn để khôi phục lại dữ liệu ban đầu từ dữ liệu mã hóa Kỹ thuật này không hiệu quả lắm và thường vô dụng đối với các kỹ thuật mã hóa hiện đại

15

 Chú ý: “Reverse engineering” là quá trình chuyển các thông tin được mã hóa về trạng thái ban đầu trước khi được mã hóa Phương pháp “hit-and- miss” cần rất nhiều thời gian và nỗ lực

Do các thông điệp thường có định dạng gần giống nhau Thêm vào đó kinh nghiệm phân tích các văn bản mã hóa sẽ giúp tin tặc xác định tin gốc ban đầu khi chưa mã hóa

Các kỹ thuật mã hóa mới đều có các cơ chế chống lại kỹ thuật tấn công này nên hiện tại kỹ thuật này không có hiệu quả cao

2.3.2 Tấn công vào các bản rõ đã biết(hình thức có thể hiểu được của các văn

bản mã hóa)

Trong kỹ thuật này, các tin tặc đã giải mã một phần thông điệp mã hóa và

sử dụng những thông tin kinh nghiệm giải mã có được để giải phần mã còn lại

Ví dụ : Các tin tặc có thể giải mã một phần khóa, dựa vào đó để dự đoán phần còn lại của khóa, sau đó dùng khóa để giải mã toàn bộ thông điệp

Kỹ thuật tấn công plaintext tuyến tính là kỹ thuật thông dụng nhất Các bít của plaintext đã biết sẽ được XORed với nhau, các bít của văn bản mã hóa cũng được XORed với nhau Sau đó sẽ lấy kết quả XORed với nhau Nhiệm vụ là tìm

ra các bít là XOR của các bít khó Nếu chúng ta XORed một số lượng lớn các văn bản mã hóa và các plaintext với nhau chúng ta có thể xác định các khóa mã hóa và giải mã toàn bộ phần còn lại Để làm được điều này chúng ta cần có một

cơ sở dữ liệu lớn để giải mã

2.3.3 Tấn công vào các bản rõ được chọn

Trong kỹ thuật này các tin tặc sẽ chọn ngẫu nhiên một đoạn văn bản đã được mã hóa Các tin tặc sẽ xác định khóa để mã hóa văn bản sau đó các khóa này sẽ tiếp tục được sử dụng để giải mã

Kỹ thuật giải mã ví sai Trước hết tin tặc cần biết 2 đoạn plaintext của văn bản mã hóa Sau đó căn cứ vào sai lệch của văn bản được mã hóa tin tặc có thể

2.3.4 Tấn công người xen giữa (Man-in-the-Middle Attacks)

Kỹ thuật này được dùng tấn công trong quá trình trao đổi khóa hoặc truyền thông mã hóa,ví dụ như Diffie-Hellman Trước khi hai máy trao đổi dữ liệu tin tặc sẽ chặn khóa mà hai máy trao đổi với nhau lại, sau đó thay đổi bằng khóa của chính mình Do đó hai máy không thể nhận được khóa hợp lệ từ máy bên kia mà nhận được khóa từ chính tin tặc Máy đâu cuối nghĩ rằng đó là khóa hợp lệ nên sử dụng nó để mã hóa cho phiên truyền thông này Như vậy tin tặc có thể xác định được nội dung của quá trình truyền thông này

Chú ý: Man-in-the-Middle attacks có thể bị ngăn bằng chữ ký điện tử Chữ ký điện tử có thể trao đổi sau khi hai bên trao đổi khóa và tạo ra các mật hiệu riêng Như vậy khóa có thể rơi vào tay kẻ xâm nhập, chữ ký điện tử vẫn có thể giúp bảo vệ bí mật

2.3.5 Tấn công bằng sức mạnh vật lý

Trong kỹ thuật này tin tặc sẽ tao ra một khóa ngẫu nhiên sau đó nó dùng

để giải mã cho đến khi xác định được khóa thật Khóa này sẽ được sử dụng để giải mật mã và khôi phục thông tin ban đầu

Vấn đề lớn nhất của kỹ thuật này phụ thuộc vào chiều dài của khóa Khóa càng dài, việc xác định khóa càng khó, thông tin càng an toàn.Ví dụ khóa 32 bít cần 232 lần thử,40 bít cần 240 lần thử Với kỹ thuật hiện tại, mất khoảng một tuần

để phá khóa 40 bít, khoảng vài tháng để phá khóa 52 bít Khóa 128 bít là an toàn nhất

17

Kỹ thuật này đòi hỏi máy tính phải có cấu hình cực mạnh, một cơ sở dữ liệu đủ lớn Càng ngày công nghệ càng phát triển, máy tính càng mạnh, nguy cơ tiềm ẩn càng cao

2.3.6 Tấn công timing (timing attacks)

Đây là một kỹ thuật tấn công bằng phương pháp giải mã tương đối mới, trước hết các tin tặc cần xác định khoảng thời gian để tạo khóa, thông tin này sẽ được phân tích để xác định giải thuật và khóa dùng để mã hóa

 Chú ý: kỹ thuật tấn công này không chú trọng vào phần mềm mà chú trọng vào phần cứng Bất cứ người truyền tin sử dụng kỹ thuật mã hóa nào, các tin tặc đều sử dụng cùng một cách phá mã Tốc độ phá mã càng hoàn

hảo nếu như tốc độ xử lý của phần cứng các tin tặc sử dụng càng cao

2.4 Tấn công từ chối dịch vụ:

Denial-Of-Service (DoS) là kỹ thuật tấn công khá lạ, tin tặc sử dụng một mạng khác để tấn công, ví dụ như : mạo nhận,malware, virus xâm nhập cơ sở dữ liệu hoặc gây thiệt hại Kỹ thuật này có thể gây ra nghẽn mạng ở các trang web

Tấn công DoS là kỹ thuật khá phổ biến vì nó không cần bất kì phần mềm đặc biệt nào để xâm nhập mạng đích Tin tặc này có thể làm nghẽn mạng bằng cách gửi vào load dữ liệu từ trang web Việc này làm trang web không thể truy cập được tất cả các router muốn kết nối với máy chủ đặt web đều bị chặn lại Hậu quả của việc tấn công này có thể làm hư hỏng hoàn toàn máy đích

18

Hình 2.1: Các tin tặc làm tắc nghẽn mạng

Dos có rất nhiều thuận lợi Đầu tiên, DoS rất đa dạng và tấn công vào nhiều mạng đích Các tin tặc có thể tấn công bằng nhiều cách: gửi nhiều email hoặc nhiều yêu cầu IP, tin tặc dễ dàng giấu tên và danh tính Xui xẻo là việc xác định danh tính các tin tặc thực hiện tấn công DoS cực kì khó khăn vì bọn chúng

sử dụng địa chỉ IP giả Một vụ tấn công DoS thành công có thể thực hiện bằng cách gửi một gói IP có dung lượng lớn vào mạng

Một vài công cụ để thự hiện tấn công DoS

 Máy nhận kết nối cũng gửi một gói tin SYN Gói tin này dùng để đồng bộ

 Dựa trên các dữ liệu nhận được, máy chủ ban đầu sẽ gửi dữ liệu hoặc ACK

 Toàn bộ quá trình chỉ trao đổi ba gói dữ liệu, packet (three-way

handshake)

 Kết nối TCP có thể gây ra nghẽn mạng khi các tin tặc gửi các ID giả trong gói tin SYN Nếu ID giả được gởi đi, máy chủ bên kia không bao giờ nhận được thông tin thật Thậm chí nếu vẫn còn kênh để kết nối máy chủ đối diện

sẽ bận rộn với nhiều yêu cầu giả để có thể kết nối với máy chủ cần thết

 Để chống lại kĩ thuật tấn công DoS, có nhiều công cụ ví dụ như: phần mềm Cisco IOS và tường lừa CiscoPix

2.4.2 Cơn bão quảng bá ( Broadcast Storm)

Thông tin quảng bá là thông điệp được gửi dến mọi cá nhân trọng mạng Càng nhiều thông tin quảng bá, càng nhiều thông điệp lưu thông trên mạng Người ta dùng thuật ngữ cơn bão quảng bá để mô tả kỹ thuật tấn công này

Khi sử dụng kỹ thuật cơn bão quảng bá để tấn công, các tin tặc sẽ gửi một lượng gói tin cực lớn chứa các địa chỉ giả vào mạng cá nhân Do địa chỉ giả này không tồn tại trong mạng, các gói tin này sẽ lưu thông trong mạng, di chuyển từ máy này sang máy khác cho đến khi nó làm mạng hoàn toàn đóng băng Các công cụ như asping và gửi mail để tạo ra các cơn bão quảng bá Chúng ta có thể ngăn ngừa hình thức tấn công này bằng cách chặn các thông điệp quảng bá không hợp lệ trong mạng

2.4.3 Smurf DoS

Tấn công smurf được đặt tên sau khi chương trình này được sử dụng để

tấn công Thỉnh thoảng nó còn có tên gọi khác là tấn công khuếch đại ICMP

20

Để thực hiện kỹ thuật tấn công này các tin tặc sử dụng một địa chỉ IP giả

và gửi một lượng lớn các yêu cầu phản hồi ICMPI(ping) Các máy tính nhận

được yêu cầu này có trách nhiệm gửi trả lại thông điệp ICMP Kết quả là một lượng lớn các gói tin lưu thông trong mạng làm mạng trở nên tắc nghẽn

Ghi chú: Nếu có hàng trăm máy tính trong mạng nội bộ, một máy sẽ trả lời cho một yêu cầu cụ thể

2.4.4 Ping of Death

Ping of death là tấn công DoS các tin tặc sẽ gửi một lượng lớn các gói tin

có dung lượng lớn 65,535 byte Các gói tin đó sẽ được gửi vào máy của nạn nhân Máy tính không thể xử lý một lượng lớn thông tin nên sẽ bị reboot hoặc feeze Một số lượng lớn gói tin như vậy sẽ làm cho mạng bị tắc nghẽ n

Nếu tin tặc sử dụng window 95 để thực hiện cuộc tấn công DoS, chúng có thể sử dụng command như sau:

Ping -1 65527 –s 1{destination_IP}

Lệnh này có nghĩa:

-1-65527 tạo bộ đệm cho 65527

-s 1 xác định time stamp cho hop counts

Tấn công teardrop là một dạng tấn công Ping of Death, khi một phân đoạn của gói tin gửi tới nạn nhân Trong khi chờ đợi các phân đoạn để ráp thành một gói tin hoàn chỉnh, máy tính sẽ cố gắng tập hợp tất cả các gói tin lại với nhau Tuy nhiên kích thước gói tin quá lớn so với bộ đệm của máy tính Việc tràn gói tin này có thể làm cho máy chủ của nạn nhân có thể bị treo và ngừng hoạt động

Tấn công a land là một dạng khác của tấn công Ping of Death Trong kỹ thuật tấn công này, các tin tặc sẽ gửi một yêu cầu kết nối TCP giả mạo đến máy nạn nhân Gói tin giả mạo sẽ được chuyển đến máy đích, việc này giống như máy nạn nhân đang cố gắng thực hiện kết nối TCP với chính nó

2.4.5 Bom mail (mail bomb)

Mục tiêu của mail bomb là các hộp thư, mail Một lượng lớn các mail có nội dung giống hệt nhau sẽ được gửi đến hộp thư Thêm vào đó các mail có thể nhân bản vô tính Hộp thư mail không thể xử lý một lượng mail lớn nên máy tính

bị treo, các chương trình khác sẽ bị ngừng hoạt động Hộp thư mail rơi vào trạng thái vòng lặp vô hạn, máy chủ sẽ bị hư

2.4.6 Thư rác (spam mailing)

Tương tự như bom mail spam mailling cũng nhắm vào hộp thư thoại email Spam mailling sử dụng một địa chỉ phản hồi giả Khi bạn gửi thông tin phản hồi cho thông điệp này, phản hồi sẽ đi đến một địa chỉ email không có thực Nếu có một lượng lớn các bức mail như vậy hoặc các bức mail có khả năng tự nhân đôi, hộp thư mail bị quá tải và máy chủ có thể treo

 Chống tấn công DoS

DoS là một vũ khí nhanh chóng và hữu hiệu của các tin tặc Để chống lại,

có thể thực hiện các bước sau

 Vô hiệu hóa các dịch vụ mạng không dùng hoặc không cần thiết

 Duy trì các bản sao

 Tạo, duy trì đăng nhập thường ngày

 Tạo các mật khẩu

 Triển khai hệ thống phát hiện kẻ xâm nhập

 Triển khai các bộ lọc lộ trình và các bộ lọc phân đoạn gói tin ICMP

 Triển khai các hệ thống bảo mật nghiêm ngặt trên máy của bạn

 Định cấu hình cho bộ lọc các gói tin IP giả

 Đặt các bản vá, sửa lỗi để chống lại tấn công TCP SYN

22

 Phân chia file hệ thống để chia các file ứng dụng

 Triển khai các công cụ như tripwire để phát hiện các việc thay đổi thông tin file cấu hình hoặc các file khác

 Authentication Authirization Accounting (AAA)

 Remote Access Dial- In-User Service (RADIUS)

 Terminal Access Controller Access Controller System (TACACS) 3.1.1 Cơ chế xác thực, cấp phép, tính toán( AAA)

Như tên của nó,AAA là kiến trúc dùng để thực hiện 3 chức năng chính xác: xác thực, cấp phép và tính toán Và nó cho phép người quản lý mạng nhận dạng và trả lời 3 câu hỏi quan trọng :

 Ai là người truy cập vào mạng ?

 Khi người dùng truy cập mạng thì được phép làm gì và không được phép làm gì?

 Người dùng đang làm gì và khi nào

3.1.1.1 Xác thực

Như đã biết xác thực là bước đầu tiên để thực hiện bảo mật Quá trình xác thực sẽ xác nhận dạng người dùng hợp pháp trước khi cho phép họ truy nhập vào các tài nguyên của mạng

Quá trình xác thực cung cấp nhiều cơ chế giúp nhận dạng đúng người dùng đang truy nhập vào tài nguyên trong mạng nội bộ ID của người dùng và mật khẩu tương ứng là cách truyền thông để làm việc này Các cơ chế khác gồm

có : thử thách, trả lời đối thoại, hỗ trợ thông điệp, và thỉnh thoảng là mã hóa, dựa trên giao thức bảo mật sử dụng

24

3.1.1.2 Cấp phép

Cấp phép là cơ chế điều khiển các hành động cho phép người dung hoạt động trong mạng và sử dụng các tài nguyên Cấp phép cung cấp một cơ chế điều khiển từ xa, quá trình cấp phép xảy ra cho từng dịch vụ một, cho từng người dùng, cho từng nhóm sử dụng

Thông thường quá trình xác thực xảy ra trước quá trình cấp phép, tuy nhiên điều này không phải bắt buộc Quá trình xác thực sẽ xác định xem người dùng có quyền truy nhập vào mạng không và liệu có được thực hiện các dịch vụ

mà người dùng yêu cầu không

3.1.1.3 Dịch vụ tính toán

Là một cơ chế để ghi lại các hoạt động của người dùng sau khi đăng nhập thành công vào mạng Dịch vụ gồm : tập hợp, bill, kiểm định, báo cáo về nhận dạng người dùng, các câu lệnh đã dùng suốt phiên làm việc, số lượng các gói tin

đã truyền Thông thường dịch vụ tính toán được kích hoạt sau quá trình xác thực

và quá trình cấp phép, tuy nhiên thứ tự này không cố định Dịch vụ tính toán có thể xảy ra cho dù chưa có quá trình xác thực và quá trình cấp phép

Mô hình AAA có thể triển khai tại các thiết bị mạng trung tâm (ví dụ máy chủ đang nhập từ xa và máy chủ RADIUS)

3.1.2 Dịch vụ người dùng truy nhập quay số từ xa

Chương trình được phát triển bởi công ty Livingston dưới sự hỗ trợ của IETF, RADIUS sẽ trở thành một khối chuẩn trong quá trình xác thực từ xa Nó

sẽ được hỗ trợ thành một khối chuẩn trong quá trình xác thực từ xa

Trong hệ thống có tích hợp RADIUS, thông tin người dùng sẽ được lưu trong cơ sở dữ liệu trung tâm Tất cả các máy chủ truy nhập từ xa đều chia sẻ cơ

sở dữ liệu này Khi máy chủ truy nhập từ xa được yêu cầu từ người dùng, RADIUS cho phép quá trình truyền thông giữa cơ sở dữ liệu và máy chủ từ xa RADIUS sẽ xác thực định dạng và dòng có gói tin giữa cơ sở dữ liệu và máy chủ truy nhập từ xa Cơ sở dữ liệu cung cấp thông tin được yêu cầu Máy chủ truy nhập từ xa sử dụng thông tin này để xác thực yêu cầu từ người dùng và cấp phép cho người dùng sử dụng tài nguyên của mạng

RADIUS gồm có 2 thành phần : RADIUS máy khách và RADIUS máy chủ

26

Hình 3.2: Hai thành phần của RADIUS

RADIUS máy chủ yêu cầu nhận AAA từ RADIUS máy khách ( ví dụ yêu cầu thiết lập tường lửa) RADIUS máy chủ sau khi nhập yêu cầu sẽ xác nhận nó đúng nếu nó chứa các thông tin liên quan Nếu thông tin yêu cầu chứa trong cơ

sở dữ liệu trung tâm hoặc các máy chủ RADIUS hoặc TACACS khác, yêu cầu sẽ được chuyên đên thiết bị có thông tin đó

Thực thi RADIUS:

27

Hình 3.3: RADIUS traffic flow

3.1.3 TACACS(Terminal Access Controller Access Controller System)

Hệ thống phát triển bởi Cisco, TACACS khá giống với RADIUS, TACACS cũng là một giao thức chuẩn dùng cho công nghiệp sản xuất

Các chức năng của TACACS cũng tương tự như RADIUS