Đang tải... (xem toàn văn)
Bài giảng An ninh mạng - Bài 11: An toàn bảo mật các giao thức mạng. Sau khi học xong chương này, người học có thể hiểu được một số kiến thức cơ bản về: Tổng quan về mạng máy tính, Kiến trúc phân tầng, đóng gói dữ liệu (TCP), tấn công các giao thức tầng ứng dụng, tấn công giao thức TCP.
BÀI 11 AN TOÀN BẢO MẬT CÁC GIAO THỨC MẠNG Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội Nội dung • Tổng quan mạng máy tính • An tồn bảo mật số giao thức TCP/IP • An toàn bảo mật định tuyến, chuyển mạch CuuDuongThanCong.com https://fb.com/tailieudientucntt 1 Tổng quan mạng máy tính • Mạng máy tính gì? • Giao thức? • Hạ tầng mạng Internet ISP Backbone ISP Kiến trúc phân tầng Ứng dụng Giao vận Mạng Liên kết liệu - Cung cấp dịch vụ cho người dùng - Gồm tiến trình: client server - Sử dụng dịch vụ tầng giao vận để trao đổi liệu tiến trình - Giao thức tầng ứng dụng: DNS, DHCP, HTTP, SMTP, POP, IMAP Vật lý CuuDuongThanCong.com https://fb.com/tailieudientucntt Kiến trúc phân tầng (tiếp) Ứng dụng Giao vận Mạng Liên kết liệu - Điều khiển trình truyền liệu tiến trình - Dồn kênh/Phân kênh: số hiệu cổng dịch vụ - TCP: hướng liên kết, tin cậy, truyền theo dòng byte - UDP: hướng không liên kết, truyền theo tin (datagram) Vật lý Kiến trúc phân tầng (tiếp) Ứng dụng Giao vận Mạng Liên kết liệu Kết nối liên mạng (Internetworking): - Đóng gói, phân mảnh liệu - Định danh: địa IP - Định tuyến - Chuyển tiếp gói tin - Đảm bảo chất lượng dịch vụ Vật lý CuuDuongThanCong.com https://fb.com/tailieudientucntt Kiến trúc phân tầng (tiếp) Ứng dụng Giao vận Mạng Liên kết liệu Vật lý - Điều khiển truyền liệu liên kết vật lý: đóng gói, đồng bộ, phát sửa lỗi - Chuyển mạch liệu liên kết vật lý - Điều khiển truy cập đường truyền - Hỗ trợ truyền thông quảng bá - VLAN Kiến trúc phân tầng (tiếp) Ứng dụng Giao vận Mạng Liên kết liệu Vật lý - Mã hóa bit thành tín hiệu - Điều chế tín hiệu truyền tín hiệu liên kết vật lý CuuDuongThanCong.com https://fb.com/tailieudientucntt Kiến trúc phân tầng (tiếp) Ứng dụng Chỉ triển khai hệ thống đầu cuối Giao vận Mạng Triển khai tất hệ thống Liên kết liệu Khác đường truyền vật lý khác Vật lý Chồng giao thức (protocol stack) Giao thức ứng dụng Ứng dụng Ứng dụng TCP/UDP Giao vận Mạng Giao thức IP Liên kết liệu Giao thức liên kết liệu Vật lý Mạng Liên kết liệu Giao vận Giao thức IP Mạng Giao thức liên kết liệu Liên kết liệu Vật lý Vật lý Tín hiệu Tín hiệu 10 CuuDuongThanCong.com https://fb.com/tailieudientucntt Đóng gói liệu (TCP) • Nút gửi: Thêm thơng tin điều khiển (header) • Nút nhận: Loại bỏ thông tin điều khiển TCP Header Ứng dụng Giao vận (TCP, UDP) segment Mạng (IP) packet Liên kết liệu frame Vật lý Dữ liệu/thông điệp tầng ứng dụng message IP Header TCP data TCP data IP TCP data ETH IP TCP data Link (Ethernet) Header TCP data ETF Link (Ethernet) Trailer 11 Những khó khăn với tốn ATBM mạng máy tính (nhắc lại) • Hệ thống mở • Tài nguyên phân tán • Người dùng ẩn danh • TCP/IP không thiết kế để đối mặt với nguy ATBM Không xác thực bên Khơng xác thực, giữ bí mật liệu gói tin 12 CuuDuongThanCong.com https://fb.com/tailieudientucntt TẤN CƠNG CÁC GIAO THỨC TẦNG ỨNG DỤNG Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội 13 1.1 Tấn cơng dịch vụ DNS • Tên miền (domain name): định danh tầng ứng dụng cho nút mạng cung cấp dịch vụ • Domain Name System • Dịch vụ DNS: phân giải tên miền thành địa IP ngược lại UDP, cổng 53 14 CuuDuongThanCong.com https://fb.com/tailieudientucntt Hệ thống tên miền Khơng gian tên miền Kiến trúc : hình Root Zone Mỗi nút tập hợp ghi mô tả tên miền tương ứng với nút SOA NS A PTR CNAME 15 Hệ thống máy chủ DNS • Máy chủ tên miền gốc (Root server) Trả lời truy vấn cho máy chủ cục Quản lý zone phân quyền quản lý cho máy chủ cấp Có 13 máy chủ gốc mạng Internet 16 CuuDuongThanCong.com https://fb.com/tailieudientucntt Hệ thống máy chủ (tiếp) • Máy chủ tên miền cấp (Top Level Domain) Quản lý tên miền cấp • Máy chủ tổ chức: ISP • Máy chủ cục bộ: dành cho mạng cục 17 Phân giải tên miền • Phân giải tương tác: Cơ chế mặc định máy chủ DNS Tải đặt lên máy chủ tên miền gốc lớn Thực tế máy chủ DNS cục thường biết máy chủ TLD (cơ chế cache) soict.hust.edu.vn 202.191.56.65 root server soict.hust.edu.vn Hỏi dns.hust.edu.vn Local/ISP server TLD server dns.vn Authoritative DNS server dns.hust.edu.vn 18 CuuDuongThanCong.com https://fb.com/tailieudientucntt Phân giải tên miền • Phân giải đệ quy Root server soict.hust.edu.vn 202.191.56.65 soict.hust.edu.vn 202.191.56.65 TLD server Local/ISP server Tải đặt lên máy chủ cấp lớn Thực tế máy chủ tên miền gốc máy chủ cấp không thực phân giải đệ quy dns.vn soict.hust.edu.vn 202.191.56.65 Authoritative DNS server dns.hust.edu.vn 19 Thông điệp DNS • DNS Query DNS Reply Chung khn dạng • QUESTION: tên miền cần truy vấn Số lượng: #Question • ANSWER: thơng tin tên miền tìm kiếm Số lượng: #Answer RRs • AUTHORITY: địa server trả lời truy vấn • ADDITIONAL: thơng tin phân giải tên miền cho địa khác SRC = 53 DST = 53 checksum length Identification Flags #Question #Answer RRs #Authority RRs #Additional RRs QUESTION ANSWER AUTHORITY ADDITIONAL 20 CuuDuongThanCong.com https://fb.com/tailieudientucntt 10 Nguy công vào giao thức ICMP (Tính sẵn sàng) • Ping of Death: gửi liên tục gói tin ICMP có kích thước tối đa (xấp xỉ 64 KB) • Smurf attack 45 Tấn cơng giao thức định tuyến • Định tuyến: tìm đường ngắn tới mạng đích Bảng định tuyến: lưu thơng tin đường • Định tuyến tĩnh: người dùng định nghĩa nội dung bảng định tuyến an tồn khơng cập nhật theo thay đổi trạng thái liên kết • Định tuyến động: router tự động xây dựng nội dung bảng định tuyến • Đặc điểm định tuyến: Mỗi nút chắn thông tin cục Các nút trao đổi thông tin định tuyến theo chế flooding 46 CuuDuongThanCong.com https://fb.com/tailieudientucntt 23 Định tuyến mạng Internet • Chia thành vùng tự trị định tuyến AS Thường đăng ký quản lý ISP • Phân cấp: Định tuyến nội vùng(IGP): RIP, OSPF, IGRP, EIGRP Định tuyến ngoại vùng(EGP): BGP AS400 AS100 BGP BGP BGP BGP AS300 IGP AS200 47 Hoạt động BGP(tóm tắt) • Hỗ trợ định tuyến khơng phân lớp • Tìm đường tới vùng tự trị (AS) • Mỗi router quảng bá thơng tin đường tới router khác tin UPDATE Thông tin đường đi: danh sách AS đường tới AS đích • Thực sách trình chọn đường Lựa chọn đường Quảng bá đường vào … 48 CuuDuongThanCong.com https://fb.com/tailieudientucntt 24 BGP: Chính sách lựa chọn-quảng bá Quảng bá Lựa chọn Khách hàng A C Đối thủ cạnh tranh B Lựa chọn: Đường dùng để chuyển liệu tới AS đích? Kiểm sốt thơng tin khỏi AS Quảng bá: Quảng bá cho AS khác đường nào? Kiểm sốt thơng tin vào AS 49 Hoạt động BGP – Ví dụ NLRI: 128.1.1.0/24 Nexthop: 190.225.11.1 ASPath: 200 100 NLRI: 128.1.1.0/24 Nexthop: 192.208.10.1 ASPath: 100 192.208.10.2 AS200 190.225.11.1 AS400 192.208.10.1 AS100 128.1.1.0/24 129.213.1.2 AS300 129.213.1.1 NRLI:128.1.1.0/24 Nexthop: 129.213.1.2 ASPath: 100 150.211.1.1 NLRI: 128.1.1.0/24 Nexthop: 150.212.1.1 ASPath: 300 100 50 CuuDuongThanCong.com https://fb.com/tailieudientucntt 25 Tấn cơng giao thức định tuyến • RIPv1: khơng hỗ trợ chế xác thực thông tin trao đổi nút khai thác công thay đổi, giả mạo thơng tin • RIPv2, OSPF: hỗ trợ chế xác thực pre-shared key Khóa khơng ngẫu nhiên, người dùng lựa chọn • OSPF: Lợi dụng chế quảng bá thông tin LSA giả để công DoS (black-hole attack) • BGP: Giả mạo thơng tin định tuyến để điều hướng liệu Hậu quả: công từ chối dịch vụ, man-in-the-middle, thư rác 51 Tấn công BGP: Giả mạo thông tin đường Destination Route Destination Route Google G←B Google M G B C M Đường M tới g tốt B 52 CuuDuongThanCong.com https://fb.com/tailieudientucntt 26 Tấn công BGP: Giả mạo thông tin đường Destination Route Destination Route Google G←B←C Google G←B←M G B C Destination Route Google G←B←D E M Đường M tới G tốt D D 53 Tấn công BGP: Giả mạo thơng tin đường • Chính sách E: Khơng lựa chọn đường qua C Destination Route Destination Route Google G←B←C Google G←B←X←M G B C M E Đường M không qua C 54 CuuDuongThanCong.com https://fb.com/tailieudientucntt 27 Tấn cơng BGP: Path hijack • Lợi dụng chế Longest Matching 55 BGP hijacking – Ví dụ • Tháng 02/08: phủ Pakistan ngăn cản truy cập vào trang Youtube: Địa Youtube: 208.65.152.0 /22 youtube.com: 208.65.153.238 /22 Pakistan Telecom quảng bá thông tin định tuyến BGP tới mạng 208.65.153.0 /24 router Internet cập nhật đường theo quy tắc longest matching bị đánh lừa youtube.com nằm Pakistan truy cập youtube.com • Tháng 03/2014: dịch vụ DNS bị Google công với địa 8.8.8.8/32 Không thể truy cập từ số nước Nam Mỹ 22 phút 56 CuuDuongThanCong.com https://fb.com/tailieudientucntt 28 BGP hijacking – Ví dụ • Tháng 2/2013: đường từ AS Guadalajara tới WasingtonDC chuyển hướng qua Belarus vài Đường đúng: Alestra (Mexico) PCCW (Texas) Qwest (DC) • Tương tự: công công Dell SecureWorks năm 2014, ISP Italia vào 6/2015 57 S-BGP • Sử dụng chế mật mã học R1 R11 R6 R12 R2 R3 R7 R13 R9 R8 R4 R5 C1 CuuDuongThanCong.com R10 C2 R15 R14 C358 https://fb.com/tailieudientucntt 29 Hoạt động OSPF(tóm tắt) • Router quảng bá thông tin liên kết LSA mạng • Mỗi router thu thập thơng tin LSA xây dựng topology mạng tìm đường ngắn LSAX LSAX X A X has link to A, cost 10 X has link to C, cost 20 X A C B LSAX C B D (a) X (b) A X A LSAX LSAX C B D D C B LSAX (c) (d) D 59 Các chế ATBM OSPF • Xác thực tin LSA Trên liên kết, router chia sẻ giá trị bí mật Sử dụng hàm MAC để tạo mã xác thực: MAC(k, m) = MD5(data || key || pad || length) • Cơ chế “fight back”: router nhận LSA với giá trị timestamp hơn, quảng bá tin LSA 60 CuuDuongThanCong.com https://fb.com/tailieudientucntt 30 Tấn công giao thức OSPF • Kẻ cơng gửi thơng tin LSA giả mạo để router cập nhập đường ngắn qua router khơng có thực • Ví dụ Victim (DR) adjacency phantom router a remote attacker LAN net 61 TẤN CÔNG CÁC GIAO THỨC TẦNG LIÊN KẾT DỮ LIỆU VÀ TẦNG VẬT LÝ Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội 62 CuuDuongThanCong.com https://fb.com/tailieudientucntt 31 Các nguy cơng • Nghe lén: Với mạng quảng bá (WiFi, mạng hình trục, mạng dùng hub): dễ dàng chặn bắt gói tin Với mạng điểm-điểm: Đoạt quyền điều khiển nút mạng Chèn nút mạng cách trái phép vào hệ thống Cơng cụ phân tích: tcpdump, Wireshark, thư viện winpcap, thư viện lập trình Socket • Giả mạo thơng tin: công vào giao thức ARP, VLAN, chế tự học MAC hoạt động chuyển mạch • Phá hoại liên kết: chèn tín hiệu giả, chèn tín hiệu nhiễu, chèn thơng điệp lỗi • Thơng thường công vào mạng LAN kẻ công bên gây 63 Tấn cơng VLAN • VLAN: miền quảng bá logic switch phân tách • • • • • lưu lượng mạng tầng Các chế ATBM triển khai VLAN: điều khiển truy cập (access control), cách ly tài nguyên quan trọng Các VLAN gán dải địa IP khác Các khung tin Ethernet gắn thêm VLAN tag (802.1Q ISL) Chuyển mạch thực VLAN Trao đổi liệu VLAN: định tuyến (inter VLAN routing) 64 CuuDuongThanCong.com https://fb.com/tailieudientucntt 32 Tấn cơng: VLAN hopping • Mục đích: truy cập vào VLAN khác từ Native VLAN • Lỗ hổng: liệu chuyển Native VLAN không cần gắn tag • Đánh lừa switch chuyển tiếp gói tin vào VLAN • Double-tag attack 96 Data VLAN Attacker Native VLAN (1) 96 Data VLAN 96 • Phịng chống? 65 Tấn cơng VLAN: DTP VTP • Dynamic Trunking Protocol: tự động cấu hình chế độ trunking cho cổng VLAN Tấn cơng giả mạo gói tin DTP để lừa switch kết nối vào VLAN kẻ cơng • VLAN Trunking Protocol: tự động chuyển tiếp thơng tin cấu hình VLAN từ VTP server tới VTP client Tấn công giả mạo gói tin để xóa VLAN (DoS) thêm VLAN gồm tất switch (tạo bão quảng bá – broadcast storm) • Phịng chống? 66 CuuDuongThanCong.com https://fb.com/tailieudientucntt 33 Tấn cơng giao thức STP • Spanning Tree Protocol: khử loop mạng kết nối switch có vịng kín • Một switch có giá trị priority nhỏ đóng vai trị gốc • Các switch cịn lại tạm ngắt cổng xa nút gốc nhất: Thông thường xác định trọng số liên kết dựa băng thông • STP khơng có chế xác thực • Tấn công vào STP: đoạt quyền root switch DoS: black-hole attack, flooding attack Chèn liệu giả mạo vào luồng trao đổi thông tin Tấn công man-in-the-middle 67 Tấn cơng chế tự học MAC (chuyển mạch) • Tấn cơng MAC flooding: gửi hàng loạt gói tin với địa MAC nguồn giả bảng MAC bị tràn Các gói tin thực bắt buộc phải chuyển kiểu quảng bá: Gây bão quảng bá chiếm dụng băng thông đường truyền, tài nguyên nút mạng khác Nghe trộm thông tin • Giả mạo địa MAC • Phòng chống? 68 CuuDuongThanCong.com https://fb.com/tailieudientucntt 34 Tấn cơng giao thức ARP • Address Resolution Protocol: tìm địa MAC tương ứng với địa IP • Sử dụng phương thức quảng bá ARP Request: Khơng cần thiết lập liên kết • Khơng có chế xác thực ARP Response • Tấn cơng: Giả mạo: ARP Spoofing DoS 69 ARP Spoofing Host B 10.0.0.3 MAC: 0000:ccab Host A 10.0.0.1 MAC: 0000:9f1e IP 10.0.0.3 MAC 0000:7ee5 Gratuitious ARP: “My MAC is 0000:7ee5 and I have IP address 10.0.0.3” Attacker 10.0.0.6 MAC: 0000:7ee5 • Đặc biệt nguy hiểm đưa địa MAC giả mạo gateway router: Nghe Man-in-the-middle 70 CuuDuongThanCong.com https://fb.com/tailieudientucntt 35 Tấn công nghe tầng vật lý • Nghe trộm tín hiệu cáp đồng 71 Tấn cơng nghe tầng vật lý • Nghe trộm tín hiệu cáp quang 72 CuuDuongThanCong.com https://fb.com/tailieudientucntt 36 Bài giảng sử dụng số hình vẽ ví dụ từ giảng: • Computer and Network Security, Stanford University • Computer Security, Berkeley University • Network Security, Illinois University 73 CuuDuongThanCong.com https://fb.com/tailieudientucntt 37 ... công phát lại Tấn cơng man-in-the-middle • Phịng chống: DHCP Snooping 32 CuuDuongThanCong.com https://fb.com/tailieudientucntt 16 TẤN CÔNG GIAO THỨC TCP Bùi Trọng Tùng, Viện Công nghệ thông... nối liên mạng (Internetworking): - Đóng gói, phân mảnh liệu - Định danh: địa IP - Định tuyến - Chuyển tiếp gói tin - Đảm bảo chất lượng dịch vụ Vật lý CuuDuongThanCong.com https://fb.com/tailieudientucntt... cập vào VLAN khác từ Native VLAN • Lỗ hổng: liệu chuyển Native VLAN khơng cần gắn tag • Đánh lừa switch chuyển tiếp gói tin vào VLAN • Double-tag attack 96 Data VLAN Attacker Native VLAN (1) 96