Một số phương thức tấn công mạng VoIP:

Một phần của tài liệu Đảm bảo an ninh cho hệ thống VOIP di động (Trang 30)

1.2.2.1. Tấn công từ chối dịch vụ (DoS) hoặc phá vỡ dịch vụ VoIP

Dịch vụ internet là một chƣơng trình chạy trên một host máy tính chờ đợi một kết nối từ khách hàng. Tấn công DoS ngăn chặn không cho tiếp cận dịch vụ. Đây là loại tấn công trực tiếp và chủ động. Ngƣời tấn công không có ý định ăn cắp một cái gì cả. Anh ta chỉ muốn đơn giản là đặt dịch vụ ra khỏi khách hàng. Nhƣng không phải lúc nào dịch vụ không đƣợc tiếp cận là nguyên nhân của tấn công DoS. Nó có thể là nguyên nhân của cấu hình sai cũng nhƣ là nguyên nhân của việc sử dụng sai.

Phụ thuộc vào các tính chất của các hành động trên mang lại mà các dịch vụ này có thể gặp phần nào một số hậu quả khó khăn, ví dụ nhƣ một shop trực tuyến. Một tấn công DoS có thể là một trong ba loại sau đây:

- Đe doạ vật lý hoặc hay thay đổi các thành phần mạng. - Đe doạ hay thay đổi cấu hình thông tin.

Tiêu thụ khó khăn, giới hạn hay không thể khôi phục nguồn tài nguyên. Các sửa đổi một phần kiến trúc phần cứng của hệ thống đƣợc xem nhƣ là truy cập đến vùng của nó. Một ngƣời tấn công chỉ có thể cố gắng phá hủy các phần cứng vật lý thông qua làm đổi hƣớng phần mềm. Một tấn công DoS trên internet có thể chỉ là loại thứ hai hay thứ ba. Sự thay đổi cấu hình thông tin cần phải truy cập đến host máy tính. Điều này ám chỉ rằng ngƣời tấn công đƣợc quản lí hệ thống khi xâm phạm hệ thống. Cách thức tấn công dễ nhất của DoS là giới hạn nguồn tài nguyên, chẳng hạn nhƣ băng thông dành cho dịch vụ internet. Tác động của việc tấn công sẽ lớn hơn nếu vị trí bị tấn công từ một vài host ở cùng một thời điểm. Các biến thể của tấn công DoS đƣợc gọi là tấn công từ chối phân bổ của dịch vụ DDoS.

Tấn công DoS có thể ảnh hƣởng đến tất cả các dịch vụ trong mạng IP. Hậu quả của tấn công DoS có thể làm giảm chất lƣợng dịch vụ hoặc nặng hơn có thể làm mất dịch vụ. Ta có các loại tấn công nhƣ sau:

- DDoS (Distributed denial-of-service): đây là kiểu tấn công mà các gói tin làm tràn ngập mạng đích từ nhiều nguồn khác nhau bên ngoài, đƣợc mô tả trong hình 1.10 và 1.11.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Hình 1.10: Luồng trao đổi thông thƣờng

Các luồng traffic trao đổi bình thƣờng giữa các host và server bên trong và ngoài mạng. Hình dƣới cho thấy sự tấn công luồng traffic IP trực tiếp từ interface của firewall.

Hình 1.11: Luồng trao đổi bị tấn công DDoS

Ví dụ trong năm 2004, các trang web của Yahoo, Google và Microsoft đã biến mất trên internet trong vài giờ khi các server của họ bị làm tràn với hang trăm ngàn yêu cầu từ các trang web khác. Điều này làm suy giảm băng thông và các server CPU không thể xử lý nổi.

- DoS (Denial of Service): điều kiện tấn công DoS xảy ra khi thiết bị ở trong mạng nội bộ là cái đích của việc làm tràn ngập các gói, dẫn đến mất liên lạc giữa các phần trong cấu trúc mạng liên quan đến thiết bị đó. Cũng giống nhƣ DoS ở trên,

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

các dịch vụ cũng bị bẻ gãy và làm giảm băng thông và tài nguyên CPU. Ví dụ một vài điện thoại IP sẽ ngừng hoạt động nếu chúng nhận các gói tin UDP lớn hơn 65534 bytes ở port 5060.

Hình 1.12: Tấn công DoS làm ngừng hoạt động của điện thoại IP

Việc kiểm tra tính toàn vẹn và kể cả việc mã hóa cũng không thể ngăn chặn những tấn công này. Đặc tính của tấn công DoS và DDoS là đơn giản bằng cách gửi một lƣợng lớn các gói tin đến máy nạn nhân. Mặc dù các gói tin này có đƣợc đăng ký với server hay không, nguồn địa chỉ IP là thật hay giả, hoặc đƣợc mã hóa với một key không có thật đi nữa thì việc tấn công vẫn có thể xảy ra.

Tấn công DoS thật khó để chống lại bởi vì VoIP cũng chỉ là một trong những dịch vụ trên mạng IP, nó cũng dễ bị tấn công nhƣ các dịch vụ trên mạng IP khác. Hơn nữa tấn công DoS có ảnh hƣởng đặc biệt tới các dịch vụ nhƣ VoIP và các dịch vụ thời gian thực khác, bởi vì các dịch vụ này rất “nhạy cảm” với trạng thái mạng. Virus và worm nằm trong danh sách gây nên tấn công DoS hay DDoS dựa trên việc tăng lƣu lƣợng mạng mà chúng tạo ra bằng cách tái tạo và nhân bản.

Vậy chúng ta sẽ chống lại tấn công DoS nhƣ thế nào? Chúng ta bắt đầu bằng việc tấn công DoS trong mạng nội bộ. Ở hình trên thì VLAN 10 ở bên phải không bị ảnh hƣởng phá vỡ dịch vụ bởi VLAN 2 ở bên trái. Với minh họa này thì ngƣời quản trị bảo mật có thể ngăn cản tấn công DoS bằng cách chia mạng thành nhiều phần. Mỗi phần có thể “miễn dịch” với tấn công DoS với các phần còn lại.

Điểm mấu chốt của chúng ta là sẽ làm giảm tấn công DoS một cách có hiệu quả. Nhƣ ta đã biết, trong môi trƣờng VoIP sự chứng thực bền vững ít khi đƣợc sử dụng. Các thành phần thông điệp phải xử lý chính xác và các thông điệp xử lý có thể là từ ngƣời tấn công. Thêm vào đó việc xử lý những thông điệp giả sẽ làm suy

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

kiệt nguồn tài nguyên của server, điều đó dẫn đến tấn công DoS. Việc làm tràn ngập các thông điệp đăng ký SIP và H.323 là một ví dụ điển hình. Trong trƣờng hợp này server có thể giảm nhẹ các nguy cơ tấn công bằng cách giới hạn số thông điệp đăng ký mà nó sẽ xử lý trong thời gian cụ thể cho từng địa chỉ cụ thể (chẳng hạn là địa chỉ IP). Và một hệ thống chống xâm nhập (Intrustion Prevention System-IPS) có thể hữu ích trong một số loại tấn công DoS nào đó.

Thiết bị này nằm trên đƣờng dữ liệu và giám sát lƣu lƣợng di qua nó. Khi có một lƣu lƣợng bất thƣờng đƣợc phát hiện, IPS sẽ ngăn chặn lƣu lƣợng bất thƣờng này. Một vấn đề nữa mà ta đã thấy với các thiết bị, đặc biệt là trong môi trƣờng yêu cầu lợi ích cao, là việc các thiết bị thỉnh thoảng ngăn chặn các lƣu lƣợng bình thƣờng. Mà điều đó cũng có thể xem là một hình thức tấn công DoS.

Hơn nữa, các nhà quản trị bảo mật có thể giảm thiểu đến mức tối đa nguy cơ tấn công DoS bởi một điều chắc chắn là điện thoại IP và các server đƣợc cập nhật các phiên bản ổn định nhất. điển hình là khi một cảnh báo tấn công DoS đƣợc công bố, nhà sản xuất sẽ nhanh chóng vá các lỗi vừa phát hiện.

Hệ thống VoIP đòi hỏi đặt ra yêu cầu dịch vụ phải chính xác. Dƣới đây là một số ví dụ tấn công DoS gây ra có thể làm cho các dịch vụ VoIP mất đi một phần hoặc toàn bộ giá trị thông qua việc ngăn chặn thành công các cuộc gọi, ngắt các cuộc gọi hoặc ngăn chặn các dịch vụ tƣơng tự nhƣ là voice mail. Chú ý là các kiểu tấn công bên dƣới này không bao hàm hết nhƣng cũng minh họa một vài phiên bản tấn công.

Khởi động lại kết nối TLS (TLS Connection Reset): nó không khó để tấn công khởi động lại một kết nối trên kết nối TLS (thƣờng dùng cho báo hiệu bảo mật giữa thoại và gateway)- chỉ cần gửi đúng loại gói thì kết nối TLS sẽ bị khởi động lại, làm gián đoạn kênh báo hiệu giữa điện thoại và call server.

Tấn công chuyển tiếp các gói VoIP (VoIP packet relay Attack): bắt và gửi lại các gói VoIP đến điểm cuối, cộng thêm việc trì hoãn tiến trình cuộc gọi sẽ làm giảm chất lƣợng cuộc gọi.

Đƣờng hầm dữ liệu (data tunneling): không chính xác là một sự tấn công, đúng hơn là tạo một đƣờng hầm dữ liệu xuyên qua cuộc gọi vừa tạo, thực chất đây là hình thức mới truy cập trái phép modem. Việc vận chuyển tín hiệu modem thông qua những gói tin mạng bằng phƣơng pháp điều chế xung mã (PCM-Pulse Code Modulation) để mã hóa các gói hay là bằng cách đặt chúng trong các thông tin header, VoIP có thể đƣợc dùng để hỗ trợ cuộc gọi từ modem qua mạng IP. Kỹ thuật

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

này đƣợc dùng để bỏ qua hay phá hoại chính sách của modem để bàn và che dấu việc không đƣợc phép kết nối dữ liệu. Điều này cũng tƣơng tự nhƣ khái niệm “IP over HTTP”, một vấn đề kinh điển đối với tất cả các port mở trên firewall từ các nguồn bên trong.

Tấn công thay đổi chất lƣợng dịch vụ (QoS Modification Attack): thay đổi các trƣờng thông tin điều khiển các giao thức VoIP riêng biệt trong gói dữ liệu VoIP và từ điểm cuối làm giảm hoặc từ chối dịch vụ thoại. Ví dụ, nếu một ngƣời tấn công đổi thẻ 802.1Q VLAN hoặc bit To Strong gói IP, cũng giống nhƣ là ngƣời đứng giữa (man-in-the-middle) hay sự thỏa hiệp trong cấu hình thiết bị đầu cuối, ngƣời tấn công có thể sẽ phá vỡ chất lƣợng dịch vụ của mạng VoIP. Do lƣu lƣợng thoại phụ thuộc vào lƣu lƣợng dữ liệu nên về căn bản, kẻ tấn công có thể trì hoãn việc phân phát các gói thoại.

Sự tiêm các gói VoIP (VoIP packet Injection): tức là gửi các gói VoIP giả mạo đến điểm cuối, thêm vào đoạn thoại hay nhiễu hay khoảng lặng vào hoạt động thoại. Ví dụ khi RTP đƣợc dung mà không có sự xác thực của gói RTCP ( và cả không có sự lấy mẫu của SSRC), kẻ tấn công có thể tiêm thêm các gói RTCP vào nhóm multicast với SSCR khác, mà điều này có thể làm tăng số lƣợng nhóm theo hàm mũ.

Tấn công DoS vào các dịch vụ bổ xung (DoS against supplementary services): khởi đầu tấn công DoS là chống lại các dịch vụ mạng khác mà dịch vụ VoIP có mối liên hệ ( ví dụ: DHCP, DNS, BOOTP). Ví dụ trong mạng mà đầu cuối VoIP dựa vào địa chỉ đăng ký DHCP, làm mất khả năng của DHCP server ngăn chặn điểm cuối lấy đƣợc địa chỉ và các thông tin định tuyến cần thiết dùng cho dịch vụ VoIP.

Tràn ngập các gói điều khiển: (Control Packet Flood) : làm tràn ngập VoIP server hoặc đầu cuối với những gói điều khiển cuộc gọi không rõ nguồn gốc (ví dụ trong H.323, các gói GRQ, RRQ, URQ sẽ đƣợc gửi đến UDP/1719). Mục đích của kẻ tấn công là làm suy yếu thiết bị hệ thống hoặc tài nguyên mạng. Do đó không thể dung các dịch vụ VoIP. Bất kể các port mở trong tiến trình cuộc gọi và VoIP server lien quan có thể trở thành mục tiêu của kiểu tấn công DoS này.

Tấn công DoS Wireless (Wireless DoS) cách này sẽ tấn công vào đầu cuối VoIP Wireless bằng cách gửi những frame 802.11 hoặc 802.1X để ngắt các kết nối. Ví dụ tấn công Message Integrity sẽ làm cho access point cách ly các trạm khi nó nhận 2 frame không hợp lệ trong vòng 60 giây. Dẫn đến mất kết nối này trong vòng

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

60 giây. Và trong môi trƣờng VoIP thì việc mất dịch vụ trong vòng 60 giây thì không thể chấp nhận đƣợc.

Thông điệp giả (Bogus Message DoS): gửi đến VoIP server và các điểm cuối các giao thức VoIP giả mạo nhằm hủy kết nối hoặc tình trạng bận ở đầu cuối. Kiểu tấn công này làm cho các phone phải xử lý các message giả và các đầu cuối phải thiết lập những kết nối ảo hoặc làm cho ngƣời tham gia cuộc gọi lầm rằng đƣờng dây đang bận.

Gói tin không hợp lệ (Invalid Packet DoS): gửi đến VoIP server và đầu cuối những gói không hợp lệ để khai thác hệ điều hành thiết bị và TCP/IP để thực hiện từ chối dịch vụ CVEs. Theo sự mô tả của CAN-2002-0880, dùng jolt có thể bẻ gãy Cisco IP phone và sự phân đoạn thong thƣờng dựa trên các phƣơng thức DoS khác.

Sự thực thi giao thức VoIP (VoIP Protocol Implementation) : gửi đến server VoIP hoặc đầu cuối những gói tin không hợp lệ để có thể khai thác những điểm yếu trong sự thực thi giao thức VoIP và tạo nên tấn công DoS. Ví dụ, CVE-2001-00546 đề cập đến việc sử dụng các gói H.323 “xấu” để khai thác lỗ hỏng bộ nhớ ISA của Window. CAN-2004-0056 sử dụng các gói H.323 nhƣ trên để khai thác điểm yếu của Nortel BCM. Nếu nhƣ không thƣờng xuyên cập nhập phần mềm một cách hợp lý thì sẽ tăng rủi ro cho hệ thống.

Packet of Death DoS: làm tràn ngập VoIP server hoặc đầu cuối với những gói hoặc những phân đoạn TCP, UDP, ICMP ngẫu nhiên nhằm làm suy hao CPU thiết bị cũng nhƣ băng thông, phiên TCP… Ví dụ khi gửi một số lƣợng gói TCP với sự ƣu tiên phân phát. Trong quá trình tràn ngập này làm tăng sự xử lý, can thiệp vào tải so với khả năng của hệ thống nhận, để xử lý lƣu lƣợng thật, và kết quả ban đầu là làm trì hoãn lƣu lƣợng, sau cùng là đập vỡ hoàn toàn lƣu lƣợng.

1.2.2.2. Một số cách tấn công chặn và cướp cuộc gọi:

a. Tấn công Replay:

Tấn công replay là tấn công chủ động hƣớng về nghi thức. Đặc trƣng của ngƣời tấn công này giành đƣợc gói dữ liệu gởi hoặc nhận đến host. Anh ta sửa đổi chúng và sử dụng lại để truy cập vào một số dịch vụ nào đó. Một ví dụ tƣơng ứng với loại thoại IP là ngƣời tấn công đạt đƣợc trong tay các gói dữ liệu gởi từ một user có quyền để thiết lập cuộc gọi và gởi lại chúng sau khi đã sửa đổi địa chỉ nguồn và IP. Nó có thể bị ngăn chặn bằng cách thực thi hai dịch vụ bảo mật nhận thực thực thể ngang hàng (peer entity authencation) và tính toàn vẹn dữ liệu (data intergrity).

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Đây là phƣơng thức tấn công phổ biến. Đây là kết quả chính của việc phát triển phần mềm không đúng lúc. Kỹ thuật này lợi dụng trên thực tế là có một vài lệnh không kiểm tra đầu vào dữ liệu. Chúng đƣợc ứng dụng đặc biệt để xâu chuỗi xử lý các lệnh. Quá trình gia nhập với nhiều đầu vào, các lệnh hay là các chƣơng trình có khả năng làm cho bộ nhớ hệ thống bị viết đè lên. Nội dung của bộ nhớ này có thể bắt đầu hoặc quay trở lại địa chỉ của các chƣơng trình subroutine. Trƣờng hợp xấu nhất ngƣời tấn công có thể thêm vào đoạn code hiểm để cung cấp cho các quyền quản lí của hệ thống. Biện pháp đối phó là huỷ tất cả các code “yếu”, chính các lỗ hỗng nhận thức đƣợc chứa trong các hệ thống hoạt động và các chƣơng trình ngôn ngữ.

c. Tấn công man in the middle

Trong tấn công man in the middle ngƣời tấn công quản lý để cắt đứt kết nối giữa hai bên gọi. Cả hai bên tham gia kết nối này đều nghĩ rằng chúng truyền thông với nhau. Thực tế, tất cả các dữ liệu đƣợc định tuyến qua ngƣời tấn công. Hacker đã hoàn thành việc truy cập để thay thế các dữ liệu bên trong. Hacker có thể đọc chúng, thay đổi chúng hoặc và gửi chúng nhƣ là dữ liệu. Thực tế hacker đƣợc xác định ở vị trí ở giữa của hai bên truyền thông mang lại cho ngƣời tấn công tên của hai bên truyền thông. Một ví dụ cho tấn công này là thiết lập của việc bảo đảm kết nối đƣợc sử dụng bởi bảo mật lớp dữ liệu. Điểm yếu của TLS là nguyên nhân của việc thiết lập phiên này. Ở đây hai bên truyền thông có thể trao đổi hai khóa. Khóa này đƣợc đổi có khả năng làm cho ngƣời tấn công có thể ở giữa hai bên truyền thông.

d. Chặn và đánh cắp cuộc gọi

Nghe trộm và đánh chặn cuộc gọi là vấn đề liên quan đến mạng VoIP, định nghĩa nghe lén có nghĩa là một ngƣời tấn công có thể giám sát toàn bộ báo hiệu hoặc dòng dữ liệu giữa hai hoặc nhiều đầu cuối VoIP, nhƣng không thể biến đổi dữ

Một phần của tài liệu Đảm bảo an ninh cho hệ thống VOIP di động (Trang 30)

Tải bản đầy đủ (PDF)

(87 trang)