4. Xử lý gĩi tin đầu ra
2.2.2.4. Các chế độ trong Phase
Gồm main mode và agressive mode. Gateway mặc định sử dụng main mode( 6 gĩi tin được trao đối) vì : trong chế độ này chỉ mã hĩa các gĩi tin sau khi khĩa DH được phân phối giữa 2 bên (khĩa dùng chung). ít bị tấn cơng DoS vì
Nghiên cửu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Checkpoint
khĩa dùng chung được tính sau khi xác thức. Cịn trong chê độ Agressive mode thì
tính khĩa dùng chung và xác thực thực hiện song song. Bên chưa được xác thực cĩ
thể tính khĩa DH nhanh hơn bên kia..
Khi làm việc với remote access, IKE thêm vào 2 chế độ :
- Hybrid mode : thêm vào IKE phase 1, gateway cho phép xác thực sử dụng certiíicate và SecurlD.
- Office mode : mở rộng cảu 1KE protocol. Sử dụng để giải quyết vấn đề định tuyến giữa remote access Client và VPN domain. Trong quá trình thương lượng K+IKE, chế độ contĩg mode xen vào giữa IKE phase 1 và phase 2.
Trong quá trình Confíg Mode Client yêu cầu IP từ gateway, -> gateway gán IP-> Client tạo card ảo trong HĐH.
Renegotiating IKE & IPSec Lifetimes
IKE SA chỉ cĩ giá trị trong khoảng thời gian nhất định. IPSec SA cĩ thời gian sống( lifetime ) ngắn hơn IKE SA.
-> cĩ thể thay đổi liíetime sử dụng Dbedit để sửa file object_5_0.c.
ike_p2_use_rekey_kbytes. Change from faỉse (de/ault) to true. ike_p2_rekey_kbytes. Modiýy to incỉude the required rekeying vahie (de/ault
Từ chơi dịch vụ (DoS) là việc cơ ý làm giảm khả năng thi hành của những người sử dụng hợp pháp tới các dịch vụ trên mạng, hoặc thậm chí đánh sập một dịch vụ . Họ khơng trực tiếp đe doạ an ninh theo nghĩa những thơng tin bí mật bị tiết lộ, và khơng thể sử dụng đặc quyền của người dùng trái phép. Tuy nhiên, họ tiêu tốn tài nguyên máy tính như là bộ nhớ hay CPU.
Nĩi chung, cĩ 2 phương pháp tấn cơng DoS chính. Loại thứ nhất bao gồm gửi đi những gĩi tin kỳ dị tới dịch vụ với hi vọng khai thác được một lỗi nào đĩ và đánh sập dịch vụ. Loại thứ 2, kẻ tấn cơng cố gắng khai thác điếm yếu của dịch vụ hoặc giao thức bằng việc gửi đi số lượng lớn nhũng gĩi tin. IKE DoS attack Protection giải quyết phưong thức tấn cơng thứ 2.
IKE DoS attack
IKE yêu cầu gateway sắp xếp tài nguyên cho các gĩi của IKE ở pha 1. Gateway trả lời lại và nhận gĩi khác sau khi nĩ xử lý tồn bộ thơng tin tù' gĩi đầu tiên.
Attacker cĩ thể gửi nhiều gĩi IKE thứ nhất với các IP source khác nhau -> gateway nhận được -> reply lại tùng gĩi -> cấp phát tài nguyên cho mỗi gĩi. Các gĩi tin của kẻ tấn cơng chiếm tồn bộ tài nguyên CPU của gateway. Nên người dùng hợp pháp khơng thể kết nối gateway khơng thế đáp úng các yêu cầu kết nối của người dùng hợp pháp.
Attacker gửi các gĩi IKE giả mả mạo các máy hợp pháp (được khép khởi tạo quá trình bắt tay IKE) -> giả mạo 1P source. Attacker cĩ thể giả mạo IP của gateway đế nhận các gĩi của Client. -> unidentiíed source.
Bảo vệ
Nghiên cửu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Checkpoint
- stateless : Gateway ko câp phát tài nguyên cho tới khi Client chứng minh
là hợp
pháp với gateway. Tiến trình xử lý :
1. Neu gateway kết luận rằng nĩ là liên quan đến tấn cơng DoS , nĩ nhận
yêu cầu
IKE, nĩ reply lại với gĩi tin chứa số mà chỉ gateway cĩ thể sinh ra.
Gateway sau
đĩ “íbrgets” yêu cầu IKE đĩ. Thực tế nĩ ko cần lưu trữ yêu cầu IKE đĩ
trong bộ
nhớ (gọi là stateless)
2. nếu máy Client nhận gĩi tin reply của gateway câpní khởi tạo lại IKE requets
bằng cách gửi IKE request khác chứa định sổ mà gateway sinh ra.
Một sơ câu hình, mở rộng các trên gateway . Sử dụng Dbedit Thayđổi các giá trị : ikedosthreshold, ike_dos_puzzle_level_identifĩed_initiator,