VI. Internet
3. Nguyên tắc hoạt động của hệ thống Packet Filtering
3.1. Lọc các Packet dựa trên địa chỉ (address)
Dạng đơn giản nhất mà một Filtering Router có thể thực hiện là việc lọc các Packet dựa tên địa chỉ. Lọc các Packet theo dạng này cho phép chúng ta điều khiển dữ liệu dựa trên địa chỉ máy gửi và địa chỉ máy nhận Packet mà không quan tâm đến nghi thức nào đang đợc sử dụng. Khẳnng lọc gói theo dạng này có thể đợc dùng để cho phép một số máy nào đó ở bên ngoài có thể trao đổi dữ liệu với một số máy nào đó ở trong mạng cần bào vệ, hoặc cũng có thể bảo vệ đợc những dạng đánh lừa thông tin trong Packet (những Packet xuất phát từ Internet (bên ngoài) mà có địa chỉ máy gửi lại là địa chỉ máy ở trong mạng mạng bảo vệ.
Những rủi ro của việc lọc dựa trên địa chỉ máy gửi:
Thông tin ở mỗi Packet header có chứa địa chỉ nguồn của máy gửi Packet (không nên tin tởng hoàn toàn vào thông tin này do việc địa chỉ máy gửi có thể bị giả mạo). Trừ khi chúng ta sử dụng những kỹ thuật chứng thực nh (cryptographic authentication) giữa hai máy trao đổi dữ liệu cho nhau, chúng ta thực sự không thể biết chắc chắn rằng mày mà chúng ta đang trao đổi dữ liệu với nó thực sự chính nó hay một máy khác giả danh máy này (giống nh lấy địa chỉ của một ngời khác để gửi th đi). Qui tắc lọc ở trên chỉ loại trừ khả năng một máy bên ngoài giả mạo địa chỉ của một máy bên ngoài khác.
Do đó, ngời tấn công có thể có hai dạng tấn công dựa trên việc giả mạo địa chỉ là: giả mạo địa chỉ máy gửi “source address” và “man in the middle”.
- Dạng tấn công giả danh cơ bản nhất là sự giả mạo địa chỉ máy gửi (source address), ngời tấn công sẽ gửi dữ liệu cho chúng ta mà sử dụng địa chỉ máy gửi không phải là đại chỉ máy của họ, thờng họ sẽ đoán một số địa chỉ màhệ thống của chúng ta tin tởng, sau đó họ sẽ sử dụng địa chỉ này nh là vào mạng của chúng ta, và cũng không mong chờ những Packet họ đã gửi đi vào
mạng của chúng ta, và cũng không mong chờ những Packet kết quả trả lời từ những máy trong hệ thống mạng của chúng ta. Nếu ngời tấn công không quan tâm đến việc nhận những Packet trả về từ hệ thống của chúng ta, thì không cần thiết họ phải ở trong lộ trình giữa chúng ta và hệ thống bị họ giả danh, họ có thể ở bất cứ nơi đâu.
Trong thực tế, những Packet trả lời từ hệ thống của chúng ta sẽ gửi đến những máy (những máy này ngời tấn công vào hệ thống của chúng ta đã sử dụng địa chỉ của họ), mà những Packet sẽ không gửi đến những máy của ngời tấn công. Tuy nhiên, nếu ngời tấn công có thể đoán đợc những đáp ứng từ hệ thống của chúng ta thì họ không cần phải nhận đợc những Packet này. Có khá nhiều nghi thức( Protocol) mà đối với những ngời tấn công hiểu biết sâu thì việc đóan những đáp ứng từ hệ thống của chúng ta không mấy khó khăn. Có nhiều dạng tấn công kiểu này có thể đợc thực hiện mà ngời tấn công không cần nhận đợc những Packet trả lời trực tiếp từ hệ thống của chúng ta. Một Ví Dụ cho thấy rằng là ngời tấn công có thể gửi cho hệ thống của chúng ta một lệnh nào đó, mà kết quả là hệ thống của chúng ta gửi cho ngời tấn công Password fìel của hệ thống chúng ta. Bằng cách này thì ngời tấn công không cần nhận đợc trực tiếp những Packet trả lời từ hệ thống của chúng ta .
Trong một số trờng hợp, đối với nghi thức có kết nối nh TCP , máy nguồn thực sự ( máy mà ngời tấn công lấy địa chỉ để giả danh) sẽ phản hồi lại những Packet mà hệ thống của chúng ta gửi cho họ ( những Packet mà hệ thống chúng ta trả lời cho những Packet tấn công) dẫn đến kết quả là những kết nối hiện hành giữa máy của chúng ta với máy ng ời tấn công có thể bị reset . Dĩ nhiên là ngời tấn công không muốn điều này sảy ra. Ngời tấn công muốn thực hiện việc tấn công hoàn thành trớc khi máy bị giả danh nhận đợc Packet mà chúng ta gửi trớc khi chúng ta nhận reset Packet từ máy bị giả danh này. Ngời tấn công có thể có nhiều cách để thực hiện đợc điều này:
+ Làm cho máy bị giả danh treo khi thực hiện tấn công.
+ Gây lũ( flooding) giữ liệu ở máy giả danh khi thực hiện tấn công. + Làm sai lệch thông tin về đờng đi( routing) giữa máy gửi và máy nhận thực sự
+Tấn công vào những dịch vụ chỉ cần gửi một Packet là có thể gây tác động mà vấn đề reset không bị ảnh hởng.
- Dạng tấn công thứ hai là “ man in the middle” kiểu tấn công này ngời tấn công cần có khả năng thực hiện đầy đủ một quá trình trao đổi giữ liệu trong khi anh ta giả danh địa chỉ của máy khác. Để thực hiện đợc điều này ng- ời tấn công , máy mà ngời tấn công sử dụng không những gửi Packet cho hệ thống của chúng ta mà còn mong muốn nhận đợc những Packet trả lời từ hệ thống của chúng ta. Để thực hiện đựoc điều này ngời tấn công cần phải thực hiện một trong hai điều sau:
+ Máy ngời tấn công ở trên đờng đi giữa hệ thống chúng ta và hệ thống giả danh. Trờng hợp dễ thực hiện nhất là ở gần máy của hệ thống chúng ta hoặc ở gần máy bị giả danh, trờng hợp gần nh khó nhất là ở giữa trong lộ trình của đờng đi bởi vì trong mạng IP lộ trình đờng đi của Packet có thể thay đổi đặc biệt là các máy ở giữa lộ trình có thể lúc đi qua, có thể không.
+ Thay đổi đờng đi giữa máy gửi và máy nhận thực sự để nó đi qua máy của ngời tấn công. Điều này có thể thực hiện đợc dễ dàng hoặc khó khăn tuỳ theo topology của mạng và hệ thống routing của các mạng liên quan.