8.1 VPN.
VPN cho phép các máy tính kết nối tới Internet và truy nhập các tài nguyên của mạng riêng biệt một cách an toàn. Nói cách khác, VPN cho phép máy truy cập từ xa truy nhập an toàn vào một mạng riêng biệt thông qua truyền tải (như internet) không tin cậy. Điều này rất tiện lợi cho người sử dụng truy cập từ xa, cho họ có thể truy cập an toàn tài nguyên chung khi họ đang trên đường tới hoặc trên đường về từ văn phòng.
VPN phổ biến do chúng có thể tiết kiệm chi phí cho các dịch vụ thoại dial- up truyền thống (kết nối trực tiếp). Do một phiên VPN có thể được thiết lập với bất kỳ một kết nối Internet nào (ở bất cứ đâu trên thế giới) chỉ phí về cơ bản ít hơn nhiều so với dial-up, phải cần lượng lớn modem dial-up và chỉ phí cho thoại đường dài.
Các mạng không day thu được lợi ích từ VPN bời vì truyền tải không dây thường được xem như không tin cậy. VPN cho phép chúng ta dựa vào những giao thức mức cao để bảo mật dữ liệu, tốt hơn nhiều so với việc các lựa chọn như WEP.
Một server VPN được thiết lập để cho phép mọi người từ mạng ngoài có thể truy cập vào các tài nguyên chung bên trong. Khi bạn có giải pháp VPN, nó có thể đóng vài trò kép vừa hỗ trợ người dùng truy cập từ xa, vừa tăng cường bảo mật cho người dùng không dây. Trong thế giới không dây, chúng ta quan tâm đến việc bảo vệ sự tin cậy dữ liệu bằng cách sử dụng mã hóa. Do đó, khi bạn đặt tất cả các AP trong một phân đoạn phía ngoài firewall, bạn có thể buộc người dùng không
dây của mình sử dụng VPN để truy cập mạng. Bằng cách này, tất cả các client không dây là tương đương về logic với người sử dụng truy cập từ xa. Sự lo lắng chủ yếu của người dùng không dây khi sử dụng VPN là chuyển giao giữa các AP. Bất kỳ giải pháp nào dựa trên mã hóa mức cao hơn đều có khả năng ngắt kết nối khi người dùng chuyển giao thức giữa các AP. Ví dụ, IPSec (lớp 3) sẽ ngắt khi người dùng chuyển tới một AP mới và nó gán một địa chỉ IP mới. Bằng cách kiểm soát chức năng DHCP (trái với việc mỗi AP có địa chỉ IP không lệ thuộc) bạn sẽ đảm bảo địa chỉ IP xác định chắc chắn khi chuyển giao từ AP tới AP khác.
8.2 Kiến trúc VPN cho mạng không dây.a. Network to network. a. Network to network.
Network to network mô tả một đường hầm giữa hai mạng riêng biệt ngăn cách về địa lý. Kiến trúc VPN này thường sử dụng khi các mạng LAN được kết nối thông qua mạng công cộng để người dùng có thể truy cập tới tài nguyên của mạng LAN khác, trong khi họ kết nối từ mạng LAN của họ. Ưu điểm chủ yếu trong cấu hình này là hai mạng như liền kề nhau và hoạt động của các gateway VPN là trong suốt với người dùng đầu cuối. Trong giản đồ này , đường hầm giữ vai trò quan trọng như các mạng riêng sử dụng RFC 1918 , dải định địa chỉ riêng không được định tuyến thông qua internet. Lưu lượng được bảo vệ trong các đường hầm cho các liên kết nội thành công.
Hình 4.6 : Kiến trúc Network-to-network
Một vi dụ thực tế cho ứng dụng kiến trúc này trong mạng không dây là 2 trụ sở của cùng một tổ chức sử dụng liên kết không dây point- to-point. Mặc dù lưu lượng truyền dẫn không vượt ra ngoài hạ tầng của tổ chức, nhưng phần truyền dẫn không dây được rất đáng quan tâm giống như lưu lượng được định tuyến qua mạng công cộng.
b. Host-to-network.
Lược đồ host – to – network xẩy ra khi người dùng từ xa truy cập tới mạng công ty thông qua internet. Client di động trước tiên thiết lập kết nối Internet và sau đó khởi tạo yêu cầu cho việc thiết lập đường hầm bảo mật với gateway VPN của công ty. Khi việc xác thực được hoàn tất, một đường hầm được thiết lập thông qua mạng công cộng và
client trở thành tương đương với máy trong mạng nội. Với sự tăng trưởng của đội ngũ nhân viên làm việc tại nhà kiến trúc này ngày càng ứng dụng rộng rãi.
Với liên kết các không dây point-to-multipoint, bảo mật lớp 2 là không đủ hoặc có thể găp những vấn đề nghiêm trọng về tương thích và thao tác khi triển khai một hospot công cộng. Ở đây cần cơ chế mã hóa mạnh , lập tài khoảng người dùng và xác thực cho tất cả các laptop cũng nhưng các thiết bị không dây khác. Điều này kéo theo kết nối VPN trung tâm với điều khiển truy cập và khả năng quản lý tài khoản thông qua các đường hầm VPN kết cuối tại đó. Điều này có thể thực hiện thông qua triển khai một Server RAIDUS, cơ sở dữ liệu người dùng và hạ tầng 802.1x . Kiến trúc VPN The host-to-network giả thiết rằng các host không dây được kết nối VPN trung tâm, nhưng không truyền thông với các host không dây trong WLAN.
Hình 4.7 : Kiến Trúc Host-to-network
c. Host – to – host.
Host – to – host là một kiến thức ít thông dụng nhất , chỉ gồm 2 host cả truyền thông và mã hóa và không mã hóa. Trong cấu hình đường hầm được thiết lập giữa 2 host tất cả truyền thông giữa chúng được đảm bảo thông qua VPN. Một ví dụ thực tế là một server lưu trữ sao lưu từ xa. Cả hai host được kết nối thông qua internet và dữ liệu từ server trung tâm được tạo ảnh tại server lưu trữ sao lưu. Trong mạng không dây , kiến trúc VPN host-to-host đựơc áp dụng để bảo vệ cho các WLAN ad-hoc.
8.3 Các giao thức bảo mật trong VPN.a. Bộ giao thức IPSec. a. Bộ giao thức IPSec.
IP Sec được thừa nhận rộng rãi , hỗ trợ và chuẩn huóa với mọi giao thức VPN. IPSec là khung làm việc của các chuẩn mở cung cấp một bộ các giao thức bảo mật thực hiện trên nền liên kết IP hiện tại. Nó cung cấp cả xác thực dữ liệu và cả dịch vụ mã hóa tại lớp thứ 3 và có thể thực hiện ở bất kỳ thiết bị truyền dẫn nào thông qua IP. Không giống như các giản đồ mã hóa khác thực hiện ở lớp cao, IPSec hoạt động trong lớp thấp có thể bảo vệ tất cả các lưu lượng truyền qua IP. Nó cũng có thể được dùng chung với các giao thức đường hầm lớp 2 để cung cấp cả xác thực và mã hóa cho các lưu lượng non – IP.
IPSec bao gồm 3 thành phần chính : Authentication header (AH) , Encapsulating Security Payload ( ESP) , and Internet Key exchange (IKE).
- AH Được thêm vào sau tiếp đầu IP, cung cấp xác thực mức gói và các dịch vụ toàn vẹn dữ liệu đảm bảo rằng gói không bị giả mạo trên đường truyền và toàn vẹn đến người nhận.
- ESP : Sử dụng kỹ thuật mã hóa mạnh (RC5, 3DES, Blowfish…), đóng gói thông tin, cung cấp tin cậy, xác thực dữ liệu gốc, toàn vẹ dữ liệu, giới hạn lưu lượng truyền và khả năng che dấu thông tin IP bên nhận và bên gửi.
- IKE : Khóa là công cụ để mã hóa nhưng cần phải trao đổi giữa các bên trước khi sử dụng. Để trao đổi khóa an toàn, giao thức IKE hỗ trợ các giải thuật mã hóa 3DES, giải thuật chia Tiger, giải thuật chứ ký điện tử RSA , giải thuật xác thực MD5.
b. PPTP và L2TP.
Ngoài giao thức IPSEC cung cấp các dịch vụ VPN , còn có sử dụng 2 giao thức khác là PPTP (point to point Tunneling protocol) và L2TP ( Layer 2 tunneling protocol). Cả hai giao thức này được tích hợp sẵn trong Windows.
- PPTP
Để xác thực, PPTP hỗ trợ MS- CHAP, MS – CHAP V2 và EAP_TLS. Các giao thức MS-CHAP va MS-CHAP V2 thực hiện sử dụng các username và password. Giao thức EAP_TLS sử dụng chứng chỉ server và client, yêu cầu một hạ tầng PKI. MS – CHAP v2 mạnh hơn nhiều MS_CHAP và cũng cung cấp xác thực lẫn nhau. Khi đuợc sử dụng với password mạnh, MS-CHAP v2 thường được xem như một lựa chọn có thể chấp nhận được khi bạn không thể triển khai một giải pháp bảo mật nào nữa như IPSec. Khi bạn sử MS- CHAP v2 điểm cốt yếu là đòi hỏi luật password mạnh ( ví dụ, 8 hay nhiều ký tự và hỗn hợp cả ký tự cao và thấp, các dấu, số và các ký tự đặc biệt). EAP_TLS dựa trên các chứng chỉ để xác thực, cung cấp phương thức mạnh nhất để xác thực.
Về phía client EAP_TLS chỉ được hỗ trợ bởi Windows XP và 2000. MS-CHAP v2 được hỗ trợ bởi Windows 95, 98, ME, NT4.0, 2000, XP và CE3.0 (poket PC2002) . Chú ý rằng các client windows NT4 yêu cầu ít nhất là service pack 4 và các client windows 95 yêu cầu dial – up networking 1.3 hoặc hơn và update bảo mật.
Về mã hóa , PPTP sử dụng MPPE , bộ mã hóa luồng dựa trên RC4 . Độ dài mã hóa có thể 40, 56 hoặc 128bit. Mã hóa được thực hiện sau khi xác thực PPP và thiết lập liên kết. Do đó , kẻ tấn công , người có thể bắt được lưu lượng này, có thể dùng phiên này cho các tấn công từ điển offline. Điều này giải thích tại sao pass mạnh là rất quan trọng.
- L2TP.
L2TP sử dụng PPP để xác thực người dùng phối hợp với IPSec để mã hóa dữ liệu. Phương thức này dựa trên hạ tầng PKI, như yêu cầu cả các chứng chỉ server và client, thêm nữa là các ủy nhiệm username/password. Đồng thời L2TP và IPSec (thường được xem như L2TP/ IPSec) cung cấp toàn vẹn dữ liệu và xác nhận trên từng gói cơ bản. Các client hỗ trợ sẵn là Windows XP và 2000. Với Window98 , ME , và NT4.0 Worrk status phải update patch.
L2PT thực hiện đầu tiên là việc xác lập thỏa thuận IKE để tạo một giao kết bảo mật IPSec. Trong suốt thỏa thuận IKE, client và server trao đổi các chứng chỉ và thiết lập các tham số bảo mật, bao gồm phương thức xác thực và các khóa được sử dụng trong phiên. Mã hóa dữ liệu được cung cấp bởi bộ mã hóa khối dữ liệu được cung cấp bởi bộ mã hóa khối DES ( hay 3DES) với khóa 56 bit (hoặc 168bit với 3DES).
9. Các kỹ thuật phát hiện xâm nhập IDS
Mục tiêu của việc phát hiện xâm nhập là xác định các hoạt động trái phép, dùng sai, lạm dụng đối với hệ thống máy tính gây ra bởi cả ngưòi dùng trong hệ thống lẫn người xâm nhập ngoài hệ thống.
Phát hiện xâm nhập trái phép là một việc làm đầy khó khăn do ảnh hưởng của sự tăng trưởng nhanh chóng các kết nối mạng, môi trường máy tính không đồng nhất (hệ điều hành hỗn hợp), nhiều giao thức truyền thông và sự phân loại đáng kể của các ứng dụng thông dụng và độc quyền. Hầu hết các kỹ thuật IDS được xây dựng dựa trên sự khác biệt ứng xử của kẻ xâm nhập với người dùng hợp lệ.
Người ta phân chia thành một số loại IDS như sau : Network – based IDS và Host – based IDS
Network – based IDS dùng các phân tích tải mạng để so sánh dữ liệu phiên với các dữ liệu đã biết của các dấu hiệu tấn công vào hệ điều hành và ứng dụng. Khi phát hiện được network – based IDS có thể phản ứng lại bằng cách ghi lại phiên truyền thông, cảnh báo nhà quản trị, chấm dứt phiên truyền thông đó và có thể đưa vào firewall.
Host – based IDS thì phân tích log của hệ điều hành và ứng dụng của hệ thống, so sánh sự kiện với cơ sở dữ liệu đã biết về các phạm vi bảo mật và các chính sách được đặt ra. Chúng xem xét log của hệ điều hành, log truy nhập, log ứng dụng, cũng như các chính sách của các ứng dụng do người dùng định nghĩa. Nếu thấy có vi phạm chúng có thể phản ứng bằng cách ghi lại các hành động đó, cảnh báo cho nhà quản trị và trong một số trường hợp ngừng hành động trước khi nó xảy ra. Sự kết hợp của network – based IDS và host – based IDS cung cấp
sự bảo vệ đáng kế và sự thi hành chính sách vói công ty mọi cỡ và chức năng kinh doanh.
Misuse – based IDS và Anomaly – based IDS :
Misuse – based IDS có thể phân chia thành hai loại dựa trên kiểu tấn công, đó là knowledge –based và signature – based.
Misuse – based IDS với cơ sở dữ liệu knowledge –based lưu dữ thông tin về các dạng tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ liệu và nếu thấy có sự giống nhau thì đưa ra sự cảnh báo. Sự kiện không trùng với bất kỳ sự tấn công nào thì được coi là những hành động chính đáng. Lợi thế của mô hình này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công. Tuy nhiên mô hình này có điểm yếu, trước tiên với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được những kiểu tấn công đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện những kiểu tấn công và lỗ hổng mới
Hình 4.9 : Knowledge – based IDS
Signture –based IDS là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn công gọi là dấu hiệu. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểu tấn công. Ví dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung các gói tin liên quan đến kiểu tấn công
đã biết. Thường thì dấu hiệu lưu ở dạng cho phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện. Trong quá trình xử lý sự kiện được so sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau thì hệ tạo ra cảnh báo. Signture – based IDS hiện nay rất thông dụng vì chúng dễ phát triển, cho phản hồi chính xác về cảnh báo và thường yêu cầu ít tài nguyên tính toán. Tuy nhiên, chúng có những điểm yếu sau:
+ mô tả về cuộc tấn công thường ở mức độ thấp, khó hiểu
+ mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào cơ sở dữ liệu nên kích cỡ của nó sẽ trở nên rất lớn.
+ dấu hiệu càng cụ thể thì càng tạo ra ít cảnh báo nhầm, nhưng càng khó phát hiện những biến thể của nó.
Anomaly – based IDS dựa trên giả thiết là những hành động không bình thường là có ý đồ xấu, do đó trước tiên hệ cần xây dựng những mẫu hành động bình thường của hệ thống rồi mới xác định các hành động không bình thường
Hình 4.10 : Anomaly – based IDS
Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước. Tuy nhiên hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai trong đó có rất nhiều các cảnh báo là cảnh báo từ những hành động bình thường, chỉ có một vài hành động là có ý xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có
ít khả năng giới hạn các cảnh báo nhầm đó
Nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung là tính đa dạng và thay đổi. Hơn nữa, sự nhập nhằng của giao thức tầng dưới và sự khác biệt của các ứng dụng làm việc phát hiện các hành vi không bình thường trong một môi truờng nhất định là rất khó, vì sự không bình thường là đặc tính của môi trường. Cuối cùng, một vài kiểu tấn công mới có khả năng giả mạo các hành động hợp pháp và có thể không bị phát hiện.
Khi chúng ta so sánh IDS thông thường ( IDS trong các mạng có dây) và IDS trong mạng không dây thì khác biệt duy nhất đó là topology của mạng và phải rà quét trong không gian chứ không phải