Vinaphone
4.3.1. Các hình thức tấn công thông qua chuyển vùng dữ liệu
Theo cấu hình hiện tại, mạng GPRS/3G có thể bị tấn công bằng nhiều con đường khác nhau, trong đó kiểu tấn công trực tiếp sử dụng chính thuê bao chuyển vùng để tấn công mạng lưới là đơn giản nhất. Một số con đường để tấn công vào mạng GPRS/3G Vinaphone sử dụng SIM chuyển vùng như sau:
- Thuê bao sử dụng sim Vinaphone chuyển vùng kết nối GPRS bằng mạng
nước ngoài khi đi chuyển vùng outbound. Từ đó tấn công vào mạng GPRS/3 Vinaphone qua giao diện Gp giữa SGSN khách và GGSN Vinaphone..
- Thuê bao sử dụng sim nước ngoài chuyển vùng vào Vinaphone và thực hiện
kết nối GPRS/3G. Từ đó thực hiện tấn công vào mạng GPRS Vinapnone qua giao diện Gp giữa SGSN Vinaphone và GGSN mạng chủ.
Sau khi có được địa chỉ IP từ GGSN, người tấn công sẽ sử dụng các công cụ chuyên dụng phục vụ cho việc tấn công như:
- Dò quét địa chỉ IP của những người cùng trong dải với chính đối tượng tấn
công.
- Dò quét địa chỉ IP và những port cho phép sử dụng dịch vụ của mạng lõi
GPRS.
Tiếp theo người tấn công sẽ thực hiện tấn công vào các đối tượng đã dò quét được bằng các hình thức khác nhau. Đối với đối tượng là thuê bao mobile internet, người tấn công có thể thực hiện các biện pháp tấn công khác nhau tùy vào mục đích.
- Tấn công kiểu DDOS: Liên tục gửi các bản tin đến tất cả các thuê bao
cùng dải địa chỉ, dẫn đến các thuê bao này không thể sử dụng được dịch vụ.
- Dùng các công cụ để lấy cắp thông tin cá nhân của người sử dụng.
Đối với đối tượng tấn công là chính mạng lõi GPRS của nhà mạng, người tấn công sau khi dò quét được địa chỉ IP, các port cho phép sử dụng dịch vụ sẽ bắt đầu tấn công vào mạng qua các cổng đó. Hình thức tấn công là sẽ dò tìm tài khoản và
mật khẩu, từ đó chiếm quyền điều khiển thiết bị. Đây là hình thức tấn công rất nguy hiểm.
Ngoài ra còn có hình thức tấn công mà nguồn gốc bản tin tấn công sẽ xuất phát từ chính dải mạng của các nhà mạng có không có thỏa thuận roaming với Vinaphone. Do đó phương án bảo vệ phải đảm bảo:
- Chỉ cho phép dải mạng của đối tác chuyển vùng gửi các bản tin dịch vụ như
attach, PDP Context đến dải địa chỉ của Vinaphone.
- Chỉ cho phép dải đại chỉ của Vinaphone gửi các bản tin dịch vụ như attach,
PDP Context đến dải địa chỉ của đối tác chuyển vùng.
- Chặn tất cả các bản tin có nguồn không phải là đối tác của Vinaphone gửi
đến mạng Vinaphone.
- Chặn tất cả các dịch vụ ngoài các dịch vụ trên.
Để ngăn chặn các hình thức tấn công trên, công ty Vinaphone đã đầu tư hệ thống Firewall cho hệ thống GPRS với phần mềm có tính năng firewall, IPS, Anti- virus, có nhiệm vụ là Firewall bảo vệ trước các tấn công trái phép & Virus từ ngoài mạng (thông qua giao diện Gp). Với Firewall này, mạng GPRS/3 Vinaphone sẽ được bảo đảm an toàn trước những nguy cơ tấn công qua giao diện Gp.