1.2. CƠ SỞ KHOA HỌC VỀ PKI
1.2.1.3. Giao thức truyền tin an toàn tầng liờn kết dữ liệu(Data Link)
Trong mụ hỡnh OSI, tầng liờn kết dữ liệu là tầng đầu tiờn cú thể can thiệp vào đƣợc bằng phần mềm (thụng qua trỡnh điểu khiển thiết bị của hệ điều hành). Vỡ vậy, nú đỏng đƣợc khảo sỏt trƣớc tiờn - để đảm bảo an toàn thụng tin ở mức thấp nhất. Tất nhiờn tầng vật lý trong mụ hỡnh OSI cũn thấp hơn, nhƣng nhỡn chung nú nằm ngoài phạm trự của mật mó học, vỡ mật mó học với mục đớch đảm bảo an toàn thụng tin trong trƣờng hợp thụng tin đó bị truy cập trỏi phộp ở mức vật lý.
Trong mạng riờng của một tổ chức, đại đa số kết nối ở tầng liờn kết dữ liệu đều dựng chuẩn Ethernet, hoặc tƣơng thớch Ethernet, nờn chuyờn đề này tập trung vào Ethernet nhƣ đại diện của tầng liờn kết dữ liệu.
* Cỏc nguy cơ đe dọa an toàn truyền tin trờn mạng Ethernet.
MAC flooding
Mỗi Switch cú bộ nhớ để lƣu trữ danh sỏch cỏc địa chỉ MAC tƣơng ứng với mỗi cổng của Switch. Kẻ tấn cụng cú thể tạo ra nhiều địa chỉ MAC giả, vƣợt quỏ giới hạn cho phộp của Switch, khiến cho nú phải quảng bỏ (Broadcast) mọi thụng tin tới tất cả cỏc cổng thay vỡ chỉ gửi đến đỳng cổng cần gửi. Nhƣ vậy kẻ phỏ hoại cú thể nghe trộm toàn bộ thụng tin gửi trờn mạng Ethernet.
Port stealing
Kẻ tấn cụng nhận địa chỉ MAC trựng với địa chỉ của nạn nhõn, do đú thụng tin cú thể khụng đƣợc gửi tới nạn nhõn, mà lại gửi cho kẻ tấn cụng.
ARP spoofing
Gúi tin ARP giả mạo cú thể sửa đổi bảng quy đổi giữa địa chỉ tầng mạng và địa chỉ tầng liờn kết dữ liệu – sửa đổi hoàn toàn theo ý của kẻ tấn cụng. Nhƣ vậy, thụng tin tầng mạng cú thể bị trung chuyển cho kẻ tấn cụng, trƣớc khi tới ngƣời nhận, Đú là hỡnh thức tấn cụng nguy hiểm - MITM.
* Cỏc giải phỏp an ninh cho mạng Ethernet.
Switch thụng minh
Cỏc Switch thụng minh cú khả năng hiểu cỏc Header của dữ liệu đi qua và cú thể điều khiển cỏc hoạt động từ xa. Nếu đƣợc chỉnh cấu hỡnh phự hợp, cỏc Switch này cú thể ngăn chặn hoàn toàn cỏc cuộc tấn cụng kiểu MAC flooding và Port stealing. Những cuộc tấn cụng loại này chỉ cú thể ngăn chặn đƣợc bằng cỏch đú. Vỡ thế, muốn mạng Ethernet đƣợc an toàn, sử dụng cỏc Switch thụng minh là điều bắt buộc.
Phần mềm bảo vệ
Cỏc Switch dự cao cấp đến mức nào cũng khụng đủ để hoàn thiện an ninh cho mạng Ethernet. Nguyờn nhõn là cú cỏc thụng tin đƣợc giữ riờng ở Client, cỏc Switch khụng nắm đƣợc cỏc thụng tin này. Hơn nữa, sau này IPSec đƣợc ỏp dụng rộng rói thỡ cỏc thụng tin đều đƣợc mó húa trƣớc khi truyền đi và Switch sẽ khụng cú cỏch nào phõn tớch đƣợc những dữ liệu từ tầng mạng trở lờn. Vớ dụ nhƣ khi bảo vệ ARP tại Switch, thiết bị lọc cỏc gúi ARP trỏi phộp cần phải hiểu đƣợc sự phõn bổ địa chỉ IP động trong giao thức DHCP. Khi giao thức này đƣợc mó húa qua IPSec thỡ Switch sẽ cú đƣợc thụng tin cần thiết để phõn biệt gúi ARP trỏi phộp với gúi ARP hợp lệ.
Vỡ vậy, bờn cạnh Switch thụng minh, triển khai cỏc hệ thống phần mềm bảo vệ trờn cỏc mỏy trạm cũng là điều bắt buộc.