2.2. HẠ TẦNG ĐẢM BẢO AN TOÀN THÔNG TIN
2.2.4.3. Giao thức truyền tin an toàn tầng liên kết dữ liệu (Data Link)
Trong mô hình OSI, tầng liên kết dữ liệu là tầng đầu tiên có thể can thiệp vào đƣợc bằng phần mềm (thông qua trình điểu khiển thiết bị của hệ điều hành). Vì vậy, nó đáng đƣợc khảo sát trƣớc tiên - để đảm bảo an toàn thông tin ở mức thấp nhất. Tất nhiên tầng vật lý trong mô hình OSI còn thấp hơn, nhƣng nhìn chung nó nằm ngoài phạm trù của mật mã học, vì mật mã học với mục đích đảm bảo an toàn thông tin trong trƣờng hợp thông tin đã bị truy cập trái phép ở mức vật lý.
Trong mạng riêng của một tổ chức, đại đa số kết nối ở tầng liên kết dữ liệu đều dùng chuẩn Ethernet, hoặc tƣơng thích Ethernet, nên chuyên đề này tập trung vào Ethernet nhƣ đại diện của tầng liên kết dữ liệu.
1/. Các nguy cơ đe dọa an toàn truyền tin trên mạng Ethernet.
- MAC flooding
Mỗi Switch có bộ nhớ để lƣu trữ danh sách các địa chỉ MAC tƣơng ứng với mỗi cổng của Switch. Kẻ tấn công có thể tạo ra nhiều địa chỉ MAC giả, vƣợt quá giới hạn cho phép của Switch, khiến cho nó phải quảng bá (Broadcast) mọi thông tin tới tất cả các cổng thay vì chỉ gửi đến đúng cổng cần gửi. Nhƣ vậy kẻ phá hoại có thể nghe trộm toàn bộ thông tin gửi trên mạng Ethernet.
- Port stealing
Kẻ tấn công nhận địa chỉ MAC trùng với địa chỉ của nạn nhân, do đó thông tin có thể không đƣợc gửi tới nạn nhân, mà lại gửi cho kẻ tấn công.
- ARP spoofing
Gói tin ARP giả mạo có thể sửa đổi bảng quy đổi giữa địa chỉ tầng mạng và địa chỉ tầng liên kết dữ liệu – sửa đổi hoàn toàn theo ý của kẻ tấn công. Nhƣ vậy, thông tin tầng mạng có thể bị trung chuyển cho kẻ tấn công, trƣớc khi tới ngƣời nhận, Đó là hình thức tấn công nguy hiểm - MITM.
2/. Các giải pháp an ninh cho mạng Ethernet.
- Switch thông minh
Các Switch thông minh có khả năng hiểu các Header của dữ liệu đi qua và có thể điều khiển các hoạt động từ xa. Nếu đƣợc chỉnh cấu hình phù hợp, các Switch này có thể ngăn chặn hoàn toàn các cuộc tấn công kiểu MAC flooding và Port stealing. Những cuộc tấn công loại này chỉ có thể ngăn chặn đƣợc bằng cách đó. Vì thế, muốn mạng Ethernet đƣợc an toàn, sử dụng các Switch thông minh là điều bắt buộc.
- Phần mềm bảo vệ
Các Switch dù cao cấp đến mức nào cũng không đủ để hoàn thiện an ninh cho mạng Ethernet. Nguyên nhân là có các thông tin đƣợc giữ riêng ở Client, các Switch không nắm đƣợc các thông tin này. Hơn nữa, sau này IPSec đƣợc áp dụng rộng rãi thì các thông tin đều đƣợc mã hóa trƣớc khi truyền đi và Switch sẽ không có cách nào phân tích đƣợc những dữ liệu từ tầng mạng trở lên. Ví dụ nhƣ khi bảo vệ ARP tại Switch, thiết bị lọc các gói ARP trái phép cần phải hiểu đƣợc sự phân bổ địa chỉ IP động trong giao thức DHCP. Khi giao thức này đƣợc mã hóa qua IPSec thì Switch sẽ có đƣợc thông tin cần thiết để phân biệt gói ARP trái phép với gói ARP hợp lệ.
Vì vậy, bên cạnh Switch thông minh, triển khai các hệ thống phần mềm bảo vệ trên các máy trạm cũng là điều bắt buộc.