3 Đảm bảo an ninh và tính sẵn sàng của dịch vụ đáp ứng QoS
3.1 Kiến trúc bảo mật và biện pháp an ninh của ITU-T X.805
Ba lớp an ninh gồm có:
Lớp an ninh cơ sở hạ tầng (Infrastructure Security Layer) gồm các thành phần cơ bản xây dựng nên mạng (như router, switch, server), các kết nối truyền thông giữa các thiết bị, các dịch vụ mạng và ứng dụng trên đó được bảo vệ bằng các biện pháp an ninh.
Lớp an ninh dịch vụ (Services Security Layer) đảm bảo cho các dịch vụ mà các nhà cung cấp đưa tới khách hàng gồm dịch vụ truyền tải cơ bản và dịch vụ hỗ trợ như dịch vụ hỗ trợ người dùng truy cập Internet (DHCP, DNS,...), dịch vụ hỗ trợ giá trị gia tăng (GPS, chat,. . . ). Lớp này dùng để bảo vệ nhà cung cấp dịch vụ và khách hàng trước các nguy cơ tấn công.
Lớp an ninh ứng dụng (Application Security Layer) tập trung vào đảm bảo an ninh cho các ứng dụng chạy trên mạng được truy nhập bởi khách hàng
được thực thi nhờ sự hỗ trợ của các dịch vụ mạng như: ứng dụng truyền file (ftp), duyệt Web (http/https). Một số ứng dụng cơ bản như tra số điện thoại, ứng dụng thư điện tử và thư thoại, thương mại điện tử,. . . được cung cấp bởi nhà cung cấp dịch vụ ASP.
Khuyến nghị X.805 phân các hoạt động ra thành 3 kiểu hoạt động cần được bảo vệ ứng với 3 mặt phẳng an ninh.
Mặt phẳng an ninh quản lý (Management Plane) bảo vệ các chức năng OAM&P của các phần tử mạng, các phương tiện truyền dẫn, các hệ thống hỗ trợ (các hệ thống hỗ trợ vận hành, hệ thống hỗ trợ kinh doanh, hệ thống hỗ trợ khách hàng,. . . ) và các trung tâm dữ liệu. Mặt phẳng an ninh quản lý hỗ trợ các chức năng liên quan đến lỗi hệ thống, dung lượng hệ thống, quản trị hệ thống, độ khả dụng và an ninh hệ thống.
Mặt phẳng an ninh điều khiển (Control Plane) bảo vệ các hoạt động nhằm cho phép phân bố thông tin, các dịch vụ và ứng dụng một cách hiệu quả trên mạng. Hoạt động trong mặt phẳng này thường bao gồm các dịng thơng tin giữa các thiết bị trong mạng để xác định đường đi tốt nhất trong mạng. Kiểu thông tin này thường được gọi là thông tin điều khiển hay báo hiệu. Thành phần mạng dùng để vận chuyển những kiểu gói tin này có thể dùng chung hay tách rời khỏi lưu lượng người sử dụng của nhà cung cấp dịch vụ.
Mặt phẳng an ninh người sử dụng (End User Plane) quản lý an ninh truy nhập và sử dụng mạng của nhà cung cấp dịch vụ từ phía khách hàng. Mặt phẳng này liên quan đến dòng lưu lượng của người sử dụng.
Những mặt phẳng an ninh này đề cập đến các nhu cầu về an ninh kết hợp với các hoạt động quản lý mạng, hoạt động báo hiệu và điều khiển mạng và hoạt động liên quan đến người sử dụng tương ứng. Các mạng nên được thiết kế theo cách để làm sao các sự kiện xảy ra đối với mặt phẳng an ninh này được cách ly hoàn toàn với các mặt phẳng an ninh khác. Tuy nhiên mơ hình trên vẫn tồn tại những nguy cơ sau:
Phá huỷ thông tin và tài nguyên (Destruction of Information & Resource)
Sửa đổi thông tin (Information Corruption and Modification)
Đánh cắp thông tin hay các tài nguyên khác (Theft of Information)
Làm lộ thông tin (Disclosure of Information)
Làm gián đoạn các dịch vụ (Interruption of Service)
Đứng trước các nguy cơ an ninh trên, mơ hình đã bổ sung thêm các biện pháp (Dimension) được thực hiện bởi các cơ chế khác nhau gồm:
Điều khiển truy nhập (Access Control) nhằm hạn chế và điều khiển việc truy nhập vào các phần tử mạng, dịch vụ và ứng dụng thông qua mật khẩu, danh sách điều khiển truy nhập, Firewall.
Xác thực người dùng (Authentication) nhận dạng và kiểm tra tính đúng đắn của người dùng dựa trên khố chia sẻ, hạ tầng khố cơng khai, chữ ký số, chứng chỉ số.
Chống chối bỏ trách nhiệm (Non-reputation) nhằm ngăn chặn khả năng người dùng từ chối hành động đã thực hiện dựa trên file log ghi lại sự kiện hệ thống và chữ ký số.
Sự tin cậy của dữ liệu (Data Confidentiality) đảm bảo tính bí mật cho dữ liệu của người sử dụng tránh không được biết bởi người không mong muốn bằng mã hóa.
An tồn truyền thơng (Communication Security) đảm bảo dịng thơng tin chỉ đi từ nguồn đến đích mong muốn, các điểm trung gian khơng muốn được biết thông tin không thể truy nhập vào dịng thơng tin sử dụng mạng riêng ảo thơng qua MPLS.
Đảm bảo tồn vẹn dữ liệu (Data Integrity) đảm bảo rằng dữ liệu nhận được và được phục hồi là giống với dữ liệu đã gửi đi sử dụng hàm băm, chữ ký số, phần mềm chống Virus.
Đảm bảo tính khả dụng (Availability) đảm bảo cho người dùng hợp lệ ln có thể sử dụng các phần tử mạng, các dịch vụ và ứng dụng sử dụng hệ thống phát hiện, ngăn ngừa truy nhập trái phép, sử dụng cơ chế dự phịng.
Đảm bảo tính riêng tư (Privacy) đảm bảo tính riêng tư cho nhận dạng người dùng riêng biệt.
3.1.2 Phân tích ưu nhược điểm
Khuyến nghị X.805 là một Framework rất rõ ràng và bài bản với đầy đủ định nghĩa vễ các nguy cơ và giải pháp tổng quát tương ứng rất thuận lợi cho việc xây dựng các giải pháp an ninh đầu cuối cho một đối tượng. Nhưng X.805 chưa chỉ rõ loại nguy cơ xuất phát từ bên trong hay từ các tương tác bên ngoài, chỉ áp dụng đảm bảo an ninh theo kiến trúc đầu cuối nên có thể bỏ sót các đối tượng an ninh trong nội bộ đối tượng. Như vậy X.805 chỉ có hiệu quả khi đối tượng đầu vào được phân tích kỹ càng thành các đối tượng nhỏ hơn đảm bảo khơng bỏ sót các giao diện tiềm ẩn nguy cơ.
Việc áp dụng X.805 có thể thực hiện cho từng phần tử mạng một cách riêng biệt tuy nhiên điều này làm nảy sinh 2 vấn đề. Một là mức độ bảo vệ sẽ không cao thể hiện ở việc các phần tử chức năng ngoài việc thực hiện chức năng an ninh còn phải thực hiện thêm các chức năng chính khác của nó trong mạng nên việc đảm bảo chức năng an ninh của các phần tử sẽ khơng cao. Hai là có sự lặp trong việc phải xử lý cùng chức năng an ninh đối với các phần tử. Giải pháp giải quyết vấn đề này là phân miền an ninh, nhờ việc gom các phần tử lại thành một miền. Miền an ninh là một khái niệm không được nêu ra trong khuyến nghị X.805, mà chỉ được đề cập gần đây trong các kiến trúc an ninh của 3GPP hay TISPAN [38, 49].
3.2 Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ (DoS) [27] hướng đến việc từ chối sự sẵn sàng của dịch vụ đến người dùng hợp pháp bằng cách chiếm những tài nguyên quan trọng làm cho ứng dụng không sẵn sàng với người dùng. Tấn công DoS thường xảy ra ở mức cơ sở hạ tầng bởi các tấn công đến những nguồn tài nguyên trực tiếp hoặc xảy ra ở tại mức ứng dụng bởi các cuộc tấn công qua giao diện ứng dụng. Đầu tiên kẻ tấn công gây tổn hại, chiếm quyền điều khiển một số máy chủ qua Internet, sau đó điều khiển tấn cơng ứng dụng bằng cách gửi lưu lượng tấn công đến các ứng dụng theo mức cơ sở hạ tầng hoặc mức ứng dụng. Trong trường hợp của các cuộc tấn công DDoS thì máy chủ gửi gói tin điều khiển tới các máy bị nhiễm trước đó, hướng dẫn chúng tấn cơng một mục tiêu cụ thể (máy nạn nhân). Những máy nhiễm tạo ra và sử dụng địa chỉ nguồn giả mạo hoặc ngẫu nhiên gửi lượng lớn thông báo tới máy nạn nhân, để nạn nhân không thể xác định được kẻ tấn công.
Các bước cơ bản để chuẩn bị và tiến hành một cuộc tấn công DoS gồm 4 bước sau:
1. Lựa chọn máy trung gian: Kẻ tấn cơng chọn các máy tính trung gian để thực hiện tấn cơng. Đó là những máy tính có lỗ hổng bảo mật và tài ngun phong phú. Quá trình này hiện nay được thực hiện tự động, sử dụng các cơng cụ qt.
2. Q trình làm tổn thương: Kẻ tấn công khai thác các lỗ hổng bảo mật của các máy tính trung gian và cài đặt mã tấn công (như sâu Ramen và Code Red) sao cho đoạn mã khơng bị phát hiện và vơ hiệu hóa. Chủ sở hữu các máy tính trung gian khơng nhận thức được hệ thống của họ đã bị xâm nhập và sẽ tham gia vào trong một tấn công DDoS. Khi tham gia vào một cuộc tấn cơng DDoS, mỗi chương trình tại máy trung gian chỉ sử dụng lượng nhỏ tài nguyên (bộ nhớ và băng thông), để những người dùng thấy thay đổi tối thiểu trong hoạt động.
3. Liên lạc, kết nối: Kẻ tấn công liên lạc với một số máy điều khiển để xác định máy trung gian đang chạy nhằm lập lịch tấn công. Tùy vào cấu trúc mạng tấn công, các máy trung gian được hướng dẫn liên lạc với một hoặc nhiều máy điều khiển qua giao thức TCP (Transmission Control Protocol), UDP (User Datagram Protocol), ICMP (Internetwork Control Message Protocol). 4. Tấn công: Trong bước này, kẻ tấn công ra lệnh bắt đầu một cuộc tấn cơng. Có thể điều chỉnh các nạn nhân, thời gian tấn công, cũng như các đặc điểm riêng của mỗi một cuộc tấn công (loại, chiều dài, TTL, số thứ tự cổng mạng...). Sự điều chỉnh, thay đổi lớn trong các thuộc tính của các gói tin tấn cơng tạo điều kiện thuận lợi đối với kẻ tấn cơng, xét từ góc độ tránh bị phát hiện. Giả mạo IP thường được sử dụng nhiều nhất để che dấu địa chỉ nguồn, loại gói tin, các trường header (trừ địa chỉ IP đích). Cũng có thể thay đổi kênh liên lạc trong suốt cuộc tấn công.
3.2.1 Mơ hình tấn cơng
Tấn cơng DoS lên một ứng dụng Internet có thể thực hiện trực tiếp nguồn tài nguyên ở mức cơ sở hạ tầng hoặc qua giao diện ở mức ứng dụng. Tấn công ở mức cơ sở hạ tầng lấy tài nguyên hạ tầng dịch vụ trực tiếp (ứng dụng của các mạng lưới, máy chủ) làm mục tiêu, trong khi tấn công mức ứng dụng lại khai thác chủ yếu ở những điểm yếu của ứng dụng thông qua giao diện của ứng dụng. Có thể sử dụng số lượng máy chủ thay đổi (từ một máy lẻ đến nhiều máy phân tán trên khắp Internet) để tạo thành một cuộc tấn cơng DoS. Để tổng qt hóa, tấn cơng DoS sử dụng nhiều máy chủ được trình bày thơng qua việc mơ tả các cuộc tấn công DDoS sử dụng số lượng lớn các máy chủ. Có hai mơ hình chính là Agent-Handler và IRC-Based.
Hình 3.2: Các mơ hình tấn cơng dựa từ chối dịch vụ
Mơ hình tấn cơng Agent-Handler gồm 3 thành phần: Agent, Client và Handler (xem Hình 3.2.a). Trong đó, kẻ tấn cơng sẽ điều khiển mạng Handler, tùy theo
cách kẻ tấn cơng cấu hình mạng, các Agent sẽ chịu sự quản lý của một hay nhiều Handler. Thông thường kẻ tấn công sẽ đặt Handler trên một Router hay một server có lưu lượng lớn để các giao tiếp giữa Client, Handler và Agent khó bị phát hiện. Các giao tiếp này thơng thường sử dụng các giao thức TCP, UDP hay ICMP. Các Handler sẽ trực tiếp điều khiển các Agent gửi các thông điệp tấn công nạn nhân. Chủ nhân thực sự của các Agent thông thường không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu DDoS, do họ không đủ kiến thức hoặc các chương trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như khơng thể thấy ảnh hưởng gì đến hiệu năng của hệ thống. Tuy nhiên, kẻ tấn cơng có thể rất dễ bị phát hiện do các máy Handler phải lưu trữ các thông tin về Agent và các Agent phải lưu trữ thông tin về Handler. Do vậy việc truy tìm ngược lại kẻ tấn cơng hồn tồn có thể thực hiện được.
Mơ hình tấn cơng dựa trên IRC (Internet Relay Chat) sử dụng hệ thống chat online đa người dùng thời gian thực (xem Hình 3.2.b) gồm nhiều IRC server trên
internet. Người dùng có 3 kênh giao tiếp là kênh công khai cho phép người dùng nhận được thông điệp của người dùng khác trên cùng kênh, kênh riêng tư không cho phép các người dùng thấy tên IRC và thông điệp trên kênh khác. Tuy nhiên, nếu người dùng bên ngoài dùng một số lệnh định vị lại kênh thì có thể biết được
sự tồn tại của kênh riêng tư này. Kênh bí mật tương tự kênh riêng nhưng khơng thể xác định bằng biện pháp định vị kênh. Mơ hình IRC sử dụng các kênh IRC làm phương tiện giao tiếp giữa Client và Agent cho phép kẻ tấn cơng có thêm một số lợi thế khác như: các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vơ cùng khó khăn; lưu lượng IRC có thể di chuyển trên mạng với số lượng lớn mà khơng bị nghi ngờ; Khơng cần duy trì danh sách các Agent, kẻ tấn công chỉ cần login vào IRC server là có thể nhận được báo cáo về trạng thái các Agent do các kênh gửi về; IRC cũng là một môi trường chia sẻ file nên tạo điều kiện phát tán các mã Agent trên nhiều máy khác.
3.2.2 Phương pháp tấn cơng và kỹ thuật phịng chống
Hiện nay các loại hình tấn cơng DDoS rất đa dạng với nhiều công cụ được sử dụng được phân loại dựa vào các tiêu chí cụ thể như Hình 3.3.
Hình 3.3: Các phương pháp và hình thức tấn cơng DDoS
Dựa trên mức độ tự động thu thập máy công cụ, khai thác lỗ hổng và cài đặt mã tấn cơng ta có thể chia tấn cơng thủ công, bán tự động hay tự động. Dựa vào cách thức quét thăm dị máy cơng cụ, ta có thể chia thành phương thức quét thăm dò ngẫu nhiên, quét thăm dò theo danh sách đã định, quét theo topo mạng, quét theo hoàn vị và quét theo lớp mạng. Dựa theo phương thức qt lỗ hổng thì ta có qt dọc (qt lỗ hổng trên một máy), quét ngang (quét dịch vụ trên một lớp mạng), quét kết hợp, quét ẩn (tần suất quét rất thấp để tránh bị phát hiện). Phương thức lan truyền của tấn công tự động và bán tự động là thực hiện lây nhiễm mã tấn công trên các địa chỉ máy đã tìm được có thể phân loại thành: một nguồn phán tán, phán tán theo mơ hình xâu chuỗi, phát tán tự động [20]. Dựa trên lợi dụng lỗ hổng để tấn cơng có 2 dạng là Protocol và Brute-Force. Protocol khai thác các lỗ hổng ứng dụng cài trên máy nạn nhân từ đó chiếm tồn bộ tài ngun phục vụ dịch vụ của hệ thống như tấn công TCP SYN [14]. Khi đó, lợi
dụng mơ hình cung cấp tài ngun kết nối của TCP và giao thức bắt tay ba bước kẻ tấn công sẽ tạo ra một số lượng rất lớn các truy vấn TCP SYN nhưng không gửi cờ FIN để chiếm dụng tài nguyên dịch vụ của hệ thống. Lúc này, hàng đợi kết nối sẽ bị tràn và không thể tiếp nhận được các kết nối mới. Dạng Brute-Force dựa trên khả năng truyền tải của lớp mạng trung gian thường lớn hơn nhiều lần khả năng của lớp mạng đích. Do đó, khi kẻ tấn cơng gửi một số lượng rất lớn các truy vấn giả tới máy chủ, kết nối lên nhà cung cấp Internet của máy chủ sẽ lập tức bị nghẽn và bản thân máy chủ cũng không thể xử lý hết các kết nối này dẫn đến treo máy hoặc khởi động lại. Dựa trên giả mạo địa chỉ nguồn ta có thể phân loại thành địa chỉ giả mạo và địa chỉ thực. Phân lớn kẻ tấn công đều thực hiện giả mạo địa chỉ khi có thể như giả mạo các địa chỉ có thể định tuyến được dùng để tấn công Reflector, giả mạo các địa chỉ không thể định tuyến được là sử dụng dạng địa chỉ riêng, chỉ sử dụng các mạng nội bộ không được bất kỳ router nào định tuyến, không sử dụng mạng Internet. Các kỹ thuật giả mạo địa chỉ gồm giả mạo ngẫu nhiên là kẻ tấn công sử dụng một địa chỉ được tạo ngẫu nhiên làm địa chỉ nguồn, để phịng chống ta có thể sử dụng các phương pháp lọc gói tin để ngăn chặn. Giả mạo theo lớp mạng cục bộ là kẻ tấn công sử dụng một địa chỉ ngẫu nhiên nằm trong lớp mạng của máy công cụ. Việc phát hiện ra kiểu giả mạo này là rất khó đặc biệt là khi gói tin di chuyển tới router kết nối ngồi mạng LAN. Giả mạo dựa theo các địa chỉ có thể có trên đường đi tới đích của gói tin để giả mạo địa chỉ nguồn. Điều này mới chỉ được đề cập trên lý thuyết, thực tế chưa có cuộc tấn cơng nào được ghi nhận [27].
Dựa trên cường độ tấn công khi gửi các gói tin ta có thể chia thành 2 loại