b) Gây quá cước (Overbilling)
Tấn công một địa chỉ IP của thuê bao để tải dữ liệu hoặc sử dụng kết nối đó cho mục đích cá nhân, làm cho người sử dụng hợp lệ bị tính cước đối với tác vụ mà mình khơng thực hiện.
Hình 3.2- Tấn cơng Overbilling.
c) Tấn công Spoofed PDP context
Tấn công giao thức đường hầm GPRS GTP, để kích hoạt một phiên của thuê bao, được gọi là “PDP context activation”. PDP này là một cấu trúc dữ liệu, bao gồm các thông tin địa chỉ IP di động, mô tả đường hầm đối với phiên GTP. Tuy nhiên, GTP không thực hiện bất kỳ một nhận thực, kiểm tra tồn vẹn dữ liệu hoặc bảo vệ bí mật nào. GTP sử dụng ở giao diện Gn (kết nối giữa SGSN và GGSN),
LVIII
giao diện Gp (kết nối tới mạng di động khác) và giao diện Gi (kết nối đến mạng dữ liệu bên ngồi như mạng Internet).
d) Tấn cơng ở mức báo hiệu
SIP là giao thức báo hiệu cho các dịch vụ thoại qua IP (VoIP) trong IMS. Một số nguy cơ mất bảo mật phổ biến trong các hệ thống VoIP dữa trên SIP là do những điểm yếu trong chức năng quản lý cuộc gọi (điều khiển định tuyến cuộc gọi và các chức năng báo hiệu cuộc gọi trong các hệ thống VoIP) có thể cho phép kẻ tấn cơng thực hiện:
- Tái cấu hình VoIP để nhận được đặc quyền truy nhập tới thông tin tài khoản của người dùng;
- Nghe trộm sự truyền thông VoIP;
- Tấn công VoIP subscription của người sử dụng để truyền thơng sau đó.
3.1.4 Tấn công trên các giao diện mạng
Các giao diện chính của mạng thơng tin di động 3G:
- Gi: Giao diện giữa mạng 3G và mạng bên ngoài như mạng Internet; - Gp: Giao diện giữa 2 nhà mạng di động, chủ yếu cho chuyển vùng; - Ga: Giao diện tới các hệ thống tính cước;
- Gn: Giao diện nội bộ giữa SGSN và GGSN của 1 nhà mạng di động.
Dễ xẩy ra các cuộc tấn công trên các giao diện này, đặc biệt là trên giao diện Gp và Gi. Những dịch vụ bảo mật, chống lại sự tấn công được phân loại như sau:
1) Đảm bảo Độ toàn vẹn dữ liệu: Dịch vụ bảo mật, đảm bảo cho dữ liệu không
thể bị thay đổi theo một cách bất hợp pháp hoặc có hại;
3) Đảm bảo Độ bí mật: Bảo vệ dữ liệu khơng bị lộ cho bên thứ ba.
4) Đảm bảo Bảo mật nhận thực: Đảm bảo rằng các bên tham gia truyền thông
là thực thể đã khai báo;
5) Đảm bảo Tính hợp pháp (đặc quyền): Đảm bảo thực thể chỉ được phép thực
hiện các tác vụ được phép thực hiện;
6) Duy trì Độ khả dụng: Dịch vụ dữ liệu được sử dụng bởi các bên, phù hợp
LIX
Khi nghiên cứu các nguy cơ mất bảo mật trên các giao diện mạng di động 3G, chúng ta cần xét đến các loại tấn công vào những dịch vụ cần bảo mật này. Để lựa chọn giải pháp bảo mật phù hợp, thì cần xác định kiểu lưu lượng và những dịch vụ dữ liệu được cung cấp, sau đó phân tích những nguy cơ mất bảo mật cụ thể. Dưới đây, chúng ta sẽ phân tích những nguy cơ mất bảo mật trên các giao diện của mạng 3G.
a) Tấn công trên giao diện Gp
Giao diện Gp là loại kết nối logic giữa các mạng di động mặt đất công cộng
(PLMN), để hỗ trợ người sử dụng di động chuyển vùng. Giao thức đường hầm GPRS (GTP) được sử dụng để thiết lập một kết nối giữa một SGSN nội hạt và GGSN thường trú của người sử dụng. Lưu lượng đến và đi từ một mạng di động của nhà khai thác qua giao diện Gp là:
1) GTP: Cung cấp kết nối logic giữa SGSN và GGSN của các bên tham gia chuyển vùng; (adsbygoogle = window.adsbygoogle || []).push({});
2) BGP: Cung cấp thông tin định tuyến giữa nhà khai thác và GRX hoặc các bên tham gia chuyển vùng;
3) DNS: Cung cấp quyết định đối với một thuê bao APN.
Hình 3.3- Các giao diện của mạng 3G.
b) Tấn công trên giao diện Gi
Gi là giao diện mà dữ liệu khởi đầu từ MS được gửi ra ngoài, truy nhập tới Internet hoặc mạng doanh nghiệp. Lưu lượng được gửi ra từ GGSN trên giao diện Gi hoặc
LX
đến một MS trên giao diện Gi có thể là kểu lưu lượng bất kỳ, bởi vì ứng dụng được sử dụng ở MS là không được biết.
c) Tấn công trên giao diện Gn
Gn là giao diện bên trong mạng của một nhà cung cấp dịch vụ di động. Các nguy cơ mất bảo mật có thể khởi nguồn từ bên trong mạng hoặc từ bên ngoài. Các cuộc tấn cơng trên giao diện Gn có thể làm sập mạng, mất dịch vụ, mất lợi nhuận, làm cho khách hàng bực tức.
- SGSN hoặc GGSN bị lừa đảo;
- Bản tin GTP PDP Context Delete bị lừa đảo;
- Tấn công từ một khách hàng di động tới một khách hàng di động khác.
3.2 Các giải pháp bảo vệ mạng 3G
Bảng 3.2 tóm tắt một số giải pháp phịng chống các loại tấn cơng vào mạng di động 3G.
Bảng 3.2: Giải pháp chống lại các dạng tấn công cụ thể
Các loại tấn công Mục tiêu Giải pháp bảo vệ
Worm, Virus, Trojan, SMS/MMS spam Người sử dụng, các phần tử mạng (server nội dung) Phần mềm diệt virus ở mạng và thiết bị; công nghệ quét nội dung
Từ chối dịch vụ (DoS), SYNflood, các tấn công vào lớp ứng dụng (tràn bộ đệm, SIP flooding, RTP flooding...) HLR, AAA, các máy chủ nội dung, các node báo hiệu
Các bức tường lửa, bức tường lửa báo hiệu’ các hệ thống phát hiện ngăn ngừa xâm nhập (IDP)
Tấn công Overbilling Các phần tử quản lý của nhà khai thác (AAA, HLR, VLR...)
Các hệ thống phát hiện và ngăn ngừa xâm nhập (IDP)
LXI
Spoofed PDP context Phiên của người sử dụng
Bức tường lửa báo hiệu Các tấn công ở mức
báo hiệu (SIGTRAN, SIP) gồm biến đổi, ngăn chặn, và DoS
Các nút báo hiệu Bức tường lửa, bức tường lửa báo hiệu và các hệ thống phát hiện và ngăn ngừa xâm nhập (IDP)
3.2.1 Chống lại Malware
- Bước 1: Các nhà mạng triển khai những phần mềm diệt virus và bức tường lửa
trên tất cả các thiết bị truy nhập mạng.
- Bước 2: Các nhà mạng triển khai công nghệ quét nội dung trong mạng (adsbygoogle = window.adsbygoogle || []).push({});
3.2.2 Bảo vệ bằng bức tường lửa
Một thiết bị truyền thông được đặt giữa mạng cần được bảo vệ và một mạng khác, cho phép truy nhập một cách chọn lọc tới mạng cần bảo vệ. Bức tường lửa quan sát tất cả lưu lượng định tuyến giữa 2 mạng, kiểm tra xem có đáp ứng các tiêu chuẩn cụ thể hay khơng: Nếu tiêu chuẩn đáp ứng, lưu lượng được định tuyến giữa các mạng, ngược lại, lưu lượng bị chặn lại. Các bức tường lửa cũng quan trắc tất cả nỗ lực muốn thâm nhập vào mạng và đưa ra cảnh báo về sự xâm nhập bất hợp pháp. Các bức tường lửa có thể lọc các gói tin, dữa trên nội dung của các trường để lọc địa chỉ và giao thức. Bức tường lửa cá nhân là một máy tính có khả năng lọc lưu lượng vào và ra khỏi nó. Đó là một phần của phần mềm hoặc phần cứng được đặt trong máy. Người sử dụng có thể cấu hình lại bức tường lửa theo các quy tắc riêng để điều khiển lưu lượng. Các nhà mạng nên sử dụng bức tường lửa ở các điểm phù hợp để bảo vệ ở:
a) Mức gói: Bằng cách phân tích thơng tin trên các tiêu đề của gói, bức tường
lửa quyết định gói tin được phép đi vào mạng hay không;
b) Mức phiên: Bức tường lửa giám sát trạng thái và điều khiển lưu lượng giữa
các mạng, loại bỏ các gói khơng thuộc các phiên hợp lệ;
c) Mức ứng dụng: Giống như hệ thống phát hiện, ngăn ngừa xâm nhập (IDP),
LXII
Hình 3.4- Bảo vệ bằng bức tường lửa.
Nên sử dụng các bức tường lửa để bảo vệ hạ tầng mạng khỏi các cuộc tấn công qua giao diện kết nối với các mạng bên ngồi (qua giao diện Gp và Gi) và phịng chống nguy cơ bị tấn công từ bên trong mạng (qua giao diện Ga và Gn).
3.2.3 Bảo vệ mạng bằng hệ thống phát hiện và ngăn ngừa xâm nhập
Để bảo vệ mạng 3G, cần bổ sung hệ thống phát hiện và ngăn ngừa xâm nhập (IDP) vào các bức tường lửa. Các hệ thống IDP phát hiện sự có mặt của các cuộc tấn cơng trong dịng lưu lượng được phép đi vào mạng nhờ:
- Các dấu hiệu có ích: Quan sát trạng thái của kết nối và lưu lượng, quét các loại tấn công dữa trên các mẫu đã biết;
- Phát hiện sự bất bình thường về giao thức: Mơ tả các loại tấn cơng được dấu kín, nhờ sử dụng giao thức hợp lệ;
- Phát hiện lưu lượng gây ra bởi các worm và Trojan;
- Phát hiện bất bình thường về lưu lượng: So sánh tập lưu lượng tới với các chuẩn lưu lượng tới hạn trên các kết nối;
LXIII
- Các dấu hiệu kết hợp: Kết hợp các dấu hiệu trạng thái để mơ tả các loại tấn cơng có thể lan tràn nhiều phiên.
Hình 3.5- Bảo vệ mạng bằng Firewall và IDP.
Các hệ thống IDP thường được đặt sau bức tường lửa (Hình 3.5), để kiểm tra các gói tin vào và ra khỏi mạng. Khi lưu lượng có hại được phát hiện, sẽ được IDP ngăn chặn không cho vào mạng hoặc rời khỏi mạng. Đặt một IDP trên đường liên kết đầu ra sẽ cho phép ngăn ngừa các cuộc tấn cơng có khởi nguồn từ bên trong mạng.
3.2.4 Bảo vệ mạng bằng VPN
Bảo vệ mạng bằng VPN được mơ tả trên hình 3.6. Kỹ thuật bảo vệ tốt nhất ở lớp mạng là dùng IPsec. IPsec bảo vệ lưu lượng trên mỗi kết nối, do đó nó độc lập với lớp ứng dụng chạy trên nó. Khi dùng VPN, các nhà mạng khắc phục được những điểm yếu của giao thức GTP, bằng cách mật mã hoá lưu lượng qua một IPsec VPN và triển khai các bức tường lửa để khố các dịng
lưu lượng có ý định khai thác những điểm yếu của GTP.
Để triển khai VPN trên hạ tầng của mạng 3G, có 3 sơ đồ bảo mật được đề xuất: (1) Bảo mật end-to-end, (2) Bảo mật mạng rộng, (3) Bảo mật dữa trên đường biên. Sự khác nhau giữa các sơ đồ này là vị trí đặt chức năng bảo mật trong kiến trúc mạng 3G (MS, RNC và GGSN) và dữ liệu được phát ở dạng tường minh (cleartext) hay bị xâm nhập bởi bên ngồi.
LXIV
Hình 3.6- Bảo vệ mạng bằng IPsec VPN.
a) Bảo mật end-to-end VPN
Hình 3.7 là sơ đồ bảo mật end-to-end (e2e) có tích hợp chức năng VPN vào các thực thể tham gia truyền thông.
Cụ thể là, thiết lập một cặp tổ hợp bảo mật IPsec SAs giữa một máy di động (MS) và một gateway bảo mật từ xa (SG) của một mạng riêng. Cặp IPsec SAs được mở rộng cho tồn bộ đường truyền thơng. Dữ liệu nhạy cảm được bảo mật khi nó rời khỏi vị trí khởi đầu (MS hoặc SG) và được bảo vệ khi đi qua giao diện vơ tuyến, do đó nó loại bỏ khả năng dữ liệu bị thay đổi trong mạng lõi UMTS và mạng Internet.
LXV (adsbygoogle = window.adsbygoogle || []).push({});
Hình 3.7- Sơ đồ bảo mật end-to-end VPN.
Việc triển khai sơ đồ VPN e2e không liên quan đến hoạt động của mạng nằm ở bên dưới và kết nối mạng được cung cấp, vì nó hoạt động bên trên lớp mạng, nên các tham số bảo mật không bị ảnh hưởng bởi sự chuyển động của MS. Thủ tục quản lý di động UMTS cho phép ln giám sát vị trí của đối tượng sử dụng, nên các gói tin sẽ được định tuyến đến MS. Tuy nhiên, sơ đồ bảo mật e2e không thể ngăn chặn truy nhập tới dữ liệu chuyển tiếp bên trong mạng di động.
b) Bảo mật mạng rộng VPN và bảo mật dựa trên đường biên VPN
Đây là bảo mật dữa trên đường biên VPN, có tích hợp chức năng VPN vào hạ tầng mạng 3G. Trong cả 2 sơ đồ này, máy di động MS khởi đầu một kết nối với VPN đã được thoả thuận và được thiết lập bởi hạ tầng mạng, do đó giảm thiểu tác động đến người sử dụng thiết bị đầu cuối.
Để triển khai sơ đồ bảo mật này, thì máy di động MS phải có thêm chức năng bảo mật client (SecC) và mạng lõi UMTS phải được tích hợp với một máy chủ bảo mật (SecS). SecC là một mô đun nhẹ, với khả năng xử lý và bộ nhớ khơng đáng kể, do đó nó dễ tích hợp vào bất kỳ kiểu máy di động nào. Ở phần mạng lõi UMTS, SecS thiết lập, điều khiển và quản lý các VPN giữa nó và các gateway cổng (SG) ở xa trong các mạng LAN. SecS có thể được tích hợp sẵn trong hạ tầng mạng, do đó, cả 2 sơ đồ bảo mật đều có thể được ứng dụng như là các thuộc tính giá trị gia tăng của mạng 3G.
LXVI
Hình 3.8- Sơ đồ bảo mật mạng diện rộng VPN.
Sơ đồ bảo mật mạng rộng VPN (Hình 3.8) có tích hợp SecS vào RNC của hạ tầng mạng 3G. Sơ đồ này cung cấp những dịch vụ được bảo mật tốt nhất cho các thực thể truyền thông, bằng cách mật mã hố UMTS trên giao diện vơ tuyến và mở rộng VPN qua mạng xương sống UMTS và mạng Internet cơng cộng, do đó, dữ liệu nhạy cảm của người sử dụng vẫn được mật mã hố trên tồn bộ tuyến truyền thơng (e2e).
Sơ đồ bảo mật dữa trên đường biên tích hợp SecS ở GGSN (Hình 3.9) nhằm bảo vệ dữ liệu qua mạng Internet. Độ di động của người sử dụng là trong suốt đối với hoạt động VPN, bởi vì người sử dụng vẫn ở trong vùng phủ của cùng một nhà mạng và được phục vụ bởi cùng một GGSN. Tuy nhiên, khi người sử dụng chuyển vùng tới GGSN khác, tổ hợp bảo mật SA hiện tại không thể sử dụng được, vì vậy cần thiết lập một VPN mới.
LXVII
Hình 3.9- Sơ đồ bảo mật dữa trên đường biên VPN.
3.2.5 Bảo vệ trên các giao diện mạng
Để dễ hiểu kiểu kiến trúc bảo mật trong mạng di động 3G, chúng ta phân chia mạng thành các vùng bảo mật logic như trên hình 3.10, trên cơ sở đó nhà khai thác mạng có thể đánh giá mức độ quan trọng của thông tin, các kiểu tấn công và cơ chế bảo vệ tốt nhất cho mỗi vùng. Giải pháp bảo vệ hiệu quả là dùng các thiết bị lọc gói tin, bức tường lửa ở các điểm phù hợp; tuy nhiên, điều quan trọng là cần xác định kiểu thiết bị lọc gói hoặc bức tường lửa dùng tại mỗi vùng logic, do kiểu lưu lượng đi từ vùng đó quyết định.
Các nhà khai thác mạng di động cần phải thực hiện bảo mật kết nối giữa các thành phần trong mạng và giữa các mạng:
a) Gi: Giao diện giữa mạng 3G và mạng bên ngoài như mạng Internet; b) Gp: Giao diện giữa 2 nhà khai thác mạng di động, cho chuyển vùng; c) Ga: Giao diện tới các hệ thống tính cước;
LXVIII
Hình 3.10- Các vùng bảo mật trong mạng di động 3G.
a) Các giải pháp bảo vệ trên giao diện Gp
Những nguy cơ mất bảo mật trên giao diện Gp là do khơng có bảo mật cho giao thức đường hầm GTP. GTP được sử dụng để đóng gói dữ liệu từ MS, bao gồm cả cơ chế để thiết lập, di chuyển, xố các đường hầm giữa SGSN và GGSN trong tình huống chuyển vùng. Việc thực hiện IPsec giữa các bên tham gia chuyển vùng và quản lý tốc độ lưu lượng cho phép loại bỏ phần lớn các nguy cơ mất bảo mật trên giao diện Gp.
Các giải pháp bảo mật trên giao diện Gp được khuyến nghị: - Thực hiện lọc gói vào và ra;
- Thực hiện lọc gói GTP trạng thái; - Tạo dạng lưu lượng GTP
- Thực hiện các đường hầm IPsec giữa các bên tham gia chuyển vùng - Ngăn chặn tấn cơng gây ra tính vượt cước
LXIX
Hình 3.11- Bảo vệ giao diện Gp.
b) Các giải pháp bảo vệ trên giao diện Gi