Các dịch vụ proxy ICMP

Một phần của tài liệu Nghiên cứu chung về quản lý mạng TCP/IP và An ninh mạng TCP/IP (security (Trang 36 - 39)

Giao thức tin nhắn điều khiển Internet ICMP (Internet Control Message Protocol) mô tả mmột giao thức lớp 3 trong giao thức TCP/IP. ICMP quen với truyền tin nhắn lỗi cũng như các câu hỏi trạng thái và trả lời những câu hỏi đó. Những gói ICMP được tạo thành bằng việc sử dụng một tiêu đề giao thức Internet IP chứa một số thích hợp trong trường loại (Type) của nó .

Mặc dầu sử dụng ICMP là đầu tiên được định hướng theo vận chuyển tin nhắn lỗi giữa thiết bị hoạt động giao thức TCT/IP và vận chuyển đến người sử dụng mạng,giao thức cũng được sử dụng phổ biến bởi nhiều cá nhân mà hầu như không biết chắc chắn rằng chúng đang sử dụng gói truyền dẫn ICMP.

Hai trong các loại gói ICMP phổ biến là yêu cầu phản hồi(Echo Request) và yêu cầu trả lời ( Response Request), loại được biết đến hầu hết mọi người là hoạt động Ping hoặc ứng dụng. Ứng dụng Ping được thực hiện trên một giao thức TCP/IP định rõ, một người dùng tiêu biểu vào tên lệnh ứng dụng Ping tiếp theo tên máy chủ (host) hoặc địa chỉ IP máy chủ và một hoặc nhiều tham số tùy chọn mà các tham số đó ảnh hưởng đến cách hoạt động của Ping.

Sử dụng Ping với ý định ban đầu như một kỹ thuật cho phép người dùng xác định một máy chủ từ xa là hoạt động và sử dụng giao thức TCP/IP. Ping một máy chủ ở xa một gói yêu cầu phản hồi (Echo Request ) ICMP kết quả máy chủ ở xa gửi lại một gói trả lời (Echo Response ) ICMP nếu máy chủ ở xa nhận được, sẵn sàng hoạt động và thực hiện chức năng TCT/IP. Lý do sử dụng Ping cũng lưu ý nếu một máy chủ ở xa nhận được và Ping timeout nghĩa là máy chủ ở xa không hoạt động ,một hoặc nhiều thiết bị truyền thông trong đường dẫn đến máy chủ xa có thể bị rớt mạch.Tuy nhiên ,hầu hết các trường hợp Ping mô tả phương pháp xử lý sự cố đầu tiên dùng khi nó xuất hiện mà một máy chủ không trả lời câu hỏi.

Bổ sung thêm rằng một máy chủ sẵn sàng đón nhận và sẵn sàng hoạt động ,sử dụng Ping cung cấp thông tin liên quan quanh độ ngắt vòng trễ đến máy chủ từ xa. Kết quả thông tin này từ ứng dụng Ping trên việc cài đặt đồng hồ khởi đầu và ghi nhớ thời gian cho đến khi nhận được một câu trả lời hoặc thời gian không làm gì xảy ra và thu được câu không trả lời. Thời gian giữa truyền Ping và nhận một câu trả lời mô tả gói tin thời gian trễ trọn vòng và cung cấp thông tin quí giá là tại sao một hoạt động phụ thuộc thời gian như sản phẩm thoại trên IP (VoIP).

Khi thời gian đầu bạn Ping một đích sử dụng tên máy chủ,giao tức của bạn có thể phải thực hiện một hoạt động giả pháp địa chỉ để xác định địa chỉ IP cần cho định tuyến trực tiếp chính xác gói tin đến đúng đích của nó, ảnh hưởng thêm một sự trễ. Do đó, hầu hết thực hiện Ping bằng mặt định phát ra giữa từ ba đến năm gói yêu cầu liên tục phản hồi. Tuy nhiên, một vài thực hiện của Ping cho phép người dùng đặt một tùy chọn mà kết quả trong máy chủ liên tục phát ra Ping, cho đến khi người ta điều khiển máy tính tạo ra Ping đưa ra một CTRL-BREAK để kết thúc ứng dụng.

Mặc dầu liên tục Ping xuất hiện có thể không có hại, trong thực tế nó mô tả một phương pháp cho tin tặc để bắt đầu một tấn công từ chối dịch vụ. Điều này bởi vì Ping máy chủ phải dừng điều nó đang làm, thậm chí chỉ vài mili giây và trả lời Ping với một gói trả

kích cỡ mặc định 32 hoặc 64 bytes, tùy theo sự thực hiện,mà người ta bắt buộc đích đến trả lời với độ dài trả lời tăng, một điều đòi hỏi dùng thêm tài nguyên mạng.

Vấn đề nữa kết hợp không giới hạn sử dụng Ping là có thể dùng kỹ thuật để khám phá máy chủ làm việc ở xa mạng bằng cách tấn công máy chủ từ xa.Ví dụ, một tin tặc có thể ghi một mã theo chu kỳ thông qua tất cả 254 địa chỉ trên lớp C mạng IP bằng kỹ thuật khám phá địa chỉ hoạt động hiện tại.

Dựa trên cơ sở có trước, nhiều tổ chức có thể ước muốn điều khiển hoạt động Ping và các loại tin nhắn ICMP khác. Trong khi nhiều sanh sách truy cập định tuyến cung cấp người quản trị khả năng lọc gói ICMP dựa trên địa chỉ IP nguồn và/hoặc đích và loại tin nhắn ICMP, như vậy lọc danh sách truy cập là một hoạt động toàn bộ hoặc không. Tức là,một danh sách truy cập định tuyến không thể xem xét chọn lựa và lưu ý rằng chuỗi yêu cầu phản hồi ICMP từ cùng địa chỉ nguồn đã xảy ra sau một số yêu cầu xác định trước được truyền qua bộ định tuyến và yêu cầu tiếp theo là ngăn chặn. So sánh một chức năng dịch vụ proxy ICMP có thể cấu hình khác nhau giữa chuỗi gói yêu cầu phản hồi đơn và cố ý hoặc không cố ý cài đặt ứng dụng Ping để liên tục Ping một host. Tương tự, một khả năng dịch vụ proxy ICMP có thể được thuê để phân biệt giữa một người có truy cập một server khó khăn và một người khác đang sử dụng ứng dụng Ping trong một nổ lực khám phá tất cả host trên mạng của tổ chức bạn. Vì vậy, dịch vụ proxy ICMP mô tả một loại dịch vụ proxy quan trọng ,một dịch vụ có thể nâng cao an ninh cho mạng.

2.3.4 Hạn chế

Mặc dầu dịch vụ proxy có thể cung cấp một nghiên cứu nâng cao về an ninh mạng, tuy nhiên chúng ta cần thảo luận những hạn chế của chúng. Trước tiên, một dịch vụ proxy đòi hỏi xem xét nội dung chi tiết của các gói tin riêng lẻ và chuỗi riêng lẻ nhưng liên quan đến các gói tin, buộc các ứng dụng cần phải tìm hiểu sâu về cấu trúc của mỗi một gói tin. Điều này dẫn đến một xử lý thêm xảy ra trên mỗi một gói, mở đầu là mức độ trễ. Thứ hai, chuỗi gói có được xem xét để quyết định nếu nó chấp nhận cho phép các gói truyền đến đích của chúng. Điều này nghĩa là một hoặc nhiều gói trong mỗi chuỗi phải làm vật đệm hoặc lưu trữ tạm thời cho đến khi dịch vụ proxy xác định nếu các gói tiếp tục đi đến đích của chúng hoặc sẽ được gửi đến bộ lưu trữ. Điều này có nghĩa là đòi hỏi thêm bộ đệm lưu trữ trong dịch vụ proxy hoặc bức tường lửa và lưu trữ tạm thời các gói tin trước khi đưa đến server. Trên thực tế, theo kiểm tra cho phép bởi vài thí nghiệm kiểm tra truyền thông, sử dụng dịch vụ proxy từ các nhà cung cấp bức tường lửa khác nhau kết quả từ 20% đến 40% băng thông của một kết nối Internet tại server proxy . Điều này cũng dẫn đến mất gói

từ 20% đến 40%. Vì vậy, bạn phải xem xét hiệu quả trễ dịch vụ proxy và tiềm năng cần đến để nâng cấp đường dây truy cập Internet của bạn phòng xa tiềm năng nâng cao an ninh mạng cho tổ chức mạng của bạn.

Một phần của tài liệu Nghiên cứu chung về quản lý mạng TCP/IP và An ninh mạng TCP/IP (security (Trang 36 - 39)

Tải bản đầy đủ (DOC)

(48 trang)
w