Với các NIDS khi sử dụng trên mạng thì có 2 cách là:
NIDS ngoài luồng (out-stream): Hệ thống NIDS ngồi luồng khơng can thiệp trực tiếp vào luồng dữ liệu mà nó chỉ sao chép phần dữ liệu của luồng và phân tích, phát hiện các dấu hiệu của sự xâm nhập, tấn cơng. Với cách này NIDS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng.
NIDS trong luồng (in-stream): Vị trí NIDS nằm trước bức tường lửa, luồng dữ liệu phải đi qua NIDS trước khi tới bức tường lửa. Điểm khác chính so với NIDS ngồi luồng là có thêm chức nǎng chặn lưu thơng. Điều đó làm cho NIDS có thể ngǎn chặn luồng giao thơng nguy hiểm nhanh hơn so với NIDS ngồi luồng. Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thơng tin ra vào mạng chậm hơn.
Trong chương 2 này đồ án đã trình bày một số nguy cơ và kiểu tấn cơng trong mạng mà ta có thể gặp phải và trình bày một số giải pháp để phịng trừ bị tấn công. Với giải pháp VPN hiện nay đã và đang thu hút được rất nhiều sự quan tâm cả về đầu tư cũng như nghiên cứu. Trong bài em đã tập trung vào hoạt động an ninh của giải pháp VPN dựa trên nền IPsec, ngồi ra cịn có một số giao thức khác có thể sử dụng để đảm bảo an ninh cho VPN, chẳng hạn như SSL/TLS, giao thức đường hầm lớp 2 (L2TP). Ngoài giải pháp VPN ra, ở trong chương này em cũng giới thiệu một số giải pháp điều khiển truy nhập mà ta vẫn thường dùng như firewall, IDS. Giải pháp điều khiển truy nhập thường tập trung vào biên giới giữa những vùng cần bảo vệ. Như vậy cùng với công nghệ VPN đưa ra và một số giải pháp điều khiển truy nhập chúng ta có thể tin tưởng hơn vào khả năng đảm bảo an ninh của mạng. Độ tin cậy càng cao khi khả năng đảm bảo an ninh của các thiết bị càng tốt.
CHƯƠNG III AN NINH BÁO HIỆU SIP
SIP sử dụng cơ chế thẩm định quyền của HTTP ( HTTP digest authentication), TLS, IPSec và S/MIME ( Secure/Multipurpose Internet Mail Extension) cho việc đảm bảo an ninh.
3.1 Lỗ hổng trong SIP
SIP là một giao thức báo hiệu multimedia được chuẩn hóa bởi IETF. Kiến trúc này nổi bật với các đầu cuối UA và một tập hợp các server, bao gồm proxy server, registration server, redirection server…Ngay từ những ngày đầu SIP đã giành được rất nhiều sự tin dùng và chú ý do hệ thống kiến trúc mở và khả năng mở rộng cho những thiết bị di động và truyền thông multimedia. Đặc điểm của giao thức báo hiệu SIP là dựa trên giao thức HTTP và mã hóa ASCII. Chính vì những đặc điểm này SIP có rất nhiều lỗ hổng bảo mật mà rất dễ bị kẻ xấu khai thác và tấn công. Sau đây là một vài đặc điểm yếu quan trọng của SIP:
3.1.1 Cướp đăng kí (Registration Hijacking)
Đây chính là một điểm yếu của SIP, tương tự như kiểu tấn công “người đứng ở giữa” (Man-in-the-middle). Kẻ tấn cơng có thể giám sát các thơng điệp REGISTER từ một người dùng và thay đổi phần địa chỉ trong thông điệp này. Khi nhận được những thông điệp giả này, SIP registrar sẽ cập nhật địa chỉ hợp lệ thành các địa chỉ giả của kẻ tấn công. Như vậy với một tấn công kiểu “người đứng ở giữa” thành cơng thì khi một cuộc gọi đến người dùng, cuộc gọi này sẽ được proxy server đăng ký và chuyển đổi sang thành cuộc gọi cho người dùng tương ứng với địa chỉ giả của kẻ tấn công.
3.1.2 Giả địa chỉ IP, giả mạo cuộc gọi(IP Spoofing/ Call Fraud)
Kẻ tấn cơng sẽ đóng giả một người dùng hợp lệ với ID giả mạo và gởi một thông điệp INVITE hoặc REGISTER. Trong IPv4, chúng ta khơng thể khóa một IP giả mạo khi một thông điệp SIP được gởi dưới dạng hiển thị rõ(clear text) và một kẻ tấn cơng có thể dùng một địa chỉ IP bất kỳ khác một cách dễ dàng. Khi một địa chỉ IP bất kỳ được gởi để đăng ký tài khoản (account) thay vì gởi địa chỉ IP của người dùng hợp lệ trong thơng điệp SIP thì tất cả những cuộc gọi đến người dùng này đều được truyền đến sai địa chỉ và không bao giờ đến đúng với người dùng hợp lệ. Nếu một kẻ tấn cơng có thể dùng một địa chỉ IP hợp lệ và tạo một cuộc gọi với địa chỉ này thì hồn tồn có
3.1.3 Tràn ngập thông điệp INVITE (INVITE Flooding)
Kẻ tấn công sẽ liên tục gởi những thông điệp INVITE với một địa chỉ ảo và là tê liệt đầu cuối User hoặc SIP proxy server. Kiểu tấn công này tương tự giống như tấn cơng tràn ngập tín hiệu SYN trong kết nối TCP.
3.1.4 Từ chối dịch vụ DoS (Denial of Service)
Một gói báo hiệu SIP theo mặc định khi được gởi sẽ ở dạng văn bản hiển thị rõ vì vậy nó có thể bị làm giả. Nếu kẻ tấn cơng giám sát, theo dõi các thông điệp INVITE của chúng ta thì hồn tồn có thể tạo một thơng điệp BYE hợp lệ và có thể gởi nó đến một trong các bên tham gia truyền thông, kết quả là làm cuộc đàm thoại bị kết thúc một cách bất ngờ.
3.1.5 Spam qua điện thoại Internet Spam over Internet Telephony (SPIT)
Spam là một vấn đề rất khó chịu đối với bất cứ ai sử dụng email ngày nay. Một cách thích hợp hơn nó cịn được coi những email với mục đích thương mại mà người sử dụng khơng yêu cầu gởi (Unsolicited Commercial Email). Và có khi người sử dụng phải nhận đến hàng ngàn thông điệp như thế một ngày. Chúng ta thử tưởng tượng rằng những thông điệp này không những làm tràn đầy hơp mail mà cịn làm cho hệ thống voicemail trong VoIP bị tắc nghẽn và quá tải.
Để ngăn chặn sự “tấn cơng” của những spammer thì rất là khó. Với một PC và một kết nối thì bất cứ ai cũng có thể trở thành một Spammer. Mặt khác giá thành phải trả cho một thông điệp là quá nhỏ, khơng giống như cước phí voice mail ở điện thoại truyền thống. Chỉ với một số tiền nhỏ thơi thì spammer có thể gởi đến hàng ngàn thơng điệp. Vì thế các spammer khơng gặp nhiều khó khăn về cước phí.
Một đặc điểm khác đó là một địa chỉ Internet thì được chứa trong điện thoại, giống như là SIP URL. Vì thế những người tiếp thị qua điện thoại, hoặc quảng cáo hợp lệ hay khơng hợp lệ có thể dùng những cơng cụ tự động để phân phát hàng loạt những thông điệp không mong muốn như thế. Như ta đã biết thì thị trường VoIP đang ngày càng mở rộng một cách nhanh chóng. Chính vì vậy đây cũng là một môi trường để các nhà kinh doanh khai thác để quảng cáo, tiếp thị…lúc này kích thước của bộ nhớ để chứa các thông điệp là một vấn đề thực tế.
SPIT giống tương tự như là spam, một cách tiềm tàng nó có thể làm tràn hộp thư thoại của chúng ta. Những thơng điệp này chỉ có thể được xóa bằng tay, và chúng ta khơng thể làm thế nào để lọc bỏ nó.
Trong tình huống xấu nhất, một phần mềm VoIP spam có thể dễ dàng phân phát hàng ngàn thông điệp một cách dễ dàng. Lúc này SPIT có thể trở thành một dạng tấn công DoS mới làm tràn ngập tài nguyên của hệ thống mail trong doanh nghiệp.
3.2 Thỏa thuận bảo mật trong SIP
3.2.1 Thỏa thuận hoạt động bảo mật trong SIP
Hoạt động bảo mật đảm bảo an ninh trong SIP đạt được do thỏa thuận hoạt động bảo mật bằng cách trao đổi các bản tin.
Các bước để thỏa thuận bảo mật dùng trong SIP:
1. Client ----------client list---------> Server 2. Client <---------server list---------- Server 3. Client ------(turn on security)------- Server 4. Client ----------server list---------> Server 5. Client <---------ok or error---------- Server