- Cổng ứng dụng gateway: Cổng ứng dụng đứng vai trò trung gian trong mọi truy nhập tới máy chủ dịch vụ. Cổng ứng dụng tiếp nhận kết nối tới nó, kiểm tra sự hợp lệ theo luật đã định sẵn, sau đó đóng vai máy khách để tạo kết nối đến máy chủ thật, kết quả trả về từ máy chủ thật sẽ được trả về cho máy khách thật.
Cổng ứng dụng cho phép kiểm soát nội dung của mỗi giao dịch, nhận thực người dùng và ghi lại nhật ký của các giao dịch một cách chi tiết. Tuy nhiên điều này đòi hỏi tài nguyên hệ thống lớn và thiết bị cổng ứng dụng thường là khá mạnh, đắt tiền.
- Cổng mức mạch (Circuit-level gateways):
Cổng mức mạch cũng đứng vai trò trung gian như cổng ứng dụng, nhưng nó chỉ đơn giản chuyển tiếp kết nối đó cho máy chủ thật. Do vậy cổng mức mạch khơng kiểm sốt nội dung của mỗi giao dịch chặt chẽ, nó chỉ đơn giản kiểm sốt số lượng kết nối đồng thời và loại bỏ một số kết nối nó cho là khơng hợp lệ.
Hình 2.17 Firewall kiểu cổng mức mạch.2.3.2.3 Hệ thống phát hiện xâm nhập (IDS) 2.3.2.3 Hệ thống phát hiện xâm nhập (IDS)
a.Khái niệm chung về IDS (Intrusion Detection System)
IDS là hệ thống có thể được đặt vào một số vị trí trên mạng để có thể phát hiện và sinh ra các cảnh báo đối với bất kỳ sự xâm nhập bất hợp pháp nào từ bên ngồi vào một hệ thống, IDS khơng ngăn chặn xâm nhập như Firewall, IDS cung cấp sự bảo vệ bằng cách trang bị cho ta thông tin về cuộc tấn công.
b. Một số khối chức năng chính của IDS
Sensor, Probe: những module này tạo nên những thành phần thu thập dữ liệu của một IDS. Chúng theo dõi lưu thông mạng, các file hay các hành vi của hệ thống -chuyển đổi dữ liệu thơ thành các sự kiện có thể sử dụng được.
Monitor: giám sát các thành phần, là bộ phận xử lí chính của IDS, nhận các sự kiện từ các sensor. Các sự kiện này được tập hợp lại và sinh ra các cảnh báo. Các cảnh báo, bản thân chúng cũng là các sự kiện, chỉ ra các sự cố đáng quan tâm đối với an ninh của hệ thống, và có thể chuyển tiếp đến các monitor bậc cao hơn, hoặc tới đơn vị giải quyết.
Resolver: bộ giải quyết nhận các báo cáo nghi ngờ từ các monitor (dưới dạng một hoặc nhiều cảnh báo), và quyết định phản ứng thích hợp, thay đổi hành vi của các bộ phận cấp thấp hơn, cấu hình lại biện pháp an ninh khác (thêm các quy định cho firewall, ...) và thông báo cho người điều hành.
Trong kiến trúc của nhiều IDS những sự phân chia này thường là không rõ ràng. Trong hệ thống ID đơn nhất, có thể tất cả các bộ phận này tạo thành một chương trình, hoặc có thể chia thành các tiến trình và các cơng cụ.
c. Hoạt đợng của IDS
Phân tích cấu trúc thơng tin trong các gói tin. Tất cả các gói tin qua Card mạng (NIC) của máy giám sát đều được copy lại và chuyển lên lớp trên. Bộ phân tích gói đọc thơng tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì, sau đó dùng phương pháp dị tìm kể trên để phát hiện tấn cơng.
i. Giám sát File (tệp) bản ghi
Đây là phần cơ bản nhất của IDS, chúng cố gắng dị tìm cấu trúc bằng hệ thống và phân tích trong trường hợp bản ghi. Một bộ giám sát file bản ghi cơ bản có thể tìm một kẻ truy cập bất hợp pháp. Công nghệ này bị hạn chế ở việc chỉ dị tìm các trường hợp bản ghi, cái mà những kẻ tấn cơng có thể dễ dàng thay đổi.
ii. Điều khiển toàn cục
Một bộ điều khiển toàn cục sẽ theo dõi sự thay đổi cấu trúc hệ thống khóa. Ví dụ, một bộ điều khiển toàn cục sử dụng hệ thống file hoặc các khóa đăng ký để theo dõi sự thay đổi của một kẻ xâm phạm bất hợp pháp. Mặc dù bị hạn chế, các bộ điều khiển tồn cục có thể thêm một tầng bảo vệ phụ để tạo nên một dạng khác của dị tìm.
Bộ điều khiển tồn cụ phổ biến nhất là Tripwire. Tripwire tồn tại cả ở Window và Unix, và có thể giám sát một số các thuộc tính gồm:
• Thêm, xóa và thay đổi file.
• Cờ file ( thí dụ như: ẩn, chi đọc, lưu trữ …).
• Thời gian truy nhập cuối cùng.
• Thời gian viết cuối cùng.
• Thời gian tạo.
• Kích cỡ file.
Tripwire có thể là một biến tùy chọn đối với từng đặc trưng riêng của mạng. Thực tế, bạn có thể sử dụng Tripwire để điều khiển bất cứ sự thay đổi nào của hệ thống. Vì vậy, nó là một cơng cụ mạnh trong tập hợp IDS.
iii. Dò dấu hiệu
Cũng giống như các bộ quét virut hex-signature (kí hiệu hệ hexa) truyền thống, cố gắng chủ yếu của IDSs là tiêu diệt loại tấn công dựa trên cơ sở dữ liệu đã biết (dấu hiệu- signature) . Phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn được gọi là phương pháp dò dấu hiệu (Signature Detection). Khi một kẻ tấn công cố gắng khai thác theo cách đã làm, IDS cố gắng thăm dị lại cơ sở dữ liệu của nó.
Kiểu phát hiện tấn cơng này có ưu điểm là phát hiện các cuộc tấn cơng nhanh và chính xác, khơng đưa ra các cảnh báo sai làm giảm khả năng họat động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình. Tuy nhiên, phương pháp này có nhược điểm là khơng phát hiện được các các cuộc tấn cơng khơng có trong mẫu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới.
d. Phân loại IDSi. HIDS (Host-IDS) i. HIDS (Host-IDS)
HIDS (Host-IDS) là một phần mềm IDS được cài đặt trên một máy tính (là server hay một trạm nào đó) để theo dõi tính trạng hoạt động hoặc các hành vi xâm nhập vào chính máy tính này. Nó cung cấp các thơng báo đều đặn theo thời gian của bất kỳ sự thay đổi nào ở máy tính này từ tác động bên trong hay bên ngồi. Nó là một trong những cách tốt nhất để giảm thiểu sự tổn thương của hệ thống. Có nhiều phần mềm HIDS như là tripwire (http://www.tripwire.com), AIDE, chkrootkit (http://www.chkrootkit.org).
ii. AIDS (Application-IDS)
AIDS (Application-IDS) là công cụ IDS theo dõi ứng dụng máy chủ dịch vụ. Khi được kết hợp với một HIDS, chúng đảm bảo rằng sự xâm nhập tới một máy chủ sẽ giảm thiểu.
iii. NIDS (Network-IDS)
NIDS sẽ kiểm soát tất cả gói tin trên từng phân mạng, đánh dấu những gói tin bị nghi ngờ. IDS mạng sẽ tìm kiếm những dấu hiệu đáng ngờ - chỉ thị cho biết những gói
tin có biểu hiện xâm nhập. Những dấu hiệu này có thể tìm thấy trong nội dung thực của gói tin bằng cách so sánh từng bit với kiểu mẫu đã biết về dạng tấn công. Các dấu hiệu tấn cơng thường nằm ở phần đầu (header) của gói tin TCP/IP.
Về vị trí đặt các NIDS trong mạng có thể đặt chúng theo các vị trí trong sơ đồ sau:
Hình 2.18 Các vị trí đặt NIDS trong mạng
Với các NIDS khi sử dụng trên mạng thì có 2 cách là:
NIDS ngoài luồng (out-stream): Hệ thống NIDS ngồi luồng khơng can thiệp trực tiếp vào luồng dữ liệu mà nó chỉ sao chép phần dữ liệu của luồng và phân tích, phát hiện các dấu hiệu của sự xâm nhập, tấn cơng. Với cách này NIDS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thơng của mạng.
NIDS trong luồng (in-stream): Vị trí NIDS nằm trước bức tường lửa, luồng dữ liệu phải đi qua NIDS trước khi tới bức tường lửa. Điểm khác chính so với NIDS ngồi luồng là có thêm chức nǎng chặn lưu thơng. Điều đó làm cho NIDS có thể ngǎn chặn luồng giao thơng nguy hiểm nhanh hơn so với NIDS ngồi luồng. Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm hơn.
Trong chương 2 này đồ án đã trình bày một số nguy cơ và kiểu tấn cơng trong mạng mà ta có thể gặp phải và trình bày một số giải pháp để phịng trừ bị tấn công. Với giải pháp VPN hiện nay đã và đang thu hút được rất nhiều sự quan tâm cả về đầu tư cũng như nghiên cứu. Trong bài em đã tập trung vào hoạt động an ninh của giải pháp VPN dựa trên nền IPsec, ngồi ra cịn có một số giao thức khác có thể sử dụng để đảm bảo an ninh cho VPN, chẳng hạn như SSL/TLS, giao thức đường hầm lớp 2 (L2TP). Ngoài giải pháp VPN ra, ở trong chương này em cũng giới thiệu một số giải pháp điều khiển truy nhập mà ta vẫn thường dùng như firewall, IDS. Giải pháp điều khiển truy nhập thường tập trung vào biên giới giữa những vùng cần bảo vệ. Như vậy cùng với công nghệ VPN đưa ra và một số giải pháp điều khiển truy nhập chúng ta có thể tin tưởng hơn vào khả năng đảm bảo an ninh của mạng. Độ tin cậy càng cao khi khả năng đảm bảo an ninh của các thiết bị càng tốt.
CHƯƠNG III AN NINH BÁO HIỆU SIP
SIP sử dụng cơ chế thẩm định quyền của HTTP ( HTTP digest authentication), TLS, IPSec và S/MIME ( Secure/Multipurpose Internet Mail Extension) cho việc đảm bảo an ninh.
3.1 Lỗ hổng trong SIP
SIP là một giao thức báo hiệu multimedia được chuẩn hóa bởi IETF. Kiến trúc này nổi bật với các đầu cuối UA và một tập hợp các server, bao gồm proxy server, registration server, redirection server…Ngay từ những ngày đầu SIP đã giành được rất nhiều sự tin dùng và chú ý do hệ thống kiến trúc mở và khả năng mở rộng cho những thiết bị di động và truyền thông multimedia. Đặc điểm của giao thức báo hiệu SIP là dựa trên giao thức HTTP và mã hóa ASCII. Chính vì những đặc điểm này SIP có rất nhiều lỗ hổng bảo mật mà rất dễ bị kẻ xấu khai thác và tấn công. Sau đây là một vài đặc điểm yếu quan trọng của SIP:
3.1.1 Cướp đăng kí (Registration Hijacking)
Đây chính là một điểm yếu của SIP, tương tự như kiểu tấn cơng “người đứng ở giữa” (Man-in-the-middle). Kẻ tấn cơng có thể giám sát các thông điệp REGISTER từ một người dùng và thay đổi phần địa chỉ trong thông điệp này. Khi nhận được những thông điệp giả này, SIP registrar sẽ cập nhật địa chỉ hợp lệ thành các địa chỉ giả của kẻ tấn công. Như vậy với một tấn công kiểu “người đứng ở giữa” thành cơng thì khi một cuộc gọi đến người dùng, cuộc gọi này sẽ được proxy server đăng ký và chuyển đổi sang thành cuộc gọi cho người dùng tương ứng với địa chỉ giả của kẻ tấn công.
3.1.2 Giả địa chỉ IP, giả mạo cuộc gọi(IP Spoofing/ Call Fraud)
Kẻ tấn cơng sẽ đóng giả một người dùng hợp lệ với ID giả mạo và gởi một thông điệp INVITE hoặc REGISTER. Trong IPv4, chúng ta khơng thể khóa một IP giả mạo khi một thông điệp SIP được gởi dưới dạng hiển thị rõ(clear text) và một kẻ tấn cơng có thể dùng một địa chỉ IP bất kỳ khác một cách dễ dàng. Khi một địa chỉ IP bất kỳ được gởi để đăng ký tài khoản (account) thay vì gởi địa chỉ IP của người dùng hợp lệ trong thơng điệp SIP thì tất cả những cuộc gọi đến người dùng này đều được truyền đến sai địa chỉ và không bao giờ đến đúng với người dùng hợp lệ. Nếu một kẻ tấn cơng có thể dùng một địa chỉ IP hợp lệ và tạo một cuộc gọi với địa chỉ này thì hồn tồn có
3.1.3 Tràn ngập thông điệp INVITE (INVITE Flooding)
Kẻ tấn công sẽ liên tục gởi những thông điệp INVITE với một địa chỉ ảo và là tê liệt đầu cuối User hoặc SIP proxy server. Kiểu tấn công này tương tự giống như tấn cơng tràn ngập tín hiệu SYN trong kết nối TCP.
3.1.4 Từ chới dịch vụ DoS (Denial of Service)
Một gói báo hiệu SIP theo mặc định khi được gởi sẽ ở dạng văn bản hiển thị rõ vì vậy nó có thể bị làm giả. Nếu kẻ tấn cơng giám sát, theo dõi các thông điệp INVITE của chúng ta thì hồn tồn có thể tạo một thơng điệp BYE hợp lệ và có thể gởi nó đến một trong các bên tham gia truyền thông, kết quả là làm cuộc đàm thoại bị kết thúc một cách bất ngờ.
3.1.5 Spam qua điện thoại Internet Spam over Internet Telephony (SPIT)
Spam là một vấn đề rất khó chịu đối với bất cứ ai sử dụng email ngày nay. Một cách thích hợp hơn nó cịn được coi những email với mục đích thương mại mà người sử dụng khơng u cầu gởi (Unsolicited Commercial Email). Và có khi người sử dụng phải nhận đến hàng ngàn thông điệp như thế một ngày. Chúng ta thử tưởng tượng rằng những thông điệp này không những làm tràn đầy hơp mail mà cịn làm cho hệ thống voicemail trong VoIP bị tắc nghẽn và quá tải.
Để ngăn chặn sự “tấn cơng” của những spammer thì rất là khó. Với một PC và một kết nối thì bất cứ ai cũng có thể trở thành một Spammer. Mặt khác giá thành phải trả cho một thông điệp là quá nhỏ, khơng giống như cước phí voice mail ở điện thoại truyền thống. Chỉ với một số tiền nhỏ thơi thì spammer có thể gởi đến hàng ngàn thơng điệp. Vì thế các spammer khơng gặp nhiều khó khăn về cước phí.
Một đặc điểm khác đó là một địa chỉ Internet thì được chứa trong điện thoại, giống như là SIP URL. Vì thế những người tiếp thị qua điện thoại, hoặc quảng cáo hợp lệ hay khơng hợp lệ có thể dùng những cơng cụ tự động để phân phát hàng loạt những thông điệp không mong muốn như thế. Như ta đã biết thì thị trường VoIP đang ngày càng mở rộng một cách nhanh chóng. Chính vì vậy đây cũng là một môi trường để các nhà kinh doanh khai thác để quảng cáo, tiếp thị…lúc này kích thước của bộ nhớ để chứa các thông điệp là một vấn đề thực tế.
SPIT giống tương tự như là spam, một cách tiềm tàng nó có thể làm tràn hộp thư thoại của chúng ta. Những thơng điệp này chỉ có thể được xóa bằng tay, và chúng ta khơng thể làm thế nào để lọc bỏ nó.
Trong tình huống xấu nhất, một phần mềm VoIP spam có thể dễ dàng phân phát hàng ngàn thông điệp một cách dễ dàng. Lúc này SPIT có thể trở thành một dạng tấn cơng DoS mới làm tràn ngập tài nguyên của hệ thống mail trong doanh nghiệp.
3.2 Thỏa thuận bảo mật trong SIP
3.2.1 Thỏa thuận hoạt động bảo mật trong SIP
Hoạt động bảo mật đảm bảo an ninh trong SIP đạt được do thỏa thuận hoạt động bảo mật bằng cách trao đổi các bản tin.
Các bước để thỏa thuận bảo mật dùng trong SIP:
1. Client ----------client list---------> Server 2. Client <---------server list---------- Server 3. Client ------(turn on security)------- Server 4. Client ----------server list---------> Server 5. Client <---------ok or error---------- Server
Hình 3.1 Các bước thỏa thuận bảo mật trong SIP.
Bước 1: client muốn bảo mật có thể gửi danh sách các kỹ thuật bảo mật cùng với request đầu tiên tới server.
Bước 2: server muốn bảo mật có thể bắt client thực thủ tục thiết lập bảo mật. Những kỹ thuật bảo mật và các thông số được hỗ trợ bởi server được gửi cùng những lệnh này.
Bước 3: sau đó client chọn kỹ thuật bảo mật có độ ưu tiên cao nhất, và kích hoạt kỹ thuật bảo mật được chọn.
Bước 4: client liên lạc lại với server, và bây giờ nó dùng kỹ thuật bảo mật đã được chọn. Danh sách các kỹ thuật bảo mật được hỗ trợ bởi server được gửi trở lại.