3, Tấn cơng trì hỗn giải phóng địa chỉ IP ngƣợc trở lại tớ
3.3.5.2Các giải pháp bảo vệ trên giao diện G
Giao diện Gi là giao diện mà mạng di động 3G kết nối với các mạng bên ngoài nhƣ mạng internet, mạng doanh nghiệp, mạng của các nhà cung cấp dịch vụ khác. Bởi vì các ứng dụng của thuê bao có thể là bất kỳ, do đó các nhà khai thác mạng di động sẽ phải phơi bày mạng của mình ở giao diện Gi tới tất cả các kiểu lƣu lƣợng mạng. Các thuê bao di động sau đó sẽ bị phơi bày tất cả các điểm yếu tới các tấn công nhƣ tấn công DoS, các loại virus, worm, trojan, horse... và các lƣu lƣợng mạng có hại khác. Do đó các giải pháp bảo mật trên giao diện Gi là rất quan trọng. Một số giải pháp đƣợc khuyến nghị là:
- Thực hiện đƣờng hầm logic từ GGSN tới các mạng doanh nghiệp: Để thực hiện điều này, yêu cầu chắc chắn rằng GGSN có thể phân chia một cách logic các mạng doanh nghiệp thành các đƣờng hầm lớp 2 và lớp 3. Nếu kết nối tới các mạng doanh nghiệp qua internet, IPsec nên đƣợc sử dụng để kết nối từ GGSN tới mạng doanh nghiệp.
- Giới hạn tốc độ lƣu lƣợng: Trên các kết nối tới internet, lƣu lƣợng IPsec từ các mạng doanh nghiệp đƣợc ƣu tiên hơn lƣu lƣợng khác. Điều này đảm bảo rằng các tấn công từ internet không thể làm ngừng các dịch vụ intranet di động. Một biện pháp khác là sử dụng các giao diện vật lý riêng rẽ cho lƣu lƣợng internet và doanh nghiệp.
- Kiểm tra gói trạng thái: Sử dụng một chính sách bảo mật chỉ cho phép MS khởi đầu các kết nối tới mạng công cộng và thực hiện lọc gói trạng thái để MS không bao giờ trông thấy lƣu lƣợng đƣợc khởi đầu từ mạng công cộng.
- Thực hiện lọc gói vào và gói ra: Ngăn ngừa khả năng dữ liệu từ MS giả mạo tới MS bằng cách khóa lƣu lƣợng đầu vào với các địa chỉ nguồn giống với các địa chỉ nguồn đã đƣợc gán cho một MS để truy nhập mạng công cộng.
- Ngăn ngừa tấn công overbilling: Nhƣ giải pháp bảo vệ trên giao diện Gp. 3.3.5.3 Các giải pháp bảo vệ trên giao diện Gn và Ga
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
lƣợng GTP bên trong mạng của nhà khai thác. Sử dụng quản lý và cấu hình dựa trên chính sách, các nhà cung cấp dịch vụ di động có thể bảo vệ chống lại các nguy cơ bảo mật nảy sinh bên trong UMTS. Các giải pháp bảo vệ giao diện Gn là:
- Quản lý bức tƣờng lửa dựa trên chính sách: Cho phép các nhà cung cấp sử dụng cấu trức phân vùng để bảo vệ chống lại các tấn công từ bên trong mạng.
- Bức tƣờng lửa kiểm tra trạng thái: Bằng cách triển khai bức tƣờng lửa kiểm tra trạng thái và thiết lập các chính sách cho phép hoặc khơng cho phép lƣu lƣợng đi qua, các nhà cung cấp có thể chống lại các tấn cơng trên giao diện Gn. Ví dụ, trong trƣờng hợp các bản tin GGSN giả mạo, nếu một bản tin ngữ cảnh PDP nào đó không đạt ở các cơ chế phát hiện “kiểm tra đúng” thì chúng bị loại bỏ.
Triển khai bức tƣờng lửa GTP là giải pháp phù hợp để cung cấp sự điều khiển nhằm xác định kiểu lƣu lƣợng GTP nào đƣợc phép đi qua bức tƣờng lửa giữa SGSN, GGSN và BG (gateway border).