3, Tấn cơng trì hỗn giải phóng địa chỉ IP ngƣợc trở lại tớ
3.3.6.4Bảo mật bên trong mạng
a, Bảo vệ bộ ghi định vị thƣờng trú HLR:
Truy nhập bất hợp pháp đến HLR có thể dẫn đến kết quả kích hoạt các thuê bao khơng đƣợc hiển thị bởi hệ thống tính cƣớc, do đó khơng thể bị tính cƣớc. Các dịch vụ cũng có thể bị kích hoạt hoặc bị ngừng kích hoạt đối với mỗi thuê bao, do đó cho phép truy nhập bất hợp pháp tới các dịch vụ hoặc các tấn công DoS. Trong những trƣờng hợp cụ thể, có thể sử dụng các dòng lệnh Man-Machine(MM) để giám sát hoạt động của ngƣời sử dụng HLR khác, điều này cho phép truy nhập bất hợp pháp tới dữ liệu.
Điều khiển truy nhập HLR nên dựa trên các profile ngƣời sử dụng, sử dụng ít nhất một username và một password nhƣ là dữ liệu nhận thực. Truy nhập từ xa tới HLR nên đƣợc bảo vệ khỏi sự nghe trộm, giả mạo nguồn và đích và tấn cơng phiên.
b, Bảo vệ trung tâm nhận thực AuC:
Kẻ xâm nhập có thể nhận đƣợc quyền truy nhập trực tiếp tới AuC, có thể vô hiệu hóa tất cả các thuê bao có dữ liệu mà kẻ xâm nhập đã truy nhập tới. Từ quan điểm bảo mật, nên sử dụng một AuC khơng đƣợc tích hợp với HLR.
Các nhà khai thác nên xem xét cẩn thận nhu cầu mật mã hóa dữ liệu AuC. Một số vendor sử dụng mật mã hóa mặc định, thuật tốn là bí mật và độc quyền.
Nếu quyết định sử dụng thiết bị mật mã bổ sung, cần chú ý tới việc quản lý khóa mật mã. Bộ ba mật mã có thể nhận đƣợc từ AuC bằng cách giả mạo nhƣ là một thực thể hệ thống khác. Đe dọa này xuất hiện khi HLR và AuC đƣợc tách rời về mặt vật lý.
c, Hệ thống chăm sóc khách hàng, hệ thống tính cƣớc.
Các hệ thống chăm sóc khách hàng/tính cƣớc cực kỳ quan trọng để dảm bảo kinh doanh của nhà khai thác. Truy nhập bất hợp pháp đến hệ thống này có thể dẫn đến các hậu quả sau: Mất lợi nhuận do các CDR đã bị biến đổi; Sử dụng bất hợp pháp các tài khoản dịch vụ; Từ chối dịch vụ bằng cách lặp lại việc sử dụng tài nguyên.
Do các quyền truy nhập vào hệ thống chăm sóc khách hàng/ tính cƣớc thƣờng đƣợc cấp phép cho các nhân viên tạm thời. Các nhà khai thác nên có các cơ
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
chế điều khiển truy nhập chính xác, chặt chẽ với chính sách bảo mật tổng quát. Cùng một nhân viên không nên đảm nhiệm cả hai nhiệm vụ; Việc kiểm tra dữ liệu nên dành cho nhân viên tin cậy. Việc kích hoạt nên đƣợc thực hiện dựa trên xác nhận của ngƣời kiểm tra dữ liệu đã đƣợc nạp vào.
3.4 KẾT LUẬN CHƢƠNG
Các mạng thông tin di động 3G đã và đang đƣợc triển khai rộng khắp ở Việt Nam, có thể cung cấp đến ngƣời sử dụng nhiều ứng dụng đa phƣơng tiện với thời gian thực. Để cung cấp các dịch vụ và nội dung phong phú cho khách hàng, các nhà khai thác mạng di động 3G cần thực hiện kết nối với các mạng khác. Đây chính là nguyên nhân cơ bản tạo điều kiện cho kẻ tấn công gây nguy hại cho mạng và ngƣời sử dụng.
Chính vì lý do đó mà trong chƣơng này chúng ta đã đi sâu phân tích các kiểu tấn công vào mạng 3G nói chung và ở Việt Nam nói riêng. Tìm ra các điểm yếu của bảo mật mạng 3G để từ đó đề xuất các giải pháp bảo vệ mạng 3G ở Việt Nam chẳng hạn nhƣ: Bảo vệ bằng các bức tƣờng lửa; Bảo vệ mạng bằng mạng riêng ảo (VPN); Bảo vệ mạng bằng các hệ thống phát hiện và ngăn ngừa xâm nhập…
Qua đó các nhà khai thác mạng 3G có thể lựa chọn những giải pháp phù hợp bảo vệ mạng một cách hiệu quả khắc phục đƣợc các dạng tấn cơng mà cịn đem lại những lợi ích về mặt kinh tế cũng nhƣ xã hội.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn