intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Nâng cao tính năng bảo mật các thiết bị mạng trong xu thế chuyển tiếp IPv6 và IPv4

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:8

Thêm vào BST
Báo xấu
9
lượt xem 3
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Trong xu thế chuyển tiếp giữa IPv6 và IPv4, các nút trong hệ thống mạng vẫn còn dùng IPv4. Việc cấu hình không tương thích giữa hai hình thức này và các hạn chế của IPv4 sẽ là điểm yếu để kể xấu lợi dụng tấn công vào các hệ thống mạng. Do đó, giải pháp cần thực hiện để có được một hệ thống mạng an toàn là nâng cao tính bảo mật cho từng nút mạng bằng cách cấu hình tương thích giữa chúng, khai thác tốt các tính năng của router, phát huy tính năng bảo mật của IPv6 và hạn chế yếu điểm của IPv4.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Nâng cao tính năng bảo mật các thiết bị mạng trong xu thế chuyển tiếp IPv6 và IPv4

  1. NÂNG CAO TÍNH NĂNG BẢO MẬT CÁC THIẾT BỊ MẠNG TRONG XU THẾ CHUYỂN TIẾP IPV4 VÀ IPV6 Võ Thanh Thủy1 Tóm tắt: Các hình thức tấn công mạng phổ biến thường dựa vào những đặc trưng của IP. Đó là những hạn chế của IPv4 đã được đánh giá qua quá trình sử dụng. Trong xu thế chuyển tiếp giữa IPv6 và IPv4, các nút trong hệ thống mạng vẫn còn dùng IPv4. Việc cấu hình không tương thích giữa hai hình thức này và các hạn chế của IPv4 sẽ là điểm yếu để kể xấu lợi dụng tấn công vào các hệ thống mạng. Do đó, giải pháp cần thực hiện để có được một hệ thống mạng an toàn là nâng cao tính bảo mật cho từng nút mạng bằng cách cấu hình tương thích giữa chúng, khai thác tốt các tính năng của router, phát huy tính năng bảo mật của IPv6 và hạn chế yếu điểm của IPv4. Từ khóa: bảo mật, chuyển tiếp IPv4 và IPv6, cấu hình router. 1. Mở đầu Giao thức IPv6 khắc phục các hạn chế của IPv4 và nâng cao được khả năng bảo mật của hệ thống mạng. Hiện nay, một số thiết bị mạng trong hệ thống vẫn còn vận hành IPv4 hoặc song song hai giao thức IPv4 và IPv6 theo cơ chế Dual stack. Điều này gây ra hệ quả là có hai cơ sở hạ tầng với các vấn đề bảo mật khác nhau. Tuy nhiên, hầu hết các vấn đề này không phải là kết quả trực tiếp của lỗi trong thiết kế IPv6 hay IPv4 mà là kết quả của sự không tương thích và việc cấu hình chưa tối ưu. Trong khi các nút mạng chưa chuyển đổi hoàn toàn sang IPv6 để được bảo mật hơn thì sự tồn tại các nút mạng IPv4 là cơ hội để những kẻ xấu tấn công vào các yếu điểm của mạng vẫn còn diễn ra. Kẻ xấu dựa vào những đặc trưng của IP để thực hiện các kiểu tấn công như từ chối dịch vụ dạng smurf, quét cổng, giả mạo DNS,…Để có được hệ thống mạng an toàn, chúng ta cần thực hiện cấu hình hợp lí các dịch vụ và các giao tiếp liên quan đến giao thức IP trên router và tắt các tính năng không dùng đến. 2. Nội dung 2.1. Một số tồn tại trong IPv4 Trong hệ thống mạng vận hành bằng IPv4 thường bị tấn công như tấn công từ chối dịch vụ, tấn công chèn mã độc, tấn công Man-in-the-middle, tấn công phân mảnh, tấn công quét cổng, thăm dò, nhiễm độc ARP…Tấn công từ chối dịch vụ là hình thức tấn công làm cho máy chủ cạn kiệt nguồn tài nguyên dự trữ có thể là bộ nhớ, khả năng kết nối... như kiểu tấn công SYN Flood, nó tạo các kết nối ở máy chủ với các IP đơn lẻ, giả mạo. Tấn công kiểu smurf thì kể tấn công gửi các gói ICMP (Internet Control Message 1. Thạc sĩ, Trường Đại học Quảng Nam
  2. NÂNG CAO TÍNH NĂNG BẢO MẬT CÁC THIẾT BỊ MẠNG TRONG XU THẾ... Protocol) giả mạo chứa đầy phần mềm độc hại như một yêu cầu ping - đó là một yêu cầu cần phản hồi từ các nút mạng. Gói ICMP giả mạo này gửi yêu cầu đến các máy chủ trong mạng, các máy chủ gửi phản hồi liên tục đến địa chỉ IP mục tiêu và làm quá tải hệ thống. Đối với kiểu Man-in-the-middle là kiểu tấn công xảy ra ở giữa hai máy tính, đó là máy trạm và máy chủ. Kẻ tấn công có khả năng nghe lén, thậm chí chặn liên lạc giữa hai máy và đánh cắp thông tin nhạy cảm để thực hiện mục tiêu xấu. Tấn công từ chối dịch vụ DoS (Denial of Service) IP hay ICMP Fragmentation là một dạng tấn công phổ biến. Đối với kiểu tấn công này, cơ chế phân mảnh datagram được sử dụng để áp đảo mạng. Các gói tin IP được phân mảnh thành những gói nhỏ đến giới hạn kích thước mà mỗi mạng có thể xử lí, sau đó được truyền qua mạng và cuối cùng được tập hợp lại thành datagram như ban đầu, như một phần của quá trình giao tiếp thông thường. Khi một gói tin quá lớn, nó phải được chia thành các fragment nhỏ hơn để được truyền đi thành công. Bao gồm một gói fragment chứa tất cả thông tin về gói, các cổng nguồn/đích, độ dài... và các fragment còn lại chỉ bao gồm một IP header và phần dữ liệu, những fragment này không chứa thông tin về giao thức, dung lượng hoặc các cổng. Do đó, kẻ tấn công có thể sử dụng phân mảnh IP để nhắm mục tiêu các hệ thống giao tiếp, cũng như những thành phần bảo mật để gửi các fragment giả đến máy mục tiêu. Điều này lại khiến các fragment được đặt trong bộ nhớ tạm thời, chiếm dụng bộ nhớ và làm cạn kiệt tài nguyên bộ nhớ có sẵn của máy mục tiêu. Kẻ tấn công quét mạng để xác định địa chỉ IP của ít nhất hai thiết bị và sử dụng một công cụ giả mạo, chẳng hạn như ARPspoof hoặc Driftnet, để gửi phản hồi ARP giả mạo. Từ đây, các phản hồi giả mạo thông báo rằng địa chỉ MAC chính xác cho cả hai địa chỉ IP của hai thiết bị là địa chỉ MAC của kẻ tấn công. Điều này đánh lừa cả 2 thiết bị và kết nối với máy của kẻ tấn công, thay vì kết nối với nhau, kẻ tấn công bí mật đang đứng giữa 2 liên lạc để thực hiện ý đồ của mình. Đa phần trong hình thức tấn công giả mạo là bằng cách đoán, quét IP… nhưng nếu chuyển sang sử dụng địa chỉ IPv6 thì việc đó hoàn toàn không thể, nhờ không gian địa chỉ lớn. Đây được xem như là một cách để tính năng bảo mật của mỗi nút mạng được nâng cao, giúp hệ thống mạng được an toàn hơn. 2.2. Tắt cơ chế IP Derected Broadcast Trong hệ thống mạng việc gửi gói tin theo cơ chế broadcast có hai dạng cơ bản là loccal broadcast và directed broadcast. Trong khi loccal broadcast là hình thức gửi đến mọi host trong cùng subnet thì directed broadcast gửi đến một số subnet xác định và được router trong mạng hỗ trợ chuyển tiếp. Do đó, một gói tin IP Directed Broadcast được gửi đến địa chỉ quảng bá của một mạng con nào đó mà chủ thể gửi nó không thuộc mạng con này thì khi Router nhận được gói directed broadcast, nó gửi qua hệ thống mạng dưới cơ chế đến một đích duy nhất cho đến khi nó đến được mạng con đích. Vì kiến trúc của 104
  3. VÕ THANH THỦY địa chỉ IPv4 nên chỉ có router cuối cùng trong chuỗi các router chuyển tiếp gói directed broadcast mới có thể xác định được đây là một gói directed broadcast và tại đây gói directed broadcast được chuyển thành gói broadcast. Trong tấn công kiểu smurf, chủ thể tấn công gửi liên tục các gói ICMP echo từ các địa chỉ giả mạo đến địa chỉ directed broadcast, làm cho tất cả các nút mạng trên mạng con này trả lời cho địa chỉ giả mạo. Bằng cách này kẻ tấn công có thể gây ra một số lượng lớn các gói tin phản hồi từ các mạng con và có thể làm nghẽn hệ thống mạng. Do đó cần tắt tính năng IP Directed Broadcast trên router bằng lệnh sau: Router(config-if)# no ip directed-broadcast [1, tr.77] Đồng thời với đó, chúng ta tắt cơ chế trả lời Mask reply trên router để tránh router trả lời những yêu cầu ICMP mask để tránh việc những gói tin trả lời sẽ vô tình cung cấp cho chủ thể những thông tin để tấn công do thám. Router(config-if)# no ip mask-reply [1, tr.78] 2.3. Khai báo và chỉ định rõ DNS Server Người quản trị mạng cần khai báo và chỉ rõ các DNS server trên router thuộc hệ thống mạng quản lí. Vì kẻ tấn công có thể mô phỏng DNS server và trả lời cho router những thông tin không chính xác. Dịch vụ tìm kiếm DNS trên router sẽ gửi các yêu cầu phân giải tên miền thành địa chỉ IPv4 cho địa chỉ broadcast 255.255.255.255 và do đó kẻ mạo danh sẽ có được thông tin này. Router (config)# no ip domain-lookup [1, tr.73] Trong cơ chế quản lí IPv6 thì địa chỉ Multicast thay cho Broadcast, địa chỉ Multicast là để chỉ một nhóm các trạm (host) trong một mạng, song không phải tất cả các host mà là một nhóm xác định các host, các host này lại có thể thuộc các subnet khác nhau. Nếu thiết bị được cấu hình DNS server với IPv6 thì sẽ hạn chế được kẻ tấn công mô phỏng DNS server từ việc do thám. Router (config)# ip dns server–address priority   Mặt khác, trong xu hướng chuyển tiếp giữa IPv4 và IPV6 các router vận hành giao thức NAT64 và DNS64 là giải pháp thuận lợi. NAT64 cho phép các host IPv6 có thể giao tiếp được với các máy chủ IPv4. DNS64 thực hiện nhúng một địa chỉ IPv4 vào 32 bit cuối cùng của bản ghi AAAA đã được tổng hợp, tạo ra một địa chỉ IPv6 chuẩn với 128 bit và gửi lại cho IPv6 Client. DNS64 giúp chuyển đổi qua lại IPv6-IPv4. DNS64 sẽ được sử dụng cùng với NAT64 để cho phép người dùng IPv6 có thể giao tiếp bằng tên miền với các máy chủ IPv4, bằng cách tạo ra bản ghi AAAA tổng hợp từ bản ghi A có sẵn. Bản ghi AAAA cũng cung cấp phân giải tên miền thành địa chỉ IPv6. Trong khi bản ghi A chỉ sử dụng được 105
  4. NÂNG CAO TÍNH NĂNG BẢO MẬT CÁC THIẾT BỊ MẠNG TRONG XU THẾ... trong mạng IPv4 và bản ghi AAAA chỉ sử dụng được với mạng IPv6. DNS64 cho phép phân giải địa chỉ từ vùng mạng IPv4 bằng cách tạo ra bản ghi AAAA tổng hợp cho các host, khi các host này không có bản ghi AAAA. Điều này được thực hiện bằng phương pháp cấu hình địa chỉ IPv6 prefix với địa chỉ IPv4 được cung cấp bằng cách lookup bản ghi A.  Địa chỉ IPv4 sẽ được nhúng vào 32 bit cuối cùng của địa chỉ IPv6, tạo thành một địa chỉ IPv6 tổng hợp. Các gói tin gửi đến địa chỉ trong IPv6 prefix sẽ được định tuyến đến thiết bị NAT64, thiết bị này sẽ thay thế cho các IPv6 Client để kết nối đến địa chỉ đích IPv4 và thực hiện chuyển tiếp dữ liệu giữa kết nối IPv4 và IPv6. Giải pháp NAT64/ DNS64 sẽ giúp vận hành hệ thống mạng đang tồn tại cả IPv4 và IPv6 một cách thuận tiện. Các nhà cung cấp dịch vụ có thể vận hành máy chủ của họ trên IPv4 và NAT64/DNS64 sẽ giúp kết nối các máy chủ này với người dùng sử Hình 1. Mô hình hoạt động của NAT64/DSN64 dụng IPv6. Do vậy, chuyển các thiết bị mạng sang cơ chế IPv6 là việc cần thực hiện, trong xu hướng chuyển tiếp các cơ chế như NAT64/DNS64 hỗ trợ nhưng cũng tạo ra những lỗ hổng về mặt bảo mật như giả mạo, đánh cắp địa chỉ, tấn công smuft… 2.4. Cấu hình và sử dụng ACL để hạn chế các nguy cơ tấn công mạng Access Control List (ACL) là danh sách tuần tự các câu lệnh được thiết lập dùng để quản lí lưu lượng truy cập đến hoặc đi, xác định cách chuyển tiếp hoặc ngăn chặn một gói tin trên một thiết bị, được áp dụng trên một cổng giao tiếp nào đó và trên bộ đệm vào hoặc ra, điều khiển Router thực hiện các hành động tương ứng là cho phép (allow) hoặc từ chối (deny) gói tin. [6, tr 785]. Cấu hình lọc các gói tin nhằm hạn chế tấn công địa chỉ giả mạo - hướng outbound hoặc cấu hình khóa các gói tin IP theo chỉ định đến một mạng cụ thể là các nội dung thực hiện dễ dàng trên router. Khi các router được cấu hình ACL để thiết lập các chính sách các gói tin vào, ra ở các cổng giúp nâng cao tính bảo mật của hệ thống mạng kể cả trong trường hợp thiết bị đang hoạt động ở IPv4 hay IPv6. Thiết bị được hoạt động ở IPv6 thì loại trừ được khả năng phán đoán địa chỉ IP để thiết lập các giả mạo. 2.4.1. Cấu hình hình ACL cho Router với IPv6 lọc các gói tin TCP, UDP. [2, tr.158 -tr.160] 106
  5. VÕ THANH THỦY Router(config)# ipv6 access-list ipv6_acl Router(config-ipv6-acl)# permit tcp any any Router(config-ipv6-acl)# permit udp any any Lựa chọn cổng để áp dụng chính sách ACL được khai báo Router(config)# interface GigabitEthernet3/1/0 Router(config-if)# ipv6 address 2001:1::1/64 Router(config-if)# ipv6 enable Router(config-if)# ipv6 traffic-filter ipv6_acl in Thiết lập cấu hình ACL để lọc gói tin là một trong số các biện pháp nâng cao tính bảo mật cho các nút mạng và có thể triển khai thêm như lọc gói tin ICMP, hướng inbound và outbound, chặn các thông điệp UDP Traceroute, từ chối dịch vụ phân tán[1]… Nâng cao hơn, người quản trị chỉ định, một nút mạng cụ thể để được xác thực trước khi truy cập vào tài nguyên được cấp, bằng việc cấp phép lại gói tin, cổng cụ thể thì ta cần cấu hình Dynamic Acesss-list cho router Router (config)#access-list dynamic 2.4.2. Cấu hình ACL tiêu chuẩn (ACL Standard) Đây là loại ACL cơ bản nhất và có thể được sử dụng để triển khai đơn giản, nhưng nó không cung cấp khả năng bảo mật mạnh mẽ. Cấu hình cho ACL tiêu chuẩn trên router Cisco bằng lệnh sau: Router(config)#access-list access-list-number {permit|deny} host|source source- wildcard|any} [2, tr 17] – [2, tr 20] 2.4.3. Cấu hình ACL mở rộng (ACL Extended)  ACL mở rộng được sử dụng cấu hình để lọc lưu lượng dựa trên thông tin giao thức (IP, ICMP, TCP, UDP). Cấu hình của ACL mở rộng trong bộ định tuyến Cisco cho TCP như sau: Router(config)#access-list [#number] [permit|deny] [protocol] [wildcard mask] [source port] [destination address] [wildcard mask] [destination port] [log] Router (config)#interface [interface-number] Router (config-if)#ip access-group [#number] [in|out] [2, tr 22] 2.4.4. Cấu hình ACL phản xạ (Reflexive ACL) ACL phản xạ kiểm soát lưu lượng theo nguyên tắt là chỉ cho các gói tin từ bên ngoài mạng đi vào bên trong mạng nếu như gói tin đó là lưu lượng trả về của phiên giao dịch trước đó. Do đó, ACL này lọc lưu lượng dựa trên thông tin lớp phiên. Chúng 107
  6. NÂNG CAO TÍNH NĂNG BẢO MẬT CÁC THIẾT BỊ MẠNG TRONG XU THẾ... phản ứng với các phiên bắt nguồn từ bên trong bộ định tuyến để cho phép hay hạn chế lưu lượng ra vào.[2, tr 27]. Cấu hình của ACL phản xạ trên router của Cisco như sau: Router(config)# ip access-group {number|name} {in|out} Router(config)# ip access-list extended name Router(config)# Permit protocol any any reflect name Router(config)# IP access-list extended name 2.5. Tắt các tính năng có nguy cơ trên router 2.5.1. Tính năng Gratuitous ARP Giao thức ARP (Address Resolution Protocol) là một giao thức kết nối một địa chỉ IP với một địa chỉ MAC. Trong đó, địa chỉ IP luôn thay đổi, còn địa chỉ MAC thì thường cố định. Mỗi khi có client kết nối đến router và thương lượng tìm địa chỉ IP thì các Router Cisco mặc định sẽ tự gửi ra ngoài một thông điệp ARP qua kết nối PPP. Lợi dụng thông tin ánh xạ giữa IP và MAC qua gói tin ARP kẻ tấn công có được thông tin cần thiết để thực hiện cuộc tấn công vào mạng. Tắt tính năng Gratuitous ARP: Router (config)#no ip gratuitous-arps [1, tr 82] Tính năng Gratuitous ARP trên router là một cơ chế chính bị lợi dụng để lấy thông tin và thực hiện các tấn công dựa vào thông điệp ARP. 2.5.2 Chức năng SNMP SNMP (Simple Network Monitoring Protocol) là giao thức mạng được dùng để quản lí các thiết bị trong mạng giao thức Internet. Thông thường SNMP được nhúng trong những thiết bị cục bộ như router, switch, Firewall hay điểm truy cập không dây cho phép truy cập bằng địa chỉ IP. Dịch vụ SNMP trên các router cần được giới hạn thiết bị trong hệ thống SNMP nào được quyền truy cập vào router bằng cách sử dụng các ACL và quản trị hệ thống cần thực hiện tắt hoàn toàn chức năng này. Router(config)#no snmp-server [1, tr 84] 2.5.3 Dịch vụ small server Trên các thiết bị Cisco cung cấp các dịch vụ small server như echo, chargen, daytime, discard, những dịch vụ chạy trên nền UDP (User Datagram Protocol) có thể được sử dụng để thiết lập các cuộc tấn công từ chối dịch vụ và các tấn công khác đối với server. 108
  7. VÕ THANH THỦY Kẻ tấn công có thể gửi một DNS giả mạo địa chỉ nguồn của mình thành địa chủ DNS server. DNS server thật ban đầu kẻ tấn công không thể tới được nhưng nếu gói tin này được gửi tới router UDP echo thì router sẽ gửi gói tin DNS trả lời đến server đang yêu cầu. Điều này sẽ không có ACL nào áp dụng được để chặn gói tin vì nó phát sinh từ chính router. Tắt dịch vụ small server: Router (config)#no service tcp-small-servers Router (config)#no service udp-small-servers [1, tr 84] 3. Kết luận Giao thức IPv6 có nhiều ưu việt, nó không chỉ khắc phục nhưng tồn tại của IPv4 mà còn là giao thức được đánh giá là bảo mật hơn. Trong xu thế chuyển tiếp, chúng ta không thể chuyển đổi các nút trong hệ thống mạng sang IPv6 một cách triệt để. Do vậy, giải pháp để có được hệ thống mạng an toàn là cần phải cấu hình các tính năng phù hợp trên các nút mạng, tắt các dịch vụ không cần thiết, đồng thời triển khai các giải pháp mới nhằm kết nối giữa các nút mạng vận hành được đồng bộ không tạo ra những lỗ hổng bảo mật trong xu hướng chuyển tiếp IPv4 và IPv6. TÀI LIỆU THAM KHẢO [1] Bùi Nguyễn Hoàng Long (2017), CCNA SEC Labpro, Nhà Xuất bản thông tin và truyền thông. [2] Security Configuration Guide: Access Control Lists - Americas Headquarters Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 USA [3] Nguyễn Xuân Dũng (2007), Bảo mật thông tin, mô hình và ứng dụng, Nhà xuất bản Thống kê. [4] Nguyễn Văn Khoa (2005), Bảo mật và các kĩ thuật bảo vệ hệ thống máy tính, Nhà xuất bản Giao thông vận tải. [5] CCNA security. Officle Exam Certification Guid. Michael Watkins, Kevin Wallance - CCIE No. 7954 [6] CCIE Routing and Switching Certification Guide, Fourth Edition Wendell Odom, CCIE No. 1624, Rus Healy, CCIE No. 15025 - Cisco Press [7] William Stallings (2005), Cryptography and Network Security Principles and Practices, 7th Edition Prentice Hall [8] T.R. Peltier, J. Peltier, J. Blackley, (2005) Information Security Fundamentals, Auerbach Publications, ISBN 0-8493-1957-9. 109
  8. NÂNG CAO TÍNH NĂNG BẢO MẬT CÁC THIẾT BỊ MẠNG TRONG XU THẾ... ADVANCED FEATURES SECURITY OF NETWORK DEVICES IN IPV4 AND IPV6 TRANSFER TREND VO THANH THUY Quang Nam University Abstract: Common types of network attack often rely on characteristics of IP addresses. These limitations of IPv4 have been assessed through its usage over time. In the transition trend between IPv6 and IPv4, many nodes in the network still use IPv4. Incompatibility between these two formats and the vulnerabilities of IPv4 has weak points that can be exploited by hackers to take advantage of to attack network systems. Therefore, the solution that needs to be taken to have a safe network system is to improve the security of each network node by configuring compatibility, leveraging the capabilities of routers, harnessing the security features of IPv6, and mitigating the weaknesses of IPv4. Keywords: security, IPv4 and IPv6 forwarding, router configuration. 110
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
10=>1