banner
 .::Networking::. Tăng cường bảo mật cho mạng IP (Phần 3) Go to original post Author: phuchn71 - Translator:  - Entry Date: 28/02/2009 02:33:08
Router Security Principles and Goals
3. Các mục đích vŕ nguyên tắc của sự bảo mật router

Các router đóng một vai trň quan trọng trong việc bảo mật mạng. Phần này trình bày những nguyên tắc cơ bản cho một router tự bảo vệ nó, bảo vệ một mạng với một router, và sử dụng một router được an toàn.

3.1 Router tự bảo vệ

3.1.1 Bảo mật về mặt vật lý

Có một số cách để bảo mật một router về mặt vật lý. Phňng chứa router phải không bị nhiễu từ hoặc nhiễu tĩnh điện. Phňng phải có các bộ kiểm soát độ ẩm vŕ nhiệt độ. Nếu thấy cần thiết vì những lý do nhạy cảm hoặc cần dùng ngay, một bộ UPS phải được lắp đặt, các thŕnh phần dự phòng cùng các thứ đi kèm phải sẵn sàng để thay thế. Để giúp cho việc bŕo vệ chống lại một vài kiểu tấn công từ chối dịch vụ, và cho phép hỗ trợ rộng rãi các loại dịch vụ bảo mật nhất, router phải được cấu hěnh với dung lượng bộ nhớ lớn nhất có thể*. Đồng thời, router phải được đặt trong một phňng khóa chặt, chỉ một số ít người được phép mới vŕo. Cuối cùng, các thiết bị vật lý ( chẳng hạn như các PC card, modem) thường kết nối tới router đòi hỏi phải có sự bảo vệ về mặt lưu trữ.

3.1.2 Hệ điều hŕnh

Hệ điều hŕnh cho router là một thành phần cốt yếu. Quyết địnhxem mạng cần có những đặc điểm nŕo, và dùng danh sách các đặc điểm để chọn phięn bản của hệ điều hŕnh. Tuy nhiên, không phải phiên bản mới nhất của bất kỳ hệ điều hŕnh nào cũng đều là đáng tin cậy nhất do sự phơi bày còn hạn chế của nó trong một diện rộng các môi trường mạng. Người quản trị mạng phải dùng phiên bản ổn định cuối cùng của hệ điều hành mà phù hợp với các yêu cầu về mặt đạc điểm.

3.1.3 Làm vững chãi cấu hình

Một router cũng giống như nhiều máy tính, có nhiều dịch vụ chạy theo chế độ mặc định. Nhiều trong số những dịch vụ nŕy là không cần thiết và có thể được một hacker dùng để khai thác hay thu thập thông tin. Tất cả các dịch vụ không cần thiết phải được tắt đi trong cấu hěnh của router. Phần 3.3.2 thảo luận việc quản lý các cập nhật cho cấu hình của router.

* Một số người đọc có thể bỏ qua lời khuyęn này; họ có thể nghĩ rằng bộ nhớ tốn tiền và vì thế nên mua một router với dung lượng bộ nhớ tối thiểu cần thiết để hỗ trợ cho công việc của nó. Điều nŕy một sự tiết kiệm sai lầm. Chi phí tăng lęn do bộ nhớ thêm thường nhỏ hơn tổng chi phí cho một router được cấu hình đầy đủ, vŕ tính linh động vŕ hiệu suất do bộ nhớ thêm mang lại hầu như luôn đáng giá khi důng dần cho số dịch vụ và người dùng dựa vào router cho hoạt động kết nối. Đồng thời, bổ sung bộ nhớ cho một router đang hoạt động đňi hỏi phải tạm dừng các dịch vụ do nó cung cấp. Ví dụ, trong cộng đồng các ISP (Internet Service Provider), một ngành kinh doanh được xem như thực hiện tốt nhất việc trang bị cho tất cả các router đang hoạt động dung lượng bộ nhớ lớn nhất mŕ nó hỗ trợ.

3.2 Bảo vệ mạng với router

3.2.1 Các vai trò trong bảo mật và các thao tác mạng

Các router thực hiện nhiều công việc khác nhau trong các mạng hiện nay, nhưng trong cuộc thảo luận này, chúng ta sẽ xem xét ba phương hướng cơ bản mà các router được dùng.

Các interior router

Một interior router chuyển tiếp các gói tin giữa hai hay nhiều mạng cục bộ trong vòng một tổ chức hay xí nghiệp. Các mạng nối nhau bởi một interior router thường chia sẻ chính sách bảo mật giống nhau và độ tin cậy giữa chúng thường ở mức cao. Nếu một xí nghiệp có nhiều interior router, chúng thường sử dụng một Interior Gateway Protocol (tạm dịch là giao thức cầu nối nội) để điều khiển các router. Các interior router có thể bắt các gói tin mà chúng chuyển tiếp giữa các mạng chịu một số giới hạn.

Hầu hết sự hướng dẫn trong sách này đều hữu dụng cho các interior router.

Hình 3-1: Một interior router kết nối tới các mạng nội bộ của một xí nghiệp

Các backbone router

Một backbone hay một exterior router là một router chuyển tiếp các gói tin giữa các xí nghiệp khác nhau( còn được gọi là các ‘autonomous system’ khác nhau). Giao thông giữa các mạng khác nhau hình thành nên mạng Internet, được điều khiển bởi các backbone router.

Độ tin cậy giữa các mạng kết nối bởi một backbone router thường rất thấp. Thông thường, các backbone router được thiết kế vŕ cấu hình để chuyển tiếp các gói tin càng nhanh càng tốt, mà không buộc các gói tin phải chịu bất kỳ giới hạn nào. Những mục đích bảo mật chính cho một backbone router là phải đảm bảo rằng sự hoạt động vŕ sự điều khiển của router chỉ được quản lý bởi những nhóm người có thẩm quyền, vŕ phải bảo vệ tính toàn vẹn của thông tin gửi qua mà nó dùng để chuyển tiếp các gói tin. Các backbone router thường dùng các Exterior Gateway Protocol(tạm dịch là các giao thức cầu nối ngoại) để điều khiển các router.

Việc cấu hình cho các backbone router là công việc mang tính chuyên môn cao. Hầu hết các kỹ thuật mô tả trong sách này có thể áp dụng cho các backbone router, nhưng có thể cần phải thay đổi hoặc hiệu chỉnh lại cho phù hợp với các ứng dụng cụ thể.

Hình 3-2: Các backbone router kết nối nhiều mạng với nhau

Các border router

Một boder router chuyển tiếp các gói tin giữa một xí nghiệp và các mạng bên ngoài. Đặc điểm chính của một border router lŕ nó tạo nên đường biên giữa các mạng nội bộ được tin cậy của một xí nghiệp và các mạng bên ngoài không được tin cậy( như Internet chẳng hạn). Nó có thể giúp bảo mật vòng ngoài của một mạng xí nghiệp bằng các sự giới hạn bắt buộc đối với các gói tin mà nó điều khiển. Một border router có thể dùng các routing protocol( tạm dịch là các giao thức gửi tin) hay nó có thể hoàn toàn dựa vào các static router( các router tĩnh).

Hình 3-3: Một border router kết nối các mạng nội bộ với một mạng ngoài

Thông thường, một border router không phải là thành phần duy nhất ở đường biên; nhiều xí nghiệp còn sử dụng một firewall( bức tường lửa) để áp đặt chính sách bảo mật nghiêm ngặt.

Trong hình 3-4, border router đóng vai trò như một tuyến phòng thủ đầu tiên và được coi là một screening router. Nó chứa một router tĩnh chuyển tất cả các kết nối nhằm vào mạng được bảo vệ đến firewall. Firewall đưa ra sự điều khiển truy nhập bổ sung cho giao thông mạng vŕ các kết nối. Firewall cũng có thể thi hành user authentication. Dùng một firewall và một router cùng lúc có thể đem lại sự bảo mật tốt hơn khi chỉ dùng một trong hai.

Hình 3-4: Cấu hình một router-tường lửa đơn giŕn cho đường bięn một mạng

Phương pháp giải quyết khác là phải bố trí một router ở điểm nối giữa các mạng ngoài, và sau đó là router khác giữa firewall và các mạng nội bộ được tin cậy. Cấu hình này tạo ra hai điểm mà chính sách bảo mật có thể được áp đặt. Nó cũng tạo ra một vůng trung gian thường gọi là khu vực phi quân sự( DMZ) giữa hai router. DMZ thường được dùng cho các server truy cập được từ Internet hay mạng ngoài khác.

Hình 3-5: Cấu hình hai router-firewall cho đường biên một mạng

Tất cả các chỉ dẫn trong sách này đều phù hợp với các border router.

3.2.2 Các bộ lọc gói tin cho TCP/IP

Một bộ lọc gói tin cho các dịch vụ TCP/IP điều khiển việc vận chuyển dữ liệu giữa các mạng dựa vào các giao thức và các địa chỉ. Các router có thể dùng các bộ lọc theo những cách khác nhau. Một vài router có các bộ lọc tác động vào các dịch vụ mạng theo cả chiều đi vào và đi ra, trong khi số khác có các bộ lọc chỉ tác động theo một chiều.( Nhiều dịch vụ mang tính hai chiều. Ví dụ, một người důng ở hệ thống A telnet tới hệ thống B, và hệ thống B gửi một vài kiểu trả lời lại cho hệ thống A. Vì vậy, một số router cần có hai bộ lọc để xử lý các dịch vụ hai chiều này.) Hầu hết các router có thể lọc một hoặc nhiều thông tin sau: địa chỉ IP nguồn, cổng nguồn, địa chỉ IP đích, cổng đích vŕ kiểu giao thức. Một vài router còn có thể lọc bất kỳ bit nào hay bất kỳ mẫu hình bit nào trong IP header. Tuy nhiên, các router thường không có khả năng lọc nội dung của các dịch vụ( như tên tập tin FTP chẳng hạn).

Các bộ lọc gói tin đặc biệt quan trọng đối với các router khi chúng giữ vai trň một gateway giữa các mạng được tin cậy vŕ không được tin cậy. Trong vai trň đó, router có thể áp đặt chính sách bảo mật, loại bỏ các giao thức vŕ từ chối các cổng dựa theo các chính sách của mạng được tin cậy. Các bộ lọc cũng quan trọng bởi khả năng áp đặt sự rŕng buộc địa chỉ. Ví dụ, trong hěnh 3-1, router phải áp đặt sự rŕng buộc là các gói tin gửi từ firewall hay mạng được bảo vệ (từ phải sang trái) phải mang một địa chỉ nguồn trong khoảng riêng biệt. Thỉnh thoảng nó còn được gọi là "việc lọc đường ra”. Tương tự, router phải áp đặt sự rŕng buộc là các gói tin đến từ Internet phải mang một địa chỉ nguồn bęn ngoài khoảng là hợp lệ đối với mạng được bảo vệ. Nó được gọi lŕ “việc lọc đường vŕo".

Hai đặc điểm chính của các bộ lọc gói tin TCP/IP lŕ việc sắp xếp và độ dài. Một bộ lọc có một hoặc nhiều quy tắc, mỗi quy tắc hoặc chấp nhận hoặc ngăn cấm một tập hợp gói tin nào đó. Số quy tắc trong một gói tin quy định độ dŕi của nó. Nói chung, khi độ dŕi tăng lęn thì bộ lọc càng phức tạp và càng khó để gỡ rối. Trật tự các quy tắc trong một bộ lọc gói tin là xác định(tới hạn). Khi router phân tích một gói tin dựa vào bộ lọc, gói tin sẽ được so sánh với từng quy tắc lọc tin theo tuần tự. Nếu có sự trùng hợp thì gói tin hoặc được cho phép hoặc bị ngăn cấm vŕ phần còn lại của bộ lọc được bỏ qua. Nếu không có sự trùng hợp gói tin sẽ bị ngăn cấm do quy tắc ngăn cấm tuyệt đối ở cuối bộ lọc. Bạn phải cẩn thận tạo ra các quy tắc lọc tin theo trật tự thích hợp, để tất cả các gói tin được đối xử phů hợp với chính sách bảo mật định důng. Một phương pháp sắp xếp là đặt các quy tắc xử lý thông tin trong các gói tin đó cŕng gần vị trí đầu bộ lọc cŕng tốt. Vì vậy, độ dài và việc sắp xếp của bộ quy tắc lọc gói tin có thể ảnh hưởng đến hiệu suất của router. (Ghi chú: sự thảo luận nŕy có thể áp dụng cho các bộ lọc gói tin của các router của Cisco, hầu hết các loại router khác và hầu hết các firewall lọc gói tin khác. Việc lọc tin trong Cisco được thảo luận được thảo luận chi tiết trong Section 4.3. Nếu bạn có một router không do Cisco chế tạo, tham khảo tài liệu hướng dẫn của nó để biết thêm chi tiết.)

Dùng các bộ lọc gói tin: chỉ cho phép các dịch vụ và các giao thức theo quy định

Xem xét cẩn thận dịch vụ mạng nào sẽ được phép đi qua router(đi vŕo và đi ra) và được phép đi đến router. Nếu có thể, hăy dùng nguyên tắc sau để tạo ra các bộ lọc: các dịch vụ nào không được cho phép một cách rõ ràng đều phải bị cấm. Nguyên tắc này đặt biệt quan trọng đối với các border router. Lập danh sách các dịch vụ và các giao thức phải đi qua router, các dịch vụ và các giao thức mà router cần đến cho chính hoạt động của nó. Tạo ra một tập các quy tắc lọc tin cho phép hoạt động giao thông nằm trong danh sách vŕ cấm tất cả các hoạt động giao thông khác.

Trong trường hợp các mạng hay các host nào đó cần truy xuất các dịch vụ đặt biệt, thęm vào một quy tắc lọc tin cho phép dịch vụ đó nhưng chỉ cho các địa chỉ host cụ thể hay các vůng địa chỉ cụ thể. Ví dụ, firewall host mạng có thể lŕ địa chỉ duy nhất được phép kích hoạt các kết nối web (TCP cổng 80) thông qua router.

Dùng các bộ lọc gói tin: từ chối các dịch vụ và các giao thức mạo hiểm

Thỉnh thoảng, ta không thể tuân theo nguyên tắc bảo mật cứng nhắc đã thảo luận ở trên. Trong trường hợp đó, quay lại với các dịch vụ bị cấm do thường là không cần thiết hoặc được xem như các phương tiện truyền bá sự thoả hiệp bảo mật hay dùng. Hai bảng sau liệt kê các dịch vụ phổ biến cần hạn chế bởi vì chúng thu thập thông tin của mạng được bảo vệ hay chúng có các yếu điểm có thể bị khai thác để chống lại mạng được bảo vệ. Bảng đầu tięn liệt kê những dịch vụ nào phải hoàn toàn bị khóa bởi các router thông thường. Trừ khi bạn có một nhu cầu thao tác rõ ràng cần hỗ trợ chúng, các giao thức trong bảng 3-1 phải không được phép đi qua router theo cả hai chiều.

Bảng 3-1: Các dịch vụ bị khoá hoàn toàn ở router

Bảng 3-2 liệt kê một vài dịch vụ trong mạng nội bộ hay trong chính router phải không truy xuất được đối với các kết nối từ các mạng bęn ngoài.

Bảng 3-2: Một vài dịch vụ bị khoá ở router từ các client bên ngoài

Các giao thức và các cổng chuẩn

Một số tổ chức đưa ra một danh sách các giao thức vŕ các cổng chuẩn phải được cho phép hoặc hỗ trợ trong các mạng của họ. Các tổ chức rięng biệt trong US DOD cũng đưa ra các danh sách như vậy, và Defense Information System Agency (DISA) đang cố gắng tìm cách tạo ra một danh sách chuẩn cho cả DOD.

Đối với các mạng lŕ đối tượng của các danh sách nŕy, cách thực hiện tốt nhất trước tiên là chỉ cho phép những giao thức và những cổng nào nằm trong danh sách chuẩn và từ chối tất cả cái khác.

Lọc địa chỉ

Các bộ lọc của router cũng được důng để chống lại việc giả mạo địa chỉ IP, nhất lŕ ở các border router. Trong hầu hết trường hợp, các quy tắc lọc tin phải dùng cả "lọc đường vào" và "lọc đường ra”, bao gồm cả việc khóa các địa chỉ dŕnh riêng. Các nguyên tắc áp dụng cho border router được liệt kê bên dưới.

* Loại bỏ tất cả các gói tin từ các mạng nội bộ mang địa chỉ IP nguồn không thuộc về các mạng nội bộ.( Các gói tin tạo ra bởi các nguồn trong các mạng nội bộ luôn luôn mang địa chỉ nguồn trong một khoảng hay nhiều khoảng được gán cho các mạng nội bộ; bất cứ những gói tin khác nào cố nhận địa chỉ nguồn giả mạo thì hầu như luôn có bản chất không đúng hoặc ác ý.)

* Loại bỏ tất cả các gói tin từ các mạng bên ngoài mang địa chỉ nguồn thuộc về các mạng nội bộ.( giả sử các địa chỉ đă được gán đúng, các gói tin gửi từ các mạng bên ngoải phải luôn mang địa chỉ nguồn nằm trong các khoảng khác với các khoảng đă được ấn định cho các mạng cục bộ. Các gói tin mang địa chỉ giả như vậy thường lŕ thành phần của một cuộc tấn công, và phải được border router vứt bỏ.)

* Loại bỏ tất cả các gói tin với địa chỉ nguồn hay địa chỉ đích thuộc về bất kỳ khoảng địa chỉ nŕo không hợp pháp, không thể tìm đường hoặc được dành riêng.

3.2.3 Giảm đi các cuộc tấn công từ chối dịch vụ

Ngừng dịch vụ hay hiệu suất mạng giảm xuống đáng kể do nhiều nguyęn nhân khác nhau. DoS ám chỉ những cố gắng có chủ ý để gây ra những sự đổ vỡ nghięm trọng. Mặc dầu các cuộc tấn công DoS có thể được xem như những sự quấy rầy có thể chịu đựng được nhưng chúng có thể gây ra các hậu quả nghięm trọng nếu chúng xảy ra ở các thời điểm nhạy cảm. Chưa có giải pháp triệt để nŕo cho vấn đề DoS; khi tŕi nguyên của một mạng còn bị giới hạn và tồn tại công khai thì chúng còn là các điểm yếu để tấn công. Có nhiều mức độ mŕ người quản trị mạng chọn để bảo vệ các mạng khỏi các cuộc tấn công DoS và giảm bớt những tác động của chúng. Những mức độ nŕy đňi hỏi một số nỗ lực hợp tác giữa những người quản trị các host, các thiết bị mạng và nhà cung cấp quyền truy cập. Để có hiệu quả, các mức độ nŕy phải được lęn kế hoạch và áp dụng trước khi cuộc tấn công xảy ra.

Ở mức độ xí nghiệp, có ba chiến lược chính để đối đầu với các cuộc tấn công DoS, được mô tả chi tiết bęn dưới.
Chống lại các gói tin ác ý đến từ mạng công cộng trong mạng xí nghiệp.
Cấu hình và triển khai các mức độ bảo vệ cục bộ ở cả border router cũng như interior router.
Phối hợp các mức độ bảo vệ chống lại các cuộc tấn công DdoS với các nhà cung cấp quyền truy xuất mạng và/hoặc những người quản trị backbone.

Trước hết, thật quan trọng khi mỗi người quản trị mạng giúp giảm bớt các hệ thống dùng để thực hiện cuộc tấn công DoS. Đừng để mạng của bạn lŕ điểm khởi đầu của một cuộc tấn công DoS; giữ các host an toàn và loại bỏ các host đă bị nhiễm ra khỏi mạng ngay lập tức. Có một số cơ chế sẵn có trong các router để ngăn cản các kiểu tấn công DoS nŕo đó. Nhiều trong số các cuộc tấn công nảy cần důng các địa chỉ nguồn giả mạo hoặc không hợp lệ. Ví dụ, các địa chỉ không hợp lệ được dủng trong cuộc tấn công kiểu SYN flood để chắc chắn rằng sự bắt tay TCP với host mục tiêu đã hết hạn(times out) và đang đợi trả lời( xem Section 6.3.2). Có một số phương pháp để lọc ra các gói tin có địa chỉ không hợp lệ nŕy. Danh sách điều khiển truy cập là phương tiện dễ dàng nhất có ở mọi router( xem Section 4.3). Việc tìm đường kểu black hole cũng có thể hữu ích và làm việc trên tất cả các router( xem Section 4.4.6). Hầu hết các router của Cisco đều hỗ trợ một công cụ gọi là Unicast Reserve-Path Forwarding Verification dùng bảng tìm đường để phát hiện vŕ loại bỏ các gói tin mang địa chỉ không hợp lệ( xem Section 4.4.7). Bạn phải ghi nhận sự xuất hiện của các gói tin này ở bất cứ đâu có thể, việc ghi nhận lại những vi phạm này có thể giúp xác định được các host đă bị lây nhiễm cần bị loại bỏ ra khỏi mạng. Dĩ nhiên, sự phát hiện dựa vào việc xem xét thường xuyên các bản ghi nhận của router.

Bạn có thể chống lại các cuộc tấn công DoS đơn lẻ mang tính chất cục bộ bằng cách loại bỏ các gói tin mang địa chỉ nguồn không hợp lệ khi chúng đến từ một border router( xem Section 4.3.5). Các địa chỉ nguồn không hợp lệ hay các địa chỉ nguồn không thể těm ra dấu vết khác thường dùng để dấu nguồn gốc thực tế của cuộc tấn công. Đồng thời, các dịch vụ của router hỗ trợ cho các cuộc tấn công hay mở đường cho cuộc tấn công đều phải bị vô hiệu hóa( xem Section 4.2). Một số router và firewall thường đặc biệt hóa các phương tiện để giảm bớt các cuộc tấn công kiểu TCP SYN flood; trong các router của Cisco phương tiện này gọi được gọi là TCP Intercept( xem Section 4.3.3). Trong vài trường hợp, các phương tiện kiểm soát tốc độ các gói tin hay chất lượng dịch vụ của router có thể dùng để bảo vệ các dịch vụ bị nguy kịch khỏi các hậu quả lớn nhất của các cuộc tấn công DoS( xem Section 4.3.6). Các phương tiện của router cũng có thể được bổ sung bằng các sản phẩm chống DoS thương mại cung cấp khả năng phát hiện tấn và lọc tin nghiêm ngặt hơn.

Một border router không thể kiểm soát được kiểu hay toàn bộ khối lượng gói tin gửi qua nó. Sự giảm bớt DoS hết sức cần đến hành động hợp tác "ngược dòng", nghĩ là từ nhà cung cấp quyền truy cập, (có thể) từ nhà cung cấp vận chuyển, nhà cung cấp quyền truy cập vào điểm nguồn, hoặc ngay các nhà quản trị của các host tấn công. Ví dụ, khi các gói tin của một ICMP flood cùng hội tụ tại uplink, các gói tin hợp pháp bị thay bởi các gói tin giả và các gói tin này không còn chịu tác động bởi sự kiểm soát dòng chảy các gói tin. Các kết nối và truyền dữ liệu bị thiếu và cuối cùng bị hết hạn hay bị treo vì chúng không thể tái đồng bộ được. Nếu nhà cung cấp quyền truy cập của bạn thực hiện việc theo dõi các gói tin theo thống kê, họ có thể từng bước khóa lại và lần ra dấu vết của các gói tin có hại này khi cuộc tấn công bắt đầu. Nếu không có loại dịch vụ giám sát này thì mạng đang bị tấn công cần phải nhanh chóng yêu cầu nhà cung cấp dịch vụ truy cập của nó lọc ra các gói tin gây hại.

Không có những phương pháp nào có thể hoàn toàn chống lại được các kiểu tấn công DoS đã biết, và dĩ nhiên sẽ có các kiểu tấn công DoS mới lạ được khám phá trong tương lai. Vẫn là khôn ngoan khi trang bị để đối xử với các kiểu tấn công DoS phổ biến bằng các phương tiện có sẵn. Các router là một phần của giải pháp, nhưng thiết kế cẩn thận, lập kế hoạch đối phó với các trường hợp bất ngờ và sự hợp tác giữa các nhà quản trị mạng cũng là cần thiết.
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Other posts in the same group:

Tăng cường bảo mật cho mạng IP (Phần 3)
Go to top Go to original post  

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|