Please enable JavaScript.
Coggle requires JavaScript to display documents.
Chương 13 Bảo mật Internet: Cách thức hoạt động của Internet và một số lỗ…
Chương 13 Bảo mật Internet: Cách thức hoạt động của Internet và một số lỗ hổng cơ bản
Cơ sở hạ tầng Internet
Định tuyến cục bộ và liên miền
Định tuyến cục bộ và liên miền
TCP / IP để định tuyến và nhắn tin
BGP cho các thông báo định tuyến
Tìm địa chỉ IP từ tên tượng trưng (www.cs.stanford.edu)
Ngăn xếp giao thức TCP :
Định dạng dữ liệu
giao thức Internet
Không kết nối
Không đáng tin cậy
Nỗ lực tốt nhất
Ghi chú:src và cổng đích không phải là một phần của IP hdr
IP Routing
Tuyến đường điển hình sử dụng một số bước nhảy
Tuyến đường điển hình sử dụng một số bước nhảy
Chức năng giao thức IP (Tóm tắt)
định tuyến
Cổng IP phải biết đường đến các mạng khác
Máy chủ IP biết vị trí của bộ định tuyến (cổng vào)
Phân mảnh và lắp ráp lại
Nếu kích thước gói tối đa nhỏ hơn kích thước dữ liệu người dùng
Báo cáo lỗi
Gói ICMP đến nguồn nếu gói bị rơi
Trường TTL: giảm sau mỗi bước nhảy
Gói bị giảm nếu TTL = 0 Ngăn chặn các vòng lặp vô hạn
Vấn đề: không có xác thực IP
Ứng dụng khách được tin cậy để nhúng IP nguồn chính xác
Dễ dàng ghi đè bằng cách sử dụng các ổ cắm thô
Libnet: một thư viện để định dạng các gói thô với các tiêu đề IP tùy ý
Bất kỳ ai sở hữu máy của họ đều có thể gửi gói tin với IP nguồn tùy ý
… Phản hồi sẽ được gửi trở lại IP nguồn giả mạo
Hàm ý: (giải pháp trong bài giảng DDoS)
Các cuộc tấn công DoS ẩn danh;
Các cuộc tấn công lây nhiễm ẩn danh (ví dụ: sâu slammer)
Giao thức điều khiển truyền
Định hướng kết nối, duy trì trật tự
Người gửi
Chia dữ liệu thành các gói
Đính kèm số gói
Người nhận
Xác nhận đã nhận; các gói bị mất được gửi lại
Lắp ráp lại các gói theo đúng thứ tự
Tiêu đề TCP
Đánh giá: TCP Handshake
Các vấn đề bảo mật cơ bản
1.Các gói mạng được chuyển qua bởi các máy chủ không đáng tin cậy
Nghe trộm, đánh hơi gói tin
Đặc biệt dễ dàng khi kẻ tấn công điều khiển một máy gần nạn nhân (ví dụ: bộ định tuyến WiFi)
2.Trạng thái TCP dễ dàng có được bằng cách nghe trộm
Cho phép giả mạo và chiếm quyền điều khiển phiên
Các lỗ hổng từ chối dịch vụ (DoS)
Bài giảng DDoS
Tại sao lại là số thứ tự ban đầu ngẫu nhiên?
Giả sử seq ban đầu. số (SNC, SNS) có thể dự đoán được:
Kẻ tấn công có thể tạo phiên TCP thay mặt cho IP nguồn giả mạo
Phá vỡ xác thực dựa trên IP (ví dụ: SPF, / etc / hosts)
Seq ngẫu nhiên. số không ngăn chặn cuộc tấn công, nhưng làm cho nó khó hơn
Lỗ hổng DoS mẫu: Đặt lại
Kẻ tấn công gửi một gói Đặt lại đến một ổ cắm mở
Nếu SNS đúng thì kết nối sẽ đóng ⇒ DoS
Ngây thơ, thành công. là 1/232 (32-bit seq. # ’s).
nhưng, nhiều hệ thống cho phép một cửa sổ seq lớn có thể chấp nhận được. #'S. Xác suất thành công cao hơn nhiều.
Kẻ tấn công có thể tràn ngập các gói RST cho đến khi một gói hoạt động
Hiệu quả nhất đối với các kết nối tồn tại lâu dài, ví dụ: BGP
Bảo mật định tuyến
Định tuyến liên miền
Giao thức định tuyến
ARP (giao thức phân giải addr): IP addr ⟶ eth addr Vấn đề bảo mật: (các cuộc tấn công mạng cục bộ)
Nút A có thể nhầm lẫn cổng vào việc gửi lưu lượng truy cập cho nút B
Bằng cách ủy quyền lưu lượng truy cập, nút A có thể đọc / đưa các gói vào phiên của B (ví dụ: mạng WiFi)
OSPF: được sử dụng để định tuyến trong một AS
BGP: định tuyến giữa các hệ thống tự trị Vấn đề bảo mật: cập nhật tuyến đường chưa được xác thực
Bất kỳ ai cũng có thể khiến toàn bộ Internet gửi lưu lượng truy cập IP của nạn nhân đến địa chỉ của kẻ tấn công
Ví dụ: Lỗi nhầm Youtube-Pakistan (xem bài giảng DDoS)
Bất kỳ ai cũng có thể chiếm đoạt đường dẫn đến nạn nhân (trang trình bày tiếp theo)
Ví dụ BGP
Vấn đề an ninh
Chứng thực đường dẫn BGP chưa được xác thực
Bất kỳ ai cũng có thể quảng cáo cho các tuyến đường tùy ý
Quảng cáo sẽ lan truyền khắp mọi nơi
Được sử dụng cho DoS, thư rác và nghe trộm (chi tiết trong bài giảng DDoS)
Thường là do lỗi của con người
Các giải pháp:
RPKI: AS nhận được chứng chỉ (ROA) từ cơ quan quản lý khu vực (RIR) và đính kèm ROA vào quảng cáo đường dẫn.
Các quảng cáo không có ROA hợp lệ sẽ bị bỏ qua.
Bảo vệ chống lại AS độc hại (nhưng không phải kẻ tấn công mạng)
SBGP: ký tên từng bước của quảng cáo đường dẫn
Ví dụ về xâm nhập đường dẫn (nguồn: Renesys 2013))
OSPF: routing inside an AS
Liên kết Quảng cáo Trạng thái (LSA):
Tràn ngập khắp AS để tất cả các bộ định tuyến trong AS có cái nhìn đầy đủ về cấu trúc liên kết AS
Truyền: IP datagram, giao thức = 89
Khám phá hàng xóm:
Các bộ định tuyến tự động phát hiện các hàng xóm trực tiếp trên các liên kết đính kèm --- thiết lập một “adjacenty”
Sau khi thiết lập, họ trao đổi cơ sở dữ liệu LSA của họ
Ví dụ: LSA từ Ra và Rb
Các tính năng bảo mật
Tính toàn vẹn của thông báo OSPF (không giống như BGP)
Mọi liên kết đều có thể có bí mật được chia sẻ riêng
Thật không may, OSPF sử dụng MAC không an toàn:
MAC (k, m) = MD5 (key ll data ll pad ll len)
Mọi LSA đều tràn ngập khắp AS
Nếu một bộ định tuyến độc hại duy nhất, các LSA hợp lệ vẫn có thể đến đích.
Cơ chế "chống trả"
Nếu một bộ định tuyến nhận được LSA của chính nó với một dấu thời gian mới hơn so với dấu thời gian mới nhất mà nó đã gửi, nó ngay lập tức làm ngập một LSA mới
Các liên kết phải được quảng cáo bởi cả hai đầu
Vẫn có thể xảy ra một số cuộc tấn công
Hệ Thống Tên Miền
Không gian tên thứ bậc
Máy chủ tên gốc DNS
Dịch vụ phân cấp
Máy chủ định danh gốc cho các miền cấp cao nhất
Máy chủ định danh có thẩm quyền cho các miền phụ
Trình phân giải tên cục bộ liên hệ với máy chủ có thẩm quyền khi họ không biết tên
Ví dụ về tra cứu DNS
Các loại bản ghi DNS (danh sách một phần):
NS: máy chủ định danh (trỏ đến máy chủ khác)
A: bản ghi địa chỉ (chứa địa chỉ IP)
MX: địa chỉ phụ trách xử lý email
TXT: văn bản chung (ví dụ: được sử dụng để phân phối khóa công khai của trang web (DKIM))
Bộ nhớ đệm
Truy vấn phủ định DNS được lưu vào bộ nhớ đệm
Tiết kiệm thời gian cho các trang web không tồn tại, ví dụ: viết sai chính tả
Dữ liệu được lưu trong bộ nhớ cache hết thời gian định kỳ
Thời gian tồn tại (TTL) của dữ liệu do chủ sở hữu dữ liệu kiểm soát
TTL vượt qua mọi kỷ lục
Các phản hồi DNS được lưu vào bộ nhớ đệm
Phản hồi nhanh cho các bản dịch lặp lại
Lưu ý: Bản ghi NS cho các miền cũng được lưu vào bộ nhớ đệm
Gói DNS:
ID truy vấn:
Giá trị ngẫu nhiên 16 bit
Liên kết phản hồi cho truy vấn
Trình phân giải
Phản hồi tới trình phân giải
Phản hồi có thẩm quyền đối với trình phân giải
Các lỗ hổng DNS cơ bản
Người dùng / máy chủ tin cậy ánh xạ địa chỉ máy chủ do DNS cung cấp:
Được sử dụng làm cơ sở cho nhiều chính sách bảo mật:
Trình duyệt giống chính sách nguồn gốc, thanh địa chỉ URL
Các vấn đề rõ ràng
Việc đánh chặn các yêu cầu hoặc sự xâm nhập của máy chủ DNS có thể dẫn đến các phản hồi không chính xác hoặc độc hại
ví dụ: điểm truy cập độc hại trong quán cà phê
Giải pháp - yêu cầu / phản hồi đã xác thực
Được cung cấp bởi DNSsec… nhưng một số ít sử dụng DNSsec
Nhiễm độc bộ nhớ cache DNS (a la Kaminsky’08)
Nếu lúc đầu bạn không thành công…
Phòng thủ
Tăng kích thước ID truy vấn. Làm sao?
Ngẫu nhiên cổng src, bổ sung 11 bit
Ngẫu nhiên cổng src, bổ sung 11 bit
Hỏi mọi truy vấn DNS hai lần:
Kẻ tấn công phải đoán chính xác QueryID hai lần (32 bit)
… Nhưng rõ ràng hệ thống DNS không thể xử lý tải
Các cuộc tấn công nhiễm độc DNS trong tự nhiên
Tháng 1 năm 2005, tên miền của một ISP lớn ở New York, Panix, đã bị tấn công vào một trang web ở Úc.
Vào tháng 11 năm 2004, người dùng Google và Amazon đã được gửi đến Med Network Inc., một hiệu thuốc trực tuyến
Vào tháng 3 năm 2003, một nhóm được mệnh danh là "Lực lượng Dân quân Không gian mạng Tự do" đã tấn công những người truy cập vào trang web Al-Jazeera và đưa cho họ thông điệp "Chúa phù hộ cho quân đội của chúng ta"
Tấn công liên kết DNS
Phòng thủ liên kết DNS
Phòng thủ phía máy chủ
Xác thực người dùng bằng thứ gì đó khác với IP
Kiểm tra tiêu đề Máy chủ để tìm các miền không được công nhận
Bảo vệ tường lửa
Tên bên ngoài không thể phân giải thành địa chỉ bên trong
Bảo vệ các trình duyệt bên trong tổ chức
Giảm thiểu trình duyệt: Ghim DNS
Từ chối chuyển sang IP mới
Tương tác kém với proxy, VPN, DNS động,…
Không được triển khai nhất quán trong bất kỳ trình duyệt nào
Tóm lược
Các giao thức cốt lõi không được thiết kế để bảo mật
Nghe lén, Chèn gói, Đánh cắp lộ trình, Ngộ độc DNS
Được vá theo thời gian để ngăn chặn các cuộc tấn công cơ bản
(ví dụ: TCP SN ngẫu nhiên)
Các biến thể an toàn hơn tồn tại (bài giảng tiếp theo):
IP ⟶ IPsec
DNS ⟶ DNSsec
BGP ⟶ SBGP
