Phòng chống tấn công thiết bị mạng - bảo vệ thông tin định tuyến

nktung

Super Moderator
Thành viên BQT
08/10/2013
401
989 bài viết
Phòng chống tấn công thiết bị mạng - bảo vệ thông tin định tuyến
Đặt vấn đề
Như các bạn đã biết, các thiết bị Router phải thường xuyên trao đổi thông tin định tuyến với nhau để duy trì và cập nhật bảng định tuyến của nó. Trên hình có 2 router R1 và R2, cùng chạy một giao thức định tuyến và thường xuyên gửi các thông tin cho nhau. Một kẻ tấn công muốn tạo ra các thông tin định tuyến giả mạo và gửi cho R1 và R2. Thông thường R1 và R2 sẽ cập nhật các thông tin này vào bảng định tuyến. Điều này có thể dẫn đến những hậu quả:
- Gây ra hiện tượng loop trong mạng (hiện tượng gói tin chạy lòng vòng trong mạng mà không đến được đích)
- Chuyển hướng lưu lượng đến những phân đoạn mạng mà kẻ tấn công có thể giám sát được.
- Chuyển hướng lưu lượng dẫn đến loại bỏ các thông tin (ví dụ đến các thiết bị đầu cuối không phải là đích của gói tin)
Vậy phải làm thế nào để R1, R2 không cập nhật những thông tin do kẻ tấn công gửi đến?


Câu trả lời là cấu hình "mật khẩu" trên R1 và R2 để thực hiện xác thực. Khi R1 gửi thông tin định tuyến đến R2 thì phải có mật khẩu đi kèm. Nếu R2 thấy mật khẩu từ R1 gửi đến mà khớp với mật khẩu mà nó có thì R2 sẽ "tin tưởng" vào thông tin mà R1 gửi.
Nhưng nếu kẻ tấn công bắt được mật khẩu trao đổi giữa R1 và R2 thì sao? Điều này có thể xảy ra vì kẻ tấn công có thể sử dụng các công cụ bắt gói tin như wireshark. Vậy phải làm thế nào để đối phó với việc này?

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Phòng chống tấn công thiết bị mạng - bảo vệ thông tin định tuyến

Cần mã hóa mật khẩu trước khi gửi đi.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Phòng chống tấn công thiết bị mạng - bảo vệ thông tin định tuyến

[FONT=verdana, sans-serif]Để đối phó với việc này, trên mỗi router phải cấu hình sẵn một key - "mật khẩu". Key này phải giống nhau trên các router. Khi R1 muốn gửi thông tin định tuyến (tạm gọi là data) cho R2 thì R1 sẽ làm như sau:[/FONT]
[FONT=verdana, sans-serif]- Bước 1. Lấy key và data làm tham số đầu vào cho hàm băm MD5. Kết quả sau khi băm gọi là chữ ký của R1.[/FONT]
[FONT=verdana, sans-serif]- Bước 2. Gửi chữ ký + data cho R2.[/FONT]
[FONT=verdana, sans-serif]Khi nhận được chữ ký + data từ R1, R2 sẽ:[/FONT]
[FONT=verdana, sans-serif]- Bước 1. Tách lấy phần data. Lấy data này và key của mình để làm tham số đầu vào cho hàm băm MD5. Kết quả thu được là 1 chữ ký.[/FONT]
[FONT=verdana, sans-serif]- Bước 2. So sánh chữ ký vừa tạo ở bước trên với chữ ký R1. Nếu khớp nhau chứng tỏ data là do R1 gửi đến.[/FONT]
[FONT=verdana, sans-serif]
[/FONT]

[FONT=verdana, sans-serif]Đây là cách mà các router thường sử dụng để xác thực nguồn gốc thông tin định tuyến. Tuy nhiên việc này gặp khó khăn khi muốn cấu hình các key trên nhiều router nằm phân tán ở nhiều nơi khác nhau. Có cách nào giải quyết vấn đề này không?[/FONT]

[FONT=verdana, sans-serif]
[/FONT]
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên