Tuy SD-WAN sẽ tạo ra nhiều cơ hội tích cực và tiềm năng khi ứng dụng triển khai nội dung số và thương mại điện tử cho các doanh nghiệp, nhưng cũng tồn tại nhiều mối đe dọa như sau.
Phần mềm lỗi thời hoặc chưa được vá lỗi: Phần lớn các hệ thống SD-WAN sử dụng hệ điều hành dựa trên Linux và thường xuyên được triển khai với các công cụ mã nguồn mở. Tùy thuộc vào SLA (thỏa thuận mức dịch vụ) và thỏa thuận vai trò trách nhiệm với nhà cung cấp SD-WAN, điều quan trọng là phải hiểu toàn bộ công nghệ và trách nhiệm của mỗi bên trong việc cập nhật bộ phần mềm và tiện ích đầy đủ.
Cung cấp phiên bản phần mềm duy nhất cho nhiều người dùng: Trong môi trường nhà cung cấp, họ cung cấp giao diện quản lý web dựa trên giao diện người dùng web. Đã có một số báo cáo về các lỗ hổng bảo mật đối với các giao diện web nhiều người dùng liên quan đến kiểm soát truy cập. Bởi vì kiểm soát truy cập là một phần của bề mặt tấn công từ góc độ nhà cung cấp và người sử dụng vì nó có thể dẫn đến leo thang đặc quyền.
Các mối đe doạ về mật mã: Các mặt phẳng quản lý SD-WAN cũng như dữ liệu, điều khiển và điều phối đều dựa trên cơ chế mật mã. Các giao thức mật mã cho SD-WAN đang phát triển nhanh chóng và được phát triển tích cực nhờ công nghệ mới. Hầu hết các nhà cung cấp đều áp dụng IPSec, do đó mật mã là trọng tâm trong quá trình phát triển hệ thống SD-WAN.
Cung cấp Zero Touch (ZTP): Cơ chế ZTP cho phép các nút được cấp phép và cấu hình tự động. Có nghĩa là máy chủ ZTP theo thiết kế phải chấp nhận các yêu cầu từ các thiết bị không xác định và trái phép đến từ Internet. Điều này làm tăng đáng kể bề mặt tấn công và khả năng của kẻ tấn công.
Mô hình triển khai mạng SD-WAN sẽ được đề xuất nhằm chống lại tấn công DoS/DDoS, bởi trong môi trường mạng các tấn công này vào một hệ thống máy tính đích luôn được xem là hiện hữu. Từ nền tảng mạng LAN đến môi trường mạng SD-WAN, tấn công DoS luôn tiềm ẩn trong các điều kiện tạo lập nhằm vô hiệu hóa quyền truy cập của người dùng, kéo theo đó là tấn công DDoS được hình thành khi thực hiện tấn công DoS đồng thời từ nhiều máy trạm cùng truy vấn vào hệ thống đích trong thời gian ngắn, gây bão hòa bộ nhớ đệm, cạn kiệt tài nguyên xử lý bảng chuyển mạch luồng của hệ đích và hệ quả làm cho các người dùng hợp pháp không thể truy cập dịch vụ.
Mô hình triển khai an toàn mạng SD-WAN đề xuất theo Hình 1, gồm 4 SITE: SITE 1000 và SITE 1, 2, 3. Trong đó, SITE 1000 có VPN 512 (10.1.1.0/24) dùng để kết nối máy tính của quản trị viên tới SD-WAN trung tâm quản lý cấu hình, và thiết lập hệ thống cũng như kiểm soát toàn hệ thống thông qua vManage, vSmart, vBond; và VPN 0 (192.168.2.0/24) thực hiện kết nối vManage, vSmart, vBond tới các vEdge và các Router bên ngoài trụ sở chính. Còn SITE 1, 2, 3 mô tả khu vực người sử dụng được kết nối từ các vEdge; hệ thống truyền dẫn trong mạng SD-WAN đi qua cả MPLS hoặc Internet nhằm đảm bảo kết nối sẵn sàng cao cho người dùng thông qua các vEdge tại các SITE 1, SITE 2, SITE 3.
Hình 1. Mô hình triển khai an toàn mạng SD-WAN
Mặc dù SD-WAN được tích hợp tường lửa tại các node ở các chi nhánh nhưng vẫn sẽ có những rủi ro bị tấn công, đặc biệt là đối với tấn công DoS, do các lỗ hổng hoặc nguy cơ tấn công trực tiếp từ phía người sử dụng ở chính chi nhánh đó. Ở báo cáo này, nhóm tác giả đã thử nghiệm tấn công DoS để đánh giá SD-WAN có thể bị tấn công tiềm ẩn, trên cơ sở đó đề xuất bổ sung thêm một tường lửa để minh chứng hiệu quả bảo vệ an toàn trong hệ thống SD-WAN chống lại những tấn công nguy hiểm hơn.
Để đánh giá tính an toàn của mạng được xây dựng trên SD-WAN, nhóm tác giả thử nghiệm tấn công DoS SYN vào các thiết bị vEdge trong hệ thống SD-WAN, và sau đó ngăn chặn tấn công khả thi bằng tường lửa Iptables. Tấn công DoS SYN thuộc kiểu tấn công mạng phổ biến gây ra mất kết nối của cặp thiết bị nguồn và đích, bởi chúng gửi liên tiếp nhiều gói tin SYN đến vEdge mà không phản hồi lại gói tin ACK thì SD-WAN trung tâm sẽ buộc vEdge phải đưa các kết nối này vào trong hàng đợi. Do giao thức TCP (Tranmission Control Protocol) sử dụng các khối điều khiển đường truyền TCB (Tranmission Control Block) làm cấu trúc dữ liệu của giao thức chuyển vận, nên khối này chứa toàn bộ thông tin kết nối. Dung lượng tối thiểu của 1 khối TCB là 280 Byte (khối này cho phép mở rộng lên tới 1300 Byte), tuy nhiên khi phải xử lý các yêu cầu kết nối của máy khách trong hàng đợi sẽ dẫn đến không gian lưu trữ TCB dần cạn kiệt và không còn sẵn sàng phục vụ những máy khách hợp lệ khác, gây ra mất kết nối giữa các thiết bị.
Trong giải pháp thử nghiệm này, nhóm tác giả triển khai tường lửa Iptables để cấu hình các luật nhằm ngăn chặn tấn công SYN Flood.
Bước 1: Thực hiện tấn công DoS (Hình 2).
Hình 2. Tấn công DoS bằng hping3
Sau khi thực hiện lệnh tấn công DoS, lượng gói tin tới vEdge2 thống kê được như trong Hình 3.
Hình 3. Lượng Packet đi qua vEdge 2 khi đang tấn công DoS
Bước 2: Cấu hình luật Iptables ngăn chặn tấn công DoS qua cờ Flags (Hình 4).
Hình 4. Thiết lập các luật Iptables chặn tấn công DoS
Sau khi thiết lập tường lửa thông qua SD-WAN trung tâm thì lượng gói tin chuyển qua vEdge2 không còn cao, vì thế không gây nên hiện tượng quá tải trên vEdge. Kết quả các vEdge vẫn duy trì được hoạt động ổn định (Hình 5 và 6).
Hình 6. vEdge 1 vẫn đảm bảo kết nối với 2 Transport
Trên cơ sở mô phỏng thử nghiệm, một số giải pháp bảo vệ chống tấn công DoS SYN Flood được đề xuất như sau:
• Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP;
• Tăng kích thước vùng nhớ nhật ký (Backlogs) tại SD-WAN trung tâm giúp tăng khả năng chấp nhận kết nối mới cho hệ thống đích;
• Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN, giúp máy chủ hủy bỏ các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn hơn, giải phóng tài nguyên các kết nối chờ chiếm giữ;
• Sử dụng SYN cache giúp duy trì Backlogs chung cho tất cả máy chủ thay vì Backlogs riêng cho mỗi ứng dụng riêng;
• Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã được xác nhận. Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho máy chủ đích;
• Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã xác lập trước.
Phần I và Phần II của bài báo đã giới thiệu về công nghệ SD-WAN, trình bày những lợi ích và hạn chế trong công nghệ SD-WAN, đồng thời đề xuất một mô hình thử nghiệm triển khai an toàn mạng bằng cách thiết lập tường lửa Iptables và đã chặn được tấn công DoS SYN Flood. Thông qua các kết quả mô phỏng, các giải pháp bảo vệ khác cho mô hình mạng SD-WAN cũng được đề xuất. Trong thời gian tới, nhóm sẽ tiếp tục thực hiện đánh giá tổ hợp các biện pháp bảo vệ cho mạng đề xuất, đồng thời kiểm chứng tiếp tính đơn giản hóa trong công tác quản trị mạng và tính an toàn trong triển khai mạng đáp ứng nhu cầu người dùng trong các doanh nghiệp hiện nay.
|
TÀI LIỆU THAM KHẢO 1. Michael Cooney, “What is SD-WAN, and what does it mean for networking, security, cloud?” Webpage: https://www.networkworld.com/article/3031279/sd-wan-what-it-is-and-why-youll-use-it-one-day. 2. Gottlieb, A. “Why does MPLS cost so much more than Internet connectivity?”, Apr 2012. Webpage: http://www.networkworld.com/article/2222196/cisco-subnet/why-does-mpls-cost-so-muchmore-than-internet-connectivity. 3. Michelle Suh, Sae Hyong Park, Byungjoon Lee, and Sunhee Yang. “Building Firewall Over the Software-Defined Network Controller”. In Proceedings of the 16th International Conference on Advanced Communication Technology (ICACT2014), pages 744–748. IEEE, 2014. 4. Ankur Chowdhary, Vaibhav Hemant Dixit, Naveen Tiwari, Sukhwa Kyung, Dijiang Huang, and Gail-Joon Ahn. “Science DMZ: SDN Based Secured Cloud Testbed”. In Network Function Virtualization and Software Defined Networks (NFVSDN), 2017 IEEE Conference on, pages 1–2. IEEE, 2017. 5. Nastech Inc. “MPLS data network setup, 2015”. 6. Scott-Hayward, S., O’Callaghan, G., and Sezer, S. “SDN security: A survey”. In Future Networks and Services (SDN4FNS), 2013 IEEE SDN For (2013). 7. Shin, S., and Gu, G. “Attacking SoftwareDefined Networks: A First Feasibility Study”. In Proceedings of the Second ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking (New York, NY, USA, 2013), HotSDN ’13, ACM. 8. T. Shozi, S. Dlamini, P. Mudali, M. O. Adigun. “An SDN Solution for Performance Improvement in Dedicated Wide-Area Networks”. In Proc. of Information Communications Technology and Society (ICTAS) Conf., (2019). 9. I. M. Alsmadi, I. AlAzzam, M. Akour. “A systematic literature review on software-defined networking”. In Information Fusion for CyberSecurity Analytics, edited by I.M. Alsmadi, G. Karabatis, A. AlEroud (Springer, Vol. 691, 2017). |
TS. Nguyễn Đức Công, Lâm Minh Nghĩa
10:00 | 04/11/2021
09:00 | 19/06/2019
20:00 | 29/01/2022
15:18 | 11/07/2016
09:00 | 08/03/2024
Từ lâu, botnet là một trong những mối đe dọa lớn nhất đối với an ninh mạng, nó đã gây ra nhiều thiệt hại cho các tổ chức và doanh nghiệp trên toàn thế giới. Bài báo sẽ giới thiệu tới độc giả một số kỹ thuật phát hiện botnet bằng Honeynet và tính hiệu quả của chúng, đồng thời đề xuất một số hướng phát triển trong tương lai để nâng cao khả năng phát hiện và ngăn chặn botnet bằng Honeynet.
09:00 | 06/12/2023
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
07:00 | 08/02/2023
Với sự phát triển không ngừng của công nghệ, những cuộc tấn công mạng thông qua mạng Internet cũng ngày càng trở nên đa dạng hơn. Đặc biệt là hoạt động trò chơi trực tuyến tiềm ẩn không ít những mối đe dọa bị tấn công bởi mã độc. Bài báo này sẽ đưa ra các mối đe dọa liên quan đến trò chơi trực tuyến, phân tích các phương thức, thủ đoạn mà tin tặc tấn công mạng dựa vào các trò chơi trực tuyến, từ đó đưa ra một số giải pháp phòng tránh.
13:00 | 06/12/2022
Cùng với sự gia tăng không ngừng của các mối đe dọa an ninh mạng, các tin tặc thay đổi, phát triển các chiến thuật và phương thức tấn công mới tinh vi hơn dường như xuất hiện liên tục. Trong khi đó, các chiến dịch tấn công nhắm vào cơ sở hạ tầng công nghệ thông tin của các tổ chức/doanh nghiệp (TC/DN) được các nhóm tin tặc thực hiện với tần suất nhiều hơn. Chính vì thế, việc xây dựng một chiến lược phòng thủ dựa trên bằng chứng được thực thi tốt là điều mà các TC/DN nên thực hiện để chủ động hơn trước các mối đe dọa trong bối cảnh các cuộc tấn công mạng đang trở nên khó lường và phức tạp.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024
