Tuy SD-WAN sẽ tạo ra nhiều cơ hội tích cực và tiềm năng khi ứng dụng triển khai nội dung số và thương mại điện tử cho các doanh nghiệp, nhưng cũng tồn tại nhiều mối đe dọa như sau.
Phần mềm lỗi thời hoặc chưa được vá lỗi: Phần lớn các hệ thống SD-WAN sử dụng hệ điều hành dựa trên Linux và thường xuyên được triển khai với các công cụ mã nguồn mở. Tùy thuộc vào SLA (thỏa thuận mức dịch vụ) và thỏa thuận vai trò trách nhiệm với nhà cung cấp SD-WAN, điều quan trọng là phải hiểu toàn bộ công nghệ và trách nhiệm của mỗi bên trong việc cập nhật bộ phần mềm và tiện ích đầy đủ.
Cung cấp phiên bản phần mềm duy nhất cho nhiều người dùng: Trong môi trường nhà cung cấp, họ cung cấp giao diện quản lý web dựa trên giao diện người dùng web. Đã có một số báo cáo về các lỗ hổng bảo mật đối với các giao diện web nhiều người dùng liên quan đến kiểm soát truy cập. Bởi vì kiểm soát truy cập là một phần của bề mặt tấn công từ góc độ nhà cung cấp và người sử dụng vì nó có thể dẫn đến leo thang đặc quyền.
Các mối đe doạ về mật mã: Các mặt phẳng quản lý SD-WAN cũng như dữ liệu, điều khiển và điều phối đều dựa trên cơ chế mật mã. Các giao thức mật mã cho SD-WAN đang phát triển nhanh chóng và được phát triển tích cực nhờ công nghệ mới. Hầu hết các nhà cung cấp đều áp dụng IPSec, do đó mật mã là trọng tâm trong quá trình phát triển hệ thống SD-WAN.
Cung cấp Zero Touch (ZTP): Cơ chế ZTP cho phép các nút được cấp phép và cấu hình tự động. Có nghĩa là máy chủ ZTP theo thiết kế phải chấp nhận các yêu cầu từ các thiết bị không xác định và trái phép đến từ Internet. Điều này làm tăng đáng kể bề mặt tấn công và khả năng của kẻ tấn công.
sẽ được đề xuất nhằm chống lại tấn công DoS/DDoS, bởi trong môi trường mạng các tấn công này vào một hệ thống máy tính đích luôn được xem là hiện hữu. Từ nền tảng mạng LAN đến môi trường mạng SD-WAN, tấn công DoS luôn tiềm ẩn trong các điều kiện tạo lập nhằm vô hiệu hóa quyền truy cập của người dùng, kéo theo đó là tấn công DDoS được hình thành khi thực hiện tấn công DoS đồng thời từ nhiều máy trạm cùng truy vấn vào hệ thống đích trong thời gian ngắn, gây bão hòa bộ nhớ đệm, cạn kiệt tài nguyên xử lý bảng chuyển mạch luồng của hệ đích và hệ quả làm cho các người dùng hợp pháp không thể truy cập dịch vụ.
Mô hình triển khai an toàn mạng SD-WAN đề xuất theo Hình 1, gồm 4 SITE: SITE 1000 và SITE 1, 2, 3. Trong đó, SITE 1000 có VPN 512 (10.1.1.0/24) dùng để kết nối máy tính của quản trị viên tới SD-WAN trung tâm quản lý cấu hình, và thiết lập hệ thống cũng như kiểm soát toàn hệ thống thông qua vManage, vSmart, vBond; và VPN 0 (192.168.2.0/24) thực hiện kết nối vManage, vSmart, vBond tới các vEdge và các Router bên ngoài trụ sở chính. Còn SITE 1, 2, 3 mô tả khu vực người sử dụng được kết nối từ các vEdge; hệ thống truyền dẫn trong mạng SD-WAN đi qua cả MPLS hoặc Internet nhằm đảm bảo kết nối sẵn sàng cao cho người dùng thông qua các vEdge tại các SITE 1, SITE 2, SITE 3.
Hình 1. Mô hình triển khai an toàn mạng SD-WAN
Mặc dù SD-WAN được tích hợp tường lửa tại các node ở các chi nhánh nhưng vẫn sẽ có những rủi ro bị tấn công, đặc biệt là đối với tấn công DoS, do các lỗ hổng hoặc nguy cơ tấn công trực tiếp từ phía người sử dụng ở chính chi nhánh đó. Ở báo cáo này, nhóm tác giả đã thử nghiệm t để đánh giá SD-WAN có thể bị tấn công tiềm ẩn, trên cơ sở đó đề xuất bổ sung thêm một tường lửa để minh chứng hiệu quả bảo vệ an toàn trong hệ thống SD-WAN chống lại những tấn công nguy hiểm hơn.
Để đánh giá tính an toàn của mạng được xây dựng trên SD-WAN, nhóm tác giả thử nghiệm tấn công DoS SYN vào các thiết bị vEdge trong hệ thống SD-WAN, và sau đó ngăn chặn tấn công khả thi bằng tường lửa Iptables. Tấn công DoS SYN thuộc kiểu tấn công mạng phổ biến gây ra mất kết nối của cặp thiết bị nguồn và đích, bởi chúng gửi liên tiếp nhiều gói tin SYN đến vEdge mà không phản hồi lại gói tin ACK thì SD-WAN trung tâm sẽ buộc vEdge phải đưa các kết nối này vào trong hàng đợi. Do giao thức TCP (Tranmission Control Protocol) sử dụng các khối điều khiển đường truyền TCB (Tranmission Control Block) làm cấu trúc dữ liệu của giao thức chuyển vận, nên khối này chứa toàn bộ thông tin kết nối. Dung lượng tối thiểu của 1 khối TCB là 280 Byte (khối này cho phép mở rộng lên tới 1300 Byte), tuy nhiên khi phải xử lý các yêu cầu kết nối của máy khách trong hàng đợi sẽ dẫn đến không gian lưu trữ TCB dần cạn kiệt và không còn sẵn sàng phục vụ những máy khách hợp lệ khác, gây ra mất kết nối giữa các thiết bị.
Trong giải pháp thử nghiệm này, nhóm tác giả triển khai tường lửa Iptables để cấu hình các luật nhằm ngăn chặn tấn công SYN Flood.
Bước 1: Thực hiện tấn công DoS (Hình 2).
Hình 2. Tấn công DoS bằng hping3
Sau khi thực hiện lệnh tấn công DoS, lượng gói tin tới vEdge2 thống kê được như trong Hình 3.
Hình 3. Lượng Packet đi qua vEdge 2 khi đang tấn công DoS
Bước 2: Cấu hình luật Iptables ngăn chặn tấn công DoS qua cờ Flags (Hình 4).
Hình 4. Thiết lập các luật Iptables chặn tấn công DoS
Sau khi thiết lập tường lửa thông qua SD-WAN trung tâm thì lượng gói tin chuyển qua vEdge2 không còn cao, vì thế không gây nên hiện tượng quá tải trên vEdge. Kết quả các vEdge vẫn duy trì được hoạt động ổn định (Hình 5 và 6).
Hình 6. vEdge 1 vẫn đảm bảo kết nối với 2 Transport
Trên cơ sở mô phỏng thử nghiệm, một số giải pháp bảo vệ chống tấn công DoS SYN Flood được đề xuất như sau:
• Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP;
• Tăng kích thước vùng nhớ nhật ký (Backlogs) tại SD-WAN trung tâm giúp tăng khả năng chấp nhận kết nối mới cho hệ thống đích;
• Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN, giúp máy chủ hủy bỏ các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn hơn, giải phóng tài nguyên các kết nối chờ chiếm giữ;
• Sử dụng SYN cache giúp duy trì Backlogs chung cho tất cả máy chủ thay vì Backlogs riêng cho mỗi ứng dụng riêng;
• Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã được xác nhận. Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho máy chủ đích;
• Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã xác lập trước.
Phần I và Phần II của bài báo đã giới thiệu về công nghệ SD-WAN, trình bày những lợi ích và hạn chế trong công nghệ SD-WAN, đồng thời đề xuất một mô hình thử nghiệm triển khai an toàn mạng bằng cách thiết lập tường lửa Iptables và đã chặn được tấn công DoS SYN Flood. Thông qua các kết quả mô phỏng, các giải pháp bảo vệ khác cho mô hình mạng SD-WAN cũng được đề xuất. Trong thời gian tới, nhóm sẽ tiếp tục thực hiện đánh giá tổ hợp các biện pháp bảo vệ cho mạng đề xuất, đồng thời kiểm chứng tiếp tính đơn giản hóa trong công tác quản trị mạng và tính an toàn trong triển khai mạng đáp ứng nhu cầu người dùng trong các doanh nghiệp hiện nay.
TÀI LIỆU THAM KHẢO 1. Michael Cooney, “What is SD-WAN, and what does it mean for networking, security, cloud?” Webpage: . 2. Gottlieb, A. “Why does MPLS cost so much more than Internet connectivity?”, Apr 2012. Webpage: 3. Michelle Suh, Sae Hyong Park, Byungjoon Lee, and Sunhee Yang. “Building Firewall Over the Software-Defined Network Controller”. In Proceedings of the 16th International Conference on Advanced Communication Technology (ICACT2014), pages 744–748. IEEE, 2014. 4. Ankur Chowdhary, Vaibhav Hemant Dixit, Naveen Tiwari, Sukhwa Kyung, Dijiang Huang, and Gail-Joon Ahn. “Science DMZ: SDN Based Secured Cloud Testbed”. In Network Function Virtualization and Software Defined Networks (NFVSDN), 2017 IEEE Conference on, pages 1–2. IEEE, 2017. 5. Nastech Inc. “MPLS data network setup, 2015”. 6. Scott-Hayward, S., O’Callaghan, G., and Sezer, S. “SDN security: A survey”. In Future Networks and Services (SDN4FNS), 2013 IEEE SDN For (2013). 7. Shin, S., and Gu, G. “Attacking SoftwareDefined Networks: A First Feasibility Study”. In Proceedings of the Second ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking (New York, NY, USA, 2013), HotSDN ’13, ACM. 8. T. Shozi, S. Dlamini, P. Mudali, M. O. Adigun. “An SDN Solution for Performance Improvement in Dedicated Wide-Area Networks”. In Proc. of Information Communications Technology and Society (ICTAS) Conf., (2019). 9. I. M. Alsmadi, I. AlAzzam, M. Akour. “A systematic literature review on software-defined networking”. In Information Fusion for CyberSecurity Analytics, edited by I.M. Alsmadi, G. Karabatis, A. AlEroud (Springer, Vol. 691, 2017). |
TS. Nguyễn Đức Công, Lâm Minh Nghĩa
10:00 | 04/11/2021
09:00 | 19/06/2019
20:00 | 29/01/2022
15:18 | 11/07/2016
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
10:00 | 08/08/2023
Bên cạnh việc phát triển không ngừng của các công nghệ, giải pháp an toàn thông tin được ứng dụng, triển khai trên hệ thống mạng của các tổ chức, doanh nghiệp, các hoạt động tấn công mạng vẫn không ngừng diễn ra và có sự gia tăng cả về số lượng, phạm vi, cách thức với tính chất ngày càng tinh vi. Cùng với việc sử dụng các kỹ thuật và công cụ để vượt qua các hàng rào bảo mật, tin tặc còn tìm cách để lẩn tránh điều tra số. Bài báo sẽ trình bày về một trong những kỹ thuật mà tin tặc thường sử dụng để chống lại các hoạt động điều tra số, đó chính là việc xóa bỏ các chỉ mục trên máy tính nạn nhân.
15:00 | 04/08/2023
Trong bối cảnh sự phát triển mạnh mẽ của các công nghệ ngày càng được ứng dụng trong hoạt động sản xuất, cùng với ngành công nghiệp dần được chuyển sang tự động hóa, công nghệ thông tin (Information Technology - IT) và công nghệ vận hành (Operational Technology - OT) đang có những bước chuyển mình tích cực. Tuy nhiên, dường như các doanh nghiệp mới chỉ tập trung phát triển một trong hai nền tảng trên, mà chưa chú trọng đến kết hợp, hội tụ cùng một môi trường sản xuất công nghiệp hiện đại. Bài báo sẽ đưa ra các lợi ích của sự hội tụ của hai hệ thống IT và OT.
16:00 | 27/07/2023
Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
13:00 | 13/08/2024