An ninh mạng Vận tải mạng
Các lớp liên kết và vận chuyển chuyên sâu
Hệ thống máy tính thường xuyên cần giao tiếp với các hệ thống khác; điều này được thực hiện bằng cách đặt chúng trên cùng một mạng. Một số công nghệ khác nhau được áp dụng để cho phép máy tính giao tiếp qua các loại mạng khác nhau. Trong phần này chúng ta sẽ đi sâu hơn vào các giao thức được sử dụng trong hầu hết các mạng.
Các mạng chúng tôi đang sử dụng bao gồm nhiều giao thức, một số giao thức được đưa vào lớp này. Ngoài ra còn có nhiều giao thức khác được sử dụng trong mạng, tất cả đều tiềm ẩn những rủi ro bảo mật liên quan đến chúng.
TCP ("Giao thức điều khiển truyền dẫn")
Giống như IP sử dụng địa chỉ IP để đánh địa chỉ, TCP và UDP sử dụng cổng. Một cổng, như được biểu thị bằng số từ 0 đến 65535, cho biết dịch vụ mạng nào sẽ xử lý yêu cầu.
Trong hình bên dưới, chúng ta có thể thấy gói TCP và nó sẽ trông như thế nào đối với bất kỳ ai kiểm tra lưu lượng truy cập trên mạng.
Chúng ta có thể thấy đồ họa hiển thị 16 bit cho cả cổng nguồn và cổng đích, điều này giống với UDP. Số thứ tự và số xác nhận được sử dụng trong quá trình bắt tay ba chiều và để truyền dữ liệu một cách đáng tin cậy. Chúng ta cũng có thể thấy các bit điều khiển được sử dụng để cho biết đó là loại gói nào. Các tiêu đề khác cũng đóng một vai trò quan trọng, nhưng nằm ngoài khóa học bảo mật.
Bắt tay 3 chiều TCP
TCP sử dụng bắt tay ba chiều để cho phép hai hệ thống tham gia liên lạc. Quá trình bắt tay sử dụng 32 bit số PRNG ("Trình tạo số ngẫu nhiên giả") để thiết lập quá trình bắt tay. Cái bắt tay buộc cả hai bên đều có ý định giao tiếp.
Đây là một hình ảnh để minh họa:
Giải thích về cách TCP tham gia vào quá trình truyền thông:
- Máy khách bắt đầu giao tiếp bằng cách gửi gói có bit điều khiển SYN được đặt trong tiêu đề, số PRNG trong trường Số thứ tự và cổng đích đích. Lớp Mạng (Lớp 3) cho phép gói được gửi đến hệ thống từ xa. Gói này được gọi là gói SYN.
- Máy chủ nhận gói tin, đọc Số thứ tự từ Máy khách và tạo phản hồi. Phản hồi đặt trường Xác nhận với số Trình sắp xếp thứ tự của máy khách có thêm số 1 vào đó. Hơn nữa, phản hồi chứa các bit điều khiển SYN và ACK được đặt và Số thứ tự được đặt thành số PRNG của Máy chủ. Gói này được gọi là gói SYN/ACK.
- Máy khách nhận được gói SYN-ACK và để hoàn tất quá trình bắt tay sẽ trả về một gói có tập hợp bit điều khiển ACK. Gói cuối cùng cũng xác nhận số PRNG từ Máy chủ bằng cách trả nó vào trường Xác nhận của tiêu đề.
Quá trình này thường được gọi là bắt tay 3 bước SYN, SYN/ACK, ACK.
Trong hình ảnh sau, chúng ta có thể thấy hai máy chủ thực hiện bắt tay 3 bước:
Ảnh chụp màn hình hiển thị công cụ Wireshark đang được sử dụng để chụp và kiểm tra các gói. Wireshark là một tiện ích rất tốt vì nó cho phép chúng ta trực quan hóa các gói và kiểm tra chúng sâu hơn. Ảnh chụp màn hình hiển thị 3 gói biểu thị quá trình bắt tay 3 bước. Lưu ý các cột nguồn và đích đại diện cho hai bên giao tiếp. Trường Thông tin hiển thị cổng nguồn và cổng đích, bao gồm (trong dấu ngoặc vuông) SYN, SYN/ACK và ACK.
Ảnh chụp màn hình tiếp theo hiển thị dữ liệu được liên lạc giữa các bên sau khi bắt tay 3 bên. Dữ liệu bên trong gói TCP đã được đánh dấu ở gần cuối hình ảnh.
Một thông báo tới sinh viên W3School được hiển thị trong ảnh chụp màn hình ở trên. Bạn có thể thấy nó?
Lưu lượng truy cập giả mạo
Ngày nay, có rất ít hạn chế trên mạng đối với bất kỳ ai có thể tạo các gói theo ý muốn. Bất kỳ ai cũng có thể tạo gói với bất kỳ trường nào của tiêu đề được đặt thành bất kỳ giá trị nào họ muốn. Điều này được gọi là giả mạo, cho phép kẻ tấn công gửi lưu lượng truy cập thay mặt cho người khác.
TCP có bảo mật được tích hợp trong giao thức, nhưng nó dựa vào sức mạnh của bộ tạo số PRNG ("Trình tạo số ngẫu nhiên giả"). Nếu có thể đoán được số Thứ tự của các bên giao tiếp thì tính bảo mật của TCP có thể bị tổn hại theo nghĩa là kẻ tấn công có thể tham gia vào các giao tiếp giả mạo thông qua TCP.
Nhiều giao thức dễ bị giả mạo, nhưng TCP cung cấp một số khả năng phục hồi chống lại điều này. Các giao thức như UDP và ICMP không cung cấp khả năng bảo vệ tương tự.
Việc giả mạo các gói tin thường được thực hiện bởi những kẻ tấn công có khả năng root/system, tức là có đặc quyền cao nhất trên Hệ điều hành. Lý do là Hệ điều hành thực thi việc sử dụng API buộc người dùng phải tuân thủ các quy tắc liên lạc như được chỉ định trong RFC ("Yêu cầu nhận xét"). Nếu kẻ tấn công không có đặc quyền cao nhất, chúng sẽ không thể tạo các gói của riêng mình trên mạng.
UDP ("Giao thức gói dữ liệu người dùng")
UDP được sử dụng cho lưu lượng không cần khả năng phục hồi và bảo mật của TCP, điển hình là các ứng dụng như VOIP, nhưng trong thế giới hiện đại, ngày càng có nhiều ứng dụng sử dụng UDP để hỗ trợ truyền gói nhanh với khả năng phục hồi và bảo mật được tích hợp ở các cấp độ cao hơn của mô hình OSI ; QUIC là một ví dụ về điều này.
Nhìn vào Tiêu đề UDP, chúng ta có thể thấy các cổng Nguồn và Đích giống nhau đang được sử dụng, nhưng không có Số thứ tự hoặc bit Điều khiển. Giao thức có ít chi phí hơn, dẫn đến việc truyền dữ liệu nhanh hơn.
Vì UDP không có các tính năng như Bắt tay 3 chiều nên UDP có thể dễ dàng bị giả mạo.
Mạng chuyển mạch
Các hệ thống được kết nối với mạng LAN ("Mạng cục bộ") thông qua Switch. Bộ chuyển mạch sử dụng địa chỉ MAC ("Điều khiển truy cập phương tiện") để đánh địa chỉ chứ không phải địa chỉ IP phổ biến hơn. Chuyển tiếp lưu lượng truy cập qua Mạng cục bộ, tức là mạng gia đình hoặc trong các chi nhánh của tổ chức của bạn. Địa chỉ MAC được thiết kế là duy nhất nhưng bất kỳ ai cũng có thể thay đổi Địa chỉ MAC của mình miễn là họ có quyền quản trị viên.
Địa chỉ MAC được xác định bởi 6 octet, ví dụ: FC:F8:AE:12:34:56
Ba octet đầu tiên đại diện cho tổ chức sản xuất thiết bị giao tiếp, được gọi là OUI ("Mã định danh duy nhất của tổ chức"). Địa chỉ MAC trên được gán cho Intel Corporate. Bạn có thể tìm kiếm Địa chỉ MAC ở nhiều nơi, ví dụ: https://www.adminsub.net/mac-address-finder/intel.
Ba octet cuối cùng được xác định bởi nhà sản xuất.
ARP
ARP ("Giao thức phân giải địa chỉ") là giao thức cho phép hệ thống máy tính biết địa chỉ MAC nào thuộc địa chỉ IP nào. Nếu lưu lượng phải được định tuyến, hệ thống máy tính sẽ chuyển tiếp lưu lượng đến Default Gateway được cấu hình trên hệ thống.
ARP, giống như DNS, là một giao thức phân giải địa chỉ này thành địa chỉ khác. Mỗi khi hệ thống cố gắng liên lạc với một địa chỉ IP trên mạng LAN, nó sẽ kiểm tra bộ đệm ARP của nó để xem liệu gần đây đã được giải quyết chưa.
Bạn có thể kiểm tra ARP của riêng bạn. Chỉ cần chạy lệnh arp -a trên cả Linux hoặc Windows. Điều này cho biết hệ thống của bạn gần đây đã liên lạc với hệ thống nào.
Alice: Does anyone know the MAC address of 192.168.10.10?
Bob: Sure thing Alice, here is my MAC Address.Vlan ("Mạng LAN ảo")
Vlan, thường được gọi là Vlan riêng, là một cách để Chuyển sang thẻ nhúng (hoặc ID Vlan) trong Khung. Sau đó, nhiều Switch có thể đảm bảo rằng các hệ thống máy tính trong mạng LAN chỉ có thể giao tiếp với một số hệ thống khác, tức là các hệ thống khác có cùng VLAN ID.
