Đề tài vấn đề bảo mật trong wimax

Đề tài vấn đề bảo mật trong wimax

1 Giới thiệu chung về wimax

WiMAX là một công nghệ cho phép truy cập băng rộng vô tuyến đến đầu cuối như một phương thức thay thế cho cáp và đường dây thuê bao số DSL WiMAX cho phép kết nối băng rộng vô tuyến cố định, nomadic (người sử dụng

có thể di động nhưng cố định trong lúc kết nối), portable (người sử dụng có thể

di chuyển với tốc độ chậm) và cuối cùng là di động mà không cần ở trong tầm nhìn thẳng LOS (Line-Of-Sight) trực tiếp với trạm gốc BS (Base Station) WiMAX khắc phục được các nhược điểm của các phương pháp truy nhập hiện tại, cung cấp một phương tiện truy nhập Internet không dây tổng hợp có thể thay thế cho ADSL và WiFi Hệ thống WiMAX có khả năng cung cấp đường truyền

có tốc độ lên đến 70Mbit/s và với bán kính phủ sóng của một trạm anten phát lên đến 50Km Mô hình phủ sóng của mạng WiMAX tương tự như mạng điện thoại tế bào Bên cạnh đó, WiMAX cũng hoạt động mềm dẻo như WiFi khi truy cập mạng Mỗi khi máy tính muốn truy nhập mạng nó sẽ tự động kết nối đến trạm anten WiMAX gần nhất

Một số đặc điểm của Wimax:

Wimax đã được tiêu chuẩn hoá theo chuẩn IEEE 802.16 Hệ thống Wimax là hệ thống đa truy cập không dây sử dụng công nghệ OFDMA có các đặc điểm sau:

• Khoảng cách giữa trạm thu và phát có thể từ 30Km tới 50Km

• Tốc độ truyền có thể thay đổi, có thể lên tới 70Mbit/s

• Hoạt động trong cả hai môi trường truyền dẫn: đường truyền tầm nhìn thẳng LOS và đường truyền bị che khuất NLOS

• Dải tần làm việc từ 2-11GHz và từ 10-66GHz

• Độ rộng băng tần của WiMax từ 5MHz đến trên 20MHz được chia thành nhiều băng con 1,75MHz Mỗi băng con này được chia nhỏ hơn nữa nhờ công nghệ OFDM, cho phép nhiều thuê bao có thể truy cập đồng thời một hay nhiều kênh một cách linh hoạt để đảm bảo tối ưu hiệu quả sử dụng băng tần

• Cho phép sử dụng cả hai công nghệ TDD và FDD cho việc phân chia truyền dẫn của hướng lên (uplink) và hướng xuống (downlink) Trong cơ chế TDD, khung đường xuống và đường lên chia sẻ một tần số nhưng tách biệt về mặt thời gian Trong FDD, truyền tải các khung đường xuống

và đường lên diễn ra cùng một thời điểm, nhưng tại các tần số khác nhau

• Về cấu trúc phân lớp, hệ thống WiMax được phân chia thành 4 lớp : Lớp con hội tụ (Convergence) làm nhiệm vụ giao diện giữa lớp đa truy nhập

và các lớp trên, lớp điều khiển đa truy nhập (MAC layer), lớp truyền dẫn (Transmission) và lớp vật lý (Physical) Các lớp này tương đương với hai

lớp dưới của mô hình OSI và được tiêu chuẩn hoá để có thể giao tiếp với nhiều ứng dụng lớp trên như mô tả ở hình dưới đây[35].

Hai phiên bản của WiMAX được đưa ra như sau:

802.16-2004, được thiết kế cho loại truy nhập cố định và lưu động Trong phiên bản này sử dụng kỹ thuật ghép kênh phân chia theo tần số trực giao OFDM (Orthogonnal Frequency Division Multiple) hoạt động trong cả môi trường nhìn thẳng – LOS (line-of-sight) và không nhìn thẳng – NLOS (Non-line-of-sight) Sản phẩm dựa trên tiêu chuẩn này hiện tai đã được cấp chứng chỉ

và thương mại hóa

802.16e, được thiết kế cho loại truy cập xách tay và di động về cơ bản, tiêu chuẩn 802.16e được phát triển trên cơ sở sửa đổi tiêu chuẩn IEEE 802.16-2004 để tối ưu cho các kênh vô tuyến di động, cung cấp khả năng chuyển vùng – handoff và chuyển mạng – roaming Tiêu chuẩn này sử dụng phương thức đa truy cập ghép kênh chia tần số trực giao OFDMA (Orthogonnal Frequency Division Multiple Access) – là sự phối hợp của

kỹ thuật ghép kênh và kỹ thuật phân chia tần số có tính chất trực giao, rất phù hợp với môi trường truyền dẫn đa đường nhằm tăng thông lượng cũng như dung lượng mạng, tăng độ linh hoạt trong việc quản lý tài nguyên, tận dụng tối đa phổ tần, cải thiện khả năng phủ sóng với các loại địa hình đa dạng

Thực tế WiMax hoạt động tương tự WiFi nhưng ở tốc độ cao và khoảng cách lớn hơn rất nhiều cùng với một số lượng lớn người dùng Một hệ thống WiMax gồm 2 phần:

• Trạm phát: giống như các trạm BTS trong mạng thông tin di động với công suất lớn có thể phủ sóng một vùng rộng tới 8000km2

• Trạm thu: có thể là các anten nhỏ như các Card mạng cắm vào hoặc được thiết lập sẵn trên Mainboard bên trong các máy tính, theo cách mà WiFi vẫn dùng

Hình 1.1: Cấu trúc hệ thống wimax

Hình 1.2: Mô hình truyền thông của Wimax

.

Các trạm phát BTS được kết nối tới mạng Internet thông qua các đường truyền tốc độ cao dành riêng hoặc có thể được nối tới một BTS khác như một trạm trung chuyển bằng đường truyền thẳng (line of sight), và chính vì vậy WiMax có thể phủ sóng đến những vùng rất xa

Các anten thu/phát có thể trao đổi thông tin với nhau qua các tia sóng truyền thẳng hoặc các tia phản xạ Trong trường hợp truyền thẳng, các anten được đặt cố định trên các điểm cao, tín hiệu trong trường hợp này ổn định và tốc

độ truyền có thể đạt tối đa Băng tần sử dụng có thể dùng ở tần số cao đến 66GHz vì ở tần số này tín hiệu ít bị giao thoa với các kênh tín hiệu khác và băng thông sử dụng cũng lớn hơn Đối với trường hợp tia phản xạ, WiMax sử dụng băng tần thấp hơn, 2-11GHz, tương tự như ở WiFi, ở tần số thấp tín hiệu dễ dàng vượt qua các vật cản, có thể phản xạ, nhiễu xạ, uốn cong, vòng qua các vật thể để đến đích

WiMAX đã được phát triển và khắc phục được những nhược điểm của các công nghệ truy cập băng rộng trước đây, cụ thể:

o Cấu trúc mềm dẻo: WiMAX hỗ trợ các cấu trúc hệ thống bao gồm điểm – đa điểm, công nghệ lưới (mesh) và phủ sóng khắp mọi nơi Điều

khiển truy nhập môi trường – MAC, phương tiện truyền dẫn hỗ trợ điểm –

đa điểm và dịch vụ rộng khắp bởi lập lịch một khe thời gian cho mỗi trạm

di động (MS) Nếu có duy nhất một MS trong mạng, trạm gốc (BS) sẽ liên lạc với MS trên cơ sở điểm – điểm Một BS trong một cấu hình điểm – điểm có thể sử dụng anten chùm hẹp hơn để bao phủ các khoảng cách xa hơn

o Chất lượng dịch vụ QoS: WiMAX có thể được tối ưu động đối với hỗn hợp lưu lượng sẽ được mang Có 4 loại dịch vụ được hỗ trợ: dịch vụ cấp phát tự nguyện (UGS), dịch vụ hỏi vòng thời gian thực (rtPS), dịch vụ hỏi vòng không thời gian thực (nrtPS), nỗ lực tốt nhất (BE)

o Triển khai nhanh, chi phí thấp: So sánh với triển khai các giải pháp

có dây, WiMAX yêu cầu ít hoặc không có bất cứ sự xây dựng thiết lập bên ngoài Ví dụ, đào hố để tạo rãnh các đường cáp thì không yêu cầu Ngoài ra, dựa trên các chuẩn mở của WiMAX, sẽ không có sự độc quyền về tiêu chuẩn này, dẫn đến việc cạnh tranh của nhiều nhà sản xuất, làm cho chi phí đầu tư một hệ thống giảm đáng kể

o Dịch vụ đa mức: Cách thức nơi mà QoS được phân phát nói chung dựa vào sự thỏa thuận mức dịch vụ (SLA - Service-Level Agreement) giữa nhà cung cấp dịch vụ và người sử dụng cuối cùng Chi tiết hơn, một nhà cung cấp dịch vụ có thể cung cấp các SLA khác nhau tới các thuê bao khác nhau, thậm chí tới những người dùng khác nhau sử dụng cùng MS Cung cấp truy nhập băng rộng cố định trong những khu vực đô thị và ngoại ô, nơi chất lượng cáp đồng thì kém hoặc đưa vào khó khăn, khắc phục thiết bị số trong những vùng mật độ thấp nơi mà các nhân tố công nghệ và kinh tế thực hiện phát triển băng rộng rất thách thức

o Tính tương thích: WiMAX được xây dựng để trở thành một chuẩn quốc tế, tạo ra sự dễ dàng đối với người dùng cuối cùng để truyền tải và sử dụng MS của họ ở các vị trí khác nhau, hoặc với các nhà cung cấp dịch vụ khác nhau Tính tương thích bảo vệ sự đầu tư của một nhà vận hành ban đầu vì nó có thể chọn lựa thiết bị từ các nhà đại lý thiết bị

o Di động: IEEE 802.16e bổ sung thêm các đặc điểm chính hỗ trợ khả năng di động Những cải tiến lớp vật lý OFDM (ghép kênh phân chia tần số trực giao) và OFDMA (đa truy nhập phân chia tần số trực giao) để hỗ trợ các thiết bị và các dịch vụ trong một môi trường di động Những cải tiến này, bao gồm OFDMA mở rộng được, MIMO (Multi In Multi Out - nhiều đầu vào nhiều đầu ra), và hỗ trợ đối với chế độ idle/sleep và handoff, sẽ cho phép khả năng di động đầy đủ ở tốc độ tới 160 km/h Mạng WiMAX di động cho phép người sử dụng có thể truy cập Internet không dây băng thông rộng tại bất cứ đâu có phủ sóng WiMAX

o Hoạt động NLOS: Khả năng họat động của mạng WiMAX mà không đòi hỏi tầm nhìn thẳng giữa BS và MS Khả năng này của nó giúp

các sản phẩm WiMAX phân phát dải thông rộng trong một môi trường NLOS.

o Phủ sóng rộng hơn: WiMAX hỗ trợ động nhiều mức điều chế, bao gồm BPSK, QPSK, 16QAM, 64QAM Khi yêu cầu với bộ khuếch đại công suất cao và hoạt động với điều chế mức thấp (ví dụ BPSK hoặc QPSK) Các

hệ thống WiMAX có thể phủ sóng một vùng địa lý rộng khi đường truyền giữa BS và MS không bị cản trở Mở rộng phạm vi bị giới hạn hiện tại của WLAN công cộng (hotspot) đến phạm vi rộng (hotzone) Ở những điều kiện tốt nhất có thể đạt được phạm vi phủ sóng 50 km với tốc độ dữ liệu bị

hạ thấp (một vài Mbit/s), phạm vi phủ sóng điển hình là gần 5 km với CPE (NLOS) trong nhà và gần 15km với một CPE được nối với một anten bên ngoài (LOS)

o Dung lượng cao: Có thể đạt được dung lượng 75 Mbit/s cho các trạm gốc với một kênh 20 MHz trong các điều kiện truyền sóng tốt nhất

o Bảo mật: Bằng cách mã hóa các liên kết vô tuyến giữa BS và MS,

sử dụng chuẩn mã hóa tiên tiến AES, đảm bảo sự toàn vẹn của dữ liệu trao đổi qua giao diện vô tuyến Cung cấp cho các nhà vận hành với sự bảo vệ mạnh chống lại những hành vi đánh cắp dịch vụ

1.3 CÁC CHUẨN CỦA WiMAX

1.3.1 Chuẩn IEEE 802.16 - 2001

Chuẩn IEEE 802.16-2001 được hoàn thành vào tháng 10/2001 và được công

bố vào 4/2002, định nghĩa đặc tả kỹ thuật giao diện không gian WirelessMAN™ cho các mạng vùng đô thị Đặc điểm chính của IEEE 802.16 – 2001:

 Giao diện không gian cho hệ thống truy nhập không dây băng rộng

cố định họat động ở dải tần 10 – 66 GHz, cần thỏa mãn tầm nhìn thẳng

 Lớp vật lý PHY: WirelessMAN-SC

 Tốc độ bit: 32 – 134 Mbps với kênh 28 MHz

 Điều chế QPSK, 16 QAM và 64 QAM

 Các dải thông kênh 20 MHz, 25 MHz, 28 MHz

 Bán kính cell: 2 – 5 km

 Kết nối có định hướng, MAC TDM/TDMA, QoS, bảo mật

1.3.2 Chuẩn IEEE 802.16a

Vì những khó khăn trong triển khai chuẩn IEEE 802.16, hướng vào việc sử dụng tần số từ 10 – 66 GHz, một dự án sửa đổi có tên IEEE 802.16a đã được hoàn thành vào tháng 11/2002 và được công bố vào tháng 4/2003 Chuẩn này được mở rộng hỗ trợ giao diện không gian cho những tần số trong băng tần 2–11 GHz, bao gồm cả những phổ cấp phép và không cấp phép và không cần thoả mãn điều kiện tầm nhìn thẳng Đặc điểm chính của IEEE 802.16a như sau:

 Bổ sung 802.16, các hiệu chỉnh MAC và các đặc điểm PHY thêm vào cho dải 2 – 11 GHz (NLOS).

 Tốc độ bit: tới 75Mbps với kênh 20 MHz

 Điều chế OFDMA với 2048 sóng mang, OFDM 256 sóng mang, QPSK, 16 QAM, 64 QAM

 Dải thông kênh có thể thay đổi giữa 1,25MHz và 20MHz

 Bán kính cell: 6 – 9 km

 Lớp vật lý PHY: WirelessMAN-OFDM, OFDMA, SCa

 Các chức năng MAC thêm vào: hỗ trợ PHY OFDM và OFDMA,

hỗ trợ công nghệ Mesh, ARQ

1.3.3 Chuẩn IEEE 802.16 - 2004

Tháng 7/2004, chuẩn IEEE 802.16 – 2004 hay IEEE 802.16d được chấp thông qua, kết hợp của các chuẩn IEEE 802.16 – 2001, IEEE 802.16a, ứng dụng LOS ở dải tần số 10 - 66 GHz và NLOS ở dải 2 - 11 GHz Khả năng vô tuyến bổ sung như là “beam forming” và kênh con OFDM

1.3.4 Chuẩn IEEE 802.16e

Đầu năm 2005, chuẩn không dây băng thông rộng 802.16e với tên gọi Mobile WiMAX đã được phê chuẩn, cho phép trạm gốc kết nối tới những thiết bị đang di chuyển Chuẩn này giúp cho các thiết bị từ các nhà sản xuất này

có thể làm việc, tương thích tốt với các thiết bị từ các nhà sản xuất khác 802.16e họat động ở các băng tần nhỏ hơn 6 GHz, tốc độ lên tới 15 Mbps với kênh 5 MHz, bán kính cell từ 2 – 5 km

WiMAX 802.16e có hỗ trợ handoff và roaming Sử dụng SOFDMA, một công nghệ điều chế đa sóng mang Các nhà cung cấp dịch vụ mà triển khai 802.16e cũng có thể sử dụng mạng để cung cấp dịch vụ cố định 802.16e hỗ trợ cho SOFDMA cho phép số sóng mang thay đổi, ngoài các mô hình OFDM và OFDMA Sự phân chia sóng mang trong mô hình OFDMA được thiết kế để tối thiểu ảnh hưởng của nhiễu phía thiết bị người dùng với anten đa hướng Cụ thể hơn, 802.16e đưa ra hỗ trợ cải tiến hỗ trợ MIMO và AAS, cũng như các handoff cứng và mềm Nó cũng cải tiến các khả năng tiết kiệm công suất cho các thiết bị

di động và các đặc điểm bảo mật linh hoạt hơn

802.16 802.16-2004 802.16-2005Tình

nhìn thẳng

Cố định, không nhìn thẳng (NLOS)

Cố định và di động, không nhìn thẳng (NLOS)

(LOS)Cấu trúc

lớp MAC

Điểm – đa điểm, mạng lưới

Điểm – đa điểm, mạng

lưới Điểm – đa điểm, mạng lưới

Đơn sóng mang, 256 OFDM hoặc S-OFDM với

Khối TDM/TDMA/OFD

MA

Khối TDM/TDMA/OFD

MASong

WirelessMAN-SCa, WirelessMAN-OFDM, WirelessMAN-OFDMA

Xử lý

WiMAX Không 256-OFDM như là WiMAX cố định S-OFDMA như là WiMAX di động

1.4 Lớp con bảo mật trong Wimax

Lớp con bảo mật được định nghĩa trong IEEE 802.16e, và hiệu chỉnh cho các hoạt động của 802.16-2004, có một số hố bảo mật (như việc nhận thực của BS) và các yêu cầu bảo mật cho các dịch vụ di động không giống như cho các dịch vụ cố định Lớp con này bao gồm hai giao thức thành phần sau:

• Giao thức đóng gói dữ liệu (Data Encapsulation Protocol): Giao thức

này dùng cho việc bảo mật gói dữ liệu truyền qua mạng BWA cố định Giao thức này định nghĩa tạo một tập hợp các bộ mật mã phù hợp, như

kết hợp giữa mó húa dữ liệu và thuật toỏn nhận thực, và quy luật ỏp dụng thuật toỏn cho tải tin PDU của lớp MAC.

• Giao thức quản lớ khúa (Key Management Protocol): Giao thức này cung

cấp phõn phối khúa bảo mật dữ liệu từ BS tới SS.Qua giao thức quản lớ khúa thỡ SS và BS được đồng bộ về khúa dữ liệu Thờm vào đú, BS cũng

sử dụng giao thức để truy nhập với điều kiện bắt buộc tới cỏc mạng dịch

vụ 802.16e triển khai định nghĩa được PKM phiờn bảo 2 với cỏc đặc tớnh

mở rộng

2 Khái niệm an ninh mạng

2.1.1 Các vấn đề về an ninh mạng:

+ Xác thực (Authentication): là khả năng của các bên tham gia giao tiếp bao

gồm các nhà khai thác mạng và ngời sử dụng chứng thực lẫn nhau

+ Trao quyền (Authorization): là khả năng của một bên (ví dụ nhà cung cấp

mạng) quyết định xem liệu một ngời sử dụng nào đó có đợc cho phép

truy nhập vào một mạng cụ thể nào đó hay các dịch vụ mạng hoặc các

thông tin của mạng hay không Trao quyền đợc xem nh là điều khiển

truy nhập mạng

+ Tính toàn vẹn (Integrity):liên quan đến việc bảo vệ thông tin khỏi những

thay đổi không đợc phép

+ Sự bí mật (Confidentiality hay Privacy ): Sự bí mật thông tin là giữ cho

các thông tin cá nhân đợc bí mật để chỉ có những ngời dùng đợc trao

quyền mới có thể hiểu đợc Sự bí mật đạt đợc bằng phơng pháp bảo

mật

+ Sự sẵn sàng (Availability ): Các nhà khai thác mạng cần ngăn cản những

ngời dùng hiểm độc khỏi những cuộc truy nhập giả mạo để mạng luôn

sẵn sàng phục vụ những ngời dùng hợp pháp

+ Không thể phụ nhận (Nonrepudiation): là khả năng của mạng cung cấp những chứng thực không thể phủ nhận để chứng minh việc truyền tin và

truy nhập mạng đợc thực hiện bởi một ngời dùng nào đó

2.1.2 Các cuộc tấn công an ninh

Các cuộc tấn công an ninh có hai loại: tấn công thụ động (pasive attacks)

và tấn công chủ động (active attacks)

cho những hệ thống bị tấn công Những cuộc tấn công này chỉ là việc nghe trộm (eavesdrops) hay giám sát và phân tích lu lợng mạng Bản chất của

những cuộc tấn công kiểu này khó phát hiện

thông tin, gây gián đoạn việc trao đổi thông tin và tạo dựng những thông

điệp giả

Các cuộc tấn công kiêu này gồm có:

+Cuộc tấn công gây từ chối dịch vụ (Denial of service): Một cuộc tấn

công từ chối dịch vụ sẽ tìm cách để ngăn cản một dịch vụ nào đó đợc phép phục

vụ một hay nhiều ngời dùng và gây ra việc gián đoạn đáng kể tới các dịch vụ

Ví dụ một kẻ tấn công có thể khởi động một số lợng lớn các kết nối và gây ra sự

quá tải làm cho việc cung cấp các dịch vụ là không thể hoặc khó khăn hơn, và

nh vậy những ngời sử dụng hợp pháp sẽ bị từ chối truy nhập mạng

+Sự giả mạo Masquerade: Một kẻ tấn công trớc hết sẽ cố gắng nắm bắt

đợc những thông tin nhận dạng ngời dùng hợp pháp Sau đó chúng sẽ giả mạo

ngời dùng đã dù đợc trao quyền này để truy nhập vào mạng nắm bắt thông tin

và các tài nguyên khác

+Cuộc tấn công của kẻ thứ ba (Man in the middle): Vị trí của kẻ tấn công

nằm ở giữa những bên tham gia liên lạc, chúng sẽ nắm bắt thông tin, điều khiển

các thông điệp giữa các bên tham gia liên lạc Ví dụ kẻ tấn công có thể làm trễ,

điều chỉnh hoặc giả mạo thông điệp Kẻ tấn công cũng có thẻ phân phát thông

điệp đó tới những vị trí khác trớc khi chuyển chúng đến các bên tham gia liên

lạc Đặc điểm của những cuộc tấn công kiểu này là trớc khi cuộc tấn công bị

phát hiện những bên tham gia liên lạc hợp pháp vẫn tin rằng họ đang trao đổi

thông tin trực tiếp với nhau

+ Cuộc tấn công lặy lại (repaly): Kẻ tấn công nắm đợc và ghi lại phiên

liên lạc hợp pháp, sau đó kẻ tấn công sẽ tạo ra (gửi lại) một cuộc trao đổi thông

tin khác với những thông tin lấy đợc lúc trớc Sử dụng những cuộc tấn công

replay kẻ tấn công có thể cản trở nhng ngời dùng đã đợc trao quyền truy nhập vào mạng hay trao đổi thông tin thậm chí ngay cả khi những thông tin liên lạc

này đã đợc bảo mật và cả khi kẻ tấn công không biết về về khoá an ninh cần

thiết để giải mã những thông tin nắm đợc Ví dụ kẻ tấn công có thể bật lại một

phiên liên lạc trắng để sao chép lại phiên liên lạc trớc đó

2.2 Phân tích an ninh mạng WiMAX

2.2.1 Những điểm yếu về mặt giao thức

Lỗ hổng an ninh xảy ra ở cả lớp vật lý và lớp MAC của mạng 802.16 Vì

an ninh mạng nằm ở lớp MAC nên mạng không có sự bảo vệ chống lại các cuộc

tấn công ở mức vật lý Một dạng tấn công điển hình là Water Tortune Đây là

dạng tấn công mà kẻ tấn công gửi đi một chuỗi các khung làm giảm năng lợng

của bên thu Một dạng tấn công khác là dạng tấn công gây tắc nghẽn phổ vô

tuyến Sử dụng cuộc tấn công này sẽ gây ra sự từ chối dịch vụ đối với các bên

tham gia mạng Tuy nhiên các cuộc tấn công này dễ dàng bị phát hiện bằng các

thiết bị giám sát phổ

2.2.1.1 Thiếu sự xác thực hai chiều

Một điểm yếu rõ ràng trong việc thiết kế an ninh cho mạng 802.16 là thiếu

chứng nhận BS Vì trong quá trình trao quyền xác thực không có sự xác thực của

BS với SS nên SS không thể biết đợc nó đang giao tiếp với một BS thật hay một

BS giả mạo Do vậy cách khắc phục duy nhất là đa ra một sơ đồ xác thực khác

trong đó có sự xác thực hai chiều giữa BS và SS Sự xác thực hai chiều là một yêu

cầu cho bất kỳ một mạng không dây nào

2.2.1.2 Lỗi trong quản lý khóa

Ta biết rằng khóa TEK có 2 bít nhận dạng khóa nh vậy với 2 bít này có

thể tạo ra 4 khóa không trùng nhau Nh vậy số bít nhận dạng khóa là quá ít, nó

không thể bảo vệ chống lại các cuộc tấn công lặp lại

2.2.1.3 Lỗi trong việc bảo vệ dữ liệu

Chuẩn 802.16 sử dụng DES trong mô hình CBC CBC yêu cầu vector khởi

đầu IV phải là ngẫu nhiên để đảm bảo an toàn cho mô hình Vector khởi đầu

trong mạng 802.16 đợc tạo ra bằng cách XOR vector khởi đầu SA với nội dung

trờng đồng bộ lớp vật lý lấy từ phần GMH gần nhất Trong khi đó vector khởi

đầu SA là không đổi và đợc công khai trong TEK của nó và trờng đồng bộ vật

lý cũng biết trớc do đó giá trị vector MPDU là biết trớc Vậy mạng 802.16

không cung cấp sự xác thực dữ liệu

2.2.2 So sánh một số nhợc điểm an ninh trong mạng WiFi và WiMAX

Chuẩn IEEE 802.11 là một trong những mạng không dây đang rất phổ biến

hiện nay, vì vậy chuẩn này thu hút nhiều sự quan tâm để tìm ra những điểm yếu

của nó Không may mắn khi 802.11 đã đợc chứng minh có một số điểm yếu

đáng kể Những lỗ hổng an ninh đã đợc đa ra bởi các chuyên gia, các hacker,

cracker, và thậm chí từ những ngời sử dụng Một số loại đã đợc biết đến nh

những điểm yếu trong triển khai mạng, bảo mật yếu, hay các cuộc tấn công gây

từ chối dịch vụ

Chúng ta sẽ tìm hiểu một số điểm yếu của 802.11 đã đợc công bố

và tìm hiểu xem liệu những điểm yếu này có còn tồn tại trong 802.16 hay không

Những điểm yếu của 802.11 đợc chia thành hai dạng chính: điểm yếu nhận

dạng và điểm yếu điều khiển truy nhập môi trờng

Điểm yếu nhận dạng: xảy ra trong quá trình điều khiển xác thực bị lỗi và

các thông điệp mang tin tức Chuẩn 802.11 không có cơ chế xác thực bên gửi

mạnh trong lớp MAC, do đó các trạm nhận đợc thông điệp không thể xác định

ai đã gửi thông điệp này, và nếu thông điệp không bị sửa đổi và đợc gửi bởi một

địa chỉ đợc xem là hợp pháp thì trạm thu sẽ nhận nó và coi nh một thông điệp

gốc Kết quả là các thông điệp điều khiển lớp MAC khác có thể bị sử dụng bởi những kẻ tấn công để khai thác những điểm yếu khác

Điểm yếu điều khiển truy nhập môi trờng: xảy ra ở môi trờng truyền

dẫn ẽ dạng này có hai loại tấn công Trong cuộc tấn công đầu tiên, cơ chế lắng nghe sóng mang lớp vật lý bị tấn công bằng cách kẻ tấn công gửi đi các gói tin

ngắn liên tiếp nhau và sau đó tất cả các nút sẽ tin rằng môi trờng đã bị sử dụng

bởi một nút khác Tất cả các nút khác sẽ lắng nghe môi trờng và đợi cho đến

lợt mình, nhng sẽ không bao giờ đến lợt nó vì kẻ tấn công liên tục truyền tin

Trong cuộc tấn công thứ hai, việc thực hiện sẽ khó hơn rất nhiều Kẻ tấn công sẽ

gửi rất ít các gói tin trái ngợc với cuộc tấn công trớc nhng kẻ tấn công sử

dụng một trờng chiều dài giả trong gói tin, và bằng cách này hắn có thể đạt

đợc khoảng thời gian truyền tin dài hơn Trong khi kẻ tấn công truyền tin, các

nút bị tấn công thậm chí sẽ không sử dụng cơ chế lắng nghe môi trờng để xem

môi trờng có bận hay không Các nút bị tấn công sẽ tính theo từng mili giây cho

đến khi quá trình truyền tin của kẻ tấn công kết thúc nhng đó sẽ là một khoảng

thời gian rất dài

2.2.2.1 Cuộc tấn công hủy bỏ xác thực (Deauthentication Attack)

*802.11

Các cuộc tấn công trong quá trình hủy bỏ xác thực đợc thực hiện gần nh

hoàn hảo do có thừa hởng điểm yếu nhận dạng Trong mạng 802.11, khi một

nút mới muốn gia nhập mạng, nó cần thực hiện quá trình xác thực và quá trình

liên kết sau đó sẽ đợc cho phép truy nhập mạng

Có hai loại xác thực trong 802.11: Open, trong cơ chế này bất kỳ một nút

nào cũng có thể gia nhập mạng và Shared Key, ở cơ chế này nút nào muốn gia

nhập mạng phải biết đợc mật khẩu của mạng Sau quá trình xác thực, các nút sẽ

chuyển sang quá trình liên kết và sau đó nó có thể trao đổi dữ liệu và quảng bá

trên toàn mạng Trong quá trình xác thực và liên kết chỉ có rất ít các khung dữ

liệu, quản lý và điều khiển đợc phép phát đi Một trong những thông điệp đó là

thông điệp cho phép các nút có thể hủy bỏ sự xác thực từ một nút khác Thông

điệp này đợc sử dụng khi một nút muốn chuyển sang một mạng không dây

khác Ví dụ nh trong cùng một vùng tồn tại nhiều mạng không dây khác nhau

thì thông điệp này sẽ đợc sử dụng Khi một nút nhận đợc thông điệp này, nó sẽ

loại bỏ bản thân nó ra khỏi mạng và trở về trạng thái cơ bản.

Trong cuộc tấn công vào quá trình hủy bỏ xác thực này, kẻ tấn công sử

dụng một nút để tìm ra địa chỉ của điểm truy nhập (AP) đang điều khiển mạng

Điều này có nghĩa rằng AP là một phần của mạng để kết nối mạng hữu tuyến với

mạng LAN vô tuyến Không khó khăn gì trong quá trình tìm ra địa chỉ của AP vì

AP không sử dụng một phơng pháp bảo mật nào Một vài AP không quảng bá

địa chỉ của nó trong mạng, nhng địa chỉ của nó có thể tìm thấy nếu lắng nghe tất

cả các lu lợng giữa AP đó với các nút khác Thông thờng địa chỉ của AP chỉ

dùng để cho phép thuê bao tìm ra từ một mạng nào đó mà nó muốn hủy bỏ sự

xác thực khỏi mạng và địa chỉ của AP này không cần sử dụng trong quá trình xác

thực do vậy AP không phải lo lắng về sự xuất hiện ẩn của nó

Khi kẻ tấn công nhận đợc địa chỉ của AP, hắn sẽ sử dụng địa chỉ quảng

bá mặc định và gửi thông điệp hủy bỏ xác thực tới tất cả các nút nó có thể

Những nút này nhận đợc thông điệp ngay lập tức sẽ ngừng giao tiếp với mạng

Bớc tiếp theo là tất cả các nút bị hủy bỏ xác thực sẽ cố gắng kết nối lại, trao

quyền lại và liên kết lại với AP Việc phát lại thông điệp hủy bỏ xác thực này sẽ

khiến mạng ngừng hoạt động hoàn toàn

Theo cách nh vậy, các thông điệp khác đợc sử dụng trong 802.11 có thể

bị lợi dụng gây ra các vấn đề tơng tự Ví dụ nh thông điệp hủy bỏ liên kết Tuy

nhiên kiểu tấn công này không hiệu quả đối với kẻ tấn công vì hắn phải giả mạo

nhiều thông điệp Một thực tế là có nhiều thông điệp khác có thể sử dụng để thực hiện các cuộc tấn công kiểu này và những cuộc tấn công đó đều đợc gọi chung

là cuộc tấn công hủy bỏ xác thực

Có 3 điểm khiến cho các cuộc tấn công kiểu này có thể thực hiện đợc là:

thứ nhất các thông điệp hủy bỏ xác thực không đợc chứng thực, ngoại trừ kiểm

tra về mặt logic địa chỉ nguồn của thông điệp Thứ hai là không có sự bảo mật

nào để bảo vệ các thông tin đợc dùng trong thông điệp, vì vậy kẻ tấn công có

thể dễ dàng tìm thấy các thông tin Thứ ba các nút nhận đợc các thông điệp giả

này sẽ chấp nhận nó mà không chú ý đến thời gian nó đợc gửi đi

*802.16

Giống nh 802.11 trong 802.16 các thông điệp lớp MAC đợc sử dụng

theo cách tơng tự Trớc tiên một thông điệp Reset Command (RES-CMD) đợc trạm phát sóng

BS gửi đi tới một thuê bao SS cụ thể để sau đó xác lập lại bản thân

nó Khi SS nhận đợc thông điệp này nó sẽ khởi tạo lại địa chỉ MAC của nó và cố

gắng lặp lại quá trình truy nhập hệ thống ban đầu BS cũng có thể gửi De/Re-

register Command (DREGCMD) tới SS để SS thay đổi trạng thái truy nhập

Thông điệp này đợc gửi đi khiến SS dời bỏ kênh truyền dẫn Trái ngợc

với IEEE 802.11, IEEE 802.16 có sự bảo vệ bên trong chống lại sự lạm dụng

những lệnh này Cơ chế bảo vệ đầu tiên đợc sử dụng là Hashed Message

Authentication Code (HMAC) mã xác thực đa năng đợc tính toán sử dụng thông

điệp gốc và khóa bí mật dùng chung Trong 802.16 giá trị 160 bit Hash đợc

thêm vào thông điệp gốc

Hình 2.4: Tấn công bằng thông điệp RES-CMD

Khi bên thu nhận đợc thông điệp sẽ tính toán lại Hash sử dụng thông điệp

nhận đợc và khóa bảo mật chúng đã biết Sau đó bên thu sẽ so sánh Hash nhận đợc với Hash tính đợc, nếu chúng giống nhau thì có nghĩa là hai bên đều có

chung một khóa bí mật

Từ trớc đến nay 802.16 đợc xem nh không thể xảy ra các cuộc tấn

công hủy bỏ xác thực vì khóa dùng chung giữa BS và SS đợc xem là bí mật Khi

chúng ta xem xét 802.11 thì thấy điều này là không thể thực hiện đợc vì những

lỗ hổng an ninh trong thuật toán WEP Khi lỗ hổng này đợc công bố cơ chế xác

thực đợc xem nh không còn hiệu quả Sự khác biệt của 802.16 là chuẩn mật

mã đợc sử dụng mạnh hơn WEP

802.16 có hai sự lựa chọn là Triple- DES với khóa 128 bít hay RSA với

khóa 1024 bít Vấn đề thứ hai là thuật toán Hash key là phơng pháp bảo mật

mạng mẽ Điều này có nghĩa là kẻ tấn công sẽ không thể tạo ra Hash đúng

2.2.2.2 Cuộc tấn công lặp lại (Replay attack)

*802.11

Khi chúng ta sử dụng thuật ngữ tấn công lặp lại, chúng ta ngụ ý một cuộc

tấn công mà kẻ tấn công chỉ cần nắm bắt đợc một số thông tin hợp pháp và sử

dụng lại nó, và thông tin ở đây ám chỉ một thông điệp Kẻ tấn công không cần

phải thay đổi thông điệp chỉ cần phát lại thông điệp ấy vào khoảng thời gian thỏa

đáng

Trong mạng 802.11 các cuộc tấn công lặp lại hầu hết đều tạo ra sự từ chối

dịch vụ Bởi vì các nút nhận đợc thông điệp và coi là hợp pháp, cho rằng băng

thông đã đợc sử dụng hết và sẽ tính toán thời gian giải mã thông điệp để sau đó

nó lại tích cực lại Điểm yếu của 802.11 khiến nó nhạy cảm với các cuộc tấn

công kiểu này vì nó thiếu sự đánh dấu thứ tự thông điệp, bên cạnh đó cũng không

có một phơng pháp nào để phát hiện và loại bỏ các cuộc tấn công kiểu này

*802.16

Trong 802.16 kẻ tấn công nắm bắt toàn bộ thông điệp (bao gồm cả

HMAC) và phát lại thông điệp mà không có một sự sửa đổi nào Trong khi

HMAC chỉ đảm bảo rằng không có sự thay đổi nào trong thông điệp chứ không

cung cấp cho chúng ta bất kỳ thông tin nào khác Chỉ có bên gửi và nội dung thông điệp

là đợc xác thực Nếu kẻ tấn công phát lại thông điệp hắn nắm đợc,

thông điệp sẽ đợc xác thực đúng cách nếu nh khóa bảo mật vẫn còn hiệu lực

Trong 802.16 kẻ tấn công phải cần cả trạm phát sóng BS và thuê bao SS để

thực hiện một cuộc tấn công replay thành công Nếu mạng làm việc trong mô

hình FDD, BS và SS truyền tín hiệu trong những tần số khác nhau, do vậy muốn

tạo ra các cuộc tấn công trong hệ thống FDD kẻ tấn công phải nhận thông tin và

phát lại thông tin đó trên cùng tần số

HMAC đợc đa ra chỉ đảm bảo rằng thông điệp đợc gửi đi không bị

thay đổi, nên khả năng thông điệp bị sử dụng lại là hoàn toàn có thể, nếu trong

thông điệp không có các tin tức nh nhãn thời gian, số serial

Kẻ tấn công có thể sử dụng Reset Command (RES-CMD) để tạo ra các

cuộc tấn công lặp lại Nó đợc xem nh một thông điệp hoàn hảo cho kẻ tấn

công vì không chứa nhãn thời gian, số serial

Tuy nhiên kẻ tấn công sẽ không thành công vì 802.16 yêu cầu HMAC phải

đợc tính toán sử dụng thông điệp và phần mào đầu lớp MAC HMAC cần đợc

giữ nguyên trong các cuộc tấn công replay

Trong phần mào đầu lớp MAC chứa CID của SS, CID này có thể đợc thiết

lập lại Sau khi thiết lập lại SS sẽ có một CID mới đợc cung cấp bởi BS CID mới

này có 16 bít tức là một BS có thể tạo ra 65536 sự lựa chọn CID khác nhau, và

nh vậy khả năng sử dụng lại CID là rất khó

Thậm chí nếu điều này có thể xảy ra thì SS sẽ dàn xếp một tập các khóa

mới để xác thực thông điệp, do vậy sẽ không có kết quả khi kẻ tấn công cố gắng

thực hiện một cuộc tấn công replay sử dụng RES-CMD Việc sử dụng DREG-

CMD cũng gặp phải những lý do tơng tự Trong khi kẻ tấn công không thành

công trong cuộc tấn công replay thì hoàn toàn có thể thực hiện cuộc tấn công lặp

thông điệp (repeat message), 802.16 không có một cơ chế nào để bảo vệ mình

khỏi các cuộc tấn công kiểu này Vấn đề đặt ra ở đây là các cuộc tấn công này

gây thiệt hại gì cho mạng chứ không phải là liệu nó có thành công hay không

Trong trờng hợp thứ nhất các thông điệp của kẻ tấn công xuất hiện nh

một nguồn nhiễu Nó gây tác động đến hiệu suất của mạng, tuy nhiên với sự thay

đổi của phơng pháp sửa lỗi trớc và điều chế giúp giảm thiệt hại tới mạng

Trong trờng hợp thứ hai vấn đề sẽ lớn hơn Kẻ tấn công sẽ gửi những gói

tin tới BS giả mạo một SS cụ thể nào đó Việc này khiến BS gửi gói tin RES-

CMD tới SS, sau đó SS sẽ ngừng toàn bộ quá trình quảng bá của mình, nó sẽ thiết

lập lại và trở về trạng thái khởi đầu ẽ trạng thái này BS sẽ gửi RES-CMD tới SS

nếu SS không đáp lại BS hoặc BS phát hiện ra có sự bất bình thờng về truyền

dẫn trong tuyến lên từ SS Tuy nhiên chuẩn không chỉ ra cụ thể chính xác những

gì sẽ đợc chỉ định tiếp theo sự bất thờng này Một loạt các điều kiện cụ thể

trong RES-CMD sẽ đợc quyết định bởi nhà sản xuất

2.2.2.3 Giả mạo điểm truy nhập (Access Point Spoof)

*802.11

Giả mạo điểm truy nhập chính là một dạng tấn công man- in- the- middle

Cuộc tấn công kiểu man- in - the - middle là dạng tấn công mà kẻ tấn công ở

giữa hai nút thao túng toàn bộ các lu lợng giữa hai bên Dạng tấn công này rất

nguy hiểm vì kẻ tấn công có thể nắm tất cả các thông tin lu hành trên mạng

Việc thực hiện kiểu tấn công này rất khó trong mạng hữu tuyến vì nó yêu cầu

việc truy nhập thật sự vào môi trờng truyền dẫn Tuy nhiên trong mạng không

dây mọi việc trở nên dễ dàng hơn

Kẻ tấn công chỉ cần thiết lập một AP có khả năng thu hút hơn so với AP

hợp pháp AP giả mạo này có thể đợc tạo ra bằng cách sao chép toàn bộ cấu

hình của một AP hợp pháp nh SSID, địa chỉ MAC v.v B… ớc tiếp theo là làm

cho nạn nhân kết nối với AP giả mạo này Cách thứ nhất là đợi cho đến khi các

nút tự kết nối với nó, cách thứ hai là gây ra từ chối dịch vụ tới tất cả các AP hợp

pháp để ngời dùng sẽ kết nối lại Trong mạng 802.11 việc lựa chọn các AP dựa

vào cờng độ tín hiệu nhận đợc Chỉ có một việc kẻ tấn công có thể thực hiện là

đảm bảo cho AP của nó có cờng độ tín hiệu mạnh hơn tới các nạn nhân

Để đạt đợc điều này có thể đặt vị trí AP của nó gần với nạn nhân hơn AP

hợp pháp, hoặc sử dụng một công nghệ khác nh anten định hớng hay bộ

khuếch đại RF Sau khi nạn nhân kết nối với AP giả mạo này, ngời đó sẽ làm việc nh thể

đang kết nối với một AP hợp pháp và nh vậy mọi tin tức sẽ đợc truyền thông qua AP giả mạo này Kẻ tấn công sau đó sẽ sử dụng mọi tiện ích tạo

ra một web server để nắm bắt mật khẩu khi nạn nhân cố gắng đăng kí vào một

trang giả mạo này Sau đó kẻ tấn công sẽ có tất cả những gì cần thiết để gia nhập

một mạng hợp pháp Các cuộc tấn công này tồn tại trong mạng 802.11 vì mạng

không yêu cầu sự xác thực hai chiều giữa AP và các nút Chứng nhận ủy nhiệm

AP thờng đợc quảng bá trong mạng Điều này khiến cho kẻ tấn công dễ dàng

nghe trộm mạng trong một thời điểm và có đợc tất cả các thông tin cần thiết

WEP đợc sử dụng để các nút tự xác thực chúng với AP nhng WEP còn nhiều

điểm yếu Kẻ tấn công nghe toàn bộ lu lợng và tự giải mã để nắm đợc mật

khẩu

*802.16

Cũng giống nh mạng 802.11 việc giả mạo BS vẫn tồn tại IEEE sử dụng

giao thức PKM với một vài thông điệp đợc trao đổi giữa BS và SS để nhận dạng

lẫn nhau Quá trình xác thực SS đợc thực hiện nh sau: SS gửi thông điệp tới BS

chứa chứng nhận số X509 đợc xác định bởi nhà sản xuất SS gửi trông điệp thứ

hai mà không cần chờ đợi sự phản hồi từ BS Thông điệp thứ hai này cũng chứa

chứng nhận số X509 và khóa chung của SS, khả năng an ninh và SAID của SS

Chứng nhận số đợc sử dụng để BS biết khóa chung của SS để tạo một thông điệp

phản hồi Nếu BS cho phép SS đợc trao quyền nó sẽ đáp lại bằng một thông điệp

thứ ba để khởi tạo SA giữa BS và SS Nhng BS lại không thực hiện xác thực với

SS, vì vậy việc giả mạo BS hoàn toàn có thể

2.2.2.4 Cuộc tấn công vào cơ chế sóng mang lớp vật lý

*802.11

Gây nhiễu tần số là lỗ hổng an ninh tồn tại ở bất cứ mạng không dây nào

Tuy nhiên mức độ nguy hiểm rất khác nhau tùy thuộc vào giao diện lớp vật lý

Một số thông số sẽ quyết định khoảng chấp nhận của mạng nh công suất phát,

độ nhậy của thiết bị thu, tần số RF, băng tần và độ định hớng của anten Mạng

802.11 sử dụng cơ chế truy nhập môi trờng CSMA, đợc thực hiện ở lớp MAC

Cơ chế này dùng để đảm bảo không xảy ra xung đột dữ liệu trên đờng truyền

Nếu một nút muốn truyền tin, trớc tiên nó phải lắng nghe sóng mang để biết

rằng không có một nút nào trên mạng đang truyền tin Nếu không thấy tín hiệu

sóng mang nó mới có thể truyền tin

Có một vài cách để thực hiện các giao thức sóng mang lớp vật lý Cách đơn

giản nhất là làm cho tất cả các nút trong mạng tin rằng có một nút khác đang

truyền dẫn tại thời điểm hiện tại Để đạt đợc điều này chỉ cần tạo ra một nút trái

phép để truyền tin liên tục Cách thứ hai là sử dụng bộ phát sóng RF

*802.16

Chuẩn IEEE 802.16 sử dụng lớp MAC không cạnh tranh, chứ không sử

dụng lắng nghe sóng mang lớp vật lý để điều khiển sự cho phép truyền tin Thực

tế có một vài khe cạnh tranh truyền dẫn tồn tại trong mỗi khung, việc phát hiện

xung đột đợc thực hiện chứ không phải sự tránh xung đột

Bất kỳ một yêu cầu mà SS tạo ra trong khe cạnh tranh sẽ không cần xác

nhận vì nếu có xung đột thì yêu cầu đó sẽ đợc truyền lại trong một khe thời gian

ngẫu nhiên khác Tuy nhiên từ những bài học rút ra từ 802.11, kẻ tấn công sẽ

phải thực hiện một cơ chế để đảm bảo sự cân bằng về hiệu suất sử dụng và phổ

truyền dẫn

Tất cả các trạm thuê bao SS phải nhận đợc UL-MAP để biết về lịch trình

thời gian truyền dẫn, sơ đồ điều chế Do đó kẻ tấn công muốn tấn công vào một

SS cụ thể sẽ phải có đợc các thông tin cần thiết để tạo ra một sự truyền dẫn nguy hiểm mà sẽ xung đột với tuyến uplink hợp pháp Để tấn công vào một SS cụ thể,

kẻ tấn công phải tấn công với công suất tối thiểu bởi vì anh ta có thể rất gần với

tín hiệu RF của SS hợp pháp

Trong trờng hợp này kẻ tấn công sẽ phải đồng bộ với mạng và trải qua

quá trình initial ranging để đạt đợc sự tinh chỉnh về định thời và tần số truyền

tin Việc này rất cần thiết để kẻ tấn công có thể thực sự cạnh tranh với sự truyền

dẫn của nạn nhân trong băng tần định trớc Nếu không thực hiện đồng bộ với sự

truyền dẫn hợp pháp, kẻ tấn công sẽ chỉ cạnh tranh với thuê bao hợp pháp nh

một nguồn nhiễu chứ không phải là một tín hiệu hợp pháp và IEEE 802.16 có

một vài cơ chế để xử lý với nguồn nhiễu trên kênh truyền dẫn

Một kẻ tấn công khi đã đồng bộ với mạng và có đợc UL-MAP anh ta sẽ

phải lựa chọn đích của mình Bởi vì nhiều tuyến truyền dẫn đợc định ra bởi 1

CID, kẻ tấn công sẽ nhận đợc một tập các kết nối chứ không phải một kết nối

của một SS cụ thể và nh vậy kẻ tấn công sẽ không biết chính xác SS nào nó sẽ

tác động đến nên mục đích ở đây sẽ là một tập các kết nối Bớc cuối cùng rất

đơn giản là truyền tin ở một thời điểm định trớc và sơ đồ điều chế biết trớc

Thông điệp đợc gửi đi có thể là thông điệp giả mạo, replayed hay cả hai

Tín hiệu của kẻ tấn công sẽ xung đột với sự truyền dẫn hợp pháp, và nó sẽ không

đợc loại bỏ nh một nguồn nhiễu, sự truyền dẫn nguy hiểm này sẽ cạnh tranh

nh một tín hiệu thông minh Tùy thuộc vào mối quan hệ giữa công suất truyền

dẫn của hai tín hiệu, tín hiệu đợc BS giải mã sẽ là tín hiệu yếu hơn, hay tín hiệu

mà không thể hiểu đợc (unintelligible), hoặc BS sẽ để cho SS thiết lập lại do quá

trình truyền dẫn mà tín hiệu đã bị méo

Cuộc tấn công kiểu này rất có ích cho kẻ tấn công Bởi vì sự tấn công ở

đây rất nhanh gọn và không thể nhận ra sự khác biệt so với các thuê bao hợp

pháp, nó rất khó bị phát hiện Trong quá trình tấn công SS có thể bị loại ra khỏi

mạng, hơn nữa trong quá trình tấn công BS có thể sẽ cung cấp những thông tin

phản hồi tới kẻ tấn công thông qua UL-MAP BS sẽ cố thông tin tới SS bị tấn

công về sự cần thiết chọn sơ đồ điều chế và sửa lỗi trớc mạnh hơn, kẻ tấn công

sẽ sử dụng nhng thông tin này để điều chỉnh công suất thấp nhất để anh ta không bị loại bỏ

2.2.2.5 Giả mạo địa chỉ MAC (MAC Address Spoofing)

Lớp MAC cú thể bị tấn cụng trong quỏ trỡnh xỏc thực hoặc trong quỏ trỡnh truyền dữ liệu trờn cỏc kết nối Trong quỏ trỡnh xỏc thực, BS và SS sử dụng cỏc thụng bỏo quản trị để trao đổi thụng tin Do đú, cỏc thụng bỏo này cú thể bị nghe trộm hoặc bị thay đổi nội dung nếu như khụng được mó húa Trong quỏ trỡnh truyền dữ liệu, luồng lưu lượng cũng cú thể bị nghe trộm hoặc bị mất

*802.11

Trong mạng 802.11 lọc địa chỉ MAC ở AP là một cách ngăn cản ngời

dùng bất hợp pháp truy nhập mạng Bởi lẽ việc giả mạo địa chỉ MAC là rất dễ đối

với kẻ tấn công Trong khi các giá trị mã hóa ở phần cứng là không thay đổi,

hoặc đợc công bố trong những chơng trình cơ sở của các phần cứng có thể sửa

đổi

Hiện nay có rất nhiều chơng trình cho OS khác nhau có thể sửa đổi địa

chỉ MAC đợc thực hiện ở các bộ thích ứng mạng Các thủ tục này rất dễ dàng và có thể đợc thực hiện trong vài phút Thậm chí sau khi việc giả mạo địa chỉ MAC

trở nên phổ biến IEEE 802.11 vẫn sử dụng sơ đồ trao quyền này vì 48 bít địa chỉ

MAC là đủ dài cho những cuộc tấn công brute force Nhng các chơng trình

mới cho phép kẻ tấn công khắc phục khó khăn này Kẻ tấn công lúc này không

cần tìm ra địa chỉ MAC bởi vì địa chỉ MAC sẽ đợc quảng bá trên toàn mạng khi

đợc đa vào chuẩn Vậy là chỉ có một vài gói tin cần thiết sẽ đợc nắm giữ để

có thể lấy đợc địa chỉ MAC và sẽ đợc nhận dạng nh một ngời dùng hợp

pháp

*802.16

Trong mạng 802.16 chuẩn yêu cầu tất cả các bộ thích ứng của mạng phải

có 48 bít địa chỉ MAC đợc chôn tại phần cơ sở Giá trị này đợc sử dụng trong

suốt quá trình initial ranging và xác thực cho BS và SS để nhận dạng lẫn nhau

Các nhà chế tạo cho rằng địa chỉ MAC của 802.16 là không thể giả mạo

Nh đã nói ở trên RNG-REQ mà SS gửi tới BS sẽ có địa chỉ MAC và trong

thông điệp RNG-RSP (Ranging Response) của BS cũng chứa địa chỉ MAC Vì

vậy kẻ nghe lén sẽ phải nắm bắt đợc tuyến lên hoặc xuống để có đợc địa chỉ

MAC của một SS đã đợc trao quyền

Sự khác biệt giữa các thiết bị của 802.11 là kiến trúc khác nhau và vấn đề

giả mạo địa chỉ MAC vẫn là một câu hỏi Hiện nay các sản phẩm WiMAX vẫn

đang đợc phê chuẩn, và đang tồn tại độc lập nên việc sửa đổi địa chỉ MAC sẽ

yêu cầu thay đổi chơng trình cơ sở Đây không phải là một nhiệm vụ dễ dàng,

trừ khi nhà sản xuất cung cấp khả năng tùy chọn

Trong tơng lai khi các sản phẩm của WiMAX không tồn tại độc lập mà

đợc tích hợp với các công nghệ khác thì việc giả mạo địa chỉ MAC sẽ còn nhiều

vấn đề cần nghiên cứu

2.2.3 Những điểm yếu mới trong mạng WiMAX

2.2.3.1 Nền tảng công nghệ của các cuộc tấn công

Để tấn công vào mạng 802.16 kẻ tấn công phải truy nhập vào sự trao đổi

thông tin giữa hai bên có nghĩa là sẽ phải tiêm vào và phát thông điệp cần thiết để

thực hiện cuộc tấn công

Vấn đề đầu tiên là phải tạo ra một thông điệp Vấn đề tiếp theo là tìm đợc

đúng thời điểm để tiêm thông điệp vào mạng Trong chơng này chúng ta sẽ xem

xét các cuộc tấn công đó dễ đến mức nào và liệu nó có phải là vấn đề cần quan

tâm trong mạng hay không

Tạo thông điệp và tiêm vào mạng:

Hầu hết các cuộc tấn công diễn ra trong mạng 802.11 sử dụng thông điệp

tùy chọn để đạt đợc mục đích Tất nhiên trong những ngày đầu của mạng

802.11 không có các chơng trình giúp kẻ tấn công tạo ra thông điệp nh vậy

Việc này mất nhiều thời gian để thử nghiệm

Chuẩn 802.16 là một chuẩn mới vẫn cha đợc thực hiện, nó chỉ đợc thiết

kế và thử nghiêm trên giấy Hiện nay vẫn không có một thiết bị nào sẵn có trên

thị trờng và đợc sử dụng vì vậy các cracker hay các chuyên gia an ninh có thể

tao ra thông điệp tùy ý để tiêm vào mạng Tất nhiên việc này có thể diễn ra trong

các phòng thí nghiệm sản xuất nhng cho đến nay chúng ta không hề biết về vấn

đề này

Trong mạng 802.11 ngời ta tạo ra các khung quản lý bằng các cổng gỡ rối

và lu trữ trong bộ đệm của card mạng Bằng cách này thông điệp tùy chọn sẽ

đợc tiêm vào mạng ngay trớc thời điểm truyền phát và thông điệp sẽ đợc gửi

đi mà không qua quá trình kiểm tra lỗi của phần cứng

Trong mạng 802.16 các điểm truy nhập dịch vụ SAP (Service Acces Point)

đợc dùng để giao tiếp giữa hai giao thức lớp vật lý khác nhau và nó sẽ xác định

những thông điệp nào đợc phép truyền qua Do vậy không thể biết trớc đợc

rằng nó có bị lừa để cho thông điệp tùy ý này đi qua hay không

Nếu các nhà sản xuất tạo ra các sản phẩm và cho phép ngời sử dụng có khả

năng truy nhập kiểu gỡ rối (debug type access) tới phần cứng thì kẻ tấn công sẽ

có cơ hội thực hiện việc này

Thời điểm tiêm thông điệp (Timing to inject the messsage)

Giả sử kẻ tấn công tạo đợc một thông điệp tùy ý, bớc tiếp theo là phải

tiêm đợc vào mạng Vấn đề ở đây không chỉ là tiêm vào mạng mà phải làm thế

nào để nạn nhân biết đợc thông điệp đó và xử lý nó nh một thông điệp thật

(thông điệp hợp pháp) Vấn đề này dờng nh sẽ khó hơn vì không có nhiều

thông điệp quản lý để giả mạo Thứ hai là vấn đề thời điểm tiêm thông điệp Kẻ

tấn công phải tìm ra những thời điểm hở trong một lịch trình và tiêm thông điệp

đúng lúc Ngoài vấn đề đó chúng ta phải nghĩ về sự đồng bộ và rõ ràng là nếu kẻ

tấn công muốn gửi thông điệp từ SS tới BS thì sự trễ lan truyền có thể biết đợc

thông qua quá trình ranging khởi đầu Nhng nếu kẻ tấn công muốn gửi thông

điệp nh một BS anh ta sẽ phải biết đợc trễ lan truyền là bao nhiêu.Vì nếu nạn

nhân nhận đợc thông điệp này trong một thời điểm sai thì sẽ không nhận thông

điệp và loại bỏ nó

Ta biết rằng 802.16 sử dụng hai mô hình vât lý là FDD và TDD ẽ đây

chúng ta sẽ xem sét về thời điểm có thể tiêm thông điệp vào mạng theo hai mô

hình này sẽ xảy ra nh thế nào?

FDD

Trong FDD các kênh hớng lên và kênh hớng xuống làm việc ở tần số khác

nhau và kênh hớng xuống đợc phát đi trong các dạng burst rời rạc Vì tuyến

lên và tuyến xuống đợc lập trình để hỗ trợ bán song công nên có thời điểm kênh

hớng lên và kênh hớng xuống không đợc sử dụng, và đây chính là thời điểm

để kẻ tấn công tiêm thông điệp của anh ta vào mạng ẽ hớng lên tất cả sự truyền

phát đều đã đợc lập lịch trình Tuy nhiên ở hớng xuống BS chỉ chỉ ra sự chuyển

đổi dạng điều chế và sửa lỗi trớc cho SS mà không chỉ ra thời điểm cụ thể mà

một lu lợng từ SS sẽ đợc gửi đi

Tất cả các SS trong mạng luôn phải lắng nghe các tuyến hớng xuống để tìm

kiếm thông điệp đợc gửi cho chúng Do vậy kẻ tấn công có thể tìm ra thời điểm

khi BS không gửi bất kỳ gói tin nào và anh ta có thể gửi thông điệp tùy ý của

mình Một vấn đề nảy sinh là kẻ tấn công có thể gửi thông điệp cùng thời điểm

với BS và do đó sẽ có xung đột xảy ra Nếu lợng tải của mạng ít, anh ta sẽ gây

ra ít xung đột cho đến khi thành công Nhng nếu mạng quá tải BS sẽ không còn

khoảng trống nào giữa các gói tin hớng xuống thì rất khó để kẻ tấn công đạt

đợc mục đích.

TDD

Trong hệ thống TDD có một chút sự khác biệt, không có bất kỳ một khoảng

trống nào ở hớng xuống, toàn bộ các khung con hớng xuống đều đợc điền

đầy bởi sự truyền phát của BS Bất kỳ khung lớp MAC nào ngắn hơn sẽ đợc

nhồi thêm các khung trống (null) để đạt chiều dài cần thiết Sau các tuyến xuống

là các khung con hớng lên, giữa chúng chỉ có một khoảng trống là Tx/Rx Time

Delay Trên tuyến hớng lên có thể có các khe trống Khi sự truyền các khe trống

xảy ra BS gửi thông điệp null ở mức công suất thấp hơn và SS không đợc phép

phát tin ẽ cuối khung hớng lên có một khoảng trống khác trớc khi đến khung

tiếp theo là Rx/Tx Time Delay

Hình 2.5: Vị trí có thể tấn công trong cấu trúc khung TDD

2.2.3.2 Lớp MAC

Trong phần trớc chúng ta chỉ nói về vấn đề thời điểm nhng còn một vấn

đề khác là trạng thái lớp MAC của bên nhận Lớp MAC của 802.16 đợc xem

nh một máy trạng thái hoạt động dựa trên sự chuyển từ trạng thái này sang trạng

thái khác Điều này có nghĩa rằng một lớp MAC có thể loại bỏ một thông điệp đã

xác định là tốt (đợc giả mạo tốt) nếu nó không ở trạng thái đúng để nhận thông

điệp ấy

Ví dụ nh trong quá trình khởi đầu SS gửi đi một yêu cầu trao quyền (Auth

Request) tới BS Sau khi BS kiểm tra anh ta sẽ đáp lại Nếu SS hợp pháp sẽ đợc

tham gia mạng, sau đó BS gửi lại một thông điệp đáp lại trao quyền

(Authorization Reply) chứa khóa trao quyền cùng với các thông tin khác để tiếp

tục xác thực Nếu BS quyết định loại bỏ nó sẽ gửi thông điệp hủy bỏ trao quyền

(Auth Reject) Khi đó SS vẫn ở trạng thái này, và sau một thời gian sẽ cố gắng

trao quyền lại

Ngời ta thờng tin rằng việc loại bỏ trao quyền là một công cụ để tấn công

Bởi vì thông điệp loại bỏ trao quyền không chứa số thứ tự hay nhãn thời gian hay

số HMAC để có thể chứng minh là của BS Kẻ tấn công có thể gửi rất nhiều

thông điệp tới các SS trong mạng Tuy nhiên đây không phải là vấn đề quan tâm

chính vì lớp MAC chỉ ở trong trạng thái này với khoảng thời gian rất ngắn sau

khi gửi thông điệp trao quyền do vậy nếu thông điệp của kẻ tấn công đến không đúng thời

điểm nó sẽ bị loại bỏ ngay

2.2.3.3 Các cuộc tấn công tiềm ẩn trong mạng 802.16

2.2.3.3.1 Cuộc tấn công sử dụng thông điệp RNG-RSP

Đầu tiên khi SS muốn gia nhập mạng nó phải gửi một thông điệp yêu cầu

Ranging (RNG-REQ) Thông điệp này thông báo cho BS về sự hiện diện của SS

và yêu cầu các thông số nh thời điểm truyền phát, công suất, tần số và các

thông tin trong burst profile, thông điệp này đợc SS gửi đi theo chu kỳ BS đáp

lại bằng một thông điệp RNG-RSP Trong các phiên bản cũ của 802.16 SS gửi

thông điệp này theo chu kỳ Nếu SS không hoàn thành quá trình ranging theo chu kỳ nó sẽ bị loại khỏi mạng và phải thực hiện quá trình gia nhập mạng ban đầu

Tuy nhiên phiên bản 802.16a không yêu cầu SS phải gửi thông điệp này theo

định kỳ, thay vào đó SS có thể nhận bất cứ thông điệp nào từ phía BS và sử dụng

nó để điều chỉnh ranging Và BS gửi thông điệp RNG-RSP để thông báo cho SS

về sự thay đổi các kênh hớng lên, hớng xuống, mức công suất phát và cũng có

thể sử dụng thông diệp này để hủy bỏ sự truyền dẫn của SS và bắt SS khởi đầu lại

Bảng 2.1: Dạng thông điệp RNG-RSP

Lý do chính khiến thông điệp này trở thành điểm yếu là vì nó không hề

đợc bảo mật Và khi SS nhận đợc thông điệp này nó sẽ hoạt động theo sự chỉ

dẫn trong thông điệp

Có một số cách để sử dụngthông điệp này trong quá trình tấn công nh

sau:

+ Cách 1:kẻ tấn công sử dụng thông điệp này với trờng trạng thái

ranging bằng 2 (Ranging Status) tức là hủy bỏ sự truyền dẫn

hiện tại của SS

+ Cách 2: dịch nạn nhân lên một kênh khác Nếu kẻ tấn công sử dụng

một BS giả mạo ở một kênh riêng thì SS sẽ bị buộc phải giao

tiếp với BS giả mạo này Nếu không có một BS nào trên kênh

đã chỉ ra SS sẽ lại trở lại kênh ban đầu

B¶ng 2.2: C¸c m∙ trong th«ng ®iÖp RNG-RSP

2.2.3.3.2 Cuéc tÊn c«ng vµo th«ng ®iÖp th«ng b¸o quyÒn kh«ng hîp lÖ

Ta biÕt r»ng m¸y tr¹ng th¸i trao quyÒn lµ mét phÇn cña giao thøc PKM

Nh thêng lÖ nã sö dông hai th«ng ®iÖp qu¶n lý PKM-REQ vµ PKM- RSP SS

gửi PKM- REQ tới BS BS đáp lại bằng PKM-RSP.

Bảng 2.3: Dạng thông điệp PKM

Mã thông điệp là một trờng 8 bit để chỉ ra chính xác loại thông điệp

PKM Nếu thông điệp có mã không hợp lý thì sẽ bị loại bỏ

Phần nhận dạng PKM là một trờng 8 bit đợc dùng nh số serial Mỗi lần

PKM- REQ gửi bởi SS phần nhận dạng PKM-REQ sẽ tăng lên một giá trị Khi

BS đáp lại bằng thông điệp PKM -RSP sẽ gồm một phần nhận dạng tơng ứng

với thông điệp nó nhận đợc Nếu SS nhận đợc bất kỳ thông điệp nào có phần

nhận khác yêu cầu đợc gửi đi SS sẽ từ chối

Trờng thuộc tính PKM rất khác nhau tùy theo loại thông điệp PKM

Trờng này thờng chứa thông tin về mã sửa lỗi, thời gian sống của khóa, chuỗi

SS Sử dụng những thông điệp này sẽ tạo ra những cuôc tấn công giống dạng

Deauthentication Tuy nhiên trong các thông điệp trên có 3 thông điệp Auth

Reject, Key Reject và TEK Invalid không đợc sử dụng Vì những thông điệp

này yêu cầu số HMAC để xác thực thông điệp Nh ta đã biết rất khó để tạo ra

một HMAC chính xác Chỉ có một cách là phá vỡ sơ đồ bảo mật Hơn nữa những

thông điệp này chỉ có thể nhận đợc trong một khoảng thời gian rất ngắn

Thông điệp cuối cùng còn lại là thông điệp Auth Invalid Thông điệp này

không yêu cầu xác thực bằng HMAC, không bao gồm nhận dạng PKM Nó cũng

không cần một trạng thái nào để đợc xem là hợp pháp Thông điệp này là một

thông điệp không trạng thái, SS có thể nhận nó tại mọi thời điểm Những lý do

này khiến kẻ tấn công có thể sử dụng nó dễ dàng hơn

Bảng 2.5: Thuộc tính thông điệp Auth Invalid

Mặt khác trong phần mã lỗi có giá trị bằng 0 không đa ra một lý do nào

về sự không hợp lệ của thông điệp sẽ tạo điều kiện tấn công

Bảng 2.6: Giá trị m∙ lỗi trong thông điệp xác thực

Khi SS nhận đợc thông điệp Auth Invalid sẽ chuyển từ trạng thái đợc

trao quyền sang trạng thái đợi trao quyền lại Nh vậy SS sẽ đợi cho đến khi nó

nhận đợc tin phản hồi từ BS Nếu thời gian đợi trao quyền lại chấm dứt trớc khi

SS nhận đợc tin từ BS, SS sẽ gửi 1 thông điệp xin trao quyền lại (Reauth

Request) để cố gắng gia nhập mạng Và trong khi đang đợi trao quyền lại SS có