Bài giảng Pháp chứng kỹ thuật số - Bài 9: Điều tra tội phạm trên Mạng không dây bao gồm các nội dung: Nhu cầu điều tra số với mạng không dây, lý do điều tra mạng không dây, các thiết bị không dây thông dụng, giao thức WEP,... Mời các bạn cùng tham khảo nội dung chi tiết.
PHÁP CHỨNG KỸ THUẬT SỐ Bài 9: Điều tra tội phạm trên Mạng khơng dây Giảng viên: TS. Đàm Quang Hồng Hải Nhu cầu điều tra số với mạng khơng dây § § § Ngày nay, các thiết bị mạng và sử dụng mạng khơng dây có sự bùng nổ trong các thập niên vừa qua. Điển hình là các thiết bị di động, iPad, Laptop, các thiết bị GPS… Điều tra việc sử dụng các thiết bị khơng dây đang được chú trọng do việc dễ dàng sử dụng chúng của các nghi phạm Các thiết bị mạng khơng dây phổ biến bao gồm: • Thiết bị WiFi, WiMax • Điện thoại khơng dây, di động • TaingheBluetooh Cỏcthitbhngngoi(TVremotes) Lýdoiutramngkhụngdõy Đ Đ Đ Đ Tỡmkimmtmỏytớnhxỏchtaybỏnhcpbng cỏchtheodừinútrờnmngkhụngdõy Xác định các điểm truy cập giả mạo Điều tra các hoạt động nguy hiểm hoặc trái phép xảy ra khi nghi pham sử dụng mạng khơng dây Điều tra các cuộc tấn cơng trên mạng khơng dây, bao gồm tấn cơng từ chối dịch vụ (DoS), tấn cơng mã hóa, chứng thực Các thiết bị khơng dây thơng dụng Wireless Access Point § § § § Wireless Access Point là thiết bị layer 2 quản lý, kết nối các máy tính đầu cuối trong mạng LAN WAP có một loạt các tùy chọn cấu hình và khả năng ghi log. WAP thực hiện các chức năng tương tự như Hub, nhưng là các thiết bị thơng minh hơn Khả năng cấu hình và ghi log thường có sẵn trong giao diện quản lý web của WAPs cấp thấp. Các WAPs cao hơn ngồi khả năng logging cơ bản, lọc địa chỉ MAC còn có dịch vụ DHCP, chức năng như bộ định tuyến và hỗ trợ syslog và SNMP Mạng khơng dây với WAP Lý do cần điều tra các WAP § § § § § WAPs có thể chứa các bản ghi lưu trữ cục bộ của các lần kết nối, chứng thực thành cơng và thất bại, và hoạt động của các WAP khác WAPs log giúp các nhà điều tra theo dõi các hoạt động của wirelessclient Các cấu hình WAP có thể biết cách thức kẻ tấn cơng có thể truy cập vào mạng và đã lấy được thơng tin gì Cấu hình WAP có thể bị sửa đổi trái phép như một phần của một cuộc tấn cơng WAP chính nó có thể bị tổn hại Các giao thức mã hóa Mạng khơng dây • • • Để bảo mật cho mạng khơng dây, người ta sử dụng các giao thức mã hóa mạng khơng dây để bảo vệ thơng tin từ hệ thống Wifi Router và Access Point. Pháp chứng viên cần phải hiểu rõ các giao thức mã hóa mạng nào mà mạng khơng dây mình đang điều tra sử dụng. Hiện nay có các giao thức mã hóa mạng khơng dây sau: • • • WEP (Wired Equivalent Privacy) WPA (WiFi protected Access) WPA2 Giao thức WEP (Wired Equivalent Đây là giao thức mã hóa đầu tiên phát triển cho Privacy) • • • mạng khơng dây. Giao thức WEP phương thức mã hóa sử dụng thuật tốn đối xứng RC4, đa số các thiết bị khơng dây hỗ trợ WEP với ba chiều dài khóa: 40 bit, 64 bit và 128 bit Ngày nay WEP đã dần khơng còn dùng nhiều vì đã bộc lộ nhiều điểm yếu về an ninh, nhưng vẫn có trong các thiết bị khơng dây và một số tổ chức vẫn còn sử dụng. Giao thức WPA (WiFi protected Access) • • • Đó là thế hệ giao thức mã hóa tiếp theo của WEP, WPA sử dụng TKIP (Temporal Key Integrity Protocol) để thay đổi keys với mỗi gói dữ liệu và thơng điệp kiểm tra tồn vẹn bảo vệ một lần nữa, chỉnh sửa và gửi lại các gói dữ liệu để xác định xem các gói tin được sửa đổi hay khơng. Đối với người dùng chứng thực WPA sử dụng EAP (Extensible Authentication Protocol) và trong 4 bước bắt tay với người dùng thì keys đã được băm. Điều tra mạng khơng dây của doanh Một s nghi ệốp điểm truy cập mạng khơng dây của tổ chức, • • • doanh nghiệp chọn giao thức mã hóa khơng được an tồn dành cho mạng khơng dây, rất đơn giản để có thể cài đặt cho hầu hết những thiết bị nhỏ, giúp cho mạng khơng dây liên kết nhanh hơn và giảm chi phí của người dùng. Trước khi kiễm tra giao tiếp mạng khơng dây của doanh nghiệp, Pháp chứng viên phải biết được làm thế nào điểm truy cập và máy tính tương tác với nhau. Pháp chứng viên cần kiểm tra xem có điểm truy cập khơng dây nào cung cấp cho kẻ tấn cơng truy cập vào một cách đơn giản, Pháp chứng viên có thể sử dụng các cơng cụ FernWificracker – GUI để kiểm tra mã hóa Chuẩn IEEE 802.11 • • • Chuẩn IEEE 802.11 là đặc tả kỹ thuật liên quan đến hệ thống mạng khơng dây. Các chuẩn 802 đều có 2 thành phần chính là MAC (Media Access Control) và PHY (Physical). Trong đó MAC là một tập hợp các luật định nghĩa việc truy xuất và gửi dữ liệu, còn chi tiết của việc truyền dẫn và thu nhận dữ liệu là nhiệm vụ của PHY Đối với mạng WiFi , IEEE chia ra ba dải tần số: 2.4 GHz (802.11b/g/n), 3.6 GHz (802.11y),5 GHz (802.11a/h/j/n) Phân tích sóng khơng dây § § Mỗi dải tần số được chia thành các kênh riêng biệt. Hoa Kỳ chỉ cho phép các thiết bị WiFi để giao tiếp trên các kênh 111 trong phạm vi 2,4 GHz trong khi Nhật Bản cho phép truyền tải trên tất cả 14 kênh Thiết bị WiFi sản xuất để sử dụng ở Hoa Kỳ sẽ khơng có khả năng truyền và nhận trên tất cả các kênh được sử dụng tại Nhật Bản. Ngược lại, kẻ tấn cơng mua thiết bị của Nhật Bản hỗ trợ 14 kênh sử dụng trong hệ thống tại Hoa Kỳ có thể sẽ khơng bị phát Bắt và phân tích thơng lượng mạng khơng dây • Dòng sản phẩm MetaGeek của WiSpy giúp phân tích các sóng vơ tuyến phổ biến từ đó xác định loại, tên các thiết bị Bluetooth, điện thoại khơng dây 2.4G, lò vi sóng, analog video Sản phẩm MetaGeek của WiSpy Bắt và phân tích lưu lượng mạng khơng dây • • USB AirPcap là card mạng khơng dây 802.11 có khả năng chạy ở chế đơ monitor của hãng Riverbed Technology giúp bắt các lưu lượng mạng khơng dây Phần mềm AirPcap chạy trên Windows và Linux tích hợp với Wireshark có khả năng năng giám sát lưu lượng truy cập lớp 2 802.11, từ đó có thể sử dụng các cơng cụ như tcpdump, Wireshark, và tshark để bắt và phân tích nó Tìm vị trí thiết bị truy cập mạng khơng dây • • • Đây là một vấn đề phức tạp đối với các Pháp chứng viên, có thể dùng các phần mềm tính tốn cường độ tín hiệu khơng dây Pháp chứng viên có thể đo cường độ tín hiệu từ máy nghi ngờ tới các điểm WAP Dùng các cơng cụ đo cường độ tín hiệu tìm đường đến điểm nghi ngờ Phần mềm inSSIDer • • • inSSIDer một cơng cụ với các nền tảng Windows, Mac và Android, được thiết kế để phát hiện ra các mạng 802.11 inSSIDer sẽ qt và hiển thị tất cả các thiết bị phát WiFi được tìm thấy. Tại danh sách thiết bị phát WiFi tìm thấy, có thể vào từng cột để sắp xếp theo các thơng tin tương ứng hoặc sử dụng các bộ lọc tại thanh cơng cụ Filters phía trên như SSID or Vendor (tên mạng), Channel (kênh phát), Signal (cường độ tín hiệu),Security (phương thức bảo mật) Phần mềm inSSIDer Định vị thiết bị truy cập mạng khơng dây • • Một máy tính xách tay có thể di chuyển trên tồn mạng của doanh nghiệp; một điểm truy cập giả mạo có thể ẩn giấu trong doanh nghiệp việc xác định vị trí của thiết bị này là một thách thức cho các Pháp chứng viên Pháp chứng viên lắng nghe các kết nối mạng, thu thập và phân tích các gói tin sẽ cho địa chỉ nguồn và địa chỉ đích của các gói tin Các hệ thống định vị phát hiện tấn cơng khơng dây § § § § § WIDS: Wireless intrusion detection system WIPS: Wireless Intrusion Prevention System Nhà cung cấp như Aruba và Cisco cung cấp hệ thống WIDS/ wIPS chun theo dõi mạng khơng dây Các phần mềm có thể hiển thị vị trí của thiết bị khơng dây trên bản đồ Cung cấp cho người quản trị mạng một giao diện điều khiển trung tâm để theo dõi các thiết bị khơng dây trong tồn doanh nghiệp Hết bài 9 ... Thiết lập các thử nghiệm để kiểm tra q trình xâm nhập: Pháp chứng viên có thể sử dụng các cơng cụ Backtrack để kiểm tra với các mật khẩu được cung cấp để kiểm tra việc mã hóa bảo mật cho mạng khơng dây. Dùng cơng cụ để kiểm tra pháp chứng: Pháp chứng viên ... Trước khi kiễm tra giao tiếp mạng khơng dây của doanh nghiệp, Pháp chứng viên phải biết được làm thế nào điểm truy cập và máy tính tương tác với nhau. Pháp chứng viên cần kiểm tra xem có điểm truy cập khơng dây nào cung cấp cho kẻ tấn cơng truy cập vào một ... Nếu máy tính của nghi phạm vẫn là một phần của mạng, Pháp chứng viên có thể chạy ipconfig /all trên máy tính của nghi phạm Bản ghi DHCP trên LINKSYS Access Point Điều tra q trình truy cập DHCP • • Nếu Pháp chứng viên có quyền truy cập vào máy tính của