Giải pháp bảo mật trong mạng WLAN không dây
MỤC LỤC
Các gói tin thuộc tầng MAC
- Association Requests / Association Responses : Frame association request gồm những thông tin về NIC, SSID của mạng mà client muốn kết nối tới, được gửi từ client đến AP để yêu cầu được kết nối. - Reassociation Requests / Reassociation Responses : Reassociation request được dùng khi client rời khỏi kết nối với AP hiện tại và tìm thấy một AP khác có tín hiệu beacon mạnh hơn, client sẽ gửi frame này đến AP mới.
Một số chuẩn WLAN hiện hành 1. Chuẩn 802.11b (Chuẩn B)
Chuẩn 802.11a (Chuẩn A)
Sau khi nhận được frame này AP gửi đến client frame association response để chấp nhận kết nối, cung cấp bộ nhớ và xây dựng một ID kết nối cho client. - Disassociations : Station sẽ gửi frame disassociation tới một station khác khi nó muốn ngừng kết nối với station đó.
Chuẩn 802.11g (Chuẩn G)
Các thiết bị thuộc chuẩn này hoạt động ở tần số 5GHz và có thể truyền dữ liệu với tốc độ tối đa 54Mbps nhưng chỉ trong phạm vi khoảng 75 feet ( khoảng 25 mét).
Chuẩn 802.11i
Home RF
Tầng MAC: sử dụng giao thức TDMA (Time Division Multiple Access) để truyền giọng nói và dùng giao thức CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance) để truyền dữ liệu. Tầng PHY: Home RF hoạt động trong dải tần 2,4 GHz, sử dụng kĩ thuật trải phổ nhảy tần FHSS với 50 hop/s.
Các giải pháp bảo mật trong mạng WLAN 1. Các dạng tấn công
Tấn công bị động (passive attack)
Trong dạng tấn công này, một user chưa được xác thực truy nhập vào mạng của bạn.attacker không thay đổi nội dung các thông điệp (message), chúng chỉ tiến hành nghe trộm lưu thông trên mạng và từ đó có các thông tin về mạng của bạn. Có hai dạng scanner: dạng bị động (Kismet, WLANscanner, Prismstumbler…) không để lại dấu vết, gần như không bị phát hiện và loại chủ động (Netstumbler, dstumbler) có thể bị phát hiện trong khi nghe, chúng gửi các.
Tấn công chủ động
Client muốn kết nối với mạng phải thông tin cho AP những thông tin cần thiết để kết nối, những thông tin này có thể bị tin tặc nghe được bằng cách ngồi ở giữa, gửi tín hiệu mạnh hơn tín hiệu hợp pháp mà AP gửi đến trạm rồi trở thành AP trái phép và giao tiếp với client để nhận những dữ liệu cá nhân dùng xác thực từ client gửi tới AP mà client cho là AP hợp pháp. Một điều đặc biệt với kiểu tấn công này là người sử dụng không thể phát hiện ra được cuộc tấn công, và lượng thông tin mà thu nhặt được bằng kiểu tấn công này là giới hạn, nó bằng lượng thông tin thủ phạm lấy được trong khi còn trên mạng mà không bị phát hiện.
Các biện pháp bảo mật và điểm yếu
- AP giải mã đoạn text nhận được cũng bằng khóa chia sẻ và so sánh kết quả với đoạn text ban đầu, nếu chúng giống nhau thì AP sẽ xác nhận với trạm về việc đã định danh xong và trạm đó có thể kết nối vào mạng, nếu không AP sẽ gửi một frame từ chối định danh. Khóa này quá ngắn và IV lại được truyền trực tiếp không mã hóa, có thể dễ dàng suy ra khóa này chỉ sau vài giờ nghe lén trên mạng, cùng với việc biết rằng việc sinh ra IV bắt đầu từ 0 khi bắt đầu truyền gói tin và tăng lên một khi mỗi gói được gửi. Cụ thể một trạm sẽ kết nối với AP qua một PAE (Port Access Entity), PAE này được chia làm hai cổng, một cổng được điều khiển (mở hay đóng kết nối) cung cấp kết nối cho client trong trường hợp xác thực thành công, và một cổng không được điều khiển (kết nối luôn mở) dùng để chứng thực khi tất cả các lưu lượng khác bị trả lại.
EAP ( Extensive Authentication Protocol) được dùng để chứng thực trong một phiên (session), gồm EAPOL (Extensive Authentication Protocol Over Lan) nằm ở giữa trạm với AP, và EAP giữa AP với server (thường sử dụng RADIUS server : Remote Authentication Dial In User Server). • Chứng thực bằng thẻ: EAP-SIM (Subsciber Identity Module), được sử dụng cho AP công cộng (hotspot), sử dụng thẻ SIM hay GSM, cho phép áp dụng cả việc tính hóa đơn; EAP – AKA (Authentification and Key Agreement), sử dụng hệ thống chứng thực của thẻ SIM của UMTS (Universal Mobile Telecommunications System).
Chuẩn bị cho khảo sát 1 Phân tích khu vực khảo sát
Thêm vào đó, người khảo sát nên đánh giá toàn bộ băng thông mà một access point có thể cung cấp (khoảng 5Mbps đối với 802.11b và khoảng 20Mbps đối với 802.11a và 802.11g), đồng thời xác định access point có thỏa mãn nhu cầu thông lượng của người sử dụng hay không. Những vấn đề cần thảo luận với người quản lý mạng liên quan đến tài nguyên hiện có là ngân sách dành cho dự án, thời gian tối đa hoàn thành dự án, và khách hàng đã có người quản trị mạng không dây được huấn luyện rồi hay chưa?. Thường có một chính sách bảo mật có thể cài đặt cho tất cả các mạng không dây, chính sách này bao gồm:Mức bảo mật tối thiểu: “mạng phải sử dụng xác thực WPA2 với EAP-TLS, xác thực chung, và mã hóa AES (hoặc kỹ thuật tương đương)”.
Những thiết bị khảo sát
Vì không có mẫu chuẩn nào để thu thập thông tin khi khảo sát, mỗi người khảo sát nên tự tạo ra một số những tập mẫu khảo sát của riêng mình, giúp thu thập tốt thông tin từ phía khách hàng, và cũng là nguồn tài liệu tham khảo trong suốt quá trình hoàn thành báo cáo khảo sát. Ngược lại, nếu khu vực bao phủ lớn, tầm nhìn thẳng bị che khuất, hoặc khoảng cách liên kết quá xa thì việc khảo sát ngoài trời là rất phức tạp.Quá trình khảo sát ngoài trời có thể sẽ mất nhiều thời gian, công sức và thiết bị hơn so với khảo sát trong nhà. Phần mềm phân tích giao thức này sẽ bắt các gói tin được truyền bởi các mạng lân cận và phân tích những thông tin chi tiết như kênh đang sử dụng, khoảng cách, độ mạnh tín hiệu, … Thêm vào đó cũng xác định thông lượng và yêu cầu độ trễ của mạng không dây.
Thực hiện khảo sát
Sau khi đã kiểm tra và ghi chép lại những thông tin đã được chuẩn bị trước, bước tiếp theo là thực hiện khảo sát hoặc thu thập thêm nhiều thông tin nữa. - Kiến trúc tòa nhà có yêu cầu phải sử dụng những thiết bị được kiểm tra để đặt vào khoảng giữa trần nhà và mái hay không?Người khảo sát nên có những thông tin chi tiết về đặc điểm thời tiết của khu vực khảo sát, nên lưu ý chỉ những điều kiện thời tiết khắc nghiệt mới gây ra thiệt hại cho mạng. Báo cáo là kết quả cuối cùng của quá trình khảo sát, cần có thời gian để phân loại, tổng hợp thông tin thu thập được, có khi sẽ phải đến lại điểm khảo sát để lấy thêm thông tin hoặc xác định lại thông tin ban đầu nhằm đưa ra một báo cáo chi tiết, chính xác nhất.
Cấu hình xác thực kiểu WEP cho mô hình mạng BSS
Cấu hình Access Point thông qua giao diện Web-Based Bước 1
Device Name: Có thể đặt lại tên cho AP, tên này giúp xác định bản thân AP trong mạng, do đó nên là duy nhất và gợi nhớ. - Automatic Configuration-DHCP: Nếu thiết đặt ở mode này, AP sẽ được DHCP server cấp địa chỉ như các PC khác trong mạng. Khi dùng địa chỉ được cấp tự động, quản trị mạng sẽ gặp khó khăn hơn khi muốn cấu hình AP không qua kết nối trực tiếp.
Thiết lập mạng BSS
Địa chỉ này cũng thuộc subnet mà DHCP server cấp xuống cho các PC kết nối vào AP.
Các kiểu chứng thực trong WLAN
Shared Key Authentication Khác với Open system, shared key authentication đòi hỏi cả client và AP phải bật cơ chế mã hóa WEP và WEP key phải giống nhau. Shared Key: Đây là hình thức chứng thực cho phép kiểm tra xem Client đang muốn truy cập vào BSS có biết về khóa dùng chung (Shared Key) không, sau khi chứng thực thành công mới bắt đầu truyền dữ liệu. Chuẩn 802.11 giả thiết rằng Shared Key được phân phối đến tất cả các Client thông qua một kênh bảo mật riêng, độc lập với tất cả các kênh khác của 802.11.
Cấu hình xác thực bằng RADIUS server
Cấu hình RADIUS server trên win 2003
Ở đây do ta sử dung Access point là Aironet nên ta chọn là RADIUS (Cisco Aironet).Access Server Name: tùy chọn đặt tên cho thiết bị. • Ngoài ra ta có thể thay đổi cấu hình mạng ban đầu đã thiết lập trong quá trình cài đặt hoặc thêm cấu hình tùy chọn. Khi đó ta chọn Tool > Internet Option > Security , chọn levlels Low để cho phép java start.
Kiểm tra kết nối
Tên SSID của mạng mà mình muốn kết nối, chọn kiểu xác thực là LEAP và đánh dấu chọn vào mục Prompt for user name and password. Khi đó server sẽ tiến hành xác thực và yêu cầu mình nhập user name và password. Để kiểm tra kết nối ta sẽ tiến hành Ping tới server, đặt địa chỉ IP của client trùng lớp mạng với server.