Biện pháp phòng chống tấn công bắt gói tin trong mạng WLAN

MỤC LỤC

CÁC PHƯƠNG PHÁP BẢO MẬT TRONG MẠNG WLAN

CÁC KỸ THUẬT TẤN CÔNG MẠNG WLAN VÀ BIỆN PHÁP PHềNG CHỐNG

Tấn công kiểu bắt gói tin sẽ khó bị phát hiện ra sự có mặt của thiết bị bắt gói dù thiết bị đó nằm trong hoặc nằm gần vùng phủ sóng nếu thiết bị không thực sự kết nối tới AP để thu các gói tin. Việc bắt gói tin ở mạng có dây thường được thực hiện dựa trên các thiết bị phần cứng mạng, ví dụ như việc sử dụng phần mềm bắt gói tin trên phần điều khiển thông tin ra vào của một card mạng trên máy tính, có nghĩa là cũng phải biết loại thiết bị phần cứng sử dụng, phải tìm cách cài đặt phần mềm bắt gói lên đó, vv. Biện pháp ngăn chặn bắt gói tin : Vì “bắt gói tin” là phương thức tấn công kiểu bị động nên rất khó phát hiện và do đặc điểm truyền sóng trong không gian nên không thể phòng ngừa việc nghe trộm của kẻ tấn công.

Passive attack không để lại một dấu vết nào chứng tỏ đã có sự hiện diện của attacker trong mạng vì khi tấn công attacker không gửi bất kỳ gói tin nào mà chỉ lắng nghe mọi dữ liệu lưu thông trên mạng. Sniffer thường là một phần mềm có thể lắng nghe và giải mã các gói dữ liệu lưu thông trên mạng, sniffer đóng vai trò một hệ thống trung gian và sẽ copy tất cả các gói dữ liệu mà được gửi từ máy A sang máy B, chụp lấy password trong những phiên kết nối của các Client. Nhiều ứng dụng có thể bắt được cả password hash (mật mã đã được mã hóa bằng nhiều thuật toán như MD4, MD5, SHA,..) truyền trên đoạn mạng không dây giữa client và server lúc client đăng nhập vào.

Chế độ này gọi là RF monitor, khi đó mỗi frame dữ liệu lưu thông trên mạng có thể bi copy bởi Attacker, mặc định thì chức năng này thường không có ở những Wireless NIC hiện có trên thị trường do đã được cài firmware đã tắt chức năng này. Một cuộc tấn công chủ động có thể được sử dụng để truy cập vào server và lấy được những dữ liệu có giá trị hay sử dụng đường kết nối Internet của doanh nghiệp để thực hiện những mục đích phá hoại hay thậm chí là thay đổi cấu hình của hạ tầng mạng. Nếu những frame này không được lưu thông trên mạng thì attacker không đủ kiên nhẫn để chờ đợi một yêu cầu kết nối hợp lệ từ một client khác mà có quyền truy cập vào mạng để thông qua đó có được một SSID chính xác.

Việc phát hiện sự giả mạo là hoàn toàn có thể, những frame mà attacker gửi đi cũng có thể bị phát hiện bởi hệ thống phát hiện xâm nhập – instrustion detection systems (IDS) của mạng WLAN, có thể nhận thấy được những sự thay đổi vật lý (MAC Address) của thiết bị wireless dù cho đó là những frame giả mạo. Máy chủ sẽ thêm các thông tin vào file Log của nó, với việc NAS sẽ cho phép phiên làm việc với user bắt đầu khi nào, và kết thúc khi nào, RADIUS Accouting làm nhiệm vụ ghi lại quá trình xác thực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Accounting-Request (Stop). Authenticator giúp cho quá trình giao tiếp giữa NAS và máy chủ AAA được bảo mật nhưng nếu kẻ tấn công tóm được cả hai gói tin RADIUS Access-Request và Access- Response thì có thể thực hiện "dictionary attack" để phân tích việc đóng gói này.

Trong điều kiện thực tế để việc giải mã khó khăn, ta cần phải sử dụng những thông số dài hơn, toàn bộ vấn đề có khả năng nguy hại cho quá trình truyền tải này được miêu tả rất kỹ trong RFC 3580. Attribute-Value pare bao gồm trong message của RADIUS có thể sử dụng bởi máy chủ AAA để quyết định phiên làm việc giữa Access Point và wireless station, như Sesstion-Timeout hay VLAN Tag (Tunnel-Type=VLAN, Tunnel-Private-Group-ID=tag). Nếu cài đặt một máy chủ AAA hỗ trợ xác thực cho chuẩn 802.1x, chúng ta có thể sử dụng tính năng RADIUS proxy để thiết lập một chuỗi các máy chủ, cùng chia sẻ chung một cơ sở dữ liệu tập trung, RADIUS proxy có thể sử dụng để chuyển các yêu cầu xác thực tới máy chủ có khả năng xác thực qua chuẩn 802.1x.

Với cơ sở tập trung - Giải pháp sử dụng RADIUS cho mạng WLAN là rất quan trọng bởi nếu một hệ thống mạng của chúng ta có rất nhiều Access Point việc cấu hình để bảo mật hệ thống này là rất khó nếu quản lý riêng biệt, người dùng có thể xác thực từ nhiều Access Point khác nhau và điều đó là không bảo mật. Ngoài ra với sự lựa chọn cho mạng doanh nghiệp nhỏ không có điều kiện triển khai máy chủ RADIUS một giải pháp tốt cho doanh nghiệp là sử dụng giải pháp bảo mật từ các công ty chuyên về bảo mật hệ thống mạng Wi-Fi như WSC Guard mang đến giải pháp bảo mật cho các dịch vụ trên nền 802.1x và với giá khởi điểm là $89 cho một người dùng một năm và sẽ xuống còn $59 khi khách hàng đăng ký 1000 người dùng.

Hình 3.1 – Bắt gói tin bằng phần mềm Wireshark
Hình 3.1 – Bắt gói tin bằng phần mềm Wireshark

THỰC NGHIỆM HỆ THỐNG DÙNG RADIUS SERVER XÁC THỰC CHO CÁC USER KẾT NỐI MẠNG

     Certificate services -> detail Chọn  Certificate Services CA và Chọn  Certificate Services Web Enrollment Support  Chọn OK (Trong quá trình cài đặt nhớ chọn luôn IIS để dùng Web Enrollment Wizard)  Next. Mở DHCP Console từ thư mục Administrative Tools, bấm phải chuột vào tên server và chọn “Anthorize” để đăng ký với DC. Mở IAS Console từ thư mục Administrative Tools, bấm phải chuột vào “Internet Authentication Service (Local)” và chọn "Register Server in Active Directory".

    Chuyển xuống mục RADIUS Client, bấm phải chuột và chọn "New RADIUS Client" trong cửa sổ mở ra, ta nhập các thông số của thiết bị Access Point: Địa chỉ IP và Secret key. “Control Access through Remote Access Policy” để quản lý việc ra vào của User qua IAS. Mở IAS Console từ thư mục Administrative Tools  Remote Access Policies  New Remote Access Policies.

     Ta chọn phương thức xác thực cho policy này là PEAP (protected extensible anthentication protocol).  Chọn Tab Wireless  Tab Wireless Security  Tiếp theo ta sẽ cấu hình AP như hình. EAP-Type = Secured password (EAP-MSCHAP v2) For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.