Cuộc tấn công hủy bỏ xác thực (Deauthentication Attack)
• Mạng 802.11:
Các cuộc tấn công trong quá trình hủy bỏ xác thực được thực hiện gần như hoàn hảo do có thừa hưởng điểm yếu nhận dạng. Trong mạng 802.11, khi một nút mới muốn gia nhập mạng, nó cần thực hiện quá trình xác thực và quá trình liên kết và sau đó sẽ được cho phép truy cập mạng.
Có hai loại xác thực trong 802.11: Open, trong cơ chế này, bất kỳ một nút nào cũng có thể gia nhập mạng và Shared key-ở có chế này nút nào muốn gia nhập mạng phải biết được mật khẩu của mạng. Sau quá trình xác thực, các nút sẽ chuyển sang quá trình liên kết và sau đó nó có thể trao đổi dữ liệu và quảng bá trên toàn mạng. Trong quá trình xác thực và liên kết chỉ có rất ít các khung dữ liệu, quản lý và điều khiển được phép phát đi. Một trong những thông điệp đó là thông điệp cho phép các nút có thể hủy bỏ sự xác thực từ một nút khác. Thông điệp này được sử dụng khi một nút muốn chuyển sang một mạng không dây khác. Ví dụ như trong cùng một vùng tồn tại nhiều mạng không dây khác nhau thì
thông điệp này sẽ được sử dụng. Khi một nút nhận được thông điệp này, nó sẽ loại bỏ bản thân nó ra khỏi mạng và trở về trạng thái cơ bản.
Trong cuộc tấn công vào quá trình hủy bỏ xác thực này, kẻ tấn công sử dụng một nút để tìm ra địa chỉ của điểm truy cập (AP) đang điều khiển mạng. Điều này có nghĩa rằng AP là một phần của mạng để kết nối mạng hữu tuyến với mạng LAN vô tuyến. Không khó khăn gì trong quá trình tìm ra địa chỉ của AP vì AP không sử dụng một phương pháp bảo mật nào. Một vài AP không quảng bá địa chỉ của nó trong mạng, nhưng địa chỉ của nó có thể tìm thấy nếu lắng nghe tất cả các lưu lượng giữa AP đó với các nút khác. Thông thường địa chỉ của AP chỉ dùng để cho phép thuê bao tìm ra từ một mạng nào đó mà nó muốn hủy bỏ sự xác thực khỏi mạng và địa chỉ của AP này không cần sử dụng trong quá trình xác thực do vậy AP không phải lo lắng về sự xuất hiện ẩn của nó.
Khi kẻ tấn công nhận được địa chỉ của AP, hắn sẽ sử dụng địa chỉ quảng bá mặc định và gửi thông điệp hủy bỏ xác thực tới tất cả các nút có thể. Những nút này nhận được thông điệp ngay lập tức sẽ ngừng giao tiếp với mạng. Bước tiếp theo là tất cả các nút bị hủy bỏ xác thực sẽ cố gắng kết nối lại, trao quyền lại và liên kết lại với AP. Việc phát lại thông điệp hủy bỏ xác thực này sẽ khiến mạng ngừng hoạt động hoàn toàn.
Theo cách như vậy, các thông điệp khác được sử dụng trong 802.11 có thể bị lợi dụng gây ra các vấn đề tương tự. Ví dụ như thông điệp hủy bỏ liên kết. Tuy nhiên kiểu tấn công này không hiệu quả đối với kẻ tấn công vì hắn phải giả mạo nhiều thông điệp. Một thực tế là có nhiều thông điệp khác có thể sự dụng để thực hiện các cuộc tấn công kiểu này và những cuộc tấn công đó đều được gọi chung là cuộc tấn công hủy bỏ xác thực. Có 3 điểm khiến cho các cuộc tấn công kiểu này có thể thực hiện được là: thứ nhất các thông điệp hủy bỏ xác thực không được chứng thực, ngoại trừ kiểm tra về mặt logic địa chỉ nguồn của thông điệp. Thứ hai là không có sự bảo mật nào để bảo vệ các thông tin được dùng trong thông điệp, vì vậy kẻ tấn công có thể dễ dàng tìm thấy các thông tin. Thứ ba các nút nhận được các thông điệp giả này sẽ chấp nhận nó mà không chú ý đến thời gian nó được gửi đi.
• Mạng 802.16
Giống như mạng 802.11, trong 802.16 các thông điệp lớp MAC được sử dụng theo cách tương tự. Trước tiên một thông điệp Reset Command (RES-CMD) được trạm phát sóng BS gửi đi tới một thuê bao SS cụ thể sau đó xác lập lại bản thân nó. Khi SS xác nhận thông điệp này nó sẽ khởi tạo lại địa chỉ MAC của nó và cố gắng lặp lại quá trình truy nhập hệ thống ban đầu. BS cũng có thể gửi De/Re-Register Command (DREGCMD) tới SS để SS thay đổi trạng thái truy nhập.
Thông điệp này được gửi đi khiến SS dời bỏ kênh truyền dẫn. Trái ngược với IEEE 802.11, IEEE 802.16 có sự bảo vệ bên trong chống lại sự lạm dụng những lệnh này. Cơ chế bảo vệ đầu tiên được sử dụng là Hashed Message Authentication Code (HMAC) mã
xác thực đa năng được tính toán sử dụng thông điệp gốc và khóa bí mật dùng chung. Trong 802.16 giá trị 160 bit hash được thêm vào thông điệp gốc.
Hình 2-2: Tấn công bằng thông điệp RES-CMD
Khi bên thu nhận được thông điệp sẽ tính toán lại Hash sử dụng thông điệp nhận được và khóa bảo mật chúng đã biết. Sau đó bên thu sẽ so sánh Hash nhận được và Hash tính được, nếu chúng giống nhau thì có nghĩa là hai bên đều có chung một khóa bí mật.
Từ trước đến nay, mạng 802.16 được xem như không thể xảy ra các cuộc tấn công hủy bỏ xác thực vì khóa dùng chung giữa BS và SS được xem là bí mật. Khi ta xem xét mạng 802.11 thì thấy điều này là không thể thực hiện được vì những lỗ hổng an ninh trong thuật toán WEP. Khi lỗ hổng này được công bố cơ chế xác thực được xem như không còn hiểu quả. Sự khác biệt của 802.16 là chuẩn mật mã được sử dụng mạnh hơn WEP.
Chuẩn 802.16 có hai sự lựa chọn là Triple-DES với khóa 128 bít hay RSA với khóa 1024 bít. Vấn đề thứ hai là thuật toán Hash key là phương pháp bảo mật mạnh mẽ. Điều này có nghĩa là kẻ tấn công sẽ không thể tạo ra Hash đúng.
Cuộc tấn công lặp lại (Replay Attack)
• Mạng 802.11:
Khi chúng ta sử dụng thuật ngữ tấn công lặp lại, chúng ta ngụ ý một cuộc tấn công mà kẻ tấn công chỉ cần nắm bắt được một số thông tin hợp pháp và sử dụng lại nó, và
thông tin ở đây ám chỉ một thông điệp. Kẻ tấn công không cần phải thay đổi thông điệp chỉ cần phát lại thông điệp ấy vào khoảng thời gian thỏa đáng.
Trong mạng 802.11 các cuộc tấn công lặp lại hầu hết đều tạo ra sự từ chối dịch vụ. Bởi vì các nút nhận được thông điệp và coi đó là hợp pháp, cho rằng băng thông đã được sử dụng hết và sẽ tính toàn thời gian giải mã thông điệp để sau đó nó lại tích cực lại. Điểm yếu của 802.11 khiến nó nhạy cảm với các cuộc tấn công kiểu này.
• Mạng 802.16:
Trong 802.16 kẻ tấn công nắm bắt toàn bộ thông điệp (bao gồm cả HMAC) và phát lại thông điệp mà không có một sự sửa đổi nào. Trong khi HMAC chỉ đảm bảo rằng không có sự thay đổi nào trong thông điệp chứ không cung cấp cho chúng ta bất kỳ một thông tin nào khác. Chỉ có bên gửi và nội dung thông điệp là được xác thực. Nếu kẻ tấn công phát lại thông điệp hắn nắm được, thông điệp sẽ được xác thực đúng cách nếu như khóa bảo mật vẫn còn hiệu lực.
Trong 802.16 kẻ tấn công phải cần cả trạm phát sóng BS và thuê bao SS để thực hiện một cuộc tấn công Replay thành công. Nếu mạng làm việc trong mô hình FDD, BS và SS truyền tín hiệu trong những tần số khác nhau, do vậy muốn tạo ra các cuộc tấn công trong hệ thống FDD kẻ tấn công phải nhận thông tin và phát lại thông tin đó trên cùng tần số.
HMAC được đưa ra chỉ để đảm bảo rằng thông điệp được gửi đi không bị thay đổi, nên khả năng thông điệp bị sử dụng lại là hoàn toàn có thể, nếu trong thông điệp không có các tin tức như nhãn thời gian, số serial.
Kẻ tấn công có thể sử dụng Reset Command (RES-CMD) để tạo ra các cuộc tấn công lặp lại. Nó được xem như một thông điệp hoàn hảo cho kẻ tấn công vì không chứa nhãn thời gian, số serial.
Tuy nhiên kẻ tấn công sẽ không thành công vì 802.16 yêu cầu HMAC phải được tính toán sử dụng thông điệp và phần mào đầu lớp MAC. HMAC cần được giữ nguyên trong các cuộc tấn công Replay.
Trong phần mào đầu lớp MAC chứa CID của lớp SS, CID này có thể được xác lập lại. Sau khi thiết lập lại SS sẽ có một CID mới được cung cấp bởi BS. CID mới này có 16 bít tức là một BS có thể tạo ra 65536 sự lựa chọn CID khác nhau, và như vậy khả năng sử dụng lại CID là rất khó.
Thậm chí nếu điều này có thể xảy ra thì SS sẽ dàn xếp một tập các khóa mới để xác thực thông điệp, do vậy sẽ không có kết quả khi kẻ tấn công cố gắng thực hiện một cuộc tấn công Replay sử dụng RES-CMD. Việc sử dụng DREG-CMD cũng gặp phải những lý do tương tự. Trong khi kẻ tấn công không thành công trong cuộc tấn công Replay thì hoàn toàn có thể thực hiện cuộc tấn công lặp thông điệp (Repeat Message), 802.16 không có một cơ chế nào để bảo vệ mình khỏi các cuộc tấn công kiểu này. Vấn đề đặt ra ở đây là các
cuộc tấn công này gây thiệt hại gì cho mạng chứ không phải là liệu nó có thành công hay không.
Trong trường hợp thứ nhất các thông điệp của kẻ tấn công xuất hiện như một nguồn nhiễu. Nó gây tác động đến hiệu suất của mạng, tuy nhiên với sự thay đổi của phương pháp sửa lỗi trước và điều chế giúp giảm thiệt hại tới mạng.
Trong trường hợp thứ hai vấn đề sẽ lớn hơn. Kẻ tấn công sẽ gửi những gói tin tới BS giả mạo một SS cụ thể nào đó. Việc này khiến BS gửi gói tin RES-CMD tới SS, sau đó SS sẽ ngừng toàn bộ quá trình quảng bá của mình, nó sẽ thiết lập lại và trở về trạng thái khởi đầu. Ở trạng thái này BS sẽ gửi RES-CMD tới SS nếu SS không đáp lại BS hoặc BS phát hiện ra có sự bất thường về truyền dẫn trong tuyến lên từ SS. Tuy nhiên, chuẩn không chỉ ra cụ thể chính xác những gì sẽ được chỉ định tiếp theo sự bất thường này. Một loạt các điều kiện cụ thể trong RES-CMD sẽ được quyết định bởi nhà sản xuất.
Giả mạo điểm truy nhập
• Mạng 802.11:
Giả mạo điểm truy nhập chính là một dạng tấn công man-in-the-middle. Cuộc tấn công man-in-the-middle là dạng tấn công mà kẻ tấn công ở giữa hai nút thao túng toàn bộ các lưu lượng giữa hai bên. Dạng tấn công này rất nguy hiểm vì kẻ tấn công có thể nắm tất cả các thông tin lưu hành trên mạng. Việc thực hiện kiểu tấn công này rất khó trong mạng hữu tuyến vì nó yêu cầu việc truy nhập thật sự vào môi trường truyền dẫn. Tuy nhiên trong mạng không dây, mọi việc trở nên dễ dàng hơn.
Kẻ tấn công chỉ cần thiết lập một AP có khả năng thu hút hơn so với AP hợp pháp. AP giả mạo này có thể được tạo ra bằng cách sao chép toàn bộ cấu hình của một AP hợp pháp như SSID, địa chỉ MAC, …Bước tiếp theo là làm cho nạn nhân kết nối với AP giả mạo này. Cách thứ nhất là đợi cho đến khi các nút tự kết nối với nó, cách thứ hai là gây ra từ chối dịch vụ tới tất cả các AP hợp pháp để người dùng sẽ kết nối lại. Trong mạng 802.11, việc lựa chọn AP dựa vào cường độ tín hiệu nhận được. Chỉ có một việc kẻ tấn công có thể thực hiện là đảm bảo cho AP của nó có cường độ tín hiệu mạnh hơn tới các nạn nhân.
Để đạt được điều này, có thể đặt vị trí AP của nó gần với nạn nhân hơn AP hợp pháp, hoặc sử dụng một công nghệ khác như anten định hướng hay bộ khuếch đại RF. Sau khi nạn nhân kết nối với AP giả mạo này, người đó sẽ làm việc như thể đang kết nối với một AP hợp pháp và như vậy mọi tin tức sẽ được truyền thông qua AP giả mạo này. Kẻ tấn công sau đó sẽ sử dụng mọi tiện ích tạo ra một Webserver để nắm bắt mật khẩu khi nạn nhân cố gắng đăng ký vào một trang giả mạo này. Sau đó kẻ tấn công sẽ có tất cả những gì cần thiết để gia nhập một mạng hợp pháp. Các cuộc tấn công này tồn tại trong mạng 802.11 vì mạng không yêu cầu sự xác thực hai chiều giữa AP và các nút. Chứng nhận ủy
nhiệm AP thường được quảng bá trong mạng. Điều này khiến cho kẻ tấn công dễ dàng nghe trộm mạng trong một thời điểm và có được tất cả các thông tin cần thiết. WEB được sử dụng để các nút tự xác thực chúng với AP nhưng WEB có nhiều điểm yếu. Kẻ tấn công nghe toàn bộ lưu lượng và tự giải mã để nắm được mật khẩu.
• Mạng 802.16:
Cũng giống như mạng 802.11 việc giả mạo BS vẫn tồn tại. IEEE sử dụng giao thức PKM với một vài thông điệp được trao đổi giữa BS và SS để nhận dạng lẫn nhau. Quá trình xác thực SS được thực hiện như sau: SS gửi thông điệp tới BS chứa chứng nhận số X509 được xác định bởi nhà sản xuất. SS gửi thông điệp thứ hai mà không cần chờ đợi sự phản hồi từ BS. Thông điệp thứ hai này cũng chứa chứng nhận số X509 và khóa chung của SS, khả năng an ninh và SAID của SS. Chứng nhận số được sử dụng để BS biết khóa chung của SS để tạo một thông điệp phản hồi. Nếu BS cho phép SS được trao quyền nó sẽ đáp lại bằng một thông điệp thứ ba để khởi tạo SA giữa BS và SS. Nhưng BS lại không thực hiện xác thực với SS vì vậy việc giả mạo BS hoàn toàn có thể.
Cuộc tấn công vào cơ chế sóng mang lớp vật lý:
• Mạng 802.11:
Gây nhiễu tần số là lỗ hổng an ninh tồn tại ở bất cứ mạng không dây nào. Tuy nhiên mức độ nguy hiểm rất khác nhau tùy thuộc vào giao diện lớp vật lý. Một số thông số sẽ quyết định khoảng chập nhận của mạng như công suất phát, độ nhạy của thiết bị thu, tấn số RF, băng tần và độ định hướng của Anten. Mạng 802.11 sử dụng cơ chế truy nhập môi trường CSMA, được thực hiện ở lớp MAC. Cơ chế này dùng để đảm bảo không xảy ra xung đột dữ liệu trên đường truyền. Nếu một nút muốn truyền tin, trước tiên nó phải lắng nghe sóng mang để biết rằng không có một nút nào trên mạng đang truyền tin. Nếu không có tín hiệu sóng mang, nó mới có thể truyền tin.
Có một vài cách để thực hiện các giao thức sóng mang lớp vật lý. Cách đơn giản nhất là làm cho tất cả các nút trong mạng tin rằng có một nút khác đang truyền dẫn tại thời điểm hiện tại. Để đạt được điều này chỉ cần tạo ra một nút trái phép để truyền tin liên tục. Cách thứ hai là sử dụng bộ phát sóng RF.
• Mạng 802.16:
Chuẩn 802.16 sử dụng lớp MAC không cạnh tranh, chứ không sử dụng lắng nghe sóng mang lớp vật lý để điều khiển sự cho phép truyền tin. Thực tế có một vài khe cạnh tranh truyền dẫn tồn tại trong mỗi khung, việc phát hiện xung đột được thực hiện chứ không phải sự tránh xung đột.
Bất kỳ một yêu cầu mà SS tạo ra trong khe cạnh tranh sẽ không cần sự xác nhận vì nếu có xung đột thì yêu cầu đó sẽ được truyền lại trong một khe thời gian ngẫu nhiên khác.
Tuy nhiên từ những bài học rút ra từ 802.11, kẻ tấn công sẽ phải thực hiện một cơ chế để đảm bảo sự cân bằng về hiệu suất sử dụng và phổ truyền dẫn.
Tất cả các trạm thuê bao SS phải nhận được UL-MAP để biết về lịch trình thời gian