Giả mạo điểm truy cập (AP Spoofing) là ví dụ điển hình của kiểu tấn công chen giữa. Các kẻ tấn công tự thử chứng giữa hai nút và điều khiển tất cả các lưu lượng trong cuộc tấn công này. Mối đe dọa này là rất nguy hiểm khi kẻ tấn công có thể nắm bắt tất cả các thông tin lưu thông qua mạng. Không phải là dễ dàng để tạo ra một tấn công chen giữa trong một mạng có dây vì nó yêu cầu truy cập mạng thực sự. Nhưng đối với mạng không dây, kẻ tấn công không cần truy cập vào lóp vật lý. Bước đầu tiên là thiết lập một AP giả mạo cho liên kết giữa một nút nạn nhân và AP hợp pháp. Sau đó, AP giả mạo được thiết lập bằng cách sao chép tất cả các cấu hình hợp pháp như: SSID, địa chỉ MAC,...
Bước tiếp theo là chờ đợi cho một người dùng mới cố gắng để kết nối với mạng qua kết nối với AP giả mạo. Người sử dụng có thể kết nối với các AP giả mạo hay kẻ tấn công có thể tạo ra một cuộc tấn công từ chối dịch vụ đối với AP hợp pháp để ngắt kết nối và người sử dụng mới tự động rơi vào cái bẫy với AP giả mạo. Trong mạng IEEE 802.11, các nút thuê bao lựa chọn AP bằng cường độ của tín hiệu nhận. Kẻ tấn công chỉ cần đảm bảo rằng AP của mình cung cấp cường độ tín hiệu lớn cho máy nạn nhân. Để đạt được điều này, kẻ tấn công cố gắng đặt AP của mình gần với nạn nhân hơn so với AP hợp pháp hoặc sử dụng một kỹ thuật khác bằng cách sử dụng ăng-ten định hướng. Kịch bản này được thể hiện trong hình 2.3.
Hình 2.3: Điểm truy nhập giả mạo bằng một nút giả mạo [18]
Do đó, nút nạn nhân được kết nối với AP giả mạo và tiếp tục công việc của nó như là với AP hợp pháp vì nó thực sự không biết thực tế. Kẻ tấn công bắt tất cả các thông tin bắt đầu cần thiết từ mật khẩu khi nạn nhân cố gắng để đăng nhập vào những truy cập khác nhau. Nhận được tất cả các thông tin cần thiết, kẻ tấn công đạt được khả năng thâm nhập vào các mạng lưới hợp pháp. Kiểu tấn công này có thể có trong mạng IEEE 802.11 bởi vì nó không có xác thực hai chiều mạnh giữa các AP và các nút. AP tin cậy thường phát sóng trên mạng dành cho các nút thuê bao. Hậu quả, nghe trộm mạng trở nên dễ dàng cho kẻ tấn công và anh ta có tất cả các thông tin cần thiết. Người sử dụng các nút có thế sử dụng xác thực WEP để xác thực với AP, nhưng WEP cũng có lỗ hổng tuy nhiên vẫn còn tương đối an toàn. Một kẻ tấn công cần phải nghe trộm rất nhiều lưu lượng truy cập và thử giải mã để có được mật khẩu.
B. Ứng dụng IEEE 802.16.
Giả mạo AP được gọi là BS giả mạo trong mạng IEEE 802.16. Để có được ủy quyền và dữ liệu tạo khoá lưu lượng giao thông trọng yếu từ BS, một SS sử dụng giao thức quản lý khoá PKM (KeyManagement Protocol).
Giao thức này cũng hỗ trợ việc tái phê chuấn định kỳ và tạo khóa mới. Giấy chứng thực số X.509, các thuật toán mã hóa khóa công khai RSA được sử dụng bởi các giao thức quản lý chủ chốt. Một thuật toán mã hóa mạnh hơn cũng được sử dụng thực hiện việc trao đổi khóa giữa SS và BS.
Giao thức PKM thực hiện như là một mô hình khách chủ (client-server). SS yêu cầu khóa chính là một khách hàng PKM và các BS là một máy chủ PKM đáp ứng với yêu cầu của SS. SS chỉ nhận được các dữ liệu tạo khoá từ BS khi chúng được phép. Các giao thức sử dụng các thông điệp quản lý MAC cho PKM-REQ và PKM-RSP giữa SS và BS. Mã hoá khóa công khai được sử dụng bởi giao thức PKM để thiết lập một chia sẻ, khóa xác thực bí mật (AK) giữa SS và BS. Khóa xác thực được sử dụng để bảo đảm an toàn cho các khóa mã hóa
lưu lượng (TEKs) trong quá trình trao đổi PKM tiếp theo.
Hình 2.4: SS xác thực và đăng ký [18]
Trong quá trình trao đổi ủy quyền ban đầu BS xác thực một SS khách hàng. Mỗi SS sử dụng duy nhất một giấy chứng chỉ số X.509 của nhà sản xuất. Các giấy chứng chỉ số có chứa khóa công khai của SS và địa chỉ MAC. Khi yêu cầu một AK, một SS trình bày giấy chứng nhận số cho BS. BS xác minh giấy chứng nhận số và sau đó sử dụng khóa công khai để mã hóa một AK gửi trở lại cho SS. Như vậy, với việc trao đổi AK, BS thiết lập một chứng thực xác lập của một khách hàng SS và SS được ủy quyền để truy cập các dịch vụ của nó được thể hiện trong hình 2.4.
Trong quá trình này rất khó khăn cho một kẻ tấn công để có thể vào bên trong mạng, đặc biệt là với SS. Các BS vẫn không được xác thực, điều này có thể là một điểm mấu chốt để tấn công. Tuy nhiên, phải rất chuyên nghiệp và hiểu biết, kẻ tấn công có thể vượt qua mạng. Chứng thực BS được thảo luận sau bài viết này như là một ý tưởng mới để tăng cường an ninh trong tiêu chuẩn IEEE 802.
Trạng thái của một SA chứng thực được chia sẻ giữa một BS và một SS thực tế. Các BS sử dụng SA chứng thực để cấu hình các DSA trên SS.
Quá trình nhận thực như sau: SS sử dụng chứng chỉ X.509 (trong đó có chứa khóa công khai của MS) để trao đổi các khả năng bảo mật với BS. Sau đó
BS tạo ra AK và gửi nó tới MS, AK này được mã hóa bằng khóa công khai của MS sử dụng lược đồ mã hóa công khai RSA. Quá trình nhận thực hoàn thành khi cả SS và BS đều sở hữu AK.