4.1. Bảo mật và Vo802.11
Hệ thống điện thoại truyền thống cĩ nhiều lỗ hổng để xâm nhập. Khi mà những cơng nghệ đĩ phát triển khơng đủ nhanh để hỗ trợ bảo mật tốt cho nhà khai thác. Vo802.11 phải khắc phục được những lo lắng về vấn đề an tồn của khách hàng trong mạng. Nỗi sợ hãi về sự nghe trộm và gian lận cĩ thể làm giảm nhu cầu sử dụng của khách hàng. Chương này mơ tả tiêu chuẩn bảo mật và phương pháp bảo mật cho mạng 802.11.
Khơng giống những hệ thống cĩ dây, được bảo vệ ở tầng vật lý, mạng khơng dây khơng bị giới hạn trong tồ nhà, tín hiệu cĩ thể thu được ở cự ly vài trăm mét với một laptop và một anten làm cho WLAN tồn tại những điểm yếu để tấn cơng. Kỹ thuật bảo vệ đầu tiên được đưa ra là Wireless Equivalency Protocol, nĩ là một giao thức mã hố, được thiết kế để cĩ được tính năng như mạng cĩ dây. Chuẩn sử dụng là 40 và 128 bit (thực tế thì chỉ 104bits) cho mã hố và ở lớp link, với thuật tốn RC4 do chính phủ Mỹ đưa ra.
802.11i được đưa ra với sự hỗ trợ WEP cho bảo mật. Theo Wi-Fi Alliance, những tổ chức nhỏ nên turn on WEP ở mức tối thiểu, dùng password bảo vệ cho những tài nguyên dùng chung, thay đổi tên mạng từ Service Set ID (SSID), dùng bộ lọc địa chỉ MAC, dùng key phiên, và hệ thống mạng VPN và những phương pháp khác cho tổ chức lớn hơn.
IEEE 802.11b, dựa trên hai kỹ thuật bảo mật là : (1) SSID và (2) WEP. Một số nhà sản xuất cịn đưa bộ lọc địa chỉ MAC và sản phẩm của họ.
Trang- 50 -
SSID- service set ID
SSID là một chuỗi dùng để xác định các miền giữa nhiều điểm truy cập (access points –AP) điều này cho phép sự chồng lấn trong mạng khơng dây. Nĩ được xem như là một password cơ bản để chống các client kết nối vào mạng, tuy nhiên cĩ thể tấn cơng dễ dàng bởi Aps quảng bá những SSIDs nhiều lần trong 1s,và bất kỳ cơng cụ phân tích 802.11 nào như là Airmagnet, Netstumbler, hay Wildpackets Airopeek cĩ thể đọc được nĩ. Người sử dụng thường cấu hình những clients, và password dễ dàng bị phát hiện.
WEP-Wireless Equivalency Protocol.
IEEE 802.11b dùng WEP để thẩm quyền truy cập mạng và mã hố chống nghe trộm cho dữ liệu.
Cĩ 4 chọn lựa cho WEP: 1.Khơng dùng WEP 2.Chỉ mã hố
3.Chỉ thẩm định quyền 4.Cả mã hố và thẩm quyền
WEP encryption dựa vào RC4, dùng key 40bit kết hợp với một vector 24bit khởi tạo ngẫu nhiên để mã hố dữ liệu truyền khơng dây.(điều này cũng giống với mã hố 64b). Cĩ thể dùng chung WEP key cho tất cả client và Aps. Hầu hết các nhà sản hiện nay sử dụng 128b WEP (104bit key), để tăng sức mạnh mã hố. Chế độ này khơng phải là chuẩn của IEEE 802.11b, phụ thuộc vào các nhà sản xuất, một trong số chúng khơng tương thích với nhau.
WEP cịn định nghĩa một giao thức thẩm quyền, cĩ hai dạng cho 802.11b là : open system (cho phép truy cập tuỳ ý, khơng thẩm quyền và mã hố dữ liệu, dùng cho nơi cơng cộng) và shared key (AP gửi một thơng điệp thẩm quyền cho client, client dùng shared key để mã hĩa thơng điệp đĩ, và gửi trả lại cho AP, nếu AP giải
Trang- 51 -
mã đúng thì client cĩ quyền truy cập ). Do cả “challenge pharse” (ở dạng cleartext) và khả năng kiểm tra thường xuyên, hacker cĩ thể bẻ khố WEP. Vì vậy cả open system và shared key đều khơng an tồn.
Việc phân phối các key dựa trên một dịch vụ quản lý bên ngồi để phân phối các secret key đến mỗi trạm, và khơng phải là một dịch vụ chỉ định, việc truy cập được xử lý một cách thủ cơng, các key sẽ tồn tại tĩnh trong quá trình trao đổi, ngoại trừ được thay đổi bởi nhà quản trị. Nguyên nhân khách quan là bản chất tĩnh của các key và quá trình xử lý thủ cơng tuần tự, dẫn đến việc thay đổi key sẽ tốn một lượng thời gian lớn trong mạng. Khi một trạm cĩ vấn đề, key sẽ được thay đổi đến tất cả các trạm trong mạng.
WEP hầu như cung cấp 4 shared key. Chúng được dùng chung cho tất cả client và Aps mỗi khi một client truy cập vào mạng. Hacker cĩ đủ thời gian và cơng cụ dowload từ web để xác định key .
MAC Address Filtering
MAC address filter chứa địa chỉ MAC của wireless NIC đã được kết hợp với mỗi AP. Một số nhà sản xuất cung cấp cơng cụ để tự động quá trình update và entry. MAC filter cũng khơng đảm bảo do địa chỉ MAC cĩ thể lấy được bởi một bộ sniffer (bộ phân tích mạng). Sau đĩ dùng Linux driver cho những card 802.11 để cấy hình địa chỉ MAC đã được sniffed và truy cập trở lại mạng.
Những mối nguy hiểm bảo mật
Mối nguy hiểm cĩ thể đến từ hacker, người cộng tác, từ bên trong, người thầu dự án, cá nhân bất bình trong cơng ty.
Trang- 52 -
4.1.1. Mơ hình bảo mật WLAN
Hình 4.1. Những kiểu tấn cơng và hướng tấn cơng trong WLAN Cĩ 4 lớp tấn cơng hệ thống chính : interception, fabrication, modification, and interruption, lớp thứ 5 là Repudiation, chống lại thơng tin tài khoản, cĩ thể tấn cơng cả hệ thống nguồn lẫn đích.
Trong trường hợp bình thường, thơng tin được gửi từ nguồn đến đích. Khi một cuộc tấn cơng xảy ra nĩ cĩ thể đến từ những dạng trong danh sách sau:
Interception-Chặn gĩi tin
Đối tượng tấn cơng cĩ thể chặn gĩi tin để đọc thơng tin được gởi từ nguồn đến đích. Sniffing là một ví dụ.
Hacker cố gắng lấy thơng tin hoặc định dạng thơng tin bằng cách phân tích lưu lượng trong hệ thống rồi suy luận ra mà khơng ảnh hưởng đến nguồn. Phần thị thực của đối tượng nguồn cĩ thể bị chặn và sẽ được sử dụng dưới dạng giả danh, thơng thường hacker đưa ra một bản tin như là thơng tin nhận thực, password, số thẻ tín dụng, hay những thơng tin nhạy cảm khác.
Fabrication-Nặc danh
Tấn cơng tích cực vào thẩm quyền, hacker giả vờ như là một thực thể nguồn ví dụ như là những gĩi bị spoofed và email giả dạng. WEP cĩ hai kỹ thuật thẩm quyền là là open system và shared key.
Trang- 53 - Man-in-the-Middle Attacks
Hình 4.2. mơ tả man in middle attack
Spoofing
DNS spoofing, bằng cách gởi một DNS response đến một DNS server trong mạng, IP address spoofing phụ thuộc vào router, chỉ kiểm tra IP address đích hay cả IP gửi. Cĩ thể chống loại tấn cơng này bằng thẩm định IP addr gửi.
Insertion Attacks-tấn cơng chèn
Cấu hình hay chèn bất hợp pháp một thiết bị để truy cập vào mạng gọi là tấn cơng chèn. Bằng cách cài đặt những card mạng khơng dây ở gần mục tiêu, thiết bị cĩ thể cấu hình để truy cập. Những AP khơng thẩm quyền cĩ thể được cài đặt để đưa người dùng truy cập vào AP của hacker. Nếu những AP này đặt sau firewall thì mối nguy hiểm càng lớn hơn.
Brute-Force Password Attacks
Là phương pháp crack password, nĩ sử dụng một từ điển và cố gắng lặp đi lặp lại để truy cập vào mạng. Loại tấn cơng này cĩ khả năng cho thẩm quyền bằng password.
Invasion và Resource Stealing
Một khi một hacker biết được cách thức điều khiển một WLAN, họ sẽ cĩ thể chiếm quyền điều khiển mạng hay trạm truy cập đĩ. Đánh cắp một trạm truy cập bằng cách giả một địa chỉ MAC cĩ thẩm quyền và dùng nĩ gán cho
Trang- 54 -
IP address. Chờ cho hệ thống chủ ngừng hoạt động thì hacker sẽ đưa hệ thống giả lên mạng và chờ người dùng đăng nhập.
Modification
Modification là một loại tấn cơng tích cực, hacker thay đổi thơng tin đã được gửi từ một nguồn. Chèn một Trojan hay virus là một ví dụ. Rất dễ dàng tấn cơng modification với WEP mà khơng bị phát hiện, vì ICV là một hàm tuyến tính, chỉ sử dụng phép cộng và nhân:
crc(x XOR y) = crc(x) XOR crc(y)
Với việc kiểm tra tính tồn vẹn bằng CRC-32, cĩ thể thay đổi một hay nhiều bits trong gĩi hay dự đốn bit nào trong checksum cần thay đổi.
Mất thiết bị
Đây là một vấn đề được chú ý bởi FBI, bởi dữ liệu nằm trong thiết bị đĩ cĩ thể được dùng để truy cập mạng cĩ dây một cách cĩ thẩm quyền.
Do virus
Đã cĩ một số loại virus xuất hiện trên điện thoại di động, như là VBS/Timo-A và LoveBug, như là khả năng gửi những message.
Replay-tấn cơng lặp
Replay là một kiểu tấn cơng tích cực dựa vào tính tồn vẹn, khi hacker gửi lại những thơng tin được gửi từ nguồn đến đích.
Bảo mật 802.11 cơ bản khơng bảo vệ chống relay, nĩ khơng chứa số tuần tự hay nhãn thời gian. Bởi vì IV và keys cĩ thể reused, cho nên cĩ khả năng replay bản tin với cùng IV mà khơng phát hiện bị chèn những bản tin giả vào hệ thống, Mỗi gĩi phải được thẩm quyền khơng chỉ là mã hố khơng, hay phải cĩ số tuần tự và nhãn thời gian.
Reaction- dị phản ứng
Là một kiểu tấn cơng tích cực, những gĩi được gởi bởi hacker đến đích, và những phản ứng sẽ được giám sát, ngồi ra thơng tin cĩ thể được học từ những kênh mới
Trang- 55 -
Hacker chặn thơng tin gửi từ nguồn, nĩ được xem như là tình trạng ngắt trong quá trình truyền, như là tấn cơng từ chối dịch vụ denial-of-service và network flooding.
Bằng cách làm tràn băng thơng của tồn mạng bằng cách dùng ARP flooding, ping broadcasts, TCP SYN flooding, queue flooding, smurfs, synk4, và những biện pháp flood khác. Cĩ thể dùng biện pháp vật lý như nhiễu RF để làm ngắt mạng
Denial of Service Attacks -từ chối dịch vụ
Cĩ nhiều loại tấn cơng phụ thuộc vào loại tài nguyên bị khố (khơng gian đĩa, băng thơng, bộ nhớ nội, bộ đệm…). Trong trường hợp đơn giản tạm dừng dịch vụ khi khơng thể ngăn chặn được, cịn khơng thì giới hạn tài nguyên sử dụng. Mạng khơng dây, kẻ tấn cơng cĩ thể dùng thiết bị chuyên dụng để làm nhiễu sĩng và ngắt dịch vụ đến mạng.
Repudiation -từ chối bản tin
Đây là loại tấn cơng tích cực dựa trên chức năng thừa nhận các bản tin của nguồn và đích. Làm cho bên nguồn từ chối gửi và cả đích từ chối nhận bản tin.
4.1.2. Kiến trúc mạng với WLAN
Cĩ sự ngăn chặn người dùng Lan và các điểm truy cập khơng dây bằng firewall như hình sau:
Trang- 56 -
Tính động và bảo mật. Trong trường hợp di động, giải pháp phải bảo mật phải áp dụng cho quá trình handoff, nĩ xuất hiện lỗ hổng cho tấn cơng tái định hướng, kẻ tấn cơng cĩ thể giao tiếp với đích sau khi quá trình chuyển giao xảy ra.
Chính sách bảo mật
Được đưa ra như bảng 4.1 sau:
4.1.3. Wi-Fi Protected Access
WPA dùng Temporal Key Integrity Protocol (TKIP), mức độ mã hố cao hơn WEP, sử dụng key hashing (KeyMix) và message integrity check (MIC). TKIP cịn dùng một rapid-rekeying(rekey) protocol để thay đổi key mã hố sau 10000 gĩi. Tuy nhiên nĩ cũng khơng loại bỏ những thuộc tính của bảo mật wifi, một khi tấn cơng được TKIP, cĩ thể điều khiển truy cập và thẩm quyền.
Cĩ hai chế độ làm việc là “preshared” key mode cho bảo mật thấp, chỉ đơn giản là nhập network key vào bộ truy cập.Trong chế độ quản lý, sẽ cĩ các dịch vụ thẩm quyền, địi hỏi hỗ trợ 802.1X và EAP. Cho phép client network adapter thoả thuận
Trang- 57 -
với một server thẩm quyền thơng qua một AP, bằng cách trao đổi các phiên key bảo mật.
Các thiết bị mạng khơng dây phải được upgrad WPA để sử dụng nĩ, việc cài đặt WEP mà mặc định, cĩ thể cài song song WEP và WAP.
Với 802.11i cĩ hỗ trợ một thuật tốn mã hố mới gọi là Advanced Encryption Standard (AES), thay thế RC4, điều này yêu cầu phải thay đổi phần cứng. Ngồi ra cịn cĩ secure fast handoff preauthentication, secure deassociation và deauthen- tication , security cho peer-to-peer communications (ad hoc mode). Những sản phẩm cĩ chuẩn 802.11i được gọi là “Wi-Fi WPA2-certified” .
4.1.4. 802.1x và EAP Advanced Security
802.1x standard cung cấp nền tảng thẩm quyền cho WLANs, cho phép thẩm quyền người dùng thơng qua một trung tâm thẩm quyền. Thuật tốn sử dụng đa dạng và bảo mật. Giải pháp dựa trên chứng thực như EAP-TLS (transport layer security), dựa trên password như EAP-OTP và EAP-MD5, thẻ thơng minh như EAP-SIM, hỗn hợp như EAP-TTLS dùng cả chứng thực và password. Nĩ sử dụng một giao thức cĩ sẵn là EAP(RFC 2284), làm việc trên ethernet, token ring, wireless Lan để trao đổi các bản tin trong quá trình thẩm quyền.
802.1x Network Port Authentication
Cĩ 3 thành phần chính: thành phần yêu cầu (client software), bộ thẩm định (access point), và server thẩm định (cho dịch vụ từ xa).
Trình tự thẩm quyền như sau: client gửi một thơng điệp bắt đầu cho AP, AP phát hiện thơng điệp, và mở một cổng thẩm quyền, chỉ cho thơng điệp 802.1x/EAP đi qua, mọi lưu lượng khác bị chặn lại.
Trang- 58 -
Hình 4.4. Thẩm quyền trong 802.1x
Client sau đĩ gửi một thơng điệp bắt đầu EAP, AP đáp ứng với một thơng điệp yêu cầu nhận thực cho client. Gĩi EAP-response của client chứa chứng thực, và được chuyển đến server thẩm quyền. Server sẽ trả lời bằng cách chấp nhận hoặc từ chối, nếu chấp nhận nĩ sẽ mở port cho giao tiếp.
EAP Extensible Authentication Protocol
EAP đuợc thiết kế để đáp ứng khả năng mềm dẻo, áp dụng cho thẩm quyền một số mạng. Được phát triển cho giao thức Point-to-Point (dùng số để thẩm quyền), IETF chuẩn hĩa bằng cách dùng EAP.
IEEE 802.1x dùng EAP như là phần nền, nĩ cho phép switch và AP cĩ thể hỗ trợ nhiều phương pháp chứng thực khác nhau. Lúc này các switch và AP như là các điểm trung gian cho EAP, cĩ thể thêm các phương pháp thẩm quyền khác mà khơng cần cài đặt, bằng cách cài đặt phần mềm ở host và server thẩm quyền.
Do khơng cần phải đĩng gĩi các packet như VPN, IEEE 802.1x cĩ thể đạt tốc độ 11Mbps (802.11) cho đến 10+Gbps, bằng cách upgrade firmware các switch, khơng cần phải mua các phần cứng mới.
802.1x/EAP Authenticators
RADIUS-remote access dial-in user service
Đây là một chuẩn cho chứng thực từ xa, được dùng phổ biến cho truy cập mạng như authentication, authorization, và accounting (AAA) trong cả hệ thống cũ và mới. Cho dù cĩ nhiều vấn đề về bảo mật và vận chuyển, nhưng RADIUS vẫn sẽ tiếp tục sử dụng rộng rãi trong vài năm nữa. Nĩ cĩ thể bị thay thế bởi giao thức mới là
Trang- 59 -
DIAMETER . RADIUS đơn giản, hiệu quả và dễ dàng thựcthi, do đĩ nĩ phù hợp cho các thiết bị nhúng rẻ tiền.
Vấn đề bảo mật xoay quanh các giao thức nghèo nàn, thiếu hỗ trợ. Mơ hình chia sẻ bí mật khơng đủ mạnh, RADIUS cần được bảo mật hơn với giao thức ngồi như Internet Protocol Security (IPsec).
RADIUS chạy trên nền UDP, khơng cĩ chế độ truyền lại, khơng cĩ chính sách ghi lại những bản ghi tài khoản, hay những bản tin bị lỗi. Điều này làm cho nĩ khơng tin cậy cho việc tính chi phí dịch vụ, đặc biệt khi hoạt động liên miền.
Nĩ cĩ hai đặc điểm là : authentication và accounting.
FreeRADIUS cho phép chạy trên nhiều nền hỗ trợ, bao gồm linux, FreeBSD, OpenBSD, OSF/Unix, và Solaris.
LEAP
Lightweight EAP (LEAP) do Cisco cung cấp, dùng cho card 802.11, RADIUS server và AP. Cĩ lỗ hơng cho tấn cơng từ điển trên đường truyền.
EAP-TLS
Đây là chuẩn mở hỗ trợ bởi nhiều nhà sản xuất, dùng public key infrastructure (PKI), hỗ trợ trên nền XP và Win2000, địi hỏi thiết bị phải cĩ x.509 certificate, nĩ hồn tồn trong suốt đối với người dùng.
EAP-TTLS
EAP-TTLS and EAP-TLS đều sử dụng TLS, EAP-TTLS chỉ yêu cầu server là cĩ certificate, người dùng sử dụng password để đăng nhập mạng, nĩ được bảo vệ bằng cách đĩng gĩi nĩ trong TLS.
EAP-SIM
Được phát triển bởi Nokia cho phép phần cứng thẩm quyền SIM chip, PEAPMột trong những yếu điểm của là đáp ứng được ít client.