2. BẢO MẬT MẠNG KHÔNG DÂY
2.2Giải pháp lọc địa chỉ MAC
2.2.1 Khái niệm địa chỉ MAC
MAC là viết tắt của cụm từ Media Access Control là địa chỉ thực sự của một thiết
bị mạng, còn được gọi là địa chỉ vật lý. Địa chỉ MAC là một số dài 6 byte, thường được viết dưới dạng 12 chữ số Hexa (ví dụ: 1AB4C234AB1F). Địa chỉ MAC của một IP được xác định bởi giao thức ARP (Address Resolution Protocol). Trong mô hình OSI (Open Systems Interconnection) hay mô hình tham chiếu kết nối các hệ thống mở thì địa chỉ MAC (Media Access Control) nằm ở lớp 2 (lớp liên kết dữ liệu hay Data Link Layer). Nói một cách đơn giản, địa chỉ MAC là địa chỉ vật lý hay còn gọi là số nhận dạng (Identification number) của thiết bị. Mỗi thiết bị (card mạng, modem, router...) được nhà sản xuất (NSX) chỉ định và gán sẵn 1 địa chỉ nhất định; thường được viết theo 2 dạng: MM:MM:MM:SS:SS:SS (cách nhau bởi dấu :) hay MM- MM-MM-SS-SS-SS (cách nhau bởi dấu -). Địa chỉ MAC là một số 48 bit được biểu diễn bằng 12 số hexa (hệ số thập lục phân), trong đó 24bit đầu (MM:MM:MM) là mã số của NSX (Linksys, 3COM...) và 24 bit sau (SS:SS:SS) là số seri của từng card mạng được NSX gán. Như vậy sẽ không xảy ra trường hợp hai thiết bị trùng nhau địa chỉ vật lý vì số nhận dạng ID này đã được lưu trong chip ROM trên mỗi thiết bị trong quá trình sản xuất, người dùng không thể thay đổi được.
Mối liên hệ giữa địa chỉ MAC và địa chỉ IP
Địa chỉ MAC làm việc ở lớp 2 trong khi địa chỉ IP làm việc ở lớp 3 (lớp mạng hay Network Layer). Địa chỉ MAC là cố định (được thiết lập cứng) trong khi địa chỉ IP có thể thay đổi được (thiết lập mềm). Trong mạng luôn duy trì một ánh xạ giữa địa chỉ IP và địa chỉ MAC của thiết bị. Do đó, các thiết bị thường dùng cơ chế ARP (Address Res- olution Protocol) và RARP (Reverse Address Resolution Protocol) để tìm được địa chỉ MAC, IP của các thiết bị khác khi cần thiết lập kết nối. DHCP cũng thường dựa vào địa chỉ MAC để quản lý việc gán địa chỉ IP cho mỗi thiết bị.
Ví dụ: một máy tính có IP là 192.168.1.1 (máy A) muốn gửi thông tin đến một máy tính khác có IP là 192.168.1.2 (máy B). Trước tiên máy A sẽ gửi một gói tin broadcast để hỏi máy tính nào có IP là 192.168.1.2. Máy B sẽ trả lời lại máy A rằng nó có địa chỉ IP cần tìm và kèm theo là địa chỉ MAC của nó, sẽ được lưu tạm trong bảng ARP của máy A trong khoảng thời gian mặc định là 30 giây. Quá trình này có thể diễn giải như cuộc đối thoại sau:
DE:AD:BE:EF:CA:FE, bạn vui lòng phản hồi lại cho tôi.
• Máy B (192.168.1.2): Xin chào DE:AD:BE:EF:CA:FE, Tôi có IP là
192.168.1.2 và địa chỉ MAC của tôi là 12:34:56:78:90:12, bạn có thể gửi gói tin IP cho tôi.
Có thể xem nội dung bảng ARP của một máy tính bằng lệnh “arp –a” trong
Windows và “arp” trong Linux. ARP cũng có thể thực hiện bằng cách một máy tính trong LAN gửi địa chỉ MAC của nó đến các máy khác trong cùng mạng để được cache ưu tiên, trừ khi máy nhận được cấu hình từ chối những trả lời ARP không được yêu cầu.
Hình 27: Bảng Address Resolution Protocol
Cách tìm địa chỉ MAC
Có nhiều cách để xác định địa chỉ MAC, chẳng hạn như dựa vào loại thiết bị đang sử dụng, vào hệ điều hành (HĐH) đang sử dụng.
Với HĐH Windows: Sử dụng lệnh “winipcfg” (Windows 95, 98 và ME) hoặc “ip- config /all” (Windows NT, 2000, XP, Vista, Windows 7). Cả hai lệnh “winipcfg” và “ipconfig” đều có thể hiển thị nhiều địa chỉ MAC tương ứng với nhiều card mạng khác nhau trên cùng máy tính.
Với HĐH Unix/Linux: Tùy thuộc vào phiên bản HĐH mà lệnh tìm địa chỉ MAC sẽ khác nhau, chẳng hạn trong Linux và 1 vài phiên bản của Unix, lệnh "ifconfig -a" sẽ trả về địa chỉ MAC của thiết bị hoặc có thể tìm địa chỉ MAC trong file log (/var/log/mes- sages hay /var/adm/message). Bên cạnh đó, HĐH cũng hiển thị địa chỉ MAC trên màn hình trong quá trình hệ thống khởi động.
HĐH Macintosh: Trong Macintosh, có thể tìm địa chỉ MAC trong TCP/IP Control Panel. Nếu chạy trên Open Transport, địa chỉ MAC thường xuất hiện bên dưới màn hình "Info" hay "User Mode/Advanced". Nếu chạy trên MacTCP, địa chỉ MAC sẽ ở dưới biểu tượng "Ethernet".
Hình 28: Xem địa chỉ MAC của card mạng trực tiếp trên thiết bị
Hầu hết các Access Point (AP) và router đều có tính năng quản lý kết nối nhằm tăng cường khả năng bảo mật cho mạng Wi-Fi. Mặc định tính năng này là tắt nên bất kỳ máy khách nào cũng có thể truy cập vào mạng nếu dò được tên mạng (hay còn gọi là SSID) và mật khẩu mã hóa. Để kích hoạt chức năng lọc địa chỉ MAC, trước tiên bạn cần thu thập địa chỉ MAC của từng máy khách cho phép kết nối tới mạng Wi-Fi. Sau đó, chỉ cần điền chúng vào mục lọc địa chỉ MAC trên AP hoặc router, nhấn OK để xác nhận việc cập nhật danh sách. Sau khi thiết lập, các máy khách không có tên (địa chỉ MAC) trong danh sách sẽ không được phép đăng nhập mạng.
Việc lọc địa chỉ MAC còn nhiều hạn chế do một số phần mềm có thể tạo địa chỉ MAC “ảo" tuy nhiên mạng vẫn an toàn hơn khi có thêm một lớp bảo mật.
2.2.3 Cách đổi địa chỉ MAC
Như đã đề cập bên trên, địa chỉ MAC thường được gán cố định và lưu trong chip ROM trên mỗi thiết bị nhằm tránh trường hợp trùng địa chỉ MAC giữa hai thiết bị. Tuy nhiên trong một số trường hợp cần thiết, vẫn có thể thay đổi địa chỉ MAC để việc cài đặt ứng dụng được thuận tiện hơn, chẳng hạn:
- Với Windows: Địa chỉ MAC thường được lưu trong registry. Do đó, sử dụng lệnh “regedit” để thay đổi địa chỉ MAC. Windows XP có thêm tùy chọn cho phép thay đổi địa chỉ MAC của một số card mạng trong tab Adavanced. Ngoài ra, có thể dùng tiện ích để thực hiện việc này, chẳng hạn tiện ích miễn phí Macshift (http://devices.natetrue.- com/macshift).
- Với Mac OS: Sử dụng tính năng MAC Spoofing trên máy tính.
- Với FreeBSD: Sử dụng lệnh theo cú pháp "ifconfig link" để thay đổi địa chỉ MAC. - Với Linux: Sử dụng lệnh theo cú pháp "ifconfig hw" hoặc sử dụng GNU MAC Changer.
- Với Solaris: Sử dụng lệnh theo cú pháp "ifconfig".
2.2.4 Thử nghiệm thay đổi địa chỉ MAC
- Hệ thống thử nghiệm như sau Modem ADSL: TP-Link Router wirless: Tenda W311R
Phần mềm clone MAC: Macchanger
- Mô hình mạng là: Internet Modem ADSL (192.168.1.1) Router wireless (192.168.0.1) Client (192.168.0.x)
- Bước 1: Thiết lập lọc địa chỉ MAC, cấm không cho client có địa chỉ MAC đó kết nối ra Internet trên control panel của router wireless Tenda W311R (adsbygoogle = window.adsbygoogle || []).push({});
Hình 30: Thiết lập lọc địa chỉ MAC
- Bước 2: Trên máy client bị cấm, tiến hành kết nối vào mạng thông qua wireless router. Mặc dù vẫn có thể kết nối đến router wireless và có mạng nội bộ LAN nhưng máy tính đã bị lọc MAC sẽ không thể kết nối đến mạng WAN của modem ADSL và không ra được internet
Hình 31: Không ping được modem ADSL
- Bước 3: Khởi động sang Ubuntu, chạy Macchanger và dùng nó để đổi địa chỉ MAC
Hình 32: Thực hiện việc đổi địa chỉ MAC
- Bước 4: Vào control panel của router wireless, kiểm tra bảng địa chỉ IP cho DHCP đã cấp. Ta thấy router wireless ghi nhận địa chỉ MAC mới được tham gia vào mạng, và DHCP đã cấp phát IP cho phép kết nối.
Hình 33: Router wireless ghi nhận địa chỉ MAC mới
- Bước 4: Trên client đã được kết nối, thử ping modem ADSL và tiến hành truy cập internet, thu được kết quả bình thường. Mạng đã thông suốt.
Hình 34: Sau đó Client đã có thể kết nối đến modem ADSL (192.168.1.1) và ra được internet
2.3.1 Giao thức WEP
WEP (Wired Equivalent Privacy) nghĩa là bảo mật tương đương với mạng có dây (Wired LAN). Khái niệm này là một phần trong chuẩn IEEE 802.11. Theo định nghĩa, WEP được thiết kế để đảm bảo tính bảo mật cho mạng không dây đạt mức độ như mạng nối cáp truyền thống. Đối với mạng LAN (định nghĩa theo chuẩn IEEE 802.3), bảo mật dữ liệu trên đường truyền đối với các tấn công bên ngoài được đảm bảo qua biện pháp giới hạn vật lý, tức là hacker không thể truy xuất trực tiếp đến hệ thống đường truyền cáp. Do đó chuẩn 802.3 không đặt ra vấn đề mã hóa dữ liệu để chống lại các truy cập trái phép. Đối với chuẩn 802.11, vấn đề mã hóa dữ liệu được ưu tiên hàng đầu do đặc tính của mạng không dây là không thể giới hạn về mặt vật lý truy cập đến đường truyền, bất cứ ai trong vùng phủ sóng đều có thể truy cập dữ liệu nếu không được bảo vệ.
Hình 35: Quy trình mã hóa WEP sử dụng thuật toán RC4
WEP cung cấp bảo mật cho dữ liệu trên mạng không dây qua phương thức mã hóa sử dụng thuật toán đối xứng RC4, được Ron Rivest - thuộc hãng RSA Security Inc phát triển. Thuật toán RC4 cho phép chiều dài của khóa thay đổi và có thể lên đến 256 bit. Chuẩn 802.11 đòi hỏi bắt buộc các thiết bị WEP phải hỗ trợ chiều dài khóa tối thiểu là 40 bit, đồng thời đảm bảo tùy chọn hỗ trợ cho các khóa dài hơn. Hiện nay, đa số các thiết bị không dây hỗ trợ WEP với ba chiều dài khóa: 40 bit, 64 bit và 128 bit. Với phương thức mã hóa RC4, WEP cung cấp tính bảo mật và toàn vẹn của thông tin trên mạng không dây, đồng thời được xem như một phương thức kiểm soát truy cập. Một máy nối mạng không dây không có khóa WEP chính xác sẽ không thể truy cập đến Access Point (AP) và cũng không thể giải mã cũng như thay đổi dữ liệu trên đường truyền.
2.3.2 Hạn Chế của WEP
WEP sử dụng khóa cố định được chia sẻ giữa một Access Point (AP) và nhiều người dùng (users) cùng với một IV ngẫu nhiên 24 bit. Do đó, cùng một IV sẽ được sử dụng lại nhiều lần. Bằng cách thu thập thông tin truyền đi, kẻ tấn công có thể có đủ thông tin cần thiết để có thể bẻ khóa WEP đang dùng.
Một khi khóa WEP đã được biết, kẻ tấn công có thể giải mã thông tin truyền đi và có thể thay đổi nội dung của thông tin truyền. Do vậy WEP không đảm bảo được confidentiality và integrity. Việc sử dụng một khóa cố định được chọn bởi người sử dụng và ít khi được thay đổi (tức có nghĩa là khóa WEP không được tự động thay đổi) làm cho WEP rất dễ bị tấn công. WEP cho phép người dùng (supplicant) xác minh (authenticate) AP trong khi AP không thể xác minh tính xác thực của người dùng. Nói một cách khác, WEP không cung ứng mutual authentication.
Do WEP sử dụng RC4, một thuật toán sử dụng phương thức mã hóa dòng (stream cipher), nên cần một cơ chế đảm bảo hai dữ liệu giống nhau sẽ không cho kết quả giống nhau sau khi được mã hóa hai lần khác nhau. Đây là một yếu tố quan trọng trong vấn đề mã hóa dữ liệu nhằm hạn chế khả năng suy đoán khóa của hacker. Để đạt mục đích trên, một giá trị có tên Initialization Vector (IV) được sử dụng để cộng thêm với khóa nhằm tạo ra khóa khác nhau mỗi lần mã hóa. IV là một giá trị có chiều dài 24 bit và được chuẩn IEEE 802.11 đề nghị (không bắt buộc) phải thay đổi theo từng gói dữ liệu. Vì máy gửi tạo ra IV không theo định luật hay tiêu chuẩn, IV bắt buộc phải được gửi đến máy nhận ở dạng không mã hóa. Máy nhận sẽ sử dụng giá trị IV và khóa để giải mã gói dữ liệu.
Cách sử dụng giá trị IV là nguồn gốc của đa số các vấn đề với WEP. Do giá trị IV được truyền đi ở dạng không mã hóa và đặt trong header của gói dữ liệu 802.11 nên bất cứ ai "tóm được" dữ liệu trên mạng đều có thể thấy được. Với độ dài 24 bit, giá trị của IV dao động trong khoảng 16.777.216 trường hợp. Những chuyên gia bảo mật tại đại học California-Berkeley đã phát hiện ra là khi cùng giá trị IV được sử dụng với cùng khóa trên một gói dữ liệu mã hóa (khái niệm này được gọi nôm na là va chạm IV), hacker có thể bắt gói dữ liệu và tìm ra được khóa WEP. Thêm vào đó, ba nhà phân tích mã hóa Fluhrer, Mantin và Shamir (FMS) đã phát hiện thêm những điểm yếu của thuật toán tạo IV cho RC4. FMS đã vạch ra một phương pháp phát hiện và sử dụng những IV lỗi nhằm tìm ra khóa WEP.
Thêm vào đó, một trong những mối nguy hiểm lớn nhất là những cách tấn công dùng hai phương pháp nêu trên đều mang tính chất thụ động. Có nghĩa là kẻ tấn công chỉ cần thu nhận các gói dữ liệu trên đường truyền mà không cần liên lạc với Access Point. Điều này khiến khả năng phát hiện các tấn công tìm khóa WEP đầy khó khăn và gần như không thể phát hiện được.
Hiện nay, trên Internet đã sẵn có những công cụ có khả năng tìm khóa WEP như AirCrack, AirSnort, WepCrack, WepAttack, WepCrack, WepLab, …
Với những điểm yếu nghiêm trọng của WEP và sự phát tán rộng rãi của các công cụ dò tìm khóa WEP trên Internet, giao thức này không còn là giải pháp bảo mật được chọn cho các mạng có mức độ nhạy cảm thông tin cao. Tuy nhiên, trong rất nhiều các thiết bị mạng không dây hiện nay, giải pháp bảo mật dữ liệu được hỗ trợ phổ biến vẫn là WEP. Dù sao đi nữa, các lỗ hổng của WEP vẫn có thể được giảm thiểu nếu được cấu hình đúng, đồng thời sử dụng các biện pháp an ninh khác mang tính chất hỗ trợ.
Để gia tăng mức độ bảo mật cho WEP và gây khó khăn cho hacker, các biện pháp sau được đề nghị:
Hình 36: Cấu hình WEP trên router wireless/ acess point
Sử dụng khóa WEP có độ dài 128 bit: Thường các thiết bị WEP cho phép cấu
hình khóa ở ba độ dài: 40/64 bit, 104/128 bit. Sử dụng khóa với độ dài 128 bit gia tăng số lượng gói dữ liệu hacker cần phải có để phân tích IV, gây khó khăn và kéo dài thời gian giải mã khóa WEP. Nếu thiết bị không dây của bạn chỉ hỗ trợ WEP ở mức 40 bit (thường gặp ở các thiết bị không dây cũ), cần liên lạc với nhà sản xuất để tải về phiên bản cập nhật firmware mới nhất.
Thực thi chính sách thay đổi khóa WEP định kỳ: Do WEP không hỗ trợ phương
thức thay đổi khóa tự động nên sự thay đổi khóa định kỳ sẽ gây khó khăn cho người sử dụng. Tuy nhiên, nếu không đổi khóa WEP thường xuyên thì cũng nên thực hiện ít nhất một lần trong tháng hoặc khi nghi ngờ có khả năng bị lộ khóa.
Sử dụng các công cụ theo dõi số liệu thống kê dữ liệu trên đường truyền không dây: Do các công cụ dò khóa WEP cần bắt được số lượng lớn gói dữ liệu và
hacker có thể phải sử dụng các công cụ phát sinh dữ liệu nên sự đột biến về lưu lượng dữ liệu có thể là dấu hiệu của một cuộc tấn công WEP, đánh động người quản trị mạng phát hiện và áp dụng các biện pháp phòng chống kịp thời.
2.3.4 Tương lai của WEP (adsbygoogle = window.adsbygoogle || []).push({});
Như đã được đề cập trong phần trên, WEP (802.11) không cung cấp độ bảo mật cần thiết cho đa số các ứng dụng không dây cần độ an toàn cao. Do sử dụng khóa cố định, WEP có thể được bẻ khóa dễ dàng bằng các công cụ sẵn có. Điều này thúc đẩy các nhà quản trị mạng tìm các giải pháp WEP không chuẩn từ các nhà sản xuất. Tuy nhiên, do những giải pháp này không được chuẩn hóa nên lại gây khó khăn cho việc tích hợp các thiết bị giữa các hãng sản xuất khác nhau.
Chuẩn 802.11i đã được phát triển bởi IEEE với mục đích khắc phục các điểm yếu của WEP và trở thành chuẩn thay thế hoàn toàn cho WEP khi được chấp thuận và triển khai rộng rãi. Về phương diện kỹ thuật, chuẩn WPA là bản sao mới nhất của 802.11i và đảm bảo tính tương thích giữa các thiết bị từ các nhà sản xuất khác nhau. Tới thời điểm hiện nay, một số các thiết bị WiFi mới đã hỗ trợ WPA, WPA2 giải quyết được vấn đề bảo mật của WEP. Sau này, chuẩn 802.11i đã được gộp chung vào chuẩn 802.11-2007