Khuôn dạng PDU TC cho phép đồng bộ hoá MAC PDU tiếp sau trong trường hợp khối FEC trước đó có những lỗi không thể phục hồi được. Không có lớp TC, một SS hay BS nhận sẽ mất toàn bộ phần còn lại của một cụm khi có một lỗi không thể sửa chữa xuất hiện
CHƯƠNG II: VẤN ĐỀ AN NINH TRONG MẠNG WIMAX
2.1. Các lỗ hổng của mạng không dây (IEEE 802.11)
Hầu hết các lỗ hổng của IEEE 802.11 chia làm hai lớp, đó là lỗ hổng định danh (nhận dạng) và lỗ hổng điều khiển truy nhập phương tiện truyền.[19]
Lỗ hổng định danh diễn ra khi các thông điệp điều khiển và thông tin không được xác thực. [19] Những vụ tấn công xem chuẩn IEEE 802.11 là tiêu chuẩn mặc định tin tưởng các địa chỉ nguồn của thông điệp. Tiêu chuẩn này không có cơ chế xác thực người gửi một các chặt chẽ ở lớp MAC. Trạm nhận tiếp nhận thông điệp mà không cần quá trình xác thực thích hợp và chấp nhận bất kỳ thông điệp nào có định dạng đúng dù đó là thông điệp từ địa chỉ nguồn giả mạo.
Các lỗ hổng điều khiển truy nhập phương tiện truyền xảy ra khi kẻ tấn công giữ phương tiện truyền luôn luôn bận làm cho các trạm nạn nhân không truy cập được. Ở đây kẻ tấn công nhanh chóng gửi liên tiếp rất nhiều các gói dữ liệu ngắn và tất cả các nút tin rằng môi trường đã được sử dụng bởi nút mạng khác. Tất cả các nút khác đang nghe môi trường và đang chờ đợi đến lượt phát sóng, nhưng lại không nhận được vì môi trường vẫn còn bận. Một cách khác là kẻ tấn công gửi các gói dữ liệu đủ dài để giữ cho môi trường truyền dẫn bận rộn trong một thời gian dài. Các nút bị tấn công sẽ không truyền được và phải chờ đợi cho đến khi đường truyền rảnh. Bằng cách này, kẻ tấn công truyền cơ chế cảm nhận sóng mang vật lý của các nút mạng.
2.2. Phân tích về lỗ hổng của chuẩn IEEE 802.16
Cho đến này một số lỗ hổng của tiêu chuẩn IEEE 802.11 đã được giới thiệu. Có một số lỗ hổng khác cũng được phổ biến cho cả hai tiêu chuẩn. Phần này sẽ tập trung tìm hiểu cách thực hiện của những lỗ hổng này trên cả hai tiêu chuẩn. Có một số cải tiến thực hiện trong thời gian thiết kế tiêu chuẩn IEEE 802.16 và vì vậy một số lỗ hổng hiện diện trong IEEE 802.11 là không tồn tại trong IEEE 802.16. Những công nghệ được cải thiện cũng được đề cập trong chương này và một số đang được xây dựng.
2.2.1. Tấn công vào quá trình loại bỏ xác thực
A. Nền tảng IEEE 802.11
Tấn công vào quá trình loại bỏ xác thực (Deauthentication Attack) là một trong các lỗ hổng bảo mật nhận dạng tên trong tiêu chuẩn IEEE802.11. Một nút
mới phải đi qua một xác thực và quá trình liên kết để có được truy cập trong một mạng IEEE 802.11. Nếu là chứng thực mở, thì bất kỳ nút nào cũng có thế tham gia mạng lưới một cách tự do. Tuy nhiên, nếu nó được bảo đảm trên cơ sở khóa chia sẻ, thì truy cập cần mật khẩu mạng. Sau khi xác thực là quá trình kết nối và sau đó nó được quyền truy cập dữ liệu (gửi và nhận) trên toàn bộ mạng. Khi một nút nhận một thông điệp loại bỏ xác thực phải ngay lập tức rời mạng và trở lại trạng thái cơ sở của nó.
Trong các cuộc tấn công loại bỏ xác thực, kẻ tấn công ngụy trang mình như một nút không dây của mạng. Đầu tiên nó xác định địa chỉ của các điểm truy cập (AP) tương tự như BS (Base Station) trong một mạng IEEE 802.16. Mạng không dây được kiểm soát bởi AP [18]. Địa chỉ của AP là không được bảo vệ bằng mật mã logic. Đôi khi AP được cấu hình theo cách mà địa chỉ của chúng có thể được tìm thấy bằng cách lắng nghe rồi truyền cho các nút khác mặc dù chúng không truyền đi một cách trực tiếp.
Hình 2.1: Tấn công bằng thông điệp loại bỏ xác thực [18]
Bằng cách nhận được địa chỉ của AP, kẻ tấn công sử dụng nó như là địa chỉ quảng bá mặc định. Các kẻ tấn công truyền thông điệp loại bỏ xác thực đến tất cả các trạm trong vùng phủ sóng. Các nút trạm tin rằng thông điệp này đên từ
AP và dừng truyền ngay lập tức. Những nút này phải khởi động lại xác thực và quá trình liên kết từ đầu. Kẻ tấn công lặp đi lặp lại việc truyền tải thông điệp loại bỏ xác thực và làm cho lưu lượng trong mạng hoàn toàn nhàn rỗi. Điều này được thể hiện trong hình 3.1.
Tấn công loại bỏ xác thực có thể là do lỗ hổng của quy trình cơ bản của xác thực thông điệp. Điều quan trọng nhất là nguồn gốc địa chỉ thông điệp là hoàn toàn không được thẩm định kiểm tra một cách logic. Vì không có mật mã logic bảo vệ cho các nguồn địa chỉ của AP. Đây là một nhược điểm dễ dàng để các kẻ tấn công xây dựng các thông điệp hợp lệ và chuyển chúng vào mạng.
Nếu thông điệp được định dạng hoàn hảo, nạn nhân sẽ đáp ứng với nó và rơi vào bẫy.
B. Ứng dụng IEEE 802.16.
Có một số thông điệp MAC trong IEEE 802.16, tương tự như thông điệp loại bỏ xác thực trong IEEE 802.11. Một trong những thông báo là lệnh thiết lập lại lệnh kết nối (RES-CMD). Các trạm cơ sở (BS) sẽ gửi thông điệp đến một trạm thuê bao riêng (SS) để nó thiết lập lại kết nối [18]. Trạm thuê bao khi nhận được lệnh RES-CMD hợp lệ sẽ ghi nhận địa chỉ MAC của nó và cổ gắng lặp lại truy cập hệ thống ban đầu được thể hiện trong hình 3.2. BS được phép gửi lệnh RES-CMD để thiết lập lại kết nối nếu SS không đáp ứng hoặc bị hỏng hóc. Cũng tương tự như vậy là lệnh “Xóa đăng ký/ đăng ký lại, (DREG-CMD)”. BS buộc SS để thay đổi trạng thái truy cập hay bắt buộc SS phải giải phóng kênh truyền dẫn bằng cách gửi thông điệp này.
Không giống như IEEE 802.11, IEEE 802.16 đã bảo vệ an toàn chống lại việc lợi dụng những lệnh RES-CMD, DREG-CMD. Cơ chế bảo vệ đầu tiên là việc sử dụng hàm băm mã hóa thông điệp xác thực (HMAC) với SHA- 1. Trong cơ chế này, cứ mỗi 160 bit HMAC được tạo ra bằng cách sử dụng thông điệp gốc và khóa chia sẻ bí mật. HMAC được gửi tới người nhận cùng với thông điệp gốc. Sau khi nhận được thông báo, trạm nhận tính toán HMAC bằng cách sử dụng thông điệp và khóa bí mật. Giá trị HMAC tính toán so sánh với giá trị HMAC nhận được, nếu bằng nhau thì mới được chấp nhận.
Hình 2.2: Ngăn chặn tấn công sử dụngRES-CMD [18]
2.2.2. Tấn công lặp gói tin
A. Nền tảng IEEE 802.11
Một cuộc tấn công lặp lại là một cuộc tấn công mà một thông báo xác thực hoặc dữ liệu được tái hiện lại bởi một kẻ tấn công để đánh lừa một máy thu cấp quyền truy cập cho kẻ tấn công. Nó có thể như một kiểu truyền lại dữ liệu vào một mạng để kẻ tấn công hoàn thành mục tiêu phá hoại của nó. Có thể một mẩu thông tin hợp lệ bị chặn bởi một kẻ tấn công và tái sử dụng mà không bị
sửa đổi. Trong mạng IEEE 802.11, cuộc tấn công này có thể tạo ra một tấn công từ chối của dịch vụ (DoS). Do đó nó trở thành một vấn đề lớn để quan tâm. Việc nút nhận nhận thông điệp là hợp lệ và sẽ tiêu tốn băng thông và thời gian tính toán và thực thi. Việc không kiểm tra tuần tự các thông điệp làm cho mạng IEEE 802.11 nhạy cảm với lỗ hổng này. Không có phương pháp phát hiện và loại bỏ các thông điệp lặp lại trong mạng IEEE 802.11.
B. Ứng dụng IEEE 802.16
Kịch bản này hoàn toàn khác trong tiêu chuẩn IEEE 802.16. Để thực hiện
một tấn công lặp gói tin thành công, kẻ tấn công cần các hoạt động được cả ở
BS và SS. Nếu mạng thiết kế theo chế độ FDD (Frequency Division Duplexing), truyền dẫn của BS và SS diễn ra trong các tần sổ khác nhau, rất khó để kẻ tấn công truyền dữ liệu trong một tần số và dữ liệu nhận lại ở một tần số khác. Một lần nữa, sự hiện diện của HMAC bảo đảm để thông điệp truyền lại không được thay đối, như vậy thông báo có tái sử dụng lại được không phụ thuộc vào chi tiết bên trong thông điệp. Khi có các thông tin như nhãn thời gian hoặc số trình tự trong thông điệp thì kiểu tấn công lặp gói tin rất khó thực hiện.
Một thông điệp gốc RES - CMD không chứa bất kỳ số trình tự hay nhãn thời gian nào. Vì vậy, một kẻ tấn công có thể sử dụng thông điệp để tấn công lặp lại gói tin. Nhưng kiểu tấn công này khó thực hiện được bởi vì chuẩn IEEE 802.16 đưa tiêu đề MAC vào các thông điệp để tính toán tóm lược HMAC. Các tiêu đề MAC chứa CID (Connection Identifíer), SS sẽ xoá sau khi nhận được thông điệp này. Sau khi xoá, SS sẽ tiếp tục hoạt động theo CID mới do BS cung cấp. Các CID ở giá trị 16 bit và BS lựa chọn mới ngẫu nhiên trong số 65.536. Kẻ tấn công khó có thể đoán được SS sẽ được chỉ định với một CID. Ngay cả khi vẫn cùng CID, SS sẽ thương lượng một tập mới của các khóa để xác thực thông điệp. Như vậy, một cuộc tấn công lặp dựa trên RES-CMD khó thành công. Một tấn công lặp gói tin với DRES-CMD cũng tương tự.
2.2.3 . Tấn công giả AP
Giả mạo điểm truy cập (AP Spoofing) là ví dụ điển hình của kiểu tấn công chen giữa. Các kẻ tấn công tự thử chứng giữa hai nút và điều khiển tất cả các lưu lượng trong cuộc tấn công này. Mối đe dọa này là rất nguy hiểm khi kẻ tấn công có thể nắm bắt tất cả các thông tin lưu thông qua mạng. Không phải là dễ dàng để tạo ra một tấn công chen giữa trong một mạng có dây vì nó yêu cầu truy cập mạng thực sự. Nhưng đối với mạng không dây, kẻ tấn công không cần truy cập vào lóp vật lý. Bước đầu tiên là thiết lập một AP giả mạo cho liên kết giữa một nút nạn nhân và AP hợp pháp. Sau đó, AP giả mạo được thiết lập bằng cách sao chép tất cả các cấu hình hợp pháp như: SSID, địa chỉ MAC,...
Bước tiếp theo là chờ đợi cho một người dùng mới cố gắng để kết nối với mạng qua kết nối với AP giả mạo. Người sử dụng có thể kết nối với các AP giả mạo hay kẻ tấn công có thể tạo ra một cuộc tấn công từ chối dịch vụ đối với AP hợp pháp để ngắt kết nối và người sử dụng mới tự động rơi vào cái bẫy với AP giả mạo. Trong mạng IEEE 802.11, các nút thuê bao lựa chọn AP bằng cường độ của tín hiệu nhận. Kẻ tấn công chỉ cần đảm bảo rằng AP của mình cung cấp cường độ tín hiệu lớn cho máy nạn nhân. Để đạt được điều này, kẻ tấn công cố gắng đặt AP của mình gần với nạn nhân hơn so với AP hợp pháp hoặc sử dụng một kỹ thuật khác bằng cách sử dụng ăng-ten định hướng. Kịch bản này được thể hiện trong hình 2.3.
Hình 2.3: Điểm truy nhập giả mạo bằng một nút giả mạo [18]
Do đó, nút nạn nhân được kết nối với AP giả mạo và tiếp tục công việc của nó như là với AP hợp pháp vì nó thực sự không biết thực tế. Kẻ tấn công bắt tất cả các thông tin bắt đầu cần thiết từ mật khẩu khi nạn nhân cố gắng để đăng nhập vào những truy cập khác nhau. Nhận được tất cả các thông tin cần thiết, kẻ tấn công đạt được khả năng thâm nhập vào các mạng lưới hợp pháp. Kiểu tấn công này có thể có trong mạng IEEE 802.11 bởi vì nó không có xác thực hai chiều mạnh giữa các AP và các nút. AP tin cậy thường phát sóng trên mạng dành cho các nút thuê bao. Hậu quả, nghe trộm mạng trở nên dễ dàng cho kẻ tấn công và anh ta có tất cả các thông tin cần thiết. Người sử dụng các nút có thế sử dụng xác thực WEP để xác thực với AP, nhưng WEP cũng có lỗ hổng tuy nhiên vẫn còn tương đối an toàn. Một kẻ tấn công cần phải nghe trộm rất nhiều lưu lượng truy cập và thử giải mã để có được mật khẩu.
B. Ứng dụng IEEE 802.16.
Giả mạo AP được gọi là BS giả mạo trong mạng IEEE 802.16. Để có được ủy quyền và dữ liệu tạo khoá lưu lượng giao thông trọng yếu từ BS, một SS sử dụng giao thức quản lý khoá PKM (KeyManagement Protocol).
Giao thức này cũng hỗ trợ việc tái phê chuấn định kỳ và tạo khóa mới. Giấy chứng thực số X.509, các thuật toán mã hóa khóa công khai RSA được sử dụng bởi các giao thức quản lý chủ chốt. Một thuật toán mã hóa mạnh hơn cũng được sử dụng thực hiện việc trao đổi khóa giữa SS và BS.
Giao thức PKM thực hiện như là một mô hình khách chủ (client-server). SS yêu cầu khóa chính là một khách hàng PKM và các BS là một máy chủ PKM đáp ứng với yêu cầu của SS. SS chỉ nhận được các dữ liệu tạo khoá từ BS khi chúng được phép. Các giao thức sử dụng các thông điệp quản lý MAC cho PKM-REQ và PKM-RSP giữa SS và BS. Mã hoá khóa công khai được sử dụng bởi giao thức PKM để thiết lập một chia sẻ, khóa xác thực bí mật (AK) giữa SS và BS. Khóa xác thực được sử dụng để bảo đảm an toàn cho các khóa mã hóa
lưu lượng (TEKs) trong quá trình trao đổi PKM tiếp theo.
Hình 2.4: SS xác thực và đăng ký [18]
Trong quá trình trao đổi ủy quyền ban đầu BS xác thực một SS khách hàng. Mỗi SS sử dụng duy nhất một giấy chứng chỉ số X.509 của nhà sản xuất. Các giấy chứng chỉ số có chứa khóa công khai của SS và địa chỉ MAC. Khi yêu cầu một AK, một SS trình bày giấy chứng nhận số cho BS. BS xác minh giấy chứng nhận số và sau đó sử dụng khóa công khai để mã hóa một AK gửi trở lại cho SS. Như vậy, với việc trao đổi AK, BS thiết lập một chứng thực xác lập của một khách hàng SS và SS được ủy quyền để truy cập các dịch vụ của nó được thể hiện trong hình 2.4.
Trong quá trình này rất khó khăn cho một kẻ tấn công để có thể vào bên trong mạng, đặc biệt là với SS. Các BS vẫn không được xác thực, điều này có thể là một điểm mấu chốt để tấn công. Tuy nhiên, phải rất chuyên nghiệp và hiểu biết, kẻ tấn công có thể vượt qua mạng. Chứng thực BS được thảo luận sau bài viết này như là một ý tưởng mới để tăng cường an ninh trong tiêu chuẩn IEEE 802.
Trạng thái của một SA chứng thực được chia sẻ giữa một BS và một SS thực tế. Các BS sử dụng SA chứng thực để cấu hình các DSA trên SS.
Quá trình nhận thực như sau: SS sử dụng chứng chỉ X.509 (trong đó có chứa khóa công khai của MS) để trao đổi các khả năng bảo mật với BS. Sau đó
BS tạo ra AK và gửi nó tới MS, AK này được mã hóa bằng khóa công khai của MS sử dụng lược đồ mã hóa công khai RSA. Quá trình nhận thực hoàn thành khi cả SS và BS đều sở hữu AK.
2.2.4 . Giả địa chỉ MAC
A. Nền tảng IEEE 802.11
Địa chỉ MAC là một địa chỉ tồn tại trong lớp liên kết dữ liệu của mô hình OSI. Có hai lớp con trong lớp liên kết dữ liệu như đã đề cập trong chương 1. Hai lớp này là điều khiển truy cập phương tiện truyền, lớp (MAC) và điều khiển logic lớp liên kết (LLC). Một nút mạng sử dụng địa chỉ MAC để truy cập vào mạng và cho phép truyền dữ liệu được điều khiển bởi các lớp con MAC. Địa chỉ MAC là một địa chỉ duy nhất mà được ghi vào phần cứng trong thời gian sản xuất.
Trong tiêu chuẩn IEEE 802.11 lọc địa chỉ MAC của AP là một cách để ngăn chặn không cho những người sử dụng bất hợp pháp tham gia vào mạng lưới. Tuy nhiên, nó đã bị phát hiện và việc giả mạo MAC không phải là một việc khó