BẢO MẬT MẠNG KHÔNG DÂY

Một phần của tài liệu Tổng quan mạng wlan (Trang 41)

3.1 Tại sao phải bảo mật mạng không dây ?

Để kết nối tới một mạng LAN hữu tuyến ta cần phải truy cập theo đường truyền bằng dây cáp, phải kết nối một PC vào một cổng mạng. Với mạng không dây ta chỉ

40

cần có máy của ta trong vùng sóng bao phủ của mạng khơng dây. Điều khiển cho mạng có dây là đơn giản: đường truyền bằng cáp thơng thường được đi trong các tịa nhà cao tầng và các port khơng sử dụng có thể làm cho nó disable bằng các ứng dụng quản lý. Các mạng khơng dây (hay vơ tuyến) sử dụng sóng vơ tuyến xuyên qua vật liệu của các tịa nhà và như vậy sự bao phủ là khơng giới hạn ở bên trong một tịa nhà. Sóng vơ tuyến có thể xuất hiện trên

đường phố, từ các trạm phát từ các mạng LAN này, và như vậy ai đó có thể truy cập nhờ thiết bị thích hợp. Do đó mạng khơng dây của một cơng ty cũng có thể bị truy cập từ bên ngồi tịa nhà cơng ty của họ. Việc truy nhập này có thể gây hại cho cơ sở dữ liệu của công ty

3.2 Các phương thức tấn công vào mạng

3.2.1 Tấn công không qua chứng thực

Tấn công không qua chứng thực (Deauthentication attack) là sự khai thác gần như hoàn hảo lỗi nhận dạng trong mạng 802.11. Trong mạng 802.11 khi một nút mới gia nhập vào mạng nó sẽ phải đi qua q trình xác nhận cũng như các q trình có liên quan khác rồi sau đó mới được phép truy cập vào mạng. Bất kỳ các nút ở vị trí nào cũng có thể gia nhập vào mạng bằng việc sử dụng khố chia sẻ tại vị trí nút đó để biết được mật khẩu của mạng. Sau quá trình xác nhận, các nút sẽ đi tới các q trình có liên quan để có thể trao đổi dữ liệu và quảng bá trong tồn mạng. Trong suốt q trình chứng thực chỉ có một vài bản tin dữ liệu, quản lý và điều khiển là được chấp nhận. Một trong các bản tin đó mang lại cho các nút khả năng địi hỏi khơng qua chứng thực từ mỗi nút khác. Bản tin đó được sử dụng khi một nút muốn chuyển giữa hai mạng khơng dây khác nhau. Ví dụ nếu trong cùng một vùng tồn tại nhiều hơn một mạng khơng dây thì nút đó sẽ sử dụng bản tin này. Khi một nút nhận được bản tin “không qua chứng thực” này nó sẽ tự động rời khỏi mạng và quay trở lại trạng thái gốc ban đầu của nó.

Trong tấn cơng khơng qua chứng thực, tin tặc sẽ sử dụng một nút giả mạo để tìm ra địa chỉ của AP đang điều khiển mạng. Khơng q khó để tìm ra địa chỉ của AP bởi nó khơng được bảo vệ bởi thuật tốn mã hố, địa chỉ của chúng có thể được tìm thấy nếu chúng ta lắng nghe lưu lượng giữa AP và các nút khác. Khi tin tặc có được địa chỉ của

41

AP, chúng sẽ gửi quảng bá các bản tin khơng chứng thực ra tồn mạng khiến cho các nút trong mạng ngay lập tức dừng trao đổi tin với mạng. Sau đó tất cả các nút đó sẽ cố kết nối lại, chứng thực lại và liên kết lại với AP tuy nhiên do việc truyền các bản tin không qua chứng thực được lặp lại liên tục khiến cho mạng rơi vào tình trạng bị dừng hoạt động.

3.2.2 Tấn cơng truyền lại

Tấn công truyền lại (Replay Attack) là tin tặc đứng chắn ngang việc truyền thông tin hợp lệ và rồi sử dụng lại nó. Tin tặc khơng thay đổi bản tin mà chỉ gửi lại nó trong thời điểm thích hợp theo sự lựa chọn của tin tặc Trong mạng 802.11, tấn công truyền lại tạo ra kiểu tấn cơng từ chối dịch vụ vì khi nút nhận được một bản tin hợp lệ nó sẽ chiếm dụng băng thơng và tính tốn thời gian để giải mã bản tin đó. Các lỗi dễ bị tấn cơng nhất trong 802.11 rất nhạy với hình thức tấn cơng này là các bản tin khơng có thứ tự một cách rõ ràng. Trong 802.11 khơng có cách nào để dò và loại bỏ các bản tin bị truyền lại.

3.2.3 Giả mạo AP

Giả mạo AP là kiểu tấn công “man in the middle” cổ điển. Đây là kiểu tấn công mà tin tặc đứng ở giữa và trộm lưu lượng truyền giữa 2 nút. Kiểu tấn cơng này rất mạnh vì tin tặc có thể trộm tất cả lưu lượng đi qua mạng. Rất khó khăn để tạo một cuộc tấn cơng “man in the middle” trong mạng có dây bởi vì kiểu tấn công này yêu cầu truy cập thực sự đến đường truyền. Trong mạng khơng dây thì lại rất dễ bị tấn cơng kiểu này. Tin tặc cần phải tạo ra một AP thu hút nhiều sự lựa chọn hơn AP chính thống. AP giả này có thể được thiết lập bằng cách sao chép tất cả các cấu hình của AP chính thống đó là: SSID, địa chỉ MAC v.v..

Bước tiếp theo là làm cho nạn nhân thực hiện kết nối tới AP giả. Cách thứ nhất là đợi cho nguời dùng tự kết nối. Cách thứ hai là gây ra một cuộc tấn công từ chối dịch vụ DoS trong AP chính thống do vậy nguời dùng sẽ phải kết nối lại với AP giả. Trong mạng 802.11 sự lựa chọn AP được thực hiện bởi cường độ của tín hiệu nhận. Điều duy nhất tin tặc phải thực hiện là chắc chắn rằng AP của mình có cường độ tín hiệu mạnh hơn cả. Để có được điều đó tin tặc phải đặt AP của mình gần người bị lừa hơn là AP chính thống hoặc sử dụng kỹ thuật anten định hướng. Sau khi nạn nhân kết nối tới AP

42

giả, nạn nhân vẫn hoạt động như bình thường do vậy nếu nạn nhân kết nối đến một AP chính thống khác thì dữ liệu của nạn nhân đều đi qua AP giả. Tin tặc sẽ sử dụng các tiện ích để ghi lại mật khẩu của nạn nhân khi trao đổi với Web Server. Như vậy tin tặc sẽ có được tất cả những gì anh ta muốn để đăng nhập vào mạng chính thống.

Kiểu tấn cơng này tồn tại là do trong 802.11 không yêu cầu chứng thực 2 hướng giữa AP và nút. AP phát quảng bá ra toàn mạng. Điều này rất dễ bị tin tặc nghe trộm và do vậy tin tặc có thể lấy được tất cả các thông tin mà chúng cần. Các nút trong mạng sử dụng WEP để chứng thực chúng với AP nhưng WEP cũng có những lỗ hổng có thể khai thác. Một tin tặc có thể nghe trộm thơng tin và sử dụng bộ phân tích mã hố để trộm mật khẩu của người dùng.

Hình 20 : Tấn cơng man in the middle

3.2.4 Tấn cơng dựa trên sự cảm nhận sóng mang vật lý

Tần số là một nhược điểm bảo mật trong mạng không dây. Mức độ nguy hiểm thay đổi phụ thuộc vào giao diện của lớp vật lý. Có một vài tham số quyết định sự chịu đựng của mạng là: năng lượng máy phát, độ nhạy của máy thu, tần số RF, băng thông và sự định hướng của anten.

Trong 802.11 sử dụng thuật tốn đa truy cập cảm nhận sóng mang (CSMA) để tránh va chạm.CSMA là một thành phần của lớp MAC. CSMA được sử dụng để chắc chắn rằng sẽ khơng có va chạm dữ liệu trên đường truyền.. Kiểu tấn công này không

43

sử dụng tạp âm để tạo ra lỗi cho mạng nhưng nó sẽ lợi dụng chính chuẩn đó. Thậm chí là kỹ thuật sử dụng trải phổ tuần tự trực tiếp (DSSS), mã sửa sai FEC hay CRC đều vơ ích với kiểu tấn cơng này.

Có nhiều cách để khai thác giao thức cảm nhận sóng mang vật lý. Cách đơn giản là làm cho các nút trong mạng đều tin tưởng rằng có một nút đang truyền tin tại thời điểm hiện tại. Cách dễ nhất đạt được điều này là tạo ra một nút giả mạo để truyền tin một cách liên tục. Một cách khác là sử dụng bộ tạo tín hiệu RF. Một cách tấn công tinh vi hơn là làm cho card mạng chuyển vào chế độ kiểm tra mà ở đó nó truyền đi liên tiếp một mẫu kiểm tra. Tất cả các nút trong phạm vi của một nút giả là rất nhạy với sóng mang và trong khi có một nút đang truyền th. sẽ khơng có nút nào được truyền. Theo như tin tặc thì đó là kiểu rất dễ bị tấn cơng vì nó khơng địi hỏi thiết bị đặc biệt.

3.2.5 Giả địa chỉ Mac

Trong 802.11 địa chỉ MAC là một cách để ngăn người dùng bất hợp pháp gia nhập vào mạng. Việc giả địa chỉ MAC là một nhiêm vụ khá dễ dàng đối với tin tặc. Trong khi giá trị được mã hố trong phần cứng là khơng thể thay đổi thì giá trị được đưa ra trong phần sụn (chương trình cơ sở) của phần cứng lại có thể thay đổi được. Có nhiều chương trình sử dụng cho các hệ điều hành khác nhau có thể thay đổi được địa chỉ MAC được đưa ra trong bộ điều hợp mạng. Thủ tục này thực sự là rất dễ và có thể được thực hiện trong vài phút. Thậm chí sau khi giả địa chỉ MAC trở nên phổ biến, 802.11 vẫn cịn sử dụng phương pháp chứng thực này bởi vì địa chỉ MAC 48 bit là đủ dài để ngăn chặn các cuộc tấn cơng vào nó. Nhiều chương trình mới đã được tạo ra để cho phép tin tặc vượt qua được sự khó khăn này. Tin tặc khơng phải đi tìm địa chỉ MAC bởi vì nó được phát quảng bá ra tồn mạng do chuẩn 802.11 yêu cầu như vậy. Chỉ có một vài gói tin mà tin tặc cần chặn lại để lấy địa chỉ MAC và do vậy bằng việc giả mạo địa chỉ MAC tin tặc đã được nhận dạng như một người dùng hợp pháp của mạng.

3.2.6 Tấn công từ chối dịch vụ

Đây là hình thức tấn cơng làm cho các mạng không dây không thể phục vụ được người dùng, từ chối dịch vụ với những người dùng hợp pháp. Trong mạng có dây có các hình thức tấn cơng từ chối dịch vụ DoS (Denial of Service) phổ biến như Ping

44

of Death, SYN Flooding. Các hình thức này dựa trên cơ chế của bộ giao thức TCP/IP, có thể khiến cho máy chủ bị treo. Mạng khơng dây tồn tại những điểm yếu để tấn cơng DoS khác với mạng có dây ví dụ như khi sóng radio truyền trong mơi trường, nó rất dễ bị ảnh hưởng bởi các yếu tố khách quan cũng như chủ quan. Một kẻ tấn cơng có thể tạo ra các sóng có cùng tần số với tần số truyền tín hiệu để gây nhiễu cho đường truyền. Điều này địi hỏi một bộ phát sóng đủ đảm bảo tín hiệu ổn định cho mạng.

3.3 Các phương pháp bảo mật mạng Wlan

- Firewall , phương pháp lọc

- Xác thực

- Mã hóa dữ liệu truyền

3.3.1 Firewall ; các phương pháp lọc

Lọc (Filtering) là một cơ chế bảo mật căn bản mà có thể dùng bổ sung cho WEP hoặc AES. Lọc theo nghĩa đen là chặn những gì khơng mong muốn và cho phép những gì được mong muốn. Filter làm việc giống như là một danh sách truy nhập trên router: bằng cách xác định các tham số mà các trạm phải gán vào để truy cập mạng. Với WLAN thì việc đó xác định xem các máy trạm là ai và phải cấu hình như thế nào. Có ba loại căn bản của Filtering có thể thực hiện trên WLAN

- Lọc SSID

- Lọc địa chỉ MAC

- Lọc giao thức

Đoạn này sẽ miêu tả mỗi loại này là gì, nó có thể làm gì cho người quản trị và phải cấu hình nó như thế nào.

a) Lọc SSID

Lọc SSID (SSID Filtering) là một phương pháp lọc sơ đẳng, và nên chỉ được dùng cho hầu hết các điều khiển truy nhập. SSID (Service Set Identifier) chỉ là một thuật ngữ khác cho tên mạng. SSID của một trạm WLAN phải khớp với SSID trên AP (chế độ cơ sở, infracstructure mode) hoặc của các trạm khác (chế độ đặc biệt, Ad-hoc mode) để chứng thực và liên kết Client để thiết lập dịch vụ.

Vì lí do SSID được phát quảng bá trong những bản tin dẫn đường mà AP hoặc các Station gửi ra, nên dễ dàng tìm được SSID của một mạng sử dụng một bộ phân

45

tích mạng, Sniffer. Nhiều AP có khả năng lấy các SSID của các khung thông tin dẫn đường (beacon frame). Trong trường hợp này client phải so khớp SSID để liên kết với AP. Khi một hệ thống được cấu hình theo kiểu này, nó được gọi là hệ thống đóng (closed system). Lọc SSID được coi là một phương pháp không tin cậy trong việc hạn chế những người sử dụng trái phép của một WLAN. Một vài loại AP có khả năng gỡ bỏ SSID từ những thông tin dẫn đường hoặc các thông tin kiểm tra. Trong trường hợp này, để gia nhập dịch vụ một trạm phải có SSID được cấu hình bằng tay trong việc thiết đặt cấu hình driver.

Một vài lỗi chung do người sử dụng WLAN tạo ra khi thực hiện SSID là:

- Sử dụng SSID mặc định : Sự thiết lập này là một cách khác để đưa ra thông tin

về WLAN của mạng. Nó đủ đơn giản để sử dụng một bộ phân tích mạng để lấy địa chỉ MAC khởi nguồn từ AP, và sau đó xem MAC trong bảng OUI của IEEE, bảng này liệt kê các tiền tố địa chỉ MAC khác nhau mà được gán cho các nhà sản xuất. Cách tốt nhất để khắc phục lỗi này là: Luôn luôn thay đổi SSID mặc định

- Làm cho SSID có gì đó liên quan đến cơng ty: Loại thiết lập này là một mạo

hiểm về bảo mật vì nó làm đơn giản hóa q trình một hacker tìm thấy vị trí vật lý của cơng ty. Khi tìm kiếm WLAN trong một vùng địa lý đặc biệt thì việc tìm thấy vị trí vật lý của cơng ty đã hồn thành một nửa cơng việc. Khi một người quản trị sử dụng SSID mà đặt tên liên quan đến tên cty hoặc tổ chức, việc tìm thấy WLAN sẽ là rất dễ dàng. Do đó hãy nhớ rằng: ln ln sử dụng SSID không liên quan đến Công ty.

- Sử dụng SSID như những phương tiện bảo mật mạng WLAN: SSID phải được

người dùng thay đổi trong việc thiết lập cấu hình để vào mạng. Nó nên được sử dụng như một phương tiện để phân đoạn mạng chứ không phải để bảo mật, vì thế hãy: ln

coi SSID chỉ như một cái tên mạng.

- Không cần thiết quảng bá các SSID: Nếu AP của mạng có khả năng chuyển

SSID từ các thơng tin dẫn đường và các thơng tin phản hồi để kiểm tra thì hãy cấu hình chúng theo cách đó. Cấu hình này ngăn cản những người nghe vơ tình khỏi việc gây rối hoặc sử dụng WLAN.

b) Lọc địa chỉ MAC

WLAN có thể lọc dựa vào địa chỉ MAC của các trạm khách. Hầu hết tất cả các AP, thậm chí cả những cái rẻ tiền, đều có chức năng lọc MAC. Người quản trị mạng có thể biên tập, phân phối và bảo trì một danh sách những địa chỉ MAC được phép và

46

lập trình chúng vào các AP. Nếu một Card PC hoặc những Client khác với một địa chỉ MAC mà không trong danh sách địa chỉ MAC của AP, nó sẽ khơng thể đến được điểm truy nhập đó.

Hình 21 : Lọc địa chỉ MAC

Tất nhiên, lập trình các địa chỉ MAC của các Client trong mạng WLAN vào các AP trên một mạng rộng thì khơng thực tế. Bộ lọc MAC có thể được thực hiện trên vài RADIUS Server thay vì trên mỗi điểm truy nhập. Cách cấu hình này làm cho lọc MAC là một giải pháp an tồn, và do đó có khả năng được lựa chọn nhiều hơn. Việc nhập địa chỉ MAC cùng với thông tin xác định người sử dụng vào RADIUS khá là đơn giản, mà có thể phải được nhập bằng bất cứ cách nào, là một giải pháp tốt. RADIUS Server thường trỏ đến các nguồn chứng thực khác, vì vậy các nguồn chứng thực khác phải được hỗ trợ bộ lọc MAC. Bộ lọc MAC có thể làm việc tốt trong chế độ ngược lại.

Một phần của tài liệu Tổng quan mạng wlan (Trang 41)

Tải bản đầy đủ (DOCX)

(87 trang)
w