3.2.1.1 Điều khiển thụ động
Một AP WLAN được thiết lập ban đầu khơng có kĩ thuật bảo mật. Dẫn đến, tất cả dữ liệu gửi giữa AP và thiết bị Client, như là điện thoại IP hoặc một máy tính tích hợp thiết bị khơng dây, được gửi đi mà hồn tồn khơng có bất cứ sự mã hóa nào. Tất nhiên, điều này rất nguy hiểm, một hacker có thể sử dụng cơng cụ bắt gói tin (packet-sniffing), như là Ethereal, và có thể giám sát được luồng lưu lượng giữa AP và Client và có thể lấy mật khẩu, email, tài liệu, các cuộc gọi thoại. Hơn nữa, một AP với cấu hình mặc định sẽ có username và mật khẩu mặc định, mà tất cả đều có thể biết. Do đó, chúng ta phải thường xuyên cập nhật, sử lỗi để có được sự bảo mật tốt nhất.
Thí dụ, một người sử dụng hợp pháp có thể sử dụng tên đăng nhập và mật khẩu của anh ta khi truy cập vào một website. Hacker có thể thu giữ lại các gói chứa tên đăng nhập và mật khẩu khi dữ liệu đi qua môi trường vô tuyến từ thiết bị Client của người sử dụng tới AP. Hacker có thể khơng quan tâm tới trang web mà người sử dụng đang truy cập nhưng thực tế là người sử dụng thường dùng chung một mật khẩu cho nhiêu trang web, trong đó có nhiều trang quan trọng, như là ngân hàng, các công ty… Những hệ thống này thường mã hóa mật khẩu trao đổi, bởi vậy hacker khơng thể giám sát chúng. Nhưng hacker có thể tiếp tục giám sát lưu lượng của người sử dụng và phát hiện ra địa chỉ nơi mà hoạt động đăng nhập xảy ra. Với việc dùng chung mật khẩu, hacker có thể truy cập tới tài khoải ngân hàng của người sử dụng và các ứng dụng.
Để tránh bị rơi vào cạm bẫy này, người sử dụng phải thường sử dụng mật khẩu khác nhau cho mỗi tài khoản. Hơn nữa hệ thống vơ tuyến có thể thực hiện một dạng mã hóa khá mạnh để đảm bảo rằng hacker dị ra bất kì thứ gì từ dữ liệu mà hacker giám sát.
3.2.1.1 Truy cập trái phép
Nếu chức năng bảo mật của một AP khơng được kích hoạt thì bất kì người nào với một chiếc laptop tích hợp thiết vơ tuyến đều có thể truy nhập vào mạng LAN khơng dây đặt tại một tịa nhà, một nhà máy hay một bệnh viện. AP không được bảo mật liên tục gửi gói tin báo hiệu quảng bá mà một laptop khơng dây có thể thu được và hệ thống Microsoft Window sẽ hiển thị SSID (Service Set Identifier) tìm thấy trong bản tin báo hiệu khi một
mạng không dây là khả dụng. Người sử dụng laptop, có thể là hacker, sau đó thực sự kết nối tới AP, điều này làm hacker trở thành một bộ phận trong mạng của công ty. Đặc điểm này cho phép hacker sử dụng kế hoạch và công cụ hỗ trợ để ăn trộm dữ liệu được đặt tại máy chủ của mạng. Thí dụ, hacker có thể chạy phần mềm quét cổng giao thức TCP và phát hiện ra các giao diện ứng dụng của người quản trị không được bảo mật và các công cụ hỗ trợ trên máy chủ. Điều này có thể cho phép hacker tạo một tài khoản trên hệ thống cho hắn và bắt đầu sử dụng để ăn trộm nhưng file, ứng dụng không cho phép.
3.2.1.2 Từ chối dịch vụ
Một tấn công từ chối dịch vụ là một cuộc tấn cơng có thể làm tổn thương hoặc phá hỏng một mạng WLAN. Nó chặn người sử dụng điện thoại IP của họ.
Một dạng của tấn công DoS là phương pháp “brute-force”, nó có thể đến từ hai dạng: hoặc là một lượng gói rất lớn tràn tới chiếm hết tài nguyên của mạng làm cho nó bị dừng lại, hoặc một tín hiệu vơ tuyến rất mạnh vượt trội hơn các sóng khác truy cập tới AP làm cho người sử dụng khác không thể truy cập vào. Một hacker có thể thực hiện kiểu tấn cơng brute-force bằng cách sử dụng các máy tính khác trên mạng để gửi các gói tin tới máy chủ. Phương pháp này tạo ra hậu quả nghiêm trọng, nó chiếm hết băng thông của người sử dụng hợp pháp trên mạng.
Việc sử dụng tín hiệu vơ tuyến rất mạnh để làm ngắt mạng là kiểu tấn công rất nguy hiểm với hacker. Vì một máy phát cơng suất lớn tại vị trí tương đối gần phải được sử dụng để thực hiện kiểu tấn công này, người chủ của WLAN có thể tìm thấy hacker bằng việc sử dụng cơng cụ tại nhà như là AirMagnet.
Thỉnh thoảng một vụ DoS xảy ra trên mạng có thể khơng phải do cố ý. Dải tần mà 802.11b hoạt động rất động đúc. Các thiết bị khác có dải tần 2,4GHz như là lị vi sóng, điện thoại đi động, bluetooth có thể làm giảm đáng kể hiệu suất của 802.11b.
Để chống lại DoS bạn phải cẩn thận trong thiết kế, giới hạn số sóng trong mạng.
3.2.2 Các phương pháp bảo mật cho VoWLAN
An toàn truy cập và bảo mật cho mạng cục bộ khơng dây sử dụng các phương pháp thuộc sau:
• Xác thực: Sử dụng các phương pháp: VPN Fix (Virtual Private Network Fix),
802.1x
• Mã hóa dữ liệu truyền: Sử dụng các phương pháp: WEP (Wired Equivalent
Privacy), WPA (Wifi Protected Access), 802.11i (WPA2).
3.2.2.2 Xác thực
Xác thực là một quá trình để nhận biết một người hoặc thành phần mạng dựa trên dữ liệu xác thực, như trong hình 3.6 . Xác thực bảo đảm rằng một người sử dụng hoặc một thành phần của mạng được cho phép kết nối với người sử dụng khác hoặc thiết bị khác. Q trình này
tương tự với việc người sử dụng trình giấy phép trước khi đi vào một khu vực được bảo đảm. Bảo vệ kiểm tra tên người sử dụng trong danh sách và xác nhận ảnh trên giấy phép đúng với người đó. Nếu mọi kiểm tra được thông qua, bảo vệ mở cửa và người sử dụng có thể đi vào khu vực đó.
Hình 3.6: Quá trình xác thực
Các hệ thống mạng thực hiện xác nhận lẫn nhau. Một Access Point xác nhận rằng một thiết bị vô tuyến đang muốn truy nhập được cho phép và thiết bị này bảo đảm Acces Point được xác thực. Nếu xác nhận này khơng được thực hiện thì một hacker có thể bật một Acces point giả mạo ở gần người sử dụng và phát tín hiệu làm ngắt kết nối thiết bị của người sử dụng với Access point đúng. Thiết bị người sử dụng sau đó sẽ kết nối với Access point giả mạo của hacker. Hacker có thể cấu hình Access Point này để thu dữ liệu của người sử dụng chuyển tới máy tính của mình, và thu thập các thơng tin quan trọng như là mật khẩu. Việc xác nhận lẫn nhau có thể ngăn chặn tình huống này.
Sau đây chúng ta sẽ xét các kĩ thuật xác nhận được sử dụng trong mạng WLAN.
a, Phương pháp VPN Fix
Phương pháp này chỉ được xem như là một giải pháp tình thế vì khi nhận ra sự yếu kém của WEP, những người sử dụng doanh nghiệp đã khám phá ra một cách hiệu quả để bảo vệ mạng không dây WLAN của mình, được gọi là VPN Fix. Ý tưởng cơ bản của phương pháp này là coi những người sử dụng WLAN như những người sử dụng dịch vụ truy cập từ xa.
Trong cách cấu hình này, tất các những điểm truy cập WLAN, và cũng như các máy tính được kết nối vào các điểm truy cập này, đều được định nghĩa trong một mạng LAN ảo (Virtual LAN). Trong cơ sở hạ tầng bảo mật, các thiết bị này được đối xử như là "không tin tưởng". Trước khi bất cứ các thiết bị WLAN được kết nối, chúng sẽ phải được sự cho phép từ thành phần bảo mật của mạng LAN. Dữ liệu cũng như kết nối của các thiết bị sẽ phải chạy qua một máy chủ xác thực như RADIUS chẳng hạn... Tiếp đó, kết nối sẽ được thiết lập thành một tuyến kết nối bảo mật đã được mã hoá bởi một giao thức bảo mật ví dụ như IPSec, giống như khi sử dụng các dịch vụ truy cập từ xa qua Internet.
Tuy nhiên, giải pháp này cũng không phải là hoàn hảo, VPN Fix cần lưu lượng VPN lớn hơn cho tường lửa, và cần phải tạo các thủ tục khởi tạo cho từng người sử dụng. Hơn nữa, IPSec lại không hỗ trợ những thiết bị có nhiều chức năng riêng như
thiết bị cầm tay, máy quét mã vạch... Cuối cùng, về quan điểm kiến trúc mạng, cấu hình theo VPN chỉ là một giải pháp tình thế chứ khơng phải là sự kết hợp với WLAN.
b, Hệ thống xác thực mở
Hệ thống xác thực mở là chế độ mặc định sử dụng cho việc xác thực client với Access Point, như trong hình 3.7 . Trong chế độ này, client gửi một khung xác thực tới Access point và Access point gửi lại một bản tin xác thực.
Hình 3.7 : Hệ thống xác thực mở
Bất kì client nào với SSID đúng đều có thể xác thực. Điều này có thể thực hiện một cách dễ dàng bằng cách người sử dụng chọn mạng khơng dây thích hợp qua kết nối mạng khơng dây của hệ điều hành Microsoft, nếu SSID được phát quảng bá. Hoặc nó có thể được tìm thấy bằng cách sử dụng các phần mềm dị tìm nếu SSID khơng được phát quảng bá. Dạng xác thực này tạo ra một hệ thống mở, khơng thực sự hồn tồn là một dạng xác thực.
Nhiều AP có khả năng lấy các SSID của các khung thông tin dẫn đường (beacon frame). Trong trường hợp này client phải so khớp SSID để liên kết với AP. Khi một hệ thống được cấu hình theo kiểu này, nó được gọi là hệ thống đóng, closed system. Lọc SSID được coi là một phương pháp không tin cậy trong việc hạn chế những người sử dụng trái phép của một WLAN. Một vài loại AP có khả năng gỡ bỏ SSID từ những thông tin dẫn đường hoặc các thông tin kiểm tra. Trong trường hợp này, để gia nhập dịch vụ một trạm phải có SSID được cấu hình bằng tay trong việc thiết đặt cấu hình driver.
Đối với các mạng nhỏ hơn, lọc địa chỉ MAC là một phương pháp hiệu quả cho việc xác thực người sử dụng để truy nhập vào mạng.
WLAN có thể lọc dựa vào địa chỉ MAC của các trạm khách. Hầu hết tất cả các AP, thậm chí cả những cái rẻ tiền, đều có chức năng lọc MAC. Người quản trị mạng có thể biên tập, phân phối và bảo trì một danh sách những địa chỉ MAC được phép và lập trình chúng vào các AP. Nếu một Card PC hoặc những Client khác với một địa chỉ MAC mà không trong danh sách địa chỉ MAC của AP, nó sẽ khơng thể đến được điểm truy nhập đó.