Bảo mật trong VoWLAN

Một phần của tài liệu Tìm hiểu giải pháp công nghệ thoại qua WLAN (Trang 64 - 83)

3.2.1 Sự cần thiết của bảo mật

Để đánh giá đúng sự cần thiết của bảo mật cho hệ thống VoWLAN, chúng ta cần hiểu rõ mối nguy hiểm nếu không thực hiện bảo mật trên cấu hình hệ thống. Những vấn đề chủ yếu là giám sát thụ động, truy cập trái phép và từ chối dịch vụ như trong hình 3.5. Khi triển khai một hệ thống VoWLAN, việc đánh giá những nguy cơ tiềm ẩn có thể thực hiện được dựa trên những vấn đề này, và xác định giải pháp bảo mật nào sẽ hiệu quả nhất.

Hình 3.5: Các nguy cơ bảo mật trong mạng không dây

3.2.1.1 Điều khiển thụ động

Một AP WLAN được thiết lập ban đầu không có kĩ thuật bảo mật. Dẫn đến, tất cả dữ liệu gửi giữa AP và thiết bị Client, như là điện thoại IP hoặc một máy tính tích hợp thiết bị không dây, được gửi đi mà hoàn toàn không có bất cứ sự mã hóa nào. Tất nhiên, điều này rất nguy hiểm, một hacker có thể sử dụng công cụ bắt gói tin (packet-sniffing), như là Ethereal, và có thể giám sát được luồng lưu lượng giữa AP và Client và có thể lấy mật khẩu, email, tài liệu, các cuộc gọi thoại. Hơn nữa, một AP với cấu hình mặc định sẽ có username và mật khẩu mặc định, mà tất cả đều có thể biết. Do đó, chúng ta phải thường xuyên cập nhật, sử lỗi để có được sự bảo mật tốt nhất.

Thí dụ, một người sử dụng hợp pháp có thể sử dụng tên đăng nhập và mật khẩu của anh ta khi truy cập vào một website. Hacker có thể thu giữ lại các gói chứa tên đăng nhập và mật khẩu khi dữ liệu đi qua môi trường vô tuyến từ thiết bị Client của người sử dụng tới AP. Hacker có thể không quan tâm tới trang web mà người sử dụng đang truy cập nhưng thực tế là người sử dụng thường dùng chung một mật khẩu cho nhiêu trang web, trong đó có nhiều trang quan trọng, như là ngân hàng, các công ty… Những hệ thống này thường mã hóa mật khẩu trao đổi, bởi vậy hacker không thể giám sát chúng. Nhưng hacker có thể tiếp tục giám sát lưu lượng của người sử dụng và phát hiện ra địa chỉ nơi mà hoạt động đăng nhập xảy ra. Với việc dùng chung mật khẩu, hacker có thể truy cập tới tài khoải ngân hàng của người sử dụng và các ứng dụng.

Để tránh bị rơi vào cạm bẫy này, người sử dụng phải thường sử dụng mật khẩu khác nhau cho mỗi tài khoản. Hơn nữa hệ thống vô tuyến có thể thực hiện một dạng mã hóa khá mạnh để đảm bảo rằng hacker dò ra bất kì thứ gì từ dữ liệu mà hacker giám sát.

3.2.1.1 Truy cập trái phép

Nếu chức năng bảo mật của một AP không được kích hoạt thì bất kì người nào với một chiếc laptop tích hợp thiết vô tuyến đều có thể truy nhập vào mạng LAN không dây đặt tại một tòa nhà, một nhà máy hay một bệnh viện. AP không được bảo mật liên tục gửi gói tin báo hiệu quảng bá mà một laptop không dây có thể thu được và hệ thống Microsoft Window sẽ hiển thị SSID (Service Set Identifier) tìm thấy trong bản tin báo hiệu khi một

mạng không dây là khả dụng. Người sử dụng laptop, có thể là hacker, sau đó thực sự kết nối tới AP, điều này làm hacker trở thành một bộ phận trong mạng của công ty. Đặc điểm này cho phép hacker sử dụng kế hoạch và công cụ hỗ trợ để ăn trộm dữ liệu được đặt tại máy chủ của mạng. Thí dụ, hacker có thể chạy phần mềm quét cổng giao thức TCP và phát hiện ra các giao diện ứng dụng của người quản trị không được bảo mật và các công cụ hỗ trợ trên máy chủ. Điều này có thể cho phép hacker tạo một tài khoản trên hệ thống cho hắn và bắt đầu sử dụng để ăn trộm nhưng file, ứng dụng không cho phép.

3.2.1.2 Từ chối dịch vụ

Một tấn công từ chối dịch vụ là một cuộc tấn công có thể làm tổn thương hoặc phá hỏng một mạng WLAN. Nó chặn người sử dụng điện thoại IP của họ.

Một dạng của tấn công DoS là phương pháp “brute-force”, nó có thể đến từ hai dạng: hoặc là một lượng gói rất lớn tràn tới chiếm hết tài nguyên của mạng làm cho nó bị dừng lại, hoặc một tín hiệu vô tuyến rất mạnh vượt trội hơn các sóng khác truy cập tới AP làm cho người sử dụng khác không thể truy cập vào. Một hacker có thể thực hiện kiểu tấn công brute-force bằng cách sử dụng các máy tính khác trên mạng để gửi các gói tin tới máy chủ. Phương pháp này tạo ra hậu quả nghiêm trọng, nó chiếm hết băng thông của người sử dụng hợp pháp trên mạng.

Việc sử dụng tín hiệu vô tuyến rất mạnh để làm ngắt mạng là kiểu tấn công rất nguy hiểm với hacker. Vì một máy phát công suất lớn tại vị trí tương đối gần phải được sử dụng để thực hiện kiểu tấn công này, người chủ của WLAN có thể tìm thấy hacker bằng việc sử dụng công cụ tại nhà như là AirMagnet.

Thỉnh thoảng một vụ DoS xảy ra trên mạng có thể không phải do cố ý. Dải tần mà 802.11b hoạt động rất động đúc. Các thiết bị khác có dải tần 2,4GHz như là lò vi sóng, điện thoại đi động, bluetooth có thể làm giảm đáng kể hiệu suất của 802.11b.

Để chống lại DoS bạn phải cẩn thận trong thiết kế, giới hạn số sóng trong mạng.

3.2.2 Các phương pháp bảo mật cho VoWLAN

An toàn truy cập và bảo mật cho mạng cục bộ không dây sử dụng các phương pháp thuộc sau:

Xác thực: Sử dụng các phương pháp: VPN Fix (Virtual Private Network Fix), 802.1x

Mã hóa dữ liệu truyền: Sử dụng các phương pháp: WEP (Wired Equivalent Privacy), WPA (Wifi Protected Access), 802.11i (WPA2).

3.2.2.2 Xác thực

Xác thực là một quá trình để nhận biết một người hoặc thành phần mạng dựa trên dữ liệu xác thực, như trong hình 3.6 . Xác thực bảo đảm rằng một người sử dụng hoặc một thành phần của mạng được cho phép kết nối với người sử dụng khác hoặc thiết bị khác. Quá trình này

tương tự với việc người sử dụng trình giấy phép trước khi đi vào một khu vực được bảo đảm. Bảo vệ kiểm tra tên người sử dụng trong danh sách và xác nhận ảnh trên giấy phép đúng với người đó. Nếu mọi kiểm tra được thông qua, bảo vệ mở cửa và người sử dụng có thể đi vào khu vực đó.

Hình 3.6: Quá trình xác thực

Các hệ thống mạng thực hiện xác nhận lẫn nhau. Một Access Point xác nhận rằng một thiết bị vô tuyến đang muốn truy nhập được cho phép và thiết bị này bảo đảm Acces Point được xác thực. Nếu xác nhận này không được thực hiện thì một hacker có thể bật một Acces point giả mạo ở gần người sử dụng và phát tín hiệu làm ngắt kết nối thiết bị của người sử dụng với Access point đúng. Thiết bị người sử dụng sau đó sẽ kết nối với Access point giả mạo của hacker. Hacker có thể cấu hình Access Point này để thu dữ liệu của người sử dụng chuyển tới máy tính của mình, và thu thập các thông tin quan trọng như là mật khẩu. Việc xác nhận lẫn nhau có thể ngăn chặn tình huống này.

Sau đây chúng ta sẽ xét các kĩ thuật xác nhận được sử dụng trong mạng WLAN.

a, Phương pháp VPN Fix

Phương pháp này chỉ được xem như là một giải pháp tình thế vì khi nhận ra sự yếu kém của WEP, những người sử dụng doanh nghiệp đã khám phá ra một cách hiệu quả để bảo vệ mạng không dây WLAN của mình, được gọi là VPN Fix. Ý tưởng cơ bản của phương pháp này là coi những người sử dụng WLAN như những người sử dụng dịch vụ truy cập từ xa.

Trong cách cấu hình này, tất các những điểm truy cập WLAN, và cũng như các máy tính được kết nối vào các điểm truy cập này, đều được định nghĩa trong một mạng LAN ảo (Virtual LAN). Trong cơ sở hạ tầng bảo mật, các thiết bị này được đối xử như là "không tin tưởng". Trước khi bất cứ các thiết bị WLAN được kết nối, chúng sẽ phải được sự cho phép từ thành phần bảo mật của mạng LAN. Dữ liệu cũng như kết nối của các thiết bị sẽ phải chạy qua một máy chủ xác thực như RADIUS chẳng hạn... Tiếp đó, kết nối sẽ được thiết lập thành một tuyến kết nối bảo mật đã được mã hoá bởi một giao thức bảo mật ví dụ như IPSec, giống như khi sử dụng các dịch vụ truy cập từ xa qua Internet.

Tuy nhiên, giải pháp này cũng không phải là hoàn hảo, VPN Fix cần lưu lượng VPN lớn hơn cho tường lửa, và cần phải tạo các thủ tục khởi tạo cho từng người sử dụng. Hơn nữa, IPSec lại không hỗ trợ những thiết bị có nhiều chức năng riêng như

thiết bị cầm tay, máy quét mã vạch... Cuối cùng, về quan điểm kiến trúc mạng, cấu hình theo VPN chỉ là một giải pháp tình thế chứ không phải là sự kết hợp với WLAN.

b, Hệ thống xác thực mở

Hệ thống xác thực mở là chế độ mặc định sử dụng cho việc xác thực client với Access Point, như trong hình 3.7 . Trong chế độ này, client gửi một khung xác thực tới Access point và Access point gửi lại một bản tin xác thực.

Hình 3.7 : Hệ thống xác thực mở

Bất kì client nào với SSID đúng đều có thể xác thực. Điều này có thể thực hiện một cách dễ dàng bằng cách người sử dụng chọn mạng không dây thích hợp qua kết nối mạng không dây của hệ điều hành Microsoft, nếu SSID được phát quảng bá. Hoặc nó có thể được tìm thấy bằng cách sử dụng các phần mềm dò tìm nếu SSID không được phát quảng bá. Dạng xác thực này tạo ra một hệ thống mở, không thực sự hoàn toàn là một dạng xác thực.

Nhiều AP có khả năng lấy các SSID của các khung thông tin dẫn đường (beacon frame). Trong trường hợp này client phải so khớp SSID để liên kết với AP. Khi một hệ thống được cấu hình theo kiểu này, nó được gọi là hệ thống đóng, closed system. Lọc SSID được coi là một phương pháp không tin cậy trong việc hạn chế những người sử dụng trái phép của một WLAN. Một vài loại AP có khả năng gỡ bỏ SSID từ những thông tin dẫn đường hoặc các thông tin kiểm tra. Trong trường hợp này, để gia nhập dịch vụ một trạm phải có SSID được cấu hình bằng tay trong việc thiết đặt cấu hình driver.

Đối với các mạng nhỏ hơn, lọc địa chỉ MAC là một phương pháp hiệu quả cho việc xác thực người sử dụng để truy nhập vào mạng.

WLAN có thể lọc dựa vào địa chỉ MAC của các trạm khách. Hầu hết tất cả các AP, thậm chí cả những cái rẻ tiền, đều có chức năng lọc MAC. Người quản trị mạng có thể biên tập, phân phối và bảo trì một danh sách những địa chỉ MAC được phép và lập trình chúng vào các AP. Nếu một Card PC hoặc những Client khác với một địa chỉ MAC mà không trong danh sách địa chỉ MAC của AP, nó sẽ không thể đến được điểm truy nhập đó.

Hình 3.8: Lọc địa chỉ MAC

Tất nhiên, lập trình các địa chỉ MAC của các Client trong mạng WLAN vào các AP trên một mạng rộng thì không thực tế. Bộ lọc MAC có thể được thực hiện trên vài RADIUS Server thay vì trên mỗi điểm truy nhập. Cách cấu hình này làm cho lọc MAC là một giải pháp an toàn, và do đó có khả năng được lựa chọn nhiều hơn. Việc nhập địa chỉ MAC cùng với thông tin xác định người sử dụng vào RADIUS khá là đơn giản, mà có thể phải được nhập bằng bất cứ cách nào, là một giải pháp tốt. RADIUS Server thường trỏ đến các nguồn chứng thực khác, vì vậy các nguồn chứng thực khác phải được hỗ trợ bộ lọc MAC. Bộ lọc MAC có thể làm việc tốt trong chế độ ngược lại. Xét một ví dụ, một người làm thuê bỏ việc và mang theo cả Card Lan không dây của họ. Card WLAN này nắm giữ cả chìa khóa WEP và bộ lọc MAC vì thế không thể để họ còn được quyền sử dụng. Khi đó người quản trị có thể loại bỏ địa chỉ MAC của máy khách đó ra khỏi danh sách cho phép. Mặc dù Lọc MAC trông có vẻ là một phương pháp bảo mật tốt, chúng vẫn còn dễ bị ảnh hưởng bởi những thâm nhập sau:

• Sự ăn trộm một Card PC trong có một bộ lọc MAC của AP

• Việc thăm dò WLAN và sau đó giả mạo với một địa chỉ MAC để thâm nhập vào mạng.

c, Xác thực khóa chia sẻ

Xác thực khóa chia sẻ tiến xa hơn so với hệ thống xác thực mở bằng cách sử dụng khóa WEP chung để xác thực thiết bị khách. Quá trình này diễn ra như sau

Thiết bị khách gửi yêu cầu xác thực

Access point trả lời bằng một khung xác thực chứa văn bản, là một chuỗi của văn bản không được mã hóa.

Thiết bị khách mã hóa văn bản này với khóa WEP và gửi kết quả tới Acces point Access point giải mã văn bản này với khóa WEP chung. Nếu văn bản này giống với văn bản ban đầu mà Access point gửi thì Access point xác nhận thiết bị khách có khóa WEP đúng và thiết bị khách là người sử dụng hợp pháp.

Hình 3.9 : Xác thực khóa chia sẻ

Tuy nhiên, xác nhận khóa chia sẻ có thể dễ dàng bị phá. Trong thực tế, một hacker có thể sử dụng các công cụ sẵn có để dò tìm khóa WEP bằng cách phát hiện ra đoạn văn bản không mã hóa và đoạn văn bản đã mã hóa. Do đó, xác nhận khóa chia sẻ không phải là một phương pháp an toàn.

b, Phương pháp 802.1x

Chuẩn LAN không dây 802.11 không có sự xác nhận thông minh, vì vậy chuẩn công nghiệp đã thông qua giao thức 802.1x cho sự xác nhận của nó. 802.1x đưa ra cách thức điều khiển truy cập mạng cơ bản, nó sử dụng EAP (Extensible Authentication Protocol) và RADIUS server. 802.1x không đưa ra giao thức xác nhận một cách cụ thể nhưng chỉ rõ EAP trong việc hỗ trợ số lượng các giao thức xác nhận như là CHAP-MD5, TLS và Kerberos. EAP có thể được mở rộng vì vậy các giao thức xác nhận mới có thể được hỗ trợ như trong các phiên bản sau của nó. EAP được đưa ra để hoạt động trên giao thức Point-to-Point (PPP); để nó tương thích với các giao thức của lớp liên kết dữ liệu khác (như là Token Ring 802.5 hay Wireless LANs 802.11) EAP Over LANs (EAPOL) đã được phát triển. Mô hình xác nhận cuối cùng được thể hiện ở hình dưới:

Hình 3.10: Mô hình xác nhận

802.1x EAP-TLS được sử dụng trong các môi trường cớ bản và an toàn cao.

Sự trao đổi của các message EAP-TLS cung cấp sự xác nhận lẫn nhau, sự bắt tay của giao thức mã hóa và sự trao đổi khóa bảo vệ giữa một client không dây và mạng. EAP-TLS là một kỹ thuật cung cấp các khóa mã hóa động cho người dùng và

session. Điều này cải thiện một cách đáng kể và vượt qua nhiều điểm yếu trong các mạng không dây.

Hình dưới đây chỉ ra một chuỗi các sự kiện xuất hiện khi một Client được xác nhận bằng 802.1x EAP-TLS. Hai chứng chỉ digital được yêu cầu ở đây: một trên RADIUS server (ví dụ EAS) và một trên Client không dây. Chú ý rằng sự truy cập không dây được cung cấp cho tới khi sự xác nhận thành công và các khóa WEP động đã được thiết lập.

Hình 3.11: Xác nhận 802.1x EAP-TLS

802.1x EAP-TLS với EAS trong Controller Mode được thể hiện trên hình sau. Client vô tuyến có chứng chỉ digital (được cài đặt từ trước). Client không dây truyền thông với EAS thông qua AP. Tất cả ba thành phần (Wireless client, AP và EAS) hỗ trợ quá trình 802.1x EAP-TLS. Client không dây có thể sử dụng Windows XP (được xây dựng để hỗ trợ cho 802.1x EAP-TLS) hay Windows 98/Me/2000 bằng việc sử dụng Madge Wireless LAN Utility (WLU). Khi xác nhận, dữ liệu người dùng cũng có thể

Một phần của tài liệu Tìm hiểu giải pháp công nghệ thoại qua WLAN (Trang 64 - 83)

Tải bản đầy đủ (DOC)

(83 trang)
w