4.1.1 Tấn công bị động
Tấn công bị động hay nghe lén có thể đƣợc xem là một phƣơng pháp tấn công đơn giản nhất nhƣng vẫn rất hiệu quả. Tấn công bị động không để lại một dấu vết nào chứng tỏ đã có sự hiện diện của việc truy nhập vào trong mạng vì khi tấn công attacker không gửi bất kỳ gói tin nào mà chỉ lắng nghe hoặc lấy mọi dữ liệu lƣu thông trên mạng.
Hình 4.1: Mô hình tấn công bị động
Có nhiều ứng dụng có khả năng thu thập đƣợc mật mã từ những địa chỉ HTTP, email, instant message, FTP session, telnet. Những kiểu kết nối trên đều truyền mật mã theo dạng không mã hóa. Nhiều ứng dụng có thể bắt đƣợc cả mật mã đã đƣợc mã hóa bằng nhiều thuật toán truyền trên đoạn mạng không dây giữa máy khách hàng và máy chủ lúc máy khách hàng đăng nhập vào hệ thống. Bất kỳ thông tin nào truyền trên đoạn mạng không dây theo kiểu này đều rất dễ bị tấn công bởi attacker. Tác hại là không thể lƣờng trƣớc đƣợc nếu nhƣ attacker có thể đăng nhập vào mạng bằng thông tin của một ngƣời dùng nào đó và cố tình gây ra những thiệt hại cho mạng.
Chương 4: Bảo mật trong WiMAX
- Dò tìm SSID: Thông thƣờng bằng cách quét bị động các attacker có thể tìm ra đƣợc SSID của mạng.
- Thu thập địa chỉ MAC: Các attacker thu thập các địa chỉ MAC hợp lệ để sử dụng trong các khung giả mạo đƣợc dựng lên sau này. Có 2 lý do tại sao attacker muốn thu thập địa chỉ MAC của các máy khách hàng và AP trong mạng. Một là attacker muốn sử dụng những giá trị này trong các khung giả mạo để máy của attacker không bị ngƣời điều hành mạng nhận ra. Thứ hai là các AP có chức năng lọc các địa chỉ MAC chƣa đƣợc đăng ký thì không cho truy cập vào mạng, attacker sẽ giả mạo địa chỉ MAC để truy cập hợp pháp.
- Thu thập các khung để crack WEP: mục đích của các attacker là tìm ra khóa WEP. Thông thƣờng khóa này có thể đoán ra đƣợc dựa vào một lƣợng lớn các hệ thống công cộng mà các quản trị mạng đã cấu hình và thƣờng sử dụng. Một vài phần mềm cho phép máy khách hàng lƣu trữ khóa WEP trong khung đăng ký của hệ thống. Trong thực tế các attacker đã không thành công trong việc lấy cắp mật mã bằng cách này mà các attacker đã sử dụng các phƣơng pháp một cách có hệ thống trong việc crack WEP. Để thực hiện mục đích này một số lƣợng khung rất lớn, có thể có hàng triệu khung cần đƣợc thu thập để crack WEP bởi vì đó là cách WEP hoạt động.
4.1.2 Tấn công chủ động
Attacker có thể tấn công chủ động để thực hiện một số tác vụ trên mạng. Một cuộc tấn công chủ động có thể đƣợc sử dụng để truy cập vào máy chủ và lấy đƣợc những dữ liệu có giá trị hay sử dụng đƣờng kết nối internet của doanh nghiệp để thực hiện những mục đích phá hoại hay thậm chí là thay đổi cấu hình của hạ tầng mạng. Bằng cách kết nối với mạng không dây thông qua AP, attacker có thể xâm nhập sâu hơn vào mạng hoặc có thể thay đổi cấu hình của mạng. Ví dụ, một attacker có thể sửa đổi để thêm địa chỉ MAC của attacker vào danh sách cho phép lọc địa chỉ MAC trên AP hay vô hiệu hóa tính năng lọc MAC giúp cho việc đột nhập sau này dễ dàng hơn. Ngƣời điều hành mạng thậm chí không biết đƣợc thay đổi này trong một thời gian dài nếu nhƣ không kiểm tra thƣờng xuyên.
Chương 4: Bảo mật trong WiMAX
Một khi attacker đã có đƣợc kết nối không dây vào mạng của bạn, và có thể truy cập vào máy chủ, sử dụng kết nối mạng WAN, mạng internet hay truy cập đến laptop, desktop của ngƣời dùng. Cùng với một số công cụ đơn giản, attacker có thể dễ dàng thu thập đƣợc những thông tin quan trọng, giả mạo ngƣời dùng hay thậm chí gây thiệt hại cho mạng bằng cách cấu hình sai. Dò tìm máy chủ bằng cách quét cổng, tạo ra phiên làm việc rỗng để chia sẽ hay crack mật mã, sau đó đăng nhập vào máy chủ bằng tài khoản đã crack đƣợc.
4.1.3 Tấn công Man-in-the-Middle
Tấn công theo kiểu Man-in-the-middle là trƣờng hợp trong đó attacker sử dụng một AP để đánh cắp các nút mạng di động bằ ng cách gởi tín hiệu cao tần mạnh hơn AP thực đến các nút mạng đó. Các nút mạng di động nhận thấy có AP phát tín hiệu cao tần tốt hơn nên sẽ kết nối đến AP giả mạo này, và truyền dữ liệu có thể là những dữ liệu nhạy cảm đến AP giả mạo lúc đó attacker có toàn quyền xử lý. Đơn giản là kẻ đóng vai trò là một AP giả mạo đứng giữa tất cả các máy khách hàng và AP thực sự, thậm chí các máy khách hàng và AP thực không nhận thấy sự hiện diện của AP giả mạo này.
Để làm cho máy khách hàng kết nối lại đến AP giả mạo thì công suất phát của AP giả mạo phải cao hơn nhiều so với AP thực trong vùng phủ sóng của nó. Việc kết nối lại với AP giả mạo đƣợc xem nhƣ là một phần của roaming nên ngƣời dùng sẽ không hề biết đƣợc. Việc đƣa nguồn nhiễu toàn kênh vào vùng phủ sóng của AP thực sẽ buộc máy khách hàng phải roaming.
Attacker muốn tấn công theo kiểu Man-in-the-middle này trƣớc tiên phải biết đƣợc giá trị SSID là các máy khách hàng đang sử dụng, giá trị này rất dễ dàng có đƣợc bằng cách sử dụng các công cụ quét mạng. Sau đó, attacker phải biết đƣợc giá trị mật mã của WEP nếu mạng có sử dụng WEP. Kết nối luồng tín hiệu hƣớng lên với mạng trục có dây từ AP giả mạo đƣợc điều khiển thông qua một thiết bị của máy khách hàng nhƣ PC card hay Workgroup Bridge.
Chương 4: Bảo mật trong WiMAX
Hình 4.2: Mô hình tấn công man-in-the middle
Điểm cốt yếu trong kiểu tấn công này là ngƣời dùng không thể nhận biết đƣợc. Vì thế, số lƣợng thông tin mà attacker có thể thu đƣợc chỉ phụ thuộc vào thời gian mà attacker có thể duy trì trạng thái xâm nhập này trƣớc khi bị phát hiện. Bảo mật lớp vật lý là phƣơng pháp tốt nhất để chống lại kiểu tấn công này.
4.1.4 Tấn công từ chối các dịch vụ DoS
DoS là một kỹ thuật đƣợc sử dụng chỉ đơn giản để làm sập mạng không dây của bạn. Tƣơng tự nhƣ những kẻ phá hoại sử dụng tấn công DoS vào một trang web chủ làm nghẽn mạng của máy chủ đó thì mạng không dây cũng có thể bị sập bằng cách gây nghẽn tín hiệu cao tần. Những tín hiệu gây nghẽn này có thể là cố ý hay vô ý và có thể loại bỏ đƣợc hay không loại bỏ đƣợc. Khi một attacker chủ động tấn công DoS, attacker có thể sử dụng một thiết bị đặc biệt, thiết bị này là bộ phát tín hiệu cao tần công suất cao hay thiết bị chuyên dụng khác.
Hình 4.3: Mô hình tấn công DoS
Để loại bỏ kiểu tấn công này thì yêu cầu đầu tiên là phải xác định đƣợc nguồn tín hiệu cao tần. Việc này có thể làm bằng cách sử dụng một máy phân tích phổ.
Chương 4: Bảo mật trong WiMAX
Một cách khác là dùng các ứng dụng máy phân tích phổ và phần mềm kèm theo các sản phẩm không dây cho máy khách hàng.
DoS do vô ý xuất hiện thƣờng xuyên do nhiều thiết bị khác nhau chia sẽ chung băng tần 2.4 ISM với mạng không dây. Tấn công DoS một cách chủ động thƣờng không phổ biến lắm, lý do là để thực hiện đƣợc DoS thì rất tốn kém, giá của thiết bị rất đắt tiền mà kết quả đạt đƣợc chỉ là tạm thời sập mạng trong thời gian ngắn.
4.1.5 Tấn công mạng Ad-hoc
Một mạng ad-hoc, hay MANET (Mobile Ad-hoc Network) là một mạng chỉ bao gồm các nút mạng, không có điểm truy nhập. Các bản tin đƣợc thay đổi và tiếp sóng giữa các nút mạng. Thực tế, một mạng ad-hoc có thể giao tiếp giữa 2 nút mạng không trong miền liên kết trực tiếp với nhau. Gói tin đƣợc vận chuyển giữa 2 nút mạng qua nút mạng trung gian, sử dụng thuật toán định tuyến. Do đó, một MANET có thể trải phổ trong một khoảng cách rộng, nó kết nối một chuỗi các đƣờng liên kết giữa các nút mạng (gọi là định tuyến trong kiến trúc).
Những kiểu tấn công này mục đích thay đổi giao thức định tuyến để lƣu luợng có thể tràn qua một nút mạng cụ thể nào đó đƣợc điều khiển bởi một attacker. Một cuộc tấn công mục đích ngăn cản thông tin từ mạng, làm cho nút mạng phù hợp định tuyến sai và làm cho giao thức mạng rối loạn trong một diện rộng.
Hình 4.4: Mạng ad-hoc
4.1.6 Giả mạo Wireless
Một khi những máy khách hàng, thiết bị hoặc ngƣời sử dụng nào bị ngăn cấm truy cập vào mạng Wireless, thì vấn để giả mạo là một trong các cách tấn công hữu hiệu trong mạng Wireless. Mục đích của việc này là có thể gia nhập vào mạng và
Chương 4: Bảo mật trong WiMAX
sau đó sử dụng những công cụ dò tìm và lấy những thông tin chứng thực của ngƣời sử dụng và trở thành ngƣời dùng hợp lệ để truy nhập vào mạng mà không bị phát hiện (Man-in-the-Middle Attack cũng là một cách của kiểu tấn công này).
4.1.6.1 Giả mạo IP
Giả mạo là một công nghệ nhằm vƣợt qua sự ngăn chặn truy cập của hệ thống, attacker có thể gửi các thông điệp đến một máy tính mà dƣới danh nghĩa là một host hợp lệ. Ở đây có một vài sự khác nhau trong nhiều cách tấn công theo kiểu này:
Non-Blind Spoofing: Cách này áp dụng khi attacker ở cùng một subnet với Victim, nên việc nghe trộm các gói tin trên mạng là điều rất đơn giản. Loại này còn đƣợc gọi là Session Hijacking và một attacker có thể tránh đƣợc bất kỳ hệ thống chứng thực nào và thiết lập kết nối. Điều này thực hiện đƣợc bằng cách ngắt các dòng dữ liệu của các kết nối mà đã đƣợc thiết lập trƣớc đó, sau đó tái thiết lập lại dựa trên những gói tin đúng với hệ thống tấn công.
MITM Attack: Trong cách tấn công này, attacker sẽ chặn những giao tiếp hợp lệ của 2 host để điều khiển dữ liệu giữa 2 host, khi đó attacker sẽ mạo danh cả 2 host để gửi dữ liệu cho 2 host này. Hai host vẫn trao đổi dữ liệu với nhau bình thƣờng nhƣng thực tế dữ liệu máy A gửi cho máy B thì đã thông qua attacker, attacker sẽ lấy thông tin từ máy A và sau đó sẽ mạo danh địa chỉ máy A và truyền đến cho B. Điều kiện để thực hiện cách tấn công này là attacker phải đặt mình ở giữa đƣờng liên kết của 2 host.
DoS: giả mạo IP đôi khi cũng đƣợc sử dụng bằng tấn công Dos. Khi đó attacker sẽ phải tốn nhiều thời gian và tài nguyên nhƣ băng thông để có thể thật nhiều gói tin đến Victim trong một khoảng thời gian. Khi đó attacker sẽ giả mạo địa chỉ IP nguồn để theo dõi và tấn công DoS. Khi nhiều host đã thỏa hiệp với nhau và đồng loạt tấn công, thì sẽ gửi những gói tin giả mạo, nó làm cho lƣu lƣợng trên mạng nhanh chóng bị nghẽn.
4.1.6.2 Giả mạo MAC
Mỗi một NIC đều có một địa chỉ vật lý đƣợc gọi là địa chỉ MAC. Địa chỉ này gồm có 12 chữ số HEX là duy nhất. Và thông thƣờng trên các thiết bị AP có cung cấp một chức năng lọc địa chỉ MAC mục đích nhằm ngăn chặn một máy khách
Chương 4: Bảo mật trong WiMAX
hàng nào đó thông qua địa chỉ MAC. Thông thƣờng những máy khách hàng nào không nằm trong danh sách này sẽ không thể truy cập vào mạng cũng nhƣ sử dụng những tài nguyên đƣợc chia sẽ trên mạng.
Nhƣng một điều đã làm cho chức năng này trở nên vô dụng đó là địa chỉ MAC hoàn toàn có thể giả mạo đƣợc. Khi đó thì bất kỳ một attacker nghiệp dƣ nào cũng có thể vƣợt qua chức năng lọc địa chỉ MAC và trở thành một máy khách hàng có địa chỉ hợp lệ. Cho nên việc lọc địa chỉ MAC chƣa tạo ra đƣợc sự tin tƣởng cho việc bảo mật nhất là ở những hệ thống mạng lớn.
Giả mạo địa chỉ MAC nghĩa là một attacker cố gắng thay đổi sang một giá trị khác sao cho thông qua địa chỉ MAC mới có thể gia nhập mạng Wireless và gửi hoặc nhận dữ liệu. Một khi các attacker đã có ý định tấn công mạng theo phƣơng thức này thì thƣờng làm rối hệ thống mạng, và phải vƣợt qua chính sách truy cập của mạng hoặc đóng vai là một ngƣời dùng hợp lệ.
4.1.6.3 Giả mạo ARP
ARP sẽ ánh xạ từ địa chỉ IP sang địa chỉ MAC. Nếu một máy khách hàng C cần gửi một gói tin sang máy chủ S, thì máy C phải cần biết địa chỉ MAC của máy chủ S nếu cả hai cùng một subnet, trong cả trƣờng hợp máy S ở một subnet khác thì máy C vẫn cần phải biết địa chỉ MAC. Để xác định địa chỉ MAC, máy khách hàng C sẽ phát một yêu cầu ARP đến tất cả các máy trên hệ thống mạng nội bộ và hỏi rằng “Máy nào có địa chỉ IP là a.b.c.d?”, nếu một máy nào có địa chỉ IP nhƣ vậy sẽ trả lời bằng cách gửi lại địa chỉ MAC cho máy C.
Giao thức xác định địa chỉ ARP là một giao thức đƣợc sử dụng chuyển đổi từ địa chỉ IP sang địa chỉ MAC (ngƣợc lại RARP là giao thức chuyển từ địa chỉ MAC sang địa chỉ IP). Giả mạo ARP là một trong những cách tấn công mà hầu hết các ngƣời quản trị mất rất nhiều thời gian để đối phó, vì để bảo vệ mạng từ các cuộc tấn công từ bên trong thì khó hơn từ bên ngoài.
Giả mạo ARP là một trong những cách thức tấn công gây nhiều khó khăn cho các quản trị mạng nhất. Giả mạo ARP sẽ đặt attacker vào vị trí có thể nghe trộm và bắt lấy mọi lƣu thông trên mạng. Có rất nhiều kiểu tấn công theo kiểu giả mạo ARP, một trong những cách tấn công hiệu quả và nguy hiểm nhất là tấn công Man-in-the-
Chương 4: Bảo mật trong WiMAX
Middle (MITM) mà có thể dễ dàng thực hiện nhờ vào các phần mềm tinh vi, thậm chí một attacker có ít kiến thức trong việc này cũng có thể thực hiện thành công.
4.2 Bảo mật trong WiMAX 4.2.1 Mô hình tham chiếu OSI 4.2.1 Mô hình tham chiếu OSI
Các lớp giao thức trong 802.16 bao gồm lớp vật lý, lớp con bảo mật, lớp con chung MAC và lớp con hội tụ MAC.
Lớp vật lý hỗ trợ nhiều chức năng nhƣ dịch tần, định vùng phủ, điều khiển công suất…Trong băng 10-66 BS truyền tín hiệu TDM trong khi thuê bao cá nhân đƣợc chỉ định khe thời gian trong các khe nối tiếp. Truyền dẫn đƣờng lên từ SS sử dụng TDMA. Trong băng 2-11GHz cả đăng kí và không đăng kí, 3 giao diện vô tuyến đƣợc chỉ định phát triển là WirelessMAN-SC2, WirelessMAN-OFDM và WirelessMAN-OFDMA. Lớp vật lý cung cấp các dịch vụ cho lớp MAC qua điểm truy cập dịch vụ SAP.
Lớp con bảo mật theo chuẩn 802.16 MAC tập trung các chức năng bảo mật liên quan đến khung lớp MAC. Lớp con này bao gồm hai giao thức thành phần:
• Giao thức đóng gói: Giao thức này định nghĩa tập hợp các bộ mật mã hỗ trợ mã hóa gói dữ liệu giữa BS và SS. Bộ mật mã này chứa các thông tin liên quan đến cặp thuật toán mã hóa và chứng thực, quy luật áp dụng thuật toán cho tải tin PDU của lớp MAC.
• Giao thức quản lý khóa: Giao thức này liên quan đến việc quản lý và phân phối khóa từ BS tới SS. Giao thức đƣợc chọn sử dụng là PKM.
Lớp con bảo mật MAC sử dụng khái niệm security associations (SA). Đây là tập các tham số và thông tin chia sẻ giữa BS và SS để quản lý giao tiếp giữa chúng.