Có rất ít hệ thống phát hiện xâm nhập đƣợc để xuất cho tầng MAC của mạng không dây. Lim và các đồng sự đề xuất ra hệ thống phát hiện xâm nhập để bảo vệ các access point cùng với phản ứng chủ động tự động. Tác giả đề xuất việc triển khai các thiết bị phát hiện gần với các điểm truy cập không dây và việc phát hiện đƣợc thực hiện tại tầng MAC. Giống nhƣ việc phản ứng lại sự xâm nhập, tác giả đề xuất việc sử dụng lại chiến thuật của kẻ xâm nhập tác động lên chính kẻ xâm nhập bằng cách truyền các gói dữ liệu bị thay đổi trở lại. Ý tƣởng đƣợc đề xuất triển khai các thiết bị phát hiện chuyên dụng có thể không hiệu quả về mặt chi phí. Hơn nữa, các nút hợp pháp có thể bị phạt nếu phát hiện thông tin không chính xác.
Một trong những sản phẩm gần đây là của Liu và các đồng sự. Tác giả đã đề xuất trò chơi tiếp cận lý thuyết lựa chọn chiến lƣợc phát hiện tiếp cận tối ƣu tại một trƣờng hợp nhất định từ một tập các cơ chế phát hiện xâm nhập kém hiệu quả đã đƣợc triển khai. Ý tƣởng cơ bản là các kỹ thuật phát hiện xâm nhập khác nhau rất hiệu quả trong việc phát hiện một số kiểu tấn công cụ thể, nhƣng lại không tối ƣu trong một số trƣờng hợp khác. Sự kết hợp của các chiến lƣợc và sử dụng chiến lƣợc tối ƣu trong hoàn cảnh cụ thể có thể tăng độ chính xác khi phát hiện của hệ thống. Tuy nhiên, trong khi ý tƣởng lựa chọn kỹ thuật tối ƣu tại một trƣờng hợp cá biệt tỏ ra hiệu quả, về cơ bản tại một trƣờng hợp nhất định về thời gian, chỉ có một kỹ thuật phát hiện xâm nhập đƣợc sử dụng. Do vậy, thành quả của việc phát hiện xâm nhập có thể không cải thiện so với sự gia tăng chi phí vì cơ chế chọn lựa hệ thống phát hiện xâm nhập.
Các cơ chế phát hiện xâm nhập tại tầng MAC đƣợc sử dụng để phát hiện các vụ tấn công đƣợc thực hiện bởi các nút lỗi không tuân theo giao thức tầng MAC. Những tấn công nay bao gồm tấn công gây nhiễu lớp liên kết và tấn công từ chối dịch vụ.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
2.2.2.2. Các cơ chế bảo mật tầng mạng (Network Layer Security Mechanisms) a/ Các cơ chế ngăn chặn xâm nhập (Intrusion Prevention Mechanisms) a/ Các cơ chế ngăn chặn xâm nhập (Intrusion Prevention Mechanisms)
Các kỹ thuật phòng chống xâm nhập đã đƣợc đề xuất để đảm bảo các giao thức trong mạng không dây. Những giao thức đó là Secure Routing Protocol (SRP), Secure AODV (SAODV), Authenticated Routing for Ad hoc Network (ARAN), A Secure On-Demand Routing Protocol for Ad Hoc Networks (Ariadne) và một số giao thức khác. Tất cả các giao thức này đều sử dụng mã hoá nguyên thuỷ để thiết lập một số hình thức tin cậy gửi các nút trên mạng thông qua quá trình xác thực lẫn nhau. Ví dụ, SRP nhằm mục đích đảm bảo quá trình tìm đƣờng định tuyến và bảo vệ chức năng định tuyến từ những tấn công bằng cách khai thác giao thức định tuyến của chính nó. Các thông báo yêu cầu định tuyến và trả lời định tuyến đƣợc bảo vệ bằng mã xác thực thông báo để xác thực nút nguồn. Địa chỉ IP của các nút trung gian cũng đƣợc thêm vào thông báo yêu cầu định tuyến bỏ qua xác nhận hợp lệ để tránh tấn công lỗ đen và tấn công lỗ sâu. Việc bảo vệ các thông báo yêu cầu định tuyến và trả lời định tuyến là đảm bảo việc bảo vệ chống lại các cuộc tấn công ngoại trừ trƣờng hợp nhiều nút thông đồng cấu kết với nhau thực hiện tấn công. SAODV sử dụng chữ ký số để xác thực tất cả các trƣờng của các thông báo yêu cầu định tuyến và trả lời định tuyến trừ trƣờng đếm hop. Chữ ký số đƣợc sử dụng trên cơ sở ngƣời dùng cuối giữa nguồn và đích. Trƣờng đếm hop đƣợc đảm bảo bằng cách sử dụng bảng băm trên mỗi liên kết.
Các cơ chế phòng chống xâm nhập chủ yếu sử dụng việc thiết lập sự tin cậy giữa các nút cùng tham gia và cung cấp các thông báo toàn vẹn và bảo mật. Những dịch vụ này có thể cung cấp một số bảo vệ chống lại tấn công lỗ sâu và tấn công lỗ đen. Tuy nhiên, vấn đề của các nút độc hại và bị lỗi là không thể giải quyết hoàn toàn bằng cách sử dụng các cơ chế phòng chống xâm nhập trên tầng mạng và bắt buộc cần phải có sự hỗ trợ của các cơ chế phát hiện xâm nhập.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
b/ Các cơ chế phát hiện xâm nhập (Intrusion Detection Mechanisms)
Nhiều kỹ thuật phát hiện xâm nhập đƣợc đề xuất thực hiện tại tầng mạng của cả mạng có dây cũng nhƣ mạng không dây. Hầu hết các hệ thống phát hiện xâm nhập dựa vào các hệ thống dựa trên tri thức và kỹ thuật khai thác dữ liệu. Ví dụ, Huang và các đồng sự đã đề xuất hệ thống phát hiện xâm nhập cho mạng không dây di động dựa trên sự phân tích qua tính năng. Các nút theo dõi các thông số khác nhau trên mạng và dựa vào các giá trị thông số (i-1), dự đoán giá trị thông số thứ i và so sánh chúng với các thông số giá trị đã theo dõi của các thông số đó để phát hiện định tuyến bất thƣờng trên mạng. Tác giả cũng đề xuất phƣơng pháp tiếp cận dựa trên nhóm phân tán nhƣ là phần mở rộng của sản phẩm này, qua đó đề xuất phân chia mạng ra thành các nhóm và chỉ có một số ít nút trên mỗi nhóm này thực hiện chức năng giám sát với khả năng phát hiện xâm nhập gần giống với tất cả các nút đang theo dõi một cách tích cực. Hệ thống dạng này có hiệu quả về nguồn tài nguyên, mà hiệu quả về nguồn tài nguyên lại là mục đích thiết kế chính của các mạng không dây.
Yang và các đồng sự đã đề xuất ra giải pháp bảo mật tầng mạng tự tổ chức cho mạng ad-hoc di động. Đây là một trong rất ít các giải pháp đảm bảo mạng tự hàn gắn và tự tổ chức. Giải pháp dựa trên sự hợp tác giữa các nút phân tán bên cạnh và thông tin xác nhận chéo, kết quả là mạng tự tổ chức và tự phục hồi. Hệ thống dạng này dựa trên ngƣỡng chia sẻ bí mật đã đƣợc thảo luận ở trên mà vấn đề làm làm mới thẻ xác thực của mỗi nút. Tác giả đã đề xuất một kịch bản mới là uy tín dựa trên biểu hiện. Thẻ xác thực của nút sẽ hết hiệu lực sau một thời gian xác định. Thời gian hết hạn thẻ xác thực dựa vào uy tín của nút đó. Uy tín về các nút hoạt động tốt đƣợc tích luỹ theo thời gian. Do đó, thời gian hết hạn thẻ xác thực của nút dài hơn và tăng theo chiều tuyến tính khi mỗi nút làm mới thẻ của nó. Thẻ của các nút ích kỷ và độc hại bị thu hồi bởi sự hợp tác vùng lân cận để kìm chế chúng tham gia vào mạng. Việc nhận dạng các số liệu đƣợc dùng để phân biệt các hoạt động tốt và các nút độc hại dựa trên các giao thức định tuyến và bao gồm cả độ dài số lƣợng hop và tỉ lệ chuyển tiếp gói tin,...
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Các cơ chế phát hiện xâm nhập trên tầng mạng chủ yếu giải quyết các vấn đề của các nút độc hại, ích kỷ và bị lỗi vì đó là cốt lõi của hầu hết các tấn công vào tầng mạng. Các giải pháp nêu trên xác định các bất thƣờng trong kiểm soát thông báo để nhận dạng các tấn công phần điều khiển nhƣ tấn công dồn dập, lỗ sâu, lỗ đen, lỗ xám phân vùng mạng và lặp định tuyến. Mặt khác, kỹ thuật giám sát vùng lân cận đƣợc triển khai để nhận dạng các tấn công mặt dữ liệu.
2.3. Chuẩn bảo mật IEEE 802.11i
2.3.1. Giới thiệu chuẩn bảo mật IEEE 802.11i
IEEE 802.11i là chuẩn quy định cho bảo mật tầng MAC của mạng không dây. Dự thảo chuẩn cho mạng không dây IEEE 802.11s đã đề xuất việc sử dụng IEEE 802.11i cho bảo mật tầng MAC trong mạng không dây. Phần này của luận văn dùng để thảo luận về chuẩn IEEE 802.11i. Trƣớc tiên giải thích phƣơng pháp bảo mật dựa trên dịch vụ bảo mật đƣợc hỗ trợ trong chuẩn IEEE 802.11, sau đó sẽ trình bày các lỗ hổng trong chuẩn IEEE 802.11i làm cho chuẩn này có xu hƣớng bị tấn công bảo mật. Những tấn công này bao gồm tấn công tính toán trƣớc và tấn công một phần, tấn công chiếm quyền điều khiển phiên làm việc và tấn công ngƣời ở giữa nhằm khai thác những lỗ hổng trong IEEE 802.1X, và tấn công từ chối dịch vụ nhằm khai thác lỗ hổng trong quá trình bắt tay bốn bƣớc. Phần này cũng thảo luận sơ qua về các đề xuất về cơ chế phòng chống các cuộc tấn công này.
IEEE 802.11i cung cấp các dịch vụ bảo mật nhƣ bảo mật dữ liệu, toàn vẹn dữ liệu, xác thực và bảo vệ chống lại các tấn công lặp lại. Chuẩn này bao gồm 3 phần: Phân phối khoá, xác thực lẫn nhau, toàn vẹn dữ liệu bảo mật và xác thực nguồn gốc.
IEEE 802.11X đƣợc sử dụng để phân phối và chứng thực khoá dẫn đến việc sử dụng giao thức xác thực mở rộng (Extensible Authentication Protocol - EAP) và máy chủ xác thực, uỷ quyền và tính toán (AAA server) nhƣ RADIUS. IEEE 802.11X là giao thức điều khiển truy cập mạng dựa trên port hoạt động dựa trên kiến trúc client-server, port trong ngữ cảnh này là một điểm kết nối vào cơ sở hạ tầng mạng. Khi một router hoặc một access point (thiết bị nhận yêu cầu xác thực từ
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
ngƣời dùng - authenticator) nhận dạng đƣợc một client mới (ngƣời cần xác thực - supplicant), port trên thiết bị nhận yêu cầu xác thực từ ngƣời dùng sẽ mở và đặt tình trạng "unauthorized" cho client. Ở trạng thái này chỉ có lƣu lƣợng 802.1X đƣợc phép truyền và tất cả các lƣu lƣợng khác của client bị khoá. Thiết bị nhận yêu cầu xác thực từ ngƣời dùng gửi thông báo EPA-Request tới ngƣời cần xác thực, và ngƣời cần xác thực trả lời bằng thông báo EPA-Response. Thiết bị nhận yêu cầu xác thực từ ngƣời dùng chuyển tiếp thông báo này đến máy chủ AAA. Nếu máy chủ xác thực client và chấp nhập yêu cầu, nó sẽ sinh ra cặp khoá chủ thông minh (Pairwise Master Key - PMK), khoá này đƣợc phân phối đến thiết bị nhận yêu cầu xác thực từ ngƣời dùng và ngƣời cần xác thực bằng cách sử dụng thông báo EAP. Sau quá trình xác thực tại máy chủ, thiết bị nhận yêu cầu xác thực từ ngƣời dùng đặt chế độ "authorized" tại port cho client và quá trình luân chuyển bắt đầu. Lƣu ý rằng các giao thức tƣơng tự có thể đƣợc sử dụng để xác thực và phân phối khoá giữa hai peer router hoặc hai client ngang hàng trong trƣờng hợp sử dụng mạng không dây mesh.
Tiếp theo việc phân phối và xác thực mã khoá sử dụng 802.1X là sự xác thực lẫn nhau của ngƣời cần xác thực (client hoặc peer router) và thiết bị nhận yêu cầu xác thực từ ngƣời dùng (router/AP hoặc peer router) dựa trên quá trình bắt tay bốn bƣớc. Bắt tay bốn bƣớc đƣợc bắt đầu khi hai nút có ý định trao đổi dữ liệu với nhau. Quá trình phân phối mã khoá tạo nên sự chia sẻ khoá bí mật PMK có đƣợc trên ngƣời cần xác thực cũng nhƣ thiết bị nhận yêu cầu xác thực từ ngƣời dùng. Tuy nhiên khoá này đƣợc thiết kế cho phần cuối của toàn bộ phiên làm việc và càng ít để lộ càng tốt. Do đó quá trình bắt tay bốn bƣớc thƣờng thiết lập thêm 2 khoá nữa gọi là Cặp khoá tạm thời thông minh (Pairwise Transient Key - PTK) và Nhóm khoá tạm thời (Group Temporal Key -GTK). PTK đƣợc tạo ra bởi ngƣời cần xác thực, bằng cách nối Cặp khoá chủ thông minh, Authenticator nonce (ANonce), Supplicant nonce (SNonce), địa chỉ MAC của thiết bị yêu cầu xác thực từ ngƣời dùng, và địa chỉ MAC của ngƣời cần xác thực, Khoá này sau đó qua một hàm băm mật mã. GTK đƣợc tạo ra bởi thiết bị yêu cầu xác thực từ ngƣời dùng và đƣợc
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
truyền đến ngƣời cần xác thực trong quá trình bắt tay bốn bƣớc diễn ra. PTK thƣờng sinh ra Khoá tạm thời (Temporal Key - TK) sử dụng thông báo mã hoá đơn hƣớng trong khi GTK sử dụng thông báo mã hoá quảng bá và đa hƣớng. Quá trình bắt tay bốn bƣớc bao gồm việc sinh ra và phân phối các khoá này giữa ngƣời cần xác thực và thiết bị yêu cầu xác thực từ ngƣời dùng, kết quả sẽ dẫn đến việc xác thực lẫn nhau. Thông báo đầu tiên của quá trình bắt tay bốn bƣớc là truyền tín hiệu từ thiết bị yêu cầu xác thực từ ngƣời dùng đến ngƣời cần xác thực, bao gồm ANonce. ngƣời cần xác thực sử dụng ANonce và trƣờng có sẵn của chính nó để sinh ra PTK. Thông báo thứ hai của quá trình bắt tay là việc truyền tín hiệu từ ngƣời cần xác thực đến thiết bị yêu cầu xác thực từ ngƣời dùng với SNonce và Mã toàn vẹn thông báo (Message Integrity Code - MIC) sử dụng mật mã PTK. thiết bị yêu cầu xác thực từ ngƣời dùng lúc này có thể sinh ra PTK và GTK. Các mã toàn vẹn thông báo đi kèm đƣợc giải mã để sử dụng sinh ra PTK. Nếu giải mã thành công thì thiết bị yêu cầu xác thực từ ngƣời dùng và ngƣời cần xác thực đã xác thực lẫn nhau thành công. Điều này có đƣợc bởi PTK sinh bởi thiết bị yêu cầu xác thực từ ngƣời dùng chỉ phù hợp với PTK đƣợc truyền bởi ngƣời cần xác thực nếu cả hai chia sẻ cùng PMK. Thông báo thứ ba đƣợc truyền từ thiết bị yêu cầu xác thực từ ngƣời dùng bao gồm GTK và MIC. Thông báo cuối của quá trình bắt tay bốn bƣớc là thông báo xác nhận đƣợc truyền bởi ngƣời cần xác thực. Hai nút có thể trao đổi dữ liệu sau khi quá trình bắt tay bốn bƣớc hoàn tất.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Hình 2.6: Quá trình bắt tay bốn bước
IEEE 802.11i hỗ trợ hai phƣơng pháp cho các dịch vụ bảo mật của bảo mật dữ liệu, toàn vẹn dữ liệu, xác thực nguồn gốc và bảo vệ chống lại tấn công lặp lại. Phƣơng pháp đầu tiên là Temporal Key Integrity Protocol (TKIP), đây là bản cải tiến của WEP và đƣợc dự phòng tƣơng thích cho cả các thiết bị lạc hậu với phần cứng đƣợc thiết kế sử dụng WEP. Mã hoá RC4 đã đƣợc sử dụng nhƣ là một thuật toán mã hoá. Tuy nhiên việc thực hiện các thuật toán này là không ổn định, làm cho giao thức dễ bị tấn công bởi nhiều tấn công bảo mật.
Phƣơng pháp thứ hai là giao thức CCMP (Counter mode (CTR) with CBC- MAC protocol). Giao thức CCMP dựa trên Advanced Encryption Standard (AES) sử dụng thuật toán mã hóa các chế độ truy cập với phƣơng thức hoạt động chuỗi mã hoá khối - mã xác thực thông báo (Cipher Block Chaining Message Authentication Code - CCM). Chế độ CCM kết hợp chế độ bảo mật truy cập (CTR) với chuỗi mã hoá khối - mã xác thực thông báo (CBC-MAC) để kiểm tra xác thực và toàn vẹn nguồn gốc. Các chế độ này đã đƣợc sử dụng và nghiên cứu trong một thời gian dài, đã đƣợc hiểu rõ tính chất mật mã. Họ cung cấp an ninh tốt và hiệu quả trong cả phần cứng hoặc phần mềm. Nhƣ trong hình… thể hiện, mã hoá CCM gồm 4 đầu
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
vào: Khoá mã hoá, Dữ liệu xác thực bổ sung (Additional Authentication Data - AAD); Nonce duy nhất cho mỗi frame và văn bản gốc. CCMP đóng gói văn bản gốc của đơn vị dữ liệu giao thức MAC (MAC Protocol Data Unit -MPDU) sử dụng một số bƣớc sau (Hình 2.7):
1. Đầu tiên tăng Packet Number (PN), để có đƣợc một PN mới cho mỗi MPDU.