b/ Các cơ chế phát hiện xâm nhập (Intrusion Detection Mechanisms)
2.3.2.1 Lỗ hổng trong IEEE 802.1X
IEEE 802.1X đƣợc sử dụng theo tiêu chuẩn IEEE 802.11i để phân phối khóa và chứng thực. Có ba thực thể cụ thể là: chứng thực, ngƣời cần xác thực, và máy chủ tham gia xác thực trong tiến trình. Các giả định cơ bản của giao thức thiết bị yêu cầu xác thực từ ngƣời dùng là luôn luôn đáng tin cậy, vì vậy ngƣời cần xác thực không cần xác minh các thông báo nhận từ thiết bị yêu cầu xác thực từ ngƣời dùng và đáp ứng các thông báo này vô điều kiện. Tuy nhiên trong thực tế hành động trên có thể làm cho giao thức dễ bị tổn thƣơng và bị tấn công. Hình 2.8 cho thấy, làm thế nào một kẻ thù có thể khai thác lỗ hổng nói trên để tấn công chiếm quyền đăng nhập.
Hình 2.8: Tấn công chiếm quyền đăng nhập
Kẻ thù chờ đợi cho đến khi thiết bị yêu cầu xác thực từ ngƣời dùng và ngƣời cần xác thực hoàn thành quá trình thẩm định và chứng thực gửi EAP thành công đến s ngƣời cần xác thực. Sau đó kẻ thù sẽ tách tin nhắn tới ngƣời cần xác thực với IP giả mạo của thiết bị yêu cầu xác thực từ ngƣời dùng. ngƣời cần xác thực sẽ giả định phiên của nó đã đƣợc chấm dứt bằng cách thực hiện chứng thực nhƣ thông
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
báo. Kẻ thù sẽ truy nhập vào mạng bằng cách giả mạo địa chỉ MAC của ngƣời cần xác thực và tiến hành thủ tục xác nhận lẫn nhau bằng cách bắt tay bốn bƣớc.
Hình 2.9 cho thấy man-in-the-middle đƣa ra cách tấn công bởi các đối thủ khai thác các lỗ hổng trong 802.1X. Sau khi trao đổi yêu cầu ban đầu của EAP và tin nhắn phản ứng giữa ngƣời cần xác thực và thiết bị yêu cầu xác thực từ ngƣời dùng , kẻ thù sẽ gửi thành công tin nhắn EAP bằng các sử dụng địa chỉ MAC của nó. Kể từ khi giao thức 802.1X cho thấy quá trình chuyển đổi vô điều kiện thành công khi nhận đƣợc tin nhắn EAP bởi ngƣời cần xác thực t, giả sử ngƣời cần xác thực t đƣợc chứng thực bằng thiết bị yêu cầu xác thực từ ngƣời dùng và thay đổi trạng thái.
Hình 2.9: Tấn công khai thác lỗ hổng trong 802.1X
Khi thực hiện chứng thực sẽ gửi thành công tin nhắn EAP, giả sử kẻ thù thực hiện chứng thực hợp pháp trong khi các đối thủ có thể dẽ dàng giả mạo địa chỉ MAC của ngƣời cần xác thực để giao tiếp với thiết bị yêu cầu xác thực từ ngƣời dùng thực tế. Do đó, kẻ thù sẽ trở thành trung gian giữa ngƣời cần xác thực và thiết bị yêu cầu xác thực từ ngƣời dùng. Các giải pháp đề xuất để ngăn chặn các cuộc tấn
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
công đề nghị kiểm định và kiểm tra tính toàn vẹn cho các tin nhắn EAP giữa thiết bị yêu cầu xác thực từ ngƣời dùng và ngƣời cần xác thực. Giải pháp này cũng đƣợc thẩm định dƣạ trên mô hình ngang hàng. Các mô hình peer- to- peer là phù hợp cho WMN, nơi mà cả hai thiết bị yêu cầu xác thực từ ngƣời dùng, và các ngƣời cần xác thực là thiết bị định tuyến WMN.