Phần này sẽ giới thiệu các ngiiyên lý về chứng thực mã hóa của mạng không dây, từ đó phân tích các điểm yếu, cách tấn công khi sử dụng các nguyên lý này, đồng thời cũng đưa ra các giải pháp đối phó các tấn công đó.
Đầu tiên, để thuận tiện cho phân tích các vấn đề an ninh mạng không dây, chúng ta cần làm quen với một số khái niệm cơ bản sau.
4.2.1 Một số các khái niệm cần biết 4.2.1.1 Chứng thực – Authentication
Chứng thực có nghĩa là chứng nhận, xác thực sự hơp pháp của một người, một quá trình tham gia, sử dụng nào đó qua các phương thức, công cụ như mã khóa, chìa khóa, tài khoản, chữ ký, vân tay, v.v…. ,thông qua đó có thể cho phép hoặc không cho phép các hoạt động tham gia, sử dụng. Người được quyền tham gia, sử dụng sẽ được cấp một hay nhiều phương thức chứng nhận, xác thực trên.
Trong một mạng không dây, giả sử là sử dụng một AP để liên kết các máy tính lại với nhau, khi một máy tính mới muốn gia nhập vào mạng không dây đó, nó cần phải kết nối với AP. Để chứng thực máy tính xin kết nối đó, có nhiều phương pháp AP có thể sử dụng như MAC Address, SSID, WEP, RADIUS, v.v...
4.2.1.2 Phê duyệt – Authorization
Phê duyệt là quá trình kiểm tra lại các hoạt động mà người được chứng thực đã làm và sau đó quyết định chấp nhận hoặc từ chối chúng. Không phải tất cả những người được chứng thực đều có quyền phê duyệt.
4.2.1.3 Kiểm tra – Audit
Kiểm tra là quá trình xem xét lại quá trình đã thực hiện để có đúng theo yêu cầu đề ra không, phát hiện ra xem những vấn đề, lồi phát sinh nào không. Quá trình kiểm tra có thể định kỳ thường xuyên hoặc bất thường.
Để đảm bảo thông tin truyền đi, người ta sử dụng các phương pháp mã hóa (encryption). Dữ liệu được biến đổi từ dạng nhận thức được sang dạng không nhận thức được theo một thuật toán nào đó (tạo mật mã) và sẽ được biến đổi ngược lại (giải mã) ở trạm nhận. Phương tiện sử dụng trong quá trình mã hóa gọi là mật mã.
Nhiệm vụ của mật mã là tạo ra khả năng liên lạc trên các kênh công khai sao cho đối phương không thể hiểu được thông tin được truyền đi. Kênh công khai ở đây có thể là mạng điện thoại công cộng, mạng máy tính toàn cầu, mạng thu phát vô tuyến, v.v….Mật mã còn được dùng đổ bảo vệ các dữ liệu mật trong các CSDL nhiều người sử dụng. Ngày nay, phạm vi ứng dụng mật mã đã khá rộng rãi và phổ biến, đặc biệt trên các mạng truyền thông máy tính.
Các hệ bảo mật có thể chia làm hai loại:
- Hệ mật khóa bí mật: sử dụng cùng một mã cho lập mã và giải mã vì
thế còn gọi là hệ mật khóa đổi xứng (symmetric key). Với hệ mật này hai đầu của kênh thông tin phải được cung cấp cùng một khóa qua một kênh tin cậy và khóa này phải được tồn tại trước quá trình truyền tin.
- Hệ mật khóa công khai PKI-Public Key Infrastructure: dùng một khóa
để lập mã và dùng khóa khác đế giải mã, hệ mật này còn được gọi là hệ mật không đối xứng. Với hệ mật này khóa lập mã luôn được công bố công khai trên kênh tin chung, chỉ khóa giải mã là được giữ bí mật.
Chuối ký tự bản tin khi chưa mã hóa được gọi là Clear text, chuồi ký tự bản tin khi đã mã hóa gọi là cipher text.
4.2.1.5 Chứng thực bằng địa chỉ MAC – MAC Address
Trước hết chúng ta cũng nhắc lại một chút về khái niệm về địa chỉ MAC. Địa chỉ MAC - Media Access Control là địa chỉ vật lý của thiết bị được in nhập vào Card mạng khi chế tạo, mỗi card mạng chỉ có một giá trị địa chỉ MAC duy nhất. Địa chỉ này gồm 48 bit chia thành 6 byte, 3 byte đầu để xác định nhà sản xuất.
Ví dụ:
00-40-96: Cisco 00-00-86: 3COM
00-02-2D: Agere Communications (ORiNOCO) 00-10-E7: Breezecom
00-E0-03: Nokia Wireless 00-04-5A: Linksys
Và 3 byte còn lại là số thứ tự, do hãng đặt cho thiết bị. Địa chỉ MAC nằm ở lớp 2 (lớp Datalink của mô hình OSI) Nguyên lý thực hiện
Khi Client gửi yêu cầu chứng thực cho AP, AP sẽ lấy giá trị địa chỉ MAC của Client đó, so sánh với bảng các địa chỉ MAC được phép kết nối để quyết định xem có
cho phép Client chứng thực hay không. Chi tiết quá trình này được biểu diễn ở hình dưới.
Hình 4.10 Mô tả quá trình chứng thực bằng địa chỉ MAC
Nhược điểm
Về nguyên lý thì địa chỉ MAC là do hãng sản xuất quy định ra nhưng nhược điếm của phương pháp này kẻ tấn công lại có thể thay đổi địa chỉ MAC một cách dễ dàng, từ đó có thể chứng thực giả mạo.
Giả sử người sử dụng bị mất máy tính, kẻ cắp có thể dễ dàng truy cập và tấn công mạng bởi vì chiếc máy tính đó mang địa chỉ MAC được AP cho phép, trong khi đó người mất máy tính mua một chiếc máy tính mới lúc đầu gặp khó khăn vì AP chưa kịp cập nhật địa chỉ MAC của chiếc máy tính đó.
Một số các Card mạng không dây loại PCMCIA dùng cho chuẩn 802.11 được hỗ trợ khả năng tự thay đổi địa chỉ MAC, như vậy kẻ tấn công chỉ việc thayđối địa chỉ đó giống địa chỉ của một máy tính nào trong mạng đã được cấp phép là hắn có nhiều cơ hội chứng thực thành công. (adsbygoogle = window.adsbygoogle || []).push({});
Nói chung, nguyên lý này quá yếu kém về mặt an ninh nên biện pháp tốt nhất là không sử dụng nó hoặc là chỉ dùng nó như một phần phụ trợ cho các nguyên lý khác.
4.2.1.6 Chứng thực bằng SSID
Nguyên lý thực hiện
Chứng thực bàng SSID - System Set Identifier, mã định danh hệ thống, là một phương thức chứng thực đơn giản, nó được áp dụng cho nhiều mô hình mạng nhỏ, yêu cầu mức độ bảo mật thấp. Có thế coi SSID như một mật mã hay một chìa khóa, khi máy tính mới được phép gia nhập mạng nó sẽ được cấp SSID, khi gia nhập, nó gửi giá trị SSID này lên AP, lúc này AP sẽ kiểm tra xem SSID mà máy tính đó gửi lên có đúng với mình quy định không, nếu đúng thì coi như đã chứng thực được và AP sẽ cho phép thực hiện các kết nối.
Hình 4.11 Mô tả quá trình chứng thực bằng SSID
Các bước kết nối khi sử dụng SSID
Bước 1. Client phát yêu cầu thăm dò trên tất cả các kênh.
Bước 2. AP nào nhận được yêu cầu thăm dò trên sẽ trả lời lại (có thể có nhiều AP cùng trả lời).
Bước 3. Client chọn AP nào phù hợp đế gửi yêu cầu xin chứng thực. Bước 4. AP gửi trả lời yêu cầu Chứng thực.
Bước 5. Nếu thỏa mãn các yêu cầu chứng thực, Client sẽ gửi yêu cầu liên kết đến AP.
Bước 6. AP gửi trả lời yêu cầu liên kết.
Bước 7. Quá trình chứng thực thành công, 2 bên bắt đầu trao đổi dữ liệu. SSID là một chuỗi dài 32 bit. Trong một số tình huống công khai (hay còn gọi là Chứng thực mở - Open System Authentication), khi AP không yêu cầu chứng thực chuỗi SSID này sẽ là một chuỗi trắng (null). Trong một số tình huống công khai khác, AP có giá trị SSID và nó phát Broadcast cho toàn mạng. Còn khi giữ bí mật (hay còn gọi là Chứng thực đóng - Close System Authentication), chi khi có SSID đúng thì máy tính mới tham gia vào mạng được. Giá trị SSID cũng có thể thay đổi thường xuyên hay bất thường, lúc đó phải thông báo đến tất cả các máy tính được cấp phép và đang sử dụng SSID cũ, nhưng trong quá trình trao đổi SSID giữa Client và AP thì mã này đê ở nguyên dạng, không mã hóa (clear text).
Nhược điểm của SSID
Sử dụng SSID là khá đơn giản nhưng nó cũng có nhiều nhược điểm, cụ thể: -Các hãng thường có mã SSID mặc định sẵn (default SSID), nếu người sử dụng không thay đổi thì các thiết bị AP giữ nguyên giá trị SSID này, kẻ tấn công lợi dụng sự lơi lỏng đó, đề dò ra SSID.
Hình 4.12 SSID mặc định của một số các nhà sản xuất AP
- Nhiều mạng sử dụng mã SSID rỗng (null), như vậy đương nhiên mọi máy tính có thê truy nhập vào mạng được, kê cả máy tính của kẻ tấn công.
- AP bật chế độ Broadcast SSID, như vậy giá trị SSID này sẽ được gửi đi khắp nơi trong vùng phủ sóng, tạo điều kiện cho kẻ tấn công lấy được mã này.
- Kiểu chứng thực dùng SSID là đơn giản. Vì vậy nếu kẻ tấn công thực hiện việc bắt rất nhiều gói tin trên mạng để phân tích theo các thuật toán quét giá trị như kiểu Brute Force thì sẽ có nhiều khả năng dò ra được mã SSID mà AP đang sử dụng.
- Tất cả mạng Wirelees LAN dùng chung một SSID, chỉ cần một máy tính trong mạng đê lộ thì sẽ ảnh hướng an ninh toàn mạng. Khi AP muốn đôi giá trị SSID thì phải thông báo cho tất cả các máy tính trong mạng.
Sử dụng phương pháp bắt gói tin dò mã SSID
Nếu AP phát Broadcast SSID, bất kỳ một máy tính kết nối không dây nào cũng có thể dò ra giá trị này. Còn khi AP không phổ biến giá trị này, kẻ tấn công vẫn có thể dò ra được một cách đơn giản bằng phương pháp bắt các bản tin trao đổi giữa Client và AP bới vì các giá trị SSID trong bản tin không được mã hóa.
Hình 4.13 Giá trị SSID được AP phát ở chế độ quảng bá
Hình 4.14 Giá trị SSID được AP phát ở chế độ trả lời Client
Việc sử dụng SSID chỉ áp dụng cho kết nối giữa máy tính và máy tính hoặc cho các mạng không dây phạm vi nhỏ, hoặc là không có kết nối ra mạng bên ngoài. Những mô hình phức tạp vẫn sử dụng SSID nhưng không phải để bảo mật vì nó thường được phổ biến công khai, mà nó được dùng đế giữ đúng các nguyên lý kết nối của Wirelees LAN, còn an ninh mạng sẽ được các nguyên lý khác đảm nhiệm.
4.2.1.7 Chuẩn chứng thực 802.1x và EAP (Extensible Authentication Protocol)
802.1x là chuẩn đặc biệt đặc tả cho việc truy cập dựa trên cổng (port based) được định nghĩa bởi IEEE. Hoạt động trên cả môi trường có dây truyền thống và không dây. Việc điều khiển truy cập được thể hiện bằng cách : khi người dùng cố gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn ( blocking) và chờ việc kiểm tra định danh người dùng hoàn tất.
EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, certificate, ... ), giao thức được sử dụng (MD5, TLS – Transport Layer Security, OTP – One Time Password, … ) hỗ trợ tự động sinh khóa và xác thực lẫn nhau.
Quá trình chứng thực 802.1x – EAP như sau:
1. Client yêu cầu kết nối (Associate Request) tới AP
2. AP hồi đáp Assciation Aequest bằng một EAP Identity Request 3. Client gửi tới một EAP Identiy Response cho AP (adsbygoogle = window.adsbygoogle || []).push({});
4. EAP Identity Response của client sẽ được AP forward đến server xác thực 5. Server xác thực gửi một Authorization Request dến AP
6. AP sẽ forward Authorization Request đến client 7. Client gửi một EAP Authorization Response đến AP
8. AP sẽ forward EAP Authorization Response đến server xác thực 9. Server xác thực gởi một EAP success đến AP
10. Ap sẽ forward EAP success đến client và đặt cổng kết nối với client sang chế độ forward.
Hình 4.15 Mô hình hoạt động xác thực 802.1x 4.2.1.8 RADIUS Server
Việc chứng thực của 802.1x được thực hiện trên một server riêng, server này sẽ quản lý các thông tin để xác thực người dùng sử dụng như tên đăng nhập (username), mật khẩu (password), mã số thẻ, dấu vân tay , v.v… Khi người dùng gửi yêu cầu chứng thực, server
này tra cứu dữ liệu để xem người dùng này có hợp lệ không, được cấp quyền truy cập đến mức nào v.v…
Nguyên lý này được gọi là RADIUS Server - Máy chủ cung cấp dịch vụ chứng thực người dùng từ xa thông qua phương thức quay số. Phương thức quay số xuất hiện từ ban đầu với mục đích là thực hiện qua đường điện thoại, ngày nay không chỉ thực hiện qua quay sổ mà còn có thể thực hiện trên những đường truyền khác nhưng người ta vấn giữ tên RADIUS như xưa.
Hình 4.16 Mô hình chứng thực sử dụng RADIUS Server
Các quá trình liên kết và xác thực được tiến hành như mô tả trong hình trên, và thực hiện theo các bước sau:
Hình 4.17 Quá trình chứng thực sử dụng RADIUS Server
Bước 1: Máy tính Client gửi yêu cầu kết nối đến AP.
Bước 2: AP thu thập các yêu cầu của Client và gửi đến RADIUS server. Bước 3: RADIUS server gửi đến Client yêu cầu nhập user/password. Bước 4: Client gửi user/password đến RADIUS Server.
Bước 5: RADIUS server kiểm tra user/password có đúng không, nếu đúng thì
RADIUS server sẽ gửi cho Client mã khóa chung.
Bước 6: Đồng thời RADIUS server cũng gửi cho AP mã khóa này và đồng thời thông báo với AP về quyền và phạm vi được phép truy cập của Client này.
Để nâng cao tính bảo mật, RADIUS Server sẽ tạo ra các khóa dùng chung khác nhau cho các máy khác nhau trong các phiên làm việc (session) khác nhau, thậm chí là còn có cơ chế thay đổi mã khóa đó thường xuyên theo định kỳ. Khái niệm khóa dùng chung lúc này không phải để chỉ việc dùng chung của các máy tính Client mà đê chỉ việc dùng chung giữa Client và AP.
4.2.2 Phương thức chứng thực và mã hóa dữ liệu4.2.2.1 WEP - Wired Equivalent Privacy 4.2.2.1 WEP - Wired Equivalent Privacy
4.2.2.1.1 Giới thiệu
WEP (Wired Equivalent Privacy) nghĩa là bảo mật tương đương với mạng có dây (Wired LAN). Khái niệm này là một phần trong chuẩn IEEE 802.11. Theo định nghĩa, WEP được thiết kế để đảm bảo tính bảo mật cho mạng không dây đạt mức độ như mạng nối cáp truyền thống. Đối với mạng LAN (định nghĩa theo chuẩn IEEE 802.3), bảo mật dữ liệu trên đường truyền đối với các tấn công bên ngoài được đảm bảo qua biện pháp giới hạn vật lý, tức là hacker không thể truy xuất trực tiếp đến hệ thống đường truyền cáp. Do đó chuẩn 802.3 không đặt ra vấn đề mã hóa dữ liệu để chống lại các truy cập trái phép. Đối với chuẩn 802.11, vấn đề mã hóa dữ liệu được ưu tiên hàng đầu do đặc tính của mạng không dây là không thể giới hạn về mặt vật lý truy cập đến đường truyền, bất cứ ai trong vùng phủ sóng đều có thể truy cập dữ liệu nếu không được bảo vệ.
4.2.2.1.2 Phương thức chứng thực
Phương thức chứng thực của WEP cũng phải qua các bước trao đổi giữa Client và AP, nhưng nó có thêm mã hóa và phức tạp hơn.
Hình 4.18 Mô tả quá trình chứng thực giữa Client và AP
Các bước cụ thể như sau
Bước 1: Client gửi đến AP yêu cầu xin chứng thực.
Bước 2: AP sẽ tạo ra một chuỗi mời kết nối (challenge text) ngẫu nhiên gửi
Bước 3: Client nhận được chuỗi này này sẽ mã hóa chuỗi bằng thuật toán RC4
theo mã khóa mà Client được cấp, sau đó Client gửi lại cho AP chuỗi đã mã hóa.
Bước 4: AP sau khi nhận được chuỗi đã mã hóa của Client, nó sẽ giải mã lại
bằng thuật toán RC4 theo mã khóa đã cấp cho Client, nếu kết quả giống với chuỗi ban đầu mà nó gửi cho Client thì có nghĩa là Client đã có mã khóa đúng và AP sẽ chấp nhận quá trình chứng thực của Client và cho phép thực hiện kết nối. (adsbygoogle = window.adsbygoogle || []).push({});
4.2.2.1.3 Phương thức mã hóa
WEP là một thuật toán mă hóa đối xứng có nghĩa là quá trình mã hóa và giải mă đều