Bảo mật cho Wifi

CHƯƠNG 1: TỔNG QUAN MẠNG CỤC BỘ KHÔNG DÂY 2 1.1 Giới thiệu 3 1.2 Quá trình phát triển của mạng WLAN 3 1.3 Phân loại mạng WLAN . 4 1.3.1 Các WLAN vô tuyến 4 1.3.1.1 Trải phổ chuỗi trực tiếp (DSSS) . 4 1.3.1.2 Trải phổ nhảy tần (FHSS) 6 1.3.2 Các mạng WLAN hồng ngoại 6 1.4 Ứng dụng của hệ thống mạng WLAN . 7 1.4.1 Vai trò truy cập ( Access role) . 7 1.4.2 Mở rộng mạng (Network extension) 8 1.4.3 Kết nối các toà nhà 8 1.4.4 Văn phòng nhỏ- Văa phòng gia đình . 10 1.4.5 Văn phòng di động . 11 1.5 Ưu, nhược điểm của mạng WLAN 11 1.5.1 Ưu điểm 11 1.5.2 Nhược điểm 12 CHƯƠNG 2: CÁC TIÊU CHUẨN CỦA MẠNG WLAN . 13 2.1 Các tiêu chuẩn IEEE 802.11 13 2.1.1 Nguồn gốc ra đời của chuẩn IEEE 802.11 . 13 2.1.2 IEEE 802.11b . 13 2.1.3 IEEE 802.11a . 15 2.1.4 IEEE 802.11g . 16 2.1.5 IEEE 802.11i 17 2.1.6 IEEE 802.11n . 17 2.1.7 Cấu trúc cơ bản của WLAN IEEE 802.11 18 2.1.7.1 Hệ thống phân phối 18 2.1.7.2 Diểm truy cập . 19 2.1.7.3 Môi trường vô tuyến 19 2.1.7.4 Các trạm . 19 2.1.8 Mô hình của WLAN IEEE 802.11 20 2.1.8.1 Mô hình Ad- hoc hay còn gọi là IBSS 20 2.1.8.2 Mô hình mạng cơ sở hạ tầng Infrastructure . 21 2.1.8.3 Mô hình mạng mở rộng ESS . 22 2.1.9 Mô hình tham chiếu WLAN IEEE 802.11 . 24 2.1.9.1 Phân lớp vật lý PHY . 24 2.1.9.2 Phân lớp điều khiển truy nhập môi trường . 25 2.1.9.2.1 Chức năng phân lớp con MAC 25 2.1.9.2.2 Đơn vị dữ liệu giao thức MAC tổng quát . 27 2.1.9.2.3 Các khoảng thời gian liên khung . 28 2.1.9.2.4 Chức năng phối hợp phân bố DCF 29 2.1.9.2.5 Chức năng phối hợp điểm PCF . 30 2.1.9.2.6 Phân mảnh 31 2.2 Tiêu chuẩn HiperLAN . 32 2.3 Tiêu chuẩn OpenAir 34 2.4 Tiêu chuẩn HomeRF . 34 2.5 Tiêu chuẩn Bluetooth 35 2.6 Bảng tóm tắt các chuẩn . 36 CHƯƠNG 3: MỘT SỐ VẤN ĐỀ BẢO MẬT MẠNG KHÔNG DÂY WIFI 38 3.1 Giới thiệu 38 3.2 Một số hình thức tân công xâm nhập mạng WiFi phổ biến . 39 3.2.1 Tấn công không qua chứng thực 39 3.2.2 Tấn công truyền lại . 40 3.2.3 Giả mạo AP 40 3.2.4 Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý 41 3.2.5 Giả mạo địa chỉ MAC 41 3.2.6 Tấn công từ chối dịch vụ 42 3.3 Một số phương pháp bảo mật cho mạng không dây WiFi 42 3.3.1 Firewall, các phương pháp lọc 43 3.3.1.1 Lọc SSID 43 3.3.1.2 Lọc địa chỉ MAC . 45 3.3.1.3 Circumventing MAC filters 46 3.3.1.4 Lọc giao thức . 46 3.3.2 Xác thực 47 3.3.2.1 Phương pháp VPN Fix . 47 3.3.2.2 Phương pháp 802.1x 48 3.3.3 Mã hoá dữ liệu truyền 49 3.3.3.1 WEP 49 3.3.3.2 WPA (WiFi Protected Access) 52 3.3.3.3 802.11i (WPA2) 53 3.4 Bảo mật trong thực tế . 55 3.4.1 Khu vực nhà ở và văn phòng nhỏ- Yêu cầu an ninh thấp 55 3.4.2 Văn phòng nhỏ và người dùng ở xa- Yêu cầu an ninh trung bình . 56 3.4.3 Các tổ chức tập đoàn- Yêu cầu an ninh cao . 57 3.4.4 An ninh truy nhập công cộng . 58 KẾT LUẬN

doc61 trang | Chia sẻ: lvcdongnoi | Lượt xem: 6790 | Lượt tải: 3download
Bạn đang xem trước 20 trang tài liệu Bảo mật cho Wifi, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
của mạng này rất đa dạng: có thể là các máy tính PC, các thiết bị Mobile, các loại thiết bị cầm tay khác (có giao diện vô tuyến). HomeRF được nêu lên vào năm 1998. Có nhiều tập đoàn công nghiệp như: Compaq, IBM, Intel, Microsoft đã tập trung nghiên cứu. Mục đích chung của họ là phát triển một giao thức chuẩn chung cho mạng không dây trong dải tần 2.4GHz và tỷ lệ dữ liệu là 1- 2 Mbps, sử dụng kỹ thuật lai TDMA/ CSMA. Giao thức truy nhập vô tuyến dùng chung SWAP- Shared Wireless Access Protocol (Lớp MAC trong HomeRF), được thiết kế cho cả dữ liệu và tiếng nói. Chuẩn này cũng có thể tương hỗ với mạng điện thoại chuyển mạch công cộng và mạng Internet. Các sản phẩm theo chuẩn SWAP hoạt động ở dải tần 2,4 GHz sử dụng FHSS. Công nghệ SWAP bắt nguồn từ các tiêu chuẩn điện thoại không dây tiên tiến dùng kỹ thuật số và chuẩn WLAN IEEE 802.11 hiện có. SWAP cho phép cung cấp các dịch vụ không dây mới ở trong nhà, SWAP hỗ trợ TDMA (để cung cấp thoại tương tác và các dịch vụ thời gian) và CSMA/CA (để cung cấp truyền thông các gói số liệu tốc độ cao không đồng bộ). Bảng 4: Các thông số chính của hệ thống HomeRF Tham số Đặc tả Tốc độ nhảy 50mẫu/s (cùng các mẫu nhảy như 802.11) Vùng tần số Băng 2,4 GHz ISM Công suất vô tuyến phát 20 dBm Tốc độ số liệu 1 Mbps (2-FSK), 2 Mbps (4-FSK) Vùng phủ Tới 50m Số lượng nút Tới 127 thiết bị cho một mạng Các kết nối thoại Tới 6 phiên đàm thoại song công có kiểm tra lỗi 2.5 Tiêu chuẩn Bluetooth Nhóm chuyên trách Bluetooth được thành lập vào năm 1998 bởi các công ty lớn (Intel, IBM, Toshiba) và các công ty điện thoại tế bào (Nokia, Ericsson) để cung cấp kết nối vô tuyến giữa cơ sở máy tính PC di động, điện thoại tế bào và các thiết bị điện tử khác. Bluetooth là công nghệ radio phạm vi hẹp để kết nối giữa các thiết bị không dây. Hoạt động trong dải băng tần ISM (2.4 GHz). Chuẩn này xác định một đường truyền vô tuyến phạm vi hẹp song công tốc độ 1Mbps kết nối được tới 8 thiết bị vô tuyến cầm tay. Phạm vi của Bluetooth phụ thuộc vào năng lượng của lớp radio. Mạng Bluetooth được gọi là Piconet. Trường hợp đơn giản nó là 2 thiết bị được nối trực tiếp với nhau. Một thiết bị là Master (chủ), còn thiết bị kia là Slave (tớ). Ứng dụng chủ yếu là úng dụng điểm- điểm. Đây chính là cấu trúc Ad- hoc trong mạng WLAN. Kết nối Bluetooth là kết nối Ad- hoc điển hình. Điều đó có nghĩa là mạng được thiết lập chỉ cho nhiệm vụ hiện tại và được gỡ bỏ kết nối sau khi dữ liệu đã truyền xong. Công nghệ Bluetooth sử dụng kỹ thuật trải phổ nhảy tần, nghĩa là các gói được truyền trong những tần số khác nhau. Trong hầu hết các quốc gia, 79 kênh được sử dụng. Với tỷ lệ nhảy nhanh (1600 lần nhảy trên giây) việc chống nhiễu đạt kết quả tốt. 2.6 Bảng tóm tắt các chuẩn Bảng 5: Bảng tóm tắt các chuẩn Chuẩn Tốc độ truyền dữ liệu Các cơ chế Bảo mật Ghi chú IEEE 802.11 Tối đa 2 Mbps tại băng tần 2.4 Ghz FHSS hay DSSS WEP & WPA Được cải tiến và mở rộng ở 802.11b IEEE802.11a (Wi-Fi) Tối đa 54 Mbps tại băng tần 5GHz OFDM WEP & WPA Sản phẩm sử dụng chuẩn này được chứng nhận Wi- Fi IEEE802.11b (Wi-Fi) Tối đa 11Mbps tại băng tần 2.4 GHz DSSS với CCK WEP & WPA Sản phẩm sử dụng chuẩn này được chứng nhận Wi- Fi IEEE802.11g (Wi-Fi) Tối đa 54 Mbps tại băng tần 2.4 Ghz OFDM cho tốc độ trên 20 Mbps DSSS với CCK cho tốc độ dưới 20 Mbps WEP & WPA Sản phẩm sử dụng chuẩn này được chứng nhận Wi- Fi OpenAir Tốc độ tốí đa 1.6Mbps tại băng tần 2.4 GHz FHSS Gần giống 802.11, không có cơ chế bảo mật HomeRF Tối đa 10 Mbps tại băng tần 2.4 GHz FHSS Địa chỉ IP độc lập cho mỗi mạng. Dùng 56 bit cho mã hoá dữ liệu HiperLAN/1 Tối đa 20 Mbps tại băng tần 5 GHz CSMA/ CA Định dang và mã hoá cho mỗi secsion Chỉ sử dụng ở Châu Âu HiperLAN/2 Tối đa 54Mbps tại băng tần 5 GHz OFDM Bảo mật cao Chỉ sử dụng ở Châu Âu. Ứng dụng cho mạng ATM CHƯƠNG 3: MỘT SỐ VẤN ĐỀ BẢO MẬT CHO MẠNG KHÔNG DÂY WI- FI 3.1 Giới thiệu Bảo mật là vấn đề hết sức quan trọng đối với người dùng trong tất cả các hệ thống mạng (LAN, WLAN…). Nhưng do bắt nguồn từ tính cố hữu của môi trường không dây. Để kết nối tới một mạng LAN hữu tuyến cần phải truy cập theo đường truyền bằng dây cáp, phải kết nối một PC vào một cổng mạng. Với mạng không dây Wi- Fi chỉ cần có thiết bị trong vùng sóng là có thể truy cập được nên vấn đề bảo mật cho mạng không dâyWi- Fi là cực kỳ quan trọng và làm đau đầu những người sử dụng mạng. Điều khiển cho mạng hữu tuyến là đơn giản: đường truyền bằng cáp thông thường được đi trong các tòa nhà cao tầng và các port không sử dụng có thể làm cho nó disable bằng các ứng dụng quản lý. Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vật liệu của các tòa nhà và như vậy sự bao phủ là không giới hạn ở bên trong một tòa nhà. Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát từ các mạng Wi- Fi này, và như vậy ai đó cũng có thể truy cập nhờ vào các thiết bị thích hợp. Do đó mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ. Hình 3.1 thể hiện một người lạ có thể truy cập đến một LAN không dây từ bên ngoài như thế nào. Giải pháp ở đây là phải làm sao để có được sự bảo mật cho mạng chống được việc truy cập theo kiểu này. Hình 3.1: Một người lạ truy cập vào mạng Không giống như các hệ thống hữu tuyến được bảo vệ vật lý, các mạng vô tuyến không cố định trong một phạm vi. Chúng có di chuyển ra xa khoảng 1000 bước chân ngoài ranh giới của vị trí gốc với một laptop và một anten thu. Những điều này làm cho mạng Wi- Fi rất dễ bị xâm phạm. Bảo mật là vấn đề rất quan trọng và đặc biệt rất được sự quan tâm của những doanh nghiệp. Không những thế, bảo mật cũng là nguyên nhân khiến doanh nghiệp e ngại khi cài đặt mạng cục bộ không dây WLAN. Họ lo ngại về những điểm yếu trong bảo mật WEP (Wired Equivalent Privacy), và quan tâm tới những giải pháp bảo mật mới thay thế an toàn hơn. IEEE và Wi-Fi Alliance đã phát triển các giải pháp có tính bảo mật hơn là: Bảo vệ truy cập WPA (Wi-Fi Protected Access), và IEEE 802.11i (hay còn được gọi là WPA2), bảo mật bằng xác thực 802.1x và một giải pháp tình thế khác mang tên VPN Fix cũng giúp tăng cường bảo mật mạng không dây cho môi trường mạng không dây cục bộ. Theo như Webtorial, WPA và 802.11i được sử dụng tương ứng là 29% và 22%. Mặt khác, 42% được sử dụng cho các "giải pháp tình thế" khác như: bảo mật hệ thống mạng riêng ảo VPN (Vitual Private Network) qua mạng cục bộ không dây. 3.2 Một số hình thức tấn công xâm nhập mạng Wi- Fi phổ biến 3.2.1 Tấn công không qua chứng thực Tấn công không qua chứng thực (Deauthentication attack) là sự khai thác gần như hoàn hảo lỗi nhận dạng trong mạng 802.11. Trong mạng 802.11 khi một nút mới gia nhập vào mạng nó sẽ phải đi qua quá trình xác nhận cũng như các quá trình có liên quan khác rồi sau đó mới được phép truy cập vào mạng. Bất kỳ các nút ở vị trí nào cũng có thể gia nhập vào mạng bằng việc sử dụng khoá chia sẻ tại vị trí nút đó để biết được mật khẩu của mạng. Sau quá trình xác nhận, các nút sẽ đi tới các quá trình có liên quan để có thể trao đổi dữ liệu và quảng bá trong toàn mạng. Trong suốt quá trình chứng thực chỉ có một vài bản tin dữ liệu, quản lý và điều khiển là được chấp nhận. Một trong các bản tin đó mang lại cho các nút khả năng đòi hỏi không qua chứng thực từ mỗi nút khác. Bản tin đó được sử dụng khi một nút muốn chuyển giữa hai mạng không dây khác nhau. Ví dụ nếu trong cùng một vùng tồn tại nhiều hơn một mạng không dây thì nút đó sẽ sử dụng bản tin này. Khi một nút nhận được bản tin “không qua chứng thực” này nó sẽ tự động rời khỏi mạng và quay trở lại trạng thái gốc ban đầu của nó. Trong tấn công không qua chứng thực, tin tặc sẽ sử dụng một nút giả mạo để tìm ra địa chỉ của AP đang điều khiển mạng. Không quá khó để tìm ra địa chỉ của AP bởi nó không được bảo vệ bởi thuật toán mã hoá, địa chỉ của chúng có thể được tìm thấy nếu chúng ta lắng nghe lưu lượng giữa AP và các nút khác. Khi tin tặc có được địa chỉ của AP, chúng sẽ gửi quảng bá các bản tin không chứng thực ra toàn mạng khiến cho các nút trong mạng ngay lập tức dừng trao đổi tin với mạng. Sau đó tất cả các nút đó sẽ cố kết nối lại, chứng thực lại và liên kết lại với AP tuy nhiên do việc truyền các bản tin không qua chứng thực được lặp lại liên tục khiến cho mạng rơi vào tình trạng bị dừng hoạt động. 3.2.2 Tấn công truyền lại Tấn công truyền lại (Replay Attack) là tin tặc đứng chắn ngang việc truyền thông tin hợp lệ và rồi sử dụng lại nó. Tin tặc không thay đổi bản tin mà chỉ gửi lại nó trong thời điểm thích hợp theo sự lựa chọn của tin tặc. Trong mạng 802.11, tấn công truyền lại tạo ra kiểu tấn công từ chối dịch vụ vì khi nút nhận được một bản tin hợp lệ nó sẽ chiếm dụng băng thông và tính toán thời gian để giải mã bản tin đó. Các lỗi dễ bị tấn công nhất trong 802.11 rất nhạy với hình thức tấn công này là các bản tin không có thứ tự một cách rõ ràng. Trong 802.11 không có cách nào để dò và loại bỏ các bản tin bị truyền lại. 3.2.3 Giả mạo AP Giả mạo AP là kiểu tấn công “man in the middle” cổ điển. Đây là kiểu tấn công mà tin tặc đứng ở giữa và trộm lưu lượng truyền giữa 2 nút. Kiểu tấn công này rất mạnh vì tin tặc có thể trộm tất cả lưu lượng đi qua mạng. Rất khó khăn để tạo một cuộc tấn công “man in the middle” trong mạng có dây bởi vì kiểu tấn công này yêu cầu truy cập thực sự đến đường truyền. Trong mạng không dây thì lại rất dễ bị tấn công kiểu này. Tin tặc cần phải tạo ra một AP thu hút nhiều sự lựa chọn hơn AP chính thống. AP giả này có thể được thiết lập bằng cách sao chép tất cả các cấu hình của AP chính thống đó là: SSID, địa chỉ MAC ... Bước tiếp theo là làm cho nạn nhân thực hiện kết nối tới AP giả. Cách thứ nhất là đợi cho nguời dùng tự kết nối. Cách thứ hai là gây ra một cuộc tấn công từ chối dịch vụ DoS trong AP chính thống do vậy nguời dùng sẽ phải kết nối lại với AP giả. Trong mạng 802.11 sự lựa chọn AP được thực hiện bởi cường độ của tín hiệu nhận. Điều duy nhất tin tặc phải thực hiện là chắc chắn rằng AP của mình có cường độ tín hiệu mạnh hơn cả. Để có được điều đó tin tặc phải đặt AP của mình gần người bị lừa hơn là AP chính thống hoặc sử dụng kỹ thuật anten định hướng. Sau khi nạn nhân kết nối tới AP giả, nạn nhân vẫn hoạt động như bình thường do vậy nếu nạn nhân kết nối đến một AP chính thống khác thì dữ liệu của nạn nhân đều đi qua AP giả. Tin tặc sẽ sử dụng các tiện ích để ghi lại mật khẩu của nạn nhân khi trao đổi với Web Server. Như vậy tin tặc sẽ có được tất cả những gì anh ta muốn để đăng nhập vào mạng chính thống. Kiểu tấn công này tồn tại là do trong 802.11 không yêu cầu chứng thực 2 hướng giữa AP và nút. AP phát quảng bá ra toàn mạng. Điều này rất dễ bị tin tặc nghe trộm và do vậy tin tặc có thể lấy được tất cả các thông tin mà chúng cần. Các nút trong mạng sử dụng WEP để chứng thực chúng với AP nhưng WEP cũng có những lỗ hổng có thể khai thác. Một tin tặc có thể nghe trộm thông tin và sử dụng bộ phân tích mã hoá để trộm mật khẩu của người dùng. 3.2.4 Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý Tần số là một nhược điểm bảo mật trong mạng không dây. Mức độ nguy hiểm thay đổi phụ thuộc vào giao diện của lớp vật lý. Có một vài tham số quyết định sự chịu đựng của mạng là: năng lượng máy phát, độ nhạy của máy thu, tần số RF, băng thông và sự định hướng của anten. Trong 802.11 sử dụng thuật toán đa truy cập cảm nhận sóng mang (CSMA) để tránh xung đột. CSMA là một thành phần của lớp MAC. CSMA được sử dụng để chắc chắn rằng sẽ không có xung đột dữ liệu trên đường truyền.. Kiểu tấn công này không sử dụng tạp âm để tạo ra lỗi cho mạng nhưng nó sẽ lợi dụng chính chuẩn đó. Thậm chí là kỹ thuật sử dụng trải phổ tuần tự trực tiếp (DSSS), mã sửa sai FEC hay CRC đều vô ích với kiểu tấn công này. Có nhiều cách để khai thác giao thức cảm nhận sóng mang vật lý. Cách đơn giản là làm cho các nút trong mạng đều tin tưởng rằng có một nút đang truyền tin tại thời điểm hiện tại. Cách dễ nhất đạt được điều này là tạo ra một nút giả mạo để truyền tin một cách liên tục. Một cách khác là sử dụng bộ tạo tín hiệu RF. Một cách tấn công tinh vi hơn là làm cho card mạng chuyển vào chế độ kiểm tra mà ở đó nó truyền đi liên tiếp một mẫu kiểm tra. Tất cả các nút trong phạm vi của một nút giả là rất nhạy với sóng mang và trong khi có một nút đang truyền thì sẽ không có nút nào được truyền. Theo như tin tặc thì đó là kiểu rất dễ bị tấn công vì nó không đòi hỏi thiết bị đặc biệt. 3.2.5 Giả mạo địa chi MAC Trong 802.11 địa chỉ MAC là một cách để ngăn người dùng bất hợp pháp gia nhập vào mạng. Việc giả địa chỉ MAC là một nhiêm vụ khá dễ dàng đối với tin tặc. Trong khi giá trị được mã hoá trong phần cứng là không thể thay đổi thì giá trị được đưa ra trong phần sụn (chương trình cơ sở) của phần cứng lại có thể thay đổi được. Có nhiều chương trình sử dụng cho các hệ điều hành khác nhau có thể thay đổi được địa chỉ MAC được đưa ra trong bộ điều hợp mạng. Thủ tục này thực sự là rất dễ và có thể được thực hiện trong vài phút. Thậm chí sau khi giả địa chỉ MAC trở nên phổ biến, 802.11 vẫn còn sử dụng phương pháp chứng thực này bởi vì địa chỉ MAC 48 bit là đủ dài để ngăn chặn các cuộc tấn công vào nó. Nhiều chương trình mới đã được tạo ra để cho phép tin tặc vượt qua được sự khó khăn này. Tin tặc không phải đi tìm địa chỉ MAC bởi vì nó được phát quảng bá ra toàn mạng do chuẩn 802.11 yêu cầu như vậy. Chỉ có một vài gói tin mà tin tặc cần chặn lại để lấy địa chỉ MAC và do vậy bằng việc giả mạo địa chỉ MAC tin tặc đã được nhận dạng như một người dùng hợp pháp của mạng. 3.2.6 Tấn công từ chối dịch vụ Đây là hình thức tấn công làm cho các mạng không dây không thể phục vụ được người dùng, từ chối dịch vụ với những người dùng hợp pháp. Trong mạng có dây có các hình thức tấn công từ chối dịch vụ DoS (Denial of Service) phổ biến như Ping of Death, SYN Flooding. Các hình thức này dựa trên cơ chế của bộ giao thức TCP/IP, có thể khiến cho máy chủ bị treo. Mạng không dây tồn tại những điểm yếu để tấn công DoS khác với mạng có dây ví dụ như khi sóng radio truyền trong môi trường, nó rất dễ bị ảnh hưởng bởi các yếu tố khách quan cũng như chủ quan. Một kẻ tấn công có thể tạo ra các sóng có cùng tần số với tần số truyền tín hiệu để gây nhiễu cho đường truyền. Điều này đòi hỏi một bộ phát sóng đủ đảm bảo tín hiệu ổn định cho mạng. 3.3 Một số phương pháp bảo mật cho mạng không dây Wi- Fi An toàn truy cập và bảo mật cho không dây Wi- Fi sử dụng các phương pháp thuộc 3 nhóm sau: 􀂙 Firewall, phương pháp lọc - Sử dụng phương pháp lọc gói tin, khóa port, lọc địa chỉ MAC… 􀂙 Xác thực - Sử dụng các phương pháp: VPN Fix (Virtual Private Network Fix), 802.1x. 􀂙 Mã hóa dữ liệu truyền - Sử dụng các phương pháp: WEP (Wired Equivalent Privacy), WPA (Wifi Protected Access), 802.11i (WPA2). Hình 3.2: Mô hình bảo mật Wi- Fi 3.3.1 Firewall, các phương pháp lọc Lọc (Filtering) là một cơ chế bảo mật căn bản mà có thể dùng bổ sung cho WEP và/hoặc AES. Lọc theo nghĩa đen là chặn những gì không mong muốn và cho phép những gì được mong muốn. Filter làm việc giống như là một danh sách truy nhập trên router: bằng cách xác định các tham số mà các trạm phải gán vào để truy cập mạng. Với Wi- Fi thì việc đó xác định xem các máy trạm là ai và phải cấu hình như thế nào. Có ba loại căn bản của Filtering có thể thực hiện trên Wi- Fi: - Lọc SSID. - Lọc địa chỉ MAC. - Lọc giao thức. Mục này sẽ miêu tả mỗi loại này là gì, nó có thể làm gì cho người quản trị và phải cấu hình nó như thế nào. 3.3.1.1 Lọc SSID Lọc SSID (SSID Filtering) là một phương pháp lọc sơ đẳng nên được dùng cho hầu hết các điều khiển truy nhập. SSID (Service Set Identifier) chỉ là một thuật ngữ khác cho tên mạng. SSID của một trạm Wi- Fi phải khớp với SSID trên AP (chế độ cơ sở, infracstructure mode) hoặc của các trạm khác (chế độ đặc biệt, Ad-hoc mode) để chứng thực và liên kết Client để thiết lập dịch vụ. Vì lí do SSID được phát quảng bá trong những bản tin dẫn đường mà AP hoặc các Station gửi ra, nên dễ dàng tìm được SSID của một mạng sử dụng một bộ phân tích mạng, Sniffer. Nhiều AP có khả năng lấy các SSID của các khung thông tin dẫn đường (beacon frame). Trong trường hợp này client phải so khớp SSID để liên kết với AP. Khi một hệ thống được cấu hình theo kiểu này, nó được gọi là hệ thống đóng, closed system. Lọc SSID được coi là một phương pháp không tin cậy trong việc hạn chế những người sử dụng trái phép của Wi- Fi. Một vài loại AP có khả năng gỡ bỏ SSID từ những thông tin dẫn đường hoặc các thông tin kiểm tra. Trong trường hợp này, để gia nhập dịch vụ một trạm phải có SSID được cấu hình bằng tay trong việc thiết đặt cấu hình driver. Một vài lỗi chung do người sử dụng Wi- Fi tạo ra khi thực hiện SSID là: - Sử dụng SSID mặc định: Sự thiết lập này là một cách khác để đưa ra thông tin của mạng. Nó đủ đơn giản để sử dụng một bộ phân tích mạng để lấy địa chỉ MAC khởi nguồn từ AP, và sau đó xem MAC trong bảng OUI của IEEE, bảng này liệt kê các tiền tố địa chỉ MAC khác nhau mà được gán cho các nhà sản xuất. Cách tốt nhất để khắc phục lỗi này là: Luôn luôn thay đổi SSID mặc định. - Làm cho SSID có gì đó liên quan đến công ty: Loại thiết lập này là một mạo hiểm về bảo mật vì nó làm đơn giản hóa quá trình một hacker tìm thấy vị trí vật lý của công ty. Khi tìm kiếm Wi- Fi trong một vùng địa lý đặc biệt thì việc tìm thấy vị trí vật lý của công ty đã hoàn thành một nửa công việc. Khi một người quản trị sử dụng SSID mà đặt tên liên quan đến tên công ty hoặc tổ chức, việc tìm thấy Wi- Fi sẽ là rất dễ dàng. Do đó hãy nhớ rằng: luôn luôn sử dụng SSID không liên quan đến Công ty. - Sử dụng SSID như những phương tiện bảo mật mạng Wi- Fi: SSID phải được người dùng thay đổi trong việc thiết lập cấu hình để vào mạng. Nó nên được sử dụng như một phương tiện để phân đoạn mạng chứ không phải để bảo mật, vì thế hãy: luôn coi SSID chỉ như một cái tên mạng. - Không cần thiết quảng bá các SSID: Nếu AP của mạng có khả năng chuyển SSID từ các thông tin dẫn đường và các thông tin phản hồi để kiểm tra thì hãy cấu hình chúng theo cách đó. Cấu hình này ngăn cản những người nghe vô tình khỏi việc gây rối hoặc sử dụng WLAN. Khi mà truyền đại chúng SSID có tác dụng làm cho người dùng trong mạng dễ dàng kết nối tới mạng hơn. Việc truyền dại chúng như vậy cũng làm cho người dùng khác trong khu vực cũng kết nối dễ dàng. Mục đích của truyền đại chúng là làm cho mạng rộng mở. Nhưng phần lớn thời gian bạn muốn Wi- Fi chỉ có sẵn đối với một nhóm người dùng giới hạn và vì lý do đó thì bạn nên ngừng truyền đại chúng. Chú ý là các nhà cung cấp AP thì lại không quan trọng trong việc truyền đại chúng SSID là vấn đề đặc biệt. Vì vậy mà các AP thường được cấu hình mặc định cho việc kích hoạt truyền đại chúng. Tác dụng của việc tắt chế độ truyền đại chúng là bạn cần phải biết SSID của mạng trước khi kết nối với nó, như vậy sẽ làm tăng tính bảo mật. 3.3.1.2 Lọc địa chỉ MAC Wi- Fi có thể lọc dựa vào địa chỉ MAC của các trạm khách. Hầu hết tất cả các AP, thậm chí cả những cái rẻ tiền, đều có chức năng lọc MAC. Người quản trị mạng có thể biên tập, phân phối và bảo trì một danh sách những địa chỉ MAC được phép và lập trình chúng vào các AP. Nếu một Card PC hoặc những Client khác với một địa chỉ MAC mà không trong danh sách địa chỉ MAC của AP, nó sẽ không thể đến được điểm truy nhập đó. Hình 3.3: Lọc địa chỉ MAC Tất nhiên, lập trình các địa chỉ MAC của các Client trong mạng WLAN vào các AP trên một mạng rộng thì không thực tế. Bộ lọc MAC có thể được thực hiện trên vài RADIUS Server thay vì trên mỗi điểm truy nhập. Cách cấu hình này làm cho lọc MAC là một giải pháp an toàn, và do đó có khả năng được lựa chọn nhiều hơn. Việc nhập địa chỉ MAC cùng với thông tin xác định người sử dụng vào RADIUS khá là đơn giản, mà có thể phải được nhập bằng bất cứ cách nào, là một giải pháp tốt. RADIUS Server thường trỏ đến các nguồn chứng thực khác, vì vậy các nguồn chứng thực khác phải được hỗ trợ bộ lọc MAC. Bộ lọc MAC có thể làm việc tốt trong chế độ ngược lại. Xét một ví dụ, một người làm thuê bỏ việc và mang theo cả Card Lan không dây của họ. Card Wlan này nắm giữ cả chìa khóa WEP và bộ lọc MAC vì thế không thể để họ còn được quyền sử dụng. Khi đó người quản trị có thể loại bỏ địa chỉ MAC của máy khách đó ra khỏi danh sách cho phép. Mặc dù Lọc MAC trông có vẻ là một phương pháp bảo mật tốt, chúng vẫn còn dễ bị ảnh hưởng bởi những thâm nhập sau: - Sự ăn trộm một Card PC trong có một bộ lọc MAC của AP. - Việc thăm dò Wi- Fi và sau đó giả mạo với một địa chỉ MAC để thâm nhập vào mạng. Với những mạng gia đình hoặc những mạng trong văn phòng nhỏ, nơi mà có một số lượng nhỏ các trạm khách, thì việc dùng bộ lọc MAC là một giải pháp bảo mật hiệu quả. Vì không một hacker thông minh nào lại tốn hàng giờ để truy nhập vào một mạng có giá trị sử dụng thấp. 3.3.1.3 Circumventing MAC Filters Địa chỉ MAC của Client Wi- Fi thường được phát quảng bá bởi các AP và Bridge, ngay cả khi sử dụng WEP. Vì thế một hacker mà có thể nghe được lưu lượng trên mạng của ta có thể nhanh chóng tìm thấy hầu hết các địa chỉ MAC mà được cho phép trên mạng không dây của ta. Để một bộ phân tích mạng thấy được địa chỉ MAC của một trạm, trạm đó phải truyền một khung qua đoạn mạng không dây, đây chính là cơ sở để đưa đến việc xây dựng một phương pháp bảo mật mạng, tạo đường hầm trong VPN, mà sẽ được đề cập ở phần sau. Một vài card PC không dây cho phép thay đổi địa chỉ MAC của họ thông qua phần mềm hoặc thậm chí qua cách thay đổi cấu hình hệ thống. Một hacker có danh sách các địa chỉ MAC cho phép, có thể dễ dàng thay đổi địa chỉ MAC của card PC để phù hợp với một card PC trên mạng của ta, và do đó truy nhập tới toàn bộ mạng không dây của ta. Do hai trạm với cùng địa chỉ MAC không thể đồng thời tồn tại trên một Wi- Fi, hacker phải tìm một địa chỉ MAC của một trạm mà hiện thời không trên mạng. Chính trong thời gian trạm di động hoặc máy tính xách tay không có trên mạng là thời gian mà hacker có thể truy nhập vào mạng tốt nhất. Lọc MAC nên được sử dụng khi khả thi, nhưng không phải là cơ chế bảo mật duy nhất trên máy của ta. 3.3.1.4 Lọc giao thức Mạng WLan có thể lọc các gói đi qua mạng dựa trên các giao thức lớp 2-7. Trong nhiều trường hợp, các nhà sản xuất làm các bộ lọc giao thức có thể định hình độc lập cho cả những đoạn mạng hữu tuyến và vô tuyến của AP. Tưởng tượng một hoàn cảnh, trong đó một nhóm cầu nối không dây được đặt trên một Remote building trong mạng Wi- Fi của một trường đại học mà kết nối lại tới AP của tòa nhà kỹ thuật trung tâm. Vì tất cả những người sử dụng trong remote building chia sẻ băng thông 5Mbs giữa những tòa nhà này, nên một số lượng đáng kể các điều khiển trên các sử dụng này phải được thực hiện. Nếu các kết nối này được cài đặt với mục đích đặc biệt của sự truy nhập Internet của người sử dụng, thì bộ lọc giao thức sẽ loại trừ tất cả các giao thức, ngoại trừ SMTP, POP3, HTTP, HTTPS, FTP. . . Hình 3.4: Lọc giao thức 3.3.2 Xác thực 3.3.2.1 Phương pháp VPN Fix Phương pháp này chỉ được xem như là một giải pháp tình thế vì khi nhận ra sự yếu kém của WEP, những người sử dụng doanh nghiệp đã khám phá ra một cách hiệu quả để bảo vệ mạng không dây Wi- Fi của mình, được gọi là VPN Fix. Ý tưởng cơ bản của phương pháp này là coi những người sử dụng Wi- Fi như những người sử dụng dịch vụ truy cập từ xa. Trong cách cấu hình này, tất các những điểm truy cập Wi- Fi, và cũng như các máy tính được kết nối vào các điểm truy cập này, đều được định nghĩa trong một mạng LAN ảo (Vitual LAN). Trong cơ sở hạ tầng bảo mật, các thiết bị này được đối xử như là "không tin tưởng". Trước khi bất cứ các thiết bị Wi- Fi được kết nối, chúng sẽ phải được sự cho phép từ thành phần bảo mật của mạng LAN. Dữ liệu cũng như kết nối của các thiết bị sẽ phải chạy qua một máy chủ xác thực như RADIUS chẳng hạn... Tiếp đó, kết nối sẽ được thiết lập thành một tuyến kết nối bảo mật đã được mã hoá bởi một giao thức bảo mật ví dụ như IPSec, giống như khi sử dụng các dịch vụ truy cập từ xa qua Internet. Tuy nhiên, giải pháp này cũng không phải là hoàn hảo, VPN Fix cần lưu lượng VPN lớn hơn cho tường lửa, và cần phải tạo các thủ tục khởi tạo cho từng người sử dụng. Hơn nữa, IPSec lại không hỗ trợ những thiết bị có nhiều chức năng riêng như thiết bị cầm tay, máy quét mã vạch... Cuối cùng, về quan điểm kiến trúc mạng, cấu hình theo VPN chỉ là một giải pháp tình thế. 3.3.2.2 Phương pháp 802.1x Chuẩn WLAN 802.11 không có sự xác nhận thông minh, vì vậy chuẩn công nghiệp đã thông qua giao thức 802.1x cho sự xác nhận của nó. 802.1x đưa ra cách thức điều khiển truy cập mạng cơ bản, nó sử dụng EAP (Extensible Authentication Protocol) và RADIUS server. 802.1x không đưa ra giao thức xác nhận một cách cụ thể nhưng chỉ rõ EAP trong việc hỗ trợ số lượng các giao thức xác nhận như là CHAP-MD5, TLS và Kerberos. EAP có thể được mở rộng vì vậy các giao thức xác nhận mới có thể được hỗ trợ như trong các phiên bản sau của nó. EAP được đưa ra để hoạt động trên giao thức Point- to- Point (PPP); để nó tương thích với các giao thức của lớp liên kết dữ liệu khác (như là Token Ring 802.5 hay Wireless LANs 802.11) EAP Over LANs (EAPOL) đã được phát triển.: Hình 3.5: Mô hình xác nhận 802.1x EAP-TLS được sử dụng trong các môi trường cớ bản và an toàn cao. Sự trao đổi của các message EAP-TLS cung cấp sự xác nhận lẫn nhau, sự bắt tay của giao thức mã hóa và sự trao đổi khóa bảo vệ giữa một client Wi- Fi và mạng. EAP-TLS là một kỹ thuật cung cấp các khóa mã hóa động cho người dùng và session. Điều này cải thiện một cách đáng kể và vượt qua nhiều điểm yếu trong các mạng không dây. Hình dưới đây chỉ ra một chuỗi các sự kiện xuất hiện khi một Client được xác nhận bằng 802.1x EAP-TLS. Hai chứng chỉ digital được yêu cầu ở đây: một trên RADIUS server (ví dụ EAS) và một trên Client không dây. Chú ý rằng sự truy cập không dây được cung cấp cho tới khi sự xác nhận thành công và các khóa WEP động đã được thiết lập. Hình 3.6: Xác nhận 802.1x EAP-TLS 802.1x EAP-TLS với EAS trong Controller Mode được thể hiện trên hình sau. Client không dây có chứng chỉ digital (được cài đặt từ trước). Client không dây truyền thông với EAS thông qua AP. Tất cả ba thành phần (Wireless client, AP và EAS) hỗ trợ quá trình 802.1x EAP-TLS. Client không dây có thể sử dụng Windows XP (được xây dựng để hỗ trợ cho 802.1x EAP-TLS) hay Windows 98/Me/2000 bằng việc sử dụng Madge Wireless LAN Utility (WLU). Khi xác nhận, dữ liệu người dùng cũng có thể được sử dụng EAS mà đã được cấu hình trong Gateway Mode. Hình 3.7: 802.1x EAP-TLS trong controller mode 3.3.3 Mã hóa dữ liệu truyền 3.3.3.1 WEP Khi thiết kế các yêu cầu kỹ thuật cho mạng không dây, chuẩn 802.11 của IEEE đã tính đến vấn đề bảo mật dữ liệu đường truyền qua phương thức mã hóa WEP. Phương thức này được đa số các nhà sản xuất thiết bị không dây hỗ trợ như một phương thức bảo mật mặc định. Tuy nhiên, những phát hiện gần đây về điểm yếu của chuẩn 802.11 WEP đã gia tăng sự nghi ngờ về mức độ an toàn của WEP và thúc đẩy sự phát triển của chuẩn 802.11i. Tuy vậy, đa phần các thiết bị không dây hiện tại đã và đang sử dụng WEP và nó sẽ còn tồn tại khá lâu trước khi chuẩn 802.11i triển khai rộng rãi. 􀂙 Giao thức WEP WEP (Wired Equivalent Privacy) nghĩa là bảo mật tương đương với mạng có dây (Wired LAN). Khái niệm này là một phần trong chuẩn IEEE 802.11. Theo định nghĩa, WEP được thiết kế để đảm bảo tính bảo mật cho mạng không dây đạt mức độ như mạng nối cáp truyền thống. Đối với mạng LAN (định nghĩa theo chuẩn IEEE 802.3), bảo mật dữ liệu trên đường truyền đối với các tấn công bên ngoài được đảm bảo qua biện pháp giới hạn vật lý, tức là hacker không thể truy xuất trực tiếp đến hệ thống đường truyền cáp. Do đó chuẩn 802.3 không đặt ra vấn đề mã hóa dữ liệu để chống lại các truy cập trái phép. Đối với chuẩn 802.11, vấn đề mã hóa dữ liệu được ưu tiên hàng đầu do đặc tính của mạng không dây là không thể giới hạn về mặt vật lý truy cập đến đường truyền, bất cứ ai trong vùng phủ sóng đều có thể truy cập dữ liệu nếu không được bảo vệ. Hình 3.8: Quy trình mã hóa WEP sử dụng RC4 Như vậy, WEP cung cấp bảo mật cho dữ liệu trên mạng không dây qua phương thức mã hóa sử dụng thuật toán đối xứng RC4 (Hình 3-5), được Ron Rivest, thuộc hãng RSA Security Inc nổi tiếng phát triển. Thuật toán RC4 cho phép chiều dài của khóa thay đổi và có thể lên đến 256 bit. Chuẩn 802.11 đòi hỏi bắt buộc các thiết bị WEP phải hỗ trợ chiều dài khóa tối thiểu là 40 bit, đồng thời đảm bảo tùy chọn hỗ trợ cho các khóa dài hơn. Hiện nay, đa số các thiết bị không dây hỗ trợ WEP với ba chiều dài khóa: 40 bit, 64 bit và 128 bit. Với phương thức mã hóa RC4, WEP cung cấp tính bảo mật và toàn vẹn của thông tin trên mạng không dây, đồng thời được xem như một phương thức kiểm soát truy cập. Một máy nối mạng Wi- Fi không có khóa WEP chính xác sẽ không thể truy cập đến Access Point (AP) và cũng không thể giải mã cũng như thay đổi dữ liệu trên đường truyền. Tuy nhiên, đã có những phát hiện của giới phân tích an ninh cho thấy nếu bắt được một số lượng lớn nhất, định dữ liệu đã mã hóa sử dụng WEP và sử dụng công cụ thích hợp, có thể dò tìm được chính xác khóa WEP trong thời gian ngắn. Điểm yếu này là do lỗ hổng trong cách thức WEP sử dụng phương pháp mã hóa RC4. 􀂙 Hạn chế của WEP Do WEP sử dụng RC4, một thuật toán sử dụng phương thức mã hóa dòng (stream cipher), nên cần một cơ chế đảm bảo hai dữ liệu giống nhau sẽ không cho kết quả giống nhau sau khi được mã hóa hai lần khác nhau. Đây là một yếu tố quan trọng trong vấn đề mã hóa dữ liệu nhằm hạn chế khả năng suy đoán khóa của hacker. Để đạt mục đích trên, một giá trị có tên Initialization Vector (IV) được sử dụng để cộng thêm với khóa nhằm tạo ra khóa khác nhau mỗi lần mã hóa. IV là một giá trị có chiều dài 24 bit và được chuẩn IEEE 802.11 đề nghị (không bắt buộc) phải thay đổi theo từng gói dữ liệu. Vì máy gửi tạo ra IV không theo định luật hay tiêu chuẩn, IV bắt buộc phải được gửi đến máy nhận ở dạng không mã hóa. Máy nhận sẽ sử dụng giá trị IV và khóa để giải mã gói dữ liệu. Cách sử dụng giá trị IV là nguồn gốc của đa số các vấn đề với WEP. Do giá trị IV được truyền đi ở dạng không mã hóa và đặt trong header của gói dữ liệu 802.11 nên bất cứ ai lấy được dữ liệu trên mạng đều có thể thấy được. Với độ dài 24 bit, giá trị của IV dao động trong khoảng 16.777.216 trường hợp. Những chuyên gia bảo mật tại đại học California-Berkeley đã phát hiện ra là khi cùng giá trị IV được sử dụng với cùng khóa trên một gói dữ liệu mã hóa (va chạm IV), hacker có thể bắt gói dữ liệu và tìm ra được khóa WEP. Thêm vào đó, ba nhà phân tích mã hóa Fluhrer, Mantin và Shamir (FMS) đã phát hiện thêm những điểm yếu của thuật toán tạo IV cho RC4. FMS đã vạch ra một phương pháp phát hiện và sử dụng những IV lỗi nhằm tìm ra khóa WEP. Thêm vào đó, một trong những mối nguy hiểm lớn nhất là những cách tấn công dùng hai phương pháp nêu trên đều mang tính chất thụ động. Có nghĩa là kẻ tấn công chỉ cần thu nhận các gói dữ liệu trên đường truyền mà không cần liên lạc với Access Point. Điều này khiến khả năng phát hiện các tấn công tìm khóa WEP đầy khó khăn và gần như không thể phát hiện được. Hiện nay, trên Internet đã sẵn có những công cụ có khả năng tìm khóa WEP như AirCrack , AirSnort, dWepCrack, WepAttack, WepCrack, WepLab. Tuy nhiên, để sử dụng những công cụ này đòi hỏi nhiều kiến thức chuyên sâu và chúng còn có hạn chế về số lượng gói dữ liệu cần bắt được. 􀂙 Giải pháp WEP tối ưu Với những điểm yếu nghiêm trọng của WEP và sự phát tán rộng rãi của các công cụ dò tìm khóa WEP trên Internet, giao thức này không còn là giải pháp bảo mật được chọn cho các mạng có mức độ nhạy cảm thông tin cao. Tuy nhiên, trong rất nhiều các thiết bị mạng không dây hiện nay, giải pháp bảo mật dữ liệu được hỗ trợ phổ biến vẫn là WEP. Dù sao đi nữa, các lỗ hổng của WEP vẫn có thể được giảm thiểu nếu được cấu hình đúng, đồng thời sử dụng các biện pháp an ninh khác mang tính chất hỗ trợ. Để gia tăng mức độ bảo mật cho WEP và gây khó khăn cho hacker, các biện pháp sau được đề nghị: • Sử dụng khóa WEP có độ dài 128 bit: Thường các thiết bị WEP cho phép cấu hình khóa ở ba độ dài: 40 bit, 64 bit, 128 bit. Sử dụng khóa với độ dài 128 bit gia tăng số lượng gói dữ liệu hacker cần phải có để phân tích IV, gây khó khăn và kéo dài thời gian giải mã khóa WEP. Nếu thiết bị không dây chỉ hỗ trợ WEP ở mức 40 bit (thường gặp ở các thiết bị không dây cũ), cần liên lạc với nhà sản xuất để tải về phiên bản cập nhật firmware mới nhất. • Thực thi chính sách thay đổi khóa WEP định kỳ: Do WEP không hỗ trợ phương thức thay đổi khóa tự động nên sự thay đổi khóa định kỳ sẽ gây khó khăn cho người sử dụng. Tuy nhiên, nếu không đổi khóa WEP thường xuyên thì cũng nên thực hiện ít nhất một lần trong tháng hoặc khi nghi ngờ có khả năng bị lộ khóa. • Sử dụng các công cụ theo dõi số liệu thống kê dữ liệu trên đường truyền không dây: Do các công cụ dò khóa WEP cần bắt được số lượng lớn gói dữ liệu và hacker có thể phải sử dụng các công cụ phát sinh dữ liệu nên sự đột biến về lưu lượng dữ liệu có thể là dấu hiệu của một cuộc tấn công WEP, đánh động người quản trị mạng phát hiện và áp dụng các biện pháp phòng chống kịp thời. 3.3.3.2 WPA (Wifi Protected Access) Wi-Fi Alliance đã đưa ra giải pháp gọi là Wi-Fi Protected Access (WPA). Một trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol). WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể thực hiện được với WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu. Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền. Một trong những điểm hấp dẫn nhất của WPA là không yêu cầu nâng cấp phần cứng. Các nâng cấp miễn phí về phần mềm cho hầu hết các card mạng và điểm truy cập sử dụng WPA rất dễ dàng và có sẵn. Tuy nhiên, WPA cũng không hỗ trợ các thiết bị cầm tay và máy quét mã vạch. Theo Wi-Fi Alliance, có khoảng 200 thiết bị đã được cấp chứng nhận tương thích WPA. WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn này đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc. Trong khi Wi-Fi Alliance đã đưa ra WPA, và được coi là loại trừ mọi lỗ hổng dễ bị tấn công của WEP, nhưng người sử dụng vẫn không thực sự tin tưởng vào WPA. Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal. Khi mà sử dụng hàm thay đổi khoá TKIP được sử dụng để tạo ra các khoá mã hoá bị phát hiện, nếu hacker có thể đoán được khoá khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu. Tuy nhiên, lỗ hổng này cũng sẽ bị loại bỏ bằng cách sử dụng những khoá khởi tạo không dễ đoán (đừng sử dụng những từ như "PASSWORD" để làm mật khẩu). Điều này cũng có nghĩa rằng kỹ thuật TKIP của WPA chỉ là giải pháp tạm thời , chưa cung cấp một phương thức bảo mật cao nhất. WPA chỉ thích hợp với những công ty mà không truyền dữ liệu "mật" về những thương mại, hay các thông tin nhạy cảm... WPA cũng thích hợp với những hoạt động hàng ngày và mang tính thử nghiệm công nghệ. 3.3.3.3 802.11i (WPA2) Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng nhận bởi Wi-Fi Alliance. Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES (Advanced Encryption Standard). AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit. Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia về Chuẩn và Công nghệ của Mỹ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này. Và chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mỹ để bảo vệ các thông tin nhạy cảm. Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES (Digital Encryption Standard). Để đảm bảo về mặt hiệu năng, quá trình mã hoá cần được thực hiện trong các thiết bị phần cứng như tích hợp vào chip. Tuy nhiên, rất ít người sử dụng mạng không dây quan tâm tới vấn đề này. Hơn nữa, hầu hết các thiết bị cầm tay Wi-Fi và máy quét mã vạch đều không tương thích với chuẩn 802.11i. Một số sai lầm phổ biến về bảo mật cho mạng Wi- Fi: Cứ 5 người dùng mạng không dây tại nhà thì có đến 4 người không kích hoạt bất kỳ chế độ bảo mật nào. Mặc định, các nhà sản xuất tắt chế độ bảo mật để cho việc thiết lập ban đầu được dễ dàng, khi sử dụng phải mở lại. Tuy nhiên, cần phải cẩn thận khi kích hoạt tính năng bảo mật, dưới đây là một số sai lầm thường gặp phải. Không thay đổi mật khẩu của nhà sản xuất. Khi lần đầu tiên cài đặt router không dây (AP router) hay Access Point, chúng ta rất dễ quên thay đổi mật khẩu mặc định của nhà sản xuất. Nếu không thay đổi, có thể người khác sẽ dùng mật khẩu mặc định truy cập vào router và thay đổi các thiết lập để thoải mái truy cập vào mạng. Vì vậy nên luôn thay đổi mật khẩu mặc định. Không kích hoạt tính năng mã hóa. Nếu không kích hoạt tính năng mã hóa, chúng ta sẽ quảng bá mật khẩu và e-mail của mình đến bất cứ ai trong tầm phủ sóng, người khác có thể cố tình dùng các phầm mềm nghe lén miễn phí như AirSnort (airsnort.shmoo.com) để lấy thông tin rồi phân tích dữ liệu. Vì vậy hãy bật chế độ mã hóa để truyền dữ liệu an toàn. Không kiểm tra chế độ bảo mật. Chúng ta mua một router không dây, kết nối Internet băng rộng, lắp cả máy in vào, rồi có thể mua thêm nhiều thiết bị không dây khác nữa. Có thể vào một ngày nào đó, máy in sẽ tự động in hết giấy bởi vì chúng ta không thiết lập các tính năng bảo mật. Vì vậy không nên cho rằng mạng của chúng ta đã an toàn. Hãy nhờ những người am hiểu kiểm tra hộ. Quá tích cực với các thiết lập bảo mật. Mỗi card mạng không dây đều có một địa chỉ phần cứng (địa chỉ MAC) mà router không dây có thể dùng để kiểm soát những máy tính nào được phép nối vào mạng. Khi bật chế độ lọc địa chỉ MAC, có khả năng chúng ta sẽ quên thêm địa chỉ MAC của máy tính chúng ta đang sử dụng vào danh sách, như thế sẽ tự cô lập chính mình, tương tự như bỏ chìa khóa trong xe hơi rồi chốt cửa lại. Vì vậy phải kiểm tra cẩn thận khi thiết lập tính năng bảo mật. Cho phép mọi người truy cập. Có thể chúng ta là người đầu tiên có mạng không dây và muốn 'khoe' bằng cách đặt tên mạng là 'truy cập thoải mái' chẳng hạn. Hàng xóm có thể dùng kết nối này để tải rất nhiều phim ảnh và mạng sẽ trở nên chậm chạp. Vì vậy mạng không dây giúp chia sẻ kết nối Internet dễ dàng, tuy nhiên, đừng bỏ ngõ vì sẽ có người lạm dụng. 3.4 Bảo mật trong thực tế Một cách tổng quát, để có sự thoả hiệp giữa khả năng bảo mật và giá thành sản phẩm, hiệu năng và cách sử dụng đơn giản. Mạng có bảo mật tốt hơn thì chi phí thực hiện sẽ lớn hơn, có khả năng là khó khăn hơn khi sử dụng và lo ngại về hiệu năng mạng thấp hơn. Trong mỗi môi trường, tuỳ thuộc vào mức độ yêu cầu của người sử dụng có những đòi hỏi nhất định về mức độ bảo mật, ở đây xem xét một vài trường hợp như sau: 3.4.1 Khu vực nhà ở và văn phòng nhỏ – Yêu cầu an ninh thấp Đối với người sử dụng trong phạm vi nhà ở và văn phòng nhỏ chi phí triển khai mạng là một vấn đề, người sử dụng có các server nhận thực trung tâm hoặc các thành phần hạ tầng trung tâm khác. Họ thường không có nguồn tài nguyên thông tin nào khả dụng. Các việc làm sau đây cho phép bảo vệ an ninh cấp 1: Phần mềm: Cập nhật các NIC và các điểm truy nhập tới phần mềm gần đây nhất. Khởi động khi mua thiết bị và kiểm tra thường xuyên. Kích hoạt WEP: Thiết lập kích thước khoá mật mã cao nhất có thể được. Trong khi vẫn tồn tại các điểm yếu thì đối với các hacker mức trung bình việc bẻ gãy WEP là tương đối khó khăn – nhất là trong các môi trường mà lưu lượng truyền tải thấp. Thay đổi tên mặc định SSID thành một tên duy nhất. Không sử dụng các tên gọi có gợi ý như tên đường phố hay địa chỉ, công ty hay nhà riêng. Không kích hoạt SSID quảng bá: Windows XP và các công cụ giám sát khác sẽ tự động dò tìm các khung đèn hiệu 802.11 để thu được SSID. Khi quá trình quảng bá SSID bị ngắt, điểm truy nhập sẽ không chứa SSID trong một khung đèn hiệu làm cho hầu hết các công cụ dò tìm trở nên vô dụng. Lọc địa chỉ MAC: Một vài điểm truy nhập có khả năng chấp nhận các kết nối chỉ đối với các địa chỉ MAC đáng tin cậy là các địa chỉ duy nhất trên mạng (không trùng khớp nhau). Thực hiện điều này là rất khó khăn trong một môi trường động với hơn 20 người sử dụng do việc thiết lập điểm truy nhập rất mất thời gian đối với tất cả các khách hàng tin cậy. Tuy nhiên, nó có thể được thiết lập một cách đơn giản trong môi trường nhà ở và môi trường văn phòng nhỏ. Các tường lửa phần cứng để cô lập một mạng WLAN và giữ chúng tránh xa người sử dụng không được phép. Sử dụng WPA khi khả dụng. Hầu hết các nhà cung cấp thiết bị sử dụng WPA thông qua quá trình nâng cấp phần mềm. 3.4.2 Văn phòng nhỏ và người dùng ở xa – Yêu cầu an ninh trung bình Các văn phòng nhỏ và người dùng ở xa có thể là một phần của một tổ chức lớn hơn. Đảm bảo an ninh thông tin là vấn đề quan trọng và phải cân bằng với năng suất tổng và số liệu lớn hơn những người sử dụng. Phần mềm: Cập nhật NIC vì các điểm truy nhập tới phần mềm gần nhất. Khởi động khi mua thiết bị và kiểm tra thường xuyên. Kích hoạt WEP: Thiết lập kích thước khoá mã hoá cao nhất có thể được. Trong khi vẫn tồn tại những điểm yếu thì đối với các hacker mức trung bình việc bẻ gãy WEP vẫn còn khó khăn nhất là trong các môi trường lưu lượng dữ liệu thấp. VPN: Trong trường hợp có thể được sử dụng các điểm truy nhập kích hoạt IPSec hoặc các tường lửa mà chúng có thể thiết lập các đường ống VPN từ người dùng đầu cuối tới điểm truy nhập. Phần mềm VPN cho phép quá trình nhận thực và mã hoá hiệu quả hơn trong mạng công cộng bao gồm các thành phần vô tuyến và hữu tuyến. Sử dụng WPA khi có thể. Các điểm truy nhập: Gán các mật khẩu hữu ích cho các điểm truy nhập, thay đổi mật khẩu mặc định của nhà sản xuất. Chúng rất phổ biến nên người sử dụng có thể dễ dàng thay đổi các tham số cấu hình ở điểm truy nhập để thuận lợi khi sử dụng. Đảm bảo các mật khẩu được mã hoá trước khi truyền qua mạng. Khi gửi mật khẩu tới người sử dụng, sử dụng một chương trình tương tự như PGP để đảm bảo rằng các mật khẩu không bao giờ được gửi đi một cách rõ ràng mà những người sử dụng khác có thể hiểu được. Một vài điểm truy nhập sẽ trở lại các thiết lập mặc định (không có khả năng đảm bảo an ninh) khi có một ai đó nhấn vào nút “reset” ở điểm truy nhập. Điều này làm cho điểm truy nhập dễ bị tấn công bởi các hacker, khi đó các hacker có thể mở rộng tầm với của họ vào trong mạng. Cho phép khả năng an ninh tương ứng đối với phần cứng điểm truy nhập. 3.4.3 Người sử dụng của các tổ chức/tập đoàn – Yêu cầu an ninh cao Các mạng WLAN yêu cầu cùng một mức độ an ninh giống như người sử dụng hữu tuyến. Ngoài các khuyến nghị cho văn phòng nhỏ và người dùng ở xa (như ở trên), ở đây xem xét các yếu tố sau: Giám sát các điểm truy nhập bí mật. Thiết bị mạng Wi- Fi không có giá thành cao và dễ dàng khi cài đặt. Tận dụng các công cụ hỗ trợ vận hành để giám sát mạng một cách liên tục và kiểm tra các điểm truy nhập không tuân thủ các nguyên tắc về cấu hình. Một vài điểm truy nhập không tương ứng với các thiết lập an ninh xác định hầu như sẽ bị reset, hoặc nó có thể là một điểm truy nhập bí mật thiết lập bởi một hacker hoặc một người sử dụng không mong muốn kết hợp với các thông tin riêng. Các công cụ phát hiện xâm nhập trái phép có thể giúp nhận dạng sự xuất hiện của hacker, dựa trên các địa chỉ MAC hoặc các yếu tố khác. Các bộ điều khiển truy nhập: Các điểm truy nhập chỉ theo chuẩn 802.11 cho phép nhận thực không đầy đủ. Thực tế thì 802.11 chỉ thực hiện nhận thực một NIC vô tuyến tới một điểm truy nhập chứ không tới điểm nào khác xung quanh nó. Trong những trường hợp như vậy người ta xem xét sử dụng một bộ điều khiển truy nhập do các nhà sản xuất thiết bị cung cấp như là ReefEdge, Bluesocket, và Nomadix. Các thiết bị này cho phép khả năng điều khiển truy nhập chắc chắn vào mạng, trong khi thực hiện giao diện với các server nhận thực như RADIUS. Các bộ điều khiển truy nhập cho phép điều khiển từng phần khi thực hiện đối với một số lượng lớn người sử dụng và điểm truy nhập. Nhận thực: Tích hợp các mạng WLAN vào trong có chế nhận thực ở các tổ chức lớn, sử dụng RADIUS hoặc LDAP. EAP có thể áp dụng cho quá trình nhận thực các giao thức thích hợp đối với mỗi người dùng, phụ thuộc vào các yếu tố an ninh riêng biệt. 802.1x cho phép điều khiển truy nhập thực hiện trên cổng và quá trình nhận thực hai chiều giữa khách hàng và điểm truy nhập thông qua một server nhận thực (RADIUS). Các mật khẩu và tên người sử dụng có thể được mã hoá hoặc các chứng chỉ số có thể được sử dụng để nâng cao khả năng nhận thực. Điều khiển sóng vô tuyến: Tối thiểu hoá quá trình truyền sóng vô tuyến trong các khu vực không có người sử dụng như các khu vực đỗ xe hay các khu vực lân cận văn phòng. Thử nghiệm các anten để tránh các vùng phủ bên ngoài các biên giới điều khiển về mặt vật lý trong điều kiện thuật lợi. Nếu có thể, không đặt các điểm truy nhập tại biên của khu vực nhà ở hay văn phòng. Một vài bộ điều khiển truy nhập có thể làm giảm công suất điểm truy nhập. Phân mảnh: Cách làm hiệu quả là đưa các điểm truy nhập vào một DMZ, và làm cho người sử dụng vô tuyến tạo đường ống ở trong mạng dùng một mạng VPN. Hạn chế các đặc quyền của người sử dụng mạng Wi- Fi khi thích hợp. Để bảo vệ chống lại những kẻ xâm nhập trái phép truy nhập vào các tài nguyên thông tin của tổ chức đảm bảo rằng các điểm truy nhập mạng WLAN không bị thay đổi bên ngoài tường lửa. Thiết lập cấu hình cho tường lửa để cho phép truy nhập đối với người sử dụng hợp lệ dựa trên các địa chỉ MAC, làm cho các hacker khó khăn hơn khi tấn công vào mạng. DHCP: Theo mặc định hầu hết các mạng Wi- Fi sử dụng DHCP để tự động gán các địa chỉ IP cho các thiết bị người dùng. Tuy nhiên, DHCP không tạo ra khác biệt giữa người sử dụng và hacker. Với một nhận dạng SSID đúng, bất cứ ai thực hiện giao thức DHCP sẽ thu được địa chỉ IP một cách tự động và trở thành một nút xác thực trong mạng. Khi không kích hoạt DHCP và gán các địa chỉ IP tĩnh tới tất cả người sử dụng vô tuyến, các nhà quản trị mạng có thể tối thiểu hoá khả năng một hacker thu được địa chỉ IP có hiệu lực. Cũng như vậy ở đây cũng xem xét việc thay đổi địa chỉ IP của mạng con. Nhiều router vô tuyến nhận giá trị mặc đinh 192.168.0.1, và sử dụng các địa chỉ tương tự như là router mặc định. Việc thay đổi địa chỉ mạng con xiết chặt khả năng an ninh của mạng. 3.4.4 An ninh truy nhập công cộng Sự thuận lợi của các điểm “hot spot” – điểm truy nhập mức độ cao là khó hạn chế - người sử dụng có thể kiểm tra thư điện tử trong khi ở hàng cafe hoặc đệ trình các bản báo cáo khi ở sân bay. Nhưng một số lượng lớn các điển “hot spot” công cộng không có bất cứ có chế an ninh nào ngoại trừ việc biết được đối tượng để gửi đi các hoá đơn thanh toán. Rất nhiều người sử dụng trong vùng truy nhập công cộng gặp phải rủi ro tại sân bay hay các hàng cafe mò tìm dữ liệu của họ sử dụng các công cụ Network Neighborhood của các hệ điều hành Microsoft Windows. Những kẻ dò tìm có thể phát hiện các gói tin vô tuyến không được mã hoá và xác định được tên người sử dụng và mật khẩu để sử dụng sau này. Các công nhân trong doanh nghiệp di dộng sử dụng một kết nối mạng VPN nếu họ có ý định sử dụng một dịch vụ mạng Wi- Fi truy nhập công cộng để xâm nhập vào cơ sở dữ liệu của một tổ chức hay server thư điện tử. Một tường lửa cá nhân cũng có thể được thiết lập để hạn chế nghe trộm từ những người sử dụng trên cùng một mạng công cộng. Các nhà cung cấp điểm truy nhập hot spot và các nhà chế tạo Wi-Fi đang làm việc để khắc phục các vấn đề an ninh bằng cách sử dụng các công nghệ được thiết kế để bảo vệ người sử dụng vô tuyến chống lại việc ngăn chặn thông tin và nghe trộm ở các điểm truy nhập hot spot công cộng. Chẳng hạn, một vài nhà cung cấp đường truy nhập đang liên kết lại sự phân tách ở lớp 2 mà điều này ngăn không cho người sử dụng ở hàng cafe truy nhập vào các máy tính xách tay của một người khác. KẾT LUẬN Thông qua việc tìm hiểu về mạng không dây đặc biệt là mạng cục bộ không dây WLAN, em đã có được các kiến thức cơ bản về mạng cục bộ không dây, về các chuẩn, cấu trúc mạng, các phương thức tấn công mạng và các vấn đề về bảo mật cho mạng Wi- Fi. Việc phát triển mạng không dây thật sự đem lại hiệu quả với sự thuận lợi khi sử dụng các thiết bị có tính di động cao. Việc xây dựng, thiết kế một mạng với giải pháp bảo mật hoàn hảo là hết sức khó khăn. Dựa trên quy mô thực tế của hệ thống mạng cần xây dựng cũng như đòi hỏi về mức độ bảo mật mà chúng ta thiết lập những cơ sở và chính bảo mật khác nhau. Tuỳ thuồc vào là mạng gia đình, trường học, điểm truy cập công cộng hay môi trường doanh nghiệp mà có những phương pháp bảo mật khác nhau. Mặc dù em mới chỉ nghiên cứu lý thuyết về mạng không dây cục bộ và các giải pháp bảo mật đưa ra mới chỉ mang tính lý thuyết khái quát chưa đi vào chi tiết nhưng nó vẫn sẽ góp phần vào việc lựa chọn các giải pháp cho việc xây dựng và mở rộng hệ thống mạng không dây. TÀI LIỆU THAM KHẢO [1]. Benny Bing, High – Speed Wireless ATM and LANs, Artech House Boston, London, 2000. [2]. Frank Ohrtman and Konrad Roeder , Wi-Fi Handbook Building 802.11b Wireless Networks- Wi-Fi Security, McGraw- Hill, 2003. [3]. Gilbert Held, Securing Wireless Lans, Wiley Publishing, US, 2003. [4]. Lawrence Harte, Introduction to 802.11 Wireless LAN (WLAN), ALTHOS, 2004. [5]. Stewart S. Miller, Wi-Fi Security, McGraw-Hill, 2003. [6]. Vern A. Dubendorf, Wireless Data Technology, John Wiley & Son, 2003. [7] Nguyễn Nam Thuận, Thiết kế và các giải pháp cho mạng không dây, Nhà xuất bản Giao Thông Vận Tải, 2005. [8] Phan Trọng Nghĩa, Một số vấn đề bảo mật cho mạng không dây, Khoá luận tốt nghiệp Đại học 2007.

Các file đính kèm theo tài liệu này:

  • docLuan vanbanin.doc
  • docBa KLTN.doc
  • docMuclucViettatHinhve.doc
Luận văn liên quan