Các phương thức bảo mật mạng WLAN

Chia sẻ: Hoang Thuy | Ngày: | Loại File: PDF | Số trang:10

Thêm vào BST

Báo xấu

211
lượt xem 66
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Với giá thành xây dựng một hệ thống mạng WLAN giảm,ngày càng có nhiều công ty sử dụng. Điều này sẽ không thể tránh khỏi việc Hacker chuyển sang tấn công và khai thác các điểm yếu trên nền tảng mạng sử dụng chuẩn 802.11. Những công cụ Sniffers cho phép tóm được các gói tin giao tiếp trên mạng, ...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Các phương thức bảo mật mạng WLAN

Các phương th c b o m t m ng WLAN V i giá thành xây d ng m t h th ng m ng WLAN gi m,ngày càng có nhi u công ty s d ng. i u này s không th tránh kh i vi c Hacker chuy n sang t n công và khai thác các i m y u trên n n t ng m ng s d ng chu n 802.11. Nh ng công c Sniffers cho phép tóm ư c các gói tin giao ti p trên m ng, h có th phân tích và l y i nh ng thông tin quan tr ng c a b n. V y b n ã bi t gì v các phương th c b o m t m ng WLAN. Nh ng ph n m m scan có th ư c cài t trên các thi t b như Smart Phone hay trên m t chi c Laptop h tr chu n k t n i Wi-Fi. i u này d n t i nh ng thông tin nh y c m trong h th ng m ng, như thông tin cá nhân c a ngư i dùng… Nh ng nguy cơ b o m t trong WLAN bao g m:
- Các thi t b có th k t n i t i nh ng Access Point ang broadcast SSID. - Hacker s c g ng tìm ki m các phương th c mã hoá ang ư c s d ng trong quá trình truy n thông tin trên m ng, sau ó có phương th c gi i mã riêng và l y các thông tin nh y c m. - Ngư i d ng s d ng Access Point t i gia ình s không m b o tính b o m t như khi s d ng t i doanh nghi p. b o m t m ng WLAN, b n c n th c hi n qua các bư c sau: - Ch có nh ng ngư i dùng ư c xác th c m i có kh năng truy c p vào m ng thông qua các Access Point. - Các phương th c mã hoá ư c áp d ng trong quá trình truy n các thông tin quan tr ng. - B o m t các thông tin và c nh báo nguy cơ b o m t b ng h th ng IDS và IPS. Xác th c và b o m t d li u b ng cách mã hoá thông tin truy n trên m ng. IDS như m t thi t b giám sát m ng Wireless và m ng Wire tìm ki m và c nh báo khi có các d u hi u t n công. Ban u, IEEE 802.11 s d ng gi i pháp b o m t b ng nh ng khoá tĩnh (static keys) cho c quá trình mã hoá và xác th c. Phương th c xác th c như v y là không m nh, cu i cùng có th b t n công. B i vì các khoá ư c qu n lý và không thay i, i u này không th áp d ng trong m t gi i pháp doanh nghi p l n ư c. Cisco gi i thi u và cho phép s d ng IEEE 802.1x là giao th c xác th c và s d ng khoá ng (dynamic keys), bao g m 802.1x Extensible Authentication Protocol (EAP). Cisco cũng gi i thi u phương th c ch ng l i vi c t n công b ng cách s d ng quá trình băm
(hashing) (Per Packet Key – PPK) và Message Integrity Check (MIC). Phương th c này ư c bi t n như Cisco Key Integrity Protocol (CKIP) và Cisco Message Integrity Check (CMIC). Các t ch c chu n 802.11 b t u ti n hành vi c nâng c p b o m t cho m ng WLAN. Wi-Fi Alliance gi i thi u gi i pháp WPA (Wi-Fi Protected Access). M t chu n n m trong chu n 802.11i là chu n b o m t c a WLAN và s d ng chu n 802.1x làm phương th c xác th c và mã hoá d li u. WPA ư c s d ng cho vi c xác th c ngư i dung, MIC, Temporal Key Integrity Protocol (TKIP), và Dynamic Keys. Nó tương t như phương th c c a Cisco nhưng cách th c hi n có khác ôi chút. WPA cũng bao g m m t passphrase hay preshared key cho ngư i dung h xác th c trong gi i pháp b o m t trong gia ình, nhưng không ư c s d ng cho gi i pháp doanh nghi p. Ngày nay , IEEE 802.11i ã nâng c p và Advanced Encryption Standard (AES) ã thay th cho WEP và là phương th c b o m t m i nh t và b o m t nh t trong mã hoá d li u. Wireless IDS hi n nay ã có v i vai trò nh n di n và b o v h th ng WLAN trư c nh ng t n công. Wi-Fi Alliance 802.11i làm vi c và s d ng như WPA2 Các Access Point g i broadcast m t ho c nhi u SSIDs, hay data rates, và m t s thông tin. Các thi t b Wi-Fi có th scan t t c các kênh và tìm truy c p vào b t kỳ m ng nào mà h scan ra ư c t nh ng Access Point. Client s thư ng k t n i t i nh ng Access Point mà tín hi u m nh nh t. N u tín hi u y u, client ti p t c scan t i m t Access Point khác (trong trư ng h p Roaming). Trong quá trình k t n i, SSID, a ch MAC và các thi t l p b o m t ư c g i t client t i Access Point và ki m tra b i Access Point.
Ngư i dung ư c xác th c thong qua giao th c 802.1x. V i chu n 802.1x hay EAP c n thi t trên WLAN client. Access Point cũng có th như m t máy ch áp ng vi c xác th c cho ngư i dùng, ho c có th lien k t t i máy ch RADIUS nh xác th c h , ho c có th làm vi c v i Cisco Secure ACS. Lightweight Access Poínt s giao ti p v i WLAN controller, và nó làm vi c như m t máy ch xác cung c p xác th c cho các users. Client và máy ch cung c p xác th c tri n khai v i hai phiên b n EAP khác nhau. Thông tin EAP s ư c truy n t Access point t i máy ch xác th c
Sau khi xác th c song WLAN client, d li u s ư c mã hoá trư c khi truy n i. V cơ b n phương th c mã hoá d a vào thu t toán RC4 ư c s d ng b t u t WEP. TKIP s d ng mã hoá RC4 ư c tăng cư ng b o m t hơn và v i nhi u bít mã hoá hơn và có khoá tích h p cho m i packet (key per packet –PPK). AES ư c thay th cho RC4 v i thu t toán b o m t cao c p hơn. WPA s d ng TKIP, trong khi WPA2 s d ng AES hay TKIP. S khác nhau gi a các d ng WLANs. - Cho các i m truy c p t ng (hotspots), vi c mã hoá không c n thi t, ch c n ngư i dung xác th c mà thôi. - V i ngư i dùng s d ng m ng WLAN cho gia ình, m t phương th c b o m t v i WPA passphare hay preshared key ư c khuy n cáo s d ng. - V i gi i pháp doanh nghi p, t i ưu quá trình b o m t v i 802.1x EAP làm phương th c xác th c và TKIP hay AES làm phương th c mã hoá. ư c d a theo chu n WPA
hay WPA2 và 802.11i security. B o m t m ng WLAN cũng tương t như b o m t cho các h th ng m ng khác. B o m t h th ng ph i ư c áp d ng cho nhi u t ng, các thi t b nh n d ng phát hi n t n công ph i ư c tri n khai. Gi i h n các quy n truy c p t i thi u cho nh ng ngư i dùng c n thi t. D li u ư c chia s và yêu c u xác th c m i cho phép truy c p. D li u truy n ph i ư c mã hoá. K t n công có th t n công m ng WLAN không b o m t b t c lúc nào. B n c n có m t phương án tri n khai h p lý. - Ph i ư c lư ng ư c các nguy cơ b o m t và các m c b o m t c n thi t áp d ng. - ánh giá ư c toàn b các giao ti p qua WLAN và các phương th c b o m t c n ư c áp d ng. - ánh giá ư c các công c và các l a ch n khi thi t k v tri n khai m ng WLAN. Theo VNE Research Deparment So sánh các phương th c b o m t d a trên vi c ch ng th c (sưu t m)
I B o m t b ng WEP (Wired Equivalent Privacy) WEP là m t thu t toán b o nh m b o v s trao i thông tin ch ng l i s nghe tr m, ch ng l i nh ng n i k t m ng không ư c cho phép cũng như ch ng l i vi c thay i ho c làm nhi u thông tin truy n. WEP s d ng stream cipher RC4 cùng v i m t mã 40 bit và m t s ng u nhiên 24 bit (initialization vector – IV) mã hóa thông tin. Thông tin mã hóa ư c t o ra b ng cách th c hi n operation XOR gi a keystream và plain text. Thông tin mã hóa và IV s ư c g i n ngư i nh n. Ngư i nh n s gi i mã thông tin d a vào IV và khóa WEP ã bi t trư c. Sơ mã hóa ư c miêu t b i hình 1. Hình 1: Sơ mã hóa b ng WEP Nh ng i m y u v b o m t c a WEP + WEP s d ng khóa c nh ư c chia s gi a m t Access Point (AP) và nhi u ngư i dùng (users) cùng v i m t IV ng u nhiên 24 bit. Do ó, cùng m t IV s ư c s d ng l i nhi u l n. B ng cách thu th p thông tin truy n i, k t n công có th có thông tin c n thi t có th b khóa WEP ang dùng. + M t khi khóa WEP ã ư c bi t, k t n công có th gi i mã thông tin truy n i và có th thay i n i dung c a thông tin truy n. Do v y WEP không m b o ư c confidentiality và integrity. + Vi c s d ng m t khóa c nh ư c ch n b i ngư i s d ng và ít khi ư c thay i (t c có nghĩa là khóa WEP không ư c t ng thay i) làm cho WEP r t d b t n công. + WEP cho phép ngư i dùng (supplicant) xác minh (authenticate) AP trong khi AP không th xác minh tính xác th c c a ngư i dùng. Nói m t cách khác, WEP không cung ng mutual authentication. II. B o m t b ng WPA (Wifi Protected Access ) WPA là m t gi i pháp b o m t ư c ngh b i WiFi Alliance nh m kh c ph c nh ng h n ch c a WEP. WPA ư c nâng c p ch b ng m t update ph n m m SP2 c a microsoft. WPA c i ti n 3 i m y u n i b t c a WEP :
+ WPA cũng mã hóa thông tin b ng RC4 nhưng chi u dài c a khóa là 128 bit và IV có chi u dài là 48 bit. M t c i ti n c a WPA i v i WEP là WPA s d ng giao th c TKIP (Temporal Key Integrity Protocol) nh m thay i khóa dùng AP và user m t cách t ng trong quá trình trao i thông tin. C th là TKIP dùng m t khóa nh t th i 128 bit k t h p v i a ch MAC c a user host và IV t o ra mã khóa. Mã khóa này s ư c thay i sau khi 10 000 gói thông tin ư c trao i. + WPA s d ng 802.1x/EAP m b o mutual authentication nh m ch ng l i man-in- middle attack. Quá trình authentication c a WPA d a trên m t authentication server, còn ư c bi t n v i tên g i RADIUS/ DIAMETER. Server RADIUS cho phép xác th c user trong m ng cũng như nh nghĩa nh ng quy n n i k t c a user. Tuy nhiên trong m t m ng WiFi nh (c a công ty hoăc trư ng h c), ôi khi không c n thi t ph i cài t m t server mà có th dùng m t phiên b n WPA-PSK (pre-shared key). Ý tư ng c a WPA- PSK là s dùng m t password (Master Key) chung cho AP và client devices. Thông tin authentication gi a user và server s ư c trao i thông qua giao th c EAP (Extensible Authentication Protocol). EAP session s ư c t o ra gi a user và server êr chuy n i thông tin liên quan n identity c a user cũng như c a m ng. Trong quá trình này AP óng vai trò là m t EAP proxy, làm nhi m v chuy n giao thông tin gi a server và user. Nh ng authentication messages chuy n i ư c miêu t trong hình 2.
Hình 2: Messages trao i trong quá trình authentication. + WPA s d ng MIC (Michael Message Integrity Check ) tăng cư ng integrity c a thông tin truy n. MIC là m t message 64 bit ư c tính d a trên thu t tóan Michael. MIC s ư c g i trong gói TKIP và giúp ngư i nh n ki m tra xem thông tin nh n ư c có b l i trên ư ng truy n ho c b thay i b i k phá ho i hay không. Tóm l i, WPA ư c xây d ng nh m c i thi n nh ng h n ch c a WEP nên nó ch a ng nh ng c i m vư t tr i so v i WEP. u tiên, nó s d ng m t khóa ng mà ư c thay i m t cách t ng nh vào giao th c TKIP. Khóa s thay i d a trên ngư i dùng, session trao i nh t th i và s lư ng gói thông tin ã truy n. c i m th 2 là WPA cho phép ki m tra xem thông tin có b thay i trên ư ng truy n hay không nh vào MIC message. Và ăc i m n i b t th cu i là nó cho phép multual authentication b ng cách s d ng giao th c 802.1x Nh ng i m y u c a WPA.
- i m y u u tiên c a WPA là nó v n không gi i quy t ư c denial-of-service (DoS) attack [5]. K phá ho i có th làm nhi u m ng WPA WiFi b ng cách g i ít nh t 2 gói thông tin v i m t khóa sai (wrong encryption key) m i giây. Trong trư ng h p ó, AP s cho r ng m t k phá ho i ang t n công m ng và AP s c t t t c các n i k t trong vòng m t phút trách hao t n tài nguyên m ng. Do ó, s ti p di n c a thông tin không ư c phép s làm xáo tr n ho t ng c a m ng và ngăn c n s n i k t c a nh ng ngư i dùng ư c cho phép (authorized users). - Ngoài ra WPA v n s d ng thu t tóan RC4 mà có th d dàng b b v b i FMS attack ngh b i nh ng nhà nghiên c u trư ng i h c Berkeley [6]. H th ng mã hóa RC4 ch a ng nh ng khóa y u (weak keys). Nh ng khóa y u này cho phép truy ra khóa encryption. có th tìm ra khóa y u c a RC4, ch c n thu th p m t s lư ng thông tin truy n trên kênh truy n không dây. - WPA-PSK là m t biên b n y u c a WPA mà ó nó g p v n v qu n lý password hoăc shared secret gi a nhi u ngư i dùng. Khi m t ngư i trong nhóm (trong công ty) r i nhóm, m t password/secret m i c n ph i ư c thi t l p. III. Tăng cư ng b o m t v i chu n 802.11i (WPA2) Chu n 802.11i ư c phê chu n vào ngày 24 tháng 6 năm 2004 nh m tăng cư ng tính m t cho m ng WiFi. 802.11i mang y các c i m c a WPA. T p h p nh ng giao th c c a 802.11i còn ư c bi t n v i tên g i WPA 2. Tuy nhiên, 802.11i s d ng thu t toán mã hóa AES (Advanced Encryption Standard) thay vì RC4 như trong WPA. Mã khóa c a AES có kích thư c là 128, 192 ho c 256 bit. Tuy nhiên thu t toán này i h i m t kh năng tính toán cao (high computation power). Do ó, 802.11i không th update ơn gi n b ng software mà ph i có m t dedicated chip. Tuy nhiên i u này ã ư c ư c tính trư c b i nhi u nhà s n xu t nên h u như các chip cho card m ng Wifi t u năm 2004 u thích ng v i tính năng c a 802.11i.