Tấn công và phòng chống trong mạng WLAN là vấn đề được quan tâm rất nhiều hiện nay bởi các chuyên gia trong lĩnh vực bảo mật. Nhiều giải pháp tấn công và phòng chống đã được đưa ra nhưng cho đến bây giờ chưa giải pháp nào thật sự gọi là bảo mật hoàn toàn, cho đến hiện nay mọi giải pháp phòng chống được đưa ra đều là tương đối (nghĩa là tính bảo mật trong mạng WLAN vẫn có thể bị phá vỡ bằng nhiều cách khác nhau). Vậy để tấn công một mạng WLAN như thế nào? và giải pháp phòng chống ra sao? Tôi và các bạn sẽ cùng tìm hiểu rõ hơn trong phần dưới đây.
Theo rất nhiều tài liệu nghiên cứu, hiện tại để tấn công vào mạng WLAN thì các Attacker có thể sử dụng một trong những cách sau:

• P***ive Attack (sniffing)
• Active Attack (probing)
• Man-in-the-Middle Attack
• Denial-of-Services Attack
• Ad-hoc network Attack
• Wireless Spoofing
• AP Weaknesses
• War Driving


2.1. P***ive Attack

Tấn công bị động (p***ive) hay nghe lén (sniffing) có lẽ là một phương pháp tấn công WLAN đơn giản nhất nhưng vẫn rất hiệu quả. P***ive attack không để lại một dấu vết nào chứng tỏ đã có sự hiện diện của attacker trong mạng vì khi tấn công attacker không gửi bất kỳ gói tin nào mà chỉ lắng nghe mọi dữ liệu lưu thông trên mạng. WLAN sniffer hay các ứng dụng miễn phí có thể được sử dụng để thu thập thông tin về mạng không dây ở khoảng cách xa bằng cách sử dụng anten định hướng. Phương pháp này cho phép attacker giữ khoảng cách với mạng, không để lại dấu vết trong khi vẫn lắng nghe và thu thập được những thông tin quý giá.

Sniffer thường là một phần mềm có thể lắng nghe và giải mã các gói dữ liệu lưu thông trên mạng, sniffer đóng vai trò một hệ thống trung gian và sẽ copy tất cả các gói dữ liệu mà được gửi từ máy A sang máy B, chụp lấy p***word trong những phiên kết nối của các Client. Vì vậy mạng Wireless rất dễ bị nghe lén so với mạng có dây thông thường.

Có nhiều ứng dụng có khả năng thu thập được p***word từ những địa chỉ HTTP, email, instant message, FTP session, telnet. Những kiểu kết nối trên đều truyền p***word theo dạng clear text (không mã hóa). Nhiều ứng dụng có thể bắt được cả p***word hash (mật mã đã được mã hóa bằng nhiều thuật toán như MD4, MD5, SHA,...) truyền trên đoạn mạng không dây giữa client và server lúc client đăng nhập vào. Bất kỳ thông tin nào truyền trên đoạn mạng không dây theo kiểu này đều rất dễ bị tấn công bởi attacker. Tác hại là không thể lường trước được nếu như attacker có thể đăng nhập vào mạng bằng thông tin của một người dùng nào đó và cố tình gây ra những thiệt hại cho mạng.

Một attacker có thể ở đâu đó trong bãi đậu xe, dùng những công cụ để đột nhập vào mạng WLAN của bạn. Các công cụ có thể là một packet sniffer, hay một số phần mềm miễn phí để có thể crack được WEP key và đăng nhập vào mạng.






2.1. P***ive Attack

2.1.1. P***ive Scanning

P***ive Scanning là cách mà Attacker dung để lấy thông tin từ mạng bằng cách điều chỉnh thiết bị sao cho có tầng số sóng radio khác nhau. P***ive Scanning nghĩa là cho Wireless NIC lắng nghe trên mỗi kênh một vài thông điệp mà không cho thất sự hiện diện của Attacker.

Attacker có thể quét bị động mà không cần phải gửi bất cứ thông điệp nào. Chế độ này gọi là RF monitor, khi đó mỗi frame dữ liệu lưu thông trên mạng có thể bi copy bởi Attacker, mặc định thì chức năng này thường không có ở những Wireless NIC hiện có trên thị trường do đã được cài firmware đã tắt chức năng này. Trong chế độ này một Client có thể chụp lấy những gói dữ liệu mà không cần phải kết nối với AP hoặc Ah-hoc network.


2.1.2. Detecting SSID

Thông thường bằng cách P***ive Scanning các Attacker có thể tìm ra được SSID của mạng, bởi vì SSID nằm trong các frame sau: Beacon, Probe Request, Probe Responses, ***ociation Requests và Re***ociation Requests.

Trên một số AP co thể cấu hình cho SSID được gửi đi trong frame Beacon được che giấu đi, và thậm chí tắt các frame Beacon hoàn toàn. SSID được giấu trong các frame Beacon mục đích giảm tổi thiểu sự nhận biết của các Client về SSID. Trong nhiều trường hợp các Client cố gắng gia nhập vào mạng WLAN để kết nối bằng cách gửi yêu cầu dò tìm khi mà không thấy bất kỳ AP nào mà SSID không giống. Còng nếu frame Beacon không tắt thì các Attacker hiển nhiên sẽ xin được SSID từ AP bằng cách P***ive Scanning.

Khi mà đã có được SSID, thì yêu cầu kết nối sẽ xuất hiện tại những Client mà có SSID phù hợp. Một yêu cầu trong frame này sẽ bao gồm SSID đúng và thông tin nghe trộm của Attacker. Nếu một Client muốn gia nhập vào bất kỳ AP nào cho phép, nó sẽ gửi yêu cầu dò tìm trên tất cả các kênh và lắng nghe lời phản hồi mà có chứa SSID của AP. Attacker sẽ xem xét qua tất cả các lời phản hồi để chọn ra một AP. Thông thường thì kết nối sẽ được thiết lập ngay sau đó và Attacker sẽ đợi những thông tin phản hồi và suy ra được SSID.

Nếu việc truyền nhận frame Beacon bị tắt, thì Attacker có 2 lựa chọn. Hoặc là Attacker tiếp tục lắng nghe đến khi một yêu cầu kết nối xuất hiện từ một Client có quyền truy cập mạng và có SSID phù hợp để nghe trộm SSID này. Hoặc là Attacker có thể dò tìm bằng cách bơm vào (injecting) một frame mà đã tạo ra sẵn và sau đó lắng nghe phản hồi (bước này sẽ nghiên cứu sâu hơn trong phần sau - Active attack).

2.1.3. Collecting the MAC Addresses

Các Attacker thu thập các địa chỉ MAC hợp lệ để sử dụng trong các frame giả mạo được dựng lên sau này. Địa chỉ MAC nguồn và đích luôn chứa đầy đủ trong tất cả các frame. Cò 2 lý do tại sao Attacker muốn thu thập MAC Address của các Client và AP trong mạng. Một là Attacker muốn sử dụng những giá trị này trong các frame giả mạo để máy của hắn không bị AP nhận ra. Thứ hai là các AP có chức năng lọc các địa chỉ MAC chưa được đăng ký thì không cho truy cập vào mạng, Attacker sẽ giả mạo địa chỉ MAC để truy cập hợp pháp.

2.1.4. Collecting frames for Cracking WEP

Mục đích của các Attacker là tìm ra khóa WEP. Thông thường khóa này có thể đoán ra được dựa vào một lượng lớn các hệ thống công cộng mà các quản trị mạng đã cấu hình và thường sử dụng. Một vài phần mềm Client lưu trữ khóa WEP trong Registry của hệ thống. Sau này chúng ta phải thừa nhận rằng các Attacker đã không thành công trong việc xin khóa trong cách này, các Attacker sau đó đã tận dụng các phương pháp một cách có hệ thống trong việc crack WEP. Để thực hiện mục đích này một số lượng frame rất lớn (hàng triệu) frame cần được thu thập để crack WEP bởi vì đó là cách WEP hoạt động.

Attacker nghe trộm một lượng lớn các frame dữ liệu từ một mạng WLAN. Tất cả các frame này sử dụng cùng một khóa. Những thuật toán đằng sau những secret-shared-key là một tập hợp các đoạn text đã mã hóa mà được trích xuất từ các frame. Tuy nhiên tất cả những gì cần đó là một tập hợp các frame được mã hóa với những thuật toán yếu. Số frame được mã hóa với thuật toán yếu chiếm tỉ lệ nhỏ trong tất cả các frame. Trong tập hợp hàng triệu frame có thể chỉ có 100 frame được mã hóa như vậy. Có thể thấy được rằng việc tập hợp này có thể mất đến vài giờ và thậm chí vài ngày để trích xuất ra thông tin cần dò tìm. Tuy nhiên các Attacker có thể sử dụng các máy tính mạnh thì thời gian dò tìm thông tin nhanh hơn có thể chỉ còn vài phút đến vài giờ.

TOOL:
- AirSnort ([http://airsnort.shmoo.com]),
- Kismet ([http://www.kismetwireless.net/])
- AiroPeek ([http://www.widepackets.com/])
- Sniffer Pro
- WirelessMon ([http://www.p***mark.com])

2.1.5. Detecting Sniffer

Sniffer thường tấn công chủ động bằng cách thu thập dữ liệu. Cho nên việc phát hiện Sniffer trở nên rất khó khăn, đặc biệt là khi Sniffer hoạt động trên những dữ liệu được chia sẻ trên mạng. Nhưng điều này đã trở nên dễ dàng hơn với một số chức năng phát hiện Sniffer như sau:

• Ping Method: sự giả mạo được sử dụng ở đây là gửi yêu cầu với IP Address từ một hệ thống kiểm tra. Ý tưởng ở đây là không Client nào nhận được packet này nếu không trùng MAC Address. Nhưng nếu là một Sniffer thì sẽ trả lời ngay và sẽ không loại bỏ Packet này cho dù khác MAC Address. Đây là một phương pháp đã cũ và không còn được sử dụng nhiều vì không có độ tin cậy cao.

• ARP Method: một hệ thống sẽ lưu lại các ARP, cho nên khi chúng ta gửi một gói ARP không broadcast thì hệ thống sẽ lưu lại ARP Address này. Sau đó chúng ta sẽ ping broadcast với IP Address của chúng ta nhưng MAC Address khác. Chỉ có hệ thống mà có MAC Address đúng mới trả lời lại lệnh ping này.

• ARP watch: một cách thức nghe trộm là sẽ đặt vị trí của Sniffer tại gateway của hệ thống mạng. Một tiện ích gọi là ARPWatch có thể sử dụng để giám sát bộ nhớ của ARP trên một hệ thống và sẽ cảnh báo nếu có 2 hệ thống giống nhau. Nhưng đáng tiếc là những hệ thống được triển khai trên DHCP thì có thể hệ thống giám sát có thể đưa ra những cảnh báo sai. Ví dụ một User sau khi đã ngắt kết nối mạng sau một khoảng thời gian rồi lại truy cập vào mạng và nhận được một IP Address giống với trước đây thì hệ thống giám sát sẽ phát ra thông báo ngay do còn lưu trong bộ nhớ cache.

• IDS: hệ thống Instrusion Detection Systems, giám sát sự giả mạo ARP trên mạng. Hệ thống này sẽ lưu lại trên mạng với những địa chỉ ARP đã giả mạo.
• Thông thường hệ thống sẽ so sánh IP Addres và MAC Address, nếu không phù hợp sẽ phát ra cảnh báo.


2.1.6. Preventing Sniffing

Cách tốt nhất bảo vệ bạn, công ty hoặc doanh nghiệp trước sự giả mạo đó là sử dụng mã hóa. Tuy không ngăn chặn được những chức năng giả mạo, nhưng nó bắt Sniffer chỉ đọc được những dữ liệu đã bị mã hóa.

Một hệ thống mà đã có những User cố tình làm hại thì hắn sẽ cố gắng giả mạo ARP là một gateway. Để ngăn chăn việc này, bạn có thể giữ MAC Address của gateway thật lâu trong bộ nhớ. Hoặc bạn có thể thay đổi thừơng xuyên MAC Address cho gateway và một vài hệ thống quan trọng trong mạng của bạn.

Ngoài ra còn có một vài phương pháp mà người Admin mạng và bảo mật có thể áp dụng để có thể bảo vệ mạng.

• Đầu tiên là triển khai phần mềm giám sát từng đoạn mạng và chú ý đến những hoạt động của ARP. Đảm bảo rằng mức độ lưu thông trong mạng trong giới hạn cho phép và có thể kiểm soát được.
• Thứ hai là bảo vệ trên từng đoạn mạng (subnet), bằng cách chia hệ thống mạng ra từng Virtual LAN (VLAN) và giới hạn quyền truy cập đến router cho từng host khác nhau để tránh bị tấn công. Có thể một Attacker muốn tấn công ARP đến một host trong hệ thống mạng nhưng không thành công vì không cùng subnet hoặc VLAN bởi vì các thiết bị Routing sẽ loại bỏ những packet này.
• Thứ ba là sử dụng những mã khó cho những cặp MAC/IP trên những hệ thống chủ chốt cho nên các Attacker không thể thay đổi nó. Một vài thiết bị Switch cho phép cấu hình cặp MAC/TP tĩnh cho mỗi port trên thiết bị.

Thuật ngữ: Beacon
Là frame dữ liệu trong mạng WLAN được gửi broadcast bởi AP mà những tín hiệu này rất có giá trị đối với Attacker



2.2. Active Attack (Probing)

Attacker có thể tấn công chủ động (active) để thực hiện một số tác vụ trên mạng. Một cuộc tấn công chủ động có thể được sử dụng để truy cập vào server và lấy được những dữ liệu có giá trị hay sử dụng đường kết nối Internet của doanh nghiệp để thực hiện những mục đích phá hoại hay thậm chí là thay đổi cấu hình của hạ tầng mạng. Bằng cách kết nối với mạng không dây thông qua AP, attacker có thể xâm nhập sâu hơn vào mạng hoặc có thể thay đổi cấu hình của mạng. Ví dụ, một attacker có thể sửa đổi để thêm MAC address của attacker vào danh sách cho phép của MAC filter (danh sách lọc địa chỉ MAC) trên AP hay vô hiệu hóa tính năng MAC filter giúp cho việc đột nhập sau này dễ dàng hơn. Admin thậm chí không biết được thay đổi này trong một thời gian dài nếu như không kiểm tra thường xuyên.

Một số ví dụ điển hình của active attack có thể bao gồm các Spammer (kẻ phát tán thư rác) hay các đối thủ cạnh tranh muốn đột nhập vào cơ sở dữ liệu của công ty bạn. Một spammer có thể gởi một lúc nhiều mail đến mạng của gia đình hay doanh nghiệp thông qua kết nối không dây WLAN. Sau khi có được địa chỉ IP từ DHCP server, attacker có thể gởi cả ngàn bức thư sử dụng kết nối internet của bạn mà bạn không hề biết. Kiểu tấn công này có thể làm cho ISP của bạn ngắt kết nối email của bạn vì đã lạm dụng gởi nhiều mail mặc dù không phải lỗi của bạn.

Một khi attacker đã có được kết nối không dây vào mạng của bạn, hắn có thể truy cập vào server, sử dụng kết nối WAN, Internet hay truy cập đến laptop, desktop người dùng. Cùng với một số công cụ đơn giản, attacker có thể dễ dàng thu thập được những thông tin quan trọng, giả mạo người dùng hay thậm chí gây thiệt hại cho mạng bằng cách cấu hình sai. Dò tìm server bằng cách quét cổng, tạo ra phiên làm việc NULL để chia sẽ hay crack p***word, sau đó đăng nhập vào server bằng account đã crack được là những điều mà attacker có thể làm đối với mạng của bạn.

2.2.1. Detecting SSID

Tìm ra SSID thông thường rất đơn giản với sự hổ trợ của các công cụ và bắt lấy những frame dữ liệu quan trọng. Nếu những frame này không được lưu thông trên mạng thì Attacker không đủ kiên nhẫn để chờ đợi một yêu cầu kết nối hợp lệ từ một Client khác mà có quyền truy cập vào mạng để thông qua đó có được một SSID chính xác. Attacker sẻ bơm vào (injecting) một yêu cầu thăm dò bằng một địa chỉ MAC giả mạo. Vì lầm tưởng địa chỉ MAC nên AP sẽ phát ra những frame dữ liệu quan trọng, lúc này Attacker sẽ tìm ra SSID thông qua yêu cầu thăm dò đã gửi.

Một vài loại AP cho phép tắt chức năng trả lời đối với những yêu cầu thăm dò mà không đúng SSID. Trong trường hợp này Attacker sẽ quyết định chọn một Client kết nối đến một AP, và gửi cho Client này frame tách rời giả mạo mà địa chỉ MAC đã được cài đặt trên AP. Client sẽ gửi một yêu cầu kết nối lại và SSID lộ diện.

2.2.2. Detecting APs and stations

Mỗi một AP cũng là một máy trạm, vì thế các SSID và MAC address đã được tập hợp sẵn. Bằng cách sử dụng một vài công cụ hổ trợ dò tìm sóng mạng wireless sẽ cho chúng ta biết rõ khá đầy đủ thông tin của mạng wireless, AP và các Client.

Một số bit nào đó trong các frame được nhận biết rằng được phát ra từ AP. Nếu chúng ta cho rằng khóa WEP một là đã tắt hai là đã bị crack, Attacker cũng có thể thu thập các địa chỉ IP của các AP và Client.

2.2.3. Detection of Probing

Việc phát hiện sự giả mạo là hoàn toàn có thể, những frame mà Attacker gửi đi cũng có thể bị phát hiện bởi hệ thống phát hiện xâm nhập – instrustion detection systems (IDS) của mạng WLAN, có thể nhận thấy được những sự thay đổi vật lý (MAC Address) của thiết bị wireless dù cho đó là những frame giả mạo.

TOOL:
- NetStumbler
- WirelessMon

2.3. Man-in-the-middle Attack (MITM Attack)

Tấn công theo kiểu Man-in-the-middle là trường hợp trong đó attacker sử dụng một AP để đánh cắp các node di động bằng cách gởi tín hiệu RF mạnh hơn AP thực đến các node đó. Các node di động nhận thấy có AP phát tín hiệu RF tốt hơn nên sẽ kết nối đến AP giả mạo này, truyền dữ liệu có thể là những dữ liệu nhạy cảm đến AP giả mạo và attacker có toàn quyền xử lý. Đơn giãn là kẻ đóng vai trò là một AP giả mạo đứng giữa tất cả các Client và AP thực sự, thậm chí các Client và AP thực không nhận thấy sự hiện diện của AP giả mạo này.

Để làm cho client kết nối lại đến AP giả mạo thì công suất phát của AP giả mạo phải cao hơn nhiều so với AP thực trong vùng phủ sóng của nó. Việc kết nối lại với AP giả mạo được xem như là một phần của roaming nên người dùng sẽ không hề biết được. Việc đưa nguồn nhiễu toàn kênh (all-band interference - chẳng hạn như bluetooth) vào vùng phủ sóng của AP thực sẽ buộc client phải roaming.

Attacker muốn tấn công theo kiểu Man-in-the-middle này trước tiên phải biết được giá trị SSID là các client đang sử dụng (giá trị này rất dễ dàng có được bằng các công cụ quét mạng WLAN). Sau đó, attacker phải biết được giá trị WEP key nếu mạng có sử dụng WEP. Kết nối upstream (với mạng trục có dây) từ AP giả mạo được điều khiển thông qua một thiết bị client như PC card hay Workgroup Bridge. Nhiều khi, tấn công Man-in-the-middle được thực hiện chỉ với một laptop và 2 PCMCIA card. Phần mềm AP chạy trên máy laptop nơi PC card được sử dụng như là một AP và một PC card thứ 2 được sử dụng để kết nối laptop đến AP thực gần đó. Trong cấu hình này, laptop chính là man-in-the-middle (người ở giữa), hoạt động giữa client và AP thực. Từ đó attacker có thể lấy được những thông tin giá trị bằng cách sử dụng các sniffer trên máy laptop.

Điểm cốt yếu trong kiểu tấn công này là người dùng không thể nhận biết được. Vì thế, số lượng thông tin mà attacker có thể thu được chỉ phụ thuộc vào thời gian mà attacker có thể duy trì trạng thái này trước khi bị phát hiện. Bảo mật vật lý (Physical security) là phương pháp tốt nhất để chống lại kiểu tấn công này.




2.3.1. Wireless MITM

Giả sử cho rắng Client B đã được chứng thực hợp lệ với C là một AP thực. Attacker X là một laptop có 2 wireless card, thông qua một card, hắn sẽ hiện diện trên mạng wireless là một AP. Attacker X sẽ gửi những frame không hợp lệ đến B ma sử dụng địa chỉ MAC của Access Point C như là địa chỉ nguồn, và BSSID đã được thu thập. B sẽ không được chứng thực và bắt đầu dò tìm AP và có thể tìm thấy X trên kênh khác với kênh của Access Point C, đây có thể xem là một cuộc tranh giành giữa Attacker X và Access Point C.

Nếu B kết nối với X, thì cuộc tấn công theo phương pháp MITM coi như thành công. Sau đó X sẽ gửi lại những frame mà nó nhận từ chuyển sang cho C, ngược lại những frame mà nó nhận từ C chuyển sang cho B sau khi thay đổi sau cho phù hợp.

2.3.2. ARP Poisoning

ARP cache poisoning là một công nghệ đã được dùng trong mạng có dây thông thường. Nhưng hiện tại công nghệ này được xuất hiện lại trong các AP mà để kết nối đến Switch/Hub với các Client trong mạng có dây.

ARP thường được sử dụng để xác định địa chỉ MAC khi mà đã biết địa chỉ IP. Sự chuyển đổi này được thực hiện thông qua việc tìm kiếm trong một bảng địa chỉ, ARP cache sẽ giữ nhiệm vụ cập nhật bảng địa chỉ này bằng cách gửi broadcast các gói dữ liệu yêu cầu chứa các địa chỉ IP đến các Client, nếu như IP của Client nào trùng với IP nhận được thì sẽ phản hồi lại với gói dữ liệu chứa MAC Address của mình. Những thành phần trong bảng này sẽ hết hạng trong một khoảng thời gian nhất định vì Client có thể thay đổi phần cứng (NIC) thì khi đó bảng này sẽ được cập nhật lại.

Tuy nhiên một nhược điểm của ARP là không có bất kỳ sự kiểm tra nào từ những phản hồi của các Client hợp lệ hoặc là nhận phản hồi từ những Client giả mạo. ARP Poisoning là một phương pháp tấn công lợi dụng vào lỗ hổng này. Nếu ARP cache bị lỗi thì HĐH sẽ vẫn lưu địa MAC sai của một vài địa chỉ IP. Attacker sẽ thực hiện bằng cách gửi các gói dữ liệu phản hồi với những MAC Address sai.

ARP Poisoning là một trong những công nghệ mà cho phép tấn công theo kiểu MITM. Attacker X sẽ đưa hắn vào giữa 2 máy B và C, bằng cách “nhiễm” vào B cho nên IP của C được kết nối với MAC Address của X, ngược lại bằng cách “nhiễm” vào C cho nên IP của B sẽ kết nối với MAC Address của X, nghĩa là cuối cùng mọi giao tiếp giữa B và C đều phải thông qua X.

Tấn công ARP poisoning thì có thể áp dụng cho tất cả các host trong cùng một subnet. Hầu hết các AP đóng vai trò cầu nối để truyền nhận lớp địa chỉ MAC, cho nên tất cả các Client kết nối đến đều có thể bị nguy hiểm. Nếu như một AP được kết nối trực tiếp đến Switch/Hub mà không có Router/Firewall thì sau đó các Client kết nối đến Switch/Hub rất dễ bị tấn công. Chú ý rằng hầu hết các thiết bị có mặt trên thị trường hiện nay đều được tích hợp Switch với 4 hoặc 5 port vào trong AP, Router hoặc DSL/cable modem để kết nối Internet, bên trong thì AP đã được kết nối với Switch. Kết quả là Attacker có thể là một Client và trở thành một MITM giữa 2 mạng có dây thông thường, một mạng wireless và một mạng có dây, hoặc cả 2 mạng wireless.

TOOL:
- HostAP (hostap.epitest.fi)
- AirJack (http://802.11ninja.net/airjack/)
- Ettercap (htt://ettercap.sourceforge.net/).


2.4. Denial-of-Services Attack (DoS)

DoS là một kỹ thuật được sử dụng chỉ đơn giản để làm hỏng (shut down) mạng không dây của bạn. Tương tự như những kẻ phá hoại sử dụng tấn công DoS vào một web server làm nghẽn server đó thì mạng WLAN cũng có thể bị shut down bằng cách gây nghẽn tín hiệu RF. Những tín hiệu gây nghẽn này có thể là cố ý hay vô ý và có thể loại bỏ được hay không loại bỏ được. Khi một attacker chủ động tấn công DoS, attacker có thể sử dụng một thiết bị WLAN đặc biệt, thiết bị này là bộ phát tín hiệu RF công suất cao hay thiết bị chuyên dung khác.

Để loại bỏ kiểu tấn công này thì yêu cầu đầu tiên là phải xác định được nguồn tín hiệu RF. Việc này có thể làm bằng cách sử dụng một Spectrum Analyzer (máy phân tích phổ). Có nhiều loại Spectrum Analyzer trên thị trường nhưng bạn nên dùng loại cầm tay, dùng pin cho tiện sử dụng. Một cách khác là dùng các ứng dụng Spectrum Analyzer phần mềm kèm theo các sản phẩm WLAN cho client.

Khi nguồn gây ra DoS là không thể di chuyển được và không gây hại như tháp truyền thông hay các hệ thống hợp pháp khác thì admin nên xem xét sử dụng dãy tần số khác cho mạng WLAN. Ví dụ, nếu admin chịu trách nhiệm thiết kế và cài đặt mạng WLAN cho môi trường rộng lớn, phức tạp thì cần phải xem xét kỹ càng. Nếu như nguồn nhiễu RF trải rộng hơn 2.4 Ghz như bộ đàm, lò vi sóng … thì admin nên sử dụng những thiết bị theo chuẩn 802.11a hoạt động trong băng tần 5 Ghz UNII thay vì sử dụng những thiết bị 802.11b/g hoạt động trong băng tần 2.4 Ghz sẽ dễ bị nhiễu.

DoS do vô ý xuất hiện thường xuyên do nhiều thiết bị khác nhau chia sẽ chung băng tần 2.4 ISM với mạng WLAN. DoS một cách chủ động thường không phổ biến lắm, lý do là bởi vì để thực hiện được DoS thì rất tốn kém, giá của thiết bị rất mắc tiền, kết quả đạt được chỉ là tạm thời shut down mạng trong thời gian ngắn.







3. Wireless Spoofing

Một khi những Client, thiết bị hoặc User nào bị ngăn cấm truy cập vào mạng Wireless, thì Spoofing (giả mạo) là một trong các cách tấn công hửu hiệu trong mạng Wireless. Mục đích của việc này là có thể gia nhập vào mạng và rồi sau đó sử dụng những công cụ dò tìm và lấy những thông tin chứng thực của các User và trở thành User hợp lệ (Man-in-the-Middle Attack cũng là một cách của kiểu tấn công này)

3.1. IP Spoofing

IP Spoofing là một công nghệ nhằm vượt qua sự ngăn chặn truy cập của hệ thống, Attacker có thể gửi các thông điệp đến một máy tính mà dưới danh nghĩa là một host hợp lệ. Ở đây có một vài sự khác nhau trong nhiều cách tấn công theo kiểu này:

3.1.1. Non-Blind Spoofing
Cách này áp dụng khi Attacker ở cùng một subnet với Victim, nên việc nghe trộm các packet trên mạng là điều rất đơn giản. Loại này còn được gọi là Session Hijacking và một Attacker có thể tránh được bất kỳ hệ thống chứng thực nào và thiết lập kết nối. Điều này thực hiện được bằng cách ngắt các dòng dự liệu của các kết nối mà đã được thiết lập, sau đó tái thiết lập lại dựa trên những packet đúng với hệ thống tấn công.

3.1.2. MITM Attack (connection hijacking)
Trong cách tấn công này, Attacker sẽ chặng những giao tiếp hợp lệ của 2 host để điều khiển dữ liệu giữa 2 host, khi đó Attacker sẽ mạo danh cả 2 host để gửi dữ liệu cho 2 host này. 2 host vẫn trao đổi dữ liệu với nhau bình thường nhưng thực tế dữ liệu máy A gửi cho B thì đã thông qua Attacker, Attacker sẽ chộp thông tin từ máy A và sau đó sẽ mạo danh địa chỉ máy A và truyền đến cho B. Điều kiện để thực hiện cách tấn công này là Attacker phải đặt mình ở giữa đường lien kết của 2 host.

3.1.3. DoS
IP Spoofing đôi khi cũng được sử dụng bằng tấn công Dos. Khi đó Attacker sẽ phải tốn nhiều thời gian và tài nguyên như băng thông để có thể thật nhiều packet đến Victim trong một khoảng thời gian. Khi đó Attacker sẽ giả mạo địa chỉ IP nguồn để theo dõi và tấn công DoS. Khi nhiều host đã thỏa hiệp với nhau và đồng loạt tấn công, thì sẽ gửi những packet giả mạo, nó làm cho lưu lượng trên mạng nhanh chóng bị nghẽn.


Chú ý rằng, công nghệ IP Spoofing không cho phép các User Anonymous Internet truy cập và đây cũng là quan niệm sai của rất nhiều người. Để ngăn chặn IP Spoofing có một cài giải pháp đã được ra như:

• Tránh sử dụng chứng thực địa chỉ nguồn. Triển khai hệ thống mã hóa và chứng thực trên diện rộng.
• Cấu hình mạng để loại bỏ đi những packet từ Internet mà có thể gây hại đến hệ thống mạng nội bộ.
• Triển khai hệ thống kiểm soát in-out trên các Router vòng ngoài và triển khai một ACL (Access Control List) để khóa lại những IP Address cá nhân trên hệ thống mạng.

Nếu như bạn cho phép kết nối từ bên ngoài thì nên bật chức năng mã hóa trên Router.

3.2. MAC Spoofing

Mỗi một NIC đều có một địa chỉ vật lý được gọi là MAC Address. Địa chỉ này gồm có 12 chữ số HEX là duy nhất. Và thông thường trên các thiết bị AP có cung cấp một chức năng lọc MAC Address mục đích nhằm ngăn chặn một Client nào đó thông qua MAC Address. Thông thường những Client nào nằm trong danh sách này sẽ không thể truy cập vào mạng cũng như những tài nguyên được chia sẽ trên mạng.

Nhưng một điều đã làm cho chức năng này trở nên vô dụng đó là MAC Address hoàn toàn có thể giả mạo được. Khi đó thì bất kỳ một Hacker nghiệp dư nào cũng có thể vượt qua chức năng lọc MAC Address và trở thành một Client có địa chỉ được hợp lệ. Cho nên việc lọc MAC Address chưa tạo ra được sự tin tưởng cho việc bảo mật nhất là ở những hệ thống mạng lớn.

Giả mạo MAC Address nghĩa là một Attacker cố gắng thay đổi sang một giá trị khác sao cho thông qua địa chỉ MAC mới có thể gia nhập mạng Wireless và gửi hoặc nhận dữ liệu. Một khi các Attacker đã có ý định tấn công mạng theo cách thức này thì thường với một vài lí do như làm rối hệ thống mạng, vượt qua chính sách truy cập của mạng hoặc đóng vai là một User đã được chứng thực. Ta cùng tìm hiểu rõ từng lí do trong phần dưới đây:

3.2.1. Obfuscating network presence

Attacker có thể sử dụng cách thay đổi MAC Address để né tránh hệ thống bảo vệ và phát hiện. Một ví dụ như Attacker sẽ chạy những đoạn script tấn công với những địa chỉ MAC ngẫu nhiên cho mỗi một kết nối thành công. Khi đó các hệ thống hoặc ứng dụng phân tích mạng sẽ không thể phát hiện ra sự giả mạo này.

3.2.2. Byp***ing access control lists
Access control list thường là được xem như là một định dạng (danh sách) cho quyền truy cập vào mạng WLAN, những người quản trị thông thường có nhiều tùy chọn để cấu hình AP hoặc những Router lđể thực hiện việc đăng ký các địa chỉ MAC cho các kết nối trên mạng. Attacker có thể giả mạo bằng cách giám sát mọi lưu thông trên mạng để từ đó xuất một danh sách các địa chỉ MAC mà đã được chứng thực hợp lệ bởi AP hoặc Router. Với danh sách này trong tay, Attacker có thể tự do gán địa chỉ của mình trùng với một trong các địa chỉ hợp lệ đó tránh được hệ thống bảo mật của mạng.

3.2.3. Authenticated User impersonation
Những thiết bị phần cứng bảo mật của mạng WLAN đều dựa trên khả năng kiểm soát chứng thực User bằng địa chỉ MAC của Client. Sau khi User đã chứng thực thành công, thì hệ thống bảo mật sẽ thực hiện việc lưu thông dựa trên một danh sách MAC Address động. Attacker chỉ lừa các thiết bị khi cần thiết để giám sát mọi hành động trên mạng và tìm ra một địa chỉ MAC hợp lệ và sau đó hắn sẽ thay đổi địa chỉ MAC của mình trùng với địa chỉ đã tìm ra trước khi gia nhập vào mạng.

3.2.4. Preventing MAC Spoofing
Đây là một trong những cách ngăn chăn sự giả mạo này trên mạng có dây: rất nhiều Switch có port security. Switch chỉ biết qua MAC Address một lần, và sau đó sẽ được lưu trữ thừơng xuyên, từ lúc đó Switch sẽ không chấp nhận bất kỳ MAC Address nào mà đã được lưu. Hệ thống này có chức năng ngăn chặn tấn công bằng cách giả mạo MAC Address. Cho nên bất kỳ khi nào có sự thay đổi trong mạng Admin cần cấu hình lại cho Switch.


TOOL:

- SMAC 2.0 (http://www.download3k.com/Install-SMAC.html)
- MadMAC
- MAC Address Change

3.3. ARP Spoofing

3.3.1. ARP hoạt động như thế nào?
ARP sẽ ánh xa từ IP Addres sang MAC Address. Nếu một Client C cần gửi một Packet sang server S, thì C phải cần biết C phải cần biết MAC Address của nếu cả hai cùng một subnet, trong cả trường hợp S ở một subnet khác thì C vẫn phải cần biết MAC Address. Để xác định MAC Address, C sẽ broadcast một ARP request đến tất cả các máy trên hệ thống mạng nội bộ và hỏi rằng “Ai có địa chỉ IP là a.b.c.d?”, nếu một máy nào có IP Address như vậy sẽ trả lời bằng cách gửi lại MAC Address cho C (hình 2.)





ARP – Address Resolution Protocol là một giao thức được sử dụng chuyển đổi từ IP Address sang MAC Address (ngược lại RARP là giao thức chuyển từ MAC Address sang IP Address). ARP Spoofing là một trong những cách tấn công mà hầu hết các người quản trị mất rất nhiều thời gian để đối phó, vì để bảo vệ mạng từ các cuộc tấn công từ bên trong thì khó hơn từ bên ngoài.

ARP Spoofing là một trong những cách thức tấn công gây nhiều khó khăn cho các Admin nhất. ARP Spoofing sẽ đặt Attacker vào vị trí có thể nghe trộm và bắt lấy mọi lưu thông trên mạng. Có rất nhiều kiểu tấn công theo kiểu ARP Spoofing, một trong những cách tấn công hiệu quả và nguy hiểm nhất là tấn công Man-in-the-Middle (MITM) mà có thể dễ dàng thực hiện nhờ vào các phần mềm tinh vi, thậm chí một Attacket có ít kiến thức trong việc này cũng có thể thực hiện thành công.

3.3.2. Addressing Attacks on the LAN

ARP không thể tự mình chống lại các Packet giả mạo và hoàn toàn có thể bị xâm hại bởi một loạt các cuộc tấn công. Các loại tấn công theo kiểu giả mạo thông dụng hiện nay là MAC Spoofing, ARP Spoofing.

TOOLS:

- ARP-SK (http://www.arp-sk.org)
- Arpoc and WCI (http://www.phenoelit.de/arpoc)
- Cain & Abel (http://www.oxid.it/cain.html)
- DSniff (http://naughty.monkey.org)
- Ettercap (http://ettercap.sourceforge.net)
- Parasite (http://www.thc.org/releases.php)

3.3.3. Preventing ARP Attacks

Một cách để ngăn chặn ARP Attack là nên ngăn chặn download và chạy các phần mềm bên ngoài, mặc dù điều này gây ra nhiều khó khăn. Admin sẽ ngăn chặn việc sử dụng kết nối internet, HTTP, HTTPS, FTP, và email sẽ tạo điều kiện dễ dàng cho Attacker đưa những phần mềm, script, … vào bên trong mạng để dò tìm thông tin. Admin cũng cần quản lý những thiết bị ngoại vi như USB, Flash Disk, Removable media … và nhất là các thiết bị di động PDA, Laptop, mặc dù giải pháp này rất khó khăn khi thực hiện.

Ngoài ra ARP tĩnh là một cách để ngăn chặn cách tấn công này, nhưng thông thường các Admin muốn tránh những chuyện phức tạp trong việc cấu hình thủ công địa chỉ cho toàn bộ hệ thống (Router và Server). Nhưng đối với HĐH Window thì việc các Attacker có thể tấn công một cách bình thản đến các thành phần ARP đã được cấu hình và bỏ đi bất kỳ sự bảo mật nào trong mạng của bạn.




Better man

Chỉnh sửa lại bởi gocong - 04/Jul/2007 lúc 7:23pm