Đồ án Bảo mật trong mạng WLAN

ền lại, thủ tục này sẽ lặp lại theo một số lần xác định 5.3 Các phương pháp truy nhập có điều khiển Các phương pháp truy nhập ngẫu nhiên do có tính đơn giản nên được sử dụng rộng rãi trên các mạng cục bộ. Tuy nhiên, do sự truy nhập là ngẫu nhiên (không được kiểm soát chặt chẽ) nên khả năng xung đột trong mạng khó loại trừ được hoàn toàn. Với phương pháp truy nhập có điều khiển, việc truy nhập được kiểm soát chặt chẽ để cấp phát truy nhập đường truyền vật lý cho các nút mạng. Thông thường sử dụng phương pháp truy nhập có điều khiển là chuyển thẻ bài và truy nhập theo thứ tự. a. phương pháp truy nhập chuyển thẻ bài Nguyên tắc hoạt động của phương pháp chuyển thẻ bài như sau: để cấp phép quyền truy nhập đường truyền cho các trạm có nhu cầu truyền dữ liệu, một mã thông báo được luân chuyển trên một vòng logic được thiết lập bởi các trạm đó. Khi một trạm nhận được thông báo đó thì nó có thể truyền một hay nhiều khung dữ liệu. Khi đã hết dữ liệu hoặc hết thời gian cho phép, trạm phải chuyển mã thông báo đến trạm kế tiếp trong vòng logic. Như vậy, bước đầu tiên là phải thiết lập vòng logic bao gồm các trạm đang có nhu cầu truyền dữ liệu được xác định theo chuẩn thứ tự mà trạm cuối cùng của mỗi chuẩn sẽ liền tiếp sau bởi trạm đầu tiên, mỗi trạm trong vòng logic đó đều biết địa chỉ của trạm kề trước và sau nó. Thứ tự của các trạm logic có thể độc lập với thứ tự vật lý. Các trạm không hoặc chưa có nhu cầu truyền dữ liệu thì không được đưa vào vòng logic và chúng chỉ có thể tiếp nhận dữ liệu. Trên hình 3.11 các trạm A và H nằm ngoài vòng logic, chỉ có thể nhận dữ liệu dành cho chúng. Tuy việc thiết lập vòng logic trong chương trình không phức tạp nhưng việc duy trì theo trạng thái thực tế của mạng là tương đối phức tạp. Việc thiết lập vòng logic phải thoả mãn các chức năng sau : + bổ xung một trạm vào vòng logic : các trạm nằm ngoài vòng logic cần được xem xét định kỳ nếu có nhu cầu truyền thì bổ xung vào vòng logic + loại bỏ một trạm khỏi vòng logic : khi một trạm không còn truyền dữ liệu cần loại bỏ nó ra khỏi vòng logic để tối ưu hoá việc điều khiển truy nhập bằng mã thông báo. A E F D C B H G Vòng logic Đường truyền vật lý Hình 2.14 : vòng logic và đường truyền vật lý + quản lý lỗi : một số lỗi có thể xảy ra, ví dụ như việc trùng địa chỉ (hai trạm đều “nghĩ” rằng đến lượt nó truyền) hoặc “đứt vòng” (không có trạm nào “nghĩ” đến lượt nó truyền) + khởi tạo vòng logic : khi cài đặt mạng hoặc khi “đứt vòng” cần khởi tạo lại vòng logic. Các giải thuật cho các chức năng phải thoả mãn ở trên được khuyến nghị như sau : Để bổ sung trạm vào vòng logic, mỗi trạm trong vòng có trách nhiệm định kỳ tạo điều kiện cho các trạm mới nhập vào vòng. Khi chuyển mã thông báo “tìm trạm trước đó” để mời các trạm (có địa chỉ ở giữa nó và trạm kế tiếp nó) gửi yêu cầu nhập vòng. Nếu sau một thời gian xác định trước mà không có yêu cầu nào thì trạm sẽ chuyển mã thông báo đến trạm kề sau nó như thường lệ. Nếu có nhu cầu thì trạm chuyển mã thông báo sẽ nhận trạm yêu cầu trở thành trạm đứng kề sau nó và chuyển mã thông báo tới trạm này, nếu có hơn một trạm yêu cầu nhập vòng thì trạm giữ mã thông báo sẽ phải chọn một giải thuật nào đó. Việc loại bỏ trạm ra khỏi vòng logic đơn gian là : một trạm muốn ra khỏi vòng logic sẽ đợi đến khi nhận được thông báo “nối trạm đứng sau” tới trạm kề trước nó yêu cầu trạm này nối trực tiếp với trạm kề sau nó. Việc quản lý lỗi ở trạm gửi mã thông báo. Chẳng hạn, trạm đó nhận được tín hiệu cho thấy đã có trạm khác có mã thông báo, lập tức nó chuyển sang trạng thái nghe (bị động, chờ dữ liệu hoặc mã thông báo) hoặc sau khi kết thúc truyền dữ liệu, trạm phải chuyển mã thông báo tới trạm kề sau nó và tiếp tục nghe xem trạm kề sau nó có hoạt động không hay đã hỏng. Trường hợp trạm kề sau nó bị hư hỏng thì phải tìm cách (gửi các thông báo) để bỏ qua nút hỏng đó, cố gắng tìm được trạm hoạt động để gửi thông báo tới. Khởi tạo vòng logic được thực hiện khi một hay nhiều trạm phát hiện rằng bus không hoạt động trong một khoảng thời gian vượt quá giá trị ngưỡng (time-out) cho trước, mã thông báo đã bị mất. Có nhiều nguyên nhân, chẳng hạn mạng bị mất hoặc nguồn trạm giữ mã thông báo bị hỏng. Lúc đó trạm phát hiện sẽ gửi thông báo “yêu cầu mã thông báo” tới một trạm được chỉ định trước có trách nhiệm sinh mã thông báo mới và chuyển theo vòng logic. Trong khi thẻ bài nằm dưới quyền sử dụng của một máy tính thì các máy tính khác không thể truy nhập dữ liệu được. Vì mỗi lần chỉ có một máy tính sủ dụng thẻ bài nên tranh chấp và va trạm sẽ không xảy ra và không cần thời gian chờ đợi máy tính gửi lại thẻ bài do lưu lượng lưu thông trên đường truyền. Độ phức tạp của các phương pháp dùng thẻ bài lớn hơn nhiều so với các phương pháp truy nhập ngẫu nhiên. Mặt khác, hiệu quả của phương pháp thẻ bài là không cao trong điều kiện tải nhẹ một trạm có thể phải đợi khá lâu mới có thể nhận được thẻ bài. Tuy nhiên, các phương pháp dùng thẻ bài cũng có ưu điểm quan trọng. Đó là khả năng điều hoà lưu lượng lưu thông trên mạng, hoặc một cách cho phép các trạm truyền số lượng đơn vị dữ liệu khác sau khi nhận được thẻ bài, hoặc bằng cách lập chế độ ưu tiên cấp phát thẻ bài cho các trạm cho trước. Đặc biệt, các phương pháp dùng thẻ bài có hiệu quả cao hơn các phương pháp truy nhập ngẫu nhiễn trong trường hợp tải nặng (nhiều máy tính trong mạng). b. truy nhập theo thứ tự Trong một số ứng dụng, tính công bằng của đường truyền là quan trọng nhất. Phương pháp truy nhập này bảo đảm rằng ai đến trước thì được truy nhập trước. Hoạt động được mô tả như hình vẽ : Hình vẽ 2.15 : Truy nhập theo thứ tự Khi một trạm có một gói để gửi, đầu tiên trạm này gửi một yêu cầu đến điểm điều khiển. Yêu cầu được xếp hàng với các yêu cầu của những người sử dụng khác và điểm điều khiển chọn những người sử dụng lần lượt. Cuộc truyền được thừa nhận và tất cả các cuộc truyền dữ liệu đều đi qua điểm truy nhập CHƯƠNG III. CÁC ĐIỂM YẾU CỦA MẠNG KHÔNG DÂY VÀ CÁC PHƯƠNG THỨC TẤN CÔNG MẠNG. 1. Sự rò rỉ sóng RF của mạng không dây. Một trong những nguy cơ ảnh hưởng tới mọi sự triển khai không dây lớn hay nhỏ là thực tế các tín hiệu không dây không dừng trước các bức tường của chúng ta. Cài đặt một AP cũng giống như như đặt một jack Ethernet RJ45 trong khu vực của chúng ta. Những kẻ tấn công có thể lại gần cắm vào, kết nối với mạng của chúng ta. Trong thực tế chúng ta không hề cần việc đó. Với thiết bị và không gian thoáng, chúng ta có thể nhận các tín hiệu WIFI xa 20-25 dặm. Nó không phải vấn đề thông thường , nhưng với các bộ khuyếch đại các anten hệ số khuyếch đại cao, có thể nghe trộm các mạng không dây từ khoảng cách rất xa, có thể thu được các tín hiệu WIFI khoảng cách gần 25 dặm. Điều này làm cho các nhà bảo mật chuyên nghiệp lo lắng. Chúng ta cần giả định rằng hoạt động trong đó các tín hiệu RF sẽ bị nghe trộm và dữ liệu không dây sẽ rơi vào những bàn tay xấu. Một giải pháp chấp nhận được là đặt WLAN trong một phân đoạn riêng biệt. Nói cách khác, đặt các AP của chúng ta bên ngoài firewall. Coi mạng không dây như phân đoạn không tin cậy (giống như kết nối Internet của chúng ta ). 2. WEP phương thức mã hóa bảo mật yếu. Như hàm ý tên gọi của nó, WEP chỉ hướng tới việc mang lại cho người dùng không dây mức bảo mật như trong một mạng có dây ( không nhiều hơn ). WEP không được thiết kế như một giải pháp toàn diện cho mạng không dây và như chúng ta đã thấy , WEP cho một lượng lớn các thiếu sót, điều này làm cho nó dễ bị tấn công từ một vài nhóm tấn công nào đó. 2.1 Mã hóa WEP . a. Khuôn dạng hoạt động của WEP. Quá trình mã hóa luôn bắt đầu với một bản tin rõ (plantext) mà chúng ta muốn bảo vệ. Trước tiên WEP thực hiện kiểm tra CRC 32 bit trên bản tin. WEP gọi là đó là kiểm tra tính toàn vẹn và nối nó vào cuối bản tin rõ. Tiếp theo chúng ta lấy mã khóa bí mật và đặt nó vào cuối vector khởit tạo N. Tổ hợp chúng thành RC 4, bộ phát giải ngẫu nhiên và nó sẽ đưa ra một chuỗi mã keystream. Chuỗi khóa mã đơn thuần này là mỗi dẫy 0 và 1 , có độ dài bằng độ dài bản tin rõ cộng với tổ hợp CRC. Cuối cùng, chúng ta thực hiện toán tử XOR giữa ( bản tin rõ + tổ hợp CRC) và key stream- chuỗi mã khóa. Kết quả thu được bản tin mã. IV (chưa mã hóa) được đặt vào trước bản tin mã và như là một phần của dữ liệu phát. Hình 3.1 : Mã Hóa WEP Hình 3.2 là một cách nhìn khác với hoạt động trên . Trước tiên, chúng ta thực hiện kiểm tra tính toàn vẹn (CRC) và nối nó vào cuối bản tin. Sau đó chúng ta lấy toàn bộ bản tin rõ này và XOR nó với chuỗi khóa mã. Chuỗi khóa mã được tạo thành bằng viêc lấy khóa bí mật và nối nó vào vector khởi tạo rồi đặt vào bộ mã hóa RC4. Chú ý rằng , sau quá trình XOR hai giá trị, chúng ta thêm vector khởi tạo vào đầu bản tin mã. IV là bản rõ (không mã hóa) bởi vì chúng cần trong quá trình giải mã. Hình 3.2 Khung mã hóa WEP b. Giải mã bản tin WEP. Giải mã là một quá trình giống mã hóa nhưng ngược lại. Chúng ta lấy IV (nó được gửi như bản rõ) và nối chúng vào khóa bí mật rồi đưa vào cuối bộ mã hóa RC4 để tái tạo chuỗi mã khóa. Tiếp theo, chúng ta XOR chuỗi khóa mã với bản tin mã, và sau đó chúng ta thu được bản tin rõ. Cuối cùng , chúng ta thực hiện lại kiểm tra CRC – 32 trên bản tin rõ và đảm bảo rằng nó khớp với giá trị kiểm tra toàn vẹn dữ liệu trong bản tin rõ chưa mã hóa. Nếu việc kiểm tra không khớp, gói được giả thiết là đã bị nhiễu và bị loại bỏ . c. Vector khởi tạo IV. Một trong những thiếu sót trong việc thực hiện bộ mã hóa RC4 của WEP là thực tế giao thức 802.11 không chỉ định về tạo các IV như thế nào. Nhớ rằng các IV là các giá trị 24 bit đặt vào trước mã khóa bí mật và được sử dụng trong bộ mã hóa RC4. Lý do chúng ta có các IV là để đảm bảo yêu cầu là chúng ta không bao giờ dùng lại một mã khóa bí mật. Một vấn đề đối với WEP ở đây là không có một hướng dẫn nào về cách thực thi các IV. Chúng ta chọn các giá trị IV một cách ngẫu nhiên chăng? Hay chúng ta bắt đầu với 0 và tăng dần lên 1? Hay chúng ta bắt đầu từ 16777215 và giảm dần ? Do mỗi gói yêu cầu một khởi tạo độc nhất với RC4 , chúng ta có thể thấy rằng ở tốc độ cao , toàn bộ không gian IV 24 bit có thể chỉ được sử dụng khoảng vài giờ. Do đó , chúng ta buộc phải lặp lại các IV , và vi phạm vào một luật căn bản của RC4 là không bao giờ lặp lại các khóa. d. Bộ mã hóa luồng RC4. WEP sử dụng bộ mã hóa luồng RC4 của RSA. Đây là bộ mã hóa giống bộ mã hóa sử dụng trong các hệ thống bảo mật khác như SSL ( HTTPs). Vấn đề với WEP là một lần nữa, giao thức 802.11 không định nghĩa cách thực thi / bổ sung các IV. Như đã đề cập, khóa mã sử dụng bộ mã hóa RC4 là tổ hợp của một khóa bí mật chia sẻ và một IV. IV là một số nhị phân 24 bit . Rất nhiều nhà sản xuất sử dụng WEP 64 hay 128 bit. 2.2 Các vấn đề của WEP. a. Vấn đề quản lý khóa mã. WEP sử dụng một cơ chế mã khóa đối xứng, tức là sử dụng cùng mã khóa bí mật chia sẻ ở cả mã hóa và giải mã. Khóa mã phải được chia sẻ giữa bên gửi và bên nhận . Một vấn đề với giao thức 802.11 là nó không hướng dẫn về các vấn đề quản lý khóa mã : làm thế nào để phân phối khóa mã giữa những người dùng ? Điều này dường như không phải là một vấn đề khi chúng ta sử dụng WEP trong một môi trường với ba laptop , nhưng thực sự khó khăn khi chúng ta cố gắng triển khai WEP cho một khu vực khoảng 5000 client . Mỗi người sử dụng phải biết khóa mã và giữ bí mật về nó. Điều gì xẩy ra khi một người nào đó chạy khỏi công ty hay một laptop bị đánh cắp . Một mã khóa mới phải được đưa tới tất cả những người dùng đơn lẻ và phải thiết lập lại cấu hình của client. Hơn nữa , khi một kẻ tấn công xâm hại khóa mã trong một phiên , khóa mã giống như vậy có thể được sử dụng để giải mã trong một phiên khác, bời vì mọi người đều sử dụng cùng một khóa mã. b. Xung đột IV. Khi một IV được dùng lại, chúng ta gọi đó là xung đột. Khi xung đột xẩy ra , tổ hợp của khóa bí mật chia sẻ và IV lặp lại nên luồng khóa mã giống như luồng khóa mã đã được sử dụng trước đó. Do IV đươc gửi theo khuôn dạng không mã hóa , kẻ tấn công , người đang giư theo dõi tất cả các lưu lượng có thể xác định khi xẩy ra xung đột. Phần lớn các tấn công dựa trên các phát hiện các xung đột IV. Tấn công luồng khóa mã là một phương thức tìm luống khóa mã bằng cách phân tích hai gói xuất phát từ cùng một IV. Nói một cách đơn giản, XOR hai bản mã sẽ bằng với XOR hai bản rõ. Hình 3.3 : Tấn công luồng mã khóa Ở hình bên trái, chúng ta có 8 bit ( bản rõ 1) được XOR với luồng khóa mã, kết quả thu được bản mã 1. Ở hình trên bên phải , chúng ta có một bản rõ 8 bit khác ( bản rõ 2), nhưng được XOR với cùng luồng mã khóa, kết quả thu được bản mã 2. Chúng ta thấy rằng XOR hai bản mã với nhau cho chúng ta kết quả bằng với XOR hai bản rõ với nhau. Do đó , nếu cả hai bản mã được biết (có thể bắt được bằng sniffer) và một bản rõ được biết, sẽ tìm được bản rõ thứ 2. Có hai cách : thứ nhất, khi chúng ta có thể nhìn được máy đích từ một máy đích từ một máy trên internet ( hoặc mộtt host trên mạng LAN đích), chúng ta có thể gửi một gói tới mạng đích. Do nó được phát đi từ chúng ta, dung lượng gói bản rõ là đã biết. Chúng ta có thể xác định gói bằng cách bắt kích thước một gói không bình thường và tìm kích thước đó trong dữ liệu log sniffer của chúng ta. Một cách khác để tìm bản rõ của gói là dự đoán. Phần lớn các giao thức TCP/IP sử dụng các thủ tục bắt tay đã biết. Như DHCP, ARPX và các gói quảng bá khác sử dụng các tín hiệu không mã hóa. Nhớ rằng, các tấn công luồng khóa mã chí thực hiện được khi các IV bị lập lại. Đây là lỗ hổng chủ yếu trong thực hiện WEP. Bởi vì chuẩn không định nghĩa cách cung cấp IV, chúng thường bị lặp lại và hoàn toàn có thể chấp nhận lặp lại chúng. Trên thực tế, để một AP vẫn tuân theo chuẩn, nó phải chấp nhận các IV được dùng lại. Điều này vi phạm tới nguyên tắc cơ bản của RC4 : không an toàn khi thực hiện dùng lại khóa mã , các khóa không bao giờ được dùng lại hay lặp lại. 2.3 Các phương thức phá khóa mã WEP. a. Nội suy bản tin. Khi một luồng khóa mã được biết , một bản tin mới có thể được xây dựng bằng một bản rõ mới và XOR nó với luồng khóa mã đã biết để tạo bản tin mã mới được giả mạo. Hơn nữa , do chuẩn 802.11 không yêu cầu IV phải thay đổi với tất cả gói tín, mỗi thiết bị phải chấp nhận các IV dùng lại. Ví dụ , cho rằng chúng ta biết rõ và bản mã của một bản tin cụ thể. Chúng ta có thể sử dụng thông tin này để tìm luồng khóa mã. Hình 3.4 : Tìm luồng khóa mã Sử dụng luồng khóa mã, chúng ta có thể thu được bản rõ của chính chúng ta và sử dụng luồng khóa mã để tạo bản tin mã hóa mới. Gói này có thể sao đó được đưa giả mạo vào mạng và được giải mã ở mách đích như một gói WEP hợp lệ. Hình 3.5: Giả mạo bản tin mới. b. Giả mạo xác thực. Một cách khác tấn cong nội suy gói là giả mạo xác thực. Để hiểu cách thức tấn công này làm việc như thế nào, hãy có một cách nhìn khác với tiến trình xác thực khóa chia sẻ : Bước 1 : Client gửi một yêu cầu xác thực tới AP. Bước 2 : AP gửi tới client 128 byte dữ liệu thử. Bước 3 : Client mã hóa dữ liệu thư với khóa mã WEP của nó và gửi trở lại AP. Bước 4 : AP sử dụng thông tin đã biết của mã khóa WEP để xác nhận bản tin này và xác định client có thực sự biết khóa mã bí mật chia sẻ không . Bước 5 : AP gửi lại cho client bản tin thành công hay thất bại . Vấn đề ở đây nếu kẻ tấn công có thể theo dõi tiến trình này này, hắn sẽ biết được bản rõ ( dữ liệu thử ) và bản mã tương ứng của nó ( dữ liệu trả về ) . Sử dụng hệ phương pháp tấn công nội suy bản tin, kẻ tấn công có thể tìm được luồng khóa mã, yêu cầu xác thực từ AP, và sử dụng luồng khóa mã này trên dữ liệu thư để tạo một đáp ứng hợp lệ. Kẻ tấn công sau đó được AP xác thực mặc dầu hắn không hề biết khóa mã WEP. Kiểu tấn công này thực hiện được bởi dữ liệu luôn là 128bytes và hơn nữa IV có thể bị lặp lại và được dùng lại. c.Tấn công tiến trình lặp. Một cách khác để xác định khóa mã WEP là sử dụng lặp tiến trình. Phần bí mật chia sẻ của khóa mã WEP là 40bit hoặc 104 bit, phụ thuộc vào độ dài khóa mã mà cũng ta đang sử dụng. Nhà nghiên cứu bảo mật Tim New Sham phát hiện ra rằng các bộ phát khóa mã từ một số nhà cung cấp là không hoàn thiện . Tấn công lặp tiến trình trên khóa mã 40bit sử dụng bộ phát khóa mã yếu có thể thực hiện crack trong vòng 1 phút. Bọ phát khóa mã cho phép người dùng nhập một cụm pass đơn giản để tạo khóa mã, thay việc nhập khóa mã thủ công bằng chuỗi số cơ số 16 . Bí mật khóa mã chia sẻ WEP 40 bit yêu cầu 10 số cơ số 16, còn bí mật khóa mã chia sẻ WEP 104 bit yêu cầu 26 số cơ số 16. Để tiện dụng , một số nhà cung cấp cho phép chúng ta nhập một cụm pass ở ASCII và từ đó, tạo ra 10 hay 26 số cơ số 16 của chúng. Việc sử dụng bộ phát khóa mã là hoàn toàn riêng biệt / cá nhân và không theo một chuẩn nào cả. Tuy nhiên , chú ý rằng vài nhà cung cấp khác nhau cùng sử dụng một thuật toán tạo khóa mã. Tim New Sham phát hiện ra rằng có một số vấn đề với các bộ phát khóa mã của vài nhà cung cấp. Trong một ví dụ, anh ta đã đề cập tới khóa mã 40 bit, phần của tiến trình phát khóa mã bao gồm 32 bit khởi đầu được dùng trong PRNG. Bởi vì bit cao nhất của mỗi ký tự ASCII luôn là 0 và bộ phát khóa mã dựa trên việc XOR các giá trị ASCII , Tim phát hiện ra thay cho 00 : 00 : 00 : 00 ÷ ff : ff : ff : ff ( 32) bit ) khởi đầu có thể, chỉ các giá trị 00 00 00 00 _ 00 ff ff ff được xem xét. Điều này giảm entropy thực tế của PRNG tới 21 bit. Sử dụng 1 laptop PIII 500 thực hiện 60.000 dự đoán mỗi giây, New Sham có thể crack khóa mã WEP 40 bit từ bộ phát khóa mã trong 35 giây. Bài học từ chuyện này là : không sử dụng các bộ phát khóa mã. Nhập khóa mã WEP của chúng ta với các số cơ số 16 một cách thủ công. Nếu thực hiện theo cách này, một khóa mã WEP sẽ phải mất 210 ngày để crack ( là một thao tác khó khăn quá mức khi tấn công bằng Cluster limix). Như một sự chọn lựa, chúng ta có thể thực hiện WEP 104 bit. Tim lưu ý rằng bộ phát khóa mã WEP 104 bit không có lỗi. Nó dựa trên bảng băm MD-5 của cụm pass. Anh ta ước chừng dùng lặp tiến trình với khóa mã này cần 1019 năm. Rõ ràng , tấn công lặp tiến trình với khóa mã 104 bit là thao tác khó khăn hơn nhiều so với khóa mã 40 bit. Khi sử dụng WEP, luôn triển khai với kích thước khóa mã lớn nhất có thể. d. Tấn công FMS. Tấn công FMS, dựa trên một cách khác, dựa vào việc bắt một lượng khổng lồ lưu lượng mã hóa , sau đố sử dụng công suất rất nhỏ CPU để dùng thuật toán XS để crack khóa mã. Trong thực tế crack FMS gần như ngang bằng , có nghĩa là việc crack khóa mã 128-bit chỉ dài hơn không đáng kể so với crack khóa mã 64 bit, khi chúng ta đã bắt đủ khóa mã yếu. Vấn đề đối với FMS là bắt đủ dữ liệu mã hóa để crack khóa mã. Trong một mạng lưu lượng cao, điều này có thể hoàn thành sau khoảng vài giờ. Tuy nhiên , trong một môi trường lưu lượng thấp , tiến trình này có thể mất vài ngày hoặc vài tuần . Để crack khóa mã WEP sử dụng FMS , một số kẻ tấn công kiên nhẫn và âm thầm thường xuyên sử dụng các công cụ như AirSnort trên PDA và đặt nó trong nhưng bụi cây gần AP vài ngày. Những kẻ tấn công khác đã phát triển những kỹ thuật khôn ngoan hơn để giả tạo lưu lượng mạng phát ra nhằm thu được đủ bản mã để crack khóa mã. Một kỹ thuật giả mạo gói có thể thực hiện như sau : kẻ tấn công sẽ bắt lưu lượng mã hóa và tìm kiếm giao thức thỏa thuận dựa trên kích thước gói bắt được. Ví dụ , một yêu cầu ARP có kích thước 28 bytes. Trong khi bắt lưu lượng , kẻ tấn công giả mạo lại gói mã hóa (ARP ) hết lần này tới lần khác. Đáp ứng ARP sẽ phát ra những lưu lượng mới, dẫn tới khả năng phát đủ lưu lượng cho tấn công thành công FMS trong khoảng 1 giờ. Hình 3.6 : Tấn công thông qua bắt các gói tin mã hóa hợp lệ với giả mạo ARP Hình 3.7 : Tấn công bắt lưu lượng đáp ứng ARP thông qua việc liên tục gửi tín hiệu từ chối. 3.Các phương thức tấn công mạng không dây. 3.1 Tấn công thụ động . Nguy cơ tấn công thụ động là trạng thái khi kẻ tấn cong không tấn công trực tiếp vào mạng hay lưu lượng mà lấy những thông tin cho lợi ích cá nhân hoặc mục tiêu tấn công trong tương lai. Có một số nguy cơ tấn công thụ động được mô tả dưới đây. a. Nghe lén . Đây là một nguy cơ tấn công bảo mật thông thường gặp phải. Trong tấn công này, kẻ tấn công lắng nghe những thông tin không được phép. Những thông tin này có thể bao gồm khóa mã trong phiên được sử dụng để mã hóa dữ liệu hay thông tin trong toàn bộ phiên. Như đã biết khoảng cách truyền dẫn của các mạng WLAN thường giới hạn vài trăm mét, giới hạn này dựa trên việc sử dụng các anten nhỏ có trong các PC card và các anten của các AP trong mạng. Khi các anten có đội nhậy cao hơn được sử dụng, khả năng thu được truyền phát tần số radio của WLAN từ khoảng cách đáng kể. Trong thực tế, một số loại anten có độ nhậy đẳng hướng cao có thể thu được tín hiệu cách vài dặm. Do sự rò rỉ RF này một số kẻ tấn công có thể theo dõi truyền phát mạng không dây thông qua anten nghe lén từ ngoài. Có thể thông qua việc bắt lưu lượng phá khóa bảo mật và thâm nhập hệ thống. b.Phân tích lưu lượng. Đây là một dạng tấn công thụ động tinh vi. Có thể tồn tại các thời điểm kẻ tấn công biết được vị trí và nhận dạng được các thiết bị người dùng. Từ đó thông qua một số công cụ nắm bắt và phân tích lưu lượng truyền phát. Kẻ tấn công có thể chỉ yêu cầu thông tin như bản tin vừa được gửi, ai gửi bản tin cho ai , và tần số hoặc kích thước bản tin. Nguy cơ tấn công này gọi là phân tích lưu lượng. 3.2 Tấn công chủ dộng. Nguy cơ tấn công chủ động xẩy ra khi kẻ tấn công tấn công trực tiếp vào lưu lượng và mạng, gây ra thay đổi về mạng, dữ liệu… a. Giả mạo người dùng. Đây là tấn công trong đó kẻ tấn công giả mạo thành người dùng tin cậy. Khi nghe lén được truyền dẫn WLAN , kẻ tấn công có khả năng trở thành người dùng hợp pháp mạng. Việc giả mạo vô cùng nguy hiểm với mạng khi tạo ra một lỗ hổng với tài nguyên mạng. Khả năng một người dùng trái phép giả mạo người dùng hợp pháp trong mạng không dây có thể rất lớn đơn giản hoặc phức tạp tùy vào mức độ bảo mật của hệ thống. Nếu WLAN không thực hiện phương thức bảo mật nào, rất đơn giản cho kẻ tấn công công xác định SSID được sử dụng bới AP và xâm nhập vào mạng. Nếu mạng có kích hoạt WEP vấn đề trở nên phức tạp hơn, nhưng như đã nói ở trên, WEP dễ dàng bị phá khóa mã thông qua việc theo dõi và nắm bắt lưu lượng . Mức độ bảo mật càng cao thì càng khó khăn cho kẻ tấn công giả mạo. Do đó , đối với mạng cần sử dụng các cơ chế xác thực và cấp quyền. b. Thay đổi dữ liệu. Tấn công thay đổi dữ liệu là một trong những tấn công nguy hiểm nhất đối với WLAN. Vấn đề nghiêm trọng xẩy ra khi người nhận không phát hiện được các dữ liệu nhận được đã bị thay đổi. Điều này dẫn tới khả năng kẻ tấn công có thể gây tổn hại thiết bị người dùng cũng như mạng. Tấn công thay dổi dữ liệu có thể đựa trên IV sử dụng trong các WLAN là CRC-32 . CRC32 tuyến tính tương ứng với đảo bit. Khi đó kẻ tấn công thay đổi dữ liệu trong khung và thay đổi IV để phía nhận không thể phát hiện. c. Truy nhập điều khiển quản lý. Một phương thức tấn công khác là sử dụng duyệt WEB hay telnet để truy cập điều khiển quản lý của AP. Hầu hết các AP đều có một điều khiển quản lý cho phép hiển thị và thay đổi cấu hình của AP. Đối với một AP thông thường có thể sử dụng cổng nối tiếp, SNMP , trình duyêt WEB và Telnetl để truy nhập điều khiển quản lý của thiết bị. Bởi vì hầu hết các AP hỗ trợ DHCP mặc định sử dụng các khối địa chỉ RFC 1918 xác định trước nên không khó để xác định. Trong thực tế khi truy cập tới trang Web sản phẩm, chúng ta có thể xem thông tin sản phẩm và tìm được địa chỉ IP mặc định của nó. Nếu địa chỉ IP mặc định của một router không dây là 192.168.123.254 . Mặc dù được thay đổi địa chỉ IP, nhưng do thiết bị chỉ hỗ trợ các địa chỉ trong dải 192.168.123.x nên kẻ tấn công có thể quét từ 192.168.123.1 đến 192.168.123.254 để xác định router không dây. Sau khi xác định được địa chỉ IP của điều khiển, kẻ tấn công có thể cố gắng thử xâm nhập bằng password mặc định của thiết bị hoặc thông qua tấn công bằng từ điển. Nếu việc quản lý thiết bị cẩu thả tiến trình xâm nhập có thể rất đơn giản và khi đó kẻ tấn công nắm được quyền điều khiển toàn bộ hay một phần của mạng. d. Tấn công ARP. Giao thức giải pháp địa chỉ ARP cho phép các đối tượng Ethernet sử dụng TCP/IP như là giao thức truyền thống của chúng để phân biệt với các đối tượng khác trên mạng có địa chỉ IP. Giống như NetBIOS, nó là phương thức cho phép quảng bá lưu lượng giữa tất cả các host khi một gói riêng biệt chỉ có nghĩa với host trong mạng, ARP quảng bá yêu cầu để xác định host riêng biệt này bằng cách sử dụng địa chỉ IP. Host nhận bản tin và báo nhận , và máy khởi đầu lưu giữ địa chỉ MAC của máy đáp ứng trong cache của nó, các truyền dẫn trong tương lai tới host này không cần yêu cầu kiếm địa chỉ IP nào nữa. Vấn đề là các hệ điều hành không hoàn toàn chấp nhận quảng bá ARP và nhận ra nó. Khi một máy phát hiện một gói gửi từ một máy riêng biệt trong mạng, nó giả thiết rằng địa chỉ MAC của máy này tương ứng chính xác với địa chỉ IP từ máy gửi là tự phát. Tất cả truyền phát trong tương lai sử dụng IP này . Khi kẻ tấn công tạo những gói không hợp pháp với địa chỉ IP giả mạo, khi đó IP này thuộc về MAC của chính hắn. Sau đó tất cả các truyền dẫn từ các host sẽ sử dụng đườn