Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

802.1x, Chuẩn Bảo Mật Cho Mạng Không Dây

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • 802.1x, Chuẩn Bảo Mật Cho Mạng Không Dây

    VẤN ĐỀ BẢO MẬT VÀ CHUẨN 802.1X

    Đề cập vấn đề:
    Hiện nay mạng không dây ở nước ta đang dần phát triển, tuy nhiên các biện pháp bảo mật cho nó thì chưa được đầu tư nghiên cứu một cách thích đáng, hầu hết các thiết bị vẫn để ở chế độ public, hoặc cùng lắm thì sử dụng các cơ chế bảo mật sẵn có.
    Chúng ta mới chỉ dừng lại ở việc áp dụng cơ chế bảo mật trên từng AP, chủ yếu là dùng bảo mật WEP, lọc MAC, mà chưa áp dụng các biện pháp bảo mật tổng thể trên toàn hệ thống.
    Trong phần này chúng ta xẽ xem qua những nhược điểm tồn tại trong các chuẩn bảo mật trên và đi vào nghiên cứu chi tiết chuẩn bảo mật tiên tiến 802.1x với sự hỗ trợ của EAP và LEAP.
    I/ Các mối đe dọa cho vấn đề bảo mật trên WLAN
    Môi trường không dây là một môi trường sóng vì vậy vấn đề bảo mật lớp vật lí là một vấn đề làm đau đầu bao nhà quản lí. Bất kỳ một mạng không dây nào đều có thể gặp phải các mối đe dọa sau, nhất là ở Việt Nam, khi mà vấn đề bảo mật mạng không dây còn chưa chú trọng thì nhiều khi chỉ một hành động đơn giản cũng đem lại thiệt hại to lớn
    Một sự tấn công cố ý có thể gây vô hiệu hóa hoặc có thể tìm cách truy nhập WLAN trái phép theo một vài cách.
    - Tấn công bị động (Nghe trộm) Passive attacks
    - Tấn công chủ động (kết nối, dò và cấu hình mạng) Active attacks
    - Tấn công kiểu chèn ép, Jamming attacks
    - Tấn công theo kiểu thu hút, Man-in-the-middle attacks
    - Tấn công từ chối dịch vụ, DOS
    1. Tấn công bị động
    Nghe trộm có lẽ là phương pháp đơn giản nhất, tuy nhiên nó vẫn có hiệu quả đối với WLAN. Tấn công bị động như một cuộc nghe trộm, mà không phát hiện được sự có mặt của người nghe trộm (hacker) trên hoặc gần mạng khi hacker không thực sự kết nối tới AP để lắng nghe các gói tin truyền qua phân đoạn mạng không dây. Những thiết bị phân tích mạng hoặc những ứng dụng khác được sử dụng để lấy thông tin của WLAN từ một khoảng cách với một anten hướng tính

    Tấn công bị động
    Phương pháp này cho phép hacker giữ khoảng cách thuận lợi không để bị phát hiện, nghe và thu nhặt thông tin quý giá.

    Quá trình lấy chìa khóa WEP
    Có những ứng dụng có khả năng lấy pass từ các Site HTTP, email, các instant messenger, các phiên FTP, các phiên telnet mà được gửi dưới dạng text không được mã hóa. Có những ứng dụng khác có thể lấy pass trên những phân đoạn mạng không dây giữa Client và Server cho mục đích truy nhập mạng.
    2. Tấn công chủ động
    Bằng các tools, cũng như việc nghe lén thông tin truyền giữa Client và AP, các thiết bị phân tích có thể lấy được một số thông tin như địa chỉ MAC, WEP key, v.v. do những thông tin này thường được trao đổi dưới dạng Clear text, khi đó chúng có thể đóng vai trò như một thành viên hợp pháp, thâm nhập vào mạng, thay đổi các thông số, lấy các thông tin cá nhân cũng như của các tổ chức, v.v. hoặc đơn giản chỉ là gử một vài spam chứa virus.


    Tấn công chủ động
    3. Tấn công theo kiểu chèn ép
    Trong khi một hacker sử dụng phương pháp tấn công bị động, chủ động để lấy thông tin từ việc truy cập tới mạng của bạn, tấn công theo kiểu chèn ép, Jamming, là một kỹ thuật sử dụng đơn giản để “đóng” mạng của bạn.
    Mạng không dây sử dụng tín hiệu sóng truyền trên không khí, nên chỉ cần một thiết bị phát tín hiệu cùng tần số và có công suất phát lớn, là đã có thể làm nhiễu, thậm chí làm sập hoàn toàn mạng không dây của bạn. Đôi khi vấn đề này xảy ra hoàn toàn vô tình do vấn đề quản lí tần số không tốt.


    Tấn công theo kiểu chèn ép

    4. Tấn công bằng cách thu hút
    Kiểu tấn công này, Man-in-the-middle Attacks, được thực hiện đơn giản với một thiết bị không dây nằm trong suốt ở giữa Client và AP.


    Man-in-the-middle attacks
    Để các client liên kết với AP trái phép thì công suất của AP đó phải cao hơn nhiều của các AP khác trong khu vực và đôi khi phải là nguyên nhân tích cực cho các user truy nhập tới. Việc mất kết nối với AP hợp pháp có thể như là một việc tình cờ trong quá trình vào mạng, và một vài client sẽ kết nối tới AP trái phép một cách ngẫu nhiên.
    Người thực hiện man-in-the-middle attack trước tiên phải biết SSID mà client sử dụng, và phải biết WEP key của mạng, nếu nó đang được sử dụng.
    Kết nối ngược (hướng về phía mạng lõi) từ AP trái phép được điều khiển thông qua một thiết bị client như là PC card, hoặc workgroup bridge. Nhiều khi man-in-the-middle attack được sắp đặt sử dụng một laptop với hai PCMCIA card. Phần mềm AP chạy trên một laptop mà ở đó một PC card được sử dụng như là một AP và PC card thứ hai được dùng để kết nối laptop tới AP hợp pháp. Kiểu cấu hình này làm laptop thành một “man-in-the-middle attack” vận hành giữa client và AP hợp pháp. Một hacker theo kiểu man-in-the-middle attack có thể lấy được các thông tin có giá trị bằng cách chạy một chương trình phân tích mạng trên laptop trong trường hợp này.

    Trước cuộc tấn công Và sau cuộc tấn công

    II/ Các biện pháp bảo mật thông dụng, ưu và nhược:
    1. Chứng thực qua hệ thống mở (Open Authentication)
    Đây là hình thức chứng thực qua việc xác định chính xác SSIDs (Service Set Identifiers). Là một biện pháp đơn giản nhất và đương nhiên cũng dễ bị phá nhất.
    2. Chứng thực qua khoá chia sẻ (Shared-key Authentication)
    Là kiểu chứng thực cho phép kiểm tra xem một khách hàng không dây đang được chứng thực có biết về bí mật chung không. Điều này tương tự với khoá chứng thực đã được chia sẻ trước trong Bảo mật IP ( IPSec ). Chuẩn 802.11 hiện nay giả thiết rằng Khoá dùng chung được phân phối đến các tất cả các khách hàng đầu cuối thông qua một kênh bảo mật riêng, độc lập với tất cả các kênh khác của IEEE 802.11. Tuy nhiên, hình thức chứng thực qua Khoá chia sẻ nói chung là không an toàn và không được khuyến nghị sử dụng.
    3. Bảo mật dữ liệu thông qua WEP (Wired Equivalent Privacy) Với thuộc tính cố hữu của mạng không dây, truy nhập an toàn tại lớp vật lý đến mạng không dây là một vấn đề tương đối khó khăn. Bởi vì không cần đến một cổng vật lý riêng, bất cứ người nào trong phạm vi của một điểm truy nhập dịch vụ không dây cũng có thể gửi và nhận khung cũng như theo dõi các khung đang được gửi khác. Chính vì thế WEP (được định nghĩa bởi chuẩn IEEE 802.11) được xây dựng với mục đích cung cấp mức bảo mật dữ liệu tương đương với các mạng có dây. WEP key là một khóa tĩnh. Nếu không có WEP, việc nghe trộm và phát hiện gói từ xa sẽ trở nên rất dễ dàng. WEP cung cấp các dịch vụ bảo mật dữ liệu bằng cách mã hoá dữ liệu được gửi giữa các node không dây. Mã hoá WEP dùng luồng mật mã đối xứng RC4 với từ khoá dài 40 bit hoặc104 bit. WEP cung cấp độ toàn vẹn của dữ liệu từ các lỗi ngẫu nhiên bằng cách gộp một giá trị kiểm tra độ toàn vẹn (ICV - Integrity Check Value) vào phần được mã hoá của khung truyền không dây. Việc xác định và phân phối các chìa khoá WEP không được định nghĩa và phải được phân phối thông qua một kênh an toàn và độc lập với 802.11.
    III/ Chuẩn bảo mật 802.1x &EAP
    Nhằm khắc phục các nhược điểm trên, như chìa khóa là tĩnh, mật khẩu được gửi dưới dạng Clear text trên môi trường truyền, quản lí chìa khóa không tập trung, tấn công giả mạo, v.v. chuẩn 802.1x với khả năng mở rộng của EAP và tính tối ưu của LEAP đã được nghiên cứu và đưa ra sử dụng.
    Nếu như các chuẩn khác không có sự phân biệt các giao thức truy cập, thì chuẩn 802.1x cung cấp những chi tiết kỹ thuật cho phép điều khiển truy nhập cổng. Sự điều khiển truy nhập thông qua những cổng cơ bản được khởi đầu, và vẫn đang được sử dụng với chuyển mạch Ethernet. Khi người dùng thử nối tới port mong muốn, cổng đó sẽ tạm thời ở trạng thái khóa và chờ đợi sự xác nhận người sử dụng của hệ thống chứng thực.
    Giao thức 802.1x đã được kết hợp vào trong hệ thống WLAN và gần như trở thành một chuẩn giữa những nhà cung cấp. Khi được kết hợp giao thức chứng thực mở (EAP), 802.1x có thể cung cấp một sơ đồ chứng thực trên một môi trường an toàn và linh hoạt.
    Giao thức 802.1x đảm bảo các tính chất sau:






    1. Đảm bảo tính tin cậy
    Hầu hết thông tin trao đổi trong mạng đều được mã hóa, kể cả các thông tin về mật khẩu ban đầu, ngoài ra giao thức này còn tránh việc giả mạo thông qua cơ chế chứng thực lẫn nhau giữa Client và Server. v.v. (sẽ được làm rõ hơn trong phần AAA). Các phương pháp mã hóa được áp dụng như là SSH (Secure Shell), SSL (Secure Sockets Layer) hoặc IPSec
    2. Đảm bảo tính toàn vẹn:
    Giao thức sử dụng các phương thức kiểm tra như Checksum, hoặc Cyclic Redundancy Checks (CRCs) để kiểm tra tính toàn vẹn dữ liệu, bên cạnh đó nó cũng sử dụng các thuật toán hóa MD5 và RC4 để đảm bảo sự toàn vẹn này.
    3. Đảm bảo tính sẵn sàng:
    Chuẩn này luôn luôn cập nhật với sự phát triển của thiết bị cung như luôn cập nhật các vấn đề phát sinh mới nhất để luôn đảm bảo sẵn sàng mà không gặp phải trở ngại nào cũng như luôn tương thích với các thiết bị hiện có.
    4. Cơ chế xác thực:
    Với sự kết hợp giữa cơ chế chứng thực động và quản lí chìa khóa tập trung, 802.1x đã khắc phục được hầu hết các vấn đề còn tồn tại của các giao thức khác.
    EAP, được định nghĩa trước tiên cho giao thức point-to-point (PPP), là một giao thức để chuyển đổi một phương pháp chứng thực. EAP được định nghĩa trong RFC 2284 và định nghĩa những đặc trưng của phương pháp chứng thực, bao gồm những vấn đề người sử dụng được yêu cầu (password, certificate, v.v), giao thức được sử dụng (MD5, TLS, GMS, OTP, v.v), hỗ trợ sinh chìa khóa tự động và hỗ trợ sự chứng thực lẫn nhau.
    Nếu WEP tồn tại điểm yếu là xác thực một bước và xác thực khóa chia sẻ
    Một quá trình chứng thực khóa chia sẻ xảy ra theo các bước sau:
    1. Một clien gửi yêu cầu liên kết tới AP.
    2. AP gửi một đoạn văn bản ngẫu nhiên tới Client, văn bản này chưa được mã hóa, dài 128 octets, và yêu cầu Client dùng chìa khóa WEP của nó để mã hóa.
    3. Clien mã hóa văn bản với chìa khóa WEP của nó và gửi văn bản đã được mã hóa đó đến AP.
    4. AP sẽ thử giải mã văn bản đó, để xác định xem chìa khóa WEP của Client có hợp lệ không, nếu có thì nó gửi một trả lời cho phép, còn nếu không, thì nó trả lời bằng một thông báo không cho phép Client đó liên kết.


    Trong phương pháp này tồn tại một số vấn đề: chìa khóa Wep được dùng cho hai mục đích, để chứng thực và để mã hóa dữ liệu, đây chính là kẽ hở để hacker có cơ hội thâm nhập mạng. Hacker sẽ thu cả hai tín hiệu, văn bản chưa mã hóa do AP gửi và văn bản đã mã hóa, do Client gửi, và từ hai thông tin đó hacker có thể giải mã ra được chìa khóa WEP.

    Hơn thế chìa khóa WEP là cố định, không thay đổi trong tất cả các lần liên kết, lại không có cơ chế xác thực lẫn nhau, do đó dễ bị lộ key và dễ bị tấn công theo kiểu man-in-the-middle.
    Thì chuẩn 802.1x đã khắc phục bằng mô hình chứng thực tập trung và chứng thực lẫn nhau thông qua việc sử dụng
    • RADIUS (Remote Access Dial-In User Service).
    • Bảo vệ khóa key bằng cách sử dụng cơ chế bắt tay một bước (one-way hashes).
    • Chính sách xác thực nhắc lại một cách thường xuyên, tạo các chìa khóa mới cho các phiên xác thực mới
    • Thay đổi vector khởi tạo (IV) trong mã hóa WEP
    Mô hình chứng thực 802.1x-EAP thành công thực hiện như sau:



    Quá trình chứng thực 802.1x-EAP
    Wireless client muốn liên kết với một AP trong mạng.
    1. AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng, khi đó Client yêu cầu liên kết tới AP
    2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP
    3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP
    4. Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng thực
    5. Server chứng thực gửi một yêu cầu cho phép tới AP
    6. AP chuyển yêu cầu cho phép tới client
    7. Client gửi trả lời sự cấp phép EAP tới AP
    8. AP chuyển sự trả lời đó tới Server chứng thực
    9. Server chứng thực gửi một thông báo thành công EAP tới AP
    10. AP chuyển thông báo thành công tới client và đặt cổng của client trong chế độ forward.
    Khi hỗ trợ khản năng chứng thực lẫn nhau, thì quá trình trên tiếp tục xảy ra nhưng với chiều ngược lại.
    Trong quá trình xác thực trên có một số vấn đề cần xem xét: tạo chìa khóa theo phiên và quản lí chìa khóa tập trung.
    Sinh chìa khóa động
    Để tránh việc giả mạo, mỗi một phiên kết nối với một client sẽ được RADIUS server cấp cho một key riêng, session key. Khi truyền key này cho Client, để tránh việc nghe trộm do gửi thông tin clear text, AP sẽ mã hóa session key này, và client sẽ dùng key của mình để giải mã, lấy session key cho mình.
    Tất cả các session key này đều được sinh bởi RADIUS server thông qua một thuật toán nào đó. Có khi mỗi phiên liên kết chỉ có một Key, nhưng bạn cũng có thể thiết lập trên RADIUS server để tạo các chu kỳ xác thực theo yêu cầu của bạn. Theo cơ chế này, RADIUS sẽ định kỳ xác thực client, do đó tránh được truy cập mạng do vô tình.
    Quản lí chìa khóa tập trung
    Ngoài ra với những mạng WLAN quy mô lớn sử dụng WEP như một phương pháp bảo mật căn bản, server quản lý chìa khóa mã hóa tập trung nên được sử dụng vì những lí do sau:
    - Quản lí sinh chìa khóa tập trung
    - Quản lí việc phân bố chìa khóa một cách tập trung
    - Thay đổi chìa khóa luân phiên
    - Giảm bớt công việc cho nhà quản lý
    Bình thường, khi sử dụng WEP, những chìa khóa (được tạo bởi người quản trị) thường được nhập bằng tay vào trong các trạm và các AP. Khi sử dụng server quản lý chìa khóa mã hóa tập trung, một quá trình tự động giữa các trạm, AP và server quản lý sẽ thực hiện việc trao các chìa khóa WEP. Hình sau mô tả cách thiết lập một hệ thống như vậy

    Topo mạng quản lý chìa khóa mã hóa tập trung
    Server quản lý chìa khóa mã hóa tập trung cho phép sinh chìa khóa trên mỗi gói, mỗi phiên, hoặc các phương pháp khác, phụ thuộc vào sự thực hiện của các nhà sản xuất.
    Phân phối chìa khóa WEP trên mỗi gói, mỗi chìa khóa mới sẽ được gán vào phần cuối của các kết nối cho mỗi gói được gửi, trong khi đó, phân phối chìa khóa WEP trên mỗi phiên sử dụng một chìa khóa mới cho mỗi một phiên mới giữa các node.
    Với những cải tiến của chuẩn 802.1x, các client được xác định thông qua usernames, thay vì địa chỉ MAC như các chuẩn trước đó. Nó không những tăng cường khả năng bảo mật mà còn làm cho quá trình AAA (Authentication, Authorization, and Accountting) hiệu quả hơn. Điều này sẽ được nhắc lại trong phần sau: về Authorization.
    Như bên trên đã đề cập, nếu không có sự xác thực lẫn nhau thì việc một client lầm tưởng một AP giả mạo là AP hợp pháp là điều hoàn toàn có thể xảy ra, Man-inthe-middle Attacks
    Mô hình mạng sử dụng RADIUS server như trên đã khắc phục được điều đó thông qua việc xác thực ngược giữa Client và AP.
    Thực tế quá trình xác thực xảy ra theo 3 pha, pha khởi đầu, pha chứng thực và pha kết thúc.
    Trong đó pha chứng thực với sự tham gia của RADIUS server cho phép hệ thống phân quyền người sử dụng thông qua các chính sách cài đặt trên server dựa trên tài khoản của người dùng. Nếu việc xác thực thông qua địa chỉ vật lý, MAC, chỉ là xác thực về mặt thiết bị, tức là không có sự phân quyền cho người dùng, thì xác thực dựa trên tên và mật khẩu cho phép chúng ta phân quyền người dùng. Vấn đề cấp quyền, Authorization, tùy thuộc chính sách của người quản trị, có thể phân quyền theo giao thức, thông qua cổng, theo phạm vi dữ liệu, hoặc theo sự phân cấp về người dùng, admin, mod, member, v.v.
    Thông qua việc quản lí và cấp quyền nói trên, người quản trị hoàn toàn có thể ghi lại được vết của người sử dụng, theo dõi các trang, thư mục cũng như ghi lại được tất cả quá trình truy cập của người dùng.
    5. Một số phương pháp bảo mật khác do 802.1x đem lại
    Do chuẩn 802.1x dựa trên cơ sở điều khiển truy cập trên các port, nên ngoài các phương pháp bảo mật chung, 802.1x còn đem lại một số phương pháp tiên tiến, như cơ chế lọc (Filtering).
    Ngoài việc thực hiện lọc SSID và MAC như các chuẩn bảo mật khác, 802.1x còn hỗ trợ khả năng lọc giao thức. Mạng Lan không dây có thể lọc các gói đi qua mạng dựa trên các giao thức lớp 2-7. Trong nhiều trường hợp, các nhà sản xuất làm các bộ lọc giao thức có thể định hình độc lập cho cả những đoạn mạng hữu tuyến và vô tuyến của AP.


    Lọc giao thức

    IV/ Một số chính sách bảo mật:
    Mặc dù theo nghiên cứu trên thì 802.1x là một chuẩn bảo mật khá an toàn, tuy nhiên nó vẫn tồn tại những nhược điểm của nó, nó vẫn chưa thể chống lại sự tấn công DOS, một số đặc tính lại yêu cầu đặc biệt về thiết bị phần cứng, do đó việc tất yếu là phải kết hợp các phương pháp bảo mật với nhau, đồng thời với việc đưa ra các chính sách bảo mật hợp lí.
    Theo các vần đề trên thì một số chính sách mà bản thân 802.1x đã đưa ra nhằm khắc phục những nhược điểm của mình là: bảo mật về mặt thiết bị vật lí, phân cấp quyền hợp lí, luôn bật tính năng tối ưu nhất, do mọi tính năng hầu như đều có thể enable hoặc disable. Sử dụng các thiểt bị quét phổ để xác định các thiết bị nghe trộm, cung như xác định công suất phát hợp lí để tránh tín hiệu sóng bị rò rỉ ra ngoài phạm vi cần thiết.
    Bên cạnh đó cũng có thể tích hợp công nghệ VPN để bảo mật cho kết nối WLAN. Khi VPN server được tích hợp vào AP, các client sử dụng phần mềm VPN client, sử dụng các giao thức như PPTP hoặc Ipsec để hình thành một đường hầm trực tiếp tới AP.
    Trước tiên client liên kết tới điểm truy nhập, sau đó quay số kết nối VPN, được yêu cầu thực hiện để client đi qua được AP. Tất cả lưu lượng được qua thông qua đường hầm, và có thể được mã hóa để thêm một lớp an toàn.


    Wireless VPN
    Sự sử dụng Ipsec với những bí mật dùng chung hoặc những sự cho phép là giải pháp chung của sự lựa chọn giữa những kỹ năng bảo mật trong phạm vi hoạt động này. Khi VPN server được tích hợp vào trong một Gateway, quá trình xảy ra tương tự, chỉ có điều sau khi client liên kết với AP, đường hầm VPN được thiết lập với thiết bị gateway thay vì với bản thân AP.
    The Mumble Fund
    Hanh trinh noi nhung vong tay.

    Vui long vao:
    http://groups.google.com.vn/group/tinhnguyen_vietnam hoac lien he Nguyen Huy Bac: 093 668 9866
    De cung ket noi.
    Yahoo: huybac_nguyen
    Mail: huybac.nguyen@gmail.com
    Techcombank: 13320037822012
    Vietcombank: 0611001454910

    "Ky thuc tren mat dat von lam gi co duong.
    Nguoi ta di mai thi thanh duong thoi."
Working...
X