Bảo mật cho mạng Wireless Lan

16:34 | 06/01/2009 | GIẢI PHÁP KHÁC
Ngày nay cùng với sự phát triển của các công nghệ mạng, thì mạng LAN không dây (WLAN) đã được sử dụng rộng rãi trong nhiều cơ quan tổ chức. Lợi thế của mạng không dây chính là việc sử dụng đường truyền vô tuyến, tuy nhiên cùng với lợi thế đó là vấn đề bảo mật cho nó trở nên khó hơn. Sóng vô tuyến truyền trong không gian nên có thể bị truy cập dễ dàng nếu sử dụng các thiết bị thích hợp

Do đó mạng không dây của của các cơ quan, tổ chức có thể bị truy cập từ bên ngoài tòa nhà đặt nó. Khi mạng không dây được kết nối với mạng LAN của tổ chức rất có thể nó sẽ trở thành một điểm yếu gây ra mất an toàn lớn nhất cho toàn bộ hệ thống mạng của tổ chức. Vì vậy, triển khai các biện pháp bảo mật phù hợp để chống lại những tấn công vào mạng không dây là một vấn đề quan trọng đáng được quan tâm. Bài báo giới thiệu một số công nghệ bảo mật mạng không dây, các nguy cơ tấn công đối với mạng không dây và đưa ra một phương pháp chung để thực hiện triển khai bảo mật cho các mạng WLAN.
1. Giới thiệu về mạng WLAN
WLAN cho phép một nhóm các thiết bị không dây (Wireless Station- STA) nối mạng với nhau  bằng đường truyền vô tuyến, bên trong một khu vực địa lý giới hạn. WLAN thường được giới hạn trong phạm vi  một tòa nhà hay khuôn viên làm việc của tổ chức, và thường được xây dựng để có thể kết nối vào các mạng hữu tuyến (như mạng LAN) đã có sẵn để cung cấp khả năng làm việc di động cho người dùng. Kể từ khi ra đời cho đến nay, đã có rất nhiều chuẩn và công nghệ được phát triển cho WLAN. Một trong những tổ chức chuyên tiêu chuẩn hóa những công nghệ này là Viện Kỹ thuật Điện và Điện tử của Hoa Kỳ (IEEE). Các chuẩn không dây WLAN được chuẩn hóa thành họ các  tiêu chuẩn được đặt tên là 802.11.

1.2 Các cấu trúc mạng WLAN:
Trong các chuẩn 802.11 đã định nghĩa hai cấu trúc mạng: cấu trúc hạ tầng (infastructure) và trực tiếp (Ad hoc).
- Trong cấu trúc hạ tầng, một mô hình mạng mà ta gọi là Tập dịch vụ cơ bản (BSS) sẽ bao gồm ít nhất một thiết bị truy cập Access Point (AP). Nó đồng thời có thể kết nối đến cả mạng có dây bằng card mạng, và các thiết bị đầu cuối không dây (thường là các máy tính laptop) bằng sóng vô tuyến. Một mô hình khác gọi là Tập dịch vụ mở rộng (ESS) là một tập gồm hai hoặc nhiều BSS nối với nhau.
- Cấu trúc mạng trực tiếp bao gồm một nhóm các máy tính được lắp đặt các card mạng không dây, truyền thông trực tiếp với nhau thông qua đường vô tuyến mà không cần AP. Các máy này cũng hoàn toàn độc lập với các mạng LAN.
Hiện nay hầu hết các tổ chức cho phép các thiết bị không dây truy cập internet hoặc các dịch vụ trong mạng nội bộ của họ. Do đó, hầu hết thiết lập cấu trúc mạng theo kiểu BSS hoặc ESS. Ở đây, chúng ta cũng chỉ quan tâm đến các kiến trúc mạng kiểu BSS và ESS.


Cấu trúc mạng BBS


2. Các chuẩn bảo mật của WLAN
2.1. Chuẩn bảo mật đơn giản
Bảo mật mạng WLAN thế hệ đầu tiên đã được định nghĩa trong tiêu chuẩn của mạng không dây IEEE 802.11b. Nó định nghĩa hai cơ chế cho việc xác thực cũng như mã hóa dữ liệu sử dụng Số định danh SSID (Service set identifiers) và giao thức WEP (Wired Equivalent Privacy).

Phương pháp sử dụng SSID: Một phương pháp rất đơn giản là sử dụng số định danh SSID để điều khiển việc truy cập của các thiết bị không dây vào trong hệ thống. SSID là tên định danh của một thiết bị AP. Tuy nhiên việc sử dụng SSID để điều khiển truy cập là không an toàn, vì trong WLAN mỗi thiết bị AP chỉ có một số SSID duy nhất, do đó SSID phải được chia sẻ cho nhiều người cùng lúc

Chế độ hoạt động quảng bá của  AP

 

Hơn thế nữa để thuận tiên cho quá trình sử dụng, chế độ quảng bá giá trị SSID thường được kích hoạt, vi vậy bất kỳ một thiết bị WLAN nào cũng có thể nhận diện được AP nếu đặt trong vùng phát sóng của nó

- Giao thức bảo mật WEP: Giao thức này cung cấp khả năng bảo mật cho dữ liệu trên mạng WLAN bằng phương thức mã hóa sử dụng thuật toán đối xứng RC4. Thuật toán RC4 cho phép chiều dài của khóa thay đổi phù hợp với chuẩn 802.11 vì nó đòi hỏi bắt buộc các thiết bị không dây phải hỗ trợ chiều dài khóa tối thiểu là 40 bit. Hiện nay, đa số các thiết bị không dây hỗ trợ mã hóa với ba chiều dài khóa, 40 bit, 64 bit, và 128 bit. Ngoài ra WEP cũng hỗ trợ việc xác thực các máy client thông qua các khóa mã hóa. Một máy nối mạng không dây không có khóa hợp lệ sẽ không thể truy cập đến Access Point (AP) và cũng không thể giải mã được dữ liệu. Tuy nhiên, số lượng khóa được cấu hình trên AP là rất ít, vì vậy nếu mạng WLAN có nhiều client truy cập thì nhiều client sẽ phải chia sẽ chung một khoá, đây là yếu tố dẫn đễn nguy cơ mất an toàn cao. Ngoài ra, kỹ thuật mã hóa WEP là một kỹ thuật mã hóa yếu. Thời gian gần đây đã xuât hiện nhiều công cụ tấn công WEP, có thể dò tìm được khóa WEP trong thời gian ngắn.
2.2  Chuẩn bảo mật 802.1X
802.1X là chuẩn bảo mật mới nhằm gải quyến các điểm yếu đang tồn tại trong chuẩn 802.11b. Chuẩn bảo mật này cung cấp các giao thức xác thực và mã hóa để bảo mật cho mạng WLAN tốt hơn, nó bao gồm các thành phần sau:
- Tiến trình xác thực: trong chuẩn bảo mật này, quá trình xác thực của client sẽ được thực hiện trên RADIUS server. RADIUS server quản lý tập trung toàn bộ  người dùng của WLAN. Máy client sẽ không được phép truy cập vào mạng nếu chưa được xác thực. Để được xác thực, client cần cung cấp Username và password, quá trình xác thực sẽ được thực hiện theo hai chiều.
- Các giao thức xác thực mở rộng EAP:  Là các giao thức sử dụng để thỏa hiệp việc kết nối bảo mật giữa người sử dụng và server. Có nhiều giao thức EAP, do các hãng sản xuất phát triển như EAP-TSL của Mirosoft, EAP-CISCO Wireless của Cisco, EAP-TTSL của Junifer,..

Các giao thức xác thực EAP
- Chuẩn mã hóa WPA và WPA2: là các chuẩn mã hóa ra đời để thay thế cho chuẩn WEP. Việc mã hóa được thực hiện bằng các kỹ thuật TKIP và AES.
Tiến trình xác thực sử dụng RADIUS Server: Trong hầu hết các môi trường sử dụng 802.1X một RADIUS server được sử dụng để làm việc với các AP đảm nhận việc xác thực và quản lý người dùng. Dưới đây là một số bước trong tiến trình xác thực giữa client và RADIUS server.


Tiến trình xác thực giữa client và server

1. Client liên lạc với một AP. AP khóa tất cả mọi truy cập của client vào trong mạng cho đến khi client xác thực thành công.
2. AP kết nối với RADIUS server.
3. Client và server xác thực lẫn nhau thông qua AP sử dụng các giao thức EAP. Ví dụ: đối với giao thức EAP Cisco Wireless, server gửi chuỗi “thách thức”(challenge) tới client. Client sử dụng một hàm hash để tạo ra chuỗi trả lời (response) từ chuỗi thách thức của server và password của người dùng đã nhập, client gửi chuỗi trả lời đến server. Server sử dụng thông tin của người dùng chứa trong cơ sở dữ liệu của nó để tạo ra chuỗi trả lời theo cách mà client đã tạo ra và so sánh với chuỗi trả lời nhận được từ client. Kết quả so sánh đúng hay sai sẽ quyết định việc xác thực thành công hay thất bại.
4. Client cũng có thể dùng cách thức như bước 3 để xác thực ngược trở lại server.
5. Khi quá trình xác thực đã thành công, client và server thỏa thuận một khóa phiên để làm việc.
6. Khi đó, client được phép truy cập vào mạng.
Sự ra đời của 802.1X đã khắc phục được nhiều vấn đề của giao thức WEP. Nó cũng cung cấp khả năng quản lý tập trung, khả năng dễ dàng mở rộng và cho phép các doanh nghiệp có thể sử dụng cấu trúc bảo mật thống nhất cho mọi truy cập.
3. Một số nguy cơ tấn công đối với WLAN
- Các tấn công khám phá thăm dò mạng: Trước khi thực hiện một hành động tấn công thực sự, thì đầu tiên kẻ tấn công sẽ thực hiện khám phá mạng WLAN đích. Có hai kiểu khám phá thăm dò là Active và Passive. Trong kiểu thăm dò Active, kẻ tấn công gửi các gói tin thăm dò không có số hiệu SSID đến AP, để thu thập số hiệu SSID của các AP. Kiểu tấn công này sẽ không thực hiện được nếu AP được cấu hình để bỏ qua những gói tin không có SSID. Trong kiểu tấn công Passive, kẻ tấn công sẽ thu tất cả các gói tin gửi và nhận trên mạng mà không có bất cứ hành động gì, đây là kiểu tấn công không thể phát hiện. Một công cụ tấn công khám phá mạng tương đối phổ biến là NetStumber.
- Các tấn công thu thập thông tin: Mỗi khi mạng đích đã được xác định, kẻ tấn công có thể tiếp tục thu thập thông tin truyền trên mạng bằng các công cụ sniffer (như Kismet hoặc Airodump). Nếu dòng dữ liệu không được mã hóa, kẻ tấn công có thể thu thập được các thông tin từ dòng dữ liệu đó hoặc các tham số liên quan đến mạng như địa chỉ MAC, địa chỉ IP, Gateway,…Nếu dòng dữ liệu được mã hóa bằng các phương thức yếu như giao thức WEP, kẻ tấn công có thể sử dụng các công cụ như Aircrack để phá mã.
- Tấn công từ chối dịch vụ: Tấn công này có hai mức khác nhau. Ở mức 1, kẻ tấn công sử dụng các công cụ phát sóng radio cực mạnh để làm nhiễu các kênh sóng của mạng không dây đang hoạt động. Ở mức 2, kẻ tấn công thường thực hiện việc làm “lụt” các máy client bằng dòng dữ liệu giả để các máy client không còn khả năng kết nối vào mạng.
- Tấn công giả mạo địa chỉ MAC: Trong kiểu tấn công này, kẻ tấn công thường làm giả địa chỉ MAC của những client hợp lệ có quyền truy cập vào hệ thống mạng. Mục đích của tấn công này là để đánh lừa các AP có sử dụng dịch vụ lọc địa chỉ MAC. Tấn công này rất dễ thực hiện vì địa chỉ MAC của các máy client hợp lệ có thể dễ dàng được khám phá trong các tấn công thu thập thông tin. Ngoài ra, địa chỉ MAC của các card mạng không dây cũng có thể dễ dàng thay đổi khi sử dụng các phần mềm điều khiển của nó.
- Tấn công giả mạo AP: Trong kiểu tấn công này, kẻ tấn công cố gắng can thiệp vào dòng dữ liệu truyền thông giữa hai thiết bị hợp lệ với mục đích thực hiện việc sửa đổi hoặc phá hủy dữ liệu của người gửi. Để thực hiện tấn công này cần thực hiện hai bước. Thứ nhất, làm cho các AP hợp lệ trở nên không còn khả năng phục vụ bằng các tấn công từ chối dịch vụ, vì vậy các client sẽ khó kết nối đến. Thứ hai, thiết lập một AP giả mạo có tên giống như tên của AP hợp lệ để hướng các client kết nối đến AP giả mạo này. Một công cụ khá phổ biến để thực hiện công việc nay là Monkey_jack.
4. Các bước triển khai bảo mật cho mạng WLAN
Trong một hệ thống mạng điển hình thường có đầy đủ các thiết bị như Firewall, Router,… là điều kiện tốt để triển khai và cung cấp các dịch vụ bảo mật cho mạng WLAN. Tuy nhiên, để việc triển khai đạt được hiệu quả cao, thì cần phải có một tiến trình thực hiện hiệu quả và đầy đủ. Dưới đây là các bước cần thiết tối thiếu để thực hiện bảo mật cho mạng WLAN cần được tuân thủ.
- Xây dựng tài liệu chính sách cho WLAN: Chính sách phải định nghĩa rõ phạm vi hoạt động của WLAN, chức năng của mạng WLAN trong các hoạt động nghiệp vụ, các đối tượng được phép sử dụng WLAN và trách nhiệm của họ trong khi sử dụng. Tài liệu cũng phải chỉ rõ các biện pháp bảo mật, các biện pháp xác thực, điều khiển truy cập,… cho mạng WLAN. Nói tóm lại tài liệu phải thể hiện được những định hướng cũng như những quy định cụ thể trong việc thực hiện bảo mật WLAN.
- Xác định vị trí cho các AP: Vị trí đặt các AP nên đảm bảo rằng khu vực phát sóng có thể bao phủ được các khu vực làm việc của các thiết bị client, nhưng không bao phủ ra các phạm vi không cần thiết và khó kiểm soát. Tùy thuộc vào chức năng sử dụng, vị trí logic của WLAN nên được ngăn cách với các mạng LAN bằng các thiết bị như Firewall hay Router. AP nên được đổi tên phù hợp và không nên ẩn chức năng Broadcast của AP vì điều này sẽ gây bất tiện cho người sử dụng nhưng không có tác dụng nhiều trong việc ngăn cản tấn công. Nên để một phân vùng WLAN riêng cho những người làm việc tạm thời tại cơ quan hoặc các khách hàng đến làm việc cần truy cập Internet. Phân vùng này phải bị hạn chế đến mức tối đa việc truy cập vào trong mạng LAN của tổ chức.
- Thực hiện các biện pháp điều khiển truy cập: Việc điều khiển truy cập nên được thực hiện ở các Firewall và AP. Trên các firewall cần định nghĩa các chính sách phù hợp để cho phép các WLAN truy cập vào trong các nguồn tài nguyên trên mạng LAN của tổ chức, sử dung chiến lược phân quyền một cách ít nhất. Trên AP có thể áp  dụng phương pháp lọc địa chỉ MAC để bỏ qua những truy cập bất hợp pháp.
- Thực hiện các biện pháp xác thực mạnh: Về cơ bản trong các mạng WLAN, các client nên được xác thực trước khi chúng có thể được truy cập vào mạng. Nên triển khai các phương pháp xác thực truy vấn lẫn nhau (nếu có điều kiện). Tuy nhiên, còn tùy thuộc vào mức độ quan trọng và khả năng đáp ứng về mặt công nghệ của hệ thống mạng trong tổ chức. Đối với các doanh nghiệp nhỏ, có thể triển khai các phương pháp xác thực PSK. Đối với các tổ chức lớn thì có thể sử dụng các phương pháp xác thực 802.1 X có sử dụng đến RADIUS server, thậm trí có thể triển khai chứng chỉ số cho người dùng WLAN. Việc triển khai này hầu như không phải đầu tư công nghệ vì có thể sử dụng hạ tầng của mạng LAN sẵn có. Đặc biệt với các hệ thống mạng thực hiện trên môi trường Mircosoft, thì hầu hết các dịch vụ như RADIUS server, CA  có thể sử dụng miễn phí.
- Triển khai các công nghệ mã hóa: Nếu hạ tầng WLAN hỗ trợ giao thức WPA2 thì nên kích hoạt nó để sử dụng thư viện AES cho quá trình mã dòng dữ liệu, đây là một phương thức mã hóa có độ an toàn cao. Trong trường hợp hạ tầng không trợ giúp chuẩn WPA2 thì có thể dụng WPA hoặc thậm chí WEP. Tuy nhiên nếu dòng dữ liệu trên WLAN là rất quan trọng thì việc sử dụng WEP sẽ không thể an toàn. Vì vậy, nên triển khai một công nghệ mã hóa khác để giải quyết vấn đề này, ví dụ như VPN hay Ipsec.
- Thực hiện bảo vệ cho máy tính client: Để bảo vệ các tài nguyên quan trọng trên các máy tính client, nên triên khai cài đặt các công cụ như Firewall cá nhân, phần mềm diệt virus hay thiết lập các chính sách nhóm để ngăn chặn các nguy cơ tấn công từ Internet.
- Phát hiện các nguy cơ tấn công: Sử dụng các công cụ dò quét để phát hiện kịp thời các thiết bị không dây truy cập bất hợp pháp, và các thiết bị AP giả. Có thể sử dụng thêm các hệ thống WIDS để phát hiện ra các tấn công trong thời gian thực.
Bắt buộc người sử dụng phải tuân thủ các chính sách WLAN, thường xuyên bồi dưỡng nâng cao nhận thức về các nguy cơ mất an toàn thông tin và cách thức phòng tránh khi sử dụng mạng WLAN.
Kết luận:
Mạng không dây đang ngày càng trở thành công cụ truyền thông quan trọng trong nhiều cơ quan, tổ chức vì sự tiện lợi của nó, triển khai bảo mật cho mạng không dây là việc làm cần thiết. Quá trình thực hiện bảo mật cho mạng WLAN đòi hỏi những người thực hiện phải có những hiểu biết nhất định để không bỏ qua những công đoạn quan trọng. Những nội dung đề cập trong bài báo rất hữu ích cho các cán bộ, chuyên viên chịu trách nhiệm về an ninh thông tin trong mạng máy tính của một tổ chức

Tin cùng chuyên mục

Tin mới