Giải pháp an ninh cho hotpost công cộng

Các giải pháp đề xuất trong đề tài chỉ giải quyết các tấn công từ chối dịch vụ DoS dạng ngắt kết nối, chưa xem xét trong mối quan hệ với các tấn công DoS khác trên mạng không dây.. Ở Việ

ỦY BAN NHÂN DÂN TP.HCM ĐẠI HỌC QUỐC GIA HỒ CHÍ MINH

BÁO CÁO NGHIỆM THU

GIẢI PHÁP AN NINH CHO HOTSPOT CÔNG CỘNG

(Báo cáo chi tiết)

Nguyễn Đình Thúc

THÀNH PHỐ HỒ CHÍ MINH THÁNG 04/ 2013

TÓM TẮT NỘI DUNG NGHIÊN CỨU

Hotspot hay Wi-Fi hotspot được định nghĩa là một vùng, tại đó ta có thể truy cập internet trên một mạng (cục bộ) không dây thông qua kết nối không dây Phần lớn các hotspot là mạng mở và chủ yếu tập trung vào tính tiện dụng hơn là vào tính an toàn Việc bảo vệ thông tin, được ngầm cho là thuộc trách nhiệm người dùng Đề tài này nhằm mục đích (i) nghiên cứu các giải pháp triển khai một hotspot an toàn, hoạt động ổn định; (ii) khảo sát, hướng dẫn và hỗ trợ người dùng sử dụng các công cụ nguồn mở để bảo vệ thông tin của mình khỏi những bất trắc không đáng có

Với mục tiêu trên, đề tài đã đề xuất các giải pháp tổng thể với chi phí thấp cho phép triển khai một hotspot an toàn sử dụng các công cụ nguồn mở Tùy qui mô mà có thể sử dụng mô hình với các thể hiện cụ thể: từ một hotspot nhỏ cho gia đình (với chỉ một Access Point), đến các hotspot phức tạp có kết nối đến Radius, Database, và Domain

Bên cạnh giải pháp triển khai hotspot an toàn, đề tài cũng xây dựng thành công firmware chống ngắt kết nối cũng như giám sát xâm nhập hệ thống Các giải pháp đề xuất trong đề tài chỉ giải quyết các tấn công từ chối dịch vụ (DoS) dạng ngắt kết nối, chưa xem xét trong mối quan hệ với các tấn công DoS khác trên mạng không dây Đây có thể là hướng nghiên cứu phát triển tiếp theo nhằm xây dựng một giao thức hoàn chỉnh hơn cho hệ thống mạng không dây an toàn

SUMMARY OF RESEACH CONTENT

Hotspot or Wi-Fi hotspot is defined as an area, in which we can access the internet on a wireless LAN via wireless connections Most hotspots are open networks and are deployed focusing on usability rather than security It implies that information protection is the responsibility of users This project aims to study solutions to deploy a security, stability hotspot; to guide users using open source tools to protect their information from unnecessary risks

With this goal, the project has proposed a general solution with low cost of deploying a security hotspot which just uses open source tools Depending on the scale of hotspot that we can deploy instant of solution: from a small family hotspot (with only one Access Point), to the complex hotspot that connects to Radius, Database, and Domain servers

Besides solution for deploying secure hotspots, the project also successfully developed anti-dis'ing firmware and system intrusion monitoring The proposed solutions address to resolve a kind of denial of service attack (DoS) that is dis'ing attack, not considering the relationship with the other DoS attacks on wireless networks This will be future works in order to build a more complete protocol for wireless network security

MỤC LỤC

Chương 1 GIẢI PHÁP HOTSPOT-WIRELESS AN TOÀN 12

1 Mạng công cộng 12

1.1 Giới thiệu 12

1.2 An toàn trong hệ thống hotspot 13

1.3 Sản phẩm thương mại dành cho hotspot 15

2 Giải pháp triển khai 16

2.1 Mô hình tổng thể 16

2.2 Các mô hình ứng dụng 17

Chương 2 GIẢI PHÁP, CÔNG CỤ VÀ THUẬT GIẢI 22

1 Giải pháp giám sát tinh gọn - lightweight IDS 22

1.1 Giới thiệu 22

1.2 Wireless-IDS và Access Point 23

1.3 Snort-wireless 25

1.4 Các đặc tính cho tương lai 30

1.5 Xây dựng một lightweight-IDS với wireless-snort 31

2 Xây dựng giải pháp chống ngắt kết nối vào mạng không dây nội bộ 36

2.1 Tấn công ngắt kết nối 36

2.2 Những nghiên cứu liên quan 37

2.3 Vấn đề đặt ra 40

3 Lightweight Letter-Envelop Protocol – LLEP 41

3.1 Giới thiệu 41

3.2 Cài đặt Lightweight Letter-Envelop Protocol – LLEP 42

3.3 Triển khai 48

4 Phát triển các thuật toán mã hóa hiệu quả và an toàn 50

4.1 Letter-Envelop Protocol 50

4.2 Lightweight Letter-Envelop Protocol – LLEP với hàm băm SHA 52

Chương 3 THÔNG TIN HỖ TRỢ NGƯỜI DÙNG 54

1 1 Mạng riêng ảo, tường lửa và mã hóa dữ liệu cá nhân 54

1.1 OpenVPN 54

1.2 Tường lửa cá nhân 73

1.3 Mã hóa dữ liệu cá nhân 80

2 Giải pháp phòng chống tấn công vào mạng không dây 102

2.1 Giải pháp chung 102

2.2 Sử dụng các phương pháp xác thực 103

2.3 Một số chính sách bảo mật WLAN 106

3 Hướng dẫn sử dụng hệ thống mạng công cộng 108

3.1 Thiết lập kết nối với Access Point 108

3.2 Giới thiệu tính năng người dùng 112

3.3 Cách sử dụng 113

3.4 Một số khuyến cáo đối với người dùng 115

Chương 4 THỰC NGHIỆM 118

1 Triển khai Lightweight-IDS trên Access Point 118

1.1 Công cụ sử dụng và môi trường 118

1.2 Các kết quả thực nghiệm Lightweight -IDS 118

1.3 Tấn công netstumbler 119

1.4 Tấn công netstumbler 120

1.5 Tấn công Authen 122

1.6 Tấn công ngắt kết nối Dis’ing 124

2 Triển khai Letter-Envelop protocol với SHA 127

2.1 Các thiết bị và công cụ sử dụng cho máy trạm và Access Point 127

2.2 Kết quả thực nghiệm Letter-Envelop protocol dùng SHA 132

3 Ứng dụng của giải pháp 135

3.1 Triển khai một mạng không dây cho gia đình 136

3.2 Triển khai mạng không dây cho công ty, trường học, hotspot 136

3.3 Sơ đồ kết nối với Radius Server 137

3.4 Mô hình kết nối Radius + Database + Domain 138

Chương 5 KẾT QUẢ 140

1 Yêu cầu của đề tài 140

2 Kết quả đạt được 140

3 Sản phẩm cụ thể 140

4 Kết luận và kiến nghị 141

DoS Denial of Service

EAP Extensible Authentication Protocol

FTP File Transfer Protocol

GMK Group Master Key

GTK Group Transient Key

HTTP The Hypertext Transfer Protocol

ICMP Internet Control Message Protocol

IDS Intrusion Detection System

KCK Key Confirmation Key

KEK EAPOL-Key Key Encryption Key

LDAP Lightweight Directory Access Protocol

LEAP Lightweight Extensible Authentication Protocol LEP Letter-Envelop Protocol

LLEP Lightweight Letter-Envelop Protocol

MSK Master Session Key

NAT Network Address Translation

NIC Network Interface Controller

PAP Password Authentication Protocol

POP3 Post Office Protocol

PPP Point-to-point Protocol

PRNG Random Number Generator

PSK Pre-Shared Key

PSK Pairwise Master Key

SMTP Simple Mail Transfer Protocol

SOHO Small office-Home office

SSID Service Set Identifier

TACACS Terminal Access Controller Access-Control System

TK Top Key

TKIP Temporal Key Integrity Protocol

TLS Transport Layer Security

UDP User Datagram Protocol

VPN Virtual Private Network

WPA Wi-Fi Protected Access

Giới thiệu về tài liệu

Tài liệu này cung cấp các nội dung sau đây:

Chương 1: Giải pháp hotspot-wireless an toàn

 Mạng công cộng Giới thiệu tổng quan về mạng công cộng (hotspot) và các vấn đề an ninh đặt ra

 Giải pháp triển khai Giới thiệu các giải pháp đề xuất của đề tài, bao gồm một giải pháp tổng thể và các mô hình ứng dụng cụ thể

Chương 2: Công cụ, giải pháp và thuật giải

 Giải pháp giám sát tinh gọn (Leightweight-IDS) Trình bày về cách hiện thực một hệ thống giám sát thâm nhập hệ thống được nhúng ngay trên các Acces Point Giải pháp thực chất là một mở rộng Snort cho thiết bị không dây

 Giải pháp chống tấn công ngắt kết nối Trình bày khái niệm tổng quát về tấn công ngắt kết nối; các hình thức tấn công ngắt kết nối cũng như các giải pháp đã được nghiên cứu và hiện thực

 Giáo thức LLEP – Lightweight Letter-Enverlop Protocol Một giải pháp mới chống tấn công ngắt kết nối, giao thức LEP sẽ được trình bày và được cải tiến về hiệu năng thành LLEP

 Thuật toán Chi tiết thuật toán lõi của LEP và LLEP được trình bày

Chương 3: Thông tin hỗ trợ người dùng

 VPN, tường lửa và mã hóa dữ liệu cá nhân Giới thiệu các khái niệm cũng như các công cụ phần mềm có sẵn cho phép bảo vệ thông tin cá nhân

 Chống tấn công vào mạng không dây Giới thiệu các phương thức cơ bản để người

 Hướng dẫn người dùng sử dụng hệ thống HotSpot

Chương 1 GIẢI PHÁP HOTSPOT-WIRELESS AN TOÀN

1 Mạng công cộng

1.1 Giới thiệu

Hotspot hoặc Wi-Fi hotspot, có thể được định nghĩa là một vùng không gian (vật lý) mà tại đó ta

có thể truy cập internet từ một mạng (cục bộ) không dây thông qua việc sử dụng kết nối internet được chia sẻ và một router Wi-Fi hotspots đã được ứng dụng rộng rãi tại các khách sạn, sân bay, trường học và những nơi công cộng…

Hình 1.1.1: Một điểm truy cập Hotspot trong cột điện thoại công cộng 1

1

Nguồn: http://en.wikipedia.org/wiki/Hotspot_(Wi-Fi)

Ở Việt Nam, hiện nay, việc triển khai hệ thống Wi-Fi hotspots có kiểm soát truy cập chủ yếu tập trung ở các khách sạn lớn như New World2, Park Hyaa; và tại ký túc xá của một số trường Đại học tại Tp.HCM như Đại học Sư phạm, Đại học Bách khoa (các hotspots của cả hai trường này đều do VNPT triển khai – giải pháp được mua của nhà cung cấp nước ngoài – Hotspot Express của Ấn Độ)

Hình 1.1.2: Hotspot của VNPT 3

1.2 An toàn trong hệ thống hotspot

Phần lớn các hotspot là các mạng mở và chủ yếu tập trung vào tính tiện dụng hơn là tính an toàn Nhà cung cấp dịch vụ, và/hoặc nhà cung cấp thiết bị không dây, hầu như đẩy trách nhiệm bảo vệ thông tin về phía người sử dụng Nhưng đây rõ ràng một là nhiệm vụ khó khăn và đầy rủi ro

2 Sử dụng giải pháp của DOCOMO InterTouch– Singapore

3

Giải pháp của Hotspot Express

Bên cạnh đó, người sử dụng thiết bị di động trong mạng công cộng cũng có thể bị „đánh lừa‟ vào các hotspots bất hợp pháp, là các hotspots giả mạo „y hệt‟ hotspots hợp pháp Vấn đề này được gọi là Evil-Twin Hotspots, do các hacker dựng nên nhằm đánh cắp các thông tin nhạy cảm

Ngay cả khi không dùng thiết bị di động cá nhân mà sử dụng các máy tính công cộng hoặc các internet kiosks, như ta vẫn thấy ở các sân bay hay khách sạn, thì người dùng vẫn có nguy cơ (rất cao) bị đánh cắp thông tin nhạy cảm như mật khẩu (passwords) do các chương trình „bắt phím‟ đã cài sẵn chẳng hạn!

Tóm lại, người sử dụng Wi-Fi hotspots luôn phải đối mặt với các nguy cơ sau:

 Thông tin luân chuyển trên mạng hotspots có thể bị khai thác;

 Các thiết bị di động cá nhân cũng có thể bị khai thác;

 Mất cắp thông tin nhạy cảm vì các Hotspot giả mạo;

 Các trạm công cộng không được bảo vệ;

 Tấn công từ chối dịch vụ;

 Các mạng công cộng (hợp pháp) có thể được sử dụng cho các mục đích phi pháp như gửi

„spam‟ hay sử dụng các chương trình chia sẻ tệp tin (file) bất hợp pháp,…

Rõ ràng, cần một giải pháp an ninh cho các mạng không dây công cộng là vấn đề luôn được đặt ra cho các nhà triển khai dịch vụ và thu hút rất nhiều nghiên cứu cả về lý thuyết cũng như ứng dụng

1.3 Sản phẩm thương mại dành cho hotspot

Hiện nay, trong nước chưa thấy cụ thể một nghiên cứu nào về Hotspot được công bố Do đó, phần lớn các tổ chức, các trung tâm đều sử dụng các Hotspot thương mại của nước ngoài để triển khai cho cơ sở của mình Một số sản phẩm thông dụng như:

 Mikrotik Hotspot Gateway (http://www.mikrotik.com/)

 Hotspot express (http://hotspotexpress.in/)

 Ruckus wireless (http://www.ruckuswireless.vn/)

Nhận xét

Các hệ thống Wi-Fi hotspots triển khai tại Việt Nam được mua từ giải pháp nước ngoài Ngay cả thế, các giải pháp của họ cũng tập trung chủ yếu vào kiểm soát truy cập (kiểm tra đăng nhập hệ thống, quản lý thời gian truy cập và dung lượng truy xuất), chưa thực sự quan tâm đúng mức (và gần như không quan tâm) đến vấn đề đảm bảo tính ổn định của hệ thống cũng như bảo mật thông tin của người sử dụng trong các hệ thống công cộng này

Hình 1.1.3: Tấn công ngắt kết nối trong Hotspot

2 Giải pháp triển khai

2.1 Mô hình tổng thể

Hình 1.2.1: Mô hình hotspot kết hợp letter-envelop và Lightweight-ids

Mô hình đã được triển khai thử nghiệm với các công cụ nguồn mở cũng như các công cụ tự phát triển dành cho việc triển khai một mạng hotspot Các phần mềm sử dụng:

 OpenLDAP: Quản lý tài khoản người dùng

 FreeRadius: Quản lý chứng thực chuẩn 802.1x

 Coava Chilli Hotspot: Hotspot gateway

 Snort: Phát hiện xâm nhập mạng dây truyền thống

 Snort-wireless: Phát hiện xâm nhập mạng không dây

 Letter-envelop protocol: Chống tấn công ngắt kết nối

Trong đó:

 Gateway (Coava Chilli Hotspot): Linux kernel 2.6.35.6 Fedora

 Radius, OpenLDAP: Linux kernel 2.6.35.22 Ubuntu 10.10

Mô hình đề xuất (xem hình 1.2.1), tạo sự bảo mật và ổn định cao cho mạng hostspot với sự kết hợp khả năng chống tấn công ngắt kết nối dùng giao thức đề xuất LEP – Letter-Envelop Protocol [TDB08] Khả năng phát hiện xâm nhập với Snort-wireless Server FreeRadius quản lý chứng thực người dùng thông qua giao thức 802.1x và sử dụng OpenLDAP để quản lý tài khoản người dùng

2.2 Các mô hình ứng dụng

Giải pháp của đề tài có thể ứng dụng trong nhiều mô hình mạng không dây thực tế đang được sử dụng hiện nay Ngoài các giải pháp của đề tài đề xuất, ta có thể kết hợp với các ứng dụng hiện nay của mạng không dây nhằm đảm bảo hệ thống được sự an toàn khi sử dụng

Mô hình mạng không dây cho gia đình

Trong phạm vi gia đình, mạng wireless có thể được cấu hình theo một trong hai dạng: Ad-hoc, hoặc Access Point Mỗi mô hình hoạt động theo cách riêng và thích hợp với các điều kiện khác nhau

Mạng không dây cho gia đình là mô hình chỉ sử dụng một Access Point (AP) Mô hình này chỉ yêu cầu có thiết bị phát sóng là AP AP sẽ được cấu hình để trở thành thiết bị phát sóng cho tất cả các máy trạm trong mạng không dây Các máy trạm sẽ kết nối với AP và mọi dữ liệu thu nhận đều thông qua AP Sơ đồ kết nối như hình 1.2.2

Hình 1.2.2: Mạng wireless home

Mô hình mạng không dây cho một công ty, trường học

Hình 1.2.3: Mạng wireless công ty, HotSpot

Khi triển khai một hệ thống không dây cho một công ty hay trường học, ta sẽ gọi chung là công

ty, điểm truy cập công cộng (hotspot), yêu cầu nhiều thiết bị và cấu hình phức tạp hơn như trong

mô hình mạng không dây cho gia đình Để tấn công vào một hệ thống của một công ty, thông thường các hacker sẽ tấn công thông qua hệ thống không dây Chính vì vậy, việc bảo mật cho hệ thống không dây là cần thiết

Ngoài các phuơng pháp bảo mật thông thường có sẵn trong các AP, ta còn kết hợp với các phương pháp/công cụ bảo mật khác như: Radius Server, Domain Server, Firewall,…

2.2.1 Sơ đồ kết nối với Radius Server

Hình 1.2.4: Mô hình kết nối với Radius Server

Trong mô hình này (xem hình 1.2.4) khi một STA muốn truy cập được internet hay các dữ liệu của công ty, trước tiên các STA cần được xác nhận chứng thực bởi các Radius Server thông qua giao thức 802.1x.Việc chứng thực này sẽ đảm bảo cho hệ thống không bị xâm nhập từ các đối tượng từ bên ngoài, đảm bảo hệ thống được an toàn

Các thành phần chính của mô hình:

 Client là các máy trạm, chẳng hạn các thiết bị như Laptop, tablet, PDA,… phải được xác

thực để có thể sử dụng tài nguyên hệ thống

 Authenticator là các AP đóng vai trò như gateway, cho phép khóa hoặc cho phép truyền

thông tin Chỉ các thông tin liên quan đến xác thực (username, password) được phép qua, còn lại các thông tin khác đều bị khóa cho đến khi có thông tin xác thực về máy trạm được kiểm tra chính xác

 Authentication là máy chủ, đóng vai trò của một radius server, được dùng để kiểm tra

thông tin xác thực do Authenticator gởi đến, đồng thời thông báo cho Authenticator rằng máy trạm đã được xác thực đúng đối tượng Khi đó các user/client mới có quyền truy cập tài nguyên hệ thống

 Database Server/Domain Server, ngoài ra ta có thể kết hợp Radius với Database Server

hay Domain Server, để kiểm soát được các user đăng nhập vào hệ thống như: thời gian truy cập, lưu lượng truy cập, các chính sách (policy) áp cho các user,…Việc này là cần thiết cho

hệ thống

2.2.2 Mô hình kết nối Radius + Database + Domain

Mô hình này (xem hình 1.2.5) được triển khai cho các nhà hàng, khách sạn, sân bay, các điểm truy cập công cộng nói chung, và ta gọi là điểm công cộng, vì ở những nơi này người dùng khi sử dụng

hệ thống mạng không dây sẽ phải trả chi phí

Hình 1.2.5: Mô hình kết hợp Radius + Database + Domain

Mô hình thực chất là một mở rộng của mô hình trước

Chương 2 GIẢI PHÁP, CÔNG CỤ VÀ THUẬT GIẢI

1 Giải pháp giám sát tinh gọn - lightweight IDS

1.1 Giới thiệu

Ngày nay, hệ thống mạng không dây khá phổ biến và được triển khai nhiều nơi như: trường học, bệnh viện, công ty, kho bãi, nhà hàng, khách sạn, sân bay,… do tính tiện lợi của nó như chi phí thấp, dễ dàng lắp đặt, dễ dàng di chuyển v.v Tuy nhiên, hệ thống mạng không dây có những hạn chế về độ bảo mật so với mạng có dây Vì sử dụng sóng radio nên mạng không dây là mục tiêu cho các cuộc tấn công xâm nhập vào hệ thống có dây

Khi mạng không dây chưa phát triển thì các hệ thống phát hiện tấn công xâm nhập chủ yếu tập trung vào mạng dây Vì thế, các nhà phát triển các sản phẩm bảo mật không quan tâm nhiều đến mạng không dây Các sản phẩm IDS truyền thống chủ yếu tập trung giải quyết các vấn đề trên lớp

IP, Layer 3 (IP), và Layer 1 cũng như Layer 2 dùng đường truyền vật lý bằng dây cáp cho nên có

độ bảo mật hơn so với mạng không dây

Mạng không giây có sự khác biệt Layer 1 và Layer 2 là các tần số sóng radio theo chuẩn IEEE 802.11 Cho nên các IDS có dây không giám sát được mạng không dây Chính vì thế, việc xây dựng một giải pháp phát hiện xâm nhập cho mạng có dây là cần thiết và quan trọng

Phần này sẽ cung cấp cho người đọc cách thức triển khai một hệ thống phát hiện giám sát nhỏ gọn

và linh động (Lightweigh Wireless–IDS) được triển khai ngay trên các Access Point Mục đích là tăng cường tính bảo mật cho hệ thống mạng không dây Đặc biệt được ứng dụng trong hệ thống mạng không dây công cộng (Hotspot)

Bên cạnh đó, thông qua tài liệu này, người đọc có thể hiểu được các phương pháp tấn công trên Access Point và cách phòng tránh nhằm hạn chế các tác hại khi hệ thống bị tấn công

1.2 Wireless-IDS và Access Point

Hiện có một số sản phẩm thương mại dành cho wireless IDS, tiêu biểu như các sản phẩm của AirDefense (thuộc Motorola), Cisco, AirMagnet,… Vì là các giải pháp tổng thể gồm cả hardware

và software nên giá thành cao Đối với các tổ chức hay doanh nghiệp vừa và nhỏ sẽ khó triển khai các giải pháp này, nguyên nhân chính vì giá thành Một khó khăn nữa là các đơn vị muốn triển khai còn phải cần thêm nguồn nhân lực để vận hành và bảo trì hệ thống

Giải pháp đầu tư cho hệ thống với chi phí thấp có thể xem xét là sự kết hợp giữa các Access Point với phần mềm OpenSource và các IDS Opensource như:

 Hệ điều hành nguồn mở dành cho Wireless Openwrt

 WIDS nguồn mở : Snort-wireless, Kismetwireless

được phát triển thêm trên các thiết bị không dây khác như: Asus, Tp-Link, D-Link, v.v…Hiện nay rất nhiều thiết bị không dây có thể sử dụng phần mềm này

Openwrt tuy không cung cấp đầy đủ các tính năng như các hệ điều hành cài đặt trên máy tính cá nhân (PC) nhưng nó vẫn đảm bảo các tính năng cần thiết cho một hệ điều hành Linux tinh gọn Đối với các thiết bị không dây (AP) thì flash (lưu trữ firmware) và RAM rất hạn chế cho nên Openwrt sử dụng BusyBox cho môi trường Shell BusyBox nhúng các dòng lệnh vào nhằm giảm không gian lưu trữ cho các thiết bị có bộ lưu trữ nhỏ

1.2.2 Thiết bị không dây

Trong đề tài này, thiết bị thử nghiệm là các AP của Linksys wrt160nl, là AP chuẩn n và cũng là

một trong các thiết bị được openwrt hỗ trợ Wrt160nl có một cổng internet (port internet) và 4 cổng mạng cục bộ (port LAN), cùng với cổng USB

Hình 2.1.1: Linksys wrt160nl

1.3 Snort-wireless

1.3.1 Khái niệm

Snort-wireless là một phần mềm IDS dành cho mạng không dây, do Andrew Lockhart xây dựng Đây là phần mềm nguồn mở và dễ dàng tích hợp với cấu trúc của các IDS Nó tương thích hoàn toàn với snort

Snort-wireless là một pluggin của snort, được mở rộng thêm các tính năng giám sát giao thức 802.11 Những tính năng này nhằm xác định các qui tắc, các hành vi nguy hại đến giao thức 802.11 như các điểm truy cập giả mạo, các phần mềm quét mạng không dây, các cuộc tấn công từ chối dịch vụ trên 802.11 v.v.v…Việc phát hiện này dựa vào các cảm biến đặt trong vùng phủ sóng của các điểm truy cập không dây

Để thực hiện, bộ luật (rules) của snort được thêm một giao thức luật mới là “wifi rule” Phần còn lại của các tính năng được thực hiện như các bộ tiền xử lý (preprocessors) có thể được cấu hình và điều chỉnh theo yêu cầu triển khai Snort-wireless hiện chỉ làm việc với các card không dây có hỗ trợ DLT_IEEE802_11 hay DLT_PRISM_HEADER; nó có thể làm việc với HostAP, Airjack và Madwifi dirver

Bảng sau so sánh 3 sản phẩm gồm wireless, AirDefense, Kismetwireless, công cụ wireless vẫn có đánh giá cao hơn hai sản phẩm còn lại [JR12]

Snort-Bảng 2.1.1 Snort-Bảng so sánh Snort-wireless, AirDefense và Kismet

1.3.2 Bộ luật giám sát giao thức 802.11

Xây dựng bộ luật (rules) cho Snort-wireless để phát hiện các mối nguy hại trên giao thức 802.11 cũng tương tự như việc xây dựng rule cho snort Tuy nhiên, có chút khác biệt khi xây dựng rules cho 802.11, đó là đối với snort ta dùng IP đích, IP nguồn, hay port; còn đối với Snort-wireless ta lại dùng nguồn và đích MAC Address5

Cấu trúc rule của Snort-wireless:

<action> wifi <mac> <direction> <mac> (<rule options>)

5

http://snort-wireless.org/docs/usersguide/chap2.html#overview_ch2

 <action>: Rule header chứa các thông tin của gói tin: là gì?, ở đâu?, và gói tin thuộc loại nào? rule action là phần đầu tiên trong một cấu trúc rule của Snort-wireless Rule Action cho Snort phải làm gì khi nó tìm thấy một gói tin phù hợp với rule được xây dựng Có 5 hành động mặc định có sẵn trong Snort, alert, log, active, pass, dynamic

 alert phát cảnh báo khi có nguy hiểm cho hệ thống và sau đó lưu log

 log lưu gói tin log (log packet)

 active bỏ qua gói tin log

 pass cảnh báo và kích hoạt rule khác

 dynamic chờ được kích hoạt bởi active và sau đó thực hiện lưu log

 <mac>: Nguồn và đích của rule được thay thế bằng Mac address, có hai loại mac được

dùng trong rule

 Single MAC Address: 00:DE:AD:BE:EF:00

 MAC Address List: [00:DE:AD:BE:EF:00, 00:DE:AD:C0:DE:00, ]

 <direction>: Snort cung cấp hai toán tử để xác định hướng lưu lượng áp dụng trong rule, toán tử -> (truyền từ nguồn tới đích), toán tử <> (truyền từ nguồn tới đích hay ngược lại từ đích tới nguồn)

 <rule option>: Snort-wireless có nhiều lựa chọn tính năng cho giao thức 802.11 trong việc xây dựng bộ luật cho “rule wifi” Bảng sau mô tả tính năng cho rule option:

­ Frame_control: tests the entire

frame control field

­ Type: tests the 802.11 frame's

type

­ Stype: tests the 802.11 frame's

subtype

­ From_ds: tests the from

distribution system frame control

flag

­ To_ds: tests the to distribution

system frame control flag

­ More_frags: tests the more

fragments frame control flag

­ Retry: tests the retry frame

control flag

­ Pwr_mgmt: tests the power

management frame control flag

­ More_data: tests the more data frame control flag

­ Wep: tests the wep frame control flag

­ Order: tests the order frame control flag

­ Duration_id: tests the frame's duration/id field

­ Bssid: tests the frame's BSSID

­ Seqnum: tests the frame's sequence number

­ Fragnum: tests the frame's fragment number

­ Addr4: tests the frame's 4th address field

­ ssid: tests the frame's SSID

Bảng 2.1.2 Bảng chi tiết rule option

1.3.1 Các đặc tính thực hiện được bởi Snort-wireless

a RogueAP Preprocessor

Phát hiện các AP giả mạo vào mạng Ad-hoc

Để cấu hình, ta sẽ cần phải xác định BSSID của AP và các kênh hoạt động trong tập tin

snort.conf, bằng cách sử dụng BSSID (Mac Address) và kênh của AP

 Single AP

var ACCESS_POINTS XX:XX:XX:XX:XX:XX

 Multiple APs

var ACCESS_POINTS [XX:XX:XX:XX:XX:XX, YY:YY:YY:YY:YY:YY, ]

 Single channel (var CHANNELS X)

 Multiple channels (var CHANNELS [X, Y, ])

b AntiStumbler Preprocessor

Mục đích để phát hiện luồng dữ liệu như NetStumbler và thực hiện điều này bằng cách theo dõi

các frame yêu cầu thăm dò (Probe request frames) được gửi với NULL SSID AntiStumbler Preprocessor được kích hoạt bằng cách định nghĩa sau đây trong snort.conf:

Preprocessor antistumbler: probe_reqs [num], probe_period [num], \ expire_timeout [num]

Preprocessor deauth_flood: deauth_threshold 20, expire_timeout 60, target_limit 100,

Preprocessor macspoof: $MACSPOOF_MASKED_ADDR, tolerate_gap 5, threshold 10,

expire_timeout 120, spoofed_addr_limit 100, prune_period 30

1.4 Các đặc tính cho tương lai

 Nhiều plugins hơn cho management frames

 Dò kênh trong việc giả mạo AP và Ad-hoc

 Cơ chế đáp ứng linh hoạt (Dos netstumbler với hàng ngàn fake AP)

 WEP preprocessor: giải mã cấu trúc data frames và đưa vào thăm dò engine cho phân tích lớp 3

1.5 Xây dựng một lightweight-IDS với wireless-snort

1.5.1 Cấu trúc môi trường Build OpenWrt

Môi trường Openwrt Buildroot là một tập hợp của Makefiles, patche và các scripts, tạo ra compilation toolchain, tải nhân Linux, tạo ra hệ thống tập tin gốc, quản lý các gói của tổ chức thứ

cross-3, cross-compilation toolchain sử dụng uClibc Với OpenWrt Buildroot, các nhà phát triển có thể biên dịch phần mềm tùy chỉnh cho phần cứng / kiến trúc được hỗ trợ6 Hình 2.1.3 thể hiện cấu trúc BuildRoot

Khi thực hiện lệnh run make trên hệ thống xây dựng OpenWrt, hệ thống sẽ tạo ra các phần riêng

biệt theo thứ tự sau:

 Toolchain/install Xây dựng toolchain và cài đặt vào thư mục dựng sẵn

 Target/complie Xây dựng các nhân linux

 Package/compile Xây dựng tất cả các package

 Target /install Cài đặt tất cả các gói; cài đặt nhân các module, sau đó sẽ tạo ra hệ thống

tập tin thư mục gốc và nhân image để cuối cùng là tạo ra firmware

1.5.2 Cấu trúc môi trường Build OpenWrt

Đầu tiên cần tạo môi trường BuildRoot OpenWrt với hệ điều hành Linux Ubuntu Sau khi tạo BuildRoot ta có thể tạo các firmware theo nhu cầu của người sử dụng hay tạo các gói package riêng theo mục đích để cài đặt vào firmware image OpenWrt

a Tạo BuildRoot OpenWrt

Cài đăt môi trường BuildRoot có thực hiện trên nhiều hệ điều hành khác nhau, trong đề tài này, BuildRoot thực hiện trên máy Linux dùng hệ điều hành Ubuntu Cài đặt môi trường BuildRoot

được thực hiện theo các bước sau:

Bước 1: Cài đặt subversion (viết tắt: svn):

Tải về mã nguồn OpenWrt, và xây dựng các công cụ để hỗ trợ quá trình biên dịch

Trong ubuntu ta dùng lệnh cài đặt trực tiếp hai gói subversion và build-essential

sudo apt-get install subversion build-essential

Bước 2: Download the OpenWrt sources with svn

Đầu tiên tạo thư mục OpenWrt, sau đó vào thư mục OpenWrt mới tạo và download source code

về thư mục OpenWrt Các lệnh thực hiện như sau:

mkdir ~/openwrt

svn co svn://svn.openwrt.org/openwrt/trunk/

cd trunk

Khi muốn cập nhật source code mới ta thực hiện lệnh: svn update

Bước 3: Download và cài đặt feed, dùng feed scripts

./scripts/feeds update -a

./scripts/feeds install -a

Bước 4: Sử dụng một trong các lệnh sau đây để kiểm tra các gói còn thiếu trên hệ thống chúng ta

muốn xây dựng openwrt

make defconfig

make prereq

make menuconfig

Bước 5: Cài đặt các gói còn thiếu trong hệ điều hành linux ubuntu

sudo apt-get install libncurses5-dev zlib1g-dev gawk flex

Bước 6: Tạo image firmware

Tạo image ta cần vào thư mục chứa source openwrt và thực hiện lệnh sau:

Make menuconfig8

8 Để thực hiện tạo BuildRoot ta cần thực hiện quyền với user thường, không dùng user root và phải thực hiện các lệnh trong thư mục chứa source code openwrt

Menu (hình 2.1.4) này cho phép chúng ta lựa chọn nền tảng target, phiên bản của toolchain muốn dùng để xây dựng và những gói chúng ta muốn đưa vào firmware image Chạy giao diện cấu hình này sau khi cập nhật các nguồn cung cấp dữ liệu để đảm bảo rằng các gói mới nhất được sử dụng trong cấu hình

Hình 2.1.4: Giao diện menuconfig

Khi tạo firmware tùy vào hệ (platform) target, các yêu cầu về package và các nhân modules cần thiết, tuy nhiên việc xây dựng một firmware chuẩn cần thỏa các yêu cầu sau:

 Target system

 Package selection

 Build system settings

 Kernel modules

Sau khi hoàn tất các yêu cầu cho việc xây dựng một firmware cơ bản, lưu cấu hình và thực hiện

lệnh make để tạo Image

b Xây dựng phần mềm lightweight-IDS Snort

Xây dựng gói phần mềm lightweight-IDS Snort trong OpenWrt, ta cần 2 gói quan trọng sau:

 Package/Makefile

 Package/patches

Thư mục vá lỗi là tùy chọn, thông thường chứa những vá lỗi cho phần mềm, tối ưu hóa nhằm giảm kích thước trong quá trình thực thi Gói Makefile là thực sự cần thiết nó cung cấp các bước cần thiết để tải về và biên dịch các gói Sau khi tạo Makefile ta thực hiện lệnh sau để tạo gói Snort, Snort-wireless:

Make package/Snort-wireless/compile

Make package/Snort-wireless/install

2 Xây dựng giải pháp chống ngắt kết nối vào mạng không dây nội bộ

2.1 Tấn công ngắt kết nối

Một trong những hạn chế của mạng không dây là dễ bị tấn công từ chối dịch vụ do giao thức 802.11 quản lý truy cập bằng các gói tin quản lý (management frame), trong khi lại thiếu cơ chế chứng thực các management frame này Do đó tin tặc có thể mạo danh Access Point hay các máy trạm để can thiệp vào quá trình quản lý truy cập này, hủy các kết nối hiện hành hoặc ngăn các kết

nối mới vào hệ thống [KP05] Tấn công ngắt kết nối - “Dis‟sing” là một hình thức tấn công từ chối dịch vụ thuộc loại này Có hai hình thức chính của loại tấn công này: Tấn công ngắt kết nối

(Disassociation attack) và tấn công tái chứng thực (Deaunthentication attack) Các tấn công này

gọi chung là farewell attacks

Farewell attack B Aslam và các cộng sự [Aslam06], mô tả quá trình thực hiện giao tiếp giữa

Acesss point và máy trạm (truy cập hệ thống WLAN của máy trạm) là một tiến trình 3 giai đoạn gồm 4 trạng thái:

 Chưa chứng thực và chưa kết nối (unauthenticated and unassociated)

 Đã chứng thực nhưng chưa được kết nối

 Đã chứng thực và đã kết nối

 Đã chứng thực và đã kết nối và đã chứng thực 802.1x

Tuy Wireless-IDS có thể phát hiện các cuộc tấn công xâm nhập nhưng chưa ngăn chặn được các cuộc tấn công đó

Hiện nay có nhiều công trình nghiên cứu cho giải pháp chống tấn công ngắt kết nối như:

 A lightweight solution for wireless LAN: letter-envelope protocol [TDB08]

 Giải pháp của IEEE 802.11w (Jesse Walker)9

2.2 Những nghiên cứu liên quan

Với tấn công từ chối dịch vụ trên WLAN 802.11, có 2 vấn đề cần quan tâm: bản thân giao thức 802.11, và khả năng của hệ thống (cụ thể là Access Point)

Các hướng có thể ngăn chặn các tấn công kiểu “dis‟ing”:

 Tắt chức năng gửi và nhận deauthentication/disassociation frame

 Đưa vào hàng đợi các deauthentication/disassociation frame

 Thay đổi authentication server để xử lý disassociation frame

 Chứng thực các deauthentication/disassociation frame

2.2.1 Tắt chức năng gửi và nhận deauthentication /disassociation frame

Điều kiện: chỉnh sửa lại trình điều khiển của các thiết bị không dây để bỏ qua tất cả các

deauthentication/disassociation frame gửi từ Access Point, máy trạm hoặc gửi đến địa chỉ

broadcast

Nhận xét:

 Không hợp lý trong thực tế đối với những người dùng mạng không dây

 Chức năng deauthentication/disassociation hữu ích khi người dùng roaming, ngắt kết nối

với Access Point này và kết nối với Access Point khác hoặc khi Access Point offline thì nó phải thông báo ngưng kết nối với các máy trạm

 Hiện chúng tôi chưa thấy nghiên cứu nào đề xuất hoặc ứng dụng không dây nào áp dụng giải pháp này trong thực tiễn

9

Jesse Walker, C (n.d.) From Status of Project IEEE 802.11 Task Group w: http://www.ieee802.org/11/Reports/tgw_update.htm

2.2.2 Đưa vào hàng đợi các deauthentication/disassociation frame

Điều kiện: Access Point đưa vào hàng đợi các disassociation request trong một thời gian ngắn,

chẳng hạn trong vòng 5-10 giây Nếu gói tin dữ liệu được gửi đến Access Point khi mà disassociation request của máy đó còn ở trong hàng đợi thì disassociation request này sẽ được bỏ qua

Nhận xét Phải chỉnh sửa trình điều khiển của các Access Point và máy trạm Hơn nữa nó làm

chậm quá trình xử lý disassociation frame Khoảng thời gian lưu trữ deauthentication/disassociation request trong hàng đợi bao lâu là hợp lý? Ví dụ, trường hợp 1 người dùng hợp pháp kết nối với AP, nhưng có khoảng thời gian người đó không gửi dữ liệu (gọi

là idle) Tin tặc mạo danh người dùng này gửi yêu cầu disassociation, sau 5 giây không thấy người dùng gửi gói tin data và Access Point ngắt kết nối người dùng Đây là một điều bất hợp lý, đòi hỏi chúng ta phải có hướng xử lý mang tính thời gian thực hơn

2.2.3 Thay đổi authentication server để xử lý disassociation frame

Điều kiện: Một đối tượng quản lý trung tâm (central manager – CM) được thiết kế để quản lý một

lượng lớn các Access Point và máy trạm CM là một backend server hoạt động như là một Authentication Server trong chuẩn 802.1X

 Sau khi Access Point nhận được disassocciaton request từ một máy trạm, nó sẽ chuyển gói tin này đến CM

 Nếu request này là của một máy trạm nằm trong danh sách đã chứng thực thì CM sẽ gửi lại một gói tin, trong đó yêu cầu máy trạm xác nhận việc muốn ngưng kết nối

 Sau khi máy trạm nhận được yêu cầu trên nó sẽ gửi lại phản hồi xác nhận việc ngưng kết nối hoặc không

 Nếu CM nhận được xác thực ngưng kết nối thì nó sẽ gửi một thông điệp đến Access Point

và Access Point sẽ ngưng kết nối với máy trạm đó Còn nếu CM nhận được thông điệp phủ

nhận việc kết nối hoặc không nhân được phản hồi này từ máy trạm thì nó sẽ gửi một thông điệp disassociate-ignore đến AP và AP sẽ giữ nguyên tình trạng kết nối của máy trạm

Nhận xét

 Điều này yêu cầu chúng ta không những chỉnh sửa lại trình quản lý của Access Point, của máy trạm mà còn cả của Authentication Server Đồng thời phải xây dựng các cơ chế bảo mật truyền thông giữa Access Point và bộ phận Central Manager Đồng nghĩa với chi phí lớn cho việc ứng dụng và triển khai

 Điểm yếu chính: “single server failer”

2.2.4 Chứng thực các deauthentication/disassociation frame

Hiện có nhiều giải pháp đã đưa ra để chứng thực các managenet frame

 Các giải pháp hiện có phát triển trên chuẩn 802.1X và các hướng nghiên cứu theo chuẩn này chỉ mới tìm cách chứng thực các EAP management frame mà chưa chứng thực 802.11 management frame

 Trong các báo cáo của Shiguo Wan et al [SBRFE05]và của Daniel B Faria et al [DD02], chủ yếu đưa ra giải pháp chứng thực bằng cách chỉnh sửa lại toàn bộ giao thức 802.11 từ tầng Application đến tầng DataLink (xem hình 2.2.1) Các giải pháp này tạo

ra một session key mỗi khi client kết nối với AP Và disassociation request chỉ có tác dụng khi gửi đúng session key Các giải pháp này giải quyết được vấn đề DoS trên giao thức, nhưng vẫn chưa giải quyết được vấn đề khả năng của hệ thống (bị memmory DoS

và computation DoS), phải có thời gian thực nghiệm và triển khai, chi phí ứng dụng tương đối lớn do phải thay đổi các thiết bị hiện tại

Hình 2.2.1: Giáo thức Stanford Access Control Protocol

2.3 Vấn đề đặt ra

Tất cả các hướng giải quyết trên, ngoài trừ giải pháp số1 (do chưa có sử dụng trong thực tế), đều

có những ưu và khuyết điểm tồn đọng Với tiêu chí hiệu quả và chi phí thấp khi triển khai trên các thiết bị 802.11 hiện có, đề tài đề xuất một giải pháp chống tấn công từ chối dịch vụ trên mạng WLAN tiếp cận theo hướng chứng thực các management frame