Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)

Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)Thiết Kế Và Xây Dựng Giải Pháp Bảo Vệ Tính Riêng Tư Trong Kết Nối Wifi (LV thạc sĩ)

PHAN VĂN KHOA

LUẬN VĂN THẠC SĨ KỸ THUẬT

(Theo định hướng ứng dụng)

TP.HCM - 2017

THIẾT KẾ VÀ XÂY DỰNG GIẢI PHÁP BẢO VỆ TÍNH RIÊNG TƯ TRONG KẾT NỐI WIFI

PHAN VĂN KHOA

THIẾT KẾ VÀ XÂY DỰNG GIẢI PHÁP BẢO VỆ TÍNH RIÊNG TƯ TRONG KẾT NỐI WIFI

CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN

MÃ SỐ: 60.48.01.04

LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS VÕ VĂN KHANG

TP.HCM - 201 7

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác

TP HCM, ngày tháng năm 2017 Học viên thực hiện luận văn

Phan Văn Khoa

LỜI CẢM ƠN

Trong quá trình thực hiện đề tài, TS Võ Văn Khang với tư cách là giảng viên

hướng dẫn đã tận tình hướng dẫn, định hướng và có nhiều ý kiến đóng góp để luận văn được hoàn thiện Qua đây tôi xin trân trọng gửi lời cảm ơn đến

TS Võ Văn Khang đã tận tình chỉ bảo tôi trong suốt thời gian qua để tôi có thể hoàn

thành luận văn cao học này

Tôi xin gửi lời cảm ơn chân thành đến tất cả các thầy cô của Học viện Công nghệ Bưu chính Viễn thông đã giảng dạy trong suốt quá trình học tập tại trường

Bên cạnh đó tôi cũng xin cảm ơn tất cả các đồng nghiệp tại Trường đại học Văn Lang đã hỗ trợ, chia sẽ công việc để tôi có thể hoàn thành luận văn cao học, xin cảm

ơn gia đình cùng bạn bè đã đồng hành cùng tôi suốt thời gian học tập và nghiên cứu

Xin trân trọng cảm ơn!

TP HCM, ngày tháng năm 2017 Học viên thực hiện luận văn

Phan Văn Khoa

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN ii

MỤC LỤC iii

DANH MỤC HÌNH vii

DANH MỤC BẢNG viii

MỞ ĐẦU 1

CHƯƠNG 1- TỔNG QUAN MẠNG KHÔNG DÂY 2

1.1 Giới thiệu về mạng WLAN 2

1.2 Chuẩn mạng 802.11 3

1.3 Các mô hình mạng WLAN 4

1.4 Kiến trúc WLAN 4

1.5 Kiến trúc MAC 802.11 5

1.5.1 Lớp liên kết dữ liệu 5

1.5.2 Lớp vật lý 5

1.5.3 Các loại khung 802.11 6

Khung quản lý (Management frame) 6

Khung điều khiển (Control frame) 6

Khung dữ liệu (Data frame) 7

1.6 Quá trình kết nối Wi-Fi 8

1.6.1 Thăm dò Wi-Fi và các mối đe dọa 8

Quét thụ động (Passive scan) 9

Quét chủ động (Active scan) 9

Các mối đe dọa 10

1.6.2 Tiến trình xác thực 11

Xác thực hệ thống mở (Open System Authentication) 12

Xác thực khóa chia sẽ (Shared Key Authentication) 12

1.6.3 Tiến trình kết nối 13

1.6.4 Trạng thái của xác thực và kết nối 14

1.6.5 Chuyển vùng 14

1.7 Các giải pháp bảo mật nổi bật 15

1.7.1 WLAN VPN 15

1.7.2 802.1x và EAP 16

1.8 Kết luận 16

CHƯƠNG 2- VẤN ĐỀ BẢO MẬT VÀ GIẢI PHÁP BẢO VỆ SỰ RIÊNG TƯ TRONG KẾT NỐI WI-FI 17

2.1 Giới thiệu 17

2.2 Bảo mật mạng không dây WLAN 17

2.3 Các lỗ hổng bảo mật trong mạng Wi-Fi 19

2.3.1 Lỗ hổng trong quá trình thăm dò 20

2.3.2 Các loại tấn công 21

Tấn công giả mạo (Spoofing Attack) 22

Tấn công Karma 23

Tấn công từ chối dịch vụ (Denial of Service Attacks) 24

2.3.3 Theo dõi (Tracking) 25

Phương pháp nghe lén (Stalker Method) 25

Tấn công gửi lại beacon (Beacon Replay Attack) 26

Dấu vân tay (Fingerprinting) 27

SSID - Service Set Identifier 28

2.4 Các giải pháp bảo vệ sự riêng tư trong kết nối Wi-Fi 29

2.4.1 Đối với người dùng 29

Tắt Wi-Fi 30

Chuyển sang băng thông rộng 30

Các biện pháp khác 31

2.4.2 Đối với thiết bị không dây 31

Địa chỉ MAC/ bút danh ngẫu nhiên 31

Thời gian im lặng (Silent period) 33

Phân bổ gán địa chỉ MAC và vùng kết hợp 33

Xáo trộn (Obfuscation) 34

Mã hóa (Encryption) 35

Các kỹ thuật khác 35

2.4.3 Đối với mạng 36

Location Aided Probing 36

SlyFi 37

2.5 Kết luận 38

CHƯƠNG 3– XÂY DỰNG ỨNG DỤNG BẢO VỆ SỰ RIÊNG TƯ TRONG KẾT NỐI WI-FI 39

3.1 Giới thiệu 39

3.2 Xây dựng ứng dụng Android bảo vệ sự riêng tư trong kết nối Wi-Fi 39

3.2.1 Ý tưởng xây dựng ứng dụng Wi-Fi Security 40

3.2.2 Các module chính của ứng dụng Wi-Fi Security 41

3.2.3 Chức năng chính của phần mềm Wi-Fi Security 45

3.3 Giới thiệu một số công cụ tấn công 48

3.3.1 Công cụ theo dõi 48

Hoover.pl - Wi-Fi probe requests sniffer 48

Wireshark 49

3.3.2 Công cụ tấn công trong quá trình kết nối Wi-Fi 49

Aircrack 50

Công cụ Wi-Fi Pumpkin 52

3.4 Thực nghiệm và đánh giá 53

3.4.1 Chuẩn bị 53

3.4.2 Thực nghiệm 54

3.4.3 Kết quả thực nghiệm và đánh giá 58

KẾT LUẬN VÀ KIẾN NGHỊ 60

TÀI LIỆU THAM KHẢO 61

DANH MỤC HÌNH

Hình 1.1: Quá trình kết nối Wi-Fi 8

Hình 1.2: Quét thụ động (Passive scan) 9

Hình 1.3: Quét chủ động (Active scan) 10

Hình 1.4: Các trạng thái xác thực và kết nối 14

Hình 2.1: Thiết lập bảo mật trong hệ thống không dây 18

Hình 2.2: Phân loại các lỗ hổng mạng Wi-Fi 19

Hình 2.3: Sniffing probe request các client tại Trường ĐH Văn Lang 21

Hình 2.4: Tấn công Karma 24

Hình 2.5: Giao thức SlyFi 37

Hình 3.1: Ứng dụng Wi-Fi Security 40

Hình 3.2: Danh sách SSID và địa chỉ MAC của SSID 42

Hình 3.3: Quyền truy cập vị trí của Wi-Fi Security 43

Hình 3.4: Người dùng xác nhận mạng tin cậy hoặc không tin cậy 45

Hình 3.5: Wi-Fi Security xác minh SSID trong lần đầu tiên kết nối 46

Hình 3.6: Danh sách các SSID và địa chỉ MAC đã kết nối 46

Hình 3.7: SSID và địa chỉ MAC không tin tưởng (màu đỏ) 47

Hình 3.8: Chức năng xóa các SSID và địa chỉ MAC 47

Hình 3.9: Quét tìm AP và Client 50

Hình 3.10: Wifi Pumpkin với các chức năng cơ bản được cài đặt trên Kali 52

Hình 3.11: Card Wireless Alfa AWUS036ACH 53

Hình 3.12: Địa chỉ MAC của Samsung A5 54

Hình 3.13: Yêu cầu thăm dò sniffing bằng tshark 55

Hình 3.14: Yêu cầu thăm dò sniffing bằng Wireshark 56

Hình 3.15: Quá trình sniffing bằng Hoover 57

DANH MỤC BẢNG

Bảng 3.1: Mô tả thông tin Airodump-ng bắt được 51

MỞ ĐẦU

Ngày nay, chúng ta có thể truy cập Wi-Fi miễn phí tại nhiều nơi như sân bay, quán coffee, trung tâm mua sắm, …Trong thời đại thông tin, nhiều người vẫn chưa hiểu hết về giá trị của mình trên mạng internet Để hạn chế những hậu quả không đáng có thì chúng ta phải nghĩ thật kỹ trước khi quyết định kết nối vào mạng Wi-Fi miễn phí nào Một kẻ nghe trộm có thể dễ dàng thu thập các thông tin rò rỉ trong quá trình thăm

dò Wi-Fi để tiến hành các cuộc tấn công như: giả mạo AP, hiện các AP ẩn, hay lấy cắp thông tin riêng tư của người dùng Người dùng sẽ phải đối mặt với 3 hình thức tấn công chính khi sử dụng mạng Wi-Fi miễn phí: Tấn công nghe lén (Man-in-the-Middle hay MITM), tấn công lừa đảo (Phishing) và tấn công giả mạo Wi-Fi (SSID Spoofing)

Có nhiều cách để hạn chế sự mất mát thông tin cá nhân trong quá trình thăm dò kết nối mạng Wi-Fi công cộng như: luôn sử dụng Orbot hoặc VPN để kết nối với mạng internet Chúng sẽ ẩn danh hoặc mã hóa các dữ liệu khiến cho kẻ gian không thể theo dõi được Tắt chế độ kết nối tự động vào các điểm Wi-Fi trên máy tính và các thiết bị di động, chỉ chủ động kết nối vào internet khi cần Khi truy cập Wi-Fi công cộng, phải luôn luôn đảm bảo rằng bất kỳ website nào mà khi đăng nhập cho các thông tin nhạy cảm hay bất kỳ dịch vụ nào (như email và FTP) phải được bảo vệ bằng SSL, …Điều này sẽ đảm bảo thông tin qua lại giữa máy tính và website hay dịch vụ luôn an toàn Xây dựng ứng dụng bảo vệ sự riêng tư và bảo vệ dữ liệu trong quá trình thăm dò kết nối để đảm bảo sự riêng tư của người dùng mạng Wi-Fi nhằm mục đích làm giảm thiểu rủi ro mất dữ liệu riêng tư đồng thời giảm thời gian kết nối mạng bằng cách loại bỏ các yêu cầu thăm dò không cần thiết, giúp quản lý hiệu quả

và nhanh chóng các thông tin SSID và địa chỉ MAC của các mạng Wi-Fi mà thiết bị

di động đã kết nối

CHƯƠNG 1 - TỔNG QUAN MẠNG KHÔNG DÂY

1.1 Giới thiệu về mạng WLAN

WLAN là một hệ thống thông tin liên lạc dữ liệu linh hoạt được thực hiện như phần mở rộng, hoặc thay thế cho mạng LAN hữu tuyến trong nhà hoặc trong các cơ quan Sử dụng sóng điện từ, mạng WLAN truyền và nhận dữ liệu qua khoảng không, tối giản nhu cầu cho các kết nối hữu tuyến Như vậy, mạng WLAN kết nối dữ liệu với người dùng lưu động, và thông qua cấu hình được đơn giản hóa, cho phép mạng LAN di động [1]

Ngày nay, mạng không dây trở nên rất phổ biến, hầu như bất cứ nơi nào cũng điều

dễ dàng tìm được mạng Wi-Fi để kết nối, đặc biệt hơn khi chúng lại là miễn phí như

ở sân bay, nhà hàng, quán coffee, trung tâm thương mại, trường học, … Bên cạnh đó với sự phát triển của công nghệ kỹ thuật, gần như mọi hoạt động điều được giao dịch thông qua các thiết bị di động với mạng Wi-Fi là chủ yếu Chính từ sự phổ biến và tiện ích đó thì vấn đề an ninh riêng tư càng trở nên quan trọng hơn bao giờ hết Chỉ với danh sách SSID về mạng Wi-Fi mà thiết bị di động kết nối tới thì Attacker đã có thể có được những thông tin vô cùng quý giá về nạn nhân nhằm thực hiện các cuộc tấn công nguy hiểm đe dọa đến an ninh thông tin người dùng

Mạng Wi-Fi cung cấp các hiệu suất sau: khả năng lưu động cải thiện hiệu suất và dịch vụ, đơn giản và tốc độ nhanh trong cài đặt, linh hoạt trong cài đặt, giảm bớt giá thành sở hữu, tính linh hoạt, khả năng vô hướng, khả năng phục vụ, tiện nghi, và các lợi thế về chi phí hơn hẳn các mạng nối dây truyền thống [1]

Bên cạnh các lợi ích không thể phủ nhận thì mạng Wi-Fi vẫn tồn tại những nhược điểm ảnh hưởng rất lớn đến người dùng như: do môi trường không dây nên vấn đề bảo mật đáng quan tâm hơn rất nhiều so với mạng có dây, phạm vi phát sóng của các trạm phát sóng cũng là một bất lợi, do sử dụng sóng vô tuyến để truyền thông nên dễ

bị nhiễu và tốc độ truyền của mạng Wi-Fi là không cao so với mạng cáp quang

1.2 Chuẩn mạng 802.11

Thành phần chính của mạng không dây 802.11 là sóng vô tuyến, được gọi bởi chuẩn 802.11 như một trạm (STA) Sóng vô tuyến có thể nằm bên trong một điểm truy cập hoặc được sử dụng như một client Chuẩn 802.11-2012 định nghĩa bốn mạng riêng biệt 802.11 khác nhau, được gọi là các bộ dịch vụ (service sets), mô tả cách các sóng vô tuyến này có thể được sử dụng để giao tiếp với nhau Bốn cấu hình mạng 802.11 này được gọi là bộ dịch vụ cơ bản (Basic Service Set - BSS), bộ dịch vụ mở rộng (Extended Service Set - ESS), bộ dịch vụ cơ bản độc lập (Independent Basic Service Set - IBSS) và bộ dịch vụ cơ bản lưới (Mesh Basic Service Set - MBSS) [10] Điểm truy cập (Ap - Access Point) [1]: Chức năng chính của AP là mở rộng mạng

Nó có khả năng chuyển đổi các frame dữ liệu trong 802.11 thành các frame thông dụng để có thể sử dụng trong các mạng khác AP có chức năng cầu nối giữa không dây thành có dây

Client station [1]: Các máy trạm là các thiết bị vi tính có hỗ trợ kết nối vô tuyến như: Máy tính xách tay, máy tính bảng, máy quét, điện thoại thông minh và nhiều thiết bị di động khác

Dịch vụ tích hợp (Integration Service – IS) [1]: Là mô tả nó như một phương thức chuyển định dạng khung Cổng thông thường là một điểm truy cập hoặc một bộ điều khiển WLAN

Hệ thống phân phối (Distribution System - DS): được sử dụng để kết nối một bộ các bộ dịch vụ cơ bản (BSS) thông qua các mạng LAN tích hợp để tạo một bộ dịch

vụ mở rộng (ESS) [1] Các điểm truy cập do bản chất của chúng là các thiết bị cổng Lưu lượng không dây có thể được định lại trên môi trường không dây hoặc chuyển tiếp tới dịch vụ tích hợp DS bao gồm hai thành phần chính: Hệ thống Phân phối (Distribution System Medium - DSM) và dịch vụ hệ thống phân phối (Distribution System Services - DSS) [10]

1.3 Các mô hình mạng WLAN

Mạng 802.11 linh hoạt về thiết kế, gồm 3 mô hình mạng sau [1]:

Mô hình mạng độc lập (Independent Basic Service Set - IBSS) hay còn gọi là Ad hoc: Các node di động tập trung lại trong một không gian nhỏ để hình thành nên kết nối ngang cấp (peer-to-peer) giữa chúng Các node di động có card không dây là chúng có thể trao đổi thông tin trực tiếp với nhau

Mô hình mạng cơ sở (Basic Service Set - BSS): Bao gồm các điểm truy cập AP (Access point) gắn với mạng đường trục hữu tuyến và giao tiếp với các thiết bị di động trong vùng phủ sóng của một cell AP đóng vai trò điều khiển cell và điều khiển lưu lượng tới mạng Các thiết bị di động không giao tiếp trực tiếp với nhau mà giao tiếp với các AP Các trạm di động sẽ chọn AP tốt nhất để kết nối

Mô hình mạng mở rộng (Extended Service Set - ESS): Mạng 802.11 mở rộng phạm

vi di động tới một phạm vi bất kỳ thông qua ESS ESS là tập hợp các BSS nơi mà các

AP giao tiếp với nhau để chuyển lưu lượng từ một BSS đến một BSS khác làm cho trao đổi dễ dàng giữa các BSS, AP giao tiếp thông qua hệ thống phân phối

1.4 Kiến trúc WLAN

Mặc dù việc chấp nhận các công nghệ 802.11 trong doanh nghiệp vẫn tiếp tục phát triển, sự tiến triển của kiến trúc WLAN vẫn giữ được tốc độ bình đẳng Trong hầu hết các trường hợp, mục đích chính của công nghệ 802.11 là cung cấp một cổng không dây vào mạng cơ sở hạ tầng có dây Để làm sao một cổng không dây 802.11 được tích hợp vào một cơ sở hạ tầng ethernet chuẩn 802.3 thường xuyên thay đổi mạnh mẽ WLAN thường cung cấp một trong ba kiến trúc chính: Kiến trúc WLAN độc lập; Kiến trúc WLAN tập trung; Kiến trúc WLAN phân tán [10]

MAC Service Data Unit (MSDU) [10]: Khi lớp mạng (lớp 3) gửi dữ liệu đến lớp liên kết dữ liệu, dữ liệu đó được chuyển tới LLC và trở thành bộ phận dữ liệu dịch vụ MAC (MSDU) MSDU chứa dữ liệu từ LLC và các lớp 3-7 Một định nghĩa đơn giản của MSDU là tải dữ liệu có chứa gói tin IP cộng với một số dữ liệu LLC

MAC Protocol Data Unit (MPDU) [10]: Khi lớp con LLC gửi MSDU tới lớp con MAC, thông tin MAC header sẽ được thêm vào MSDU để xác định nó MSDU bây giờ được đóng gói trong một đơn vị dữ liệu giao thức MAC (MPDU) Một định nghĩa đơn giản của 802.11 MPDU là một khung 802.11

1.5.2 Lớp vật lý

Lớp vật lý được chia thành hai lớp con Phần trên của lớp vật lý được gọi là lớp con mô phỏng lớp vật lý (Physical Layer Convergence Procedure - PLCP) và phần dưới được gọi là lớp con phụ thuộc vật lý (Medium Medium Dependent - PMD) [10] PLCP chuẩn bị khung truyền dữ liệu bằng cách lấy khung từ lớp con MAC và tạo ra đơn vị dữ liệu giao thức PLCP (PLCP Protocol Data Unit - PPDU) Lớp con của PMD sau đó điều chỉnh và truyền dữ liệu dưới dạng bit

PLCP Service Data Unit (PSDU): là quan sát MPDU từ lớp vật lý Lớp MAC đề cập đến khung như MPDU, trong khi lớp vật lý đề cập đến cùng một khung như PSDU [10] Sự khác biệt duy nhất là lớp của mô hình OSI đang quan sát ở khung PLCP Protocol Data Unit (PPDU) [10]: Khi PLCP nhận được PSDU, nó sẽ chuẩn

bị PSDU để truyền và tạo ra các đơn vị dữ liệu giao thức PLCP (PPDU) PLCP thêm

đầu đề và tiêu đề PHY vào PSDU Đầu đề được sử dụng để đồng bộ hóa giữa truyền

và nhận các sóng vô tuyến 802.11 Khi PPDU được tạo ra, lớp con của PMD sẽ lấy PPDU và điều chỉnh các bit dữ liệu và bắt đầu truyền

1.5.3 Các loại khung 802.11

Khung quản lý (Management frame)

Các khung quản lý được sử dụng bởi các trạm không dây để tham gia và rời khỏi

bộ dịch vụ cơ bản (BSS) Chúng không cần thiết trên mạng có dây, vì kết nối vật lý hoặc ngắt kết nối cáp mạng thực hiện chức năng này Tuy nhiên, vì mạng không dây

là một môi trường vô hạn, trước tiên cần phải tìm một mạng WLAN tương thích, sau

đó xác nhận với mạng WLAN (giả sử chúng được phép kết nối) và sau đó liên kết với mạng WLAN (AP) để được truy cập vào mạng có dây (hệ thống phân phối) [10] Một tên khác của khung quản lý 802.11 là MMPDU (Management MAC Protocol Data Unit) Khung quản lý không mang bất kỳ thông tin lớp trên Không có MSDU (MAC Service Data Unit) đóng gói trong thân khung MMPDU, chỉ mang các trường thông tin lớp 2 và các phần tử thông tin Các thông tin là các trường có độ dài cố định trong thân của khung quản lý Các yếu tố thông tin có độ dài khác nhau

Có tất cả 14 loại khung con quản lý được xác định bởi các tiêu chuẩn 802.11 [10]: Association request; Association response; Reassociation request; Reassociation response; Probe request; Probe response; Beacon; Announcement traffic indication message (ATIM); Disassociation; Authentication; Deauthentication; Action; Action

No ACK; Timing advertisement

Khung điều khiển (Control frame)

Các khung điều khiển 802.11 trợ giúp việc phân phối các khung dữ liệu và được truyền ở một trong các trạng thái cơ bản Khung điều khiển cũng được sử dụng để xóa kênh, lấy kênh, Chúng chỉ chứa thông tin tiêu đề

Có 9 khung điều khiển được xác định bởi chuẩn 802.11 [10]: Power save poll Poll); Request to send (RTS); Clear to send (CTS); Acknowledgment (ACK); Contention free-end (CF-End) [PCF only]; CF-End + CF-ACK [PCF only]; Block ACK request (BlockAckReq) [HCF only]; Block ACK (BlockAck) [HCF Only]; Control wrapper

Khung dữ liệu (Data frame)

Hầu hết các khung dữ liệu 802.11 mang dữ liệu thực tế được truyền từ các giao thức lớp cao hơn Lớp 3 - 7 MSDU payload thường được mã hóa vì lý do bảo mật dữ liệu Tuy nhiên, một số khung dữ liệu 802.11 không mang theo MSDU payload nhưng

có một mục đích kiểm soát MAC cụ thể trong BSS Bất kỳ khung dữ liệu nào không

có MSDU payload sẽ không được mã hóa vì một khối lượng dữ liệu lớp 3 - 7 không tồn tại [10]

Có tổng cộng 15 loại khung dữ liệu Loại dữ liệu phụ thường được gọi là khung

dữ liệu đơn giản Khung dữ liệu đơn giản có thông tin trên lớp MSDU đóng gói trong thân khung Dịch vụ tích hợp nằm trong các điểm truy cập và bộ điều khiển mạng WLAN lấy MSDU payload của một khung dữ liệu đơn giản và chuyển MSDU sang các khung ethernet 802.3

Có 15 kiểu con của các khung dữ liệu được xác định bởi chuẩn 802.11 [10]: Data (simple data frame); Null function (no data); Data + CF-ACK [PCF only]; Data + CF-Poll [PCF only]; Data + CF-ACK + CF-Poll [PCF only]; CF-ACK (no data) [PCF only]; CF-Poll (no data) [PCF only]; CF-ACK + CF-Poll (no data) [PCF only]; QoS Data [HCF]; QoS Null (no data) [HCF]; QoS Data + CF-ACK [HCF]; QoS Data + CF-Poll [HCF]; QoS Data + CF-ACK + CF-Poll [HCF]; QoS CF-Poll (no data) [HCF]; QoS CF-ACK + CF-Poll (no data) [HCF]

1.6 Quá trình kết nối Wi-Fi

Có 3 tiến trình xảy ra: Tiến trình thăm dò (probe), Tiến trình xác thực (authentication), Tiến trình kết nối (association) [10]

Hình 1.1: Quá trình kết nối Wi-Fi

1.6.1 Thăm dò Wi-Fi và các mối đe dọa

Quá trình thăm dò Wi-Fi được thiết kế để cung cấp cho người dùng một phương pháp nhanh chóng và thuận tiện để kết nối với Wi-Fi AP, và sự riêng tư người dùng không được xem như là ưu tiên hàng đầu trong tiêu chuẩn này

Wi-Fi AP ít có khả năng thay đổi vị trí của nó, nhưng các nhà quản trị mạng đôi khi có thể di chuyển chúng cho các mục đích quản lý Ngược lại Wi-Fi client là di động Wi-Fi client di động như điện thoại thông minh và máy tính bảng thường xuyên chuyển đổi giữa các AP khác nhau khi di chuyển Wi-Fi client có thể có khả năng định vị hoặc không [22] Trong chuẩn IEEE 802.11 [17], việc thăm dò Wi-Fi được chia thành hai loại: passive scan và active scan

Probe request Probe response Authentication request Authentication response Association request Association response

Data transmission

Wireless station Access point

Quét thụ động (Passive scan)

Passive scan chờ đợi trong một khoảng thời gian nhất định để lắng nghe những beacon định kỳ từ các AP xung quanh Vì Wi-Fi client phải chờ đợi đủ để lắng nghe mỗi kênh nên passive scan là chậm hơn nhiều so với phương pháp quét khác, do đó không được triển khai thực hiện nhiều [22]

Trong cấu hình mạng nhiều AP, giá trị SSID của mạng mà máy trạm muốn tham gia sẽ được quảng bá bởi nhiều AP Trong trường hợp này máy trạm sẽ cố gắng tham gia vào mạng thông qua AP có tín hiệu mạnh nhất và tỉ lệ lỗi bit thấp nhất Máy trạm

sẽ tiếp tục tiến hành quét bị động thậm chí sau khi đã kết nối với AP Quét thụ động

sẽ tiết kiệm được thời gian khi kết nối lại với mạng nếu client bị đứt kết nối với AP

Hình 1.2: Quét thụ động (Passive scan)

Quét chủ động (Active scan)

Active scan có hai chế độ khác nhau, thăm dò trực tiếp và thăm dò phát sóng (direct probe và broadcast probe) [22] Wi-Fi client sử dụng các khung probe request trước đây có chứa các SSID của các AP mà nó đã từng kết nối trước đó Các SSID liên quan trước đây thường được lưu trữ trong bộ nhớ cục bộ của Wi-Fi client và được cập nhật bất cứ khi nào một Wi-Fi client kết nối với AP mới Một Wi-Fi client chờ

đợi trong một thời gian nhất định để thu thập các khung probe response được phản hồi bởi các AP xung quanh, và sau đó chuyển sang các kênh tần số tiếp theo

Broadcast probe (còn gọi là thăm dò ký tự đại diện) mang các trường SSID rỗng trong các probe request Các AP khi nhận được broadcast probe phản ứng với probe response, và do đó broadcast probe được sử dụng cho việc tìm kiếm các AP mới cũng như các AP được kết nối trước đó AP cũng có tùy chọn để từ chối hồi đáp với broadcast probe cho mục đích an ninh [10] Thường sử dụng cả hai phương pháp kết hợp trong việc thực hiện nhiều triển khai Ngoài ra, trong nhiều trường hợp thăm dò Wi-Fi xảy ra không chỉ trong giai đoạn kết nối ban đầu, mà còn trong giai đoạn liên quan, để chuẩn bị cho mạng Wi-Fi thay thế cho các tình huống mà các mạng Wi-Fi hiện tại không còn [22]

Hình 1.3: Quét chủ động (Active scan)

Các mối đe dọa

Mặc dù direct probe được ưa chuộng do tốc độ quét nhanh chóng, nhưng nó có thể gây ra sự vi phạm quyền riêng tư nghiêm trọng bằng cách tiết lộ danh sách SSID của các thiết bị Wi-Fi của người sử dụng [19] Nó có thể cho một Attacker sử dụng thông tin này để tung ra các cuộc tấn công Karma [30] hay tiết lộ các SSID của AP ẩn Nhận dạng người dùng: Các thông tin SSID bị bắt bởi một kẻ tấn công có thể được dùng để nhận dạng người sử dụng thiết bị Wi-Fi Các đầu mối nhỏ về một mục tiêu

người dùng có thể kết hợp với các thông tin SSID thu được để theo dõi người dùng [22] Giả sử rằng kẻ tấn công biết rằng mục tiêu người dùng là một tiến sĩ tại Đại học Văn Lang, một khách thường xuyên của Mylife coffee, và quê hương là Bình Định Nếu kẻ tấn công đã nhận xét rằng thiết bị Wi-Fi sẽ gửi yêu cầu thăm dò với các SSID như Văn Lang, Bình Định, và Mylifecoffee Chúng sẽ trở nên dễ dàng nhận dạng các tín hiệu từ người sử dụng mục tiêu

Hồ sơ người dùng: SSID thường mang thông tin có ý nghĩa phong phú liên quan đến sự riêng tư của người dùng Nhiều SSID thường được đặt tên theo vị trí hiện tại, tên doanh nghiệp Những người dùng thận trọng có thể không muốn rằng sở thích của

họ được suy ra từ các doanh nghiệp thường xuyên đến thăm bị người khác biết mà không có sự đồng ý của họ (ví dụ, ngay cả đối với các mục đích tiếp thị mục tiêu)

Nó đòi hỏi sự tự quản lý các thông tin SSID lưu trữ trong các thiết bị của họ Thậm chí tệ hơn, một số nền tảng di động không cung cấp cách để tự hiện ra danh sách SSID của riêng mình [22] Kẻ tấn công có thể khai thác các thông tin SSID của người

sử dụng Wi-Fi để thu thập thông tin riêng tư quan trọng hơn Mức độ quan trọng của mỗi SSID thay đổi theo ngữ cảnh Kẻ tấn công có thể trực tiếp sử dụng các SSID phát sóng từ thiết bị Wi-Fi client để đo lường mức độ bảo mật đối với hồ sơ người dùng Tương quan người dùng: Một kẻ tấn công cũng có thể tương quan các thông tin SSID để suy ra các mối quan hệ giữa người sử dụng hoặc các thiết bị khác nhau [22]

Ví dụ, có thể tìm thấy các thiết bị Wi-Fi khác mà thuộc về một người dùng hoặc người dùng khác chia sẻ mô hình sử dụng Wi-Fi tương tự (như các thành viên gia đình, đồng nghiệp, bạn cùng phòng, …)

1.6.2 Tiến trình xác thực

Xác thực là bước đầu tiên trong hai bước cần thiết để kết nối với bộ dịch vụ cơ bản BSS 802.11 Khi một client có thể truyền tải thông qua AP đến một thiết bị khác trên mạng thì cả sự xác thực và liên kết phải xảy ra [10] Khi một thiết bị 802.11 cần giao tiếp, trước tiên nó phải xác thực với AP hoặc với các trạm khác nếu nó được xác định

cho chế độ Ad hoc Việc xác thực 802.11 chỉ đơn thuần thiết lập một kết nối ban đầu giữa client và AP

Client bắt đầu tiến hành xác thực bằng cách gửi một khung authentication prequest đến AP (mạng Infrastructure) AP sẽ chấp nhận hay từ chối yêu cầu này, sau đó cho máy trạm biết quyết định của nó bằng cách gửi một khung authentication response Tiến trình xác thực có thể được thực hiện tại AP, hay AP có thể chuyển trách nhiệm này sang máy chủ xác thực như RADIUS sẽ thực hiện xác thực dựa trên một danh sách tiêu chuẩn và sau đó trả lại kết quả của nó cho AP và AP chuyển đến máy trạm Chuẩn 802.11 xác định hai phương pháp xác thực khác nhau: Xác thực hệ thống

mở và xác thực khoá chia sẻ Xác thực khóa chia sẽ không được sử dụng nữa, xác thực hệ thống mở vẫn được sử dụng vì các lý do tương thích ngược [10]

Xác thực hệ thống mở (Open System Authentication)

Xác thực hệ thống mở đơn giản là cung cấp chứng thực mà không thực hiện bất

kỳ loại xác minh của client Là một sự trao đổi giữa client và AP Nó được coi là một chứng thực rỗng vì không có trao đổi hoặc xác minh nhận dạng được diễn ra giữa các thiết bị Xác thực hệ thống mở xảy ra với trao đổi khung giữa client và AP [10] Bảo mật WEP (Wired Equivalent Privacy) có thể được sử dụng với xác thực hệ thống mở Tuy nhiên, WEP chỉ được sử dụng để mã hóa thông tin tầng trên của khung

dữ liệu và chỉ sau khi client được chứng thực 802.11 và kết nối Do sự đơn giản của

nó, xác thực hệ thống mở được sử dụng kết hợp với các phương pháp chứng thực bảo mật mạng tiên tiến hơn như xác thực PSK và 802.1X / EAP [1]

Xác thực khóa chia sẽ (Shared Key Authentication)

Quản lý việc truy cập hệ thống thông qua một khóa (hay mật khẩu) quy định trước

AP kiểm tra khóa của máy trạm (đã được cung cấp thông qua một hình thức nào đó), nếu khóa máy trạm cung cấp trùng với khóa của AP đang giữ thì AP xác nhận thông tin truy cập là hợp lệ Máy trạm sau đó có thể truy cập vào hệ thống Ngược lại, máy

trạm sẽ bị từ chối Quy trình xác nhận này còn được gọi là quy trình xác nhận 4 chiều (handshake 4 ways) [10]

Quy trình xác nhận diễn ra như sau [10]: Đầu tiên máy trạm sẽ gửi yêu cầu truy cập hệ thống đến AP AP nhận được yêu cầu sẽ tạo ra một giá trị thăm dò, challenge, ngẫu nhiên và gửi giá trị thăm dò challenge đến máy trạm Máy trạm nhận được giá trị thăm dò challenge, dùng khóa quy ước để mã hoá challenge và gửi challenge đã

mã hóa đến AP AP dùng khóa quy ước để giải mã thông điệp do máy trạm gửi đến

và so sánh giá trị thăm dò challenge nhận được với challenge đã tạo trước đó Nếu thấy 2 giá trị này là trùng khớp, AP sẽ cho phép máy trạm truy cập vào hệ thống Phương pháp này an toàn hơn phương pháp chứng thực hệ thống mở, nhưng nếu xem xét kỹ thì trong phương pháp này, chìa khóa WEP được dùng cho hai mục đích,

để chứng thực và để mã hóa dữ liệu, đây chính là kẽ hở để hacker có cơ hội thâm nhập mạng Hacker sẽ thu cả hai tín hiệu, văn bản chưa mã hóa do AP gửi và văn bản

đã mã hóa, do client gửi, từ hai thông tin đó hacker có thể giải mã ra khóa WEP

1.6.3 Tiến trình kết nối

Một khi client đã được xác thực thì nó sẽ thực hiện kết nối với AP Đã kết nối là trạng thái trong đó client đã được cho phép truyền dữ liệu thông qua AP Khi một client muốn kết nối vào mạng, client sẽ gửi một frame authentication request đến AP

và nhận lại khung authentication response Sau khi tiến trình xác thực được hoàn thành, máy trạm sẽ gửi một khung association request (chứa những thông tin về khả năng của client) đến AP và AP sẽ trả lời lại cho client một khung association response trong đó cho phép hoặc không cho phép cùng với mã lý do [10]

Các trường chính của khung association request là [10]: Listen interval, SSID, support rates Các trường chính của khung authentication response: Status code, association ID (AID), support rates

1.6.4 Trạng thái của xác thực và kết nối

Toàn bộ tiến trình xác thực và kết nối gồm 3 trạng thái khác nhau [10]: Chưa xác thực và chưa kết nối; Đã xác thực và chưa kết nối; Đã xác thực và đã kết nối

Hình 1.4: Các trạng thái xác thực và kết nối

Bởi vì một máy trạm phải xác thực trước khi nó có thể kết nối, nên không bao giờ

có trạng thái không xác thực và đã kết nối Khi các cơ chế bảo mật 802.11i được giới thiệu, chuẩn IEEE 802.11-2012 xem xét đến trạng thái thứ 4 là đã xác thực và đã kết nối – khi đã hoàn tất cơ chế bảo mật PSK hoặc 802.1X [10]

1.6.5 Chuyển vùng

Khi các mạng LAN không dây tăng lên nhiều AP, chuẩn 802.11 cung cấp khả năng cho các client chuyển từ AP này sang AP khác trong khi vẫn duy trì kết nối mạng cho các ứng dụng lớp trên [10] Khả năng này được gọi là chuyển vùng, mặc dù tiêu chuẩn 802.11 không xác định rõ chuyển vùng là gì

Quyết định chuyển vùng do các client thực hiện Điều thực sự làm client chuyển vùng là tập hợp những quy luật riêng được chỉ định bởi nhà sản xuất sóng vô tuyến không dây, thường được xác định bởi cường độ tín hiệu, mức độ tiếng ồn, và tỷ lệ lỗi bit Khi client truyền thông trên mạng, nó tiếp tục tìm kiếm các AP khác và sẽ xác

thực với các AP trong phạm vi Một client có thể được chứng thực với nhiều AP nhưng chỉ kết nối đến một AP Khi client rời khỏi AP mà nó kết nối và tín hiệu giảm xuống dưới ngưỡng xác định, client sẽ cố gắng kết nối với AP khác và chuyển vùng

từ BSS hiện tại tới một BSS mới Một số nhà cung cấp WLAN cố gắng khuyến khích hoặc ngăn cản việc chuyển vùng bằng cách thao tác client với việc sử dụng khung quản lý Tuy nhiên, cuối cùng quyết định chuyển vùng được thực hiện bởi client Khi client chuyển vùng, AP gốc và AP mới nên giao tiếp với nhau qua môi trường

hệ thống phân phối và giúp tạo ra sự chuyển tiếp thông suốt giữa hai AP Nhiều nhà sản xuất cung cấp việc chuyển giao này, nhưng chúng không phải là một phần của chuẩn 802.11, vì vậy mỗi nhà cung cấp đều sử dụng phương pháp riêng của mình Trong các giải pháp dựa trên bộ điều khiển mạng WLAN, các cơ chế chuyển vùng thường xảy ra trong bộ điều khiển WLAN Các cơ chế chuyển giao chuyển vùng xảy

ra ở rìa của mạng khi trao đổi giữa các AP không yêu cầu bộ điều khiển WLAN [10]

1.7 Các giải pháp bảo mật nổi bật

1.7.1 WLAN VPN

Mạng riêng ảo VPN [1] bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn

dữ liệu khỏi các truy cập trái phép VPN tạo ra sự tin cậy cao thông qua việc sử dụng

cơ chế bảo mật IPSec (Internet Protocol Security) IPSec dùng các thuật toán mạnh như DES (Data Encryption Standard) và Triple DES (3DES) để mã hóa dữ liệu, và dùng các thuật toán khác để xác thực gói dữ liệu IPSec sử dụng thẻ xác nhận số để xác nhận khóa công cộng Khi sử dụng trong mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa

Sử dụng công nghệ VPN là bắt buộc để truy cập từ xa Người dùng sẽ đưa thiết bị

di động của họ ra khỏi trang web và chắc chắn sẽ sử dụng điểm truy cập công cộng Wi-Fi Bởi vì không có an ninh tại hầu hết các điểm phát sóng, một giải pháp VPN

là cần thiết Người dùng VPN sẽ cần đưa bảo mật vào điểm phát sóng để cung cấp

kết nối được mã hóa an toàn Người dùng thực hiện giải pháp VPN cùng với mạng nội bộ cá nhân khi truy cập bất kỳ mạng Wi-Fi công cộng nào [10]

1.7.2 802.1x và EAP

802.1x là một chuẩn đặc tả cho việc truy cập dựa trên cổng được định nghĩa bởi IEEE Hoạt động trên môi trường có dây và không dây Khi một người cố gắng kết nối vào hệ thống mạng, kết nối sẽ được đặt ở trạng bị chặn và chờ cho kiểm tra định danh người dùng hoàn tất EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, certificate, …), giao thức xác thực sử dụng (MD5, TLS, OTP, …) hỗ trợ tự động sinh khóa và xác thực lẫn nhau [1]

Giao thức xác thực mở rộng (EAP - Extensible Authentication Protocol) được sử dụng để cung cấp xác thực người dùng EAP là một giao thức xác thực lớp 2 linh hoạt được sử dụng bởi supplicant và authentication server để giao tiếp Trình xác thực cho phép lưu lượng EAP đi qua cổng ảo không kiểm soát của nó Sau khi máy chủ xác thực đã xác minh các thông tin xác thực của supplicant, máy chủ gửi một thông báo đến người xác thực rằng supplicant đã được chứng thực [10] Người xác thực sau đó được ủy quyền mở cổng điều khiển ảo và cho phép tất cả các lưu lượng khác đi qua 802.1x/ EAP khi được sử dụng với mạng không dây, cung cấp các phương tiện cần thiết để xác thực nhận dạng người dùng cũng như ủy quyền các trạm client trên cơ sở

hạ tầng mạng có dây

1.8 Kết luận

Cùng với sự phát triển không ngừng của mạng không dây cũng như các thiết bị di động như ngày nay, đem lại rất nhiều thuận lợi cho sự phát triển của con người ở một tầm cao mới, mọi giao dịch ngân hàng, thanh toán, mọi hoạt động và thậm chí cuộc sống gắn liền với công nghệ Nhưng bên cạnh nhũng lợi ích đó mang lại không ích

hệ lụy, mất mát riêng tư, tiền bạc, thời gian, … Vì vậy vấn đề bảo mật, bảo vệ sự riêng tư của người dùng luôn là vấn đề đáng quan tâm của người cung cấp dịch vụ và người sử dụng dịch vụ

CHƯƠNG 2 - VẤN ĐỀ BẢO MẬT VÀ GIẢI PHÁP BẢO VỆ

SỰ RIÊNG TƯ TRONG KẾT NỐI WI-FI 2.1 Giới thiệu

Trong lịch sử phát triển các loại hình mạng, mạng không dây là mạng dễ dàng bị thâm nhập nhất Các tin tặc hoặc những người có chút kinh nghiệm về an ninh mạng đều có thể dễ dàng dùng các công cụ tấn công vào các mạng WLAN chuẩn 802.11 Các công cụ này có thể tìm thấy ở khắp nơi, nhất là khi mạng internet phát triển như hiện nay và chúng có thể chạy trên các môi trường khác nhau (Windows, Linux …) Như vậy các tin tặc không cần phải đầu tư nhiều vẫn đạt được mục đích phá hoại của mình Đây là mối lo ngại lớn nhất của những nhà cung cấp dịch vụ cũng như những người dùng mạng không dây 802.11 Và một trong những cuộc tấn công đơn giản nhất mà mang lại hiệu quả cũng như làm tiền đề cho các cuộc tấn công nguy hiểm khác là tấn công nghe lén ngay trong giai đoạn thăm dò mạng Wi-Fi

Bảo mật mạng WLAN cũng tương tự như bảo mật cho các hệ thống mạng khác Bảo mật hệ thống phải được áp dụng cho nhiều tầng, các thiết bị nhận dạng phát hiện tấn công phải được triển khai Giới hạn các quyền truy cập tối thiểu cho những người dùng cần thiết Dữ liệu được chia sẻ và yêu cầu xác thực mới cho phép truy cập Dữ liệu truyền phải được mã hoá Attacker có thể tấn công mạng WLAN không bảo mật bất cứ lúc nào Vì vậy cần có phương án triển khai hợp lý Phải ước lượng được các nguy cơ bảo mật và mức độ bảo mật cần thiết để áp dụng Phải đánh giá được toàn

bộ các giao tiếp qua WLAN và các phương thức bảo mật cần được áp dụng, các công

cụ và các lựa chọn khi thiết kế về triển khai mạng WLAN Để làm được đều đó trước hết cần hiểu rõ các lỗ hổng cũng như các kiểu tấn công mạng WLAN hiện nay

2.2 Bảo mật mạng không dây WLAN

Để cung cấp mức bảo mật tối thiểu cho mạng WLAN ta cần 2 thành phần sau [1]: Cách thức để xác định ai có quyền sử dụng WLAN – yêu cầu được thõa mãn bằng cơ

chế xác thực (authentication); Một phương thức để cung cấp tính riêng tư cho các dữ liệu không dây – yêu cầu được thõa mãn bằng một thuật toán mã hóa (encryption)

Encryption + Authentication = Wireless Security

WLAN gồm có 3 phần: Wireless client, Access point, Access server Wireless client điểm hình như smartphone, laptop cho phép truy cập vào mạng không dây Access point cung cấp sự bao phủ sóng vô tuyến trong một vùng nào đó và kết nối đến mạng không dây Access server điều khiển truy cập, một access server (Enterprise Access Server - EAS) cung cấp sự điều khiển, quản lý, các đặc tính bảo mật tiên tiến cho mạng không dây enterprise EAS điều khiển tất cả các luồng lưu lượng giữa các mạng không dây và có dây, và thực hiện như một tường lửa EAS quản lý các AP và điều khiển truy cập đến mạng không dây

Kiến trúc WLAN hỗ trợ mô hình bảo mật như hình 2.1, mỗi phần tử trong mô hình điều có thể cấu hình theo người quản lý mạng để đáp ứng và phù hợp với những gì

họ cần [1]

Hình 2.1: Thiết lập bảo mật trong hệ thống không dây

Device Authorization: Các client không dây có thể bị ngăn chặn theo địa chỉ MAC của chúng EAS duy trì một cơ sở dữ liệu của các client không dây được cho phép và các AP riêng biệt chặn hay cho lưu thông lưu lượng phù hợp

Encryption: WLAN hỗ trợ WEP, 3DES và chuẩn TLS (Transport Layer Security)

sử dụng mã hóa để tránh người truy cập trộm

Authentication: WLAN hỗ trợ sự ủy quyền lẫn nhau (sử dụng 802.1x EAP-TLS)

để đảm bảo các client không dây được ủy quyền mới truy cập được mạng EAS sử dụng RADIUS server bên trong cho sự ủy quyền bằng sử dụng các chứng chỉ số (có thể đạt được từ quyền chứng nhận CA bên trong hay được nhập từ một CA bên ngoài) Điều này tăng tối đa sự bảo mật

Firewall: EAS hợp nhất lọc gói và tường lửa chặn cổng dựa trên các chuỗi IP Việc cấu hình từ trước cho phép các loại lưu lượng chung được cho phép hay không VPN: EAS bao gồm một IPSec VPN server cho phép các client không dây thiết lập các session VPN vững chắc trên mạng

2.3 Các lỗ hổng bảo mật trong mạng Wi-Fi

Hình 2.2: Phân loại các lỗ hổng mạng Wi-Fi

Có 2 loại lỗ hổng tương ứng với hình thức tấn công và theo dõi như hình 2.2:

Wi-Fi vulnerabilities

Attacks Tracking Fingerprinting Device

Spoofing Addresses Behavioral

Denial of

Service

Stalker Method

Beacon Replay SSID

Thứ nhất là loại nhằm vào các cuộc tấn công trên các thiết bị, tấn công này được tiến hành với các kỹ thuật mà Attacker sử dụng để gây tổn hại cho các thiết bị của người sử dụng, hoặc từ chối người khác sử dụng dịch vụ Wi-Fi

Thứ hai là loại theo dõi người sử dụng và các thiết bị Mục này xem xét những phương pháp nào tồn tại trong việc kết hợp các định danh cho người dùng để theo dõi

họ Có thể sử dụng địa chỉ, chẳng hạn như địa chỉ MAC, hoặc digital fingerprints

2.3.1 Lỗ hổng trong quá trình thăm dò

Trong quá trình thăm dò, client truyền tên gọi trước đây của các điểm truy cập

Wi-Fi (AP) trong plantext [22] Một kẻ nghe trộm có thể dễ dàng thu thập các thông tin

bị rò rỉ trong quá trình thăm dò Wi-Fi này để gắn kết các cuộc tấn công, chẳng hạn như giả mạo AP hoặc hiện AP ẩn, hay xâm phạm quyền riêng tư của người dùng AP thường được đặt tên theo vị trí kinh doanh, hoặc liên kết của chủ nhà, attacker có thể tìm hiểu về người dùng gần đó và suy ra các quan hệ xã hội

Wi-Fi sẽ phát sóng các khung yêu cầu thăm dò để thiết lập các mạng ưa thích Mỗi khung yêu cầu thăm dò bao gồm việc xác định SSID của một AP có liên quan trước

đó, cùng với địa chỉ MAC của thiết bị và các thông tin khác, để đưa ra một phản ứng thăm dò từ AP mục tiêu [10] Mặc dù cơ chế thăm dò chủ động này phải gánh chịu một chi phí năng lượng để phát sóng các yêu cầu thăm dò, làm giảm đáng kể thời gian kết nối bằng cách tăng tốc độ quét Ngược lại, các cơ chế quét thụ động không yêu cầu phải truyền tải, nhưng thiết bị phải nghe một khoảng thời gian trên mỗi kênh Wi-Fi và cố gắng để nhận được các khung tín hiệu thỉnh thoảng gửi từ các AP

Do thiếu sự bảo vệ khung tin thăm dò Wi-Fi, một kẻ nghe trộm có thể dễ dàng phục hồi một danh sách địa chỉ MAC thiết bị và các SSID trong yêu cầu thăm dò Mở

ra khả năng các cuộc tấn công [22] Ví dụ, nhiều nhà quản lý kết nối Wi-Fi chỉ kiểm tra các SSID của một AP để kết nối, attacker có thể dễ dàng tạo một AP giả sử dụng một SSID như thiết bị được tìm kiếm Quan sát thông tin SSID này trong khung yêu cầu thăm dò cũng là một cách dễ dàng cho attacker hiện AP ẩn SSID Thực tế là SSID broadcast của thiết bị di động có chứa thông tin dễ hiểu của con người, bao gồm cả

tên địa điểm và chi tiết bối cảnh, cho phép attacker biết được các chi tiết cá nhân về những người sử dụng các thiết bị và vi phạm quyền riêng tư cá nhân

Hình 2.3: Sniffing probe request các client tại Trường ĐH Văn Lang

Sniffing probe request các client tại Trường ĐH Văn Lang, với SSID của mạng trước đây được kết nối bởi những client trong phạm vi giúp attacker dễ dàng suy đoán hành vi trước đây của client

Tấn công giả mạo (Spoofing Attack)

Spoofing [21] là một kỹ thuật mà qua đó attacker gửi các gói tin vào mạng với một địa chỉ nguồn không phải là của chính nó Bằng cách làm này, attacker có thể giả là một người khác Spoofing là một hình thức tấn công chính nó, nhưng không thường xuyên, được sử dụng như là một sự trợ giúp cho các cuộc tấn công khác như tấn công

từ chối dịch vụ

Giả mạo AP [10] (Rogue Access Point) là kiểu tấn công “man in the middle” cổ điển Đây là kiểu tấn công mà attacker đứng ở giữa và trộm lưu lượng truyền giữa 2 node Kiểu tấn công này rất mạnh vì attacker có thể lấy đi tất cả lưu lượng đi qua mạng Rất khó khăn để tạo một cuộc tấn công “man in the middle” trong mạng có dây bởi vì kiểu tấn công này yêu cầu truy cập thực sự đến đường truyền Trong mạng không dây thì lại rất dễ bị tấn công kiểu này Attacker cần phải tạo ra một AP thu hút nhiều sự lựa chọn hơn AP chính thống AP giả này có thể được thiết lập bằng cách sao chép tất cả các cấu hình của AP chính thống đó là: SSID, địa chỉ MAC, Bước tiếp theo làm cho nạn nhân thực hiện kết nối tới AP giả Cách thứ nhất là đợi cho nạn nhân tự kết nối Cách thứ hai là gây ra cuộc tấn công từ chối dịch vụ DoS trong AP chính thống do vậy nạn nhân sẽ phải kết nối lại với AP giả Trong 802.11

sự lựa chọn AP được thực hiện bởi cường độ của tín hiệu nhận Điều duy nhất attacker phải thực hiện là chắc chắn rằng AP của mình có tín hiệu mạnh hơn cả Để có được điều đó attacker phải đặt AP của mình gần nạn nhân hơn là AP chính thống hoặc sử dụng kỹ thuật anten định hướng Sau khi nạn nhân kết nối tới AP giả, nạn nhân vẫn hoạt động như bình thường do vậy nếu nạn nhân kết nối đến một AP chính thống khác thì dữ liệu của nạn nhân đều đi qua AP giả Attacker sẽ sử dụng các tiện ích ghi lại mật khẩu của nạn nhân khi trao đổi với web server [30] Như vậy, attacker sẽ có được tất cả những gì muốn để đăng nhập vào mạng chính thống

Kiểu tấn công này tồn tại là do trong 802.11 không yêu cầu chứng thực 2 hướng giữa AP và node AP phát quảng bá ra toàn mạng, sẽ rất dễ bị attacker nghe trộm và lấy được tất cả các thông tin cần Các node trong mạng sử dụng WEP để chứng thực

chúng với AP nhưng WEP cũng có những lỗ hổng có thể khai thác Attacker có thể nghe trộm thông tin và sử dụng bộ phân tích mã hoá để trộm mật khẩu của người dùng Các cuộc tấn công sử dụng một AP giả mạo có thể được chia thành 3 loại [30]:

Offline AP - AP độc hại có thể thu thập thông tin xác thực ngay cả khi nó không

được kết nối với Internet Cuộc tấn công này sử dụng các phương pháp dựa trên kỹ thuật xã hội để lừa các nạn nhân nghĩ rằng họ đang trực tuyến Một phương pháp là sao chép các trang web phổ biến nhất và cung cấp những bản sao cho nạn nhân, những người sẽ nhập mật khẩu của họ và tiết lộ cho attacker Phương pháp khác là thiết lập một cổng lưu trữ, một trang nơi người dùng sẽ được chuyển hướng và yêu cầu nhập thông tin cá nhân hoặc mật khẩu Một ví dụ của cuộc tấn công này là yêu cầu một mật khẩu cho một mạng không dây hiện có

Rogue AP - AP giả mạo là một AP không dây được cài đặt trong một mạng riêng,

nhưng không được ủy quyền và quản lý bởi các quản trị viên mạng hợp pháp [18]

AP như vậy có thể được tạo bởi một nhân viên, sử dụng tethering trên thiết bị di động của mình để có một AP cá nhân AP được thiết lập bởi Attacker để thực hiện các cuộc tấn công MITM đối với người dùng truy cập tài nguyên trong mạng riêng, ví dụ như các máy chủ hoặc máy in Cả hai loại AP giả mạo đều có thể cung cấp truy cập trái phép vào mạng riêng và gián điệp trên người dùng AP giả mạo

Regular AP - AP cung cấp truy cập đầy đủ vào internet và cố gắng thu thập càng

nhiều dữ liệu càng tốt: Mật khẩu, các trang web truy cập, hoặc email Có thể sử dụng các công cụ để nhắm đến mục tiêu truyền thông mã hoá, chẳng hạn như SSLstrip [26] hoặc SSLsplit [9] để từ chối kết nối có mật mã hoặc giả mạo các khoá mã hóa và có thể giải mã dữ liệu

Tấn công Karma

Tấn công Karma để nghe mạng nào các thiết bị không dây yêu cầu và tạo ra chúng theo yêu cầu Karma khai thác lỗ hổng trong phương pháp phát hiện các Wi-Fi AP hiện có [8] Khi một thiết bị di động muốn kết nối với mạng không dây, lúc đầu nó phải thực hiện việc quét các mạng có sẵn và chọn một trong số các mạng ưa thích

Như được mô tả trong tiêu chuẩn IEEE 802.11 [17], mô tả mạng Wi-Fi, có hai loại quét, thụ động và bị động đã nêu ở mục 1.6.1.1 và 1.6.1.2 Tính dễ bị tổn thương thực

tế là một hoạt động quét một mạng cụ thể cho thấy danh sách các mạng ưu tiên đến attacker Sau đó attacker có thể phản ứng bằng cách gửi probe responses phù hợp và giả vờ có hiệu quả rằng anh ta là AP yêu cầu Cuộc tấn công Karma được thể hiện trong hình 2.4

Hình 2.4: Tấn công Karma

Cuộc tấn công Karma được đặt tên theo tập hợp các công cụ khai thác lỗ hổng ban đầu [7], nhưng nó cũng có sẵn trong các công cụ khác, ví dụ như trong metasploit framework như karmetasploit [27] hoặc dưới dạng các bản vá cho hostapd [31]

Tấn công từ chối dịch vụ (Denial of Service Attacks)

Một cuộc tấn công từ chối dịch vụ xảy ra khi một kẻ tấn công quản lý để làm suy giảm chất lượng mạng cho các thiết bị hoặc từ chối dịch vụ mạng cho các thiết bị Hai loại tấn công từ chối dịch vụ (DoS) dựa trên giả mạo [33] là:

Deauthentication/ Disassociation [1], [20], [21]: Để trạm kết nối với AP, trước hết phải trải qua giai đoạn bắt tay hai bước Sau đó, AP hoặc trạm có thể gửi khung deauthentication mà không kết nối AP và trạm không kết nối nhau Khi DoS diễn ra thông qua spoofing, kẻ tấn công giả vờ là AP và kết nối đến một trạm Ngay sau khi được kết nối, kẻ tấn công giả vờ làm AP, gửi khung deauthentication và tách thiết bị

ra khỏi AP (giả mạo) Sau khi kẻ tấn công phân tách, nó kết nối lại vào cùng một thiết

bị Điều này sẽ làm cho thiết bị liên tục kết nối/ kết nối lại và không bao giờ làm cho

nó có thể truy cập vào mạng thành công Kẻ tấn công cũng có thể giả mạo một trạm khác, do đó gửi một khung deauthentication với địa chỉ MAC của trạm bị tấn công

AP sau đó không liên kết với trạm bị tấn công trong khi nó không bao giờ yêu cầu chính nó Loại thứ hai có hiệu quả làm như nhau, tuy nhiên kẻ tấn công không đòi hỏi phải giả vờ làm một AP

Tiết kiệm năng lượng từ chối dịch vụ [15]: Thiết bị không dây trong mạng Wi-Fi

có thể nhập trạng thái ngủ, trong đó AP lưu tất cả các khung có nghĩa cho thiết bị đó

Kẻ tấn công một lần nữa giả mạo địa chỉ MAC và giả vờ là một thiết bị trong đó khung đến được lưu trữ tại AP Kẻ tấn công yêu cầu các khung lưu trữ và AP gửi các khung tới thiết bị bị tấn công Tuy nhiên, không có gì sai khi thiết bị này do thiết bị của nạn nhân liên tục nhận được các khung lưu trữ của nó, nó sẽ không bao giờ có thể vào trạng thái ngủ và điều này dẫn đến việc tiêu hao pin nhanh hơn

2.3.3 Theo dõi (Tracking)

Theo dõi cơ bản [28] là kẻ nghe trộm chỉ đơn giản sniffing gói và để lại khả năng giám sát trên các thiết bị Đây là cơ sở cho tất cả các hình thức tấn công khác Phương pháp theo dõi không phải là phức tạp và không sử dụng bất kỳ kỹ thuật tiên tiến nào Thông qua phương pháp này, kẻ nghe trộm có thể xem những thiết bị nào phát ra khung, tần số và các thông tin khác từ các khung MAC header Có rất nhiều thông tin khác nhau gọi là định danh, mà một attacker có thể cố gắng để theo dõi một thiết bị hoặc người sử dụng và có một số phương pháp attacker hoặc kẻ nghe trộm có thể sử dụng để liên kết các định danh của các nạn nhân

Phương pháp nghe lén (Stalker Method)

Phương pháp nghe lén [2] bao gồm ít nhất hai đối tượng, đó là attacker và nạn nhân Nạn nhân có một thiết bị không dây hoặc trạm đang truyền khung yêu cầu thăm

dò (probe request) Trong tình huống này không quan trọng dù nạn nhân được kết nối đến AP hay không Những attacker có một Wi-Fi sniffer và đang sniffing các khung được gửi bởi nạn nhân Những attacker sử dụng địa chỉ MAC để phân biệt các thiết

bị của người dùng Khi nhận được địa chỉ MAC, attacker có thể liên kết các địa chỉ MAC đến đối tượng

Kỹ thuật này dễ thực hiện nhất khi những attacker và nạn nhân đứng cạnh nhau và không có thiết bị khác trong khu vực Trong trường hợp đó sniffer của attacker sẽ không nhận bất kỳ địa chỉ nào từ các thiết bị khác Khi có một nhóm người và một thiết bị duy nhất cần phải xác định được, có thể tập trung vào các thiết bị của nạn nhân và chờ đợi cho đến khi tất cả các thiết bị khác được thay thế Bằng cách này, sau toàn bộ thời gian, chỉ có một địa chỉ MAC sẽ vẫn giống nhau

Điều quan trọng để giữ cho các nạn nhân trong vùng giám sát, đó là, khu vực xa vẫn Wi-Fi sniffer được Điều này có thể được thực hiện bằng cách theo dõi nạn nhân với Wi-Fi sniffer, hoặc bằng cách đặt nhiều sniffer trên một khu vực rộng lớn và do

đó mở rộng các khu vực giám sát Kỹ thuật này rất dễ thực hiện và không đòi hỏi thiết bị đắt tiền hoặc các thiết lập phức tạp Phần mềm Sniffing là tự do sẵn có và có thể được cài đặt trên các thiết bị di động Khó khăn trong kỹ thuật này nằm trong thực

tế rằng các Stalker cần có khả năng ẩn mình và không được gây chú ý, trong đó yêu cầu một số kỹ năng nhất định

Bắt gói tin ngoài việc trực tiếp giúp cho quá trình phá hoại, nó còn gián tiếp là tiền

đề cho các phương thức phá hoại khác Bắt gói tin là cơ sở của các phương thức tấn công như an trộm thông tin, thu thập thông tin phân bố mạng (wardriving), dò mã, bẻ

mã (key crack),

Tấn công gửi lại beacon (Beacon Replay Attack)

Các kỹ thuật trước đó cho rằng các thiết bị được sử dụng thăm dò chủ động, có nghĩa là thiết bị thường gửi ra một thông điệp yêu cầu thăm dò (probe request) Điều này không phải luôn luôn đúng Tấn công gửi lại beacon [5] được áp dụng cho các thiết bị quét thụ động (passive scanning)

Thiết bị không dây sẽ cố gắng kết nối tới mạng không dây nhận dạng cá nhân (Personally Identifying Wireless Network – PIWN) [5] khi đã kết nối với nó trước

Mạng này có thể là mạng gia đình hoặc mạng mà các thiết bị thường xuyên kết nối Những attacker có thể thử để mạo danh một mạng này bằng cách giả mạo khung beacon của PIWN Bằng cách làm này, attacker hy vọng thiết bị của nạn nhân nhận

ra khung đến từ một trong các AP trong danh sách mạng được cấu hình (Configured Network List - CNL) Để đáp lại khung beacon này, thiết bị của nạn nhân sẽ cố gắng

để kết nối và do đó tiết lộ thông tin chứa trong các khung MAC header

Thực hiện thành công cuộc tấn công này mang lại kết quả tương tự như phương pháp stalker và do đó liên kết một định danh, chẳng hạn như địa chỉ MAC, đến nạn nhân So với các phương pháp stalker, thiết lập này phức tạp hơn Những attacker cần cài đặt phần mềm để gửi ra ngoài các khung Sau đó, attacker cần phải cấu hình đúng các khung và gửi thông tin hợp lệ Hơn nữa, không phải lúc nào cũng có thể đoán được địa chỉ hoặc SSID của PIWN

Dấu vân tay (Fingerprinting)

Vấn đề với việc theo dõi thông qua địa chỉ MAC là người sử dụng có thể dễ dàng thay đổi địa chỉ MAC của mình thông qua phần mềm công khai rộng rãi Một vấn đề nữa là một số thiết bị có thể được chia sẻ bởi nhiều người, làm cho nó khó để ràng buộc một thiết bị với một người duy nhất Điều này không làm cho các kỹ thuật nói trên vô dụng, nhưng làm nó khó khăn hơn để triển khai

Bất kể là thông tin khác bị rò rỉ trong thời gian một thiết bị cố gắng hoặc được kết nối với Wi-Fi Các thông tin này như thời gian đến, CNL, SSID nhạy cảm và có thể được sử dụng để xác định hoặc mô tả người dùng Thông tin có thể được thu thập, đối với một người duy nhất, kết hợp và tạo ra một vân tay kỹ thuật số (duy nhất) [29] Người đó từ đó có thể được xác định bởi dấu vân tay Dấu vân tay có thể được tạo ra

từ các thông tin cụ thể đến các thiết bị (vân tay thiết bị - device fingerprinting) hoặc

từ thông tin được truyền bởi người dùng (vân tay hành vi - behavioral fingerprinting)