Bài giảng Pháp chứng kỹ thuật số: Bài 9 - TS. Đàm Hồng Hải

Bài giảng Pháp chứng kỹ thuật số - Bài 9: Điều tra tội phạm trên Mạng không dây bao gồm các nội dung: Nhu cầu điều tra số với mạng không dây, lý do điều tra mạng không dây, các thiết bị không dây thông dụng, giao thức WEP,... Mời các bạn cùng tham khảo nội dung chi tiết.

Bài 9: Đi u tra t i ph m trên M ng không  ề ộ ạ ạ dây 

Gi ng viên: TS. Đàm Quang H ng H i ả ồ ả

PHÁP CH NG K  THU T S Ứ Ỹ Ậ Ố

• Các thi t b  h ng ngo i (TV remotes …)ế ị ồ ạ

Nhu c u đi u tra s  v i m ng không dây ầ ề ố ớ ạ

Lý do đi u tra m ng không dây ề ạ

§ Tìm ki m m t máy tính xách tay b  đánh c p b ng  ế ộ ị ắ ằ

cách theo dõi nó trên m ng không dây ạ

§ Xác đ nh các đi m truy c p gi  m o ị ể ậ ả ạ

§ Đi u tra các ho t đ ng nguy hi m ho c trái phép  ề ạ ộ ể ặ

x y ra khi nghi pham s  d ng m ng không dây ả ử ụ ạ

§ Đi u tra các cu c t n công trên m ng không dây, bao  ề ộ ấ ạ

g m t n công t  ch i d ch v  (DoS), t n công mã  ồ ấ ừ ố ị ụ ấ

hóa, ch ng th c ứ ự

Các thi t b  không dây thông d ng  ế ị ụ

§ Kh  năng c u hình và ghi log thả ấ ường có s n trong giao ẵ

di n qu n lý web c a WAPs c p th p. Các WAPs cao ệ ả ủ ấ ấ

h n ngoài kh  năng logging c  b n, l c đ a ch  MAC ơ ả ơ ả ọ ị ỉ

còn có d ch v  DHCP, ch c năng nh  b  đ nh tuy n và ị ụ ứ ư ộ ị ế

h  tr  syslog và SNMP.ỗ ợ

M ng không dây v i WAP ạ ớ

Lý do c n đi u tra các WAP ầ ề

§ WAPs có th  ch a các b n ghi l u tr  c c b  c a các ể ứ ả ư ữ ụ ộ ủ

l n  k t n i, ch ng th c thành công và th t b i, và ho t ầ ế ố ứ ự ấ ạ ạ

đ ng c a các WAP khác.ộ ủ

§ WAPs log giúp các nhà đi u tra theo dõi các ho t đ ng ề ạ ộ

c a wireless­client.ủ

§ Các c u hình WAP có th  bi t cách th c k  t n công có ấ ể ế ứ ẻ ấ

th  truy c p vào m ng và đã l y để ậ ạ ấ ược thông tin gì

§ C u hình WAP có th  b  s a đ i trái phép nh  m t ph n ấ ể ị ử ổ ư ộ ầ

c a m t cu c t n công.ủ ộ ộ ấ

§ WAP chính nó có th  b  t n h iể ị ổ ạ

Các giao th c mã hóa M ng không dây ứ ạ

• Đ  b o m t cho m ng không dây, ng ể ả ậ ạ ườ i ta s   ử

d ng các giao th c mã hóa m ng không dây đ   ụ ứ ạ ể

b o v  thông tin t  h  th ng Wifi Router và  ả ệ ừ ệ ố

Access Point. 

• Pháp ch ng viên c n ph i hi u rõ các giao th c mã  ứ ầ ả ể ứ hóa m ng nào mà m ng không dây mình đang đi u  ạ ạ ề tra s  d ng.  ử ụ

• Hi n nay có các giao th c mã hóa m ng không dây  ệ ứ ạ sau: 

• WEP (Wired Equivalent Privacy)

• WPA (Wi­Fi protected Access)

• WPA2

Giao th c WEP (Wired Equivalent  ứ

Privacy)

• Đây là giao th c mã hóa đ u tiên phát tri n cho  ứ ầ ể

m ng không dây.  ạ

• Giao th c WEP ph ứ ươ ng th c mã hóa s  d ng  ứ ử ụ

thu t toán đ i x ng RC4, đa s  các thi t b  không  ậ ố ứ ố ế ị dây h  tr  WEP v i ba chi u dài khóa: 40 bit, 64  ỗ ợ ớ ề bit và 128 bit

• Ngày nay WEP đã d n không còn dùng nhi u vì đã  ầ ề

b c l  nhi u đi m y u v  an ninh, nh ng v n có  ộ ộ ề ể ế ề ư ẫ trong các thi t b  không dây và m t s  t  ch c v n  ế ị ộ ố ổ ứ ẫ còn s  d ng.  ử ụ

ch nh s a và g i l i các gói d  li u đ  xác đ nh  ỉ ử ử ạ ữ ệ ể ị

xem các gói tin đ ượ ử c s a đ i hay không.  ổ

• Đ i v i ng ố ớ ườ i dùng ch ng th c WPA s  d ng  ứ ự ử ụ

EAP (Extensible Authentication Protocol) và trong 

4 b ướ c b t tay v i ng ắ ớ ườ i dùng thì keys đã đ ượ c 

băm. 

Standard) đ  mã hóa và chúng an toàn h n TKIP.  ể ơ

• WPA2 h  tr  ad­hoc network trong khi WPA đ ỗ ợ ượ c 

gi i h n ch  trong m ng không dây thông th ớ ạ ỉ ạ ườ ng. 

• Đ c bi t, AES không d  b  phá v  và đó là đi u  ặ ệ ễ ị ỡ ề

ki n c n và đ  đ  làm ph c t p m t kh u c a  ệ ầ ủ ể ứ ạ ậ ẩ ủ

ng ườ i dùng. 

M t s  yêu c u b o m t m ng WiFi ộ ố ầ ả ậ ạ

• Thay đ i tài kho n (username, password ) m c đ nh truy ổ ả ặ ị

c p thi t b  Wi­Fi. ậ ế ị

• Đ t m t kh u ph c t p, k t h p ch  hoa, ch  thặ ậ ẩ ứ ạ ế ợ ữ ữ ường, s , ố

ký t  đ c bi t và nên dài t i thi u 8 ký t ự ặ ệ ố ể ự

• Thi t l p mã hóa m ng không dây WPA2 (AES).ế ậ ạ

• Ẩn tên m ng SSID.ạ

• S  d ng b  l c truy c p m ng Wi­Fi theo đ a ch  MAC.ử ụ ộ ọ ậ ạ ị ỉ

• Thi t l p th i gian t  đ ng thay đ i khóa mã hóa thành ế ậ ờ ự ộ ổ

1800 giây (30 phút)

• B t ch c năng tậ ứ ường l a trên thi t b  Wi­Fi.ử ế ị

DHCP Server

B n ghi DHCP ả

• N u m ng mà Pháp ch ng viên đang th c hi n đi u tra s  ế ạ ứ ự ệ ề ử

d ng Dynamic Host Configuration Protocol (DHCP), thông ụtin vô cùng quan tr ng là các h  s  t  ch c và các b n ghi ọ ồ ơ ổ ứ ảDHCP cho kho ng th i gian đả ờ ược xem xét. 

• N u không có các b n ghi DHCP, lu t s  hi u bi t v  ế ả ậ ư ể ế ề

CNTT có th  nghi ng  liên k t gi a giao th c Internet (IP) ể ờ ế ữ ứ

và máy tính, và cu i cùng, ai là ngố ườ ử ụi s  d ng máy tính 

này. 

• N u máy tính c a nghi ph m v n là m t ph n c a m ng, ế ủ ạ ẫ ộ ầ ủ ạPháp ch ng viên có th  ch y ứ ể ạ ipconfig /all trên máy tính 

c a nghi ph m.ủ ạ

B n ghi DHCP trên LINKSYS Access  ả Point

Đi u tra quá trình truy c p DHCP ề ậ

• N u Pháp ch ng viên có quy n truy c p vào máy tính c a ế ứ ề ậ ủ

ngườ ịi b  tình nghi ho c máy tính quan tâm, Pháp ch ng ặ ứviên có th  tìm th y các t p tin ghi nh n c a đ a ch  IP ể ấ ậ ậ ủ ị ỉ

trong b n ghi s  ki n đăng nh p b o m t và tả ự ệ ậ ả ậ ường l a. ử

• Trên máy tính cài Windows, Pháp ch ng viên có th  ch y ứ ể ạcông c  ụ Event Viewer xem quá trình truy c p c a DHCP ậ ủclient

Công c  Event Viewer  ụ

• Event viewer là m t công c  tích h p trong Windows cho ộ ụ ợphép xem l i các s  ki n đã x y ra trong h  th ng m t ạ ự ệ ả ệ ố ộ

cách chi ti t v i nhi u tham s  c  th  nh : user, time, ế ớ ề ố ụ ể ư

computer, services… M i khi Windows kh i ch y, h  ỗ ở ạ ệ

đi u hành s  b t đ u ghi l i các ho t đ ng (event) di n ra ề ẽ ắ ầ ạ ạ ộ ễbên trong h  th ng.ệ ố

• Các s  ki n r i r c đự ệ ờ ạ ượ ọ ạc l c l i thành nh ng s  ki n ữ ự ệ

gi ng nhau giúp chúng ta l y đố ấ ược nh ng thông tin c n ữ ầ

thi t m t cách nhanh nh t. Công c  này là m t phế ộ ấ ụ ộ ương 

ti n hi u qu  giúp Pháp ch ng viên khám phá nh ng gì ệ ệ ả ứ ữ

đang x y ra   "h u trả ở ậ ường" c a h  đi u hành.ủ ệ ề

Ch n xem Event theo DHCP Client ọ

Xem các Event DHCP Client

được đ y đ  thông tin chi ti t c a gói tin.ầ ủ ế ủ

• Mirror image access point: đây là m t đi m truy c p gi  ộ ể ậ ả

m o đạ ượ ạc t o ra sau khi nh n đậ ược thông tin c a m t ủ ộ

đi m truy c p công c ng. khi m t k  t n công t o ra m t ể ậ ộ ộ ẻ ấ ạ ộ

đi m truy c p v i m t tín hi u m nh h n so v i đi m ể ậ ớ ộ ệ ạ ơ ớ ể

truy c p th c t  và phát sóng. ngậ ự ế ười dùng s  k t n i tín ẽ ế ố

hi u m nh nh t và do đó tr  thành n n nhân.ệ ạ ấ ở ạ

T n công m ng không dây ấ ạ

dây đ n gi n nh t đ  th c hi n. m t k  t n công  ơ ả ấ ể ự ệ ộ ẻ ấ

có th  k t n i v i m ng ad­hoc c a t  ch c và có  ể ế ố ớ ạ ủ ổ ứ

th  truy c p vào các file nh y c m ể ậ ạ ả

dây cho phép m t k  t n công s  d ng mã đ c đ   ộ ẻ ấ ử ụ ộ ể khai thác l  h ng trong mã ph n m m c a nhi u  ỗ ổ ầ ề ủ ề

T n công m ng không dây ấ ạ

• Virus/worm/spyware: đây là cu c t n công m ng không ộ ấ ạ

dây cho phép m t k  t n công cài đ t mã đ c khai thác l  ộ ẻ ấ ặ ộ ỗ

h ng h  th ng đ  đ t đổ ệ ố ể ạ ược đ c quy n truy ho c đ  thao ặ ề ặ ểtác d  li u.ữ ệ

• Arp redirection/spoofing: đây là cu c t n công m ng ộ ấ ạ

không dây s  d ng là đ a ch  MAC gi  m o mà cho phép ử ụ ị ỉ ả ạ

m t k  t n công chuy n hộ ẻ ấ ể ướng l u lư ượng m ng đ n  ạ ế

máy tính c a mình.ủ

• Denial of service attack: đây là cu c t n công m ng không ộ ấ ạdây phá b  ch ng th c  vì nó s  ng t k t n i m t ngỏ ứ ự ẽ ắ ế ố ộ ười dùng t  các đi m truy c p không dây đ n h t th i h n gói ừ ể ậ ế ế ờ ạtin g i. cu c t n công này s  ng t k t n i các d ch v  ử ộ ấ ẽ ắ ế ố ị ụ

không dây

Ăn c p thông tin trên m ng không dây ắ ạ

l i có giá tr ạ ị

802.11 là 61m.

Đi u tra t n công m ng không dây ề ấ ạ

• Pháp ch ng viên c n ki m tra xem các đi m truy c p ứ ầ ể ể ậ

không dây s  d ng giao th c b o m t m ng không dây ử ụ ứ ả ậ ạ

nào đ  qua đó xác đ nh kh  năng có các l  h ng.ể ị ả ỗ ổ

• Thi t l p các th  nghi m đ  ki m tra quá trình xâm nh p: ế ậ ử ệ ể ể ậPháp ch ng viên có th  s  d ng các công c  Backtrack đ  ứ ể ử ụ ụ ể

ki m tra v i các m t kh u để ớ ậ ẩ ược cung c p đ  ki m tra ấ ể ể

vi c mã hóa b o m t cho m ng không dây. ệ ả ậ ạ

• Dùng công c  đ  ki m tra pháp ch ng: Pháp ch ng viên ụ ể ể ứ ứ

có th  s  d ng các công c  tìm ki m phát hi n m ng ể ử ụ ụ ế ệ ạ

không dây: daerosol, airfart, aphopper, apradar, karma, 

kismet, ministumbler, netstumbler, wellenreiter, wifi 

hopper, wirelessmon

Đi u tra m ng không dây c a doanh  ề ạ ủ

nghi p ệ

• M t s  đi m truy c p m ng không dây c a t  ch c, ộ ố ể ậ ạ ủ ổ ứ

doanh nghi p ch n giao th c mã hóa không đệ ọ ứ ược an toàn dành cho m ng không dây, r t đ n gi n đ  có th  cài đ t ạ ấ ơ ả ể ể ặcho h u h t nh ng thi t b  nh , giúp cho m ng không dây ầ ế ữ ế ị ỏ ạliên k t nhanh h n và gi m chi phí c a ngế ơ ả ủ ười dùng. 

• Trước khi ki m tra giao ti p m ng không dây c a doanh ễ ế ạ ủnghi p,  Pháp ch ng viên ph i bi t đệ ứ ả ế ược làm th  nào ế

đi m truy c p và máy tính tể ậ ương tác v i nhau. ớ

• Pháp ch ng viên c n ki m tra xem có đi m truy c p ứ ầ ể ể ậ

không dây nào cung c p cho k  t n công truy c p vào m t ấ ẻ ấ ậ ộcách đ n gi n,  Pháp ch ng viên có th  s  d ng các công ơ ả ứ ể ử ụ

c  Fern­Wifi­cracker – GUI đ  ki m tra mã hóa.ụ ể ể

§ Thi t b  WiFi s n xu t đ  s  d ng   Hoa K  s  không có kh   ế ị ả ấ ể ử ụ ở ỳ ẽ ả

năng truy n và nh n trên t t c  các kênh đ ề ậ ấ ả ượ ử ụ c s  d ng t i Nh t  ạ ậ

B n. Ng ả ượ ạ c l i, k  t n công mua thi t b  c a Nh t B n h  tr  14  ẻ ấ ế ị ủ ậ ả ỗ ợ kênh s  d ng trong h  th ng t i Hoa K  có th  s  không b  phát  ử ụ ệ ố ạ ỳ ể ẽ ị

hi n ệ

• Dòng s n ph m MetaGeek c a Wi­Spy giúp phân tích các sóng  ả ẩ ủ

vô tuy n ph  bi n t  đó xác đ nh lo i, tên các thi t b   ế ổ ế ừ ị ạ ế ị

Bluetooth, đi n tho i không dây 2.4G, lò vi sóng, analog  ệ ạ

video

 B t và phân tích thông l ắ ượ ng m ng không dây ạ

S n ph m MetaGeek c a Wi­Spy ả ẩ ủ

 B t và phân tích l u l ắ ư ượ ng m ng không dây ạ

• USB AirPcap là card m ng không dây 802.11 có kh   năng ch y  ạ ả ạ

 ch  đô monitor c a hãng Riverbed Technology giúp b t các 

l u l ư ượ ng m ng không dây ạ

• Ph n m m AirPcap ch y trên Windows và Linux tích h p v i  ầ ề ạ ợ ớ Wireshark có kh  năng năng giám sát l u l ả ư ượ ng truy c p l p 2  ậ ớ 802.11, t  đó có th  s  d ng các công c  nh  tcpdump,  ừ ể ử ụ ụ ư

Wireshark, và tshark đ  b t và phân tích nó ể ắ

Tìm v  trí thi t b  truy c p m ng không  ị ế ị ậ ạ dây

Ph n m m inSSIDer  ầ ề

Ph n m m inSSIDer  ầ ề

Đ nh v  thi t b  truy c p m ng không dây ị ị ế ị ậ ạ

• M t máy tính xách tay có th  di chuy n trên toàn ộ ể ể

m ng c a doanh nghi p; m t đi m truy c p gi  m o ạ ủ ệ ộ ể ậ ả ạ

có th   n gi u trong doanh nghi p vi c xác đ nh v  trí ể ẩ ấ ệ ệ ị ị

c a thi t b  này là m t thách th c cho các Pháp ch ng ủ ế ị ộ ứ ứviên

• Pháp ch ng viên l ng nghe các k t n i m ng, thu ứ ắ ế ố ạ

th p và phân tích các gói tin s  cho đ a ch  ngu n và ậ ẽ ị ỉ ồ

đ a ch  đích c a các gói tin.ị ỉ ủ

§ WIDS: Wireless intrusion detection system

§ WIPS: Wireless Intrusion Prevention System

§ Nhà cung c p nh  Aruba và Cisco cung c p h  th ng ấ ư ấ ệ ốWIDS/ wIPS chuyên theo dõi m ng không dây.ạ

§ Các ph n m m có th  hi n th  v  trí c a thi t b  không ầ ề ể ể ị ị ủ ế ịdây trên b n đ ả ồ

§ Cung c p cho ngấ ười qu n tr  m ng m t giao di n đi u ả ị ạ ộ ệ ềkhi n trung tâm đ  theo dõi các thi t b  không dây trong ể ể ế ịtoàn doanh nghi p .ệ

 Các h  th ng đ nh v  phát hi n t n công không dây ệ ố ị ị ệ ấ

H t bài 9 ế