Việc Bảo mật an toàn cho Wireless LAN
In từ Trang nhà: Hội Thân Hữu Gò Công
Category: Khoa Học - Kỷ Thuật
Tên Chủ Đề: Tìm Hiểu và Hỏi Đáp về Vi Tính (Computer)
Forum Discription: Các thành viên có thể đăng hoặc đặt những câu hỏi thắc mắc về máy tình hay mạng máy tính.
URL: http://www.gocong.com/forums/forum_posts.asp?TID=242
Ngày in: 16/Nov/2024 lúc 2:53pm Software Version: Web Wiz Forums 8.05a - http://www.webwizforums.com
Chủ đề: Việc Bảo mật an toàn cho Wireless LAN
Người gởi: Admin
Chủ đề: Việc Bảo mật an toàn cho Wireless LAN
Ngày gởi: 04/Jul/2007 lúc 7:20pm
1. Bảo mật mạng không dây 1.1. Tổng quan về bảo mật trong mạng không dây Overview of Wireless SecurityKhi đã triễn khai thành công hệ thống mạng không dây thì bảo mật là vấn đề kế tiếp cần phải quan tâm, công nghệ và giải pháp bảo mật cho mạng Wireless hiện tại cũng đang gặp phải nhiều nan giải, rất nhiều công nghệ và giải pháp đã được phát triển rồi đưa ra nhằm bảo vệ sự riêng tư và an toàn cho dữ liệu của hệ thống và người dùng. Nhưng với sự hổ trợ của các công cụ (phần mềm chuyên dùng) thì Attacker dễ dàng phá vở sự bảo mật này. Chúng ta sẽ cùng tìm hiểu sâu hơn về vấn đề bảo mật và các giải pháp phòng chóng mà nhiều chuyên gia đã nghiên cứu và phát triển thành công trong những phần sau. Như rất nhiều tài liệu nghiên cứu về bảo mật trong mạng Wireless thì để có thể bảo mật tối thiểu bạn cần một hệ thống có 2 thành phần sau: • Authentication - chứng thực cho người dùng: quyết định cho ai có thể sử dụng mạng WLAN. • Encryption - mã hóa dữ liệu: cung cấp tính bảo mật dữ liệu. Authentication + Encryption = Wireless SecurityBởi vì mạng Wireless truyền và nhận dữ liệu dựa trên sóng radio, và vì AP phát sóng lan truyền trong bán kính cho phép nên bất cứ thiết bị nào có hổ trợ truy cập Wireless đều có thể bắt sóng này, sóng Wireless có thể truyền xuyên qua các vật liệu như bêtông, nhựa, sắt, … Cho nên rủi ro thông tin bị các attacker đánh cắp hoặc nghe trộm rất cao, vì hiện tại có rất nhiều công cụ hổ trợ cho việc nhận biết và phân tích thông tin của sóng Wireless sau đó dùng thông tin này để dò khóa WEP (như AirCrack, AirSnort, …). 1.2. WEP – Wired Equivalent PrivacyWEP là một hệ thống mã hóa dùng cho việc bảo mật dữ liệu cho mạng Wireless, WEP là một phần của chuẩn 802.11 gốc và dựa trên thuật toán mã hóa RC4, mã hóa dữ liệu 40bit để ngăn chặn sự truy cập trái phép từ bên ngoài. Thực tế WEP là một thuật toán được dùng để mã hóa và giải mã dữ liệu. Đặc tính kỹ thuật của WEP:• Điều khiển việc truy cập, ngăn chặn sự truy cập của những Client không có khóa phù hợp • Sự bảo mật nhằm bảo vệ dữ liệu trên mạng bằng cách mã hóa chúng và chỉ cho những Client nào có đúng khóa WEP giải mã WEP key lengthsMột khóa WEP chuẩn sử dụng khóa 64bit mã hóa theo thuật toán RC4 (sẽ nghiên cứu trong phần sau). Trong 64bit có 40bit được ẩn. Nhiều nhà cung cấp sử dụng nhiều tên khác nhau cho khóa WEP như: “standar WEP”, “802.11-compliant WEP”, “40-bit WEP”, “40+24-bit WEP” hoặc thậm chí là “64-bit WEP”. Nhưng hiện tại thì 64-bit WEP thường được nhắc đến hơn hết. Nhưng với những thiết bị sử dụng 64-bit WEP thường thì tính bảo mật không cao và dễ dàng bị tấn công. Hiện nay có một chuẩn tốt hơn đó là 128-bit WEP, hầu hết các doanh nghiệp, cá nhân đều dần chuyển sang 128-bit WEP sử dụng thuật toán RC4 mã hóa, tính bảo mật cao hơn, các Attacker cũng khó khăn trong việc dò thấy khóa WEP. Nhưng về sau tính bảo mật của khóa WEP 128-bit cũng không còn khó khăn nữa đối với các Attacker nhờ sự hổ trợ của các công cụ dò tìm khóa WEP, thì lúc đó Wi-fi Protected Access – WPA là một chuẩn bảo mật cao cấp hơn WEP được ra đời (chúng ta sẽ nghiên cứu sâu hơn về WPA trong phần sau)1.3. WPA - Wi-fi Protected AccessWPA được thiết kế nhằm thay thế cho WEP vì có tính bảo mật cao hơn. Temporal Key Intergrity Protocol (TKIP), còn được gọi là WPA key hashing là một sự cải tiến dựa trên WEP, là vì nó tự động thay đổi khóa, điều này gây khó khăn rất nhiều cho các Attacker dò thấy khóa của mạng. Mặt khác WPA cũng cải tiến cả phương thức chứng thực và mã hóa. WPA bảo mật mạnh hơn WEP rất nhiều. Vì WPA sử dụng hệ thống kiểm tra và bảo đảm tính toàn vẹn của dữ liệu tốt hơn WEP (bạn có thể tìm hiểu rõ hơn trong các tài liệu về bảo mật mạng không dây của Cisco). 1.4. WPA2 – Wi-fi Protected Access 2WPA2 là một chuẩn ra đời sau đó và được kiểm định lần đầu tiên và ngày 1/9/2004. WPA2 được National Institute of Standards and Technology (NIST) khuyến cáo sử dụng, WPA2 sử dụng thuật toán mã hóa Advance Encryption Standar (AES). WPA2 cũng có cấp độ bảo mật rất cao tương tự như chuẩn WPA, nhằm bảo vệ cho người dùng và người quản trị đối với tài khoản và dữ liệu. Nhưng trên thực tế WPA2 cung cấp hệ thống mã hóa mạnh hơn so với WPA, và đây cũng là nhu cầu của các tập đoàn và doanh nghiệp có quy mô lớn. WPA2 sử dụng rất nhiều thuật toán để mã hóa dữ liệu như TKIP, RC4, AES và một vài thuật toán khác. Những hệ thống sử dụng WPA2 đều tương thích với WPA. TKIP? TKIP là một chuẩn dựa trên chuẩn IEEE 802.11i. TKIP được phát triển nhằm nâng cao tính bảo mật cho WEP. TKIP sử dụng thuật toán RC4 để mã hóa với 128bit cho mã hóa và 64bit cho chứng thực.Bạn có thể tìm hiểu chi tiết về chuẩn này tại địa chỉ : [ http://www.cisco.com/application/pdf...00801f7d0b.pdf%5D - http://www.cisco.com/application/pdf...00801f7d0b.pdf] 1.5. WEP Authentication MethodsMội Client không thể gia nhập mạng Wireless nếu không được chứng thực. Phương thức chứng thực phải được thiết lập trên Client và cả AP nếu muốn giao tiếp với nhau. Chuẩn 802.11b đưa ra 2 phương thức chứng thực cho mạng Wireless sử dụng khóa WEP: • Open Authentication • Shared Key Authentication 1.5.1. Open AuthenticationOpen Authentication là một phương thức mà chấp nhận mọi yêu cầu truy cập của bất kỳ Client nào nằm trong phạm vi phục vụ của AP. Mục đích của phương thức này là nhanh chóng chó phép Client truy cập vào mạng. Trong phương thức này dựa trên việc cấu hình trước khóa WEP ở Client và AP. Client và AP phải có cùng khóa WEP để có thể giao tiếp với nhau. Nếu không thì tính bảo mật sẽ không có trong mạng. Bất kỳ thiết bị nào cũng có thể gia nhập vào mạng nếu cấu hình đúng khóa WEP và không bật tính năng mã hóa dữ liệu. Nếu khóa WEP được cấu hình ở Client và AP khác nhau thì Client sẽ không thể mã hóa và giải mã chính xác dữ liệu, và các frame dữ liệu sẽ bị Client hoặc AP loại bỏ. 1.5.2. Shared Key AuthenticationTrong phương thức này thì AP sẽ gửi một chuỗi ký tự chưa được giải mã cho các bất kỳ thiết bị nào muốn giao tiếp với AP. Khi đó thiết bị muốn giao tiếp với AP sẽ yêu cầu chứng thực bằng cách giải mã chuỗi ký tự và gửi lại cho AP, nếu chuỗi ký tự đã giải mã này đúng thì AP sẽ chứng thực cho thiết bị này. Việc mã hóa và giải mã chuỗi ký tự này hoàn toàn có thể bị giám sát từ bên ngoài (Attacker), Attacker có thể kết hợp chuỗi ký tự đã giải mã và chưa giải mã để tính toán ra khóa WEP. Chính vì nhược điểm này mà Shared Key Authentication bảo mật kém hơn Open Authentication. 1.5.3. EAP AuthenticationExtensible Authentication Protocol – EAP cung cấp một cấp độ bảo mật cao nhất cho hệ thống mạng không dây, bằng cách sử dụng EAP tương tác với RADIUS server. Khi đó AP sẽ giúp cho Client và RADIUS server giao tiếp và thực hiện việc chứng thực và nhận được một khóa WEP động. Nghĩa là RADIUS sẽ gửi một khóa WEP đến AP mà khóa này sẽ sử dụng cho toàn bộ dữ liệu gửi đi hoặc nhận từ Client và đồng thời AP cũng mã hóa khóa WEP này và gửi nó cho các Client. EAP authentication cung cấp khóa WEP động cho các Client. WEP động thì bảo mật hơn nhiều so với WEP tĩnh hay không thể thay đổi. Chính vì thế khi một Attacker muốn bẻ khóa WEP thì phải nhận đủ các gói dữ liệu để từ đó mới có thể tính toán tìm ra khóa WEP, nhưng vì sự thay đổi liên tục của khóa WEP nên Acttacker không thể tính toán được. Mô hình sau sẽ cho thấy quá trình chứng thực của Client trong mạng. RADIUS serverRADIUS – Remote Access Dial-up User Service là một công nghệ khác mà thường được dùng cho các doanh nghiệp có quy mô lớn để bảo vệ và quản lý việc truy cập trong mạng không dây. RADIUS là một danh sách những Username và p***word mà cho phép những User phù hợp có quyền truy cập vào mạng mà không ảnh hưởng đến dữ liệu đã mã hóa. Trước khi muốn truy cập vào mạng thì User phải nhập Username và p***word và gửi đến RADIUS server, server sẽ kiểm tra tài khoản của User, nếu đúng thì cho phép truy cập, ngược lại thì không.
RADIUS server được cài đặt để cung cấp những cấp độ và lớp truy cập khác nhau. Ví dụ như những User truy cập vào mạng, người thì chỉ được phép truy cập Internet, người khác thì chỉ được xem mail, người khác thì có thể đầy đủ các quyền… Cũng giống như tất cả các công nghệ bảo mật phức tạp khác, RADIUS cũng là một công nghệ đa dạng về loại và cấp độ. Bạn có thể sử dụng RADIUS miễn phí do Microsoft cung cấp cho một hệ thống bảo một tiêu chuẩn, hoặc bạn có thể dùng những giải pháp bảo mật về phần cứng và phần mềm.1.5.4. LEAP AuthenticationLEAP Authentication là một trong những loại chứng thực dùng cho mạng WLAN được Cisco đề xuất. LEAP hổ trợ rất mạnh việc chứng thực giữa Client và RADIUS Server sử dụng p***word đăng nhập ẩn. LEAP cung cấp động khóa được mã hóa. LEAP Authentication hổ trợ mạng sử dụng WPA và WPA2. LEAP Authentication được phát triển rộng rãi, LEAP hổ trợ nhiều loại Client, nhiều thiết bị của các nhà sản xuất. Một vài đặc tính của LEAP hổ trợ như : • Đăng nhập và chứng thực Username và p***word trên mội trường Active Directory WinNT/2000 • Đơn giản và giá thành thấp cho người quản trị mạng • Quản trị, bảo mật tiện lợi, linh động, tập trung • Hiệu suất bảo mật cao, có thể nâng cấp lên cấp độ bảo mật cao hơn • LEAP hổ trợ chạy trên nhiều môi trường khác nhau : Microsoft Windows, Mac OS, Linux, DOS và Window CE 1.5.5. MAC Address AuthenticationAP sẽ chuyển tiếp địa chỉ MAC của các Client đến đến RADIUS server trên mạng, RADIUS server sẽ so sánh địa chỉ nhận được với bảng danh sách địa chỉ MAC mà cho phép truy cập vào mạng. Những Attacker có thể tạo một địa chỉ MAC giả mạo, cho nên việc chứng thực dựa trên địa chỉ MAC bảo mật kém hơn EAP Authentication. Nếu không có RADIUS server bạn có thể tạo một danh sách các địa chỉ MAC cho phép truy cập trên AP. Khi đó những Client nào không có địa chỉ MAC phù hợp thì không được chứng thực. Khi tạo danh sách địa chỉ MAC, bạn nên sử dụng chữ thường cho tất cả các địa chỉ.1.6. Summary of Authentication methodsBetter man
|
Trả lời:
Người gởi: Admin
Ngày gởi: 04/Jul/2007 lúc 7:21pm
Tấn công và phòng chống trong mạng WLAN là vấn đề được quan tâm rất nhiều hiện nay bởi các chuyên gia trong lĩnh vực bảo mật. Nhiều giải pháp tấn công và phòng chống đã được đưa ra nhưng cho đến bây giờ chưa giải pháp nào thật sự gọi là bảo mật hoàn toàn, cho đến hiện nay mọi giải pháp phòng chống được đưa ra đều là tương đối (nghĩa là tính bảo mật trong mạng WLAN vẫn có thể bị phá vỡ bằng nhiều cách khác nhau). Vậy để tấn công một mạng WLAN như thế nào? và giải pháp phòng chống ra sao? Tôi và các bạn sẽ cùng tìm hiểu rõ hơn trong phần dưới đây. Theo rất nhiều tài liệu nghiên cứu, hiện tại để tấn công vào mạng WLAN thì các Attacker có thể sử dụng một trong những cách sau:
• P***ive Attack (sniffing) • Active Attack (probing) • Man-in-the-Middle Attack • Denial-of-Services Attack • Ad-hoc network Attack • Wireless Spoofing • AP Weaknesses • War Driving
2.1. P***ive Attack
Tấn công bị động (p***ive) hay nghe lén (sniffing) có lẽ là một phương pháp tấn công WLAN đơn giản nhất nhưng vẫn rất hiệu quả. P***ive attack không để lại một dấu vết nào chứng tỏ đã có sự hiện diện của attacker trong mạng vì khi tấn công attacker không gửi bất kỳ gói tin nào mà chỉ lắng nghe mọi dữ liệu lưu thông trên mạng. WLAN sniffer hay các ứng dụng miễn phí có thể được sử dụng để thu thập thông tin về mạng không dây ở khoảng cách xa bằng cách sử dụng anten định hướng. Phương pháp này cho phép attacker giữ khoảng cách với mạng, không để lại dấu vết trong khi vẫn lắng nghe và thu thập được những thông tin quý giá.
Sniffer thường là một phần mềm có thể lắng nghe và giải mã các gói dữ liệu lưu thông trên mạng, sniffer đóng vai trò một hệ thống trung gian và sẽ copy tất cả các gói dữ liệu mà được gửi từ máy A sang máy B, chụp lấy p***word trong những phiên kết nối của các Client. Vì vậy mạng Wireless rất dễ bị nghe lén so với mạng có dây thông thường.
Có nhiều ứng dụng có khả năng thu thập được p***word từ những địa chỉ HTTP, email, instant message, FTP session, telnet. Những kiểu kết nối trên đều truyền p***word theo dạng clear text (không mã hóa). Nhiều ứng dụng có thể bắt được cả p***word hash (mật mã đã được mã hóa bằng nhiều thuật toán như MD4, MD5, SHA,...) truyền trên đoạn mạng không dây giữa client và server lúc client đăng nhập vào. Bất kỳ thông tin nào truyền trên đoạn mạng không dây theo kiểu này đều rất dễ bị tấn công bởi attacker. Tác hại là không thể lường trước được nếu như attacker có thể đăng nhập vào mạng bằng thông tin của một người dùng nào đó và cố tình gây ra những thiệt hại cho mạng.
Một attacker có thể ở đâu đó trong bãi đậu xe, dùng những công cụ để đột nhập vào mạng WLAN của bạn. Các công cụ có thể là một packet sniffer, hay một số phần mềm miễn phí để có thể crack được WEP key và đăng nhập vào mạng.
2.1. P***ive Attack
2.1.1. P***ive Scanning
P***ive Scanning là cách mà Attacker dung để lấy thông tin từ mạng bằng cách điều chỉnh thiết bị sao cho có tầng số sóng radio khác nhau. P***ive Scanning nghĩa là cho Wireless NIC lắng nghe trên mỗi kênh một vài thông điệp mà không cho thất sự hiện diện của Attacker.
Attacker có thể quét bị động mà không cần phải gửi bất cứ thông điệp nào. Chế độ này gọi là RF monitor, khi đó mỗi frame dữ liệu lưu thông trên mạng có thể bi copy bởi Attacker, mặc định thì chức năng này thường không có ở những Wireless NIC hiện có trên thị trường do đã được cài firmware đã tắt chức năng này. Trong chế độ này một Client có thể chụp lấy những gói dữ liệu mà không cần phải kết nối với AP hoặc Ah-hoc network.
2.1.2. Detecting SSID
Thông thường bằng cách P***ive Scanning các Attacker có thể tìm ra được SSID của mạng, bởi vì SSID nằm trong các frame sau: Beacon, Probe Request, Probe Responses, ***ociation Requests và Re***ociation Requests.
Trên một số AP co thể cấu hình cho SSID được gửi đi trong frame Beacon được che giấu đi, và thậm chí tắt các frame Beacon hoàn toàn. SSID được giấu trong các frame Beacon mục đích giảm tổi thiểu sự nhận biết của các Client về SSID. Trong nhiều trường hợp các Client cố gắng gia nhập vào mạng WLAN để kết nối bằng cách gửi yêu cầu dò tìm khi mà không thấy bất kỳ AP nào mà SSID không giống. Còng nếu frame Beacon không tắt thì các Attacker hiển nhiên sẽ xin được SSID từ AP bằng cách P***ive Scanning.
Khi mà đã có được SSID, thì yêu cầu kết nối sẽ xuất hiện tại những Client mà có SSID phù hợp. Một yêu cầu trong frame này sẽ bao gồm SSID đúng và thông tin nghe trộm của Attacker. Nếu một Client muốn gia nhập vào bất kỳ AP nào cho phép, nó sẽ gửi yêu cầu dò tìm trên tất cả các kênh và lắng nghe lời phản hồi mà có chứa SSID của AP. Attacker sẽ xem xét qua tất cả các lời phản hồi để chọn ra một AP. Thông thường thì kết nối sẽ được thiết lập ngay sau đó và Attacker sẽ đợi những thông tin phản hồi và suy ra được SSID.
Nếu việc truyền nhận frame Beacon bị tắt, thì Attacker có 2 lựa chọn. Hoặc là Attacker tiếp tục lắng nghe đến khi một yêu cầu kết nối xuất hiện từ một Client có quyền truy cập mạng và có SSID phù hợp để nghe trộm SSID này. Hoặc là Attacker có thể dò tìm bằng cách bơm vào (injecting) một frame mà đã tạo ra sẵn và sau đó lắng nghe phản hồi (bước này sẽ nghiên cứu sâu hơn trong phần sau - Active attack).
2.1.3. Collecting the MAC Addresses
Các Attacker thu thập các địa chỉ MAC hợp lệ để sử dụng trong các frame giả mạo được dựng lên sau này. Địa chỉ MAC nguồn và đích luôn chứa đầy đủ trong tất cả các frame. Cò 2 lý do tại sao Attacker muốn thu thập MAC Address của các Client và AP trong mạng. Một là Attacker muốn sử dụng những giá trị này trong các frame giả mạo để máy của hắn không bị AP nhận ra. Thứ hai là các AP có chức năng lọc các địa chỉ MAC chưa được đăng ký thì không cho truy cập vào mạng, Attacker sẽ giả mạo địa chỉ MAC để truy cập hợp pháp.
2.1.4. Collecting frames for Cracking WEP
Mục đích của các Attacker là tìm ra khóa WEP. Thông thường khóa này có thể đoán ra được dựa vào một lượng lớn các hệ thống công cộng mà các quản trị mạng đã cấu hình và thường sử dụng. Một vài phần mềm Client lưu trữ khóa WEP trong Registry của hệ thống. Sau này chúng ta phải thừa nhận rằng các Attacker đã không thành công trong việc xin khóa trong cách này, các Attacker sau đó đã tận dụng các phương pháp một cách có hệ thống trong việc crack WEP. Để thực hiện mục đích này một số lượng frame rất lớn (hàng triệu) frame cần được thu thập để crack WEP bởi vì đó là cách WEP hoạt động.
Attacker nghe trộm một lượng lớn các frame dữ liệu từ một mạng WLAN. Tất cả các frame này sử dụng cùng một khóa. Những thuật toán đằng sau những secret-shared-key là một tập hợp các đoạn text đã mã hóa mà được trích xuất từ các frame. Tuy nhiên tất cả những gì cần đó là một tập hợp các frame được mã hóa với những thuật toán yếu. Số frame được mã hóa với thuật toán yếu chiếm tỉ lệ nhỏ trong tất cả các frame. Trong tập hợp hàng triệu frame có thể chỉ có 100 frame được mã hóa như vậy. Có thể thấy được rằng việc tập hợp này có thể mất đến vài giờ và thậm chí vài ngày để trích xuất ra thông tin cần dò tìm. Tuy nhiên các Attacker có thể sử dụng các máy tính mạnh thì thời gian dò tìm thông tin nhanh hơn có thể chỉ còn vài phút đến vài giờ.
TOOL: - AirSnort ([ http://airsnort.shmoo.com%5d%29/ - http://airsnort.shmoo.com]) , - Kismet ([ http://www.kismetwireless.net/%5D - http://www.kismetwireless.net/] ) - AiroPeek ([ http://www.widepackets.com/%5D - http://www.widepackets.com/] ) - Sniffer Pro - WirelessMon ([ http://www.p***mark.com%5d/ - http://www.p***mark.com] )
2.1.5. Detecting Sniffer
Sniffer thường tấn công chủ động bằng cách thu thập dữ liệu. Cho nên việc phát hiện Sniffer trở nên rất khó khăn, đặc biệt là khi Sniffer hoạt động trên những dữ liệu được chia sẻ trên mạng. Nhưng điều này đã trở nên dễ dàng hơn với một số chức năng phát hiện Sniffer như sau:
• Ping Method: sự giả mạo được sử dụng ở đây là gửi yêu cầu với IP Address từ một hệ thống kiểm tra. Ý tưởng ở đây là không Client nào nhận được packet này nếu không trùng MAC Address. Nhưng nếu là một Sniffer thì sẽ trả lời ngay và sẽ không loại bỏ Packet này cho dù khác MAC Address. Đây là một phương pháp đã cũ và không còn được sử dụng nhiều vì không có độ tin cậy cao.
• ARP Method: một hệ thống sẽ lưu lại các ARP, cho nên khi chúng ta gửi một gói ARP không broadcast thì hệ thống sẽ lưu lại ARP Address này. Sau đó chúng ta sẽ ping broadcast với IP Address của chúng ta nhưng MAC Address khác. Chỉ có hệ thống mà có MAC Address đúng mới trả lời lại lệnh ping này.
• ARP watch: một cách thức nghe trộm là sẽ đặt vị trí của Sniffer tại gateway của hệ thống mạng. Một tiện ích gọi là ARPWatch có thể sử dụng để giám sát bộ nhớ của ARP trên một hệ thống và sẽ cảnh báo nếu có 2 hệ thống giống nhau. Nhưng đáng tiếc là những hệ thống được triển khai trên DHCP thì có thể hệ thống giám sát có thể đưa ra những cảnh báo sai. Ví dụ một User sau khi đã ngắt kết nối mạng sau một khoảng thời gian rồi lại truy cập vào mạng và nhận được một IP Address giống với trước đây thì hệ thống giám sát sẽ phát ra thông báo ngay do còn lưu trong bộ nhớ cache.
• IDS: hệ thống Instrusion Detection Systems, giám sát sự giả mạo ARP trên mạng. Hệ thống này sẽ lưu lại trên mạng với những địa chỉ ARP đã giả mạo. • Thông thường hệ thống sẽ so sánh IP Addres và MAC Address, nếu không phù hợp sẽ phát ra cảnh báo.
2.1.6. Preventing Sniffing
Cách tốt nhất bảo vệ bạn, công ty hoặc doanh nghiệp trước sự giả mạo đó là sử dụng mã hóa. Tuy không ngăn chặn được những chức năng giả mạo, nhưng nó bắt Sniffer chỉ đọc được những dữ liệu đã bị mã hóa.
Một hệ thống mà đã có những User cố tình làm hại thì hắn sẽ cố gắng giả mạo ARP là một gateway. Để ngăn chăn việc này, bạn có thể giữ MAC Address của gateway thật lâu trong bộ nhớ. Hoặc bạn có thể thay đổi thừơng xuyên MAC Address cho gateway và một vài hệ thống quan trọng trong mạng của bạn.
Ngoài ra còn có một vài phương pháp mà người Admin mạng và bảo mật có thể áp dụng để có thể bảo vệ mạng.
• Đầu tiên là triển khai phần mềm giám sát từng đoạn mạng và chú ý đến những hoạt động của ARP. Đảm bảo rằng mức độ lưu thông trong mạng trong giới hạn cho phép và có thể kiểm soát được. • Thứ hai là bảo vệ trên từng đoạn mạng (subnet), bằng cách chia hệ thống mạng ra từng Virtual LAN (VLAN) và giới hạn quyền truy cập đến router cho từng host khác nhau để tránh bị tấn công. Có thể một Attacker muốn tấn công ARP đến một host trong hệ thống mạng nhưng không thành công vì không cùng subnet hoặc VLAN bởi vì các thiết bị Routing sẽ loại bỏ những packet này. • Thứ ba là sử dụng những mã khó cho những cặp MAC/IP trên những hệ thống chủ chốt cho nên các Attacker không thể thay đổi nó. Một vài thiết bị Switch cho phép cấu hình cặp MAC/TP tĩnh cho mỗi port trên thiết bị.
Thuật ngữ: Beacon Là frame dữ liệu trong mạng WLAN được gửi broadcast bởi AP mà những tín hiệu này rất có giá trị đối với Attacker
2.2. Active Attack (Probing)
Attacker có thể tấn công chủ động (active) để thực hiện một số tác vụ trên mạng. Một cuộc tấn công chủ động có thể được sử dụng để truy cập vào server và lấy được những dữ liệu có giá trị hay sử dụng đường kết nối Internet của doanh nghiệp để thực hiện những mục đích phá hoại hay thậm chí là thay đổi cấu hình của hạ tầng mạng. Bằng cách kết nối với mạng không dây thông qua AP, attacker có thể xâm nhập sâu hơn vào mạng hoặc có thể thay đổi cấu hình của mạng. Ví dụ, một attacker có thể sửa đổi để thêm MAC address của attacker vào danh sách cho phép của MAC filter (danh sách lọc địa chỉ MAC) trên AP hay vô hiệu hóa tính năng MAC filter giúp cho việc đột nhập sau này dễ dàng hơn. Admin thậm chí không biết được thay đổi này trong một thời gian dài nếu như không kiểm tra thường xuyên.
Một số ví dụ điển hình của active attack có thể bao gồm các Spammer (kẻ phát tán thư rác) hay các đối thủ cạnh tranh muốn đột nhập vào cơ sở dữ liệu của công ty bạn. Một spammer có thể gởi một lúc nhiều mail đến mạng của gia đình hay doanh nghiệp thông qua kết nối không dây WLAN. Sau khi có được địa chỉ IP từ DHCP server, attacker có thể gởi cả ngàn bức thư sử dụng kết nối internet của bạn mà bạn không hề biết. Kiểu tấn công này có thể làm cho ISP của bạn ngắt kết nối email của bạn vì đã lạm dụng gởi nhiều mail mặc dù không phải lỗi của bạn.
Một khi attacker đã có được kết nối không dây vào mạng của bạn, hắn có thể truy cập vào server, sử dụng kết nối WAN, Internet hay truy cập đến laptop, desktop người dùng. Cùng với một số công cụ đơn giản, attacker có thể dễ dàng thu thập được những thông tin quan trọng, giả mạo người dùng hay thậm chí gây thiệt hại cho mạng bằng cách cấu hình sai. Dò tìm server bằng cách quét cổng, tạo ra phiên làm việc NULL để chia sẽ hay crack p***word, sau đó đăng nhập vào server bằng account đã crack được là những điều mà attacker có thể làm đối với mạng của bạn.
2.2.1. Detecting SSID
Tìm ra SSID thông thường rất đơn giản với sự hổ trợ của các công cụ và bắt lấy những frame dữ liệu quan trọng. Nếu những frame này không được lưu thông trên mạng thì Attacker không đủ kiên nhẫn để chờ đợi một yêu cầu kết nối hợp lệ từ một Client khác mà có quyền truy cập vào mạng để thông qua đó có được một SSID chính xác. Attacker sẻ bơm vào (injecting) một yêu cầu thăm dò bằng một địa chỉ MAC giả mạo. Vì lầm tưởng địa chỉ MAC nên AP sẽ phát ra những frame dữ liệu quan trọng, lúc này Attacker sẽ tìm ra SSID thông qua yêu cầu thăm dò đã gửi.
Một vài loại AP cho phép tắt chức năng trả lời đối với những yêu cầu thăm dò mà không đúng SSID. Trong trường hợp này Attacker sẽ quyết định chọn một Client kết nối đến một AP, và gửi cho Client này frame tách rời giả mạo mà địa chỉ MAC đã được cài đặt trên AP. Client sẽ gửi một yêu cầu kết nối lại và SSID lộ diện.
2.2.2. Detecting APs and stations
Mỗi một AP cũng là một máy trạm, vì thế các SSID và MAC address đã được tập hợp sẵn. Bằng cách sử dụng một vài công cụ hổ trợ dò tìm sóng mạng wireless sẽ cho chúng ta biết rõ khá đầy đủ thông tin của mạng wireless, AP và các Client.
Một số bit nào đó trong các frame được nhận biết rằng được phát ra từ AP. Nếu chúng ta cho rằng khóa WEP một là đã tắt hai là đã bị crack, Attacker cũng có thể thu thập các địa chỉ IP của các AP và Client.
2.2.3. Detection of Probing
Việc phát hiện sự giả mạo là hoàn toàn có thể, những frame mà Attacker gửi đi cũng có thể bị phát hiện bởi hệ thống phát hiện xâm nhập – instrustion detection systems (IDS) của mạng WLAN, có thể nhận thấy được những sự thay đổi vật lý (MAC Address) của thiết bị wireless dù cho đó là những frame giả mạo.
TOOL: - NetStumbler - WirelessMon
2.3. Man-in-the-middle Attack (MITM Attack)
Tấn công theo kiểu Man-in-the-middle là trường hợp trong đó attacker sử dụng một AP để đánh cắp các node di động bằng cách gởi tín hiệu RF mạnh hơn AP thực đến các node đó. Các node di động nhận thấy có AP phát tín hiệu RF tốt hơn nên sẽ kết nối đến AP giả mạo này, truyền dữ liệu có thể là những dữ liệu nhạy cảm đến AP giả mạo và attacker có toàn quyền xử lý. Đơn giãn là kẻ đóng vai trò là một AP giả mạo đứng giữa tất cả các Client và AP thực sự, thậm chí các Client và AP thực không nhận thấy sự hiện diện của AP giả mạo này.
Để làm cho client kết nối lại đến AP giả mạo thì công suất phát của AP giả mạo phải cao hơn nhiều so với AP thực trong vùng phủ sóng của nó. Việc kết nối lại với AP giả mạo được xem như là một phần của roaming nên người dùng sẽ không hề biết được. Việc đưa nguồn nhiễu toàn kênh (all-band interference - chẳng hạn như bluetooth) vào vùng phủ sóng của AP thực sẽ buộc client phải roaming.
Attacker muốn tấn công theo kiểu Man-in-the-middle này trước tiên phải biết được giá trị SSID là các client đang sử dụng (giá trị này rất dễ dàng có được bằng các công cụ quét mạng WLAN). Sau đó, attacker phải biết được giá trị WEP key nếu mạng có sử dụng WEP. Kết nối upstream (với mạng trục có dây) từ AP giả mạo được điều khiển thông qua một thiết bị client như PC card hay Workgroup Bridge. Nhiều khi, tấn công Man-in-the-middle được thực hiện chỉ với một laptop và 2 PCMCIA card. Phần mềm AP chạy trên máy laptop nơi PC card được sử dụng như là một AP và một PC card thứ 2 được sử dụng để kết nối laptop đến AP thực gần đó. Trong cấu hình này, laptop chính là man-in-the-middle (người ở giữa), hoạt động giữa client và AP thực. Từ đó attacker có thể lấy được những thông tin giá trị bằng cách sử dụng các sniffer trên máy laptop.
Điểm cốt yếu trong kiểu tấn công này là người dùng không thể nhận biết được. Vì thế, số lượng thông tin mà attacker có thể thu được chỉ phụ thuộc vào thời gian mà attacker có thể duy trì trạng thái này trước khi bị phát hiện. Bảo mật vật lý (Physical security) là phương pháp tốt nhất để chống lại kiểu tấn công này.
2.3.1. Wireless MITM
Giả sử cho rắng Client B đã được chứng thực hợp lệ với C là một AP thực. Attacker X là một laptop có 2 wireless card, thông qua một card, hắn sẽ hiện diện trên mạng wireless là một AP. Attacker X sẽ gửi những frame không hợp lệ đến B ma sử dụng địa chỉ MAC của Access Point C như là địa chỉ nguồn, và BSSID đã được thu thập. B sẽ không được chứng thực và bắt đầu dò tìm AP và có thể tìm thấy X trên kênh khác với kênh của Access Point C, đây có thể xem là một cuộc tranh giành giữa Attacker X và Access Point C.
Nếu B kết nối với X, thì cuộc tấn công theo phương pháp MITM coi như thành công. Sau đó X sẽ gửi lại những frame mà nó nhận từ chuyển sang cho C, ngược lại những frame mà nó nhận từ C chuyển sang cho B sau khi thay đổi sau cho phù hợp.
2.3.2. ARP Poisoning
ARP cache poisoning là một công nghệ đã được dùng trong mạng có dây thông thường. Nhưng hiện tại công nghệ này được xuất hiện lại trong các AP mà để kết nối đến Switch/Hub với các Client trong mạng có dây.
ARP thường được sử dụng để xác định địa chỉ MAC khi mà đã biết địa chỉ IP. Sự chuyển đổi này được thực hiện thông qua việc tìm kiếm trong một bảng địa chỉ, ARP cache sẽ giữ nhiệm vụ cập nhật bảng địa chỉ này bằng cách gửi broadcast các gói dữ liệu yêu cầu chứa các địa chỉ IP đến các Client, nếu như IP của Client nào trùng với IP nhận được thì sẽ phản hồi lại với gói dữ liệu chứa MAC Address của mình. Những thành phần trong bảng này sẽ hết hạng trong một khoảng thời gian nhất định vì Client có thể thay đổi phần cứng (NIC) thì khi đó bảng này sẽ được cập nhật lại.
Tuy nhiên một nhược điểm của ARP là không có bất kỳ sự kiểm tra nào từ những phản hồi của các Client hợp lệ hoặc là nhận phản hồi từ những Client giả mạo. ARP Poisoning là một phương pháp tấn công lợi dụng vào lỗ hổng này. Nếu ARP cache bị lỗi thì HĐH sẽ vẫn lưu địa MAC sai của một vài địa chỉ IP. Attacker sẽ thực hiện bằng cách gửi các gói dữ liệu phản hồi với những MAC Address sai.
ARP Poisoning là một trong những công nghệ mà cho phép tấn công theo kiểu MITM. Attacker X sẽ đưa hắn vào giữa 2 máy B và C, bằng cách “nhiễm” vào B cho nên IP của C được kết nối với MAC Address của X, ngược lại bằng cách “nhiễm” vào C cho nên IP của B sẽ kết nối với MAC Address của X, nghĩa là cuối cùng mọi giao tiếp giữa B và C đều phải thông qua X.
Tấn công ARP poisoning thì có thể áp dụng cho tất cả các host trong cùng một subnet. Hầu hết các AP đóng vai trò cầu nối để truyền nhận lớp địa chỉ MAC, cho nên tất cả các Client kết nối đến đều có thể bị nguy hiểm. Nếu như một AP được kết nối trực tiếp đến Switch/Hub mà không có Router/Firewall thì sau đó các Client kết nối đến Switch/Hub rất dễ bị tấn công. Chú ý rằng hầu hết các thiết bị có mặt trên thị trường hiện nay đều được tích hợp Switch với 4 hoặc 5 port vào trong AP, Router hoặc DSL/cable modem để kết nối Internet, bên trong thì AP đã được kết nối với Switch. Kết quả là Attacker có thể là một Client và trở thành một MITM giữa 2 mạng có dây thông thường, một mạng wireless và một mạng có dây, hoặc cả 2 mạng wireless.
TOOL: - HostAP (hostap.epitest.fi) - AirJack ( http://802.11ninja.net/airjack/ - http://802.11ninja.net/airjack/ ) - Ettercap (htt://ettercap.sourceforge.net/).
2.4. Denial-of-Services Attack (DoS)
DoS là một kỹ thuật được sử dụng chỉ đơn giản để làm hỏng (shut down) mạng không dây của bạn. Tương tự như những kẻ phá hoại sử dụng tấn công DoS vào một web server làm nghẽn server đó thì mạng WLAN cũng có thể bị shut down bằng cách gây nghẽn tín hiệu RF. Những tín hiệu gây nghẽn này có thể là cố ý hay vô ý và có thể loại bỏ được hay không loại bỏ được. Khi một attacker chủ động tấn công DoS, attacker có thể sử dụng một thiết bị WLAN đặc biệt, thiết bị này là bộ phát tín hiệu RF công suất cao hay thiết bị chuyên dung khác.
Để loại bỏ kiểu tấn công này thì yêu cầu đầu tiên là phải xác định được nguồn tín hiệu RF. Việc này có thể làm bằng cách sử dụng một Spectrum Analyzer (máy phân tích phổ). Có nhiều loại Spectrum Analyzer trên thị trường nhưng bạn nên dùng loại cầm tay, dùng pin cho tiện sử dụng. Một cách khác là dùng các ứng dụng Spectrum Analyzer phần mềm kèm theo các sản phẩm WLAN cho client.
Khi nguồn gây ra DoS là không thể di chuyển được và không gây hại như tháp truyền thông hay các hệ thống hợp pháp khác thì admin nên xem xét sử dụng dãy tần số khác cho mạng WLAN. Ví dụ, nếu admin chịu trách nhiệm thiết kế và cài đặt mạng WLAN cho môi trường rộng lớn, phức tạp thì cần phải xem xét kỹ càng. Nếu như nguồn nhiễu RF trải rộng hơn 2.4 Ghz như bộ đàm, lò vi sóng … thì admin nên sử dụng những thiết bị theo chuẩn 802.11a hoạt động trong băng tần 5 Ghz UNII thay vì sử dụng những thiết bị 802.11b/g hoạt động trong băng tần 2.4 Ghz sẽ dễ bị nhiễu.
DoS do vô ý xuất hiện thường xuyên do nhiều thiết bị khác nhau chia sẽ chung băng tần 2.4 ISM với mạng WLAN. DoS một cách chủ động thường không phổ biến lắm, lý do là bởi vì để thực hiện được DoS thì rất tốn kém, giá của thiết bị rất mắc tiền, kết quả đạt được chỉ là tạm thời shut down mạng trong thời gian ngắn.
3. Wireless Spoofing
Một khi những Client, thiết bị hoặc User nào bị ngăn cấm truy cập vào mạng Wireless, thì Spoofing (giả mạo) là một trong các cách tấn công hửu hiệu trong mạng Wireless. Mục đích của việc này là có thể gia nhập vào mạng và rồi sau đó sử dụng những công cụ dò tìm và lấy những thông tin chứng thực của các User và trở thành User hợp lệ (Man-in-the-Middle Attack cũng là một cách của kiểu tấn công này)
3.1. IP Spoofing
IP Spoofing là một công nghệ nhằm vượt qua sự ngăn chặn truy cập của hệ thống, Attacker có thể gửi các thông điệp đến một máy tính mà dưới danh nghĩa là một host hợp lệ. Ở đây có một vài sự khác nhau trong nhiều cách tấn công theo kiểu này:
3.1.1. Non-Blind Spoofing Cách này áp dụng khi Attacker ở cùng một subnet với Victim, nên việc nghe trộm các packet trên mạng là điều rất đơn giản. Loại này còn được gọi là Session Hijacking và một Attacker có thể tránh được bất kỳ hệ thống chứng thực nào và thiết lập kết nối. Điều này thực hiện được bằng cách ngắt các dòng dự liệu của các kết nối mà đã được thiết lập, sau đó tái thiết lập lại dựa trên những packet đúng với hệ thống tấn công.
3.1.2. MITM Attack (connection hijacking) Trong cách tấn công này, Attacker sẽ chặng những giao tiếp hợp lệ của 2 host để điều khiển dữ liệu giữa 2 host, khi đó Attacker sẽ mạo danh cả 2 host để gửi dữ liệu cho 2 host này. 2 host vẫn trao đổi dữ liệu với nhau bình thường nhưng thực tế dữ liệu máy A gửi cho B thì đã thông qua Attacker, Attacker sẽ chộp thông tin từ máy A và sau đó sẽ mạo danh địa chỉ máy A và truyền đến cho B. Điều kiện để thực hiện cách tấn công này là Attacker phải đặt mình ở giữa đường lien kết của 2 host.
3.1.3. DoS IP Spoofing đôi khi cũng được sử dụng bằng tấn công Dos. Khi đó Attacker sẽ phải tốn nhiều thời gian và tài nguyên như băng thông để có thể thật nhiều packet đến Victim trong một khoảng thời gian. Khi đó Attacker sẽ giả mạo địa chỉ IP nguồn để theo dõi và tấn công DoS. Khi nhiều host đã thỏa hiệp với nhau và đồng loạt tấn công, thì sẽ gửi những packet giả mạo, nó làm cho lưu lượng trên mạng nhanh chóng bị nghẽn.
Chú ý rằng, công nghệ IP Spoofing không cho phép các User Anonymous Internet truy cập và đây cũng là quan niệm sai của rất nhiều người. Để ngăn chặn IP Spoofing có một cài giải pháp đã được ra như:
• Tránh sử dụng chứng thực địa chỉ nguồn. Triển khai hệ thống mã hóa và chứng thực trên diện rộng. • Cấu hình mạng để loại bỏ đi những packet từ Internet mà có thể gây hại đến hệ thống mạng nội bộ. • Triển khai hệ thống kiểm soát in-out trên các Router vòng ngoài và triển khai một ACL (Access Control List) để khóa lại những IP Address cá nhân trên hệ thống mạng.
Nếu như bạn cho phép kết nối từ bên ngoài thì nên bật chức năng mã hóa trên Router.
3.2. MAC Spoofing
Mỗi một NIC đều có một địa chỉ vật lý được gọi là MAC Address. Địa chỉ này gồm có 12 chữ số HEX là duy nhất. Và thông thường trên các thiết bị AP có cung cấp một chức năng lọc MAC Address mục đích nhằm ngăn chặn một Client nào đó thông qua MAC Address. Thông thường những Client nào nằm trong danh sách này sẽ không thể truy cập vào mạng cũng như những tài nguyên được chia sẽ trên mạng.
Nhưng một điều đã làm cho chức năng này trở nên vô dụng đó là MAC Address hoàn toàn có thể giả mạo được. Khi đó thì bất kỳ một Hacker nghiệp dư nào cũng có thể vượt qua chức năng lọc MAC Address và trở thành một Client có địa chỉ được hợp lệ. Cho nên việc lọc MAC Address chưa tạo ra được sự tin tưởng cho việc bảo mật nhất là ở những hệ thống mạng lớn.
Giả mạo MAC Address nghĩa là một Attacker cố gắng thay đổi sang một giá trị khác sao cho thông qua địa chỉ MAC mới có thể gia nhập mạng Wireless và gửi hoặc nhận dữ liệu. Một khi các Attacker đã có ý định tấn công mạng theo cách thức này thì thường với một vài lí do như làm rối hệ thống mạng, vượt qua chính sách truy cập của mạng hoặc đóng vai là một User đã được chứng thực. Ta cùng tìm hiểu rõ từng lí do trong phần dưới đây:
3.2.1. Obfuscating network presence
Attacker có thể sử dụng cách thay đổi MAC Address để né tránh hệ thống bảo vệ và phát hiện. Một ví dụ như Attacker sẽ chạy những đoạn script tấn công với những địa chỉ MAC ngẫu nhiên cho mỗi một kết nối thành công. Khi đó các hệ thống hoặc ứng dụng phân tích mạng sẽ không thể phát hiện ra sự giả mạo này.
3.2.2. Byp***ing access control lists Access control list thường là được xem như là một định dạng (danh sách) cho quyền truy cập vào mạng WLAN, những người quản trị thông thường có nhiều tùy chọn để cấu hình AP hoặc những Router lđể thực hiện việc đăng ký các địa chỉ MAC cho các kết nối trên mạng. Attacker có thể giả mạo bằng cách giám sát mọi lưu thông trên mạng để từ đó xuất một danh sách các địa chỉ MAC mà đã được chứng thực hợp lệ bởi AP hoặc Router. Với danh sách này trong tay, Attacker có thể tự do gán địa chỉ của mình trùng với một trong các địa chỉ hợp lệ đó tránh được hệ thống bảo mật của mạng.
3.2.3. Authenticated User impersonation Những thiết bị phần cứng bảo mật của mạng WLAN đều dựa trên khả năng kiểm soát chứng thực User bằng địa chỉ MAC của Client. Sau khi User đã chứng thực thành công, thì hệ thống bảo mật sẽ thực hiện việc lưu thông dựa trên một danh sách MAC Address động. Attacker chỉ lừa các thiết bị khi cần thiết để giám sát mọi hành động trên mạng và tìm ra một địa chỉ MAC hợp lệ và sau đó hắn sẽ thay đổi địa chỉ MAC của mình trùng với địa chỉ đã tìm ra trước khi gia nhập vào mạng.
3.2.4. Preventing MAC Spoofing Đây là một trong những cách ngăn chăn sự giả mạo này trên mạng có dây: rất nhiều Switch có port security. Switch chỉ biết qua MAC Address một lần, và sau đó sẽ được lưu trữ thừơng xuyên, từ lúc đó Switch sẽ không chấp nhận bất kỳ MAC Address nào mà đã được lưu. Hệ thống này có chức năng ngăn chặn tấn công bằng cách giả mạo MAC Address. Cho nên bất kỳ khi nào có sự thay đổi trong mạng Admin cần cấu hình lại cho Switch.
TOOL:
- SMAC 2.0 ( http://www.download3k.com/Install-SMAC.html - http://www.download3k.com/Install-SMAC.html ) - MadMAC - MAC Address Change
3.3. ARP Spoofing
3.3.1. ARP hoạt động như thế nào? ARP sẽ ánh xa từ IP Addres sang MAC Address. Nếu một Client C cần gửi một Packet sang server S, thì C phải cần biết C phải cần biết MAC Address của nếu cả hai cùng một subnet, trong cả trường hợp S ở một subnet khác thì C vẫn phải cần biết MAC Address. Để xác định MAC Address, C sẽ broadcast một ARP request đến tất cả các máy trên hệ thống mạng nội bộ và hỏi rằng “Ai có địa chỉ IP là a.b.c.d?”, nếu một máy nào có IP Address như vậy sẽ trả lời bằng cách gửi lại MAC Address cho C (hình 2.)
ARP – Address Resolution Protocol là một giao thức được sử dụng chuyển đổi từ IP Address sang MAC Address (ngược lại RARP là giao thức chuyển từ MAC Address sang IP Address). ARP Spoofing là một trong những cách tấn công mà hầu hết các người quản trị mất rất nhiều thời gian để đối phó, vì để bảo vệ mạng từ các cuộc tấn công từ bên trong thì khó hơn từ bên ngoài.
ARP Spoofing là một trong những cách thức tấn công gây nhiều khó khăn cho các Admin nhất. ARP Spoofing sẽ đặt Attacker vào vị trí có thể nghe trộm và bắt lấy mọi lưu thông trên mạng. Có rất nhiều kiểu tấn công theo kiểu ARP Spoofing, một trong những cách tấn công hiệu quả và nguy hiểm nhất là tấn công Man-in-the-Middle (MITM) mà có thể dễ dàng thực hiện nhờ vào các phần mềm tinh vi, thậm chí một Attacket có ít kiến thức trong việc này cũng có thể thực hiện thành công.
3.3.2. Addressing Attacks on the LAN
ARP không thể tự mình chống lại các Packet giả mạo và hoàn toàn có thể bị xâm hại bởi một loạt các cuộc tấn công. Các loại tấn công theo kiểu giả mạo thông dụng hiện nay là MAC Spoofing, ARP Spoofing.
TOOLS:
- ARP-SK ( http://www.arp-sk.org/ - http://www.arp-sk.org ) - Arpoc and WCI ( http://www.phenoelit.de/arpoc - http://www.phenoelit.de/arpoc ) - Cain & Abel ( http://www.oxid.it/cain.html - http://www.oxid.it/cain.html ) - DSniff ( http://naughty.monkey.org/ - http://naughty.monkey.org ) - Ettercap ( http://ettercap.sourceforge.net/ - http://ettercap.sourceforge.net ) - Parasite ( http://www.thc.org/releases.php - http://www.thc.org/releases.php )
3.3.3. Preventing ARP Attacks
Một cách để ngăn chặn ARP Attack là nên ngăn chặn download và chạy các phần mềm bên ngoài, mặc dù điều này gây ra nhiều khó khăn. Admin sẽ ngăn chặn việc sử dụng kết nối internet, HTTP, HTTPS, FTP, và email sẽ tạo điều kiện dễ dàng cho Attacker đưa những phần mềm, script, … vào bên trong mạng để dò tìm thông tin. Admin cũng cần quản lý những thiết bị ngoại vi như USB, Flash Disk, Removable media … và nhất là các thiết bị di động PDA, Laptop, mặc dù giải pháp này rất khó khăn khi thực hiện.
Ngoài ra ARP tĩnh là một cách để ngăn chặn cách tấn công này, nhưng thông thường các Admin muốn tránh những chuyện phức tạp trong việc cấu hình thủ công địa chỉ cho toàn bộ hệ thống (Router và Server). Nhưng đối với HĐH Window thì việc các Attacker có thể tấn công một cách bình thản đến các thành phần ARP đã được cấu hình và bỏ đi bất kỳ sự bảo mật nào trong mạng của bạn.
Better man
|
|