Bảo mật mạng không dây ở mức gói dữ liệu
Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số kỹ thuật hữu dụng cho việc khắc phục sự cố các vấn đề bảo mật mạng không dây ở mức gói dữ liệu.

Vấn đề rắc rối về mạng không dây là bạn không thể thấy những gì mình đang xử lý. Trong một mạng không dây, việc thiết lập kết nối không đơn giản như trong mạng chạy dây (chỉ cần cắm cáp), việc bảo mật vật lý không đơn giản chỉ là việc làm cản trở hay ngăn chặn hoàn toàn việc truy cập mạng của các cá nhân không được cấp phép, và việc khắc phục sự cố thậm chí là những vấn đề đơn giản đôi khi cũng có những khó khăn riêng đi kèm với các điểm truy cập. Điều đó nói nên rằng, việc bảo mật các mạng không dây sẽ tiếp tục là một thách thức cho tương lai thấy trước.

Trong bài này, chúng tôi sẽ giới thiệu cho các bạn một số kỹ thuật hữu dụng trong việc khắc phục sự cố các vấn đề không dây ở mức gói dữ liệu. Bài viết sẽ được bắt đầu bằng cách giới thiệu các phương pháp thu thập đúng các gói dữ liệu trong mạng không dây. Sau khi thu thập, chúng ta sẽ cùng thảo luận về các kỹ thuật phân tích, gồm có phân tích quá trình nhận thực WEP/WPA, lọc lưu lượng mã hóa và việc tìm kiếm các điểm truy cập giả mạo.

Việc capture các gói dữ liệu không dây

Mức gói dữ liệu trong các mạng không dây và mạng chạy dây có một số điểm tương đồng. Các mạng không dây vẫn sử dụng TCP/IP cho việc truyền thông dữ liệu và tuân thủ tất cả các luật lệ kết nối của các host chạy dây. Sự khác nhau giữa hai nền tảng kết nối này được tìm thấy ở các mức thấp hơn trong mô hình tham chiếu OSI. Các mạng không dây thực hiện truyền thông bằng cách gửi dữ liệu qua không trung, khác hoàn toàn với việc gửi dữ liệu theo dây dẫn tín hiệu. Không gian mà dữ liệu không dây được truyền thông trên đó là một môi trường chia sẻ, chính vì lý do đó cần phải có sự xem xét đặc biệt ở các lớp liên kết dữ liệu và lớp vật lý để bảo đảm rằng không có dữ liệu nào bị xung đột và dữ liệu được phân phối một cách tin cậy.

Điều này tương đương với việc khắc phục sự cố cho một mạng không dây vì chúng ta vẫn cần phải có một số cố gắng nhất định để có thể capture lớp hai trong các gói dữ liệu 802.11 cần thiết cho việc khắc phục sự cố một cách thỏa đáng. Để thực hiện điều này, bạn phải có khả năng đặt card giao diện mạng không dây (WNIC) của mình vào chế độ đặc biệt có tên gọi Monitor Mode. Monitor mode là một thiết lập driver đặc biệt, thiết lập hạn chế khả năng của các WNIC trong việc gửi dữ liệu và chỉ cho phép lắng nghe một cách thụ động trên kênh được chọn.

Trong các hệ điều hành dựa Linux, bạn có thể khá dễ dàng thay đổi WNIC sang chế độ monitor mode, tuy nhiên hầu hết các driver Windows lại không cho phép chức năng này. Kết quả là chúng ta phải cần dùng đến một mẩu phần cứng đặc biệt để giúp nó làm việc. Mẩu phần cứng này mang tên AirPcap và được sản xuất bởi CACE Technologies. Thiết bị AirPcap về cơ bản là một WNIC được thiết kế để sử dụng trong chế độ kiểm tra với Windows và tiện ích capture gói dữ liệu Wireshark. Sử dụng thiết bị này, bạn có thể capture lớp hai trong gói dữ liệu 802.11 từ kênh không dây đang lắng nghe.

Hình 1: Màn hình cấu hình AirPcap cho phép bạn cấu hình kênh đang lắng nghe

Cấu trúc gói dữ liệu 802.11

Sự khác biệt chính giữa các gói dữ liệu trong mạng không dây và chạy dây là phần header. Đây là một header hai lớp có chứa các thông tin mở rộng về gói và môi trường nó được truyền tải. Có ba kiểu gói ở đây: gói dữ liệu, gói quản lý, gói điều khiển.

• Gói quản lý – Các gói này được sử dụng để thiết lập kết nối giữa các host tại lớp hai. Một số kiểu quan trọng trong các gói dữ liệu quản lý này là: nhận thực, liên kết và báo hiệu.
• Gói điều khiển – Các gói điều khiển cho phép phân phối các gói quản lý và dữ liệu và có liên quan đến việc quản lý tắc nghẽn. Các kiểu của gói điều khiển gồm có: Request-to-Send và Clear-to-Send.
• Gói dữ liệu – Các gói này gồm có dữ liệu thực và là kiểu gói được chuyển tiếp từ mạng không dây sang mạng chạy dây.

Trong bài này chúng tôi sẽ không giới thiệu về các kiểu con trong các gói dữ liệu 802.11 này mà chỉ tập trung vào một số lĩnh vực có liên quan đến vấn đề bảo mật.

Tìm các điểm truy cập giả mạo

Bảo mật vật lý cho các tài sản CNTT là miền bảo mật được xem xét thường xuyên nhất. Một trong những sơ xuất nói chung trong lĩnh vực này là sự bổ sung thêm các thiết bị không được cấp quyền trong mạng. Trong thế giới các mạng chạy dây, một router không được cấp quyền có thể gây ra từ chối dịch vụ. Mặc dù vậy một điểm truy cập không dây WAP giả mạo bao giờ cũng là mối quan tâm lớn hơn vì nó có thể cho phép ai đó từ bên ngoài có thể tăng truy cập vào mạng cứ như thể họ đã đột nhật vào và cắp laptop của họ với giắc mạng trên tường.

May mắn cho chúng ta ở đây là việc phát hiện một WAP có thể được thực hiện khá dễ dàng. Để thực hiện được điều này, bạn phải bắt đầu bằng cách capture lưu lượng không dây từ một số vùng bên trong phạm vi quảng bá của các mạng. Khi thực hiện xong điều này, sẽ có một vài bộ lọc khác nhau được sử dụng để phát hiện liệu có tồn tại các điểm truy cập giả mạo hay không và liệu các máy khách có dính líu đến chúng hay không.

Một trong những giải pháp đơn giản nhất để thực hiện điều đó là biết địa chỉ MAC của WAP hợp pháp. Bằng cách sử dụng thông tin này, bạn có thể thực hiện lọc !wlan.bssid == 00:11:88:6b:68:30, thay thế WAP MAC của bạn ở vị trí địa chỉ MAC mà chúng tôi cung cấp. Thao tác này sẽ hiển thị cho bạn tất cả lưu lượng không dây đang luân chuyển vào ra khỏi WAP. Nếu có nhiều WAP trong vùng, bạn có thể kết hợp các bộ lọc này bằng toán tử OR (||). Trong thường hợp đó, bạn có thể sử dụng !wlan.bssid == 00:11:88:6b:68:30 || !wlan.bssid == 00:11:ff:a1:a4:22 để lọc ra hai điểm truy cập hợp lệ đã biết.

Phương pháp đó có thể giúp bạn phát hiện các điểm truy cập nói chung, tuy nhiên điều gì sẽ xảy ra nếu bạn muốn đi xa hơn nữa và muốn tìm ra liệu các máy trạm di động của bạn có đang kết nối với WAP giả mạo hay không? Có một cách để thực hiện điều này là lọc các yêu cầu liên kết. Để thực hiện điều này, bạn có thể kết hợp một trong các bộ lọc trên với các bộ lọc wlac.fc.type_subtype eq 0 và wlac.fc.type_subtype eq 2. Bộ lọc đầu tiên sẽ hiển thị tất cả các yêu cầu kết nối còn bộ lọc thứ hai sẽ hiển thị các yêu cầu kết nối lại. Khi cần thiết, bạn có thể kết hợp một trong các bộ lọc này với các bộ lọc trên bằng cách sử dụng toán tử AND (&&).

Cuối cùng, bạn có thể tiến hành một bước xa hơn nữa bằng cách xác định xem liệu có dữ liệu thực nào đang được truyền tải giữa các máy khách di động và WAP giả mạo hay không. Có thể thực hiện bằng cách lọc tất cả gói dữ liệu đang được truyền thông với điểm truy cập không hợp pháp bằng cách sử dụng bộ lọc wlan.fc.type eq 2 kết hợp với các bộ lọc trước, ngoại trừ các WAP hợp lệ đã biết.

Lọc lưu lượng không mã hóa

Chỉ có một hy vọng trong việc chống không cho các gói dữ liệu bị nghe trộm khi chúng được phát trong không trung là sử dụng mã hóa. Việc mã hóa này được thực hiện qua thực thi WPA hoặc WPA2 trong các hệ thống hiện đại. Điều đó nói lên rằng, chúng ta cần phải thẩm định sao cho các mạng không dây của mình một cách thường xuyên hơn để bảo đảm rằng không có máy khách không dây nào truyền tải dữ liệu không được mã hóa.

Việc tìm dữ liệu không được mã hóa trong mạng không dây cần phải sử dụng một bộ lọc khác. Trong trường hợp này, chúng ta có thể tìm tất cả các dói dữ liệu chưa mã hóa bằng cách sử dụng bộ lọc wlan.fc.protected == 0. Lúc này nếu sử dụng ngay, bạn sẽ thấy trả về một số kết quả không như mong đợi. Các khung quản lý và điều khiển 802.11 không được mã hóa mà chỉ thực hiện các chức năng quản trị cho WAP và máy khách không dây. Với vấn đề này, chúng ta phải mở rộng bộ lọc bằng cách gắn thêm vào wlan.fc.type eq 2. Điều này sẽ bảo đảm rằng bộ lọc chỉ hiển thị các gói dữ liệu không được mã hóa. Bộ lọc cuối cùng sẽ là wlan.fc.protected == 0 && wlan.fc.type eq 2.

Phân tích kỹ thuật nhận thực WEP và WPA

Phương pháp trước kia được sử dụng cho việc bảo mật dữ liệu khi phát trong các mạng không dây là Wired Equivalent Privacy (WEP). WEP đã khá thành công trong những năm trước dây cho tới khi người ta phát hiện ra một số điểm yếu trong vấn đề quản lý khóa mã hóa của nó. Kết quả là, các chuẩn mới đã được đưa ra, gồm có Wi-Fi Protected Access (WPA) và WPA2. Mặc dù WPA và WPA2 vẫn chưa thực sự an toàn tuyệt đối nhưng nó được cho là an toàn hơn WEP.

Khá hữu dụng cho việc có thể phân biệt nhận thực WEP và WPA trên mạng chạy dây. Nếu có thể thực hiện điều này, bạn có thể bỏ kiểu nhận thực WEP trên mạng của mình và chuyển sang WPA. Cùng với đó, bạn cần có khả năng phân tích các cố gắng nhận thực thất bại khi chúng xảy ra.

Nhận thực WEP

Nhận thực WEP làm việc bằng cách sử dụng cơ chế yêu cầu và đáp trả. Khi máy khách cố gắng kết nối với WAP, WAP sẽ phát văn bản yêu cầu. Yêu cầu này được phúc đáp và sau đó máy khách sẽ sử dụng văn bản này, giải mã nó bằng khóa WEP được cung cấp bởi máy khách và phát chuỗi tổng hợp quay trở lại WAP.

Khi WAP thẩm định được rằng văn bản đáp trả là những gì cần thiết, nó sẽ phát một thông báo trở lại máy khách để thông báo rằng quá trình nhận thực đã thành công. Bộ lọc để tìm các đáp trả nhận thực thành công là wlan_mgt.fixed.status_code == 0x0000.

Hình 2: WAP cảnh báo cho máy khách rằng quá trình nhận thực đã thành công

Trong trường hợp nhận thực không thành công, WAP sẽ phát đi một thông báo tuyên bố rằng nói rằng nó đã thất bại trong việc nhận thực.  

Hình 3: WAP cảnh báo cho máy khách rằng quá trình nhận thực đã thất bại

Bộ lọc để tìm ra gói thông báo thất bại là wlan_mgt.fixed.status_code == 0x000e.

Nhận thực WPA

Nhận thực WPA cũng sử dụng cơ chế yêu cầu và đáp trả, tuy nhiên nó làm việc theo một cách khác. Ở mức gói dữ liệu, nhận thực WPA sử dụng EAPOL để thực hiện việc yêu cầu và đáp trả của nó. Bạn có thể tìm thấy các gói dữ liệu này bằng cách sử dụng bộ lọc đơn giản EAPOL. Trong quá trình nhận thực thành công, bạn sẽ thấy bốn gói EAPOL tương ứng với hai yêu cầu và hai đáp trả. Mỗi một yêu cầu và đáp trả có thể được ghép cặp với nhau bằng cách sử dụng giá trị Replay Counter bên trong gói.

Hình 4: Trường Replay Counter được sử dụng để sửa một số vấn đề và các đáp trả

Trong tình huống mà ở đó quá trình nhận thực WPA thất bại, bạn sẽ sử dụng thêm một số bộ lọc EAPOL ở nơi yêu cầu và đáp trả được cố gắng nhiều lần. Khi quá trình này thực sự gặp thất bại, bạn sẽ thấy một gói giải nhận thực.

Hình 5: Sau khi bắt tay WPA thất bại, máy khách sẽ thực hiện nhận thực lại

Có hai cách để lọc nhận thực WPA thất bại. Cách đầu tiên là sử dụng bộ lọc EAPOL và đếm số gói được truyền tải giữa WAP và máy khách không dây. Cách khác là lọc các gói giải nhận thực bằng bộ lọc wlan.fc.type_subtype == 0x0c. Bộ lọc này sẽ trả về một số kết quả bổ sung không liên quan đến quá trình nhận thực thất bại vì vậy để có thể thẩm định rằng các gói liên quan với vấn đề này, bạn cần phải tìm hiểu sâu hơn nữa và tạo một bộ lọc khác chứa tất cả các gói dữ liệu giữa WAP và máy khách không dây được nói đến.

Kết luận

Trong bài này, chúng tôi đã giới thiệu được cho các bạn một số chi tiết cơ bản về việc capture gói dữ liệu mạng và một số ứng dụng quan trọng cho việc phân tích gói trên quan điểm bảo mật không dây. Kết nối không dây, bảo mật không dây, phân tích gói dữ liệu, tất cả đều là các chủ đề rộng. Bài viết này không thể trình bày cho các bạn một cách chi tiết mà chỉ góp phần khơi dậy các nghiên cứu sâu hơn về các lĩnh vực này. Nếu đặc biệt quan tâm về việc phân tích gói dữ liệu, bạn hãy download Wireshark hay một tiện ích capture dữ liệu khác và bắt đầu việc phân tích gói của mình.

(Theo Windowsecurity)