View Full Version : Thiết kế hệ thống phát hiện xâm nhập WIDSPro
( Nguyễn Thị Cẩm Hà)
Chương 1
TÌM HIỂU VỀ MẠNG KHÔNG DÂY
1.1. GIỚI THIỆU VỀ WIRELESS LAN(WLAN):
1.1.1. Wireless LAN là gì?
WLAN là một loại mạng máy tính nhưng việc kết nối giữa các thành phần trong mạng không sử dụng các loại cáp như một mạng thông thường, môi trường truyền thông của các thành phần trong mạng là không khí. Các thành phần trong mạng sử dụng sóng điện từ để truyền thông với nhau.
1.1.2.Lịch sử ra đời:
Công nghệ WLAN lần đầu tiên xuất hiện vào cuối năm 1990, khi những nhà sản xuất giới thiệu những sản phẩm hoạt động trong băng tần 900Mhz. Những giải pháp này (không được thống nhất giữa các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mbps, thấp hơn nhiều so với tốc độ 10Mbps của hầu hết các mạng sử dụng cáp hiện thời.
Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần 2.4Ghz. Mặc dầu những sản phẩm này đã có tốc độ truyền dữ liệu cao hơn nhưng chúng vẫn là những giải pháp riêng của mỗi nhà sản xuất không được công bố rộng rãi. Sự cần thiết cho việc hoạt động thống nhất giữa các thiết bị ở những dãy tần số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây chung.
Năm 1997, Institute of Electrical and Electronics Engineers(IEEE) đã phê chuẩn sự ra đời của chuẩn 802.11, và cũng được biết với tên gọi WIFI (Wireless Fidelity) cho các mạng WLAN. Chuẩn 802.11 hỗ trợ ba phương pháp truyền tín hiệu, trong đó có bao gồm phương pháp truyền tín hiệu vô tuyến ở tần số 2.4Ghz.
Năm 1999, IEEE thông qua hai sự bổ sung cho chuẩn 802.11 là các chuẩn 802.11a và 802.11b (định nghĩa ra những phương pháp truyền tín hiệu). Và những thiết bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây vượt trội. Các thiết bị WLAN 802.11b truyền phát ở tần số 2.4Ghz, cung cấp tốc độ truyền dữ liệu có thể lên tới 11Mbps. IEEE 802.11b được tạo ra nhằm cung cấp những đặc điểm về tính hiệu dụng, thông lượng (throughput) và bảo mật để so sánh với mạng có dây.
Năm 2003, IEEE công bố thêm một sự cải tiến là chuẩn 802.11g mà có thể truyền nhận thông tin ở cả hai dãy tần 2.4Ghz và 5Ghz và có thể nâng tốc độ truyền dữ liệu lên đến 54Mbps. Thêm vào đó, những sản phẩm áp dụng 802.11g cũng có thể tương thích ngược với các thiết bị chuẩn 802.11b. Hiện nay chuẩn 802.11g đã đạt đến tốc độ 108Mbps - 300Mbps.
1.2. CÁC MÔ HÌNH WLAN:
Mạng 802.11 linh hoạt về thiết kế, gồm 3 mô hình mạng sau:
·Mô hình mạng độc lập(IBSSs) hay còn gọi là mạng Ad hoc
·Mô hình mạng cơ sở (BSSs)
·Mô hình mạng mở rộng(ESSs)
1.2.1. Mô hình mạng AD HOC(Independent Basic Service sets (BSSs) ):
Các nút di động(máy tính có hỗ trợ card mạng không dây) tập trung lại trong một không gian nhỏ để hình thành nên kết nối ngang cấp (peer-to-peer) giữa chúng. Các nút di động có card mạng wireless là chúng có thể trao đổi thông tin trực tiếp với nhau , không cần phải quản trị mạng. Vì các mạng ad-hoc này có thể thực hiện nhanh và dễ dàng nên chúng thường được thiết lập mà không cần một công cụ hay kỹ năng đặc biệt nào vì vậy nó rất thích hợp để sử dụng trong các hội nghị thương mại hoặc trong các nhóm làm việc tạm thời. Tuy nhiên chúng có thể có những nhược điểm về vùng phủ sóng bị giới hạn, mọi người sử dụng đều phải nghe được lẫn nhau.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled.jpg
Hình 1-1: Mô hình mạng Ad-hoc
1.2.2. Mô hình mạng cơ sở (Basic service sets (BSSs) )
Bao gồm các điểm truy nhập AP (Access Point) gắn với mạng đường trục hữu tuyến và giao tiếp với các thiết bị di động trong vùng phủ sóng của một cell. AP đóng vai trò điều khiển cell và điều khiển lưu lượng tới mạng. Các thiết bị di động không giao tiếp trực tiếp với nhau mà giao tiếp với các AP. Các cell có thể chồng lấn lên nhau khoảng 10-15 % cho phép các trạm di động có thể di chuyển mà không bị mất kết nối vô tuyến và cung cấp vùng phủ sóng với chi phí thấp nhất. Các trạm di động sẽ chọn AP tốt nhất để kết nối. Một điểm truy nhập nằm ở trung tâm có thể điều khiển và phân phối truy nhập cho các nút tranh chấp, cung cấp truy nhập phù hợp với mạng đường trục, ấn định các địa chỉ và các mức ưu tiên, giám sát lưu lượng mạng, quản lý chuyển đi các gói và duy trì theo dõi cấu hình mạng. Tuy nhiên giao thức đa truy nhập tập trung không cho phép các nút di động truyền trực tiếp tới nút khác nằm trong cùng vùng với điểm truy nhập như trong cấu hình mạng WLAN độc lập. Trong trường hợp này, mỗi gói sẽ phải được phát đi 2 lần (từ nút phát gốc và sau đó là điểm truy nhập) trước khi nó tới nút đích, quá trình này sẽ làm giảm hiệu quả truyền dẫn và tăng trễ truyền dẫn.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled1.jpg
Hình 1-2: Mô hình mạng cơ sở
1.2.3. Mô hình mạng mở rộng ( ESSs)
Mạng 802.11 mở rộng phạm vi di động tới một phạm vi bất kì thông qua ESS. Một ESS là một tập hợp các BSSs nơi mà các Access Point giao tiếp với nhau để chuyển lưu lượng từ một BSS này đến một BSS khác để làm cho việc di chuyển dễ dàng của các trạm giữa các BSS, Access Point thực hiện việc giao tiếp thông qua hệ thống phân phối. Hệ thống phân phối là một lớp mỏng trong mỗi Access Point mà nó xác định đích đến cho một lưu lượng được nhận từ một BSS. Hệ thống phân phối được tiếp sóng trở lại một đích trong cùng một BSS, chuyển tiếp trên hệ thống phân phối tới một Access Point khác, hoặc gởi tới một mạng có dây tới đích không nằm trong ESS. Các thông tin nhận bởi Access Point từ hệ thống phân phối được truyền tới BSS sẽ được nhận bởi trạm đích.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled2.jpg
Hình 1-3: Mô hình mạng mở rộng
1.2.4. Ưu điểm của WLAN:
-Sự tiện lợi: Mạng không dây cũng như hệ thống mạng thông thường. Nó cho phép người dùng truy xuất tài nguyên mạng ở bất kỳ nơi đâu trong khu vực được triển khai(nhà hay văn phòng). Với sự gia tăng số người sử dụng máy tính xách tay(laptop), đó là một điều rất thuận lợi.
-Khả năng di động: Với sự phát triển của các mạng không dây công cộng, người dùng có thể truy cập Internet ở bất cứ đâu. Chẳng hạn ở các quán Cafe, người dùng có thể truy cập Internet không dây miễn phí.
-Hiệu quả: Người dùng có thể duy trì kết nối mạng khi họ đi từ nơi này đến nơi khác.
-Triển khai: Việc thiết lập hệ thống mạng không dây ban đầu chỉ cần ít nhất 1 access point. Với mạng dùng cáp, phải tốn thêm chi phí và có thể gặp khó khăn trong việc triển khai hệ thống cáp ở nhiều nơi trong tòa nhà.
-Khả năng mở rộng: Mạng không dây có thể đáp ứng tức thì khi gia tăng số lượng người dùng. Với hệ thống mạng dùng cáp cần phải gắn thêm cáp.
1.2.5. Nhược điểm của WLAN:
-Bảo mật: Môi trường kết nối không dây là không khí nên khả năng bị tấn công của người dùng là rất cao.
-Phạm vi: Một mạng chuẩn 802.11g với các thiết bị chuẩn chỉ có thể hoạt động tốt trong phạm vi vài chục mét. Nó phù hợp trong 1 căn nhà, nhưngvới một tòa nhà lớn thì không đáp ứng được nhu cầu. Để đáp ứng cần phải mua thêm Repeater hay access point, dẫn đến chi phí gia tăng.
-Độ tin cậy: Vì sử dụng sóng vô tuyến để truyền thông nên việc bị nhiễu, tín hiệu bị giảm do tác động của các thiết bị khác(lò vi sóng,….) là không tránh khỏi. Làm giảm đáng kể hiệu quả hoạt động của mạng.
-Tốc độ: Tốc độ của mạng không dây (1- 300 Mbps) rất chậm so với mạng sử dụng cáp(100Mbps đến hàng Gbps).
1.3. CÁC TIÊU CHUẨN MẠNG KHÔNG DÂY(WIRELESS LAN):
Tần số vô tuyến được sử dụng để truyền dẫn là yếu tố rất quan trọng đối với mạng WLAN.
WLAN được cấp phát băng tần ISM trong 3 dãy tần số không cần đăng ký sử dụng sau: 902 MHz, 2.4 GHz, và 5 GHz. Hiện nay có một số các tiêu chuẩn WLAN phố biến trên thế giới sử dụng 3 dãy tần số.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled1-1.jpg
Hình 1- 4: Các tiêu chuẩn mạng không dây
Tiêu chuẩn phổ biến nhất hiện nay là IEEE 802.11b và 802.11g, chuẩn sau mới và nhanh hơn. Tiêu chuẩn 802.11b được Hiệp hội kỹ sư điện và điện tử (IEEE) đưa ra vào tháng 9 năm 1999. Mạng WLAN IEEE 802.11b tốc độ cao hoạt động ở băng tần 2.4 GHz và có thể cung cấp tốc độ truyền dẫn lên tới 11 Mbps. IEE 802.11b chỉ xác định hai lớp cuối của mô hình tham chiếu OSI: lớp vật lý (PHY) và lớp liên kết số liệu (phân lớp điều khiển truy nhập MAC)
http://i384.photobucket.com/albums/oo289/hamicun/Untitled-1.jpg
Hình 1-5: Mô hình tham chiếu OSI
Chương 2
CÁC THIẾT BỊ HẠ TẦNG MẠNG KHÔNG DÂY
2.1. CÁC THIẾT BỊ HẠ TẦNG MẠNG KHÔNG DÂY (WLAN)
2.1.1. Điểm truy cập: AP(access point)
Cung cấp cho các máy khách(client) một điểm truy cập vào mạng. AP là một thiết bị song công(Full duplex) có mức độ thông minh tương đương với một chuyển mạch Ethernet phức tạp(Switch).
http://i384.photobucket.com/albums/oo289/hamicun/Untitled-2.jpg
http://www.wimaxpro.org/forum/H%C3%83%C2%ACnh%202-8:%20Card%20m%C3%A1%C2%BA%C2%A1ng%20kh%C3%83%C2%B4 ng%20d%C3%83%C2%A2y%20chu%C3%A1%C2%BA%C2%A9n%20USB
Hình 2-2: Kết nối giữa Access Point và máy tính có hỗ trợ card mạng không dây
2.1.1. Các chế độ hoạt động của AP:
AP có thể giao tiếp với các máy không dây, với mạng có dây truyền thống và với các AP khác. Có 3 Mode hoạt động chính của AP:
-Chế độ gốc (Root mode): Root mode được sử dụng khi AP được kết nối với mạng backbone có dây thông qua giao diện có dây (thường là Ethernet) của nó. Hầu hết các AP sẽ hỗ trợ các mode khác ngoài root mode, tuy nhiên root mode là cấu hình mặc định. Khi một AP được kết nối với phân đoạn có dây thông qua cổng Ethernet của nó, nó sẽ được cấu hình để hoạt động trong root mode. Khi ở trong root mode, các AP được kết nối với cùng một hệ thống phân phối có dây có thể nói chuyện được với nhau thông qua phân đoạn có dây. Các client không dây có thể giao tiếp với các client không dây khác nằm trong những cell (ô tế bào, hay vùng phủ sóng của AP) khác nhau thông qua AP tương ứng mà chúng kết nối vào, sau đó các AP này sẽ giao tiếp với nhau thông qua phân đoạn có dây như ví dụ trong hình 2-3.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled1-2.jpg
Hình 2-3: Mô hình hình Root Mode
Chế độ cầu nối(bridge Mode): Trong Bridge mode, AP hoạt động hoàn toàn giống với một cầu nối không dây. AP sẽ trở thành một cầu nối không dây khi được cấu hình theo cách này. Chỉ một số ít các AP trên thị trường có hỗ trợ chức năng Bridge, điều này sẽ làm cho thiết bị có giá cao hơn đáng kể. Chúng ta sẽ giải thích một cách ngắn gọn cầu nối không dây hoạt động như thế nào, từ hình 2-3 Client không kết nối với cầu nối, nhưng thay vào đó, cầu nối được sử dụng để kết nối 2 hoặc nhiều đoạn mạng có dây lại với nhau bằng kết nối không dây.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled2-1.jpg
Hình 2-4: Mô hình bridge mode
Chế độ lặp(repeater mode): AP có khả năng cung cấp một đường kết nối không dây upstream vào mạng có dây thay vì một kết nối có dây bình thường. Một AP hoạt động như là một root AP và AP còn lại hoạt động như là một Repeater không dây. AP trong repeater mode kết nối với các client như là một AP và kết nối với upstream AP như là một client.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled3.jpg
Hình 2-5: Mô hình Repeater mode
2.1.1. Các thiết bị máy khách trong WLAN:
Là những thiết bị WLAN được các máy khách sử dụng để kết nối vào WLAN.
2.1.1.a. Card PCI Wireless:
Là thành phần phổ biến nhất trong WLAN. Dùng để kết nối các máy khách vào hệ thống mạng không dây. Được cắm vào khe PCI trên máy tính. Loại này được sử dụng phổ biến cho các máy tính để bàn(desktop) kết nối vào mạng không dây.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled4.jpg
Hình 2-6: Card mạng không dây chuẩn PCI
2.1.1.a. Card PCMCIA Wireless:
Trước đây được sử dụng trong các máy tính xách tay(laptop) và cácthiết bị hỗ trợ cá nhân số PDA(Personal Digital Associasion). Hiện nay nhờ sự phát triển của công nghệ nên PCMCIA wireless ít được sử dụng vì máy tính xách tay và PDA,…. đều được tích hợp sẵn Card Wireless bên trong thiết bị.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled5.jpg
Hình 2-7: Card mạng không dây chuẩn PCMCIA
2.1.1.a. Card USB Wireless:
Loại rất được ưu chuộng hiện nay dành cho các thiết bị kết nối vào mạng không dây vì tính năng di động và nhỏ gọn . Có chức năng tương tự như Card PCI Wireless, nhưng hỗ trợ chuẩn cắm là USB (Universal Serial Bus). Có thể tháo lắp nhanh chóng (không cần phải cắm cố định như Card PCI Wireless) và hỗ trợ cắm khi máy tính đang hoạt động.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled6.jpg
Hình 2-8: Card mạng không dây chuẩn USB
Chương 3
BẢO MẬT MẠNG KHÔNG DÂY
3.1. Tại sao phải bảo mật mạng không dây(WLAN)
Để kết nối tới một mạng LAN hữu tuyến ta cần phải truy cập theo đường truyền bằng dây cáp, phải kết nối một PC vào một cổng mạng. Với mạng không dây ta chỉ cần có máy của ta trong vùng sóng bao phủ của mạng không dây. Điều khiển cho mạng có dây là đơn giản: đường truyền bằng cáp thông thường được đi trong các tòa nhà cao tầng và các port không sử dụng có thể làm cho nó disable bằng các ứng dụng quản lý. Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vật liệu của các tòa nhà và như vậy sự bao phủ là không giới hạn ở bên trong một tòa nhà. Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát từ các mạng LAN này, và như vật ai đó có thể truy cập nhờ thiết bị thích hợp. Do đó mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled7.jpg
Hình 3-1: Truy cập trái phép vào mạng không dây
Để cung cấp mức bảo mật tối thiểu cho mạng WLAN thì ta cần hai thành phần sau:
· Cách thức để xác định ai có quyền sử dụng WLAN - yêu cầu này được thỏa mãn bằng cơ chế xác thực( authentication)
· Một phương thức để cung cấp tính riêng tư cho các dữ liệu không dây – yêu cầu này được thỏa mãn bằng một thuật toán mã hóa ( encryption).
http://i384.photobucket.com/albums/oo289/hamicun/Untitled8.jpg
Hình 3-2: Bảo mật mạng không dây
3.1. Bảo mật mạng không day:(WLAN)
Một WLAN gồm có 3 phần: Wireless Client, Access Points và Access Server. Wireless Client điển hình là một chiếc laptop với NIC (Network Interface Card) không dây được cài đặt để cho phép truy cập vào mạng không dây. Access Points (AP) cung cấp sự bao phủ của sóng vô tuyến trong một vùng nào đó (được biết đến như là các cell (tế bào)) và kết nối đến mạng không dây. Còn Access Server điều khiển việc truy cập. Một Access Server (như là Enterprise Access Server (EAS) ) cung cấp sự điều khiển, quản lý, các đặc tính bảo mật tiên tiến cho mạng không dây Enterprise.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled9.jpg
Hình 3-3: Mô hình Enterprise Access Server trong Controller Mode.
Một bộ phận không dây có thể được kết nối đến các mạng không dây tồn tại theo một số cách. Kiến trúc tổng thể sử dụng EAS trong “Gateway Mode” hay “Controller Mode”. Trong Gateway Mode ( hình 3-4) EAS được đặt ở giữa mạng AP và phần còn lại của mạng Enterprise. Vì vậy EAS điều khiển tất cả các luồng lưu lượng giữa các mạng không dây và có dây và thực hiện như một tường lửa.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled10.jpg
Hình 3-4: Mô hình Enterprise Access Server trong Gateway Mode
Trong Controll Mode (hình 3-3), EAS quản lý các AP và điều khiển việc truy cập đến mạng không dây, nhưng nó không liên quan đến việc truyền tải dữ liệu người dùng. Trong chế độ này, mạng không dây có thể bị phân chia thành mạng dây với firewall thông thường hay tích hợp hoàn toàn trong mạng dây Enterprise. Kiến trúc WLAN hỗ trợ một mô hình bảo mật được thể hiện trên hình 3-5. Mỗi một phần tử bên trong mô hình đều có thể cấu hình theo người quản lý mạng để thỏa mãn và phù hợp với những gì họ cần.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled11.jpg
Hình 3-5:Các thiết lập bảo mật trong mạng không dây
1. Device Authorization: Các Client không dây có thể bị ngăn chặn theo địa chỉ phần cứng của họ (ví dụ như địa chỉ MAC). EAS duy trì một cơ sở dữ liệu của các Client không dây được cho phép và các AP riêng biệt khóa hay lưu thông lưu lượng phù hợp.
2. Encryption: WLAN cũng hỗ trợ WEP, 3DES và chuẩn TLS(Transport Layer Sercurity) sử dụng mã hóa để tránh người truy cập trộm. Các khóa WEP có thể tạo trên một per-user, per session basic.
3. Authentication: WLAN hỗ trợ sự ủy quyền lẫn nhau (bằng việc sử dụng 802.1x EAP-TLS) để bảo đảm chỉ có các Client không dây được ủy quyền mới được truy cập vào mạng. EAS sử dụng một RADIUS server bên trong cho sự ủy quyền bằng việc sử dụng các chứng chỉ số. Các chứng chỉ số này có thể đạt được từ quyền chứng nhận bên trong (CA) hay được nhập từ một CA bên ngoài. Điều này đã tăng tối đa sự bảo mật.
4. Firewall: EAS hợp nhất packet filtering và port blocking firewall dựa trên các chuỗi IP. Việc cấu hình từ trước cho phép các loại lưu lượng chung được enable hay disable.
5. VPN: EAS bao gồm một IPSec VPN server cho phép các Client không dây thiết lập các session VPN vững chắc trên mạng.
3.1. Mã hóa
Mã hóa là biến đổi dữ liệu để chỉ có các thành phần được xác nhận mới có thể giải mã được nó. Quá trình mã hóa là kết hợp plaintext với một khóa để tạo thành văn bản mật (Ciphertext). Sự giải mã được bằng cách kết hợp Ciphertext với khóa để tái tạo lại plaintext gốc như hình 3-6. Quá trình xắp xếp và phân bố các khóa gọi là sự quản lý khóa.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled12.jpg
Hình 3-6: Quá trình mã hóa và giải mã
Có hai loại mật mã:
· Mật mã dòng (stream ciphers)
· Mật mã khối ( block ciphers)
Cả hai loại mật mã này hoạt động bằng cách sinh ra một chuỗi khóa ( key stream) từ một giá trị khóa bí mật. Chuỗi khóa sau đó sẽ được trộn với dữ liệu (plaintext) để sinh dữ liệu đã được mã hóa. Hai loại mật mã này khác nhau về kích thước của dữ liệu mà chúng thao tác tại một thời điểm.
Mật mã dòng phương thức mã hóa theo từng bit, mật mã dòng phát sinh chuỗi khóa liên tục dựa trên giá trị của khóa, ví dụ một mật mã dòng có thể sinh ra một chuỗi khóa dài 15 byte để mã hóa một frame và môt chuỗi khóa khác dài 200 byte để mã hóa một frame khác.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled13.jpg
Hình 3-7: Hoạt động của mật mã dòng
Mật mã dòng là một thuật toán mã hóa rất hiệu quả, ít tiêu tốn tài nguyên (CPU). Ngược lại, mật mã khối sinh ra một chuỗi khóa duy nhất và có kích thước cố định(64 hoặc 128 bit). Chuỗi kí tự chưa được mã hóa( plaintext) sẽ được phân mảnh thành những khối(block) và mỗi khối sẽ được trộn với chuỗi khóa một cách độc lập. Nếu như khối plaintext nhỏ hơn khối chuỗi khóa thì plaintext sẽ được đệm thêm vào để có được kích thước thích hợp. Tiến trình phân mảnh cùng với một số thao tác khác của mật mã khối sẽ làm tiêu tốn nhiều tài nguyên CPU.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled14.jpg
Hình 3-8: Hoạt động của mật mã khối
Tiến trình mã hóa dòng và mã hóa khối còn được gọi là chế độ mã hóa khối mã điện tử ECB ( Electronic Code Block). Chế độ mã hóa này có đặc điểm là cùng một đầu vào plaintext ( input plain) sẽ luôn luôn sinh ra cùng một đầu ra ciphertext (output ciphertext). Đây chính là yếu tố mà kẻ tấn công có thể lợi dụng để nhận dạng của ciphertext và đoán được plaintext ban đầu.
Một số kỹ thuật mã hóa có thể khắc phục được vấn đề trên:
· Sử dụng vector khởi tạo IV ( Initialization Vector)
· Chế độ phản hồi (FeedBack)
3.1.1. Vector khởi tạo IV
http://i384.photobucket.com/albums/oo289/hamicun/Untitled15.jpg
Hình 3-9: Mô hình vector khởi tạo IV
Vector khởi tạo IV là một số được thêm vào khóa và làm thay đổi khóa . IV được nối vào khóa trước khi chuỗi khóa được sinh ra, khi IV thay đổi thì chuỗi khóa cũng sẽ thay đổi theo và kết quả là ta sẽ có ciphertext khác nhau. Ta nên thay đổi giá trị IV theo từng frame. Theo cách này nếu một frame được truyền 2 lần thì chúng ta sẽ có 2 ciphertext hoàn toàn khác nhau cho từng frame.
3.1.1. Chế độ phản hồi (Feedback Modes)
Chế độ phản hồi cải tiến quá trình mã hóa để tránh việc một plaintext sinh ra cùng một ciphertext trong suốt quá trình mã hóa. Chế độ phản hồi thường được sử dụng với mật mã khối.
3.1.2. Thuật toán WEP(Wired Equivalent Privacy )
Chuẩn 802.11 cung cấp tính riêng tư cho dữ liệu bằng thuật toán WEP. WEP dựa trên mật mã dòng đối xứng RC4( Ron’s code 4) được Ron Rivest thuộc hãng RSA Security Inc phát triển. Thuật toán mã hóa RC4 là thuật toán mã hóa đối xứng( thuật toán sử dụng cùng một khóa cho việc mã hóa và giải mã). WEP là thuật toán mã hóa được sử dụng bởi tiến trình xác thực khóa chia sẻ để xác thực người dùng và mã hóa dữ liệu trên phân đoạn mạng không dây.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled16.jpg
Hình 3-10: Frame đã được mã hóa bởi WEP
Để tránh chế độ ECB(Electronic Code Block) trong quá trình mã hóa, WEP sử dụng 24 bit IV, nó được kết nối vào khóa WEP trước khi được xử lý bởi RC4. Giá trị IV phải được thay đổi theo từng frame để tránh hiện tượng xung đột. Hiện tượng xung đột IV xảy ra khi sử dụng cùng một IV và khóa WEP kết quả là cùng một chuỗi khóa được sử dụng để mã hóa frame.
Chuẩn 802.11 yêu cầu khóa WEP phải được cấu hình trên cả client và AP khớp với nhau thì chúng mới có thể truyền thông được. Mã hóa WEP chỉ được sử dụng cho các frame dữ liệu trong suốt tiến trình xác thực khóa chia sẻ. WEP mã hóa những trường sau đây trong frame dữ liệu:
· Phần dữ liệu (payload)
· Giá trị kiểm tra tính toàn vẹn của dữ liệu ICV (Integrity Check value)
Tất cả các trường khác được truyền mà không được mã hóa. Giá trị IV được truyền mà không cần mã hóa để cho trạm nhận sử dụng nó để giải mã phần dữ liệu và ICV
http://i384.photobucket.com/albums/oo289/hamicun/Untitled17.jpg
Hình 3-11: Tiến trình mã hóa và giải mã WEP
Ngoài việc mã hóa dữ liệu 802.11 cung cấp một giá trị 32 bit ICV có chức năng kiểm tra tính toàn vẹn của frame. Việc kiểm tra này cho trạm thu biết rằng frame đã được truyền mà không có lỗi nào xảy ra trong suốt quá trình truyền.
ICV được tính dựa vào phương pháp kiểm tra lỗi bits CRC-32( Cyclic Redundancy Check 32). Trạm phát sẽ tính toán giá trị và đặt kết quả vào trong trường ICV, ICV sẽ được mã hóa cùng với frame dữ liệu. Trạm thu sau nhận frame sẽ thực hiện giải mã frame, tính toán lại giá trị ICV và so sánh với giá trị ICV đã được trạm phát tính toán trong frame nhận được. Nếu 2 giá trị trùng nhau thì frame xem như chưa bị thay đổi hay giả mạo, nếu giá trị không khớp nhau thì frame đó sẽ bị hủy bỏ.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled18.jpg
Hình 3-12: Mô tả hoạt động của ICV
Do WEP sử dụng RC4, nếu RC4 được cài đặt không thích hợp thì sẽ tạo nên một giải pháp bảo mật kém. Cả khóa WEP 64 bit và 128 bit đều có mức độ yếu kém như nhau trong việc cài đặt 24 bit IV và cùng sử dụng tiến trình mã hóa có nhiều lỗ hỏng. Tiến trình này khởi tạo giá trị ban đầu cho IV là 0, sau đó tăng lên 1 cho mỗi frame được truyền. Trong một mạng thường xuyên bị nghẽn, những phân tích thống kê cho thấy rằng tất cả các giá trị IV(224 )sẽ được sử dụng hết trong nửa ngày. Điều này có nghĩa là sẽ khởi tạo lại giá trị IV ban đầu là 0 ít nhất một lần trong ngày. Đây chính là lổ hỏng cho các hacker tấn công.
Khi WEP được sử dụng, IV sẽ được truyền đi mà không mã hóa cùng với mỗi gói tin đã được mã hóa cách làm này tạo ra những lỗ hỏng bảo mật sau:
· Tấn công bị động để giải mã lưu lượng, bằng cách sử dụng những phân tích thống kê, khóa WEP có thể bị giải mã
· Dùng các phần mềm miễn phí để tìm kiếm khóa WEP như là: AirCrack, AirSnort, dWepCrack, WepAttack, WepCrack, WepLab. Khi khóa WEP đã bị crack thì việc giải mã các gói tin có thể được thực hiện bằng cách lắng nghe các gói tin đã được quảng bá, sau đó dùng khóa WEP để giải mã chúng.
v Khóa WEP
Chức năng chính của WEP là dựa trên khóa, là yếu tố cơ bản cho thuật toán mã hóa. Khóa WEP là một chuỗi kí tự và số được sử dụng theo 2 cách:
- Khóa WEP được sử dụng để định danh xác thực client
- Khóa WEP được dùng để mã hóa dữ liệu
Khi client sử dụng WEP muốn kết nối với AP thì AP sẽ xác định xem client có giá trị khóa chính xác hay không? Chính xác ở đây có nghĩa là client đã có khóa là một phần của hệ thống phân phát khóa WEP được cài đặt trong WLAN. Khóa WEP phải khớp ở cả hai đầu xác thực client và AP.
Hầu hết các AP và client có khả năng lưu trữ 4 khóa WEP đồng thời. Một lý do hữa ích của việc sử dụng nhiều khóa WEP chính là phân đoạn mạng. Giả sử mạng có 80 client thì ta sử dụng 4 khóa WEP cho 4 nhóm khác nhau thay vì sử dụng 1 khóa. Nếu khóa WEP bị crack thì ta chỉ cần thay đổi khóa WEP cho 20 client thay vì phải thay đổi cho toàn bộ mạng. Một lí do khác để có nhiều khóa WEP là trong môi trường hỗn hợp có card hỗ trợ 128 bit và có card chỉ hỗ trợ 64 bit. Trong trường hợp này chúng ta có thể phân ra hai nhóm người dùng.
v Giải pháp WEP tối ưu:
Với những điểm yếu nghiêm trọng của WEP và sự phát tán rộng rãi của các công cụ dò tìm khóa WEP trên Internet, giao thức này không còn là giải pháp bảo mật được chọn cho các mạng có mức độ nhạy cảm thông tin cao. Tuy nhiên, trong rất nhiều các thiết bị mạng không dây hiện nay, giải pháp bảo mật dữ liệu được hỗ trợ phổ biến vẫn là WEP. Dù sao đi nữa, các lỗ hổng của WEP vẫn có thể được giảm thiểu nếu được cấu hình đúng, đồng thời sử dụng các biện pháp an ninh khác mang tính chất hỗ trợ.
Để gia tăng mức độ bảo mật cho WEP và gây khó khăn cho hacker, các biện pháp sau được đề nghị:
- Sử dụng khóa WEP có độ dài 128 bit: Thường các thiết bị WEP cho phép cấu hình khóa ở ba độ dài: 40 bit, 64 bit, 128 bit. Sử dụng khóa với độ dài 128 bit gia tăng số lượng gói dữ liệu hacker cần phải có để phân tích IV, gây khó khăn và kéo dài thời gian giải mã khóa WEP
- Thực thi chính sách thay đổi khóa WEP định kỳ: Do WEP không hỗ trợ phương thức thay đổi khóa tự động nên sự thay đổi khóa định kỳ sẽ gây khó khăn cho người sử dụng. Tuy nhiên, nếu không đổi khóa WEP thường xuyên thì cũng nên thực hiện ít nhất một lần trong tháng hoặc khi nghi ngờ có khả năng bị lộ khóa.
- Sử dụng các công cụ theo dõi số liệu thống kê dữ liệu trên đường truyền không dây: Do các công cụ dò khóa WEP cần bắt được số lượng lớn gói dữ liệu và hacker có thể phải sử dụng các công cụ phát sinh dữ liệu nên sự đột biến về lưu lượng dữ liệu có thể là dấu hiệu của một cuộc tấn công WEP, đánh động người quản trị mạng phát hiện và áp dụng các biện pháp phòng chống kịp thời.
3.4. Các giải pháp bảo mật nổi bật:
3.4.1. WLAN VPN:
Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như IPSec (Internet Protocol Security). IPSec dùng các thuật toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu, và dùng các thuật toán khác để xác thực gói dữ liệu. IPSec cũng sử dụng thẻ xác nhận số để xác nhận khóa mã (public key). Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled19.jpg
Hình 3-13: WLAN VPN
3.1.2. TKIP(Temporal Key Integrity Protocol)
Là giải pháp của IEEE được phát triển năm 2004. Là một nâng cấp cho WEP nhằm vá những vấn đề bảo mật trong cài đặt mã dòng RC4 trong WEP. TKIP dùng hàm băm(hashing) IV để chống lại việc giả mạo gói tin, nó cũng cung cấp phương thức để kiểm tra tính toàn vẹn của thông điệp MIC(message integrity check ) để đảm bảo tính chính xác của gói tin. TKIP sử dụng khóa động bằng cách đặt cho mỗi frame một chuỗi số riêng để chống lại dạng tấn công giả mạo.
3.4.3. AES(Advanced Encryption Standard)
Là một chức năng mã hóa được phê chuẩn bởi NIST(Nation Instutute of Standard and Technology). IEEE đã thiết kế một chế độ cho AES để đáp ứng nhu cầu của mạng WLAN. Chế độ này được gọi là CBC-CTR(Cipher Block Chaining Counter Mode) với CBC-MAC(Cipher Block Chaining Message Authenticity Check). Tổ hợp của chúng được gọi là AES-CCM . Chế độ CCM là sự kết hợp của mã hóa CBC-CTR và thuật toán xác thực thông điệp CBC-MAC. Sự kết hợp này cung cấp cả việc mã hóa cũng như kiểm tra tính toàn vẹn của dữ liệu gửi.
Mã hóa CBC-CTR sử dụng một biến đếm để bổ sung cho chuỗi khóa. Biến đếm sẽ tăng lên 1 sao khi mã hóa cho mỗi khối(block). Tiến trình này đảm bảo chỉ có duy nhất một khóa cho mỗi khối. Chuỗi ký tự chưa được mã hóa sẽ được phân mảnh ra thành các khối 16 byte.
CBC-MAC hoạt động bằng cách sử dụng kết quả của mã hóa CBC cùng với chiều dài frame, địa chỉ nguồn, địa chỉ đích và dữ liệu. Kết quả sẽ cho ra giá trị 128 bit và được cắt thành 64 bit để sử dụng lúc truyền thông.
AES-CCM yêu cầu chi phí khá lớn cho cả quá trình mã hóa và kiểm tra tính toàn vẹn của dữ liệu gửi nên tiêu tốn rất nhiều năng lực xử lý của CPU khá lớn.
3.4.4. 802.1x và EAP
802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng(port-based) được định nghĩa bởi IEEE. Hoạt động trên cả môi trường có dây truyền thống và không dây. Việc điều khiển truy cập được thực hiện bằng cách: Khi một người dùng cố gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn(blocking) và chờ cho việc kiểm tra định danh người dùng hoàn tất.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled20.jpg
http://i384.photobucket.com/albums/oo289/hamicun/Untitled20.jpg
Hình 3-14: Mô hình hoạt động xác thực của 802.1x
EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng(password, cetificate,…), giao thức được sử dụng(MD5, TLS_Transport Layer Security, OTP_ One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau.
Mô hình xác thực 802.1X-EAP cho Client diễn ra như sau:
http://i384.photobucket.com/albums/oo289/hamicun/Untitled22.jpg
Hình 3-15: Quá trình trao đổi thông tin xác thực của 802.1x
3.4.5. WPA (Wi-Fi Protected Access)
WEP được xây dựng để bảo vệ một mạng không dây tránh bị nghe trộm. Nhưng nhanh chóng sau đó người ta phát hiện ra nhiều lổ hỏng ở công nghệ này. Do đó, công nghệ mới có tên gọi WPA (Wi-Fi Protected Access) ra đời, khắc phục được nhiều nhược điểm của WEP.
Trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol). WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể thực hiện được với WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu. Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền. WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc.
Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal. Khi mà sử dụng hàm thay đổi khoá TKIP được sử dụng để tạo ra các khoá mã hoá bị phát hiện, nếu hacker có thể đoán được khoá khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu. Tuy nhiên, lỗ hổng này cũng sẽ bị loại bỏ bằng cách sử dụng những khoá khởi tạo không dễ đoán (đừng sử dụng những từ như "PASSWORD" để làm mật khẩu).
Điều này cũng có nghĩa rằng kỹ thuật TKIP của WPA chỉ là giải pháp tạm thời, chưa cung cấp một phương thức bảo mật cao nhất. WPA chỉ thích hợp với những công ty mà không truyền dữ liệu "mật" hay các thông tin nhạy cảm... WPA cũng thích hợp với những hoạt động hàng ngày và mang tính thử nghiệm công nghệ.
3.4.6. WPA 2
Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng nhận bởi Wi-Fi Alliance. Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES (Advanced Encryption Standard). AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit. Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia về Chuẩn và Công nghệ của Mỹ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này. Và chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mỹ để bảo vệ các thông tin nhạy cảm. Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES (Digital Encryption Standard). Để đảm bảo về mặt hiệu năng, quá trình mã hoá cần được thực hiện trong các thiết bị phần cứng như tích hợp vào chip. Tuy nhiên, rất ít người sử dụng mạng không dây quan tâm tới vấn đề này. Hơn nữa, hầu hết các thiết bị cầm tay Wi-Fi và máy quét mã vạch đều không tương thích với chuẩn 802.11i.
3.4.7. Lọc (Filtering)
Lọc là cơ chế bảo mật cơ bản có thể sử dụng cùng với WEP. Lọc hoạt động giống như Access list trên router, cấm những cái không mong muốn và cho phép những cái mong muốn. Có 3 kiểu lọc cơ bản có thể được sử dụng trong wireless lan:
- Lọc SSID
- Lọc địa chỉ MAC
- Lọc giao thức
3.4.7.a. Lọc SSID
Lọc SSID là một phương thức cơ bản của lọc và chỉ nên được sử dụng cho việc điều khiển truy cập cơ bản. SSID của client phải khớp với SSID của AP để có thể xác thực và kết nối với tập dịch vụ. SSID được quảng bá mà không được mã hóa trong các Beacon nên rất dễ bị phát hiện bằng cách sử dụng các phần mềm. Một số sai lầm mà người sử dụng WLAN mắc phải trong việc quản lí SSID gồm:
+ Sử dụng giá trị SSID mặc định tạo điều kiện cho hacker dò tìm địa chỉ MAC của AP.
+ Sử dụng SSID có liên quan đến công ty.
+ Sử dụng SSID như là phương thức bảo mật của công ty.
+ Quảng bá SSID một cách không cần thiết.
3.4.7.b. Lọc địa chỉ MAC
Hầu hết các AP đều có chức năng lọc địa chỉ MAC. Người quản trị có thể xây dựng danh sách các địa chỉ MAC được cho phép. Nếu client có địa chỉ MAC không nằm trong danh sách lọc địa chỉ MAC của AP thì AP sẽ ngăn chặn không cho phép client đó kết nối vào mạng. Nếu công ty có nhiều client thì có thể xây dựng máy chủ RADIUS có chức năng lọc địa chỉ MAC thay vì AP. Cấu hình lọc địa chỉ MAC là giải pháp bảo mật có tính mở rộng cao.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled23.jpg
Hình 3-16: Tiến trình xác thực MAC
3.4.7.c. Lọc giao thức
Mạng Lan không dây có thể lọc các gói đi qua mạng dựa trên các giao thức từ lớp 2 đến lớp 7. Trong nhiều trường hợp người quản trị nên cài đặt lọc giao thức trong môi trường dùng chung, ví dụ trong trường hợp sau:
Có một nhóm cầu nối không dây được đặt trên một Remote building trong một mạng WLAN của một trường đại học mà kết nối lại tới AP của tòa nhà kỹ thuật trung tâm. Vì tất cả những người sử dụng trong remote building chia sẻ băng thông 5Mbs giữa những tòa nhà này, nên một số lượng đáng kể các điều khiển trên các sử dụng này phải được thực hiện. Nếu các kết nối này được cài đặt với mục đích đặc biệt của sự truy nhập internet của người sử dụng, thì bộ lọc giao thức sẽ loại trừ tất cả các giao thức, ngoại trừ HTTP, SMTP, HTTPS, FTP…
http://i384.photobucket.com/albums/oo289/hamicun/Untitled24.jpg
Hình 3-17: Lọc giao thức
3.5. CÁC KIỂU TẤN CÔNG TRONG MẠNG WLAN
Một số hình tấn công xâm nhập mạng không dây phổ biến:
3.5.1. ROGUE ACCESS POINT
3.5.1.a. Định nghĩa
Access Point giả mạo được dùng để mô tả những Access Point được tạo ra một cách vô tình hay cố ý làm ảnh hưởng đến hệ thống mạng hiện có. Nó được dùng để chỉ các thiết bị hoạt động không dây trái phép mà không quan tâm đến mục đích thực của chúng.
3..1.b. Phân loại
a) Access Point được cấu hình không hoàn chỉnh
Một Access Point có thể bất ngờ trở thành 1 thiết bị giả mạo do sai sót trong việc cấu hình. Sự thay đổi trong Service Set Identifier(SSID), thiết lập xác thực, thiết lập mã hóa,… điều nghiêm trọng nhất là chúng sẽ không thể chứng thực các kết nối nếu bị cấu hình sai. Ví dụ: trong trạng thái xác thực mở (open mode authentication) các người dùng không dây ở trạng thái 1(chưa xác thực và chưa kết nối) có thể gửi các yêu cầu xác thực đến một Access Point và được xác thực thành công sẽ chuyển sang trang thái 2 (được xác thực nhưng chưa kết nối). Nếu 1 Access Point không xác nhận sự hợp lệ của một máy khách do lỗi trong cấu hình, kẻ tấn công có thể gửi một số lượng lớn yêu cầu xác thực, làm tràn bảng yêu cầu kết nối của các máy khách ở Access Point , làm cho Access Point từ chối truy cập của các người dùng khác bao gồm cả người dùng được phép truy cập.
b) Access Point giả mạo từ các mạng WLAN lân cận
Các máy khách theo chuẩn 802.11 tự động chọn Access Point có sóng mạnh nhất mà nó phát hiện được để kết nối. ví dụ: Windows XP tự động kết nối đến kết nối tốt nhất có thể xung quanh đó. Vì vậy, những người dùng được xác thực của một tổ chức có thể kết nối đến các Access Point của các tổ chức khác lân cận. Mặc dù các Access Point lân cận không cố ý thu hút kết nối từ các người dùng, những kết nối đó vô tình để lộ những dữ liệu nhạy cảm.
c) Access Point giả mạo do kẻ tấn công tạo ra
Giả mạo AP là kiểu tấn công “man in the middle” cổ điển. Đây là kiểu tấn công mà tin tặc đứng ở giữa và trộm lưu lượng truyền giữa 2 nút. Kiểu tấn công này rất mạnh vì tin tặc có thể trộm tất cả lưu lượng đi qua mạng. Rất khó khăn để tạo một cuộc tấn công “man in the middle” trong mạng có dây bởi vì kiểu tấn công này yêu cầu truy cập thực sự đến đường truyền. Trong mạng không dây thì lại rất dễ bị tấn công kiểu này. Tin tặc cần phải tạo ra một AP thu hút nhiều sự lựa chọn hơn AP chính thống. AP giả này có thể được thiết lập bằng cách sao chép tất cả các cấu hình của AP chính thống đó là: SSID, địa chỉ MAC v.v..Bước tiếp theo là làm cho nạn nhân thực hiện kết nối tới AP giả.
- Cách thứ nhất là đợi cho nguời dùng tự kết nối.
- Cách thứ hai là gây ra một cuộc tấn công từ chối dịch vụ DoS trong AP chính thống do vậy nguời dùng sẽ phải kết nối lại với AP giả.
Trong mạng 802.11 sự lựa chọn AP được thực hiện bởi cường độ của tín hiệu nhận. Điều duy nhất tin tặc phải thực hiện là chắc chắn rằng AP của mình có cường độ tín hiệu mạnh hơn cả. Để có được điều đó tin tặc phải đặt AP của mình gần người bị lừa hơn là AP chính thống hoặc sử dụng kỹ thuật anten định hướng. Sau khi nạn nhân kết nối tới AP giả, nạn nhân vẫn hoạt động như bình thường do vậy nếu nạn nhân kết nối đến một AP chính thống khác thì dữ liệu của nạn nhân đều đi qua AP giả. Tin tặc sẽ sử dụng các tiện ích để ghi lại mật khẩu của nạn nhân khi trao đổi với Web Server. Như vậy tin tặc sẽ có được tất cả những gì anh ta muốn để đăng nhập vào mạng chính thống. Kiểu tấn công này tồn tại là do trong 802.11 không yêu cầu chứng thực 2 hướng giữa AP và nút. AP phát quảng bá ra toàn mạng. Điều này rất dễ bị tin tặc nghe trộm và do vậy tin tặc có thể lấy được tất cả các thông tin mà chúng cần. Các nút trong mạng sử dụng WEP để chứng thực chúng với AP nhưng WEP cũng có những lỗ hổng có thể khai thác. Một tin tặc có thể nghe trộm thông tin và sử dụng bộ phân tích mã hoá để trộm mật khẩu của người dùng
d) Access Point giả mạo được thiết lập bởi chính nhân viên của công ty
Vì sự tiện lợi của mạng không dây một số nhân viên của công ty đã tự trang bị Access Point và kết nối chúng vào mạng có dây của công ty. Do không hiểu rõ và nắm vững về bảo mật trong mạng không dây họ vô tình tạo ra một lỗ hỏng lớn về bảo mật. Những người lạ vào công ty và hacker bên ngoài có thể kết nối đến Access Point không được xác thực để đánh cắp băng thông, đánh cắp thông tin nhạy cảm của công ty, sử dụng hệ thống mạng của công ty tấn công người khác,…
3.5.2. De-authentication Flood Attack (tấn công yêu cầu xác thực lại )
http://i384.photobucket.com/albums/oo289/hamicun/Untitled25.jpg
Hình 3-18: Mô tả tấn công de-authentication flood
- Kẻ tấn công xác định mục tiêu tấn công là các người dùng trong mạng wireless và các kết nối của họ(Access Point đến các kết nối của nó).
- Chèn các frame yêu cầu xác thực lại vào mạng WLAN bằng cách giả mạo địa chỉ MAC nguồn và đích lần lượt của Access Point và các người dùng.
- Người dùng wireless khi nhận được frame yêu cầu xác thực lại thì nghĩ rằng chúng do Access Point gửi đến.
- Sau khi ngắt được một người dùng ra khỏi dịch vụ không dây, kẻ tấn công tiếp tục thực hiện tương tự đối với các người dùng còn lại.
- Thông thường người dùng sẽ kết nối lại để phục hồi dịch vụ, nhưng kẻ tấn công đã nhanh chóng tiếp tục gửi các gói yêu cầu xác thực lại cho người dùng.
3.5.2. Fake Access Point
Kẻ tấn công sử dụng công cụ có khả năng gửi các gói beacon với địa chỉ vật lý(MAC) giả mạo và SSID giả để tạo ra vô số Access Point giả lập.Điều này làm xáo trộn tất cả các phần mềm điều khiển card mạng không dây của người dùng.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled26.jpg
Hình 3-19: Tấn công Fake AP
3.5.3. Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý
Tần số là một nhược điểm bảo mật trong mạng không dây. Mức độ nguy hiểm thay đổi phụ thuộc vào giao diện của lớp vật lý. Có một vài tham số quyết định sự chịu đựng của mạng là: năng lượng máy phát, độ nhạy của máy thu, tần số RF, băng thông và sự định hướng của anten. Trong 802.11 sử dụng thuật toán đa truy cập cảm nhận sóng mang (CSMA) để tránh va chạm. CSMA là một thành phần của lớp MAC. CSMA được sử dụng để chắc chắn rằng sẽ không có va chạm dữ liệu trên đường truyền. Kiểu tấn công này không sử dụng tạp âm để tạo ra lỗi cho mạng nhưng nó sẽ lợi dụng chính chuẩn đó. Có nhiều cách để khai thác giao thức cảm nhận sóng mang vật lý. Cách đơn giản là làm cho các nút trong mạng đều tin tưởng rằng có một nút đang truyền tin tại thời điểm hiện tại. Cách dễ nhất đạt được điều này là tạo ra một nút giả mạo để truyền tin một cách liên tục. Một cách khác là sử dụng bộ tạo tín hiệu RF. Một cách tấn công tinh vi hơn là làm cho card mạng chuyển vào chế độ kiểm tra mà ở đó nó truyền đi liên tiếp một mẫu kiểm tra. Tất cả các nút trong phạm vi của một nút giả là rất nhạy với sóng mang và trong khi có một nút đang truyền thì sẽ không có nút nào được truyền.
3.5.4. Tấn công ngắt kết nối (Disassociation flood attack)
http://i384.photobucket.com/albums/oo289/hamicun/Untitled27.jpg
Hình 3-20: Mô tả tấn công disassociation flood
- Kẻ tấn công xác định mục tiêu ( wireless clients ) và mối liên kết giữa AP với các clients
- Kẻ tấn công gửi disassociation frame bằng cách giả mạo Source và Destination MAC đến AP và các client tương ứng
- Client sẽ nhận các frame này và nghĩ rằng frame hủy kết nối đến từ AP. Đồng thời kẻ tấn công cũng gởi disassociation frame đến AP.
- Sau khi đã ngắt kết nối của một client, kẻ tấn công tiếp tục thực hiện tương tự với các client còn lại làm cho các client tự động ngắt kết nối với AP.
- Khi các clients bị ngắt kết nối sẽ thực hiện kết nối lại với AP ngay lập tức. Kẻ tấn công tiếp tục gởi disassociation frame đến AP và client
Chương 4
TÌM HIỂU VỀ IDS TRONG LAN VÀ IDS TRONG MẠNG KHÔNG DÂY
4.1. IDS(Intrusion Detection Systems) trong LAN
4.1.1. Khái niệm về IDS
IDS(Intrusion Detection System_ hệ thống phát hiện xâm nhập) là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị . Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng,….. IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
http://i384.photobucket.com/albums/oo289/hamicun/Hinh1.jpg
Hình 4-1: Mô hình hoạt động của 1 hệ thống IDS
4.1.1. Phân loại IDS
Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS):
4.1.1.a. NIDS
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng.Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao.
http://i384.photobucket.com/albums/oo289/hamicun/2.jpg
Hình 4-2: Mô hình NIDS
Một số sản phẩm NIDS :
-Cisco IDS
http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html
-Dragon® IDS/IPS
http://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspx
4.1.1.a. HIDS
Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới máy tính HIDS được phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm. HIDS được thiết kế hoạt động chủ yếu trên hệ điều hành Windows , mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác.
http://i384.photobucket.com/albums/oo289/hamicun/3.jpg
Hình 4-3: Mô hình HIDS
Một số sản phẩm HIDS :
-Snort(Miễn phí_ open source)
Liên hệ: http://www.snort.org/
-GFI EventsManager 7
Liên hệ: http://www.gfi.com/lanselm/?adv=142&loc=35&adclickid=13108213
Số máy
Mã số
Giá
3 máy
ESM3
$ 800
5 máy
ESM5
$ 1125
10 máy
ESM10
$ 1650
25 máy
ESM25
$ 3400
50 máy
ESM50
$ 6000
100 máy
ESM100
$ 11150
150 máy
ESM150
$ 16800
250 máy
ESM250
$ 22000
500 máy
ESM500
$ 32000
hơn 500 máy
ESM500+
Liên hệ (http://www.gfi.com/company/contact.htm) (http://www.gfi.com/company/contact.htm)
Hình 4-4: Bảng giá GFI EventsManager 7
-ELM 5.0 TNT software:
Liên hệ: http://www.tntsoftware.com/default.aspx
4.1.1. Các kỹ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập:
Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý khác nhau cũng được sử dụng cho dữ liệu đối với một IDS.
-Hệ thống Expert (Expert systems)
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T).
-Phát hiện xâm nhập dựa trên luật(Rule-Based Intrusion Detection):
Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm định thích hợp. Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi(record). Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris)).
-Phân biệt ý định người dùng(User intention identification):
Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra.
-Phân tích trạng thái phiên (State-transition analysis):
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay đáp trả theo các hành động đã được định trước.
-Phương pháp phân tích thống kê (Statistical analysis approach):
Đây là phương pháp thường được sử dụng. Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến thời gian. Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng. Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước. Ngay cả phương pháp đơn giản này cũng không thế hợp được với mô hình hành vi người dùng điển hình. Các phương pháp dựa vào việc làm tương quan thông tin về người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng ít có hiệu quả.
Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng cách sử dụng thông tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này thường xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng. Các phương pháp thống kê thường được sử dụng trong việc bổ sung trong IDS dựa trên thông tin hành vi người dùng thông thường.
4.2. Wireless IDS:
4.2.1. Wireless IDS là gì?
IDS trong mạng WLAN(WIDS) làm việc có nhiều khác biệt so với môi trường mạng LAN có dây truyền thống. Trong WLAN, môi trường truyền là không khí, các thiết bị có hỗ trợ chuẩn 802.11 trong phạm vi phủ sóng đều có thể truy cập vào mạng. Do đó cần có sự giám sát cả bên trong và bên ngoài hệ thống mạng. Một hệ thống WIDS thường là một hệ thống máy tính có phần cứng và phần mềm đặc biệt để phát hiện các hoạt động bất thường. Phần cứng wireless có nhiều tính năng so với card mạng wireless thông thường , nó bao gồm việc giám sát tần số sóng(RF_Radio frequency), phát hiện nhiễu,…. Một WIDS bao gồm một hay nhiều thiết bị lắng nghe để thu thập địa chỉ MAC (Media Access Control), SSID, các đặc tính được thiết lập ở các trạm, tốc độ truyền, kênh hiện tại, trạng thái mã hóa, …..
http://i384.photobucket.com/albums/oo289/hamicun/4.jpg
Hình 4-5: Ví dụ về mô hình WIDS
4.2.2. Nhiệm vụ của WIDS:
-Giám sát và phân tích các hoạt động của người dùng và hệ thống.
-Nhận diện các loại tấn công đã biết.
-Xác định các hoạt động bất thường của hệ thống mạng.
-Xác định các chính sách bảo mật cho WLAN.
-Thu thập tất cả truyền thông trong mạng không dây và đưa ra các cảnh báo dựa trên những dấu hiệu đã biết hay sự bất thường trong truyền thông.
4.1.3. Mô hình hoạt động:
WIDS có 2 mô hình hoạt động là: tập trung và phân tán.
4.2.3.a. WIDS tập trung (centralized WIDS):
WIDS tập trung có một bộ tập trung để thu thập tất cả các dữ liệu của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý. Hầu hết các IDS tập trung đều có nhiều cảm biến để có thể phát hiện xâm nhập trong phạm vi toàn mạng. Các log file và các tín hiệu báo động đều được gửi về thiết bị quản lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. WIDS tập trung phù hợp với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu.http://i384.photobucket.com/albums/oo289/hamicun/5.jpg
Hình 4-6: Mô hình WIDS tập trung
4.2.3.b. WIDS phân tán (decentralize WIDS):
WIDS phân tán thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng WLAN nhỏ và có ít Access Point, wireless IDS phân tán tiết kiệm chi phí hơn so với WIDS tập trung.
http://i384.photobucket.com/albums/oo289/hamicun/6.jpg
Hình 4-7: Mô hình WIDS phân tán
4.2.4. Giám sát lưu lượng mạng( Traffic monitoring)
4.2.4.a. Xây dựng hệ thống WIDS để phân tích hiệu suất hoạt động của mạng wireless
Phân tích khả năng thực thi của mạng wireless là đề cập đến việc thu thập gói và giải mã. Sau đó tái hợp gói lại để thực hiện kết nối mạng. Việc phân tích giúp ta biết được sự cố xảy ra đối với mạng đang hoạt động.
Hệ thống WIDS giám sát toàn bộ WLAN, chuyển tiếp lưu lượng đã được tổng hợp và thu thập lưu lượng từ các bộ cảm biến. Sau đó phân tích lưu lượng đã thu thập được. Nếu lưu lượng đã được phân tích có sự bất thường thì cảnh báo sẽ được hiển thị.
Lưu lượng thu thập được có thể được lưu trữ trên một hệ thống khác hoặc được log vào database.
4.2.4.b. Hệ thống WIDS có thể gửi cảnh báo trong một số trường hợp sau:
-AP bị quá tải khi có quá nhiều trạm kết nối vào.
-Kênh truyền quá tải khi có quá nhiều AP hoặc lưu lượng sử dụng cùng kênh.
-AP có cấu hình không thích hợp hoặc không đồng nhất với các AP khác trong hệ thống mạng.
-Số các gói fragment quá nhiều.
-WIDS dò ra được các trạm ẩn.
-Số lần thực hiện kết nối vào mạng quá nhiều.
-…
4.2.4.c. Lập báo cáo về khả năng thực thi mạng
Thông tin thu thập được bởi WIDS tạo ra cơ sở dữ liệu được sử dụng để lập báo cáo về tình trạng hoạt động của mạng và lập ra kế hoạch cho hệ thống mạng
Báo cáo của WIDS có thể bao gồm 10 AP có cảnh báo nhiều nhất, biểu đồ hoạt động của các trạm theo thời gian, cách sử dụng trãi phổ…
Xu hướng gửi cảnh báo là khi AP biểu hiện một số vấn đề mới, hay là hoạt động mạng bị gián đoạn. Khảo sát cảnh báo của các AP khác ở cùng vị trí giúp ta nhận ra được sự khác nhau của các thiết bị bất thường và điều kiện môi trường đã làm ảnh hưởng đến mỗi AP trong vùng như thế nào. Mặt khác, so sánh cảnh báo của các AP qua nhiều vị trí có thể giúp ta xác định được vấn đề gây ra do bởi sự khác nhau về các dòng sản phẩm, phiên bản về phần mềm hệ thống( firmware), và về cấu hình.
4.3. Một số sản phẩm WIDS:
4.3.1. AirDefense:
http://i384.photobucket.com/albums/oo289/hamicun/7.jpg
Liên hệ:http://www.airdefense.net/products/index.php
Là một hệ thống ngăn ngừa sự xâm nhập máy và cung cấp cho giải pháp tiện lợi nhất phát hiện , dò tìm sự xâm nhập, chính sách giám sát, tự bảo vệ, phân tích sự cố và sửa chữa từ xa.
4.3.2. Airmagnet:
Liên hệ:http://www.airmagnet.com/
Cung cấp rất nhiều giải pháp về Wireless IDS. AirMagnet cung cấp giải pháp phân tích WLAN từ xa cho Cisco.
4.4. Cấu hình cho AP tham gia vào IDS
4.4.1. Cấu hình cho AP ở chế độ scanner mode
Ở chế độ scanner mode, AP sẽ quét tất cả các kênh đang được kích hoạt . Một AP ở chế độ scanner sẽ không chấp nhận sự kết nối của client.
Dùng CLI để cấu hình AP tham gia vào chế độ scanner:
AP(config)# int dot11radio 0
AP(config)# station role scanner
AP(config)#end
v Cấu hình AP ở chế độ monitor
Khi AP được cấu hình ở chế độ scanner nó cũng thực hiện bắt gói ở chế độ monitor. ở chế độ monitor AP bắt gói 802.11 và chuyển tiếp đến máy có cài đặt IDS. AP thêm 28 byte header vào mỗi frame mà nó chuyển tiếp, và bộ máy có cài đặt IDS sử dụng thông tin header để phân tích. AP sử dụng giao thức UDP để để chuyển tiếp gói đã được bắt. Nhiều gói được bắt sẽ kết hợp với một gói UDP để hạn chế việc tiêu tốn băng thông.
Ở chế độ scanner, AP sẽ quét tất cả các kênh đang được kích hoạt. Tuy nhiên, ở chế độ monitor AP chỉ quét kênh đã được cấu hình.
Những bước cấu hình cho AP tham gia bắt gói và chuyển gói 802.11:
AP(config)# int dot11radio 0
AP(config)# monitor frames endpoint ip address 192.168.1.10 port 2000 truncate 512
v Kiểm tra cấu hình đang chạy:
ap#show run
Building configuration...
Current configuration : 1525 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$dEaG$.lrLC4DffBIIXqHJEcsMy1
!
no aaa new-model
!
resource policy
!
ip subnet-zero
!
!
!
dot11 ssid BCVT
authentication open
!
dot11 ssid bcvt
!
!
!
username Cisco password 7 1531021F0725
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
ssid BCVT
!
station-role scanner
monitor frames endpoint ip address 192.168.1.10 port 2000 truncate 512
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
dfs band 3 block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.1.1 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
!
End
v Hiển thị số liệu thống kê mà AP thu thập được:
ap# show wlccp ap rm monitor statistics
Dot11Radio0
====================
WLAN Monitoring : Enabled
Endpoint IP address : 192.168.1.10
Endpoint port : 2000
Frame Truncation Length : 512 bytes
Dot11Radio1
====================
WLAN Monitoring : Disabled
WLAN Monitor Statistics
==========================
Total No. of frames rx by DOT11 driver : 1835
Total No. of Dot11 no buffers : 0
Total No. of Frames Q Failed : 0
Current No. of frames in SCAN Q : 0
Total No. of frames captured : 2268
Total No. of data frames captured : 0
Total No. of control frames captured : 259
Total No. of Mgmt frames captured : 2009
Total No. of CRC errored frames captured : 227
Total No. of UDP packets forwarded : 535
Total No. of UDP packets forward failed : 0
Chương 5
CẤU HÌNH MẠNG KHÔNG DÂY
5.1. Kết nối mạng không dây theo mô hình Ad-hoc:
5.1.1. Yêu cầu:
- Thiết lập mạng Ad-Hoc với các thông số cơ bản bao gồm: SSID, channel, công nghệ sử dụng.
- Cấu hình WEP cho mạng Ad-Hoc.
5.1.2. Thực hiện:
Cấu hình mạng Ad-Hoc gồm 2 PC, với SSID là vnpro.
Bước 1: Double-click vào biểu tượng wireless trên thanh taskbar
http://i384.photobucket.com/albums/oo289/hamicun/8.jpg
Xuất hiện màn hình sau:
http://i384.photobucket.com/albums/oo289/hamicun/9.jpg
Hình 5-1: Các mạng mà adapter quét được
Để tạo profile mới ta chọn button Add thì màn hình profile xuất hiện.
http://i384.photobucket.com/albums/oo289/hamicun/10.jpg
Hình 5-2: Tạo profile
- Thực hiện đặt tên profile và SSID, chọn button device to device ( thực hiện kết nối mạng Ad-Hoc)
- Sau khi đặt tên profile xong sẽ xuất hiện màn hình sau chứng tỏ ta đã thực hiện tạo profile và SSID thành công.
http://i384.photobucket.com/albums/oo289/hamicun/11.jpg
Hình 5-3: Tạo profile thành công
Đặt password cho profile để bảo vệ profile không cho người khác cấu hình trên profile này
http://i384.photobucket.com/albums/oo289/hamicun/12.jpg
Hình 5-4: Đặt password cho profile
Bước 2: Cấu hình cho PC tham gia vào mạng Ad-Hoc
Đặt địa chỉ IP cho PC
http://i384.photobucket.com/albums/oo289/hamicun/13.jpg
Hình 5-5: Đặt địa chỉ IP cho PC
Ta đã thực hiện xong cấu hình cho 1 PC tham gia vào mạng Ad-Hoc, nhấn connect để thực hiện kết nối vào mạng.
http://i384.photobucket.com/albums/oo289/hamicun/14.jpg
Hình 5-6: Kết nối PC tham gia vào mạng
- Vì chỉ mới có 1 PC tham gia kết nối vào mạng vnpro nên không hình thành mạng Ad-Hoc.
- Ở PC còn lại có gắn card wireless, sau khi khởi động lại ta double -click lên biểu tượng wireless ở thanh taskbar sẽ xuất hiện màn hình sau:
http://i384.photobucket.com/albums/oo289/hamicun/15.jpg
Hình 5-7: Danh sách các mạng quét được
- Nhấn connect để tham gia vào mạng Ad-Hoc
- Connect thành công xuất hiện biểu tượng
http://i384.photobucket.com/albums/oo289/hamicun/16.jpg
Hình 5-8: Kết nối thành công
- Đặt địa chỉ IP cho PC còn lại và tiến hành kiểm tra kết nối bằng lệnh ping
http://i384.photobucket.com/albums/oo289/hamicun/17jpg.jpg
Hình 5-9: Kết nối đã được thực hiện thành công
Bước 3: Share file
- Ở PC A thực hiện share file
http://i384.photobucket.com/albums/oo289/hamicun/18.jpg
Hình 5-10: Thực hiện share file
Ở máy B thực hiện truy cập vào máy A và share file thành công
http://i384.photobucket.com/albums/oo289/hamicun/19.jpgv CẤU HÌNH WEP CHO MẠNG AD-HOC
Mục đích sử dụng: WEP được đưa ra để cung cấp mức bảo mật dữ liệu, mặc dù WEP có những điểm yếu nhưng những lổ hỏng của WEP vẫn có thể được giảm thiểu nếu cấu hình đúng.
Để gia tăng mức độ bảo mật cho WEP và gây khó khăn cho hacker, các biện pháp sau được đề nghị:
- Sử dụng khóa WEP có độ dài 128 bit
- Thực thi chính sách thay đổi khóa WEP định kỳ
- Ở PC A nhấn wireless profile properties thì màn hình sau sẽ xuất hiện:
http://i384.photobucket.com/albums/oo289/hamicun/20.jpg
Hình 5-11: Cấu hình WEP
- Chọn security setting: ở combobox network authentication type mặc định sẽ luôn là OPEN SYSTEM vì các PC trong mạng Ad-Hoc sẽ tự chứng thực lẫn nhau và truyền dữ liệu mà không thông qua một AP nào.
- Chọn data encryption là WEP, encrypton level 128bit, sử dụng 4 WEP key, encryption key: gõ 13 kí tự nếu sử dụng mã ASCII hoặc 26 số hexa.
- Nếu cấu hình thành công thì sẽ xuất hiện hộp thoại sau (Biểu tượng ổ khóa chứng tỏ WEP đã được cấu hình)
http://i384.photobucket.com/albums/oo289/hamicun/21.jpg
Hình 5-12: WEP đã được cấu hình
- Để xem chi tiết về các thông số WEP đã được cấu hình ta xem bảng detail bằng cách nhấn connection detail
http://i384.photobucket.com/albums/oo289/hamicun/22.jpg
Hình 5-13: Xem thông số WEP
Ở PC B : nếu chưa cấu hình WEP thì trạng thái kết nối sẽ hiển thị như sau:
http://i384.photobucket.com/albums/oo289/hamicun/23.jpg
Hình 5-14: Hiển thị WEP chưa được cấu hình
- Chức năng Wireless security WEP chưa được kích hoạt nên ping không thành công. Gói ICMP request gửi đi đã được mã hóa theo WEP nhưng bên nhận vì không cấu hình WEP nên không giải mã và gởi lại ICMP reply.
http://i384.photobucket.com/albums/oo289/hamicun/24.jpg
Hình 5-15: Ping không thành công
- Thực hiện cấu hình WEP key sau đó nhấn connect
http://i384.photobucket.com/albums/oo289/hamicun/25.jpg
Hình 5-16: Cấu hình WEP key
- Thực hiện lệnh ping để kiểm tra kết nối
http://i384.photobucket.com/albums/oo289/hamicun/26.jpg
Hình 5-17: Thực hiện kết nối thành công
5.2. Thiết lập BSS với Access Point và 2 PC bảo mật cơ bản cho BSS
5.2.1. Yêu cầu:
-Cấu hình các AP, dùng xác thực OpenSystem
-Cho PC nối với nhau thông qua AP trung tâm
-Cài đặt xác thực Preshared key cho hệ thống
5.2.2. Thực hiện:
Thiết bị: Access Point Cisco Aironet 1130AG và 2 PC
http://i384.photobucket.com/albums/oo289/hamicun/27.jpg
Bước 1: PC kết nối với Access Point Cisco Aironet 1130AG(cổng console) bằng cáp Roleover(Cổng COM trên PC kết nối với cổng console trên Access Point ).
Bước 2: Cấu hình Access Point Aironet 1130AG : thiết lập SSID và DHCP Server
Tạo SSID kết hợp với dot11radio 0
ap#configure terminal
ap(config)#int dot11radio 0
ap(config-if)#ssid cisco
ap(config-if)#no shut
Chọn tốc độ và kênh truyền
ap(config)#int dot11Radio 0
ap(config-if)#speed basic 1.0 2.0 5.5 11.0
Cấu hình đầy đủ:
ap# show run
Building configuration...
Current configuration : 1702 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$h9tN$9HyQnLMBSHYdw7Y16ew4H1
!
ip subnet-zero
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool TestDHCP
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
lease 30
!
!
no aaa new-model
dot11 ssid cisco
authentication open
guest-mode
!
power inline negotiation prestandard source
!
!
username Cisco password 7 112A1016141D
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
ssid cisco
!
speed basic-1.0 2.0 5.5 11.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
!
ssid cisco
!
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.1.1 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
!
End
Bước 3: Bật máy tính có hổ trợ card mạng Wireless để kết nối vào Access Point Cisco Aironet 1130AG
Chọn Access Point Cisco và chọn Connect one-time
http://i384.photobucket.com/albums/oo289/hamicun/28-1.jpg
Hình 5-18: Kết nối PC vào AP
- Nhấp phải chuột vào Card mạng Wireless biểu tượng nằm ở gốc dưới bên phải và chọn Status
http://i384.photobucket.com/albums/oo289/hamicun/29.jpg
Hình 5-19: Chọn status trên menu của card mạng
Thông tin về trạng thái kết nối sẽ được hiển thị như sau:
http://i384.photobucket.com/albums/oo289/hamicun/30.jpg
Hình 5-20: Thông tin trạng thái kết nối
Hình trên cho thấy đã kết nối được với Access Point Cisco với tốc độ là 11 Mbps.
-Chọn tab Support => Thông tin địa chỉ IP được cấp đúng như cấu hình ở Access Point. Nhấn Detail để xem chi tiết.
http://i384.photobucket.com/albums/oo289/hamicun/31.jpg
Hình 5-21: Thông tin địa chỉ IP được DHCP cấp phát
-Kiểm tra thông tin về địa chỉ IP bằng cách: Menu start chọn Run> gõ cmd > trong cửa sổ lệnh gõ tiếp ipconfig /all để xem.
http://i384.photobucket.com/albums/oo289/hamicun/32.jpg
Hình 5-22: Kiểm tra địa chỉ bằng cmd
-Tiến hành ping thử đến Access Point è Thành công
http://i384.photobucket.com/albums/oo289/hamicun/33.jpg
Hình 5-23: Ping đến AP thành công
-Ở PC còn lại có gắn Wireless Card, chọn obtain a network settings automatically(DHCP). Sau đó kiểm tra lại địa chỉ IP của PC và thực hiện lệnh ping kiểm tra kết nối giữa 2 PC
http://i384.photobucket.com/albums/oo289/hamicun/34.jpg
Hình 5-24: Ping kiểm tra kết nối
-Cấu hình preshared key cho hệ thống
-Cấu hình trên AP:
ap(config)# int do11radio 0
ap(config-if)# encryption key 1 size 128bit 12345678912345678912345678 transmit-key
ap(config-if)# encryption mode ciphers ckip-cmic wep128
ap(config-if)# show run
Building configuration...
Current configuration : 1895 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$yAUL$LlPxB5ywMr1rtqEnVjT8c.
!
ip subnet-zero
no ip domain lookup
ip dhcp excluded-address 192.168.1.62
!
ip dhcp pool lan
network 192.168.1.0 255.255.255.192
default-router 192.168.1.62
!
!
no aaa new-model
dot11 ssid cisco1
username Cisco password 7 1531021F0725
interface Dot11Radio0
no ip address
no ip route-cache
encryption key 4 size 128bit 7 6C7F123C7FCB4151618421265549 transmit-key
encryption mode ciphers wep128
!
ssid cisco1
!
speed basic-1.0 2.0 5.5 11.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
!
!
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.1.1 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
control-plane
!
bridge 1 route ip
!
line con 0
line vty 0 4
login local
!
End
Sau khi thực hiện cấu hình trên AP thành công, ta thử kiểm tra kết nối giữa PC và AP khi PC chưa thực hiện cấu hình WEP
http://i384.photobucket.com/albums/oo289/hamicun/35.jpg
Hinh 2-25: Cho ta thấy PC truy cập vào BSS không được. Vì PC không được cấu hình WEP để xác thực hay mã hóa dữ liệu.
Ta thực hiện cấu hình cho các PC
http://i384.photobucket.com/albums/oo289/hamicun/36.jpg
Hình 2-26: Cấu hình xác thực WEP trên PC
-Chọn Network authentication: preshared key
-Data encryption: WEP
-Sau đó nhấn next, màn hình sau sẽ xuất hiện
http://i384.photobucket.com/albums/oo289/hamicun/37.jpg
Hình 5-27: Thiết lập cấu hình đã thành công.
http://i384.photobucket.com/albums/oo289/hamicun/38.jpg
Hình 5-28: Kiểm tra kết nối đến AP
Ở PC còn lại ta cũng thực hiện cấu hình preshared key
http://i384.photobucket.com/albums/oo289/hamicun/39.jpg
Hình 5-29: Cấu hình xác thực WEP trên PC
Thực hiện kiểm tra kết nối giữa 2 PC à Kết nối được thực hiện thành công
http://i384.photobucket.com/albums/oo289/hamicun/40.jpg
Hình 5-30: Ping kiểm tra
5.3. Lưu trữ nâng cấp Image(IOS) cho thiết bị:
5.3.1. Yêu cầu:
-Lưu trữ lại Image cũ của AP
-Download và nâng cấp Image mới cho AP
5.3.2. Thực hiện:
Trên thiết bị của Cisco IOS(Image) chính là hệ điều hành quản lý các interface và cấu hình của AP.
B1: Kiểm tra Image trên AP bằng lệnh show version
http://i384.photobucket.com/albums/oo289/hamicun/41.jpg
Hình 5-31: show version của AP
c1130-k9w7-mx.123-11.JA1 là tên Image đang được sử dụng trên AP.
B2: Kiểm tra bộ nhớ Flash trên AP bằng lệnh show flash xem còn trống(free) là bao nhiêu để hoạch định là chép Image đè lên Image cũ hay không.
http://i384.photobucket.com/albums/oo289/hamicun/42.jpg
Hình 5-32: show flash của AP
Ở đây ta thấy bộ nhớ flash của AP là 15998976 bytes (15MB), còn trống 1082214 bytes(gần 10MB).
B3: Kiểm tra địa chỉ IP trên cổng BVI1 cùa AP bằng lệnh show ip interface brief
http://i384.photobucket.com/albums/oo289/hamicun/43d.jpg
Hình 5-33: show ip interface brief của AP
Xác định được địa chỉ IP của cổng BVI1(đây là cổng ảo luôn luôn up trên AP, được dùng kết nối đến AP đề cấu hình ). Ở đây ta xác định được IP của cổng BVI1 là 192.168.2.1
B4: Tiến hành kết nối PC với AP và đặt địa chỉ IP cho card mạng của PC cùng lớp mạng với cồng BVI1 của AP.
http://i384.photobucket.com/albums/oo289/hamicun/44.jpg
Hình 5-34: Đặt IP cho card mạng trên PC
Ta đặt địa chỉ cho PC là 192.168.2.9, subnet mask là : 255.255.255.0
B5 : Từ PC tiến hành kiểm tra kết nối đến AP
http://i384.photobucket.com/albums/oo289/hamicun/45.jpg
Hình 5-35: Từ PC ping kiểm tra kết nối đến AP
B6 : Tương tự từ AP ping kiểm tra kết nối đến PC
http://i384.photobucket.com/albums/oo289/hamicun/46.jpg
Hình 5-36: Từ AP ping kiểm tra kết nối đến PC
B7: Bật TFTP Server trên PC .
http://i384.photobucket.com/albums/oo289/hamicun/Untitled-3.jpg
Hình 5-37: Bật TFTP Server trên PC
B8 : Chọn nơi lưu trữ Image từ AP chép về
http://i384.photobucket.com/albums/oo289/hamicun/48.jpg
Hình 5-38: Chọn nơi lưu trữ Image
B9 : Trên AP tiến hành upload(chép Image trên AP về TFTP Server)
http://i384.photobucket.com/albums/oo289/hamicun/49.jpg
Hình 5-39: Chép Image từ AP về TFTP Server
Dùng lệnh archive upload-sw tftp://192.168.2.9/c1130-k9w7-mx.123-11.JA1 để chép Image từ AP về TFTP Server. Ở đây 192.168.2.9 là địa chỉ của TFTP Server, c1130-k9w7-mx.123-11.JA1 là tên Image sẽ được lưu trên TFTP Server.
B10: Sau khi lưu Image trên AP về TFTP thành công ta tiến hành chép Image mới lên AP.
http://i384.photobucket.com/albums/oo289/hamicun/a.jpg
Hình 5-40: Chép Image mới lên AP
Ta dùng lệnh archive download-sw /no-set-boot /leave-old-sw tftp://192.168.2.9/newIOS.JA1. Ở đây /no-set-boot có nghĩa là thiết lập Image mới là không được dùng để boot(vẫn boot bằng cấu hình cũ), khi cần kiểm tra ta sẽ thiết lập cho Image này boot, /leave-old-sw là vẫn giữ lại Image cũ, tftp://192.168.2.9/newIOS.JA1 chỉ định TFTP Server và tên Image trên TFTP server cần chép lên AP.
5.4. Cấu hình Access Point kiểm tra nhiễu đồng kênh và nhiễu cận kênh:
5.4.1. Yêu cầu:
- Cấu hình 2 AP hoạt động cùng kênh để kiểm tra nhiễu đồng kênh.
5.4.2. Thực hiện:
Bước 1: Cấu hình AP1.
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$yAUL$LlPxB5ywMr1rtqEnVjT8c.
!
ip subnet-zero
no ip domain lookup
ip dhcp excluded-address 192.168.1.62
!
ip dhcp pool lan
network 192.168.1.0 255.255.255.192
default-router 192.168.1.62
!
!
no aaa new-model
!
dot11 ssid cisco1
authentication open
guest-mode
!
power inline negotiation prestandard source
!
!
username Cisco password 7 1531021F0725
username ha password 7 123A0C041104
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
ssid cisco1
!
speed basic-5.5
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.1.2 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
password 7 14141B180F0B
login
!
end
Bước 2: cấu hình AP2 tương tự với SSID khác.
Bước 3: Kiểm tra nhiễu:
http://i384.photobucket.com/albums/oo289/hamicun/b.jpg
Hình 5-41: Tín hiệu của AP cấu hình ssid là cisco1 bị giảm.
5.5. Cấu hình WPA Preshared key( Wi-Fi protected access) cho AP
5.5.1. yêu cầu:
Thiết bị: 2 PC có wireless card, 1 AP
· Cấu hình cơ bản cho AP: cấu hình và quảng bá SSID, cấu hình DHCP
· Cấu hình WPA:
5.5.2. Thực hiện:
Bước1:Cấu hình Access Point:
Ap(config)# int dot11radio 0
Ap(config-if)# encryption mode ciphers tkip
Ap(config)#exit
Ap(config)#dot11 ssid BCVT
Ap(config-ssid)#authentication open
Ap(config-ssid)#authentication key-management wpa
Ap(config-ssid)#wpa-psk ascii camha104
Sau khi cấu hình xong thực hiện kiểm tra cấu hình
ap#show run
Building configuration...
Current configuration : 1800 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$0W.V$a2NRimmPUM4Mi4RCTYgXz/
!
ip subnet-zero
ip dhcp excluded-address 172.31.1.254
!
ip dhcp pool BC
network 172.31.1.0 255.255.255.0
default-router 172.31.1.254
!
!
no aaa new-model
!
dot11 ssid BCVT
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 08224D430118544746
!
dot11 ssid ptit
!
power inline negotiation prestandard source
!
!
username Cisco password 7 123A0C041104
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers tkip
!
ssid BCVT
!
ssid ptit
!
speed basic-5.5
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
dfs band 3 block
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 172.31.1.1 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
!
End
Bước 2: Sau khi cấu hình xong, ở PC có cài wireless card sẽ thực hiện dò tìm sóng:
http://i384.photobucket.com/albums/oo289/hamicun/c.jpg
Hình 5-42: Mô tả PC có Wireless card đã dò ra được sóng có SSID là BCVT được cài đặt chứng thực WPA
Bước 3: Kiểm tra kết nối PC khi PC chưa được cài đặt WPA
http://i384.photobucket.com/albums/oo289/hamicun/d.jpg
Hình 5-43: PC Kết nối thất bại
Bước 4: Cấu hình WPA cho PC
http://i384.photobucket.com/albums/oo289/hamicun/22-1.jpg
Hình 5-44: Cấu hình profile và SSID cho PC
Cấu hình WPA shared key cho PC: khóa dài từ 8à32 kí tự, khóa này phải trùng với khóa đã được cấu hình cho AP
http://i384.photobucket.com/albums/oo289/hamicun/Untitled30.jpg
Hình 5-46:Quá trình cài đặt key đã thành công
Sau khi cấu hình WPA cho PC ta thực hiện kiểm tra kết nối PC đến AP
http://i384.photobucket.com/albums/oo289/hamicun/Untitled31.jpg
Hình 5-47: Kiểm tra kết nối giữa PC và AP
http://i384.photobucket.com/albums/oo289/hamicun/Untitled32.jpg
Hình 5-48: Thực hiện lệnh ping kiểm tra kết giữa 2 PC
Bước 5: Cấu hình SSID cloaking
SSID cloaking là khả năng che dấu SSID và tên mạng của AP.
Để cloak SSID, chỉ cần tắt chế độ broadcast SSID ở AP. Mạng được cấu hình như vậy được gọi là Close Network. Ở Close Network thì trường SSID ở beacon frame được gán bằng null.
Cấu hình trên AP tắt chức năng broadcast SSID
Ap#conf t
Ap(config)#dot11 ssid BCVT
Ap(config-ssid)no guest-mode
http://i384.photobucket.com/albums/oo289/hamicun/Untitled33.jpg
Hình 5-49: SSID không được nhìn thấy khi dò mạng không dây
5.6. Cấu hình VLAN trên AP1130AG của Cisco – ROUTING INTERVLAN trong mạng WIRELESS
http://i384.photobucket.com/albums/oo289/hamicun/Untitled34.jpg
Hình 5-50: Thực hiện kết nối sơ đồ như hình vẽ
Cấu hình DHCP cho AP cấp phát địa chỉ IP cho PC
Cấu hình VLAN cho AP sử dụng CLI
· Bước 1: Đặt tên cho các AP, tạo các SSID tương ứng với các VLAN, quảng bá SSID ra ngoài thông qua các beacon
Ap(config)# host Ap1
Ap1(config )# dot11 ssid ptit2
Ap1(config- ssid )# vlan 2
Ap1(config-ssid )# authentication open
Ap1(config-ssid )#mbssid guest-mode
· Bước 2: áp SSID vào interface dot11radio, tạo các subinterface tương ứng với các vlan và cho các interface tham gia vào bridge-group
Ap1#conf t
Ap1(config)#int dot11radio 0
Ap1(config-if)# mbssid
Ap1(config-if)# ssid ptit2
Ap1(config-if)# ssid ptit3
Ap1(config-if)# no shut
Ap1(config)# interface dot11radio 0.2
Ap1(config-subif)# encapsulation dot1q 2
Ap1(config-subif)# bridge-group 2
Ap1(config-if)# interface dot11radio 0.3
Ap1(config-subif)# encapsulation dot1q 3
Ap1(config-subif)# bridge-group 3
· Bước 3: tạo các subinterface tương ứng với các vlan trên interface fa0, cho các subinterface tham gia vào bridge-group
Ap1(config)# interface fa0.2
Ap1(config-subif)# encapsulation dot1q 2
Ap1(config-subif)# bridge-group 2
Ap1(config-subif)# exit
Ap1(config-if)# interface fa0.3
Ap1(config-subif)# encapsulation dot1q 3
Ap1(config-subif)# bridge-group 3
· Bước 4: Kiểm tra cấu hình
Ap1#show run
Building configuration...
Current configuration : 2428 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap1
!
enable secret 5 $1$uKjg$zS1bn0trmst4JQtamQ/nv0
!
ip subnet-zero
no ip domain lookup
!
!
no aaa new-model
!
dot11 ssid ptit2
vlan 2
authentication open
mbssid guest-mode
!
dot11 ssid ptit3
vlan 3
authentication open
mbssid guest-mode
!
power inline negotiation prestandard source
!
!
username Cisco password 7 01300F175804
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
ssid ptit2
!
ssid ptit3
!
mbssid
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
bridge-group 2 subscriber-loop-control
bridge-group 2 block-unknown-source
no bridge-group 2 source-learning
no bridge-group 2 unicast-flooding
bridge-group 2 spanning-disabled
!
interface Dot11Radio0.3
encapsulation dot1Q 3
no ip route-cache
bridge-group 3
bridge-group 3 subscriber-loop-control
bridge-group 3 block-unknown-source
no bridge-group 3 source-learning
no bridge-group 3 unicast-flooding
bridge-group 3 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
dfs band 3 block
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface FastEthernet0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
no bridge-group 2 source-learning
bridge-group 2 spanning-disabled
!
interface FastEthernet0.3
encapsulation dot1Q 3
no ip route-cache
bridge-group 3
no bridge-group 3 source-learning
bridge-group 3 spanning-disabled
interface BVI1
ip address 192.168.1.1 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
login local
!
end
Thực hiện tương tự, cấu hình VLAN cho AP2
Sau khi cấu hình xong ta thực hiện kiểm tra kết nối bằng cách ping 2 PC cùng VLAN
Ở PC1 có địa chỉ IP như sau:
http://i384.photobucket.com/albums/oo289/hamicun/Untitled35.jpg
Hình 5-51:Cấp phát địa chỉ IP cho PC bằng DHCP
Thực hiện ping 2 PC cùng vlan
http://i384.photobucket.com/albums/oo289/hamicun/Untitled36.jpg
Hình 5-52: ping thành công
Sau đó ta thực hiện kiểm tra kết nối giữa 2 PC khác vlan àkết quả không thành công vì 2 PC khác VLAN cần một thiết bị layer3(Router) định tuyến giữa các VLAN
v Cấu hình cho Router thực hiện Routing Inter-Vlan
· Cấu hình cho Router
Router#show run
Building configuration...
Current configuration : 1045 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
memory-size iomem 10
no aaa new-model
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip dhcp excluded-address 192.168.1.254
ip dhcp excluded-address 192.168.2.254
!
ip dhcp pool vlan2
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
!
ip dhcp pool vlan3
network 192.168.2.0 255.255.255.0
default-router 192.168.2.254
!
ip audit po max-events 100
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.2
encapsulation dot1Q 2
ip address 192.168.1.254 255.255.255.0
!
interface FastEthernet0/0.3
encapsulation dot1Q 3
ip address 192.168.2.254 255.255.255.0
!
interface Serial0/0
no ip address
shutdown
!
ip http server
no ip http secure-server
ip classless
!
v CẤU HÌNH VLAN, PORT TRUNK CHO SWITCH
SW1#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5,Fa0/6,Fa0/7,Fa0/8,Fa0/9,Fa0/10,Fa0/11,Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16, Fa0/17, Fa0/18, Fa0/19Fa0/20,Fa0/21
Gi0/1, Gi0/2
2 vlan2 active
3 vlan3 active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
SW1#
SW1#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/22 on 802.1q trunking 1
Fa0/23 on 802.1q trunking 1
Fa0/24 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/22 1-4094
Fa0/23 1-4094
Fa0/24 1-4094
Port Vlans allowed and active in management domain
Fa0/22 1-3
Fa0/23 1-3
Fa0/24 1-3
Port Vlans in spanning tree forwarding state and not pruned
Fa0/22 1-3
Fa0/23 1-3
Fa0/24 1-3
Thực hiện kiểm tra kết nối giữa các PC khác VLAN
Ping PC ở vlan 2 có địa chỉ IP là 192.168.20.1 qua PC ở vlan 3 có địa chỉ IP là 192.168.30.1
http://i384.photobucket.com/albums/oo289/hamicun/Untitled37.jpg
5-53: Kiểm tra kết nối giữa 2 PC khác VLAN
5.7. Sử dụng NETSTUMBLER giám sát mạng, kiểm tra thông lượng mạng bằng QCHECK, sử dụng tính năng MAC FILTERING
5.7.1. Sử dụng Netstumbler
5.7.1.a. Yêu cầu:
Dùng Netstumbler để phát hiện ra các mạng không dây xung quanh, xem ảnh hưởng sóng radio của các mạng xung quanh phát ra mạnh đến đâu.
5.7.1.b. Thực hiện:
Các thiết bị được dùng để thực hiện: 2 PC, 1 AP Cisco
·PC: Cài đặt chương trình Netstumber
·AP1: Được cấu hình với SSID là BCVT, thực hiện tắt chế độ broadcast SSID của mạng
Bước 1: Dùng CLI để cấu hình trên AP:
Ap(config)#dot11 ssid BCVT
AP(config-ssid)#authentication open
Ap(config)#int dot11radio 0
Ap(config-if)#ssid BCVT
AP(config-if)#no shut
Bước 2: Kiểm tra PC:
·PC nằm trong vùng phủ sóng của AP, nhưng không dò ra được sóng của mạng
http://i384.photobucket.com/albums/oo289/hamicun/63.jpg
Hình 5-54: PC không dò ra được sóng của mạng
·Kích hoạt Netstumbler: Netstumbler giúp PC dò ra được sóng
http://i384.photobucket.com/albums/oo289/hamicun/64.jpg
Hình 5-55: Netstumbler dò ra được sóng của mạng xung quanh
·Netstumbler tự động dò ra tất cả các mạng không dây xung quanh:
- Tìm thấy ssid của mạng xung quanh: wireless, 110, Viettel.
- Hiển thị tất cả các kênh mà thiết bị đã dò ra: 9, 11, 6, 1
- Cho biết mạng dò tìm được có sử dụng mã hóa hay không: nếu có mã hóa thì WEP được hiển thị.
http://i384.photobucket.com/albums/oo289/hamicun/65.jpg
Hình 5-56: Hiển thị độ mạnh yếu tín hiệu của mạng dò ra được
Các thanh màu xanh cho biết độ mạnh của tín hiệu, thanh càng cao tín hiệu càng mạnh.
5.7.2. Lọc địa chỉ MAC Fliter:
Lọc địa chỉ Mac là cơ chế bảo mật bổ sung cho WEP và AES. Thực hiện lập danh sách địa chỉ MAC được phép và gán chúng vào trong AP. Nếu client có địa chỉ MAC khác với địa chỉ MAC có trong danh sách địa chỉ MAC của AP thì nó không thể truy cập đến AP.
·Bước 1: Thực hiện cấu hình cơ bản cho AP
·Bước 2: Kết nối PC vào mạng
·Bước 3: Cấu hình Access-list cho AP thực hiện lọc địa chỉ MAC
oThực hiện cấu hình trên AP chỉ cho phép PC có địa chỉ MAC là 0011.67f0.239d truy cập vào AP
oCấm tất cả PC có địa chỉ MAC còn lại
ap#show run
Building configuration...
Current configuration : 2474 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$yAUL$LlPxB5ywMr1rtqEnVjT8c.
!
ip subnet-zero
no ip domain lookup
ip dhcp excluded-address 192.168.1.62
!
ip dhcp pool lan
network 192.168.1.0 255.255.255.192
default-router 192.168.1.62
!
dot11 ssid BCVT
authentication open
guest-mode
username Cisco password 7 1531021F0725
username ha password 7 123A0C041104
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
ssid BCVT
!
speed basic-2.0
station-role root
l2-filter bridge-group-acl
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 input-address-list 700
bridge-group 1 output-address-list 700
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
access-list 700 permit 0011.67f0.239d 0000.0000.0000
access-list 700 deny 0000.0000.0000 ffff.ffff.ffff
·Bước 3: Kiểm tra kết nối PC1 có địa chỉ MAC là 0011.67f0.239d
http://i384.photobucket.com/albums/oo289/hamicun/66.jpg
Hình 5-57: PC1 có MAC 0011.67f0.239d truy cập vào AP thành công
Kiểm tra PC2 truy cập vào AP
http://i384.photobucket.com/albums/oo289/hamicun/67.jpg
Hình 5-58: PC đang thực hiện yêu cầu kết nối·
Thực hiện lệnh ping để kiểm tra kết nốiàping không thành công
http://i384.photobucket.com/albums/oo289/hamicun/68.jpg
Hình 5-59: Ping kiểm tra
5.7.3. Dùng Qcheck kiểm tra thông lượng:
Bước 1: Kết nối 2 PC với AP, sau đó tiến hành ping kiểm tra kết nối giữa 2 PC
http://i384.photobucket.com/albums/oo289/hamicun/69.jpg
Hình 5-60: Từ PC 1(IP 192.168.1.55) ping đến PC2(IP 192.168.1.5)
http://i384.photobucket.com/albums/oo289/hamicun/70.jpg
Hình 5-61: Từ PC 2(IP 192.168.1.5) ping đến PC1(IP 192.168.1.55)
Bước 2: Cài đặt Qcheck trên cả 2 máy tính cần kiểm tra thông lượng. Khi cài đặt Qcheck thì EndPoint sẽ tự động được tự động cài đặt trên PC. EndPoint hỗ trợ các giao thức TCP, UDP, SPX và IPX(Internetwork Packet Exchange/Sequenced Packet Exchange_ dùng trong mạng Novell Netware)
Bước 3: Bật Qcheck ở cả 2 máy và tiến hành kiểm tra thông lượng từ PC1 và PC2(ngược lại). Tại máy cần kiểm tra thông lượng ta sẽ chọn EndPoint 1 là localhost còn EndPoint2 là địa chỉ IP của máy đối diện.
Ở PC 1 ta chọn giao thức là TCP và tùy chọn là Thoughput(thông lượng), Data size là 1000 kbytes(chương trình hỗ trợ datasize từ 1 kbytes đến 1000kbytes). Nhấn nút Run để tiến hành kiểm tra thông lượng. Kết quả đo sẽ được hiển thị trong khung Throughput Results.
http://i384.photobucket.com/albums/oo289/hamicun/71.jpg
Hình 5-62: Kiểm tra thông lượng từ PC 1đến PC2(IP 192.168.1.5)
Để xem chi tiết đo ta bấm nút Details.
http://i384.photobucket.com/albums/oo289/hamicun/72.jpg
Hình 5-63: Chi tiết kiểm tra thông lượng từ PC 1đến PC2(IP 192.168.1.5)
Bước 4: Tiến hành tương tự trên PC2
http://i384.photobucket.com/albums/oo289/hamicun/71.jpg
Hình 5-64: Kiểm tra thông lượng từ PC 2 đến PC1(IP 192.168.1.55)
http://i384.photobucket.com/albums/oo289/hamicun/72.jpg
Hình 5-65: Chi tiết kiểm tra thông lượng từ PC 2 đến PC1(IP 192.168.1.55)
Chương 6:
THIẾT KẾ HỆ THỐNG PHÁT HIỆN XÂM NHẬP WIDS
6.1. Cài đặt và cấu hình
6.1.1. Giới thiệu chương trình:
http://i384.photobucket.com/albums/oo289/hamicun/Untitled14-1.jpg
Chương trình được thiết kế dựa trên Snort wireless của www.snort-wireless.org (http://www.snort-wireless.org/) và ACID (giao diện phân tích cho hệ thống IDS), triển khai trên nền Linux Fedora Core 6.
Mô tả cách hoạt động:
1) Snort được triển khai trên máy tính Linux Fedora Core 6.
2) Bật Snort trong phạm vi hoạt động của mạng không dây cần giám sát.
3) Snort dựa trên các rules đã được thiết lập tiến hành thu thập thông tin. Những thông tin thu thập được sẽ được lưu trong cơ sở dữ liệu MySQL Server.
4) WIDS thông qua Web Server có hỗ trợ PHP truy vấn cơ sở dữ liệu lưu trữ trong MySQL server và hiển thị lên màn hình.
6.1.2. Download các gói phần mềm
· Download snort-wireless tại địa chỉ http://www.snort-wireless.org (http://www.snort-wireless.org/)
· Download các gói phần mềm hỗ trợ snort-wireless: download mysql tại địa chỉ http://www.mysql.com (http://www.mysql.com/) , libcap tại địa chỉ http://www.tcpdump.org (http://www.tcpdump.org/), pcre tại địa chỉ ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/
· Download Apache tại địa chỉ http://www.apache.org (http://www.apache.org/)
· Download PHP tại địa chỉ http://www.PHP.net (http://www.php.net/)
· Download thư viện GD tại địa chỉ http://www.apache.org (http://www.apache.org/)
· Download ADODB tại địa chỉ http://adodblite.sourceforge.net/index.php
· Download ACID tại địa chỉ http://www.cert.org (http://www.cert.org/)
· Downloal ndiswrapper tại địa chỉ http://nchc.dl.sourceforge.net/sourceforge/ndiswrapper/
6.1.3. Quá trình cài đặt và cấu hình
6.1.3.a. Cài đặt Fedora Core 6
6.1.3.b. Cài đặt thư viện libpcap
Thư viện libcap được sử dụng để hỗ trợ việc bắt gói trên nền Linux
Thực hiện giải nén và cài đặt
# tar zxvf libpcap-0.9.8.tar.gz
# cd libpcap-0.9.8/
# ./configure
# make
# make install
6.1.3.c. Cài đặt pcre
Thư viện pcre hỗ trợ cho snort-wireless thiết lập rules
Thực hiện giải nén và cài đặt
# tar zxvf pcre-7.4.tar.gz
# cd pcre-7.4/
# ./configure
# make
# make install
6.1.3.d. Cài đặt mysql
· Tạo nhóm và tạo người dùng
# groupadd mysql
# useradd -g mysql mysql
· Vào thư mục có chứa source mysql thực hiện giải nén và cài đặt.
# cd /usr/local
# tar zxvf mysql-5.0.45-linux-i686.tar.gz
# cd mysql-5.0.45
# ./configure --prefix=/usr/local/mysql
# make
# make install
# cd mysql # scripts/mysql_install_db --user=mysql # chown -R root . # chown -R mysql data # chgrp -R mysql .· Khởi động mysql # /usr/local/mysqlbin/mysqld_safe --user=mysql &· Tạo password cho người dùng đăng nhập vào mysql # /usr/local/mysql/bin/mysqladmin -u root password abc123
# /usr/local/mysql/bin/mysqladmin -u root -h localhost.localdomain password 123abc
6.1.3.e. Cài đặt snort-wireless
· Giải nén và cài đặt
# groupadd snortgroup
# useradd -g snortgroup snortuser
# mkdir -p /usr/local/snort/etc
# mkdir /var/log/snort
# tar zxvf snort-wireless-2.4.3-alpha04
# cd snort-wireless-2.4.3
# ./configurer –prefix = /usr/local/snort --with-mysql=/usr/local/mysql
# make
# make install
· Cấu hình Snort-wireless
Copy từ source các file cấu hình qua thư mục cài đặt.
# mkdir /usr/local/snort/rules
# cp rules/* /usr/local/snort/rules/
# cp etc/snort.conf /usr/local/snort/etc/
# cp etc/reference.config /usr/local/snort/etc/
# cp etc/classification.config /usr/local/snort/etc/
# cp etc/unicode.map /usr/local/snort/etc/
# cp etc/threshold.conf /usr/local/snort/etc/
6.1.3.f. Chuẩn bị mysql cho Snort
- Đăng nhập vào mysql
# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 5
Server version: 5.0.45-log MySQL Community Server (GPL)
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
- Tạo cơ sở dữ liệu snortdb
mysql> create database snortdb;
Query OK, 1 row affected (0.08 sec)
- Cấp quyền truy vấn cơ sở dữ liệu cho người dùng snortuser
mysql> grant INSERT,SELECT on snortdb.* to snortuser@localhost;
Query OK, 0 rows affected (0.25 sec)
- Thiết lập mật khẩu cho người dùng snortuser là abcdef
mysql> set password for snortuser@localhost=password('abcdef');
Query OK, 0 rows affected (0.13 sec)
- Cấp quyền cho người dùng
mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATE on snortdb.* to snortuser@localhost;
Query OK, 0 rows affected (0.00 sec)
mysql> flush privileges;
Query OK, 0 rows affected (0.20 sec)
mysql> exit
- Import cơ sở dữ liệu snort vào Mysql
# cd /usr/local/src/snort-wireless-2.4.3-alpha04
# mysql -u root -p < ./schemas/create_mysql snortdb
6.1.3.g. Kiểm tra cơ sở dữ liệu snort trong mysql
# /usr/local/mysql/bin/mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 10
Server version: 5.0.45-log MySQL Community Server (GPL)
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
| snortdb |
| test |
+--------------------+
4 rows in set (0.08 sec)
mysql> use snortdb;
Database changed
mysql> status;
--------------
mysql Ver 14.12 Distrib 5.0.45, for pc-linux-gnu (i686) using readline 5.0
Connection id: 10
Current database: snortdb
Current user: root@localhost
SSL: Not in use
Current pager: stdout
Using outfile: ''
Using delimiter: ;
Server version: 5.0.45-log MySQL Community Server (GPL)
Protocol version: 10
Connection: Localhost via UNIX socket
Server characterset: latin1
Db characterset: latin1
Client characterset: latin1
Conn. characterset: latin1
UNIX socket: /tmp/mysql.sock
Uptime: 2 hours 7 min 34 sec
Threads: 1 Questions: 59 Slow queries: 0 Opens: 36 Flush tables: 2 Open tables: 9 Queries per second avg: 0.008
--------------
mysql>
mysql> show tables;
+-------------------+
| Tables_in_snortdb |
+-------------------+
| data |
| detail |
| encoding |
| event |
| icmphdr |
| iphdr |
| opt |
| reference |
| reference_system |
| schema |
| sensor |
| sig_class |
| sig_reference |
| signature |
| tcphdr |
| udphdr |
+-------------------+
16 rows in set (0.02 sec)
6.1.3.h. Chạy snort và kiểm tra
# snort -c /usr/local/snort/etc/snort.conf
………………….
***
*** interface device lookup found: eth0
***
Running in IDS mode
Initializing Network Interface eth0
--== Initializing Snort ==--
Initializing Output Plugins!
Decoding Ethernet on interface eth0
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /usr/local/snort/etc/snort.conf
++++++++++++++++++++++++++++++++++++++++++++++++++ +
……
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o" )~ Version 2.4.3-alpha04 (Build 26)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/team.html
(C) Copyright 1998-2005 Sourcefire Inc., et al.
NOTE: Snort's default output has changed in version 2.4.1!
The default logging mode is now PCAP, use "-K ascii" to activate
the old default logging mode.
================================================== =============================
Snort received 78 packets
Analyzed: 78(100.000%)
Dropped: 0(0.000%)
================================================== =============================
Breakdown by protocol:
TCP: 27 (34.615%)
UDP: 15 (19.231%)
ICMP: 32 (41.026%)
ARP: 6 (7.692%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
FRAG: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
================================================== =============================
Action Stats:
ALERTS: 0
LOGGED: 0
PASSED: 0
================================================== =============================
TCP Stream Reassembly Stats:
TCP Packets Used: 6 (7.692%)
Stream Trackers: 2
Stream flushes: 2
Segments used: 2
Stream4 Memory Faults: 0
================================================== =============================
Final Flow Statistics
,----[ FLOWCACHE STATS ]----------
Memcap: 10485760 Overhead Bytes 16400 used(%0.168352)/blocks (17653/8)
Overhead blocks: 1 Could Hold: (58579)
IPV4 count: 7 frees: 0
low_time: 1193173828, high_time: 1193173977, diff: 0h:02:29s
finds: 55 reversed: 22(%40.000000)
find_sucess: 48 find_fail: 7
percent_success: (%87.272727) new_flows: 7
Protocol: 1 (%58.181818)
finds: 32
reversed: 16(%50.000000)
find_sucess: 31
find_fail: 1
percent_success: (%96.875000)
new_flows: 1
Protocol: 6 (%14.545455)
finds: 8
reversed: 2(%25.000000)
find_sucess: 6
find_fail: 2
percent_success: (%75.000000)
new_flows: 2
Protocol: 17 (%27.272727)
finds: 15
reversed: 4(%26.666667)
find_sucess: 11
find_fail: 4
percent_success: (%73.333333)
new_flows: 4
6.1.3.i. Cài đặt apache server
- Thực hiện giải nén và cài đặt
# tar –zxvf httpd-2.2.6.tar.gz
# cd httpd-2.2.6
# ./configure --prefix=/usr/local/apache
# make
# make install
- Khởi động apache server
# /usr/local/apache/bin/apachectl -k start
6.1.3.j. Cài đặt PHP
- Giải nén và cài đặt
# tar –zxvf php-5.2.4.tar.gz
# cd php-5.2.4
# ./configure --with-mysql=/usr/local/mysql --with-apxs2=/usr/local/apache/bin/apxs --prefix=/usr/local/apache/php --with-gd
# make test
# make
# make install
6.1.3.k. Cài đặt acid:
- Giải nén gói.
# tar –zxvf acid-0.9.6b22.tar.gz
- Copy vào thư mục của apache server
# mv acid /usr/local/apache/htdocs/
- Vào thư mục acid và hiệu chỉnh tập tin acid_conf.php với đường dẫn tương ứng và thông tin tương ứng
$DBlib_path = "/usr/local/apache/htdocs/adodb";
$alert_dbname = "snortdb";
$alert_host = "localhost";
$alert_port = "3306";
$alert_user = "snortuser";
$alert_password = "abcdef";
$ChartLib_path = "/usr/local/apache/htdocs/jpgrap/src";
6.1.3.l. Cài đặt Jpgraph:
- Giải nén gói
# tar –zxvf jpgraph-2.2.tar.gz
- Dời thư mục jpgraph-2.2 về /usr/local/apache/htdocs/ và đổi tên lại là jpgraph
# mv jpgraph-2.2 /usr/local/apache/htdocs/jpgraph
6.1.3.m. Cài đặt ADOBD:
- Giải nén gói
# tar –zxvf adodb502a.tgz
- Dời thư mục adodb5 về /usr/local/apache/htdocs/ và đổi tên thành adodb
# mv adodb5 /usr/local/apache/htdocs/adodb
6.1.3.n. Cài đặt card mạng wireless trên Linux
- Giải nén gói
# tar -zxvf ndiswrapper-1.44.tar.gz
- Cài đặt
# make
# make install
- Vào etc/modprobe.d/blacklist thêm dòng blacklist bcm43xx để vô hiệu hóa driver được cài mặc định khi cài Linux.
- Giải nén dirver của card mạng
# cd /root/driver/wifi
# unzip -a R140747.EXE
- Cấu hình ndiswrapper với driver của card mạng wireless(Tùy theo card mạng khác nhau thì có driver tương ứng, Ở đây chúng ta sử dụng driver dành cho Windows XP của card mạng Dell wireless 1390 WLAN Mini-Card)
# ndiswrapper -i /root/driver/wifi/DRIVER/bcmwl5.inf
- Kiểm tra trạng thái của card mạng wireless vừa cài
# ndiswrapper –l
bcmwl5 : driver installed
device (14E4:4311) present
- Bật wireless card lên
# depmod -a
# modprobe ndiswrapper
- Xem thiết bị được quản lý trong Linux, nếu có các dòng sau là đã cài đặt thành công.
# dmesg
………………………………………
ndiswrapper version 1.44 loaded (smp=yes)
ndiswrapper: driver bcmwl5 (Broadcom,10/12/2006, 4.100.15.5) loaded
ACPI: PCI Interrupt 0000:05:00.0[A] -> GSI 18 (level, low) -> IRQ 217
PCI: Setting latency timer of device 0000:05:00.0 to 64
ndiswrapper: using IRQ 217
wlan0: ethernet device 00:19:7e:75:bd:e3 using NDIS driver: bcmwl5, version: 0x4640f05, NDIS version: 0x501, vendor: 'NDIS Network Adapter', 14E4:4311.5.conf
wlan0: encryption modes supported: WEP; TKIP with WPA, WPA2, WPA2PSK; AES/CCMP with WPA, WPA2, WPA2PSK
usbcore: registered new driver ndiswrapper
- Xem thông tin về card mạng wireless
# iwconfig
lo no wireless extensions.
eth0 no wireless extensions.
sit0 no wireless extensions.
wlan0 IEEE 802.11g ESSID:off/any
Mode:Managed Frequency:2.462 GHz Access Point: Not-Associated
Bit Rate:54 Mb/s Tx-Power:32 dBm
RTS thr:2347 B Fragment thr:2346 B
Encryption key:off
Power Management:off
Link Quality:0 Signal level:0 Noise level:0
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
- Tiến hành scanning thử các mạng wireless
# iwlist scanning
lo Interface doesn't support scanning.
eth0 Interface doesn't support scanning.
sit0 Interface doesn't support scanning.
wlan0 Scan completed :
Cell 01 - Address: 00:14:6C:0A:62:E2
ESSID:"NETGEAR"
Protocol:IEEE 802.11g
Mode:Managed
Frequency:2.462 GHz (Channel 11)
Quality:18/100 Signal level:-84 dBm Noise level:-96 dBm
Encryption key:on
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 18 Mb/s
24 Mb/s; 36 Mb/s; 54 Mb/s; 6 Mb/s; 9 Mb/s
12 Mb/s; 48 Mb/s
Extra:bcn_int=100
Extra:atim=0
Cell 02 - Address: 00:1A:70:4C:61:7F
ESSID:"linksys"
Protocol:IEEE 802.11g
Mode:Managed
Frequency:2.462 GHz (Channel 11)
Quality:9/100 Signal level:-90 dBm Noise level:-96 dBm
Encryption key:on
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 6 Mb/s
12 Mb/s; 24 Mb/s; 36 Mb/s; 9 Mb/s; 18 Mb/s
48 Mb/s; 54 Mb/s
Extra:bcn_int=100
Extra:atim=0
Cell 03 - Address: 00:13:49:3D:54:71
ESSID:"ZyXEL Jessie Vo"
Protocol:IEEE 802.11g
Mode:Managed
Frequency:2.437 GHz (Channel 6)
Quality:14/100 Signal level:-87 dBm Noise level:-96 dBm
Encryption key:on
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 6 Mb/s
9 Mb/s; 12 Mb/s; 18 Mb/s; 24 Mb/s; 36 Mb/s
48 Mb/s; 54 Mb/s
Extra:bcn_int=100
Extra:atim=0
6.1.4. Chương trình
Giao diện chính của chương trình, màn hình giám sát lưu lượng.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled15-1.jpg
http://i384.photobucket.com/albums/oo289/hamicun/77.jpg
Giao diện liệt kê các Access Point giả mạo phát hiện được.
http://i384.photobucket.com/albums/oo289/hamicun/78.jpg
PHỤ LỤC 1
7.1. Tìm hiểu vế thiết bị Aircap:
7.1.1. Giới thiệu:
http://i384.photobucket.com/albums/oo289/hamicun/79.jpg
Liên hệ: http://www.cacetech.com/products/airpcap.htm
Là sản phẩm của http://i384.photobucket.com/albums/oo289/hamicun/Untitled-4.jpg hổ trợ quản trị mạng không dây. AirPcap kết hợp cùng với phần mềm bắt gói(capture)Wireshark Network Analyzer cung cấp các đầy đủ hông tin về truyền thông chuẩn 802.11, bao gồm khung điều khiển(ACK,RTS,CLT), các khung quản lý (Beacon,….) và các khung dữ liệu.
http://i384.photobucket.com/albums/oo289/hamicun/80.jpg
7.1.2. Đặc điểm của AirPcap:
- AirPcap hoạt động hoàn toàn thụ động. Nó chỉ bắt gói trên 1 kênh do người dùng chọn mà không liên quan đến Access Point nào, hay truy tìm theo một thiết bị không dây nào. Vì nó không truyền thông nên không bị phát hiện bởi một thiết bị không dây nào khác.
- Hỗ trợGiám sát nhiều kênh trong cùng thời điểm: Nhiều card Airpcap có thể cắm đồng thời trên một máy tính và được sử dụng để bắt gói ở nhiều kênh khác nhau.
http://i384.photobucket.com/albums/oo289/hamicun/81.jpg
- Di động và đa năng: Chuẩn kết nối là USB mở rộng rất thuật lợi cho việc phân tích mạng không dây:
+ Có thể để gọn trong túi áo, và di chuyển dễ dàn từ máy tính để bàn và máy tính xách tay.
+ Phân tích đa kênh chỉ việc cắm 2 hay nhiều card AirPcap vào máy tính.
+ Vẫn có thể sử dụng kết nối không dây trong khi hệ thống phân tích hoạt động.
- Khả năng thích ứng và mở rộng: AirpCap devleloper’s pack hỗ trợ Visual Studio 6/2003/2005 và trình biên dịch GNU/Cygwin. Nó hoạt động hoạt động rất tốt trên cả Linux và Unix.
http://i384.photobucket.com/albums/oo289/hamicun/Untitled21-1.jpg
winvista
04-01-2010, 07:45
Tình hình là hình ảnh (picture) bị hư hết. Mong chủ "Thớt" giữa lại dùm
LamThanhChu
24-01-2010, 10:41
Quá đỉnh cảm ơn chủ thớt nhiều
gadoi_tq
29-01-2010, 12:46
Cam on ban nhieu
______
:>
Powered by vBulletin™ Version 4.0.2 Copyright © 2010 vBulletin Solutions, Inc. All rights reserved.