Đang tải... (xem toàn văn)
Tài liệu tham khảo công nghệ thông tin Tìm hiểu Voip trên nền 802.11
Chương 4. Bảo mật, quản lý động và QoS trong Mobile IPChương 4. Bảo mật, quản lý động và QoS trong Mobile IP4.1. Bảo mật và Vo802.11Hệ thống điện thoại truyền thống có nhiều lỗ hổng để xâm nhập. Khi mà những công nghệ đó phát triển không đủ nhanh để hỗ trợ bảo mật tốt cho nhà khai thác. Vo802.11 phải khắc phục được những lo lắng về vấn đề an toàn của khách hàng trong mạng. Nỗi sợ hãi về sự nghe trộm và gian lận có thể làm giảm nhu cầu sử dụng của khách hàng. Chương này mô tả tiêu chuẩn bảo mật và phương pháp bảo mật cho mạng 802.11.Không giống những hệ thống có dây, được bảo vệ ở tầng vật lý, mạng không dây không bị giới hạn trong toà nhà, tín hiệu có thể thu được ở cự ly vài trăm mét với một laptop và một anten làm cho WLAN tồn tại những điểm yếu để tấn công. Kỹ thuật bảo vệ đầu tiên được đưa ra là Wireless Equivalency Protocol, nó là một giao thức mã hoá, được thiết kế để có được tính năng như mạng có dây. Chuẩn sử dụng là 40 và 128 bit (thực tế thì chỉ 104bits) cho mã hoá và ở lớp link, với thuật toán RC4 do chính phủ Mỹ đưa ra.802.11i được đưa ra với sự hỗ trợ WEP cho bảo mật. Theo Wi-Fi Alliance, những tổ chức nhỏ nên turn on WEP ở mức tối thiểu, dùng password bảo vệ cho những tài nguyên dùng chung, thay đổi tên mạng từ Service Set ID (SSID), dùng bộ lọc địa chỉ MAC, dùng key phiên, và hệ thống mạng VPN và những phương pháp khác cho tổ chức lớn hơn.IEEE 802.11b, dựa trên hai kỹ thuật bảo mật là : (1) SSID và (2) WEP. Một số nhà sản xuất còn đưa bộ lọc địa chỉ MAC và sản phẩm của họ.Trang- 49 - Chương 4. Bảo mật, quản lý động và QoS trong Mobile IPSSID- service set IDSSID là một chuỗi dùng để xác định các miền giữa nhiều điểm truy cập (access points –AP) điều này cho phép sự chồng lấn trong mạng không dây. Nó được xem như là một password cơ bản để chống các client kết nối vào mạng, tuy nhiên có thể tấn công dễ dàng bởi Aps quảng bá những SSIDs nhiều lần trong 1s,và bất kỳ công cụ phân tích 802.11 nào như là Airmagnet, Netstumbler, hay Wildpackets Airopeek có thể đọc được nó. Người sử dụng thường cấu hình những clients, và password dễ dàng bị phát hiện.WEP-Wireless Equivalency Protocol. IEEE 802.11b dùng WEP để thẩm quyền truy cập mạng và mã hoá chống nghe trộm cho dữ liệu.Có 4 chọn lựa cho WEP:1.Không dùng WEP2.Chỉ mã hoá3.Chỉ thẩm định quyền4.Cả mã hoá và thẩm quyềnWEP encryption dựa vào RC4, dùng key 40bit kết hợp với một vector 24bit khởi tạo ngẫu nhiên để mã hoá dữ liệu truyền không dây.(điều này cũng giống với mã hoá 64b). Có thể dùng chung WEP key cho tất cả client và Aps. Hầu hết các nhà sản hiện nay sử dụng 128b WEP (104bit key), để tăng sức mạnh mã hoá. Chế độ này không phải là chuẩn của IEEE 802.11b, phụ thuộc vào các nhà sản xuất, một trong số chúng không tương thích với nhau.WEP còn định nghĩa một giao thức thẩm quyền, có hai dạng cho 802.11b là : open system (cho phép truy cập tuỳ ý, không thẩm quyền và mã hoá dữ liệu, dùng cho nơi công cộng) và shared key (AP gửi một thông điệp thẩm quyền cho client, client dùng shared key để mã hóa thông điệp đó, và gửi trả lại cho AP, nếu AP giải Trang- 50 - Chương 4. Bảo mật, quản lý động và QoS trong Mobile IPmã đúng thì client có quyền truy cập ). Do cả “challenge pharse” (ở dạng cleartext) và khả năng kiểm tra thường xuyên, hacker có thể bẻ khoá WEP. Vì vậy cả open system và shared key đều không an toàn.Việc phân phối các key dựa trên một dịch vụ quản lý bên ngoài để phân phối các secret key đến mỗi trạm, và không phải là một dịch vụ chỉ định, việc truy cập được xử lý một cách thủ công, các key sẽ tồn tại tĩnh trong quá trình trao đổi, ngoại trừ được thay đổi bởi nhà quản trị. Nguyên nhân khách quan là bản chất tĩnh của các key và quá trình xử lý thủ công tuần tự, dẫn đến việc thay đổi key sẽ tốn một lượng thời gian lớn trong mạng. Khi một trạm có vấn đề, key sẽ được thay đổi đến tất cả các trạm trong mạng. WEP hầu như cung cấp 4 shared key. Chúng được dùng chung cho tất cả client và Aps mỗi khi một client truy cập vào mạng. Hacker có đủ thời gian và công cụ dowload từ web để xác định key .MAC Address FilteringMAC address filter chứa địa chỉ MAC của wireless NIC đã được kết hợp với mỗi AP. Một số nhà sản xuất cung cấp công cụ để tự động quá trình update và entry. MAC filter cũng không đảm bảo do địa chỉ MAC có thể lấy được bởi một bộ sniffer (bộ phân tích mạng). Sau đó dùng Linux driver cho những card 802.11 để cấy hình địa chỉ MAC đã được sniffed và truy cập trở lại mạng. Những mối nguy hiểm bảo mậtMối nguy hiểm có thể đến từ hacker, người cộng tác, từ bên trong, người thầu dự án, cá nhân bất bình trong công ty.Trang- 51 - Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP4.1.1. Mô hình bảo mật WLANHình 4.1. Những kiểu tấn công và hướng tấn công trong WLANCó 4 lớp tấn công hệ thống chính : interception, fabrication, modification, and interruption, lớp thứ 5 là Repudiation, chống lại thông tin tài khoản, có thể tấn công cả hệ thống nguồn lẫn đích. Trong trường hợp bình thường, thông tin được gửi từ nguồn đến đích. Khi một cuộc tấn công xảy ra nó có thể đến từ những dạng trong danh sách sau: Interception-Chặn gói tinĐối tượng tấn công có thể chặn gói tin để đọc thông tin được gởi từ nguồn đến đích. Sniffing là một ví dụ.Hacker cố gắng lấy thông tin hoặc định dạng thông tin bằng cách phân tích lưu lượng trong hệ thống rồi suy luận ra mà không ảnh hưởng đến nguồn. Phần thị thực của đối tượng nguồn có thể bị chặn và sẽ được sử dụng dưới dạng giả danh, thông thường hacker đưa ra một bản tin như là thông tin nhận thực, password, số thẻ tín dụng, hay những thông tin nhạy cảm khác. Fabrication-Nặc danh Tấn công tích cực vào thẩm quyền, hacker giả vờ như là một thực thể nguồn ví dụ như là những gói bị spoofed và email giả dạng. WEP có hai kỹ thuật thẩm quyền là là open system và shared key.Trang- 52 - Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP• Man-in-the-Middle AttacksHình 4.2. mô tả man in middle attack• SpoofingDNS spoofing, bằng cách gởi một DNS response đến một DNS server trong mạng, IP address spoofing phụ thuộc vào router, chỉ kiểm tra IP address đích hay cả IP gửi. Có thể chống loại tấn công này bằng thẩm định IP addr gửi. • Insertion Attacks-tấn công chènCấu hình hay chèn bất hợp pháp một thiết bị để truy cập vào mạng gọi là tấn công chèn. Bằng cách cài đặt những card mạng không dây ở gần mục tiêu, thiết bị có thể cấu hình để truy cập. Những AP không thẩm quyền có thể được cài đặt để đưa người dùng truy cập vào AP của hacker. Nếu những AP này đặt sau firewall thì mối nguy hiểm càng lớn hơn.• Brute-Force Password AttacksLà phương pháp crack password, nó sử dụng một từ điển và cố gắng lặp đi lặp lại để truy cập vào mạng. Loại tấn công này có khả năng cho thẩm quyền bằng password.• Invasion và Resource StealingMột khi một hacker biết được cách thức điều khiển một WLAN, họ sẽ có thể chiếm quyền điều khiển mạng hay trạm truy cập đó. Đánh cắp một trạm truy cập bằng cách giả một địa chỉ MAC có thẩm quyền và dùng nó gán cho Trang- 53 - Chương 4. Bảo mật, quản lý động và QoS trong Mobile IPIP address. Chờ cho hệ thống chủ ngừng hoạt động thì hacker sẽ đưa hệ thống giả lên mạng và chờ người dùng đăng nhập. ModificationModification là một loại tấn công tích cực, hacker thay đổi thông tin đã được gửi từ một nguồn. Chèn một Trojan hay virus là một ví dụ. Rất dễ dàng tấn công modification với WEP mà không bị phát hiện, vì ICV là một hàm tuyến tính, chỉ sử dụng phép cộng và nhân: crc(x XOR y) = crc(x) XOR crc(y)Với việc kiểm tra tính toàn vẹn bằng CRC-32, có thể thay đổi một hay nhiều bits trong gói hay dự đoán bit nào trong checksum cần thay đổi. Mất thiết bịĐây là một vấn đề được chú ý bởi FBI, bởi dữ liệu nằm trong thiết bị đó có thể được dùng để truy cập mạng có dây một cách có thẩm quyền. Do virusĐã có một số loại virus xuất hiện trên điện thoại di động, như là VBS/Timo-A và LoveBug, như là khả năng gửi những message. Replay-tấn công lặpReplay là một kiểu tấn công tích cực dựa vào tính toàn vẹn, khi hacker gửi lại những thông tin được gửi từ nguồn đến đích.Bảo mật 802.11 cơ bản không bảo vệ chống relay, nó không chứa số tuần tự hay nhãn thời gian. Bởi vì IV và keys có thể reused, cho nên có khả năng replay bản tin với cùng IV mà không phát hiện bị chèn những bản tin giả vào hệ thống, Mỗi gói phải được thẩm quyền không chỉ là mã hoá không, hay phải có số tuần tự và nhãn thời gian. Reaction- dò phản ứngLà một kiểu tấn công tích cực, những gói được gởi bởi hacker đến đích, và những phản ứng sẽ được giám sát, ngoài ra thông tin có thể được học từ những kênh mới Interruption - ngắt dịch vụTrang- 54 - Chương 4. Bảo mật, quản lý động và QoS trong Mobile IPHacker chặn thông tin gửi từ nguồn, nó được xem như là tình trạng ngắt trong quá trình truyền, như là tấn công từ chối dịch vụ denial-of-service và network flooding.Bằng cách làm tràn băng thông của toàn mạng bằng cách dùng ARP flooding, ping broadcasts, TCP SYN flooding, queue flooding, smurfs, synk4, và những biện pháp flood khác. Có thể dùng biện pháp vật lý như nhiễu RF để làm ngắt mạng Denial of Service Attacks -từ chối dịch vụCó nhiều loại tấn công phụ thuộc vào loại tài nguyên bị khoá (không gian đĩa, băng thông, bộ nhớ nội, bộ đệm…). Trong trường hợp đơn giản tạm dừng dịch vụ khi không thể ngăn chặn được, còn không thì giới hạn tài nguyên sử dụng. Mạng không dây, kẻ tấn công có thể dùng thiết bị chuyên dụng để làm nhiễu sóng và ngắt dịch vụ đến mạng. Repudiation -từ chối bản tinĐây là loại tấn công tích cực dựa trên chức năng thừa nhận các bản tin của nguồn và đích. Làm cho bên nguồn từ chối gửi và cả đích từ chối nhận bản tin. 4.1.2. Kiến trúc mạng với WLANCó sự ngăn chặn người dùng Lan và các điểm truy cập không dây bằng firewall như hình sau: Hình 4.3. Trang- 55 - Chương 4. Bảo mật, quản lý động và QoS trong Mobile IP Tính động và bảo mật. Trong trường hợp di động, giải pháp phải bảo mật phải áp dụng cho quá trình handoff, nó xuất hiện lỗ hổng cho tấn công tái định hướng, kẻ tấn công có thể giao tiếp với đích sau khi quá trình chuyển giao xảy ra. Chính sách bảo mậtĐược đưa ra như bảng 4.1 sau:4.1.3. Wi-Fi Protected AccessWPA dùng Temporal Key Integrity Protocol (TKIP), mức độ mã hoá cao hơn WEP, sử dụng key hashing (KeyMix) và message integrity check (MIC). TKIP còn dùng một rapid-rekeying(rekey) protocol để thay đổi key mã hoá sau 10000 gói. Tuy nhiên nó cũng không loại bỏ những thuộc tính của bảo mật wifi, một khi tấn công được TKIP, có thể điều khiển truy cập và thẩm quyền.Có hai chế độ làm việc là “preshared” key mode cho bảo mật thấp, chỉ đơn giản là nhập network key vào bộ truy cập.Trong chế độ quản lý, sẽ có các dịch vụ thẩm quyền, đòi hỏi hỗ trợ 802.1X và EAP. Cho phép client network adapter thoả thuận Trang- 56 - Chương 4. Bảo mật, quản lý động và QoS trong Mobile IPvới một server thẩm quyền thông qua một AP, bằng cách trao đổi các phiên key bảo mật. Các thiết bị mạng không dây phải được upgrad WPA để sử dụng nó, việc cài đặt WEP mà mặc định, có thể cài song song WEP và WAP.Với 802.11i có hỗ trợ một thuật toán mã hoá mới gọi là Advanced Encryption Standard (AES), thay thế RC4, điều này yêu cầu phải thay đổi phần cứng. Ngoài ra còn có secure fast handoff preauthentication, secure deassociation và deauthen-tication , security cho peer-to-peer communications (ad hoc mode). Những sản phẩm có chuẩn 802.11i được gọi là “Wi-Fi WPA2-certified” .4.1.4. 802.1x và EAP Advanced Security802.1x standard cung cấp nền tảng thẩm quyền cho WLANs, cho phép thẩm quyền người dùng thông qua một trung tâm thẩm quyền. Thuật toán sử dụng đa dạng và bảo mật. Giải pháp dựa trên chứng thực như EAP-TLS (transport layer security), dựa trên password như EAP-OTP và EAP-MD5, thẻ thông minh như EAP-SIM, hỗn hợp như EAP-TTLS dùng cả chứng thực và password. Nó sử dụng một giao thức có sẵn là EAP(RFC 2284), làm việc trên ethernet, token ring, wireless Lan để trao đổi các bản tin trong quá trình thẩm quyền. 802.1x Network Port AuthenticationCó 3 thành phần chính: thành phần yêu cầu (client software), bộ thẩm định (access point), và server thẩm định (cho dịch vụ từ xa).Trình tự thẩm quyền như sau: client gửi một thông điệp bắt đầu cho AP, AP phát hiện thông điệp, và mở một cổng thẩm quyền, chỉ cho thông điệp 802.1x/EAP đi qua, mọi lưu lượng khác bị chặn lại.Trang- 57 - Chương 4. Bảo mật, quản lý động và QoS trong Mobile IPHình 4.4. Thẩm quyền trong 802.1xClient sau đó gửi một thông điệp bắt đầu EAP, AP đáp ứng với một thông điệp yêu cầu nhận thực cho client. Gói EAP-response của client chứa chứng thực, và được chuyển đến server thẩm quyền. Server sẽ trả lời bằng cách chấp nhận hoặc từ chối, nếu chấp nhận nó sẽ mở port cho giao tiếp. EAP Extensible Authentication ProtocolEAP đuợc thiết kế để đáp ứng khả năng mềm dẻo, áp dụng cho thẩm quyền một số mạng. Được phát triển cho giao thức Point-to-Point (dùng số để thẩm quyền), IETF chuẩn hóa bằng cách dùng EAP. IEEE 802.1x dùng EAP như là phần nền, nó cho phép switch và AP có thể hỗ trợ nhiều phương pháp chứng thực khác nhau. Lúc này các switch và AP như là các điểm trung gian cho EAP, có thể thêm các phương pháp thẩm quyền khác mà không cần cài đặt, bằng cách cài đặt phần mềm ở host và server thẩm quyền.Do không cần phải đóng gói các packet như VPN, IEEE 802.1x có thể đạt tốc độ 11Mbps (802.11) cho đến 10+Gbps, bằng cách upgrade firmware các switch, không cần phải mua các phần cứng mới. 802.1x/EAP AuthenticatorsRADIUS-remote access dial-in user serviceĐây là một chuẩn cho chứng thực từ xa, được dùng phổ biến cho truy cập mạng như authentication, authorization, và accounting (AAA) trong cả hệ thống cũ và mới. Cho dù có nhiều vấn đề về bảo mật và vận chuyển, nhưng RADIUS vẫn sẽ tiếp tục sử dụng rộng rãi trong vài năm nữa. Nó có thể bị thay thế bởi giao thức mới là Trang- 58 - [...]... do Cisco cung cấp, dùng cho card 802.11, RADIUS server và AP Có lỗ hông cho tấn công từ điển trên đường truyền EAP-TLS Đây là chuẩn mở hỗ trợ bởi nhiều nhà sản xuất, dùng public key infrastructure (PKI), hỗ trợ trên nền XP và Win2000, đòi hỏi thiết bị phải có x.509 certificate, nó hoàn toàn trong suốt đối với người dùng EAP-TTLS EAP-TTLS and EAP-TLS đều sử dụng TLS, EAP-TTLS chỉ yêu cầu server là có... sẽ được chuyển tiếp đến FA cho MH Trang- 64 - Chương 4 Bảo mật, quản lý động và QoS trong Mobile IP Các gói tin đó sẽ được bao bọc bởi một IP mới gọi là IP-in-IP encapsulation, với IP ngoài là của FA Theo hưóng ngược lại từ MH đến CH, có thể đi trực tiếp không qua HA Hình 4.6 Mô tả đóng gói IP-in-IP Hình 4.7 Giải pháp Mobile IP với FA HA xem địa chỉ FA là care-of-add (COA), có hai cách đưa gói tin đến... tuyến đến các đích, đồng thời phát triển một số ứng dụng trên nền kỹ thuật này như xác định vị trí, tìm đường trên bản đồ… 4.2.1 Phương pháp Mobile IP Tình huống: Khi hầu hết các trạm trên internet đều có duy nhất một địa chỉ IP để xác định duy nhất một thực thể Một mobile hosts (MH )- trạm di động – ban đầu đăng ký địa chỉ với một home agent (HA )- các gói gửi đến MH đều thông qua HA Khi MH di chuyển... nhanh Trang- 61 - Chương 4 Bảo mật, quản lý động và QoS trong Mobile IP Kerberos hoạt động trong 802.11 Dựa trên mô hình phân tán key được phát triển bởi Needham và Schroeder Thẩm quyền mạng gồm 4 quá trình sau: 1 Authentication Exchange-Người dùng gửi một yêu cầu đến server thẩm quyền với một ticket đến ticket granting server (TGS) authentication server (AS) kiểm tra người dùng trong database và tìm client’s... IP động 4.2.2.1 SIP-Based Mobility SIP hỗ trợ quản lý động cho terminal, personal, session và cả service Được chia làm hai loại là quản lý động trước phiên và giữa phiên • Quản lý trước phiên Có khả năng : - ăng ký một SIP user tại vị trí hiện tại -Có khả năng đăng ký và ánh xạ một địa chỉ SIP vào một số thiết bị Trang- 66 - Chương 4 Bảo mật, quản lý động và QoS trong Mobile IP -Có khả năng đăng ký... thời gian của PHY Thời gian quay ngược được tính khi tăng tuần tự theo hàm mũ 2 x-1 Ví dụ giá trị ngẫu nhiên là 3, slot time là 10us, trạm sẽ chờ đợi (2 3-1 ) x 10 us = 70us, sau đó tiếp tục tăng lên (2 4-1 ) rồi (2 5-1 ) cho đến giá trị max Do giá trị là ngẫu nhiên sẽ tránh tình trạng va chạm do cùng khoảng thời gian đợi Trang- 76 - Chương 4 Bảo mật, quản lý động và QoS trong Mobile IP Hình 4.14 mô tả giao... Host-Based Mô hình định tuyến có thể dựa trên host hay group Với mô hình dựa trên host, hai mô hình ưu thế là cellular IP và HAWAII, chúng tương tự nhau Trong vùng micro, cell IP dùng bộ lưu trữ thông tin chuyển tiếp cho mỗi node Thông tin này được phân phối, vì vậy các node biết được làm sao để chuyển tiếp đến node tiếp theo Mỗi lần di chuyển nó chỉ việc update nhóm con của node Trang- 69 -. .. một ESS Trang- 71 - Chương 4 Bảo mật, quản lý động và QoS trong Mobile IP Do mỗi trạm chỉ kết nối được với một AP tại một thời điểm, việc tái kết nối cho sự di chuyển giữa các AP phải được tối thiểu để giảm tình trạng ngắt dịch vụ Những nhà cung cấp thiết bị 802.11 hỗ trợ những giải pháp khác nhau cho việc này, nó cũng làm cho việc liên tác giữa các AP khác hãng trở nên khó khăn Chuẩn 802.11f được... băng thông đảm bảo cho việc mang dữ liệu kết nối VPN với 802.11 Để hỗ trợ 802.11 Lan, một phần mềm ứng dụng VPNclient được triển khai trên tất cả các máy, mọi lưu lượng từ client được mã hóa VPN tunnel thông qua AP phải đi qua VPN gateway trước khi vào mạng LAN Khi sử dụng VPN thì những kỹ thuật mã hoá khác như WEP là không cần thiết Trang- 60 - Chương 4 Bảo mật, quản lý động và QoS trong Mobile IP... các contention-free period (CFP )- khoảng không va chạm được bắt đầu với mỗi cờ báo và contention period (CP) Trong khoảng CP, truy cập được điều khiển bởi EDCF, tuy nhiên bộ chỉ dẫn lai tạp -hybrid coordinator (HC, thường được đặt ở AP) có thể khởi tạo HCF truy cập bất cứ lúc nào Trong khoảng CFP, HC phát ra một thăm dò QoS CF-Poll đến một trạm đặc biệt để cho biết một cơ hội truyền - transmit opportunity . deauthen-tication , security cho peer-to-peer communications (ad hoc mode). Những sản phẩm có chuẩn 802. 11i được gọi là “Wi-Fi WPA2-certified” .4.1.4. 802. 1x. pháp dựa trên chứng thực như EAP-TLS (transport layer security), dựa trên password như EAP-OTP và EAP-MD5, thẻ thông minh như EAP-SIM, hỗn hợp như EAP-TTLS
