- HỆ THỐNG PHÁT HIỆN XÂM NHẬP CHO MẠNG KHÔNG DÂY DỰA TRÊN PHẦN MỀM NGUỒN MỞ. - Xâm nhập, IDS, mạng không dây, phát hiện xâm nhập, tấn công mạng không dây. - Trong thời gian gần đây, những điểm yếu về bảo mật trong mạng WLAN đã liên tục được khai thác nhằm mục đích đột nhập các ngân hàng, công ty và các tổ chức khác… Tần suất diễn ra các cuộc tấn công đã và đang có chiều hướng gia tăng. - Do đó, bên cạnh việc triển khai mạng WLAN, việc triển khai một hệ thống phát hiện xâm nhập mạng không dây (WIDS) cũng vô cùng cần thiết. - Bài báo này nhằm đề xuất một giải pháp hiệu quả để triển khai một hệ thống WIDS với giá thành thấp, dựa trên các sản phẩm mã nguồn mở và các thiết bị truy cập không dây thông thường, có khả năng phát hiện và cảnh báo sớm các hình thức tấn công mạng không dây từ bên ngoài và từ bên trong mạng WLAN.. - Bên cạnh những thuận lợi, mạng không dây cũng chứa đựng nhiều rủi ro tiềm ẩn về bảo mật cho người sử dụng, ví dụ hacker hoàn toàn có thể nghe lén (sniffing) các thông tin quan trọng của người dùng nếu mạng không dây không sử dụng mã hóa, người dùng dễ bị lừa để truy cập vào các điểm truy cập giả mạo để lấy cấp thông tin… Đồng thời, nhà cung cấp dịch vụ mạng không dây hay doanh nghiệp cũng có thể phải hứng chịu các rủi ro như các cuộc tấn công từ chối dịch vụ (De-authentication) để làm tê liệt hoàn toàn khả năng cung cấp kết nối của các điểm truy cập, tấn công gây nhiễu sóng [10]…. - Hiện nay, các hãng cung cấp thiết bị mạng nổi tiếng như Cisco, AirDefense, AirTight… đều cung cấp những giải pháp phát hiện xâm nhập mạng không dây (WIDS- Wireless Instrusion Dectection System) của riêng họ. - Xuất phát từ lý do trên, bài báo này đề xuất một giải pháp khác giúp tiết kiệm về mặt kinh tế nhưng vẫn đảm bảo tính hiệu quả cao để xây dựng hệ thống IDS cho mạng không dây dựa trên kiến trúc phân tán, sử dụng các sản phẩm phần mềm nguồn mở và các thiết bị truy cập mạng không dây thông thường, phổ biến trên thị trường với giá thành rẻ.. - Hệ thống IDS của bài báo này có thể giám sát và phát hiện được các hình thức tấn công từ bên trong lẫn bên ngoài mạng WLAN, cảnh báo tức thì cho nhà quản trị thông qua tin nhắn SMS (có thể triển khai thêm SNMP, SMTP. - lưu trữ lại các thông tin liên quan đến cuộc tấn công bằng cơ sở dữ liệu tập trung, có khả năng hoạt động như một hệ thống nhật ký trung tâm cho mạng cục bộ không dây (WLAN) cũng như cung cấp khả năng quản trị hệ thống thông qua ứng dụng Web.. - Kế tiếp là phần giới thiệu, trong phần sẽ trình bài các nghiên cứu có liên quan đến hệ thống IDS được đề nghị. - Phần thứ ba sẽ giới thiệu hướng tiếp cận mới của hệ thống. - Chi tiết về hệ thống sẽ được trình bày ở phần thứ tư.. - Cuối cùng là phần kết luận và hướng phát triển của hệ thống đề xuất.. - 2 CÁC NGHIÊN CỨU LIÊN QUAN Các hình thức tấn công trong mạng cục bộ không dây WLAN có thể chia ra làm 2 loại: Tấn công từ bên ngoài mạng không dây và tấn công từ bên trong mạng không dây. - Tấn công từ bên ngoài mạng không dây là các hình thức tấn công ở tầng 1 và tầng 2 trong mô hình OSI [7]. - Phổ biến nhất là 2 kiểu tấn công từ chối dịch vụ (De-authentication Attack) và tấn công nặc danh giả dạng một Access Point (Rogue Access Point Attack) [16]. - Rogue Access Point Attack là hình thức tấn công với ý tưởng chính là hacker sẽ tạo một Access Point giả mạo, trùng SSID với Access Point thật, lừa người dùng kết nối vào, từ đó triển khai các hình thức tấn công nâng cao khác như Men-In-The- Middle, SSL Stripping Attack [8]…. - Các hình thức tấn công từ bên trong mạng WLAN là các hình thức tấn công từ tầng 3 của mô hình OSI trở lên. - Các cuộc tấn công này xuất phát từ client đã tham gia vào mạng WLAN tương tự như các hình thức tấn công thông thường trong mạng có dây.. - Các giải pháp WIDS từ các hãng bảo mật nổi tiếng như Cisco, AirDefense, AirTight… nói chung đều có khả năng giám sát và phát hiện các cuộc tấn công từ bên ngoài lẫn bên trong nói trên, có khả năng lưu trữ các thông tin liên quan đến cuộc tấn công vào cơ sở dữ liệu, gửi cảnh báo qua SNMP, SMTP… Tuy nhiên, các giải pháp này đều khó triển khai tại các nước đang phát triển vì các lý do như đã trình bày trong phần giới thiệu, đồng thời, hầu hết đều thiếu chức năng gửi cảnh báo tức thì cho nhà quản trị thông qua tin nhắn SMS khi có sự kiện xấu xảy ra.. - Hiện nay, giải pháp IDS miễn phí duy nhất cho mạng không dây vẫn còn được duy trì và phát triển là Kismet [12]. - Kismet được phát triển bởi Mike Kershaw dưới giấy phép GPL và có thể hoạt động như một WIDS, tuy nhiên, Kismet chỉ có thể phát hiện được các cuộc tấn công từ bên ngoài mạng WLAN dựa vào việc phân tích dữ liệu ở tầng MAC Layer (tầng con thuộc tầng Data-Link) không được mã hóa. - Đối với các khung dữ liệu được mã hóa thì Kismet không thể phân tích để phát hiện ra các dấu hiệu tấn công. - Ngoài ra, Snort [11] được biết đến như một giải pháp phát hiện và phòng chống thâm nhập (IDS/IPS – Intrusion Detection and Prevention Systems) nguồn mở mạnh mẽ và được sử dụng rộng rãi trên toàn thế giới để phát hiện các cuộc tấn công từ tầng 3 trở lên. - Tuy nhiên, do dữ liệu truyền trong mạng không dây được bảo vệ bởi khóa phiến, khiến cho Snort không thể “đọc-hiểu” được dữ liệu, từ đó không phát hiện được các cuộc tấn công trong nội bộ của một mạng không dây.. - Quadrant Information Security cũng đưa ra giải pháp IDS miễn phí cho mạng không dây với ý tưởng chính là cài đặt máy tính trở thành một Access Point, sau đó triển khai Snort và Kismet lên máy tính, từ đó, có thể phát hiện được các cuộc tấn công bên ngoài lẫn bên trong [2]. - Jason Murray từng có bài viết về giải pháp IDS cho không dây với ý tưởng chính là cài đặt Kismet trên nền tảng OpenWRT lên Access Point, nhờ vậy, Access Point có thể phát hiện được các cuộc tấn công từ bên ngoài mạng WLAN [9]. - Tuy nhiên, giải pháp này chưa thể phát hiện được các cuộc tấn công từ bên trong mạng WLAN, không hỗ trợ lưu trữ thông tin về các cuộc tấn công vào cơ sở dữ liệu, dễ dẫn đến quá tải do việc xử lý gói tin được thực hiện trên Access Point, không tự động gửi cảnh báo.. - Hình 1 cho thấy phương thức triển khai một hệ thống IDS truyền thống cho mạng không dây.. - Trong đó, Switch sẽ được cấu hình với kỹ thuật Port Mirroring nhằm chuyển tiếp bảo sao của tất cả gói tin vào/ra của Access Point A hay B về IDS Server để tiến hành phân tích dữ liệu trong các gói tin nhằm phát hiện ra các hành vi xâm nhập và tấn công mạng. - Kết quả là khi hacker thâm nhập vào hệ thống mạng WLAN, hacker hoàn toàn có thể tấn công bất kỳ client nào trong WLAN (inside attack) mà không bị hệ thống IDS truyền thống phát hiện [1].. - Hình 1: Giải pháp IDS truyền thống cho mạng không dây. - Để giám sát và phát hiện được những cuộc tấn công bên ngoài mạng không dây, người ta thường sử dụng một hay nhiều wireless sensor, những thiết bị này có nhiệm vụ bắt tất cả các khung dữ liệu trong phạm vi thu sóng của nó, truyền tất cả các khung này về IDS Server để phân tích xử lý.. - Để vượt qua những trở ngại này, hướng tiếp cận được đề xuất ở đây là sử dụng chính các Access Point như những wireless sensor có khả năng nhận và giải mã các gói tin được truyền tải giữa các thiết bị nối kết trong cùng một mạng WLAN mà Access Point đó quản lý và gửi chúng về cho IDS server để phân tích phát hiện các cuộc tấn công xảy ra bên trong mạng WLAN. - Đồng thời Access Point cũng được cài đặt để thu thập tất cả các khung dữ liệu bên ngoài nhằm phát hiện cả các cuộc tấn công từ. - Hình 2 cho thấy sơ đồ kiến trúc của hệ thống IDS được đề nghị. - Outside Attack sensor sẽ thu thập các Frame không mã hóa phục vụ cho phát hiện tấn công ngoài và Inside Attack sensor sẽ thu thập các khung dữ liệu trong WLAN, giải mã chúng để truyền về IDS Server, đây là nơi tiến hành phân tích khung nhận được từ 2 loại sensor, nếu phát hiện có hiện tượng tấn công bên trong hay bên ngoài WIDS server sẽ gửi thông tin này đến Alert system. - Hình 2: Kiến trúc mới của hệ thống IDS Với tiêu chí cung cấp một giải pháp WIDS hiệu. - Chi tiết về việc thiết kế và cài đặt hệ thống IDS được đề nghị sẽ được trình bày ở phần kế tiếp.. - 4 TỔNG QUAN VỀ HỆ THỐNG IDS ĐƯỢC ĐỀ NGHỊ. - Nội dung phần này của bài báo sẽ giới thiệu một cách tổng quan về các thành phần của hệ thống IDS mà bài báo này đề xuất cũng như cách thức. - Kismet Drone [12] là gói phần mềm được cài đặt lên OpenWRT để làm nhiệm vụ của một Outside Attack sensor, thu thập các khung hỗ trợ cho việc phát hiện các cuộc tấn công từ bên ngoài.. - Kismet Server [12]: Gói phần mềm cài đặt trên IDS server đón nhận và phân tích các frame gửi về từ Kismet Drone nhằm để phát hiện các tấn công ngoài mạng WLAN.. - Daemonlogger [5] là gói phần mềm được cài đặt lên OpenWRT để làm nhiệm vụ của một Inside Attack sensor, thu thập các khung truyền tải giữa các thiết bị đã nối kết vào mạng WLAN của Access Point và chuyển các khung (đã được giải mã) về IDS Server phục vụ cho việc phát hiện các cuộc tấn công bên trong mạng WLAN.. - server đón nhận và phân tích các frame gửi về từ Daemonlogger nhằm để phát hiện các tấn công bên trong mạng WLAN.. - Hình 3 cho thấy vị trí của các phần mềm này trong hệ thống IDS được đề nghị. - Hình 3: Vị trị các phần mềm trong hệ thống IDS 4.2 OpenWRT trên Access Point. - Hình 4: Kiến trúc TP-Link TL-WR941ND được sử dụng trong hệ thống thực tế. - Hơn nữa, giao diện wlan cũng có khả năng thu thập những khung dữ liệu bên ngoài mạng không dây, nhưng do đang hoạt động ở master mode nên nó không thể làm được điều này, giải pháp là Kismet Drone sẽ tạo một giao diện ảo (virtual interface) hoạt động ở monitor mode từ giao diện wlan nhằm thu thập những khung dữ liệu bên ngoài mạng không dây và chuyển tiếp các khung này đến Kismet Server được cài đặt trên IDS Server phục vụ cho việc phát hiện các cuộc tấn công ngoài vào mạng WLAN.. - Để kiểm tra khả năng hoạt động và đáp ứng của hệ thống IDS đề nghị, tác giả đã triển khai thử nghiệm trên thiết bị thật. - Hình 7: Mô hình kiểm tra tấn công bên ngoài mạng không dây Mô hình thử nghiệm tấn công bên ngoài được. - công bên ngoài mạng không dây thử nghiệm trình bày cụ thể trong Bảng 1, kết hợp với việc so sánh với giải pháp thương mại CUWN của CISCO.. - Bảng 1: Kiểm thử tấn công bên ngoài và so sánh. - STT Tên tấn công IDS của bài báo CUWN. - 1 AIRJACKSSID Phát hiện Phát hiện. - 2 APSPOOF Phát hiện Phát hiện. - 3 BSSTIMESTAMP Phát hiện Phát hiện. - 4 CRYPTODROP Phát hiện Phát hiện. - 5 DEAUTHFLOOD Phát hiện Phát hiện. - 6 BCASTDISCON Phát hiện Phát hiện. - 7 DHCPCLIENTID Phát hiện Phát hiện. - 8 DHCPCONFLICT Phát hiện Phát hiện. - 9 DISASSOCTRAFFIC Phát hiện Phát hiện. - 10 DISCONCODEINVALID Phát hiện Phát hiện. - 11 DEAUTHCODEINVALID Phát hiện Phát hiện. - 12 DHCPNAMECHANGE Phát hiện Phát hiện. - 13 DHCPOSCHANGE Phát hiện Phát hiện. - 14 LONGSSID Phát hiện Phát hiện. - 15 LUCENTTEST Phát hiện Phát hiện. - 16 MSFBCOMSSID Phát hiện Phát hiện. - 17 MSFDLINKRATE Phát hiện Phát hiện. - 18 MSFNETGEARBEACON Phát hiện Phát hiện. - 19 NETSTUMBLER Phát hiện Phát hiện. - 20 NULLPROBERESP Phát hiện Phát hiện. - 21 PROBENOJOIN Phát hiện Phát hiện. - Trong các trường hợp kiểm thử, hệ thống IDS của bài báo này đều phát hiện được và đưa ra cảnh báo ngay lập tức thông qua tin nhắn SMS, lưu thông tin vào cơ sở dữ liệu. - Ngoài ra, hệ thống cũng có khả năng phát hiện các hình thức tấn công bên ngoài khác, cụ thể được liệt kê tại Kismet Documentation [11].. - Theo đó, với giải pháp nguồn mở miễn phí của bài báo đã có thể hỗ trợ phát hiện được tất cả 21 hình thức tấn công khác nhau từ bên ngoài mạng không dây, ngang với giải pháp thương mại CUWN của CISCO.. - Về thực tế, các hình thức tấn công bên trong mạng không dây tương đồng hoặc giống với các hình thức tấn công trong mạng Ethernet thông thường. - Do đó, các hình thức tấn công dạng này vô. - Chúng tôi chỉ đưa ra một kết quả thực nghiệm để chứng minh được rằng: với hệ thống IDS của bài báo, có thể ứng dụng được Snort cũng như rules của nó nhằm kiểm tra các gói tin (bất kể hình thức mã hóa) để phát hiện các cuộc tấn công từ bên trong mạng không dây.. - Mô hình thử nghiệm tấn công bên trong mạng không dây được thể hiện như Hình 8. - Hình 8: Mô hình kiểm tra tấn công bên trong mạng không dây. - Tương tự, trong cả 2 bước quét mạng và exploit, hệ thống IDS của bài báo cũng đều phát hiện được và đưa ra cảnh báo ngay lập tức khi sự kiện thâm nhập vừa xảy ra (tức ngay khi hacker vừa quét mạng và ngay khi hacker vừa exploit) thông qua tin nhắn SMS, lưu thông tin vào cơ sở dữ liệu. - Việc phát hiện dựa trên những rule được. - Bảng 2: Kiểm thử tấn công bên ngoài và so sánh Tên chức năng IDS được đề. - Information Security Jason Murray Phát hiện tấn công từ. - bên ngoài. - Kismet Có, dựa trên Kismet Có, dựa trên Kismet Phát hiện tấn công từ. - Hỗ trợ rules để nhận diện thêm tấn công từ. - Qua Bảng 2 có thể thấy, giải pháp IDS của bài báo mang nhiều ưu điểm vượt trội so với các giải pháp nguồn mở khác, cụ thể là về khả năng phát hiện được các hình thức tấn công từ bên ngoài lẫn bên trong, cảnh báo tức thì bằng SMS cho một hay nhiều nhà quản trị ngay khi phát hiện tấn công. - hỗ trợ quản lý các sự kiện xấu từ tấn công bên ngoài (Kismet) lẫn bên trong (Snort) bằng cơ sở dữ liệu thông qua ứng dụng Web, các giải pháp nguồn mở như Quadrant Information Security chỉ quản lý các sự kiện xấu từ tấn công bên trong bằng cách dùng ứng dụng Web có sẵn của Snort, không hỗ trợ cho Kismet (do Kismet không lưu trữ vào cơ sở dữ liệu cũng như không có ứng dụng Web đi kèm).. - 6 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Qua các phần đã trình bày bên trên, bài báo đã đưa ra được một giải pháp thay thế hiệu quả và tiết kiệm trong việc triển khai hệ thống IDS cho mạng không dây. - Giải pháp này khắc phục được những nhược điểm của hệ thống WIDS truyền thống như đã đề cập ở phần 3, cung cấp những tính năng nổi bật như lưu trữ sự kiện vào cơ sở dữ liệu, khả năng quản lý sự kiện, cảnh báo tức thì bằng SMS… chỉ. - có ở những hệ thống WIDS đắt tiền. - Bên cạnh đó, hệ thống này vẫn còn tồn tại những khuyết điểm nhất định: khả năng phát hiện tấn công bên ngoài hoàn toàn phụ thuộc vào khả năng phát hiện của Kismet Server, không hỗ trợ viết rule để nhận dạng các cuộc tấn công mới. - khả năng phát hiện các cuộc tấn công bên trong đòi hỏi phải định nghĩa trước về các cuộc tấn công này thông qua rule của Snort. - Do đây là giải pháp cho một hệ thống phát hiện xâm nhập nên chỉ dừng lại ở việc đưa ra cảnh báo cũng như cung cấp các thông tin liên quan về cuộc xâm nhập, hoàn toàn không có khả năng ngăn chặn cuộc xâm nhập xảy ra hay hạn chế những hậu quả xấu mà nó gây ra. - Access Point vận hành trên nền tảng Linux nhờ vào OpenWRT, nên việc ứng dụng iptables để Access Point tiến hành chặn (drop or reject) các gói tin xấu hay chặn địa chỉ gửi gói tin xấu một cách tự động bằng chính iptables hoặc MAC Filter, từ đó chặn được các cuộc tấn công từ bên trong cũng là hướng nghiên cứu tiềm năng.