PHÁP CHỨNG KỸ THUẬT SỐ

Bài 9: Điều tra tội phạm trên Mạng không dây

Giảng viên: TS. Đàm Quang Hồng Hải

Nhu cầu điều tra số với mạng không dây
 Ngày nay, các thiết bị mạng và sử dụng mạng không dây
có sự bùng nổ trong các thập niên vừa qua. Điển hình là
các thiết bị di động, iPad, Laptop, các thiết bị GPS…
 Điều tra việc sử dụng các thiết bị không dây đang được
chú trọng do việc dễ dàng sử dụng chúng của các nghi
phạm
 Các thiết bị mạng không dây phổ biến bao gồm:
• Thiết bị WiFi, Wi-Max
• Điện thoại không dây, di động
• Tai nghe Bluetooh
• Các thiết bị hồng ngoại (TV remotes …)
Lý do điều tra mạng không dây
 Tìm kiếm một máy tính xách tay bị đánh cắp bằng
cách theo dõi nó trên mạng không dây.
 Xác định các điểm truy cập giả mạo
 Điều tra các hoạt động nguy hiểm hoặc trái phép xảy
ra khi nghi pham sử dụng mạng không dây.
 Điều tra các cuộc tấn công trên mạng không dây, bao
gồm tấn công từ chối dịch vụ (DoS), tấn công mã hóa,
chứng thực...
Các thiết bị không dây thông dụng
 Wireless Access Point
 Wireless Access Point là thiết bị layer 2 quản lý, kết nối
các máy tính đầu cuối trong mạng LAN.
 WAP có một loạt các tùy chọn cấu hình và khả năng ghi
log.
 WAP thực hiện các chức năng tương tự như Hub, nhưng là
các thiết bị thông minh hơn.
 Khả năng cấu hình và ghi log thường có sẵn trong giao
diện quản lý web của WAPs cấp thấp. Các WAPs cao hơn
ngoài khả năng logging cơ bản, lọc địa chỉ MAC còn có
dịch vụ DHCP, chức năng như bộ định tuyến và hỗ trợ
syslog và SNMP.
Mạng không dây với WAP
Lý do cần điều tra các WAP
 WAPs có thể chứa các bản ghi lưu trữ cục bộ của các lần
kết nối, chứng thực thành công và thất bại, và hoạt động
của các WAP khác.
 WAPs log giúp các nhà điều tra theo dõi các hoạt động
của wireless-client.
 Các cấu hình WAP có thể biết cách thức kẻ tấn công có
thể truy cập vào mạng và đã lấy được thông tin gì.
 Cấu hình WAP có thể bị sửa đổi trái phép như một phần
của một cuộc tấn công.
 WAP chính nó có thể bị tổn hại
Các giao thức mã hóa Mạng không dây
• Để bảo mật cho mạng không dây, người ta sử dụng
các giao thức mã hóa mạng không dây để bảo vệ
thông tin từ hệ thống Wifi Router và Access Point.
• Pháp chứng viên cần phải hiểu rõ các giao thức mã
hóa mạng nào mà mạng không dây mình đang điều
tra sử dụng.
• Hiện nay có các giao thức mã hóa mạng không dây
sau:
• WEP (Wired Equivalent Privacy)
• WPA (Wi-Fi protected Access)
• WPA2
Giao thức WEP (Wired Equivalent Privacy)
• Đây là giao thức mã hóa đầu tiên phát triển cho
mạng không dây.
• Giao thức WEP phương thức mã hóa sử dụng thuật
toán đối xứng RC4, đa số các thiết bị không dây hỗ
trợ WEP với ba chiều dài khóa: 40 bit, 64 bit và 128
bit
• Ngày nay WEP đã dần không còn dùng nhiều vì đã
bộc lộ nhiều điểm yếu về an ninh, nhưng vẫn có
trong các thiết bị không dây và một số tổ chức vẫn
còn sử dụng.
Giao thức WPA (Wi-Fi protected Access)
• Đó là thế hệ giao thức mã hóa tiếp theo của WEP,
• WPA sử dụng TKIP (Temporal Key Integrity
Protocol) để thay đổi keys với mỗi gói dữ liệu và
thông điệp kiểm tra toàn vẹn bảo vệ một lần nữa,
chỉnh sửa và gửi lại các gói dữ liệu để xác định xem
các gói tin được sửa đổi hay không.
• Đối với người dùng chứng thực WPA sử dụng EAP
(Extensible Authentication Protocol) và trong 4
bước bắt tay với người dùng thì keys đã được băm.
Giao thức WPA2
• Giao thức mã hóa được phát triển từ WPA và hiện
WPA2 đang là một trong những giao thức bảo mật
được sử dụng rộng rãi nhất.
• WPA2 sử dụng AES (Advanced Encryption
Standard) để mã hóa và chúng an toàn hơn TKIP.
• WPA2 hỗ trợ ad-hoc network trong khi WPA được
giới hạn chỉ trong mạng không dây thông thường.
• Đặc biệt, AES không dễ bị phá vỡ và đó là điều kiện
cần và đủ để làm phức tạp mật khẩu của người dùng.
Một số yêu cầu bảo mật mạng WiFi
• Thay đổi tài khoản (username, password ) mặc định truy cập
thiết bị Wi-Fi.
• Đặt mật khẩu phức tạp, kết hợp chữ hoa, chữ thường, số, ký
tự đặc biệt và nên dài tối thiểu 8 ký tự.
• Thiết lập mã hóa mạng không dây WPA2 (AES).
• Ẩn tên mạng SSID.
• Sử dụng bộ lọc truy cập mạng Wi-Fi theo địa chỉ MAC.
• Thiết lập thời gian tự động thay đổi khóa mã hóa thành
1800 giây (30 phút).
• Bật chức năng tường lửa trên thiết bị Wi-Fi.
Giao thức DHCP
• DHCP (Dynamic Host Configuration Protocol) là giao
thức cấu hình cho mạng TCP/IP bằng cách tự động gán
các địa chỉ IP cho khách hàng khi họ vào mạng.
• Phần lớn các hệ thống truy cập mạng không dây sử
dụng DHCP để gán địa chỉ IP cho các máy tính người
dùng. Đặc biệt là các hệ thống gia đình.
DHCP Server
Bản ghi DHCP
• Nếu mạng mà Pháp chứng viên đang thực hiện điều tra sử
dụng Dynamic Host Configuration Protocol (DHCP), thông
tin vô cùng quan trọng là các hồ sơ tổ chức và các bản ghi
DHCP cho khoảng thời gian được xem xét.
• Nếu không có các bản ghi DHCP, luật sư hiểu biết về
CNTT có thể nghi ngờ liên kết giữa giao thức Internet (IP)
và máy tính, và cuối cùng, ai là người sử dụng máy tính
này.
• Nếu máy tính của nghi phạm vẫn là một phần của mạng,
Pháp chứng viên có thể chạy ipconfig /all trên máy tính của
nghi phạm.
Bản ghi DHCP trên LINKSYS Access
Point
Điều tra quá trình truy cập DHCP
• Nếu Pháp chứng viên có quyền truy cập vào máy tính của
người bị tình nghi hoặc máy tính quan tâm, Pháp chứng
viên có thể tìm thấy các tập tin ghi nhận của địa chỉ IP trong
bản ghi sự kiện đăng nhập bảo mật và tường lửa.
• Trên máy tính cài Windows, Pháp chứng viên có thể chạy
công cụ Event Viewer xem quá trình truy cập của DHCP
client.
Công cụ Event Viewer
• Event viewer là một công cụ tích hợp trong Windows cho
phép xem lại các sự kiện đã xảy ra trong hệ thống một cách
chi tiết với nhiều tham số cụ thể như: user, time, computer,
services… Mỗi khi Windows khởi chạy, hệ điều hành sẽ bắt
đầu ghi lại các hoạt động (event) diễn ra bên trong hệ thống.
• Các sự kiện rời rạc được lọc lại thành những sự kiện giống
nhau giúp chúng ta lấy được những thông tin cần thiết một
cách nhanh nhất. Công cụ này là một phương tiện hiệu quả
giúp Pháp chứng viên khám phá những gì đang xảy ra ở
"hậu trường" của hệ điều hành.
Chọn xem Event theo DHCP Client
Xem các Event DHCP Client
Tấn công mạng không dây
• Wireless sniffing: đây là một trong những cuộc tấn công
nguy hiểm nhất trên mạng không dây như là kẻ tấn công có
thể bắt được các gói tin trong quá trình truyền và nhìn thấy
chi tiết các hoạt động của mạng không dây. Nếu gói tin
không mã hóa trong khi truyền, kẻ tấn công có thể có được
đầy đủ thông tin chi tiết của gói tin.
• Mirror image access point: đây là một điểm truy cập giả
mạo được tạo ra sau khi nhận được thông tin của một điểm
truy cập công cộng. khi một kẻ tấn công tạo ra một điểm
truy cập với một tín hiệu mạnh hơn so với điểm truy cập
thực tế và phát sóng. người dùng sẽ kết nối tín hiệu mạnh
nhất và do đó trở thành nạn nhân.
Tấn công mạng không dây
• Ad-hoc network: đây là cuộc tấn công mạng không
dây đơn giản nhất để thực hiện. một kẻ tấn công có
thể kết nối với mạng ad-hoc của tổ chức và có thể
truy cập vào các file nhạy cảm.
• Buffer overflow: đây là cuộc tấn công mạng không
dây cho phép một kẻ tấn công sử dụng mã độc để
khai thác lỗ hổng trong mã phần mềm của nhiều hệ
điều hành và ứng dụng.
• Remote control software: đây là cuộc tấn công mạng
không dây cho phép một kẻ tấn công cài đặt phần
mềm điều khiển từ xa các máy tính.
Tấn công mạng không dây
• Virus/worm/spyware: đây là cuộc tấn công mạng không dây
cho phép một kẻ tấn công cài đặt mã độc khai thác lỗ hổng
hệ thống để đạt được đặc quyền truy hoặc để thao tác dữ
liệu.
• Arp redirection/spoofing: đây là cuộc tấn công mạng không
dây sử dụng là địa chỉ MAC giả mạo mà cho phép một kẻ
tấn công chuyển hướng lưu lượng mạng đến máy tính của
mình.
• Denial of service attack: đây là cuộc tấn công mạng không
dây phá bỏ chứng thực vì nó sẽ ngắt kết nối một người
dùng từ các điểm truy cập không dây đến hết thời hạn gói
tin gửi. cuộc tấn công này sẽ ngắt kết nối các dịch vụ không
dây.
Ăn cắp thông tin trên mạng không dây
 Sniffing là loại tấn công nghe trộm thông tin trên
mạng không dây phổ biến nhất bới vì nó dễ dàng
thực hiện, khó phát hiện nhưng thông tin thu được lại
có giá trị.
 Kẻ tấn công có thể truy cập vào mạng, giám sát các
lưu lượng mạng từ khoảng cách lớn hơn nhiều so với
khoảng cách được quy định trong chuẩn 802.11 là
61m.
Điều tra tấn công mạng không dây
• Pháp chứng viên cần kiểm tra xem các điểm truy cập không
dây sử dụng giao thức bảo mật mạng không dây nào để qua
đó xác định khả năng có các lỗ hổng.
• Thiết lập các thử nghiệm để kiểm tra quá trình xâm nhập:
Pháp chứng viên có thể sử dụng các công cụ Backtrack để
kiểm tra với các mật khẩu được cung cấp để kiểm tra việc
mã hóa bảo mật cho mạng không dây.
• Dùng công cụ để kiểm tra pháp chứng: Pháp chứng viên có
thể sử dụng các công cụ tìm kiếm phát hiện mạng không
dây: daerosol, airfart, aphopper, apradar, karma, kismet,
ministumbler, netstumbler, wellenreiter, wifi hopper,
wirelessmon.
Điều tra mạng không dây của doanh nghiệp
• Một số điểm truy cập mạng không dây của tổ chức, doanh
nghiệp chọn giao thức mã hóa không được an toàn dành cho
mạng không dây, rất đơn giản để có thể cài đặt cho hầu hết
những thiết bị nhỏ, giúp cho mạng không dây liên kết nhanh
hơn và giảm chi phí của người dùng.
• Trước khi kiễm tra giao tiếp mạng không dây của doanh
nghiệp, Pháp chứng viên phải biết được làm thế nào điểm
truy cập và máy tính tương tác với nhau.
• Pháp chứng viên cần kiểm tra xem có điểm truy cập không
dây nào cung cấp cho kẻ tấn công truy cập vào một cách
đơn giản, Pháp chứng viên có thể sử dụng các công cụ
Fern-Wifi-cracker – GUI để kiểm tra mã hóa.
Chuẩn IEEE 802.11
• Chuẩn IEEE 802.11 là đặc tả kỹ thuật liên quan đến hệ
thống mạng không dây.
• Các chuẩn 802 đều có 2 thành phần chính là MAC (Media
Access Control) và PHY (Physical). Trong đó MAC là một
tập hợp các luật định nghĩa việc truy xuất và gửi dữ liệu,
còn chi tiết của việc truyền dẫn và thu nhận dữ liệu là nhiệm
vụ của PHY.
• Đối với mạng Wi-Fi , IEEE chia ra ba dải tần số: 2.4 GHz
(802.11b/g/n), 3.6 GHz (802.11y),5 GHz (802.11a/h/j/n)
Phân tích sóng không dây
 Mỗi dải tần số được chia thành các kênh riêng biệt. Hoa Kỳ chỉ cho
phép các thiết bị WiFi để giao tiếp trên các kênh 1-11 trong phạm vi
2,4 GHz trong khi Nhật Bản cho phép truyền tải trên tất cả 14 kênh.
 Thiết bị WiFi sản xuất để sử dụng ở Hoa Kỳ sẽ không có khả năng
truyền và nhận trên tất cả các kênh được sử dụng tại Nhật Bản.
Ngược lại, kẻ tấn công mua thiết bị của Nhật Bản hỗ trợ 14 kênh sử
dụng trong hệ thống tại Hoa Kỳ có thể sẽ không bị phát hiện.
Bắt và phân tích thông lượng mạng không dây

• Dòng sản phẩm MetaGeek của Wi-Spy giúp phân tích các sóng
vô tuyến phổ biến từ đó xác định loại, tên các thiết bị Bluetooth,
điện thoại không dây 2.4G, lò vi sóng, analog video.....
Sản phẩm MetaGeek của Wi-Spy
Bắt và phân tích lưu lượng mạng không dây
• USB AirPcap là card mạng không dây 802.11 có khả năng chạy ở
chế đô monitor của hãng Riverbed Technology giúp bắt các lưu
lượng mạng không dây.
• Phần mềm AirPcap chạy trên Windows và Linux tích hợp với
Wireshark có khả năng năng giám sát lưu lượng truy cập lớp 2
802.11, từ đó có thể sử dụng các công cụ như tcpdump,
Wireshark, và tshark để bắt và phân tích nó
Tìm vị trí thiết bị truy cập mạng không dây

• Đây là một vấn đề phức tạp đối với các Pháp chứng
viên, có thể dùng các phần mềm tính toán cường độ tín
hiệu không dây.
• Pháp chứng viên có thể đo cường độ tín hiệu từ máy
nghi ngờ tới các điểm WAP
• Dùng các công cụ đo cường độ tín hiệu tìm đường đến
điểm nghi ngờ
Phần mềm inSSIDer
• inSSIDer một công cụ với các nền tảng Windows, Mac
và Android, được thiết kế để phát hiện ra các mạng
802.11.
• inSSIDer sẽ quét và hiển thị tất cả các thiết bị phát Wi-
Fi được tìm thấy.
• Tại danh sách thiết bị phát Wi-Fi tìm thấy, có thể vào
từng cột để sắp xếp theo các thông tin tương ứng hoặc
sử dụng các bộ lọc tại thanh công cụ Filters phía trên
như SSID or Vendor (tên mạng), Channel (kênh
phát), Signal (cường độ tín hiệu),Security (phương thức
bảo mật).
Phần mềm inSSIDer
Định vị thiết bị truy cập mạng không dây
• Một máy tính xách tay có thể di chuyển trên toàn mạng
của doanh nghiệp; một điểm truy cập giả mạo có thể ẩn
giấu trong doanh nghiệp việc xác định vị trí của thiết bị
này là một thách thức cho các Pháp chứng viên.
• Pháp chứng viên lắng nghe các kết nối mạng, thu thập
và phân tích các gói tin sẽ cho địa chỉ nguồn và địa chỉ
đích của các gói tin.
Các hệ thống định vị phát hiện tấn công không dây
 WIDS: Wireless intrusion detection system
 WIPS: Wireless Intrusion Prevention System
 Nhà cung cấp như Aruba và Cisco cung cấp hệ thống
WIDS/ wIPS chuyên theo dõi mạng không dây.
 Các phần mềm có thể hiển thị vị trí của thiết bị không dây
trên bản đồ.
 Cung cấp cho người quản trị mạng một giao diện điều
khiển trung tâm để theo dõi các thiết bị không dây trong
toàn doanh nghiệp .
Hết bài 9