GIẢI PHÁP PHÁT HIỆN THÂM NHẬP
MẠNG KHÔNG DÂY
Trình bày

TS. Ngô Bá Hùng

nbhung@cit.ctu.edu.vn

KS. Ngô Trung Hiếu
ngotrun...
Đơn vị tổ chức:

Đơn vị tài trợ:
Các hình thức tấn công mạng
không dây
Một số giải pháp hiện tại và
hạn chế
Giải pháp DIDS cho mạng
không dây
Kết quả đạt đ...
Wireless network
Tấn công từ chối chứng thực
(Deauthentification Attack)
Tạo Access Point giả mạo
Tấn công bên trong mạng wireless
Deauthentication là một kiểu khung con thuộc kiểu
Management.
Khi nhận được khung này, máy thiết bị đang nối kết
không dây...
Nếu gởi Khung Deauthentication liên tục sẽ làm tê liệt
Access Point
Hoặc lừa máy Client kết nối vào Access Point giả mạo

...
Với một USB Wireless Card và một laptop, Hacker sẽ
dựng một Access Point mới ví dụ UBND-VLn+1 để lừa
người dùng nối kết và...
NHAHOCC1AP1

NHAHOCC1AP2

SV

SV

Access Point giả mạo tạo các trang chứng thực giả
và chuyển về cho khách hàng để lấy mật...
INSIDE ATTACK

Attacker

Target
Quét mạng

samba
# root

Victim

Xác định được mục tiêu

Quét dịch vụ

192.168.1.69/24

Xác định được dịch vụ
Tiến hành tấ...
Một số giải pháp hiện tại
và hạn chế
IDS
Khu vực kiểm
soát bởi IDS

Hệ thống
phát hiện
thâm nhập
-IDS

Kiểm soát lưu thông
trên nhiều AP
Kiểm soát toàn bộ lưu
...
IDS
Khu vực kiểm
soát bởi IDS

INSIDE
ATTACK

Attacker

Target

Hệ thống
phát hiện
thâm nhập
-IDS

Không thể
kiểm soát lưu...
NHAHOCC1AP1

Deauthentication

Hacker

NHAHOCC1AP2

SV

SV
WIDS

Phát hiện được các hình thức tấn công ngoài
10/27/13

15
Không phát hiện
được các cuộc tấn
công bên trong mạng
không dây

Đắc tiền
Không tùy biến
được
 Xây dựng giải pháp phát hiện thâm nhập mạng

cục bộ không dây với các mục tiêu

Có thể phát hiện được các hình thức tấn ...
10/27/13

18
OpenWRT là một bản phân phối
GNU/Linux dành cho các thiết bị nhúng
Android Phone

OpenWRT

Cung cấp kết nối
Thu thập dữ liệu bên
ngoài mạng WLAN và
chuyển về IDS Server

IDS Server

Web Ser...
Android Phone

Ubuntu

Là thành phần xử lý
chính
Nếu phát hiện sự kiện
xấu

IDS Server

Web Server

Access Point
Switch

Y...
Android Phone

Admin

Nhận yêu cầu từ IDS
Server

IDS Server

Gửi tin nhắn cảnh báo
đến nhà quản trị

Web Server

Access P...
Android Phone

Admin

Lưu trữ thông tin về
các sự kiện xấu

IDS Server

Web Server

Access Point
Switch

Access Point

Dat...
Android Phone

Admin

IDS Server

Web Server

Access Point
Switch

Access Point

Database Server

Admin

Cung cấp ứng dụng...
Khắc phục hạn
chế của giải
pháp IDS/WIDS
truyền thống

Có thể triển
khai trên các
thiết bị mạng
thông thường

Dựa trên các...
Tên tấn công

Dựa trên Kismet,
hỗ trợ phát hiện
21 kiểu tấn công
bên ngoài khác
nhau

AIRJACKSSID
APSPOOF
BSSTIMESTAMP
CRY...
Tên chức năng

DIDS

CUWN

Quadrant
Information
Security

Jason
Murray

Phát hiện tấn công từ bên
ngoài

Có, dựa trên
Kism...
Giám sát và phát hiện những rủi ro
từ bên trong lẫn bên ngoài
Có khả năng phản ứng chủ động
với sự kiện xấu
Tự động cảnh b...
Security Bootcamp 2013 - Giải pháp phát hiện xâm nhập mạng không dây - WIDS - Ngô Bá Hùng
Security Bootcamp 2013 - Giải pháp phát hiện xâm nhập mạng không dây - WIDS - Ngô Bá Hùng
Security Bootcamp 2013 - Giải pháp phát hiện xâm nhập mạng không dây - WIDS - Ngô Bá Hùng
Upcoming SlideShare
Loading in …5
×

Security Bootcamp 2013 - Giải pháp phát hiện xâm nhập mạng không dây - WIDS - Ngô Bá Hùng

2,688 views

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,688
On SlideShare
0
From Embeds
0
Number of Embeds
506
Actions
Shares
0
Downloads
195
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Security Bootcamp 2013 - Giải pháp phát hiện xâm nhập mạng không dây - WIDS - Ngô Bá Hùng

  1. 1. GIẢI PHÁP PHÁT HIỆN THÂM NHẬP MẠNG KHÔNG DÂY Trình bày TS. Ngô Bá Hùng nbhung@cit.ctu.edu.vn KS. Ngô Trung Hiếu ngotrunghieu@live.com Khoa CNTT&TT-ĐH Cần Thơ
  2. 2. Đơn vị tổ chức: Đơn vị tài trợ:
  3. 3. Các hình thức tấn công mạng không dây Một số giải pháp hiện tại và hạn chế Giải pháp DIDS cho mạng không dây Kết quả đạt được
  4. 4. Wireless network
  5. 5. Tấn công từ chối chứng thực (Deauthentification Attack) Tạo Access Point giả mạo Tấn công bên trong mạng wireless
  6. 6. Deauthentication là một kiểu khung con thuộc kiểu Management. Khi nhận được khung này, máy thiết bị đang nối kết không dây sẽ ngắt kết nối để sau đó kết nối và chứng thực lại Khung Deauthentication hoàn toàn không được bảo vệ bởi chứng thực và mã hóa Hacker gởi Khung Deauthentication giả mạo đến máy Client và Access Point
  7. 7. Nếu gởi Khung Deauthentication liên tục sẽ làm tê liệt Access Point Hoặc lừa máy Client kết nối vào Access Point giả mạo Hacker :D AP the eau ion cat n ti Clie nt A : De aut hen tica t ion Ngăt nối kết Đang nối kết Client A Access Point
  8. 8. Với một USB Wireless Card và một laptop, Hacker sẽ dựng một Access Point mới ví dụ UBND-VLn+1 để lừa người dùng nối kết vào Từ đó triển khai các hình thức tấn công khác trên máy đã nối kết Lừa đảo chiếm tài khoản, khóa WPA… Dò khóa WEP từ client Bắt các thông số của 4ways handshake WPA  APless WPA Cracking Attack Man-In-The-Middle: đánh cấp, thêm, sửa thông tin nhạy cảm đã mã hóa bằng SSL
  9. 9. NHAHOCC1AP1 NHAHOCC1AP2 SV SV Access Point giả mạo tạo các trang chứng thực giả và chuyển về cho khách hàng để lấy mật khẩu người dùng
  10. 10. INSIDE ATTACK Attacker Target
  11. 11. Quét mạng samba # root Victim Xác định được mục tiêu Quét dịch vụ 192.168.1.69/24 Xác định được dịch vụ Tiến hành tấn công Exploit Hacker Vô hiệu hóa tường lửa, trình diệt virus… -> Làm mất đi lớp bảo vệ máy tính victim Cài đặt virus, backdoor… Lợi dụng máy tính victim tấn công mục tiêu khác Kích hoạt webcam, microphone tiến hành ghi hình, thu âm victim nhằm “theo dõi”
  12. 12. Một số giải pháp hiện tại và hạn chế
  13. 13. IDS Khu vực kiểm soát bởi IDS Hệ thống phát hiện thâm nhập -IDS Kiểm soát lưu thông trên nhiều AP Kiểm soát toàn bộ lưu thông vào và ra của mạng không dây
  14. 14. IDS Khu vực kiểm soát bởi IDS INSIDE ATTACK Attacker Target Hệ thống phát hiện thâm nhập -IDS Không thể kiểm soát lưu thông nội bộ trong mạng WLAN
  15. 15. NHAHOCC1AP1 Deauthentication Hacker NHAHOCC1AP2 SV SV WIDS Phát hiện được các hình thức tấn công ngoài 10/27/13 15
  16. 16. Không phát hiện được các cuộc tấn công bên trong mạng không dây Đắc tiền Không tùy biến được
  17. 17.  Xây dựng giải pháp phát hiện thâm nhập mạng cục bộ không dây với các mục tiêu Có thể phát hiện được các hình thức tấn công từ bên ngoài và từ bên trong mạng không dây Chi phí thấp Dựa trên phần mềm nguồn mở để dễ dàng tùy biến, phát triển Cảnh báo tức thì khi phát hiện xâm nhập
  18. 18. 10/27/13 18
  19. 19. OpenWRT là một bản phân phối GNU/Linux dành cho các thiết bị nhúng
  20. 20. Android Phone OpenWRT Cung cấp kết nối Thu thập dữ liệu bên ngoài mạng WLAN và chuyển về IDS Server IDS Server Web Server Access Point Switch Access Point Database Server Admin Gửi bản sao của các gói tin bên trong mạng WLAN về IDS Server
  21. 21. Android Phone Ubuntu Là thành phần xử lý chính Nếu phát hiện sự kiện xấu IDS Server Web Server Access Point Switch Yêu cầu Android Phone gửi tin nhắn cảnh báo Lưu thông tin vào Database Server Access Point Database Server Admin
  22. 22. Android Phone Admin Nhận yêu cầu từ IDS Server IDS Server Gửi tin nhắn cảnh báo đến nhà quản trị Web Server Access Point Switch Access Point Database Server Admin
  23. 23. Android Phone Admin Lưu trữ thông tin về các sự kiện xấu IDS Server Web Server Access Point Switch Access Point Database Server Admin Phục vụ cho Web Server và IDS Server
  24. 24. Android Phone Admin IDS Server Web Server Access Point Switch Access Point Database Server Admin Cung cấp ứng dụng Web phục vụ nhà quản trị
  25. 25. Khắc phục hạn chế của giải pháp IDS/WIDS truyền thống Có thể triển khai trên các thiết bị mạng thông thường Dựa trên các sản phẩm phần mềm mở nguồn mở Chi phí triển khai thấp nhất có thể Xây dựng hệ thống
  26. 26. Tên tấn công Dựa trên Kismet, hỗ trợ phát hiện 21 kiểu tấn công bên ngoài khác nhau AIRJACKSSID APSPOOF BSSTIMESTAMP CRYPTODROP DEAUTHFLOOD BCASTDISCON DHCPCLIENTID DHCPCONFLICT DISASSOCTRAFFIC DISCONCODEINVALID DEAUTHCODEINVALID DHCPNAMECHANGE DHCPOSCHANGE LONGSSID LUCENTTEST MSFBCOMSSID MSFDLINKRATE MSFNETGEARBEACON NETSTUMBLER NULLPROBERESP PROBENOJOIN DIDS CUWN ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ CUWN-Cisco Unified Wireless Network
  27. 27. Tên chức năng DIDS CUWN Quadrant Information Security Jason Murray Phát hiện tấn công từ bên ngoài Có, dựa trên Kismet Có, tương tự Kismet Có, dựa trên Kismet Có, dựa trên Kismet Phát hiện tấn công từ bên trong Có, dựa trên Snort Có Có, dựa trên Snort Không Hỗ trợ rules để nhận diện thêm tấn công từ bên trong Có, Snort rules Có Có, Snort rules Không Hỗ trợ cảnh báo tức thì bằng tin nhắn SMS Có Không Không Không Hỗ trợ quản lý sự kiện với cơ sở dữ liệu Có Có Có Không Chặn đứng gói tin xấu (IPS) Không Có Không Không Khả năng mở rộng Có, không ràng bởi buộc phần cứng Không, ràng buộc phần cứng CISCO Có, không ràng bởi buộc phần cứng Có, không ràng bởi buộc phần cứng Giá thành triển khai Rất thấp Rất cao Rất thấp Rất thấp
  28. 28. Giám sát và phát hiện những rủi ro từ bên trong lẫn bên ngoài Có khả năng phản ứng chủ động với sự kiện xấu Tự động cảnh báo cho một hoặc nhiều nhà quản trị thông qua SMS Tích hợp sẵn ứng dụng Web giúp thực hiện các tác vụ cơ bản, hỗ trợ đa nền tảng hệ thống và trình duyệt.

×