PHÁP CHỨNG KỸ THUẬT SỐ

Bài 9: Điều tra tội phạm trên Mạng không dây

Giảng viên: TS. Đàm Quang Hồng Hải


Nhu cầu điều tra số với mạng không dây
 Ngày nay, các thiết bị mạng và sử dụng mạng không dây
có sự bùng nổ trong các thập niên vừa qua. Điển hình là
các thiết bị di động, iPad, Laptop, các thiết bị GPS…
 Điều tra việc sử dụng các thiết bị không dây đang được
chú trọng do việc dễ dàng sử dụng chúng của các nghi
phạm
 Các thiết bị mạng khơng dây phổ biến bao gồm:
• Thiết bị WiFi, Wi-Max
• Điện thoại khơng dây, di động
• Tai nghe Bluetooh
• Các thiết bị hồng ngoại (TV remotes …)


Lý do điều tra mạng khơng dây
 Tìm kiếm một máy tính xách tay bị đánh cắp bằng
cách theo dõi nó trên mạng khơng dây.
 Xác định các điểm truy cập giả mạo
 Điều tra các hoạt động nguy hiểm hoặc trái phép xảy
ra khi nghi pham sử dụng mạng không dây.
 Điều tra các cuộc tấn công trên mạng không dây, bao
gồm tấn công từ chối dịch vụ (DoS), tấn cơng mã hóa,
chứng thực...

Các thiết bị không dây thông dụng


Wireless Access Point
 Wireless Access Point là thiết bị layer 2 quản lý, kết nối
các máy tính đầu cuối trong mạng LAN.
 WAP có một loạt các tùy chọn cấu hình và khả năng ghi
log.
 WAP thực hiện các chức năng tương tự như Hub, nhưng là
các thiết bị thông minh hơn.
 Khả năng cấu hình và ghi log thường có sẵn trong giao
diện quản lý web của WAPs cấp thấp. Các WAPs cao hơn
ngoài khả năng logging cơ bản, lọc địa chỉ MAC cịn có
dịch vụ DHCP, chức năng như bộ định tuyến và hỗ trợ
syslog và SNMP.


Mạng không dây với WAP


Lý do cần điều tra các WAP
 WAPs có thể chứa các bản ghi lưu trữ cục bộ của các lần
kết nối, chứng thực thành công và thất bại, và hoạt động
của các WAP khác.
 WAPs log giúp các nhà điều tra theo dõi các hoạt động của
wireless-client.
 Các cấu hình WAP có thể biết cách thức kẻ tấn cơng có thể
truy cập vào mạng và đã lấy được thơng tin gì.
 Cấu hình WAP có thể bị sửa đổi trái phép như một phần

của một cuộc tấn công.
 WAP chính nó có thể bị tổn hại


Các giao thức mã hóa Mạng khơng dây
• Để bảo mật cho mạng không dây, người ta sử dụng
các giao thức mã hóa mạng khơng dây để bảo vệ
thơng tin từ hệ thống Wifi Router và Access Point.
• Pháp chứng viên cần phải hiểu rõ các giao thức mã
hóa mạng nào mà mạng khơng dây mình đang điều
tra sử dụng.
• Hiện nay có các giao thức mã hóa mạng khơng dây
sau:
• WEP (Wired Equivalent Privacy)
• WPA (Wi-Fi protected Access)
• WPA2


Giao thức WEP (Wired Equivalent Privacy)
• Đây là giao thức mã hóa đầu tiên phát triển cho
mạng khơng dây.
• Giao thức WEP phương thức mã hóa sử dụng thuật
tốn đối xứng RC4, đa số các thiết bị không dây hỗ
trợ WEP với ba chiều dài khóa: 40 bit, 64 bit và 128
bit
• Ngày nay WEP đã dần khơng cịn dùng nhiều vì đã
bộc lộ nhiều điểm yếu về an ninh, nhưng vẫn có
trong các thiết bị khơng dây và một số tổ chức vẫn
còn sử dụng.



Giao thức WPA (Wi-Fi protected Access)
• Đó là thế hệ giao thức mã hóa tiếp theo của WEP,
• WPA sử dụng TKIP (Temporal Key Integrity
Protocol) để thay đổi keys với mỗi gói dữ liệu và
thơng điệp kiểm tra tồn vẹn bảo vệ một lần nữa,
chỉnh sửa và gửi lại các gói dữ liệu để xác định xem
các gói tin được sửa đổi hay khơng.
• Đối với người dùng chứng thực WPA sử dụng EAP
(Extensible Authentication Protocol) và trong 4
bước bắt tay với người dùng thì keys đã được băm.


Giao thức WPA2
• Giao thức mã hóa được phát triển từ WPA và hiện
WPA2 đang là một trong những giao thức bảo mật
được sử dụng rộng rãi nhất.
• WPA2 sử dụng AES (Advanced Encryption
Standard) để mã hóa và chúng an tồn hơn TKIP.
• WPA2 hỗ trợ ad-hoc network trong khi WPA được
giới hạn chỉ trong mạng khơng dây thơng thường.
• Đặc biệt, AES khơng dễ bị phá vỡ và đó là điều kiện
cần và đủ để làm phức tạp mật khẩu của người dùng.


Một số yêu cầu bảo mật mạng WiFi
• Thay đổi tài khoản (username, password ) mặc định truy cập
thiết bị Wi-Fi. 
• Đặt mật khẩu phức tạp, kết hợp chữ hoa, chữ thường, số, ký
tự đặc biệt và nên dài tối thiểu 8 ký tự.

• Thiết lập mã hóa mạng khơng dây WPA2 (AES).
• Ẩn tên mạng SSID.
• Sử dụng bộ lọc truy cập mạng Wi-Fi theo địa chỉ MAC.
• Thiết lập thời gian tự động thay đổi khóa mã hóa thành
1800 giây (30 phút).
• Bật chức năng tường lửa trên thiết bị Wi-Fi.


Giao thức DHCP
• DHCP (Dynamic Host Configuration Protocol) là giao
thức cấu hình cho mạng TCP/IP bằng cách tự động gán
các địa chỉ IP cho khách hàng khi họ vào mạng.
• Phần lớn các hệ thống truy cập mạng không dây sử
dụng DHCP để gán địa chỉ IP cho các máy tính người
dùng. Đặc biệt là các hệ thống gia đình.


DHCP Server


Bản ghi DHCP
• Nếu mạng mà Pháp chứng viên đang thực hiện điều tra sử
dụng Dynamic Host Configuration Protocol (DHCP), thông
tin vô cùng quan trọng là các hồ sơ tổ chức và các bản ghi
DHCP cho khoảng thời gian được xem xét.
• Nếu khơng có các bản ghi DHCP, luật sư hiểu biết về CNTT
có thể nghi ngờ liên kết giữa giao thức Internet (IP) và máy
tính, và cuối cùng, ai là người sử dụng máy tính này.
• Nếu máy tính của nghi phạm vẫn là một phần của mạng,
Pháp chứng viên có thể chạy ipconfig /all trên máy tính của

nghi phạm.


Bản ghi DHCP trên LINKSYS Access
Point


Điều tra q trình truy cập DHCP
• Nếu Pháp chứng viên có quyền truy cập vào máy tính của
người bị tình nghi hoặc máy tính quan tâm, Pháp chứng
viên có thể tìm thấy các tập tin ghi nhận của địa chỉ IP trong
bản ghi sự kiện đăng nhập bảo mật và tường lửa.
• Trên máy tính cài Windows, Pháp chứng viên có thể chạy
cơng cụ Event Viewer xem q trình truy cập của DHCP
client.


Cơng cụ Event Viewer
• Event viewer là một cơng cụ tích hợp trong Windows cho
phép xem lại các sự kiện đã xảy ra trong hệ thống một cách
chi tiết với nhiều tham số cụ thể như: user, time, computer,
services… Mỗi khi Windows khởi chạy, hệ điều hành sẽ bắt
đầu ghi lại các hoạt động (event) diễn ra bên trong hệ thống.
• Các sự kiện rời rạc được lọc lại thành những sự kiện giống
nhau giúp chúng ta lấy được những thông tin cần thiết một
cách nhanh nhất. Công cụ này là một phương tiện hiệu quả
giúp Pháp chứng viên khám phá những gì đang xảy ra ở
"hậu trường" của hệ điều hành.



Chọn xem Event theo DHCP Client


Xem các Event DHCP Client


Tấn cơng mạng khơng dây
• Wireless sniffing: đây là một trong những cuộc tấn công
nguy hiểm nhất trên mạng không dây như là kẻ tấn cơng có
thể bắt được các gói tin trong q trình truyền và nhìn thấy
chi tiết các hoạt động của mạng khơng dây. Nếu gói tin
khơng mã hóa trong khi truyền, kẻ tấn cơng có thể có được
đầy đủ thơng tin chi tiết của gói tin.
• Mirror image access point: đây là một điểm truy cập giả
mạo được tạo ra sau khi nhận được thông tin của một điểm
truy cập công cộng. khi một kẻ tấn cơng tạo ra một điểm
truy cập với một tín hiệu mạnh hơn so với điểm truy cập
thực tế và phát sóng. người dùng sẽ kết nối tín hiệu mạnh
nhất và do đó trở thành nạn nhân.


Tấn cơng mạng khơng dây
• Ad-hoc network: đây là cuộc tấn công mạng không
dây đơn giản nhất để thực hiện. một kẻ tấn cơng có
thể kết nối với mạng ad-hoc của tổ chức và có thể
truy cập vào các file nhạy cảm.
• Buffer overflow: đây là cuộc tấn cơng mạng không
dây cho phép một kẻ tấn công sử dụng mã độc để
khai thác lỗ hổng trong mã phần mềm của nhiều hệ
điều hành và ứng dụng.

• Remote control software: đây là cuộc tấn công mạng
không dây cho phép một kẻ tấn công cài đặt phần
mềm điều khiển từ xa các máy tính.


Tấn cơng mạng khơng dây
• Virus/worm/spyware: đây là cuộc tấn công mạng không dây
cho phép một kẻ tấn công cài đặt mã độc khai thác lỗ hổng
hệ thống để đạt được đặc quyền truy hoặc để thao tác dữ
liệu.
• Arp redirection/spoofing: đây là cuộc tấn công mạng không
dây sử dụng là địa chỉ MAC giả mạo mà cho phép một kẻ
tấn cơng chuyển hướng lưu lượng mạng đến máy tính của
mình.
• Denial of service attack: đây là cuộc tấn cơng mạng khơng
dây phá bỏ chứng thực vì nó sẽ ngắt kết nối một người
dùng từ các điểm truy cập không dây đến hết thời hạn gói
tin gửi. cuộc tấn cơng này sẽ ngắt kết nối các dịch vụ không
dây.


Ăn cắp thông tin trên mạng không dây
 Sniffing là loại tấn công nghe trộm thông tin trên
mạng không dây phổ biến nhất bới vì nó dễ dàng
thực hiện, khó phát hiện nhưng thơng tin thu được lại
có giá trị.
 Kẻ tấn cơng có thể truy cập vào mạng, giám sát các
lưu lượng mạng từ khoảng cách lớn hơn nhiều so với
khoảng cách được quy định trong chuẩn 802.11 là
61m.



Điều tra tấn cơng mạng khơng dây
• Pháp chứng viên cần kiểm tra xem các điểm truy cập không
dây sử dụng giao thức bảo mật mạng không dây nào để qua
đó xác định khả năng có các lỗ hổng.
• Thiết lập các thử nghiệm để kiểm tra quá trình xâm nhập:
Pháp chứng viên có thể sử dụng các cơng cụ Backtrack để
kiểm tra với các mật khẩu được cung cấp để kiểm tra việc
mã hóa bảo mật cho mạng khơng dây.
• Dùng cơng cụ để kiểm tra pháp chứng: Pháp chứng viên có
thể sử dụng các cơng cụ tìm kiếm phát hiện mạng không
dây: daerosol, airfart, aphopper, apradar, karma, kismet,
ministumbler, netstumbler, wellenreiter, wifi hopper,
wirelessmon.