CompTIA Pentest+ (PT0-002) – Bài 10 : Kiểm thử An ninh Mạng Không dây (Wireless Networks)
Mục tiêu:
- Khi được giao một tình huống, nghiên cứu các vector tấn công và thực hiện các cuộc tấn công mạng.
- Giải thích các trường hợp sử dụng của các công cụ sau đây trong các giai đoạn của một bài kiểm tra thâm nhập (penetration test).
Chủ đề 10A: Khám phá các cuộc Tấn công Mạng Không dây (Wireless Attacks)
Trong môi trường mạng doanh nghiệp ngày nay, mạng không dây đóng vai trò quan trọng trong việc kết nối các thiết bị di động và làm việc từ xa. Tuy nhiên, bản chất truyền tải qua sóng vô tuyến của mạng không dây khiến chúng dễ bị tấn công hơn so với mạng có dây truyền thống. Đội ngũ Pentest của Security365 cần nắm vững các phương thức tấn công phổ biến nhằm vào mạng không dây để có thể đánh giá và nâng cao an ninh cho tổ chức.
Truyền thông không dây được gửi qua không khí sử dụng sóng vô tuyến và không được bảo vệ bởi một môi trường truyền dẫn có giới hạn như cáp.
Bất kỳ con người hoặc thiết bị nào trong tầm với và hướng của tín hiệu đều có thể chặn tín hiệu đó.
Vì lý do này, công nghệ mạng không dây có nguy cơ bị xâm phạm cao hơn từ một số loại tấn công.
Kẻ tấn công có thể lấy được thông tin của bạn, chẳng hạn như số thẻ tín dụng hoặc thông tin đăng nhập, bằng cách sử dụng kỹ thuật nghe lén lưu lượng (traffic sniffing).
Ví dụ: Trong một quán cà phê cung cấp Wi-Fi công cộng không mã hóa, kẻ tấn công có thể sử dụng công cụ như Wireshark để chặn và xem nội dung của các gói tin không được bảo vệ, có khả năng lộ thông tin nhạy cảm như mật khẩu hoặc dữ liệu tài chính.
Trong nhiều năm, tiêu chuẩn mã hóa chủ yếu là Wi-Fi Protected Access (WPA), được sử dụng để bảo mật dữ liệu.
Theo thời gian, nó đã phát triển và cải tiến:
- WPA2 là sự cải tiến của WPA và thay thế RC4 và TKIP bằng Counter Mode CBC-MAC Protocol (CCMP) sử dụng AES.
- WPA3 bao gồm các tính năng nâng cao để bảo mật truyền thông không dây và được coi là lựa chọn an toàn nhất.
Ví dụ: Để nâng cao bảo mật, tổ chức nên áp dụng WPA3 trên tất cả các điểm truy cập Wi-Fi của mình, kết hợp với mật khẩu mạnh và thay đổi thường xuyên. Điều này giúp giảm nguy cơ bị tấn công và bảo vệ tính bảo mật của dữ liệu được truyền qua mạng.
Bằng cách nghe lén lưu lượng, bạn có thể nghe trộm thông tin liên lạc giữa thiết bị khách và điểm truy cập (AP).
Điều này có khả năng xảy ra hơn trong các mạng Wi-Fi công cộng, mở, không sử dụng mã hóa.
Dữ liệu được mã hóa sẽ khiến việc nghe lén trở nên khó khăn hơn, tuy nhiên một số thông tin vẫn được truyền dưới dạng văn bản rõ (cleartext).
Địa chỉ MAC của thiết bị khách, có thể được sử dụng trong cuộc tấn công giả mạo (spoofing attack).
Ví dụ: Ngay cả khi mạng sử dụng WPA2, kẻ tấn công vẫn có thể sử dụng công cụ như airodump-ng để thu thập địa chỉ MAC của các thiết bị khách. Sau đó, chúng có thể sử dụng địa chỉ MAC này để giả mạo thiết bị hợp pháp và truy cập trái phép vào mạng.
Cuộc tấn công hủy xác thực (deauthentication/deauth attack) sẽ loại bỏ nạn nhân khỏi một điểm truy cập (AP) và buộc họ phải xác thực lại.
Khi bị loại bỏ, nạn nhân sẽ tạo ra lưu lượng cần thiết để kẻ tấn công chặn quá trình bắt tay (handshake).
Được sử dụng trong một số cuộc tấn công:
Từ chối dịch vụ (Denial of Service), điểm truy cập giả mạo (evil twin), tấn công phát lại (replay attack) và tấn công bẻ khóa (cracking attack).
Các công cụ được sử dụng để thực hiện hủy xác thực bao gồm airodump-ng để nghe lén quá trình bắt tay và aireplay-ng để hủy xác thực tất cả các thiết bị khách.
Ví dụ: Đội ngũ Pentest của Security365 sử dụng aireplay-ng để gửi các gói tin hủy xác thực giả mạo tới một thiết bị khách cụ thể, buộc nó phải kết nối lại với điểm truy cập. Trong quá trình kết nối lại này, họ có thể chặn quá trình bắt tay WPA2 và sử dụng nó để thực hiện các cuộc tấn công khác như tấn công từ điển nhằm bẻ khóa mật khẩu.
Tấn công nhiễu (jamming) gây gián đoạn tín hiệu Wi-Fi bằng cách phát tín hiệu trên cùng một tần số với AP mục tiêu, làm tắc nghẽn tín hiệu.
Các thiết bị nhiễu vật lý (physical jamming devices) có thể gửi tín hiệu gây nhiễu tới nhiều thiết bị không dây trong một khu vực mục tiêu và kích hoạt tấn công DoS.
Để tiến hành tấn công nhiễu, kẻ tấn công có thể sử dụng thiết bị vật lý hoặc công cụ nhiễu phần mềm.
Wi-Fi jammer là một script Python có thể làm nhiễu tín hiệu của tất cả các điểm truy cập không dây trong một khu vực.
Ví dụ: Trong một cuộc tấn công DoS, kẻ tấn công đặt một thiết bị nhiễu Wi-Fi gần văn phòng của tổ chức. Thiết bị phát ra tín hiệu mạnh trên các kênh Wi-Fi phổ biến, làm gián đoạn kết nối mạng không dây của nhân viên và khách hàng, gây ra sự gián đoạn đáng kể cho hoạt động kinh doanh.
Ngày nay, hầu hết các mạng Wi-Fi sử dụng WPA/WPA2 để cung cấp một phương pháp mạnh mẽ hơn nhằm ngăn chặn các cuộc tấn công.
Để bẻ khóa mật khẩu, đội ngũ có thể thử các cách sau:
- Thực hiện tấn công từ điển (dictionary attack)
- Tiến hành tấn công cài đặt lại khóa (key reinstallation attack – KRACK)
Ví dụ: Sử dụng một danh sách từ điển phổ biến, đội ngũ Pentest của Security365 có thể sử dụng công cụ như aircrack-ng để thử lần lượt từng mật khẩu cho đến khi tìm thấy đúng. Nếu mật khẩu yếu hoặc dễ đoán, phương pháp này có thể cho phép truy cập trái phép vào mạng.
Kẻ tấn công có thể truy cập thiết bị WPS bằng cách sử dụng tấn công vật lý hoặc brute force mã PIN.
Tấn công vật lý lợi dụng tính năng “push to connect” có trên nhiều bộ định tuyến.
Một phương pháp khác là xác định mã PIN của thiết bị WPS, sử dụng tấn công brute force trực tuyến hoặc ngoại tuyến.
Kẻ tấn công có thể tiến hành tấn công trực tuyến bằng công cụ có tên Reaver, được bao gồm trong Kali Linux.
Ví dụ: Nếu người dùng không vô hiệu hóa WPS trên bộ định tuyến của họ, kẻ tấn công có thể sử dụng Reaver để thử tất cả các mã PIN 8 chữ số có thể có cho đến khi tìm thấy mã đúng. Sau khi lấy được mã PIN, chúng có thể sử dụng nó để kết nối với mạng mà không cần mật khẩu WPA/WPA2.
Hoạt động ôn tập:
- Thảo luận về lý do tại sao truyền thông không dây đặc biệt dễ bị tấn công
- Các cách được sử dụng để mã hóa truyền dữ liệu
- Giải thích cách thức hoạt động của tấn công hủy xác thực
- Phác thảo lý do tại sao ai đó muốn làm nhiễu tín hiệu Wi-Fi
- Thảo luận về các cách để bẻ khóa mật khẩu WPA hoặc mã PIN WPS
Chủ đề 10B: Khám phá các Công cụ Không dây (Wireless Tools)
Để đánh giá an ninh của mạng không dây, Đội ngũ Pentest của Security365 cần trang bị các công cụ chuyên dụng. Những công cụ này cho phép quét, theo dõi và khai thác các lỗ hổng trong các giao thức và cấu hình mạng không dây. Bằng cách kết hợp sử dụng nhiều công cụ khác nhau, đội ngũ có thể xây dựng một bức tranh toàn diện về tình trạng bảo mật của mạng không dây và đề xuất các biện pháp khắc phục.
Kế hoạch tấn công phổ biến thường trải qua các giai đoạn sau:
- Bắt đầu bằng cách quét trên tất cả các kênh để tìm các mạng trong phạm vi.
- Đánh giá và sắp xếp các mạng theo cường độ tín hiệu (từ mạnh nhất đến yếu nhất).
- Thu thập thông tin và cụ thể là đánh giá bất kỳ lỗ hổng rõ ràng nào.
Đảm bảo rằng thiết bị bắt được trang bị các công cụ cần thiết và bất kỳ phần mềm đi kèm nào cũng được cài đặt.
Card mạng không dây phải hỗ trợ chế độ giám sát (monitor mode) và chèn gói tin (packet injection).
Đội ngũ sẽ cần chọn một ăng-ten thích hợp.
Ví dụ: Trước khi bắt đầu thử nghiệm xâm nhập vào mạng không dây của khách hàng, Đội ngũ Pentest của Security365 thiết lập một laptop với card mạng không dây chuyên dụng và ăng-ten ngoài để tăng cường mức tín hiệu. Họ xác nhận rằng card hỗ trợ chế độ monitor mode và có thể thực hiện packet injection.
Aircrack-ng là một bộ các công cụ tiện ích được thiết kế để kiểm tra an ninh mạng không dây.
Các công cụ chính trong bộ công cụ này là:
- Airmon-ng: kích hoạt và tắt chế độ giám sát trên giao diện mạng không dây.
- Airodump-ng: cung cấp khả năng bắt các khung 802.11 để xác định BSSID của WAP cùng với địa chỉ MAC của thiết bị khách nạn nhân.
- Aireplay-ng: Chèn các khung để thực hiện tấn công nhằm lấy thông tin xác thực cho WAP (thường được thực hiện bằng tấn công hủy xác thực).
Ví dụ: Sử dụng Aircrack-ng, đội ngũ bắt đầu bằng cách kích hoạt chế độ giám sát với airmon-ng. Sau đó, họ sử dụng airodump-ng để bắt lưu lượng và xác định các mạng mục tiêu. Cuối cùng, họ sử dụng aireplay-ng để tiến hành tấn công hủy xác thực, buộc các thiết bị khách kết nối lại và chặn quá trình bắt tay WPA2 để bẻ khóa mật khẩu.
Kismet chủ yếu hoạt động trên Linux và OSX trên hầu hết các giao diện Wi-Fi và Bluetooth. Có thể bắt gói và đóng vai trò như một hệ thống phát hiện xâm nhập không dây (wireless IDS). Khi đã chạy, Kismet sẽ tìm kiếm các mạng không dây và xác định thiết bị nào đang truyền lưu lượng. Nếu bất kỳ gói bắt tay nào được chặn, Kismet sẽ lưu lại chúng để cố gắng bẻ khóa mật khẩu sau này. Ngoài các bộ chuyển đổi chuyên dụng, nó cũng có thể chặn lưu lượng khi sử dụng các thiết bị phần mềm định nghĩa radio (software defined radio – SDR). Ví dụ: Đội ngũ Pentest của Security365 sử dụng Kismet để liên tục giám sát không gian không dây xung quanh văn phòng của khách hàng. Kismet xác định các mạng mới, các điểm truy cập lạ và lưu lượng bất thường. Nó cũng bắt các gói tin bắt tay WPA2 để phân tích ngoại tuyến sau này.
Wifite2 là một công cụ kiểm tra không dây mà bạn có thể sử dụng để đánh giá WLAN. Khi được khởi chạy, bạn có thể bắt đầu khảo sát trang web và xác định và hiển thị bất kỳ mục tiêu hoạt động nào, cùng với các điểm truy cập ẩn. Xác định xem mạng có quảng cáo WPS và loại mã hóa được sử dụng hay không Có thể tiến hành các cuộc tấn công khác nhau để lấy mật khẩu của WAP Nếu bạn chọn một nhóm mục tiêu, Wifite2 sẽ tiến hành cố gắng chặn bắt tay và sau đó tấn công các mục tiêu dễ nhất trước. Khi hoàn tất, nó sẽ chuyển sang các mục tiêu khó hơn. Ví dụ: Trong một cuộc kiểm tra xâm nhập, đội ngũ sử dụng Wifite2 để nhanh chóng xác định tất cả các mạng không dây trong phạm vi. Công cụ chỉ ra mạng nào đang sử dụng WPS, một giao thức dễ bị tấn công. Đội ngũ tập trung nỗ lực của họ vào những mạng này, sử dụng Wifite2 để tự động hóa các cuộc tấn công nhằm lấy mật khẩu.
Vì Bluetooth sử dụng một phương thức khác để truyền tín hiệu, đội ngũ sẽ cần sử dụng các công cụ chuyên dụng để tiến hành tấn công. Spooftooph là một công cụ được sử dụng để giả mạo hoặc sao chép một thiết bị Bluetooth Khi được giả mạo, nó sẽ hòa vào nền và ẩn ngay trước mắt bất cứ khi nào ai đó quét tìm thiết bị Bluetooth. Một số thiết bị được ghép nối với các thiết bị phần cứng thú vị hoặc thiết yếu Khi pha trộn, bạn có thể quan sát sự tương tác giữa các thiết bị. Ví dụ: Đội ngũ Pentest của Security365 sử dụng Spooftooph để sao chép địa chỉ MAC của thiết bị Bluetooth đang được sử dụng rộng rãi như tai nghe hoặc loa. Sau đó, họ đặt bộ chuyển đổi Bluetooth đã được sao chép gần khu vực mục tiêu và quan sát để xem liệu bất kỳ thiết bị nào có cố gắng tự động kết nối với nó hay không, tiết lộ các lỗ hổng tiềm ẩn trong cấu hình thiết bị.
Fern là một chương trình dựa trên Python được sử dụng để kiểm tra mạng không dây và có thể khôi phục khóa WEP/ WPS/WPA/ bằng nhiều phương pháp khác nhau: Brute-force, dictionary, session hijacking, replay và tấn công on-path. Trước khi sử dụng Fern, bạn cần đảm bảo rằng bạn có tất cả các phụ thuộc thiết yếu như: Python, Aircrack-NG và Macchanger Fern là một sản phẩm thương mại; tuy nhiên, cũng có một phiên bản miễn phí với chức năng hạn chế và là một phần của Kali Linux Ví dụ: Trong giai đoạn thăm dò, Đội ngũ Pentest của Security365 sử dụng Fern để quét các mạng không dây gần đó và xác định các mục tiêu tiềm năng. Họ chú ý một mạng vẫn đang sử dụng WEP, một giao thức mã hóa lỗi thời và không an toàn. Sử dụng Fern, họ có thể dễ dàng bẻ khóa mật khẩu WEP và minh họa rủi ro cho khách hàng.
EAPHammer là một bộ công cụ với nhiều tính năng. Cung cấp một số tùy chọn mà đội ngũ có thể sử dụng để tiến hành tấn công vào mạng WPA2-Enterprise 802.11a hoặc 802.11n trong một nền tảng dễ sử dụng. Khi bạn có tất cả các phụ thuộc cần thiết, bạn có thể lên kế hoạch tấn công: Tiến hành tấn công karma sử dụng evil twin để lừa ai đó tham gia vào một mạng giả mạo. Đánh cắp thông tin xác thực RADIUS như WPA-EAP và WPA2-EAP Che giấu hoặc ẩn SSID và thực hiện các cuộc tấn công captive portal để lấy thông tin xác thực AD. Ví dụ: Để đánh giá bảo mật của mạng doanh nghiệp sử dụng WPA2-Enterprise, đội ngũ sử dụng EAPHammer để thiết lập một điểm truy cập giả mạo với cùng SSID. Khi người dùng kết nối, EAPHammer lừa họ cung cấp thông tin đăng nhập, cho phép đội ngũ đánh giá độ mạnh của mật khẩu và chính sách khóa tài khoản.
MDK4 là một công cụ mạnh mẽ dựa trên Linux với các tính năng. Nó hỗ trợ từ 2,4 đến 5GHz và có chín mô-đun tấn công, bao gồm:
- Chế độ b: tạo sự xuất hiện của nhiều mạng không dây
- Chế độ a: DoS xác thực với ý định làm quá tải AP
- Chế độ p: thăm dò AP để lấy SSID và brute-force bất kỳ SSID ẩn nào
- Chế độ d: gửi deauth để ngắt kết nối và hủy liên kết tất cả khách khỏi AP
- Chế độ w: sẽ kích hoạt cuộc tấn công gây nhầm lẫn IDS/IPS Ví dụ: Để kiểm tra khả năng của mạng để xử lý can thiệp vô tuyến, đội ngũ sử dụng chế độ ‘b’ của MDK4 để tràn ngập không gian không dây với hàng chục SSID giả. Điều này giúp xác định liệu hệ thống phát hiện xâm nhập của khách hàng có thể nhận ra và cảnh báo về hoạt động bất thường này hay không.
Hoạt động rà soát:
- Liệt kê các bước cần thực hiện trước khi tiến hành tấn công vào WLAN
- Xem lại các công cụ trong bộ công cụ Aircrack-ng
- Giải thích một số tính năng của Kismet
- Thảo luận về cách đội ngũ có thể sử dụng Wifite2 trong quá trình Pentest
- Phác thảo một số tùy chọn thử nghiệm khi sử dụng Fern
- Mô tả cách EAPHammer có thể được sử dụng để tiến hành tấn công
- Tóm tắt một số mô-đun trong MDK4
Tổng kết bài học: Trong bài học này, chúng ta đã khám phá các cuộc tấn công và công cụ liên quan đến việc kiểm tra an ninh mạng không dây. Mạng không dây là một mục tiêu hấp dẫn cho tin tặc do bản chất truyền sóng vô tuyến của chúng, điều này làm cho việc nghe trộm và khai thác dễ dàng hơn so với mạng có dây.
Chúng ta đã thảo luận về các cuộc tấn công phổ biến nhằm vào mạng không dây, chẳng hạn như nghe trộm liên lạc, tấn công hủy xác thực, nhiễu tín hiệu, bẻ khóa mật khẩu WPA và khai thác PIN WPS. Mỗi cuộc tấn công này đều tận dụng các điểm yếu cụ thể trong thiết kế hoặc cấu hình của mạng không dây.
Để thực hiện các cuộc tấn công này và đánh giá tổng thể an ninh của mạng không dây, chúng ta đã khám phá một loạt các công cụ chuyên biệt. Những công cụ này bao gồm bộ công cụ Aircrack-ng cho phép giám sát và bẻ khóa mật khẩu, Kismet để phát hiện xâm nhập không dây, Wifite2 để tự động hóa các cuộc tấn công, và nhiều công cụ khác như Fern, EAPHammer và MDK4.
Thông qua việc kết hợp các công cụ và kỹ thuật này, Đội ngũ Pentest của Security365 có thể tiến hành đánh giá toàn diện về an ninh mạng không dây của một tổ chức. Họ có thể xác định các lỗ hổng trong các giao thức mã hóa, cấu hình không an toàn và hành vi người dùng rủi ro. Dựa trên những phát hiện này, họ có thể đưa ra các khuyến nghị để tăng cường bảo mật, chẳng hạn như nâng cấp lên WPA3, thực hiện các chính sách mật khẩu mạnh và giáo dục người dùng về các mối đe dọa không dây.
Tuy nhiên, điều quan trọng cần lưu ý là các công cụ và kỹ thuật này chỉ nên được sử dụng với sự cho phép rõ ràng và trong khuôn khổ đạo đức. Thực hiện các cuộc tấn công mạng không dây trái phép có thể là bất hợp pháp và không có đạo đức.
Với tầm quan trọng ngày càng tăng của kết nối không dây trong môi trường doanh nghiệp và cá nhân ngày nay, có một sự hiểu biết vững chắc về an ninh mạng không dây và các công cụ liên quan là điều cần thiết cho bất kỳ chuyên gia bảo mật nào. Với kiến thức này, các chuyên gia có thể giúp các tổ chức giữ an toàn cho tài sản thông tin của họ trước các mối đe dọa trên không trung.
Để lại một bình luận