مقاله طراحی و پیاده سازی سامانه تشخیص حملات جعل آدرس فیزیکی در شبکه های 802 . 1

بخشی از مقاله

چکیده

امروزه با پیشرفت شبکه هاي بیسیم در سراسر جهان و فراگیر شدن استفاده از این تکنولوژي نیاز به ابزار هاي دقیق شناسایی نفوذ و امنیت شبکه امري حیاتی است. با توجه به آسیب پذیر بودن این نوع شبکه ها، مسیرهاي زیادي براي انجام تحقیقات علمی متعددي در راستاي ایمن تر کردن این شبکه ها وجود دارد. یکی از انواع رایج حملات موجود در این نوع شبکه ها جعل آدرس فیزیکی میباشد که در اغلب موارد شناسایی نشده و باعث به وجود آمدن مشکلات متعددي میگردد، که شاید در صورت تشخیص وقوع چنین حملاتی بتوان تمهیدات لازم را براي جلوگیري از تکرار مجدد آنها اندیشید.

در این نوع حملات، حمله کننده با جعل آدرس فیزیکی قربانیان یک فریم کنترلی به سمت نقطه دسترسی ارسال کرده و بسته به نوع حمله مشکلات متعددي را ایجاد میکند. در این مقاله به بیان روشی براي تشخیص این نوع حملات که بر پایهي بررسی بسته هاي دریافتی از کاربران و همچنین بررسی توان دریافتی از سمت هر کاربر استوار است - - RSS، پرداخته شده است.

-1 مقدمه

امروزه با پیشرفت شبکه هاي وایرلس در سراسر جهان و فراگیر شدن استفاده از این تکنولوژي نیاز به ابزار هاي دقیق شناسایی نفوذ و امنیت شبکه امري حیاتی است. با توجه به آسیب پذیر بودن این نوع شبکه ها مسیرهاي زیادي براي انجام تحقیقات علمی متعددي در راستاي ایمن تر کردن این شبکه ها وجود دارد. یکی از انواع رایج حملات موجود در این نوع شبکه ها جعل آدرس فیزیکی میباشد که در اغلب موارد شناسایی نشده و باعث به وجود آمدن مشکلات متعددي میگردد که شاید در صورت تشخیص وقوع چنین حملاتی بتوان تمهیدات لازم را براي جلوگیري از تکرار مجدد آنها اندیشید.

شبکه هاي 802.11 فریم ها را تأیید هویت نمیکنند. هر فریم یک آدرس مبداء دارد، اما تضمینی وجود ندارد که ایستگاهفرستنده واقعاً فریم را ارسال کرده باشد! در واقع همانند شبکه هاي اترنت سنتی، مراقبتی در مقابل جعل مبداء آدرس ها وجود ندارد. نفوذگران می توانند از فریم هاي ساختگی براي هدایت ترافیک و تخریب جداول ARP استفاده کنند. در سطحی بسیار ساده تر، نفوذگران می توانند آدرس هاي MAC - Medium Access Control - ایستگاه هاي در حال استفاده را مشاهده کنند و از آن آدرس ها براي ارسال فریم هاي بدخواهانه استفاده کنند.

براي جلوگیري از این دسته از حملات، مکانیسم تصدیق هویت کاربر براي شبکه هاي 802.11 در حال ایجاد است. با درخواست هویت از کاربران، کاربران غیرمجاز از دسترسی به شبکه محروم میشوند. اساس تصدیق هویت کاربران استانداردx1 .802 است که در ژوئن 2001 تصویب شده است. x802.1 می تواند براي درخواست هویت از کاربران به منظور تأیید آنان قبل از دسترسی به شبکه مورد استفاده قرار گیرد، اما ویژگی هاي دیگري براي ارائه تمام امکانات مدیریتی توسط شبکه هاي بیسیم مورد نیاز است که در حال حاضر براي تمامی سخت افزار هاي موجود در بازار قابل پیاده سازي نیست.

در حملات جعل آدرس فیزیکی، حمله کننده با جعل MAC آدرس قربانیان یک فریم کنترلی به سمت Access Point ارسال کرده و بسته به نوع حملات مشکلات متعددي را ایجاد میکند.[1] در این مقاله در مرحله اول بررسی پیاده سازي سامانه اي براي تشخیص وقوع حملات جعل آدرس فیزیکی در دستور کار قرار دارد و در مرحله نهایی ارائه روشی براي کاهش این نوع حملات مورد نظر میباشد. در حال حاضر سامانه هاي مختلفی براي شبکه هاي LAN وجود دارد اما تعداد این سامانه ها براي شبکه هاي بیسیم محدود میباشند که به طور تقریبی میتوان گفت هیچ کدام براي شناسایی حملات جعل آدرس فیزیکی طراحی نشده اند.

دشواري تشخیص این نوع حملات اکثر مواقع به دلیل عدم وجود شخص سوم یا هکر در شبکه میباشد. بررسی بسته هاي عبوري در شبکه ممکن است، اما با توجه به اینکه در مرحله احراز هویت و قطع ارتباط کلاینت از نقطه دسترسی تنها فریم هاي کنترلی ارسال میشوند و هیچ گونه رمزنگاري براي این بسته ها در نظر گرفته نشده است، تعقیب کردن هکر کار دشواریست، چرا که اکسس پوینت ها فریم هاي کنترلی را بررسی نکرده و بلافاصله عمل از پیش تعیین شده اي را با دریافت این فریم ها اعمال میکنند از این رو تشخیص واقعی بودن یا قلابی بودن درخواست کار آسانی نیست.

-2 مروري بر کارهاي انجام شده

با توجه به فراگیر شدن استفاده از تکنولوژي وایرلس و استفاده این نوع شبکه ها به عنوان لینک اصلی ارتباطی بین ساختمان هاي مختلف سازمان ها و شرکت ها و همچنین وفور استفاده مردم از تجهیزات ارتباطی همراه، مانند موبایل ها، تبلت ها و لپتاپ ها وجود سامانه تشخیص حملات جعل آدرس فیزیکی از اهمیت خاصی برخوردار است.

امري که ضرورت برنامه نویسی چنین سامانه اي را افزایش می دهد، تعدد حملات DoS ي میباشد که عامل قطع ارتباط کاربران شبکه هاي وایرلس از نقطه دسترسی شان در طول تبادل داده میباشد. روشهاي مختلفی اعم از پنهان سازي SSID و خاموش کردن نقاط دسترسی در شرایطی که تعداد زیادي از کلاینتها به طور مداوم ارتباطشان قطع می شود، تشخیص فریم جعل شده از طریق Sequence Number موجود در Header بسته ها انجام میپذیرد.[2]

روش دیگري نیز توسط آقایان جان بلاردو و استفان سوج صورت گرفته است که امکانی را روي OS روتر ها فراهم آورده اند که براي هر فریمی، حتی فریم هاي کنترلی و Notification ها از RTS و CTS استفاده میکنند که بهترین روش شناخته شده در حال حاضر می باشد اما سخت افزار آن همه گیر نبوده و این پروتکل نیز روي کارت شبکه هاي وایرلس کنونی قابل پیاده سازي نیست.[5] لذا پیاده سازي روشی براي حفظ ارتباط میان اکسس پوینت و استیشن در ارتباطات راه دور بیسیم و همچنین استفاده هاي Indoor از اهمیت ویژه اي برخوردار است.

-3 حملات شناخته شده جعل آدرس فیزیکی

در حال حاضر حملات شناخته شده اي که در دنیا با استفاده از جعل آدرس فیزیکی صورت میگیرد عبارتند از:

-1 -3  حملات Deauthentication – Disassociation

در این نوع حملات که رایج ترین نوع حملات می باشند شخص حمله کننده با جعل آدرس کاربر یک فریم کنترلی جعلی مبنی بر قطع ارتباط به سمت نقطه دسترسی ارسال کرده و نقطه دسترسی بلافاصله بعد از دریافت این فریم کنترلی دستور قطع ارتباط را صادر میکند. بدین ترتیب فرد با اینکه در حال تبادل داده با نقطه دسترسی است ارتباطش قطع میشود.[4]

-2-3  حملات Power Saving DoS

در استاندارد 802.11 جهت استفاده بهینه کاربران همچنین افزایش طول مدت استفاده از باطري دستگاههاي کاربران بیت کنترل توان در بسته هاي ارسالی در نظر گرفته شده است که در صورت تنظیم این بیت دستگاه در هنگام کمبود توان به حالت خواب - Sleep - وارد میشود. در این حالت نقطه دسترسی تمام فریم هاي مربوط به آن دستگاه را در بافري ذخیره کرده تا پس از تامین توان استیشن آنها را به سمت کاربر ارسال کند. در این حمله هکر می تواند خود را به جاي کاربر جا بزند و داده هاي بافر شده از سمت نقطه ي دسترسی ارسال شوند. در این حالت ممکن است هکر به داده ها دسترسی نداشته باشد، اما داده هاي کاربر واقعی از بین می روند.

-3-3  حملات AP Spoofing

در این نوع حملات نیز با جعل آدرس فیزیکی نقطه دسترسی سایر کاربران را مجاب به ارتباط با خود میکنیم. بدین ترتیب میتوان در مرحله برقراري ارتباط کلمه عبور براي ارتباط با نقطه دسترسی اصلی را به دست آورد.

-4-3  حملات STA Spoofing

در این نوع حملات فرد حمله کننده با جعل آدرس کاربر می تواند به نقاط دسترسی که فقط از طریق آدرس فیزیکی اجازه دسترسی به کاربران را میدهد، متصل شود. در حال حاضر روش هاي تحقیقاتی بسیاري در راستاي تشخیص چنین حملاتی صورت گرفته است اما با توجه به نیاز به تغییر استاندارد جهت جلوگیري از وقوع چنین حملاتی، روش عملی براي جلوگیري از وقوع آنها موجود نیست و تمامی فعالیت ها در راستاي بهبود تشخیص و کاهش میزان تشخیص هاي اشتباه صورت گرفته است.

با توجه به اینکه عمر چندانی از پیدایش تکنولوژي بی سیم سپري نشده است مسیر طولانی در راستاي بهبود این تکنولوژي و همچنین پیاده سازي استانداردهاي جدید وجود دارد. از آنجا که تکنولوژي بی سیم با تبادل داده ارتباط دارد لذا امنیت استفاده از این روش باید به صورت صد در صدي فراهم شود. پیاده سازي مکانیزم هاي امنیتی تشخیص و جلوگیري از حملات مختلف میتواند براي محققین این تکنولوژي جذابیت خاصی داشته باشد.

در این مقاله نیز پیاده سازي مکانیزم هاي تشخیص حملات جعل آدرس فیزیکی که یکی از شایع ترین نوع حملات شبکه هاي بیسیم می باشد، شرح داده شده است. این سامانه با استفاده از امضا هاي موجود و جمع آوري شده از روتر هاي وایرلس و همچنین پردازش فریم هاي مدیریتی و کنترلی و بررسی سرآیند بسته هاي واصله به روتر و همچنین محاسبه بازه اطمینان براي سیگنال دریافتی به ازاي هر کاربر در صورت بروز مشکل هشداري مبنی بر رخداد حمله به مدیر شبکه ارسال میکند.

-4 مراحل انجام کار

براي طراحی و ساخت نرم افزار تشخیص نفوذ لازم به شناخت بسته هاي ارسالی از سمت هکر ها میباشد. براي این کار در محیط آزمایشگاهی حمله Deauthentication که یکی از شایع ترین حملات موجود در شبکه هاي بیسیم می باشد با استفاده از سیستم عامل لینوکس کالی شبه سازي شد. در طول حمله تمامی بسته هاي ارسالی از سمت هکر از طریق یک Sniffer ضبط شدند.

با بررسی بسته هاي ضبط شده و بسته هاي عادي ارسال شده از سمت کلاینت هاي واقعی نکته جالبی آشکار شد که آن وجود فیلد Reason Code در سرآیند بسته هاي دریافتی بود. پس از پروسس بسته ها مقدار آین فیلد براي بسته هاي ارسالی از سمت هکر 6 و یا 7 بود که با توجه به جدول شماره - 1 - این بسته ها از سمت یک سیستم که در شبکه نیست ارسال شده بودند .[3]

لذا از طریق نرم افزار طراحی شده به روتر وایرلس وصل شده و در راستاي جلوگیري از حملات این چنینی بسته هاي دریافتی را پردازش کرده و فیلد مربوطه را استخراج نموده و در نهایت با مقایسه مقادیر موجود با جداول پیشفرض نوع قطع ارتباط تشخیص داده شده و پیام هشدار تولید می گردد. با استفاده از این روش با وجود 10 کلاینت متصل به شبکه 96.66٪ حملات تک فریمی و 98٪ حملات دو فریمی و 100٪ حملات بالا 3 فریم تشخیص داده شد. منظور از تعداد فریم ها در حملات تعداد فریم هاي Deauthentication ایجاد شده توسط هکر و ارسال متوالی آن براي قطع ارتباط کلاینت با اکسس پوینت میباشد. در تصویر شماره 1 میزان Down time بر اساس تعداد فریم هاي ارسالی آورده شده است.

- تصویر شماره - 1 همانطور که در نمودار مشخص است با افزایش تعداد بسته هاي ارسالی از سمت حمله کننده میزان مدت زمان قطعی ارتباط افزایش یافته است. با طراحی سامانه تشخیص حمله با دریافت اولین پیام هشدار در صورت بالا بودن زمان قطعی که قابل تنظیم میباشد، با استفاده از مکانیزم Frequency Hopping فرکانس کاري بین استیشن و اکسس پوینت تغییر کرده و دیگر فریم هاي ارسالی از سمت هکر به اکسس پوینت نمیرسد. با تنظیم این میزان روي ده ثانیه آزمایش مجددا تکرار شده و نتیجه در تصویر شماره 2 مشخص می باشد.

همانطور که می بینید با تغییر فرکانس کاري پس از تشخیص وقوع حمله پس از ده ثانیه ادامه حمله فرکانس کاري تغییر کرده و میزان دو ثانیه براي تغییر فرکانس از سمت کلاینت ها صرف شده است و پس از آن افزایش تعداد فریم ها در قطعی ارتباط تاثیري نگذاشته است. از این طریق می توان حملات نوع Deauthentication و STA Spoofing و Power Saving را تشخیص داده و خنثی کرد. اما این پایان کار نبوده و براي حملاتی که هکر توانسته به داخل شبکه نفوذ کند مناسب نیست.