TRƯỜNG CAO ĐẲNG NGHỀ KỸ THUẬT CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH *** NGÀNH QUẢN TRỊ MẠNG ĐỀ TÀI BẢO TRÌ HỆ THỐNG MẠNG Giáo viên hướng dẫn: TRẦN NGỌC DÂN Sinh viên thực hiện: Trần Kim Giáp Trần Quốc Vĩnh Lê Anh Hoàng Lớp: CĐQTMK1BD1/1 Lớp: CĐQTMK1BD1/2 Lớp: CĐQTMK1BD1/1 Tên đề tài: Trình bày đặc trưng riêng biệt, ưu, nhược điểm chuẩn mã hố mạng Wifi Từ xây dựng sách an tồn thơng tin cho mạng Wifi Xây dựng mơ hình thực tế NỘI DUNG THỰC HIỆN I Giới thiệu sơ lược mạng Wifi II Lược đồ mã hố truyền vơ tuyến III Các chuẩn mã hố Cơ chế mã hoá WEP (Wire Equivalent Privacy) a Ưu điểm b Nhược điểm Cơ chế WPA(Wi-fi Protected Access) a Ưu điểm b Nhược điểm IV Chính sách an tồn thơng tin cho mạng Wifi Nguy Phịng chống V Mơ hình thực tế: Mơ hình Pre-Shared Key a Giới thiệu b Sử dụng WEP b.1 Yêu cầu hệ thống b.2 Cách thức hoạt động b.3 Mơ hình triển khai c Sử dụng WPA c.1 u cầu hệ thống c.2 Cách thức hoạt động c.3 Mô hình triển khai VI Kết luận VII Nhận xét giáo viên hướng dẫn TRÌNH BÀY I Giới thiệu sơ lược mạng Wifi: Wi-Fi viết tắt từ Wireless Fidelity hay mạng 802.11 hệ thống mạng không dây sử dụng sóng vơ tuyến, giống điện thoại di động, truyền hình radio Hệ thống hoạt động số sân bay, quán café, thư viện khách sạn Hệ thống cho phép truy cập Internet khu vực có sóng hệ thống này, hồn tồn khơng cần đến cáp nối Ngồi điểm kết nối cơng cộng (hotspots), WiFi thiết lập nhà riêng Tên gọi 802.11 bắt nguồn từ viện IEEE (Institute of Electrical and Electronics Engineers) Viện tạo nhiều chuẩn cho nhiều giao thức kỹ thuật khác nhau, sử dụng hệ thống số nhằm phân loại chúng; chuẩn thông dụng WiFi 802.11a/b/g II Lược đồ mã hoá truyền vơ tuyến Mã hố cơng cụ khơng thể thiếu cho truyền thơng vơ tuyến Bởi thiếu nó, kẻ xâm nhập chặn và đọc liệu truyền bạn III Các chuẩn mã hoá Đối với mạng nội vơ tuyến, có hai lược đồ mã hố: WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) Cơ chế mã hoá WEP (Wire Equivalent Privacy) WEP (Wired Equivalent Privacy) thuật toán bảo nhằm bảo vệ trao đổi thông tin chống lại nghe trộm, chống lại nối kết mạng không cho phép chống lại việc thay đổi làm nhiễu thông tin truyền WEP sử dụng stream cipher RC4 với mã 40 bit số ngẫu nhiên 24 bit (initialization vector - IV) để mã hóa thơng tin Thơng tin mã hóa tạo cách thực operation XOR keystream plain text Thông tin mã hóa IV gửi đến người nhận Người nhận giải mã thông tin dựa vào IV khóa WEP biết trước Sơ đồ mã hóa miêu tả hình sau: Sơ đồ mã hoá WEP Tất nhà sản xuất thiết bị mạng vô tuyến đầu đưa WEP Muốn khai thác WEP, bạn nhập khoá 10 đến 26 ký tự vào tất thiết bị liên quan mạng vô tuyến (từng máy tính, điểm truy cập, định tuyến vơ tuyến), theo hướng dẫn nhà sản xuất Nó chuỗi ký tự thập lục phân phức tạp, tức bạn phải gõ văn sau 64B7XACAC9104B0X98841R9545 thiết bị (lỡ gõ sai hay thiếu ký tự, khố khơng so khớp thiết bị khác) a Ưu điểm Tương thích với phần cứng “cổ” Có thể Export Đủ mạnh Khả tương thích Khả ước tính Tùy chọn, khơng bắt buộc WEP hội tụ đủ yếu tố này, đưa vào để thực hiện, WEP dự định hỗ trợ bảo mật cho mục đích tin cậy, điều khiển truy nhập, toàn vẹn liệu b Nhược điểm Nhược điểm lớn WEP sử dụng khoá mã hoá tĩnh Khi thiết lập chế WEP cho router, khoá dùng cho thiết bị mạng để mã hố tất gói tin truyền tải Nhưng thật gói mã hố không tránh tượng bị chặn lại Do số lỗi kỹ thuật “bí truyền”, kẻ nghe trộm hồn tồn chặn đủ số lượng gói tin mã hố để tìm khố giải mã Vấn đề giải bạn thay đổi định kỳ khố WEP (Đó lý router thường cho phép lưu trữ khố) Nhưng phiền phức khó chịu thay đổi khoá WEP bất tiện tốn thời gian, khơng thực router mà cịn tất thiết bị kết nối tới Kết hầu hết người thiết lập khố đơn tiếp tục sử dụng mãi Cơ chế WPA(Wi-fi Protected Access) Năm 2003, Hiệp hội Wi-Fi phát hành chuẩn bảo mật khác mang tên Wi-Fi Protected Access (WPA) “tập con” chuẩn bảo mật 802.11i để giải vấn đề bảo mật WEP Hệ thống mã hoá WPA an tồn dễ sử dụng Khố nhập văn thường Bên cạnh đó, khố nhập khởi điểm cho mã hoá bảo vệ mật mã Thiết bị dùng khố để tạo chuỗi khoá phức tạp Tất thiết bị vơ tuyến định kỳ tạo khố mới, bí mật trao dổi thơng tin chúng a Ưu điểm ● Trong cải tiến quan trọng WPA sử dụng hàm thay đổi khóa TKIP WPA sử dụng thuật toán RC4 WEP, mã hóa đầy đủ 128 bit ● WPA thay đổi khóa cho gói tin Các cơng cụ thu thập gói tin để khóa phá mã hóa khơng thể thực với WPA Bởi WPA thay đổi khóa liên tục nên hacker không thu thập đủ liệu mẫu để tìm mật ● WPA cịn bao gồm tính tồn vẹn thơng tin (Message Integrity check) Vì vậy, liệu khơng thể bị thay đổi đường truyền b Nhược điểm ● Có lỗ hổng WPA lỗi xảy với WPA Personal Khi mà sử dụng hàm thay đổi khóa TKIP sử dụng để tạo khóa mã hóa chưa phát hiện, hacker đốn khóa khởi tạo phần mật khẩu, họ xác định tồn mật khẩu, giải mã liệu Tuy nhiên, lố hỏng loại bỏ cách sử dụng khóa khởi tạo khơng dể đốn (đừng sử dụng từ “P@SSWORD” để làm mật khẩu) ● Điều có nghĩa thủ thuật TKIP WPA giải pháp tam thời, chưa cung capas phương thức bảo mật cao WPA có dạng : + Chế độ Enterprise (EAP/RADIUS): Chế độ cung cấp khả bảo mật cần thiết cho mạng không dây môi trường doanh nghiệp,cung cấp khả điều khiển tập trung phân biệt việc truycập mạng Wi-Fi Người dùng gán thông tin đăng nhập mà họ cần phải nhập vào kết nối với mạng, thơng tin đăng nhập thay đổi thu hồi quản trị viên lúc Người dùng không cần quan tâm đến khóa mã hóa thực Chúng tạo cách an toàn gán session người dùng chế độ background sau người dùng nhập vào chứng đăng nhập họ Điều tránh việc khơi phục lại khóa mạng từ máy tính + Chế độ Personal Pre-Shared Key (PSK) : Chế độ thích hợp với hầu hết mạng gia đình – khơng thích hợp với mạng doanh nghiệp Bạn định nghĩa mật mã hóa router không dây điểm truy cập (AP) khác Sau mật phải nhập vào người dùng kết nối với mạng Wi-Fi Nó khơng mang tính tập trung, mật áp dụng cho tất người dùng Nếu mật toàn cục cần phải thay đổi phải thay đổi tất AP máy tính Điều gây nhiều khó khăn bạn cần thay đổi Không giống chế độ Enterprise, mật mã hóa lưu máytính Mặc dù vậy, máy tính – dù nhân viên hay tội phạm – kết nối với mạng khơi phục mật mã hóa WPA2 Trong phiên thứ hai (WPA2), phát hành vào năm 2004, khả bảo mật cải thiện tốt với thực thi chuẩn bảo mật IEEE802.11i mã hóa CCMP/AES So sánh WPA-PSK và WEP a) WPA-PSK mã hoá mạnh WEP: encryption keys tự độngthay đổi (rekeying) đồng thiết bị sau khoảng thời gianđịnh trước hay sau số lượng packet truyền (rekey interval) b) WPA-PSK bảo vệ người dùng: gia đình hay người dùng cơng ty nhỏ (home/SOHO users) tốt WEP hai lý sau: + Quá trình phát sinh Encryption Key tốt vững WEP + Thời gian Rekeying thực nhanh Do đó, hacker khó thu thập đủ liệu cần thiết để “Break the Encryption” c) WEP làm người dùng gia đình: (những người nhiều khơng rành tin học) bối rối kiểu key hỗ trợ nhà sản xuất (như nhập HEX, Ascii, passphrase) Thêm vào đó, người dùng gia đình sử dụng nhiều thiết bị (hơn 2) hãng sản xuất khác hãng kiểu, gây khó khăn cho người sử dụng WPA-PSK sử dụng phương pháp khác dễ dàng người sử dụng, passphrase (hay cịn gọi shared key) Passphrase phải cấu hình wireless AP/router WPA client Độ dài passphrase từ 8-63 kí tự, bao gồm khoảng trắng kí tự đặc biệt Nếu “keyboard characters” nên tối thiểu 20 kí tự; số HEX tối thiểu 24 kí tự WPA-PSK sử dụng passphrase để phát sinh Encryption key dùng để mã hoá liệu Sau pre-shared key cấu hình, TKIP (Temporal Key Integrity Protocol) nắm giữ quyền điều khiển việc mã hoá Rekeying tự động IV Chính sách an tồn thơng tin cho mạng Wifi a Nguy Wi-Fi tiện dụng cho gia đình, cơng sở, doanh nghiệp coi chừng, trộm sóng Wi-Fi trở thành tiêu điểm người dùng cơng nghệ, phần mềm bẻ khóa Wi-Fi phổ biến mạng Trên diễn đàn công nghệ, thông tin hướng dẫn rao bán thiết bị, phần mềm bẻ khóa sử dụng sóng Wi-Fi phổ biến Chỉ cần rành chút công nghệ mua thiết bị, sử dụng phần mềm theo hướng dẫn sử dụng Wi-Fi miễn phí Dựa vào lỗ hổng bảo mật mạng: lỗ hổng điểm yếu dịch vụ mà hệ thống cung cấp, ví dụ kẻ cơng lợi dụng điểm yếu dịch vụ mail, ftp, web… để xâm nhập phá hoại Các lỗ hỗng mạng yếu điểm quan trọng mà người dùng, hacker dựa để cơng vào mạng Các tượng sinh mạng lỗ hổng mang lại thường : ngưng trệ dịch vụ, cấp thêm quyền user cho phép truy nhập không hợp pháp vào hệ thống Sử dụng cơng cụ để phá hoại : ví dụ sử dụng chương trình phá khóa mật để truy cập vào hệ thống bất hợp pháp; lan truyền virus hệ thống; cài đặt đoạn mã bất hợp pháp vào số chương trình Nhưng kẻ cơng mạng kết hợp hình thức với để đạt mục đích b.Phịng chống Với thiết bị di động tích hợp card mạng khơng dây (máy tính xách tay, điện thoại di động, PDA, pocket PC ), bạn dễ dàng truy cập Internet với vài thao tác đơn giản.Tuy nhiên kết nối khơng dây thường khơng có độ bảo mật cao, máy tính bạn dễ trở thành “mục tiêu” kẻ phá hoại Vì vậy, bạn cần thực vài thao tác để đảm bảo an toàn cho máy tính trước làm việc mạng + Tắt tài khoản Guest: Để máy tính an tồn hơn, bạn nên tắt tài khoản Guest tránh người dùng đăng nhập tài khoản Trong Windows XP, chọn Start ->Settings -> Control Panel -> User Accounts: Guest Turn off the guest account + Sử dụng tường lửa(firewall) Tường lửa kiểm sốt liệu vào máy tính cảnh báo hành vi đáng ngờ; công cụ bảo vệ máy tính chống lại xâm nhập máy tính bất hợp pháp kết nối với mơi trường bên ngồi Một số người dùng thường tắt tường lửa củaWindows để tránh “phiền phức” Tuy nhiên kết nối mạng công cộng, bạn nên kích hoạt lại tính Thực sau: chọn Start -> Control Panel -> Windows Firewall -> tab General, đánh dấu tùy chọn mục On (recommend) + Đặt mật chia sẻ tập tin, thư mục: Người dùng yêu cầu đăng nhập muốn truy cập tập tin, thư mục chia sẻ Nếu sử dụng Vista, hệ điều hành điều chỉnh thiết lập bảo mật dựa loại kết nối mạng bạn Chẳng hạn xác định dùng mạng công cộng, Vista tự động tắt chế độ chia sẻ tập tin máy in để bảo vệ liệu V Mơ hình thực tế: Trong thực tế có mơ hình áp dụng Mơ hình Open System Mơ hình Pre-Shared Key Mơ hình Radius Server ► Mơ hình Pre-Shared Key a Giới thiệu Là hệ thống mà client giao tiếp với qua Access Point (AP) Là hệ thống mạng khơng dây (wireless) dùng khố chia sẻ cho client đăng nhập vào mạng Triển khai mơ hình cho cơng ty hay tổ chức nhỏ Có dạng đề cập WEP WPA b Sử dụng WEP b.1 Yêu cầu hệ thống Phần cứng: ─ Cần có nhiều AP máy PC hay Laptop, NoteBook,… ─ Các máy tính phải có Wireless Card (USB, PCI hay PCMCIA) Phần mềm: ─ Hệ điều hành (HĐH) Windows(98 sau) Professional hay Home cho máy tính (khơng thiết giống phiên HĐH máy) ─ Card Cần phần mềm cấu hình cho AP máy PC dùng USB PCI b.2 Cách thức hoạt động Về hình thức cần có yêu cầu hệ thống Open System: IP (lớp) tên mạng (SSID) lúc cấu hình AP mơ hình Pre-Shared Key tức dùng khố chia sẻ cho User truy cập vào mạng cục khơng dây Khố tạo cấu hình cho AP khố chia sẻ cho User truy nhập vào mạng Khoá gồm có nhiều kích thước: 32 Bit, 64 Bit, 128 Bit, 256 Bit,… Kích thước chọn q trình cấu hình AP tuỳ theo loại AP mà có hỗ trợ tương ứng Khoá mã hố dạng WEP b.3 Mơ hình triển khai ─ Sơ đồ Sơ đồ cấu hình shared key theo WEP ─ Các thành phần sơ đồ • Access Point • Laptop • Máy PC có gắn card wireless PCI • Máy PC có gắn card wireless USB • Mạng LAN gồm máy PC • Một Switch b4 Cài đặt WEP cho DIR-300 (Cài đặt Wireless key) Bước Bạn nhìn thấy trang cấu hình D-Link, click vào Setup > Wireless Setup > Manual Wireless Connection Setup Bước Click vào Security mode > chọn Enable WEP Wireless Security WEP Encryption bạn chọn 64Bit 128Bit : - Nếu bạn chọn HEX 64Bit, bạn nhập 10 ký tự từ ~ 9, A ~ F, 128Bit, bạn nhập 26 ký tự từ ~ 9, A ~ F - Nếu bạn chọn ASCII 64Bit, bạn nhập ký tự (A ~ Z, ~ 9), 128Bit, bạn nhập 13 ký tự (A ~ Z, ~ 9) Bước Sau cài đặt WEP key, click vào Save Settings Bước Vui lòng chờ Router lưu lại cấu hình ─ Đánh giá hệ thống • Ưu điểm: có tính bảo mật cao so với hệ thống Open System thơng qua khố chia sẻ cho Client gồm khố có chiều dài 64 bit, 128 bit, 256 bit Những Client khác muốn truy cập vào mạng cần phải có khố chia sẻ • Khuyết điểm: WEP cịn đơn giản có thuật tốn crack WEP Cho nên việc dùng WEP khơng cịn thật an tồn  Hệ thống sử dụng WEP thích hợp cho cơng ty, quan nhỏ, khơng địi hỏi có tính bảo mật cao c Sử dụng WPA c.1 Yêu cầu hệ thống Phần cứng: ─ Cần có nhiều AP máy PC hay Laptop, NoteBook,… ─ Các máy tính phải có Wireless Card (USB, PCI hay PCMCIA) Phần mềm: ─ Hệ điều hành (HĐH) Windows(98 sau) Professional hay Home cho máy tính (không thiết giống phiên HĐH máy) ─ Cần phần mềm cấu hình cho AP máy PC dùng USB PCI Card c.2 Cách thức hoạt động Tương tự WEP thay đổi cách mã hố: thay mã hố WEP mã hố WPA c.3 Mơ hình triển khai ─ Sơ đồ Hình 3.1 Sơ đồ cấu hình shared key theo WPA ─ Các thành phần sơ đồ • Access Point • Laptop • Máy PC có gắn card wireless PCI • Mạng LAN gồm máy PC • Một Switch c4 Cài đặt WPA-PSK / WPA2-PSK cho DIR-300 Bước Bạn nhìn thấy trang cấu hình D-Link, click vào Setup > Wireless Setup > Manual Wireless Connection Setup Bước Click vào Security mode > chọn Enable WPA / WPA2 wireless security Network Key : Một Network key password WPA-PSK / WPA2-PSK sử dụng để chứng thực cho mục đích sử dụng Cả wireless router wireless card cần cấu hình Network Key tương tự Số ký tự nhỏ 8, Số ký tự lớn 63 Bước Sau cài đặt Network Key, click vào Save Settings Bước Vui lòng chờ router lưu lại cấu hình Reboots : Khởi động lại router, để tất cài đặt hoạt động ─ Đánh giá hệ thống • Ưu điểm: có tính bảo mật cao so với hệ thống Open System thơng qua khố chia sẻ cho Client khố động tức khơng bắt buộc theo 64 bit, 128 bit hay 256 bit mà giá trị khoá người dùng tự đặt (người quản trị mạng WLAN) Điều nâng cao tính bảo mật cho WPA so với WEP • Khuyết điểm: kèm theo tính động có vấn đề người dùng chọn khố ngắn gọn (vài ký tự) điều dẫn đến việc hệ thống mạng dễ bị hacker cơng có thuật tốn crack WPA chưa phổ biến WEP  Hệ thống mạng không dây cục sử dụng khố chia sẻ mã hố WPA thích hợp cho công ty, quan vừa nhỏ d Hướng khắc phục bảo trì hệ thống: - Sử dụng khóa WEP có độ dài 128 bit Thường thiết bị WEP cho phép cấu hình khóa ba độ dài: 40 bit, 64 bit, 128 bit Sử dụng khóa với độ dài 128 bit gia tăng số lượng gói liệu hacker cần có để sử dụng phân tích IV, gây khó khăn tăng thời gian việc giải mã khóa WEP Nếu thiết bị khơng dây bạn hỗ trợ WEP mức 40 bit (thường xảy với thiết bị không dây cũ), bạn cần liên lạc với nhà sản xuất để tải phiên cập nhật firmwares update - Tắt chế độ SSID Broadcast: đa số AP (access point) cho phép người dùng tắt chế độ Điều khiến cho tiện ích tự động cấu hình mạng khơng dây hệ điều hành Windows XP hay chương trình dị tìm Wi-Fi netstumble khơng thể nhìn thấy mạng - Lọc địa MAC: AP có tính lọc MAC máy khách kết nối vào Chúng có hai cách lọc: cho phép cấm địa MAC Vì vậy, người dùng nên áp dụng cách lọc địa MAC kết hợp với mã hóa WPA2 - Tắt thiết bị phát Wi-Fi khơng có nhu cầu sử dụng - Thay đổi WEP key Network key thường xuyên VI Kết luận Các chuẩn mã hố wifi gồm WEP, WPA, WPA Trong chuẩn WEP đời nên có nhiều lỗi thiếu sót bảo mật khơng thể tránh khỏi chuẩn WEP nên áp dụng cho nơi công cộng quán café, sân bay, khách sạn… Và tức nhiên nên lựa chọn chuẩn WPA WPA2 để áp dụng vào mơ hình wifi để đảm bảo bảo mật cao hơn, chuẩn nên áp dụng cho tổ chức công ty nhỏ lớn VII Nhận xét giáo viên hướng dẫn …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………… The end ... Trình bày đặc trưng riêng biệt, ưu, nhược điểm chuẩn mã hoá mạng Wifi Từ xây dựng sách an tồn thơng tin cho mạng Wifi Xây dựng mơ hình thực tế NỘI DUNG THỰC HIỆN I Giới thiệu sơ lược mạng Wifi.. . Lược đồ mã hố truyền vơ tuyến III Các chuẩn mã hoá Cơ chế mã hoá WEP (Wire Equivalent Privacy) a Ưu điểm b Nhược điểm Cơ chế WPA(Wi-fi Protected Access) a Ưu điểm b Nhược điểm IV Chính sách an. .. đích tin cậy, điều khiển truy nhập, tồn vẹn liệu b Nhược điểm Nhược điểm lớn WEP sử dụng khoá mã hoá tĩnh Khi thiết lập chế WEP cho router, khoá dùng cho thiết bị mạng để mã hoá tất gói tin truyền