Đang tải... (xem toàn văn)
Cả thế giới đang trên đà phát triển mạnh mẽ trên mọi phương diện, đặc biệt là công nghệ thông tin và truyền thông. Nó len lỏi vào từng ngóc ngách trong mọi lĩnh vực kinh tế, chính trị và xã hội. Song song với sự phát triển vượt bậc đó, hệ thống mạng cũng luôn được nâng cấp và cải tiến không ngừng, và một trong những bước tiến quan trọng chính là việc triển khai, đưa vào sử dụng hệ thống mạng máy tính không dây (WLAN) cho các cá nhân và cả doanh nghiệp một cách rộng rãi và phổ biến. Mạng không dây mang lại cho người dùng sự tiện lợi bởi tính cơ động, không phụ thuộc vào dây nối mạng mà vẫn có thể truy cập mạng tại bất cứ vị trí nào chỉ cần có điểm truy nhập. Tuy nhiên, trong mạng không dây lại tồn tại những nguy cơ rất lớn từ bảo mật, những lỗ hổng có thể cho phép kẻ tấn công xâm nhập vào hệ thống để lấy cắp thông tin hay thực hiện hành vi phá hoại. Vì thế vấn đề bảo mật một hệ thống mạng WLAN, hệ thống thông tin luôn là đề tài nóng bỏng, luôn cần phải được đặt lên hàng đầu; bởi lẽ chỉ cần một sự rò rỉ nhỏ cũng dẫn tới một nguy cơ cực kỳ lớn, tổn thất không thể lường trước được
0 GIÁO TRÌNH CÔNG NGHỆ MẠNG KHÔNG DÂY (Dành cho sinh viên CNTT chuyên ngành mạng máy tính) MỤC LỤC Trang LỜI NÓI ĐẦU Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH KHÔNG DÂY WLAN 1.1 WLAN ? 1.2 Lịch sử đời 1.3 Cự ly truyền sóng, tốc độ truyền liệu 1.4 Ưu điểm nhược điểm mạng WLAN 1.4.1 Ưu điểm WLAN 1.4.2 Nhược điểm WLAN 1.5 Các chế độ hoạt động mạng máy tính không dây 1.5.1 Chế độ Ad-hoc 1.5.2 Chế độ Infrastructure 1.5.3 Chế độ Hybrid 1.6 Các chuẩn 802.11 sử dụng mạng WLAN 1.6.1 Nhóm vật lý PHY 1.6.1.1 Chuẩn 802.11b 1.6.1.2 Chuẩn 802.11a 1.6.1.3 Chuẩn 802.11g 1.6.1.4 Chuẩn 802.11n 1.6.2 Nhóm liên kết liệu MAC 10 1.6.2.1 Chuẩn 802.11d 11 1.6.2.2 Chuẩn 802.11e 11 1.6.2.3 Chuẩn 802.11h 12 1.6.2.4 Chuẩn 802.11i 12 1.6.3 Kỹ thuật điều chế trải phổ mà chuẩn IEEE sử dụng cho WLAN 12 1.6.3.1 Trải phổ trực tiếp DSSS (Direct Sequence Spread Spectrum) 13 1.6.3.2 Trải phổ nhảy tần FHSS (Frequence Hopping Spread Spectrum) 15 1.6.4 Công nghệ ghép kênh phân chia theo tần số trực giao OFDM 18 1.7 Các mô hình mạng WLAN 19 1.7.1 Các thiết bị WLAN 19 1.7.1.1 Card mạng không dây (Wireless NIC) 19 1.7.1.2 Điểm truy cập không dây AP (Access Point) 19 1.7.1.3 Cầu nối không dây WB (Wireless Bridge) 20 1.7.1.4 Anten thiết bị không dây (Antenna) 21 1.7.2 Các thành phần kiến trúc IEEE 802.11 21 1.7.2.1 Trạm thu phát STA (Station): 21 1.7.2.2 Môi trường vô tuyến WM (Wireless Medium) 21 1.7.2.3 Hệ thống phân phối DS (Distribution System) 22 1.7.2.4 Tập dịch vụ (Service Set): 22 1.7.3 Các mô hình thực tế 25 1.7.3.1 Mô hình Mạng không dây – Mạng có dây 26 1.7.3.2 Hai mạng có dây kết nối với kết nối không dây 26 1.7.4 Một số chế sử dụng trao đổi thông tin mạng WLAN 27 1.7.4.1 Cơ chế ACK (Acknowledgement) 27 1.7.4.2 Cơ chế CSMA/CA (Carrier Sense Multiple Access/CollISIon Avoidance) 27 1.7.4.3 Cơ chế RTS/CTS (Request to Send/Clear to Send) 28 Chương 2: AN NINH MẠNG MÁY TÍNH 30 2.1 Khái quát tình hình an ninh mạng 30 2.2 Đánh giá mức độ an ninh an toàn mạng 32 2.2.1 Đánh giá vấn đề an toàn, bảo mật hệ thống 32 2.2.1.1 Đánh giá phương diện vật lý 32 2.2.1.2 Đánh giá phương diện logic 32 2.2.2 Các loại hình công mạng 33 2.2.2.1 Tấn công theo tính chất xâm hại thông tin 33 2.2.2.2 Tấn công theo vị trí mạng bị công 34 2.2.2.3 Tấn công theo kỹ thuật công 34 2.3 Đảm bảo an ninh mạng 35 2.4 Bảo mật mạng 35 Chương 3: CÁC KỸ THUẬT TẤN CÔNG MẠNG WLAN & BIỆN PHÁP NGĂN CHẶN 37 3.1 Cơ Sở Tiến Hành Tấn Công 37 3.1.1 Tìm hiểu mô hình TCP/IP 37 3.1.2 Các nhược điểm bảo mật mạng WLAN 39 3.2 Các Kiểu Tấn Công Trong Mạng WLAN 43 3.2.1 Tấn công bị động (Passive Attack) 43 3.2.2 Tấn công chủ động (Active Attack) 45 3.2.3 Tấn công kiểu gây nghẽn, chèn ép (Jamming Attack) 52 3.2.4 Tấn công kiểu người đứng (Man-in-the-middle Attack) 53 Chương 4: BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY 55 4.1 Khái quát bảo mật WLAN 55 4.2 Mối nguy hiểm, đe dọa WLAN 56 4.3 Các phương thức, kỹ thuật bảo mật mạng WLAN 57 4.3.1 Các kỹ thuật bảo mật sử dụng chế điều khiển truy nhập (Device Authorization) 58 4.3.1.1 Lọc SSID (Service Set Identifier) 58 4.3.1.2 Lọc địa MAC 59 4.3.1.3 Lọc giao thức: 62 4.3.2 Các kỹ thuật bảo mật sử dụng phương thức mã hóa Encryption 62 4.3.2.1 Bảo mật WEP (Wired Equivalent Privacy) 66 4.3.2.2 Bảo mật WPA 76 4.3.2.3 Bảo mật WPA2 91 4.3.3 Phương thức bảo mật sử dụng công nghệ tường lửa Firewall 94 4.3.3.1 Firewall gì? 94 4.3.3.2 Cấu trúc Firewall 94 4.3.3.3 Chức Firewall 95 4.3.3.4 Những hạn chế Firewall 95 4.3.4 Phương thức bảo mật sử dụng VPN (Virtual Private Network) 96 4.3.5 Hệ thống phát xâm nhập không dây (Wireless IDS) cho mạng WLAN 98 4.4 Xây Dựng Mạng WLAN An Toàn 101 4.4.1 Bảo mật cho mạng WLAN gia đình văn phòng nhỏ 101 4.4.2 Bảo mật mạng WLAN cho doanh nghiệp nhỏ 102 4.4.3 Bảo mật mạng WLAN cho doanh nghiệp vừa lớn 103 4.4.4 Mức độ bảo mật cao mạng WLAN áp dụng cho quân 103 4.5 Minh họa cấu hình mạng WLAN sử dụng Linksys tạo WEP/WPA/WPA2 key 104 TÀI LIỆU THAM KHẢO 110 DANH MỤC CÁC CHỮ VIẾT TẮT A AAA AES Authentication, Authorization Dịch vụ xác thực, cấp quyền and Accounting kiểm toán (tính cước) Advanced Encryption Chuẩn mã hóa cao cấp Standard ANonce Access Point Nonce Số ngẫu nhiên bí mật điểm truy cập AP Access Point Điểm truy cập ARP Address Resolution Protocol Giao thức phân giải địa AS Access Server Máy chủ truy cập ASCII American Standard Code for Hệ thống mã hóa ký tự dựa Information Interchange bảng chữ tiếng Anh BPSK Binary Phase Shift Keying Điều chế pha nhị phân BSSID Basic Service Set Identifier Tên tập dịch vụ sở CCK Complementary Code Key Khóa mã tạm thời CPU Central Processing Đơn vị xử lí trung tâm CRC Cyclic Redundancy Check (Sự) kiểm dư vòng B C CSMA/CA Carrier Sense Multiple Access with CollISIon Đa truy cập nhận biết sóng mang tránh xung đột Avoidance CSMA/CD Carrier Sense Multiple Đa truy cập nhận biết sóng mang Access with CollISIon Detect dò tìm xung đột D DES Data Encryption Standard Chuẩn mã hóa liệu DFS Dynamic Frequency Tự động lựa chọn tần số Selection DOS Denial of Service Từ chối dịch vụ Extensible Authentication Giao thức xác thực mở rộng E EAP Protocol EAPOL EAP over LAN Giao thức xác thực mở rộng thông qua mạng LAN ECB Electronic Code Block Khối mã điện tử ETSI European Viện tiêu chuẩn viễn thông Châu Telecommunications Âu Standards Institute F FCC Federal Communications Ủy ban Truyền thông liên bang Commission File Transfer Protocol Giao thức truyền tập tin GMK Group Master Key Khóa chủ nhóm GTK Group Transient Key Khóa nhóm tạm thời HEXA Hexadecimal Hệ mười sáu HTTP Hypertext Transfer Protocol Giao thức truyền siêu văn Hypertext Transfer Protocol Bảo mật giao thức truyền siêu Secure văn FTP G H HTTPS I IAPP Inter AP Protocol ICI Inter-Carrier Interference Giao thức liên lạc AP Nhiễu giao thoa sóng mang Internet Control Message Giao thức điều khiển thông điệp Protocol Internet ICV Integrity Check Value Giá trị kiểm tra tính toàn vẹn IDS Intrusion Detected System Hệ thống phát xâm nhập ICMP IEEE IGMP Institute of Electrical and Electronics Engineers Internet Group Management Protocol IP Internet Protocol IPSec Internet Protocol Security ISI Inter-Symbol Interference Viện Kỹ sư Điện Điện tử Giao thức quản lý nhóm Internet Giao thức liên mạng Giao thức thiết lập kết nối bảo mật Nhiễu giao thoa tín (ký) hiệu Industrial, Scientific, and Dãy băng tần sử dụng Medical Công nghiệp, Khoa học Y học ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IV Initialization Vector Vector khởi tạo Local Area Network Mạng máy tính cục Lightweight Extensible Giao thức xác thực mở rộng dựa Authentication Protocol việc xác thực lẫn Logical Link Control Điều khiển liên kết logic ISM Band L LAN LEAP LLC Line of Sight Tầm nhìn thẳng MAC Media Access Control Điều khiển truy nhập môi trường MD4 Message-Digest algorithm Giải thuật Tiêu hóa tin MD5 Message-Digest algorithm Giải thuật Tiêu hóa tin MIC Message Integrity Check LOS M MIMO MSDU Multiple Input and Multiple Output Kiểm tra tính toàn vẹn thông điệp Nhiều đầu vào nhiều đầu MAC Service Data Unit Đơn vị liệu dịch vụ MAC Nation Institute of Standard Viện chuẩn công nghệ quốc and Technology gia (Mỹ) N NIST O OSI Open System Interconnection Mô hình kết nối hệ thống mở P PC Personal Computer Máy tính cá nhân Thiết bị số hỗ trợ cá nhân PDA Personal Digital Assistant PKI Public Key Infrastructure Hạ tầng khóa công khai PMK Pairwise Master Key Khóa chủ cặp POP Post Office Protocol Giao thức bưu điện POP3 Post Office Protocol Giao thức bưu điện phiên PG Processing gain Độ lợi xử lý PPP Point to Point Protocol Giao thức điểm-điểm PPTP PRF PRNG Point to Point Tunneling Giao thức đường hầm điểm- Protocol điểm Pseudo Random Function Hàm giả ngẫu nhiên Pseudo-Random Number Generator Bộ phát sinh số ngẫu nhiên PSD Power Spectrum Density Mật độ phổ công suất PSK Pre-Shared Key Khóa chia sẻ PTK Pair-wise Transient Key Khóa cặp tạm thời Quality of Service Chất lượng dịch vụ Q QoS QPSK Quadature Phase Shift Keying Điều chế pha trực giao R RADIUS RARP RTS/CTS Remote Authentication Dial Dịch vụ xác thực người dùng In User Service quay số từ xa Reverse Address Resolution Giao thức phân giải địa Protocol ngược Request to Send/Clear to Send Yêu cầu gửi/Xóa việc gửi S Ghép kênh phân chia theo không SDM Space-DivISIon Multiplexing SHA Secure Hash Algorithm Thuật giải băm an toàn SHSO Small Office Home Office Mô hình văn phòng nhà SIG Special Interest Group Nhóm quan tâm đặc biệt gian 97 chống lại công liệu (data-drivent attack) Tuy nhiên, Firewall giải pháp bảo mật hữu hiệu áp dụng rộng rãi 4.3.4 Phương thức bảo mật sử dụng VPN (Virtual Private Network) Hình 4.30: Giải pháp sử dụng VPN để bảo mật WLAN Công nghệ mạng riêng ảo VPN cung cấp công cụ để truyền liệu cách an toàn thiết bị mạng môi trường truyền không an toàn Mạng riêng ảo VPN bảo vệ mạng WLAN cách tạo kênh che chắn liệu khỏi truy cập trái phép VPN tạo tin cậy cao thông qua việc sử dụng chế bảo mật IPSec (Internet Protocol Security) IPSec dùng thuật toán mạnh Data Encryption Standard (DES) Triple DES (3DES) để mã hóa liệu, dùng thuật toán khác để xác thực gói liệu IPSec sử dụng thẻ xác nhận số để xác nhận khóa mã (public key) Khi sử dụng mạng WLAN, cổng kết nối VPN đảm nhận việc xác thực, đóng gói mã hóa VPN hoạt động cách tạo đường hầm giao thức IP Các lưu lượng bên đường hầm bị mã hóa hoàn toàn bị cách li Công nghệ VPN cung cấp cấp độ cho việc bảo mật: xác thực người dùng, mã hóa xác thực liệu, với giải pháp không mã hóa gói tin mà đưa chúng vào đường hầm riêng truyền Chính lớp bảo mật riêng cung cấp nhiều thuận lợi cho mức truy cập Nhiều nhà sản xuất WLAN tích hợp phần mềm VPN server vào AP Gateway cho phép sử dụng công nghệ VPN để bảo mật kết nối không dây Lúc đó, client phải sử dụng phần mềm VPN client chạy giao thức PPTP 98 (Point-to-Point Tunneling Protocol) hay IPSec (IP Security) để thiết lập đường hầm trực tiếp đến AP Trước tiên, client phải kết nối (associate) với AP Sau đó, kết nối VPN dial-up phải tạo client truyền lưu lượng qua AP Tất lưu lượng truyền qua đường hầm mã hóa truyền để tăng thêm lớp bảo mật Sử dụng PPTP với mật mã dùng chung (shared secret) đơn giản, dễ cài đặt cung cấp mức bảo mật tốt đặc biệt sử dụng với mã hóa WEP Sử dụng IPSec với mật mã dùng chung hay giấy chứng nhận (Certification) giải pháp khác cho lựa chọn Khi VPN server cài đặt vào Enterprise Gateway tiến trình diễn tương tự ngoại trừ điều sau client kết nối với AP đường hầm VPN thiết lập với gateway với AP Cũng có số nhà sản xuất đưa nhiều biến dạng cho giải pháp VPN họ (cả phần cứng hay phần mềm) để hỗ trợ client không dây cạnh tranh thị trường WLAN Những thiết bị hay ứng dụng hoạt động tương tự Enterprise Gateway, đặt phân đoạn mạng không dây mạng lõi có dây Giải pháp VPN không dây có giá hợp lý, cài đặt đơn giản Nếu người quản trị (admin) kinh nghiệm giải pháp VPN người quản trị nên đào tạo trước triển khai giải pháp VPN VPN hỗ trợ WLAN thường thiết kế với quan điểm người quản trị chưa biết VPN, điều giải thích VPN lại khuyến khích sử dụng phổ biến mà doanh nghiệp chưa triển khai bảo mật tiên tiến WPA2 Với tất nguy cơ, mối nguy hiểm, đe doạ trình bày trên, người dùng mạng không an tâm hệ thống mạng WLAN định không sử dụng nó? Tuy giải pháp, chế, hệ thống bảo mật có điểm yếu, lỗ hổng riêng, biết kết hợp giải pháp lại, sử dụng cách mềm dẻo tạo giải pháp bảo mật tối ưu, cần thiết đáp ứng nhu cầu bảo mật cho mạng WLAN Trong thực tế, để bảo mật mạng WLAN, người ta thường kết hợp sử dụng nhiều giải pháp bảo mật lại với để tạo thành hệ thống bảo mật đảm bảo, chắn 99 Hình 4.31: Kết hợp nhiều giải pháp bảo mật hệ thống 4.3.5 Hệ thống phát xâm nhập không dây (Wireless IDS) cho mạng WLAN IDS(Intrusion Detection System_ hệ thống phát xâm nhập) thống giám sát lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị Ngoài IDS đảm nhận việc phản ứng lại với lưu thông bất thường hay có hại cách hành động thiết lập trước khóa người dùng hay địa IP nguồn truy cập hệ thống mạng,… Trong WLAN, môi trường truyền không khí, thiết bị có hỗ trợ chuẩn 802.11 phạm vi phủ sóng truy cập vào mạng Do cần có giám sát bên bên hệ thống mạng Một hệ thống WIDS thường hệ thống máy tính có phần cứng phần mềm đặc biệt để phát hoạt động bất thường Phần cứng wireless có nhiều tính so với card mạng wireless thông thường, bao gồm việc giám sát tần số sóng (RF_Radio frequency), phát nhiễu,… Một WIDS bao gồm hay nhiều thiết bị lắng nghe để thu thập địa MAC (Media Access Control), SSID, đặc tính thiết lập trạm, tốc độ truyền, kênh tại, trạng thái mã hóa, … Nhiệm vụ WIDS là: + Giám sát phân tích hoạt động người dùng hệ thống 100 + Nhận diện loại công biết + Xác định hoạt động bất thường hệ thống mạng + Xác định sách bảo mật cho WLAN + Thu thập tất truyền thông mạng không dây đưa cảnh báo dựa dấu hiệu biết hay bất thường truyền thông WIDS (Wireless Intrusion Detection System) cấu hình theo mô hình tập trung phân tán Wireless IDS IP Network Wireless Client RF Sensor AP Attacker Wireless Client RF Sensor AP Rogue AP Hình 4.32: Mô hình WIDS tập trung Trong mô hình tập trung, phận tập trung thu thập tất liệu tần số 802.11 cảm biến mạng riêng lẻ chuyển chúng tới thiết bị quản lý trung tâm, nơi liệu IDS lưu trữ xử lý để phát xâm nhập Hầu hết IDS tập trung có nhiều cảm biến để phát xâm nhập phạm vi toàn mạng Để thuận tiện, tín hiệu báo động đưa thiết bị quản lý trung tâm, thiết bị dùng quản lý cập nhật cho tất cảm biến Wireless IDS tập trung phù hợp với mạng WLAN phạm vi rộng dễ quản lý hiệu việc xử lý liệu Trong Wireless IDS phân tán bao gồm nhiều thiết bị thực chức cảm biến quản lý Mô hình phù hợp với mạng WLAN nhỏ có AP, Wireless IDS phân tán tất nhiên tiết kiệm chi phí 101 Wireless IDS AP Hub Router Wireless Client Internet Hình 4.33: Mô hình WIDS phân tán Wireless IDS kiểm tra mạng WLAN cách sử dụng thiết bị kết hợp phần mềm phần cứng, gọi cảm biến phát xâm nhập Cảm biến đứng mạng kiểm tra tất lưu lượng mạng Vì vậy, để triển khai hệ thống WIDS, việc phải xác định nơi tốt để đặt cảm biến Để định trước hết có vài phân tích chi tiết mạng WLAN xây dựng tại: ♦ Tòa nhà xây dựng loại vật liệu gì? Khung thép, gỗ hay vật liệu khác? (với khung thép giới hạn phạm vi truyền sóng), khu vực mạng có cần cách biệt không?, địa MAC dùng? Và điểm truy cập hợp lệ có gì? Dựa thông tin thông tin có từ việc quét mạng sử dụng phần mềm (Kismet, Netstumbler ) Sau đó, ta khái quát hệ thống WLAN cần xây dựng với đặc điểm: AP đặt đâu, dùng chung, cường độ tín hiệu Từ đó, ta xác định vị trí số lượng cảm biến IDS cần lắp đặt Khi ta có cảm biến mạng, cường độ tín hiệu AP điều chỉnh chặn lại để có phạm vi phủ sóng mong muốn, lưu lượng mạng phân tích Nếu có bất thường lưu lượng cảnh báo phát Hệ thống WIDS gửi cảnh báo khi: ♦ AP tải có nhiều trạm kết nối vào ♦ Kênh truyền tải có nhiều AP lưu lượng sử dụng kênh 102 ♦ AP có cấu hình không thích hợp không đồng với AP khác hệ thống mạng ♦ Số lần thực kết nối vào mạng nhiều… Như vậy, việc triển khai thiết bị WIDS áp dụng vào mạng không dây doanh nghiệp thật cần thiết việc phát hiện, ngăn chặn truy cập trái phép vào mạng Cùng với giải pháp bảo mật trên, việc triển khai lắp đặt hệ thống WIDS giúp cho việc bảo mật mạng WLAN trở nên an toàn, hiệu 4.4 Xây dựng mạng WLAN an toàn Việc xây dựng mạng WLAN an toàn tùy thuộc vào nhiều yếu tố như: mức độ rủi ro mà mạng gặp phải; mức độ quản lý; mức độ liệu cần bảo vệ Do đó, cần xây dựng sách bảo mật (security policy) hợp lý, phù hợp với nhu cầu cá nhân, doanh nghiệp Cần phải chia bảo mật mạng WLAN thành nhiều cấp khác từ đưa giải pháp bảo mật thích hợp cho cấp Có thể chia bảo mật mạng WLAN thành mức độ bảo mật khác từ thấp đến cao sau: +) Mức độ 1: Bảo mật mạng WLAN gia đình văn phòng nhỏ +) Mức độ 2: Bảo mật mạng WLAN doanh nghiệp nhỏ +) Mức độ 3: Bảo mật mạng WLAN doanh nghiệp vừa lớn +) Mức độ 4: Bảo mật mạng WLAN dùng cho quân 4.4.1 Bảo mật cho mạng WLAN gia đình văn phòng nhỏ Người sử dụng văn phòng nhỏ hay cấp độ hộ gia đình đủ ngân sách nhân viên quản trị để cài đặt bảo trì hoạt động RADIUS server Do đó, với cấp độ mạng này, lời khuyên đưa sử dụng WPA dùng Pre-Share Key (PSK) password để thực bảo mật cho mạng WLAN Để nâng cấp WPA cho mạng SOHO đơn giản Người sử dụng mua thiết bị có cài đặt WPA cập nhật WPA thiết bị có Việc cập nhật đơn giản việc cài đặt driver cho hardware (card 103 Wireles NIC AP) sau thực cấu hình WPA-PSK AP Client WPA-PSK giải pháp bảo mật tốt bỡi WPA-PSK bị phá cách “tấn công từ điển” Nhưng với mức bảo mật cho mạng gia đình văn phòng nhỏ chúng phù hợp đảm bảo an toàn biện pháp khắc phục cho nhược điểm WPA-PSK nên đặt mật dài (khuyến cáo 20 ký tự) chuỗi số, ký tự ngẫu nhiên khó nhớ 4.4.2 Bảo mật mạng WLAN cho doanh nghiệp nhỏ Đối với mạng WLAN cho doanh nghiệp nhỏ, phải quan tâm đến bảo mật mạng gia đình Vì việc kết hợp nhận thực vào điều khiển truy nhập mạng điều cần thiết Chúng ta dùng chế nhận thực 802.1x PEAP TTLS để làm điều 802.1x hạn chế truy nhập tới lớp liên kết liệu mạng cách cho phép truy nhập đến mạng người sử dụng cung cấp sở nhận thực họ thông qua chế nhận thực mở rộng EAP Để triển khai PEAP TTLS, cần triển khai máy chủ nhận thực RADIUS, với phần mềm quản lý IAS chạy Microsoft Window Server 2003, phần mềm mã mở FreeRADIUS chạy Linux Ngoài ra, để bảo mật mạng tốt, cần kết hợp xác thực với mật mã hóa Lời khuyên đưa cấp độ bảo mật phải sử dụng WPA với TKIP nâng cấp lên sử dụng AES Chỉ có số thiết bị WPA hỗ trợ mã hóa AES tất thiết bị WPA2 hỗ trợ thuật toán mã hóa Do để an toàn cho mạng, doanh nghiệp nên sử dụng sản phẩm hỗ trợ WPA2 (hay 802.11i) Khi đó, có cách để công vào mạng ăn cắp chứng thực (ở lớp - liên kết liệu password) người sử dụng Để làm điều hacker cài đặt vào máy tính chương trình keylog thông qua Virut Worm để ghi lại tất gõ từ bàn phím từ dò password 104 Giải pháp bảo mật lựa chọn tốt cho doanh nghiệp nhỏ Tuy nhiên tổ chức yêu cầu mức độ bảo mật cao không phù hợp cấp độ bảo mật này, password bị làm nguy hiểm đến toàn mạng 4.4.3 Bảo mật mạng WLAN cho doanh nghiệp vừa lớn Bảo mật WLAN cấp độ xây dựng sở với cấp độ 2, an toàn nhiều Hai phương thức nhận thực sử dụng EAPTLS PEAP-EAP-MSCHAPv2, sử dụng chứng thực “mềm” khóa bí mật lưu máy người sử dụng EAP-TLS sử dụng rộng rãi chúng tương thích với client software cũ cần phần mềm Microsoft Về mã hóa tương tự lời khuyên dành cho cấp độ bảo mật WPA với TKIP phương thức mã hóa tối thiểu khuyên dùng nâng cấp lên AES Rất khó khăn cho hacker xâm nhập vào mạng chúng không cần tìm mật truy cập mạng mà phải biết chứng thực “mềm” người sử dụng Việc lấy chứng thực “mềm” khó khăn nhiều so với việc lấy password 4.4.4 Mức độ bảo mật cao mạng WLAN áp dụng cho quân Cấp độ bảo mật xây dựng dựa cấp độ với mục đích chống lại việc ăn cắp chứng thực chương trình keylog hay backdoor Trên người dùng, chứng thực số không lưu ổ đĩa cứng EAP-TLS PEAP-EAP-TLS mà phải lưu modul bảo mật cứng Smartcard, USB, hay thiết bị lưu trữ khác Do đó, không bị lộ việc sử dụng mật mã hay chứng thực “mềm” Thiết bị lưu trữ USB sử dụng nhiều chúng sử dụng với máy tính xách tay không cần có đầu đọc Smartcard Tuy nhiên, nguy hiểm đến có đánh Smartcard, USB Nếu điều xảy ra, người sử dụng 105 loại bỏ chứng thực số khỏi hệ thống nhận thực cách thông báo với nhà quản trị mạng Trong tương lai, nhiều thiết bị lưu trữ USB Smartcard chế tạo tích hợp với đầu đọc dấu vân tay sử dụng chế bảo vệ thiết bị mật Vì chúng trở nên vô dụng trừ hacker có dấu vân tay người sử dụng, hay chúng nghĩ phương pháp phức tạp để giả mạo đánh lừa đầu đọc dấu vân tay Vì thế, cần thiết, người sử dụng sử dụng nhận dạng sinh trắc học (có thể phương pháp bảo vệ cuối cùng), với phương pháp phòng thủ người dùng có đủ thời gian để thu hồi lại chứng thực bị trước xảy truy nhập trái phép tới mạng Thuật toán mã hóa AES phương pháp mã hóa sử dụng cho mức Cùng với sử dụng mã hóa AES, cấp độ bảo mật này, 802.11i yêu cầu sử dụng cho AP, wireless NIC hệ điều hành Hầu hết sản phẩm cũ không hỗ trợ 802.11i, để thiết lập hệ thống bảo mật cấp độ phải mua thiết bị hỗ trợ 802.11i (WPA2), cập nhật firmware, driver cho AP Wireless NIC Lời khuyên đưa sử dụng sản phẩm Cisco, sản phẩm có tính bảo mật trội so với sản phẩm loại thị truờng 4.5 Minh họa cấu hình mạng WLAN sử dụng Linksys tạo WEP/WPA/WPA2 key: Sử dụng Wireless Router Linksys WRT54G2 thiết bị STA (Laptop) để cấu hình +) Sau cấu hình địa IP cho Access Point Linksys, kiểm tra địa IP mà AP cấp cho card mạng wireless 106 +) Tiếp tục cấu hình AP thông qua trình duyệt web, với địa IP AP 192.168.1.1 Connect đến nó: Access Point yêu cầu đăng nhập vào thông qua username password Mặc định username: admin password: admin +) Cấu hình IP tĩnh cho AP: chọn tab Setup, chọn Basic Setup Ở phần Internet Connection Type ta chọn Static IP +) Gán thông tin IP, subnet mask tương ứng nó, Default gateway, DNS server: ♦ Cấu hình thông số network cho Access Point, gồm công việc: - Cấu hình địa IP cấp cho máy dùng mạng wireless máy đang có dây cable nối vào port Lan Access Point, cấu hình địa IP thuộc network 192.168.1.0/24 Địa IP Access Point lúc 192.168.1.1/24 107 - Ta cấu hình cấp IP thông DHCP Gán địa IP bắt đầu, số lượng IP mà DHCP server cấp tối đa - Ngoài số lý bảo mật ta tắt tính DHCP - Chọn “ Save Setting “ để lưu lại thông tin cấu hình vừa làm ♦ Chuyển qua tab Wireless: - Wireless Network Mode: mặc định nhà sản xuất để chế độ Mix mode - Mặc định hãng Linksys dùng tên SSID cho Access Point “linksys” ta chuyển thành tên nhan ” - Phần Channel, Access Point hoạt động theo chuẩn DSSS Trong suốt trình hoạt động tầng số hoạt động cố định Ở linksys cho ta chọn 11 channel Thường nên chọn channel 1, 11 Ta chọn channel 11 - Mặc định Access Point broadcast, chọn Enable, bạn chọn disable để tắt - Save Setting để lưu thông số vừa cài đặt 108 ♦ Chuyển qua tab “ Wireless Security: - Chọn Security mode “ WPA2 personal “ - Thuật toán WPA: TKIP + AES - Ta gán cho shared key (ở ta gán 999999999) để thời gian renew cho key mặc định 3600 - Chọn Save Setting 109 Sau chọn Save Setting, bạn thấy connection laptop Access Point bị Ta đăng nhập lại Access Point với shared key cấu trên, kết thị kết nối, kiểm tra xem laptop kết nối với Access Point cách kiểm tra địa IP: Vậy laptop kết nối với AP ♦ Tiếp tục cấu hình Mac filtering Access Point: tính Mac filtering mặc định bị “Disable” Enable tính lên, chọn Permit Chọn vào Edit Mac filter list xuất bảng Mac Address Filter List: 110 Vậy cấu hình cho AP cấp DHCP cho máy Client, chuyển tên SSID cho AP thành tên khác, cấu hình WPA/WPA2 WEP key, cấu hình Mac Address Filtering 111 TÀI LIỆU THAM KHẢO Tài liệu tiếng việt [1] Vũ Đình Cường (2008), Từng Bước Khám Phá An Ninh Mạng: Hack Internet-OS Bảo Mật (tập 1&2), Nhà xuất Lao Động – Xã Hội [2] TS Phạm Thế Quế (2008), Công Nghệ Mạng Máy Tính, Nhà xuất Bưu Điện, Hà Nội Tài liệu tiếng anh [1] A Stubblefield, J Ioannidis, A.D Rubin (2001), “Using the Fluhrer, Mantin and Shamir Attack to Break WEP”, AT&T Labs Technical Report [2] Pejman Roshan, Jonathan Leary (2003), 802.11 Wireless LAN Fundamentals, Cisco Press Tài liệu Internet [1] http://www.bb-elec.com/, truy nhập cuối ngày 10/05/1010 [2] http://www.wi-fi.org/, truy nhập cuối ngày 10/05/2010 [3] http://www.tuonglua.net/, truy nhập cuối ngày 20/05/2010 [4] http://ciscoblog.globalknowledge.com/, truy nhập cuối ngày 13/04/2010 [...]... QUAN VỀ MẠNG MÁY TÍNH KHÔNG DÂY WLAN Mục tiêu: Hiểu được khái niệm mạng không dây Phân loại các kiểu mạng không dây PAN, WLAN, WMAN, WWAN Hiểu được xu hướng ứng dụng công nghệ mạng không dây trong tương lai 1.1 WLAN là gì ? WLAN (Wireless Local Area Network) là mạng cục bộ gồm các máy tính liên lạc với nhau bằng sóng điện từ WLAN sử dụng sóng điện từ để truyền và nhận dữ liệu qua môi trường không. .. trọng của các công nghệ truyền thông băng rộng 1.7 Các mô hình WLAN 1.7.1 Các thiết bị cơ bản trong WLAN 1.7.1.1 Card mạng không dây (Wireless NIC) Máy tính sử dụng card mạng không dây để giao tiếp với mạng không dây bằng cách điều chế tín hiệu dữ liệu với chuỗi trải phổ và thực hiện một giao thức CSMA/CA (Carrier Sense Multiple Access with CollISIon Avoidance) và làm việc ở chế độ bán song công (half-duplex)... mật một hệ thống mạng WLAN, hệ thống thông tin luôn là đề tài nóng bỏng, luôn cần phải được đặt lên hàng đầu; bởi lẽ chỉ cần một sự rò rỉ nhỏ cũng dẫn tới một nguy cơ cực kỳ lớn, tổn thất không thể lường trước được Nội dung: Chương 1: Tổng quan về mạng máy tính không dây WLAN Chương 2: An ninh mạng máy tính Chương 3: Bảo mật trong mạng LAN không dây Chương 4: Các kỹ thuật tấn công mạng WLAN & biện... phát hiện xâm nhập không dây Hệ thống mạng không dây sử dụng sóng vô tuyến đặt trên các máy vi tính Unix WPA/ WLAN Tên các hệ điều hành được cài Linux, WLAN Chuẩn bảo mật trong mạng Wireless Local Network Area Mạng cục bộ không dây Wifi Protected Access Chuẩn bảo mật được sử dụng trong mạng WLAN 12 DANH MỤC CÁC BẢNG Số hiệu Tên bảng Trang 1.1 So sánh các chuẩn 802.11 được sử dụng trong mạng WLAN 10 1.2... nhân và cả doanh nghiệp một cách rộng rãi và phổ biến Mạng không dây mang lại cho người dùng sự tiện lợi bởi tính cơ động, không phụ thuộc vào dây nối mạng mà vẫn có thể truy cập mạng tại bất cứ vị trí nào chỉ cần có điểm truy nhập Tuy nhiên, trong mạng không dây lại tồn tại những nguy cơ rất lớn từ bảo mật, những lỗ hổng có thể cho phép kẻ tấn công xâm nhập vào hệ thống để lấy cắp thông tin hay thực... Outdoor Các điểm truy cập không dây tạo ra các vùng phủ sóng, nối các nút di động tới các cơ sở hạ tầng LAN có dây Vì các điểm truy cập cho phép mở rộng vùng phủ sóng nên các mạng không dây WLAN có thể triển khai cả một tòa nhà hay một khu trường đại học, tạo ra một vùng truy cập không dây rộng lớn Các điểm truy cập này không chỉ cung cấp trao đổi thông tin với các mạng có dây mà còn lọc lưu lượng và... thu phát STA (Station) Là các thiết bị không dây kết nối vào mạng như: máy vi tính, PDA, điện thoại di động thông qua các card không dây hoặc USB kết nối vào mạng không dây với vai trò như phần tử trong mô hình mạng ngang hàng (Peer-toPeer) hoặc client trong mô hình Client/Server Các mạng được xây dựng để truyền dữ liệu giữa các STA với nhau trong cùng hoặc khác mạng ... sóng, ) là không tránh khỏi, làm giảm đáng kể hiệu quả hoạt động của mạng Tốc độ: tốc độ của mạng không dây là chậm so với mạng sử dụng cáp Tuy nhiên, đối với hầu hết những người dùng thì tốc độ này là chấp nhận được bởi vì nó cao hơn so với tốc độ định tuyến ra mạng bên ngoài, và điều này sẽ dần được cải thiện, khắc phục trong tương lai 1.5 Các chế độ hoạt động trong mạng máy tính không dây 1.5.1 Chế... độ Ad-hoc là mạng ngang hàng (Peer-to-Peer), được cấu thành chỉ bởi các thiết bị hoặc các máy tính có vai trò ngang nhau, không có một thiết bị hay 5 máy tính nào làm chức năng tổ chức và điều tiết lưu thông mạng Chúng giao tiếp trực tiếp với nhau thông qua card mạng không dây mà không dùng đến các thiết bị định tuyến (Wireless Router) hay thu phát không dây (Wireless AP) Các máy trong mạng Ad-Hoc phải... nối) giữa các mạng WLAN và LAN hữu tuyến tức là nếu đã có một LAN hữu tuyến thì có thể thêm AP/Bridge dưới dạng một client khác vào mạng hữu tuyến Chế độ mạng này thông thường được thiết lập với một mạng không dây gia đình Hình 1.2 minh họa một mạng Infrastructure điển hình 1.5.3 Chế độ Hybrid Chế độ Hybrid là sự kết hợp giữa các mạng Ad-hoc và mạng Infrastructure Trong chế độ này tạo một mạng Infrastructure