Giáo trình Công nghệ mạng không dây (Nghề: Quản trị mạng - Cao đẳng) nhằm giúp sinh viên biết được xu hướng sử dụng công nghệ mạng không dây trong thời đại mới cũng như biết thiết kế, xây dựng được các loại mô hình mạng không dây dạng ad-hoc và Infrastructure. Giáo trình được chia thành 2 phần, phần 2 tiếp tục trình bày những nội dung về: bảo mật và quản lý mạng không dây; cấu hình router cisco; các kiểu tấn công mạng WLAN;... Mời các bạn cùng tham khảo!
58 BÀI BẢO MẬT VÀ QUẢN LÝ MẠNG KHÔNG DÂY Mã bài: MĐ20-04 Mục tiêu: - Mô tả cấu trúc mạng không dây; - Thiết kế mạng không dây cục (WLAN); - Phân biệt ưu nhược điểm mạng không dây; - Phân biệt chế độ AP - Thực thao tác an tồn với máy tính Nội dung chính: 1.Tại phải bảo mật mạng khơng dây(WLAN) Mục tiêu: Hiểu nguyên nhân cần phải bảo mật mạng không dây, chế bảo mật mạng Để kết nối tới mạng LAN hữu tuyến ta cần phải truy cập theo đường truyền dây cáp, phải kết nối PC vào cổng mạng Với mạng không dây ta cần có máy ta vùng sóng bao phủ mạng khơng dây Điều khiển cho mạng có dây đơn giản: đường truyền cáp thơng thường tịa nhà cao tầng port khơng sử dụng làm cho disable ứng dụng quản lý Các mạng khơng dây (hay vơ tuyến) sử dụng sóng vơ tuyến xuyên qua vật liệu tòa nhà bao phủ không giới hạn bên tịa nhà Sóng vơ tuyến xuất đường phố, từ trạm phát từ mạng LAN này, truy cập nhờ thiết bị thích hợp Do mạng khơng dây cơng ty bị truy cập từ bên ngồi tịa nhà cơng ty họ Để cung cấp mức bảo mật tối thiểu cho mạng WLAN ta cần hai thành phần sau: Cách thức để xác định có quyền sử dụng WLAN - yêu cầu thỏa mãn chế xác thực( authentication) ·Một phương thức để cung cấp tính riêng 59 tư cho liệu không dây – yêu cầu thỏa mãn thuật toán mã hóa ( encryption) Các kiểu cơng mạngWLAN Mục tiêu: giúp học viên hiểu hình thức công vào hệ thống mạng không dây thường sử dụng để có phương pháp xử lý 2.1.Rogue Access Point Access Point giả mạo dùng để mô tả Access Point tạo cách vơ tình hay cố ý làm ảnh hưởng đến hệ thống mạng có Nó dùng để thiết bị hoạt động không dây trái phép mà không quan tâm đến mục đích sử dụng chúng Phân loại + Access Point cấu hình khơng hồn chỉnh Một Access Point bất ngờ trở thành thiết bị giả mạo sai sót việc cấu hình Sự thay đổi Service Set Identifier(SSID), thiết lập xác thực, thiết lập mã hóa,… điều nghiêm trọng chúng chứng thực kết nối bị cấu hình sai Ví dụ: trạng thái xác thực mở(open mode authentication) người dùng không dây trạng thái 1(chưa xác thực chưa kết nối) gửi yêu cầu xác thực đến Access Point xác thực thành công chuyển sang trang thái (được xác thực chưa kết nối) Nếu Access Point không xác nhận hợp lệ máy khách lỗi cấu hình, kẻ cơng gửi số lượng lớn u cầu xác thực, làm tràn bảng yêu cầu kết nối máy khách Access Point , làm cho Access Point từ chối truy cập người dùng khác bao gồm người dùng phép truy cập + Access Point giả mạo từ mạng WLAN lân cận Các máy khách theo chuẩn 802.11 tự động chọn Access Point có sóng mạnh mà phát để kết nối Ví dụ: Windows XP tự động kết nối đến kết nối tốt xung quanh Vì vậy, người dùng xác thực tổ chức kết nối đến 60 Access Point tổ chức khác lân cận Mặc dù Access Point lân cận không cố ý thu hút kết nối từ người dùng, kết nối vơ tình để lộ liệu nhạy cảm + Access Point giả mạo kẻ công tạo Giả mạo AP kiểu công “man in the middle” cổ điển Đây kiểu công mà tin tặc đứng trộm lưu lượng truyền nút Kiểu cơng mạnh tin tặc trộm tất lưu lượng qua mạng Rất khó khăn để tạo cơng “man in the middle” mạng có dây kiểu cơng u cầu truy cập thực đến đường truyền Trong mạng khơng dây lại dễ bị công kiểu Tin tặc cần phải tạo AP thu hút nhiều lựa chọn AP thống AP giả thiết lập cách chép tất cấu hình AP thống là: SSID, địa MAC v.v Bước làm cho nạn nhân thực kết nối tới AP giả Trong mạng 802.11 lựa chọn AP thực cường độ tín hiệu nhận Điều tin tặc phải thực chắn AP có cường độ tín hiệu mạnh Để có điều tin tặc phải đặt AP gần người bị lừa AP thống sử dụng kỹ thuật anten định hướng Sau nạn nhân kết nối tới AP giả, nạn nhân hoạt động bình thường nạn nhân kết nối đến AP thống khác liệu nạn nhân qua AP giả Tin tặc sử dụng tiện ích để ghi lại mật nạn nhân trao đổi với Web Server Như tin tặc có tất muốn để đăng nhập vào mạng thống Kiểu công tồn 802.11 không yêu cầu chứng thực hướng AP nút AP phát quảng bá toàn mạng Điều dễ bị tin tặc nghe trộm tin tặc lấy tất thông tin mà chúng cần Các nút mạng sử dụng WEP để chứng thực chúng với AP WEP có lỗ hổng khai thác Một tin tặc nghe trộm thơng tin sử dụng phân tích mã hố để trộm mật người dùng + Access Point giả mạo thiết lập nhân viên cơng ty Vì tiện lợi mạng không dây số nhân viên công ty tự trang bị Access Point kết nối chúng vào mạng có dây cơng ty Do không hiểu r nắm vững bảo mật mạng khơng dây nên họ vơ tình tạo lỗ hỏng lớn bảo mật Những người lạ vào cơng ty hacker bên ngồi kết nối đến Access Point không xác thực để đánh cắp băng thông, đánh cắp thông tin nhạy cảm công ty, dụng hệ thống mạng công ty công người khác,… 61 2.2.De-authentication Flood Attack(tấn công yêu cầu xác thực lại ) Kẻ công xác định mục tiêu công người dùng mạng wireless kết nối họ(Access Point đến kết nối nó) - Chèn frame yêu cầu xác thực lại vào mạng WLAN cách giả mạo địa MAC nguồn đích Access Point người dùng - Người dùng wireless nhận frame yêu cầu xác thực lại nghĩ chúng Access Point gửi đến - Sau ngắt người dùng khỏi dịch vụ không dây, kẻ công tiếp tục thực tương tự người dùng cịn lại - Thơng thường người dùng kết nối lại để phục hồi dịch vụ, kẻ cơng nhanh chóng tiếp tục gửi gói yêu cầu xác thực lại cho người dùng 2.3.Fake Access Point Kẻ công sử dụng công cụ có khả gửi gói beacon với địa vật lý(MAC) giả mạo SSID giả để tạo vô số Access Point giả lập.Điều làm xáo trộn tất phần mềm điều khiển card mạng không dây người dùng 62 2.4 Tấn công dựa cảm nhận sóng mang lớp vật lý Kẻ tất công lợi dụng giao thức chống đụng độ CSMA/CA, tức làm cho tất ngừơi dùng nghĩ lúc mạng có máy tính truyền thơng Điều làm cho máy tính khác ln ln trạng thái chờ đợi kẻ cơng truyền liệu xong dẫn đến tình trạng ngẽn mạng Tần số nhược điểm bảo mật mạng không dây Mức độ nguy hiểm thay đổi phụ thuộc vào giao diện lớp vật lý Có vài tham số định chịu đựng mạng là: lượng máy phát, độ nhạy máy thu, tần số RF, băng thông định hướng anten Trong 802.11 sử dụng thuật toán đa truy cập cảm nhận sóng mang (CSMA) để tránh va chạm CSMA thành phần lớp MAC CSMA sử dụng để chắn va chạm liệu đường truyền Kiểu công không sử dụng tạp âm để tạo lỗi cho mạng lợi dụng chuẩn Có nhiều cách để khai thác giao thức cảm nhận sóng mang vật lý Cách đơn giản làm cho nút mạng tin tưởng có nút truyền tin thời điểm Cách dễ đạt điều tạo nút giả mạo để truyền tin cách liên tục Một cách khác sử dụng tạo tín hiệu RF Một cách công tinh vi làm cho card mạng chuyển vào chế độ kiểm tra mà truyền liên tiếp mẫu kiểm tra Tất nút phạm vi nút giả nhạy với sóng mang có nút truyền khơng có nút truyền 2.5 Tấn cơng ngắt kết nối (Disassociation flood attack) Kẻ công xác định mục tiêu ( wireless clients ) mối liên kết AP với clients.Kẻ công gửi disassociation frame cách giả mạo Source Destination MAC đến AP client tương ứng.Client nhận frame nghĩ frame hủy kết nối đến từ AP Đồng thời kẻ công gởi disassociation frame đến AP Sau ngắt kết nối client, kẻ công tiếp tục thực tương tự với client lại làm cho client tự động ngắt kết nối với AP.Khi 63 clients bị ngắt kết nối thực kết nối lại với AP Kẻ công tiếp tục gởi disassociation frame đến AP client Có thể ta dễ nhầm lẫn kiều công :Disassociation flood attack De-authentication Flood Attack.Giống : hình thức cơng , cho chúng giống giống đại bác nịng , vừa công Access Point vừa công Client Và quan trọng hết , chúng "nả pháo" liên tục Khác : + De-authentication Flood Attack : yêu cầu AP client gởi lại frame xác thực dẫn đến xác thực failed + Disassociation flood attack : gởi disassociation frame làm cho AP client tin tưởng kết nối chúng bị ngắt * Tổng kết: Với bùng nổ công nghệ không dây, vai trò nhà sản xuất phần cứng tổ chức FCC, IEEE, WECA, WLANA tăng thêm phần quan trọng để giải giải pháp mạng không dây Những quy định đặt vào tổ chức điều tiết FCC với chuẩn, tổ chức IEEE, WLANA WECA tiêu điểm kỹ nghệ sản xuất mạng không dây WLAN cải tiến tốt giới hạn tốc độ, tiện lợi, bảo mật Sự chứng thực kỹ thuật PKI bắt đầu cho việc hạ giá WLAN để bạn điều khiển truy cập tới tài nguyên mạng Một phần quan trọng nhất, phải ngăn ngừa nguy hiểm tới mạng trước xảy Tránh xa cặp mắt nghi ngờ phải chắn thông báo cho người dùng mạng biết cảnh giác với người truy cập mạng điều luật thông qua sách để người dùng phép truy cập tới tài nguyên mạng Nếu kiểm tra thấy tất kết nối, ta phải chắn ta cung cấp đủ bảo mật cách tận tâm cho mạng Công nghệ không dây đời làm thay đổi diện mạo cơng nghệ thơng tin tồn giới Nó mang đến cho giới cách nhìn công nghệ tiên tiến Công nghệ không dây trãi qua q trình dài từ ý tưởng quân đội Sự ưa chuộng mức độ công nghệ sử dụng mạng không dây tiếp tục mọc lên với tỷ lệ cao đến không ngờ Sản xuất tạo vô số giải pháp cho mạng không dây cần thiết Sự thuận tiện, phổ biến, có lợi giá phần cứng mạng không dây cung cấp cho nhiều lựa chọn khác bạn sẵn sàng gia nhập vào đội ngũ người chuyển sang nối mạng không dây Bạn thấy giới dây rối rắm phức tạp việc sử dụng mạng khơng dây gia đình bạn cải thiện đáng kể Bảo mật mạng không dây(WLAN) 64 Mục tiêu:Phân biệt phương pháp bảo mật mạng khơng dây để áp dụng vào mơ hình mạng phù hợp 3.1 WLAN VPN Mạng riêng ảo VPN bảo vệ mạng WLAN cách tạo kênh che chắn liệu khỏi truy cập trái phép VPN tạo tin cậy cao thông qua việc sử dụng chế bảo mật IPSec (Internet Protocol Security) IPSec dùng thuật toán mạnh Data Encryption Standard (DES) Triple DES (3DES) để mã hóa liệu, dùng thuật tốn khác để xác thực gói liệu IPSec sử dụng thẻ xác nhận số để xác nhận khóa mã (public key) Khi sử dụng mạng WLAN, cổng kết nối VPN đảm nhận việc xác thực, đóng gói mã hóa 3.2.TKIP(Temporal Key Integrity Protocol) Là giải pháp IEEE phát triển năm 2004 Là nâng cấp cho WEP nhằm vá vấn đề bảo mật cài đặt mã dòng RC4 WEP TKIP dùng hàm băm(hashing) IV để chống lại việc giả mạo gói tin, cung cấp phương thức để kiểm tra tính tồn v n thơng điệp MIC(message integrity check ) để đảm bảo tính xác gói tin TKIP sử dụng khóa động cách đặt cho frame chuỗi số riêng để chống lại dạng công giả mạo 3.3 AES (Advanced Encryption Standard) Là chức mã hóa phê chuẩn NIST(Nation Instutute of Standard and Technology) IEEE thiết kế chế độ cho AES để đáp ứng nhu cầu mạng WLAN Chế độ gọi CBC-CTR(Cipher Block Chaining Counter Mode) với CBC-MAC(Cipher Block Chaining Message Authenticity Check) Tổ hợp chúng gọi AES-CCM Chế độ CCM kết hợp mã hóa CBC-CTR thuật tốn xác thực thơng điệp CBC-MAC Sự kết hợp cung cấp việc mã hóa kiểm tra tính tồn v n liệu gửi Mã hóa CBC-CTR sử dụng biến đếm để bổ sung cho chuỗi khóa Biến đếm tăng lên mã hóa cho khối(block) Tiến trình đảm bảo có 65 khóa cho khối Chuỗi ký tự chưa mã hóa phân mảnh thành khối 16 byte CBC-MAC hoạt động cách sử dụng kết mã hóa CBC với chiều dài frame, địa nguồn, địa đích liệu Kết cho giá trị 128 bit cắt thành 64 bit để sử dụng lúc truyền thông AES-CCM u cầu chi phí lớn cho q trình mã hóa kiểm tra tính tồn v n liệu gửi nên tiêu tốn nhiều lực xữ lý CPU lớn 802.1x EAP 802.1x chuẩn đặc tả cho việc truy cập dựa cổng(port-based) định nghĩa IEEE Hoạt động mơi trường có dây truyền thống khơng dây Việc điều khiển truy cập thực cách: Khi người dùng cố gắng kết nối vào hệ thống mạng, kết nối người dùng đặt trạng thái bị chặn(blocking) chờ cho việc kiểm tra định danh người dùng hoàn tất EAP phương thức xác thực bao gồm yêu cầu định danh người dùng(password, cetificate,…), giao thức sử dụng(MD5, TLS_Transport Layer Security, OTP_ One Time Password,…) hỗ trợ tự động sinh khóa xác thực lẫn Mơ hình xác thực 802.1X-EAP cho Client diễn sau: 66 3.4 WEP WEP phương tiện điểm đầu mút giải pháp bảo mật mạng không dây Môi trường bảo vệ không dây với WEP môi trường không bảo mật Khi sử dụng WEP, khơng sử dụng khóa WEP liên quan tới SSID tới tổ chức Tạo khóa WEP khó khăn để nhớ Trong nhiều trường hợp, khóa WEP dễ dàng đốn nhìn SSID tên tổ chức Chức WEP dựa khóa, yếu tố cho thuật tốn mã hóa Khóa WEP chuỗi kí tự số sử dụng theo cách: Khóa WEP sử dụng để định danh xác thực client Khóa WEP dùng để mã hóa liệu Khi client sử dụng WEP muốn kết nối với AP AP xác định xem client có giá trị khóa xác hay khơng? Chính xác có nghĩa client có khóa phần hệ thống phân phát khóa WEP cài đặt WLAN Khóa WEP phải khớp hai đầu xác thực client AP Hầu hết AP client có khả lưu trữ khóa WEP đồng thời Một lý hữa ích việc sử dụng nhiều khóa WEP phân đoạn mạng Giả sử mạng có 80 client ta sử dụng khóa WEP cho nhóm khác thay sử dụng khóa Nếu khóa WEP bị ***** ta cần thay đổi khóa WEP cho 20 client thay phải thay đổi cho tồn mạng.Một lí khác để có nhiều khóa WEP mơi trường hỗn hợp có card hỗ trợ 128 bit có card hỗ trợ 64 bit Trong trường hợp phân hai nhóm người dùng Giải pháp WEP tối ưu: 67 Với điểm yếu nghiêm trọng WEP phát tán rộng rãi cơng cụ dị tìm khóa WEP Internet, giao thức khơng cịn giải pháp bảo mật chọn cho mạng có mức độ nhạy cảm thông tin cao Tuy nhiên, nhiều thiết bị mạng không dây nay, giải pháp bảo mật liệu hỗ trợ phổ biến WEP Dù nữa, lỗ hổng WEP giảm thiểu cấu hình đúng, đồng thời sử dụng biện pháp an ninh khác mang tính chất hỗ trợ Để gia tăng mức độ bảo mật cho WEP gây khó khăn cho hacker, biện pháp sau đề nghị: Sử dụng khóa WEP có độ dài 128 bit: Thường thiết bị WEP cho phép cấu hình khóa ba độ dài: 40 bit, 64 bit, 128 bit Sử dụng khóa với độ dài 128 bit gia tăng số lượng gói liệu hacker cần phải có để phân tích IV, gây khó khăn kéo dài thời gian giải mã khóa WEP - Thực thi sách thay đổi khóa WEP định kỳ: Do WEP không hỗ trợ phương thức thay đổi khóa tự động nên thay đổi khóa định kỳ gây khó khăn cho người sử dụng Tuy nhiên, khơng đổi khóa WEP thường xun nên thực lần tháng nghi ngờ có khả bị lộ khóa - Sử dụng công cụ theo dõi số liệu thống kê liệu đường truyền không dây: Do cơng cụ dị khóa WEP cần bắt số lượng lớn gói liệu hacker phải sử dụng công cụ phát sinh liệu nên đột biến lưu lượng liệu dấu hiệu công WEP, đánh động người quản trị mạng phát áp dụng biện pháp phòng chống kịp thời - WEP giải pháp hiệu cho việc giảm rình mị lút Bởi kẻ xấu cố gắng truy cập, nhìn thấy mạng bạn, khơng thấy khóa WEP, mà cá nhân bị ngăn chặn truy cập mạng mà khơng có khóa WEP 3.5 WPA (Wi-Fi Protected Access) WEP xây dựng để bảo vệ mạng không dây tránh bị nghe trộm Nhưng nhanh chóng sau người ta phát nhiều lổ hỏng công nghệ Do đó, cơng nghệ có tên gọi WPA (Wi-Fi Protected Access) đời, khắc phục nhiều nhược điểm WEP Trong cải tiến quan trọng WPA sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol) WPA sử dụng thuật toán RC4 WEP, mã hoá đầy đủ 128 bit Và đặc điểm khác WPA thay đổi khố cho gói tin Các cơng cụ thu thập gói tin để phá khố mã hố khơng thể thực với WPA Bởi WPA thay đổi khố liên tục nên hacker khơng thu thập đủ liệu mẫu để tìm mật Khơng thế, WPA cịn bao gồm kiểm tra tính tồn v n thơng tin (Message Integrity Check) Vì vậy, liệu bị thay đổi đường truyền WPA có sẵn lựa chọn: WPA Personal WPA Enterprise Cả lựa chọn sử dụng giao thức TKIP, khác biệt khoá khởi tạo mã hoá lúc đầu WPA Personal thích hợp cho gia đình mạng 90 Hộp thoại xuất hiện: điền thơng số hình kích chuột vào nút Next để tiếp tục Hộp thoại xuất nhập mật xác thực Raidus tít chọn Request must contain the Message Authenticator attribute kích vào nút Finish để kết thúc 5.Tạo User, cấp quyền Remote Access cho user cho computer Kích chuột vào nút Start Program Administrative Tools Active Directory Users and Computers kích phải chuột chọn New Orgnizational Unit 91 Tạo OU mới: Name = wifi Kích phải chuột vào OU wifi tạo chọn New User 92 Nhập tên user hình nhấn nút Next Thiết lập password cho user 93 Nhấn nút Finish để kết thúc 94 Kích chuột vào Computers Kích phải chuột vào PC02 chọn More hộp thoại xuất kích chọn vào wifi nhấn nút OK để kết thúc Kích phải chuột vào OU wifi chọn New Group để tạo group Nhập Group name = wifi, thông số hình 95 Kích phải chuột lên Group wifi hộp thoại xuất chọn tab Members kích chuột vào nút Add để thêm user u1 PC02 vào group Kích phải chuột vào user = u1 chọn Properties chọn tab Dial-in tít chọn Allow Access phép user u1 Remote Access vào domain Và làm tương tự PC02 96 6.Tạo Remote Access Policy Kích chuột vào nút Start Program Administrative Tools Internet Authentication Service kích phải chuột vào Remote Access Policy chọn New Remote Access Policy Hộp thoại xuất nhập tên policy = wifi kích nút Next 97 Chọn Wireless nhấn nút OK Hộp thoại xuất chọn Group kích chuột vào nút Add để thêm user wifi vào nhấn nút Next để tiếp tục 98 Chọn kiểu PEAP kích chuột vào nút Next Nhấn nút Finish để kết thúc 99 7.Cấu hình AP-wifi, khai báo địa Radius Server = 172.16.3.1 để xác thực Radius Server Login vào AP chọn Setup kích chuột vào Security Kích chuột vào Authentication Server 100 Khai báo địa Radius Server = 172.16.3.1, Shared Secret = 123 nhấn chuột vào nút Apply để hoàn tất 8.Kết nối PC-Client vào AP cách xác thực qua Radius Vào Network Connections kích phải chuột lên Wireless Network Connection chọn Properties kích chuột vào tab Wireless Networks chọn AP – khoacntt kích chuột vào nút Configuration hộp thoại xuất 101 Kích chuột vào tab Authentication tít chọn thơng số hình sau kích chuột vào nút Properties Hộp thoại xuất 102 103 TÀI LIỆU THAM KHẢO Nguyễn Nam Thuận, Thiết kế & giải pháp cho mạng không dây, NXB GTVT – Năm 2005 Tô Thanh Hải, Triển khai hệ thống mạng Wireless, NXB Lao Động – Quý I, Năm 2011 Website: www.vnpro.vn 104 ... cách tận tâm cho mạng Công nghệ không dây đời làm thay đổi diện mạo công nghệ thơng tin tồn giới Nó mang đến cho giới cách nhìn cơng nghệ tiên tiến Công nghệ không dây trãi qua q trình dài từ ý... độ công nghệ sử dụng mạng không dây tiếp tục mọc lên với tỷ lệ cao đến không ngờ Sản xuất tạo vô số giải pháp cho mạng không dây cần thiết Sự thuận tiện, phổ biến, có lợi giá phần cứng mạng không. .. lập nhân viên cơng ty Vì tiện lợi mạng không dây số nhân viên công ty tự trang bị Access Point kết nối chúng vào mạng có dây cơng ty Do không hiểu r nắm vững bảo mật mạng khơng dây nên họ vơ