Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only TỔNG CỤC KỸ THUẬT_BỘ QUỐC PHÒNG TRƯỜNG SĨ QUAN KỸ THUẬT QUÂN SỰ CHUYÊN ĐỀ THỰC TẬP: “CÁC CHUẨN MÃ HĨA WIRELESS ” ĐƠN VỊ THỰC TẬP:CƠNG TY TNHH DỊCH VỤ TIN HỌC TRƯỜNG TIN Lớp : CP07912 Nhóm sinh viên thực tập: Thái Phi Vũ Trần Văn Khương Trần Thế Vinh Hà Minh Mẫn Người hướng dẫn : Giáo Viên : Phan Tấn Toàn Kĩ sư : Lê Duy Tuấn Thành phố Hồ Chí Minh , tháng năm 2010 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin MỤC LỤC Lời nói đầu Trang Nhận xét công ty thực tập Trang Giới Thiệu chung mạng wireless lan Trang Các khái niệm thuật ngữ Trang Các dạng chuẩn wireless Trang Các thành phần wireless Trang 13 Mơ hình kết nối wireless Trang 22 Cấu hình wireless Trang 25 Vấn đề bảo mật wireless Trang 28 LỜI NÓI ĐẦU Lớp: CP07912 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin Công nghệ không dây phương pháp chuyển giao từ nơi đến nơi khác mà không sử dụng đường truyền vật lý,mà sử dụng radio,cell,hồng ngoại vệ tinh.Mạng không dây ngày bắt nguồn từ nhiều giai đoạn phát triển cuả công nghệ vô tuyến,báo đài radio.cho đến nay,mạng không dây đạt nhiều thành tựu đáng kể.Ở số nước có cơng nghệ thơng tin phát triển,mạng không dây thực vào sống.Chỉ cần laptop,PDa,hay phương tiên truy cập mạng khơng dây bất kì,bạn truy cập vào mạng internet nơi đâu,ở nhà,cơ quan,ngoài đường phố…vv nơi đâu có phủ sóng WLAN Tập thể Nhóm chúng em xin gửi lời cảm ơn chân thành đến thầy Phan Tấn Toàn, thầy Chu Sỹ Hào,người nhiệt tình hướng dẫn Nhóm q trình thực tập Nhóm chúng em xin gửi lời cảm ơn chân thành đến anh Lê Duy Tuấn_Giám đốc Công ty TNHH-TM - DV Tin Học Trường Tin, tạo điều kiện thuận lợi để Nhóm thực tập cơng ty Nhóm xin gửi lờicảm ơn sâu sắc đến anh :Lê Duy Tú anh chị Công ty TNHH-TM - DV Tin Học Trường Tin nhiệt tình hướng dẫn bảo để Nhóm có kinh nghiệm thực tế Qua trình thực tập,tập thể Nhóm thu thập kiến thức kinh nghiệm quý báu Những kinh nghiệm giúp chúng em nhiều việc thực luận văn tốt nghiệp công việc sau Một lần Nhóm xin chân thành cảm ơn tất người tận tình giúp đỡ tạo điều kiện tốt để Nhóm hồn thành chương trình thực tập Một lần xin chân thành cảm ơn tất người Lớp: CP07912 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin NHẬN XÉT CỦA CÔNG TY THỰC TẬP TP Hồ Chí Minh, ngày …… tháng …… năm 2010 Lớp: CP07912 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin CHƯƠNG I GIỚI THIỆU CHUNG VỀ MẠNG KHƠNG DÂY(WIRELESS LAN) I Wireless LAN ? - Wireless LAN loại mạng LAN ,chúng thực tất ứng dụng mạng LAN có dây truyền thống , khác chỗ tất thông tin gửi nhận truyền qua khơng gian khơng phí cho lắp đặt cáp(chiếm tới 40% chi phí lắp đặt mạng LAN) - WLAN loại mạng máy tính việc kết nối thành phần mạng không sử dụng loại cáp mạng thông thường, môi trường truyền thông thành phần mạng khơng khí Các thành phần mạng sử dụng sóng điện từ để truyền thơng với - Sự đời Wireless LAN làm thay đổi khái niệm cũ mạng LAN, chúng có khả kết nối người sử dụng di chuyển dùng máy tính xách tay, thiết bị cá nhân di động … - Hiện nay,mạng wireless sử dụng rộng rãi toàn giới nói chung Việt Nam nói riêng,hàng loạt điểm truy cập wireless miễn phí xuất dạng café wifi, số trường đại học công ty xí nghiệp sử dụng mạng wireless II Phát triển Wireless LAN - Wireless LAN ứng dụng cách 10 năm giá thành chúng cao nên chưa sử dụng rộng rãi Thời gian gần với phát triển cơng nghệ ,sự hồn thiện chuẩn làm cho giá thành thiết bị giảm đáng kể - Wireless LAN giảm đồng thời nhu cầu sử dụng Internet tăng , nước phát triển dịch vụ truy nhập Internet không dây trở nên phổ cập, bạn ngồi tiền sảnh khách sạn truy nhập Internet từ máy tính xách tay cách dễ dàng thơng qua kết nối không dây công nghệ dịch chuyển địa IP - Với lợi ích mà Wireless LAN đem lại ,các chuyên gia dự đoán đến năm 2004 50% doanh nghiệp sử dụng loại mạng Lớp: CP07912 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin III Ưu điểm mạng Wireless LAN Chúng ta biết mạng LAN có dây truyền thống có ưu điểm tính bảo mật cao,tốc độ nhanh (đặc biệt dùng cáp quang)… ,nhưng nơi triển khai u cầu tính linh động LAN có dây khơng đáp ứng Mặt khác với cải tiến cơng nghệ hồn thiện chuẩn,Wireless LAN ngày có nhiều ưu điểm:  Tiết kiệm chi phí thiết lập đường mạng tịa nhà chi phí bảo dưỡng  Tiết kiệm thời gian  Khả mở rộng quản lý cao:do đặc tính dễ bổ sung điểm truy cập mạng mà khơng thêm chi phí dây hay lại dây thông thường.Mạng không dây đặc biệt thuận tiện địa điểm khó dây Kết nối không dây luôn sẵn sàng, tổ chức, doanh nghiệp không gặp phải trường hợp bị mất, đứt hay hỏng dây dịch vụ  Tính linh động: người dùng máy laptop di chuyển khắp nơi khu làm việc, dễ dàng kết nối với tài nguyên hệ thống hữu tuyến Các nhân viên truy cập vào mạng LAN công ty từ sân bay khách sạn cơng tác…  Wireless có đặc điểm bật sau: khơng tốn chi phí choviệc sử dụng cable để kết nối máy tính với nhau.Tuy nhiên vấn đề cable thật bật cần chuyển toàn hệ thống mạng từ nơi sang nơi khác,lúc chúng takho6ng thể sử dụng cable sử dụng(đôi cable thiết kế âm tường).Chính thế,Wireless có ưu diểm đỡ tốn chi phí cho cable,đồng thời có động di chuyển  Đối với người thường xun ngồi cơng tác phận sale cơng ty,phóng viên báo chí hay người phải di chuyển liên tục tính chất cơng việc nhân viên lập trình theo nhóm,test sản phẩm…Wireless thật trợ thủ đắc lực cho họ việc gửi thông tin,sản phẩm cơng ty  Wireless cịn sử dụng nơi có tính chất tạm thời để làm việc nơi mà mạng cable truyền thống thi công làm mĩ quan.Ta ví dụ nơi có tính chất mạng tạm thời sân bay,mọi người truy cập internet trước làm thủ tục,những khu vực người thường xuyên di chuyển,những nơi cable thi công chi phí việc trao đổi phận kiểm sốt ngồi cảng với đất liền Lớp: CP07912 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin Chương II CÁC KHÁI NIỆM VÀ THUẬT NGỮ I.Khái niệm - Wireless mạng vô tuyến truyền dẫn không gian thông qua trạm thu /phát tuân theo quy tắc ,quy ước -Wireless _khơng dây_đối với mạng Lan thường viết WLAN,viết nhưb có nhiều kiểu dạng kết nối khơng dậy để phân biệt,hiện có số dạng kết nối không dây PC với thiết bị không dây khác máy in thông qua cổng hồng ngoại,các thiết bị di động kết nối với thông qua công nghệ wifi,bluetoth, Ở thống với nói đến Wireless hiểu WLAN II Thuật ngữ Wireless tổ chức quốc tế công nhận theo chuẩn 802.11 Trước khio vào dạng chuẩn,chúng ta xem xét số thuật ngữ dùng mạng Wireless: *RF(radio Frequence) :Tần số nóng điện từ Wireless *Chanel :kênh *Spread Spectrum :trải phổ *SSID (Service Set indentification) :tên dùng để phát sóng phân biệt với thiết bị khác *Cell : vùng phủ sóng *Noise :những tín hiệu làm nhiễu tín hiệu sóng truyền *Roaming :kỹ thuật giữ kết nối với trung tâm Lớp: CP07912 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin Chương III CÁC DẠNG CHUẨN CỦA WIRELESS I CÁC DẠNG CHUẨN Hiện tiêu chuẩn cho Wireless họ giao thức truyền tin qua mạng không dây IEEE 802.11.Do việc nghiên cứu đưa ứng dụng gần nên có số giao thức thành chuẩn giới, số khác tranh cãi số cịn dự thảo Một số chuẩn thơng dụng như: 11802.11b (cải tiến từ 802.11),802.11b+(cải tiến từ 802.11b) 802.11a,802.11h ,802.11g Công nghệ WLAN lần xuất vào cuối năm 1990, nhà sản xuất giới thiệu sản phẩm hoạt động băng tần 900Mhz Những giải pháp (không thống nhà sản xuất) cung cấp tốc độ truyền liệu 1Mbps, thấp nhiều so với tốc độ 10Mbps hầu hết mạng sử dụng cáp thời Năm 1992, nhà sản xuất bắt đầu bán sản phẩm WLAN sử dụng băng tần 2.4Ghz Mặc dầu sản phẩm có tốc độ truyền liệu cao chúng giải pháp riêng nhà sản xuất không công bố rộng rãi Sự cần thiết cho việc hoạt động thống thiết bị dãy tần số khác dẫn đến số tổ chức bắt đầu phát triển chuẩn mạng không dây chung Năm 1997, Institute of Electrical and Electronics Engineers(IEEE) phê chuẩn đời chuẩn 802.11, biết với tên gọi WIFI (Wireless Fidelity) cho mạng WLAN Chuẩn 802.11 hỗ trợ ba phương pháp truyền tín hiệu, có bao gồm phương pháp truyền tín hiệu vơ tuyến tần số 2.4Ghz Năm 1999, IEEE thông qua hai bổ sung cho chuẩn 802.11 chuẩn 802.11a 802.11b (định nghĩa phương pháp truyền tín hiệu) IEEE 802.11a - Đây chuẩn cấp phép dải băng tần mới:nó hoạt động dải tần số 5Ghz sử dụng phương thức điều chế ghép kênh theo vùng tần số vng góc (OFDM) Phương thức điều chế làm tăng tốc độ kênh (từ 11Mbps/1kênh lên 54 Mbps/1 kênh) - Có thể sử dụng đến Access Point (truyền kênh Non-overlapping,kênh không chồng lấn phổ) , đặc điểm dải tần 2,4Ghz sử dụng Access Point (truyền kênh Non – overlapping) - Hỗ trợ đồng thời nhiều người sử dụng với tốc độ cao mà bị xung đột - Các sản phẩm theo chuẩn IEEE 802.11a khơng tương thích với sản phẩm Lớp: CP07912 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin theo chuẩn IEEE 802.11 802.11b chúng hoạt động dải tần số khác nhau.Tuy nhiên nhà sản xuất chipset cố gắng đưa loại chipset hoạt động chế độ theo hai chuẩn 802.11a 802.11b.Sự phối hợp biết đến với tên WiFi5 ( WiFi cho công nghệ 5Gbps) IEEE 802.11b, 802.11b+ Chuẩn đưa vào năm 1999, cải tiến từ chuẩn 802.11 - Cũng hoạt động dải tần 2,4 Ghz sử dụng trải phổ trực tiếp DSSS - Tốc độ Access Point lên tới 11 Mbps(802.11b),22Mbps(802.11b+) - Các sản phẩm theo chuẩn 802.11b kiểm tra thử nghiệm hiệp hội công ty Ethernet không dây (WECA) biết đến hiệp hội WiFi,những sản phẩm Wireless WiFi kiểm tra đạt mang nhãn hiệu - Hiện IEEE 802.11b chuẩn sử dụng rộng rãi cho Wireless LAN Vì dải tần số 2,4Ghz dải tần số ISM(Industrial ,Service and Medical :dải tần vô tuyến nghiệp dư ,không cần xin phép) sử dụng cho chuẩn mạng không dây khác : Bluetooth HomeRF,hai chuẩn không phổ biến 801.11 Bluetooth thiết kế sử dụng cho thiết bị không dây mà Wireless LAN , dùng cho mạng cá nhân PAN(Personal Area Network) Như Wireless LAN sử dụng chuẩn 802.11b thiết bị Bluetooth hoạt động dải băng tần Năm 2003, IEEE công bố thêm cải tiến chuẩn 802.11g mà truyền nhận thông tin hai dãy tần 2.4Ghz 5Ghz nâng tốc độ truyền liệu lên đến 54Mbps Bản dự thảo tiêu chuẩn đưa vào tháng 10 – 2002 - Phương thức điều chế : dùng phương thức o Dùng OFDM (giống với 802.11a) tốc độ truyền lên tới 54Mbps o Dùng trải phổ trực tiếp DSSS tốc độ bị giới hạn 11 Mbps - Tương thích ngược với chuẩn 802.11b - Bị hạn chế số kênh truyền Thêm vào đó, sản phẩm áp dụng 802.11g tương thích ngược với thiết bị chuẩn 802.11b Hiện chuẩn 802.11g đạt đến tốc độ 108Mbps-300Mbps IEEE 802.11h Chuẩn dùng châu Âu ,dải tần Ghz Nó cung cấp tính lựa chọn kênh động điều khiển công suất truyền dẫn TPC , nhằm tránh can nhiễu.Ở châu Âu người ta chủ yếu sử dụng thông tin vệ tinh ,nên phần lớn quốc gia sử dụng sử dụng Wireless LAN nhà (Indoor) Chuẩn giai đoạn chuẩn hóa ,dự kiến đưa vào cuối năm 2003 Lớp: CP07912 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin II MỘT SỐ CHUẨN WIRELESS KHÁC Chuẩn: IEEE 8021.11n Phân loại: Kết nối Tính chính, Định nghĩa: Tần số: 2,4 GHz, Tốc độ tối đa: 540 mbps Tầm hoạt động: 50-125 m Chuẩn: IEEE 802.11d Phân loại: Tính bổ sung Tính chính, Định nghĩa: Bật tính thay đổi tầng MAC để phù hợp với yêu cầu quốc gia khác Chuẩn: IEEE 802.11h Phân loại: Tính bổ sung Tính chính, Định nghĩa: Chọn tần số động (dynamic frequency selection: DFS) điều khiển truyền lượng (transmit power control: TPC) để hạn chế việc xung đột với thiết bị dùng tần số GHz khác Chuẩn : WPA Enterprise Phân loại: Bảo mật Tính chính, Định nghĩa: Sử dụng chứng thực 802.1x với chế độ mã hóa TKIP máy chủ chứng thực Chuẩn: WPA Personal Phân loại: Bảo mật Tính chính, Định nghĩa: Sử dụng khóa chia sẻ với mã hóa TKIP Chuẩn: WPA2 Enterprise Phân loại: Bảo mật Tính chính, Định nghĩa: Nâng cấp WPA Enterprise với việc dùng mã hóa AES Lớp: CP07912 Trang 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin Hình 2:ví dụ người lạ truy cập vào mạng Vậy thực chất q trình mã hóa q trình thể thông tin cần bảo mật dạng khác thơng tin đọc theo nghĩa phiếu thu giải mã ngược lại, mã hóa đóng vái trị quan trọng việc đảm bảo thông tin không bị lộ,nhất môi trường vô tuyến mạng wlan,khi mà việc nghe trộm thông tin gần ngăn chặn III Mơ hình báo mật khơng dây Kiến trúc lan khơng dây hổ trợ mơ hình bảo mật mở tồn diền dựa chửng cơng nghiệp thể hình 3.mỗi phần tử mơ hình có cấu hình theo người quản lý mạng để thỏa mảng phù hợp với họ cần mơ hình bảo mật khơng dây cho mạng không dây Devuce authorization:các client không dây bị ngăn cảng theo địa phần cứng họ (ví dụ địa MAC) EAS trùy sở dử liệu client không dây cho phép AP riêng biệt khóa hay thong lưu phù hợp Encryption:wlan khơng hổ trợ wep,3des chuẩn tls sử dụng mã hóa dể tránh người truy cập trộm.các khóa wep tạo per user,per session basic Authentication:wanl hổ trợ ủy quyền lẫn nhau(bằng việc sử dụng 802.11x EApTLS)để đảm bảo client không dây ủy quyền truy cập vapf mạng EAS sử dụng RADIUS server bên trongcho việc ủy quyền việc sử dụng số.các chứng số đạt quyền chứng nhận bên Lớp: CP07912 Trang 29 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin (CA) hay nhập từ CA bên ngoài.điều tăng tối đa bảo mật giảm tối thiểu thủ tục hành Firewall :EAS hợp packet filtering port blocking firewall dựa chuỗi linux ip.viếc cấu hình từ trước cho phép loại lưu lượng chung enable hay disable VPN : bao gồm IPs VPN server cho phép client không dây thiết lập session vpn vững chắt mạng IV Các chuẩn mã hóa mạng khơng dây Trong hệ thống mạng lan dùng dây,nếu máy tính khơng kết nối qua cáp khơng thể truy cập vào hệ thống.tuy nhiên hệ thống wriless chưa bảo vệ,với máy tính xách tay có hổ trợ wi_fi,do sóng radio khơng bị giói hạn rào cản vật lý tường, cửa…một người hồn tồn ngồi vị trí phạm vi phát song để truy cập vào hệ thống để nghe trộm,đánh cắp thơng tin Có hai vấn đề wi_fi là.chứng thực(chỉ người phép kết nối vào hệ thống) vấn đề mã hóa giúp q trình trao đổi thơng tin không bị đánh cắp Để làm rõ nguy này,chúng ta đề cập đến tham số dùng để truy cập vào hệ thống wifi bao gồm:SSID,khóa mã đị IP.Đây chìa khóa mà hacker dùng để xâm nhập công vào hệ thống Truy cập bất hợp pháp biên pháp phòng chống a.Vấn đề SSID Các access point hầu hết cấu hình chế độ mặt định cho phép tất máy tính nhận SSID nó,chế độ broadcart SSID (hình 4).do khoảng cách định hacker lấy thơng tin này,người quản trị che giấu SSID việc bỏ mặt đình đi.việc làm khơng đảm bảo tuyệt đối với số cơng cụ hacker dị SSID này.hơn việc che giấu SSID gây khó khăn cho người dùng bình thường phải tự nhập tham số vào cấu hình card mạng (hinh 5) chuyển sang chế độ monitor sử dụng chương trình để bắt gói tin kết biết SSID (hình 7) Lớp: CP07912 Trang 30 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin Hình 4:Nếu chế độ mặt định hacker qt SSID Hình 5:người sử dụng tự gõ SSID Hình 6.Chuyển card wifi sang chế độ monitor Lớp: CP07912 Trang 31 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin Hình 7:tìm SSID sau chuyển sang chế độ monitor MAC FITERIN Một biện pháp hạn chế học theo địa MAC(mac fiter) thơng thường máy tính có địa MAC tương ứng với địa card mạng,nhiều hệ thống cho phép cấu hình máy có địa MAC nằm dannh sách định nghĩa access point phép ruy cập vào mạng phương pháp hạn chế truy cập bất hợp pháp nhiên hacker kết hợp kỹ thuật lấy địa MAC máy truy cập giả địa MAC để vượt qua rào cản (Hình 8) Hình b.Địa IP Nếu có SSID để truy cập vào máy tính mạng ta phải có thêm địa IP Thơng thường access point cấu hình mặt định cấp phát địa IP động cho máy trạm (chức DHCP server),để tăng độ an ninh nên bỏ tính access point, nhiên bỏ tính DHCP server hacker dò địa IP mà ta sử dụng cơng cụ có sẵn (hình 9) Lớp: CP07912 Trang 32 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin Hình Đảm bảo thơng tin khơng bị đánh cắp hệ thống mạng wifi Hệ thống mạng lan hay wifi ngặp phải vấn đề,đó nguy bị nghe trộm,tuy nhiên khác biệt môi trường truyền dẫn,hệ thống wifi co nguy cao so với hệ thống mạng lan Với hệ thống wifi chưa mã hóa,hacker dể dàng truy cập vào hệ thống để nghe trộm đánh cắp thông tin,do biện pháp mã hóa cần phải sử dụng để chống lại nguy Chuẩn WiFi IEEE 802.11 ban đầu sử dụng giao trình WEP (Wired Equivalent Privacy) để bảo mật thơng tin Giao trình có thuận lợi dể cài đặt quản lí Tuy nhiên, WEP lại chứa đựng nhiều yếu điểm dễ bị cơng Tiếp theo sau đó, IEEE 802.1x sử dụng để hạn chế yếu điểm WEP Tiếp theo giao trình WEP2 cải tiến từ WEP ban đầu cách tăng thêm chiều dài Initialization Vector chiều dài mã khóa (encryption key.Tuy nhiên cải tiến đáng kể cho bảo mật WiFi phải nhắc đến WPA (Wifi Protected Access) Theo WEBTORIAL,WPA 802.11i sử dụng tương ứng 29% 22% mặt khác 42% sử dụng cho “giải pháp tình thế” khác bảo vệ mạng riêng ảo VPN (Vitual Private Network) qua mạng cục không dây Thực tế, WPA giải pháp tạm thời để đáp ứng yêu cầu tức thời thị trường trước chuẩn 802.11i đời IEEE 802.11i biết đến WPA2 chuẩn hóa từ năm 2004  WEP (Wired Equivalent Privacy) Lớp: CP07912 Trang 33 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin Có nghĩa bảo mật khơng dây tương úng với có dây.web phương pháp mã hóa sử dụng thuật tốn mã hóa đối xứng RC4 (hình 10) Ron Rivest thuột hãng RSA Securyti phát triển,thuật tốn RC4 cho phép chiều dài khóa thay đổi lên đến 256 bit.web đời nhằm ba mục đích chính:đảm bảo tính bảo mật,điều khiển truy nhập tồn vẹn liệu.trong việc đảm bảo tính bảo mật thực cách mã hóa liệu truyền dẫn khóa web tĩnh AP(access point) phép tham gia vào mạng,bên cạnh web sử dụng ICV để đảm bảo liệu không bị sửa đổi.giá trị ICV tính dựa kiệu truyền dẫn trước mã hóa.web có hai phiên 64bit 128bit (nhưng trừ 24bit cho vecter (initialization vector - IV) khởi tạo nên độ dài khoảng 40bit 104bit xuất 24bit IV nhằm mục đích đảm bảo với khung liệu khác mã hóa với khóa khác nhau.giá trị IV đượclấy ngẫu nhiên khung liệu.tuy nhiên với 24bit IV tương đương với khoảng 16.777.216 khóa web khác tạo ra,sau cần chúng sử dụng lại Q trình mã hóa wep diễn sau: Độ dài khóa WEP 64 bit, có 40 bit cố định,do người quản trị nhập vào cấu hình access point,ví dụ như”secur”,cịn bit giá trị vecto khởi tạo IV,các iv có giá trị khác giải thuật RC4 tọa ra.mỗi gói tin gửi hệ thống mạng gồm có liệu mã hóa giá trị IV khơng mã hóa WEP chạy thuật tốn CRC liệu gốc để tọa giá trị ICV giá trị sau gắn vào phía sau phần liệu.một giá trị IV 24 bit tạo kết hợp với khóa tĩnh WEP sau sử dụng tọa số giải mã ngẫu nhiên với đầu vào IV kháo tĩnh nhằm tọa chuổi số mới.chuổi số có độ dài với chuổi cần mã hóa.tiếp theo chúng đưa kết hợp lại với thuật toán XOR.kết liệu mã hóa.phấn liệu mã hóa đươc gắn thêm vào tiền tố giá trị IV 24 bit dạng cleartext.cuối chúng phát đến phía thu.Tại phía thu giá trị IV tách ra,kết hợp với khóa tĩnh,thơng qua tọa số giải mã ngẫu nhiên sinh chuổi số giống bên phát.chuổi số dùng việc XOR ngược việc XOR ngược với chuổi liệu mã hóa nhận với chuổi liệu mã hóa nhận để tìm liệu gốc ban đầu Lớp: CP07912 Trang 34 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin                    Hình 11:Q trình mã hóa liệu web  Han chế WEP - Xung đột giá trị IV:Bởi giá trị IV gồm có 24 bit nên mạng có lưu lượng lớn giá trị bị sử dụng lại nhanh,dựa vào tượng kẻ cơng dể dàng tìm khóa web - Các khóa yếu:Do than thuật tốn RC4 sử dụng mà dựa số khóa IV yếu,kẻ cơng tìm khóa WEP đơn giản nhanh chóng - Bơm gói tin:Đối với mạng có thơng tin thấp,kẻ cơng sử dụng cơng cụ bơm gói tin nhằm gia tăng lưu lượng để bắt gói tin có ích -Thay đổi gói tin:Việc kiểm tra tính tồn vẹn gói tin dựa giá trị ICV,khơng thật đán tin cậy.các gói tin mã hóa web bị thay đổi Thực tế nay,kẻ công sử dụng cơng cụ bẻ khóa web cách dể dàng vòng đến 10 phút AirSnort, dWepCrack, WepAttack, WepCrack, WepLab.tuy nhiên để sử dụng cơng cu địi hỏi kiến thức chun sâu chúng cịn có hạn chế số lượng gói dự liệu bắt Giải pháp tối ưu cho WEP Lớp: CP07912 Trang 35 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin Với điểm yếu nghiêm trọng wep phát tán rộng rãi cơng cụ dị tìm khóa wep internet, giao thức khơng cịn lựa chọn cho mạng có mức độ nhạy cảm thông tin cao.Tuy nhiên nhiều thiết bị mạng không dây nay,giải pháp bảo mật hổ trợ phổ biến web,dù lổ hỏng web bị hạn chế,nếu cấu hình đúng,đồng thời sử dụng biện pháp an ninh mạng khác mang tính chất hổ trợ Để gia tăng tính bảo mật WEP gây khó khăn cho hacker biện pháp sau đề nghị: Sử dụng khóa WEP có độ dài 128 bit (hình 12).thường thiết bị web cho phép cấu hình độ dài 40 bit.64 bit,128 bit.sử dụng đôk dài 128 bit gia tăng gói liệu hacker cần phải có để phân tích IV,gây khó khăn kéo dài thời gian giải mã web.nếu thiết bị bạn hổ trợ kháo wep 40 bit ,thường ngặp (thiết bị không dây củ) bạn cần liên lạc với nhà sản xuất để tải phiên firewall Thực thi sách thay đổi khóa WEP định kì:Do WEP khơng hổ trợ phương thức thay đổi khóa tự động,nên thay đổi khóa định kì khó khăn cho người sử dụng.tuy nhiên khơng thay đổi khóa WEP thường xun khóa WEP nên thực lần tháng có nghi ngờ bại lộ khóa WEP Sử dụng cơng cụ thay đổi liệu thống kê liệu đường truyền không dây:Do cơng cụ dị khóa WEP cần bắt số lượng lớn gói liệu hacker phải sử dụng công cụ phát sinh liệu nên đột biến lưu lượng liệu dấu hiệu công WEP,đánh động người quản trị mạng phat áp dụng biện pháp phòng chống kiệm thời Hầu hết dùng chuẩn kết nối A/B/R/N Chuẩn 802.1x:Chuẩn 802.1x cung cấp phương pháp port-based điều khiển truy cập vào mạng Nó đưa framework cho việc xác nhận điều khiển lưu thông user mạng bảo vệ,cũng cấp phát key mã hóa khác nhau.Gọi chế điều khiển truy cập 802.1X port-based client chưa authenticate kết nối vào AP, AP phản ứng lại cách kích hoạt port để vận chuyển gói tin EAP từ client đến server làm nhiệm vụ xác thực, kết nối cáp với AP AP khóa tất traffic khác, HTTP, DHCP, POP3… client xác nhận thành công Lớp: CP07912 Trang 36 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin Chuẩn 802.1x kết nối giao thức gọi EAP (Extensible Authentication Protocol) đến thiết bị nằm phía khơng dây có dây AP, đồng thời hỗ trợ xác nhận với nhiều phương pháp khác nhau, mật dùng lần hay xác nhận khóa cơng khai Quy trình xác nhận (authenticate) xác thực quyền (authorize) theo chuẩn 802.1x mạng LAN khơng dây tóm tắt sau: Client gửi yêu cầu truy cập đến access point Access point yêu cầu username password từ client sau gửi phản hồi đến authentication server Server gửi yêu cầu thử thách cho việc truy cập đến AP, sau AP lại gửi yêu cầu thử thách đến cho client Client gửi phản hồi thử thách đến AP, AP lại chuyển phản hồi đến server Nếu phản hồi đúng, server trả thông điệp thành công WEP key mã hóa session key đến cho client thơng qua AP Client AP bắt đầu giao tiếp thơng qua WEP key So với WEP, 802.1x có ưu điểm:    Quá trình authenticate tốt có khả mã hóa key Khả tương vận (Interoperability) cao cho nhiều loại thiết bị từ nhiều nhà cung cấp khác WEP key đươc tạo động Giải pháp tình thế:VPN (vitual private netword)fix Nhận yếu web,những người doanh nghiệp khám phá cách hiệu để bảo vệ mạng không dây WlAN gọi VPN FIX.Ý tưởng phương pháp coi người sử dụng Wlan người sử dụng dịch vụ truy cập từ xa.trong cách cấu hình tất điểm truy cập này.điều định nghĩa mạng lan ảo (vitual lan).trong sở hạn tầng bảo mật, thiết bị đối sử “không tin tưởng” Trước thiết bị Wlan kết nối,chúng phải cho phép từ thành phần bảo mật mạng lan Dữ liệu kết nối thiết bị phải chạy qua máy chủ xát thực Remote Authentication Dial In User Service (RADIUS) chẳng hạn,tiếp kết nối thiết lập thành tuyến kết nối bảo mật mã hóa giao thức bảo mật.ví dụ IPSEC, giống sử dụng dịch vụ truy cập từ xa qua interner.Tuy nhiên giải pháp khơng phải hồn hảo.VPNfix cần lưu lượng vpn lớn cho tường lửa cần pahir tạo thủ tục cho người sử dụng.hơn IPSEC lại khơng hổ trợ thiết bị có nhiều chức riêng thiết bị cầm tay,máy quyets mã vạch…cuối Lớp: CP07912 Trang 37 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin quan điểm kiến trúc mạng,cấu hình theo VPN giải pháp tình kết hợp với WLAN Bảo mật WPA (Wifi Protected Access ) WPA giải pháp bảo mật đề nghị WiFi Alliance nhằm khắc phục hạn chế WEP WPA nâng cấp update phần mềm SP2 microsoft WPA cải tiến điểm yếu bật WEP : + WPA mã hóa thơng tin RC4 chiều dài khóa 128 bit IV có chiều dài 48 bit Một cải tiến WPA WEP WPA sử dụng giao thức TKIP (Temporal Key Integrity Protocol) nhằm thay đổi khóa dùng AP user cách tự động trình trao đổi thơng tin Cụ thể TKIP dùng khóa thời 128 bit kết hợp với địa MAC user host IV để tạo mã khóa Mã khóa thay đổi sau 10 000 gói thơng tin trao đổi + WPA sử dụng 802.1x/EAP để đảm bảo mutual authentication nhằm chống lại man-in-middle attack Quá trình authentication WPA dựa authentication server, biết đến với tên gọi RADIUS/ DIAMETER Server RADIUS cho phép xác thực user mạng định nghĩa quyền nối kết user Tuy nhiên mạng WiFi nhỏ (của công ty hoăc trường học), không cần thiết phải cài đặt server mà dùng phiên WPA-PSK (pre-shared key) Ý tưởng WPA-PSK dùng password (Master Key) chung cho AP client devices Thông tin authentication user server trao đổi thông qua giao thức EAP (Extensible Authentication Protocol) EAP session tạo user server đêr chuyển đổi thông tin liên quan đến identity user mạng Trong trình AP đóng vai trị EAP proxy, làm nhiệm vụ chuyển giao thông tin server user Những authentication messages chuyển đổi miêu tả hình Lớp: CP07912 Trang 38 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin Hình 2: Messages trao đổi trình authentication + WPA sử dụng MIC (Michael Message Integrity Check ) để tăng cường integrity thông tin truyền MIC message 64 bit tính dựa thuật tóan Michael MIC gửi gói TKIP giúp người nhận kiểm tra xem thơng tin nhận có bị lỗi đường truyền bị thay đổi kẻ phá hoại hay khơng Tóm lại, WPA xây dựng nhằm cải thiện hạn chế WEP nên chứa đựng đặc điểm vượt trội so với WEP Đầu tiên, sử dụng khóa động mà thay đổi cách tự động nhờ vào giao thức TKIP Khóa thay đổi dựa người dùng, session trao đổi thời số lượng gói thơng tin truyền Đặc điểm thứ WPA cho phép kiểm tra xem thơng tin có bị thay đổi đường truyền hay không nhờ vào MIC message Và đăc điểm nối bật thứ cuối cho phép multual authentication cách sử dụng giao thức 802.1x Những điểm yếu WPA - Điểm yếu WPA khơng giải denial-of-service Lớp: CP07912 Trang 39 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin (DoS) attack [5] Kẻ phá hoại làm nhiễu mạng WPA WiFi cách gửi gói thơng tin với khóa sai (wrong encryption key) giây Trong trường hợp đó, AP cho kẻ phá hoại công mạng AP cắt tất nối kết vòng phút để trách hao tổn tài nguyên mạng Do đó, tiếp diễn thông tin không phép làm xáo trộn hoạt động mạng ngăn cản nối kết người dùng cho phép (authorized users) - Ngồi WPA sử dụng thuật tóan RC4 mà dễ dàng bị bẻ vỡ FMS attack đề nghị nhà nghiên cứu trường đại học Berkeley [6] Hệ thống mã hóa RC4 chứa đựng khóa yếu (weak keys) Những khóa yếu cho phép truy khóa encryption Để tìm khóa yếu RC4, cần thu thập số lượng đủ thông tin truyền kênh truyền không dây - WPA-PSK biên yếu WPA mà gặp vấn đề quản lý password hoăc shared secret nhiều người dùng Khi người nhóm (trong cơng ty) rời nhóm, password/secret cần phải thiết lập Lổ hỏng WPA Trong wifi đưa chuẩn wap coi loại trừ lổ hỏng wep,nhưng người sử dụng không thật tin tưởng wap.có lổ hỏng wap lổ xảy wap presenol.khi mà sử dụng hàm thay đổi kháo tkip sử dụng để tạo khóa mã hóa bị phát hiện,nếu hacker đốn khóa khởi tạo phần mật khẩu.họ xát định tồn mật khẩu,do giải mã liệu.tuy nhiên lổ hỏng bị loại bỏ sử dụng khóa khởi tạo khơng dể đốn(đừng sử dụng từ “password” để làm mật khẩu)  Các chuẩn kết nối:B/G/N Chuẩn mã hóa WPA2 hay 802.11i Chuẩn 802.11i phê chuẩn vào ngày 24 tháng năm 2004 nhằm tăng cường tính mật cho mạng WiFi 802.11i mang đầy đủ đặc điểm WPA Tập hợp giao thức 802.11i biết đến với tên gọi WPA 2.chuẩn sử dụng thuật tốn mã hóa mạnh mẽ gọi chuẩn mã hóa nâng cao AES(Advanced Encryption Standard) AES sử dụng thuật tốn mã hóa them khối Rijndael,sử dụng khối mã hóa 128 bit 192 bit 256 bit để đánh giá chuẩn viện nghiên cứu quốc gia chuẩn công nghệ MĨ ,NIST (National Institute of Standards and Technology) thơng qua thuật tốn mã đối xứng chuẩn mã hóa sử dụng cho quan phủ MĨ để bảo vệ thơng tin nhạy cảm.trong AES đánh giá đảm bảo nhiều so với WEP 128 bit 168 bit DEC(Digital Encryption Standard).Để đảm bảo mặt hiệu trình mã hóa cần thực thiết bị phần cứng thời Lớp: CP07912 Trang 40 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin điểm tại.hơn nửa hầu hết thiết bị cầm tay wifi máy quét mã vạch khơng tương thích với chuẩn 802.11i  Các chuẩn kết nối:G/N Hai chế độ WPA/WPA2: Personal (PSK) Enterprise Cả hai phiên Wi-Fi Protected Access (WPA/WPA2) thực thi hai chế độ:  Chế độ Personal Pre-Shared Key (PSK): Chế độ thích hợp với hầu hết mạng gia đình – khơng thích hợp với mạng doanh nghiệp Bạn định nghĩa mật mã hóa router không dây điểm truy cập (AP) khác Sau mật phải nhập vào người dùng kết nối với mạng Wi-Fi.Mặc dù chế độ dường dễ thực thi, khơng thể bảo đảm an tồn cho mạng doanh nghiệp Khơng giống chế độ Enterprise, truy cập không dây không mang tính riêng biệt quản lý tập trung Một mật áp dụng cho tất người dùng Nếu mật toàn cục cần phải thay đổi phải thay đổi tất AP máy tính Điều gây nhiều khó khăn bạn cần thay đổi; cho ví dụ, nhân viên rời cơng ty hoặc, có máy tính bị cắp bị thỏa hiệp Không giống chế độ Enterprise, mật mã hóa lưu máy tính Mặc dù vậy, máy tính – dù nhân viên hay tội phạm – kết nối với mạng khơi phục mật mã hóa  Chế độ Enterprise (EAP/RADIUS): Chế độ cung cấp khả bảo mật cần thiết cho mạng không dây môi trường doanh nghiệp Mặc dù phức tạp thiết lập, chế độ bảo mật cung cấp khả điều khiển tập trung phân biệt việc truy cập mạng Wi-Fi Người dùng gán thông tin đăng nhập mà họ cần phải nhập vào kết nối với mạng, thông tin đăng nhập thay đổi thu hồi quản trị viên lúc Người dùng khơng cần quan tâm đến khóa mã hóa thực Chúng tạo cách an toàn gán session người dùng chế độ background sau người dùng nhập vào chứng đăng nhập họ Điều tránh việc khơi phục lại khóa mạng từ máy tính Lớp: CP07912 Trang 41 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin Sự giống WEP,WPA WPA2 : Cả ba chuẩn mã hóa sử dụng chứng thực open key shared key open key tức thiết bị giữ key,khi kết nối tự động trao đổi key với access point hay rounter để thực chứng thực.còn với shared key tất thiết bị dùng chung key,và dùng key chứng thực với wriless rount access point.do shared key không đảm bảo open key.Ngồi chúng cịn giống chuẩn kết nối là:G/N Sự khác WEP,WPA WPA2 WEP Là thành phần tùy chọn chuẩn IEEE 801.11 Khóa wep cấu hình thủ cơng AP client WPA WPA2 Tiêu chuẩn wifi an ninh Tương tự WPA Allince đặt Khuyến nghị nên sử dụng Tương tụ WEP xát thực 802.1x/EAP.có hổ trợ cài đặt khó thủ cơng WPA Sử dụng dịng mã hóa đối Sử dụng thuật tốn mã Sử dụng mã hóa AES.có xứng RC4 hóa TKIP.có hổ trợ thuật hổ trợ mã hóa tốn RC4 dịng(TKIP) Mã hóa gói Sử dụng phương pháp mã Tương tự WPA tin,dựa vào việc thay đổi hóa tiên tiên phức tạp giá trị IV,giá trị IV hơn,quá trình tạo khóa co kết hợp trực tiếp với thơng qua trung gian PTK PMK để hình thành khóa Sử dụng thuật tốn CRC Sử dụng thuật tốn Sử dụng CCMP/AES tính để kiểm tra tính tồn vẹn Michael để tính tốn tốn mã MIC có độ tin liệu.mức độ tin mã MIC.có độ tin cậy cao cậy cao cậy thấp CRC Độ dài khóa nhỏ 64 bit Độ dài khóa lớn kết hợp Tương tự WPA hay 128 bit nhiều thành phần thông tin để tạo khóa Khơng có khả xát Hổ trợ xát thực hai chiều Tương tự WPA thực hai chiều sử dugj IEEE 801.1X/EAP Phương pháp đơn giản Tương đối phức tạp Phức tạp yêu càu cao không yêu cầu cao wep,nhưng không lực xử lý phần cứng lực phần cứng yêu cầu cao phần cứng Thích hợp với mạng quy Phù hợp với mạng quy Phù hợp với mạng mô nhỏ mơ nhỏ trung bình lớn,phù hợp với mạng doanh nghiệp Lớp: CP07912 Trang 42 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trường Sĩ Quan Kỹ Thuật Quân Sự Khoa: Công nghệ thông tin WPA đánh giá an toàn so với người anh em WPA2 Tuy nhiên lợi WPA không yêu cầu cao phần cứng.do wap sử dụng TKIP mã hóa theo thuật toán RC4 giống WEP nên hầu hết cacscard mạng củ hổ trợ WEP cần nâng cấp firewall hoạt động tương thích với chuẩn WPA WPA2 sử dụng CCMP/AES cho việc mã hóa liệu kiểm tra tính tồn vẹn gói tin.CCMP/AES chế mã hóa mạnh phức tạp yêu cầu cao mặt sử lý chip.cũng mà nạy WPA2 không phổ biến rộng rãi giống WPA,lý WPA2 cần phải nâng cấp phần cứng,tốn nhiều so với việc vập nhập firewall WAP,tuy nhiên với hệ thống mạng yêu cầu mức độ an ninh cao khuyến khích nên sử dụng WPA2 HẾT Lớp: CP07912 Trang 43 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... Nhận xét công ty thực tập Trang Giới Thiệu chung mạng wireless lan Trang Các khái niệm thuật ngữ Trang Các dạng chuẩn wireless Trang Các thành phần wireless Trang 13 Mơ hình kết nối wireless Trang... tên gọi WPA 2 .chuẩn sử dụng thuật tốn mã hóa mạnh mẽ gọi chuẩn mã hóa nâng cao AES(Advanced Encryption Standard) AES sử dụng thuật tốn mã hóa them khối Rijndael,sử dụng khối mã hóa 128 bit 192... khẩu)  Các chuẩn kết nối:B/G/N Chuẩn mã hóa WPA2 hay 802.11i Chuẩn 802.11i phê chuẩn vào ngày 24 tháng năm 2004 nhằm tăng cường tính mật cho mạng WiFi 802.11i mang đầy đủ đặc điểm WPA Tập hợp