HỌC VIỆN KỸ THUẬT QUÂN SỰ HỌ VÀ TÊN: NGUYỄN THỊ CHI KHÓA: 16 HỆ ĐÀO TẠO: DÀI HẠN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHUYÊN NGÀNH: ĐIỆN TỬ VIỄN THÔNG NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT TRONG MẠNG KHÔNG DÂY Cán hướng dẫn khoa học: Đại tá, TS.Mai Thanh Hải Trung tá, TS.Lê Tiến Hưng Hà Nội, 2022 HỌC VIỆN KỸ THUẬT QUÂN SỰ HỌ VÀ TÊN: NGUYỄN THỊ CHI KHÓA: 16 HỆ ĐÀO TẠO: DÀI HẠN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGÀNH: KỸ THUẬT ĐIỆN – ĐIỆN TỬ MÃ SỐ: 52520203 NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT TRONG MẠNG KHÔNG DÂY Cán hướng dẫn khoa học: Đại Tá, TS.Mai Thanh Hải Trung Tá, TS.Lê Tiến Hưng Hà Nội, 2022 HỌC VIỆN KỸ THUẬT QN SỰ KHOA VƠ TUYẾN ĐIỆN TỬ Cộng Hịa Xã Hội Chủ Nghĩa Việt Nam Độc lập – Tự – Hạnh phúc NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP Họ tên: Nguyễn Thị Chi Lớp: ĐTVT 16A Khóa: 16 Ngành: Kỹ thuật điện – điện tử, Chuyên ngành: Điện tử viễn thông Tên đề tài: Nghiên cứu giải pháp bảo mật mạng không dây Các số liệu ban đầu: Thu thập thông tin từ sách, dựa vào kiến thức học với giúp đỡ giáo viên hướng dẫn Nội dung thuyết minh: Đồ án gồm chương: Chương 1: Tổng quan mạng không dây Chương 2: Các kiểu công giải pháp bảo mật mạng không dây Chương 3: Mô Packet Tracer Số lượng, nội dung vẽ (ghi rõ loại, kích thước cách thực vẽ) sản phẩm cụ thể (nếu có): khơng có Cán hướng dẫn : Đại Tá,TS Mai Thanh Hải Trung Tá,TS Lê Tiến Hưng , Bộ môn thông tin, Khoa Vô tuyến điện tử hướng dẫn chương + chương + chương Ngày giao: …/…/… Ngày hoàn thành: / / 2022 Hà Nội, ngày tháng năm 2022 Chủ nhiệm môn Cán hướng dẫn (Ký, ghi rõ họ tên, học hàm, học vị) Học viên thực Đã hoàn thành nộp đồ án ngày tháng năm 2022 (Ký ghi rõ họ tên) DANH MỤC HÌNH VẼ Hình 1.1 Cấu trúc WLAN Hình 1.2 Hình ảnh Wireless Access Point Hình 1.3 Hình ảnh Wireless Router Hình 1.4 Hình ảnh Wireless NIC Hình 1.5 Hình ảnh Wireless LAN Controller Hình 1.6 Mơ hình mạng sở Hình 1.7 Mơ hình mạng mở rộng .8 Hình 1.8 Mơ hình TCP/IP WLAN 11 Hình 1.9 Mơ hình chi tiết lớp Communication Network 11 Hình 1.10 Mơ hình chuyển đổi chuẩn mạng 12 Hình 2.1 Mơ tả q trình cơng DOS tầng liên kết liệu 25 Hình 2.2 Tấn cơng theo kiểu MITM 28 Hình 2.3 Sơ đồ thuật tốn mã hóa dòng RC4 41 Hình 2.4 Sơ đồ xác thực khóa chia sẻ 42 Hình 2.5 Q trình mã hóa WEP 44 Hình 2.6 Quá trình giải mã WEP 45 Hình 2.7 Quá trình mã hóa WPA 48 Hình 2.8 Quá trình giải mã WPA 49 Hình 2.9 802.1X Pre-authentication 51 Hình 2.10 Key caching 51 Hình 2.11 Q trình mã hóa WPA2 52 Hình 2.12 Quá trình giải mã WPA2 53 Hình 3.1 Sơ đồ mơ 58 Hình 3.2 Cấu hình IP Enterprise Admin 61 Hình 3.3 Cấu hình IP RADIUS Server 61 Hình 3.4 Cấu hình Web Server 61 Hình 3.5 Cấu hình DNS Server 62 Hình 3.6 Cấu hình giao diện WLAN WLAN 62 Hình 3.7 Cấu hình máy chủ RADIUS 62 Hình 3.8 Cấu hình DHCP 63 Hình 3.9 Cấu hình DHCP Wireless Router .63 Hình 3.10 Cấu hình IP Wireless Router 64 Hình 3.11 Cấu hình băng tần kênh 64 Hình 3.12 Cấu hình WPA2 .64 Hình 3.13 Bảng địa MAC 65 Hình 3.14 Sơ đồ mơ sau cấu hình 65 Hình 3.15 Kết mô thiết lập WPA2 66 Hình 3.16 Kết mơ sử dụng lọc địa MAC 66 Hình 3.17 Kết mơ SSH 67 DANH MỤC VIẾT TẮT Các từ viết tắt WLAN RF DS AP IBBSS DSSS FHSS Tiếng Việt Mạng không dây Tần số vô tuyến Hệ thống phân phối Điểm truy cập Mạng Ad-Hoc Trải phổ chuỗi trực tiếp Trải phổ nhảy tần QPSK Tiếng Anh Wireless Local Area Network Radio Frequency Distribution System Access Point Independent Basic Service Set Direct Sequence Spread Spectrum Frequency Hopping Spread Spectrum Orthogonal Frequency Division Multiplexing Quadrature Phase Shift Keying QoS MPDU Quality of Service Mac Protocol Data Unit MMPDU WIFI MAC Management Protocol Data Units Station Institute of Electrical and Electronics Engineers Wireless Fidelity Chất lượng dịch vụ MAC giao thức liệu đơn vị MAC quản lý giao thức liệu đơn vị Trạm Hội kỹ sư điện điện tử BSS The Basic Service Set OFDM STA IEEE MỤC LỤC Ghép kênh phân chia theo tần số trực giao Điều chế khóa dịch pha cầu phương Hệ thống truy cập Internet khơng dây Mơ hình mạng sở MỞ ĐẦU Chương 1: Tổng quan mạng không dây 1.1 Lịch sử hình thành mạng khơng dây .3 1.2 Cơ sở hạ tầng WLAN 1.3 Các loại mơ hình mạng WLAN 1.3.1 Mơ hình mạng ADHoc 1.3.2 Mơ hình mạng sở 1.3.3 Mơ hình mạng mở rộng 1.4 Các chuẩn mạng thông dụng mạng không dây .8 1.4.1 IEEE 201.11 1.4.2 IEEE 802.11b 1.4.3 IEEE 802.11a 1.4.4 Chuẩn IEEE 802.11g 1.4.5 Chuẩn IEEE 802.11n 1.4.6 Một số chuẩn khác 10 1.5 Cách thức truyền mạng không dây 10 1.6 Quá trình kết nối máy trạm 18 1.7 Kết luận chương 20 Chương 2: Các kiểu công giải pháp bảo mật mạng không dây 21 2.1 Khái niệm bảo mật 21 2.2 Các hình thức cơng mạng khơng dây 21 2.2.1 Tấn công bị động – Passive attacks 21 2.2.2 Tấn công chủ động – Active attacks .22 2.2.3 Tấn công kiểu chèn ép – Jamming attacks 27 2.2.4 Tấn công theo kiểu thu hút MITM – Man in the middle attacks 27 2.2.5 Tấn công lặp lại – Replay attack .29 2.3 Các giải pháp bảo mật mạng không dây 29 2.3.1 Sử dụng chế mã hóa lớp mạng lớp ứng dụng mơ hình OSI .29 2.3.2 Sử dụng giao thức WEP (Wire Equivalent Privacy) .40 2.3.3 Sử dụng giao thức WPA (Wi-Fi Protected Access) 45 2.3.4 Sử dụng giao thức WPA2 50 2.3.5 Xác thực thông qua Lọc – Filtering 54 2.4 Kết luận chương 56 Chương 3: Mô Packet Tracer .58 3.1 Bài tốn mơ 58 3.3 Cấu hình mơ .59 3.2.1 Cấu hình thiết bị 59 3.2.2 Cấu hình bảo mật Enterprise Netwok .62 3.3.3 Cấu hình bảo mật Homes Network 63 3.3 Kết mô 65 KẾT LUẬN 68 TÀI LIỆU THAM KHẢO 69 MỞ ĐẦU Mạng máy tính từ lâu trở thành thành phần thiếu nhiều lĩnh vực đời sống xã hội, từ hệ thống mạng cục dùng để chia sẻ tài nguyên đơn vị hệ thống mạng toàn cầu Internet Các hệ thống mạng hữu tuyến vô tuyến ngày phát triển phát huy vai trị Mặc dù mạng khơng dây xuất từ nhiều thập niên năm gần đây, với bùng nổ thiết bị di động nhu cầu nghiên cứu phát triển hệ thống mạng không dây ngày trở nên cấp thiết Nhiều công nghệ, phần cứng, giao thức, chuẩn đời tiếp tục nghiên cứu phát triển Công nghệ không dây phương pháp chuyển giao từ điểm tới điểm khác sử dụng sóng vơ tuyến làm phương tiện truyền dẫn sóng radio cell hồng ngoại vệ tinh giúp giảm thiểu dây dẫn trình truyền nhận thông tin Ngày mạng không dây đạt bước phát triển đáng kể Tại số nước có kinh tế phát triển Châu Âu, Châu Mỹ mạng không dây phát triển đời sống Chỉ với laptop, PDA phương tiện truy cập mạng không dây ta truy cập vào mạng đâu, quan, trường học, đường hay phương tiện giao thông công cộng khác, nằm phạm vi phủ sóng mạng WLAN Nhưng hỗ trợ truy nhập cơng cộng với phương tiện truy cập đơn giản phức tạp đem lại nhiều rắc rối cho nhà quản trị việc bảo mật thông tin Vấn đề tích hợp biện pháp bảo mật vào phương tiện truy nhập đảm bảo tiện ích việc hỗ trợ truy nhập công cộng vấn đề đáng quan tâm Nội dung đồ án thể chương, gồm: Chương 1: Tổng quan mạng không dây, nội dung đề cập đến mơ hình mạng khơng dây, chuẩn 802.11, cách thức truyền trình kết nối máy trạm Chương 2: Các kiểu công giải pháp bảo mật mạng không dây, nội dung đề cập đến vấn đề lỗ hổng bảo mật lớn làm cho hệ thống thiếu an tồn, từ có kiểu cơng khác Chính cần giải pháp bảo mật phù hợp, giải pháp có ưu điểm nhược điểm Chương 3: Mơ phần mềm Cisco Packet Tracer, dụng lab cấu hình giải pháp bảo mật website nhà sản xuất Vì thế, thay đổi giá trị mặc định SSID điều cần thiết Sử dụng SSID có liên quan đến cơng ty: Điều gây nguy bảo mật hacker dễ dàng tìm vị trí vật lý cơng ty Khi tìm kiếm mạng WLAN vùng địa lý việc tìm địa vật lý WLAN ½ vấn đề Thậm chí sau phát WLAN sử dụng cơng cụ NetStumbler việc tìm nguồn gốc tín hiệu tốn nhiều thời gian công sức Khi admin sử dụng SSID tên cơng ty hay tổ chức việc tìm WLAN dễ dàng Vì thế, ln sử dụng SSID không liên quan đến công ty Sử dụng SSID phương thức bảo mật mạng khơng dây: Điều gây nản lịng người sử dụng phải thay đổi giá trị SSID cấu hình họ để gia nhập vào mạng SSID nên sử dụng phương thức để phân đoạn mạng bảo mật mạng Quảng bá SSID cách không cần thiết: Chúng ta nên tắt chế độ quảng bá SSID AP Cấu hình giúp cản trở nghe cách tình cờ b) MAC Address Filtering WLAN filter dựa MAC address client Hầu hết tất AP có chức MAC filtering Người quản trị mạng xây dựng, phân phát trì danh sách địa MAC cho phép Nếu client có địa MAC khơng nằm danh sách MAC filter AP cố gắng kết nối vào mạng chức MAC filter ngăn chặn khơng cho phép client kết nối vào mạng Có thể thấy rằng, đưa tất MAC address client vào bảng MAC filter tất AP doanh nghiệp lớn không khả thi MAC address filter cài đặt RADIUS server thay AP Cấu hình làm cho MAC filter giải pháp bảo mật có tính mở rộng cao Đơn giản nhập địa MAC address vào RADIUS với thông tin định danh người dùng RADIUS server thường đến nguồn chứng thực khác, nguồn chứng thực cần thiết để hỗ trợ MAC filter Mặc dù MAC filter dường phương thức tốt để bảo mật mạng WLAN số trường hợp Tuy nhiên, dễ bị cơng trường hợp sau: • Đánh cắp Card WLAN có danh sách cho phép AP • Lắng nghe traffic mạng WLAN, sau giả mạo địa MAC address sau làm việc MAC filtering thích hợp cho gia đình văn phịng nhỏ nơi có client Sử dụng WEP MAC filtering cung cấp giải pháp bảo mật vừa đủ môi trường Giải pháp vừa đủ khơng hacker thông minh lại thời gian để 48 đột nhập vào mạng gia đình hay văn phịng nhỏ, để chẳng thu thơng tin q giá c) Protocol Filtering WLAN lọc gói tin truyền mạng dựa giao thức lớp đến lớp Trong nhiều trường hợp, nhà sản xuất làm cho protocol filter cấu hình cách độc lập cho đoạn mạng có dây đoạn mạng khơng dây AP Lấy ví dụ, ta có AP kết nối mạng LAN tịa nhà lại với Vì băng thơng dành cho user tòa nhà thứ hai nhỏ nên số phương thức điều khiển phải sử Nếu đường kết nối cài đặt với mục đích nhanh chóng truy cập internet cho người dùng nên cho phép giao thức SMTP, POP3, HTTP, HTTPS, FTP giao thức tin nhắn nhanh khác Khả lọc giao thức hữu ích việc quản lý sử dụng môi trường dùng chung 2.4 Kết luận chương Như vậy, nội dung chương tìm hiểu điểm nhạy cảm mạng không dây Để đảm bảo an tồn cho trạm sóng Access Point mơi trường mạng không dây cần lưu ý sau: Sử dụng chế lọc địa MAC WLAN khả thi Áp dụng WPA/WPA2 hay 802.11i cho mạng không dây Đối với liệu quan trọng cần có kênh truyền thơng an tồn nên sử dụng chế mã hóa lớp mơ hình OSI (network layer) IPSEC, SSL VPN Bảo vệ chặt chẽ cho liệu mật tài khoản trị, tài khoản mail thông qua phương pháp mã hóa tầng ứng dụng HTTPS, FTP/SSL, Secure Shell (SSH) Tuyệt đối không sử dụng WEP Do cần nâng cấp hệ thống phần cứng hay máy tính xách tay sử dụng cơng nghệ cũ đưa tồn hệ thống mạng khơng dây vào hoạt dộng mức an toàn cao hơn, ứng dụng phương pháp bảo vệ lại layer WPA/WPA2 ,802.11i Chương 3: Mơ Packet Tracer 3.1 Bài tốn mơ Mục tiêu mô phỏng: Bảo mật mạng doanh nghiệp mạng gia đình Bài Tốn 1: Thực thiện đấu nối dây cấu hình Hình 23 Sơ đồ mơ Bài Tốn 2: Cấu hình bảo mật mạng gia đình sử dụng giao thức WPA2 dùng chế lọc địa MAC Bài Toán 3: Cấu hình bảo mật WPA2 Enterprise điều khiển WLC sử dụng chế SSH điều khiển truy nhập từ xa thiết bị R1 Addressing Table Device Home Wireless Router RTR-1 SW1 LAP-1 WLC-1 RADIUS Server Home Admin Enterprise Admin Web Server DNS Server Laptop Tablet PC Interface Internet LAN G0/0/0.2 G0/0/0.5 G0/0/0.100 G0/0/1 VLAN 100 G0 Management NIC NIC NIC NIC NIC NIC Wireless0 IP Address DHCP 192.168.6.1/27 192.168.2.1/24 192.168.5.1/24 192.168.100.1/24 10.6.0.1/24 192.168.100.100/24 DHCP 192.168.100.254/24 10.6.0.254/24 DHCP 192.168.100.200/24 203.0.113.78/24 10.100.100.252 DHCP DHCP Smartphone Wireless Host Wireless Host Wireless0 Wireless0 Wireless0 DHCP DHCP DHCP WLAN Information WLAN SSID Home Network WLAN VLAN WLAN VLAN HomeSSID SSID-2 SSID-5 Authenticatio n WPA-2 Personal WPA-2 Personal WPA-2 Enterprise Username Password N/A Cisco123 N/A Cisco123 userWLAN5 userW5pass 3.3 Cấu hình mơ 3.2.1 Cấu hình thiết bị Trên R1: Đặt tên cho thiết bị R1(config)#hostname RTR-1 Đặt IP cho vlan 2, vlan 5, vlan 100 RTR-1(config)#interface g0/0/0.2 RTR-1(config-subif)#encapsulation dot1q RTR-1(config-subif)#ip address 192.168.2.1 255.255.255.0 Đặt Ip cho s0/1/0, g0/0/1 g0/0/0 RTR-1(config)#interface S0/1/0 RTR-1(config-if)#ip address 10.20.30.2 255.255.255.252 Cấu hình DHCP RTR-1, tạo pool WLAN2 WLAN5 RTR-1(config)#ip dhcp pool WLAN2 RTR-1(dhcp-config)#network 192.168.2.0 255.255.255.0 RTR-1(dhcp-config)#default-router 192.168.2.1 RTR-1(dhcp-config)#dns-server 10.100.100.252 RTR-1(config)#ip dhcp excluded-address 192.168.2.1 RTR-1(config)#ip dhcp excluded-address 192.168.5.1 RTR-1(config)#ip dhcp excluded-address 192.168.2.254 RTR-1(config)#ip dhcp excluded-address 192.168.5.254 Trên SW1: Tạo vlan 100, vlan 2, vlan Switch(config)#vlan 100 Switch(config-vlan)#name WLAN-Manage Switch(config)#interface g1/0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 100 Trên Router 0: Đặt IP cho g0/0/0, g0/0/1, g0/0/2, s0/1/0, s0/1/1 Router(config)#interface g0/0/0 Router(config-if)#ip add 10.100.200.1 255.255.255.0 Cấu hình DHCP cho Home Network Router(config)#ip dhcp pool homes Router(dhcp-config)#network 10.100.200.0 255.255.255.0 Router(dhcp-config)#default-router 10.100.200.1 Router(config)#ip dhcp excluded-address 10.100.200.1 Default Route Router(config)#ip route 192.168.5.0 255.255.255.0 10.20.30.2 Router(config)#ip route 192.168.100.0 255.255.255.0 10.20.30.2 Router(config)#ip route 192.168.2.0 255.255.255.0 10.20.30.2 Enterprise Admin: Hình 24 Cấu hình IP Enterprise Admin RADIUS Server: Hình 25 Cấu hình IP RADIUS Server Web Server: Hình 26 Cấu hình Web Server DNS Server: Hình 27 Cấu hình DNS Server 3.2.2 Cấu hình bảo mật Enterprise Netwok Cấu hình giao diện cho WLAN WLAN 5: Hình 28 Cấu hình giao diện WLAN WLAN Cấu hình WLC với địa máy chủ RADIUS: Hình 29 Cấu hình máy chủ RADIUS Cấp phát địa IP DHCP từ WLC cho LAP thông qua Capwap: Hình 30 Cấu hình DHCP Cấu hình kiểm sốt truy cập từ xa SSH R1: RTR-1(config)#line vty RTR-1(config-line)#password Cisco123 RTR-1(config)#crypto key generate rsa general-keys modulus 2048 RTR-1(config)#username Admin secret Str0ng3rPa55w0rd@@ RTR-1(config)#line vty RTR-1(config-line)#transport input ssh RTR-1(config-line)#login local 3.3.3 Cấu hình bảo mật Homes Network Cấu hình DHCP: Hình 31 Cấu hình DHCP Wireless Router Cấu hình IP: Hình 32 Cấu hình IP Wireless Router Cấu hình băng tần 2,4GHz kênh 6: Hình 33 Cấu hình băng tần kênh Bảo mật sử dụng giao thức WPA2 Hình 34 Cấu hình WPA2 Lọc địa MAC: Hình 35 Bảng địa MAC 3.3 Kết mơ Hình 36.14 Sơ đồ mơ sau cấu hình Mạng gia đình mạng doanh nghiệp thiết lập WPA2: Hình 37 Kết mơ thiết lập WPA2 Bên mạng gia đình thiết lập cho phép địa MAC tương ứng thiết bị đầu cuối phép truy cập mạng gia đình Giả sử có thiết bị laptop3 lạ có địa MAC là: 0001.C9DD.1843 khơng kết nối đến Hình 38.16 Kết mơ sử dụng lọc địa MAC Trong mạng doanh nghiệp muốn thiết bị đầu cuối truy cập tới R1 phải cần mật khẩu: Hình 39 Kết mơ SSH KẾT LUẬN Ngày mạng không dây khơng cịn trở nên xa lạ sống Chúng ta dễ dàng nhận biết hệ thống mạng khơng dây gia đình, văn phịng, công sở, thiết bị cầm tay ngày hỗ trợ nhiều tính truy cập mạng khơng dây cập nhật công nghệ Song song với việc nghiên cứu, phát triển hạ tầng thiết bị mạng khơng dây vấn đề bảo mật cho hệ thống đặc biệt ưu tiên Việc nghiên cứu ln quan tâm nhằm tìm kiếm giải pháp bảo mật tốt hơn, hoàn thiện Sau trình tìm hiểu, nghiên cứu hướng dẫn, bảo tận tình thầy giáo TS Mai Thanh Hải thầy giáo TS Lê Tiến Hưng, em hoàn thành xong đồ án tốt nghiệp Qua việc thực đồ án giúp em hiểu thêm hệ thống mạng không dây, nắm ưu nhược điểm, ứng dụng, tầm quan trọng vấn đề bảo mật mạng không dây việc xây dựng hệ thống hoàn chỉnh Em xin chân thành cảm ơn thầy giáo TS Mai Thanh Hải thầy giáo TS Lê Tiến Hưng tận tình bảo em hoàn thành đồ án TÀI LIỆU THAM KHẢO [1] Trương Văn Phúc (2006) Giáo trình Cơng nghệ mạng không dây, Tân An [2] William Stallings W Wireless Communications And Networks 2nd [3] Module 15 Tấn Công Trên Mạng Không Dây Truy xuất từ: https://app.box.com/s/szvzkojksb2sgssatekay2hl2hzds6l8 [4] Srdjan Čapkun Securing 802.11 (WiFi) networks Truy xuất từ: https://ethz.ch/content/dam/ethz/special-interest/infk/inst-infsec/systemsecurity- group-dam/education/SOWN_AS19/WiFi-security.pdf [5] Hướng dẫn sử dụng Packet Tracer Truy xuất từ: http://dulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan-trimang/ file_goc_772010.pdf [6] Slide CCNAv7