BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI -ooo - LUẬN VĂN TỐT NGHIỆP GIẢI PHÁP CHỐNG TẤN CÔNG TRONG MẠNG KHÔNG DÂY WLAN Họ tên : Đào Ngọc Thưởng Mã Sinh viên : 14101983 Lớp : TSUD19.01 SĐT : 0974 242 165 HÀ NỘI, 2018 Luận văn tốt nghiệp MỤC LỤC MỤC LỤC DANH MỤC CÁC CỤM TỪ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ LỜI NÓI ĐẦU .1 CHƯƠNG : GIỚI THIỆU VỀ ĐỀ TÀI VÀ MỤC ĐÍCH .2 I.ĐỀ TÀI: II.MỤC ĐÍCH ĐỀ TÀI: CHƯƠNG : LÝ THUYẾT CHUNG VỀ NHỮNG VẤN ĐỀ TRONG ĐỀ TÀI I LỊCH SỬ RA ĐỜI II CÁC KIỂU TẤN CÔNG TRONG MẠNG WLAN 2.1 Passive Attack (eavesdropping) 2.2 Active Attack 2.3 Jamming (tấn công cách gây nghẽn) 2.4 Man-in-the-middle Attack 10 2.5 Rogue access point 12 2.6 De-authentication Flood Attack(tấn công yêu cầu xác thực lại ) 14 2.7 Tấn công dựa cảm nhận sóng mang lớp vật lý 15 2.8 Tấn công ngắt kết nối (Disassociation flood attack) .16 CHƯƠNG 3: NHỮNG GIẢI PHÁP HIỆN NAY, SO SÁNH LỰA CHỌN GIẢI PHÁP 18 I CÁCH THỨC BẢO MẬT TRONG WLAN 18 1.1.Device Authorization: 19 1.2.Encryption: .19 1.3.Authentication: .19 1.4.Firewall: 19 1.5.VPN: 20 II MÃ HÓA 20 2.1.Vector khởi tạo IV 22 SVTH: Đào Ngọc Thưởng Luận văn tốt nghiệp III CÁC GIẢI PHÁP BẢO MẬT NỔI BẬT: 27 3.1 WLAN VPN: 27 3.2 802.1x EAP .28 3.3 WPA (Wi-Fi Protected Access) 30 3.4 WPA 31 3.5 Lọc (Filtering) .32 3.5.1.Lọc SSID: .33 3.5.2.Lọc địa MAC 33 3.5.3 Lọc giao thức 33 3.6 Kết Luận: 34 CHƯƠNG : TRIỂN KHAI GIẢI PHÁP - KẾT QUẢ ĐẠT ĐƯỢC 36 I.GIỚI THIỆU TỔNG QUAN 36 1.1 Giải pháp lựa chọn: 36 1.2 Sự bảo mật tính mở rộng 37 1.3 Áp dụng RADIUS cho WLAN 38 1.4 Mô tả hệ thống 40 II.QUY TRÌNH CÀI ĐẶT 41 2.1 Bước 1: Cài DHCP 41 2.2 Bước 2: Cài Enterprise CA 41 2.3 Bước 3: Cài Radius 43 2.4 Bước 4: Chuyển sang Native Mode .44 2.5 Bước 5: Cấu hình DHCP .45 2.6 Bước 6: Cấu hình Radius .47 2.7 Bước 7: Tạo users, cấp quyền Remote access cho users cho computer 49 2.8 Bước 8: Tạo Remote Access Policy 49 2.9 Bước 9: Cấu hình AP khai báo địa máy RADIUS 51 2.10 Bước 10: Cấu hình Wireless Client .52 KẾT LUẬN 54 SVTH: Đào Ngọc Thưởng Luận văn tốt nghiệp DANH MỤC CÁC CỤM TỪ VIẾT TẮT AP Access Point Điểm truy cập AAA Authentication, Authorization, Xác thực, cấp phép kiểm toán Access Control AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến BSSs Basic Service Sets Mơ hình mạng sở CHAP Challenge-handshake Giao thức xác thực yêu cầu bắt authentication protocol tay DES Data Encryption Standard Tiêu chuẩn mã hóa liệu DS Distribution system Hệ thống phân phối DSSS Direct sequence spread Trải phổ trực tiếp spectrum EAP Extensible Authentication Giao thức xác thực mở rộng Protocol ESSs Extended Service Sets Mô hình mạng mở rộng FCC Federal Communications Ủy ban truyền thông Liên bang Commission Hoa Kỳ Frequency-hopping spread Trải phổ nhảy tần FHSS spectrum IBSSs Independent Basic Service Sets Mô hình mạng độc lập hay cịn gọi mạng Ad hoc IDS Intrusion Detection System Hệ thống phát xâm nhập IEEE Institute of Electrical and Viện kỹ thuật điện điện tử Electronics Engineers Mỹ Internet Protocol Security Tập hợp chuẩn chung IPSec (industry-defined set) việc kiểm tra, xác thực mã hóa liệu dạng packet tầng Network (IP ISM Industrial, scientific and Băng tầng dành cho công nghiệp, medical khoa học y học SVTH: Đào Ngọc Thưởng Luận văn tốt nghiệp ISP Internet service provider Nhà cung cấp dịch vụ Internet LAN Local Area Network Mạng cục MAC Medium Access Control Điều khiển truy cập môi trường MAN Metropolitan Area Network Mạng đô thị MIC Message integrity check Phương thức kiểm tra tính tồn vẹn thơng điệp N/A Not Applicable Chưa sử dụng NAS Network access server Máy chủ truy cập mạng NIST Nation Instutute of Standard Viện nghiên cứu tiêu chuẩn and Technology công nghệ quốc gia Orthogonal frequency division Trải phổ trực giao OFDM multiplexing PC Persional Computer Máy tính cá nhân PDA Persional Digital Assistant Máy trợ lý cá nhân dùng kỹ thuật số PEAP Protected Extensible Giao thức xác thực mở rộng Authentication Protocol bảo vệ PPP Point-to-Point Protocol Giao thức liên kết điểm điểm PSK Preshared Keys Khóa chia sẻ RADIUS Remote Authentication Dial In Dịch vụ truy cập bằng điện thoại User Service xác nhận từ xa RF Radio frequency Tần số vô tuyến SLIP Serial Line Internet Protocol Giao thức internet đơn tuyến SSID Service set identifier Bộ nhận dạng dịch vụ TKIP Temporal Key Integrity Giao thức toàn vẹn khóa thời Protocol gian UDP User Datagram Protocol Là giao thức truyền tải VLAN Virtual Local Area Network Mạng LAN ảo VPN Virtual Private Network Mạng riêng ảo WEP Wired Equivalent Privacy Bảo mật tương đương mạng dây WI-FI Wireless Fidelity Hệ thống mạng không dây sử dụng sóng vơ tuyến WLAN Wireless Local Area Network SVTH: Đào Ngọc Thưởng Mạng cục không dây Luận văn tốt nghiệp WPA/WPA2 Wi-fi Protected Access Bảo vệ truy cập Wi-fi DANH MỤC CÁC HÌNH VẼ Hình 1.1: Truy cập trái phép mạng không dây Hình 2.1: Mô hình tấn công bị động - Passive Attacks Hình 2.2: Quá trình lấy password WEP tấn công bị động Hình 2.3: Mô hình công chủ động - Active Attacks Hình 2.4: Tấn công theo kiểu chèn ép - Jamming Attacks HÌnh 2.5:Tấn công cách thu hút - Man-in-the-middle attacks 10 Hình 2.6: Mô tả tấn công 11 Hình 2.7: Tấn công Fake Access Point .14 Hình 2.8 Mơ hình cơng “u cầu xác thực lại” .14 Hình 2.9 Mơ hình cơng ngắt kết nối .16 Hình 3.2:Mức độ an ninh 19 Hình 3.3 Q trình mã hóa giải mã .20 Hình 3.4 Hoạt động mật mã dịng 21 Hình 3.5 Hoạt động mật mã khối 22 Hình 3.6 Mơ hình vector khởi tạo IV 22 Hình 3.7 Frame mã hóa WEP 23 Hình 3.8 Tiến trình mã hóa giải mã WEP .24 Hình 3.9 Mơ tả hoạt động ICV 25 Hình 3.10 WLAN VPN 28 Hình 3.11 Mơ hình hoạt động xác thực 802.1x 29 Hình 3.12 Q trình trao đổi thơng tin xác thực 802.1x 30 Hình 3.13 Tiến trình xác thực MAC 33 Hình 3.14 Lọc giao thức .34 Hình 4.1 Mơ hình xác thực Wireless Clients RADIUS Server 36 Hình 4.2: Hoạt động RADIUS SERVER .39 Hình 4.3: Wireless Clients, AP RADIUS Server 40 Hình 4.4: Cài đặt DHCP .41 SVTH: Đào Ngọc Thưởng Luận văn tốt nghiệp Hình 4.5 Enterprise CA 43 Hình 4.6 Raise domain functional level .45 Hình 4.7 Kết cấu hình DHCP 47 Hình 4.8 Register Server in Active Directory 48 Hình 4.9 Khai báo radius client 48 Hình 4.10 Active Directory Users and Computers .49 Hình 4.11 New Remote Access Policy 49 Hình 4.12 Access mode “Wireless” .50 Hình 4.13 User or Group Access .50 Hình 4.14 EAP type 51 Hình 4.15 Kết tạo Remote Access Policy 51 Hình 4.16 Cấu hình Access Point .51 Hình 4.17 Wireless Network Connection Properties 52 Hình 4.18 Cấu hình Network Authentication Data Encryption .53 Hình 4.19 Cấu hình EAP type 53 SVTH: Đào Ngọc Thưởng Luận văn tốt nghiệp LỜI NÓI ĐẦU Ngày nay, Internet, kho tàng thông tin khổng lồ, phục vụ hữu hiệu sản xuất kinh doanh, trở thành đối tợng cho nhiều ngời cơng với mục đích khác Đôi khi, đơn giản để thử tài đùa bỡn với ngời khác Cùng với phát triển không ngừng Internet dịch vụ Internet, số lượng vụ công Internet tăng theo cấp số nhân Trong phương tiện thông tin đại chúng ngày nhắc nhiều đến Internet với khả truy nhập thông tin dường đến vơ tận nó, tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm an toàn liệu cho máy tính kết nối vào mạng Internet Với nhu cầu trao đổi thông tin, bắt buộc các quan, tổ chức phải hòa mình vào mạng toàn cầu Internet An toàn và bảo mật thông tin là một những vấn đề quan trọng hàng đầu, thực hiện kết nối mạng nội bộ của các quan, doanh nghiệp, tổ chức với Internet Ngày nay, các biện pháp an toàn thông tin cho máy tính cá nhân cũng các mạng nội bộ đã được nghiên cứu và triênt khai Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin,…gây nên những hậu quả vô cùng nghiêm trọng Những vụ tấn công này nhằm vào tất cả các máy tính có mặt Internet, các máy tính của các công ty lớn Microsoft, IBM, các trường đại học và các quan nhà nước, các tổ chức quân sự, nhà băng….một số vụ tấn công với quy mô khổng lồ v.v Một phần rất lớn các vụ tấn cồn không được thông báo vì nhiều lý do, đó có thể kể đén nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị dự án không hề hay biết những vụ tấn công nhằm vào hệ thống của họ Không chỉ những vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn công cũng liên tục hoàn thiện Điều đó một phần các nhân viên quản trị hệ thống ngày càng đề cao cảnh giác Vì vậy việc kết nối mạng nội bộ của quan tổ chức mình vào mạng Internet mà không có các biện pháp đảm bảo an ninh thì cũng được xem là tự sát Từ nhu cầu phát triển của công nghệ thông tin Các quan, tổ chức phải đảm bảo an toàn thông tin quá trình kết nối Vì vậy, em quyết định chọn đề tài: “Giải pháp chống tấn công mạng không dây WLAN” SVTH: Đào Ngọc Thưởng Luận văn tốt nghiệp CHƯƠNG : GIỚI THIỆU VỀ ĐỀ TÀI VÀ MỤC ĐÍCH I.ĐỀ TÀI: “Giải pháp chống tấn công mạng không dây WLAN” II.MỤC ĐÍCH ĐỀ TÀI: Để kết nối tới mạng LAN hữu tuyến ta cần phải truy cập theo đường truyền dây cáp, phải kết nối PC vào cổng mạng Với mạng khơng dây ta cần có máy ta vùng sóng bao phủ mạng khơng dây Điều khiển cho mạng có dây đơn giản: đường truyền cáp thơng thường tịa nhà cao tầng port khơng sử dụng làm cho disable ứng dụng quản lý Các mạng khơng dây (hay vơ tuyến) sử dụng sóng vơ tuyến xuyên qua vật liệu tòa nhà bao phủ không giới hạn bên tịa nhà Sóng vơ tuyến xuất đường phố, từ trạm phát từ mạng LAN này, truy cập nhờ thiết bị thích hợp Do mạng khơng dây cơng ty bị truy cập từ bên ngồi tịa nhà cơng ty họ Hình 1.1 Truy cập trái phép mạng khơng dây SVTH: Đào Ngọc Thưởng Luận văn tốt nghiệp Bảo mật: - Môi trường kết nối không dây khơng khí nên khả bị cơng người dùng cao - Có rất nhiều cách thức tấn công vào mạng WLAN mà người quản trị không thể lường trước được - Khả bảo mật mạng WLAN là rất khó khiến người quản trị phải có kiến thức sâu rộng mới có thể đảm bảo an toàn mạng được SVTH: Đào Ngọc Thưởng ... tài: ? ?Giải pháp chống tấn công mạng không dây WLAN? ?? SVTH: Đào Ngọc Thưởng Luận văn tốt nghiệp CHƯƠNG : GIỚI THIỆU VỀ ĐỀ TÀI VÀ MỤC ĐÍCH I.ĐỀ TÀI: ? ?Giải pháp chống tấn công mạng không. .. Mạng cục không dây Luận văn tốt nghiệp WPA/WPA2 Wi-fi Protected Access Bảo vệ truy cập Wi-fi DANH MỤC CÁC HÌNH VẼ Hình 1.1: Truy cập trái phép mạng không dây Hình 2.1: Mô hình tấn công. .. Đào Ngọc Thưởng Luận văn tốt nghiệp II CÁC KIỂU TẤN CƠNG TRONG MẠNG WLAN Hacker cơng mạng WLAN cách sau: Tấn công bị động- Nghe trộm (Passive Attack hay Eavesdropping) Tấn công chủ đợng