Lời mở đầu Ngày vai trò mạng máy tính thể rõ lĩnh vực sống Đó trao đổi, chia sẻ, lưu trữ bảo vệ thông tin Bên cạnh tảng mạng máy tính hữu tuyến, mạng máy tính khơng dây từ đời thể nhiều ưu điểm bật độ linh hoạt, tính giản đơn, khả tiện dụng Trước đây, chi phí cịn cao nên mạng khơng dây cịn chưa phổ biến, ngày mà giá thành thiết bị phần cứng ngày hạ, khả xử lý ngày tăng mạng khơng dây triển khai rộng rãi, số nơi thay mạng máy tính có dây khó triển khai Mạng máy tính khơng dây hoạt động trao đổi thơng tin mơi trường truyền sóng nên khả bị nhiễu,bị rị rỉ thông tin… cao.Để hệ thống mạng máy tính khơng dây hoạt động tối ưu có hai giải pháp xem quan trọng nhất, : Tối ưu thiết lập vùng phủ sóng vấn đề bảo mật mạng máy tính khơng dây.Việc làm cho mạng máy tính khơng dây hoạt động tối ưu vấn đề nhiều người quan tâm.Vì chúng em chọn đề tài “Nghiên cứu phương pháp tối ưu hóa mạng wifi” để tìm hiểu.Do vấn đề tương đối rộng nên chúng em xin trình bày phần tối ưu mạng máy tính khơng dây dựa việc bảo mật_Security in WLAN Cảm ơn Thầy TRẦN XUÂN TRƯỜNG tận tình giúp đỡ chúng em suốt trình làm đề tài này.Do lượng kiến thức rộng,tài liệu chủ yếu tiếng anh nên chúng em có nhiều sai sót,mong thầy góp ý cho chúng em MỤC LỤC Phần I : Tổng quan mạng máy tính khơng dây WLAN Phần II : Vấn đề an ninh WLAN Chương I :Tổng quan an ninh mạng Chương II :Các phương pháp công phổ biến WLAN Chương III:Các giải pháp bảo mật WLAN I Chứng thực phân quyền WLAN II Bảo vệ liệu WLAN với phương thức chứng thực mã hóa WEP Chương IV Kỹ thuật phát ngăn chặn xâm nhập(Intrusion detection and prevention technology) Chương V Bảo mật chuyển vùng WLAN PHỤ LỤC Một số từ viết tắt: Từ viết tắt AAA Chú thích Cơ chế nhận thực Kiểm soát quyền truy cập Authentication Authorization, Accounting AP Access Point Access Port Quản lý theo dõi người dùng Thiết bị phát sóng Radio, cung cấp kết nối khơng dây Cũng thiết bị phát sóng không dây Access point, cần dùng kèm với Security Switch BSS Basic service set Vùng phủ sóng AP đảm bảo thiết bị khu vực kết nối mạng 802.11 Địa MAC AP cung cấp BS BSSI Basic Service Set Identity DES Data Encryption Standard Một thuật toán dùng để mã hoá bảo mật liệu Direct Sequence Spread Spectrum Kỹ thuật trải phổ trực tiếp Một phương pháp điều chế WLAN DSSS EAP Extensible Authentication Protocol Một giao thức dùng với chức nhận thực.Định danh người dùng tính hợp lệ người dùng ESA Cơ chế mã hố gói tin IP để đảm bảo tính bảo mật tồn vẹn liệu FHSS Encapsulating Security Payload Frequency-Hopping Spread- Spectrum Kỹ thuật trải phổ nhảy tần IDS Intrusion Detection System Thiết bị phần cứng phần mềm có chức phát cơng LCP Link Control Protocol Giao thức điều khiển kết nối MAC Medium Access Control Một giao thức điều khiển sóng Radio mạng Wireless WISPr Wireless ISP roaming Cấu trúc chuyển vùng nhà cung cấp dịch vụ không dây UAM Universal Access Method Phương thức truy cập chung DMZ - Demilitarized Zone Khu vực phi quân DOS - Denial of service Từ chối dịch vụ EAP - Extensible Authentication Protocol Giao thức chứng thực mở rộng IEEE - Institute of Electrical and Electronics Engineers MIC - Message Integrity Check OFDM Orthogonal Frequency QoS Division Multiplexing Quality of Service Đây phương thức điều chế dùng WLAN Chất lượng mà dịch vụ mạng đáp ứng: Tốc độ truyền, độ Jiter, tính sẵn sàng… RADIUS Remote Authentication Dial In User Servic Một giao thức dùng chế nhận thực SSID Service Set Identifier Định danh mạng không dây SSL Secure Sockets Layer Một giao thức nhận thực bảo mật lớp TLS Transport Level Giao thức thiết lập chế trao đổi thông tin khoá mã Security phục vụ cho nhận thực Hoạt động lớp Wired Equivalent Đây giao thức bảo mật dựa việc mã hoá liệu Privacy khoá mã chia sẻ trước Wi-Fi Wireless Fidelity Một cách gọi khác WLAN WLAN Wireless Local Area Mạng cục truy cập không dây WEP Network VPN Virtual Private Network Công nghệ mạng riêng ảo Phương pháp tối ưu hóa mạng wifi -1- PHẦN I :TỔNG QUAN VỀ MẠNG MÁY TÍNH KHƠNG DÂY WLAN Lịch sử phát triển WLAN: Công nghệ WLAN lần xuất vào cuối năm 1990, nhà sản xuất giới thiệu sản phẩm hoạt động băng tần 900Mhz Năm 1992, nhà sản xuất bắt đầu bán sản phẩm WLAN sử dụng băng tần 2.4Ghz Năm 1997, Institute of Electrical and Electronics Engineers(IEEE) phê chuẩn đời chuẩn 802.11, biết với tên gọi WIFI (Wireless Fidelity) cho mạng WLAN Chuẩn 802.11 hỗ trợ ba phương pháp truyền tín hiệu, có bao gồm phương pháp truyền tín hiệu vơ tuyến tần số 2.4Ghz Năm 1999, IEEE thông qua hai bổ sung cho chuẩn 802.11 chuẩn 802.11a 802.11b (định nghĩa phương pháp truyền tín hiệu) Và thiết bị WLAN dựa chuẩn 802.11b nhanh chóng trở thành cơng nghệ không dây vượt trội Năm 2003, IEEE công bố thêm cải tiến chuẩn 802.11g mà truyền nhận thông tin hai dãy tần 2.4Ghz 5Ghz nâng tốc độ truyền liệu lên đến 54Mbps Ưu điểm WLAN - Hiệu quả: Người dùng trì kết nối mạng họ từ nơi đến nơi khác - Triển khai: Việc thiết lập hệ thống mạng khơng dây ban đầu cần access point Với mạng dùng cáp, phải tốn thêm chi phí gặp khó khăn việc triển khai hệ thống cáp nhiều nơi tòa nhà - Khả mở rộng: Mạng khơng dây đáp ứng tức gia tăng số lượng người dùng Với hệ thống mạng dùng cáp cần phải gắn thêm cáp Nhược điểm WLAN - Bảo mật: Mơi trường kết nối khơng dây khơng khí nên khả bị công người dùng cao - Phạm vi: Một mạng chuẩn 802.11g với thiết bị chuẩn hoạt động tốt GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi -2- phạm vi vài chục mét Nó phù hợp nhà, với tịa nhà lớn không đáp ứng nhu cầu Để đáp ứng cần phải mua thêm Repeater hay access point, dẫn đến chi phí gia tăng - Độ tin cậy: Vì sử dụng sóng vơ tuyến để truyền thơng nên việc bị nhiễu, tín hiệu bị giảm tác động thiết bị khác(lị vi sóng,….) khơng tránh khỏi Làm giảm đáng kể hiệu hoạt động mạng - Tốc độ: Tốc độ mạng không dây chậm so với mạng sử dụng cáp(100Mbps đến hàng Gbps) Các chuẩn WLAN tại: Vì WLAN truyền liệu sử dụng tần số radio nên WLAN điều chỉnh bởi loại luật kiểm soát AM/FM radio Federal Communications Commission(FCC) kiểm soát việc sử dụng thiết bị WLAN Trên thị trường WLAN ngày có nhiều chuẩn chấp nhận hoạt động thử nghiệm Mỹ, chuẩn tạo trì IEEE Những chuẩn tạo nhóm người đại diện cho nhiều tổ chức khác Những chuẩn cho WLAN gồm: +IEEE 802.11-là chuẩn gốc WLAN chuẩn có tốc độ truyền thấp kỹ thuật dựa tần số radio dựa tần số ánh sáng +IEEE 802.11b- có tốc độ truyền liệu nhanh hơn, chuẩn gọi WiFi tổ chức Wireless Ethernet Compatibility Alliance (WECA).Hoạt động băng tần 2.4GHz sử dụng phương pháp trải phổ trực tiếp DSSS(Direct Sequence Spread Spectrum).Tốc độ up to 11Mbps +IEEE 802.11a-có tốc độ truyền cao 802.11b khơng có tính tương thích ngược, sử dụng băng tần 5.7GHz với cơng nghệ ghép kênh theo tần số trực giao OFDM (Orthogonal Frequency Division Multiplexing).Tốc độ up to 54Mbps +IEEE 802.11g-là chuẩn dựa chuẩn 802.11 có tốc độ truyền ngang với 802.11a, có khả tương thích với 802.11b.Hoạt động băng tần 2.4GHz.Tốc độ up to 11Mbps với DSSS up to 54Mbps với OFDM +IEEE 802.11n-là chuẩn phát minh để cải tiến tốc độ WLAN.Sử dụng công nghệ MIMO (multiple input/multiple output) GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi -3- Tốc độ up to 248Mbps Có thể hoạt động băng tần 2.4 5.7GHz +IEEE 802.11e : chuẩn bổ sung cho chuẩn 802.11 cũ, định nghĩa thêm mở rộng chất lượng dịch vụ (QoS) nên thích hợp cho ứng dụng multimedia voice, video (VoWLAN) + IEEE 802.11f : phê chuẩn năm 2003 Đây chuẩn định nghĩa thức AP giao tiếp với client roaming vùng sang vùng khác Chuẩn gọi Inter-AP Protocol (IAPP) Chuẩn cho phép AP phát diện AP khác cho phép AP “chuyển giao” client sang AP (lúc roaming), điều giúp cho trình roaming thực cách thông suốt + IEEE 802.11i : chuẩn bảo mật, bổ sung cho yếu điểm WEP chuẩn 802.11 Chuẩn sử dụng giao thức giao thức xác thực dựa cổng 802.1X, thuật toán mã hóa xem khơng thể crack thuật toán AES (Advance Encryption Standard), thuật toán thay cho thuật toán RC4 sử dụng WEP + IEEE 802.11h : chuẩn cho phép thiết bị 802.11a tuân theo quy tắc băng tần Ghz châu âu Nó mơ tả chế tự động chọn tần số (DFS = Dynamic Frequency Selection) điều khiển công suất truyền (TPC = Transmission Power Control) để thích hợp với quy tắc tần số công suất châu âu + IEEE 802.11j : phê chuẩn tháng 11/2004 cho phép mạng 802.11 tuân theo quy tắc tần số băng tần 4.9 Ghz Ghz Nhật Bản + IEEE 802.11d : chuẩn chỉnh sửa lớp MAC 802.11 cho phép máy trạm sử dụng FHSS tối ưu tham số lớp vật lý để tuân theo quy tắc nước khác nơi mà sử dụng + IEEE 802.11s : định nghĩa tiêu chuẩn cho việc hình thành mạng dạng lưới (mesh network) cách tự động GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi -4- Các mơ hình WLAN 5.1 Kiểu Ad – hoc (mơ hình mạng độc lập IBSSs(Independent Basic Service sets)) Mỗi máy tính mạng giao tiếp trực tiếp với thông qua thiết bị card mạng không dây mà không dùng đến thiết bị định tuyến hay thu phát không dây Wireless Station Wireless Station Wireless Station Wireless Station Hình 1.1: Mơ hình mạng Ad – hoc ( hay mạng ngang hàng ) 5.2 Mơ hình mạng sở (Basic service sets (BSSs) ) Bao gồm điểm truy nhập AP (Access Point) gắn với mạng đường trục hữu tuyến giao tiếp với thiết bị di động vùng phủ sóng cell AP đóng vai trị điều khiển cell điều khiển lưu lượng tới mạng Các thiết bị di động không giao tiếp trực tiếp với mà giao tiếp với AP.Các cell chồng lấn lên khoảng 10-15 % cho phép trạm di động di chuyển mà khơng bị kết nối vơ tuyến cung cấp vùng phủ sóng với chi phí thấp Các trạm di động chọn AP tốt để kết nối Một điểm truy nhập nằm trung tâm điều khiển phân phối truy nhập cho nút tranh chấp, cung cấp truy nhập phù hợp với mạng đường trục, ấn định địa mức ưu tiên, giám sát lưu lượng mạng, quản lý chuyển gói trì theo dõi cấu hình mạng Tuy nhiên giao thức đa truy nhập tập trung không cho phép nút di động truyền trực tiếp tới nút khác nằm vùng với điểm truy nhập cấu hình mạng WLAN độc lập Trong trường hợp này, gói phải phát lần (từ nút phát gốc sau điểm truy nhập) trước tới nút đích, q trình làm giảm hiệu truyền dẫn tăng trễ truyền dẫn GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi -5- Hình 1.2 Mơ hình mạng sở 5.3 Mơ hình mạng mở rộng( Extended Service Set (ESSs)) Một ESSs tập hợp BSSs nơi mà Access Point giao tiếp với để chuyển lưu lượng từ BSS đến BSS khác để làm cho việc di chuyển dễ dàng trạm BSS, Access Point thực việc giao tiếp thông qua hệ thống phân phối Hệ thống phân phối lớp mỏng Access Point mà xác định đích đến cho lưu lượng nhận từ BSS Hệ thống phân phối tiếp sóng trở lại đích BSS, chuyển tiếp hệ thống phân phối tới Access Point khác, gởi tới mạng có dây tới đích khơng nằm ESS Các thông tin nhận Access Point từ hệ thống phân phối truyền tới BSS nhận trạm đích Hình 1.3 Mơ hình mạng mở rộng GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 39 - - Mã hóa mạnh - Khả tự đồng - Tối ưu tính tốn, hiệu tài nguyên vi xử lý - Có lựa chọn bổ xung thêm Lúc đầu người ta tin tưởng khả kiểm sốt truy cập tích hợp liệu WEP triển khai nhiều hệ thống, tên gọi nói lên kỳ vọng ban đầu mà người ta đặt cho nó, sau người ta nhận WEP khơng đủ khả bảo mật cách tồn diện - Chỉ có chứng thực chiều: Client chứng thực với AP mà khơng có chứng thực tính họp pháp AP với Client - WEP thiếu chế cung cấp quản lý mã khóa Khi sử dụng khóa tĩnh, nhiều người dụng khóa dùng chung thời gian dài Bằng máy tính xử lý tốc độ cao kẻ cơng bắt tin mã hóa để giải mã mã khóa mã hóa cách đơn giản Nếu giả sử máy tính mạng bị bị đánh cắp dẫn đến nguy lộ khóa dùng chung mà máy khác dùng Hơn nữa, việc dùng chung khóa, nguy lưu lượng thông tin bị công nghe trộm cao - Vector khởi tạo IV, phân tích trên, trường 24 bit kết hợp với phần RC4 để tạo chuỗi khóa – key stream, gửi dạng nguyên bản, không mã hóa IV thay đổi thường xuyên, IV có 24 bit có tối đa 224 = 16 triệu giá trị IV chu kỳ, mạng có lưu lượng lớn số lượng 16 triệu giá trị quay vòng nhanh, khoảng thời gian thay đổi ngắn, IV thường khởi tạo từ giá trị 0, mà muốn IV khởi tạo lại cần thực việc reboot lại thiết bị Hơn chuẩn 802.11 không cần xác định giá trị IV giữ nguyên hay thay đổi, Card mạng không dây hãng sản xuất xẩy tượng tạo IV giống nhau, trình thay đổi giống Kẻ cơng dựa vào mà tìm IV, tìm IV tất gói tin qua mà nghe trộm được, từ tìm chuỗi khóa giải mã liệu mã hóa - Chuẩn 802.11 sử dụng mã CRC để kiểm tra tính tồn vẹn liệu, nêu trên, WEP khơng mã hóa riêng giá trị CRC mà mã hóa phần Payload, kẻ GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 40 - cơng bắt gói tin, sửa giá trị CRC nội dung gói tin đó, gửi lại cho AP xem AP có chấp nhận khơng, cách “dị” kẻ cơng tìm nội dung phần tin mã CRC 3.2.5 Biện pháp đối phó Giải pháp đưa theo chiều hướng - Cải tiến, bổ xung, khắc phục nhược điểm, lỗ hổng q trình chứng thực, mã hóa WEP nguyên lý hãng thứ khác - Xây dựng nguyên lý chặt chẽ hơn, phức tạp an toàn dựa nguyên lý WEP 3.2.6 Cải tiến phương pháp chứng thực mã hóa WEP Để tăng cường tính bảo mật WEP, tổ chức IEEE 802.11 đưa giao thức tích hợp khóa tạm thời TKIP – Temporal Key Integrity Protocol TKIP bổ xung phần cho WEP là: - Kiểm tra tính tồn vẹn tin ( MIC-Message Integrity Check ) - Thay đổi mã khóa cho gói tin ( Per packet keying ) 3.2.6.1 Bổ xung trường MIC Giá trị kiểm tra tính tồn vẹn tin MIC - Message Integrity Check bổ xung vào 802.11 để khắc phục nhược điểm phương pháp kiểm tra toàn vẹn liệu ICV - MIC bổ xung thêm số thứ tự trường khung liệu (AP loại bỏ khung sai số thứ tự đó), để tránh trường hợp kẻ cơng chèn gói tin giả mạo sử dụng lại giá trị IV cũ - MIC bổ xung thêm trường tên MIC vào khung liệu để kiểm tra toàn vẹn liệu với thuật toán kiểm tra phức tạp, chặt chẽ ICV GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 41 - Hình 3.17: Cấu trúc khung liệu trước sau bổ xung Trường MIC dài byte tổng hợp từ thông số theo hàm HASH Hình 3.18: Cấu trúc bên trường MIC *Hàm băm Hash Đây loại hàm mã hóa liệu thỏa mãn yêu cầu sau: - Tóm lược tin có độ dài thành chuỗi nhị phân có độ dài xác định - Từ chuỗi nhị phân khơng thể tìm lại tin nguyên thủy ban đầu (hàm tóm lược hàm chiều) - Bất kỳ thay đổi dù nhỏ tin nguyên thủy dẫn đến thay đổi chuỗi tóm lược - Các hàm tóm lược phải thỏa mãn tính chất “khơng va chạm” có nghĩa với hai tin khác nhau, dùng hàm tóm lược khó cho hai chuỗi tóm lược có nội dung giống Điều có ích việc chống giả mạo nội dung điện 3.2.6.2 Thay đổi mã khóa theo gói tin Vì việc dùng giá trị khóa dùng chung khoảng thời gian bị kẻ cơng dị trước kịp đổi nên người ta đưa phương pháp thay đổi mã khóa theo gói tin Nguyên lý thực đơn giản cách thay đưa giá trị Mã khóa tới đầu vào RC4, người ta kết hợp mã khóa với IV hàm băm Hash, đưa kết (gọi Mã khóa tổ hợp) tới đầu vào RC4 Vì mã RC4 thay đổi liên tục (tăng tuần tự) theo gói tin nên Mã khóa tổ hợp thay đổi liên tục dù mã khóa chưa đổi GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 42 - IV Cipher Text IV RC4 Key + HASH CRC ICV Payload Payload Hình 3.19: Mơ tả q trình mã hóa truyền sau bổ xung Để đảm bảo nữa, Cisco đưa quy ước giá trị IV để tăng AP dùng giá trị IV lẻ Client dùng giá trị IV chẵn giá trị IV AP Client không trùng Mã khóa tổ hợp AP Client khơng trùng * Năm 2003, Wi-Fi Alliance đưa giải pháp gọi Wi-Fi Protected Access (WPA) Một cải tiến quan trọng WPA sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol) WPA sử dụng thuật toán RC4 WEP, mã hoá đầy đủ 128 bit Và đặc điểm khác WPA thay đổi khoá cho gói tin Các cơng cụ thu thập gói tin để phá khố mã hố khơng thể thực với WPA Bởi WPA thay đổi khoá liên tục nên hacker không thu thập đủ liệu mẫu để tìm mật Khơng thế, WPA cịn bao gồm kiểm tra tính tồn vẹn thơng tin MIC (Message Integrity Check) Vì vậy, liệu khơng thể bị thay đổi đường truyền Một điểm hấp dẫn WPA không yêu cầu nâng cấp phần cứng Các nâng cấp miễn phí phần mềm cho hầu hết card mạng điểm truy cập sử dụng WPA dễ dàng có sẵn Tuy nhiên, WPA khơng hỗ trợ thiết bị cầm tay máy quét mã vạch Theo Wi-Fi Alliance, có khoảng 200 thiết bị cấp chứng nhận tương thích WPA WPA có sẵn lựa chọn: WPA Personal WPA Enterprise Cả lựa chọn sử dụng giao thức TKIP, khác biệt khoá khởi tạo mã hố lúc đầu WPA Personal thích hợp cho gia đình mạng văn phịng nhỏ, khố khởi tạo sử dụng điểm truy cập thiết bị máy trạm Trong đó, WPA cho doanh GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 43 - nghiệp cần máy chủ xác thực 802.1x để cung cấp khoá khởi tạo cho phiên làm việc Trong Wi-Fi Alliance đưa WPA, coi loại trừ lỗ hổng dễ bị công WEP, người sử dụng khơng thực tin tưởng vào WPA Có lỗ hổng WPA lỗi xảy với WPA Personal Khi mà sử dụng hàm thay đổi khoá TKIP sử dụng để tạo khoá mã hố bị phát hiện, hacker đốn khoá khởi tạo phần mật khẩu, họ xác định tồn mật khẩu, giải mã liệu Tuy nhiên, lỗ hổng bị loại bỏ cách sử dụng khố khởi tạo khơng dễ đốn (đừng sử dụng từ "PASSWORD" để làm mật khẩu) Điều có nghĩa kĩ thuật TKIP WPA giải pháp tạm thời , chưa cung cấp phương thức bảo mật cao WPA thích hợp với cơng ty mà khơng khơng truyền liệu "mật" thương mại, hay thông tin nhạy cảm WPA thích hợp với hoạt động hàng ngày mang tính thử nghiệm cơng nghệ Một giải pháp lâu dài sử dụng 802.11i tương đương với WPA2 đưa vào năm 2004, chứng nhận Wi-Fi Alliance Chuẩn sử dụng thuật toán mã hoá mạnh mẽ gọi chuẩn mã hoá nâng cao AES (Advanced Encryption Standard) AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, 192 bit 256 bit Trong AES xem bảo mật tốt nhiều so với WEP 128 bit 168 bit DES (Digital Encryption Standard) Để đảm bảo mặt hiệu năng, trình mã hoá cần thực thiết bị phần cứng tích hợp vào chip Tuy nhiên, card mạng WLAN điểm truy cập có hỗ trợ mã hoá phần cứng thời điểm Hơn nữa, hầu hết thiết bị cầm tay Wi-Fi máy qt mã vạch khơng tương thích với chuẩn 802.11i GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 44 - CHƯƠNG IV: KỸ THUẬT PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP (Intrusion detection and prevention technology) 4.1 Giới thiệu : IDS (intrusion detection system) IPS (intrustion prevention system) khác chổ IPS ngồi chức phát cịn có khả ngăn chặn xâm nhập.Vì chúng em giới thiệu IDS.Mục tiêu việc phát xâm nhập xác định hoạt động trái phép, dùng sai, lạm dụng hệ thống máy tính gây người dùng hệ thống lẫn người xâm nhập hệ thống Phát xâm nhập trái phép cơng việc đầy khó khăn ảnh hưởng tăng trưởng nhanh chóng kết nối mạng, mơi trường máy tính khơng đồng (hệ điều hành hỗn hợp), nhiều giao thức truyền thông phân loại đáng kể ứng dụng thông dụng độc quyền Hầu hết kỹ thuật IDS xây dựng dựa khác biệt ứng xử kẻ xâm nhập so với người dùng hợp lệ Người ta phân chia thành số loại IDS sau: + Network-based IDS Host-Based IDS: - Network-based IDS dùng phân tích tải mạng để so sánh liệu phiên với sở liệu biết dấu hiệu công vào hệ điều hành ứng dụng Khi phát được, network-based IDS phản ứng lại cách ghi lại phiên truyền thông, cảnh báo nhà quản trị, chấm dứt phiên đó, đưa vào firewall - Host-based IDS phân tích log hệ điều hành ứng dụng hệ thống, so sánh kiện với sở liệu biết vi phạm bảo mật sách đặt Chúng xem xét log hệ điều hành, log truy nhập, log ứng dụng, sách ứng dụng người dùng định nghĩa Nếu thấy có vi phạm chúng phản ứng cách ghi lại hành động đó, cảnh báo cho nhà quản trị, số trường hợp ngừng hành động trước xảy Sự kết hợp network based IDS host-based IDS cung cấp bảo vệ đáng kể thi hành sách với cơng ty cỡ chức kinh doanh + Misuse-based IDS Anomaly-based IDS: Misuse-based IDS phân chia thành hai loại dựa sở liệu kiểu cơng, knowledge-based signature-based GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 45 - Misuse-based IDS với sở liệu knowledge-based lưu thông tin dạng công Dữ liệu kiểm kê thu thập IDS để so sánh với nội dung sở liệu, thấy có giống tạo cảnh báo Sự kiện khơng trùng với dạng cơng coi hành động đáng Lợi mơ hình chúng tạo cảnh báo sai dựa mô tả chi tiết kiểu cơng Tuy nhiên mơ hình có điểm yếu, trước tiên với số lượng kiểu công đa dạng với nhiều lỗ hổng khác theo thời gian làm sở liệu trở nên lớn, gây khó khăn việc phân tích, thêm chúng phát kiểu cơng biết trước nên cần phải cập nhật thường xuyên phát kiểu công lỗ hổng Signature-based IDS hệ sử dụng định nghĩa trừu tượng để mô tả công gọi dấu hiệu Dấu hiệu bao gồm nhóm thơng tin cần thiết để mơ tả kiểu cơng Ví dụ hệ network IDS lưu trữ sở liệu nội dung gói tin có liên quan đến kiểu cơng biết Thường dấu hiệu lưu dạng cho phép so sánh trực tiếp với thơng tin có chuỗi kiện Trong trình xử lý, kiện so sánh với mục file dấu hiệu, thấy có giống hệ tạo cảnh báo Signature-based IDS thơng dụng chúng dễ phát triển, cho phản hồi xác cảnh báo thường u cầu tài ngun tính tốn.Tuy nhiên, chúng có điểm yếu sau: + Mơ tả cơng thường mức độ thấp, khó hiểu + Mỗi cơng hay biến thể cần thêm dấu hiệu đưa vào sở liệu, nên kích cỡ trở nên lớn + Dấu hiệu cụ thể, tạo cảnh báo nhầm, khó phát biến thể Anomaly-based IDS: Dựa giả thiết hành động khơng bình thường có ý đồ xấu, trước tiên hệ cần xây dựng mẫu hành động bình thường hệ thống xác định hành động khơng bình thường Lợi hệ thống phát kiểu công chưa biết trước Tuy nhiên, hệ thống lại sinh nhiều cảnh báo sai định nghĩa chung công Thống kê cho thấy hệ thống này, hầu hết cảnh báo cảnh báo sai, có nhiều cảnh báo từ hành động bình thường, có vài hành động có ý đồ GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 46 - xấu, vấn đề chỗ hầu hết hệ thống có khả giới hạn cảnh báo nhầm Nghiên cứu chứng minh hầu hết hệ thống có đặc điểm chung tính đa dạng thay đổi Hơn nữa, nhập nhằng giao thức tầng khác biệt ứng dụng làm việc phát hành vi khơng bình thường mơi trường định khó, khơng bình thường đặc tính mơi trường Cuối cùng, vài kiểu cơng có khả giả mạo hành động hợp pháp khơng bị phát Khi so sánh IDS thông thường (IDS mạng có dây) với IDS mạng khơng dây khác biệt topology mạng phải rà quét không gian dây dẫn, tất thành phần khác giống 4.2 Wireless IDS Hình 4.1 Mơ hình WIDS Cách làm việc IDS mạng WLAN có nhiều khác biệt so với môi trường mạng LAN truyền thống Trong mơi trường mạng có dây ta có tồn quyền quản lý loại lưu lượng truyền dây dẫn Trong WLAN, khơng khí mơi trường truyền dẫn, tất người phạm vi phủ sóng tần số theo chuẩn 802.11 truy cập vào mạng Do cần phải có giám sát bên bên mạng WLAN Một khác biệt wireless IDS cần cho mạng máy tính triển khai WLAN nơi chưa triển khai WLAN Lý dù khả bị công từ mạng WLAN vào mạng LAN chưa rõ ràng GVHD:Trần Xn Trường SVTH: Tống Hồng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 47 - mối đe dọa thực Sự đe dọa coi liên quan đến sử dụng WLAN thực tồn tổ chức mạng LAN nên giám sát lưu lượng lưu chuyển mạng WLAN để chắn loại bỏ đe dọa từ không gian xung quanh Một điều phải để tâm đến AP giả mạo bạn dùng mạng không dây hay mạng LAN truyền thống Luôn nhớ AP giả mạo thiết bị cài đặt dù có hay khơng có ý đồ xấu Đơi bạn khơng thể biết triển khai WLAN bạn cho công nghệ không dây chưa thực mạng Wireless IDS cấu hình theo mơ hình tập trung phân tán Trong mơ hình tập trung, tập trung thu thập tất liệu tần số 802.11 cảm biến mạng riêng lẻ chuyển chúng tới thiết bị quản lý trung tâm, nơi liệu IDS lưu trữ xử lý để phát xâm nhập Hầu hết IDS tập trung có nhiều cảm biến để phát xâm nhập phạm vi toàn mạng Để thuận tiện, log file tín hiệu báo động đưa thiết bị quản lý trung tâm, thiết bị dùng quản lý cập nhật cho tất cảm biến Wireless IDS tập trung phù hợp với mạng WLAN phạm vi rộng dễ quản lý hiệu việc xử lý liệu Trong Wireless IDS phân tán bao gồm nhiều thiết bị thực chức cảm biến quản lý Mơ hình phù hợp với mạng WLAN nhỏ có AP, wireless IDS phân tán tất nhiên tiết kiệm chi phí WLAN thường thiết kế để bao phủ phạm vi vật lý rộng lớn đảm bảo cho người dùng hợp pháp truy cập thuận tiện từ nhiều nơi khác Chính lý đó, nhiều điểm truy cập khơng dây phải thiết lập vị trí khác mạng để đảm bảo độ đồng tín hiệu cho toàn mạng Một quy tắc chung triển khai giải pháp IDS không dây cảm biến phải đặt nơi AP cài đặt Lợi rõ việc làm bảo vệ cho mạng WLAN cách toàn diện triệt để Ngồi tn theo quy tắc kẻ cơng bị định vị xác dễ dàng sau người quản trị xác định cảm biến đặt gần kẻ cơng Hầu hết sách bảo mật cho WLAN đề xuất truyền thơng mạng khơng dây cần mã hóa Do wireless IDS kiểm sốt tất lưu lượng liệu từ AP tới thiết bị không dây khác cảnh báo GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 48 - phát thấy liệu chưa mã hóa Một thuộc tính khác thực cho Wireless IDS tạo danh sách AP hợp lệ, không nhận diện hay phát AP giả mạo Wireless IDS nhanh chóng phát cảnh báo 4.3 Triển khai hệ thống Wireless IDS Wireless IDS kiểm tra mạng WLAN cách sử dụng thiết bị kết hợp phần mềm phần cứng, gọi cảm biến phát xâm nhập Cảm biến đứng mạng kiểm tra tất lưu lượng mạng Việc thiết lập IDS phải xác định nơi tốt để đặt cảm biến Để định trước hết phải có vài phân tích chi tiếp mạng WLAN - Tòa nhà xây dựng loại vật liệu gì? Khung thép hay gỗ ?(Với khung thép giới hạn phạm vi truyền sóng khơng dây) - Khu vực mạng có phải giữ biệt lập không? - Địa MAC dùng (danh sách dùng vạch ranh giới để so sánh sau này) - Những điểm truy cập hợp lệ có ? (Tất nhiên, danh sách dùng để so sánh sau này) v.v Dựa thơng tin thơng tin có từ việc rà quét mạng- dùng phần mềm mã nguồn mở Kismet ta dựng nên tranh hệ thống WLAN mình: AP đặt đâu, dùng chúng, cường độ tín hiệu Từ ta xác định vị trí số lượng cảm biến IDS Khi ta có cảm biến mạng, cường độ tín hiệu AP điều chỉnh chặn lại để có phạm vi che phủ mong muốn, lưu lượng mạng phân tích Theo kinh nghiệm tác giả, bốn cảm biến máy chủ (trung tâm thiết kế để tiếp nhận thông tin từ IDS) mơ hình triển khai tối thiểu cho mạng WLAN vừa nhỏ yêu cầu phải thành thạo kỹ thuật sau: - Phân tích liệu IDS, nghĩa phải làm sáng tỏ báo động IDS đưa phương án đối phó - Lập trình phần mềm để lập trình cho cơng cụ tương hợp - Quản lý sở liệu IDS GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 49 - CHƯƠNG V: BẢO MẬT TRONG CHUYỂN VÙNG WLAN 5.1 Giới thiệu : Hình 5.1 Quá trình roaming AP Nguyên nhân chủ yếu WLANs phát triển cho phép tháo bỏ kết nối client 802.11 access point(AP),như sở cho việc đăng nhập xa đến nguồn tài nguyên dịch vụ internet Một client di chuyển qua nhiều AP vùng quản trị qua nhiều AP vùng quản trị khách Hiện nay, mơ hình phổ biến cho chuyển vùng bao gồm kết nối quay số từ client thông qua nhà cung cấp dịch vụ internet (ISP) đến vùng chủ (home domain) Mơ hình tận dụng độ ưu tiên sẳn có quan hệ kinh doanh client (hay tổ chức nó) hay nhiều ISPs Giới hạn chuyển vùng WiFi định nghĩa việc truy cập đến dịch vụ cung cấp triển khai hay quản lý WLAN 802.11 vùng giao thoa hay hotspot cơng cộng, khách hàng nhà cung cấp dịch vụ sử dụng dịch vụ (như kết nối IP) từ nhà cung cấp dịch vụ (được viếng thăm) khác Giới hạn nhà cung cấp dịch vụ (SP) việc cố ý làm trái lý thuyết từ số đối tượng đóng vai trò cung cấp hay nhiều dịch vụ liên quan đến chuyển vùng WiFi Điểm ý quan trọng chuyển vùng WiFi bao hàm ranh giới quản trị mạng ranh giới quản trị bảo mật Bởi vậy, việc truy cập GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 50 - WLAN địa điểm từ xa khác (ví dụ văn phòng, tòa nhà) phạm vi quyền lực quản trị khơng tính đến chuyển vùng WiFi Trường hợp thương mại cho chuyển vùng WiFi hiển nhiên:người tiêu dùng với laptop hay thiết bị cầm tay sẳn sàng chi trả cho kết nối IP thông qua WiFi hotspot xác đinh khắp nơi giới, cung cấp truy cập WiFi dễ dàng cho sử dụng bảo mật Khát vọng sẳn sàng trở thành thật ngày Nhiều ISP truyền thống nhận thấy chuyển vùng WiFi cung cấp hội kinh doanh mới, việc mở rộng phạm vi dịch vụ họ đến access point mới,cụ thể, hotspot công cộng, trì vốn đầu tư họ hệ thống cấu trúc chứng thực,phân quyền,giám sát sẳn có 5.2 Các mơ hình roaming Từ bối cảnh việc kinh doanh,có mơ hình roaming chung áp dụng cho wifi roaming Các mơ hình phụ thuộc nhân tố: phù hợp với việc kinh doanh,cơ sở hạ tầng dịch vụ,vị trí địa lý,phần mềm phấn cứng sẳn có * Mơ hình hai chiều (bilateral model):mối quan hệ SPs(service provider) giả định theo thỏa thuận cho phép user SP sử dụng điểm truy cập(hotspot) SP * Mơ hình roaming consortium:tập hợp SPs thiết lập roaming thực thỏa thuận cho tất thành viên.Nó có trung tâm xử lý tính tốn lưu trử định tuyến,danh sách domain thành viên,có thề danh sách khách hàng.Kiểu có khả dể dàng add thêm thành viên * Mơ hình broker/aggretor:một tổ chức đóng vai trị người mơi giới trung gian nhiều SPs.SP mua dịch vụ từ Broker cách linh động kiểu hấp dẫn kiểu consortium roaming.Trong mơ hình này,Broker trì mối quan hệ với SP.Một SP thiết lập mối quan hệ với Broker phép sử dụng SP khác 5.3 Phân loại yêu cầu an ninh chuyển vùng wifi Bên cạnh việc bảo mật đưa xung quanh công nghệ 802.11,bảo mật chuyển vùng không dây cần thực GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 51 - Yêu cầu bảo mật wlan hotspot: Đoạn phiên kết nối AAA client điểm AAA server AAA proxy cần để bảo vệ chống lại công khác lớp IP lớp MAC Yêu cầu bảo mật inter-SP: Nếu phiên xác thực vượt qua ranh giới SP việc bảo mật cần cung cấp.Nó có nghĩa chế bảo mật sách quản lý tương tác từ nhà cung cấp đến nhà cung cấp cần triển khai Yêu cầu bảo mật Intra-SP: có hàng tá đến hàng trăm AAA server nội mạng,vì phiên làm việc AAA cần bảo mật mạng bên SP 5.4 WISPR ( Wireless ISP roaming ) Cấu trúc chuyển vùng qua nhà cung cấp dịch vụ không dây Người dùng chuyển vùng thu dịch vụ WiFi hotspot thi hành điều hành viên hotspot (hay WISP) Điều hành viên chạy access point, hay nhiều cổng điều khiển truy cập công cộng (public access control/PAC gateway), hay nhiều AAA server ( ví dụ RADIUS hay Diameter) Một phiên AAA trao đổi thông qua trung gian chuyển vùng, kết thúc home entity (đối tượng đích), thường nhóm AAA server người dùng hay điểm đích ISP Như đề cập phần đầu, người dùng chứng thực WISPr dùng phương pháp Web-based password, gọi phương pháp truy cập chung (universal access method/UAM) 5.4.1 Diện mạo hoạt động hotspot: Cổng PAC điều hành viên hotspot sử dụng để cung cấp việc truy cập điều khiển dịch vụ mạng WiFi Cổng PAC thi hành chức nhiều khóa khác cho điều hành viên hotspot việc cung cấp phương pháp chứng thực UAM Các chức bao gồm : Quản lý địa IP: điều hành viên hotspot hay WISP cần quản lý địa IP người dùng định trước chứng thực (thơng qua kết nối IP) xảy Chú ý trái ngược với phương pháp chứng thực 802.1X địa IP định chứng thực thành cơng Nhiều phương pháp dùng cho cung cấp kết nối lớp IP đến người dùng Bao gồm DHCP,hay chuyển đổi địa cho người dùng có sẳn địa IP tĩnh Cổng PAC cung cấp chức DHCP GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 52 - server để cung cấp cho người dùng địa IP công công (public) hay cá nhân(private) từ chuổi địa thuộc WISP Chú ý địa IP private định, sau người dùng cung cấp VPN, cổng PAC phải thực thi chuyển đổi địa cung cấp giao thức VPN Gửi lại trang chủ: việc gửi lại trang chủ cốt yếu phương pháp UAM, cung cấp khả cổng PAC chặn request HTTP(được trù định đến server gốc) trình duyệt người dùng Người dùng sau gửi lại đến trang chào mừng WISP Nhằm ngăn chặn công man-in-the-midle lên username/password người dùngtrong truyền,1 lớp SSL phải tồn kết nối HTTP đến trang WISP Cổng PAC yêu cầu không bao gồm khả kiểm tra thích ứng cho cấu hình browser proxy, cấu hình đến server proxy cá nhân Đảm bảo người dùng truy cập trang chào mừng WISP mà khơng cần cấu hình lại thiết lập browser proxy họ Phân quyền: nhóm WISPr xác nhận số thuộc tính WISPr (cho RADIUS) mà phải cung cấp WISP mà tham gia hoạt động WISPr Ngồi ra, suốt q trình cấp phiên AAA, cổng PAC phải kích hoạt dịch vụ mà user phân quyền xác nhận WISPr Tình tốn kiểm tra: cổng PAC phải cung cấp xác lúc lưu hoạt động người dùng cho mục đích lên hóa đơn Các lưu phải nhận biết địa điểm, thời gian, lớp dịch vụ gọi Chức RADIUS client: nhằm thực chức AAA, cổng PAC phải bổ sung chức RADIUS client( cổng PAC RADIUS client tương tác với RADIUS server thực thể chủ) Cổng PAC phải cung cấp khả đăng xuất explicit ( chủ động) implicit (bị động) Để cung cấp đăng xuất explicit, phải phát pop-up đăng xuất đến trình duyệt người dùng Trong trường hợp khác, kiện phải khởi động lưu dừng tính tốn RADIUS ( RADIUS accounting stop record), thông tin bên thời gian phiên byte truyền nhận Cổng PAC phải cung cấp RADIUS challenge-reponse dùng cho tin RADIUS access-challenge GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm Phương pháp tối ưu hóa mạng wifi - 53 - 5.4.2 Phiên AAA WISPr Ví dụ phiên AAA ngữ cảnh WISPr trình bày hình Home Client AP DHCP PAC server gateway Local Intermediary Entity RADIUS RADIUS RADIUS server server server (1) 802.11 Associate (2) Get IP address (3) User opens Browser (4) Redirect User to WISP welcome page (5) Setup SSL and get logon page (6) Post user name and password (7) RADIUS authentication request (8) RADIUS authentication accept (9) RADIUS accounting start (10)Redirect user to start page (11)RADIUS interim accounting updates (12)Explicit logoff or timeout (13)RADIUS accounting stop ***KẾT LUẬN*** Có thể nói mạng khơng dây WLAN ngày phát triển triển khai rộng rãi.Điều đồng nghĩa với việc : tối ưu hóa mạng WLAN phải trọng.Hiện nay,rất nhiều nhà quản lý mạng nghiên cứu vấn đề này,nhưng giải pháp đưa mang tính tương đối.Nhất lĩnh vực bảo mật WLAN, nhiều giải pháp cơng phịng chống đưa chưa giải pháp thật gọi bảo mật hồn tồn (nghĩa tính bảo mật mạng WLAN bị phá vỡ nhiều cách khác nhau) GVHD:Trần Xuân Trường SVTH: Tống Hoàng Vũ Đỗ Thành Trung Nguyễn Thanh Tâm