Luận văn: Bảo mật mạng WLAN LỜI NÓI ĐẦU Trong thời ñại ngày với bùng nổ ngành công nghệ thông tin mà ứng dụng quan trọng việc kết nối mạng trở nên quen thuộc với người toàn giới Hơn hết, hệ thống kết nối “mạng máy tính” ñã trở thành phần thiếu quốc gia toàn giới Với mục đích đời mạng máy tính ñể chia sẻ tài nguyên hệ thống, trao ñổi thơng tin Chúng ta biết thời đại thông tin ngày nay, khối lượng thông tin ngày phong phú đa dạng, để sử dụng thơng tin cách hiệu vấn đề đặt phải xếp khối lượng thơng tin cách khoa học, dễ dàng truy cập, tìm kiếm, trao đổi cách nhanh chóng Tuy nhiên ngồi lợi ích to lớn mạng Internet ẩn chứa nguy khơn lường khả đánh cắp, phá hoại tài sản tổ chức dấn ñến hậu nghiêm trọng Chính trọng trách đặt lên vai người làm công nghệ thông tin giới nói chung Việt Nam nói riêng không nghiên cứu xây dựng phát triển nhanh chóng mạng máy tính nước để người khai thác tiềm phong phú Internet mà ñồng thời phải nghiên cứu thực tốt biện pháp ngăn chặn, phòng chống, phát phục hồi ñược hành vi cơng phá hoại trái phép mạng, nhằm đảm bảo ñược tối ña phát triển cho tổ chức doanh nghiệp Chính sau thời gian tìm hiểu, nghiên cứu với hướng dẫn tận tình thầy giáo TS Nguyễn Vũ Sơn, với kiến thức ñã ñược học từ thầy giúp đỡ em hồn thành luận văn này, ñề tài: BẢO MẬT TRONG MẠNG WLAN Học viên: Nguyễn Lan Phương -1- Luận văn: Bảo mật mạng WLAN MỤC LỤC LỜI NÓI ĐẦU MỤC LỤC DANH SÁCH HÌNH VẼ DANH MỤC CÁC TỪ VIẾT TẮT CHƯƠNG 1: AN NINH MẠNG MÁY TÍNH I Khái quát tình hình an ninh mạng 14 II Đánh giá mức độ an ninh an tồn mạng 16 Đánh giá vấn đề an tồn, bảo mật hệ thống 16 a Đánh giá phương diện vật lý 16 b Đánh giá phương diện logic 17 Các loại hình cơng mạng 17 a Tấn cơng theo tính chất xâm hại thơng tin 17 b Tấn cơng theo vị trí mạng bị cơng 18 c Tấn công theo kỹ thuật công 18 Đảm bảo an ninh mạng 19 Bảo mật mạng 20 III Kết luận 20 CHƯƠNG 2: CÁC KỸ THUẬT TẤN CÔNG MẠNG WLAN VÀ BIỆN PHÁP NGĂN CHẶN I Cơ sở tiến hành cơng 21 Tìm hiểu mơ hình TCP/IP 21 Các nhược ñiểm bảo mật mạng WLAN 24 II Các Kiểu Tấn Công Trong Mạng WLAN 27 Tấn cơng bị động (Passive Attack) 27 Tấn cơng chủ động (Active Attack) 30 Tấn công kiểu gây nghẽn, chèn ép (Jamming Attack) 36 Học viên: Nguyễn Lan Phương -2- Luận văn: Bảo mật mạng WLAN Tấn cơng kiểu người đứng (Man-in-the-middle Attack) 37 III Kết luận 39 CHƯƠNG 3: BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY I Khái quát bảo mật WLAN 40 II Mối nguy hiểm, ñe dọa ñối với WLAN 41 III Các phương thức, kỹ thuật bảo mật mạng WLAN 42 Các kỹ thuật bảo mật sử dụng chế ñiều khiển truy nhập (Device Authorization) 43 a Lọc SSID (Service Set Identifier) 43 b Lọc ñịa MAC 45 c Lọc giao thức 47 Các kỹ thuật bảo mật sử dụng phương thức mã hóa Encryption a Bảo mật WEP (Wired Equivalent Privacy) a.1 Mã hóa giải mã WEP 47 51 52 a.2 Cơ chế xác thực (Authentication) bảo mật WEP 57 a.3 Khuyết ñiểm WEP 60 61 b Bảo mật WPA b.1 Giao thức tồn vẹn khóa tạm thời TKIP 62 b.2 Xác thực 802.1x/EAP 65 77 c Bảo mật WPA2 Phương thức bảo mật sử dụng công nghệ tường lửa Firewall 81 a Khái niệm Firewall 81 b Cấu trúc Firewall 81 c Chức Firewall 81 d Những hạn chế Firewall 82 Phương thức bảo mật sử dụng VPN (Virtual Private Network) Học viên: Nguyễn Lan Phương -3- 82 Luận văn: Bảo mật mạng WLAN Hệ thống phát xâm nhập không dây (Wireless IDS) cho mạng WLAN 85 IV Xây dựng mạng WLAN an toàn 88 Bảo mật cho mạng WLAN gia đình văn phịng nhỏ 88 Bảo mật mạng WLAN cho doanh nghiệp nhỏ 89 Bảo mật mạng WLAN cho doanh nghiệp vừa lớn 89 Mức ñộ bảo mật cao mạng WLAN áp dụng cho quân 90 V Minh họa cấu hình mạng WLAN sử dụng Linksys tạo WEP/WPA/WPA2 key 91 VI Kết luận 96 KẾT LUẬN 98 TÀI LIỆU THAM KHẢO 99 Học viên: Nguyễn Lan Phương -4- Luận văn: Bảo mật mạng WLAN DANH SÁCH HÌNH VẼ CHƯƠNG 1: AN NINH MẠNG MÁY TÍNH Hình 1.1: Số dịng virus xuất theo năm 14 Hình 1.2: Hình minh họa virus Conficker 15 CHƯƠNG 2: CÁC KỸ THUẬT TẤN CÔNG MẠNG WLAN VÀ BIỆN PHÁP NGĂN CHẶN Hình 2.1: Các lớp mơ hình TCP/IP 22 Hình 2.2: Sử dụng phần mềm NetStumbler tìm địa MAC tên SSID 24 Hình 2.3: Lỗ hổng xác thực khóa chia sẻ 25 Hình 2.4: Chỉnh sửa giá trị ICV cách chèn bit 27 Hình 2.5: Ví dụ kiểu cơng bị động 29 Hình 2.6: Dùng phần mềm ñể thu thập thông tin phân bố thiết bị 33 Hình 2.7: Ví dụ cơng DOS lớp liên kết liệu 33 Hình 2.8: Ví dụ cơng mạng AP giả mạo 34 Hình 2.9: Ví dụ cơng gây nghẽn (Jamming) 37 Hình 2.10: Ví dụ cơng theo kiểu thu hút (người đứng giữa) 39 CHƯƠNG 3: BẢO MẬT TRONG MẠNG LAN KHƠNG DÂY Hình 3.1: Mơ hình bảo mật cho mạng WLAN 42 Hình 3.2: Các phân đoạn mạng sử dụng SSID 44 Hình 3.3: Cấu hình tắt quảng bá SSID 45 Hình 3.4: Mơ hình lọc địa MAC IP 46 Hình 3.5: Lọc giao thức cho phép số giao thức sử dụng 47 Hình 3.6 : Mã hóa + Xác thực = Bảo mật WLAN 48 Hình 3.7: Q trình mã hóa giải mã 48 Hình 3.8: Hoạt động mật mã dịng 49 Hình 3.9: Hoạt ñộng mật mã khối 50 Học viên: Nguyễn Lan Phương -5- Luận văn: Bảo mật mạng WLAN Hình 3.10 (a,b): Mã hóa mật mã dịng 51 Hình 3.11: Cài đặt khóa WEP1 52 Hình 3.12: Máy chủ khóa mã hóa tập trung 53 Hình 3.13: Mã hóa dịng RC4 54 Hình 3.14: Khung mã hóa WEP có sử dụng vector IV 54 Hình 3.15: Tiến trình mã hóa giải mã WEP 55 Hình 3.16: Tiến trình xác thực hệ thống mở dơn giản 58 Hình 3.17: Xác thực hệ thống mở với khóa WEP khác 58 Hình 3.18: Tiến trình xác thực khóa chia sẻ 59 Hình 3.19: Thuật tốn Michael MIC 63 Hình 3.20: Tiến trình mã hóa TKIP 64 Hình 3.21: Tiến trình giải mã TKIP 64 Hình 3.22: Mơ hình thực chứng thực sử dụng RADIUS server 66 Hình 3.23: Thực chứng thực RADIUS server 67 Hình 3.24: Q trình trao đổi thơng điệp (xác thực) 802.1X 69 Hình 3.25: Quá trình bắt tay bốn bước 73 Hình 3.26: Mơ hình phân cấp khóa Unicast 802.1X 74 Hình 3.27: Tạo khóa PTK phân cấp khóa Unicast 802.1X 75 Hình 3.28: Mơ hình phân cấp khóa nhóm 802.1X 76 Hình 3.29: Mơ hình Firewall 81 Hình 3.30: Giải pháp sử dụng VPN để bảo mật WLAN 82 Hình 3.31: Kết hợp nhiều giải pháp bảo mật hệ thống 84 Hình 3.32: Mơ hình WIDS tập trung 86 Hình 3.33: Mơ hình WIDS phân tán 86 Học viên: Nguyễn Lan Phương -6- Luận văn: Bảo mật mạng WLAN DANH MỤC CÁC TỪ VIẾT TẮT A AAA Authentication, Authorization Dịch vụ xác thực, cấp quyền and Accounting AES Advanced kiểm tốn (tính cước) Encryption Chuẩn mã hóa cao cấp Standard ANonce Số ngẫu nhiên bí mật điểm Access Point Nonce truy cập AP Access Point Điểm truy cập ARP Address Resolution Protocol Giao thức phân giải ñịa AS Access Server Máy chủ truy cập ASCII American Standard Code for Hệ thống mã hóa ký tự dựa Information Interchange bảng chữ tiếng Anh BPSK Binary Phase Shift Keying Điều chế pha nhị phân BSSID Basic Service Set Identifier Tên tập dịch vụ sở CCK Complementary Code Key Khóa mã tạm thời CPU Central Processing Đơn vị xử lí trung tâm CRC Cyclic Redundancy Check (Sự) kiểm dư vòng B C CSMA/CA Carrier Access Sense with Multiple Đa truy cập nhận biết sóng mang CollISIon tránh xung đột Avoidance CSMA/CD Carrier Sense Multiple Đa truy cập nhận biết sóng mang Access with CollISIon Detect dị tìm xung đột Học viên: Nguyễn Lan Phương -7- Luận văn: Bảo mật mạng WLAN D DES Data Encryption Standard DFS Dynamic Frequency Selection Tự ñộng lựa chọn tần số DOS Denial of Service Chuẩn mã hóa liệu Từ chối dịch vụ E EAP Extensible Authentication Giao thức xác thực mở rộng Protocol EAPOL EAP over LAN Giao thức xác thực mở rộng thông qua mạng LAN ECB Electronic Code Block Khối mã điện tử ETSI European Viện tiêu chuẩn viễn thơng Châu Telecommunications Âu Standards Institute F FCC Federal Communications Ủy ban Truyền thông liên bang Commission FTP File Transfer Protocol Giao thức truyền tập tin GMK Group Master Key Khóa chủ nhóm GTK Group Transient Key Khóa nhóm tạm thời HEXA Hexadecimal Hệ mười sáu HTTP Hypertext Transfer Protocol Giao thức truyền siêu văn G H HTTPS Hypertext Transfer Protocol Bảo mật giao thức truyền siêu Secure Học viên: Nguyễn Lan Phương văn -8- Luận văn: Bảo mật mạng WLAN I IAPP Inter AP Protocol ICI Inter-Carrier Interference ICMP Internet Giao thức liên lạc AP Control Nhiễu giao thoa sóng mang Message Giao thức điều khiển thơng điệp Protocol Internet ICV Integrity Check Value Giá trị kiểm tra tính tồn vẹn IDS Intrusion Detected System Hệ thống phát xâm nhập IEEE IGMP Institute of Electrical and Electronics Engineers Internet Group Management Protocol IP Internet Protocol IPSec Internet Protocol Security ISI Inter-Symbol Interference ISM Band Industrial, Viện Kỹ sư Điện Điện tử Giao thức quản lý nhóm Internet Giao thức liên mạng Scientific, Giao thức thiết lập kết nối bảo mật Nhiễu giao thoa tín (ký) hiệu and Dãy băng tần sử dụng Medical Cơng nghiệp, Khoa học Y học ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IV Initialization Vector Vector khởi tạo Local Area Network Mạng máy tính cục L LAN LEAP Lightweight Extensible Giao thức xác thực mở rộng dựa Authentication Protocol Học viên: Nguyễn Lan Phương việc xác thực lẫn -9- Luận văn: Bảo mật mạng WLAN LLC Logical Link Control Điều khiển liên kết logic LOS Line of Sight Tầm nhìn thẳng MAC Media Access Control Điều khiển truy nhập môi trường MD4 Message-Digest algorithm Giải thuật Tiêu hóa tin MD5 Message-Digest algorithm Giải thuật Tiêu hóa tin MIC Message Integrity Check M MIMO MSDU Kiểm tra tính tồn vẹn thơng điệp Multiple Input and Multiple Output MAC Service Data Unit Nhiều ñầu vào nhiều ñầu Đơn vị liệu dịch vụ MAC N NIST Nation Institute of Standard Viện chuẩn công nghệ quốc and Technology gia (Mỹ) O OSI Open System Interconnection Mơ hình kết nối hệ thống mở P PC Personal Computer Máy tính cá nhân Thiết bị số hỗ trợ cá nhân PDA Personal Digital Assistant PKI Public Key Infrastructure Hạ tầng khóa cơng khai PMK Pairwise Master Key Khóa chủ cặp POP Post Office Protocol Giao thức bưu ñiện POP3 Post Office Protocol Giao thức bưu ñiện phiên Học viên: Nguyễn Lan Phương - 10 - tương tự Enterprise Gateway, ñặt phân ñoạn mạng không dây mạng lõi có dây Giải pháp VPN khơng dây có giá hợp lý, cài ñặt ñơn giản Nếu người quản trị (admin) khơng có kinh nghiệm giải pháp VPN người quản trị nên đào tạo trước triển khai giải pháp VPN VPN hỗ trợ WLAN thường ñược thiết kế với quan ñiểm người quản trị chưa biết VPN, điều giải thích VPN lại khuyến khích sử dụng phổ biến mà doanh nghiệp chưa triển khai ñược bảo mật tiên tiến WPA2 Với tất nguy cơ, mối nguy hiểm, đe doạ trình bày trên, người dùng mạng khơng an tâm hệ thống mạng WLAN định khơng sử dụng nó? Tuy giải pháp, chế, hệ thống bảo mật cịn có điểm yếu, lỗ hổng riêng, biết kết hợp giải pháp lại, sử dụng cách mềm dẻo tạo giải pháp bảo mật tối ưu, cần thiết ñáp ứng ñược nhu cầu bảo mật cho mạng WLAN Trong thực tế, ñể bảo mật mạng WLAN, người ta thường kết hợp sử dụng nhiều giải pháp bảo mật lại với ñể tạo thành hệ thống bảo mật ñảm bảo, chắn Hình 3.31: Kết hợp nhiều giải pháp bảo mật hệ thống Học viên: Nguyễn Lan Phương - 84 - Hệ thống phát xâm nhập không dây (Wireless IDS) cho mạng WLAN IDS(Intrusion Detection System_ hệ thống phát xâm nhập) thống giám sát lưu thơng mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị Ngoài IDS ñảm nhận việc phản ứng lại với lưu thơng bất thường hay có hại cách hành động thiết lập trước khóa người dùng hay địa IP nguồn truy cập hệ thống mạng,… Trong WLAN, mơi trường truyền khơng khí, thiết bị có hỗ trợ chuẩn 802.11 phạm vi phủ sóng truy cập vào mạng Do cần có giám sát bên bên hệ thống mạng Một hệ thống WIDS thường hệ thống máy tính có phần cứng phần mềm ñặc biệt ñể phát hoạt động bất thường Phần cứng wireless có nhiều tính so với card mạng wireless thơng thường, bao gồm việc giám sát tần số sóng (RF_Radio frequency), phát nhiễu,… Một WIDS bao gồm hay nhiều thiết bị lắng nghe ñể thu thập ñịa MAC (Media Access Control), SSID, đặc tính thiết lập trạm, tốc ñộ truyền, kênh tại, trạng thái mã hóa, … Nhiệm vụ WIDS là: + Giám sát phân tích hoạt động người dùng hệ thống + Nhận diện loại cơng biết + Xác ñịnh hoạt ñộng bất thường hệ thống mạng + Xác định sách bảo mật cho WLAN + Thu thập tất truyền thông mạng khơng dây đưa cảnh báo dựa dấu hiệu ñã biết hay bất thường truyền thơng WIDS (Wireless Intrusion Detection System) cấu hình theo mơ hình tập trung phân tán Học viên: Nguyễn Lan Phương - 85 - Hình 3.32: Mơ hình WIDS tập trung Trong mơ hình tập trung, phận tập trung thu thập tất liệu tần số 802.11 cảm biến mạng riêng lẻ chuyển chúng tới thiết bị quản lý trung tâm, nơi liệu IDS ñược lưu trữ xử lý ñể phát xâm nhập Hầu hết IDS tập trung có nhiều cảm biến ñể phát xâm nhập phạm vi tồn mạng Để thuận tiện, tín hiệu báo động ñều ñược ñưa thiết bị quản lý trung tâm, thiết bị dùng quản lý cập nhật cho tất cảm biến Wireless IDS tập trung phù hợp với mạng WLAN phạm vi rộng dễ quản lý hiệu việc xử lý liệu Trong Wireless IDS phân tán bao gồm nhiều thiết bị thực chức cảm biến quản lý Mơ hình phù hợp với mạng WLAN nhỏ có AP, Wireless IDS phân tán tất nhiên tiết kiệm chi phí Hình 3.33: Mơ hình WIDS phân tán Học viên: Nguyễn Lan Phương - 86 - Wireless IDS kiểm tra mạng WLAN cách sử dụng thiết bị kết hợp phần mềm phần cứng, gọi cảm biến phát xâm nhập Cảm biến ñứng mạng kiểm tra tất lưu lượng mạng Vì vậy, để triển khai hệ thống WIDS, việc ñầu tiên phải xác ñịnh nơi tốt ñể ñặt cảm biến Để định trước hết có vài phân tích chi tiết mạng WLAN ñược xây dựng tại: ♦ Tịa nhà xây dựng loại vật liệu gì? Khung thép, gỗ hay vật liệu khác? (với khung thép giới hạn phạm vi truyền sóng), khu vực mạng có cần cách biệt khơng?, địa MAC dùng? Và điểm truy cập hợp lệ có gì? Dựa thơng tin thơng tin có từ việc qt mạng sử dụng phần mềm (Kismet, Netstumbler ) Sau đó, ta khái qt hệ thống WLAN cần xây dựng với ñặc ñiểm: AP ñặt ñâu, dùng chung, cường ñộ tín hiệu Từ đó, ta xác định vị trí số lượng cảm biến IDS cần lắp ñặt Khi ta có cảm biến mạng, cường độ tín hiệu AP điều chỉnh chặn lại để có phạm vi phủ sóng mong muốn, lưu lượng mạng phân tích Nếu có bất thường lưu lượng cảnh báo ñược phát Hệ thống WIDS gửi cảnh báo khi: ♦ AP tải có nhiều trạm kết nối vào ♦ Kênh truyền tải có nhiều AP lưu lượng sử dụng kênh ♦ AP có cấu hình khơng thích hợp khơng ñồng với AP khác hệ thống mạng ♦ Số lần thực kết nối vào mạng nhiều… Như vậy, việc triển khai thiết bị WIDS áp dụng vào mạng không dây doanh nghiệp thật cần thiết việc phát hiện, ngăn chặn truy cập trái phép vào mạng Cùng với giải pháp bảo mật trên, việc triển khai lắp ñặt hệ Học viên: Nguyễn Lan Phương - 87 - thống WIDS giúp cho việc bảo mật mạng WLAN trở nên an toàn, hiệu IV Xây dựng mạng WLAN an toàn Việc xây dựng mạng WLAN an tồn tùy thuộc vào nhiều yếu tố như: mức độ rủi ro mà mạng gặp phải; mức độ quản lý; mức ñộ liệu cần ñược bảo vệ Do đó, cần xây dựng sách bảo mật (security policy) hợp lý, phù hợp với nhu cầu cá nhân, doanh nghiệp Cần phải chia bảo mật mạng WLAN thành nhiều cấp khác từ đưa giải pháp bảo mật thích hợp cho cấp Có thể chia bảo mật mạng WLAN thành mức ñộ bảo mật khác từ thấp ñến cao sau: +) Mức ñộ 1: Bảo mật mạng WLAN gia đình văn phịng nhỏ +) Mức độ 2: Bảo mật mạng WLAN doanh nghiệp nhỏ +) Mức ñộ 3: Bảo mật mạng WLAN doanh nghiệp vừa lớn +) Mức ñộ 4: Bảo mật mạng WLAN dùng cho quân Bảo mật cho mạng WLAN gia đình văn phịng nhỏ Người sử dụng văn phịng nhỏ hay cấp độ hộ gia đình khơng có đủ ngân sách nhân viên quản trị để cài đặt bảo trì hoạt động RADIUS server Do đó, với cấp độ mạng này, lời khuyên ñưa sử dụng WPA dùng Pre-Share Key (PSK) password ñể thực bảo mật cho mạng WLAN Để nâng cấp WPA cho mạng SOHO ñơn giản Người sử dụng mua thiết bị có cài đặt WPA cập nhật WPA thiết bị có Việc cập nhật ñơn giản việc cài ñặt driver cho hardware (card Wireles NIC AP) sau thực cấu hình WPA-PSK AP Client WPA-PSK khơng phải giải pháp bảo mật tốt bỡi WPA-PSK bị phá cách “tấn cơng từ ñiển” Nhưng với mức bảo mật cho mạng gia ñình văn phịng nhỏ chúng phù hợp đảm bảo an tồn biện pháp khắc phục cho nhược ñiểm WPA-PSK nên ñặt mật dài (khuyến cáo 20 ký tự) chuỗi số, ký tự ngẫu nhiên khó nhớ Học viên: Nguyễn Lan Phương - 88 - Bảo mật mạng WLAN cho doanh nghiệp nhỏ Đối với mạng WLAN cho doanh nghiệp nhỏ, phải quan tâm ñến bảo mật ñối với mạng gia đình Vì việc kết hợp nhận thực vào ñiều khiển truy nhập mạng ñiều cần thiết Chúng ta dùng chế nhận thực 802.1x PEAP TTLS ñể làm ñiều 802.1x hạn chế truy nhập tới lớp liên kết liệu mạng cách cho phép truy nhập ñến mạng người sử dụng cung cấp sở nhận thực họ thông qua chế nhận thực mở rộng EAP Để triển khai PEAP TTLS, cần triển khai máy chủ nhận thực RADIUS, với phần mềm quản lý IAS chạy Microsoft Window Server 2003, phần mềm mã mở FreeRADIUS chạy Linux Ngồi ra, để bảo mật mạng tốt, cần kết hợp xác thực với mật mã hóa Lời khuyên ñưa cấp ñộ bảo mật phải sử dụng WPA với TKIP nâng cấp lên sử dụng AES Chỉ có số thiết bị WPA hỗ trợ mã hóa AES tất thiết bị WPA2 hỗ trợ thuật tốn mã hóa Do ñể an toàn cho mạng, doanh nghiệp nên sử dụng sản phẩm hỗ trợ WPA2 (hay 802.11i) Khi đó, có cách để cơng vào mạng ăn cắp chứng thực (ở lớp - liên kết liệu password) người sử dụng Để làm điều hacker cài đặt vào máy tính chương trình keylog thơng qua Virut Worm để ghi lại tất gõ từ bàn phím từ dị password Giải pháp bảo mật lựa chọn tốt cho doanh nghiệp nhỏ Tuy nhiên tổ chức yêu cầu mức ñộ bảo mật cao khơng phù hợp cấp ñộ bảo mật này, password bị làm nguy hiểm đến tồn mạng Bảo mật mạng WLAN cho doanh nghiệp vừa lớn Bảo mật WLAN cấp ñộ ñược xây dựng sở với cấp độ 2, an tồn nhiều Hai phương thức nhận thực ñược sử dụng EAP- Học viên: Nguyễn Lan Phương - 89 - TLS PEAP-EAP-MSCHAPv2, sử dụng chứng thực “mềm” khóa bí mật lưu máy người sử dụng EAP-TLS sử dụng rộng rãi chúng tương thích với client software cũ cần phần mềm Microsoft Về mã hóa tương tự lời khuyên dành cho cấp ñộ bảo mật WPA với TKIP phương thức mã hóa tối thiểu khuyên dùng nâng cấp lên AES Rất khó khăn cho hacker xâm nhập vào mạng chúng khơng cần tìm mật truy cập mạng mà cịn phải biết chứng thực “mềm” người sử dụng Việc lấy ñược chứng thực “mềm” khó khăn nhiều so với việc lấy password Mức ñộ bảo mật cao mạng WLAN áp dụng cho quân Cấp ñộ bảo mật ñược xây dựng dựa cấp ñộ với mục đích chống lại việc ăn cắp chứng thực chương trình keylog hay backdoor Trên người dùng, chứng thực số khơng lưu ổ ñĩa cứng EAP-TLS PEAP-EAP-TLS mà phải ñược lưu modul bảo mật cứng Smartcard, USB, hay thiết bị lưu trữ khác Do đó, khơng bị lộ việc sử dụng mật mã hay chứng thực “mềm” Thiết bị lưu trữ USB sử dụng nhiều chúng sử dụng với máy tính xách tay khơng cần có đầu đọc Smartcard Tuy nhiên, nguy hiểm đến có đánh Smartcard, USB Nếu điều xảy ra, người sử dụng loại bỏ chứng thực số khỏi hệ thống nhận thực cách thông báo với nhà quản trị mạng Trong tương lai, nhiều thiết bị lưu trữ USB Smartcard chế tạo tích hợp với ñầu ñọc dấu vân tay sử dụng chế bảo vệ thiết bị mật Vì chúng trở nên vô dụng trừ hacker có dấu vân tay người sử dụng, hay chúng nghĩ phương pháp phức tạp ñể giả mạo ñánh lừa ñược ñầu ñọc dấu vân tay Vì thế, cần thiết, người sử dụng sử dụng nhận dạng sinh trắc học (có thể phương pháp bảo vệ cuối Học viên: Nguyễn Lan Phương - 90 - cùng), với phương pháp phịng thủ người dùng có đủ thời gian ñể thu hồi lại chứng thực ñã bị trước xảy truy nhập trái phép tới mạng Thuật tốn mã hóa AES phương pháp mã hóa sử dụng cho mức Cùng với sử dụng mã hóa AES, cấp độ bảo mật này, 802.11i ñược yêu cầu sử dụng cho AP, wireless NIC hệ ñiều hành Hầu hết sản phẩm cũ khơng hỗ trợ 802.11i, ñó ñể thiết lập hệ thống bảo mật cấp ñộ phải mua thiết bị hỗ trợ 802.11i (WPA2), cập nhật firmware, driver cho AP Wireless NIC Lời khuyên ñưa sử dụng sản phẩm Cisco, sản phẩm có tính bảo mật trội so với sản phẩm loại thị truờng V Minh họa cấu hình mạng WLAN sử dụng Linksys tạo WEP/WPA/WPA2 key: Sử dụng Wireless Router Linksys WRT54G2 thiết bị STA (Laptop) để cấu hình +) Sau cấu hình địa IP cho Access Point Linksys, kiểm tra ñịa IP mà AP cấp cho card mạng wireless +) Tiếp tục cấu hình AP thơng qua trình duyệt web, với ñịa IP AP 192.168.1.1 Connect ñến nó: Học viên: Nguyễn Lan Phương - 91 - Access Point u cầu đăng nhập vào thơng qua username password Mặc ñịnh username: admin password: admin +) Cấu hình IP tĩnh cho AP: chọn tab Setup, chọn Basic Setup Ở phần Internet Connection Type ta chọn Static IP +) Gán thông tin IP, subnet mask tương ứng nó, Default gateway, DNS server: ♦ Cấu hình thơng số network cho Access Point, gồm cơng việc: - Cấu hình địa IP ñược cấp cho máy dùng mạng wireless máy đang có dây cable nối vào port Lan Access Point, cấu hình địa IP thuộc network 192.168.1.0/24 Địa IP Access Point lúc ñang 192.168.1.1/24 Học viên: Nguyễn Lan Phương - 92 - - Ta cấu hình cấp IP thơng q DHCP Gán địa IP bắt đầu, số lượng IP mà DHCP server cấp tối ña - Ngồi số lý bảo mật ta tắt tính DHCP - Chọn “ Save Setting “ để lưu lại thơng tin cấu hình vừa làm ♦ Chuyển qua tab Wireless: - Wireless Network Mode: mặc định nhà sản xuất ñể chế ñộ Mix mode - Mặc ñịnh hãng Linksys dùng tên SSID cho Access Point “linksys” ta chuyển thành tên nhan ” - Phần Channel, Access Point ñang hoạt ñộng theo chuẩn DSSS Trong suốt q trình hoạt động tầng số hoạt động cố ñịnh Ở ñây linksys cho ta chọn 11 channel Thường nên chọn channel 1, 11 Ta chọn channel 11 - Mặc định Access Point broadcast, ñây chọn Enable, bạn chọn disable để tắt - Save Setting để lưu thơng số vừa cài đặt Học viên: Nguyễn Lan Phương - 93 - ♦ Chuyển qua tab “ Wireless Security: - Chọn Security mode “ WPA2 personal “ - Thuật toán WPA: TKIP + AES - Ta gán cho shared key (ở ta gán 999999999) ñể thời gian renew cho key mặc ñịnh 3600 - Chọn Save Setting Học viên: Nguyễn Lan Phương - 94 - Sau chọn Save Setting, bạn thấy connection laptop Access Point bị ñi Ta ñăng nhập lại Access Point với shared key cấu trên, kết thị kết nối, kiểm tra xem laptop ñã kết nối ñược với Access Point cách kiểm tra ñịa IP: Vậy laptop ñã kết nối ñược với AP Học viên: Nguyễn Lan Phương - 95 - ♦ Tiếp tục cấu hình Mac filtering Access Point: tính Mac filtering mặc định bị “Disable” Enable tính lên, chọn Permit Chọn vào Edit Mac filter list xuất bảng Mac Address Filter List: Vậy ñã cấu hình cho AP cấp DHCP cho máy Client, chuyển tên SSID cho AP thành tên khác, cấu hình WPA/WPA2 WEP key, cấu hình Mac Address Filtering VI Kết luận Bảo mật mạng WLAN tương tự bảo mật cho hệ thống mạng khác Bảo mật hệ thống phải ñược áp dụng cho nhiều tầng, thiết bị nhận dạng phát công phải ñược triển khai Giới hạn quyền truy cập tối thiểu cho người dùng cần thiết Dữ liệu ñược chia sẻ yêu cầu xác thực cho phép truy cập Dữ liệu truyền phải mã hóa Với người dùng sử dụng mạng WLAN cho gia đình, phương thức bảo mật với WPA passphare hay preshared ñược khuyến cáo sử dụng Với giải pháp doanh nghiệp, ñể tối ưu trình bảo mật với 802.1x EAP làm phương thức xác thực TKIP hay AES làm phương thức mã hóa Được dựa theo chuẩn WPA hay WPA2 802.11i security Học viên: Nguyễn Lan Phương - 96 - Phải ước lượng ñược nguy bảo mật mức độ bảo mật để áp dụng sách bảo mật cần thiết Học viên: Nguyễn Lan Phương - 97 - KẾT LUẬN Sau thời gian nghiên cứu tìm hiểu hướng dấn thầy TS Nguyễn Vũ Sơn, luận văn tốt nghiệp “Bảo mật mạng WLAN” hồn thành Dựa tài liệu tham khảo, em tìm hiểu nắm bắt đặc tính kỹ thuật mạng máy tính Từ giúp em hiểu thêm cơng nghệ áp dụng để triển khai, vận hành bảo dưỡng mạng WLAN Hướng nghiên cứu luận văn tìm hiểu thêm lỗ hổng bảo mật phương pháp công mạng WLAN mới, từ đưa giải pháp an ninh cho mạng WLAN Rõ ràng vấn đề an ninh mạng khơng dây đề tài nóng bỏng giới Thực tốt vấn ñề an ninh mạng WLAN thúc ñẩy việc triển khai WLAN vào thực tế, cụ thể Việt Nam Từ đó, góp phần đẩy nhanh q trình cơng nghệp hóa, đại hóa đất nước hội nhập khu vực, bắt kịp trình độ cơng nghệ tiến triển giới Việt Nam Do WLAN vấn ñề Việt Nam nên báo cáo nêu ñược số khía cạnh khơng thể tránh thiếu sót Em mong nhận nhiều ý kiến đóng góp từ thầy giáo bạn bè Em xin chân thành cảm ơn thầy giáo đặc biệt thầy giáo TS Nguyễn Vũ Sơn ñã hướng dẫn trực tiếp em hoàn thành luận văn Học viên: Nguyễn Lan Phương - 98 -