Mạng máy tính khơng dây vấn đề bảo mật MỤC LỤC DANH SÁCH CÁC TỪ VIẾT TẮT DANH MỤC BẢNG DANH MỤC HÌNH LỜI NĨI ĐẦU TÓM TẮT ĐỒ ÁN CHƯƠNG I: MẠNG MÁY TÍNH KHƠNG DÂY 1.1 Tổng quan mạng máy tính 1.1.1 Khái niệm mạng máy tính 1.1.2 Phân loại mạng máy tính .5 1.2 Khái niệm mạng không dây 1.3 Phân loại mạng không dây 1.3.1 Mạng không dây đô thị (Wireless Metropolitan Area Network - WMAN) - thường biết đến với tên gọi WiMAX (Worldwide nteroperability for Microwave Access) .8 1.3.2 Mạng không dây nội (Wireless Local Area Network - WLAN) 1.3.3 Mạng không dây cá nhân (Wireless Personal Area Network - WPAN) 1.4 Lợi ích việc sử dụng mạng máy tính khơng dây hạn chế 10 1.4.1 Lợi ích mạng máy tính không dây 10 1.4.2 Những hạn chế 10 1.5 Hoạt động mạng máy tính khơng dây 10 l.5.1 Vấn đề đường truyền mạng máy tính khơng dây 10 1.5.2 Hiệu ứng suy hao đường truyền 11 1.5.3 Cự ly truyền sóng tốc độ truyền liệu 13 1.6 Một số kỹ thuật sử dụng mạng không dây 14 1.7 Các chuẩn IEEE 802.11 18 1.7.1 Chuẩn IEEE 802.11 lớp vật lý (Physical) 20 1.7.1.1 802.1lb 21 1.7.1.2 802.Ua 21 1.7.1.3 802.11g 22 1.7.2 Chuẩn IEEE 802.11 lớp liên kết liệu MAC 23 1.7.2.1 802.11d 23 1.7.2.2 802.11e 23 1.7.2.3 802.11f 23 Nguyễn Quang Hải – CH K3 – ĐTVT Mạng máy tính khơng dây vấn đề bảo mật 1.7.2.4 802.11h 24 1.7.2.5 802.11i 24 1.8 Kiến trúc mạng không dây nội dựa chuẩn 802.11 24 1.8.1 Trạm thu phát sóng STA (Station) 25 1.8.2 Điểm truy cập AP (Access Point) 25 1.8.3 Trạm dịch vụ BSS (Basic Service Set) 25 1.8.3.1 BSS độc lập - IBSS (Independent Basic Service Set) 25 1.8.3.2 BSSphân cấp (Inyrastructure Basic Service Set) 26 1.8.4 Hệ thống phân tán DS (Distribution System) 26 1.8.5 Trạm dịch vụ mở rộng ESS (Extended Service Set) 27 1.9 Một số chế phòng tránh xung đột sử dụng mạng máy tính khơng dây 27 1.9.1 Cơ chế đa truy nhập sóng mang phịng tránh xung đột CSMA/CA 28 1.9.2 Cơ chế RTS/CTS (Request To Send/Clear To Senđ) 29 1.9.3 Cơ chế ACK (Acknowledging) 30 1.10 Một số mơ hình mạng máy tính khơng dây thực tế 30 1.10.1 Mạng không dây kết nối với mạng không dây 31 1.10.2 Mạng khơng dây kết nối với mạng có dây (Wireless in - buifding for Clientaccess) 32 CHƯƠNG 2: TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH 34 2.1 Khái niệm an ninh mạng 34 2.2 Tấn công phương diện vật lý 34 2.3 Tấn công vào hoạt động liệu mạng 35 2.3.1 Tấn cơng từ bên ngồi (External Network Attacks) 35 2.3.1.1 Tấn công mật (password-based Attacks) 35 2.3.1.2 Tấn công vào lưu lượng mạng (Network Traffic-Based Attacks) 36 2.3.1.3 Tấn công ứng dụng virus (Application or VirusBased Attacks) 36 2.3.1.4 Tấn công vào lỗ hổng hệ điều hành 36 2.3.2 Tấn công từ bên mạng (Internal Network Attacks) 37 CHƯƠNG 3: CÁC NGUY CƠ VỀ AN NINH TRONG MẠNG MÁY TÍNH KHƠNG DÂY 38 3.1 Các loại hình cơng phân loại theo tính chất 38 3.1.1 Tấn công bị động (Passive Attacks) 38 Nguyễn Quang Hải – CH K3 – ĐTVT Mạng máy tính khơng dây vấn đề bảo mật 3.1.2 Tấn công chủ động (Active Attacks) 39 3.1.3 Tấn công nhiễu (Jamming Attacks) 39 3.1.4 Tấn công kiểu lượng thông tin thu giới hạn 40 3.2 Một số kiểu công vào WLAN thực tế 40 3.2.1 Nghe trộm, bắt gói tin (Snifing, Interception, Eavesdropping) 40 3.2.2 Mạo danh, truy cập trái phép (Spoofing, Unauthorized Access) 42 3.2.3 Tấn công cưỡng đoạt điều khiển sửa đỗi thông tin (Hijacking and Modification) 43 CHƯƠNG 4: CÁC NGUYÊN TẮC CƠ BẢN TRONG BẢO MẬT MẠNG 45 4.1 Bảo mật hoạt động mạng 45 4.1.1 Bảo mật hoạt động mạng phương diện vật lý 45 4.1.2 Chứng thực, điều khiển truy cập giới hạn sử dụng người sử dụng (authentication, access control) 45 4.1.2.2 Chứng thực 46 4.1.2.3 Điều khiển truy cập người sử dụng nhờ máy chủ chứng thực (authentication servers) danh sách điều khiển truy cập (access control lists) 47 4.1.2.4 Bảo đảm tính sẵn sàng mạng (Availablility) 48 4.2 Bảo mật liệu 49 4.2.1 Bảo đảm tính bí mật, tin cậy liệu (confidentiality) 49 4.2.2 Bảo đảm độ riêng tư liệu (Privacy) 49 4.2.3 Bảo đảm tính tồn vẹn liệu (Intergrity) 50 CHƯƠNG 5: MỘT SÓ GIẢI PHÁP BẢO MẬT CỦA CÁC HÃNG TRONG THỰC TẾ DỰA TRÊN CHUẨN IEEE 802.11 51 5.1 Chứng thực SSID (Service Set Identifier) 51 5.1.1 Khái niệm SSID 51 5.1.2 Nguyên lý hoạt động 51 5.1.3 Nhược điểm SSID 52 5.2 Phương pháp chứng thực mã hóa WEP (Wired Equivalent Privacy) 54 5.2.1 Khái niệm WEP 54 5.2.2 Phương pháp mã hóa 55 5.2.1.1 Mã hóa truyền liệu 57 5.2.1.2 Giải mã nhận liệu 58 5.2.2 Phương pháp chứng thực 58 Nguyễn Quang Hải – CH K3 – ĐTVT Mạng máy tính khơng dây vấn đề bảo mật 5.2.3 Ưu điểm WEP hạn chế 59 5.2.3.1 Những ưu điểm 59 5.2.3.1 Hạn chế WEP 60 5.3 Bảo vệ truy cập Wi-Fi WPA (Wi-Fi Protected Access) 61 5.4 Chuẩn chứng thực 802 lx 63 5.4.1 Giới thiệu chung 63 5.4.2 Các thành phần chuẩn chứng thực 802.1x 64 5.4.2.1 Máy chủ chứng thực (Authentìcation Server) 65 5.4.2.2 Thiết bị nhận chứng thực (Authenticator) 65 5.4.2.3.Thiết bị xin chứng thực/Máy khách hàng (Supplicanư Client) 66 5.5 Máy chủ RADIUS 66 5.6 Giao thức chứng thực mở rộng EAP (Extensive Authentication Protocol) 69 5.6.1 Khái niệm 69 5.6.2 Các phương thức chứng thực 71 5.6.2.1 EAP-MD5 71 5.6.2.2 EAP-TLS 72 5.6.2.3 EAP-TTLS 74 5.6.2.4 LEAP (Lightyveight Extensible Authentication Protocol) 76 5.6.2.5 PEAP (Protected Extensible Authenticatìon Protocol) 77 5.6.2.6 EAP- FAST (EAP-Flexible Authentication viaSecure Tunneling) 78 5.7 Kerberos 80 5.7.1 Khái niệm 80 5.7.2 Kerberos làm việc với chuẩn 802.11 81 5.7.2.1 Các thành phần chỉnh Kerberos 82 5.7.2.2 Hoạt động Kerberos 83 5.7.3 Những kẽ hở Kerberos 85 5.8 Một số phưcmg pháp khác 87 5.8.1 Chứng thực lọc địa MAC 87 5.8.2 Lọc địa IP 88 5.8.3 Lọc cổng 88 KẾT LUẬN 89 TÀI LIỆU THAM KHẢO .90 BẢNG ĐỐI CHIẾU THUẬT NGỮ VIỆT ANH 91 Nguyễn Quang Hải – CH K3 – ĐTVT Mạng máy tính khơng dây vấn đề bảo mật DANH SÁCH CÁC TỪ VIẾT TẮT AAA ACL ACS AP AS BSS CA CCK CHAP CRC CSMA/CA CSMA/CD CTS DES DHCP DoS DS EAP ESS FAST IBSS IEEE IPSec KDC L2F L2TP LAN LEAP MAC MD5 MAN OTP PAC PAP PEAP Authentication Autìiorization Audit Access Control List Access Conữol Server Access Point Authentication server Basic Service Set Certiíĩcate Authority Complimentary Code Keying Challenge Handshake Authentication Protocol Cyclic Redundancy Check Carrier Sense Multiple Access with Collision Avoidance Carrier Sense Multiple Access with Collision Detection Clear to Send Data Encryption Standard Dynamic Host Coníĩguration Protocol Denial of Service Distributed System Extensibel Authentication Protocol Extended Service Set Flexible Authentication via Secure Tunneling Independent Basic Service Set Institute of Electrical and Electronics Engineers Internet Protocol Security Key Distribution Center Layer Forwarding Layer Tunneling Protocol Local Area Network Lightvveight Extensible Authentication Protocol Media Access Control Message Digest version Metropolitan Area Netvvork One Time Password Protected Access Credential Password Authentication Protocol Protected Extensible Authentication Protocol Nguyễn Quang Hải – CH K3 – ĐTVT Mạng máy tính khơng dây vấn đề bảo mật PAN PPTP QoS RADIUS RTS SK SS SSID STA TGS TLS TTLS IV VLAN VPN WEP WAN WWAN WMAN WPAN WPA Personal Area Network Point - to - Point Tunneling Protocol Quality of Service Remote Authentication Dial - In User Service Request to Send Session Key Service Server Service Set Identiíĩer Station Ticket Granting Server Transport Layer Security Tunnel Transport Layer Security Initialization Vector Virtual Local Area Network Virtual Private Network Wired Equivalent Privacy Wide Area Network Wireless Wide Area Netvvork Wireless Metropolitan Area Netvvork Wireless Personal Area Network Wi - Fi Protected Access Nguyễn Quang Hải – CH K3 – ĐTVT Mạng máy tính khơng dây vấn đề bảo mật DANH MỤC BẢNG Bảng 1.1: Tương quan cự ly truyền sóng tốc độ truyền liệu 13 Bảng 1.2: Kênh dải tần chuẩn 802.1lb 20 Bảng 1.3: số kênh dải tần chuẩn 802.1 la 21 Bảng 1.4: So sánh chuẩn 802.11 lóp vật lý 22 Bảng 5.1: Giá trị SSID mặc định sổ hãng 54 Nguyễn Quang Hải – CH K3 – ĐTVT Mạng máy tính khơng dây vấn đề bảo mật DANH MỤC HÌNH Hình 1.1: Mơ hình Ring Hình 1.2: Hiệu ứng đa đường truyền tin sóng vơ tuyến 12 Hình 1.3: Điều chế BPSK 14 Hình 1.4: Điều chế QPSK 15 Hình 1.5: Điều chế QAM 16 Hình 1.6: So sánh FDM OFDM 17 Hình 1.7: Các thành phần mạng khơng dây nội 24 Hình 1.8: Mơ hình Ad - hoc 26 Hình 1.9: Mơ hình BSS phân cấp 26 Hình 1.10: Trạm dịch mở rộng ESS 27 Hình 1.11: Cơ chế CTS/RTS 29 Hình 1.12: Khung RTS 30 Hình 1.13: Khung CTS 30 Hình 1.14: Mạng khơng dây kết nối với mạng không dây qua chuyển vùng AP 31 Hình 1.15: Mạng khơng dây kết nối với mạng khơng dây dùng repeater 31 Hình 1.16: Mạng khơng dây kết nối với mạng có dây 32 Hình 1.17: Mạng khơng dây làm cầu nối nối mạng có dây 33 Hình 1.18: Mạng không dây kết nối đầy đủ với theo mơ hình mạng lưới 33 Hình 3.1: Tấn cơng nhiễu 39 Hình 3.2: Tấn cơng theo kiểu thu hút 40 Hình 3.3: Ví dụ phần mềm bắt gói tin Ethereal 41 Hình 3.4: Thu thập thơng tin WLAN với phần mềm Netstumber 42 Hình 3.5: Giả mạo AP 43 Hình 4.1: Ví dụ q trình đăng nhập vào máy tính sử dụng Window 2000 46 Hình 4.2: Ví dụ q trình chứng thực từ người sử dụng đến máy chử chứng thực 47 Hình 4.3: Máy chủ chứng thực mạng 48 Nguyễn Quang Hải – CH K3 – ĐTVT Mạng máy tính khơng dây vấn đề bảo mật Hình 5.1: Các bước kết nối sử dụng SSID 51 Hình 5.2: Mức bảo mật SSID 53 Hình 5.3: Mơ hình quảng bá rộng rãi sổ SSID 53 Hình 5.4: Mơ hình chia sẻ khóa WEP máy khách AP 55 Hình 5.5: WEP cài đặt lên tới khóa chia sẻ 56 Hình 5.6: phương pháp mã hóa WEP 57 Hình 5.7: Phương pháp giải mã WEP 58 Hình 5.8: Quá trình chứng thực WEP 59 Hình 5.9: Khung gói tin theo WEP 61 Hình 5.10: Khung gói tin 62 Hình 5.11: Các gỉảỉ pháp xác thực mở rộng chuẩn 802 lx 64 Hình 5.12: Ba thành phần chuẩn chứng thực 802.1x 65 Hình 5.13: Chứng thực qua máy chủ RADIUS 67 Hình 5.14: Định dạng gói tín RADIUS 68 Hình 5.15: Khung EAP chi tiết 69 Hình 5.16: Hoạt động EAP - MD5 71 Hình 5.17: Hoạt động EAP - TLS 73 Hình 5.18: Ví dụ hoạt động EAP - TTLS 75 Hình 5.19: Hoạt động LEAP 76 Hình 5.20: Hoạt động PEAP 78 Hình 5.21: EAP - FAST 80 Hình 5.22: Quá trình chứng thực Kerberos 83 Hình 511 Lọc địa MAC 87 Nguyễn Quang Hải – CH K3 – ĐTVT LỜI NÓI ĐẦU Từ xưa tới người ln có nhu cầu liên kết, trao đổi chia sẻ thông tin với Đặc biệt với phát triển nhanh chóng vượt bậc công nghệ điện tử viễn thông công nghệ thơng tin, máy vi tính đóng vai trị quan trọng sống người Thông tin máy tính riêng lẻ khơng đáp ứng nguyện vọng chia sẻ, trao đổi người sử dụng Do mạng máy tính hình thành, đỉnh cao phổ biến mạng Internet tồn cầu Những năm gần công nghệ không dây đời tạo giải pháp cho loại hình mạng có dây truyền thống Một cơng nghệ khơng dây, mạng máy tính khơng dây đời mở định nghĩa hoàn toàn hạ tầng sở mạng So với mạng máy tính có dây truyền thống, mạng máy tính khơng dây thể nhiều ưu điểm bật tính linh hoạt cao, đơn giản lắp đặt khả tiện dụng Đồng thời mạng máy tính không dây làm tăng hiệu suất làm việc người sử dụng kết nối truy cập vào tài nguyên mạng liên tục di chuyển Mạng máy tính khơng dây lại triệt tiêu chi phí xây dựng hệ thống cáp mạng Ban đầu thiết bị khơng dây có giá thành cao ngày mạng máy tính khơng dây phát triển rộng rãi giá thành thiết bị giảm xuống thuận lợi cho việc triển khai, mở rộng ứng dụng Bên cạnh ưu điểm, mạng máy tính khơng dây cịn số nhược điểm độ tin cậy thấp so với mạng có dây Đặc biệt, tính chất mơi trường truyền dẫn mạng máy tính khơng dây khơng gian tự nên độ bảo mật mạng thấp nhiều so với mạng có dây Thơng tin tài sản q giá, vấn đề bảo đảm an tồn thơng tin cho người sử dụng yêu cầu quan trọng hình thành hệ thống mạng, vấn đề bảo Nguyễn Quang Hải – CH K3 – ĐTVT Hình 5.20: hoạt động PEAP 5.6.2.6 EAP- FAST (EAP-Flexible Authentication viaSecure Tunneling); EAP với chứng thực linh hoạt thông qua đường hầm an ninh EAP FAST tài liệu IETF (draft-cam-winget-eap-fast-oo.txt) đưa hãng Cisco vào tháng - 2004 Kiểu EAP có thời gian chuyển vùng nhanh so với dạng EAP khác EAP - FAST đưa khái niệm ủy nhiệm truy cập bảo vệ PAC (Protected Access Credential) tương đương với chứng truy cập PAC khóa dài 32 byte dùng để tạo đường hầm mã hóa khách hàng máy chủ chứng thực Điểm riêng biệt PAC khả cấp khóa tự động hoạt động cách tạo kết nối TLS trao đổi chứng thực MSCHAPV2 để truy cập vào mạng Chú ý phiên làm việc TLS chứng thực khóa cơng khai Sau tạo kết nối, PAC gửi qua đường hầm Nguyễn Quang Hải – CH K3 – ĐTVT 78 PAC bao gồm ba phần: khóa chính, opaque PAC info (thơng tin PAC) Khóa (master key): tạo cách ngẫu nhiên máy chủ chứng thực gửi tới khách hàng Khóa có chứa ID quyền truy nhập (authority ID) Opaque: bao gồm Authority ID thời gian sống khóa (key liíetime) mã hóa khóa PAC Info: gồm Authority ID có thời gian sống khóa Trường dùng để phân biệt giá ừị PAC khác khách hàng để hỗ trợ nhiều kết nối lúc đến mạng Quá trình EAP bắt đầu diễn tương tự kiểu EAP khác.Sau khách hàng yêu cầu kiểu EAP FAST, AP gửi lại tin yêu cầu khách hàng cung cấp giá trị PAC Bản tin chứa PAC gửi đến máy chủ chứng thực Tiếp đó, máy chủ chứng thực gửi lại Authority ID Khách hàng nhận Authority ID so sánh với giá trị Authority ID PAC Nếu khớp nhau, khách hàng tạo đường hầm TLS dựa khóa PAC Đường hầm tiếp tục dùng trình chứng thực Nguyễn Quang Hải – CH K3 – ĐTVT 79 Hình 5.21: EAP - FAST 5.7 Kerberos 5.7.1 Khái niệm Giao thức Kerberos phát triển trường đại học Massachusettes vào cuối thập kỷ 80 Kerberos hệ thống bảo mật, cung cấp khả chứng thực bảo vệ tin Phiên Kerberos theo chuẩn RFC1510 Kerberos cung cấp khả bảo mật mạnh, đảm bảo kết nối liên tục cho thiết bị tiếng liệu nhu cầu vấn đề bảo mật người quản lý mạng Các ưu điểm Kerberos: Chứng thực hai chiều: Khách hàng cung cấp nhận dạng để chứng thực với máy chủ kiểm tra độ xác thực máy chủ, đảm bảo máy chủ trả lời yêu cầu Các máy chủ chứng thực lẫn Nguyễn Quang Hải – CH K3 – ĐTVT 80 • Quản lý tin cậy: Kerberos cấu hình tự động trì cách tin cậy tất miền hoạt động (Active Directory) • Truyền dẫn tin cậy: Bản tin Kerberos mã hóa với nhiều khóa khác nhau, đảm bảo khơng can thiệp vào vé khách hàng với liệu khác Kerberos ngăn không cho mật truyền qua mạng • Ngăn chặn gói tin chứng thực gửi nhiều lần Nhãn thời gian (timestamps) sử dụng để tối thiểu nguy kẻ công bắt sử dụng lại gói tin Kerberos chứng thực • Chứng thực ủy quyền: ủy quyền khả xác định người sử dụng hợp lệ mà không cần phải chứng thực với nhiều dịch vụ Kerberos có chế ủy nhiệm cho phép dịch vụ cung cấp xác thực khách hàng khách hàng kết nối đến dịch vụ khác Kerberos có khả chứng thực ủy nhiệm nhờ sử dụng chế vé Khi gửi vé đến máy chủ, khách hàng thêm thông tin cho phép máy chủ sử dụng để yêu cầu vé khác cho hoạt động người sử dụng tò KDC Kerberos cung cấp chức xác thực người sử dụng chức quản lý khóa mã hóa để bảo vệ mạng từ cơng q trình truyền liệu Kerberos cung cấp tin cây, xác thực, toàn vẹn liệu điều khiển truy cập Kerberos làm việc tốt trình chuyển vùng AP, đảm bảo kết nối liên tục Bên cạnh trình xác thực lại nhanh 5.7.2 Kerberos làm việc với chuẩn 802.11 Kerberos dựa mơ hình phân phối khóa, phát triển Needham Schroeder Thông thường áp dụng Kerberos vào mơi trường khơng dây có số đặc trưng lợi ích: • Q trình trao đổi khóa mã hóa tự động bảo mật Thời gian sống khóa cấu hình từ vài phút đến không giới hạn Nguyễn Quang Hải – CH K3 – ĐTVT 81 • Khóa tạo lúc bắt đầu phiên làm việc,được phân phối đến khách hàng khơng cho phép chia sẻ khóa khách hàng với Khởi tạo khóa thơng suốt toong q trình chuyển vùng AP: khóa đc tạo người sử dụng bắt đầu chuyển vùng cân tải thực • Chứng thực hai chiều đảm bảo không để AP giả mạo lấy liệu người sử dụng Mã hóa ngăn liệu gửi dạng cleartext bị đọc • Kerberos mở rộng hỗ trợ cho mạng lớn máy chủ Kerberos đặt đâu mạng Kerberos thích hợp cho việc chứng thực, mã hóa trao đổi khóa WLAN 5.7.2.1 Các thành phần chỉnh Kerberos Bốn thành phần hệ thống Kerberos cho phép Kerberos v5 quản lý chứng thực khách hàng miền quản lý môi trường windows • KDC: dịch vụ mạng cung cấp TGT vẻ dịch vụ đến người sử dụng máy tính toong mạng Hai dịch vụ cung cấp KDC : Dịch vụ chứng thực AS dịch vụ cấp vé TGT Dịch vụ chứng thực cấp vé ticket granting (TGT) dùng toong kết nối đến TGS Tiếp TGS cung cấp cho người sử dụng vé dịch vụ để chứng thực với dịch vụ mạng mong muốn AS cấp TGT sử dụng đến hết hạn cho TGS • TGT: TGT AS cung cấp cho người sử dụng lần chứng thực với KDC Người sử dụng dùng TGT để yêu cầu vé dịch vụ từ TGS • Vé dịch vụ (Service ticket): dùng để chứng thực với dịch vụ mạng mở phiên làm việc Khi có vé dịch vụ, người sử dụng chứng thực thành công với dịch vụ mạng yêu cầu thiết lập phiên làm việc Nguyễn Quang Hải – CH K3 – ĐTVT 82 • Vé chuyển (Referal ticket): vé chuyển thực chất TGT miền tài nguyên cấp lúc người sử dụng kết nối đến máy chủ mong muốn.ở miền khác Chức AS TGS tách biệt KDC, cho phép người sử dụng dùng TGT có sẵn từ AS miền để yêu cầu cấp vé dịch vụ từ TGS miền khác thông qua vé chuyển Vé chuyển mã hóa sử dụng khóa chia sẻ miền để đảm bảo độ tin cậy 5.7.2.2 Hoạt động Kerberos Chứng thực sử dụng Kerberos bảo gồm ba trình: Trao đổi dịch vụ chứng thực AS (Authentication Service exchange), trao đổi dịch vụ cấp vé TGS (Ticket granting Service exchange) trao đổi chứng thực khác hàng/máy chủ (Client/Server Authentication exchange) Hình 5.22: Quá trình chứng thực Kerberos Nguyễn Quang Hải – CH K3 – ĐTVT 83 AS: Máy chủ chứng thực (authentỉcation server) KDC: Trung tâm phân phối khóa (Key Distribution Center) SK: khóa phiên (Session Key) SS: Máy chủ dịch vụ (Service server) TGS: Máy chủ cấp vé (ticket granting server) TGT: vé yêu cầu dịch vụ cấp vé (ticket - granting ticket) • Q trình trao đổi dịch vụ chứng thực(Authentication Service exchange) Người sử dụng gửi yêu cầu vé cho máy chủ ticket-granting (TGS) đến AS AS tìm người sử dụng sở liệu nó,tìm khóa bí mật máy khách sau tạo khóa phiên (SK1) để sử dụng máy khách máy chủ TGS AS mã hóa khóa phiên sử dụng khóa bí mật người sử dụng để tạo tin AS sử dụng khóa bí mật chia sẻ AS TGS để mã hóa khóa phiên tên người sử dụng, tạo vé TGT Sau TGT tin gửi lại cho người sử dụng • Q trình trao đổi dịch vụ cấp vé TGS (Ticket-Granting Service Exchange) Người sử dụng giải mã tin khôi phục lại khóa phiên.Người sử dụng tạo thiết bị nhận thực cách mã hóa tên người sử dụng,địa IP tem thời gian với khóa phiên.Người sử dụng gửi authenticator với vé TGT đến TGS yêu cầu truy cập vào máy chủ đích.TGS giải mã vé TGT để khôi phục SK1 sử dụng SK1 vé TGT để giải mã authenticator Nó giám sát thông tin authenticator, vé, địa mạng người sử dụng tem thời gian TGS tạo khóa phiên (SK2) cho người sử dụng máy chủ đích để sử dụng, mã hóa sử dụng SK1 gửi cho người sử dụng.TGS gửi vé chứa tên người sử dụng,địa mạng,tem thời Nguyễn Quang Hải – CH K3 – ĐTVT 84 gian thời gian kết thúc vé đó.Tất mã hóa với khóa bí mật máy chủ đích tên máy chủ • Q trình trao đổi chứng thực khách hàng/máy chủ (client/server authentication exchange) Người sử dụng giải mã tin nhận SK2.Cuối để sẵn sàng tiếp cận máy chủ đích, người sử dụng tạo authenticator mã hóa với SK2, người sử dụng gửi khóa phiên (đã mã hóa với khóa bí mật máy chủ đích) authenticator mã hóa với SK2,nó cho người sử dụng biết khóa này.Tem thời gian mã hóa ngăn kẻ nghe trộm tin chứa vé authenticator replay lại chúng sau Máy chủ đích giải mã kiểm tra vé, authenticator, địa người sử dụng tem thời gian Đối với ứng dụng yêu cầu xác thực hai chiều, máy chủ đích trả lại tin chứa tem thời gian thêm vào mã hóa với khóa SK2.Cái chứng minh cho người sử dụng máy chủ biết khóa bí mật riêng giải mã vé authenticator 5.7.3 Những kẽ hở Kerberos Kerberos đảm bảo tính bí mật, tin cậy tính tồn vẹn liệu nhờ sử dụng khóa bí mật, q trình mã hóa điều khiển truy cập vào tài nguyên mạng Kerberos không trực tiếp đảm bảo độ sẵn sàng dịch vụ khả phòng tránh cơng, Ngồi ra, tất khóa bí mật giữ riêng biệt, q trình chứng thực thực Kerberos TGS máy chủ chứng thực nên máy chủ dễ bị công phương diện vật lý hay đoạn mã có hại Một số nhược điểm Kerberos: • Khóa bí mật lưu tạm thời máy trạm khách hàng bị cơng với khóa phiên lưu máy trạm máy chủ Kerberos Khóa phiên giải mã đặt máy trạm khách hàng nên có khả bị lấy cắp Nguyễn Quang Hải – CH K3 – ĐTVT 85 • Mật Kerberos bị đốn thơng qua phần mềm đốn mật (dictionaiy attacks) • Vì mật khách hàng gửi để khởi tạo trình yêu cầu dịch vụ nên kẻ công vào máy tính thời gian với khách hàng xác thực KDC khơng phân biệt khóa bí mật máy tính chuyển đến kẻ cơng • Nếu người sử dụng thay đổi mật khóa bí mật bị thay đổi KDC cần phải cập nhật thơng tin • Vé trao đổi khách hàng máy chủ có thêm thông tin nhãn thời gian thời gian sống khóa Điều cho phép giới hạn thời gian trình chứng thực Vé mà chấp nhận lâu dễ bị ăn trộm sử dụng bới người khơng phép • Nếu vé chuyển đi, hệ thống phải tin tưởng tất hệ thống khác mà vé chuyển qua trước đến máy chủ tại.Tuy nhiên, máy chủ nơi có vé đến lại khơng thể nói vé đến từ đâu mà thơng báo máy chủ khác cách sử dụng cờ (cái thiệt lập 1) Đây kẽ hở để kẻ cơng khai thác • Hệ thống Kerberos dựa đồng đồng hồ máy khác nhau.Nếu kể công làm sai thời gian máy chủ, vé xác thực truy cập mạng sử dụng lại • Nếu mã hóa khơng bật trĩĩc mạng khơng bảo vệ Kerberos • KDC trở thành điểm tập trung cố Nếu KDC ngừng hoạt động ảnh hưởng đến tồn mạng, khơng truy cập đến nguồn liệu cằn thiết Kẻ cơng dùng kiểu cơng từ chối dịch vụ để công vào KDC Nguyễn Quang Hải – CH K3 – ĐTVT 86 5.8 Một số phưcmg pháp khác 5.8.1 Chứng thực lọc địa MAC Bên cạnh hai chế bảo mật mà chuẩn 802.11 cung cấp nhiều cơng ty cịn đưa chế lọc địa MAC ữong thiết bị họ Địa MAC (Media Access Control) địa lớp - lớp Data link mơ hình lớp OSI Địa MAC nhà sản xuất ghi cố định thiết bị Một địa MAC ứng với card mạng Địa MAC gồm 48 bit chia thành byte, byte đầu ký hiệu tên hãng sản xuất, ví dụ: 00-40-96: Cisco 00-00-86: 3COM 00-02-2D:Agere Communications 00-10-E7: Breezecom 00-E0-03: Nokia Wieless 00-04-5A: Linksys byte lại địa AC số thứ tự nhà sản xuất đặt cho thiết bị • Bộ lọc địa MAC chứa địa MAC (địa vật lý thiết bị) card giao tiếp mạng không dây (NICs) lọc gắn với điểm truy nhập AP.Cách hoạt động phương pháp chứng thực địa MAC: máy tính gửi yêu cầu chứng thực đến cho AP, AP lấy địa MAC máy so sánh với bảng địa MAC phép kết nối để định xem có cho phép máy tính truy cập vào mạng hay khơng Hình 511 Lọc địa MAC Nguyễn Quang Hải – CH K3 – ĐTVT 87 Mặc dù lọc địa MAC giải pháp bảo mật không thật mạnh địa MAC dễ dàng bị ăn cắp Sniffer sau bạn cài đặt địa MAC ăn cắp cho card mạng bạn để truy cập vào mạng bạn sử dụng điều khiển Linux, nhiên giải pháp bổ sung khả bảo mật chuẩn 802.11, gây khó khăn cho kẻ muốn truy nhập toái phép vào mạng khơng dây Nhược điểm: lý thuyết địa MAC hãng sản xuất quy định số card mạng không dây loại PCMCIA dùng cho chuẩn 802.11 lại có hỗ ữợ khả tự thay đổi địa MAC Như kẻ cơng đổi địa MAC giống địa máy tính cấp phép truy cập vào mạng 5.8.2 Lọc địa IP Địa IP địa dùng lớp 3, lớp Network mơ hình lớp OSI Đây địa logic địa vật lý gắn liền với thiết bị mạng, nguyên lý hoạt động lọc địa IP tương tự lọc địa MAC Địa IP cấp động (qua DHCP) tự đặt (Manual Set) Nếu kẻ cơng dị địa IP cấp phép mạng dễ dàng đặt địa IP tương tự kết nối vào mạng Do phương pháp hiệu không cao 5.8.3 Lọc cổng Lọc cổng mặt nguyên lý giống hai phương pháp lọc Sự phân chia cổng thực lớp - lớp Transport mô hình OSI Một máy tính mở nhiều cổng để máy tính khác truy cập vào, cổng đáp ứng dịch vụ khác Ví dụ cổng 21 cho FTP, cổng 23 cho Telnet, cổng 80 cho HTTP Việc lọc cổng biện pháp để ngăn chặn truy cập trái phép đến cổng khác dịch vụ Tuy nhiên có nhiều chương trình dị, qt cổng giúp cho kẻ cơng dễ dàng xác định máy tính cổng cho dịch vụ Nguyễn Quang Hải – CH K3 – ĐTVT 88 KẾT LUẬN Sau thời gian nghiên cứu, tìm hiểu, em thấy ưu điểm lợi ích mạng máy tính khơng dây đem lại Với độ linh hoạt cao, tiện dụng cho người sử dụng, mạng máy tính khơng dây thay cho mạng có dây truyền thống Tuy nhiên phân tích nội dung đồ án, nhược điểm mạng máy tính khơng dây tính bảo mật Nâng cao tính bảo mật ln vấn đề quan trọng thiết kế, triển khai ứng dụng mạng máy tính khơng dây vào thực tế Tùy theo quy mơ mục đích sử dụng mà áp dụng biện pháp bảo mật với mức độ khác cho mạng Mạng máy tính khơng dây triển khai ứng dụng rộng rãi nước ta Qua việc nghiên cứu đề tài này, em muốn góp phần nhỏ bé vào phát triển cơng nghệ Việt Nam Một lần em xin chân thành cám ơn hướng dẫn tận tình thầy Nguyễn Vũ Sơn suốt thời gian thực đồ án Hà Nội, tháng năm 2012 Sinh viên Nguyễn Quang Hải Nguyễn Quang Hải – CH K3 – ĐTVT 89 TÀI LIỆU THAM KHẢO Nguyễn Thúc Hải, Mạng máy tính hệ thống mở, Nhà xuất Giáo Dục, Hà Nội 1997 Nathan J.Muller, Wireless A to z, McGraw Hill, 2003 Jeffrey Wheat, Randy Hiser, Jackie Tucker, Alicia Neely and Andy McCullough, Designing a wireless network, Syngress, 2001Ế Martin Pawf Clark, Wireless Access Network, John Wiley & Sons LTD, 2000 Eric Ouellet, Robert Padien, Arthur Pfìmd, Ron Fuller and Tim Blankenship, Building a Cisco Wireless LAN, Syngress, 2002 Pejman Roshan and Jonathan Leary, 802.11 Wireless LAN Fundamentals, Cisco Press, 2003 Aaron E Earle, tireless Security Handbook, Auerback Publication, 2006 Cisco System, Building Cisco Multilayer Switch Netvvorks, Cisco Press, 2006 Randall K.Nichols and Panos C.Lekkas, Wỉreless Security: Models, Threats, and Solutions McGrawHill, 2002 10 John Rittinghouse and James Ransome, Wireless Operational Security, Digital Press, 2004 11.Jahanzeb Khan and Anis Khwaja, Building Secure Wireless Network with 802.11, John Wiley & Sons, 2003 12 Tara M., Charles R.Elden, Wireless Security and Privacy: Best Practỉces and Design Techniques, Addison Wesley, 2002 Nguyễn Quang Hải – CH K3 – ĐTVT 90 BẢNG ĐỐI CHIẾU THUẬT NGỮ VIỆT ANH Bản tin Message Bản tin khơng mã hóa Cleartext, Plaintext Bản tin yêu cầu cung cấp Challenge Bộ định tuyến Router Chuỗi khóa Key stream Cưỡng đoạt điều khiển Hijacking Đăng nhập Login Danh sách điều khiển truy cập Access Control List Độ sẵn sàng Availability Đường hầm Tunnel Gói tin Packet Kênh thuê bao riêng Leased lines Khóa chia sẻ Shared key Khóa cơng cộng Public key Lưu lượng mạng Traftic Mạo danh Spoofing Mật Password Máy chủ chứng thực Authentication Server Một phần mạng Segment Nghe trộm Sniffing, Eavesdropping Nhận dạng Identifier Nguyễn Quang Hải – CH K3 – ĐTVT Nhãn thời gian Timestamps Phân tích luồng thơng tin Traffic Anlysis Tên truy nhập Username Thiết bị cầu nối Bridge Thiết bị chuyển mạch Switch Thiết bị nhận thực Authenticator Thiết bị xin chứng thực Authenticator Thiết bị xin chứng thực Supplicant Vectơ khởi tạo Initialization Vector Nguyễn Quang Hải – CH K3 – ĐTVT