1. Trang chủ
  2. » Luận Văn - Báo Cáo

Báo cáo bài tập lớn môn mạng và truyền thông đề tài cơ chế bảo mật mạng không dây

23 6 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 23
Dung lượng 2,09 MB

Nội dung

TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN - Trần Nguyệt Ánh 2010A01 Nguyễn Hồng Bắc 2010A01 Đặng Minh Cương 2010A01 BÁO CÁO BÀI TẬP LỚN Môn: Mạng Và Truyền Thông ĐỀ TÀI: “ Cơ Chế Bảo Mật Mạng Không Dây ” Giảng Viên Hướng Dẫn: Ths Vũ Xuân Hạnh Hà Nội, 2021 Mục lục I, Bảo mật 1, Khái niệm bảo mật 3 2, Tại phải bảo mật mạng không dây? 3, Các tài nguyên cần bảo vệ 4, Kẻ xấu làm gì? II, Các hình thức cơng mạng khơng dây 1, Biến đổi thông tin 2, Khước từ thống kê 3, Dị mật 4, Tấn cơng truy nhập ( Access Attack ) 5, Từ chối dịch vụ ( Denial of Service Attack ) III, Các giải pháp bảo mật mạng không dây 1, VPN ( Virtual Private Network ) 2, AES ( Advanced Encryption Standard ) 3, WEP (Wried Equivalent Privacy ) 9 10 4, TKIP ( Temporal Key Integrity Protocol ) 11 5, 802.1x EAP 12 802.1x : 12 EAP : 12 6, WPA ( Wifi Protected Access ) 12 7, WPA 12 8, Lọc ( filtering ) 13 ⮚ Lọc SSID 13 ⮚ Lọc địa MAC 13 ⮚ Lọc giao thức 13 IV, Phần tập 14 Bài 1: 14 Bài 2: 15 Bài 3: 16 Bài 4: 16 Bài 5: 20 I, Bảo mật 1, Khái niệm bảo mật Bảo mật hạn chế khả lạm dụng tài nguyên tài sản Khi mạng không dây đời với hàng loạt tính ưu việt đặt thử thách lớn việc quản trị mạng Với số lượng thiết bị truy cập nhiều truy cập từ nhiều vị trí khác nhau, nên tài nguyên dễ bị phân tán, gây mát liệu thông tin quan trọng Từ đó, vấn đề bảo vệ thơng tin xuất Và bảo mật đời 2, Tại phải bảo mật mạng không dây? Ai nhận rằng, mạng khơng dây vơ tiện lợi an tồn so với mạng có dây Các mạng khơng dây sử dụng sóng vơ tuyến xun qua vật liệu tòa nhà vậy, bao phủ khơng giới hạn bên tịa nhà Sóng vơ tuyến xuất đường phố, từ trạm phát mạng Do điều kiện truy cập loại mạng này, khả truy cập thiết bị ngồi vơ lớn Bất kỳ thiết bị cố gắng kết nối với mạng không dây Mạng không dây cơng ty bị truy cập từ bên ngồi tịa nhà cơng ty họ Vì vậy, để sử dụng mạng khơng dây an tồn, cần 3, Các tài nguyên cần bảo vệ ● Trình duyệt Web/ Server cho giao dịch điện tử ● Client/ Server ngân hàng trực tuyến ● DNS Servers ● Các router trao đổi thông tin cập nhật bảng routing 4, Kẻ xấu làm gì? ● Nghe thông điệp ● Chèn thông điệp vào kết nối ● Giả danh: giả mạo địa nguồn gói ( trường ) ● Cướp: tiếp tục kết nối hành thay người gửi người nhận họ ● Từ chối dịch vụ: dịch vụ bị người khác dùng ( tải ) II, Các hình thức cơng mạng khơng dây Có hình thức cơng chủ yếu: ● Biến đổi thông tin ( Modification Attack ) ● Khước từ thống kê ( Repudiation Attack ) ● Dò mật ( Password Detection ) ● Tấn công truy nhập ( Access Attack ) ● Từ chối dịch vụ ( Denial – of – Service ) 1, Biến đổi thông tin Kẻ cơng tìm cách thay đổi thơng tin mà khơng có quyền truy nhập Hình thức cơng tác động vào tính tồn vẹn thơng tin ● Thay đổi thông tin ● Chèn thêm thông tin ● Xóa thơng tin 2, Khước từ thống kê Tấn cơng vào đặc tính thống kê hệ thống Từ chối khước từ kiện tác động thực trước ● Masquerading ( cải trang ): đóng vai user hệ thống khác ● Denying an Event ( từ chối kiện ): từ chối tác động thực ghi vào log file trước 3, Dị mật ⮚ Chủ yếu mật quản trị hệ thống ● Windows: Adminstrator ● Unix: Root ⮚ Có loại cơng dị tìm mật khẩu: ● Brute Force: dị tìm mật tìm thấy ● Dictionary: sử dụng từ điển user password để dị tìm 4, Tấn cơng truy nhập ( Access Attack ) Kẻ công cố gắng lấy cắp thông tin mà khơng có quyền truy cập Kiểu cơng xảy thơng tin lưu lưu trữ máy chủ truyền đường truyền Nó tác động đến tính bảo mật thơng tin ● Snooping ( dị tìm ) - Kẻ cơng tìm kiếm thơng tin file liệu để lấy nội dung thông tin cần thiết cách tăng quyền sử dụng giảm điều khiển truy cập vào file - Diễn nhiều dạng khác tùy thuộc vào nguồn lưu trữ thơng tin: máy tính, server, CD, tape,… ● Eavesdropping (nghe lén) - Để có quyền truy nhập nghe thông tin, kẻ công phải chọn vị trí thích hợp nơi thơng tin phải truyền ngang qua vị trí ● Intercept (chặn) - Là kiểu công thực vào thông tin - Kẻ cơng chèn hệ thống vào đường truyền liệu bắt giữ thông tin trước gửi đến đích nhận - Kẻ cơng có quyền chặn đứng chuyển tiếp thông tin đến nơi nhận 5, Từ chối dịch vụ ( Denial of Service Attack ) - Làm cho hệ thống đáp ứng yêu cầu sử dụng dịch vụ (phong tỏa dịch vụ) người sử dụng đáng - Kẻ công không giành quyền truy cập thay đổi thông tin - Tấn công từ máy đơn lẻ Khai thác điểm yếu giao thức TCP UDP ⇨ ⇨ ⇨ ⇨ Từ chối truy cập thông tin Từ chối cung cấp ứng dụng Từ chối truy cập hệ thống Từ chối truyền tin DDoS (Distributed Denial of Service) - Là hình thức cơng DoS - Kẻ cơng (master) cài chương trình đến “zombies” - Master kích hoạt Zombies đồng loạt công mục tiêu III, Các giải pháp bảo mật mạng không dây Để cung cấp mức bảo mật tối thiểu cho mạng WLAN ta cần hai thành phần sau: + Một phương thức để cung cấp tính riêng tư cho liệu không dây – yêu cầu thỏa mãn thuật toán mã hóa ( Encryption ) + Cách thức để xác định có quyền sử dụng WLAN – yêu cầu thỏa mãn chế xác thực ( Authentication ) 1, VPN ( Virtual Private Network ) - Bảo vệ mạng không dây cách tạo kênh có khả che chắn liệu khỏi truy cập trái phép VPN sử dụng chế bảo mật IPSec (Internet Protocol Security) tạo tin cậy cao IPSec dùng thuật toán mạnh Data Encryption Standard (DES) Triple DES (3DES) để mã hóa liệu, dùng thuật tốn khác để xác thực gói liệu - Khi sử dụng mạng WLAN, cổng kết nối VPN đảm nhận việc xác thực, đóng gói mã hóa Cách VPN mã hóa kết nối internet để tối đa hóa quyền riêng tư 2, AES ( Advanced Encryption Standard ) - AES phê chuẩn NIST (National Institute of Standard and Technology), AES đáp ứng nhu cầu người dùng Trong đó, chế độ đặc biệt AES gọi CBC-CTR (Cipher Block Chaining Counter Mode) với CBC-MAC (Cipher Block Chaining Message Authenticity Check) Tổ hợp chúng gọi AES-CCM Chế độ CCM kết hợp mã hóa CBC-CTR thuật tốn xác thực thông điệp CBC-MAC Sự kết hợp cung cấp việc mã hóa kiểm tra tính tồn vẹn liệu gửi + Mã hóa CBC – CTR sử dụng biến đếm để bổ sung cho chuỗi khóa Biến đếm tăng lên mã hóa cho khối ( block ) Tiến trình đảm bảo có khóa cho khối Chuỗi ký tự chưa mã hóa phân mảnh thành khối 16 byte + Mã hóa CBC – MAC hoạt động cách sử dụng kết mã hóa CBC với chiều dài frame, địa nguồn, địa đích liệu Kết cho giá trị 128 bit cắt thành 64 bit để sử dụng lúc truyền thống - AES-CCM yêu cầu chi phí lớn cho q trình mã hóa kiểm tra tính tồn vẹn liệu gửi nên tiêu tốn nhiều lực xử lý CPU lớn 3, WEP (Wried Equivalent Privacy ) - WEP thuật tốn nhằm bảo vệ trao đổi thơng tin chống lại nghe trộm, chống lại nối kết mạng không cho phép chống lại việc thay đổi làm nhiễu thông tin truyền - Chuẩn 802.11 cung cấp tính riêng tư cho liệu thuật tốn WEP WEP dựa mật mã dịng đối xứng RC4( Ron’s code 4) Ron Rivest thuộc hãng RSA Security Inc phát triển - Hiện nay, Internet sẵn có cơng cụ có khả tìm khóa WEP AirCrack, AirSnort, dWepCrack, WepAttack, WepCrack, WepLab Sơ đồ mã hóa WEP Tiến trình mã hóa giải mã WEP - Giải pháp WEP tối ưu + Sử dụng khóa WEP có độ dài 128 bit: Thường thiết bị WEP cho phép cấu hình khóa độ dài: 40 bit, 64 bit, 128 bit Sử dụng khóa với độ dài 128 bit gia tăng số lượng gói gữi liệu hacker cần phải có để phân tích IV, gây khó khăn kéo dài thời gian giải mã khóa WEP + Thực thi sách thay đổi khóa WEP định kỳ: WEP khơng hỗ trợ phương thức thay đổi khóa tự động nên thay đổi khóa định kỳ gây khó khăn cho người sử dụng Nên thực lần tháng nghi ngờ có khả bị lộ khóa + Sử dụng cơng cụ theo dõi số liệu thống kê liệu đường truyền không dây: Do cơng cụ dị khóa WEP cần bắt số lượng lớn gói liệu hacker phải sử dụng công cụ phát sinh liệu nên đột biến số lượng liệu dấu hiệu công WEP, đánh động người quản trị mạng phát áp dụng biện pháp phòng chống kịp thời 4, TKIP ( Temporal Key Integrity Protocol ) - Là giải pháp IEEE phát triển năm 2004 Là nâng cấp cho WEP nhằm vá vấn đề bảo mật cài đặt mã dòng RC4 WEP TKIP dùng hàm băm(hashing) IV để chống lại việc giả mạo gói tin, cung cấp phương thức để kiểm tra tính tồn vẹn thơng điệp MIC (Message Integrity Check ) để đảm bảo tính xác gói tin TKIP sử dụng khóa động cách đặt cho frame chuỗi số riêng để chống lại dạng công giả mạo 5, 802.1x EAP 802.1x : - Là chuẩn đặc tả cho việc truy cập dựa cổng (port-based) định nghĩa IEEE Khi người dùng cố gắng kết nối vào hệ thống mạng đặt trạng thái bị chặn(blocking) chờ cho việc kiểm tra định danh người dùng hoàn tất EAP : - EAP phương thức xác thực bao gồm yêu cầu định danh người dùng (password, certificate,…), giao thức sử dụng (MD5, TLS_Transport Layer Security, OTP,…) hỗ trợ tự động sinh khóa xác thực lẫn 6, WPA ( Wifi Protected Access ) - Cải tiến quan trọng WPA sử dụng hàm thay đổi khoá TKIP WPA sử dụng thuật toán RC4 WEP, mã hoá đầy đủ 128 bit Và đặc điểm khác WPA thay đổi khoá cho gói tin - WPA cịn bao gồm kiểm tra tính tồn vẹn thơng tin (Message Integrity Check) để tăng cường integrity thông tin truyền MIC message 64 bit tính dựa thuật tóan Michael MIC gửi gói TKIP giúp người nhận kiểm tra xem thơng tin nhận có bị lỗi đường truyền bị thay đổi kẻ phá hoại hay khơng.Vì vậy, liệu khơng thể bị thay đổi đường truyền - WPA có sẵn lựa chọn: WPA Personal WPA Enterprise Cả lựa chọn sử dụng giao thức TKIP, khác biệt khoá khởi tạo mã hoá lúc đầu 7, WPA - Chuẩn sử dụng thuật toán mã hoá mạnh mẽ gọi Chuẩn mã hoá nâng cao AES (Advanced Encryption Standard) AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, 192 bit 256 bit - Cung cấp cho quản trị viên mạng lưới với mức độ bảo đảm cho phép người dùng truy cập vào mạng Dựa phê chuẩn IEEE 802.11I, WPA2 cung cấp lớp bảo mật phủ triển khai thực quốc gia Viện Tiêu chuẩn Công nghệ ( NIST ) FIPS 140-2 tuân thủ thuật toán mã hóa AESS - WPA2 kích hoạt hai phiên - WPA2 - cá nhân WPA2 - Doanh nghiệp WPA2 - bảo vệ cá nhân không phép truy cập vào mạng lưới sử dụng thiết lập mật WPA2 - Doanh nghiệp xác minh thông qua mạng lưới người sử dụng máy chủ WPA2 quay trở lại tương thích với WPA 8, Lọc ( filtering ) - Lọc chế bảo mật sử dụng với WEP Lọc hoạt động giống Access list router, cấm không mong muốn cho phép mong muốn Có kiểu lọc sử dụng: ⮚ Lọc SSID - Lọc SSID phương thức lọc nên sử dụng cho việc điều khiển truy cập - SSID client phải khớp với SSID AP để xác thực kết nối với tập dịch vụ SSID quảng bá mà khơng mã hóa Beacon nên dễ bị phát cách sử dụng phần mềm - Một số sai lầm mà người sử dụng WLAN mắc phải việc quản lý SSID gồm: ● Sử dụng giá trị SSID mặc định tạo điều kiện cho hacker dị tìm địa MAC AP ● Sử dụng SSID có liên quan đến cơng ty ● Sử dụng SSID phương thức bảo mật công ty ● Quảng bá SSID cách không cần thiết ⮚ Lọc địa MAC - Hầu hết AP có chức lọc địa MAC Người quản trị xây dựng danh sách địa MAC cho phép - Nếu client có địa MAC không nằm danh sách lọc địa MAC AP AP ngăn chặn khơng cho phép client kết nối vào mạng - Nếu cơng ty có nhiều client xây dựng máy chủ RADIUS có chức lọc địa MAC thay AP Cấu hình lọc địa MAC giải pháp bảo mật có tính mở rộng cao ⮚ Lọc giao thức - Mạng Lan khơng dây lọc gói qua mạng dựa giao thức từ lớp đến lớp Trong nhiều trường hợp người quản trị nên cài đặt lọc giao thức môi trường dùng chung IV, Phần tập Bài 1: - Cho chuỗi chuyền đây: 0110110 1011000 1100111 0011001 - Tìm chuỗi phát sử dụng phương pháp kiểm tra lỗi LRC 1 1 1 0 1 0 1 0 1 0 0 0 LRC thu => 0 => Dữ liệu sai bit - Giả sử ta nhận chuỗi thu sau: 01101100 10110001 11001111 00110011 01010011 Chuỗi thu có hay không? Tại sao? 1 1 0 1 0 1 0 1 1 0 1 0 1 1 0 1 1 0 Chuỗi thu => Bài 2: Cho liệu X: 101101, mã hóa lỗi theo dạng CRC với số chia ( đa thức sinh) có dạng 1001 - Tìm CRC 101101000 1001 1001 101000 001001 1001 0000000 ⇨ Chuỗi liệu phát: 101101000 - Giả sử máy thu nhận chuỗi liệu Y: 100101001 Hãy cho biết chuỗi liệu nhận đuoẹc chuỗi sai? Giải thích? 100101001 1001 000001001 1001 0000 1001 100001 ⇨ Chuỗi liệu nhận ⇨ Vì kết nhận 000 Bài 3: Chia subnet Đề bài: Mạng 172.16.0.0/16, mượn 10 bits - Số subnet: =1024 subnets ( Mạng thuộc lớp B) - Số host subnet: hosts/subnet - Subnet mask: 255.255.255.192 Mạng Mạng Mạng Mạng Địa mạng 172.16.0.0/26 172.16.64.0/26 172.16.128.0/26 172.16.192.0/26 Địa host đầu 172.16.0.1/26 172.16.64.1/26 172.16.128.1/26 172.16.192.1/26 … … … Địa host cuối 172.16.63.254/26 172.16.127.254/26 172.16.191.254/26 172.16.255/26 Địa Broadcast 172.16.63.255/26 172.16.127.255/26 172.16.191.255/26 172.16.255/26 Bài 4: Cho địa 192.168.1.0/24 sử dụng kĩ thuật VLMS để chia subnet theo sơ đồ sau: Giải Bước 1: Sắp xếp mạng cần chia theo thứ tự giảm dần: ⮚ LAN1: 100 hosts => 192.168.1.0/25 ⮚ LAN2: 50 hosts => 192.168.1.128/26 ⮚ LAN3: 20 hosts => 192.168.1.192/27 ⮚ R12: hosts => 192.168.1.248/30 => 192.168.1.252/30 ⮚ R23: hosts Bước 2: Xác định số lớp, số bit phần hosts: ⮚ Lớp C ⮚ Số bits phần hosts: 32 - prefix = 32 - 24 = = 28 - = 254 hosts Bước 3: Chia subnet theo subnet lớn : ⮚ LAN1: 100 hosts ⮚ Mượn bits, chia subnets: ⮚ Mạng 11: 192.168.1.0/25 cho LAN1 Địa mạng: 192.168.10/25 Địa broadcast: 192.168.1.127 Địa gateway: 192.168.1.1 Địa dành cho hosts: 192.168.1.2 192.168.1.126 ⮚ Mạng 12: 192.168.1.128/25 Bước 4: Quay lại Bước với subnet tiếp theo: ⮚ Mượn thêm bit, chia subnets ⮚ Mạng 121: 192.168.1.128/26 LAN2 Địa mạng: 192.168.1.128/26 Địa broadcast: 192.168.1.191 Địa gateway: 192.168.1.1 Địa dành cho hosts: 192.168.1.130 192.168.1.190 ⮚ Mạng 122: 192.168.1.192/26 Bước 4+ : Quay lại Bước với subnets tiếp theo: ⮚ Mượn thêm bits, chia subnets: ⮚ Mạng 1221: 192.168.1.192/27 LAN Địa mạng: 192.168.1.192/27 Địa broadcast: 192.168.1.1223 Địa gateway: 192.168.1.1 Địa dành cho hosts: 192.168.1.194 192.168.1.222 ⮚ Mạng 1222: 192.186.1.224/27 Bước 4++: Quay lại Bước với subnet tiếp theo: ⮚ Mượn thêm bits, chia subnets: ⮚ Mạng 12221: 192.168.1.224/28 - 14 hosts ⮚ Mạng 12222: 192.168.1.240/28 Mạng 122221: 192.168.1.240/29 - hosts Mạng 122222: 192.168.1.248/29 R12: 192.168.1.248/30 AB: 192.168.1.251 F- L: 192.168.1.249 - 192.168.1.250 R23: 192.168.1.252/30 Hỉnh vẽ: Bài 5: - Sử dụng thuật tốn Dijkstra tìm đường ngắn từ A đến tất nút lại Lần N KT {A} {A,C} {A,C,B} {A,C,B,D} {A,C,B,D,E} {A,C,B,D,E,F} {A,C,B,D,E,F,G} {A,C,B,D,E,F,G,H} {A,C,B,D,E,F,G,H, K} 2 2 5 5 3 4 4 4 4 4 4 A A A A A A A A A A C A A A C A A C A B B C A C A D B D D D E D D D E D D E D D D D A D - Sử dụng thuật tốn Bellman Ford tìm đường ngắn từ H đến tất nút lại Với đỉnh H: - H-> D , H-> K, H-> C - H->D->F , H->D->B , H->D->C , H->C->A - H->D->B->E , H->D-> F->G , H->D->C->A Đỉnh A B C D E F G H K Khởi Tạo (-,) (-, ) (-, ) (-,) (-,) (-,) (-, ) (-, ) (-, ) Lặp lần (-,) (-, ) (H, 4) (H , 2) (-, ) (-, ) (-, ) (-, ) (H, 3) Lặp lần (C, 5) (D , 4) (D, 3) (H , 2) (-, ) (D, 3) (-, ) (-, ) (H, 3) Lặp lần (C, 4) (D , 4) (D, 3) (H , 2) (B , 6) (D, 3) (F, 5) (-, ) (H, 3) Lặp lần (C, 4) (D , 4) (D, 3) (H , 2) (B, 6) (D, 3) (F, 5) (-, ) (H, 3) Lặp lần (C, 4) (D , 4) (D, 3) (H , 2) (B, 6) (D, 3) (F, 5) (-, ) (H, 3) - Xóa bỏ trọng số cạnh, tạo bảng vecto nối đồ thị Thông tin Khoảng cách đến nút A B C A 1 B 1 C 1 1 lưu tai nút D E 1 D E F G 1 H K 1 1 1 F G 1 H 1 1 1 K 1 1 C A H D B E F G K

Ngày đăng: 20/09/2023, 15:38

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w