Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 66 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
66
Dung lượng
1,74 MB
Nội dung
An tồn bảo mật thơng tin mạng lƣới khơng dây – Đỗ Thị Thanh Hải LỜI MỞ ĐẦU 1.Đặt vấn đề Trong năm gần đây, giới công nghệ thông tin chứng kiến bùng nổ công nghiệp mạng không dây nhƣ WPAN, WLAN, WMAN, WWAN Cùng với phát triển nhanh chóng nhiều mạng không dây khác nhau, công nghệ mạng không dây Mesh (WMNs) nên nhƣ cơng nghệ tiên tiến đƣợc xem nhƣ công nghệ tƣơng lai WMNs cho phép khu vực rộng lớn đƣợc che phủ truy cập khơng dây với chi phí thấp WMNs nhanh chóng đƣợc thƣơng mại hóa nhiều kịch ứng dụng khác Các nhà khai thác dễ dàng cung cấp dịch vụ không dây băng rộng với chi phí đầu tƣ khai thác thấp, đồng thời phủ sóng diên rộng nơi công cộng, mạng cộng đồng, xây dựng tự động hóa, mạng tốc độ cao thị, mạng doanh nghiệp Tuy nhiên, tiện lợi mạng không dây đặt thử thách lớn bảo mật đƣờng truyền cho nhà quản trị mạng Ƣu tiện lợi kết nối không dây bị giảm sút khó khăn nảy sinh bảo mật mạng Một số lỗ hổng tồn giao thức cho WMNs bị khai thác kẻ công để làm suy giảm hiệu suất hệ thống mạng An ninh mạng nói chung WMNs nói riêng vấn đề quan trọng mà giải đƣợc Hiểu biết WMNs quan tâm đắn đến vấn đề thách thức chúng điều cần thiết Đề tài tập trung vào vấn đề an ninh WMNs, nguy biện pháp truy cập công vào WMNs, xem xét chế, giải pháp để ngăn chặn chống lại công vào WMNs Mục tiêu nghiên cứu Luận văn nghiên cứu hệ thống lý thuyết liên quan đến việc bảo mật thông tin mạng lƣới không dây, xây dựng giải pháp an ninh thử nghiệm cho mạng lƣới không dây chế độ ah hoc Số hóa Trung tâm Học liệu – Đại học Thái Nguyên Tai ngay!!! Ban co the xoa dong chu nay!!! http://www.lrc-tnu.edu.vn An toàn bảo mật thông tin mạng lƣới không dây – Đỗ Thị Thanh Hải Phạm vi nghiên cứu - Tìm hiểu mơ hình kiến trúc, giao thức mạng lƣới không dây - Nghiên cứu số hình thức cơng mạng lƣới khơng dây - Nghiên cứu phƣơng pháp bảo mật cách bảo mật hệ thống mạng lƣới không dây Phƣơng pháp nghiên cứu Trong luận văn sử dụng phƣơng pháp nghiên cứu tài liệu liên quan đến việc bảo mật kế thừa kết nghiên cứu số luận văn, đề tài nghiên cứu khoa học Trên sở nghiên cứu lý thuyết bảo mật thông tin mạng lƣới không dây, tiến hành xây dựng mơ hình bảo mật thử nghiệm mạng ad hoc Ý nghĩa khoa học ý nghĩa thực tiễn đề tài Bảo mật thông tin mạng phƣơng pháp đƣợc nghiên cứu ứng dụng mạnh mẽ nhiều nƣớc giới đặc biệt mạng không dây Số hóa Trung tâm Học liệu – Đại học Thái Ngun http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới không dây – Đỗ Thị Thanh Hải CHƢƠNG KIẾN TRÚC CỦA MẠNG LƢỚI KHÔNG DÂY Giới thiệu mạng lƣới khơng dây Khái niệm mạng hình lƣới (Mesh Network) nói chung đƣợc sử dụng số lĩnh vực ngành công nghệ thông tin Kỹ thuật mạng hình lƣới cách thức truyền tải liệu, âm câu lệnh nút xử lý, cho phép truyền thông liên tục tự xác định lại cấu hình xung quanh đƣờng bị che chắn cách “nhảy” từ nút sang nút khác thiết lập đƣợc kết nối Mạng lƣới có khả tự hàn gắn tạo mạng có độ tin cậy cao, hoạt động có nút bị lỗi chất lƣợng kết nối mạng Trong lĩnh vực mạng không dây, mạng lƣới đƣợc áp dụng để nới rộng phạm vi phủ sóng mạng không dây truyền thống Các nút mạng truyền thông trực tiếp với nút khác tham gia mạng lƣới Nếu nút kết nối với nút lận cận khác có kết nối với toàn mạng Mạng WMN chuyển tiếp liệu gói thơng qua chặng vơ tuyến Mỗi nút lƣới hoạt động giống nhƣ điểm chuyển tiếp hay router với nút lƣới khác mạng Mạng WMN đƣợc dùng mơ hình nhƣ mạng truy nhập công cộng mạng không dây thành phố nơi mà điểm truy cập nút lƣới mạng Mạng (Internet) Gateway Mesh Router AP Station ` Hình 1.1: Các thành phần mạng WMN Sự tin cậy hiệu mạng tiêu chí mạng WMN, đặc biệt mơi trƣờng kênh vơ tuyến Tính di động nút mạng thƣờng khơng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An toàn bảo mật thông tin mạng lƣới không dây – Đỗ Thị Thanh Hải đƣợc xem xét đến Những nút cố định nằm đế đèn, hay gắn liền nhà cửa, v.v… , nơi đƣợc cung cấp lƣợng đầy đủ Nhƣ vậy, giao thức định tuyến đƣợc tối ƣu theo tin cậy hiệu mạng Các giao thức định tuyến đƣợc mở rộng để sử dụng tham số định tuyến đặc biệt Và chí chúng nằm lớp để truy cập tốt thông tin lớp MAC lớp vật lý Các nút mắt lƣới có nhiều giao diện vô tuyến để gia tăng khả mạng mắt lƣới không dây Các giao diện vô tuyến giảm thiểu suy giảm thông lƣợng gói nhận chuyển tiếp nút mắt lƣới với giao diện vô tuyến Điều sử dụng nhiều kênh Dung lƣợng tuỳ biến mạng WMN giới hạn nhƣng cài đặt đơn giản tính mềm dẻo ƣu điểm mạng Gần thiết bị khách hàng ngày đóng vai trị nhƣ nút mắt lƣới Điều mở rộng mạng WMN vùng mạng tuỳ biến không dây cổ điển Điều khơng thành vấn đề, MANET WMN có chung khái niệm Chúng sử dụng giá trị khác tham số mạng: nút với tính di động từ “tĩnh” sang “chuyển động với tốc độ v” sử dụng truyền thông vô tuyến qua hay nhiều giao diện chặng vô tuyến, nơi mà tuyến đƣợc xác định rõ với giao thức định tuyến tự tổ chức làm việc với tham số định tuyến khác Có kiểu mạng WMN, : WMN hạ tầng, WMNs khách hàng, WMN lai ghép WMN hạ tầng bao gồm thiết bị chuyên dụng hạ tầng mạng, nhƣ điểm truy nhập hay chuyển tiếp Các thiết bị khách hàng không tham gia vào việc định tuyến nút lƣới Thay vào , chúng kết nối vào điểm truy nhập công nghệ truy nhập vô tuyến truyền thống WMN khách hàng bao gồm thiết bị khách hàng nhƣ máy tính xách tay Các thiết bị khách hàng tham gia vào việc định tuyến nút lƣới Hơn chúng thực chức nhƣ thiết bị hạ tầng WMN lai ghép bao gồm hai loại thiết bị Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới không dây – Đỗ Thị Thanh Hải Trong kỹ thuật mạng hình lƣới, có khái niệm: Nút (Node): Gồm có router và/hoặc client (máy tính ) Nút đƣờng lên: Nút kết nối tới mạng Internet thông qua đƣờng truyền hữu tuyến để cung cấp kết nối Internet cho toàn mạng Nút đƣờng xuống: Nút kết nối tới mạng có khả phục vụ kết nối hữu tuyến vô tuyến cho mạng Nút lặp: Nút kết nối vào mạng khơng dùng để phục vụ client đóng vai trị nút trung gian lặp tín hiệu 1.1 Các cấu hình mạng WMN Điểm – Điểm (Point-to-Point): Là kiểu kết nối đơn giản nhất, hai nút truyền thông qua hai anten thu phát công suất cao hƣớng trực tiếp với Hình 1.2: Cấu hì nh mạng WMN kiểu điểm - điểm Điểm – Đa điểm (Point-to-Multipoints): Kết nối đƣợc chia sẻ nút đƣờng lên dùng anten đa hƣớng với nút đƣờng xuống (hoặc nút lặp) với anten thu cơng suất cao Cấu hình mạng dễ triển khai cấu hình Điểm– Điểm thêm thuê bao cần lắp đặt thêm thiết bị khu vực thuê bao Số hóa Trung tâm Học liệu – Đại học Thái Ngun http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới không dây – Đỗ Thị Thanh Hải lắp nút đƣờng lên Tuy vậy, trạm thu phải nằm phạm vi phủ sóng có đƣờng nhìn thẳng với trạm phát sóng gốc Các vật cản nhƣ cối, nhà cửa, đồi núi, góp phần làm cấu hình mạng lƣới Điểm – Đa điểm hoạt động khơng hiệu Hình 1.3 : Cấu hì nh mạng WMN kiểu điểm – đa điểm Đa điểm – Đa điểm: Mỗi nút có vai trị không điểm truy nhập cho trạm mà cịn làm nhiệm vụ chuyển tiếp liệu Cấu hình có độ tin cậy mạng cao nút có liên thơng với nhau, nút cần có kết nối với nút mà khơng cần phải có kết nối trực tiếp với nút đƣờng lên nhƣ cấu hình Điểm – Đa điểm, kết nối với tồn mạng Tuy nhiên, đổi lại giao thức tìm đƣờng mạng có độ phức tạp cao Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An toàn bảo mật thông tin mạng lƣới không dây – Đỗ Thị Thanh Hải Hình 1.4: Cấu hì nh mạng WMN kiểu đa điểm – đa điểm 1.2 Định tuyến mạng WMN Vì WMN có chung đặc điểm với mạng tuỳ biến không dây, giao thức định tuyến đƣợc phát triển cho MANET đƣợc ứng dụng vào WMN Chẳng hạn, mạng mắt lƣới đƣợc Microsoft xây dựng dựa vào định tuyến nguồn động (DSR), nhiều công ty khác, sử dụng định tuyến vector cự ly theo yêu cầu tuỳ biến (AODV) Những khái niệm lõi giao thức định tuyến hữu đƣợc mở rộng để đạt đƣợc yêu cầu đặc biệt mạng mắt lƣới không dây Dù có nhiều giao thức định tuyến cho mạng tuỳ biến không dây, giao thức định tuyến cho WMN đƣợc tích cực nghiên cứu vài lý sau: Trong đa số WMN, nhiều nút chỗ hay di chuyển không phụ thuộc vào nguồn pin Do đó, thuật tốn định tuyến khơng cần ý vào việc đối phó với di động hay tối thiểu dùng nguồn ni Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An toàn bảo mật thông tin mạng lƣới không dây – Đỗ Thị Thanh Hải Khoảng cách nút có lẽ đƣợc ngắn lại WMN, gia tăng chất lƣợng liên kết tốc độ truyền Tuy nhiên, khoảng cách ngắn tăng ảnh hƣởng chặng, giảm bớt dải thơng sẵn có mối liên kết Bởi vậy, tham số định tuyến cần đƣợc tìm hiểu dùng để cải thiện hiệu giao thức định tuyến mạng WMN với nhiều chặng nhiều đƣờng truyền vơ tuyến Đối với mạng WMN có nhiều kênh nhiều đƣờng truyền vô tuyến, giao thức định tuyến cần thiết để lựa chọn đƣờng nút khác nhau, mà cần thiết để lựa chọn kênh thích hợp hay đƣờng truyền vơ tuyến cho nút lƣới Bởi vậy, tham số định tuyến cần đƣợc tìm hiểu đƣợc dùng để tận dụng nhiều kênh, nhiều đƣờng vô tuyến mạng mắt lƣới không dây Trong mạng WMN, thiết kế xuyên lớp cần thiết thay đổi đƣờng định tuyến liên quan đến chuyển mạch kênh vô tuyến nút lƣới nhiều kênh nhiều đƣờng truyền vô tuyến Dựa hiệu giao thức định tuyến dùng cho mạng tuỳ biến yêu cầu đặc biệt mạng WMN, giao thức định tuyến tối ƣu cho WMN cần đạt đƣợc yêu cầu sau: Dung sai lỗi: Một vấn đề quan trọng mạng khả sống mạng Khả sống mạng khả hoạt động mạng chí có nút liên kết bị lỗi WMN bảo đảm chắn chống lại lỗi liên kết tự nhiên gây Tƣơng ứng giao thức định tuyến nên hỗ trợ chọn đƣờng lại tuỳ vào liên kết lỗi Cân tải: Các định tuyến vô tuyến cho mạng mắt lƣới tốt cho cân tải chúng lựa chọn đƣờng hiệu cho liệu Giảm thiểu tiêu đề định tuyến: Sự bảo vệ băng thông bắt buộc cho thành cơng mạng vơ tuyến Giảm thiểu tiêu đề định tuyến điều quan trọng, đặc biệt nguyên nhân tái quảng bá Số hóa Trung tâm Học liệu – Đại học Thái Ngun http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới không dây – Đỗ Thị Thanh Hải Khả mở rộng: Mạng mắt lƣới có khả mở rộng kiểm sốt hàng trăm hàng nghìn nút Bởi nhà điều hành mạng không phụ thuộc vào điểm điều khiển trung tâm, cộng thêm điểm thu thập liệu gateway tiện lợi Điều quan trọng cho mạng WMN với hàng nghìn nút hỗ trợ khả mở rộng giao thức định tuyến Hỗ trợ QoS: Để giới hạn dung lƣợng kênh, ảnh hƣởng xuyên nhiễu, số lƣợng lớn ngƣời dùng trội ứng dụng đa phƣơng tiện thời gian thực, việc hỗ trợ chất lƣợng dịch vụ (QoS) trở nên yêu cầu định mạng nhƣ 1.2.1 Giao thức DSR Giao thức đƣợc cấu thành từ hai chế: Tìm đƣờng truyền Duy trì đƣờng truyền Các chế phối hợp với cho phép nút di động tìm trì đƣờng tới đích mạng Việc sử dụng kiểu định tuyến nguồn cho phép tránh khỏi vấn đề định tuyến vòng, nút mạng trung gian không cần phải cập nhật liên tục thông tin định tuyến cho phép nút chuyển tiếp đọc lƣu thông tin định tuyến cần thiết từ gói liệu để sau sử dụng Giao thức DSR cho phép nút mạng tự khám phá đƣờng nguồn qua nút mạng trung gian tới nút đích mạng ad hoc Mỗi gói liệu đƣợc gửi sau chứa danh sách đầy đủ nút trung gian mà gói phải qua để đến đƣợc đích mà khơng có vấn đề di chuyển theo vòng diễn đồng thời tránh khỏi việc cập nhật liên tục thông tin định tuyến nút trung gian chuyển tiếp gói tin liệu Bằng cách đƣa đƣờng nguồn vào phần header gói liệu, nút chuyển tiếp gói tin dạng dễ dàng lƣa trữ lại để sử dụng Tìm đƣờng RD (Route Discovery): Là chế tìm đƣờng nút gốc S muốn gửi gói liệu tới nút đích D nhƣng chƣa biết đƣờng Khi nút S cần gửi gói tin tới nút đích D, S ghi thứ tự bƣớc đƣờng tới D vào phần thông tin header gói tin Thơng thƣờng, S Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới khơng dây – Đỗ Thị Thanh Hải 10 lấy thông tin đƣờng thích hợp tới D cách tìm nhớ đƣờng đƣợc lƣu lại từ lần trƣớc nút Nếu khơng tìm thấy, S khởi tạo chế RD để tìm đƣờng Trong trƣờng hợp này, S đƣợc gọi gốc D đích chế RD Duy trì đƣờng RM (Route Maintenance): Là chế nút S có khả tìm đƣờng đƣờng truyền sử dụng bị gián đoạn cấu hình mạng thay đổi kết nối nút đƣờng truyền khơng hoạt động Khi phát đƣờng truyền cũ bị đứt, S tìm đƣờng truyền tới D khác mà biết thực chế RD để tìm đƣờng Khi gửi chuyển tiếp gói tin đƣờng truyền xác định đƣợc, nút có trách nhiệm kiểm chứng việc nhận liệu nút đƣờng Gói liệu đƣợc tiếp tục truyền (với số lần đƣợc xác định trƣớc) có xác nhận nhận đƣợc liệu Các chế RD RM hoạt động hoàn toàn dựa theo yêu cầu nút Không giống với giao thức khác, DSR khơng địi hỏi phải truyền định kỳ gói liệu tìm đƣờng quảng bá, tín hiệu kết nối gói liệu phát nút lân cận Với lý này, DSR làm giảm nghẽn mạch mạng truyền định kỳ gói liệu tất nút có vị trí tƣơng đối ổn định so với nút khác tất đƣờng cần thiết cho việc truyền thông đƣợc phát Các tham số ảnh hƣởng đến hiệu suất mạng: Một vấn đề đƣợc quan tâm hàng đầu thiết kế, triển khai đƣa mạng vào hoạt động khảo sát đƣợc tham số ảnh hƣởng đến hiệu suất mạng Khả mở rộng: Kích thƣớc mạng lớn làm cho giao thức định tuyến hoạt động không hiệu quả, khơng tìm đƣợc đƣờng tin cậy làm giảm hiệu suất mạng Mạng lƣới có kiến trúc ah-hoc nên khó cài đặt chế đa truy nhập tập trung nhƣ: Đa truy nhập phân chia theo thời gian (TDMA) đa truy nhập phân chia theo mã (CDMA), độ phức tạp yêu cầu đồng thời gian quản lý mã, chế truy nhập thƣờng đƣợc dùng đa truy nhập phân tán Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An toàn bảo mật thông tin mạng lƣới không dây – Đỗ Thị Thanh Hải 52 Sau thiết lập thông số kỹ thuật tại Switch CE 500 để kết nối đến router R 1, ta tiến hành thiết lập thông số cho 03 modem Linksys Wireless-N ADSL2+Gateway WAG160N Hình 3.7: Cấu hì nh modem WAG 160N thành router 3.2 Bài toán xây dựng mô hình thử nghiệm có áp dụng bảo mật Đối với toán , router WAG 160N đều tí ch hợp sẵn các phƣơng thƣ́c bảo mật hãng Cisco, điều này đảm bảo cho việc bảo mật hệ thống WMN Ta lần lƣợt tiến hành thiết lập các thông số cho router nhƣ sau: Số hóa Trung tâm Học liệu – Đại học Thái Ngun http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới không dây – Đỗ Thị Thanh Hải 53 3.2.1 Thiết lập Firewall và VPN passthrough Hình 3.8 Thiết lập Firewall cho hệ thớng Hình 3.9 Thiết lập VPN passthrough Số hóa Trung tâm Học liệu – Đại học Thái Ngun http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới không dây – Đỗ Thị Thanh Hải 54 3.2.2 Giấu SSID của router Hình 3.10 Giấu SSID 3.2.3 Thiết lập Key truy nhập cho router Hình 3.11 Thiết lập Key truy nhập router Trong bài toán này , ta chọn kiểu bảo mật là WPA -Personal, key mã hóa theo dạng TKIP AES Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới khơng dây – Đỗ Thị Thanh Hải 55 3.2.4 Quản lý đối tƣợng truy nhập v hệ thống qua địa chỉ MAC Trong bài toán này, vấn đề đặt là chỉ cho phép nhƣ̃ng đối tƣợng xác đị nh truy nhập vào hệ thớng Hình 3.12 Thiết lập đị a chỉ MAC của đối tượng được phép truy nhập Chỉ đối tƣợng có đị a chỉ MAC đƣợc gán vào hệ thống mới đƣợc phép truy nhập vào hệ thớng WMN , cịn đối tƣợng khác khơng thể kết nối đƣợc vào hệ thống 3.3 Kết luận Trong chƣơng này , việc xây dƣ̣ng mô hì nh thƣ̉ nghiệm đƣợc tiến hà nh cụ thể hệ thống mạng WMN kết hợp với hệ thống mạng sẵn có của Khoa Ngoại ngƣ̃ – Đại học Thái Nguyên Q trình thử nghiệm đƣợc chia thành 02 tốn tốn khơng áp dụng bảo mật toán áp dụng bảo mật vào hệ thống Đối với tốn thứ , đối tƣợng truy nhập vào hệ thống WMN mà không gặp bất kỳ mợt trở ngại nào Cịn tốn thứ có nhƣ̃ng đới tƣợng xác đị nh mới có thể tru y nhập đƣợc vào hệ thống WMN của Khoa Ngoại ngữ – Đại học Thái Nguyên Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An toàn bảo mật thông tin mạng lƣới không dây – Đỗ Thị Thanh Hải 56 KẾT LUẬN Vấn đề bảo mật cho hệ thống mạng không dây vấn đề khó khăn đƣợc đặt vị trí quan trọng hầu hết thiết kế mạng, nhiên, để có đƣợc giải pháp hồn hảo cho tình điều gần nhƣ khó Chính vậy, thiết kế hệ thống mạng, phải dựa sở, yêu cầu thực tế hệ thống, cân nhắc lợi hại phƣơng pháp để đƣa sách bảo mật hợp lý Với mong muốn giúp nhà quản trị mạng xây dựng giải pháp bảo mật tốt cho hệ thống mạng không dây, phát triển mạnh mẽ công nghệ không dây tƣơng lai, đề tài "Một số vấn đề an ninh mạng lƣới không dây" em nghiên cứu đƣợc số vấn đề sau: Tìm hiểu tổng quan hệ thống mạng lƣới không dây, kiến trúc, giao thức, nhƣ số vấn đề kỹ thuật hệ thống mạng khơng dây Tìm hiểu số phƣơng pháp công hệ thống mạng lƣới khơng dây Từ xây dựng giải pháp phù hợp cho hệ thống Nghiên cứu số phƣơng pháp đƣợc sử dụng để cải thiện tính bảo mật hệ thống mạng lƣới không dây, đề xuất sử dụng phƣơng pháp việc thiết kế hệ thống mạng Trong khuôn khổ luận văn, việc nghiên cứu dừng lại mức phân tích đƣa số nhận xét biện pháp cơng cụ bảo mật có nhƣ phƣơng thức bảo mật đƣợc phát triển sử dụng với hệ thống mạng không dây Nhằm cung cấp thêm cho ngƣời quản trị mạng có nhìn tổng quan cơng nghệ hành khả bảo mật thật hệ thống mạng khơng dây, từ định lựa chọn phƣơng án bảo mật cho hệ thống Tuy nhiên thời gian có hạn cịn nhiều hạn chế kiến thức nên trình thực luận văn, khơng tránh khỏi có sai sót Em mong nhận đƣợc ý kiến đóng góp thầy cô bạn để luận văn hồn thiện hơn, có ích thực tế Số hóa Trung tâm Học liệu – Đại học Thái Ngun http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới không dây – Đỗ Thị Thanh Hải 57 TÀI LIỆU THAM KHẢO [1] RF C3561 Perkins, et al , “ Ad hoc On- De mand Di stance Vector (AODV) Routing” (July 2003) [2] “Multi- Layered Security Framework for Metro -Scale Wi -Fi Networks”, Tropos Networks White Paper (February 2005 ) [3] “ Deployment Guide: Cisco Mesh Networking Solution”, Cisco (R ele ase 2) [4] Klein -Berndt, L “ A Quick Guide to AODV Routing”, Wireless Communic ations Technologies Group, NIST (http://w3 antd.nist.gov/ wctg/aodv_ kernel/) [5] Jones, D , “Metro- Mesh: A Hacker 's Paradise? ”, Unstrung: Dark Reading ( May 24 , 2006) [6] Cheng , Z., et al., “ Security Analysis of LWAP P” ( April , 2004 ) [7] Milanovic , N., et al , “ Routing and Security in Mobile Ad Hoc Networks ”, I EEE Computer Society (February 2004) [8] Yih- Chun Hu, et al., “ A Survey of Secure Wireless Ad Hoc Routing”, I EEE Security and Privacy (May/June 2004 ) [9] Xia , H , et Al , “ Detecting and Blocking Unauthorized Access in Wi- Fi Networks” [10] Cheng, Z., et al., “Security Analysis of LWAPP” (April 7, 2004) [11] Milanovic, N., et al., “Routing and Security in Mobile Ad Hoc Networks”, IEEE Computer Society (February 2004) [12] Yih-Chun Hu, et al., “A Survey of Secure Wireless Ad Hoc Routing”, IEEE Security and Privacy (May/June 2004) Số hóa Trung tâm Học liệu – Đại học Thái Ngun http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới không dây – Đỗ Thị Thanh Hải i LỜI CẢM ƠN Trƣớc tiên xin đƣợc trân trọng gửi lời cảm ơn chân thành tới thầy cô giảng dạy môn chuyên đề sau đại học, nhƣ trình thực tập viết, hoàn thiện luận văn Đặc biệt, xin cảm ơn PGS.TS Nguyễn Văn Tam giúp đỡ, bảo tơi q trình thực luận văn Nhân dịp này, xin chân thành cảm ơn lãnh đạo đồng nghiệp Trƣờng THPT Hùng An – Huyên Bắc Quang – Tỉnh Hà Giang giúp đỡ tạo điều kiện cho tơi q trình học tập, cơng tác để tơi hồn thành tốt luận văn tốt nghiệp, hoàn thành đề tài nghiên cứu khoa học Thời gian thực luận văn, dù thân cố gắng nhiều học tập nghiên cứu Tuy nhiên luận văn không tránh khỏi thiếu sót, tơi mong nhận đƣợc bảo góp ý q thầy bạn bè đồng nghiệp để luận văn đƣợc hoàn thiện Tơi xin chân thành cảm ơn./ Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới khơng dây – Đỗ Thị Thanh Hải ii LỜI CAM ĐOAN Tôi xin cam đoan luận văn kết tìm hiểu, nghiên cứu tơi Các số liệu, kết luận văn trung thực Tài liệu sử dụng, trích dẫn luận văn trung thực chƣa cơng bố cơng trình nghiên cứu khác Học viên Đỗ Thị Thanh Hải Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An toàn bảo mật thông tin mạng lƣới không dây – Đỗ Thị Thanh Hải iii MỤC LỤC LỜI MỞ ĐẦU 1.Đặt vấn đề Mục tiêu nghiên cứu Phạm vi nghiên cứu Phƣơng pháp nghiên cứu Ý nghĩa khoa học ý nghĩa thực tiễn đề tài CHƢƠNG 1: KIẾN TRÚC CỦA MẠNG LƢỚI KHÔNG DÂY Giới thiệu mạng lƣới không dây 1.1 Các cấu hình mạng WMN 1.2 Định tuyến mạng WMN 1.2.1 Giao thức DSR 1.2.2 Giao thức AODV 11 1.2.2.1 Khám phá đƣờng 12 1.1.2.2 Duy trì đƣờng 13 1.3 Vấn đề an ninh mạng lƣới không dây 16 CHƢƠNG BẢO MẬT TRONG MẠNG KHÔNG DÂY MESH 19 2.1 Các dạng công mạng không dây mesh 20 2.1.1 Tấn công tầng vật lý 20 2.1.2 Tấn công tầng MAC 21 2.1.2.1 Nghe thụ động 21 2.1.2.2 Tấn công gây nhiễu tầng liên kết 21 2.1.2.3 Tấn công giả mạo tầng MAC 22 2.1.2.4 Tấn công truyền lại 23 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới khơng dây – Đỗ Thị Thanh Hải iv 2.1.2.5 Tấn công dự đốn trƣớc cơng kết hợp phần (Pre-computation and Partial Matching Attacks) 23 2.1.3 Tấn công tầng mạng 24 2.1.3.1 Tấn công mặt điều khiển 25 2.1.3.2 Tấn công mặt liệu (Data Plane Attacks) 28 2.2 Bảo mật mạng không dây mesh 28 2.2.1 Đặc điểm giải pháp bảo mật mạng không dây mesh 28 2.2.2 Các chế bảo mật cho mạng không dây mesh 29 2.2.2.1 chế bảo mật tằng MAC (MAC Layer Security Mechanisms) 31 a/ Cơ chế phòng chống xâm nhập (Intrusion Prevention Mechanisms) 31 b/ chế phát xâm nhập (Intrusion Detection Mechanisms) 34 2.2.2.2 Các chế bảo mật tầng mạng (Network Layer Security Mechanisms) 35 a/ Các chế ngăn chặn xâm nhập (Intrusion Prevention Mechanisms) 35 b/ Các chế phát xâm nhập (Intrusion Detection Mechanisms) 36 2.3 Chuẩn bảo mật IEEE 802.11i 37 2.3.1 Giới thiệu chuẩn bảo mật IEEE 802.11i 37 2.3.2 Lỗ hổng bảo mật IEEE 802.11i công bảo mật 41 2.3.2.1 Lỗ hổng IEEE 802.1X 42 2.3.2.2 Lỗ hổng bắt tay bốn bƣớc 44 2.3.2.3 Lỗ hổng mã hóa CCPM 46 CHƢƠNG XÂY DỰNG GIẢI PHÁP AN NINH THỬ NGHIỆM CHO MẠNG LƢỚI KHÔNG DÂY 47 3.1 Xây dƣ̣ng bài toán mô hì nh thƣ̉ nghiệm không áp dụng bảo mật 47 3.1.1 Mô hì nh mạng lƣới không dây tại Khoa Ngoại ngƣ̃ – Đại học Thái Nguyên 47 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An toàn bảo mật thông tin mạng lƣới không dây – Đỗ Thị Thanh Hải v 3.1.2 Bài toán kết hợp hệ thống mạng WMN với hệ thống mạng sẵn có Khoa Ngoại ngữ 48 3.2 Bài tốn xây dựng mơ hình thử nghiệm có áp dụng bảo mật 52 3.2.1 Thiết lập Firewall và VPN passthrough 53 3.2.2 Giấu SSID của router 54 3.2.3 Thiết lập Key truy nhập cho router 54 3.2.4 Quản lý đối tƣợng truy nhập vào hệ thống qua địa MAC 55 3.3 Kết luận 55 KẾT LUẬN 56 TÀI LIỆU THAM KHẢO 57 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An toàn bảo mật thông tin mạng lƣới không dây – Đỗ Thị Thanh Hải vi DANH MỤC CÁC CHỮ VIẾT TẮT AAA Server Ủy quyền tính tốn AAD Additional Authentication Data AES Advanced Encryption Standard Anonce Authenticator nonce AODV Ad - Hoc On- Dem and Dist ance Vector AP Access Point ARAN Authenticated Routing for ad hoc network CCMP Counter mode with CBC-MAC protocol CDMA Đa truy nhập phân chia theo mã CMM Cipher Block Chaning Massage Authentication code CRT Counter Mode CSMA/CA Đa truy nhập phân tán DSR Định tuyến nguồn động EAP Giao thức xác thực mở rộng GTK Group temporal key ICV Intergrity Cheek value IV Intalization vector LAN Loc al Are a Net work MAC Mediu m Acc ess Control MIC Message intergrity MPDU MAC protocol data unit PMK Pair wise Master Key Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới khơng dây – Đỗ Thị Thanh Hải vii PN Packet Number PTK Pair wise transient Key PRNG Psecido random nember genertor QoS Chất lƣợng dịch vụ RD Router Discovery RM Router maintenance RREQ Router Request RREP Router Reply RRER Router Error SAK Serect Authentication Key SAODV Secare AODV SNonce Supplicant nonce SRP Secure routing Protocol SSK Serect Key TDMA Đa truy nhập phân chia theo thời gian TK Temporal Key TKIP Temporal key Intergrity protocol WEP Wired Equivalent privacy WMN Wireless Mesh network WPA Wifi Protected Access Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An tồn bảo mật thơng tin mạng lƣới khơng dây – Đỗ Thị Thanh Hải viii DANH MỤC CÁC HÌNH Hình 1.1: Các thành phần mạng WMN Hình 1.2: Cấu hì nh mạng WMN kiểu điểm - điểm Hình 1.3 : Cấu hì nh mạng WMN kiểu điểm – đa điểm Hình 1.4: Cấu hì nh mạng WMN kiểu đa điểm – đa điểm Hình 1.5: Quá trình gửi yêu cầu khám phá đƣờng 12 Hình 1.6: Tóm tắt xử lý nhận nút 14 Hình 1.7: Ví dụ lƣới giao thức định tuyến 15 Hình 2.1: Tấn công giả mạo tầng MAC công truyền lại 23 Hình 2.2: Tấn công Wormhole đƣợc thực nút M1 M2 sử dụng đƣờng hầm 26 Hình 2.3: Tấn cơng Blackhole 26 Hình 2.4: Mơ hình bảo mật cho mạng khơng dây mesh 30 Hình 2.5: Sự hợp tác sinh khoá riêng nút lân cận mạng WMN 33 Hình 2.6: Quá trình bắt tay bốn bƣớc 40 Hình 2.7: Q trình mã hố CCMP 41 Hình 2.8: Tấn công chiếm quyền đăng nhập 42 Hình 2.9: Tấn cơng khai thác lỗ hổng 802.1X 43 Hình 2.10: Authenticator gửi tin nhắn tới supplicant 45 Hình 3.1: Sơ đồ kiến trúc hạ tầng mạng Khoa Ngoại ngƣ̃ 47 Hình 3.2: Vị trí đặt 03 router 48 Hình 3.3: Giao diện quản lý Switch Cisco Catalyst Express 500 50 Hình 3.4: Quản lý node mạng 50 Hình 3.5: Thiết lập node chờ 12 để kết nối đến router R1 51 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn An toàn bảo mật thông tin mạng lƣới không dây – Đỗ Thị Thanh Hải ix Hình 3.6: Kích hoạt node chờ 12 51 Hình 3.7: Cấu hì nh modem WAG 160N thành router 52 Hình 3.8 Thiết lập Firewall cho hệ thống 53 Hình 3.9 Thiết lập VPN passthrough 53 Hình 3.10 Giấu SSID 54 Hình 3.11 Thiết lập Key truy nhập router 54 Hình 3.12 Thiết lập đị a chỉ MAC của đối tƣợng đƣợc phép truy nhập 55 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn