TỔNG QUAN VỀ MẠNG KHÔNG DÂY
Giới thiệu về mạng không dây
Hình 1.1: Hình ảnh minh họa về mạng không dây
Mạng không dây, hay còn gọi là Wi-Fi, là hệ thống kết nối các thiết bị như máy tính và PDA mà không cần sử dụng dây dẫn Thay vào đó, mạng này sử dụng sóng vô tuyến để truyền dẫn thông tin trong không gian thông qua các trạm thu/phát sóng.
1.1.2 Các ứng dụng của mạng Wireless
Việc thiết lập mạng Wireless là cần thiết ở những địa điểm tạm thời hoặc những nơi mà việc thi công mạng cáp gây khó khăn và ảnh hưởng đến thẩm mỹ, chẳng hạn như các toà nhà cao tầng, khách sạn, bệnh viện và nhà hàng Tại những nơi này, khách hàng thường có nhu cầu sử dụng mạng không dây với cường độ cao và yêu cầu tính linh hoạt cao.
Mạng Wireless là giải pháp thay thế cho mạng LAN có dây, cung cấp khả năng kết nối linh hoạt với khoảng cách tối thiểu giữa mạng xương sống và mạng trong nhà, phục vụ cho người dùng di động tại các cơ quan.
Nguyên lý hoạt động
Mạng WLAN sử dụng sóng điện từ, bao gồm sóng vô tuyến và tia hồng ngoại, để truyền thông tin mà không cần kết nối vật lý Sóng vô tuyến thường được sử dụng làm sóng mang, giúp phân phát năng lượng đến máy thu ở xa Dữ liệu được điều chế lên sóng mang để đảm bảo tín hiệu được nhận chính xác tại máy thu Khi dữ liệu được chồng lên sóng mang, tín hiệu vô tuyến sẽ chiếm nhiều tần số khác nhau, do tần số hoặc tốc độ truyền bit của thông tin biến điệu được thêm vào sóng mang.
Nhiều sóng mang vô tuyến có thể tồn tại đồng thời trong cùng một không gian mà không gây nhiễu nếu chúng được truyền trên các tần số khác nhau Để nhận dữ liệu, máy thu vô tuyến sẽ chọn một tần số cụ thể và loại bỏ tất cả các tín hiệu trên các tần số khác.
Trong cấu hình mạng WLAN điển hình, điểm truy cập (AP) kết nối mạng không dây với mạng dây thông qua cáp Ethernet Điểm truy cập này có chức năng nhận, lưu trữ và truyền dữ liệu mạng VLAN cũng như hạ tầng mạng nối dây Mỗi điểm truy cập hỗ trợ một nhóm người dùng nhỏ trong phạm vi từ vài mét đến vài chục mét Thông thường, điểm truy cập hoặc anten được gắn trên cao, nhưng có thể lắp đặt ở bất kỳ vị trí nào miễn là đảm bảo tín hiệu vô tuyến được thu nhận tốt.
Người dùng cuối truy cập mạng WLAN thông qua các card giao tiếp mạng WLAN, được tích hợp trong máy tính notebook, sử dụng card ISA hoặc PCI trong máy tính để bàn, hoặc trong các thiết bị cầm tay Các card này tạo ra giao diện giữa hệ điều hành mạng (NOS) và sóng vô tuyến thông qua anten, đảm bảo rằng kết nối không dây hoạt động một cách mượt mà và không bị cản trở bởi NOS.
Ưu và nhược điểm của mạng không dây
Cung cấp khả năng di động, tính tiện lợi cho người dùng khi truy cập và sử dụng các dịch vụ, tài nguyên.
Cung cấp tính uyển chuyển trong việc triển khai hệ thống mạng, khả năng mở rộng dễ dàng.
Phù hợp cho các khu vực có mật độ người dùng thiết bị di động cao như: phòng họp, phòng khách, giảng đường,
Giảm chi phí đầu tư cho hệ thống cáp mạng.
Dễ dàng thêm, di chuyển, thay đổi thiết bị mạng không dây (Access Point), giảm chi phí hỗ trợ và bảo trì cho toàn bộ hệ thống.
Tăng cường tính linh hoạt trong việc sử dụng, cải thiện tốc độ và nâng cao khả năng bảo mật cho người dùng trong tổ chức, doanh nghiệp cũng như cho nhóm khách vãng lai.
Tuy có nhiều ưu điểm song mang không dây cũng có những nhược điểm nhất định:
Bảo mật là một trong những nhược điểm lớn nhất của mạng không dây, do tín hiệu được truyền qua sóng và môi trường không khí, điều này làm tăng khả năng bị tấn công.
Mạng không dây hiện nay chỉ phù hợp với không gian hẹp do phạm vi hoạt động còn hạn chế, với công nghệ mạng dây hiện đại nhất cũng chỉ có thể hoạt động tối đa ở khoảng cách 150m.
Việc truyền tín hiệu qua sóng vô tuyến dễ bị nhiễu và suy giảm, điều này ảnh hưởng đáng kể đến hiệu quả hoạt động của các mạng.
Tốc độ mạng là yếu tố quan trọng cần chú ý, vì mặc dù mạng không dây có thể đạt tốc độ tối đa lên tới 600Mbps, nhưng vẫn chậm hơn so với các mạng cáp truyền thống.
Mạng không dây chịu ảnh hưởng mạnh mẽ từ các yếu tố thời tiết và vật cản, đồng thời cũng bị tác động bởi các thiết bị khác xung quanh.
Bảo mật mạng không dây hiện nay đang là một vấn đề được nhiều người quan tâm, với hai yếu tố chính là chứng thực và mã hóa Chứng thực giúp xác minh danh tính người dùng, trong khi mã hóa bảo vệ thông tin khỏi những truy cập trái phép.
Chứng thực là quá trình đảm bảo rằng chỉ các thiết bị mong muốn được kết nối với nhau qua các kênh kết nối Quá trình này có thể được thực hiện bằng nhiều phương pháp khác nhau, bao gồm trao đổi key, sử dụng địa chỉ MAC, hoặc thông qua các công cụ của bên thứ ba như EAP, LEAP.
Mã hóa là quá trình biến đổi dữ liệu thành dạng không thể đọc được, sử dụng các khóa đặc biệt do người dùng hoặc thiết bị tạo ra Các phương pháp mã hóa phổ biến bao gồm mã hóa 64, 128, 256 bit, cũng như các kỹ thuật như TKIP và AES.
So sánh giữa mạng không dây và có dây
Mạng có dây Mạng không dây
Hệ thống mạng có thể thiết lập trong hầu hết các mô hình mạng từ nhỏ đến lớn
Trên địa hình phức tạp, có nhiều vật cản như tường sẽ rất khó kéo dây
Mô hình nhỏ và trung bình thường áp dụng cho việc xây dựng mạng Wifi Để mở rộng Wifi diện rộng, cần kết hợp với mạng LAN và các thiết bị phát Wifi chuyên dụng như Open-Mesh hoặc Unifi.
Dễ dàng triển khai ở những địa hình phức tạp, không triển khai được mạng có dây
1.4.2 Xét về độ tin cậy
Mạng có dây Mạng không dây
Hệ thống này ít ảnh hưởng đến sức khỏe vì không phát sóng ra bên ngoài môi trường sống
Có khả năng chịu được tác động từ của khí hậu và thời tiết bất thường
Vì phát sóng wifi ra môi trường, nên hệ thống mạng không dây sẽ ảnh hưởng đến sức khỏe của con người
Hệ thống có thể hoạt động kém trong điều kiện thời tiết xấu, nhưng giải pháp Wifi diện rộng với công nghệ tiên tiến đã khắc phục hiệu quả vấn đề này.
1.4.3 So sánh về tốc độ
Mạng có dây Mạng không dây
Thông thường tốc độ đường truyền của mạng có dây sẽ nằm ở các mức 10/100/1000 Mbps
Tốc độ đường truyền của mạng không dây thường đạt mức 11/54/108Mbps Tuy nhiên, khi triển khai hệ thống wifi diện rộng, tốc độ sẽ được cải thiện đáng kể, đáp ứng nhu cầu sử dụng của nhiều người dùng cùng lúc.
1.4.4 Xét về tính bảo mật
Mạng có dây Mạng không dây
Mạng có dây cung cấp mức độ bảo mật cao hơn, vì thông tin chỉ bị lộ khi có sự xâm nhập từ bên ngoài vào hệ thống dây dẫn Để tăng cường bảo mật và ngăn chặn virus xâm nhập, việc triển khai các biện pháp bảo vệ là rất cần thiết.
Mạng không dây phát sóng rộng rãi, dẫn đến vấn đề bảo mật kém Tuy nhiên, khi xây dựng giải pháp wifi diện rộng, khả năng bảo mật sẽ được cải thiện nhờ vào việc thi công tổng thể, cho phép quản lý tập trung và kiểm soát băng thông cho từng người dùng.
1.4.5 Xét về khả năng lắp đặt, triển khai
Mạng có dây Mạng không dây
Khả năng triển khai thường tốn nhiều thời gian hơn vì phải thiết kế kéo dây cho toàn bộ hệ thống
Thường ít tốn thời gian hơn vì không phải đi dây nhiều
1.4.6 Xét về khả năng mở rộng
Mạng có dây Mạng không dây
Khi thiết lập phải tính toán đến khả năng mở rộng trong tương lai, ngược lại nếu không tính toán thật kỹ sẽ tốn rất nhiều công sức
Khả năng mở rộng dễ dàng hơn, vì không phải kéo dây nhiều, thiết bị lại dễ dàng lắp đặt
Các thiết bị cần thiết để xây dựng LAN không dây
- Máy tính có gắn Adapter Wireless.
- Access Point (để kết nối các máy tính thành một mạng LAN)
To enable an internet connection for your network system, it's essential to have a cable line connecting from your Internet Service Provider (ISP) to the Wireless modem.
Các chuẩn mạng không dây
Vào năm 1997, viện kỹ sư điện và điện tử IEEE đã giới thiệu chuẩn mạng cục bộ không dây đầu tiên, mang tên 802.11, theo tên của nhóm giám sát phát triển chuẩn này Chuẩn 802.11 hoạt động trên tần số 2,4 GHz và áp dụng kỹ thuật trải phổ trực tiếp (DSSS), tuy nhiên chỉ hỗ trợ băng thông tối đa là 2 Mbps.
Mbps - tốc độ khá chậm cho hầu hết các ứng dụng Vì lý do đó, các sản phẩm chuẩn không dây này không còn được sản xuất nữa.
Hệ thống mạng WLAN chủ yếu sử dụng công nghệ trải phổ, một kỹ thuật tần số vô tuyến băng rộng được phát triển cho các hệ thống truyền thông tin cậy và an toàn Công nghệ này tối ưu hóa sự đánh đổi giữa băng thông, độ tin cậy, khả năng tích hợp và bảo mật Mặc dù sử dụng nhiều băng thông hơn so với truyền băng hẹp, tín hiệu mạnh hơn dễ dàng bị phát hiện hơn, miễn là máy thu nhận biết các tham số của tín hiệu trải phổ Nếu máy thu không điều chỉnh đúng tần số, tín hiệu trải phổ sẽ giống như nhiễu nền.
+ Có hai kiểu trải phổ truyền đi bằng vô tuyến :
IEEE đã mở rộng trên chuẩn 802.11 gốc vào tháng Bảy năm 1999, tạo ra chuẩn 802.11b Chuẩn này hỗ trợ băng thông lên đến 11Mbps, tương đương với Ethernet truyền thống.
Chuẩn 802.11b hoạt động trên tần số 2.4 GHz, giống như chuẩn 802.11 ban đầu, giúp các nhà cung cấp tiết kiệm chi phí sản xuất Tuy nhiên, thiết bị 802.11b có thể gặp phải hiện tượng xuyên nhiễu từ các thiết bị khác như điện thoại không dây và lò vi sóng Để giảm thiểu tình trạng này, việc đặt các thiết bị 802.11b xa các nguồn gây nhiễu là cần thiết Ưu điểm nổi bật của 802.11b là chi phí thấp, phạm vi tín hiệu tốt và khả năng chịu đựng cản trở tốt.
Nhược điểm của 802.11b – tốc độ tối đa thấp nhất; các thiết bị gia dụng có thể gây trở ngại cho tần số vô tuyến mà 802.11b bắt được.
Trong khi chuẩn 802.11b được phát triển và phổ biến nhanh chóng, IEEE đã đồng thời phát triển một mở rộng mới mang tên 802.11a Mặc dù nhiều người nghĩ rằng 802.11a ra đời sau 802.11b, thực tế là cả hai chuẩn này được tạo ra song song Với chi phí cao hơn, 802.11a thường được sử dụng trong các mạng doanh nghiệp, trong khi 802.11b lại phù hợp hơn cho thị trường mạng gia đình.
Chuẩn 802.11a hỗ trợ băng thông tối đa 54 Mbps và hoạt động trên tần số 5GHz Tần số cao hơn so với 802.11b khiến cho phạm vi hoạt động của 802.11a hẹp hơn, đồng thời tín hiệu cũng gặp khó khăn hơn khi xuyên qua các vách tường và vật cản khác.
Công nghệ 802.11a và 802.11b không tương thích do sử dụng tần số khác nhau, dẫn đến việc một số hãng phát triển thiết bị mạng lai cho cả hai chuẩn này Tuy nhiên, các sản phẩm này chỉ cho phép hoạt động song song, nghĩa là mỗi thiết bị kết nối phải chọn một trong hai chuẩn Ưu điểm nổi bật của 802.11a là tốc độ truyền dữ liệu rất nhanh và khả năng kiểm soát tần số giúp giảm thiểu nhiễu từ các thiết bị khác.
Nhược điểm của 802.11a – giá thành đắt; phạm vi hẹp và dễ bị cản trở.
Vào năm 2002 và 2003, các sản phẩm WLAN đã hỗ trợ chuẩn 802.11g, nổi bật trên thị trường nhờ vào khả năng kết hợp ưu điểm của 802.11a và 802.11b Chuẩn 802.11g cung cấp băng thông tối đa lên đến 54Mbps và hoạt động trên tần số 2.4 GHz, mang lại phạm vi rộng rãi Đặc biệt, 802.11g tương thích với các thiết bị 802.11b, cho phép các điểm truy cập 802.11g hoạt động cùng với adapter mạng không dây 802.11b và ngược lại Những ưu điểm nổi bật của 802.11g bao gồm tốc độ cực nhanh, phạm vi tín hiệu tốt và khả năng ít bị cản trở.
Nhược điểm của chuẩn 802.11g bao gồm giá thành cao hơn so với 802.11b và khả năng bị nhiễu từ các thiết bị gia dụng khác hoạt động trên cùng tần số tín hiệu vô tuyến không được kiểm soát.
Chuẩn 802.11n sử dụng công nghệ MIMO (Multiple Input, Multiple Output) với nhiều ăng-ten không dây để truyền và nhận dữ liệu, cho phép phối hợp tối đa 4 luồng đồng thời Công nghệ này không chỉ tăng cường phạm vi mà còn cải thiện thông lượng của mạng không dây Bên cạnh đó, 802.11n hoạt động trên dải tần số lớn hơn so với các tiêu chuẩn trước, góp phần nâng cao tốc độ truyền dữ liệu.
Chuẩn kết nối 802.11n có khả năng hỗ trợ băng thông mạng tối đa lý thuyết lên tới 300Mbps, phụ thuộc vào số lượng radio không dây trong thiết bị Các thiết bị này hoạt động trên cả hai băng tần 2.4 GHz và 5 GHz Ưu điểm nổi bật của 802.11n là tốc độ tối đa nhanh nhất và phạm vi tín hiệu tốt nhất, cùng với khả năng chống nhiễu hiệu quả từ các nguồn bên ngoài.
Nhược điểm của 802.11n – giá thành đắt hơn 802.11g; việc sử dụng nhiều tín hiệu có thể gây nhiễu với các mạng dựa trên chuẩn 802.11b và 802.11g ở gần.
Chuẩn WiFi 802.11ac là công nghệ mới nhất và phổ biến hiện nay, sử dụng băng tần kép để hỗ trợ kết nối đồng thời trên cả 2.4 GHz và 5 GHz Nó tương thích ngược với các chuẩn 802.11b, 802.11g và 802.11n, cung cấp băng thông tối đa lên tới 1.300 Mbps trên băng tần 5 GHz và 450 Mbps trên băng tần 2.4 GHz.
So sánh các chuẩn IEEE 802.11
Hình 1.4 So sánh các chuẩn IEEE 802.11
CHƯƠNG 2: CÁC LỖ HỔNG VÀ CỦA MẠNG KHÔNG DÂY
Các mô hình mối đe dọa trong hệ thống viễn thông
Các mô hình mối đe dọa bắt đầu bằng việc mô tả hệ thống cùng với tất cả các tác nhân và vị trí của chúng, bao gồm cả liên kết và nút Tiếp theo, mô hình này xác định kẻ tấn công trong hệ thống và khả năng của họ, bao gồm vị trí cấu trúc liên kết, tài nguyên và khả năng truy cập.
Mô hình mối đe dọa truyền thống trong giao tiếp bao gồm hai người tham gia, thường được gọi là Alice và Bob, cùng với một kênh giao tiếp Mô hình này nhấn mạnh tầm quan trọng của việc bảo vệ thông tin trong quá trình trao đổi giữa các bên.
Mô hình này thường giả định mối quan hệ tin cậy ban đầu giữa Alice và Bob.
Nó thường được áp dụng trong lĩnh vực mật mã nhằm giảm thiểu hiệu quả của các cuộc tấn công có thể xảy ra đối với kênh liên lạc giữa Alice và Bob.
Tuy nhiên, trong bối cảnh của các hệ thống viễn thông, mô hình này không đầy đủ, vì các yếu tố và lỗ hổng bảo mật khác hiện diện.
Hình 2.1 Mô hình giao tiếp tối thiểu
Mô hình giao tiếp được trình bày trong hình minh họa sự phân biệt rõ ràng giữa hai bên, Alice và Bob, cùng với ít nhất một cơ sở hạ tầng viễn thông có quyền hạn Trong mô hình này, quyền lực không thuộc về Alice hay Bob mà thuộc về một bên thứ ba độc lập, thực sự tham gia vào kênh giao tiếp.
Hình 2.2 Mô hình giao tiếp với hệ thống viên thông
Sự xuất hiện của bên thứ ba làm gia tăng độ phức tạp của hệ thống, tạo ra các giao diện và lỗ hổng mới, đồng thời yêu cầu một chuỗi tin cậy phức tạp hơn Điều này dẫn đến việc mở rộng phạm vi các mối đe dọa tiềm ẩn.
Mô hình tin cậy của hình trên có thể có các dạng rất khác nhau:
Alice và Bob có sự tin tưởng lẫn nhau trong việc liên lạc và đều tin tưởng vào hệ thống viễn thông mà họ sử dụng, đảm bảo cung cấp các dịch vụ chính xác trong mạng riêng.
Alice và Bob tin tưởng lẫn nhau, nhưng không tin tưởng vào cơ sở hạ tầng của hệ thống viễn thông (public network)
Alice và Bob có niềm tin vào cơ sở hạ tầng viễn thông nhưng không tin tưởng lẫn nhau Họ quyết định sử dụng cơ sở hạ tầng này như một bên thứ ba đáng tin cậy (TTP) để thiết lập một mối quan hệ tin cậy mới.
Hình dưới đây mô tả các mối đe dọa điển hình từ trái sang phải, nhắm vào các tác nhân và bộ phận của mô hình Trong phần tiếp theo, kẻ tấn công được ký hiệu là Eve.
Eve có thể tấn công Alice bằng cách khai thác các lỗ hổng trong phần mềm và biện pháp bảo vệ mà Alice sử dụng Thiết bị đầu cuối kết nối với hệ thống viễn thông thường dễ bị tấn công hơn do tính mở của nó Các cuộc tấn công thường xảy ra do lỗ hổng trong thiết bị đầu cuối và khả năng hiển thị của nó liên quan đến dịch vụ viễn thông.
Eve có khả năng tấn công kênh liên lạc giữa Alice và hệ thống viễn thông Cuộc tấn công này có thể diễn ra theo hai hình thức: không xâm nhập, khi Eve chỉ đọc dữ liệu được trao đổi, hoặc xâm nhập, khi Eve sửa đổi, thêm dữ liệu vào hoặc phát lại dữ liệu cũ.
Sự xâm nhập vào cơ sở hạ tầng cho phép thực hiện các cuộc tấn công
Eve được coi là một điểm giao nhau giữa Alice (hoặc Bob) và cơ sở hạ tầng, khiến tất cả các liên lạc của Alice (hoặc Bob) phải đi qua Eve Nếu không có xác thực đáng tin cậy và lẫn nhau giữa Alice (hoặc Bob) và cơ sở hạ tầng, cả hai bên sẽ không thể phát hiện các cuộc xâm nhập Các cuộc tấn công có thể xảy ra nếu Eve chiếm đoạt danh tính của người giao tiếp Để bảo vệ chống lại những cuộc tấn công này, việc thực hiện xác thực lẫn nhau giữa Alice và Bob là giải pháp tốt nhất.
Hình 2.3 Mô hình mối đe dọa đối với hệ thống viễn thông và những người tham gia
Trong nhiều tình huống, kẻ tấn công thường kết hợp các cuộc tấn công có mục tiêu với những hành động phá hoại nhằm đạt được mục đích của mình.
CÁC CƠ CHẾ BẢO MẬT CƠ BẢN
Tổng quan AAA
AAA giúp nhà quản trị mạng nắm bắt thông tin quan trọng về tình hình và mức độ an toàn của mạng Hệ thống này cung cấp xác thực người dùng để đảm bảo nhận diện chính xác danh tính, phòng ban và thông tin cá nhân Sau khi xác định người dùng, ta có thể giới hạn quyền truy cập vào hệ thống Ngoài ra, AAA cho phép giám sát hoạt động của người dùng trên mạng Với ba thành phần chính là xác thực (authentication), phân quyền (authorization) và tính cước (accounting), AAA là công cụ cần thiết để mở rộng và bảo mật mạng.
AAA can be utilized to gather information from multiple devices across a network It is possible to enable AAA services on routers, switches, firewalls, VPN devices, and servers.
Phân tích các giao thức AAA để kiểm soát quyền truy cập vào mạng riêng 28 CHƯƠNG 4: BẢO MẬT MẠNG KHÔNG DÂY
Các dịch vụ AAA được chia thành ba phần: xác thực (authentication), phân quyền (accounting), tính cước (accounting)
Xác thực người dùng (Authentication user):
Xác thực là quá trình định danh người dùng, trong đó tên người dùng và mật khẩu được kiểm tra và đối chiếu với cơ sở dữ liệu trên máy chủ AAA hoặc cơ sở dữ liệu bên ngoài Quy trình này phụ thuộc vào giao thức mà AAA hỗ trợ, với yêu cầu tối thiểu là mã hóa tên người dùng và mật khẩu Mục tiêu của xác thực là xác định danh tính của người dùng.
Người dùng với username và mật khẩu hợp lệ sẽ được xác thực thành công, cho phép họ truy cập vào mạng Quá trình này là một phần quan trọng trong việc quản lý người dùng thông qua AAA Khi username và password được chấp nhận, AAA sẽ xác định quyền hạn mà người dùng có trong hệ thống.
Phân quyền người dùng (Authorization user):
Quyền hạn cho phép nhà quản trị kiểm soát việc cấp quyền trong một khoảng thời gian nhất định, trên từng thiết bị, nhóm người dùng cụ thể hoặc theo từng giao thức Hệ thống AAA giúp nhà quản trị thiết lập các thuộc tính mô tả chức năng mà người dùng được phép thực hiện Do đó, việc xác thực người dùng là điều kiện tiên quyết trước khi cấp quyền truy cập.
AAA Authorization hoạt động như một tập hợp các thuộc tính xác định quyền truy cập của người dùng đã được xác thực Ví dụ, nhân viên phòng nhân sự sẽ có quyền truy cập theo chức năng của phòng, trong khi khách hàng chỉ được cấp quyền tối thiểu để truy cập internet mà không vào được tài nguyên hệ thống Các thuộc tính này được so sánh với thông tin trong cơ sở dữ liệu của người dùng, và AAA sẽ trả về kết quả để xác định khả năng và giới hạn của người đó Điều này đòi hỏi cơ sở dữ liệu phải liên tục giao tiếp với máy chủ AAA trong suốt quá trình kết nối từ xa.
Tính cước người dùng (Accounting user):
Accounting giúp nhà quản trị thu thập thông tin về thời gian truy cập, các câu lệnh thực thi, thống kê lưu lượng và sử dụng tài nguyên, sau đó lưu trữ dữ liệu trong hệ thống cơ sở dữ liệu quan hệ Điều này cho phép giám sát hiệu quả dịch vụ và tài nguyên mà người dùng sử dụng.
Thống kê cho thấy số lần người dùng truy cập vào web server và thời gian họ ở lại Accounting cho phép quản trị viên giám sát và dự đoán dịch vụ cũng như việc sử dụng tài nguyên Thông tin này có thể được sử dụng để theo dõi thời gian truy cập của khách hàng, quản lý mạng và kiểm toán theo các chính sách bảo mật của công ty.
CHƯƠNG 4: BẢO MẬT MẠNG KHÔNG DÂY
Kiến trúc dành riêng cho bảo mật mạng không dây
Hình 4.1 Kết nối không dây
Hotspot là một vị trí cung cấp dịch vụ kết nối không dây và truy cập Internet tốc độ cao, nhờ vào các thiết bị thu phát không dây (Wireless Access Point).
4.1.2 Các hoạt động của kiến trúc Hot Spot a Redirection – Chuyển hướng
Khi một máy tính liên kết với điểm truy cập Wi-Fi “Mở”, trước hết nó sẽ yêu cầu thuê
DHCP cho phép máy khách không dây được chuyển hướng đến máy chủ Web, giúp trình duyệt Web phổ biến hiểu rõ yêu cầu tạm thời Cổng cố định sẽ chuyển hướng kết nối đến máy chủ Web HTTPS để xác thực thông qua mật mã công khai và giao thức Bảo mật lớp truyền tải (TLS) Trang web này hoạt động như cổng thông tin của nhà cung cấp, nơi người dùng sẽ được chuyển hướng liên tục cho đến khi xác thực thành công với Hot Spot Quá trình này đảm bảo phân quyền và bảo mật cho người dùng.
Khi người dùng tự xác thực qua cổng bị cố định bằng username/password hoặc token hợp lệ, khung xác thực sẽ cho phép truy cập Internet bằng cách cấu hình động quy tắc trên tường lửa Hầu hết các cổng này chỉ dựa vào địa chỉ IP để cấp quyền, trong khi một số cổng khác cũng sử dụng địa chỉ MAC để ngăn chặn các cuộc tấn công giả mạo.
Khi tường lửa được cấu hình với bộ quy tắc mới cho người dùng đã xác thực, chính sách bảo mật mẫu từ nhà cung cấp sẽ được áp dụng, cho phép người dùng truy cập Internet Ngắt kết nối sẽ xảy ra khi các điều kiện không còn được đáp ứng.
Người dùng có thể ngắt kết nối với cổng cố định bằng cách gửi yêu cầu đăng xuất qua một trang web cụ thể Hơn nữa, nhiều kiến trúc Hot Spot áp dụng các kỹ thuật khác để xác định xem người dùng có rời khỏi hệ thống hay không, chẳng hạn như gửi các gói tin ARP hoặc theo dõi quá trình gia hạn kết nối.
DHCP.cầu truy cập Internet Việc chuyển hướng này được thực hiện nhờ vào mãHTTP 302 (được di
Bảo mật mạng không dây
A VPN, or Virtual Private Network, enhances WLAN security by establishing a channel that shields data from unauthorized access It employs the IPSec security mechanism, which ensures high reliability IPSec stands for Internet Protocol Security.
VPN có một số ưu điểm nổi bật là
Băng thông không bị hạn chế tùy thuộc vào tốc độ đường truyền mà bạn sử dụng.
Số kênh VPN đồng thời lớn
Đảm bảo khả năng bảo mật cao và cơ chế mã hóa.
TKIP (Temporal Key Integrity Protocol) sử dụng hàm băm IV để đảm bảo tính minh bạch và ngăn chặn giả mạo gói tin Nó cũng xác định tính toàn vẹn của thông điệp thông qua MIC (message integrity check) Khóa động của TKIP được cài đặt cho mỗi frame nhằm bảo vệ chống lại các cuộc tấn công giả mạo.
4.2.2 Giao thức bảo mật AES (Advanced Encryption Standard)
AES meets the needs of users on WLAN networks and has been approved by the National Institute of Standards and Technology (NIST) This special mode of AES is known as CBC-CTR (Cipher Block Chaining Counter Mode) and includes CBC-MAC (Cipher Block Chaining Message Authenticity Check) for enhanced security and message integrity.
4.2.3 Giao thức bảo mật 802.1X và EAP
Giao thức 802.1X là phương pháp xác thực cổng quan trọng để bảo vệ mạng, đặc biệt trong môi trường Wi-Fi Khi người dùng Wi-Fi được xác thực qua 802.1X, một cổng ảo sẽ được mở trên điểm truy cập để cho phép giao tiếp Ngược lại, nếu không được ủy quyền thành công, cổng ảo sẽ không khả dụng và mọi thông tin liên lạc sẽ bị chặn, giúp tăng cường an ninh mạng.
Có ba tác vụ cơ bản để xác thực 802.1X:
Người bảo trợ Một máy khách phần mềm chạy trên máy trạm Wi-Fi.
Người xác thực Điểm truy cập Wi-Fi.
Máy chủ xác thực Cơ sở dữ liệu xác thực, thường là một máy chủ bán kính như Cisco ACS*, Funk Steel-Radius*, hoặc Microsoft IAS*.
Giao thức xác thực mở rộng (EAP) là phương pháp truyền tải thông tin xác thực giữa máy trạm Wi-Fi và máy chủ xác thực như Microsoft IAS EAP không chỉ xử lý mà còn xác định quá trình xác thực Trong mô hình này, điểm truy cập hoạt động như một proxy, tạo điều kiện cho việc giao tiếp giữa máy hỗ trợ và máy chủ xác thực.
4.2.4 Giao thức bảo mật WPA (Wi-Fi Protected Access)
WPA là giao thức bảo mật cho mạng không dây, được thiết kế để khắc phục những nhược điểm của WEP Một trong những cải tiến nổi bật của WPA là việc áp dụng hàm thay đổi khóa TKIP (Temporal Key Integrity Protocol) và cơ chế kiểm tra tính toàn vẹn của thông tin (Message Integrity Check).
WPA 2 là phương pháp bảo mật kế tiếp WPA 2 là giải pháp lâu dài được chứng nhận bởi Wi-Fi Alliance và sử dụng sử dụng 802.11i Với thuật toán mã hóa nâng cao
AES (Advanced Encryption Standard), WPA 2 được nhiều cơ quan chính phủ Mỹ sử dụng để bảo vệ các thông tin nhạy cảm.
THỰC HÀNH
Yêu cầu và thực hiện yêu cầu
Trung tâm Anh ngữ Yola Him Lam có hai cơ sở tại Thành phố Hồ Chí Minh, cụ thể là 52-54-56 Hoàng Trọng Mậu, phường Tân Hưng, Quận 7 và 84-86 Nguyễn Thị Thập, KDC Him Lam, Quận 7.
Tại chị nhánh Yola Him Lam này là một tòa nhà gồm có 3 tầng, mỗi tầng 100m2 với cách bố trí và công năng khác nhau:
Tầng 1 là khu vực tiếp đón và tư vấn khách hàng, nơi cung cấp dịch vụ chăm sóc và hỗ trợ trong việc thực hiện thủ tục nhập học cũng như thanh toán học phí Tại đây, có sảnh được bố trí chỗ ngồi thoải mái cho khách hàng.
Tầng 2: Bao gồm các phòng học có trang bị các thiết bị như máy tính bàn giáo viên, máy chiếu, màn hình tivi, loa,
Tầng 3: Là tầng bao gồm phòng giám đốc và phòng kỹ thuật của trung tâm.
Triển khai hệ thống mạng không dây tốc độ cao cho Trung tâm Anh ngữ Yola Quận 7 nhằm đảm bảo tất cả các thiết bị có thể truy cập internet ở mọi vị trí trong trung tâm Hệ thống này sẽ cung cấp đường truyền internet ổn định, đáp ứng nhu cầu đọc báo, xem tin tức, tra cứu và tải tài liệu học tập, cũng như thực hiện các bài kiểm tra online Đồng thời, việc bảo mật cho hệ thống mạng được đảm bảo, hạn chế tối đa việc truy cập trái phép, nhằm duy trì tốc độ và bảo vệ an toàn cho hệ thống khỏi xâm nhập từ bên ngoài.
5.1.3.1 T ng quan vềề mô hình m ng ổ ạ
Ví trí các thiết bị mạng tại trung tâm tiếng anh Yola như sau:
Tầng 1: Tầng 1 sẽ gồm sảnh và phòng tư vấn: Ở sảnh sẽ bố trí các máy tính cho nhân viên Lễ tân và Thu ngân Phòng tư vấn sẽ bố trí tương tự các máy tính cho nhân viên tư vấn khách hàng
Tầng 2: Gồm các phòng học mỗi phóng gồm 1 máy tính được kết nối internet
Tầng 3: Các máy tính của nhân viên tại các phòng kỹ thuật, phòng giám đốc được kết nối thành từng cụm phòng và kết nối với nhau và có thể truy cập được internet.
Switch Cisco SG95-16 port Gigabit:
Mã thiết bị: SG95-16 Hãng sản xuất: Cisco Giá: 3.050.000 VNĐ
Mô tả: Mỗi Switch gồm 16 cổng Gigabit, được lắp đặt cho hệ thống mạng của trung tâm kết nối từ Router đến các thiết bị Switch khác
Mã thiết bị: SF95D-08 Hãng sản xuất: Cisco ▪ Giá: 570.000 VNĐ
Mỗi Switch được trang bị 8 cổng Fast Ethernet, được lắp đặt tại các phòng như Phòng Giám Đốc, Phòng Tư Vấn và Sảnh Chúng kết nối từ Switch trung tâm đến các thiết bị như máy tính và máy in trong từng phòng.
Cisco RV082-EU Dual WAN VPN Router
Mã thiết bị: RV082-EU Hãng sản xuất: Cisco Giá: 6.500.000 VNĐ
Mô tả: Router kết nối giữa Switch trung tâm và mạng Internet
Hình 5.4 Router Cisco RV082-EU
Mã thiết bị: SVDE0130 Hãng sản xuất: DELL Giá: 15.990.000 VNĐ
Mô tả: Làm máy chủ Radius cho hệ thống mạng của 2 tòa nhà Yola
Hình 5.5 Máy chủ Dell PowerEdge T40
CISCO AIR-CT2504-5-K9 2500 Series Wireless Controller
Mã thiết bị: AIR-CT2504-5-K9 Hãng sản xuất: Cisco
Mô tả: WLC quản lý các Access Point (tối đa 5 APs) trong trung tâm.
Hình 5.6 WLC Cisco AIR-CT2504-5-K9
Thiết Bị Mạng Phát Sóng Router Wifi APTEK A134GHU:
Mã thiết bị: A134GHU Hãng sản xuất: APTEK Giá: 1.127.000 VNĐ
Thiết bị Access Point lý tưởng cho mạng không dây với mật độ truy cập cao, có khả năng phục vụ từ 80 đến 100 người dùng Với băng tần 2.4GHz chuẩn N, tốc độ đạt đến 400Mbps và băng tần 5GHz chuẩn AC, tốc độ tối đa lên tới 876Mbps, thiết bị này đáp ứng hiệu quả nhu cầu sử dụng dữ liệu lớn.
2 SSID cho mỗi băng tần
Hình 5.7 Thiết Bị Mạng Phát Sóng Router Wifi APTEK A134GHU
Tên thiêết b ị Giá mỗỗi thiêết b ị
Cisco RV082-EU Dual WAN VPN
Máy ch Dell PowerEdge T40 ủ 15.990.000 1 CISCO AIR-CT2504-5-K9 2500
Series Wireless Controller 16,800,000 1 Thiếết B M ng Phát Sóng Router ị ạ
Bảng 5.1 Bảng giá thiết bị
Demo hệ thống mạng
Hình 5.8 Mô hình tổng quan
PC - Enterprise Admin NIC DHCP
PC – Giam Doc NIC DHCP
PC – Thu Ky NIC DHCP
PC – Thu Ngan NIC DHCP
PC – Le Tan NIC DHCP
WLAN SSID Authentication Username Password
WLAN 2 YOLA SSID-2 WPA-2 Personal N/A Cisco123
WLAN 5 YOLA SSID-5 WPA-2 Enterprise PhongHoc phonghoc
Bảng 5.3 Bảng thông tin WLAN
Tiến hành bố trí và đấu nối các thiết bị như hình trên.
Thực hiện nhập địa chỉ ip theo bảng địa chỉ đã cho.
Switch VTP domain VTP password VTP mode
Bảng 5.4 Bảng VTP cho Switch
Lệnh cấu hình như sau:
SW1(config)#vtp domain yola
SW1(config)#vtp password yola
SW1(config)#vtp mode server/client
Hình 5.9 Cấu hình VTP cho Switch Server
Hình 5.10 Cấu hình VTP cho Switch Client
Tương tự đối với Switch Tuvan và GiamDoc.
Lệnh cấu hình như sau:
Hình 5.11 Khai báo vlan trên switch
Tương tự khai báo cho từng Switch.
Lệnh cấu hình như sau:
R1(config)#ip dhcp pool VLAN10
R1(config)#ip dhcp pool VLAN20
R1(config)#ip dhcp pool VLAN30
Hình 5.12 Cấu hình dhcp trên router
Hình 5.13 Thiết bị nhận địa chỉ ip qua phương thức dhcp
Hình 5.14 Cấu hình Access vlan 30
Hình 5.16 Cấu hình Access vlan 20
Chúng ta có thể sử dụng lênh show vlan để biết thêm thông tin:
Hình 5.17 Show thông tin vlan
5.2.3.6 Cấếu hình DNS server, Web server, Mail server
Hình 5.18 Nhập địa chỉ ip cho DNS-Server
Hình 5.19 Nhập địa chỉ ip cho Web-Server
Hình 5.20 Nhập địa chỉ ip cho Mail-Server
Hình 5.21 Cấu hình dịch vụ Mail-Server
5.2.3.7 Đ nh tuyềến Router ị Định tuyến Router Định tuyến cho các mạng thông với nhau Sử dụng định tuyến động RIP và Route Static
Hình 5.22 Định tuyến cho địa chỉ phòng Giám đốc
Hình 5.23 Định tuyến cho địa chỉ phòng Tư vấn
Hình 5.24 Định tuyến cho địa chỉ Sảnh
5.2.3.8 Cấếu hình Wireless LAN controller và Radius Server
Cấu hình Wireless LAN controller:
Hình 5.25 Nhập địa chỉ ip cho WLC
Hình 5.27 Cấu hình dịch vụ cho Radius-Server 5.2.3.9 T o tài kho n qu n lí WLC và cấếu hình m ng không dấy ạ ả ả ạ
Để truy cập vào thiết bị PC-PT enterprise admin, hãy mở trình duyệt web và nhập địa chỉ 192.168.100.254 qua giao thức HTTPS Sau khi tạo tài khoản (lưu ý rằng ảnh chụp quá trình này đã bị bỏ lỡ), bạn có thể đăng nhập bằng tên người dùng: admin và mật khẩu: Cisco123.
Hình 5.28 Giao diện đăng nhập
Cấu hình interface cho WLAN 2:
Hình 5.31 Tạo Interface WLAN 2 Điền các thông tin sau:
Hình 5.32 Điền thông tin Interface WLAN 2
Cấu hình interface cho WLAN 5:
Hình 5.33 Tiến hành tạo Interface WLAN 5
Hình 5.34 Tạo Interface WLAN 5 Điền các thông tin sau:
Hình 5.35 Điền thông tin Interface WLAN 5
Cấu hình phạm vi DHCP cho phạm vi quản lí mạng không dây
Vào Controller > Internal DHCP server > DHCP scope > new Scope name: management
Hình 5.36 Tạo DHCP scope management
Chọn vào management và điền các thông tin như sau:
Hình 5.37 Điền thông tin DHCP scope management
Security: WPA+WPA2 Chọn WLANs > Chọn Create new Go > Ở trạng thái Status ta chọn Enabled Interface/Interface Group(G): WLAN 2
Hình 5.38 Tạo mạng WLANs Wireless VLAN2
Hình 5.39 Cấu hình bảo mật cho WLAN 2
Ta chọn vào WPA2 Policy và WPA Encryption(AES)
Tiếp theo ta chọn PSK , PSK Format chọn ASCII: Cisco123
Hình 5.40 Cấu hình bảo mật WPA+WPA2 Ở tab Advanced ta chọn FlexConect Local Switching và FlexConnect Local Auth: Enable
Hình 5.41 Cấu hình tính năng chuyển mạch
Security: 802.1x - WPA2-Enterprise Chọn WLANs > Chọn Create new Go > Ở trạng thái Status ta chọn Enabled Interface/Interface Group(G): WLAN 5
Hình 5.42 Tạo WLANs Wireless VLAN 5
Ta chọn vào WPA2 Policy và WPA Encryption(AES)
Tiếp theo ta chọn 802.1X : Enable
Hình 5.43 Cấu hình bảo mật WLAN 5 Ở tab Sercurity chọn AAA Servers:
Hình 5.44 Cấu hình AAA cho WLAN 5 Ở tab Advanced ta chọn FlexConect Local Switching và FlexConnect Local Auth: Enable
Hình 5.45 Cấu hình tính năng chuyển mạch cho WLAN 5
Chọn Apply Định cấu hình WLC với các địa chỉ máy chủ bên ngoài
Chọn Security New > Định cấu hình thông tin máy chủ RADIUS như sau:
Nhập các thông tin như sau:
Hình 5.46 Cấu hình WLC với các máy chủ bên ngoài
Chọn Apply Định cấu hình WLC để gửi thông tin nhật ký đến máy chủ SNMP
Vào MANAGEMENT > SNMP > Trap Receivers > New Nhập các thông tin như sau:
Hình 5.47 Cấu hình WLC gửi thông tin đến máy chủ SNMP
5.2.4.1 H thôếng m ng có dấy trong tòa nhà ệ ạ
Chúng ta có thể sử dụng PC bất kỳ để ping đến các PC khác hoặc đến DNS Server hoặc Web Server:
Ví dụ sử dụng PC phòng Giám Đốc có thể Ping đến PC tại phòng Tư vấn với 2 lớp mạng khác nhau.
Hình 5.48 Gửi thư mô phỏng thành công
Hình 5.49 Ping thành công đến các máy tính
Sử dụng PC tại phòng tư vấn có thể Ping đến Web Server và truy cập trang web của Trung tâm yola như sau:
Hình 5.50 Ping thành công đến Web-Server
Hình 5.51 Truy cập thành công đến Web-Server
5.2.4.1 H thôếng m ng không dấy trong tòa nhà ệ ạ Ở Tầng 2 của tòa nhà sử dụng hệ thống mạng không dây cho từng phòng học với phương thức bảo mật WPA+WPA2 và 802.1X+ WPA2 enterprise:
Tiến hành kết nối laptop Giáo Viên đến Access Point:
Vào Desktop > PC Wireless > Connect
Hình 5.52 Giao diện kết nối wifi
Chọn SSID-2 > Connect Sau đó nhập password: Cisco123
Hình 5.53 Giao diện nhập mật khẩu kết nối wifi
Với SSID-5 ta phải tạo profile như sau:
Sau đó chọn Advange Setup:
Và chọn phương thức bảo mật là WPA2-Enterprise
Hình 5.55 Tạo profile chọn phương thức bảo mật WPA2-Enterprise
Nhập Login name và Password sau đó Nhấn Next > save > connect
Hình 5.56 Nhập Login Name và Password
Hình 5.57 Kết nối thành công wifi