Giải pháp triển khai hệ thống mạng wlan bảo mật tại trường thcs và thpt võ văn kiệt tỉnh kiên giang

Với sự phát triển mạnh mẽ của khoa học công nghệ và không ngừng được cải tiến, nhu cầu trao đổi thông tin và dữ liệu của con người ngày càng nhiều.Vì vậy, mạng WLAN ra đời để đáp ứng nhu cầu trên. 1. Lý do chọn đề tài Trường THCSTHPT Võ Văn Kiệt là một trong những trường điểm của Tỉnh Kiên Giang, với 2 cấp trình độ đào tạo từ THCS, cho đến THPT, với số lượng học sinh trên 1500 và đội ngũ cán bộ, viên chức, giáo viên của nhà trường là 100 người tính đến tháng 5 năm 2021. Sự phát triển của nhà trường gắng liền với sự phát triển khoa học và công nghệ, trong đó mạng WLAN của nhà trường đã triển khai vận hành các phần mềm Quản lý dạy học, Quản lý điểm, Quản lý đào tạo, Quản lý thư viện của nhà trường. Với 4 điểm phát sóng wifi phục vụ cho nhà trường. Do đặc điểm trao đổi thông tin trong không gian truyền sóng nên khả năng thông tin bị rò rỉ ra ngoài là điều dễ hiểu. Nếu chúng ta không khắc phục được điểm yếu này thì môi trường mạng không giây sẽ trở thành mục tiêu của những hacker xâm phạm, gây ra những sự thất thoát về thông tin, tiền bạc… Do đó bảo mật thông tin là một vấn đề rất nóng hiện nay, Vì vậy em chọn đề tài “Giải pháp triển khai hệ thống mạng Wlan bảo mật tại trường THCSTHPT Võ Văn Kiệt, tỉnh Kiên Giang” bằng phương pháp chứng thực RADIUS để hướng tới xây dựng một hệ thống mạng an toàn cho người dùng để tìm hiểu và nghiên cứu. 2. Mục tiêu nghiên cứu Nghiên cứu tổng quan mạng máy tính không dây, các chuẩn của mạng không dây, các loại hình tấn công và các giải bảo mật an ninh cho mạng không dây. Khảo sát thực nghiệm một số mô hình mạng máy tính không dây. Trên cơ sở đó đề xuất giải pháp và triển khai hệ thống mạng WLAN bảo mật tại trường THCSTHPT Võ Văn Kiệt. 3. Phương pháp, phạm vi và đối tượng nghiên cứu  Đối tượng nghiên cứu Vấn đề triển khai và bảo mật mạng không dây Các công nghệ, mô hình cà các chuẩn của mạng không dây Các kỹ thuật tấn công, giải pháp khắc phục.  Phạm vi nghiên cứu Thu thập các tài liệu liên quan, phân tích các thông tin liên quan đến đề tài. Tìm hiểu các mô hình mạng máy tính không dây trên địa bàn Tỉnh Kiên Giang.  Kết hợp phương pháp nghiên cứu tài liệu, phương pháp nghiên cứu điều tra và phương pháp nghiên cứu thực nghiệm. 4. Cấu trúc của đề tài Ngoài phần mở đầu và kết luận, nôi dụng của đề tài này được bố cục như sau: Chương 1: Trình bày tổng quan về mạng WLAN không dây Chương 2: Trình bày về các kỹ thuật tấn công và bảo mật trong mạng WLAN không dây. Chương 3: Xây dựng giải pháp và triển khai hệ thống mạng WLAN bảo mật tại trường THCSTHPT Võ Văn Kiệt. 5. Kết quả nghiên cứu Đề tài góp phần hoàn thiện trong việc triển khai và bảo mật mạng WLAN an toàn cho người sử dụng. Kết quả nghiên cứu của đề tài có giá trị thực tiễn đảm bảo an toàn bảo mật về mạng WLAN không dây tại cơ quan và tham khảo trong công tác nghiên cứu các mạng không dây khác. Cuối cùng là tài liệu tham khảo.

Mục tiêu nghiên cứu

Nghiên cứu tổng quan mạng máy tính không dây, các chuẩn của mạng không dây, các loại hình tấn công và các giải bảo mật an ninh cho mạng không dây Khảo sát thực nghiệm một số mô hình mạng máy tính không dây Trên cơ sở đó đề xuất giải pháp và triển khai hệ thống mạng WLAN bảo mật tại trường THCS&THPT VõVăn Kiệt.

3 Phương pháp, phạm vi và đối tượng nghiên cứu

 Đối tượng nghiên cứu

- Vấn đề triển khai và bảo mật mạng không dây

- Các công nghệ, mô hình cà các chuẩn của mạng không dây

- Các kỹ thuật tấn công, giải pháp khắc phục.

- Thu thập các tài liệu liên quan, phân tích các thông tin liên quan đến đề tài.

- Tìm hiểu các mô hình mạng máy tính không dây trên địa bàn Tỉnh Kiên Giang.

 Kết hợp phương pháp nghiên cứu tài liệu, phương pháp nghiên cứu điều tra và phương pháp nghiên cứu thực nghiệm.

4 Cấu trúc của đề tài

Ngoài phần mở đầu và kết luận, nôi dụng của đề tài này được bố cục như sau: Chương 1: Trình bày tổng quan về mạng WLAN không dây

Chương 2: Trình bày về các kỹ thuật tấn công và bảo mật trong mạng

Chương 3: Xây dựng giải pháp và triển khai hệ thống mạng WLAN bảo mật tại trường THCS&THPT Võ Văn Kiệt.

5 Kết quả nghiên cứu Đề tài góp phần hoàn thiện trong việc triển khai và bảo mật mạng WLAN an toàn cho người sử dụng Kết quả nghiên cứu của đề tài có giá trị thực tiễn đảm bảo an toàn bảo mật về mạng WLAN không dây tại cơ quan và tham khảo trong công tác nghiên cứu các mạng không dây khác.

Cuối cùng là tài liệu tham khảo.

Chương 1 TỔNG QUAN VỀ AN MẠNG WLAN

1.1Giới thiệu về mạng WLAN

Mạng LAN không giây viết tắt là WLAN (Wireless Local Area Network), là một loại mạng máy tính mà các thành phần trong mạng không sử dụng các cáp như một mạng thông thường, môi trường truyền thông trong mạng là không khí Các thành phần trong mạng sử dụng sóng điện từ để truyền thông với nhau Nó giúp cho người sử dụng có thể di chuyển trong một vùng bao phủ rộng mà vẫn có thể kết nối được với mạng.

1.2 Lịch sử hình thành và phát triển của WLAN

Năm 1990, công nghệ WLAN lần đầu tiên xuất hiện, khi những nhà sản xuất giới thiệu những sản phẩm hoạt động ở băng tần 900 Mhz Các giải pháp này (không có sự thống nhất của các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mbs, thấp hơn rất nhiều so với tốc độ 10 Mbs của hầu hết các mạng sử dụng cáp lúc đó.

Năm 1992, các nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần 2.4GHz Mặc dù những sản phẩm này có tốc độ truyền cao hơn nhưng chúng vẫn chỉ là những giải pháp riêng của mỗi nhà sản xuất và không được công bố rộng rãi Sự cần thiết cho việc thống nhất hoạt động giữa các thiết bị ở những dãy tần số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây.

Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã thông qua sự ra đời của chuẩn 802.11, và được biết đến với tên WIFI (Wireless Fidelity) cho các mạng WLAN.

Năm 1999, IEEE thông qua sự bổ sung cho chuẩn 802.11 là chuẩn 802.11a và802.11b (định nghĩa ra những phương pháp truyền tín hiệu) Và các thiết bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây nổi trội.

Năm 2003, IEEE công bố thêm sự cải tiến là chuẩn 802.11g, chuẩn này cố gắng tích hợp tốt nhất các chuẩn 802.11a, 802.11b và 802.11g Sử dụng băng tần 2.4Ghz cho phạm vi phủ sóng lớn hơn.

Năm 2009, IEEE cuối cùng cũng thông qua chuẩn WIFI thế hệ mới 802.11n sau 6 năm thử nghiệm Chuẩn 802.11n có khả năng truyền dữ liệu ở tốc độ 300Mbps hay thậm chí cao hơn.

1.3 Các chuẩn của mạng thông dụng của WLAN

Năm 1997, Viện kỹ sư điện và điện tử (IEEE- Institute of Electrical and Electronics Engineers) đưa ra chuẩn mạng nội bộ không dây (WLAN) đầu tiên – được gọi là 802.11 theo tên của nhóm giám sát sự phát triển của chuẩn này Lúc này, 802.11 sử dụng tần số 2,4GHz và dùng kỹ thuật trải phổ trực tiếp (Direct- Sequence Spread Spectrum-DSSS) nhưng chỉ hỗ trợ băng thông tối đa là 2Mbps – tốc độ khá chậm cho hầu hết các ứng dụng Vì lý do đó, các sản phẩm chuẩn không dây này không còn được sản xuất nữa.

Chuẩn này được IEEE bổ sung và phê duyệt vào tháng 9 năm 1999, nhằm cung cấp một chuẩn hoạt động ở băng tần mới 5 GHz và cho tốc độ cao hơn (từ 20 đến 54 Mbit/s) Các hệ thống tuân thủ theo chuẩn này hoạt động ở băng tần từ 5,15 đến 5,25GHz và từ 5,75 đến 5,825 GHz, với tốc độ dữ liệu lên đến 54 Mbit/s. Chuẩn này sử dụng kỹ thuật điều chế OFDM (Orthogonal Frequency Division Multiplex), cho phép đạt được tốc độ dữ liệu cao hơn và khả năng chống nhiễu đa đường tốt hơn.

Có thể sử dụng đến 8 Access Point (truyền trên 8 kênh Non-overlapping, kênh không chồng lấn phổ), đặc điểm này ở dải tần 2,4Ghz chỉ có thể sử dụng 3 Access Point (truyền trên 3 kênh Non – overlapping).

Các sản phẩm của theo chuẩn IEEE 802.11a không tương thích với các sản phẩm theo chuẩn IEEE 802.11 và 802.11b vì chúng hoạt động ở các dải tần số khác nhau Tuy nhiên các nhà sản xuất chipset đang cố gắng đưa loại chipset hoạt động ở cả 2 chế độ theo hai chuẩn 802.11a và 802.11b Sự phối hợp này được biết đến với tên WiFi5 ( WiFi cho công nghệ 5Gbps).

Cũng giống như chuẩn IEEE 802.11a, chuẩn này cũng có những thay đổi ở lớp vật lý so với chuẩn IEEE.802.11 Các hệ thống tuân thủ theo chuẩn này hoạt động trong băng tần từ 2,400 đến 2,483 GHz, chúng hỗ trợ cho các dịch vụ thoại, dữ liệu và ảnh ở tốc độ lên đến 11 Mbit/s Chuẩn này xác định môi trường truyền dẫn DSSS với các tốc độ dữ liệu 11 Mbit/s, 5,5 Mbit/s, 2Mbit/s và 1 Mbit/s.

Các hệ thống tuân thủ chuẩn IEEE 802.11b hoạt động ở băng tần thấp hơn và khả năng xuyên qua các vật thể cứng tốt hơn các hệ thống tuân thủ chuẩn IEEE 802.11a Các đặc tính này khiến các mạng WLAN tuân theo chuẩn IEEE 802.11b phù hợp với các môi trường có nhiều vật cản và trong các khu vực rộng như các khu nhà máy, các kho hàng, các trung tâm phân phối, Dải hoạt động của hệ thống khoảng 100 mét

IEEE 802.11b là một chuẩn được sử dụng rộng rãi nhất cho Wireless LAN trước đây Vì dải tần số 2,4GHz là dải tần số ISM (Industrial, Scientific and Medical: dải tần vô tuyến dành cho công nghiệp, khoa học và y học, không cần xin phép) cũng được sử dụng cho các chuẩn mạng không dây khác như là: Bluetooth và HomeRF, hai chuẩn này không được phổ biến như là 801.11 Bluetooth được thiết kế sử dụng cho thiết bị không dây mà không phải là Wireless LAN, nó được dùng cho mạng cá nhân PAN (Personal Area Network) Như vậy Wireless LAN sử dụng chuẩn 802.11b và các thiết bị Bluetooth hoạt động trong cùng một dải băng tần.

Cấu trúc của đề tài

Ngoài phần mở đầu và kết luận, nôi dụng của đề tài này được bố cục như sau: Chương 1: Trình bày tổng quan về mạng WLAN không dây

Chương 2: Trình bày về các kỹ thuật tấn công và bảo mật trong mạng

Chương 3: Xây dựng giải pháp và triển khai hệ thống mạng WLAN bảo mật tại trường THCS&THPT Võ Văn Kiệt.

5 Kết quả nghiên cứu Đề tài góp phần hoàn thiện trong việc triển khai và bảo mật mạng WLAN an toàn cho người sử dụng Kết quả nghiên cứu của đề tài có giá trị thực tiễn đảm bảo an toàn bảo mật về mạng WLAN không dây tại cơ quan và tham khảo trong công tác nghiên cứu các mạng không dây khác.

Cuối cùng là tài liệu tham khảo.

Chương 1 TỔNG QUAN VỀ AN MẠNG WLAN

1.1Giới thiệu về mạng WLAN

Các hệ thống tuân theo chuẩn này hoạt động ở băng tần 2,4 GHz và có thể đạt tới tốc độ 54 Mbit/s Giống như IEEE 802.11a, IEEE 802.11g còn sử dụng kỹ thuật điều chế OFDM để có thể đạt tốc độc cao hơn Ngoài ra, các hệ thống tuân thủ theoIEEE 802.11g có khả năng tương thích ngược với các hệ thống theo chuẩn IEEE

TỔNG QUAN VỀ AN MẠNG WLAN

Giới thiệu về mạng WLAN

802.11b vì chúng thực hiện tất cả các chức năng bắt buộc của IEEE 802.11b và cho phép các khách hàng của hệ thống tuân theo IEEE 802.11b kết hợp với các điểm chuẩn AP của IEEE 802.11g.

Các chuẩn của mạng thông dụng của WLAN

802.11b vì chúng thực hiện tất cả các chức năng bắt buộc của IEEE 802.11b và cho phép các khách hàng của hệ thống tuân theo IEEE 802.11b kết hợp với các điểm chuẩn AP của IEEE 802.11g.

Chuẩn 802.11n đã được IEEE (Institute of Electrical and Electronics Engineers) phê duyệt đưa vào sử dụng chính thức và cũng đã được Hiệp hội Wi-Fi (Wi-Fi Alliance) kiểm định và cấp chứng nhận cho các sản phẩm đạt chuẩn Chứng nhận chuẩn Wi-Fi 802.11n là bước cập nhật thêm một số tính năng tùy chọn cho 802.11n dự thảo 2.0 (draft 2.0) được Wi-Fi Alliance bắt đầu từ tháng 6/2007 Các yêu cầu cơ bản như băng tầng, tốc độ, các định dạng khung, khả năng tương thích ngược không thay đổi.

Về mặt lý thuyết, chuẩn 802.11n cho phép kết nối với tốc độ 300 Mbps (có thể lên tới 600Mbps), tức là nhanh hơn khoảng 6 lần tốc độ đỉnh theo lý thuyết của các chuẩn trước đó như 802.11g/a (54 Mbps) và mở rộng vùng phủ sóng 802.11n là mạng Wi-Fi đầu tiên có thể cạnh tranh về mặt hiệu suất với mạng có dây 100Mbps. Chuẩn 802.11n hoạt động ở cả hai tần số 2,4GHz và 5GHz với kỳ vọng có thể giảm bớt được tình trạng “quá tải” ở các chuẩn trước đây.

1.3.6 So sánh các chuẩn IEEE 802.11x:

Bảng 1.1 So sánh các chuẩn IEEE 802.11x thông dụng

Tốc độ tối đa 54Mbps 11Mbps 54 Mbps 300 Mbps hay cao hơn Điều chế OFDM DSSS hay

DSSS hay CCK hay OFDM

Dải tần số trung tầng CRF 5GHZ 2,4 GHZ 2,4 GHZ 2,4 GHZ hay 5

Spatial stream 1 1 1 1,2,3 hay 4 Độ rộng băng thông 20MHz 20MHz 20MHz 20MHz hay

Cấu trúc của WLAN

1.4.1 Cấu trúc cơ bản của mạng WLAN

Mạng sử dụng chuẩn 802.11 gồm có 4 thành phần chính :

Hệ thống phân phối (Distribution System - DS): Distribution System là thành phần logic của 802.11 sử dụng để điều phối thông tin đến các station đích. Chuẩn 802.11 không đặc tả chính xác kỹ thuật cho DS

Điểm truy cập (Access Point): Chức năng chính của AP là mở rộng mạng.

Nó có khả năng chuyển đổi các frame dữ liệu trong 802.11 thành các frame thông dụng để có thể sử dụng trong các mạng khác.

Tần liên lạc vô tuyến (Wireless Medium): Chuẩn 802.11 sử dụng tầng liên lạc vô tuyến để chuyển các frame dữ liệu giữa các máy trạm với nhau

Các máy trạm (Stattions): Các máy trạm là các thiết bị vi tính có hỗ trợ kết nối vô tuyến như: Máy tính xách tay, PDA, Palm, Desktop (có hỗ trợ kết nối vô tuyến).

Hình 1.1 – Cấu trúc cơ bản của một mạng WLAN.

1.4.2 Các thiết bị hạ tầng:

1.4.2.1 Điểm truy cập: AP (Access Point):

Cung cấp cho các máy khách (client) một điểm truy cập vào mạng "Nơi mà các máy tính dùng wireless có thể vào mạng nội bộ của công ty" AP là một thiết bị song công (Full duplex) có mức độ thông minh tương đương với một chuyển mạchEthernet phức tạp (Switch).

Hình 1.2 – Access Point Các chế độ hoạt động của AP:

- AP có thể giao tiếp với các máy không dây, với mạng có dây truyền thống và với các AP khác Có 3 Mode hoạt động chính của AP:

- Chế độ gốc (Root mode): Root mode được sử dụng khi AP được kết nối với mạng backbone có dây thông qua giao diện có dây (thường là Ethernet) của nó Hầu hết các AP sẽ hỗ trợ các mode khác ngoài root mode, tuy nhiên root mode là cấu hình mặc định của các AP Khi một AP được kết nối với phân đoạn có dây thông qua cổng Ethernet của nó, nó sẽ được cấu hình để hoạt động trong root mode Khi ở trong root mode, các AP được kết nối với cùng một hệ thống phân phối có dây có thể nói chuyện được với nhau thông qua phân đoạn có dây Các client không dây có thể giao tiếp với các client không dây khác nằm trong những cell (ô tế bào, hay vùng phủ sóng của AP) khác nhau thông qua AP tương ứng mà chúng kết nối vào, sau đó các AP này sẽ giao tiếp với nhau thông qua phân đoạn có dây.

Hình1.3– Chế độ Root Mode

- Chế độ cầu nối (Bridge mode): Trong Bride mode, AP hoạt động hoàn toàn giống với một Bridge không dây Chỉ một số ít các AP trên thị trường có hỗ trợ chức năng Bridge, điều này sẽ làm cho thiết bị có giá cao hơn đáng kể

Hình 1.4 mô tả AP hoạt động theo chế độ này Client không kết nối với

Bridge, nhưng thay vào đó, Bridge được sử dụng để kết nối 2 hoặc nhiều đoạn mạng có dây lại với nhau bằng kết nối không dây.

Hình 1.4 – Chế độ Bridge Mode

- Chế độ lặp (Repeater mode): Trong Repeater mode, AP có khả năng cung cấp một đường kết nối không dây upstream vào mạng có dây thay vì một kết nối có dây bình thường Như trong hình 1.5, một AP hoạt động như là một root mode và

AP còn lại hoạt động như là một Repeater không dây AP trong repeater mode kết nối với các client như là một AP và kết nối với upstream AP như là một client Việc sử dụng AP trong Repeater mode là hoàn toàn không nên trừ khi cực kỳ cần thiết bởi vì các cell xung quanh mỗi AP trong trường hợp này phải chồng lên nhau ít nhất là 50% Cấu hình này sẽ giảm trầm trọng phạm vi mà một client có thể kết nối đến repeater AP Thêm vào đó, Repeater AP giao tiếp cả với client và với upstream AP thông qua kết nối không dây, điều này sẽ làm giảm thông lượng trên đoạn mạng không dây

Hình 1.5 – Chế độ Repeater Mode

1.4.2.2 Các thiết bị máy khách trong mạng WLAN: a) Card PCI Wireless:

Là thành phần phổ biến nhất trong WLAN Dùng để kết nối các máy khách vào hệ thống mạng không dây Được cắm vào khe PCI trên máy tính Loại này được sử dụng phổ biến cho các máy tính để bàn (desktop) kết nối vào mạng không dây.

Hình 1.6– Card PCI Wireless b) Card PCMCIA Wireless:

Trước đây được sử dụng trong các máy tính xách tay (laptop) và các thiết bị hỗ trợ cá nhân số PDA (Personal Digital Associasion) Hiện nay nhờ sự phát triển của công nghệ nên PCMCIA wireless ít được sử dụng vì máy tính xách tay và PDA,

… đều được tích hợp sẵn Card Wireless bên trong thiết bị.

Hình1.7-Card PCMCIA Wireless c) Card USB Wireless:

Loại rất được ưu chuộng hiện nay dành cho các thiết bị kết nối vào mạng không dây vì tính năng di động và nhỏ gọn Có chức năng tương tự như Card PCIWireless, nhưng hỗ trợ chuẩn cắm là USB (Universal Serial Bus) Có thể tháo lắp nhanh chóng (không cần phải cắm cố định như Card PCI Wireless) và hỗ trợ cắm khi máy tính đang hoạt động.

Hoạt dộng của mạng máy tính không dây

Các mạng WLAN sử dụng các sóng điện từ không gian để truyền thông tin từ một điểm tới điểm khác Các sóng vô tuyến thường được xem như các sóng mang vô tuyến do chúng chỉ thực hiện chức năng cung cấp năng lượng cho một máy thu ở xa Dữ liệu đang được phát được điều chế trên sóng mang vô tuyến sao cho có thể được khôi phục chính xác tại máy thu.

Trong cấu hình của mạng WLAN tiêu chuẩn, một điểm truy cập nối với mạng hữu tuyến từ một vị trí cố định sử dụng cáp tiêu chuẩn Chức năng tối thiểu của điểm truy cập là thu, làm đệm, phát dữ liệu giữa mạng WLAN và cơ sở hạ tầng mạng hữu tuyến.

Các mô hình mạng WLAN

Mạng WLAN gồm 3 mô hình cơ bản như sau :

Mô hình mạng độc lập (IBSS) còn gọi AD-HOC

Mô hình mạng cơ sở (BSS).

Mô hình mạng mở rộng (ESS).

1.6.1 Mô hình mạng độc lập (IBSS - Independent Basic Service Set)

Các trạm (máy tính có hỗ trợ card mạng không dây) tập trung lại trong một không gian nhỏ để hình thành nên kết nối ngang cấp (peer-to-peer) giữa chúng Các nút di động có card mạng wireless là chúng có thể trao đổi thông tin trực tiếp với nhau, không cần phải quản trị mạng Vì các mạng ad-hoc này có thể thực hiện nhanh và dễ dàng nên chúng thường được thiết lập mà không cần một công cụ hay kỹ năng đặc biệt nào vì vậy nó rất thích hợp để sử dụng trong các hội nghị thương mại hoặc trong các nhóm làm việc tạm thời Tuy nhiên chúng có thể có những nhược điểm về vùng phủ sóng bị giới hạn, mọi người sử dụng đều phải nghe được lẫn nhau.

Hình 1.9 – Mô hình mạng AD HOC

Ưu điểm : Kết nối Peer-to-Peer không cần dùng Access Point, chi phí thấp, cấu hình và cài đặt đơn giản.

Khuyết điểm : Khoảng cách giữa các máy trạm bị giới hạn, số lượng người dùng cũng bị giới hạn, không tích hợp được vào mạng có dây sẵn có.

1.6.2 Mô hình mạng cơ sở (BSS - Basic Service Set):

Point (AP) AP là điểm trung tâm quản lý mọi sự giao tiếp trong mạng, khi đó Trong mô mạng cở sở, các Client muốn liên lạc với nhau phải thông Access các Client không thể liên lạc trực tiếp với như trong mạng Independent BSS Để giao tiếp với nhau các Client phải gửi các Frame dữ liệu đến AP, sau đó AP sẽ gửi đến máy nhận.

Hình 1.10 – Mô hình mạng cơ sở

- Ưu điểm : Các máy trạm không kết nối trực tiếp được với nhau, các máy trạm trong mạng không dây có thể kết nối với hệ thống mạng có dây.

- Khuyết điểm : Giá thành cao, cài đặt và cấu hình phức tạp hơn mô hình Ad-

1.6.3 Mô hình mạng mở rộng (ESS - Extended Service Set):

Nhiều mô hình BSS kết hợp với nhau gọi là mô hình mạng ESS Là mô hình sử dụng từ 2 AP trở lên để kết nối mạng Khi đó các AP sẽ kết nối với nhau thành một mạng lớn hơn, phạm vi phủ sóng rộng hơn, thuận lợi và đáp ứng tốt cho các Client di động Đảm bảo sự hoạt động của tất cả các Client.

Hình 1.11 – Mô hình mạng mở rộng

1.6.4 Một số mô hình mạng WLAN khác:

1.6.4.1 Mô hình Roaming: Đây là một tính năng trong mô hình mạng mở rộng Các điểm truy cập (Access Point) có một phạm vi phủ sóng hữu hạn Trong phạm vi lớn hơn như kho hàng, hoặc khu vực cơ quan cần thiết phải lặp đặt nhiều điểm truy cập hơn Việc xác định vị trí điểm truy dựa trên phương pháp khảo sát vị trí Mục đích sẽ phủ lên vùng phủ sóng bằng các cell (vùng phủ sóng của Access Point) chồng lấp nhau để các máy trạm di chuyển khắp vùng mà không mất liên lạc mạng Khả năng các máy trạm di chuyển không ghép nối giữa một cụm của các điểm truy cập được gọi Roaming. Các điểm truy cập chuyển khách hàng từ site này đến site khác một cách tự động mà máy trạm không hay biết, bảo đảm cho kết nối liên tục Trong mô hình này cácAccess Point phải có cùng giá trị ESSID.

1.6.4.2 Mô hình khuyếch đại tín hiệu (Repeater Access Point):

Hình 1.13– Mô hình khuyếch đại tín hiệu

1.6.4.3 Mô hình Point to Point:

Hình 1.14 – Mô hình Point to Point

1.6.4.4 Mô hình Point to Multipoint:

Ưu điểm và khuyết điểm của mạng WLAN

 Sự tiện lợi: mạng không dây cung cấp giải pháp cho phép người sử dụng truy cập tài nguyên trên mạng ở bất kì nơi đâu trong khu vực WLAN được triển khai (khách sạn, trường học, thư viện…) Với sự bùng nổ của máy tính xách tay và các thiết bị di động hỗ trợ wifi như hiện nay, điều đó thật sự rất tiện lợi.

 Hiệu quả: Người sử dụng có thể duy trì kết nối mạng khi họ đi từ nơi này đến nơi khác.

 Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, chúng ta chỉ cần một đường truyền ADSL và một AP là được một mạng WLAN đơn giản Với việc sử dụng cáp, sẽ rất tốn kém và khó khăn trong việc triển khai ở nhiều nơi trong tòa nhà.

 Khả năng mở rộng: Mở rộng dễ dàng và có thể đáp ứng tức thì khi có sự gia tăng lớn về số lượng người truy cập.

Bên cạnh những thuận lợi mà mạng không dây mang lại cho chúng ta thì nó cũng mắc phải những nhược điểm Đây là sự hạn chế của các công nghệ nói chung.

 Bảo mật: Đây có thể nói là nhược điểm lớn nhất của mạng WLAN, bởi vì phương tiện truyền tín hiệu là song và môi trường truyền tín hiệu là không khí nên khả năng một mạng không dây bị tấn công là rất lớn

 Phạm vi: Như ta đã biết chuẩn IEEE 802.11n mới nhất hiện nay cũng chỉ có thể hoạt động ở phạm vi tối đa là 150m, nên mạng không dây chỉ phù hợp cho một không gian hẹp.

 Độ tin cậy: Do phương tiện truyền tín hiệu là sóng vô tuyến nên việc bị nhiễu, suy giảm…là điều không thể tránh khỏi Điều này gây ảnh hưởng đến hiệu quả hoạt động của mạng.

 Tốc độ: Tốc độ cao nhất hiện nay của WLAN có thể lên đến 600Mbps nhưng vẫn chậm hơn rất nhiều so với các mạng cáp thông thường (có thể lên đến hàng Gbps)

Nội dung chương này đã trình bày các kiến thức tổng quan về công nghệ mạng Internet và đặc biệt là giới thiệu về công nghệ mạng WLan, các chuẩn của mạng WLAN, cấu trúc cơ bản và các mô hình của mạng WLan không dây đồng thời tìm hiểu các ưu điểm và nhược điểm của mạng Wlan hiện nay.

Tuy nhiên cũng giống như mọi công nghệ mạng Internet khác, vấn đề an ninh trong mạng Internet không dây cũng được đặt ra và đặc biệt trong hoàn cảnh được sử dụng rộng rãi như hiện nay thì vấn đề an ninh cho mạng Internet không dây trở nên là một vấn đề nóng hổi, cấp thiết trong lĩnh vực điện toán và công nghệ mạng Do đó, nội dung chương tiếp theo sẽ đi giới thiệu, nghiên cứu các kỹ thuật tấn công mạng Internet không dây để từ đó đưa ra những giải pháp an ninh cho mạng Internet không dây, nghiên cứu chi tiết phương pháp bảo mật và đảm bảo toàn vẹn dữ liệu bên trong các giải pháp đó.

Kết luận

2.1 Giới thiệu tấn công mạng WLAN không dây

Tấn công và phòng chống trong mạng WLAN là vấn đề được quan tâm rất nhiều hiện nay bởi các chuyên gia trong lĩnh vực bảo mật Nhiều giải pháp tấn công và phòng chống đã được đưa ra nhưng chưa giải pháp nào thật sự gọi là bảo mật hoàn toàn Cho đến hiện nay, mọi giải pháp phòng chống được đưa ra đều là tương đối, nghĩa là tính bảo mật trong mạng WLAN vẫn có thể bị phá vỡ bằng nhiều cách khác nhau Chương này sẽ nêu ra những kiểu tấn công thường được áp dụng trong mạng WLAN, khái niệm, đặc điểm tấn công và một số phương pháp phòng chống. Hiện nay có rất nhiều kỹ thuật tấn công một mạng WLAN, chương này sẽ nêu ra một vài kỹ thuật tấn công mạng WLAN như sau:

Rogue Access Point (giả mạo AP).

Tấn công dựa trên sự cảm nhận lớp vật lý.

Disassociation Flood Attack (Tấn công ngắt kết nối).

Deny of Service Attack (Dos).

Man in the middle Attack (MITM).

CÁC KỸ THUẬT TẤN CÔNG VÀ BẢO MẬT MẠNG WLAN KHÔNG DÂY

Giới thiệu tấn công mạng WLAN không dây

Tấn công và phòng chống trong mạng WLAN là vấn đề được quan tâm rất nhiều hiện nay bởi các chuyên gia trong lĩnh vực bảo mật Nhiều giải pháp tấn công và phòng chống đã được đưa ra nhưng chưa giải pháp nào thật sự gọi là bảo mật hoàn toàn Cho đến hiện nay, mọi giải pháp phòng chống được đưa ra đều là tương đối, nghĩa là tính bảo mật trong mạng WLAN vẫn có thể bị phá vỡ bằng nhiều cách khác nhau Chương này sẽ nêu ra những kiểu tấn công thường được áp dụng trong mạng WLAN, khái niệm, đặc điểm tấn công và một số phương pháp phòng chống. Hiện nay có rất nhiều kỹ thuật tấn công một mạng WLAN, chương này sẽ nêu ra một vài kỹ thuật tấn công mạng WLAN như sau:

Rogue Access Point (giả mạo AP).

Tấn công dựa trên sự cảm nhận lớp vật lý.

Disassociation Flood Attack (Tấn công ngắt kết nối).

Deny of Service Attack (Dos).

Man in the middle Attack (MITM).

Các hình thức tấn công mạng WLAN không dây

Active Attack (Tấn công chủ động).

Dictionary Attack (Tấn công bằng phương pháp dò từ điển).

Jamming Attacks (Tấn công chèn ép).

Tấn công vào các yếu tố con người

Một số kiểu tấn công khác

2.2 Các hình thức tấn công mạng WLAN không dây

2.2.1 Rogue Access Point (giả mạo AP):

Access Point giả mạo được dùng để mô tả những Access Point được tạo ra một cách vô tình hay cố ý làm ảnh hưởng đến hệ thống mạng hiện có Nó được dùng để chỉ các thiết bị hoạt động không dây trái phép mà không quan tâm đến mục đích sử dụng của chúng.

 Access Point được cấu hình không hoàn chỉnh.

 Access Point giả mạo từ các mạng WLAN lân cận.

 Access Point giả mạo do kẻ tấn công tạo ra.

 Access Point giả mạo được thiết lập bởi chính nhân viên của công ty.

2.2.2 Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý:

Kẻ tấn công lợi dụng giao thức chống đụng độ CSMA/CD, tức là nó sẽ làm cho tất cả những người dùng nghĩ rằng lúc nào trong mạng cũng có một máy tính đang truyền tin. Điều này làm cho các máy tính khác ở vào trạng thái chờ đợi hacker truyền dữ liệu xong, dẫn đến tình trạng nghẽn mạng.

Tần số là một nhược điểm trong bảo mật mạng không dây, mức độ nguy hiểm thay đổi phụ thuộc vào giao diện của lớp vật lí Có một vài tham số quyết định sức chịu đựng của mạng là: Năng lượng máy phát, độ nhạy máy thu, tần số RF, băng thông và sự định hướng của ăngten.

2.2.3 Disassociation Flood Attack (Tấn công ngắt kết nối):

Hình 2.1 - Mô hình tấn công disassociation flood

 Kẻ tấn công xác định mục tiêu (wireless clients) và mối liên kết giữa AP với các clients.

 Kẻ tấn công gửi disassociation framebằng cách giả mạo Source và Destina- tion MAC đến AP và các client tương ứng.

 Client sẽ nhận các frame này và nghĩ rằng frame hủy kết nối đến từ AP. Đồng thời kẻ tấn công cũng gởi disassociation frame đến AP.

 Sau khi đã ngắt kết nối của một client, kẻ tấn công tiếp tục thực hiện týõng tự với các client còn lại làm cho các client tự động ngắt kết nối với AP.

 Khi các clients bị ngắt kết nối sẽ thực hiện kết nối lại với AP ngay lập tức.

Kẻ tấn công tiếp tục gởi disassociation frame đến AP và client.

2.2.4 Deny of Service Attack (Dos):

DoS là một kỹ thuật được sử dụng chỉ đơn giản để làm hư hỏng mạng không dây hoặc làm cho nó không thể cung cấp dịch vụ như thông thường Tương tự như những kẻ phá hoại sử dụng tấn công DoS vào một web server làm nghẽn server đó thì mạng WLAN cũng có thể bị shut down bằng cách gây nghẽn tín hiệu RF Những tín hiệu gây nghẽn này có thể là cố ý hay vô ý và có thể loại bỏ được hay không loại bỏ được Khi một attacker chủ động tấn công DoS, attacker có thể sử dụng một thiết bị WLAN đặc biệt, thiết bị này là bộ phát tín hiệu RF công suất cao hay thiết bị chuyên dung khác.

2.2.5 Man in the middle Attack (MITM):

Tấn công theo kiểu Man-in-the-middle là trường hợp trong đó attacker sử dụng một AP để đánh cắp các node di động bằng cách gởi tín hiệu RF mạnh hơn AP thực đến các node đó Các node di động nhận thấy có AP phát tín hiệu RF tốt hơn nên sẽ kết nối đến AP giả mạo này, truyền dữ liệu có thể là những dữ liệu nhạy cảm đến AP giả mạo và attacker có toàn quyền xử lý Đơn giãn là kẻ đóng vai trò là một

AP giả mạo đứng giữa tất cả các Client và AP thực sự, thậm chí các Client và AP thực không nhận thấy sự hiện diện của AP giả mạo này.

2.2.6 Passive Attack (Tấn công bị động):

Tấn công bị động (passive) hay nghe lén (sniffing) có lẽ là một phương pháp tấn công WLAN đơn giản nhất nhưng vẫn rất hiệu quả Passive attack không để lại một dấu vết nào chứng tỏ đã có sự hiện diện của attacker trong mạng vì khi tấn công attacker không gửi bất kỳ gói tin nào mà chỉ lắng nghe mọi dữ liệu lưu thông trên mạng.

Sniffer thường là một phần mềm có thể lắng nghe và giải mã các gói dữ liệu lưu thông trên mạng, sniffer đóng vai trò một hệ thống trung gian và sẽ copy tất cả các gói dữ liệu mà được gửi từ máy A sang máy B, chụp lấy password trong những phiên kết nối của các Client Vì vậy mạng Wireless rất dễ bị nghe lén so với mạng có dây thông thường.

2.2.7 Active Attack (Tấn công chủ động):

Attacker có thể tấn công chủ động (active) để thực hiện một số tác vụ trên mạng. Một cuộc tấn công chủ động có thể được sử dụng để truy cập vào server và lấy được những dữ liệu có giá trị hay sử dụng đường kết nối Internet của doanh nghiệp để thực hiện những mục đích phá hoại hay thậm chí là thay đổi cấu hình của hạ tầng mạng Bằng cách kết nối với mạng không dây thông qua AP, attacker có thể xâm nhập sâu hơn vào mạng hoặc có thể thay đổi cấu hình của mạng.

2.2.8 Dictionary Attack (Tấn công bằng phương pháp dò từ điển):

Việc dò mật khẩu dựa trên nguyên lý quét tất cả các trường hợp có thể sinh ra từ tổ hợp của các ký tự Nguyên lý này có thể được thực thi cụ thể bằng những phương pháp khác nhau như quét từ trên xuống dưới, từ dưới lên trên, từ số đến chữ, vv

Việc quét thế này tốn nhiều thời gian ngay cả trên những thế hệ máy tính tiên tiến bởi vì số trường hợp tổ hợp ra là cực kỳ nhiều Thực tế là khi đặt một mật mã, nhiều người thường dùng các từ ngữ có ý nghĩa liên quan tới mình Ví dụ như ngày sinh, tên riêng, Trên cơ sở đó một nguyên lý mới được đưa ra là sẽ quét mật khẩu theo các trường hợp theo các từ ngữ trên một bộ từ điển có sẵn, nếu không tìm ra lúc đấy mới quét tổ hợp các trường hợp Bộ từ điển này gồm những từ ngữ được sử dụng trong cuộc sống, trong xã hội, vv và nó luôn được cập nhật bổ sung để tăng khả năng “thông minh” của bộ phá mã.

2.2.9 Jamming Attacks (Tấn công chèn ép):

Jamming là một kỹ thuật được sử dụng chỉ đơn giản để làm hỏng (shut down) mạng không dây của bạn Tương tự như những kẻ phá hoại sử dụng tấn công DoS vào một web server làm nghẽn server đó thì mạng WLAN cũng có thể bị shut down bằng cách gây nghẽn tín hiệu RF Những tín hiệu gây nghẽn này có thể là cố ý hay vô ý và có thể loại bỏ được hay không loại bỏ được Khi một hacker chủ động tấn công jamming, hacker có thể sử dụng một thiết bị WLAN đặc biệt, thiết bị này là bộ phát tín hiệu RF công suất cao hay sweep generator.

2.2.10 Tấn công vào các yếu tố con người Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn thất hết sức khó lường Kẻ tấn công có thể liên lạc với người quản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho các phương thức tấn công khác.

2.2.11 Một số kiểu tấn công khác

Ngoài các hình thức tấn công kể trên, kẻ tấn công còn sử dụng một số kiểu tấn công khác như tạo ra virus đặt nằm tiềm ẩn trên các file khi người sử dụng do vô tình trao đổi thông tin qua mạng không dây mà người sử dụng đã tự cài đặt nó lên trên máy của mình.

2.3 Giải pháp về bảo mật mạng WLAN không dây

Giải pháp về bảo mật mạng WLAN không dây

độ đánh giá về an toàn và bảo mật hệ thống thông tin Để đảm bảo được tính an toàn và bảo mật cho một hệ thống cần phải có sự phối hợp giữa các yếu tố phần cứng, phần mềm và con người.

2.3.1 Tại sao phải bảo mật:

Mạng WLAN vốn là một mạng không an toàn, tuy nhiên ngay cả với mạng Wirled LAN hay WAN nếu không có phương pháp bảo mật hữu hiệu đều không an toàn Để kết nối tới một mạng LAN hữu tuyến người dùng cần phải truy cập theo đường truyền bằng dây cáp, phải kết nối một PC vào một cổng mạng Các mạng không dây sử dụng sóng vô tuyến xuyên qua vật liệu của các tòa nhà, như vậy, sự bao phủ của sóng vô tuyến không phải chỉ trong phạm vi của tòa nhà ấy Do đó, mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ nhờ các thiết bị thích hợp.

Với giá thành xây dựng một hệ thống mạng WLAN giảm, ngày càng có nhiều tổ chức, công ty và các cá nhân sử dụng Điều này sẽ không thể tránh khỏi việc hacker chuyển sang tấn công và khai thác các điểm yếu trên nền tảng mạng sử dụng chuẩn 802.11 Những công cụ Sniffers cho phép bắt được các gói tin giao tiếp trên mạng, họ có thể phân tích và lấy đi những thông tin quan trọng của chúng ta Ngoài ra, hacker có thể lấy đi những dữ liệu mật của công ty; xen vào phiên giao dịch giữa tổ chức và khách hàng lấy những thông tin nhạy cảm; hoặc phá hoại hệ thống. Những tổn thất to lớn tới tổ chức, công ty không thể lường trước được Vì thế, xây dựng mô hình, chính sách bảo mật là cần thiết.

2.3.2 Tiêu chí đánh giá vấn đề an toàn, bảo mật hệ thống: Để đảm bảo an ninh cho mạng, cần phải xây dựng một số tiêu chuẩn đánh giá mức độ an ninh an toàn mạng Một số tiêu chuẩn đã được thừa nhận là thước đo mức độ an ninh mạng. a Đánh giá trên phương diện vật lý, thiết bị phải đáp ứng được những nhu cầu sau :

 Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột Có khả năng thay thế nóng từng phần hoặc toàn phần (hot-plug, hot-swap).

 Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm.

 Yêu cầu nguồn điện, có dự phòng trong tình huống mất đột ngột.

 Các yêu cầu phù hợp với môi trường xung quanh : độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ, vv

 Có các biện pháp sao lưu dữ liệu một cách định kỳ và không định kỳ trong các tình huống phát sinh.

 Có biện pháp lưu trữ dữ liệu tập trung và phân tán nhằm chia bớt rủi ro trong các trường hợp đặc biệt như cháy nổ, thiên tai, chiến tranh, vv b Trên phương diện logic, hệ thống bảo mật phải đảm bảo các yêu cầu sau :

 Tính không thể phủ nhận (Non repudiation).

 Khả năng điều khiển truy nhập (Access Control).

2.3.3 Các hình thức bảo mật mạng Wlan không dây

2.3.3.1 Bảo mật bằng WEP (Wired Equivalent Privacy )

WEP là một thuật toán nhằm bảo vệ sự trao đổi thông tin chống lại sự nghe trộm, chống lại những kết nối mạng không được cho phép cũng như chống lại việc thay đổi hoặc làm nhiễu thông tin truyền WEP sử dụng stream cipher RC4 cùng với một mã 40 bit và một số ngẫu nhiên 24 bit( initialization vector –IV) để mã hóa thông tin Thông tin mã hóa được tạo ra bằng cách thực hiện phép toán XOR giữa keystrem và plain text Thông tin mã hóa và IV sẽ được gửi đến người nhận Người nhận sẽ giải mã thông tin dựa vào IV và khóa WEP đã biết trước.

AES đã đạt được một sự chấp nhận như là một sự thay thế xứng đáng cho thuật toán RC4 được sử dụng trong WEP AES sử dụng thuật toán Rijndale có chiều dài key lần lượt là 128 bit, 192 bit và 256 bit.

AES được xem như là không thể crack được bởi hầu hết các chuyên gia mật mã và National Institute of Standard and Technology (NIST) đã chọn sử dụng AES cho chuẩn xử lý thông tin Liên Bang (FIPS = Federal Information Processing Standard) Như là một phần của nỗ lực cải tiến chuẩn 802.11, ban làm việc 802.11i đã xem xét sử dụng AES trong phiên bản WEPv2.

AES được thông qua bởi nhóm làm việc 802.11i để sử dụng trong WEPv2 được cài đặt trong firmware và software bởi các nhà sản xuất AP firmware và client firmware sẽ phải nâng cấp lên để có thể hỗ trợ AES Các phần mềm trên client (driver và ứng dụng) sẽ hỗ trợ cấu hình AES với key bí mật.

2.3.3.3 Filtering( Bảo mật hệ thống )

Lọc là cơ chế bảo mật cơ bản có thể sử dụng cùng với WEP Lọc hoạt động giống access list trên router, cấm những cái không mong muốn và cho phép những cái mong muốn Có 3 kiểu lọc cơ bản có thể sử dụng trong wireless lan:

* Lọc SSID: là phương thức cơ bản của lọc và chỉ nên được sử dụng trong việc điều khiển truy cập cơ bản.

SSID của client phải khớp với SSID của AP để có thể xác thực và kết nối với tập dịch vụ SSID được quảng bá mà không được mã hóa trong các Beocon nên rất dễ bị phát hiện bằng cách sử dungjcacs phần mềm Một số sai lầm mà người sử dung WLAN mắc phải trong quản lí SSSID gồm:

 Sử dụng giá trị SSID mặc định tạo điều kirnj cho hacker dò tìm địa chỉ MAC của AP.

 Sử dụng SSID có liên qua đến công ty.

 Sử dụng SSID như là phương thức bảo mật của công ty.

 Quảng bá SSID một cách không cần thiết.

Hầu hết các AP đều có chức năng lọc địa chỉ MAC Người quản trị xây dựng danh sách các địa chỉ MAC được cho phép.

Nếu client có địa chỉ MAC không nằm trong danh sách lọc địa chỉ MAC của AP thì AP sẽ ngăn chặn không cho phép client đó kết nối vào mạng.

Nếu công ty có nhiều client thì có thể xây dựng máy chủ RADIUS có chức năng lọc địa chỉ MAC thay vì AP Cấu hình lọc địa chỉ MAC là giải pháp bảo mật có tính mở rộng cao.

Mạng Lan không dây có thể lọc các gói đi qua mạng dựa trên các giao thức từ lớp 2 đến lớp 7 Trong nhiều trường hợp người quản trị nên cài đặt lọc giao thức trong môi trường dùng chung

Hình 2.2 - Tiến trình xác thực MAC

 Có một nhóm cầu nối không dây được đặt trên một Remote building trong một mạng WLAN của một trường đại học mà kết nối lại tới AP của tòa nhà kỹ thuật trung tâm.

Hiện trạng mô hình mạng INTERNET không dây của Trường THCS&THPT Võ Văn Kiệt hiện nay

Hệ thống mạng Internet không dây được xây dựng tại trường THCS&THPT

- Đảm bảo truy cập không dây cho các thiết bị di động có hỗ trợ.

- Đảm bảo cung cấp được khả năng truy cập Internet không dây tại các khu vực làm việc chính trong trường

3.1.2 Mô hình logic và sơ đồ phủ sóng vật lý tổng thể tại trường a Mô hình thiết kế logic

- Gồm các Access point đặt tại các phòng ban được liên kết với nhau dựa trên hệ thống mạng Internet có dây tại trường b Mô hình phủ sóng tại trường.

3.1.3 Phân bổ thiết bị sử dụng trong nhà trường a Tại mạng trung tâm ở nhà trường

- Sử dụng 1 thiết bị AP TP-Link 108Mbits 1 Port (TL-WA601G) của TP-Link để phủ sóng wifi toàn bộ toà nhà hiệu bộ.

Modem ADSL 1 Đường vào ADSL

Nhà Hiệu Bộ Thư viện Đường vào ADSL

Modem ADSL 3 Đường vào ADSL

Phòng máy 2 Đường vào ADSLModem ADSL 2

Giải pháp bảo mật trong mạng không dây tại trường THCS&THPT Võ Văn Kiệt

-Tổng cộng sẽ có 4 AP được phân bổ như sau:

-01 AP TP-Link 108Mbits 1 Port (TL-WA601G) đặt tại phòng CNTT.

-01 AP TP-Link 108Mbits 1 Port (TL-WA601G) đặt tại Phòng Đoàn.

-01 AP TP-Link 108Mbits 1 Port (TL-WA601G) đặt tại phòng máy Vi tính. -01 AP TP-Link 108Mbits 1 Port (TL-WA601G) đặt tại khu Kí Túc Xá

3.2 Giải pháp bảo mật trong mạng không dây tại trường THCS&THPT Võ Văn Kiệt.

Trong mỗi một hệ thống thông tin nói chung thì một vấn đề vô cùng quan trọng và cần thiết đó chính là vấn đề bảo mật các thông tin chứa đựng trong hệ thống đó Hệ thống mạng Internet không dây tại trường THCS&THPT Võ Văn Kiệt mới được lắp đặt thử nghiệm nên quy mô vẫn còn nhỏ, tuy nhiên trong tương lai không xa sẽ được nhà trường đầu tư thành 1 hệ thống mạng Internet không dây lớn, có tầm cỡ vì vậy việc trao đổi các thông tin liên quan giữa nhà trường và học sinh sau này sẽ là rất lớn, hơn nữa các thông tin lại vô cùng quan trọng yêu cầu đặc biệt đặt ra là sự an toàn và bảo mật của các thông tin đó chống sửa chữa, thay đổi hay đánh cắp thông tin trên đường truyền Từ thực tế sau này đó, các giải pháp bảo mật đã được ứng dụng trong hệ thống nhằm thực hiện các yêu cầu quan trọng nêu trên.

3.2.1 Yêu cầu bảo đảm bảo bảo mật an toàn thông tin đối với hệ thống mạng máy tính không dây tại trường hiện nay Để làm nổi bật rõ các yêu cầu bảo vệ thông tin tại trường chúng ta cần phân tích nguyên nhân của sự mất an toàn thông tin.

Ngày nay, Internet, một kho tàng thông tin khổng lồ, phục vụ hữu hiệu trong học tập và nghiên cứu, đã trở thành một phương tiện thuận lợi không thể thiếu trong việc trao đổi thông tin Chính những điều quan trọng này đã trở thành đối tượng cho nhiều người tấn công với các mục đích khác nhau Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet, số lượng các vụ tấn công trên Inter- net cũng tăng theo cấp số nhân Trong khi các phương tiện thông tin đại chúng ngày càng nhắc nhiều đến Internet với những khả năng truy nhập thông tin dường như đến vô tận của nó, thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm an ninh và an toàn dữ liệu cho các máy tính được kết nối vào mạng Internet. Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương pháp tấn công cũng liên tục được hoàn thiện Nhu cầu bảo vệ thông tin của trường THCS&THPT Võ Văn Kiệt được chia thành ba loại gồm: Bảo vệ dữ liệu; Bảo vệ các tài nguyên sử dụng trên mạng và Bảo vệ danh tiếng của trường.

3.2.1.1 Bảo vệ dữ liệu. Đây là vấn đề đặc biệt quan trọng, toàn bộ cơ sở dữ liệu về quản lý đào tạo của nhà trường được lưu và thao tác tại các máy Server của trường Bao gồm các dữ liệu như điểm của sinh viên, kế hoạch học tập, các thông tin về học phí

Các dữ liệu này phải tuyệt đối an toàn đảm bảo không bị đánh cắp hoặc sửa chữa thông tin.

Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thông tin có thể đến từ nhiều nơi theo nhiều cách khác nhau vì vậy nhà trường đã đưa ra các chính sách và phương pháp đề phòng cần thiết Mục đích cuối cùng của an toàn bảo mật là bảo vệ các giá trị thông tin và tài nguyên theo các yêu cầu sau:

Tính tin cậy: Đảm bảo sự chính xác các thông tin của sinh viên trong hệ thống. Đồng thời các thông tin đó không thể bị truy nhập trái phép bởi những người không có thẩm quyền.

Tính nguyên vẹn: Thông tin không thể bị sửa đổi, bị làm giả bởi những người không có thẩm quyền.

Tính sẵn sàng: Thông tin luôn sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền khi có yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết

Tính không thể từ chối: Thông tin được cam kết về mặt pháp luật của nhà trường cung cấp.

Trong các yêu cầu này, yêu cầu về bảo mật được coi là yêu cầu số 1 đối với thông tin lưu trữ trong hệ thống.

3.2.1.2 Bảo vệ các tài nguyên sử dụng trên mạng.

Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của mình như cài đặt các chương trình chạy ẩn để dò mật khẩu người sử dụng, ứng dụng các liên kết mạng sẵn có để lấy cắp các thông tin cần thiết hoặc tiếp tục tấn công các hệ thống khác v.v

3.2.1.3 Bảo vệ danh tiếng trường học.

Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là gây sự hoang mang không tin tưởng vào các thông tin mà nhà trường cung cấp Trong trường hợp bị tấn công gây mất an toàn về dữ liệu thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài

3.2.2 Đánh giá chung mô hình mạng máy tính không dây tại trường hiện nay

Qua khảo sát thực nghiệm mô hình mạng máy tính không dây tại trường THCS&THPT Võ Văn Kiệt thì vẫn còn tồn tại nhiều hạn chế Hầu hết mô hình mạng không dây của trường chỉ dựa trên cơ chế bảo mật WPA, WPA2 trên các Ac- cess Point, người dùng sau khi đã nhập mật khẩu hay những kẻ tấn công bẻ khóa mật khẩu để truy cập vào hệ thống mạng thí có thể sử dụng các công cụ như Net Tool, Net IP, để lấy thông tin, dữ liệu từ các máy tính trong mạng.

3.2.3 Các bước thực thi an toàn bảo mật cho hệ thống

Phần này trình bày các bước thực thi an toàn bảo mật và các biện pháp nhằm tăng cường tính an toàn, bảo mật cho hệ thống mạng không dây tại trường theo các mức khác nhau Để có được các chính sách bảo mật đem lại hiệu quả cao, cần xác định rõ các nhân tố tối thiểu về an toàn bảo mật cho hệ thống mạng của trường cùng với các kiến thức quản trị và kỹ năng để thực hiện các hoạt động tăng cường an toàn bảo mật.

3.2.3.1 Các hoạt động bảo mật ở mức một

Mức một, người thực thi bảo mật, quản trị hệ thống và mạng thực hiện làm cho môi trường mạng, máy tính ít bị lỗ hổng bảo mật hơn vì đã được sửa lỗi bằng các bản sửa lỗi hoặc bằng các biện pháp kỹ thuật Thực hiện các cảnh báo ngay lập tức (trực tuyến) để nhắc nhở, thông báo mỗi người dùng trong mạng các quy tắc sử dụng mỗi khi truy nhập vào hệ thống mạng của trường Xây dựng một mạng lưới bảo vệ, lọc, phát hiện và tiêu diệt virus, Spyware, Troyjan - trên tất các các máy trạm, máy chủ, và các cổng kết nối mạng (gateway) Đảm bảo cập nhật thường xuyên các phần mềm diệt virus. Đảm bảo rằng hệ thống sao lưu dữ liệu hoạt động định kỳ, các tập tin có thể được khôi phục từ các bản sao lưu định kỳ đó, người quản trị hệ thống có đủ kiến thức cập nhật cần thiết để thực hiện sao lưu trên tất cả các hệ thống ngay lập tức trong trường hợp bị tấn công Nếu không có dữ liệu được sao lưu tốt, một vấn đề nhỏ trong an toàn bảo mật có thể trở thành thảm họa.

Cho phép ghi nhật ký các sự kiện, hoạt động của người dùng khi đăng nhập vào hệ thống Hệ thống nếu không có cơ chế ghi nhật ký thì nó gây khó khăn cho việc phát hiện và khắc phục các vụ tấn công.

Thực thi xác thực hệ thống, kiểm tra (audit) để kiểm soát người sử dụng hệ thống Chống lại kẻ tấn công giả danh người sử dụng đăng nhập vào hệ thống và chiếm quyền điều khiển hệ thống.

3.2.3.2 Các hoạt động bảo mật ở mức hai

Các hoạt động an toàn bảo mật mức hai tập trung nhiều hơn vào việc xây dựng các chính sách truy nhập cụ thể của người dùng, cho phép hoặc không cho phép truy cập vào các tài nguyên mạng khác nhau trong hệ thống Đưa ra các yêu cầu cụ thể đối với người dùng như việc đăng ký các thông tin cá nhân, đăng ký địa chỉMAC của thiết bị truy cập, xây dựng cơ sở dữ liệu về tài khoản truy cập để xác thực mỗi khi đăng nhập hệ thống Các hoạt động an toàn bảo mật mức hai cũng tập trung

Cách thực hiện các giải pháp bảo mật trong mạng không dây tại trường THCS&THPT Võ Văn Kiệt

Trong hệ thống mạng không dây của nhà trường đã xây dựng một Server Proxy có cài đặt phần mềm chuyên dụng cho phép phát hiện truy nhập của người dùng được phép hoặc trái phép, lưu và phân tích kết quả truy nhập đó.

3.3 Cách thực hiện các giải pháp bảo mật trong mạng không dây tại trường THCS&THPT Võ Văn Kiệt.

3.3.1 Giải pháp điểm truy cập và mở rộng mạng không dây tốc độ cao a Giải pháp sử dụng TP-Link TL_WA901ND

Với công nghệ chuẩn N tốc độ mạng không dây lên tới 300Mbps, TP-Link TL-WA901ND rất lý tường cho việc truy cập mạng không dây tốc độ cao và các ứng dụng tiêu tốn nhiều băng thông Ngoài ra với công nghệ tiên tiến MIMO cung cấp bằng tần không dây cao Tx/Rx có khả năng phát sóng ở phạm vi xa hơn lên tới 30 mét, đồng thời hoạt động thông qua ba ăn-ten ngoài Tx và Rx để vượt qua sự suy giảm tín hiệu hay vượt qua các rào cản vật lý, có khả năng xuyên tường và phát sóng tốt.

TP-Link TL-WA901ND cung cấp mã hóa WPA/WPA2 bảo mật WLAN và hỗ trợ chế độ hoạt động Repeater giúp dễ dàng xây dựng mở rộng hệ thống mạng không dây tại những khu vực khó khăn hoặc loại bỏ vùng chết không dây b Cách thực hiện

3.3.2 Giải pháp kiểm soát người dùng truy cập WiFi bằng phần mềm Wire- less Network Watcher

- Mạng Wifi được dùng rộng rãi dễ cho phép mọi người kết nối internet không dây giúp mọi người cùng sử dụng mạng WiFi cùng lúc dẫn đến hệ thống mạng chậm

- Để khắc phục nhược điểm đó em sử dụng phần mềm Wireless Network Watcher để kiểm soát được những ai đang truy cập và ngăn chặn người dùng Wifi. Cách thực hiện

+ Cài phần mềm Wireless Network Watcher để biết ai đang dùng Wifi

+ Tiến hành chặn MAC hoặc thường xuyên đổi mật khẩu Modem.

3.3.3 Bảo mật Wlan bằng phương pháp chứng thực RADIUS

Hình 3.1 – Hệ thống xác thực RADIUS cho mạng WLAN

 Cấu hình RADIUS server trên Window Server 2012, tạo user và password cho các client dự định tham gia vào mạng.

 Trên AP TL-WR 740N/TL-WR740ND, thiết đặt security mode là WPA

 Cho PC tham gia vào mạng, kiểm tra kết nối.

 1 Access point TP-Link WR740N, 2 pc (1 pc có gắn card wireless và 1 pc làm Radius server).

 PC làm RADIUS server sử dụng hệ điều hành Windows Server 2012 và đã được nâng lên Domain Controller, PC làm wireless client sử dụng hệ điều hành Win7 và đã được join domain.

- Domain là tập hợp các tài khoản người dùng và tài khoản máy tính được nhóm lại với nhau để quả lý một cách tập trung Và công việc quản lý dành cho domain controller ( Bộ điều khiển miền ) nhằm giúp việc khai thác tài nguyên trở nên dễ dàng hơn.

- Đặt IP tĩnh cho máy được chọn làm DC

- Mở Server Manager lên, sau đó chọn Add Roles and Features.

- Màn hình giới thiệu chọn Next để qua bước tiếp theo

Màn hình Select installation type Chọn Role based or… Click Next

Màn hình Select Destination Server, Chọn Select a Server from the server pool, Click Next Ở màn hình Select Server Roles, bạn đánh dấu chọn vào ô Active Directory Domain Services

Chương trình sẽ yêu cầu cài thêm các Features, Click Add Features

Các bước còn lại bạn nhấn Next theo mặc định Màn hình Confirm installation selections, đánh dấu chọn vào ô Restart the destination server automatically if re- quired(hệ thống sẽ tự khởi động lại khi có yêu cầu), Click Install, để bắt đầu cài đặt

Sau khi hoàn tất, màn hình Installation progress nhấp vào Promote this Server to a domain controller.

Màn hình Deployment Configuration, chương trình cung cấp ba tùy chọn:

 Add a domain controller to an existing domain: Thêm một ADC vào domain có sẵn.

 Add a new domain to an existing forest: Xây dựng domain mới trong forest có sẵn.

 Add new forest: xây dựng máy DC đầu tiên của forest.

Mục Specify the domain information for this operation: nhập vào tên domain tên muốn làm DC Click Next

Các bước còn lại nhấn Next theo mặc định Màn hình Prerequisites Check, khi nhận được thông báo “All prerequisites check passed successfully” nghĩa là quá trình kiểm tra điều kiện để cài đặt DC đã thành công Click Install để bắt đầu cài đặt.

Sau khi cài đặt hoàn tất, bạn phải khởi động lại máy tính để hoàn thành quá trình xây dựng Active Directory Domain Services.

Bước 2:Cài đặt + Cấu hình Active Directory Certificate Services (CA).

Bước 3:Cài đặt NAP và cấu hình NAP(Network Policy and Access Services).

Bước 4: Cấu trên access point và client.

3.3.4 Một số hướng dẫn để bảo vệ máy tính an toàn khi dùng Internet không dây

3.3.4.1 Tối ưu hóa Wi-Fi cho các VoIP, Video Game

Nếu trong lúc bạn đang đang VoIP với Skype, Second Life hoặc dùng iTune để tải nhạc thì có cảm giác như mạng bị chập chờn, khoan hãy nghĩ đến chuyện mua một router mới Hầu hết các router được sản xuất trong thời gian gần đây đều có tính năng quản lý chất lượng dịch vụ (QoS), nếu không có bạn có thể phải cập nhật firmware để kích hoạt nó.

Hình 3.2 - Cấu hình của Router Linksys

Ví dụ chương trình cấu hình của router Linksys ở hình trên, bạn chọn thẻ QoS có trong phần "Application & Gaming" Kiểm tra chắc chắn rằng phần "WMM Support" đã được chọn (Enable).

Bật chế độ tùy chọn "Internet Access Priority" dành cho các ứng dụng voice và media trong ứng dụng tương ứng từ danh sách sổ xuống (drop-down list).

3.3.4.2 Ưu tiên tải gói dữ liệu

Tối ưu cho gói dữ liệu gửi nhận thông qua thiết lập trên Rounter Bạn có thể chọn "High", "Medium", "Normal" hay "Low" tùy theo độ ưu tiên muốn gán cho gói dữ liệu, sau đó nhấn nút "Add".

Hình 3.3 - Tối ưu cho gói dữ liệu gửi nhận thông qua thiết lập trên Rounter

Có thể ưu tiên cho hoạt động hội thoại trên mạng bằng cách cấp quyền ưu tiên

"Low" cho các dịch vụ download khác như BitTorrent hay IDM và cấp quyền ưu tiên "High" cho dịch vụ VoIP.

Hình 3.4 - Cấp quyền ưu tiên

3.3.4.3 Tắt Wi-Fi khi không dùng đến Điều này sẽ ngăn chặn việc bạn vô tình kết nối vào các điểm truy cập độc hại và nó cũng giúp kéo dài thời gian sử dụng pin cho laptop Một vài sản phẩm máy tính xách tay có nút trên thân máy dùng để làm việc này (thường là phím mày xanh hiện chữ Fn và mang biểu tượng ăngten phát thu song) Bạn cũng có thể tắt Wi-Fi bằng cách nhấn phải lên biểu tượng kết nối không dây ở System tray và chọn "Disable" Để bật lại kết nối Wi-Fi, bạn chỉ cần vào Control Panel và nhấp đúp chuột lên biểu tượng kết nối.

3.3.4.4 Theo dõi những người không mời mà đến trên mạng Wi-Fi của mình

Các cơ chế mã hóa đặc biệt là WEP có thể bị bẻ gãy và thậm chí việc lọc địachỉ MAC address cũng có thể bị qua mặt Để ngăn các cuộc xâm nhập lạ mặt hãy tải về và cài đặt phiên bản miễn phí của phần mềm Network Magic

Chương trình sẽ vẽ ra một bản đồ tất cả các thiết bị đang hiện diện trên mạng bao gồm máy tính, máy chủ, máy in và các thiết bị ngoại vi khác Nhờ vậy bạn có thể dễ dàng xác định kẻ ẩn danh. Để nhận được thông báo khi có một thiết bị mới tham gia vào mạng không dây bạn chọn "Options" từ trình đơn "Tools", nhấn vào tab "Notifica- tions" và đánh dấu chọn mục "A new device joins the network".

Hình 3.5 - Thiết lập theo dõi khách không mời mà đến.

3.3.4.5 Loại bỏ điểm kết nối không dây an toàn

- Các điểm kết nối không dây công cộng là cơ hội cho hacker bởi vì nó được mở cho mọi người tham gia.

Hình 3.6 - Loại bỏ điểm kết nối không dây an toàn

Kết luận

Vấn đề bảo mật cho hệ thống mạng Internet không dây luôn là một vấn đề hết sức khó khăn và được đặt ở vị trí rất quan trọng trong hầu hết các bản thiết kế mạng. Tuy nhiên, để có thể có được một giải pháp hoàn hảo cho mọi tình huống là một điều gần như rất khó Chính vì vậy, khi thiết kế hệ thống mạng Internet không dây, chúng ta phải dựa trên cơ sở, yêu cầu thực tế của hệ thống, cân nhắc giữa các lợi hại của các phương pháp để đưa ra các chính sách an ninh, bảo mật hợp lý nhất Trong thực tế xây dựng hệ thống mạng Internet không dây cho nhà trường đều có sự tham gia của các thành phần khác nhau và có những yêu cầu bảo mật khác nhau Phân tích kỹ lưỡng các điều này giúp ta quyết định biện pháp nào là phù hợp nhất với hệ thống.

Với mong muốn giúp các nhà quản trị mạng có thể xây dựng được các giải pháp bảo mật tốt hơn cho hệ thống mạng Internet không dây, trong sự phát triển mạnh mẽ của công nghệ Internet không dây hiện nay và trong tương lai, luận văn

"Giải pháp triển khai hệ thống mạng Wlan bảo mật tại trường THCS&THPT Võ Văn Kiệt " của em đã nghiên cứu và đạt được một số kết quả sau:

- Tìm hiểu được kiến thức về các chuẩn, cấu trúc mạng,mô hình mạng,các phương pháp tấn công và các vấn đề bảo mật và khi triển khai hệ thống mạng cục bộ không dây Việc phát triển mạng không dây thật sự đem lại hiệu quả với sự thuận lợi khi sử dụng các thiết bị có tính di động cao và vấn đề bảo mật được đặt lên hàng đầu.

Tiêu đề	Giải Pháp Triển Khai Hệ Thống Mạng WLAN Bảo Mật Tại Trường THCS Và THPT Võ Văn Kiệt Tỉnh Kiên Giang
Tác giả	Hàng Anh Kiệt
Người hướng dẫn	PGS.TS. Nguyễn Gia Như
Trường học	Đại Học Duy Tân
Chuyên ngành	Khoa Học Máy Tính
Thể loại	luận văn thạc sĩ
Năm xuất bản	2021
Thành phố	Đà Nẵng

Định dạng
Số trang	65
Dung lượng	4,04 MB