báo cáo cuối kỳ môn học hệ cơ sở dữ liệu tổng quan về mạng không dây

Các người dùng đầu cuối truy cập mạng WLAN thông qua các card giao tiếp mạng WLAN, mà được thực hiện như các card PC trong các máy tính notebook, hoặc sử dụng card giao tiếp ISA hoặc PCI

THÀNH PHÓ HÒ CHÍ MINH, NĂM 2022

THÀNH PHÓ HÒ CHÍ MINH, NĂM 2022

Phước Thầy đã tận tình hướng dẫn em trong quá trình học tập cũng như trong việc hoàn thành bài báo cáo

Tiếp đến em xin gửi lời cảm ơn đến khoa Công nghệ thông tin đã luôn tạo cho

em một môi trường học tập thật tốt, luôn lắng nghe và hỗ trợ khi cần thiết

Có lẽ kiến thức là vô hạn mà sự tiếp nhận kiến thức của bản thân mỗi người

luôn tồn tại những hạn chế nhất định Do đó, trong quá trình hoàn thành báo cáo, chắc chắn không tránh khỏi những thiếu sót Bản thân em mong nhận được những gớp ý đến

từ thầy để báo cáo của em được hoàn thiện hơn

Em xin chân thành cảm ơn!

Tôi xin cam đoan đây là sản phẩm đồ án của riêng tôi và được sự hướng dẫn của

Thầy Trần Thanh Phước Các nội dung nghiên cứu, kết quả trong đề tài này là trung thực

và chưa công bố dưới bất kỳ hình thức nào trước đây Những số liệu trong các bảng biểu phục vụ cho việc phân tích, nhận xét, đánh giá được chính tác giả thu thập từ các nguồn khác nhau có ghi rõ trong phần tài liệu tham khảo

Ngoài ra, trong đồ án còn sử dụng một số nhận xét, đánh giá cũng như số liệu

của các tác giả khác, cơ quan tô chức khác đều có trích dẫn và chú thích nguồn gốc

Nếu phát hiện có bất kỳ sự gian lận nào tôi xin hoàn toàn chịu trách nhiệm

về nội dung đồ án của mình Trường đại học Tôn Đức Thắng không liên quan đến những vi phạm tác quyền, bản quyền do tôi gây ra trong quá trình thực hiện (nếu có)

TP Hồ Chí Minh, ngày 12 tháng 12 năm 2021

Tác giả (ký tên và ghỉ rõ họ tên)

Tran Thanh Duy

Tp Hồ Chí Minh ngày tháng năm

(kí và ghi họ tên)

Phần đánh giá của GV chấm bài

Tp Hồ Chí Minh ngày tháng năm

(kí và ghi họ tên)

Dữ liệu: Là những số liệu rời rạc như tên mặt hàng, đơn giá bán, trị giá bán của một

LỜI MỞ ĐẦU 22-52 222221222121122112112211211121122112112112112112112112121 12a 4 MỤC LỤC 22522222 2212111211221121212211211221121121212212121222222 2a 6 DANH MỤC CÁC BẢNG BIÊU, HÌNH VẼ - 2-21 22 1221122121222 eerree 9 CHƯƠNG I - TÔNG QUAN VẺ MẠNG KHÔNG DẦY - 50-22 221222 2c 13

1.1 Giới thiệu về mạng không đây - 5s 1 1 SE 2121211 1121 rkerrre 13

1.1.1 Mang khong day là gì ? -L 2c 221121221222 111k re 13 1.1.2 Các ứng dụng của mạng WireÌes§s c2 n2 sen eve 13 1.2 Nguyên lý hoạt động L Q0 102222 11211152522 2 111gr 14

1.3 Ưu và nhược điểm của mạng không dây 52-5 se SE EEExzrcte 15

1.4 So sánh giữa mạng không dây và có dây c2 212 He 16

1.4.1 Xét vé pham vi tng dung cece eeseeecseeseesesseseesteeeseeseseees 16 1.4.2 Xt V6 dO tin CA cecccccscscsseesessescesessesesstesvssseseesseeeeseeesesevseeeess 17

1.4.3 So san V6 t66 dO cccccccccccsssessesssessisssessssssessesvessestsensessietenssees 17 1.4.4 Xét vé tinh bao MA cece ccc ccccessessesseseseseesssesetesensetesenseneseeeeees 18

1.4.5 Xét về khả năng lắp đặt, triển khai 5-5 sen xen 18 1.4.6 Xét về khả năng mở rộng - 1c St E121 112112111011 EE re 18 1.5 Các thiết bị cần thiết để xây dựng LAN không đây nen 19

1.6 Các chuân mạng không dây, - 1S 11121121111 11.11 tre re 19

1.6.1 Chuân WiFi 802 LIb 25- 5221 2122212211221221212 1 xe 20 1.6.2 Chuân WiFi 802 lla - 5 5222 12221121121121121221212.21 xe 20

1.6.3 Chuân WIFi 802 Ï Íg - s12 2122211 121211 rat 21

1.6.4 Chuân WiFi 802.lIn - 2221 212221221122122112112 1 xe 22 1.6.5 Chuân WiFi 802 Ï lac - 2222 2122212112211212211211212212 xe 23 1.7 So sánh các chuân IEEE 802 l - 2: 52+22122212212221211221121312112211211 xe 23

CHUONG 2: CAC LO HONG VA CUA MANG KHONG DAY VA CO DAY 24

3.1 Tổng quan AAAG.cccccccccsccscescesesscsesstsscssesessvssvssesecsessvseceveseetsevsssesevssvsetenees 27

3.2 Phân tích các giao thức AAA đề kiêm soát quyền truy cập vào mạng riêng 28

CHƯƠNG 4: BẢO MẬT MẠNG KHÔNG DẦY -ccctrrrrrereree 30

4.1 Kiến trúc dành riêng cho bảo mật mạng không dây 2: ccsccsxc: 30

4.1.1 Kiến trúc Hotpot s- 5c 22212122111 11 1 1k E nh He Hy 30

4.2 Bảo mật mạng không dây - 122 22211121 1211115211111 15581 key 32

4.2.1 Giao thức bảo mật WLAN VỮN HH nn ng nh vsy 32

4.2.2 Giao thức bảo mật AES (Advanced Encryption Standard) 33 4.2.3 Giao thức bảo mật 802.IX và EAP cà che 33 4.2.4 Giao thức bảo mật WPA (WI-F1 Protected Access) 34

5.2 Demo hé thong THẠTE Q2 2012221212121 111 11112151011 101 1181118111011 1111111 xky 43

5.2.1 Mô hình tổng quan c- St E21 1121121211211 1tr 43

3.2.2 Bảng địa chỉ 01 12111211221 11181 112112211 111111111 43

3.2.2 Báng thông tin WLAN 020 212111222222 11 1n tk ke 45

5.2.3.3 Khai báo VỈan c1 ng HH HH HH nh hư ch 49

5.2.4 Tién hanh chạy demo -c - c1 2211121121111 1112128111550 1 1kg 78

5.2.4.1 Hệ thống mạng có dây trong tòa nhà -sc 5s: 78 5.2.4.1 Hệ thống mạng không dây trong tòa nhà - 81

CHUONG 6: KET LUANL.oeecccceesssseessssssessesssneeeseneeessnssesssssseessnmiesssmtsenseaneesnness 86 TÀI LIỆU THAM KHẢO - 22 t2 t2 tr re 87 BẢNG PHẦN CÔNG CÔNG VIỆC - 222 22t Hee 88

DANH MUC CAC BANG BIEU, HINH VE

PHAN 1 — TONG QUAN VE MANG KHONG DAY

1.1 Giới thiệu về mạng không dây

1.1.1 Mạng không dây là gì ?

Mạng không dây (hay còn goi la mang Wi-Fi, mang Wireless, 802.11) la mang kết nối các thiết bị có khả năng thu phát sóng (như máy vi tinh co gan Adapter khéng dây, PDA ) lại với nhau không sử dụng dây dẫn mà sử dụng sóng vô tuyến được truyền dẫn trong không gian thông qua các trạm thu/phát sóng

1.1.2 Các ứng dụng của mạng Wireless

Nên thiết lap Wrreless ở những nơi có tính chất tạm thời để làm việc hoặc ở

những nơi mạng Cable truyền không thể thi công hoặc làm mất thâm mỹ quan: Như các toà nhà cao tầng, khách sạn, bệnh viện, nhà hàng nơi mà khác hàng thường sử dụng mạng không dây với cường độ cao và đòi hỏi tính cơ động cao

Mạng Wireless là kỹ thuật thay thế cho mạng LAN hữu tuyến, nó cung cấp mạng cuối cùng với khoảng cách kết nói tôi thiểu giữa một mạng xương sống và mạng trong nhà hoặc người dùng đi động trong các cơ quan

1.2 Nguyén ly hoat dong

Mang WLAN str dung sóng điện từ (vô tuyến và tia hồng ngoại) để truyền thông tin từ điểm này sang điểm khác mà không dựa vào bất kỳ kết nối vật lý nào Các sóng vô tuyến thường là các sóng mang vô tuyến bởi vì chúng thực hiện chức năng phân phát năng lượng đơn giản tới máy thu ở xa Dữ liệu truyền được chồng lên trên sóng mang vô tuyến để nó được nhận lại đúng ở máy thu Đó là sự điều biến sóng mang theo thông tin được truyền Một khi dữ liệu được chồng (được điều chế) lên trên sóng mang vô tuyến, thì tín hiệu vô tuyến chiếm nhiều hơn một tần số đơn, vì tần số hoặc tốc độ truyền theo bit của thông tin biến điệu được thêm vào sóng mang Nhiều sóng mang vô tuyến tồn tại trong cùng không gian tại cùng một thời điểm

mà không nhiễu với nhau nếu chúng được truyền trên các tần số vô tuyến khác nhau

Đề nhận dữ liệu, máy thu vô tuyến bắt sóng (hoặc chọn) một tần số vô tuyến xác định

trong khi loại bỏ tất cả các tín hiệu vô tuyến khác trên các tần số khác

Trong một cầu hình mạng WLAN tiêu biểu, một thiết bị thu phát, được gọi một

điểm truy cập (AP — access poinf), nối tới mạng nối dây từ một vị trí cô định sử dụng cáp Ethernet chuẩn Điểm truy cập (access point) nhận, lưu vào bộ nhớ đệm, và truyền

đữ liệu mạng VLAN và cơ sở hạ tầng mạng nỗi dậy Một điểm truy cập đơn hỗ trợ một nhóm nhỏ người sử dụng và vận hành bên trong một phạm vi vài mét tới vài chục mét

Điểm truy cập (hoặc anten được gắn tới nó) thông thường được gắn trên cao nhưng

thực tê được găn bât cứ nơi đâu miền là khoảng vô tuyên cân thu được

Các người dùng đầu cuối truy cập mạng WLAN thông qua các card giao tiếp

mạng WLAN, mà được thực hiện như các card PC trong các máy tính notebook, hoặc

sử dụng card giao tiếp ISA hoặc PCI trong các máy tính để bàn, hoặc các thiết bị tích hợp hoàn toàn bên trong các máy tính cầm tay Các card giao tiếp mạng WLAN cung cấp một giao diện giữa hệ điều hành mạng (NOS) và sóng trời (qua một anten) Bản chất của kết nôi không dây là trong suốt với NOS

1.3 Ưu và nhược điểm của mạng không dây

Giảm chỉ phí đầu tư cho hệ thống cáp mạng

Dễ dàng thêm, di chuyển, thay đối thiết bị mạng không day (Access Point),

giảm chỉ phí hỗ trợ và bảo trì cho toàn bộ hệ thống

Tăng tính linh hoạt trong sử dụng, tốc độ và khả năng bảo mật cho người dùng trong nội bộ tô chức, doanh nghiệp và cho nhóm khách vãng lai (guest)

Tuy có nhiều ưu điểm song mang không dây cũng có những nhược điểm nhất định:

Bảo mật có thể nói chính là nhược điểm lớn nhất của mạng không dây, bởi phương tiện truyền tín hiệu là sóng và môi trường truyền tín hiệu là không khí

nên khả năng bị tắn công là khá lớn

Phạm vi hoạt động còn hạn chế, ngay cả công nghệ mạng dây hiện đại nhất hiện nay cũng chỉ có thê hoạt động ở phạm vi tôi đa 150m nên mạng không dây chỉ phủ hợp với không gian hẹp

Do truyền tín hiệu bằng sóng vô tuyến nên việc bị nhiễu hay suy giảm là điều tất yếu Đây là vấn đề gây ảnh hướng lớn đến hiệu quả của các mạng

¢ Tốc độ mạng cũng là một vấn đề chúng ta cần quan tâm Tuy tốc độ cao nhất của mạng không dây có thê lên tới 600Mbps nhưng con số đó vẫn chậm hơn nhiều so với các mạng cáp thông thường

© _ Hơn thế nữa mạng không dây bi tác động rất lớn bởi yếu tô thời tiết hay các vật chắn, mạng không dây còn bị tác động bởi ảnh hưởng của các thiết bị khác Bảo mật là vấn đề được quan tâm hàng đầu hiện nay Khi nhắc đến bảo mật mạng không dây có hai vấn đề thường xuyên được nhắc đến đó là: chứng thực và mã hóa + Chứng thực: là quá trình mà trong đó các thiết bị kết nối với nhau thông qua các kênh kết nối sẽ được chứng thực, để chắc rằng không có thiết bị nào khác ngoài mong muốn kết nối vào Chứng thực có thể được thực hiện thông qua nhiều cách: trao đối key, bằng địa chỉ MAC, hoặc bằng một tool của hãng thứ 3

EAP, LEAP

+ Mã hóa: là quá trình mà trong đó dữ liệu được mã hóa với những key đặc biệt được tạo ra bởi người dùng hay chính thiết bị dùng để mã hóa Có những phương pháp mã hóa như: ma hoa voi 64, 128, 256 bit, hay dung TKIP, AES

1.4 So sánh giữa mạng không dây và có dây

Hệ thống mạng có thê thiết lập trong hầu | Chủ yếu áp dụng cho mô hình nhỏ, trung

hết các mô hình mạng từ nhỏ đến lớn bình Nếu muốn xây dựng Wiñ diện rộng

phải kết hợp với mạng LAN và thiết bị

phát Wifi chuyên dụng như Open-Mesh, Umil,

Trên địa hình phức tạp, có nhiều vật cản

như tường sẽ rất khó kéo dây

Dễ dàng triển khai ở những địa hình

phức tạp, không triển khai được mạng có dây

1.4.2 Xét về độ tin cậy

Hệ thông này ít ảnh hưởng đến sức khỏe

vì không phát sóng ra bên ngoài môi

trường sống

Có khả năng chịu được tác động từ của

khí hậu và thời tiết bất thường

Vi phat song wIfli ra môi trường, nên hệ thống mạng không dây sẽ ảnh hưởng đến sức khỏe của con người

Hệ thống sẽ hoạt động kém khi gặp điều

kiện thời tiết bất lợi Tuy nhiên, giải pháp Wiñ diện rộng với cải tiến hiện đại đã

khắc phục được điều này

điện rộng tốc độ sẽ được nâng cao, phù

hợp cho nhiều người dùng cùng lúc

1.4.4 Xét về tính bảo mật

Mạng có dây sẽ bảo mật cao hơn Thông

tin chỉ bị lộ nếu bọn xấu xâm nhập vào

đường truyền dây dẫn

Dé bảo mật, chồng virus xâm nhập đánh

cắp dữ liệu người dùng phải có giải pháp Vi mang không dây phát sóng ra mọi

phía nên khả năng bảo mật không tốt

Nếu bạn xây dựng giải pháp wiñ diện

rộng thì khả năng bảo mật sẽ tốt hon, vi

thiết bị của hệ thống này hiện đại và có

băng thông từng người dùng sử dụng

thời gian hơn vì phải thiết kế kéo dây cho

toàn bộ hệ thống

Thường ít tốn thời gian hơn vì không

phải đi dây nhiều

1.4.6 Xét về khả năng mở rộng

Khi thiết lập phải tính toán đến khả năng

mở rộng trong tương lai, ngược lại nếu

không tính toán thật kỹ sẽ tốn rất nhiều công sức

Khả năng mở rộng dễ dàng hơn, vì

không phải kéo dây nhiều, thiết bị lại dé

dàng lắp đặt

1.5 Các thiết bị cần thiết để xây dựng

- Máy tính có gắn Adapter Wireless

LAN không dây

- Access Point (đề kết nối các máy tính thành một mạng LAN)

- Nếu muốn cho hệ thông mạng có thê kết nối Internet thì chúng ta cần có đường dây cáp kết nồi từ nhà cung cấp dịch vụ Internet tới modem Wireless

1.6 Các chuẩn mạng không dây

Năm 1997, viện kỹ sư điện và điện tử [EEE đưa ra chuẩn mạng cục bộ không dây

(WLAN) đầu tiên - được gọi là 802.11 theo tên của nhóm giám sát sự phát triển của

chuẩn này Lúc này, 802.11 sử dụng tần số 2,4 GHz và dùng kỹ thuật trải phô trực tiếp (

Direct — Sequence Spread Spectrum-DSSS ) nhưng chỉ hỗ trợ băng thông tối đa là 2

Mbps - tốc độ khá chậm cho hầu hết các ứng dụng Vì ly do đó, các sản phẩm chuân không dây này không còn được sản xuất nữa

+ Trải phố: Đa số các hệ thống mạng WLAN sử dụng công nghệ trải phố, một kỹ thuật tần số vô tuyên băng rộng mà trước đây được phát triển bởi quân đội trong các hệ thống truyền thông tin cậy, an toàn, trọng yêu Sự trải phố được thiết kế hiệu quả với sự

đánh đổi dải thông lấy độ tin cậy, khả năng tích hợp, và bảo mật Nói cách khác, sử

dụng nhiều băng thông hơn trường hợp truyền băng hẹp, nhưng đổi lại tạo ra tín hiệu mạnh hơn nên dễ được phát hiện hơn, miễn là máy thu biết các tham số của tín hiệu trải phô của máy phát Nếu một máy thu không chỉnh đúng tần số, thì tín hiệu trải phố giống như nhiễu nền

+ Có hai kiểu trải phố truyền đi bằng vô tuyến :

- Nhảy tần

- Chuỗi trực tiếp

1.6.1 Chuẩn WiEi 802.11b

IEEE đã mở rộng trên chuân 802.11 gốc vào tháng Bảy năm 1999, tao ra chuan

§02.1Ib Chuẩn này hỗ trợ băng thông lên đến IIMbps, tương đương với Ethernet truyền thống

802.11b str dung tan số tín hiệu vô tuyến không được kiêm soát (2.4 GHz) giống như chuẩn ban đầu 802.11 Các nhà cung cấp thích sử dụng tần số này đề giảm chỉ phí

sản xuất Các thiết bị 802.11b có thể bị xuyên nhiễu từ các thiết bị điện thoại không dây (kéo dài), lò vi sóng hoặc các thiết bị khác sử dụng cùng dải tần 2.4 GHz Mặc dù

vậy, bằng cách lắp các thiết bị 802.11b cách xa các thiết bị như vậy có thé giam duoc

hiện tượng xuyên nhiễu này

Ưu điểm của 802.11b — gia thành thấp nhất: phạm vi tín hiệu tốt và không dễ bị cản trở.

Nhược điểm của 802.11b — tốc độ tối đa thấp nhất; các thiết bị gia dụng có thé gay trở ngại cho tần số vô tuyến mà 802 IIb bắt được

1.6.2 Chuan WiFi 802.11a

Trong khi 802.11b van dang duoc phat triển, IEEE đã tạo một mở rộng thứ hai cho chuẩn 802.11 có tên gọi 802.11a Vì 802.11b duoc st dung rộng rãi quá nhanh so

với 802.11a, nên một số người cho rằng 802.11a được tạo sau 802.I1b Tuy nhiên trong

thực tế, 802.11a và 802.11b được tạo một cách đồng thời Do giá thành cao hơn nên

802.11a thường được sử dụng trong các mạng doanh nghiệp còn 802.1 Ib thích hợp hơn với thị trường mạng gia đình

802.11a hỗ trợ băng thông lên đến 54 Mbps và tín hiệu trong một phô tần số quy

định quanh mức 5GHz Tần số của 802.11a cao hon so vi 802.11b chính vi vậy đã làm

cho phạm vi của hệ thống này hẹp hơn so với các mạng 802.1Ib Với tần số này, các tín hiệu 802.1 la cũng khó xuyên qua các vách tường và các vật can khác hơn

Do 802.11a va 802.11b sử dụng các tần số khác nhau, nên hai công nghệ này không thể tương thích với nhau Chính vì vậy một số hãng đã cung cấp các thiết bị mạng lai cho 802.11a/b nhưng các sản phẩm này chỉ đơn thuần là thực hiện hai chuẩn này song song (mỗi thiết bị kết nối phải sử dụng một trong hai, không thê sử dụng

đồng thời cả hai)

Ưu điểm của 802.11a — tốc độ cực nhanh; tần số được kiểm soát nên tránh được sự

xuyên nhiễu từ các thiết bị khác

Nhược điểm của 802 11a — giá thành đất; phạm vi hẹp và dé bi can trở

1.6.3 Chuẩn WiEi 802.11g

Vào năm 2002 và 2003, các sản phẩm WLAN hỗ trợ một chuẩn mới hơn đó là

802.11g, được đánh giá cao trên thị trường 802.11g là một nỗ lực để kết hợp những ưu

diém cua chuan 802 11a va 802.11b Nó hỗ trợ băng thông lên đến 54Mbps và sử dụng

tần số 2.4 Ghz đề có phạm vi rộng 802.11g có khả năng tương thích với các chuân 802.1Ib, điều đó có nghĩa là các điểm truy cập 802.11g sẽ làm việc với các adapter mạng không dây 802.IIb và ngược lại

Ưu điểm của 802.1Ig— tộc độ cực nhanh; phạm vi tín hiệu tốt và ít bị cản trở

Nhược điểm của 802.11g — giá thành đắt hơn 802.IIb; các thiết bị có thể bị xuyên

nhiễu từ những đồ gia dụng sử dụng cùng tần số tín hiệu vô tuyến không được kiểm soát

Hình 1.2 Chuẩn wÿfi 802.1In

Chuẩn 802.11n sử dụng nhiều ăng-ten không dây song song đề truyền và nhận

dữ liệu Thuật ngữ MIMO (Multiple Input, Multiple Output) liên quan đề cập đến khả

năng của 802.11n và các công nghệ tương tự đề phôi hợp nhiều tín hiệu vô tuyến đồng thoi Chuan nay hé tro tối đa 4 luồng đồng thời MIMO giúp tăng cả phạm vi và thông lượng của mạng không day Chuan 802.I1n sử dụng dải tần số lớn hơn các tiêu chuẩn trước đó, giúp tăng thông lượng đữ liệu

thiết bị Các thiết bị 802 I In hoạt động ở cả băng tan 2.4 GHz va 5 GHz

Ưu điểm của 802.11n — tốc độ tối đa nhanh nhất và phạm vi tín hiệu tot nhat; kha nang

chống nhiễu tốt hơn từ các nguồn bên ngoài

Nhược điểm của 802.I1n — giá thành đắt hơn 802.11g: việc sử dụng nhiều tín hiệu có

thê gây nhiễu với các mạng dựa trên chuân 802 1b và 802.11g ở gần

1.6.5 Chuẩn WiEi 802.11ac

802.11ac là chuân WiFi mới nhất, được sử dụng phố biến nhất hiện nay

802.11ac sử dụng công nghệ không dây băng tần kép, hỗ trợ các kết nói đồng thời trên

cả băng tần 2.4 GHz và 5 GHz 802.Ilac cung cấp khả năng tương thích ngược với các chuẩn 802.11b, 802.11g, 802.11n va bang théng dat tới 1.300 Mbps trên băng tần 5 GHz, 450 Mbps trén 2.4GHz

1.7 So sánh các chuẩn IEEE 802.11

CÁC CHUÁN WIFI 802.11

|

Hình 1.4 So sánh các chuẩn IEEE 802 11 CHUONG 2: CAC LO HONG VA CUA MANG KHONG DAY

vA CO DAY

2.1 Các mô hình mối đe dọa trong hệ thống viễn thông

Các mô hình mỗi đe dọa trước tiên mô tả hệ thống, tất cả các tác nhân và vị trí của chúng trong hệ thống (link, node) Sau đó, mô hình mối đe dọa cho biết kẻ tấn công trong hệ thông và năng lực của kẻ tấn công, tức là vị trí cầu trúc liên kết trong hệ thống, tài nguyên, khả năng truy cập, v.v

Mô hình mối đe dọa truyền thống đối với một kênh giao tiếp dựa trên mô hình giao tiếp tối thiểu liên quan ít nhất đến hai người tham gia được gọi la Alice va Bob, va một kênh giao tiếp

Mô hình này thường giả định mỗi quan hệ tin cậy ban đầu giữa Alice và Bob

Nó thường được sử dụng trong mật mã, với mục đích hạn chế hiệu quả các cuộc tấn

công có thê xảy ra đôi với các cuộc tân công chông lại kênh liên lạc giữa Alice và Bob

Tuy nhiên, trong bối cảnh của các hệ thống viễn thông, mô hình này không đây đủ, vi các yêu tô và lỗ hông bảo mật khác hiện diện

Hình 2.1 Mô hình giao tiếp tối thiểu

Hình trên giới thiệu một mô hình thích hợp hơn, phân biệt giữa hai bên giao tiếp (Alice và Bob) và ít nhất một cơ sở hạ tầng viễn thông và quyền hạn của nó được vượt qua kênh giao tiếp Nói chung, người có thâm quyền này không phải là Alice hay Bob

mà là một bên thứ ba thực sự

Hình 2.2 Mô hình giao tiếp với hệ thông viên thông

Sự xuất hiện của một bên thứ ba như vậy làm tăng độ phức tạp của hệ thống, tạo

ra các giao diện và lỗ hồng mới và có thê yêu cầu một chuỗi tin cậy phức tạp hơn Do

đó, nó mở rộng phạm vi các môi đe dọa có thể xảy ra

Mô hình tin cậy của hình trên có thể có các dang rat khac nhau:

e Alice va Bob tin tưởng lẫn nhau về cách thức liên lạc dự kiến, và cả hai

đều tin tưởng hệ thông viễn thông đã sử dụng cung cấp chính xác các dịch vụ (private network)

¢ Alice va Bob tin tưởng lẫn nhau, nhưng không tin tưởng vào cơ sở hạ tầng của hệ thông viễn thông (public network)

e© - Alice và Bob tin tưởng vào cơ sở hạ tầng viễn thông nhưng không tin tưởng lẫn nhau; họ sẽ sử dụng cơ sở hạ tầng như một bên thứ ba đáng tin

cay (TTP) dé thiét lập một mỗi quan hệ tin cậy mới

Hình dưới đây trình bày từ trái sang phải các mối đe dọa điển hình chống lại các tác nhân và các bộ phận của mô hình này Trong phần sau, kẻ tấn công được ký hiệu là Eve:

® Eve có thể tấn công một trong các bên giao tiếp (ví dụ như Alice) bằng cách sử dụng các lỗ hồng trong phần mềm và các biện pháp bảo vệ mà

Alice str dụng Thiết bị đầu cuối có giao diện kết nối với hệ thông viễn

thông là một thực thể mở hơn và do đó dễ bị tấn công hơn Thông thường, các cuộc tấn công có thê xảy ra do các lỗ hông trong thiết bị đầu

cuối và khả năng hiển thị của thiết bị đầu cuối liên quan đến dịch vụ viễn

thông

® Ngoài ra, Eve có thể tấn công kênh liên lạc liên kết Alice với hệ thông

viễn thông Cuộc tấn công này có thê là không xâm nhập (đọc dữ liệu

được trao đổi) hoặc xâm nhập (sửa đổi dữ liệu đã trao đổi, đưa dữ liệu

vào, phát lại dữ liệu cũ)

® Sự xâm nhập vào cơ sở hạ tầng cho phép thực hiện các cuộc tấn công

"người ở giữa" Eve được xem như một điểm giao nhau giữa Alice (hoặc Bob) và cơ sở hạ tầng sao cho tất cả các liên lạc của Alice (hoặc Bob) với

cơ sở hạ tầng đều đi qua Eve Nếu không có xác thực đáng tin cậy và lẫn nhau (tức là xác minh danh tính) giữa Alice (hoặc Bob) và cơ sở hạ tầng, Alice và cơ sở hạ tầng không thê phát hiện loại xâm nhập này Các cuộc tấn công cũng có thê xảy ra nếu Eve có thể chiếm đoạt danh tính của người giao tiếp Để chống lại các cuộc tấn công này thì việc xác thực lẫn nhau giữa Alice và Bob cách tốt nhất

CHUONG 3: CAC CO CHE BAO MAT CO BAN

3.1 Tong quan AAA:

AAA cho phép nhà quản trị mạng biết được các thông tin quan trọng về tình hình cũng như mức độ an toàn trong mạng Nó cung cấp việc xác thực(authentication) người dùng nhằm bảo đảm có thể nhận dạng đúng người dùng, đúng họ và tên nhân viên, đúng phòng ban Một khi đã nhận dạng người dùng, ta có thể giới hạn phân quyên(authorization) mà người dùng có thê tương tác vào hệ thông Khi người dùng sử dụng mạng, ta cũng có thê giám sát tất cả những gì mà họ làm AAA với ba thành phần xác thực (authentication), phan quyén(authorization), tính cước(accounting) là các

phần riêng biệt mà ta có thê sử dụng trong dịch vụ mạng, cần thiết để mở rộng và bảo mật mạng

AAA có thể dùng đề tập hợp thông tin từ nhiều thiết bị trên mạng Ta có thể bật cac dich vu AAA trén router, switch, firewall, các thiết bị VPN, server

3.2 Phân tích các giao thức AAA đề kiểm soát quyền truy cập vào mạng riêng

Các dịch vụ AAA được chia thành ba phần: xác thực (authentication), phân quyên (accounting), tính cước (accounting)

Hinh 3.1 Kién tric AAA

Xac thye ngwoi ding (Authentication user):

Xác thực dùng để định danh, nhận dạng (identify user) người dùng Trong suốt quá trình xác thực, username và password của người dùng được kiểm tra và đối chiều với

cơ sở dữ liệu lưu trong AAA Server hoặc external database Tất nhiên, tùy thuộc vào

giao thức mà AAA hỗ trợ mã hóa đến đâu, ít nhất thì cũng mã hóa username và

password Xac thực sẽ xác định người dung la ai

Ví dụ: Người dùng có username và mật khâu trong hệ thống, sẽ là hợp lệ và được xác thực thành công với hệ thông Sau khi xác thực thành công thì người dùng đó có thể truy cập được vào mạng Tiến trình này chỉ là một trong các thành phần đề điều khiển người dùng với AAA Một khi username và password được chấp nhận, AAA có thê dùng đề định nghĩa phân quyền mà người dùng được phép làm trong hệ thống

Phan quyén ngwéi ding (Authorization user):

Authorization cho phép nha quan tri điều khiển việc cấp quyền trong một khoảng thời gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thê hay trên từng giao thức AAA cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của người dùng được phép làm Do đó, người dùng phải được xác thực trước khi cấp quyền cho người

đó

AAA Authorization làm việc giống như một tập các thuộc tính mô tả những gì mà người dùng đã được xác thực có thể có Ví dụ: 1 người dùng là nhân viên thuộc phòng nhân sự, truy cập vào hệ thống, sẽ được phân quyền theo chúc năng của phòng nhân

sự, người dùng là khách của công ty, sẽ được phân quyên tối thiểu đề truy cập internet, không truy cập vào tài nguyên hệ thống được Những thuộc tính này được so sánh với thông tin chứa trong cơ sở dữ liệu của người dùng đó và kết quả được AAA trả về đề xác định khả năng cũng như giới hạn thực tế của người đó Điều này yêu cầu cơ sở dit liệu phải giao tiếp liên tục với AAA server trong suốt quá trình kết nói đến thiết bị truy

cập từ xa

Tính cước người dùng (Accounfing user):

Accounting cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt dau, thoi gian kết thúc người dùng truy cập vào hệ thông, các câu lệnh đã thực thi, thông kê lưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ Nói cách khác, accounting cho phép giám sát dịch vụ và tài nguyên được người dùng sử dụng

Ví dụ: thống kê cho thấy người dùng đã truy cập vào web server với số lượng bao nhiêu lần, thời gian truy cập vào server là bao lâu Điểm chính trong Accounting đó là

cho phép người quản trị giám sát tích cực và dự đoán được dịch vụ và việc sử dụng tài

nguyên Thông tin này có thê được dùng đề thời gian truy cập của khách hàng, quản lý mạng, kiểm toán trong các chính sách bảo mật của công ty

CHƯƠNG 4: BẢO MẬT MẠNG KHÔNG DẦY

4.1 Kiến trúc dành riêng cho bảo mật mạng không dây

4.1.1 Kiến trúc Hotpot

Hình 4.1 Kết nổi không dây

Hot spot là một địa điểm mà tại đó có cung cấp các dịch vụ kết nối không dây

và dịch vụ truy cập Internet tốc độ cao, thông qua hoạt động của các thiết bị thu phát

khéng day (Wireless Access Point)

4.1.2 Các hoạt động của kiến trúc Hot Spot

a Redirection — Chuyển hướng

Khi một máy tính liên kết với điểm truy cập Wi-Fi “Mở”, trước hết nó sẽ yêu

câu thuê

DHCP Máy khách không dây sẽ được chuyển hướng đến máy chủ Web bất cứ

khi nào nó yêu chuyển tạm thời) được trình duyệt Web phố biến hiểu một cách

chính xác Do đó, công cố định sẽ chuyên hướng kết nối đến máy chủ Web HTTPS để xác thực máy chủ Web bằng cách sử dụng mật mã công khai và sử dụng giao thức Bảo mật lớp truyền tải (TLS) Trang web được hiểu là trang công thông tin của nhà cung cấp nơi người dùng sẽ luôn được chuyển hướng cho đến khi họ xác thực thành công đến Hot Spot

b Authorization - Phân quyền

Khi người dùng tự xác thực với cổng bị cố định (bằng cách cung cấp username/password hợp lệ hoặc token hợp lệ), khung xác thực sau đó sẽ cho phép người dùng truy cập Internet bằng cách định cấu hình động bộ quy tắc được áp dụng trên tường lửa Hầu hết các công bị cô định chỉ dựa vào dia chi IP

để cấp quyền cho người dùng trên tường lửa, trong khi một số công khác cũng

có thê sử dung dia chi MAC đề ngăn chặn các cuộc tấn công giả mạo vào địa chỉ MAC

c Connection — Két nỗi

Khi tường lửa đã định cấu hình bộ quy tắc mới cho người dùng được xác thực, chính sách bảo mật mẫu (do nhà cung cấp áp dụng) sẽ được thực thi và về cơ bản người dùng hiện có quyên truy cập Internet

d Disconnection — Ngắt kết nối

Người dùng có thê đóng kết nối với công bị cố định bằng cách gửi đăng xuất qua một trang Web cụ thê trên công có định Ngoài ra, hầu hết các kiến trúc Hot Spot sử dụng các kỹ thuật khác đề phát hiện xem người dùng có rời khỏi kiến trúc hay không bằng cách gửi các đầu dò ARP hoặc quan sát sự gia hạn

DHCP cau truy cap Internet Viéc chuyén huéng nay duoc thyc hién nho vao ma

HTTP 302 (duoc di

4.2 Bảo mật mạng không dây

4.2.1 Giao thức bảo mật WLAN VPN

VPN là viết tắt của “Virtual Private Network” Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh có khả năng che chắn dữ liệu khỏi các truy cập trái

phép VPN sử dụng cơ chế bảo mật IPSec từ đó tạo ra độ tin cậy cao IPSec là viết tắt

của Internet Protocol Security

VPN có một số ưu điểm nổi bật là

e Gia thanh re

® - Băng thông không bị hạn chế tùy thuộc vào tốc độ đường truyền mà ban

sử dụng

¢ Số kênh VPN đồng thời lớn

® - Đảm bảo khả năng bảo mật cao và cơ chế mã hóa

e TKIP (Temporal Key Integrity Protocol)

Để đảm bảo sự minh bạch của gói tin TKIP dùng ham bam (hashing) IV dé chống lại việc giả mạo gói tin Cũng dùng đề xác định tính toàn vẹn của thông điệp MIC (message integrity check) Khóa động của TKIP cài đặt cho mỗi frame có chức năng chồng lại dạng tấn công giả mạo

4.2.2 Giao thức bảo mật AES (Advanced Encryption Standard)

AES có thê đáp ứng các nhu cầu của người dùng trên mạng WLAN ASE đã được phê chuân bởi NIST (National Institute of Standard and Technology) Trong đó, chế độ đặc biệt này của AES được gọi là CBC-CTR (Cipher Block Chaining Counter Mode) vé1 CBC-MAC (Cipher Block Chaining Message Authenticity Check)

4.2.3 Giao thức bảo mật 802.1X và EAP

802.1X là giao thức truy cập công đề bảo vệ mạng thông qua xác thực Do đó, loại phương pháp xác thực này cực kỳ hữu ích trong môi trường Wi-Fi do bán chất của phương tiện Nếu người dùng Wi-Fi được xác thực qua 802.1X để truy cập mạng, một công ảo sẽ được mở trên điểm truy cập cho phép giao tiếp Nếu không được ủy quyền

thành công, một công ảo sẽ không khả dụng và thông tin liên lạc bị chặn

Có ba tác vụ cơ bản để xác thực 802.1X:

® - Người bảo trợ Một máy khách phần mềm chạy trên máy tram Wi-Fi

® Người xác thực Điểm truy cập Wi-Ei

® Máy chủ xác thực Cơ sở dữ liệu xác thực, thường là một máy chủ bán

kinh nhu Cisco ACS*, Funk Steel-Radius*, hoac Microsoft [AS* Giao thức xác thực mở rộng (EAP) được sử dụng đề truyền thông tin xác thực giữa người hỗ trợ (máy trạm Wi-Fi) và máy chủ xác thực (Microsoft IAS hoặc khác) Loại EAP thực sự xử lý và xác định xác thực Điểm truy cập đóng vai trò là người xác thực chí là một proxy đề cho phép người hỗ trợ và máy chủ xác thực giao tiếp 4.2.4 Giao thirc bao mat WPA (Wi-Fi Protected Access)

WPA la mot giao thức an ninh trên những mạng không dây Đây là giải pháp công nghệ thay thế cho WEP vốn còn nhiều khuyết điểm Một trong những cải tiến quan trọng của WPA là sử dụng hàm thay đôi khoá TKIP (Temporal Key Integrity Protocol) va kiém tra tính toàn vẹn của théng tin (Message Integrity Check)

4.2.5 Giao thức bao mat WPA 2

WPA 2 la phuong phap bao mat ké tiép WPA 2 la giải pháp lâu dài được chứng

nhan boi Wi-Fi Alliance va sử dung str dung 802.111 Voi thuat toan ma hoa nang cao

AES (Advanced Encryption Standard), WPA 2 được nhiều cơ quan chính phủ Mỹ sử

dụng để bảo vệ các thông tin nhạy cảm

CHƯƠNG 5: THỰC HÀNH

5.1 Yêu cầu và thực hiện yêu cầu

5.1.16Gi éthi @ véé trung tâm tiếng anh Yola

Trung tâm Anh ngữ Yola Hm Lam tọa lạc tại 2 địa chỉ: 52-54-56 Hoàng Trọng

Mậu, phường Tân Hưng, Quận 7, Thành phô Hồ Chí Minh và 84-86 Nguyễn Thị Thập, KDC Him Lam, Quận 7, Thành phố Hồ Chí Minh

Hình 5.1 Yola Hừm Lam

Tại chị nhánh Yola Him Lam này là một tòa nhà gồm có 3 tầng, mỗi tầng 100m2 với

cach bé tri và công năng khác nhau:

Tang 1: La noi don tiếp, tư vẫn, chăm sóc khách hàng, hỗ trợ khách hàng thực hiện thủ

tục nhập học và thanh toán học phí, có sánh bồ trí chỗ ngồi cho khách hàng

¢ Tang 2: Bao gom các phòng học có trang bị các thiết bị như máy tính bàn giáo viên,

máy chiêu, màn hình tivi, loa

e Tầng 3: Là tầng bao gồm phòng giảm đốc và phòng kỹ thuật của trung tâm

5.1.2 Yêu câêu

Triển khai hệ thống mạng không dây tốc độ cao cho Trung tâm anh ngữ Yola

Quận 7 Đảm bảo các thiết bị có thé truy cap internet tốc độ cao ở bắt kì vi trí nào trong

Trung tâm anh ngữ Đảm bảo đường truyền internet ôn định và có tốc độ cao đáp ứng các nhu cầu đọc báo, xem tin tức, tra cứu và download các tải liệu học tập, thực hiện các bài kiêm tra online của trung tâm

Đảm bảo các bảo mật cho hệ thống mạng Hạn chế tối đa việc truy cập trái phép

vào hệ thống mạng của Trung tâm gây giảm tốc độ của hệ thống mạng hoặc xâm nhập phá hỏng hệ thông từ bên ngoài

5.1.3 Th whi ậ yêu câêu

5.1.3.1 ẩg quan vêê mô hình mạng

Ví trí các thiết bị mạng tại trung tâm tiếng anh Yola như sau:

Tang 1: Tang 1 sẽ gồm sảnh và phòng tư vấn: Ở sảnh sẽ bồ trí các máy tính cho nhân viên Lễ tân và Thu ngân Phòng tư vấn sẽ bồ trí tương tự các máy tính cho nhân

viên tư vấn khách hàng

Tầng 2: Gồm các phòng học mỗi phóng gồm 1 máy tính được kết nối internet

Tầng 3: Các máy tính của nhân viên tại các phòng kỹ thuật, phòng giảm đốc được kết nối thành từng cụm phòng và kết nối với nhau và có thê truy cập được

Mô tả: Mỗi Switch gồm l6 công Gigabit, được lắp đặt cho hệ thống mạng của trung

tâm kết nỗi từ Router đến các thiết bị Switch khác

Hình 5.2 Switch Cisco SG95-16

Switch CISCO SF95D-08 8 ports:

Hinh 5.3 Switch CISCO SF95D-08

Cisco RV082-EU Dual WAN VPN Router

Mã thiết bị: RV082-EU

Hãng sản xuất: Cisco

Gia: 6.500.000 VND

Sé luong: |

Mô tả: Router kết nối giữa Switch trung tâm và mạng Internet

Hình 5.4 Router Cisco RV082-EU

Máy chủ Dell PowerEdge T40

Hình 5.5 May chia Dell PowerEdge T40

CISCO AIR-CT2504-5-K9 2500 Series Wireless Controller

Hinh 5.6 WLC Cisco AIR-CT2504-5-K9

Thiết Bị Mạng Phát Sóng Router Wifi APTEK A134GHU:

Mã thiết bị: A134GHU

Hãng sản xuất: APTEK

Gia: 1.127.000 VND

Sé luong: |

M6 ta: Thiét bi Access Point co thê phục vụ nhu cầu sử dụng mạng không dây mật

độ truy cập cao với luồng dữ liệu lớn (80 ~ 100 users) Băng tần 2.4GHz chuẩn N tốc độ lên đến 400Mbps, băng tần 5GHz chuẩn AC tốc độ lên đến 876Mbps Hỗ trợ

2 SSID cho mỗi băng tần

Hinh 5.7 Thiét Bi Mang Phat Song Router Wifi APTEK A134GHU

5.1.3.3 Bang giá dự kiến

Thiéét Bi Ma ng Phat Song Router

T ag gia: 46.244,000 VND

Bảng 5.1 Bảng giá thiết bị