Đồ án cơ sở Mục lục MỤC LỤC THUẬT NGỮ VIẾT TẮT i LỜI NÓI ĐẦU 1 CHƯƠNG I 1 TỔNG QUAN VỀ WLAN 1 1.1 Giới thiệu 1 1.2 Kiến trúc WLAN 2 1.2.1 Một BSS độc lập là một mạng adhoc 3 1.2.2 Khái niệm hệ thống phân phối 3 1.2.3 Khái niệm vùng 4 1.2.4 Tích hợp LAN hữu tuyến 5 1.2.5 Cấu hình mạng WLAN 6 1.2.5.1 Cấu hình WLAN độc lập 6 1.2.5.2 Cấu hình WLAN cơ sở 7 1.2.5.3 Cấu hình WLAN hoàn chỉnh 9 1.3 Các thành phần cấu thành một hệ thống WLAN 9 1.3.1 Card giao diện vô tuyến 9 1.3.2 Các điểm truy nhập vô tuyến 9 1.3.3 Cầu nối vô tuyến từ xa 10 1.4 Mô hình tham chiếu WLAN IEEE 802.11 11 1.4.1 Phân lớp MAC 12 1.4.1.1 Các dịch vụ MAC 12 1.4.1.2 Khuôn dạng khung tổng quát 13 1.4.1.3 Chức năng phân lớp MAC 21 Đặng Quốc Vương, 09CTH2 Đồ án cơ sở Mục lục 1.4.2 Phân lớp PHY 24 1.4.2.1 Các chức năng lớp vật lý 24 1.4.2.2 Dịch vụ 25 1.4.2.3 Lớp vật lý trải phổ nhảy tấn FHSS PHY 25 1.4.2.4 Lớp vật lý trải phổ chuỗi trực tiếp 26 1.4.2.5 Lớp vật lý hồng ngoại 27 1.4.2.6 Lớp vật lý ghép kênh theo tần số trực giao 29 1.5 Tổng kết 30 CHƯƠNG II 33 BẢO MẬT MẠNG VÀ INTERNET 33 2.1 Tổng quan về các mô hình mạng 33 2.1.1 Mô hình TCP/IP 33 2.1.2 Mô hình OSI 34 2.1.3 Các thiết bị kết nối sử dụng trong mạng 35 2.1.3.1 Chuyển mạch 35 2.3.1.2 Bộ lặp 36 2.3.1.3 Cầu nối 36 2.3.1.4 Router 36 2.3.1.5 Gateway 37 2.2 Những nguy hiểm từ môi trường ngoài tới hoạt động của mạng 37 2.3 Bảo mật mạng 38 2.3.1 Chính sách bảo mật 38 2.3.1 Các cơ chế và dịch vụ bảo mật 40 2.3.2 Bảo mật môi trường vật lý 41 2.3.3 Nhận dạng và nhận thực 44 Đặng Quốc Vương, 09CTH2 Đồ án cơ sở Mục lục 2.3.3.1 I& A dựa trên những gì người sử dụng biết 46 2.3.3.2. I&A dựa trên sở hữu của người sử dụng 47 2.3.3.3 I&A dựa trên việc xác định cái gì thuộc về người sử dụng 51 2.3.3.4 Nhận thực 54 2.3.4 Tường lửa 58 2.3.4.1. Giới thiệu 58 2.4.3.2 Bảo mật tường lửa và các khái niệm 60 2.4.3.3 Các kiến trúc tường lửa 63 CHƯƠNG III 65 BẢO MẬT TRONG WLAN 65 3.1 Giới thiệu 65 3.2 Cơ sở bảo mật 802.11 65 3.2.1 Tập dịch vụ ID (SSID) 65 3.2.2 Giao thức bảo mật tương đương hữu tuyến (WEP) 66 3.2.3 Lọc địa chỉ MAC 68 3.3 Những đe doạ an ninh mạng 68 3.3.1 Những nguy hiểm cho an ninh mạng 68 3.3.2 Mô hình bảo mật WLAN 69 3.3.2.1 Lưu lượng (dòng) thông thường 69 3.3.2.2. Sự đánh chặn 70 3.3.2.3 Sự làm giả mạo 73 3.3.2.4 Sửa đổi 77 3.3.2.5 Phúc đáp 78 3.3.2.6 Sự phản ứng 79 3.3.2.7 Ngắt 80 Đặng Quốc Vương, 09CTH2 Đồ án cơ sở Mục lục 3.3.2.8 Sự phủ nhận 81 3.4 Kiến trúc mạng 81 3.4.1 Kiến trúc mạng điển hình với WLAN thêm vào 81 3.4.2 Kiến trúc mạng điển hình với một WLAN và tường lửa vô tuyến bổ sung.82 3.5 Chính sách bảo mật - Miền các tuỳ chọn 83 3.5.1 Truy nhập công cộng 84 3.5.2 Điều khiển truy nhập cơ bản 85 3.5.3 Các phương thức bảo mật 802.11 ngoài WEP 85 3.5.4 802.11 Phương pháp bảo mật ngoài WPA 86 3.5.5 802.1x và EAP—bảo mật cấp cao 86 3.5.6 Nhận thực cổng mạng 802.1x : 86 3.5.7 Giao thức nhận thực mở rộng (EAP) 87 3.5.7.1 Giới thiệu 87 3.5.7.2. Giao thức nhận thực có thể mở rộng điểm tới điểm (EAP) 88 3.5.7.3 Cấu hình khuôn dạng tùy chọn 89 3.5.7.4 Khuôn dạng gói tin 89 3.5.7.5 Các loại Request /Response EAP ban đầu 92 KẾT LUẬN 95 TÀI LIỆU THAM KHẢO 96 Đặng Quốc Vương, 09CTH2 Đồ án cơ sở Thuật ngữ viết tắt THUẬT NGỮ VIẾT TẮT ACK ACKnowledgment Bản tin xác nhận AID Association Chỉ số liên lạc AP Access Point Điểm truy nhập BSA Basic Service Area Vùng dịch vụ cơ sở BSS Basic Service Set Nhóm dịch vụ cơ sở BSSID Basic Service Set Identification Nhận dạng nhóm dịch vụ cơ sở CCA Clear Chanel Assessment Cơ chế xác định kênh rỗi CF Contention Free Chế độ không tranh chấp CFP Contention – Free Period Khoảng thời gian không tranh chấp CID Connection Identifier Chỉ số kết nối CP Contention Period Khoảng thời gian tranh chấp CRC Cyclic Redundancy Code Mã dư vòng CS Carrier Sence Cảm nhận sóng mang CTS Clear To Send Bản tin sẵn sàng nhận CW Contention Window Cửa sổ tranh chấp DA Destination Address Địa chỉ đích DBPSK Differential Binary Phase Shift Keying Khoá dịch pha nhị phân vi phân DCE Data Communication Equipment Thiết bị liên lạc dữ liệu DCF Distributed Coordination Fuction Cơ chế truy nhập kênh chức năng phối hợp phân phối DIFS Distributed Interframe Sapce Khoảng trống liên khung phân phối DLL Data Link Layer Tầng liên kết dữ liệu DQPSK Differential Quadrature Phase Shift Keying Khoá dịch pha cầu phương vi phân DS Distribution System Hệ thống phân phối DSAP Destination Service Access Ponit Điểm truy nhập dịch vụ đích DSM Distribution System Medium Môi trường hệ thống phân phối DSS Distribution System Sevice Dịch vụ hệ thống phân phối DSSS Direct Sequence Spread Spectrum Trải phổ chuỗi trực tiếp DTIM Delivery Traffic Indication Message Bản tin chỉ thị lưu lượng phát EIFS Extended Interframe Space Không gian liên khung mở rộng EAP Extensible Authentication Protocol Giao thức nhận thực có thể mở rộng ESS Extended Sevice Set Tập dịch vụ mở rộng Đặng Quốc Vương, 09CTH2 i Đồ án cơ sở Thuật ngữ viết tắt FC Frame Control Điều khiển khung FCS Frame Check Sequence Chuỗi kiểm tra khung FER Frame Error Ratio Tỷ lệ lỗi khung FH Frequency Hopping Nhảy tần FHSS Frequency – Hopping Spread Spectrum Trải phổ nhảy tần IBSS Indipendent Basic Service Set Tập dịch vụ cơ sở độc lập ICV Integrity Check Value Giá trị kiểm tra tính toàn vẹn IDU Interface Data Unit Đơn vị dữ liệu giao diện khung IFS InterFrame Sapce Không gian liên khung IR InfRared Hồng ngoại IV Initialization Vector Vector khởi tạo I&A Indentity & Authentication Nhận dạng và Nhận thực LAN Local Area Network Mạng cục bộ LLC Logical Link Control Điều khiển liên kết logic LME Layer Managent Entity Thực thể quản lý tầng LRC Long Retry Count Đếm số lần gửi lại với kích thước khung dài lsb Least significant bit Bit trọng số thấp nhất MAC Medium Access Control Điều khiển truy nhập môi trường MDF Managent – Defined Field Trường định nghĩa kiểu bản tin quản lý MIB Manage Information Base Cơ sở thông tin quản lý MLME MAC sublayer Management Entity Thực thể quản lý phân lớp MAC MMPDU MAC Management Protocol Data Unit Đơn vị dữ liệu dịch vụ MAC Msb Most sisnificant bit Bit trọng số lớn nhất MSDU MAC Service Data Unit Đơn vị dữ liệu dịch vụ MAC NAV Network Allocation Vector Vector cấp phát mạng PC Point Coordinator Bộ phối hợp điểm PCF Point Coordination Fuction Chức năng phối hợp điểm PDU Protocol Data Unit Đơn vị dữ liệu giao thức PHY PHYsical (Layer) Lớp vật lý PHY-SAP PHYsical Service Access Point Điểm truy nhập dịch vụ lớp vật lý PIFS Point (coording fuction) Interframe Space Không gian liên khung điểm PLCP Physical Layer Convergence Giao thức hội tụ lớp vật lý Đặng Quốc Vương, 09CTH2 ii Đồ án cơ sở Thuật ngữ viết tắt Protocol PLME Physical Layer Management Entity Thực thể quản lý tần vật lý PMD Physical Medium Dependent Phụ thuộc môi trường vật lý PMD – SAP Physical Medium Dependent Service Acess Point Điểm truy nhập phụ thuộc môi trường vật lý PPDU PLCP Protocol Data Unit Đơn vị dữ liệu giao thức PLCP PPM Pulse Position Modulation Điều chế vị trí xung PRNG Pseudo – Random Number Generator Bộ phát số giả ngẫu nhiên PS Power Save Chế độ tiết kiệm nguồn PSDU PLCP SDU Đơn vị dữ liệu dịch vụ PLCP RA Receiver Adress Địa chỉ phía thu RF Radio Frequency Tần số vô tuyến RTS Request To Sent Yêu cầu gửi Rx Receive or Receiver Phía thu SA Source Address Địa chỉ nguồn SAP Service Access Point Điểm truy nhập dịch vụ SDU Service Data Unit Đơn vị dữ liệu dịch vụ SSID Service Set ID Tập dịch vụ ID SFD Start Frame Delimiter Trường ranh giới bắt đầu khung TKIP Temporary Key Indentity Protocol Giao thức nhận dạng khoá tạm thời WEP Wireless Equivalency Privacy Bảo mật tương đương hữu tuyến Đặng Quốc Vương, 09CTH2 iii Đồ án cơ sở Chương I.Tổng quan về WLAN LỜI NÓI ĐẦU Ngày nay cuộc cách mạng công nghệ thông tin và viễn thông đã phát triển vô cùng mạnh mẽ, những thành tựu của nó đã có những ứng dụng to lớn, và trở thành một phần quan trọng trong cuộc sống của chúng ta. Mạng viễn thông mà tiêu biểu là Internet đã kết nối mọi người trên toàn thế giới, cung cấp đa dịch vụ từ Chat, e – mail, VoIP, hội nghị truyền hình, các thông tin khoa học kinh tế, giáo dục… Truy cập Internet trở thành nhu cầu quen thuộc đối với mọi người. Tuy nhiên, để có thể kết nối Internet người sử dụng phải truy nhập Internet từ một vị trí cố định thông qua một máy tính kết nối vào mạng. Điều này đôi khi gây ra rất nhiều khó khăn cho những người sử dụng khi đang di chuyển hoặc đến một nơi không có điều kiện kết nối vào mạng. Xuất phát từ yêu cầu mở rộng Internet để thân thiện hơn với người sử dụng. WLAN đã được nghiên cứu và triển khai ứng dụng trong thực tế, với những tính năng hỗ trợ đáp ứng được băng thông, triển khai lắp đặt dễ dàng, và đáp ứng được các yêu cầu kĩ thuật, kinh tế. Khi nghiên cứu và triển khai ứng dụng công nghệ WLAN, người ta đặc biệt quan tâm tới tính bảo mật an toàn thông tin của nó. Do môi trường truyền dẫn vô tuyến nên WLAN rất dễ bị rò rỉ thông tin do tác động của môi trường và đặc biệt là sự tấn công của các Hacker. Do đó, đi đôi với phát triển WLAN phải phát triển các khả năng bảo mật WLAN an toàn, để cung cấp thông tin hiệu quả, tin cậy cho người sử dụng. Từ những yêu cầu đó đề tài đã hướng tới nghiên cứu về bảo mật cho WLAN, nội dung của đề tài gồm ba chương như sau : Chương I : Tổng quan về WLAN Chương II : Bảo mật mạng và Internet. Chương III : Bảo mật WLAN Đặng Quốc Vương, 09CTH2 1 CHƯƠNG I TỔNG QUAN VỀ WLAN 1.1 Giới thiệu Với sự phát triển nhanh chóng của khoa học và công nghệ thông tin, viễn thông ngày nay các thiết bị di động công nghệ cao như máy tính xách tay laptop, máy tính bỏ túi palm top, điện thoại di động, máy nhắn tin… không còn xa lạ và ngày càng được sử dụng rộng rãi trong những năm gần đây. Nhu cầu truyền thông một cách dễ dàng và tự phát giữa các thiết bị này dẫn đến sự phát triển của một lớp mạng di động không dây mới, đó là mạng WLAN. WLAN cho phép duy trì các kết nối mạng không dây, người sử dụng duy trì các kết nối mạng trong phạm vi phủ sóng của các điểm kết nối trung tâm. Phương thức kết nối mới này thực sự đã mở ra cho người dử dụng một sự lựa chọn tối ưu, bổ xung cho các phương thức kết nối dùng dây. WLAN là một hệ thống truyền thông dữ liệu linh hoạt được thực hiện như một sự mở rộng, hay sự thay đổi của mạng LAN hữu tuyến. Mạng WLAN là mạng dữ liệu, có thể thay thế hoặc mở rộng mạng cáp đồng, sử dụng các công nghệ tần số vô tuyến RF hay hồng ngoại để truyền và nhận số liệu qua không gian, tối thiểu hoá nhu cầu kết nối hữu tuyến. WLAN cung cấp tất cả các chức năng và ưu điểm của một mạng LAN truyền thống như Ethernet hay Ring mà không bị giới hạn bởi cáp. Vì vậy, WLAN kết hợp được việc kết nối truyền số liệu với tính di động của người sử dụng. WLAN khác với các mạng diện rộng vô tuyến W-WAN truyền thông tin số qua hệ thống các tế bào hoặc gói vô tuyến. Các hệ thống WAN vô tuyến phủ sóng với khoảng cách lớn và chi phí lớn bao gồm các cơ sở hạ tầng, cung cấp các tốc độ dữ liệu thấp và yêu cầu khách hàng phải trả tiền băng tần truyền dẫn theo thời gian sử dụng hoặc theo việc sử dụng. Các mạng WLAN cung cấp truy nhập không dây với tốc độ lớn hơn 1 Mbps cho cả môi trường trong nhà và ngoài trời. Các WLAN cũng cho phép thực hiện dễ dàng các dịch vụ quảng bá và đa địa chỉ cho dù các dịch vụ này phải được bảo vệ tránh các truy nhập không được phép. Trong khi chi phí cho việc triển khai mạng LAN truyền thống chủ yếu là ở các thiết bị kết nối mà đôi khi chi phí này vượt quá chi phí phần cứng và phần mềm của máy tính thì việc triển khai WLAN loại bỏ được các chi phí nhân công và thiết bị dây cáp. Đồng thời, WLAN cũng linh hoạt hơn trong xây dựng lại cấu hình hoặc mở rộng các nút mạng, do đó chi phí cho tương lai sẽ không nhiều và dễ dàng triển khai hơn. Sự phát triển ngày càng tăng nhanh của các máy tính xách tay nhỏ gọn hơn, hiện đại hơn.và rẻ hơn đã thúc đẩy sự tăng trưởng rất lớn trong công nghiệp WLAN những năm gần đây. Ứng dụng lớn nhất của WLAN là việc áp dụng WLAN như một giải pháp tối ưu cho việc sử dụng Internet. Mạng WLAN được coi như một thế hệ mạng truyền số liệu mới cho tốc độ cao được hình thành từ hoạt động tương hỗ của cả mạng hữu tuyến hiện có và mạng vô tuyến. Mục tiêu của việc triển khai mạng WLAN cho việc sử dụng internet là để cung cấp các dịch vụ số liệu vô tuyến tốc độ cao và tạo nên sự hình thành của “mạng toàn IP”. 1.2 Kiến trúc WLAN Kiến trúc WLAN bao gồm một số thành phần tương tác với nhau để cung cấp WLAN hỗ trợ khả năng di động của các trạm một cách trong suốt với các lớp cao hơn. Nhóm dịch vụ cơ bản BSS là một khối xây dựng cơ bản của WLAN. Hình 1-1 biểu diễn hai BSS, mỗi BSS có hai trạm là các thành phần của BSS. Có thể xem như hình oval sử dụng để minh họa một BSS là một vùng bao phủ trong đó các trạm thành phần của BSS có thể duy trì liên lạc. Nếu một trạm di chuyển ra ngoài BSS của nó, nó sẽ không liên lạc trực tiếp được với các thành viên khác của BSS. [...]... có độ dài 2 bit có kích thước không thay đổi Với tiêu chuẩn IEEE 802.11 giá trị trường bằng 0, các giá trị khác để dự phòng cho các phiên bản WLAN sau Giá trị của trường sẽ của trường sẽ tăng dần khi xuất hiện sự thay đổi cơ bản giữa phiên bản đã sửa đổi với phiên bản trước đó Trường Type và Subtype Trường Type có độ dài 2 bit và Subtype có độ dài 4 bit Các trường Type và Subtype đều dùng để xác định... tham chiếu cơ bản ISO/ IEC của OSI Hình 1-10 : Mô hình tham chiếu cơ bản IEEE 802.11 1.4.1 Phân lớp MAC 1.4.1.1 Các dịch vụ MAC Dịch vụ dữ liệu MAC không đồng bộ: Dịch vụ này cung cấp cho các thực thể điều khiển liên kết logic LLC ngang cấp khả năng trao đổi các đơn vị dữ liệu dịch vụ MAC (MSDU) Để hỗ trợ dịch vụ này, MAC cục bộ sử dụng các dịch vụ lớp vật lý PHY phía dưới để truyền một bản tin MSDU... Protocol Version (Phiên bản giao thức), Type (Loại trường), Subtype, to DS, From DS, More Fragment, Retry, Power management, More Data, Wired Equipvalent Privacy (WEP) và trường Order Khuôn dạng của trường điều khiển khung được biểu diễn trong Hình 1-12 Protocol version Type Sub To From More Retry Pwr More WEP Order type DS DS frag mng data Hình 1-12 Trường điều khiển khung Trường phiên bản giao thức (Protocol... đều dùng để xác định chức năng của khung Có 3 loại khung : khung điều khiển, khung dữ liệu và khung quản lý Mỗi loại khung này đều có một số trường Subtype được định nghĩa trước Bảng 1-1 biểu diễn sự kết hợp giữa và Subtype Bảng 1-1 Kết hợp giữa trường TYPE và SUBTYPE Giá trị trường Type Loại trường Loại trường Subtype Type Giá trị trường Subtype 00 Quản lý 0000 Yêu cầu liên kết 00 Quản lý 0001 Trả... thông giữa phân lớp MAC và PHY được chia thành hai loại cơ bản :  Các tiền tố hỗ trợ các hoạt động trao đổi ngang cấp (peer – to - peer) MAC  Các tiền tố dịch vụ có ý nghĩa nội bộ và hỗ trợ trao đổi phân lớp đến phân lớp (sublayer – to - sublayer) 1.4.2.3 Lớp vật lý trải phổ nhảy tấn FHSS PHY Phân lớp vật lý FHSS PHY gồm hai chức năng cơ bản sau:  Chức năng hội tụ lớp vật lý : chức năng này sắp... mạng hữu tuyến nên mỗi nút di động sẽ truy nhập vào các tài nguyên của máy chủ cũng như các nút di động khác Mỗi điểm truy nhập có thể phục vụ nhiều nút di động, số lượng cụ thể phụ thuộc và số lượng và bản chất của truyền dẫn Nhiều ứng dụng thực tế bao gồm một điểm truy nhập đơn và 15 – 50 nút di động Một điểm truy nhập không cần điều khiển truy nhập từ nhiều nút di động (có nghĩa là nó có thể hoạt động...Hình 1-1 Các dịch vụ cơ sở BSS 1.2.1 Một BSS độc lập là một mạng adhoc Một BSS độc lập là loại cơ bản nhất của WLAN Cấu hình WLAN nhỏ nhất có thể chỉ gồm 2 trạm Hình 1-1 biểu diễn hai trạm BSS độc lập (IBSS) Có thể hoạt động ở chế độ này khi các trạm WLAN có thể liên lạc trực tiếp Bởi vì loại WLAN... Quản lý 0010 Yêu cầu tái liên kết 00 Quản lý 0011 Trả lời tái liên kết 00 Quản lý 0100 Yêu cầu Probe 00 Quản lý 0101 Trả lời Probe 00 Quản lý 0110 – 0111 Dự phòng 00 Quản lý 1000 Beacon 00 Quản lý 1001 Bản tin chỉ thị lưu lượng thông báo (ATIM) 00 Quản lý 1010 Ngừng liên kết 00 Quản lý 1011 Nhận thực 00 Quản lý 1100 Ngừng nhận thực 00 Quản lý 1101-1111 Dự phòng 01 Điều khiển 0000-1001 Dự phòng 01 Điều... Chức năng phân lớp MAC Kiến trúc MAC Kiến trúc MAC được mô tả trong Hình 1-14, nó cung cấp các dịch vụ của DCF Hình 1-14 Mô hình phân lớp MAC Chức năng phối hợp phân tán (DCF) Phương thức truy nhập cơ bản của MAC WLAN IEEE 802.11 là DCF được biết với dưới tên đa truy nhập cảm nhận sóng mang với cơ chế tránh xung đột DCF có thể được áp dụng ở tất cả các STA, sử dụng cho cả cấu hình IBSS lẫn cấu hình... được trên những cấu hình mạng hạ tầng Phương pháp truy nhập này sử dụng một bộ phối hợp điểm (PC), nó sẽ hoạt động tại điểm truy nhập của BSS, để xác định STA nào đang có quyền truyền Hoạt động về cơ bản giống với việc thăm dò, trong đó PC đóng vai trò của bộ phận điểu khiển thăm dò Hoạt động của PCF có thể yêu cầu phối hợp thêm để cho phép hoạt động hiệu quả trong trường hợp tại đó có nhiều BSS phối . di động của các trạm một cách trong suốt với các lớp cao hơn. Nhóm dịch vụ cơ bản BSS là một khối xây dựng cơ bản của WLAN. Hình 1-1 biểu diễn hai BSS, mỗi BSS có hai trạm là các thành phần. lớp này tương ứng với các lớp thấp nhất trong mô hình tham chiếu cơ bản ISO/ IEC của OSI. Hình 1-10 : Mô hình tham chiếu cơ bản IEEE 802.11 1.4.1 Phân lớp MAC 1.4.1.1 Các dịch vụ MAC Dịch vụ dữ. chấp CRC Cyclic Redundancy Code Mã dư vòng CS Carrier Sence Cảm nhận sóng mang CTS Clear To Send Bản tin sẵn sàng nhận CW Contention Window Cửa sổ tranh chấp DA Destination Address Địa chỉ đích DBPSK