Đồ án tốt nghiệp MỤC LỤC Trang Tính xác thực (Authentication): Là đảm bảo rằng thông tin trao đổi là thông tin đáng tin cậy 47 Tính toàn vẹn (Integrity): Dữ liệu thông tin được coi là toàn vẹn khi nó đầy đủ và chính xác 47 2.2.2. Các loại hình tấn công mạng 48 2.4. Bảo mật mạng: để thực hiện bảo mật mạng thì cần phải thực hiện các công việc sau: 50 ♦ Đề ra chính sách bảo mật 50 ♦ Chọn nhà cung cấp dịch vụ bảo mật và các biện pháp, công cụ bảo vệ hệ thống 50 ♦ Chọn nhà cung cấp dịch vụ bảo mật 50 ♦ Có các biện pháp và công cụ bảo mật hệ thống, như là: kiểm soát quyền truy nhập bảo vệ cho hệ thống mạng khỏi các mối đe dọa, kiểm soát sự xác thực người dùng với nhiều công cụ xác thực như TACAC và RADIUS…, có biện pháp bảo vệ hệ điều hành, phòng chống những người dùng trong mạng bằng việc sử dụng lại phần mềm crack và sử dụng mật khẩu một lần, kiểm soát nội dung thông tin truyền nhận, thực hiện phương pháp xác nhận chữ ký điện tử và quan trọng nhất trong bảo mật là mã hóa dữ liệu 50 Chương 4: BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY 69 4.1. Khái quát về bảo mật trong WLAN 69 Sự ra đời của WLAN đã đem lại nhiều lợi ích về khả năng di động và khai thác mạng linh hoạt, đem lại sự thuận tiện, lợi thế về chi phí so với các hệ thống mạng hữu tuyến truyền thống. Tuy nhiên WLAN cũng tồn tại những nhược điểm và khó khăn trong việc triển khai như: tính bảo mật, phạm vi phủ sóng, độ tin cậy… Để giải quyết vấn đề đó cần có sự đầu tư, khảo sát, nghiên cứu một cách nghiêm túc nhằm đem lại một mạng WLAN an toàn và hiệu quả cao 69 Trước hết, chúng ta cần phải hiểu thế nào là “bảo mật” trong mạng máy tính? và “bảo mật” về vấn đề gì? 69 Có nhiều định nghĩa khác nhau cho vấn đề trên, tuy nhiên tất cả đều tương tự nhau và để hiểu rõ, cụ thể hơn thuật ngữ trên, chúng ta cần xem xét những khái niệm sau: 69 +) Tài sản thông tin (Information Assets): Bao gồm phần cứng, phần mềm, dữ liệu yêu cầu cần được bảo vệ 69 Đồ án tốt nghiệp Phần cứng: bao gồm máy tính, máy in, ổ đĩa ; thiết bị mạng: Router, Bridge, và Hub 69 Phần mềm: hệ điều hành, hệ quản lý cơ sở dữ liệu, các phần mềm ứng dụng và các chương trình liên mạng 69 Dữ liệu: cơ sở dữ liệu của các chương trình ứng dụng, các file về thông tin, cấu hình hệ thống, mạng 69 +) Mục tiêu bảo mật (Security Goal) là duy trì ba đặc tính quan trọng của thông tin là: tính bí mật, tính toàn vẹn và tính kịp thời (sẵn sàng) 69 +) Sự đe doạ hay các mối nguy hiểm (Threat or Risk) 69 Có hàng trăm, hàng nghìn loại khác nhau từ các mối đe doạ, nguy hiểm tới tài sản thông tin như: việc gây cháy trung tâm dữ liệu; các cracker/hacker xâm nhập chỉnh sửa hay phá hủy trái phép các dữ liệu, thông tin về mạng , người sử dụng xoá nhầm file… Tất cả đều chứng tỏ rằng thông tin đã bị xâm phạm. 69 Khi sự bảo mật bị xâm phạm điều đó có nghĩa là người dùng sẽ phải tốn kinh phí cho việc khôi phục lại dữ liệu, hệ thống và đôi khi sẽ “mất trắng” dữ liệu nghĩa là dữ liệu không thể khôi phục lại được 69 +) Phương pháp bảo mật (Security Method) 69 Phương pháp bảo mật là: các bước, các công cụ, các kỹ thuật được sử dụng để giúp tránh các mối đe doạ, hiểm họa xảy ra hoặc để giảm thiểu tổn thất, thiệt hại thấp nhất đối với tài sản thông tin. Các biện pháp có thể thực hiện như: 70 ٭ Xây dựng các rào ngăn vật lý bảo vệ phòng máy 70 ٭ Sử dụng các cơ chế, ứng dụng trên nền hệ điều hành: nhận thực, nhận dạng, mật khẩu, mã hóa, điều khiển truy nhập file 70 ٭ Dùng các phương tiện bảo vệ việc trao đổi thông tin mạng như: tường lửa, các thiết bị mã hóa mức liên kết 70 Do đó nên sử dụng nhiều phương pháp bảo mật khác nhau để cung cấp cho sự bảo vệ cần thiết. Một hệ thống bảo mật được xây dựng tốt khi kết hợp sử dụng nhiều loại phương pháp khác nhau theo kiểu nhiều tầng, nhiều lớp 70 Như vậy, hiểu rõ, triển khai và thực hiện tốt tất cả các vần đề trên nghĩa là chúng ta đã thực hiện tốt công tác bảo mật thông tin trong mạng máy tính 70 4.2. Mối nguy hiểm, sự đe dọa đối với WLAN 70 Trước tình hình an ninh mạng phức tạp như hiện nay thì mạng máy tính nói chung và mạng WLAN nói riêng đang đối mặt với các mối nguy hiểm, các yếu tố gây mất an toàn như: 70 *) Sự mất cắp các thiết bị (LAN có dây hay không có dây) như: NIC, máy tính, các thiết bị đấu nối, bộ chia tách mạng Nếu các thiết bị này bị đánh cắp sẽ gây hư hổng một phần hoặc ngưng trệ toàn bộ hệ thống mạng 70 Đồ án tốt nghiệp *) Nghe lén, bắt giữ hoặc điều chỉnh, thay thế, hủy bỏ thông tin, hậu quả là dữ liệu không còn đảm bảo được tính bí mật và tính toàn vẹn của nó 70 *) Sự giả dạng: Khi sự giả dạng xảy ra thì cả hai đặc tính của dữ liệu là tính bí mật và tính toàn vẹn có thể bị tổn hại nghiêm trọng 70 *) Nhiễu hoặc nghẽn mạng: Ảnh hưởng từ các nguồn bức xạ điện từ của các thiết bị gia dụng: lò vi sóng , các thiết bị không dây hoạt động cùng tần số với tần số hoạt động của mạng WLAN gây ra nhiễu làm ảnh hưởng đến mạng WLAN. Nhiễu hoặc các dạng của nhiễu có thể ngăn cản một STA thu hoặc phát tín hiệu từ STA khác, làm xáo trộn sự thu/phát làm tăng tỉ số lỗi, cản trở tốc độ truyền dữ liệu trong mạng và gây lỗi cho hệ thống thông tin. Ngoài ra, nhiễu có thể được tạo ra một cách cố ý (từ các nút có mục đích xấu) làm xáo trộn sự trao đổi tin gây nghẽn mạng (Jamming), hậu quả là làm giảm sự hoạt động của mạng WLAN 70 4.3. Các phương thức, kỹ thuật bảo mật trong mạng WLAN 71 * Encryption: WLAN hỗ trợ các chuẩn mã hóa như WEP, WPA, WPA2 sử dụng mã hóa để bảo vệ cho kết nối không dây 71 * Authentication: chỉ cho phép các Wireless Client thực hiện thành công thủ tục xác thực mới được truy cập vào mạng 71 * Firewall: qui định dịch vụ, người sử dụng nào được phép truy cập từ bên trong hệ thống ra mạng bên ngoài hoặc ngược lại 71 * VPN (Virtual Private Network): nhiều nhà sản xuất WLAN đã tích hợp phần mềm máy chủ VPN vào trong AP và gateway cho phép sử dụng công nghệ VPN để bảo mật kết nối không dây 71 Nếu kết hợp và thực hiện tốt các phương thức bảo mật trên thì sẽ xây dựng được một hệ thống bảo mật vững chắc. Đó chính là tính toàn diện của mô hình. Và mỗi một phần tử bên trong mô hình đều có thể cấu hình theo người quản lý mạng để thỏa mãn và phù hợp với những gì họ cần. Đây chính là tính mở của hệ thống bảo mật trên 71 4.3.1. Các kỹ thuật bảo mật sử dụng cơ chế điều khiển truy nhập (Device Authorization) 71 Tất cả các kỹ thuật này đều sử dụng cơ chế lọc (Filtering). Lọc là cơ chế bảo mật cơ bản có thể kết hợp dùng cùng với WEP và cả AES. Lọc tức là cho phép những cái mong muốn và ngăn cấm những cái không mong muốn. Lọc hoạt động giống như Access List trên bộ định tuyến (Router) bằng cách định nghĩa các tham số mà Client phải tuân theo để truy cập vào mạng 71 Có 3 kiểu lọc cơ bản có thể được sử dụng trong Wireless Client: 72 + Lọc SSID 72 Đồ án tốt nghiệp + Lọc địa chỉ MAC 72 + Lọc giao thức 72 4.3.1.1. Lọc SSID (Service Set Identifier) 72 Lọc SSID là một phương thức cơ bản của lọc và chỉ nên được sử dụng cho việc điều khiển truy cập cơ bản. Định danh tập dịch vụ SSID chỉ là một thuật ngữ khác để gọi tên mạng. SSID là một chuỗi ký tự số và chữ cái duy nhất, phân biệt hoa thường, có chiều dài từ 2 đến 32 ký tự được sử dụng để định nghĩa một vùng xung quanh các AP. Sự khác nhau giữa các SSID trên các AP có thể cho phép chồng chập các mạng vô tuyến. SSID là một ý tưởng về một mật khẩu gốc mà không có nó các client không thể kết nối mạng 72 Đồ án tốt nghiệp DANH MỤC CÁC CHỮ VIẾT TẮT A AAA Authentication, Authorization and Accounting Dịch vụ xác thực, cấp quyền và kiểm toán (tính cước) AES Advanced Encryption Standard Chuẩn mã hóa cao cấp ANonce Access Point Nonce Số ngẫu nhiên bí mật của điểm truy cập AP Access Point Điểm truy cập ARP Address Resolution Protocol Giao thức phân giải địa chỉ AS Access Server Máy chủ truy cập ASCII American Standard Code for Information Interchange Hệ thống mã hóa ký tự dựa trên bảng chữ cái tiếng Anh B BPSK Binary Phase Shift Keying Điều chế pha nhị phân BSSID Basic Service Set Identifier Tên tập dịch vụ cơ sở C CCK Complementary Code Key Khóa mã tạm thời CPU Central Processing Đơn vị xử lí trung tâm CRC Cyclic Redundancy Check (Sự) kiểm dư vòng CSMA/CA Carrier Sense Multiple Access with CollISIon Avoidance Đa truy cập nhận biết sóng mang tránh xung đột CSMA/CD Carrier Sense Multiple Access with CollISIon Detect Đa truy cập nhận biết sóng mang dò tìm xung đột D DES Data Encryption Standard Chuẩn mã hóa dữ liệu DFS Dynamic Frequency Selection Tự động lựa chọn tần số DOS Denial of Service Từ chối dịch vụ E EAP Extensible Authentication Protocol Giao thức xác thực mở rộng EAPOL EAP over LAN Giao thức xác thực mở rộng thông qua mạng LAN ECB Electronic Code Block Khối mã điện tử ETSI European Telecommunications Viện tiêu chuẩn viễn thông Châu Đồ án tốt nghiệp Standards Institute Âu F FCC Federal Communications Commission Ủy ban Truyền thông liên bang FTP File Transfer Protocol Giao thức truyền tập tin G GMK Group Master Key Khóa chủ nhóm GTK Group Transient Key Khóa nhóm tạm thời H HEXA Hexadecimal Hệ mười sáu HTTP Hypertext Transfer Protocol Giao thức truyền siêu văn bản HTTPS Hypertext Transfer Protocol Secure Bảo mật giao thức truyền siêu văn bản I IAPP Inter AP Protocol Giao thức liên lạc giữa các AP ICI Inter-Carrier Interference Nhiễu giao thoa giữa các sóng mang ICMP Internet Control Message Protocol Giao thức điều khiển thông điệp Internet ICV Integrity Check Value Giá trị kiểm tra tính toàn vẹn IDS Intrusion Detected System Hệ thống phát hiện xâm nhập IEEE Institute of Electrical and Electronics Engineers Viện Kỹ sư Điện và Điện tử IGMP Internet Group Management Protocol Giao thức quản lý nhóm Internet IP Internet Protocol Giao thức liên mạng IPSec Internet Protocol Security Giao thức thiết lập kết nối bảo mật ISI Inter-Symbol Interference Nhiễu giao thoa giữa các tín (ký) hiệu ISM Band Industrial, Scientific, and Medical Dãy băng tần được sử dụng trong Công nghiệp, Khoa học và Y học ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IV Initialization Vector Vector khởi tạo L Đồ án tốt nghiệp LAN Local Area Network Mạng máy tính cục bộ LEAP Lightweight Extensible Authentication Protocol Giao thức xác thực mở rộng dựa trên việc xác thực lẫn nhau LLC Logical Link Control Điều khiển liên kết logic LOS Line of Sight Tầm nhìn thẳng M MAC Media Access Control Điều khiển truy nhập môi trường MD4 Message-Digest algorithm 4 Giải thuật Tiêu hóa tin 4 MD5 Message-Digest algorithm 5 Giải thuật Tiêu hóa tin 5 MIC Message Integrity Check Kiểm tra tính toàn vẹn thông điệp MIMO Multiple Input and Multiple Output Nhiều đầu vào và nhiều đầu ra MSDU MAC Service Data Unit Đơn vị dữ liệu dịch vụ MAC N NIST Nation Institute of Standard and Technology Viện chuẩn và công nghệ quốc gia (Mỹ) O OSI Open System Interconnection Mô hình kết nối các hệ thống mở P PC Personal Computer Máy tính cá nhân PDA Personal Digital Assistant Thiết bị số hỗ trợ cá nhân PKI Public Key Infrastructure Hạ tầng khóa công khai PMK Pairwise Master Key Khóa chủ cặp POP Post Office Protocol Giao thức bưu điện POP3 Post Office Protocol Giao thức bưu điện phiên bản 3 PG Processing gain Độ lợi xử lý PPP Point to Point Protocol Giao thức điểm-điểm PPTP Point to Point Tunneling Protocol Giao thức đường hầm điểm-điểm. PRF Pseudo Random Function Hàm giả ngẫu nhiên PRNG Pseudo-Random Number Generator Bộ phát sinh số ngẫu nhiên PSD Power Spectrum Density Mật độ phổ công suất Đồ án tốt nghiệp PSK Pre-Shared Key Khóa chia sẻ PTK Pair-wise Transient Key Khóa cặp tạm thời Q QoS Quality of Service Chất lượng dịch vụ QPSK Quadature Phase Shift Keying Điều chế pha trực giao R RADIUS Remote Authentication Dial In User Service Dịch vụ xác thực người dùng quay số từ xa RARP Reverse Address Resolution Protocol Giao thức phân giải địa chỉ ngược RTS/CTS Request to Send/Clear to Send Yêu cầu gửi/Xóa việc gửi S SDM Space-DivISIon Multiplexing Ghép kênh phân chia theo không gian SHA Secure Hash Algorithm Thuật giải băm an toàn SHSO Small Office Home Office Mô hình văn phòng tại nhà SIG Special Interest Group Nhóm quan tâm đặc biệt SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư tín đơn giản SNonce Supplicant Nonce Số ngẫu nhiên bí mật của client SNMP Simple Network Management Protocol Giao thức quản lý mạng đơn giản SPI Stateful Packet Inspection Kiểm tra trạng thái gói tin SSID Service Set Identifier Tên tập dịch vụ SSL Secure Socket Layer Lớp cổng bảo mật SST Spread Spectrum Technology Kỹ thuật trải phổ SWAP Standard Wireless Access Protocol Giao thức truy nhập không dây chuẩn T TACACS Terminal Access Controller Access Control System Hệ thống điều khiển kiểm tra truy cập đầu cuối TCP/IP Transmission Control Protocol/Internet Protocol Giao thức điều khiển truyền (dữ liệu)/Giao thức Internet TDMA Time DivISIon Multiple Access Đa truy nhập phân chia theo thời Đồ án tốt nghiệp gian TKIP Temporal Key Integrity Protocol Giao thức toàn vẹn khóa tạm thời TLS Transport Layer Security Bảo mật lớp vận chuyển TPC Tranmission Power Control Kiểm soát năng lượng truyền dẫn TTLS Tunneled Transport Layer Security Bảo mật lớp vận chuyển thông qua đường hầm được thiết lập U UDP User Datagram Protocol Giao thức gói dữ liệu người dùng UNII Unlicensed National Information Infrastructure Hạ tầng thông tin quốc gia không cấp phép USB Universal Serial Bus Kết nối tiếp đa năng V VPN Virtual Private Network Mạng riêng ảo W WAN Wide Area Network Mạng diện rộng WECA Wireless Ethernet Compatibility Alliance Liên minh tương thích Ethernet không dây WEP Wired Equivalent Privacy Chuẩn bảo mật trong mạng WLAN WGB Wireless Group Bridge Cầu nối nhóm không dây WIDS Wireless IDS Hệ thống phát hiện xâm nhập không dây WIFI Wireless Fidelity Hệ thống mạng không dây sử dụng sóng vô tuyến Windows, Linux, Unix Tên các hệ điều hành được cài đặt trên các máy vi tính WLAN Wireless Local Network Area Mạng cục bộ không dây WPA/ WPA2 Wifi Protected Access Chuẩn bảo mật được sử dụng trong mạng WLAN Đồ án tốt nghiệp DANH MỤC CÁC BẢNG Số hiệu Tên bảng Trang 1.1 So sánh các chuẩn 802.11 được sử dụng trong mạng WLAN Error: Referen ce source not found 1.2 So sánh FHSS và DSSS 15 4.1 So sánh giữa WEP, WPA và WPA2 Error: Referen ce source not found [...]... hình WLAN 1.7.1 Các thiết bị cơ bản trong WLAN 1.7.1.1 Card mạng không dây (Wireless NIC) Máy tính sử dụng card mạng không dây để giao tiếp với mạng không dây bằng cách điều chế tín hiệu dữ liệu với chuỗi trải phổ và thực hiện một giao thức CSMA/CA (Carrier Sense Multiple Access with CollISIon Avoidance) và làm việc ở chế độ bán song công (half-duplex) Máy tính muốn gửi dữ liệu lên trên mạng, card mạng. .. một client khác vào mạng hữu tuyến Chế độ mạng này thông thường được thiết lập với một mạng không dây gia đình Hình 1.2 minh họa một mạng Infrastructure điển hình Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH KHÔNG DÂY WLAN Đồ án tốt nghiệp 1.5.3 Chế độ Hybrid Chế độ Hybrid là sự kết hợp giữa các mạng Ad-hoc và mạng Infrastructure Trong chế độ này tạo một mạng Infrastructure và sau đó tạo các mạng Ad-hoc giữa... không đem lại được Tính đơn giản: Việc lắp đặt, thiết lập, kết nối một mạng máy tính không dây là rất dễ dàng, đơn giản Tính linh hoạt, mềm dẻo: Có thể triển khai ở những nơi mà mạng hữu tuyến không thể triển khai được Tiết kiệm chi phí về lâu dài: Toàn bộ phí tổn lắp đặt và các chi phí sử dụng về lâu dài (vận hành, bảo dưỡng, mở rộng mạng ) cho mạng WLAN thấp hơn đáng kể so với hệ thống mạng dùng cáp,... tốc độ định tuyến ra mạng bên ngoài, và điều này sẽ dần được cải thiện, khắc phục trong tương lai 1.5 Các chế độ hoạt động trong mạng máy tính không dây 1.5.1 Chế độ Ad-hoc Chế độ Ad-hoc là mạng ngang hàng (Peer-to-Peer), được cấu thành chỉ bởi các thiết bị hoặc các máy tính có vai trò ngang nhau, không có một thiết bị hay máy tính nào làm chức năng tổ chức và điều tiết lưu thông mạng Chúng giao tiếp... với địa chỉ của nó, thì nó sẽ nhận và xử lý khung dữ liệu Hình 1.10: Card mạng Wireless PCID-Link dùng cho máy tính để bàn Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH KHÔNG DÂY WLAN Đồ án tốt nghiệp 1.7.1.2 Điểm truy cập không dây AP (Access Point) Access Point (điểm truy cập) cung cấp cổng truy cập cho máy trạm khi muốn kết nối vào WLAN Nếu AP sử dụng ở trong nhà (Indoor), bán kính phục vụ trong khoảng vài... TỔNG QUAN VỀ MẠNG MÁY TÍNH KHÔNG DÂY WLAN Đồ án tốt nghiệp Và một ưu điểm mà WLAN mang lại nữa là khả năng vô hướng 1.4.2 Nhược điểm của WLAN Bảo mật: Do môi trường kết nối không dây là không khí, sử dụng sóng điện từ để thu/phát dữ liệu nên tất cả mọi máy trạm nằm trong khu vực phủ sóng đều có thể thu được tín hiệu Do đó khả năng bị tấn công của người dùng là rất cao Phạm vi: Một mạng chuẩn 802.11g... nhau thông qua card mạng không dây mà không dùng đến các thiết bị định tuyến (Wireless Router) hay thu phát không dây (Wireless AP) Các máy trong mạng Ad-Hoc phải có cùng các thông số như: BSSID (Basic Service Set ID), kênh truyền, tốc độ truyền dữ liệu Sự truyền thông trên mạng Ad-hoc được quy định bằng các giao thức có trong các chuẩn 802.11 và được thực thi trong mỗi máy tính Mạng Ad-hoc truyền thông... “broadcast và flooding” Mạng Ad-Hoc là kết nối Peer-to-Peer không cần dùng Access Point nên chi phí thấp, cấu hình và cài đặt đơn giản, thiết lập dễ dàng, nhanh chóng, nhưng vùng phủ sóng bị giới hạn, khoảng cách giữa hai máy trạm bị giới hạn (khoảng cách liên Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH KHÔNG DÂY WLAN Đồ án tốt nghiệp lạc giữa chúng là khoảng 30m - 100m), các máy trong mạng Ad-hoc không thể kết nối... Outdoor Các điểm truy cập không dây tạo ra các vùng phủ sóng, nối các nút di động tới các cơ sở hạ tầng LAN có dây Vì các điểm truy cập cho phép mở rộng vùng phủ sóng nên các mạng không dây WLAN có thể triển khai cả một tòa nhà hay một khu trường đại học, tạo ra một vùng truy cập không dây rộng lớn Các điểm truy cập này không chỉ cung cấp trao đổi thông tin với các mạng có dây mà còn lọc lưu lượng và... sóng Tính linh động: Người dùng mạng Wireless có thể kết nối vào mạng trong khi di chuyển bất cứ nơi nào trong phạm vi phủ sóng Hơn nữa, nếu như có nhiều mạng, WLAN còn hỗ trợ cơ chế chuyển vùng (roaming) cho phép các máy trạm tự động chuyển kết nối khi đi từ mạng này sang mạng khác Tính di động này sẽ tăng năng suất và đáp ứng kịp thời nhằm thỏa mãn nhu cầu về thông tin mà các mạng hữu tuyến không . nghiệp Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH KHÔNG DÂY WLAN 1.1. WLAN là gì ? WLAN (Wireless Local Area Network) là mạng cục bộ gồm các máy tính liên lạc với nhau bằng sóng điện từ. WLAN sử dụng sóng điện. mật thông tin trong mạng máy tính 70 4.2. Mối nguy hiểm, sự đe dọa đối với WLAN 70 Trước tình hình an ninh mạng phức tạp như hiện nay thì mạng máy tính nói chung và mạng WLAN nói riêng đang. nghiệp 1.18 Mô hình kết nối giữa mạng có dây và mạng không dây Error: Reference source not found 1.19 Mô hình kết nối giữa hai mạng có dây sử dụng kết nối không dây Error: Reference source not