ĐỀ XUẤT GIẢI PHÁP bảo mật MẠNG cục bộ tại TRƯỜNG đại học hải DƯƠNG

Các thông số của Router Cisco 1941/K9 38 2.10 Mô hình chứng thực sử dụng RADIUS Server 27 3.1 Truy cập thông tin có thể thực hiện bất kỳ đâu trong khuôn 3.2 Mô hình mạng LAN với những ph

ĐINH PHƯƠNG NAM

ĐỀ XUẤT GIẢI PHÁP BẢO MẬT MẠNG CỤC BỘ TẠI

TRƯỜNG ĐẠI HỌC HẢI DƯƠNG

LUẬN VĂN THẠC SĨ KỸ THUẬT

HÀ NỘI – 2014

ĐINH PHƯƠNG NAM

ĐỀ XUẤT GIẢI PHÁP BẢO MẬT MẠNG CỤC BỘ TẠI

TRƯỜNG ĐẠI HỌC HẢI DƯƠNG

CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN

MÃ SỐ: 60.48.01.04 (Hệ thống thông tin)

LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS TRẦN ĐÌNH QUẾ

HÀ NỘI – 2014

tập tại Nhà trường

Em xin gửi lời cảm ơn sâu sắc đến PGS.TS Trần Đình Quế, người đã trựctiếp hướng dẫn, tạo mọi điều kiện thuận lợi và tận tình chỉ bảo cho em trong suốtthời gian làm luận văn tốt nghiệp

Bên cạnh đó, để hoàn thành luận văn này, em cũng đã nhận được rất nhiều sựgiúp đỡ, những lời động viên quý báu của các bạn bè, gia đình và đồng nghiệp Emxin chân thành cảm ơn

Tuy nhiên, do thời gian hạn hẹp, mặc dù đã nỗ lực hết sức mình, nhưng chắcrằng luận văn này khó tránh khỏi thiếu sót Em rất mong nhận được sự thông cảm

và chỉ bảo tận tình của quý Thầy cô và các bạn

HỌC VIÊN

Đinh Phương Nam

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được aicông bố trong bất kỳ công trình nào khác

Tác giả luận văn

Đinh Phương Nam

MỤC LỤC

LỜI CAM ĐOAN i

MỤC LỤC ii

Danh mục các từ viết tắt iv

Danh mục các bảng vi

Danh mục các hình vẽ vi

MỞ ĐẦU 1

CHƯƠNG I TỔNG QUAN VỀ MẠNG CỤC BỘ 2

1.1 Giới thiệu 2

1.2 Quá trình phát triển của mạng cục bộ 2

1.2.1 Mạng LAN nối dây 2

1.2.2 Mạng LAN không dây (WLAN) 6

1.3 Kết luận 9

CHƯƠNG 2 AN NINH MẠNG LAN 10

2.1 Mục tiêu của bảo mật trong mạng LAN 10

2.2 Các kiểu tấn công và đe dọa an ninh mạng 11

2.2.1 Tấn công chủ động 11

2.2.2 Tấn công bị động (Passive attacks) 13

2.2.3 Tấn công kiểu chèn ép (Jamming attacks) 15

2.2.4 Tấn công theo kiểu thu hút (Man in the middle attacks) 15

2.3 Các biện pháp và công cụ bảo mật hệ thống 15

2.3.1 Biện pháp kiểm soát truy nhập 15

2.3.2 Các công cụ bảo mật hệ thống 16

2.3.2.1 Firewall 16

2.3.2.2 Chữ ký điện tử 19

2.3.2.3 Bảo mật trong IEEE 802.11 20

2.3.2.4 WLAN VPN 24

2.3.2.5 Lọc 25

2.3.2.6 Nguyên lý RADIUS Server 27

2.3.2.7 Phương thức chứng thực mở rộng EAP 29

2.4 Kết luận 31

CHƯƠNG 3 GIẢI PHÁP BẢO MẬT 32

3.1 Vai trò của của mạng LAN trong giáo dục 32

3.2 Phân tích, đánh giá hiện trạng mạng cục bộ của Trường Đại học Hải Dương 34

3.3 Đề xuất thực thi bảo mật mạng cục bộ tại Trường Đại học Hải Dương 36

3.3.1 Đề xuất mô hình mạng LAN mới 36

3.3.2 Các bước thực thi bảo mật hệ thống 39

3.3.3 Thiết lập chế độ bảo mật cho hệ thống mạng 40

3.4 Kết luận 57

KẾT LUẬN 58

PHỤ LỤC 60

TÀI LIỆU THAM KHẢO 64

Danh mục các từ viết tắt

1 ACL Access control lists

2 AES Advanced Encryption Standard

8 DCF Distributed Coordination Function

9 DES Data Encryption Standard

10 DHCP Dynamic Host Configuration Protocol

11 DMZ Demilitarized Zone

12 DoS Denial of service

13 DS Distribution System

14 DSSS Direct Sequence Spread Stpectrum

16 EAP Extensible Authentication Protocol

17 EAPOW EAP Over Wireless

18 HCF Hybrid Coordination Function

19 IBSS Independent Basic Service Set

20 IDS Intrusion Detection System

21 IEEE Institute of Electrical and Electronics Engineers

22 IP Internet Protocol

23 Ipsec Internet Protocol Security

24 ISP Internet Service Provider

25 ISM Industrial Scientific and Medical

26 LAN Local Area Network

27 MAC Media Access Control

28 NAT Network Address Translation

29 NIC Network Interface Card

30 OFDM Orthogonal Frequency Division

31 PBCC Packet Binary Convolution Coding

32 PCF Point Coordination Function

33 PEAP Protected EAP Protocol

34 PKI Public Key Infrastructure

40 TACACS Terminal Access Controller Access Control System

41 TCP Transmission Control Protocol

42 TKIP Temporal Key Integrity Protocol

43 UDP User Datagram Protocol

44 UNII Unlicense National Information Infrastructure

45 VPN Virtual Private Network

47 WEP Wired Equivalent Privacy

48 WLAN Wireless Local Area Network

49 WPA Wi-Fi Protected Access

Danh mục các bảng

Bảng 3.1 Các thông số của Router Cisco 1941/K9 38

2.10 Mô hình chứng thực sử dụng RADIUS Server 27

3.1 Truy cập thông tin có thể thực hiện bất kỳ đâu trong khuôn

3.2 Mô hình mạng LAN với những phân đoạn mạng không dây

và có dây đan xen, kết hợp chặt chẽ với những máy chủ chính

sách và xác thực

33

3.3 Sơ đồ hệ thống mạng LAN hiện của Nhà trường 35

3.5 Thiết lập Action Center cảnh báo cho người sử dụng máy

3.6 Bật chế độ tự động cập nhật các bản vá lỗi Windows 41

3.11 Màn hình làm việc của Windows Firewall with Advanced

3.19 Tùy chọn Integrity and Encryption Algorithms 49

3.26 Thiết lập chế độ bảo mật WPA2 Enteprise cho AP 53

MỞ ĐẦU

Hiện đại-tiện ích-đa năng là những ưu điểm vượt trội khi nói về máy tính.Chính vì lẽ đó mà ở bất kỳ đâu từ những gia đình, đến các công ty, những trườnghọc, bệnh viện hay bất cứ một môi trường kinh doanh nào cũng đều có sự xuất hiệncủa máy tính

Khi xã hội càng phát triển con người càng cần đến thông tin và chia sẻ thôngtin Chính điều này đã tạo cơ hội cho chiếc máy tính phát huy hết những tiện íchvốn có của mình Một chiếc máy tính đơn lẻ đã làm nên bao điều kỳ diệu và khi kếtnối các máy tính lại với nhau thành một hệ thống thì điều kỳ diệu đó còn được nhânlên rất nhiều lần

Có lẽ nhờ hiểu rõ được tầm quan trọng và những ưu điểm vượt trội của hệthống mạng máy tính mà số lượng các công ty, doanh nghiệp, trường học… thiếtlập, sử dụng hệ thống mạng ngày càng nhiều Trong các tổ chức, đơn vị luôn có sựxuất hiện của hệ thống mạng trong khâu quản lý công việc của nhân viên, trongcông tác quản lý, bảo mật và lưu trữ dữ liệu của đơn vị hay các thông báo, thông tingiữa các cá nhân trong cùng một tổ chức

Việc phải làm thế nào để xây dựng, duy trì một hệ thống mạng đảm bảo tốtnhất cho các máy tính cũng như dữ liệu trong mạng được an toàn luôn là vấn đềđược các đơn vị, tổ chức quan tâm Xuất phát từ nhu cầu thực tế, với đề tài “Đề xuấtgiải pháp bảo mật mạng cục bộ tại Trường Đại học Hải Dương”, luận văn đi sâunghiên cứu tìm hiểu các mối nguy cơ đe dọa an toàn mang và một số phương pháp,công cụ nhằm bảo vệ hệ thống mạng máy tính Từ đó đề xuất ứng dụng vào thực tế

hệ thống mạng cục bộ tại Trường Đại học Hải Dương

Luận văn gồm 3 chương:

Chương 1: Tổng quan về mạng cục bộ

Chương 2: An ninh mạng LAN

Chương 3: Giải pháp bảo mật

Trong đó đề tài tập trung vào chương 2 và 3 nhằm nghiên cứu tìm hiểu để đềxuất ứng dụng giải pháp phù hợp nhất với thực tế

CHƯƠNG I TỔNG QUAN VỀ MẠNG CỤC BỘ

1.1 Giới thiệu

Mạng LAN (Local Area Network) ngày nay đã trở thành một phần không thểthiếu của hầu như bất kỳ tổ chức nào Có hai loại mạng LAN khác nhau đó là LANnối dây (sử dụng các loại cáp để kết nối) và LAN không dây (sử dụng sóng điện từ

để truyền thông với nhau)

Mạng LAN nối các máy tính với nhau và cho phép người sử dụng có thể:

- Liên lạc với nhau

- Chia sẻ thông tin

- Chia sẻ tài nguyên

Mạng LAN là một nhân tố thiết yếu để thực hiện liên kết các bộ phận củamột tổ chức, và do vậy ngày càng có tầm quan trọng chiến lược

Một mạng LAN phải có khả năng nối các máy tính có công suất tính toánkhác nhau, chạy các hệ điều hành khác nhau và với các thủ tục truyền thông khácnhau Chương trình ứng dụng chạy trên máy tính, cùng với công suất tính toán của

nó, sẽ xác định dải thông (Bandwidth) cần thiết mà mạng LAN phải đảm bảo cho

nó để người sử dụng phải thấy là mạng phản ứng đủ nhanh

Mạng Campus (khu Đại học) trước đây được dùng để chỉ mạng của mộttrường Đại học, nhưng ngày nay nó có ý nghĩa rộng hơn Campus là bất kỳ tổ chứcnào với một số tòa nhà nằm trên một diện tích do tổ chức đó kiểm soát, có nghĩa là

ta có thể nối các tòa nhà đó với nhau bằng cáp riêng của tổ chức Với nghĩa đó,Campus có thể là các Nhà máy, Văn phòng, các tòa nhà của cơ quan, các trườngĐại học, v.v…

1.2 Quá trình phát triển của mạng cục bộ

1.2.1 Mạng LAN nối dây

Trong nhiều năm qua, LAN đã trở thành một công cụ có ý nghĩa chiến lượctrong hoạt động của hầu như mọi tổ chức, nhất là các Doanh nghiệp, đơn vị Mạng

LAN được phát triển từ thủa ban đầu là để chia sẻ tài nguyên như Máy in và Đĩacứng, tiếp đến là việc hỗ trợ cấu trúc khách/chủ (Clien/Server), rồi đến mạng Doanhnghiệp và ngày nay là mạng đa dịch vụ số.

Vào những năm 60 và 70 của thế kỷ XX, cấu trúc mạng chiếm ưu thế là cấutrúc phân lớp, với công suất tính toán được tập trung ở máy tính lớn (Main Flame),còn các Terminal thì không có công suất xử lý (Terminal câm)

Vào những năm 80, cùng với sự xuất hiện của PC, người sử dụng thấy rằng

họ có thể thỏa mãn một phần lớn nhu cầu tính toán của họ mà không cần tới máytính lớn Việc tính toán và xử lý độc lập ngày càng phát triển và vai trò xử lý tậptrung ngày càng giảm dần Sau đó, LAN và các tiêu chuẩn cho phép nối các máytính khác nhau để cùng hoạt động vì lợi ích chung đã xuất hiện

Sau đây là một số mốc lịch sử:

- Năm 1979, truyền số liệu dạng đơn giản

- Năm 1980, chuẩn Ethernet đầu tiên ra đời

- Năm 1982, các máy tính chia sẻ tài nguyên, nhưng sử dụng công suất tínhtoán của riêng mình

- Năm 1984, File server xuất hiện

- Năm 1986, Hệ điều hành mạng bắt đầu xuất hiện

- Năm 1988, xử lý phân tán xuất hiện

- Năm 1989, Router xuất hiện trên thị trường

- Năm 1990, nối các mạng có thủ tục khác nhau

- Năm 1993, chuyển mạch Ethernet được chấp nhận

- Năm 1994, chuẩn Fast Ethernet

- Năm 1995, chuyển mạch Token Ring xuất hiện

- Năm 1996, chuẩn Asynchronous Transfer Mode(ATM) được chấp nhận

a LAN thế hệ thứ nhất

LAN thế hệ thứ nhất nối các máy để bàn với nhau để chia sẻ tài nguyên Tiếptheo đó, các LAN được nối với nhau để tạo thành liên mạng bằng cách sử dụngHub, Bridge hoặc Router

Mạng Doanh nghiệp với các chi nhánh ở xa nhau được hình thành thông quaviệc sử dụng Router với các đường xa có tốc độ 64 Kbps, các đường truyền này cóthể là Leased Line (đường thuê riêng) hoặc X.25

Các mạng LAN đều là loại sử dụng chung môi trường truyền, có nghĩa làmột đường cáp duy nhất được dùng để truyền dữ liệu giữa các máy tính

b LAN thế hệ thứ hai

Thế hệ này được đặc trưng bởi công nghệ chuyển mạch và đa dịch vụ(Multimedia) trước đây được hiểu là các phương tiện truyền dẫn khác nhau như cápđồng xoắn, cáp đồng trục, cáp quang Gần đây, multimedia mới được hiểu là đadịch vụ: dữ liệu, thoại và hình ảnh

c Ethernet và chuẩn IEEE 802.3

Giới thiệu chung về Ethernet

Ethernet [1] là công nghệ của mạng LAN cho phép truyền tín hiệu giữa các

máy tính với tốc độ 10Mb/s đến 10 Gigabit/s Trong các kiểu Ethernet thì kiểu sửdụng cáp xoắn đôi là thông dụng nhất Hiện nay có khoảng 85% mạng LAN sử dụngcông nghệ Ethernet

Năm 1980, Xerox, tập đoàn Intel và tập đoàn Digital Equipment đưa ra tiêuchuẩn Ethernet 10 Mbps (Tiêu chuẩn DIX)

IEEE (Institute of Electrical and Electronics Engineers, Inc - Viện công nghệđiện và điện tử) đưa ra tiêu chuẩn về Ethernet đầu tiên vào năm 1985 với tên gọi

"IEEE 802.3 Carrier Sense Multiple Access with Collision Detection AccessMethod and Physical Layer Specifications"

Gần đây, với các phương tiện truyền dẫn và công nghệ mới, công nghệEthernet đã ngày càng phát triển và đạt được tốc độ trao đổi số liệu đến 10 Gigabit

- Cấu hình truyền thống: Bus đường thẳng/ Star

- Cấu hình khác: Star bus

- Kỹ thuật truyền: Base band

- Phương pháp truy nhập: CSMA/CD

- Quy cách kỹ thuật: IEEE 802.3

- Vận tốc truyền 10Mbps, 100Mbps 10Gbps

- Loại cáp: Cáp đồng trục mảnh, cáp đồng trục dày, cáp xoắn đôi, cáp quang

Chuẩn IEEE 802.3

IEEE 802.3 [1] đặc tả một mạng cục bộ dựa trên mạng Ethernet do Digital,

Intel và Xerox hợp tác pháp triển từ năm 1980 IEEE 802.3 tương tự như DIXEthernet, bao gồm cả tầng vật lý và tầng con MAC với các đặc tả sau:

- Đặc tả dịch vụ MAC (MAC ServicesSecification)

- Giao thức MAC (MAC Protocol)

- Đặc tả vật lý (Medium-Independent Physical Specification) độc lập vớiđường truyền

- Đặc tả vật lý phụ thuộc đường truyền (Medium - Dependent PhysicalSpecification)

- Đặc tả dịch vụ MAC định nghĩa các dịch vụ IEEE 802.3 cung cấp cho tầngLLC hoặc người sử dụng ở tầng cao hơn

Tầng MAC với giao thức truy nhập đường truyền CSMA/CD, làm giảm tìnhtrạng xung đột và nghẽn thông tin bằng cách mỗi thiết bị trước khi truyền phải lắngnghe đường truyền và trong khi truyền vẫn tiếp tục nghe để xử lý khi có hiện tượng

va chạm

Tầng vật lý của IEEE 802.3 được chia làm hai phần Phần độc lập với đườngtruyền, đặc tả giao diện giữa MAC và tầng vật lý Phần phụ thuộc đường truyền làbắt buộc phải có và đặc tả giao diện với đường truyền của LAN và các tín hiệu traođổi với đường truyền Có các dạng sau cho tầng vật lý của IEEE 802.3:

- Tốc độ truyền tín hiệu (1 Mb/s hoặc 10Mb/s hoặc 100 Mb/s)

- BASE (nếu là Baseband) hoặc BROAD (nếu là Broadband)

- Chỉ định đặc trưng đường truyền

10BASE -F: Dùng cáp quang, tốc độ 10 Mb/s, phạm vi cáp 4km Chuẩn nàyđược phân thành 3 dạng con: 10BASE-FL, 10BASE-FB và 10BASE-FP

10BASE-T: Sử dụng nột dải tần rộng hỗ trợ cho các tốc độ tín hiệu 10Mb/s.Dùng cáp UTP, trợ kháng 75 Ohm, với mạng hình sao

100 BASE-X: Gọi là Fast Ethernet, mạng hình sao tương tự 10BASE, tốc độ100Mb/s Chuẩn này gồm 100 BASE-TX dùng cho cáp UTP hoặc STP 2 đôI, 100BASE-FX dùng cho cáp quang, 100 BASE-T4 dùng cho cáp UTP 4 đôi (FourTwisted Pairs)

10BROAD36: Dùng Broadband, tốc độ 10Mb/s, cáp đồng trục 75 Ohm,phạm vi cáp 1800 m (lên tới 3600m trong cấu hình cáp đôi), sử dụng topo dạng BUS

1.2.2 Mạng LAN không dây (WLAN)

a Khái niệm Wireless Lan

WLAN là một loại mạng máy tính nhưng việc kết nối giữa các thành phầntrong mạng không sử dụng các loại cáp như một mạng thông thường, môi trường

truyền thông của các thành phần trong mạng là không khí Các thành phần trongmạng sử dụng sóng điện từ để truyền thông với nhau.

b Các chuẩn mạng WireLess Lan

Chuẩn 802.11

Năm 1997, Viện kỹ sư điện và điện tử (IEEE- Institute of Electrical andElectronics Engineers) đưa ra chuẩn mạng nội bộ không dây (WLAN) đầu tiên –

được gọi là 802.11 [6] theo tên của nhóm giám sát sự phát triển của chuẩn này Lúc

này, 802.11 sử dụng tần số 2,4GHz và dùng kỹ thuật trải phổ trực tiếp Sequence Spread Spectrum-DSSS) nhưng chỉ hỗ trợ băng thông tối đa là 2Mbps –tốc độ khá chậm cho hầu hết các ứng dụng Và do đó, các sản phẩm chuẩn khôngdây này không còn được sản xuất nữa

(Direct-Chuẩn 802.11b

Từ tháng 6 năm 1999, IEEE bắt đầu mở rộng chuẩn 802.11 ban đầu và tạo racác đặc tả kỹ thuật cho 802.11b Chuẩn 802.11b hỗ trợ băng thông lên đến 11Mbps,ngang với tốc độ Ethernet thời bấy giờ Đây là chuẩn WLAN đầu tiên được chấpnhận trên thị trường, sử dụng tần số 2,4 GHz Chuẩn 802.11b sử dụng kỹ thuật điềuchế khóa mã bù (Complementary Code Keying - CCK) và dùng kỹ thuật trải phổtrực tiếp giống như chuẩn 802.11 nguyên bản Với lợi thế về tần số (băng tầnnghiệp dư ISM 2,4GHz), các hãng sản xuất sử dụng tần số này để giảm chi phí sảnxuất Nhưng khi đấy, tình trạng "lộn xộn" lại xảy ra, 802.11b có thể bị nhiễu do lò

vi sóng, điện thoại “mẹ bồng con” và các dụng cụ khác cùng sử dụng tần số2,4GHz Tuy nhiên, bằng cách lắp đặt 802.11b ở khoảng cách hợp lý sẽ dễ dàngtránh được nhiễu Ưu điểm của 802.11b là giá thấp, tầm phủ sóng tốt và không dễ bịche khuất Nhược điểm của 802.11b là tốc độ thấp và có thể bị nhiễu bởi các thiết bịgia dụng

Chuẩn 802.11a

Song hành với 802.11b, IEEE tiếp tục đưa ra chuẩn mở rộng thứ hai cũngdựa vào 802.11 đầu tiên là 802.11a Chuẩn 802.11a sử dụng tần số 5GHz, tốc độ

54Mbps tránh được can nhiễu từ các thiết bị dân dụng Đồng thời, chuẩn 802.11acũng sử dụng kỹ thuật trải phổ khác với chuẩn 802.11b kỹ thuật trải phổ theophương pháp đa phân chia tần số trực giao (Orthogonal Frequency DivisionMultiplexing-OFDM) Đây được coi là kỹ thuật trội hơn so với trải phổ trực tiếp(DSSS) Do chi phí cao hơn, 802.11a thường chỉ được sử dụng trong các mạngdoanh nghiệp, ngược lại, 802.11b thích hợp hơn cho nhu cầu gia đình Tuy nhiên,

do tần số cao hơn tần số của chuẩn 802.11b nên tín hiệu của 802.11a gặp nhiều khókhăn hơn khi xuyên tường và các vật cản khác

Do 802.11a và 802.11b sử dụng tần số khác nhau, hai công nghệ này khôngtương thích với nhau Một vài hãng sản xuất bắt đầu cho ra đời sản phẩm "lai"802.11a/b, nhưng các sản phẩm này chỉ đơn thuần là cung cấp 2 chuẩn sóng Wi-Ficùng lúc (máy trạm dùng chuẩn nào thì kết nối theo chuẩn đó)

Ưu điểm của 802.11a là tốc độ nhanh; tránh xuyên nhiễu bởi các thiết bịkhác Nhược điểm của 802.11a là giá thành cao; tầm phủ sóng ngắn hơn và dễ bịche khuất

Chuẩn 802.11g

Năm 2002 và 2003, các sản phẩm WLAN hỗ trợ chuẩn mới hơn được gọi là802.11g nổi lên trên thị trường, chuẩn này cố gắng kết hợp tốt nhất 802.11a và802.11b 802.11g hỗ trợ băng thông 54Mbps và sử dụng tần số 2,4GHz cho phạm viphủ sóng lớn hơn 802.11g tương thích ngược với 802.11b, nghĩa là các điểm truycập (access point –AP) 802.11g sẽ làm việc với card mạng Wi-Fi chuẩn 802.11b

Tháng 7/2003, IEEE phê chuẩn 802.11g Chuẩn này cũng sử dụng phươngthức điều chế OFDM tương tự 802.11a nhưng lại dùng tần số 2,4GHz giống vớichuẩn 802.11b Điều thú vị là chuẩn này vẫn đạt tốc độ 54Mbps và có khả năngtương thích ngược với chuẩn 802.11b đang phổ biến

Ưu điểm của 802.11g là tốc độ nhanh, tầm phủ sóng tốt và không dễ bị chekhuất Nhược điểm của 802.11g là giá cao hơn 802.11b và có thể bị nhiễu bởi cácthiết bị gia dụng

Chuẩn 802.11n

Chuẩn 802.11n cho phép kết nối với tốc độ 300 Mbps (có thể lên tới600Mbps), và mở rộng vùng phủ sóng 802.11n là mạng Wi-Fi đầu tiên có thể cạnhtranh về mặt hiệu suất với mạng có dây 100Mbps Chuẩn 802.11n hoạt động ở cảhai tần số 2,4GHz và 5GHz với kỳ vọng có thể giảm bớt được tình trạng “quá tải” ởcác chuẩn trước đây

Ưu điểm của 802.11n là tốc độ nhanh nhất, vùng phủ sóng tốt nhất; trởkháng lớn hơn để chống nhiễu từ các tác động của môi trường Nhược điểm của802.11n là giá thành cao hơn 802.11g, sử dụng nhiều luồng tín hiệu có thể gâynhiễu với các thiết bị 802.11b/g kế cận

Một số chuẩn khác

Ngoài các chuẩn phổ biến trên, IEEE còn lập các nhóm làm việc độc lập để

bổ sung các quy định vào các chuẩn 802.11a, 802.11b, và 802.11g nhằm nâng caotính hiệu quả, khả năng bảo mật và phù hợp với các chuẩn cũ như: IEEE 802.11c,IEEE 802.11d, IEEE 802.11e, IEEE 802.11f, …

1.3 Kết luận

Chương 1 trình bầy những nội dung cơ bản về mạng cục bộ (LAN) bao gồmphần giới thiệu, quá trình phát triển của mạng cục bộ Trong quá trình phát triểnkhông ngừng về mặt công nghệ mạng thì các chuẩn dành riêng cho mạng cục bộ lầnlượt ra đời như 802.3 cho mạng Ethernet, các chuẩn 802.11 cho mạng không dây

CHƯƠNG 2 AN NINH MẠNG LAN

2.1 Mục tiêu của bảo mật trong mạng LAN

Bất cứ một mạng nào, cả không dây lẫn có dây, đều có những lỗ hổng về mặt

kỹ thuật cho phép tin tặc có thể xâm nhập vào hệ thống để ăn cắp thông tin hay pháhoại, do đó trên thực tế sẽ không có một mạng nào được xem là bảo mật tuyệt đối

Vì vậy, người ta thường phải sử dụng nhiều kỹ thuật bảo mật đi kèm với các mạng

để bảo đảm tính an toàn cho mạng

Bảo mật mạng máy tính LAN cơ bản là sự đảm bảo thông tin của cá nhân,tập thể, công ty hay doanh nghiệp luôn được an toàn, ngăn chặn việc đánh cắp, sửađổi dữ liệu một cách bất hợp pháp Sự thất thoát thông tin do cố ý, vô ý của ngườidùng luôn là một vấn đề được quan tâm hàng đầu trong bảo mật hệ thống mạng củacác tổ chức lớn nhỏ.Việc xây dựng hệ thống bảo mật là điều cực kỳ cấp thiết tuynhiên không phải giải pháp nào cũng mang lại hiệu quả tốt nhất, nó còn tùy thuộcvào các yếu tố như môi trường làm việc, thiết bị, con người sử dụng…

Một hệ thống được xem là an toàn khi có sự kết hợp của các đặc tính sau:Xác thực (Authentification): Kiểm tra tính xác thực của một thực thể giaotiếp trên mạng Một thực thể có thể là một người sử dụng, một chương trình máytính, hoặc một thiết bị phần cứng Các hoạt động kiểm tra tính xác thực được đánhgiá là quan trọng nhất trong các hoạt động của một phương thức bảo mật Một hệthống thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khithực thể đó thực hiện kết nối với hệ thống Cơ chế kiểm tra tính xác thực của cácphương thức bảo mật dựa vào các mô hình chính sau:

- Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví

dụ như Password, hoặc mã số thông số cá nhân PIN (Personal Information Number)

- Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cầnphải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻtín dụng

- Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối

tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình

ví dụ như thông qua giọng nói, dấu vân tay, chữ ký

- Có thể phân loại bảo mật trên VPN theo các cách sau: mật khẩu truyền thốnghay mật khẩu một lần; xác thực thông qua các giao thức (PAP, CHAP, RADIUS…)hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắchọc (dấu vân tay, giọng nói, quét võng mạc )

Tính khả dụng (Availability): Tính khả dụng là đặc tính mà thông tin trênmạng được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu, khi cần thiết bất

cứ khi nào, trong hoàn cảnh nào Tính khả dụng nói chung dùng tỷ lệ giữa thời gian

hệ thống được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá.Tính khả dụng cần đáp ứng những yêu cầu sau:

Nhận biết và phân biệt thực thể, khống chế tiếp cận (bao gồm cả việc khốngchế tự tiếp cận và khống chế tiếp cận cưỡng bức), khống chế lưu lượng (chống tắcnghẽn ), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tincậy), giám sát tung tích (tất cả các sự kiện phát sinh trong hệ thống được lưu giữ đểphân tích nguyên nhân, kịp thời dùng các biện pháp tương ứng)

Tính bảo mật (Confidentialy): Tính bảo mật là đặc tính tin tức không bị tiết lộcho các thực thể hay quá trình không được uỷ quyền biết hoặc không để cho các đốitượng đó lợi dụng Thông tin chỉ cho phép thực thể được uỷ quyền sử dụng Kỹ thuậtbảo mật thường là phòng ngừa dò la thu thập (làm cho đối thủ không thể dò la thuthập được thông tin), phòng ngừa bức xạ (phòng ngừa những tin tức bị bức xạ rangoài bằng nhiều đường khác nhau, tăng cường bảo mật thông tin (dưới sự khốngchế của khoá mật mã), bảo mật vật lý (sử dụng các phương pháp vật lý để đảm bảotin tức không bị tiết lộ)

2.2 Các kiểu tấn công và đe dọa an ninh mạng

2.2.1 Tấn công chủ động

Tấn công chủ động là tấn công trực tiếp vào một hoặc nhiều thiết bị trênmạng ví dụ như vào AP, STA Những kẻ tấn công có thể sử dụng phương pháp tấn

công chủ động để thực hiện các chức năng trên mạng Cuộc tấn công chủ động cóthể được dùng để tìm cách truy nhập tới một Server để thăm dò, để lấy những dữliệu quan trọng, thậm chí thực hiện thay đổi cấu hình cơ sở hạ tầng mạng Kiểu tấncông này dễ phát hiện nhưng khả năng phá hoại của nó rất nhanh và nhiều, khi pháthiện ra chúng ta chưa kịp có phương pháp đối phó thì nó đã thực hiện xong quátrình phá hoại.

Mạo danh, truy cập trái phép

Sự giả mạo là hành động của một kẻ tấn công giả làm người dùng hợp lệtrong hệ thống mạng không dây Ví dụ, một người dùng bất kỳ khi biết được cácthông tin nhờ vào các kỹ thuật khác có thể xâm nhập vào mạng và tiến hành thiếtlập các thao tác như truy nhập vào máy chủ phục vụ và cài đặt các đoạn mã nguy

hiểm Việc giả mạo này được thực hiện bằng cách giả mạo địa chỉ MAC [5], địa chỉ

IP của thiết bị mạng trên máy tấn công thành các giá trị của máy đang sử dụng trongmạng, làm cho hệ thống hiểu nhầm và cho phép thực hiện kết nối

Sửa đổi thông tin

Sự thay đổi dữ liệu là một trong những kiểu tấn công gây nguy hiểm cho hệthống mạng vì nó làm mất tính toàn vẹn thông tin được truyền trong hệ thống Sựthay đổi này bao gồm các thao tác chèn thêm thông tin, xoá và sửa chữa các thôngtin trong quá trình truyền dẫn Một ví dụ cụ thể của việc truyền dẫn này là mộtchương trình dạng Trojan hoặc một virus, hay sâu có thể được truyền đến các thiết

bị nhận hoặc vào hệ thống mạng

Tấn công từ chối dịch vụ (DoS)

Một kiểu tấn công từ chối dịch vụ DoS (Denial-of-Service) là một ví dụ cụthể về sự thất bại của hệ thống mạng, kiểu tấn công này xảy ra khi đối thủ gây racho hệ thống hoặc mạng trở thành không sẵn sàng cho các người dùng hợp lệ, hoặclàm dừng lại hoặc tắt hẳn các dịch vụ Hậu quả có thể làm cho mạng bị chậm hẳn lạihoặc không thể làm việc được nữa Một ví dụ với mạng không dây là các tín hiệu từ

bên ngoài sẽ chiếm cứ và làm tắc nghẽn các thông tin trên đường truyền, điều nàyrất khó kiểm soát vì đường truyền của mạng không dây là rất dễ bị xâm nhập.

Các mạng không dây rất nhạy cảm với việc tấn công DoS vì phương pháptruyền tin sử dụng sóng vô tuyến của mình Nếu một kẻ tấn công sử dụng một thiết

bị phát sóng mạnh, thì sẽ đủ để làm nhiễu hệ thống mạng, khiến cho các thiết bịtrong mạng không thể kết nối với nhau được Các thiết bị tấn công DoS không cầnphải ở ngay gần các thiết bị bị tấn công, mà chúng chỉ cần trong phạm vi phủ sóngcủa hệ thống mạng

Một số kỹ thuật tấn công DoS với hệ thống mạng không dây:

- Yêu cầu việc chứng thực với một tần số đủ để chặn các kết nối hợp lệ

- Yêu cầu bỏ chứng thực với các người dùng hợp lệ Những yêu cầu này cóthể không bị từ chối bởi một số chuẩn 802.11

- Giả tín hiệu của một access point để làm cho các người dùng hợp lệ liên lạcvới Nó

- Lặp đi lặp lại việc truyền các khung RTS/CTS để làm hệ thống mạng bị tắcnghẽn

Trong phạm vi tần số 2.4 Ghz của chuẩn 802.11b, có rất nhiều các thiết bịkhác được sử dụng như điện thoại kéo dài, các thiết bị bluetooth tất cả các thiết

bị này đều góp phần làm giảm và làm ngắt tín hiệu mạng không dây

2.2.2 Tấn công bị động (Passive attacks)

Tấn công bị động là kiểu tấn công không tác động trực tiếp vào thiết bị nàotrên mạng, không làm cho các thiết bị trên mạng biết được hoạt động của nó, vì thếkiểu tấn công này nguy hiểm ở chỗ nó rất khó phát hiện Ví dụ như việc lấy trộmthông tin trong không gian truyền sóng của các thiết bị sẽ rất khó bị phát hiện dùthiết bị lấy trộm đó nằm trong vùng phủ sóng của mạng chứ chưa nói đến việc nóđược đặt ở khoảng cách xa và sử dụng anten được định hướng tới nơi phát sóng, khi

đó cho phép kẻ tấn công giữ được khoảng cách thuận lợi mà không để bị phát hiện

Phương thức bắt gói tin (Sniffing)

Bắt gói tin – Sniffing là khái niệm cụ thể của khái niệm tổng quát “Nghetrộm - Eavesdropping” sử dụng trong mạng máy tính Có lẽ là phương pháp đơngiản nhất, tuy nhiên nó vẫn có hiệu quả đối với việc tấn công WLAN Bắt gói tin cóthể hiểu như là một phương thức lấy trộm thông tin khi đặt một thiết bị thu nằmtrong hoặc nằm gần vùng phủ sóng Kẻ tấn công sẽ khó bị phát hiện ra sự có mặtcủa mình nếu thiết bị không dùng để bắt gói tin không kết nối tới AP để thu các góitin Đối với mạng không dây, tín hiệu chứa đựng thông tin được phát trong khônggian vì vậy mà việc bắt gói tin được thực hiện một cách dễ dàng hơn so với hệthống mạng có dây Những chương trình bắt gói tin có khả năng lấy các thông tinquan trọng Có những chương trình có thể lấy được mật khẩu trên mạng không dâytrong quá trình trao đổi thông tin giữa Client và Server khi đang thực hiện nhập mậtkhẩu để đăng nhập Cũng từ việc bắt gói tin, có thể nắm được thông tin, phân tíchđược lưu lượng của mạng (Traffic analysis) , phổ năng lượng trong không gian củacác vùng Từ đó mà kẻ tấn công có thể biết chỗ nào sóng truyền tốt, chỗ nào kém,chỗ nào tập trung nhiều máy.

Wardriving:

Kiểu tấn công wardriving là một thuật ngữ sử dụng để mô tả một người tấncông, được trang bị một máy xách tay hoặc một thiết bị có khả năng kết nối mạngkhông dây Wifi, di chuyển bên ngoài và tìm cách lấy các gói tin của hệ thống mạngkhông dây Có nhiều công cụ hỗ trợ để có thể làm được việc này, ví dụ nhưNetstumbler hay IBM'S Wireless Security Auditor

Khái niệm về wardriving rất đơn giản : sử dụng một thiết bị có khả năngnhận tín hiệu 802.11, một thiết bị có khả năng xác định vị trí của Nó trên bản đồ, vàmột phần mềm có khả năng ghi lại mọi tín hiệu mà nó tiếp nhận được từ hệ thốngmạng Người tấn công chỉ việc di chuyển từ nơi này qua nơi khác và cho các thiết bịnày thực hiện công việc của nó, đến khi đủ một lượng thông tin cần thiết, người đó

có thể phân tích và xây dựng được một cơ sở dữ liệu thông tin về các mạng khôngdây gồm tên mạng, tín hiệu, dải địa chỉ IP được sử dụng, qua giao thức SNMP(Simple Network anagement Protocol - giao thức quản lý mạng đơn giản) Những

yếu điểm này làm cho các mạng này trở thành những điểm trung gian để qua đó, kẻtấn công có thể tìm cách truy nhập đến đối tượng cần truy nhập khác

2.2.3 Tấn công kiểu chèn ép (Jamming attacks)

Ngoài việc sử dụng phương pháp tấn công bị động, chủ động để lấy thông tintruy cập tới mạng của bạn, phương pháp tấn công theo kiểu chèn ép Jamming làmột kỹ thuật sử dụng đơn giản để làm mạng của bạn ngừng hoạt động Phương thứcjamming phổ biến nhất là sử dụng máy phát có tần số phát giống tần số mà mạng sửdụng để áp đảo làm mạng bị nhiễu, bị ngừng làm việc

2.2.4 Tấn công theo kiểu thu hút (Man in the middle attacks)

Tấn công theo kiểu thu hút - Man in the middle attacks có nghĩa là dùng mộtkhả năng mạnh hơn (một AP giả mạo) chen vào giữa hoạt động của các thiết bị vàthu hút, giành lấy sự trao đổi thông tin của thiết bị về mình Thiết bị chèn giữa đóphải có vị trí, khả năng thu phát trội hơn các thiết bị sẵn có của mạng Một đặc điểmnổi bật của kiểu tấn công này là người sử dụng không thể phát hiện ra được cuộctấn công, và lượng thông tin mà thu nhặt được bằng kiểu tấn công này là giới hạn

2.3 Các biện pháp và công cụ bảo mật hệ thống

2.3.1 Biện pháp kiểm soát truy nhập

Kiểm soát quyền truy nhập bảo vệ cho hệ thống mạng khỏi các mối đe dọabằng cách xác định cái gì có thể đi vào và đi ra khỏi mạng Việc kiểm soát truynhập sẽ xác định trên mọi dịch vụ và ứng dụng cơ bản hoạt động trên hệ thống

Kiểm soát sự xác thực người sử dụng là bước tiếp theo sau khi được truynhập vào mạng Người sử dụng muốn truy nhập vào các tài nguyên của mạng thì sẽphải được xác nhận bởi hệ thống bảo mật Có thể có mấy cách kiểm soát sự xácthực người sử dụng:

- Xác thực người sử dụng: cung cấp quyền sử dụng các dịch vụ cho mỗingười dùng Mỗi khi muốn sử dụng một tài nguyên hay dịch vụ của hệ thống, anh ta

sẽ phải được xác thực bởi một máy chủ xác thực người sử dụng và kiểm tra xem cóquyền sử dụng dịch vụ hay tài nguyên của hệ thống không

- Xác thực trạm làm việc: Cho phép người sử dụng có quyền truy nhập tạinhững máy có địa chỉ xác định Ngược lại với việc xác thực người sử dụng, xácthực trạm làm việc không giới hạn với các dịch vụ.

- Xác thực phiên làm việc: Cho phép người sử dụng phải xác thực để sử dụngtừng dịch vụ trong mỗi phiên làm việc

- Có nhiều công cụ dùng cho việc xác thực, ví dụ như:

+ TACACS dùng cho việc truy nhập từ xa thông qua Cisco Router

+ RADIUS khá phổ biến cho việc truy nhập từ xa (Remote Access)

+ Firewall cũng là một công cụ mạnh cho phép xác thực cả 3 loại ở trên

2.3.2 Các công cụ bảo mật hệ thống

Có nhiều công cụ bảo mật hệ thống cơ bản và phổ biến, thường được áp dụng.Mục tiêu của các công cụ này là đảm bảo cho hệ thống mạng trở nên an toàn hơn.2.3.2.1 Firewall

Dùng để ngăn chặn và bảo vệ những thông tin và chống việc truy nhập bấthợp pháp Firewall là một giải pháp dựa trên phần mềm và phần cứng dùng để kiểmtra dữ liệu đi từ bên ngoài vào máy tính và ra ngoài mạng Internet, rộng hơn là giữamạng nội bộ và Internet, và giữa các mạng con trong hệ thống mạng nội bộ của tổchức đơn vị

Hình 2.1 Mô hình bảo vệ LAN bằng Firewall

Firewall thực hiện ba chức năng điều khiển truy nhập (access control), quản

lý xác thực (Authentication) và ghi nhật ký truy nhập (Activity logging)

a Firewall phần cứng

Là thiết bị được tích hợp bộ định tuyến, quy tắc lọc gói tin được đặt trên bộ định

InternetLAN

tuyến Firewall sẽ dựa trên quy tắc để kiểm tra gói tin Mô hình Firewall phần cứng

c Ưu và nhược điểm của Firewall

Firewall phần cứng thường sử dụng cho các mạng lớn, Firewall nhận gói tin

và kiểm duyệt rồi chuyển tiếp cho các máy trong mạng, tốc độ của Firewall phầnmềm hoạt động chậm hơn so với Firewall phần cứng nên ảnh hưởng đến tốc độ của

hệ thống mạng

Firewall phần mềm sử dụng để đảm bảo an ninh cho các mạng vừa, nhỏ do cóchi phí thấp, không ảnh hưởng đến tốc độ chuyển các gói tin; Firewall phần mềm thựchiện trên từng hệ điều hành nhất định Firewall phần cứng có thể thực hiện độc lập

Firewall phần mềm có thể lọc được nội dung gói tin còn Firewall phần cứngchỉ có thể lọc thông tin của gói tin, nội dung của gói tin thì Firewall phần cứngkhông thể kiểm soát

d Một số hệ thống Firewall khác

Packet-Filtering Router (Bộ định tuyến có lọc gói)

Có hai chức năng: chuyển tiếp truyền thông giữa hai mạng và sử dụng cácquy luật về lọc gói để cho phép hay từ chối truyền thông Quy luật lọc được địnhnghĩa sao cho các Host trên mạng nội bộ được quyền truy nhập trực tiếp tớiInternet, trong khi các Host trên Internet chỉ có một số giới hạn các truy nhập vàocác máy tính trên mạng nội bộ

Hình 2.4 Mô hình Packet-Filtering Router

*Ưu điểm: Cấu hình đơn giản, chi phí thấp; Trong suốt đối với người dùng.

*Hạn chế: Dễ bị tấn công vào các bộ lọc do cấu hình không hoàn hảo.

Screened Host Firewall

Bao gồm một Packet-Filtering Router và một Bastion Host Screened HostFirewall cung cấp độ bảo mật cao hơn Packet-Filtering Router, vì hệ thống thựchiện bảo mật ở tầng mạng và tầng ứng dụng Mô hình này, đối tượng tấn công bịngăn cản ở hai tầng bảo mật

Hình 2.5 Mô hình Screened Host Firewall

Demilitarized Zone (DMZ - khu vực phi quân sự)

Bao gồm hai Packet-Filtering Router và một Bastion Host, có độ an toàn caonhất vì cung cấp cả mức bảo mật mạng và ứng dụng Mạng DMZ đóng vai trò độclập đặt giữa Internet và mạng nội bộ, được cấu hình sao cho các hệ thống chỉ có thểtruy nhập được một số dịch vụ mà không được kết nối trực tiếp với mạng DMZ

Ưu điểm: Phải qua ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong

Hình 2.6 Mô hình Screened-subnet Firewall

2.3.2.2 Chữ ký điện tử

Trong môi trường mạng, việc trao đổi thông điệp đòi hỏi phải có sự xác nhậnngười gửi Việc xác nhận người gửi đảm bảo rằng bức thông điệp đó thực sự đượcgửi từ người gửi chứ không phải ai khác Công nghệ chữ ký điện tử ra đời để phục

vụ việc xác nhận người gửi này, đồng thời nó cũng mang tính không thể chối cãivới người đã gửi văn bản đó

Chữ ký điện tử hay còn gọi là chữ ký số hoá sử dụng một cặp khoá: mộtPUBLIC_KEY và một PRIVATE_KEY Public Key được thông báo rộng rãi chomọi người còn private key thì phải được giữ bí mật Đặc trưng cơ bản của chữ kí sốhoá là: Với một cặp khoá, dữ liệu mã hoá với PRIVATE_KEY chỉ có thể được giải

mã duy nhất bởi PUBLIC_KEY của nó mà thôi

Hình 2.7 Quá trình ký trong message

Hình trên là một quá trình tạo ra chữ ký điện tử một văn bản đầu vào được ápdụng các thuật toán băm mã hoá như MD4, MD5, SHA để tạo ra các giá trị Hash-value hay còn gọi là Message Digest sau đó các giá trị Hash-value nhận được kếthợp cùng Private key mã hoá bởi thuật toán RSA, DSA để tạo ra một Digitalsignature

Sự an toàn của hệ thống chữ ký điện tử phụ thuộc vào sự bí mật của khoáriêng do người dùng quản lý Chính vì thế người dùng phải đề phòng sự truy cập bấthợp pháp vào khoá riêng của họ

2.3.2.3 Bảo mật trong IEEE 802.11

Sóng vô tuyến lan truyền trong môi trường mạng có thể bị kẻ tấn công bắtsóng được và có thể thực hiện các ý đồ lấy cắp thông tin Điều này thực sự là mối

đe doạ nghiêm trọng Để bảo vệ dữ liệu khỏi bị nghe trộm, nhiều dạng mã hóa dữliệu đã được dùng Đôi khi các dạng mã hóa này thành công, một số khác thì có tínhchất ngược lại, do đó làm phá vỡ sự an toàn của dữ liệu Chính vì vậy việc bảo vệmạng không dây càng trở nên cấp thiết và phức tạp

Mục tiêu của việc bảo mật bao gồm:

- Xác thực bất kỳ một máy chạm nào truy cập vào mạng không dây

- Bảo mật luồng dữ liệu trao đổi trên mạng không dây

- Chống sửa chữa thay đổi dữ liệu trên mạng không dây

a Bảo mật bằng WEP (Wired Equivalent Privacy)

WEP là một thuật toán nhằm bảo vệ sự trao đổi thông tin chống lại sự nghetrộm, chống lại những kết nối mạng không được cho phép cũng như chống lại việc

thay đổi hoặc làm nhiễu thông tin truyền WEP sử dụng stream cipher RC4 cùngvới một mã 40 bit và một số ngẫu nhiên 24 bit (initialization vector - IV) để mã hóathông tin Thông tin mã hóa được tạo ra bằng cách thực hiện phép toán XOR giữakeystream và plain text Thông tin mã hóa và IV sẽ được gửi đến người nhận.Người nhận sẽ giải mã thông tin dựa vào IV và khóa WEP đã biết trước

Những điểm yếu về bảo mật của WEP

- WEP sử dụng khóa cố định được chia sẻ giữa một Access Point (AP) vànhiều người dùng (users) cùng với một IV ngẫu nhiên 24 bit Do đó, cùng một IV sẽđược sử dụng lại nhiều lần Bằng cách thu thập thông tin truyền đi, kẻ tấn công cóthể có đủ thông tin cần thiết để có thể bẻ khóa WEP đang dùng

- Một khi khóa WEP đã được biết, kẻ tấn công có thể giải mã thông tintruyền đi và có thể thay đổi nội dung của thông tin truyền Do vậy WEP không đảmbảo được sự cẩn mật (confidentiality) và toàn vẹn (integrity) của thông tin

- Việc sử dụng một khóa cố định được chọn bởi người sử dụng và ít khi đượcthay đổi (có nghĩa là khóa WEP không được tự động thay đổi) làm cho WEP rất dễ

bị tấn công

- WEP cho phép người dùng (supplicant) xác minh (authenticate) AP trongkhi AP không thể xác minh tính xác thực của người dùng Nói một cách khác, WEPkhông cung ứng khả năng nhận thực lẫn nhau (mutual authentication)

b Bảo mật bằng WPA (Wifi Protected Access )

WPA là một giải pháp bảo mật được đề xuất bởi liên minh WiFi (WiFiAlliance) nhằm khắc phục những hạn chế của WEP WPA được nâng cấp bằng việccập nhật phần mềm SP2 của microsoft

WPA cải tiến 3 điểm yếu nổi bật của WEP:

- WPA cũng mã hóa thông tin bằng RC4 nhưng chiều dài của khóa là 128 bit

và IV có chiều dài là 48 bit Một cải tiến của WPA đối với WEP là WPA sử dụng

giao thức TKIP (Temporal Key Integrity Protocol) [6] nhằm thay đổi khóa dùng AP

và user một cách tự động trong quá trình trao đổi thông tin Cụ thể là TKIP dùng

một khóa nhất thời 128 bit kết hợp với địa chỉ MAC của user host và IV để tạo ra

mã khóa Mã khóa này sẽ được thay đổi sau khi 10.000 gói thông tin được trao đổi

- WPA sử dụng 802.1x/EAP [3], [6] để đảm bảo tính nhận thực lẫn nhau

nhằm chống lại kiểu tấn công xen vào giữa (man-in-middle attack) Quá trình nhậnthực của WPA dựa trên một server nhận thực, còn được biết đến với tên gọiRADIUS/ DIAMETER Server RADIUS cho phép xác thực user trong mạng cũngnhư định nghĩa những quyền kết nối của user Tuy nhiên trong một mạng WiFi nhỏ(của công ty hoặc cơ quan, trường học), đôi khi không cần thiết phải cài đặt mộtserver mà có thể dùng một phiên bản WPA- PSK (pre-shared key) Ý tưởng củaWPA-PSK là sẽ dùng một password giống như một chìa khóa vạn năng (MasterKey) chung cho AP và các máy trạm (client devices) Thông tin nhận thực giữa user

và server sẽ được trao đổi thông qua giao thức nhận thực mở rộng EAP (ExtensibleAuthentication Protocol) Phiên EAP sẽ được tạo ra giữa user và server để chuyểnđổi thông tin liên quan đến việc nhận dang của user cũng như của mạng Trong quátrình này AP đóng vai trò là một EAP proxy, làm nhiệm vụ chuyển giao thông tingiữa server và user

- WPA sử dụng thuật toán kiểm tra tính toàn vẹn của bản tin MIC (MichaelMessage Integrity Check ) để tăng cường tính toàn vẹn của thông tin truyền MIC làmột bản tin 64 bit được tính dựa trên thuật toán Michael MIC sẽ được gửi trong góiTKIP và giúp người nhận kiểm tra xem thông tin nhận được có bị lỗi trên đườngtruyền hoặc bị thay đổi bởi kẻ phá hoại hay không

Tóm lại, WPA được xây dựng nhằm cải thiện những hạn chế của WEP nên

nó chứa đựng những đặc điểm vượt trội so với WEP Đầu tiên, nó sử dụng mộtkhóa động mà được thay đổi một cách tự động nhờ vào giao thức TKIP Khóa sẽthay đổi dựa trên người dùng, phiên trao đổi nhất thời và số lượng gói thông tin đãtruyền Đặc điểm thứ 2 là WPA cho phép kiểm tra xem thông tin có bị thay đổi trênđường truyền hay không nhờ vào bản tin MIC Và đăc điểm nối bật thứ cuối là nócho phép nhận thực lẫn nhau bằng cách sử dụng giao thức 802.1x

Những điểm yếu của WPA:

Điểm yếu đầu tiên của WPA là nó vẫn không giải quyết được kiểu tấn công

từ chối dịch vụ (denial-of-service (DoS) attack) Kẻ phá hoại có thể làm nhiễu mạngWPA WiFi bằng cách gửi ít nhất 2 gói thông tin với một khóa sai (wrongencryption key) mỗi giây Trong trường hợp đó, AP sẽ cho rằng một kẻ phá hoạiđang tấn công mạng và AP sẽ cắt tất cả các kết nối trong vòng một phút để tráchhao tổn tài nguyên mạng Do đó, sự tiếp diễn của thông tin không được phép sẽ làmxáo trộn hoạt động của mạng và ngăn cản sự kết nối của những người dùng đượccho phép (authorized users)

Ngoài ra WPA vẫn sử dụng thuật tóan RC4 mà có thể dễ dàng bị bẻ vỡ bởitấn công FMS đã được đề xuất bởi những nhà nghiên cứu ở trường đại học Berkeley Hệ thống mã hóa RC4 chứa đựng những khóa yếu (weak keys) Những khóa yếunày cho phép truy ra khóa mã Để có thể tìm ra khóa yếu của RC4, chỉ cần thu thậpmột số lượng đủ thông tin truyền trên kênh truyền không dây

WPA-PSK là một biên bản yếu của WPA mà ở đó nó gặp vấn đề về quản lýpassword hoặc chia sẻ bí mật giữa nhiều người dùng Khi một người trong nhóm(trong công ty) rời nhóm, một password/secret mới cần phải được thiết lập

c Tăng cường bảo mật với chuẩn 802.11i

Chuẩn 802.11i được phê chuẩn vào ngày 24 tháng 6 năm 2004 nhằm tăngcường tính mật cho mạng WiFi 802.11i mang đầy đủ các đặc điểm của WPA Tậphợp những giao thức của 802.11i còn được biết đến với tên gọi WPA 2 Tuy nhiên,

802.11i sử dụng thuật toán mã hóa AES (Advanced Encryption Standard) [4] thay

vì RC4 như trong WPA Mã khóa của AES có kích thước là 128, 192 hoặc 256 bit.Tuy nhiên thuật toán này đòi hỏi một khả năng tính toán cao (high computationpower) Do đó, 802.11i không thể update đơn giản bằng software mà phải có mộtdedicated chip Tuy nhiên điều này đã được ước tính trước bởi nhiều nhà sản xuấtnên hầu như các chip cho card mạng Wifi từ đầu năm 2004 đều thích ứng với tínhnăng của 802.11i

Mô tả thuật toán

Quá trình mã hóa bao gồm 4 bước:

1 AddRoundKey - mỗi byte của khối được kết hợp với khóa con, các khóacon này được tạo ra từ quá trình tạo khóa con Rijndael

2 SubBytes - đây là phép thế (phi tuyến) trong đó mỗi byte sẽ được thế bằngmột byte khác theo bảng tra (Rijndael S-box)

3 ShiftRows - đổi chỗ, các hàng trong khối được dịch vòng

4 MixColumns - quá trình trộn làm việc theo các cột trong khối theo mộtphép biến đổi tuyến tính

Tại chu trình cuối thì bước MixColumns được thay thế bằng bướcAddRoundKey

2.3.2.4 WLAN VPN

Mạng riêng ảo VPN (Virtual Private Network) [1], [7] bảo vệ mạng LAN

bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép VPN tạo ramột tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như IPSec (InternetProtocol Security) Giao thức bảo mật giao thức Internet (IPSec) cung cấp nhữngtính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm địnhquyền đăng nhập toàn diện hơn IPSec có hai cơ chế mã hóa là Tunnel và Transport.Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mãhóa kích thước Chi phí cho VPNs ít hơn đáng kể so với cách giải quyết truyềnthống và có thể nâng cấp dễ dàng, hiệu quả về băng thông cao, giảm chi phí vậnhành quản lí, nâng cao kết nối, nâng cao khả năng mở rộng, bảo mật, an toàn tronggiao dịch

Tuy nhiên, VPN thiếu các giao thức kế thừa hỗ trợ, phụ thuộc nhiều vào chấtlượng mạng Internet, sự quá tải hay nghẽn mạng có thể ảnh hưởng xấu đến chấtlượng truyền tin của các máy trong mạng Đồng thời VPN cũng phụ thuộc vào cácnhà cung cấp dịch vụ ISP

2.3.2.5 Lọc

Lọc là một cơ chế bảo mật căn bản có thể dùng để bổ sung cho WEP hoặcAES Lọc theo nghĩa đen là chặn những gì không mong muốn và cho qua những gìmong muốn Lọc làm việc giống như một danh sách truy nhập trên router: bằngcách xác định các tham số mà các trạm phải gán vào để truy cập mạng Với WLANviệc đó có nghĩa là xác định xem các máy trạm là ai và phải cấu hình như thế nào

a Lọc địa chỉ MAC

WLAN có thể lọc dựa vào địa chỉ MAC [8] của các trạm khách Hầu hết các

AP, thậm chí cả AP rẻ tiền, đều có chức năng lọc MAC Những người quản trịmạng có thể biên tập, phân phối và bảo trì một danh sách những địa chỉ MAC đượcphép và lập trình chúng vào các AP Nếu một card PC hoặc những Client khác vớimột địa chỉ MAC không có trong danh sách địa chỉ MAC của AP, nó sẽ không thểđến được điểm truy nhập đó

Hình 2.8 Lọc địa chỉ MAC

Tất nhiên, việc lập trình các địa chỉ MAC của các Client trong mạng WLANvào các AP trên một mạng rộng thì không thực tế Bộ lọc MAC có thể được thựchiện trên vài máy chủ RADIUS thay vì trên mỗi điểm truy nhập Các cấu hình nàylàm cho lọc MAC là một giải pháp an toàn, và do đó có khả năng được lựa chọnnhiều hơn Việc nhập địa chỉ MAC cùng với thông tin xác định người sử dụng vàoRADIUS khá đơn giản, có thể phải được chấp nhận bằng bất kỳ giá nào, là một giải

pháp tốt Máy chủ RADIUS thường trỏ đến các nguồn chứng thực khác, vì vậy cácnguồn chứng thực khác phải được hỗ trợ bộ lọc MAC

Bộ lọc MAC có thể làm việc tốt trong chế độ ngược lại Xét một ví dụ, mộtngười làm thuê bỏ việc và mang theo cả card mạng WLAN của họ Card WLANnày nắm giữ cả khoá WEP và bộ lọc MAC, vì thế không thể để họ còn quyền sửdụng Khi đó người quản trị mạng có thể loại bỏ địa chỉ MAC của máy khách đó rakhỏi danh sách cho phép

Mặc dù lọc MAC có vẻ là một phương pháp bảo mật tốt, chúng vẫn dễ bị ảnhhưởng bởi những thâm nhập sau:

- Trộm card PC trong đó có bộ lọc MAC của AP

- Thăm dò WLAN sau đó giả mạo địa chỉ MAC để thâm nhập vào mạng.Địa chỉ MAC của Client WLAN thường được phát quảng bá bởi các AP vàBridge, ngay cả khi sử dụng WEP Vì thế một hacker có thể nghe được lưu lượngtrên mạng và nhanh chóng tìm thấy hầu hết các địa chỉ MAC Để một bộ phân tíchmạng thấy được địa chỉ MAC của một trạm, trạm đó phải truyền một khung quađoạn mạng không dây, đây chính là cơ sở dẫn đến việc xây dựng một phương phápbảo mật mạng, tạo đường hầm trong VPN

Một vài card PC không dây cho phép thay đổi địa chỉ MAC của họ thông quaphần mềm hoặc thậm chí qua cách thay đổi cấu hình hệ thống Một hacker có danhsách các địa chỉ MAC, có thể dễ dàng thay đổi địa chỉ MAC của card PC để phùhợp với một card PC trên mạng của bạn, và do đó truy nhập tới toàn bộ mạng khôngdây của bạn

Lọc MAC nên được sử dụng khi khả thi, nhưng không phải là cơ chế bảomật duy nhất trên máy của bạn

b Lọc giao thức

Một WLAN có thể lọc các gói đi qua mạng dựa trên các giao thức lớp 2-7.Trong nhiều trường hợp, các nhà sản xuất làm các bộ lọc giao thức có thể định hìnhđộc lập cho cả những đoạn trạm hữu tuyến và vô tuyến của AP

Hình 2.9 Lọc giao thức

2.3.2.6 Nguyên lý RADIUS Server

Việc chứng thực của 802.1x được thực hiện trên một server riêng, server này

sẽ quản lý các thông tin để xác thực người sử dụng như tên đăng nhập (username),mật khẩu (password) vv Khi người dùng gửi yêu cầu chứng thực, server này sẽ tracứu dữ liệu để xem người dùng này có hợp lệ không, được cấp quyền truy cập đếnmức nào, vv Nguyên lý này được gọi là RADIUS (Remote Authentication Dial-inUser Service) Server - Máy chủ cung cấp dịch vụ chứng thực người dùng từ xa.Phương thức này xuất hiện từ ban đầu với mục đích là thực hiện qua đường điệnthoại, ngày nay không chỉ thực hiện qua quay số mà còn có thể thực hiện trênnhững đường truyền khác nhưng người ta vấn giữ tên RADIUS

Hình 2.10 Mô hình chứng thực sử dụng RADIUS Server