HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Nguyễn Tuấn Trinh GIẢI PHÁP AN TOÀN THÔNG TIN MẠNG NỘI BỘ TẠI TRƯỜNG ĐẠI HỌC LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – 2015 LỜI CẢM ƠN Em xin gửi lời cảm ơn sâu sắc đến PGS.TS. Trần Đình Quế, người đã trực tiếp hướng dẫn, tạo mọi điều kiện thuận lợi và tận tình chỉ bảo cho em trong suốt thời gian làm luận văn tốt nghiệp. Bên cạnh đó, để hoàn thành luận văn này, em cũng đã nhận được rất nhiều sự giúp đỡ, những lời động viên quý báu của các bạn bè, gia đình và đồng nghiệp. Em xin chân thành cảm ơn. Tuy nhiên, do thời gian hạn hẹp, mặc dù đã nỗ lực hết sức mình, nhưng chắc rằng luận văn này khó tránh khỏi thiếu sót. Em rất mong nhận được sự thông cảm và chỉ bảo tận tình của quý Thầy cô và các bạn. HỌC VIÊN Nguyễn Tuấn Trinh i MỤC LỤC MỤC LỤC i Danh mục các từ viết tắt iii Danh mục các bảng v Danh mục các hình vẽ v MỞ ĐẦU 1 CHƯƠNG I. TỔNG QUAN VỀ MẠNG CỤC BỘ 3 1.1. Giới thiệu 3 1.2. Quá trình phát triển của mạng cục bộ 3 1.2.1. Mạng LAN nối dây 3 1.2.2. Mạng LAN không dây (WLAN) 7 1.3. Kết luận 10 CHƯƠNG 2. AN NINH MẠNG LAN 11 2.1. Mục tiêu của bảo mật trong mạng LAN 11 2.2. Các kiểu tấn công và đe dọa an ninh mạng 12 2.2.1. Tấn công chủ động 12 2.2.2. Tấn công bị động (Passive attacks) 14 2.2.3. Tấn công kiểu chèn ép (Jamming attacks) 16 2.2.4. Tấn công theo kiểu thu hút (Man in the middle attacks) 16 2.3. Các biện pháp và công cụ bảo mật hệ thống 16 2.3.1. Biện pháp kiểm soát truy nhập 16 2.3.2. Các công cụ bảo mật hệ thống 17 2.3.2.1. Firewall 17 2.3.2.2. Chữ ký điện tử 20 2.3.2.3. Bảo mật trong IEEE 802.11 21 2.3.2.4. WLAN VPN 25 2.3.2.5. Lọc 26 2.3.2.6. Nguyên lý RADIUS Server 28 ii 2.3.2.7. Phương thức chứng thực mở rộng EAP 30 2.4. Kết luận 32 CHƯƠNG 3. GIẢI PHÁP BẢO MẬT 33 3.1. Vai trò của của mạng LAN trong giáo dục 33 3.2. Phân tích, đánh giá hiện trạng mạng cục bộ của Trường Đại học Hải Dương 35 3.3. Đề xuất thực thi bảo mật mạng cục bộ tại Trường Đại học Hải Dương 36 3.3.1. Đề xuất mô hình mạng LAN mới 37 3.3.2. Các bước thực thi bảo mật hệ thống 40 3.3.3. Thiết lập chế độ bảo mật cho hệ thống mạng 41 3.4. Kết luận 57 KẾT LUẬN 58 PHỤ LỤC 60 TÀI LIỆU THAM KHẢO 64 iii Danh mục các từ viết tắt STT Từ viết tắt Tên đầy đủ 1 ACL Access control lists 2 AES Advanced Encryption Standard 3 AH Authentication Header 4 AP Access Point 5 CA Certificate Authority 6 CCK Complimentary Code Keying 7 CTS Clear To Send 8 DCF Distributed Coordination Function 9 DES Data Encryption Standard 10 DHCP Dynamic Host Configuration Protocol 11 DMZ Demilitarized Zone 12 DoS Denial of service 13 DS Distribution System 14 DSSS Direct Sequence Spread Stpectrum 15 EAOPL EAP Over LAN 16 EAP Extensible Authentication Protocol 17 EAPOW EAP Over Wireless 18 HCF Hybrid Coordination Function 19 IBSS Independent Basic Service Set 20 IDS Intrusion Detection System iv 21 IEEE Institute of Electrical and Electronics Engineers 22 IP Internet Protocol 23 Ipsec Internet Protocol Security 24 ISP Internet Service Provider 25 ISM Industrial Scientific and Medical 26 LAN Local Area Network 27 MAC Media Access Control 28 NAT Network Address Translation 29 NIC Network Interface Card 30 OFDM Orthogonal Frequency Division 31 PBCC Packet Binary Convolution Coding 32 PCF Point Coordination Function 33 PEAP Protected EAP Protocol 34 PKI Public Key Infrastructure 35 PSK Pre-sharing Key 36 RADIUS Remote Authentication Dial-In User Service 37 RTS Request To Send 38 SSID Service Set ID 39 STA Station 40 TACACS Terminal Access Controller Access Control System 41 TCP Transmission Control Protocol 42 TKIP Temporal Key Integrity Protocol v 43 UDP User Datagram Protocol 44 UNII Unlicense National Information Infrastructure 45 VPN Virtual Private Network 46 WAN Wide Area Network 47 WEP Wired Equivalent Privacy 48 WLAN Wireless Local Area Network 49 WPA Wi-Fi Protected Access Danh mục các bảng Số hiệu bảng Tên bảng Trang Bảng 3.1. Các thông số của Router Cisco 1941/K9 38 Bảng 3.2. Các thông số của WAP610N 38 Danh mục các hình vẽ Số hiệu hình vẽ Tên hình vẽ Trang 2.1 Mô hình bảo vệ LAN bằng Firewall 16 2.2 Mô hình sử dụng firewall phần cứng 17 2.3 Mô hình sử dụng Firewall phần mềm 17 2.4 Mô hình Packet-Filtering Router 18 2.5 Mô hình Screened Host Firewall 18 2.6 Mô hình Screened-subnet Firewall 19 2.7 Quá trình ký trong message 20 2.8 Lọc địa chỉ MAC 25 2.9 Lọc giao thức 27 2.10 Mô hình chứng thực sử dụng RADIUS Server 27 2.11 Quá trình chứng thực RADIUS Server 28 2.12 Kiến trúc EAP cơ bản 29 2.13 Quá trình chứng thực EAP 30 3.1 Truy cập thông tin có thể thực hiện bất kỳ đâu trong khuôn viên với công nghệ WLAN 32 3.2 Mô hình mạng LAN với những phân đoạn mạng không dây và có dây đan xen, kết hợp chặt chẽ với những máy chủ chính sách và xác thực 33 vi 3.3 Sơ đồ hệ thống mạng LAN hiện của Nhà trường 35 3.4 Sơ đồ hệ thống mạng LAN mới 37 3.5 Thiết lập Action Center cảnh báo cho người sử dụng máy tính 41 3.6 Bật chế độ tự động cập nhật các bản vá lỗi Windows 41 3.7 Bảo vệ máy tính bằng Windows Defender 42 3.8 Bảo vệ máy tính bằng Windows Firewall 42 3.9 Thiết đặt Wireless Security trên AP 43 3.10 Thiết đặt Wireless MAC Filter trên AP 43 3.11 Màn hình làm việc của Windows Firewall with Advanced Security 44 3.12 Thẻ Domain Profile 44 3.13 Tùy chọn thiết đặt setting cho Domain Profile 45 3.14 Tùy chon thiết đặt Logging cho Domain Profile 46 3.15 Thẻ IPsec Settings 46 3.16 Tùy chọn Key Exchange 47 3.17 Tùy chọn Data Protection 48 3.18 Tùy chọn Integrity Algorithms 48 3.19 Tùy chọn Integrity and Encryption Algorithms 49 3.20 Tùy chọn chứng thực 49 3.21 Chọn cài đặt RADIUS server for 802.1X 50 3.22 Chọn bảo mật các kết nối không dây 51 3.23 Tạo một entry máy khách RADIUS mới 51 3.24 Thêm các nhóm người dùng 52 3.25 Thiết lập VLAN 52 3.26 Thiết lập chế độ bảo mật WPA2 Enteprise cho AP 53 3.27 Thiết lập bảo mật trên máy khách 53 3.28 Cấu hình các thuộc tính PEAP 54 3.29 Cửa sổ đăng nhập 54 1 MỞ ĐẦU Hiện đại-tiện ích-đa năng là những ưu điểm vượt trội khi nói về máy tính. Chính vì lẽ đó mà ở bất kỳ đâu từ những gia đình, đến các công ty, những trường học, bệnh viện hay bất cứ một môi trường kinh doanh nào cũng đều có sự xuất hiện của máy tính. Khi xã hội càng phát triển con người càng cần đến thông tin và chia sẻ thông tin. Chính điều này đã tạo cơ hội cho chiếc máy tính phát huy hết những tiện ích vốn có của mình. Một chiếc máy tính đơn lẻ đã làm nên bao điều kỳ diệu và khi kết nối các máy tính lại với nhau thành một hệ thống thì điều kỳ diệu đó còn được nhân lên rất nhiều lần. Có lẽ nhờ hiểu rõ được tầm quan trọng và những ưu điểm vượt trội của hệ thống mạng máy tính mà số lượng các công ty, doanh nghiệp, trường học… thiết lập, sử dụng hệ thống mạng ngày càng nhiều. Trong các tổ chức, đơn vị luôn có sự xuất hiện của hệ thống mạng trong khâu quản lý công việc của nhân viên, trong công tác quản lý, bảo mật và lưu trữ dữ liệu của đơn vị hay các thông báo, thông tin giữa các cá nhân trong cùng một tổ chức. Việc phải làm thế nào để xây dựng, duy trì một hệ thống mạng đảm bảo tốt nhất cho các máy tính cũng như dữ liệu trong mạng được an toàn luôn là vấn đề được các đơn vị, tổ chức quan tâm. Xuất phát từ nhu cầu thực tế, với đề tài “GIẢI PHÁP AN TOÀN THÔNG TIN MẠNG NỘI BỘ TẠI TRƯỜNG ĐẠI HỌC”, luận văn đi sâu nghiên cứu tìm hiểu các mối nguy cơ đe dọa an toàn mang và một số phương pháp, công cụ nhằm bảo vệ hệ thống mạng máy tính. Từ đó đề xuất ứng dụng vào thực tế hệ thống mạng cục bộ tại Trường Đại học Hải Dương. Luận văn gồm 3 chương: Chương 1: Tổng quan về mạng cục bộ Chương 2: An ninh mạng LAN Chương 3: Giải pháp bảo mật 2 Trong đó đề tài tập trung vào chương 2 và 3 nhằm nghiên cứu tìm hiểu để đề xuất ứng dụng giải pháp phù hợp nhất với thực tế. [...]... Chương 1 trình bầy những nội dung cơ bản về mạng cục bộ (LAN) bao gồm phần giới thiệu, quá trình phát triển của mạng cục bộ Trong quá trình phát triển không ngừng về mặt công nghệ mạng thì các chuẩn dành riêng cho mạng cục bộ lần lượt ra đời như 802.3 cho mạng Ethernet, các chuẩn 802.11 cho mạng không dây 11 CHƯƠNG 2 AN NINH MẠNG LAN 2.1 Mục tiêu của bảo mật trong mạng LAN Bất cứ một mạng nào, cả không... cho hệ thống mạng trở nên an toàn hơn 2.3.2.1 Firewall Dùng để ngăn chặn và bảo vệ những thông tin và chống việc truy nhập bất hợp pháp Firewall là một giải pháp dựa trên phần mềm và phần cứng dùng để kiểm tra dữ liệu đi từ bên ngoài vào máy tính và ra ngoài mạng Internet, rộng hơn là giữa mạng nội bộ và Internet, và giữa các mạng con trong hệ thống mạng nội bộ của tổ chức đơn vị Internet LAN Hình 2.1... bắt gói tin không kết nối tới AP để thu các gói tin Đối với mạng không dây, tín hiệu chứa đựng thông tin được phát trong không gian vì vậy mà việc bắt gói tin được thực hiện một cách dễ dàng hơn so với hệ thống mạng có dây Những chương trình bắt gói tin có khả năng lấy các thông tin quan trọng Có những chương trình có thể lấy được mật khẩu trên mạng không dây trong quá trình trao đổi thông tin giữa... thuật cho phép tin tặc có thể xâm nhập vào hệ thống để ăn cắp thông tin hay phá hoại, do đó trên thực tế sẽ không có một mạng nào được xem là bảo mật tuyệt đối Vì vậy, người ta thường phải sử dụng nhiều kỹ thuật bảo mật đi kèm với các mạng để bảo đảm tính an toàn cho mạng Bảo mật mạng máy tính LAN cơ bản là sự đảm bảo thông tin của cá nhân, tập thể, công ty hay doanh nghiệp luôn được an toàn, ngăn chặn... TỔNG QUAN VỀ MẠNG CỤC BỘ 1.1 Giới thiệu Mạng LAN (Local Area Network) ngày nay đã trở thành một phần không thể thiếu của hầu như bất kỳ tổ chức nào Có hai loại mạng LAN khác nhau đó là LAN nối dây (sử dụng các loại cáp để kết nối) và LAN không dây (sử dụng sóng điện từ để truyền thông với nhau) Mạng LAN nối các máy tính với nhau và cho phép người sử dụng có thể: - Liên lạc với nhau - Chia sẻ thông tin. .. quan, các trường Đại học, v.v… 1.2 Quá trình phát triển của mạng cục bộ 1.2.1 Mạng LAN nối dây Trong nhiều năm qua, LAN đã trở thành một công cụ có ý nghĩa chiến lược trong hoạt động của hầu như mọi tổ chức, nhất là các Doanh nghiệp, đơn vị Mạng 4 LAN được phát triển từ thủa ban đầu là để chia sẻ tài nguyên như Máy in và Đĩa cứng, tiếp đến là việc hỗ trợ cấu trúc khách/chủ (Clien/Server), rồi đến mạng. .. sử dụng lại nhiều lần Bằng cách thu thập thông tin truyền đi, kẻ tấn công có thể có đủ thông tin cần thiết để có thể bẻ khóa WEP đang dùng - Một khi khóa WEP đã được biết, kẻ tấn công có thể giải mã thông tin truyền đi và có thể thay đổi nội dung của thông tin truyền Do vậy WEP không đảm bảo được sự cẩn mật (confidentiality) và toàn vẹn (integrity) của thông tin - Việc sử dụng một khóa cố định được... thiết bị mạng trên máy tấn công thành các giá trị của máy đang sử dụng trong mạng, làm cho hệ thống hiểu nhầm và cho phép thực hiện kết nối Sửa đổi thông tin Sự thay đổi dữ liệu là một trong những kiểu tấn công gây nguy hiểm cho hệ thống mạng vì nó làm mất tính toàn vẹn thông tin được truyền trong hệ thống Sự thay đổi này bao gồm các thao tác chèn thêm thông tin, xoá và sửa chữa các thông tin trong... giữa user và server để chuyển đổi thông tin liên quan đến việc nhận dang của user cũng như của mạng Trong quá trình này AP đóng vai trò là một EAP proxy, làm nhiệm vụ chuyển giao thông tin giữa server và user - WPA sử dụng thuật toán kiểm tra tính toàn vẹn của bản tin MIC (Michael Message Integrity Check ) để tăng cường tính toàn vẹn của thông tin truyền MIC là một bản tin 64 bit được tính dựa trên thuật... nối mạng không được cho phép cũng như chống lại việc 22 thay đổi hoặc làm nhiễu thông tin truyền WEP sử dụng stream cipher RC4 cùng với một mã 40 bit và một số ngẫu nhiên 24 bit (initialization vector - IV) để mã hóa thông tin Thông tin mã hóa được tạo ra bằng cách thực hiện phép toán XOR giữa keystream và plain text Thông tin mã hóa và IV sẽ được gửi đến người nhận Người nhận sẽ giải mã thông tin . HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Nguyễn Tuấn Trinh GIẢI PHÁP AN TOÀN THÔNG TIN MẠNG NỘI BỘ TẠI TRƯỜNG ĐẠI HỌC LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – 2015 LỜI CẢM ƠN Em. PHÁP AN TOÀN THÔNG TIN MẠNG NỘI BỘ TẠI TRƯỜNG ĐẠI HỌC”, luận văn đi sâu nghiên cứu tìm hiểu các mối nguy cơ đe dọa an toàn mang và một số phương pháp, công cụ nhằm bảo vệ hệ thống mạng máy tính dụng vào thực tế hệ thống mạng cục bộ tại Trường Đại học Hải Dương. Luận văn gồm 3 chương: Chương 1: Tổng quan về mạng cục bộ Chương 2: An ninh mạng LAN Chương 3: Giải pháp bảo mật 2 Trong đó đề