tiểu luận mạng máy tính

Các quy ước truyền thông chính là cơ sỡ để các máy tính có thể nói chuyệnđược với nhau và nó là một yếu tố quan trọng hàng đầu khi nói về công nghệcủa mạng máy tính.Với việc kết nối máy

là giải pháp thay thế toàn bộ cho các mạng LAN nối dây truyền thống.

Xuất phát từ những lý do trên em xin chọn đề tài “ Nghiên cứu và triểnkhai mạng không dây tại đại học Quảng Nam”

2 Mục tiêu đề tài

- Nắm được những kiến thức cơ bản về mạng máy tính.

- Hiểu rõ kiến thức tổng quan về mạng không dây, những đặc điểm,phânloại, tính năng, cấu hình

- Nắm được vấn đề bảo mật cho mạng không dây

-Cấu hình thành công mô hình mạng không dây trên phần mềm packettracer

3 Đối tượng và phạm vi nghiên cứu

Đề tài tập trung nghiên cứu tổng quan mạng máy tính, đi sâu nghiên cứu vềmạng không dây và bảo mật mạng không dây

4 Phương pháp nghiên cứu

Đề tài nghiên cứu dựa trên cơ sở lý thuyết về mạng máy tính, nghiên cứu

về mạng không dây thông qua các nguồn tài liệu, kết hợp với phương pháp tìmkiếm, phân tích, tổng hợp và tiến hành xây dựng cấu hình trạm phát và mô hìnhtrên phần mềm packet tracer

B NỘI DUNG Chương I: Tổng quan mạng máy tính

1.1 Định nghĩa mạng máy tính và nhu cầu kết nối mạng

Mạng máy tính là tập hợp các máy tính độc lập được kết nối với nhauthông qua các đường truyền vật lý và tuân theo các quy ước truyền thông nàođó

Ta hiểu rằng máy tính độc lập là các máy tính không có máy nào có khả năngkhởi động hoặc đình chỉ một máy khác

Các đường truyền vật lý được hiểu là các môi trường truyền tín hiệu vật lý(cóthể là hữu tuyến hoặc vô tuyến)

Các quy ước truyền thông chính là cơ sỡ để các máy tính có thể nói chuyệnđược với nhau và nó là một yếu tố quan trọng hàng đầu khi nói về công nghệcủa mạng máy tính.

Với việc kết nối máy tính thành mạng nó đã trở thành một nhu cầu mang tínhkhách quan bỡi lẻ :

- Có rất nhiều công việc về bản chất là phân tán hoặc về thông tin, hoặc về

xử lý hoặc cả hai đòi hỏi có sự kết hợp truyền thông với xử lý hoặc sử dụngphương tiện từ xa

- Chia sẻ các tài nguyên trên mạng cho nhiều người sử dụng tại một thờiđiểm (ổ cứng, Máy in, ổ CD Rom)

- Nhu cầu liên lạc, trao đổi thông tin nhờ phương tiện máy tính

- Các ứng dụng phần mềm đòi hỏi tại một thời điểm cần có nhiều người sửdụng, truy cập vào cùng một cơ sở dữ liệu

1.2.Đặc trưng của mạng máy tính

1.2.1.Đường truyền

Là thành tố quan trọng của một mạng máy tính, là phương tiện dùng đểtruyền các tín hiệu điện tử giữa các máy tính Các tín hiệu điệu tử đó chính là

mọi tín hiệu truyền giữa các máy tính với nhau đều thuộc sóng điện từ, tuỳ theotần số mà ta có thể dùng các đường truyền vật lý khác nhau.

1.2.2 Kỹ thuật chuyển mạch

Là đặc trưng kỹ thuật chuyển tín hiệu giữa các nút trong mạng, các nútmạng có chức năng hướng thông tin tới đích nào đó trong mạng, hiện tại có các

kỹ thuật chuyển mạch như sau:

- Kỹ thuật chuyển mạch kênh: Khi có hai thực thể cần truyền thông vớinhau thì giữa chúng sẽ thiết lập một kênh cố định và duy trì kết nối đó cho tớikhi hai bên ngắt liên lạc Các dữ liệu chỉ truyền đi theo con đường cố định đó

- Kỹ thuật chuyển mạch thông báo: Thông báo là một đơn vị dữ liệu củangười sử dụng có khuôn dạng được quy định trước Mỗi thông báo có chứa cácthông tin điều khiển trong đó chỉ rõ đích cần truyền tới của thông báo Căn cứvào thông tin điều khiển này mà mỗi nút trung gian có thể chuyển thông báo tớinút kế tiếp trên con đường dẫn tới đích của thông báo

- Kỹ thuật chuyển mạch gói: ở đây mỗi thông báo được chia ra thành nhiềugói nhỏ hơn được gọi là các gói tin (Packet) có khuôn dạng qui định trước Mỗigói tin cũng chứa các thông tin điều khiển, trong đó có địa chỉ nguồn (ngườigửi) và địa chỉ đích (người nhận) của gói tin Các gói tin của cùng một thôngbáo có thể được gửi đi qua mạng tới đích theo nhiều con đường khác nhau

1.2.3 Kiến trúc mạng

Kiến trúc mạng máy tính (Network Architecture) thể hiện cách nối cácmáy tính với nhau và tập hợp các quy tắc, quy ước mà tất cả các thực thể thamgia truyền thông trên mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt

Khi nói đến kiến trúc của mạng người ta muốn nói tới hai vấn đề là hình trạngmạng (Network Topology) và giao thức mạng (Network Protocol):

- Network Topology: Cách kết nối các máy tính với nhau về mặt hình học

mà ta gọi là tôpô của mạng

Các hình trạng mạng cơ bản đó là: Hình sao, hình Bus, hình vòng

- Network Protocol: Tập hợp các quy ước truyền thông giữa các thực thểtruyền thông mà ta gọi là giao thức (hay nghi thức) của mạng

Các giao thức thường gặp nhất là: TCP/IP, NETBIOS, IPX/SPX…

1.3 Phân loại mạng máy tính

Có nhiều cách phân loại mạng khác nhau tùy thuộc vào yếu tố chính đượcchọn dùng đẻ làm chỉ tiêu phân loại, thông thường người ta phân loại mạng theocác tiêu chí sau:

- Khoảng cách địa lý của mạng

- Kỹ thuật chuyển mạch mà mạng áp dụng

- Kiến trúc mạng

- Hệ điều hành mạng sử dụng …

1.3.1 Phân loại mạng theo khoảng cách địa lý

Nếu lấy khoảng cách địa lý làm yếu tố phân loại mạng thì ta có mạng cục bộ,mạng đô thị, mạng diện rộng, mạng toàn cầu

- Mạng cục bộ(LAN -Local Area Network): Là mạng được cài đặt trong phạm

vi tương đối nhỏ hẹp Mạng cục bộ(LAN) là một hệ thống truyền thông tốc độcao được thiết kế để kết nối các máy tính và các thiết bị xử lý dữ liệu khác cùnghoạt động với nhau trong một khu vực nhỏ như toà nhà, các văn phòng vớinhau

- Mạng đô thị(MAN -Metropolitan Area Network): Là mạng được cài đặt trongphạm vi một đô thị, một trung tâm văn hoá xã hội, có bán kính tối đa khoảng

100 km trở lại

- Mạng diện rộng (WAN -Wide Area Network): Là mạng có diện tích bao phủrộng lớn, phạm vi của mạng có thể vượt biên giới quốc gia thậm chí cả lục địa

- Mạng toàn cầu (GAN -Global Area Network): Là mạng được kết nối có phạm

vi trải rộng toàn cầu Thông thường kết nối này được thực hiện thông qua mạngviễn thông và vệ tinh

1.3.2 Phân loại mạng theo kỹ thuật chuyển mạch:

Nếu lấy kỹ thuật chuyển mạch làm yếu tố chính để phân loại sẽ có : mạngchuyển mạch kênh, mạng chuyển mạch thông báo và mạng chuyển mạch gói.Mạch chuyển kênh (circuit switched network) : Khi có hai hưc thể cần truyềnthông với nhau hì giữa chúng sẽ thiết lập một kênh cố định và duy trì kết nối đócho tới khi hai bên ngắt liên lạc

- Mạng chuyển mạch thông báo (Message Switched Network): Thông báo làmột đơn vị dữ liệu của người sử dụng có khuôn dạng được quy định trước Mỗithông báo có chứa các thông tin điều khiển trong đó chỉ rõ đích cần truyền tớicủa thông báo Căn cứ vào thông tin điều khiển này mà mỗi nút trung gian có

- Mạng chuyển mạch gói (packet switched network) : ở đây mỗi thông báo chia

ra thành nhiều gói nhỏ hơn được gọi là các gói tin ( packet ) có khuôn dạng quyđịnh trước.Mỗi gói tin cũng chứa các thông tin điều khiển, trong đó có địa chỉnguồn (người gửi) và địa chỉ đích (người nhận) của gói tin

1.3.3 Phân loại theo kiến trúc mạng sử dụng

Kiến trúc của mạng bao gồm hai vấn đề: hình trạng mạng (Networktopology) và giao thức mạng (Network protocol)

- Hình trạng mạng: Cách kết nối các máy tính với nhau về mặt hình học mà tagọi là tô pô của mạng

- Giao thức mạng: Tập hợp các quy ước truyền thông giữa các thực thể truyềnthông mà ta gọi là giao thức của mạng

- Khi phân loại theo topo mạng người ta thường có phân loại thành : mạng hìnhsao, tròn, tuyến tính

- Phân loại theo giao thức mà mạng sử dụng người ta phân loại thành mạng :TCP/IP, mạng NETBIOS…

Tuy nhiên phân loại trên không phổ biến và chỉ áp dụng cho các mạng cục bộ

1.3.4 Phân loại heo hệ điều hành mạng

Nếu phân loại theo hệ điều hành mạng người ta chia ra theo mô hình mạngngang hang, mạng khách/chủ hoặc phân loại theo tên hệ điều hành mà mạng sửdụng: Windows NT, Unix, Novell…

1.4 Mô hình OSI và TCP/IP

- So sánh OSI và TCP/IP

* Các điểm giống nhau:

- Cả hai đều là phân lớp

- Cả hai đều có lớp ứng dụng, qua đó chúng có nhiều dịch vụ khác nhau

- Cả hai có các lớp mạng và lớp vận chuyển có thể so sánh được

- Kỹ thuật chuyển mạch gói được chấp nhận

- Chuyên viên lập mạng cần phải biết cả hai

*Các điểm khác nhau:

- TCP/IP tập hợp các lớp trình bày và lớp phiên vào trong lớp ứng dụng của nó

- TCP/IP tập hợp lớp vật lý và lớp liên kết dữ liệu trong OSI thành một lớp

- Các giao thức TCP/IP là các chuẩn cơ sở cho Internet phát triển, như vậy môhình TCP/IP chiếm được niềm tin chỉ vì các giao thức của nó Ngược lại, cácmạng thông thường không được xây dựng dựa trên nền OSI, ngay cả khi môhình OSI được dùng như một hướng dẫn Nói cách khác nó là một văn phạmnghèo và có thiếu sót

1.5 Địa chỉ IPV4

- Định nghĩa địa chỉ IP :là địa chỉ có cấu trúc với một con số, có kích thước

32 bit, được chia thành 4 phần, mỗi phần 8 bit gọi là octet hoặc byte Mục đích

Địa chỉ IP được chia làm hai phần: Một phần dùng để định danh địa chỉmạng gọi là NET ID và một phần để định danh địa chỉ các trạm làm việc trênmạng đó gọi là HOST ID.

Các lớp mạng (Network class) xác định số bit được dành cho mỗi phầnmạng và phần host Do tổ chức và độ lớn của các mạng con của liên mạng cóthể khác nhau người ta chia các địa chỉ IP thành 5 lớp A, B, C, D, E trong đó 3lớp đầu được dùng với mục đích thông thường, còn 2 lớp D và E được dùngtrong mục đích đặc biệt và tương lai Cấu trúc của từng lớp được xác định nhưsau:

Class A: Dành 1 octet cho phần NET ID và 3 octet cho phần HOST ID Bitđầu tiên của octet đầu tiên phải là bit 0 Phần NET ID còn lại 7 bit tức là ta có27=128 mạng Bỏ đi hai trường hợp đặc biệt là toàn bit 0 và toàn bit 1 nên lớp

16 bit 16 bitClass C: Dành 3 octet cho phần NET ID và 1 octet cho phần HOST ID 3bit đầu tiên của octet đầu tiên phải là bit 110 Phần NET ID còn lại 21 bit tức là

ta có 221=2097152 mạng Bỏ đi hai trường hợp đặc biệt là toàn bit 0 và toàn bit

Class E: Dự phòng để dùng trong tương lai

Như vậy địa chỉ mạng cho từng lớp như sau:

- Class A: 1.0.0.0 đến 126.0.0.0

- Địa chỉ mạng là 127.0.0.0 được gọi là địa chỉ Loopback được thiết kế cho mỗimáy, thường dùng cho việc tự kiểm tra mà không ảnh hưởng đến giao dịch trên

- Class B: 128.0.0.0 đến 191.255.0.0

- Class C: 192.0.0.0 đến 223.255.255.0

Chương II: Lý thuyết về mạng không dây

2.1 Khái niệm mạng không dây là gì ?

Mạng không dây được phát triển dựa trên tiêu chuẩn 802.11a, và được sửdụng nhiều ở truyền thông không dây Mạng không dây cung cấp kết nối khôngdây tới các điểm truy cập

Mạng không dây xây dựng nhiều kết nối giữa nơi phát và nơi thu để đảm bảoquá trình truyền được thông suất và nhanh

2.2 Ưu nhược điểm của mạng không dây

2.2.1.Ưu điểm

- Có tính cơ động cao : đây là đặc điểm khác biệt nhất của mạng Wireless Lan

so với mạng LAN Các trạm (PDA,laptop,PC…) trong mạng có thể dichuyển linh hoạt trong phạm vi phủ sóng.Hơn thế nữa nếu có nhiều mạngcác máy trạm sẽ tự động chuyển kết nối từ mạng này sang mạng khác,điềunày rất thuận tiện cho những ai thường xuyên di chuyển để làm việc hay đicông tác

- Mạng không dây dễ dàng cung cấp kết nối ở nơi mà khó cho việc kéo dâycáp như vùng núi, vùng sâu, hải đảo, vùng sâu vùng xa

- Truy cập ở mọi nơi trong phạm vi của mạng

- Bạn có thể kết nối với Internet thông qua mạng không dây cục bộ (WirelessLan) ngay tại các địa điểm công cộng như sân bay, thư viện, trường học,hoặc ngay cả trong quán café…

- Việc cài đặt nhanh gọn, dễ dàng và không phải lắp ráp xuyên qua tường haytrần nhà

2.2.2.Nhược điểm

- Một số thiết bị điện tử có thể làm nhiễu mạng : do việc truyền thông qua môitrường sóng nên sẽ có rũi ro nhiễu từ các sản phẩm khác sử dụng chung mộttần số

- Số lượng máy tính trong mạng tăng lên sẽ làm cho băng thông giảm xuống,truy cập mạng sẽ chậm

- Tiêu chuẩn mạng thay đổi trong khi các điểm truy cập không có sự thay đổi

sẽ tạo ra lỗi khi truyền dữ liệu

- Vấn đề bảo mật đưa ra là rất lớn, và khó có thể đạt được những kỳ vọng

2.3.So sánh mạng không dây và mạng có dây

- Chủ yếu là trong mô hình mạng nhỏ

và trung bình, với những mô hình lớnphải kết hợp với mạng có dây

- Có thể triển khai ở những nơi khôngthuận tiện về địa hình, không ổn định,

dây, đường truyền

2.3.2 Độ phức tạp kỹ thuật.

- Độ phức tạp kỹ thuật tuỳ thuộc từng

2.3.3 Độ tin cậy.

- Khả năng chịu ảnh hưởng khách

quan bên ngoài như thời tiết,

khí hậu tốt

- Chịu nhiều cuộc tấn công đa

dạng, phức tạp, nguy hiểm của

những kẻ phá hoại vô tình và

cố tình

- Ít nguy cơ ảnh hưởng sức khoẻ.

- Bị ảnh hưởng bởi các yếu tố bên

ngoài như môi trường truyền sóng,cản nhiễu do thời tiết

- Chịu nhiều cuộc tấn công đa dạng,phức tạp, nguy hiểm của những kẻphá hoại vô tình và cố tình, nguy cơcao hơn mạng có dây

- Còn đang tiếp tục phân tích về khảnăng ảnh hưởng đến sức khoẻ

2.3.4 Lắp đặt , triển khai.

- Lắp đặt, triển khai tốn nhiều thời

gian và chi phí

- Lắp đặt, triển khai hệ thống dễ dàng,

đơn giản, nhanh chóng

2.3.5 Tính linh hoạt, khả năng thay đổi, phát triển.

- Giá cả tuỳ thuộc vào từng mô hình

mạng cụ thể

- Thường thì giá thành thiết bị cao

hơn so với của mạng có dây Nhưng

xu hướng hiện nay là càng ngày cànggiảm sự chênh lệch về giá

2.4 Các loại mạng không dây và tiêu chuẩn

2.4.1 Các loại mạng không dây

- Mạng không dây PAN:

Mạng cá nhân không dây (WPANs) các thiết bị kết nối trong khu vực tương đốinhỏ, ví dụ blutooth, hồng ngoại kết nối WPAN với thiết bị tai nghe

- Mạng LAN không dây:

Mạng cục bộ không dây (WLAN) liên kết hai hay nhiều thiết bị trên mộtkhoảng cách ngắn sử dụng phương pháp phân phối không dây Thường cungcấp một kết nối thông qua một điểm truy cập để truy cập Internet Mạng này sửdụng tiêu chuẩn 802.11 và công nghệ point to point liên kết giữa các máy tínhhoặc tại hai địa điểm xa nhau.

- Mạng lưới không dây:

Một mạng lưới không dây là một mạng không dây tạo thành các nút đài phátthanh, tổ chức trong một vùng mạng lưới Mỗi nút chuyển tiếp thay cho các nútkhác Các nút mạng lưới có thể tự động tái định tuyến xung quanh một nút đã bịmất điện

- Mạng MAN không dây:

Mạng không dây khu vực đô thị là một loại mạng không dây kết nối nhiều mạngLAN không dây WIMAX là một loại mạng MAN không dây và được mô tả bởitiêu chuẩn IEEE 802.16

- WAN không dây:

Mạng không dây diện rộng là mạng không dây thường bao gồm khu vực rộnglớn, chẳng hạn như giữa các vùng lân cận, thanh phố, thành phố và cùng lâncận Các mạng này có thể được sử dụng kết nối các văn phòng chi nhánh củadoanh nghiệp hoặc của hệ thông truy cập Internet công cộng

2.4.2 Các mô hình kết nối mạng

Mạng không dây gồm có 4 thành phần: đường truyền tốc độ cao, một cổngmạng, một mạng không dây và người dùng Người dùng sẽ kết nối với mạngkhông dây qua cổng mạng và sau đó khởi chạy trình duyệt internet

- Đường truyền tốc độ cao: là một sự kết nối internet băng thông rộng Việckết nối này sẽ nhanh hơn dịch vụ kết nối quay số.

- Cổng mạng: nó hoạt động như một cái cổng thực sự, nó có nhiệm vụ làngăn chặn những người truy cập vào mạng không dây của bạn mà không đượcphép

- Mạng không dây: là một hệ thống kết nối máy tính của bạn với các thiết bịkhác bằng sóng vô tuyến thay vì dây dẫn

- Người dùng: là người có máy tính và 1 adapter không dây là nhữngphương tiện để họ truy cập vào mạng không dây

2.4.3.Các tiêu chuẩn mạng không dây

- Chuẩn 802.11a :

IEEE đã mở rộng tiêu chuẩn thứ cấp cho chuẩn 802.11 là 802.11a Do 802.11a

có chi phí cao nên chỉ tìm thấy trên mạng doanh nghiệp Băng thông trên54Mbps và tín hiệu trong một phổ tần số khoảng 5Ghz

- Chuẩn 802.11b :

Được mở rộng trên tiêu chuẩn 802.11 Tiêu chuẩn 802.11b sử dụng không kiểmsoat tín hiệu vô tuyến truyền tín hiệu (2,4 GHz) cũng giống như chuẩn ban đâu802.11 tiêu chuẩn 802.11b có chi phí thấp, tín hiệu vô tuyến tốt và không dễ bịcản trở nên được sử dụng rộng rãi Mặc dù vậy, tốc độ tối đa thấp nhất, thiết bịgia dụng có thể ảnh hưởng trên băng tần không được kiểm soát

- Chuẩn 802.11g :

Được sử dụng trong mạng WLAN, là sự kết hợp của 802.11a và 802.11b vớibăng thông lên đến 54Mpbs, sử dụng tần số 2,4Ghz để có phạm vi rộng Tiêuchuẩn 802.11g có tốc độ cao, phạm vi tín hiệu tốt, nhưng giá thành dắt hơn802.11b và các thiết bị có thể can thiệp vào tín hiệu tần số không được kiểmsoát.

- Chuẩn 802.16 :

Là hệ thống tiêu chuẩn truy cập không dây băng thông rộng, cung cấp đặc tảchính thức cho các mạng MAN không dây băng thông rộng triển khai trên toàncầu Tiêu chuẩn này còn được gọi là WirelessMAN (WMAN)

- Chuẩn Bluetooth :

Cung cấp với khoảng cách ngắn (dưới 10m) cà có băng thông nhỏ (1-3Mpbs) vàđược thiết kế cho các thiết bị nguồn yếu như các thiết bị cầm tay.Các tiêu chuẩnmạng không dây

2.5 Bảo mật trong mạng không dây

2.5.1.2 Cơ chế hoạt động

`

CRC-32 (cyclic redundancy check) là một loại hàm băm, được sử dụng để sinh

ra giá trị kiểm thử, của một chuỗi bit có chiều dài 32 bit, của các gói tin vận lỗikhi dữ liệu được truyền hay lưu vào thiết bị lưu trữ Giá trị của CRC sẽ được

lưu vào trong ICV và ICV sẽ đính kèm cuối của khung dữ liệu (data).24bitvecto khởi tạo (IV: intilialization vecto) kết hợp với khóa WEP (được lấy từ nơilưu trữ khóa) để tạo ra một chìa khóa có độ dài 64bit làm đầu vào cho RC4 đểtạo ra một dãy các bit ngẫu nhiên (Keystream).Sau đó, dãy các bit được XORvới dữ liệu và ICV tạo ra dữ liệu được mã hóa IV và dữ diệu mã hóa được đưavào khung MAC để truyền đi.

2.5.1.3 Điểm hở trong bảo mật bằng WEP

- Khóa bảo mật có chiều dài 64bit, điều này sẽ dễ dàng cho các hacker sửdụng biện pháp tấn công vét cạn để tìm ra khóa

- Mã hóa sử dụng thuật toán mã hóa dòng bit RC4, vì vậy cần đảm bảo chocác dữ liệu giống nhau sẽ không cho ra kết quả giống nhau Chính vì vậy, mộtgiá trị IV ( vecto khởi tạo) được sinh ra ngẫu nhiên và cộng thêm vào với khóa

để tạo ra các khóa khác nhau cho mỗi lần mã hóa Do giá trị IV không được mãhóa và đặt trong header của gói dữ liệu, nên bất cứ ai lấy được dữ liệu trênmạng đều có thể thấy được Với các giá trị IV được sử dụng với cùng một khóatrên một gói dữ liệu mã hóa ( gọi là va chạm IV), hacker có thể bắt gói dữ liệu

và tìm ra khóa WEP

2.5.1.4 Cách tấn công

Đầu tiên, bắt đầu với thiết bị mạng không dây (như modem) đưa vào kênhtruyền

Kiểm tra tín hiệu của thiết bị mạng không dây ở điểm truy cập

Sử dụng công cụ giống như Airplay để giả mạo xác thực tới điểm truy cập.Wifi bắt đầu đi vào công cụ như Airodum hoặc CAIN &Abel với bộ lọc ID để

Công cụ mã hóa các gói wifi bắt đầu như Airplay trong ARP được gửi đi để lấytín hiệu trong các gói.

Chạy công cụ phá khóa như CAIN&Abel hoặc aircrack để giải mã hóa key từcác IV

2.5.1.5 Biện pháp chống tấn công

Sử dụng khóa Web có độ dài 128 bit (khóa web cho phép sử dụng khóa dài40bit, 64bit, 128bit) Sử dụng khóa 128 bit gia tăng số lượng gói dữ liệu ,hacker cần phải phân tích IV, gây khó khăn và kéo dài thời gian mã hóa WEP.Thay đổi khóa WEP định kỳ: do wep không hỗ trợ phương thức thay đổi khóa

tự động nên chúng ta cần phải tự thay đổi khóa cho mình, để tránh tình trạng bị

lộ khóa

Sử dụng các công cụ theo dõi số liệu thống kê trên đường truyền không dây: docác công cụ dò khóa wep cần bắt được thông số lượng gói dữ liệu và hacker cóthể phải sử dụng các công cụ phát sinh dữ liệu nên sự biến đổi về lưu lượng dữliệu có thể là dấu hiệu của một cuộc tấn công wep Điều đó, giúp các nhà quảntrị mạng phát hiện và có biện pháp phòng chống kịp thời

2.5.2 Bảo mật bằng WAP và WAP2

Mã hóa key temporal, truyền địa chỉ, và TKIP đếm liên tục được sử dụng như

dữ liệu vào để RC4 sinh ra dãy khóa

MAC Service Data Unit (MSDU ) và hộp thoại kiểm tra tính toàn vẹn (MIC)được tổ hợp sử dụng thuật toán Michael

Tổ hợp của MSDU và MIC được cắt nhỏ để sinh ra MAC protocol data unit(MPDU)

32bit kiểm tra tính toàn vẹn ICV được tính toán cho MPDU.

Tổ hợp của MPDU và ICV được phân theo từng bit xor với dãy khóa để sinh ra

Các gói nhỏ nối tiếp (PN) bao gồm đầu CCMP đến bảo vệ thêm lần nữa chốngtấn công trở lại PN và các phần của phần đầu địa chỉ MAC được sử dụng để tạo

ra trong đợt này mà được sử dụng sử lý mã hóa CCM

2.5.2.3 Cách tấn công

WPA PSK: sử dụng password do người sử dụng cài đặt để chạy TKIP, màkhông khả dụng cho việc phá khóa giống như các gói key nhưng các key có thểbrute-force sử dụng tấn công lần lượt theo từ điển

Brute-force WPA keys: bạn có thể sử dụng công cụ như aircrack, airplay,Kismac để giải mã khoa WPA

Tấn công độc lập (offline attack): bạn chỉ phải ở gần các điểm truy cập và mấtvài giây để lấy được xác thực WPA/WPA2 các thiết bị cầm tay, do lấy đượcđúng các kiểu gói dữ liệu, bạn có thể phá khóa WPA một cách độc lập

Tấn công không xác thực(de-authentication attack): bắt buộc kết nối tới ngườidùng để ngắt kết nối, sau đó chiếm các kênh không kết nối và xác thực các gói

sử dụng công cụ như airplay, bạn có thể ngăn xác thực trong một vài giây sau

đó cố gắng giải mã bằng từ điển PMK

2.5.2.4 Biện pháp chống tấn công

Pasphrases: con đường để phá WPA là kiểm tra password PMK với các thiết bịcầm tay sử lý xác thực, và nếu Password được làm phức tạp thêm thì sẽ khó cóthể phá giải

Passphrase complexity: lựa chọn ngẫu nhiên các passphrase mà không có trong

từ điển Lựa chọn các pass rắc rối có hơn 20 ký tự trở lên và thay đổi thườngxuyên

Client setting (cài đặt người dùng): Chỉ sử dụng WPA2 với mã hóaAES/CCMP Do người dùng cài đặt (làm đúng theo server, đúng địa chỉ, khôngthúc giục các server mới).

Additional Controls (tăng thêm điều khiển): sử dụng mạng cá nhân( VPN)giống như điều khiển truy từ xa truy nhập VPN Công cụ điều khiển truy nhậpmạng(NAC) hoặc bảo vệ truy cập mạng (NAP) là giải pháp cho điều khiển thêmcác kết nối sử dụng

2.6 Bảo mật bằng lọc địa chỉ MAC

2.6.1 Định nghĩa

Trong mô hình OSI (Open Systems Interconnection) hay mô hình tham chiếukết nối các hệ thống mở thì địa chỉ MAC (Media Access Control) nằm ở lớp 2(lớp liên kết dữ liệu hay Data Link Layer) Nói một cách đơn giản, địa chỉ MAC

là địa chỉ vật lý hay còn gọi là số nhận dạng (Identification number) của thiết bị.Mỗi thiết bị (card mạng, modem, router ) được nhà sản xuất (NSX) chỉ định vàgán sẵn 1 địa chỉ nhất định; thường được viết theo 2 dạng:MM:MM:MM:SS:SS:SS (cách nhau bởi dấu :) hay MM-MM-MM-SS-SS-SS(cách nhau bởi dấu -) Địa chỉ MAC là một số 48 bit được biểu diễn bằng 12 sốhexa (hệ số thập lục phân), trong đó 24bit đầu (MM:MM:MM) là mã số củaNSX (Linksys, 3COM ) và 24 bit sau (SS:SS:SS) là số seri của từng card mạngđược NSX gán Như vậy sẽ không xảy ra trường hợp hai thiết bị trùng nhau địachỉ vật lý vì số nhận dạng ID này đã được lưu trong chip ROM trên mỗi thiết bịtrong quá trình sản xuất, người dùng không thể thay đổi được

2.6.2 Cách lọc địa chỉ MAC

Nếu ta cần thêm một thiết bị mới vào hệ thống, ta cần phải biết địa chỉ củathiết bị này trước Địa chỉ này thường được in ngay trên mặt ngoài của sảnphẩm, nhưng cũng có ngoại lệ Trong một số sản phẩm như điện thoại di động,địa chỉ MAC có thể tìm thấy thông qua phần mềm của điện thoại, nhưng có một

số sản phẩm, việc tìm thấy địa chỉ MAC rất khó khăn

Phương án cuối cùng có thể thực hiện là ta có thể tạm thời tắt tính năng lọc địachỉ MAC, cho phép thiết bị mới kết nối vào, và lấy địa chỉ MAC của thiết bịnày từ danh sách thiết bị kết nối trong trình quản lý truy cập của AP

Để thêm một địa chỉ MAC của thiết bị mới vào mạng Wi-Fi, ta đăng nhập vàotrình quản lý thiết bị, mở mục Wireless MAC Filter và nhập địa chỉ MAC củathiết bị đó vào Trước đó, ta nên kích hoạt (Enabled) chức năng Wireless MACFilter và chọn chế độ tạo danh sách đen hay danh sách an toàn

Thực tế cho thấy, nếu ta là người quản lý mạng không dây và biết địa chỉ MACcủa thiết bị đang kết nối vào mạng và các máy này truy cập mạng thường xuyênthì lọc địa chỉ MAC là một lớp bảo mật dễ triển khai

2.6.3 Chức năng của phương pháp bảo mật bằng lọc địa chỉ MAC

Quản lý kết nối không dây trên Access Point, Router Hầu hết các Access Point(AP) và router đều có tính năng quản lý kết nối nhằm tăng cường khả năng bảomật cho mạng Wi-Fi Mặc định tính năng này là tắt nên bất kỳ máy khách nàocũng có thể truy cập vào mạng nếu dò được tên mạng (hay còn gọi là SSID) vàmật khẩu mã hóa Để kích hoạt chức năng lọc địa chỉ MAC, trước tiên bạn cầnthu thập địa chỉ MAC của từng máy khách (xem lại phần Tìm địa chỉ MAC) chophép kết nối tới mạng Wi-Fi Sau đó, bạn chỉ cần điền chúng vào mục lọc địachỉ MAC trên AP hoặc router, nhấn Ok để xác nhận việc cập nhật danh sách.Sau khi thiết lập, các máy khách không có tên (địa chỉ MAC) trong danh sách sẽkhông được phép đăng nhập mạng

2.7 Các loại tấn công mạng không dây

2.7.1 Tấn công bị động

2.7.1.1 Định nghĩa

Tấn công bị động hay nghe lén là kiểu tấn công không tác động trực tiếpvào thiết bị nào trên mạng, không làm cho các thiết bị trên mạng biết được hoạtđộng của nó vì thế kiểu tấn công này rất khó phát hiện Các phương thức thườngdùng trong tấn công bị động như: nghe trộm, phân tích luồng thông tin

2.7.1.2 Cơ chế hoạt động và biện pháp ngăn chặn

Sử dụng cơ chế bắt gói tin – Sniffing để lấy trộm thông tin khi đặt mộtthiết bị thu nằm trong vùng phủ sóng Tấn công kiểu bắt gói tin khó bị phát hiện

ra sự có mặt của thiết bị bắt gói tin nếu thiết bị đó không thực sự kết nối tới AP

Có nhiều ứng dụng bắt gói tin có khả năng thu thập được password từ những địachỉ HTTP, email, phiên làm viêc FTP, telnet Những kiểu kết nối trên đềutruyền password theo dạng clear text( không mã hóa) Có nhiều ứng dụng có thểlấy được password trên mạng không dây của quá trình trao đổi giữa Client vàServer khi đang thực hiện quá trình đăng nhập Việc bắt gói tin giúp kẻ tấn công

có thể nắm được thông tin, phân tích được lưu lượng của mạng và nó còn giántiếp làm tiền đề cho các phương thức tấn công phá hoại khác

Biện pháp đối phó: vì bắt gói tin là phương thức tấn công kiểu bị động nênrất khó phát hiện và do đăc điểm truyền sóng trong không gian nên không thểphòng ngừa việc nghe trộm của hacker Giải pháp đề ra là nâng cao khả năng

mã hóa thông tin sao cho kẻ tấn công không thể giải mã được, khi đó thông tinlấy được sẽ không có giá trị với hacker

2.7.2 Tấn công chủ động

2.7.2.1 Định nghĩa

Tấn công chủ động là tấn công trực tiếp vào các thiết bị trên mạng như AP.Cuộc tấn công chủ động có thể được dùng để tìm cách truy cập tới một server

để thăm dò, lấy những dữ liệu quan trọng, thậm chí làm thay đổi cấu hình cơ sở

hạ tầng mạng Kiểu tấn công này dễ phát hiện nhưng khả năng phá hoại của nórất nhanh

2.7.2.2.Cơ chế thực hiện và biện pháp ngăn chặn

Kiểu tấn công cụ thể: Mạo danh, truy cập trái phép

Một trong những cách phổ biến là một máy tính tấn công bên ngoài giả mạo làmáy tính trong mạng rồi xin kết nối vào mạng để rồi truy cập trái phép nguồntài nguyên trên mạng Hacker sẽ giả mạo địa chỉ MAC, địa chỉ IP của thiết bịmạng trên máy tính của mình thành các giá trị của máy tính đang sử dụng trongmạng, làm cho hệ thống hiểu nhầm và cho phép kết nối Các thông tin về địa chịMAC, IP cần giả mạo có thể thu thập được từ việc bắt trộm các gói tin trênmạng Việc thay đổi địa chỉ MAC của card mạng không dây có thể thực hiện dễdàng trên hệ điều hành Windows, UNIX