Đang tải... (xem toàn văn)
MỤC LỤC LỜI CẢM ƠN 1 MỤC LỤC 2 MỞ ĐẦU 1 1. Lý do chọn đề tài 1 2. Tính cấp thiết của đề tài: 1 3. Nơi thực hiện đồ án: 1 CHƯƠNG I TỔNG QUAN VỀ MẠNG KHÔNG DÂY WIRELESS LAN (WLAN) 2 1.1 Giới thiệu chung 2 1.1.1 Khái niệm 2 1.1.2 Quá trình phát triển 3 1.1.3 Ưu nhược điểm của mạng WLA 4 1.2. Các chế độ làm việc của mạng WLAN 5 1.2.1. Chế độ Adhoc 5 1.2.2. Chế độ Infrastructure 6 1.2.3. Chế độ Hybrid 6 CHƯƠNG II CHUẨN IEEE 802.11 8 2.1 Giới thiệu bộ tiêu chuẩn IEEE 802.11 8 2.1.1. Nhóm vật lý PHY 8 2.1.2 Nhóm liên kết dữ liệu MAC 11 2.2. Một số cơ chế được sử dụng khi trao đổi thông tin trong mạng 12 2.2.1. Cơ chế báo nhận ACK (Acknowledgement) 12 2.2.2. Cơ chế CSMACA (Carrier Sense Multiple AccessCollISIon Avoidance) 13 2.2.3. Cơ chế RTSCTS (Request to SendClear to Send) 14 CHƯƠNG III CÁC KỸ THUẬT TẤN CÔNG WLAN BIỆN PHÁP NGĂN CHẶN 15 3.1. Cơ sở tiến hành tấn công 15 3.1.1. Tìm hiểu mô hình TCPIP 15 3.1.2. Các nhược điểm về bảo mật trong mạng WLAN 18 3.2. Các kiểu tấn công trong mạng WLAN 21 3.2.1. Tấn công bị động (Passive Attack) 21 3.2.2. Tấn công chủ động (Active Attack) 24 3.2.3. Tấn công kiểu gây nghẽn, chèn ép (Jamming Attack) 30 3.2.4. Tấn công kiểu người đứng giữa (Maninthemiddle Attack) 31 CHƯƠNG 4: BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY 35 4.1. Mối nguy hiểm, sự đe dọa đối với WLAN 35 4.2. Các phương thức, kỹ thuật bảo mật trong mạng WLAN 35 4.2.1. Các kỹ thuật bảo mật sử dụng cơ chế điều khiển truy nhập (Device Authorization) 37 4.2.2. Các kỹ thuật bảo mật sử dụng phương thức mã hóa Encryption 41 4.2.3 Bảo mật WPA 54 4.2.4 Bảo mật WPA2 69 4.2.5 Phương thức bảo mật sử dụng công nghệ tường lửa Firewall 72 4.2.6. Phương thức bảo mật sử dụng VPN (Virtual Private Network) 74 4.2.7 Hệ thống phát hiện xâm nhập không dây (Wireless IDS) cho mạng WLAN 76 4.3. Xây dựng mạng WLAN an toàn 78 4.3.1. Bảo mật cho mạng WLAN của gia đình và các văn phòng nhỏ 79 4.3.2. Bảo mật mạng WLAN cho các doanh nghiệp nhỏ 79 4.3.3. Bảo mật mạng WLAN cho doanh nghiệp vừa và lớn 80 4.3.4. Mức độ bảo mật cao nhất của mạng WLAN áp dụng cho quân sự 81 4.4 Khảo sát thực trạng và giải pháp bảo mật 82 4.4.1 Khảo sát thực trạng 82 4.4.2 Giải pháp bảo mật 83 4.4.3 Các bước thực thi an toàn bảo mật cho hệ thống 85 KẾT LUẬN 87 TÀI LIỆU THAM KHẢO 88
LỜI CẢM ƠN Để hoàn thành khóa luận “An ninh mạng không dây”, em xin chân thành cảm ơn thầy cô giáo tận tình hướng dẫn, giảng dạy suốt trình học tập, nghiên cứu, rèn luyện Trường Đại học Tài nguyên Môi trường Hà Nội Xin chân thành cảm ơn giảng viên hướng dẫn thạc sĩ Nguyễn Thùy Dung tận tình, chu đáo hướng dẫn em thực đồ án Mặc dù có nhiều cố gắng để thực đề tài cách hoàn chỉnh Song hạn chế kiến thức kinh nghiệm nên tránh khỏi thiếu sót định mà thân chưa thấy Em mong nhận góp ý quý thầy, cô giáo bạn để đồ án hoàn chỉnh Em xin chân thành cảm ơn ! MỤC LỤC Hình 1.2 Minh họa mạng Infrastructure nhỏ CHƯƠNG 4: BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY 35 4.1 Mối nguy hiểm, đe dọa WLAN .35 Trước tình hình an ninh mạng phức tạp mạng máy tính nói chung mạng WLAN nói riêng đối mặt với mối nguy hiểm, yếu tố gây an toàn như: 35 - Sự cắp thiết bị (LAN có dây hay dây) như: NIC, máy tính, thiết bị đấu nối, chia tách mạng Nếu thiết bị bị đánh cắp gây hư hỏng phần ngưng trệ toàn hệ thống mạng 35 - Nghe lén, bắt giữ điều chỉnh, thay thế, hủy bỏ thông tin, hậu liệu không đảm bảo tính bí mật tính toàn vẹn .35 - Sự giả dạng: Khi giả dạng xảy hai đặc tính liệu tính bí mật tính toàn vẹn bị tổn hại nghiêm trọng .35 - Nhiễu nghẽn mạng: Ảnh hưởng từ nguồn xạ điện từ thiết bị gia dụng: lò vi sóng , thiết bị không dây hoạt động tần số với tần số hoạt động mạng WLAN gây nhiễu làm ảnh hưởng đến mạng WLAN Nhiễu dạng nhiễu ngăn cản STA thu phát tín hiệu từ STA khác, làm xáo trộn thu/phát làm tăng tỉ số lỗi, cản trở tốc độ truyền liệu mạng gây lỗi cho hệ thống thông tin Ngoài ra, nhiễu tạo cách cố ý (từ nút có mục đích xấu) làm xáo trộn trao đổi tin gây nghẽn mạng (Jamming), hậu làm giảm hoạt động mạng WLAN .35 4.2 Các phương thức, kỹ thuật bảo mật mạng WLAN .35 Encryption: WLAN hỗ trợ chuẩn mã hóa WEP, WPA, WPA2 sử dụng mã hóa để bảo vệ cho kết nối không dây .36 Authentication: cho phép Wireless Client thực thành công thủ tục xác thực truy cập vào mạng 36 Firewall: qui định dịch vụ, người sử dụng phép truy cập từ bên hệ thống mạng bên ngược lại 36 VPN (Virtual Private Network): nhiều nhà sản xuất WLAN tích hợp phần mềm máy chủ VPN vào AP gateway cho phép sử dụng công nghệ VPN để bảo mật kết nối không dây 36 Nếu kết hợp thực tốt phương thức bảo mật xây dựng hệ thống bảo mật vững Đó tính toàn diện mô hình Và phần tử bên mô hình cấu hình theo người quản lý mạng để thỏa mãn phù hợp với họ cần Đây tính mở hệ thống bảo mật .36 4.2.1 Các kỹ thuật bảo mật sử dụng chế điều khiển truy nhập (Device Authorization) .37 Tất kỹ thuật sử dụng chế lọc (Filtering) Lọc chế bảo mật kết hợp dùng với WEP AES Lọc tức cho phép mong muốn ngăn cấm không mong muốn Lọc hoạt động giống Access List định tuyến (Router) cách định nghĩa tham số mà Client phải tuân theo để truy cập vào mạng .37 Có kiểu lọc sử dụng Wireless Client: 37 + Lọc SSID 37 + Lọc địa MAC .37 + Lọc giao thức .37 a, Lọc SSID (Service Set Identifier) 37 Lọc SSID phương thức lọc nên sử dụng cho việc điều khiển truy cập Định danh tập dịch vụ SSID thuật ngữ khác để gọi tên mạng SSID chuỗi ký tự số chữ nhất, phân biệt hoa thường, có chiều dài từ đến 32 ký tự sử dụng để định nghĩa vùng xung quanh AP Sự khác SSID AP cho phép chồng chập mạng vô tuyến SSID ý tưởng mật gốc mà client kết nối mạng 37 +Server : 83 Intel ® Pentium™ Xeon 2,2Ghz Ram 2GB 83 Window Server 2003 SP1 .83 + Access Point LinkSys WRT54G 83 + Client Latop satellite with Wireless , Window XP SP2 .83 4.4.2 Giải pháp bảo mật 83 a, Bảo vệ liệu 83 Đây vấn đề đặc biệt quan trọng, toàn sở liệu quản lý đào tạo nhà trường lưu thao tác máy Server trường Bao gồm liệu điểm sinh viên, kế hoạch học tập, thông tin học phí 83 Các liệu phải tuyệt đối an toàn đảm bảo không bị đánh cắp sửa chữa thông tin 83 Hiện biện pháp công ngày tinh vi, đe doạ tới độ an toàn thông tin đến từ nhiều nơi theo nhiều cách khác nhà trường đưa sách phương pháp đề phòng cần thiết Mục đích cuối an toàn bảo mật bảo vệ giá trị thông tin tài nguyên theo yêu cầu sau: .84 Tính tin cậy: Đảm bảo xác thông tin sinh viên hệ thống Đồng thời thông tin bị truy nhập trái phép người thẩm quyền 84 Tính nguyên vẹn: Thông tin bị sửa đổi, bị làm giả người thẩm quyền 84 Tính sẵn sàng: Thông tin sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền có yêu cầu truy nhập thông tin vào thời điểm cần thiết 84 Tính từ chối: Thông tin cam kết mặt pháp luật nhà 84 trường cung cấp 84 Trong yêu cầu này, yêu cầu bảo mật coi yêu cầu số thông tin lưu trữ hệ thống 84 b, Bảo vệ tài nguyên sử dụng mạng: 84 Trên thực tế, công Internet, kẻ công, sau làm chủ hệ thống bên trong, sử dụng máy để phục vụ cho mục đích cài đặt chương trình chạy ẩn để dò mật người sử dụng, ứng dụng liên kết mạng sẵn có để lấy cắp thông tin cần thiết tiếp tục công hệ thống khác vv 84 c, Bảo vệ danh tiếng quan: 84 Một phần lớn công không thông báo rộng rãi, nguyên nhân nỗi lo bị uy tín quan, đặc biệt gây hoang mang không tin tưởng vào thông tin mà nhà trường cung cấp Trong trường hợp bị công gây an toàn liệu tổn thất uy tín lớn để lại hậu lâu dài 84 4.4.3 Các bước thực thi an toàn bảo mật cho hệ thống 85 a, Các hoạt động bảo mật mức .85 Ở mức một, người thực thi bảo mật, quản trị hệ thống mạng thực làm cho môi trường mạng, máy tính bị lỗ hổng bảo mật sửa lỗi sửa lỗi biện pháp kỹ thuật Thực cảnh báo (trực tuyến) để nhắc nhở, thông báo người dùng mạng quy tắc sử dụng truy nhập vào hệ thống mạng trường Xây dựng mạng lưới bảo vệ, lọc, phát tiêu diệt virus, Spyware, Troyjan - tất các máy trạm, máy chủ, cổng kết nối mạng (gateway) Đảm bảo cập nhật thường xuyên phần mềm diệt virus .85 Đảm bảo hệ thống lưu liệu hoạt động định kỳ, tập tin khôi phục từ lưu định kỳ đó, người quản trị hệ thống có đủ kiến thức cập nhật cần thiết để thực lưu tất hệ thống trường hợp bị công Nếu liệu lưu tốt, vấn đề nhỏ an toàn bảo mật trở thành thảm họa 85 Cho phép ghi nhật ký kiện, hoạt động người dùng đăng nhập vào hệ thống Hệ thống chế ghi nhật ký gây khó khăn cho việc phát khắc phục vụ công 85 Thực thi xác thực hệ thống, kiểm tra (audit) để kiểm soát người sử dụng hệ thống Chống lại kẻ công giả danh người sử dụng đăng nhập vào hệ thống chiếm quyền điều khiển hệ thống 85 b, Các hoạt động bảo mật mức hai 85 Các hoạt động an toàn bảo mật mức hai tập trung nhiều vào việc xây dựng sách truy nhập cụ thể người dùng, cho phép không cho phép truy cập vào tài nguyên mạng khác hệ thống Đưa yêu cầu cụ thể người dùng việc đăng ký thông tin cá nhân, đăng ký địa MAC thiết bị truy cập, xây dựng sở liệu tài khoản truy cập để xác thực đăng nhậnp hệ thống Các hoạt động an toàn bảo mật mức hai tập trung vào hiểm họa bắt nguồn từ bên nội có sách giám sát Server chứa thông tin quan trọng, hỗ trợ chức nhiệm vụ quan trọng .85 Trong hệ thống mạng không dây nhà trường xây dựng Server Proxy có cài đặt phần mềm chuyên dụng cho phép phát truy nhập người dùng phép trái phép, lưu phân tích kết truy nhập 86 KẾT LUẬN 87 DANH MỤC BẢNG, HÌNH VẼ Hình 1.2 Minh họa mạng Infrastructure nhỏ CHƯƠNG 4: BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY 35 4.1 Mối nguy hiểm, đe dọa WLAN .35 Trước tình hình an ninh mạng phức tạp mạng máy tính nói chung mạng WLAN nói riêng đối mặt với mối nguy hiểm, yếu tố gây an toàn như: 35 - Sự cắp thiết bị (LAN có dây hay dây) như: NIC, máy tính, thiết bị đấu nối, chia tách mạng Nếu thiết bị bị đánh cắp gây hư hỏng phần ngưng trệ toàn hệ thống mạng 35 - Nghe lén, bắt giữ điều chỉnh, thay thế, hủy bỏ thông tin, hậu liệu không đảm bảo tính bí mật tính toàn vẹn .35 - Sự giả dạng: Khi giả dạng xảy hai đặc tính liệu tính bí mật tính toàn vẹn bị tổn hại nghiêm trọng .35 - Nhiễu nghẽn mạng: Ảnh hưởng từ nguồn xạ điện từ thiết bị gia dụng: lò vi sóng , thiết bị không dây hoạt động tần số với tần số hoạt động mạng WLAN gây nhiễu làm ảnh hưởng đến mạng WLAN Nhiễu dạng nhiễu ngăn cản STA thu phát tín hiệu từ STA khác, làm xáo trộn thu/phát làm tăng tỉ số lỗi, cản trở tốc độ truyền liệu mạng gây lỗi cho hệ thống thông tin Ngoài ra, nhiễu tạo cách cố ý (từ nút có mục đích xấu) làm xáo trộn trao đổi tin gây nghẽn mạng (Jamming), hậu làm giảm hoạt động mạng WLAN .35 4.2 Các phương thức, kỹ thuật bảo mật mạng WLAN .35 Encryption: WLAN hỗ trợ chuẩn mã hóa WEP, WPA, WPA2 sử dụng mã hóa để bảo vệ cho kết nối không dây .36 Authentication: cho phép Wireless Client thực thành công thủ tục xác thực truy cập vào mạng 36 Firewall: qui định dịch vụ, người sử dụng phép truy cập từ bên hệ thống mạng bên ngược lại 36 VPN (Virtual Private Network): nhiều nhà sản xuất WLAN tích hợp phần mềm máy chủ VPN vào AP gateway cho phép sử dụng công nghệ VPN để bảo mật kết nối không dây 36 Nếu kết hợp thực tốt phương thức bảo mật xây dựng hệ thống bảo mật vững Đó tính toàn diện mô hình Và phần tử bên mô hình cấu hình theo người quản lý mạng để thỏa mãn phù hợp với họ cần Đây tính mở hệ thống bảo mật .36 4.2.1 Các kỹ thuật bảo mật sử dụng chế điều khiển truy nhập (Device Authorization) .37 Tất kỹ thuật sử dụng chế lọc (Filtering) Lọc chế bảo mật kết hợp dùng với WEP AES Lọc tức cho phép mong muốn ngăn cấm không mong muốn Lọc hoạt động giống Access List định tuyến (Router) cách định nghĩa tham số mà Client phải tuân theo để truy cập vào mạng .37 Có kiểu lọc sử dụng Wireless Client: 37 + Lọc SSID 37 + Lọc địa MAC .37 + Lọc giao thức .37 a, Lọc SSID (Service Set Identifier) 37 Lọc SSID phương thức lọc nên sử dụng cho việc điều khiển truy cập Định danh tập dịch vụ SSID thuật ngữ khác để gọi tên mạng SSID chuỗi ký tự số chữ nhất, phân biệt hoa thường, có chiều dài từ đến 32 ký tự sử dụng để định nghĩa vùng xung quanh AP Sự khác SSID AP cho phép chồng chập mạng vô tuyến SSID ý tưởng mật gốc mà client kết nối mạng 37 +Server : 83 Intel ® Pentium™ Xeon 2,2Ghz Ram 2GB 83 Window Server 2003 SP1 .83 + Access Point LinkSys WRT54G 83 + Client Latop satellite with Wireless , Window XP SP2 .83 4.4.2 Giải pháp bảo mật 83 a, Bảo vệ liệu 83 Đây vấn đề đặc biệt quan trọng, toàn sở liệu quản lý đào tạo nhà trường lưu thao tác máy Server trường Bao gồm liệu điểm sinh viên, kế hoạch học tập, thông tin học phí 83 Các liệu phải tuyệt đối an toàn đảm bảo không bị đánh cắp sửa chữa thông tin 83 Hiện biện pháp công ngày tinh vi, đe doạ tới độ an toàn thông tin đến từ nhiều nơi theo nhiều cách khác nhà trường đưa sách phương pháp đề phòng cần thiết Mục đích 4.2.6 Phương thức bảo mật sử dụng VPN (Virtual Private Network) Hình 4.29: Giải pháp sử dụng VPN để bảo mật WLAN Công nghệ mạng riêng ảo VPN cung cấp công cụ để truyền liệu cách an toàn thiết bị mạng môi trường truyền không an toàn Mạng riêng ảo VPN bảo vệ mạng WLAN cách tạo kênh che chắn liệu khỏi truy cập trái phép VPN tạo tin cậy cao thông qua việc sử dụng chế bảo mật IPSec (Internet Protocol Security) IPSec dùng thuật toán mạnh Data Encryption Standard (DES) Triple DES (3DES) để mã hóa liệu, dùng thuật toán khác để xác thực gói liệu IPSec sử dụng thẻ xác nhận số để xác nhận khóa mã (public key) Khi sử dụng mạng WLAN, cổng kết nối VPN đảm nhận việc xác thực, đóng gói mã hóa VPN hoạt động cách tạo đường hầm giao thức IP Các lưu lượng bên đường hầm bị mã hóa hoàn toàn bị cách li Công nghệ VPN cung cấp cấp độ cho việc bảo mật: xác thực người dùng, mã hóa xác thực liệu, với giải pháp không mã hóa gói tin mà đưa chúng vào đường hầm riêng truyền Chính lớp bảo mật riêng cung cấp nhiều thuận lợi cho mức truy cập Trước tiên, client phải kết nối (associate) với AP Sau đó, kết nối VPN dial-up phải tạo client truyền lưu lượng qua AP Tất lưu lượng truyền qua đường hầm mã hóa truyền để tăng thêm lớp bảo mật 74 Sử dụng PPTP với mật mã dùng chung (shared secret) đơn giản, dễ cài đặt cung cấp mức bảo mật tốt đặc biệt sử dụng với mã hóa WEP Sử dụng IPSec với mật mã dùng chung hay giấy chứng nhận (Certification) giải pháp khác cho lựa chọn Khi VPN server cài đặt vào Enterprise Gateway tiến trình diễn tương tự ngoại trừ điều sau client kết nối với AP đường hầm VPN thiết lập với gateway với AP Với tất nguy cơ, mối nguy hiểm, đe doạ trình bày trên, người dùng mạng không an tâm hệ thống mạng WLAN định không sử dụng nó? Tuy giải pháp, chế, hệ thống bảo mật có điểm yếu, lỗ hổng riêng, biết kết hợp giải pháp lại, sử dụng cách mềm dẻo tạo giải pháp bảo mật tối ưu, cần thiết đáp ứng nhu cầu bảo mật cho mạng WLAN Trong thực tế, để bảo mật mạng WLAN, người ta thường kết hợp sử dụng nhiều giải pháp bảo mật lại với để tạo thành hệ thống bảo mật đảm bảo, chắn Hình 4.30: Kết hợp nhiều giải pháp bảo mật hệ thống 75 4.2.7 Hệ thống phát xâm nhập không dây (Wireless IDS) cho mạng WLAN IDS(Intrusion Detection System_ hệ thống phát xâm nhập) thống giám sát lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị Ngoài IDS đảm nhận việc phản ứng lại với lưu thông bất thường hay có hại cách hành động thiết lập trước khóa người dùng hay địa IP nguồn truy cập hệ thống mạng,… Trong WLAN, môi trường truyền không khí, thiết bị có hỗ trợ chuẩn 802.11 phạm vi phủ sóng truy cập vào mạng Do cần có giám sát bên bên hệ thống mạng Một hệ thống WIDS thường hệ thống máy tính có phần cứng phần mềm đặc biệt để phát hoạt động bất thường Phần cứng wireless có nhiều tính so với card mạng wireless thông thường, bao gồm việc giám sát tần số sóng (RF_Radio frequency), phát nhiễu,… Một WIDS bao gồm hay nhiều thiết bị lắng nghe để thu thập địa MAC (Media Access Control), SSID, đặc tính thiết lập trạm, tốc độ truyền, kênh tại, trạng thái mã hóa, … Nhiệm vụ WIDS là: + Giám sát phân tích hoạt động người dùng hệ thống + Nhận diện loại công biết + Xác định hoạt động bất thường hệ thống mạng + Xác định sách bảo mật cho WLAN + Thu thập tất truyền thông mạng không dây đưa cảnh báo dựa dấu hiệu biết hay bất thường truyền thông WIDS (Wireless Intrusion Detection System) cấu hình theo mô hình tập trung phân tán 76 Hình 4.31: Mô hình WIDS tập trung Trong mô hình tập trung, phận tập trung thu thập tất liệu tần số 802.11 cảm biến mạng riêng lẻ chuyển chúng tới thiết bị quản lý trung tâm, nơi liệu IDS lưu trữ xử lý để phát xâm nhập Hầu hết IDS tập trung có nhiều cảm biến để phát xâm nhập phạm vi toàn mạng Để thuận tiện, tín hiệu báo động đưa thiết bị quản lý trung tâm, thiết bị dùng quản lý cập nhật cho tất cảm biến Wireless IDS tập trung phù hợp với mạng WLAN phạm vi rộng dễ quản lý hiệu việc xử lý liệu Trong Wireless IDS phân tán bao gồm nhiều thiết bị thực chức cảm biến quản lý Mô hình phù hợp với mạng WLAN nhỏ có AP, Wireless IDS phân tán tất nhiên tiết kiệm chi phí Hình 4.32: Mô hình WIDS phân tán 77 Wireless IDS kiểm tra mạng WLAN cách sử dụng thiết bị kết hợp phần mềm phần cứng, gọi cảm biến phát xâm nhập Cảm biến đứng mạng kiểm tra tất lưu lượng mạng Vì vậy, để triển khai hệ thống WIDS, việc phải xác định nơi tốt để đặt cảm biến Khi ta có cảm biến mạng, cường độ tín hiệu AP điều chỉnh chặn lại để có phạm vi phủ sóng mong muốn, lưu lượng mạng phân tích Nếu có bất thường lưu lượng cảnh báo phát Hệ thống WIDS gửi cảnh báo khi: ♦ AP tải có nhiều trạm kết nối vào ♦ Kênh truyền tải có nhiều AP lưu lượng sử dụng kênh ♦ AP có cấu hình không thích hợp không đồng với AP khác hệ thống mạng ♦ Số lần thực kết nối vào mạng nhiều… Như vậy, việc triển khai thiết bị WIDS áp dụng vào mạng không dây doanh nghiệp thật cần thiết việc phát hiện, ngăn chặn truy cập trái phép vào mạng Cùng với giải pháp bảo mật trên, việc triển khai lắp đặt hệ thống WIDS giúp cho việc bảo mật mạng WLAN trở nên an toàn, hiệu 4.3 Xây dựng mạng WLAN an toàn Việc xây dựng mạng WLAN an toàn tùy thuộc vào nhiều yếu tố như: mức độ rủi ro mà mạng gặp phải; mức độ quản lý; mức độ liệu cần bảo vệ Do đó, cần xây dựng sách bảo mật (security policy) hợp lý, phù hợp với nhu cầu cá nhân, doanh nghiệp Cần phải chia bảo mật mạng WLAN thành nhiều cấp khác từ đưa giải pháp bảo mật thích hợp cho cấp Có thể chia bảo mật mạng WLAN thành mức độ bảo mật khác từ thấp đến cao sau: +) Mức độ 1: Bảo mật mạng WLAN gia đình văn phòng nhỏ 78 +) Mức độ 2: Bảo mật mạng WLAN doanh nghiệp nhỏ +) Mức độ 3: Bảo mật mạng WLAN doanh nghiệp vừa lớn +) Mức độ 4: Bảo mật mạng WLAN dùng cho quân 4.3.1 Bảo mật cho mạng WLAN gia đình văn phòng nhỏ Người sử dụng văn phòng nhỏ hay cấp độ hộ gia đình đủ ngân sách nhân viên quản trị để cài đặt bảo trì hoạt động RADIUS server Do đó, với cấp độ mạng này, lời khuyên đưa sử dụng WPA dùng Pre-Share Key (PSK) password để thực bảo mật cho mạng WLAN Để nâng cấp WPA cho mạng SOHO đơn giản Người sử dụng mua thiết bị có cài đặt WPA cập nhật WPA thiết bị có Việc cập nhật đơn giản việc cài đặt driver cho hardware (card Wireles NIC AP) sau thực cấu hình WPA-PSK AP Client WPA-PSK giải pháp bảo mật tốt bỡi WPA-PSK bị phá cách “tấn công từ điển” Nhưng với mức bảo mật cho mạng gia đình văn phòng nhỏ chúng phù hợp đảm bảo an toàn biện pháp khắc phục cho nhược điểm WPA-PSK nên đặt mật dài (khuyến cáo 20 ký tự) chuỗi số, ký tự ngẫu nhiên khó nhớ 4.3.2 Bảo mật mạng WLAN cho doanh nghiệp nhỏ Đối với mạng WLAN cho doanh nghiệp nhỏ, phải quan tâm đến bảo mật mạng gia đình Vì việc kết hợp nhận thực vào điều khiển truy nhập mạng điều cần thiết Chúng ta dùng chế nhận thực 802.1x PEAP TTLS để làm điều 802.1x hạn chế truy nhập tới lớp liên kết liệu mạng cách cho phép truy nhập đến mạng người sử dụng cung cấp sở nhận thực họ thông qua chế nhận thực mở rộng EAP Để triển khai PEAP TTLS, cần triển khai máy chủ nhận thực RADIUS, với phần mềm quản lý IAS chạy Microsoft Window Server 2003, phần mềm mã mở FreeRADIUS chạy Linux 79 Ngoài ra, để bảo mật mạng tốt, cần kết hợp xác thực với mật mã hóa Lời khuyên đưa cấp độ bảo mật phải sử dụng WPA với TKIP nâng cấp lên sử dụng AES Chỉ có số thiết bị WPA hỗ trợ mã hóa AES tất thiết bị WPA2 hỗ trợ thuật toán mã hóa Do để an toàn cho mạng, doanh nghiệp nên sử dụng sản phẩm hỗ trợ WPA2 (hay 802.11i) Khi đó, có cách để công vào mạng ăn cắp chứng thực (ở lớp - liên kết liệu password) người sử dụng Để làm điều hacker cài đặt vào máy tính chương trình keylog thông qua Virut Worm để ghi lại tất gõ từ bàn phím từ dò password Giải pháp bảo mật lựa chọn tốt cho doanh nghiệp nhỏ Tuy nhiên tổ chức yêu cầu mức độ bảo mật cao không phù hợp cấp độ bảo mật này, password bị làm nguy hiểm đến toàn mạng 4.3.3 Bảo mật mạng WLAN cho doanh nghiệp vừa lớn Bảo mật WLAN cấp độ xây dựng sở với cấp độ 2, an toàn nhiều Hai phương thức nhận thực sử dụng EAP-TLS PEAP-EAP-MSCHAPv2, sử dụng chứng thực “mềm” khóa bí mật lưu máy người sử dụng EAP-TLS sử dụng rộng rãi chúng tương thích với client software cũ cần phần mềm Microsoft Về mã hóa tương tự lời khuyên dành cho cấp độ bảo mật WPA với TKIP phương thức mã hóa tối thiểu khuyên dùng nâng cấp lên AES Rất khó khăn cho hacker xâm nhập vào mạng chúng không cần tìm mật truy cập mạng mà phải biết chứng thực “mềm” người sử dụng Việc lấy chứng thực “mềm” khó khăn nhiều so với việc lấy password 80 4.3.4 Mức độ bảo mật cao mạng WLAN áp dụng cho quân Cấp độ bảo mật xây dựng dựa cấp độ với mục đích chống lại việc ăn cắp chứng thực chương trình keylog hay backdoor Trên người dùng, chứng thực số không lưu ổ đĩa cứng EAP-TLS PEAP-EAP-TLS mà phải lưu modul bảo mật cứng Smartcard, USB, hay thiết bị lưu trữ khác Do đó, không bị lộ việc sử dụng mật mã hay chứng thực “mềm” Thiết bị lưu trữ USB sử dụng nhiều chúng sử dụng với máy tính xách tay không cần có đầu đọc Smartcard Tuy nhiên, nguy hiểm đến có đánh Smartcard, USB Nếu điều xảy ra, người sử dụng loại bỏ chứng thực số khỏi hệ thống nhận thực cách thông báo với nhà quản trị mạng Trong tương lai, nhiều thiết bị lưu trữ USB Smartcard chế tạo tích hợp với đầu đọc dấu vân tay sử dụng chế bảo vệ thiết bị mật Vì chúng trở nên vô dụng trừ hacker có dấu vân tay người sử dụng, hay chúng nghĩ phương pháp phức tạp để giả mạo đánh lừa đầu đọc dấu vân tay Vì thế, cần thiết, người sử dụng sử dụng nhận dạng sinh trắc học (có thể phương pháp bảo vệ cuối cùng), với phương pháp phòng thủ người dùng có đủ thời gian để thu hồi lại chứng thực bị trước xảy truy nhập trái phép tới mạng Thuật toán mã hóa AES phương pháp mã hóa sử dụng cho mức Cùng với sử dụng mã hóa AES, cấp độ bảo mật này, 802.11i yêu cầu sử dụng cho AP, wireless NIC hệ điều hành Hầu hết sản phẩm cũ không hỗ trợ 802.11i, để thiết lập hệ thống bảo mật cấp độ phải mua thiết bị hỗ trợ 802.11i (WPA2), cập nhật firmware, driver cho AP Wireless NIC Lời khuyên đưa sử dụng sản phẩm Cisco, sản phẩm có tính bảo mật trội so với sản phẩm loại thị truờng 81 4.4 Khảo sát thực trạng giải pháp bảo mật 4.4.1 Khảo sát thực trạng Đại học Trưng Vương - Địa chỉ: Khu 7, Kim Long, Tam Dương, Vĩnh Phúc - Mô hình mạng: Hình 4.33: Mô hình mạng trường 82 Máy tính Client gửi yêu cầu kết nối đến AP, AP thu thập yêu cầu Client gửi đến RADIUS server, RADIUS server gửi đến Client yêu cầu nhập username, password, Client gửi user/password đến RADIUS Server, RADIUS server kiểm tra user/password có không, RADIUS server gửi cho Client mã khóa chung Đồng thời RADIUS server gửi cho AP mã khóa đồng thời thông báo với AP quyền phạm vi phép truy cập Client Client AP thực trao đổi thông tin với theo mã khóa cấp - Công cụ môi trường cài đặt : Sử dụng Microsoft's RADIUS Server : máy chủ chạy hệ điều hành Microsoft Windows Server 2000/2003 với việc sử dụng Microsoft’s Internet Authentication Service (IAS) với Microsoft Active Directory - Thiết bị Thử nghiệm +Server : Intel ® Pentium™ Xeon 2,2Ghz Ram 2GB Window Server 2003 SP1 + Access Point LinkSys WRT54G + Client Latop satellite with Wireless , Window XP SP2 4.4.2 Giải pháp bảo mật a, Bảo vệ liệu Đây vấn đề đặc biệt quan trọng, toàn sở liệu quản lý đào tạo nhà trường lưu thao tác máy Server trường Bao gồm liệu điểm sinh viên, kế hoạch học tập, thông tin học phí Các liệu phải tuyệt đối an toàn đảm bảo không bị đánh cắp sửa chữa thông tin 83 Hiện biện pháp công ngày tinh vi, đe doạ tới độ an toàn thông tin đến từ nhiều nơi theo nhiều cách khác nhà trường đưa sách phương pháp đề phòng cần thiết Mục đích cuối an toàn bảo mật bảo vệ giá trị thông tin tài nguyên theo yêu cầu sau: Tính tin cậy: Đảm bảo xác thông tin sinh viên hệ thống Đồng thời thông tin bị truy nhập trái phép người thẩm quyền Tính nguyên vẹn: Thông tin bị sửa đổi, bị làm giả người thẩm quyền Tính sẵn sàng: Thông tin sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền có yêu cầu truy nhập thông tin vào thời điểm cần thiết Tính từ chối: Thông tin cam kết mặt pháp luật nhà trường cung cấp Trong yêu cầu này, yêu cầu bảo mật coi yêu cầu số thông tin lưu trữ hệ thống b, Bảo vệ tài nguyên sử dụng mạng: Trên thực tế, công Internet, kẻ công, sau làm chủ hệ thống bên trong, sử dụng máy để phục vụ cho mục đích cài đặt chương trình chạy ẩn để dò mật người sử dụng, ứng dụng liên kết mạng sẵn có để lấy cắp thông tin cần thiết tiếp tục công hệ thống khác vv c, Bảo vệ danh tiếng quan: Một phần lớn công không thông báo rộng rãi, nguyên nhân nỗi lo bị uy tín quan, đặc biệt gây hoang mang không tin tưởng vào thông tin mà nhà trường cung cấp Trong 84 trường hợp bị công gây an toàn liệu tổn thất uy tín lớn để lại hậu lâu dài 4.4.3 Các bước thực thi an toàn bảo mật cho hệ thống a, Các hoạt động bảo mật mức Ở mức một, người thực thi bảo mật, quản trị hệ thống mạng thực làm cho môi trường mạng, máy tính bị lỗ hổng bảo mật sửa lỗi sửa lỗi biện pháp kỹ thuật Thực cảnh báo (trực tuyến) để nhắc nhở, thông báo người dùng mạng quy tắc sử dụng truy nhập vào hệ thống mạng trường Xây dựng mạng lưới bảo vệ, lọc, phát tiêu diệt virus, Spyware, Troyjan - tất các máy trạm, máy chủ, cổng kết nối mạng (gateway) Đảm bảo cập nhật thường xuyên phần mềm diệt virus Đảm bảo hệ thống lưu liệu hoạt động định kỳ, tập tin khôi phục từ lưu định kỳ đó, người quản trị hệ thống có đủ kiến thức cập nhật cần thiết để thực lưu tất hệ thống trường hợp bị công Nếu liệu lưu tốt, vấn đề nhỏ an toàn bảo mật trở thành thảm họa Cho phép ghi nhật ký kiện, hoạt động người dùng đăng nhập vào hệ thống Hệ thống chế ghi nhật ký gây khó khăn cho việc phát khắc phục vụ công Thực thi xác thực hệ thống, kiểm tra (audit) để kiểm soát người sử dụng hệ thống Chống lại kẻ công giả danh người sử dụng đăng nhập vào hệ thống chiếm quyền điều khiển hệ thống b, Các hoạt động bảo mật mức hai Các hoạt động an toàn bảo mật mức hai tập trung nhiều vào việc xây dựng sách truy nhập cụ thể người dùng, cho phép không cho phép truy cập vào tài nguyên mạng khác hệ thống Đưa yêu 85 cầu cụ thể người dùng việc đăng ký thông tin cá nhân, đăng ký địa MAC thiết bị truy cập, xây dựng sở liệu tài khoản truy cập để xác thực đăng nhậnp hệ thống Các hoạt động an toàn bảo mật mức hai tập trung vào hiểm họa bắt nguồn từ bên nội có sách giám sát Server chứa thông tin quan trọng, hỗ trợ chức nhiệm vụ quan trọng Trong hệ thống mạng không dây nhà trường xây dựng Server Proxy có cài đặt phần mềm chuyên dụng cho phép phát truy nhập người dùng phép trái phép, lưu phân tích kết truy nhập 86 KẾT LUẬN Những kết đạt được: An toàn liệu máy tính vấn đề quan tâm, đặc biệt vấn đề an toàn liệu mạng mà mạng máy tính giai đoạn phát triển mạnh mẽ Mạng LAN không dây 802.11 sử dụng môi trường truyền dẫn không dây điện từ với đặc điểm riêng cần có giải pháp an ninh riêng bên cạnh giải pháp an ninh truyền thống cho mạng hữu tuyến Việc tập trung nghiên cứu, đánh giá mức độ an ninh mạng ý nghĩa riêng lĩnh vực quân sự, kỹ thuật mà tất lĩnh vực áp dụng Do luận văn trước hết thực việc tìm hiểu, phân tích giải pháp an ninh rủi ro từ mạng 802.11 dựa tiêu chí đảm bảo: tính an toàn, tính xác thực, tính toàn vẹn Qua thấy chuẩn an ninh 802.11i với mục tiêu cung cấp giải pháp an ninh cho mạng 802.11 đủ khả để mang lại mã hóa an toàn cho liệu Những vấn đề tồn : Theo hướng tìm hiểu cho thấy phương pháp Rijndael thích hợp cho việc triển khai nhiều hệ thống khác nhau, Ngoài ra, tất bước xử lý việc mã hóa giải mã thiết kế thích hợp với chế xử lý song song nên phương pháp Rijndael chứng tỏ mạnh hệ thống thiết bị Mặc dù vậy, hạn chế mặt thời gian, điều kiện thiết bị, cộng với trình độ có hạn, luận văn chưa tiến hành mặt thực nghiệm mô hình lý thuyết đề xuất Do có đánh giá bước đầu lĩnh vực tìm hiểu Phương pháp Rijndael với mức độ an toàn cao ưu điểm đáng ý khác chắn nhanh chóng áp dụng rộng rãi nhiều ứng dụng hệ thống khác Do đó, tương lai, việc tiếp tục nghiên cứu phương pháp mã hóa vấn đề cần quan tâm mặt lý thuyết lẫn áp dụng hệ thống thực tiễn Kiến nghị : Do nhiều hạn chế kiến thức nên em mong nhận đóng góp ý kiến hội đồng, thầy cô bạn để đồ án hoàn thiện 87 TÀI LIỆU THAM KHẢO • Nguyễn Minh Nhật , Bài giảng An toàn mạng , Khoa Công Nghệ Thông Tin (Đại Học Duy Tân) • Đinh Mạnh Tường Cấu trúc liệu & Thuật toán Chương Nhà xuất khoa học kỹ thuật Hà nội, 2001 • Building A Cisco Wireless LAN (Syngress Publishing 2002) • Andrew S Tanenbaum, Computer Networks, Prentice Hall, New Jersey,Fourth Edition, 2003 • Aho A.V , Hopcroft J.E and Ullman J.D Data Structures and Algorithms Pages: 200-345 Addison-Wesley London, 1983 88