MỤC LỤC MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH 1.1 Sơ lược lịch sử phát triển mạng máy tính .5 1.2 Những khái niệm mạng máy tính 12 1.2.1 Định nghĩa mạng máy tính 12 1.2.2 Phân loại mạng máy tính 14 1.3 Mạng không dây 16 CHƯƠNG 2: MẠNG KHÔNG DÂY BĂNG THÔNG RỘNG 18 2.1 Giới Thiệu Về Wireless LAN (WLAN) 18 2.1.1 Khái niệm Wireless LAN 18 2.1.2 Phân loại mạng Wireless mô hình mạng WLAN 19 2.2 Đặc điểm mạng WLAN .23 2.3 Thiết bị hạ tầng cho mạng WLAN 24 2.3.1 Điểm truy cập Access Point (AP) 24 2.3.2 Các thiết bị máy khách 27 CHƯƠNG 3: VẤN ĐỀ BẢO MẬT VÀ MÃ HÓA 29 3.1 Bảo mật mạng không dây 29 3.1.1 Tại phải bảo mật mạng không dây 29 3.1.2 Bảo mật mạng không dây 30 3.2 Mã hóa .32 3.2.1 Các phương pháp mã hóa thường gặp 35 3.2.2 Giải Pháp WEP tối ưu……………………………………………….42 3.3 Các giải pháp bảo mật bật 39 3.3.1 Giải pháp WLAN VPN (Wireless LAN Virtual Private Network) .39 3.3.2 Giải pháp TKIP (Temporal Key Integrity Protocol) .40 3.3.3 Giải pháp AES (Advanced Encryption Standard) 40 3.3.4 Giải pháp 802.1x Và EAP .41 3.3.5 Giải pháp WPA (Wi-Fi Protected Access) 42 3.3.6 Giải pháp WPA2 .43 3.3.7 Giải pháp lọc traffic (Traffic Filtering) 44 CHƯƠNG 4: CÁC KIỂU TẤN CÔNG TRONG MẠNG WLAN VÀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 46 4.1 Các kiểu công mạng WLAN 46 4.1.1 Access Point giả mạo (Rogue Access Point) 46 4.1.2 Tấn công yêu cầu xác thực lại (De-Authentication Flood Attack) 48 4.1.3 Làm giả Access Point (Fake Accesst Point) 49 4.1.4 Tấn công dựa cảm nhận sóng mạng lớp vật lý 49 4.1.5 Tấn công làm ngắt kết nối (Disassociation Flood) 50 4.2 Hệ thống phát xâm nhập IDS (Intrusion Detection System) 51 4.2.1 Khái niệm IDS 52 4.2.2 Phân loại IDS: 53 4.2.3 Các cách thức xử lý liệu hệ thống phát xâm nhập 55 4.3 Hệ thống Wireless IDS: 57 4.3.1 Định nghĩa Wireless IDS (WIDS) 57 4.3.2 Nhiệm vụ WIDS .58 4.3.3 Mô hình hoạt động: 58 4.3.4 Giám sát lưu lượng mạng (Traffic Monitoring) .59 CHƯƠNG 5: THỰC HÀNH CÀI ĐẶT CẤU HÌNH VÀ THIẾT LẬP CÁC THÔNG SỐ BẢO MẬT TRÊN ACCESS POINT 61 5.1 Cấu hình bảo mật cho AP 61 5.2 Thẻ Basic 61 5.3 Thẻ Wireless 62 5.4 Thẻ Security 65 5.5 Thẻ Access Restrictions .66 5.6 Thẻ Applications & Gaming 66 5.7 Thẻ Administration 67 5.8 Thẻ Status 69 KẾT LUẬN 70 PHỤ LỤC 71 MỞ ĐẦU Ngày mạng không dây trở nên phổ biến tổ chức, doanh nghiệp cá nhân Chính tiện lợi mạng không dây: dễ cài đặt, tính thẩm mỹ cao, không giới hạn số lượng truy cập, không bị khống chế không gian, vị trí,… mạng có dây, với gia tăng không ngừng số lượng người sử dụng thiết bị di động laptop, điện thoại tích hợp Wifi, handheld PC,… nên dần thay cho hệ thống mạng có dây truyền thống Mạng không dây đời từ lâu thực phát triển từ năm 2004 có phát triển vượt bậc Vấn đề cấu trúc mạng không dây dùng không khí làm môi trường truyền thông nên thân gặp nhiều vấn đề bảo mật Do vấn đề thích hợp cho sinh viên tìm hiểu nghiên cứu nên chọn công việc cài đặt bảo mật thiết bị Router Wireless mạng không dây làm đề tài nghiên cứu với hướng dẫn cùa thầy giáo ThS Vũ Đức Thái Mục đích nghiên cứu đề tài bao gồm: - Tìm hiểu mạng không dây băng thông rộng WLAN - Các thành phần cấu trúc mạng WLAN - Các phương thức mã hóa bảo mật mạng WLAN - Đánh giá phương pháp xâm nhập, công hệ thống mạng WLAN hệ thống phát xâm nhập (IDS - Intrusion Detection System) - Thực hành cài đặt cấu hình cho Router Wireless mà hướng tập trung chủ yếu cấu hình bảo mật Đề tài thực mục đích ban đầu đề mà tập trung chủ yếu vào phần quan trọng thiết lập cấu hình bảo mật cho Router Wireless hay Access Point Tôi dự định cấu hình mức bảo mật cao cho mạng Wireless Radius Server điều kiện thiết bị tự tìm hiểu phần Và dừng lại mức thiết lập cấu hình cho AP dù muốn xây dựng hệ thống mạng Wireless rộng (ở mức độ công ty, khách sạn hay tòa cao ốc) bao gồm nhiều AP tạo thành mạng lưới mạng Wireless dạng MESH Mặc dù có nhiều cố gắng với thời gian trình độ có hạn nên đề tài chắn không tránh khỏi thiếu sót, mong nhận ý kiến đóng góp thầy cô giáo bạn để đề tài hoàn thiện CHƯƠNG TỔNG QUAN VỀ MẠNG MÁY TÍNH 1.1 Sơ lược lịch sử phát triển mạng máy tính Vào năm 50 hệ máy tính đưa vào hoạt động thực tế với bóng đèn điện tử chúng có kích thước cồng kềnh tốn nhiều lượng Khi việc nhập liệu vào máy tính thông qua bìa mà người viết chương trình đục lỗ sẵn Mỗi bìa tương đương với dòng lệnh mà cột có chứa tất ký tự cần thiết mà người viết chương trình phải đục lỗ vào ký tự lựa chọn Các bìa đưa vào "thiết bị" gọi thiết bị đọc bìa mà qua thông tin đưa vào máy tính (hay gọi trung tâm xử lý) sau tính toán kết đưa máy in Như thiết bị đọc bìa máy in thể thiết bị vào (I/O) máy tính Sau thời gian hệ máy đưa vào hoạt động máy tính trung tâm nối với nhiều thiết bị vào (I/O) mà qua thực liên tục hết chương trình đến chương trình khác Cùng với phát triển ứng dụng máy tính phương pháp nâng cao khả giao tiếp với máy tính trung tâm đầu tư nghiên cứu nhiều Vào năm 60 số nhà chế tạo máy tính nghiên cứu thành công thiết bị truy cập từ xa tới máy tính họ Một phương pháp thâm nhập từ xa thực việc cài đặt thiết bị đầu cuối vị trí cách xa trung tâm tính toán, thiết bị đầu cuối liên kết với trung tâm việc sử dụng đường dây điện thoại với hai thiết bị xử lý tín hiệu (thường gọi Modem) gắn hai đầu tín hiệu truyền thay trực tiếp thông qua dây điện thoại Hình 1.1 Mô hình truyền liệu từ xa Những dạng thiết bị đầu cuối bao gồm máy đọc bìa, máy in, thiết bị xử lý tín hiệu, thiết bị cảm nhận Việc liên kết từ xa thực hiên thông qua vùng khác dạng hệ thống mạng Trong lúc đưa giới thiệu thiết bị đầu cuối từ xa, nhà khoa học triển khai loạt thiết bị điều khiển, thiết bị đầu cuối đặc biệt cho phép người sử dụng nâng cao khả tương tác với máy tính Một sản phẩm quan trọng hệ thống thiết bị đầu cuối 3270 IBM Hệ thống bao gồm hình, hệ thống điều khiển, thiết bị truyền thông liên kết với trung tâm tính toán Hệ thống 3270 giới thiệu vào năm 1971 sử dụng dùng để mở rộng khả tính toán trung tâm máy tính tới vùng xa Ðể làm giảm nhiệm vụ truyền thông máy tính trung tâm số lượng liên kết máy tính trung tâm với thiết bị đầu cuối, IBM công ty máy tính khác sản xuất số thiết bị sau:  Thiết bị kiểm soát truyền thông: Có nhiệm vụ nhận bit tín hiệu từ kênh truyền thông, gom chúng lại thành byte liệu chuyển nhóm byte tới máy tính trung tâm để xử lý, thiết bị thực công việc ngược lại để chuyển tín hiệu trả lời máy tính trung tâm tới trạm xa Thiết bị cho phép giảm bớt thời gian xử lý máy tính trung tâm xây dựng thiết bị logic đặc trưng  Thiết bị kiểm soát nhiều đầu cuối: Cho phép lúc kiểm soát nhiều thiết bị đầu cuối Máy tính trung tâm cần liên kết với thiết bị phục vụ cho tất thiết bị đầu cuối gắn với thiết bị kiểm soát Ðiều đặc biệt có ý nghĩa thiết bị kiểm soát nằm cách xa máy tính cần sử dụng đường điện thoại phục vụ cho nhiều thiết bị đầu cuối Hình 1.2: Mô hình trao đổi mạng hệ thống 3270 Vào năm 1970, thiết bị đầu cuối sử dụng phương pháp liên kết qua đường cáp nằm khu vực đời Với ưu điểm nâng cao tốc độ truyền liệu qua kết hợp khả tính toán máy tính lại với Ðể thực việc nâng cao khả tính toán với nhiều máy tính nhà sản xuất bắt đầu xây dựng mạng phức tạp Vào năm 1980 hệ thống đường truyền tốc độ cao thiết lập Bắc Mỹ Châu Âu từ xuất nhà cung cấp dịnh vụ truyền thông với đường truyền có tốc độ cao nhiều lần so với đường dây điện thoại Với chi phí thuê bao chấp nhận được, người ta sử dụng đường truyền để liên kết máy tính lại với bắt đầu hình thành mạng cách rộng khắp Ở nhà cung cấp dịch vụ xây dựng đường truyền liệu liên kết thành phố khu vực với sau cung cấp dịch vụ truyền liệu cho người xây dựng mạng Người xây dựng mạng lúc không cần xây dựng lại đường truyền mà cần sử dụng phần lực truyền thông nhà cung cấp Vào năm 1974 công ty IBM giới thiệu loạt thiết bị đầu cuối chế tạo cho lĩnh vực ngân hàng thương mại, thông qua dây cáp mạng thiết bị đầu cuối truy cập lúc vào máy tính dùng chung Với việc liên kết máy tính nằm khu vực nhỏ tòa nhà hay khu nhà tiền chi phí cho thiết bị phần mềm thấp Từ việc nghiên cứu khả sử dụng chung môi trường truyền thông tài nguyên máy tính nhanh chóng đầu tư Vào năm 1977, công ty Datapoint Corporation bắt đầu bán hệ điều hành mạng "Attached Resource Computer Network" (hay gọi tắt Arcnet) thị trường Mạng Arcnet cho phép liên kết máy tính trạm đầu cuối lại dây cáp mạng, qua trở thành hệ điều hành mạng cục Từ đến có nhiều công ty đưa sản phẩm mình, đặc biệt máy tính cá nhân sử dụng cánh rộng rãi Khi số lượng máy vi tính văn phòng hay quan tăng lên nhanh chóng việc kết nối chúng trở nên vô cần thiết mang lại nhiều hiệu cho người sử dụng Ngày với lượng lớn thông tin, nhu cầu xử lý thông tin ngày cao Mạng máy tính trở nên quen thuộc chúng ta, lĩnh vực khoa học, quân sự, quốc phòng, thương mại, dịch vụ, giáo dục, Hiện nhiều nơi mạng trở thành nhu cầu thiếu Người ta thấy việc kết nối máy tính thành mạng cho khả to lớn như:  Sử dụng chung tài nguyên: Những tài nguyên mạng (như thiết bị, chương trình, liệu) trở thành tài nguyên chung thành viên mạng tiếp cận mà không quan tâm tới tài nguyên đâu  Tăng độ tin cậy hệ thống: Người ta dễ dàng bảo trì máy móc lưu trữ (backup) liệu chung có trục trặc hệ thống chúng khôi phục nhanh chóng Trong trường hợp có trục trặc trạm làm việc người ta sử dụng trạm khác thay  Nâng cao chất lượng hiệu khai thác thông tin: Khi thông tin sử dụng chung mang lại cho người sử dụng khả tổ chức lại công việc với thay đổi chất như: - Ðáp ứng nhu cầu hệ thống ứng dụng kinh doanh đại - Cung cấp thống liệu - Tăng cường lực xử lý nhờ kết hợp phận phân tán - Tăng cường truy nhập tới dịch vụ mạng khác cung cấp giới Với nhu cầu đòi hỏi ngày cao xã hội nên vấn đề kỹ thuật mạng mối quan tâm hàng đầu nhà tin học Ví dụ làm để truy xuất thông tin cách nhanh chóng tối ưu nhất, việc xử lý thông tin mạng nhiều làm tắc nghẽn mạng gây thông tin cách đáng tiếc Hiện việc có hệ thống mạng chạy thật tốt, thật an toàn với lợi ích kinh tế cao quan tâm Một vấn đề đặt có nhiều giải pháp công nghệ, giải pháp có nhiều yếu tố cấu thành, yếu tố có nhiều cách lựa chọn Như để đưa giải pháp hoàn chỉnh, phù hợp phải trải qua trình chọn lọc dựa ưu điểm yếu tố, chi tiết nhỏ Ðể giải vấn đề phải dựa yêu cầu đặt dựa công nghệ để giải Nhưng công nghệ cao chưa công nghệ tốt nhất, mà công nghệ tốt phải công nghệ phù hợp Ta sơ lược hình thành phát triển mạng máy tính sau:  Năm 1969 Bộ Quốc phòng Mĩ xây dựng dư án ARPANET để nghiên cứu lĩnh vực mạng, theo máy tính liên kết với có khả tự định đường truyền tin sau phần mạng bị phá hủy  Năm 1972 hội nghị quốc tế truyền thông máy tính, Bob Kahn trình diễn mạng ARPANET liên kết 40 máy thông qua xử lí giao tiếp trạm cuối (Terminal Interface Processor - TIP) Cũng năm này, nhóm interNET Working Group (INWG) Vinton Cerf làm chủ tịch đời nhằm đáp ứng nhu cầu thiết lập giao thức bắt tay (agreed-upon) Năm 1972 năm Ray Tomlinson phát minh E-mail để gửi thông điệp mạng Từ đến nay, E-mail dich vụ dùng nhiều  Năm 1973, số trường đại học Anh Na-uy kết nối vào ARPANET Cũng vào thời gian đại học Harvard, Bob Metcalfe phác họa ý tưởng Ethernet (một giao thức mạng cục bộ)  Tháng 9/1973 Vinto Cerf Bob Kahn đề xuất kiến thức internet Đó nét giao thức TCP/IP  Năm 1974 BBN xây dựng giao thức ứng dụng Telnet cho phép truy cập máy tính từ xa  Năm 1976 phòng thí nghiệm hãng AT&T phát minh dịch vụ truyền tệp cho mạng FTP  Năm 1978 Tom Truscott Steve Bellovin thiết lập mạng USENET dành cho người sử dụng UNIX  Năm 1979 ARPA thành lập ban kiểm soát cấu hình internet  Năm 1981 đời mạng CSNET (Computer Science NETwork) cung cấp dịch vụ mạng cho nhà khoa học trường đại học mà không cần truy cập vào mạng ARPANET  Năm 1982 giao thức TCP IP DAC ARPA dùng mạng ARPANET Sau TCP/IP chọn giao thức chuẩn  Năm 1983 ARPANET tách thành ARPANET MILNET MILNET tích hợp với mạng liệu quốc phòng, ARPANET trở thành mạng dân Hội đồng hoạt động internet đời, sau đổi tên thành Hội đồng kiến trúc internet  Mạng USENET mạng phát triển sớm thu hút nhiều người Đây coi thời kỳ bùng nổ internet lần thứ  Năm 1990, với tư cách dự án ARPANET dừng hoạt động mạng NSF ARPANET tạo đựoc sử dụng vào mục đích dân dụng, tiền thân mạng internet ngày Một số hãng lớn bắt đầu tồ chức kinh doanh mạng Đến lúc đối tượng sử dụng internet chủ yếu nhà nghiên cứu dịch vụ phổ biến E-mail va FTP Internet trở thành phương tiện đại chúng 10 + Thẻ Advanced Wireless Settings: Thẻ khuyến cáo để mặc định toàn thông số 5.4 Thẻ Security Thẻ nhở thẻ Fiwall thẻ VPN Thẻ Fiwall cho phép lọc gói Multicast, lọc IDENT (port 113) khóa yêu cầu nặc danh Còn thẻ VPN mặc định để chế độ Enable với tất yêu cầu Hình 5.6: Chức bảo mật Fiwall VPN AP 65 5.5 Thẻ Access Restrictions Ngoài chức khác, thẻ có khả khóa site “từ nóng” liên quan đến Black websites, đặc biệt khóa dịch vụ (ví dụ như: PING, TFTP, SMTP, HTTP,…) Hình 5.7: Chức khóa dịch vụ, khóa URL khóa trang có “từ nóng” URL 5.6 Thẻ Applications & Gaming Chức cho phép gán địa IP số hiệu Port tham gia vào mạng game online Ví dụ bạn muốn máy giám đốc công ty A vào chơi game online máy khác bị ngăn chặn không chơi game đuợc, bạn điền địa IP PC giám đốc công ty A vào tick vào Enable 66 Hình 5.8: Cho phép IP sử dụng dịch vụ game online Về chất lượng dịch vụ QoS, bạn điều chỉnh dịch vụ cần thiết có băng thông cao lên dịch vụ không cần thiết băng thông giảm Hình 5.9: Điều chỉnh băng thông cho dịch vụ 5.7 Thẻ Administration Thẻ management thẻ dành cho người quản trị, cho phép bạn thay đổi password tạo phiên làm việc, điều khiển hoạt động web, điều khiển AP thông qua port gắn vào PC người quản trị 67 Hình 5.10: Thẻ điều khiển dành riêng cho người quản trị Thẻ factory default cho phép bạn xóa hết cấu hình trở với cấu hình mặc định nhà sản xuất Thẻ Firmware Upgrate cho phép bạn update OS AP có phiên Thẻ Config Management cho phép bạn back up lại cấu hình AP có lỗi hay trục trặc từ back up bạn lấy làm chuẩn mực lưu trữ lại Hình 5.11: Các thẻ nhỏ thẻ Administration 68 5.8 Thẻ Status Thẻ cho biết thông số Router Wireless địa MAC Client đồng thời loại bỏ địa MAC khỏi DHCP Server để ngăn chặn không cho chia sẻ qua mạng LAN Chú ý: Cần lưu ý thay đổi Router Wireless phải click vào nút Save Setting thay đổi áp dụng Hình 5.12: Các thay đổi cần cấu hình cần lưu lại Kinh nghiệm thân Trong trình tìm hiều tham gia diễn đàn học hỏi nhiều kinh nghiệm Ý tưởng bạn trở thành người quản trị mạng sau Bạn hỗ trợ nhiều phần mềm phương tiện theo dõi, giám sát quản lý mạng nội Một phần mềm hữu hiệu mà biết có tên WIRESHARK Với phần mềm bạn theo dõi thành viên mạng nội sử dụng dịch vụ gì, chiếm nhiều băng thông hay không chí bạn xem nội dung họ họ không cài đặt trình mã hóa 69 KẾT LUẬN Đề tài tập trung vào tìm hiểu nghiên cứu ứng dụng bảo mật cho mạng không dây Trong trình tìm hiểu sơ lược sưu tầm tư liệu từ nhiều nguồn từ kinh nghiệm thân thu tham gia khóa đào tạo chứng CCNA Đề tài đến hoàn thành chắn không tránh khỏi nhiều thiếu xót Kính mong thầy cô bạn góp ý giúp đỡ để đề tài hoàn thiện Một lần xin chân thành cảm ơn thầy cô bạn khoa Công Nghệ Thông Tin, đặc biệt thầy giáo ThS Vũ Đức Thái người tận tình giúp đỡ suốt thời gian qua Sinh viên thực hiện: PHẠM QUỐC NAM: MSSV IQB3-089 70 PHỤ LỤC + Tài liệu tham khảo: - Giáo trình mạng máy tính – Khoa Công Nghệ Thông Tin - Đại Học Thái Nguyên - Tài liệu Ebook Thiết kế mạng không dây “Design A Wireless Network” – SYNGRESS – www.syngress.com/solutions - Tham khảo tài liệu từ diễn đàn điện tử đồng thời có giúp đỡ bạn cá diễn đàn sau: http://www.wirelessforum.org, http://www.forums.cnet.com http://diendantinhoc.net http://donghoqualac.wordpress.com/ http://www.nhatnghe.com/ + Phụ lục ảnh: Sau xin trình bày số ảnh cấu hình cho Router Wireless (hay Access Point) tương đối quan trọng mà phần báo cáo lược bớt Thẻ setup cho bạn xem bảng định tuyến 71 Bảng định tuyến AP DDNS service thẻ setup mặc định disable 72 Các chế độ giao tiếp với Client, G B để hỗ trợ chuẩn G B, Mixed để hỗ trợ hai Các kênh tần số áp dụng cho AP Nếu hệ thống có nhiều AP AP phải kênh khác Đồng thời AP áp dụng thuật toán tránh đụng độ CSMA/CA 73 Chế độ ngăn chặn truy cập thông qua địa MAC Prevent mức ngăn chặn Client bị điền địa MAC vào danh sách Permit only mức cho phép địa IP danh sách truy cập mạng Khóa dịch vụ nguy hiểm (các yêu cầu nặc danh), làm giảm băng thông mạng dễ gây tắc nghẽn (multicast) 74 Quản lý thời gian cho phép truy cập mạng thông qua địa MAC theo ngày Chức khóa dịch vụ hay link website cụ thể cụm “từ nóng” liên quan đến website muốn khóa 75 Chức khóa dịch vụ Điều khiển chất lượng dịch vụ Có thể điều chỉnh băng thông tăng hay giảm địa MAC riêng biệt port riêng biệt, kỹ ứng dụng game riêng biệt Chức DMZ host IP address mặc định để chế độ disable 76 Mức quản lý bạn đổi password truy cập Router, cấu hình tính hoạt động cho truy cập web, đặt chế độ điều khiển Router thông qua port thông qua giao thưc (ví dụ qua port 8080 với giao thức https) Chế độ quản lý ghi vào Router Enable để bật chế độ này, mặc định nên để disable để Router tập trung vào tính khác quan trọng 77 Cập nhật vi chương trình hỗ trợ hệ điều hành (OS) Router Các thông tin thân Router cấu hình Khuyến cáo bạn nên để DNS cuối trùng với địa gateway Modem 78 Chế độ DHCP bật phép Client tự động cấp phát địa IP Danh sách Client địa Mac cấp phát địa IP, thời gian sử dụng mạng lại 79