Tổng hợp thảo luận mơn Mạng máy tính truyền thơng I Tìm hiểu mạng khơng dây (WLAN) Khái niệm Mạng khơng dây hay cịn gọi mạng WLAN công nghệ cho phép hai hay nhiều máy tính giao tiếp với nhau, dùng giao thức mạng chuẩn không cần dây cáp mạng Các mạng máy tính khơng dây sử dụng sóng điện từ khơng gian (sóng vơ tuyến sóng ánh sáng) để thu, phát liệu thơng qua khơng khí, giảm thiểu nhu cầu kết nối dây Vì vậy, mạng WLAN kết hợp liên kết liệu với tính di động người dùng Lịch sử đời Công nghệ WLAN lần xuất vào cuối năm 1990, nhà sản xuất giới thiệu sản phẩm hoạt động băng tần 900Mhz Những giải pháp (không thống nhà sản xuất) cung cấp tốc độ truyền liệu 1Mbps, thấp nhiều so với tốc độ 10Mbps hầu hết mạng sử dụng cáp thời Năm 1992, nhà sản xuất bắt đầu bán sản phẩm WLAN sử dụng băng tần 2.4Ghz Mặc dầu sản phẩm có tốc độ truyền liệu cao chúng giải pháp riêng nhà sản xuất không công bố rộng rãi Sự cần thiết cho việc hoạt động thống thiết bị dãy tần số khác dẫn đến số tổ chức bắt đầu phát triển chuẩn mạng không dây chung Năm 1997, Institute of Electrical and Electronics Engineers(IEEE) phê chuẩn đời chuẩn 802.11, biết với tên gọi WIFI (Wireless Fidelity) cho mạng WLAN Chuẩn 802.11 hỗ trợ ba phương pháp truyền tín hiệu, có bao gồm phương pháp truyền tín hiệu vơ tuyến tần số 2.4hz Năm 1999, IEEE thông qua hai bổ sung cho chuẩn 802.11 chuẩn 802.11a 802.11b (định nghĩa phương pháp truyền tín hiệu) Và thiết bị WLAN dựa chuẩn 802.11b nhanh chóng trở thành cơng nghệ khơng dây vượt trội Các thiết bị WLAN 802.11b truyền phát tần số 2.4Ghz, cung cấp tốc độ truyền liệu lên tới 11Mbps IEEE 802.11b tạo nhằm cung cấp đặc điểm tính hiệu dụng, thơng lượng (throughput) bảo mật để so sánh với mạng có dây 3 Năm 2003, IEEE công bố thêm cải tiến chuẩn 802.11g mà truyền nhận thông tin hai dãy tần 2.4Ghz 5Ghz nâng tốc độ truyền liệu lên đến 54Mbps Thêm vào đó, sản phẩm áp dụng 802.11g tương thích ngược với thiết bị chuẩn 802.11b Hiện chuẩn 802.11g đạt đến tốc độ 108Mbps-300Mbps Ưu điểm Sự tiện lợi: Mạng không dây hệ thống mạng thơng thường Nó cho phép người dùng truy xuất tài nguyên mạng nơi đâu khu vực triển khai(nhà hay văn phòng) Với gia tăng số người sử dụng máy tính xách tay(laptop), điều thuận lợi Khả di động: Với phát triển mạng khơng dây cơng cộng, người dùng truy cập Internet đâu Chẳng hạn quán Cafe, người dùng truy cập Internet khơng dây miễn phí Hiệu quả: Người dùng trì kết nối mạng họ từ nơi đến nơi khác Triển khai: Việc thiết lập hệ thống mạng khơng dây ban đầu cần access point Với mạng dùng cáp, phải tốn thêm chi phí gặp khó khăn việc triển khai hệ thống cáp nhiều nơi tòa nhà Khả mở rộng: Mạng khơng dây đáp ứng tức gia tăng số lượng người dùng Với hệ thống mạng dùng cáp cần phải gắn thêm cáp Tiết kiệm chi phí: Chi phí đầu tư ban đầu vào phần cứng mạng khơng dây lớn so với mạng hữu tuyến tồn chi phí lắp đặt chi phí thời gian tồn lại thấp nhiều Nhược điểm Bảo mật: Môi trường kết nối khơng dây khơng khí nên khả bị công người dùng cao Phạm vi: Một mạng chuẩn 802.11g với thiết bị chuẩn hoạt động tốt phạm vi vài chục mét Nó phù hợp nhà, nhưngvới tịa nhà lớn khơng đáp ứng nhu cầu Để đáp ứng cần phải mua thêm Repeater hay access point, dẫn đến chi phí gia tăng Độ tin cậy: Vì sử dụng sóng vơ tuyến để truyền thơng nên việc bị nhiễu, tín hiệu bị giảm tác động thiết bị khác(lị vi sóng, ….) không tránh khỏi Làm giảm đáng kể hiệu hoạt động mạng Tốc độ: Tốc độ mạng không dây (1- 125 Mbps) chậm so với mạng sử dụng cáp(100Mbps đến hàng Gbps) Mơ hình hoạt động chung WLAN Các mạng WLAN sử dụng sóng điện tử không gian (vô tuyến ánh sáng) để truyền thơng tin từ điểm tới điểm khác Các sóng vơ tuyến thường xem sóng mang vơ tuyến chúng thực chức cung cấp lượng cho máy thu xa Dữ liệu phát điều chế sóng mang vơ tuyến (thường gọi điều chế sóng mang nhờ thơng tin phát) cho khơi phục xác máy thu Trong cấu hình mạng WLAN tiêu chuẩn, thiết bị thu/phát (bộ thu/phát) gọi điểm truy cập, nối với mạng hữu tuyến từ vị trí cố định sử dụng cáp tiêu chuẩn Chức tối thiểu điểm truy cập thu, làm đệm phát liệu mạng WLAN sở hạ tầng mạng hữu tuyến Một điểm truy cập đơn hỗ trợ nhóm nhỏ người sử dụng thực chức phạm vi từ trăm với vài trăm feet Điểm truy cập (hoặc anten gắn vào điểm truy cập) thường đặt cao đặt chỗ miễn đạt vùng phủ sóng mong muốn Những người sử dụng truy cập mạng WLAN thông qua thích ứng máy tính khơng dây Card mạng khơng dây máy tính, máy Palm, PDA Các thích ứng máy tính khơng dây cung cấp giao diện hệ thống điều hành mạng (NOS –Network Operation System) máy khách sóng khơng gian qua anten Bản chất kết nối không dây suốt hệ điều hành mạng Các mơ hình mạng WLAN * Mơ hình mạng độc lập IBSS Các trạm (máy tính có hỗ trợ card mạng khơng dây) tập trung lại khơng gian nhỏ để hình thành nên kết nối ngang cấp (peer-to peer) chúng Các nút di động có card mạng wireless chúng trao đổi thông tin trực tiếp với nhau, không cần phải quản trị mạng Vì mạng ad-hoc thực nhanh dễ dàng nên chúng thường thiết lập mà không cần công cụ hay kỹ đặc biệt thích hợp để sử dụng hội nghị thương mại nhóm làm việc tạm thời Tuy nhiên chúng có nhược điểm vùng phủ sóng bị giới hạn, người sử dụng phải nghe lẫn - Ưu điểm: Kết nối Peer-to-Peer không cần dùng Access Point, chi phí thấp, cấu hình cài đặt đơn giản -Nhược điểm: : Khoảng cách máy trạm bị giới hạn, số lượng người dùng bị giới hạn, khơng tích hợp vào mạng có dây sẵn có *Mơ hình mạng sở Trong mô mạng sở, Client muốn liên lạc với phải thông Access Point (AP) AP điểm trung tâm quản lý giao tiếp mạng, Client khơng thể liên lạc trực tiếp với mạng IBSS Để giao tiếp với Client phải gửi Frame liệu đến AP, sau AP gửi đến máy nhận - Ưu điểm: Các máy trạm không kết nối trực tiếp với nhau, máy trạm mạng khơng dây kết nối với hệ thống mạng có dây -Nhược điểm: Giá thành cao, cài đặt cấu hình phức tạp mơ hình Ad- Hoc *Mơ hình mạng mở rộng ESS Nhiều mơ hình BSS kết hợp với gọi mơ hình mạng ESS Là mơ hình sử dụng từ AP trở lên để kết nối mạng Khi AP kết nối với thành mạng lớn hơn, phạm vi phủ sóng rộng hơn, thuận lợi đáp ứng tốt cho Client di động Đảm bảo hoạt động tất Client II Thực trạng an tồn mạng khơng dây Khái niệm an tồn thơng tin An tồn thơng tin (ATTT) thông tin bảo vệ, hệ thống dịch vụ có khả chống lại tai họa, lỗi tác động không mong đợi, thay đổi tác động đến độ an toàn hệ thống nhỏ Hệ thống có số đặc điểm sau khơng an tồn: Các thông tin liệu hệ thống bị người khơng quyền truy nhập tìm cách lấy sử dụng (thơng tin bị rị rỉ) Các thơng tin hệ thống bị thay sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn)… Không thể đảm bảo an tồn thơng tin 100% giảm bớt rủi không mong muốn Những giải pháp công nghệ đơn lẻ cung cấp đủ an toàn mà cần phải kết hợp hai yếu tố yếu tố công nghệ yếu tố người - Yếu tố công nghệ bao gồm sản phẩm cơng nghệ Firewall, phần mềm phịng chống viruts, giải pháp mật mã, sản phẩm mạng, hệ điều hành ứng dụng như: trình duyệt Internet phần mềm nhận email từ máy trạm - Yếu tố người:là người sủ dụng máy tính, làm việc với thơng tin sử dụng máy tính cơng việc Con người khâu yếu toàn hệ thống an toàn bảo mật thông tin Việc nhận thức không tuân thủ cac sách ATTT nguyên nhân gây tình trạng Đánh giá vấn đề an tồn, bảo mật hệ thống thông tin Để đảm bảo an ninh cho mạng cần xây dựng số chuẩn để xác định mức độ ATTT Một số tiêu chuẩn như: 2.1 Đánh giá phương diện vật lý An toàn thiết bị: thiết bị cần đảm bảo: + Có thiết bị dự phịng nóng cho hỏng hóc đột ngột, có khả thay nóng phần toàn phần + Khả cập nhật, nâng câp phần cứng phần mềm + Yêu cầu đảm bảo nguồn điện dự phòng trường hợp điện đột ngột + Các yêu cầu đảm bảo phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, ánh sáng,… An tồn liệu: + Cần có biện pháp lưu đề phịng tình phát sinh + Có biện pháp lưu trữ liệu tập chung hoắc phân tán nhằm giảm bớt rủi trường hợp cháy nổ, thiên tai 2.2 Đánh giá phương diện logic - Tính bí mật, tin cậy: việc bảo vệ liêu truyền khỏi công bị động - Tính xác thực: bảo đảm trao đổi thông tin đáng tin cậy Việc đảm bảo người gửi tin người nhận tin hai thực thể hợp pháp phép - Tính tồn vẹn thơng tin đến người nhận nguyên vẹn, không bị chỉnh sửa, mát - Tính khơng thể phủ nhận người gửi người nhận chối bỏ việc tin truyền - Khả điều khiển truy nhập khả han chế truy nhập với máy chủ thông qua đường truyền thông Quyền truy nhập cần nhân diện xác nhận cho đáp ứng nhu cầu người - Tính khả dụng, sẵn sàng liệun truy nhập lúc khoảng thời gian cho phép Các nguy an tồn an ninh mạng khơng dây 3.1 Tấn công bị động 3.1.1 Khái niệm Tấn công bị động kiểu công không tác động trực tiếp vào thiết bj mạng, không làm cho thiết bị mạng biết hoạt động khó phát Các phương thức thường dùng công bị động là: nghe trộm (Sniffing, Eavesdropping), phân tích luồng thơng tin (Tranffic analysis) 3.1.2 Phương thức Bắt gói tin (Sniffing) khái niệm cụ thể khái niệm tổng quát nghe trộm- Eavesdropping Đây phương pháp hiệu có hiệu việc cơng WLAN Bắt gói tin thiểu như phương thức lấy trộm thông tin đặt thiết bị thu nằm nằm gần vùng sóng Những chương trình bắt gói tin có khả lấy thơng tin quan thơng qua q trình trao đổi thơng tin máy người dùng với email, instant mesenger, phiên FTP,… Bắt gói tin ngồi việc trực tiếp giúp cho q trình phá hoại cịn gián tiếp tiền đề cho phương thức phá hoại khác ăn trộm thông tin, thu nhập thông tin phân bố mạng (wardriving), dò mã, bẻ mã (key crack) 3.2 Tấn công chủ động (Active Attack) 3.2.1 Khái niệm Tấn công chủ động công trực tiếp vào nhiều thiết bị mạng (AP, STA,…) Kiều công dễ phát khả phá hoại nhanh nhiều So với cộng bị động cơng chủ động có nhiều phương thức như: công DOS, sửa đổi thơng tin (Message Modification), đóng giả, mạo danh, che dấu (Masquerade), lặp lại thông tin (repplay), … 3.2.2.Tấn công DOS Tấn công DOS kiểu công vô nguy hiểm Nó làm cho hệ thống khơng thể sử dụng làm chậm cách đáng kể với người dùng bình thường cách làm tải tài nguyên hệ thống Nếu kẻ công không thâm nhập vào hệ thống chúng cố gắng làm cho hệ thống sụp đổ khơng có khả phục vụ người dùng 3.3 Tấn công theo kiểu chèn ép (Jamming) Là kỹ thuật sử dụng đơn giản làm hỏng (shut down) mạng bạn Khi hacker chủ động cơng Jamming sử dụng thiết bị WLAN đặc biệt với RF công suất cao Jamming vô ý xuất thường xuyên nhiều thiết bị khác chia sẻ chung băng tần có dây xảy mạng không dây.Phần đưa số mối đe dọa mạng không dây nhà 3.4 Tấn công kiểu thu hút (Man- in- the middle Attack) Là trường hợp hacker sử dụng AP để đánh cắp node di động cách gửi tín hiệu RF mạnh AP hợp pháp đến node Các node di động thấy AP phát tín hiệu RF tốt nên tự động kết nối với AP giả mạo Truyền liệu liệu mật hacker có tồn quyền xử lý Trong năm gần đây, mạng không dây ngày trở nên phổ biến, rẻ tiền dễ sử dụng Người dùng lắp đặt để truy cập mạng khơng dây nhà sử dụng máy tính xách tay để truy cập nơi công cộng quán café, sân bay, khách sạn… Việc sử dụng mạng không dây tiện lợi đơn giản tiềm ẩn nhiều nguy an toàn thông tin Các mối đe dọa sử dụng mạng khơng dây nhà Thường người sử dụng thuê đường truyền internet nhà đường truyền kết nối vào thiết bị router không dây điểm truy nhập không dây AP(Access Point) Các thiết bị chuyển tín hiệu điện nhận từ đường truyền Internet sang tín hiệu khơng dây để phát không gian người sử dụng dùng máy tính có hỗ trợ truy nhập khơng dây để thực kết nối Các mối đe dọa xảy cho mạng WiFi miễn phí Việt Nam khơng an tồn Trong năm 2014, WiFi miễn phí tất thành phố Việt Nam tiềm ẩn nhiều nguy an ninh an tồn thơng tin Trong theo kết khảo sát, 24% người dùng cho biết họ thường xuyên sử dụng mạng WiFi miễn phí để thực giao dịch ngân hàng toán trực tuyến Điều nguy hiểm người dùng bị đánh cắp thơng tin nhạy cảm tài khoản, mật khẩu, thơng tin thẻ tín dụng… III Để an toàn trường hợp cần truy cập dịch vụ quan trọng, người dùng nên sử dụng kết nối mạng riêng ảo (VPN) để tạo kênh trao đổi thơng tin an tồn.Người dùng cần trang bị phần mềm diệt virus bật firewall thường trực để bảo vệ toàn diện Phương pháp bảo vệ, bảo đảm an tồn thơng tin mã hóa Khái niệm mã hóa ? Mã hóa hay mật mã liệu(cryptography), công cụ thiết yếu bảo mật thơng tin Mã hóa đáp ứng nhu cầu tính bảo mật (confidentiality), tính chứng thực (authentication) tính khơng từ chối (non-repudiation) hệ truyền tin Mã hóa phương pháp biến đổi thơng tin (phim ,ảnh ,văn ,hình ảnh ….)Từ định dạng bình thường sang dạng thơng tin khơng thể hiểu khơng có phương tiện giải mã Mã hóa có nhiều ứng dụng thực tế bảo vệ giao dịch tài chính( rút tiền ngân hàng, mua bán qua mạng ),bảo vệ bí mật cá nhân…Nếu kẻ công vượt qua tường lửa hệ thống bảo vệ khác mật mã hàng phịng thủ cuối cho liệu bạn Phương pháp 2.1 Hệ mật mã khóa đối xứng Trong hệ mã đối xứng có khóa chia sẻ bên tham gia liên lạc Cứ lần truyền tin bảo mật, người gửi A người nhận B thoả thuận trước với khóa chung K, sau người gửi dùng giải thuật lập mã để lập mã cho thông báo gửi người nhận dùng giải thuật giải mã để giải mã mật mã nhận Người gửi người nhận có khóa chung K, khóa giữ bí mật dùng cho lập mã giải mã Những hệ mật mã cổ điển với cách sử dụng gọi mật mã khóa đối xứng hay cịn gọi mật mã khóa bí mật Độ an tồn hệ mật mã đối xứng phụ thuộc vào khóa Nếu để lộ khóa người mã hóa giải mã thông điệp Ưu điểm bật hệ mật mã khóa đối xứng việc xây dựng hệ mật mã có độ bảo mật cao dễ dàng mặt lý thuyết Nhưng không kể đến việc cần có nguồn sinh khóa ngẫu nhiên việc phân phối, lưu trữ bảo mật thoả thuận khóa vấn đề khó chấp nhận mạng truyền thông ngày Trong mạng có n người dùng, cần khóa cho cặp cần n(n+1)/2 khóa Để khắc phục tượng khơng thể lưu trữ khối lượng khóa lớn đáp ứng nhu cầu mã dịch, người ta xem xét đến việc sử dụng hệ mật mã khối với độ dài không lớn DES… hệ mật mã dịng mà khóa sinh từ nguồn giả ngẫu nhiên thuật toán Mặc dù thực việc mã hóa giải mã hệ mật mã khối hay thuật tốn sinh khóa nêu vấn đề phân phối thoả thuận khóa phải thực Như phân phối thoả thuận khóa vấn đề chưa thể giải hệ mật mã khóa đối xứng 2.2 Hệ mật mã khóa cơng khai Để giải vấn đề phân phối thoả thuận khóa mật mã khóa đối xứng, năm 1976 Diffie Hellman đưa khái niệm hệ mật mã khóa cơng khai phương pháp trao đổi cơng khai để tạo khố bí mật chung mà tính an tồn bảo đảm độ khó tốn tốn học cụ thể (là tốn tính “logarit rời rạc”) Hệ mật mã khóa cơng khai hay cịn gọi hệ mật mã phi đối xứng sử dụng cặp khóa, khóa mã hóa cịn gọi khóa cơng khai khóa giải mã gọi khóa bí mật hay khóa riêng Trong hệ mật này, khóa mã hóa khác với khóa giải mã Về mặt tốn học từ khóa cơng khai khó tính khóa riêng Biết khóa khơng dễ dàng tìm khóa Khóa giải mã giữ bí mật khóa mã hóa cơng bố cơng khai Một người sử dụng khóa cơng khai để mã hố tin tức, có người có khóa giải mã có khả xem rõ Người gửi A mã hố thơng điệp khóa cơng người nhận người nhận B giải mã thơng điệp với khố riêng tương ứng Có nhiều hệ thống khóa cơng khai triển khai rộng rãi hệ RSA, hệ ElGamal sử dụng giao thức trao đổi khoá Diffie-Hellman lên năm gần hệ đường cong Elliptic Trong số hệ mật mã hệ RSA hệ cộng đồng chuẩn quốc tế công nghiệp chấp nhận rộng rãi việc thực thi mật mã khóa cơng khai Hệ mật mã RSA, Rivest, Shamir Adleman tìm ra, cơng bố lần vào tháng năm 1977 tạp chí Scientific American Hệ mật mã RSA sử dụng rộng rãi thực tiễn đặc biệt cho mục đích bảo mật xác thực liệu số Tính bảo mật an tồn chúng bảo đảm độ phức tạp toán số học tiếng toán phân tích số nguyên thành thừa số nguyên tố Việc phát minh phương pháp mã công khai tạo “cách mạng” cơng nghệ an tồn thông tin điện tử Nhưng thực tiễn triển khai cho thấy tốc độ mã hóa khối liệu lớn thuật tốn mã hóa cơng khai chậm nhiều so với hệ mã hóa đối xứng Ví dụ, để đạt độ an toàn hệ mã đối xứng mạnh thời, RSA đòi hỏi thời gian cho việc mã hóa văn lâu gấp hàng ngàn lần Do đó, thay việc mã hóa văn có kích thước lớn lược đồ khóa cơng khai văn mã hóa hệ mã đối xứng có tốc độ cao IV DES, IDEA,… sau khóa sử dụng hệ mã đối xứng mã hóa sử dụng mật mã khóa cơng khai Phương pháp khả thi việc mã giải mã văn có kích thước lớn.Vấn đề cịn tồn đọng hệ mật mã khóa đối xứng giải nhờ hệ mật mã khóa cơng khai Chính ưu điểm thu hút nhiều trí tuệ vào việc đề xuất, đánh giá hệ mật mã công khai Nhưng thân hệ mật mã khóa cơng khai dựa vào giả thiết liên quan đến tốn khó nên đa số hệ mật mã có tốc độ mã dịch khơng nhanh Chính nhược điểm làm cho hệ mật mã khóa cơng khai khó dùng cách độc lập Giải pháp an tồn cho mạng khơng dây Phương pháp bảo mật dựa WEP 1.1 Khái niệm Phương pháp bảo mật dựa WEP thuật toán báo nhằm bảo vệ trao đổi thông tin, chông lại nghe trộm, chông lại kết nối mạng không cho phép chống lại thay đổi làm nhiễu thông tin truyền WEP cung cấp bảo mật liệu mạng không dây qua phương thức mã hóa sử dụng thuật tốn đối xứng RC4 Thuật toán RC4 cho phép chiều dài kháo thay đổi lên đến 256bit Hiện thiết bị không dây hỗ trợ WEP với ba chiều dài khóa: 40bit, 64bit, 128bit 1.2 Cơ chế hoạt động Nếu mạng có kết nối WLAN liệu phải qua tầng dịch vụ mạng IEEE 802.11 MAC Hay nói cách khác, gói liệu tới WLAN với thông tin cần thiết để gửi gói tin đến đích, gói liệu gọi MSDU Nếu không gặp lỗi nào, MSDU gửi đến tầng dịch vụ MAC thiết bị đích hệ điều hành hay trình điều khiển đưa đến ứng dụng chạy Tuy nhiên, trước chuyển thành dạng sóng điện từ, MSDU chia thành phần nhỏ hơn, gọi phân mảnh (fragment) Mỗi fragment mã hóa WEP Một MAC header gắn vào phần đầu từ kiểm tra gắn vào phần cuối Như vậy, từ MSDU ban đầu phân chia thành phần liệu nhỏ (fragment), đồng thời byte thông tin khác thêm vào khơng có phần liệu mã hóa Mỗi phần nhỏ gọi MPDU Q trình coi liệu khối gồm byte, độ lớn tùy theo MSDU ban đầu việc chọn lựa độ lớn fragment, thường có giá trị từ 10 đến 1500 byte Bước trình mã hóa thêm giá trị kiểm tra tính tồn vẹn ICV Mục đích việc sử dụng ICV để phát thay đổi nội dung gói tin q trình truyền Đối với gói tin mã khơng mã, cần có số kiểm tra nhằm phát bit sai lệch trình truyền tin CRC số byte thêm vào cuối khung trước xử lý để truyền Nếu có bit bị sai, bên thu phát dựa vào giá trị CRC hủy gói tin Có nhiều không phát thay đổi kẻ gian tính tốn lại giá trị CRC thay vào gói tin ICV tương tự CRC, có điều tính tốn thêm vào trước mã hóa, cịn CRC ngun tắc thêm vào sau mã hóa Về mặt lý thuyết ICV mã hóa nên khơng có kẻ tính tốn lại nhằm thay đổi nội dung, thực tế lại chuyện khác Sau ICV thêm vào, khung sẵn sàng để mã hóa Trước tiên, hệ thống phải lựa chọn IV kết hợp với khóa, thực việc mã hóa thuật tốn RC4, byte liệu khối ICV mã hóa Ứng với byte đầu vào tương ứng có byte mã hóa đầu ra, q trình diễn liên tục toàn liệu mã, kiểu mã hóa chuỗi Cuối cùng, MAC header CRC thêm vào vào đầu cuối, phần MAC có bit thơng báo cho bên thu biết gói tin mã hóa WEP, nhờ biết cách để xử lý Sau nhận gói tin mà bên phát gửi đến, bên thu thực quy trình sau: nhờ vào bit phần MAC header để biết gói liệu nhận có mã hóa hay khơng, có, đọc lưu lại giá trị IV, tiếp đến đọc KeyID chọn khóa giải mã, khởi tạo chương trình mã RC4 thực trình giải mã Sau thu rõ ban đầu, bước cuối tính ICV đảm bảo khơng có thay đổi liệu gốc Phương pháp bảo mật dựa TKIP WPA (Wi-Fi Protected Access) thiết kế với tư cách chế để khắc phục thiếu sót WEP Có số dạng thức WPA dạng thức biết đến nhiều WPAPSK, mã hóa sử dụng khóa tiền chia sẻ Một số dạng thức khác WPA sử dụng giao thức có tên TKIP, tên viết tắt cho cụm từ Temporal Key Integrity Protocol TKIP tạo khóa 128-bit cho gói liệu TKIP, phận quan trọng WPA, thiết kế để tung thông qua cập nhật phần mềm lên thiết bị trang bị WEP Chính phải sử dụng số yếu tố có hệ thống WEP, vốn bị kẻ xấu khai thác Là giải pháp IEEE phát triển năm 2004 Là nâng cấp cho WED nhằm vấn đề bảo mật cài đặt mã dòng RC4 WEP TKIP dùng hàm băm (hashing) IV để chống lại việc MIC (message integity check) đẻ đảm bảo tính xác gói tin TKIP sử dụng khóa động cách đặt cho frame chuỗi sống lại dạng công giả mạo TKIP thuật toán thay đổi khoá mật mã sau khoảng thời gian sử dụng Thông thường, hầu hết router thay đổi hoá mật mã sau vài TKIP sử dụng hệ thống kí tự cho gói, an tồn nhiều so với kí tự tĩnh WEP Sau này, TKIP bị thay Advanced Encryption Standard (AES) Phương pháp bảo mật dựa AES-CCMP AES thuật toán mã hoá khối Sử dụng biểu thức logic toán học, thuật toán kết hợp khố với khối liệu 128 bit (khơng mã hoá) để tạo khối liệu 128 bit (đã mã hoá) AES phát triển dựa thuật tốn Rijndeal cho phép chọn lựa kích thước khố khối liệu (thơng thường 128 bit, 192 bit 256 bit) Tuy nhiên, IEEE lựa chọn độ dài tiêu chuẩn cho khoá khối liệu 128 bit Điều giúp đơn giản hố việc thực tính tốn cài đặt Phương thức hoạt động: Bạn sử dụng AES để mã hoá giải mã khối liệu có độ dài cố định Tuy nhiên, thực tế, độ dài khối liệu lại không cố định VF mạng Wifi, liệu thường truyền khung có độ dài khác dao động khoảng 512 đến 12000 bit khung Vì thế, để sử dụng thuật toán mã hoá khối, cần phải xác định phương thức để chuyển thông điệp dài thành nhiều thơng điệp ngắn có độ dài cố định trước mã hoá Tương tự vậy, phương thức cho bạn ghép lại khối liệu rời rạc trở thành thông điệp giải mã Phương thức sử dụng để tách ghép khối liệu gọi chế độ thực mã hố khối Có vài chế độ khác sử dụng kết hợp với AES Việc lựa chọn sử dụng chế độ mang ý nghĩa quan trọng cho việc bảo mật Một chế độ tồi gây Thạch Tuấn Việt TC17 75những lỗ hổng bảo mật nguy hiểm thuật toán mã hoá AES mạnh Ta tham khảo vài chế độ sau: Sổ kí hiệu điện tử (Electronic Code Book - ECB) Chế độ ECB tạo khối liệu từ thông điệp đầu vào mã hoá khối cách sử dụng khoá mã hố hết tất khối Hình thể việc mã hoá nối tiếp song song Cách tiếp cận nghe đơn giản gây vài vấn đề Thứ chia thông điệp làm nhiều khối nhỏ khơng phải tất khối có kích thước đó, bạn phải thêm vào phần cuối khối ghi nhớ độ dài thực tế Ngoài ra, khối có liệu giống nhau, sau mã hố cho kết giống đưa thông tin cho người xem -Chế độ đếm (Counter Mode) Chế độ đếm hoạt động nhiều cách khác phức tạp ECB Nó khơng trực tiếp sử dụng thuật toán mã hoá khối AES để mã hoá liệu Thay vào đó, mã hố giá trị tuỳ ý gọi “counter” XOR kết với liệu để tạo mã hố Mỗi khối mã hố thành cơng giá trị “counter” tăng lên Do giá trị “couter” thay đổi sau lần mã hoá nên tránh trùng lặp ECB Đây chế độ tin tưởng cộng đồng mạng thời gian dài đơn giản Tuy nhiên, chế độ thực mã hoá mà khơng thực xác thực Vì cần bổ sung thêm chức xác thực để sử dụng cho RSN -Chế độ đếm + CBC MAC = CCM Chế độ CCM tạo để sử dụng cho RSN, đồng thời sử dụng cho hệ thống khác AES, IP, bảo mật… Thạch Tuấn Việt TC17 77CCM sử dụng chế độ đếm kết hợp với phương thức xác thực thông điệp gọi mã hoá chuỗi khối (CBC) CBC đươc sử dụng để tạo MIC, gọi CBC MAC ( gọi MIC để tránh việc nhầm với địa MAC) Thực chế độ tuân theo bước đơn giản: - Mã hố khối thơng điệp AES (hoặc thuật tốn mã hố khối nào) - XOR kết với khối thứ tiếp tục mã hoá kết - XOR kết với khối thứ tiếp tục mã hoá… Kết cuối khối Hầu hết phương pháp có mà thực xác thực mã hoá giả định phải mã hố tồn thơng điệp Tuy nhiên, IEEE 802.11 lại mã hoá liệu, phần header chứa địa MAC khơng mã hố phải đảm bảo tính an tồn Để làm điều này, chế độ CCM cho phép mã hoá phần thông điệp mà gọi chứng thực CCMMAC Offset Codebook Mode (OCB) OCB giản đồ mã hố chứng thực, nghĩa mã hoá chứng thực phép toán đơn lẻ OCB có số lợi thế: - OCB có khả thực song song nên hoạt động nhanh - OCB hiệu sử dụng lí thuyết mã hố tối thiểu - OCB chứng minh an toàn phương pháp mã hố khối bình thường (AES) Nhờ có lợi nên OCB IEEE802.11i lựa chọn đặt tên WRAP Tuy nhiên, để triển khai cần phải thơng qua uỷ ban tiêu chuẩn mà OCB lại chưa làm điều Vì thế, CCMP lựa chọn bắt buộc b) Sử dụng CCMP RSN • Mã hố liệu CCMP mã hoá liệu mức MPDU Các bước mã hố thể hình 3.23 Dữ liệu đến MSDU bị phân mảnh, mảnh mang hình thức MPDU chia tiêu đề IEEE 802.11 địa đích, nguồn thơng tin khác Tại đây, MPDU xử lí CCMP tạo MPDU mã hoá (chỉ mã hố liệu, khơng mã hố tiêu đề) Ngồi ra, CCMP chèn thêm trường, làm cho MPDU sau mã hoá dài 16 byte Các bước mã hoá MPDU: B1: ban đầu MPDU chưa mã hoá với tiêu đề chứa địa nguồn, đích số thơng tin khác - B2: Tiêu đề MAC tách đặt sang bên, thông tin tiêu đề tách sử dụng tạo byte MIC Ở giai đoạn này, byte tiêu đề CCMP đưa vào MPDU - B3: Giá trị MIC tính tốn để bảo vệ tiêu đề CCMP, liệu tiêu đề IEEE 802.11.Thời gian tồn đảm bảo nonce Trường MIC nối sau trường liệu - B4: Kết hợp liệu MIC mã hoá Tiêu đề CCMP đặt vào trước ciphertext - B5: Cuối cùng, tiêu đề MAC đặt vào trước tiêu đề CCMP Các MPDU sẵn sàng truyền mà không cần tiêu đề CCMP Bản mã MPDU đặt hàng đợi trước truyền Có thể có nhiều hàng đợi lúc có sách ưu tiên việc lựa chọn hàng đợi Ngay trước truyền, số trường tiêu đề IEEE 802.11 cập nhật để đáp ứng cho qui tắc truyền tải • Tiêu đề CCMP Các tiêu đề CCMP phải đặt vào trước phần liệu khơng mã hố Tiêu đề CCMP cung cấp mục đích: -Cung cấp 48 bit số lượng gói tin để bảo vệ phát lại cho phép người nhận lấy giá trị nonce sử dụng mã hố - Trong trường hợp multicast, thể nhóm khố sử dụng Định dạng tiêu đề CCMP tương đối giống với TKIP Thực khối mã hoá CCMP Một bước quan trọng chế độ đếm việc khởi tạo truy nhập cần tránh việc tái sử dụng giá trị bắt đầu Giá trị Ctr khởi tạo từ tăng lên việc xử lí chế độ đếm Ban đầu, cần đặt lại tất giá trị trường tiêu đề MAC mà che đậy để tính tốn MIC Sau truy nhập khởi tạo, q trình mã hố thi hành phần Counter Mode Các giá trị mã hố khố bí mật XOR với mẫu liệu để tạo thành liệu mã hoá Phương pháp bảo mật dựa thuật tốn đối xứng RSA Thuật tốn RSA có hai khóa: khóa cơng khai (hay khóa cơng cộng) khóa bí mật (hay khóa cá nhân) Mỗi khóa số cố định sử dụng q trình mã hóa giải mã Khóa cơng khai cơng bố rộng rãi cho người dùng để mã hóa Những thơng tin mã hóa khóa cơng khai giải mã khóa bí mật tương ứng Nói cách khác, người mã hóa có người biết khóa cá nhân (bí mật) giải mã Ta mơ trực quan hệ mật mã khố cơng khai sau: Bob muốn gửi cho Alice thông tin mật mà Bob muốn Alice đọc Để làm điều này, Alice gửi cho Bob hộp có khóa mở sẵn giữ lại chìa khóa Bob nhận hộp, cho vào tờ giấy viết thư bình thường khóa lại (như loại khố thơng thường cần sập 69 chốt lại, sau sập chốt khóa Bob mở lại không đọc lại hay sửa thơng tin thư nữa) Sau Bob gửi hộp lại cho Alice Alice mở hộp với chìa khóa đọc thơng tin thư Trong ví dụ này, hộp với khóa mở đóng vai trị khóa cơng khai, chìa khóa khóa bí mật  ... máy tính khơng dây Card mạng khơng dây máy tính, máy Palm, PDA Các thích ứng máy tính khơng dây cung cấp giao diện hệ thống điều hành mạng (NOS –Network Operation System) máy khách sóng khơng gian... điểm: : Khoảng cách máy trạm bị giới hạn, số lượng người dùng bị giới hạn, khơng tích hợp vào mạng có dây sẵn có *Mơ hình mạng sở Trong mô mạng sở, Client muốn liên lạc với phải thông Access Point... anten Bản chất kết nối không dây suốt hệ điều hành mạng Các mơ hình mạng WLAN * Mơ hình mạng độc lập IBSS Các trạm (máy tính có hỗ trợ card mạng khơng dây) tập trung lại khơng gian nhỏ để hình