Đồ án tốt nghiệp đại học Lời cảm ơn LỜI CẢM ƠN Trên thực tế thành công mà không gắn liền với hỗ trợ giúp đỡ dù hay nhiều, dù trực tiếp hay gián tiếp ngƣời xung quanh Trong suốt thời gian từ bắt đầu học tập giảng đƣờng đại học đến nay, em nhận đƣợc nhiều quan tâm, giúp đỡ thầy cô, gia đình bạn bè Đầu tiên, em xin đƣợc gửi lời cảm ơn đến Ban Giám hiệu Học viện Công nghệ Bƣu Viễn thông tạo cho em môi trƣờng rèn luyện tốt để em học tập tiếp thu đƣợc kiến thức quý báu năm qua Em xin cảm ơn tất thầy cô giáo, đặc biệt thầy cô khoa Viễn thồn tận tình dạy kiến thức quý báu để em hoàn thành đƣợc đồ án nhƣ hành trang cần thiết để em bƣớc đƣờng nghiệp sau Em xin đƣợc gửi lời cảm ơn sâu sắc đến cô Nguyễn Thị Hồng Huệ, ngƣời trực tiếp hƣớng dẫn em thực đồ án Cô nhiệt tình, tâm huyết hƣớng dẫn em suốt quãng thời gian dài qua, từ trƣớc bắt đầu thực đến hoàn thiện đồ án Mặc dù cố gắng hết sức, song đồ án không tránh khỏi thiếu sót Em mong nhận đƣợc thông cảm bảo tận tình quý thầy cô bạn để em hoàn thành tốt đồ án tốt nghiệp Cuối em xin kính chúc quý Thầy, Cô, gia đình bạn bè dồi sức khỏe, thành công nghiệp Hà Nội, ngày tháng 12 năm 2015 Sinh viên thực Ngô Đức Anh Ngô Đức Anh – D11VT2 i Đồ án tốt nghiệp đại học Mục lục MỤC LỤC MỤC LỤC ii DANH MỤC HÌNH VẼ iv THUẬT NGỮ VIẾT TẮT v LỜI NÓI ĐẦU .1 CHƢƠNG 1: TỔNG QUAN VỀ MẠNG KHÔNG DÂY MESH 1.1 Giới thiệu mạng không dây mesh .3 1.1.1 Mesh Router 1.1.2 Mesh Client 1.2 Kiến trúc mạng không dây mesh 1.2.1 Mạng không dây mesh sở hạ tầng (Infrastructural backbone) Mạng không dây mesh ngƣời dùng (Client WMNs) Mạng không dây mesh Hybrid (Hybrid WMNs) 1.3 Đặc điểm mạng không dây mesh 3.1 Mạng không dây đa hop 3.2 Tự định hình, tự hàn gắn tự cấu hình 1.3.3 Phụ thuộc vào việc hạn chế tiêu thụ lƣợng kiểu nút mạng 1.3.4 Năng lực khả liên kết với mạng không dây có 1.4 Các kịch ứng dụng mạng không dây Mesh .8 1.4.1 Mạng băng thông rộng cho gia đình 1.4.2 Mạng doanh nghiệp .9 1.4.3 Mạng đô thị 10 1.4.4 Các hệ thống giám sát bảo mật .10 1.5 So sánh mạng không dây mesh với số công nghệ 11 1.5.1 Truy cập Internet băng thông rộng: .11 1.5.2 Mức độ phủ sóng WLAN 11 1.5.3 Truy cập Internet di động .11 1.5.4 So sánh với mạng Ad hoc: 12 1.5.6 So sánh với mạng Sensor 12 1.6 Vấn đề hiệu suất an ninh mạng không dây mesh 12 1.6.1 Hiệu suất mạng không dây mesh 12 1.6.2 Vấn đề an ninh mạng không dây mesh 14 CHƢƠNG II CẤU HÌNH VÀ ĐỊNH TUYẾN 16 2.1 Các cấu hình mạng WMN .16 2.2 Định tuyến mạng WMN 17 2.2.1 Giao thức DSR .18 2.2.2 Giao thức AODV 19 CHƢƠNG III BẢO MẬT TRONG MẠNG KHÔNG DÂY MESH 23 3.1.Các dạng công mạng không dây mesh 23 3.1.1 Tấn công tầng vật lý 23 3.1.2 Tấn công tầng MAC 24 3.1.3 Tấn công tầng mạng 26 3.2 Bảo mật mạng không dây mesh 31 Ngô Đức Anh – D11VT2 ii Đồ án tốt nghiệp đại học Mục lục 3.2.1 Đặc điểm giải pháp bảo mật mạng không dây mesh 31 3.2.2 Các chế bảo mật cho mạng không dây mesh 32 3.3 Chuẩn bảo mật IEEE 802.11i 37 3.3.1 Giới thiệu chuẩn bảo mật IEEE 802.11i .37 3.3.2 Những lỗ hổng IEEE 802.11i công bảo mật .40 3.4 Giao thức bảo mật mạng không dây mesh 42 3.4.1 Giới thiệu .42 3.4.2 Một số thách thức định tuyến mạng không dây mesh 43 3.4.3 Một số giao thức bảo mật cho mạng không dây mesh 44 KẾT LUẬN 47 TÀI LIỆU THAM KHẢO 48 Ngô Đức Anh – D11VT2 iii Đồ án tốt nghiệp đại học Danh mục hình vẽ DANH MỤC HÌNH VẼ Hình 1.1: Mô hình mạng không dây mesh Hình 1.2: WMN Cơ sở hạ tầng Hình 1.3: WMN ngƣời dùng Hình 1.4: Hybrid WMNs .6 Hình 1.5: Mô hình WMN mạng băng thông rộng cho gia đình Hình 1.6: Mô hình WMN cho mạng doanh nghiệp .9 Hình 1.7: Mô hình WMN cho mạng đô thị 10 Hình 2.1: Cấu hình mạng WMN kiểu điểm – điểm 16 Hình 2.2 : Cấu hình mạng WMN kiểu điểm – đa điểm .16 Hình 2.3 Cấu hình mạng WMN kiểu đa điểm – đa điểm 17 Hình 2.5 Tóm tắt xử lý nhận nút .22 Hình 3.1: Tấn công giả mạo tầng MAC công truyền lại 25 Hình 3.2 Tấn công Wormhole đƣợc thực nút M1 M2 sử dụng đƣờng hầm 27 Hình 3.3: Tấn công Blackhole .28 Hình 3.4: Tấn công ký sinh bên mạng (giả sử F nằm vùng giao thoa G2) .30 Hình 3.5: Tấn công ký sinh bên kênh (giả sử F nằm vùng giao thoa G) .31 Hình 3.6 Mô hình bảo mật cho mạng không dây mesh 33 Hình 3.7 Sự hợp tác sinh khoá riêng nút lân cận mạng WMN .34 Hình 3.8 Quá trình bắt tay bốn bƣớc 39 Hình 3.9 Quá trình mã hoá CCMP .40 Hình 3.10 Tấn công chiếm quyền đăng nhập .41 Hình 3.11 Tấn công man-in-the-midle chế xác thực 802.1X 42 Ngô Đức Anh – D11VT2 iv Đồ án tốt nghiệp đại học Thuật ngữ viết tắt THUẬT NGỮ VIẾT TẮT AAA Server Ủy quyền tính toán AAD Additional Authentication Data AES Advanced Encryption Standard Anonce Authenticator nonce AODV Ad - Hoc On- Demand Distance Vector AP Access Point ARAN Authenticated Routing for ad hoc network CCMP Counter mode with CBC-MAC protocol CDMA Đa truy nhập phân chia theo mã CMM Cipher Block Chaning Massage Authentication code CRT Counter Mode CSMA/CA Đa truy nhập phân tán DSR Định tuyến nguồn động EAP Giao thức xác thực mở rộng GTK Group temporal key ICV Intergrity Cheek value IV Intalization vector LAN Local Area Net work MAC Mediu m Access Control MIC Message intergrity MPDU MAC protocol data unit PMK Pair wise Master Key PN Packet Number PTK Pair wise transient Key Ngô Đức Anh – D11VT2 v Đồ án tốt nghiệp đại học Thuật ngữ viết tắt PRNG Psecido random nember genertor QoS Chất lượng dịch vụ RD Router Discovery RM Router maintenance RREQ Router Request RREP Router Reply RRER Router Error SAK Serect Authentication Key SAODV Secare AODV SNonce Supplicant nonce SRP Secure routing Protocol SSK Serect Key TDMA Đa truy nhập phân chia theo thời gian TK Temporal Key TKIP Temporal key Intergrity protocol WEP Wired Equivalent privacy WMN Wireless Mesh network WPA Wifi Protected Access Ngô Đức Anh – D11VT2 vi Đồ án tốt nghiệp đại học Lời nói đầu LỜI NÓI ĐẦU Trong số năm gần đây, truyền thông không dây phát triển mạnh mẽ Liên lạc không dây gần nhƣ tất yếu thiết bị nhƣ: máy tính xách tay, điện thoại di động WMNs mạng multi-hop không dây điểm truy cập giao tiếp với thông qua kết nối không dây Qua khu vực rộng lớn đƣợc che phủ truy cập không dây với chi phí thấp WMNs nhanh chóng đƣợc thƣơng mại hóa nhiều kịch ứng dụng khác Các nhà khai thác dễ dàng cung cấp dịch vụ không dây băng rộng với chi phí đầu tƣ khai thác thấp, đồng thời phủ sóng diên rộng nơi công cộng, mạng cộng đồng, xây dựng tự động hóa, mạng tốc độ cao đô thị, mạng doanh nghiệp Tuy nhiên, tiện lợi mạng không dây đặt thử thách lớn bảo mật đƣờng truyền cho nhà quản trị mạng Khả kết nối nút WMN tự động thiết lập trì nút tham gia vào mạng Điều làm cho WMN trở nên động, tự tổ chức tự cấu hình Đặc điểm mạng lại nhiều lợi nhƣ chi phí lắp đặt thấp, chi phí bảo trì thấp, dịch vụ chắn đáng tin cậy Trong tất dạng mạng bảo mật nhân tố cho an toàn tin cậy việc truyền liệu WMN có nhiều lợi so với mạng không dây khác Ví dụ cung cấp cài đặt đơn giản, lực băng thông khả kháng lỗi vốn có trƣờng hợp mạng bị lỗi Triển khai WMN đơn giản Chúng tự cấu hình tự tổ chức cách tự động với nút có sẵn mạng việc tự động thiết lập trì kết nối mạng dựa nút mang lại vùng dịch vụ tin cậy mạng Tính mang lại nhiều lợi cho WMNs nhƣ chi phí thấp, bảo trì mạng lƣới dễ dàng Tuy nhiên, tiện lợi mạng không dây đặt thử thách lớn bảo mật cho nhà quản trị mạng Với nhận thức ấy, em định làm đồ án tốt nghiệp với đề tài: “Nghiên cứu tìm hiểu vấn đề bảo mật mạng không dây cấu hình lưới” Nội dung đồ án gồm chƣơng: Chƣơng 1: Chƣơng 2: Chƣơng 3: Ngô Đức Anh – D11VT2 Đồ án tốt nghiệp đại học Chƣơng 1: Tổng quan mạng không dây MESH CHƢƠNG 1: TỔNG QUAN VỀ MẠNG KHÔNG DÂY MESH Mạng không dây Mesh (Wireless mesh network – WMN) đƣợc coi công nghệ chủ chốt cho hệ mạng không dây việc cung cấp nhanh chóng dịch vụ miễn phí cho ngƣời dùng Các nút WMN bao gồm mesh router mesh client Mỗi nút hoạt động không máy chủ mà router, chuyển tiếp gói liệu thay cho nút khác không trực tiếp nằm phạm vi truyền liệu không dây Khả kết nối nút WMN tự động thiết lập trì nút tham gia vào mạng Điều làm cho WMN trở nên động, tự tổ chức tự cấu hình Đặc điểm mạng lại nhiều lợi nhƣ chi phí lắp đặt thấp, chi phí bảo trì thấp, dịch vụ chắn đáng tin cậy Công nghệ phổ biến đƣợc sử dụng sống ngày nhƣ máy tính để bàn, máy tính xách tay, PDA, Pocket PC, điện thoại đặt nút thông thƣờng đƣợc trang bị card mạng không dây (NIC's) lần lƣợt kết nối với router không dây Các nút card mạng không dây truy cập mạng không dây mesh cách kết nối đến router không dây thông qua phƣơng thức khác nhƣ Ethernet Ngoài ra, chức gateway bridge WMN cho phép tích hợp WMN với mạng không dây có khác nhƣ mạng Cellular, wireless sensors, Wi-Fi, Wi-MAX Có kiểu mạng WMN, là: WMN hạ tầng, WMNs khách hàng, WMN lai ghép WMN hạ tầng bao gồm thiết bị chuyên dụng hạ tầng mạng, điểm truy nhập hay chuyển tiếp Các thiết bị khách hàng không tham gia vào việc định tuyến nút lƣới Thay vào đó, chúng kết nối vào điểm truy nhập công nghệ truy nhập vô tuyến truyền thống WMN khách hàng bao gồm thiết bị khách hàng nhƣ máy tính xách tay Các thiết bị khách hàng tham gia vào việc định tuyến nút lƣới Hơn chúng thực chức nhƣ thiết bị hạ tầng WMN lai ghép bao gồm hai loại thiết bị Mạng không dây mesh dạng cao cấp mạng không dây Một WMN cung cấp cách giải tốt cho vấn đề thƣờng xảy mạng cellular WLAN Vấn đề cellular WLAN hai bị giới hạn vùng truy nhập Những công nghệ đắt tỷ lệ liệu truyền thấp Ngƣợc lại, WMN tƣơng đối rẻ tốc độ truyền liệu cao Thuật ngữ WMN miêu tả mạng không dây mà nút liên lạc trực tiếp gián tiếp với nhiều nút ngang hàng Từ “mesh” diễn tả tất nút đƣợc kết nối trực tiếp với tất nút khác nhƣng đa số mesh đại kết nối với tập nút đƣợc kết nối với Trong WMN có loại nút Mesh router: Bộ định tuyến lƣới Ngô Đức Anh – D11VT2 Đồ án tốt nghiệp đại học Chƣơng 1: Tổng quan mạng không dây MESH Mesh client: Ngƣời dùng lƣới loại nút hoạt động nhƣ máy chủ định tuyến Các gói tin đƣợc chuyển tiếp thay mặt cho nút khác mà chúng không nằm vùng truyền không dây trực tiếp điểm đích Dƣới mô hình tổng quan mạng WNMs Hình 1.1: Mô hình mạng không dây mesh 1.1 Giới thiệu mạng không dây mesh 1.1.1 Mesh Router Mesh router chủ yếu thiết bị cố định Thông qua công nghệ đa điểm chúng đạt đƣợc vùng phủ sóng giống nhƣ định tuyến thông thƣờng nhƣng tốn lƣợng nhiều Chúng có thêm chức định tuyến để hỗ trợ cho mạng mesh Nó giúp nhiều cho ngƣời sử dụng cách kết nối chúng với định tuyến không dây mesh thông qua Ethernet chí chúng NIC không dây, ngƣời sử dụng online liên tục, đâu Khác với khả định tuyến router thông thƣờng, mesh router không dây bao gồm chức định tuyến bổ sung (định tuyến phụ) để hỗ trợ mạng mesh Một mesh router thƣờng đƣợc trang bị nhiều giao diện không dây đƣợc xây dựng từ công nghệ không dây giống khác nhằm nâng cao tính linh hoạt mạng không dây Khi so sánh với thiết bị định tuyến thông thƣờng, mesh router đạt đƣợc vùng phủ sóng giống nhƣ nhiều thiết bị truyền dẫn mạnh thông qua truyền Ngô Đức Anh – D11VT2 Đồ án tốt nghiệp đại học Chƣơng 1: Tổng quan mạng không dây MESH thông multi-hop 1.1.2 Mesh Client Các Mesh Client di động cố định Các mesh client có chức mesh cần thiết chúng hoạt động nhƣ định tuyến nhƣng chức gateway cầu nối Chúng có giao diện không dây Có nhiều thiết bị hoạt động nhƣ mesh client nhƣ: Laptop, PDA, Wi- Fi IP Phone, WiFi RFID Reader Mesh client làm việc nhƣ router chúng có chức cần thiết mesh networking Phần cứng phần mềm mesh client giống nhƣ mesh router Tuy nhiên, mesh client thƣờng có giao diện mạng không dây đơn Hơn nữa, thiết bị mesh client đa dạng so với mesh router Chúng laptop/desktop, pocket PCs, PDAs, IP phones, RFID readers, BAC network, thiết bị điều khiển, nhiều thiết bị khác 1.2 Kiến trúc mạng không dây mesh Mạng không dây mesh đƣợc chia làm nhóm chính:  Mạng không dây mesh sở hạ tầng (Infrastructural backbone)  Mạng không dây mesh ngƣời dùng (Client WMNs)  Mạng không dây mesh Hybrid ( Hybrid WMNs) 1.2.1 Mạng không dây mesh sở hạ tầng (Infrastructural backbone) Hình 1.2: WMN Cơ sở hạ tầng Ngô Đức Anh – D11VT2 Đồ án tốt nghiệp đại học Chƣơng 3: Bảo mật mạng không MESH loại bỏ Sử dụng khoá cho thông báo bảo vệ đƣợc liệu từ công tính toán trƣớc công phần thông tin tính toán trƣớc cần phải đƣợc áp dụng thông báo để giải mã thông báo Điều làm cho giá trị công tốn so với thông tin thu đƣợc b/ Cơ chế phát xâm nhập Có hệ thống phát xâm nhập đƣợc để xuất cho tầng MAC mạng không dây Lim đồng đề xuất hệ thống phát xâm nhập để bảo vệ access point với phản ứng chủ động tự động Tác giả đề xuất việc triển khai thiết bị phát gần với điểm truy cập không dây việc phát đƣợc thực tài tầng MAC Các thông báo Ready To Send / Clear To Send từ blacklist địa MAC đƣợc đề xuất nhƣ thƣớc đo cho việc phát Giống nhƣ việc phản ứng lại xâm nhập, tác giả đề xuất việc sử dụng lại chiến thuật kẻ xâm nhập tác động lên kẻ xâm nhập cách truyền gói liệu bị thay đổi trở lại Ý tƣởng đƣợc đề xuất triển khai thiết bị phát chuyên dụng không hiệu mặt chi phí Hơn nữa, nút hợp pháp bị phạt phát thông tin không xác Các chế phát xâm nhập tầng MAC đƣợc sử dụng để phát vụ công đƣợc thực nút lỗi không tuân theo giao thức tầng MAC Những công bao gồm công gây nhiễu lớp liên kết công từ chối dịch vụ 3.1.2.2 Các chế bảo mật tầng mạng a/ Các chế ngăn chặn xâm nhập Các kỹ thuật phòng chống xâm nhập đƣợc đề xuất để đảm bảo giao thức mạng không dây Những giao thức Secure Routing Protocol (SRP), Secure AODV (SAODV), Authenticated Routing for Ad hoc Network (ARAN), A Secure On-Demand Routing Protocol for Ad Hoc Networks (Ariadne) số giao thức khác Tất giao thức sử dụng mã hoá nguyên thuỷ để thiết lập số hình thức tin cậy gửi nút mạng thông qua trình xác thực lẫn Ví dụ, SRP nhằm mục đích đảm bảo trình tìm đƣờng định tuyến bảo vệ chức định tuyến từ công cách khai thác giao thức định tuyến Các thông báo yêu cầu định tuyến (Route Request) trả lời định tuyến (Route Reply) đƣợc bảo vệ mã xác thực thông báo (Message Authentication Code - MAC) để xác thực nút nguồn Địa IP nút trung gian đƣợc thêm vào thông báo yêu cầu định tuyến bỏ qua xác nhận hợp lệ để tránh công lỗ đen (blackhole) công lỗ sâu (wormhole) Việc bảo vệ thông báo yêu cầu định tuyến trả lời định tuyến đảm bảo việc bảo vệ chống lại công ngoại trừ trƣờng hợp nhiều nút thông đồng cấu kết với thực công; SAODV sử dụng chữ ký số để xác thực tất trƣờng thông báo yêu cầu định tuyến trả lời định tuyến trừ trƣờng đếm hop Chữ ký số Ngô Đức Anh – D11VT2 35 Đồ án tốt nghiệp đại học Chƣơng 3: Bảo mật mạng không MESH đƣợc sử dụng sở ngƣời dùng cuối nguồn đích Trƣờng đếm hop đƣợc đảm bảo cách sử dụng bảng băm liên kết b/ Cơ chế phát xâm nhập Nhiều kỹ thuật phát xâm nhập đƣợc đề xuất thực tầng mạng mạng có dây nhƣ mạng không dây Hầu hết hệ thống phát xâm nhập dựa vào hệ thống dựa tri thức kỹ thuật khai thác liệu Ví dụ, Huang đồng đề xuất hệ thống phát xâm nhập cho mạng không dây di động dựa phân tích qua tính (cross-feature analysis) Các nút theo dõi thông số khác mạng dựa vào giá trị thông số (i-1), dự đoán giá trị thông số thứ i so sánh chúng với thông số giá trị theo dõi thông số để phát định tuyến bất thƣờng mạng Tác giả đề xuất phƣơng pháp tiếp cận dựa nhóm phân tán nhƣ phần mở rộng sản phẩm này, qua đề xuất phân chia mạng thành nhóm có số nút nhóm thực chức giám sát với khả phát xâm nhập gần giống với tất nút theo dõi cách tích cực Hệ thống dạng có hiệu nguồn tài nguyên, mà hiệu nguồn tài nguyên lại mục đích thiết kế mạng không dây Yang đồng đề xuất giải pháp bảo mật tầng mạng tự tổ chức cho mạng ad hoc di động Đây giải pháp đảm bảo mạng tự hàn gắn từ tổ chức Giải pháp dựa hợp tác nút phân tán bên cạnh thông tin xác nhận chéo, kết mạng tự tổ chức tự phục hồi Hệ thống dạng dựa ngƣỡng chia sẻ bí mật đƣợc thảo luận mà vấn đề làm làm thẻ xác thực nút Tác giả đề xuất kịch uy tín dựa biểu (token-based crediting) Thẻ xác thực nút hết hiệu lực sau thời gian xác định Thời gian hết hạn thẻ xác thực dựa vào uy tín nút Uy tín nút hoạt động tốt đƣợc tích luỹ theo thời gian Do đó, thời gian hết hạn thẻ xác thực nút dài tăng theo chiều tuyến tính nút làm thẻ Thẻ nút ích kỷ độc hại bị thu hồi hợp tác vùng lân cận để kìm chế chúng tham gia vào mạng Việc nhận dạng số liệu đƣợc dùng để phân biệt hoạt động tốt nút độc hại dựa giao thức định tuyến bao gồm độ dài số lƣợng hop tỉ lệ chuyển tiếp gói tin, Các chế phát xâm nhập tầng mạng chủ yếu giải vấn đề nút độc hại, ích kỷ bị lỗi cốt lõi hầu hết công vào tầng mạng Các giải pháp nêu xác định bất thƣờng kiểm soát thông báo để nhận dạng công phần (mặt) điều khiển nhƣ công dồn dập (rushing), lỗ sâu (wormhole), lỗ đen (blackhole), lỗ xám (greyhole), phân vùng mạng (network partitioning) lặp định tuyến (routing loop attack) Mặt khác, kỹ thuật giám sát vùng lân cận đƣợc triển khai để nhận dạng công mặt liệu Ngô Đức Anh – D11VT2 36 Đồ án tốt nghiệp đại học Chƣơng 3: Bảo mật mạng không MESH 3.3 Chuẩn bảo mật IEEE 802.11i IEEE 802.11i chuẩn quy định cho bảo mật tầng MAC mạng không dây Dự thảo chuẩn cho mạng không dây IEEE 802.11s đề xuất việc sử dụng IEEE 802.11i cho bảo mật tầng MAC mạng không dây Phần luận văn dùng để thảo luận chuẩn IEEE 802.11i Trƣớc tiên giải thích phƣơng pháp bảo mật dựa dịch vụ bảo mật đƣợc hỗ trợ chuẩn IEEE 802.11, sau trình bày lỗ hổng chuẩn IEEE 802.11i làm cho chuẩn có xu hƣớng bị công bảo mật Những công bao gồm công tính toán trƣớc công phần, công chiếm quyền điều khiển phiên làm việc công ngƣời nhằm khai thác lỗ hổng IEEE 802.1X, công từ chối dịch vụ nhằm khai thác lỗ hổng trình bắt tay bốn bƣớc Phần thảo luận sơ qua đề xuất chế phòng chống công 3.3.1 Giới thiệu chuẩn bảo mật IEEE 802.11i IEEE 802.11i cung cấp dịch vụ bảo mật nhƣ bảo mật liệu, toàn vẹn liệu, xác thực bảo vệ chống lại công lặp lại Chuẩn bao gồm phần: Phân phối khoá, xác thực lẫn nhau, toàn vẹn liệu bảo mật xác thực nguồn gốc IEEE 802.11X đƣợc sử dụng để phân phối chứng thực khoá dẫn đến việc sử dụng giao thức xác thực mở rộng (Extensible Authentication Protocol - EAP) máy chủ xác thực, uỷ quyền tính toán (AAA server) nhƣ RADIUS DIAMETER IEEE 802.11X giao thức điều khiển truy cập mạng dựa port hoạt động dựa kiến trúc client- server, port ngữ cảnh điểm kết nối vào sở hạ tầng mạng Khi router access point (thiết bị nhận yêu cầu xác thực từ ngƣời dùng - authenticator) nhận dạng đƣợc client (ngƣời cần xác thực - supplicant), port authenticator mở đặt tình trạng "unauthorized" cho client Ở trạng thái có lƣu lƣợng 802.1X (thông báo EAP) đƣợc phép truyền tất lƣu lƣợng khác client bị khoá Authenticator gửi thông báo EPA-Request tới supplicant, supplicant trả lời thông báo EPA-Response Authenticator chuyển tiếp thông báo đến máy chủ AAA Nếu máy chủ xác thực client chấp nhập yêu cầu, sinh cặp khoá chủ thông minh (Pairwise Master Key - PMK), khoá đƣợc phân phối đến authenticator supplicant cách sử dụng thông báo EAP Sau trình xác thực máy chủ, authenticator đặt chế độ "authorized" port cho client trình luân chuyển bắt đầu Lƣu ý giao thức tƣơng tự đƣợc sử dụng để xác thực phân phối khoá hai peer router hai client ngang hàng trƣờng hợp sử dụng mạng không dây mesh Tiếp theo việc phân phối xác thực mã khoá sử dụng 802.1X xác thực lẫn suplicant (client peer router) athenticator (router/AP Ngô Đức Anh – D11VT2 37 Đồ án tốt nghiệp đại học Chƣơng 3: Bảo mật mạng không MESH peer router) dựa trình bắt tay bốn bƣớc Bắt tay bốn bƣớc đƣợc bắt đầu hai nút có ý định trao đổi liệu với Quá trình phân phối mã khoá tạo nên chia sẻ khoá bí mật PMK có đƣợc supplicant nhƣ authenticator Tuy nhiên khoá đƣợc thiết kế cho phần cuối toàn phiên làm việc để lộ tốt Do trình bắt tay bốn bƣớc thƣờng thiết lập thêm khoá gọi Cặp khoá tạm thời thông minh (Pairwise Transient Key - PTK) Nhóm khoá tạm thời (Group Temporal Key -GTK) PTK đƣợc tạo supplicant cách nối Cặp khoá chủ thông minh, Authenticator nonce (ANonce), Supplicant nonce (SNonce), địa MAC Authenticator, địa MAC Supplicant Khoá sau qua hàm băm mật mã GTK đƣợc tạo authenticator đƣợc truyền đến supplicant trình bắt tay bốn bƣớc diễn PTK thƣờng sinh Khoá tạm thời (Temporal Key - TK) sử dụng thông báo mã hoá đơn hƣớng (unicast) GTK sử dụng thông báo mã hoá quảng bá (broadcast) đa hƣớng (multicast) Quá trình bắt tay bốn bƣớc bao gồm việc sinh phân phối khoá supplicant authenticator, kết dẫn đến việc xác thực lẫn Thông báo trình bắt tay bốn bƣớc truyền tín hiệu từ authenticator đến supplicant, bao gồm ANonce Supplicant sử dụng ANonce trƣờng có sẵn để sinh PTK Thông báo thứ hai trình bắt tay việc truyền tín hiệu từ supplicant đến authenticator với SNonce Mã toàn vẹn thông báo (Message Integrity Code - MIC) sử dụng mật mã PTK Autheticator lúc lúc sinh PTK GTK Các mã toàn vẹn thông báo kèm đƣợc giải mã để sử dụng sinh PTK Nếu giải mã thành công authenticator supplicant xác thực lẫn thành công Điều có đƣợc PTK sinh authenticator phù hợp với PTK đƣợc truyền supplicant hai chia sẻ PMK Thông báo thứ ba đƣợc truyền từ authenticator bao gồm GTK MIC Thông báo cuối trình bắt tay bốn bƣớc thông báo xác nhận đƣợc truyền supplicant Hai nút trao đổi liệu sau trình bắt tay bốn bƣớc hoàn tất Ngô Đức Anh – D11VT2 38 Đồ án tốt nghiệp đại học Chƣơng 3: Bảo mật mạng không MESH Hình 3.8 Quá trình bắt tay bốn bƣớc IEEE 802.11i hỗ trợ hai phƣơng pháp cho dịch vụ bảo mật bảo mật liệu, toàn vẹn liệu, xác thực nguồn gốc bảo vệ chống lại công lặp lại Phƣơng pháp Temporal Key Integrity Protocol (TKIP), cải tiến WEP đƣợc dự phòng tƣơng thích cho thiết bị lạc hậu với phần cứng đƣợc thiết kế sử dụng WEP Mã hoá RC4 đƣợc sử dụng nhƣ thuật toán mã hoá Tuy nhiên việc thực thuật toán yếu (không ổn định), làm cho giao thức dễ bị công nhiều công bảo mật Phƣơng pháp thứ hai giao thức CCMP (Counter mode (CTR) with CBCMAC protocol) Giao thức CCMP dựa Advanced Encryption Standard (AES) sử dụng thuật toán mã hóa chế độ truy cập với phƣơng thức hoạt động chuỗi mã hoá khối - mã xác thực thông báo (Cipher Block Chaining Message Authentication Code - CCM) Chế độ CCM kết hợp chế độ bảo mật truy cập (CTR) với chuỗi mã hoá khối - mã xác thực thông báo (CBC-MAC) để kiểm tra xác thực toàn vẹn nguồn gốc Các chế độ đƣợc sử dụng nghiên cứu thời gian dài, đƣợc hiểu rõ tính chất mật mã Họ cung cấp an ninh tốt hiệu phần cứng phần mềm Nhƣ hình… thể hiện, mã hoá CCM gồm đầu vào: Khoá mã hoá, Dữ liệu xác thực bổ sung (Additional Authentication Data AAD); Nonce cho frame văn gốc CCMP đóng gói văn gốc đơn vị liệu giao thức MAC (MAC Protocol Data Unit - MPDU) sử dụng số bƣớc sau (Hình 3.9):  MPDU Đầu tiên tăng Packet Number (PN), để có đƣợc PN cho  Các trƣờng MAC header đƣợc sử dụng để xây dựng Dữ liệu xác thực bổ sung (Additional Authentication Data - AAD) Ngô Đức Anh – D11VT2 39 Đồ án tốt nghiệp đại học Chƣơng 3: Bảo mật mạng không MESH  Xây dựng khối CCM Nonce (véc tơ khởi tạo) từ PN, trƣờng A2 trƣờng Priority MPDU  Mã hoá PN KeyID vào octet CCMP Header  Chạy chế độ CTR AES sử dụng khoá tạm thời (TK), AAD, Nonce liệu MPDU tạo thành mật mã Mã toàn vẹn thông báo (MIC)  MPDU mã hoá đƣợc tạo thành cách ghép MAC header gốc, CCMP header, Dữ liệu mã hoá mã toàn vẹn thông báo Hình 3.9 Quá trình mã hoá CCMP 3.3.2 Những lỗ hổng IEEE 802.11i công bảo mật Chuẩn IEEE 802.11i cung cấp có hiệu số dịch vụ an ninh; nhiên, có số lỗ hổng bảo mật đƣợc phát vài năm gần 3.3.2.1 Lỗ hổng IEEE 802.1X IEEE 802.1X sử dụng chuẩn IEEE802.11i để phân phối xác thực khoá Ba thực thể: thiết bị nhận yêu cầu xác thực (Authenticator), ngƣời cần xác thực (Supplicant) máy chủ xác thực (Authenticator server) tham gia tiến trình Giả định giao thức xác thực luôn đáng tin cậy Do đó, supplicant không xác minh thông báo nhận đƣợc từ authenticator đáp ứng vô điều kiện thông báo Tuy nhiên, thực tế đối thủ thực xác thực, điều làm cho giao thức bị tổn thƣơng dẫn đến công cƣớp quyền công ngƣời (man-in-the-midle) Hình 3.10 cách đối thủ khai thác lỗ hổng đề cập để công cƣớp quyền điều khiển Đối thủ chờ đến authenticator supplicant hoàn thành trình xác thực authenticator gửi thông báo EAP success đến supplicant Theo đó, đối thủ gửi thông báo phân tách (disassociate message) đến supplicant với IP giả Ngô Đức Anh – D11VT2 40 Đồ án tốt nghiệp đại học Chƣơng 3: Bảo mật mạng không MESH authenticator Supplicant cho phiên làm việc bị ngắt authenticator thông báo không xác thực tính toàn vẹn Đối thủ giành đƣợc quyền truy cập vào mạng cách giả mạo địa MAC supplicant truy cập với thủ tục xác thực lẫn sử dụng phƣơng pháp bắt tay bốn bƣớc Hình 3.10 Tấn công chiếm quyền đăng nhập Hình 3.11 cho thấy công ngƣời đƣợc đối thủ thực khai thác vào IEEE 802.1X Sau thiết lập trao đổi thông báo EAP request response supplicant authenticator, đối thủ gửi thông báo EAP success đến supplicant sử dụng địa MAC Vì giao thức IEEE 802.1X thừa nhận trình chuyển đổi vô điều kiện dựa việc nhận thông báo EAP success supplicant, suplicant cho xác thực authenticator thay đổi trạng thái Khi authenticator gửi thông báo EAP success, supplicant qua trạng thái đợi thông báo thành công, không phản ứng với thông báo Supplicant cho đổi thủ authenticator hợp pháp đối thủ dễ dàng giả mạo địa MAC supplicant để giao tiếp với authenticator Do đó, đối thủ trở thành trung gian supplicant authenticator Giải pháp đề xuất để ngăn chặn công đề nghị kiểm tra xác thực toàn vẹn thông báo EAP authenticator supplicant Giải pháp đề xuất chấp thuận mô hình chứng thực dựa mạng ngang hàng (peer - to - peer) authenticator supplicant hoạt động giống nhƣ peer supplicant kiểm tra thông báo từ authenticator trình thiết lập tin cậy Mô hình peer to peer đƣợc cho thích hợp cho mạng không dây mesh authenticator supplicant WMN router Ngô Đức Anh – D11VT2 41 Đồ án tốt nghiệp đại học Chƣơng 3: Bảo mật mạng không MESH Hình 3.11 Tấn công man-in-the-midle chế xác thực 802.1X 3.4 Giao thức bảo mật mạng không dây mesh 3.4.1 Giới thiệu Mạng không dây mesh lên nhƣ khái niệm đạt đến công nghệ mạng hệ cung cấp khả mềm dẻo, thích nghi kiến trúc tự cấu hình giải pháp giá lại hiệu Không giống nhƣ mạng WiFi, với access point đƣợc nối với mạng có dây, mạng không dây mesh nhóm nhỏ access point nối với mạng có dây Các access point nối với mạng có dây đƣợc gọi Internet gateway, access point kết nối có dây đƣợc gọi mesh router Các mesh router đƣợc kết nối với Internet gateway sử dụng truyền thông đa hop Các Internet gateway cung cấp truy cập cho khách hàng truyền thống kết nối đến mạng adhoc, sensor, cellular mạng khác Do lợi mạng không dây mesh, mạng đƣợc sử dụng số ứng dụng nhƣ mạng gia đình, giám sát cộng đồng khu vực, hệ thống giám sát an ninh, quản lý thiên tai hoạt động cứu hộ, Vì không sử dụng hạ tầng có dây để triển khai, mạng không dây mesh đƣợc coi có chi phí hiệu cho hệ thống mạng WLAN mạng xƣơng sống cho khách hàng di động Các công nghệ không dây có nhƣ IEEE 802.11, IEEE 802.15, IEEE 802.16 IEEE 802.20 đƣợc sử dụng để triển khai cho mạng không dây mesh Và mạng không dây mesh trở nên ngày phát triển phổ biến thay công nghệ kết nối dặm cuối cho mạng gia đình, mạng cộng đồng khu vực việc đòi hỏi phải thiết kế hệ thống quản lý tài nguyên cách hiệu Ngô Đức Anh – D11VT2 42 Đồ án tốt nghiệp đại học Chƣơng 3: Bảo mật mạng không MESH 3.4.2 Một số thách thức định tuyến mạng không dây mesh Với kiến trúc điển hình mạng không dây mesh Tại tầng Internet gateway đƣợc kết nối có dây với Internet Chúng tạo thành sở hạ tầng xƣơng sống cung cấp kết nối Internet cho phần tử tầng thứ hai Các đối tƣợng lớp thứ hai đƣợc gọi mesh router không dây (bộ định tuyến lƣới không dây) loại bỏ cần thiết hạ tầng có dây mesh router chuyển tiếp lƣu lƣợng chúng dƣới dạng đa hop hƣớng đến Internet gateway Tầng thấp ngƣời dùng lƣới (mesh client) thiết bị ngƣời dùng không dây Kết nối Internet truyền thông ngang hàng mạng lƣới hai ứng dụng quan trọng cho mạng không dây mesh Vì thế, thiết kế giao thức định tuyến hiệu chi phí thấp tránh đƣợc tuyến đƣờng không đáng tin cậy ƣớc tính xác đƣợc độ trễ đầu cuối lƣu lƣợng dọc theo tuyến đƣờng từ nguồn đến đích vấn đề cốt lõi Một số đòi hỏi việc thiết kế giao thức cho mạng không dây mesh là:  Đo tin cậy liên kết: đƣợc quan sát mạng không dây ad hoc nhƣ mạng không dây mesh, nút nhận thông báo quảng bá đƣa vùng xám (gray zones) Trong vùng này, thông báo liệu trao đổi thông qua thông báo hello đến nút lân cận Điều dẫn đến gián đoạn giao tiếp (truyền thông) nút Khi giao thức định tuyến nhƣ AODV WMR chuyển tiếp gói tin điều khiển giống nhƣ RREQ, giao thức không đáng tin cậy ƣớc lƣợng chất lƣợng kết nối không dây Do vấn đề truyền thông vùng xám, nút gửi nhận liệu hai chiều gói tin RREQ gửi nhận gói tin liệu (ở tỉ lệ lớn) Các liên kết dễ đứt gãy kích hoạt việc sửa chữa kết nối dẫn đến chi phí kiểm soát cao  Ƣớc tính độ trễ đầu cuối: Một vấn đề quan trọng giao thức định tuyến ƣớc lƣợng độ trễ đầu cuối Các giao thức thời ƣớc lƣợng độ trễ đầu cuối cách đo thời gian từ gói tin yêu cầu định tuyến (RREQ) giói tin trả lời định tuyến (RREP) dọc theo đƣờng chọn Tuy nhiên, gói tin yêu cầu định tuyến trả lời định tuyến khác với liệu thông thƣờng chúng không hứa hẹn tìm mức độ trễ việc gói tin giống Điều quan sát đƣợc thông qua việc mô qua việc ƣớc lƣợng dựa trả lời định tuyến (RREP) đánh giá cao ƣớc lƣợng dựa việc đếm số hop đánh giá thấp thực tế trễ gói tin liệu Lý sai lệch đáng kể việc ƣớc lƣợng dựa trả lời định tuyến so với thực tế đầu cuối việc nhiễu (giao thoa) tín hiệu Các gói tin yêu cầu định tuyến bị tràn mạng dẫn đến việc bùng nổ lƣu lƣợng Lƣu lƣợng lớn nguyên nhân trộn lẫn dòng nhiễu đƣờng truyền Các gói liệu truyền đơn hƣớng không gây nên kiện nhƣ Thêm vào đó, dòng liệu di chuyển dọc theo đƣờng định tuyến, tính chất phát sóng kết nối không dây, gói tin khác luồng gây nhiễu lẫn dẫn đến việc chậm trễ gói tin Khi gói tin điều khiển không chịu đựng đƣợc việc trễ Ngô Đức Anh – D11VT2 43 Đồ án tốt nghiệp đại học Chƣơng 3: Bảo mật mạng không MESH gói tin, việc ƣớc lƣợng dựa trễ gói tin điều khiển lệch nhiều so với việc trễ gói tin liệu thực tế  Giảm chi phí điều khiển: từ hiệu băng thông kênh truyền không dây thay đổi liên tục, việc giảm thiểu chi phí điều khiển quan trọng nhằm tối đa thông lƣợng mạng Các giao thức bị động AODV DSR sử dụng việc phát tràn gói tin yêu cầu định tuyến cho việc khám phá tuyến đƣờng Việc tiêu thụ tỷ lệ cao băng thông mạng làm suy giảm hiệu thông lƣợng Một thách thức quan trọng việc thiết kế giao thức định tuyến cho mạng không dây mesh tối ƣu truyền thông tính toán chi phí thông báo điều khiển để băng thông kênh không dây đƣợc dùng cho ứng dụng cách hiệu Các vấn đề bảo mật riêng tƣ mang lại phức tạp khác Mục đích ngƣời thiết kế giao thức thiết kế khuôn khổ bảo mật theo cách bao hàm việc tính toán tối thiểu chi phí truyền thông 3.4.3 Một số giao thức bảo mật cho mạng không dây mesh Từ số giao thức bảo mật cho mạng không dây mesh trƣớc năm 2000, có sản phẩm công bố vấn đề bảo mật mạng ad hoc giao thức định tuyến cho mạng không dây Các chuỗi băm đƣợc sử dụng nhƣ cách hiệu để có đƣợc chứng thực số cách tiếp cận nhằm cố gắng đảm bảo an ninh cho giao thức Tháng 10 năm 2001, dự thảo giao thức SAODV (Secure Ad Hoc On- Demand Distance Vector) đƣợc công bố SAODV mở rộng giao thức định tuyến AODV đƣợc sử dụng để bảo vệ chế khám phá tuyến đƣờng định tuyến cung cấp chức bảo mật nhƣ toàn vẹn xác thực, yêu cầu ngƣời khởi tạo thông báo định tuyến ký vào thông báo định tuyến (trái ngƣợc với ARAN, tất nút chuyển tiếp phải ký vào thông báo) Năm 2002, Papadimitratos Haas đề xuất giao thức SRP (Secure Routing Protocol) áp dụng số giao thức có (đặc biệt giao thức DSR) SRP đòi hỏi tất trình khám phá tuyến đƣờng, nguồn đích phải có kết hợp bảo mật Hơn nữa, đề xuất chí không đề cập đến thông báo lỗi tuyến đƣờng Vì thế, chúng không đƣợc bảo vệ nút độc hại giả mạo thông báo lỗi với nút khác nhƣ nút nguồn Trong giao thức SEAD (Secure Efficient Ad Hoc Distance Vector) chuỗi băm đƣợc sử dụng để kết hợp với DSDV-SQ (Sequence Number) Tại khoảng thời gian định, nút có chuỗi băm Chuỗi băm đƣợc chia thành nhiều phân đoạn; phần tử phân đoạn đƣợc dùng để đảm bảo số lƣợng hop theo cách tƣơng tự nhƣ giao thức SAODV Kích thƣớc chuỗi băm đƣợc xác định đƣợc tạo Sau sử dụng tất phần tử chuỗi Ngô Đức Anh – D11VT2 44 Đồ án tốt nghiệp đại học Chƣơng 3: Bảo mật mạng không MESH băm, chuỗi băm phải đƣợc tính toán SEAD đƣợc sử dụng với hệ thống xác thực phân phối khoá thích hợp Nhƣng việc tìm kiếm hệ thống nhƣ không đơn giản Giao thức Ariadne (A secure on-demand routing protocol for ad hoc networks) giao thức dựa giao thức DSR (dynamic source routing) TESLA (dựa chế xác thực nó) Nó đòi hỏi việc đồng hoá đồng hồ, điều đƣợc cho yêu cầu không thực tế mạng ad hoc Giao thức SAR (Security-aware Ad hoc Routing) Yi đồng đề xuất năm 2001 sử dụng bảo mật thông số quan trọng việc tìm đƣờng dẫn cung cấp khuôn khổ cho việc thực đo lƣờng thuộc tính số liệu bảo mật Khuôn khổ cho phép việc sử dụng mức độ khác bảo mật ứng dụng khác sử dụng giao thức SAR để định tuyến Trong mạng không dây mesh, truyền thông hai nút cuối thông qua nhiều nút đƣợc dựa thực tế nút cuối tin cậy vào nút trung gian SAR định nghĩa mức độ tin cậy nhƣ thƣớc đo cho việc định tuyến nhƣ thuộc tính đƣợc quan tâm Giao thức SEAODV (Security Enhanced AODV) đƣợc đề xuất vào năm 2011 Li đồng Giao thức triển khai chƣơng trình phân phối khoá Blom (Blom, 1985) để tính toán cặp khoá thông minh tạm thời (pair-wise transient key-PTK) thông qua việc phát tràn việc phát triển thông báo hello sau sử dụng việc triển khai cặp khoá thông minh tạm thời để phân phối nhóm khoá tạm thời (group transient key - GTK) PTK GTK đƣợc sử dụng cho xác thực thông điệp định tuyến đơn hƣớng quảng bá tƣơng ứng Trong mạng không dây mesh, PTK đƣợc chia sẻ căp nút GTK đƣợc chia sẻ cách bí mật nút tất nút lân cận Một mã xác thực thông báo (message authentication code - MAC) đƣợc thêm vào nhƣ phần mở rộng thông báo định tuyến AODV nguyên thuỷ để đảm bảo tính xác thực toàn vẹn hình dạng hop-by-hop Ngô Đức Anh – D11VT2 45 Đồ án tốt nghiệp đại học Chƣơng 3: Bảo mật mạng không MESH BẢNG TỔNG HỢP MỘT SỐ TẤN CÔNG TRONG MẠNG KHÔNG DÂY MESH VÀ GIAO THỨC BẢO MẬT TƢƠNG ỨNG Loại công Tầng bị công Giao thức bảo mật Jamming Physical and MAC layers Wormhole Network layer Network layer Network layer Network layer Network layer Frequenscy hopping spread spectrum (FHSS), Direct sequence spread spectrum (DSSS) Packet Leashes (Hu, 2003b) Blackhole Grayhole Sybil Selective packet dropping Rushing Byzantine Resource depletion Information disclosure Location disclosure Routing table modification Repudiatio n Network layer Network layer Network layer Network layer Network layer Network layer Application layer SAR (Yi, 2001) GRAYSEC (Sen, 2007), SAR (Yi, 2001) SYIBSEC (Newsome, 2004) SMT (Papadimitratos, 2003a), ARIADNE (Hu, 2002a), Sen (2010a), Sen (2010b) ARAN (Sanzgiri, 2002), SAR (Yi, 2001), SEAD (Hu, 2002b), ARIADNE (Hu, 2002a), SAODV (Li, 2001), SRP (Papadimitratos, 2002), SEAODV ODSBR (Awerbuch, 2002) (Li, 2011) SEAD (Hu, 2002b) SMT (Papadimitratos, 2003a) SRP (Papadimitratos, 2002) ARAN (Sanzgiri, 2002), SAR (Yi, 2001), SRP (Papadimitratos, 2002), SEAD (Hu, 2002b), ARIADNE (Hu, 2002a), SAODV (Li, 2001), SEAODV (Li, 2011) ARAN (Sanzgiri, 2002) Denial of service Multi-layer SRP (Papadimitratos, 2002), SEAD (Hu, 2002b), ARIADNE (Hu, 2002a) Impersonati on Ngô Đức Anh – D11VT2 Multi-layer ARAN (Sanzgiri, 2002), SEAD (Hu, 2002b), SEAODV (Li, 2011) 46 Đồ án tốt nghiệp đại học Ngô Đức Anh – D11VT2 Chƣơng 3: Bảo mật mạng không MESH 47 Đồ án tốt nghiệp đại học Kết luận KẾT LUẬN Vấn đề bảo mật cho hệ thống mạng không dây vấn đề khó khăn đƣợc đặt vị trí quan trọng hầu hết thiết kế mạng, nhiên, để có đƣợc giải pháp hoàn hảo cho tình điều gần nhƣ khó Chính vậy, thiết kế hệ thống mạng, phải dựa sở, yêu cầu thực tế hệ thống, cân nhắc lợi hại phƣơng pháp để đƣa sách bảo mật hợp lý Với mong muốn giúp nhà quản trị mạng xây dựng giải pháp bảo mật tốt cho hệ thống mạng không dây, phát triển mạnh mẽ công nghệ không dây tƣơng lai, đề tài "Một số vấn đề an ninh mạng lƣới không dây" em nghiên cứu đƣợc số vấn đề sau: Tìm hiểu tổng quan hệ thống mạng lƣới không dây, kiến trúc, giao thức, nhƣ số vấn đề kỹ thuật hệ thống mạng không dây Tìm hiểu số phƣơng pháp công hệ thống mạng lƣới không dây Từ xây dựng giải pháp phù hợp cho hệ thống Nghiên cứu số phƣơng pháp đƣợc sử dụng để cải thiện tính bảo mật hệ thống mạng lƣới không dây, đề xuất sử dụng phƣơng pháp việc thiết kế hệ thống mạng Trong khuôn khổ luận văn, việc nghiên cứu dừng lại mức phân tích đƣa số nhận xét biện pháp công cụ bảo mật có nhƣ phƣơng thức bảo mật đƣợc phát triển sử dụng với hệ thống mạng không dây Nhằm cung cấp thêm cho ngƣời quản trị mạng có nhìn tổng quan công nghệ hành khả bảo mật thật hệ thống mạng không dây, từ định lựa chọn phƣơng án bảo mật cho hệ thống Tuy nhiên thời gian có hạn nhiều hạn chế kiến thức nên trình thực luận văn, không tránh khỏi có sai sót Em mong nhận đƣợc ý kiến đóng góp thầy cô bạn để luận văn hoàn thiện hơn, có ích thực tế Ngô Đức Anh – D11VT2 47 Đồ án tốt nghiệp đại học Tài liệu tham khảo TÀI LIỆU THAM KHẢO [1] Ashish Raniwala, “ Architecture for an IEEE 802.11- WMNs”, Stony Brook, 2008 [2] Dƣơng Thị Thanh Tú, “Tổng quan quản lý mạng lƣới không dây WMNs” [3] “ Deployment Guide: Cisco Mesh Networking Solution”, Cisco [4] Klein -Berndt, L “ A Quick Guide to AODV Routing”, Wireless Communic ations Technologies Group, NIST (http://w3 antd.nist.gov/ wctg/aodv_ kernel/) [5] Jones, D , “Metro- Mesh: A Hacker 's Paradise? ”, Unstrung: Dark Reading ( May 24 , 2006) Ngô Đức Anh – D11VT2 48 ... thách lớn bảo mật cho nhà quản trị mạng Với nhận thức ấy, em định làm đồ án tốt nghiệp với đề tài: Nghiên cứu tìm hiểu vấn đề bảo mật mạng không dây cấu hình lưới Nội dung đồ án gồm chƣơng: Chƣơng... 3.2 Bảo mật mạng không dây mesh 31 Ngô Đức Anh – D11VT2 ii Đồ án tốt nghiệp đại học Mục lục 3.2.1 Đặc điểm giải pháp bảo mật mạng không dây mesh 31 3.2.2 Các chế bảo mật cho mạng không dây. .. trúc mạng không dây mesh Mạng không dây mesh đƣợc chia làm nhóm chính:  Mạng không dây mesh sở hạ tầng (Infrastructural backbone)  Mạng không dây mesh ngƣời dùng (Client WMNs)  Mạng không dây