BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - TY SETHY CÁC BIỆN PHÁP BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY Chuyên ngành: ĐIỆN TỬ VIỄN THÔNG TÓM TẮT LUẬN VĂN THẠC SĨ KHOA HỌC KỸ THUẬT ĐIỆN TỬ VIỄN THÔNG NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS VŨ QUÝ ĐIỀM LỜI NÓI ĐẦU Trước phát triển mạnh mẽ, nhanh chóng phổ biến mạng không dây này, với việc phát tin hiệu cho vùng người sử dụng ngày cao.Luận văn em làm nhằm mục đích nghiên cứu cách tổng quan mạng không dây phân tích đánh giá độ tin cậy vùng phủ sóng mạng không dây, Các kiểu công , Giải pháp bảo mật Qua đây, em xin gửi lời cảm ơn chân thành tới: Thầy giáo hướng dẫn PGS VŨ QUÝ ĐIỀM, Bộ môn Mạch XLTH, Khoa Điện Tử Viễn Thông, Trường Đại Học Bách Khoa Hà Nội tận tình hướng dẫn, giúp đỡ em suốt trình làm Luận văn Được làm việc với thầy, em học tập nhiều điều bổ ích rèn luyện tác phong làm việc nghiên cứu khoa học Một lần em xin cảm ơn thầy cô Bộ môn Mạch XLTH, Khoa Điện Tử Viễn Thông, Trung tâm Sau Đại học, Trường ĐHBKHN giảng dạy suốt thời gian qua, đặc biệt em xin Chân thành cảm ơn Chính phủ nước Cộng hòa Xã hội Chủ nghĩa Việt Nam tạo điều kiện hội tốt cho em hoàn thành suốt thời gian học tập Hà nội , ngày 29 tháng 09 năm2010 Học viên : Ty Sethy i MỤC LỤC LỜI NÓI ĐẦU i MỤC LỤC ii DANH MỤC HÌNH viii TỪ VIẾT TẮT x MỞ ĐẦU xiv CHƯƠNG I : TỔNG QUAN VỀ MẠNG LAN KHÔNG DÂY I Mạng LAN không dây gì? II Một số Công nghệ mạng máy tính không dây Công nghệ sử dụng sóng hồng ngoại 2 Công nghệ Bluetooth 3 Công nghệ HomeRF Công nghệ HyperLAN Công nghệ Wimax Công nghệ WiFi Công nghệ 3G Công nghệ UWB Chuẩn 802.11 9.1 Nhóm lớp vật lý PHY 9.1.1 Chuẩn 802.11b 9.1.2 Chuẩn 802.11a 9.1.3 Chuẩn 802.11g 9.1.4 Chuẩn 802.11n 9.2 Nhóm lớp liên kết liệu MAC 9.2.1 Chuẩn 802.11d 9.2.2 Chuẩn 802.11e 9.2.3 Chuẩn 802.11f ii 9.2.4 Chuẩn 802.11h 9.2.5 Chuẩn 802.11i III Các kiến trúc chuẩn 802.11 Trạm thu phát - STA Điểm truy cập – AP Trạm phục vụ – BSS 10 BSS độc lập – IBSS 10 Hệ thống phân tán – DS 11 Hệ thống phục vụ mở rộng - ESS 11 Mô hình thực tế 11 7.1 Mạng không dây kết nối với mạng có dây 12 7.2 Hai mạng có dây kết nối với kết nối không dây 12 IV Lịch sử hình thành phát triển 13 V Ưu điểm nhược điểm WLAN 15 CHƯƠNG II : CÁC KIỂU TẤN CÔNG CỦA MẠNG LAN KHÔNG DÂY… 20 I Tấn công bị động – Passive attacks 20 Định nghĩa 20 Kiểu công bị động cụ thể - bắt gói tin (Sniffing) 21 2.1 Nguyên lý thực 21 2.2 Biện pháp đối phó 23 II Tấn công chủ động – Active attacks 22 Định nghĩa 22 Các kiểu công chủ động cụ thể 23 2.1 Mạo danh, truy cập trái phép 23 2.1.1 Nguyên lý thực 23 2.1.2 Biện pháp đối phó 24 2.2 Tấn công từ chối dịch vụ - DOS 24 2.2.1 Nguyên lý thực 24 iii 2.2.2 Biện pháp đối phó 27 Tấn công cưỡng đoạt điều khiển sửa đổi thông tin 27 3.1 Nguyên lý thực 27 3.2 Biện pháp đối phó 28 Dò mật từ điển – Dictionary Attack 29 4.1 Nguyên lý thực 29 4.2 Biện pháp đối phó 29 III Tấn công kiểu chèn ép - Jamming attacks 30 VI Tấn công theo kiểu thu hút - Man in the middle attacks 30 V Tấn công gây nghẽn hoạt động mạng không dây DoS 34 CHƯƠNG III : NGUYÊN LÝ CHỨNG THỰC VÀ MÃ HÓA BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY 36 I Một số Khái niệm 36 Chứng thực - Authentication 36 Phê duyệt - Authorization 36 Kiểm tra - Audit 37 Khái niệm Mã hoá bảo mật liệu 37 II Chứng thực địa MAC 38 Nguyên lý thực 38 Nhược điểm 38 Biện pháp đối phó 39 III Chứng thực SSID 39 Nguyên lý thực 39 Nhược điểm SSID 41 Biện pháp đối phó 42 IV Chứng thực WEP mã hoá bảo mật WEP 42 Phương thức chứng thực WEP 42 Tính Bảo mật WEP 44 iv Vectơ khởi tạo - IV 45 Giá trị ICV 46 Cấu trúc khung 47 Thuật toán mã hoá RC4 48 V Chứng thực 802.1x 56 RADIUS Server (Remote Access Dial-In User Service) 57 802.1x EAP (EAP Requests and Responses ) 59 2.1 Chứng thực 802.1x cho mạng LAN không dây 60 2.2 Giao thức chứng thực mở rộng EAP 61 2.2.1 Bản tin EAP 62 2.2.2 Các tin yêu cầu trả lời EAP 62 2.2.2.1 Loại code 1: Identity 63 2.2.2.2 Loại code 2: Notification ( Thông báo ) 64 2.2.2.3 Loại code 3: NAK 64 2.2.2.4 Loại code 4: Chuỗi MD – (MD – Challenge) 64 2.2.2.5 Loại code 5: One – time password (OPT ) 64 2.2.2.6.Loại code 6: Đặc điểm thẻToken (GenericTokenCard) 65 2.2.2.7 Loại code 13: TLS 65 2.2.2.8 Các loại mã khác 65 2.2.3 Các khung EAP 66 2.2.4 Chứng thực cổng 66 2.2.5 Kiến trúc thuật ngữ chứng thực EAP 67 2.2.6 Dạng khung cách đánh địa EAPOL 67 2.2.6.1 Dạng khung 67 2.2.6.2 Đánh địa 69 2.2.7 Một ví dụ trao đổi thông tin chứng thực EAP 69 VI Giao thực toàn vẹn khoá tạm thời – PKIP 70 Tổng quan PKIP 70 v Tính toàn vẹn thông điệp - MIC 71 Per-Packet Key Mixing 73 Hàm băm 74 WPA (Wi-Fi Protected Access) 74 CHƯƠNG IV : CÁC GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY 76 I Một số nhân tố cần quan tâm bảo mật mạng không dây 76 II Các mục tiêu bảo mật mạng không dây 77 Sự tin cậy 77 Sự xác thực 77 Điều khiển truy nhập 77 Tính toàn vẹn 78 Khả từ chối truyền thông 78 III Một số yêu cầu giải pháp bảo mật không dây 78 Phân cấp 78 Khả bổ sung 79 Hiệu 79 Tính sẵn sàng 79 IV Một số giải pháp bảo mật mạng không dây 79 Thiết lập anten điều chỉnh 79 Các thiết lập bảo mật 80 V Tăng cường mã hoá bảo mật 81 TKIP (Temporal Key Integrity Protocol) 81 AES (Advanced Encryption Standard) 84 VI Thiết lập chế xác thực người dùng 85 EAP (Extensible Authentication Protocol) 85 Khung 802.11x 86 Cơ chi xác thực 86 Các phương thức xác thực EAP 89 vi 4.1 MD5 89 4.2 LEAP (Lightweight Extensible Authentication Protocol) 89 4.3 TLS (Transport Layer Security) 90 4.4.TTL PEAP 90 VII Bảo mật mạng không dây với VPN 92 Khái niệm 92 Các giao thức bảo mật VPN 94 2.1 Bộ giao thức IPSec 94 2.2 PPTP L2TP / IPSec 94 2.2.1 PPTP (Point to Point Tunneling Protocol) 95 2.2.2 L2TP 95 2.2.3 Việc lựa chọn phương thức xác thực 96 Hệ thống IDS không dây 97 3.1 IDS với mạng không dây 97 3.2 Kiến trúc hệ thống IDS không dây 99 3.3 Phản ứng vật lý 100 3.4 Các Chính sách bắt buộc 101 3.5 Phát nguy hiểm 101 3.6 Phân loại kiện đáng nghi ngờ WLAN 103 3.6.1 Các kiện lớp vật lý RF 103 3.6.2 Các kiện khung quản lý / điều khiển 104 3.6.3 Các kiện khung 802.1x / EAP 105 3.6.4 Các kiện liên quan tới WEP 105 3.6.5 Các kiện luồng lưu lượng / kết nối 106 3.6.6 Các kiện hỗn hợp Khác 106 3.7 Một số hạn chế hệ thống IDS không dây 108 KẾT LUẬN 109 TÀI LIỆU THAM KHẢO vii DANH MỤC HÌNH Hình 1.1 : Mô hình BSS 10 Hình 1.2 : Mô hình ESS 11 Hình 1.3 : Mô hình mạng không dây kết nối với mạng có dây 11 Hình 1.4 : Mô hình mạng có dây kết nối với kết nối không dây 12 Hình 2.1 : Phần mềm bắt gói tin Ethereal 21 Hình 2.2 : Phần mềm thu thập thông tin hệ thống mạng không dây NetStumbler 22 Hình 2.3 : Mô tả trình công DOS tầng liên kết liệu 26 Hình 2.4 : Mô tả trình công mạng AP giả mạo 28 Hình 2.5 : Mô tả trình công theo kiểu chèn ép 30 Hình 2.6 : Mô tả trình công theo kiểu thu hút 31 Hình 3.1 : Quá trình mã hóa giải mã 37 Hình 3.2 : Chứng thực địa MAC 38 Hình 3.3 : Chứng thực SSID 40 Hình 3.4 : Mô hình phương pháp chứng thực SSID 41 Hình 3.5 : Các chuỗi xác thực WEP 43 Hình 3.6 : Stream Cipher 44 Hình 3.7 : Sử dụng vectơ khởi tạo IV 46 Hình 3.8 : Tính toán ICV 47 Hình 3.9 : Thêm bit IV KeyID 48 Hình 3.10(a) : Mã hoá RC4 truyền 49 Hình 3.10(b) : Mã hoá RC4 truyền 50 Hình 3.11 : Giải mã RC4 nhận 51 Hình 3.12 : Mô hình chứng thực sử dụng RADIUS Server 58 Hình 3.13 : Quá trình liên kết xác thức RADIUS Server 58 viii Hình 3.14 : Chứng thực 802.1x 60 Hình 3.15 : Quá trình trao đổi ba bên chứng thực 802.1x 61 Hình 3.16 : Kiến trúc EAP 62 Hình 3.17 : Cấu trúc khung tin yêu cầu trả lời 63 Hình 3.18 : Cấu trúc khung EAP thành công không thành công 66 Hình 3.19 : Cấu trúc cổng 66 Hình 3.20 : Cấu trúc khung EAPOL 67 Hình 3.21 : Trao đổi thông tin chứng thức EAP 69 Hình 3.22 : Bổ sung thêm trường MIC vào khung liệu 72 Hình 3.23 : Tính toán trường MIC 72 Hình 3.24 : Per-Packet Key Mixing 74 Hình 4.1 : Mã hoá TKIP 82 Hình 4.2 : Chức xáo trộn mã khoá gói 83 Hình 4.3 : Khung 802.1x 86 ix chứng server client, thêm uỷ nhiệm username / password Đồng thời L2TP IPSec (thường xem L2TP / IPSec) cung cấp toàn vẹn liệu xác nhận gói Các client hỗ trợ sẵn Windows XP 2000 với Windows98,ME NT 4.0 Work status phải update patch L2TP thực việc xác lập thoả thuận IKE để tạo giao kết bảo mật IPSec Trong suốt thoả thuận IKE, client server trao đổi chứng thiết lập tham số bảo mật, bao gồm phương thức xác thực khoá sử dụng phiên Mã hoá liệu cung cấp mã hoá khối liệu cung cấp mã hoá khối DES (hay 3DES) với khoá 56bit (hoặc 168bit với 3DES) 2.2.3 Việc lựa chọn phương thức xác thực Khi lựa chọn PPTP L2TP dựa yếu tố sau : Hỗ trợ client : PPTP hỗ trợ phạm vi client lớn Sự dễ dàng cài đặt : L2TP / IPSec yêu cầu hạ tầng PKI để cung cấp chứng server client Điều làm tăng đáng kể phí độ phức tạp triển khai Trong giản pháp PPTP không yêu cầ chứng trừ hạn sử dụng EAP_TLS Điều làm cho triển khai PPTP dễ dàng nhiều L2TP Mức bảo mật : PPTP cung cấp tin cậy liệu (mã hoá), L2TP / IPSec cung cấp tin cậy, toàn vẹn xác thực liệu Toàn vẹn liệu xác nhận gói không bị thay đổi truyền dẫn Xác thực liệu xác nhận yêu cầu xác thực người gửi Nó đảm bảo xác client mà client khác muốn gửi liệu Hơn giải pháp dựa chứng vốn an toàn giải pháp dựa 97 password Vì lý này, L2TP / IPSec cung cấp mức bảo mật cao nhiều Nhớ bạn không bắt buộc chọn kỹ thuật hay kỹ thuật khác Windows2000 server cho phép bạn chọn sử dụng PPTP L2TP hai Điều có nghĩa số người dùng (với Windows XP 2000) sử dụng L2TP, client khác kết nối với PPTP (tại thời điểm) trừ bạn có sẵn hạ tầng PKI, đơn giản tiện lợi PPTP thực hấp dẫn Ví dụ bước triển khai server VPN dựa PPTP, với hỗ trợ cho L2TP bạn sẵn có Active Directory, CA MCS server Radius MIAS Hệ thống IDS không dây 3.1 IDS với mạng không dây IDS (Intrusion Detection System) hệ thống nhận dạng lạm dụng công vào hệ thống máy tính mạng thông qua việc nắm bắt phân tích liệu IDS phân thành hai loại : dựa dấu hiệu dựa sở tri thức IDS dựa dấu hiệu thông dụng dễ dàng triển khai, chúng dễ bị vượt qua thiếu khả phát công IDS loại so sánh kiện mạng với dấu hiệu công biết gọi dấu hiệu công Khi công cụ hack thay đổi kiểu công xem chưa biết, đòi hỏi phải thay đổi lại dấu hiệu công Dữ liệu dấu hiệu công phải bảo mật tố thường xuyên cập nhật IDS dựa sở tri thức giám sát mạng, rút thống kê thông tin hoạt động mạng chuẩn, phát sai lệch xảy ra, cảnh báo chúng nghi ngời Chính thể, IDS dựa sở trí thức 98 gọi IDS thống kê Điều mạng IDS thống kê hiệu Mặc dù, IDS dựa sở tri thức không dễ bị đánh lừa, vấn đề liên xác nhận sai khó khăn việc phát số kênh truyền thông không che giấu khả báo động sai đặc biệt rắc rối mạng không dây chất không tin cậy phương thức lớp1 Hơn nữa, công xảy chu kỳ đấu gây nhiễu với tiến trình học IDS, làm cho việc triển khai IDS dựa sở tri thức mạng gặp số mạo hiểm trạng thái bình thường mạng cracker sửa lại thời điểm IDS triển khai IDS truyền thống phát triển cho việc phát công xâm phạm hệ thống mạng có dây Với phát triển ngày tăng mạng không dây, việc ứng dụng IDS cho bảo mật mạng không dây cần thiết Hệ thống IDS không dây theo dõi phân tích người dùng hoạt động mạng thông qua phát xâm phạm vào hệ thống mạng không dây Hệ thống IDS không dây theo dõi toàn truyền phát không dây hệ thống dựa cảnh báo dựa dấu hiệu xác định trước hay dị thường lưu lượng mạng Chúng ta thấy hệ thống IDS không dây thích hợp nên thực đồng thời hai loại IDS Các dấu hiệu xảy so sánh với sở liệu dấu hiệu công biệt để phát cảnh báo Tuy nhiên, nhiều công mạng không dây không phát sinh dấu hiệu đặc biệt, thay gây số sai lệch so với hoạt động mạng chuẩn lớp thấp mạng Các sai lệch tinh vi vai khung không dây từ chuỗi dễ dàng phát việc sử dụng băng thông nhiều gấp ba WLAN Phát điểm khác thường mạng không dây thảo tác đơn giản, hai mạng không dây giống Giống nguyên tắc áp dụng cho LAN có dây, mạng có dây không gặp phải vấn đề nhiễu sóng radio, khúc xạ tín hiệu, phản xạ, phân tán Nó vấn 99 đề chuyển giao khả kẻ công hiẹu WLAN xác định chi tiết ranh giới mạng qua chu kỳ thời gian xác định Chỉ việc tập hợp lượng lớn thống vê trạng thái WLAN riêng biệt có khả phát khác thường hay không xảy ra, nhận vấn đề liên kết, lỗi người dùng, công chủ tâm Các yêu cầu xác thực 802.1x/LEAP thiết lập để tránh công kiểu “thô bạo” Đồng thời, giả sư người dùng quên password, ứng dụng viết tồi cố gắng log in password nhập số lượng khung báo hiệu tăng lên giây báo hiệu công Dos có mặt AP giả mạo, thực lỗi AP cấu hình sai Các kiện khởi tạo báo hiệu IDS lớp cao số lượng lớn gói phân mảnh nhiều yêu cầu TCP SYN, biểu công quét port hay Dos, hậu vấn đề kết nối lớp WLAN Một vấn đề nhiễu sóng RF, tất loại gói bị hỏng hay không hoàn tất xem giao thức không xác định công cụ phân tích bạn Không có gi ngạc nhiên gói dị hình khởi tạo báo động IDS Mặt khác, số cracker sử dụng công cụ phá sóng mạng không dây dẫn tới báo hiệu hệ thống 3.2 Kiến trúc hệ thống IDS không dây Hệ thống IDS không dây tập trung không tập trung hệ thống IDS không dây tập trung thường tổ hợp nhiều sensor riêng biệt tập trung chuyển liệu 802.11 tới hệ thống quản lý trung tậm Tại liệu IDS không dây lưu trữ xử lý Phát công không tập trung thông thường bào gồm hay nhiều thiết bị thực chức phân tích liệu xử lý liệu IDS hệ thống không tập trung thích hợp cho mạng WLAN nhỏ vấn đề giá thành quản lý mạng Giá sensor có khả xử lý liệu vượt khả 100 yêu cầu nhiều sensor Ngoài việc quản lý đa sensor xử lý tốn thời gian nhiều so với mô hình tập trung Các mạng WLAN thông thường có vùng phủ vật lý tương đối rộng Trong tình trạng này, nhiều AP triển khai để cung cấp cường độ tín hiệu đủ mạnh cho vùng định Vấn đề chủ yếu việc triển khai hệ thống IDS không dây việc triển khai sensor vị trí đạt AP Bằng việc cung cấp mức bao phủ toàn diện hạ tầng vật lý với sensor vị trí AP, phần lớn xâm hại công phát Một lợi điểm khác đặt sensor gần kề AP tăng khả định vị vị trí địa lý kẻ công 3.3 Phản ứng vật lý Nhận diện vị trí vật lý mặt chủ yếu công 802.11 thường ngày sát AP không dây thực khung thời gian ngắn.Do để phản ứng với công không logic hệ thông IDS chuẩn (như block IP xâm hại) mà phản ứng riêng lẻ cần tổ chức thành triển khai vật lý để xác định kẻ công phản ứng phải thực kịp thời Không giống công có dây hacker thường vị trí tương đối xa so với mạng bị xâm phạm, kẻ công không dây thường có vị trí nằm khu vực lân cận mạng hệ thống IDS không dây giúp nhận diện vị trí kẻ công thông qua việc cung cấp ước đoán chung vị trí vật lý chúng.Bằng tương quan với liệu 802.11 nắm bắt với vị trí vật lý sensor vị trí AP không dây bị xâm hại, vị trí vật lý kẻ công dễ dàng xác định nhiều Hơn tham vọng xác định vị trí vật lý kẻ công cách gần yêu cầu việc sử dụng anten đẳng hướng để tạo tam giác đo tín hiệu nguồn kẻ công Khi vị trí vật lý hạn chế miền nhỏ nhóm phản ứng với công cụ Kismet hay Airopeek quét miền chung nhận dạng 101 IDS để giúp them cho việc tìm kiếm kẻ công Với phương pháp nhận dạng kép (sử dụng IDS công cụ dó quét), nhóm phản ứng vật lý có khả nhận dạng chặn đứng kẻ công cách hiệu kịp thời 3.4 Các Chính sách bắt buộc Hệ thống IDS không dây không phát kẻ công mà giúp cho sách có hiệu lực Hệ thống mạng không dây có số vấn đề bảo mật nhiều điểm yếu khắc phục Với sách không dây mạnh quy định bắt buộc mạng không dây có độ bảo mật tương đương với mạng có dây hệ thống IDS giúp cho thực sách có hiệu Giả thiết sách mạng cho tất truyền thông mạng không dây phải mã hoá bảo mật Hệ thống IDS không dây theo dõi lien tục phiên truyền thong 802.11 AP không dây hay thiết bị xác định truyền điều kiện không mã hoá IDS nhận dạng thông báo hoạt động Khi IDS không dây cấu hình trước cho tất AP cấp phép có AP đến (AP giả mạo) hệ thống IDS ngày phát Với tính phát AP giả mạo IDS kết hợp sách bắt buộc nói chung làm tăng độ bảo mật hệ thống mạng không dây Sự tăng cường hệ thống IDS cung cấp tương ứng với sách bắt buộc làm tăng cấp phát tài nguyên người Bởi hệ thống IDS tự động hoá số chức mà thường yêu cầu thực tay, ví dụ theo dõi AP giả mạo 3.5 Phát nguy hiểm Hệ thống IDS không dây giúp việc phát số công IDS không dây không phát AP giả mạo, phát lưu 102 lượng không mã hoá, giúp cô lập vị trí vật lý kẻ công, hệ thống IDS không dây nhiều loại công dò không dây chuẩn không chuẩn Trong cố gắng nhận dạng AP mục tiêu hacker thường sử dụng phần mềm quét Hacker cá nhân tò mò sử dụng công cụ Nestumbler Kismet để ánh xạ vùng AP cho trước Sử dụng chung với hệ thống GPS chúng không dò vị trí AP mà ghi lại định vị vật lý Các công cụ ngày phổ biến website thiết kế cho thể giới địa lý AP không dây Hệ thống IDS phát công cụ dò quét công cụ khác, giúp cho việc tăng cường nhận diện nguy hiểm mạng không dây Quan trọng nhiều so với việc phát dò quét, IDS không dây phát số công Dos Các công Dos thong dụng với mạng không dây, nhiều công Dos thực thông qua suy giảm tín hiệu xung đột số hay người dung bị chắn đường Đôi hacker công với mục đích từ chối dịch vụ Hệ thống IDS không dây phát kẻ công Dos vào WLAN, thông qua làm tràn ngập với yêu cầu xác thực hay khung bỏ lien kết hay bỏ xác thực Ngoài điểm dò quét công trên, hệ thống IDS không dây phát tốt nhiều nguy hiểm 802.11 khác giả mạo địa MAC công thông dụng kẻ công sử dụng để giả mạo AP hay client không dây Giả mạo địa MAC sử dụng vài công cụ HostAP hay WLAN-jack IDS không dây phát có mặt việc giả mạo địa MAC theo nhiều cách bao gồm phân tích chuỗi số Một hệ thống IDS không dây có khả nhận diện mạng không xác định Ad-hoc cấu hình thường thấy tạo khả cho hacker khai thác thiết bị không dây Ngược lại, IDS không dây phát nguy hiểm đặc biệt không chuẩn 103 thông qua tập luật triển khai người dung Tính mềm dẻo này, thông dụng với IDS chuẩn cho phép IDS không dây phân cấp định vị với nhiểu yêu cầu phát đặc biệt Các tính them vào lớp bảo mật mạnh mạng không dây Hơn phát nguy hiểm, người đơn IDS them vào yêu tố ngăn cản tăng cường bảo mật 3.6 Phân loại kiện đáng nghi ngờ WLAN Khi số đủ thống kê trạng thái mạng tập hợp, IDS không dây thích hợp bắt đầu tìm kiếm kiện đáng nghi ngờ cho biết khả công có chủ đích Các kiện liệt kê bao gồm : diện loại khung đó, số truyền dẫn khung, cấu trúc khung chuỗi dị thường, độ lệch luồng lưu lượng, việc sử dụng số nghi ngờ Phân loại kiện lám cho IDS không dây có khả phát phát cảnh báo xác 3.6.1 Các kiện lớp vật lý RF Các máy phát them vào vùng phủ song Các kênh không sử dụng WLAN có bảo vệ dùng Chồng lấn kênh Hoạt động kênh bất ngờ bị thay đổi hay nhiều thiết bị không dây theo dõi Giảm chất lượng tín hiệu, mức nhiễu tăng, tỷ số tín hiệu nhiễu SNR thấp Các kiện cho biết có vấn đề kết nối mạng, cấu hình mạng sai nghiêm trọng, có mặt thiết bị giả mạo, công nghẽn mạng có chủ ý, công man-in-themiddle lớp lớp 104 3.6.2 Các kiện khung quản lý / điều khiển Tăng số khung mạng thông thường Kích thước khung không bình thường Các loại khung không xác định Các khung không hoàn tất, sai lạc hay dị dạng Tràn ngập khung giao kết lại / xác thực lại Các khung giao kết lại số mạng khả chuyển giao Các khung không thuộc chuỗi Các yêu cầu dò số Các khung với ESSID khác ESSID mạng WLAN Các khung với ESSID quảng bá (Any) Các khung với ESSID thay đổi thường xuyên hay ngẫu nhiên Các khung với ESSID trường khác cho công cụ xâm nhập biết Các khung với địa MAC không nằm danh sách cho phép ACL Các khung với địa MAC chép Các khung với địa MAC thay đổi thường xuyên hay ngẫu nhiên Các kiện sai sót cấu hình mạng vấn đề kết nối, Nhiều song RF mạng, wardriver sử dụng công cụ quét tìm vùng phủ song, giả mạo địa MAC WLAN, client không phép kết nối với WLAN, cố gắng thử dò ESSID, kẻ công chuyên nghiệp làm hỏng khung điều khiển quản lý để thực công man-in-middle lớp công DoS 105 3.6.3 Các kiện khung 802.1x / EAP Các khung 802.1x không hoàn tất, sai lạc hay dị dạng Các khung với loại EAP không thực thi WLAN Nhiều khung yêu cầu đáp ứng xác thực EAP Nhiều khung EAP lỗi Tràn ngập khung EAP bắt đầu đăng xuất Các khung EAP với kích thước khác thường Các khung EAP phân mảnh với kích thước nhỏ Các khung EAP với độ dài xác thực nguy hiểm Các khung EAP không tin cậy Các khung EAP với nhiều yêu cầu thay đổi MID5 Các khung EAP xác thực trái phép (Các AP giả mạo) Các tiến trình xác thực 802.1x / EAP không hoàn tất Các kiện âm mưu vượt qua xác thực 802.1x, bao gồm đặt thiết bị 802.1x giả mạo khéo léo truy cập cưỡng công DoS để vô hiệu hoá chế xác thực Tất nhiên, khung 802.1x dị dạng kết nhiễu song RF vấn đề khác lớp 3.6.4 Các kiện liên quan tới WEP Tồn lưu lượng không dây không mã hoá Lưu lượng mã hoá với khoá WEP Lưu lượng mã hoá với khoá WEP có độ dài khác thường Các khung IV yếu Các khung với IV lặng hang Không thay đổi IV 106 Quay lại mã hoá WEP gốc từ giải pháp bảo mật TKIP Sự luân phiên khoá WEP lỗi Các kiện sai sót nghiêm trọng cấu hình bảo mật mạng, thiết bị không an toàn sử dụng, người dung xâm phạm sách bảo mật, có mặt thiết bị không dây giả mạo, việc sử dụng công cụ giả mạo lưu lượng (WEPwedgie,reinj) hacker chuyên nghiệp 3.6.5 Các kiện luồng lưu lượng / kết nối Mất kết nối Tăng đột biến băng thông sử dụng Giảm đột biến thông lượng mạng Trễ đột biến tăng liên kết point-to-point Tăng mức phân mảnh gói Thường xuyên truyền lại Các kiện gợi ý cho việc điều tra để tìm kiếm nguyên nhân vấn đề phát Một chế kết luận IDS thông minh liên kết vấn đề với kiện loại khác, phân tích phần vấn đề điều tra 3.6.6 Các kiện hỗn hợp Khác Giao kết không host xác thức Các công lớp cao cảnh báo IDS truyền thống Lưu lượng quản lý AP tự gửi không yêu cầu Liên tục gói liệu trùng lặp Các gói liệu với checksums/MIC lớ liên kết liệu lỗi 107 Tràn ngập nhiều cố gắng giao kết mạng tồn Các kiện công crack thành công không thành công, host với cấu hình bảo mật sai sót, cố gắng truy cập cấu hình lại AP triển khai, việc sử dụng công cụ giả mạo lưu lượng, công DoS chống lại host có 802.11i, cố gắng làm tràn đệm AP với lượng lớn kết nối có dây không dây Tuy nhiên, trường hợp thay đổi khung hay gói vấn đề lớp vật lý, nhiều hay cường độ tín hiệu thấp Nhiều kiện kết sai sót sử dụng người dùng kế hoạch công có chủ ý Người dùng kết nối thiết bị không dây không phép dụng cụ gây nhiễu (Bluetooth, Camera không dây, điện thoạ di động) Họ kết nối với AP không kích hoạt WEP / TKIP AP cho phép quên không cập nhật firmware Do làm ch triển khai bảo mật dựa 802.11i trở nên vô dụng Quản trị mạng hệ thống phải lường trước điều Mặc dù công không dây thường kho phát công có dây, việc phát triển IDS riêng cho mạng không dây tăng cường để bắt kịp với lớn mạnh thị trường bảo mật không dây IDS không dây phải phân tích báo cáo kiện nghi ngờ phát lớp mô hình OSI, hỗ trợ tích hợp với thiết bị IDS truyền thống lớp cao Do đặc trưng mạng không dây, IDS không dây tốt phải dựa dấu hiệu sở tri thức, Để bao bọc toàn mạng, việc triển khai cảm biến IDS không dây xa cần xét đến 108 3.7 Một số hạn chế hệ thống IDS không dây Lợi ích hệ thống IDS không dây lớn có vài điểm hạn chế cần quan tâm trước triển khai hệ thống Phát nguy công không dây công nghệ Do cần thận trọng trứoc áp dụng công nghệ cho mạng hoạt động Bởi công nghệ tồn sai sót, lỗi điểm yếu có khả trở thành điểm yếu tiềm tàng bảo mật mạng không dây Công nghệ IDS không dây đựơc phát triển với tốc độ nhanh chóng hứa hẹn tương lai Một vấn đề tiềm tàng IDS không dây giả Chi phí nhà cung cấp giải pháp đưa cao mức khó chấp nhận trường hợp này, giải pháp cho hộ gia đình phát triển, vướng phải vấn đề giả thành việc triển khai mở rộng phát triển Giá thành giải pháp IDS không dây (hộ gia đình hay dựa nhà cung cấp) tăng lên tương ứng với kích thứơc mạng không dây cần theo dõi, yêu cầu tăng thêm số lớn sensor Do đó, mạng không dây lớn chi phí cho hệ thống IDS triển khai cao IDS không dây hiệu tương đương với hệ riêng biệt phân tích phản ứng với liệu tập hợp hệ thống giống IDS chuẩn, IDS không dây yêu cầu tài nguyên người lớn để phân tích phản ứng với phát nguy hiểm thực tế, thấy IDS không dây yêu cầu nhiều tài nguyên người IDS chuẩn, với IDS không dây cá nhân theo dõi yêu cầu quan tâm đến khía cạnh logic (cảnh báo liệu) khía cạnh vật lý (phát nắm bắt hacker) công Trong công nghệ tương đối mới, với vấn đề giả yêu cầu tài nguyên người cao IDS chuẩn, hệ thống IDS không dây chứng nhận thành phần có lới giải pháp bảo mật không dây 109 KẾT LUẬN Các mạng LAN không dây hỗ trợ ứng dụng quan trọng, cung cấp suất, chất lượng, hiệu ngày tăng nhiều thị trường giới Tuỳ theo bối cảnh cụ thể mà lựa chọn công nghệ không dây để bổ sung hay thay mạng LAN hữu tuyến Nếu quan, tổ chức có mạng LAN truyền thống mạng hoạt động tốt sử dụng tuyến không dây để bổ sung cho mạng cần thiết Việc xây dựng thiết kế biện pháp bảo mật hoàn hảo khó khăn Dựa quy mô thực tế hệ thống mạng cần xây dựng đòi hỏi mức độ bảo mật mà thiết lập nên sở sách bảo mật khác Môi trường không dây theo hộ gia đình, điểm truy nhập công cộng hay môi trường doanh nghiệp mà có nhân tố khác Trên việc cân nhắc nhiều khía cạnh mà cố gắng đạt mức bảo mật cao khả với việc kết hợp nhiều phương thức bảo mật theo nhiều lớp Trong hệ thống mạng không dây, vấn đề an toàn bảo mật hệ thống thông tin đóng vai trò quan trọng Thông tin có giá trị giữ tính xác, thông tin có tính bảo mật có người phép nằm giữ thông tin biết Để đảm bảo an ninh cho mạng không dây, cần phải xây dựng số tiêu chuẩn đánh giá mức độ an ninh an toàn mạng Một số tiêu chuẩn thừa nhận thước đo mức độ an ninh mạng Để góp phần vào việc xây dựng giải pháp bảo mật mạng LAN không dây cho nhu cầu phát triển mạnh mẽ mạng không dây tương lai, Đề tài “Các biện pháp bảo mật mạng LAN không dây” nghiên cứu số vấn đề sau : 110 Nghiên cứu Lý thuyết mạng LAN không dây, phân tích đặc trưng mạng không dây, giao thức mạng, phương thức mã hoá bảo mật sẵn có Phân tích tính dễ công mạng không dây, điểm yếu mạng mã hoá bảo mật, phân tích nguy phương thức công Đưa ra,phân tích phương thức mã hoá bảo mật, phương thức xác thực cho mạng LAN không dây, hệ thống VPN cho mạng không dây, hệ thống IDS cho mạng không dây Mặc dù giải pháp bảo mật đưa tính khái quát, chưa vào chi tiết triển khai thực góp phần cho việc chọn lựa biện pháp xây dựng nên hệ thống mạng không dây hay mở rộng từ sở mạng có dây cũ Các phương thức giải pháp đưa phần dựa tảng mã hoá bảo mật sẵn có phần phương thức dần hoàn thiện cho triển khai mạng không dây Do lĩnh vực mẻ thời gian hạn chế, luận văn tránh khỏi thiếu sót Em kính mong thầy, cô bạn đóng góp ý kiến để luận văn hoàn thiện Em xin trân trọng cảm ơn! 111 ... Access) 74 CHƯƠNG IV : CÁC GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY 76 I Một số nhân tố cần quan tâm bảo mật mạng không dây 76 II Các mục tiêu bảo mật mạng không dây 77 Sự tin cậy ... VỀ MẠNG LAN KHÔNG DÂY  I Mạng LAN không dây gì? Mạng LAN không dây viết tắt WLAN (Wireless Local Area Network), mạng dùng để kết nối hai hay nhiều máy tính với mà không sử dụng dây dẫn WLAN dùng... khác 7.1 Mạng không dây kết nối với mạng có dây Hình 1.3 : Mô hình mạng không dây kết nối với mạng có dây AP làm nhiệm vụ tập trung kết nối không dây, đồng thời kết nối vào mạng WAN (hoặc LAN) thông