Đồ án chuyên ngành BÀI BÁO CÁO Đề tài: Tìm hiểu mạng LAN không dây vấn đề bảo mật GVHD: Bùi Trung Úy SVTH: Trương Quang Tuấn Trương Quang Tuấn K11T1 Slide Đồ án chuyên ngành Tổng quan WLAN Các hình thức công WLAN phổ biến NỘI DUNG BÁO CÁO Các giải pháp bảo mật Giải pháp đề nghị Trương Quang Tuấn K11T1 Slide Đồ án chuyên ngành Tổng quan WLAN 1.Lịch sử hình thành phát triển Mạng LAN không dây viết tắt WLAN (Wireless Local Area Network), mạng dùng để kết nối hai hay nhiều máy tính với mà không sử dụng dây dẫn Công nghệ WLAN lần xuất vào cuối năm 1990 Năm 1997, Institute of Electrical and Electronics Engineers (IEEE) phê chuẩn đời chuẩn 802.11, tên gọi WI-FI (Wireless Fidelity) Trương Quang Tuấn K11T1 Slide Đồ án chuyên ngành Tổng quan WLAN 2.Ưu điểm WLAN -Khả di động tiện lợi :trong tòa nhà nhiều tầng -Hiệu : trì kết nối mạng User từ nơi đến nơi khác -Triển khai -Khả mở rộng: đáp ứng tức gia tăng số lượng người dùng Trương Quang Tuấn K11T1 Slide Đồ án chuyên ngành Tổng quan WLAN 3.Nhược điểm WLAN -Bảo mật :khả bị công người dùng cao -Phạm vi : tùy thuộc vào thiết bị AP -Độ tin cậy : bị nhiễu, tín hiệu bị giảm tác động môi trường -Tốc độ : chậm so với mạng sử dụng cáp Trương Quang Tuấn K11T1 Slide Đồ án chuyên ngành Tổng quan WLAN CÁC CHUẨN THÔNG DỤNG CỦA WLAN 1.Chuẩn IEEE 802.11b 2.Chuẩn IEEE 802.11a Trương Quang Tuấn K11T1 Slide Đồ án chuyên ngành Tổng quan WLAN CÁC CHUẨN THÔNG DỤNG CỦA WLAN Chuẩn IEEE 802.11g 4.Chuẩn IEEE 802.11n Trương Quang Tuấn K11T1 Slide Đồ án chuyên ngành Tổng quan WLAN Các thiết bị mạng không dây 1.Access Point (đây thiết bị quan trọng nhất) Cung cấp cho máy client điểm truy cập vào mạng "Nơi mà máy tính dùng wireless vào mạng nội công ty" AP thiết bị song công(Full duplex) Trương Quang Tuấn K11T1 Slide Đồ án chuyên ngành Tổng quan WLAN Các thiết bị máy khách WLAN Card PCI Wireless Card PCMCIA Wireless Card USB Wireless Trương Quang Tuấn K11T1 Slide Đồ án chuyên ngành Tổng quan WLAN CÁC MÔ HÌNH WLAN Cấu trúc WirelessLAN Trương Quang Tuấn K11T1 Slide 10 Đồ án chuyên ngành Tổng quan WLAN CÁC MÔ HÌNH WLAN 3.Mô hình mạng sở (Basic service sets (BSSs) ) Trương Quang Tuấn K11T1 Slide 12 Đồ án chuyên ngành Tổng quan WLAN CÁC MÔ HÌNH WLAN 4.Mô hình mạng mở rộng (Extended Service Set (ESSs)) Trương Quang Tuấn K11T1 Slide 13 Đồ án chuyên ngành Các hình thức công WLAN phổ biến 1.Access Point giả mạo kẻ công tạo Giả mạo AP kiểu công “man in the middle” cổ điển Đây kiểu công mà tin tặc đứng trộm lưu lượng truyền nút Kiểu công mạnh tin tặc trộm tất lưu lượng qua mạng AP giả thiết lập cách chép tất cấu hình AP thống là: SSID, địa MAC • Bước làm cho nạn nhân thực kết nối tới AP giả Cách thứ đợi cho nguời dùng tự kết nối Cách thứ hai gây công từ chối dịch vụ DoS AP thống nguời dùng phải kết nối lại với AP giả Trương Quang Tuấn K11T1 Slide 14 Đồ án chuyên ngành Các hình thức công WLAN phổ biến TẤN CÔNG YÊU CẦU XÁC THỰC LẠI Trương Quang Tuấn K11T1 Slide 15 Đồ án chuyên ngành Các hình thức công WLAN phổ biến TẤN CÔNG NGẮT KẾT NỐI Trương Quang Tuấn K11T1 Slide 16 Đồ án chuyên ngành Các giải pháp bảo mật WEP (Wired Equivalent Privacy) WEP sử dụng khoá mã hoá không thay đổi có độ dài 64 bit 128 bit, (nhưng trừ 24 bit sử dụng cho vector khởi tạo khoá mã hoá, nên độ dài khoá 40 bit 104 bit) sử dụng để xác thực thiết bị phép truy cập vào mạng sử dụng để mã hoá truyền liệu WLAN VPN Mạng riêng ảo VPN bảo vệ mạng WLAN cách tạo kênh che chắn liệu khỏi truy cập trái phép IPSec dùng thuật toán mạnh Data Encryption Standard (DES) Triple DES (3DES) để mã hóa liệu dùng thuật toán khác để xác thực gói liệu IPSec sử dụng thẻ xác nhận số để xác nhận khóa mã (public key) Khi sử dụng mạng WLAN, cổng kết nối VPN đảm nhận việc xác thực, đóng gói mã hóa Trương Quang Tuấn K11T1 Slide 17 Đồ án chuyên ngành Các giải pháp bảo mật TKIP (TEMPORAL KEY INTEGRITY PROTOCOL) Là giải pháp IEEE phát triển năm 2004 Là nâng cấp cho WEP nhằm vá vấn đề bảo mật cài đặt mã dòng RC4 WEP TKIP dùng hàm băm (hashing) IV để chống lại việc giả mạo gói tin, cung cấp phương thức để kiểm tra tính toàn vẹn thông điệp MIC (message integrity check) để đảm bảo tính xác gói tin TKIP sử dụng khóa động cách đặt cho frame chuỗi số riêng để chống lại dạng công giả mạo Trương Quang Tuấn K11T1 Slide 18 Đồ án chuyên ngành Các giải pháp bảo mật AES-Advanced Encryption Standard Là thuật toán mã hóa khối phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa DES, AES kỳ vọng áp dụng phạm vi giới nghiên cứu kỹ lưỡng AES chấp thuận làm tiêu chuẩn liên bang Viện tiêu chuẩn công nghệ quốc gia Hoa kỳ (NIST) sau trình tiêu chuẩn hóa kéo dài năm Thuật toán thiết kế hai nhà mật mã học người Bỉ: Joan Daemen Vincent Rijmen (Rijndael ) Trương Quang Tuấn K11T1 Slide 19 Đồ án chuyên ngành Các giải pháp bảo mật EAP-Extensible Authentication Protocol (Giao thức xác thực mở rộng ) Khi người dùng cố gắng kết nối vào hệ thống mạng, kết nối người dùng đặt trạng thái bị chặn (blocking) chờ cho việc kiểm tra định danh người dùng hoàn tất EAP phương thức xác thực bao gồm yêu cầu định danh người dùng (password, cetificate,…), giao thức sử dụng MD5 Trương Quang Tuấn K11T1 Slide 20 Đồ án chuyên ngành Các giải pháp bảo mật Quá trình chứng thực 802.1x-EAP sau: Wireless client muốn liên kết với AP mạng AP chặn lại tất thông tin client client log on vào mạng, Client yêu cầu liên kết tới AP AP đáp lại yêu cầu liên kết với yêu cầu nhận dạng EAP Client gửi đáp lại yêu cầu nhận dạng EAP cho AP Thông tin đáp lại yêu cầu nhận dạng EAP client chuyển tới Server chứng thực Server chứng thực gửi yêu cầu cho phép tới AP AP chuyển yêu cầu cho phép tới client Client gửi trả lời cấp phép EAP tới AP AP chuyển trả lời tới Server chứng thực Server chứng thực gửi thông báo thành công EAP tới AP 10 AP chuyển thông báo thành công tới client đặt cổng client chế độ forward Trương Quang Tuấn K11T1 Slide 21 Đồ án chuyên ngành Các giải pháp bảo mật WPA2-Wifi Protected Access -Được chứng nhận Wi-Fi Alliance -Chuẩn sử dụng thuật toán mã hoá mạnh mẽ gọi chuẩn mã hoá nâng cao AES AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, 192 bit 256 bit Trương Quang Tuấn K11T1 Slide 22 Đồ án chuyên ngành Giải pháp đề nghị PHƯƠNG PHÁP XÁC THỰC RADIUS SERVER VÀ WPA2 RADIUS -Giao thức Remote Authentication Dial In User Service định nghĩa RFC 2865 sau: Với khả cung cấp xác thực tập trung, cấp phép điều khiển truy cập (Authentication, Authorization, Accounting – AAA) RADIUS server bao gồm giá phần cứng/phần mềm Ví dụ Funk’s Steel-Belted Radius có giá Network Engines $7500 LeapPoint’s AiroPoint 3600 – SE có giá khởi điểm $2499 cho 50 clients Toàn giá ví dụ phụ thuộc nhiều vào nhà cung cấp phần mềm hay đại lý hãng khác Trương Quang Tuấn K11T1 Slide 23 Đồ án chuyên ngành Giải pháp đề nghị PHƯƠNG PHÁP XÁC THỰC RADIUS SERVER VÀ WPA2 Use Microsoft's RADIUS Server:máy chủ chạy hệ điều hành Microsoft Windows Server 2000/2003 hoàn toàn có khả năng, với việc sử dụng Microsoft’s Internet Authentication Service (IAS) IAS cần thiết cho nhà quản trị hay user phải làm việc môi trường Windows Và tính cao cấp Microsoft Wireless Provisioning Service Trương Quang Tuấn K11T1 Slide 24 Đồ án chuyên ngành Giải pháp đề nghị MÔ TẢ HỆ THỐNG Trương Quang Tuấn K11T1 Slide 25 Đồ án chuyên ngành Trương Quang Tuấn K11T1 Slide 26 ... Slide Đồ án chuyên ngành Tổng quan WLAN CÁC MÔ HÌNH WLAN Cấu trúc WirelessLAN Trương Quang Tuấn K11T1 Slide 10 Đồ án chuyên ngành Tổng quan WLAN CÁC MÔ HÌNH WLAN 2.Mô hình mạng AD HOC (Independent... Quang Tuấn K11T1 Slide Đồ án chuyên ngành Tổng quan WLAN CÁC CHUẨN THÔNG DỤNG CỦA WLAN 1.Chuẩn IEEE 802.11b 2.Chuẩn IEEE 802.11a Trương Quang Tuấn K11T1 Slide Đồ án chuyên ngành Tổng quan WLAN... Quang Tuấn K11T1 Slide 11 Đồ án chuyên ngành Tổng quan WLAN CÁC MÔ HÌNH WLAN 3.Mô hình mạng sở (Basic service sets (BSSs) ) Trương Quang Tuấn K11T1 Slide 12 Đồ án chuyên ngành Tổng quan WLAN