1. Trang chủ
  2. » Luận Văn - Báo Cáo

Bảo mật trên mạng WLAN

30 267 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 30
Dung lượng 511,69 KB

Nội dung

Trong xã hội công nghệ hiện đại,hệ thống thông tin liên lạc có tầm quan trọng giống như hệ thống thần kinh xuyên suốt cơ thể con người.Sự gia tăng nhu cầu truyền số liệu tốc độ cao và đa dạng hoá các loại hình dịch vụ cung cấp như truy nhập Internet,thương mại điện tử đã thúc đẩy sự phát triển của các giải pháp mạng cục bộ vô tuyến (WLAN) với những ưu điểm vượt trội khắc phục nhược điểm của Lan hữu tuyến, cung cấp những giải pháp mạng hiệu quả hơn. Công nghệ không dây là một phương pháp chuyển giao từ điểm này tới điểm khác xử dụng sóng vô tuyến làm phương tiện truyền dẫn như sóng radio,cell,hồng ngoại và vệ tinh giúp giảm thiểu dây dẫn trong quá trình truyền và nhận thông tin. Ngày nay mạng không dây đã đạt được những bước phát triển đáng kể. Tại một số nước có nền kinh tế phát triển tại Châu Âu, Châu Mĩ mạng không dây đã rất phát triển trong đời sống.Chỉ với một laptop,PDA hoặc một phương tiện truy cập mạng không dây bất kì ta cũng có thể truy cập vào mạng tại bất cứ đâu,tại cơ quan,trường học, ngoài đường trong quán café hay những ngay trên các phương tiện giao thông công cộng khác,bất cứ đâu nằm trong phạm vi phủ sóng của mạng WLAN. .

MỤC LỤC LỜI NĨI ĐẦU Trong xã hội cơng nghệ đại,hệ thống thơng tin liên lạc có tầm quan trọng giống hệ thống thần kinh xuyên suốt thể người.Sự gia tăng nhu cầu truyền số liệu tốc độ cao đa dạng hố loại hình dịch vụ cung cấp truy nhập Internet,thương mại điện tử thúc đẩy phát triển giải pháp mạng cục vô tuyến (WLAN) với ưu điểm vượt trội khắc phục nhược điểm Lan hữu tuyến, cung cấp giải pháp mạng hiệu Công nghệ không dây phương pháp chuyển giao từ điểm tới điểm khác xử dụng sóng vơ tuyến làm phương tiện truyền dẫn sóng radio,cell,hồng ngoại vệ tinh giúp giảm thiểu dây dẫn trình truyền nhận thơng tin Ngày mạng khơng dây đạt bước phát triển đáng kể Tại số nước có kinh tế phát triển Châu Âu, Châu Mĩ mạng không dây phát triển đời sống.Chỉ với laptop,PDA phương tiện truy cập mạng khơng dây ta truy cập vào mạng đâu,tại quan,trường học, đường quán café hay phương tiện giao thông công cộng khác,bất đâu nằm phạm vi phủ sóng mạng WLAN Nhưng hỗ trợ truy nhập cơng cộng với phương tiện truy cập đơn giản phức tạp đem lại nhiều rắc rối cho nhà quản trị việc bảo mật thông tin.Vấn đề tích hợp biện pháp bảo mật vào phương tiện truy nhập đảm bảo tiện ích việc hộ trợ truy cập công cộng vấn đề đáng quan tâm CHƯƠNG I: GIỚI THIỆU VỀ WLAN 1.1 Giới thiệu WLAN Mạng WLAN (Wireless Local Area Network) mạng truyền liệu sở mạng cục LAN WLAN sử dụng sóng vơ tuyến làm phương tiện truyền dẫn giảm thiểu kết nối dây dẫn việc truyền nhận thơng tin WLAN cho phép nhóm thiết bị không dây (Wireless Station- STA) nối mạng với đường truyền vô tuyến, bên khu vực địa lý giới hạn WLAN thường giới hạn phạm vi tòa nhà hay khn viên làm việc tổ chức, thường xây dựng để kết nối vào mạng hữu tuyến (như mạng LAN) có sẵn để cung cấp khả làm việc di động cho người dùng Kể từ đời nay, có nhiều chuẩn công nghệ phát triển cho WLAN Một tổ chức chun tiêu chuẩn hóa cơng nghệ Viện Kỹ thuật Điện Điện tử Hoa Kỳ (IEEE) Các chuẩn khơng dây WLAN chuẩn hóa thành họ tiêu chuẩn đặt tên 802.11 1.2 Ưu nhược điểm mạng WLAN 1.2.1.Ưu điểm WLAN Sự tiện lợi: Cho phép người dùng truy xuất tài nguyên mạng nơi khu vực phủ sóng Tính linh động: Người dùng mạng Wireless kết nối vào mạng di chuyển nơi phạm vi phủ sóng Hơn nữa, có nhiều mạng, WLAN hỗ trợ chế chuyển vùng (roaming) cho phép máy trạm tự động chuyển kết nối từ mạng sang mạng khác Tính di động tăng suất đáp ứng kịp thời nhằm thỏa mãn nhu cầu thông tin mà mạng hữu tuyến khơng đem lại Tính đơn giản: Việc lắp đặt, thiết lập, kết nối mạng máy tính khơng dây dễ dàng, đơn giản Tính linh hoạt, mềm dẻo: Có thể triển khai nơi mà mạng hữu tuyến triển khai Tiết kiệm chi phí lâu dài: Tồn phí tổn lắp đặt chi phí sử dụng lâu dài (vận hành, bảo dưỡng, mở rộng mạng ) cho mạng WLAN thấp đáng kể so với hệ thống mạng dùng cáp, việc lắp đặt, sử dụng mạng môi trường cần phải di chuyển thay đổi thường xuyên Đồng thời, WLAN dễ dàng mở rộng đáp ứng tức gia tăng số lượng người dùng mà không cần phải cung cấp thêm cáp để kết nối mạng LAN truyền thống Giảm giá thành: Do cần sử dụng điểm truy cập AP (Access Point ) không dùng đến dây dẫn nên giảm chi phí lắp đặt mạng Một ưu điểm mà WLAN mang lại khả vô hướng 1.2.2.Nhược điểm WLAN Bảo mật: Do môi trường kết nối không dây khơng khí, sử dụng sóng điện từ để thu/phát liệu nên tất máy trạm nằm khu vực phủ sóng thu tín hiệu Do khả bị cơng người dùng cao Phạm vi: Một mạng chuẩn 802.11g với thiết bị chuẩn hoạt động tốt phạm vi vài chục mét Nó đạt hiệu tốt phạm vi gia đình văn phòng, với tòa nhà lớn khơng đáp ứng nhu cầu Để đáp ứng cần phải mua thêm lặp Repeater hay AP, dẫn đến chi phí gia tăng Độ tin cậy: Vì sử dụng sóng vơ tuyến để truyền thơng nên việc bị nhiễu, tín hiệu bị giảm tác động thiết bị khác (lò vi sóng, ) khơng tránh khỏi, làm giảm đáng kể hiệu hoạt động mạng Tốc độ: tốc độ mạng không dây chậm so với mạng sử dụng cáp Tuy nhiên, hầu hết người dùng tốc độ chấp nhận cao so với tốc độ định tuyến mạng bên ngoài, điều dần cải thiện, khắc phục tương lai 1.3 Cấu trúc WLAN Trong chuẩn 802.11 định nghĩa hai cấu trúc mạng: cấu trúc hạ tầng (infastructure) trực tiếp (Ad hoc) - Trong cấu trúc hạ tầng, mơ hình mạng mà ta gọi Tập dịch vụ (BSS) bao gồm thiết bị truy cập Access Point (AP) Nó đồng thời kết nối đến mạng có dây card mạng, thiết bị đầu cuối khơng dây (thường máy tính laptop) sóng vơ tuyến Một mơ hình khác gọi Tập dịch vụ mở rộng (ESS) tập gồm hai nhiều BSS nối với - Cấu trúc mạng trực tiếp bao gồm nhóm máy tính lắp đặt card mạng khơng dây, truyền thông trực tiếp với thông qua đường vô tuyến mà khơng cần AP.Các máy hồn tồn độc lập với mạng LAN Hiện hầu hết tổ chức cho phép thiết bị không dây truy cập internet dịch vụ mạng nội họ Do đó, hầu hết thiết lập cấu trúc mạng theo kiểu BSS ESS Ở đây, quan tâm đến kiến trúc mạng kiểu BSS ESS Hình 1.1 Cấu trúc mạng BBS 1.4 Đặc tính WLAN -Khả di chuyển: Người dùng di chuyển truy nhập hồ sơ, tài nguyên mạng internet mà khơng phải nối dây đến mạng có dây truyền thống Những người sử dụng di chuyển, giữ nguyên truy nhập mạng LAN với tốc độ cao thời gian thực -Cài đặt nhanh: Thời gian yêu cầu cho việc cài đặt rút ngắn kết nối mạng làm mà không cần chuyển động, thêm dây kéo chúng xuyên qua tường trần nhà mạng có dây hay làm -Linh hoạt: Nó linh hoạt dễ thiết lập tháo gỡ nơi Vì người dùng nhanh chóng thiết lập WLAN nhỏ cho nhu cầu tạm thời hội nghị thương mại họp -Tính chuyển đổi: Mạng cấu hình WLAN dễ dàng định hình để đáp ứng nhu cầu ứng dụng cài đặt đặc biệt chuyển đổi từ mạng nhỏ lên mạng lớn -Khả mở rộng: Hệ thống WLAN cấu hình nhiều mơ hình để đáp ứng ứng dụng cấu hình đặc thù dễ thay đổi phạm vi từ mạng điểm - điểm xây dựng cho số nhỏ người dùng đến mạng phối hợp với hàng ngàn người dùng cho phép chuyển vùng phạm vi rộng -Hạ thấp chi phí triển khai: Mặc dù đầu tư ban đầu phần cứng cao mạng có dây, nhiên xét chi phí tổng thể chi phí theo tuổi thọ thấp đáng kể Về lâu dài, WLAN đem lại lợi ích lớn môi trường động yêu cầu di chuyển thay đổi nhiều CHƯƠNG II: ĐỐI TƯỢNG VÀ ỨNG DỤNG CỦA WLAN 2.1 Đối tượng -Hệ thống thông tin doanh nghiệp: Các nhà quản lý mạng di chuyển nhân viên, lập văn phòng tạm thời, cài đặt máy in nhiều thiết bị khác mà khơng bị ảnh hưởng chi phí tính phức tạp mạng có dây Cấp lãnh đạo truy cập vào hệ thống thơng tin quan trọng cơng ty từ phòng họp thơng qua thiết bị cầm tay cài đặt card WLAN -Du lịch: Khách sạn điểm du lịch xử lý thơng tin đặt phòng, u cầu dịch vụ thông tin hành lý khách hàng -Giáo dục: Sinh viên giảng viên liên lạc với từ vị trí khn viên đại học để trao đổi tải giảng có sẵn mạng Mạng WLAN giảm thiểu nhu cầu sử dụng phòng lab (phòng thực hành) -Thông tin sản phẩm: Các nhân viên chịu trách nhiệm xuất kho cập nhật trao đổi thông tin quan trọng sản phẩm -Y tế: Bác sĩ, y tá trao đổi thông tin bệnh nhân liệu pháp chữa trị… 2.2 Ứng dụng WLAN Về khả sử dụng WLAN để mở rộng mạng hữu tuyến thông thường, với tốc độ cao tiện lợi truy cập mạng: Hình 2.1 Khả mở rộng mạng Về khả truy cập mạng tòa nhà, nhà kho, bến bãi mà không gặp phải vấn đề tốn phức tạp việc dây: Hình 2.2 Khả truy cập mạng mà dây Về khả đơn giản hóa việc kết nối mạng hai tòa nhà mà chúng địa hình phức tạp khó thi cơng mạng thơng thường: Hình 2.3 Tiện lợi việc xây dựng mạng miền núi Hay khu vực có địa hình lòng giếng truy cập mạng bình thường nơi khác: Hình 2.4 Tại nơi có địa hình lòng chảo Tiện lợi việc truy cập mạng mà di chuyển: Hình 2.5 Khả truy cập di chuyển Từ văn phòng nhà riêng: Hình 2.6 Truy cập từ nhà riêng Đến lớn trường đại học khu dân cư truy cập mạng với tốc độ cao trình thiết lập đơn giản: Hình 2.7 Truy cập từ trường đại học CHƯƠNG IV: KHẢ NĂNG TẤN CÔNG TRÊN WLAN VÀ GIẢI PHÁP BẢO MẬT TRÊN MẠNG WLAN 4.1 Nguy công mạng WLAN -Các công khám phá thăm dò mạng: Trước thực hành động cơng thực sự, kẻ cơng thực khám phá mạng WLAN đích Có hai kiểu khám phá thăm dò Active Passive Trong kiểu thăm dò Active, kẻ cơng gửi gói tin thăm dò khơng có số hiệu SSID đến AP, để thu thập số hiệu SSID AP Kiểu công không thực AP cấu hình để bỏ qua gói tin khơng có SSID Trong kiểu cơng Passive, kẻ cơng thu tất gói tin gửi nhận mạng mà khơng có hành động gì, kiểu cơng khơng thể phát Một công cụ công khám phá mạng tương đối phổ biến NetStumber - Các công thu thập thơng tin: Mỗi mạng đích xác định, kẻ cơng tiếp tục thu thập thông tin truyền mạng công cụ sniffer (như Kismet Airodump) Nếu dòng liệu khơng mã hóa, kẻ cơng thu thập thơng tin từ dòng liệu tham số liên quan đến mạng địa MAC, địa IP, Gateway,…Nếu dòng liệu mã hóa phương thức yếu giao thức WEP, kẻ cơng sử dụng cơng cụ Aircrack để phá mã -Tấn công từ chối dịch vụ: Tấn cơng có hai mức khác Ở mức 1, kẻ công sử dụng công cụ phát sóng radio cực mạnh để làm nhiễu kênh sóng mạng không dây hoạt động Ở mức 2, kẻ công thường thực việc làm “lụt” máy client dòng liệu giả để máy client khơng khả kết nối vào mạng -Tấn công giả mạo địa MAC: Trong kiểu công này, kẻ công thường làm giả địa MAC client hợp lệ có quyền truy cập vào hệ thống mạng Mục đích cơng để đánh lừa AP có sử dụng dịch vụ lọc địa MAC Tấn công dễ thực địa MAC máy client hợp lệ dễ dàng khám phá cơng thu thập thơng tin Ngồi ra, địa MAC card mạng khơng dây dễ dàng thay đổi sử dụng phần mềm điều khiển -Tấn cơng giả mạo AP: Trong kiểu công này, kẻ công cố gắng can thiệp vào dòng liệu truyền thơng hai thiết bị hợp lệ với mục đích thực việc sửa đổi phá hủy liệu người gửi Để thực công cần thực hai bước Thứ nhất, làm cho AP hợp lệ trở nên khơng khả phục vụ cơng từ chối dịch vụ, client khó kết nối đến Thứ hai, thiết lập AP giả mạo có tên giống tên AP hợp lệ để hướng client kết nối đến AP giả mạo Một công cụ phổ biến để thực công việc Monkey jack 4.2 Bảo mật cho mạng WLAN 4.2.1.Quản lí chìa khóa WEP Thay sử dụng chìa khóa WEP tĩnh, mà dễ dàng bị phát hacker WLAN bảo mật việc thực chìa khóa phiên gói, sử dụng hệ thống phân phối chìa khóa tập trung Sự phân phối chìa khóa WEP cho phiên, gói gán chìa khóa WEP cho Client AP cho phiên gói gửi chúng Trong khóa động thêm nhiều overhead giảm bớt lưu lượng, chúng làm cho việc hack vào mạng thông qua đoạn mạng khơng dây trở lên khó khăn nhiều Hacker phải dự đốn chuỗi chìa khóa mà server phân phối chìa khóa dùng, điều khó Hãy nhớ WEP bảo vệ thông tin lớp 3-7 liệu phần tải, khơng mã hóa địa MAC thơng tin dẫn đường Một phân tích mạng bắt thông tin truyền quảng bá tin dẫn đường từ AP thông tin địa MAC gói unicast từ client Để đặt server quản lý chìa khóa mã hóa tập trung vào chỗ thích hợp, người quản trị WLAN phải tìm ứng dụng mà thực nhiệm vụ này, mua server với hệ điều hành thích hợp, cấu hình ứng dụng theo nhu cầu Q trình tốn cần nhiều thời giờ, phụ thuộc vào quy mô triển khai Tuy nhiên chi phí nhanh chóng thu lại nhờ việc ngăn ngừa phí tổn thiệt hại hacker gây 4.2.2.Kĩ thuật chìa khóa nhảy Gần đây, kỹ thuật chìa khóa nhảy sử dụng mã hóa MD5 chìa khóa mã hóa thay đổi liên tục trở lên sẵn dùng môi trường WLAN Mạng thay đổi liên tục, “hops”, từ chìa khóa đến chìa khóa khác thơng thường giây lần Giải pháp yêu cầu phần cứng riêng giải pháp tạm thời chờ chấp thuận chuẩn bảo mật tiên tiến 802.11i Thuật tốn chìa khóa để khắc phục nhược điểm WEP, vấn đề vector khởi tạo 4.2.3.Những giải pháp dựa AES Những giải pháp dựa AES thay WEP sử dụng RC4, tạm thời Mặc dù khơng có sản phẩm sử dụng AES có thị trường, vài nhà sản xuất thực để đưa chúng thị trường Bản dự thảo 802.11i rõ sử dụng AES, xem xét người sử dụng việc sử dụng AES phận để hoàn thành chuẩn Kỹ thuật mã hóa liệu thay đổi tới giải pháp đủ mạnh AES tác động đáng kể bảo mật mạng WLAN, phải giải pháp phổ biến sử dụng mạng rộng server quản lý chìa khóa mã hóa tập trung để tự động hóa q trình trao đổi chìa khóa Nếu card vơ tuyến client bị mất, mà nhúng chìa khóa mã hóa AES, khơng quan trọng với việc AES mạnh đến mức thủ phạm có truy nhập tới mạng 4.2.4.Lọc SSID (Service Set Identifier) Lọc SSID phương thức lọc nên sử dụng cho việc điều khiển truy cập Định danh tập dịch vụ SSID thuật ngữ khác để gọi tên mạng SSID chuỗi ký tự số chữ nhất, phân biệt hoa thường, có chiều dài từ đến 32 ký tự sử dụng để định nghĩa vùng xung quanh AP Sự khác SSID AP cho phép chồng chập mạng vô tuyến SSID ý tưởng mật gốc mà khơng có client khơng thể kết nối mạng Hình 4.1 Các phân đoạn mạng sử dụng SSID SSID client phải khớp với SSID AP (trong mạng Infrastructer) client với (trong mạng Ad-Hoc) để xác thực kết nối với tập dịch vụ SSID quảng bá mà khơng mã hóa Beacon (là khung liệu mang thông tin SSID) nên dễ bị phát cách sử dụng phần mềm Một số sai lầm mà người sử dụng WLAN mắc phải việc quản lí SSID gồm: + Sử dụng giá trị SSID mặc định tạo điều kiện cho hacker dò tìm địa MAC AP + Sử dụng SSID có liên quan đến công ty, tên tổ chức, cá nhân + Sử dụng SSID phương thức bảo mật SSID nên sử dụng để phân đoạn mạng không dùng để bảo mật mạng + Sử dụng tính quảng bá SSID cách không cần thiết Theo cấu hình mặc định, Beacon gửi AP hay Router chứa SSID để thông báo cho client vùng Các SSID hiển thị Windows XP mạng sẵn có Do đó, nên tắt tính quảng bá SSID AP hay Router nhằm mục đích bảo mật Hình 4.2 Cấu hình tắt quảng bá SSID Ví dụ cấu hình tắt quảng bá SSID Wireless Router Linksys: nên thay đổi thông số như: Wireless Network Name, Wireless Channel chọn option “Disable” để tắt quảng bá SSID Tuy nhiên, việc bỏ tính quảng bá SSID giúp bảo vệ mạng bạn cách ẩn trước người dùng bình thường Do hacker muốn vào cơng mạng việc phát SSID việc đơn giản cơng cụ: AirMagnet, AirJack để phát phân tích ln ln sẵn có Vì để an tồn hơn, sử dụng tính ẩn SSID (lọc SSID) kết hợp với phương pháp bảo mật khác lọc địa MAC, mã hóa WEP, WPA… để bảo mật mạng 4.2.5.Lọc địa MAC WLAN lọc dựa vào địa MAC client Hầu hết tất thiết bị có chức lọc MAC Người quản trị mạng xây dựng, phân phát trì danh sách địa MAC cho phép truy cập vào mạng Nếu Client có địa MAC mà khơng nằm danh sách địa MAC AP, bị AP chặn khơng thể truy cập AP Hình 4.3 Mơ hình lọc địa MAC IP Việc thiết lập danh sách địa MAC số lượng lớn client mạng WLAN vào AP khơng khả thi Nếu cơng ty có nhiều client xây dựng máy chủ RADIUS có chức lọc địa MAC thay AP Khi đó, lọc địa MAC cài đặt RADIUS server thay AP Cách cấu hình làm cho lọc MAC giải pháp bảo mật có tính mở rộng (scalability) cao Việc nhập địa MAC với thông tin định danh người sử dụng vào RADIUS server đơn giản Mặc dù lọc MAC dường phương thức để bảo mật WLAN tốt số trường hợp, nhiên, chúng dễ bị công trường hợp sau: + Đánh cắp card PC có danh sách MAC cho phép AP + Thăm dò WLAN sau giả mạo với địa MAC hợp lệ để xâm nhập vào mạng Địa MAC client WLAN thường phát quảng bá khơng mã hóa AP Bridge WEP sử dụng Vì hacker nghe lưu lượng mạng nhanh chóng tìm địa MAC cho phép truy cập vào mạng Hiện nay, với việc hỗ trợ từ hệ điều hành hay chí vài card wireless cho phép thay đổi địa MAC Do đó, Hacker dễ dàng xâm nhập vào mạng trái phép với địa MAC giả mạo hợp lệ Mặc dù không cung cấp giải pháp bảo mật hồn hảo, lọc địa MAC gây khó khăn thời gian kẻ công muốn chiếm quyền truy nhập vào mạng Lọc địa MAC nên sử dụng khơng nên chế bảo mật mạng WLAN 4.2.6.Lọc giao thức Mạng Lan khơng dây lọc gói qua mạng dựa giao thức từ lớp đến lớp Trong nhiều trường hợp, nhà sản xuất làm cho lọc giao thức cấu hình cách độc lập cho đoạn mạng có dây khơng dây, ví dụ trường hợp sau: Hình 4.4 Lọc giao thức cho phép số giao thức sử dụng Có cầu nối nhóm khơng dây WGB (Wireless Group Bridge) đặt tòa nhà xa mạng WLAN mà kết nối lại tới AP tòa nhà Đây mạng dùng chung nên chắn có số giao thức cài đặt sử dụng Nếu kết nối cài đặt với mục đích dùng truy nhập internet cho người sử dụng, lọc giao thức loại trừ tất giao thức không cho phép sử dụng, ngoại trừ HTTP, SMTP, POP3, HTTPS, FTP giao thức tin nhắn khác Khả lọc giao thức hữu ích việc quản lý sử dụng mơi trường dùng chung CHƯƠNG V: CÁC CHÍNH SÁCH BẢO MẬT VÀ KHUYẾN CÁO VỀ BẢO MẬT 5.1 Các sách bảo mật Một công ty mà sử dụng WLAN nên có sách bảo mật thích hợp Ví dụ , khơng có sách đắn mà kích thước cell khơng thích hợp, tạo điều kiện cho hacker có hội tốt để truy cập vào mạng điểm ngồi vùng kiểm sốt cty, nằm vùng phủ sóng AP Các vấn đề cần đưa sách bảo mật cơng ty vấn đề password, chìa khóa WEP, bảo mật vật lý, sử dụng giải pháp bảo mật tiên tiến, đánh giá phần cứng WLAN Danh sách tất nhiên khơng đầy đủ, giải pháp an tồn thay đổi với tổ chức Độ phức tạp sách bảo mật phụ thuộc vào yêu cầu an toàn tổ chức phạm vi mạng WLAN mạng Những lợi ích việc thực hiện, bảo trì sách bảo mật đem lại việc ngăn ngừa ăn cắp liệu, phá hoại tập đoàn cạnh tranh, phát bắt giữ kẻ xâm nhập trái phép Sự bắt đầu tốt cho sách bảo mật việc quản lý Các sách bảo mật cần xem xét dự đoán, cần đưa vào với tài liệu xây dựng tập đoàn Việc bảo mật cho WLAN cần phân bổ thích hợp, người giao trách nhiêm thực phải đào tạo cách quy mô Đội ngũ lại phải thành lập chương mục tài liệu cách chi tiết để làm tài liệu tham khảo cho đội ngũ kế cận 5.1.1.Bảo mật thông tin nhạy cảm Một vài thông tin nên biết người quản trị mạng là: - Username password AP Bridge - Những chuỗi SNMP - Chìa khóa WEP - Danh sách địa MAC Những thông tin phải cất giữ người tin cậy, có kinh nghiệm, người quản trị mạng, quan trọng thơng tin nhạy cảm mà lộ ngun nhân truy nhập trái phép, chí phá hủy mạng Những thơng tin cất giữ nhiều kiểu khác 5.1.2.Sự an tồn vật lí Mặc dù bảo mật vật lý sử dụng mạng hữu tuyến truyền thống quan trọng, chí quan trọng cho cơng ty sử dụng công nghệ WLAN Như đề cập từ trước, người mà có card PC wireless (và anten) khu vực mạng truy cập tới mạng Thậm chí phần mềm dò tìm xâm nhập khơng đủ ngăn cản hacker ăn cắp thông tin nhạy cảm Sự nghe khơng để lại dấu vết mạng khơng có kết nối thực Có ứng dụng thị trường phát card mạng chế độ pha tạp (dùng chung), truy nhập liệu mà không tạo kết nối Khi WEP giải pháp bảo mật WLAN thích hợp, điều khiển chặt chẽ nên đặt người dùng mà có sở hữu thiết bị client không dây công ty, để không cho phép họ mang thiết bị client khỏi cơng ty Vì chìa khóa WEP giữ chương trình sở thiết bị client, nơi có card, ;làm cho mối liên kết an toàn mạng yếu Người quản trị WLAN cần phải biết ai, đâu, card PC mang Thường yêu cầu giới hạn người quản trị, người quản trị cần nhận rằng, thân WEP giải pháp an tồn thích hợp cho WLAN Kể với quản lý chặt vậy, card bị bị ăn trộm, người có trách nhiệm với card (người sử dụng) phải yêu cầu báo cáo với người quản trị, để có biện pháp đề phòng thích hợp Những biện pháp tối thiểu phải làm đặt lại lọc MAC, thay đổi chìa khóa WEP,v.v Cho phép nhóm bảo vệ quét định kỳ xung quanh khu vực công ty để phát hoạt động đáng ngờ Những nhân huấn luyện để nhận phần cứng 802.11 cảnh giác nhân viên công ty luôn quan sát người không công ty trốn quanh tòa nhà với phần cứng 802.11 hiệu việc thu hẹp nguy công 5.1.3.Kiểm kê thiết bị WLAN kiểm định an toàn Như bổ sung tới sách an tồn vật lý, tất thiết bị WLAN cần kiểm kê đặn để lập chương mục cho phép không cho phép người sử dụng thiết bị WLAN truy nhập tới mạng tổ chức Nếu mạng lớn bao gồm số lượng đáng kể thiết bị khơng dây việc kiểm kê định kỳ không khả thi Trong trường hợp cần thiết thực giải pháp bảo mật WLAN mà không dựa phần cứng, dĩ nhiên dựa username password vài loại khác giải pháp bảo mật không dựa phần cứng Với mạng khơng dây trung bình nhỏ, kiểm kê hàng tháng hàng quý giúp phát mát phần cứng Quét định kỳ với phân tích mạng để phát thiết bị xâm nhập, cách tốt để bảo mật mạng WLAN 5.1.4.Sử dụng giải pháp bảo mật tiên tiến Những tổ chức WLAN cần tận dụng vài chế bảo mật tiên tiến có sẵn thị trường Điều cần đề cập sách bảo mật cơng ty Vì cơng nghệ mới,còn độc quyền thường sử dụng phối hợp với giao thức, công nghệ khác Chúng cần lập thành tài liệu hướng dẫn, để có xâm phạm xuất hiện, người quản trị xác định nơi cách mà xâm nhập xuất Bởi có số đào tạo bảo mật WLAN, người quan trọng, sách tiền lương đề cập đến sách bảo mật cơng ty, tập đồn Nó mục cần lập tài liệu chi tiết 5.1.5.Mạng không dây công cộng Điều tất yếu xảy người sử dụng công ty với thông tin nhạy cảm họ kết nối từ laptop họ tới WLAN công cộng Điều nằm sách bảo mật cơng ty Những người dùng phải chạy phần mềm firewall cá nhân phần mềm chống virus laptop họ Đa số mạng WLAN cơng cộng có khơng có bảo mật nào, nhằm làm cho kết nối người dùng đơn giản để giảm bớt số lượng hỗ trợ kỹ thuật yêu cầu 5.1.6.Sự truy cập có kiểm tra giới hạn Hầu hết mạng Lan lớn có vài phương pháp để giới hạn kiểm tra truy nhập người sử dụng Tiêu biểu hệ thống hỗ trợ chứng thực,sự cấp phép,và dịch vụ Accounting(Authentication,Authorization,Accountting(AAA))được triển khai.Những dịch vụ AAA cho phép tổ chức gắn quyền sử dụng vào lớp đặc biệt người dùng Ví dụ người dùng tạm thời truy cập vào internet phạm vi Việc quản lý người sử dụng cho phép xem xét người làm mạng, thời gian chương mục họ vào 5.2 Khuyến cáo bảo mật 5.2.1.Khuyến cáo WEP Không tin cậy vào WEP, khơng có biện pháp hồn tồn tốt bạn dùng để bảo mật Một mơi trường khơng dây mà bảo vệ WEP khơng phải mơi trường an tồn Khi sử dụng WEP khơng sử dụng chìa khóa WEP mà liên quan đến SSID tên tổ chức làm cho chìa khóa WEP khó nhớ khó luận Có nhiều trường hợp thực tế mà chìa khóa WEP dễ dàng đoán nhờ việc xem SSID tên tổ chức WEP giải pháp có hiệu qủa để giảm bớt việc thông tin tình cờ bị nghe thấy, người khơng có chìa khóa WEP thích hợp, tránh truy nhập đối tượng 5.2.2.Định cỡ CELL Để giảm bớt hội nghe trộm, người quản trị nên chắn kích cỡ cell AP phải thích hợp Phần lớn hacker tìm nơi mà tốn thời gian lượng để tìm cách truy cập mạng Vì lí này, quan trọng khơng cho phép AP phát tín hiệu khu vực an toàn tổ chức, trừ tuyệt đối cần thiết Vài AP cho phép cấu hình mức cơng suất đầu ra, điều khiển kích thước Cell RF xung quanh AP Nếu người nghe trộm nằm khu vực không bảo vệ tổ chức không phát mạng bạn, mạng bạn khơngphải dễ bị ảnh hưởng loại cơng Có thể người quản trị mạng sử dụng thiết bị với công suất lớn để đạt thông lượng lớn vùng bao phủ rộng, điều phải trả giá việc chi phí biện pháp bảo mật Vì với điểm truy nhập cần biết thơng số cơng suất, vùng phủ sóng, khả điều khiển kích thước cell Và việc điều khiển bán kính cell cần phải nghiên cứu cho kỹ lập thành tài liệu hướng dẫn với cấu hình AP bridge cho vùng Trong vài trường hợp cần thiết đặt hai AP có kích cỡ cell nhỏ thay AP để tránh tổn hại khơng nên có Cố gắng đặt AP bạn phía trung tâm tòa nhà, giảm thiểu việc rò tín hiệu phạm vi mong đợi Nếu bạn sử dụng anten ngoài, phải lựa chọn loại anten để có ích cho việc tối giản phạm vi tín hiệu Tắt AP không sử dụng Những điều giảm thiểu nguy bị công giảm nhẹ gánh nặng quản lý mạng 5.2.3.Sự chứng thực người dùng Sự chứng thực người dùng mối liên kết yếu WLAN, chuẩn 802.11 không rõ phương pháp chứng thực nào, yêu cầu bắt buộc mà người quản trị phải làm với người sử dụng thiết lập sở hạ tầng cho WLAN Sự chứng thực người dùng dựa vào Username Password, thẻ thông minh, mã thông báo, vài loại bảo mật dùng để xác định người dùng, phần cứng Giả pháp thực cần hỗ trợ chứng thực song hướng Server chứng thực client không dây, ví dụ RADIUS server) RADIUS chuẩn khơng thức hệ thống chứng thực người sử dụng Các AP gửi yêu cầu chứng thực người sử dụng đến RADIUS server, mà có sở liệu gắn sẵn qua yêu cầu chứng thực để tới điều khiển vùng, NDS server, active directory server, chí hệ thống sở liệu tương hợp LDAP Một vài RADIUS vendor có sản phẩm Radius hữu hiệu hơn, hỗ trợ cho giao thức chứng thực nhiều loại EAP Việc quản trị Radius server đơn giản cững phức tạp, phụ thuộc vào yêu cầu cần thực Bởi giải pháp bảo mật không dây nhạy cảm, cần cẩn thận chọn giải pháp Radius server để chắn người quản trị quản trị nó làm việc hiệu qủa với người quản trị Radius tồn 5.2.4.Sự bảo mật cần thiết Chọn giải pháp bảo mật mà phù hợp với nhu cầu ngân sách tổ chức, cho mai sau WLAN nhanh chóng phổ biến thực dễ dàng Một WLAN bắt đầu với AP client nhanh chóng lên tới 15 AP 300 client Do chế an toàn làm việc cho AP điều hoàn tồn khơng thể chấp nhận cho 300 Ap, làm tăng chi phí bảo mật cách đáng kể Trong trường hợp này, tổ chức cần có phương pháp bảo mật cho hệ thống như: hệ thống phát xâm nhập, firewalls, Radius server Khi định giải pháp WLAN, thiết bị xét lâu dài nhân tố quan trọng để giảm chi phí 5.2.5.Sử dụng thêm công cụ bảo mật Tận dụng công nghệ sẵn có VPNs, firewall, hệ thống phát xâm nhập, Intrusion Detection System (IDS), giao thức chuẩn 802.1x EAP, chứng thực client với Radius giúp đỡ giải pháp an tồn nằm phạm vi mà chuẩn 802.11 yêu cầu, thừa nhận Giá thời gian thực giải pháp thay đổi tùy theo quy mô thực 5.2.6.Theo dõi phần cứng trái phép Để phát AP trái phép, phiên dò AP cần hoạch định cụ thể không công bố Tích cực tìm xóa bỏ AP trái phép giữ ổn định cấu hình AP làm tăng tính an tồn Việc thực theo dõi mạng cách bình thường hợp lệ Kiểu theo dõi chí tìm thấy thiết bị bị 5.2.7.Swiches hay Hubs Một nguyên tắc đơn giản khác kết nối AP tới switch thay hub, hub thiết bị quảng bá, dễ bị pass IP address 5.2.8.Wireless DMZ Ý tưởng khác việc thực bảo mật cho segment không dây thiết lập vùng riêng cho mạng không dây, Wireless DeMilitarized Zone (WDMZ) Tạo vùng WDMZ sử dụng firewalls router tốn kém, phụ thuộc vào quy mơ, mức độ thực WDMZ nói chung thực với môi trường WLAN rộng lớn Bởi AP thiết bị không bảo đảm khơng an tồn, nên cần phải tách khỏi đoạn mạng khác thiết bị firewall 5.2.9.Cập nhật vi chương trình phần mềm Cập nhật vi chương trình driver AP card không dây bạn Luôn sử dụng chương trình sở driver AP card khơng dây bạn Thường đặc tính an tồn, vấn đề cố định, bổ sung thêm đặc tính mới, khắc phục lỗ hổng cập nhật CHƯƠNG VI: KẾT LUẬN Ngày mạng không dây trở lên khơng xa lạ sống, thành phố lớn nước ta dễ dàng nhận biết hệ thống mạng khơng dây gia đình, văn phòng, cơng sở hay địa điểm công cộng khác quán cà phê, bệnh viện, trường đại học, thiết bị cầm tay ngày hỗ trợ nhiều tính truy cập mạng không dây, cập nhật công nghệ Song song việc nghiên cứu phát triển hạ tầng thiết bị mạng khơng dây vấn đề bảo mật cho hệ thống đặc biệt ưu tiên Việc nghiên cứu ln quan tâm nhằm tìm kiếm giải pháp bảo mật tốt hơn, hoàn thiện Do hạn chế mặt kiến thức, tài liệu khả thân nên đồ án không tránh khỏi nhiều thiếu sót, em mong đóng góp thầy bạn để thực đồ án Em xin chân thành cảm ơn thầy tận tình bảo để giúp em hoàn thành đồ án ... nhập, cách tốt để bảo mật mạng WLAN 5.1.4.Sử dụng giải pháp bảo mật tiên tiến Những tổ chức WLAN cần tận dụng vài chế bảo mật tiên tiến có sẵn thị trường Điều cần đề cập sách bảo mật cơng ty Vì... môi trường dùng chung CHƯƠNG V: CÁC CHÍNH SÁCH BẢO MẬT VÀ KHUYẾN CÁO VỀ BẢO MẬT 5.1 Các sách bảo mật Một cơng ty mà sử dụng WLAN nên có sách bảo mật thích hợp Ví dụ , khơng có sách đắn mà kích... 802.11b/g gần 802.1X chuẩn bảo mật nhằm giải điểm yếu tồn chuẩn 802.11b Chuẩn bảo mật cung cấp giao thức xác thực mã hóa để bảo mật cho mạng WLAN tốt Trong chuẩn bảo mật này, trình xác thực client

Ngày đăng: 10/01/2018, 14:38

TỪ KHÓA LIÊN QUAN

w