Để kết nối tới một mạng LAN hữu tuyến ta cần phải truy cập theo đường truyền bằng dây cáp, phải kết nối một PC vào một cổng mạng. Với mạng không dây ta chỉ cần có máy của ta trong vùng sóng bao phủ của mạng không dây. Điều khiển cho mạng có dây là đơn giản: đường truyền bằng cáp thông thường được đi trong các tòa nhà cao tầng và các port không sử dụng có thể làm cho nó disable bằng các ứng dụng quản lý. Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vật liệu của các tòa nhà và như vậy sự bao phủ là không giới hạn ở bên trong một tòa nhà. Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát từ các mạng LAN này, và như vậy ai đó có thể truy cập nhờ thiết bị thích hợp. Do đó mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ. Cách thức để xác định ai có quyền sử dụng WLAN yêu cầu này được thỏa mãn bằng cơ chế xác thực( authentication) . •Một phương thức để cung cấp tính riêng tư cho các dữ liệu không dây – yêu cầu này được thỏa mãn bằng một thuật toán mã hóa ( encryption).
Trang 1Mục lục
Chương 1: TỔNG QUAN 1
1.1Tổng quan về đồ án 1
1.2 Nhiệm vụ đồ án 1
1.3 Cấu trúc đồ án 1
Chương 2: CƠ SỞ LÝ THUYẾT 2
2.1 Giới thiệu về Wireless Lan 2
2.2 Nhu cầu ứng dụng 2
2.3 Lịch sử phát triển Wireless Lan 2
2.4 Các mô hình triển khai 3
2.4.1 Mô hình mạng AD HOC 3
2.4.2 Mô hình mạng cơ sở BSSs 3
2.4.3 Mô hình mạng mở rộng ESSs 4
2.5 Các chuẩn 802.11 5
2.6 Ưu điểm Wireless Lan 8
2.6.1 Tính di động và dễ dàng truy cập tại các đại điểm Internet công cộng 8
2.6.2 Tính đơn giản và Tiết kiệm chi phí lâu dài 8
2.7.Hoạt động của mạng không dây 8
2.7.1 Nguyên tắc hoạt động của Wireless Access Point 8
2.7.2 Các frame trong Wireless Network 9
2.8.Bảo mật mạng không dây 10
2.8.1 Mục đích bảo mật mạng không dây 10
2.8.2 Bảo mật mạng không dây(WLAN) 11
2.9Mã hóa 12
2.9.1 Định nghĩa 12
1
Trang 22.9.2 Phân loại 12
2.9.3 Một số kỹ thuật có thể khắc phục được vấn đề trên 12
2.10.Bảo mật bằng WEP 13
2.10.1 Định nghĩa WEP 13
2.10.2 Frame được mã hóa bởi WEP 14
2.10.3 Tiến trình mã hóa và giải mã 14
2.10.4 Giải pháp WEP tối ưu 17
Chương 3: KẾT QUẢ THỰC NGHIỆM 21
3.1 Mô hình bảo mật mạng không dây 21
3.2 CÁC CÔNG CỤ THỰC HIỆN 22
3.3 CÁC BƯỚC THỰC HIỆN 22
3.4 BIỆN PHÁP PHÒNG CHỐNG 25
3.4.1 WEP: 25
3.4.2 WLAN VPN: 26
3.4.3 TKIP: (Temporal Key Integrity Protocol) 26
3.4.4 AES 26
3.4.5 802.1X và EAP 27
3.4.6 WPA (WI-FI Protected access) 28
3.4.7 WPA2 28
3.4.8 Lọc 29
Chương 4: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 31
4.1 Kết luận: 31
4.2 Hướng phát triển của nhóm đồ án: 31
TÀI LIỆU THAM KHẢO 32
Trang 3Chương 1: TỔNG QUAN1.1Tổng quan về đồ án
Trong xã hội hiện đại, hệ thống thông tin liên lạc có tầm quan trọng cực kì tolớn, và hệ thống mạng không dây là một bước tiến vĩ đại để liên kết mọi thông tintrên khắp địa cầu Hệ thống mạng không dây là một phương pháp chuyển giaothông tin từ điểm này tới điểm khác bằng sóng vô tuyến, được sử dụng như radio,
vệ tinh,…Và, với nhiều bước tiến đáng kể, mạng không dây bây giờ rất phổ biến
và có thể nói là không thể thiếu trong cuộc sống của loài người
Tuy nhiên, vẫn có rất nhiều rủi ro và phiền phức cho những người sử dụng mạngkhông dây, đó là các thông tin quan trọng và bí mật luôn bị các thành phần đượcgọi là hacker lấy cắp qua một số thủ thuật tinh vi
Chương 2: CƠ SỞ LÝ THUYẾT
Chương 3: PHƯƠNG THỨC BẢO MẬT TRONG MẠNG KHÔNG DÂY
Chương 4: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
Chương 5: TÀI LIỆU THAM KHẢO
1
Trang 4Chương 2: CƠ SỞ LÝ THUYẾT2.1 Giới thiệu về Wireless Lan
Wireless Lan (Wi-Fi) là một loại mạng máy tính nhưng việc kết nối khôngcần sử dụng các loại cáp (cable) như mạng thông thường Các thành phần trongmạng sử dụng mạng điện từ để truyền với nhau
2.2 Nhu cầu ứng dụng
Với sự phát triển mạnh mẽ của công nghệ thông tin toàn cầu thì các phươngthức truyền tải thông tin cũng phải thay đổi theo Đầu những năm 90, khi mạngInternet thâm nhập vào Việt Nam, mạng cáp điện thoại, cáp đồng, ADSL và sau đó
là mạng cáp quang đã chiếm lĩnh phần lớn thị trường hạ tầng truyền tải của nhữngnhà cung cấp dịch vụ Internet (ISP)
Hiện nay, mạng không dây (wireless) tốc độ cao đang ngày càng mở rộng và pháttriển Các thiết bị di động hiện đang là một phần thiết yếu của cuộc sống hiện đạingày nay, dù ở nhà, công sở, đi chơi hay giao tiếp với nhau và đang trở thành một
xu hướng tất yếu với giới trẻ hiện nay
2.3 Lịch sử phát triển Wireless Lan
Vào năm 1970, Đại học Hawaii đã phát triển mạng không dây đầu tiên đểtruyền thông không dây giữa các hòn đảo Hawaii
Năm 1991, Viện Kỹ sư Điện và Điện tử (IEEE) bắt đầu thảo luận về cáccông nghệ chuẩn WLAN
Năm 1997, IEEE phê chuẩn chuẩn 802.11 ban đầu - thuật ngữ công nghệ
"802.11" đơn giản chỉ đề cập đến Wi-Fi
Năm 2003, tuy nhiên, một số thiết bị di động sử dụng Wi-Fi đã được pháthành và trở thành tiêu chuẩn hơn cho cả kinh doanh và sử dụng cá nhân Đó là khi802.11g được phê chuẩn - cung cấp lên đến 54 Mbps trong không gian 2,4 GHz.Năm 2007, sự ra đời của điện thoại thông minh thực sự đã đến và cùng với nó đãđến phê chuẩn 802.11n Chuẩn "n" mang lại tốc độ xử lý nhanh hơn lên đến 450Mbps cho Wi-Fi và hỗ trợ cả hai thiết bị 2.4 Ghz và 5 Ghz Ngày nay, các thiết bịthông minh đủ mạnh để thay thế các công nghệ máy tính xách tay chuyên dụng,tốn kém hơn nên không dây đã phải bắt kịp
Trang 52.4 Các mô hình triển khai
2.4.1 Mô hình mạng AD HOC
Còn gọi là dạng Peer-to-Peer, mô hình này các máy tính kết nối trực tiếp vớinhau, số máy tối đa theo lý thuyết là 9 Tuy nhiên trên thực tế rất ít khi sử dụng vìtốc độ tương đối chậm
Để sử dụng phải khai báo trong Windows, đồng thời Card Wireless phải hỗtrợ, có một số Card Wireless không hỗ trợ tính năng này
Yêu cầu thiết bị:
– Máy tính (PC hay Laptop)
– Access Point và Card Wireless
2.1 Hình ảnh mô hình AD-HOC
2.4.2 Mô hình mạng cơ sở BSSs
The Basic Service Sets (BSS) là nền tảng của mạng 802.11 Các thiết bị giaotiếp tạo nên một BSS với một AP duy nhất với một hoặc nhiều client Các máytrạm kết nối với sóng wireless của AP và bắt đầu giao tiếp thông qua AP Các máytrạm là thành viên của BSS được gọi là “có liên kết”
Thông thương các AP được kết nối với một hệ thống phân phối trung bình (DSM),nhưng đó không phải là một yêu cầu cần thiết của một BSS Nếu một AP phục vụnhư là cổng để vào dịch vụ phân phối, các máy trạm có thể giao tiếp, thông qua AP,với nguồn tài nguyên mạng ở tại hệ thống phân phối trung bình Nó cũng cần lưu ý
là nếu các máy client muốn giao tiếp với nhau, chúng phải chuyển tiếp dữ liệu
Trang 6thông qua các AP Các client không thể truyền thông trực tiếp với nhau, trừ khithông qua các AP Hình sau mô tả mô hình một BSS chuẩn.
2.2 Hình ảnh mạng BSSs
2.4.3 Mô hình mạng mở rộng ESSs
Mô hình mạng mở rộng ESS (extended service set) của mạng 802.11 sẽtương tự như là một tòa nhà được xây dựng bằng đá Một ESS là hai hoặc nhiềuBSS kết nối với nhau thông qua hệ thống phân phối Một ESS là một sự hội tụnhiều điểm truy cập và sự liên kết các máy trạm của chúng Tất cả chỉ bằng một
DS Một ví dụ phổ biến của một ESS có các AP với mức độ một phần các tế bàochồng chéo lên nhau Mục đích đằng sau của việc này là để cung cấp sự chuyểnvùng liên tục cho các client Hầu hết các nhà cung cấp dịch vụ đề nghị các tế bàochồng lên nhau khoảng 10%-15% để đạt được thành công trong quá trình chuyểnvùng
Trang 7Tuy nhiên, 802.11chỉ hỗ trợ cho băng tần mạng cực đại lên đến 2Mbps, sử dụngbăng tần 2,4Ghz của sóng radio hoặc hồng ngoại – quá chậm đối với hầu hết cácứng dụng Với lý do đó, các sản phẩm không dây thiết kế theo chuẩn 802.11 banđầu dần không được sản xuất.
• 802.11b: Wi-Fi thế hệ thứ hai:
IEEE đã mở rộng trên chuẩn 802.11 gốc vào tháng Bảy năm 1999, đó chính làchuẩn 802.11b Chuẩn này hỗ trợ băng thông lên đến 11Mbps, tương quan vớiEthernet truyền thống
802.11b sử dụng tần số vô tuyến (2.4 GHz) giống như chuẩn ban đầu 802.11 Cáchãng thích sử dụng các tần số này để chi phí trong sản xuất của họ được giảm Cácthiết bị 802.11b có thể bị xuyên nhiễu từ các thiết bị điện thoại không dây (kéo
Trang 8dài), lò vi sóng hoặc các thiết bị khác sử dụng cùng dải tần 2.4 GHz Mặc dù vậy,bằng cách cài đặt các thiết bị 802.11b cách xa các thiết bị như vậy có thể giảmđược hiện tượng xuyên nhiễu này.
+Ưu điểm của 802.11b – giá thành thấp nhất; phạm vi tín hiệu tốt và không dễ bịcản trở
+Nhược điểm của 802.11b – tốc độ tối đa thấp nhất; các ứng dụng gia đình có thểxuyên nhiễu
• 802.11a: Wi-Fi thế hệ thứ hai:
Trong khi 802.11b vẫn đang được phát triển, IEEE đã tạo một mở rộng thứ cấp chochuẩn 802.11 có tên gọi 802.11a Vì 802.11b được sử dụng rộng rãi quá nhanh sovới 802.11a, nên một số người cho rằng 802.11a được tạo sau 802.11b Tuy nhiêntrong thực tế, 802.11a và 802.11b được tạo một cách đồng thời Do giá thành caohơn nên 802.11a chỉ được sử dụng trong các mạng doanh nghiệp còn 802.11b thíchhợp hơn với thị trường mạng gia đình
802.11a hỗ trợ băng thông lên đến 54 Mbps và sử dụng tần số vô tuyến 5GHz Tần
số của 802.11a cao hơn so với 802.11b chính vì vậy đã làm cho phạm vi của hệthống này hẹp hơn so với các mạng 802.11b Với tần số này, các tín hiệu 802.11acũng khó xuyên qua các vách tường và các vật cản khác hơn
Do 802.11a và 802.11b sử dụng các tần số khác nhau, nên hai công nghệ nàykhông thể tương thích với nhau Chính vì vậy một số hãng đã cung cấp các thiết bịmạng hybrid cho 802.11a/b nhưng các sản phẩm này chỉ đơn thuần là bổ sung thêmhai chuẩn này
+Ưu điểm của 802.11a – tốc độ cao; tần số 5Ghz tránh được sự xuyên nhiễu từ cácthiết bị khác
+Nhược điểm của 802.11a – giá thành đắt; phạm vi hẹp và dễ bị che khuất
• 802.11g Wi-Fi thế hệ thứ ba:
Vào năm 2003, các sản phẩm WLAN hỗ trợ một chuẩn mới hơn đó là 802.11g,được đánh giá cao trên thị trường 802.11g thực hiện sự kết hợp tốt nhất giữa802.11a và 802.11b Nó hỗ trợ băng thông lên đến 54Mbps và sử dụng tần số 2.4Ghz để có phạm vi rộng 802.11g có khả năng tương thích với các chuẩn 802.11b,điều đó có nghĩa là các điểm truy cập 802.11g sẽ làm việc với các adapter mạngkhông dây 802.11b và ngược lại
+Ưu điểm của 802.11g – tốc độ cao; phạm vi tín hiệu tốt và ít bị che khuất
Trang 9+Nhược điểm của 802.11g – giá thành đắt hơn 802.11b; các thiết bị có thể bị xuyênnhiễu từ nhiều thiết bị khác sử dụng cùng băng tần.
• 802.11n: Wi-Fi thế hệ thứ tư:
Năm 2009 một chuẩn mới Wi-Fi được ra mắt chính là 802.11n Đây là chuẩn đượcthiết kế để cải thiện cho 802.11g trong tổng số băng thông được hỗ trợ bằng cáchtận dụng nhiều tín hiệu không dây và các anten (công nghệ MIMO)
Các kết nối 802.11n sẽ hỗ trợ tốc độ tối đa 600Mb/s (trên thị trường phổ biến cócác thiết bị 150Mb/s, 300Mb/s và 450Mb/s) 802.11n cũng cung cấp phạm vi baophủ tốt hơn so với các chuẩn Wi-Fi trước nó nhờ cường độ tín hiệu mạnh của nó.Chuẩn này có thể hoạt động trên cả hai băng tần 2,4GHz lẫn 5GHz và nếu router
hỗ trợ thì hai băng tần này có thể cùng được phát sóng song song nhau Thiết bị802.11n sẽ tương thích với các thiết bị 802.11g
+Ưu điểm của 802.11n – tốc độ nhanh và phạm vi tín hiệu tốt nhất; khả năng chịuđựng tốt hơn từ việc xuyên nhiễu từ các nguồn bên ngoài
+ Nhược điểm của 802.11n – giá thành đắt hơn 802.11g; sử dụng nhiều tín hiệu cóthể gây nhiễu với các mạng 802.11b/g ở gần
• 802.11ac: Wi-Fi thế hệ thứ năm:
Chuẩn Wifi thế hệ thứ 5, 802.11ac ra đời trong năm 2013 So với các chuẩn trước
đó, 802.11ac hỗ trợ tốc độ tối đa hiện là 1730Mb/s (sẽ còn tăng tiếp) và chỉ chạy ởbăng tần 5GHz Một số mức tốc độ thấp hơn (ứng với số luồng truyền dữ liệu thấphơn) bao gồm 450Mb/s và 900Mb/s
Về mặt lý thuyết, Wi-Fi 802.11ac sẽ cho tốc độ cao gấp ba lần so với Wi-Fi802.11n ở cùng số luồng (stream) truyền, ví dụ khi dùng ăng-ten 1x1 thì Wi-Fi accho tốc độ 450Mb/s, trong khi Wi-Fi n chỉ là 150Mb/s Còn nếu tăng lên ăng-ten3x3 với ba luồng, Wi-Fi ac có thể cung cấp 1300Mb/s, trong khi Wi-Fi n chỉ là450Mb/s Tuy nhiên, những con số nói trên chỉ là tốc độ tối đa trên lý thuyết, còntrong đời thực thì tốc độ này sẽ giảm xuống tùy theo thiết bị thu phát, môi trường,vật cản, nhiễu tín hiệu
*Hiện nay, hầu hết các router Wi-Fi trên thị trường có hỗ trợ chuẩn 802.11ac sẽ
hỗ trợ thêm các chuẩn cũ, bao gồm b/g/n Chúng cũng sẽ có hai băng tần 2,4GHz lẫn 5GHz Đối với những router có khả năng chạy hai băng tần cùng lúc (simultaneous), băng tần 2,4GHz sẽ được sử dụng để phát Wi-Fi n, còn 5GHz sẽ dùng để phát Wi-Fi ac
Trang 102.4 Bảng so sánh các chuẩn 802.11
2.6 Ưu điểm Wireless Lan
2.6.1 Tính di động và dễ dàng truy cập tại các đại điểm Internet công cộng
Wifi không khác gì các hệ thống mạng thông thường Mạng cho phép ngườidùng truy xuất tài nguyên mạng ở bất kỳ địa điểm nào trong khu vực được triểnkhai(home hay office) Cùng với sự phát triển của các mạng không dây công cộng,người sử dụng có thể truy cập Internet ở mọi nơi Ví dụ như ở các quán Cafe,người dùng có thể truy cập Internet (mạng không dây) miễn phí
2.6.2 Tính đơn giản và Tiết kiệm chi phí lâu dài
Thiết lập hệ thống mạng wifi không dây cần ít nhất 1 access point Với mạng
cổ điển trước đây là sử dụng cáp, tốn thêm rất nhiều chi phí và những khó khăntrong việc triển khai hệ thống cáp ở nhiều nơi trong tòa nhà.
2.7.Hoạt động của mạng không dây
2.7.1 Nguyên tắc hoạt động của Wireless Access Point
Chức năng cơ bản của một AP là làm cầu nối (bridge) cho những dữ liệumạng không dây từ không khí (môi trường sóng vô tuyến) vào mạng có dây bìnhthường Một AP có thể chấp nhận những kết nối từ một số các máy trạm không dâysao cho nó có thể trở thành các thành viên bình thường của một mạng LAN dùngdây Một AP cũng có thể hoạt động như một cầu nối (bridge) để hình thành mộtkết nối không dây giữa một mạng LAN này và một mạng LAN khác trên một
Trang 11khoảng cách xa Trong tình huống đó, ở mỗi đầu của kết nối không dây cần mộtaccess point
Kiểu kết nối này gọi là AP-to-AP hoặc kết nối line-of-sight, thường được dùng đểkết nối giữa các tòa nhà Cisco cũng đã phát triển một loại AP có thể làm cầu nốicho các loại lưu lượng trong mạng không dây từ AP này sang AP kia, theo kiểu mộtchuỗi các cầu nối Kiểu kết nối này cho phép một vùng không gian lớn có thể đượcbao phủ bởi mạng không dây Các AP lúc này sẽ hình thành nên sơ đồ mess, rấtgiống với mô hình ESS, trong đó các AP kết nối liên hoàn với nhau thông qua cáckết nối không dây khác AP hoạt động như một điểm truy cập trung tâm, kiểm soátcác truy cập từ các máy trạm Bất kỳ máy trạm nào khi cố gắng dùng WLAN thìtrước hết phải thiết lập một kết nối với một AP AP có thể cho phép kết nối theodạng mở sao cho bất kỳ máy trạm nào cũng có thể kết hợp, hoặc có thể kiểm soátchặt chẽ hơn bằng cách yêu cầu xác thực, hoặc có thể dùng các tiêu chuẩn kháctrước khi cho phép kết hợp
Hoạt động của WLAN thì liên quan chặt chẽ đến quá trình phản hồi từ đầu bên kiacủa kết nối không dây Ví dụ, các máy trạm phải bắt tay với AP trước khi nó có thểkết nối và sử dụng mạng không dây Ở mức độ cơ bản nhất, yêu cầu này đảm bảomột kết nối hai chiều bởi vì cả máy trạm và AP đều có khả năng truyền và nhậnframe thành công Tiến trình này sẽ loại bỏ khả năng truyền thông một chiều, khimáy trạm chỉ có thể nghe AP nhưng AP thì không thể nghe máy trạm Ngoài ra,
AP có thể kiểm soát nhiều khía cạnh của phạm vi mạng không dây của nó bằngcách yêu cầu một số điều kiện phải được đáp ứng trước khi máy trạm có thể kết nốivào Ví dụ, AP có thể yêu cầu máy client hỗ trợ một tốc độ truyền dữ liệu cụ thể,đáp ứng các biện pháp bảo mật và các yêu cầu xác thực trong quá trình kết hợp
2.7.2 Các frame trong Wireless Network
Các frame wireless có thể thay đổi về kích thước Khi một frame đượctruyền, làm thế nào để các máy khác biết là frame đã được truyền hoàn tất vàđường truyền (sóng vô tuyến) là rảnh cho các máy khác sử dụng? Rõ ràng, các máytrạm chỉ có thể lắng nghe trong yên lặng, nhưng nếu làm thế thì không phải luônluôn là hiệu quả Các máy trạm không dây khác có thể cũng lắng nghe và cũng cóthể truyền ở cùng một thời điểm Chuẩn 802.11 yêu cầu tất cả các máy trạm phảichờ một khoảng thời gian Khoảng thời gian này được gọi là khoảng thời gian giữacác frame DCF (DCF interframe space) Sau khoảng thời gian này, các máy trạmmới có thể truyền Bên máy truyền có thể chỉ ra một khoảng thời gian dự kiến đểgửi đi hết một frame bằng cách chỉ ra trong một trường của frame 802.11 Khoảngthời gian này chứa số timeslot (thường tính bằng đơn vị microseconds) cần thiết để
Trang 12truyền frame Các máy trạm khác phải xem giá trị chứa trong header này và phảichờ khoảng thời gian đó trước khi truyền cho chính nó Bởi vì tất cả các framephải chờ cùng một khoảng thời gian chỉ ra trong frame, tất cả các máy đó có thể sẽquyết định cùng truyền khi khoảng thời gian đó trôi qua Điều này có thể dẫn đếnhiện tượng xung đột, chính là một hiện tượng cần tránh Bên cạnh thông số thờigian nêu trên, các trạm không dây cũng phải triển khai một bộ định thời ngẫunhiên Trước khi truyền một frame, máy tính đó phải chọn một số ngẫu nhiên timeslot phải chờ Con số này sẽ nằm trong khoảng từ zero đến kích thước tối đa cửa sổcạnh tranh Ý tưởng cơ bản của cách làm này là khi một máy muốn truyền, mỗimáy sẽ chờ một khoảng thời gian ngẫu nhiên, giảm số trạm cố gắng truyền đồngthời cùng lúc.
Toàn bộ tiến trình này được gọi là chức năng phối hợp phân phối Chức năng nàyđược mô tả trong hình dưới đây Ba người dùng wireless có cùng một frame phảitruyền ở các khoảng thời gian khác nhau Một chuỗi các sự kiện sau sẽ xảy ra:
1 Người dùng A lắng nghe và xác định rằng không có người dùng nào khácđang truyền Người dùng A truyền frame của nó, đồng thời quảng bá khoảng thờigian để truyền frame
2 Người dùng B cũng có frame để truyền Anh ta phải chờ cho đến khi nàoframe của người dùng A là hoàn tất, sau đó, phải chờ hết khoảng thời gian DIFS(thời gian phối hợp phân phối) hoàn tất
3 Người dùng B phải chờ một khoàng thời gian ngẫu nhiên trước khi cốgắng truyền
4 Khi người dùng B đang chờ, người dùng C có frame phải truyền Anh talắng nghe và phát hiện rằng không có ai đang truyền Người dùng C phải chờ mộtkhoảng thời gian ngẫu nhiên Khoàng thời gian này là ngắn hơn khoảng thời gianngẫu nhiên của người dùng B
5 Người dùng C truyền frame và quảng bá khoảng thời gian để truyền
6 Người dùng B phải chờ khoảng thời gian truyền frame của người dùng Ccộng với khảong thời gian giữa các frame DIFS trước khi cố gắng truyền lại mộtlần nữa
2.8.Bảo mật mạng không dây
2.8.1 Mục đích bảo mật mạng không dây
Để kết nối tới một mạng LAN hữu tuyến ta cần phải truy cập theo đườngtruyền bằng dây cáp, phải kết nối một PC vào một cổng mạng Với mạng không
Trang 13dây ta chỉ cần có máy của ta trong vùng sóng bao phủ của mạng không dây Điềukhiển cho mạng có dây là đơn giản: đường truyền bằng cáp thông thường được đitrong các tòa nhà cao tầng và các port không sử dụng có thể làm cho nó disablebằng các ứng dụng quản lý Các mạng không dây (hay vô tuyến) sử dụng sóng vôtuyến xuyên qua vật liệu của các tòa nhà và như vậy sự bao phủ là không giới hạn
ở bên trong một tòa nhà Sóng vô tuyến có thể xuất hiện trên đường phố, từ cáctrạm phát từ các mạng LAN này, và như vậy ai đó có thể truy cập nhờ thiết bị thíchhợp Do đó mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoàitòa nhà công ty của họ
Cách thức để xác định ai có quyền sử dụng WLAN - yêu cầu này được thỏamãn bằng cơ chế xác thực( authentication) ·Một phương thức để cung cấp tínhriêng tư cho các dữ liệu không dây – yêu cầu này được thỏa mãn bằng một thuậttoán mã hóa ( encryption)
2.8.2 Bảo mật mạng không dây(WLAN)
Một bộ phận không dây có thể được kết nối đến các mạng không dây tồn tại theomột số cách Kiến trúc tổng thể sử dụng EAS trong “Gateway Mode” hay
“Controller Mode”
Trong Gateway Mode EAS được đặt ở giữa mạng AP và phần còn lại của mạngEnterprise Vì vậy EAS điều khiển tất cả các luồng lưu lượng giữa các mạng khôngdây và có dây và thực hiện như một tường lửa
Trong Controll Mode , EAS quản lý các AP và điều khiển việc truy cập đến mạngkhông dây, nhưng nó không liên quan đến việc truyền tải dữ liệu người dùng.Trong chế độ này, mạng không dây có thể bị phân chia thành mạng dây vớifirewall thông thường hay tích hợp hoàn toàn trong mạng dây Enterprise Kiến trúcWLAN hỗ trợ một mô hình bảo mật Mỗi một phần tử bên trong mô hình đều có
Trang 14thể cấu hình theo người quản lý mạng để thỏa mãn và phù hợp với những gì họcần.
2.9Mã hóa
2.9.1 Định nghĩa
Mã hóa là biến đổi dữ liệu để chỉ có các thành phần được xác nhận mới có thể giải
mã được nó Quá trình mã hóa là kết hợp plaintext với một khóa để tạo thành vănbản mật (Ciphertext) Sự giải mã được bằng cách kết hợp Ciphertext với khóa đểtái tạo lại plaintext gốc như hình 3-6 Quá trình xắp xếp và phân bố các khóa gọi làsự quản lý khóa
để mã hóa một frame khác Mật mã dòng là một thuật toán mã hóa rất hiệu quả, íttiêu tốn tài nguyên (CPU)
Mật mã khối ( block ciphers)
Ngược lại, mật mã khối sinh ra một chuỗi khóa duy nhất và có kích thước cốđịnh(64 hoặc 128 bit) Chuỗi kí tự chưa được mã hóa( plaintext) sẽ được phânmảnh thành những khối(block) và mỗi khối sẽ được trộn với chuỗi khóa một cáchđộc lập Nếu như khối plaintext nhỏ hơn khối chuỗi khóa thì plaintext sẽ được đệmthêm vào để có được kích thước thích hợp Tiến trình phân mảnh cùng với một sốthao tác khác của mật mã khối sẽ làm tiêu tốn nhiều tài nguyên CPU
Tiến trình mã hóa dòng và mã hóa khối còn được gọi là chế độ mã hóa khối mãđiện tử ECB ( Electronic Code Block) Chế độ mã hóa này có đặc điểm là cùngmột đầu vào plaintext ( input plain) sẽ luôn luôn sinh ra cùng một đầu ra ciphertext(output ciphertext) Đây chính là yếu tố mà kẻ tấn công có thể lợi dụng để nhậndạng của ciphertext và đoán được plaintext ban đầu
2.9.3 Một số kỹ thuật có thể khắc phục được vấn đề trên
Sử dụng vector khởi tạo IV ( Initialization Vector)
Vector khởi tạo IV là một số được thêm vào khóa và làm thay đổi khóa IV đượcnối vào khóa trước khi chuỗi khóa được sinh ra, khi IV thay đổi thì chuỗi khóa
Trang 15cũng sẽ thay đổi theo và kết quả là ta sẽ có ciphertext khác nhau Ta nên thay đổigiá trị IV theo từng frame Theo cách này nếu một frame được truyền 2 lần thìchúng ta sẽ có 2 ciphertext hoàn toàn khác nhau cho từng frame.
Chế độ phản hồi (FeedBack)
Chế độ phản hồi cải tiến quá trình mã hóa để tránh việc một plaintext sinh ra cùngmột ciphertext trong suốt quá trình mã hóa Chế độ phản hồi thường được sử dụngvới mật mã khối
2.10.Bảo mật bằng WEP
2.10.1 Định nghĩa WEP
WEP là một thuật toán bảo nhằm bảo vệ sự trao đổi thông tin chống lại sựnghe trộm, chống lại những nối kết mạng không được cho phép cũng như chống lạiviệc thay đổi hoặc làm nhiễu thông tin truyền WEP sử dụng stream cipher RC4cùng với một mã 40 bit và một số ngẫu nhiên 24 bit (initialization vector - IV) để
mã hóa thông tin Thông tin mã hóa được tạo ra bằng cách thực hiện operationXOR giữa keystream và plain text Thông tin mã hóa và IV sẽ được gửi đến ngườinhận Người nhận sẽ giải mã thông tin dựa vào IV và khóa WEP đã biết trước Sơ
đồ mã hóa được miêu tả bởi hình sau:
2.5.SƠ ĐỒ MÃ HOÁ BẰNG WEP
Trang 162.10.2 Frame được mã hóa bởi WEP
Để tránh chế độ ECB(Electronic Code Block) trong quá trình mã hóa, WEP
sử dụng 24 bit IV, nó được kết nối vào khóa WEP trước khi được xử lý bởi RC4.Giá trị IV phải được thay đổi theo từng frame để tránh hiện tượng xung đột Hiệntượng xung đột IV xảy ra khi sử dụng cùng một IV và khóa WEP kết quả là cùngmột chuỗi khóa được sử dụng để mã hóa frame
2.6 FRAME ĐÃ ĐƯỢC MÃ HOÁ BỞI WEP
2.10.3 Tiến trình mã hóa và giải mã
Chuẩn 802.11 yêu cầu khóa WEP phải được cấu hình trên cả client và APkhớp với nhau thì chúng mới có thể truyền thông được Mã hóa WEP chỉ được sửdụng cho các frame dữ liệu trong suốt tiến trình xác thực khóa chia sẻ WEP mãhóa những trường sau đây trong frame dữ liệu: ffPhần dữ liệu (payload)
Giá trị kiểm tra tính toàn vẹn của dữ liệu ICV (Integrity Check value) Tất cả các trường khác được truyền mà không được mã hóa Giá trị IV đượctruyền mà không cần mã hóa để cho trạm nhận sử dụng nó để giải mã phần dữ liệu
và ICV
Trang 172.7 TIẾN TRÌNH MÃ HOÁ VÀ GIẢI MÃ WEPNgoài việc mã hóa dữ liệu 802.11 cung cấp một giá trị 32 bit ICV có chứcnăng kiểm tra tính toàn vẹn của frame Việc kiểm tra này cho trạm thu biết rằngframe đã được truyền mà không có lỗi nào xảy ra trong suốt quá trình truyền ICVđược tính dựa vào phương pháp kiểm tra lỗi bits CRC-32 ( Cyclic RedundancyCheck 32) Trạm phát sẽ tính toán giá trị và đặt kết quả vào trong trường ICV, ICV
sẽ được mã hóa cùng với frame dữ liệu Trạm thu sau nhận frame sẽ thực hiện giải
mã frame, tính toán lại giá trị ICV và so sánh với giá trị ICV đã được trạm pháttính toán trong frame nhận được Nếu 2 giá trị trùng nhau thì frame xem như chưa
bị thay đổi hay giả mạo, nếu giá trị không khớp nhau thì frame đó sẽ bị hủy bỏ