Đang tải... (xem toàn văn)
AN NINH MẠNG KHÔNG DÂY Tổng quan về mạng cục bộ không dây IEEE 802.11 An ninh mạng cục bộ không dây IEEE 802.11i Tổng quan về giao thức ứng dụng không dây (WAP) An ninh tầng giao vận không dây (WTLS) An ninh WAP End-to-End
AN NINH MẠNG KHƠNG DÂY An ninh an tồn hệ thống an ninh mạng TS LÊ BÁ NGHIỄN Nhóm 5: TRẦN VĂN DUY TRẦN XUÂN BÌNH UMVONG KIENG CAY MỤC LỤC Tổng quan mạng cục không dây IEEE 802.11 An ninh mạng cục không dây IEEE 802.11i Tổng quan giao thức ứng dụng không dây (WAP) An ninh tầng giao vận không dây (WTLS) An ninh WAP End-to-End 02 AN NINH MẠNG KHÔNG DÂY TỔNG QUAN VỀ MẠNG CỤC BỘ KHÔNG DÂY IEEE 802.11 TỔNG QUAN VỀ MẠNG CỤC BỘ KHÔNG DÂY IEEE 802.11 Theo Wikipedia: IEEE 802.11 là tập chuẩn tổ chức IEEE (tiếng Anh: Institute of Electrical and Electronic Engineers) bao gồm đặc tả kỹ thuật liên quan đến hệ thống mạng không dây Chuẩn IEEE 802.11 mô tả giao tiếp "truyền qua khơng khí" (tiếng Anh: over-the-air) sử dụng sóng vơ tuyến để truyền nhận tín hiệu thiết bị không dây tổng đài hoặc điểm truy cập (tiếng Anh: access point), hay nhiều thiết bị không dây với nhau Chuẩn IEEE 802.11 (Wifi) tổ chức Tổ chức IEEE chịu trách nhiệm phát triển chuẩn mạng cục không dây (wireless local area networking standards) Tổ chức IEEE dựa công nghệ mạng cục để phát triển chuẩn cho mạng cục khơng dây (IEEE 802.11) IEEE 802.11 có framework giống chuẩn Ethernet, điều đảm bảo tương tác tầng mức cao kết nối dễ dàng thiết bị Ethernet WLAN Tuy nhiên, 802.11chỉ hỗ trợ cho băng tần mạng cực đại lên đến 2Mbps – chậm hầu hết ứng dụng Với lý đó, sản phẩm không dây thiết kế theo chuẩn 802.11 ban đầu dần không sản xuất Chuẩn 802.11 chia làm hai nhóm: Nhóm lớp vật lý PHY nhóm liên kết liệu MAC Nhóm lớp vật lý PHY bao gồm chuẩn: • Chuẩn 802.11b • Chuẩn 802.11a • Chuẩn 802.11g Nhóm liên kết liệu MAC bao gồm chuẩn: • • • • • Chuẩn 802.11d Chuẩn 802.11e Chuẩn 802.11f Chuẩn 802.11h Chuẩn 802.11i 03 TỔNG QUAN VỀ MẠNG CỤC BỘ KHÔNG DÂY IEEE 802.11 1.Nhóm lớp vật lý PHY Chuẩn 802.11b: IEEE mở rộng chuẩn 802.11 gốc vào tháng Bảy năm 1999, chuẩn 802.11b Chuẩn hỗ trợ băng thông lên đến 11Mbps, tương quan với Ethernet truyền thống 802.11b sử dụng tần số vô tuyến (2.4 GHz) giống chuẩn ban đầu 802.11 Các hãng thích sử dụng tần số để chi phí sản xuất họ giảm Các thiết bị 802.11b bị xuyên nhiễu từ thiết bị điện thoại khơng dây (kéo dài), lò vi sóng thiết bị khác sử dụng dải tần 2.4 GHz Mặc dù vậy, cách cài đặt thiết bị 802.11b cách xa thiết bị giảm tượng xuyên nhiễu ⮚ Ưu điểm 802.11b – giá thành thấp nhất; phạm vi tín hiệu tốt khơng dễ bị cản trở ⮚ Nhược điểm 802.11b – tốc độ tối đa thấp nhất; ứng dụng gia đình xun nhiễu 04 TỔNG QUAN VỀ MẠNG CỤC BỘ KHÔNG DÂY IEEE 802.11 1.Nhóm lớp vật lý PHY Chuẩn 802.11a: Trong 802.11b phát triển, IEEE tạo mở rộng thứ cấp cho chuẩn 802.11 có tên gọi 802.11a Vì 802.11b sử dụng rộng rãi nhanh so với 802.11a, nên số người cho 802.11a tạo sau 802.11b Tuy nhiên thực tế, 802.11a 802.11b tạo cách đồng thời Do giá thành cao nên 802.11a sử dụng mạng doanh nghiệp 802.11b thích hợp với thị trường mạng gia đình • 802.11a hỗ trợ băng thông lên đến 54 Mbps sử dụng tần số vô tuyến 5GHz Tần số 802.11a cao so với 802.11b làm cho phạm vi hệ thống hẹp so với mạng 802.11b Với tần số này, tín hiệu 802.11a khó xuyên qua vách tường vật cản khác • Do 802.11a 802.11b sử dụng tần số khác nhau, nên hai công nghệ khơng thể tương thích với Chính số hãng cung cấp thiết bị mạng hybrid cho 802.11a/b sản phẩm đơn bổ sung thêm hai chuẩn ⮚ Ưu điểm 802.11a – tốc độ cao; tần số 5Ghz tránh xuyên nhiễu từ thiết bị khác ⮚ Nhược điểm 802.11a – giá thành đắt; phạm vi hẹp dễ bị che khuất 05 TỔNG QUAN VỀ MẠNG CỤC BỘ KHÔNG DÂY IEEE 802.11 1.Nhóm lớp vật lý PHY Chuẩn 802.11g: Vào năm 2002 2003, sản phẩm WLAN hỗ trợ chuẩn 802.11g, đánh giá cao thị trường 802.11g thực kết hợp tốt 802.11a 802.11b Nó hỗ trợ băng thơng lên đến 54Mbps sử dụng tần số 2.4 Ghz để có phạm vi rộng 802.11g có khả tương thích với chuẩn 802.11b, điều có nghĩa điểm truy cập 802.11g làm việc với adapter mạng không dây 802.11b ngược lại ⮚ Ưu điểm 802.11g – tốc độ cao; phạm vi tín hiệu tốt bị che khuất ⮚ Nhược điểm 802.11g – giá thành đắt 802.11b; thiết bị bị xuyên nhiễu từ nhiều thiết bị khác sử dụng băng tần 06 TỔNG QUAN VỀ MẠNG CỤC BỘ KHÔNG DÂY IEEE 802.11 Nhóm lớp liên kết liệu MAC Chuẩn 802.11d: Chuẩn 802.11e: Chuẩn 802.11f: Chuẩn 802.11d bổ xung số tính lớp MAC nhằm phổ biến WLAN tồn giới Một số nước giới có quy định chặt chẽ tần số mức lượng phát sóng 802.11d đời nhằm đáp ứng nhu cầu Tuy nhiên, chuẩn 802.11d trình phát triển chưa chấp nhận rộng rãi chuẩn giới Đây chuẩn áp dụng cho 802.11 a, b, g Mục tiêu chuẩn nhằm cung cấp chức chất lượng dịch vụ - QoS cho WLAN Về mặt kỹ thuật, 802.11e bổ xung số tính cho lớp MAC Nhờ tính này, WLAN 802.11 tương lai khơng xa cung cấp đầy đủ dịch vụ voice, video, dịch vụ đòi hỏi QoS cao Chuẩn 802.11e qua trình phát triển chưa thức áp dụng tồn giới Đây tài liệu khuyến nghị nhà sản xuất để Access Point nhà sản xuất khác làm việc với Điều quan trọng quy mô mạng lưới đạt đến mức đáng kể Khi đáp ứng việc kết nối mạng không dây liên quan, liên xí nghiệp có nhiều khả khơng dùng chủng loại thiết bị Chuẩn 802.11h: Chuẩn 802.11i: Tiêu chuẩn bổ xung số tính cho lớp MAC nhằm đáp ứng quy định châu Âu dải tần 5GHz Châu Âu quy định sản phẩm dùng dải tần GHz phải có tính kiểm sốt mức lượng truyền dẫn TPC Transmission Power Control khả tự động lựa chọn tần số DFS - Dynamic Frequency Selection Lựa chọn tần số Access Point giúp làm giảm đến mức tối thiểu can nhiễu đến hệ thống radar đặc biệt khác Đây chuẩn bổ xung cho 802.11 a, b, g nhằm cải thiện mặt an ninh cho mạng không dây An ninh cho mạng không dây giao thức có tên WEP, 802.11i cung cấp phương thức mã hóa thủ tục xác nhận, chứng thực có tên 802.1x Chuẩn giai đoạn phát triển 07 AN NINH MẠNG CỤC BỘ KHƠNG DÂY Tại an tồn thơng tin mạng không dây lại quan trọng? 08 AN NINH MẠNG CỤC BỘ KHÔNG DÂY Tại an tồn thơng tin WLAN lại quan trọng? Điều bắt nguồn từ tính cố hữu mơi trường khơng dây Sóng vơ tuyến xuất đường phố, từ trạm phát mạng LAN này, truy cập nhờ thiết bị thích hợp Các dịch vụ an ninh IEEE 802.11 ⮚ Có ba dịch vụ an ninh bản: Sự xác thực Cung cấp khả điều khiển truy nhập tới mạng nhờ ngăn cấm truy nhập thiết bị xác nhận không hợp lệ Dịch vụ hướng đến vấn đề – người dùng hợp lệ phép truy nhập tới mạng? Tính bí mật (hoặc tính riêng tư) Mục tiêu nhằm ngăn chặn việc đọc thơng tin từ đối tượng phi pháp Dịch vụ hướng đến vấn đề – người dùng hợp lệ phép đọc thơng tin mình? Tính tồn vẹn Được phát triển nhằm mục đích đảm bảo cho tin không bị sửa đổi truyền trạm điểm truy nhập Dịch vụ hướng đến vấn đề – thông tin mạng đáng tin cậy hay bị giả mạo? Các dịch vụ chuẩn IEEE 802.11 không đề cập đến dịch vụ an ninh khác kiểm toán, cấp quyền, chống từ chối 09 TỔNG QUAN VỀ GIAO THỨC WAP ❑ WDP - Wireless Datagram Protocol • Giao thức lớp giao vận kiến trúc WAP quy vào giao thức liệu đồ WDP Lớp WDP điều hành dịch vụ có khả mang liệu, hỗ trợ kiểu mạng khác Như dịch vụ giao vận chung, WDP cung cấp dịch vụ thích hợp với giao thức lớp truyền thông suốt qua dịch vụ mang có sẵn • Khí giao thức WDP cung cấp giao diện chung để giao thức lớp – Các lớp Bảo mật, Phiên, Ứng dụng – có khả độc lập chức mạng khồng dây Điều đạt cách thích ứng lớp giao vận với đặc trưng xác định dịch vụ mang bên 34 TỔNG QUAN VỀ GIAO THỨC WAP Đánh giá ưu – nhược điểm WAP WAP ứng dụng ngôn ngữ WML để triển khai thể trang Web tiêu chuẩn cho phù hợp với thiết bị di động Sử dụng khn dạng tín hiệu liệu tối ưu, WAP thiết kế để duyệt nội dung web tới thiết bị vô tuyến thông qua loại bỏ thành phần đồ họa nhằm hiển thị hình nhỏ hạn chế băng thơng Thực tế nhiều mã WML sửa đổi từ mã HTML Mặc dù WAP hỗ trợ cho hầu hết thiết bị di động tồn số điểm hạn chế giao thức này: 01 03 ĐỘ TRỄ WAP dựa giao thức TCP/IP không tự xây dựng hệ thống bảo mật riêng khả tự đẩy liệu, điều ảnh hưởng tới ứng dụng cần chạy người dùng truyền liệu ứng dụng khác Nếu triển khai ứng dụng kiểu tăng độ phức tạp hệ thống lên lớn ảnh hưởng trực tiếp tới phần cứng băng thông yêu cầu 02 BẢO MẬT WAP hệ thống giao thức điển hình khơng chứa bảo mật riêng, điều có nghĩa liệu khơng mã hố truyền Các phần mềm bảo mật hỗ trợ cho WAP bị giới hạn độ ổn định, giá thành thời gian thực Gateway: Giải pháp WAP yêu cầu có gateway vơ tuyến, làm tăng giá thành hệ thống KẾT NỐI LIÊN TỤC Các ứng dụng WAP xây dựng dựa kiến thức u cầu/ đáp ứng kết nối liên tục khơng giống trình duyệt máy PC Một số người sử dụng thường di chuyển vượt qua vùng phủ sóng gây lỗi kết nối Vấn đề giải phương pháp “lưu chuyển tiếp”, giải pháp thêm vào làm tăng giá thành độ phức tạp hệ thống Trên thực tế, việc thêm vào khả thường yêu cầu phần cứng kèm theo tăng thêm băng thông sử dụng 35 TỔNG QUAN VỀ GIAO THỨC WAP Đánh giá ưu – nhược điểm WAP 04 06 TRIỂN KHAI DỊCH VỤ WAP Được tạo để duyệt nội dung trang web, nhà cung cấp nội dung yêu cầu quản lý trì cho website Các thực khơng hiệu làm tăng giá thành mở rộng bảo dưỡng hệ thống 05 TƯƠNG TÁC THẤP WAP khó tích hợp với ứng dụng có sẵn thiết bị, giới hạn thường thấy giải pháp đầu cuối có lực xử lý giao diện hình nhỏ KHẢ NĂNG ĐẨY VÀ KÉO Các giải pháp WAP yêu cầu người sử dụng gửi thông tin trước họ nhận chúng Như vậy, email, cảnh báo nhận tức khắc Thuật ngữ “kéo” liên quan tới khả thiết bị để cảnh báo người sử dụng có liệu họ đến Chức đẩy chức có sẵn WAP yêu cầu thêm lớp kiến trúc làm tăng nguy xảy lỗi trễ 36 AN NINH MẠNG KHÔNG DÂY AN NINH TẦNG GIAO VẬN KHÔNG DÂY (WTLS) AN NINH TẦNG GIAO VẬN KHÔNG DÂY (WTLS) Wireless Transport Layer Protocol – WTLS Lớp WTLS hoạt động lớp giao thức giao vận Lớp WTLS chia thành module phụ thuộc vào mức bảo mật yêu cầu ứng dụng có sử dụng không WTLS cung cấp cho lớp giao diện dịch vụ giao vận an toàn để nhằm bảo vệ giao diện dịch vụ giao vận bên WTLS cung cấp giao thức quản lý kết nối an toàn (nghĩa là: tạo chấm dứt kết nối) Mục tiêu WTLS cung cấp tính riêng tư, tính tồn vẹn, tính nhận thực hai ứng dụng truyền thông WTLS cung cấp chức hỗ trợ liệu đồ, tối ưu thao tác bắt tay… Giao thức WTLS tối ưu cho mạng mang băng thông thấp Quản lý kết nối WTLS Giao thức bắt tay Kết nối có trạng thái WTLS Các chế mật mã WTLS 37 AN NINH TẦNG GIAO VẬN KHÔNG DÂY (WTLS) Quản lý kết nối WTLS Quản lý kết nối cho phép client kết nối tới server chấp nhận tùy chọn giao thức Việc thiết lập kết nối an toàn bao gồm số bước mốt bên client server ngắt việc đàm phán (Ví dụ tham số phía đưa khơng chấp nhận) Việc đàm phán bao gồm tham số bảo mật (Ví dụ thuật tốn mã hóa độ dài khóa), trao đổi khóa nhận thực Mỗi bên client server kết thúc kết nối thời điểm 38 AN NINH TẦNG GIAO VẬN KHƠNG DÂY (WTLS) Kết nối có trạng thái WTLS Kết nối có trạng thái mơi trường hoạt động giao thức Bản ghi WTLS (WTLS Record Protocol) Nó xác định thuật tốn nén, thuật tốn mã hóa, thuật tốn MAC Về mặt logic, tồn trạng thái kết nối ▪ Trạng thái tại; ▪ Trạng thái xảy Tất ghi xử lý trạng thái Các tham số bảo mật cho trạng thái chờ thiết lập giao thức bắt tay WTLS Giao thức bắt tay phải tạo trạng thái chờ Trạng thái chờ đựoc khởi tạo lại trạng thái trống Trạng thái ln ln định việc mã hóa, nén hay MAC sử dụng 39 AN NINH TẦNG GIAO VẬN KHÔNG DÂY (WTLS) Giao thức bắt tay Các tham số mật mã phiên an toàn tạo Giao thức bắt tay hoạt động đỉnh Lớp ghi WTLS Khi client server WTLS bắt đầu truyền thông, chúng chấp thuận phiên giao thức, lựa chọn thuật tốn mã hóa, tùy chọn nhận thực sử dụng kĩ thuật khóa cơng khai để sinh khóa bí mật Giao thức bắt tay thực qua bước sau: Trao đổi thông điệp chào hỏi để chấp nhận thuật toán, trao đổi giá trị ngẫu nhiên Trao đổi tham số mật mã phép client server chấp thuận khóa bí mật sơ cua Trao đổi chứng thông tin mật mã để client server tự nhận thực lẫn Sinh khóa bí mật dựa vào khóa bí mật sơ cua giá trị ngẫu nhiên trao đổi Cung cấp thông tin bảo mật tới lớp ghi Cho phép client server kiểm tra đối tượng chúng tính tốn tham số bảo mật giống nhau, việc bắt tay diễn khơng có giả mạo kẻ công Các chế mật mã WTLS Các chế mật mã sử dụng WTLS: ✔ Cơ chế mã hóa RSA ✔ Thuật toán Diffie-Hellman ✔ Thuật toán đường cong elliptic Diffie-Hellman 40 AN NINH MẠNG KHÔNG DÂY AN NINH WAP End to End AN NINH WAP End to End Vấn đề bảo mật WAP Bảo mật vấn đề nhiều người quan tâm Chúng ta vào tìm hiểu vấn đề bảo mật mơi trường WAP với mơi trường quen thuộc Internet • Mạng ISP kết nối với mạng trục Internet (Internet backbne) thông qua router gateway Đồng thời với có mặt tường lửa (firewall), bảo vệ mạng ISP với lưu chuyển bên mạng Internet (bức tường lửa nằm độc lập tính hợp vào router) • Khi bên ngồi Internet, liệu qua nhiều mạng chuyển mạch (circuit – switched) chuyển gói (packet – switched) lưu chuyển từ router qua router khác trước đến đích • Phương thức bảo mật phổ biến dùng để bảo vệ giao thức TLS (Transport Layer Security) trước SSL ( Secure Sockets Layer) Đây giao thức tầng vận chuyển • Khi client yêu cầu phiên làm việc an toàn với server, tham số phiên trao đổi client server trước phiên làm việc an toàn thiết lập chúng Tất giao tiếp client server mã hoá thuật toán khoá trao đổi phần việc thiết lập phiên làm việc Mặc dù kẻ nghe trộm chặn gói tin thiết lập phiên, với có mặt khoá đủ để đảm bảo phiên làm việc không bị ảnh hưởng Điều đạt khóa phiên hình thành nhờ vào phối hợp khoá chung riêng (public key, private key) lại với Như vậy, để có khóa phiên giao dịch, kẻ nghe trộm phải sở hữu số khố riêng • TLS cung cấp giao tiếp an toàn dạng end – to – end client server • Với hướng giao tiếp này, tất liệu mã hóa giải mã trạm trung gian client server 41 AN NINH WAP End to End Bảo mật WAP Cũng giống Internet bảo mật thực Tầng Vận chuyển: Mơ hình mạng Internet thực thi phần lớn chức bảo mật TLS, WAP thực phần lớn WTLS (WTLS dựa TLS) • Trong mơ hình này, nối kết thiết lập thông qua điện thoại di động, lúc kết nối quản lý người điều khiển mạng từ ISP Khi điện thoại thực gọi, tín hiệu truyền đến cho người quản lý, thực việc tìm đường thơng qua modem nối kết với RAS server giống mơ hình mạng Internet • RAS server thực việc định dạng, gói tin qua RAS server thứ bắt đầu khác Thay tìm đường Internet đến web server, liệu định tuyến đến WAP gateway Tại đây, liệu biên dịch thành dạng nhị phân (nếu cần), sau chuyển khơng khí Gateway hoạt động proxy điện thoại, việc giao tiếp với web server thực thơng qua giao thức HTTP 1.1 • Web server khơng quan tâm giao tiếp với WAP gateway, xem gateway đơn giản thiết bị client khác Web server nằm bên mạng hay thuộc tổ chức bên ngồi khác WAP gateway gửi gói tin HTTP qua tường lửa đến với web server thuộc mạng cần đến • Nếu WAP gateway hoạt động proxy điện thoại di động sử dụng giao thức HTTP 1.1 thơng thường khơng có lý TLS khơng dùng đến để đảm bảo an tồn cho tất giao tiếp WAP gateway web server, giống Internet Nhưng với hai chuẩn WAP áp dụng – WAP 1.x WAP 2.0 – giao thức dùng cho việc bảo mật khác 42 AN NINH WAP End to End WAP1.x Do TLS đòi hỏi truyền tải tin cậy – thường TCP – điện thoại lại khơng sử dụng TCP để giao tiếp với WAP gateway nên TLS dùng để bảo mật giao tiếp điện thoại di động WAP gateway Thay vào sử dụng giao thức có tên WTLS ( có khả hoạt động WDP UDP) Giao thức phát triển dựa TLS cung cấp mức bảo mật giống TLS Như vậy, hệ thống phải sử dụng hai chế bảo mật: Một đặt từ thiết bị đến WAP gateway, từ gateway đến web server Điều có nghĩa phải có chuyển đổi từ WTLS sang TLS gateway 43 AN NINH WAP End to End WAP 2.0 Do kiến trúc ngăn xếp WAP 2.0 gần giống với kiến thức web, giao thức sử dụng Tầng vận chuyển wTCP/IP (Wireless Profile TCP/IP) wTCP/ IP tối ưu hoá từ TCP/ IP nhằm vào mục đích phục vụ cho hoạt động mơi trường di động, giao thức phối hợp tốt hai mơi trường mạng là: di động mạng Internet • • Khi muốn nối kết với ISP cần phải cung cấp ID mật người dùng để ISP thực việc chứng thực Hầu hết người lưu trữ thông tin bên máy tính chúng đại diện cho người dùng cần đến Sẽ khơng có vấn đề người có máy tính cho riêng mình, điều xảy có nhiều người truy cập máy tính? Khi đó, người sử dụng sau sử dụng thơng tin người sử dụng trước để truy cập Internet, gửi nhận email, hay chí sử dụng chứng nhận (certificate) người dùng trước Trường hợp đòi hỏi hệ thống cần quản lý chế bảo mật 44 AN NINH WAP End to End WAP Gateway Do kiến trúc ngăn xếp WAP 2.0 gần giống với kiến thức web, giao thức sử dụng Tầng vận chuyển wTCP/IP (Wireless Profile TCP/IP) wTCP/ IP tối ưu hoá từ TCP/ IP nhằm vào mục đích phục vụ cho hoạt động mơi trường di động, giao thức phối hợp tốt hai mơi trường mạng là: di động mạng Internet 45 ... quan mạng cục không dây IEEE 802.11 An ninh mạng cục không dây IEEE 802.11i Tổng quan giao thức ứng dụng không dây (WAP) An ninh tầng giao vận không dây (WTLS) An ninh WAP End-to-End 02 AN NINH. .. giai đoạn phát triển 07 AN NINH MẠNG CỤC BỘ KHƠNG DÂY Tại an tồn thơng tin mạng không dây lại quan trọng? 08 AN NINH MẠNG CỤC BỘ KHÔNG DÂY Tại an tồn thơng tin WLAN lại quan trọng? Điều bắt nguồn... giảm đến mức tối thiểu can nhiễu đến hệ thống radar đặc biệt khác Đây chuẩn bổ xung cho 802.11 a, b, g nhằm cải thiện mặt an ninh cho mạng không dây An ninh cho mạng không dây giao thức có tên