Tổng quan về mạng LAN không dây, các kiểu tấn công của mạng LAN: chủ động, bị động, chèn ép, thu hút, gây nghẽn hoạt động. Nguyên lý chứng thực và mã hóa bảo mật trong mạng LAN không dây. Các giải pháp bảo mật mạng không dây
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - LUẬN VĂN THẠC SĨ KHOA HỌC CÁC BIỆN PHÁP BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY NGÀNH : ĐIỆN TỬ VIỄN THÔNG MÃ SỐ : 00005CK68 KIM AN Người hướng dẫn khoa học : TS Nguyễn Hữu Thanh HÀ NỘI 2008 LỜI NÓI ĐẦU Trước phát triển mạnh mẽ, nhanh chóng phổ biến mạng không dây này, với việc phát tin hiệu cho vùng người sử dụng cang cao.Đồ án em làm nhằm mục đích nghiên cứu cách tổng quan mạng không dây phân tích đánh giá độ tin vùng phủ sóng mạng không dây (WLAN) Qua đây, em xin gửi lời cảm ơn chân thành tới: Thầy giáo hướng dẫn TS Nguyễn Hữu Thanh, giảng viên – phó chủ nhiệm khoa Điện tử viễn thông, Trường Đại Học Bách Khoa Hà Nội tận tình hướng dẫn, giúp đỡ em suốt trình làm đố án Được làm việc với thầy, em học tập nhiều điều bổ ích rèn luyện tác phong làm việc nghiên cứu khoa học Các thầy, cô khoa Điện tử viễn thông, Trường Đại Học Bách Khoa Hà Nội trang bị cho chúng em kiến thức kĩ q báu q trình học tập Những người thân gia đình ln giúp đỡ, cổ vũ động viên thời gian làm đồ án năm học vừa qua i MỤC LỤC LỜI NÓI ĐẦU i MỤC LỤC ii DANH MỤC HÌNH vii TỪ VIỆT TẮT x MỞ ĐẦU xiv CHƯƠNG 1: TỔNG QUAN VỀ MẠNG KHÔNG DÂY 1.1 Mở đầu 1.1.1.Tổng quan mạng LAN không dây 1.1.2 Công nghệ sử dụng 1.1.3 Ưu điểm WLAN 1.1.4 Hoạt động WLAN 1.2 Một số công nghệ mạng không dây 1.2.1 Công nghệ sử dụng sóng hồng ngoại 1.2.2 Công nghệ Bluetooth 1.2.3 Công nghệ HomeRF 1.2.4 Công nghệ HyperLAN 1.2.5 Công nghệ Wimax 1.2.6 Công nghệ WiFi 1.2.7 Công nghệ 3G 1.2.8 Công nghệ UWB 1.3 Các chuẩn 802.11x 1.3.1 Chuẩn 802.11b 1.3.2 Chuẩn 802.11a 1.3.3 Chuẩn 802.11e 1.4 Truy nhập kênh truyền, chế đa truy nhập CSMA/CA 1.5 Vấn đề bảo mật 13 ii 1.6.Tính truyền dẫn đến điểm đặt HOTSPOT dùng XDSL-WAN 14 1.6.1 Tính truyền dẫn 14 1.7 Mơ hình đầu nối cho HOTSPOT 15 1.7.1 Các kỹ thuật mơ hình Wireless hotspot 15 1.7.2 Mô hình truyền khai Subscriber Gateaway 16 1.7.3 Mơ hình đầu nối Hotspot 17 1.8 Mô số thiết bị WLAN 18 1.8.1 Access point 18 1.8.2 Các thiết bị máy khách WLAN 25 1.9 Các Topo mạng WLAN 29 1.10 Topo thực tế 31 CHƯƠNG 2: GIỚI THIỆU CÁC KỸ THUẬT CỦA WLAN 33 2.1 Kỹ thuật điều chế 33 2.1.1 Kỹ thuật điều chế số SHIFT KEYING 33 2.1.2 Nguyên lý điều chế PSK 33 2.1.3 PSK/Binary PSK(Phase Shift Keying- Khoa chuyển dịch pha) 34 2.1.4 QPSK(Quardrature Phase Shift Keying) 35 2.1.5 CCK(Complementary Code Keying) 36 2.1.6 Kỹ thuật điều chế song công(DUPLEX SCHEME) 36 2.2 Kỹ thuật truy nhập 38 2.2.1 FDMA(Frequency Division Multiple Access)- đa truy nhập phân chia theo tân số 38 2.2.2 TDMA(Time Division Multiple Access)- đa truy nhập phân chia theo thời gian 38 2.2.3 CDMA(Code Division Multiple Access)- đa truy nhập phân chia theo mã 38 2.3 Kỹ thuật vô tuyến 39 iii 2.3.1 Viba truyền thông 39 2.3.2 Kỹ thuật trải phổ 39 2.3.3 DSSS(Direct Sequence Spread Strectrum) 41 2.3.4 So sánh FHSS DSSS 43 2.4 Một số yêu tố công nghệ WLAN 44 2.4.1 Tổng quan 44 CHƯƠNG 3: CÁC KIỂU TẤN CÔNG CỦA MẠNG LAN KHƠNG DÂY 49 3.1 Tấn cơng chủ đông – Active attack 49 3.1.1 Định nghĩa 49 3.1.2 Các Kiểu công chủ động cụ thể 50 3.1.2.1 Mạo danh truy cập trải phép 50 3.1.2.1.1 Nguyên lý thực 50 3.1.2.1.2 Biện pháp đối phó 50 3.1.2.2 Tấn công tư chối dịch vụ - DOS 51 3.1.2.2.1 Nguyên lý thực 51 3.1.2.2.2 Biện pháp đối phó 53 3.1.2.3 Tấn công cưỡng đoạt điều khiển sửa đối thông tin Hijacking Modification 53 3.1.2.3.1 Nguyên lý thực 53 3.1.2.3.2 Biệnh pháp đối phó 55 3.1.2.4 Dò mật từ điển – Dictionary attack 55 3.1.2.4.1 Nguyên lý thực 55 3.1.2.4.2 Biện pháp đối phó 56 3.2 Tấn công bị động – Passive attacks 56 3.2.1 Định nghĩa 56 3.2.2 Kiểu công bị động cụ thể - Phương thực bắt gói tin(Sniffing) 57 3.2.2.1 Nguyên lý thực 57 iv 3.2.2.2 Biện pháp đối phó 59 3.3 Tấn công kiểu chèn ép – Jamming attacks 59 3.4 Tấn công theo kiểu thu hút – Man in the middle attacks 60 CHƯƠNG 4: NGUYÊN LÝ CHỨNG THỰC VÀ MÃ HÓA TRONG MẠNG LAN KHÔNG DÂY 61 4.1 Khái niệm AAA(Authentication Authorization Audit) 61 4.1.1 Chứng thực – Authentication 61 4.1.2 Phê duyệt Authorization 61 4.1.3 Kiểm tra Audit 61 4.2 Mã hóa liệu 62 4.2.1 Chứng thực địa Mac 62 4.2.2 Chứng thực SSID 64 4.2.3 Chứng thực mã hóa WEP 66 4.2.3.1 Phương pháp chứng thực WEP 66 4.2.3.2 Tính riêng tư – Privacy 67 4.2.3.3 Vectơ khởi tạo – IV 69 4.2.3.4 Giá trị ICV 70 4.2.3.5 Cấu trúc khung 70 4.2.3.6 Thuật tốn mã hóa RC4 71 4.2.4 Các ưu nhược điểm WEP 74 4.3 Các nguyên lý chứng thực mã hóa cải tiền 78 4.3.1 Kiến trúc mạng an toàn 78 4.3.2 WPA(Wi-Fi Protected Access) 79 4.3.3 RADIUS Server(Remote Access Dial-In User Service) 79 4.3.4 802.1x EAP 82 4.3.4.1 Xác cổng mạng 802.1x 83 4.3.4.2 Giáo thực chứng thực mở rộng - EAP 84 v 4.3.4.3 Các phương thực chứng thực mà EAP hỗ trợ 86 4.3.5 Giao thực toàn vẹ khóa tạm thời – PKIP 88 4.3.5.1 Tổng quan PKIP 88 4.3.5.2 Tính tồn vẹn thơng điệp – MIC 89 4.3.5.3 Per – Packet Key Mixing 91 4.3.5.4 Hàm băm 92 4.3.6 Chuẩn mã hóa tiên tiền – AES 92 4.3.6.1 Tổn quan AES 92 4.3.6.2 Các chế độ hoạt động 93 4.3.6.3 Chế độ counter 93 4.3.6.4 Cơ chế mã hóa giải mã với AES 96 4.4 Một số giải pháp khác 101 4.4.1 Các phương pháp lọc – filter 101 4.4.1.1 Lọc địa MAC 101 4.4.1.2 Lọc địa IP 101 4.4.1.3 Lọc cổng(Port) 102 4.5 Kerberos 102 4.6 VPN 105 Kết luận 107 TÀI LIỆU THAM KHẢO 109 vi DANH MỤC HÌNH Hình 1.1: Vài trị vị trí LAN Hình 1.2: Cấu trúc mạng Hình 1.3: Một trình truyền từ A đến B 10 Hình 1.4: Đầu cuối ẩn 10 Hình 1.5: Đầu cuối 11 Hình 1.6: Giải vấn đề đầu cuối ẩn 11 Hình 1.7: Giải vấn đề đầu cuối 12 Hình 1.8: Phương an truyền dẫn 15 Hình 1.9: Mơ hình truyền khai Gateaway 17 Hình 1.10: Mơ hình đầu nối HOTSPOT 17 Hình 1.11: AP với hai anten vị trí AP mạng 18 Hình 1.12: AP chế độ gốc 19 Hình 1.13: AP chế độ cấu nối 20 Hình 1.14: AP chế độ lặp 20 Hình 1.15: AP chế độ gốc 23 Hình 1.16: AP chế độ lặp 24 Hình 1.17: Hình cấu nối khơng dây 25 Hình 1.18: Topo mạng IBSS 29 Hình 1.19: Mơ hình BSS 30 Hình 1.20: Mơ hình ESS 31 Hình 1.21: Mơ hình mạng khơng dây kết nối với mạng khơng dây 31 Hình 1.22: Mơ hình mạng có dây kết nối kết nối không dây 32 Hình 2.1: Các trạng thái pha PSK 34 Hình 2.2: Các dạng tín hiệu điều chế 34 vii Hình 2.3: Sở đồ điều chế BPSK 35 Hình 2.4: Tín hiệu điều chế BPSK 35 Hình 2.5: Bộ điều chế QPSK 36 Hình 2.6: Tín hiệu băng hẹp 39 Hình 2.7: Nhảy tần số 40 Hình 2.8: Các kênh FHSS 40 Hình 2.9: Quá trình trải nén phổ DSSS 42 Hình 2.10: bố trí kênh phát khu vực 43 Hình 2.11: Khả sử dụng lại tần số phương pháp DSSS 44 Hình 2.12: Khả mở rộng mạng 45 Hình 2.13: Khả truy cập mạng mà không cần dây 45 Hình 2.14: Tiện lợi việc xây dựng mạng miên núi 46 Hình 2.15: Tại nơi có địa hình lịng chảo 46 Hình 2.16: Khả truy cập di truyền 47 Hình 2.17: truy cập từ nhà riêng 47 Hình 2.18: truy cập từ trường đại học 48 Hình 3.1: Mơ tả q trình cơng DOS tầng liên kết liệu 52 Hình 3.2: Mơ tả q trình cơng mạng AP giả mạo 54 Hình 3.3: Phần mềm bắt gói tin Ethereal 58 Hình 3.4: Phần mềm thu thập thông tin hệ thống mạng không dây NetStubler 58 Hình 3.5: Mơ tả q trình cơng theo kiểu chèn ép 59 Hình 3.6: Mơ tả q trình công theo kiểu thu hút 60 Hình 4.1: Chứng thực địa Mac 63 Hình 4.2: Chứng thực SSID 64 Hình 4.3: Mơ hình phương pháp chứng thực SSID 802.11 65 viii Hình 4.4: Các chuỗi xác thực WEP 67 Hình 4.5: Stream Cipher 68 Hình 4.6: Sử dụng vectơ khởi tạo IV 69 Hình 4.7: Tính tồn CIV 70 Hình 4.8: Them bít IV Key ID 71 Hình 4.9(a): Mã hóa RC4 truyền 72 Hình 4.9(b): Mã hóa RC4 truyền 73 Hình 4.10: Mã hóa RC4 nhận 74 Hình 4.11: Một Firewall chứng thực khơng dây 79 Hình 4.12: Mơ hình chứng thực sử dụng RADIUS Server 81 Hình 4.13: Quá trình liên kết xác thực RADIUS Server 81 Hình 4.14: Chứng thực 802.1x 83 Hình 4.15: Quá trình trao đổi ba bên chứng thực 802.1x 84 Hình 4.16: Chồng giao thực 802.1x 85 Hình 4.17: Bổ sung them trường MIC vào khung liệu 90 Hình 4.18: Tính tốn trường MIC 91 Hình 4.19: Per – Packet Key Mixing 92 Hình 4.20: Ví dụ chế độ counter mode 94 Hình 4.21: Dòng khung qua CCMP 96 Hình 4.22: Khối mã hóa CCMP 97 Hình 4.23: Định khối cho CBC-MAC 97 Hình 4.24: Xây dựng khối cho CBC-MAC 98 HÌnh 4.25: Dịng xác thực kerberos 103 Hình 4.26: Một WLAN có VPN 106 ix • Mã hố gói Wi-Fi LAN Sẽ trình bảy cách gói Wi-Fi LAN mã hoá sử dụng CCMP Điểm quan trọng CCMP mã hố liệu mức MPDU Hình 4.21 Dịng khung qua CCMP Hình 4.21 cho biết dòng liệu từ MSDU đến MPDU ngồi kết nối Rađiơ Dữ liệu đến MSDU đuợc phân chia nhỏ Mỗi phân đoạn tạo thành MPDU gán header IEEE 802.11 chứa địa nguồn đích thơng tin khác Tại điểm này, MPDU xử lý thuật toán CCMP để phát sinh MPDU Chỉ phần liệu mã hố, header khơng Tuy nhiên, CCMP làm nhiều việc nữa, khơng MPDU mã hố Nó chèn vào trường bổ sung, làm cho kết MPDU mã hố có độ dài 16 byte dài MPDU gốc 4.3.6.4 Cơ chế mã hoá giải mã với AES 96 Hình 4.22 Khối mã hố CCMP • Tính tốn MIC Việc tính tốn MIC thực sử dụng CBC-MAC, mà mã hoá khối bắt đầu sau XOR thành cơng khối mã hoá kết MIC cuối khối 128 bit, cần MIC 64 bit, cho CCMP, ta bỏ 64 bit kết Trong CCMP, khối tính tốn CBC-MAC khơng lấy trực tiếp từ MPDU tạo cách đặc biệt sử dụng giá trị nonce Định dạng khối hình 3.30 gồm có nonce hai trường khác Flag Dlen Hình 4.23 Định dạng khối cho CBC-MAC Nonce đảm bảo tính chất sống để đảm bảo mã hoá sử dụng liệu chưa sử dụng trước (dưới khố cho trước) Ta nghĩ sử dụng số gói (PN) cho nonce tăng lên cho MPDU không lặp lại Ba trường tổ hợp để tạo 104 bit nonce tring hình 3.31 97 Hình 4.24 Xây dựng khối cho CBC-MAC Hai trường khác, với nonce, tạo khối cho CBC-MAC hình 3.31 Trường flag có giá trị cố định 010111001 định phần khác, MIC có độ dài 64 bit Trường cuối Dlen, định độ dài liệu plaintext Một khối sẵn sáng, MIC tính tốn khối thời điểm kết hợp liệu xác thực sau kết hợp liệu plaintext Một đặc trưng CBC-MAC hoạt động số lượng xác khối Nếu liệu không phân chia thành số xác phải bị đệm (padded) MIC tính tốn qua tổ hợp khối đặc biệt, liệu xác thực, liệu plaintext, bao gồm byte đệm (zero pad bytes) • Mã hố MPDU: Một MIC tính tốn thêm vào liệu plaintext, ta sẵn sáng để bắt đầu mã hoá MPDU Sự mã hoá xảy sử dụng chế độ counter bắt đầu với liệu, theo với CCMP header khn mẫu Hãy chu ý có làm đệm (padding) tính tốn MIC, ta đảm bảo khối mã hoá điều chỉnh với khối bao gộp tính tốn MIC Dữ liệu mã hoá thay liệu gốc cho toàn thể phần liệu giá trị MIC, mang lại MPDU mã hoá đầy đủ vào hàng đợi để truyền Một bước quan trọng chế độ counter phải khởi tạo counter cách mà tránh việc sử dụng giá trị bắt đầu hai lần Do vậy, counter xây dựng từ nonce cách giống hệt với MIC Thực ra, giá trị nonce sử dụng giống hệt MIC bao gồm sequence counter, địa MAC, trường ưu tiên Sau đó, giá trị liên kết với hai trường: Flag Counter (“Ctr”), hình 3.31 Giá trị ctr tăng lên 98 chế độ counter xử lý Một counter khởi tại, mã hố xử lý mơ tả phần trước Mỗi giá trị thành công counter mã hoá sử dụng khoá mật XOR với liệu khuôn mẫu (template) để tạo liệu mã hố • Giải mã MPDU: Khi MPDU mã hố phân phát đến thu, công việc phải chọn lấy khoá cho giải mã hoá Các khoá chọn dựa địa MAC nguồn MAC header Có số bước thu phải làm để trích lấy kiểm tra tính hợp lệ liệu nhận Quá trình thường gọi mở gói (decapsulation) Số gói (PN) gửi, chưa mã hoá CCMP header Việc thu phải làm đọc PN so sánh với khung cuối nhận Nếu số sequence thấp số cuối bị bỏ đi, xem lặp lại thông điệp Trong trường hợp thu không sâu với MPDU Giả sử PN hợp, bước phải chuẩn bị cho việc giải mã sử dụng chế độ AES/Counter Nó u cầu tính toán giá trị bắt đầu cho counter, mà phải hợp với giá trị sử dụng mã hố Tất thơng tin sử dụng khung nhận Số sequence tổ hợp với địa MAC nguồn độ ưu tiên để tạo nonce Sau tổ hợp với giá trị flag biết bắt đầu giá trị Ctr (cũng 1) để tạo counter khởi đầu Chú ý khơng có bí mật đây: số kẻ cơng tính tốn giá trị Tuy nhiên, khơng có lợi khơng biết khố mật Các giá trị thành cơng counter mã hố XOR với MPDU nhận để khối phục liệu chưa mã hoá giá trị MIC Giai đoạn phải kiểm tra giá trị MIC Giá trị MIC tính tốn lại qua liệu (và padding) MPDU gốc phát Các trường biến đổi header che giấu tính tốn thực tồn thể MPDU, loại trừ MIC Thật ra, liệu không biến đổi từ gửi, ta có khố mật kết thu Một lỗi xảy cho biết có cơng từ bên ngồi khung bị loại bỏ 99 Vậy với CCMP, trình giải mã giống hệt với mã hoá, dẫn đến đơn giản thi hành Một MPDU giải mã, MIC CCMP header bị loại ra, lại liệu chuyển lên để tập hợp lại với phân đoạn nhận khác, để tạo lại MSDU Ta thấy cách xử lý CCMP để bảo vệ công kiểu mạo danh (forgery), nghê trộm (eavesdropping), copy/replay Vậy hướng tiếp cận mạnh an nhin mạng máy tính khơng dây Như đề cập đến số giải pháp bổ sung cho việc xác thực mã hố liệu, tổng kết lại sau: Kiểu công Kiểu xác thực: Kiểu Open xác Cisco thực: Kiểu LEAP, Cisco EAP-TLS, PEAP Kiểu mã hoá: Kiểu xác mã thực: LEAP, EAP-TLS, PEAP hoá: Kiểu mã hoá: Static WEP Dynamic WEP TKPI, WPA, AES Dễ bị công Dễ bị công Được bảo vệ Dễ bị công Được bảo vệ Được bảo vệ Weak IV Attack Dễ bị công Dễ bị công Được bảo vệ Packet Forgery Dễ bị công Dễ bị công Được bảo vệ Brute-Force Dễ bị công Được bảo vệ Được bảo vệ Dễ bị công Được bảo vệ Được bảo vệ Man-in-theMiddle Authentication Forging Attack Dictionary Attack 100 4.4 Một số giải pháp khác 4.4.1 Các phương pháp lọc – filter Phương pháp lọc nguyên lý hệ thống firewall, hệ thống kiểm tra tất thơng tin qua lọc lấy thông tin cần thiết loại bỏ thông tin phá hoại, gây tổn hại hệ thống, ví dụ tin vơ nghĩa gửi đến liên tục dùng để công từ chối dịch vụ - DOS 4.4.1.1 Lọc địa MAC Phương pháp lọc theo địa MAC dùng để chứng thực Client với AP (như trình bầy phần phương pháp Chứng thực) Ngồi dùng để làm phương pháp bảo mật để phân loại truy cập theo thiết bị, để ngăn chặn truy cập trái phép Tuy nhiên việc lọc địa mạng có hạn chế sau: - Giả sử người sử dụng bị máy tính, kẻ cắp dễ dàng truy cập cơng mạng máy tính mang địa MAC AP cho phép, người máy tính mua máy tính lúc đầu gặp khó khăn AP chưa kịp cập nhật địa MAC máy tính - Một số Card mạng khơng dây loại PCMCIA dùng cho chuẩn 802.11 hỗ trợ khả tự thay đổi địa MAC, kẻ cơng việc thay đổi địa giống địa máy tính mạng cấp phép có nhiều hội chứng thực thành công 4.4.1.2 Lọc địa IP Địa IP khác địa MAC chố dùng cho lớp (lớp Network mơ hình OSI), địa Logic địa Vật lý gắn liền với thiết bị mạng Về nguyên lý hoạt động lọc địa IP giống lọc địa MAC Địa IP cấp động (DHCP) tự đặt (Manual set) Khi kẻ cơng dị hay biết địa IP cấp phép mạng, 101 dễ dàng đặt lại địa IP đề qua mặt AP Vì phương pháp hiệu không cao 4.4.1.3 Lọc cổng (Port) Lọc cổng mặt nguyên lý giống nguyên tắc lọc kia, phân chia cổng thực lớp (lớp Transport mơ hình OSI) Một máy tính mở nhiều cổng để máy tính khác truy cập vào, cổng đáp ứng dịch vụ khác nhau, ví dụ cổng 21 cho FTP, cổng 23 cho Telnet, cổng 80 cho HTTP, vv Việc lọc theo cổng biện pháp để ngăn chặn truy cập trái phép đến cổng khác dịch vụ khác Hiện có nhiều tiện ích dị, qt cổng giúp cho kẻ cơng dễ dàng xác định máy tính mở cổng cho dịch vụ 4.5 Kerberos Kerberos cung cấp phương thức bảo mật cho 802.11 kết nối khơng gian Kerboros cung cấp tính bảo mật mạnh mẽ, kết nối mạng liên tục cho thiết bị thoại liệu, tính đến yêu cầu quan tâm an ninh cho nhà quản lý mạng Kerboros cung cấp việc quản trị xác thực người sử dụng khoá mã hoá, bảo vệ mạng từ cơng liệu truyền, bao gồm làm phiền, nghe trộm, sửa đổi, giả mạo Kerboros biết dịch vụ bảo mật có tính chất bắt buộc thi hành “mandatory-to-implement” cho việc quản trị xác thực 802.11e khố mã hố Nó cung cấp tin tưởng, xác thực, toàn vẹn, điều khiển truy cập, tính sử dụng Nó hoạt động tốt không can thiệp vào AP, làm cho kết nối ứng dụng liên tục Việc xác thực lại vào mạng nhanh • Cách hoạt động Kerboros cho mạng 802.11 Kerboros dựa mơ hình phân tán khố phát triển Needham Schroeder Xác thực mạng sử dụng Kerboros liên quan đến trình: trao đổi xác 102 thực, trao đổi dịch vụ ticket-granting, trao đổi user/server, truyền thơng an tồn người sử dụng Server, minh hoạ hình 3.32 Hình 4.25 Dịng xác thực Kerboros Trao đổi xác thực: người sử dụng gửi yêu cầu đến AS để có ticket cho ticket-granting Server (TGS) AS truy tìm người sử dụng sở liệu nó, tìm khố mật client, sau sinh khố phiên (SK1) để sử dụng client TGS AS mã hoá khoá phiên sử dụng khoá mật người sử dụng để tạo thông điệp AS sử dụng khoá mật TGS (chỉ biết AS TGS) để mã hoá khoá phiên tên người sử dụng để tạo ticket-granting ticket (TGT) TGT thông điệp gửi người sử dụng Trao đổi dịch vụ Ticket-Granting: người sử dụng mã hố thơng điệp tìm lại khố phiên Người sử dụng tạo xác thực mã hoá tên người sử dụng, địa IP, timestamp với khoá phiên Người sử dụng gửi xác 103 thực này, với TGT, đến TGS, yêu cầu truy cập đến server đích TGS giải mã TGT để tìm lại SK1 sau sử dụng SK1 bên TGT để giải mã xác thực Nó kiểm tra thơng tin xác thực, ticket, địa mạng người sử dụng, timestamp Nếu tất hợp, cho phép yêu cầu xử lý Sau TGS tạo phiên khoá (SK2) cho người sử dụng server đích để sử dụng, mã hố sử dụng SK1, gửi đến người sử dụng TGS gửi ticket chứa tên người sử dụng, địa mạng, timestamp, thời gian hết hạn, tất mã hoá với khoá mật server đích, tên Server Trao đổi User/Server: người sử dụng giải mã thông điệp chọn lấy SK2 Cuối sẵn sáng hướng đến Server đích, người sử dụng tạo xác thực mã hoá với SK2 Người sử dụng gửi session ticket (mã hoã xong với khố mật Server đích) gửi xác thực mã hố Tại xác thực chứa plaintext mã hố với SK2, khẳng định người sử dụng biết khoá Timestamp mã hoá bảo vệ nghe trộm từ việc ghi chép ticket xác thực lặp lại chúng Server đích giải mã kiểm tra ticket, xác thực, địa người sử dụng, timestamp Đối với ứng dụng yêu cầu xác thực hai chiều, Server đích trả thơng điệp gồm có timestamp cộng 1, mã hoá với SK2 Điều khẳng định đến người sử dụng Server thực biết khoá mật giải mã ticket xác thực Truyền thơng an tồn: Server đích biết người sử dụng khẳng định, hai bên chia sẻ khoá mã hố cho truyền thơng an tồn Tại có người sử dụng Server đích dùng chung khố này, chúng giả sử thơng điệp hiên mã hố khố đó, xuất phát với nhóm khác • Nhược điểm Kerboros: Sau nhược điểm cho hệ thống xác thực Kerboros: Nếu kẻ công log vào máy tính, lúc người sử dụng có phép, khố ẩn định vị máy tính truy cập kẻ công 104 Hệ thống Kerboros dựa tính đồng đồng hồ máy khác Nếu kẻ xâm phạm lừa dối host thời hạn thời gian đắn, ticket xác thực cho mạng sử dụng lặp lại, kết cho timestamp không hết hạn Ta phải tin tưởng tất ba máy (các Server xác thực [KDC], ticket, Server mạng) khơng có kẻ xâm phạm Nếu ticket chuyển tiếp, hệ thống phải tin tất hệ thống khác mà ticket qua trước đến Server Tuy nhiên, Server, nơi mà Ticket đến khơng thể bảo nơi mà đến từ - bảo Server khác flag, đạt Các mật đốn nhúng đoán mật vào thuật toán khoá mã hố cơng cộng Một ticket chấp nhận lâu, bị dễ ăn trộm sử dụng người sử dụng khơng có phép Trong hệ thống không dây sử dụng việc đăng ký địa MAC làm phương thức xác thực, NIC bị ăn cặp card có xác thực vốn có người sử dụng mà gán cho NIC đồng ý truy cập đến mạng 4.6 VPN • Khái niệm VPN Một VPN cho phép nhóm xác định người sử dụng truy cập liệu tài liệu mạng riêng cách an toàn Internet mạng khác VPN đặc trưng hoá việc sử dụng tương tranh đường hấm, mã hoá, xác thực, điều khiển truy cập mạng công cộng VPN tạo kết nối điểm-điểm sử dụng kỹ thuật gọi “đường hấm” Đường hấm hoạt động đường ống mà khoan qua mây mạng để kết nối hai điểm Thường bắt đầu người sử dụng từ xa, q trình đường hấm đóng gói liệu mã hố vào gói chuẩn TCP/IP, mà sau 105 qua Internet đến VPN Server cách an toàn bên khác, nơi chúng giải mã mở gói mạng LAN riêng Hầu hết VPN sử dụng giao thức bảo mật IPSec, giao thức IETF phát triển, mơ hình có tính mở đảm bảo tính riêng tư liệu, cung cấp tính sau: tin cậy, tích hợp tính phi kết nối, chứng thực liệu, bảo vệ việc nghe trộm, lấy trộm liệu Khả tích hợp phi kết nối dảm bảo gói tin nhận khơng bị thay đổi so với gói tin gốc Chứng thực liệu gốc đảm bảo tin nhận từ địa nguồn Bảo vệ chống lặp lại nhằm tránh việc gói tin bị gửi gửi lại nhiều lần Giao thức IPSec đảm bảo chống khả giải mã gói tin nghe trộm hai phần header IPSec đặc biệt chèn vào phần header gói IP Giao thức IKE- Internet Key Exchange đưa phương thức cho phép mã hố bí mật thông số bảo vệ khác liên quan trao đổi đặn không cần can thiệp người dùng • VPN hoạt động với 802.11 Để hỗ trợ WLAN 802.11, ứng dụng phần mềm Client VPN triển khai tất máy mà sử dụng WLAN, Gateway VPN đưa vào mạng AP WLAN Segment, Hình 4.26 Một WLAN có VPN 106 Một đường hấm VPN mã hố xây dựng từ laptop qua Gateway khơng dây kết thúc VPN Gateway để truy cập mạng LAN có dây qua AP khơng dây Tất lưu lượng qua AP phải qua VPN gateway trước vào LAN Sau liệu cleartext bên khác đường hấm bảo mật tiếp tục đích bên mạng cục Đường hấm VPN cung cấp chứng nhận, tin tưởng liệu, tính tồn vẹn liệu IPSec cung cấp lớp mạng, tất ứng dụng giao thức phía lớp IPSec bảo vệ Chức bảo mật IPSec độc lập với chức bảo mật lớp WEP Vì triển khai đồng thời IPSec WEP KẾT LUẬN Các mạng LAN không dây hỗ trợ ứng dụng quan trọng, cung cấp suất, chất lượng, hiệu ngày tăng nhiều thị trường giới Tuỳ theo bối cảnh cụ thể mà lựa chọn cơng nghệ khơng dây để bổ sung hay thay mạng LAN hữu tuyến Nếu quan, tổ chức có mạng LAN truyền thống mạng hoạt động tốt sử dụng tuyến khơng dây để bổ sung cho mạng cần thiết Mạng LAN không dây sử dụng nơi khơng thể sử dụng mạng hữu tuyến truyền thống sử dụng mạng hữu tuyến khó khăn, sử dụng mạng LAN hữu tuyến mạng LAN không dây cung cấp kết tốt hơn, vị trí tạm thời nơi mà người sử dụng cần tính di động Trong hệ thống mạng khơng dây, vấn đề an toàn bảo mật hệ thống thơng tin đóng vai trị quan trọng Thơng tin có giá trị giữ tính xác, thơng tin có tính bảo mật có người phép nằm giữ thơng tin biết Để đảm bảo an ninh cho mạng không dây, cần phải xây 107 dựng số tiêu chuẩn đánh giá mức độ an ninh an toàn mạng Một số tiêu chuẩn thừa nhận thước đo mức độ an ninh mạng Do lĩnh vực mẻ, kiến trúc hạn chế thời gian hạn chế, luận văn tránh khỏi thiếu sót Em kính mong thầy, bạn đóng góp ý kiến để luận văn hoàn thiện Em xin trân trọng cảm ơn! 108 TÀI LIỆU THAM KHẢO Tiếng Việt 1) Mạng máy tính hệ thống mở (Nguyễn Thúc Hải) 2) Bài giảng mạng máy tính (Phạm Thế Quế) Tiếng Anh April (2003) Wireless LAN Security Technology Overview Addison Wesley (July 15, 2003) Real 802.11 Security: Wi-Fi Protected Access and 802.11i John Wiley & Sons (2003) Mobile and Wireless Design Essentials Addison Wesley (June 28, 2004) Wi-Foo Tom Karygiannis Les Owens (11/2002) Wireless Network Security 802.11, Bluetooth and Handheld Devices 6Kanagalu R Manoj, BE and MS (1999) COVERAGE ESTIMATION FOR MOBILE CELLULAR NETWORKS FROM SIGNAL STRENGTH MEASUREMENTS 7John Wiley & Sons Ltd, The Atrium, Southern Gate, Chichester, West Sussex PO19 8SQ, England (2003) MOBILE TELECOMMUNICATIONS PROTOCOLS FOR DATA NETWORKS O'Reilly (June 2003) Building Wireless Community Networks, Second Edition 109 Subir Kumar Sarkar T G Basavaraju C Puttamadappa(2008) Ad Hoc Mobile Wireless Networks 10 Nathan J Muller (2003) Wireless A to Z 11 Jason S King (October 22, 2001) An IEEE 802.11 Wireless LAN Security White Paper Website: www.pcworld.com truy cập cuối ngày 15/04/2008 www.vnexperts.com truy cập cuối ngày 15/04/2008 http://quantrimang.com.vn truy cập cuối 17/04/2008 http://w3.antd.nist.gov truy cập cuối 17/05/2008 http://www.diendantinhoc.com truy cập cuối 17/05/2008 http://www.scribd.com truy cập cuối 17/05/2008 http://www.k10t3cn.net/mang2 truy cập cuối 16/06/2008 110 ... hựop trạm không dây liên lạc trực tiếp với mà không sử dụng AP kết nối đén mạng hữu tuyến Cấu trúc hữu ích cho việc thiết lập nhanh tróng dễ dàng mạng WLAN nơi mà sở hạ tần mạng không dây không tồn... nối không dây, đồng thời kết nối vào mạng WAN (hoặc LAN) thơng qua giao diện Ethernet RJ45, phạm vi hẹp coi AP làm nhiệm vụ router định tuyến mạng Hai mạng có dây kết nôi băng mạng không dây. .. xiv CHƯƠNG 1: TỔNG QUAN VỀ MẠNG LAN KHÔNG DÂY 1.1.Mở đầu 1.1.1.Tổng quan mạng LAN không dây Được phê chuẩn IEEE 802.11 vào năm 1999, đến Wireless Local Area Network(WLAN)đã trở lên phát triển