Các biện pháp bảo mật trong mạng LAN không dây Các biện pháp bảo mật trong mạng LAN không dây Các biện pháp bảo mật trong mạng LAN không dây luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ KHOA HỌC NGÀNH : CÔNG NGHỆ THÔNG TIN CÁC BIỆN PHÁP BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY HAY KIMHEANG Hà Nội - 2009 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ KHOA HỌC C¸C BIƯN PHáP BảO MậT TRONG MạNG LAN KHÔNG DÂY NGNH : CÔNG NGHỆ THÔNG TIN MÃ SỐ : 004239C79 HAY KIMHEANG Người hướng dẫn khoa học : PGS.TS Đặng Văn Chuyết HÀ NỘI - 2009 LỜI NÓI ĐẦU Trước phát triển mạnh mẽ, nhanh chóng phổ biến mạng không dây này, với việc phát tin hiệu cho vùng người sử dụng ngày cao.Luận văn em làm nhằm mục đích nghiên cứu cách tổng quan mạng không dây phân tích đánh giá độ tin cậy vùng phủ sóng mạng khơng dây, Các kiểu cơng , Giải pháp bảo mật Qua đây, em xin gửi lời cảm ơn chân thành tới: Thầy giáo hướng dẫn PGS.TS Đặng Văn Chuyết , Khoa CNTT, Trường Đại Học Bách Khoa Hà Nội tận tình hướng dẫn, giúp đỡ em suốt trình làm Luận văn Được làm việc với thầy, em học tập nhiều điều bổ ích rèn luyện tác phong làm việc nghiên cứu khoa học Một lần em xin cảm ơn thầy cô Khoa CNTT, Trung tâm Sau Đại học, Trường ĐHBKHN giảng dạy suốt thời gian qua, đặc biệt em xin Chân thành cảm ơn Chính phủ nước Cộng hịa Xã hội Chủ nghĩa Việt Nam tạo điều kiện hội tốt cho em hoàn thành suốt thời gian học tập Hà nội , ngày 07 tháng 10 năm2009 Học viên : Hay Kimheang i MỤC LỤC LỜI NÓI ĐẦU i MỤC LỤC ii DANH MỤC HÌNH viii TỪ VIẾT TẮT x MỞ ĐẦU xiv CHƯƠNG I : TỔNG QUAN VỀ MẠNG LAN KHÔNG DÂY I Mạng LAN khơng dây gì? II Một số Cơng nghệ mạng máy tính khơng dây Công nghệ sử dụng sóng hồng ngoại 2 Công nghệ Bluetooth 3 Công nghệ HomeRF Công nghệ HyperLAN Công nghệ Wimax Công nghệ WiFi Công nghệ 3G Công nghệ UWB Chuẩn 802.11 9.1 Nhóm lớp vật lý PHY 9.1.1 Chuẩn 802.11b 9.1.2 Chuẩn 802.11a 9.1.3 Chuẩn 802.11g 9.2 Nhóm lớp liên kết liệu MAC 9.2.1 Chuẩn 802.11d 9.2.2 Chuẩn 802.11e 9.2.3 Chuẩn 802.11f 9.2.4 Chuẩn 802.11h 9.2.5 Chuẩn 802.11i ii III Các kiến trúc chuẩn 802.11 Trạm thu phát - STA Điểm truy cập – AP Trạm phục vụ – BSS BSS độc lập – IBSS 10 Hệ thống phân tán – DS 10 Hệ thống phục vụ mở rộng - ESS 10 Mơ hình thực tế 11 7.1 Mạng khơng dây kết nối với mạng có dây 11 7.2 Hai mạng có dây kết nối với kết nối khơng dây 12 IV Lịch sử hình thành phát triển 12 V Ưu điểm nhược điểm WLAN 14 CHƯƠNG II : CÁC KIỂU TẤN CÔNG CỦA MẠNG LAN KHƠNG DÂY… 19 I Tấn cơng bị động – Passive attacks 19 Định nghĩa 19 Kiểu công bị động cụ thể - bắt gói tin (Sniffing) 20 2.1 Nguyên lý thực 20 2.2 Biện pháp đối phó 22 II Tấn công chủ động – Active attacks 22 Định nghĩa 22 Các kiểu công chủ động cụ thể 23 2.1 Mạo danh, truy cập trái phép 23 2.1.1 Nguyên lý thực 23 2.1.2 Biện pháp đối phó 24 2.2 Tấn công từ chối dịch vụ - DOS 24 2.2.1 Nguyên lý thực 24 2.2.2 Biện pháp đối phó 27 Tấn công cưỡng đoạt điều khiển sửa đổi thông tin 27 iii 3.1 Nguyên lý thực 27 3.2 Biện pháp đối phó 28 Dò mật từ điển – Dictionary Attack 29 4.1 Nguyên lý thực 29 4.2 Biện pháp đối phó 29 III Tấn công kiểu chèn ép - Jamming attacks 30 VI Tấn công theo kiểu thu hút - Man in the middle attacks 30 V Tấn công gây nghẽn hoạt động mạng không dây DoS 34 CHƯƠNG III : NGUYÊN LÝ CHỨNG THỰC VÀ MÃ HĨA BẢO MẬT TRONG MẠNG LAN KHƠNG DÂY 36 I Một số Khái niệm 36 Chứng thực - Authentication 36 Phê duyệt - Authorization 36 Kiểm tra - Audit 37 Khái niệm Mã hoá bảo mật liệu 37 II Chứng thực địa MAC 38 Nguyên lý thực 38 Nhược điểm 38 Biện pháp đối phó 39 III Chứng thực SSID 39 Nguyên lý thực 39 Nhược điểm SSID 41 Biện pháp đối phó 42 IV Chứng thực WEP mã hoá bảo mật WEP 42 Phương thức chứng thực WEP 42 Tính Bảo mật WEP 44 Vectơ khởi tạo - IV 45 Giá trị ICV 46 iv Cấu trúc khung 47 Thuật toán mã hoá RC4 48 V Chứng thực 802.1x 56 RADIUS Server (Remote Access Dial-In User Service) 57 802.1x EAP (EAP Requests and Responses ) 59 2.1 Chứng thực 802.1x cho mạng LAN không dây 60 2.2 Giao thức chứng thực mở rộng EAP 61 2.2.1 Bản tin EAP 62 2.2.2 Các tin yêu cầu trả lời EAP 62 2.2.2.1 Loại code 1: Identity 63 2.2.2.2 Loại code 2: Notification ( Thông báo ) 64 2.2.2.3 Loại code 3: NAK 64 2.2.2.4 Loại code 4: Chuỗi MD – (MD – Challenge) 64 2.2.2.5 Loại code 5: One – time password (OPT ) 64 2.2.2.6.Loại code 6: Đặc điểm thẻToken (GenericTokenCard) 65 2.2.2.7 Loại code 13: TLS 65 2.2.2.8 Các loại mã khác 65 2.2.3 Các khung EAP 66 2.2.4 Chứng thực cổng 66 2.2.5 Kiến trúc thuật ngữ chứng thực EAP 67 2.2.6 Dạng khung cách đánh địa EAPOL 67 2.2.6.1 Dạng khung 67 2.2.6.2 Đánh địa 69 2.2.7 Một ví dụ trao đổi thơng tin chứng thực EAP 69 VI Giao thực tồn vẹn khố tạm thời – PKIP 70 Tổng quan PKIP 70 Tính tồn vẹn thông điệp - MIC 71 Per-Packet Key Mixing 73 v Hàm băm 74 WPA (Wi-Fi Protected Access) 74 CHƯƠNG IV : CÁC GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY 76 I Một số nhân tố cần quan tâm bảo mật mạng không dây 76 II Các mục tiêu bảo mật mạng không dây 77 Sự tin cậy 77 Sự xác thực 77 Điều khiển truy nhập 77 Tính tồn vẹn 78 Khả từ chối truyền thông 78 III Một số yêu cầu giải pháp bảo mật không dây 78 Phân cấp 78 Khả bổ sung 79 Hiệu 79 Tính sẵn sàng 79 IV Một số giải pháp bảo mật mạng không dây 79 Thiết lập anten điều chỉnh 79 Các thiết lập bảo mật 80 V Tăng cường mã hoá bảo mật 81 TKIP (Temporal Key Integrity Protocol) 81 AES (Advanced Encryption Standard) 84 VI Thiết lập chế xác thực người dùng 85 EAP (Extensible Authentication Protocol) 85 Khung 802.11x 86 Cơ chi xác thực 86 Các phương thức xác thực EAP 89 4.1 MD5 89 4.2 LEAP (Lightweight Extensible Authentication Protocol) 89 vi 4.3 TLS (Transport Layer Security) 90 4.4.TTL PEAP 90 VII Bảo mật mạng không dây với VPN 92 Khái niệm 92 Các giao thức bảo mật VPN 94 2.1 Bộ giao thức IPSec 94 2.2 PPTP L2TP / IPSec 94 2.2.1 PPTP (Point to Point Tunneling Protocol) 95 2.2.2 L2TP 95 2.2.3 Việc lựa chọn phương thức xác thực 96 Hệ thống IDS không dây 97 3.1 IDS với mạng không dây 97 3.2 Kiến trúc hệ thống IDS không dây 99 3.3 Phản ứng vật lý 100 3.4 Các Chính sách bắt buộc 101 3.5 Phát nguy hiểm 101 3.6 Phân loại kiện đáng nghi ngờ WLAN 103 3.6.1 Các kiện lớp vật lý RF 103 3.6.2 Các kiện khung quản lý / điều khiển 104 3.6.3 Các kiện khung 802.1x / EAP 105 3.6.4 Các kiện liên quan tới WEP 105 3.6.5 Các kiện luồng lưu lượng / kết nối 106 3.6.6 Các kiện hỗn hợp Khác 106 3.7 Một số hạn chế hệ thống IDS không dây 108 KẾT LUẬN 109 TÀI LIỆU THAM KHẢO vii DANH MỤC HÌNH Hình 1.1 : Mơ hình BSS 10 Hình 1.2 : Mơ hình ESS 11 Hình 1.3 : Mơ hình mạng khơng dây kết nối với mạng có dây 11 Hình 1.4 : Mơ hình mạng có dây kết nối với kết nối không dây 12 Hình 2.1 : Phần mềm bắt gói tin Ethereal 21 Hình 2.2 : Phần mềm thu thập thông tin hệ thống mạng khơng dây NetStumbler 22 Hình 2.3 : Mơ tả q trình cơng DOS tầng liên kết liệu 26 Hình 2.4 : Mơ tả q trình cơng mạng AP giả mạo 28 Hình 2.5 : Mơ tả q trình cơng theo kiểu chèn ép 30 Hình 2.6 : Mơ tả q trình cơng theo kiểu thu hút 31 Hình 3.1 : Quá trình mã hóa giải mã 37 Hình 3.2 : Chứng thực địa MAC 38 Hình 3.3 : Chứng thực SSID 40 Hình 3.4 : Mơ hình phương pháp chứng thực SSID 41 Hình 3.5 : Các chuỗi xác thực WEP 43 Hình 3.6 : Stream Cipher 44 Hình 3.7 : Sử dụng vectơ khởi tạo IV 46 Hình 3.8 : Tính tốn ICV 47 Hình 3.9 : Thêm bit IV KeyID 48 Hình 3.10(a) : Mã hố RC4 truyền 49 Hình 3.10(b) : Mã hố RC4 truyền 50 Hình 3.11 : Giải mã RC4 nhận 51 Hình 3.12 : Mơ hình chứng thực sử dụng RADIUS Server 58 Hình 3.13 : Quá trình liên kết xác thức RADIUS Server 58 Hình 3.14 : Chứng thực 802.1x 60 Hình 3.15 : Quá trình trao đổi ba bên chứng thực 802.1x 61 viii Luận văn Thạc sĩ Đại học Bách khoa Hà nội gọi IDS thống kê Điều mạng IDS thống kê hiệu Mặc dù, IDS dựa sở tri thức không dễ bị đánh lừa, vấn đề liên xác nhận sai khó khăn việc phát số kênh truyền thông không che giấu khả báo động sai đặc biệt rắc rối mạng không dây chất không tin cậy phương thức lớp1 Hơn nữa, công xảy chu kỳ đấu gây nhiễu với tiến trình học IDS, làm cho việc triển khai IDS dựa sở tri thức mạng gặp số mạo hiểm trạng thái bình thường mạng cracker sửa lại thời điểm IDS triển khai IDS truyền thống phát triển cho việc phát công xâm phạm hệ thống mạng có dây Với phát triển ngày tăng mạng không dây, việc ứng dụng IDS cho bảo mật mạng không dây cần thiết Hệ thống IDS khơng dây theo dõi phân tích người dùng hoạt động mạng thơng qua phát xâm phạm vào hệ thống mạng không dây Hệ thống IDS không dây theo dõi tồn truyền phát khơng dây hệ thống dựa cảnh báo dựa dấu hiệu xác định trước hay dị thường lưu lượng mạng Chúng ta thấy hệ thống IDS khơng dây thích hợp nên thực đồng thời hai loại IDS Các dấu hiệu xảy so sánh với sở liệu dấu hiệu công biệt để phát cảnh báo Tuy nhiên, nhiều công mạng không dây không phát sinh dấu hiệu đặc biệt, thay gây số sai lệch so với hoạt động mạng chuẩn lớp thấp mạng Các sai lệch tinh vi vai khung không dây từ chuỗi dễ dàng phát việc sử dụng băng thông nhiều gấp ba WLAN Phát điểm khác thường mạng không dây thảo tác đơn giản, khơng có hai mạng khơng dây giống Giống nguyên tắc áp dụng cho LAN có dây, mạng có dây khơng gặp phải vấn đề nhiễu sóng radio, khúc xạ tín hiệu, phản xạ, phân tán Nó khơng có vấn Hay Kimheang - CNTT 2007-2009 98 Luận văn Thạc sĩ Đại học Bách khoa Hà nội đề chuyển giao khả kẻ công hiẹu WLAN xác định chi tiết ranh giới mạng qua chu kỳ thời gian xác định Chỉ việc tập hợp lượng lớn thống vê trạng thái WLAN riêng biệt có khả phát khác thường hay khơng xảy ra, nhận vấn đề liên kết, lỗi người dùng, công chủ tâm Các yêu cầu xác thực 802.1x/LEAP thiết lập để tránh công kiểu “thô bạo” Đồng thời, giả sư người dùng quên password, ứng dụng viết tồi cố gắng log in password nhập số lượng khung báo hiệu tăng lên giây báo hiệu cơng Dos có mặt AP giả mạo, thực lỗi AP cấu hình sai Các kiện khởi tạo báo hiệu IDS lớp cao số lượng lớn gói phân mảnh nhiều yêu cầu TCP SYN, biểu công quét port hay Dos, hậu vấn đề kết nối lớp WLAN Một vấn đề nhiễu sóng RF, tất loại gói bị hỏng hay khơng hồn tất xem giao thức khơng xác định cơng cụ phân tích bạn Khơng có gi ngạc nhiên gói dị hình khởi tạo báo động IDS Mặt khác, số cracker sử dụng cơng cụ phá sóng mạng khơng dây dẫn tới báo hiệu hệ thống 3.2 Kiến trúc hệ thống IDS không dây Hệ thống IDS khơng dây tập trung không tập trung hệ thống IDS không dây tập trung thường tổ hợp nhiều sensor riêng biệt tập trung chuyển liệu 802.11 tới hệ thống quản lý trung tậm Tại liệu IDS không dây lưu trữ xử lý Phát công không tập trung thông thường bào gồm hay nhiều thiết bị thực chức phân tích liệu xử lý liệu IDS hệ thống khơng tập trung thích hợp cho mạng WLAN nhỏ vấn đề giá thành quản lý mạng Giá sensor có khả xử lý liệu vượt khả Hay Kimheang - CNTT 2007-2009 99 Luận văn Thạc sĩ Đại học Bách khoa Hà nội yêu cầu nhiều sensor Ngoài việc quản lý đa sensor xử lý tốn thời gian nhiều so với mơ hình tập trung Các mạng WLAN thơng thường có vùng phủ vật lý tương đối rộng Trong tình trạng này, nhiều AP triển khai để cung cấp cường độ tín hiệu đủ mạnh cho vùng định Vấn đề chủ yếu việc triển khai hệ thống IDS không dây việc triển khai sensor vị trí đạt AP Bằng việc cung cấp mức bao phủ toàn diện hạ tầng vật lý với sensor vị trí AP, phần lớn xâm hại cơng phát Một lợi điểm khác đặt sensor gần kề AP tăng khả định vị vị trí địa lý kẻ cơng 3.3 Phản ứng vật lý Nhận diện vị trí vật lý mặt chủ yếu công 802.11 thường ngày sát ngồi AP khơng dây thực khung thời gian ngắn.Do để phản ứng với cơng khơng logic hệ thông IDS chuẩn (như block IP xâm hại) mà phản ứng riêng lẻ cần tổ chức thành triển khai vật lý để xác định kẻ công phản ứng phải thực kịp thời Khơng giống cơng có dây hacker thường vị trí tương đối xa so với mạng bị xâm phạm, kẻ cơng khơng dây thường có vị trí nằm khu vực lân cận mạng hệ thống IDS khơng dây giúp nhận diện vị trí kẻ cơng thơng qua việc cung cấp ước đốn chung vị trí vật lý chúng.Bằng tương quan với liệu 802.11 nắm bắt với vị trí vật lý sensor vị trí AP khơng dây bị xâm hại, vị trí vật lý kẻ cơng dễ dàng xác định nhiều Hơn tham vọng xác định vị trí vật lý kẻ cơng cách gần yêu cầu việc sử dụng anten đẳng hướng để tạo tam giác đo tín hiệu nguồn kẻ cơng Khi vị trí vật lý hạn chế miền nhỏ nhóm phản ứng với cơng cụ Kismet hay Airopeek qt miền chung nhận dạng Hay Kimheang - CNTT 2007-2009 100 Luận văn Thạc sĩ Đại học Bách khoa Hà nội IDS để giúp them cho việc tìm kiếm kẻ cơng Với phương pháp nhận dạng kép (sử dụng IDS cơng cụ dó quét), nhóm phản ứng vật lý có khả nhận dạng chặn đứng kẻ công cách hiệu kịp thời 3.4 Các Chính sách bắt buộc Hệ thống IDS không dây không phát kẻ cơng mà cịn giúp cho sách có hiệu lực Hệ thống mạng khơng dây có số vấn đề bảo mật nhiều điểm yếu khắc phục Với sách khơng dây mạnh quy định bắt buộc mạng không dây có độ bảo mật tương đương với mạng có dây hệ thống IDS giúp cho thực sách có hiệu Giả thiết sách mạng cho tất truyền thông mạng khơng dây phải mã hố bảo mật Hệ thống IDS khơng dây theo dõi lien tục phiên truyền thong 802.11 AP không dây hay thiết bị xác định truyền điều kiện khơng mã hố IDS nhận dạng thông báo hoạt động Khi IDS không dây cấu hình trước cho tất AP cấp phép có AP khơng biết đến (AP giả mạo) hệ thống IDS ngày phát Với tính phát AP giả mạo IDS kết hợp sách bắt buộc nói chung làm tăng độ bảo mật hệ thống mạng không dây Sự tăng cường hệ thống IDS cung cấp tương ứng với sách bắt buộc làm tăng cấp phát tài nguyên người Bởi hệ thống IDS tự động hoá số chức mà thường yêu cầu thực tay, ví dụ theo dõi AP giả mạo 3.5 Phát nguy hiểm Hệ thống IDS không dây giúp việc phát số công IDS không dây không phát AP giả mạo, phát lưu Hay Kimheang - CNTT 2007-2009 101 Luận văn Thạc sĩ Đại học Bách khoa Hà nội lượng khơng mã hố, giúp lập vị trí vật lý kẻ cơng, hệ thống IDS khơng dây nhiều loại cơng dị khơng dây chuẩn khơng chuẩn Trong cố gắng nhận dạng AP mục tiêu hacker thường sử dụng phần mềm quét Hacker cá nhân tị mị sử dụng cơng cụ Nestumbler Kismet để ánh xạ vùng AP cho trước Sử dụng chung với hệ thống GPS chúng không dị vị trí AP mà cịn ghi lại định vị vật lý Các công cụ ngày phổ biến website thiết kế cho thể giới địa lý AP khơng dây Hệ thống IDS phát cơng cụ dị qt công cụ khác, giúp cho việc tăng cường nhận diện nguy hiểm mạng không dây Quan trọng nhiều so với việc phát dò qt, IDS khơng dây phát số công Dos Các công Dos thong dụng với mạng không dây, nhiều công Dos thực thơng qua suy giảm tín hiệu xung đột số hay người dung bị chắn đường Đơi hacker cơng với mục đích từ chối dịch vụ Hệ thống IDS khơng dây phát kẻ công Dos vào WLAN, thông qua làm tràn ngập với yêu cầu xác thực hay khung bỏ lien kết hay bỏ xác thực Ngoài điểm dị qt cơng trên, hệ thống IDS khơng dây phát tốt nhiều nguy hiểm 802.11 khác giả mạo địa MAC cơng thơng dụng kẻ cơng sử dụng để giả mạo AP hay client không dây Giả mạo địa MAC sử dụng vài công cụ HostAP hay WLAN-jack IDS khơng dây phát có mặt việc giả mạo địa MAC theo nhiều cách bao gồm phân tích chuỗi số Một hệ thống IDS khơng dây có khả nhận diện mạng khơng xác định Ad-hoc cấu hình thường thấy tạo khả cho hacker khai thác thiết bị không dây Ngược lại, IDS khơng dây phát nguy hiểm đặc biệt không chuẩn Hay Kimheang - CNTT 2007-2009 102 Luận văn Thạc sĩ Đại học Bách khoa Hà nội thông qua tập luật triển khai người dung Tính mềm dẻo này, thơng dụng với IDS chuẩn cho phép IDS không dây phân cấp định vị với nhiểu yêu cầu phát đặc biệt Các tính them vào lớp bảo mật mạnh mạng không dây Hơn phát nguy hiểm, người đơn IDS them vào yêu tố ngăn cản tăng cường bảo mật 3.6 Phân loại kiện đáng nghi ngờ WLAN Khi số đủ thống kê trạng thái mạng tập hợp, IDS khơng dây thích hợp bắt đầu tìm kiếm kiện đáng nghi ngờ cho biết khả cơng có chủ đích Các kiện liệt kê bao gồm : diện loại khung đó, số truyền dẫn khung, cấu trúc khung chuỗi dị thường, độ lệch luồng lưu lượng, việc sử dụng số nghi ngờ Phân loại kiện lám cho IDS khơng dây có khả phát phát cảnh báo xác 3.6.1 Các kiện lớp vật lý RF Các máy phát them vào vùng phủ song Các kênh không sử dụng WLAN có bảo vệ dùng Chồng lấn kênh Hoạt động kênh bất ngờ bị thay đổi hay nhiều thiết bị không dây theo dõi Giảm chất lượng tín hiệu, mức nhiễu tăng, tỷ số tín hiệu nhiễu SNR thấp Các kiện cho biết có vấn đề kết nối mạng, cấu hình mạng sai nghiêm trọng, có mặt thiết bị giả mạo, cơng nghẽn mạng có chủ ý, công man-in-themiddle lớp lớp Hay Kimheang - CNTT 2007-2009 103 Luận văn Thạc sĩ Đại học Bách khoa Hà nội 3.6.2 Các kiện khung quản lý / điều khiển Tăng số khung mạng thơng thường Kích thước khung khơng bình thường Các loại khung khơng xác định Các khung khơng hồn tất, sai lạc hay dị dạng Tràn ngập khung giao kết lại / xác thực lại Các khung giao kết lại số mạng khơng có khả chuyển giao Các khung không thuộc chuỗi Các yêu cầu dò số Các khung với ESSID khác ESSID mạng WLAN Các khung với ESSID quảng bá (Any) Các khung với ESSID thay đổi thường xuyên hay ngẫu nhiên Các khung với ESSID trường khác cho cơng cụ xâm nhập biết Các khung với địa MAC không nằm danh sách cho phép ACL Các khung với địa MAC chép Các khung với địa MAC thay đổi thường xuyên hay ngẫu nhiên Các kiện sai sót cấu hình mạng vấn đề kết nối, Nhiều song RF mạng, wardriver sử dụng cơng cụ qt tìm vùng phủ song, giả mạo địa MAC WLAN, client không phép kết nối với WLAN, cố gắng thử dị ESSID, kẻ cơng chun nghiệp làm hỏng khung điều khiển quản lý để thực công man-in-middle lớp công DoS Hay Kimheang - CNTT 2007-2009 104 Luận văn Thạc sĩ Đại học Bách khoa Hà nội 3.6.3 Các kiện khung 802.1x / EAP Các khung 802.1x không hoàn tất, sai lạc hay dị dạng Các khung với loại EAP không thực thi WLAN Nhiều khung yêu cầu đáp ứng xác thực EAP Nhiều khung EAP lỗi Tràn ngập khung EAP bắt đầu đăng xuất Các khung EAP với kích thước khác thường Các khung EAP phân mảnh với kích thước nhỏ Các khung EAP với độ dài xác thực nguy hiểm Các khung EAP không tin cậy Các khung EAP với nhiều yêu cầu thay đổi MID5 Các khung EAP xác thực trái phép (Các AP giả mạo) Các tiến trình xác thực 802.1x / EAP khơng hồn tất Các kiện âm mưu vượt qua xác thực 802.1x, bao gồm đặt thiết bị 802.1x giả mạo khéo léo truy cập cưỡng cơng DoS để vơ hiệu hố chế xác thực Tất nhiên, khung 802.1x dị dạng kết nhiễu song RF vấn đề khác lớp 3.6.4 Các kiện liên quan tới WEP Tồn lưu lượng khơng dây khơng mã hố Lưu lượng mã hố với khố WEP khơng biết Lưu lượng mã hố với khố WEP có độ dài khác thường Các khung IV yếu Các khung với IV lặng hang Không thay đổi IV Hay Kimheang - CNTT 2007-2009 105 Luận văn Thạc sĩ Đại học Bách khoa Hà nội Quay lại mã hoá WEP gốc từ giải pháp bảo mật TKIP Sự luân phiên khố WEP lỗi Các kiện sai sót nghiêm trọng cấu hình bảo mật mạng, thiết bị khơng an tồn sử dụng, người dung xâm phạm sách bảo mật, có mặt thiết bị khơng dây giả mạo, việc sử dụng công cụ giả mạo lưu lượng (WEPwedgie,reinj) hacker chuyên nghiệp 3.6.5 Các kiện luồng lưu lượng / kết nối Mất kết nối Tăng đột biến băng thông sử dụng Giảm đột biến thông lượng mạng Trễ đột biến tăng liên kết point-to-point Tăng mức phân mảnh gói Thường xuyên truyền lại Các kiện gợi ý cho việc điều tra để tìm kiếm nguyên nhân vấn đề phát Một chế kết luận IDS thông minh liên kết vấn đề với kiện loại khác, phân tích phần vấn đề điều tra 3.6.6 Các kiện hỗn hợp Khác Giao kết không host xác thức Các công lớp cao cảnh báo IDS truyền thống Lưu lượng quản lý AP tự gửi không yêu cầu Liên tục gói liệu trùng lặp Các gói liệu với checksums/MIC lớ liên kết liệu lỗi Hay Kimheang - CNTT 2007-2009 106 Luận văn Thạc sĩ Đại học Bách khoa Hà nội Tràn ngập nhiều cố gắng giao kết mạng tồn Các kiện cơng crack thành công không thành công, host với cấu hình bảo mật sai sót, cố gắng truy cập cấu hình lại AP triển khai, việc sử dụng công cụ giả mạo lưu lượng, cơng DoS chống lại host có 802.11i, cố gắng làm tràn đệm AP với lượng lớn kết nối có dây khơng dây Tuy nhiên, trường hợp thay đổi khung hay gói vấn đề lớp vật lý, nhiều hay cường độ tín hiệu thấp Nhiều kiện kết sai sót sử dụng người dùng kế hoạch cơng có chủ ý Người dùng kết nối thiết bị khơng dây không phép dụng cụ gây nhiễu (Bluetooth, Camera khơng dây, điện thoạ di động) Họ kết nối với AP khơng kích hoạt WEP / TKIP AP cho phép quên không cập nhật firmware Do làm ch triển khai bảo mật dựa 802.11i trở nên vô dụng Quản trị mạng hệ thống phải lường trước điều Mặc dù công không dây thường kho phát cơng có dây, việc phát triển IDS riêng cho mạng không dây tăng cường để bắt kịp với lớn mạnh thị trường bảo mật không dây IDS khơng dây phải phân tích báo cáo kiện nghi ngờ phát lớp mơ hình OSI, hỗ trợ tích hợp với thiết bị IDS truyền thống lớp cao Do đặc trưng mạng không dây, IDS không dây tốt phải dựa dấu hiệu sở tri thức, Để bao bọc toàn mạng, việc triển khai cảm biến IDS không dây xa cần xét đến Hay Kimheang - CNTT 2007-2009 107 Luận văn Thạc sĩ Đại học Bách khoa Hà nội 3.7 Một số hạn chế hệ thống IDS khơng dây Lợi ích hệ thống IDS không dây lớn có vài điểm hạn chế cần quan tâm trước triển khai hệ thống Phát nguy công không dây công nghệ Do cần thận trọng trứoc áp dụng cơng nghệ cho mạng hoạt động Bởi cơng nghệ tồn sai sót, lỗi điểm yếu có khả trở thành điểm yếu tiềm tàng bảo mật mạng không dây Công nghệ IDS không dây đựơc phát triển với tốc độ nhanh chóng hứa hẹn tương lai Một vấn đề tiềm tàng IDS không dây giả Chi phí nhà cung cấp giải pháp đưa cao mức khó chấp nhận trường hợp này, giải pháp cho hộ gia đình phát triển, vướng phải vấn đề giả thành việc triển khai mở rộng phát triển Giá thành giải pháp IDS không dây (hộ gia đình hay dựa nhà cung cấp) tăng lên tương ứng với kích thứơc mạng khơng dây cần theo dõi, yêu cầu tăng thêm số lớn sensor Do đó, mạng khơng dây lớn chi phí cho hệ thống IDS triển khai cao IDS không dây hiệu tương đương với hệ riêng biệt phân tích phản ứng với liệu tập hợp hệ thống giống IDS chuẩn, IDS không dây yêu cầu tài nguyên người lớn để phân tích phản ứng với phát nguy hiểm thực tế, thấy IDS không dây yêu cầu nhiều tài nguyên người IDS chuẩn, với IDS khơng dây cá nhân theo dõi yêu cầu quan tâm đến khía cạnh logic (cảnh báo liệu) khía cạnh vật lý (phát nắm bắt hacker) công Trong công nghệ tương đối mới, với vấn đề giả yêu cầu tài nguyên người cao IDS chuẩn, hệ thống IDS không dây chứng nhận thành phần có lới giải pháp bảo mật không dây Hay Kimheang - CNTT 2007-2009 108 Luận văn Thạc sĩ Đại học Bách khoa Hà nội KẾT LUẬN Các mạng LAN không dây hỗ trợ ứng dụng quan trọng, cung cấp suất, chất lượng, hiệu ngày tăng nhiều thị trường giới Tuỳ theo bối cảnh cụ thể mà lựa chọn cơng nghệ khơng dây để bổ sung hay thay mạng LAN hữu tuyến Nếu quan, tổ chức có mạng LAN truyền thống mạng hoạt động tốt sử dụng tuyến khơng dây để bổ sung cho mạng cần thiết Việc xây dựng thiết kế biện pháp bảo mật hoàn hảo khó khăn Dựa quy mơ thực tế hệ thống mạng cần xây dựng đòi hỏi mức độ bảo mật mà thiết lập nên sở sách bảo mật khác Môi trường không dây theo hộ gia đình, điểm truy nhập cơng cộng hay mơi trường doanh nghiệp mà có nhân tố khác Trên việc cân nhắc nhiều khía cạnh mà cố gắng đạt mức bảo mật cao khả với việc kết hợp nhiều phương thức bảo mật theo nhiều lớp Trong hệ thống mạng khơng dây, vấn đề an tồn bảo mật hệ thống thơng tin đóng vai trị quan trọng Thơng tin có giá trị giữ tính xác, thơng tin có tính bảo mật có người phép nằm giữ thơng tin biết Để đảm bảo an ninh cho mạng không dây, cần phải xây dựng số tiêu chuẩn đánh giá mức độ an ninh an toàn mạng Một số tiêu chuẩn thừa nhận thước đo mức độ an ninh mạng Để góp phần vào việc xây dựng giải pháp bảo mật mạng LAN không dây cho nhu cầu phát triển mạnh mẽ mạng không dây tương lai, Đề tài “Các biện pháp bảo mật mạng LAN không dây” nghiên cứu số vấn đề sau : Hay Kimheang - CNTT 2007-2009 109 Luận văn Thạc sĩ Đại học Bách khoa Hà nội Nghiên cứu Lý thuyết mạng LAN khơng dây, phân tích đặc trưng mạng không dây, giao thức mạng, phương thức mã hố bảo mật sẵn có Phân tích tính dễ cơng mạng khơng dây, điểm yếu mạng mã hoá bảo mật, phân tích nguy phương thức cơng Đưa ra,phân tích phương thức mã hoá bảo mật, phương thức xác thực cho mạng LAN không dây, hệ thống VPN cho mạng không dây, hệ thống IDS cho mạng không dây Mặc dù giải pháp bảo mật đưa tính khái quát, chưa vào chi tiết triển khai thực góp phần cho việc chọn lựa biện pháp xây dựng nên hệ thống mạng không dây hay mở rộng từ sở mạng có dây cũ Các phương thức giải pháp đưa phần dựa tảng mã hoá bảo mật sẵn có phần phương thức dần hoàn thiện cho triển khai mạng không dây Do lĩnh vực mẻ thời gian hạn chế, luận văn khơng thể tránh khỏi thiếu sót Em kính mong thầy, bạn đóng góp ý kiến để luận văn hoàn thiện Em xin trân trọng cảm ơn! Hay Kimheang - CNTT 2007-2009 110 TÀI LIỆU THAM KHẢO Tiếng Việt : 1) Mạng máy tính hệ thống mở (Nguyễn Thúc Hải) 2) Bài giảng mạng máy tính (Phạm Thế Quế) Tiếng Anh : April (2003) Wireless LAN Security Technology Overview Addison Wesley (July 15, 2003) Real 802.11 Security: Wi-Fi Protected Access and 802.11i John Wiley & Sons (2003) Mobile and Wireless Design Essentials IPSec VPN Design by Vija Bollapragada, Mohamed Khalid, scott Wainner 2005 Cisco Press Tom Karygiannis Les Owens (11/2002) Wireless Network Security 802.11, Bluetooth and Handheld Devices John Wiley & Sons Ltd, The Atrium, Southern Gate, Chichester, West Sussex PO19 8SQ, England (2003) MOBILE TELECOMMUNICATIONS PROTOCOLS FOR DATA NETWORKS O'Reilly (June 2003) Building Wireless Community Networks, Second Edition Subir Kumar Sarkar T G Basavaraju C Puttamadappa(2008) Ad Hoc Mobile Wireless Networks Nathan J Muller (2003) Wireless A to Z 10 Jason S King (October 22, 2001) An IEEE 802.11 Wireless LAN Security White Paper 11 Security Wireless LANs by Gilbert Held 2003 Wiley 12 CWNA-Certified Wireless Network Administrator & CWNP-Certified Wireless Network Professional from Cisco 13 Cisco Wireless LAN Security By Krishna Sankar, Sri Sundaralingam, Andrew Balinsky, Darrin Miller 2004 Cisco Press 14 Designing a Wireless network by jeffey Wheat, Randy Hiser, Jackie Tuker, Alicia Neely, Andy McCullough 2001 Syngess 15 Wireless Hacking : Projects for Wi-Fi Enthusiasts by Lee Barken with Eric Bermel, John Eder, Matthew Fanady, Michael Mee, Marc Palumbo, Alan Koebrick 2004 Syngress Website: www.pcworld.com www.vnexperts.com http://quantrimang.com.vn http://w3.antd.nist.gov http://www.diendantinhoc.com http://www.scribd.com http://www.k10t3cn.net/mang2 ... Access) 74 CHƯƠNG IV : CÁC GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY 76 I Một số nhân tố cần quan tâm bảo mật mạng không dây 76 II Các mục tiêu bảo mật mạng không dây 77 Sự tin cậy ... II : CÁC KIỂU TẤN CÔNG TRONG MẠNG LAN KHÔNG DÂY Tấn công mạng LAN không dây vấn đề quan tâm nhiều chuyên gia lĩnh vực bảo mật Nhiều giải pháp công biện pháp phòng chống đưa chưa có biện pháp. .. QUAN VỀ MẠNG LAN KHÔNG DÂY I Mạng LAN khơng dây gì? Mạng LAN khơng dây viết tắt WLAN (Wireless Local Area Networl), mạng dùng để kết nối hai hay nhiều máy tính với mà không sử dụng dây dẫn WLAN dùng