giáo dục đào tạo trờng đại học bách khoa hà nội - luận văn thạc sĩ khoa học Vấn đề bảo mật mạng máy tính không dây ngành : kỹ thuật điện tử m số:23.04.3898 Tô quang vinh Ng−êi h−íng dÉn khoa häc : GS.TS HỒ ANH TÚY Hµ Néi 2009 MỤC LỤC  MỤC LỤC DANH MỤC CÁC BẢNG LỜI MỞ ĐẦU 11 CHƯƠNG : MẠNG MÁY TÍNH KHƠNG DÂY 13 1.1 Mạng máy tính khơng dây 13 1.1.1 Giới thiệu mạng máy tính không dây 13 1.1.2 Điều chế trải phổ 15 1.1.3 Các chuẩn 802.11 19 1.1.4 Cự ly truyền sóng, tốc độ truyền liệu 25 1.1.5.Các kiến trúc chuẩn 802.11 27 1.1.6 Một số chế sử dụng trao đổi thông tin mạng không dây .30 1.1.7 Vấn đề mạng không dây, tương quan so với mạng có dây 32 1.1.8 Mơ hình thực tế .35 1.2 An ninh mạng máy tính khơng dây 36 1.2.1 Đánh giá vấn đề an toàn, bảo mật hệ thống 36 1.2.2 Các loại hình cơng vào mạng 40 1.2.3 Các biện pháp bảo vệ .41 CHƯƠNG : GIẢI PHÁP BẢO MẬT TRONG MẠNG MÁY TÍNH KHƠNG DÂY 47 2.1 Một số khái niệm 47 2.1.1 Chứng thực .47 Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 2.1.2 Phê duyệt 47 2.1.3 Kiểm tra 48 2.1.4 Mã hóa liệu 48 2.2 Kiểm soát an ninh mạng giải pháp chứng thực địa MAC SSID .49 2.2.1 Chứng thực địa MAC 49 2.2.2 Chứng thực SSID 51 2.3 Kiểm soát an ninh mạng giải pháp chứng thực mã hóa WEP 55 2.3.1 Nguyên lý hoạt động .56 2.3.2 Các ưu, nhược điểm WEP 61 2.3.3 Phương thức dò mã chứng thực 62 2.3.4 Phương thức dò mã dùng chung – Share key WEP 63 2.3.5 Biện pháp đối phó 67 2.3.6 Cải tiến để nâng cao tính bảo mật phương pháp chứng thực mã hóa WEP 67 2.4 Kiểm soát an ninh mạng giải pháp chứng thực chuẩn 802.11x 70 2.4.1 Nguyên lý RADIUS Server .70 2.4.2 Giao thức chứng thực mở rộng EAP 73 2.5 Các kiểu cơng cụ thể biện pháp đối phó 79 2.5.1 Phân loại kiểu công mạng 79 2.5.2 Các kiểu công cụ thể biện pháp đối phó .82 2.6 Kiểm soát an ninh mạng số giải pháp khác .87 2.6.1 Các phương pháp lọc .87 2.6.2 Wireless VLAN 89 2.6.3 Công nghệ VPN – Virtual Private Networks 92 Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây CHƯƠNG : ĐỀ XUẤT GIẢI PHÁP MẠNG KHÔNG DÂY ÁP DỤNG CHO TRƯỜNG ĐẠI HỌC 96 3.1 Đặt vấn đề 96 3.2 Giải pháp đưa 97 3.2.1 Thiết lập hệ thống mạng liệu .97 3.2.2 Tạo không gian truy cập trường 97 3.2.3 Xây dựng kết nối Internet 98 3.2.4 Cơ chế an toàn, bảo mật liệu 99 3.3 Giải pháp triển khai 99 3.4 Đánh gía chung mặt bảo mật 105 TÀI LIỆU THAM KHẢO 106 TÓM TẮT LUẬN VĂN 107 Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây DANH MỤC CÁC TỪ VIẾT TẮT AAA - Authentication Authorization Audit ACL - Access control lists ACS - Access Control Server AES – Advanced Encryption Standard AP - Access point APOP - Authentication POP BSS - Basic Service Set BSSID - Basic Service Set Identifier CA - Certificate Authority CCK - Complimentary Code Keying CDMA - Code Division Multiple Access CHAP - Challenge Handshake Authentication Protocol CMSA/CD - Carrier Sense Multiple Access with Collision Detection CRC - Cyclic redundancy check CSMA/CA - Carrier Sense Multiple Access with Collision Avoidance CTS - Clear To Send DES - Data Encryption Standard DFS - Dynamic Frequency Selection DHCP - Dynamic Host Configuration Protocol DMZ - Demilitarized Zone DOS - Denial of service DRDOS - Distributed Reflection DOS DS - Distribution System Tô Quang Vinh Vấn đề bảo mật mạng máy tính không dây DSSS - Direct Sequence Spread SpectrumEAP - Extensible Authentication Protocol EAPOL - EAP Over LAN EAPOW - EAP Over Wireless ESS - Extended Service Set ETSI - European Telecommunications Standards Institute FHSS – Frequency Hopping Spread Spectrum HTTP - HyperText Transfer Protocol IBSS - Independent Basic Service Set ICMP -Internet Control Message Protocol ICV – Intergrity Check Value IEEE - Institute of Electrical and Electronics Engineers IETF - Internet Engineering Task Force IKE - Internet Key Exchange IP - Internet Protocol IPSec - Internet Protocol Security IrDA - Infrared Data Association ISDN -Integrated Services Digital Network ISP - Internet Service Provider ITU - International Telecommunication Union IV - Initialization Vector LAN - Local Area Network LCP – Link Control Protocol LEAP - Light Extensible Authentication Protocol LLC - Logical Link Control LOS - Light of Sight MAC - Media Access Control Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây MAN - Metropolitan Area Network MIC - Message Integrity Check MSDU - Media Access Control Service Data Unit OCB - Offset Code Book OFDM - Orthogonal Frequency Division OSI - Open Systems Interconnection OTP - One-time password PAN - Person Area Network PBCC - Packet Binary Convolutional Coding PCMCIA - Personal Computer Memory Card International Association PDA - Personal Digital Assistant PEAP - Protected EAP Protocol PKI-Public Key Infrastructure PRNG - Pseudo Random Number Generator QoS - Quality of Service RADIUS - Remote Access Dial-In User Service RF - Radio frequency RFC - Request For Comment RTS - Request To Send SIG - Special Interest Group SSH - Secure Shell SSID - Service Set ID SSL - Secure Sockets Layer STA - Station SWAP - Standard Wireless Access Protocol TACACS - Terminal Access Controller Access Control System TCP - Transmission Control Protocol Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây TFTP - Trivial File Transfer Protocol TKPI - Temporal Key Integrity Protocol TLS - Transport Layer Security TPC - Transmission Power Control UDP - User Datagram Protocol UNII - Unlicensed National Information Infrastructure VLAN - Virtual LAN VPN - Virtual private networks WAN - Wide Area Network WECA - Wireless Ethernet Compatibility WEP - Wired Equivalent Protocol WLAN - Wireless LAN WPAN - Wireless Personal Area Network Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây DANH MỤC CÁC BẢNG Bảng 1.1 : Các kênh sử dụng chuẩn 802.11b…………………… 21 Bảng 1.2 : Chi tiết chuẩn 802.11a………………………………… 22 Bảng 1.3 : Tốc độ truyền liệu AP theo khoảng cách ………… 25 Bảng 1.4 : Chuẩn 802.11b dùng Rubber Duck Antenna……………… 26 Bảng 1.5 : Chuẩn 802.11a dùng cho Omni Antenna………………… 27 Bảng 2.1 : Các SSID ngầm định AP số hãng…………… 53 Bảng 2.2 : Phân chia nhóm sách bảo mật……………… 91 Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1.1: Ví dụ hoạt động trải phổ chuỗi trực 16 Hình 1.2 : Trải phổ nhảy tần 18 Hình 1.3 : Công nghệ ghép kênh phân chia theo tần số trực giao 19 Hình 1.4 : Mơ hình mạng Adhoc 29 Hình 1.5 : Mơ tả hệ thống phân tán 29 Hình 1.6 : Hệ thống phục vụ mở rộng 30 Hình 1.7 : Mạng khơng dây kết hợp với mạng có dây 35 Hình 1.8 : Hai mạng có dây kết nối với kết nối không dây 36 Hình 2.1 : Quá trình chứng thực địa MAC……………………….50 Hình 2.2 : Quá trình chứng thực SSID 51 Hình 2.3 : Mơ hình hai phương pháp chứng thực SSID 802.11 52 Hình 2.4 : Giá trị SSID AP phát chế độ quảng bá 54 Hình 2.5 : Giá trị SSID AP phát chế độ trả lời Client 55 Hình 2.6 : Mơ hình chứng thực Client AP 56 Hình 2.7 :Cài đặt mã khóa dùng chung cho WEP 58 Hình 2.8 : Sơ đồ mã hóa truyền 59 Hình 2.9 : Q trình đóng gói thành tin mã hóa 59 Hình 2.10 : Quá trình giải mã nhận 60 Hình 2.11 : Q trình mã hóa giải mã gói tin 63 Hình 2.12 : Quá trình dị mã thực bên ngồi mạng khơng dây 65 Hình 2.13 : Nguyên lý Bit – Flipping 66 Hình 2.14 : Q trình dị mã thực bên mạng khơng dây 67 Hình 2.15 : Cấu trúc gói tin 68 Hình 2.16 : Các thơng số tạo nên trường MIC 69 Tô Quang Vinh Vấn đề bảo mật mạng máy tính không dây 95 certificates) phục vụ việc chứng thực Hơn người dùng cịn chứng thực VPN Gateway thông qua dịch vụ quay số chứng thực từ xa RADIUS – Remote Authentication Dial In User Service, sử dụng chế mật dùng lần VPN kết hợp không kết hợp với firewall để kiểm sốt thơng tin qua VPN cung cấp giải pháp nâng cao tính bảo mật khơng có nghĩa hồn tồn bảo mật tuyệt đối Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 96 CHƯƠNG : ĐỀ XUẤT GIẢI PHÁP MẠNG KHÔNG DÂY ÁP DỤNG CHO TRƯỜNG ĐẠI HỌC 3.1 Đặt vấn đề Trong trường đại học nhu cầu tiếp nhận, trao đổi thông tin cán sinh viên nhu cầu tất yếu Ngày nay, thông tin không hạn chế phạm vi thư viện tủ sách trường mà phải thư viện điện tử, mạng thông tin, giới ảo mang lại tri thức thật cho người Chúng ta tổng kết yêu cầu đặt để phục vụ nhu cầu thông tin cho cán bộ, sinh viên trường sau: - Thiết lập thư viện điện tử gồm tài liệu, sách vở, cơng trình nghiên cứu, đề tài khoa học ngồi trường - Tạo khơng gian trường nơi cán bộ, sinh viên tới để truy cập mạng tài nguyên điện tử - Có kết nối từ mạng Internet bên vào mạng tài nguyên điện tử trường cán bộ, sinh viên khơng trường (ví dụ nhà) người bên ngồi quan tâm, tìm hiểu nghiên cứu khoa học trường truy cập vào - Có kết nối từ trường ngồi mạng Internet bên để cán bộ, sinh viên trường truy cập nguồn thơng tin Internet - Có hệ thống email, hệ thống thư mục (directory) để người trao đổi thơng tin đưa viết, cơng trình nghiên cứu lên mạng Tơ Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 97 - Có chế đảm bảo an toàn, bảo mật liệu Vấn đề không truy xuất tài liệu thơng tin bình thường mà giá trị tính riêng tư thơng tin, có thơng tin số người quyền truy cập, ví dụ đề tài khoa học có tính bí mật quốc gia, hay cơng trình nghiên cứu nhóm thời kỳ hồn thành, chưa cơng bố) Có chế phân quyền, cấp phép để bảo mật liệu cho đối tượng truy cập phạm vi nguồn thông tin mà phép 3.2 Giải pháp đưa 3.2.1 Thiết lập hệ thống mạng liệu Hệ thống liệu thư viện điện tử có dung lượng lớn, địi hỏi tham gia đóng góp nguồn liệu khoa, ban ngành trường Nó mang tính mở phát triển, có nghĩa liên tục cập nhật, bổ xung thêm Về có máy chủ Data Server để lưu trữ tài liệu, Web Server để lưu trữ thông tin trang web, dịch vụ thư mục cho cá nhân Mail Server để quản lý hệ thống thư điện tử cán bộ, sinh viên trường 3.2.2 Tạo không gian truy cập trường Xây dựng mạng máy tính có dây LAN, đặt phòng thư viện cho người vào sử dụng giải pháp đơn giản hiệu Tuy nhiên bị hạn chế khơng gian hạn hẹp, thiếu linh hoạt, khó đáp ứng số lượng người sử dụng tăng Vì tơi đưa giải pháp bổ xung sử dụng thêm giải pháp truy cập mạng không dây WLAN, giống mơ hình mạng Wi-Fi sân bay, khu báo chí, khách sạn Chúng ta tận Tơ Quang Vinh Vấn đề bảo mật mạng máy tính không dây 98 dụng khoảng không gian rộng lớn vườn trường, sảnh lớn, chí hành lang nơi người kết nối mạng 3.2.3 Xây dựng kết nối Internet Hiện tại, số trường đại học Việt Nam có hệ thống website lớn, thơng qua cán bộ, sinh viên truy cập vào để xem tin, tra cứu tài liệu thư viện điện tử, check mail, vv Thường trường thuê kênh kết nối riêng Internet thông nhà cung cấp dịch vụ Internet ISP – Internet Service Provider để bên truy cập Internet, bên ngồi truy cập vào website Internet trường Tốc độ đường truyền thường từ 64Kbps đến 2Mbps Với trường đại học lớn, có hàng chục nghìn cán bộ, sinh viên, tốc độ kết nối Internet không đủ so với nhu cầu sử dụng thực tế toàn hệ thống làm cho người sử dụng mạng nội truy cập mạng Internet hay trao đổi email thường hay bị nghẽn bị gián đoạn làm ảnh hưởng đến cơng việc Song song với chất lượng đường truyền không ổn định phụ thuộc vào đường cáp vật lý nhà cung cấp kết nối mà nguy đứt cáp xẩy Do yêu cầu đặt nâng cấp tốc độ kết nối Internet lên cao Giải pháp đáp ứng đưa sử dụng đường kết nối viba, sử dụng chảo Cisco trường ISP, khu nhà trường Hạ tầng truyền dẫn: viba trải phổ theo chuẩn 802.11b DSSS 2.4GHz Giải pháp có ưu điểm sau: - Triển khai đơn giản, nhanh chóng, khơng phải kéo cáp đường truyền - Có thể quản lý đường kết nối Internet thiết bị đầu cuối, dựa vào đường truyền vật lý không ổn định nhà cung cấp kết nối Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 99 - Tốc độ truyền liệu đạt đến tối đa 11Mpbs (54Mbps dùng 802.11g) tuỳ theo nhu cầu sử dụng - Có khả (trong vịng 5-10 phút) nâng tốc độ mà thay thiết bị truyền dẫn Ưu điểm vượt trội so với đường kết nối kênh thuê riêng với đường kết nối kênh thuê riêng, việc tăng tốc độ đòi hỏi phải thay thiết bị truyền dẫn Đồng thời, khả nâng cấp tốc độ đáp ứng yêu cầu tạm thời số dịch vụ cần đường truyền lớn hội thảo trực tuyến - Đường kết nối viba đạt tiêu chuẩn bảo mật Sử dụng công nghệ bảo mật theo chuẩn 802.1X (LEAP, EAP-TLS, 128-bit WEP) Cisco Systems, có Server phục vụ việc mã hóa, chứng thực, firewall 3.2.4 Cơ chế an toàn, bảo mật liệu - Để đảm bảo an ninh, tránh cơng từ bên ngồi cho máy chủ Data, Web, Mail, máy chủ đặt hệ thống DMZ Demilitarized Zone (mạng phi quân sự) - Xây dựng hệ thống Active Directory phân quyền truy cập mạng LAN điều khiển Domain Controler Server - Áp dụng giải pháp bảo mật cho đường truyền Internet viba không dây cho mạng WLAN trường 3.3 Giải pháp triển khai Quá trình triển khai thực thông qua bước, đề cập đến kết nối mạng không dây nên tập trung nhiều vào phần 3.3.1 Bước Tơ Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 100 Xây dựng mơ hình mạng phi qn DMZ, tách biệt máy chủ khỏi mạng Intranet người sử dụng trường tới khu vực riêng (DMZ) Có Firewall server kiểm sốt q trình trao đổi khu vực Làm để đảm bảo an toàn cho máy chủ đồng thời ngăn chặn việc người bên ngồi truy cập vào máy bên mạng nội sau Mơ hình kết nối hình 3.1 Hình 3.1 :Mơ hình mạng LAN kết nối với mạng DMZ - Người dùng bên mạng LAN truy cập vào hệ thống máy chủ Web server, Mail server, Data server mạng phi quân DMZ thông qua kiểm soát Firewall server đảm bảo kết nối suốt 3.3.2 Bước Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 101 Xây dựng mạng kết nối không dây WLAN trường Giả sử triển khai khoảng không gian 100m x 100m = 10.000 m2, trung tâm thư viện điện tử diện tích khoảng 50m x 50m = 2.500m2, khơng gian trống xung quanh thảm cỏ, xanh Như để phủ sóng diện tích này, đảm bảo tốc độ truyền liệu cao xét tới yếu tố nhà (indoor) trời (outdoor), xét đến số người sử 100m 50m 100m dụng AP, đưa số lượng AP sử dụng 4, mơ hình 3.2 Hình 3.2 : Xây dựng mạng kết nối không dây WLAN trường Nếu định mức AP phục vụ tối đa khoảng 30 STA lúc mơ hình AP phục vụ cho khoảng 100 người lúc (tính phần phủ sóng chung AP) Giải pháp an ninh mà đưa - Sử dụng VLAN phân chia nhóm người sử dụng thông qua giá trị SSID Đối tượng phục vụ chia làm nhóm: + Cán công tác trường, chủ yếu giảng viên Sử dụng SSID “professor” Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 102 + Nghiên cứu sinh, học viên cao học Sử dụng SSID “research” + Sinh viên, số lượng đông đảo Sử dụng SSID “student” + Đối tượng ngoài, khách, cán trường khác đến cơng tác trường thời gian Sử dụng SSID “guest” RADIUS Server Router Switch LAN VLAN Access Point Access Point Access Point Access Point Hình 3.3: Sử dụng VLAN phân chia nhóm người sử dụng Sau phân chia thành nhóm, AP chuyển yêu cầu thực chứng thực người dùng RADIUS server Người dùng nhóm professor, research student phải đăng ký tài khoản truy cập thơng tin lưu sở liệu RADIUS Server, riêng nhóm guest khơng cần chứng thực, tất nhiên nguồn tài nguyên mà họ truy cập hạn chế - Sử dụng mã hóa Cisco-LEAP cho q trình chứng thực giải pháp có nhiều ưu điểm, giải pháp Cisco nên hồn tồn tương thích với thiết bị Cisco - Q trình mã hóa liệu sử dụng mã hóa WEP có bổ xung thêm giải pháp giải pháp TKIP thêm trường kiểm tra tồn vẹn tin Tơ Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 103 MIC thay đổi mã khóa theo gói tin Per packet keying Với giải pháp đảm bảo tránh an tồn mã hóa liệu 3.3.3 Bước Xây dựng kết nối từ trường tới nhà cung cấp dịch vụ Internet theo chiều kết nối từ Internet từ Internet vào, kết nối thực thông qua Bridge đầu - Người dùng bên mạng LAN truy cập Internet bên ngồi thơng qua đường viba nối trường đại học ISP - Đường viba cho phép người dùng bên Internet truy cập vào hệ thống máy chủ trường (hệ thống đặt DMZ) Mơ hình kết nối hình 3.4 Wireless Bridge Wireless Bridge ` University building ISP RADIUS Server Internet Hình 3.4: Kết nối từ trường tới nhà cung cấp dịch vụ Internet Khác với kết nối không dây mạng WLAN trên, kết nối không dây “cầu nối” điểm, khơng có nhiều user chứng thực, q trình chứng thực xẩy kết nối trì 24/24 Vì dùng giải pháp chứng thực bình thường WEP Chúng ta Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 104 cần tập trung đảm bảo việc mã hóa liệu truyền điểm lượng liệu có lưu lượng lớn Giải pháp mã hóa liệu tơi đề giống cho WLAN nghĩa WEP có bổ xung TKIP bao gồm MIC Per packet keying 3.3.4 Bước Phối ghép phần mà thực bước với thành mơ hình tổng thể Mơ hình kết nối hình 3.5 Hình 3.5: Mơ hình tổng qt Tơ Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 105 3.4 Đánh gía chung mặt bảo mật Đây mơ hình bảo mật lớp, đảm bảo cho hệ thống mạng độ bảo mật tối đa - Lớp 1: Máy chủ chứng thực (authenication server) máy chủ mã hóa (encryption server) tham gia hỗ trợ q trình trên, để đảm bảo u cầu an tồn liệu Nếu đường truyền chảo viba mà có bị nghe trộm liệu giải mã Việc chứng thực mã hóa cịn áp dụng cho việc trao đổi liệu khu nhà - Lớp 2: Sử dụng Cisco PIX Firewall Thiết bị tách hai mạng LAN DMZ trường tăng cường bảo mật - Lớp 3: Sử dụng server, cài đặt hệ điều hành Windows Server (2000 2003) phần mềm tường lửa CheckPoint Firewall-1 Sp4 Server có kết nối với PIX Firewall, với máy chủ chia sẻ quản lý truy cập Internet với mạng LAN - Các server vùng DMZ có chế trao đổi, đồng liệu với máy chủ mạng LAN để đảm bảo yêu cầu an toàn hệ thống, từ bên ngồi khơng thể truy cập vào hệ thống mạng nội Intranet (mạng LAN) trường Tô Quang Vinh Vấn đề bảo mật mạng máy tính không dây 106 TÀI LIỆU THAM KHẢO Tiếng Việt Nguyễn Thúc Hải ( 2003 ) , “ Mạng máy tính hệ thống mở ” Phạm Thế Quế ( 2005 ) , “ Bài giảng mạng máy tính ” Tiếng Anh Pierfranco Issa ( 2000 ), “ Wireless Local Area Networks ” O'Reilly ( 2004 ) , “ Building Wireless Community Networks ” Addison Wesley ( 2005 ) , “ Wireless Security and Privacy: Best Practices and Design Techniques ” Cisco System ( 2004 ) ,“ Configuring the Cisco Wireless Security Suite ” Craig J Mathias ( 2003 ), “ Wireless Security: Critical Issues and Solutions ” Cisco System ( 2005 ) “ A Comprehensive Review of 802.11 Wireless LAN Security and the Cisco Wireless Security Suite ” Wiley ( 2006 ), “ Building Secure Wireless Networks with 802.11 ” 10 3Com ( 2000), “ IEEE 802.11b Wireless LANs ” 11 Planet Wireless ( 2004 ), “ Certified Wireless Network Administrator ” 12 Syngress Publishing ( 2002 ), “ Hack Proofing Your Wireless Network ” Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 107 TÓM TẮT LUẬN VĂN Bên cạnh tảng mạng máy tính hữu tuyến, mạng máy tính khơng dây từ đời thể nhiều ưu điểm nối bật độ linh hoạt, tính giản đơn, khả tiện dụng Các vấn đề an ninh mạng máy tính khơng dây phân làm hai loại dựa theo tính chất cơng dựa theo loại hình cơng vào mạng Các nhóm phân chia theo tính chất cơng chia làm nhóm : cơng bị động, công chủ động, công theo kiểu chèn ép công theo kiểu thu hút Một số kiểu cơng cụ thể thuộc nhóm : bắt gói tin, mạo danh truy cập trái phép, công từ chối dịch vụ, công cưỡng đoạt điều khiển sửa đổi thơng tin, dị mật Nắm rõ ngun lý hoạt động ta có biện pháp đối phó với kiểu cơng Phân loại an ninh mạng dựa theo loại hình cơng vào mạng kể phương thức chứng thực địa MAC, SSID, WEP Phương thức chứng thực địa MAC , SSID đơn giản, yếu bảo mật thường dùng phần phụ trợ cho nguyên lý khác WEP phương thức bao gồm chứng thực người dùng có mã hóa liệu Để nâng cao tính bảo mật WEP người ta đưa giao thức tích hợp khóa tạm thời TKPI Một số nguyên lý đời đáp ứng yêu cầu bảo mật cao chuẩn chứng thực 802.1x ( RADIUS Server, giao thức chứng thực mở rộng EAP ) Ngồi cịn có số giải pháp khác phưong pháp lọc ( lọc địa MAC, IP, cổng ), phưong pháp Wireless VLAN, công nghệ VPN Phần cuối luận văn đưa giải pháp xây dựng mạng máy tính khơng dây áp dụng cho trường đại học đánh giá chung mặt bảo mật từ khóa : WLAN, WEP, TKIP, RADIUS Server, EAP Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 108 SUMMARY OF THE THESIS Beside the foundation of traditional computer network, wireless computer network has shown strengths on flexibility, simplicity and usefulness at the beginning Security problems of wireless computer network are divided into two types based on attack characteristics and based on types of attacks into network The attack characteristics groups are divided to main groups: passive attacks, active attacks, jamming attacks and man in the middle attacks Some specific attack types belonging to four these groups are: sniffing, illegal login, denied of service, changing information account and finding password Knowing clearly about operating principles, we have solutions to each type of attack Categorizing security network based on attack types can list authentication methods by MAC, SSID, and WEP address Authentication methods by MAC, SSID address is quite simple, weak at security and usually use it as the subpart for other principle WEP is method including authenticating users and data encrypting In order to enhance more WEP security, temporary logging protocol TKPI is introduced Some of new principles meet the demand on high security such as authentication standard 802.1x (RADIUS server extensible authentication Protocol) In addition, there are some other solutions such as filing method (address filting MAC, IP, gates), wireless VLAN method, and VPN technology In the end of this thesis, solutions to wireless computer network building applied to universities and general security evaluation are introduced primary words : WLAN, WEP, TKIP, RADIUS Server, EAP Tô Quang Vinh Vấn đề bảo mật mạng máy tính không dây 109 Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây ... Tô Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 13 CHƯƠNG : MẠNG MÁY TÍNH KHƠNG DÂY 1.1 Mạng máy tính khơng dây 1.1.1 Giới thiệu mạng máy tính khơng dây Mạng máy tính khơng dây - Wireless... Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 47 CHƯƠNG : GIẢI PHÁP BẢO MẬT TRONG MẠNG MÁY TÍNH KHƠNG DÂY 2.1 Một số khái niệm Để thuận tiện cho phân tích vấn đề an ninh mạng không dây, trước... thiết bị không dây máy vi tính (thường máy xách tay Tơ Quang Vinh Vấn đề bảo mật mạng máy tính khơng dây 28 máy để bàn có card mạng kết nối khơng dây) Có trường hợp đồ án gọi thiết bị không dây STA,