Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 26 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
26
Dung lượng
589,49 KB
Nội dung
1 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - PHẠM HỒNG THÁI NGHIÊN CỨU GIẢI PHÁP BẢO VỆ XÂM NHẬP MẠNG KHÔNG DÂY CHUYÊN NGÀNH: TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH TĨM TẮT LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC : TS TRẦN THIỆN CHÍNH HÀ NộI – 2012 MỞ ĐẦU Ngày nay, với bùng nổ thơng tin phát triển phương tiện truyền tải thông tin liên lạc nhu cầu cập nhật, trao đổi thông tin lúc nơi trở nên thiết yếu hoạt động xã hội Tuy nhiên, để kết nối trao đổi thông tin người sử dụng phải truy nhập (Internet) từ vị trí cố định Điều gây hạn chế người dùng không cố định nơi khơng có điều kiện kết nối vào mạng Do đó, để giải vấn đề truyền tải thơng tin/dữ liệu, hệ thống mạng không dây ứng dụng Cùng với phát triển mạng di động, mạng không dây thực bước đột phá lĩnh vực truyền thông Với nhiều lợi dễ kết nối, tính động cao, chí phí giá thành rẻ, có khả ứng dụng rộng rãi nên việc nghiên cứu mạng WLAN thực cần thiết Mặt khác, nghiên cứu triển khai ứng dụng cơng nghệ WLAN, cần phải quan tâm tới tính bảo mật an tồn thơng tin Do mơi trường truyền dẫn vơ tuyến nên WLAN dễ bị rị rỉ thơng tin môi trường truyền tải đặc biệt nguy bị cơng Hacker Do đó, với phát triển WLAN phải phát triển khả bảo mật WLAN an tồn, cung cấp thơng tin hiệu quả, tin cậy cho người sử dụng Chương – GIỚI THIỆU WLAN 1.1 Khái niệm lịch sử hình thành mạng WLAN Mạng LAN khơng dây viết tắt WLAN (Wireless Local Area Network), loại mạng máy tính mà thành phần mạng không sử dụng cáp mạng thông thường, môi trường truyền thơng mạng khơng khí Các thành phần mạng sử dụng sóng điện từ để truyền thơng với nhau, giúp cho người sử dụng di chuyển vùng bao phủ rộng mà kết nối với mạng 1.2 Các chuẩn mạng thông dụng WLAN 1.2.1 Chuẩn 802.11 Đây chuẩn hệ thống mạng không dây Tốc độ truyền khoảng từ đến Mbps, hoạt động băng tần 2.4GHz Chuẩn 802.11 miêu tả thao tác sóng truyền (FHSS) hệ thống mạng không dây 1.2.2 Chuẩn 802.11a Các hệ thống tuân thủ theo chuẩn hoạt động băng tần từ 5,15 đến 5,25GHz từ 5,75 đến 5,825 GHz, với tốc độ liệu lên đến 54 Mbit/s Chuẩn sử dụng kỹ thuật điều chế OFDM (Orthogonal Frequency Division Multiplex), cho phép đạt tốc độ liệu cao khả chống nhiễu đa đường tốt 1.2.3 Chuẩn 802.11b Các hệ thống tuân thủ chuẩn IEEE 802.11b hoạt động băng tần thấp khả xuyên qua vật thể cứng tốt hệ thống tuân thủ chuẩn IEEE 802.11a Các đặc tính khiến mạng WLAN tuân theo chuẩn IEEE 802.11b phù hợp với mơi trường có nhiều vật cản khu vực rộng 1.2.4 Chuẩn 802.11g IEEE 802.11g sử dụng kỹ thuật điều chế OFDM để đạt tốc độc cao Ngoài ra, hệ thống tuân thủ theo IEEE 802.11g có khả tương thích ngược với hệ thống theo chuẩn IEEE 802.11b chúng thực tất chức bắt buộc IEEE 802.11b cho phép khách hàng hệ thống tuân theo IEEE 802.11b kết hợp với điểm chuẩn AP IEEE 802.11g 1.2.5 Chuẩn 802.11n Chuẩn 802.11n cho phép kết nối với tốc độ 300 Mbps (có thể lên tới 600Mbps), mở rộng vùng phủ sóng 802.11n mạng Wi-Fi cạnh tranh mặt hiệu suất với mạng có dây 100Mbps Chuẩn 802.11n hoạt động hai tần số 2,4GHz 5GHz với kỳ vọng giảm bớt tình trạng “quá tải” chuẩn trước 1.2.6 Một số chuẩn khác Ngoài chuẩn phổ biến trên, IEEE cịn lập nhóm làm việc độc lập để bổ sung quy định vào chuẩn 802.11a, 802.11b, 802.11g nhằm nâng cao tính hiệu quả, khả bảo mật phù hợp với chuẩn cũ như: IEEE 802.11c, IEEE 802.11d, IEEE 802.11e, IEEE 802.11f, … 1.3 Cấu trúc mơ hình mạng WLAN 1.3.1 Cấu trúc mạng WLAN Mạng sử dụng chuẩn 802.11 gồm có thành phần : Hệ thống phân phối (Distribution System - DS) Điểm truy cập (Access Point) Tần số liên lạc vô tuyến (Wireless Medium) Trạm (Stations) Hình 1.1 – Cấu trúc mạng WLAN 1.3.2 Các mơ hình mạng WLAN Mơ hình mạng độc lập IBSS hay cịn gọi mạng Adhoc: Các trạm (máy tính có hỗ trợ card mạng không dây) tập trung lại khơng gian nhỏ để hình thành nên kết nối ngang cấp (peer-to-peer) chúng Mơ hình mạng sở: Client liên lạc với thông qua Access Point (AP) AP điểm trung tâm quản lý giao tiếp mạng Để giao tiếp với Client phải gửi Frame liệu đến AP, sau AP gửi đến máy nhận Mơ hình mạng mở rộng: Nhiều mơ hình BSS kết hợp với gọi mơ hình mạng ESS Là mơ hình sử dụng từ AP trở lên để kết nối mạng Khi AP kết nối với thành mạng lớn hơn, phạm vi phủ sóng rộng hơn, thuận lợi đáp ứng tốt cho Client di động Một số mơ hình mạng WLAN khác: Mơ hình Roaming, Mơ hình khuyếch đại tín hiệu, Mơ hình Point to Point, Mơ hình Point to Multipoint 1.4 Đánh giá ưu, nhược điểm thực trạng mạng WLAN 1.4.1 Ưu điểm Khả lưu động cải thiện hiệu suất dịch vụ Cài đặt đơn giản Giảm bớt giá thành sở hữu Tính linh hoạt Khả mở rộng 1.4.2 Nhược điểm Ngoài nhiều tiện lợi ưu điểm đề cập có nhược điểm như: Bảo mật: Môi trường kết nối không khí nên khả bị cơng cao Phạm vi: nhỏ, chưa đáp ứng nhu cầu người dùng Độ tin cậy: tín hiệu bị nhiễu, bị giảm tác động thiết bị khác Tốc độ chậm 1.4.3 Thực trạng mạng WLAN Chúng ta dễ dàng kết nối mạng không dây nhiều địa điểm như: trường học, văn phịng,… gia đình nhiều thiết bị đại : laptop, PDA Tuy nhiên, số tồn : Không thay đổi mật nhà sản xuất Khơng kích hoạt tính mã hóa Khơng kiểm tra thường xuyên chế độ bảo mật Kích hoạt phương pháp bảo mật cấp thấp khơng kích hoạt Chương – BẢO MẬT TRONG WLAN 2.1 Sơ lược bảo mật mạng không dây WLAN Bất mạng nào, khơng dây lẫn có dây, có lỗ hổng mặt kỹ thuật cho phép tin tặc xâm nhập vào hệ thống để ăn cắp thơng tin hay phá hoại, thực tế khơng có mạng xem bảo mật tuyệt đối Vì vậy, người ta thường phải sử dụng nhiều kỹ thuật bảo mật kèm với mạng để bảo đảm tính an tồn cho mạng Đối với mạng khơng dây sử dụng phương pháp mã hóa để bảo đảm tính bí mật thông tin, sử dụng chế chứng thực để kiểm tra tính hợp pháp người dùng 2.1.1 Vai trị bảo mật mạng khơng dây WLAN Vì mạng Wireless truyền nhận liệu dựa sóng vơ tuyến AP phát sóng lan truyền bán kính cho phép nên thiết bị có hỗ trợ truy cập Wireless bắt sóng Cho nên rủi ro thơng tin bị Hacker “mũ đen” đánh cắp nghe trộm cao Vì liệu truyền qua sóng vơ tuyến nên tính bảo mật WLAN cần giải vấn đề sau đây: Ngăn chặn thông tin người dùng bị cơng thực q trình đàm phán xác thực thông tin truy cập vào mạng Sau chứng thực hoàn tất, phải bảo đảm an toàn riêng tư liệu truyền máy khách điểm truy cập Kiểm tra chắn người dùng phép truy cập vào mạng 2.1.2 Mơ hình chung bảo mật mạng khơng dây WLAN Device Authorisation: xác thực thiết bị theo địa MAC Encryption: hỗ trợ WEP, 3DES, TLS Authentication: xác thực quyền truy nhập Firewall: quản lý lưu lượng chung VPN: cho phép client thiết lập phiên VPN 2.2 Những đe dọa an ninh mạng 2.2.1 Những nguy hiểm cho an ninh mạng Bảo mật định nghĩa giữ gìn để tránh khỏi việc người khác làm mà người sử dụng không muốn Các nguy hiểm an ninh đến từ hacker, kẻ đột nhập, tổ chức, người nội 10 2.2.2 Một số kiểu công WLAN Tấn công bị động: không để lại dấu vết chứng tỏ có diện hacker mạng hacker khơng thật kết nối với AP để lắng nghe gói tin truyền đoạn mạng khơng dây Tấn cơng chủ động: sử dụng để truy cập vào server lấy liệu có giá trị hay sử dụng đường kết nối Internet doanh nghiệp để thực mục đích phá hoại hay chí thay đổi cấu hình hạ tầng mạng Bằng cách kết nối với mạng khơng dây thơng qua AP, hacker xâm nhập sâu vào mạng thay đổi cấu hình mạng Tấn cơng chèn ép (Jamming) Jamming kỹ thuật sử dụng đơn giản để làm hỏng (shut down) mạng không dây người sử dụng cách gây nghẽn tín hiệu RF Tấn công thu hút (Man-in-the-middle Attack): kiểu công mà hacker sử dụng AP để đánh cắp node di động cách gửi tín hiệu RF mạnh AP hợp pháp đến node Các node di động nhận thấy có AP phát tín hiệu RF tốt nên kết nối đến AP giả mạo này, truyền liệu liệu nhạy cảm đến AP giả mạo hacker có tồn quyền xử lý 12 2.4.1 Các giao thức bảo mật chủ yếu WEP: giao thức nhằm bảo vệ trao đổi thông tin chống lại nghe trộm, chống lại kết nối mạng không phép chống lại việc thay đổi làm nhiễu thông tin truyền WEP sử dụng stream cipher (Mật mã) RC4 với mã 40 bit số ngẫu nhiên 24 bit (initialization vector – IV) để mã hóa thơng tin Giải thuật WEP thực chất giải thuật giải mã hóa RC4 Nó xem giải thuật đối xứng sử dụng khóa cho mật mã hóa giải mật mã UDP (Protocol Data Unit) văn gốc Mỗi truyền, văn gốc XOR theo bit với luồng khóa (keystream) giả ngẫu nhiên để tạo văn mật mã Ưu điểm WEP - Mật mã hóa mạnh, đáng tin cậy Việc khơi phục khóa bí mật khó khăn Khi độ dài khóa dài khó để khơi phục - Tự đồng hóa Khơng cần giải gói Mỗi gói chứa đựng thơng tin cần để giải mã - Hiệu quả: triển khai phần cứng phần mềm chi phí triển khai thấp Nhược điểm WEP 13 - Khơng có chế xác thực tập trung hay xác thực dựa người dùng - Khơng hỗ trợ quản lý khóa, tức khơng có chế sinh khóa phân phát khóa tự động - Khơng có chế xác thực lẫn nhau, mạng xác thực người dùng, người dùng xác thực mạng Kết AP giả mạo đóng vai AP hợp lệ thu thập liệu từ máy người dùng - Khơng có chế ngăn chặn truyền lại - Dùng lại IV WPA WPA sử dụng thuật toán RC4 mã hoá đầy đủ 128 bit dành 64 bit cho chứng thực để tạo bảo mật tốt Năm 2004 giải pháp TKIP (Temporal Key Integrity Protocol-Tồn vẹn khóa tạm thời) IEEE đưa vào WPA nhằm vá vấn đề bảo mật cài đặt mã dòng RC4 TKIP dùng hàm băm (hashing) IV để chống lại việc giả mạo gói tin, cung cấp phương thức để kiểm tra tính toàn vẹn MIC (Message Integrity Check- tin phi tuyến) để đảm bảo tính xác gói tin TKIP WPA sử dụng khóa động cách đặt cho frame chuỗi số riêng để chống lại dạng cơng giả mạo Bởi WPA thay đổi khố liên 14 tục nên hacker không thu thập đủ liệu mẫu để tìm mật Ưu điểm WPA - Việc sử dụng TKIP làm cho WPA có sức bảo mật tốt khóa truyền tin thay đổi liên tục - Do hỗ trợ việc kiểm tra tính tồn vẹn nên liệu bảo vệ tốt đường truyền - Việc tích hợp với máy chủ xác thực RADIUS phép quản lý, kiểm toán khai thác mạng WLAN cách an toàn cao - Dễ dàng nâng cấp thiết bị phần cứng card mạng AP đơn giản cách thay đổi phần mềm điều khiển giúp cho chi phí nâng cấp khơng đáng kể Nhược điểm WPA - Với WPA Personal việc sử dụng hàm thay đổi khố TKIP, sử dụng để tạo khoá mã hố bị phát hacker đốn khoá khởi tạo phần mật họ xác định tồn mật khẩu, giải mã liệu - Khi sử dụng WPA-PSK việc cài đặt trở nên phức tạp, khơng phù hợp cho người dùng gia đình điển hình 15 - TKIP khơng loại trừ điểm yếu bảo mật WiFi Nếu attacker công TKIP, Haker không bẻ gãy độ tin cậy, mà điều khiển truy nhập nhận thực - Bị công từ chối dịch vụ (DoS) tồn - Kỹ thuật TKIP WPA giải pháp tạm thời, chưa cung cấp phương thức bảo mật cao - Với AP khơng thể thay đổi để phù hợp với WPA việc thay thiết bị phần cứng tránh khỏi WPA Enterprise cần máy chủ xác thực để cung cấp khoá khởi tạo, điều làm cho chi phí triển khai hệ thống tăng lên WPA2 WPA2 sử dụng thêm thuật toán mã hóa AES WPA2 với AES có cấp độ bảo mật cao tương tự chuẩn WPA, nhằm bảo vệ cho người dùng người quản trị tài khoản liệu WPA2 sử dụng nhiều thuật tốn để mã hóa liệu TKIP, RC4, AES vài thuật toán khác Ưu điểm WPA2 - Giải pháp mã hóa tối cao với việc sử dụng đồng thời nhiều thuật tốn mã hóa liệu để mang lại hiệu mã hóa cao nhất, tăng độ tin cậy hệ thống WLAN sử dụng 16 - Do có chế thuật tốn mã hóa tổng hợp nên WPA2 làm cho Hacker khơng thể suy đốn khóa bẻ gãy độ tin cậy nắm quyền điều khiển truy nhập nhận thực Nhược điểm WPA2 - Tồn số công nhằm vào AES việc công kênh bên Tấn công kênh bên không công trực tiếp vào thuật tốn mã hóa mà thay vào đó, cơng lên hệ thống thực thuật tốn có sơ hở làm lộ liệu - Việc nâng cấp lên chuẩn 802.11i với giao thức bảo mật WPA2 địi hỏi phải có chi phí thay thiết bị phần cứng gồm AP Card mạng không dây, điều làm cho chi phí triển khai hệ thống tăng giảm khả thích ứng thiết bị máy khách thông dụng 2.4.2 Giới thiệu chế bảo mật phụ trợ 2.4.2.1 Lọc (filtering) Lọc chế bảo mật sử dụng với WEP số giao thức khác Có kiểu lọc sử dụng wireless lan: Lọc SSID Về khái niệm, SSID khơng thực khóa mật sử dụng để bảo vệ truy cập cho mạng không dây điểm truy cập quảng bá SSID để SSID trở thành chế cho việc phân biệt mạng không dây với 17 Khi vơ hiệu hóa việc quảng bá SSID, điểm truy cập không dây cố gắng không quảng bá gặp gói yêu cầu đáp trả Cách thức tăng mức độ bảo mật, vơ hiệu hóa quảng bá SSID SSID truyền tải khung Association Re-association khung Probe Response Điều gần việc dễ dàng với có “dị tìm” gói liệu, họ khám phá SSID mạng khơng dây, thời điểm có người dùng hợp pháp kết nối với mạng khơng dây SSID phát dạng văn sáng Lọc địa MAC Kỹ thuật lọc địa MAC trình người quản trị hệ thống tạo danh sách trắng để rõ địa MAC xác thực quyền kết nối với điểm truy cập Một ưu điểm kỹ thuật dù có biết SSID mạng khơng dây người sử dụng mật WEP WPA họ khơng thể kết nối với mạng trừ họ sử dụng card mạng mà người sử dụng xác thực Kỹ thuật lọc địa MAC làm việc thực tốt tổ chức nhỏ, không phù hợp doanh nghiệp lớn lần đưa vào sử dụng card mạng mới, địa MAC card phải thêm vào lọc địa MAC Lọc giao thức 18 Mạng Lan không dây lọc gói qua mạng dựa giao thức từ lớp đến lớp 2.4.2.2 WLAN VPN Mạng riêng ảo VPN bảo vệ mạng WLAN cách tạo kênh che chắn liệu khỏi truy cập trái phép VPN tạo tin cậy cao thông qua việc sử dụng chế bảo mật IPSec (Internet Protocol Security) Giao thức bảo mật giao thức Internet (IPSec) cung cấp tính an ninh cao cấp thuật toán mã hóa tốt hơn, q trình thẩm định quyền đăng nhập tồn diện IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin cịn Transport mã hóa kích thước Chi phí cho VPNs đáng kể so với cách giải truyền thống nâng cấp dễ dàng, hiệu băng thơng cao, giảm chi phí vận hành quản lí, nâng cao kết nối, nâng cao khả mở rộng, bảo mật, an toàn giao dịch Tuy nhiên, VPN thiếu giao thức kế thừa hỗ trợ, phụ thuộc nhiều vào chất lượng mạng Internet, tải hay nghẽn mạng ảnh hưởng xấu đến chất lượng truyền tin máy mạng Đồng thời VPN phụ thuộc vào nhà cung cấp dịch vụ ISP 19 2.4.3 Giới thiệu phương pháp nhận thực chống xâm nhập trái phép nhằm nâng cao khả bảo mật mạng WLAN Chuẩn 802.1x cung cấp đặc tả cho việc điều khiển truy cập mạng dựa cổng (port-based) Điều khiển truy cập dựa cổng xuất phát từ ethernet switch Khi user cố gắng kết nối vào cổng ethernet, cổng đặt kết nối user vào trạng thái block đợi cho việc kiểm tra định danh người dùng hoàn tất Giao thức 802.1x tích hợp vào nhiều hệ thống WLAN trở thành chuẩn thực tế cho nhà sản xuất Khi kết hợp với EAP 802.1x cung cấp mơi trường bảo mật linh động dựa chế xác thực sử dụng 2.4.3.1 Server RADIUS (máy chủ xác thực) Với sở tập trung - Giải pháp sử dụng RADIUS cho mạng WLAN quan trọng hệ thống mạng có nhiều Access Point, việc cấu hình để bảo mật hệ thống khó quản lý riêng biệt, người dùng xác thực từ nhiều Access Point khác điều khơng bảo mật Khi sử dụng RADIUS cho WLAN mang lại khả tiện lợi cao, xác thực cho toàn hệ thống nhiều Access Point, cung cấp giải pháp thông minh 2.4.3.2 EAP-bảo mật cấp cao 20 EAP multi-protocol (đa giao thức) dùng nhiều dạng giao thức khác thay có giao thức internet IP Nó khơng địi hỏi can thiệp người sử dụng, cung cấp khả xác thực cho user, tự động cung cấp khóa WEP động (dynamic WEP key), khắc phục trở ngại việc quản trị key hệ thống WEP Đồng thời EAP hỗ trợ chương mục người dùng khơng địi hỏi thêm hình thức an ninh khác lọc (filtering), kiểm soát truy nhập (access control) 2.4.3.3 Phương pháp phát xâm nhập mạng không dây WIDS (WLAN Intrusion Detection System) Mục tiêu việc phát xâm nhập xác định hoạt động trái phép, dùng sai, lạm dụng hệ thống máy tính gây người dùng hệ thống lẫn người xâm nhập ngồi hệ thống Mơ hình hoạt động: Tập trung: WIDS tập trung có tập trung để thu thập tất liệu cảm biến mạng riêng lẻ chuyển chúng tới thiết bị quản lý trung tâm, nơi liệu IDS lưu trữ xử lý Phân tán: WIDS phân tán thực chức cảm biến quản lý Kết luận: 21 Rõ ràng thấy thông tin thu thập WIDS tạo sở liệu sử dụng để lập báo cáo tình trạng hoạt động mạng lập kế hoạch cho hệ thống mạng So sánh cảnh báo AP qua nhiều vị trí giúp ta xác định vấn đề gây khác dòng sản phẩm, phiên phần mềm hệ thống (firmware) cấu hình 2.4.3.4 Giải pháp ngăn ngừa phát xâm nhập IDS/IPS a Định nghĩa IPS Hệ thống IPS (intrusion prevention system) kỹ thuật an ninh mới, kết hợp ưu điểm kỹ thuật firewall với hệ thống phát xâm nhập IDS (intrusion detection system), có khả phát xâm nhập, công tự động ngăn chặn cơng b Chức IPS Các giải pháp IPS“Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe doạ công việc loại bỏ lưu lượng mạng có hại hay có ác ý cho phép hoạt động hợp pháp tiếp tục c Kiến trúc chung hệ thống IPS Hệ thống IPS gồm modul chính: Module phân tích luồng liệu: có nhiệm vụ lấy tất gói tin đến mạng để phân tích 22 Module phát cơng: có nhiệm vụ phát cơng Có hai phương pháp để phát cơng, xâm nhập dị lạm dụng dị khơng bình thường +) Phương pháp dị lạm dụng: phân tích hoạt động hệ thống, tìm kiếm kiện giống với mẫu cơng biết trước +) Phương pháp dị khơng bình thường: nhận dạng hành động khơng bình thường mạng Module phản ứng: Khi modul phát cơng gửi tín hiệu báo có công thâm nhập đến modul phản ứng Lúc modul phản ứng kích hoạt tường lửa thực chức nǎng ngǎn chặn công hay cảnh báo tới người quản trị d Phân loại hệ thống IPS IPS luồng (Promiscuous Mode IPS) Luồng liệu vào hệ thống mạng qua tường lửa IPS IPS kiểm sốt luồng liệu vào, phân tích phát dấu hiệu xâm nhập, cơng Với vị trí này, IPS quản lý tường lửa, dẫn chặn lại hành động nghi ngờ mà khơng làm ảnh hưởng đến tốc độ lưu thông mạng IPS luồng (In-line IPS) Vị trí IPS nằm trước tường lửa, luồng liệu phải qua IPS trước tới tường lửa Điểm khác so với 23 IPS ngồi luồng có thêm chức nǎng chặn lưu thơng (trafficblocking) Điều làm cho IPS ngǎn chặn luồng giao thơng nguy hiểm nhanh so với IPS luồng (Promiscuous Mode IPS) Tuy nhiên, vị trí làm cho tốc độ luồng thông tin vào mạng chậm 24 Chương - ỨNG DỤNG GIẢI PHÁP NGĂN CHẶN XÂM NHẬP TRÁI PHÉP CHO MẠNG WLAN CỦA BỆNH VIỆN GIAO THÔNG VẬN TẢI 3.1 Hiện trạng hệ thống mạng WLAN Bệnh viện Giao thông vận tải 3.1.1 Kiến trúc tổng thể mạng WLAN Bệnh viện gồm có khu: Khu 1: văn phòng khoa khám bệnh (14 phòng ban) lắp đặt Router, máy chủ dùng chung địa Subnet, IP cấp động cho máy Client Khu 2: khoa điều trị cận lâm sàng (gồm 14 khoa tòa nhà) lắp đặt Switch, tòa nhà tầng, cao 16m, cách 10 m, tòa đặt AP chuẩn g Mạng có dây: gồm 150 nút mạng, Switch 2960 3.1.2 Thực trạng vấn đề bảo mật mạng WLAN Bệnh viện Giao thông vận tải Thông tin đứng trước nhiều mối nguy về: thất thoát liệu, thông tin, thông tin bị chỉnh sửa, Để bảo vệ hệ thống thông tin cần phải có giải pháp bảo mật khả thi hiệu Hiện hệ thống mạng Bệnh viện Giao thông vận tải trang bị Firewall ASA5510, 300 máy tính máy chủ cài phần mềm antivirus quyền 25 3.1.3 Nguyên lý bảo mật hệ thống thông tin 3.1.3.1 Quyền thâm nhập Quyền thâm nhập quyền truy nhập nhằm kiểm soát tài nguyên mạng quyền hạn tài nguyên 3.1.3.2 Đăng nhập/Mật (Login/Password) Đây lớp bảo vệ mức độ truy nhập thông tin mức độ hệ thống Nhà quản trị cung cấp cho người dùng tài khoản (username) mật (password), đồng thời kiểm soát hoạt động mạng thơng qua hình thức 3.1.3.3 Mã hóa liệu (Data encryption) Đó sử dụng phương pháp mã hoá liệu bên phát thực giải mã bên thu bên thu mã hóa xác có khố mã hóa bên phát cung cấp Dữ liệu biến đổi từ dạng "đọc được" sang dạng “không đọc được" theo thuật tốn 3.1.3.4 Bảo vệ vật lý (Physical Protect) Đây hình thức ngăn chặn nguy truy nhập vật lý bất hợp pháp vào hệ thống ngăn cấm tuyệt đối người không phận vào phịng đặt máy mạng, dùng ổ khố máy tính, cài đặt chế báo động có truy nhập vào hệ thống 3.1.1.1 Bức tường lửa (Firewall) Đây hình thức ngăn chặn xâm nhập bất hợp pháp vào mạng nội thông qua tường lửa (firewall) 26 3.2 Giải pháp IPS cho mạng WLAN Bệnh viện Giao thông vận tải 3.2.1 Mục tiêu giải pháp IDS/IPS Bảo vệ hệ thống mạng sử dụng tính phát ngăn chặn (IDS/IPS); phát ngăn chặn truy cập bất hợp pháp tới hệ thống mạng; ngăn chặn công tới dịch vụ, máy chủ hay máy trạm hệ thống mạng WLAN 3.2.2 Mơ hình IDS/IPS áp dụng cho Bệnh viện Giao thơng vận tải Cấu hình thiết bị chế độ IPS (Inline mode) để bảo vệ cho server cung cấp dịch vụ Cấu hình thiết bị chế độ IDS (passive mode) để giám sát mạng Mơ hình quản lý tập trung sau: ... ngăn chặn xâm nhập bất hợp pháp vào mạng nội thông qua tường lửa (firewall) 26 3.2 Giải pháp IPS cho mạng WLAN Bệnh viện Giao thông vận tải 3.2.1 Mục tiêu giải pháp IDS/IPS Bảo vệ hệ thống mạng sử... hóa Không kiểm tra thường xuyên chế độ bảo mật Kích hoạt phương pháp bảo mật cấp thấp khơng kích hoạt 8 Chương – BẢO MẬT TRONG WLAN 2.1 Sơ lược bảo mật mạng không dây WLAN Bất mạng nào, không. .. phát xâm nhập, công tự động ngăn chặn cơng b Chức IPS Các giải pháp IPS“Ngăn ngừa Xâm nhập? ?? nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe doạ công việc loại bỏ lưu lượng mạng