Đang tải... (xem toàn văn)
Tài liệu tham khảo cho các bạn học chuyên ngành. Mạng không dây (tiếng Anh: wireless network) là mạng điện thoại hoặc mạng máy tính sử dụng sóng radio làm sóng truyền dẫn (carrier wave) hay tầng vật lý. Hệ thống này do nhóm làm việc IEEE 802.16, do IEEE thành lập năm 1999, nghiên cứu và đề xuất. Nhóm làm việc này là một đơn vị của hội đồng tiêu chuẩn LAN/MAN IEEE 802.
DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN CHƯƠNG I: TỔNG QUAN VỀ MẠNG KHÔNG DÂY VÀ AN NINH MẠNG KHÔNG DÂY 1.1THẾ NÀO LÀ MẠNG KHÔNG DÂY 1.1.1 Giới thiệu chung Thuật ngữ “mạng máy tính khơng dây” nói đến cơng nghệ cho phép hai hay nhiều máy tính giao tiếp với dùng giao thức mạng chuẩn khơng cần dây cáp mạng Nó hệ thống mạng liệu linh hoạt thực mở rộng lựa chọn cho mạng máy tính hữu tuyến ( hay cịn gọi mạng có dây ) Các mạng máy tính khơng dây sử dụng sóng điện từ khơng gian (sóng vơ tuyến sóng ánh sáng) thu, phát liệu qua khơng khí, giảm thiểu nhu cầu kết nối dây Vì vậy, mạng máy tính khơng dây kết hợp liên kết liệu với tính di động người sử dụng Công nghệ bắt nguồn từ số chuẩn công nghiệp IEEE 802.11 tạo số giải pháp không dây có tính khả thi kinh doanh, cơng nghệ chế tạo, trường đại học… mà mạng hữu tuyến thực Ngày nay, mạng máy tính khơng dây trở nên quen thuộc hơn, công nhận lựa chọn kết nối đa cho phạm vi lớn khách hàng kinh doanh 1.1.2 Ưu điểm mạng khơng dây Mạng máy tính khơng dây nhanh chóng trở thành mạng cốt lõi mạng máy tính phát triển vượt trội Với cơng nghệ này, người sử dụng truy cập thơng tin dùng chung mà khơng phải tìm kiếm chỗ để nối dây mạng, mở rộng phạm vi mạng mà không cần lắp đặt di chuyển dây Các mạng máy tính khơng dây có ưu điểm hiệu suất, thuận lợi, cụ thể sau: - Tính di động : người sử dụng mạng máy tính khơng dây truy nhập nguồn thơng tin nơi Tính di động tăng suất tính kịp thời thỏa mãn nhu cầu thông tin mà mạng hữu tuyến khơng thể có Trang DTU ĐẠI HỌC DUY TÂN KHOA CƠNG NGHỆ THƠNG TIN - Tính đơn giản : lắp đặt, thiết lập, kết nối mạng máy tính khơng dây dễ dàng, đơn giản tránh việc kéo cáp qua tường trần nhà - Tính linh hoạt : triển khai nơi mà mạng hữu tuyến khơng thể triển khai - Tiết kiệm chi phí lâu dài : Trong đầu tư cần thiết ban đầu phần cứng mạng máy tính khơng dây cao chi phí phần cứng mạng hữu tuyến tồn phí tổn lắp đặt chi phí thời gian tồn thấp đáng kể Chi phí dài hạn có lợi mơi trường động cần phải di chuyển thay đổi thường xuyên - Khả vơ hướng : mạng máy tính khơng dây cấu hình theo topo khác để đáp ứng nhu cầu ứng dụng lắp đặt cụ thể Các cấu hình dễ dàng thay đổi từ mạng ngang hàng thích hợp cho số lượng nhỏ người sử dụng đến mạng có sở hạ tầng đầy đủ dành cho hàng nghìn người sử dụng mà có khả di chuyển vùng rộng 1.1.3 Hoạt động mạng không dây Các mạng máy tính khơng dây sử dụng sóng điện từ không gian (vô tuyến ánh sáng) để truyền thơng tin từ điểm tới điểm khác Các sóng vơ tuyến thường xem sóng mang vơ tuyến chúng thực chức cung cấp lượng cho máy thu xa Dữ liệu phát điều chế sóng mang vơ tuyến (thường gọi điều chế sóng mang nhờ thơng tin phát) cho khơi phục xác máy thu Nhiễu sóng mang vơ tuyến tồn khơng gian, thời điểm mà không can nhiễu lẫn sóng vơ tuyến phát tần số vô tuyến khác Để nhận lại liệu, máy thu vô tuyến thu tần số vô tuyến máy phát tương ứng Trong cấu hình mạng máy tính khơng dây tiêu chuẩn, thiết bị thu/phát (bộ thu/phát) gọi điểm truy cập, nối với mạng hữu tuyến từ vị trí cố định sử dụng cáp tiêu chuẩn Chức tối thiểu điểm truy cập thu, làm đệm, phát liệu mạng máy tính khơng dây sở hạ tầng mạng hữu tuyến Một điểm truy cập đơn hỗ trợ nhóm nhỏ người sử dụng thực chức phạm vi từ trăm đến vài trăm feet Điểm truy Trang DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN cập (hoặc anten gắn vào điểm truy cập) thường đặt cao đặt chỗ miễn đạt vùng phủ sóng mong muốn Những người sử dụng truy cập vào mạng máy tính khơng dây thơng qua thích ứng máy tính khơng dây Card mạng không dây vi máy tính, máy Palm, PDA Các thích ứng máy tính khơng dây cung cấp giao diện hệ thống điều hành mạng (NOS – Network Operation System) máy khách sóng khơng gian qua anten Bản chất kết nối không dây suốt hệ điều hành mạng 1.1.4 Các mơ hình mạng không dây a Kiểu Ad - hoc Mỗi máy tính mạng giao tiếp trực tiếp với thông qua thiết bị card mạng không dây mà không dùng đến thiết bị định tuyến hay thu phát khơng dây Hình 1-1: Mơ hình mạng Ad – hoc ( hay mạng ngang hàng ) b Kiểu Infrastructure Các máy tính hệ thống mạng sử dụng nhiều thiết bị định tuyến hay thiết bị thu phát để thực hoạt động trao đổi liệu với hoạt động khác 1.1.5 Cự ly truyền sóng tốc độ truyền liệu Truyền sóng điện từ khơng gian gặp tượng suy hao Vì kết nối khơng dây nói chung, khoảng cách xa khả thu tín hiệu kém, tỷ lệ lỗi tăng lên, dẫn đến tốc độ truyền liệu phải giảm xuống Trang DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN Các tốc độ chuẩn không dây 11 Mbps hay 54 Mbps không liên quan đến tốc độ kết nối hay tốc độ download, tốc độ định nhà cung cấp dịch vụ Internet Với hệ thống mạng khơng dây, liệu giử qua sóng radio nên tốc độ bị ảnh hưởng tác nhân gây nhiễu vật thể lớn Thiết bị định tuyến không dây tự động điều chỉnh xuống mức tốc độ thấp (Ví dụ từ 11 Mbps giảm xuống 5,5 Mbps Mbps chí Mbps) 1.2 CÁC CHUẨN CỦA MẠNG KHÔNG DÂY IEEE ( Institute of Electrical and Electronic Engineers ) tổ chức tiên phong lĩnh vực chuẩn hóa mạng LAN với đề án IEEE 802 tiếng bắt đầu triển khai từ năm 1980 kết hàng loạt chuẩn thuộc họ IEEE 802.x đời, tạo nên hội tụ quan trọng cho việc thiết kế cài đặt mạng LAN thời gian qua 802.11 chuẩn họ IEEE 802.x bao gồm họ giao thức truyền tin qua mạng không dây Trước giới thiệu 802.11 điểm qua số chuẩn 802 khác: - 802.1: Cầu nối (Bridging), Quản lý (Management) mạng LAN, WAN - 802.2: điều khiển kết nối logic - 802.3: phương thức hoạt động mạng Ethernet - 802.4: mạng Token Bus - 802.5: mạng Token Ring - 802.6: mạng MAN - 802.7: mạng LAN băng rộng - 802.8: mạng quang - 802.9: dịch vụ luồng liệu - 802.10: an ninh mạng LAN - 802.11: mạng LAN không dây – Wireless LAN - 802.12: phương phức ưu tiên truy cập theo yêu cầu Trang DTU ĐẠI HỌC DUY TÂN KHOA CƠNG NGHỆ THƠNG TIN - 802.13: chưa có - 802.14: truyền hình cáp - 802.15: mạng PAN khơng dây - 802.16: mạng không dây băng rộng Chuẩn 802.11 chủ yếu cho việc phân phát MSDU (đơn vị liệu dịch vụ MAC ) kết nối LLC (điều khiển liên kết logic ) Chuẩn 802.11 chia làm hai nhóm: nhóm lớp vật lý PHY nhóm lớp liên kết liệu MAC 1.2.1 Nhóm lớp vật lý PHY a Chuẩn 802.11b 802.11b chuẩn đáp ứng đủ cho phần lớn ứng dụng mạng Với giải pháp hồn thiên, 802.11b có nhiều đặc điểm thuận lợi so với chuẩn không dây khác Chuẩn 802.11b sử dụng kiểu trải phổ trực tiếp DSSS, hoạt động dải tần 2,4 GHz, tốc độ truyền liệu tối đa 11 Mbps kênh, tốc độ thực tế khoảng từ 4-5 Mbps Khoảng cách lên đến 500 mét mơi trường mở rộng Khi dùng chuẩn tối đa có 32 người dùng / điểm truy cập Đây chuẩn chấp nhận rộng rãi giới trỉên khai mạnh công nghệ sử dụng dải tần đăng ký cấp phép phục vụ cho công nghiệp, dịch vụ, y tế Nhược điểm 802.11b họat động dải tần 2,4 GHz trùng với dải tần nhiều thiết bị gia đình lị vi sóng , điện thoại mẹ nên bị nhiễu b Chuẩn 802.11a Chuẩn 802.11a phiên nâng cấp 802.11b, hoạt động dải tần GHz , dùng công nghệ trải phổ OFDM Tốc độ tối đa từ 25 Mbps đến 54 Mbps kênh, tốc độ thực tế xấp xỉ 27 Mbps, dùng chuẩn tối đa có 64 người dùng / điểm truy cập Đây chuẩn chấp nhận rộng rãi giới c Chuẩn 802.11g Trang DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN Các thiết bị thuộc chuẩn hoạt động tần số với chuẩn 802.11b 2,4 Ghz Tuy nhiên chúng hỗ trợ tốc độ truyền liệu nhanh gấp lần so với chuẩn 802.11b với phạm vi phủ sóng, độ truyền liệu tối đa lên đến 54 Mbps, tốc độ thực tế khoảng 7-16 Mbps Chuẩn 802.11g sử dụng phương pháp điều chế OFDM, CCK – Complementary Code Keying PBCC – Packet Binary Convolutional Coding Các thiết bị thuộc chuẩn 802.11b 802.11g hồn tồn tương thích với Tuy nhiên cần lưu ý bạn trộn lẫn thiết bị hai chuẩn với thiết bị hoạt động theo chuẩn có tốc độ thấp Đây chuẩn hứa hẹn tương lai chưa chấp thuận rộng rãi giới 1.2.2 Nhóm lớp liên kết liệu MAC a Chuẩn 802.11d Chuẩn 802.11d bổ sung số tính lớp MAC nhằm phổ biến WLAN tồn giới Một số nước giới có quy định chặt chẽ tần số mức lượng phát sóng 802.11d đời nhằm đáp ứng nhu cầu Tuy nhiên, chuẩn 802.11d trình phát triển chưa chấp nhận rộng rãi chuẩn giới b Chuẩn 802.11e Đây chuẩn áp dụng cho 802.11 a,b,g Mục tiêu chuẩn nhằm cung cấp chức chất lượng dịch vụ - QoS cho WLAN Về mặt kỹ thuật, 802.11e bổ sung số tính cho lớp MAC Nhờ tính này, WLAN 802.11 tương lại không xa cung cấp đầy đủ dịch vụ voice, video, dịch vụ đòi hỏi QoS cao Chuẩn 802.11e qua trình phát triển chưa thức áp dụng tồn giới c Chuẩn 802.11f Đây tài liệu khuyến nghị nhà sản xuất để Access Point nhà sản xuất khác làm việc với Điều quan trọng quy mô mạng lưới đạt đến mức đáng kể Khi đáp ứng việc kết nối mạng khơng dây liên quan, liên xí nghiệp có nhiều khả không dùng chủng loại thiết bị Trang DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN d Chuẩn 802.11h Tiêu chuẩn bổ sung số tính cho lớp MAC nhằm đáp ứng quy định châu Âu dãi tần 5GHz Châu Âu quy định sản phẩm dùng dải tần GHz phải có tính kiểm sốt mức lượng truyền dẫn TPC Transmission Power Control khả tự động lựa chọn tần số DFS - Dynamic Frequency Selection Lựa chọn tần số Access Point giúp làm giảm đến mức tối thiểu can nhiễu đến hệ thống radar đặc biệt khác e Chuẩn 802.11i Đây chuẩn bổ sung cho 802.11 a, b, g nhằm cải thiện mặt an ninh cho mạng không dây An ninh cho mạng không dây giao thức có tên WEP, 802.11i cung cấp phương thức mã hóa thủ tục xác nhận, chứng thực có tên 802.1x Chuẩn giai đoạn phát triển 1.2.3 Các kiến trúc chuẩn mạng không dây a Trạm thu phát – STA STA – Station, trạm thu/phát sóng Thực chất thiết bị không dây kết nối vào mạng máy vi tính, máy Palm, máy PDA, điện thoại di động, vv với vai trò phần tử mơ hình mạng ngang hàng Pear to Pear Client mơ hình Client/Server Trong phạm vi đồ án đề cập đến thiết bị không dây máy vi tính (thường máy xách tay máy để bàn có card mạng kết nối khơng dây) Có trường hợp đồ án gọi thiết bị khơng dây STA, có lúc Client, có lúc gọi trực tiếp máy tính xách tay Thực cách gọi tên khác cho phù hợp với tình đề cập b Điểm truy cập – AP Điểm truy cập – Acces Point thiết bị không dây, điểm tập trung giao tiếp với STA, đóng vai trị việc truyền nhận liệu mạng AP cịn có chức kết nối mạng khơng dây thơng qua chuẩn cáp Ethernet, cầu nối mạng không dây với mạng có dây AP có phạm vi từ 30m đến 300m phụ thuộc vào công nghệ cấu hình c Trạm phục vụ – BSS Trang DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN Kiến trúc WLAN 802.11 BSS – Base Service Set Đây đơn vị mạng khơng dây Trong BSS có chứa STA, khơng có AP mạng phần tử STA ngang hàng (còn gọi mạng Adhoc), cịn có AP mạng phân cấp (còn gọi mạng Infrastructure) Các STA BSS trao đổi thơng tin với Người ta thường dùng hình Oval để biểu thị phạm vi BSS Nếu STA nằm ngồi hình Oval coi STA không giao tiếp với STA, AP nằm hình Oval Việc kết hợp STA BSS có tính chất động STA di chuyển từ BSS sang BSS khác Một BSS xác định mã định danh hệ thống ( SSID – System Set Identifier ), hiểu tên mạng khơng dây d BSS độc lập – IBSS Trong mơ hình IBSS – Independent BSS, BSS độc lập, tức khơng có kết nối với mạng có dây bên ngồi Trong IBSS, STA có vai trị ngang IBSS thường áp dụng cho mơ hình Adhoc xây dựng nhanh chóng mà khơng phải cần nhiều kế hoạch e Hệ thống phân tán – DS Người ta gọi DS – Distribution System tập hợp BSS Mà BSS trao đổi thơng tin với Một DS có nhiệm vụ kết hợp với BSS cách thông suốt đảm bảo giải vấn đề địa cho toàn mạng f Hệ thống phục vụ mở rộng – ESS ESS – Extended Service Set khái niệm rộng Mơ hình ESS kết hợp DS BSS cho ta mạng với kích cỡ tùy ý có đầy đủ tính phức tạp Đặc trưng quan trọng ESS STA giao tiếp với di chuyển từ vùng phủ sóng BSS sang vùng phủ sóng BSS mà suốt với mức LLC – Logical Link Control Trang DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN Hình 1-2: Mơ hình ESS 1.2.4 Một số chế sử dụng trao đổi thông tin mạng không dây a Cơ chế CSMA – CA Nguyên tắc truy cập chuẩn 802.11 sử dụng chế CSMA-CA viết tắt Carrier Sense Multiple Access Collision Avoidance – Đa truy cập sử dụng sóng mang phòng tránh xung đột Nguyên tắc gần giống nguyên tắc CSMA-CD (Carrier Sense Multiple Access Collision Detect) chuẩn 802.3 (cho Ethernet) Điểm khác CSMA-CA truyền liệu bên sẵn sàng nhận không truyền, nhận liệu khác lúc đó, cịn gọi ngun tắc LBT listening before talking – nghe trước nói Trước gói tin truyền đi, thiết bị khơng dây kiểm tra xem có thiết bị khác truyền tin khơng, truyền, đợi đến thiết bị truyền xong truyền Để kiểm tra việc thiết bị truyền xong chưa, “đợi” hỏi “thăm dò” đặn sau khoảng thời gian định b Cơ chế RTS/CTS Để giảm thiểu nguy xung đột thiết bị truyền thời điểm, người ta sử dụng chế RTS/CTS – Request To Send/ Clear To Send Ví dụ AP muốn truyền liệu đến STA, gửi khung RTS đến STA, STA nhận tin gửi lại khung CTS, để thông báo sẵn sàng nhận liệu từ AP, đồng thời không thực truyền liệu với thiết bị khác AP truyền xong cho STA Lúc thiết bị khác nhận thông báo tạm ngừng việc truyền thơng Trang DTU ĐẠI HỌC DUY TÂN KHOA CƠNG NGHỆ THÔNG TIN tin đến STA Cơ chế RTS/CTS đảm bảo tính sẵn sàng điểm truyền liệu ngăn chặn nguy xung đột truyền liệu c Cơ chế ACK ACK – Acknowledging chế thông báo lại kết truyền liệu Khi bên nhận nhận liệu, gửi thơng báo ACK đến bên gửi báo nhận tin Trong tình bên gửi khơng nhận ACK coi bên nhận chưa nhận tin gửi lại tin Cơ chế nhằm giảm bớt nguy bị liệu truyền điểm 1.3 MƠ HÌNH MẠNG THỰC TẾ Trên thực tế có nhiều mơ hình mạng khơng dây từ vài máy tính kết nối Adhoc đến mơ hình WLAN, WWAN, mạng phức hợp Sau loại mô hình kết nối mạng khơng dây phổ biến, từ mơ hình kết hợp để tạo nhiều mơ hình phức tạp, đa dạng khác Mạng khơng dây kết nối với mạng có dây Hình 1-3: Mơ hình mạng khơng dây kết nối với mạng có dây AP làm nhiệm vụ tập trung kết nối khơng dây, đồng thời kết nối vào mạng WAN (hoặc LAN) thông qua giao diện Ethernet RJ45, phạm vi hẹp coi AP làm nhiệm vụ router định tuyến mạng Hai mạng có dây kết nối với kết nối khơng dây Trang 10 DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN vào máy Và đương nhiên kẻ cơng lấy tồn thơng tin lựa chọn tin u cầu, cấp phép chứng thực để giải mã, bẻ khóa mật mã Ở mức độ tinh vi hơn, kẻ công lựa chọn để số tin cần thiết định tuyến đến nó, sau lấy nội dung tin, kẻ cơng sửa đổi lại nội dung theo mục đích riêng sau lại tiếp tục chuyển tiếp (forward) tin đến địa đích Như tin bị chặn, lấy, sửa đổi q trình truyền mà phía gửi lẫn phía nhận khơng phát Đây giống nguyên lý kiểu công thu hút (man in the back), công sử dụng AP giả mạo (rogue AP) AP giả mạo - Rogue AP: kiểu công cách sử dụng AP đặt vùng gần với vùng phủ sóng mạng WLAN Các Client di chuyển đến gần Rogue AP, theo ngun lý chuyển giao vùng phủ sóng mà AP quản lý, máy Client tự động liên kết với AP giả mạo cung cấp thông tin mạng WLAN cho AP Việc sử dụng AP giả mạo, hoạt động tần số với AP khác gây nhiễu sóng giống phương thức cơng chèn ép, gây tác hại giống công từ chối dịch vụ - DOS bị nhiễu sóng, việc trao đổi gói tin bị khơng thành cơng nhiều phải truyền truyền lại nhiều lần, dẫn đến việc tắc nghẽn, cạn kiệt tài nguyên mạng b Biện pháp dối phó Tấn cơng kiểu Hijack thường có tốc độ nhanh, phạm vi rộng cần phải có biện pháp ngăn chặn kịp thời Hijack thường thực kẻ công đột nhập “sâu” hệ thống, cần phải ngăn chặn từ dấu hiệu ban đầu Với kiểu công AP Rogue, biện pháp ngăn chặn giả mạo phải có chứng thực chiều Client AP thay cho việc chứng thực chiều từ Client đến AP 2.2.5 Dò mật từ điển – Dictionary Attack a Nguyên lý thực Việc dò mật dựa nguyên lý quét tất trường hợp sinh từ tổ hợp ký tự Nguyên lý thực thi cụ thể phương pháp khác quét từ xuống dưới, từ lên trên, từ số đến Trang 37 DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN chữ, vv Việc quét tốn nhiều thời gian hệ máy tính tiên tiến số trường hợp tổ hợp nhiều Thực tế đặt mật mã (password), nhiều người thường dùng từ ngữ có ý nghĩa, để đơn lẻ ghép lại với nhau, ví dụ “cuocsong”, “hanhphuc”, “cuocsonghanhphuc”, vv Trên sở nguyên lý đưa quét mật theo trường hợp theo từ ngữ từ điển có sẵn, khơng tìm lúc quét tổ hợp trường hợp Bộ từ điển gồm từ ngữ sử dụng sống, xã hội, vv ln cập nhật bổ sung để tăng khả “thông minh” phá mã b Nguyên lý thực Để đối phó với kiểu dị mật này, cần xây dựng quy trình đặt mật phức tạp hơn, đa dạng để tránh tổ hợp từ, gây khó khăn cho việc quét tổ hợp trường hợp Ví dụ quy trình đặt mật phải sau: - Mật dài tối thiểu 10 ký tự - Có chữ thường chữ hoa - Có chữ, số, ký tự đặc biệt !,@,#,$ - Tránh trùng với tên đăng ký, tên tài khoản, ngày sinh, vv - Không nên sử dụng từ ngữ ngắn đơn giản có từ điển 3.3 TẤN CƠNG KIỂU CHÈN ÉP – JAMMING ATTACKS Ngoài việc sử dụng phương pháp công bị động, chủ động để lấy thông tin truy cập tới mạng bạn, phương pháp công theo kiểu chèn ép Jamming kỹ thuật sử dụng đơn giản để làm mạng bạn ngừng hoạt động Phương thức jamming phổ biến sử dụng máy phát có tần số phát giống tần số mà mạng sử dụng để áp đảo làm mạng bị nhiễu, bị ngừng làm việc Tín hiệu RF di chuyển cố định Trang 38 DTU ĐẠI HỌC DUY TÂN KHOA CƠNG NGHỆ THƠNG TIN Hình 3-2: Mơ tả q trình cơng theo kiểu chèn ép Cũng có trường hợp Jamming xẩy khơng chủ ý thường xảy với thiết bị mà dùng chung dải tần 2,4Ghz Tấn công Jamming đe dọa nghiêm trọng, khó thực phổ biến vấn đề giá thiết bị, đắt kẻ cơng tạm thời vơ hiệu hóa mạng 3.4 TẤN CÔNG THEO KIỂU THU HÚT – MAN IN THE MIDDLE ATTACKS Tấn công theo kiểu thu hút - Man in the middle attacks có nghĩa dùng khả mạnh chen vào hoạt động thiết bị thu hút, giành lấy trao đổi thơng tin thiết bị Thiết bị chèn phải có vị trí, khả thu phát trội thiết bị sẵn có mạng Một đặc điểm bật kiểu công người sử dụng phát công, lượng thông tin mà thu nhặt kiểu công giới hạn Trang 39 DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN CHƯƠNG IV: MỘT SỐ GIẢI PHÁP BẢO MẬT MỚI AN TOÀN Bảo mật vấn đề quan trọng đặc biệt quan tâm doanh nghiệp Không thế, bảo mật nguyên nhân khiến doanh nghiệp e ngại cài đặt mạng cục không dây (wireless LAN) Họ lo ngại bảo mật WEP(Wired Equivalent Privacy), quan tâm tới giải pháp bảo mật thay an toàn IEEE Wi-Fi Alliance phát triển giải pháp bảo mật là: Bảo vệ truy cập Wi-Fi WPA - Wi-Fi Protected Access/ Bảo vệ truy nhập Wi-Fi IEEE 802.11i (cũng gọi WPA2 Certified - Wi-Fi Protected Access/ Xác thực bảo vệ truy nhập Wi-Fi theo Wi-Fi Alliance) giải pháp khác mang tên VPN Fix giúp tăng cường bảo mật mạng không dây 4.1 VPN (Virtual Private Network) Fix Nhận yếu WEP, người sử dụng doanh nghiệp khám phá cách hiệu để bảo vệ mạng khơng dây WLAN mình, gọi VPN Fix Ý tưởng phương pháp coi người sử dụng WLAN người sử dụng dịch vụ truy cập từ xa Nhận yếu WEP, người sử dụng doanh nghiệp khám phá cách hiệu để bảo vệ mạng khơng dây WLAN mình, gọi VPN Fix Ý tưởng phương pháp coi người sử dụng WLAN người sử dụng dịch vụ truy cập từ xa Tuy nhiên, giải pháp khơng phải hồn hảo, VPN Fix cần lưu lượng VPN lớn cho tường lửa, cần phải tạo thủ tục khởi tạo cho người sử dụng Hơn nữa, IPSec lại không hỗ thiết bị có nhiều chức riêng thiết bị cầm tay, máy quét mã vạch Cuối cùng, quan điểm kiến trúc mạng, cấu hình theo VPN giải pháp tình khơng phải kết hợp với WLAN 4.2 GIẢI PHÁP BẢO MẬT BẰNG XÁC THỰC Một thật khám phá lỗi bảo mật mạng LAN không dây, ngành công nghiệp phải tốn nhiều cơng sức để giải tốn Một điều cần ghi nhớ cần phải đối diện với vấn đề: xác thực Trang 40 DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN bảo mật thông tin Xác thực nhằm đảm bảo chắn người sử dụng hợp pháp truy cập vào mạng Bảo mật giữ cho truyền liệu an tồn khơng bị lấy trộm đường truyền Một ưu điểm xác thực IEEE 802.1x sử dụng giao thức xác thực mở rộng EAP (Extensible Authentication Protocol) EAP thực sở tốt cho xác thực, sử dụng với vài giao thức xác thực khác Những giao thức bao gồm MD5, Transport Layer Security (TLS), Tunneled TLS (TTLS), Protected EAP (PEAP) Cisco”s Lightweight EAP (LEAP) Thật may mắn, lựa chọn giao thức xác thực cần vài yếu tố Trước hết, chế cần cung cấp cách xác thực, gọi xác thực qua lại, có nghĩa mạng xác thực người sử dụng người sử dụng xác thực lại mạng Điều quan trọng với mạng WLAN, hacker thêm điểm truy cập trái phép vào thiết bị mạng điểm truy cập hợp pháp để chặn thay đổi gói tin đường truyền liệu Và phương thức mã hóa MD5 khơng cung cấp xác thực qua lại nên khơng khuyến khích sử dụng 4.3 CHUẨN MÃ HÓA 802.11i HAY WPA2 Một giải pháp lâu dài sử dụng 802.11i tương đương với WPA2, chứng nhận Wi-Fi Alliance Chuẩn sử dụng thuật toán mã hoá mạnh mẽ gọi Chuẩn mã hoá nâng cao AES (Advanced Encryption Standard) AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, 192 bit 256 bit Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia Chuẩn Công nghệ Mĩ, NIST (National Institute of Standards and Technology), thông qua thuật toán mã đối xứng Và chuẩn mã hố sử dụng cho quan phủ Mĩ để bảo vệ thông tin nhạy cảm Trong AES xem bảo mật tốt nhiều so với WEP 128 bit 168 bit DES (Digital Encryption Standard) Để đảm bảo mặt hiệu năng, q trình mã hóa cần thực thiết bị phần cứng tích hợp vào chip Tuy nhiên, card mạng WLAN điểm truy cập có hỗ trợ mã hóa Trang 41 DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN phần cứng thời điểm Hơn nữa, hầu hết thiết bị cầm tay Wi – Fi máy qt mã vạch khơng tương thích với chuẩn 802.11i 4.4 WPA (Wi-Fi Protected Access) Nhận thấy khó khăn nâng cấp lên 802.11i, Wi-Fi Alliance đưa giải pháp khác gọi Wi-Fi Protected Access (WPA) Một cải tiến quan trọng WPA sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol) WPA sử dụng thuật toán RC4 WEP, mã hoá đầy đủ 128 bit Và đặc điểm khác WPA thay đổi khoá cho gói tin Các cơng cụ thu thập gói tin để phá khố mã hố khơng thể thực với WPA Bởi WPA thay đổi khoá liên tục nên hacker không thu thập đủ liệu mẫu để tìm mật Khơng thế, WPA cịn bao gồm kiểm tra tính tồn vẹn thơng tin (Message Integrity Check) Vì vậy, liệu bị thay đổi đường truyền Một điểm hấp dẫn WPA không yêu cầu nâng cấp phần cứng Các nâng cấp miễn phí phần mềm cho hầu hết card mạng điểm truy cập sử dụng WPA dễ dàng có sẵn Tuy nhiên, WPA không hỗ trợ thiết bị cầm tay máy quét mã vạch Theo Wi-Fi Alliance, có khoảng 200 thiết bị cấp chứng nhận tương thích WPA WPA có sẵn lựa chọn: WPA Personal WPA Enterprise Cả lựa chọn sử dụng giao thức TKIP, khác biệt khoá khởi tạo mã hố lúc đầu WPA Personal thích hợp cho gia đình mạng văn phịng nhỏ, khố khởi tạo sử dụng điểm truy cập thiết bị máy trạm Trong đó, WPA cho doanh nghiệp cần máy chủ xác thực 802.1x để cung cấp khoá khởi tạo cho phiên làm việc Trong Wi-Fi Alliance đưa WPA, coi loại trừ lỗ hổng dễ bị công WEP, người sử dụng không thực tin tưởng vào WPA Có lỗ hổng WPA lỗi xảy với WPA Personal Khi mà sử dụng hàm thay đổi khoá TKIP sử dụng để tạo khoá mã hoá bị phát hiện, hacker đốn khố khởi tạo phần mật khẩu, họ xác định tồn mật khẩu, giải mã liệu Tuy nhiên, lỗ hổng bị loại bỏ cách sử dụng khố khởi tạo khơng dễ đốn (đừng sử dụng từ “PASSWORD” để làm mật khẩu) Trang 42 DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN CHƯƠNG V: QUY TRÌNH THIẾT KẾ MỘT MẠNG KHƠNG DÂY AN TỒN BẢO MẬT Xây dựng mạng khơng dây tịa nhà tầng phục vụ cho cơng việc, đảm bảo tính bảo mật 5.1 KHẢO SÁT MƠ HÌNH MẠNG KHƠNG DÂY TRONG TỊA NHÀ Mơ hình cơng ty gồm tầng: Tầng 1: tiền sảnh lớn phòng họp, nơi tập trung đối tác làm ăn Yêu cầu: có Access point phục vụ việc truy cập, máy chiếu, máy Print Tầng 2: phòng thuộc phận kế tốn phịng kỹ thuật phịng có cáp UTP cat5e Yêu cầu: có 10 PC dùng cáp chuẩn 100Base T Fast Ethernet, thiết bị Print, scan Tầng 3: phòng kinh doanh thiết kế cơng ty u cầu: có 20 PC Access point, máy Print, scan 5.2 PHÂN TÍCH YÊU CẦU MƠ HÌNH MẠNG KHƠNG DÂY BẢO MẬT Ở em đưa mơ hình mạng khơng dây bảo mật tốt nên không trọng vào khâu khảo sát hay bảo trì Chỉ tập trung vào mơ hình cài đặt cấu hình thiết bị để bảo đảm bảo mật Mạng máy tính kết hợp có dây khơng dây có băng thông đủ để khai thác hiệu ứng dụng, sở liệu tổ chức Như vậy, mạng xây dựng tảng công nghệ truyền dẫn tốc độ cao Ethernet/FastEthernet/GigaEthernet công nghệ không dây Đây mơ hình mạng khơng dây tương đối gồm máy chủ dịch vụ sở liệu, web server, máy chủ điều khiển miền… Hệ thống thiết bị chuyển mạch( Router, Switch ), điểm truy cập mạng khơng dây (Access point) Mơ hình mạng kết hợp mơ hình phân cấp mơ hình an tồn Trang 43 DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN Mạng cần đảm bảo an ninh an toàn cho toàn thiết bị nội trước truy nhập trái phép mạng từ truy nhập gián tiếp có mục đích phá hoại hệ thống Mạng bảo vệ firewall, access point cấu hình để ngăn chặn công truy nhập trái phép WLAN cấu thành switch chuyển mạch tốc độ cao hạng chế tối thiểu xung đột liệu truyền tải Mạng WLAN sử dụng chuẩn không dây 802.11g 5.3 THIẾT KẾ MƠ HÌNH MẠNG KHƠNG DÂY BẢO MẬT Mơ hình mạng WLAN bao gồm lớp: lớp mạng máy chủ nội lớp mạng truy cập Hình 5-1 – Mơ hình logic mạng WLAN bảo mật Trang 44 DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN Hình 5-2 – Mơ hình WLAN tịa nhà công ty 5.3.1 Lớp mạng máy chủ nội Lớp mạng máy chủ nội có nhiệm vụ quản lý toàn hệ thống mạng bao gồm máy server phục vụ cho yêu cầu công việc công ty: Database Server, Web Server Domain Server, chuyển mạch trung tâm tốc độ cao, Switch phân tán, modem kết nối internet Hệ thống chuyển mạch bao gồm router có khả xử lý tốc độ cao có cấu trúc phân thành lớp lớp phân tán (Distribution) lớp truy cập (Access), băng thông lớn có khả xử lý đến hàng trăm triệu bit/giây tăng cường bảo mật cho phân đoạn bảo mật riêng rẽ Switch phân tán Switch Layer có tác dụng chuyển lưu lượng qua lại switch truy cập Access point Bất kỳ switch truy cập kết nối vào Switch phân tán đảm bảo cung cấp băng thơng cho tồn máy tính kết nối đến Trang 45 DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN Hệ thống máy chủ nội nằm tách rời phân đoạn mạng Lan cho phép bảo mật tốt quản trị tập trung Ví dụ: Khi có phịng ban khơng cần truy cập vào máy chủ nội switch phân phối ngăn cản khơng cho liên lạc phân đoạn mạng Lan với phân đoạn mạng dành cho máy chủ nội người quản trị có khả cho phép hoạt động qua lại Lan siết chặt an ninh, hạn chế truy cập với phân mạng quan trọng 5.3.2 Lớp mạng truy cập Lớp mạng truy cập bao gồm Switch truy cập Access Point Switch truy cập cho máy tính đường kết nối vào mạng liệu Sử dụng công nghệ 10/100 Base TX FastEthernet đáp ứng mục tiêu cung cấp số lượng truy cập lớn cho phép mở rộng số lượng người truy cập tương lai Các Switch truy cập kết nối với Switch phân phối để tập trung lưu lượng thông qua Switch phân phối Lớp mạng truy cập có nhiệm vụ cho người sử dụng cuối truy nhập vào mạng WLAN gồm switch layer với 24 port đặt phịng kế tốn nằm tầng phòng kinh doanh tầng Và access point WAP – 4000A đặt tầng nằm vị trí phát sóng tốt Mạng WLAN bảo vệ tường lửa giải pháp bảo mật access point WEP, WPA nhiều giải pháp khác tùy theo mức độ giới thiệu Phần II 5.4 Lắp đặt cấu hình mạng khơng dây Trong q trình triển khai mạng khơng dây việc xác định vị trí lắp đặt access point yếu tố quan trọng định đến tốc độ ổn định mạng 5.4.1 Triển khai access point Điều quan trọng việc triển khai lắp đặt AP lắp đặt AP cho phải đủ gần để cung cấp phạm vi rộng phải đủ xa để AP không gây nhiễu lần Khoảng cách thực tế AP phụ thuộc vào kết hợp kiểu AP (kiểu ăng-ten AP cấu trúc xây dựng tòa nhà) nguồn làm giảm, chặn phản hồi tín hiệu Nên cố gắng giữ tỷ lệ trung bình tốt máy trạm tới AP, tức không để AP phục vụ nhiều máy trạm AP lại phục vụ vài máy trạm Trang 46 DTU ĐẠI HỌC DUY TÂN KHOA CƠNG NGHỆ THƠNG TIN lượng trung bình người dùng kết nối tới AP lớn hiệu truyền liệu thấp Quá nhiều máy khách sử dụng AP làm giảm lưu lượng mạng, hiệu băng thông cho máy khách Nếu cấu hình hoạt động AP kênh cụ thể card mạng khơng dây tự động cấu hình theo kênh AP với tín hiệu mạnh Do vậy, để giảm bớt giao thoa AP chuẩn 802.11b, phải cấu hình cho AP có vùng phủ sóng chồng lên kênh riêng biệt Việc lựa chọn vị trí đặt AP phụ thuộc vào cấu trúc tịa nhà, vật cản…Việc thay đổi truyền phát tín hiệu làm biến dạng vùng thể tích phạm vi lý tưởng qua việc ngăn chặn, phản hồi & suy giảm tần số radio (giảm cường độ tín hiệu) ảnh hưởng đến cách bạn triển khai AP 5.4.2 Cấu hình access point chế độ AP mode với mã hóa WEP Có mode mà access point cấu hình: + AP mode + Reapearter mode + Brigde mode Ở mạng ta cần cấu hình access point WAP – 4000A theo AP mode Thông thường cấu hình thơng qua giao diện Web Browser, thơng số mặc định WAP – 4000A là: IP address: 192.168.1.1 Subnet mask: 255.255.255.0 Default gateway: 192.168.1.1 Ta cần thiết lập địa IP máy trùng với địa IP WAP – 4000A Bước 1: Vào Web Browser gõ địa : http://192.168.1.1 cửa sổ xuất đăng nhập với user:admin password:admin Bước 2: Trong trang web cấu hình chọn Basic Settings.Màn hình giao diện sau: Trang 47 DTU ĐẠI HỌC DUY TÂN KHOA CƠNG NGHỆ THƠNG TIN Hình 5-3 – Giao diện cấu hình WAP – 4000A Bước 3: Đặt tên cho WAP – 4000A SSID cho mạng không dây bạn AP Name SSID Chọn loại hình bảo mật mã code truy cập phần Authentication Ở ta đặt mạng không dây tên Neo kênh với mã hóa bảo mật WEP 64bit, mật 123456 Hình 5-4 – Cấu hình tên chức chứng thực(bảo mật) Bước 4: Nhấn Apply để lưu cấu hình vừa thay đổi Bước 5: Trong trang Web cấu hình chọn tiếp Advance Setup Trang 48 DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THƠNG TIN Hình 5-5 – Cấu hình chế độ AP mode cho WAP – 4000A Bước 6: Chọn chế độ AP Các thông số khác mặc định Nhấn Apply để lưu lại cấu hình Như ta cấu hình cài đặt xong AP để phục vụ mạng khơng dây, tiếp tục cấu hình AP cịn lại Một máy server mạng cài DHCP server có nhiệm vụ cấp IP cho máy mạng máy truy cập AP Các Switch layer layer cấu hình đảm bảo máy mạng khác mơ hình mạng thơng 5.4.3 Cài đăth, cấu hình máy mạng a Đối với máy server: Bao gồm máy server: Database Server, Web Server, Domain Server cài đặt windows server 2003 quyền cài dịch vụ theo server để phục vụ tốt cơng việc Database Server có nhiệm vụ lưu trữ liệu cơng ty, có nhiệm vụ backup liệu ngày, định kỳ…sử dụng MySQL Trang 49 DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN Web Server có nhiệm vụ lưu trữ website công ty với tên miền mua, để dễ dàng cho việc kinh doanh công ty Ở ta sử dụng web server Apache kết hợp tốt với MySQL PHP Domain Server máy chủ điều khiển miền chứa tất user, group nhân viên cơng ty Đảm bảo trì hệ thống mạng công ty hoạt động ổn định bảo mật với sách áp dụng Các nhân viên phòng ban Domain Server tạo user add vào group chia sẻ tài liệu để thuận tiện công việc b Đối với máy client: Đa số nhân viên công ty sử dụng máy laptop có nhân viên phịng kế toán sử dụng máy để bàn nên máy client cài windows XP SP2 kết nối đên domain hệ thống mạng Với nhân viên sử dụng laptop linh hoạt mạng WLAN theo kiểu client/server Bảng giá thiết bị tòa nhà Thiết bị Computer (Host) Server Router Switch Printer Cable Access point u cầu Cấu hình laptop Cấu hình văn phịng Server Web server Database Server Định tuyến tốc độ cao port Switch-layer 16 port Switch truy cập - 24 port LaserJet LaserJet mạng RJ45-ADC - tích hợp Switch Lan port 10/100Mbps - tích hợp firewall hỗ trợ bảo mật WEP, WPA Số lượng 10 30 Giá thành 999$ 400$ Tổng cộng 9.990$ 12.000$ 1 1 1300$ 1300$ 1300$ 800$ 1300$ 1300$ 1300$ 800$ 700$ 700$ 110$ 2.200$ 10 1000m 220$ 440$ 87$/thùng 60$ 2.200$ 2.200$ 348$ 180$ Trang 50 DTU ĐẠI HỌC DUY TÂN KHOA CÔNG NGHỆ THÔNG TIN Trang 51 ... thấy vấn đề mạng không dây tương quan vấn đề so với mạng có dây, tơi xin đưa số tiêu chí so sánh giải pháp mạng có dây mạng khơng dây 1.4.1 Phạm vi ứng dụng Mạng có dây Mạng khơng dây - Có thể... động mạng Ethernet - 802.4: mạng Token Bus - 802.5: mạng Token Ring - 802.6: mạng MAN - 802.7: mạng LAN băng rộng - 802.8: mạng quang - 802.9: dịch vụ luồng liệu - 802.10: an ninh mạng LAN -... tuyến mạng Hai mạng có dây kết nối với kết nối không dây Trang 10 DTU ĐẠI HỌC DUY TÂN KHOA CƠNG NGHỆ THƠNG TIN Hình 1-4: Mơ hình mạng có dây kết nối với kết nối không dây Kết nối không dây đầu mạng