Đồ án tốt nghiệp Đại Học Lời nói đầu TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ =====  ===== ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: BẢO MẬT TRONG MNG WIRELESS LAN Giáo viên h-ớng dẫn: Th.S Nguyn Trng Khánh Sinh viªn thùc hiƯn : Nguyễn Sỹ Đức Líp : 46K - Điện tử viễn thông Vinh 05 -2010 SVTH: Nguyễn Sỹ Đức Đồ án tốt nghiệp Đại Học Lời nói đầu LỜI NĨI ĐẦU Ngày khoa học công nghệ đặc biệt công nghệ thông tin viễn thông phát triển vô mạnh mẽ Thành tựu mà đem lại ứng dụng nhiều đời sống Những thiết bị cơng nghệ cao máy tính xách tay, máy tính bỏ túi, điện thoại di động… Đã khơng cịn xa lạ phần thiếu sống đại Cùng với hệ thống mạng viễn thông thiết bị kết nối người toàn giới lại với Xuất phát từ yêu cầu mở rộng Internet để thân thiện với người sử dụng, mạng cục không dây (Wirelees LAN) nghiên cứu triển khai ứng dụng thực tế Mạng không dây mang lại cho người dùng tiện lợi tính động, khơng phụ thuộc vào dây nối người dùng mạng khơng dây truy cập mạng vị trí miễn nơi có điểm truy nhập Tuy nhiên, mạng không dây tồn nguy lớn bảo mật, lỗ hổng cho phép hacker xâm nhập vào hệ thống để ăn cắp thơng tin hay phá hoại Vì nghiên cứu triển khai ứng dụng công nghệ Wirelees LAN, người ta đặc biệt quan tâm tới tính bảo mật, an tồn thơng tin Từ u cầu đó, đề tài “Bảo mật mạng Wirelees LAN” hướng tới nghiên cứu bảo mật cho Wirelees LAN, giải pháp để xây dựng mạng Wirelees LAN an toàn hiệu Nội dung đồ án gồm chương: Chương 1: Giới thiệu mạng Wirelees LAN Chương 2: Các tiêu kỹ thuật mạng Wirelees LAN Chương 3: Tổng quan bảo mật mạng Wirelees LAN Chương 4: Phân loại an ninh mạng máy tính Wirelees LAN Chương 5: Mơ bảo mật mạng Wirelees LAN Em xin chân thành cảm ơn thầy giáo Th.s Nguyễn Trọng Khánh giúp đỡ em nhiệt tình suốt trình làm đồ án xin cảm ơn Thầy, Cô khoa Cơng Nghệ, bạn góp ý, giúp đỡ em hồn thành đồ án Vì đề tài mới, nguồn tài liệu chủ yếu tiếng Anh, nên đồ án SVTH: Nguyễn Sỹ Đức Đồ án tốt nghiệp Đại Học Lời nói đầu em chắn khơng tránh sai sót, em mong nhận ý kiến đóng góp thầy cô bạn Vinh, ngày.….tháng.… năm 2010 Sinh viên thực Nguyễn Sỹ Đức SVTH: Nguyễn Sỹ Đức Đồ án tốt nghiệp Đại Học Mục lục MỤC LỤC LỜI NÓI ĐẦU MỤC LỤC DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU 10 THUẬT NGỮ TỪ VIẾT TẮT 11 Phần Tổng quan mạng Wirelees LAN 15 Chương Giới thiệu mạng Wirelees LAN 15 1.1 Wirelees LAN gì? 15 1.2 Lịch sử đời 15 1.3 Các ứng dụng mạng Wirelees LAN 17 1.4 Ưu nhược điểm mạng Wirelees LAN 18 1.4.1 Ưu điểm Wirelees LAN 18 1.4.2 Nhược điểm Wirelees LAN 19 1.5 Nguyên tắc hoạt động mạng Wirelees LAN 19 1.5.1 Cấu hình quản lí AP 21 1.5.2 Các cấu hình mạng Wirelees LAN 22 1.5.2.1 Mạng ngang hàng 22 1.5.2.2 Mạng khách hàng điểm truy nhập(Access point) 22 1.5.2.3 Mạng nhiều điểm truy cập Roaming 23 1.5.2.4 Mạng sử dụng mạng mở rộng 24 1.5.2.5 Mạng sử dụng anten định hướng 24 1.6 Các thiết bị máy khách Wirelees LAN 25 1.6.1 Anten 25 1.6.2 Bộ khuếch đại sóng/Booster 26 1.6.3 Card PCI Wirelees 26 1.6.4 Card PCMCIA Wirelees 26 1.6.5 Card USB Wirelees 27 1.7 Phương pháp lắp đặt Wireless Lan 27 1.8 Làm cho thứ hoạt động 28 SVTH: Nguyễn Sỹ Đức Đồ án tốt nghiệp Đại Học Mục lục Chương Các tiêu kỹ thuật mạng Wireless LAN 29 2.1 Kỹ thuật trải phổ (Spread Spectrum) 29 2.2 Công nghệ trải phổ nhảy tần (Frequency Hopping pread Spectrum) 29 2.3 Công nghệ trải phổ chuỗi trực tiếp (Direct Sequence Spread Spectrum) 30 2.4 Công nghệ băng hẹp (narrowband) 31 2.5 Công nghệ hồng ngoại ( Infrared ) 31 2.6 Các kênh 802.11 31 2.7 Các chuẩn mạng Wirelees LAN 36 2.7.1 Nhóm lớp vật lý PHY 37 2.7.1.1 Chuẩn 802.11b 37 2.7.1.2 Chuẩn 802.11a 37 2.7.1.3 Chuẩn 802.11g 37 2.7.2 Nhóm lớp liên kết liệu MAC 38 2.7.2.1 Chuẩn 802.11d 38 2.7.2.2 Chuẩn 802.11e 38 2.7.2.3 Chuẩn 802.11f 38 2.7.2.4 Chuẩn 802.11h 38 2.7.2.5 Chuẩn 802.11i 39 2.7.2.6 Chuẩn 802.11 n 39 2.8 Các tiêu kĩ thuật xây dựng mạng Wirelees LAN 39 2.8.1 Phạm vi/Vùng phủ sóng 39 2.8.2 Tách kênh 40 2.8.3 Xác đinh vật cản xung quanh 40 2.8.4 Xác định nguồn giao thoa 40 2.8.5 Xác định số lượng AP 41 2.8.6 Lưu lượng 41 2.8.7 Sự toàn vẹn độ tin cậy 41 2.8.8 Khả kết nối với sở hạ tầng mạng nối dây 42 2.9 Khả kết nối với sở hạ tầng mạng không dây 42 2.10 Phạm vi nghiên cứu đồ án 42 Phần Bảo mật mạng Wireless LAN 43 SVTH: Nguyễn Sỹ Đức Đồ án tốt nghiệp Đại Học Mục lục Chương Tổng quan bảo mật mạng Wireless 43 3.1 Khái niệm bảo mật mạng Wirelees LAN 43 3.2 Đánh giá vấn đề an toàn, bảo mật hệ thống 43 3.3 Đánh giá phương diện vật lý 43 3.3.1 An toàn thiết bị 43 3.3.2 An toàn liệu 44 3.4 Đánh giá phương diện logic 44 3.4.1 Tính bí mật, tin cậy (Condifidentislity) 44 3.4.2 Tính xác thực (Authentication) 44 3.4.3 Tính tồn vẹn (Integrity) 45 3.4.4 Không thể phủ nhận (Non repudiation) 45 3.4.5 Khả điều khiển truy nhập (Access Control) 45 3.4.6 Tính khả dụng, sẵn sàng (Availability) 46 3.5 Các loại hình cơng vào mạng 46 3.5.1 Theo tính chất xâm hại thông tin 46 3.5.2 Theo vị trí mạng bị công 46 3.5.3 Theo kỹ thuật công 47 3.5.4 Điểm lại số kiểu công mạng Wirelees LAN 47 3.6 Đảm bảo an ninh mạng 48 3.6.1 Các biện pháp bảo vệ 48 3.6.2 Quy trình xây dựng hệ thống thơng tin an toàn 49 3.6.2.1 Đánh giá lập kế hoạch 49 3.6.2.2 Phân tích hệ thống thiết kế 49 3.6.2.3 Áp dụng vào thực tế 49 3.6.3 Các biện pháp công cụ bảo mật hệ thống 50 3.6.3.1 Kiểm soát truy nhập 50 3.6.3.2 Kiểm soát xác thực người dùng (Authentication) 50 3.6.3.3 Bảo vệ hệ điều hành 50 3.6.3.4 Phòng chống người dùng mạng 51 3.6.3.5 Kiểm soát nội dung thông tin 51 3.6.3.6 Mã hoá liệu 51 SVTH: Nguyễn Sỹ Đức Đồ án tốt nghiệp Đại Học Mục lục 3.6.3.7 Xác nhận chữ ký điện tử 51 Chương Phân loại an ninh mạng máy tính Wireless LAN 53 4.1 Phân loại an ninh mạng máy tính Wirelees LAN theo tính chất cơng 53 4.1.1 Tấn công bị động – Passive attacks 53 4.1.2 Kiểu công bị động cụ thể - Phương thức bắt gói tin (Sniffing) 53 4.1.3 Tấn cơng chủ động – Active attacks 56 4.1.3.1 Mạo danh, truy cập trái phép 57 4.1.3.2 Tấn công từ chối dịch vụ - DOS 57 4.1.4 Tấn công cưỡng đoạt điều khiển sửa đổi thông tin – Hijacking and Modification 60 4.1.5 Dò mật từ điển – Dictionary Attack 61 4.1.6 Tấn công kiểu chèn ép - Jamming attacks 62 4.1.7 Tấn công theo kiểu thu hút - Man in the middle attacks 63 4.2 Phân loại an ninh mạng máy tính Wirelees LAN theo nguyên lý hoạt động 64 4.2.1 Một số khái niệm 64 4.2.2 Chứng thực - Authentication 64 4.2.3 Phê duyệt – Authorization 64 4.2.4 Kiểm tra – Audit 64 4.2.5 Mã hóa liệu – Data Encryption 64 4.2.6 Chứng thực địa MAC – MAC Address 65 4.2.7 Chứng thực SSID 67 4.2.8 Chuẩn chứng thực 802.1x 70 4.2.9 Nguyên lý RADIUS Server 71 4.3 Phương thức chứng thực mã hóa 73 4.3.1 Phương thức chứng thực mã hóa WEP 73 4.3.1.1 Giới thiệu 73 4.3.1.2 Phương thức chứng thực 73 4.3.1.3 Phương thức mã hóa 74 4.3.1.4 Mã hóa truyền 75 4.3.1.5 Giải mã hóa nhận 76 4.3.1.6 Biểu diễn tốn học quy trình mã hóa giải mã WEP 77 SVTH: Nguyễn Sỹ Đức Đồ án tốt nghiệp Đại Học Mục lục 4.3.1.7 Các ưu, nhược điểm WEP 78 4.3.2 Phương thức chứng thực mã hóa WPA 79 4.3.2.1 Giới thiệu 79 4.3.2.2 Thiết lập khóa bảo mật 80 4.3.2.3 Chứng thực người dùng 82 4.3.2.4 Tính bảo mật 84 4.3.2.5 L hổng WPA 84 4.3.3 Phương thức chứng thực mã hóa WPA2 85 4.3.3.1 Giới thiệu 85 4.3.3.2 Thiết lập khóa bảo mật 86 4.3.3.3 Chứng thực người dùng 86 4.3.3.4 Tính bảo mật 86 4.3.4 So sánh WEP WPA, WPA2 88 Chương Mô bảo mật mạng Wireless LAN 90 5.1 Giới thiệu phần mềm mô 90 5.2 Các bước thiết lập mô 91 5.2.1 Các thiết bị sử dụng mô 91 5.2.2 Cấu hình lệnh cho thiết bị 91 5.2.2.1 Router ISP (Internet Service provide) 91 5.2.2.2 Router Đại Học Vinh 93 5.2.2.3 Wireless Router 94 5.2.2.4 Thiết lập IP Wireless Router 94 5.3 Mơ hình thức bảo mật 95 5.3.1 Sử dụng từ khóa SSID 96 5.3.2 Sử dụng khóa bảo mật mã hóa WEP, WPA, WPA2 96 TỔNG KẾT 97 TÀI LIỆU THAM KHẢO 98 SVTH: Nguyễn Sỹ Đức Đồ án tốt nghiệp Đại Học Danh mục hình vẽ - Bảng biểu DANH MỤC HÌNH VẼ Hình 1.1 Các ứng dụng Wirelees LAN 17 Hình 1.2 Thiết bị Access Point 20 Hình 1.3 Mạng ngang hàng 22 Hình 1.4 Mạng khách hàng điểm truy nhập 23 Hình 1.5 Mạng nhiều điểm truy cập Roaming 23 Hình 1.6 Mạng sử dụng mạng mở rộng 24 Hình 1.7 Mạng sử dụng anten định hướng 25 Hình 1.8 Một vài kiểu Omni-directional thơng dụng 25 Hình 1.9 Card khơng dây chuẩn PCI 26 Hình 1.10 Card mạng khơng dây chuẩn PCMCIA 27 Hình 1.11 Card mạng không dây chuẩn USB 27 Hình 2.1 Trải phổ nhảy tần 29 Hình 2.2 Trải phổ trực tiếp 30 Hình 2.3 Các kênh 802.11 32 Hình 2.4 Kĩ thuật trải phổ theo tần số 32 Hình 2.5 Trải phổ kênh không trùng lặp 33 Hình 4.1 Tấn cơng chủ động 53 Hình 4.2 Phần mềm bắt gói tin Ethereal 55 Hình 4.3 Phần mềm thu thập thông tin hệ thống mạng khơng dây NetStumbler 55 Hình 4.4 Tấn cơng chủ động 56 Hình 4.5 Mơ tả q trình cơng DOS tầng liên kết liệu 59 Hình 4.6 Mơ tả q trình cơng mạng AP giả mạo 61 Hình 4.7 Mơ tả q trình cơng theo kiểu chèn ép 63 Hình 4.8 Mơ tả q trình cơng theo kiểu thu hút 63 Hình 4.9 Mơ tả q trình chứng thực địa MAC 66 Hình 4.10 Mơ tả trình chứng thực SSID 67 Hình 4.11 Giá trị SSID AP phát chế độ quảng bá 69 Hình 4.12 Giá trị SSID AP phát chế độ trả lời Client 70 Hình 4.13 Kiến trúc mạng 801.1X 71 SVTH: Nguyễn Sỹ Đức Đồ án tốt nghiệp Đại Học Danh mục hình vẽ - Bảng biểu Hình 4.14 Mơ hình chứng thực sử dụng RADIUS Server 72 Hình 4.15 Quá trình chứng thực sử dụng RADIUS Server 72 Hình 4.16 Mơ tả q trình chứng thực Client AP 74 Hình 4.17 Cài đặt mã khóa dùng chung cho WEP 75 Hình 4.18 Mơ tả q trình mã hoá truyền 75 Hình 4.19 Mơ tả q trình giải mã nhận 76 Hình 4.20 Mã hóa TKIP 82 Hình 4.21 EAP qua mạng LAN 83 Hình 4.22 Thuật tốn mã hóa AES 87 Hình 5.1 Giới thiệu ph ần mềm mô 90 Hình 5.2 Mơ hình thiết lập mơ 91 Hình 5.3 Xác thực Wireless Router 94 Hình 5.4 Thiết lập IP Wireless Router 95 Hình 5.5 Sử dụng từ khóa SSID 96 Hình 5.6 Sử dụng khóa bảo mật mã hóa WEP, WPA, WPA2 96 DANH MỤC BẢNG BIỂU Bảng 2.1 Thống kê phạm vi tần số 33 Bảng 4.1 SSID ngầm định nhà sản xuất AP 68 Bảng 4.2 So sánh WEP WPA 80 SVTH: Nguyễn Sỹ Đức 10 Chương Phân loại an ninh mạng máy tính Wireless LAN khóa gói Vì vậy, cần thiết chế để PMK lấy từ máy chủ xác thực cho AP an tồn 4.3.2.4 Tính bảo mật Như tìm hiểu phần trước bảo mật sử dụng WEP lỗ hổng mà dịng mã mơi trường dễ bị gói Để làm việc xung quanh vấn đề này, WEP thiết kế thay đổi mật mã cho gói Đơn giản cần tăng độ dài IV, nhiên, làm việc với WEP có tăng tốc phần cứng Hãy nhớ WEP gia tốc phần cứng mong đợi a 24-bit IV đầu vào để tiêp theo với khóa (40/104-bit) để tạo cho gói liệu quan trọng (64/128-bit) Phần cứng khơng thể nâng cấp để đối phó với 48-bit IV tạo mã khóa 88/156-bit 4.3.2.5 L hổng WPA Phiên PSK WPA bị xâm nhập theo cách công từ điển ngoại tuyến (offline dictionary attack) việc việc quảng bá thơng tin cần phải tạo kiểm tra khóa phiên Trong WPA, khóa PMK sinh cách sử dụng hàm đặt biệt dựa hai thông tin preshared pass phrase SSID Cả máy tính AP sử dụng PMK này, kết hợp với địa MAC số lần vào mạng để tạo PTK (session key) cài đặt máy tính lẫn AP.Chúng ta tìm hiểu cách tạo PMK PTK mã giả, PBKDF2 PRF-512 thuật tốn phát sinh khóa dựa khóa băm Nó băm 4096 lần có độ dài 256 bit Và ta biết, SSID lại dễ bị lấy cắp ta cần đốn passphrase để tìm PMK Trong thuật tốn kế tiếp, PTK sinh cách dùng lại kết PMK, người dùng dễ dàng tìm giá trị lại Bước trình bắt tay lần cung cấp Anonce AP_MAC bước thứ hai cung cấp Snonce Client MAC, chữ ký PTK sinh PTK tổng cộng chứa đến khóa: Key Confirmation Key (CKC), Key Encryption Key (KEK), Temporal Key 1, Temporal Key Sau nhận gói tin thứ trình bắt tay lần, client sinh PTK sử dụng thuật tốn MD5 dựa gói tin CKC EAP gửi Kết băm gắn vào gói tin EAP gửi mạng bước thứ Bây giờ, hacker tận dụng phần băm gói tin so sánh SVTH: Nguyễn Sỹ Đức 84 Chương Phân loại an ninh mạng máy tính Wireless LAN với kết băm mà đoán gói tin EAP mà hacker lắng nghe, passphrase dự đoán sinh kết hash giống chữ ký Kế tiếp, hacker lại lắng nghe gói tin EAPOL thực cơng từ điển ngoại tuyến Cách công thực người dùng đăng nhập vào mạng Do đó, trường hợp có máy tính bị rớt mạng trình thiết lập lại kết nối diễn ra, hacker thu thập gói liệu cần thiết để xâm nhập 4.3.3 Phương thức chứng thực mã hóa WPA2 4.3.3.1 Giới thiệu Một giải pháp lâu dài sử dụng 802.11i tương đương với WPA2, chứng nhận Wi-Fi Alliance Chuẩn sử dụng thuật toán mã hoá mạnh mẽ gọi Chuẩn mã hoá nâng cao AES AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, 192 bit 256 bit Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia Chuẩn Công nghệ Mĩ, NIST (National Institute of Standards and Technology), thơng qua thuật tốn mã đối xứng Và chuẩn mã hoá sử dụng cho quan phủ Mĩ để bảo vệ thơng tin nhạy cảm Trong AES xem bảo mật tốt nhiều so với WEP 128 bit 168 bit DES Để đảm bảo mặt hiệu năng, q trình mã hố cần thực thiết bị phần cứng tích hợp vào chip Tuy nhiên, card mạng Wirelees LAN điểm truy cập có hỗ trợ mã hố phần cứng thời điểm Hơn nữa, hầu hết thiết bị cầm tay Wi-Fi máy quét mã vạch khơng tương thích với chuẩn 802.11i Trong phần trước Wi-Fi bảo vệ truy cập (WPA) xác định Wi-Fi kết hợp, với mục tiêu tăng cường an ninh mạng có 802,11 cách thiết kế giải pháp triển khai với phần mềm đơn giản để nâng cấp, mà khơng cần nâng cấp phần cứng Nói cách khác, WPA giải pháp thiết kế theo chuẩn IEEE 802.11i Điều đề nghị bảo mật gọi bảo mật thiết thực mạng (RSN) đến biết đến giải pháp bảo mật 802.11i Wi-Fi liên minh tích hợp giải pháp đề xuất gọi WPA2 SVTH: Nguyễn Sỹ Đức 85 Chương Phân loại an ninh mạng máy tính Wireless LAN 4.3.3.2 Thiết lập khóa bảo mật WPA tập hợp IEEE 802.11i Nó thơng qua việc thành lập khóa, chìa khóa phân cấp kiến nghị xác thực 802.11i gần hoàn toàn Từ WPA2 tiêu chuẩn 802.11i nhau, trình thành lập khóa điều thường xảy máy trạm: Liên kết với AP kiến trúc phân cấp WPA WPA2 gần giống hệt Mặc dù vấn có số khác biệt Trong WPA2, khóa tương tự sử dụng cho mật mã bảo vệ tính tồn vẹn liệu Vì vậy, có số vấn đề quan trọng cần thiết WPA2 4.3.3.3 Chứng thực người dùng Cũng giống thành lập hệ thống phân cấp chính, WPA thơng qua kiến trúc chứng thực đặc biệt 802.11i Vì vậy, việc xác thực kiến trúc WPA WPA2 giống hệt 4.3.3.4 Tính bảo mật Trong phần này, nhìn vào chế bảo mật WPA2 (802.11i) Nhớ lại thuật toán mật mã sử dụng WEP RC4, thuật tốn mật mã dịng Một số yếu WEP bắt nguồn từ việc sử dụng thuật tốn mật mã dịng mơi trường truyền dẫn đồng Đó lý mà việc sử dụng thuật toán mật mã khối thiết kế theo chuẩn 802,11 Kể từ AES xem thuật toán mật mã khối an tồn nhất, lựa chọn hiển nhiên Đây việc tăng cường an ninh kể từ mật mã thuật toán nằm trung tâm việc cung cấp chứng thực người dùng Như tìm hiểu phần trước việc xác định thuật tốn mã hóa khơng đủ cho cung cấp bảo mật hệ thống Điều cần thiết để xác định phương thức hoạt động Với lí dẫn tới chứng thực người dùng 802.11i, AES sử dụng chế độ truy cập Số lượt truy cập chế độ thực tế sử dụng thuật toán mật mã khối thuật tốn mật mã dịng, kết hợp an ninh khối thuật toán mật mã với tính dễ sử dụng dịng mã Sử dụng chế độ truy cập đòi hỏi truy cập Số lượt truy cập bắt đầu thời điểm tùy ý, truy cập đơn giản hoạt động Tuy nhiên, nguồn gốc giá trị ban đầu truy cập từ giá trị lần thay đổi cho tin nhắn Các thuật toán mã hóa AES sau SVTH: Nguyễn Sỹ Đức 86 Chương Phân loại an ninh mạng máy tính Wireless LAN sử dụng để mật mã truy cập Khi thơng báo ban đầu đến, chia thành khối 128-bit khối XOR với 128 bit tương ứng dịng tạo mã Hình 4.22 Thuật tốn mã hóa AES Tốn học, q trình mã hóa biểu sau: Ci = Mi (+) Ek (i) i truy cập Bảo mật hệ thống nằm truy cập đầu vào Miễn giá trị truy cập khơng lặp lại với khóa, hệ thống an toàn Trong WPA2, điều đạt cách sử dụng chìa khóa cho phiên làm việc Để tóm tắt, tính bật AES chế độ truy cập sau: a Nó cho phép thuật tốn mật mã khối điều hành thuật toán mật mã dòng b Việc sử dụng chế độ truy nhập làm cho việc tạo dòng mã độc lập tin nhắn, cho phép dịng tạo trước thơng báo đến c Vì giao thức tự khơng tạo phụ thuộc mã hóa khối khác tin nhắn, khối khác tin nhắn mã hóa song song phần cứng có dãy mã hóa AES d Kể từ q trình giải mã xác giống mã hoá, thiết bị cần để thực khối mã hóa AES SVTH: Nguyễn Sỹ Đức 87 Chương Phân loại an ninh mạng máy tính Wireless LAN e Kể từ chế độ truy cập khơng địi hỏi thơng điệp chia thành số xác khối, độ dài văn mã hóa xác giống độ dài tin nhắn văn trước Lưu ý rằng: chế độ truy cập AES cung cấp cho chứng thực người dùng tin nhắn toàn vẹn tin nhắn Ngoài ra, kể từ mã hóa quy trình bảo vệ tồn vẹn quan hệ chặt chẽ với PA2/802.11i 4.3.4 So sánh WEP WPA, WPA2 WPA phát triển để bù lại lỗi WEP giao thức bảo mật tốt Không WEP, WPA dùng Vector 48-bit từ khoá mã 128-bit Quan trọng WPA dùng giao thức TKIP WEP sử dụng lại từ khoá để mã hoá tất gói liệu truyền mạng, TKIP WPA thay đổi khoá mã thời điểm gói liệu truyền Điều lại kết hợp với sử dụng từ khoá dài khiến cho Hacker khơng thể có kịp thời gian để xâm nhập vào gói truyền liệu Chuẩn WPA2 cập nhật từ năm 2004 với tính WPA hỗ trợ từ phía phủ Mỹ sử dụng giao thức mã hoá gọi AES Bây AES dùng với WPA phụ thuộc vào phần mềm hệ thống Router Không WPA, WPA2 lại khơng tương thích ngược Những Router cũ có khả mã hố WPA với TKIP khơng thể dùng WPA2 WPA2 lại tương thích AES TKIP Nếu có khả bạn nên thay WPA WPA2 Có hai mức độ an ninh bên WPA WPA2 WPA Personal ( WPA-PSK ) WPA Enterprise.WPA-Personal dùng khóa xác nhận chia xẻ trước tất hệ thống mạng Điều có nghĩa mạng ẩn chứa việc dễ bị xâm nhập công “dựa từ điển” Password sử dụng không đủ mạnh Những mạng gia đình khơng q lo lắng điều bạn khơng làm lộ bí mật từ khoá.WPA Enterprise dùng cho máy chủ RADIUS riêng biệt Trong trường hợp thiết bị muốn truy cập tới Access Point phải có yêu cầu kiểm tra chứng nhận riêng biệt AP chuyển yêu cầu thơng tin kết hợp tới máy chủ RADIUS SVTH: Nguyễn Sỹ Đức 88 Chương Phân loại an ninh mạng máy tính Wireless LAN Máy chủ RADIUS kiểm tra chứng nhận liệu lưu trữ cho phép người dùng truy cập từ chối phản hồi lại thông tin khác Password thứ hai nguồn tương đương Những máy chủ RADIUS thông thường dành riêng cho khai thác mơi trường xí nghiệp, chúng cung cấp thêm hai mức độ bảo vệ tăng mức độ điều khiển tài nguyên hệ thống mạng cho người sử dụng Như nằm ngồi phạm vi sử dụng máy tính gia đình Tóm lại hiểu cách đầy đủ thuật ngữ muốn cấu hình chế độ bảo mật dùng giao thức WPA kết hợp với từ khố mạnh WPA2 dựa AES an tồn WPA dựa TKIP hai giải pháp an toàn hẳn so với WEP Thực tế dễ dàng để bảo mật mạng không dây Bạn không cần thời gian để cấu hình địa MAC tay Disable DHCP mà cần cho phép chuẩn mã hố phù hợp nhanh chóng, dễ dàng hiệu tốt WPA2 (AES ) phương pháp mã hoá tốt nay, WPA2 (TKIP), WPA (AES), WPA (TKIP) WEP Bất kì Router có WPA đủ để bảo vệ dùng WEP mà phải dùng đến mà khơng cịn biện pháp khác cịn truyền liệu mà khơng bảo vệ SVTH: Nguyễn Sỹ Đức 89 Chương Mô bảo mật mạng Wireless LAN Chương Mô bảo mật mạng Wireless LAN 5.1 Giới thiệu phần mềm mơ Hiện có nhiều phần mềm tạo LAB ảo sử dụng để giúp đỡ trình học tìm hiểu thiết bị mạng Cisco Theo yêu cầu việc cần dùng phần mềm tiện trình mơ mơ hình mạng cụ thể Dưới em xin giới thiệu cách sử dụng phần mêm cách cụ thể với phiên Packet Tracer 5.2 Packet Tracer phần mềm tiện dụng cho bước đầu vào khám phá, xây dựng cấu hình thiết bị Cisco, có giao diện trực quan với hình ảnh giống thiết bị thật, nhìn thấy port module, thay đổi module chúng module cần thiết để thay thế, chọn loại cab cho phù hợp với kết nối Chúng ta thấy gói tin truyền đường truyền Đặc biệt với cấu hình lệnh thiết bị ảo hồn tồn tương thích với câu lệnh thực thi thiết bị thật Thiết bị Router Thiết bị Switch Thiết bị Hub Thiết bị Wireless Các loại Cab nối Các loại máy tính Hình 5.1 Giới thiệu ph ần mềm mô SVTH: Nguyễn Sỹ Đức 90 Chương Mô bảo mật mạng Wireless LAN 5.2 Các bước thiết lập mô 5.2.1 Các thiết bị sử dụng mô + Router + Switch +Wireless Router + Server +Laptop Hình 5.2 Mơ hình thiết lập mơ 5.2.2 Cấu hình lệnh cho thiết bị 5.2.2.1 Router ISP (Internet Service provide) Đây Router nhà cung cấp dịch vụ, ví dụ nhà cung cấp dịch vụ Viettel Ví dụ em đưa nhà cung cấp dịch vụ cho trường Đại Học Vinh thuê địa Public với địa 192.168.1.0/29.Với địa dùng cho ứng dụng khác Với mơ hình Khoa Công Nghệ cấp địa Public để thông Internet Cấu hình lệnh cho Router ISP Router>enable // Chuyển người dùng từ chế độ cấu hình User vào chế độ cấu hình Privileged Router#configure terminal // Chuyển người dùng vào chế độ Global Configuration Với chế độ bạn bắt đầu cấu hình thay đổi cho router SVTH: Nguyễn Sỹ Đức 91 Chương Mô bảo mật mạng Wireless LAN Router(config)#interface FastEthernet0/0 // Lệnh dùng để vào cổng F0/0 để cấu hình địa IP Router(config-if)#ip address 172.16.1.1 255.255.0.0 Router(config-if)#no shutdown Router(config)#hostname ISP // Đặt tên cho Router ISP(config)#enable secret 12345 // Thiết lập Password ISP(config)#line console // Cho phép kiểm tra password login vào router port console ISP(config-line)#password 12345 ISP(config-line)#login ISP(config-line)#exit ISP(config)#line vty 15 // Cho phép kiểm tra password người dùng telnet vào router ISP(config-line)#password 12345 ISP(config-line)#login ISP(config-line)#exit ISP(config)#interface f0/0 // Vào cổng F0/0 để đặt địa ISP(config-if)#ip address 172.16.1.1 255.255.0.0 ISP(config-if)#no shutdown ISP(config-if)#description ISP connect to Dai Hoc Vinh // Mô tả kết nối trực tiếp với ISP ISP(config-if)#exit ISP(config)#ip route 192.168.1.1 255.255.255.248 172.16.1.2 // câu lệnh định tuyến tĩnh ISP#copy running-config startup-config // Lưu cấu hình vào NVRAM Destination filename [startup-config]? Building configuration [OK] ISP# SVTH: Nguyễn Sỹ Đức 92 Chương Mô bảo mật mạng Wireless LAN 5.2.2.2 Router Đại Học Vinh Cấu hình lệnh cho Router Đại Học Vinh Router>enable Router# Router#conf t Enter configuration commands, one per line End with CNTL/Z Router(config)#hostname DHV DHV(config)#enable secret 12345 DHV(config)#line console DHV(config-line)#password 12345 DHV(config-line)#login DHV(config-line)#exit DHV(config)#line vty 15 DHV(config-line)#password 12345 DHV(config-line)#login DHV(config-line)#exit DHV(config)#interface f0/0 DHV(config-if)#ip add 172.16.1.2 255.255.0.0 DHV(config-if)#description DHV connect to ISP and LAN DHV DHV(config-if)#exit DHV(config)#interface f0/1 DHV(config-if)#ip add 192.168.1.1 255.255.255.248 DHV(config-if)#no shutdown DHV(config-if)#exit DHV(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1// Lệnh dùng để định tuyến động DHV#cop running-config startup-config Destination filename [startup-config]? Building configuration [OK] DHV# SVTH: Nguyễn Sỹ Đức 93 Chương Mô bảo mật mạng Wireless LAN 5.2.2.3 Wireless Router Để thực cấu hình lệnh cho Wireless Router trước hết phải kết nối L1 vào Wireless Router Cab thẳng Sau vào cửa sổ trình duyệt WEB đánh địa IP vào (Địa địa Wireless Router), muốn bít địa sau kết nối xong, nên để L1 chế độ tự động nhận địa chỉ, địa cần tìm địa Default Gateway L1 Sau vào địa xong cửa sổ yêu cầu chứng thực xuất đánh: + User Name: admin + Password : admin Hình 5.3 Xác thực Wireless Router 5.2.2.4 Thiết lập IP Wireless Router Sau vào bên Wireless Router bắt đầu cấu hình cho Việc cấu hình cho Wireless Router cần ý: + Thiết lập địa IP cho Internet + Thiết lập địa IP cho LAN + Thiết lập chế bảo mật SVTH: Nguyễn Sỹ Đức 94 Chương Mô bảo mật mạng Wireless LAN Địa IP Wireless Router Thiết lập bảo mật Chọn chế độ để đăt địa IP Hình 5.4 Thiết lập IP Wireless Router 5.3 Mô hình thức bảo mật Việc mơ chế bảo mật cần lựa chọn hình thức cần bảo mật, để phù hợp cho mức độ bảo mật khác Dựa vào kiến thức lí thuyết tìm hiểu mà có chế bảo mật sau: SVTH: Nguyễn Sỹ Đức 95 Chương Mô bảo mật mạng Wireless LAN 5.3.1 Sử dụng từ khóa SSID Thiết lập từ khóa SSID Lưu cấu hình Hình 5.5 Sử dụng từ khóa SSID 5.3.2 Sử dụng khóa bảo mật mã hóa WEP, WPA, WPA2 Hình 5.6 Sử dụng khóa bảo mật mã hóa WEP, WPA, WPA2 SVTH: Nguyễn Sỹ Đức 96 Đồ án tốt nghiệp Đại Học Tổng kết TỔNG KẾT Wirelees LAN phát triển nhanh, dần trở thành phần khơng thể thiếu mạng doanh nghiệp hay gia đình Việc phát triển Wirelees LAN thực đem lại hiệu tiện lợi cho thiết bị di động Tuy nhiên lựa chọn Wirelees LAN người thường hồi nghi tính bảo mật Rất nhiều câu hỏi đặt “Mạng Wirelees LAN có thực an tồn?” “Phương pháp bảo mật tốt cho mạng Wirelees LAN họ?”,… Mặc dù chuẩn Wirelees LAN khơng cung cấp tính bảo mật cao, chuẩn Wirelees LAN đời sau lấp lỗ hổng bảo mật Việc sử dụng kết hợp phương thức bảo mật mạnh giúp cho mạng Wirelees LAN thực trở thành mạng thay mạng LAN truyền thống Nội dung đồ án sâu vào tìm hiểu số phương pháp bảo mật cho mạng đưa giải pháp bảo mật phù hợp với cấp độ bảo mật mơ hình mạng cụ thể Cấp độ bảo mật từ thấp đến cao tương ứng với mức độ quan trọng thông tin trao đổi mạng Việc lựa chọn giải pháp bảo mật với mơ hình mạng phụ thuộc vào mức độ rủi ro mà mạng gặp phải, mức độ quản lý ngân sách mà bạn đưa cho vấn đề Với đời WiMAX, Wirelees LAN phát triển mạnh mẽ Sự kết hợp Wirelees LAN WiMAX bước khởi đầu dịch vụ băng thông rộng cá nhân ứng dụng di động khác Do vấn đề bảo mật cho mạng Wirelees LAN phải nghiên cứu cải tiến để đảm bảo an toàn tin cậy cho ứng dụng phát triển SVTH: Nguyễn Sỹ Đức 97 Đồ án tốt nghiệp Đại Học Tài liệu tham khảo TÀI LIỆU THAM KHẢO [1] Nguyễn Thúc Hải, Mạng máy tính hệ thống mở, nhà xuất Giáo Dục 1999 [2] Yang Xiao, Xuemin Shen and Ding-Zhu Du, Wireless network security, Spinger Science, 2007 [3] Tom Karygiannis and Les Owens, Wireless network security 802.11, Bluetooth and handheld Devices, National Institute of Standards and Technology (NIST), 2002 [4] Wireless LAN Security, Madge Limited, 2003 [5] Farooq Anjum and Petros Mouchtaris, chapter SECURITY FOR WIRELESS AD HOC NETWORKS, John Wiley & Sons, 2007 [6] Building A Cisco Wireless LAN (Syngress Publishing 2002) [7] Các Website: - http://www.quantrimang.com - http://www.cuocsongso.com.vn - http://www.haiphongit.com.vn - http://www.nhatnghe.com.vn - http://www.3c.com.vn SVTH: Nguyễn Sỹ Đức 98 ... Wireless LAN Phần Bảo mật mạng Wireless LAN Chương Tổng quan bảo mật mạng Wireless 3.1 Khái niệm bảo mật mạng Wirelees LAN Trong hệ thống mạng, vấn đề an toàn bảo mật hệ thống thơng tin đóng vai trị... Các tiêu kỹ thuật mạng Wirelees LAN Chương 3: Tổng quan bảo mật mạng Wirelees LAN Chương 4: Phân loại an ninh mạng máy tính Wirelees LAN Chương 5: Mô bảo mật mạng Wirelees LAN Em xin chân thành... tuyến Bảo vệ truy cập Wi-Fi SVTH: Nguyễn Sỹ Đức 14 Chương Giới thiệu mạng Wireless LAN Phần Tổng quan mạng Wirelees LAN Chương Giới thiệu mạng Wirelees LAN 1.1 Wirelees LAN gì? Wirelees LAN loại mạng