An ninh của mạng không dây và các giải pháp

Điểm mới của chuẩn 802.11n

Ưu điểm của mạng không dây

Giải pháp các ô hình mạng đã được ứng dụng trong một khoảng thời gian, người dùng phải trả cho sự lãng phí này trong khi kết nối vì tốc độ chậm và giá thì rất cao. Với mạng dùng cáp, phải tốn thêm chi phí và có thể gặp khó khăn trong việc triển khai hệ thống cáp ở nhiều nơi trong tòa nhà.

Nhược điểm của mạng không dây

Các thành phần thiết bị chính của mạng không dây .1 Card mạng

Một thí dụ quen thuộc nhất của mo- dem băng tần tiếng nói là chuyển tín hiệu số '1' và '0' của máy tính thành âm thanh mà nó có thể truyền qua dây điện thoại của Plain Old Telephone Systems (POTS), và khi nhận được ở đầu kia, nó sẽ chuyển âm thanh đó trở về tín hiệu '1' và '0'. Wirelesss Access Point nối kết nhiều computer trong nhà vào hệ thống Local Area Network (LAN) của bạn nếu tất cả các computer đó có gắn một wireless network card, nó làm công việc bắt cầu cho tất cả các máy computer dùng wireless (không dây) và các máy dùng dây Ethernet cable có thể liên lạc với nhau.

3 yếu tố đảm bảo an ninh thông tin

Đây là một việc hết sức nguy hiểm cho hệ thống và nhiệm vụ của nhà quản trị là cần phải quyết định hạn chế các dịch vụ cần thiết trong hệ thống hơn là bảo mật cho các dịch vụ này. - Dễ dàng trong sử dụng thì khó khăn trong bảo mật : một hệ thống mà dễ dàng cho phép sự thâm nhập của người dùng là một điều hết sức nguy hiểm cho việc bảo mật hệ thống.

Các điểm yếu trong bảo mật chuẩn IEEE 802.11

Giải pháp lọc địa chỉ MAC .1 Khái niệm địa chỉ MAC

Sử dụng cỏc cụng cụ theo dừi số liệu thống kờ dữ liệu trờn đường truyền không dây: Do các công cụ dò khóa WEP cần bắt được số lượng lớn gói dữ liệu và hacker có thể phải sử dụng các công cụ phát sinh dữ liệu nên sự đột biến về lưu lượng dữ liệu có thể là dấu hiệu của một cuộc tấn công WEP, đánh động người quản trị mạng phát hiện và áp dụng các biện pháp phòng chống kịp thời. - Bước 4: Dùng aireplay-ng tiêm liên tục các gói tin giả vào access point, lưu lượng mạng tăng vọt, các client trong mạng bị rớt kết nối sẽ gửi các tín hiệu ARP request đến access point và được nhận tín hiệu vecto khởi tạo phản hồi, ta sẽ ở giữa bắt các gói tin.

WPA cải tiến 3 điểm yếu nổi bật của WEP

Khi mà sử dụng hàm thay đổi khoá TKIP được sử dụng để tạo ra các khoá mã hoá bị phát hiện, nếu hacker có thể đoán được khoá khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu. Một cải tiến của WPA đối với WEP là WPA sử dụng giao thức TKIP (Temporal Key Integrity Protocol) nhằm thay đổi khóa dùng một cách tự động trong quá trình trao đổi thông tin.

Những điểm yếu của WPA

2.4. 3 Kết luận

Ưu điểm của WPS

• Thông tin và chứng chỉ mạng được trao đổi một cách an toàn hơn bằng cách sử dụng Extensible Authentication Protocol (EAP), một trong những giao thức xác thực được sử dụng trong WPA2. • Vẫn có thể sử dụng song song WPS với phương pháp nhập key truyền thống nên không gây ảnh hưởng với những ai đã quen với phương pháp cũ.

Khuyết điểm của WPS

Giải pháp chứng thực mở rộng với mô hình 802.1x EAP- TLS

Hoạt động của hệ thống EAP như sau: khi người sử dụng muốn kết nối vào hệ thống, thông tin chứng thực (username/password hoặc chữ ký điện tử) sẽ được gửi tới Access point, Access point sẽ chuyển thông tin này tới ACS server, ACS Server kiểm tra trong dữ liệu đã có, sau đó gửi thông tin lại cho Access point. - Với EAP-MD5, username/password được gửi về cho ACS Server, phương pháp này kém an toàn nhất trong họ EAP vì bị tấn công dạng MITMD (man-in-the-middle) và tấn công kiểu từ điển - thường người dùng hay đặt password theo quy luật nào đó, hacker sẽ dò password theo các quy luật này, ví dụ: tên người, admin, 12456,….

Tại sao cần firewall?

Trong công nghệ mạng thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Cũng có thể hiểu rằng firewall là một cơ chế để bảo vệ mạng tin tưởng (trusted network) khỏi các mạng không tin tưởng (untrusted network).

Những hạn chế của firewall

Các thành phần của firewall và cơ chế hoạt động

Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS..) thành các gói dữ liệu (data packet) rồi gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP..) được phép mới chạy được trên hệ thống mạng cục bộ.

Cổng vòng (circuit-Level Gateway)

Định nghĩa VPN

Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn. Trong nhiều trường hợp VPN cũng giống như WAN (Wire Area Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều.

Định nghĩa “đường hầm” và “mã hoá”

Cung cấp các kết nối logic, điểm tới điểm vận chuyển các gói dữ liệu mã hoá bằng một đường hầm riêng biệt qua mạng IP, điều đó làm tăng tính bảo mật thông tin vì dữ liệu sau khi mã hoá sẽ lưu chuyển trong một đường hầm được thiết lập giữa người gửi và người nhận cho nên sẽ tránh được sự mất cắp, xem trộm thông tin, đường hầm chính là đặc tính ảo của VPN.

Một số thuật ngữ sử dụng trong VPN

Quản lý khoá (Key management): Một khoá thông tin, thường là một dãy ngẫu nhiên hoặc trông giống như các số nhị phân ngẫu nhiên, được sử dụng ban đầu để thiết lập và thay đổi một cách định kỳ sự hoạt động trong một hệ thống mật mã. Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ mà được tin tưởng để giúp bảo mật quá trình truyền tin giữa các thực thể mạng hoặc các người dùng bằng cách tạo ra và gán các chứng nhận số như các chứng nhận khoá công cộng, cho mục đích mã hoá.

Các thuật toán được sử dụng trong mã hoá thông tin

Truy cập VPN (Remote Access VPNs)

Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet. - Remote Access VPNs cũng không đảm bảo được chất lượng dịch vụ - Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát.

Site – To – Site VPN

Ví dụ như là các thiết bị VPN dựa trên phần cứng mới (Router Cisco 3002 chẳng hạn) ở đây để phân loại được, chúng ta phải áp dụng cả hai cách, bởi vì harware-based client có thể xuất hiện nếu một thiết bị đang truy cập vào mạng. Site –to –Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật, đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPSec, mục đích của Site –to –Site VPN là kết nối hại mạng không có đường nối lại với nhau, không có việc thoả hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu, bạn có thể thiết lập một Site – to –Site VPN thông qua sự kết hợp của các thiết bị VPN concentrators, Router, và Firewalls.

Intranet

Máy chủ AAA

Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp. Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn.