Bảo mật mạng WLAN: Các biện pháp bảo vệ thiết yếu

Những nguy hiểm từ môi trường ngoài tới hoạt động của mạng

Router sử dụng địa chỉ đích trên một Datagram để lựa chọn một next-hop chuyển tiếp datagram. Một gateway là một bộ chuyển đổi giao thức kết nối hai hay nhiều hệ thống khác nhau và thông dịch cho mỗi thành viên. Một gateway có thể nhận một khuôn dạng gói tin từ một giao thức và chuyển đổi nó thành khuôn dạng gói tin giao thức khác trước khi chuyển tiếp.

 Thay đổi trái phép dữ liệu và phần mềm : Là hành động sửa đổi, xóa hay phá hủy dữ liệu LAN và phần mềm trong trường hợp trái phép hoặc do ngẫu nhiên.  Giả mạo lưu lượng : Xuất hiện một bản tin và được gửi một cách hợp phát, tên người gửi, trong đó thực tế bản tin đã không được thực hiện.

Bảo mật mạng

• Nhận dạng và nhận thực
• Tường lửa .1. Giới thiệu

Các điều khiển truy nhập vật lý không nên chỉ đánh địa chỉ khu vực bao gồm phần cứng hệ thống, nhưng ngoài ra cả các địa điểm được sử dụng kết nối các phần tử của hệ thống, dịch vụ năng lượng điện tử, điều hòa không khí, điện thoại và các tuyến dữ liệu, sao chép dự phòng các tài liệu nguồn và phương tiện. Thủ tục có thể được hướng dẫn hoàn toàn trong một chính sách mức chương trình nhấn mạnh sự cần thiết điều khiển truy nhập thông tin và tài nguyờn LAN một cỏch hiệu quả, hoặc cú thể thụng bỏo rừ ràng trong một LAN chỉ rừ chớnh sỏch mà cỏc thụng bỏo núi rừ với tất cả người sử dụng được nhận dạng và nhận thực một cách duy nhất. Bảo mật mạng và Internet Xét từ góc độ hiệu quả, những người sử dụng mong muốn việc nhận thực họ chỉ thực hiện một lần và sau đó có thể truy nhập vào một phạm vi rộng lớn các ứng dụng khác nhau và dữ liệu sẵn có trong các hệ thống nội hạt và các hệ thống xa, thậm chí nếu các hệ thống này yêu cầu sử dụng thẻ bài nhận thực họ.

Đã có nhiều chương trình Trojan (đây là một chương trình thực hiện một chức năng có ích, nhưng đồng thời có chứa các mã hoặc. Đồ án tốt nghiệp Đại học Chương 2. Bảo mật mạng và Internet các lệnh ẩn có khả năng gây hại cho hệ thống - ví dụ như telnet và rlogin ) và các chương trình sniffer (tên chương trình phân tích mạng) - một chương trình dò tìm. Chỉ có duy nhất một phương pháp bảo vệ khỏi bị lộ mật khẩu trong trường hợp này bằng cách lựa chọn cẩn thận các mật khẩu không thể đoán nhận dễ dàng ( Ví dụ kết hợp các số, kí tự và các kí tự trống. ) Các mật khẩu nên dài bằng độ dài mật khẩu hệ thống cho phép mà người dùng có thể chấp nhận được. Đúng hơn, một tường lửa là một phương pháp để bảo mật; nó giúp thực hiện một chính sách bảo mật để xác định các dịch vụ và truy nhập được phép, và nó là một sự thực thi chính sách bảo mật trong phạm vi một cấu hình mạng, một hay nhiều các hệ thống host và router, và nhiều biện pháp bảo mật khác như là phương thức nhận thực cao cấp thay cho các mật khẩu tĩnh.

Chính sách đầu tiên ít được mong đợi, nó đưa ra nhiều con đường để khai thác tường lửa, người sử dụng có thể truy nhập các dịch vụ mới không bị từ chối bởi chính sách hoặc chạy các dịch vụ bị từ chối tại các cổng TCP/UDP không tiêu chuẩn mà không bị loại bỏ bởi chính sách.

Cơ sở bảo mật 802.11

Tất nhiên, mặc dù SSID không bổ sung bất kỳ lớp bảo mật nào, nó nên được thay đổi khỏi các giá trị mặc định vì rằng nó làm cho những người khác không thể ngẫu nhiên sử dụng mạng của người sử dụng hợp pháp. Nói chung, nhận thực được sử dụng để bảo vệ chống lại những truy nhập trái phép tới mạng, trong khi mật mã hoá được sử dụng để đánh bại những người nghe trộm khi cố gắng thực hiện giải mật mã bắt giữ được. Bởi vì tiêu chuẩn 802.11 dựa vào các dịch vụ quản lý khoá ngoài để phân phối cỏc khoỏ bớ mật tới mỗi trạm và khụng chi rừ cỏc dịch vụ phõn phối khoỏ, hầu hết các máy khách 802.11 truy nhập các Card và các AP dựa trên phân phối khoá nhân công.

Hơn nữa, do tính di động vốn có của dân số và không có một phương pháp hợp lý để quản lý tác vụ này, nhà quản lý mạng có thể phải chịu áp lực rất lớn để hoàn thành việc này trong một khung thời gian hợp lý. Một bộ lọc MAC cũng không không bảo mật mạnh bởi vì nó dễ dàng để tìm ra các địa chỉ MAC tốt với một Niffer (tên chương trình phân tích mạng), khi đó bằng việc sử dụng các driver Linux sẵn có trên Internet cho hầu hết các Card truy nhập máy khách 802.11, người sử dụng có thể xác định cấu hình địa chỉ MAC sniffed vào trong Card và giành quyền truy nhập tới mạng.

Những đe doạ an ninh mạng

• Mô hình bảo mật WLAN

Với các công cụ đọc sẵn có, một người nghe trộm không bị giới hạn khi hoàn thành sưu tập các gói tin cho các phân tích sau đó, nhưng thực sự anh ta (hay. Đồ án tốt nghiệp Đại học Chương 3. Bảo mật trong WLAN cô ta) có thể thấy các trao đổi phiên giống như các trang Web đã xem bởi một người sử dụng vô tuyến hợp pháp. Ủy ban tiêu chuẩn 802.11 đã thông qua WEP, một mật mã hóa sở hữu riêng so RSA thiết kế, trước tiên các phân tích mật mã thích hợp đã được thực hiện cho thiết kế WEP đã bắt đầu từ phân tích bởi các nhóm nghiên cứu tại Berkeley và đại học Maryland và những khe hở nghiêm trọng của mật mã đã được tìm thấy. Việc chèn một chương trình Trojan Horse (một chương trình máy tính. Đồ án tốt nghiệp Đại học Chương 3. Bảo mật trong WLAN xuất hiện để thực hiện một chức năng có ích, nhưng đồng thời có chứa các mật mã hoặc các lệnh ẩn gây hỏng đối với hệ thống đang chạy nó) hoặc viurs là một ví dụ của tấn công sửa đổi.

Kẻ đột nhập có thể cố gắng làm cạn kiệt băng thông mạng bằng việc làm lụt ARP, phát quảng bá, làm lụt SYN giao thức điều khiển truyền dẫn (TCP), lụt hàng đợi, và sử dụng các phương thức làm ngập lụt khác… kẻ đột nhập cũng có thể sử dụng một số cơ chế vật lý như là nhiễu RF (Radio Frequency ) để ngắt thành công một mạng. Các tấn công phủ nhận dịch vụ (DoS) : Các tấn công DoS không cho phép một Hacker giành quyền truy nhập mạng, đúng hơn, về cơ bản chúng làm các hệ thống máy tính khó có thể truy nhập bằng cách làm quá tải các server hoặc mạng bằng việc sử dụng lưu lượng hợp lệ, vì vậy người sử dụng có thể không truy nhập được các tài nguyên.

Kiến trúc mạng

Một AP giả mạo được sở hữu bởi một attacker xác nhận kết nối mạng và sau đó chặn lưu lượng và có thể cũng thực hiện các tấn công man-in-the-middle trước khi lưu lượng được phép truyền trên mạng. Mục đích chính của một mạng giả mạo là loại bỏ lưu lượng hợp lệ ra khỏi WLAN lên trên một mạng hữu tuyến để tấn công và sau đó chèn lại lưu lượng vào trong mạng hợp pháp. Sự phủ nhận là một tấn công chủ động đến thuộc tính không được phủ nhận được yêu cầu bởi nguồn hay đích, nghĩa là thực thể nguồn phủ nhận việc gửi một bản tin hoặc thực thể đích phủ nhận việc nhận bản tin.

Nếu không có thuộc tính không được phủ nhận , thì thực thể nguồn có thể liên tục phủ nhận việc gửi bản tin và thực thể đích có thể liên tục phủ nhận việc nhận bản tin. Kiến trúc mạng có thể bị thay đổi bằng cách bổ sung một tường lửa nhận thực vô tuyến điều chỉnh truy nhập tới LAN bằng cách chỉ cho phép người sử dụng qua sau khi họ đã nhận thực, như biểu diễn trên hình 3-13.

Chính sách bảo mật - Miền các tuỳ chọn

• Giao thức nhận thực mở rộng (EAP) .1 Giới thiệu

Tối thiểu, người sử dụng nên kích hoạt WEP, các mật khẩu bảo vệ các thiết bị dùng chung và các tài nguyên, thay đổi tên mạng từ SSID mặc định, sử dụng lọc địa chỉ MAC, và tắt quảng bá nếu có thể. Để thiết lập liên lạc trên một liên kết Point – to – Point, mỗi đầu cuối của của liên kết PPP đầu tiên phải gửi các gói tin LCP để định cấu hình liên kết dữ liệu trong thời gian thiết lập liên kết. Bảo mật trong WLAN Các giao thức nhận thực này được chỉ định cho sử dụng đầu tiên bởi các Host và các router kết nối tới một server mạng PPP qua các chuyển mạch hoặc các đường dial – up, nhưng có thể được chấp nhận để xác định các kết nối.

Giao thức nhận thực có thể mở rộng (EAP) là một giao thức bảo mật tầng giao vận của mô hình OSI, nói chung là một giao thức cho nhận thực PPP hỗ trợ nhiều kĩ thuật nhận thực. Bảo mật trong WLAN Các thiết bị không cần thiết phải hiểu mỗi loại Request và cũng có thể đơn giản các hoạt động như một tác nhân passthrough cho một server “back - end” trên một host.