Hướng dẫn bảo mật cho mạng không dây WIFI
MỤC LỤC
Văn phòng di dộng (Mobile Offices)
Các văn phòng di động cho phép người dùng có thể di chuyển đến một vị trí khác một cách dễ dàng. Các kết nối WLAN từ toà nhà chính ra các lớp học di động cho phép các kết nối một cách linh hoạt với chi phí có thể chấp nhận được.
Ưu, nhược điểm của mạng WLAN .1 Ưu điểm
Nhược điểm - Nhiễu
Nhược điểm của mạng không dây có thể kể đến nhất là khả năng nhiễu sóng radio do thời tiết, do các thiết bị không dây khác, hay các vật chắn (như các nhà cao tầng, địa hình đồi núi…). Cùng với sự phát triển mạnh mẽ của mạng không dây, các chuẩn (và đồng thời là các thiết bị) cho mạng không dây WLAN lần lượt ra đời và ngày càng được nâng cấp, cải tiến.
Các chuẩn IEEE 801
IEEE 802.11b
Một trong những nhược điểm của IEEE 802.11b là băng tần dễ bị nghẽn và hệ thống dễ bị nhiễu bởi các hệ thống mạng khác, lò vi ba, các loại điện thoại hoạt động ở tần số 2.4 GHz và các mạng Bluetooth. Mặc dù vẫn còn một vài hạn chế và nhược điểm nhưng chuẩn 802.11b (thường gọi là Wifi) là chuẩn thông dụng, được sử dụng phổ biến nhất hiện nay với số lượng lớn các nhà cung cấp cho các đối tượng khách hàng là các doanh nghiệp, gia đình hay các văn phòng nhỏ.
IEEE 802.11a
Tất cả các băng tần dùng cho Wireless LAN là không cần đăng ký, vì thế nó dễ dàng dẫn đến sự xung đột và nhiễu.
Cấu trúc cơ bản của WLAN IEEE 802.11
Các điểm truy nhập bổ sung có thể được triển khai trong một toà nhà hay khuôn viên trường đại học nhằm tạo ra các vùng truy nhập vô tuyến rộng lớn. BSS chỉ gồm một nhóm các trạm không dây truyền thông với nhau trong một phạm vi giới hạn, được xác định bởi các đặc tính của môi trường truyền.
Mô hình của WLAN IEEE 802.11
Các thiết bị chú trọng sử dụng năng lượng (Battery- operated) có thể chuyển bộ thu phát tín hiệu của mình sang chế độ nghỉ và khi hoạt động lại sẽ nhận được tín hiệu được khôi phục từ các frame đệm lưu trong AP. Hệ thống phân phối xác định lưu lượng nên được tiếp sóng trở lại một đích đến trong cùng một BSS, chuyển tiếp trên hệ thống phân phối tới một Access Point khác, hoặc gửi tới mạng có dây tới đích đến không nằm trong ESS. Chế độ hoạt động DCF là bắt buộc đối với tất cả các ứng dụng, còn chức năng PCF là tuỳ chọn, DCF không sử dụng bất cứ loại điều kiện trung tâm nào, bản chất của nó là một giao thức MAC đa truy cập cảm nhận sóng mang có tránh xung đột CSMA/CA.
Sử dụng khe thời gian ngắn nhất giữa các lần truyền khung sữ ngăn cho các trạm khác cố gắng truy nhập môi trường, những trạm này đã được yêu cầu chỉ trong một khoảng thời gian dài hơn, điều này tạo điều kiện ưu tiên để hoàn thành một chu trình trao đổi khung. Việc sử dụng thời gian liên khung IFS nhỏ hơn có nghĩa là lưu lượng phối hợp điểm sẽ có quyền ưu tiên truy nhập phương tiện truyền thông lớn hơn các trạm trong chế độ hoạt động trong BSS dưới phương pháp truy nhập DCF. ETSI (European Telecommunications Standards Institute- Năm 1992, Viện các tiêu chuẩn Viễn thông Châu Âu thành lập hiệp hội để xây dựng tiêu chuẩn WLAN dùng cho các mạng LAN vô tuyến (HiperLAN) hoạt động hiệu suất cao (High Performance LAN), tiêu chuẩn này xoay quanh mô tả các giao tiếp ở mức thấp và mở ra khả năng phát triển ở mức cao hơn.
Tiêu chuẩn OpenAir
HiperLAN Access Point có khả năng hỗ trợ việc cấp phát tần số tự động trong vùng phủ sóng của nó. Điều này được thực hiện dựa vào chức năng DFS (Dynamic Frequence Selection) Kiến trúc HiperLAN2 thích hợp với nhiều loại. Tất cả các ứng dụng chạy được trên một mạng thông thường thì có thể chạy được trên hệ thống mạng HiperLAN2.
Tiêu chuẩn HomeRF
Công nghệ SWAP bắt nguồn từ các tiêu chuẩn điện thoại không dây tiên tiến dùng kỹ thuật số và chuẩn WLAN IEEE 802.11 hiện có. SWAP cho phép cung cấp các dịch vụ không dây mới ở trong nhà, SWAP hỗ trợ TDMA (để cung cấp thoại tương tác và các dịch vụ thời gian) và CSMA/CA (để cung cấp truyền thông các gói số liệu tốc độ cao không đồng bộ).
MỘT SỐ VẤN ĐỀ BẢO MẬT CHO MẠNG KHÔNG DÂY WI- FI
Giới thiệu
Điều khiển cho mạng hữu tuyến là đơn giản: đường truyền bằng cáp thông thường được đi trong các tòa nhà cao tầng và các port không sử dụng có thể làm cho nó disable bằng các ứng dụng quản lý. Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát từ các mạng Wi- Fi này, và như vậy ai đó cũng có thể truy cập nhờ vào các thiết bị thích hợp. IEEE và Wi-Fi Alliance đã phát triển các giải pháp có tính bảo mật hơn là: Bảo vệ truy cập WPA (Wi-Fi Protected Access), và IEEE 802.11i (hay còn được gọi là WPA2), bảo mật bằng xác thực 802.1x và một giải pháp tình thế khác mang tên VPN Fix cũng giúp tăng cường bảo mật mạng không dây cho môi trường mạng không dây cục bộ.
Mặt khác, 42% được sử dụng cho các "giải pháp tình thế" khác như: bảo mật hệ thống mạng riêng ảo VPN (Vitual Private Network) qua mạng cục bộ không dây.
Một số hình thức tấn công xâm nhập mạng Wi- Fi phổ biến
Trong mạng 802.11, tấn công truyền lại tạo ra kiểu tấn công từ chối dịch vụ vì khi nút nhận được một bản tin hợp lệ nó sẽ chiếm dụng băng thông và tính toán thời gian để giải mã bản tin đó. Sau khi nạn nhân kết nối tới AP giả, nạn nhân vẫn hoạt động như bình thường do vậy nếu nạn nhân kết nối đến một AP chính thống khác thì dữ liệu của nạn nhân đều đi qua AP giả. Thậm chí sau khi giả địa chỉ MAC trở nên phổ biến, 802.11 vẫn còn sử dụng phương pháp chứng thực này bởi vì địa chỉ MAC 48 bit là đủ dài để ngăn chặn các cuộc tấn công vào nó.
Mạng không dây tồn tại những điểm yếu để tấn công DoS khác với mạng có dây ví dụ như khi sóng radio truyền trong môi trường, nó rất dễ bị ảnh hưởng bởi các yếu tố khách quan cũng như chủ quan.
Một số phương pháp bảo mật cho mạng không dây Wi- Fi
Để một bộ phân tích mạng thấy được địa chỉ MAC của một trạm, trạm đó phải truyền một khung qua đoạn mạng không dây, đây chính là cơ sở để đưa đến việc xây dựng một phương pháp bảo mật mạng, tạo đường hầm trong VPN, mà sẽ được đề cập ở phần sau. • Sử dụng cỏc cụng cụ theo dừi số liệu thống kờ dữ liệu trờn đường truyền khụng dây: Do các công cụ dò khóa WEP cần bắt được số lượng lớn gói dữ liệu và hacker có thể phải sử dụng các công cụ phát sinh dữ liệu nên sự đột biến về lưu lượng dữ liệu có thể là dấu hiệu của một cuộc tấn công WEP, đánh động người quản trị mạng phát hiện và áp dụng các biện pháp phòng chống kịp thời. Khi mà sử dụng hàm thay đổi khoá TKIP được sử dụng để tạo ra các khoá mã hoá bị phát hiện, nếu hacker có thể đoán được khoá khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu.
Nếu không kích hoạt tính năng mã hóa, chúng ta sẽ quảng bá mật khẩu và e-mail của mình đến bất cứ ai trong tầm phủ sóng, người khác có thể cố tình dùng các phầm mềm nghe lén miễn phí như AirSnort (airsnort.shmoo.com) để lấy thông tin rồi phân tích dữ liệu.
Bảo mật trong thực tế
Khi bật chế độ lọc địa chỉ MAC, có khả năng chúng ta sẽ quên thêm địa chỉ MAC của máy tính chúng ta đang sử dụng vào danh sách, như thế sẽ tự cô lập chính mình, tương tự như bỏ chìa khóa trong xe hơi rồi chốt cửa lại. Một vài điểm truy nhập không tương ứng với các thiết lập an ninh xác định hầu như sẽ bị reset, hoặc nó có thể là một điểm truy nhập bí mật thiết lập bởi một hacker hoặc một người sử dụng không mong muốn kết hợp với các thông tin riêng. Các công nhân trong doanh nghiệp di dộng sử dụng một kết nối mạng VPN nếu họ có ý định sử dụng một dịch vụ mạng Wi- Fi truy nhập công cộng để xâm nhập vào cơ sở dữ liệu của một tổ chức hay server thư điện tử.
Các nhà cung cấp điểm truy nhập hot spot và các nhà chế tạo Wi-Fi đang làm việc để khắc phục các vấn đề an ninh bằng cách sử dụng các công nghệ được thiết kế để bảo vệ người sử dụng vô tuyến chống lại việc ngăn chặn thông tin và nghe trộm ở các điểm truy nhập hot spot công cộng.