Bảo mật trong mạng WLAN

Cấu hình WLAN cơ sở

Một điểm truy nhập nằm ở trung tâm có thể điều khiển và phân phối truy nhập cho các nút tranh chấp, cung cấp truy nhập phù hợp với mạng đường trục, ấn định các địa chỉ và các mức ưu tiên, giám sát lưu lượng mạng, quản lý chuyển đi cỏc gúi và duy trỡ theo dừi cấu hỡnh mạng. Trong trường hợp này, mỗi gói sẽ phải được phát đi 2 lần (từ nút phát gốc và sau đó là điểm truy nhập) trước khi nó tới nút đích, quá trình này sẽ làm giảm hiệu quả truyền dẫn và tăng trễ truyền dẫn.

Các điểm truy nhập vô tuyến

Một điểm truy nhập không cần điều khiển truy nhập từ nhiều nút di động (có nghĩa là nó có thể hoạt động với một giao thức truy nhập ngẫu nhiên phân tán như là CSMA). Khác với các liên kết cáp và các mạch điện thoại chuyên dụng các cầu vô tuyến có thể lọc lưu lượng và đảm bảo rằng các mạng được kết nối không mất các lưu lượng cần thiết.

Các dịch vụ MAC

Để hỗ trợ dịch vụ này, MAC cục bộ sử dụng các dịch vụ lớp vật lý PHY phía dưới để truyền một bản tin MSDU tới một thực thể MAC ngang cấp, tại đây nó sẽ được phân phát lên LLC ngang cấp. Do các đặc tính của môi trường vô tuyến WM, các đơn vị dịch vụ dữ liệu MAC MSDU kiểu quảng bá và điểm đa điểm có thể nhận được một mức chất lượng dịch vụ thấp hơn so với MSDU điểm - điểm.

Khuôn dạng khung tổng quát

 Trong các khung điều khiển có Subtype loại Power Save (PS) – poll, trường thời gian / ID mang chỉ số nhận dạng liên lạc (AID) của trạm gửi khung trong 14 bit trọng số thấp nhất (lsb) và 2 bit trọng số cao nhất (msb) đều được thiết lập giá trị 1. Các đặc tính hoạt động này của PCF giúp cho tất cả các STA có thể hoạt động một cách phù hợp cùng với sự hiện diện của một BSS trong đó có một PC đang hoạt động và nếu được kết hợp với một BSS khác các trạm có thể nhận tất cả các khung được gửi đi dưới sự điều khiển của PCF.

Phân lớp PHY

Chức năng này được hỗ trợ bởi thủ tục hội tụ lớp vật lý (PLCP), thủ tục này định nghĩa phương thức sắp xếp các đơn vị dữ liệu giao thức phân lớp MAC (MPDU) IEEE 802.11 vào trong khuôn dạng khung phù hợp với việc gửi và nhận dữ liệu người dùng và quản lý thông tin giữa hai hay nhiều STA sử dụng hệ thống PMD liên kết. Chức năng này được hỗ trợ bằng thủ tục hội tụ lớp vật lý, đó là thủ tục xác định phương pháp chuyển đổi khối dữ liệu dịch vụ phân lớp PHY (PSDU) IEEE802.11 thành dạng khung phù hợp cho việc gửi, nhận dữ liệu và thông tin quản lý giữa hai trạm sử dụng hệ thống PMD kết hợp.

Những nguy hiểm từ môi trường ngoài tới hoạt động của mạng

Một gateway có thể nhận một khuôn dạng gói tin từ một giao thức và chuyển đổi nó thành khuôn dạng gói tin giao thức khác trước khi chuyển tiếp.  Thay đổi trái phép dữ liệu và phần mềm : Là hành động sửa đổi, xóa hay phá hủy dữ liệu LAN và phần mềm trong trường hợp trái phép hoặc do ngẫu nhiên.

Bảo mật mạng

• Nhận dạng và nhận thực
• Tường lửa .1. Giới thiệu

Thủ tục có thể được hướng dẫn hoàn toàn trong một chính sách mức chương trình nhấn mạnh sự cần thiết điều khiển truy nhập thông tin và tài nguyờn LAN một cỏch hiệu quả, hoặc cú thể thụng bỏo rừ ràng trong một LAN chỉ rừ chớnh sỏch mà cỏc thụng bỏo núi rừ với tất cả người sử dụng được nhận dạng và nhận thực một cách duy nhất. Bảo mật mạng và Internet Xét từ góc độ hiệu quả, những người sử dụng mong muốn việc nhận thực họ chỉ thực hiện một lần và sau đó có thể truy nhập vào một phạm vi rộng lớn các ứng dụng khác nhau và dữ liệu sẵn có trong các hệ thống nội hạt và các hệ thống xa, thậm chí nếu các hệ thống này yêu cầu sử dụng thẻ bài nhận thực họ. Đã có nhiều chương trình Trojan (đây là một chương trình thực hiện một chức năng có ích, nhưng đồng thời có chứa các mã hoặc. Đồ án tốt nghiệp Đại học Chương 2. Bảo mật mạng và Internet các lệnh ẩn có khả năng gây hại cho hệ thống - ví dụ như telnet và rlogin ) và các chương trình sniffer (tên chương trình phân tích mạng) - một chương trình dò tìm.

Đúng hơn, một tường lửa là một phương pháp để bảo mật; nó giúp thực hiện một chính sách bảo mật để xác định các dịch vụ và truy nhập được phép, và nó là một sự thực thi chính sách bảo mật trong phạm vi một cấu hình mạng, một hay nhiều các hệ thống host và router, và nhiều biện pháp bảo mật khác như là phương thức nhận thực cao cấp thay cho các mật khẩu tĩnh.

Cơ sở bảo mật 802.11

Bởi vì tiêu chuẩn 802.11 dựa vào các dịch vụ quản lý khoá ngoài để phân phối cỏc khoỏ bớ mật tới mỗi trạm và khụng chi rừ cỏc dịch vụ phõn phối khoỏ, hầu hết các máy khách 802.11 truy nhập các Card và các AP dựa trên phân phối khoá nhân công. Một bộ lọc MAC cũng không không bảo mật mạnh bởi vì nó dễ dàng để tìm ra các địa chỉ MAC tốt với một Niffer (tên chương trình phân tích mạng), khi đó bằng việc sử dụng các driver Linux sẵn có trên Internet cho hầu hết các Card truy nhập máy khách 802.11, người sử dụng có thể xác định cấu hình địa chỉ MAC sniffed vào trong Card và giành quyền truy nhập tới mạng.

Những đe doạ an ninh mạng

• Mô hình bảo mật WLAN

Kẻ đột nhập có thể cố gắng làm cạn kiệt băng thông mạng bằng việc làm lụt ARP, phát quảng bá, làm lụt SYN giao thức điều khiển truyền dẫn (TCP), lụt hàng đợi, và sử dụng các phương thức làm ngập lụt khác… kẻ đột nhập cũng có thể sử dụng một số cơ chế vật lý như là nhiễu RF (Radio Frequency ) để ngắt thành công một mạng. Các tấn công phủ nhận dịch vụ (DoS) : Các tấn công DoS không cho phép một Hacker giành quyền truy nhập mạng, đúng hơn, về cơ bản chúng làm các hệ thống máy tính khó có thể truy nhập bằng cách làm quá tải các server hoặc mạng bằng việc sử dụng lưu lượng hợp lệ, vì vậy người sử dụng có thể không truy nhập được các tài nguyên.

Kiến trúc mạng

Sự phủ nhận là một tấn công chủ động đến thuộc tính không được phủ nhận được yêu cầu bởi nguồn hay đích, nghĩa là thực thể nguồn phủ nhận việc gửi một bản tin hoặc thực thể đích phủ nhận việc nhận bản tin. Kiến trúc mạng có thể bị thay đổi bằng cách bổ sung một tường lửa nhận thực vô tuyến điều chỉnh truy nhập tới LAN bằng cách chỉ cho phép người sử dụng qua sau khi họ đã nhận thực, như biểu diễn trên hình 3-13.

Chính sách bảo mật - Miền các tuỳ chọn

• Giao thức nhận thực mở rộng (EAP)

Để thiết lập liên lạc trên một liên kết Point – to – Point, mỗi đầu cuối của của liên kết PPP đầu tiên phải gửi các gói tin LCP để định cấu hình liên kết dữ liệu trong thời gian thiết lập liên kết. Bảo mật trong WLAN Các giao thức nhận thực này được chỉ định cho sử dụng đầu tiên bởi các Host và các router kết nối tới một server mạng PPP qua các chuyển mạch hoặc các đường dial – up, nhưng có thể được chấp nhận để xác định các kết nối.