B. NỘI DUNG
2.6. Bảo mật bằng lọc địa chỉ MAC
2.6.1. Định nghĩa
Trong mô hình OSI (Open Systems Interconnection) hay mô hình tham chiếu kết nối các hệ thống mở thì địa chỉ MAC (Media Access Control) nằm ở lớp 2 (lớp liên kết dữ liệu hay Data Link Layer). Nói một cách đơn giản, địa chỉ MAC là địa chỉ vật lý hay còn gọi là số nhận dạng (Identification number) của thiết bị. Mỗi thiết bị (card mạng, modem, router...) được nhà sản xuất (NSX) chỉ định và gán sẵn 1 địa chỉ nhất định; thường được viết theo 2 dạng: MM:MM:MM:SS:SS:SS (cách nhau bởi dấu :) hay MM-MM-MM-SS-SS-SS (cách nhau bởi dấu -). Địa chỉ MAC là một số 48 bit được biểu diễn bằng 12 số hexa (hệ số thập lục phân), trong đó 24bit đầu (MM:MM:MM) là mã số của NSX (Linksys, 3COM...) và 24 bit sau (SS:SS:SS) là số seri của từng card mạng được NSX gán. Như vậy sẽ không xảy ra trường hợp hai thiết bị trùng nhau địa chỉ vật lý vì số nhận dạng ID này đã được lưu trong chip ROM trên mỗi thiết bị trong quá trình sản xuất, người dùng không thể thay đổi được.
2.6.2. Cách lọc địa chỉ MAC
Nếu ta cần thêm một thiết bị mới vào hệ thống, ta cần phải biết địa chỉ của thiết bị này trước. Địa chỉ này thường được in ngay trên mặt ngoài của sản phẩm, nhưng cũng có ngoại lệ. Trong một số sản phẩm như điện thoại di động, địa chỉ MAC có thể tìm thấy thông qua phần mềm của điện thoại, nhưng có một số sản phẩm, việc tìm thấy địa chỉ MAC rất khó khăn.
Phương án cuối cùng có thể thực hiện là ta có thể tạm thời tắt tính năng lọc địa chỉ MAC, cho phép thiết bị mới kết nối vào, và lấy địa chỉ MAC của thiết bị này từ danh sách thiết bị kết nối trong trình quản lý truy cập của AP.
Để thêm một địa chỉ MAC của thiết bị mới vào mạng Wi-Fi, ta đăng nhập vào trình quản lý thiết bị, mở mục Wireless MAC Filter và nhập địa chỉ MAC của thiết bị đó vào. Trước đó, ta nên kích hoạt (Enabled) chức năng Wireless MAC Filter và chọn chế độ tạo danh sách đen hay danh sách an toàn.
Thực tế cho thấy, nếu ta là người quản lý mạng không dây và biết địa chỉ MAC của thiết bị đang kết nối vào mạng và các máy này truy cập mạng thường xuyên thì lọc địa chỉ MAC là một lớp bảo mật dễ triển khai.
2.6.3. Chức năng của phương pháp bảo mật bằng lọc địa chỉ MAC MAC
Quản lý kết nối không dây trên Access Point, Router .Hầu hết các Access Point (AP) và router đều có tính năng quản lý kết nối nhằm tăng cường khả năng bảo mật cho mạng Wi-Fi. Mặc định tính năng này là tắt nên bất kỳ máy khách nào cũng có thể truy cập vào mạng nếu dò được tên mạng (hay còn gọi là SSID) và mật khẩu mã hóa. Để kích hoạt chức năng lọc địa chỉ MAC, trước tiên bạn cần thu thập địa chỉ MAC của từng máy khách (xem lại phần Tìm địa chỉ MAC) cho phép kết nối tới mạng Wi-Fi. Sau đó, bạn chỉ cần điền chúng vào mục lọc địa chỉ MAC trên AP hoặc router, nhấn Ok để xác nhận việc cập nhật danh sách. Sau khi thiết lập, các máy khách không có tên (địa chỉ MAC) trong danh sách sẽ không được phép đăng nhập mạng.
2.7. Các loại tấn công mạng không dây2.7.1. Tấn công bị động 2.7.1. Tấn công bị động
2.7.1.1. Định nghĩa
Tấn công bị động hay nghe lén là kiểu tấn công không tác động trực tiếp vào thiết bị nào trên mạng, không làm cho các thiết bị trên mạng biết được hoạt động của nó vì thế kiểu tấn công này rất khó phát hiện. Các phương thức thường dùng trong tấn công bị động như: nghe trộm, phân tích luồng thông tin.
2.7.1.2. Cơ chế hoạt động và biện pháp ngăn chặn
Sử dụng cơ chế bắt gói tin – Sniffing để lấy trộm thông tin khi đặt một thiết bị thu nằm trong vùng phủ sóng. Tấn công kiểu bắt gói tin khó bị phát hiện ra sự có mặt của thiết bị bắt gói tin nếu thiết bị đó không thực sự kết nối tới AP. Có nhiều ứng dụng bắt gói tin có khả năng thu thập được password từ những địa chỉ HTTP, email, phiên làm viêc FTP, telnet. Những kiểu kết nối trên đều truyền password theo dạng clear text( không mã hóa). Có nhiều ứng dụng có thể lấy được password trên mạng không dây của quá trình trao đổi giữa Client và Server khi đang thực hiện quá trình đăng nhập. Việc bắt gói tin giúp kẻ tấn công có thể nắm được thông tin, phân tích được lưu lượng của mạng và nó còn gián tiếp làm tiền đề cho các phương thức tấn công phá hoại khác.
Biện pháp đối phó: vì bắt gói tin là phương thức tấn công kiểu bị động nên rất khó phát hiện và do đăc điểm truyền sóng trong không gian nên không thể phòng ngừa việc nghe trộm của hacker. Giải pháp đề ra là nâng cao khả năng mã hóa thông tin sao cho kẻ tấn công không thể giải mã được, khi đó thông tin lấy được sẽ không có giá trị với hacker.
2.7.2. Tấn công chủ động2.7.2.1. Định nghĩa 2.7.2.1. Định nghĩa
Tấn công chủ động là tấn công trực tiếp vào các thiết bị trên mạng như AP. Cuộc tấn công chủ động có thể được dùng để tìm cách truy cập tới một server để thăm dò, lấy những dữ liệu quan trọng, thậm chí làm thay đổi cấu hình cơ sở hạ tầng mạng. Kiểu tấn công này dễ phát hiện nhưng khả năng phá hoại của nó rất nhanh.
2.7.2.2.Cơ chế thực hiện và biện pháp ngăn chặn
Kiểu tấn công cụ thể: Mạo danh, truy cập trái phép.
Một trong những cách phổ biến là một máy tính tấn công bên ngoài giả mạo là máy tính trong mạng rồi xin kết nối vào mạng để rồi truy cập trái phép nguồn tài nguyên trên mạng. Hacker sẽ giả mạo địa chỉ MAC, địa chỉ IP của thiết bị mạng trên máy tính của mình thành các giá trị của máy tính đang sử dụng trong mạng, làm cho hệ thống hiểu nhầm và cho phép kết nối. Các thông tin về địa chị MAC, IP cần giả mạo có thể thu thập được từ việc bắt trộm các gói tin trên mạng. Việc thay đổi địa chỉ MAC của card mạng không dây có thể thực hiện dễ dàng trên hệ điều hành Windows, UNIX.
Biện pháp đối phó tấn công mạo danh: giữ gìn bảo mật máy tính khi đang sử dụng, không cho ai vào dùng trái phép, nâng cao khả năng chứng thực giữa các bên.
2.7.3. Tấn công giả mạo điểm truy cập( Acces point) 2.7.3.1. Định nghĩa
Tấn công giả mạo AP là kiểu tấn công man-in-the-middle cổ điển. Đây là kiểu tấn công mà tin tặc đứng ở giữa và trộm lưu lượng truyền giữa hai nút. Kiểu tấn công này rất mạnh vì tin tặc có thể trộm tất cả lưu lượng đi qua mạng. Rất khó khăn để tấn công theo kiểu man-in-the-middle trong mạng có dây bời vì kiểu tấn công này yêu cầu truy cập thực sự vào đường truyền. Trong mạng không dây thì lại dễ bị tấn công kiểu này.
2.7.3.2. Cơ chế thực hiện
Tin tặc sẽ tạo ra một AP giả mạo có cấu hình giống hệt như AP hợp pháp bằng cách sao chép SSID, địa chỉ MAC... của AP hợp pháp( những thông tin cấu hình của AP hợp pháp có thể thu được bằng việc bắt các gói tin truyền trong mạng). Tin tặc phải chắc chắn AP giả mạo có cường độ tín hiệu mạnh hơn cả so với AP hợp pháp bằng cách đặt AP giả mạo gần với client hơn AP hợp pháp. Bước tiếp theo là làm cho nạn nhân kết nối tới AP giả bằng cách đợi cho client tự kết nối hoặc gây ra một cuộc tấn công DoS vào AP hợp pháp do vậy client sẽ phải kết nối tới AP giả. Sau khi nạn nhân kết nối, nạn nhân vẫn hoạt động bình thường và nếu nạn nhân kết nối tới một AP hợp pháp khác thì dữ liệu của nạn nhân đều đi qua AP giả. Do đó, hacker có thể dùng các ứng dụng để thu thập các thông tin anh ta muốn. Kiểu tấn công này tồn tại do trong 802.11 không yêu
cầu chứng thực 2 hướng giữa AP và client, AP phát quảng bá ra toàn mạng, rất dễ bị nghe trộm và ăn cắp thông tin bởi hacker.
2.7.4. Tấn công kẻ ngồi giữa thao túng(man in the middle attack)2.7.4.1. Định nghĩa 2.7.4.1. Định nghĩa
Tấn công kiểu thu hút là trường hợp hacker sử dụng một AP giả mạo chèn vào giữa hoạt động của các thiết bị, thu hút và giành lấy sự trao đổi thông tin của các thiết bị về minh. AP chèn vào phải có vị trí, khả năng thu phát cao hơn nhiều so với AP hợp pháp trong vùng phủ sóng của nó để làm cho các client kết nối lại với AP giả mạo này. Với kiểu tấn công này thì người dùng khó có thể phát hiện được.
2.7.4.2. Cơ chế thực hiện
Mô hình tấn công kiểu thu hút
Để tấn công thu hút, hacker phải biết được giá trị SSID mà các client đang sử dụng và key WEP nếu mạng có sử dụng WEP. Kết nối ngược từ AP trái phép
được điều khiển thông qua một thiết bị client như PC card hay workgroup bridge.
Tấn công thu hút có thể được thực hiên trên một laptop với 2 PCMCIA card. Phần mềm AP chạy trên 1 laptop mà ở đó một PC card được sử dụng như một AP, 1PC card dùng để kết nối laptop với AP hợp pháp. Lúc này latop trở thành kẻ ở giữa hoạt động giữa client và AP hợp pháp. Hacker dùng kiểu tấn công này có thể lấy được các thông tin giá trị bằng cách sử dụng các chương trình phân tích trên máy tính.
2.8. DHCP và vấn đề quản lý địa chỉ IP trên mạng không dây2.8.1. Định nghĩa DHCP là gì ? 2.8.1. Định nghĩa DHCP là gì ?
DHCP là viết tắt của Dynamic Host Configuration Protocol, là giao thức Cấu hình Host động được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho khách hàng khi họ vào mạng. Dịch vụ DHCP là một thuận lới rất lớn đối với người điều hành mạng. Nó làm yên tâm về các vấn đề cố hữu phát sinh khi phải khai báo cấu hình thủ công.
2.8.2. Chức năng của DHCP
DHCP là dịch vụ mang đến cho chúng ta nhiều lợi điểm trong công tác quản trị và duy trì một mạng TCP/IP như:
+ Tập chung quản trị thông tin về cấu hình IP. + Cấu hình động các máy.
+ Cấu hình IP cho các máy một cách liền mạch + Sự linh hoạt
+ Khả năng mở rộng.
Mỗi thiết bị trên mạng cơ sở TCP/IP phải có một địa chỉ IP duy nhất để truy cập mạng và các tài nguyên của nó. Không có DHCP, cấu hình IP phải được thực hiện một cách thủ công cho các máy tính mới, các máy tính di chuyển từ mạng con này sang mạng con khác, và các máy tính được loại bỏ khỏi mạng.
- Bằng việc phát triển DHCP trên mạng, toàn bộ tiến trình này được quản lý tự động và tập trung. DHCP server bảo quản vùng của các địa chỉ IP và giải phóng một địa chỉ với bất cứ DHCP client có thể khi nó có thể ghi lên mạng. Bởi vì các địa chỉ IP là động hơn tĩnh, các địa chỉ không còn được trả lại một cách tự động trong sử dụng đối với các vùng cấp phát lại.
2.8.3. Vai trò và cách thức hoạt động của DHCP trong môi trường mạng không dây mạng không dây
DHCP là một giao thức Internet có nguồn gốc ở BOOTP (bootstrap protocol), được dùng để cấu hình các Clients không đĩa. DHCP khai thác ưu điểm của giao thức truyền tin và các kỹ thuật khai báo cấu hình được định nghĩa trong BOOTP, trong đó có khả năng gán địa chỉ. Sự tương tự này cũng cho phép các bộ định tuyến hiện nay chuyển tiếp các thông điệp BOOTP giữa các mạng con cũng có thể chuyển tiếp các thông điệp DHCP. Vì thế, DHCP Server có thể đánh địa chỉ IP cho nhiều mạng con.
Quá trình DHCP:
- Bước 1: Máy trạm khởi động với “địa chỉ IP rỗng” cho phép liên lạc với DHCP Servers bằng giao thức TCP/IP. Nó broadcast một thông điệp DHCP Discover chứa địa chỉ MAC và tên máy tính để tìm DHCP Server .
- Bước 2: Nhiều DHCP Server có thể nhận thông điệp và chuẩn bị địa chỉ IP cho máy trạm. Nếu máy chủ có cấu hình hợp lệ cho máy trạm, nó gửi thông điệp “DHCP Offer” chứa địa chỉ MAC của khách, địa chỉ IP “Offer”, mặt nạ mạng con (subnet mask), địa chỉ IP của máy chủ và thời gian cho thuê đến Client. Địa chỉ “offer” được đánh dấu là “reserve” (để dành).
- Bước 3: Khi Client nhận thông điệp DHCP Offer và chấp nhận một trong các địa chỉ IP, Client sẽ gửi thông điệp DHCP Request để yêu cầu IP phù hợp cho DHCP Server thích hợp.
- Bước 4: Cuối cùng, DHCP Server khẳng định lại với Client bằng thông điệp DHCP Acknowledge.
Chương III: Demo ứng dụng bẳng phần mềm packet tracer 3.1. Mô hình mạng không dây tại DQU
3.2. Cấu hình trạm phát của mạng không dây
Bước 1 : Ta thiết kế mô hình gồm : một thiết bị Linksys, một PC(có card mạng không dây), một latop
Tiếp theo ta kích chuột vào AP,trên tab Setup, ở mục Basic Setup, ta điền địa chỉ IP và mặt nạ mạng cho Access Point ở mục IP Address và Subnet Mask. Tiếp theo,ta có thể cấu hình để Access Point cung cấp địa chỉ IP động cho các máy trạm (wireless client) trong mạng bằng cách chọn Enabled ở mục DHCP Server, đồng thời điền địa chỉ IP bắt đầu vào mục Start IP Address. Muốn cung cấp địa chỉ IP động cho tối đa bao nhiêu máy tính, ta điền vào mục Maximum number of Users.
Trên tab, Wireless, ở mục Basic Wireless Settings, ta điền tên mạng không dây vào mục Network Name (SSID)
Tiếp theo, ở mục Wireless Security, ta có thể chọn một trong các hình thức cấu hình chế độ bảo mật:
- Nếu với những nơi cho phép truy cập không dây miễn phí (café, nhà hàng, khách sạn...), ở mục Security Mode, chọn Disabled.
- Nếu với những nơi yêu cầu khóa khi truy cập, ở mục Security Mode, ta chọn phương pháp bảo mật phù hợp. Sau đó, bạn tiến hành điền khóa (key).
Sau khi thực hiện xong, bạn bấm nút Save Settings để lưu các thiết lập đã thực hiện.
Đối với loại không có bảo mật
Điền thông tin vào sau đó ta Saving settup, như vậy PC của chúng ta có thể đã có thể bắt wifi, tuy nhiên wifi được bảo mật nên ta cần đăng nhập
Bây giờ ta vào PC, click đến tab Desktop của máy PC, ta kích chọn PC
Wireless. Trên tab Connect, bạn bấm nút Refresh để hiển thị các thông tin của Access Point đã cấu hình. Đến đây, bạn bấm nútConnect. Nếu có thiết lập bảo mật, bạn điền khóa đã thiết lập trên Access Point ở bước tiếp theo và bấm nút Connect một lần nữa.
Đối với laptop, vì chưa có card mạng không dây nên ta thực hiện việc gỡ bỏ cổng có dây và thay vào card không dây
Kiểm tra kết nối,connect bằng cách giống như PC
3.3. Kinh nghiệm quản lý mạng không dây
Ngày nay chúng ta đi đâu cũng cần kết nối internet để cập nhật thông tin nhanh nhất để kết nối với bạn bè người thân và mạng không dây lại có tính cơ động cao nên nó được phổ biến một cách rộng rãi.Chính vì vậy việc quản lý mạng có tầm quan trọng không nhỏ,giúp chúng ta có thể biết được ai, người nào đang kết nối vào mạng của chúng ta.
Đầu tiên phải chọn đúng thiết bị Router và card mạng Wi-Fi
Router chính là trung tâm của mạng không dây: Nó kết nối mạng vào Internet thông qua một modem cáp/DSL, chia sẻ kết nối Internet cho nhiều máy tính và các thiết bị khác, và kiểm soát ai có thể truy cập vào mạng. Chính vì thế mà router được xem là thành phần quan trọng nhất.
Qua thử nghiệm nhiều router băng rộng, hầu hết router đều có các tính năng cơ bản như nhau - tất cả những loại tìm hiểu đều có bốn cổng Ethernet (để nối các thiết bị có dây), và có nhiều cách để kiểm soát ai kết nối vào mạng. Tất cả