IV/ CÁC G II PHÁP BOM TC NGH
5.M ng khụng dõy cụng c ng
i u t t y u s x y ra là nh ng ng i s d ng c a cụng ty v i nh ng thụng tin nh y c m c a h s k t n i t laptop c a h t i WLAN cụng c ng. i u này c ng n m trong chớnh sỏch b o m t c a cụng ty. Nh ng ng i dựng đú ph i ch y nh ng ph n m m firewall cỏ nhõn và cỏc ph n m m ch ng virus trờn laptop c a h . a s cỏc m ng WLAN cụng c ng cú ớt ho c khụng cú s b o m t nào, nh m làm cho k t n i c a ng i dựng đ n gi n và đ gi m b t s l ng cỏc h tr k thu t đ c yờu c u. 6. S truy nh p cú ki m tra và gi i h n H u h t cỏc m ng Lan l n đ u cú m t vài ph ng phỏp đ gi i h n và ki m tra s truy nh p c a ng i s d ng. Tiờu bi u là m t h th ng h tr ch ng th c,
s c p phộp, và cỏc d ch v Accounting, (Authentication, Authorization, Accountting (AAA))đ c tri n khai.
Nh ng d ch v AAA cho phộp t ch c g n quy n s d ng vào nh ng l p đ c bi t c a ng i dựng. Vớ d m t ng i dựng t m th i cú th ch đ c truy c p vào internet trong m t ph m vi nào đú.
Vi c qu n lý ng i s d ng cũn cho phộp xem xột ng i đú đó làm gỡ trờn m ng, th i gian và ch ng m c h đó vào
VI/ NH NG KHUY N CÁO V B O M T
Nh m t s túm l c c a ph n II, ph n d i đõy đ a ra vài khuy n cỏo trong vi c b o m t m ng WLAN.
1. Wep
Khụng đ c ch tin c y vào WEP, khụng cú m t bi n phỏp nào hoàn toàn t t đ mà b n cú th ch dựng nú đ b o m t. M t mụi tr ng khụng dõy mà ch đ c b o v b i WEP thỡ khụng ph i là m t mụi tr ng an toàn. Khi s d ng WEP khụng đ c s d ng chỡa khúa WEP mà liờn quan đ n SSID ho c tờn c a t ch c làm cho chỡa khúa WEP khú nh và khú lu n ra. Cú nhi u tr ng h p trong th c t mà chỡa khúa WEP cú th d dàng đoỏn đ c nh vi c xem SSID ho c tờn c a t ch c.
WEP là m t gi i phỏp cú hi u q a đ gi m b t vi c m t thụng tin khi tỡnh c b nghe th y, b i ng i đú khụng cú chỡa khúa WEP thớch h p, do đú trỏnh đ c s truy nh p c a đ i t ng này.
2. nh c cell
gi m b t c h i nghe tr m, ng i qu n tr nờn ch c ch n r ng kớch c cell c a AP ph i thớch h p. Ph n l n hacker tỡm nh ng n i mà t n ớt th i gian và n ng l ng nh t đ tỡm cỏch truy c p m ng. Vỡ lớ do này, r t quan tr ng khi khụng cho phộp nh ng AP phỏt ra nh ng tớn hi u ra ngoài khu v c an toàn c a t ch c, tr khi tuy t đ i c n thi t. Vài AP cho phộp c u hỡnh m c cụng su t đ u ra, do đú cú th đi u khi n kớch th c Cell RF xung quanh AP. N u m t ng i nghe tr m n m trong khu v c khụng đ c b o v c a t ch c và khụng phỏt hi n đ c m ng c a b n, thỡ m ng c a b n khụngph i là d b nh h ng b i lo i t n cụng này.
Cú th ng i qu n tr m ng s d ng cỏc thi t b v i cụng su t l n nh t đ đ t thụng l ng l n và vựng bao ph r ng, nh ng đi u này s ph i tr giỏ b ng vi c
chi phớ v cỏc bi n phỏp b o m t. Vỡ v y v i m i đi m truy nh p c n bi t cỏc thụng s nh cụng su t, vựng ph súng, kh n ng đi u khi n kớch th c cell. Và vi c đi u khi n bỏn kớnh cell c n ph i đ c nghiờn c u cho k và l p thành tài li u h ng d n cựng v i c u hỡnh c a AP ho c c a bridge cho m i vựng. Trong vài tr ng h p cú th c n thi t đ t hai AP cú kớch c cell nh h n thay vỡ m t AP đ trỏnh nh ng t n h i khụng nờn cú.
C g ng đ t AP c a b n v phớa trung tõm c a tũa nhà, nú s gi m thi u vi c rũ tớn hi u ra ngoài ph m vi mong đ i. N u b n đang s d ng nh ng anten ngoài, ph i l a ch n đỳng lo i anten đ cú ớch cho vi c t i gi n ph m vi tớn hi u. T t cỏc AP khi khụng s d ng. Nh ng đi u này s gi m thi u nguy c b t n cụng và gi m nh gỏnh n ng qu n lý m ng
3. S ch ng th c ng i dựng
S ch ng th c ng i dựng là m t m i liờn k t y u nh t c a WLAN, và chu n 802.11 khụng ch rừ b t k m t ph ng phỏp ch ng th c nào, đú là yờu c u b t bu c mà ng i qu n tr ph i làm v i ng i s d ng ngay khi thi t l p c s h t ng cho WLAN. S ch ng th c ng i dựng d a vào Username và Password, th thụng minh, mó thụng bỏo, ho c m t vài lo i b o m t nào đú dựng đ xỏc đnh ng i dựng, khụng ph i là ph n c ng. Gi phỏp th c hi n c n h tr s ch ng th c song h ng gi a Server ch ng th c và cỏc client khụng dõy, vớ d nh RADIUS server).
RADIUS là chu n khụng chớnh th c trong h th ng ch ng th c ng i s d ng. Cỏc AP g i nh ng yờu c u ch ng th c ng i s d ng đ n m t RADIUS server, mà cú th ho c cú m t c s d li u đ c g n s n ho c cú th qua yờu c u ch ng th c đ t i m t b đi u khi n vựng, nh NDS server, active directory server, ho c th m chớ là m t h th ng c s d li u t ng h p LDAP.
M t vài RADIUS vendor cú nh ng s n ph m Radius h u hi u h n, h tr cỏc b n m i nh t cho cỏc giao th c ch ng th c nh là nhi u lo i EAP.
Vi c qu n tr m t Radius server cú th r t đ n gi n nh ng c ng cú th r t ph c t p, ph thu c vào yờu c u c n th c hi n. B i cỏc gi i phỏp b o m t khụng dõy r t nh y c m, do đú c n c n th n khi ch n m t gi i phỏp Radius server đ ch c ch n r ng ng i qu n tr cú th qu n tr nú ho c nú cú th làm vi c hi u q a v i ng i qu n tr Radius đang t n t i.
4. S b o m t c n thi t
Ch n m t gi i phỏp b o m t mà phự h p v i nhu c u và ngõn sỏch c a t ch c, cho c bay gi và mai sau. WLAN đang nhanh chúng ph bi n nh v y vỡ s th c hi n d dàng. M t WLAN b t đ u v i 1 AP và 5 client cú th nhanh chúng lờn t i 15 AP và 300 client. Do đú cựng m t c ch an toàn làm vi c cho m t AP là đi u hoàn toàn khụng th ch p nh n đ c cho 300 Ap, nh th s làm t ng chi phớ b o m t m t cỏch đỏng k . Trong tr ng h p này, t ch c c n cú cỏc ph ng phỏp b o m t cho c h th ng nh : h th ng phỏt hi n xõm nh p, firewalls, Radius server. Khi quy t đnh cỏc gi i phỏp trờn WLAN, thỡ cỏc thi t b này xột v lõu dài, là m t nhõn t quan tr ng đ gi m chi phớ.
5. S d ng thờm cỏc cụng c b o m t
T n d ng cỏc cụng ngh s n cú nh VPNs, firewall, h th ng phỏt hi n xõm nh p, Intrusion Detection System (IDS), cỏc giao th c và cỏc chu n nh 802.1x và EAP, và ch ng th c client v i Radius cú th giỳp đ cỏc gi i phỏp an toàn n m ngoài ph m vi mà chu n 802.11 yờu c u, và th a nh n. Giỏ và th i gian th c hi n cỏc gi i phỏp này thay đ i tựy theo quy mụ th c hiờn.
6. Theo dừi cỏc ph n c ng trỏi phộp
phỏt hi n ra cỏc AP trỏi phộp, cỏc phiờn dũ cỏc AP đú c n đ c ho ch đ nh c th nh ng khụng đ c cụng b . Tớch c c tỡm và xúa b cỏc AP trỏi phộp s gi n đnh c u hỡnh AP và làm t ng tớnh an toàn. Vi c này cú th đ c th c hi n trong khi theo dừi m ng m t cỏch bỡnh th ng và h p l . Ki u theo dừi này th m chớ cú th tỡm th y cỏc thi t b b m t.
7. Switches hay Hubs
M t nguyờn t c đ n gi n khỏc là luụn k t n i cỏc AP t i switch thay vỡ hub, hub là thi t b qu ng bỏ, do đú d b m t pass và IP address.
8. Wireless DMZ
í t ng khỏc trong vi c th c hi n b o m t cho nh ng segment khụng dõy là thi t l p m t vựng riờng cho m ng khụng dõy, Wireless DeMilitarized Zone (WDMZ). T o vựng WDMZ s d ng firewalls ho c router thỡ cú th r t t n kộm, ph thu c vào quy mụ, m c đ th c hi n. WDMZ núi chung đ c th c hi n v i nh ng mụi tr ng WLAN r ng l n. B i cỏc AP v c b n là cỏc thi t b khụng b o đ m và khụng an toàn, nờn c n ph i tỏch ra kh i cỏc đo n m ng khỏc b ng thi t b firewall.
Hỡnh 48: Wireless DeMilitarized Zone
9. C p nh t cỏc vi ch ng trỡnh và cỏc ph n m m
C p nh t vi ch ng trỡnh và driver trờn AP và card khụng dõy c a b n. Luụn luụn s d ng nh ng ch ng trỡnh c s và driver m i nh t trờn AP và card khụng dõy c a b n. Th ng thỡ cỏc đ c tớnh an toàn, cỏc v n đ c b n s đ c c đ nh, b sung thờm nh ng đ c tớnh m i, s kh c ph c cỏc l h ng trong cỏc c p nh t này.
PH L C
CÁC THU T NG C S D NG
AAA Authentication, Authorization, Accountting ACK Acknowlegment
ADSL Asymmetric Digital Subscriber Line
AES Advanced encryption standard
AES Advanced Encryption Standard
AP Access point
ASK Amplitude shift keying
CCK Complementary Code Keying
CDMA Code Divison Multiple Access
CPE Customer Premises Equipment
CSMA/CA Carrier Sense Multiple Access /Collision Avoidance
CTS Clear To Send
DCS Dynamic Channel Selection
DHCP Dynamic Host Configuration Protocol
DSSS Direct Sequence Spread Strectrum
EAP Extensible Authentication Protocol
EAP Extensible Authentication Protocol
ESS Extended Service Set
FDD Frequency Division Duplexing
FDMA Frequency Division Multiple Access
FHSS Frequency Hopping Spread Spectrum
FIPS Federal Information Processing Standard
FSK Frequency Shift keying
ICV Integrity Check Value
IDS Intrusion Detection System
IEEE Institute of Electrical and Electronics Engineers
IMS Industrial, Scientific and Medical
IV Initialization Vector
NIST National Institute of Standards and Technology
OFDM Orthogonal Frequency Division Multiplexing
PCMCIA Personal Computer Memory Card International
Association
PDA Personal digital assistant
PRNG Pseudo Random Number Generator
PSK Phase Shifp Keying
QoS Quality of Service
QPSK Quardrature Phase Shift Keying
RADIUS Remote Authentication Dial _ In User Service
RTS Request To Send
SSIDs Service Set Identifiers
TDD Time Division Duplexing
TDMA Time Division Multiple Access
TKIP Temporal Key Integrity Protocol
VPN Virtual Private Network
WDMZ Wireless DeMilitarized Zone
WECA Wireless Ethernet Compatibility Alliance uh
WEP Wired Equivalent Privacy
WEP Wired Equivalent Privacy
S đnh v m t WLAN:
M t mỏy Client mu n đ nh v m t WLAN thỡ nú s “nghe” trờn m ng đ tỡm ki m nh ng v t tin đ l i b i AP, cỏc SSID ho c cỏc b n tin d n đ ng (Beacons). Quỏ trỡnh này đ c g i là quột, cú hai lo i quột là: quột ch đ ng và quột b đ ng
Beacons:
Vi t đ y đ là Beacon management frame, là cỏc khung ng n mà đ c g i t AP t i cỏc mỏy tr m (Station) trong ch đ c s , ho c t cỏc tr m t i cỏc tr m trong ch đ đ c bi t, đ thi t l p và đ ng b thụng tin vụ tuy n trờn m ng WLAN. Trong b n tin d n đ ng ch a cỏc thụng tin ph c v :
S đ ng b :
Khi cỏc client nh n đ c b n tin d n đ ng, thỡ chỳng s đ ng b đ ng h c a mỡnh v i đ ng h c a AP.
T p h p cỏc tham s c a FH và DS:
Ch a đ ng cỏc thụng tin đ c bi t ph c v cho cụng ngh tr i ph : v i h th ng FHSS, thỡ là cỏc thụng s v th i gi n nh y và ng ng. Cũn v i DSSS, b n tin d n đ ng ch a cỏc thụng tin v kờnh truy n.
Thụng tin v SSID:
Cỏc tr m tỡm trong b n tin d n đ ng thụng tin SSID c a m ng mà chỳng mu n truy c p. Khi cỏc thụng tin này đ c tỡm th y, cỏc tr m xem đ a ch MAC c a n i xu t phỏt b n tin d n đ ng và g i yờu c u ch ng th c đ liờn k t v i đi m truy nh p. N u m t tr m đ c thi t l p đ ch p nh n b t c SSID nào, tr m đú s c g ng truy c p đ n m ng thụng qua AP đ u tiờn mà g i b n tin d n đ ng ho c thụng qua AP cú tớn hi u t t nh t trong tr ng h p cú nhi u AP.
Ch ng th c và liờn k t:
Quỏ trỡnh này cú ba tr ng thỏi phõn bi t:
1. Khụng ch ng th c và khụng liờn k t (Unauthenticated and unassociated)
2. Ch ng th c và khụng liờn k t (Authenticated and unassociated)
X y ra theo s đ sau:
Quỏ trỡnh ch ng th c h th ng m :
Quỏ trỡnh này th c hi n đ n gi n theo hai b c sau:
1. Mỏy client g i m t yờu c u liờn k t t i AP
2. AP ch ng th c mỏy khỏch và g i m t tr l i xỏc th c client đ c liờn k t
Ph ng phỏp này thỡ đ n gi n và b o m t h n ph ng phỏp ch ng th c khúa chia s , ph ng phỏp này đ c 802.11 cài đ t m c đnh trong cỏc thi t b WLAN. S d ng ph ng phỏp này m t tr m cú th liờn k t v i b t c m t AP nào s d ng ph ng phỏp ch ng th c h th ng m khi nú cú SSID đỳng. SSID đú ph i phự h p trờn c AP và Client tr c khi Client đú hoàn thành quỏ trỡnh ch ng th c. Quỏ trỡnh ch ng th c h th ng m dựng cho c mụi tr ng b o m t
và mụi tr ng khụng b o m t. Trong ph ng phỏp này thỡ WEP ch đ c s d ng đ mó húa d li u, n u cú.
Ch ng th c khúa chia s :
Ph ng phỏp này b t bu c ph i dựng WEP.
M t quỏ trỡnh ch ng th c khúa chia s x y ra theo cỏc b c sau:
1. M t clien g i yờu c u liờn k t t i AP, b c này gi ng nh ch ng th c h th ng m .
2. AP g i m t đo n v n b n ng u nhiờn t i Client, v n b n này ch a đ c mó húa, và yờu c u Client dựng chỡa khúa WEP c a nú đ mó húa.
3. Clien mó húa v n b n v i chỡa khúa WEP c a nú và g i v n b n đó đ c mó húa đú đ n AP.
4. AP s th gi i mó v n b n đú, đ xỏc đnh xem chỡa khúa WEP c a Client cú h p l khụng, n u cú thỡ nú g i m t tr l i cho phộp, cũn n u khụng, thỡ nú tr l i b ng m t thụng bỏo khụng cho phộp Client đú liờn k t.
Nhỡn qua thỡ ph ng phỏp này cú v an toàn h n ph ng phỏp ch ng th c h th ng m , nh ng n u xem xột k thỡ trong ph ng phỏp này, chỡa khúa Wep đ c dựng cho hai m c đớch, đ ch ng th c và đ mó húa d li u, đõy chớnh là k h đ hacker cú c h i thõm nh p m ng. Hacker s thu c hai tớn hi u, v n b n ch a mó húa do AP g i và v n b n đó mó húa, do Client g i, và t hai thụng tin đú hacker cú th gi i mó ra đ c chỡa khúa WEP.
Cỏc thi t b c b n c a WLAN
Access Point
Thi t b này là m t trong nh ng thi t b ph bi n nh t trong c s m ng WLAN. Nú cú vai trũ là m t đi m truy nh p, cung c p cho khỏch hàng m t đi m truy nh p vào trong m ng. AP là m t thi t b bỏn song cụng. Hỡnh sau mụ t m t AP v i hai anten và v trớ c a m t AP trong m ng
Cỏc ch đ làm vi c c a AP:
AP liờn l c v i cỏc mỏy Client, v i m ng h u tuy n, v i cỏc AP khỏc, theo ba