ATTACKS
Tấn công theo kiểu thu hút - Man in the middle attacks có nghĩa là dùng một khả năng mạnh hơn chen vào giữa hoạt động của các thiết bị và thu hút, giành lấy sự trao đổi thông tin của thiết bị về mình. Thiết bị chèn giữa đó phải có vị trí, khả năng thu phát trội hơn các thiết bị sẵn có của mạng. Một đặc điểm nổi bật của kiểu tấn công này là người sử dụng không thể phát hiện ra được cuộc tấn công, và lượng thông tin mà thu nhặt được bằng kiểu tấn công này là giới hạn.
CHƯƠNG IV: MỘT SỐ GIẢI PHÁP BẢO MẬT MỚI AN TOÀN
Bảo mật là vấn đề rất quan trọng và đặc biệt rất được sự quan tâm của những doanh nghiệp. Không những thế, bảo mật cũng là nguyên nhân khiến doanh nghiệp e ngại khi cài đặt mạng cục bộ không dây (wireless LAN). Họ lo ngại về bảo mật trong WEP(Wired Equivalent Privacy), và quan tâm tới những giải pháp bảo mật mới thay thế an toàn hơn. IEEE và Wi-Fi Alliance đã phát triển một giải pháp bảo mật hơn là: Bảo vệ truy cập Wi-Fi WPA - Wi-Fi Protected Access/ Bảo vệ truy nhập Wi-Fi và IEEE 802.11i (cũng được gọi là WPA2 Certified - Wi-Fi Protected Access/ Xác thực bảo vệ truy nhập Wi-Fi 2 theo Wi-Fi Alliance) và một giải pháp khác mang tên VPN Fix cũng giúp tăng cường bảo mật mạng không dây.
4.1 VPN (Virtual Private Network) Fix
Nhận ra sự yếu kém của WEP, những người sử dụng doanh nghiệp đã khám phá ra một cách hiệu quả để bảo vệ mạng không dây WLAN của mình, được gọi là VPN Fix. Ý tưởng cơ bản của phương pháp này là coi những người sử dụng WLAN như những người sử dụng dịch vụ truy cập từ xa.
Nhận ra sự yếu kém của WEP, những người sử dụng doanh nghiệp đã khám phá ra một cách hiệu quả để bảo vệ mạng không dây WLAN của mình, được gọi là VPN Fix. Ý tưởng cơ bản của phương pháp này là coi những người sử dụng WLAN như những người sử dụng dịch vụ truy cập từ xa.
Tuy nhiên, giải pháp này cũng không phải là hoàn hảo, VPN Fix cần lưu lượng VPN lớn hơn cho tường lửa, và cần phải tạo các thủ tục khởi tạo cho từng người sử dụng. Hơn nữa, IPSec lại không hỗ những thiết bị có nhiều chức năng riêng như thiết bị cầm tay, máy quét mã vạch... Cuối cùng, về quan điểm kiến trúc mạng, cấu hình theo VPN chỉ là một giải pháp tình thế chứ không phải là sự kết hợp với WLAN.
4.2 GIẢI PHÁP BẢO MẬT BẰNG XÁC THỰC
Một sự thật là khi đã khám phá ra những lỗi về bảo mật trong mạng LAN không dây, ngành công nghiệp đã phải tốn rất nhiều công sức để giải quyết bài toán này. Một điều cần ghi nhớ là chúng ta cần phải đối diện với 2 vấn đề: xác thực và
bảo mật thông tin. Xác thực nhằm đảm bảo chắc chắn người sử dụng hợp pháp có thể truy cập vào mạng. Bảo mật giữ cho truyền dữ liệu an toàn và không bị lấy trộm trên đường truyền.
Một trong những ưu điểm của xác thực là IEEE 802.1x sử dụng giao thức xác thực mở rộng EAP (Extensible Authentication Protocol). EAP thực sự là một cơ sở tốt cho xác thực, và có thể được sử dụng với một vài các giao thức xác thực khác. Những giao thức đó bao gồm MD5, Transport Layer Security (TLS), Tunneled TLS (TTLS), Protected EAP (PEAP) và Cisco”s Lightweight EAP (LEAP).
Thật may mắn, sự lựa chọn giao thức xác thực chỉ cần vài yếu tố cơ bản. Trước hết, một cơ chế chỉ cần cung cấp một hoặc 2 cách xác thực, có thể gọi là sự xác thực qua lại, có nghĩa là mạng sẽ xác thực người sử dụng và người sử dụng cũng xác thực lại mạng. Điều này quan trọng với mạng WLAN, bởi hacker có thể thêm điểm truy cập trái phép nào đó vào giữa các thiết bị mạng và các điểm truy cập hợp pháp để chặn và thay đổi các gói tin trên đường truyền dữ liệu. Và phương thức mã hóa MD5 không cung cấp xác thực qua lại nên cũng không được khuyến khích sử dụng.
4.3 CHUẨN MÃ HÓA 802.11i HAY WPA2
Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng nhận bởi Wi-Fi Alliance. Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES (Advanced Encryption Standard). AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit.
Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia về Chuẩn và Công nghệ của Mĩ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này. Và chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mĩ để bảo vệ các thông tin nhạy cảm.
Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES (Digital Encryption Standard). Để đảm bảo về mặt hiệu năng, quá trình mã hóa cần được thực hiện trong các thiết bị phần cứng như tích hợp vào chip. Tuy nhiên, rất ít card mạng WLAN hoặc các điểm truy cập có hỗ trợ mã hóa bằng
phần cứng tại thời điểm hiện tại. Hơn nữa, hầu hết các thiết bị cầm tay Wi – Fi và máy quét mã vạch đều không tương thích với chuẩn 802.11i.
4.4 WPA (Wi-Fi Protected Access)
Nhận thấy được những khó khăn khi nâng cấp lên 802.11i, Wi-Fi Alliance đã đưa ra giải pháp khác gọi là Wi-Fi Protected Access (WPA). Một trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol). WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể thực hiện được với WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu. Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền.
Một trong những điểm hấp dẫn nhất của WPA là không yêu cầu nâng cấp phần cứng. Các nâng cấp miễn phí về phần mềm cho hầu hết các card mạng và điểm truy cập sử dụng WPA rất dễ dàng và có sẵn. Tuy nhiên, WPA cũng không hỗ trợ các thiết bị cầm tay và máy quét mã vạch. Theo Wi-Fi Alliance, có khoảng 200 thiết bị đã được cấp chứng nhận tương thích WPA. WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn này đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc.
Trong khi Wi-Fi Alliance đã đưa ra WPA, và được coi là loại trừ mọi lỗ hổng dễ bị tấn công của WEP, nhưng người sử dụng vẫn không thực sự tin tưởng vào WPA. Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal. Khi mà sử dụng hàm thay đổi khoá TKIP được sử dụng để tạo ra các khoá mã hoá bị phát hiện, nếu hacker có thể đoán được khoá khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu. Tuy nhiên, lỗ hổng này cũng sẽ bị loại bỏ bằng cách sử dụng những khoá khởi tạo không dễ đoán (đừng sử dụng những từ như “PASSWORD” để làm mật khẩu).
CHƯƠNG V: QUY TRÌNH THIẾT KẾ MỘT MẠNG KHÔNG DÂY AN TOÀN BẢO MẬT
Xây dựng mạng không dây trong tòa nhà 3 tầng phục vụ cho công việc, đảm bảo tính bảo mật.
5.1 KHẢO SÁT MÔ HÌNH MẠNG KHÔNG DÂY TRONG TÒA NHÀ
Mô hình công ty gồm 3 tầng:
Tầng 1: tiền sảnh lớn và phòng họp, nơi tập trung các đối tác làm ăn.
Yêu cầu: có 1 Access point phục vụ việc truy cập, 1 máy chiếu, 1 máy Print. Tầng 2: các phòng thuộc bộ phận kế toán và phòng kỹ thuật các phòng đã có cáp UTP cat5e.
Yêu cầu: có 10 PC dùng cáp chuẩn 100Base T Fast Ethernet, các thiết bị Print, scan.
Tầng 3: phòng kinh doanh và thiết kế của công ty.
Yêu cầu: có 20 PC và 1 Access point, 2 máy Print, scan. (adsbygoogle = window.adsbygoogle || []).push({});
5.2 PHÂN TÍCH YÊU CẦU MÔ HÌNH MẠNG KHÔNG DÂY BẢO MẬT
Ở đây em chỉ đưa ra một mô hình mạng không dây bảo mật tốt nên không chú trọng vào những khâu khảo sát hay bảo trì. Chỉ tập trung vào mô hình và cài đặt cấu hình các thiết bị để bảo đảm được sự bảo mật.
Mạng máy tính này kết hợp giữa có dây và không dây có băng thông đủ để khai thác hiệu quả các ứng dụng, cơ sở dữ liệu của tổ chức.
Như vậy, mạng này sẽ được xây dựng trên nền tảng công nghệ truyền dẫn tốc độ cao Ethernet/FastEthernet/GigaEthernet và công nghệ không dây.
Đây là mô hình mạng không dây tương đối gồm các máy chủ dịch vụ như cơ sở dữ liệu, web server, máy chủ điều khiển miền…
Hệ thống các thiết bị chuyển mạch( Router, Switch ), điểm truy cập mạng không dây (Access point)
Mạng cần đảm bảo an ninh an toàn cho toàn bộ các thiết bị nội bộ trước các truy nhập trái phép ở mạng ngoài cũng như từ các truy nhập gián tiếp có mục đích phá hoại hệ thống.
Mạng sẽ được bảo vệ bởi firewall, các access point sẽ được cấu hình để ngăn chặn tấn công và truy nhập trái phép.
WLAN này được cấu thành bởi switch chuyển mạch tốc độ cao hạng chế tối thiểu xung đột dữ liệu truyền tải.
Mạng WLAN này sử dụng chuẩn không dây 802.11g
5.3 THIẾT KẾ MÔ HÌNH MẠNG KHÔNG DÂY BẢO MẬT
Mô hình mạng WLAN bao gồm 2 lớp: lớp mạng máy chủ nội bộ và lớp mạng truy cập.
Hình 5-2 – Mô hình WLAN trong tòa nhà công ty 5.3.1 Lớp mạng máy chủ nội bộ
Lớp mạng máy chủ nội bộ có nhiệm vụ quản lý toàn bộ hệ thống mạng bao gồm 3 máy server phục vụ cho yêu cầu công việc của công ty: Database Server, Web Server và Domain Server, 1 bộ chuyển mạch trung tâm tốc độ cao, 1 Switch phân tán, 1 modem kết nối internet.
Hệ thống chuyển mạch bao gồm router có khả năng xử lý tốc độ cao có cấu trúc phân thành 2 lớp là lớp phân tán (Distribution) và lớp truy cập (Access), băng thông lớn có khả xử lý đến hàng trăm triệu bit/giây và tăng cường bảo mật cho các phân đoạn bảo mật riêng rẽ.
Switch phân tán là Switch Layer 3 có tác dụng chuyển lưu lượng qua lại giữa các switch truy cập và Access point. Bất kỳ switch truy cập nào được kết nối vào Switch phân tán đều đảm bảo cung cấp băng thông cho toàn bộ các máy tính kết nối đến.
Hệ thống máy chủ nội bộ nằm tách rời trong một phân đoạn mạng Lan cho phép bảo mật tốt hơn và quản trị tập trung. Ví dụ: Khi có một phòng ban nào đó không cần truy cập vào máy chủ nội bộ thì switch phân phối sẽ ngăn cản không cho liên lạc giữa phân đoạn mạng Lan với phân đoạn mạng dành cho máy chủ nội bộ và người quản trị có khả năng cho phép hoạt động qua lại giữa các Lan hoặc siết chặt an ninh, hạn chế truy cập với các phân mạng quan trọng.
5.3.2 Lớp mạng truy cập
Lớp mạng truy cập bao gồm các Switch truy cập và Access Point. Switch truy cập cho các máy tính đường kết nối vào mạng dữ liệu. Sử dụng công nghệ 10/100 Base TX FastEthernet và đáp ứng được mục tiêu cung cấp số lượng truy cập lớn cho phép mở rộng số lượng người truy cập trong tương lai. Các Switch truy cập sẽ kết nối với Switch phân phối để tập trung lưu lượng thông qua Switch phân phối. Lớp mạng truy cập có nhiệm vụ cho người sử dụng cuối có thể truy nhập vào mạng WLAN gồm 2 switch layer 2 với 24 port được đặt ở phòng kế toán nằm tầng 2 và 1 ở phòng kinh doanh ở tầng 3. Và 3 access point WAP – 4000A được đặt ở mỗi tầng nằm ở những vị trí phát sóng tốt.
Mạng WLAN sẽ được bảo vệ bởi 2 tường lửa và giải pháp bảo mật trên access point như WEP, WPA và nhiều giải pháp khác tùy theo mức độ đã được giới thiệu ở Phần II.
5.4 Lắp đặt và cấu hình mạng không dây
Trong quá trình triển khai mạng không dây việc xác định vị trí và lắp đặt các access point là một trong những yếu tố quan trọng quyết định đến tốc độ và sự ổn định của mạng.
5.4.1 Triển khai access point
Điều quan trọng trong việc triển khai lắp đặt AP là lắp đặt các AP sao cho phải đủ gần nhau để cung cấp phạm vi rộng nhưng phải đủ xa để các AP không gây nhiễu lần nhau. Khoảng cách thực tế giữa 2 AP bất kỳ phụ thuộc vào sự kết hợp của kiểu AP (kiểu ăng-ten của AP và cấu trúc xây dựng của tòa nhà) cũng như các nguồn làm giảm, chặn và phản hồi tín hiệu.
Nên cố gắng giữ tỷ lệ trung bình tốt nhất giữa các máy trạm tới AP, tức là không để một AP phục vụ quá nhiều máy trạm còn một AP lại phục vụ một vài máy trạm
vì lượng trung bình người dùng kết nối tới một AP càng lớn thì hiệu quả truyền dữ liệu càng thấp. Quá nhiều máy khách sử dụng cùng 1 AP sẽ làm giảm lưu lượng mạng, hiệu quả và băng thông cho mỗi máy khách.
Nếu cấu hình hoạt động AP ở một kênh cụ thể thì card mạng không dây sẽ tự động cấu hình chính nó theo kênh của AP với tín hiệu mạnh nhất. Do vậy, để giảm bớt giao thoa giữa các AP chuẩn 802.11b, chúng ta phải cấu hình cho mỗi AP có vùng phủ sóng chồng lên nhau ở một kênh riêng biệt.
Việc lựa chọn vị trí đặt AP phụ thuộc vào cấu trúc của tòa nhà, các vật cản… Việc thay đổi truyền phát tín hiệu làm biến dạng vùng thể tích phạm vi lý tưởng qua việc ngăn chặn, phản hồi & suy giảm tần số radio (giảm cường độ tín hiệu) có thể ảnh hưởng đến cách bạn triển khai AP.
5.4.2 Cấu hình access point ở chế độ AP mode với mã hóa WEP
Có 3 mode mà access point được cấu hình: + AP mode (adsbygoogle = window.adsbygoogle || []).push({});
+ Reapearter mode + Brigde mode
Ở trong mạng này ta chỉ cần cấu hình access point WAP – 4000A theo AP mode. Thông thường cấu hình thông qua giao diện Web Browser, thông số mặc định của WAP – 4000A là:
IP address: 192.168.1.1 Subnet mask: 255.255.255.0 Default gateway: 192.168.1.1
Ta cần thiết lập địa chỉ IP máy trùng với địa chỉ IP WAP – 4000A.
Bước 1: Vào Web Browser gõ địa chỉ : http://192.168.1.1 một cửa sổ xuất hiện đăng nhập với user:admin và password:admin
Bước 2: Trong trang web cấu hình chọn Basic Settings.Màn hình giao diện như sau:
Hình 5-3 – Giao diện cấu hình WAP – 4000A
Bước 3: Đặt tên cho WAP – 4000A và SSID cho mạng không dây của bạn ở AP Name và SSID. Chọn loại hình bảo mật và mã code truy cập ở phần Authentication. Ở đây ta sẽ đặt mạng không dây tên là Neo kênh 6 với mã hóa bảo mật WEP 64bit, mật khẩu là 123456
Hình 5-4 – Cấu hình tên và chức năng chứng thực(bảo mật) Bước 4: Nhấn Apply để lưu cấu hình vừa thay đổi.
Hình 5-5 – Cấu hình chế độ AP mode cho WAP – 4000A
Bước 6: Chọn chế độ AP. Các thông số khác mặc định. Nhấn Apply để lưu lại cấu hình.
Như vậy là ta đã cấu hình cài đặt xong một AP để phục vụ mạng không dây, tiếp tục cấu hình 2 AP còn lại như vậy.
Một máy server trong mạng được cài DHCP server có nhiệm vụ cấp IP cho