b/ Các cơ chế phát hiện xâm nhập (Intrusion Detection Mechanisms)
3.1Xây dƣ̣ng bài toán mô hình thƣ̉ nghiệm không áp dụng bảo mật
3.1.1 Mô hình mạng lƣới không dây tại Khoa Ngoại ngƣ̃ – Đại h ọc Thái Nguyên
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Các thiết bị trong hệ thống mạng Khoa Ngoại ngữ bao gồm :
02 Switch Cisco Catalyst Express 500 lắp đặt tại phòng máy chủ
01 Switch Cisco Catalyst Express 500 lắp đặt tại khu giảng đƣờng tầng 2
01 Loadbalancing Linksys RV016 (cân bằng tải).
3.1.2 Bài toán kết hợp hệ thống mạng WMN với hệ thống mạng sẵn có của Khoa Ngoại ngữ
Do Khoa Ngoại ngƣ̃ mới thành lập cho nên khuôn viên của Khoa đƣợc bố trí hoạt động trong một phạm vi hẹp . Chính vì vậy chỉ cần một hệ thống mạng WMN với 03 router là đảm bảo điều kiện phục vụ nhu cầu của cán bộ và sinh viên trong Khoa.
Để triển khai thƣ̣c hiện , tôi lƣ̣a chọn 03 modem Linksys Wireless-N ADSL2+Gateway WAG 160N và cấu hình thành 03 router kết nối vật lý đến hệ thống mạng sẵn có thông qua cable Lan AMP Cat 5e.
Sơ đồ đặt 03 router:
Hình 3.2: Vị trí đặt 03 router Thủ tục tìm kiếm đường giữa các router
Giả định rằng ban đầu bộ nhớ đệm trong tất cả các router đều trống (những router này chƣa biết gì về sự có mặt của nhau và những đƣờng dẫn có thể có giữa
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
chúng). Khi router R2 muốn gửi dữ liệu đến router R3, nó phát ra tín hiệu yêu cầu tìm đƣờng dẫn, và quá trình tìm đƣờng dẫn lúc này mới đƣợc kích hoạt. Router R1 nhận đƣợc yêu cầu của R2 vì nó nằm trong vùng phủ sóng của R2. Router R3 là địa chỉ của yêu cầu đó và R1 chƣa có thông tin nào về địa chỉ của R3 lúc này, vì vậy router R1 gắn ID của nó vào trong danh sách các router trung gian đƣợc đính kèm trong yêu cầu của R2 và chuyển tiếp yêu cầu đó đến những router khác. Khi R3 nhận đƣợc yêu cầu đƣợc gửi đến từ R1, nó nhận biết rằng địa chỉ của nó trùng với địa chỉ đích đến. Vì vậy một đƣờng dẫn từ R2 đến R3 đƣợc tìm thấy. Để giúp cho router nguồn (R2) và những router trung gian (R1) thiết lập đúng đƣờng dẫn, router R3 gửi một thông điệp trả lời về R2 trong trƣờng hợp đây là đƣờng dẫn hai chiều. Quá trình này đƣợc thực hiện dễ dàng vì ID của những router trung gian đều nằm trong gói yêu cầu đƣợc gửi đến R3. Những router trung gian này sau xây dựng cho mình bảng định tuyến ngay khi chúng nhận đƣợc trả lời từ router R3. Vì vậy, một đƣờng dẫn từ R2 đến R3 đƣợc thiết lập.
Trong quá trình tìm đƣờng, các router duy trì danh sách ID của những router trung gian trong các yêu cầu tìm kiếm gần thời điểm đó để tránh phải xử lý cùng một yêu cầu tìm kiếm (lặp). Yêu cầu tìm kiếm bị bỏ qua trong trƣờng hợp chúng đã đƣợc xử lý gần thời điểm đó và đƣợc xác định là một yêu cầu lặp. Khi một router nhận đƣợc yêu cầu và nhận ra rằng ID của nó đã nằm sẵn trong danh sách router trung gian của yêu cầu đó thì yêu cầu này sẽ bị bỏ qua.
Thiết lập tại Khoa Ngoại ngữ – Đại học Thái Nguyên
Do khuôn viên hẹp nên vấn đề khoản g cách giƣ̃a các router luôn đƣợc đảm bảo dù ở bất kỳ vị trí nào trong tòa nhà . Để thuận tiện cho việc lắp đặt , tôi bố trí 03 router đặt tại trung tâm của 2 tầng và ở giƣ̃a khu vƣ̣c hành lang giƣ̃a tầng 1 và tầng 2 (do trƣớc đây khi thiết kế LAN đã thiết kế sẵn các node chờ tại nhƣ̃ng vị trí đó).
Trong 03 router, thì chỉ có router 01 đƣợc nối vào hệ thống Lan của Khoa và trung chuyển dƣ̃ liệu qua lại giƣ̃a 02 router còn lại.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Quá trình cài đặt thông số kỹ thuật cho các router đƣợc mô tả chi tiết bằng hình ảnh nhƣ sau:
Hình 3.3: Giao diện quản lý Switch Cisco Catalyst Express 500
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Hình 3.5: Thiết lập node chờ 12 để kết nối đến router R1
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Sau khi thiết lập thông số kỹ thuật tại Switch CE 500 để kết nối đến router R 1, ta tiến hành thiết lập thông số cho 03 modem Linksys Wireless-N ADSL2+Gateway WAG160N.
Hình 3.7: Cấu hình modem WAG 160N thành router
3.2 Bài toán xây dựng mô hình thử nghiệm có áp dụng bảo mật
Đối với bài toán này , các router WAG 160N đều tích hợp sẵn các phƣơng thƣ́c bảo mật của hãng Cisco, điều này đảm bảo cho việc bảo mật hệ thống WMN. Ta lần lƣợt tiến hành thiết lập các thông số cho 3 router nhƣ sau:
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
3.2.1 Thiết lập Firewall và VPN passthrough
Hình 3.8 Thiết lập Firewall cho hệ thống (adsbygoogle = window.adsbygoogle || []).push({});
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
3.2.2 Giấu SSID của router
Hình 3.10 Giấu SSID
3.2.3 Thiết lập Key truy nhập cho router
Hình 3.11 Thiết lập Key truy nhập router
Trong bài toán này , ta chọn kiểu bảo mật là WPA -Personal, key mã hóa theo dạng TKIP hoặc AES.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
3.2.4 Quản lý đối tƣợng truy nhập v ào hệ thống qua địa chỉ MAC
Trong bài toán này, vấn đề đặt ra là chỉ cho phép nhƣ̃ng đối tƣợng xác định truy nhập vào hệ thống.
Hình 3.12 Thiết lập địa chỉ MAC của đối tượng được phép truy nhập
Chỉ những đối tƣợng có địa chỉ MAC đƣợc gán vào hệ thống mới đƣợc phép truy nhập vào hệ thống WMN , còn những đối tƣợng khác sẽ không thể kết nối đƣợc vào hệ thống.
3.3 Kết luận
Trong chƣơng này , việc xây dƣ̣ng mô hình thƣ̉ nghiệm đƣợc tiến hà nh cụ thể trên hệ thống mạng WMN kết hợp với hệ thống mạng sẵn có của Khoa Ngoại ngƣ̃ – Đại học Thái Nguyên.
Quá trình thử nghiệm đƣợc chia thành 02 bài toán là bài toán không áp dụng bảo mật và bài toán áp dụng bảo mật vào hệ thống.
Đối với bài toán thứ nhất , mọi đối tƣợng đều có thể truy nhập vào hệ thống WMN mà không gặp bất kỳ một trở ngại nào . Còn đối với bài toán thứ 2 thì chỉ có nhƣ̃ng đối tƣợng xác định mới có thể tru y nhập đƣợc vào hệ thống WMN của Khoa Ngoại ngữ – Đại học Thái Nguyên.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
KẾT LUẬN
Vấn đề bảo mật cho hệ thống mạng không dây luôn là một vấn đề hết sức khó khăn và đƣợc đặt ở vị trí rất quan trọng trong hầu hết các bản thiết kế mạng, tuy nhiên, để có thể có đƣợc một giải pháp hoàn hảo cho mọi tình huống là một điều gần nhƣ rất khó. Chính vì vậy, khi thiết kế hệ thống mạng, chúng ta phải dựa trên cơ sở, yêu cầu thực tế của hệ thống, cân nhắc giữa các lợi hại của các phƣơng pháp để đƣa ra các chính sách bảo mật hợp lý nhất. Với mong muốn giúp các nhà quản trị mạng có thể xây dựng các giải pháp bảo mật tốt hơn cho hệ thống mạng không dây, trong sự phát triển mạnh mẽ của công nghệ không dây hiện nay và trong tƣơng lai, đề tài "Một số vấn đề an ninh trong mạng lƣới không dây" của em đã nghiên cứu đƣợc một số vấn đề sau:
Tìm hiểu tổng quan về hệ thống mạng lƣới không dây, kiến trúc, các giao thức, cũng nhƣ một số vấn đề về kỹ thuật của hệ thống mạng không dây.
Tìm hiểu một số các phƣơng pháp tấn công cơ bản trong hệ thống mạng lƣới không dây. Từ đó xây dựng các giải pháp phù hợp cho hệ thống.
Nghiên cứu một số phƣơng pháp đã đƣợc sử dụng để cải thiện tính bảo mật của hệ thống mạng lƣới không dây, đề xuất sử dụng các phƣơng pháp trong việc thiết kế hệ thống mạng.
Trong khuôn khổ của luận văn, việc nghiên cứu mới chỉ dừng lại ở mức phân tích và đƣa ra một số các nhận xét về các biện pháp và công cụ bảo mật đã có cũng nhƣ các phƣơng thức bảo mật đang đƣợc phát triển và sử dụng với hệ thống mạng không dây. Nhằm cung cấp thêm cho ngƣời quản trị mạng có cái nhìn tổng quan hơn về các công nghệ hiện hành và khả năng bảo mật thật sự của hệ thống mạng không dây, từ đó ra quyết định lựa chọn phƣơng án bảo mật cho hệ thống của mình.
Tuy nhiên do thời gian có hạn và còn nhiều hạn chế về kiến thức nên trong quá trình thực hiện luận văn, không tránh khỏi có những sai sót. Em mong rằng sẽ nhận đƣợc những ý kiến đóng góp của thầy cô và các bạn để luận văn sẽ có thể hoàn thiện hơn, có ích hơn trong thực tế.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
TÀI LIỆU THAM KHẢO
[1] RF C3561 Perkins, et. al ., “ Ad hoc On- De mand Di stance Vector (AODV) Routing” (July 2003)
[2] “Multi- Layered Security Framework for Metro -Scale Wi -Fi Networks”, Tropos Networks White Paper (February 2005 )
[3] “ Deployment Guide: Cisco Mesh Networking Solution”, Cisco (R ele ase 3 .2)
[4] Klein -Berndt, L. “ A Quick Guide to AODV Routing”, Wireless Communic ations Technologies Group, NIST (http://w3. antd.nist.gov/ wctg/aodv_ kernel/) [5] Jones, D. , “Metro- Mesh: A Hacker 's Paradise? ”, Unstrung: Dark Reading ( May 24 , 2006)
[6] Cheng , Z., et . al., “ Security Analysis of LWAP P” ( April 7 , 2004 ) [7] Milanovic , N., et al ., “ Routing and Security in Mobile Ad Hoc Networks ”, I EEE Computer Society (February 2004) (adsbygoogle = window.adsbygoogle || []).push({});
[8] Yih- Chun Hu, et . al., “ A Survey of Secure Wireless Ad Hoc Routing”, I EEE Security and Privacy (May/June 2004 )
[9] Xia , H. , et. Al. , “ Detecting and Blocking Unauthorized Access in Wi- Fi Networks”
[10] Cheng, Z., et. al., “Security Analysis of LWAPP” (April 7, 2004)
[11] Milanovic, N., et al., “Routing and Security in Mobile Ad Hoc Networks”, IEEE Computer Society (February 2004)
[12] Yih-Chun Hu, et. al., “A Survey of Secure Wireless Ad Hoc Routing”, IEEE Security and Privacy (May/June 2004)
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
LỜI CẢM ƠN
Trƣớc tiên tôi xin đƣợc trân trọng gửi lời cảm ơn chân thành tới các thầy cô đã giảng dạy chúng tôi trong các môn chuyên đề sau đại học, cũng nhƣ trong quá trình thực tập và viết, hoàn thiện luận văn. Đặc biệt, xin cảm ơn PGS.TS Nguyễn Văn Tam đã giúp đỡ, chỉ bảo tôi trong quá trình thực hiện luận văn này.
Nhân dịp này, tôi xin chân thành cảm ơn lãnh đạo và đồng nghiệp Trƣờng THPT Hùng An – Huyên Bắc Quang – Tỉnh Hà Giang đã giúp đỡ tạo mọi điều kiện cho tôi trong quá trình học tập, công tác để tôi có thể hoàn thành tốt luận văn tốt nghiệp, và hoàn thành đề tài nghiên cứu khoa học này.
Thời gian thực hiện luận văn, dù bản thân đã cố gắng rất nhiều trong học tập và nghiên cứu. Tuy nhiên luận văn không tránh khỏi những thiếu sót, vì vậy tôi rất mong nhận đƣợc sự chỉ bảo góp ý của quý thầy cô và bạn bè đồng nghiệp để luận văn này đƣợc hoàn thiện hơn.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
LỜI CAM ĐOAN
Tôi xin cam đoan luận văn này là kết quả tìm hiểu, nghiên cứu của tôi. Các số liệu, kết quả trong luận văn là trung thực. Tài liệu sử dụng, trích dẫn trong luận văn là trung thực chƣa từng công bố trong công trình nghiên cứu khác.
Học viên
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
MỤC LỤC
LỜI MỞ ĐẦU ... 1
1.Đặt vấn đề ... 1
2. Mục tiêu nghiên cứu ... 1
3. Phạm vi nghiên cứu ... 2
4. Phƣơng pháp nghiên cứu ... 2
5. Ý nghĩa khoa học và ý nghĩa thực tiễn của đề tài ... 2
CHƢƠNG 1: KIẾN TRÚC CỦA MẠNG LƢỚI KHÔNG DÂY ... 3
1. Giới thiệu về mạng lƣới không dây ... 3
1.1 Các cấu hình cơ bản của mạng WMN ... 5
1.2 Định tuyến trong mạng WMN ... 7
1.2.1 Giao thức DSR ... 9
1.2.2 Giao thức AODV ... 11
1.2.2.1 Khám phá đƣờng ... 12
1.1.2.2 Duy trì đƣờng ... 13 (adsbygoogle = window.adsbygoogle || []).push({});
1.3 Vấn đề an ninh của mạng lƣới không dây ... 16
CHƢƠNG 2 BẢO MẬT TRONG MẠNG KHÔNG DÂY MESH... 19
2.1. Các dạng tấn công trong mạng không dây mesh... 20
2.1.1. Tấn công tầng vật lý ... 20
2.1.2. Tấn công tầng MAC ... 21
2.1.2.1 Nghe lén thụ động ... 21
2.1.2.2 Tấn công gây nhiễu tại tầng liên kết ... 21
2.1.2.3 Tấn công giả mạo tầng MAC ... 22
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
2.1.2.5. Tấn công dự đoán trƣớc và tấn công kết hợp từng phần (Pre-computation
and Partial Matching Attacks) ... 23
2.1.3. Tấn công tại tầng mạng ... 24
2.1.3.1 Tấn công mặt điều khiển ... 25
2.1.3.2 Tấn công mặt dữ liệu (Data Plane Attacks) ... 28
2.2. Bảo mật trong mạng không dây mesh ... 28
2.2.1. Đặc điểm của các giải pháp bảo mật trong mạng không dây mesh ... 28
2.2.2. Các cơ chế bảo mật cho mạng không dây mesh ... 29
2.2.2.1. các cơ chế bảo mật tằng MAC (MAC Layer Security Mechanisms) ... 31
a/ Cơ chế phòng chống xâm nhập (Intrusion Prevention Mechanisms) ... 31
b/ cơ chế phát hiện xâm nhập (Intrusion Detection Mechanisms) ... 34
2.2.2.2. Các cơ chế bảo mật tầng mạng (Network Layer Security Mechanisms) .... 35
a/ Các cơ chế ngăn chặn xâm nhập (Intrusion Prevention Mechanisms) ... 35
b/ Các cơ chế phát hiện xâm nhập (Intrusion Detection Mechanisms) ... 36
2.3. Chuẩn bảo mật IEEE 802.11i ... 37
2.3.1. Giới thiệu chuẩn bảo mật IEEE 802.11i ... 37
2.3.2 Lỗ hổng bảo mật trong IEEE 802.11i và tấn công bảo mật ... 41
2.3.2.1 Lỗ hổng trong IEEE 802.1X ... 42
2.3.2.2 Lỗ hổng trong bắt tay bốn bƣớc. ... 44
2.3.2.3 Lỗ hổng trong mã hóa CCPM ... 46
CHƢƠNG 3 XÂY DỰNG GIẢI PHÁP AN NINH THỬ NGHIỆM CHO MẠNG LƢỚI KHÔNG DÂY ... 47 (adsbygoogle = window.adsbygoogle || []).push({});
3.1 Xây dƣ̣ng bài toán mô hình thƣ̉ nghiệm không áp dụng bảo mật ... 47 3.1.1 Mô hình mạng lƣới không dây tại Khoa Ngoại ngƣ̃ – Đại học Thái Nguyên . 47
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
3.1.2 Bài toán kết hợp hệ thống mạng WMN với hệ thống mạng sẵn có của Khoa
Ngoại ngữ ... 48
3.2 Bài toán xây dựng mô hình thử nghiệm có áp dụng bảo mật ... 52
3.2.1 Thiết lập Firewall và VPN passthrough... 53
3.2.2 Giấu SSID của router ... 54
3.2.3 Thiết lập Key truy nhập cho router... 54
3.2.4 Quản lý đối tƣợng truy nhập vào hệ thống qua địa chỉ MAC ... 55
3.3 Kết luận ... 55
KẾT LUẬN ... 56
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
DANH MỤC CÁC CHỮ VIẾT TẮT
AAA Server Ủy quyền và tính toán
AAD Additional Authentication Data AES Advanced Encryption Standard Anonce Authenticator nonce
AODV Ad - Hoc On- Dem and Dist ance Vector
AP Access Point
ARAN Authenticated Routing for ad hoc network CCMP Counter mode with CBC-MAC protocol CDMA Đa truy nhập phân chia theo mã
CMM Cipher Block Chaning Massage Authentication code
CRT Counter Mode
CSMA/CA Đa truy nhập phân tán
DSR Định tuyến nguồn động
EAP Giao thức xác thực mở rộng
GTK Group temporal key
ICV Intergrity Cheek value
IV Intalization vector
LAN Loc al Are a Net work MAC Mediu m Acc ess Control
MIC Message intergrity
MPDU MAC protocol data unit
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn (adsbygoogle = window.adsbygoogle || []).push({});
PN Packet Number
PTK Pair wise transient Key
PRNG Psecido random nember genertor
QoS Chất lƣợng dịch vụ
RD Router Discovery
RM Router maintenance
RREQ Router Request
RREP Router Reply
RRER Router Error
SAK Serect Authentication Key
SAODV Secare AODV
SNonce Supplicant nonce SRP Secure routing Protocol
SSK Serect Key
TDMA Đa truy nhập phân chia theo thời gian
TK Temporal Key
TKIP Temporal key Intergrity protocol WEP Wired Equivalent privacy
WMN Wireless Mesh network
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn