Đang tải... (xem toàn văn)
Bảo mật trong mạng không dây
MỤC LỤC MỤC LỤC MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ MẠNG WLAN VÀ CÁC BIỆN PHÁP BẢO MẬT TRONG MẠNG WLAN 1.1 Tổng quan mạng WLAN .4 1.1.1 Kiến trúc mạng WLAN 1.1.2 Chế độ hoạt động 1.1.2.1 Kiểu Ad-hoc .6 1.1.2.2 Kiểu Infrastructure .6 1.1.2.3 Các thành phần bản của WLAN 1.1.3 Kiến trúc phân tầng WLAN .7 1.1.3.1 Tầng PHY 1.1.3.2 Tầng MAC 1.1.4 Khn dạng gói tin mạng WLAN .9 1.1.4.1 Các gói tin thuộc tầng vật lý 10 1.1.4.2 Các gói tin thuộc tầng MAC .11 1.1.5 Một số chuẩn WLAN hành .15 1.1.5.1 Chuẩn 802.11b (Chuẩn B) 15 1.1.5.2 Chuẩn 802.11a (Chuẩn A) 15 1.1.5.3 Chuẩn 802.11g (Chuẩn G) .16 1.1.5.4 Chuẩn 802.11c 16 1.5.5 Chuẩn 802.11d .16 1.15.6 Chuẩn 802.11i 16 1.1.5.7 Chuẩn 802.11Ir 16 1.1.5.8 Home RF 16 1.1.5.9 HiperLan (High Performance local area network) 17 1.2 Các giải pháp bảo mật mạng WLAN 17 1.2.1 Các dạng công 17 1.2.1.1 Tấn công bị động (passive attack) 18 1.2.1.2 Tấn công chủ động 20 1.2.2 Các biện pháp bảo mật điểm yếu .24 1.2.2.1 Các biện pháp lọc 25 1.2.2.2 WEP (Wireless Equivalent Privacy) 28 1.2.2.3 WPA (WLAN Protected Access) .33 1.2.2.4 VPN (Virtual Private Network): mạng riêng ảo 36 1.2.2.5 Wireless Gateway .37 CHƯƠNG .38 QUY TRÌNH KHẢO SÁT MẠNG KHÔNG DÂY 39 2.1 Chuẩn bị cho khảo sát .39 2.1.1 Phân tích khu vực khảo sát .39 2.1.2 Những mạng .39 2.1.3 Khu vực sử dụng tháp anten 40 2.1.4 Yêu cầu băng thông chuyển vùng 40 2.1.5 Nguồn tài nguyên sẵn có 41 2.1.6 Yêu cầu bảo mật 41 2.1.7 Những thiết bị, tài liệu người khảo sát cần chuẩn bị .41 2.2 Những thiết bị khảo sát 42 2.2.1 Access Point .42 2.2.2 Card PC ứng dụng 43 2.2.3 Laptop PDA 43 2.2.4 Giấy 44 2.2.5 Khảo sát trời 44 2.2.6 Bộ phân tích phổ 44 2.2.7 Phần mềm phân tích giao thức 45 2.2.8 Danh sách thiết bị khảo sát .45 2.3 Thực khảo sát 46 2.3.1 Khảo sát nhà 46 2.3.2 Khảo sát trời 47 2.3.3 Trước bắt đầu khảo sát .47 2.3.4 Thu thập thơng tin sóng vơ tuyến 48 2.3.5 Báo cáo khảo sát 48 CHƯƠNG .48 ỨNG DỤNG GIẢI PHÁP BẢO MẬT CHO MẠNG KHÔNG DÂY VÀO MÔ HÌNH CỤ THỂ 48 3.1 Cấu hình xác thực kiểu WEP cho mô hình mạng BSS 49 3.1.1 Cấu hình Access Point thơng qua giao diện Web-Based 49 3.1.2 Thiết lập mạng BSS 52 3.1.3 Các kiểu chứng thực WLAN 52 3.2 Cấu hình xác thực RADIUS server 66 3.2.1 Cấu hình RADIUS server win 2003 67 3.2.2 Bật tính xác thực EAP Authentication với RADIUS server AP Aironet .71 3.2.3 Kiểm tra kết nối 71 KẾT LUẬN 73 TÀI LIỆU THAM KHẢO 74 MỞ ĐẦU Trong năm gần đây, giới công nghệ thông tin chứng kiến bùng nổ công nghiệp mạng không dây Khả liên lạc không dây gần tất yếu thiết bị cầm tay (PDA), máy tính xách tay, điện thoại di động thiết bị số khác Với tính ưu việt vùng phục vụ kết nối linh động, khả triển khai nhanh chóng, giá thành ngày giảm, mạng khơng dây trở thành giải pháp cạnh tranh thay mạng Ethernet LAN truyền thống Tuy nhiên, tiện lợi mạng không dây đặt thử thách lớn bảo mật đường truyền cho nhà quản trị mạng Ưu tiện lợi kết nối khơng dây bị giảm sút khó khăn nảy sinh bảo mật mạng Sự an toàn xuất phát từ nguyên nhân yếu tố vật lý, liệu truyền mạng sóng radio, kẻ cơng xâm nhập mạng đâu miễn nằm vùng phủ sóng mạng Mặc dù có nhiều cách có số công cụ tỏ hữu hiệu bảo mật cho mạng khơng dây cụ thể với Wifi có WEP, WPA, VPN, Nhưng điểm yếu bộc lộ mà với kĩ thuật tiên tiến khơng q khó khăn để bẻ khóa Xuất phát từ lý em tìm hiểu nghiên cứu để thực đề tài “Bảo mật mạng không dây ” cụ thể cho mạng LAN khơng dây(wi-fi) với mong muốn tìm đưa giải pháp bảo mật an toàn hiệu Đề tài em bao gồm nội sung sau: Chương 1: Tổng quan mạng WLAN giải pháp bảo mật mạng WLAN Chương 3: Quy trình khảo sát mạng khơng dây Chương 4: Ứng dụng giải pháp bảo mật cho mạng không dây vào mơ hình cụ thể CHƯƠNG TỔNG QUAN VỀ MẠNG WLAN VÀ CÁC BIỆN PHÁP BẢO MẬT TRONG MẠNG WLAN 1.1 Tổng quan mạng WLAN WLAN – hay gọi Wifi(Wireless Fidelity) tên gọi cho chuẩn kết nối không dây (IEEE 802.11), công nghệ sử dụng sóng radio để thiết lập hệ thống kết nối mạng không dây Đây công nghệ mạng thương mại hóa tiên tiến giới Những ưu điểm mạng không dây: - Khả di động tự (cho phép kết nối từ đâu) - Không bị hạn chế không gian vị trí kết nối - Dễ lắp đặt triển khai - Không cần mua cáp tiết kiệm thời gian lắp đặt cáp - Dễ dàng mở rộng Nhược điểm mạng không dây: - Phức tạp việc thiết lập, quản lý vận hành mạng - Thông tin truyền không trung tần số dùng chung dẫn đến vấn đề an ninh nhiễu - Tần số cao tốc độ cao, đồng thời độ suy giảm cao Một mạng Internet không dây WLAN thường gồm ba phận bản: điểm truy cập (Access Point - AP); card giao tiếp mạng (Network Interface Card - NIC); phận thu phát, kết nối thông tin nút mạng gọi Wireless CPE (Customer Premier Equipment) Trong đó, Access Point đóng vai trị trung tâm tồn mạng, điểm phát thu sóng, trao đổi thơng tin với tất máy trạm mạng, cho phép trì kết nối ngăn chặn máy trạm tham gia vào mạng Một Access Point cho phép tới hàng nghìn máy tính vùng phủ sóng truy cập mạng lúc 1.1.1 Kiến trúc mạng WLAN 802.11 LAN dựa kiến trúc tế bào, hệ thống chia nhỏ thành tế bào (cell), cell (được gọi Basic Service Set hay BSS) điều khiển Acess Point (AP) Mặc dù WLAN tạo lên từ cell với AP, phần lớn tạo lên từ nhiều cell, AP kết nối thơng qua trục xương sống gọi Distribution System (DS) Một tập dịch vụ mở rộng (Extended Service Set, ESS) có hai hay nhiều BSS mạng (subnet) Tại chế độ đặc biệt ("ad hoc mode", gọi "peer-to-peer mode"), thiết bị khơng dây truyền thông trực tiếp với thiết bị khác không sử dụng điểm truy nhập Đấy IBSS (BSS độc lập) Hình 802.11 LAN điển hình với thành phần miêu tả trên: Hình 1.1 Ví dụ mạng WLAN 1.1.2 Chế độ hoạt động Mạng khơng dây WLAN có hai chế độ hoạt động: Ad-hoc Infrastructure 1.1.2.1 Kiểu Ad-hoc Ở chế độ hoạt động này, kiên trúc mạng khơng kế thừa kiến trúc tế bào nói mà máy tính mạng giao tiếp trực tiếp với thông qua thiết bị Card mạng không dây, không dùng đến thiết bị định tuyến (Wireless Router) hay thu phát không dây (Wireless Access Point) Hình 1.2 Ví dụ mạng Ad – hoc 1.1.2.2 Kiểu Infrastructure Các máy tính hệ thống mạng sử dụng nhiều thiết bị định tuyến (wirelesss router) hay thiết bị thu phát (AP) để thực hoạt động trao đổi liệu với hoạt động khác Trong chế độ trạm không dây kết nối với mạng (thường mạng Ethernet) thông qua AP Một tập trạm kết nối với AP tạo lên BSS (Basic Service Set) Mỗi BSS định danh BSSID (BSS Identifier) có độ dài byte tương ứng với địa MAC AP Hình 1.3 Ví dụ mạng Infrastructure 1.1.2.3 Các thành phần bản của WLAN Kiến trúc WLAN bản gồm những thành phần sau: Access Point - AP: là thiết bị dùng để kết nối nhiều thiết bị không dây lại với thành một mạng WLAN AP có thể kết nối với một mạng có dây và có thể chuyển tiếp dữ liệu giữa các thiết bị không dây và có dây Wireless Router: giống AP thêm chức switch, định tuyến (routing), NAT và dịch vụ DHCP server là dịch vụ cấp địa chỉ IP động cho user Network Interface Card – NIC : card giao diện mạng, được sử dụng tại node người dùng đầu cuối Chịu trách nhiệm quét phạm vi tần số cho kết nối và sau đó thực hiện kết nối với một AP hay một wireless client khác Ăngten: là một phần quan trọng, chịu trách nhiệm phát tán tín hiệu đã qua điều chế để cho các thành phần không dây có thể thu được tín hiệu 1.1.3 Kiến trúc phân tầng WLAN Hình 1.4.: Kiến trúc phân tầng của IEEE 802.11 so với mô hình OSI Giống giao thức 802.x , chuẩn 802.11 bao gồm hai tầng MAC PHY Hình 1.5: Kiến trúc phân tầng của IEEE 802.11 1.1.3.1 Tầng PHY Tại tầng vật lý, chuẩn 802.11 hỗ trợ ba chuẩn khác nhau: - Direct Sequence Spread Spectrum (DSSS): trải phổ phân đoạn trực tiếp - Frequency Hopping Spread Spectrum (FHSS): trải phổ nhảy tần - Infrared: hồng ngoại a DSSS Hoạt động dựa nguyên tắc trải phổ tín hiệu đầu phát băng hẹp thành tín hiệu trải phổ băng rộng để tránh nhiễu môi trường Tại đầu thu, tín hiệu điều biến lại để khơi phục tín hiệu gốc b FHSS Cơng nghệ dựa nguyên lý nhảy tần, đầu phát đầu thu có sẵn luật (rule) chung để qui định hop tới Nghĩa thời điểm đầu phát đầu thu phải hoạt động tần số 1.1.3.2 Tầng MAC Tầng làm nhiệm vụ điều khiển truy nhập đường truyền Sử dụng kĩ thuật cảm nhận sóng mang tránh xung đột Carrier Sense Multiple Access with Collision Avoidance (CSMA /CA) Giao thức CSMA/CA làm việc sau: Một trạm muốn truyền, nghe mơi trường khơng dây để xác định có trạm truyền hay không Nếu môi trường bị chiếm, trạm tính tốn khoảng trễ lặp lại ngẫu nhiên Ngay sau thời gian trễ trơi qua, trạm lại nghe xem liệu có trạm truyền hay không Bằng cách tạo thời gian trễ ngẫu nhiên, nhiều trạm muốn truyền tin không cố gắng truyền thời điểm (tránh xung đột) Cách làm việc đặc biệt hiệu môi trường khơng tải nặng, cho phép trạm truyền với khoảng thời gian trễ nhỏ nhất, lại xảy trường hợp nhiều trạm truyền liệu thời gian (xảy xung đột), nguyên nhân thực tế trạm nghe thấy đường truyền rỗi định truyền Xung đột phải phát ra, tầng MAC truyền lại gói tin mà khơng phải tầng cao hơn, điều dẫn đến trễ Trong Ethernet, xung đột phát trạm truyền dựa giải thuật exponential random backoff 1.1.4 Khn dạng gói tin mạng WLAN Các gói tin đến từ tầng mạng gắn phần header MAC tầng MAC tạo lên MPDU (Mac Protocol Data Unit) MPDU sau chuyển xuống tầng PHY, gắn thêm hai phần “preambe” “header”, tạo thành PLCP-PDU Phần preamble phần header khác tùy thuộc vào PHY sử dụng (DSSS, FHSS, …) Đầu tiên ta xem xét frame tầng PHY (PLCP-PDU), sau tầng MAC 1.1.4.1 Các gói tin thuộc tầng vật lý Hình 1.6: Khuôn dạng gói tin tầng vật lý Phần preamble cho phép dị tìm phần đầu frame, đồng hóa frame, cho phép sử dụng kênh truyền hay CCA (Clear Channel Assesment) Phần header có nhiều thơng tin, phụ thuộc vào kỹ thuật trải phổ sử dụng tần PHY a FHSS: Phần preamble gồm hai phần: - 80 bit sync (synchronisation) (xen kẽ bit 1) cho phép lựa chọn AP tôt đồng hóa với AP - SFD (Start Frame Delimiter) 16 bit (0000 1100 1011 1101): điểm bắt đầu frame Phần header gồm phần: - PLW (PLCP- PDU Length Word) 12 bit: độ dài (số byte) frame PLCP-PDU, cho phép tầng PHY xác định điểm kết thúc gói tin - PSF (PLCP Signaling Field) 4bit: lưu lượng dùng sóng radio (1 2Mbits/s) để truyền liệu (MPDU) - HEC (Header Error Check) CRC 16 bit: cho phép dị tìm lỗi trường PLW PSF Hai phần preamble header truyền mức 1Mbits/s b.DSSS: 10 Chọn Obtain a network settings automatically (DHCP) Lưu lại thay đổi cấu hình vào profile Kiểm tra địa IP Client BSS Xác thực WEP Shared Key Access Point Bước 1: 62 Ở giao diện Web-based Utility, tab vào Wireless \ Basic Wireless Setting Chọn Security Mode WEP Bước 2: 63 Sau chọn security mode trên, hình cấu hình WEP sau: Encryption: Chọn WEP key có chiều dài 64-bits hay 128-bits Passphrase: Có thể tự cấu hình WEP key dùng passphrase để phát sinh key Passphrase dài không 16 kí tự, ứng với passphrase tương ứng phát sinh WEP key Passphrase hỗ trợ sản passphrase linksys.◊phẩm từ Linksys TX Key: WEP Key mặc định sử dụng WEP Key 64 phần hướng dẫn dùng Bước 3: Vào tab Wireless \ Wireless Security Open System: Đây hình thức chứng thực qua việc xác định xác SSID Bất Client khơng có SSID hợp lệ khơng thể truy cập vào BSS mà khơng qua q trình kiểm tra khác Shared Key: Đây hình thức chứng thực cho phép kiểm tra xem Client muốn truy cập vào BSS có biết khóa dùng chung (Shared Key) không, sau chứng thực thành công bắt đầu truyền liệu Chuẩn 802.11 giả thiết Shared Key phân phối đến tất Client thông qua kênh bảo mật riêng, độc lập với tất kênh khác 802.11 Nhấn Save Settings để lưu lại cấu hình Bước 4: 65 Quan sát PC có gắn PCI wireless card PC khơng cịn truy cập vào BSS, AP khơng nhận Vì PC khơng cấu hình sử dụng WEP để xác thực hay mã hóa liệu Điều xảy tương tự với PC lại BSS Do chúng khơng cịn ping thấy 3.2 Cấu hình xác thực RADIUS server Nhằm ngăn chặn truy cập mạng trái phép mà khơng mong muốn Khi client muốn truy cập vào mạng phải đăng nhập user name password hợp lợi Quá trình xác thực điều khiển RADIUS server Mô tả u cầu: • Cấu hình RADIUS server Win 2003, tạo user password cho client dự định tham gia vào mạng Bật tính xác thực EAP Authentication với RADIUS server AP Aironet ( webpage CLI) • Cho PC tham gia vào mạng, kiểm tra kết nối Thiết bị yêu cầu : Access point Aironet 1131, pc có gắn card wireless, pc làm RADIUS server Các bước thực : 66 3.2.1 Cấu hình RADIUS server win 2003 • Cài đặt phần mềm Cisco Secure ACS v3.2 pc chạy win 2003 để làm server Double click vào file setup.exe thư mục chứa phần mềm ACS để tiến hành cài đặt Màn hình setup : Check vào tất mục để cài đặt ACS, nhấn Next : Authenticate Users Using : chọn thiết bị tương ứng mà ta sử dụng Ở ta sử dung Access point Aironet nên ta chọn RADIUS (Cisco Aironet).Access Server Name: tùy chọn đặt tên cho thiết bị Ta nên đặt trùng tên với Access point mà ta muốn cấu hình để dễ phân biệt.Access Server IP Address: Địa IP AP mà ta cần cấu hình để PC server truy cập tới AP Trong trường hợp địa AP 192.168.1.254 Windown Server IP Address: địa IP Server làm RADIUS Chẳng hạn 192.168.1.1 67 TACACS + or RADIUS Key: đặt key cho RADIUS server phải trùng với key AP Nhấn Next để sang bước Các tùy chọn ACS Ta nên chọn hết để sử dụng hết tính ACS Nhấn Next nhấn Finish để hoàn thành trình cài đặt • Tạo User password : Giao diện ACS: Click vào nút User Setup để tạo user 68 Đặt tên user tuỳ chọn cho client sử dụng để truy cập Nhấn vào nút Add/Edit để thêm vào cấu hình Ta add nhiều user tuỳ theo nhu cầu Đặt Password cho user vừa tạo xong nhấn nút Submit để hồn tất • Ngồi ta thay đổi cấu hình mạng ban đầu thiết lập trình cài đặt thêm cấu hình tùy chọn cách nhấn vào nút Network Configuration 69 Ta tạo cấu hình tùy mục đích sử dụng Sau tạo xong nhấn Submit+Restart để hoàn tất cài đặt Lưu ý : Phần mềm ACS địi hỏi phải chạy mơi trường Java Do trước cài đặt yêu cầu phải cài Java Runtime Environment Sau setup ACS xong mở trình duyệt ACS chưa chạy Khi ta chọn Tool > Internet Option > Security , chọn levlels Low phép java start 70 3.2.2 Bật tính xác thực EAP Authentication với RADIUS server AP Aironet • Đặt địa IP PC trùng với địa AP Trường hợp địa AP 192.168.1.254, ta đặt cho PC 192.168.1.2 • Kết nối PC với AP thơng qua cáp thẳng • Mở trình duyệt web lên, điền địa AP 192.168.1.254 vào địa chỉ, đăng nhập yêu cầu nhập user name password mặc định user name Cisco, Password Cisco Hình đăng nhập user name pass • Giao diện AP Hình giao dien AP Chọn mục EXPRESS SECURITY Hình mục EXPRESS SECURITY Chọn SSID vnpro Chon mục Broadcast Beacon để quảng bá SSID Chọn mục radisus Đặt IP server 192.168.1.1 Đặt Secrect key trùng với key server pc nhấn apply => hoàn tất cài đặt 3.2.3 Kiểm tra kết nối Trước cho PC tham gia vào mạng, bật tín xác thực trên card wireless 71 Trên PC tạo kết nối với mạng có SSID ap1 vừa thiết lập Click vào nút Add Tên SSID mạng mà muốn kết nối, chọn kiểu xác thực LEAP đánh dấu chọn vào mục Prompt for user name and password Nhấn OK 72 Một kết nối tạo với mạng có SSID ap1 Để kết nối với mạng trên, ta click chuột phải chọn conect Khi server tiến hành xác thực yêu cầu nhập user name password Nếu client nhập sai user name password khơng kết nối tới mạng hình CLI AP báo Authentication Failed Và bắt buộc client phải đăng nhập lại sau nhập user name password kết nối Để kiểm tra kết nối ta tiến hành Ping tới server, đặt địa IP client trùng lớp mạng với server =>ping thành cơng, kết nối hồn tất KẾT LUẬN 73 Trong thời gian thực tập tốt nghiệp hướng dẫn thầy giáo Phạm Văn Tiến, giúp em hoàn thành đề tài “Bảo mật mạng không dây” cụ thể cho mạng LAN khơng dây(wi-fi) với mong muốn tìm đưa giải pháp bảo mật an toàn hiệu Với tính ưu việt vùng phục vụ kết nối linh động, khả triển khai nhanh chóng, giá thành ngày giảm, mạng khơng dây trở thành giải pháp cạnh tranh thay mạng Ethernet LAN truyền thống Nhưng thời gian có hạn kiến thức thâm nhập thực tế non yếu, nên đồ án em khơng tránh khỏi thiếu sót Em mong nhận góp ý bảo nhiệt tình từ phía thầy bạn để nâng cao khả chun mơn hồn thiện kiến thức Em xin chân thành cám ơn thầy giáo Phạm Văn Tiến tận tình hướng dẫn, giúp đỡ em hồn thành đồ án Thái Nguyên, tháng năm 2008 TÀI LIỆU THAM KHẢO Tiếng Việt 74 Nguyễn Nam Thuận, Thiết kế giải pháp cho mạng không dây, NXB Giao Thông Vận Tải Tiếng Anh 1] Benny Bing, "High-Speed Wireless ATM and LANs", Artech House, InC., Boston London, 2000 [2] Bob O'Hara and Al Petrick, "The IEEE 802.11 Handbook", IEEE, 1999 [3] Richard van Nee andRamjee Prasad, "OFDM for Wireless Multimedia Communications", Artech House, Boston London, 2000 [4] Gilbert Held (2001), "Data Over Wireless Networks BluetoothTM, WAP, and Wireless LANs", McGraw-Hill [5] IETF RFC 1171 (1990): "The Point-to-Point Protocol for the Transmission of MultiProtocol Datagrams Over Point-to-Point Links" [6] IEEE 1394 (1995): "IEEE Standard for a High Performance Serial Bus" [7] Mobile Ad hoc Networks (MANET) URL: http://www.ietf.org/html +charters/manet-charter.html (2000-05-28) Work in progress Tài nguyên Internet [1] http://vnpro.org [2] http://Quantrimang.com [3] http://www.cisco.com • 75 ... bảo mật mạng WLAN Chương 3: Quy trình khảo sát mạng khơng dây Chương 4: Ứng dụng giải pháp bảo mật cho mạng không dây vào mơ hình cụ thể CHƯƠNG TỔNG QUAN VỀ MẠNG WLAN VÀ CÁC BIỆN PHÁP BẢO MẬT TRONG. .. tài ? ?Bảo mật mạng không dây ” cụ thể cho mạng LAN khơng dây( wi-fi) với mong muốn tìm đưa giải pháp bảo mật an toàn hiệu Đề tài em bao gồm nội sung sau: Chương 1: Tổng quan mạng WLAN giải pháp bảo. .. ngày giảm, mạng không dây trở thành giải pháp cạnh tranh thay mạng Ethernet LAN truyền thống Tuy nhiên, tiện lợi mạng không dây đặt thử thách lớn bảo mật đường truyền cho nhà quản trị mạng Ưu tiện