ĐẠI HỌC THÁI NGUYÊN KHOA CÔNG NGHỆ THÔNG TIN ĐẠI HỌC THÁI NGUYÊN KHOA CÔNG NGHỆ THÔNG TIN PHẠM HỒNG VIỆT PHẠM HỒNG VIỆT MỘT SỐ VẤN ĐỀ AN NINH TRONG MẠNG MÁY TÍNH KHÔNG DÂY MỘT SỐ VẤN ĐỀ AN NINH TRONG MẠNG MÁY TÍNH KHÔNG DÂY Chuyên Ngành: Khoa Học Máy Tính Mã số: 604801 LUẬN VĂN THẠC SĨ LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN GIA HIỂU THÁI NGUYÊN - 2009 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn THÁI NGUYÊN - 2009 MỤC LỤC Trang DANH MỤC CHỮ VIẾT TẮT i DANH MỤC HÌNH VẼ ii LỜI CẢM ƠN iii MỞ ĐẦU CHƯƠNG I TỔNG QUAN VỀ MẠNG KHÔNG DÂY I GIỚI THIỆU CHUNG Giới thiệu 2 Quá trình phát triển II CÔNG NGHỆ CHO MẠNG KHÔNG DÂY Công nghệ trải phổ 1.1 Công nghệ trải phổ trực tiếp 1.2 Công nghệ trải phổ nhẩy tần 1.3 OFDM- Ghép kênh phân chia theo tần số trực giao 10 Một số thành phần kỹ thuật khác 11 2.1 Đa truy cập cảm ứng sóng mang – Tránh xung đột CSMA/CA 11 2.2 Yêu cầu sẵn sàng gửi RTS/CTS 12 III MÔ HÌNH HOẠT ĐỘNG CỦA MẠNG KHÔNG DÂY 13 Phương thức Adhoc WLAN (IBSS) 13 Phương thức InFraStructure (BSS) 14 Mô hình mạng diện rộng (WiMax) 16 IV CÁC CHUẨN CỦA MẠNG KHÔNG DÂY Chuẩn 802.11.WLAN 1.1 IEEE 802.11 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên 16 16 17 http://www.lrc-tnu.edu.vn 1.2 IEEE 802.11b 17 1.3 IEEE 802.11a 19 1.4 IEEE 802.11g 20 1.5 IEEE 802.11e 21 Chuẩn 802.16.Broadband wireless 22 Chuẩn 802.15.Bluetooth 22 V BẢO MẬT TRONG MẠNG KHÔNG DÂY 22 Bảo mật với WEP 22 Bảo mật với TKIP 23 CHƯƠNG II AN NINH TRONG MẠNG KHÔNG DÂY 24 I VẤN ĐỀ AN NINH TRONG MẠNG KHÔNG DÂY 24 II CÁC LOẠI HÌNH TẤN CÔNG MẠNG KHÔNG DÂY 25 Tấn công bị động - Passive attacks 25 1.1 Định nghĩa 25 1.2 Phương thức bắt gói tin (Sniffing) 25 Tấn công chủ động - Active attacks 27 2.1 Định nghĩa 27 2.2 Mạo danh, truy cập trái phép 27 2.3 Sửa đổi thông tin 28 2.4 Tấn công từ chối dịch vụ (DOS) 28 Tấn công kiểu chèn ép - Jamming attacks 30 Tấn công theo kiểu thu hút - Man in the middle attacks 30 III GIẢI PHÁP KHẮC PHỤC Quy trì nh xây dựng hệ thống thông tin an toàn 31 31 1.1 Đánh giá lập kế hoạch 31 1.2 Phân tích hệ thống thiết kế 31 1.3 Áp dụng vào thực tế 31 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 1.4 Duy trì bảo dưỡng 32 2.2.4 Loại code 4: Chuỗi MD5 (MD5 Challenge) 55 32 2.2.5 Loại code 5: One - time password (OPT) 55 32 2.2.6 Loại code 6: Đặc điểm thẻ Token 55 2.1.1 Kiểm soát truy nhập 32 2.2.7 Loại code 13: TLS 56 2.1.2 Kiểm soát xác thực người dùng (Authentication) 32 2.2.8 Các loại mã khác 56 2.1.3 Tăng cường nhận thức người dùng 33 2.3 Các khung EAP 56 33 2.4 Chứng thực cổng 57 2.2.1 Chứng thực bằng đị a chỉ MAC 33 2.5 Kiến trúc thuật ngữ chứng thực EAP 57 2.2.2 Chứng thực bằng SSID 35 2.6 Dạng khung cách đánh địa EAPOL 58 2.2.3 Chữ ký điện tử 36 2.6.1 Dạng khung 58 37 2.6.2 Đánh địa 59 Các biện pháp công cụ bảo mật hệ thống 2.1 Các biện pháp 2.2 Các công cụ bảo mật hệ thống 2.3 Mã hóa dữ liệu 2.3.1 Sử dụng hệ mật mã DES 37 2.7 Một ví dụ trao đổi thông tin chứng thực EAP 2.3.2 Sử dụng hệ mật mã RSA 38 CHƯƠNG III ỨNG DỤNG THỰC TẾ MẠNG KHÔNG 39 DÂY TẠI TRƯỜNG ĐHKTCN 2.4 Phương thức chứng thực và mã hóa WEP 60 62 2.4.1 Phương thức chứng thực 40 2.4.2 Cách mã hoá WEP 42 2.4.3 Cách giải mã WEP 44 2.4.4 Quản lý mã khoá 45 1.1 Mô hình thiết kế logic 63 2.4.5 Các ưu nhược điểm WEP 46 1.2 Sơ đồ phủ sóng vật lý tổng thể trường 64 2.5 Giao thức bảo toàn dữ liệu với khoá theo thời gian TKIP 2.5.1 Bảo mật với TKIP IV CHUẨN XÁC THỰC 47 I MÔ HÌNH MẠNG KHÔNG DÂY TRONG TRƯỜNG ĐHKTCN 62 Mô hì nh logic sơ đồ phủ sóng vật lý tổng thể trường Thiết kế chi tiết của hệ thống 63 65 47 2.1 Mô hình thiết kế chi tiết hệ thống mạng không dây 65 50 2.2 Thiết bị sử dụng hệ thống mạng không dây 66 2.3 Phân bổ thiết bị sử dụng hệ thống 72 Nguyên lý RADIUS Server 50 Phương thức chứng thực mở rộng EAP 52 II GIẢI PHÁP BẢO MẬT TRONG MẠNG KHÔNG DÂY TẠI ĐHKTCN 72 2.1 Bản tin EAP 53 2.2 Các tin yêu cầu trả lời EAP 53 Yêu cầu bảo vệ thông tin 73 2.2.1 Loại code 1: Identity 2.2.2 Loại code 2: Notification (Thông báo) 54 Các bước thực thi an toàn bảo mật cho hệ thống 75 2.2.3 Loại code 3: NAK 55 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên 54 http://www.lrc-tnu.edu.vn III CHƯƠNG TRÌNH THỰC TẾ ĐÃ XÂY DỰNG Điều khiển AP thông qua Wireless controler Số hóa Trung tâm Học liệu – Đại học Thái Nguyên 77 78 http://www.lrc-tnu.edu.vn Chính sách công cụ bảo mật áp dụng cho hệ thống 79 PED Personal Electronic Device 84 PMK Pairwise Master Key KẾT LUẬN 86 PRNG Pseudo-Random Number Generator TÀI LIỆU THAM KHẢO 88 RADIUS Remote Authentication Dial In Service RC4 Rivest Code IV ĐÁNH GIÁ KẾT QUẢ DANH MỤC CHỮ VIẾT TẮT SKA Shared Key Authentication AIS Automated Information System SSID Service Set Identifier AP Access Point SSL Secure Sockets Layer ASCII American Standard Code for Information Interchange TK Temporal Key BSS Basic Service Set TKIP Temporal Key Integrity Protocol CRC-32 Cyclic Redundancy Check-32 TLS Transport Layer Security CSMA/CA Carrier Sense Multiple Access/Collision Avoidance TTLS Tunneled TLS DoS Denial-of-Service VPN Virtual Private Network DSSS Direct Sequence Spread Stpectrum WEP Wired Equivalent Privacy EAP Extensible Authentication Protocol WLAN Wireless Local Area Network EAPOL EAP over LAN WPA WiFi Protected Access FHSS Frequency Hopping Spread Spectrum OFDM Orthogonal Frequency Division Multiplex FMS Fluhrer, Mantin Shamir ACK Acknowledgement I&A Identification & Authentication RTS/CTS Request To Send/Clear To Sen ICV Integrity Check Value IBSS Independent Basic Service Sets IDS Intrusion-Detection System BSS Basic service sets IEEE Institute of Electrical and Electronics Engineers ISM Industrial, Scientific, Medical IR Infrared PSK Phase Shift Keying IV Initalization vector CCK Complementary Code Keying LAN Local Area Network FCC Federal Communications Commission LEAP Lightweight Extensible Authentication Protocol LOS Light of Sight MAC Media Access Control SNMP Simple Network Management Protocol MIC Message Integrity Check TACACS Terminal Access Controller Access Control System MSDU MAC Service Data Unit DES Data Encryption Standard PEAP Prtected Extensible Authentication Protocol Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn IDEA International Data Encryption Algorithm Hình 24: Cấu trúc khung EAPOL AES Advanced Encryption Standard Hình 25: Quá trình chứng thực EAP RSA Rivest, Shamir, Adleman Hình 26: Mô hình logic mạng không dây trường TLS Transport Layer Security Hình 27: Mô hình phủ sóng trường EAPOW EAP Over Wireless Hình 28: Sơ đồ phân bố Access point Hình 29: Giao diện quản trị WLAN Controler 4420 Hình 30: Hệ thống 10 AP quản lý DANH MỤC HÌNH VẼ Hình 1: Độ nhiễu tần số Hình 31: Các mức truy cập hệ thống Hình 2: Sự mã hoá thông tin trải phổ chuỗi trực tiếp Hình 32: Các sách truy cập USERS_GV_ACL Hình 33: Các sách truy cập GUEST_ACL Hình 3: Chuyển đổi tần số kênh Hình 4: Quá trình gửi RTS/CTS Hình 34: Bảo mật lớp WLAN SSID: Quan tri mang dhktcn Hình 5: Mô hình mạng Adhoc Hình 35: Bảo mật lớp WLAN SSID: Quan tri mang dhktcn Hình 6: Mô hình kết nối tập dịch vụ BSS Hình 36: Bảo mật WLAN SSID: Sinh vien dhktcn va Khach Hình 7: Mô hình mạng diện rộng Wimax Hình 37: Bảo mật WLAN SSID: Can bo va Giang vien dhktcn Hình 38: Tạo users chứng thực Web Authentication Hình 8: Phân bố băng tần ISM Hình 39: Cấu hình chức bảo mật Web Authentication Hình 9: Mô tả trình chứng thực địa MAC Hình 40: Đăng nhập sách Web Authentication Hình 10: Mô tả trình chứng thực SSID Hình 41: Bảng MAC Adress Table để chứng thực quản lý Hình 11: Quá trình ký message Hình 12: Quá trình mã hoá sử dụng hệ mật mã DES Hình 13: Quá trình mã hoá sử dụng hệ mật mã RSA Hình 14: Mô tả trình chứng thực giữa Client AP Hình 15: Thuật toán mã hóa WEP Hình 16: Quá trình giải mã WEP Hình 17: Quá trình bảo mật dùng TKIP Hình 18: Mô hình chứng thực sử dụng RADIUS Server Hình 19: Quá trình chứng thực RADIUS Server Hình 20: Kiến trúc EAP Hình 21: Cấu trúc khung tin yêu cầu trả lời Hình 22: Cấu trúc khung EAP thành công không thành công Hình 23: Cấu trúc cổng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn LỜI CẢM ƠN Em xin gửi lời cảm ơn trân trọng đến thầy giáo PGS.TS Nguyễn Gia Hiểu, người đã dành nhiều thời gian để hướng dẫn em hoàn thành luận văn Em xin được gửi đến thầy cô giáo khoa Công nghệ Thông tin, Đại học Thái Nguyên lời cảm ơn sâu sắc những kiến thức mà thầy cô đã giảng dạy cho chúng em suốt những năm học trường Được trang bị những kiến thức đã giúp cho em trưởng thành có khả cống hiến, phục vụ nhiều cho xã hội Em xin cảm ơn bạn đồng nghiệp, bạn học tập, đã trực tiếp gián tiếp giúp em hoàn thành luận văn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn MỞ ĐẦU CHƢƠNG I Lần Guglinelmo Marconi truyền tín hiệu không dây qua sườn đồi nước Ý vào năm 1894, công nghệ không dây làm thay đổi phương thức gửi nhận thông tin người Thế giới bước sang kỷ 21 ngành công nghệ không dây ngành công nghệ mũi nhọn cho phát triển kinh tế, đồng thời tiêu trí quan trọng đánh giá phát triển quốc gia Việc truy cập không dây cho phép truy suất đến nguồn thông tin nơi văn phòng làm việc, sân bay, nhà ga Điều giúp điều hành công việc từ xa, làm việc nơi khác văn phòng hay gửi báo cáo cần thiết, giúp định nhanh chóng công việc Tuy nhiên quảng bá tiện dụng hệ thống không dây nguyên nhân nhiều vấn đề bảo mật cho hệ thống Thông tin tài sản quý giá, đảm bảo an toàn liệu cho người sử dụng yêu cầu đặt hàng đầu Chính em định chọn đề tài “ Một số vấn đề bảo mật hệ thống mạng không dây ”, làm đề tài tốt nghiệp, với TỔNG QUAN VỀ MẠNG KHÔNG DÂY I GIỚI THIỆU CHUNG Giới thiệu Thuật ngữ “mạng máy tính không dây” nói đến công nghệ cho phép hai hay nhiều máy tính giao tiếp với dùng giao thức mạng chuẩn không cần dây cáp mạng Ưu điểm mạng máy tính thể rõ lĩnh vực sống Đó trao đổi, chia sẻ, lưu trữ bảo vệ thông tin Mạng máy tính không dây từ đời phát triển nhanh chóng Sự phát triển dựa hai nhân tố quan trọng sau đây: - Sự phổ cập mạng không dây Thời gian gần với phát triển công nghệ ,sự hoàn thiện chuẩn làm cho giá thành thiết bị Wireless LAN giảm đồng thời nhu cầu sử dụng Internet tăng , nước phát triển dịch vụ truy nhập Internet không dây trở nên phổ cập, bạn ngồi tiền sảnh khách sạn truy nhập Internet từ máy tính xách tay cách dễ dàng thông qua mong muốn tìm hiểu, nghiên cứu lỗ hổng bảo mật cần khắc phục kết nối không dây.Với lợi ích mà Wireless LAN đem lại, ngày công phương thức công giải pháp phòng tránh nghệ ứng dụng nhiều quan công lập, trường đại học, Do thời gian có hạn khối lượng kiến thức cần nghiên cứu vô rộng lớn nên luận văn tránh khỏi thiếu sót, mong đóng góp ý kiến thầy cô giáo, nhà chuyên môn bạn để luận văn hoàn thiện trở thành cẩm nang tra cứu vấn đề bảo mật hệ thống mạng không dây doanh nghiệp hay chí khu công cộng Chính đặc tính dễ mở rộng quản lý bảo trì tạo phổ cập rộng lớn công nghệ mạng không dây không nước phát triển có công nghệ tiên tiến mà toàn giới - Sự thuận tiện Mạng máy tính không dây nhanh chóng trở thành mạng cốt lõi mạng máy tính phát triển vượt trội Với công nghệ này, Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn người sử dụng truy xuất thông tin mà tìm kiếm chỗ Quá trình phát triển để nối dây mạng, mở rộng phạm vi mạng mà không cần lắp đặt Công nghệ tuân theo nhiều tiêu chuẩn cung cấp nhiều mức bảo di chuyển dây Các mạng máy tính không dây có ưu điểm hiệu suất, mật khác Nhờ vào tiêu chuẩn mà sản phẩm sản suất thuận tiện, cụ thể sau: cách đa dạng, nhà sản suất kết hợp việc chế tạo - Tính di động : Những người sử dụng mạng máy tính không dây truy sản phẩm, hay phần sản phẩm nhà cung cấp chế tạo nhập nguồn thông tin nơi Tính di động tăng suất tuân theo tiêu chuẩn chung quy định tính kịp thời định, thỏa mãn nhu cầu thông tin mà mạng có dây Trong phạm vi đồ án em xin trình bầy chuẩn 802.11 mạng có không dây, chuẩn đưa vào năm 1997 tổ chức IEEE (Institute of - Tính đơn giản : Lắp đặt, thiết lập, kết nối mạng máy tính không dây Electrical and Electronics Engineers) Học viện kỹ sư Điện Điện tử dễ dàng, đơn giản tránh việc kéo cáp qua tường trần Mĩ Chuẩn thiết kế để hỗ trợ ứng dụng có tốc độ trao đổi liệu nhà tầm trung tầm cao - Tính linh hoạt : Có thể triển khai nơi mà mạng máy tính có dây khó có Chuẩn 802.11 chuẩn nguyên thuỷ mạng không dây WLAN, vào năm thể triển khai 1999 chuẩn 802.11a đời hoạt động dải tần 5GHZ, có tốc độ tối đa 54Mbps - Khả vô hướng : mạng máy tính không dây cấu hình theo Cũng năm chuẩn 802.11b đời hoạt động dải tần 2,4-2,48 Ghz topo khác để đáp ứng nhu cầu ứng dụng lắp đặt cụ thể Các cấu hỗ trợ tốc độ 11Mbps Chuẩn sử dụng rộng rãi hệ thống hình dễ dàng thay đổi từ mạng ngang hàng thích hợp cho số lượng nhỏ mạng không dây, cung cấp tốc độ phù hợp cho phần lớn ứng dụng người sử dụng đến mạng có sở hạ tầng đầy đủ dành cho hàng nghìn người Chuẩn 802.11g chuẩn giới thiệu vào năm 2003 hoạt động sử dụng mà có khả di chuyển vùng rộng dải tần với 802.11b cho phép tốc độ truyền đạt tới 54Mbps, tương thích với 802.11b nên chuẩn nhanh chóng chiếm lĩnh thị trường sử dụng nhiều giới Chuẩn 802.11e nghiên cứu để phát triển có khả hỗ trợ ứng dụng cần băng thông lớn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn tốn nhiều băng thông hơn, có tín hiệu mạnh dễ nhận biết II CÔNG NGHỆ CHO MẠNG KHÔNG DÂY Năm 1977 IEEE đưa chuẩn 820.11 hỗ trợ công nghệ thiết bị khác Vì công nghệ chấp nhận giảm bớt hiệu băng thông để - Sóng hồng ngoại IR (Infrared) : Giải thông thấp, ánh sáng mặt trời đổi lấy bảo mật, toàn vẹn thông tin tin cậy tín hiệu truyền làm ảnh hưởng tới sóng hồng ngoại nên IR sử dụng rộng rãi Tần số hẹp - Trải phổ trực tiếp DSSS (Direct Sequence Spread Stpectrum) - Trải phổ nhẩy tần FHSS (Frequency Hopping Spread Stpectrum) Năm 1999 IEEE đưa chuẩn 820.11b 80211a nhằm mở rộng tốc độ Tần số rộng Nhiễu truyền liệu WLAN Bảng thống kê chuẩn công nghệ WLAN Băng Chuẩn Công nghệ Tốc độ(Mbps) 802.11 DSSS,FHSS,IR 1,2 2,4 - 2,48 WLAN 802.11a OFDM 6,9,12,18,24,36,48,54 WLAN 802.11b DSSS 1,2 - 5,5 - 11 2,4 - 2,48 WLAN BlueTooth FHSS 2,4 - 2,48 PAN 802.11g OFDM 54 2,4 - 2,48 WLAN tần(Ghz) Tần số Hình 1: Độ nhiễu tần số Lớp mạng Nhìn hình vẽ ta thấy nhiễu anh hưởng lớn tới tín hiệu băng thông hẹp tín hiệu băng thông rộng ảnh hưởng giảm nhiều Hiện có hai công nghệ trải phổ sử dụng phổ biến hệ thống mạng không dây DSSS (Direct Sequence Spread Stpectrum) FHSS (frequency hopping spread Stpectrum) Công nghệ trải phổ Hầu hết chuẩn giao tiếp cho mạng LAN không dây sử dụng công nghệ trải phổ Một công nghệ sóng vô tuyến tần số rộng phát triển quân đội để ứng dụng hệ thống thống thông tin liên lạc cần bí mật Công nghệ sử dụng chế độ truyền sóng vô tuyến, phát tín hiệu quảng bá phạm vi tần số Thiết bị thu nhận tín hiệu phải đồng với thiết bị phát số để tiếp nhận tín hiệu Sử dụng công nghệ giúp thiết bị di động tránh nhiễu thường xẩy hệ thống có băng thông hẹp Công nghệ sử dụng chế độ truyền thông tin tiêu Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 1.1 Công nghệ trải phổ trực tiếp DSSS DSSS công nghệ trải phổ tần số rộng sử dụng phương pháp tạo mẫu bit thừa cho bit truyền đi, bit gọi chip mã chip Mã chip dài khả khôi phục tín hiệu gốc cao việc sử dụng mã chip đòi hỏi tốn nhiều băng thông so với truyền thông băng hẹp Tỷ lệ số chip sử dụng bit gọi tỷ lệ trải phổ, tỷ lệ cao tăng khả chống nhiễu cho việc truyền tín hiệu, tỷ lệ Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn thấp làm tăng băng thông cho thiết bị di động Các thuật toán sử Biểu đồ phân bố kênh DSSS dụng khôi phục lại thông tin gốc vài bit lỗi trình truyền thông tin mà không cần yêu cầu gửi lại gói tin Hình 2: Sự mã hoá thông tin trải phổ chuỗi trực tiếp Hình cho thấy ví dụ hoạt động trải phổ chuỗi trực tiếp Mỗi bit tin mã hoá thành chuỗi bit (gọi chip/mã chip) Kênh Tần số thấp Tần số trung tâm Tần số cao 2.401 2.412 2.423 2.404 2.417 2.428 2.411 2.422 2.433 2.416 2.427 2.438 2.421 2.432 2.443 2.426 2.437 2.448 2.431 2.442 2.453 2.436 2.447 2.458 2.441 2.452 2.463 10 2.446 2.457 2.468 11 2.451 2.462 2.473 mã hoá thành 00010011100 DSSS trải rộng toàn phổ, nên số lượng kênh không bị chồng chéo mã hoá thành 11101100011 lên băng tần 2,4GHz ( thường ba kênh) số lượng Như việc gửi chuỗi nhị phân 101 thành gửi chuỗi: 00010011100 11101100011 00010011100 mạng hoạt động độc lập phạm vi mà không bị nhiễu hạn chế Các mã chip thông thường nghịch đảo lẫn nhau, điều làm cho DSSS đối phó tốt với nhiễu kể phần tin bị nhiễu, khôi phục lại 1.2 Công nghệ trải phổ nhẩy tần Công nghệ trải phổ nhảy tần FHSS sử dụng nhiều băng tần hẹp để truyền thông tin thay sử dụng băng thông rộng Một tạo số giả ngẫu nhiên sử tin gốc dụng để sinh chuỗi tần số muốn nhẩy tới chạm phát, thu phải sử dụng bịi tạo số giả ngẫu nhiên giống đồng hoá thời điểm, chúng nhẩy tới “tần số” cách đồng thời Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 59 Loại 60 Miêu tả Tên cầu dùng địa STA tin 00000000 EAP - Packet Bao gồm khung EAP Phần lớn khung EAP – Packet 00000001 EAPOL - Start ( AP ) để trao đổi địa MAC Trong môi trường 802.11, EAPOL yêu 2.7 Một ví dụ trao đổi thông tin chứng thực EAP Thay cho việc đợi chuỗi mời kết nối từ Authenticator, Supplicant đưa khung EAPOL – Start Trong tin trả lời, Authenticator gửi khung EAP – Request / Identity 00000010 EAPOL – Logoff Khi hệ thống hoàn tất việc sử dụng mạng, đưa khung EAPOL – Logoff để đưa cổng trạng thái tắt 00000011 EAPOL – Key EAPOL dùng để trao đổi thông tin khóa mã hóa - Packet Body Length: chiều dài byte Nó thiết lập packet body tồn - Packet Body: trường có chiều dài thay đổi được, có tất dạng khung EAPOL trừ tin EAPOL - Start EAPOL - Logoff 2.6.2 Đánh địa Trong môi trường chia sẻ mạng LAN Ethernet, Supplicants gửi tin EAPOL tới nhóm địa 01:C2:00:00:03 Trong mạng 802.11, cổng không tồn tại, EAPOL tiếp tục sau trình liên kết cho phép hai bên Supplicant ( STA không dây di động ) authenticator Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Hình 25: Quá trình chứng thực EAP Các bước trao đổi theo thứ tự sau: Supplicant gửi tin EAPOL - Start tới Authenticator Authenticator ( chuyển mạch mạng ) gửi lại khung EAP - Request / Identity tới Supplicant Supplicant trả lời khung EAP - Reponse / Identity Sau Authenticator gửi đến RADIUS server tin Radius - Access - Request Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 61 62 RADIUS server trả lời tin Radius - Access - Challenge Sau Authenticator gửi đến Supplicant tin EAP - Request cho chứng thực hợp lệ chứa thông tin liên quan CHƢƠNG III ỨNG DỤNG THỰC TẾ MẠNG KHÔNG DÂY TẠI TRƢỜNG ĐHKTCN THÁI NGUYÊN Supplicant tập hợp thông tin trả lời từ người dùng gửi EAP (Reponse tới Authenticator) Tại thông tin xử lý thành tin Radius Access Request gửi tới RADIUS Trong chương I II sâu tìm hiểu sở lý thuyết chế, nguyên tắc số vấn đề bảo mật thông tin hệ thống RADIUS server gửi tin Radius Access Accept cho phép truy cập mạng không dây nói chung WLAN nói riêng Trong chương Vì vậy, Authenticator gửi khung EAP Success tới Supplicant Khi cổng trình bầy cụ thể ứng dụng vào thực tế lý thuyết bảo mật việc xây mở người dùng bắt đầu truy cập vào mạng dựng hệ thống mạng không dây trường Đại học Kỹ thuật Công nghiệp Thái Khi Supplicant hoàn tất việc truy cập mạng, gửi tin EAPOL Logoff để đóng cổng Nguyên I MÔ HÌNH MẠNG KHÔNG DÂY TRONG TRƢỜNG ĐHKTCN Tóm lại nguyên lý bên giống nguyên lý bên chứng thực đề cập phần giới thiệu RADIUS server, có điều khác hoạt động trao đổi tin qua lại thông qua EAP để đảm bảo an ninh Từ sở lý thuyết nêu nhà sản suất thiết bị đưa vào ứng Nguyên tắc thiết kế Hệ thống mạng không dây xây dựng trường Đại học kỹ thuật công nghiệp Thái Nguyên để đáp ứng nhu cầu sau: - Đảm bảo truy cập không dây cho thiết bị di động hỗ trợ dụng để xây dựng lên hệ thống mạng không dây có độ an toàn bảo mật - Đảm bảo cung cấp khả truy cập khu vực làm việc (tòa liệu cao, đáp ứng nhu cầu phát triển mạnh mẽ công nghệ mạng không nhà trung tâm, tòa nhà thư viện, tòa nhà làm việc khoa, tòa nhà A5, hội dây Trên thực tế hệ thống mạng không dây phát triển nhiều trường) số khu vực khuôn viên bên tòa nhà doanh nghiệp, văn phòng hay trường đại học Trong trường đại học - Cung cấp thông tin, tài nguyên, giao tiếp sinh viên với nhà trường kỹ thuật công nghiệp thái nguyên trường triển khai kế hoạch thời khoá biểu, lịch thi, thông tin điểm học tập thông qua cổng hệ thống mạng không dây lớn thực việc cung cấp chia sẻ tài thông tin điện tử nhà trường Website nguyên quan trọng nhà trường với sinh viên Chính nhu cầu bảo mật - Đảm bảo việc truy cập vào hệ thống Server trường để đăng ký môn học thông tin an toàn hệ thống mạng không dây nhà trường đặt lên hàng sinh viên toàn trường đầu Việc ứng dụng sở lý thuyết bảo mật cho hệ thống - Phải có khả cung cấp dịch vụ Roaming (Người dùng mạng không dây có thực hoá chương luận văn thể di truyển qua nhiều vùng phủ sóng Access Point khác mà không bị ngắt quãng truy cập) Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 63 64 - Đảm báo cung cấp tính bảo mật phù hợp tin cậy để đảm bảo an toàn thông tin cho toàn hệ thống sở liệu quan trọng trường 1.2 Sơ đồ phủ sóng vật lý tổng thể trƣờng Dựa trình khảo sát thực tế trường việc tính toán chi tiết, đảm Mô hì nh logic sơ đồ phủ sóng vật lý tổng thể trƣờng bảo khả tối ưu vùng mà AP phủ sóng tới Mặt khác không gian phủ 1.1 Mô hình thiết kế logic sóng phải liên kết cách khoa học không rời rạc đảm bảo yêu cầu tín Giải pháp bao gồm Access point đặt tòa nhà liên kết với dựa hệ thống mạng có dây trường Các Access Point quản lý hiệu đường truyền Từ đưa mô hình phủ sóng toàn hệ thống mạng không dây sau: tập trung nhờ thiết bị WLAN controller đồng thời cung cấp dịch vụ roaming (kết nối liên tục di chuyển) dịch vụ bảo mật, chứng thực Hình 27: Mô hình phủ sóng trƣờng Trong mô hình ta thấy việc phủ sóng khu vực nhà làm việc số vùng khuôn viên nhà trường thực sau: Trong không gian khu nhà làm việc AP phát sóng indor theo dạng hình cầu bao phủ Hình 26: Mô hình logic mạng không dây trƣờng Các thiết bị có hỗ trợ kết nối không dây kết nối tới AP vùng phủ sóng, toàn trình kết nối hoạt động truy cập thiết bị ghi lại file log WLAN controller nhằm kiểm soát hoạt động truy cập bất toàn không gian làm việc nhà Dựa vào thiết bị đo tín hiệu cho điểm chết (điểm mà tín hiệu sóng wifi ) Các AP sử dụng ăng ten loại yagi để phát sóng outdor theo nửa hình bán cầu khu vực khuôn viên trường theo thiết kế hợp pháp Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 65 66 Thiết kế chi tiết của hệ thống 2.2 Thiết bị sử dụng hệ thống mạng không dây Thiết bị sử dụng hệ thống bao gồm Access 2.1 Mô hình thiết kế chi tiết hệ thống mạng không dây Với phương án thiết kế, tiêu chí ưu nhược điểm Point (AP) 1242 series Cisco, AP trang bị phương án hệ thống mạng hữu tuyến có dây sẵn có, mô hình thiết kế vật lý antenna để hỗ trợ phủ sóng outdor bên khuôn chi tiết hệ thống mạng không dây trường Đại học Kỹ thuật Công nghiệp Thái viên Thiết bị hỗ trợ chế bảo mật nhƣ: Nguyên sau: - Authentication Security Standards Outside Core Distribution Access - WPA Semi antenna - WPA2 (802.11i) Tòa nhà TT line se d - Cisco message integrity check (MIC) - IEEE 802.11 WEP keys of 40 bits and 128 bits Semi antenna AD ADSL Lea - Cisco TKIP Internet SL - 802.1X EAP types: Tòa nhà TV - EAP-Flexible Authentication via Secure Tunneling (EAP-FAST) - Protected EAP-Generic Token Card (PEAP-GTC) - PEAP-Microsoft Challenge Authentication Protocol Version (PEAP-MSCHAP) Load balancer Semi antenna - EAP-Transport Layer Security (EAP-TLS) Tòa nhà TH/ Giao vien Cisco 4506 - EAP-Tunneled TLS (EAP-TTLS) - EAP-Subscriber Identity Module (EAP-SIM) - Cisco LEAP WLAN controller/ IPS/AAA Semi antenna - Encryption Tòa nhà A5,Hội trường - AES-CCMP encryption (WPA2) - TKIP (WPA) - Cisco TKIP - WPA TKIP Hình 28: Sơ đồ phân bố Access point Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - IEEE 802.11 WEP keys of 40 bits and 128 bits Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 67 68 Một thiết bị quan trọng với AP WLC-4402 (Cisco • RFC 792 ICMP wireless control system) để cung cấp chức cho hệ thống không dây • RFC 793 TCP Cisco wireless LAN controller cung cấp khả quản trị mạng tập trung không • RFC 826 ARP dây theo cách hĩu hình tính điều khiển cần thiết cách hiệu • RFC 1122 Requirements for Internet Hosts bảo mật • RFC 1519 CIDR Một số tính nhƣ sau: • RFC 1542 BOOTP - Khả kiểm tra sách bảo mật WLAN • RFC 2131 DHCP - Khả quản lý tập chung tường minh môi trường sóng - Hoạt động với tốc độ cao nhờ khả hội tụ tin cậy băng thông tối ưu - Các tính di động cung cấp khả truy cập liên tục cho người dùng di chuyển - Khả mở rộng linh hoạch phù hợp với yêu cầu khách hàng từ nhỏ đến lớn - Bảo vệ đầu tư, Tiết kiệm chi phí vận hành nhờ mô hình phương thức triển khai đơn giản, dễ vận hành Security Standards • WPA • IEEE 802.11i (WPA2, RSN) • RFC 1321 MD5 Message-Digest Algorithm • RFC 1851 The ESP Triple DES Transform • RFC 2104 HMAC: Keyed Hashing for Message Authentication • RFC 2246 TLS Protocol Version 1.0 • RFC 2401 Security Architecture for the Internet Protocol Các đặc tính kỹ thuật: • RFC 2403 HMAC-MD5-96 within ESP and AH Item Specification • RFC 2404 HMAC-SHA-1-96 within ESP and AH Wireless IEEE 802.11a, 802.11b, 802.11g, 802.11d, 802.11h, • RFC 2405 ESP DES-CBC Cipher Algorithm with 802.11n Explicit IV Wired/Switching/Routing IEEE 802.3 10BASE-T, IEEE 802.3u 100BASE-TX • RFC 2406 IPsec specification, IEEE 802.1Q VLAN tagging, and IEEE • RFC 2407 Interpretation for ISAKMP 802.1D Spanning Tree Protocol • RFC 2408 ISAKMP Data Request For • RFC 768 UDP Comments (RFC) • RFC 791 IP Số hóa Trung tâm Học liệu – Đại học Thái Nguyên • RFC 2409 IKE • RFC 2451 ESP CBC-Mode Cipher Algorithms http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 69 70 • RFC 3280 Internet X.509 PKI Certificate and CRL Profile • Web-based authentication Management Interfaces • RFC 3602 The AES-CBC Cipher Algorithm and Its • Web-based: HTTP/HTTPS • Command-line interface: Telnet, SSH, serial port Use with IPsec • RFC 3686 Using AES Counter Mode with IPsec ESP Encryption Một số tính bảo mật đƣợc tích hợp sẵn WLAN Controller: - Tính IDS: • WEP and TKIP-MIC: RC4 40, 104 and 128 bits Bảo mật mối quan tâm lớn người quản trị hệ thống, bảo mật cho hệ (both static and shared keys) thống không dây mối quan tâm lớn chuyên gia bảo mật Cisco • SSL and TLS: RC4 128-bit and RSA 1024- and lightweight access point WLAN controller đồng thời đóng vai trò thiết bị 2048-bit cung cấp truy cập không dây cảm biến IDS (hệ thống phát xâm nhập) • AES: CCM, CCMP Điều thực nhờ kiến trúc split-MAC LWAPP Split- • IPSec: DES-CBC, 3DES, AES-CBC MAC LWAPP cho phép quét kênh mà không làm dán đoạn đến dịch vụ Authentication, • IEEE 802.1X liệu Access point Controller có thư viện khổng lồ dấu hiệu Authorization, and • RFC 2548 Microsoft Vendor-Specific RADIUS công Ngoài ra, với chứng nhận X.509 giúp hệ thống phát Accounting (AAA) Attributes Access point chưa chứng thực giả dạng access point chứng • RFC 2716 PPP EAP-TLS thực hệ thống • RFC 2865 RADIUS Authentication Mạng không dây hợp Cisco giảm bớt mối đe dọa từ access • RFC 2866 RADIUS Accounting point không hợp pháp cách sử dụng công cụ ngăn chặn mạnh, cách • RFC 2867 RADIUS Tunnel Accounting đảm bảo cho máy trạm tương tác với access point giả mạo • RFC 2869 RADIUS Extensions - RADIUS: • RFC 3576 Dynamic Authorization Extensions to Là giao thức loại client/server cung cấp bảo mật tập chung, cung cấp RADIUS dịch vụ chứng thực quản lý • RFC 3579 RADIUS Support for EAP RADIUS tích hợp wireless controller cung cấp dịch vụ chứng thực • RFC 3580 IEEE 802.1X RADIUS Guidelines người dùng người dùng muốn login vào hệ thống ghi lại hoạt động • RFC 3748 Extensible Authentication Protocol người dùng sau đăng nhập Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 71 72 2.3 Phân bổ thiết bị sử dụng hệ thống - TACACS+: Cũng giống RADIUS nhiên thay hỗ trợ chứng thực bị giới hạn việc phân quyền TACACS có khả cung cấp dịch vụ Tại mạng trung tâm nhà điều hành: - Sử dụng thiết bị AP1242 cisco để phủ sóng wifi toàn nhà hiệu sau: + patch antenna để hỗ trợ phủ sóng xung quanh nhà điều hành Thiết bị Authentication: Dịch vụ xác định người dùng người dùng truy cập vào hệ WLC-4402 (Cisco wireless control system) đặt phòng máy chủ để quản thống lý tập trung AP hệ thống Authorization: Xác định quyền hạn mà người dùng phép cấp độ truy Tại tòa nhà khác: cập người dùng - Sử dụng AP1242 trang bị antenna phủ sóng đảm bảo phủ Accounting: Là trình theo dõi hoạt động thay đổi người dùng - Cấu hình cho người dùng mạng cục bộ: sóng tốt Tổng cộng có 10 AP phân bổ sau: - 03 AP đặt khu thí nghiệm nhà làm việc khoa Là sở liệu người dụng cục controller Cơ sở liệu người dùng nội lưu trữ thông tin định danh (username password) tất - 02 AP đặt thư viện điện tử - 02 AP đặt A5 người dùng cục bộ, sau thông tin dùng để chứng thực Sự phân bổ dựa tính toán thiết kế tối ưu tầm phủ sóng nhu cầu người dùng đặt trường Đại học Kỹ thuật Công nghiệp Thái Nguyên - LDAP : II GIẢI PHÁP BẢO MẬT TRONG MẠNG KHÔNG DÂY TẠI ĐHKTCN Tương tự RADIUS sở liệu người dùng cục bộ, Cơ sở liệu Trong hệ thống thông tin nói chung vấn đề vô quan LDAP cho phép lưu trữ thông tin định danh (username/password) người trọng cần thiết vấn đề bảo mật thông tin chứa đựng hệ dùng Các thông tin dùng để xác thực người dùng Ví dụ, EAP cục thống Hệ thống mạng không dây trường đại học kỹ thuật công nghiệp với dùng LDAP để xác định username password người dùng quy mô không nhỏ, việc trao đổi thông tin liên quan giữu nhà trường sinh - Local EAP: viên lớn thông tin lại vô quan trọng yêu cầu đặc biệt đặt EAP cục phương thức cho phép người dùng thiết bị không dây an toàn bảo mật thông tin chống sủa chữa, thay đổi hay chứng thực cách cục Được thiết kế văn phòng từ đánh cắp thông tin đường truyền Từ thực tế giải pháp bảo mật xa muốn trì kết nối không dây hệ thống chứng thực không hoạt động ứng dụng hệ thồng nhằm thực yêu cầu quan trọng nêu hệ thống backend bị gián đoạn hoạt động Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 73 74 Hiện biện pháp công ngày tinh vi, đe doạ tới độ an Yêu cầu bảo vệ thông tin Để làm bật rõ yêu cầu bảo vệ thông tin trường cần phân toàn thông tin đến từ nhiều nơi theo nhiều cách khác nhà tích nguyên nhân an toàn thông tin trường đưa sách phương pháp đề phòng cần thiết Mục đích Ngày nay, Internet, kho tàng thông tin khổng lồ, phục vụ hữu hiệu học cuối an toàn bảo mật bảo vệ giá trị thông tin tài nguyên theo tập nghiên cứu, trở thành phương tiện thuận lợi thiếu yêu cầu sau: việc trao đổ thông tin Chính điều quan trọng trở thành đối tượng Tính tin cậy: Đảm bảo xác thông tin sinh viên hệ thống cho nhiều người công với mục đích khác Cùng với phát triển Đồng thời thông tin bị truy nhập trái phép người không ngừng Internet dịch vụ Internet, số lượng vụ công thẩm quyền Internet tăng theo cấp số nhân Trong phương tiện thông tin Tính nguyên vẹn: Thông tin bị sửa đổi, bị làm giả người đại chúng ngày nhắc nhiều đến Internet với khả truy nhập thẩm quyền thông tin dường đến vô tận nó, tài liệu chuyên môn bắt đầu đề Tính sẵn sàng: Thông tin sẵn sàng để đáp ứng sử dụng cho người có thẩm cập nhiều đến vấn đề bảo đảm an ninh an toàn liệu cho máy tính quyền có yêu cầu truy nhập thông tin vào thời điểm cần thiết kết nối vào mạng Internet Tính từ chối: Thông tin cam kết mặt pháp luật nhà trường Không số lượng công tăng lên nhanh chóng, mà phương cung cấp pháp công liên tục hoàn thiện Nhu cầu bảo vệ thông tin Trong yêu cầu này, yêu cầu bảo mật coi yêu cầu số trường Đại học Kỹ thuật Công nghiệp chia thành ba loại gồm: Bảo vệ thông tin lưu trữ hệ thống liệu; Bảo vệ tài nguyên sử dụng mạng Bảo vệ danh tiếng - Bảo vệ tài nguyên sử dụng mạng: quan: Trên thực tế, công Internet, kẻ công, sau làm - Bảo vệ liệu: chủ hệ thống bên trong, sử dụng máy để phục vụ cho mục Đây vấn đề đặc biệt quan trọng, toàn sở liệu quản lý đào tạo đích cài đặt chương trình chạy ẩn để dò mật người sử nhà trường lưu thao tác máy Server trường Bao gồm dụng, ứng dụng liên kết mạng sẵn có để lấy cắp thông tin cần thiết liệu điểm sinh viên, kế hoạch học tập, thông tin học phí tiếp tục công hệ thống khác vv Các liệu phải tuyệt đối an toàn đảm bảo không bị đánh cắp sửa chữa - Bảo vệ danh tiếng quan: Một phần lớn công không thông báo rộng rãi, thông tin nguyên nhân nỗi lo bị uy tín quan, đặc biệt gây hoang mang không tin tưởng vào thông tin mà nhà trường cung cấp Trong Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 75 76 trường hợp bị công gây an toàn liệu tổn thất uy tín lớn Thực thi xác thực hệ thống, kiểm tra (audit) để kiểm soát người sử dụng hệ để lại hậu lâu dài thống Chống lại kẻ công giả danh người sử dụng đăng nhập vào hệ thống Các bƣớc thực thi an toàn bảo mật cho hệ thống chiếm quyền điều khiển hệ thống Phần trình bày bước thực thi an toàn bảo mật biện pháp nhằm - Các hoạt động bảo mật mức hai tăng cường tính an toàn, bảo mật cho hệ thống mạng không dây trường theo Các hoạt động an toàn bảo mật mức hai tập trung nhiều vào việc xây mức khác Để có sách bảo mật đem lại hiệu cao, dựng sách truy nhập cụ thể người dùng, cho phép không cho cần xác định rõ nhân tố tối thiểu an toàn bảo mật cho hệ thống mạng phép truy cập vào tài nguyên mạng khác hệ thống Đưa yêu trường với kiến thức quản trị kỹ để thực hoạt động cầu cụ thể người dùng việc đăng ký thông tin cá nhân, đăng ký tăng cường an toàn bảo mật địa MAC thiết bị truy cập, xây dựng sở liệu tài khoản truy cập - Các hoạt động bảo mật mức để xác thực đăng nhậnp hệ thống Các hoạt động an toàn bảo mật mức Ở mức một, người thực thi bảo mật, quản trị hệ thống & mạng thực làm hai tập trung vào hiểm họa bắt nguồn từ bên nội có cho môi trường mạng, máy tính bị lỗ hổng bảo mật sửa lỗi sách giám sát Server chứa thông tin quan trọng, hỗ trợ chức nhiệm sửa lỗi biện pháp kỹ thuật Thực cảnh báo vụ quan trọng (trực tuyến) để nhắc nhở, thông báo người dùng mạng Trong hệ thống mạng không dây nhà trường xây dựng Server Proxy quy tắc sử dụng truy nhập vào hệ thống mạng trường Xây dựng có cài đặt phần mềm chuyên dụng cho phép phát truy nhập người dùng mạng lưới bảo vệ, lọc, phát tiêu diệt virus, Spyware, Troyjan - tất phép trái phép, lưu phân tích kết truy nhập các máy trạm, máy chủ, cổng kết nối mạng (gateway) Đảm bảo cập - Các hoạt động bảo mật mức ba Hoạt động mức sử dụng chức quản lý cấu hình hệ thống nhật thường xuyên phần mềm diệt virus Đảm bảo hệ thống lưu liệu hoạt động định kỳ, tập tin mạng không dây trường Như trình bầy phần trên, thiết bị sử dụng khôi phục từ lưu định kỳ đó, người quản trị hệ thống có đủ hệ thống AP1242, WLC-4402 (Cisco wireless control system) kiến thức cập nhật cần thiết để thực lưu tất hệ thống lập tích hợp sẵn số chức bảo mật mạnh bao gồm bảo mật phần cứng tức trường hợp bị công Nếu liệu lưu tốt, chức FireWall, bảo mật liệu sử dụng chế bảo mật vấn đề nhỏ an toàn bảo mật trở thành thảm họa WPA, WPA2, EAP Ngoài thiết bị tích hợp tính bảo mật khác Cho phép ghi nhật ký kiện, hoạt động người dùng đăng nhập vào hệ thống Hệ thống chế ghi nhật gây khó khăn cho IDS (hệ thống phát xâm nhập), RADIUS (chứng thực người dùng), TACACS+ việc phát khắc phục vụ công Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 77 78 Thiết bị WLC-4402 (Cisco wireless control system) cấu hình để quản lý tất AP hệ thống, giám sát tất hoạt động người dùng truy cập vào AP mà quản lý đồng thời cho phép ghi lại hoạt động vào file log thiết bị Cho phét thiết lập sách Điều khiển AP thông qua Wireless controler Các AP quản lý tập chung thiết bị WLC-4402 (Cisco wireless control system) người dùng cấp quyền truy cập, xác thực username password, giới hạn quyền truy cập vào hệ thống, giớ hạn băng thông III CHƢƠNG TRÌNH THỰC TẾ ĐÃ XÂY DỰNG Với sở tảng lý thuyết bảo mật hệ thống mạng không dây nghiên cứu trên, đồng thời nhiều vấn đề bảo mật đựơc phân tích, đánh giá cách cụ thể, từ em đưa ưu điểm hay hạn chế vấn đề bảo mật cho mạng không dây Từ kiến thức học được, em nhà trường tin tưởng giao cho việc xây dựng hệ thống mạng không dây trường Đại học Kỹ thuật Công Nghiệp Đồng thời áp dụng phương pháp bảo mật nghiên cứu cho hệ thống nhằm đảm bảo an toàn thông tin sở Hình 29: Giao diện quản trị WLAN Controler 4420 liệu quan trọng nhà trường Qua thời gian tìm tòi nghiên cứu em xây dựng xong hệ thống truy cập mạng không dây nhà trường bao gồm sách áp dụng phương pháp bảo mật cho hệ thống Sau số hình ảnh chương trình thực tế xây dựng hệ thống mạng không dây trường áp dụng công cụ, sách bảo mật cho hệ thống Hình 30: Hệ thống 10 AP đƣợc quản lý Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 79 80 Các mức độ truy cập hệ thống có giới hạn băng thông quyền truy cập tài nguyên mạng: Hình 31: Các mức truy cập hệ thống Hình 33: Các sách truy cập GUEST_ACL Chính sách công cụ bảo mật áp dụng cho hệ thống Các sách truy cập GUEST_ACL USERS_GV_ACL tạo nhằm quản lý quyền truy cập chia sẻ tài nguyên người dùng Hình 34: Bảo mật lớp WLAN SSID: Quan tri mang dhktcn Hình 32: Các sách truy cập USERS_GV_ACL Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 81 82 Hình 35: Bảo mật lớp WLAN SSID: Quan tri mang dhktcn Hình 37: Bảo mật WLAN SSID: Can bo va Giang vien dhktcn Hình 36: Bảo mật WLAN SSID: Sinh vien dhktcn va Khach Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Hình 38: Tạo users chứng thực Web Authentication Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 83 84 Hình 39: Cấu hình chức bảo mật Web Authentication Hình 41: Bảng MAC Adress Table để chứng thực quản lý IV ĐÁNH GIÁ KẾT QUẢ Hệ thống mạng không dây xây dựng trường Đại học Kỹ thuật Công nghiệp Thái Nguyên hệ thống có quy mô lớn Tuy nhiên việc bảo đảm an toàn bảo mật thông tin vô quan trọng Nếu liệu bị đánh cắp bị sửa đổi gây hậu nghiêm trọng ảnh hưởng tới trình quản lý uy tín nhà trường Chính mà yêu cầu bảo mật cho hệ thống đặt lên hàng đầu Với việc thiết kế xây dựng hoàn chỉnh, hệ thống mạng hoạt động ổn định, kết kiểm tra khả bảo mật thông tin cho thấy an toàn hệ thống bảo mật Hình 40: Đăng nhập sách Web Authentication đáp ứng nhu cầu tương lai nhà trường Điều góp phần quan trọng cho phát triển lâu dài trường đáp ứng nhu cầu trao đổi thông tin, chia sẻ tài nguyên nhanh chóng thuận tiện an toàn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 85 86 Trong tương lai hệ thống cần trang bị công cụ biện phát bảo mật KẾT LUẬN mạnh công nghệ phát triển công vào hệ thống tinh vi nguy hiểm hơn, có tầm ảnh hưởng lớn hơn, gây hậu nghiêm trọng Vấn đề bảo mật cho hệ thống mạng không dây vấn đề khó khăn đặt vị trí quan trọng hầu hết thiết kế mạng, nhiên, để có giải pháp hoàn hảo cho tình điều gần khó Chính vậy, thiết kế hệ thống mạng, phải dựa sở, yêu cầu thực tế hệ thống, cân nhắc lợi hại phương pháp để đưa sách bảo mật hợp lý Trong thực tế xây dựng hệ thống mạng không dây cho nhà trường có tham gia thành phần khác có yêu cầu bảo mật khác Phân tích kỹ lưỡng điều giúp ta định biện pháp phù hợp với hệ thống Với mong muốn giúp nhà quản trị mạng xây dựng giải pháp bảo mật tốt cho hệ thống mạng không dây, phát triển mạnh mẽ công nghệ không dây tương lai, đề tài "Một số vấn đề an ninh mạng máy tính không dây" em nghiên cứu số vấn đề sau: - Tìm hiểu tổng quan hệ thống mạng không dây, giao thức, cách truyền dẫn liệu, khả chống nhiễu, dải tần, số vấn đề kỹ thuật hệ thống mạng không dây - Trình bày đặc điểm mạng không dây, số điểm yếu bảo mật hệ thống bảo mật sẵn có hệ thống mạng không dây - Tìm hiểu số phương pháp công hệ thống mạng không dây Từ xây dựng giải pháp phù hợp cho hệ thống - Nghiên cứu số phương pháp sử dụng để cải thiện tính bảo mật hệ thống mạng không dây, đề xuất sử dụng phương pháp việc thiết kế hệ thống mạng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 87 88 - Đã ứng dụng thực tế vấn đề bảo mật hệ thống mạng không dây trường TÀI LIỆU THAM KHẢO Đại học Kỹ Thuật Công nghiệp Thái Nguyên, đem lại kết tốt Trong khuôn khổ luận văn, việc nghiên cứu dừng lại mức phân tích đưa số nhận xét biện pháp công cụ bảo mật có phương thức bảo mật phát triển sử dụng với hệ thống mạng không dây Nhằm cung cấp thêm cho người quản trị mạng có nhìn tổng quan công nghệ hành khả bảo mật thật hệ thống mạng không dây, từ định lựa chọn phương án bảo mật cho hệ thống Tuy nhiên thời gian có hạn nhiều hạn chế kiến thức nên trình thực luận văn, không tránh khỏi có sai sót Em mong nhận ý kiến đóng góp thầy cô bạn để luận văn hoàn thiện hơn, có ích thực tế Andrew Tanenbaum Prentice Hall (4th Ed 2003), Computer Networks Problem Solutions Chris Hurley, Michael Puchol, Russ Rogers, Frank Thornton (2004), Wardriving: Drive, Detect, Defend A Guide to Wireless Security, Syngress Publishing, New York, US Gilbert Held (2003), Security wireless LANs, Wiley Publishing, US Hossam Afifi, Djamal Zeghlache (2003), Application & Services in Wireless Networks, Kogan Page, UK Jahanzeb Khan (2003), Building Secure Wireless Networks with 802.11, Wiley Publishing, US Merriu Maxim David Po11ino (2002), Wrireless Security, McgramHi11, United States of America Rob Flickenger (2003), Building Wireless Community Networks, Second Edition, O'rei11y, US Rob Flickenger (2003), Wireless Hacks, O'reily & Associates, Inc, United States of America Russe11, D.V (2002), Wireless security Essentials, Wiley Publishing, Inc, United States of America 10 Tara M Swaminatha, Charles R Elden (2003), Wireles Security and Privacy Best Practices and Design Techniques, Addison Wesley, Boston, United States of America Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn [...]... WEP có thể dịch là chuẩn bảo mật dữ liệu cho mạng không dây mức độ tương CHƢƠNG II đương với mạng có dây, là phương thức chứng thực người dùng và mã hóa nội AN NINH TRONG MẠNG KHÔNG DÂY dung dữ liệu truyền trên mạng LAN không dây (WLAN) WEP là một thuật toán I VẤN ĐỀ AN NINH TRONG MẠNG KHÔNG DÂY mã hóa đối xứng có nghĩa là quá trình mã hóa và giải mã đều dùng một là khóa dùng chung - Share key, khóa này... mà AP đang sử dụng Hơn nữa tất cả mạng WLAN đã chứng thực được và AP sẽ cho phép thực hiện các kết nối dùng chung một SSID, chỉ cần một máy tính trong mạng để lộ thì sẽ ảnh hưởng an ninh toàn mạng Vì thế Việc sử dụng SSID chỉ áp dụng cho kết nối giữa máy tính và máy tính hoặc cho các mạng không dây phạm vi nhỏ, hoặc là không có kết nối ra mạng bên ngoài 2.2.3 Chƣ̃ ký điện tƣ̉ Trong môi trường mạng, ... thời gian lâu hơn mà không phải thay hay xạc pin cho công nghệ mạng không dây Tất cả các sóng mạng với tín hiệu OFDM được đồng bộ về thời gian và tần số do vậy nhiễu giữa các tín hiệu có thể điều khiển được Các sóng mạng này xếp chồng nhau trong miền tần số nhưng không gây ra nhiễu sóng mang vì các sóng mang có tần số trực giao với nhau (mỗi tần số sóng mang là số nguyên lần của tần số cơ bản) Số hóa... trên chúng ta thấy được vấn đề an ninh trong mạng không với hệ thống mạng có dây dây đóng một vai trò hết sức quan trọng Thông tin chỉ có giá trị khi nó giữ được Những chương trình bắt gói tin có khả năng lấy các thông tin quan trọng Có tính chính xác, thông tin chỉ có tính bảo mật khi chỉ có những người được phép những chương trình có thể lấy được mật khẩu trên mạng không dây trong quá nắm giữ thông... Adhoc Hình trên là một mô hình mạng AdHoc, trong đó các máy client chỉ giao tiếp với nhau trong một phạm vi giống như trong một văn phòng Nếu một máy client nào muốn kết nối tới bên ngoài thì một máy nào đó trong phòng phải hoạt động đóng vai trò như một gateway và thực hiện dịch vụ truyền tín hiệu Phương thức AdHoc cũng được đề xuất sử dụng trong các mạng an xen lớn nơi mà mỗi nút mạng vừa là client... được nó Thực sự vấn đề bảo mật cho mạng máy tính trình trao đổi thông tin giữa Client và Server khi đang thực hiện nhập mật khẩu không dây nói chung phức tạp hơn hệ thống mạng có dây rất nhiều để đăng nhập Cũng từ việc bắt gói tin, có thể nắm được thông tin, phân tích II CÁC LOẠI HÌNH TẤN CÔNG MẠNG KHÔNG DÂY được lưu lượng của mạng (Traffic analysis) , phổ năng lượng trong không gian 1 Tấn công bị... trong 802.11 là PSK (Phase Shift Keying) Tốc độ 11Mbps làm cho công nghệ LAN không dây trở nên thực tế hơn Thông thường trong một mạng WLAN, các trạm không dây (STA) sẽ có với các doanh nghiệp Thị trường gia đình cũng được dự đoán sẽ có những bùng chung một điểm truy cập cố định (AP) làm chức năng cầu nối (bridge) như trong nổ trong thời gian tới với chuẩn 802.11b khi các nhà sản xuất mạng LAN có dây. .. và HiperMAN cho - Để chuyển từ trạng thái thứ hai sang trạng thái thứ ba, đã xác định và có phép các thiết bị truyền thông trong một bán kính lên đến 50km và tốc độ truy kết nối, máy client gửi một yêu cầu liên kết và điểm truy cập sẽ trả lời bằng một nhập mạng lên đến 70 Mbps tín hiệu xác nhận kết nối IV CÁC CHUẨN CỦA MẠNG KHÔNG DÂY - Các máy client sẽ trở thành ngang hàng trong mạng không dây và có... gói đi khắp mạng Mặc dù phương thức này không được phổ biến rộng rãi, tuy nhiên như một cầu mạng theo chuẩn Ethemet và chuyển các tín hiệu đó tới các mạng thích hợp, mạng dây dẫn hoặc các mạng không dây khác Trước khi có thể trao đổi dữ liệu, các máy client và AP phải được thiết lập một mối quan hệ hay một sự liên kết Chỉ khi kết nối đó được thiết lập chính xác, hai trạm kết nối không dây mới có thể... dữ liệu trong mạng 1 Chuẩn 802.11.WLAN Chuẩn IEEE 802.11 cung cấp một tập hợp các đặc tả cho mạng LAN không dây được phát triển bởi nhóm các kỹ sư của tổ chức IEEE (Institute of Eleetrical and Electronics Engineers - Học viện các kỹ sư Điện và Điện tử của Mĩ Chuẩn 802.11 này ra đời vào năm 1989, tập trung vào sự triển khai trong môi trường mạng của các doanh nghiệp lớn, coi một mạng không dây như