Đang tải... (xem toàn văn)
Microsoft Word Tuyen tap bai viet CCNA doc Bài 01 Frame relay Frame relay vẫn là công nghệ WAN được triển khai nhiều nhất có dùng router Đã có một sự chuyển đổi dần dần từ FR sang các công nghệ như VP.
Bài 01: Frame relay Frame relay công nghệ WAN triển khai nhiều có dùng router Đã có chuyển đổi từ FR sang công nghệ VPN dựa IP MPLS-VPN Tuy nhiên Frame relay đóng vai trò lớn mạng doanh nghiệp tương lai trước mắt Chuẩn FR phát triển nhiều nhóm nghiên cứu Ban đầu, Cisco cơng ty khác (còn gọi gang of four) phát triển chuẩn giúp cho tính tương thích FR phát triển sản phẩm Sau diễn đàn Frame relay Framerelay Forum thành lập nhằm phát triển FR IETF định nghĩa vài RFC liên quan đến việc dùng FR giao thức lớp mạng IP Tài liệu Cisco IOS thường mô tả chuẩn FR thông qua thoả hiệp thực FRF, ví dụ FRF.12 liên quan đến đặc tả cho tiến trình phân mảnh Cuối cùng, ANSI ITU xây dựng chuẩn để chuẩn hóa FR theo chuẩn quốc gia Mỹ quốc tế Các mạch ảo Frame Relay: Công nghệ Frame Relay thường chuyển frame từ nguồn đến đích đường dẫn kết nối ảo Các đường ảo mạch ảo thường trực (permanent virtual circuits - PVCs) mạch ảo chuyển mạch (switched virtual circuits - SVCs) Một PVC thường thiết lập nhà cung cấp dịch vụ họ lập trình tổng đài Frame Relay Switch Tùy thuộc vào thoả thuận với nhà cung cấp, khách hàng PVC người dùng cấu hình để mang lưu lượng đến tốc độ gọi tốc độ thông tin cam kết (committed information rate - CIR) CIR tốc độ truyền mà mạng Frame Relay nhà cung cấp đồng ý truyền tình trạng bình thường, tốc độ trung bình khoảng thời gian Đơn vị CIR bits giây Mỗi kết nối PVC cuối thiết bị đầu cuối xác định địa có chiều dài 10 bit phần header đầu frame, gọi DLCI DLCI thường dùng để ánh xạ đến địa lớp mạng đích đến, tức địa router đầu xa mạch PVC Sau liệu cần truyền hạ tầng Frame relay đóng gói header Mỗi header Frame Relay chèn vào giá trị DLCI tương ứng đến địa lớp mạng đích đến Các frame sau gửi đến tổng đài với giá trị DLCI ban đầu Các frame tiếp tục trung chuyển phía mạng đích thơng qua tổng đài nhà cung cấp dịch vụ FR Các tổng đài FR thay đổi giá trị DLCI sang PVC khác đường đích Kết là, giá trị DLCI frame không thiết phải giống giá trị ban đầu frame vào mạng Frame Relay Vì vậy, giá trị DLCI có ý nghĩa cục Ngồi ra, hai đầu PVC dùng giá trị DLCI, ví dụ DLCI 200 Tuy nhiên, cuối kết nối, DLCI tượng trưng cho nhiều PVC Thông số nhận dạng kết nối lớp datalink DLCI : Để kết nối hai thuê bao Frame Relay DTE, nhà cung cấp dịch vụ FR dùng mạch ảo hai router đầu cuối Một router gửi frame Frame Relay, có trường có chiều dài 10-bit để nhận dạng VC, gọi Data Link Connection Identifier (DLCI) Các tổng đài trung gian FR chuyển frame dựa thông tin giá trị DLCI frame, frame thực thoát khỏi tổng đài để đến router đầu kết nối Các giá trị FR DLCI có ý nghĩa cục bộ, nghĩa giá trị DLCI có ý nghĩa kết nối đơn Kết giá trị DLCI frame thay đổi frame qua mạng Năm bước hiển thị giá trị DLCI cục cho mạch ảo hình vẽ Router A gửi frame với giá trị DLCI 41 Tổng đài FR xác định frame phần mạch VC kết nối router A đến routerB Tổng đài FR thay trường DLCI frame giá trị 40 Trong thực tế, vài nhà cung cấp dịch vụ dùng địa DLCI toàn cục Qui ước DLCI truyền thống cho phép ta suy nghĩ router có địa đơn nhất, tương tự vai trò địa MAC Tuy nhiên địa cục giá trị DLCI mạch ảo VC bị thay đổi giá trị qua hệ thống mạng Ví dụ, cho VC từ routerA đến RouterB, routerA có DLCI 40 routerB có DLCI 41 Ý tưởng địa tồn cục giống LAN Ví dụ, router A gửi frame đến Router B, router A gửi frame đến địa toàn cục router B (41) Tương tự, routerB gửi frame đến địa toàn cục router A (40) Các thông điệp quản lý trạng thái cổng nội (Local Management Interface – LMI) Các thông điệp LMI FrameRelay giúp ta quản lý trạng thái đường truyền router thuê bao tổng đài FR Một router thuê bao dịch vụ FR gửi thông điệp truy vấn trạng thái đến tổng đài tổng đài trả lời thông điệp trạng thái LMI Status để thông báo cho router giá trị DLCI mạch ảo VC trạng thái mạch VC Ở chế độ mặc định, thông điệp LMI gửi 10 giây Cứ thông điệp thứ sáu mang đầy đủ thơng tin trạng thái, bao gồm thông tin đầy đủ VC Các thông điệp truy vấn LMI Status enquiry (từ router) Status (từ tổng đài) hoạt động chế keepalive Một router xem cổng bị hỏng router nhận thông điệp từ tổng đài ba chu kỳ (mỗi chu kỳ 10 giây) Kết là, chế LMI Frame Relay thực cho phép không cho phép cách dùng lệnh keepalive/no keepalive cổng Frame Relay router Nói cách khác, lệnh no keepalive tắt thơng điệp LMI Có ba loại thơng điệp LMI tồn tại, chủ yếu có nhiều nhà cung cấp thiết bị chuẩn khác để phát triển FR Kiểu định nghĩa sớm nhất, gọi Cisco LMI khác với kiểu ANSI ITU định nghĩa sau Sự khác điểm: Cisco LMI cho dùng giá trị DLCI phép, tức dãy số DLCI cho phép Các giá trị DLCI dùng để gửi thông điệp LMI Nói cách thực tế, vấn đề quan trọng Mặc định router tự động dị tìm loại LMI Nếu cần thiết, lệnh frame-relay lmi-type dùng để kiểu LMI dùng đường truyền Frame Relay Bảng liệt kê ba kiểu LMI, từ khóa type với vài điểm so sánh liên quan đến LMI giá trị DLCI cho phép Ví dụ kiểu LMI Cisco cho phép dùng giá trị DLCI từ 16 1007 Kiểu LMI ANSI cho phép dùng DLCI từ 16 đến 991 Giá trị DLCI dùng để LMI để truyền nhận thông điệp khác Cisco LMI dùng DLCI 1023, ANSI LMI dùng DLCI Frame Relay Headers q trình đóng gói FR Router tạo frame cách dùng header liên tiếp khác Header ITU Link Access Procedure for Frame-Mode Bearer Services (LAPF) Header LAPF bao gồm tất trường dùng tổng đài FR để phân phối frame đám mây FR, trường bao gồm DLCI, DE, BECN FECN Các trường theo sau phần LAPF chứa thông tin quan trọng cho router thuê bao đầu cuối VC Đối với đoạn header đóng gói, có hai tùy chọn tồn tại: Các loại header Cisco định nghĩa ban đầu Header định nghĩa IETF RFC 2427 (trước RFC 1490) Nếu ta dùng Cisco router cuối VC, tuỳ chọn cisco phù hợp làm việc tốt Trong khi, tùy chọn ietf cần thiết trường hợp dùng nhiều sản phẩm hãng khác Cả hai header có trường có tên protocol để hỗ trợ nhiều giao thức lớp VC Trường dùng nhiều trường xác định giao thức lớp mạng Network Layer Protocol ID, mô tả RFC2427 Hình mơ tả cấu trúc header trailer Mỗi VC mặc định dùng header Cisco cấu hình để dùng header kiểu IETF Có ba phương thức dùng để cấu hình VC dùng kiểu header IETF: Dùng lệnh encapsulation frame-relay ietf Lệnh thay đổi trạng thái mặc định cổng sang IETF thay dùng cisco Dùng lệnh frame-relay interface-dlci number ietf, bỏ qua trạng thái mặc định cho VC Dùng lệnh frame-relay map dlci….ietf Lênh thay đổi trạng thái mặc định VC Ví dụ, cổng có 10 VC, có bảy VC cần phải dùng kiểu đóng gói IETF, cổng chuyển sang IETF lệnh encapsulation frame-relay ietf Sau đó, lệnh frame-relay interface-dlci number cisco dùng cho ba VC cần chạy theo kiểu đóng gói Cisco Các tín hiệu báo nghẽn DE, BECN FECN Frame Relay Mạng FR, giống mạng đa truy cập khác, tạo nghẽn vấn đề tốc độ không đồng Ví dụ mạng Frame Relay có 20 th bao với đường 256 kbps văn phòng có băng thơng mức T1 Nếu 20 site gửi frame liên tục văn phịng thời điểm, ta có khoảng 5Mbps liệu cần khỏi đường T1 1.5Mbps, làm cho hàng đợi tổng đài FRSwitch tăng nhanh Tương tự, văn phịng cần gửi liệu đến chi nhánh nào, router gửi tốc độ T1 Điều nguyên nhân tiềm tàng gây nghẽn đầu ra, hàng đợi tăng nhanh chóng bên mạng FrameRelay Do đó, FR cung cấp hai phương thức để phản ứng với vấn đề nghẽn Adaptive Shaping, FECN BECN Ở chương 16, “shaping policing” mơ tả khái niệm định hình lưu lượng theo chế độ thích ứng, router thay đổi tốc độ định hình tùy thuộc vào mạng có nghẽn hay không Để phản ứng với nghẽn xảy mạng FR, router phải nhận vài dạng thông báo từ tổng đài FRSwitch nghẽn xảy Vì phần header FR bao gồm bit Forward Explicit Congestion Notification (FECN) bit Backward Explicit Congestion Notification (BECN) bits để báo hiệu nghẽn xảy VC Để thực việc này, tổng đài FRSwitch nhận thấy có nghẽn gây VC, tổng đài gán bit FECN frame VC Tổng đài theo dõi VC bị nghẽn cho tìm frame gửi VC theo chiều đối diện bước hình Tổng đài sau đánh dấu bit BECN frame truyền theo chiều ngược lại Router nhận frame có bit BECN biết frame router gửi chịu tình trạng nghẽn, router giảm tốc độ gửi liệu xuống Hình mơ tả ví dụ tiến trình Bit FECN gán tổng đài FR gán router router khơng cần truyền tín hiệu nghẽn Ví dụ, R1 nghĩ nghẽn xảy từ trái sang phải, R1 cần giảm tốc độ truyền xuống Ở đầu kết nối, R2 đích đến frame, khơng lưu ý nghẽn xảy cho frame từ trái sang phải Vì vậy, có tổng đài cần phải thiết lập giá trị bit FECN BECN gán tổng đài router Hình mô tả tổng đài gán giá trị BECN frame người dùng Nó gửi frame kiểm tra Q.922 Động thái giúp loại bỏ cần thiết phải chờ cho có lưu lượng người dùng gửi VC gán giá trị BECN frame Cuối cùng, router cấu hình để xem xét frame có bit FECN, phản ứng lại cách gửi frame kiểm tra Q.922 VC với bit BECN thiết lập Đặc tính này, cịn gọi phản hồi FECN Tính cấu hình lệnh shape fecn-adapt (CB Shaping) lệnh traffic-shape fecn-adapt (FRTS) Bit khả loại bỏ frame DE Khi có nghẽn xảy ra, hàng đợi tổng đài FRSwitch bắt đầu lấp đầy Trong vài trường hợp, frame bị loại bỏ khỏi hàng đợi Tổng đài (nhưng khơng u cầu) phải kiểm tra bit khả loại bỏ frame Discard Eligibility (DE) frame cần phải bị loại bỏ Tổng đài FR chủ động loại bỏ frame có bit DE thay loại bỏ frame khơng có bit DE Cả router tổng đài FR gán bit DE Thơng thường, router định việc gán bit DE vài frame đó, người quản trị có khả biết lưu lượng quan trọng lưu lượng nào, thường chiều inbound Đánh dấu bit DE thực thơng qua chế CB Marking, dùng lệnh set fr-de MQC Mặc dù router thường thực việc đánh dấu bit DE, tổng đài FR đánh dấu bit DE Đối với tổng đài, động tác đánh dấu thường thực hiên tổng đài khống chế lưu lượng, thay loại bỏ lưu lượng vượt giới hạn, tổng đài đánh dấu bit DE Bằng cách này, tổng đài bên có khả loại bỏ frame đánh dấu gây nghẽn Bảng tóm tắt điểm mấu chốt FECN, BECN bit DE Cấu hình Frame Relay Phần mơ tả cấu hình lệnh hoạt động, với chế nén tải FR chế chèn LFI FR Cấu hình Frame Relay Hai chi tiết quan trọng liên quan đến cấu hình Frame Relay việc kết hợp giá trị DLCI với cổng subinterface việc ánh xạ địa lớp đến giá trị Một điều thú vị hai đặc điểm cấu hình với hai lệnh: frame-relay map lệnh frame-relay interface-dlci Mặc dù router học giá trị DLCI đường truyền FR thông qua thơng điệp LMI, thơng điệp khơng có chức ngầm định DLCI dùng cho cổng Để cấu hình FR dùng subinterface, thơng số DLCI phải kết hợp với subinterface Bất kỳ DLCI học với LMI mà không kết hợp với cổng subinterface giả sử dùng cho cổng vật lý Một phương thức phổ biến để thực việc kết hợp dùng lệnh frame-relay interface-dlci dấu nhắc lệnh sub interface Trên subinterface dạng điểm-nối-điểm point-to-point, có lệnh frame-relay interface dlci phép dùng, cổng dạng đa điểm multipoint, nhiều lệnh dùng Một phương thức thay dùng lệnh frame-relay map Lệnh ánh xạ địa lớp sang giá trị DLCI ngầm định DLCI thuộc cổng mà lệnh cấu hình Trên cổng subinterface dạng đa điểm, nhiều lệnh cho phép giao thức lớp Ví dụ mơ tả tùy chọn cấu hình FR, dùng lệnh frame-relay interface-dlci lệnh show liên quan Ví dụ thực yêu cầu sau đây: R1 dùng nhiều cổng dạng multipoint subinterface để kết nối R2 R3 R1 dùng cổng subinterface dạng điểm-điểm để kết nối đến R4 Mạch ảo VC R1 R4 dùng kiểu đóng gói IETF Bắt đầu cấu hình R1 Cổng subinterface s0/0.14 hiển thị tùy chọn IETF dùng lệnh frame-relay interface-dlci Cổng subinterface s0/0.123 có hai DLCI thuộc nó, VC kết nối đến R2 R3 Code: interface Serial0/0/0 encapsulation frame-relay ! interface Serial0/0.14 point-to-point ip address 10.1.14.1 255.255.255.0 frame-rely interface-dlci 104 IETF ! interface Serial0/0/0.123 multipoint ip address 101.123.1 255.255.255.0 frame-relay interface-dlci 102 frame-relay interface-dlci 103 Tiếp theo cấu hình R2 R2 gán giá trị DLCI cho VC từ R1 R3 đến cổng subinterface 123 Chú ý số subinterface router không cần phải giá trị DLCI Code: interface Serial0/0/0 encapsulation frame-relay ! interfacce Serial0/0/0.123 multipoint ip address 101.123.2 255.255.255.0 frame-relay interface-dlci 101 frame-relay interface-dlci 103 Tiếp theo cấu hình R4, đóng gói lệnh frame-relay ietf Lệnh thiết lập kiểu đóng gói cho tất VC cổng S0/0/0 Cũng lưu ý tần suất gửi thông điệp thay đổi từ giá trị mặc định (10) thành thông qua lệnh keepalive Code: interface Serial0/0/0 encapsulation frame-relay IETF keepalive ! interface Serial0/0/0.1 point-to-point ip address 10.1.14.4 25.255.255.0 frame-relay interface-dlci 101 Lệnh show frame-relay pvc hiển thị thông tin thống kê trạng thái VC Lệnh R1 bỏ qua số đoạn, để lại dịng có trạng thái PVC Code: R1# show frame-relay pvc| incl PVC STATUS DLCI = 100, DLCI USAGE = UNUSED, PVC STATUS = INACTIVE, INTERFACE = Serial0/0/0 DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0.123 DLCI = 103, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0.123 DLCI = 104, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0.14 DLCI = 105, DLCI USAGE = UNUSED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0 DLCI = 106, DLCI USAGE = UNUSED, PVC STATUS = INACTIVE, INTERFACE = Serial0/0/0 DLCI = 107, DLCI USAGE = UNUSED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0 DLCI = 108, DLCI USAGE = UNUSED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0 DLCI = 109, DLCI USAGE = UNUSED, PVC STATUS = INACTIVE, INTERFACE = Serial0/0/0 Code: R1# show frame-relay pvc 102 PVC Statistics for interface Serial0/0/0 (Frame Relay DTE) DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0.123 input pkts 41 output pkts 54 in bytes 4615 out bytes 5491 dropped pkts in pkts dropped out pkts dropped out bytes dropped in FECN pkts in BECN pkts out FECN pkts out BECN pkts in DE pkts out DE pkts out bcast pkts 27 out bcast bytes 1587 minute input rate bits/sec, packets/sec minute output rate bits/sec, packets/sec pvc create time 00:29:37, last time pvc status changed 00:13:47 Kết lệnh xác nhận đường truyền R1 dùng Cisco LMI Các thông điệp trạng thái LMI xuất phút thơng điệp Full Status message liệt kê sau Chú ý router gửi thông điệp truy vấn trạng thái đến tổng đài Khi tổng đài gửi thông điệp trạng thái, đếm tăng Code: Switch>en Switch# Sửa file config lại thành file config.text lúc đầu : Quote: Switch#rename flash:config.old flash:config.text Destination filename [config.text] Copy file password cũ lên để xoá, sửa : Quote: Switch#copy flash:config.text system:running-config Swpass# Ta sửa password xong, lưu lại , kết thúc trình recovery password : Quote: Sw1#write memory Building configuration [OK] -Bài 49: CÁC THIẾT BỊ HẠ TẦNG MẠNG KHÔNG DÂY 2.1 CÁC THIẾT BỊ HẠ TẦNG MẠNG KHÔNG DÂY (WLAN) 2.1.1 Điểm truy cập: AP(access point) Cung cấp cho máy khách(client) điểm truy cập vào mạng AP thiết bị song cơng(Full duplex) có mức độ thông minh tương đương với chuyển mạch Ethernet phức tạp(Switch) Hình 2-2: Kết nối Access Point máy tính có hỗ trợ card mạng khơng dây 2.1.1 Các chế độ hoạt động AP: AP giao tiếp với máy không dây, với mạng có dây truyền thống với AP khác Có Mode hoạt động AP: Chế độ gốc (Root mode): Root mode sử dụng AP kết nối với mạng backbone có dây thơng qua giao diện có dây (thường Ethernet) Hầu hết AP hỗ trợ mode khác root mode, nhiên root mode cấu hình mặc định Khi AP kết nối với phân đoạn có dây thơng qua cổng Ethernet nó, cấu hình để hoạt động root mode Khi root mode, AP kết nối với hệ thống phân phối có dây nói chuyện với thơng qua phân đoạn có dây Các client khơng dây giao tiếp với client không dây khác nằm cell (ô tế bào, hay vùng phủ sóng AP) khác thơng qua AP tương ứng mà chúng kết nối vào, sau AP giao tiếp với thơng qua phân đoạn có dây ví dụ hình 2-3 Hình 2-3: Mơ hình hình Root Mode Chế độ cầu nối(bridge Mode): Trong Bridge mode, AP hoạt động hồn tồn giống với cầu nối khơng dây AP trở thành cầu nối không dây cấu hình theo cách Chỉ số AP thị trường có hỗ trợ chức Bridge, điều làm cho thiết bị có giá cao đáng kể Chúng ta giải thích cách ngắn gọn cầu nối không dây hoạt động nào, từ hình 2-3 Client khơng kết nối với cầu nối, thay vào đó, cầu nối sử dụng để kết nối nhiều đoạn mạng có dây lại với kết nối khơng dây Hình 2-4: Mơ hình bridge mode Chế độ lặp(repeater mode): AP có khả cung cấp đường kết nối không dây upstream vào mạng có dây thay kết nối có dây bình thường Một AP hoạt động root AP AP lại hoạt động Repeater không dây AP repeater mode kết nối với client AP kết nối với upstream AP client Hình 2-5: Mơ hình Repeater mode 2.1.1 Các thiết bị máy khách WLAN: Là thiết bị WLAN máy khách sử dụng để kết nối vào WLAN 2.1.1.a Card PCI Wireless: Là thành phần phổ biến WLAN Dùng để kết nối máy khách vào hệ thống mạng không dây Được cắm vào khe PCI máy tính Loại sử dụng phổ biến cho máy tính để bàn(desktop) kết nối vào mạng khơng dây Hình 2-6: Card mạng khơng dây chuẩn PCI 2.1.1.a Card PCMCIA Wireless: Trước sử dụng máy tính xách tay(laptop) cácthiết bị hỗ trợ cá nhân số PDA(Personal Digital Associasion) Hiện nhờ phát triển cơng nghệ nên PCMCIA wireless sử dụng máy tính xách tay PDA,… tích hợp sẵn Card Wireless bên thiết bị Hình 2-7: Card mạng không dây chuẩn PCMCIA 2.1.1.a Card USB Wireless: Loại ưu chuộng dành cho thiết bị kết nối vào mạng khơng dây tính di động nhỏ gọn Có chức tương tự Card PCI Wireless, hỗ trợ chuẩn cắm USB (Universal Serial Bus) Có thể tháo lắp nhanh chóng (khơng cần phải cắm cố định Card PCI Wireless) hỗ trợ cắm máy tính hoạt động Hình 2-8: Card mạng khơng dây chuẩn USB Bài 50: Một số giải pháp bảo mật mạng không dây 50.1 WLAN VPN: Mạng riêng ảo VPN bảo vệ mạng WLAN cách tạo kênh che chắn liệu khỏi truy cập trái phép VPN tạo tin cậy cao thông qua việc sử dụng chế bảo mật IPSec (Internet Protocol Security) IPSec dùng thuật toán mạnh Data Encryption Standard (DES) Triple DES (3DES) để mã hóa liệu, dùng thuật toán khác để xác thực gói liệu IPSec sử dụng thẻ xác nhận số để xác nhận khóa mã (public key) Khi sử dụng mạng WLAN, cổng kết nối VPN đảm nhận việc xác thực, đóng gói mã hóa Hình 50.1: WLAN VPN 50.2 TKIP(Temporal Key Integrity Protocol): Là giải pháp IEEE phát triển năm 2004 Là nâng cấp cho WEP nhằm vá vấn đề bảo mật cài đặt mã dòng RC4 WEP TKIP dùng hàm băm(hashing) IV để chống lại việc giả mạo gói tin, cung cấp phương thức để kiểm tra tính tồn vẹn thơng điệp MIC(message integrity check ) để đảm bảo tính xác gói tin TKIP sử dụng khóa động cách đặt cho frame chuỗi số riêng để chống lại dạng công giả mạo 50.3 AES(Advanced Encryption Standard): Là chức mã hóa phê chuẩn NIST(Nation Instutute of Standard and Technology) IEEE thiết kế chế độ cho AES để đáp ứng nhu cầu mạng WLAN Chế độ gọi CBC-CTR(Cipher Block Chaining Counter Mode) với CBC-MAC(Cipher Block Chaining Message Authenticity Check) Tổ hợp chúng gọi AES-CCM Chế độ CCM kết hợp mã hóa CBC-CTR thuật tốn xác thực thơng điệp CBCMAC Sự kết hợp cung cấp việc mã hóa kiểm tra tính tồn vẹn liệu gửi Mã hóa CBC-CTR sử dụng biến đếm để bổ sung cho chuỗi khóa Biến đếm tăng lên mã hóa cho khối(block) Tiến trình đảm bảo có khóa cho khối Chuỗi ký tự chưa mã hóa phân mảnh thành khối 16 byte CBC-MAC hoạt động cách sử dụng kết mã hóa CBC với chiều dài frame, địa nguồn, địa đích liệu Kết cho giá trị 128 bit cắt thành 64 bit để sử dụng lúc truyền thơng AES-CCM u cầu chi phí lớn cho q trình mã hóa kiểm tra tính tồn vẹn liệu gửi nên tiêu tốn nhiều lực xử lý CPU lớn 50.4 802.1x EAP: 802.1x chuẩn đặc tả cho việc truy cập dựa cổng(port-based) định nghĩa IEEE Hoạt động mơi trường có dây truyền thống không dây Việc điều khiển truy cập thực cách: Khi người dùng cố gắng kết nối vào hệ thống mạng, kết nối người dùng đặt trạng thái bị chặn(blocking) chờ cho việc kiểm tra định danh người dùng hồn tất Hình 50.2: Mơ hình hoạt động xác thực 802.1x EAP phương thức xác thực bao gồm yêu cầu định danh người dùng(password, cetificate,…), giao thức sử dụng(MD5, TLS_Transport Layer Security, OTP_ One Time Password,…) hỗ trợ tự động sinh khóa xác thực lẫn Mơ hình xác thực 802.1X-EAP cho Client diễn sau: Hình 50.3: Q trình trao đổi thơng tin xác thực 802.1x 50.5 WPA (Wi-Fi Protected Access) WEP xây dựng để bảo vệ mạng không dây tránh bị nghe trộm Nhưng nhanh chóng sau người ta phát nhiều lổ hỏng công nghệ Do đó, cơng nghệ có tên gọi WPA (Wi-Fi Protected Access) đời, khắc phục nhiều nhược điểm WEP Trong cải tiến quan trọng WPA sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol) WPA sử dụng thuật toán RC4 WEP, mã hoá đầy đủ 128 bit Và đặc điểm khác WPA thay đổi khoá cho gói tin Các cơng cụ thu thập gói tin để phá khố mã hố khơng thể thực với WPA Bởi WPA thay đổi khoá liên tục nên hacker không thu thập đủ liệu mẫu để tìm mật Khơng thế, WPA cịn bao gồm kiểm tra tính tồn vẹn thơng tin (Message Integrity Check) Vì vậy, liệu khơng thể bị thay đổi đường truyền WPA có sẵn lựa chọn: WPA Personal WPA Enterprise Cả lựa chọn sử dụng giao thức TKIP, khác biệt khoá khởi tạo mã hố lúc đầu WPA Personal thích hợp cho gia đình mạng văn phịng nhỏ, khố khởi tạo sử dụng điểm truy cập thiết bị máy trạm Trong đó, WPA cho doanh nghiệp cần máy chủ xác thực 802.1x để cung cấp khoá khởi tạo cho phiên làm việc Có lỗ hổng WPA lỗi xảy với WPA Personal Khi mà sử dụng hàm thay đổi khoá TKIP sử dụng để tạo khoá mã hoá bị phát hiện, hacker đốn khố khởi tạo phần mật khẩu, họ xác định tồn mật khẩu, giải mã liệu Tuy nhiên, lỗ hổng bị loại bỏ cách sử dụng khoá khởi tạo khơng dễ đốn (đừng sử dụng từ "PASSWORD" để làm mật khẩu) Điều có nghĩa kỹ thuật TKIP WPA giải pháp tạm thời, chưa cung cấp phương thức bảo mật cao WPA thích hợp với cơng ty mà không truyền liệu "mật" hay thông tin nhạy cảm WPA thích hợp với hoạt động hàng ngày mang tính thử nghiệm cơng nghệ 50.6 WPA Một giải pháp lâu dài sử dụng 802.11i tương đương với WPA2, chứng nhận Wi-Fi Alliance Chuẩn sử dụng thuật toán mã hoá mạnh mẽ gọi Chuẩn mã hoá nâng cao AES (Advanced Encryption Standard) AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, 192 bit 256 bit Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia Chuẩn Công nghệ Mỹ, NIST (National Institute of Standards and Technology), thông qua thuật toán mã đối xứng Và chuẩn mã hoá sử dụng cho quan phủ Mỹ để bảo vệ thông tin nhạy cảm Trong AES xem bảo mật tốt nhiều so với WEP 128 bit 168 bit DES (Digital Encryption Standard) Để đảm bảo mặt hiệu năng, q trình mã hố cần thực thiết bị phần cứng tích hợp vàochip Tuy nhiên, người sử dụng mạng khơng dây quan tâm tới vấn đề Hơn nữa, hầu hết thiết bị cầm tay Wi-Fi máy quét mã vạch khơng tương thích với chuẩn 802.11i 50.7 Lọc (Filtering) Lọc chế bảo mật sử dụng với WEP Lọc hoạt động giống Access list router, cấm không mong muốn cho phép mong muốn Có kiểu lọc sử dụng wireless lan: + Lọc SSID + Lọc địa MAC + Lọc giao thức 50.7.a Lọc SSID Lọc SSID phương thức lọc nên sử dụng cho việc điều khiển truy cập SSID client phải khớp với SSID AP để xác thực kết nối với tập dịch vụ SSID quảng bá mà khơng mã hóa Beacon nên dễ bị phát cách sử dụng phần mềm Một số sai lầm mà người sử dụng WLAN mắc phải việc quản lí SSID gồm: Sử dụng giá trị SSID mặc định tạo điều kiện cho hacker dị tìm địa MAC AP Sử dụng SSID có liên quan đến cơng ty Sử dụng SSID phương thức bảo mật công ty Quảng bá SSID cách không cần thiết 50.7.b Lọc địa MAC Hầu hết AP có chức lọc địa MAC Người quản trị xây dựng danh sách địa MAC cho phép Nếu client có địa MAC khơng nằm danh sách lọc địa MAC AP AP ngăn chặn khơng cho phép client kết nối vào mạng Nếu cơng ty có nhiều client xây dựng máy chủ RADIUS có chức lọc địa MAC thay AP Cấu hình lọc địa MAC giải pháp bảo mật có tính mở rộng cao Hình 50.4: Tiến trình xác thực MAC 50.7.c Lọc giao thức Mạng Lan khơng dây lọc gói qua mạng dựa giao thức từ lớp đến lớp Trong nhiều trường hợp người quản trị nên cài đặt lọc giao thức mơi trường dùng chung, ví dụ trường hợp sau: Có nhóm cầu nối khơng dây đặt Remote building mạng WLAN trường đại học mà kết nối lại tới AP tịa nhà kỹ thuật trung tâm Vì tất người sử dụng remote building chia sẻ băng thơng 5Mbs tịa nhà này, nên số lượng đáng kể điều khiển sử dụng phải thực Nếu kết nối cài đặt với mục đích đặc biệt truy nhập internet người sử dụng, lọc giao thức loại trừ tất giao thức, ngoại trừ HTTP, SMTP, HTTPS, FTP… Hình 50.5: Lọc giao thức Bài 51: CÁC KIỂU TẤN CƠNG TRONG MẠNG WLAN Một số hình thức công xâm nhập mạng không dây phổ biến: 51.1 ROGUE ACCESS POINT 51.1.a Định nghĩa Access Point giả mạo dùng để mô tả Access Point tạo cách vơ tình hay cố ý làm ảnh hưởng đến hệ thống mạng có Nó dùng để thiết bị hoạt động không dây trái phép mà khơng quan tâm đến mục đích thực chúng 51.b Phân loại a)Access Point cấu hình khơng hồn chỉnh Một Access Point bất ngờ trở thành thiết bị giả mạo sai sót việc cấu hình Sự thay đổi Service Set Identifier(SSID), thiết lập xác thực, thiết lập mã hóa,… điều nghiêm trọng chúng chứng thực kết nối bị cấu hình sai Ví dụ: trạng thái xác thực mở (open mode authentication) người dùng không dây trạng thái 1(chưa xác thực chưa kết nối) gửi yêu cầu xác thực đến Access Point xác thực thành công chuyển sang trang thái (được xác thực chưa kết nối) Nếu Access Point không xác nhận hợp lệ máy khách lỗi cấu hình, kẻ cơng gửi số lượng lớn yêu cầu xác thực, làm tràn bảng yêu cầu kết nối máy khách Access Point , làm cho Access Point từ chối truy cập người dùng khác bao gồm người dùng phép truy cập b)Access Point giả mạo từ mạng WLAN lân cận Các máy khách theo chuẩn 802.11 tự động chọn Access Point có sóng mạnh mà phát để kết nối ví dụ: Windows XP tự động kết nối đến kết nối tốt xung quanh Vì vậy, người dùng xác thực tổ chức kết nối đến Access Point tổ chức khác lân cận Mặc dù Access Point lân cận không cố ý thu hút kết nối từ người dùng, kết nối vơ tình để lộ liệu nhạy cảm c)Access Point giả mạo kẻ công tạo Giả mạo AP kiểu công “man in the middle” cổ điển Đây kiểu công mà tin tặc đứng trộm lưu lượng truyền nút Kiểu công mạnh tin tặc trộm tất lưu lượng qua mạng Rất khó khăn để tạo cơng “man in the middle” mạng có dây kiểu cơng u cầu truy cập thực đến đường truyền Trong mạng khơng dây lại dễ bị công kiểu Tin tặc cần phải tạo AP thu hút nhiều lựa chọn AP thống AP giả thiết lập cách chép tất cấu hình AP thống là: SSID, địa MAC v.v Bước làm cho nạn nhân thực kết nối tới AP giả - Cách thứ đợi cho nguời dùng tự kết nối - Cách thứ hai gây cơng từ chối dịch vụ DoS AP thống nguời dùng phải kết nối lại với AP giả Trong mạng 802.11 lựa chọn AP thực cường độ tín hiệu nhận Điều tin tặc phải thực chắn AP có cường độ tín hiệu mạnh Để có điều tin tặc phải đặt AP gần người bị lừa AP thống sử dụng kỹ thuật anten định hướng Sau nạn nhân kết nối tới AP giả, nạn nhân hoạt động bình thường nạn nhân kết nối đến AP thống khác liệu nạn nhân qua AP giả Tin tặc sử dụng tiện ích để ghi lại mật nạn nhân trao đổi với Web Server Như tin tặc có tất muốn để đăng nhập vào mạng thống Kiểu cơng tồn 802.11 không yêu cầu chứng thực hướng AP nút AP phát quảng bá toàn mạng Điều dễ bị tin tặc nghe trộm tin tặc lấy tất thông tin mà chúng cần Các nút mạng sử dụng WEP để chứng thực chúng với AP WEP có lỗ hổng khai thác Một tin tặc nghe trộm thơng tin sử dụng phân tích mã hoá để trộm mật người dùng d)Access Point giả mạo thiết lập nhân viên cơng ty Vì tiện lợi mạng khơng dây số nhân viên công ty tự trang bị Access Point kết nối chúng vào mạng có dây công ty Do không hiểu rõ nắm vững bảo mật mạng không dây họ vô tình tạo lỗ hỏng lớn bảo mật Những người lạ vào cơng ty hacker bên ngồi kết nối đến Access Point khơng xác thực để đánh cắp băng thông, đánh cắp thông tin nhạy cảm công ty, sử dụng hệ thống mạng công ty công người khác,… 51.2 De-authentication Flood Attack (tấn cơng u cầu xác thực lại ) Hình 51.1: Mô tả công de-authentication flood -Kẻ công xác định mục tiêu công người dùng mạng wireless kết nối họ(Access Point đến kết nối nó) -Chèn frame yêu cầu xác thực lại vào mạng WLAN cách giả mạo địa MAC nguồn đích Access Point người dùng -Người dùng wireless nhận frame yêu cầu xác thực lại nghĩ chúng Access Point gửi đến -Sau ngắt người dùng khỏi dịch vụ không dây, kẻ công tiếp tục thực tương tự người dùng cịn lại -Thơng thường người dùng kết nối lại để phục hồi dịch vụ, kẻ cơng nhanh chóng tiếp tục gửi gói yêu cầu xác thực lại cho người dùng 51.3 Fake Access Point Kẻ công sử dụng công cụ có khả gửi gói beacon với địa vật lý(MAC) giả mạo SSID giả để tạo vô số Access Point giả lập.Điều làm xáo trộn tất phần mềm điều khiển card mạng không dây người dùng Hình 51.2: Tấn cơng Fake AP 51.4 Tấn cơng dựa cảm nhận sóng mang lớp vật lý Tần số nhược điểm bảo mật mạng không dây Mức độ nguy hiểm thay đổi phụ thuộc vào giao diện lớp vật lý Có vài tham số định chịu đựng mạng là: lượng máy phát, độ nhạy máy thu, tần số RF, băng thông định hướng anten Trong 802.11 sử dụng thuật toán đa truy cập cảm nhận sóng mang (CSMA) để tránh va chạm CSMA thành phần lớp MAC CSMA sử dụng để chắn va chạm liệu đường truyền Kiểu công không sử dụng tạp âm để tạo lỗi cho mạng lợi dụng chuẩn Có nhiều cách để khai thác giao thức cảm nhận sóng mang vật lý Cách đơn giản làm cho nút mạng tin tưởng có nút truyền tin thời điểm Cách dễ đạt điều tạo nút giả mạo để truyền tin cách liên tục Một cách khác sử dụng tạo tín hiệu RF Một cách công tinh vi làm cho card mạng chuyển vào chế độ kiểm tra mà truyền liên tiếp mẫu kiểm tra Tất nút phạm vi nút giả nhạy với sóng mang có nút truyền khơng có nút truyền 51.5 Tấn cơng ngắt kết nối (Disassociation flood attack) Hình 51.3: Mơ tả công disassociation flood - Kẻ công xác định mục tiêu ( wireless clients ) mối liên kết AP với clients - Kẻ công gửi disassociation frame cách giả mạo Source Destination MAC đến AP client tương ứng - Client nhận frame nghĩ frame hủy kết nối đến từ AP Đồng thời kẻ công gởi disassociation frame đến AP - Sau ngắt kết nối client, kẻ công tiếp tục thực tương tự với client lại làm cho client tự động ngắt kết nối với AP - Khi clients bị ngắt kết nối thực kết nối lại với AP Kẻ công tiếp tục gởi disassociation frame đến AP client