NHẬN XÉT CỦA GIÁO VIÊNTỈNH PHỤ QUẢNG TRÁCH NGÃI UBND TRƯỜNG ĐẠI HỌC PHẠM VĂN ĐÒNG KHOA CÔNG NGHẸ THÔNG TIN Tel (84-55) 3736 949, Fax (84-511) 842 771 Website: pdu.edu.vn/cntt, E-mail: cntt@pdu.edu.vn TRƯỞNG ĐAI HOC PHAÍV VÁN ĐÓNG PHAM VAN □ ŨNG uNIV ERSITY BÀI TẬP LỚN HỌC PHẦN AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN ĐÈ TÀI: Số 06 TRÌNH BÀY CÁC CHÍNH SÁCH BẢO MẬT MẠNG WIRELESS SINH VIÊN : Lê Bảy Năm Tăng Văn Thanh LỚP : DTL10B NHÓM sv : nhóm 06 Quảng Ngãi, tháng 11 năm 2011 NHẬN XÉT CỦA GIÁO VIÊN CHẤM MỤC LỤC I WIRELESS 1.1 Mạng WIRELESS ? 1.2 ưu điểm WLAN- Sự tiện lợi: 1.3 Nhược điểm: DANH MỤC HĨNH Hình Biểu diển khóa mã hóa Wep CÁC CHINH SÁCH BẢO MẬT WIRELESS I WIRELESS 1.1 Mạng WĨRELESS ? Wireless nghĩa không dây Mạng LAN không dây viết tắt WLAN (Wireless Local Area Network) hay WIFI (Wireless Fidelity) phần wireless, mạng dùng đe kết hai hay nhiều máy tính với mà không sử dụng dây dẫn WLAN dùng công nghệ trải phổ, sử dụng sóng vô tuyến cho phép truyền thông thiết bị vùng gọi Basic Service Set 1.2 ưu điểm WLAN- Sự tiện lọi: Mạng không dây cung cấp sách cho phép người sử dụng truy cập tài nguyên mạng nơi đâu khu vực WLAN triển khai (khách sạn, trường học, thư viện ) Với bùng nô máy tính xách tay thiết bị di động hỗ trợ wifi nay, điều thật tiện lợi Bảo mật: Đây nói nhược điểm lớn mạng WLAN, phưcmg tiện truyền tín hiệu sóng môi trường truyền tín hiệu không khí nên khả mạng không dây bị công lớn Phạm vi: Như ta biết chuấn IEEE 802.11 n có the hoạt động phạm vi tối đa 150m, nên mạng không dây phù hợp cho không gian hẹp Độ tin cậy: Do phương tiện truyền tín hiệu sóng vô tuyến nên việc bị nhiễu, suy giảm điều tránh khỏi Điều gây ảnh hưởng đến hiệu hoạt động mạng Tốc độ: Tốc độ cao WLAN có thê lên đến ổOOMbps chậm nhiều so với mạng cáp thông thường (có thể lên đến hàng Gbps) II Các sách bảo mật WLAN Với nhục diêm nêu trên, hacker có thê lợi dụng bât diêm yêu Encrypted 24 Bits B ts Bits Hình Biểu diển khóa mã hóa Wep Rất đơn giản, khóa mã hóa dể dàng “bẻ gãy” thuật toán bruteíbrce kiều công thử lỗi (tria-and-error) Các phần mềm miễn phí Aircrackng, Airsnort, WEP crack cho phép hacker phá vỡ khóa mã hóa họ thu thập tù’ đến 10 triệu gói tin mạng không dây Với khóa mã hóa 128 bit không hon: 24 bit cho khởi tạo mã hóa nên có 104 bit sử dụng đê mã hoá cách thức giống mã hóa có độ dài 64 bit nên mã hoai 128 bit dè dàng bi bẻ khóa Ngoài ra, điểm yếu vector khởi tạo khóa mã hoá giúp cho hacker tìm mật nhanh hon với gói thông tin 2.2 WLAN VPN Mạng riêng: VPN bảo vệ mạng WLAN cách tạo kênh che chắn liệu khỏi truy cập trái phép VPN tạo tin cậy cao thông qua việt sử dụng chế bảo mật Ipsec (internet Protocol Security) IPSec đe mã hóa dự liệu dùng thuật http://viet-cntt.com Hình Mô hình VPN 2.3 TKIP (Temporal Key Integrity Protocol): Là sách IEEE phát triến năm 2004 Là nâng cấp cho WED nhằm vào vấn đề bảo mật cài đặt mã dòng RC4 WEP TKIP dùng hàm băm (hashing) IV đe chống lại việc MIC (message integity check) đẻ đảm bảo Trong mật mã học AES (viết tắt từ tiếng Anh: Advanced Encryption 2.4 A E hay Tiêu chuân mã hóa tiên tiến) thuật toán mã hóa khối đuợc Stadard, S phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa Giống tiêu chuẩn tiền nhiệm DES, AES kì vọng áp dụng phạm vi giới nghiên cứu kỹ lường AES chấp nhận làm tiêu chuấn liên bang viện tiêu chuẩn công nghệ quốc gia Hoa kỳ (NIST) sau trình tiêu chuẩn hóa kéo dài năm Thuật toán thiết kế nhà mật mã học người Bỉ: Joan Daemen Vincent Rijmen (lấy tên chung Rijndael tham gia thi thiết kế AES) http://viet-cntt.com Trước xác thirc người clÌIIig ỒUSER Sau klii clã xác thực nguôi (lùng Ô USER Hình Mô hình xác thực người dùng 10 EAP phương thức xác thực bao gồm yêu cầu định danh người dùng (password, certiíĩcate, ), giao thức sử dụng (MD5, TLI_Transport Layer Security, OTP_One Time Password, ) hồ trợ tự động sinh khóa xác thực lẫn nhau, Quá tình chứng thực 802.1X-EAP sau: Wireless Client muốn lien kết với AP (Access Point) mạng AP chặn lại tất thông tin Client Client log on vào mạng Khi Client yêu cầu lien kết tới AP AP đáp lại yêu cầu liên kết với yêu cầu nhận dạng EAP Client gửi đáp lại yêu cầu nhận dạng EAP cho AP Thông tin đáp lại yêu cầu nhận dạng EAP Client chuyển tới Server chứng thực Server chứng thực gửi yêu cầu cho phép AP AP chuyến yêu cầu cho phép tới Client 11 WPA có sẵn lựa chọn: WPA Personal WPA Enterprise Cả lựa chọn sử dụng giáo thức TKIP, khác biệt khóa khởi tạo mã hóa lúc đầu WPA Personal thích hợp cho gia đình mạng văn phòng nhỏ, khóa khởi tạo sử dụng điểm truy cập thiết bị máy trạm Trong đó, WPA cho doanh nghiệp cần máy chủ xác thực 802 lx để cung cấp khóa khởi tạo cho mồi phiên làm việc Lưu ý: i Có lồ hổng WPA lỗi xảy với WPA Personal Khi mà sử dụng hàm thay đôi khóa TKIP sử dụng đê tạo khóa mã hóa chưa phát hiện, hacker có thê đoán khóa khởi tạo phần mật khâu, họ xác định toàn mật khẩu, giải mã dừ liệu, nhiên, lổ hỏng loại bỏ cách sử dụng khóa khởi tạo không dể đoán (đừng sử dụng từ “P@SSWORD” để làm mật khẩu) ii Điều có nghĩa thủ thuật TKIP WPA sách tam thời, chưa cung cấp phương thức bảo mật cao WPA thích họp với công 12 người sử dụng mạng không dây quan tâm tới vấn đề Hơn nữa, hầu hết thiết bị cầm tay WI-FI máy quét mã vạch không tương thích với chuẩn 802.1 li 2.8 LỌC (Filltering) Lọc chế bảo mật sử dụng với WEP Lọc hoạt động giống access list router, cấm không mông muốn cho phép mong muôn Có kiêu lọc có thê sử dụng wireless lan: - Lọc SSID - Lọc địa MAC - Lọc giao thức + Lọc SSID Lọc SSID phương thức lọc nên sử dụng 13 Mạng Lan không dây lọc gói qua mạng dựa giao thức từ lớp đến lớp Trong nhiều trường hợp người quản trị nên cài đặt lọc giao thức I Associntion Rcquest sẽnTas RADILS rcqucsl (PAP) Client MAC RADILS Acccpt http://viet-cntt.com MAC Address ABC (Succcss) Hình Mô hình lọc đĩa chi MAC - Có nhóm cầu nối không dây đặt Remote building mạng WLAN trường đại học mà kết nối lại tới AP tòa nhà kỹ thuật trung tâm - Vì tất người sử dụng Remote builing chia sẻ băng thông 5Mbs \\ ired c 'lients http://viet-cntt.com Hình lọc giao thức 14 III Kết luận Qua hình thức công sách bảo mật WLAN trên, người thiết kế mạng bảo mật mạng phải nắm cụ hình thức công xảy mô hình mạng thiết kế Từ có sách bảo mật phù hợp với mô hình Đảm bảo tính bảo mật đảm bảo tính tiện dụng, không gây khó khăn cho người dùng Sau sô kiêu bảo mật áp dụng cho mô hình mạng khác - Cho điểm truy cập tự động (hotspots), việc mã hóa không cần thiết, cần người dùng xác thực mà 15 Tài Liệu Tham Khảo http ://viet-cntt.com http://quantrimang.com.vn http://ddth.com 16 [...]... các hình thức tấn công cũng như các chính sách bảo mật WLAN trên, người thiết kế mạng cũng như bảo mật mạng phải nắm được cụ thế các hình thức tấn công nào có thể xảy ra đối với mô hình mạng mình thiết kế Từ đó có được các chính sách bảo mật phù hợp với từng mô hình Đảm bảo tính bảo mật nhưng cũng đảm bảo tính tiện dụng, không gây khó khăn cho người dùng Sau đây là một sô kiêu bảo mật áp dụng cho các. .. khởi tạo hoặc một phần của mật khâu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dừ liệu, tuy nhiên, lổ hỏng này cũng sẽ được loại bỏ bằng cách sử dụng những khóa khởi tạo không dể đoán (đừng sử dụng những từ như “P@SSWORD” để làm mật khẩu) ii Điều này cũng có nghĩa rằng thủ thuật TKIP của WPA chỉ là chính sách tam thời, chưa cung cấp một phương thức bảo mật cao nhất WPA chỉ thích... trong 13 Mạng Lan không dây có thế lọc các gói đi qua mạng dựa trên các giao thức từ lớp 2 đến lớp 7 Trong nhiều trường hợp người quản trị nên cài đặt lọc giao thức I Associntion Rcquest 9 sẽnTas RADILS rcqucsl (PAP) 2 Client MAC 3 RADILS Acccpt http://viet-cntt.com MAC Address ABC (Succcss) Hình 4 Mô hình lọc đĩa chi MAC - Có một nhóm cầu nối không dây được đặt trên một Remote building trong một mạng. .. ít người sử dụng mạng không dây quan tâm tới vấn đề này Hơn nữa, hầu hết các thiết bị cầm tay WI-FI và máy quét mã vạch đều không tương thích với chuẩn 802.1 li 2.8 LỌC (Filltering) Lọc là cơ chế bảo mật cơ bản có thể sử dụng cùng với WEP Lọc hoạt động giống access list trên router, cấm những cái không mông muốn và cho phép những cái mong muôn Có 3 kiêu lọc cơ bản có thê sử dụng trong wireless lan: -... thích hợp cho gia đình và mạng văn phòng nhỏ, khóa khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802 lx để cung cấp các khóa khởi tạo cho mồi phiên làm việc Lưu ý: i Có một lồ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal Khi mà sử dụng hàm thay đôi khóa TKIP được sử dụng đê tạo ra các khóa mã hóa chưa phát... các chính sách bảo mật phù hợp với từng mô hình Đảm bảo tính bảo mật nhưng cũng đảm bảo tính tiện dụng, không gây khó khăn cho người dùng Sau đây là một sô kiêu bảo mật áp dụng cho các mô hình mạng khác nhau - Cho các điểm truy cập tự động (hotspots), việc mã hóa không cần thiết, chỉ cần người dùng xác thực mà thôi 15 Tài Liệu Tham Khảo http ://viet-cntt.com http://quantrimang.com.vn http://ddth.com 16 ... thức công sách bảo mật WLAN trên, người thiết kế mạng bảo mật mạng phải nắm cụ hình thức công xảy mô hình mạng thiết kế Từ có sách bảo mật phù hợp với mô hình Đảm bảo tính bảo mật đảm bảo tính... MẬT WIRELESS I WIRELESS 1.1 Mạng WĨRELESS ? Wireless nghĩa không dây Mạng LAN không dây viết tắt WLAN (Wireless Local Area Network) hay WIFI (Wireless Fidelity) phần wireless, mạng dùng đe kết... I WIRELESS 1.1 Mạng WIRELESS ? 1.2 ưu điểm WLAN- Sự tiện lợi: 1.3 Nhược điểm: DANH MỤC HĨNH Hình Biểu diển khóa mã hóa Wep CÁC CHINH SÁCH BẢO MẬT WIRELESS