- PHẠM QUỐC HOÀNG NGHIÊN CỨU VÀ TRIỂN KHAI CÁC GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY TẠI ĐÀI TNVN CHUYÊN NGÀNH KĨ THUẬT ĐIỆN TỬ LUẬN VĂN THẠC SỸ Hướng dẫn khoa học: TS. - PHẦN 1: TỔNG QUAN VỀ MẠNG KHÔNG DÂY KHÁI NIỆM MẠNG MÁY TÍNH KHÔNG DÂY Giới thiệu Ưu điểm của mạng máy tính không dây Hoạt động của mạng máy tính không dây Các mô hình của mạng máy tính không dây cơ bản Kiểu Ad – hoc Kiểu Infrastructure Cự ly truyền sóng, tốc độ truyền dữ liệu KỸ THUẬT ĐIỀU CHẾ TRẢI PHỔ Trải phổ trực tiếp DSSS – Direct Sequence Spread Spectrum Trải phổ nhẩy tần FHSS – Frequency Hopping Spread Spectrum Công nghệ ghép kênh phân chia theo tần số trực giao OFDM – Orthogonal Frequency Division Multiplexing CÁC CHUẨN Nhóm lớp vật lý PHY Chuẩn 802.11b Chuẩn 802.11a Chuẩn 802.11g Chuẩn 802.11n Nhóm lớp liên kết dữ liệu MAC Chuẩn 802.11d Chuẩn 802.11e Chuẩn 802.11f Chuẩn 802.11h Chuẩn 802.11i PHẦN 2: MỘT SỐ VẤN ĐỀ BẢO MẬT CHO MẠNG KHÔNG DÂY WLAN. - GIỚI THIỆU MỘT SỐ HÌNH THỨC TẤN CÔNG MẠNG WLAN PHỔ BIẾN VÀ CÁCH ĐỐI PHÓ Tấn công bị động – Passive attacks Định nghĩa Kiểu tấn công bị động cụ thể - Phương thức bắt gói tin (Sniffing Tấn công chủ động – Active attacks Định nghĩa Các kiểu tấn công chủ động cụ thể Tấn công kiểu chèn ép - Jamming attacks Tấn công theo kiểu thu hút - Man in the middle attacks MỘT SỐ GIẢI PHÁP BẢO MẬT CHO MẠNG KHÔNG DÂY WLAN Một số khái niệm Chứng thực - Authentication Phê duyệt – Authorization Kiểm tra – Audit Luận văn thạc sĩ Điện tử - Viễn thông Phạm Quốc Hoàng 22.3.1.4.Mã hóa dữ liệu – Data Encryption Chứng thực bằng địa chỉ MAC – MAC Address Nguyên lý thực hiện Nhược điểm Chứng thực bằng SSID Nguyên lý thực hiện Nhược điểm của SSID Phương thức chứng thực và mã hóa WEP Giới thiệu Phương thức chứng thực Phương thức mã hóa Các ưu, nhược điểm của WEP Phương thức dò mã chứng thực Phương thức dò mã dùng chung – Share key trong WEP Cải tiến trong phương pháp chứng thực và mã hóa WEP Chuẩn chứng thực 802.1x thiết lập cơ chế xác thực người dùng. - Nguyên lý RADIUS Server Giao thức chứng thực mở rộng EAP Hệ thống phát hiện xâm nhập trong mạng không dây (WLAN Intrusion Detection System Các kỹ thuật phát hiện xâm nhập IDS (Intrusion Detection System Wireless IDS Triển khai hệ thống Wireless IDS PHẦN 3: TRIỂN KHAI CÁC GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY TẠI ĐÀI TIẾNG NÓI VIỆT NAM CÁC YẾU TỐ CẦN QUAN TÂM KHI TRIỂN KHAI MẠNG BẢO MẬT KHÔNG DÂY. - CÁC MỤC TIÊU CỦA BẢO MẬT KHÔNG DÂY. - MỘT SỐ YÊU CẦU KHI TRIỂN KHAI CÁC BIỆN PHÁP BẢO MẬT KHÔNG DÂY. - CÁC NGUYÊN TẮC THIẾT KẾ BẢO MẬT TRONG MÔI TRƯỜNG LÀM VIỆC TRIỂN KHAI GIẢI PHÁP BẢO MẬT XÁC THỰC NGUỜI DÙNG 802.1X. - Xây dựng mô hình triển khai Các bước triển khai ứng dụng Một số giải pháp bảo mật mạng không dây có thể kết hợp. - AES – Advanced Encryption Standard AP - Access point APOP - Authentication POP BSS - Basic Service Set BSSID - Basic Service Set Identifier CA - Certificate Authority CCK - Complimentary Code Keying CHAP - Challenge Handshake Authentication Protocol CMSA/CD - Carrier Sense Multiple Access with Collision Detection CRC - Cyclic redundancy check CSMA/CA - Carrier Sense Multiple Access with Collision Avoidance CTS - Clear To Send DES - Data Encryption Standard DFS - Dynamic Frequency Selection DHCP - Dynamic Host Configuration Protocol DMZ - Demilitarized Zone DOS - Denial of service DRDOS - Distributed Reflection DOS DS - Distribution System Luận văn thạc sĩ Điện tử - Viễn thông Phạm Quốc Hoàng 4DSSS - Direct Sequence Spread Spectrum EAP - Extensible Authentication Protocol EAPOL - EAP Over LAN EAPOW - EAP Over Wireless ESS - Extended Service Set ETSI - European Telecommunications Standards Institute FCC - Federal Communications Commissio FHSS – Frequency Hopping Spread Spectrum GPS - Global Positioning System HTML -HyperText Markup Language HTTP - HyperText Transfer Protocol IBSS - Independent Basic Service Set ICMP -Internet Control Message Protocol ICV – Intergrity Check Value IEEE - Institute of Electrical and Electronics Engineers IETF - Internet Engineering Task Force IR - Infrared Light IKE - Internet Key Exchange IP - Internet Protocol IPSec - Internet Protocol Security IrDA - Infrared Data Association ISDN -Integrated Services Digital Network ISM - Industrial Scientific and Medical ISP - Internet Service Provider ITU - International Telecommunication Union IV - Initialization Vector LAN - Local Area Network LCP – Link Control Protocol Luận văn thạc sĩ Điện tử - Viễn thông Phạm Quốc Hoàng 5LEAP - Light Extensible Authentication Protocol LLC - Logical Link Control LOS - Light of Sight MAC - Media Access Control MAN - Metropolitan Area Network MIC - Message Integrity Check MSDU - Media Access Control Service Data Unit OCB - Offset Code Book OFDM - Orthogonal Frequency Division OSI - Open Systems Interconnection OTP - One-time password PAN - Person Area Network PBCC - Packet Binary Convolutional Coding PCMCIA - Personal Computer Memory Card International Association PDA - Personal Digital Assistant PEAP - Protected EAP Protocol PKI-Public Key Infrastructure PRNG - Pseudo Random Number Generator QoS - Quality of Service RADIUS - Remote Access Dial-In User Service RF - Radio frequency RFC - Request For Comment RTS - Request To Send SIG - Special Interest Group SSH - Secure Shell SSID - Service Set ID SSL - Secure Sockets Layer STA - Station Luận văn thạc sĩ Điện tử - Viễn thông Phạm Quốc Hoàng 6SWAP - Standard Wireless Access Protocol TACACS - Terminal Access Controller Access Control System TCP - Transmission Control Protocol TFTP - Trivial File Transfer Protocol TKPI - Temporal Key Integrity Protocol TLS - Transport Layer Security TPC - Transmission Power Control UDP - User Datagram Protocol UWB – Ultra Wide Band UNII - Unlicensed National Information Infrastructure VLAN - Virtual LAN WAN - Wide Area Network WECA - Wireless Ethernet Compatibility WEP - Wired Equivalent Protocol WLAN - Wireless fidelity WLAN - Wireless LAN WPAN - Wireless Personal Area Network Luận văn thạc sĩ Điện tử - Viễn thông Phạm Quốc Hoàng 7DANH MỤC SƠ ĐỒ Hình 1.1: Mô hình mạng Ad – hoc (hay mạng ngang hàng. - Hình 1.2: Hoạt động của trải phổ chuỗi trực tiếp. - Hình 1.3: Mô hình nhảy tần CABED. - Hình 1.4: Phương thức điều chế OFDM. - Hình 2.1: Một người lạ truy cập vào mạng. - Hình 2.2: Phần mềm bắt gói tin Ethereal. - Hình 2.3: Phần mềm thu thập thông tin hệ thống mạng không dây NetStumbler. - Hình 2.4 Mô tả quá trình tấn công DOS tầng liên kết dữ liệu. - Hình 2.5: Mô tả quá trình tấn công mạng bằng AP giả mạo. - Hình 2.6: Mô tả quá trình tấn công theo kiểu chèn ép. - Hình 2.7: Mô tả quá trình tấn công theo kiểu thu hút. - Hình 2.8: Mô tả quá trình chứng thực bằng địa chỉ MAC. - Hình 2.9: Mô tả quá trình chứng thực bằng SSID. - Hình 2.10: Mô hình 2 phương pháp chứng thực SSID của 802.11. - Hình 2.11: Giá trị SSID được AP phát ở chế độ quảng bá. - Hình 2.12: Giá trị SSID được AP phát ở chế độ trả lời Client. - Hình 2.13: Mô tả quá trình chứng thực giữa Client và AP. - Hình 2.14: Cài đặt mã khóa dùng chung cho WEP. - Hình 2.15: Mô tả quá trình mã hoá khi truyền đi. - Hình 2.16: Mô tả quá trình giải mã khi nhận về. - Hình 2.17: Mô tả quá trình thực hiện từ bên ngoài mạng không dây. - Hình 2.18: Mô tả nguyên lý Bit- Flipping. - Hình 2.19: Mô tả quá trình thực hiện từ bên trong mạng không dây. - Hình 2.20: Cấu trúc khung dữ liệu trước và sau khi bổ xung. - Hình 2.21: Cấu trúc bên trong của trường MIC. - Hình 2.22: Mô tả quá trình mã hóa khi truyền đi sau khi bổ xung. - Hình 2.24: Mô hình chứng thực sử dụng RADIUS Server. - Hình 2.26: Mô hình chứng thực sử dụng RADIUS Server. - Hình 2.27: Cấu trúc khung của bản tin yêu cầu và trả lời. - Hình 2.28: Cấu trúc các khung EAP thành công và không thành công. - Hình 2.29: Cấu trúc cổng. - Hình 2.30: Mô hình chứng thực sử dụng RADIUS Server. - Hình 2.31: Cấu trúc cơ bản của khung EAPOL. - Hình 2.32: Các bước trao đổi trong chứng thực EAP. - Hình 3.1 Mô hình triển khai. - Luận văn thạc sĩ Điện tử - Viễn thông Phạm Quốc Hoàng 8LỜI MỞ ĐẦU. - Ngày nay mạng máy tính ngày càng phát triển cùng với xuất hiện ngày càng nhiều các thiết bị và công nghệ di động, những thiết bị này ngày càng gắn bó và đem lại sự tiện lợi to lớn cho cuộc sống của con người. - Với việc triển khai phổ biến mạng không dây và với đặc thù truyền dẫn của mạng không dây thì vấn đề bảo mật càng trở lên cấp thiết hơn bao giờ hết. - Ngay từ khi xuất hiện chuẩn không dây 802.11 thì những nhà sản xuất không ngừng cải tiến, nghiên cứu tìm ra các giải pháp bảo mật không dây và đưa vào sử dụng để đáp ứng nhu cầu khắt khe của người sử dụng trong việc bảo vệ dữ liệu và tài nguyên trước các cuộc tấn công ngày càng tinh vi và khó lường. - Với các giải pháp bảo mật có sẵn thì việc nghiên cứu lựa chọn một mô hình bảo mật nào để ứng dụng cho phù hợp tối ưu với từng doanh nghiệp luôn là câu hỏi đặt ra cho những người làm công tác kĩ thuật khi triển khai bất kì mạng không dây nào. - Trong khuôn khổ của luận văn, tôi chọn đề tài nhỏ xuất phát từ yêu cầu thực tế làm việc đó là “Nghiên cứu và triển khai các giải pháp bảo mật mạng không dây tại Đài TNVN” Nội dung này gồm 3 phần: Phần 1: Trình bày về tổng quan mạng không dây, nguyên lý chung, các vấn đề kĩ thuật liên quan và các chuẩn không dây. - Phân 2: Trình bày về các vấn đề về bảo mật mạng không dây. - Các giải pháp bảo mật và nguy cơ tấn công và các biện pháp đối phó. - Phần 3: Trình bày các vấn đề liên quan khi triển khai các giải pháp bảo mật không dây áp dụng cụ thể tại Đài TNVN. - Phạm Quốc Hoàng Luận văn thạc sĩ Điện tử - Viễn thông Phạm Quốc Hoàng 9PHẦN 1: TỔNG QUAN VỀ MẠNG KHÔNG DÂY 1.1.KHÁI NIỆM MẠNG MÁY TÍNH KHÔNG DÂY. - Mạng máy tính từ lâu đã trở thành một thành phần không thể thiếu đối với nhiều lĩnh vực đời sống xã hội, từ các hệ thống mạng cục bộ dùng để chia sẻ tài nguyên trong đơn vị cho đến hệ thống mạng toàn cầu như Internet. - Mặc dù mạng không dây đã xuất hiện từ nhiều thập niên nhưng cho đến những năm gần đây, với sự bùng nổ các thiết bị di động thì nhu cầu nghiên cứu và phát triển các hệ thống mạng không dây ngày càng trở nên cấp thiết. - Mạng không dây có tính linh hoạt cao, hỗ trợ các thiết bị di động nên không bị ràng buộc cố định về phân bố địa lý như trong mạng hữu tuyến. - Tuy nhiên, hạn chế lớn nhất của mạng không dây là khả năng bị nhiễu và mất gói tin so với mạng hữu tuyến. - Những nghiên cứu về mạng không dây hiện đang thu hút các viện nghiên cứu cũng như các doanh nghiệp trên thế giới. - Với sự đầu tư đó, hiệu quả và chất lượng của hệ thống mạng không dây sẽ ngày càng được nâng cao, hứa hẹn những bước phát triển trong tương lai. - 1.1.2.Ưu điểm của mạng máy tính không dây Mạng máy tính không dây đang nhanh chóng trở thành một mạng cốt lõi trong các mạng máy tính và đang phát triển vượt trội. - Với công nghệ này, những người sử dụng có thể truy cập thông tin dùng chung mà không phải tìm kiếm chỗ để nối dây mạng, chúng ta có thể mở rộng phạm vi mạng mà không cần lắp đặt hoặc di chuyển dây. - Các mạng máy tính không dây có ưu điểm về hiệu suất, sự thuận lợi, cụ thể như sau: Luận văn thạc sĩ Điện tử - Viễn thông Phạm Quốc Hoàng 10- Tính di động : những người sử dụng mạng máy tính không dây có thể truy nhập nguồn thông tin ở bất kỳ nơi nào. - Tính đơn giản : lắp đặt, thiết lập, kết nối một mạng máy tính không dây là rất dễ dàng, đơn giản và có thể tránh được việc kéo cáp qua các bức tường và trần nhà. - Tiết kiệm chi phí lâu dài : Trong khi đầu tư cần thiết ban đầu đối với phần cứng của một mạng máy tính không dây có thể cao hơn chi phí phần cứng của một mạng hữu tuyến nhưng toàn bộ phí tổn lắp đặt và các chi phí về thời gian tồn tại có thể thấp hơn đáng kể. - Khả năng vô hướng : các mạng máy tính không dây có thể được cấu hình theo các topo khác nhau để đáp ứng các nhu cầu ứng dụng và lắp đặt cụ thể. - Các cấu hình dễ dàng thay đổi từ các mạng ngang hàng thích hợp cho một số lượng nhỏ người sử dụng đến các mạng có cơ sở hạ tầng đầy đủ dành cho hàng nghìn người sử dụng mà có khả năng di chuyển trên một vùng rộng. - 1.1.3.Hoạt động của mạng máy tính không dây Các mạng máy tính không dây sử dụng các sóng điện từ không gian (vô tuyến hoặc ánh sáng) để truyền thông tin từ một điểm tới điểm khác. - Dữ liệu đang được phát được điều chế trên sóng mang vô tuyến (thường được gọi là điều chế sóng mang nhờ thông tin đang được phát) sao cho có thể được khôi phục chính xác tại máy thu. - Trong một cấu hình mạng máy tính không dây tiêu chuẩn, một thiết bị thu/phát (bộ thu/phát) được gọi là một điểm truy cập, nối với mạng hữu tuyến từ một vị trí cố định sử dụng cáp tiêu chuẩn. - Chức năng tối thiểu của điểm truy cập là thu, làm đệm, và phát dữ liệu giữa mạng máy tính không dây và cơ sở hạ tầng mạng hữu tuyến. - Một điểm truy cập đơn có thể hỗ trợ một nhóm nhỏ người sử dụng và có thể thực hiện chức năng trong một phạm vi từ một trăm đến vài trăm feet. - Những người sử dụng truy cập vào mạng máy tính không dây thông qua các bộ thích ứng máy tính không dây như các Card mạng không dây trong các vi máy tính, các máy Palm, PDA. - Các bộ thích ứng máy tính không dây cung cấp một giao diện giữa hệ thống điều hành mạng (NOS – Network Operation System) của máy khách và các sóng không gian qua một anten. - Bản chất của kết nối không dây là trong suốt đối với hệ điều hành mạng. - 1.1.4.Các mô hình của mạng máy tính không dây cơ bản 1.1.4.1.Kiểu Ad – hoc Mỗi máy tính trong mạng giao tiếp trực tiếp với nhau thông qua các thiết bị card mạng không dây mà không dùng đến các thiết bị định tuyến hay thu phát không dây. - Hình 1.1: Mô hình mạng Ad – hoc (hay mạng ngang hàng) Luận văn thạc sĩ Điện tử - Viễn thông Phạm Quốc Hoàng 121.1.4.2.Kiểu Infrastructure Các máy tính trong hệ thống mạng sử dụng một hoặc nhiều các thiết bị định tuyến hay thiết bị thu phát để thực hiện các hoạt động trao đổi dữ liệu với nhau và các hoạt động khác. - 1.1.5.Cự ly truyền sóng, tốc độ truyền dữ liệu Truyền sóng điện từ trong không gian sẽ gặp hiện tượng suy hao. - Vì thế đối với kết nối không dây nói chung, khoảng cách càng xa thì khả năng thu tín hiệu càng kém, tỷ lệ lỗi sẽ tăng lên, dẫn đến tốc độ truyền dữ liệu sẽ phải giảm xuống. - Các tốc độ của chuẩn không dây như 11 Mbps hay 54 Mbps không liên quan đến tốc độ kết nối hay tốc độ download, vì những tốc độ này được quyết định bởi nhà cung cấp dịch vụ Internet. - Với một hệ thống mạng không dây, dữ liệu được giử qua sóng radio nên tốc độ có thể bị ảnh hưởng bởi các tác nhân gây nhiễu hoặc các vật thể lớn. - Thiết bị định tuyến không dây sẽ tự động điều chỉnh xuống các mức tốc độ thấp hơn. - 1.2.KỸ THUẬT ĐIỀU CHẾ TRẢI PHỔ. - Hầu hết các mạng LAN không dây sử dụng công nghệ trải phổ. - Điều chế trải phổ trải năng lượng của tín hiệu trên một độ rộng băng tần truyền dẫn lớn hơn nhiều so với độ rộng băng tần cần thiết tối thiểu. - Điều chế trải phổ không hiệu quả về độ rộng băng tần khi được sử dụng bởi một người sử dụng. - Tuy nhiên, do nhiều người sử dụng có thể dùng chung cùng độ rộng băng tần phổ mà không can nhiễu với nhau, các hệ thống trải phổ trở nên có hiệu quả về độ rộng băng tần trong môi trường nhiều người sử dụng. - Điều chế trải phổ sử dụng hai phương Luận văn thạc sĩ Điện tử - Viễn thông Phạm Quốc Hoàng 13pháp trải tín hiệu trên một băng tần rộng hơn: trải phổ chuỗi trực tiếp và trải phổ nhẩy tần. - 1.2.1.Trải phổ trực tiếp DSSS – Direct Sequence Spread Spectrum Trải phổ chuỗi trực tiếp kết hợp một tín hiệu dữ liệu tại trạm gửi với một chuỗi bit tốc độ dữ liệu cao hơn nhiều, mà nhiều người xem như một chipping code (còn gọi là một gain xử lý). - Hình 1.2: Hoạt động của trải phổ chuỗi trực tiếp Hình trên cho thấy một ví dụ về hoạt động của trải phổ chuỗi trực tiếp. - Ví dụ, truyền dẫn một bit dữ liệu bằng 0 sẽ dẫn đến chuỗi đang được gửi. - Nhiều sản phẩm trải phổ chuỗi trực tiếp trên thị trường sử dụng nhiều hơn một kênh trên cùng một khu vực, tuy nhiên số kênh khả dụng bị hạn chế. - Tuy nhiên, độ rộng băng tần phải đủ để điều tiết các tốc độ dữ liệu cao, chỉ có thể có một số kênh. - 1.2.2.Trải phổ nhẩy tần FHSS – Frequency Hopping Spread Spectrum Trong trải phổ nhẩy tần, tín hiệu dữ liệu của người sử dụng được điều chế với một tín hiệu sóng mang. - Dữ liệu số được tách thành các cụm dữ liệu kích thước giống nhau được phát trên các tần số sóng mang khác nhau. - Trong máy thu nhẩy tần, một mã giả ngẫu nhiên được phát nội bộ được sử dụng để đồng bộ tần số tức thời của các máy thu với các máy phát. - Hình 1.3: Mô hình nhảy tần CABED Luận văn thạc sĩ Điện tử - Viễn thông Phạm Quốc Hoàng 15Một hệ thống nhẩy tần cung cấp một mức bảo mật, đặc biệt là khi sử dụng một số lượng lớn kênh, do một máy thu vô tình không biết chuỗi giả ngẫu nhiên của các khe tần số phải dò lại nhanh chóng để tìm tín hiệu mà họ muốn nghe trộm. - Ngoài ra, tín hiệu nhảy tần hạn chế được fading, do có thể sử dụng sự mã hóa điều khiển lỗi và sự xen kẽ để bảo vệ tín hiệu nhẩy tần khỏi sự suy giảm rõ rệt đôi khi có thể xảy ra trong quá trình nhẩy tần. - Việc mã hóa điều khiển lỗi và xen kẽ cũng có thể được kết hợp để tránh một kênh xóa bỏ khi hai hay nhiều người sử dụng phát trên cùng kênh tại cùng thời điểm. - OFDM được đưa vào áp dụng cho công nghệ truyền thông không dây băng thông rộng nhằm khắc phục một số nhược điểm và tăng khả năng về băng thông cho công nghệ mạng không dây, nó được áp dụng cho chuẩn IEEE 802.11a và chuẩn ETSI HiperLAN/2, nó cũng được áp dụng cho công nghệ phát thanh, truyền hình ở các nước Châu Âu. - Hình 1.4: Phương thức điều chế OFDM OFDM là một phương thức điều chế đa sóng mang được chia thành nhiều luồng dữ liệu với nhiều sóng mang khác nhau (hay còn gọi là những kênh hẹp) truyền cùng nhau trên một kênh chính, mỗi luồng chỉ chiếm một tỷ lệ dữ liệu rất nhỏ
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt