BÁO cáo CUỐI kỳ môn học hệ cơ sở dữ LIỆU các lỗ HỔNG và của MẠNG KHÔNG dây và có dây

Các người dùng đầu cuối truy cập mạng WLAN thông qua các card giao tiếpmạng WLAN, mà được thực hiện như các card PC trong các máy tính notebook, hoặc sử dụng card giao tiếp ISA hoặc PCI

BÁO CÁO CUỐI KỲ MÔN HỌC

BÁO CÁO CUỐI KỲ MÔN HỌC

LỜI CẢM ƠN

Lời đầu tiên, em xin gửi lời cảm ơn chân thành nhất đến thầy Trần ThanhPhước Thầy đã tận tình hướng dẫn em trong quá trình học tập cũng như trong việchoàn thành bài báo cáo

Tiếp đến em xin gửi lời cảm ơn đến khoa Công nghệ thông tin đã luôn tạo cho

em một môi trường học tập thật tốt, luôn lắng nghe và hỗ trợ khi cần thiết

Có lẽ kiến thức là vô hạn mà sự tiếp nhận kiến thức của bản thân mỗi ngườiluôn tồn tại những hạn chế nhất định Do đó, trong quá trình hoàn thành báo cáo, chắcchắn không tránh khỏi những thiếu sót Bản thân em mong nhận được những góp ý đến

từ thầy để báo cáo của em được hoàn thiện hơn

Em xin chân thành cảm ơn!

ĐỒ ÁN ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG

Tôi xin cam đoan đây là sản phẩm đồ án của riêng tôi và được sự hướng dẫn củaThầy Trần Thanh Phước Các nội dung nghiên cứu, kết quả trong đề tài này là trung thực

và chưa công bố dưới bất kỳ hình thức nào trước đây Những số liệu trong các bảngbiểu phục vụ cho việc phân tích, nhận xét, đánh giá được chính tác giả thu thập từ cácnguồn khác nhau có ghi rõ trong phần tài liệu tham khảo

Ngoài ra, trong đồ án còn sử dụng một số nhận xét, đánh giá cũng như số liệucủa các tác giả khác, cơ quan tổ chức khác đều có trích dẫn và chú thích nguồn gốc

Nếu phát hiện có bất kỳ sự gian lận nào tôi xin hoàn toàn chịu trách nhiệm

về nội dung đồ án của mình Trường đại học Tôn Đức Thắng không liên quan đến

những vi phạm tác quyền, bản quyền do tôi gây ra trong quá trình thực hiện (nếu có)

TP Hồ Chí Minh, ngày 12 tháng 12 năm 2021

Tác giả (ký tên và ghi rõ họ tên)

Trần Thanh Duy

PHẦN XÁC NHẬN VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊNPhần xác nhận của GV hướng dẫn

_ _ _ _ _ _ _

Tp Hồ Chí Minh, ngày tháng năm

(kí và ghi họ tên)

Phần đánh giá của GV chấm bài

_ _ _ _ _ _ _

Tp Hồ Chí Minh, ngày tháng năm

(kí và ghi họ tên)

MỤC LỤC

LỜI CẢM ƠN 1

LỜI MỞ ĐẦU 4

MỤC LỤC 6

DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ 9

CHƯƠNG 1 – TỔNG QUAN VỀ MẠNG KHÔNG DÂY 13

1.1 Giới thiệu về mạng không dây 13

1.1.1 Mạng không dây là gì ? 13

1.1.2 Các ứng dụng của mạng Wireless 13

1.2 Nguyên lý hoạt động 14

1.3 Ưu và nhược điểm của mạng không dây 15

1.4 So sánh giữa mạng không dây và có dây 16

1.4.1 Xét về phạm vi ứng dụng 16

1.4.2 Xét về độ tin cậy 17

1.4.3 So sánh về tốc độ 17

1.4.4 Xét về tính bảo mật 18

1.4.5 Xét về khả năng lắp đặt, triển khai 18

1.4.6 Xét về khả năng mở rộng 18

1.5 Các thiết bị cần thiết để xây dựng LAN không dây 19

1.6 Các chuẩn mạng không dây 19

1.6.1 Chuẩn WiFi 802.11b 20

1.6.2 Chuẩn WiFi 802.11a 20

1.6.3 Chuẩn WiFi 802.11g 21

1.6.4 Chuẩn WiFi 802.11n 22

1.6.5 Chuẩn WiFi 802.11ac 23

1.7 So sánh các chuẩn IEEE 802.11 23

2.1 Các mô hình mối đe dọa trong hệ thống viễn thông 24

CHƯƠNG 3: CÁC CƠ CHẾ BẢO MẬT CƠ BẢN 27

3.1 Tổng quan AAA: 27

3.2 Phân tích các giao thức AAA để kiểm soát quyền truy cập vào mạng riêng 28 CHƯƠNG 4: BẢO MẬT MẠNG KHÔNG DÂY 30

4.1 Kiến trúc dành riêng cho bảo mật mạng không dây 30

4.1.1 Kiến trúc Hotpot 30

4.1.2 Các hoạt động của kiến trúc Hot Spot 31

4.2 Bảo mật mạng không dây 32

4.2.1 Giao thức bảo mật WLAN VPN 32

4.2.2 Giao thức bảo mật AES (Advanced Encryption Standard) 33

4.2.3 Giao thức bảo mật 802.1X và EAP 33

4.2.4 Giao thức bảo mật WPA (Wi-Fi Protected Access) 34

4.2.5 Giao thức bảo mật WPA 2 34

CHƯƠNG 5: THỰC HÀNH 34

5.1 Yêu cầu và thực hiện yêu cầu 34

5.1.1 Giới thiệu về trung tâm tiếng anh Yola 34

5.1.2 Yêu cầu 35

5.1.3 Thực hiện yêu cầu 36

5.1.3.1 Tổng quan về mô hình mạng 36

5.1.3.2 Thiết bị dự kiến 36

5.1.3.3 Bảng giá dự kiến 42

5.2 Demo hệ thống mạng 43

5.2.1 Mô hình tổng quan 43

5.2.2 Bảng địa chỉ 43

5.2.2 Bảng thông tin WLAN 45

5.2.3 Cấu hình 45

5.2.3.1 Bố trí 45

5.2.3.2 Tạo VTP cho Switch 46

5.2.3.3 Khai báo Vlan 49

5.2.3.4 Cấu hình DHCP 50

5.2.3.5 Access Vlan 53

5.2.3.6 Cấu hình DNS server, Web server, Mail server 55

5.2.3.7 Định tuyến Router 57

5.2.3.8 Cấu hình Wireless LAN controller và Radius Server 59

5.2.3.9 Tạo tài khoản quản lí WLC và cấu hình mạng không dây60 5.2.4 Tiến hành chạy demo 78

5.2.4.1 Hệ thống mạng có dây trong tòa nhà 78

5.2.4.1 Hệ thống mạng không dây trong tòa nhà 81

CHƯƠNG 6: KẾT LUẬN 86

TÀI LIỆU THAM KHẢO 87

BẢNG PHÂN CÔNG CÔNG VIỆC 88

Hình 1.1: Hình ảnh minh họa về mạng không dây

Mạng không dây (hay còn gọi là mạng Wi-Fi, mạng Wireless, 802.11) là mạngkết nối các thiết bị có khả năng thu phát sóng (như máy vi tính có gắn Adapter khôngdây, PDA, ) lại với nhau không sử dụng dây dẫn mà sử dụng sóng vô tuyến đượctruyền dẫn trong không gian thông qua các trạm thu/phát sóng

1.1.2 Các ứng dụng của mạng Wireless

Nên thiết lập Wireless ở những nơi có tính chất tạm thời để làm việc hoặc ởnhững nơi mạng Cable truyền không thể thi công hoặc làm mất thẩm mỹ quan: Nhưcác toà nhà cao tầng, khách sạn, bệnh viện, nhà hàng nơi mà khác hàng thường sử dụngmạng không dây với cường độ cao và đòi hỏi tính cơ động cao

Mạng Wireless là kỹ thuật thay thế cho mạng LAN hữu tuyến, nó cung cấpmạng cuối cùng với khoảng cách kết nối tối thiểu giữa một mạng xương sống và mạngtrong nhà hoặc người dùng di động trong các cơ quan

1.2 Nguyên lý hoạt động

Mạng WLAN sử dụng sóng điện từ (vô tuyến và tia hồng ngoại) để truyềnthông tin từ điểm này sang điểm khác mà không dựa vào bất kỳ kết nối vật lý nào Cácsóng vô tuyến thường là các sóng mang vô tuyến bởi vì chúng thực hiện chức năngphân phát năng lượng đơn giản tới máy thu ở xa Dữ liệu truyền được chồng lên trênsóng mang vô tuyến để nó được nhận lại đúng ở máy thu Đó là sự điều biến sóngmang theo thông tin được truyền Một khi dữ liệu được chồng (được điều chế) lên trênsóng mang vô tuyến, thì tín hiệu vô tuyến chiếm nhiều hơn một tần số đơn, vì tần sốhoặc tốc độ truyền theo bit của thông tin biến điệu được thêm vào sóng mang

Nhiều sóng mang vô tuyến tồn tại trong cùng không gian tại cùng một thời điểm

mà không nhiễu với nhau nếu chúng được truyền trên các tần số vô tuyến khác nhau

Để nhận dữ liệu, máy thu vô tuyến bắt sóng (hoặc chọn) một tần số vô tuyến xác địnhtrong khi loại bỏ tất cả các tín hiệu vô tuyến khác trên các tần số khác

Trong một cấu hình mạng WLAN tiêu biểu, một thiết bị thu phát, được gọi mộtđiểm truy cập (AP – access point), nối tới mạng nối dây từ một vị trí cố định sử dụngcáp Ethernet chuẩn Điểm truy cập (access point) nhận, lưu vào bộ nhớ đệm, và truyền

dữ liệu mạng VLAN và cơ sở hạ tầng mạng nối dậy Một điểm truy cập đơn hỗ trợ mộtnhóm nhỏ người sử dụng và vận hành bên trong một phạm vi vài mét tới vài chục mét.Điểm truy cập (hoặc anten được gắn tới nó) thông thường được gắn trên cao nhưngthực tế được gắn bất cứ nơi đâu miễn là khoảng vô tuyến cần thu được

Các người dùng đầu cuối truy cập mạng WLAN thông qua các card giao tiếpmạng WLAN, mà được thực hiện như các card PC trong các máy tính notebook, hoặc

sử dụng card giao tiếp ISA hoặc PCI trong các máy tính để bàn, hoặc các thiết bị tíchhợp hoàn toàn bên trong các máy tính cầm tay Các card giao tiếp mạng WLAN cungcấp một giao diện giữa hệ điều hành mạng (NOS) và sóng trời (qua một anten) Bảnchất của kết nối không dây là trong suốt với NOS

1.3 Ưu và nhược điểm của mạng không dây

 Giảm chi phí đầu tư cho hệ thống cáp mạng

 Dễ dàng thêm, di chuyển, thay đổi thiết bị mạng không dây (Access Point),giảm chi phí hỗ trợ và bảo trì cho toàn bộ hệ thống

 Tăng tính linh hoạt trong sử dụng, tốc độ và khả năng bảo mật cho người dùngtrong nội bộ tổ chức, doanh nghiệp và cho nhóm khách vãng lai (guest)

Tuy có nhiều ưu điểm song mang không dây cũng có những nhược điểm nhất định:

 Bảo mật có thể nói chính là nhược điểm lớn nhất của mạng không dây, bởiphương tiện truyền tín hiệu là sóng và môi trường truyền tín hiệu là không khínên khả năng bị tấn công là khá lớn

 Phạm vi hoạt động còn hạn chế, ngay cả công nghệ mạng dây hiện đại nhất hiệnnay cũng chỉ có thể hoạt động ở phạm vi tối đa 150m nên mạng không dây chỉphù hợp với không gian hẹp

 Do truyền tín hiệu bằng sóng vô tuyến nên việc bị nhiễu hay suy giảm là điều tấtyếu Đây là vấn đề gây ảnh hướng lớn đến hiệu quả của các mạng

 Tốc độ mạng cũng là một vấn đề chúng ta cần quan tâm Tuy tốc độ cao nhấtcủa mạng không dây có thể lên tới 600Mbps nhưng con số đó vẫn chậm hơnnhiều so với các mạng cáp thông thường.

 Hơn thế nữa mạng không dây bị tác động rất lớn bởi yếu tố thời tiết hay các vậtchắn, mạng không dây còn bị tác động bởi ảnh hưởng của các thiết bị khác

Bảo mật là vấn đề được quan tâm hàng đầu hiện nay Khi nhắc đến bảo mật mạngkhông dây có hai vấn đề thường xuyên được nhắc đến đó là: chứng thực và mã hóa

+ Chứng thực: là quá trình mà trong đó các thiết bị kết nối với nhau thông quacác kênh kết nối sẽ được chứng thực, để chắc rằng không có thiết bị nào khácngoài mong muốn kết nối vào Chứng thực có thể được thực hiện thông quanhiều cách: trao đổi key, bằng địa chỉ MAC, hoặc bằng một tool của hãng thứ 3EAP, LEAP …

+ Mã hóa: là quá trình mà trong đó dữ liệu được mã hóa với những key đặc biệtđược tạo ra bởi người dùng hay chính thiết bị dùng để mã hóa Có nhữngphương pháp mã hóa như: mã hóa với 64, 128, 256 bit, hay dùng TKIP, AES…

1.4 So sánh giữa mạng không dây và có dây

1.4.1 Xét về phạm vi ứng dụng

Hệ thống mạng có thể thiết lập trong hầu

hết các mô hình mạng từ nhỏ đến lớn

Trên địa hình phức tạp, có nhiều vật cản

như tường sẽ rất khó kéo dây

Chủ yếu áp dụng cho mô hình nhỏ, trungbình Nếu muốn xây dựng Wifi diện rộngphải kết hợp với mạng LAN và thiết bịphát Wifi chuyên dụng như Open-Mesh,Unifi,…

Dễ dàng triển khai ở những địa hình

phức tạp, không triển khai được mạng códây

1.4.2 Xét về độ tin cậy

Hệ thống này ít ảnh hưởng đến sức khỏe

vì không phát sóng ra bên ngoài môi

trường sống

Có khả năng chịu được tác động từ của

khí hậu và thời tiết bất thường

Vì phát sóng wifi ra môi trường, nên hệthống mạng không dây sẽ ảnh hưởng đếnsức khỏe của con người

Hệ thống sẽ hoạt động kém khi gặp điềukiện thời tiết bất lợi Tuy nhiên, giải phápWifi diện rộng với cải tiến hiện đại đãkhắc phục được điều này

1.4.3 So sánh về tốc độ

Thông thường tốc độ đường truyền của

mạng có dây sẽ nằm ở các mức

10/100/1000 Mbps

Tốc độ đường truyền của mạng khôngdây sẽ nằm ở các mức 11/54/108Mbps.Tuy nhiên, khi xây dựng hệ thống wifidiện rộng tốc độ sẽ được nâng cao, phùhợp cho nhiều người dùng cùng lúc

1.4.4 Xét về tính bảo mật

Mạng có dây sẽ bảo mật cao hơn Thông

tin chỉ bị lộ nếu bọn xấu xâm nhập vào

đường truyền dây dẫn

Để bảo mật, chống virus xâm nhập đánh

Vì mạng không dây phát sóng ra mọiphía nên khả năng bảo mật không tốt

Nếu bạn xây dựng giải pháp wifi diệnrộng thì khả năng bảo mật sẽ tốt hơn, vì

thi công tổng thể khả năng quản lý tập trung, kiểm soát

băng thông từng người dùng sử dụng

1.4.5 Xét về khả năng lắp đặt, triển khai

Khả năng triển khai thường tốn nhiều

thời gian hơn vì phải thiết kế kéo dây cho

toàn bộ hệ thống

Thường ít tốn thời gian hơn vì khôngphải đi dây nhiều

1.4.6 Xét về khả năng mở rộng

Khi thiết lập phải tính toán đến khả năng

mở rộng trong tương lai, ngược lại nếu

không tính toán thật kỹ sẽ tốn rất nhiều

công sức

Khả năng mở rộng dễ dàng hơn, vìkhông phải kéo dây nhiều, thiết bị lại dễdàng lắp đặt

1.5 Các thiết bị cần thiết để xây dựng LAN không dây

- Máy tính có gắn Adapter Wireless

- Access Point (để kết nối các máy tính thành một mạng LAN)

- Nếu muốn cho hệ thống mạng có thể kết nối Internet thì chúng ta cần có đường dây cáp kết nối từ nhà cung cấp dịch vụ Internet tới modem Wireless

1.6 Các chuẩn mạng không dây

Năm 1997, viện kỹ sư điện và điện tử IEEE đưa ra chuẩn mạng cục bộ không dây(WLAN) đầu tiên - được gọi là 802.11 theo tên của nhóm giám sát sự phát triển củachuẩn này Lúc này, 802.11 sử dụng tần số 2,4 GHz và dùng kỹ thuật trải phổ trực tiếp (Direct – Sequence Spread Spectrum-DSSS ) nhưng chỉ hỗ trợ băng thông tối đa là 2

Mbps - tốc độ khá chậm cho hầu hết các ứng dụng Vì lý do đó, các sản phẩm chuẩnkhông dây này không còn được sản xuất nữa.

+ Trải phổ: Đa số các hệ thống mạng WLAN sử dụng công nghệ trải phổ, một kỹthuật tần số vô tuyến băng rộng mà trước đây được phát triển bởi quân đội trong các hệthống truyền thông tin cậy, an toàn, trọng yếu Sự trải phổ được thiết kế hiệu quả với sựđánh đổi dải thông lấy độ tin cậy, khả năng tích hợp, và bảo mật Nói cách khác, sửdụng nhiều băng thông hơn trường hợp truyền băng hẹp, nhưng đổi lại tạo ra tín hiệumạnh hơn nên dễ được phát hiện hơn, miễn là máy thu biết các tham số của tín hiệu trảiphổ của máy phát Nếu một máy thu không chỉnh đúng tần số, thì tín hiệu trải phổgiống như nhiễu nền

+ Có hai kiểu trải phổ truyền đi bằng vô tuyến :

802.11b sử dụng tần số tín hiệu vô tuyến không được kiểm soát (2.4 GHz) giốngnhư chuẩn ban đầu 802.11 Các nhà cung cấp thích sử dụng tần số này để giảm chi phísản xuất Các thiết bị 802.11b có thể bị xuyên nhiễu từ các thiết bị điện thoại khôngdây (kéo dài), lò vi sóng hoặc các thiết bị khác sử dụng cùng dải tần 2.4 GHz Mặc dùvậy, bằng cách lắp các thiết bị 802.11b cách xa các thiết bị như vậy có thể giảm đượchiện tượng xuyên nhiễu này

Ưu điểm của 802.11b – giá thành thấp nhất; phạm vi tín hiệu tốt và không dễ bị cản trở

Nhược điểm của 802.11b – tốc độ tối đa thấp nhất; các thiết bị gia dụng có thể gây trởngại cho tần số vô tuyến mà 802.11b bắt được.

1.6.2 Chuẩn WiFi 802.11a

Trong khi 802.11b vẫn đang được phát triển, IEEE đã tạo một mở rộng thứ haicho chuẩn 802.11 có tên gọi 802.11a Vì 802.11b được sử dụng rộng rãi quá nhanh sovới 802.11a, nên một số người cho rằng 802.11a được tạo sau 802.11b Tuy nhiên trongthực tế, 802.11a và 802.11b được tạo một cách đồng thời Do giá thành cao hơn nên802.11a thường được sử dụng trong các mạng doanh nghiệp còn 802.11b thích hợp hơnvới thị trường mạng gia đình

802.11a hỗ trợ băng thông lên đến 54 Mbps và tín hiệu trong một phổ tần số quyđịnh quanh mức 5GHz Tần số của 802.11a cao hơn so với 802.11b chính vì vậy đã làmcho phạm vi của hệ thống này hẹp hơn so với các mạng 802.11b Với tần số này, các tínhiệu 802.11a cũng khó xuyên qua các vách tường và các vật cản khác hơn

Do 802.11a và 802.11b sử dụng các tần số khác nhau, nên hai công nghệ nàykhông thể tương thích với nhau Chính vì vậy một số hãng đã cung cấp các thiết bịmạng lai cho 802.11a/b nhưng các sản phẩm này chỉ đơn thuần là thực hiện hai chuẩnnày song song (mỗi thiết bị kết nối phải sử dụng một trong hai, không thể sử dụngđồng thời cả hai)

Ưu điểm của 802.11a – tốc độ cực nhanh; tần số được kiểm soát nên tránh được sựxuyên nhiễu từ các thiết bị khác

Nhược điểm của 802.11a – giá thành đắt; phạm vi hẹp và dễ bị cản trở

1.6.3 Chuẩn WiFi 802.11g

Vào năm 2002 và 2003, các sản phẩm WLAN hỗ trợ một chuẩn mới hơn đó là802.11g, được đánh giá cao trên thị trường 802.11g là một nỗ lực để kết hợp những ưuđiểm của chuẩn 802.11a và 802.11b Nó hỗ trợ băng thông lên đến 54Mbps và sử dụng

tần số 2.4 Ghz để có phạm vi rộng 802.11g có khả năng tương thích với các chuẩn802.11b, điều đó có nghĩa là các điểm truy cập 802.11g sẽ làm việc với các adaptermạng không dây 802.11b và ngược lại.

Ưu điểm của 802.11g – tốc độ cực nhanh; phạm vi tín hiệu tốt và ít bị cản trở

Nhược điểm của 802.11g – giá thành đắt hơn 802.11b; các thiết bị có thể bị xuyênnhiễu từ những đồ gia dụng sử dụng cùng tần số tín hiệu vô tuyến không được kiểmsoát

1.6.4 Chuẩn WiFi 802.11n

Hình 1.2 Chuẩn wifi 802.11n

Chuẩn 802.11n sử dụng nhiều ăng-ten không dây song song để truyền và nhận

dữ liệu Thuật ngữ MIMO (Multiple Input, Multiple Output) liên quan đề cập đến khảnăng của 802.11n và các công nghệ tương tự để phối hợp nhiều tín hiệu vô tuyến đồngthời Chuẩn này hỗ trợ tối đa 4 luồng đồng thời MIMO giúp tăng cả phạm vi và thônglượng của mạng không dây Chuẩn 802.11n sử dụng dải tần số lớn hơn các tiêu chuẩntrước đó, giúp tăng thông lượng dữ liệu

Chuẩn kết nối 802.11n hỗ trợ băng thông mạng tối đa trên lý thuyết lên tới300Mbps tùy thuộc chủ yếu vào số lượng radio không dây được tích hợp trong cácthiết bị Các thiết bị 802.11n hoạt động ở cả băng tần 2.4 GHz và 5 GHz

Ưu điểm của 802.11n – tốc độ tối đa nhanh nhất và phạm vi tín hiệu tốt nhất; khả năngchống nhiễu tốt hơn từ các nguồn bên ngoài

Nhược điểm của 802.11n – giá thành đắt hơn 802.11g; việc sử dụng nhiều tín hiệu cóthể gây nhiễu với các mạng dựa trên chuẩn 802.11b và 802.11g ở gần

1.6.5 Chuẩn WiFi 802.11ac

802.11ac là chuẩn WiFi mới nhất, được sử dụng phổ biến nhất hiện nay.802.11ac sử dụng công nghệ không dây băng tần kép, hỗ trợ các kết nối đồng thời trên

cả băng tần 2.4 GHz và 5 GHz 802.11ac cung cấp khả năng tương thích ngược với cácchuẩn 802.11b, 802.11g, 802.11n và băng thông đạt tới 1.300 Mbps trên băng tần 5GHz, 450 Mbps trên 2.4GHz

Hìn

h 1.3 Chuẩn wifi 802.11ac

1.7 So sánh các chuẩn IEEE 802.11

Hình 1.4 So sánh các chuẩn IEEE 802.11

CHƯƠNG 2: CÁC LỖ HỔNG VÀ CỦA MẠNG KHÔNG DÂY

VÀ CÓ DÂY

2.1 Các mô hình mối đe dọa trong hệ thống viễn thông

Các mô hình mối đe dọa trước tiên mô tả hệ thống, tất cả các tác nhân và vị trícủa chúng trong hệ thống (link, node) Sau đó, mô hình mối đe dọa cho biết kẻ tấncông trong hệ thống và năng lực của kẻ tấn công, tức là vị trí cấu trúc liên kết trong hệthống, tài nguyên, khả năng truy cập, v.v

Mô hình mối đe dọa truyền thống đối với một kênh giao tiếp dựa trên mô hìnhgiao tiếp tối thiểu liên quan ít nhất đến hai người tham gia được gọi là Alice và Bob, vàmột kênh giao tiếp

Mô hình này thường giả định mối quan hệ tin cậy ban đầu giữa Alice và Bob

Nó thường được sử dụng trong mật mã, với mục đích hạn chế hiệu quả các cuộc tấncông có thể xảy ra đối với các cuộc tấn công chống lại kênh liên lạc giữa Alice và Bob

Tuy nhiên, trong bối cảnh của các hệ thống viễn thông, mô hình này không đầy đủ, vìcác yếu tố và lỗ hổng bảo mật khác hiện diện.

Hình 2.1 Mô hình giao tiếp tối thiểu

Hình trên giới thiệu một mô hình thích hợp hơn, phân biệt giữa hai bên giao tiếp(Alice và Bob) và ít nhất một cơ sở hạ tầng viễn thông và quyền hạn của nó được vượtqua kênh giao tiếp Nói chung, người có thẩm quyền này không phải là Alice hay Bob

mà là một bên thứ ba thực sự

Hình 2.2 Mô hình giao tiếp với hệ thống viên thông

Sự xuất hiện của một bên thứ ba như vậy làm tăng độ phức tạp của hệ thống, tạo

ra các giao diện và lỗ hổng mới và có thể yêu cầu một chuỗi tin cậy phức tạp hơn Do

đó, nó mở rộng phạm vi các mối đe dọa có thể xảy ra

Mô hình tin cậy của hình trên có thể có các dạng rất khác nhau:

 Alice và Bob tin tưởng lẫn nhau về cách thức liên lạc dự kiến, và cả haiđều tin tưởng hệ thống viễn thông đã sử dụng cung cấp chính xác cácdịch vụ (private network)

 Alice và Bob tin tưởng lẫn nhau, nhưng không tin tưởng vào cơ sở hạtầng của hệ thống viễn thông (public network)

 Alice và Bob tin tưởng vào cơ sở hạ tầng viễn thông nhưng không tintưởng lẫn nhau; họ sẽ sử dụng cơ sở hạ tầng như một bên thứ ba đáng tincậy (TTP) để thiết lập một mối quan hệ tin cậy mới

Hình dưới đây trình bày từ trái sang phải các mối đe dọa điển hình chống lại cáctác nhân và các bộ phận của mô hình này Trong phần sau, kẻ tấn công được ký hiệu làEve:

 Eve có thể tấn công một trong các bên giao tiếp (ví dụ như Alice) bằngcách sử dụng các lỗ hổng trong phần mềm và các biện pháp bảo vệ màAlice sử dụng Thiết bị đầu cuối có giao diện kết nối với hệ thống viễnthông là một thực thể mở hơn và do đó dễ bị tấn công hơn Thôngthường, các cuộc tấn công có thể xảy ra do các lỗ hổng trong thiết bị đầucuối và khả năng hiển thị của thiết bị đầu cuối liên quan đến dịch vụ viễnthông

 Ngoài ra, Eve có thể tấn công kênh liên lạc liên kết Alice với hệ thốngviễn thông Cuộc tấn công này có thể là không xâm nhập (đọc dữ liệu

được trao đổi) hoặc xâm nhập (sửa đổi dữ liệu đã trao đổi, đưa dữ liệuvào, phát lại dữ liệu cũ)

 Sự xâm nhập vào cơ sở hạ tầng cho phép thực hiện các cuộc tấn công

"người ở giữa" Eve được xem như một điểm giao nhau giữa Alice (hoặcBob) và cơ sở hạ tầng sao cho tất cả các liên lạc của Alice (hoặc Bob) với

cơ sở hạ tầng đều đi qua Eve Nếu không có xác thực đáng tin cậy và lẫnnhau (tức là xác minh danh tính) giữa Alice (hoặc Bob) và cơ sở hạ tầng,Alice và cơ sở hạ tầng không thể phát hiện loại xâm nhập này Các cuộctấn công cũng có thể xảy ra nếu Eve có thể chiếm đoạt danh tính củangười giao tiếp Để chống lại các cuộc tấn công này thì việc xác thực lẫnnhau giữa Alice và Bob cách tốt nhất

Hình 2.3 Mô hình mối đe dọa đối với hệ thống viễn thông và những người tham gia

Trong các tình huống khác nhau, kẻ tấn công thường sử dụng kết hợp các cuộc tấncông có mục tiêu và phá hoại để đạt được mục tiêu của chúng

CHƯƠNG 3: CÁC CƠ CHẾ BẢO MẬT CƠ BẢN

3.1 Tổng quan AAA:

AAA cho phép nhà quản trị mạng biết được các thông tin quan trọng về tìnhhình cũng như mức độ an toàn trong mạng Nó cung cấp việc xác thực(authentication)người dùng nhằm bảo đảm có thể nhận dạng đúng người dùng, đúng họ và tên nhânviên, đúng phòng ban Một khi đã nhận dạng người dùng, ta có thể giới hạn phânquyền(authorization) mà người dùng có thể tương tác vào hệ thống Khi người dùng sửdụng mạng, ta cũng có thể giám sát tất cả những gì mà họ làm AAA với ba thành phầnxác thực (authentication), phân quyền(authorization), tính cước(accounting) là cácphần riêng biệt mà ta có thể sử dụng trong dịch vụ mạng, cần thiết để mở rộng và bảomật mạng

AAA có thể dùng để tập hợp thông tin từ nhiều thiết bị trên mạng Ta có thể bậtcác dịch vụ AAA trên router, switch, firewall, các thiết bị VPN, server…

3.2 Phân tích các giao thức AAA để kiểm soát quyền truy cập vào mạng riêng

Các dịch vụ AAA được chia thành ba phần: xác thực (authentication), phânquyền (accounting), tính cước (accounting)

Hình 3.1 Kiến trúc AAA

Xác thực người dùng (Authentication user):

Xác thực dùng để định danh, nhận dạng (identify user) người dùng Trong suốt quátrình xác thực, username và password của người dùng được kiểm tra và đối chiếu với

cơ sở dữ liệu lưu trong AAA Server hoặc external database Tất nhiên, tùy thuộc vàogiao thức mà AAA hỗ trợ mã hóa đến đâu, ít nhất thì cũng mã hóa username vàpassword Xác thực sẽ xác định người dùng là ai

Ví dụ: Người dùng có username và mật khẩu trong hệ thống, sẽ là hợp lệ và được xácthực thành công với hệ thống Sau khi xác thực thành công thì người dùng đó có thểtruy cập được vào mạng Tiến trình này chỉ là một trong các thành phần để điều khiểnngười dùng với AAA Một khi username và password được chấp nhận, AAA có thểdùng để định nghĩa phân quyền mà người dùng được phép làm trong hệ thống

Phân quyền người dùng (Authorization user):

Authorization cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng thờigian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên từng giao thức.AAA cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của người dùngđược phép làm Do đó, người dùng phải được xác thực trước khi cấp quyền cho ngườiđó

AAA Authorization làm việc giống như một tập các thuộc tính mô tả những gì màngười dùng đã được xác thực có thể có Ví dụ: 1 người dùng là nhân viên thuộc phòngnhân sự, truy cập vào hệ thống, sẽ được phân quyền theo chúc năng của phòng nhân

sự, người dùng là khách của công ty, sẽ được phân quyền tối thiểu để truy cập internet,không truy cập vào tài nguyên hệ thống được Những thuộc tính này được so sánh vớithông tin chứa trong cơ sở dữ liệu của người dùng đó và kết quả được AAA trả về đểxác định khả năng cũng như giới hạn thực tế của người đó Điều này yêu cầu cơ sở dữliệu phải giao tiếp liên tục với AAA server trong suốt quá trình kết nối đến thiết bị truycập từ xa

Tính cước người dùng (Accounting user):

Accounting cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thờigian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lưulượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệuquan hệ Nói cách khác, accounting cho phép giám sát dịch vụ và tài nguyên đượcngười dùng sử dụng

Ví dụ: thống kê cho thấy người dùng đã truy cập vào web server với số lượng baonhiêu lần, thời gian truy cập vào server là bao lâu Điểm chính trong Accounting đó làcho phép người quản trị giám sát tích cực và dự đoán được dịch vụ và việc sử dụng tài

nguyên Thông tin này có thể được dùng để thời gian truy cập của khách hàng, quản lýmạng, kiểm toán trong các chính sách bảo mật của công ty.

CHƯƠNG 4: BẢO MẬT MẠNG KHÔNG DÂY

4.1 Kiến trúc dành riêng cho bảo mật mạng không dây

4.1.1 Kiến trúc Hotpot

Hình 4.1 Kết nối không dây

Hot spot là một địa điểm mà tại đó có cung cấp các dịch vụ kết nối không dây

và dịch vụ truy cập Internet tốc độ cao, thông qua hoạt động của các thiết bị thu phátkhông dây (Wireless Access Point)

4.1.2 Các hoạt động của kiến trúc Hot Spot

a Redirection – Chuyển hướng

Khi một máy tính liên kết với điểm truy cập Wi-Fi “Mở”, trước hết nó sẽ yêucầu thuê

DHCP Máy khách không dây sẽ được chuyển hướng đến máy chủ Web bất cứkhi nào nó yêu chuyển tạm thời) được trình duyệt Web phổ biến hiểu một cáchchính xác Do đó, cổng cố định sẽ chuyển hướng kết nối đến máy chủ WebHTTPS để xác thực máy chủ Web bằng cách sử dụng mật mã công khai và sửdụng giao thức Bảo mật lớp truyền tải (TLS) Trang web được hiểu là trangcổng thông tin của nhà cung cấp nơi người dùng sẽ luôn được chuyển hướngcho đến khi họ xác thực thành công đến Hot Spot.

b Authorization – Phân quyền

Khi người dùng tự xác thực với cổng bị cố định (bằng cách cung cấpusername/password hợp lệ hoặc token hợp lệ), khung xác thực sau đó sẽ chophép người dùng truy cập Internet bằng cách định cấu hình động bộ quy tắcđược áp dụng trên tường lửa Hầu hết các cổng bị cố định chỉ dựa vào địa chỉ IP

để cấp quyền cho người dùng trên tường lửa, trong khi một số cổng khác cũng

có thể sử dụng địa chỉ MAC để ngăn chặn các cuộc tấn công giả mạo vào địa chỉMAC

c Connection – Kết nối

Khi tường lửa đã định cấu hình bộ quy tắc mới cho người dùng được xác thực,chính sách bảo mật mẫu (do nhà cung cấp áp dụng) sẽ được thực thi và về cơbản người dùng hiện có quyền truy cập Internet

d Disconnection – Ngắt kết nối

Người dùng có thể đóng kết nối với cổng bị cố định bằng cách gửi đăng xuất qua một trang Web cụ thể trên cổng cố định Ngoài ra, hầu hết các kiến trúc Hot Spot sử dụng các kỹ thuật khác để phát hiện xem người dùng có rời khỏi kiến trúc hay không bằng cách gửi các đầu dò ARP hoặc quan sát sự gia hạn

DHCP.cầu truy cập Internet Việc chuyển hướng này được thực hiện nhờ vào mãHTTP 302 (được di

4.2 Bảo mật mạng không dây

4.2.1 Giao thức bảo mật WLAN VPN

VPN là viết tắt của “Virtual Private Network” Mạng riêng ảo VPN bảo vệ mạngWLAN bằng cách tạo ra một kênh có khả năng che chắn dữ liệu khỏi các truy cập tráiphép VPN sử dụng cơ chế bảo mật IPSec từ đó tạo ra độ tin cậy cao IPSec là viết tắtcủa Internet Protocol Security

VPN có một số ưu điểm nổi bật là

 Giá thành rẻ

 Băng thông không bị hạn chế tùy thuộc vào tốc độ đường truyền mà bạn

sử dụng

 Số kênh VPN đồng thời lớn

 Đảm bảo khả năng bảo mật cao và cơ chế mã hóa

 TKIP (Temporal Key Integrity Protocol)

Để đảm bảo sự minh bạch của gói tin TKIP dùng hàm băm (hashing) IV đểchống lại việc giả mạo gói tin Cũng dùng để xác định tính toàn vẹn của thông điệpMIC (message integrity check) Khóa động của TKIP cài đặt cho mỗi frame có chứcnăng chống lại dạng tấn công giả mạo

4.2.2 Giao thức bảo mật AES (Advanced Encryption Standard)

AES có thể đáp ứng các nhu cầu của người dùng trên mạng WLAN ASE đãđược phê chuẩn bởi NIST (National Institute of Standard and Technology) Trong đó,chế độ đặc biệt này của AES được gọi là CBC-CTR (Cipher Block Chaining CounterMode) với CBC-MAC (Cipher Block Chaining Message Authenticity Check)

4.2.3 Giao thức bảo mật 802.1X và EAP

802.1X là giao thức truy cập cổng để bảo vệ mạng thông qua xác thực Do đó,loại phương pháp xác thực này cực kỳ hữu ích trong môi trường Wi-Fi do bản chất củaphương tiện Nếu người dùng Wi-Fi được xác thực qua 802.1X để truy cập mạng, mộtcổng ảo sẽ được mở trên điểm truy cập cho phép giao tiếp Nếu không được ủy quyềnthành công, một cổng ảo sẽ không khả dụng và thông tin liên lạc bị chặn

Có ba tác vụ cơ bản để xác thực 802.1X:

 Người bảo trợ Một máy khách phần mềm chạy trên máy trạm Wi-Fi

 Người xác thực Điểm truy cập Wi-Fi

 Máy chủ xác thực Cơ sở dữ liệu xác thực, thường là một máy chủ bánkính như Cisco ACS*, Funk Steel-Radius*, hoặc Microsoft IAS*

Giao thức xác thực mở rộng (EAP) được sử dụng để truyền thông tin xác thựcgiữa người hỗ trợ (máy trạm Wi-Fi) và máy chủ xác thực (Microsoft IAS hoặc khác).Loại EAP thực sự xử lý và xác định xác thực Điểm truy cập đóng vai trò là người xácthực chỉ là một proxy để cho phép người hỗ trợ và máy chủ xác thực giao tiếp

4.2.4 Giao thức bảo mật WPA (Wi-Fi Protected Access)

WPA là một giao thức an ninh trên những mạng không dây Đây là giải phápcông nghệ thay thế cho WEP vốn còn nhiều khuyết điểm Một trong những cải tiếnquan trọng của WPA là sử dụng hàm thay đổi khoá TKIP (Temporal Key IntegrityProtocol) và kiểm tra tính toàn vẹn của thông tin (Message Integrity Check)

4.2.5 Giao th c b o m t WPA 2 ứ ả ậ

WPA 2 là phương pháp bảo mật kế tiếp WPA 2 là giải pháp lâu dài được chứngnhận bởi Wi-Fi Alliance và sử dụng sử dụng 802.11i Với thuật toán mã hóa nâng cao

AES (Advanced Encryption Standard), WPA 2 được nhiều cơ quan chính phủ Mỹ sửdụng để bảo vệ các thông tin nhạy cảm.

CHƯƠNG 5: THỰC HÀNH

5.1 Yêu cầu và thực hiện yêu cầu

5.1.1 Gi i thi u vềề trung tâm tiềếng anh Yola ớ ệ

Trung tâm Anh ngữ Yola Him Lam tọa lạc tại 2 địa chỉ: 52-54-56 Hoàng TrọngMậu, phường Tân Hưng, Quận 7, Thành phố Hồ Chí Minh và 84-86 Nguyễn Thị Thập,KDC Him Lam, Quận 7, Thành phố Hồ Chí Minh

Hình 5.1 Yola Him Lam

Tại chị nhánh Yola Him Lam này là một tòa nhà gồm có 3 tầng, mỗi tầng 100m2 vớicách bố trí và công năng khác nhau:

 Tầng 1: Là nơi đón tiếp, tư vấn, chăm sóc khách hàng, hỗ trợ khách hàng thực hiện thủtục nhập học và thanh toán học phí, có sảnh bố trí chỗ ngồi cho khách hàng

 Tầng 2: Bao gồm các phòng học có trang bị các thiết bị như máy tính bàn giáo viên,máy chiếu, màn hình tivi, loa,

 Tầng 3: Là tầng bao gồm phòng giám đốc và phòng kỹ thuật của trung tâm

5.1.2 Yều câều

Triển khai hệ thống mạng không dây tốc độ cao cho Trung tâm anh ngữ YolaQuận 7 Đảm bảo các thiết bị có thể truy cập internet tốc độ cao ở bất kì vị trí nào trongTrung tâm anh ngữ Đảm bảo đường truyền internet ổn định và có tốc độ cao đáp ứngcác nhu cầu đọc báo, xem tin tức, tra cứu và download các tài liệu học tập, thực hiệncác bài kiểm tra online của trung tâm

Đảm bảo các bảo mật cho hệ thống mạng Hạn chế tối đa việc truy cập trái phépvào hệ thống mạng của Trung tâm gây giảm tốc độ của hệ thống mạng hoặc xâm nhậpphá hỏng hệ thống từ bên ngoài

5.1.3 Th c hi n yều câều ự ệ

5.1.3.1 T ng quan vềề mô hình m ng ổ ạ

Ví trí các thiết bị mạng tại trung tâm tiếng anh Yola như sau:

Tầng 1: Tầng 1 sẽ gồm sảnh và phòng tư vấn: Ở sảnh sẽ bố trí các máy tính chonhân viên Lễ tân và Thu ngân Phòng tư vấn sẽ bố trí tương tự các máy tính cho nhânviên tư vấn khách hàng

Tầng 2: Gồm các phòng học mỗi phóng gồm 1 máy tính được kết nối internet

Tầng 3: Các máy tính của nhân viên tại các phòng kỹ thuật, phòng giám đốcđược kết nối thành từng cụm phòng và kết nối với nhau và có thể truy cập đượcinternet.

Switch CISCO SF95D-08 8 ports:

Mô tả: Router kết nối giữa Switch trung tâm và mạng Internet

Hình 5.4 Router Cisco RV082-EU

Máy chủ Dell PowerEdge T40

Hình 5.5 Máy chủ Dell PowerEdge T40

CISCO AIR-CT2504-5-K9 2500 Series Wireless Controller

Mô tả: Thiết bị Access Point có thể phục vụ nhu cầu sử dụng mạng không dây mật

độ truy cập cao với luồng dữ liệu lớn (80 ~ 100 users) Băng tần 2.4GHz chuẩn Ntốc độ lên đến 400Mbps, băng tần 5GHz chuẩn AC tốc độ lên đến 876Mbps Hỗ trợ

2 SSID cho mỗi băng tần

Hình 5.7 Thiết Bị Mạng Phát Sóng Router Wifi APTEK A134GHU