đồ án: AN TOÀN THÔNG TIN TRONG VoWIFI

đồ án: AN TOÀN THÔNG TIN TRONG VoWIFIChương I: Tổng quan về VoWifi. Giới thiệu một cái nhìn hệ thống về lịch sử công nghệ truyền thông tín hiệu thoại, cũng như sự ra đời, ưu khuyết điểm của mạng WLAN. Mô hình kết nối VoWifi trong hạ tầng mạng WLAN.Chương II: Các nguy cơ và biện pháp đảm bảo an toàn trong VoWifi. Sẽ trình bày về các thuật ngữ và vấn đề liên quan, đồng thời đi sâu vào tìm hiểu các nguy cơ có thể xảy đến với hệ thống VoWifi, phân tích và đưa ra biện pháp khắc phục.Chương III: Thực trạng và tiềm năng ứng dụng. Trình bày về thực trạng triển khai VoWifi trên thế giới hiện nay như thế nào, những lợi ích mà nó mang lại cũng như những vấn đề vẫn còn đang phải đối mặt. Cuối cùng là đánh giá khả năng ứng dụng tại thị trường Việt Nam.Do trình độ và thời gian có hạn nên không thể tránh khỏi những sai sót, tôi rất mong nhận được sự phản hồi và góp ý từ thầy cô và các bạn để có thể bổ sung vốn hiểu biết của mình. Mọi liên lạc xin gửi về theo hòm thư: ngoc.dn@hotmail.com hay thông qua portal http://sites.google.com/site/daonhungoc/. Cuối cùng em xin chân thành cảm ơn sự giúp đỡ và hướng dẫn hết sức tận tình của thầy giáo ThS. Nguyễn Văn Đát cùng quý thầy cô bộ môn Mạng viễn thông trong thời gian em làm đồ án.

AN TOÀN THÔNG TIN TRONG VoWIFI

Người thực hiện: ĐÀO NHƯ NGỌC

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Giáo viên hướng

dẫn : ThS NGUYỄN VĂN ĐÁT Sinh viên thực hiện : ĐÀO NHƯ NGỌC

Hà Nội, 2008

Ngành học: Điện Tử - Viễn Thông

Tên đề tài: AN TOÀN THÔNG TIN TRONG VoWIFI

ThS NGUYỄN VĂN ĐÁT

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Điểm: (bằng chữ ……… )

Ngày … Tháng … Năm ……

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Điểm: (bằng chữ ……… )

Ngày … Tháng … Năm ……

MỤC LỤC

DANH MỤC HÌNH VẼ

DANH MỤC BẢNG BIỂU

THUẬT NGỮ VIẾT TẮT

AES Advanced Encryption Standard Chuẩn mã hóa tiên tiến

AMPS Advanced Mobile Phone System Hệ thống điện thoại di động tiên

tiến

BSSID Basic Service Set Identifier Số nhận dạng tập dịch vụ cơ bảnCCMP

Counter Mode with Cipher BlockChaining Message AuthenticationCode Protocol Giao thức xác thực CCMPCDMA Code Division Multiple Access Đa truy nhập phân chia theo mã

EAP Extensible Authentication Protocol Giao thức xác thực mở rộng

ESSID Extend Service Set Identifier Số nhận dạng tập dịch vụ mở rộng

GSM Global System for Mobile Thông tin di động toàn cầu

ICV Integrity Check Value Giá trị kiểm tra tính toàn vẹnIEEE Institute of Electrical and

Electronics Engineers Tổ chức IEEEIETF Internet Engineering Task Force Lực lượng thực hiện nhiệm vụ Internet

ISDN Integrated Services Digital Network Mạng số tích hợp đa dịch vụITU-T ITU – Telecommunication Bộ phận tiêu chuẩn viễn thông

Standardization Sector của ITU

IV Initialization Vector Vec-tơ khởi tạo

MAC Medium Access Control Điều khiển truy nhập môi trườngMIC Message Integrity Check Kiểm tra toàn vẹn bản tin

NAT Network Address Translation Dịch địa chỉ mạng

NMTS Nordic Mobile Telephone System Hệ thống điện thoại di động Bắc

ÂuOFDM Orthogonal Frequency Division Multiplexing Ghép kênh phân chia theo tần số trực giaoOSA Open System Authentication Xác thực hệ thống mở

PSTN Public Switched Telephone

Network

Mạng điện thoại chuyển mạch công cộng

PTK Pairwise Transient Key Khóa tạm PTK

QoS Quality of Service Chất lượng dịch vụ

RBAC Role Base Access Control Điều khiển truy nhập dựa trên vai tròSKA Shared Key Authentication Xác thực khóa chia sẻ

SNR Signal to Noise Ratio Tỉ số tín hiệu trên tạp âm

SSID Service Set Identifier Số nhận dạng tập dịch vụ

SSL Secure Sockets Layer Bảo mật lớp socket

TKIP Temporal Key Integrity Protocol Giao thức toàn vẹn khóa tạm

VoIP Voice over Internet Protocol Thoại qua giao thức IP

VPN Virtual Private Network Mạng riêng ảo

WDS Wireless Distribution System Hệ thống phân phối không dâyWEP Wired Equivalent Privacy Giao thức mã hóa WEP

WIPS Wireless Intrusion Prevention System Hệ thống ngăn chặn xâm nhập vô tuyếnWLAN Wireless Local Area Network Mạng LAN không dây

WPA/WPA2 Wifi Protected Access Tiêu chuẩn an toàn của Wifi

LỜI NÓI ĐẦU

Ngày nay, thuật ngữ wireless đang trở nên hết sức phổ biến không chỉ trong giớicông nghệ mà còn dần trở thành ngôn từ phổ thông Hàng loạt các công trình nghiêncứu, các sản phẩm thương mại đã và đang từng ngày ra đời theo xu hướng này, xuhướng không dây hóa Người ta nói nhiều đến các khái niệm như tiết kiệm năng lượng,kích thước nhỏ gọn và hoàn toàn di động hơn là các chức năng phụ trợ được bổ sung.Cũng theo đà phát triển này, mạng WLAN ra đời đã chứng minh được tầm ảnh hưởngcủa mình Chủ tịch Tập đoàn phần mềm Microsoft Bill Gate đã từng khẳng định: “Nếukhông có mạng Internet thì một chiếc máy vi tính chỉ thể hiện được 50% giá trị sửdụng của nó” Cùng tư duy như vậy thì một chiếc laptop thật sự chỉ có đủ sức mạnhkhi kết nối Internet thông qua mạng Wifi!

Công nghệ VoWifi ra đời như một sự tất yếu của việc phát triển ứng dụng VoIPtrên nền mạng WLAN VoWifi không chỉ mang những lợi điểm mà VoIP có như hiệusuất sử dụng băng thông, đảm bảo chất lượng đàm thoại so với công nghệ thoại truyềnthống mà còn thể hiện tính di động và tiện dụng của mình Tuy nhiên, do môi trườngtruyền dẫn được sử dụng lại là môi trường vô tuyến mở cho nên nguy cơ về mất antoàn thông tin của VoWifi lại rất đáng phải lưu tâm

Với ham muốn tìm hiểu sâu về vấn đề này tôi đã quyết định lựa chọn đề tài đồ ántốt nghiệp là “An toàn thông tin trong VoWifi” Đồ án được trình bày trong 3 chươngnhư sau:

 Chương I: Tổng quan về VoWifi Giới thiệu một cái nhìn hệ thống về lịch

sử công nghệ truyền thông tín hiệu thoại, cũng như sự ra đời, ưu khuyếtđiểm của mạng WLAN Mô hình kết nối VoWifi trong hạ tầng mạngWLAN

 Chương II: Các nguy cơ và biện pháp đảm bảo an toàn trong VoWifi Sẽtrình bày về các thuật ngữ và vấn đề liên quan, đồng thời đi sâu vào tìm hiểucác nguy cơ có thể xảy đến với hệ thống VoWifi, phân tích và đưa ra biệnpháp khắc phục

 Chương III: Thực trạng và tiềm năng ứng dụng Trình bày về thực trạngtriển khai VoWifi trên thế giới hiện nay như thế nào, những lợi ích mà nómang lại cũng như những vấn đề vẫn còn đang phải đối mặt Cuối cùng làđánh giá khả năng ứng dụng tại thị trường Việt Nam

Do trình độ và thời gian có hạn nên không thể tránh khỏi những sai sót, tôi rấtmong nhận được sự phản hồi và góp ý từ thầy cô và các bạn để có thể bổ sung vốnhiểu biết của mình Mọi liên lạc xin gửi về theo hòm thư: ngoc.dn@hotmail.com hay

thông qua portal http://sites.google.com/site/daonhungoc/ Cuối cùng em xin chânthành cảm ơn sự giúp đỡ và hướng dẫn hết sức tận tình của thầy giáo ThS NguyễnVăn Đát cùng quý thầy cô bộ môn Mạng viễn thông trong thời gian em làm đồ án

Sinh viên thực hiện

Đào Như Ngọc

CHƯƠNG I: TỔNG QUAN VỀ VoWIFI

VoWifi thực chất là sự kết hợp của hai công nghệ VoIP và WLAN Hay nóichính xác hơn, VoWifi là công nghệ truyền thoại qua môi trường không dây wifidựa trên nền giao thức lớp 3 IP VoWifi không thực sự là một cái gì đó hoàn toànmới mẻ, nhưng sự kết hợp giữa VoIP và WLAN thì mới chỉ được nói đến nhiềutrong thời gian gần đây Sự phát triển ngày càng nhanh cùng với hạ tầng mạng ngàycàng hoàn thiện của WLAN đã tạo tiền đề để VoWifi ra đời và lớn mạnh VoWifitận dụng hầu hết những cái gì sẵn có của WLAN và VoIP để hoạt động, ngoại trừthiết bị đầu cuối VoWifi là giải pháp toàn diện về vấn đề lưu lượng, giá thành cũngnhư vẫn đảm bảo tính năng di động và chất lượng dịch vụ đối với tín hiệu thoại.Trong chương này, chúng ta sẽ tìm hiểu về các mô hình truyền dẫn tín hiệuthoại, sự ra đời của WLAN và VoWifi cũng như mô hình thoại qua VoWifi như thếnào

1.1 Các mô hình truyền dẫn tín hiệu thoại

Nhu cầu trao đổi thông tin trong xã hội loài người là rất lớn, trong đó nhu cầuđàm thoại chiếm một ý nghĩa vô cùng quan trọng Mạng viễn thông ra đời trướctiên nhằm phục vụ nhu cầu này Truyền thông tín hiệu thoại đã trải qua rất nhiềumốc phát triển quan trọng, từ dạng tín hiệu tương tự sang tín hiệu số, từ chuyểnmạch kênh sang chuyển mạch gói, từ thoại cố định sang thoại di động Tất cảnhững sự chuyển biến đó nhằm một mục đích duy nhất là phục vụ nhu cầu ngàycàng tăng cao và khắt khe hơn của con người

1.1.1 Thoại qua mạng PSTN và ISDN

Trong kiến trúc mạng PSTN, thiết bị đầu cuối khách hàng CPE điển hìnhthường là một máy điện thoại cố định Nó được kết nối đến tổng đài nội hạt thôngqua đôi dây dành riêng (cáp xoắn đôi) Phần mạng lưới bao gồm từ người sử dụngđến tổng đài nội hạt được gọi là mạng truy nhập hay local loop Bởi vì có rất nhiềuđiện thoại (thường trong cùng một khu vực địa lý) kết nối tới tổng đài nội hạt, nêncuộc gọi giữa những thuê bao này có thể được thực hiện ngay trong phạm vi phầnmạng truy nhập

Tuy nhiên, với những cuộc gọi đi xa hơn, tổng đài đường dài được sử dụng,tổng đài nội hạt kết nối đến tổng đài đường dài thông qua đường dây trung kế mà

có khả năng phục vụ được một lượng lớn các kết nối Khi tổng đài nội hạt xác địnhrằng đích cuộc gọi không kết nối trực tiếp đến nó, nó sẽ định tuyến cuộc gọi ra bên

ngoài theo đường dây trung kế về tổng đài đường dài Tổng đài đường dài sau đó sẽđịnh tuyến cuộc gọi đến đích Với các cuộc gọi đi quốc tế cơ chế hoạt động cũngtương tự như vậy, tổng đài đường dài sẽ chuyển tiếp cuộc gọi đến tổng đài quágiang, kết nối ra cửa ngõ quốc tế.

Trong mạng ISDN, ngoài cung cấp dịch vụ thoại nó còn có khả năng cung cấpnhiều dịch vụ tích hợp khác như fax, truyền dữ liệu, …Tuy nhiên, về cơ bản, cáchthức hoạt động không có nhiều sự khác biệt so với thoại qua mạng PSTN

Hình 1.1 Kết nối cuộc gọi đường dài

Thoại qua mạng PSTN, ISDN có nhiều nhược điểm như thiết bị đầu cuối khôngtích hợp được nhiều chức năng, đầu tư cơ sở hạ tầng tốn kém, không giải quyếtđược vấn đề bùng nổ về lưu lượng, không tận dụng được hệ thống mạng máy tính

mà hiện nay đang rất phát triển Do đó, giá thành đến tay người tiêu dùng còntương đối cao Phương thức thoại qua giao thức IP ra đời đã khắc phục được về cơbản những nhược điểm trên

1.1.2 Thông tin di động

Từ khi ra đời cho đến nay thông tin di động đã trở thành một ngành công nghiệpviễn thông rất phát triển và vô cùng quan trọng Để đáp ứng các nhu cầu về chấtlượng và dịch vụ ngày càng cao, thông tin di động không ngừng được cải tiến Đếnnay thông tin di động đã trải qua nhiều thế hệ như thế hệ thứ nhất, thứ hai, thứ bavới thuật ngữ viết tắt lần lượt là 1G, 2G, 3G và vẫn còn đang được tiếp tục

Các hệ thống 1G đảm bảo truyền dẫn tương tự dựa trên FDM với kết nối mạnglõi dựa trên TDM Thí dụ về 1G là AMPS được sử dụng trên toàn nước Mỹ vàNMT hiện đang còn được sử dụng tại nhiều nước Tây Âu Thông thường các côngnghệ 1G được triển khai tại một nước hoặc nhóm các nước, không được tiêu chuẩn

hóa bởi các cơ quan tiêu chuẩn quốc tế và không có ý định dành cho sử dụng quốctế.

Khác với 1G, các công nghệ 2G được thiết kế để triển khai quốc tế Thiết kế 2Gnhấn mạnh hơn lên tính tương thích, khả năng chuyển mạch phức tạp và sử dụngtruyền dẫn tiếng số hóa trên vô tuyến Tính năng cuối cùng chính là yêu cầu đốivới 2G Các thí dụ điển hình về hệ thống 2G là GSM và CDMAOne

Một hệ thống thông tin di động để có thể được gọi là 3G phải đáp ứng một sốcác yêu cầu sau được ITU đề ra như hoạt động trong các tần số ấn định cho dịch vụ3G, có khả năng cung cấp các dịch vụ số liệu mới cho người sử dụng bao gồm cả

đa phương tiện, độc lập với công nghệ giao diện vô tuyến Phải hỗ trợ truyền dẫn sốliệu di động tại 144 kbps cho người sử dụng di động tốc độ cao và truyền dẫn sốliệu lên đến 2 Mbps cho người sử dụng cố định hoặc di động tốc độ thấp Phải cungcấp các dịch vụ số liệu gói, đảm bảo tính độc lập của mạng lõi với giao diện vôtuyến

Hiện nay, một số hệ thống 2G đang tiến hóa đến ít nhất một phần các yêu cầutrên Điều này dẫn đến một hậu quả không mong muốn: làm sai lệch thuật ngữ “cácthế hệ” Chẳng hạn GSM với hỗ trợ số liệu kênh được phân loại như hệ thống 2Gthuần túy Khi tăng cường thêm GPRS, nó trở nên phù hợp với nhiều tiêu chuẩn3G Dẫn đến nó không hẳn là 2G cũng như 3G mà là loại “giữa hai thế hệ”, vì thế

hệ thống GSM được tăng cường GPRS hiện nay được gọi là hệ thống 2.5G, trongkhi thực tế vẫn thuộc loại 2G, ít nhất là từ phương diện công nghệ truyền dẫn vôtuyến

Thông tin di động thế hệ thứ bốn 4G được dự đoán sẽ là sự hội tụ của các hệthống truy nhập vô tuyến băng rộng không dây như WLAN, WiMAX vào các hệthống thông tin di động Các mạng thông tin di động thê hệ bốn sẽ là các mạng toàn

IP Mạng truy nhập vô tuyến cho thế hệ bốn cũng sẽ hoàn toàn mới để đáp ứngđược nhu cầu truy nhập băng rộng OFDMA là công nghệ đa truy nhập vô tuyếnđầy triển vọng cho thế hệ thứ bốn

1.1.3 VoIP

Mạng điện thoại chuyển mạch kênh truyền thống đã bộc lộ rõ nhược điểm là sửdụng quá lãng phí nguồn tài nguyên băng thông Cùng với sự phổ biến ngày càngrộng rãi của các mạng trên nền IP, công nghệ VoIP ra đời đã giải quyết được bàitoán về hiệu suất sử dụng băng thông, đồng thời vẫn đảm bảo chất lượng đàm thoại.Thay vì sử dụng một kênh logic cố định để mang thông tin thoại thì VoIP cắt chúngthành các gói tin và chuyển qua mạng IP, nhờ vậy mà băng thông của kênh logic

được chia sẻ với các dạng dữ liệu khác, và giá thành chi phí cho một cuộc gọi sẽnhỏ hơn nhiều so với điện thoại truyền thống.

Sự ra đời và phát triển nhanh của VoIP là động lực để các tổ chức chuẩn hóaquốc tế liên quan như ITU-T hay IETF hoàn thiện các chuẩn của mình Có rấtnhiều chuẩn hỗ trợ VoIP như H.225, H.245 (cho quản lý); H.261, H.263 (cho mãhóa video); G.711, G.723, G.729 (cho mã hóa thoại) Để báo hiệu có hai chuẩn cơbản là H.323 của ITU-T và SIP của IETF

Công nghệ VoIP có khả năng cung cấp nhiều dịch vụ phong phú trên nền giaothức IP như Thoại thông minh, điện thoại qua web, truy nhập các trung tâm trả lờiđiện thoại tự động, dịch vụ fax qua IP, dịch vụ tính cước cho thuê bao bị gọi, …Theo các nghiên cứu của ETSI, cấu hình chuẩn của mạng điện thoại IP có thểbao gồm các phần tử sau:

 Thiết bị đầu cuối kết nối với mạng IP

 Thiết bị đầu cuối kết nối với mạng chuyển mạch kênh

Trong các kết nối khác nhau cấu hình mạng có thể thêm hoặc bớt một số phần

tử trên

Hình 1.2 Cấu hình mạng điện thoại VoIP

Cấu hình chung của mạng điện thoại IP gồm các phần tử Gatekeeper, Gateway,các thiết bị đầu cuối thoại và máy tính Mỗi thiết bị đầu cuối giao tiếp với một

Gatekeeper và giao tiếp này giống với giao tiếp giữa thiết bị đầu cuối và Gateway.Mỗi Gatekeeper sẽ chịu trách nhiệm quản lý một vùng, nhưng cũng có thể nhiềuGatekeeper chia nhau quản lý một vùng trong trường hợp một vùng có nhiềuGatekeeper.

Trong vùng quản lý của các Gatekeeper, các tín hiệu báo hiệu có thể đượcchuyển tiếp qua một hoặc nhiều Gatekeeper Do đó các Gatekeeper phải có khảnăng trao đổi các thông tin với nhau khi cuộc gọi liên quan đến nhiều Gatekeeper

1.1.3.1 Thiết bị đầu cuối

Thiết bị đầu cuối là một nút cuối trong cấu hình của mạng điện thoại IP Nó cóthể được kết nối với mạng IP sử dụng một trong các giao diện truy nhập Một thiết

bị đầu cuối có thể cho phép một thuê bao trong mạng IP thực hiện cuộc gọi tới mộtthuê bao khác trong mạng chuyển mạch kênh Các cuộc gọi đó sẽ được Gatekeeper

mà thiết bị đầu cuối hoặc thuê bao đa đăng kí giám sát

Một thiết bị đầu cuối có thể gồm những khối chức năng sau:

 Chức năng đầu cuối: Thu và nhận các bản tin

 Chức năng bảo mật kênh truyền tải: Đảm bảo tính bảo mật của kênh báohiệu kết nối với thiết bị đầu cuối

 Chức năng xác nhận: Thiết lập đặc điểm nhận dạng khách hàng, thiết bịhoặc phần tử mạng, thu thập các thông tin dùng để xác định bản tin báohiệu hay bản tin chứa thông tin đã được truyền hoặc nhận chưa

 Chức năng quản lý: Giao tiếp với hệ thống quản lý mạng

 Chức năng ghi các bản tin sử dụng: Xác định hoặc ghi lại các thông tin về

sự kiện (truy nhập, cảnh báo) và tài nguyên

 Chức năng báo cáo các bản tin sử dụng: Báo cáo các bản tin đã được sửdụng ra thiết bị ngoại vi

1.1.3.2 Mạng truy nhập IP

Mạng truy nhập IP cho phép thiết bị đầu cuối, Gateway, Gatekeeper truy nhậpvào mạng IP thông qua cơ sở hạ tầng sẵn có Một vài loại giao diện truy nhập IPđược sử dụng trong cấu hình chuẩn của mạng IP như: PSTN, ISDN, LAN, GSM,DECT, … Đặc điểm của các giao diện này có thể gây ảnh hưởng đến chất lượng vàtính bảo mật của cuộc gọi điện thoại IP

1.1.3.3 Gatekeeper

Gatekeeper là phần tử của mạng chịu trách nhiệm quản lý việc đăng ký, chấpnhận và trạng thái của các thiết bị đầu cuối và Gateway Gatekeeper có thể tham giavào việc quản lý vùng, xử lý cuộc gọi và báo hiệu cuộc gọi Nó xác định đường dẫn

để truyền báo hiệu cuộc gọi và nội dung đối với mỗi cuộc gọi Gatekeeper có thểbao gồm các khối chức năng sau:

 Chức năng chuyển đổi địa chỉ E.164 (Số E.164 là số điện thoại tuân thủtheo cấu trúc và kế hoạch đánh số được mô tả trong khuyến nghị E.164của ITU): Chuyển đổi địa chỉ E.164 sang địa chỉ IP và ngược lại đểtruyền các bản tin, nhận và truyền địa chỉ IP bao gồm các mã lựa chọnnhà cung cấp

 Chức năng dịch địa chỉ kênh thông tin: Nhận và truyền địa chỉ IP của cáckênh truyền tải thông tin, bao gồm cả mã lựa chọn nhà cung cấp

 Chức năng dịch địa chỉ kênh: Nhận và truyền địa chỉ IP phục vụ cho báohiệu, bao gồm cả mã lựa chọn nhà cung cấp

 Chức năng giao tiếp giữa các Gatekeeper: Thực hiện trao đổi thông tingiữa các Gatekeeper

 Chức năng đăng ký: Cung cấp các thông tin cần đăng ký khi yêu cầu dịchvụ

 Chức năng xác nhận: Thiết lập các đặc điểm nhận dạng của khách hàng,thiết bị đầu cuối hoặc các phần tử mạng

 Chức năng bảo mật kênh thông tin: Đảm bảo tính bảo mật của kênh báohiệu kết nối Gatekeeper vơi thiết bị đầu cuối

 Chức năng tính cước: Thu thập thông tin để tính cước

 Chức năng điều chỉnh tốc độ và giá cước: Xác định tốc độ và giá cước

 Chức năng quản lý: Giao tiếp với hệ thống quản lý mạng

 Chức năng ghi các bản tin sử dụng: Xác định hoặc ghi lại các thông tin về

sự kiện (truy nhập, cảnh báo) và tài nguyên

 Chức năng báo cáo các bản tin sử dụng: Báo cáo các bản tin đã được sửdụng ra thiết bị ngoại vi

1.1.3.4 Gateway

Gateway là một phần tử không nhất thiết phải có trong một giao tiếp H.323 Nóđóng vai trò làm phần tử cầu nối và chỉ tham gia vào một cuộc gọi khi có sựchuyển tiếp tưc mạng H.323 (ví dụ như mạng LAN hay mạng Internet) sang mạngphi H.323 (ví dụ mạng chuyển mạch kênh hay PSTN) Một Gateway có thể kết nốivật lý với một hay nhiều mạng IP hay với một hay nhiều mạng chuyển mạch kênh.Một Gateway có thể bao gồm: Gateway báo hiệu, Gateway truyền tải kênh thoại,Gateway điều khiển truyền tải kênh thoại Một hay nhiều chức năng này có thể thựchiện trong một Gatekeeper hay một Gateway khác

Gateway báo hiệu SGW: Cung cấp kênh báo hiệu giữa mạng IP và mạng chuyển

mạch kênh Gateway báo hiệu là phần tử trung gian chuyển đổi giữa báo hiệu trong

mạng IP (ví dụ H.323) và báo hiệu trong mạng chuyển mạch kênh (ví dụ R2,CCS7) Gateway báo hiệu có các chức năng sau:

 Chức năng kết cuối các giao thức điều khiển cuộc gọi

 Chức năng kết cuối báo hiệu từ mạng chuyển mạch kênh: Phối hợp hoạtđộng với các chức năng báo hiệu của Gateway điều khiển truyền tải kênhthoại

 Chức năng báo hiệu: Chuyển đổi báo hiệu giữa mạng IP với báo hiệumạng chuyển mạch kênh khi phối hợp hoạt động với Gateway điều khiểntruyền tải kênh thoại

 Chức năng giao diện mạng chuyển mạch gói: Kết cuối mạng chuyểnmạch gói

 Chức năng bảo mật kênh báo hiệu: Đảm bảo tính bảo mật của kênh báohiệu kết nối với thiết bị đầu cuối

 Chức năng quản lý: Giao tiếp với hệ thống quản lý mạng

 Chức năng ghi các bản tin sử dụng: Xác định hoặc ghi lại các thông tin về

sự kiện (truy nhập, cảnh báo) và tài nguyên

 Chức năng báo cáo các bản tin sử dụng: Báo cáo các bản tin đã được sửdụng ra thiết bị ngoại vi

Gateway truyền tải kênh thoại MGM: Cung cấp phương tiện để thực hiện chức

năng chuyển đổi mã hóa Nó sẽ chuyển đổi giữa các mã hóa trong mạng IP với các

mã hóa truyền trong mạng chuyển mạch kênh Gateway truyền tải kênh thoại baogồm các khối chức năng sau:

 Chức năng chuyển đổi địa chỉ kênh thông tin: Cung cấp địa chỉ IP chocác kênh thông tin truyền và nhận

 Chức năng chuyển đổi luồng: Chuyển đổi giữa các luông thông tin giữamạng IP và mạng chuyển mạch kênh bao gồm việc chuyển đổi mã hóa vàtriệt tiếng vọng

 Chức năng dịch mã hóa: Định tuyến các luồng thông tin giữa mạng IP vàmạng chuyển mạch kênh

 Chức năng giao diện với mạng chuyển mạch kênh: Kết cuối và điềukhiển các kênh mang thông tin từ mạng chuyển mạch kênh

 Chức năng chuyển đổi kênh thông tin giữa mạng IP và mạng chuyểnmạch kênh: Chuyển đổi giữa kênh mang thông tin thoại, fax, dữ liệu củamạng chuyển mạch kênh và các gói dữ liệu trong mạng IP Nó cũng thựchiện các chức năng xử lý tín hiệu thích hợp như: nén tín hiệu thoại, triệttiếng vọng, mã hóa, chuyển đổi tín hiệu fax và điều tiết tốc độ modemtương ứng Thêm vào đó nó còn thực hiện việc chuyển đổi giữa tín hiệu

mã đa tần DTMF trong mạng chuyển mạch kênh và các tín hiệu thích hợptrong mạng IP khi các bộ mã hóa tín hiệu thoại không mã hóa tín hiệu mã

đa tần DTMF Chức năng chuyển đổi kênh thông tin giữa mạng IP vàmạng chuyển mạch kênh cũng có thể thu thập thông tin về lưu lượng gói

và chất lượng kênh đối với mỗi cuộc gọi để sử dụng trong việc báo cáochi tiết và điều khiển cuộc gọi

 Chức năng quản lý: giao tiếp với hệ thống quản lý mạng

 Chức năng ghi các bản tin sử dụng: Xác định hoặc ghi lại các thông tin về

sự kiện (truy nhập, cảnh báo) và tài nguyên

 Chức năng báo cáo các bản tin sử dụng: Báo cáo các bản tin đã được sửdụng ra thiết bị ngoại vi

Gateway điều khiển truyền tải kênh thoại MGWC: Đóng vai trò phần tử kết nối

giữa Gateway báo hiệu và Gatekeeper Nó cung cấp chức năng xử lý cuộc gọi choGateway, điều khiển Gateway truyền tải kênh thoại, nhận thông tin báo hiệu củamạng chuyển mạch kênh từ Gateway báo hiệu và thông tin báo hiệu của mạng IP từGatekeeper Gateway điều khiển truyền tải kênh thoại bao gồm các chức năng sau:

 Chức năng truyền và nhận các bản tin

 Chức năng xác nhận: Thiết lập các đặc điểm nhận dạng của người sửdụng, thiết bị đầu cuối hoặc các phần tử mạng

 Chức năng điều khiển cuộc gọi: Lưu giữ các trạng thái cuộc gọi củaGateway Chức năng này bao gồm tất cả các điều khiển kết nối logic củaGateway

 Chức năng báo hiệu: Chuyển đổi giữa báo hiệu mạng IP và báo hiệumạng chuyển mạch kênh trong quá trình phối hợp hoạt động với Gatewaybáo hiệu

 Chức năng quản lý: Giao tiếp với hệ thống quản lý mạng

 Chức năng ghi các bản tin sử dụng: Xác định hoặc ghi lại các thông tin về

sự kiện (truy nhập, cảnh báo) và tài nguyên

 Chức năng báo cáo các bản tin sử dụng: Báo cáo các bản tin đã được sửdụng ra thiết bị ngoại vi

Sự thành công của VoIP mang lại một cơ hội lớn cho các nhà sản xuất thiết bị

và cung cấp dịch vụ viễn thông Tuy nhiên, việc thực thi VoIP trên thực tế còn phụthuộc vào rất nhiều yếu tố khác nhau như công nghệ, cơ sở hạ tầng, phần mềm, hệthống quản lý, …Do đặc điểm của mạng gói là tận dụng tối đa việc sử dụng băngthông mà ít quan tâm tới thời gian trễ lan truyền và xử lý trên mạng, trong khi tínhiệu thoại lại là dạng thời gian thực, cho nên cần bổ sung vào mạng những phần tửmới và thiết kế các giao thức phù hợp để có thể đảm bảo chất lượng dịch vụ chongười dùng

Bảng sau giới thiệu một số phương pháp mã hóa thoại trong VoIP.

(ADPCM) 32

20 (5 ms) 110.4 kbps 0.58

80 (20 ms) 51.6 kbps 124G.728

(LD-CELP) 16

10 (5 ms) 94.4 kbps 0.68

40 (20 ms) 35.6 kbps 18G.729

WLAN chỉ thật sự xuất hiện vào những năm đầu của thập kỉ 90, có tốc độ traođổi dữ liệu thấp và dành riêng cho một số ứng dụng đặc biệt Các công ty nhưNCR, Proxim, Photonics và Spectix lần đầu tiên giới thiệu sản phẩm WLAN có tốc

độ trao đổi dữ liệu chỉ khoảng 1hay 2 Mbps Các thiết bị đầu cuối WLAN thường

có những chức năng riêng biệt như máy quét mã vạch trong các nhà kho hay cơ sởsản xuất chẳng hạn Rất nhiều những nguyên lý cơ bản vẫn được giữ lại cho đếnngày nay

Những chuẩn đầu tiên của 802.11 cho mạng WLAN được IEEE thông qua vàonăm 1997 với tốc độ trao đổi dữ liệu từ 1 dến 2Mbps, cũng chính vì nhược điểmnày đã làm cho WLAN không được sử dụng rộng rãi Phải đến khi chuẩn 802.11b

ra đời năm 1999, nâng tốc độ lên 11Mbps thì thị trường đầy tiềm năng này mớithực sự bùng nổ Hàng trăm triệu thiết bị WLAN đã được bán ra, với các tên tuổilớn như Linksys (hiện đã được Cisco mua lại), Netgear hay D-Link Tiếp sau đó là

sự ra đời của các chuẩn kế tiếp như 802.11a/g và sắp tới là chuẩn 802.11n cung cấptốc độ trao đổi dữ liệu lên đến hàng trăm Mbps Bên cạnh bộ chuẩn về tốc độ dữliệu này, IEEE còn thành lập các nhóm nghiên cứu cho những khía cạnh khác nhưđảm bảo an ninh mạng, chất lượng dịch vụ, khả năng roaming, …Hiện vẫn đangtrong quá trình hoàn thiện

Tên chuẩn của

IEEE

Ghi chú

(thông tin tính đến thời điểm tháng 06/2008)

IEEE 802.11 – 2007 Là bản sửa đổi của chuẩn 802.11 – 1999 trước đây Cập

nhật các tiêu chuẩn chung và mới nhất cho họ 802.11.IEEE 802.11a – 1999 Sử dụng OFDM thay cho DSSS Cung cấp tốc độ lên đến

54 Mbps Hoạt động trong băng tần U-NII 5 GHz Khôngtương thích với chuẩn 802.11 cũ

IEEE 802.11b – 1999

Sử dụng HR/DSSS thay cho DSSS Cung cấp tốc độ lênđến 11 Mbps Hoạt động trong băng tần ISM 2.4 GHz.Tương thích với chuẩn cũ 802.11

IEEE 802.11c – 1998 Cập nhật các tiêu chuẩn bridging IEEE 802.1D cho

802.11 Đã được bổ sung vào phần 6.5.4 của chuẩn IEEE802.1D – 2004

IEEE 802.11d – 2001 Cung cấp các tiêu chuẩn để 802.11 có thể hoạt động phù

hợp với nhiều quốc gia hay khu vực

IEEE 802.11e – 2005 Định nghĩa các phương thức điều khiển lớp MAC nhằm

cung cấp QoS cho các ứng dụng thoại và đa phương tiệnqua mạng 802.11

IEEE 802.11F – 2003 Nhằm tiêu chuẩn hóa cách thức tái kết hợp giữa các AP

trong mạng WLAN Khuyến nghị sử dụng giao thứcIAPP

IEEE 802.11g – 2003 Hỗ trợ cả DSSS và HR/DSSS, thích ứng điều chế OFDM

cho băng tần 2.4 GHz Cung cấp tốc độ lên đến 54 Mbps

Sử dụng được trên hai băng tần 5 GHz U-NII và 2.4 GHzISM Tương thích với các chuẩn 802.11b/a

IEEE 802.11h – 2003 Mở rộng khả năng điều khiển và quản lý mạng cho lớp

PHY và lớp MAC Cung cấp các cơ chế DFS cho việcchọn lựa tần số linh động và TPS điều khiển công suấtphát

IEEE 802.11i – 2004 Một trong các mở rộng quan trọng nhất của chuẩn gốc

IEEE 802.11 Sử dụng giao thức mã hóa CCMP/AES vàtùy chọn TKIP Yêu cầu xác thực bằng IEEE 802.1Xhoặc PSK

IEEE 802.11j – 2004 Mở rộng cho lớp PHY và MAC hoạt động trong các băng

tần 4.9 – 5 GHz của Nhật (và Mỹ)

IEEE P802.11k Cho phép sử dụng TPC ngoài băng tần 5 GHz, báo cáo

thống kê về STA như tỉ số SNR, quản lý kênh, tính toánnguồn tài nguyên vô tuyến Hiện vẫn chưa được thôngqua

IEEE P802.11n Sử dụng công nghệ MIMO kết hợp với OFDM cho tốc độ

trao đổi dữ liệu có thể lên tới 600 Mbps Hiện vẫn chưađược thông qua

IEEE P802.11p Xác định các tiêu chuẩn trao đổi dữ liệu cho các thiết bị

di chuyển nhanh lên tới 200 Km/h ở khoảng cách 1 Kmtrong các băng tần ITS được cấp phép Hiện vẫn chưađược thông qua

IEEE P802.11r Cung cấp các tiêu chuẩn roaming nhanh giữa các BSS

trong ESS Hiện vẫn chưa được thông qua

IEEE P802.11s Xác định tiêu chuẩn cho các mạng có topo dạng lưới

ESS Hiện vẫn chưa được thông qua

IEEE P802.11T Cung cấp các tham số và phương pháp tính toán hiệu

năng của các thiết bị WLAN, bao gồm cả khả năng dựđoán Hiện vẫn chưa được thông qua

IEEE P802.11u Cung cấp các tiêu chuẩn để chuyển tiếp kết nối với các

mạng khác như WiMAX hay mạng điện thoại tế bào.Hiện vẫn chưa được thông qua

IEEE P802.11v Cung cấp khả năng quản lý các thiết bị STA từ xa tập

trung qua SNMP Hiện vẫn chưa được thông qua

IEEE P802.11w Cung cấp khả năng bảo mật cho việc trao đổi các khung

quản lý như hủy xác thực hay hủy kết hợp mà thực tế rất

dễ bị lợi dụng để tấn công mạng Hiện vẫn chưa đượcthông qua

Bảng 2 Các tiêu chuẩn của IEEE cho họ 802.11

Chuẩn 802.11 định nghĩa ba kiểu mô hình mạng WLAN được biết đến với têngọi các tập dịch vụ Nhưng trên thực tế, để phù hợp với nhu cầu triển khai mạnglưới, các nhà sản xuất đã xây dựng thêm các topo mạng không theo chuẩn mà IEEE

đã đưa ra Trong phần tiếp theo chúng ta sẽ lần lượt tìm hiểu những mô hình trên

Hình 1.3 Hệ thống DS

Một DS bao gồm hai thành phần chính:

 Môi trường phân phối DSM (DS Medium): Môi trường vật lý logic đểkết nối các AP lại với nhau

 Các dịch vụ hệ thống DSS (DS Service): Các dịch vụ được xây dựng trên

AP, thường dưới dạng phần mềm

Đối với WDS, thông thường AP sẽ có hai card mạng không dây hoạt động trênhai băng tần khác nhau (ví dụ 2.4 GHz và 5 GHz), một để các STA kết nối vào vàmột để kết nối giữa các AP với nhau (có thể trực tiếp hoặc gián tiếp, đây chính làmôi trường phân phối DSM nhưng sử dụng kết nối vô tuyến)

1.2.2 SSID (Service Set Identifier)

Nhận dạng tập dịch vụ SSID là tên của mạng được sử dụng phân biệt các mạng802.11 Thuật ngữ SSID có vai trò tương tự như workgroup trong môi trườngWindows SSID được cấu hình trên các card không dây ở cả AP và STA SSID làmột chuỗi gồm 32 kí tự, có phân biệt chữ hoa chữ thường Hầu hết các AP ngàynay đều có khả năng ẩn SSID Tuy nhiên, nó không được xem như một biện phápbảo mật bởi vì kẻ tấn công có thể tìm SSID một cách rất dễ dàng cho dù nó đã bị ẩnđi

1.2.3 BSSID (Basic SSID)

Giá trị 48 bit địa chỉ MAC của card mạng không dây trong một AP được gọi làBSSID BSSID là giá trị được nhà sản xuất thiết lập cho mỗi card mạng từ trước,

và về lý thuyết không có khả năng thay đổi được BSSID đôi khi cũng được sửdụng để nhận biết các BSS với nhau

1.2.4 ESSID (Extend SSID)

Khái niệm ESSID được sử dụng trong ESS Khi các AP tham gia vào cùng mộtESS, chúng sẽ được thiết lập một giá trị ESSID ESSID có vai trò như tên mạng,tương tự như SSID Tuy nhiên, các AP kết nối với nhau thông qua DSM khôngnhất thiết phải có cùng SSID vẫn được coi là thuộc một ESS ESSID chỉ có ý nghĩatượng trưng

1.2.5 Các tập dịch vụ theo chuẩn

Các tập dịch vụ này được quy định trong chuẩn IEEE 802.11 bao gồm BSS,ESS và IBSS

Hình 1.4 Mô hinh ESS và BSS

1.2.5.1 BSS (Basic Service Set)

Tập dịch vụ cơ bản BSS được coi là nền tảng xây dựng nên các topo mạng802.11 BSS bao gồm một AP và ít nhất một STA kết nối đến AP đó Thiết bị STAthực hiện toàn bộ quá trình trao đổi dữ liệu thông qua AP Thông thường, AP sẽđược kết nối với DSM qua giao diện Ethernet, nhờ đó mà STA có thể truy nhậpđược đến các nguồn tài nguyên trong hệ thống mạng Trong trường hợp hai STAthuộc một BSS muốn trao đổi thông tin với nhau thì chúng vẫn phải được chuyểntiếp thông qua AP

1.2.5.2 ESS (Extend Service Set)

Một ESS bao gồm hai hay nhiều BSS được kết nối với nhau thông qua môitrường DSM Thường thì các BSS này sẽ chồng lấn một phần lên nhau (khoảng từ

15 đến 20%) để cung cấp khả năng roaming cho STA, tuy nhiên điều này là khôngbắt buộc Trong một số thiết kế, các BSS trong một ESS chồng lấn gần như hoàntoàn lên nhau, nhưng chúng được cấu hình hoạt động ở những kênh khác nhaunhằm tăng cường băng thông cho thiết bị STA

1.2.5.3 IBSS (Independent BSS)

Trong mô hình IBSS không có sự xuất hiện của AP, các STA tự thiết lập kết nối

để trao đổi thông tin với nhau IBSS còn có một số tên gọi khác như mạng pear hay ad-hoc Tất cả các STA khi tham gia vào IBSS sẽ cùng sử dụng một tênmạng SSID và phải hoạt động trên cùng một băng tần STA đầu tiên khởi tạo IBSS

pear-to-sẽ tạo ra một giá trị BSSID Giá trị BSSID này được gọi là địa chỉ MAC ảo và đượccác STA khác cùng sử dụng cho mục đích trao đổi dữ liệu Kiểu mô hình mạng nàyđược áp dụng rất hạn chế do các nhược điểm về an toàn thông tin và tiêu tốn nănglượng

Hình 1.5 Mô hình IBSS

1.2.6 Các topo không theo chuẩn

Nhằm tạo thuận lợi cho việc triển khai mạng WLAN trong thực tế, các nhà sảnxuất đã xây dựng nên các chế độ khác nhau mà AP có thể được cấu hình, khôngtheo tiêu chuẩn được mô tả trong IEEE 802.11

Chế độ cấu hình duy nhất mà AP có thể tuân theo phù hợp với chuẩn 802.11 làchế độ root Ở chế độ này, AP có vai trò như một cổng kết nối để các STA tham gia

vào hệ thống mạng qua môi trường không dây Ngoài ra, AP cũng có thể được cấuhình theo các chế độ của nhà sản xuất như:

 Chế độ Bridge: Ở chế độ này, hai AP sẽ cùng hoạt động bridge Mô hìnhnày phù hợp trong điều kiện hai văn phòng phải tách rời nhau, ví dụ ở haitòa nhà chẳng hạn Khi đó AP đóng vai trò liên kết mạng hai văn phòngvới nhau qua kết nối wifi Lưu ý, khi này, STA không có khả năng traođổi thông tin với AP

 Chế độ Workgroup Bridge: Ở chế độ này, một AP kết nối với một nhómcác máy tính trong một văn phòng nào đó thông qua giao tiếp Ethernet.Mặt khác AP này được kết nối tới một AP khác hoạt động ở chế độ rootbằng giao tiếp wifi Các máy tính muốn đi ra ngoài nhóm thông qua APnày phải tranh chấp nhau để chiếm dụng kết nối như trong trường hợp nốichung Hub ở mạng Ethernet Dưới góc độ lí thuyết, AP chỉ có vai trò nhưmột STA có card mạng wifi chung cho cả nhóm!

 Chế độ Repeater: Chế độ này được xây dựng nhằm mở rộng phạm vi chephủ sóng wifi của AP trong những trường hợp khó khăn trong việc lắpđặt AP ở vị trí không thuận lợi Chế độ này được khuyến cáo dùng hạnchế, chỉ khi đặc biệt thật cần thiết, bởi vì lãng phí thiết bị mà vùng phủsóng cũng không được mở rộng nhiều

 Chế độ Scanner: Hoạt động theo chế độ này, AP chỉ có nhiệm vụ thu thậpthông tin về tín hiệu wifi trong phạm vi cảm nhận của mình Thường thìchế độ này được AP dùng để tích hợp vào kiến trúc hệ thống phát hiện vàngăn chặn xâm nhập vô tuyến

Cần lưu ý rằng, những chế độ này không được tiêu chuẩn hóa do đó khi triểnkhai thực tế cần chọn thiết bị của cùng một hãng để đảm bảo tính tương thích và ổnđịnh

1.3 Mô hình VoWifi

Mô hình kết nối VoWifi là sự kết hợp của mô hình mạng WLAN và mô hìnhVoIP Trước khi thực hiện một cuộc gọi, STA phải tiến hành xác thực với AP để cóthể tham gia vào mạng WLAN Một khi đã kết nối thành công vào hệ thống mạngrồi lúc này STA được xem như một đầu cuối IP thực thụ trong mô hình thoại VoIP.Mọi chức năng từ thiết lập, duy trì hay giải phóng cuộc gọi đều tuân thủ theo nhữngđặc điểm của công nghệ VoIP đã nêu ra ở trên Tuy nhiên cũng cần phải nói rằng,khi STA thực hiện roaming giữa các AP trong khi vẫn đang duy trì cuộc gọi thì cần

có sự trao đổi thông tin giữa hai AP liên quan này với nhau để cuộc gọi không bịgián đoạn Có thể nói, VoWifi là sự kết hợp mềm dẻo giữa VoIP và WLAN, manglại đầy đủ những lợi điểm của cả hai công nghệ

Hình vẽ sau mô tả sơ đồ chung nhất về hệ thống VoWifi, dựa trên nền mô hìnhVoIP cơ bản.

Hình 1.6 Mô hình tương ứng VoWifi dựa trên mô hình VoIP

1.4 Kết luận Chương I

Trong Chương I chúng ta đã tìm hiểu tổng quan về các mô hình truyền dẫn tínhiệu thoại đã và đang được sử dụng, bao gồm cả mô hình thoại VoIP, cũng nhưxem xét một vài tình huống điển hình cụ thể Các kiểu topo cơ bản trong mạngWLAN và cuối cùng là mô hình VoWifi Chúng ta đã hiểu sơ bộ cách thức kết nốimột cuộc thoại dựa trên công nghệ VoWifi diễn ra như thế nào

Trong Chương tiếp theo chúng ta sẽ đi sâu vào phân tích các nguy cơ cũng nhưbiện pháp phòng chống, đảm bảo an toàn tối đa cho các cuộc thoại qua wifi diễn rathành công

CHƯƠNG II: CÁC NGUY CƠ VÀ BIỆN PHÁP ĐẢM BẢO AN

TOÀN THÔNG TIN TRONG VoWIFI

Không giống như các mạng có dây khác mà có thể bảo vệ được về mặt vật lý,các mạng không dây không bị giới hạn về phạm vi truy nhập trong một tòa nhà, cho

dù trước đó công việc thiết kế, khảo sát vùng che phủ sóng wifi được thực hiện rấttốt Bất kì người nào khi sử dụng một thiết bị thu phát wifi với anten có độ hướngtính cao đều có thể nhận ra sự có mặt của mạng không dây này Chính vì lẽ đó,mạng WLAN luôn luôn tiềm ẩn nhiều nguy cơ tấn công hơn do tính chất môitrường truyền dẫn đặc thù của nó Nhận biết rõ điều này, ngay từ khi ra đời, Ủy ban802.11 của IEEE đã bổ sung một mức bảo vệ tùy chọn cho mạng WLAN nhằm mãhóa quá trình xác thực và dữ liệu truyền dẫn bằng việc sử dụng cơ chế mã hóaWEP WEP ra đời như một sự kì vọng mang lại mức độ an toàn cao cho mạngWLAN, tương đương với các mạng có dây khác Giao thức mã hóa WEP cho phép

mã hóa 64 hay 128 bit ở lớp Liên kết dữ liệu, sử dụng thuật toán RC4 Tuy nhiên,đến đầu năm 2001, một loạt các điểm yếu trong giao thức WEP được cộng đồngnhững người nghiên cứu mã hóa trên thế giới phát hiện Dựa trên các điểm yếu này,

kẻ tấn công có thể vượt mặt WEP dễ dàng để tấn công vào mạng WLAN và sau đó

là toàn bộ hệ thống mạng Do vậy đòi hỏi cần có một cơ chế an toàn hơn WEP,khắc phục được những nhược điểm mà WEP mắc phải Năm 2004, chuẩn IEEE802.11i được thông qua, cũng trong khoảng thời gian đó Wifi Allience đưa ra haiphương thức mã hóa tiên tiến là WPA và WPA2 Cho đến hiện tại, WPA và WPA2

đã chứng minh được sức mạnh của mình trong việc bảo đảm an toàn cho mạngWLAN

Chương này sẽ đề cập đến các khái niệm, thuật ngữ có liên quan, đồng thời tậptrung vào tìm hiểu sâu các nguy cơ và biện pháp đảm bảo an toàn thông tin trongmạng WLAN nói chung cũng như VoWifi nói riêng

2.1 Các thuật ngữ và vấn đề liên quan

Quá trình xác thực và mã hóa dữ liệu đóng vai trò hết sức quan trọng trong việcđảm bảo an toàn thông tin truyền thông Phần này sẽ giới thiệu về các cơ chế xácthực cũng như những phương pháp mã hóa đã và đang được sử dụng cho kết nốiwifi

Hình 2.1 Quét bị động

2.1.1.2 Quét chủ động

Ngoài việc lắng nghe tín hiệu phát ra từ AP, STA còn có thể chủ động tìm kiếm AP

phù hợp bằng cách phát ra các khung yêu cầu probe request Khung probe request này

chứa trường SSID của một mạng nào đó mà STA đang tìm kiếm hay cũng có thể là bất

kì mạng nào (SSID bằng Null) Nếu trường SSID khác Null thì bất kì AP nào khi nghe

được khung probe request này, nếu chứa giá trị SSID tương ứng sẽ trả lời yêu cầu bằng khung probe response Các thông tin trong khung probe response giống như các

thông tin mà STA nhận được từ khung beacon ngoại trừ việc không có trường TIM

Trong trường hợp giá trị SSID của khung probe request là Null thì tất cả các AP khi nghe được khung này đều có thể trả lời bằng khung probe response Tuy nhiên, vì lí

do an ninh, các nhà sản xuất cho phép AP được cấu hình để lờ đi, không trả lời với

những khung probe request loại này.

Nếu STA tìm được nhiều hơn một AP, nó sẽ đánh giá các AP này dựa trên cường

độ tín hiệu và chất lượng tín hiệu (SNR) để chọn ra AP phù hợp nhất có thể kết nối tới.Ngay cả khi đã tham gia vào mạng rồi, STA vẫn tiến hành quét tìm thiết bị, và trênnhiều kênh khác nhau nhằm duy trì một danh sách các AP khả thi để khi cần có thểtiến hành roamming hay tái kết hợp một cách nhanh chóng

Hình 2.2 Quét chủ động

2.1.2 Xác thực

Sau khi thiết bị đã chọn ra một AP phù hợp nhất (thường là dựa trên cường độtín hiệu và tỉ lệ SNR), nó cần thực hiện bước tiếp theo là xác thực Chuẩn IEEE802.11 – 1999 (R2003) định nghĩa hai phương pháp xác thực cơ bản: xác thực Hệthống mở OSA và xác thực khóa chia sẻ SKA Cả hai phương pháp này đều mắcphải những lỗi bảo mất nghiêm trọng khiến cho kẻ tấn công có thể dễ dàng thâmnhập vào hệ thống mạng để theo dõi, phá hoại hay lấy cắp thông tin Sự ra đời củaWPA/WP2 cùng chuẩn IEEE 802.11i – 2004 đã khắc phục được hầu hết nhữngnguy cơ về mất an toàn thông tin kể trên, nếu được cấu hình cài đặt một cách thíchhợp và đúng cách

2.1.2.1 Xác thực Hệ thống mở OSA

Xác thực Hệ thống mở OSA được xem như phương pháp xác thực mặc định củachuẩn IEEE 802.11 thời kì đầu Các bước xác thực được tiến hành như sau:

1 STA truyền một khung xác thực chứa mã chỉ ra rằng phương pháp xác thựcđược sử dụng sẽ là OSA về phía AP.

2 AP sau khi nhận được khung xác thực này sẽ truyền một bản tin ACK báonhận về phía STA

3 Sau đó AP sẽ truyền tiếp một khung xác thực về phía STA để chỉ ra rằng quátrình xác thực là hợp lệ

4 STA sau khi nhận được khung xác thực này sẽ truyền một bản tin ACK báonhận về phía AP Đến đây toàn bộ quá trình xác thực đã thành công!

Hình 2.3 Xác thực Hệ thống mở OSA

Thực chất, OSA luôn luôn báo nhận dương với tất cả các STA muốn kết nối đếnnó! Tuy nhiên, nói như vậy không có nghĩa là việc đảm bảo tính riêng tư cá nhân bịxâm phạm Các thông tin dữ liệu trao đổi giữa STA và AP có thể được mã hóa sửdụng cơ chế WEP Thật đáng tiếc, WEP lại mắc phải quá nhiều yếu điểm, rất dễ bịtấn công Nhưng dù sao nó cũng đã làm tốt sứ mệnh lịch sử của mình, đánh dấumột cái nhìn đúng đắn hơn về khía cạnh an toàn thông tin trong truyền thông, nhất

là với thông tin vô tuyến

2.1.2.2 Xác thực Khóa chia sẻ SKA

Xác thực Khóa chia sẻ SKA sử dụng WEP cho quá trình xác thực WEP cũng cóthể cung cấp mã hóa các MSDU, nhưng ở đây cần chú ý rằng WEP chỉ được xemnhư kỹ thuật nhằm bảo vệ trước các hoạt động nghe lén không mục đích, vô tìnhchứ không có ý nghĩa nhiều đối với các loại hình tấn công có chủ tâm khác DoWEP có rất nhiều điểm yếu, khuyến cáo không nên dùng WEP để mã hóa dữ liệucũng như dùng SKA để xác thực

Khi sử dụng xác thực SKA, cả STA và AP phải dùng chung một khóa WEP APlưu trữ nhiều khóa WEP vì vậy các STA có thể kết nối tới cùng một AP bằng cáckhóa WEP khác nhau Các bước xác thực được tiến hành như sau:

1 Đầu tiên, STA gửi một khung xác thực về phía AP để chỉ ra rằng xác thựcSKA sẽ được sử dụng.

2 AP sau khi nhận được khung xác thực này sẽ gửi bản tin ACK báo nhận vềphía STA

3 Tiếp theo, AP gửi một khung xác thực trong đó có chứa 128 octet dưới dạngcleartext về phía STA

4 STA sau khi nhận được khung xác thực này sẽ gửi bản tin ACK báo nhận vềphía AP

5 STA sẽ mã hóa 128 octet này bằng khóa WEP của mình sau đó gửi chúng vềphía AP trong một khung xác thực tiếp theo

6 AP sau khi nhận được khung xác thực này sẽ gửi bản tin ACK báo nhận vềphía STA

7 AP sẽ giải mã đoạn 128 octet nhận được từ STA và so sánh với 128 octetgốc của minh Nếu chúng giống nhau, AP sẽ trả lời bằng việc gửi một khungxác thực cuối cùng về phía STA để khẳng định xác thực thành công Trườnghợp ngược lại, nếu chúng không trùng khớp, AP sẽ báo xác thực lỗi

8 Bước cuối cùng, STA sau khi nhận được trả lời từ phía AP, sẽ gửi bản tinACK báo nhận

Hình 2.4 Xác thực Khóa chia sẻ SKA

Quá trình xác thực SKA có vẻ phức tạp hơn OSA, song thực tế SKA lại kém antoàn hơn so với OSA! Trong xác thực SKA, WEP được sử dụng Sau khi quá trìnhxác thực thành công, vẫn khóa WEP này lại dùng để mã hóa các khung dữ liệu traođổi giữa AP và STA Còn với xác thực OSA, WEP không được sử dụng cho quátrình xác thực, nhưng WEP có thể được dùng để mã hóa dữ liệu truyền dẫn Vấn đềnảy sinh là ở chỗ, trong quá trình xác thực SKA, AP ban đầu gửi 128 octet dướidạng cleartext về phía STA, sau đó STA sẽ dùng khóa WEP để mã hóa 128 octet

này rồi gửi trả lại về AP Như vậy, nếu kẻ tấn công sử dụng các công cụ nắm bắt vàphân tích gói tin thì có thể dễ dàng lấy được hai đoạn bản tin 128 octet này baogồm cả cleartext và đã được mã hóa Dựa vào đây, việc tìm ra khóa WEP sẽ nhanhchóng và đơn giản hơn nhiều! Tuy nhiên, hiện nay danh giới về sự an toàn giữa haiphương pháp xác thực này gần như đã bị xóa nhòa, bởi vì trên cộng đồng mạnginternet, số lượng các công cụ có chức năng dò tìm khóa WEP xuất hiện rất nhiều.

Kẻ tấn công chỉ mất chưa đến 10 phút đã có thể tìm ra khóa WEP một cách dễdàng, không phân biệt phương pháp xác thực được sử dụng là OSA hay SKA!

2.1.2.3 Xác thực dựa trên IEEE 802.1X/EAP

Chuẩn IEEE 802.1X xác thực theo cổng Các thành phần tham gia vào quá trìnhnày bao gồm Supplicant, Authenticator và Authentication Server Đối với mạngWLAN thì STA đóng vai trò của Supplicant, AP như Authenticator, cònAuthentication Server là một máy chủ có chức năng xác thực ví dụ như RADIUSserver chẳng hạn Trong đó, kết nối giữa Authenticator và Authentication Serverđược xem như là đã được thiết lập an toàn rồi, có thể dùng SSL để trao đổi dữ liệu.Chuẩn IEEE 802.1X sử dụng hai khái niệm: Cổng điều khiển và Cổng không điềukhiển đối với Authenticator Khi tiến hành xác thực, Cổng không điều khiển mở vàSupplicant trao đổi dữ liệu với Authenticator thông qua cổng này Cổng điều khiểnchỉ được mở khi Supplicant đã xác thực thành công, phục vụ cho quá trình thiết lập

và trao đổi khóa, tiếp sau đó là trao đổi dữ liệu IEEE 802.1X cho phép sử dụngnhiều kiểu xác thực khác nhau được biết đến với tên gọi chung Giao thức xác thực

mở rộng EAP Quá trình xác thực dựa trên IEEE 802.1X/EAP diễn ra như sau (cáckhung báo nhận ACK sẽ không được đề cập đến ở đây):

Hình 2.5 Xác thực IEEE 802.1X/EAP

1 STA gửi yêu cầu xác thực tới AP để bắt đầu quá trình

2 AP sau khi nhận được khung yêu cầu xác thực của STA sẽ gửi khung yêucầu nhận dạng về phía STA.

3 STA trả lời bằng khung xác thực chứa thông tin nhận dạng của mình tớiAP

4 AP chuyển tiếp thông tin nhận dạng của STA về cho Máy chủ xác thực

5 Sau khi nhận được những thông tin này, Máy chủ xác thực sẽ yêu cầu cácthông tin xác thực cần thiết trong khung xác thực tiếp theo gửi về AP

6 AP thực hiện chuyển tiếp các yêu cầu này tới STA

7 STA hồi đáp các thông tin xác thực cần thiết gửi về AP

8 AP chuyển tiếp những thông tin này cho Máy chủ xác thực

9 Sau khi kiểm tra các thông tin trên của STA, Máy chủ xác thực sẽ quyếtđịnh STA có được phép tham gia vào mạng hay không bằng việc gửi kếtquả xác thực về cho AP

10.AP thông tin lại cho STA

Trong toàn bộ quá trình này AP đóng vai trò như một cầu nối giữa STA và Máychủ xác thực Mọi thông tin trao đổi đều được thực hiện qua Cổng không điềukhiển Có nhiều kiểu giao thức EAP cho phép được sử dụng như: EAP-MD5,EAP-LEAP, EAP-TLS, TTLS, PEAP, EAP-FAST, trong đó EAP-TLS thườngđược sử dụng Kết thúc quá trình này, Cổng điều khiển được mở, các thiết bị thựchiện công việc trao đổi và thiết lập khóa

Nếu giao thức xác thực EAP trước đó sử dụng là xác thực hai chiều thì khóaPMK sẽ được tạo ra trong bước này Khi ấy, cả STA và Máy chủ xác thực đều biết

rõ về nhau nên thống nhất chung một khóa Khóa này có ý nghĩa trên từng phiênlàm việc và với từng STA Máy chủ xác thực sau đó sẽ tạo ra một bản sao của khóaPMK rồi gửi về AP Nhờ đó, AP và STA đã có chung khóa PMK Trong trườnghợp hệ thống mạng không sử dụng Máy chủ xác thực, khóa PMK sẽ được tạo ra từkhóa tĩnh nhập vào thủ công trước đó, trên cả STA và AP

Bắt tay bốn bước

Quá trình bắt tay bốn bước được thực hiện giữa AP và STA sau khi đã có khóaPMK Quá trình này nhằm tạo ra các khóa PTK và GTK

Đầu tiên, AP tạo ra số ANonce rồi gửi về STA STA sử dụng khóa PMK để sinh

ra khóa PTK, sau đó dùng khóa PTK này kết hợp với số ANonce để tạo ra mã MIC.Mục đích của việc làm này là để AP xác định xem STA thực sự có khóa PMKchính xác không Sau khi tạo ra mã MIC rồi, STA cũng sinh ra số SNonce củamình và gửi về phía AP AP nhận được những thông tin này, dựa vào mã MIC đểkhẳng định rằng STA có cùng khóa PMK giống mình Sau đó AP cũng phải sửdụng khóa PMK của mình để sinh ra khóa PTK, dùng khóa PTK này kết hợp với sốSNonce để tạo ra mã MIC Cũng trong lúc này, AP sử dụng khóa GMK tạo ra khóa

GTK Khóa GTK, mã MIC cùng với số Anonce mới sẽ được mã hóa bằng khóaPTK và gửi về phía STA STA dùng khóa PTK của mình để giải mã, sau đó kiểmtra mã MIC để chắc chắn rằng AP cũng có khóa PMK giống mình Sau đó STAtiến hành cài đặt các khóa PTK và GTK Khóa PTK được dùng để mã hóa các bảntin unicast, có giá trị duy nhất dành cho mỗi STA Khóa GTK được dùng để mã hóacác bản tin multicast, broadcast, có giá trị chung giống nhau cho nhiều STA hợppháp Cuối cùng STA gửi bản tin xác nhận về phía AP AP thực hiện cài đặt khóaphục vụ cho quá trình trao đổi thông tin tiếp sau Từ lúc này, mọi dữ liệu trao đổiunicast giữa AP và STA sẽ được mã hóa bằng khóa PTK, với multicast vàbroadcast được mã hóa bằng khóa GTK.

Hình 2.6 Quá trình bắt tay bốn bước

2.1.2.4 Hủy xác thực

Khung hủy xác thực thuộc loại khung thông báo, có nghĩa là phía nhận không

có khả năng từ chối thông tin này Khung hủy xác thực mang thông tin về địa chỉSTA phát ra nó và địa chỉ của AP mà hiện tại nó đang kết nối tới Một khi khunghủy xác thực được đưa ra, STA không còn khả năng trao đổi thông tin dựa trênphiên làm việc này

2.1.3 Kết hợp

Ngay sau khi xác thực thành công, STA phải tiến hành kết hợp với AP để có thểtham gia vào mạng.Việc kết hợp này được thực hiện nhằm trao đổi các thông tincần thiết để STA có thể kết nối hoàn toàn tương thích với những yêu cầu mà APđưa ra

2.1.3.1 Kết hợp

Quá trình kết hợp rất đơn giản Đầu tiên, STA gửi khung yêu cầu được kết hợpđến AP Sau khi phát khung báo nhận ACK, AP gửi khung trả lời về phía STA.STA nhận được khung trả lời, sẽ kết thúc quá trình này bằng bản tin báo nhậnACK Thường thì một STA sau khi đã xác thực thành công sẽ kết hợp thành côngvới AP, bởi vì trong quá trình quét tìm thiết bị, mọi yêu cầu cần thiết đã được thôngbáo trong các khung beacon

2.1.3.2 Tái kết hợp

Khi một STA quyết định roam đến AP khác, nó sẽ gửi khung tái kết hợp đến APmới này Tái kết hợp không có nghĩa là STA kết hợp lại với AP mà nó đang kết nốitới, ở đây có nghĩa là STA tái kết hợp vào trong một SSID của mạng thông qua APkhác Quá trình tái kết hợp diễn ra như sau:

1 STA gửi khung yêu cầu tái kết hợp về phía AP mới mà nó có dự định kết nốitới Cần lưu ý rằng, STA có thể tiến hành xác thực cùng một lúc với nhiều

AP khác nhau nhưng chỉ có thể kết hợp với một AP để tham gia vào mạng.Khung yêu cầu tái kết hợp này chứa BSSID (địa chỉ MAC) của AP hiện tại

mà nó đang kết nối

2 Sau khi báo nhận bằng bản tin ACK, AP này thử kết nối tới AP cũ thông quamôi trường hệ thống phân tán để thông báo với nó rằng STA đang cố kết nốiđến mình Tuy nhiên hiện tại chưa có tiêu chuẩn nào cho việc trao đổi thôngtin kiểu này nên có thể xảy ra khả năng kết nối không thành công

3 Nếu kết nối thành công, giữa hai AP sẽ trao đổi thông tin kết hợp của STAnày thông qua môi trường hệ thống phân tán

4 Sau đó AP mới sẽ gửi khung trả lời tái kết hợp đến STA

5 STA báo nhận bằng bản tin ACK STA không nhất thiết phải gửi bản tin hủykết hợp đến AP cũ vì trong quá trình trao đổi thông tin, giữa hai AP đã thôngbáo cho nhau rồi

Nếu quá trình trên không thành công thì STA sẽ vẫn duy trì kết nối tới AP cũ,

và có thể tiếp tục thử tái kết hợp đến một AP khác

2.1.3.3 Hủy kết hợp

Không giống như tái kết hợp, khung hủy kết hợp thuộc loại khung thông báo.Nếu một STA muốn hủy kết hợp với một AP hay ngược lại, nó có thể gửi khungthông báo này Khung thông báo này không thể bị từ chối bởi phía nhận Thực chất,STA hay AP không nhất thiết phải gửi khung hủy kết hợp khi không muốn thamgia vào mạng nữa Sau một thời gian nhất định, nếu không có trao đổi thông tindiễn ra, phía còn lại sẽ tự nhận ra đã mất kết nối

2.1.4.1 Mã hóa WEP

WEP là phương pháp mã hóa lớp 2 sử dụng thuật toán mã hóa dòng RC4 WEP

ra đời nhằm ba mục đích chính: đảm bảo tính bảo mật, điều khiển truy nhập và toànvẹn dữ liệu Trong đó, việc đảm bảo tính bảo mật được thực hiện bằng cách mã hóa

dữ liệu truyền dẫn Khóa WEP tĩnh được sử dụng như một cơ chế điều khiển truynhập, chỉ những STA nào có khóa WEP giống như của AP mới được phép tham giavào mạng Bên cạnh đó,WEP sử dụng giá trị ICV để đảm bảo dữ liệu không bị sửađổi Giá trị ICV được tính toán dựa trên dữ liệu cần truyền dẫn, trước khi nó được

mã hóa WEP có hai phiên bản là 64 bit và 128 bit Khóa WEP bao gồm 24 bit IV

và 40 bit (đối với WEP 64 bit) hay 104 bit khóa tĩnh (đối với WEP 104 bit) Sựxuất hiện của 24 bit IV nhằm mục đích đảm bảo với các khung dữ liệu khác nhauthì sẽ được mã hóa bằng các khóa khác nhau Giá trị IV này sẽ được lấy ngẫu nhiênđối với từng khung dữ liệu Tuy nhiên, với 24 bit IV này, tương đương với chỉ cókhoảng 16.777.216 khóa WEP khác nhau được tạo ra Sau đó, nếu cần, chúng sẽđược sử dụng lại

Quá trình mã hóa WEP diễn ra như sau: Đầu tiên, WEP chạy thuật toán CRCtrên dữ liệu gốc để tạo ra giá trị ICV, giá trị này sau đó được gắn vào phía sau củaphần dữ liệu Một giá trị IV 24 bit được tạo ra và kết hợp với khóa tĩnh WEP sau

đó sẽ sử dụng một bộ tạo số giả ngẫu nhiên với đầu vào là giá trị IV và khóa tĩnhnhằm tạo ra một chuỗi số mới Chuỗi số này có cùng độ dài với phần dữ liệu cần

mã hóa Tiếp theo chúng được đưa kết hợp lại với nhau bằng thuật toán XOR Kếtquả chính là dữ liệu đã được mã hóa Phần dữ liệu mã hóa này sẽ được gắn thêmtiền tố là giá trị IV 24 bit dưới dạng cleartext Cuối cùng, chúng được phát đến phíathu