Nghiên cứu phương pháp tối ưu hoá mạng wifi,đề tài nckh sinh viên

Trước đây, do chi phí còn cao nên mạng không dây còn chưa phổ biến, ngày nay khi mà giá thành thiết bị phần cứng ngày một hạ, khả năng xử lý ngày càng tăng thì mạng không dây đã được tri

Ngày nay vai trò của mạng máy tính đã được thể hiện khá rõ trong mọi lĩnh vực của cuộc

sống Đó chính là sự trao đổi, chia sẻ, lưu trữ và bảo vệ thông tin Bên cạnh nền tảng mạng máy tính hữu tuyến, mạng máy tính không dây ngay từ khi ra đời đã thể hiện nhiều ưu điểm nổi bật

về độ linh hoạt, tính giản đơn, khả năng tiện dụng Trước đây, do chi phí còn cao nên mạng không dây còn chưa phổ biến, ngày nay khi mà giá thành thiết bị phần cứng ngày một hạ, khả năng xử lý ngày càng tăng thì mạng không dây đã được triển khai rộng rãi, ở một số nơi đã thay

thế được mạng máy tính có dây khó triển khai

Mạng máy tính không dây hoạt động trao đổi thông tin trong môi trường truyền sóng nên

khả năng bị nhiễu,bị rò rỉ thông tin… là rất cao.Để hệ thống mạng máy tính không dây của chúng ta hoạt động được tối ưu thì có hai giải pháp được xem là quan trọng nhất, đó là : Tối ưu

về thiết lập vùng phủ sóng và vấn đề bảo mật trong mạng máy tính không dây.Việc làm cho

mạng máy tính không dây hoạt động được tối ưu là vấn đề được rất nhiều người quan tâm.Vì thế chúng em chọn đề tài “Nghiên cứu phương pháp tối ưu hóa mạng wifi” để tìm hiểu.Do vấn

đề này tương đối rộng nên chúng em chỉ xin trình bày về phần tối ưu mạng máy tính không dây

dựa trên việc bảo mật_Security in WLAN

trình làm đề tài này.Do lượng kiến thức thì rộng,tài liệu chủ yếu là tiếng anh nên chúng em chắc

có nhiều sai sót,mong các thầy góp ý cho chúng em

Ph ần I : Tổng quan về mạng máy tính không dây WLAN

Phần II : Vấn đề an ninh trong WLAN

Chương I :Tổng quan về an ninh mạng

Chương II :Các phương pháp tấn công phổ biến trong WLAN

Chương III:Các giải pháp bảo mật trong WLAN

I Ch ứng thực và phân quyền trong WLAN

II B ảo vệ dữ liệu trong WLAN với phương thức chứng thực và mã hóa WEP Chương IV Kỹ thuật phát hiện và ngăn chặn xâm nhập(Intrusion detection and prevention technology)

Chương V Bảo mật trong chuyển vùng WLAN

Kiểm soát quyền truy cập

Quản lý theo dõi người dùng

AP Access Point Thiết bị phát sóng Radio, cung cấp kết nối không dây

Access Port Cũng là thiết bị phát sóng không dây như Access point,

nhưng cần dùng kèm với Security Switch

BSS Basic service set Vùng phủ sóng của một AP có thể đảm bảo các thiết bị

trong khu vực đó kết nối mạng 802.11

BSSI Basic Service Set

Identity

Địa chỉ MAC của AP cung cấp BS

DES Data Encryption

Kỹ thuật trải phổ nhảy tần

Thiết bị phần cứng hoặc phần mềm có chức năng phát hiện tấn công

LCP Link Control Protocol Giao thức điều khiển kết nối

RADIUS

MAC Medium Access Control Một giao thức điều khiển sóng Radio trong mạng Wireless

WISPr Wireless ISP roaming Cấu trúc chuyển vùng của nhà cung cấp dịch vụ không dây

UAM Universal Access Method Phương thức truy cập chung

DMZ - Demilitarized Zone Khu vực phi quân sự

DOS - Denial of service Từ chối dịch vụ

EAP - Extensible Authentication Protocol Giao thức chứng thực mở rộng

IEEE - Institute of Electrical and Electronics Engineers

MIC - Message Integrity Check

OFDM Orthogonal Frequency

Division Multiplexing

Đây là một phương thức điều chế dùng trong WLAN

QoS Quality of Service Chất lượng mà các dịch vụ mạng đáp ứng: Tốc độ truyền,

độ Jiter, tính sẵn sàng…

Remote Authentication

Dial In User Servic Một giao thức dùng trong cơ chế nhận thực

.SSID Service Set Identifier Định danh của mạng không dây

SSL Secure Sockets Layer M ột giao thức nhận thực bảo mật lớp 2

Đây là một giao thức bảo mật dựa trên việc mã hoá dữ liệu

và khoá mã được chia sẻ trước

Wi-Fi Wireless Fidelity Một cách gọi khác của WLAN

WLAN Wireless Local Area

Network

M ạng cục bộ truy cập không dây

VPN Virtual Private Network Công nghệ mạng riêng ảo

PH ẦN I :TỔNG QUAN VỀ MẠNG MÁY TÍNH KHÔNG DÂY

WLAN

1 Lịch sử phát triển của WLAN:

Công nghệ WLAN lần đầu tiên xuất hiện vào cuối năm 1990, khi những nhà

sản xuất giới thiệu những sản phẩm hoạt động trong băng tần 900Mhz

Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng

băng tần 2.4Ghz Năm 1997, Institute of Electrical and Electronics Engineers(IEEE)

đã phê chuẩn sự ra đời của chuẩn 802.11, và cũng được biết với tên gọi WIFI

(Wireless Fidelity) cho các mạng WLAN Chuẩn 802.11 hỗ trợ ba phương pháp truyền tín hiệu, trong đó có bao gồm phương pháp truyền tín hiệu vô tuyến ở tần số 2.4Ghz

Năm 1999, IEEE thông qua hai sự bổ sung cho chuẩn 802.11 là các chuẩn

802.11a và 802.11b (định nghĩa ra những phương pháp truyền tín hiệu) Và những thiết bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không

dây vượt trội Năm 2003, IEEE công bố thêm một sự cải tiến là chuẩn 802.11g mà

có thể truyền nhận thông tin ở cả hai dãy tần 2.4Ghz và 5Ghz và có thể nâng tốc độ truyền dữ liệu lên đến 54Mbps

2 Ưu điểm của WLAN

- Hiệu quả: Người dùng có thể duy trì kết nối mạng khi họ đi từ nơi này đến nơi

khác

- Triển khai: Việc thiết lập hệ thống mạng không dây ban đầu chỉ cần ít nhất 1 access

point Với mạng dùng cáp, phải tốn thêm chi phí và có thể gặp khó khăn trong việc triển khai hệ thống cáp ở nhiều nơi trong tòa nhà

- Khả năng mở rộng: Mạng không dây có thể đáp ứng tức thì khi gia tăng số lượng

người dùng Với hệ thống mạng dùng cáp cần phải gắn thêm cáp

3 N hược điểm của WLAN

- Bảo mật: Môi trường kết nối không dây là không khí nên khả năng bị tấn công của người dùng là rất cao

- Phạm vi: Một mạng chuẩn 802.11g với các thiết bị chuẩn chỉ có thể hoạt động tốt

trong phạm vi vài chục mét Nó phù hợp trong 1 căn nhà, nhưng với một tòa nhà lớn thì không đáp ứng được nhu cầu Để đáp ứng cần phải mua thêm Repeater hay

access point, dẫn đến chi phí gia tăng

- Độ tin cậy: Vì sử dụng sóng vô tuyến để truyền thông nên việc bị nhiễu, tín hiệu bị giảm do tác động của các thiết bị khác(lò vi sóng,….) là không tránh khỏi Làm giảm đáng kể hiệu quả hoạt động của mạng

- Tốc độ: Tốc độ của mạng không dây rất chậm so với mạng sử dụng cáp(100Mbps

đến hàng Gbps)

4 Các chuẩn WLAN hiện tại:

Vì WLAN truyền dữ liệu sử dụng tần số radio nên các WLAN sẽ được điều chỉnh bởi bởi cùng một loại luật đang kiểm soát AM/FM radio Federal Communications Commission(FCC) kiểm soát việc sử dụng các thiết bị WLAN Trên thị trường WLAN ngày nay có nhiều chuẩn được chấp nhận hoạt động và đang thử nghiệm ở

Mỹ, các chuẩn này được tạo ra và duy trì bởi IEEE

Những chuẩn này được tạo ra bởi một nhóm người đại diện cho nhiều tổ chức khác nhau Những chuẩn cho WLAN gồm:

+IEEE 802.11-là chuẩn gốc của WLAN và là chuẩn có tốc độ truyền thấp nhất trong

cả 2 kỹ thuật dựa trên tần số radio và dựa trên tần số ánh sáng

+IEEE 802.11b- có tốc độ truyền dữ liệu nhanh hơn, chuẩn này cũng được gọi là WiFi bởi tổ chức Wireless Ethernet Compatibility Alliance (WECA).Hoạt động ở băng tần 2.4GHz sử dụng phương pháp trải phổ trực tiếp DSSS(Direct Sequence Spread Spectrum).Tốc độ up to 11Mbps

+IEEE 802.11a-có tốc độ truyền cao hơn 802.11b nhưng không có tính tương thích ngược, và sử dụng băng tần 5.7GHz với công nghệ ghép kênh theo tần số trực giao OFDM (Orthogonal Frequency Division Multiplexing).Tốc độ up to 54Mbps

+IEEE 802.11g-là chuẩn dựa trên chuẩn 802.11 có tốc độ truyền ngang với 802.11a,

có khả năng tương thích với 802.11b.Hoạt động ở băng tần 2.4GHz.Tốc độ up to 11Mbps với DSSS và up to 54Mbps với OFDM

+IEEE 802.11n-là chuẩn được phát minh để cải tiến tốc độ của WLAN.Sử dụng công nghệ MIMO (multiple input/multiple output)

Tốc độ có thể up to 248Mbps Có thể hoạt động ở băng tần 2.4 và 5.7GHz

+IEEE 802.11e : đây là chuẩn bổ sung cho chuẩn 802.11 cũ, nó định nghĩa thêm các

mở rộng về chất lượng dịch vụ (QoS) nên rất thích hợp cho các ứng dụng multimedia như voice, video (VoWLAN)

+ IEEE 802.11f : được phê chuẩn năm 2003 Đây là chuẩn định nghĩa các thức các

AP giao tiếp với nhau khi một client roaming từng vùng này sang vùng khác Chuẩn này còn được gọi là Inter-AP Protocol (IAPP) Chuẩn này cho phép một AP có thể phát hiện được sự hiện diện của các AP khác cũng như cho phép AP “chuyển giao” client sang AP mới (lúc roaming), điều này giúp cho quá trình roaming được thực

hiện một cách thông suốt

+ IEEE 802.11i : là một chuẩn về bảo mật, nó bổ sung cho các yếu điểm của WEP trong chuẩn 802.11 Chuẩn này sử dụng các giao thức như giao thức xác thực dựa trên cổng 802.1X, và một thuật toán mã hóa được xem như là không thể crack được

đó là thuật toán AES (Advance Encryption Standard), thuật toán này sẽ thay thế cho thuật toán RC4 được sử dụng trong WEP

+ IEEE 802.11h : chuẩn này cho phép các thiết bị 802.11a tuân theo các quy tắc về băng tần 5 Ghz ở châu âu Nó mô tả các cơ chế như tự động chọn tần số (DFS = Dynamic Frequency Selection) và điều khiển công suất truyền (TPC = Transmission

Power Control) để thích hợp với các quy tắc về tần số và công suất ở châu âu

+ IEEE 802.11j : được phê chuẩn tháng 11/2004 cho phép mạng 802.11 tuân theo các quy tắc về tần số ở băng tần 4.9 Ghz và 5 Ghz ở Nhật Bản

+ IEEE 802.11d : chuẩn này chỉnh sửa lớp MAC của 802.11 cho phép máy trạm sử

dụng FHSS có thể tối ưu các tham số lớp vật lý để tuân theo các quy tắc của các nước khác nhau nơi mà nó được sử dụng

+ IEEE 802.11s : định nghĩa các tiêu chuẩn cho việc hình thành mạng dạng lưới (mesh network) một cách tự động nhau

5 Các mô hình WLAN cơ bản

5.1 Kiểu Ad – hoc (mô hình mạng độc lập IBSSs(Independent Basic Service sets))

Mỗi máy tính trong mạng giao tiếp trực tiếp với nhau thông qua các thiết bị card

mạng không dây mà không dùng đến các thiết bị định tuyến hay thu phát không dây

Wireless Station

Wireless Station Wireless Station

Wireless Station

5.2 Mô hình mạng cơ sở (Basic service sets (BSSs) )

tuyến và giao tiếp với các thiết bị di động trong vùng phủ sóng của một cell AP đóng vai trò điều khiển cell và điều khiển lưu lượng tới mạng Các thiết bị di động không giao tiếp trực tiếp với nhau mà giao tiếp với các AP.Các cell có thể chồng lấn lên nhau khoảng 10-15 % cho phép các trạm di động có thể di chuyển mà không bị mất kết nối vô tuyến và cung cấp vùng phủ sóng với chi phí thấp nhất Các trạm di động sẽ chọn AP tốt nhất để kết nối Một điểm truy nhập nằm ở trung tâm có thể điều khiển và phân phối truy nhập cho các nút tranh chấp, cung cấp truy nhập phù hợp với mạng đường trục, ấn định các địa chỉ và các mức ưu tiên, giám sát lưu lượng mạng, quản lý chuyển đi các gói và duy trì theo dõi cấu hình mạng Tuy nhiên giao thức đa truy nhập tập trung không cho phép các nút di động truyền trực tiếp tới nút khác nằm trong cùng vùng với điểm truy nhập như trong cấu hình mạng WLAN độc lập Trong trường hợp này, mỗi gói sẽ phải được phát đi 2 lần (từ nút phát gốc và sau

đó là điểm truy nhập) trước khi nó tới nút đích, quá trình này sẽ làm giảm hiệu quả truyền dẫn và tăng trễ truyền dẫn

Hình 1.2 Mô hình mạng cơ sở

5.3 Mô hình mạng mở rộng( Extended Service Set (ESSs))

Một ESSs là một tập hợp các BSSs nơi mà các Access Point giao tiếp với nhau để chuyển lưu lượng từ một BSS này đến một BSS khác để làm cho việc di chuyển dễ

dàng của các trạm giữa các BSS, Access Point thực hiện việc giao tiếp thông qua hệ

thống phân phối Hệ thống phân phối là một lớp mỏng trong mỗi Access Point mà nó xác định đích đến cho một lưu lượng được nhận từ một BSS Hệ thống phân phối được tiếp sóng trở lại một đích trong cùng một BSS, chuyển tiếp trên hệ thống phân phối tới một Access Point khác, hoặc gởi tới một mạng có dây tới đích không nằm trong ESS Các thông tin nhận bởi Access Point từ hệ thống phân phối được truyền tới BSS sẽ được nhận bởi trạm đích

Hình 1.3 Mô hình mạng mở rộng

PH ẦN II : VẤN ĐỀ AN NINH TRONG WLAN

CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG

1.1 Khái niệm an ninh mạng

Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thông tin đóng một vai trò hết sức quan trọng Thông tin chỉ có giá trị khi nó giữ được tính chính xác, thông tin chỉ có tính bảo mật khi chỉ có những người được phép nắm giữ thông tin biết được nó Khi ta chưa có thông tin, hoặc việc sử dụng hệ thống thông tin chưa phải là phương tiện duy nhất trong quản lý, điều hành thì vấn đề an toàn, bảo mật đôi khi bị xem thường Nhưng một khi nhìn nhận tới mức độ quan trọng của tính bền hệ thống và giá trị đích thực của thông tin đang có thì chúng ta sẽ có mức độ đánh giá

về an toàn và bảo mật hệ thống thông tin Để đảm bảo được tính an toàn và bảo mật cho một hệ thống cần phải có sự phối hợp giữa các yếu tố phần cứng, phần mềm và con người

1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống

Để đảm bảo an ninh cho mạng, cần phải xây dựng một số tiêu chuẩn đánh giá mức

độ an ninh an toàn mạng Một số tiêu chuẩn đã được thừa nhận là thước đo mức độ

an ninh mạng

1.2.1 Đánh giá trên phương diện vật lý

1.2.1.1 An toàn thiết bị

Các thiết bị sử dụng trong mạng cần đáp ứng được các yêu cầu sau:

- Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột Có khả năng thay thế nóng từng phần hoặc toàn phần (hot-plug, hot-swap)

- Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm

- Yêu cầu nguồn điện, có dự phòng trong tình huống mất đột ngột

- Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét,

phòng chống cháy nổ, vv

1.2.1.2 An toàn dữ liệu

- Có các biện pháp sao lưu dữ liệu một cách định kỳ và không định kỳ trong các tình huống phát sinh

- Có biện pháp lưu trữ dữ liệu tập trung và phân tán nhằm chia bớt rủi ro trong các trường hợp đặc biệt như cháy nổ, thiên tai, chiến tranh, vv

1.2.2 Đánh giá trên phương diện logic

Đánh giá theo phương diện này có thể chia thành các yếu tố cơ bản sau:

1.2.2.1 Tính bí mật, tin cậy (Condifidentislity)

Là sự bảo vệ dữ liệu truyền đi khỏi những cuộc tấn công bị động Có thể dùng vài mức bảo vệ để chống lại kiểu tấn công này Dịch vụ rộng nhất là bảo vệ mọi dữ liệu của người sử dụng truyền giữa hai người dùng trong một khoảng thời gian Nếu một kênh ảo được thiết lập giữa hai hệ thống, mức bảo vệ rộng sẽ ngăn chặn sự rò rỉ của bất kỳ dữ liệu nào truyền trên kênh đó

Cấu trúc hẹp hơn của dịch vụ này bao gồm việc bảo vệ một bản tin riêng lẻ hay những trường hợp cụ thể bên trong một bản tin Khía cạnh khác của tin bí mật là việc bảo vệ lưu lượng khỏi việc phân tích Điều này làm cho những kẻ tấn công không thể quan sát được tần suất, độ dài của nguồn và đích hoặc những đặc điểm khác của lưu lượng trên một phương tiện giao tiếp

1.2.2.2 Tính xác thực (Authentication)

Liên quan tới việc đảm bảo rằng một cuộc trao đổi thông tin là đáng tin cậy Trong trường hợp một bản tin đơn lẻ, ví dụ như một tín hiệu báo động hay cảnh báo, chức năng của dịch vụ ủy quyền là đảm bảo bên nhận rằng bản tin là từ nguồn mà nó xác nhận là đúng

Trong trường hợp một tương tác đang xẩy ra, ví dụ kết nối của một đầu cuối đến máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm bảo rằng hai thực thể là đáng tin Mỗi chúng là một thực thể được xác nhận Thứ hai, dịch vụ cần phải đảm bảo rằng kết nối là không bị gây nhiễu do một thực thể thứ ba

có thể giả mạo là một trong hai thực thể hợp pháp để truyền tin hoặc nhận tin không được cho phép

1.2.2.3 Tính toàn vẹn (Integrity)

Cùng với tính bí mật, toàn vẹn có thể áp dụng cho một luồng các bản tin, một bản tin riêng biệt hoặc những trường lựa chọn trong bản tin Một lần nữa, phương thức có

ích nhất và dễ dàng nhất là bảo vệ toàn bộ luồng dữ liệu

Một dịch vụ toàn vẹn hướng kết nối, liên quan tới luồng dữ liệu, đảm bảo rằng các bản tin nhận được cũng như gửi không có sự trùng lặp, chèn, sửa, hoán vị hoặc tái sử dụng Việc hủy dữ liệu này cũng được bao gồm trong dịch vụ này Vì vậy, dịch vụ toàn vẹn hướng kết nối phá hủy được cả sự thay đổi luồng dữ liệu và cả từ chối dữ liệu Mặt khác, một dịch vụ toàn vẹn không kết nối, liên quan tới từng bản tin riêng

lẻ, không quan tâm tới bất kỳ một hoàn cảnh rộng nào, chỉ cung cấp sự bảo vệ chống lại sửa đổi bản tin

Chúng ta có thể phân biệt giữa dịch vụ có và không có phục hồi Bởi vì dịch vụ toàn vẹn liên quan tới tấn công chủ động, chúng ta quan tâm tới phát hiện hơn là ngăn chặn Nếu một sự vi phạm toàn vẹn được phát hiện, thì phần dịch vụ đơn giản là báo cáo sự vi phạm này và một vài những phần của phần mềm hoặc sự ngăn chặn của con người sẽ được yêu cầu để khôi phục từ những vi phạm đó Có những cơ chế giành sẵn để khôi phục lại những mất mát của việc toàn vẹn dữ liệu

1.2.2.4 Không thể phủ nhận (Non repudiation)

Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thể chối bỏ 1 bản tin đã được truyền Vì vậy, khi một bản tin được gửi đi, bên nhận có thể chứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp Hoàn toàn tương

tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin đó đúng thật được nhận bởi người nhận hợp lệ

1.2.2.5 Khả năng điều khiển truy nhập (Access Control)

Trong hoàn cảnh của an ninh mạng, điều khiển truy cập là khả năng hạn chế các truy nhập với máy chủ thông qua đường truyền thông Để đạt được việc điều khiển này, mỗi một thực thể cố gắng đạt được quyền truy nhập cần phải được nhận diện, hoặc được xác nhận sao cho quyền truy nhập có thể được đáp ứng nhu cầu đối với từng người

1.2.2.6 Tính khả dụng, sẵn sàng (Availability)

Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứ lúc nào mong muốn trong vòng một khoảng thời gian cho phép Các cuộc tấn công khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ Tính khả dụng của dịch vụ thể hiện khả năng ngăn chặn và khôi phục những tổn thất của hệ thống

do các cuộc tấn công gây ra

1.3 Các khuyến cáo về bảo mật trong WLAN

1.3.1 Không nên chỉ dựa vào WEP

Không nên chỉ dựa vào WEP cho dù bạn đã cài đặt một giải pháp bảo mật tốt đến thế nào đi nữa Một môi trường không dây chỉ được bảo vệ bởi WEP là một môi trường hoàn toàn không an toàn Khi sử dụng WEP, không nên sử dụng WEP key có liên quan đến SSID hay công ty Hãy tạo ra một WEP key khó nhớ và khó nhận biết được Trong nhiều trường hợp, WEP key có thể đoán ra mà chỉ cần nhìn vào SSID hay tên của công ty WEP chỉ nên được sử dụng để giảm những nguy cơ như nghe trộm tình cờ chứ không nên là một giải pháp bảo mật duy nhất

1.3 2 Kích thước Cell

Để giảm nguy cơ bị nghe lén, admin nên đảm bảo rằng kích thước cell của AP là hợp

lý Phần lớn các hacker thường tìm những vị trí có sóng RF và ít được bảo vệ nhất như vỉa hè, bãi đậu xe để đột nhập vào mạng không dây Vì thế, các AP không nên phát tín hiệu mạnh đến bãi đậu xe (hay các vị trí khác) trừ khi thật sự cần thiết Các

AP dành cho doanh nghiệp cho phép cấu hình công suất phát, rất hiệu quả để điều khiển kích thước của cell xung quanh AP Nếu kẻ nghe lén ở trong bãi đậu xe của công ty không bắt được sóng RF của AP thì sẽ không có cách nào xâm nhập được mạng nên mạng sẽ được bảo vệ khỏi kiểu tấn công này

1.3 3 Xác thực người dùng

Bởi vì xác thực người dùng chính là điểm yếu nhất trong mạng WLAN và chuẩn 802.11 không chỉ định một phương thức nào để xác thực người dùng nên điều cần thiết đối với admin là cài đặt một phương thức xác thực dựa trên người dùng (user-based) càng sớm càng tốt khi cài đặt hạ tầng mạng WLAN Xác thực người dùng nên dựa trên những cơ chế không phụ thuộc thiết bị như username, password, sinh trắc học, smart card, hệ thống token-based, hay các phương thức xác thực khác định danh

người dùng (chứ không phải là thiết bị)

1.3.4 Wireless DMZ

Một ý tưởng khác trong bảo mật mạng WLAN là tạo ra một vùng phi quân sự không dây (WDMZ = Wireless Demilitarized Zone) Việc tạo ra những WDMZ này sử dụng Firewall hay Router có thể tốn kém tùy thuộc vào mức độ của việc cài đặt WDMZ thường được cài đặt ở những môi trường WLAN trung bình và lớn Vì AP là một thiết bị không an toàn và không đáng tin vì thế, chúng nên được cách ly khỏi những đoạn mạng khác bằng một Firewall

hình 1.1 Wriless DMZ

1.3.5 Cập nhật Firmware và Software

Bạn nên thường xuyên cập nhật firware và driver cho AP và card mạng Việc sử dụng firmware và driver phiên bản mới nhất sẽ giúp tránh được những lỗ hổng bảo mật đã biết, vì chúng được các nhà sản xuất vá những lỗ hổng này cũng như thêm vào các tính năng mới

1.3.6 VPN WLAN

Nhận ra sự yếu kém của WEP, những người sử dụng doanh nghiệp đã khám phá ra một cách hiệu quả để bảo vệ mạng không dây WLAN của mình, được gọi là VPN Fix Ý tưởng cơ bản của phương pháp này là coi những người sử dụng WLAN như những người sử dụng dịch vụ truy cập từ xa

Trong cách cấu hình này, tất các những điểm truy cập WLAN, và cũng như các máy tính được kết nối vào các điểm truy cập này, đều được định nghĩa trong một mạng LAN ảo (Vitual LAN) Trong cơ sở hạ tầng bảo mật, các thiết bị này được đối xử như là "không tin tưởng" Trước khi bất cứ các thiết bị WLAN được kết nối, chúng

sẽ phải được sự cho phép từ thành phần bảo mật của mạng LAN Dữ liệu cũng như

kết nối của các thiết bị sẽ phải chạy qua một máy chủ xác thực như RADIUS chẳng

hạn Tiếp đó, kết nối sẽ được thiết lập thành một tuyến kết nối bảo mật đã được mã hoá bởi một giao thức bảo mật ví dụ như IPSec, giống như khi sử dụng các dịch vụ truy cập từ xa qua Internet

1.3.7 Các phương pháp lọc – filter

Phương pháp lọc là một trong những nguyên lý cơ bản của hệ thống firewall, hệ thống sẽ kiểm tra tất cả các thông tin đi qua nó và sẽ lọc lấy những thông tin cần thiết về loại bỏ các thông tin phá hoại, gây tổn hại hệ thống, ví dụ như những bản tin

vô nghĩa gửi đến liên tục dùng để tấn công từ chối dịch vụ - DOS

1.3.7.1 Lọc địa chỉ MAC

Phương pháp lọc theo địa chỉ MAC có thể dùng để chứng thực Client với AP Ngoài

ra nó cũng dùng để làm phương pháp bảo mật để phân loại truy cập theo thiết bị, để ngăn chặn các truy cập trái phép

chỉ IP có thể được cấp động (DHCP) hoặc tự đặt (Manual set) Khi kẻ tấn công đã dò hay biết được một địa chỉ IP được cấp phép trong mạng, hắn cũng có thể dễ dàng đặt lại địa chỉ IP của mình đề có thể qua mặt được AP Vì vậy phương pháp này hiệu quả là không cao

1.3.7.3 Lọc cổng (Port)

Lọc cổng về mặt nguyên lý cũng giống như 2 nguyên tắc lọc kia, sự phân chia cổng thực hiện ở lớp 4 (lớp Transport của mô hình OSI) Một máy tính có thể mở rất nhiều cổng để các máy tính khác truy cập vào, mỗi cổng đáp ứng một dịch vụ khác nhau, ví dụ cổng 21 cho FTP, cổng 23 cho Telnet, cổng 80 cho HTTP, vv Việc lọc theo cổng là biện pháp để ngăn chặn những truy cập trái phép đến các cổng khác của dịch vụ khác Hiện giờ có rất nhiều tiện ích dò, quét cổng giúp cho kẻ tấn công dễ dàng xác định máy tính đang mở những cổng gì cho những dịch vụ nào

1.3.8 Wireless VLAN

Trong một công ty, giả sử vì yêu cầu bảo mật thông tin nên phải xây dựng 3 mạng nội bộ riêng biệt nhau, dành cho 3 nhóm ở 3 tầng là Ban giám đốc, khối Kỹ thuật và khối Kinh doanh Tuy 3 mạng này riêng biệt nhưng vẫn có thể sử dụng chung nhau máy chủ dữ liệu, máy in, một số máy mạng này có thể truy cập máy mạng bên kia theo quy định và nhu cầu công việc đề ra Giải pháp truyền thống để giải quyết bài toán này là sử dụng 3 switch riêng cho 3 tầng, 3 switch này sẽ kết nối đến 1 router, router này sẽ làm nhiệm vụ kết nối, định tuyến 3 mạng con đó với nhau Nhưng mô hình này phải sử dụng đến 3 switch, mà có thể không dùng hết số lượng Port trên các switch, như vậy đã gây ra hiện tượng lãng phí Để giải quyết bài toán này theo cách khác, người ta đã đề ra giải pháp VLAN – Virtual LAN, tức là chỉ sử dụng 1 switch nhưng phân chia thành nhiều mạng con khác nhau, về mặt vật lý là chung 1 switch, nhưng về mặt logic các mạng này độc lập với nhau như các mạng con riêng biệt, như vậy vừa tiết kiệm được thiết bị, vừa thống nhất về mặt cấu hình vì cấu hình trên cùng một thiết bị Xuất phát từ mạng VLAN mà người ta đưa ra giải pháp mạng LAN ảo không dây Wireless VLAN.Nếu mạng VLAN phân các mạng con theo địa chỉ IP của máy tính kết nối thì mạng Wireless VLAN phân chia mạng con dựa vào các nhóm SSID mà người kết nối vào mạng sử dụng

CHƯƠNG II: CÁC PHƯƠNG PHÁP TẤN CÔNG PHỔ BIẾN TRONG

WLAN

2.1 Gi ới thiệu

Tấn công và phòng chống trong mạng WLAN là vấn đề được quan tâm rất nhiều hiện nay bởi các chuyên gia trong lĩnh vực bảo mật Nhiều giải pháp tấn công

và phòng chống đã được đưa ra nhưng cho đến bây giờ chưa giải pháp nào thật sự gọi là bảo mật hoàn toàn, cho đến hiện nay mọi giải pháp phòng chống được đưa ra đều là tương đối (nghĩa là tính bảo mật trong mạng WLAN vẫn có thể bị phá vỡ bằng nhiều cách khác nhau)

Hình 2.1 Truy cập trái phép vào mạng không dây

Theo rất nhiều tài liệu hiện tại để tấn công vào mạng WLAN thì các Attacker có thể

sử dụng một trong những cách sau:

• Passive Attack (sniffing)

• Active Attack (probing)

attacker không gửi bất kỳ gói tin nào mà chỉ lắng nghe mọi dữ liệu lưu thông trên mạng

2.2.1 Passive Scanning

Passive Scanning là cách mà Attacker dùng để lấy thông tin từ mạng bằng cách điều chỉnh thiết bị sao cho có tầng số sóng radio khác nhau Passive Scanning nghĩa là cho Wireless NIC lắng nghe trên mỗi kênh một vài thông điệp mà không cho thấy sự hiện diện của Attacker

Attacker có thể quét bị động mà không cần phải gửi bất cứ thông điệp nào Chế độ này gọi là RF monitor, khi đó mỗi frame dữ liệu lưu thông trên mạng có thể bị copy bởi Attacker, mặc định thì chức năng này thường không có ở những Wireless NIC hiện có trên thị trường do đã được cài firmware đã tắt chức năng này Trong chế độ này một Client có thể chụp lấy những gói dữ liệu mà không cần phải kết nối với AP hoặc Ah-hoc network

2.2.2 Detecting SSID

Thông thường bằng cách Passive Scanning các Attacker có thể tìm ra được SSID của mạng, bởi vì SSID nằm trong các frame sau: Beacon, Probe Request, Probe

Responses, Association Requests và Reassociation Requests

Khi frame Beacon không tắt thì các Attacker hiển nhiên sẽ xin được SSID từ AP bằng cách Passive Scanning

Nếu một Client muốn gia nhập vào bất kỳ AP nào cho phép, nó sẽ gửi yêu cầu dò tìm trên tất cả các kênh và lắng nghe lời phản hồi mà có chứa SSID của AP Attacker

sẽ xem xét qua tất cả các lời phản hồi để chọn ra một AP Khi mà đã có được SSID, thì yêu cầu kết nối sẽ xuất hiện tại những Client mà có SSID phù hợp

Nếu việc truyền nhận frame Beacon bị tắt, thì Attacker có 2 lựa chọn Hoặc là

Attacker tiếp tục lắng nghe đến khi một yêu cầu kết nối xuất hiện từ một Client có quyền truy cập mạng và có SSID phù hợp để nghe trộm SSID này Hoặc là Attacker

có thể dò tìm bằng cách bơm vào (injecting) một frame mà đã tạo ra sẵn và sau đó lắng nghe phản hồi (bước này sẽ nghiên cứu sâu hơn trong phần sau - Active attack) 2.2.3 Collecting the MAC Addresses

Các Attacker thu thập các địa chỉ MAC hợp lệ để sử dụng trong các frame giả mạo được dựng lên sau này Địa chỉ MAC nguồn và đích luôn chứa đầy đủ trong tất cả

các frame Cò 2 lý do tại sao Attacker muốn thu thập MAC Address của các Client

và AP trong mạng Một là Attacker muốn sử dụng những giá trị này trong các frame giả mạo để máy của hắn không bị AP nhận ra Thứ hai là các AP có chức năng lọc các địa chỉ MAC chưa được đăng ký thì không cho truy cập vào mạng, Attacker sẽ giả mạo địa chỉ MAC để truy cập hợp pháp

2.2.4 Collecting frames for Cracking WEP

Mục đích của các Attacker là tìm ra khóa WEP Thông thường khóa này có thể đoán

ra được dựa vào một lượng lớn các hệ thống công cộng mà các quản trị mạng đã cấu hình và thường sử dụng Một vài phần mềm Client lưu trữ khóa WEP trong Registry của hệ thống Sau này chúng ta phải thừa nhận rằng các Attacker đã không thành công trong việc xin khóa trong cách này, các Attacker sau đó đã tận dụng các

phương pháp một cách có hệ thống trong việc crack WEP Để thực hiện mục đích này một số lượng frame rất lớn (hàng triệu) frame cần được thu thập để crack WEP bởi vì đó là cách WEP hoạt động

Attacker nghe trộm một lượng lớn các frame dữ liệu từ một mạng WLAN Tất cả các frame này sử dụng cùng một khóa Những thuật toán đằng sau những secret-shared-key là một tập hợp các đoạn text đã mã hóa mà được trích xuất từ các frame Tuy nhiên tất cả những gì cần đó là một tập hợp các frame được mã hóa với những thuật toán yếu Số frame được mã hóa với thuật toán yếu chiếm tỉ lệ nhỏ trong tất cả các frame Trong tập hợp hàng triệu frame có thể chỉ có 100 frame được mã hóa như vậy Có thể thấy được rằng việc tập hợp này có thể mất đến vài giờ và thậm chí vài ngày để trích xuất ra thông tin cần dò tìm Tuy nhiên các Attacker có thể sử dụng các máy tính mạnh thì thời gian dò tìm thông tin nhanh hơn có thể chỉ còn vài phút đến vài giờ

2.3 Active Attack (Probing)

Attacker có thể tấn công chủ động (active) để thực hiện một số tác vụ trên mạng Một cuộc tấn công chủ động có thể được sử dụng để truy cập vào server và lấy được những dữ liệu có giá trị hay sử dụng đường kết nối Internet của doanh nghiệp để thực hiện những mục đích phá hoại hay thậm chí là thay đổi cấu hình của hạ tầng mạng Bằng cách kết nối với mạng không dây thông qua AP, attacker có thể xâm nhập sâu hơn vào mạng hoặc có thể thay đổi cấu hình của mạng Ví dụ, một attacker

có thể sửa đổi để thêm MAC address của attacker vào danh sách cho phép của MAC filter (danh sách lọc địa chỉ MAC) trên AP hay vô hiệu hóa tính năng MAC filter giúp cho việc đột nhập sau này dễ dàng hơn

Một số ví dụ điển hình của active attack có thể bao gồm các Spammer (kẻ phát tán thư rác) hay các đối thủ cạnh tranh muốn đột nhập vào cơ sở dữ liệu của công ty bạn Một spammer có thể gởi một lúc nhiều mail đến mạng của gia đình hay doanh

nghiệp thông qua kết nối không dây WLAN Sau khi có được địa chỉ IP từ DHCP server, attacker có thể gởi cả ngàn bức thư sử dụng kết nối internet của bạn mà bạn

không hề biết Kiểu tấn công này có thể làm cho ISP của bạn ngắt kết nối email của bạn vì đã lạm dụng gởi nhiều mail mặc dù không phải lỗi của bạn

2.4 Man-in-the-middle Attack (MITM Attack)

Tấn công theo kiểu Man-in-the-middle là trường hợp trong đó attacker sử dụng một

AP để đánh cắp các node di động bằng cách gởi tín hiệu RF mạnh hơn AP thực đến các node đó Các node di động nhận thấy có AP phát tín hiệu RF tốt hơn nên sẽ kết nối đến AP giả mạo này, truyền dữ liệu có thể là những dữ liệu nhạy cảm đến AP giả mạo và attacker có toàn quyền xử lý Đơn giãn là kẻ đóng vai trò là một AP giả mạo đứng giữa tất cả các Client và AP thực sự, thậm chí các Client và AP thực không nhận thấy sự hiện diện của AP giả mạo này

2.4.1 Wireless MITM

Giả sử cho rắng Client B đã được chứng thực hợp lệ với C là một AP thực Attacker

X là một laptop có 2 wireless card, thông qua một card, hắn sẽ hiện diện trên mạng wireless là một AP Attacker X sẽ gửi những frame không hợp lệ đến B ma sử dụng địa chỉ MAC của Access Point C như là địa chỉ nguồn, và BSSID đã được thu thập

B sẽ không được chứng thực và bắt đầu dò tìm AP và có thể tìm thấy X trên kênh khác với kênh của Access Point C, đây có thể xem là một cuộc tranh giành giữa Attacker X và Access Point C

Nếu B kết nối với X, thì cuộc tấn công theo phương pháp MITM coi như thành công Sau đó X sẽ gửi lại những frame mà nó nhận từ chuyển sang cho C, ngược lại những frame mà

2.4.2 ARP Poisoning

ARP thường được sử dụng để xác định địa chỉ MAC khi mà đã biết địa chỉ IP Sự

chuyển đổi này được thực hiện thông qua việc tìm kiếm trong một bảng địa chỉ, ARP cache sẽ giữ nhiệm vụ cập nhật bảng địa chỉ này bằng cách gửi broadcast các gói dữ liệu yêu cầu chứa các địa chỉ IP đến các Client, nếu như IP của Client nào trùng với

IP nhận được thì sẽ phản hồi lại với gói dữ liệu chứa MAC Address của mình Tuy nhiên một nhược điểm của ARP là không có bất kỳ sự kiểm tra nào từ những phản hồi của các Client hợp lệ hoặc là nhận phản hồi từ những Client giả mạo ARP

Poisoning là một phương pháp tấn công lợi dụng vào lỗ hổng này

ARP Poisoning là một trong những công nghệ mà cho phép tấn công theo kiểu

MITM Attacker X sẽ đưa hắn vào giữa 2 máy B và C, bằng cách “nhiễm” vào B cho nên IP của C được kết nối với MAC Address của X, ngược lại bằng cách “nhiễm” vào C cho nên IP của B sẽ kết nối với MAC Address của X, nghĩa là cuối cùng mọi giao tiếp giữa B và C đều phải thông qua X

2.5 Denial-of-Service Attacks :

Tất cả các quản trị mạng hoặc manager đều rất sợ cách tấn công này vì nó rất dễ phát động và hậu quả cũng rất nặng nề.Nhất là đối với lãnh vực mạng không dây, có rất nhiều cách tấn công DoS tinh vi rất đáng lo ngại

Bởi vì tần số sử dụng hiện tại cho chuẩn 802.11 b thậm chí 802.11g sử dụng tần số 2.4Ghz radio rất lộn xộn và không kiểm soát được.Và tần số này cũng xài chung cho

rất nhiều thiết bị như lò nướng VIBA, điện thoại mẹ bồng con…và nhiều thiết bị nữa

tạo nên sự đa dạng trong cách tấn công DoS của hacker.Hacker có thể dùng 1 trong

những thiết bị trên để tạo cuộc tấn công bằng cách gây nhiễu không gian truyền thông và có thể làm shutdown cả hệ thống mạng

Kẻ tấn công còn có thể giả lập máy trạm của mình là 1 Access Point để thực hiện DoS attack.Sau khi giả lập Access Point hacker sẽ làm tràn ngập không gian truyền thông dai dẳng với các lệnh phân cách để đá văng những kết nối trong WLAN và

tiếp tục ngăn chặn các kết nối

2.6 Tấn công kiểu chèn ép - Jamming attacks

Ngoài việc sử dụng phương pháp tấn công bị động, chủ động để lấy thông tin truy cập tới mạng của bạn, phương pháp tấn công theo kiểu chèn ép Jamming là một kỹ thuật sử dụng đơn giản để làm mạng của bạn ngừng hoạt động Phương thức

jamming phổ biến nhất là sử dụng máy phát có tần số phát giống tần số mà mạng sử dụng để áp đảo làm mạng bị nhiễu, bị ngừng làm việc Tín hiệu RF đó có thể di chuyển hoặc cố định

Cũng có trường hợp sự Jamming xẩy ra do không chủ ý thường xảy ra với mọi thiết

bị mà dùng chung dải tần 2,4Ghz Tấn công bằng Jamming không phải là sự đe dọa nghiêm trọng, nó khó có thể được thực hiện phổ biến do vấn đề giá cả của thiết bị,

nó quá đắt trong khi kẻ tấn công chỉ tạm thời vô hiệu hóa được mạng

Hình 2.2: Mô t ả quá trình tấn công theo kiểu chèn ép

CHƯƠNG III: CÁC GIẢI PHÁP BẢO MẬT TRONG WLAN

Để cung cấp mức bảo mật tối thiểu cho mạng WLAN thì ta cần hai thành phần sau:

+ Cách thức để xác định ai có quyền sử dụng WLAN - yêu cầu này được thỏa mãn bằng cơ chế xác thực( authentication)

+ Một phương thức để cung cấp tính riêng tư cho các dữ liệu không dây – yêu cầu này được thỏa mãn bằng một thuật toán mã hóa ( encryption)

Hình 3.1 Mô hình b ảo mật mạng không dây

3.1 Ch ứng thực và phân quyền trong WLANs

3.1.1 T ổng quan về chứng thực trong WLANs

Thuật ngữ chứng thực ( authentication) trong bảo mật mạng và máy tính có liên quan đến khả năng xác định sự tồn tại của 1 đối tượng để biết chắc rằng đối tượng đó được nhận dạng đúng Ngoài ra , mục đích của việc chứng thực là cho phép 1 đối tượng có thể chứng minh sự tồn tại dựa trên cơ sở xử lý các thông tin ủy nhiệm , ví

dụ như mật khẩu , xác nhận số hay thậm chí là khóa vật lý Kết quả của việc xử lý

chứng thực được đặc trưng bởi mã nhị phân cụ thể là thành công hay thất bại Việc

xử lý sẽ được định nghĩa và thực hiện bằng 1 hay nhiều giao thức

Giới hạn phân quyền (authorization) gắn liền với quyền lợi ,quyền hạn và sự cho phép được trao cho đối tượng đã được chứng thực thành công Chức năng chứng

thực(authentication) và phân quyền (authorization) thường đi đôi với quản lý theo dõi người dùng (accountting) , 3 chức năng này được viết tắc là AAA

Cấp độ phân quyền sẽ được phân cho đối tượng khi nó tìm kiếm đăng nhập vào nguồn tài nguyên tùy theo loại và độ mạnh của giao thức chứng thực

3.1.2 Các lo ại đối tượng và chức năng trong LAN và WLAN

Hình 3.2 Các đối tượng và chức năng trong LAN/WLAN

Guest Client

AP Visitor LAN/DMZ

3 Firewall/VPN AAA server

& authorization

Accounting &

tracking

Người dùng và thiết bị đầu cuối người dùng (users and end-user divices) : người dùng và thiết bị đầu cuối người dùng (như laptop,desktop computer,PDAs v…v…)

là phần người tiêu dùng sử dụng dịch vụ được cung cấp bởi 1 tổ chức mạng IP (bao

AAA servers: AAA server có vai trò chứng thực và phân quyền , như quản lý

sự tồn tại với các chính sách đăng nhập được định nghĩa và được thi hành Các chính sách chi phối việc đăng nhập đến mạng và nguồn tài nguyên sẳn có của mạng

đó Trong nhiều trường hợp, AAA server là điểm ra chính sách (PDP)còn các thiết bị

mạng khác là các điểm tuân thủ chính sách đó(PEP)

Firewalls/VPN gateways: tường lửa và cổng VPN hoạt động với vai trò đặc

biệt như điểm đi vào hay ra của 1 kết nối đến 1 tổ chức mạng IP Ngày nay việc lọc gói và giám sát port cũng được thực hiện trên tường lửa và các thiết bị bộ lọc khác Tường lửa còn tích hợp cả IPsec VPN gateways

Các hoạt động đặc trưng cho tổ chức mạng LAN hay WLAN là 1 số chức năng quan

trọng gắn liền với diện mạo hoạt động của mạng và bảo mật một vài chức năng liên quan đến bảo mật bao gồm :

Chứng thực và phân quyền: 2 chức năng này có liên quan với nhau theo

hướng thiết lập chứng thực xác định đúng người dùng hay thiết bị và phân quyền xác định những tài nguyên gì có sẳn được định nghĩa

Quản lý nhận dạng: nhiều tổ chức vẫn nhận dạng người dùng và thiết bị trong

mạng từ dãy user ID đơn giản Khi 1 người dùng có thể có nhiều ID,cả trong hay ngoài tổ chức , vài phương thức cho việc quản lý ID phải được triển khai

Danh mục các dịch vụ : thường chức năng xếp đặt những nguồn tài nguyên

sẳn có cho 1 người dùng thì độc lập trên nhận dạng của người dùng hay thiết bị, và các giá trị khác Danh mục dịch vụ bao gồm các chức năng và trong nhiều mạng và

hệ thống nó liên quan chặc chẻ với quản lý nhận dạng

Quản lý thông tin ủy nhiệm: việc nhận dạng 1 người dùng hay thiết bị cần 1 vài thông tin ủy nhiệm chứng minh cho nhận dạng đó, thông qua việc xử lý chứng

thực, các thông tin ủy nhiệm đó có thể là mật khẩu đơn giản , nhóm từ, và xác nhận

số hay tinh vi hơn là thông tin ủy nhiệm trên cơ sở phần cứng bao gồm các dấu hiệu

phần cứng và smartcards

Tính toán theo dõi và ghi chú: tính toán kiểm tra, ghi chú và theo dõi của các

kết nối đến 1 tổ chức mạng là các chức năng cực kỳ quan trọng cho việc bảo mật

mạng Tất cả các kết nối , được thực hiện từ mạng bên trong hay mạng bên ngoài đều

phải được ghi chú lại, bất chấp cái kết nối đó là thành công hay không Ngày nay nhiều tổ chức gia tăng triển khai thêm hệ thống kiểm tra xâm phạm (IDSs)với việc cung cấp thông tin quan trọng cho cả việc phân tích và lập kế hoạch chống lại các

cuộc tấn công Ngoài ra còn có hệ thống ngăn chặn xâm phạm (IPSs)có chức năng

cảnh báo xâm phạm và cung cấp thông tin như IDSs nó còn ngăn chặn ngay các cuộc

tấn công dựa trên các so sánh với các mẫu tấn công sẳn có

3.1.3.Các yêu c ầu chủ yếu dùng trong bảo mật WLAN

Sau đây là danh mục 1 vài các yêu cầu chủ yếu dựa trên khía cạnh chứng thực và phân quyền người dùng kết nối đến LANs và WLANs

Thiết bị chứng thực: Tất cả các kết nối đến LAN và WLAN phải được chứng

thực tốt trên cơ sở thiết bị ủy nhiệm mạnh.Thiết bị chứng thực đi đôi với việc nhận

dạng chính xác của thiết bị trong LAN và WLAN kể cả thiết bị đầu cuối người dùng

và các phần tử mạng

Chứng thực người dùng: tất cả kết nối người dùng phải được chứng thực

mạnh, trên cơ sở thông tin ủy nhiệm người dùng mạnh

Thiết bị phân quyền: tất cả các thiết bị được chứng thực thành công chỉ được phép truy cập đến các tài nguyên mà nó được phân quyền

Phân quyền người dùng: Tất cả các người dùng được chứng thực thành công trên LAN hay WLAN chỉ được phép truy cập đến các tài nguyên mà họ được phân quyền

Tính riêng tư của người dùng:Phụ thuộc vào chính sách của tổ chức , thông tin cá nhân của người dùng sẽ được bảo vệ khi họ đăng nhập vào tài nguyên mạng

Thông tin liên quan đến người dùng và các hoạt động của họ phải được giữ kín và

chỉ được đăng nhập tới được bởi cá nhân được phân quyền trong tổ chức như IT hay

quản trị mạng

3.1.4 Các mô hình ch ứng thực cho WLANs

Trong kiến trúc bảo mật của LAN và WLAN, thường 1 kiểu hay 1 cơ cấu

chứng thực được yêu cầu thì trước hết phải hiểu được các nguy cơ liên quan và áp

dụng biện pháp để tính toán các nguy cơ Thông tin ủy nhiệm và các giao thức

chứng thực chỉ có hiệu quả khi chúng được lựa chọn thích hợp trong kiểu định sẳn

Sau đây là 1 vài mô hình chứng thực:

Mô hình chứng thực trên cơ sở web: 1 trong những ý tưởng ban đầu cho việc

chứng thực là tận dụng chức năng SSL, chức năng này được đưa ra trong trình duyệt web trên máy người dung Tại đầu bên kia , 1 web server sẽ chặn luồng lưu lượng HTTP của người dùng và gửi lại cho người dùng 1 giao diện web đăng nhập Ở trang đăng nhập này , người dùng có thể nhập vào tài khoản của họ cùng với mật khẩu

Việc truyền nhận thông tin nhận dạng và mật khẩu của người dùng sẽ được bảo vệ

bởi phiên SSL (TLS),việc trao đổi thông tin giữa trình duyệt và web server sẽ được

mã hóa Mặc dù phương thức này đơn giản cho việc thiết lập nhưng phương pháp này không có kết quả trong việc thương lượng mã hóa khóa ở lớp khung WLAN Như vậy, sau khi web đăng nhập hoàn tất , lưu lượng ở lớp 2 MAC vẫn không được

mã hóa

Cơ cấu chứng thực 802.1X: họ IEEE 802 được phát triển như 1 kiểu chuẩn cho việc chứng thực Nó hoạt động trên cơ sở điều khiển đăng nhập port , clients (suplicant) chỉ đăng nhập port khi đã được chứng thực thành công bởi server chứng

thực Chuẩn này không chỉ được dùng cho việc chứng thực WLAN mà quan trọng hơn nó còn tích hợp với các giao thức thỏa thuận khóa khác nhau giữa

client/supplicant và 802.11 access point xuất phát từ các khóa mật mã lớp 2 Một điểm quan trọng của 802.1X đó là nó là 1 khung chuẩn cho chứng thực, bên trong các giao thức chứng thực và thông tin ủy nhiệm cần định rõ cho việc triển khai

Hình 3.3 (a) các đối tượng cơ bản trong 802.1x (b) tổng quan về việc thiết lập khóa

Mô hình điểm – điểm VPN: 1 số các đại lý đã đề xuất dùng chuẩn IPsec

VPNs để cung cấp bảo mật (mã hóa) dữ liệu truyền qua không gian (trên đoạn truyền không dây giữa client và access point) và nó giúp ích cho việc chứng thực Luận cứ này được đưa ra giúp tăng cường bảo mật hơn bởi việc thiết lập ở lớp IP (tận dụng

ưu điểm của IPsec),bất chấp các đặc điểm bảo mật ở lớp 2 Client sẽ được chỉ định 1 địa chỉ IP tạm thời , lúc này phần mềm của client sẽ tự động thiết lập 1 IPsec VPN

với VPN server VPN server có thể được chỉ định với 1 AP (access point) hay bởi 1 đối tượng nào đó dưới quyền AP như điểm cuối VPN (như 1 box VPN thực tế hay Web server) Nhà cung cấp kết hợp tất cả các chức năng vào 1 sản phẩm Sự bổ xung

vật lý của IPsec VPN có thể thay đổi, ý định chức năng sơ cấp cung cấp liên kết

được mã hóa cho đoạn truyền không dây Tất cả luồng dữ liệu tiếp theo từ client được truyền qua đường hầm ảo VPN đã được thiết lập Việc chứng thực sẽ được

kiểm soát như 1 phần của VPN Lỗi trong chứng thực nghĩa là IPsec VPN thiết lập

Wired IP/802.3

Authentication server (RADIUS)

Port closed

802.1x identity establishment

RADIUS identity establishment

Authentication using specific EAP method

(Access Point) (a)

(b)

lỗi ,và địa chỉ IP của client không được chỉ định VPN server vẫn đếm lỗi có thể cho phép của client

Phương pháp cơ sở SIM: trong phương pháp này, việc chứng thực dựa trên cơ

sở chia sẻ khóa chứa đựng trong module nhận dạng thuê bao (subscriber

identification module/SIM) được dùng trong mạng GSM hay USIM trong mạng UMTS Sự phát triển liên quan đến sự hoạt động mạng di động (mobile network operators MNO) trong việc cung cấp dịch vụ WLAN ở các hotspot đến thuê bao, tận

dụng cơ sở hạ tầng,thúc đẩy sử dụng SIM trong WLAN Mô hình này đang được yêu chuộm vì nó đưa ra 1 giải pháp mới cho thông tin nhận dạng và cấu trúc AAA trong

mạng di động dùng cho chức nặng AAA trong WLAN trên sơ sở IP

3.1.5 Phương thức truy cập chung (the Universal Access Method/ UAM)

Phương pháp dùng Web-based cho việc chứng thực được thông qua bởi 1 nhóm các nhà cung cấp đầu tiên của WLAN hotspots , là phương pháp đơn giản thực

tế nó không đòi hỏi phần mềm hay phần cứng đặc biệt nào để người dùng có thể sử

dụng hotspot Tuy nhiên, nhiều nhà cung cấp sớm nhận ra sự cần thiết phải có vài tiêu chuẩn giữa các nhà cung cấp nhằm làm cho khách hàng có 1 cái nhìn chung và

cảm nhận chung khi chuyển vùng qua các hotspot khác nhau, và giúp cho các nhà cung cấp có thể kiểm tra và tính cước cho việc chuyển vùng qua

Trong thiết bị chuyên dụng WiFi (WiFi Alliance/ WFA), là sự kết hợp công nghệ quản trị WLAN , 1 nhóm nhỏ các đại lý và các ISP được gọi là nhóm chuyển vùng ISP không dây (Wireless ISP Roaming group/ WISPr) bắt đầu phát triển

phương thức truy cập chung UAM như cơ sở cho hoạt động chuẩn hóa của chuyển vùng WLAN Nhóm WISPr đặc trưng bởi WECA để miêu tả hoạt động thực tiễn,

kiến trúc kỹ thuật, và khung sườn AAA cần thiết để cho phép chuyển vùng thuê bao

giữa các nhà cung cấp dịch vụ wireless dùng WiFi-based(Wifi-based wireless

Internet service providers/ WISPs ) Mục đích của khung sườn chuyển vùng là cho phép các thiết bị WiFi-compliant chuyển đến các hotspot Wifi được enable cho truy

cập công cộng và các dịch vụ Cũng như trong trường hợp quay số , 1 sự chuyển vùng người dùng có thể được chứng thực sau đó bởi WISP được chuyển đến hay do chính ISP/WISP chủ của người dùng Người dùng sẽ nhận được chỉ một hóa đơn rỏ