Luận văn xác thực và bảo mật mạng wlan 802 11

Đánh giá giải pháp hồ trợ roamine tìng, đụng, multimedia và khá năng hướng, tới LMR, © Tóm tắt luận văn Ngay từ khi bắt dầu nghiên cứu về xác thục WLAN dễ tài dã hưởng đến mục tiêu xây

BO GIAO DUC VA BAO TAO

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

TOM TAT LUAN VAN THAC Si

ĐỂ tài : Xác thực vả bảo mật mạng WLAN 802.11

Tác giả luận văn : Trần Duy Thanh Khóa 2009 — 2011

Người hưởng dẫn : TS.Nguyễn Chấn Hùng

Noi dung tôm tắt:

a) Ly do chon dé tai

Trước tinh hinh céc mang WLAN quy mô nhỏ hiện nay sử đụng các mã bí mật với các

kiểu bao mat WEP, WPA khong thé dim bao cho một mạng viễn thông với số lượng lớn người đùng Do đỏ,việc nâng cao tính bảo mật , kết nỗi nhiéu cell, roaming tương đương, các mạng đi động hiện may là hết sức cân thiết

Củng với sự phát triển công nghệ hiện may, việc gác điểm truy cập wiÕ ngày cảng nhỏ tiến đã tạo ra môi trường hết sức thuận lợi cho việc phát triển đề tải trong tương lai gân

b) Mục tiên và phạm ví nghiên cứu

Xây dựng một hệ thông cung cấp dịch vụ với AAA server

Xây đựng máy chủ cung cấp CA( Certificate Authority) cho số lượng lớn người sử đựng,

Tìm hiểu các vẫn dé bao mat hiện nay

Đưa ra hướng nghiên nửu trong mạng 802.11

Xây dựng một hệ thống thứ nghiệm

Đánh giá giải pháp hồ trợ roamine tìng, đụng, multimedia và khá năng hướng, tới LMR,

© Tóm tắt luận văn

Ngay từ khi bắt dầu nghiên cứu về xác thục WLAN dễ tài dã hưởng đến mục tiêu xây

dựng một hệ thông TP PBX giả rể với xác thực và bảo mật AAA có khả răng ứng dụng

vào trong thực tế, Đặc biệt, tác giả đã dạt dược những thành công bước dâu trong việc

triển khai hệ thông máy chủ Radius, giải quyết được một trong những yêu cầu quan trong

nhất là vẫn để xác thực liên mạng và hội lạ dịch vụ Nội dung của đồ án tốt nghiệp này bao

gốm cơ sở lý thuyết và giới thiệu về các công cụ cần thiết, các phương án dễ xây dựng hệ thống nảy cũng như các giấi pháp phát triển hệ thống Tử đó lụa chọn phương án phủ hợp

đề triển khai một hệ thắng IP PBX có xác thực AAA cho cä thiết bị không đây và có đây

thông qua kết nổi rạng triemel Bố cụo đỗ án trình bảy như sau

Chương 1 : Cơ sở lý thuyết Chương 2 : Mô hình phải triển Chương 3 : Hệ thông xác thực 802.11 Chương 4 : Kết quả đạt được và hưởng phát triển Chương 5 : Kết luận

d) Phương phúp nghiên cứu

Thao phương pháp xoắn ốc : tiếp nhận yếu cầu, phân tích, thực hiện đưa ra nguyên mẫu,

kiểm tra lại nguyên tấu này rồi lại tiếp Iục nhận yên câu, phâu tích

e) Kết luận

Sau gần một năm nghiên cứu và triển khai đề tải, tác giả đã thu được những kết quả bước

dầu:

Xây đụng và đưa vào sử đựng hệ thông máy chủ Radius là nên tảng của địch vụ xác

thực và quản li mang tính toán khắp nơi sau này, Những kết quả thụ được bước đầu tuy còn hết sức hạn chế nhưng cũng góp phan chứng mình dược tình dúng dẫn và khả thí của việc nghiên cứu và phát triển những tmg dụng tính toán khấn nơi nói riêng và mạng lính toán khắp nơi nói chung, Có thể dự doán rằng, trong tương lai không xa, chủng ta số có một hệ thống hạ tầng hoàn chính, hoán toàn đủ khả năng phát triển xã hội tính toàn khắp nơi Khi có sự hồi tụ và hợp nhất của hạ tầng viễn thông trên nên giao thức IP, những ứng

dụng như diện thoại IP chinh là tương lai thay thể những phương thúc Hiên lạc hiện tat

'Vấn đề về xác thực, quản lý trên toàn mạng củng sẽ được giải quyết bởi hệ thống máy chủ TRadius Trong tương lai, tác giả sẽ tiếp lục đi sầu nghiên củu xây dịng hoàn chỉnh hạ lắng,

mạng xúc thực và bảo mật WLAN 802.11 Những nghiên cứu đó sẽ di sâu vào hai mảng, chính la hạ tâng mạng hội băng rộng và giao thức quản lý Radius trên diện rộng

MUC LUC

Danh mục các ký hiệu, các chữ viết tắt

Danh mục bảng biểu

Danh mục hình vẽ LH HH HT HH HH Hư g2 HH2, tung re, 9

Chương]: CO SOLY THUYET

1.2.1 Các chuẩn 802.11 ¬— HH HH HH Hư 18

1.3.2 Môi trường võ tuyến (Wirelsss Medium)

1.3.3 Cac tram (Station)

3.1.2 Mê hình mang mé réng ESS(Extended Service Set), 45

3.1.2 Mơ hình triển khai — 66

2 Quy trình hoạt dộng của hệ thơng

Chương 4: KÉT QUÁ DẠT DƯỢC VÀ HƯỚNG PIIÁT TRIỄN .96

4.1 Mơ hình hạ tẳng mnạng triển khai tại ĐHBK HẠ,

4.2.1 Xây dựng cơ sở hạ tằng mang Wifi phũ sĩng ở phạm vi rộng cĩ khả năng

4.3.3 Ứng dụng các địch vụ VoÏP trên cơ sở hạ lằng của trường Bách Khoa 100 4.3 Biên bản triển khai dịch vụ xác thực dùng ladius server 101

4.3.1 Testesse 1a TD_O01a): Thử nghiêm kết nổi vào ruạng RADTUS sử dụng CÁ

4.3.2 Tesicase 1b (TD_00Tb): Thứ nghiệm kết nối vào trạng RADTUS sử dụng CA

4.5 Bian ban kết quả thử nghiém hé thang RADIUS

4.6 Biên bân kết quả thử nghiệm cdc dich vu VOIP

Chương5: KẾT LUẬN sesesssssassssvsssanencenseneeceeseeeessasunnnnanissseeseesssssaneee 116

Tiuéng din sit dung Certificate Authority truy cập vào RADTUS 119

Kiểm tra dịch vụ Voice over WWiH,

Danh mục các ký hiệu, các chữ viết tắt

[AAA — lAuthenticationauthorization [Máy chủ chứng thực, cấp quyền,

[ADSL._ lAsymmetric đigital subscriber line [Đường đây thuê bao số bất đổi

xứng

|API Application programming Giao diện lập trinh ứng dụng

interface

[AON (Active Optical Network [Mang quang chủ đông

IBCN Broadband Convergence Network [Mạng hội tụ băng rộng

IBKUMN [BK Unified messagingNetwork |Hệ thống truyền thống hợp nhất

IBRAS [Broadband Remote Access Server [May chu truy cập từ xa băng rông

ICA Certificate Authority Chứng thực người dùng

ICATV Cable Television [Ti vì truyền hình cáp

Client Client IMáy khách

CHAP Challege Handshake Giao thức chứng thực bắt tay 3

|DHT Distribution Hash Table Bang bam phan tan

IDMB [Digital Multimedia Broadcast [Mang truyén thong quan ba da

Iphương tiện IDSLAM [Digital Subcriber Line Aceess IBộ ghép kênh truy nhập số theo

EAS [Enterprise Access Server IMáy chủ truy nhập

|[EAP IExtended authentication protocol [Giao thức xác thực mở rộng

|FMC Fix mobile convergence Hội tụ cô định và dì động

GPS Global Position System [Hé théng dinh vi toan cầu

[RTF [Internet Engineering Task Force —|T6 chite ki siz internet

TMS TP Multimedia Subsytermn [Phan bé giao thức Thlernet da

|phương tiện

ISDN [Inlegratcd services digital network [Mang số đa địch vụ tích hợp

[LAN [Toca area network [Mang nội hại

MAN [Metropolitan arca nclwork [Mạng khu vục thành phô

[MPLS Multi Protocol Label Switch Giao thức chuyên mạch nhãn

NAS [Network access server May chi tray cap mang

NAT [Network address translation [Rich dia chi mang

[NGN [Next Generation Network [Mang thê hệ mới

loDN Optical distribution network [Mạng quang phân bỏ

(GOLSR [Optimize Link State Routing |Giao thức định tuyên tôi giản hóa

ONT (Optical network terminals [Thiết bị đầu cuối mang quang

PRX [Private Branch Exchange Tang dai ndi bd

[POM [Pulse Code Modulation [Piéu ché xung ma

IPDAs [Personal Digital Assistant [Thiết bị kĩ thuật sẻ cá nhân

PDI Plesiochronous Digital Lierarchy |LIệ thông phân cấp số cận đồng bộ

[PPP [Point to Point Protecol Giao thức điểm nói điểm

IPSIN |Publie switchedtelephene network|Mạng chuyên mạch công cộng

[PON [Passive Optical Network [Mạng quang bị động

Radius |Remot authentication đial-muser |Giao thức chứng thực dịch vụ

IRFID Radio Frequency [Nhan dién bang song, Radio

Tdentily Detection RTCP [Real tite contre! protocol Giao thie diéu khién theo thời gian

thực [RIE [Realtune Transport Protocol Giao thức vận chuyên theo thời

|gian thực

SIP [Session Initiation Protocol Giao thức khi tạo phiên

SDH [Synchronous Digital Hierachy |Hệ thông phan cp số đồng bộ

SONLT Synchronous Optical Network [Mạng quang đồng bộ

STUN [Simple Traversal of UDP through |LIệ máy chủ có khả năng cho phép

TLS Transport Layer Security [Bao mat lop vận chuyền

lUC [Cnified communications 'Truyền thông hợp nhật

[CNT [Cbiquitous Computing Network [Mang tính toán khắp nơi

[VICS Vehicle information and I[Té thang thông tin liên lạc giao

VolP Voice over IP [Mạng thoại trên nên Internet

[VOWIEI |Voice over wifi Thoại không đây

[VPN Virtual Private Network [Mạng riêng ảo

[WAMUL |Wireless Adhoc Mutilmedia [I1é thang trayén théng, da phuong

|riện trên nền mang Adhoc không

dây WEP |Wired Equivalent Privacy |Giao thức bão mật tương dương,

lnang co diy Wimex |Worldwide Interoperability for |Chuẩn kết nổi bảng rộng không dây

IMicrowave Access WPA | Wifi Protected Access Giao thức bão vệ truy cập wifi

WMN |Wireless Mesh Netvork [Mang không đây đạng lưới

Danh mục bảng biểu

Bang 1-1 Bảng lóm tắt thông só các chuẩn 802.11 thông dụng, -.18

Rang 3-2 Vi du giá lrị gác trường trong trường thuộc tính Altribute 80 Bảng 3-3 Các loại thuộc tính Attibute

Bảng 3-4 Giá trị các trường trong bản tin Aoesss-requesi

Rang 4-1 Danh sách tài khoan STP 109

Bang 4-2 Kết quả thử nghiệm hệ théng RADIUS

Danh muc hinh vé

Hình 1-2 Dãi tản 5 GHz — 19

Linh 1-5 Cấu trúc cơ bán của WLAN ¬

Hình 1-8 Lọc địa chí MÁC HH HH HH HH HH Hee 33

Hình 1-10 Phương pháp 802.1x ¬—

Linh 1-11 Xáo thục trong Bữ2.lx keo,

Hình 1-12803.1x BAP-TLS với BAS trong Controller Mode 38 Hình 1-13 Quy trình mã hóa WHP sứ dụng RC4 eeeeeeeoeeeeeeee 4Ô

lĩnh 2-3 Mô hình tham chiếu cơ sở IETE 802.11

Hình 2-5 Kiến tric Infrastructure/ Backbone WMN

Linh 2-6 Kiến truc Chent WMÀ

Hình 2-7 Kiến trúc Hybrid WMN

Hình 2-8 Ứng dụng WMN trong táu diện os

Tĩnh 3-1 Mô hình tổng quan hé théng Radits 0.00.cccccccccssessssssemssiieessescessesseasnseiee OF

Hình 3-2 Mô lành ủy quyển dang quan hệ ta tưởng cnở to cnd "

llinh 3-3 Mô hình ủy quyền dạng quan hệ tin tướng, hợp to hop -

Hình 3-4 Quá tink hoat déng Radius: xac thue (authentication) va cấp quyền

Hinh 3-5 Qua trink hoat déng Radius: Tinh cude( Accounting) 74

Hình 3-6 Cấu trúc chung bản tin Radius

llinh 3-7 Cấu trúc trường thuộc tính Atribuce

Hinh 3-§ Câu trúc trường thuộc tính Attribute gateway - 79

Tlinh 3-10 C4u tric ban tin Access-request - _Ò-_82

llinh 3-12 Cấu trúc bản tia Access-challenge

Hình 3-14 Hơại động giao thức CHAP trong mô hình Cent/§ervcr 88 Hình 3-15 Hoat ding giao thite CHAP trong Radius

Hình 3-17 Hoạt dộng giao thức BAP trong Radius

Tình 3-18 Mô hình proxy server L

Hình 3-19 Mô hình proxy server 2

Hình 3-21 Elow xác thực bằng Rađins sử dụng CA 295

Hình 4-1 Mồ hình triển khai xác thực sử dụng Radius server 96

Hình 4-3 Giao điện cấu hình Wireless của AD BCP3500 -.103

Hình 4-4 Hè thông sử dụng chế độ mã hóa WPA/TKPP - 103

10

LOI NOI DAU

Trong những nam gan day, su xuat hién cia VoIP da gay nén | su chit y dic biét trong lĩnh vực viễn thơng thế giới Lợi ich mà nĩ dem lại là rất lớn Đơi với người tiểu ding, lợi ích đầu tiên mà họ đại được là chỉ phí cuộc gợi sẽ rẻ hơn đăng kế, Cịn đối với các nhà sản xuất, cũng cấp và khai thác mang, VọP, VOWTFT mở ra những thách thức mới nhưng cũng hứa hẹn khả năng lợi nhuận đáng kể Dây cũng là một bước đột phá trong

việc tiển tới ruột xu thề mạng viễn thơng mới trong lương lai Cơng nghệ VOTP

VOWIFI cĩ rất nhiều ưa diễm như :Giãm cước phi dịch vụ thoại dường dài, Hỗ trợ

nhiều cuộc gọi với băng tấn thâp hơn; Nhiễu hơn và tốt hơn cáo địch vụ nâng cao ; Sử

dụng cĩ hiệu quả nhất giao lúc TP và đặc biệt là khế năng xác thục các thuê bao sử

dụng VOWIEI nâng cao chất lượng cuộc goi, dim bao roaming qua nhiều vùng phú

sĩng wifi

Ở Việt Nam đủ vẫn cịn nhiêu hạn ché vé co sé ha tang và nguồn lực song khơng thế iim ngồi xu thế phát tiễn chưng của thế giới Xu thể ngày nay là xác thục Radius

trong WLAN, nang cao kha ning roaming trong mang WLAN v4 VoIP lA mét trong

những ứng dụng của RADTUS Sư dĩ xác thuc AAA đạt được tính năng vượt trội rày là

do c6 thé dap ứng dược với số lượng lớn người dùng mạng, tỉnh phổ biếu các ứng dụng

trong mỗi trường kinh đoanh viễn thơng ngày nay do vậy việc thực hiện xác thực và

roaming trong mang \WWLAN cĩ vai trị quan trong trong, việc phát triển hệ thơng viễn

thơng Sản phẩm đã được thử nghiệm thành cơng trên thực tế kem theo những nghiên

cứu đo đạc băng thơng và cho thây khả năng, triển khai trong điều kiện của Việt Nam

Tầm xin chân thành cẩm on TS Nguyễn Chấn Hùng- nguời thực sự là cha đê của hộ

thống này đã vạch ra ý tưởng, các giải pháp và tạo mọi điều kiện hết sức thuận lợi đề

những người đâu

liên cũng raư thường xuyên thử nghiêm hệ thẳng để tìm ra những, điều bất hợp lý giúp hệ thắng hoàn thiện

Con cam ơn bổ mẹ và bạn bẻ đã đành cho con su od wii dang viên, tình cảm và mọi

diễu kiện thuận lợi trong suốt quả trình học tập và làm đỗ án

Hà Nội -tháng 04 nam 2011

Sinh viễn: Trần Duy Thanh

12

MO BAU

Ly do chon dé tai

Trước tình hình các mạng WLAN quy mô nhỏ hiện nay sử dụng các key với các kiểu

tảo mật WEP,WDPA không thể đâm bão cho một tạng viễn thông với số lượng lớn người dùng Dø đỏ,việc nâng cao tính báo mật , kết nối nhiều cell, roaming tương

đương các mang di động hiện nay là hết sức cần thiết

Củng với sự phát triển công nghệ hiện nay, việc các điểm truy cập wili ngày càng phố biến đã tạo ra môi trường hết sức thuận lợi cho việc phát triển đề tài trong tương lai

sản

Mực tiêu và phạm vi nghiên cứu

Xây dựng một hệ thông cung cấp địch vụ với AAA server

Xây dựng máy chủ cụng cấp CÀ( Cortilioate Anthortty) cho số lượng lớn người sử

dung,

'Tim hiểu các vẫn đề bảo mật hiện nay

Đưa ra hướng nghiên cứu trong mạng 802.11

Xây dựng một hệ thống thử nghiệm

Danh gid giải pháp hỗ tro roaming dng dung multimedia va kha ning hung ti IMS

Tom tắt đề tài

Ngay từ khi bắt dau nghiên cứu về xác thục WLAN dể tài dã hướng dén mục tiêu xây

đựng một hệ thống IP PBX giá rẻ với xác thực và bảo mật AAA có khả năng ứng đụng

vào trong (hục lễ

Đặc biột lắc giả đã dại được những thành công bước đầu trong việc triển khai hệ thông,

máy chủ Eadius, giải quyết được một trong những yêu cầu quan trọng nhất là vẫn dé

xác thục liên mạng và hội tụ địch vụ Nội dung của đỗ áu tốt nghiệp nay bao gdm co số 1ý thuyết và giới thiệu về các công cụ cần thiết, các phương án để xây dựng hệ thống

13

nay cing nhu các giải pháp phát triển hệ thống Từ đỏ lựa chau phương au phủ hợp để triển khai một hệ thống IP PBX có xáo thực AAA cho cả thiết bị không đây và có đây thông qua kết nội rạng imlemel Bồ cục đồ áu trình bày như sau

Chương 1 : Cơ sở Íý thuyết

Chương 2 : Mô hình phát triển

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

thục hién bang diy va doi héi có thẩm mỹ cao , WT.AN phát triển rất nhanh chống và dang dan thay thể cho các mạng có dây trong nhiều lĩnh vực khác nhau

Quả trình phát triển cia cdc mang WLAN được sơ lược qua:

Céng nghé WLAN Jan đầu tiên xuất hiện vào cuỗi năm 1990, khi những nhà sẵn xuất giới thiệu những sẵn phẩm hoại động trong bang tân 900Mfhz Những giải pháp này

(không được thống nhất giữa các nhà sản xuất) cung cấp tốc độ truyền dữ liệu LMbps,

Thấp hơn nhiễu so với têc độ I0Mbps của hậu hết các mạng sử đụng cáp hiên thời

Năm 1993, những nhà sân xuất bài đầu bản những sân phẩm WLAN st dung bang (an 2.4Ghz Mặc đầu những sản phẩm nảy đã có tốc độ truyền đữ liệu cao hơn nhưng

chúng vẫn là những giải pháp riêng của mất nhà sản xuất không được công bế rộng rải

Sự cân thiết cho việc hoạt động thống nhất giữa các thiết bị ở những day tin sd khae

nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng khéng day chung, Nam 1997, Institute of Electrical and Electronics Engineers(IEEE) 44 phé chudn st 1a đời của chuẩn 803.11, và cũng, được biết với tên goi WIFT (Wireless Fidelity) cho

các mạng WLAN, Chuẩn 802.11 hỗ trợ ba phương pháp truyền tia hiệu, trong đó có

bao gồm phương phảp truyền tín hiệu vỏ hryển ở tân số 2.4Ghz

15

Luận văn tốt nghiệp cao hoc Chương 1: CƠ SỞ LÝ THUYẾT

Nam 1999, IEEE thong qua hai sự bỏ sung cho chuẩn 802.11 lả các chuẩn 802.11a vả

802.11b (định nghĩa ra những phương pháp truyền tỉn hiệu) Và những thiết bị WLAN dựa trên chuân 802.11b đã nhanh chóng trở thánh công nghệ không dây vượt trội Các thiết bị WLAN 802.11b truyền phát ở tần số 2.4Ghz, cung cấp tốc đồ truyền dữ liệu có

thể lên tới 11Mbps IEEE §02.11b được tạo ra nhằm cung cấp những đặc điểm về tỉnh

hiéu dung, thong long (throughput) va bao mat dé so sanh voi mang có dây thông

thường

Nam 2003, IEEE công bỏ thêm một sự cải tiên là chuân 802.11g mà có thẻ truyền nhận thông tin ở cả hai dãy tân 2.4Ghz và 5Ghz và cỏ thể nâng tốc đô truyền dữ liệu lên đến 54Mbps Thêm vào đỏ, những sản phẩm áp dung §02.11g cũng có thể tương thích

ngược với các thiết bị chuân 802.11b,

truyền dẫn trải phổ trong khi đó đôi với các WLAN hồng ngoại có thẻ lả khuyếch tán

hay được định hướng Dưới đây đề cập cơ bản các mạng \WLAN võ tuyển và hong

ngoại, có đánh giá điểm mạnh cũng như điểm yeu của môi loại

16

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

a — Các WLAN về tuyến

Đa số các hệ thông mạng WLAN sử đụng công nghệ trải phố Khái niệm về trải nhá

đâm bão quả trình truyền thông lin cậy và am toàn Trãi phổ để cập đến các sơ đồ tín

hiệu dựa trên một số đạng mã hoá (độc lập với thông tin được phát đi) và chứng sử

dụng băng thêng lớn hơn nhiều so với yên câu để truyền tín hiệu Băng thông lớn hon

có nghĩa lả nhiều và các hiệu ứng fading da dường chỉ ảnh hưởng một phin dến quá

trình truyền dẫn trái phổ Vỉ vậy mà năng lượng tin hiệu thu hầu như không đổi theo

thời gian Điều này cho phép tách sóng dễ dàng khi máy thú được động bộ với các

tham sẻ của tín hiệu trải phổ Các tín hiệu trải phổ có khả năng hạn chế nhiễu và gây

+hó khăn cho quá trình phát hiện và chặn tín hiệu trên đường truyền Có hai kỹ thuật

trải phổ: Trải phổ chuỗi trực tiếp (D888) và trai phé nbay tin (FHSS)

b Các mạng WLAN hồng ngoại

Mạng WLAN đầu tiên được phát triển sử dụng truyền dẫn hổng ngoại cách đây khoáng chứng 20 năm Các hệ thông này khai thác các điểm thuận lợi do sử dụng vô tiyền

hồng ngoại như là một mỗi trường cho truyền dẫn võ tuyên Chẳng hạn, tia hỏng ngoại

có băng thông không cấp phép rất đổi dào, nó loại bỏ được nhiễu vô tuyến, các thiết bị thông ngoại nhỏ và tiéu thụ ít công suất

Không giống như các sóng vô tuyến, các tần số hỏng ngoại là quả cao dễ thực hiện

điều chế giống như đổi với các tần số vô tuyển Vì vậy, các đường truyền hồng ngoại

thường đựa trên cơ sở điều chế xung bật- tắt và tách sóng tín hiệu quang, Quá trinh

truyền dẫn xưng bật- tắt dược thực hiện bằng cách biến đổi cường độ (biên độ) dòng

điện trong máy phát hỏng ngoại như là laser điode hay điođe phát quang chẳng hạn

Luận văn tốt nghiệp cao học Chương 1: CO SO LY THUYET

Các mạng WLAN hồng ngoại khác với các mạng WLAN võ tuyên ở nhiều điểm Nói

chung, các hê thông vỏ tuyển luôn tao ra vùng phủ rộng hơn Mặt khảc, tin hiệu võ

tuyển luôn có độ rông băng thông hẹp hơn các tín hiệu quang mặc đủ các hệ thông,

thương mại vẫn chưa khai thác được hết băng thông tin hiệu quang

90m: 6Mb/s 30m

EEE 802.11b 2.4 i 1IMb/§

90m: 1Mb/s

15m:

S4Mb/s IEEE 802.11g 24 34

18

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

tan TSM (khoảng 83 MHz trong phổ 2.4 GHz), §03.11a sử dụng gấp 4 lân băng tân

ISM vi UNI sử dụng phổ không nhiễu 300MHTz

Independent Clear Channels

BAO 5,180 5200 6,220 8,240 5,260 5.280 5,300 5320 5,350 MHe MHz MHz MHz MHe WH: MHz MHe MHe MHZ

Theva ave sight independent clear channels it the lower 200 Miz af the 5-GHz spectnm

Hinh 1-2 Dai tan 5 GHz

Ích lợi dầu tiên của B02.11a so với #02.11b là chuẩn hoạt động ở phd 5.4 GHz, cho

phép nở có hiệu suất tốt hơn vị có tẤn số cao hori

Ích lại thủ hai dựa trên kỹ thuật mã hoá sử đụng bởi 802.L1a 802 L1a sử dụng một

phuong thite ma hoa duge goi la coded orthogonal FDM(COFDM hay OFDM) Méi

kênh phụ trong sự thực thi COFDM có độ rộng khoảng 300 kHz, COVDM hoạt động

bằng cách ctúa nhỏ kênh truyền dữ liệu lốc độ cao hành nhiều kênh tuyển phụ có tốc

độ thấp hơn, vả sau đỏ sẽ được truyền song song Mỗi kênh truyền tắc độ cao có độ

rộng là 20MIz và được chia nhỏ thành 52 kênh phụ, mỗi cái có đồ rộng, khoảng 300

kHz

COEDM sử dụng 48 kênh phụ cho việc truyền dữ liệu, vá 4 kênh cón lại được sứ dụng,

cho sửa lỗi COFDM có tốc độ truyền cao hơn và có khả năng phục hồi lỗi tốt hơn, nhờ vào kỹ thuật mã hoá và sỗa lỗi của nó Mỗi kênh phụ có độ rông khoảng 300 kHz Đề

ma hoa 125 kbps thi BPSK dược sử dụng cho tốc dồ khoảng 6000 kbps Sử dụng

QPSK thì oó khả năng mã hoá l6n tới 250 kbps mỗi kênh, cho tốc độ khoảng, L2Mbps

Bang cách sử dụng QAM L6 mức mã hoá 4biVHertz, và dạt dược tốc độ 24 Mbps., Tốc

độ 54 Mbps dạt dược bằng cách sứ dụng 64 QAM, cho phép từ 8-10 bịt cho mỗi vòng,

19

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

và tổng cộng lên đến 1.135 Mbps cho mỗi kênh 300 kHz Với 48 kênh cho tốc độ 54

Mbps, tuy nhiên, tốc độ tôi đa theo lý thuyết của COFDM là 108 Mbps

Tất cả các băng tần đùng cho Wireless LAN là không cần đăng ký, vì thể nó để đàng đẫn đến

ánh sự xung đột này, cả 802 11a và 802.11b đều có sự điều chính

Được dưa vào năm 1999, tiêu chuẩn TEEE 802.11b bay Wi- f, là phần mổ rộng của

tiêu chuẩn 802.11 Chuẩn nảy cung cấp việc truyền dữ liệu trong, dãi tần 2.4 Ghz, với

cae téc dé 1-2 Mbps

TEEE 802 L1b sử dụng phương pháp trai phd truc tiép DSSS Tiều chudn 802.11b được

xây dụng ở 2 lớp dưới củng của mô hình OSI: PHY vá lớp con MÁC thuộc lớp liên kết

dử liệu

Tổ tăng tác độ truyền lên cho chuẩn 802 LIb, vào năm 1998, Lucent va Harris dé xudt

cho IEEE mét chuan duge goi 1a Complementary Code Keying(CCK) CCK si dung một tập 64 từ các mã 8 bit, do dé 6 bit c6 thé duoc dai điện bởi bật kỳ từ mã nảo Vì là một lập hợp những từ mã nảy có các đặc tính Ioán học duy nhất cho phép chúng dược bên nhận nhận ra một cách chủnh xác với các kỹ thuật khác, ngay cá khi có sự hiện điện

của nhiều

Với tốc độ 5.5 Mbps sử dụng CCK để mã hoá 4 bịt mỗi sóng mang, và với tốc độ 11

Mbps mã hoá 8 bịt mỗi sóng, mang, Cá hai tốc độ dêu sử dựng QPSK làm kỳ thuật diều chế và tín hiệu ở 1.375 MSps Vi FCC điều chỉnh năng hong dau ra thanh 1 watt

EiTecuve Isolropie Radiated Powor(ETRP) Do dó với những thiết bị 802.11, khi di

chuyển ra khối sóng radio, radio có thể thích nghị và sứ dụng kỹ thuật mã hoá ít phức

†ạp hơn đề gửi dữ liệu và kết quả là tốc đó chậm hơn

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

Môi trong những nhược điểm của TREE 803.11b là băng lân để bị nghền và hệ thông dé

tị nhiễu bởi các hệ thống mạng khác, lò vi ba, các loại điện thoại hoạt động ở tân số

2.4 GHz và các mạng Bluetooth Đồng thời TREE 802.11b cũng có những hạn chế như: thiểu khả năng kết nói giữa các thiết bị truyền giọng nói, không cung cấp dịch vụ Qo8 (Quality of Service) cho các phương tiện truyền thông

Mac đủ vẫn còn một vải hạn chế và nhược điểm nhưng chuẩn 802.11b (thường gọi là WiB) là chuẩn thông dụng, được sử dụng phổ biển nhất hiện nay với số lượng lớn các nhà cung cấp cho các đổi tượng khách bảng là các doanh nghiệp, gia định hay các văn phòng nhẻ

802 Lib Starddnrl Omlpne

Data Rate Code mdCodeLengiìq Modulation SymbolRate Bite/ŠSymbol

I Mops 11 (Barker sequence) BPSK IMSps L

2 Moạo 1i (Barker sequence) Qrsk 1 MSas 2

IEEE 802.11b+: TI (Texas Instruments) da phat triển một kỹ thuật điền chế gọi là

TBCC (PackeL Bmary Convolutioral Code) mà nó có thể cùng cấp các tốc độ tín hiệu ở

22Mbps và 33Mbps TI sản xuất các chipset dựa trên B02.11b còn hỗ trợ PBCC

22Mbps.Cac sản phẩm kết họp các chipset nay được biết như là các thiết bị S02.11bI Chúng hoàn toàn lương thích với 803 1 Tb, và khi giao tiếp với nhau có thể đại được tắc

độ tín hiệu 22Mbps Một sự tăng cường mã TT có thể được sử dụng giữa các thiết bi

802.11b1 1á chế độ 4x, nó sử đụng kích thước gói tín tối đa lớn hơn (4000 byte) dé

giảm chồng lấp và tăng thông lượng,

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

d — 802.11p

Chuẩn IEEE §02 11g là một chuẩn mới, được khỏi thảo từ năm 2001 nhưng mãi đến

tăm 2003 mới hoán thành Mặc dủ chuẩn 802.114 có tốc độ nhanh (54 Mbps), hoại

động tại băng tần cao (5 GI1z ) nhưng nhược điểm lớn nhất của nó lả không tương

thích với chuẩn 802.11b Vì thể sẽ không thể thay thể hệ thống dang ding 802.11b ma không phải tốn kém quá nhiều, TEBE da cho ra đời chuẩn 802.11g nhằm cải tiên

802.11b về tốc độ truyền cũng như băng thông, 802.11g có hai đặc tính chính sau đây:

Sử đụng kỹ thuat OFDM (Orthogonal Frequency Division Multiplexing), dé co thé

cũng cấp các dịch vụ có tốc độ lên tới 54Mbps Trước đây, FCC (Federal

Commnnieation Cernmission- USA) có câm sử dụng OEFDM tại 2,4GI1z Nhưng hiện nay ECC đã cho phép sử dụng OFDM tại cả lại bằng tần 2.4GT và SGH+

Tương thích với các hệ thông 803.1 1b tôn tại ước Do đó, 802.11g cũng có hễ trợ

CCK va thiét bị 802.11g cũng có thể giao tiếp với thiết bị 802.11b có sẵn

Mộột thuận lợi rõ rằng của 802 L1g là tương thích với S02.L1b (được sử dụng rấi rộng

Tai) va co duoc tốc độ truyền cao như 802.114 Tuy nhiên số kênh tôi đa mã 802.11g được sử dụng vẫn là 3 như 802.11b Bên cạnh đó, do hoạt động ở tần số 2,4 GIz như 802.11b, hệ thống sử đụng 802.11g cũng để bị nhiễu như 801 I Lb

e — BW2/11g+

TERE 802.11g+: được cải tiên từ chuân 803.11g, hoàn toàn tương thích với 802.11a và

802.11b, được phát triển bởi TT Khi cáo thiết bị 802.11g+ hoạt động với nhau thì thông lượng đạt được có thế lên đến 100Mbps

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

[ — 80211

Nó là chuẩn bố sung cho các chuẩn 802.11a, 802.11b, 802 11g vé van dé bảo mật Nó

mô tả cách mã hóa đữ liệu truyền giữa các hệ thông sử dung vac chuẩn này 802.111

định nghĩa một phương thức mã hoá mạnh mẽ gồm Ternporal Key Integrity Protoool (TKIP) va Advanced Fncryption Standará (AE8)

Lién minh WWiSE (WorldWide Spectrum Efficiency), bao gdm ce céng ty: Airgo

Networks, Bermai, Broadcom, Conexant Systems, STMicroelectronics va Texas

Instruments, cho biét cng nghệ Wi-Fi mới dang dược nhóm thảo luận 802.11n của

Viện Kỹ thuật Diện vá Diện tử (1U) xem xét Dây là bộ phận giảm sát một chuẩn

Wi-Fi thé hd k

100Mbps

tp có khả năng duy trì tốc độ trao đổi đữ liệu không đây vượi mức

Chuan Wi-Fi để xuất đựa trên công nghệ MIMO- OTDM ( multiple input, multiple

oulpul- orthogonal frequency division multiplexing), cung cap téc 46 cav hon bang

cách sử dụng hai anten ở mỗi dầu của tín hiệu (một dễ truyền, một dễ nhận), thay vì

một anten ở mỗi đầu như hiện nay

Céng nghé MIMO sẽ là thành phân cắt yêu của chuẩn 802.11n, cung cấp phạm vi phit sóng WLAN ôn định hơn với tý lệ truyền dữ liệu siêu nhanh, Nó sẽ cho phép người

dùng thực hiện nhiễu công việc hơn với Wi- "i, đặc biệt trong các ứng đựng đa phương,

tiện

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

WWISE cho biết công nghệ mới có thể đạt tý lệ truyền tôi đa lên đến 135Mbps trong cầu hình tối thiểu 2 nếi 2 (twœ- by- two), và tỷ lệ này có thể lên tới 540Mbps qua Ì cầu tric MIMO 4 ndi 4 (four by- four) wa dé rng kênh truyền 40MHz

1.3 Cấu trúc cơ ban cia WLAN

Môi mạng WT,AN 802.11 thông thường gồm bốn thành phần chính: Hệ thống phân

phải (DS), Diễm truy nhập (AP), Môi truong v6 tuyén (WM) va Cac tram STA

'Thiết bị gọi lá điểm truy nhập đồng vai trò như là cầu nối giữa mạng WLAN với

trường bên ngoài Chức năng chính của điểm Iruy nhập là mỡ rộng mạng (mở rộng một

vùng phủ sóng vô tuyến) Các điểm tray nhập bô sung, có thể được triển khai trong một toà nhà hay khuôn viên trường đại học nhằm tạo ra các vùng truy nhập vô tuyển rộng,

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

1.3.2 Môi trường võ tuyến (Wireless Medium)

Là mỗi trường truyền cáo sóng điện từ mang thông tin từ trạm này đến trạm khác Đây

chỉnh là môi trường không khí

1.3.3 Các trạm (Station)

Các mạng WLAN được thiết kế và xây dựng nhằm mục địch kết nối các trạm với

nhan, Trạm có thế là những thiết bị như máy tính, điện thoại câm tay hay bắt cứ thiết bị

nao có giao điện vô luyến

Basic service set (BSS)

802.11 dinh nghia BSS nhu mét khdi két cdu co ban olla mang WLAN Linh 2.4 biéu

dién hai BSS, méi B88 có hai trem

Tĩnh 1-5 Cấu trúc cơ ban cha WLAN

BSS chi gdm mét nhém các trạm không đây truyền thông với nhau trong một phạm vĩ giới hạn, được xác đình bởi các đặc tỉnh của môi trường uyên Khi ruột trạm nhằm:

trong vũng phục vụ, nó có thẻ liên lạc với tất cả các thành phan khac trong BSS Nếu

một trạm di chuyền ra ngoài BSS của nó, nó sẽ không liên lạc trực tiếp được với các

thành viên khác của BSS

1.3.4 Hệ thống phân phối (Distribution System)

Thanh phan kiến trúc dũng đẻ kết nổi các nhóm địch vụ với nhau và tích hợp với các

mang LAN dé tạo thành một mạng mở rông được gọi là Hệ thêng phân phối D5 Hay

35

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

tiôi cách khác, DŠ sử dụng để kết nội các B88 với nhau, để điều phối thông tin đến các

trạm đích

Miột Dã cho phép hỗ trợ các thiết bị đi động bằng cách cũng cấp các dịch vụ logic cân

thiết giám sát dịa chỉ dễ chuyển đổi đích và tích hợp nhiều BSS Dữ liệu di chuyên giữa mét BSS va DS qua một AP Cac dia chi dược AP sử dụng dé trao déi thông tin trên

môi trường vô tuyến WM và trên môi trường hệ thống phân phối DSM không nhất

thiết phôi giống nha

WLAN phân tích một cách logic môi trường vô tuyển với mồi trường hệ thông phân

phải Mãi môi trường logie khác nhau được sử đụng cha mỗi mục đích khảo nhau bởi

một thành phần kiến trúc khác nhau

'Irong thực tế, hệ thống phân phối được xem nữ sự kết hợp giữa cầu nối (Đridge) và

môi trường hệ thẳng phân phổi Nó là cáo mạng xương sống (backbone), sử dụng đề

chuyển các gói tìn giữa cáo điểm uy nhập

1.4 Bao mat trong mang WLAN

lão mật là vẫn đề hết sức quan trọng đôi với người dùng trong tất cá các hệ thông

mạng (LAN, WLAN ) Nhưng đo bắt nguồn từ tính cổ hữu của môi trường không,

dày Đề kết nối tới một mạng T.AN hữu tuyên cần phải truy cập theo đường truyền

bằng day cáp, phải kết nổi một PC vào một cổng mạng Với mạng khéng day Wi- Fi

chỉ cần có thiết bị lrong vùng sóng là có thế truy cập được nên van dé bao mal cho

mạng không dâyW¡- Ei là cực kỷ quan trọng và làm dau dẫu những người sử dụng,

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

én trong mot toa nha Sóng vô Luyển có thể xuất hiện trên đường phổ, Lừ các trạm phát

từ cáo mạng Wi- Ti này, và như vậy ai đó cũng có thể truy cập nhờ vào các thiết bị

thích hợp Do đỏ mạng không đây của một công ty cũng có thể bị truy cập từ bên ngoài

tỏa nhà công ty của họ

Không giống như các hệ thông hữu tuyên dược bảo vệ vật lý, các mạng vô tuyển không

cả định wong một phạm vi Chúng có di chuyến ra xa khoảng 1000 bước chân ngoài

ranh giới của vị trí gốc với một laplep và mat anton thu Nhfing didu ndy làm cho trạng

Wifi rất đễ bị xâm phạm

Bảo mật là vẫn đề rất quan trọng và đặc biệt rất được sự quan tâm của những doanh

nghiệp Không những thể, báo mật cũng là nguyên nhân khiến doanh nghiệp e ngại khi cai dit mạng cục bộ không, dây WLAN, Họ lo ngại về những diễm yếu trong bảo mật

WEP (Wired Equivalent Privacy), và quan tâm tới những giải pháp bão mật mới thay

Theo như Webtorial, WPA và 802.11 được sử dụng tương ứng là 299 va 22% Mat

khác, 42% dược sử dụng cho các "giải phap tinh thé" khac như: bảo mật hệ thống mạng,

riêng ảo VEN (Vitual Private Network) qua mạng cục bộ không dây

tạ q

Luận văn tốt nghiệp cao hoc Chương 1: CƠ SỞ LÝ THUYẾT

a Tân công không qua chứng thực

Tan công không qua chứng thực (Deauthentication attack) là sự khai thác gần như hoàn

hảo lỗi nhận dạng trong mạng 802.11 Trong mạng 802.11 khi một nút mới gia nhập

vao mạng nó sẽ phải đi qua qua trình xác nhận cũng như các quá trình có liên quan

khác rồi sau đó mới được phép truy cập vào mạng Bat kỷ các nút ở vị trí nảo cũng có thể gia nhập vào mạng bằng việc sử dụng khoá chia sẻ tại vị trí nút đó đề biết được mật

khẩu của mạng, Sau quả trình xác nhân, các nút sẽ đi tới các quả trình cỏ liên quan đẻ

có thể trao đổi dữ liệu và quảng bả trong toàn mạng Trong suốt quá trình chứng thực chỉ có một vài bản tin đữ liệu, quản lý và điều khiến là được chấp nhận Một trong các bản tin đó mang lại cho các nút khả năng đòi hỏi không qua chứng thực từ mỗi nút

khác Bản tin đỏ được sử dụng khi một nút muôn chuyên giữa hai mạng không day

khác nhau Vỉ dụ nếu trong củng một vủng tồn tại nhiều hơn một mạng không dây thì

mut đó sẽ sử đụng bản tin này Khi một nút nhận được bản tin “không qua chứng thực” nảy nó sẽ tự động rời khỏi mạng và quay trở lại trạng thái gốc ban đầu của nó

Trong tân công không qua chứng thực, tin tặc sẽ sử dụng một nút giả mạo đề tìm ra địa chỉ của AP đang điều khién mạng Không quá khó đề tìm ra địa chỉ của AP bởi nó

28

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

không được bão về bởi thuật toán mã hoá, địa chỉ của chúng có thế được tìm thầy nếu

chúng ta lắng nghe luu lượng giữa ÁP và các mút khác Khi tin tặc có được địa chỉ của

AP, ching sé gửi quảng bá các bản tín không chứng thực ra toàn mạng khiến cho các nut trong mang ngay lập tức dừng trao dỏi tìn với mạng, Sau dỏ tắt cả các nút đó sẽ có +ếi nói lại, chứng thực lại và liên kết lại với AP tuy nhiên đo việc truyền cdc ban tin

không qua chứng thực được lắp lại liên tục khiến cho mạng rơi vào tình tạng bị đừng,

hoạt động,

h Tân công truyền lại

Tén công truyền lại (Replay Attack) là tin tặc đứng chắn ngang việc truyền thông tin

hợp lệ và rôi sử dụng lại nó Tin tặc không thay đối bân tin mà chỉ gũi lại nó trong thời

điểm thích hợp theo sự lựa chọn cửa tin tặc

‘Trong mang 802.11, tắn công truyền lại tạo ra kiểu tấn công từ chối dịch vụ vì khi mứt nhận được một bản tin hợp lệ nó sẽ chiếm dụng băng thông và tính toám thời gian dé

giải mã bắn tin đó Các lỗi để bị tản công nhất trong 802.11 rất nhạy với hình thức tân

công này là các bản tin không có thử tự một cách rõ ràng, Trong 802.11 không có cách

Tảo để dò và loại bồ các bản lín bị truyền lạt

© Tân công dựa trên sự cảm nhận sóng mang lớp vật lý

Tân số lả một nhược điểm bảo mật trong mạng không dây Mức độ nguy hiểm thay đổi

'phụ thuộc vào giao điện của lép vật lý Có một vài tham số quyết định sự chịu đựng

của mạng là: nắng lượng máy phốt, độ nhạy của máy thu, tần số RF, bằng thông và sự

dịnh hưởng của anten

Trong 802.11 sử dựng thuật toán đa truy cập cảm nhận sóng mang (CSMA) để tránh

xung đột CSMA là một thành phân của lớp MAC CSMA dược sử dụng đẻ chắc chắn răng sẽ không có xung dột dữ liệu trên đường truyền Kiểu tân công này không sử

dụng tạp âm để tạo ra lỗi cho mạng nhưng nó sẻ lợi đụng chính chuẩn đó Thậm chí là

29

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

kỹ thuật sử dựng trái phổ tuân tự trực tiếp (D888), mã sửa sưi FEC hay CRC đều võ

ích với kiểu tấn công này

Có nhiều cách đẻ khai thác giao thức cảm nhận sóng mang vật lý Cách đơn giản là làm

cho các nút trong mạng, đều tin tưởng rằng có một mút dang, truyền tin tại thời điểm

hiện tại Cách để nhất đạt dược diễu này là tạo ra một nút giả mạo để truyền tin một

cách liên tục Một cách khác là sử đựng bộ tạo tín hiệu RF Mét cach tan công tính vi

hon 1 lam cho card mang chuyén vao ché dé kiểm tra mà ở đó nó truyền đi liền tiếp

một mẫu kiểm tra Tắt cã các mắt trong, phạm vi của một nút giả lả rât nhạy với sóng

mang va trong khi øó một nút đang truyền thì sẽ không có nút nảo được truyền Theo

như tin tặc thị dỏ là kiểu rất để bị tân công vì nó không dòi hỏi thiết bị đặc biệt

d _ Tân công từ chỗi địch vụ

Dây là hình thức tấn công làm cho các mạng không đây không thể phục vụ dược người dùng, từ chối địch vụ với những người cing hop pháp Trong mạng eö dây có các hình thức tân công từ chỗi dịch vụ o8 (Demal of Service) phổ biển nhu Ping of Death,

SYN Flooding Các hình thức này dựa trên cơ chế của bộ giao thức TCP/TP, có thể

khiển cho máy chủ bị treo Mạng không đầy tổn tại những điểm yếu để tân céng DoS khác với mạng có dây ví dụ như khi sóng radio truyền trong môi trường, nó rất dễ bị

ảnh hưởng bởi các yêu tổ khách quan cũng như chủ quan Một kê tân công có thể tạo ra các sóng cỏ củng tân số với tần số truyền tin hiệu dé gay nhiều cho đường truyền Điều nảy đôi hỏi một bộ phát sóng đủ đám bảo tin hiệu ên định cho mạng,

e — Giá mạo địa chỉ MAC

Trong 802.11 dia chi MAC là một cách để ngăn người dùng bất hợp phán gia nhập vào

mang Vige giả dịa chỉ MAC là một nhiêm vụ khá dễ dàng dói với tin tặc, Trong khi

giả trị được mã hoá trong phần cứng là không thẻ thay đổi thi giả trị được đưa ra trong phần sụn (chương trình cơ sở) của phần cứng lại có thể thay đổi được Có nhiều

30

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

chương trình sử dụng cho các hệ điều hành khác nhau có thể thay đổi được địa chỉ

MAG dune dua ra trong bộ điều hợp mạng, Thủ tục này thục sự là rất để và có thể

được thực hiện trong vải phúi Thậm chí sau khi giả địa chỉ MÁC trở nên phổ biển,

802.11 vẫn còn sử dụng, phương pháp chứng thực này bởi vi dia chi MAC 48 bít là đủ

dai dé ngăn chăn các cuộc tắn công vào nó Nhiễu chương trình mới đã được tạo ra để

cho phép tín lặc vượt qua được sự khó khăn này Tìm tậc không phải di tin dia chi

MÁC bởi vị nó được phát quảng bả ra toàn mạng do chuẩn 803.11 yêu câu như vậy

Chỉ có một vài gói tỉn mà tin tặc cân chặn lại để lây địa chỉ MAC và đo vậy bằng việc gid mao dia chi MAC tin tặc dã được nhận đạng như một người dùng hợp pháp của

Mã hóa đữ liệu truyền - Sử dụng cáo phương pháp: WEP (Wired Hquivalent

Privacy), WPA (Wifi Protected Access), 802.111 (WPA2)

Luận văn tốt nghiệp cao hoc Chương 1: CƠ SỞ LÝ THUYẾT

DIREKmN -

8 Ea Packet ftering/port blocking to protect

enterprise networks from wirvless Intruders

8 Kk Mutual! authentication between client

(8@2.†x EAP-TLS using cortinc ates)

0m=mMm<-=-.==== (Onamik WEP, 802 1x EAP-TLS and 3DES)

ORME sects devices (MAC address access contro!)

Hình 1-7 Mô hình bảo mật wifi

a Firewall, phương pháp lọc

Lọc (Filtering) là một cơ chế bảo mật căn bản mà có thẻ dùng bỗ sung cho WEP

và/hoặc AES Lọc theo nghĩa đen lả chăn những gì không mong muốn và cho phép

những gì được mong muôn Eilter làm việc giông như là một danh sách truy nhập trên router: bằng cách xác định các tham số mà các trạm phải gán vào đề truy cập mạng

Với Wi- Fi thì việc đỏ xác định xem các máy trạm lả ai và phải câu hình như thế nảo

Co ba loai can ban ctia Filtering co thé thuc hién trén Wi- Fi:

Loc SSID (SSID Filtering) la mét phương pháp lọc sơ đẳng nên được dủng cho hâu hét

các điều khiên truy nhập SSID (Service Set Identifier) chỉ là một thuật ngữ khác cho

tên hạng, SSID đũa tuột trạm Wis Fi phai khop với:SSID trên AP (chế độ cờ số,

32

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

infacstrueture mode) hoặc của các trạm khác (chẻ độ đặc biệt, Ad-hoc mode) dé chimg thực và liên kết Client đề thiết lập dịch vụ

Vi li do SSID được phát quảng bá trong những bản tin dân đường mà AP hoặc các

Station gtti ra, nén dé dang tim duoc SSID của một mang sử dụng một bộ phân tích

mạng, Sniffer Nhiễu AP cỏ khả năng lây các S8ID của các khung thông tin dần đường,

(beacon frame) Trong trường hợp này elient phải so khớp SSID đề liên kết voi AP

Khi một hệ thông được câu hình theo kiêu nảy, nó được goi lả hệ thông đóng, closed

system Loc SSID được coi lả một phương pháp không tin cây trong việc hạn chế

những người sử dụng trải phép của Wi- FL Một vải loại AP có khả năng gỡ bỏ SSID từ

những thông tìn dần đường hoặc các thông tin kiểm tra Trong trường hop này, đề gia

nhập địch vụ một trạm phải cỏ SSID được câu hình bằng tay trong việc thiết đặt câu

hình driver

v Loe dia chi MAC

Wi- Fi cé thé loc dua vao dia chi MAC etia cac tram khach Hau het tat a cae AP,

thâm chí cả những cải rẻ tiên đều có chức năng lọc MAC Người quân trị mạng cỏ thê

biên tập, phân phổi và bảo trí một danh sách những địa chỉ MAC được phép vả lập

trình chủng vào các AP Nếu một Card PC hoặc những Chient khác với một địa chỉ

MAC mà không trong danh sách địa chỉ MAC của AP nó sẽ không thê đến được điềm

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

Tất nhiên, lập trình các dia chi MAC của cáo Chenl trong mang WLAN vào các AP

trên một mạng rồng thi không thực tả Tộ lọc MAC có thê được thực hiện trên vài

RADIUS Server thay vi trên mỗi điểm truy nhập Cách cấu hình nay lama che loc MAC

là một giải pháp an toàn, và đo đó có khả năng được lựa chọn nhiều hơn Việc nhập địa chỉ MAC cũng với thông tin xác định người sử dụng vào RADTUS khá là đơn giản, mã

có thể phải được nhập bằng bất cứ cách mảo, lá một giải pháp lột RADTUS Server

thường trõ đến các nguồn chứng thực khảo, vì vậy các nguồn chứng thực khảo phải

được hã trợ bộ lọc MAC: Bộ lọc MÁC có thể làm việo tốt trong chế độ ngược lại Xét

xột vỉ dụ, một người làm thuê bó việc và mang theo cả Card Lan không, đây của họ

Card Wlan nảy nắm giữ cả chia khóa WIIP và bộ lọc MAC vì thê không thể để ho con được quyên sử dụng Khi đó người quản trị có thế loại bỏ địa chỉ MAC của máy khách

đỏ ra khói danh sách cho pháp Mặc đủ Lọc MÁC trồng có vé là một phương pháp bảo

mật tốt, chúng vẫn còn để bị ảnh hưởng bởi những thâm nhập sau:

- Sự ăn trộm một Card PC treng cé mét bé loc MAC của AP

- Việc thấm đỏ Wi- Fi và sau đó giá mạo với một địa chỉ MAC để thâm nhập vào mang

Với những mạng gia định hoặc những mạng trong vẫn phòng nhé, noi ma có một số

lượng nhỗ các trạm khách, thì việc dùng bộ lọc MAC là một giải pháp bão mi hiệu:

quả Vị không một hacker thông minh nảo lại tốn hàng giờ dễ truy nhập vào một mạng

có giá trị sử đựng thấp

ý Lọc giao thức

Mạng WTLan có thể lọc các gói đi qua mạng dựa trên các giao thức lớp 2-7 Trong

nhiều trường hợp, các nhà sắn xuất làm các bộ lọc giao thức có thể định hình độc lập cho cả những đoạn mạng hữu tuyến và võ tuyến của ÁP Tưởng tượng một hoàn cảnh, trong đó một nhóm câu nối không dây được đặt trên mét Remote building trong, mang

W+- tí của một trường đại học mà kết nổi lại tới AP của tòa nhà kỹ thuật trung tâm, Vì

34

Luận văn tốt nghiệp cao hoc Chương 1: CƠ SỞ LÝ THUYẾT

tất cả những người sử dụng trong remote building chia sẻ băng thông SMbs giữa những,

tòa nhả nảy, nên một số lượng đảng kế các điều khiển trên các sử dụng này phải được

thực hiện Nếu các kết nổi nảy được cải đặt với mục đích đặc biệt của sự truy nhập

Internet của người sử dụng, thì bộ lọc giao thức sẽ loại trử tật cả các giao thức, ngoại

Phương pháp nảy chỉ được xem như là một giải pháp tỉnh thế vì khi nhận ra sự yêu

kém của WEP, những người sử dụng doanh nghiệp đã khám phả ra một cách hiệu quả

để bảo vệ mạng không day Wi- Fi ctia minh, được gọi là VPN Fix Ý tưởng cơ bản của

phương pháp nảy là coi những người sử dụng Wi- Fi như những người sử dụng dịch vụ truy cập tử xa

Trong cách câu hình này, tất các những điểm truy cập W¡- Fi, và cũng như các máy

tính được kết nổi vào các điểm truy cập này, đều được định nghĩa trong một mạng

LAN ảo (Vitual LAN) Trong cơ sở hạ tàng bảo mật, các thiết bị này được đối xử như

lả "không tin tưởng" Trước khi bất cứ các thiết bị Wi- Ei được kết nói, chủng sẽ phải

được sự cho phép từ thành phần bảo mật của mạng LAN Dữ liệu cũng như kết nỗi của

35

Luận văn tốt nghiệp cao học Chương 1: CƠ SỞ LÝ THUYẾT

các thiết bị sẽ phải chạy qua một ruây chủ xác thực như RADTUS chẳng hạn Tiếp đó, kết nổi sẽ được thiết lập thành một tuyên kết nổi bảo mật đã được mã hoá bởi một giao thức bảo mật vi dụ như TPSc, giống như khi sử dụng các địch vụ truy cập lừ xa qua

Internet

Tuy nhiên, giải pháp này cũng không phải là hoan hao, VPIX Fix can lưu lượng VEN

lồn hơn cho tường lửa, vả cần phải tạo các thủ tục khởi tạo cho từng người sử đựng

Tơn nữa, TPScc lại không hỗ trợ những thiết bị có nhiều chức năng riêng như thiết bị

cấm tay, máy quét mã vạch Cuối cùng, về quan điểm kiên trúc mạng, câu hình theo

VPN chỉ là một giải pháp tỉnh thé

Phương pháp 882 Ix

Chuẩn WLAN 802.11 không có sự xác nhận thông mình, vị vậy chuẩn công nghiệp đã

thông qua giao thức 803.1x cho sự xác nhận của nó 8Ữ2.1x đưa ra cách thức điều

khiển truy cập trang cơ ban, 10 str dung FAP (Extensible Authentication Protocol) va RADIUS server 802.1x khdng đưa ra giao thức xác nhận một cách cụ thể nhưng chỉ rõ BAP trong việc hễ trợ sẽ lượng các giao thức xác nhận rư là CHAP-MD5, TLS và

Kerberos HAP có thể được mở rộng, vì vậy các giao thức xác nhận mới có thể được hỗ

trợ như trong các phiên bản sau của nó EAP được đưa ra đề hoạt động trên giao thức Pointe to Poinl (PPP); để nó tượng thích với cáo giao thức của lớp Hên kết đữ liệu khác (như là Token Ring 802.5 hay Wireless LANS 802.11) HAP Over LANs (ZAPOL) d3 được phát triển

Luận văn tốt nghiệp cao hoc Chương 1: CƠ SỞ LÝ THUYẾT

Hình 1-10 Phương pháp 802.1x 802.1x BAP-TLS được sử dụng trong các môi trưởng cở bản vả an toàn cao Sự trao

đổi của các message BAP- TLS cung cấp sự xác nhận lần nhau, sự bắt tay của giao

thức mã hóa và sự trao dai khóa bảo vệ giữa một client Wi- Fi va mang EAP-TLS la

một kỹ thuật cung cập các khóa mã hóa động cho người dùng và session Điều nảy cải

thiên một cách đáng kẻ và vượt qua nhiều điểm yếu trong các mạng không dây

Hình dưới đây chỉ ra một chuối các sự kiên xuất hiện khi một Client được xác nhận

bằng 802.1x BAP-TLS Hai chứng chỉ digital được yêu cầu 6 day: mét trén RADIUS

server (vi du EAS) va mét trên Client không dây Chủ ÿ rằng sự truy cập không đây

được cung cấp cho tới khi sự xác nhận thành công và các khóa WEP động đã được

thiết lập

37