GIỚI THIỆU TỔNG QUAN VỀ WLANCÁC HÌNH THỨC TẤN CÔNG WLAN CÁC GIẢI PHÁP BẢO MẬT WLAN PHƯƠNG PHÁPXÁC THỰC RADIUS SERVE R & WPA2 NỘI DUNG SẼ TRÌNH BÀY CẤP ĐỘ BẢO MẬT CÁCH THỨC BẢO MẬT... GIỚ
Trang 2GIỚI THIỆU TỔNG QUAN VỀ WLAN
CÁC HÌNH THỨC TẤN CÔNG WLAN
CÁC GIẢI PHÁP BẢO MẬT WLAN
PHƯƠNG PHÁPXÁC THỰC RADIUS SERVE
R & WPA2
NỘI DUNG SẼ TRÌNH BÀY
CẤP ĐỘ BẢO MẬT
CÁCH THỨC BẢO MẬT
Trang 3GIỚI THIỆU TỔNG QUAN VỀ WLAN
Khái niệm Mạng LAN không dây là một mạng dùng để kết nối hai hay nhiều thiết bị không dây với nhau mà không sử dụng dây dẫn
Trang 4CÁC CHUẨN THÔNG DỤNG CỦA WLAN
Release Date Frequency Op Data Rate (Typ) Data Rate (Max) (Indoor) Range
June 2003 2.4 GHz 23 Mbit/s 54 Mbit/s ~35 m
Release Date Frequency Op Data Rate (Typ) Data Rate (Max) (Indoor) Range
Jun 2009 2.4 GHz & 74 Mbit/s 300 Mbit/s ~70 m
Release Date Frequency Op Data Rate (Typ) Data Rate (Max) (Indoor) Range
October
1999 5 GHz 23 Mbit/s 54 Mbit/s ~35 m
IEEE 802.11a
Trang 5CẤU TRÚC VÀ CÁC MÔ HÌNH WLAN
Cấu trúc cơ bản của WLAN
Các thiết bị hạ tầng WLAN
Trang 6Các mô hình WLAN
Mạng Ad-hoc
Mạng cơ sở
Mạng mở rộng
Trang 7Sai lầm 1 Không thay đổi mật khẩu
Sai lầm 2 Không kích hoạt tính năng mã hóa.
Sai lầm 3 Không kiểm tra chế độ bảo mật.
Sai lầm 4 Thiết lập bảo mật mà không nhớ địa chỉ MAC của máy chủ.
Sai lầm 5 Cho phép mọi người truy cập.
THỰC TRẠNG VỀ BẢO MẬT WLAN
THỰC TRẠNG VỀ BẢO MẬT WLAN
Trang 8CÁC HÌNH THỨC TẤN CÔNG WLAN
Theo rất nhiều tài liệu nghiên cứu, hiện tại để tấn công vào mạng WLAN thì các Attacker có thể sử dụng một trong những cách sau:
Access Point giả mạo Tấn công yêu cầu xác thực lại
Tấn công dựa trên sự cảm nhận lớp vật lý
Access Point giả lập
Tấn công ngắt kết nối
Trang 9Business Traveler
Telecommuter
Trang 10Chỉ có những người dùng được xác thực mới có khả năng truy cập vào mạng
Sử dụng phương thức mã hoá trong quá trình truyền các thông tin quan trọng.
Bảo mật các thông tin và cảnh báo nguy cơ bảo mật bằng hệ thống IDS và IPS.
Xác thực và bảo mật dữ liệu bằng cách mã hoá thông tin truyền trên mạng.
Cách thức bảo mật
Cách thức bảo mật WLAN
Cách thức bảo mật
Cách thức bảo mật WLAN
Trang 11CÁC GIẢI PHÁP BẢO MẬT WLAN
Authentication Encryption IDS & IPS
Trang 12Bảo mật tương đương với
mạng có dây, đảm bảo tính
bảo mật cho mạng không
dây đạt mức độ như là
mạng nối cáp truyền thống
Cung cấp bảo mật cho dữ
liệu trên mạng không dây
qua phương thức mã hóa
sử dụng thuật toán đối
xứng RC4
Giao Thức WEP(Wired Equipvalent Privacy)
Trang 13Mạng riêng ảo VPN bảo
Trang 14Sử dụng một cơ chế bảo mật IPSec để mã hóa
dữ liệu và xác thực gói dữ liệu
Cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa
Trang 15TKIP chống lại việc giả
mạo gói tin và kiểm
tra tính toàn vẹn của
Trang 16Là một thuật toán mã hóa khối được chính phủ Hoa
kỳ áp dụng làm tiêu chuẩn mã hóa.
Thuật toán được thiết kế bởi hai nhà mật mã học người Bỉ: Joan Daemen và Vincent Rijmen
AES(Advanced Encryption Standard)
Trang 17802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) Hoạt động trên cả môi trường có dây truyền thống và không dây.
EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password,
cetificate,…), giao thức được sử dụng (MD5, TLS_Transport Layer Security)hỗ trợ tự động sinh khóa và xác thực lẫn nhau.
802.1X VÀ EAP
Trang 183 Client gửi đáp lại yêu cầu nhận dạng EAP cho AP
4 Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng thực
5 Server chứng thực gửi một yêu cầu cho phép tới AP
6 AP chuyển yêu cầu cho phép tới client
7 Client gửi trả lời sự cấp phép EAP tới AP
8 AP chuyển sự trả lời đó tới Server chứng thực
9 Server chứng thực gửi một thông báo thành công EAP tới AP
10 AP chuyển thông báo thành công tới client và đặt cổng của client trong chế độ forward.
Trang 19WPA ra đời để khắc
phục được nhiều
nhược điểm của WEP.
WPA thay đổi khoá liên
tục nên hacker không
bao giờ thu thập đủ dữ
liệu mẫu để tìm ra mật
khẩu và kiểm tra tính
toàn vẹn của thông tin
WPA (WI-FI PROTECTED ACCESS)
Trang 20WPA là sử dụng hàm thay đổi khoá TKIP và thuật
toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit
WPA có 2 lựa chọn: WPA Personal và WPA Enterprise
Trang 21Sử dụng chuẩn 802.11ivà sử dụng thuật toán mã hoá nâng cao AES
Chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mỹ để bảo vệ các thông tin nhạy cảm
WPA2 (WI-FI PROTECTED ACCESS)
Trang 22Lọc là cơ chế bảo mật cơ bản
hoạt động giống như Access
list trên router, cấm những cái
không mong muốn và cho
phép những cái mong muốn.
Trang 24BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP
XÁC THỰC RADIUS SERVER & WPA2
Network Access Server
RADIUS Server
Server
DHCP Server
Domain Controller
Dial-up Client
Wireless Access Point
Wireless Client
VPN Client
Trang 25Giao thức RADIUS: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập cho các phiên làm việc với SLIP và PPP Dial-up.
RADIUS là một giải pháp tốt cung cấp xác thực cho chuẩn 802.1x.
RADIUS dùng cho các doanh nghiệp có quy
mô lớn để bảo vệ và quản lý việc truy cập trong mạng không dây.
RADIUS dùng để tính cước dựa trên tài
nguyên đã sử dụng.
VÀI NÉT VỀ RADIUS
Trang 26Trao đổi thông tin trong chứng thực EAP
Trao đổi thông tin trong chứng thực EAP
Trang 27• Cấu hình RADIUS server trên Window Server Cấu hình RADIUS server trên Window Server
2003, tạo user và password cho các client dự định tham gia vào mạng.
• Trên AP Linksys, thiết đặt security mode là
WPA2-Enterprise.
• Cho PC tham gia vào mạng, kiểm tra kết nối Cho PC tham gia vào mạng, kiểm tra kết nối.
• 1 Access point Linksys WRT54G, 2 pc (1 pc có
gắn card wireless và 1 pc làm Radius server)
• PC làm Radius server sử dụng hệ điều hành
Windows Server 2003 Enterprise Edition và đã được nâng lên Domain Controller, PC làm
wireless client sử dụng hệ điều hành Windows
XP Professional
MÔ TẢ YÊU CẦU
Trang 28• Bước 1: Cài DHCP Bước 1: Cài DHCP
• Bước 2: Cài Enterprise CA
• Bước 3: Cài Radius Bước 3: Cài Radius
• Bước 4: Chuyển sang Native Mode
• Bước 5: Cấu hình DHCP Bước 5: Cấu hình DHCP
• Bước 6: Cấu hình Radius
• Bước 7: Tạo users, cấp quyền Remote access Bước 7: Tạo users, cấp quyền Remote access
cho users và cho computer
• Bước 8: Tạo Remote Access Policy
• Bước 9: Cấu hình AP và khai báo địa chỉ máy Bước 9: Cấu hình AP và khai báo địa chỉ máy
RADIUS
• Bước 10: Cấu hình Wireless Client
QUY TRÌNH CÀI DẶT
Trang 29Domain Controller 192.168.1.77
Authentication Server (RADIUS) 192.168.1.77