Đồ án Những đặc trưng riêng biệt, ưu, nhược điểm của các chuẩn mã hoá trong mạng Wifi. Xây dựng chính sách an toàn thông tin cho mạng Wifi. Xây dựng mô hình thực tế

Người dùng được gán các thông tin đăng nhập mà họ cần phải nhập vào khi kết nối với mạng, các thông tin đăng nhập này có thể được thay đổi hoặc thu hồi bởi các quản trị viên bất cứ lúc n

TRƯỜNG CAO ĐẲNG NGHỀ KỸ THUẬT CÔNG NGHỆ

Giáo viên hướng dẫn: TRẦN NGỌC DÂN

Sinh viên thực hiện:

1 Trần Kim Giáp Lớp: CĐQTMK1BD1/1

2 Trần Quốc Vĩnh Lớp: CĐQTMK1BD1/2

3 Lê Anh Hoàng Lớp: CĐQTMK1BD1/1

Tên đề tài: Trình bày những đặc trưng riêng biệt, ưu, nhược điểm của các

chuẩn mã hoá trong mạng Wifi Từ đó xây dựng chính sách an toàn thông tin cho mạng Wifi Xây dựng mô hình thực tế.

NỘI DUNG THỰC HIỆN

I. Giới thiệu sơ lược về mạng Wifi

II Lược đồ mã hoá truyền vô tuyến III Các chuẩn mã hoá

1. Cơ chế mã hoá WEP (Wire Equivalent Privacy)

b.3 Mô hình triển khai

c Sử dụng WPA

c.1 Yêu cầu hệ thống c.2 Cách thức hoạt động c.3 Mô hình triển khai

VI Kết luận

VII Nhận xét của giáo viên hướng dẫn

TRÌNH BÀY

I Giới thiệu sơ lược về mạng Wifi:

Wi-Fi viết tắt từ Wireless Fidelity hay mạng 802.11 là hệ thống mạng không dây

sử dụng sóng vô tuyến, giống như điện thoại di động, truyền hình và radio

Hệ thống này đã hoạt động ở một số sân bay, quán café, thư viện hoặc khách sạn

Hệ thống cho phép truy cập Internet tại những khu vực có sóng của hệ thống này, hoàn toàn không cần đến cáp nối Ngoài các điểm kết nối công cộng (hotspots), WiFi có thể được thiết lập ngay tại nhà riêng

Tên gọi 802.11 bắt nguồn từ viện IEEE (Institute of Electrical and Electronics Engineers) Viện này tạo ra nhiều chuẩn cho nhiều giao thức kỹ thuật khác nhau,

và nó sử dụng một hệ thống số nhằm phân loại chúng; 3 chuẩn thông dụng của WiFi hiện nay là 802.11a/b/g

II Lược đồ mã hoá truyền vô tuyến

Mã hoá là công cụ không thể thiếu cho truyền thông vô tuyến Bởi thiếu nó, kẻ xâm nhập có thể chặn và và đọc dữ liệu truyền của bạn

III Các chuẩn mã hoá

Đối với mạng nội bộ vô tuyến, có hai lược đồ mã hoá: WEP (Wired Equivalent Privacy), và WPA (Wi-Fi Protected Access)

1 Cơ chế mã hoá WEP (Wire Equivalent Privacy)

WEP (Wired Equivalent Privacy) là một thuật toán bảo nhằm bảo vệ sự trao

đổi thông tin chống lại sự nghe trộm, chống lại những nối kết mạng không được cho phép cũng như chống lại việc thay đổi hoặc làm nhiễu thông tin truyền WEP

sử dụng stream cipher RC4 cùng với một mã 40 bit và một số ngẫu nhiên 24 bit (initialization vector - IV) để mã hóa thông tin Thông tin mã hóa được tạo ra bằng cách thực hiện operation XOR giữa keystream và plain text Thông tin mã hóa và

IV sẽ được gửi đến người nhận Người nhận sẽ giải mã thông tin dựa vào IV và khóa WEP đã biết trước Sơ đồ mã hóa được miêu tả bởi hình sau:

Sơ đồ mã hoá bằng WEP

Tất cả nhà sản xuất thiết bị mạng vô tuyến đầu đưa ra WEP Muốn khai thác WEP, bạn nhập khoá 10 đến 26 ký tự vào tất cả thiết bị liên quan trong mạng vô tuyến (từng máy tính, điểm truy cập, bộ định tuyến vô tuyến), theo hướng dẫn của nhà sản xuất Nó là chuỗi ký tự thập lục phân phức tạp, tức bạn phải gõ đúng văn bản

như sau 64B7XACAC9104B0X98841R9545 trên mỗi thiết bị (lỡ như gõ sai hay

thiếu một ký tự, khoá sẽ không so khớp các thiết bị khác)

- Khả năng ước tính được

- Tùy chọn, không bắt buộc

WEP hội tụ đủ các yếu tố này, khi được đưa vào để thực hiện, WEP dự định hỗ trợ bảo mật cho mục đích tin cậy, điều khiển truy nhập, và toàn vẹn dữ liệu

Vấn đề có thể được giải quyết nếu bạn thay đổi định kỳ khoá WEP (Đó là lý do vì sao router thường cho phép lưu trữ 4 khoá) Nhưng cũng khá phiền phức và khó chịu vì thay đổi khoá WEP rất bất tiện và tốn thời gian, không chỉ thực hiện trên router mà còn trên tất cả các thiết bị kết nối tới nó Kết quả là hầu hết mọi người đều chỉ thiết lập một khoá đơn và tiếp tục sử dụng nó mãi mãi.

2 Cơ chế WPA(Wi-fi Protected Access)

Năm 2003, Hiệp hội Wi-Fi đã phát hành một chuẩn bảo mật khác mang tên Wi-Fi Protected Access (WPA) là một “tập con” của chuẩn bảo mật 802.11i để giải quyếtvấn đề kém bảo mật của WEP

Hệ thống mã hoá mới WPA an toàn và dễ sử dụng hơn Khoá nhập có thể là văn bản thường Bên cạnh đó, khoá nhập chỉ là khởi điểm cho mã hoá và bảo vệ bằng mật mã Thiết bị dùng khoá đó để tạo chuỗi khoá cực kỳ phức tạp Tất cả thiết bị

vô tuyến đều định kỳ tạo khoá mới, và bí mật trao dổi thông tin giữa chúng

a Ưu điểm

● Trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi

khóa TKIP WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hóađầy đủ 128 bit

● WPA thay đổi khóa cho mỗi gói tin Các công cụ thu thập các gói tin để

khóa phá mã hóa đều không thể thực hiện được với WPA Bởi WPA thayđổi khóa liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu

● WPA còn bao gồm cả tính toàn vẹn của thông tin (Message Integrity

check) Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đườngtruyền

b Nhược điểm

● Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal Khi

mà sử dụng hàm thay đổi khóa TKIP được sử dụng để tạo ra các khóa mãhóa chưa phát hiện, nếu hacker có thể đoán được khóa khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu Tuy nhiên, lố hỏng này cũng sẽ được loại bỏ bằng cách sử dụng những khóa khởi tạo không dể đoán (đừng sử dụng những từ như “P@SSWORD” để làm mật khẩu)

● Điều này cũng có nghĩa rằng thủ thuật TKIP của WPA chỉ là giải pháp

tam thời, chưa cung capas một phương thức bảo mật cao nhất

WPA có 2 dạng :

+ Chế độ Enterprise (EAP/RADIUS):

Chế độ này cung cấp khả năng bảo mật cần thiết cho các mạng không dây trong các môi trường doanh nghiệp,cung cấp khả năng điều khiển tập trung và phân biệt trong việc truycập mạng Wi-Fi Người dùng được gán các thông tin đăng nhập mà

họ cần phải nhập vào khi kết nối với mạng, các thông tin đăng nhập này có thể được thay đổi hoặc thu hồi bởi các quản trị viên bất cứ lúc nào

Người dùng không cần quan tâm đến các khóa mã hóa thực sự Chúng được tạo một cách an toàn và được gán trên mỗi session người dùng trong chế độ

background sau khi một người dùng nào đó nhập vào các chứng chỉ đăng nhập của

họ Điều này sẽ tránh được việc ai đó có thể khôi phục lại khóa mạng từ các máy tính

+ Chế độ Personal hoặc Pre-Shared Key (PSK) :

Chế độ này thích hợp với hầu hết các mạng gia đình – không thích hợp với các mạng doanh nghiệp Bạn có thể định nghĩa mật khẩu mã hóa trên router không dây

và các điểm truy cập (AP) khác Sau đó mật khẩu phải được nhập vào bởi người dùng khi kết nối với mạng Wi-Fi Nó không mang tính tập trung, một mật khẩu được áp dụng cho tất cả người dùng Nếu mật khẩu toàn cục cần phải thay đổi thì

nó phải được thay đổi trên tất cả các AP và máy tính Điều này sẽ gây ra rất nhiều khó khăn khi bạn cần thay đổi Không giống như chế độ Enterprise, mật khẩu mã hóa được lưu trên các máytính Mặc dù vậy, bất cứ ai trên máy tính – dù là nhân viên hay tội phạm – cũng đều có thể kết nối với mạng và cũng có thể khôi phục được mật khẩu mã hóa

WPA2

Trong phiên bản thứ hai (WPA2), được phát hành vào giữa năm 2004, khả năng bảo mật đã được cải thiện khá tốt với thực thi chuẩn bảo mật IEEE802.11i và mã hóa CCMP/AES

So sánh WPA-PSK và WEP

a) WPA-PSK mã hoá mạnh hơn WEP: vì các encryption keys được tự

độngthay đổi (rekeying) và đồng bộ giữa các thiết bị sau một khoảng thời gianđịnh trước hay sau một số lượng packet đã được truyền (rekey interval)

b) WPA-PSK bảo vệ người dùng: gia đình hay người dùng trong các công

ty nhỏ (home/SOHO users) tốt hơn WEP vì hai lý do sau:

+ Quá trình phát sinh Encryption Key tốt hơn và vững chắc hơn WEP

+ Thời gian Rekeying được thực hiện rất nhanh Do đó, một hacker rất khó

có thể thu thập đủ dữ liệu cần thiết để có thể “Break the Encryption”

c) WEP có thể làm người dùng gia đình: (những người nhiều khi không

rành về tin học) bối rối vì các kiểu key được hỗ trợ bởi nhà sản xuất (như có thể nhập bằng HEX, Ascii, passphrase) Thêm vào đó, có thể người dùng gia đình sử dụng nhiều thiết bị (hơn 2) của các hãng sản xuất khác nhau và như thế mỗi hãng mỗi kiểu, gây khó khăn cho người sử dụng

WPA-PSK sử dụng một phương pháp khác dễ dàng hơn đối với người sử dụng, đó

là passphrase (hay còn gọi là shared key) Passphrase phải được cấu hình trong wireless AP/router và WPA client

Độ dài của passphrase từ 8-63 kí tự, có thể bao gồm khoảng trắng và các kí tự đặc biệt Nếu là “keyboard characters” thì nên tối thiểu là 20 kí tự; nếu là số HEX thì tối thiểu là 24 kí tự

WPA-PSK sẽ sử dụng passphrase này để phát sinh ra Encryption key dùng để mã hoá dữ liệu Sau khi pre-shared key được cấu hình, TKIP (Temporal Key Integrity Protocol) sẽ nắm giữ quyền điều khiển việc mã hoá và Rekeying tự động

IV Chính sách an toàn thông tin cho mạng Wifi

a Nguy cơ

Wi-Fi rất tiện dụng cho mỗi gia đình, công sở, doanh nghiệp nhưng coi chừng, trộm sóng Wi-Fi đang trở thành tiêu điểm của người dùng công nghệ, phần mềm

bẻ khóa Wi-Fi rất phổ biến trên mạng

Trên các diễn đàn công nghệ, thông tin hướng dẫn là rao bán thiết bị, phần mềm bẻkhóa sử dụng lén sóng Wi-Fi rất phổ biến Chỉ cần rành một chút về công nghệ mua thiết bị, sử dụng phần mềm theo hướng dẫn là có thể sử dụng Wi-Fi miễn phí

Dựa vào những lỗ hổng bảo mật trên mạng: những lỗ hổng này có thể các điểm

yếu của dịch vụ mà hệ thống đó cung cấp, ví dụ những kẻ tấn công lợi dụng các điểm yếu trong các dịch vụ mail, ftp, web… để xâm nhập và phá hoại

Các lỗ hỗng này trên mạng là các yếu điểm quan trọng mà người dùng, hacker dựa

đó để tấn công vào mạng Các hiện tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là : sự ngưng trệ của dịch vụ, cấp thêm quyền đối với các user hoặc cho phép truy nhập không hợp pháp vào hệ thống

Sử dụng các công cụ để phá hoại : ví dụ sử dụng các chương trình phá khóa mật

khẩu để truy cập vào hệ thống bất hợp pháp; lan truyền virus trên hệ thống; cài đặt các đoạn mã bất hợp pháp vào một số chương trình Nhưng kẻ tấn công mạng cũng

có thể kết hợp cả 2 hình thức trên với nhau để đạt được mục đích

b.Phòng chống

Với thiết bị di động tích hợp card mạng không dây (máy tính xách tay, điện thoại

di động, PDA, pocket PC ), bạn dễ dàng truy cập Internet với vài thao tác đơn giản.Tuy nhiên các kết nối không dây thường không có độ bảo mật cao, máy tính của bạn dễ trở thành “mục tiêu” của những kẻ phá hoại Vì vậy, bạn cần thực hiện một vài thao tác để đảm bảo an toàn cho máy tính trước khi làm việc trên mạng

+ Tắt tài khoản Guest:

Để máy tính an toàn hơn, bạn nên tắt tài khoản Guest tránh người dùng đăng

nhập bằng tài khoản này Trong Windows XP, chọn Start ->Settings -> Control Panel -> User Accounts: Guest Turn off the guest account

+ Sử dụng tường lửa(firewall).

Tường lửa kiểm soát dữ liệu ra vào máy tính và cảnh báo những hành vi đáng ngờ;

là công cụ bảo vệ máy tính chống lại sự xâm nhập máy tính bất hợp pháp khi kết nối với môi trường bên ngoài Một số người dùng thường tắt tường lửa

củaWindows để tránh “phiền phức” Tuy nhiên khi kết nối mạng công cộng, bạn nên kích hoạt lại tính năng này

Thực hiện như sau: chọn Start -> Control Panel -> Windows Firewall -> tab

General, đánh dấu tùy chọn mục On (recommend)

+ Đặt mật khẩu khi chia sẻ tập tin, thư mục:

Người dùng sẽ được yêu cầu đăng nhập khi muốn truy cập những tập tin, thư mục chia sẻ Nếu sử dụng Vista, hệ điều hành sẽ điều chỉnh các thiết lập bảo mật dựa trên loại kết nối mạng của bạn Chẳng hạn khi xác định dùng mạng công cộng, Vista tự động tắt chế độ chia sẻ tập tin và máy in để bảo vệ dữ liệu

V Mô hình thực tế:

Trong thực tế có 3 mô hình có thể áp dụng

1 Mô hình Open System

2 Mô hình Pre-Shared Key

3 Mô hình Radius Server

► Mô hình Pre-Shared Key

a Giới thiệu

Là hệ thống mà trong đó các client giao tiếp với nhau qua Access Point (AP)

Là hệ thống mạng không dây (wireless) dùng khoá chia sẻ cho các client khi đăng nhập vào mạng

Triển khai mô hình cho một công ty hay một tổ chức nhỏ

Có 2 dạng được đề cập ở đây là WEP và WPA

b Sử dụng WEP b.1 Yêu cầu hệ thống Phần cứng:

─ Cần có một hoặc nhiều AP và các máy PC hay Laptop, NoteBook,…

─ Các máy tính phải có Wireless Card (USB, PCI hay PCMCIA)

b.2 Cách thức hoạt động

Về hình thức nó cũng cần có những yêu cầu cơ bản như hệ thống Open

System: đó là cùng IP (lớp) và tên mạng (SSID) lúc cấu hình AP nhưng đây là

mô hình Pre-Shared Key tức là dùng khoá chia sẻ cho các User khi truy cập vào mạng cục bộ không dây Khoá này được tạo ra khi cấu hình cho AP và khoá này

sẽ được chia sẻ cho các User khi truy nhập vào mạng

Khoá gồm có nhiều kích thước: 32 Bit, 64 Bit, 128 Bit, 256 Bit,… Kích thước này được chọn trong quá trình cấu hình AP và tuỳ theo loại AP mà có sự

hỗ trợ tương ứng Khoá này sẽ được mã hoá dưới dạng WEP

b.3 Mô hình triển khai

 Máy PC có gắn card wireless PCI

 Máy PC có gắn card wireless USB

 Mạng LAN gồm 4 máy PC

 Một Switch

b4 Cài đặt WEP cho DIR-300 (Cài đặt Wireless key)

Bước 1 Bạn sẽ nhìn thấy trang cấu hình của D-Link, click vào Setup > Wireless Setup > Manual

Wireless Connection Setup

Bước 2 Click vào Security mode > chọn Enable WEP Wireless Security.

WEP Encryption bạn có thể chọn 64Bit hoặc 128Bit :

- Nếu bạn chọn HEX của 64Bit, bạn sẽ nhập 10 ký tự từ 0 ~ 9, A ~ F, của 128Bit, bạn sẽ nhập 26 ký tự từ 0 ~ 9, A ~ F

- Nếu bạn chọn ASCII của 64Bit, bạn sẽ nhập 5 ký tự (A ~ Z, 0 ~ 9), của 128Bit, bạn sẽ nhập 13 ký tự (A ~ Z, 0 ~ 9)

Bước 3 Sau khi cài đặt WEP key, click vào Save Settings.

Bước 4 Vui lòng chờ trong khi Router lưu lại cấu hình.

─ Đánh giá hệ thống

 Ưu điểm: là nó có tính bảo mật cao hơn so với hệ thống Open System thông qua

khoá chia sẻ cho các Client gồm các khoá có chiều dài 64 bit, 128 bit, 256 bit NhữngClient khác muốn truy cập vào mạng cần phải có khoá chia sẻ này

 Khuyết điểm: WEP vẫn còn khá đơn giản và hiện tại thì đã có thuật toán crack

WEP Cho nên việc dùng WEP đã không còn thật sự an toàn nữa

 Hệ thống sử dụng WEP thích hợp cho các công ty, cơ quan nhỏ, không đòi hỏi có tính bảo mật cao

c Sử dụng WPA c.1 Yêu cầu hệ thống Phần cứng:

─ Cần có một hoặc nhiều AP và các máy PC hay Laptop, NoteBook,…

─ Các máy tính phải có Wireless Card (USB, PCI hay PCMCIA)

Phần mềm:

─ Hệ điều hành (HĐH) Windows(98 về sau) Professional hay Home cho các máytính (không nhất thiết giống nhau về phiên bản HĐH giữa các máy).

─ Cần phần mềm cấu hình cho AP và các máy PC dùng USB và PCI Card

 Một Switch

c4 Cài đặt WPA-PSK / WPA2-PSK cho DIR-300

Bước 1 Bạn sẽ nhìn thấy trang cấu hình của D-Link, click vào Setup > Wireless Setup > Manual

Wireless Connection Setup.

Bước 2 Click vào Security mode > chọn Enable WPA / WPA2 wireless security.

e t w ork K e y : Một Network key là password của WPA-PSK / WPA2-PSK sẽ

sử dụng để chứng thực cho mục đích sử dụng Cả wireless router và wireless card cần cấu hình Network Key tương tự nhau Số ký tự nhỏ nhất là 8, Số ký

tự lớn nhất là 63.

Bước 3 Sau khi cài đặt Network Key, click vào Save Settings

Bước 4 Vui lòng chờ trong khi router lưu lại cấu hình

Reboots : Khởi động lại router, để tất cả các cài đặt được hoạt động.

─ Đánh giá hệ thống

 Ưu điểm: là nó có tính bảo mật cao hơn so với hệ thống Open System thông qua

khoá chia sẻ cho các Client nhưng khoá này động tức là không bắt buộc theo 64 bit, 128bit hay 256 bit mà giá trị của khoá do người dùng tự đặt (người quản trị mạng WLAN).Điều này nâng cao tính bảo mật cho WPA so với WEP

 Khuyết điểm: kèm theo tính năng động thì có vấn đề là người dùng có thể sẽ

chọn khoá ngắn gọn (vài ký tự) điều này dẫn đến việc hệ thống mạng sẽ dễ bị hacker tấncông và hiện tại thì đã có thuật toán crack WPA nhưng chưa phổ biến bằng WEP

 Hệ thống mạng không dây cục bộ sử dụng khoá chia sẻ mã hoá bằng WPA thích hợp cho các công ty, cơ quan vừa và nhỏ

d Hướng khắc phục và bảo trì hệ thống:

- Sử dụng khóa WEP có độ dài 128 bit Thường các thiết bị WEP cho phép cấu hình khóa ở

ba độ dài: 40 bit, 64 bit, 128 bit Sử dụng khóa với độ dài 128 bit gia tăng số lượng gói dữ liệu hacker cần có được để sử dụng phân tích IV, gây khó khăn và tăng thời gian trong việc giải mã khóa WEP Nếu thiết bị không dây của bạn chỉ hỗ trợ WEP ở mức 40 bit (thường