Nghiên cứu bảo mật mạng máy tính không dây

Lý do chọn đề tài Trong thời đại công nghệ thông tin hiện nay hệ thống mạng máy tính có ảnhhưởng rất lớn đến sự phát triển của doanh nghiệp, công ty hay thậm chí là một đất nước.Việc sử

NGUYỄN ĐỎ QUÝ

NGHIÊN CỨU BẢO MẬT MẠNG MÁY TÍNH KHÔNG DÂY

Chuyên ngành: Khoa học máy tính Mã số: 60 48 01 01

LUẬN VĂN THẠC SĨ MÁY TÍNH

Người hướng dẫn khoa học: PGS.TS Nguyễn Tân Ân

HÀ NỘI, 2013LỜI CẢM ƠN

Đe hoàn thành được khóa học và viết luận văn này, tôi đã nhận được rất nhiều sự

công nghệ thông tin và các thầy ở trường Đại học Sư phạm Hà nội.

Lời đầu tiên, tôi xin gửi lời cảm ơn sâu sắc đến các thầy cô trường Đại học Sưphạm Hà nội 2, đặc biệt là các thầy cô trong khoa Công nghệ thông tin và trong phòngsau đại học đã tận tình dạy bảo trong suốt thời gian học tập tại trường

Tôi cũng xin gửi lời biết ơn sâu sắc đến PGS.TS Nguyễn Tân Ân đã dành rấtnhiều thời gian cũng như công sức hướng dẫn phương pháp nghiên cứu, cung cấp tàiliệu, giúp đõ' tôi hoàn thành luận văn này

Nhân đây, tôi cũng xin cảm ơn Ban giám hiệu, các thầy cô trong khoa Công nghệthông tin trường Cao đẳng Công nghiệp Phúc yên đã tạo điều kiện và tận tình giúp đỡtôi trong suốt thời gian tôi thực nghiệm phương pháp tấn công mạng và bảo mật mạngmáy tính không dây tại khoa

Mặc dù đã có nhiều cố gắng trong suốt quá trình thực hiện luận văn nhưng chắcchắn không thế tránh khỏi những thiếu sót, rất mong nhận được những đóng góp quí báucủa các thầy cô và các bạn

Học viên thực hiện Nguyễn Đỗ Quý

LỜI CAM ĐOAN

Tôi xin cam đoan rằng số liệu và kết quả nghiên cứu trong luận văn này là trungthực và không trùng lặp với các đề tài khác Tôi cũng xin cam đoan rằng mọi sự giúp đỡcho việc thực hiện luận văn này đã được cảm ơn và các thông tin trích dẫn trong luậnvăn đã được chỉ rõ nguồn gốc

Học viên Nguyễn Đỗ Quý

MỤC LỤC

DANH MUC CAC KI HIEU, CAC CHtT VIET TAT

AES - Advanced Encryption Standard AP - Access point

ATM - Asynchronous Transfer Mode BSS - Basic Service Set BSSID - Basic

Service Set Identification CDMA - Code Division Multiple Access

CMSA/CD - Carrier Sense Multiple Access with Collision Detection CRC - Cyclic redundancy check

CSMA/CA - Carrier Sense Multiple Access with Collision Avoidance

CTS-Clear To Send

DCF - Distribute Coordination Function

DES - Data Encryption Standard

DFS - Dynamic Frequency Selection

DHCP - Dynamic Host Configuration Protocol

DNS - Domain Name System

DOS - Denial of service

DS - Distribution System

DSSS - Direct Sequence Spread Spectrum

DVD - Digital Video Disk

ENC - Encrytion

ESS - Extended Service Set

ESSID - Extended Service Set IDentification

FHSS - Frequency Hopping Spread Spectrum

FTP - File Transfer Protocol

GPS - Global Positioning System

HomeRF - Home Radio Frequency

HiperLAN - High Performance Radio LAN

HTTP - HyperText Transfer Protocol IBSS - Independent Basic Service Set ICMP -Internet Control Message Protocol ICV - Intergrity Check Value

IEEE - Institute of Electrical and Electronics Engineers

IR - Infrared Light

IP - Internet Protocol

IPSec - Internet Protocol Security

IV - Initialization Vector

LAN - Local Area Network

LBT - Listening Before Talking

LLC - Logical Link Control

LOS - Light of Sight

MAC - Media Access Control

MAN - Metropolitan Area Network

MACA - Multiple Access with Collision Avoidance

NAV - Network allocation vector

OSI - Open Systems Interconnection

PCMCIA - Personal Computer Memory Card International Association

PC - Personal Computer

PCF - Point Coordination Function

PDA - Personal Digital Assistant

PRNG - Pseudo Random Number Generator

QoS - Quality of Service

RADIUS - Remote Access Dial-In User Service

RF - Radio frequency

RFC - Request For Comment

RFID - Radio Frequency IDentify

RSA - Rivest, Shamir, Adleman

RTS - Request To Send

SMB - Server Message Block

SNMP - Simple Network Management Protocol

SQL - Structure Query Language

SSID - Service Set IDentification

SSL - Secure Sockets Layer

STA - Station

SWAP - Standard Wireless Access Protocol

TACAC - Terminal Access Controller Access Control

TCP - Transmission Control Protocol

TKIP - Temporal Key Integrity Protocol

TV - Television

UWB - Ultra Wide Band

USB - Universal Serial Bus

VLAN - Virtual LAN

VoilP - Voice over Internet Protocol

WAN - Wide Area Network

WEP - Wired Equivalent Protocol

Wi-Fi - Wireless fidelity

WLAN - Wireless LAN

WPAN - Wireless Personal Area Network

WPA - Wi-fi Protected Access

WMAN - Wireless Metropolitan Area Network

WWAN - Wireless Wide Area Network

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ

LỜI MỞ ĐẦU

1 Lý do chọn đề tài

Trong thời đại công nghệ thông tin hiện nay hệ thống mạng máy tính có ảnhhưởng rất lớn đến sự phát triển của doanh nghiệp, công ty hay thậm chí là một đất nước.Việc sử dụng hệ thống mạng làm cho thông tin được truyền đi một cách nhanh chóng,chính xác và thuận tiện Bên cạnh đó mạng máy tính cũng giảm thiếu được phần lớngiấy mực và một lượng không nhỏ nhân công góp phần thúc đẩy nền kinh tế phát triển

Mạng máy tính từ khi ra đời đã được áp dụng trong nhiều lĩnh vực của cuộcsống Đó chính là sự trao đối, chia sẻ, lưu trữ và bảo vệ thông tin Con người luôn luônmong muốn có thể kết nối với thế giới ở bất cứ đâu, bất cứ thời gian nào Chính vì vậymạng máy tính không dây ra đời So với mạng máy tính có dây thì mạng máy tính khôngdây thể hiện nhiều ưu điểm nổi bật về độ linh hoạt, tính gián đơn, khả năng tiện dụng.Nhưng do đặc điểm trao đổi thông tin trong không gian truyền sóng nên khả năng thôngtin bị rò rỉ ra ngoài là hoàn toàn dễ hiếu Với sự phát triển cao của công nghệ thông tinngày càng nhiều thiết bị được tích hợp công nghệ không dây các thiết bị di động cầmtay đến những thiết bị sử dụng trong gia đình đều có thể sử dụng công nghệ không dây

để điều khiển, các hacker có thể dễ dàng xâm nhập vào mạng hơn bằng nhiều con đườngkhác nhau Vì vậy có thế nói điếm yếu cơ bản nhất của mạng máy tính không dây đó làkhả năng bảo mật, an toàn thông tin Do mạng máy tính không dây truyền dữ liệu dướidạng sóng nên bất cứ thiết bị nào có khả năng thu sóng đều có thể xâm nhập vào được

Đã có những đề tài, luận văn nghiên cứu về bảo mật mạng máy tính không dây, cũng đãquét và tìm ra được lỗ hổng bảo mật và có đề xuất một vài giải pháp nhưng đa phần đó

là các giải pháp rời rạc không tập trung vào việc xây dựng nhiều lớp bảo vệ Đặc biệt làkhi áp dụng xong chính sách bảo vệ mới thì đều không thử xâm nhập lại vào hệ thốngmạng để kiểm tra mức độ bảo mật của hệ thống Chính vì vậy tôi đă quyết định chọn đềtài “Nghiên cứu bảo mật mạng máy tính không dây” với sự kế thừa những nghiên cứutrước đó và bổ sung thêm việc xây dựng các lớp bảo vệ khác nhau và việc cố gắng xâm

nhập vào hệ thống mạng máy tính không dây sau khi đã tăng cường mức độ bảo vệ.

2 Mục đích nghiên cứu

- Nâng cao khả năng bảo mật cho mạng máy tính không dây

- Ngăn chặn những người không có quyền truy nhập vào trong mạng máy tínhkhông dây

- Phòng chống hiệu quả việc tấn công vào mạng máy tính không dây

3 Nhiệm vụ nghiên cứu

- Nghiên cứu, tìm hiếu cấu trúc hoạt động của mạng máy tính không dây

- Nghiên cứu các loại chuẩn mạng không dây, các phương pháp mã hóa dữ liệutương ứng với từng chuẩn trong mạng máy tính không dây, phương thức truyềngói tin và cách truyền tin trong mạng máy tính không dây

- Nghiên cứu tìm hiếu một vài cách thâm nhập vào mạng máy tính không dâythông qua việc bắt và phân tích gói tin

- Thực hiện việc bắt và phân tích gói tin bằng phần mềm hỗ trợ nhằm tìm ra khóabảo mật mạng máy tính không dây

- Đưa ra giải pháp nhằm nâng cao mức độ bảo vệ mạng máy tính không dây vàthực hiện xâm nhập vào hệ thống mạng nhằm kiểm tra lại mức độ bảo mật dữliệu

4 Đối tượng và phạm vi nghiên cứu

- Các loại mã khóa bảo mật mạng máy tính không dây

- Một số phần mềm dò tìm mã khóa bảo mật mạng máy tính không dây trong hệđiều hành BackTrack

5 Những đóng góp mới của đề tài

- Đe tài đã chỉ ra được những điêm yếu còn tồn tại của hệ mã hóa WEP và đã đưa

ra được giải pháp đơn giản, kinh tế nhằm nâng cao mức độ bảo mật của mạngmáy tính không dây

6 Phương pháp nghiên cứu

- Tìm hiếu các tài liệu nghiên cứu, các thông tin cần thiết có liên quan trên các tạp chí khoa học, tài liệu chuyên ngành, báo, internet

- Tìm hiếu thực trạng về bảo mật mạng máy tính không dây

Chương 1 TỒNG QUAN VÈ MẠNG MÁY TÍNH KHÔNG DÂY

1.1 Các khái niệm căn bản về mạng không dây

Mạng máy tính không dây (WLAN) là một hệ thống thông tin liên lạc dữ liệulinh hoạt được thực hiện như phần mở rộng hoặc thay thế cho mạng LAN có dây Sửdụng sóng điện từ, mạng WLAN truyền và nhận dữ liệu qua khoảng không, tối giản nhucầu cho các kết nối hữu tuyến Vì vậy, các mạng máy tính không dây phù hợp với tính

di động của người sử dụng

Trong thời gian qua, mạng WLAN được phố biến rộng rãi trong rất nhiều lĩnhvực, từ việc dùng cá nhân trong gia đình, các cơ quan, công ty đến các trường học, bệnhviện và gần như là tất cả những nơi có nối mạng có dây thì đều tồn tại mạng không dây.Mạng không dây rất thích hợp tại những nơi mà mạng có dây khó lắp đặt như những tòanhà cao tầng, những nơi có nhiều thiết bị di động

Mạng không dây (Wireless Lan) sử dụng công nghệ cho phép hai hay nhiều thiết

bị kết nối với nhau bằng cách sử dụng một giao thức chuẩn mà không cần những kết nốibằng dây mạng (Cable) Vì đây là mạng dựa trên chuấn IEEE 802.1 1 (IEEE - Institute

of Electrical and Electronics Engineers: tổ chức khoa học nhằm mục đích hỗ trợ nhữnghoạt động nghiên cứu khoa học kĩ thuật, thúc đấy sự phát triển khoa học công nghệtrong các lĩnh vực điện tử, viễn thông, công nghệ thông tin ) nên đôi khi nó còn đượcgọi là mạng 802.11 network Ethernet để nhấn mạnh rằng mạng này dựa trên mạngEthernet truyền thống Bên cạnh đó còn tồn tại một tên gọi khác rất quen thuộc khi nói

về mạng không dây mà chúng ta thường sử dụng là Wi-Fi (Wireless Fidelity)

Mạng máy tính không dây đang nhanh chóng trở thành một mạng cốt lõi trongcác mạng máy tính và đang phát triển vượt trội Với công nghệ này, những người sửdụng có thế truy cập thông tin dùng chung mà không phải tìm kiếm chỗ đế nối dâymạng, chúng ta có thể mở rộng phạm vi mạng mà không cần lắp đặt hoặc di

chuyển dây Các mạng máy tính không dây có ưu điểm về hiệu suất, sự thuận lợi, cụthể như sau:

- Tính di động: những người sử dụng mạng máy tính không dây có thế truy nhậpnguồn thông tin ở bất kỳ nơi nào Tính di động này sẽ tăng năng suất và tínhkịp thời thỏa mãn nhu cầu về thông tin mà các mạng hữu tuyến không thế cóđược.

- Tính đơn giản: lắp đặt, thiết lập, kết nối một mạng máy tính không dây là rất

- Khả năng vô hướng: các mạng máy tính không dây có thể được cấu hình theocác topo khác nhau đế đáp ứng các nhu cầu ứng dụng và lắp đặt cụ thế Các cấuhình dễ dàng thay đổi từ các mạng ngang hàng thích hợp cho một số lượng nhỏngười sử dụng đến các mạng có cơ sở hạ tầng đầy đủ dành cho hàng nghìnngười sử dụng mà có khả năng di chuyến trên một vùng rộng

Khi xây dựng một mạng máy tính, để đưa ra giải pháp kỹ thuật và thiết bị phùhợp, cần phải phân tích khả năng đáp ứng yêu cầu theo các tiêu chí đề ra Để thấyđược những vấn đề của mạng không dây cũng như tương quan những vấn đề đó so vớimạng có dây, dưới đây là một số tiêu chí cơ bản và so sánh giải pháp của mạng có dây

Mạng có dây Mạng không dây

- Vì là hệ thống kết nối cố định nên tính - Vì là hệ thống kết nối di động nên rất

0

- Lắp đặt, triến khai tốn nhiều thời gian

và chi phí

- Lắp đặt, triển khai dễ dàng, đơn giản,nhanh chóng

Tính linh hoạt, khả năng thay đôi, phát triên

- Khả năng chịu ảnh hưởng khách

quan bên ngoài như thời tiết, khí

hậu tốt

- Chịu nhiều cuộc tấn công đa

dạng, phức tạp, nguy hiểm của

những kẻ phá hoại vô tình và cố

tình

- ít nguy cơ ảnh hưởng sức khỏe

- Bị ảnh hưởng bởi các yếu tố bênngoài như môi trường truyềnsóng, can nhiễu do thời tiết

- Chịu nhiều cuộc tấn công đadạng, phức tạp, nguy hiểm củanhững kẻ phá hoại vô tình và cốtình, nguy cơ cao hơn mạng códây

- Còn đang tiếp tục phân tích vềkhả năng ảnh hưởng đến sức

Độ phức tạp kỹ thuật

- Độ phức tạp kỹ thuật tùy thuộc từng

Độ tin cậy

STA - Station, các trạm thu/phát sóng, thực chất là các thiết bị không dây kếtnối vào mạng như máy vi tính, máy PDA, các thiết bị di động có khả năng kết nốiInternet với vai trò như phần tử trong mô hình mạng ngang hàng Peer to Peer hoặcClient trong mô hình Client/Server Trong phạm vi luận văn này chỉ đề cập đến thiết bịkhông dây là máy vi tính (thường là máy tính xách tay cũng có thể là máy để bàn cócard mạng kết nối không dây) Có trường hợp trong luận văn này gọi thiết bị khôngdây là STA, có lúc là Client, cũng có lúc gọi trực tiếp là máy tính xách tay Thực ranhư nhau nhưng cách gọi tên khác nhau cho phù hợp với từng tình huống.

Điểm truy cập - Acces Point, thiết bị mạng dùng sóng để thu phát tín hiệu, làđiểm tập trung giao tiếp với các STA, đóng vai trò cả trong việc truyền và nhận dữ liệumạng AP còn có chức năng kết nối mạng không dây thông qua chuẩn cáp Ethernet, làcầu nối giữa mạng không dây với mạng có dây AP có 3 chế độ cơ bản là AP mode,Repeater Mode và Bridge Mode

AP Mode: Là kiểu thông dụng nhất, khi Access Point kết nối trực tiếp với mạngdâv thông thường thì đó là AP mode Trong chế độ AP mode, AP kết nối ngang hàngvới các đoạn mạng dây khác và có thể truyền tải thông tin như trong một mạng dùngdâv bình thường Hầu hết các AP sẽ hồ trợ các mode khác ngoài AP mode, tuy nhiên

AP mode là cấu hình mặc định

1

- Giá cả tùy thuộc vào từng mô hình

mạng cụ thê

- Thường thì giá thành thiết bị cao hơn sovới của mạng có dây Nhưng xu hướnghiện nay là càng ngày càng giảm sự chênhlệch về giá

1.1.4 Trạm thu phát - STA

linh hoạt kém, khó thay đổi, nâng cấp, linh hoạt, dễ dàng thay đổi, nâng cấp,

Giá cả

Repeater mode: Access Point trong chế độ repeater kết nối với client như 1 AP

và kết nối như 1 client với AP server Chế độ Repeater thường được sử dụng để mởrộng vùng phủ sóng

Bridge Mode: thườnẹ được sử dụnẹ khi muốn kết nối 2 đoạn mạng độc lập vớinhau Trong Bride mode, AP hoạt động hoàn toàn giống với một Bridge không dây.Thật vậy, AP sẽ trở thành một Bridge không dây khi được cấu hình theo cách này Chỉmột số ít các AP trên thị trường có hỗ trợ chức năng Bridge, điều này sẽ làm cho thiết

bị có giá cao hơn đáng kể

Kiến trúc cơ bản nhất trong WLAN 802.11 là BSS Đây là đơn vị của một mạngcon không dây cơ bản Trong BSS có chứa các STA, nếu không có AP thì sẽ là mạngcác phần tử STA ngang hàng (còn được gọi là mạng Adhoc), còn nếu có AP thì sẽ làmạng phân cấp (còn gọi là mạng Infrastructure) Các STA trong cùng một BSS thì cóthể trao đôi thông tin với nhau Người ta thường dùng hình Oval để biểu thị phạm vicủa một BSS Neu một STA nào đó nằm ngoài một hình Oval thì coi như STA khônggiao tiếp được với các STA, AP nằm trong hình Oval đó Việc kết hợp giữa STA vàBSS có tính chất động vì STA có thế di chuyến từ BSS này sang BSS khác Một BSSđược xác định bởi mã định danh hệ thống (SSID - System Set Identifier), hoặc nó cũng

có thể hiểu là tên của mạng không dây đó

Hình 1 1 Mô hình một BSS

2

Station A

Single Cell Propagation Boundary

Basic Service Set (BSS)

Station B '

1.1.5 BSS độclập-IBSS

Trong mô hình IBSS - Independent BSS, là các BSS độc lập, tức là không có kếtnối với mạng có dây bên ngoài Trong IBSS, các STA có vai trò ngang nhau 1BSSthường được áp dụng cho mô hình Adhoc bởi vì nó có thể được xây dựng nhanh chóng

mà không phải cần nhiều kể hoạch

Người ta gọi DS - Distribution System là một tập hợp của các BSS Mà các BSSnày có thể trao đổi thông tin với nhau Một DS có nhiệm vụ kết hợp với các BSS mộtcách thông suốt và đảm bảo giải quyết vấn đề địa chỉ cho toàn mạng

ESS - Extended Service Set là một khái niệm rộng hơn Mô hình ESS là sự kếthợp giữa DS và BSS cho ta một mạng với kích cở tùy ý và có đầy đủ các tính năng phứctạp Đặc trưng quan trọng nhất trong một ESS là các STA có thể giao tiếp với nhau và

di chuyển từ một vùng phủ sóng của BSS này sang vùng phủ sóng của BSS mà vẫntrong suốt với nhau ở mức LLC - Logical Link Control

- Sử dụng ánh sáng hồng ngoại là một cách thay thế các sóng vô tuyến để kết nối

3

các thiết bị không dây, bước sóng hồng ngoại từ khoảng 0.75-1000 micromet.Ánh sáng hồng ngoại không truyền qua được các vật chắn sáng, không trongsuốt, về hiệu suất, ánh sáng hồng ngoại có độ rộng băng tần lớn, làm cho tínhiệu có thể truyền dữ liệu với tốc độ rất cao, tuy nhiên ánh sáng hồng ngoạikhông thích hợp như sóng vô tuyến cho các ứng dụng di động do vùng phủ sónghạn chế Phạm vi phủ sóng của nó khoảng 10m, một phạm vị quá nhỏ Vì vậy mà

nó thường ứng dụng cho các điện thoại di động, máy tính có cổng hồng ngoạitrao đổi thông tin với nhau với điều kiện là đặt sát gần nhau

Bluetooth còn gọi là IEEE802.15.1 là một chuẩn công nghiệp cho mạng vùng cánhân sử dụng kết nối dữ liệu không dây Bluetooth là công nghệ không dây cho phépcác thiết bị điện, điện tử giao tiếp với nhau trong khoảng cách ngắn bằng sóng vô tuyếnqua băng tần chung trong dãy 2.4GHz-2.48GHz Đây là dãy băng tần không cần đăng kíđược dùng riêng cho các thiết bị không dây trong công nghiệp, khoa học, y tế

Trong mạng Bluetooth, các phần tử có thể kết nối với nhau theo kiểu Adhocngang hàng hoặc theo kiếu tập trung, có 1 máy xử lý chính và có tối đa là 7 máy có thểkết nối vào Khoảng cách chuẩn để kết nối giữa 2 đầu là 10 mét, nó có thể truyền quatường, qua các đồ đạc vì công nghệ này không đòi hỏi đường truyền phải là tầm nhìnthẳng (LOS - Light of Sight) Tốc độ dữ liệu tối đa là 740Kbps Nhìn chung thì côngnghệ này còn có giá cả cao

- Công nghệ này cũng giống như công nghệ Bluetooth, hoạt động ở dải tần2.4GHz, tổng băng thông tối đa là l,6Mbps và 650Kbps cho mỗi người dùng.HomeRF tố chức các thiết bị đầu cuối thành mạng Adhoc hoặc liên hệ qua mộtđiểm kết nối trung gian Điểm khác so với Bluetooth là công nghệ HomeRFhướng tới thị trường nhiều hơn Việc bổ xung chuân SWAP - Standard WirelessAccess Protocol cho HomeRF cung cấp thêm khả năng quản lý các ứng dụngmultimedia một cách hiệu quả hơn

4

HiperLAN - High Performance Radio LAN theo chuẩn của Châu Âu là tươngđương với công nghệ 802.1 1 HiperLAN loại 1 hỗ trợ băng thông 20Mpbs, làm việc ởdải tần 5GHz HiperLAN 2 cũng làm việc trên dải tần này nhưng hỗ trợ băng thông lêntới 54Mpbs Công nghệ này sử dụng kiểu kết nối hướng đối tượng (connection oriented)

hỗ trợ nhiều thành phần đảm bảo chất lượng, đảm bảo cho các ứng dụng Multimedia.HiperLAN Type 1 HiperLAN Type 2 HiperAccess HiperLinkApplication

WirelessEthernet(LAN)

Wireless ATM

Wireless LocalLoop

WirelessPoint-to-PointFrequency 5 GHz 5 GHz GHz5 17 GHz

WiFi - tên gọi khác của mạng máy tính không dây - là một mạng LAN nhưngcác thiết bị được kết nối với nhau thông qua sóng điện từ Mạng WLAN hoạt động dựatrên chuẩn IEEE 802.11 Chuẩn này đã được phát triển rất nhiều từ khi ra đời Mục tiêucủa sự phát triển là tăng phạm vi và tốc độ truyền dữ liệu Mặt khác vấn đề bảo mậtcũng được các nhà làm chuẩn quan tâm khi liên tiếp đưa ra các loại mã hóa bảo mậtkhác nhau ứng với các chuẩn khác nhau

3G là mạng WWAN (Wireless Wide Area Network) - mạng không dây bao phủphạm vi rộng nhất Mạng 3G cho phép truyền thông dữ liệu tốc độ cao và dung lượngthoại lớn hơn cho những người dùng di động Những dịch vụ tế bào thế hệ kế tiếp cũngdựa trên công nghệ 3G

5

1.2.8 Công nghệ UWB

UWB (Ultra Wide Band) là một công nghệ mạng WPAN tương lai với khả năng

hỗ trợ thông lượng cao lên đến 400 Mbps ở phạm vi ngắn tầm lOm UWB sẽ có lợi íchgiống như truy nhập USB không dây cho sự kết nối những thiết bị ngoại vi máy tính tớiPC

1.3.Các chuấn giao thức truyền tin qua mạng không dây

IEEE 802.11 là một phần trong nhóm các chuân 802 Trong 802 lại bao gồm cácchuấn nhỏ hơn như 802.3 là chuấn về Ethernet, 802.5 là chuấn về Token ring

Ra đời năm 1997 Đây là chuẩn sơ khai của mạng không dây, mô tả cách truyềnthông trong mạng không dây sử dụng các phương thức như: DSSS, FHSS, infrared(hồng ngoại) Tốc độ tối đa là 2Mbps, hoạt động trong bằng tầng 2.4Ghz Hiện naychuẩn này rất ít được sử dụng trong các sản phấm thương mại

Đây là chuẩn mở rộng của 802.11 802.1 lb đáp ứng đủ cho phần lớn các ứng

6

dụng của mạng Với một giải pháp rất hoàn thiện, 802.1 lb có nhiều đặc điểm thuận lợi

so với các chuẩn không dây khác Chuẩn 802.1 lb hoạt động ở dải tần 2.4 GHz, tốc độtruyền dữ liệu tối đa là 11 Mbps trên một kênh, tốc độ thực tế là khoảng từ 4- 5 Mbps.Khoảng cách có thế lên đến 500 mét trong môi trường mở rộng Khi dùng chuẩn này tối

đa có 32 người dùng/điểm truy cập

Đây là chuẩn đã được chấp nhận rộng rãi trên thế giới và được triển khai rấtmạnh hiện nay do công nghệ này sử dụng dải tần không phải đăng ký cấp phép phục vụcho công nghiệp, dịch vụ, y tế

Nhược điểm của 802.1 lb là hoạt động ở dải tần 2.4 GHz trùng với dải tần củanhiều thiết bị trong gia đình như lò vi sóng nên có thể bị nhiễu

Chuẩn 802.11a là phiên bản nâng cấp của 802.11b, hoạt động ở dải tần 5 GHz.Tốc độ tối đa từ 25 Mbps đến 54 Mbps trên một kênh, tốc độ thực tế xấp xỉ 27 Mbps,dùng chuẩn này tối đa có 64 người dùng/điểm truy cập Đây cũng là chuẩn đã được chấpnhận rộng rãi trên thế giới

Các thiết bị thuộc chuẩn này hoạt động ở cùng tần số với chuẩn 802.1 lb là2.4 Ghz Tuy nhiên chúng hỗ trợ tốc độ truyền dữ liệu nhanh gấp 5 lần so với chuẩn802.1 lb với cùng một phạm vi phủ sóng, tức là tốc độ truyền dữ liệu tối đa lênđến 54 Mbps, còn tốc độ thực tế là khoảng 7-16 Mbps Các thiết bị thuộc chuân802.1 lb và 802.1 lg hoàn toàn tương thích với nhau Tuy nhiên cần lưu ý rằngkhi trộn lẫn các thiết bị của hai chuẩn đó với nhau thì các thiết bị sẽ hoạt độngtheo chuân nào có tốc độ thấp hơn Đây là một chuẩn được chấp thuận rộng rãitrên thế giới và đã gần như thay thế hoàn toàn chuẩn b và chuẩn a

Đây là chuẩn bổ xung cho 802.11 a, b, g nhằm cải thiện về mặt an ninh cho mạngkhông dây 802.1 li cung cấp những phương thức mă hóa và những thủ tục xác nhận,chứng thực mới có tên là 802 lx.

Do nhu cầu ngày một tăng cao về tốc độ cũng như về tầm phủ sóng nên đòi hỏicần phải có chuẩn mới đáp ứng được những yêu cầu của khác hàng Chính vì vậy màchuẩn n ra đời nhằm đáp ứng tốt nhất điều đó Theo đặc tả kỹ thuật, chuẩn n có tốc độ lýthuyết lên đến 600Mbps cao hơn 10 lần so với chuẩn g và vùng phủ sóng rộng khoảng250m cao hơn gần 2 lần so với chuẩn g Hai đặc điểm then chốt này giúp việc sử dụngcác ứng dụng trong môi trường mạng Wi-Fi được cải tiến đáng kể, phục vụ tốt cho nhu

8

cầu giải trí đa phương tiện, nhiều người dùng có thể xem phim chất lượng cao, gọi điệnthoại qua internet, tải tập tin dung lượng lớn mà chất lượng dịch vụ và độ tin cậy vẫnđạt cao.

Bên cạnh đó, chuẩn n vẫn đảm bảo khả năng tương thích ngược với các chuẩntrước đó như a/b/g

Chuẩn n đã được tố chức IEEE phê duyệt và đưa vào sử dụng rộng rãi Hiện naychuẩn n là chuẩn được sử dụng nhiều trên các thiết bị mạng có kết nối Wi-Fi

Với nhu cầu cao về multimedia và xem phim chất lượng cao nên các chuẩn mớivẫn đang được nghiên cứu và phát triển nhằm tăng tốc độ cũng như phạm vi phủ sóng.Chính vì lý do đó chuẩn ac ra đời với tốc độ tối đa lên đến 1750Mbps Các thiết bị hỗtrợ tiêu chuấn ac chỉ hoạt động ở băng tần 5GHz vì băng tần này có nhiều kênh hơn và ít

bị can nhiễu bởi các thiết bị hoạt động ở băng tần 2.4GHz Trong chuẩn ac, độ rộng củamỗi kênh là 80Mhz, rộng gấp đôi so với chuẩn n là 40MHz

Tuy nhiên thế hệ đầu tiên của ac cần phải tương thích với chuấn n nên hỗ trợ cảhai băng tần là 2.4GHz và 5GHz Chuẩn ac vẫn chưa được phê duyệt nhưng chuẩn nàyhứa hẹn sẽ là chuẩn thay thế chuẩn n trong tương lai

1.4.Mô hình mạng WLAN

Trong kiểu Adhoc, mỗi máy tính trong mạng giao tiếp trực tiếp với nhau thôngqua các thiết bị card mạng không dây mà không dùng đến các thiết bị định tuyến haythu phát không dây

9

Hình 1 4 Mô hình mạng Infractructure

Các mạng WLAN sử dụng các sóng điện từ không gian (vô tuyến hoặc ánh sáng)

để truyền thông tin từ một điểm tới điếm khác Các sóng vô tuyến thường được xem nhưcác sóng mang vô tuyến do chúng chỉ thực hiện chức năng cung cấp năng lượng cho mộtmáy thu ở xa Dữ liệu đang được phát được điều chế trên sóng mang vô tuyến (thườngđược gọi là điều chế sóng mang nhờ thông tin đang được phát) sao cho có thể được khôiphục chính xác tại máy thu

Nhiễu sóng mang vô tuyến có thể tồn tại trong cùng không gian, tại cùng thờiđiểm mà không gây nhiễu lẫn nhau nếu các sóng vô tuyến được phát trên các tần số vôtuyến khác nhau Để nhận lại dữ liệu, máy thu vô tuyến sẽ thu trên tần số vô tuyến củamáy phát tương ứng

Trong một cấu hình mạng WLAN tiêu chuẩn, một thiết bị thu/phát (bộ thu/phát)được gọi là một điểm truy cập, nối với mạng hữu tuyến từ một vị trí cố định sử dụng

0

cáp tiêu chuẩn Chức năng tối thiểu của điểm truy cập là thu, làm đệm, và phát dữ liệugiữa mạng WLAN và cơ sở hạ tầng mạng hữu tuyến Một điểm truy cập đơn có thể hỗtrợ một nhóm nhỏ người sử dụng và có thể thực hiện chức năng trong một phạm vi từmột trăm đến vài trăm feet Điểm truy cập (hoặc anten được gắn vào điểm truy cập)

thường được đặt cao nhưng về cơ bản có thể được đặt ở bất kỳ chỗ nào miễn là đạt được

vùng phủ sóng mong muốn

Những người sử dụng truy cập vào mạng WLAN thông qua các bộ thích ứng máytính không dây như các Card mạng không dây trong các máy tính, các máy Palm, PDA.Các bộ thích ứng máy tính không dây cung cấp một giao diện giữa hệ thống điều hànhmạng của máy khách và các sóng không gian qua một anten Bản chất của kết nối khôngdây là trong suốt đối với hệ điều hành mạng

Truyền sóng điện từ trong không gian sẽ gặp hiện tượng suy hao Vì thế đối vớikết nối không dây nói chung, khoảng cách càng xa thì khả năng thu tín hiệu càng kém,

tỷ lệ lỗi sẽ tăng lên, dẫn đến tốc độ truyền dữ liệu sẽ phải giảm xuống

Các tốc độ của chuẩn không dây như 11 Mbps hay 54 Mbps không liên quan đếntốc độ kết nối hay tốc độ download, vì những tốc độ này được quyết định bởi nhà cungcấp dịch vụ Internet

Với một hệ thống mạng không dây, dữ liệu được gửi qua sóng radio nên tốc độ

có thể bị ảnh hưởng bởi các tác nhân gây nhiễu hoặc các vật thể lớn Thiết bị định tuyếnkhông dây sẽ tự động điều chỉnh xuống các mức tốc độ thấp hơn, ví dụ như là từ 11Mbps sẽ giảm xuống còn 5.5 Mbps và 2 Mbps hoặc thậm chí là 1 Mbps

Đe hiểu quá trình kết nối giữa STA và AP diễn ra như thế nào và khi nào thìchúng thực sự truyền dữ liệu, chúng ta sẽ xem xét ở góc độ tổng quan trước Đó là mộtloạt các quá trình diễn ra trong hệ thống không sử dụng chế độ bảo mật Ở đây, ta coi

AP đã được cấp nguồn và hoạt động bình thường AP quảng bá sự hiện diện của chínhbản thân nó bằng cách gửi các thông báo vô tuyến ngắn liên tục khoảng 10 lần trongmột giây Những thông báo này được gọi là beacon và cho phép các thiết bị không dâyphát hiện ra sự tồn tại của AP đó

1

Giả sử rằng có ai đó bật máy tĩnh có card mạng không dây (STA) Sau khi đượckích hoạt, STA này bắt đầu dò tìm các AP Nó cũng có thể được cấu hình để tìm kiếmmột AP duy nhất, tuy nhiên, nó cũng có thể kết nối với một AP bất kỳ nào khác mà nó

“nhìn thấy” Có rất nhiều tần số khác nhau (được gọi là các kênh) mà STA có thể sửdụng đế dò tìm các beacon Quá trình này được gọi là quét

STA này có thể phát hiện thấy một vài AP xung quanh mà nó có thể truy cập vàphải quyết định kết nối với AP nào, vì tại một thời điếm nó chỉ có thế kết nối tới một

AP duy nhất, thường AP được lựa chọn có độ lớn của tín hiệu lớn nhất Khi STA đã sẵnsàng kết nối với một AP nào đó, trước hết, nó gửi một thông báo yêu cầu chứng thực tới

AP Chuẩn 802.11 ban đầu coi thông báo chứng thực như là một phần của giải pháp bảomật Vì trong tình huống đặt ra, ta không sử dụng phương pháp bảo mật nào, AP lập tứcđáp ứng yêu cầu chứng thực bằng cách gửi thông báo đáp trả lại và chỉ ra rằng nó chấpnhận kết nối

Khi một STA kết nối với một AP, nó được phép gửi và nhận dữ liệu từ mạng đó.STA gửi một thông báo yêu cầu kết nối và AP gửi trả lại một thông báo thế hiện kết nốithành công Sau thời điểm đó, dữ liệu do STA gửi tới AP đượcgửi tiếp tới mạng LAN thông qua chính AP đó Vàngược lại, dữ liệu từ mạngLAN muốn chuyển tới STA cũng phải thông qua AP

Đối với các sản phấm hỗ trợ Wifi thời kỳ đầu, khi đã kết nối nghĩa là ta có quyềntruy nhập ngay lập tức Tuy nhiên, theo quan niệm bảo mật mới, kết nối tức là cho phépSTA bắt đầu quá trình chứng thực, quá trình này thực sự cầnthiết để đảm bảo việc truy cập mạng được an toàn

Việc quảng bá beacon là một phương pháp mà nhờ đó AP thông báo với các thiết

bị xung quanh là nó đã sẵn sàng hoạt động trong môi trường mạng Các beacon là nhữngkhung chứa thông tin quản lý do chính AP gửi đi, thường là 10 lần trong một giây.Beacon này chứa các thông tin như là tên mạng và khả năng của AP Ví dụ, beacon cóthể cho STA biết liệu AP đó có hỗ trợ các phương pháp bảo mật mới của chuân IEEE802.11 hay không

2

mà một STA có thế nhanh chóng biết được thông tin về các AP xung quanh nó.

Như chúng ta đã nói ở trên quá trình kết nối với một AP được gọi là assciation Khi muốn kết nối, thiết bị phải gửi yêu cầu kết nối, AP có thể đáp trả lại yêu cầu đó

Neu được chấp nhận, ta có kết nối thành công với AP ỉ.4.4.4 Roaming

Neu có nhiều AP trong cùng một mạng, STA có thê gặp trường hợp chuyển kếtnối từ AP này sang AP khác Đe làm được điều đó, trước hết nó phải ngắt kết nối với

AP cũ bằng thông báo hủy kết nối, rồi sau đó nó kết nối với AP mới sử dụng thông báotạo lại kết nối Thông báo này có chứa một vài thông tin về AP cũ đế giúp cho quá trìnhchuyên giao diễn ra dễ dàng hơn Thông tin này cũng cho phép AP mới trao đổi với AP

cũ để đảm bảo việc chuyển đổi vừa mới diễn ra

Khi đã kết nối thành công và sau khi chứng thực đã hoàn tất, đó chính là lúc bắtđầu gửi dữ liệu Trong phần lớn các trường hợp thì dữ liệu được trao đổi giữa STA và

AP Thực tế diễn ra đúng như vậy ngay cả khi ta muốn gửi dữ liệu đến một STA khác

Đầu tiên, ta phải gửi dữ liệu đến AP và sau đó AP gửi dữ liệu đến STA Thường

dữ liệu được gửi đến AP và nó sẽ đẩy dữ liệu vào mạng LAN hoặc tới Internet gateway

Đe làm được điều này, mỗi gói dừ liệu IEEE 802.1 1 đi và đến AP đều có 3 địa chỉ Haitrong số đó là địa chỉ nguồn và đích thực sự, địa chỉ còn lại là địa chỉ trung gian, đóchính là địa chỉ của AP

3

Khi gửi dữ liệu từ STA tới AP thì chỉ có một địa chỉ nguồn, đó chính là địa chỉcủa STA gửi thông tin đi và có tới 2 địa chỉ đích Một địa chỉ đích là của AP và địa chỉcòn lại chính là đích thực sự mà dữ liệu cần gửi đến Giống như dữ liệu từ AP đến STAcũng có một địa chỉ đích nhưng lại có đến 2 địa chỉ nguồn, một là của AP và một củathiết bị gửi dữ liệu đi.

1.5.Một số cơ chế khi trao đổi thông tin trong mạng không dây

- Đa truy cập sử dụng sóng mang phòng tránh xung đột)

Nguyên tắc cơ bản khi truy cập của chuẩn 802.11 sử dụng cơ chế CSMA- CA Nguyên tắc này gần giống như nguyên tắc CSMA-CD (Carrier Sense Multiple

Access Collision Detect) của chuẩn 802.3 (cho Ethernet) Điểm khác ở đây là

CSMA-CA sẽ chỉ truyền dữ liệu khi bên kia sẵn sàng nhận và không truyền, nhận dữ liệu nàokhác trong lúc đó, đây còn gọi là nguyên tắc LBT (listening before talking - nghe trướckhi nói) Trước khi gói tin được truyền đi, thiết bị không dây đó sẽ kiểm tra xem có cácthiết bị nào khác đang truyền tin không, nếu đang truyền, nó sẽ đợi đến khi nào các thiết

bị kia truyền xong thì nó mới truyền Đe kiểm tra việc các thiết bị kia đã truyền xongchưa, trong khi “đợi” nó sẽ hỏi “thăm dò” đều đặn sau các khoảng thời gian nhất định

Để giảm thiểu nguy cơ xung đột do các thiết bị cùng truyền trong cùng thờiđiểm, người ta sử dụng cơ chế RTS/CTS Ví dụ nếu AP muốn truyền dữ liệu đến STA,

nó sẽ gửi 1 khung RTS đến STA, STA nhận được tin và gửi lại khung CTS, để thôngbáo sẵn sàng nhận dữ liệu từ AP, đồng thời không thực hiện truyền dữ liệu với các thiết

bị khác cho đến khi AP truyền xong cho STA Lúc đó các thiết bị khác nhận được thôngbáo cũng sẽ tạm ngừng việc truyền thông tin đến STA Cơ chế RTS/CTS đảm bảo tínhsẵn sàng giữa 2 điểm truyền dữ liệu và ngăn chặn nguy cơ xung đột khi truyền dữ liệu

ACK là cơ chế thông báo lại kết quả truyền dữ liệu Khi bên nhận nhận được dừliệu, nó sẽ gửi thông báo ACK đến bên gửi báo là đã nhận được bản tin rồi Trong tìnhhuống khi bên gửi không nhận được ACK nó sẽ coi là bên nhận chưa nhận được bản tin

và nó sẽ gửi lại bản tin đó Cơ chế này nhằm giảm bớt nguy cơ bị mất dữ liệu trong khitruyền giữa 2 điếm

4

1.6.Phân biệt mạng không dây và mạng có dây

WLAN cũng là một chuẩn trong hệ thống 802 Tuy nhiên việc truyền dữ liệutrong WLAN sử dụng sóng Radio Trong mạng LAN, dữ liệu được truyền trong dây dẫn.Tuy nhiên đối với người dùng cuối thì giao diện sử dụng chúng là tương tự nhau CảWLAN và Wire LAN đều được định nghĩa dựa trên hai tang Physical và Data Link(trong mô hình OSI) Các giao thức hay các ứng dụng đều có thể sử dụng trên nền tảngLAN và WLAN Ví dụ như IP, IP Security (IPSec) hay các ứng dụng như Web, FTP,Mail

Sự khác nhau giữa WLAN và LAN:

- WLAN sử dụng sóng radio để truyền dữ liệu tại tầng Physcial

- WLAN sử dụng CSMA/CA (Carrier Sense Multiple Access with CollisionAvoidance) còn LAN sử dụng công nghệ CSMA/CD (Carrier Sense MultipleAccess with Collision Detect) Collision Dectect không thế sử dụng trong mạngWLAN bởi thông tin đã truyền đi không thể lấy lại được do đó chúng không thể

có tính năng Collision Detect được Đe đảm bảo gói tin truyền không bị xungđột mạng WLAN sử dụng công nghệ CSMA/CA Trước khi truyền gửi tín hiệuRequest To Send (RTS) và Clear To Send (CTS) để hạn chế xung đột xảy ra

- WLAN sử dụng định dạng cho Frame dữ liệu khác với mạng LAN WLAN bắtbuộc phải thêm thông tin Layer 2 Header vào gói tin

- Sử dụng Radio vào việc truyền thông tin sẽ chịu một số vấn đề mà khi sử dụngdây dẫn không mắc phải:

+ Việc kết nối sẽ chịu ảnh hưởng bởi khoảng cách, do phản xạ sóng nên đôi khinguồn phát tín hiệu có thể bị thay đổi và có nhiều tín hiệu đến trước đến sau, một cardmạng WLAN có thể kết nối tới nhiều mạng WLAN khác nhau

+ Do sóng Radio có thể tìm thấy nên việc kết nối và bảo mật trên Wireless LANcũng là vấn đề không nhỏ

- WLAN sử dụng cho người dùng thường xuyên phải di chuyển trong công

ty

- WLAN sử dụng một giải tần sóng Radio nên có thế bị nhiễu nếu một sóng Radio

5

khác có cùng tần số Tương tự như cơ chế truy cập đường truyền CSMA/CD củamạng có dây (IEEE 802.3), Trong mạng IEEE 802.1 1 sử dụng cơ chếCSMA/CA CA có nghĩa là Collition Avoidance khác với CD là CollitionDetection trong mạng có dây Nói như vậy không có nghĩa là CSMA/CA không

có cơ chế phát hiện Collition như trong mạng có dây bởi vì đặc thù của thiết bịkhông dây là haft-duplex (Một khi nó đang nhận thì không thế truyền và nếuđang truyển thì không thể nhận) Trong CSMA/CA có 2 khái niệm là CSMA/CA

và CSMA/CA based on MACA CSMA/CA: máy phát sẽ lắng nghe trên môitrường truyền và khi môi trường truyền rỗi thì nó sẽ tiến hành gửi dữ liệu ra môitrường truyền còn không nó sẽ sừ dụng giải thuật backoff đế tiếp tục chờ Cơchế này bị giới hạn bởi trường họp hidden node Giả sử, có 3 máy A, B, c máy

B nằm trong range của A và range của c Khi A gửi cho B thì c không nhậnđược tín hiệu trên môi trường truyền, và nếu c cũng gửi cho B thì xảy raCollition CSMA/CA dựa trên MACA xuất hiện giải quyết node bằng cách trướckhi một máy truyền dữ liệu thì nó sẽ lắng nghe đường truyền, và nếu đườngtruyền rỗi thì nó sẽ gửi frame RTS (request to send), trong trường hợp này, máynhận sẽ đáp lại bang frame CTS (Clear to send), những máy còn lại nếu nhậnđược 1 trong 2 frame trên thì sẽ tự động tạo ra NAV (Network allocation vector)

để ngăn cản việc truyền dữ liệu Cơ chế CSMA/CA còn được gọi chung là DCF(Distribute Coordination Function) là tiêu chí bắt buộc của chuẩn 802.11 Một

cơ chế khác ít thông dụng hơn là PCF (Point Coordination Function) Hiện nay

có rất ít thiết bị hồ trợ cơ chế này (Chỉ áp dụng cho mô hình infrastructure) PCFlàm việc tương tự như cơ chế truy cập đường truyền của mạng Tokenring Theo

cơ chế này, Point Controller tích hợp trong Access Point làm nhiệm vụ pollingcho các station theo 1 schedule và chỉ có station nào được poll thì mới đượcphép truyền Cơ chế này thích hợp cho các ứng dụng đòi hỏi tính thời gian thựccao vì nó sẽ làm cho các station tham gia vào mạng đều có cơ hội sử dụng môitrường truyền như nhau

6

1.7.Kết chương

Trong chương này đã trình bày được những khái niệm cơ bản nhất về mạng máy tínhkhông dây, nêu bật được các công nghệ sử dụng, các chuẩn giao thức trong mạng máytính không dây đặc biệt là giới thiệu được tương đối đầy đủ về họ chuẩn IEEE802.11.Trong chương này cũng đã trình bày được về mô hình của mạng máy tính không dây,các kiểu hoạt động và các quá trình cơ bản diễn ra trong mô hình Infrastructure Một số

cơ chế trao đổi thông tin trong mạng không dây cũng đã được làm rõ và đặc biệt là đã có

sự phân biệt và so sánh về ưu điểm và nhược điểm của mạng máy tính không dây vàmạng máy tính có dây

Chương tiếp theo sẽ nghiên cứu những khái niệm cơ bản về bảo mật mạng, thựctrạng vấn đề an toàn, an ninh của mạng không dây hiện nay, một số phương pháp tấncông mạng máy tính không dây và một số loại mã hóa bảo mật hiện nay

Chương 2 TỎNG QUAN VÈ BẢO MẬT MẠNG MÁY TÍNH KHÔNG DÂY

2.1.Khái niệm về bảo mật mạng

Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thông tin đóngmột vai trò hết sức quan trọng Thông tin chỉ có giá trị khi nó giữ được tính chính xác,thông tin có tính bảo mật khi chỉ có những người được phép nắm giữ thông tin biết về

nó Khi ta chưa có thông tin hoặc việc sử dụng hệ thống thông tin chưa phải là phươngtiện duy nhất trong quản lý, điều hành thì vấn đề an toàn, bảo mật đôi khi bị xemthường Nhưng khi nhìn nhận tới mức độ quan trọng của thông tin và giá trị đích thựccủa nó thì chúng ta sẽ có mức độ đánh giá về an toàn và bảo mật hệ thống thông tin.Quá trình bảo mật hệ thống thông tin không phải chỉ là những công cụ mà trong đó baogồm cả những chính sách liên quan đến tổ chức, con người, môi trường bảo mật, cácmối quan hệ và những công nghệ để bảo đảm an toàn hệ thống

Một hệ thống mà các thông tin dữ liệu bị người không có quyền truy cập tìmcách lấy đi và sử dụng hoặc các thông tin trong hệ thống bị thay thế hoặc sửa đổi làmsai lệch nội dung thì hệ thống đó là không an toàn

Không thể đảm bảo an toàn 100% nhưng có thể giảm bớt các rủi ro không mong

7

muốn Những giải pháp công nghệ đơn lẻ không thể cung cấp đủ sự an toàn cần thiếtcho hầu hết các tổ chức.

Đe đảm bảo được tính an toàn và bảo mật cho một hệ thống cần phải có sự phốihợp giữa các yếu tố công nghệ và con người

- Yeu tố công nghệ: Bao gồm những sản phấm của công nghệ như Firewall, phầnmềm chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứngdụng

- Yeu tố con người: là những người sử dụng máy tính, những người làm việc vớithông tin và sử dụng máy tính trong công việc của mình Con người là khâu yếunhất trong toàn bộ quá trình bảo đảm an toàn thông tin Hầu như phần lớn cácphương thức tấn công được hacker sử dụng là khai thác các điểm yếu của hệthống thông tin và đa phần các điểm yếu đó là do con người tạo ra Việc nhậnthức kém cộng với việc không tuân thủ các chính sách về an toàn thông tin đãdẫn tới tình trạng trên Đơn cử là vấn đề sử dụng mật khấu kém chất lượng,không thay đổi mật khẩu định kì, quản lý lỏng lẻo là những khâu yếu nhất màhacker có thể lợi dụng thâm nhập và tấn công

Đe đảm bảo an ninh cho mạng, cần phải xây dựng một số tiêu chuấn đánhgiá mức độ an ninh an toàn mạng Một số tiêu chuẩn đã được thừa nhận là thước đo mức

độ an ninh mạng

* Đánh giá trên phương diện vật lý về an toàn thiết bị

Các thiết bị sử dụng trong mạng cần đáp ứng được các yêu cầu sau:

- Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột Có khả năng thaythế nóng từng phần hoặc toàn phần (hot-plug, hot-swap)

- Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm

- Yêu cầu nguồn điện, có dự phòng trong tình huống mất đột ngột

- Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét,phòng chống cháy nổ, vv

* Đánh giá trên phương diện vật lý về an toàn dữ liệu

8

- Có các biện pháp sao lưu dữ liệu một cách định kỳ và không định kỳ trong cáctình huống phát sinh.

- Có biện pháp lưu trữ dữ liệu tập trung và phân tán nhằm chia bớt rủi ro trongcác trường hợp đặc biệt như cháy nổ, thiên tai, chiến tranh, vv

* Đánh giá trên phương diện logic về tính bí mật, tin cậy (Condifidentislity)

- Là sự bảo vệ dữ liệu truyền đi khỏi những cuộc tấn công bị động Có thể dùngvài mức bảo vệ để chống lại kiểu tấn công này Dịch vụ rộng nhất là bảo vệ mọi

dữ liệu của người sử dụng truyền giữa hai người dùng trong một khoảng thờigian Neu một kênh ảo được thiết lập giữa hai hệ thống, mức bảo vệ rộng sẽngăn chặn sự rò rỉ của bất kỳ dữ liệu nào truyền trên kênh đó

- cấu trúc hẹp hơn của dịch vụ này bao gồm việc bảo vệ một bản tin riêng lẻ haynhững trường hợp cụ thế bên trong một bản tin Khía cạnh khác của tin bí mật làviệc bảo vệ lưu lượng khỏi việc phân tích Điều này làm cho những kẻ tấn côngkhông thể quan sát được tần suất, độ dài của nguồn và đích hoặc những đặcđiểm khác của lưu lượng trên một phương tiện giao tiếp

* Đánh giá trên phương diện logic về tính xác thực (Authentication)

- Liến quan tới việc đảm bảo rằng một cuộc trao đổi thông tin là đáng tin cậy.Trong trường hợp một bản tin đơn lẻ, ví dụ như một tín hiệu báo động hay cảnhbáo, chức năng của dịch vụ ủy quyền là đảm bảo bên nhận rằng bản tin là từnguồn mà nó xác nhận là đúng

- Trong trường hợp một tương tác đang xẩy ra, ví dụ kết nối của một đầu cuối đếnmáy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảmbảo rằng hai thực thể là đáng tin Mỗi chúng là một thực thể được xác nhận Thứhai, dịch vụ cần phải đảm bảo rằng kết nối là không bị gây nhiễu do một thựcthể thứ ba có thể giả mạo là một trong hai thực thể hợp pháp để truyền tin hoặcnhận tin không được cho phép

* Đánh giá trên phương diện logic về tính toàn vẹn (Integrity)

- Cùng với tính bí mật, toàn vẹn có thể áp dụng cho một luồng các bản tin, mộtbản tin riêng biệt hoặc những trường lựa chọn trong bản tin Một lần nữa,phương thức có ích nhất và dễ dàng nhất là bảo vệ toàn bộ luồng dữ liệu

9

- Một dịch vụ toàn vẹn hướng kết nối, liên quan tới luồng dữ liệu, đảm bảo rằngcác bản tin nhận được cũng như gửi không có sự trùng lặp, chèn, sửa, hoán vịhoặc tái sử dụng Việc hủy dữ liệu này cũng được bao gồm trong dịch vụ này Vìvậy, dịch vụ toàn vẹn hướng kết nối phá hủy được cả sự thay đổi luồng dữ liệu

và cả từ chối dữ liệu Mặt khác, một dịch vụ toàn vẹn không kết nối, liên quantới từng bản tin riêng lẻ, không quan tâm tới bất kỳ một hoàn cảnh rộng nào, chỉcung cấp sự bảo vệ chống lại sửa đổi bản tin Chúng ta có thể phân biệt giữadịch vụ có và không có phục hồi Bởi vì dịch vụ toàn vẹn liên quan tới tấn côngchủ động, chúng ta quan tâm tới phát hiện hơn là ngăn chặn Neu một sự viphạm toàn vẹn được phát hiện, thì phần dịch vụ đơn giản là báo cáo sự vi phạmnày và một vài những phần của phần mềm hoặc sự ngăn chặn của con người sẽđược yêu cầu để khôi phục từ những vi phạm đó Có những cơ chế giành sẵn đểkhôi phục lại những mất mát của việc toàn vẹn dữ liệu

* Đánh giá trên phương diện logic về không thể phủ nhận (Non repudiation)Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thểchối bỏ 1 bản tin đã được truyền Vì vậy, khi một bản tin được gửi đi, bên nhận có thểchứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp Hoàn toàntương tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin đó đúngthật được nhận bởi người nhận hợp lệ

*Đánh giá trên phương diện logic về khả năng điều khiển truy nhập (AccessControl)

Trong hoàn cảnh của an ninh mạng, điều khiển truy cập là khả năng hạn chế cáctruy nhập với máy chủ thông qua đường truyền thông Để đạt được việc điều khiển này,mỗi một thực thể cố gắng đạt được quyền truy nhập cần phải được nhận diện, hoặc đượcxác nhận sao cho quyền truy nhập có thế được đáp ứng nhu cầu đối với từng người

* Đánh giá trên phương diện logic về tính khả dụng, sẵn sàng (Availability)Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất

cứ lúc nào mong muốn trong vòng một khoảng thời gian cho phép Các cuộc tấn côngkhác nhau có thê tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ Tính khảdụng của dịch vụ thể hiện khả năng ngăn chặn và khôi phục những tôn thất của hệ thống

0