ỨNG DụNG CủA ĐịA CHỉ MAC TRONG VIệC QUảN LÝ KếT NốI Tuy nhiên đây không phải là giải pháp thật an toàn, vì người dùng có thể thay đổi được địa chỉ MAC Dựa trên địa chỉ MAC, có thể th
Trang 1BảO MậT MạNG KHÔNG DÂY
SVTH: NGUYỄN CÔNG MINH
1
ĐẠI HỌC QUỐC GIA TPHCM TRƯỜNG ĐH KHTN TPHCM KHOA ĐIỆN TỬ - VIỄN THÔNG
Trang 2MỤC LỤC
1 TỔNG QUAN VỀ MẠNG KHÔNG DÂY
1.1 Khái niệm và lịch sử phát triển
1.2 Các thành phần thiết bị chính của mạng không dây
2 BẢO MẬT MẠNG KHÔNG DÂY
2.1 Tổng quan về bảo mật mạng
2.2 Giải pháp lọc địa chỉ MAC
2.3 Giải pháp mã hóa theo giao thức WEP
2.4 Giải pháp mã hóa theo giao thức WPA
Trang 31 TỔNG QUAN VỀ MẠNG KHÔNG DÂY
3
Trang 4Hình 1: Các đặc điểm kỹ thuật của IEEE 802.11
do viện kỹ thuật điện và điện tử Mỹ phê
1.1 KHÁI NIệM VÀ LịCH Sử PHÁT TRIểN
Trang 5ƯU ĐIểM VÀ VÀ NHƯợC ĐIểM CủA
Trang 72 BẢO MẬT MẠNG KHÔNG DÂY
7
Trang 8 Bảo mật
Tính năng
Sự dễ dùng
Trang 92.2 GIảI PHÁP LọC ĐịA CHỉ MAC
Là địa chỉ vật lý của một thiết bị mạng Địa chỉ MAC là
một số dài 6 byte, thường được viết dưới dạng 12 chữ số
Hexa
Địa chỉ MAC của một IP được xác định bởi giao thức
ARP (Address Resolution Protocol)
Trang 10ỨNG DụNG CủA ĐịA CHỉ MAC
TRONG VIệC QUảN LÝ KếT NốI
Tuy nhiên đây không phải là giải pháp
thật an toàn, vì người dùng có thể thay đổi được địa chỉ MAC
Dựa trên địa chỉ
MAC, có thể thiết lập
bộ lọc để cho
phép/cấm thiết bị kết
nối ra vào mạng
Trang 112.3 GIảI PHÁP MÃ HÓA THEO
GIAO THứC WEP
WEP cung cấp bảo mật cho dữ liệu trên mạng không dây
qua phương thức mã hóa sử dụng thuật toán đối xứng
RC4
WEP sử dụng khóa cố định được chia sẻ giữa một
Access Point và nhiều người dùng cùng với một IV ngẫu
nhiên 24 bit, phổ biến là 2 loại khóa có độ dài 40/64 bit
và 104/128 bit
Trang 12 Do sử dụng khóa cố định, WEP có thể được bẻ khóa dễ
dàng bằng các công cụ sẵn có: aircrack, airsnort,
wepcrack, …
Nên chuyển sang dùng các chuẩn giao thức bảo mật mới
an toàn hơn như WPA, WPA2
Trường hợp buộc phải sử dụng WEP thì nên áp dụng các
biện pháp tối ưu
Sử dụng khóa WEP có độ dài 128 bit
Thực thi chính sách thay đổi khóa WEP định kỳ
Sử dụng các công cụ theo dõi số liệu thống kê dữ
liệu trên đường truyền không dây
Trang 132.4 GIảI PHÁP MÃ HÓA THEO GIAO
THứC WPA
WPA được xây dựng nhằm cải thiện những hạn chế của
WEP nên nó chứa đựng những đặc điểm vượt trội hơn
Cũng sử dụng thuật toán RC4 như WEP, nhưng
mã hoá đầy đủ 128 bit
Sử dụng một khóa động, được thay đổi tự động
nhờ vào giao thức TKIP nhằm chống việc dò tìm
khóa
Cho phép kiểm tra xem thông tin có bị thay đổi
trên đường truyền hay không nhờ vào cơ chế
kiểm tra tính toàn vẹn thông tin MIC
WPA còn có thể sử dụng 802.1x/EAP để đảm bảo
Trang 14GIAO THứC WPA2
WPA2 sử dụng rất nhiều thuật toán để mã hóa dữ liệu,
đặc biệt là AES (chuẩn mã hóa nâng cao)
AES sử dụng thuật toán mã hoá đối xứng theo khối
Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc
256 bit, được xem như là bảo mật tốt hơn rất nhiều so
với WEP 128 bit
Trang 152.5 GIảI PHÁP KếT NốI MộT CHạM
WPS
WPS sẽ tự động cấu hình một mạng không dây, được
thiết kế để hỗ trợ kết nối Wi-Fi các sản phẩm khác nhau,
từ 802.11 Access Point, các adapter không dây, Wi-Fi
điện thoại, và các thiết bị điện tử tiêu dùng khác
Người dùng chỉ cần nhấn nút WPS trên cả hai thiết bị
WPS để kết nối
Trang 162.6 GIảI PHÁP CHứNG THựC Mở
RộNG VớI MÔ HÌNH 802.1X
EAP-TLS
Một số Access Point cho phép thiết lập theo mô hình
chứng thực mở rộng EAP (Extensible Authentication
Protocol)
Mô hình này có thêm một server chứa các thông tin
chứng thực của người sử dụng – ACS (Access Control
Server) Server
Trang 17 Hiện nay có hơn 40 giao thức được xây dựng theo mô
hình EAP, một số giao thức hay được sử dụng là:
EAP-MD5: Username/password được gửi về cho
ACS Server, phương pháp này kém an toàn nhất
trong họ EAP vì bị tấn công dạng MITMD
(man-in-the-middle) và tấn công kiểu từ điển
EAP-TLS, EAP-TTLS, PEAP: Sử dụng chữ ký điện tử,
các giao thức chứng thực theo mô hình khóa
công khai PKI này là an toàn nhất hiện nay.
LEAP tương tự như EAP nhưng chỉ sử dụng được
với các card mạng và Access point của Cisco.
Trang 18MÔ HÌNH CHứNG THựC 802.1X
EAP-TLS
EAP-TLS là một kỹ thuật cung cấp các khóa mã hóa
động cho người dùng và session Điều này cải thiện một
cách đáng kể và vượt qua nhiều điểm yếu trong các
mạng không dây
Trang 192.7 FIREWALL
Firewall là một kỹ thuật được tích hợp vào hệ thống
mạng để chống sự truy cập trái phép
Chức năng chính của Firewall là kiểm soát luồng thông
tin từ giữa Intranet và Internet Thiết lập cơ chế điều
khiển dòng thông tin giữa mạng bên trong (Intranet) và
mạng Internet
Trang 20PHÂN LOạI
Chia làm 2 loại, gồm Firewall cứng và Firewall mềm
Firewall cứng: Là những firewall được tích hợp
trên Router
Firewall mềm: Là những phần mềm Firewall
được cài đặt trên Server.
Trang 21 Một Firewall chuẩn bao gồm một hay nhiều các thành
phần sau đây:
Bộ lọc gói tin
Cổng ứng dụng
Cổng vòng
Trang 222.8 VPN
VPN là sự mở rộng của một mạng riêng thông qua các
mạng công cộng (thường là internet)
Nó cung cấp các cơ chế mã hoá dữ liệu trên đường
truyền, tạo ra một đường ống bảo mật giữa nơi nhận và
nơi gửi
Trang 24Sơ đồ hoạt động của một hệ thống VPN
Trang 253 THỬ NGHIỆM BẺ KHÓA GIAO THỨC WEP
25
Trang 26Hệ THốNG THử NGHIệM NHƯ SAU
Hệ điều hành: Ubuntu 10.04 LTS và Windows Vista SP2
Card wifi: Atheros 5007EG
Driver card wifi: Madwifi-hal-0.10.5.6-r4126-20100324
Phần mềm crack: Aircrack-ng 1.1, chạy trên môi trường Linux
Trang 274 KếT LUậN
27
Trang 28 Đề tài đã khái quát những kiến thức cơ bản và tổng quát về mạng
không dây, cách thức triển khai, lắp đặt và bảo mật cho hệ thống
Các đề mục được sắp xếp theo trình tự, có thể sử dụng làm cẩm
nang hướng dẫn cho những ai muốn tiếp cận lĩnh vực này.
Phần thực nghiệm đã trình bày vấn đề được phổ biến và lan tràn khá
nhiều trên mạng hiện nay: phá khóa giao thức bảo mật WEP Qua
đó, đưa ra lời cảnh báo về việc chuyển sang dùng giao thức WPA
hoặc buộc phải tối ưu WEP khi dùng.
Hiện nay, các công nghệ kết nối mạng không dây thế hệ mới 3G
đang dần trở nên phổ biến, khoảng cách giữa mạng máy tính và
mạng viễn thông sẽ dần được thu hẹp Vấn đề bảo mật cho điện
thoại di động, và các thiết bị kỹ thuật số cầm tay khác sẽ dần được
quan tâm và để ý nhiều hơn Đây là một hướng phát triển mới của
đề tài.
Trang 2929
