Vấn đề bảo mật trong mạng máy tính không dây

Trong một cấu hình mạng máy tính không dây tiêu chuẩn, một thiết bị thu/phát bộ thu/phát được gọi là một điểm truy cập, nối với mạng hữu tuyến từ một vị trí cố định sử dụng cáp tiêu chuẩ

Trang 1

-

luận văn thạc sĩ khoa học

Vấn đề bảo mật trong mạng máy tính không dây

ngành : kỹ thuật điện tử

m∙ số:23.04.3898Tô quang vinh

Người hướng dẫn khoa học : GS.TS HỒ ANH TÚY

Hà Nội 2009

Trang 2

1

Tô Quang Vinh Vấn đề bảo mật trong mạng máy tính không dây

MỤC LỤC

MỤC LỤC 1

DANH MỤC CÁC BẢNG 8

LỜI MỞ ĐẦU 11

CHƯƠNG 1 : MẠNG MÁY TÍNH KHÔNG DÂY 13

1.1 Mạng máy tính không dây 13

1.1.1 Giới thiệu về mạng máy tính không dây 13

1.1.2 Điều chế trải phổ 15

1.1.3 Các chuẩn 802.11 19

1.1.4 Cự ly truyền sóng, tốc độ truyền dữ liệu 25

1.1.5.Các kiến trúc cơ bản của chuẩn 802.11 27

1.1.6 Một số cơ chế sử dụng khi trao đổi thông tin trong mạng không dây 30

1.1.7 Vấn đề của mạng không dây, tương quan so với mạng có dây 32

1.1.8 Mô hình thực tế 35

1.2 An ninh trong mạng máy tính không dây 36

1.2.1 Đánh giá vấn đề an toàn, bảo mật hệ thống 36

1.2.2 Các loại hình tấn công vào mạng 40

1.2.3 Các biện pháp bảo vệ 41

CHƯƠNG 2 : GIẢI PHÁP BẢO MẬT TRONG MẠNG MÁY TÍNH KHÔNG DÂY 47

2.1 Một số khái niệm 47

2.1.1 Chứng thực 47

Trang 3

2.1.2 Phê duyệt 47

2.1.3 Kiểm tra 48

2.1.4 Mã hóa dữ liệu 48

2.2 Kiểm soát an ninh mạng bằng giải pháp chứng thực địa chỉ MAC và SSID 49

2.2.1 Chứng thực bằng địa chỉ MAC 49

2.2.2 Chứng thực bằng SSID 51

2.3 Kiểm soát an ninh mạng bằng giải pháp chứng thực và mã hóa WEP 55

2.3.1 Nguyên lý hoạt động 56

2.3.2 Các ưu, nhược điểm của WEP 61

2.3.3 Phương thức dò mã chứng thực 62

2.3.4 Phương thức dò mã dùng chung – Share key trong WEP 63

2.3.5 Biện pháp đối phó 67

2.3.6 Cải tiến để nâng cao tính bảo mật trong phương pháp chứng thực và mã hóa WEP 67

2.4 Kiểm soát an ninh mạng bằng giải pháp chứng thực chuẩn 802.11x 70

2.4.1 Nguyên lý RADIUS Server 70

2.4.2 Giao thức chứng thực mở rộng EAP 73

2.5 Các kiểu tấn công cụ thể và biện pháp đối phó 79

2.5.1 Phân loại các kiểu tấn công mạng 79

2.5.2 Các kiểu tấn công cụ thể và biện pháp đối phó 82

2.6 Kiểm soát an ninh mạng bằng một số giải pháp khác 87

2.6.1 Các phương pháp lọc 87

2.6.2 Wireless VLAN 89

2.6.3 Công nghệ VPN – Virtual Private Networks 92

Trang 4

3

CHƯƠNG 3 : ĐỀ XUẤT GIẢI PHÁP MẠNG KHÔNG DÂY ÁP

DỤNG CHO TRƯỜNG ĐẠI HỌC 96

3.1 Đặt vấn đề 96

3.2 Giải pháp đưa ra 97

3.2.1 Thiết lập hệ thống mạng dữ liệu 97

3.2.2 Tạo không gian truy cập trong trường 97

3.2.3 Xây dựng kết nối Internet 98

3.2.4 Cơ chế an toàn, bảo mật dữ liệu 99

3.3 Giải pháp triển khai 99

3.4 Đánh gía chung về mặt bảo mật 105

TÀI LIỆU THAM KHẢO 106

TÓM TẮT LUẬN VĂN 107

Trang 5

DANH MỤC CÁC TỪ VIẾT TẮT

AAA - Authentication Authorization Audit

ACL - Access control lists

ACS - Access Control Server

AES – Advanced Encryption Standard

AP - Access point

APOP - Authentication POP

BSS - Basic Service Set

BSSID - Basic Service Set Identifier

CA - Certificate Authority

CCK - Complimentary Code Keying

CDMA - Code Division Multiple Access

CHAP - Challenge Handshake Authentication Protocol

CMSA/CD - Carrier Sense Multiple Access with Collision Detection

CRC - Cyclic redundancy check

CSMA/CA - Carrier Sense Multiple Access with Collision Avoidance

CTS - Clear To Send

DES - Data Encryption Standard

DFS - Dynamic Frequency Selection

DHCP - Dynamic Host Configuration Protocol

DMZ - Demilitarized Zone

DOS - Denial of service

DRDOS - Distributed Reflection DOS

DS - Distribution System

Trang 6

5

DSSS - Direct Sequence Spread SpectrumEAP - Extensible Authentication Protocol

EAPOL - EAP Over LAN

EAPOW - EAP Over Wireless

ESS - Extended Service Set

ETSI - European Telecommunications Standards Institute

FHSS – Frequency Hopping Spread Spectrum

HTTP - HyperText Transfer Protocol

IBSS - Independent Basic Service Set

ICMP -Internet Control Message Protocol

ICV – Intergrity Check Value

IEEE - Institute of Electrical and Electronics Engineers

IETF - Internet Engineering Task Force

IKE - Internet Key Exchange

IP - Internet Protocol

IPSec - Internet Protocol Security

IrDA - Infrared Data Association

ISDN -Integrated Services Digital Network

ISP - Internet Service Provider

ITU - International Telecommunication Union

IV - Initialization Vector

LAN - Local Area Network

LCP – Link Control Protocol

LEAP - Light Extensible Authentication Protocol

LLC - Logical Link Control

LOS - Light of Sight

MAC - Media Access Control

Trang 7

MAN - Metropolitan Area Network

MIC - Message Integrity Check

MSDU - Media Access Control Service Data Unit

OCB - Offset Code Book

OFDM - Orthogonal Frequency Division

OSI - Open Systems Interconnection

OTP - One-time password

PAN - Person Area Network

PBCC - Packet Binary Convolutional Coding

PCMCIA - Personal Computer Memory Card International Association

PDA - Personal Digital Assistant

PEAP - Protected EAP Protocol

PKI-Public Key Infrastructure

PRNG - Pseudo Random Number Generator

QoS - Quality of Service

RADIUS - Remote Access Dial-In User Service

SSID - Service Set ID

SSL - Secure Sockets Layer

STA - Station

SWAP - Standard Wireless Access Protocol

TACACS - Terminal Access Controller Access Control System

TCP - Transmission Control Protocol

Trang 8

7

TFTP - Trivial File Transfer Protocol

TKPI - Temporal Key Integrity Protocol

TLS - Transport Layer Security

TPC - Transmission Power Control

UDP - User Datagram Protocol

UNII - Unlicensed National Information Infrastructure

VLAN - Virtual LAN

VPN - Virtual private networks

WAN - Wide Area Network

WECA - Wireless Ethernet Compatibility

WEP - Wired Equivalent Protocol

WLAN - Wireless LAN

WPAN - Wireless Personal Area Network

Trang 9

DANH MỤC CÁC BẢNG

Bảng 1.1 : Các kênh sử dụng của chuẩn 802.11b……… 21

Bảng 1.2 : Chi tiết về chuẩn 802.11a……… 22

Bảng 1.3 : Tốc độ truyền dữ liệu của AP theo khoảng cách ………… 25

Bảng 1.4 : Chuẩn 802.11b dùng Rubber Duck Antenna……… 26

Bảng 1.5 : Chuẩn 802.11a dùng cho Omni Antenna……… 27

Bảng 2.1 : Các SSID ngầm định của AP của một số hãng……… 53

Bảng 2.2 : Phân chia các nhóm và chính sách bảo mật……… 91

Trang 10

9

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ

Hình 1.1: Ví dụ về hoạt động của trải phổ chuỗi trực 16

Hình 1.2 : Trải phổ nhảy tần 18

Hình 1.3 : Công nghệ ghép kênh phân chia theo tần số trực giao 19

Hình 1.4 : Mô hình mạng Adhoc 29

Hình 1.5 : Mô tả hệ thống phân tán 29

Hình 1.6 : Hệ thống phục vụ mở rộng 30

Hình 1.7 : Mạng không dây kết hợp với mạng có dây 35

Hình 1.8 : Hai mạng có dây kết nối với nhau bằng kết nối không dây 36

Hình 2.1 : Quá trình chứng thực bằng địa chỉ MAC……….50

Hình 2.2 : Quá trình chứng thực bằng SSID 51

Hình 2.3 : Mô hình hai phương pháp chứng thực SSID của 802.11 52

Hình 2.4 : Giá trị SSID được AP phát ở chế độ quảng bá 54

Hình 2.5 : Giá trị SSID được AP phát ở chế độ trả lời Client 55

Hình 2.6 : Mô hình chứng thực giữa Client và AP 56

Hình 2.7 :Cài đặt mã khóa dùng chung cho WEP 58

Hình 2.8 : Sơ đồ mã hóa khi truyền đi 59

Hình 2.9 : Quá trình đóng gói thành bản tin được mã hóa 59

Hình 2.10 : Quá trình giải mã khi nhận về 60

Hình 2.11 : Quá trình mã hóa và giải mã gói tin 63

Hình 2.12 : Quá trình dò mã thực hiện ở bên ngoài mạng không dây 65

Hình 2.13 : Nguyên lý Bit – Flipping 66

Hình 2.14 : Quá trình dò mã thực hiện ở bên trong mạng không dây 67

Hình 2.15 : Cấu trúc của một gói tin 68

Hình 2.16 : Các thông số tạo nên trường MIC 69

Trang 11

Hình 2.17 : Quá trình mã hóa gói tin 70

Hình 2.18 : Mô hình chứng thực sử dụng RADIUS Server 72

Hình 2.19 : Các bước chứng thực Hình 2.20 : Kiến trúc EAP 72

Hình 2.20 : Kiến trúc EAP……….74

Hình 2.21 : Hình vẽ minh họa khái niệm port 75

Hình 2.22 : Quá trình trao đổi giữa ba bên tham gia 76

Hình 2.23 : Các kiểu tấn công theo kiểu bị động 79

Hình 2.24 : Các kiểu tấn công theo kiểu chủ động 80

Hình 2.25 : Tấn công theo kiểu chèn ép 81

Hình 2.26 : Tấn công theo kiểu thu hút 82

Hình 2.27 : Phần mềm bắt gói tin Ethereal 84

Hình 2.28 : Phần mềm thu thập thông tin hệ thống mạng không dây NetStumbler 85

Hình 2.29 : Mô hình mạng VLAN 89

Hình 2.30 : Ví dụ về mô hình sử dụng mạng VLAN 90

Hình 2.31 : Công nghệ VPN……….93

Hình 2.32 : IPSec áp dụng cho WLAN 91

Hình 2.32 : IPSec áp dụng cho WLAN 94

Hình 2.33 : Mô hình mạng được bao phủ bởi VPN 94

Hình 3.1 : Mô hình mạng LAN kết nối với mạng DMZ 100

Hình 3.2 : Xây dựng mạng kết nối không dây WLAN trong trường 101

Hình 3.3 : Sử dụng VLAN phân chia nhóm người sử dụng 102

Hình 3.4 : Kết nối từ trường tới nhà cung cấp dịch vụ Internet 103

Hình 3.5 : Mô hình tổng quát 104

Trang 12

11

LỜI MỞ ĐẦU

Việc truy cập thông tin trên những chiếc máy tính đơn lẻ đã không thể

đáp ứng nhu cầu liên kết, trao đổi, chia sẻ thông tin giữa nhiều người Chính

vì vậy mà đã hình thành mạng máy tính, đó là sự kết nối của nhiều máy tính trở thành những hệ thống mạng phân cấp phức tạp mà đỉnh cao là mạng Internet toàn cầu hiện nay Niềm tin về khả năng an toàn dữ liệu khi kết nối mạng trong kinh doanh, sự phát triển nhanh chóng của Internet và các dịch vụ trực tuyến là một bằng chứng về lợi ích của việc dùng chung, cùng chia sẻ nguồn dữ liệu Bên cạnh nền tảng mạng máy tính hữu tuyến, mạng máy tính không dây ngay từ khi ra đời đã thể hiện nhiều ưu điểm nổi bật Với mạng máy tính không dây, những người sử dụng có thể truy cập thông tin dùng chung mà không phải tìm kiếm chỗ để nối dây mạng, chúng ta có thể mở rộng phạm vi mạng mà không phần phải bổ xung thêm dây, giắc cắm Các mạng máy tính không dây có ưu điểm về hiệu suất, sự thuận lợi, tính giản đơn Trước đây, do chi phí còn cao nên mạng không dây còn chưa phổ biến Ngày nay khi mà giá thành thiết bị phần cứng ngày một hạ, khả năng xử lý ngày càng tăng thì mạng không dây đã được triển khai rộng rãi, ở một số nơi đã

thay thế được mạng máy tính có dây khó triển khai

Điểm yếu cơ bản nhất của mạng không dây đó là khả năng bảo mật, an toàn thông tin do đặc thù trao đổi thông tin trong không gian truyền sóng Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thông tin đóng một vai trò hết sức quan trọng Thông tin chỉ có giá trị khi nó giữ được tính chính xác, thông tin chỉ có tính bảo mật khi chỉ có những người được phép nắm giữ thông tin biết được nó Khi ta chưa có thông tin, hoặc việc sử dụng

hệ thống thông tin chưa phải là phương tiện duy nhất trong quản lý, điều hành thì vấn đề an toàn, bảo mật đôi khi bị xem thường Nhưng một khi nhìn nhận

Trang 13

tới mức độ quan trọng của tính bền hệ thống và giá trị đích thực của thông tin đang có thì chúng ta sẽ có mức độ đánh giá về an toàn và bảo mật hệ thống thông tin Để đảm bảo được tính an toàn và bảo mật cho một hệ thống cần phải có sự phối hợp giữa các yếu tố phần cứng, phần mềm và con người Hiện nay các kiểu tấn công vào mạng ngày càng vô cùng tinh vi, phức tạp và khó lường, gây ra nhiều tác hại Các kỹ thuật tấn công luôn biến đổi và chỉ được phát hiện sau khi đã để lại những hậu quả xấu Một yêu cầu cần thiết để bảo

vệ an toàn cho mạng là phải phân tích, thống kê và phân loại được các kiểu tấn công, tìm ra các lỗ hổng có thể bị lợi dụng để tấn công Ý thức được điều

đó nên tôi đã quyết định chọn đề tài “ Vấn đề bảo mật trong mạng máy tính

không dây ” làm đề tài tốt nghiệp, với mong muốn có thể tìm hiểu, nghiên

cứu, hiểu biết thêm về đề tài này Cũng như mạng mạng máy tính có dây, mạng máy tính không dây cũng có những cấu trúc từ đơn giản đến rất phức tạp Luận văn này nghiên cứu dựa trên mạng máy tính không dây nhưng tập trung vào nghiên cứu các vấn đề an ninh mạng trên mạng máy tính nội bộ không dây cơ bản Wireless LAN hay gọi tắt là WLAN, vì đây là mạng không dây cơ bản, từ mô hình này có thể phát triển ra các mô hình mạng khác như mạng WAN không dây, mạng không dây kết hợp mạng có dây Tiếp theo mới

là các mô hình mạng máy tính không dây phức tạp khác

Tôi xin chân thành cảm ơn GS.TS Hồ Anh Túy đã giúp đỡ tôi nhiệt

tình trong suốt quá trình tôi làm luận văn cũng như xin được cảm ơn các bạn

bè, đồng nghiệp đã góp ý, giúp đỡ tôi hoàn thành luận văn này Luận văn này chắc chắn sẽ không tránh được những sai sót, tôi rất mong những ý kiến đóng góp của thầy cô và các bạn

Hà nội 10/2009

Tô Quang Vinh

Trang 14

13

CHƯƠNG 1 : MẠNG MÁY TÍNH KHÔNG DÂY

1.1 Mạng máy tính không dây

1.1.1 Giới thiệu về mạng máy tính không dây

Mạng máy tính không dây - Wireless Computer Network, là một hệ thống mạng dữ liệu linh hoạt được thực hiện như một sự mở rộng hoặc một sự lựa chọn mới cho mạng máy tính hữu tuyến, để tiện trong diễn giải, trong đồ

án này sẽ gọi mạng hữu tuyến bằng khái niệm “mạng có dây” – Wireline Computer Network Các mạng máy tính không dây sử dụng các sóng điện từ không gian (sóng vô tuyến hoặc sóng ánh sáng) thu, phát dữ liệu qua không khí, giảm thiểu nhu cầu về kết nối bằng dây Vì vậy, các mạng máy tính không dây kết hợp liên kết dữ liệu với tính di động của người sử dụng

Các mạng máy tính không dây đã đạt được tính phổ biến mạnh trên một

số thị trường, bao gồm chăm sóc sức khỏe, bán lẻ, công nghiệp chế tạo, kho hàng, các trường đại học, vv Việc sử dụng các thiết bị đầu cuối cầm tay và các máy tính để gửi thông tin thời gian thực tới các host trung tâm để xử lý đem lại nhiều lợi ích cho các ngành công nghiệp này Ngày nay, các mạng máy tính không dây ngày càng trở nên quen thuộc hơn, được công nhận như một sự lựa chọn kết nối đa năng cho một phạm vi lớn các khách hàng kinh doanh

Với mạng máy tính không dây, những người sử dụng có thể truy cập thông tin dùng chung mà không phải tìm kiếm chỗ để nối dây mạng, chúng ta

có thể mở rộng phạm vi mạng mà không phần phải bổ xung thêm dây, giắc cắm Các mạng máy tính không dây có ưu điểm về hiệu suất, sự thuận lợi, cụ thể như sau:

Trang 15

- Tính di động: những người sử dụng mạng máy tính không dây có thể

truy nhập nguồn thông tin ở bất kỳ nơi nào, tính di động sẽ tăng năng suất và tính kịp thời thỏa mãn nhu cầu về thông tin

- Tính giản đơn: lắp đặt, thiết nối một mạng máy tính không dây là rất

dễ dàng, đơn giản

- Tính linh hoạt: có thể triển khai ở những nơi mà mạng hữu tuyến

không thể triển khai được

- Khả năng vô hướng : các mạng máy tính không dây có thể được cấu

hình theo các topo khác nhau để đáp ứng các nhu cầu ứng dụng và lắp đặt cụ thể Các cấu hình dễ dàng thay đổi từ các mạng ngang hàng thích hợp cho một

số lượng nhỏ người sử dụng đến các mạng có cơ sở hạ tầng đầy đủ dành cho hàng ngàn người sử dụng mà có khả năng di chuyển trên một vùng rộng Các mạng máy tính không dây sử dụng các sóng điện từ không gian (vô tuyến hoặc ánh sáng) để truyền thông tin từ một điểm tới điểm khác Các sóng vô tuyến thường được xem như các sóng mang vô tuyến do chúng chỉ thực hiện chức năng cung cấp năng lượng cho một máy thu ở xa Dữ liệu đang được phát được điều chế trên sóng mang vô tuyến (thường được gọi là điều chế sóng mang nhờ thông tin đang được phát) sao cho có thể được khôi phục chính xác tại máy thu

Nhiễu sóng mang vô tuyến có thể tồn tại trong cùng không gian, tại cùng thời điểm mà không can nhiễu lẫn nhau nếu các sóng vô tuyến được phát trên các tần số vô tuyến khác nhau Để nhận lại dữ liệu, máy thu vô tuyến sẽ thu trên tần số vô tuyến của máy phát tương ứng

Trong một cấu hình mạng máy tính không dây tiêu chuẩn, một thiết bị thu/phát (bộ thu/phát) được gọi là một điểm truy cập, nối với mạng hữu tuyến

từ một vị trí cố định sử dụng cáp tiêu chuẩn Chức năng tối thiểu của điểm

Trang 16

15

truy cập là thu, làm đệm, và phát dữ liệu giữa mạng máy tính không dây và cơ

sở hạ tầng mạng hữu tuyến Một điểm truy cập đơn có thể hỗ trợ một nhóm nhỏ người sử dụng và có thể thực hiện chức năng trong một phạm vi từ một trăm đến vài trăm feet Điểm truy cập (hoặc anten được gắn vào điểm truy cập) thường được đặt cao nhưng về cơ bản có thể được đặt ở bất kỳ chỗ nào miễn là đạt được vùng phủ sóng mong muốn

Những người sử dụng truy cập vào mạng máy tính không dây thông qua các bộ thích ứng máy tính không dây như các Card mạng không dây trong các

vi máy tính, các máy Palm, PDA Các bộ thích ứng máy tính không dây cung cấp một giao diện giữa hệ thống điều hành mạng (NOS – Network Operation System) của máy khách và các sóng không gian qua một anten Bản chất của kết nối không dây là trong suốt đối với hệ điều hành mạng

1.1.2 Điều chế trải phổ

Hầu hết các mạng LAN không dây sử dụng công nghệ trải phổ Điều chế trải phổ trải năng lượng của tín hiệu trên một độ rộng băng tần truyền dẫn lớn hơn nhiều so với độ rộng băng tần cần thiết tối thiểu Điều này trái với mong muốn bảo toàn độ rộng băng tần nhưng quá trình trải phổ làm cho tín hiệu ít

bị nhiễu điện từ hơn nhiều so với các kỹ thuật điều chế vô tuyến thông thường Truyền dẫn khác và nhiễu điện từ thường là băng hẹp sẽ chỉ gây can nhiễu với một phần nhỏ của tín hiệu trải phổ, nó sẽ gây ra ít nhiễu và ít lỗi hơn nhiều khi các máy thu giải điều chế tín hiệu

Điều chế trải phổ không hiệu quả về độ rộng băng tần khi được sử dụng bởi một người sử dụng Tuy nhiên, do nhiều người sử dụng có thể dùng chung cùng độ rộng băng tần phổ mà không can nhiễu với nhau, các hệ thống trải phổ trở nên có hiệu quả về độ rộng băng tần trong môi trường nhiều người sử

Trang 17

dụng Điều chế trải phổ sử dụng hai phương pháp trải tín hiệu trên một băng tần rộng hơn: trải phổ chuỗi trực tiếp và trải phổ nhẩy tần

1.1.2.1 Trải phổ trực tiếp DSSS – Direct Sequence Spread Spectrum

Trải phổ chuỗi trực tiếp kết hợp một tín hiệu dữ liệu tại trạm gửi với một chuỗi bit tốc độ dữ liệu cao hơn nhiều, mà nhiều người xem như một chipping code (còn gọi là một gain xử lý) Một gain xử lý cao làm tăng khả năng chống nhiễu của tín hiệu Gain xử lý tuyến tính tối thiểu mà FCC – Federal Communications Commission cho phép là 10, và hầu hết các sản phẩm khai thác dưới 20 Nhóm làm việc của Viện nghiên cứu điện-điện tử IEEE - Institute of Electrical and Electronics Engineers đặt gain xử lý tối thiểu cần thiết của 802.11 là 11

Hình 1.1: Ví dụ về hoạt động của trải phổ chuỗi trực tiếp

Hình trên cho thấy một ví dụ về hoạt động của trải phổ chuỗi trực tiếp Một chipping code được biểu thị bởi các bit dữ liệu logic 0 và 1 Khi luồng dữ liệu được phát, mã tương ứng được gửi Ví dụ, truyền dẫn một bit dữ liệu bằng 0 sẽ dẫn đến chuỗi 00010011100 đang được gửi

Nhiều sản phẩm trải phổ chuỗi trực tiếp trên thị trường sử dụng nhiều hơn một kênh trên cùng một khu vực, tuy nhiên số kênh khả dụng bị hạn chế Với chuỗi trực tiếp, nhều sản phẩm hoạt động trên các kênh riêng biệt bằng

Trang 18

17

cách chia băng tần số thành các kênh tần số không gối nhau Điều này cho phép một số mạng riêng biệt hoạt động mà không can nhiễu lẫn nhau Tuy nhiên, độ rộng băng tần phải đủ để điều tiết các tốc độ dữ liệu cao, chỉ có thể

có một số kênh

1.1.2.2 Trải phổ nhẩy tần FHSS – Frequency Hopping Spread Spectrum

Trong trải phổ nhẩy tần, tín hiệu dữ liệu của người sử dụng được điều chế với một tín hiệu sóng mang Các tần số sóng mang của những người sủ dụng riêng biệt được làm cho khác nhau theo kiểu giả ngẫu nhiên trong một kênh băng rộng Dữ liệu số được tách thành các cụm dữ liệu kích thước giống nhau được phát trên các tần số sóng mang khác nhau Độ rộng băng tần tức thời của các cụm truyền dẫn nhỏ hơn nhiều so với toàn bộ độ rộng băng tần trải phổ Mã giả ngẫu nhiên thay đổi các tần số sóng mang của người sử dụng, ngẫu nhiên hóa độ chiếm dụng của một kênh kênh cụ thể tại bất kỳ thời điểm nào Trong máy thu nhẩy tần, một mã giả ngẫu nhiên được phát nội bộ được

sử dụng để đồng bộ tần số tức thời của các máy thu với các máy phát Tại bất

kỳ thời điểm nào, một tín hiệu nhẩy tần chiếm một kênh đơn tương đối hẹp Nếu tốc độ thay đổi của tần số sóng mang lớn hơn nhiều so với tốc độ ký tự thì hệ thống được coi như là một hệ thống nhẩy tần nhanh Nếu kênh thay đổi tại một tốc độ nhỏ hơn hoặc bằng tốc độ ký tự thì hệ thống được gọi là nhẩy tần chậm

Trang 19

Hình 1.2 : Trải phổ nhảy tần

Một hệ thống nhẩy tần cung cấp một mức bảo mật, đặc biệt là khi sử dụng một số lượng lớn kênh, do một máy thu vô tình không biết chuỗi giả ngẫu nhiên của các khe tần số phải dò lại nhanh chóng để tìm tín hiệu mà họ muốn nghe trộm Ngoài ra, tín hiệu nhảy tần hạn chế được fading, do có thể

sử dụng sự mã hóa điều khiển lỗi và sự xen kẽ để bảo vệ tín hiệu nhẩy tần khỏi sự suy giảm rõ rệt đôi khi có thể xảy ra trong quá trình nhẩy tần Việc

mã hóa điều khiển lỗi và xen kẽ cũng có thể được kết hợp để tránh một kênh xóa bỏ khi hai hay nhiều người sử dụng phát trên cùng kênh tại cùng thời điểm

1.1.2.3 Công nghệ ghép kênh phân chia theo tần số trực giao OFDM – Orthogonal Frequency Division Multiplexing

OFDM là một công nghệ đã ra đời từ nhiều năm trước đây, từ những năm 1960, 1970 khi người ta nghiên cứu về hiện tượng nhiễu xẩy ra giữa các kênh, nhưng nó chỉ thực sự trở nên phổ biến trong những năm gần đây nhờ sự phát triển của công nghệ xử lý tín hiệu số OFDM được đưa vào áp dụng cho công nghệ truyền thông không dây băng thông rộng nhằm khắc phục một số nhược điểm và tăng khả năng về băng thông cho công nghệ mạng không dây,

nó được áp dụng cho chuẩn IEEE 802.11a và chuẩn ETSI HiperLAN/2, nó

Trang 20

19

cũng được áp dụng cho công nghệ phát thanh, truyền hình ở các nước Châu

Âu

Hình 1.3 : Công nghệ ghép kênh phân chia theo tần số trực giao

OFDM là một phương thức điều chế đa sóng mang được chia thành nhiều luồng dữ liệu với nhiều sóng mang khác nhau (hay còn gọi là những kênh hẹp) truyền cùng nhau trên một kênh chính, mỗi luồng chỉ chiếm một tỷ

lệ dữ liệu rất nhỏ Sau khi bên thu nhận dữ liệu, nó sẽ tổng hợp các nhiều luồng đó để ghép lại bản tin ban đầu Nguyên lý hoạt động của phương thức này cũng giống như của công nghệ CDMA

1.1.3 Các chuẩn 802.11

Xuất phát từ thực tế là có rất nhiều chủng loại thiết bị không dây của nhiều hãng khác nhau, nếu không sử dụng các chuẩn giao tiếp chung thì sẽ rất khó kết nối được với nhau Vì vậy mà tổ chức Nghiên cứu sự tương thích kết nối mạng không dây WECA - Wireless Ethernet Compatibility Alliance thông qua IEEE đã đề xuất ra các chuẩn IEEE 802.11 và chúng bắt đầu được thế giới chấp nhận vào năm 1997 Chuẩn 802.11 là một họ các giao thức truyền tin qua mạng không dây Do việc nghiên cứu và đưa vào sản xuất rất gần nhau nên một số giao thức đã trở thành chuẩn của thế giới, một số khác vẫn còn đang tranh cãi và một số còn lại vẫn còn ở dạng dự thảo Trước khi giới thiệu 802.11 chúng ta cùng điểm qua một số chuẩn 802 khác:

- 802.1: các Cầu nối (Bridging), Quản lý (Management) mạng LAN, WAN

Trang 21

- 802.2: điều khiển kết nối logic

- 802.3: các phương thức hoạt động của mạng Ethernet

- 802.10: an ninh giữa các mạng LAN

- 802.11: mạng LAN không dây – Wireless LAN

- 802.12: phương phức ưu tiên truy cập theo yêu cầ

- 802.13: chưa có

- 802.14: truyền hình cáp

- 802.15: mạng PAN không dây

- 802.16: mạng không dây băng rộng

Sau đây là tên một số giao thức không dây và những đặc trưng cơ bản nhất của nó so với các giao thức khác, có thể chúng được chia làm 2 nhóm: nhóm lớp vật lý PHY và nhóm lớp liên kết dữ liệu MAC

• Nhóm lớp vật lý :

a) Chuẩn 802.11b

Chuẩn 802.11b ở lớp vật lý sử dụng kiểu trải phổ trực tiếp DSSS, hỗ trợ truyền thông tin trên 14 kênh của băng tần 2.4Ghz, Bắc Mỹ sử dụng 11 kênh, Châu Âu sử dụng 13 kênh (gần như tất cả các kênh -13/14), trong khi Nhật Bản chỉ sử dụng 1 kênh Chi tiết được nêu ra trong bảng 1.1 :

Trang 22

21

Bảng 1.1 : Các kênh sử dụng của chuẩn 802.11b

Channel

No

Freq (GHz )

North Amer

Trang 23

Tốc độ truyền dữ liệu tối đa là 11 Mbps trên một kênh Cũng như công nghệ Wi-Fi 5, tốc độ giữa người sử dụng và trạm gốc sẽ giảm xuống nếu khoảng cách tăng lên Tất cả các người sử dụng chia sẻ với nhau một dải thông 11 Mbps Đây là chuẩn đã được chấp nhận rộng rãi trên thế giới và được triển khai rất mạnh hiện nay do công nghệ này sử dụng dải tần không phải đăng ký cấp phép (UNII - Unlicensed National Information Infrastructure) phục vụ cho công nghiệp, dịch vụ, y tế ISM-Industrial, Service and Medical Ngoài ra, 802.11b đã chứng minh khả năng vượt trội của nó so với các công nghệ không dây có tính cạnh tranh như BlueTooth hay Home RF

do 802.11b đáp ứng được các yêu cầu kỹ thật đối với trạm in-door và

out-door và các yêu cầu về bảo mật, khả năng quản lý, băng thông

Nhược điểm của 802.11b là ở dải tần làm việc 2.4GHz nó sử dụng vì dải tần này trùng với dải tần của nhiều thiết bị trong gia đình như lò vi sóng, điện thoại mẹ con ,vv nên có thể bị nhiễu

b) Chuẩn 802.11a

Chuẩn 802.11a được bắt đầu sử dụng cho mạng WLAN ở Bắc Mỹ, có thể coi nó là một phiên bản nâng cấp của chuẩn 802.11b Hoạt động ở dải tần 5GHz, tức là dải tần UNII, dùng công nghệ trải phổ OFDM, có khả năng truyền theo 12 nhóm dải tần từ 5.15 GHz đến 5.825 GHz tương ứng từ 36 đến

161 kênh như sau:

Bảng 1.2 : Chi tiết về chuẩn 802.11a

Regulatory

Area

Frequency Band

Channel

No

Center Frequencies USA U-NII Lower

Trang 24

Tốc độ truyền dữ liệu tối đa từ 25Mbps đến 54Mbps trên một kênh Tốc

độ truyền dữ liệu sẽ giảm xuống nếu khoảng cách giữa người dùng và điểm

truy cập tăng lên Đây là chuẩn đã được chấp nhận rộng rãi trên thế giới

Chuẩn 802.11a còn được biết đến dưới tên gọi chuẩn Wi-Fi 5

c) Chuẩn 802.11g

Trang 25

Đây là một chuẩn hoạt động ở dải tần 2.4Ghz giống như giải tần ISM của 802.11b nhưng tốc độ truyền tối đa lên đến 54Mbps như 802.11a Chuẩn 802.11g sử dụng phương pháp điều chế OFDM, CCK - Complementary Code Keying và PBCC - Packet Binary Convolutional Coding Đây là một chuẩn hứa hẹn trong tương lai nhưng hiện nay cũng chưa được chấp nhận rộng rãi trên thế giới

• Nhóm lớp liên kết dữ liệu

a) Chuẩn 802.11d

Chuẩn 802.11d bổ xung một số tính năng đối với lớp MAC nhằm phổ biến WLAN trên toàn thế giới Một số nước trên thế giới có quy định rất chặt chẽ về tần số và mức năng lượng phát sóng vì vậy 802.11d ra đời nhằm đáp ứng nhu cầu đó Tuy nhiên, chuẩn 802.11d vẫn đang trong quá trình phát triển

và chưa được chấp nhận rộng rãi như là chuẩn của thế giới

b) Chuẩn 802.11e

Đây là chuẩn được áp dụng cho cả 802.11 a,b,g Mục tiêu của chuẩn này nhằm cung cấp các chức năng về chất lượng dịch vụ - QoS cho WLAN Về mặt kỹ thuật, 802.11e cũng bổ xung một số tính năng cho lớp con MAC Nhờ tính năng này, WLAN 802.11 trong một tương lại không xa có thể cung cấp đầy đủ các dịch vụ như voice, video, các dịch vụ đòi hỏi QoS rất cao Chuẩn 802.11e hiện nay vẫn đang trong qua trình phát triển và chưa chính thức áp dụng trên toàn thế giới

c) Chuẩn 802.11f

Đây là một bộ tài liệu khuyến nghị của các nhà sản xuất để các Access Point của các nhà sản xuất khác nhau có thể làm việc với nhau Điều này là rất quan trọng khi quy mô mạng lưới đạt đến mức đáng kể Khi đó mới đáp

Trang 26

25

ứng được việc kết nối mạng không dây liên cơ quan, liên xí nghiệp có nhiều khả năng không dùng cùng một chủng loại thiết bị

d) Chuẩn 802.11h

Tiêu chuẩn này bổ xung một số tính năng cho lớp con MAC nhằm đáp ứng các quy định châu Âu ở dải tần 5GHz Châu Âu quy định rằng các sản phẩm dùng dải tần 5 GHz phải có tính năng kiểm soát mức năng lượng truyền dẫn TPC - Transmission Power Control và khả năng tự động lựa chọn tần số DFS - Dynamic Frequency Selection Lựa chọn tần số ở Access Point giúp làm giảm đến mức tối thiểu can nhiễu đến các hệ thống radar đặc biệt khác e) Chuẩn 802.11i

Đây là chuẩn bổ xung cho 802.11 a, b, g nhằm cải thiện về mặt an ninh cho mạng không dây An ninh cho mạng không dây là một giao thức có tên là WEP, 802.11i cung cấp những phương thức mã hóa và những thủ tục xác nhận, chứng thực mới có tên là 802.1x Chuẩn này vẫn đang trong giai đoạn phát triển

1.1.4 Cự ly truyền sóng, tốc độ truyền dữ liệu

Như chúng ta đã biết, việc truyền sóng điện từ trong không gian sẽ gặp hiện tượng suy hao Vì thế đối với kết nối không dây nói chung, khoảng cách càng xa thì khả năng thu tín hiệu càng kém, tỷ lệ lỗi sẽ tăng lên, như vậy tốc

độ truyền dữ liệu sẽ phải giảm xuống, các thông số tốc độ truyền dữ liệu của các chuẩn 802.11 nêu trên là tốc độ truyền dữ liệu tối đa Bảng 1.6 cho chúng

ta thấy tương quan giữa tốc đô truyền dữ liệu và khoảng cách, đơn vị đo ở đây

là feet (1 feed = 30cm)

Bảng 1.3 : Tốc độ truyền dữ liệu của AP theo khoảng cách ( cho Indoor )

Bit Rate (in Range for 802.11b (in Range for 802.11a (in

Trang 27

Data Rates (Mbps)

Indoor Range (Feet)

Outdoor Range (Feet)

Trang 28

độ vật lý của 802.11a là 54Mbps thì tốc độ dữ liệu thực tế chỉ từ 22-31Mbps

1.1.5.Các kiến trúc cơ bản của chuẩn 802.11

1.1.5.1 Trạm thu phát - STA

STA – Station, các trạm thu/phát sóng Thực chất ra là các thiết bị không dây kết nối vào mạng như máy vi tính, máy Palm, máy PDA, điện thoại di động, vv với vai trò như phần tử trong mô hình mạng ngang hàng Pear to Pear hoặc Client trong mô hình Client/Server Trong phạm vi đồ án này chỉ đề cập đến thiết bị không dây là máy vi tính (thường là máy xách tay cũng có thể

Bảng 1.5 : Chuẩn 802.11a dùng Omni Antenna

Data Rates (Mbps)

Indoor Range (Feet)

Outdoor Range (Feet)

6.0 170 1000 18.0 130 600 54.0 60 100

Trang 29

là máy để bàn có card mạng kết nối không dây) Có trường hợp trong đồ án này gọi thiết bị không dây là STA, có lúc là Client, cũng có lúc gọi trực tiếp là máy tính xách tay Thực ra là như nhau nhưng cách gọi tên khác nhau cho phù hợp với tình huống đề cập

1.1.5.2 Điểm truy cập

AP – Access Point là thiết bị không dây, là điểm tập trung các giao tiếp với các STA, có thể coi AP có 1 số chức năng giống như Hub, Switch và Router của mạng có dây Ngoài ra AP còn có thể kết nối với mạng có dây, là cầu nối giữa mạng không dây và mạng có dây

1.1.5.3 Trạm phục vụ cơ bản - BSS

Kiến trúc cơ bản nhất trong WLAN 802.11 là BSS – Base Service Set Đây là một đơn vị của một mạng con không dây cơ bản Trong BSS có chứa các STA, nếu không có AP thì sẽ là mạng các phần tử STA ngang hàng hay còn gọi là mạng Adhoc, còn nếu có AP thì sẽ là mạng phân cấp hay còn gọi là mạng Infrastructure Các STA trong cùng một BSS thì có thể trao đổi thông tin với nhau Người ta thường dùng hình Oval để biểu thị phạm vi của một BSS Nếu một STA nào đó nằm ngoài một hình Oval thì coi như STA không giao tiếp được với các STA, AP nằm trong hình Oval đó Việc kết hợp giữa STA và BSS có tính chất động vì STA có thể di chuyển từ BSS này sang BSS khác

Trang 30

29

Hình 1.4 : Mô hình mạng Adhoc 1.1.5.4 BSS độc lập - IBSS

Trong mô hình IBSS – Independent BSS, là các BSS độc lập, có nghĩa

là không kết nối với mạng có dây bên ngoài Trong IBSS, các STA có vai trò ngang nhau IBSS thường áp dụng cho mô hình mạng Adhoc

1.1.5.5 Hệ thống phân tán - DS

Người ta gọi DS – Distribution System là một tập hợp của các BSS Mà các BSS này có thể trao đổi thông tin với nhau Một DS có nhiệm vụ kết hợp với các BSS một cách thông suốt và đảm bảo giải quyết vấn đề địa chỉ cho toàn mạng

Hình 1.5 : Mô tả hệ thống DS

Trang 31

1.1.5.6 Hệ thống phục vụ mở rộng - ESS

ESS – Extended Service Set là một khái niệm rộng hơn Mô hình ESS

là sự kết hợp giữa DS và BSS cho ta một mạng với kích cỡ tùy ý và có đầy đủ các tính năng phức tạp Đặc trưng quan trọng nhất trong một ESS là các STA

có thể giao tiếp với nhau và di chuyển từ một vùng phủ sóng của BSS này sang vùng phủ sóng của BSS mà vẫn trong suốt với nhau ở mức LLC – Logical Link Control

Trang 32

31

chỉ truyền dữ liệu khi bên kia sẵn sàng nhận và không truyền, nhận dữ liệu nào khác trong lúc đó, đây còn gọi là nguyên tắc LBT listening before talking – nghe trước khi nói

Trước khi gói tin được truyền đi, thiết bị không dây đó sẽ kiểm tra xem

có các thiết bị nào khác đang truyền tin không, nếu đang truyền, nó sẽ đợi đến khi nào các thiết bị kia truyền xong thì nó mới truyền Để kiểm tra việc các thiết bị kia đã truyền xong chưa, trong khi “đợi” nó sẽ hỏi “thăm dò” đều đặn sau các khoảng thời gian nhất định

1.1.6.2 Cơ chế RTS/CTS

Để giảm thiểu nguy xung đột do các thiết bị cùng truyền trong cùng thời điểm, người ta sử dụng cơ chế RTS/CTS – Request To Send/ Clear To Send Ví dụ nếu AP muốn truyền dữ liệu đến STA, nó sẽ gửi 1 khung RTS đến STA, STA nhận được tin và gửi lại khung CTS, để thông báo sẵn sàng nhận dữ liệu từ AP, đồng thời không thực hiện truyền dữ liệu với các thiết bị khác cho đến khi AP truyền xong cho STA Lúc đó các thiết bị khác nhận được thông báo cũng sẽ tạm ngừng việc truyền thông tin đến STA Cơ chế RTS/CTS đảm bảo tính sẵn sàng giữa 2 điểm truyền dữ liệu và ngăn chặn nguy cơ xung đột khi truyền dữ liệu

Trang 33

1.1.7 Vấn đề của mạng không dây, tương quan so với mạng có dây

Khi xây dựng một mạng máy tính, để đưa ra giải pháp kỹ thuật và thiết

bị phù hợp, người ta phải dựa trên việc phân tích khả năng đáp ứng yêu cầu theo các tiêu chí đề ra Để thấy được những vấn đề của mạng không dây cũng như tương quan những vấn đề đó so với mạng có dây, tôi xin đưa ra một số tiêu chí cơ bản và so sánh giải pháp của mạng có dây và mạng không dây

- Gặp khó khăn ở những nơi xa xôi,

địa hình phức tạp, những nơi không

ổn định, khó kéo dây, đường truyền

- Chủ yếu là trong mô hình mạng nhỏ

và trung bình, với những mô hình lớn phải kết hợp với mạng có dây

- Có thể triển khai ở những nơi không thuận tiện về địa hình, không ổn định, không triển khai mạng có dây được

Độ phức tạp kỹ thuật

Mạng có dây Mạng không dây

- Độ phức tạp kỹ thuật tùy thuộc từng

Độ tin cậy

Trang 34

33

- Khả năng chịu ảnh hưởng khách

quan bên ngoài như thời tiết, khí hậu

tốt

- Chịu nhiều cuộc tấn công đa dạng,

phức tạp, nguy hiểm của những kẻ

phá hoại vô tình và cố tình

- Ít nguy cơ ảnh hưởng sức khỏe

- Bị ảnh hưởng bởi các yếu tố bên ngoài như môi trường truyền sóng, can nhiễu do thời tiết

- Chịu nhiều cuộc tấn công đa dạng, phức tạp, nguy hiểm của những kẻ phá hoại vô tình và cố tình, nguy cơ cao hơn mạng có dây

- Còn đang tiếp tục phân tích về khả năng ảnh hưởng đến sức khỏe

Lắp đặt, triển khai

- Lắp đặt, triển khai tốn nhiều thời

gian và chi phí

- Lắp đặt, triển khai dễ dàng, đơn giản, nhanh chóng

Tính linh hoạt, khả năng thay đổi, phát triển

- Vì là hệ thống kết nối cố định nên

tính linh hoạt kém, khó thay đổi, nâng

cấp, phát triển

- Vì là hệ thống kết nối di động nên rất linh hoạt, dễ dàng thay đổi, nâng cấp, phát triển

Giá cả

Trang 35

- Giá cả tùy thuộc vào từng mô hình

an ninh mạng là quan trọng xét theo 2 khía cạnh sau:

a) Xem xét tương quan với các vấn đề khác

- Đối với mạng không dây các vấn đề như can nhiễu tín hiệu vô tuyến, kiểm soát năng lượng, ảnh hưởng sức khỏe có thể giảm thiểu ảnh hưởng tối

đa đến mức cho phép nhờ sự phát triển của khoa học, kỹ thuật

- Giá cả thiết bị có thể giảm xuống do thị trường sử dụng ngày càng mở rộng

- An ninh mạng là điều ngày càng bức xúc, nguy cơ bị tấn công mạng ngày càng tăng Bởi vì tấn công, phá hoại là do con người thực hiện, kỹ thuật càng phát triển, càng thêm khả năng đối phó, ngăn chặn thì kẻ tấn công cũng ngày càng tìm ra nhiều các kỹ thuật tấn công khác cũng như những lỗi kỹ thuật khác của hệ thống

b) Xem xét tương quan với mạng có dây

Sở dĩ nguy cơ bị tấn công của mạng không dây lớn hơn của mạng có dây

là do những yếu tố sau:

- Kẻ tấn công thường thực hiện ngay trong vùng phủ sóng

- Thông tin trao đổi trong không gian, vì vậy không thể ngăn chặn được việc bị lấy trộm thông tin

Trang 36

35

- Công nghệ còn khá mới mẻ, nhất là đối với Việt Nam Các công nghệ

từ khi đưa ra đến khi áp dụng thực tế còn cách nhau một khoảng thời gian dài,

ví dụ công nghệ bảo mật EAP đưa ra từ những năm 2000 nhưng mới được áp dụng một năm gấn đây

Hình 1.7 : Mạng không dây kết hợp với mạng có dây

Access Point sẽ làm nhiệm vụ tập trung các kết nối không dây, đồng thời

nó kết nối vào mạng WAN (hoặc LAN) thông qua giao diện Ethernet RJ45, ở phạm vi hẹp có thể coi AP làm nhiệm vụ như một router định tuyến giữa 2 mạng này

Trang 37

Hình 1.8 : Hai mạng có dây kết nối với nhau bằng kết nối không dây

Kết nối không dây giữa 2 đầu của mạng 2 mạng WAN sử dụng thiết bị Bridge làm cầu nối, có thể kết hợp sử dụng chảo thu phát nhỏ truyền sóng viba Khi đó khoảng cách giữa 2 đầu kết nối có thể từ vài trăm mét đến vài chục km tùy vào loại thiết bị cầu nối không dây

1.2 An ninh trong mạng máy tính không dây

Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thông tin đóng một vai trò hết sức quan trọng Thông tin chỉ có giá trị khi nó giữ được tính chính xác, thông tin chỉ có tính bảo mật khi chỉ có những người được phép nắm giữ thông tin biết được nó Khi ta chưa có thông tin, hoặc việc

sử dụng hệ thống thông tin chưa phải là phương tiện duy nhất trong quản lý, điều hành thì vấn đề an toàn, bảo mật đôi khi bị xem thường Nhưng một khi nhìn nhận tới mức độ quan trọng của tính bền hệ thống và giá trị đích thực của thông tin đang có thì chúng ta sẽ có mức độ đánh giá về an toàn và bảo mật hệ thống thông tin Để đảm bảo được tính an toàn và bảo mật cho một hệ thống cần phải có sự phối hợp giữa các yếu tố phần cứng, phần mềm và con người

1.2.1 Đánh giá vấn đề an toàn, bảo mật hệ thống

Để đảm bảo an ninh cho mạng, cần phải xây dựng một số tiêu chuẩn đánh giá mức độ an ninh an toàn mạng Một số tiêu chuẩn đã được thừa nhận

là thước đo mức độ an ninh mạng

Trang 38

37

1.2.1.1 Đánh giá trên phương diện vật lý

* An toàn thiết bị

Các thiết bị sử dụng trong mạng cần đáp ứng được các yêu cầu sau:

- Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột Có khả năng thay thế nóng từng phần hoặc toàn phần (hot-plug, hot-swap)

- Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm

- Yêu cầu nguồn điện, có dự phòng trong tình huống mất đột ngột

- Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ, vv

1.2.1.2 Đánh giá trên phương diện logic

Đánh giá theo phương diện này có thể chia thành các yếu tố cơ bản sau:

- Tính bí mật, tin cậy (Condifidentislity)

Là sự bảo vệ dữ liệu truyền đi khỏi những cuộc tấn công bị động Có thể dùng vài mức bảo vệ để chống lại kiểu tấn công này Dịch vụ rộng nhất là bảo

vệ mọi dữ liệu của người sử dụng truyền giữa hai người dùng trong một khoảng thời gian Nếu một kênh ảo được thiết lập giữa hai hệ thống, mức bảo

vệ rộng sẽ ngăn chặn sự rò rỉ của bất kỳ dữ liệu nào truyền trên kênh đó Cấu trúc hẹp hơn của dịch vụ này bao gồm việc bảo vệ một bản tin riêng

lẻ hay những trường hợp cụ thể bên trong một bản tin Khía cạnh khác của tin

bí mật là việc bảo vệ lưu lượng khỏi việc phân tích Điều này làm cho những

Trang 39

kẻ tấn công không thể quan sát được tần suất, độ dài của nguồn và đích hoặc những đặc điểm khác của lưu lượng trên một phương tiện giao tiếp

- Tính xác thực (Authentication)

Liên quan tới việc đảm bảo rằng một cuộc trao đổi thông tin là đáng tin cậy Trong trường hợp một bản tin đơn lẻ, ví dụ như một tín hiệu báo động hay cảnh báo, chức năng của dịch vụ ủy quyền là đảm bảo bên nhận rằng bản tin là từ nguồn mà nó xác nhận là đúng

Trong trường hợp một tương tác đang xẩy ra, ví dụ kết nối của một đầu cuối đến máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm bảo rằng hai thực thể là đáng tin Mỗi chúng là một thực thể được xác nhận Thứ hai, dịch vụ cần phải đảm bảo rằng kết nối là không bị gây nhiễu do một thực thể thứ ba có thể giả mạo là một trong hai thực thể hợp pháp để truyền tin hoặc nhận tin không được cho phép

- Tính toàn vẹn (Integrity)

Cùng với tính bí mật, toàn vẹn có thể áp dụng cho một luồng các bản tin, một bản tin riêng biệt hoặc những trường lựa chọn trong bản tin Một lần nữa, phương thức có ích nhất và dễ dàng nhất là bảo vệ toàn bộ luồng dữ liệu

Một dịch vụ toàn vẹn hướng kết nối, liên quan tới luồng dữ liệu, đảm bảo rằng các bản tin nhận được cũng như gửi không có sự trùng lặp, chèn, sửa, hoán vị hoặc tái sử dụng Việc hủy dữ liệu này cũng được bao gồm trong dịch vụ này Vì vậy, dịch vụ toàn vẹn hướng kết nối phá hủy được cả sự thay đổi luồng dữ liệu và cả từ chối dữ liệu Mặt khác, một dịch vụ toàn vẹn không kết nối, liên quan tới từng bản tin riêng lẻ, không quan tâm tới bất kỳ một hoàn cảnh rộng nào, chỉ cung cấp sự bảo vệ chống lại sửa đổi bản tin

Chúng ta có thể phân biệt giữa dịch vụ có và không có phục hồi Bởi vì dịch vụ toàn vẹn liên quan tới tấn công chủ động, chúng ta quan tâm tới phát

Trang 40

39

hiện hơn là ngăn chặn Nếu một sự vi phạm toàn vẹn được phát hiện, thì phần dịch vụ đơn giản là báo cáo sự vi phạm này và một vài những phần của phần mềm hoặc sự ngăn chặn của con người sẽ được yêu cầu để khôi phục từ những vi phạm đó Có những cơ chế giành sẵn để khôi phục lại những mất mát của việc toàn vẹn dữ liệu

- Không thể phủ nhận (Non repudiation)

Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thể chối bỏ một bản tin đã được truyền Vì vậy, khi một bản tin được gửi đi, bên nhận có thể chứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp Hoàn toàn tương tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin đó đúng thật được nhận bởi người nhận hợp lệ

- Khả năng điều khiển truy nhập (Access Control)

Trong hoàn cảnh của an ninh mạng, điều khiển truy cập là khả năng hạn chế các truy nhập với máy chủ thông qua đường truyền thông Để đạt được việc điều khiển này, mỗi một thực thể cố gắng đạt được quyền truy nhập cần phải được nhận diện, hoặc được xác nhận sao cho quyền truy nhập có thể được đáp ứng nhu cầu đối với từng người

-Tính khả dụng, sẵn sàng (Availability)

Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứ lúc nào mong muốn trong vòng một khoảng thời gian cho phép Các cuộc tấn công khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ Tính khả dụng của dịch vụ thể hiện khả năng ngăn chặn và khôi phục những tổn thất của hệ thống do các cuộc tấn công gây ra

Định dạng
Số trang	110
Dung lượng	2,93 MB

Vấn đề bảo mật trong mạng máy tính không dây

An ninh trong mạng mỏy tớnh khụng dõy

Chứng thực bằng địa chỉ MAC