ĐỀ TÀI : TIỀM HIỂU WIRELESS LAN VÀ BẢO MẬT BẰNG RADIUS SERVER

Cùng với sự phát triển vượt bậc đó, hệ thốngmạng cũng luôn được nâng cấp và cải tiến không ngừng, và một trong những bướctiến quan trọng chính là việc triển khai, đưa vào sử dụng hệ thốn

KHOA CÔNG NGHỆ THÔNG TIN

Tel (84-511) 736 949, Fax (84-511) 842 771Website: itf.ud.edu.vn, E-mail: cntt@edu.ud.vn

LUẬN VĂN TỐT NGHIỆP KỸ SƯ

NGÀNH CÔNG NGHỆ THÔNG TIN

MÃ NGÀNH : 05115

ĐỀ TÀI : TIỀM HIỂU WIRELESS LAN VÀ BẢO MẬT BẰNG

RADIUS SERVER

Mã số : 06T1-011 Ngày bảo vệ : 15/06/2011

SINH VIÊN : NGUYỄN ĐẠI HIỆP

Nhận xét của giảng viên phản biện

LỜI CẢM ƠN

Em xin chân trân thành cảm ơn quý thầy cô khoa Công Nghệ Thông Tin trường đại học Bách Khoa Đà Nẵng đã tận tình chỉ dạy, truyền đạt kinh nghiệm cho chúng em trong những năm học vừa qua

Em cũng xin gửi lời cảm ơn tới cha mẹ, anh chị và bạn bè, những người luônchia sẻ và động viên em trong thời gian thực hiện đồ án này

Trong quá trình làm đồ án, mặc dù đã cố gắng hết mình song không tránh khỏinhững thiếu sót Rất mong sự góp ý kiến của quý thầy cô và bạn bè để đồ án nàyđược hoàn chỉnh hơn

Tôi xin cam đoan :

1 Những nội dung trong luận văn này là do tôi thực hiện dưới sự hướng dẫn trực tiếp của cô Trần Hồ Thủy Tiên

2 Mọi tham khảo dùng trong luận văn đều được trích dẫn rõ ràng tên tác giả, tên công trình, thời gian, địa điểm công bố.

3 Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tôi xin chịu hoàn toàn trách nhiệm.

Sinh viên Nguyễn Đại Hiệp

MỤC LỤC

CHƯƠNG 1 TỔNG QUAN VỀ MẠNG WLAN 1

1.1 Khái niệm và lịch sử hình thành mạng WLAN 1

1.2 Các chuẩn 802.11 sử dụng trong mạng WLAN 2

1.2.1 Chuẩn 802.11 3

1.2.2 Chuẩn 802.11a 3

1.2.3 Chuẩn 802.11b 4

1.2.4 Chuẩn 802.11g 5

1.2.5 Chuẩn 802.11n 5

1.3 Một số chuẩn khác 8

1.4 Cấu trúc và một số mô hình mạng WLAN 10

1.4.1 Cấu trúc cơ bản của mạng WLAN 10

1.4.2 Các thiết bị trong mạng wlan 11

1.4.2.1 Điểm truy cập: AP (Access Point) 11

1.4.2.2 Các thiết bị máy khách trong mạng WLAN 14

1.4.3 Các mô hình mạng WLAN 15

1.4.3.1 Mô hình mạng độc lập (IBSS - Independent Basic Service Set) hay còn gọi là mạng AD HOC 16

1.4.3.2 Mô hình mạng cơ sở (BSS - Basic service set) 16

1.4.3.3 Mô hình mạng mở rộng (ESS - Extended Service Set) 17

1.4.3.4 Một số mô hình mạng WLAN khác 18

1.5 Một số cơ chế được sử dụng khi trao đổi thông tin trong wlan 20

1.5.1 Cơ chế báo nhận ACK (Acknowledgement) 20

1.5.2 Cơ chế CSMA/CA (Carrier Sense Multiple Access/CollISIon Avoidance) 21 1.5.3 Cơ chế RTS/CTS (Request to Send/Clear to Send) 21

1.6 Đánh giá ưu điểm, nhược điểm và thực trạng mạng WLAN hiện nay 22

1.6.1 Ưu điểm 22

1.6.2 Nhược điểm 23

1.7 Thực trạng mạng WLAN hiện nay 24

CHƯƠNG 2 CÁC PHƯƠNG PHÁP BẢO MẬT TRONG

MẠNG WLAN 26

2.1 Giới thiệu khái quát tình hình bảo mật hiện nay 26

2.2 Tại sao phải bảo mật 27

2.3 Đánh giá vấn đề an toàn, bảo mật hệ thống 28

2.4 Phương pháp bảo mật xác nhận người dung (end-user authentication) 30

2.4.1 Xác thực qua hệ thống mở (Open Authentication) 30

2.4.2 Xác thực qua khoá chia sẻ (Shared-key Authentication) 30

2.4.3 Hệ thống dùng cho doanh nghiệp (Enterprise System) 31

2.5 Các kỷ thuật bảo mật sử dụng phương pháp mã hóa Encrytion 32

2.5.1 Wired Equivalent Privacy (WEP) 32

2.5.2 Advantage Encryption Standard (AES) 35

2.5.3 WPA (Wi-Fi Protected Access) 36

2.5.4 WPA2 (Wi-Fi Protected Access) 37

2.6 Các kỹ thuật bảo mật sử dụng cơ chế điều khiển (Device Authorization ) 39

2.6.1 SSID filtering 39

2.6.2 MAC address Filtering 40

2.6.3 Protocol Filtering 41

2.7 Phương thức bảo mật sử dụng VPN (Virtual Private Network) 42

2.8 Hệ thống phát hiện xâm nhập không dây (Wireless IDS) cho mạng WLAN 45

2.9 Temporal Key Integrity Protocol (TKIP) 48

2.10 802.1X và EAP (Extensible Authentication Protocol) 49

2.11 Kết Luận 50

CHƯƠNG 3 CÁC KỸ THUẬT TẤN CÔNG MẠNG WLAN VÀ BIỆN PHÁP PHÒNG CHỐNG 52

3.1 Giới thiệu 52

3.2 Các kiểu tấn công trong mạng wlan 53

3.2.1 Tấn công yêu cầu xác thực lại ( De-authentication Attack ) 53

3.2.2 Tấn công phát lại ( Replay attack ) 54

3.2.3 Giả mạo AP ( Rogue Access Point ) 54

3.2.4 Tấn công dựa trên sự cảm nhận lớp vật lý 55

3.2.5 Tấn công ngắt kết nối (Disassociation Attack ) 56

3.2.6 Tấn công đứng giữa người dùng (Man in the middle Attack ) 57

3.2.6.1 Wireless MITM 58

3.2.6.2 ARP Poisoning 58

3.2.7 Tấn công bị động (Passive Attack ) 60

3.2.8 Active Attack (Tấn công chủ động) 63

3.2.9 Dictionary Attack (Tấn công bằng phương pháp dò từ điển) 65

3.2.10 Tấn công chèn ép (Jamming Attacks ) 66

3.3 Bảo mật phương pháp xác thực RADIUS 66

3.3.1 Giới thiệu tổng quan về mô hình xác thực RADIUS 66

3.3.2 Xác thực, cấp phép và kiểm tra 67

3.3.3 Sự bảo mật và tính mở rộng 68

3.3.4 Áp dụng RADIUS cho WLAN 69

3.3.5 Các tùy chọn bổ sung 70

3.3.6 Lựa chọn máy chủ RADIUS như thế nào là hợp lý 71

3.4 Kết Luận 73

CHƯƠNG 4 BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP XÁC THỰC RADIUS SERVER 75

4.1 Mô tả hệ thống 75

4.2 Quy trình cài đặt 76

4.2.1 Bước 1: Cài DHCP 76

4.2.2 Bước 2: Cài Enterprise CA 76

4.2.3 Bước 3: Cài RADIUS 78

4.2.4 Bước 4: Chuyển sang Native Mode 79

4.2.5 Bước 5: Cấu hình DHCP 80

4.2.6 Bước 6: Cấu hình RADIUS 83

4.2.7 Bước 7: Tạo users, cấp quyền Remote access cho users và cho computer 85 4.2.8 Bước 8: Tạo Remote Access Policy 89

4.3 Cấu hình AP và khai báo địa chỉ máy RADIUS 91

4.4 Bước 10: Cấu hình Wireless Client 92

4.5 Mô phỏng tấn công ARP spoofing và cách phòng chống 95

4.5.1 Tấn công bằng phần mềm netcut 95 4.5.2 Cách phòng chống ARP spoofing 96 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 101

LỜI MỞ ĐẦU

Cả thế giới đang trên đà phát triển mạnh mẽ trên mọi phương diện, đặc biệt làcông nghệ thông tin và truyền thông Nó len lỏi vào từng ngóc ngách trong mọi lĩnhvực kinh tế, chính trị, văn hóa và xã hội Cùng với sự phát triển vượt bậc đó, hệ thốngmạng cũng luôn được nâng cấp và cải tiến không ngừng, và một trong những bướctiến quan trọng chính là việc triển khai, đưa vào sử dụng hệ thống mạng máy tínhkhông dây (WLAN) cho các cá nhân và cả doanh nghiệp một cách rộng rãi và phổbiến Mạng không dây mang lại cho người dùng sự tiện lợi bởi tính cơ động, khôngphụ thuộc vào dây nối mạng mà vẫn có thể truy cập mạng tại bất cứ vị trí nào chỉ cần

có điểm truy nhập Tuy nhiên, cùng với sự phát triển mạnh mẽ mạng không dây lạitồn tại những nguy cơ rất lớn từ bảo mật, những lỗ hổng có thể cho phép kẻ tấn côngxâm nhập vào hệ thống để lấy cắp thông tin hay thực hiện hành vi phá hoại Vì thếvấn đề bảo mật một hệ thống mạng WLAN, hệ thống thông tin luôn là đề tài nóngbỏng, luôn cần phải được đặt lên hàng đầu, đi đôi với sự phát triển mạng không dây làvấn đề bảo mật cần được quan tâm đúng mức để tránh những tổn thất cho danhnghiệp.Vì vậy mà em chọn đề tài “bảo mật mạng WLAN” làm đề tài tốt nghiệp cuốikhóa Trong đồ án em trình bày những nội dung:

Chương 1 : Trình bày tổng quan về mạng WLAN, công nghệ sử dụng, cách

thành phần mạng, đặc tính kỹ thuật của các chuẩn mạng và thực trạng bảo mậtmạng WLAN hiện nay ở Việt Nam

Chương 2 : Trình bày các giải pháp bảo mật hiện nay như : WEP, WPA, WPA2,

Filtering, WLAN VPN,…và ưu-nhược điểm của những phương pháp bảo mậtấy

Chương 3 : Trình bày các kỹ thuật tấn công mạng WLAN phổ biến hiện nay

như : De-authentication Attack, Replay Attack, Rogue Access Point,Disassociation Attack, , Man in the middle Attack…

Chương 4 : Trình bày về việc sử dụng RADIUS Server cho quá trình xác thực

trong WLAN.Mô phỏng tấn công ARP spoofing và cách phòng chống

Do thời gian, kiến thức và điều kiện còn nhiều hạn chế, em mới bước đầu làmquen và nghiên cứu về bảo mật, cũng như việc tiếp xúc với thực tế không nhiều nên

đồ án còn nhiều sai sót Em rất mong nhận được sự thông cảm, hướng dẫn, chỉ bảocủa các thầy giáo, cô giáo và ý kiến góp ý của các bạn để có thể rút ra những bài họckinh nghiệm quý báu cho bản thân, phục vụ vào việc học tập, nghiên cứu và làm việcsau này

Em xin chân thành cảm ơn quí các thầy giáo, cô giáo, đặc biệt là cô giáo Trần

Hồ Thủy Tiên Trong suốt thời gian thực hiện đồ án, những lúc gặp khó khăn, vướng

mắc cô luôn hướng dẫn tận tình, định hướng cho em, tận tình giúp em hoàn thành tốt

đồ án này

Em kính chúc các thầy giáo, cô giáo, các bạn sức khỏe và hạnh phúc! Em xinchân thành cảm ơn

1 TỔNG QUAN VỀ MẠNG WLAN

1.1 Khái niệm và lịch sử hình thành mạng WLAN

Mạng LAN không giây viết tắt là WLAN (Wireless Local Area Network), làmột loại mạng máy tính mà các thành phần trong mạng không sử dụng các cápnhư một mạng thông thường, môi trường truyền thông trong mạng là không khí.Các thành phần trong mạng sử dụng sóng điện từ để truyền thông với nhau Nógiúp cho người sử dụng có thể di chuyển trong một vùng bao phủ rộng mà vẫn cóthể kết nối được với mạng

Công nghệ WLAN xuất hiện năm vào cuối những năm 1990, khi những nhàsản xuất giới thiệu sản phẩm hoạt động dưới băng tần 900MHz Những giải phápnày cung cấp tốc độ truyền dữ liệu 1Mbps, thấp hơn nhiều so với tốc độ 10Mbpscủa hầu hết các mạng sử dụng cáp đương thời

Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm sử dụng băng tần2,4 Ghz Mặc dù những sản phẩm này đã có tốc độ truyền dữ liệu cao hơn nhưngchúng vẫn là những giải pháp của riêng từng nhà sản xuất và chưa được công bốrộng rãi Sự cần thiết cho sự hoạt động thống nhất giữa các thiết bị ở những giảitần khác nhau dẫn đến một số tổ chức bắt đầu phát triển những chuẩn mạng khônggiây chung

Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã phêchuẩn của 802.11 và cũng được gọi với tên WIFI (Wireless Fidelity) cho các mạngWLAN Chuẩn 802.11 hỗ trợ ba phương pháp truyền dữ liệu, trong đó có bao gồmphương pháp truyền tín hiệu vô tuyến ở tần số 2,4 GHz

Năm 1999, IEEE thông qua hai sự bổ xung cho chuẩn 802.11 hai phương pháptruyền tín hiệu là các chuẩn 8.2.11a và 802.11b Những sản phẩm WLAN dựa trên802.11b nhanh chóng trở thành công nghệ không giây vượt trội Các thiết bị802.11b truyền phát ở tần số 2,4GHz, cung cấp tốc độ truyền tín hiệu có thể lêntới 11Mbps IEEE 802.11b được tạo ra nhằm cung cấp những đặc điểm về tínhhiệu dụng, thông lượng (throughput) và bảo mật để so sánh với mạng có dây

Đầu năm 2003, IEEE công bố thêm một chuẩn nữa là 802.11g mà có thể truyềnnhận thông tin ở cả hai dải tần 2,4GHz và 5GHz Chuẩn 802.11g có thể nâng tốc

độ truyền dữ liệu lên tới 54Mbps Hơn thế nữa, những sản phẩm sử dụng chuẩn802.11g cũng có thể tương thích với những thiết bị chuẩn 802.11b Ngày nay,chuẩn 802.11g đã đạt đến tốc độ từ 108Mbps-300Mbps

Cuối năm 2009, chuẩn 802.11n đã được IEEE phê duyệt đưa vào sử dụngchính thức và được Hiệp hội Wi-Fi (Wi-Fi Alliance) kiểm định và cấp chứng nhậncho các sản phẩm đạt chuẩn Mục tiêu chính của công nghệ này là tăng tốc độtruyền và tầm phủ sóng cho các thiết bị bằng cách kết hợp các công nghệ vượt trội

và tiên tiến nhất Về mặt lý thuyết, 802.11n cho phép kết nối với tốc độ 600Mbps

và tầm phủ sóng 250m Hai đặc điểm then chốt này giúp việc sử dụng các ứngdụng trong môi trường mạng Wi-Fi được cải tiến đáng kể, phục vụ tốt cho nhu cầugiải trí đa phương tiện, nhiều người dùng có thể xem phim chất lượng cao (HD,Full HD, Full HD 3D ), gọi điện thoại qua mạng Internet (VoIP), tải tập tin dunglượng lớn đồng thời mà chất lượng dịch vụ và độ tin cậy vẫn luôn đạt mứccao.Bên cạnh đó, chuẩn 802.11n vẫn đảm bảo khả năng tương thích ngược với cácsản phẩm trước đó, chẳng hạn, nếu sản phẩm Wi-Fi chuẩn n sử dụng đồng thời haitần số 2,4GHz và 5GHz thì sẽ tương thích ngược với các sản phẩm chuẩn802.11a/b/g

1.2 Các chuẩn 802.11 sử dụng trong mạng WLAN

Học viện Kỹ nghệ Điện và Điện tử IEEE (Institute of Electrical andElectronics Engineers) là hiệp hội phi lợi nhuận quốc tế về cách tân công nghệ tiêntiến hướng tới lợi ích của con người (http://www.ieee.org/index.html) Hiệp hộiIEEE chính thức ra đời ngày 1.1.1963 dựa trên sự hợp nhất của Học viện Kỹ nghệĐiện tử Mỹ (AIEE) thành lập năm 1884 và Học viện Kỹ nghệ Radio (IRE) thànhlập năm 1912, với tổng số 150.000 thành viên Tuy giữ tên gọi truyền thống vềđiện và điện tử, nhưng nội dung hoạt động của IEEE hiện bao gồm hầu hết mọilĩnh vực công nghệ liên quan tới công nghệ điện tử và thông tin Với hơn 395.000thành viên tại hơn 160 nước, IEEE hiện là hiệp hội nghề nghiệp lớn nhất toàn cầu.Các thành viên của IEEE được tổ chức thành 331 Chi hội khu vực thuộc 10 vùngđịa lý trên toàn cầu Mỗi thành viên của IEEE còn có thể và thường tham gia vào

một vài trong số 38 Hội nghề nghiệp của IEEE về các lĩnh vực, từ điện, điện tử,công nghệ thông tin, truyền thông, vũ trụ, hạt nhân, robotics, viễn thám, đạidương… đến giáo dục, ảnh hưởng xã hội của công nghệ, con người và tự độnghóa… Cùng với các Hội nghề nghiệp, IEEE còn có nhiều Hội đồng kỹ thuật nhằmphối hợp các Hội nghề nghiệp với nhau, cũng như Hội về chuẩn công nghệ và cácNhóm công tác.

1.2.1 Chuẩn 802.11

Đây là chuẩn đầu tiên của hệ thống mạng không giây Tốc độ truyền khoảng từ

1 đến 2 Mbps, hoạt động ở băng tần 2.4GHz Chuẩn này chứa tất cả công nghệtruyền hiện hành bao gồm Direct Sequence Spectrum (DSS), Frequence HoppingSpread Spectrum (FHSS) và tia hồng ngoại Chuẩn 802.11 là một trong hai chuẩnmiêu tả những thao tác của sóng truyền (FHSS) trong hệ thống mạng không giây.Chỉ có các phần cứng thích hợp cho các chuẩn 802.11 mới có thể sử dụng hệthống sử dụng hệ thống sóng truyền này

1.2.2 Chuẩn 802.11a

Chuẩn này được IEEE bổ sung và phê duyệt vào tháng 9 năm 1999, nhằm cungcấp một chuẩn hoạt động ở băng tần mới 5 GHz và cho tốc độ cao hơn (từ 20đến 54 Mbit/s) Các hệ thống tuân thủ theo chuẩn này hoạt động ở băng tần từ5,15 đến 5,25GHz và từ 5,75 đến 5,825 GHz, với tốc độ dữ liệu lên đến 54 Mbit/s.Chuẩn này sử dụng kỹ thuật điều chế OFDM (Orthogonal Frequency DivisionMultiplex), cho phép đạt được tốc độ dữ liệu cao hơn và khả năng chống nhiễu đađường tốt hơn

Có thể sử dụng đến 8 Access Point (truyền trên 8 kênh Non-overlapping, kênhkhông chồng lấn phổ), đặc điểm này ở dải tần 2,4Ghz chỉ có thể sử dụng 3 AccessPoint (truyền trên 3 kênh Non – overlapping)

Các sản phẩm của theo chuẩn IEEE 802.11a không tương thích với các sản phẩmtheo chuẩn IEEE 802.11 và 802.11b vì chúng hoạt động ở các dải tần số khác nhau Tuynhiên các nhà sản xuất chipset đang cố gắng đưa loại chipset hoạt động ở cả 2 chế độtheo hai chuẩn 802.11a và 802.11b Sự phối hợp này được biết đến với tên WiFi5 ( WiFicho công nghệ 5Gbps)

Thời điểm phê chuẩn 9/1999

Kỹ thuật truy nhập môi trường CSMA/CA

Kỹ thuật điều chế OFDM

Các hệ thống tuân thủ chuẩn IEEE 802.11b hoạt động ở băng tần thấp hơn vàkhả năng xuyên qua các vật thể cứng tốt hơn các hệ thống tuân thủ chuẩn IEEE802.11a Các đặc tính này khiến các mạng WLAN tuân theo chuẩn IEEE 802.11bphù hợp với các môi trường có nhiều vật cản và trong các khu vực rộng như cáckhu nhà máy, các kho hàng, các trung tâm phân phối, Dải hoạt động của hệthống khoảng 100 mét

IEEE 802.11b là một chuẩn được sử dụng rộng rãi nhất cho Wireless LANtrước đây Vì dải tần số 2,4GHz là dải tần số ISM (Industrial, Scientific andMedical: dải tần vô tuyến dành cho công nghiệp, khoa học và y học, không cầnxin phép) cũng được sử dụng cho các chuẩn mạng không dây khác như là:Bluetooth và HomeRF, hai chuẩn này không được phổ biến như là 801.11.Bluetooth được thiết kế sử dụng cho thiết bị không dây mà không phải là WirelessLAN, nó được dùng cho mạng cá nhân PAN (Personal Area Network) Như vậyWireless LAN sử dụng chuẩn 802.11b và các thiết bị Bluetooth hoạt động trongcùng một dải băng tần

Thời điểm phê chuẩn 9/1999

Dải tần hoạt động 2,4 GHz

Thời điểm phê chuẩn 10/2002

Dải tần truyền dữ liệu 2,4 GHz

Tốc độ bit 54 Mbps

Bán kính phủ sóng 100m (với tốc độ11Mbps)

Kỹ thuật điều chế OFDM

Bảng 1.3 Một số thông số kỹ thuật của chuẩn 802.11g

1.2.5 Chuẩn 802.11n

Chuẩn 802.11n đã được IEEE (Institute of Electrical and ElectronicsEngineers) phê duyệt đưa vào sử dụng chính thức và cũng đã được Hiệp hội Wi-Fi(Wi-Fi Alliance) kiểm định và cấp chứng nhận cho các sản phẩm đạt chuẩn.Chứng nhận chuẩn Wi-Fi 802.11n là bước cập nhật thêm một số tính năng tùychọn cho 802.11n dự thảo 2.0 (draft 2.0) được Wi-Fi Alliance bắt đầu từ tháng6/2007 Các yêu cầu cơ bản như băng tầng, tốc độ, các định dạng khung, khả năngtương thích ngược không thay đổi

Về mặt lý thuyết, chuẩn 802.11n cho phép kết nối với tốc độ 300 Mbps (có thểlên tới 600Mbps), tức là nhanh hơn khoảng 6 lần tốc độ đỉnh theo lý thuyết củacác chuẩn trước đó như 802.11g/a (54 Mbps) và mở rộng vùng phủ sóng 802.11n

là mạng Wi-Fi đầu tiên có thể cạnh tranh về mặt hiệu suất với mạng có dây100Mbps Chuẩn 802.11n hoạt động ở cả hai tần số 2,4GHz và 5GHz với kỳ vọng

có thể giảm bớt được tình trạng “quá tải” ở các chuẩn trước đây

Với đặc tả kỹ thuật được phê chuẩn, MIMO (Multiple-Input, Multiple-Output)

là công nghệ bắt buộc phải có trong các sản phẩm Wi-Fi 802.11n thường đượcdùng chung với kỹ thuật ghép kênh phân chia theo tần số trực giao OFDM(Orthogonal Frequency Division Multiplexing) MIMO có thể làm tăng tốc độ lênnhiều lần thông qua kỹ thuật đa phân chia theo không gian (spatial multiplexing).Chia một chuỗi dữ liệu thành nhiều chuỗi dữ liệu nhỏ hơn và phát/thu nhiều chuỗinhỏ song song đồng thời trong cùng một kênh

Ngoài ra, MIMO còn giúp cải thiện phạm vi phủ sóng và độ tin cậy của thiết bịthông qua một kỹ thuật được gọi là phân tập không gian (spatial diversity) Kếthợp với công nghệ MIMO là 2 kỹ thuật : Mã hóa dữ liệu STBC (Space TimeBlock Coding) giúp cải thiện việc thu/phát tín hiệu trên nhiều anten và chế độ HTDuplicate (MCS 32) - Cho phép gửi thêm gói tin tương tự cùng lúc lên mỗi kênh20MHz khi thiết bị hoạt động ở chế độ 40MHz – giúp tăng độ tin cậy cho thiết bịphát

Hình 1.1 Hệ thống MIMO NxM có N kênh phát và M kênh thu

Ngoài công nghệ MIMO, các thiết bị còn có thể được tích hợp thêm một số kỹthuật khác để tăng tốc độ Đầu tiên là kỹ thuật SGI (Short Guard Interval) cũng cóthể góp phần cải thiện tốc độ bằng cách giảm kích thước của khoảng cách giữa các

symbol (ký hiệu) Bên cạnh đó là một số kỹ thuật trên lớp vật lý với các cải tiếnnhằm giảm overhead (gói tin mào đầu) - trực tiếp góp phần cải thiện tốc độ

Để giảm overhead, 802.11n dùng kỹ thuật tập hợp khung (frame aggregation FA) - ghép hai hay nhiều khung (frame) thành một frame đơn để truyền đi Chuẩn802.11n sử dụng 2 kỹ thuật ghép frame : A-MSDU (Aggregation - MAC ServiceData Units) hay viết gọn là MSDU - làm tăng kích thước khung dùng để phát cácframe qua giao thức MAC (Media Access Control) và A-MPDU (Aggregation -MAC Protocol Data Unit) - làm tăng kích thước tối đa của các frame 802.11nđược phát đi lên đến 64K byte (chuẩn trước chỉ có 2304byte)

-Một cách cải thiện thông lượng bổ sung khác là giảm kích thước frame ACKxuống còn 8byte (chuẩn cũ là 128byte) Ngoài ra, kỹ thuật SGI (Short GuardInterval) cũng có thể góp phần cải thiện 10% tốc độ bằng cách giảm khoảng cáchgiữa các symbol (ký hiệu) từ 4 nano giây xuống còn 3,6 nano giây Cuối cùng là

kỹ thuật GreenField Preamble được sử dụng để rút ngắn gói tin đầu tiên của frame(preamble) nhằm cải thiện hiệu năng và công suất tiêu thụ cho thiết bị

1.3 Một số chuẩn khác

Ngoài các chuẩn phổ biến trên, IEEE còn lập các nhóm làm việc độc lập để bổsung các quy định vào các chuẩn 802.11a, 802.11b, và 802.11g nhằm nâng caotính hiệu quả, khả năng bảo mật và phù hợp với các thị trường châu Âu, Nhật củacác chuẩn cũ như :

- IEEE 802.11c : Bổ sung việc truyền thông và trao đổi thông tin giữa LANqua cầu nối lớp MAC với nhau

- IEEE 802.11d : Chuẩn này được đặt ra nhằm giải quyết vấn đề là băng2,4 GHz không khả dụng ở một số quốc gia trên thế giới Ngoài ra còn bổsung các đặc tính hoạt động cho các vùng địa lý khác nhau

- IEEE 802.11e : Nguyên gốc chuẩn 802.11 không cung cấp việc quản lý chấtlượng dịch vụ Phiên bản này cung cấp chức năng QoS Theo kế hoạch,chuẩn này sẽ được ban hành vào cuối năm 2001 nhưng do không tích hợptrong thiết kế cấu trúc mà nó đã không được hoàn thành theo đúng thờigian dự kiến

- IEEE 802.11f : Hỗ trợ tính di động, tương tự mạng di động tế bào

- IEEE 802.11h : Hướng tới việc cải tiến công suất phát và lựa chọn kênh củachuẩn 802.11a, nhằm đáp ứng các tiêu chuẩn của thị trường châu Âu

- IEEE 802.11i : Cải tiến vấn đề mã hoá và bảo mật Cách tiếp cận là dựatrên chuẩn mã hoá dữ liệu DES (Data Encryption Standard)

- IEEE 802.11j : Sự hợp nhất trong việc đưa ra phiên bản tiêu chuẩn chungcủa 2 tổ chức IEEE và ETSI trên nền IEEE 802.11a và HIPERLAN 2

- IEEE 802.11k : Cung cấp khả năng đo lường mạng và sóng vô tuyến thíchhợp cho các lớp cao hơn

- IEEE 802.11p : Hình thức kết nối mở rộng sử dụng trên các phương tiệngiao thông (vd: sử dụng Wi-Fi trên xe buýt, xe cứu thương )

- IEEE 802.11r : Mở rộng của IEEE 802.11d, cho phép nâng cấp khả năngchuyển vùng

- IEEE 802.11T : Đây chính là tiêu chuẩn WMM như mô tả ở bảng trên

- IEE 802.11u : Quy định cách thức tương tác với các thiết bị không tươngthích 802 (như các mạng điện thoại di động)

- IEEE 802.11w : Là nâng cấp của các tiêu chuẩn bảo mật được mô tả ởIEEE 802.11i, hiện chỉ trong giải đoạn khởi đầu

-

Các chuẩn IEEE 802.11F và 802.11T được viết hoa chữ cái cuối cùng đểphân biệt đây là hai chuẩn dựa trên các tài liệu độc lập, thay vì là sự mở rộng /nâng cấp của 802.11, và do đó chúng có thể được ứng dụng vào các môitrường khác 802.11 (chẳng hạn WiMAX – 802.16)

Trong khi đó 802.11x sẽ không được dùng như một tiêu chuẩn độc lập mà

sẽ bỏ trống để trỏ đến các chuẩn kết nối IEEE 802.11 bất kì Nói cách khác,802.11 có ý nghĩa là “mạng cục bộ không dây”, và 802.11x mang ý nghĩa

“mạng cục bộ không dây theo hình thức kết nối nào đó (a/b/g/n)”

Chúng ta có thể dễ dàng tạo một mạng Wi-Fi với lẫn lộn các thiết bị theochuẩn IEEE 802.11b với IEEE 802.11g Tất nhiên là tốc độ và khoảng cách

hiệu dụng sẽ là của IEEE 802.11b Một trở ngại với các mạng IEEE 802.11b/g

và có lẽ cả chuẩn 802.11n là việc sử dụng tần số 2,4 GHz, vốn đã quá “chậtchội” khi đó cũng là tần số hoạt động của máy bộ đàm, tai nghe và loa khôngdây, các lò viba cũng sử dụng tần số này, và công suất quá lớn của nhữngthiết bị này có thể gây ra các vẫn đề về nhiễu loạn và giao thoa

1.4 Cấu trúc và một số mô hình mạng WLAN

1.4.1 Cấu trúc cơ bản của mạng WLAN

Mạng sử dụng chuẩn 802.11 gồm có 4 thành phần chính :

Distribution System (Hệ thống phân phối ): Đây là một thành phần logic sử dụng để

điều phối thông tin đến các station đích

Access Point: chức năng chính chủa AP là mở rộng mạng Nó có khả năng chuyển

đổi các frame dữ liệu trong 802.11 thành các frame thông dụng để có thể sử dụng

trong mạng khác

Wireless Medium (tầng liên lạc vô tuyến): Chuẩn 802.11 sử dụng tần liên lạc vô

tuyến để chuyển đổi các frame dữ liệu giữa các máy trạm với nhau

Station (các máy trạm): Đây là các thiết bị ngoại vi có hỗ trợ kết nối vô tuyến như:

laptop, PDA, Palm…

Hình 1.2 – Cấu trúc cơ bản của một mạng WLAN.

1.4.2 Các thiết bị trong mạng wlan

1.4.2.1 Điểm truy cập: AP (Access Point)

AP là một thiết bị song công (Full duplex) có mức độ thông minh tươngđương với một chuyển mạch Ethernet phức tạp (Switch) Cung cấp cho cácmáy khách (client) một điểm truy cập vào mạng

Hình 1.3 – Access Point Linksys Các chế độ hoạt động của AP

AP có thể giao tiếp với các máy không dây, với mạng có dây truyền thống vàvới các AP khác Có 3 Mode hoạt động chính của AP:

 Chế độ gốc (Root mode): Root mode được sử dụng khi AP được kết nối

với mạng backbone có dây thông qua giao diện có dây (thường là Ethernet)của nó Hầu hết các AP sẽ hỗ trợ các mode khác ngoài root mode, tuy nhiên

root mode là cấu hình mặc định của các AP Khi một AP được kết nối với

phân đoạn có dây thông qua cổng Ethernet của nó, nó sẽ được cấu hình đểhoạt động trong root mode Khi ở trong root mode, các AP được kết nối vớicùng một hệ thống phân phối có dây có thể nói chuyện được với nhauthông qua phân đoạn có dây Các client không dây có thể giao tiếp với cácclient không dây khác nằm trong những cell (ô tế bào, hay vùng phủ sóngcủa AP) khác nhau thông qua AP tương ứng mà chúng kết nối vào, sau đócác AP này sẽ giao tiếp với nhau thông qua phân đoạn có dây

Hình1.4 – Chế độ Root Mode

 Chế độ cầu nối (Bridge mode): Trong Bride mode, AP hoạt động hoàn

toàn giống với một Bridge không dây Chỉ một số ít các AP trên thị trường

có hỗ trợ chức năng Bridge, điều này sẽ làm cho thiết bị có giá cao hơn

đáng kể Hình 1.5 mô tả AP hoạt động theo chế độ này Client không kết

nối với Bridge, nhưng thay vào đó, Bridge được sử dụng để kết nối 2 hoặcnhiều đoạn mạng có dây lại với nhau bằng kết nối không dây

Hình 1.5 – Chế độ Bridge Mode

 Chế độ lặp (Repeater mode): Trong Repeater mode, AP có khả năng cung

cấp một đường kết nối không dây upstream vào mạng có dây thay vì một

kết nối có dây bình thường Như trong hình 1.6, một AP hoạt động như là

một root mode và AP còn lại hoạt động như là một Repeater không dây AP

trong repeater mode kết nối với các client như là một AP và kết nối vớiupstream AP như là một client Việc sử dụng AP trong Repeater mode làhoàn toàn không nên trừ khi cực kỳ cần thiết bởi vì các cell xung quanhmỗi AP trong trường hợp này phải chồng lên nhau ít nhất là 50% Cấu hìnhnày sẽ giảm trầm trọng phạm vi mà một client có thể kết nối đến repeater

AP Thêm vào đó, Repeater AP giao tiếp cả với client và với upstream APthông qua kết nối không dây, điều này sẽ làm giảm thông lượng trên đoạnmạng không dây

Hình 1.6 – Chế độ Repeater Mode 1.4.2.2 Các thiết bị máy khách trong mạng WLAN

a) Card PCI Wireless :

Là thành phần phổ biến nhất trong WLAN Dùng để kết nối các máykhách vào hệ thống mạng không dây Được cắm vào khe PCI trên máy tính.Loại này được sử dụng phổ biến cho các máy tính để bàn (desktop) kết nối

vào mạng không dây.

Hình 1.7 – Card PCI Wireless b) Card PCMCIA Wireless :

Trước đây được sử dụng trong các máy tính xách tay(laptop) và cácthiết

bị hỗ trợ cá nhân số PDA(Personal Digital Associasion) Hiện nay nhờ sựphát triển của công nghệ nên PCMCIA wireless ít được sử dụng vì máytính xách tay và PDA,… đều được tích hợp sẵn Card Wireless bên trongthiết bị

Hình 1.8 - Card PCMCIA Wireless c) Card USB Wireless :

Loại rất được ưu chuộng hiện nay dành cho các thiết bị kết nối vàomạng không dây vì tính năng di động và nhỏ gọn Có chức năng tương tựnhư Card PCI Wireless, nhưng hỗ trợ chuẩn cắm là USB (Universal SerialBus) Có thể tháo lắp nhanh chóng (không cần phải cắm cố định như CardPCI Wireless) và hỗ trợ cắm khi máy tính đang hoạt động

Hình 1.9 - Card USB Wireless

1.4.3 Các mô hình mạng WLAN

Mạng WLAN gồm 3 mô hình cơ bản như sau :

 Mô hình mạng độc lập (IBSS) hay còn gọi là mạng Ad hoc

 Mô hình mạng cơ sở (BSS)

 Mô hình mạng mở rộng (ESS)

1.4.3.1 Mô hình mạng độc lập (IBSS - Independent Basic Service Set) hay còn

gọi là mạng AD HOC

Các trạm (máy tính có hỗ trợ card mạng không dây) tập trung lại trong một

không gian nhỏ để hình thành nên kết nối ngang cấp (peer-to-peer) giữa chúng.Các nút di động có card mạng wireless là chúng có thể trao đổi thông tin trực tiếpvới nhau, không cần phải quản trị mạng Vì các mạng ad-hoc này có thể thực hiệnnhanh và dễ dàng nên chúng thường được thiết lập mà không cần một công cụ hay

kỹ năng đặc biệt nào vì vậy nó rất thích hợp để sử dụng trong các hội nghị thươngmại hoặc trong các nhóm làm việc tạm thời Tuy nhiên chúng có thể có nhữngnhược điểm về vùng phủ sóng bị giới hạn, mọi người sử dụng đều phải nghe đượclẫn nhau

Hình 1.10 – Mô hình mạng AD HOC

 Ưu điểm : Kết nối Peer-to-Peer không cần dùng Access Point, chi phí thấp,

cấu hình và cài đặt đơn giản

 Khuyết điểm : Khoảng cách giữa các máy trạm bị giới hạn, số lượng người

dùng cũng bị giới hạn, không tích hợp được vào mạng có dây sẵn có

1.4.3.2 Mô hình mạng cơ sở (BSS - Basic service set)

Trong mô mạng cở sở, các Client muốn liên lạc với nhau phải thông AccessPoint (AP) AP là điểm trung tâm quản lý mọi sự giao tiếp trong mạng, khi đó cácClient không thể liên lạc trực tiếp với như trong mạng Independent BSS Để giaotiếp với nhau các Client phải gửi các Frame dữ liệu đến AP, sau đó AP sẽ gửi đếnmáy nhận

Hình 1.11 – Mô hình mạng cơ sở

 Ưu điểm : Các máy trạm không kết nối trực tiếp được với nhau, các máy

trạm trong mạng không dây có thể kết nối với hệ thống mạng có dây

 Khuyết điểm : Giá thành cao, cài đặt và cấu hình phức tạp hơn mô hình

Ad- Hoc

1.4.3.3 Mô hình mạng mở rộng (ESS - Extended Service Set)

Nhiều mô hình BSS kết hợp với nhau gọi là mô hình mạng ESS Là mô hình sửdụng từ 2 AP trở lên để kết nối mạng Khi đó các AP sẽ kết nối với nhau thành một mạng lớn hơn, phạm vi phủ sóng rộng hơn, thuận lợi và đáp ứng tốt cho các Client di động Đảm bảo sự hoạt động của tất cả các Client

Hình 1.13 – Mô hình Roaming 2) Mô hình khuyếch đại tín hiệu (Repeater Access Point)

Hình 1.14 – Mô hình khuyếch đại tín hiệu 3) Mô hình Point to Point

Hình 1.15 – Mô hình Point to Point 4) Mô hình Point to Multipoint

Hình 1.16 – Mô hình Point to Multipoint 1.5 Một số cơ chế được sử dụng khi trao đổi thông tin trong wlan

1.5.1 Cơ chế báo nhận ACK (Acknowledgement)

ACK là cơ chế thông báo lại kết quả truyền dữ liệu Khi bên nhận nhận được dữliệu, nó sẽ gửi thông báo ACK đến bên gửi báo là đã nhận được bản tin rồi Trongtình huống khi bên gửi không nhận được ACK nó sẽ coi là bên nhận chưa nhận đượcbản tin và nó sẽ gửi lại bản tin đó Cơ chế này nhằm giảm bớt nguy cơ bị mất dữ liệu

trong khi truyền giữa hai điểm Tuy nhiên, cơ chế này không giúp ngăn ngừa xungđột xảy ra

1.5.2 Cơ chế CSMA/CA (Carrier Sense Multiple Access/CollISIon Avoidance)

Việc truyền dữ liệu trong WLAN rất dễ bị xung đột nên cần phải có cách đểngăn chặn hiện tượng xung đột, tuy nhiên, trong mạng không dây không có cách nào

để máy gửi có thể phát hiện được đã có sự xung đột xảy ra Vì lý do này, WLAN đã

sử dụng giao thức CSMA/CA trong khi truyền để tránh xung đột, đây là nguyên tắc

cơ bản khi truy cập của chuẩn 802.11 CSMA/CA sẽ chỉ truyền dữ liệu khi bên kiasẵn sàng nhận và không truyền, nhận dữ liệu nào khác trong lúc đó, đây còn gọi lànguyên tắc LBT “Listening Before Talking” – “nghe trước khi nói” CSMA/CA sửdụng khung ACK để xác nhận một trạm nào đó đã nhận đúng và đầy đủ gói tin từ mộttrạm khác gửi tới nó bằng cách gửi lại trạm phát một khung ACK Nếu trạm gửikhông nhận được khung ACK thì nó xem như là đã có xung đột xảy ra hoặc việctruyền tin tức bị lỗi và truyền lại gói tin

Một trạm không dây muốn truyền khung, đầu tiên nó sẽ nghe trên môi trườngkhông dây để xác định liệu hiện có trạm nào đang truyền hay không (đây là phầnnhạy cảm sóng mang của CSMA/CA) Nếu môi trường truyền hiện đang bị chiếm,trạm không dây tính toán một khoảng trễ lặp lại ngẫu nhiên (random back off time)

Để kiểm tra việc các thiết bị kia đã truyền xong chưa, trong khi “đợi” nó sẽ hỏi “thămdò” đều đặn sau các khoảng thời gian nhất định và nhiều trạm đang muốn truyền tin

sẽ không truyền lại tại cùng một thời điểm (đây là phần tránh xung đột củaCSMA/CA) Khoảng thời gian ngay sau khi đường truyền bận là khoảng thời gian dễxảy ra xung đột nhất, đặc biệt là trong môi trường có nhiều người sử dụng Khi nàomáy trạm nghe tín hiệu đường truyền là rỗi, nó bắt đầu truyền Một trạm phải xácđịnh thời gian tranh chấp đường truyền (khoảng thời gian dự kiến để gửi đi hết mộtkhung) trước khi bắt đầu truyền dữ liệu

1.5.3 Cơ chế RTS/CTS (Request to Send/Clear to Send)

Giao thức RTS/CTS là một mở rộng của giao thức CSMA/CA Dùng cơ chế nàynhằm giảm thiểu nguy cơ xung đột do các thiết bị cùng truyền trong cùng thời điểm.Việc sử dụng RTS/CTS cho phép các STA quảng bá ý định truyền dữ liệu của chúng

Ví dụ nếu AP muốn truyền dữ liệu đến STA, nó sẽ gửi 1 khung RTS đến STA, STAnhận được tin và gửi lại khung CTS, để thông báo sẵn sàng nhận dữ liệu từ AP, đồngthời không thực hiện truyền dữ liệu với các thiết bị khác cho đến khi AP truyền xong

cho STA Lúc đó các thiết bị khác nhận được thông báo cũng sẽ tạm ngừng việctruyền thông tin đến STA Cơ chế RTS/CTS đảm bảo tính sẵn sàng giữa 2 điểmtruyền dữ liệu và ngăn chặn nguy cơ xung đột khi truyền dữ liệu Tuy nhiên vớiphương thức truyền như vậy (broadcast cho tất cả các STA còn lại trong mạng biết APvới STA kia chuẩn bị thực hiện truyền), băng thông của mạng giảm đáng kể Vì lý donày, trên AP chế độ RTS/CTS ở trạng thái mặc định là tắt (off).

Cấu hình RTS/CTS: có 3 thiết lập về RTS/CTS trên các AP

Độ tin tưởng cao trong nối mạng của các doanh nghiệp và sự tăng trưởng mạnh

mẽ của mạng Internet và các dịch vụ trực tuyến là bằng chứng mạnh mẽ đối vớilợi ích của dữ liệu và tài nguyên dùng chung Với mạng WLAN, người dùng truycập thông tin dùng chung mà không tìm kiếm chỗ để cắm vào, và các nhà quản lýmạng thiết lập hoặc bổ sung mạng mà không lắp đặt hoặc di chuyển dây nối.Mạng WLAN cung cấp các hiệu suất sau : khả năng phục vụ, tiện nghi, và các lợithế về chi phí hơn hẳn các mạng nối dây truyền thống

 Khả năng lưu động cải thiện hiệu suất và dịch vụ : Các hệ thống mạng

WLAN cung cấp sự truy cập thông tin thời gian thực tại bất cứ đâu chongười dùng mạng trong khu vực được triển khai Khả năng lưu động này hỗtrợ các cơ hội về hiệu suất và dịch vụ mà mạng nối dây không thể thực hiệnđược Với sự gia tăng về số người sử dụng máy tính xách tay hiện nay thìđây là một điều rất thuận lợi

 Đơn giản và trong cài đặt đơn giản : Cài đặt hệ thống mạng WLAN nhanh

và dễ dàng, loại trừ nhu cầu kéo dây qua các tường và các trần nhà

 Linh hoạt trong cài đặt : Công nghệ không dây cho phép mạng đi đến các

nơi mà mạng nối dây không thể

 Giảm bớt giá thành sở hữu : Trong khi đầu tư ban đầu của phần cứng cần

cho mạng WLAN có giá thành cao hơn các chi phí phần cứng mạng LANhữu tuyến, nhưng chi phí cài đặt toàn bộ và giá thành tính theo tuổi thọ thấphơn đáng kể Các lợi ích về giá thành tính theo tuổi thọ là đáng kể trong môitrường năng động yêu cầu thường xuyên di chuyển, bổ sung, và thay đổi

 Tính linh hoạt : Các hệ thống mạng WLAN được định hình theo các kiểu

topo khác nhau để đáp ứng các nhu cầu của các ứng dụng và các cài đặt cụthể Cấu hình mạng dễ thay đổi từ các mạng độc lập phù hợp với số nhỏngười dùng đến các mạng cơ sở hạ tầng với hàng nghìn người sử dụng trongmột vùng rộng lớn

 Khả năng mở rộng : Mạng không dây có thể đáp ứng tức thì khi gia tăng số

lượng người dùng Với hệ thống mạng dùng cáp cần phải gắn thêm cáp

1.6.2 Nhược điểm

Công nghệ mạng LAN không dây, ngoài rất nhiều sự tiện lợi và những ưu điểmđược đề cập ở trên thì cũng có các nhược điểm Trong một số trường hợp mạngLAN không dây có thể không như mong muốn vì một số lý do Hầu hết chúngphải làm việc với những giới hạn vốn có của công nghệ

 Bảo mật : Môi trường kết nối không dây là không khí nên khả năng bị tấn công của người dùng là rất cao

Phạm vi : Với chuẩn mạng 802.11n mới nhất hiện nay, phạm vi của mạng

WLAN đã có sự thay đổi lớn Tuy nhiên nó vẫn chưa thể đáp ứng được nhu cầucủa người dùng Để mở rộng phạm vi cần phải mua thêm Repeater hay AccessPoint, dẫn đến chi phí gia tăng Với mô hình mạng lớn vẫn phải kết hợp vớimạng có dây

Độ tin cậy: Vì sử dụng sóng vô tuyến để truyền thông nên việc bị nhiễu, tín hiệu

bị giảm do tác động của các thiết bị khác (lò vi sóng, tín hiệu radio…) là không

tránh khỏi Làm giảm đáng kể hiệu quả hoạt động của mạng

Tốc độ : Tốc độ của mạng không dây vẫn còn rất chậm so với mạng sử dụng cáp

(100 Mbps đến hàng Gbps)

1.7 Thực trạng mạng WLAN hiện nay

Cùng với sự phát triển mạnh mẽ của Internet và các thiết bị mạng, sự pháttriển của nền kinh tế thị trường, nhu cầu trao đổi thông tin và dữ liệu của conngười là rất lớn Ở Việt Nam, mạng WLAN trở nên rất phổ biến và gần gũi vớingười dùng Chúng ta có thể dễ dàng kết nối mạng không dây tại nhiều địa điểmnhư : trường học, văn phòng,… hoặc ngay tại gia đình bằng nhiều thiết bị hiệnđại như : laptop, PDA Tuy nhiên, vẫn còn một số tồn tại như :

 Không thay đổi mật khẩu của nhà sản xuất : Điều này rất dễ dàng chongười nào đó truy cập vào Router và thay đổi các thiết lập để thoải máitruy cập vào mạng

 Không kích hoạt các tính năng mã hóa : Nếu tính năng này không đượckích hoạt, người khác hoàn toàn có thể dùng một số phần mềm dò mậtkhẩu để lấy những thông tin nhạy cảm phục vụ cho những ý đồ riêng

 Không kiểm tra thường xuyên chế độ bảo mật : Nhiều người vẫn chorằng mạng của mình hoàn toàn bảo mật với một chế độ bảo mật nào đó

 Kích hoạt phương pháp bảo mật cấp thấp hoặc không kích hoạt : Một sốngười dùng hiện nay không hề kích hoạt bất kỳ chế độ bảo mật nào.Hoặc nếu có kích hoạt thì kích hoạt các chế độ bảo mật cấp thấp như

WEP Điều này hoàn toàn không nên Người ngoài mạng có thể bẻ khóa

và truy cập vào mạng

CHƯƠNG 2

TRONG MẠNG WLAN

2.1 Giới thiệu khái quát tình hình bảo mật hiện nay

Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thông tin đóngmột vai trò hết sức quan trọng Thông tin chỉ có giá trị khi nó giữ được tính chính

xác, thông tin chỉ có tính bảo mật khi chỉ có những người được phép nắm giữ thôngtin biết được nó Khi ta chưa có thông tin, hoặc việc sử dụng hệ thống thông tin chưaphải là phương tiện duy nhất trong quản lý, điều hành thì vấn đề an toàn, bảo mật đôikhi bị xem thường Nhưng một khi nhìn nhận tới mức độ quan trọng của tính bền hệthống và giá trị đích thực của thông tin đang có thì chúng ta sẽ có mức độ đánh giá về

an toàn và bảo mật hệ thống thông tin Để đảm bảo được tính an toàn và bảo mật chomột hệ thống cần phải có sự phối hợp giữa các yếu tố phần cứng, phần mềm và conngười

Các chuyên gia bảo mật Symantec vừa công bố 10 mối đe dọa bảo mật mà cácdoanh nghiệp và người tiêu dùng không thể lơ là trong năm 2010:

1) Những cuộc tấn công mạng gây tổn hại cho các doanh nghiệp

2) Lượng thư rác toàn cầu tăng mạnh

3) Biểu đồ về hoạt động của các loại mã độc tăng đột biến

4) Thông tin thẻ tín dụng là món hàng được bày bán nhiều nhất trên mạng.5) Ngân hàng là mục tiêu lừa đảo

6) Thư rác truyền thống sẽ dần bị mất đi và thay thế bằng những vụ lừa đảo cóchủ đích (Targeted Scams)

7) Những tin tức thời sự nóng hổi châm ngòi cho các cuộc tấn công

8) Tội phạm mạng theo xu hướng tấn công quy mô lớn

9) Sự phổ dụng ngày càng tăng của những nền tảng mới sẽ tạo đà cho nhữngcuộc tấn công mới

10) Tội phạm mạng có xu hướng nhắm tới thông tin thay vì theo đuổi các nềntảng hạ tầng

Trước tình hình an ninh hiện nay đòi hỏi người dùng mạng, các nhà quản trịmạng, đặc biệt là các chuyên gia bảo mật cần tăng cường phương pháp phòng chống

và ngăn chặn kịp thời, không ngừng phát hiện và vá những lỗ hổng bảo mật đảm bảo

an ninh an toàn mạng tối ưu

Chương này sẽ cung cấp tổng quan về các phương pháp bảo mật được sửdụng trong mạng WLAN với các khái niệm cơ bản, phương pháp hoạt độngcũng như đặc tính kỹ thuật của từng phương pháp ấy Đồng thời sẽ nêu ra ưuđiểm và nhược điểm của từng phương pháp

2.2 Tại sao phải bảo mật

Mạng WLAN vốn là một mạng không an toàn, tuy nhiên ngay cả với mạngWired LAN hay WAN nếu không có phương pháp bảo mật hữu hiệu đềukhông an toàn Để kết nối tới một mạng LAN hữu tuyến người dùng cần phảitruy cập theo đường truyền bằng dây cáp, phải kết nối một PC vào một cổngmạng Các mạng không dây sử dụng sóng vô tuyến xuyên qua vật liệu của cáctòa nhà, như vậy, sự bao phủ của sóng vô tuyến không phải chỉ trong phạm vicủa tòa nhà ấy Do đó, mạng không dây của một công ty cũng có thể bị truycập từ bên ngoài tòa nhà công ty của họ nhờ các thiết bị thích hợp

Với giá thành xây dựng một hệ thống mạng WLAN giảm, ngày càng cónhiều tổ chức, công ty và các cá nhân sử dụng Điều này sẽ không thể tránhkhỏi việc hacker chuyển sang tấn công và khai thác các điểm yếu trên nền tảngmạng sử dụng chuẩn 802.11 Những công cụ Sniffers cho phép bắt được cácgói tin giao tiếp trên mạng, họ có thể phân tích và lấy đi những thông tin quantrọng của chúng ta Ngoài ra, hacker có thể lấy đi những dữ liệu mật của côngty; xen vào phiên giao dịch giữa tổ chức và khách hàng lấy những thông tinnhạy cảm; hoặc phá hoại hệ thống Những tổn thất to lớn tới tổ chức, công tykhông thể lường trước được Vì thế, xây dựng mô hình, chính sách bảo mật làcần thiết

2.3 Đánh giá vấn đề an toàn, bảo mật hệ thống

Để đảm bảo an ninh cho mạng, cần phải xây dựng một số tiêu chuẩn đánhgiá mức độ an ninh an toàn mạng Một số tiêu chuẩn đã được thừa nhận làthước đo mức độ an ninh mạng

Đánh giá trên phương diện vật lý, thiết bị phải đáp ứng được những nhu cầusau :

o Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột Có khảnăng thay thế nóng từng phần hoặc toàn phần (hot-plug, hot-swap)

o Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm

o Yêu cầu nguồn điện, có dự phòng trong tình huống mất đột ngột

o Các yêu cầu phù hợp với môi trường xung quanh : độ ẩm, nhiệt độ,chống sét, phòng chống cháy nổ, vv

 Tính xác thực (Authentication)

Liên quan tới việc đảm bảo rằng một cuộc trao đổi thông tin là đángtin cậy Trong trường hợp một bản tin đơn lẻ, ví dụ như một tín hiệu báođộng hay cảnh báo, chức năng của dịch vụ ủy quyền là đảm bảo bênnhận rằng bản tin là từ nguồn mà nó xác nhận là đúng

Trong trường hợp một tương tác đang xảy ra, ví dụ kết nối của mộtđầu cuối đến máy chủ, có hai vấn đề sau : thứ nhất tại thời điểm khởitạo kết nối, dịch vụ đảm bảo rằng hai thực thể là đáng tin Mỗi chúng làmột thực thể được xác nhận Thứ hai, dịch vụ cần phải đảm bảo rằngkết nối là không bị gây nhiễu do một thực thể thứ ba có thể giả mạo làmột trong hai thực thể hợp pháp để truyền tin hoặc nhận tin không đượccho phép

 Tính toàn vẹn (Integrity)

Tính toàn vẹn đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừmọi sự thay đổi thông tin có chủ đích hoặc do hư hỏng, mất mát thôngtin vì sự cố thiết bị hoặc phần mềm

 Tính không thể phủ nhận (Non repudiation)

Tính không thể phủ nhận bảo đảm rằng người gửi và người nhậnkhông thể chối bỏ 1 bản tin đã được truyền Vì vậy, khi một bản tinđược gửi đi, bên nhận có thể chứng minh được rằng bản tin đó thật sựđược gửi từ người gửi hợp pháp Hoàn toàn tương tự, khi một bản tinđược nhận, bên gửi có thể chứng minh được bản tin đó đúng thật đượcnhận bởi người nhận hợp lệ.

 Tính khả dụng (Availability)

Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữliệu bất cứ lúc nào mong muốn trong vòng một khoảng thời gian chophép Các cuộc tấn công khác nhau có thể tạo ra sự mất mát hoặc thiếu

về sự sẵn sàng của dịch vụ Tính khả dụng của dịch vụ thể hiện khảnăng ngăn chặn và khôi phục những tổn thất của hệ thống do các cuộctấn công gây ra

 Khả năng điều khiển truy nhập (Access Control)

Trong hoàn cảnh của an ninh mạng, điều khiển truy cập là khả nănghạn chế các truy nhập với máy chủ thông qua đường truyền thông Đểđạt được việc điều khiển này, mỗi một thực thể cố gắng đạt được quyềntruy nhập cần phải được nhận diện, hoặc được xác nhận sao cho quyềntruy nhập có thể được đáp ứng nhu cầu đối với từng người

2.4 Phương pháp bảo mật xác nhận người dung (end-user authentication)

Đây là dịch vụ an ninh ở mức người dùng Người dùng cần cung cấp định danh (identity) là có thể truy cập và sử dụng WLAN

Đối với WLAN hiện có 3 phương pháp xác nhận quyền truy cập vào hệ thống baogồm Hệ thống mở, Hệ thống dùng khóa quy ước và Hệ thống dùng cho doanh nghiệp

2.4.1 Xác thực qua hệ thống mở (Open Authentication)

Chứng thực hệ thống mở là một hình thức rất cơ bản của chứng thực, nó gồmmột yêu cầu chứng thực đơn giản chứa ID trạm và một đáp lại chứng thực gồmthành công hoặc thất bại Khi thành công, cả hai trạm được xem như được xácnhận với nhau

Hình 2.1 – Chứng thực hệ thống mở 2.4.2 Xác thực qua khoá chia sẻ (Shared-key Authentication)

Là kiểu xác thực cho phép kiểm tra xem một khách hàng không dây đang đượcxác thực có biết về bí mật chung không Điều này tương tự với khoá xác thựcdùng chung trong “bảo mật IP” (IPSec) Chuẩn 802.11 hiện nay giả thiết rằng

“khoá chung” được phân phối đến các tất cả các khách hàng đầu cuối thông quamột kênh bảo mật riêng, độc lập với tất cả các kênh khác của IEEE 802.11 Tuynhiên, hình thức xác thực qua “khoá chung” nói chung là không an toàn và khôngđược khuyến nghị sử dụng

Chứng thực khóa chia sẻ được xác nhận trên cơ sở cả hai trạm tham gia trongquá trình chứng thực có cùng khóa “chia sẻ” Ta giả thiết rằng khóa này đã đượctruyền tới cả hai trạm suốt kênh bảo mật nào đó trong môi trường không giây.Trong các thi hành tiêu biểu, chứng thực này được thiết lập thủ công trên trạmkhách hàng và AP Các khung thứ nhất và thứ tư của chứng thực khóa chia sẻtương tự như các khung có trong chứng thực hệ thống mở Còn các khung thứ hai

và khung thứ ba khác nhau, trạm xác nhận nhận một gói văn bản yêu cầu (đượctạo ra khi sử dụng bộ tạo số giả ngẫu nhiên giải thuật WEP (PRNG)) từ AP, mật

mã hóa nó sử dụng khóa chia sẻ, và gửi nó trở lại cho AP Sau khi giải mã, nếu vănbản yêu cầu phù hợp, thì chứng thực một chiều thành công Để chứng thực haiphía, quá trình trên được lặp lại ở phía đối diện Cơ sở này làm cho hầu hết các tấncông vào mạng WLAN chuẩn IEEE 802.11b chỉ cần dựa vào việc bắt dạng mật mãhóa của một đáp ứng biết trước, nên dạng chứng thực này là một lựa chọn kémhiệu quả Nó cho phép các hacker lấy thông tin để đánh đổ mật mã hóa WEP và

đó cũng là lý do tại sao chứng thực khóa chia sẻ không bao giờ khuyến nghị

Sử dụng chứng thực mở là một phương pháp bảo vệ dữ liệu tốt hơn, vì nó chophép chứng thực mà không có khóa WEP đúng Bảo mật giới hạn vẫn được duy trì

vì trạm sẽ không thể phát hoặc nhận dữ liệu chính xác với một khóa WEP sai

Hình 2.2 – Chứng thực khóa chia sẻ 2.4.3 Hệ thống dùng cho doanh nghiệp (Enterprise System)

Bảo vệ sự truy cập vào hệ thống thông qua một authentication server – AS(thường gọi là RADIUS server) Đối với hệ thống này, Access Point không đóng vaitrò xác nhận người dùng mà nó chỉ đóng vai trò là thiết bị trung gian truyền các thôngđiệp xác nhận giữa station và authentication server Việc xác nhận quyền truy cập sẽ

do authentication server đảm nhận

Trong hệ thống này, authentication server sẽ quản lý thông tin các user hợp lệ đượcphép truy cập vào hệ thống Trong quá trình xác nhận, station sẽ cung cấp choauthentication server username và password của họ, authentication server sẽ xác nhận

là username và password đó có hợp lệ hay không

Kết thúc quá trình xác nhận, authentication server sẽ thông báo cho Access Pointbiết station đó có được phép truy cập vào hệ thống hay không dựa vào kết quả xácnhận ở bước trên