Đề tài Bảo mật trong mạng không dây

MỤC LỤC

LỜI CÁM ƠN 1

LỜI CAM ĐOAN 2

MỤC LỤC 3

MỞ ĐẦU 5

CHƯƠNG 1 6

TỔNG QUAN VỀ MẠNG WLAN VÀ CÁC BIỆN PHÁP BẢO MẬT TRONG MẠNG WLAN 6

1.1. Tổng quan về mạng WLAN 6

1.1.1. Kiến trúc mạng WLAN 7

1.1.2. Chế độ hoạt động 8

1.1.2.1. Kiểu Ad-hoc 8

1.1.2.2. Kiểu Infrastructure 8

1.1.2.3. Các thành phần cơ bản của WLAN 9

1.1.3. Kiến trúc phân tầng của WLAN 9

1.1.3.1. Tầng PHY 10

1.1.3.2. Tầng MAC 11

1.1.4. Khuôn dạng các gói tin trong mạng WLAN 11

1.1.4.1. Các gói tin thuộc tầng vật lý 12

1.1.4.2 Các gói tin thuộc tầng MAC 13

1.1.5. Một số chuẩn WLAN hiện hành 17

1.1.5.1. Chuẩn 802.11b (Chuẩn B) 17

1.1.5.2. Chuẩn 802.11a (Chuẩn A) 17

1.1.5.3. Chuẩn 802.11g (Chuẩn G) 18

1.1.5.4. Chuẩn 802.11c 18

1.5.5. Chuẩn 802.11d 18

1.15.6. Chuẩn 802.11i 18

1.1.5.7. Chuẩn 802.11Ir 18

1.1.5.8. Home RF 18

1.1.5.9. HiperLan (High Performance local area network) 19

1.2. Các giải pháp bảo mật trong mạng WLAN 19

1.2.1. Các dạng tấn công 19

1.2.1.1. Tấn công bị động (passive attack) 20

1.2.1.2. Tấn công chủ động 22

1.2.2. Các biện pháp bảo mật và điểm yếu 27

1.2.2.1 Các biện pháp lọc 27

1.2.2.2. WEP (Wireless Equivalent Privacy) 30

1.2.2.3. WPA (WLAN Protected Access) 36

1.2.2.4. VPN (Virtual Private Network): mạng riêng ảo 38

1.2.2.5. Wireless Gateway 39

CHƯƠNG 2 41

QUY TRÌNH KHẢO SÁT MẠNG KHÔNG DÂY 41

2.1. Chuẩn bị cho khảo sát 41

2.1.1 Phân tích khu vực khảo sát 41

2.1.2. Những mạng hiện tại 41

2.1.3. Khu vực sử dụng và các tháp anten 42

2.1.4 Yêu cầu về băng thông và chuyển vùng 42

2.1.5. Nguồn tài nguyên sẵn có 43

2.1.6. Yêu cầu bảo mật 43

2.1.7 Những thiết bị, tài liệu người khảo sát cần chuẩn bị 44

2.2. Những thiết bị khảo sát 44

2.2.1. Access Point 45

2.2.2. Card PC và các ứng dụng 45

2.2.3 Laptop và PDA 46

2.2.4. Giấy 46

2.2.5. Khảo sát ngoài trời 46

2.2.6. Bộ phân tích phổ 46

2.2.7. Phần mềm phân tích giao thức 47

2.2.8. Danh sách các thiết bị khảo sát 47

2.3. Thực hiện khảo sát 48

2.3.1. Khảo sát trong nhà 48

2.3.2. Khảo sát ngoài trời 49

2.3.3 Trước khi bắt đầu khảo sát 49

2.3.4. Thu thập thông tin sóng vô tuyến 50

2.3.5. Báo cáo khảo sát 50

CHƯƠNG 3 51

ỨNG DỤNG GIẢI PHÁP BẢO MẬT CHO MẠNG KHÔNG DÂY VÀO MÔ HÌNH CỤ THỂ 51

3.1. Cấu hình xác thực kiểu WEP cho mô hình mạng BSS 51

3.1.1. Cấu hình Access Point thông qua giao diện Web-Based 51

3.1.2. Thiết lập mạng BSS 54

3.1.3. Các kiểu chứng thực trong WLAN 55

3.2. Cấu hình xác thực bằng RADIUS server 67

3.2.1. Cấu hình RADIUS server trên win 2003 67

3.2.2. Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet 72

3.2.3. Kiểm tra kết nối 72

KẾT LUẬN 75

TÀI LIỆU THAM KHẢO 76

 

 

doc74 trang | Chia sẻ: netpro | Lượt xem: 3353 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Đề tài Bảo mật trong mạng không dây, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
n trị mạng có thể biên tập, phân phối và bảo trì một danh sách những địa chỉ MAC được phép và lập trình chúng vào các AP. Nếu một Card PC hoặc những Client khác với một địa chỉ MAC mà không trong danh sách địa chỉ MAC của AP, nó sẽ không thể đến được điểm truy nhập đó. Hình 1.19: Lọc địa chỉ MAC Tất nhiên, lập trình các địa chỉ MAC của các Client trong mạng WLAN vào các AP trên một mạng rộng thì không thực tế. Bộ lọc MAC có thể được thực hiện trên vài RADIUS Server thay vì trên mỗi điểm truy nhập. Cách cấu hình này làm cho lọc MAC là một giải pháp an toàn, và do đó có khả năng được lựa chọn nhiều hơn. Việc nhập địa chỉ MAC cùng với thông tin xác định người sử dụng vào RADIUS khá là đơn giản, mà có thể phải được nhập bằng bất cứ cách nào, là một giải pháp tốt. RADIUS Server thường trỏ đến các nguồn chứng thực khác, vì vậy các nguồn chứng thực khác phải được hỗ trợ bộ lọc MAC. Bộ lọc MAC có thể làm việc tốt trong chế độ ngược lại. Xét một ví dụ, một người làm thuê bỏ việc và mang theo cả Card Lan không dây của họ. Card Wlan này nắm giữ cả chìa khóa WEP và bộ lọc MAC vì thế không thể để họ còn được quyền sử dụng. Khi đó người quản trị có thể loại bỏ địa chỉ MAC của máy khách đó ra khỏi danh sách cho phép. Mặc dù biện pháp này trông có vẻ là hoạt động hiệu quả, nhưng trên thực tế lại có rất nhiều lỗ hổng. Địa chỉ MAC của Client WLAN thường được phát quảng bá bởi các AP và Bridge, ngay cả khi sử dụng WEP. Vì thế một attacker mà có thể nghe được lưu lượng trên mạng của bạn có thể nhanh chóng tìm thấy hầu hết các địa chỉ MAC mà được cho phép trên mạng không dây của bạn. Để một bộ phân tích mạng thấy được địa chỉ MAC của một trạm, trạm đó phải truyền một khung qua đoạn mạng không dây, đây chính là cơ sở để đưa đến việc xây dựng một phương pháp bảo mật mạng, tạo đường hầm trong VPN, mà sẽ được đề cập ở phần sau. Một vài card PC không dây cho phép thay đổi địa chỉ MAC của họ thông qua phần mềm hoặc thậm chí qua cách thay đổi cấu hình hệ thống. Một attacker có danh sách các địa chỉ MAC cho phép, có thể dễ dàng thay đổi địa chỉ MAC của card PC để phù hợp với một card PC trên mạng của bạn, và do đó truy nhập tới toàn bộ mạng không dây của bạn. Do hai trạm với cùng địa chỉ MAC không thể đồng thời tồn tại trên một WLAN,attacker phải tìm một địa chỉ MAC của một trạm mà hiện thời không trên mạng. Chính trong thời gian trạm di động hoặc máy tính sách tay không có trên mạng là thời gian mà attacker có thể truy nhập vào mạng tốt nhất. Với những mạng gia đình hoặc những mạng trong văn phòng nhỏ, nơi mà có một số lượng nhỏ các trạm khách, thì việc dùng bộ lọc MAC là một giải pháp bảo mật hiệu qủa. Vì không một attacker thông minh nào lại tốn hàng giờ để truy nhập vào một mạng có giá trị sử dụng thấp. c. Lọc giao thức Mạng Lan không dây có thể lọc các gói đi qua mạng dựa trên các giao thức lớp 2-7. Trong nhiều trường hợp, các nhà sản xuất làm các bộ lọc giao thức có thể định hình độc lập cho cả những đoạn mạng hữu tuyến và vô tuyến của AP. Ví dụ một tình huống, trong đó một nhóm cầu nối không dây được đặt trên một remote building trong một mạng WLAN của một trường đại học kết nối tới AP của tòa nhà kỹ thuật trung tâm. Vì tất cả những người sử dụng trong remote building chia sẻ băng thông 5 Mbps giữa những tòan nhà này, nên một số lượng đáng kể các điều khiển trên các sử dụng này phải được thực hiện. Nếu các kết nối này được cài đặt với mục đích truy nhập internet đặc biệt của người sử dụng, thì bộ lọc giao thức sẽ loại trừ tất cả các giao thức , ngoại trừ SMTP, POP3, HTTP, HTTPS, FTP... Hình 1.20: Lọc giao thức 1.2.2.2. WEP (Wireless Equivalent Privacy) WLAN vốn không phải là một mạng an toàn, tuy nhiên ngay cả với LAN hữu tuyến, nếu chúng ta không có biện pháp bảo mật tốt thì nó cũng không bao giờ an toàn. Chìa khóa mở ra sự an toàn cho WLAN và giữ nó được an toàn là sự thực hiện và quản lý nó. Đào tạo người quản trị một cách căn bản, trên những công nghệ tiến tiến là cách quan trọng để tạo sự an toàn cho WLAN. Phần này, sẽ đề cập đến biện pháp bảo mật theo chuẩn 802.11 đã biết,là WEP. Bản thân WEP không phải là ngôn ngữ bảo mật duy nhất, một mình WEP không thể đảm bảo an toàn tuyệt đối cho WLAN. Vì vậy, cần xem xét tại sao có hạn chế trong bảo mật của WEP, phạm vi ứng dụng của WEP, và các biện pháp khắc phục. a. Hoạt động WEP (Wired Equivalent Privacy) là giao thức được phát triển bởi chuẩn 802.11, giao thức này tỏ ra khá hiệu quả trong việc bảo vệ mạng khỏi attacker. Là một giao thức mã hóa được dùng để xác thực người sử dụng và mã hóa payload dữ liệu qua một môi trường không dây. WEP đáp ứng được 3 cấp độ bảo vệ: chứng thực, bảo mật và toàn vẹn dữ liệu. WEP sử dụng khóa đối xứng, khóa để mã hóa và giải mã dữ liệu là một. Độ dài khóa thường sử dụng là 64bit và 128bit, hay 40bit và 104bit vì trong đó 24bit được dùng để tạo véc tơ khởi tạo IV (Initialization Vector). Khóa này được gửi tới tất cả các thành viên trong mạng, gọi là khóa chia sẻ. Chứng thực: Kĩ thuật chứng thực dùng khóa chia sẻ để gửi dữ liệu đã được mã hóa. Có hai kĩ thuật chứng thực được sử dụng : Chứng thực hệ thống mở (Open System Authentacation): trong hệ thống này, không có một định danh nào được kiểm tra, tất cả các trạm muốn kết nối vào mạng đều được tự động kết nối mà không trải qua bất kì cuộc kiểm tra nhận dạng nào. Chứng thực dùng khóa chia sẻ: kĩ thuật này tiến hành qua 4 giai đoạn Một trạm gửi yêu cầu định danh tới AP AP gửi đoạn text 128bit sinh ra bởi giải thuật của WEP Trạm mã hóa đoạn text này bằng khóa chia sẻ và gửi đi trong một frame định danh. AP giải mã đoạn text nhận được cũng bằng khóa chia sẻ và so sánh kết quả với đoạn text ban đầu, nếu chúng giống nhau thì AP sẽ xác nhận với trạm về việc đã định danh xong và trạm đó có thể kết nối vào mạng, nếu không AP sẽ gửi một frame từ chối định danh Việc mã hóa và kiểm soát toàn vẹn dữ liệu: Kĩ thuật mã hóa và kiểm soát toàn vẹn dữ liệu của WEP dựa trên thuật toán RC4, phát triển bởi Ron Rivest vào năm 1987. Giải thuật này sử dụng khóa đối xứng mật. Việc định danh cho phép đảm bảo rằng trạm có đúng khóa mật này. Việc mã hóa và kiểm soát tính toàn vẹn dữ liệu diễn ra theo các giai đoạn: Xây dựng Key Scheduling Algorithme: người ta thêm vào khóa chia sẻ (khóa này có độ dài 40 bit hoặc 104 bit) một véc tơ khởi tạo IV (Initialization Vector) có độ dài 24bit, véc tơ này thay đổi với từng frame được gửi đi, để tạo phần hạt nhân (speed) cho RC4 được gọi là Key Scheduling Algorithme – KSA (có độ dài 64bit hoặc 128bit). Song song đó, với CRC 32 người ta tính toán tính toàn vẹn (chưa mã hóa) hay ICV (Integrity Check Value) trên dữ liệu. Sau đó dữ liệu được kết hợp với ICV. RSA được đặt trong một bộ phát chuỗi mã ngẫu nhiên (Pseudo Random Number Generator - PRNG) để tạo ra một chuỗi khóa (key sequence) ngẫu nhiên. Người ta sử dụng tóan tử logic XOR giữa chuỗi khóa sinh ngẫu nhiên ở bước trên với dữ liệu đã kết hợp với ICV trong bước 1 để mã hóa dữ liệu. Dữ liệu sau khi được mã hóa được truyền đi cùng IV trong frame. Tuy nhiên, ở đây có điểm lưu ý là việc mã hóa chỉ thực hiện với dữ liệu của frame MAC còn phần header của frame trong đó có cả địa chỉ MAC , IV, và CRC thì không được mã hóa mà được truyền trực tiếp. Hình 1.21: Sơ đồ quá trình mã hóa sử dụng WEP Giải mã và kiểm soát toàn vẹn: Việc giải mã và điểu khiển tính toàn vẹn của dữ liệu diễn ra theo nhiều phần, nhưng có thể tóm lại những phần chính sau: Khóa chia sẻ kết hợp với IV trong frame nhận được, rồi được đưa vào PRNG để sinh ra một chuỗi ngẫu nhiên mà chuỗi này đã được dùng để mã hóa dữ liệu. Dùng toán tử logic XOR với hai toán hạng là chuỗi ngẫu nhiên sinh ra ở trên và dữ liệu mã hóa nhận được ta thu được dữ liệu và ICV dạng ban đầu chưa mã hóa. Thực hiện tính tóan tính toàn vẹn (ICV’) trên dữ liệu chưa mã hóa với ICV nhận được, nếu ICV’ = ICV thì có thể khẳng định dữ liệu được toàn vẹn. Hình 1.22: Sơ đồ quá trình giải mã WEP b. Điểm yếu của WEP Do đáp ứng được ba cấp độ bảo mật, thuật toán RC4 lại đơn giản, dễ thực hiện, mã hóa và giải mã nhanh nên WEP được yêu thích và sử dụng rộng rãi. Tuy nhiên, trong WEP lại tồn tại rất nhiều điểm yếu. Đầu tiên, trong việc chứng thực, cả đoạn texte không được mã hóa ban đầu truyền bởi AP và phần texte đã được mã hóa được gửi bởi trạm đến AP đều được truyền trên mạng. Một công cụ nghe mạng đơn giản cũng cho phép có được cả hai đoạn texte và với một chút tính toán attacker dễ dàng có được khóa chia sẻ. Thứ hai, là khóa được sinh ra bằng việc kết hợp giữa véc tơ khởi tạo IV với một khóa duy nhất được chia sẻ bởi tất cả các thành viên trong mạng có độ dài lớn nhất là 104bit. Khóa này quá ngắn và IV lại được truyền trực tiếp không mã hóa, có thể dễ dàng suy ra khóa này chỉ sau vài giờ nghe lén trên mạng, cùng với việc biết rằng việc sinh ra IV bắt đầu từ 0 khi bắt đầu truyền gói tin và tăng lên một khi mỗi gói được gửi. Tất cả sẽ dễ dàng thực hiện được với các công cụ như Airsnort hay WEPcrack. Thứ ba, WEP gặp vấn đề trong quản lý khóa: Theo chuẩn 802.11, thì chìa khóa WEP được sử dụng là chìa khóa WEP tĩnh và hệ thống quản lý khóa phải tự gán một khóa WEP tĩnh cho một AP hoặc Client liên kết với nó, khóa WEP này sẽ không bao giờ thay đổi. Nó có thể là một phương pháp bảo mật căn bản, đơn giản, thích hợp cho những WLAN nhỏ, nhưng không thích hợp với những mạng WLAN quy mô lớn hơn. Nếu chỉ sử dụng khóa WEP tĩnh thì rất dễ dẫn đến sự mất an toàn và việc phân phối khóa sẽ khó khăn khi số lượng user trong mạng tăng lên. Khóa sử dụng trong WEP là khóa chia sẻ, tất cả các thành viên trong mạng đều biết. Khi đó một user bất kì trên mạng có thể giải mã thông điệp truyền trên mạng, như vậy mức bảo mật là bảo mật con người, nhóm người sử dụng. Cuối cùng, CRC sử dụng quá yếu, vì vậy tin tặc có thể thay đổi gói tin hoặc chèn vào đó những gói tin sai lệch có phần CRC đã bị thay đổi. c. Giải pháp cho WEP Chuẩn mã hóa tiên tiến AES Để khắc phục những khiếm khuyết của WEP, chuẩn mã hóa tiên tiến Advanced Encryption Standard (AES) đang được công nhận như một sự thay thế thích hợp cho thuật toán RC4. AES sử dụng thuật toán Rijndale (RINE-dale) với những loại chìa khóa như: 92bit, 128 bit, 256 bit AES được xét là một phương pháp không thể crack bởi hầu hết người viết mật mã, và NIST (National Institute of Standards and Technology) đã chọn AES cho FIPS (Federal Information Processing Standard). Như một phần cải tiến cho chuẩn 802.11, 802.11i được xem xét để sử dụng AES trong WEP v.2. AES, nếu được đồng ý bởi 802.11i, sử dụng trong WEP v2, sẽ được thực hiện trong phần vi chương trình và các phần mềm bởi các nhà cung cấp. Chương trình cơ sở trong AP và trong Client (Card vô tuyến PCMCIA) sẽ phải được nâng cấp để hỗ trợ AES. Phần mềm trạm khách (các driver và các tiện ích máy khách) sẽ hỗ trợ cấu hình AES cùng với chìa khóa bí mật Sử dụng server quản lý chìa khóa mã hóa tập trung. Thay vì sử dụng chìa khóa WEP tĩnh, mà có thể dễ dàng bị phát hiện bởiattacker. WLAN có thể được bảo mật hơn bởi việc thực hiện các chìa khóa trên từng phiên hoặc từng gói, sử dụng một hệ thống phân phối chìa khóa tập trung. Với những mạng WLAN quy mô lớn sử dụng WEP như một phương pháp bảo mật căn bản, server quản lý chìa khóa mã hóa tập trung nên được sử dụng vì những lí do sau: Quản lí sinh chìa khóa tập trung Quản lí việc phân bố chìa khóa một cách tập trung Thay đổi chìa khóa luân phiên Giảm bớt công việc cho nhà quản lý Bất kỳ thiết bị khác nhau nào cũng có thể đóng vai trò một server quản lý chìa khóa mã hóa tập trung. Bình thường, khi sử dụng WEP, những chìa khóa (được tạo bởi người quản trị) thường được nhập bằng tay vào trong các trạm và các AP. Khi sử dụng server quản lý chìa khóa mã hóa tập trung, một quá trình tự động giữa các trạm, AP và server quản lý sẽ thực hiện việc trao các chìa khóaWEP. Hình sau mô tả cách thiết lập một hệ thống như vậy Hình 1.23: Cấu hình quản lý chìa khóa mã hóa tập trung Server quản lý chìa khóa mã hóa tập trung cho phép sinh chìa khóa trên mỗi gói, mỗi phiên, hoặc các phương pháp khác, phụ thuộc vào sự thực hiện của các nhà sản xuất. Phân phối chìa khóa WEP trên mỗi gói, mỗi chìa khóa mới sẽ được gán vào phần cuối của các kết nối cho mỗi gói được gửi, trong khi đó, phân phối chìa khóa WEP trên mỗi phiên sử dụng một chìa khóa mới cho mỗi một phiên mới giữa các node. Cách phân phối này làm cho việc hack vào mạng thông qua những đoạn mạng không dây trở lên khó khăn hơn nhiều.attacker có thể phải dự đoán chuỗi chìa khóa mà server phân phối chìa khóa đang dùng, điều này là rất khó. 1.2.2.3. WPA (WLAN Protected Access) Đối mặt với điểm yếu của WEP, người ta mong chờ một chuẩn bảo mật khác cho mạng không dây 802.11, và WPA được đề xuất như là một giải pháp tạm thời.WPA vừa mã hóa vừa có cơ chế xác thực người dùng. WPA gồm hai phần chính sau: TKIP (Temporal Key Intergrity Protocol): giao thức toàn vẹn khóa thời gian 802.1x và giao thức chứng thực mở EAP ( Extensive Authentication Protocol) a. TKIP (Temporal Key Integrity Protocol) TKIP thực chất là một sự cải tiến WEP, cho phép mã hóa và kiểm soát toàn vẹn dữ liệu. TKIP vẫn sử dụng RC4 làm giải thuật để mã hóa với khóa 128 bit, nhưng véc tơ khởi tạo IV có độ dài 48bit. Ngoài ra khóa cho mỗi trạm được sinh ra và thay đổi tự động theo chu kì. Biện pháp này giảm nguy cơ ăn cắp chìa khóa một cách bị động như trong WEP. Việc kiểm soát tính toàn vẹn thực hiện bởi một mã băm 8byte gọi là MIC (Message Integrity Code) hay Michael. Mã này cũng có địa chỉ MAC, để tránh sự thay đổi các frame. Sẽ có sự giảm tính thực thi khi sử dụng TKIP, tuy nhiên bù lại là tính bảo mật được tăng cường đáng kể, nó tạo ra một sự cân bằng hợp lý. b. 802.1x và giao thức chứng thực mở EAP ( Extensive Authentication Protocol) Giao thức này là một sự phát triển của các giao thức khác (PPP, RADIUS, EAP) được phát triển dành cho việc chứng thực. 802.1x điều khiển truy nhập thông qua những cổng cơ bản. Sự điều khiển truy nhập thông qua những cổng cơ bản được khởi đầu, và vẫn đang được sử dụng với chuyển mạch Ethernet. Khi người dùng thử nối tới cổng Ethernet, cổng đó sẽ đặt kết nối của người sử dụng ở chế độ khóa và chờ đợi sự xác nhận người sử dụng  của hệ thống chứng thực. Các thành phần: Giao thức hoạt động dựa trên 3 phần chính:Client (trạm), Access Point(AP), Server xác thực. 802.1x còn được gọi là Port-based Network Access Control, nói cách khác là nó xác thực dựa vào cổng. Một trạm sẽ được phép truy cập vào mạng nếu nó đã được xác thực trước đó. Hoạt động: Cụ thể một trạm sẽ kết nối với AP qua một PAE (Port Access Entity), PAE này được chia làm hai cổng, một cổng được điều khiển (mở hay đóng kết nối) cung cấp kết nối cho client trong trường hợp xác thực thành công, và một cổng không được điều khiển (kết nối luôn mở) dùng để chứng thực khi tất cả các lưu lượng khác bị trả lại. Cổng điều kiển có thể mở hoặc đóng tùy theo giá trị của một biến trung gian (AuthContrelledPortControl). Biến này có thể có 3 trạng thái: ForceUnauthorized: truy cập vào cổng được điều khiển bị cấm (kết nối luôn mở) ForceAuthorized: truy cập vào cổng điều khiển được phép (kết nối luôn đóng) Auto (mặc định): truy cập phụ thuộc vào kết quả xác thực. Chứng thực bằng RADIUS. EAP ( Extensive Authentication Protocol) được dùng để chứng thực trong một phiên (session), gồm EAPOL (Extensive Authentication Protocol Over Lan) nằm ở giữa trạm với AP, và EAP giữa AP với server (thường sử dụng RADIUS server : Remote Authentication Dial In User Server). Bình thường trạm và server chia sẻ với nhau bí mật (khóa, giấy chứng thực …), khi server nhận được một yêu cầu của AP cho việc chứng thực trạm, nó gửi một yêu cầu đến trạm. Yêu cầu này chỉ có thể được giải quyết bởi một bí mật đã được chia sẻ từ trước và bí mật này cho phép chứng thực. Hình 1.24: Quá trình chứng thực 802.1x-EAP Các dạng khác của giao thức chứng thực này: Chứng thực bởi password: EAP-MD5, ngày càng ít sử dụng; LEAP (Light EAP) giao thức của Cisco. Chứng thực bằng thẻ: EAP-SIM (Subsciber Identity Module), được sử dụng cho AP công cộng (hotspot), sử dụng thẻ SIM hay GSM, cho phép áp dụng cả việc tính hóa đơn; EAP – AKA (Authentification and Key Agreement), sử dụng hệ thống chứng thực của thẻ SIM của UMTS (Universal Mobile Telecommunications System). Chứng thực bằng giấy chứng thực: EAP-TLS (Transport Layer Security), dựa trên kĩ thuật SSL (Secure Socket Layer), sử dụng hệ thống khóa công khai PKI, sinh ra và phân bố khóa WEP động (cho user, cho phiên, cho gói tin). Đòi hỏi phải có một giấy chứng thực cho mỗi client. Để hạn chế một số điểm yếu trong giao thức EAP (mặc định việc định dạng user, gặp vấn đề khi ngắt kết nối nhanh…), giao thức PEAP (Protected EAP) đã được phát triển. Giao thức này sử dụng MA-CHAP version 2 để chứng thực. 1.2.2.4. VPN (Virtual Private Network): mạng riêng ảo Bảo vệ WLAN bằng cách tạo một kênh che chắc dữ liệu khỏi các truy nhập trái phép.Những nhà sản xuất WLAN ngày càng tăng các chương trình phục vụ mạng riêng ảo, VPN, trong các AP, Gateway, cho phép dùng kỹ thuật VPN để bảo mật cho kết nối WLAN. Khi VPN server được xây dựng vào AP, các client sử dụng phần mềm Off-the-shelf VPN, sử dụng các giao thức như PPTP hoặc Ipsec để hình thành một đường hầm trực tiếp tới AP. Trước tiên client liên kết tới điểm truy nhập, sau đó quay số kết nối VPN, được yêu cầu thực hiện để client đi qua được AP. Tất cả lưu lượng được qua thông qua đường hầm, và có thể được mã hóa để thêm một lớp an toàn. Hình sau đây mô tả một cấu hình mạng như vậy: Hình 1.25: Wireless VPN Khi VPN server được cung cấp vào trong một Gateway, quá trình xảy ra tương tự, chỉ có điều sau khi client liên kết với AP, đường hầm VPN được thiết lập với thiết bị gateway thay vì với bản thân AP. VPN tạo ra một tin cậy cao thông qua việc sử dụng IPsec. IPsec dùng các thuật toán mạnh như DES (Data Encryption Standard) và 3DES (Triple DES) đê mã hóa dữ liệu và các giải thuật khác để xác thực gói dữ liệu. IPsec cũng sử dụng thẻ xác nhận số để xác nhận khóa mã (khóa công khai public key). Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa. 1.2.2.5. Wireless Gateway Trên wireless gateway bây giờ sẵn sàng với công nghệ VPN, như là NT, DHCP, PPPoE, WEP, MAC filter và có lẽ thậm chí là một filewall xây dựng sẵn. Những thiết bị này đủ cho các văn phòng nhỏ với một vài trạm làm việc và dùng chúng kết nối tới internet. Giá của những thiết bị này rất thay đổi phụ thuộc vào phạm vi những dịch vụ được đề nghị. Những wireless gateway trên mạng quy mô lớn hơn là một sự thích nghi đặc biệt của VPN và server chứng thực cho WLAN. Gateway này nằm trên đoạn mạng hữu tuyến giữa AP và mạng hữu tuyến. Như tên của nó, gateway điều khiển sự truy nhập từ WLAN lên đoạn mạng hữu tuyến, vì thế trong khi mộtattacker có thể lắng nghe hoặc truy cập được tới đoạn mạng không dây, gateway bảo vệ hệ thống phân bố hữu tuyến khỏi sự tấn công. Một ví dụ một trường hợp tốt nhất để triển khai mô hình gateway như vậy có thể là hoàn cảnh sau: giả thiết một bệnh viện đã sử dụng 40 AP trên vài tầng của bệnh viện. Vốn đầu tư của họ vào đây là khá lớn, vì thế nếu các AP không hỗ trợ các biện pháp an toàn mà có thể nâng cấp, thì để tăng tính bảo mật, bệnh viện đó phải thay toàn bộ số AP. Trong khi đó nếu họ thuê một gateway thì công việc này sẽ đơn giản và đỡ tốn kém hơn nhiều. Gateway này có thể được kết nối giữa chuyển mạch lõi và chuyển mạch phân bố (mà nối tới AP) và có thể đóng vai trò của server chứng thực, server VPN mà qua đó tất cả các client không dây có thể kết nối. Thay vì triển khai tất cả các AP mới, một (hoặc nhiều hơn tùy thuộc quy mô mạng) gateway có thể được cài đặt đàng sau các AP. Sử dụng kiểu gateway này cung cấp một sự an toàn thay cho nhóm các AP. Đa số các gateway mạng không dây hỗ trợ một mảng các giao thức như PPTP, IPsec, L2TP, chứng thực và thậm chí cả QoS. CHƯƠNG 2 QUY TRÌNH KHẢO SÁT MẠNG KHÔNG DÂY 2.1. Chuẩn bị cho khảo sát 2.1.1 Phân tích khu vực khảo sát Người khảo sát cần trả lời được câu hỏi: “Địa điểm khảo sát là dạng nào?”. Đây là yếu tố căn bản nhưng có ảnh hưởng rất lớn đến quá trình làm việc tiếp theo trong giai đoạn khảo sát.Ví dụ: nếu so sánh địa điểm khảo sát là một văn phòng nhỏ với một máy chủ và 20 người sử dụng với một sân bay quốc tế loại lớn, điều dễ thấy đầu tiên là sự khác biệt về kích thước, số lượng người sử dụng, cần lưu ý về yêu cầu bảo mật, yêu cầu băng thông, những nguồn có thể gây nhiễu, ngân sách xây dựng dự án,…Hình thức trả lời cho câu hỏi trên có thể là một bản thiết kế, mô tả viết tay hay sơ đồ tòa nhà (khu vực khảo sát), tùy vào mỗi dạng địa điểm khảo sát mà có những bước chuẩn bị cần thiết thích hợp cho công việc khảo sát. 2.1.2. Những mạng hiện tại Đây cũng là vấn đề căn bản, người khảo sát cần phải biết được khách hàng muốn xây dựng một mạng mới hoàn toàn hay xây dựng một mạng không dây trên cơ sở nâng cấp và tương thích với môi trường mạng hiện tại. Nếu đã tồn tại một mạng trong môi trường hiện tại, cần phải nắm rõ những thành phần trong mạng này như thông tin về phần cứng mạng hiện tại, tần số được sử dụng, số người sử dụng, băng thông, những ưu điểm và yếu điểm của mạng hiện tại,… Khi thực hiện cài đặt mạng không dây, sẽ phát sinh trường hợp xác định được vị trí tối ưu đặt các access point nhưng vị trí đó nằm ngoại phạm vi cho phép kết nối của mạng có dây. Chính vì vậy, xác định được vị trí kết nối với mạng không dây sẽ tiết kiệm được thời gian xác định vị trí đặt access point và triển khai mạng sau này. Những vị trí này cần phải được đánh dấu trên sơ đồ mạng, trên bản thiết kế hay bản đồ khu vực khảo sát. Một điều cần quan tâm nữa là có cung cấp nguồn cho access point bằng Ethernet hay không? Nếu có thì vị trí đặt access point phải nằm trong giới hạn khoảng cách của Ethernet. Có thể đặt access point ngoài tầm bao phủ của mạng nối dây bằng cách sử dụng access point hay bridge không dây ở chế độ lặp, tuy nhiên nên tránh sử dụng giải pháp này nếu có thể. Nên kết nối access point hay bridge không dây vào mạng nối dây. 2.1.3. Khu vực sử dụng và các tháp anten Khảo sát ngoài trời, những tài liệu đã chuẩn bị nên cung cấp những thông tin như có thể mở rộng mạng không dây trong khoảng bao xa là an toàn mà không cần quan tâm đến những hacker. Khi khảo sát ngoài trời, tìm kiếm những vật cản tín hiệu như các tòa nhà xung quanh, cây cối, núi,…Nên kiểm tra tín hiệu các mạng không dây khác tại điểm đặt anten. Nếu một hệ thống chuỗi trực tiếp đang sử dụng kênh 1, và một hệ thống kế đó cũng sử dụng kênh 1, nên ghi chú thông tin này vào báo cáo để có giải pháp thích hợp. Khi thực hiện khảo sát, có thể cần đặt một tháp anten cao 30 foot( ~3m) trên nóc tòa nhà tránh được những vật cản như cây cối, các tòa nhà khác,… trên đường kết nối không dây. Nếu cần thiết phải đặt tháp anten, cần đặt ra những câu hỏi: - Có cần sử dụng mái nhà để đặt anten không? - Có cần sự hỗ trợ của kỹ sư xây dựng hay không? - Có cần phải xin phép hay không? 2.1.4 Yêu cầu về băng thông và chuyển vùng Phải xác định được dung lượng của mạng, cả số người sử dụng đồng thời và thông lượng được mong đợi. Hầu hết các nhà sản xuất đều đưa ra chỉ số người dùng tối đa đối với một access point đảm bảo hiệu suất hoạt động thỏa đáng. Mạng nên được thiết kế với chỉ số thấp hơn chỉ số này. Thêm vào đó, người khảo sát nên đánh giá toàn bộ băng thông mà một access point có thể cung cấp (khoảng 5Mbps đối với 802.11b và khoảng 20Mbps đối với 802.11a và 802.11g), đồng thời xác định access point có thỏa mãn nhu cầu thông lượng của người sử dụng hay không. Lưu ý: nếu một mạng được thiết kế với gần 100% dung lượng, trong tương lai có thể nhanh chóng cung vượt quá cầu, vì vậy nên thiết kế mạng với dung lượng nhiều hơn nhu cầu mà người sử dụng thực sự mong muốn một lượng đủ lớn nhằm dự phòng cho tương lai. 2.1.5. Nguồn tài nguyên sẵn có Những vấn đề cần thảo luận với người quản lý mạng liên quan đến tài nguyên hiện có là ngân sách dành cho dự án, thời gian tối đa hoàn thành dự án, và khách hàng đã có người quản trị mạng không dây được huấn luyện rồi hay chưa? Người khảo sát nên liên hệ với khách hàng để có được tài liệu của lần khảo sát trước đó, những mô hình mạng hiện tại, bản vẽ tòa nhà, bản thiết kế mạng hiện tại nếu có. Cũng có thể khách hàng sẽ không cung cấp những thông tin trên vì lý do bảo mật, trong trường hợp đó người khảo sát sẽ mất nhiều thời gian để tiến hành công việc. 2.1.6. Yêu cầu bảo mật Người quản trị mạng có thể đã không triển khai chính sách bảo mật nào cho mạng hiện tại. Nếu đã tồn tại một mạng không dây, người khảo sát cần những chính sách bảo mật hiện tại trước khi tiến hành khảo sát. Nếu hiện tại khách hàng chưa có chính sách bảo mật nào, người khảo sát sẽ phải đặt ra những câu hỏi về yêu cầu bảo mật liên quan đến việc cài đặt mạng không dây. Trong suốt giai đoạn thiết kế tích hợp mạng không dây (giai đoạn này không thuộc quy trình khảo sát), ngư

Các file đính kèm theo tài liệu này:

  • docBảo mật trong mạng không dây.doc