Quá trình chứng thực 802.1x-EAP :
1. AP sẽ chặn lại thông tin của client khi client log on vào mạng, khi đó Client yêu cầu liên kết tới AP
2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP
3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP
4. Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng thực
5. Server chứng thực gửi một yêu cầu cho phép tới AP
6. AP chuyển yêu cầu cho phép tới client
7. Client gửi trả lời sự cấp phép EAP tới AP
8. AP chuyển sự trả lời đó tới Server chứng thực
9. Server chứng thực gửi một thông báo thành công EAP tới AP
10. AP chuyển thông báo thành công tới client và đặt cổng của client trong chế độ forward.
29 trang |
Chia sẻ: maiphuongdc | Lượt xem: 2720 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Đề tài Bảo mật WLAN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
BẢO MẬT WLAN KHOA CÔNG NGHỆ THÔNG TIN Đề tài: Huỳnh Bá Thành Hiếu Nguyễn Vương Nghị Nguyễn Như Bá Thành Phạm Trương Vy Ta Nguyễn Thị Bích Diệp Nguyễn Lê Mai Duyên * NỘI DUNG SẼ TRÌNH BÀY * * CÁC CHUẨN THÔNG DỤNG CỦA WLAN * CẤU TRÚC VÀ CÁC MÔ HÌNH WLAN * * Sai lầm 1. Không thay đổi mật khẩu Sai lầm 2. Không kích hoạt tính năng mã hóa.Sai lầm 3. Không kiểm tra chế độ bảo mật.Sai lầm 4. Thiết lập bảo mật mà không nhớ địa chỉ MAC của máy chủ.Sai lầm 5. Cho phép mọi người truy cập. THỰC TRẠNG VỀ BẢO MẬT WLAN * CÁC HÌNH THỨC TẤN CÔNG WLAN * Các cấp độ về bảo mật WLAN Truy cập từ xa Virtual Private Network Business Traveler Telecommuter * Chỉ có những người dùng được xác thực mới có khả năng truy cập vào mạng Sử dụng phương thức mã hoá trong quá trình truyền các thông tin quan trọng. Bảo mật các thông tin và cảnh báo nguy cơ bảo mật bằng hệ thống IDS và IPS. Xác thực và bảo mật dữ liệu bằng cách mã hoá thông tin truyền trên mạng. Cách thức bảo mật WLAN * WEP WLAN VPN TKIP AES 802.11x & EAP WPA WPA2 FILTERING * Bảo mật tương đương với mạng có dây, đảm bảo tính bảo mật cho mạng không dây đạt mức độ như là mạng nối cáp truyền thống. Cung cấp bảo mật cho dữ liệu trên mạng không dây qua phương thức mã hóa sử dụng thuật toán đối xứng RC4 * Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. * Sử dụng một cơ chế bảo mật IPSec để mã hóa dữ liệu và xác thực gói dữ liệu. Cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa. * TKIP chống lại việc giả mạo gói tin và kiểm tra tính toàn vẹn của thông điệp để đảm bảo tính chính xác của gói tin. TKIP sử dụng khóa động để chống lại dạng tấn công giả mạo. * Là một thuật toán mã hóa khối được chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa. Thuật toán được thiết kế bởi hai nhà mật mã học người Bỉ: Joan Daemen và Vincent Rijmen * 802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) .Hoạt động trên cả môi trường có dây truyền thống và không dây. EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, cetificate,…), giao thức được sử dụng (MD5, TLS_Transport Layer Security)hỗ trợ tự động sinh khóa và xác thực lẫn nhau. * Quá trình chứng thực 802.1x-EAP :1. AP sẽ chặn lại thông tin của client khi client log on vào mạng, khi đó Client yêu cầu liên kết tới AP2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP4. Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng thực5. Server chứng thực gửi một yêu cầu cho phép tới AP6. AP chuyển yêu cầu cho phép tới client7. Client gửi trả lời sự cấp phép EAP tới AP8. AP chuyển sự trả lời đó tới Server chứng thực9. Server chứng thực gửi một thông báo thành công EAP tới AP10. AP chuyển thông báo thành công tới client và đặt cổng của client trong chế độ forward. * WPA ra đời để khắc phục được nhiều nhược điểm của WEP. WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu và kiểm tra tính toàn vẹn của thông tin * WPA là sử dụng hàm thay đổi khoá TKIP và thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. WPA có 2 lựa chọn: WPA Personal và WPA Enterprise * Sử dụng chuẩn 802.11ivà sử dụng thuật toán mã hoá nâng cao AES Chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mỹ để bảo vệ các thông tin nhạy cảm * Lọc là cơ chế bảo mật cơ bản hoạt động giống như Access list trên router, cấm những cái không mong muốn và cho phép những cái mong muốn. Có 3 kiểu lọc cơ bản Lọc SSID Lọc địa chỉ MAC Lọc giao thức * * * Giao thức RADIUS: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập cho các phiên làm việc với SLIP và PPP Dial-up. RADIUS là một giải pháp tốt cung cấp xác thực cho chuẩn 802.1x. RADIUS dùng cho các doanh nghiệp có quy mô lớn để bảo vệ và quản lý việc truy cập trong mạng không dây. RADIUS dùng để tính cước dựa trên tài nguyên đã sử dụng. VÀI NÉT VỀ RADIUS * Trao đổi thông tin trong chứng thực EAP * Cấu hình RADIUS server trên Window Server 2003, tạo user và password cho các client dự định tham gia vào mạng. Trên AP Linksys, thiết đặt security mode là WPA2-Enterprise. Cho PC tham gia vào mạng, kiểm tra kết nối. 1 Access point Linksys WRT54G, 2 pc (1 pc có gắn card wireless và 1 pc làm Radius server). PC làm Radius server sử dụng hệ điều hành Windows Server 2003 Enterprise Edition và đã được nâng lên Domain Controller, PC làm wireless client sử dụng hệ điều hành Windows XP Professional MÔ TẢ YÊU CẦU * Bước 1: Cài DHCP Bước 2: Cài Enterprise CA Bước 3: Cài Radius Bước 4: Chuyển sang Native Mode Bước 5: Cấu hình DHCP Bước 6: Cấu hình Radius Bước 7: Tạo users, cấp quyền Remote access cho users và cho computer Bước 8: Tạo Remote Access Policy Bước 9: Cấu hình AP và khai báo địa chỉ máy RADIUS Bước 10: Cấu hình Wireless Client QUY TRÌNH CÀI DẶT * DEMO * *
Các file đính kèm theo tài liệu này:
- Bao cao nhom 11 - Ky thuat truyen so lieu.ppt