Luận văn Một số vấn đề an ninh trong mạng máy tính không dây

Tài liệu Luận văn Một số vấn đề an ninh trong mạng máy tính không dây: Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên ĐẠI HỌC THÁI NGUYÊN KHOA CÔNG NGHỆ THÔNG TIN PHẠM HỒNG VIỆT MỘT SỐ VẤN ĐỀ AN NINH TRONG MẠNG MÁY TÍNH KHÔNG DÂY LUẬN VĂN THẠC SĨ THÁI NGUYÊN - 2009 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên ĐẠI HỌC THÁI NGUYÊN KHOA CÔNG NGHỆ THÔNG TIN PHẠM HỒNG VIỆT MỘT SỐ VẤN ĐỀ AN NINH TRONG MẠNG MÁY TÍNH KHÔNG DÂY Chuyên Ngành: Khoa Học Máy Tính Mã số: 604801 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS. NGUYỄN GIA HIỂU Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên THÁI NGUYÊN - 2009 MỤC LỤC Trang DANH MỤC CHỮ VIẾT TẮT i DANH MỤC HÌNH VẼ ii LỜI CẢM ƠN iii MỞ ĐẦU 1 CHƯƠNG I . TỔNG QUAN VỀ MẠNG KHÔNG DÂY 2 I. GIỚI THIỆU CHUNG 2 1. Giới thiệu 2 2. Quá trình phát triển 4 II. CÔNG NGHỆ CHO MẠNG KHÔNG DÂY 5 1. Công nghệ trải phổ 5 1.1 Công nghệ trải phổ trực tiếp 6 1.2 Công nghệ trải phổ nhẩy tần 8 1.3 OFDM- Ghép kênh phân chia theo tần số trực giao 10 2. ...

pdf100 trang | Chia sẻ: hunglv | Lượt xem: 1303 | Lượt tải: 1download
Bạn đang xem trước 20 trang mẫu tài liệu Luận văn Một số vấn đề an ninh trong mạng máy tính không dây, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên ĐẠI HỌC THÁI NGUYÊN KHOA CÔNG NGHỆ THÔNG TIN PHẠM HỒNG VIỆT MỘT SỐ VẤN ĐỀ AN NINH TRONG MẠNG MÁY TÍNH KHÔNG DÂY LUẬN VĂN THẠC SĨ THÁI NGUYÊN - 2009 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên ĐẠI HỌC THÁI NGUYÊN KHOA CÔNG NGHỆ THÔNG TIN PHẠM HỒNG VIỆT MỘT SỐ VẤN ĐỀ AN NINH TRONG MẠNG MÁY TÍNH KHÔNG DÂY Chuyên Ngành: Khoa Học Máy Tính Mã số: 604801 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS. NGUYỄN GIA HIỂU Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên THÁI NGUYÊN - 2009 MỤC LỤC Trang DANH MỤC CHỮ VIẾT TẮT i DANH MỤC HÌNH VẼ ii LỜI CẢM ƠN iii MỞ ĐẦU 1 CHƯƠNG I . TỔNG QUAN VỀ MẠNG KHÔNG DÂY 2 I. GIỚI THIỆU CHUNG 2 1. Giới thiệu 2 2. Quá trình phát triển 4 II. CÔNG NGHỆ CHO MẠNG KHÔNG DÂY 5 1. Công nghệ trải phổ 5 1.1 Công nghệ trải phổ trực tiếp 6 1.2 Công nghệ trải phổ nhẩy tần 8 1.3 OFDM- Ghép kênh phân chia theo tần số trực giao 10 2. Một số thành phần kỹ thuật khác 11 2.1 Đa truy cập cảm ứng sóng mang – Tránh xung đột CSMA/CA 11 2.2 Yêu cầu và sẵn sàng gửi RTS/CTS 12 III. MÔ HÌNH HOẠT ĐỘNG CỦA MẠNG KHÔNG DÂY 13 1. Phương thức Adhoc WLAN (IBSS) 13 2. Phương thức InFraStructure (BSS) 14 3. Mô hình mạng diện rộng (WiMax) 16 IV. CÁC CHUẨN CỦA MẠNG KHÔNG DÂY 16 1. Chuẩn 802.11.WLAN 16 1.1 IEEE 802.11 17 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 1.2 IEEE 802.11b 17 1.3 IEEE 802.11a 19 1.4 IEEE 802.11g 20 1.5 IEEE 802.11e 21 2. Chuẩn 802.16.Broadband wireless 22 3. Chuẩn 802.15.Bluetooth 22 V. BẢO MẬT TRONG MẠNG KHÔNG DÂY 22 1. Bảo mật với WEP 22 2. Bảo mật với TKIP 23 CHƯƠNG II . AN NINH TRONG MẠNG KHÔNG DÂY 24 I. VẤN ĐỀ AN NINH TRONG MẠNG KHÔNG DÂY 24 II. CÁC LOẠI HÌNH TẤN CÔNG MẠNG KHÔNG DÂY 25 1. Tấn công bị động - Passive attacks 25 1.1 Định nghĩa 25 1.2 Phương thức bắt gói tin (Sniffing) 25 2. Tấn công chủ động - Active attacks 27 2.1 Định nghĩa 27 2.2 Mạo danh, truy cập trái phép 27 2.3 Sửa đổi thông tin 28 2.4 Tấn công từ chối dịch vụ (DOS) 28 3. Tấn công kiểu chèn ép - Jamming attacks 30 4. Tấn công theo kiểu thu hút - Man in the middle attacks 30 III. GIẢI PHÁP KHẮC PHỤC 31 1. Quy trình xây dựng hệ thống thông tin an toàn 31 1.1 Đánh giá và lập kế hoạch 31 1.2 Phân tích hệ thống và thiết kế 31 1.3 Áp dụng vào thực tế 31 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 1.4 Duy trì và bảo dưỡng 32 2. Các biện pháp và công cụ bảo mật hệ thống 32 2.1. Các biện pháp 32 2.1.1 Kiểm soát truy nhập 32 2.1.2 Kiểm soát sự xác thực người dùng (Authentication) 32 2.1.3 Tăng cường nhận thức người dùng 33 2.2. Các công cụ bảo mật hệ thống 33 2.2.1. Chứng thực bằng địa chỉ MAC 33 2.2.2. Chứng thực bằng SSID 35 2.2.3. Chữ ký điện tử 36 2.3. Mã hóa dữ liệu 37 2.3.1. Sử dụng hệ mật mã DES 37 2.3.2. Sử dụng hệ mật mã RSA 38 2.4. Phương thức chứng thực và mã hóa WEP 39 2.4.1. Phương thức chứng thực 40 2.4.2. Cách mã hoá WEP 42 2.4.3. Cách giải mã WEP 44 2.4.4. Quản lý mã khoá 45 2.4.5. Các ưu nhược điểm của WEP 46 2.5. Giao thức bảo toàn dữ liệu với khoá theo thời gian TKIP 47 2.5.1. Bảo mật với TKIP 47 IV. CHUẨN XÁC THỰC 50 1. Nguyên lý RADIUS Server 50 2. Phương thức chứng thực mở rộng EAP 52 2.1. Bản tin EAP 53 2.2. Các bản tin yêu cầu và trả lời EAP 53 2.2.1. Loại code 1: Identity 54 2.2.2. Loại code 2: Notification (Thông báo) 54 2.2.3. Loại code 3: NAK 55 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 2.2.4. Loại code 4: Chuỗi MD5 (MD5 Challenge) 55 2.2.5. Loại code 5: One - time password (OPT) 55 2.2.6. Loại code 6: Đặc điểm thẻ Token 55 2.2.7. Loại code 13: TLS 56 2.2.8. Các loại mã khác 56 2.3. Các khung trong EAP 56 2.4. Chứng thực cổng 57 2.5. Kiến trúc và thuật ngữ trong chứng thực EAP 57 2.6. Dạng khung và cách đánh địa chỉ của EAPOL 58 2.6.1. Dạng khung 58 2.6.2. Đánh địa chỉ 59 2.7. Một ví dụ về trao đổi thông tin trong chứng thực EAP 60 CHƯƠNG III . ỨNG DỤNG THỰC TẾ MẠNG KHÔNG DÂY TẠI TRƯỜNG ĐHKTCN. 62 I. MÔ HÌNH MẠNG KHÔNG DÂY TRONG TRƯỜNG ĐHKTCN 62 1. Mô hình logic và sơ đồ phủ sóng vật lý tổng thể tại trường 63 1.1. Mô hình thiết kế logic 63 1.2. Sơ đồ phủ sóng vật lý tổng thể tại trường 64 2. Thiết kế chi tiết của hệ thống 65 2.1. Mô hình thiết kế chi tiết hệ thống mạng không dây 65 2.2. Thiết bị sử dụng trong hệ thống mạng không dây 66 2.3. Phân bổ thiết bị sử dụng trong hệ thống 72 II. GIẢI PHÁP BẢO MẬT TRONG MẠNG KHÔNG DÂY TẠI ĐHKTCN 72 1. Yêu cầu bảo vệ thông tin 73 2. Các bước thực thi an toàn bảo mật cho hệ thống 75 III. CHƯƠNG TRÌNH THỰC TẾ ĐÃ XÂY DỰNG 77 1. Điều khiển các AP thông qua Wireless controler 78 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 2. Chính sách và công cụ bảo mật áp dụng cho hệ thống 79 IV. ĐÁNH GIÁ KẾT QUẢ 84 KẾT LUẬN 86 TÀI LIỆU THAM KHẢO 88 DANH MỤC CHỮ VIẾT TẮT AIS Automated Information System AP Access Point ASCII American Standard Code for Information Interchange BSS Basic Service Set CRC-32 Cyclic Redundancy Check-32 CSMA/CA Carrier Sense Multiple Access/Collision Avoidance DoS Denial-of-Service DSSS Direct Sequence Spread Stpectrum EAP Extensible Authentication Protocol EAPOL EAP over LAN FHSS Frequency Hopping Spread Spectrum FMS Fluhrer, Mantin và Shamir I&A Identification & Authentication ICV Integrity Check Value IDS Intrusion-Detection System IEEE Institute of Electrical and Electronics Engineers IR Infrared IV Initalization vector LAN Local Area Network LEAP Lightweight Extensible Authentication Protocol MAC Media Access Control MIC Message Integrity Check MSDU MAC Service Data Unit PEAP Prtected Extensible Authentication Protocol Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên PED Personal Electronic Device PMK Pairwise Master Key PRNG Pseudo-Random Number Generator RADIUS Remote Authentication Dial In Service RC4 Rivest Code 4 SKA Shared Key Authentication SSID Service Set Identifier SSL Secure Sockets Layer TK Temporal Key TKIP Temporal Key Integrity Protocol TLS Transport Layer Security TTLS Tunneled TLS VPN Virtual Private Network WEP Wired Equivalent Privacy WLAN Wireless Local Area Network WPA WiFi Protected Access OFDM Orthogonal Frequency Division Multiplex ACK Acknowledgement RTS/CTS Request To Send/Clear To Sen IBSS Independent Basic Service Sets BSS Basic service sets ISM Industrial, Scientific, Medical PSK Phase Shift Keying CCK Complementary Code Keying FCC Federal Communications Commission LOS Light of Sight SNMP Simple Network Management Protocol TACACS Terminal Access Controller Access Control System DES Data Encryption Standard Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên IDEA International Data Encryption Algorithm AES Advanced Encryption Standard RSA Rivest, Shamir, Adleman TLS Transport Layer Security EAPOW EAP Over Wireless DANH MỤC HÌNH VẼ Hình 1: Độ nhiễu của tần số Hình 2: Sự mã hoá thông tin của trải phổ chuỗi trực tiếp Hình 3: Chuyển đổi tần số trên các kênh Hình 4: Quá trình gửi RTS/CTS Hình 5: Mô hình mạng Adhoc Hình 6: Mô hình kết nối tập dịch vụ cơ bản BSS Hình 7: Mô hình mạng diện rộng Wimax Hình 8: Phân bố băng tần ISM Hình 9: Mô tả quá trình chứng thực bằng địa chỉ MAC Hình 10: Mô tả quá trình chứng thực bằng SSID Hình 11: Quá trình ký trong message Hình 12: Quá trình mã hoá sử dụng hệ mật mã DES Hình 13: Quá trình mã hoá sử dụng hệ mật mã RSA Hình 14: Mô tả quá trình chứng thực giữa Client và AP Hình 15: Thuật toán mã hóa WEP Hình 16: Quá trình giải mã WEP Hình 17: Quá trình bảo mật dùng TKIP Hình 18: Mô hình chứng thực sử dụng RADIUS Server Hình 19: Quá trình chứng thực RADIUS Server Hình 20: Kiến trúc EAP cơ bản Hình 21: Cấu trúc khung của bản tin yêu cầu và trả lời Hình 22: Cấu trúc các khung EAP thành công và không thành công Hình 23: Cấu trúc cổng Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên Hình 24: Cấu trúc cơ bản của khung EAPOL Hình 25: Quá trình chứng thực EAP Hình 26: Mô hình logic mạng không dây tại trường Hình 27: Mô hình phủ sóng tại trường Hình 28: Sơ đồ phân bố các Access point Hình 29: Giao diện quản trị của WLAN Controler 4420 Hình 30: Hệ thống 10 AP được quản lý Hình 31: Các mức truy cập của hệ thống Hình 32: Các chính sách truy cập của USERS_GV_ACL Hình 33: Các chính sách truy cập của GUEST_ACL Hình 34: Bảo mật lớp 2 của WLAN SSID: Quan tri mang dhktcn Hình 35: Bảo mật lớp 3 của WLAN SSID: Quan tri mang dhktcn Hình 36: Bảo mật của WLAN SSID: Sinh vien dhktcn va Khach Hình 37: Bảo mật của WLAN SSID: Can bo va Giang vien dhktcn Hình 38: Tạo ra các users chứng thực Web Authentication Hình 39: Cấu hình chức năng bảo mật Web Authentication Hình 40: Đăng nhập trong chính sách Web Authentication Hình 41: Bảng MAC Adress Table để chứng thực và quản lý Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên LỜI CẢM ƠN Em xin được gửi lời cảm ơn trân trọng nhất đến thầy giáo PGS.TS. Nguyễn Gia Hiểu, người đã dành nhiều thời gian để hướng dẫn em hoàn thành luận văn này. Em cũng xin được được gửi đến các thầy cô giáo khoa Công nghệ Thông tin, Đại học Thái Nguyên lời cảm ơn sâu sắc vì những kiến thức mà các thầy cô đã giảng dạy cho chúng em trong suốt những năm học tại trường. Được trang bị những kiến thức này đã giúp cho em trưởng thành hơn và có khả năng cống hiến, phục vụ nhiều hơn cho xã hội. Em cũng xin cảm ơn các bạn đồng nghiệp, các bạn cùng học tập, đã trực tiếp hoặc gián tiếp giúp em hoàn thành luận văn này. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 1 MỞ ĐẦU Lần đầu tiên khi Guglinelmo Marconi truyền đi tín hiệu không dây đầu tiên qua một sườn đồi của nước Ý vào năm 1894, công nghệ không dây đã làm thay đổi phương thức gửi và nhận thông tin của con người. Thế giới bước sang thế kỷ 21 ngành công nghệ không dây cũng là một trong những ngành công nghệ mũi nhọn cho sự phát triển của nền kinh tế, đồng thời nó còn là một tiêu trí quan trọng đánh giá sự phát triển của mỗi quốc gia. Việc truy cập không dây cho phép chúng ta có thể truy suất đến các nguồn thông tin tại bất cứ nơi nào trong văn phòng làm việc, sân bay, nhà ga... Điều này giúp chúng ta có thể điều hành công việc từ xa, có thể làm việc ở nơi khác văn phòng hay gửi các báo cáo khi cần thiết, giúp chúng ta ra quyết định nhanh chóng trong công việc. Tuy nhiên chính sự quảng bá và tiện dụng của các hệ thống không dây là những nguyên nhân chính của nhiều vấn đề bảo mật cho hệ thống này. Thông tin là một tài sản quý giá, đảm bảo được an toàn dữ liệu cho người sử dụng là một trong những yêu cầu được đặt ra hàng đầu. Chính vì vậy em đã quyết định chọn đề tài “ Một số vấn đề về bảo mật trong hệ thống mạng không dây ”, làm đề tài tốt nghiệp, với mong muốn tìm hiểu, nghiên cứu các lỗ hổng trong bảo mật cần khắc phục các phương thức tấn công và giải pháp phòng tránh. Do thời gian có hạn và khối lượng kiến thức cần nghiên cứu là vô cùng rộng lớn nên luận văn không thể tránh khỏi những thiếu sót, rất mong sự đóng góp ý kiến của các thầy cô giáo, các nhà chuyên môn và các bạn để luận văn được hoàn thiện hơn và trở thành một cẩm nang tra cứu trong vấn đề bảo mật hệ thống mạng không dây. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 2 CHƢƠNG I TỔNG QUAN VỀ MẠNG KHÔNG DÂY I. GIỚI THIỆU CHUNG 1. Giới thiệu Thuật ngữ “mạng máy tính không dây” nói đến công nghệ cho phép hai hay nhiều máy tính giao tiếp với nhau dùng những giao thức mạng chuẩn nhưng không cần dây cáp mạng. Ưu điểm của mạng máy tính này đã được thể hiện khá rõ trong mọi lĩnh vực của cuộc sống. Đó chính là sự trao đổi, chia sẻ, lưu trữ và bảo vệ thông tin. Mạng máy tính không dây ngay từ khi ra đời nó đã phát triển rất nhanh chóng. Sự phát triển này dựa trên hai nhân tố quan trọng sau đây: - Sự phổ cập của mạng không dây Thời gian gần đây với sự phát triển của công nghệ ,sự hoàn thiện của các chuẩn làm cho giá thành của thiết bị Wireless LAN giảm đồng thời nhu cầu sử dụng Internet càng tăng , tại các nước phát triển các dịch vụ truy nhập Internet không dây đã trở nên phổ cập, bạn có thể ngồi trong tiền sảnh của một khách sạn và truy nhập Internet từ máy tính xách tay của mình một cách dễ dàng thông qua kết nối không dây.Với những lợi ích mà Wireless LAN đem lại, ngày nay công nghệ này được ứng dụng rất nhiều tại các cơ quan công lập, các trường đại học, các doanh nghiệp hay thậm chí tại các khu công cộng. Chính những đặc tính dễ mở rộng và quản lý bảo trì đã tạo ra một sự phổ cập rộng lớn của công nghệ mạng không dây không chỉ tại những nước phát triển có công nghệ tiên tiến mà trên toàn thế giới. - Sự thuận tiện Mạng máy tính không dây đang nhanh chóng trở thành một mạng cốt lõi trong các mạng máy tính và đang phát triển vượt trội. Với công nghệ này, những Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 3 người sử dụng có thể truy xuất thông tin của mình mà không phải tìm kiếm chỗ để nối dây mạng, chúng ta có thể mở rộng phạm vi mạng mà không cần lắp đặt hoặc di chuyển dây. Các mạng máy tính không dây có ưu điểm về hiệu suất, sự thuận tiện, cụ thể như sau: - Tính di động : Những người sử dụng mạng máy tính không dây có thể truy nhập nguồn thông tin ở bất kỳ nơi nào. Tính di động này sẽ tăng năng suất và tính kịp thời của các quyết định, thỏa mãn nhu cầu về thông tin mà mạng có dây không thể có được. - Tính đơn giản : Lắp đặt, thiết lập, kết nối một mạng máy tính không dây là rất dễ dàng, đơn giản và có thể tránh được việc kéo cáp qua các bức tường và trần nhà. - Tính linh hoạt : Có thể triển khai ở những nơi mà mạng máy tính có dây khó có thể triển khai được. - Khả năng vô hướng : các mạng máy tính không dây có thể được cấu hình theo các topo khác nhau để đáp ứng các nhu cầu ứng dụng và lắp đặt cụ thể. Các cấu hình dễ dàng thay đổi từ các mạng ngang hàng thích hợp cho một số lượng nhỏ người sử dụng đến các mạng có cơ sở hạ tầng đầy đủ dành cho hàng nghìn người sử dụng mà có khả năng di chuyển trên một vùng rộng. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 4 2. Quá trình phát triển Công nghệ này tuân theo rất nhiều các tiêu chuẩn và cung cấp nhiều mức bảo mật khác nhau. Nhờ vào các tiêu chuẩn này mà các sản phẩm được sản suất một cách đa dạng, các nhà sản suất có thể kết hợp cùng nhau trong việc chế tạo cùng một sản phẩm, hay mỗi phần của sản phẩm do một nhà cung cấp chế tạo nhưng đều tuân theo một tiêu chuẩn chung được quy định. Trong phạm vi của đồ án em xin trình bầy cơ bản về chuẩn 802.11 của mạng không dây, chuẩn này được đưa ra vào năm 1997 bởi tổ chức IEEE (Institute of Electrical and Electronics Engineers) Học viện các kỹ sư Điện và Điện tử của Mĩ. Chuẩn này được thiết kế để hỗ trợ các ứng dụng có tốc độ trao đổi dữ liệu ở tầm trung và tầm cao. Chuẩn 802.11 là chuẩn nguyên thuỷ của mạng không dây WLAN, vào năm 1999 chuẩn 802.11a ra đời hoạt động ở dải tần 5GHZ, có tốc độ tối đa 54Mbps. Cũng trong năm này chuẩn 802.11b ra đời hoạt động ở dải tần 2,4-2,48 Ghz và hỗ trợ tốc độ 11Mbps. Chuẩn này đang được sử dụng rộng rãi trong các hệ thống mạng không dây, cung cấp được tốc độ phù hợp cho phần lớn các ứng dụng. Chuẩn 802.11g là chuẩn mới được giới thiệu vào năm 2003 cũng hoạt động ở cùng dải tần với 802.11b cho phép tốc độ truyền đạt tới 54Mbps, do nó tương thích với 802.11b nên chuẩn này nhanh chóng chiếm lĩnh được thị trường và đang được sử dụng nhiều trên thế giới. Chuẩn 802.11e đang được nghiên cứu để phát triển và có khả năng hỗ trợ các ứng dụng cần băng thông lớn. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 5 II. CÔNG NGHỆ CHO MẠNG KHÔNG DÂY Năm 1977 IEEE đưa ra chuẩn đầu tiên 820.11 hỗ trợ 3 công nghệ - Sóng hồng ngoại IR (Infrared) : Giải thông thấp, ánh sáng mặt trời có thể làm ảnh hưởng tới sóng hồng ngoại nên IR ít được sử dụng rộng rãi. - Trải phổ trực tiếp DSSS (Direct Sequence Spread Stpectrum) - Trải phổ nhẩy tần FHSS (Frequency Hopping Spread Stpectrum) Năm 1999 IEEE đưa ra chuẩn 820.11b và 80211a nhằm mở rộng tốc độ truyền dữ liệu của WLAN. Bảng thống kê chuẩn và công nghệ WLAN Chuẩn Công nghệ Tốc độ(Mbps) Băng tần(Ghz) Lớp mạng 802.11 DSSS,FHSS,IR 1,2 2,4 - 2,48 WLAN 802.11a OFDM 6,9,12,18,24,36,48,54 5 WLAN 802.11b DSSS 1,2 - 5,5 - 11 2,4 - 2,48 WLAN BlueTooth FHSS 1 2,4 - 2,48 PAN 802.11g OFDM 54 2,4 - 2,48 WLAN 1. Công nghệ trải phổ Hầu hết chuẩn giao tiếp cho mạng LAN không dây là sử dụng công nghệ trải phổ. Một công nghệ sóng vô tuyến tần số rộng được phát triển trong quân đội để ứng dụng trong các hệ thống thống thông tin liên lạc cần sự bí mật. Công nghệ này sử dụng chế độ truyền sóng vô tuyến, phát đi các tín hiệu quảng bá trong một phạm vi tần số nào đó. Thiết bị thu nhận tín hiệu cũng phải được đồng bộ với thiết bị phát về tấn số để có thể tiếp nhận được các tín hiệu đó. Sử dụng công nghệ này giúp các thiết bị di động tránh được nhiễu thường xẩy ra trong các hệ thống có băng thông hẹp. Công nghệ này sử dụng chế độ truyền thông tin tiêu Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 6 tốn nhiều băng thông hơn, nhưng có tín hiệu mạnh hơn và dễ nhận biết bởi các thiết bị khác. Vì thế công nghệ này chấp nhận giảm bớt hiệu quả băng thông để đổi lấy sự bảo mật, toàn vẹn thông tin và sự tin cậy của tín hiệu truyền đi. Hình 1: Độ nhiễu của tần số Nhìn hình vẽ trên ta thấy rằng nhiễu có thể anh hưởng rất lớn tới những tín hiệu băng thông hẹp nhưng đối với tín hiệu băng thông rộng thì ảnh hưởng đó giảm đi rất nhiều. Hiện tại có hai công nghệ trải phổ được sử dụng phổ biến như nhau trong hệ thống mạng không dây là DSSS (Direct Sequence Spread Stpectrum) và FHSS (frequency hopping spread Stpectrum). 1.1 Công nghệ trải phổ trực tiếp DSSS DSSS là công nghệ trải phổ tần số rộng sử dụng phương pháp tạo ra một mẫu bit thừa cho mỗi bit sẽ truyền đi, bit này được gọi là chip hoặc mã chip. Mã chip càng dài thì khả năng khôi phục tín hiệu gốc càng cao nhưng việc sử dụng mã chip này cũng đòi hỏi tốn nhiều băng thông hơn so với truyền thông băng hẹp. Tỷ lệ số chip sử dụng trên một bit được gọi là tỷ lệ trải phổ, tỷ lệ này càng cao càng tăng khả năng chống nhiễu cho việc truyền tín hiệu, nếu tỷ lệ này Tần số hẹp Tần số rộng Tần số Nhiễu Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 7 thấp sẽ làm tăng băng thông cho các thiết bị di động. Các thuật toán được sử dụng có thể khôi phục lại thông tin gốc nếu một vài bit lỗi trong quá trình truyền thông tin mà không cần yêu cầu gửi lại gói tin. Hình 2: Sự mã hoá thông tin của trải phổ chuỗi trực tiếp Hình trên cho thấy một ví dụ về hoạt động của trải phổ chuỗi trực tiếp. Mỗi bit tin được mã hoá thành một chuỗi các bit (gọi là chip/mã chip). 1 được mã hoá thành 00010011100 0 được mã hoá thành 11101100011 Như vậy việc gửi chuỗi nhị phân 101 sẽ thành gửi đi chuỗi: 00010011100 11101100011 00010011100 Các mã chip thông thường nghịch đảo lẫn nhau, điều này làm cho DSSS đối phó tốt với nhiễu và kể cả một phần bản tin có thể bị nhiễu, vẫn có thể khôi phục lại bản tin gốc. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 8 Biểu đồ phân bố kênh của DSSS Kênh Tần số thấp Tần số trung tâm Tần số cao 1 2.401 2.412 2.423 2 2.404 2.417 2.428 3 2.411 2.422 2.433 4 2.416 2.427 2.438 5 2.421 2.432 2.443 6 2.426 2.437 2.448 7 2.431 2.442 2.453 8 2.436 2.447 2.458 9 2.441 2.452 2.463 10 2.446 2.457 2.468 11 2.451 2.462 2.473 DSSS trải rộng ra trên toàn phổ, nên số lượng các kênh không bị chồng chéo lên nhau trong băng tần 2,4GHz là rất ít ( thường là ba kênh) vì vậy số lượng các mạng cùng hoạt động độc lập trong một phạm vi mà không bị nhiễu là rất hạn chế. 1.2 Công nghệ trải phổ nhẩy tần Công nghệ trải phổ nhảy tần FHSS này sử dụng nhiều băng tần hẹp để truyền thông tin thay vì sử dụng băng thông rộng. Một bộ tạo số giả ngẫu nhiên được sử dụng để sinh chuỗi tần số muốn nhẩy tới các chạm phát, thu phải sử dụng cùng một bịi tạo số giả ngẫu nhiên giống nhau và được đồng bộ hoá tại cùng một thời điểm, chúng sẽ nhẩy tới “tần số” một cách đồng thời. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 9 Theo FHSS, Nó có khả năng hạn chế tối đa lượng nhiễu trên băng tần hẹp từ bên ngoài với công nghệ nhảy tần này, hơn hẳn so với DSSS, bởi vì nếu FHSS bị nhiễu tại một kênh nào đó thì nó sẽ chuyển sang kênh tần khác để gửi tín hiệu. Theo quy định của FCC, số lượng kênh tối thiểu được sử dụng trong FHSS là 75 kênh (sau này đã thay đổi thành 15 kênh) và độ trễ tối đa là 400ms trên mỗi kênh. Giao thức 802.11 sử dụng 79 kênh (bước kênh 1Mhz) trải trong dải phổ từ 2.4 Ghz đến 2.483 Ghz với độ trễ là 20ms. Phương pháp FHSS cũng cho phép xây dựng nhiều kênh không bị chồng nhau. Vì số lượng các tần số để chuyển sử được là tương đối nhiều nên trong cùng một phạm vi làm việc, người dùng có thể xây dựng nhiều kênh làm việc khác nhau mà không bị nhiễu như DSSS (tối đa 3 kênh). Một đặc tính khác của FHSS là cho phép sử dụng nhiều điểm truy cập Access Point trong một vùng làm việc nếu như cần thêm lượng băng thông hoặc cần tăng số lượng người truy cập tối đa. Các thiết bị di động sẽ được kết nối một cách ngẫu nhiên đến một trong các Access Point này, điều này là không thực hiện được với DSSS. Cuối cùng, một điều được nhìn thấy rất rõ là sự khuếch đại công suất cho các bộ phát FHSS sẽ hiệu quả hơn nhiều so với DSSS , các thiết bị của hệ FHSS tiêu thụ ít năng lượng hơn. Và khi năng lượng tốn ít hơn, các thiết bị di động sẽ có thể kết nối với thời gian lâu hơn mà không phải thay hay xạc pin. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 10 Hình 3: Chuyển đổi tần số trên các kênh 1.3 OFDM (Orthogonal Frequency Division Multiplex)- Ghép kênh phân chia theo tần số trực giao OFDM được đưa vào áp dụng cho công nghệ truyền thông không dây băng thông rộng nhằm khắc phục một số nhược điểm và tăng khả năng về băng thông cho công nghệ mạng không dây. Tất cả các sóng mạng với tín hiệu OFDM được đồng bộ về thời gian và tần số do vậy nhiễu giữa các tín hiệu có thể điều khiển được. Các sóng mạng này xếp chồng nhau trong miền tần số nhưng không gây ra nhiễu sóng mang vì các sóng mang có tần số trực giao với nhau (mỗi tần số sóng mang là số nguyên lần của tần số cơ bản). Thời gian F2 F3 F4 Tần số Độ trễ 0.625ms Kênh 2 Kênh 1 F1 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 11 01 ff  , 02 2 ff  03 3 ff  04 4 ff  05 5 ff  06 6 ff  .... Số chu kỳ trong một symbol giữa hai sóng mang cạnh nhau chỉ khác nhau là một với OFDM thì hệ thống cần một băng tần bảo vệ giữa các dải tần. Hệ thống OFDM dùng mã sửa sai để hiệu chỉnh gọi là Coded OFDM. 2. Một số thành phần kỹ thuật khác 2.1 Đa truy cập cảm ứng sóng mang - Tránh xung đột CSMA/CA Đa truy cập cảm ứng sóng mang - Tránh xung đột CSMA/CA của WLAN rất giống với đa truy cập cảm ứng sóng mang - Tránh xung đột của Ethemet. Điểm khác ở đây là CSMA/CA nó sẽ chỉ truyền dữ liệu khi bên kia sẵn sàng nhận và không truyền, nhận dữ liệu nào khác trong lúc đó, đây còn gọi là nguyên tắc LBT (listening before talking) - nghe trước khi nói . Do vậy, 802.11 không thể nhận ra được các xung đột theo cách mà mạng Ethernet sử dụng trong phát hiện xung đột của CSMA/CA. Chuẩn 802.11 sử dụng các kỹ thuật tránh xung đột về bản chất là buộc máy phát "nghe trước khi nói". Hơn nữa, sau khi gửi một gói tin đi. Máy thu sẽ đáp lại bằng một khung ACK xác nhận bản tin đã được nhận. Nếu khung ACK không nhận được, máy phát sẽ giả sử rằng bản tin bị mất và sẽ thử phát lại có một vài vấn đề về bảo mật đáng chú ý đối với CSMA/CA và tấn công DOS. Hãy cho rằng kẻ tấn công vào phổ tín hiệu bằng nhiễu. Như vậy, do cơ chế "nghe trước khi nói", các client sẽ không phát và hoạt động mạng sẽ ngưng lại. Hơn nữa, thậm chí khi client xử lý phát được bản tin nếu client không thu được khung ACK, Nó giả sử rằng bản tin bị mất và cố gắng phát lại khung tương tự hết lần này đến lần khác. Khi nó bị tấn công DoS, xảy ra nhiều vấn đề không được đề cập đến trong giao thức 802.11. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 12 2.2 Yêu cầu và sẵn sàng gửi RTS/CTS RTS/CTS (Request To Send/Clear To Sen) là một kỹ thuật quản lý lưu lượng giúp tối thiểu hóa các truyền phát chồng lấn trong môi trường đông đúc . Client sẽ phát một khung RTS và yêu cầu cho phép phát. Sau đó AP sẽ phát một khung CTS để chấp nhận cho phép phát, và client sẽ bắt đầu phát bản tin và chờ ACK để phát tiếp. Việc sử dụng RTS/CTS (và tất cả các khung mở rộng) trong một phòng với số lượng nhỏ các client có thể đưa tới một hiệu suất thực tế kém hơn so với khi chúng ta không sử dụng RTS/CTS. Hình 4: Quá trình gửi RTS/CTS Một lợi thế là RTS/CTS rất hữu ích trong trường hợp một node ẩn. Hãy cho rằng chúng ta có hai client và chúng có thể thấy AP nhưng không thấy lẫn lau. Việc sử dụng RTS/CTS sẽ giúp đảm bảo rằng các client không vô ý cố gắng kết nối trong cùng một thời điểm. Chú ý rằng, RTS/CTS là một cơ cấu: tùy chọn và việc sử dụng nó không được yêu cầu trong đặc tả 802.11. Source Destination RTS CTS DATA A ACK Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 13 III. MÔ HÌNH HOẠT ĐỘNG CỦA MẠNG KHÔNG DÂY 1. Phƣơng thức Adhoc WLAN (IBSS) Phương thức AdHoc được biết đến như là một phương thức không xác định. Chúng hoạt động theo phương thức ngang hàng và không sử dụng AP, các thiết bị cầm tay kết nối trực tiếp với nhau trong mạng. Kết nối Adhoc kiểu này thường được sử dụng trong các môi trường như phòng họp hay nhà hàng khi mà vài thiết bị laptop cần kết nối với nhau và yêu cầu một liên kết tạm thời. Wireless Station Wireless StationWireless Station Wireless Station Hình 5: Mô hình mạng Adhoc Hình trên là một mô hình mạng AdHoc, trong đó các máy client chỉ giao tiếp với nhau trong một phạm vi giống như trong một văn phòng. Nếu một máy client nào muốn kết nối tới bên ngoài thì một máy nào đó trong phòng phải hoạt động đóng vai trò như một gateway và thực hiện dịch vụ truyền tín hiệu. Phương thức AdHoc cũng được đề xuất sử dụng trong các mạng đan xen lớn nơi mà mỗi nút mạng vừa là client vừa là router để chuyển các gói đi khắp mạng. Mặc dù phương thức này không được phổ biến rộng rãi, tuy nhiên nó thường được sử dụng như một thay thế cho Hub khi cần thiết lập mạng tạm thời. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 14 2. Phƣơng thức InFraStructure (BSSs) Wireless Station Wireless StationWireless Station Wireless Station Wireless Station Wireless StationWireless Station Wireless Station Wireless Station Wireless StationW reless Station Wireless Station Wireless Station Wireless StationWireless Station Wireless Station Hình 6: Mô hình kết nối tập dịch vụ cơ bản BSS Hình trên là một ví dụ về mạng 802.11 theo phương thức tập dịch vụ cơ bản. Mỗi thiết bị mạng không dây trong đó đều truyền tín hiệu tới một thiết bị mạng gọi là điểm truy cập (AP - Access Point). Điểm truy cập này hoạt động như một cầu mạng theo chuẩn Ethemet và chuyển các tín hiệu đó tới các mạng thích hợp, mạng dây dẫn hoặc các mạng không dây khác. Trước khi có thể trao đổi dữ liệu, các máy client và AP phải được thiết lập một mối quan hệ hay một sự liên kết. Chỉ khi kết nối đó được thiết lập chính xác, hai trạm kết nối không dây mới có thể trao đổi dữ liệu với nhau được. Sau đây là ba trạng thái cơ bản để bắt đầu tám bước trong quá trình thiết lập liên kết đó : - Chưa chứng thực và không kết nối - Đã chứng thực và chưa kết nối - Đã xác định và đã kết nối Để chuyển tiếp giữa các trạng thái, các thành phần giao tiếp trao đổi với nhau các thông báo gọi là các management frames. Tiến trình này diễn ra như sau : WLAN – Distribution System AP AP Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 15 - Tất cả các điểm truy cập phát một tín hiệu đèn báo management frame tại một khoảng thời gian xác định. - Để liên kết với một điểm truy cập và gia nhập một BSS, các máy client dò tìm tín hiệu hiệu thông báo để phát hiện ra điểm truy cập ở trong phạm vi kết nối. - Máy client lựa chọn BSS để gia nhập theo một cách độc lập - Máy client cũng có thể gửi một yêu cầu thăm dò managenment frame để tìm một điểm truy cập với một giá trị SSID xác định trước. SSID - Ervices Set Indentifier là một giá trị định danh được gán cho điểm truy cập không dây. - Sau khi nhận dạng được điểm truy cập, máy client và điểm truy cập thực hiện việc chứng thực bằng việc trao đổi các thông tin kiểm tra biết trước. - Sau khi chứng thực thành công, máy client chuyển sang trạng thái thứ hai: đã chứng thực và chưa kết nối. - Để chuyển từ trạng thái thứ hai sang trạng thái thứ ba, đã xác định và có kết nối, máy client gửi một yêu cầu liên kết và điểm truy cập sẽ trả lời bằng một tín hiệu xác nhận kết nối. - Các máy client sẽ trở thành ngang hàng trong mạng không dây và có thể truyền dữ liệu trong mạng. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 16 3. Mô hình mạng diện rộng (WiMax) Wireless Network WAN Wireline Network Bridge Building WAN Wireline Network Bridge Building Hình 7: Mô hình mạng diện rộng Wimax Hình trên là mô hình mạng WMAN (Wimax) bao phủ một vùng rộng lớn hơn nhiều mạng WLAN, kết nối nhiều toà nhà qua những khoảng cách địa lý rộng lớn. Công nghệ Wimax dựa trên chuẩn IEEE 802.16 và HiperMAN cho phép các thiết bị truyền thông trong một bán kính lên đến 50km và tốc độ truy nhập mạng lên đến 70 Mbps. IV. CÁC CHUẨN CỦA MẠNG KHÔNG DÂY 1. Chuẩn 802.11.WLAN Chuẩn IEEE 802.11 cung cấp một tập hợp các đặc tả cho mạng LAN không dây được phát triển bởi nhóm các kỹ sư của tổ chức IEEE (Institute of Eleetrical and Electronics Engineers - Học viện các kỹ sư Điện và Điện tử của Mĩ. Chuẩn 802.11 này ra đời vào năm 1989, tập trung vào sự triển khai trong môi trường mạng của các doanh nghiệp lớn, coi một mạng không dây như hệ thống Ethemet. Tổ chức IEEE đã chấp nhận các đặc tả này vào năm 1997. Các đặc tả 802.11 định nghĩa các giao tiếp qua không khí (over-the-air) giữa các thiết bị không dây di động và một trạm làm việc hoặc giữa hai thiết bị di động. Cho tới ngày nay, đã có 4 chuẩn được hoàn thiện trong hệ thống 802.11 WLAN1 WLAN2 WLAN4 WLAN3 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 17 là chuẩn 802.11, 802.11a, 802.11b, 802.11g và một số chuẩn đang trong thời gian hoàn thiện nh 802.11e, 802.11i . . . Tất cả bốn chuẩn đã có sử dụng giao thức Ethemet và CSMA/CA trong việc chia sẻ đường truyền. 1.1 IEEE 802.11 Chuẩn không dây IEEE 802.11 cung cấp các giao tiếp không dây với tốc độ lMbps hoặc 2Mbps trong các dải ISM (Industrial, Scientific, Medical - công nghiệp, nghiên cứu khoa học, y tế ) 2.4 GHz sử dụng FHSS hoặc DSSS. Phương pháp điều biến sử dụng trong 802.11 là PSK (Phase Shift Keying). Thông thường trong một mạng WLAN, các trạm không dây (STA) sẽ có chung một điểm truy cập cố định (AP) làm chức năng cầu nối (bridge) như trong mạng LAN thường. Sự kết hợp một AP với các STA được gọi là BSS (Basic Service Set). Chuẩn 802.11 được thiết kế cho các ứng dụng có tốc độ truyền dữ liệu vừa và lớn như ở các cửa hàng, nhà máy hay doanh nghiệp. Ở đó các giao tiếp không dây được giới hạn và có thể đạt tốc độ truyền dữ liệu lMbps tới 2Mbps. 1.2 IEEE 802.11b Vào năm 1999, Viện kỹ thuật điện và điện tử thông qua một chuẩn mở rộng cho IEEE 802.11 và gọi là IEEE 802.11b. Chuẩn IEEE 802.11b cung cấp việc truyền dữ liệu cho các mạng WLAN trong dải tần số 2.4 GHZ với tốc độ 1 Mbps, 2 Mbps, 5.5 Mbps và có thể đạt tốc độ cao nhất là 11Mpbs. Hầu hết các mạng sử dụng chuẩn 802.11b đều có khả năng giảm tốc độ truyền dữ liệu khi các trạm không dây cách xa AP, nhờ đó các giao tiếp không dây không bị ngắt quãng mặc dù ở một tốc độ rất thấp. IEEE 802.11b là chuẩn không dây được sử dụng phổ biến nhất hiện nay với số lượng lớn các nhà cung cấp cho các đối tượng khách hàng là các doanh nghiệp, gia đình hay các tổ chức, cơ quan nhà nước. IEEE 802.11b giống như Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 18 HomeRF và Bluetooth, sử dụng băng tần 2.4 GHz và phương pháp điều biến tuyến tính được biết đến là CCK (Complementary Code Keying) sử dụng các mã thay đổi của DSSS. Chuẩn 802.11b hay còn được gọi là Wi-fi hoàn toàn tương thích ngược lại với tiêu chuẩn 802.11. Điều biến sử dụng trong 802.11 là PSK trong khi ở 802.11b là CCK cho phép tốc độ truyền dữ liệu cao hơn và ít bị ảnh hưởng của các tác động truyền đa chiều. Tốc độ 11Mbps làm cho công nghệ LAN không dây trở nên thực tế hơn với các doanh nghiệp. Thị trường gia đình cũng được dự đoán sẽ có những bùng nổ trong thời gian tới với chuẩn 802.11b khi các nhà sản xuất mạng LAN có dây truyền thống chuyển sang sản xuất các thiết bị mạng LAN không dây. Tổng hợp các đặc trưng cơ bản của 802.11b - Tần số : 2.4Ghz - Số kênh : 11 (3 kênh độc lập) - Tốc độ tối đa : 11 Mbps - Tầm phủ sóng : 100 m - Phương pháp trải phổ : DSSS - Kỹ thuật điều biến : DBPSK (lMbps) DQBSK (2Mbps) CCK (5.5Mbps và 11Mbps) 802.11b hoạt động trong miền tần số 2.4-2.4835, dải tần này thường được xem như là băng phân mảnh bởi quá nhiều thiết bị khác cùng chia sẻ (2.4Ghz là một phần băng tần công nghiệp, khoa học và y tế) Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 19 Hình 8: Phân bố băng tần ISM Vào năm 1985, FCC (Federal Communications Commission - Uỷ ban truyền thông Liên bang Mĩ phân bổ ba dải tần trên như dải tần không cần đăng ký, tức là không yêu cầu cấp quyền FCC đặc biệt nào để cho các thiết bị hoạt động ở tần số đó, tuy nhiên, người dùng được yêu cầu giới hạn công suất của các thiết bị. Chính vì lý do đó, trong băng tần này tràn ngập các thiết bị không dây cùng hoạt động, nên khả năng nhiễu cũng gia tăng nhiều hơn. Về mặt tích cực thì băng tần này có mặt trên toàn cầu, mỗi quốc gia có chuẩn riêng của mình cho việc quản lý tần số, FCC chỉ có áp dụng cho nước Mĩ. 1.3 IEEE 802.11a Như đã chú ý, IEEE 802.11a xuất hiện sau IEEE 802.11b. Chuẩn IEEE 802.11 a được đưa ra trong nỗ lực khắc phục một số vấn đề chính phát sinh trong thời gian đầu triển khai 802.11 và 802.11b. Nó hoạt động trong dải tần số từ 5 Ghz đến 6 GHZ sử dụng phương pháp điều biến OFDM (Orthogonal Frequency Division Multiplexing - đa tần trực giao) có thể nâng tốc độ truyền dữ liệu tối đa lên tới 54 Mbps (thông thường là 6 Mbps, 12 Mbps, 24 Mbps). Một trong những điểm mạnh của hệ thống 802.11a là rất ít khi bị nhiễu vì nó hoạt động ở tần số cao 5Ghz và sử dụng công nghệ OFDM thay vì các công nghệ trải phổ. Tuy nhiên, chú ý rằng tần số 5Ghz là tần số đã được sử dụng tại một số nước, không phải là tần số phổ biến như 2.4Ghz. 26Mhz 83.5Mhz 125Mhz 5.850 Mhz 5.725 Mhz 2.4835 Mhz 2.4 Mhz 928 Mhz 902 Mhz Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 20 Mặc dù rất nhiều nhà cung cấp đang phát triển các thiết bị để mở rộng dòng sản phẩm 802.11b với các linh kiện của 802.11a nhưng công nghệ này vẫn còn mới và các lỗi kỹ thuật là không thể tránh khỏi. Ví dụ khi triển khai cho một số mạng WLAN thì sự hoạt động của mạng không đạt được như các thông số về mặt lý thuyết. Một cản trở chính cho các doanh nghiệp tiếp cận các sản phẩm 802.11 a là tốc độ truyền dữ liệu kém xa với tốc độ lý thuyết. Nhiều doanh nghiệp cảm thấy rằng 802.11a thậm chí còn không tin cậy bằng 802.11b, chính vì vậy họ vẫn tiếp tục phát triển hệ thống cũ. Một vấn đề khác là chuẩn 802.11a không tương thích ngược với chuẩn mạng 802.11b đang rất phổ biến. Tổng hợp các đặc trưng cơ bản của 802.11a - Tần số : 5 Ghz - Số kênh : 12 - Tốc độ tối đa : 54 Mbps - Tầm phủ sóng : 20 in - Kỹ thuật điều biến : DBPSK (6 và 9 Mbps) QBSK (12 và 18Mbps) 16-QAM (24 và 36Mbps) 64-QAM (48 và 54Mbps) 1.4 IEEE 802.11g Chuẩn được đưa ra năm 2003 IEEE 802.11g hỗ trợ việc truyền dữ liệu trong khoảng cách tương đối ngắn với tốc độ 20 Mbps đến 54 Mbps. Giống như 802.11b, 802.11g hoạt động trong dải tần số 2.4 GHZ và vì thế có tính tương thích với các mạng 802.11b, đây chính là điểm mạnh nhất của chuẩn 802.11g so với 802.11a. Tuy nhiên, chú ý rằng khi làm việc với một thiết Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 21 bị 802.11b, tốc độ tối đa của chuẩn sẽ giảm xuống 1 Mbps để đảm bảo tính tương thích cũng như đảm bảo chất lượng dữ liệu truyền. Vấn đề của chuẩn 802.11g là nó vẫn hoạt động ở trong dải tần 2.4Ghz nên chỉ có 3 kênh hoạt động độc lập và khó tránh khỏi việc nhiễu nếu trong môi trường có nhiều thiết bị phát sóng cùng dải tần đang hoạt động. Tổng hợp các đặc trng cơ bản của 802.11a - Tần số : 2.4 Ghz - Số kênh : 11 (3 kênh độc lập) - Tốc độ tối đa : 54 Mbps - Tầm phủ sóng : 100 in - Lược đồ mã hoá : OFDM - Kỹ thuật điều biến : DBPSK (1 Mbps) DQPSK (2 Mbps) CCK (5.5 và 11 Mbps) OFDM (6, 12, 18, 36, 48 và 54Mbps) 1.5 IEEE 802.11e Chuẩn không dây mới nhất IEEE 802.11e sẽ tập trung vào việc giao tác giữa doanh nghiệp, gia đình và môi trường công cộng như sân bay khách sạn. Không giống như các chuẩn khác, đây là chuẩn không dây đầu tiên tạo sự liên kết giữa doanh nghiệp và gia đình. Nó cũng thêm đặc điểm QoS và hỗ trợ multimedia cho 802.11a và 802.11b trong khi vẫn đảm bảo giao tiếp với các chuẩn này. QoS và hỗ trợ multimedia là các yếu tố cần thiết để cung cấp các dịch vụ VOD, AOD, VoIP và truy cập Internet tốc độ cao. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 22 2. Chuẩn 802.16 Broadband wireless Chuẩn 802.16 được ra đời khoảng tháng 4/2002, bắt đầu phục vụ từ giữa năm 2004, chuẩn IEEE 802.16 (WiMAX) sẽ là công nghệ không dây mang tính cách mạng trong ngành công nghiệp dịch vụ không dây băng rộng. Lớp MAC 802.16 hỗ trợ nền tảng point-to-multipoint trên băng tần 10-66 GHZ, tốc độ truyền tải dữ liệu từ 75Mbps tới 120Mbps. Sử dụng công nghệ OFDM, tương tự như 802.11a và 802.11g. 3. Chuẩn 802.15.Bluetooth Bluetooth hoạt động ở dải tần 2.4Ghz, sử dụng phương thức trải phổ FHSS. Trong mạng Bluetooth, các phần tử có thể kết nối với nhau theo kiểu Adhoc ngang hàng hoặc theo kiểu tập trung, có 1 máy xử lý chính và có tối đa là 7 máy có thể kết nối vào. Khoảng cách chuẩn để kết nối giữa 2 đầu là 10 mét, nó có thể truyền qua tường, qua các đồ đạc vì công nghệ này không đòi hỏi đường truyền phải là tầm nhìn thẳng (LOS - Light of Sight). Tốc độ dữ liệu tối đa là 740Kbps (tốc độ của dòng bit lúc đó tương ứng khoảng 1Mbps. Nhìn chung thì công nghệ này còn có giá cả cao. V. BẢO MẬT TRONG MẠNG KHÔNG DÂY 1. Bảo mật với WEP Sóng vô tuyến lan truyền trong môi trường mạng có thể bị kẻ tấn công bắt sóng được và có thể thực hiện các ý đồ lấy cắp thông tin. Điều này thực sự là mối đe doạ nghiêm trọng. Để bảo vệ dữ liệu khỏi bị nghe trộm, nhiều dạng mã hóa dữ liệu đã được dùng. Đôi khi các dạng mã hóa này thành công, một số khác thì có tính chất ngược lại, do đó làm phá vỡ sự an toàn của dữ liệu. Chính vì vậy việc bảo vệ mạng không dây càng trở nên cấp thiết và phức tạp. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 23 Mục tiêu của việc bảo mật bao gồm: - Xác thực bất kỳ một máy chạm nào truy cập vào mạng không dây - Bảo mật luồng dữ liệu trao đổi trên mạng không dây - Chống sửa chữa thay đổi dữ liệu trên mạng không dây Phương thức chứng thực qua SSID khá đơn giản, chính vì vậy mà nó chưa đảm bảo được yêu cầu bảo mật, mặt khác nó chỉ đơn thuần là chứng thực mà chưa có mã hóa dữ liệu. Do đó chuẩn 802.11 đã đưa ra phương thức mới là WEP (Wired Equivalent Privacy). WEP có thể dịch là chuẩn bảo mật dữ liệu cho mạng không dây mức độ tương đương với mạng có dây, là phương thức chứng thực người dùng và mã hóa nội dung dữ liệu truyền trên mạng LAN không dây (WLAN). WEP là một thuật toán mã hóa đối xứng có nghĩa là quá trình mã hóa và giải mã đều dùng một là khóa dùng chung - Share key, khóa này AP sử dụng và Client được cấp. Chuẩn IEEE 802.11 quy định việc sử dụng WEP như một thuật toán kết hợp giữa bộ sinh mã giả ngẫu nhiên PRNG (Pseudo Random Number Generator) và bộ mã hóa luồng theo kiểu RC4. Thuật toán mã hóa RC4 thực hiện việc mã hóa và giải mã khá nhanh, tiết kiệm tài nguyên bộ vi xử lý, tuy nhiên người ta đã nhận ra rằng WEP vẫn không phải là công cụ mã hoá thật sự an toàn cho mạng không dây. Trên thực tế phương thức này đã bộc lộ những yếu điểm mà chúng ta sẽ nghiên cứu kỹ hơn về WEP ở chương sau. 2. Bảo mật với TKIP Để khắc phục các yếu điểm của WEP, người ta đưa ra TKIP ( Temporal key Integrity Protocol – giao thức bảo toàn dữ liệu với khoá theo thời gian ) TKIP có ba nhân tố chính để tăng cường mã hoá: - Chức năng xáo trộn khoá mã từng gói. - Chức năng tăng cường MIC(mã toàn vẹn bản tin) gọi là Michael Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 24 - Các luật tăng cường sắp xếp các IV Khác với WEP chỉ có chứng thực một chiều, TKIP sử dụng phương thức xác thực cho phép có nhiều chế độ xác thực và liên kết đến các tầng bảo mật khác nhau khi xác thực. Thuật toán xác thực EAP cho phép xác thực hai chiều giữa máy chạm và RADIUS server. Để hiểu kỹ về nguyên lý hoạt động của phương thức này ta sẽ nghiên cứu kỹ hơn ở các chương sau. CHƢƠNG II AN NINH TRONG MẠNG KHÔNG DÂY I. VẤN ĐỀ AN NINH TRONG MẠNG KHÔNG DÂY Như chúng ta đã biết mạng không dây sử sóng điện từ để thu và phát tín hiệu, môi trường truyền sóng là môi trường không khí. Do vậy vấn đề an ninh trong mạng không dây sẽ trở lên phức tạp hơn mạng có dây rất nhiều. Ngày nay khi công nghệ càng phát triển thì khả năng và kỹ thuật tấn công cũng trở lên tinh vi hơn, nguy cơ bị tấn công mạng ngày càng tăng. Bởi vì tấn công, phá hoại là do con người thực hiện, kỹ thuật càng phát triển, càng thêm khả năng đối phó, ngăn chặn thì kẻ tấn công cũng ngày càng tìm ra nhiều các kỹ thuật tấn công khác cũng như những lỗi kỹ thuật khác của hệ thống. Các giải pháp bảo mật thông tin trên đường truyền đã bộc lộ nhiều lỗ hổng, vì thế an toàn thông tin ngày càng trở lên mong manh hơn bao giờ hết. Sở dĩ nguy cơ bị tấn công của mạng không dây lớn hơn của mạng có dây là do những yếu tố sau: - Kẻ tấn công thường thực hiện một cách dễ dàng tại bất kỳ nơi đâu trong vùng phủ sóng của hệ thống mạng. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 25 - Thông tin trao đổi được truyền đi trong không gian, vì vậy không thể ngăn chặn được việc bị lấy trộm hay nghe lén thông tin. - Công nghệ còn khá mới mẻ, nhất là đối với Việt Nam. Các công nghệ từ khi đưa ra đến khi áp dụng thực tế còn cách nhau một khoảng thời gian dài. Qua những phân tích trên chúng ta thấy được vấn đề an ninh trong mạng không dây đóng một vai trò hết sức quan trọng. Thông tin chỉ có giá trị khi nó giữ được tính chính xác, thông tin chỉ có tính bảo mật khi chỉ có những người được phép nắm giữ thông tin biết được nó. Thực sự vấn đề bảo mật cho mạng máy tính không dây nói chung phức tạp hơn hệ thống mạng có dây rất nhiều. II. CÁC LOẠI HÌNH TẤN CÔNG MẠNG KHÔNG DÂY 1. Tấn công bị động - Passive attacks 1.1 Định nghĩa Tấn công bị động là kiểu tấn công không tác động trực tiếp vào thiết bị nào trên mạng, không làm cho các thiết bị trên mạng biết được hoạt động của nó, vì thế kiểu tấn công này nguy hiểm ở chỗ nó rất khó phát hiện. Ví dụ như việc lấy trộm thông tin trong không gian truyền sóng của các thiết bị sẽ rất khó bị phát hiện dù thiết bị lấy trộm đó nằm trong vùng phủ sóng của mạng chứ chưa nói đến việc nó được đặt ở khoảng cách xa và sử dụng anten được định hướng tới nơi phát sóng, khi đó cho phép kẻ tấn công giữ được khoảng cách thuận lợi mà không để bị phát hiện. 1.2 Phƣơng thức bắt gói tin (Sniffing) Bắt gói tin - Sniffing là khái niệm cụ thể của khái niệm tổng quát “Nghe trộm - Eavesdropping” sử dụng trong mạng máy tính. Có lẽ là phương pháp đơn giản nhất, tuy nhiên nó vẫn có hiệu quả đối với việc tấn công WLAN. Bắt gói tin có thể hiểu như là một phương thức lấy trộm thông tin khi đặt một thiết bị thu nằm trong hoặc nằm gần vùng phủ sóng. Kẻ tấn công sẽ khó bị phát hiện ra sự Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 26 có mặt của mình nếu thiết bị không dùng để bắt gói tin không kết nối tới AP để thu các gói tin. Đối với mạng không dây, tín hiệu chứa đựng thông tin được phát trong không gian vì vậy mà việc bắt gói tin được thực hiện một cách dễ dàng hơn so với hệ thống mạng có dây. Những chương trình bắt gói tin có khả năng lấy các thông tin quan trọng. Có những chương trình có thể lấy được mật khẩu trên mạng không dây trong quá trình trao đổi thông tin giữa Client và Server khi đang thực hiện nhập mật khẩu để đăng nhập. Cũng từ việc bắt gói tin, có thể nắm được thông tin, phân tích được lưu lượng của mạng (Traffic analysis) , phổ năng lượng trong không gian của các vùng. Từ đó mà kẻ tấn công có thể biết chỗ nào sóng truyền tốt, chỗ nào kém, chỗ nào tập trung nhiều máy. Việc bắt gói tin ngoài việc trực tiếp giúp cho quá trình phá hoại, nó còn gián tiếp là tiền đề cho các phương thức phá hoại khác. Bắt gói tin là cơ sở của các phương thức tấn công như an trộm thông tin, thu thập thông tin phân bố mạng (wardriving), dò mã, bẻ mã (Key crack), vv .. Wardriving: Kiểu tấn công wardriving là một thuật ngữ sử dụng để mô tả một người tấn công, được trang bị một máy xách tay hoặc một thiết bị có khả năng kết nối mạng không dây Wifi, di chuyển bên ngoài và tìm cách lấy các gói tin của hệ thống mạng không dây. Có nhiều công cụ hỗ trợ để có thể làm được việc này, ví dụ như Netstumbler hay IBM'S Wireless Security Auditor. Khái niệm về wardriving rất đơn giản : sử dụng một thiết bị có khả năng nhận tín hiệu 802.11, một thiết bị có khả năng xác định vị trí của Nó trên bản đồ, và một phần mềm có khả năng ghi lại mọi tín hiệu mà nó tiếp nhận được từ hệ thống mạng. Người tấn công chỉ việc di chuyển từ nơi này qua nơi khác và cho Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 27 các thiết bị này thực hiện công việc của nó, đến khi đủ một lượng thông tin cần thiết, người đó có thể phân tích và xây dựng được một cơ sở dữ liệu thông tin về các mạng không dây gồm tên mạng, tín hiệu, dải địa chỉ IP được sử dụng, qua giao thức SNMP (Simple Network Management Protocol - giao thức quản lý mạng đơn giản). Những yếu điểm này làm cho các mạng này trở thành những điểm trung gian để qua đó, kẻ tấn công có thể tìm cách truy nhập đến đối tượng cần truy nhập khác. 2. Tấn công chủ động - Active attacks 2.1 Định nghĩa Tấn công chủ động là tấn công trực tiếp vào một hoặc nhiều thiết bị trên mạng ví dụ như vào AP, STA. Những kẻ tấn công có thể sử dụng phương pháp tấn công chủ động để thực hiện các chức năng trên mạng. Cuộc tấn công chủ động có thể được dùng để tìm cách truy nhập tới một Server để thăm dò, để lấy những dữ liệu quan trọng, thậm chí thực hiện thay đổi cấu hình cơ sở hạ tầng mạng. Kiểu tấn công này dễ phát hiện nhưng khả năng phá hoại của nó rất nhanh và nhiều, khi phát hiện ra chúng ta chưa kịp có phương pháp đối phó thì nó đã thực hiện xong quá trình phá hoại. So với kiểu tấn công bị động thì tấn công chủ động có nhiều phương thức đa dạng hơn, ví dự như: Tấn công từ chối dịch vụ (DOS), Sửa đổi thông tin (Message Modification), Đóng giả, mạo danh, che dấu (Masquerade), Lặp lại thông tin (Replay), v v... 2.2 Mạo danh, truy cập trái phép Sự giả mạo là hành động của một kẻ tấn công giả làm người dùng hợp lệ trong hệ thống mạng không dây. Ví dụ, một người dùng bất kỳ khi biết được các thông tin nhờ vào các kỹ thuật khác có thể xâm nhập vào mạng và tiến hành thiết lập các thao tác như truy nhập vào máy chủ phục vụ và cài đặt các đoạn mã nguy Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 28 hiểm. Việc giả mạo này được thực hiện bằng cách giả mạo địa chỉ MAC, địa chỉ IP của thiết bị mạng trên máy tấn công thành các giá trị của máy đang sử dụng trong mạng, làm cho hệ thống hiểu nhầm và cho phép thực hiện kết nối. Đối phó với tình trạng này, cần có sự kiểm soát chặt chẽ về quyền hạn của người dùng trong hệ thống mạng để chống lại sự giả mạo. 2.3 Sửa đổi thông tin Sự thay đổi dữ liệu là một trong những kiểu tấn công gây nguy hiểm cho hệ thống mạng vì nó làm mất tính toàn vẹn thông tin được truyền trong hệ thống. Sự thay đổi này bao gồm các thao tác chèn thêm thông tin, xoá và sửa chữa các thông tin trong quá trình truyền dẫn. Một ví dụ cụ thể của việc truyền dẫn này là một chương trình dạng Trojan hoặc một virus, hay sâu có thể được truyền đến các thiết bị nhận hoặc vào hệ thống mạng. Việc chống lại các truy nhập bất hợp lệ vào hệ thống mạng và các hệ thống liên quan đến nó là một trong các biện pháp được sử dụng để chống lại sự thay dối dữ liệu, sử dụng một vài dạng của việc bảo vệ truyền thông ví dụ như sử dụng các mạng riêng ảo VPN (virtual private networks). Cũng như đã Nói, WEP có thể được sử dụng để bảo vệ thông tin, nhưng phương pháp mã hoá của WEP không phải là một phương pháp mã hoá có thể tin cậy được. 2.4 Tấn công từ chối dịch vụ (DoS) Một kiểu tấn công từ chối dịch vụ DoS (Denial-of-Service) là một ví dụ cụ thể về sự thất bại của hệ thống mạng, kiểu tấn công này xảy ra khi đối thủ gây ra cho hệ thống hoặc mạng trở thành không sẵn sàng cho các người dùng hợp lệ, hoặc làm dừng lại hoặc tắt hẳn các dịch vụ. Hậu quả có thể làm cho mạng bị chậm hẳn lại hoặc không thể làm việc được nữa. Một ví dụ với mạng không dây là các tín hiệu từ bên ngoài sẽ chiếm cứ và làm tắc nghẽn các thông tin trên Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 29 đường truyền, điều này rất khó kiểm soát vì đường truyền của mạng không dây là rất dễ bị xâm nhập. Các mạng không dây rất nhạy cảm với việc tấn công DoS vì phương pháp truyền tin sử dụng sóng vô tuyến của mình. Nếu một kẻ tấn công sử dụng một thiết bị phát sóng mạnh, thì sẽ đủ để làm nhiễu hệ thống mạng, khiến cho các thiết bị trong mạng không thể kết nối với nhau được. Các thiết bị tấn công DoS không cần phải ở ngay gần các thiết bị bị tấn công, mà chúng chỉ cần trong phạm vi phủ sóng của hệ thống mạng. Một số kỹ thuật tấn công DoS với hệ thống mạng không dây: - Yêu cầu việc chứng thực với một tần số đủ để chặn các kết nối hợp lệ - Yêu cầu bỏ chứng thực với các người dùng hợp lệ. Những yêu cầu này có thể không bị từ chối bởi một số chuẩn 802.11 - Giả tín hiệu của một access point để làm cho các người dùng hợp lệ liên lạc với Nó. - Lặp đi lặp lại việc truyền các khung RTS/CTS để làm hệ thống mạng bị tắc nghẽn. Trong phạm vi tần số 2.4Ghz của chuẩn 802.11b, có rất nhiều các thiết bị khác được sử dụng như điện thoại kéo dài, các thiết bị bluetooth. . . tất cả các thiết bị này đều góp phần làm giảm và làm ngắt tín hiệu mạng không dây. Thêm vào đó, một kẻ tấn công có chủ đích và được cung cấp đầy đủ phương tiện có thể làm lụt dải tần này và chặn hoạt động hợp lệ của mạng không dây. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 30 3. Tấn công kiểu chèn ép - Jamming attacks Ngoài việc sử dụng phương pháp tấn công bị động, chủ động để lấy thông tin truy cập tới mạng của bạn, phương pháp tấn công theo kiểu chèn ép. Jamming là một kỹ thuật sử dụng đơn giản để làm mạng của bạn ngừng hoạt động. Phương thức jamming phổ biến nhất là sử dụng máy phát có tần số phát giống tần số mà mạng sử dụng để áp đảo làm mạng bị nhiễu, bị ngừng làm việc. Tín hiệu RF đó có thể di chuyển hoặc cố định. Cũng có trường hợp sự Jamming xẩy ra do không chủ ý thường xảy ra với mọi thiết bị mà dùng chung dải tần 2,4Ghz. Tấn công bằng Jamming không phải là sự đe dọa nghiêm trọng, nó khó có thể được thực hiện phổ biến do vấn đề giá cả của thiết bị, nó quá đắt trong khi kẻ tấn công chỉ tạm thời vô hiệu hóa được mạng. 4. Tấn công theo kiểu thu hút - Man in the middle attacks Tấn công theo kiểu thu hút - Man in the middle attacks có nghĩa là dùng một khả năng mạnh hơn chen vào giữa hoạt động của các thiết bị và thu hút, giành lấy sự trao đổi thông tin của thiết bị về mình. Thiết bị chèn giữa đó phải có vị trí, khả năng thu phát trội hơn các thiết bị sẵn có của mạng. Một đặc điểm nổi bật của kiểu tấn công này là người sử dụng không thể phát hiện ra được cuộc tấn công, và lượng thông tin mà thu nhặt được bằng kiểu tấn công này là giới hạn. Phương thức thường sử dụng theo kiểu tấn công này là mạo danh AP (AP rogue), có nghĩa là chèn thêm một AP giả mạo vào giữa các kết nối trong mạng. Khi đó, các thông tin truy nhập có thể sẽ bị lấy và sử dụng vào việc truy cập trái phép vào hệ thống mạng sau này. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 31 III. GIẢI PHÁP KHẮC PHỤC 1. Quy trình xây dƣ̣ng hệ thống thông tin an toàn 1.1 Đánh giá và lập kế hoạch - Có các khóa đào tạo trước triển khai để người trực tiếp thực hiện nắm vững các thông tin về an toàn thông tin. Sau quá trình đào tạo người trực tiếp tham gia công việc biết rõ làm thể nào để bảo vệ các tài nguyên thông tin của mình. - Đánh giá mức độ an toàn hệ thống về mọi bộ phận như các ứng dụng mạng, hệ thống, hệ điều hành, phần mềm ứng dụng, vv... Các đánh giá được thực hiện cả về mặt hệ thống mạng logic lẫn hệ thống vật lý. Mục tiêu là có cài nhìn tổng thể về an toàn của hệ thống của bạn, các điểm mạnh và điểm yếu. - Các cán bộ chủ chốt tham gia làm việc để đưa ra được tính xác thực tình trạng an toàn hệ thống hiện tại và các yêu cầu mới về mức độ an toàn. - Lập kế hoạch an toàn hệ thống. 1.2 Phân tích hệ thống và thiết kế - Thiết kế hệ thống an toàn thông tin cho mạng. - Lựa chọn các công nghệ và tiêu chuẩn về an toàn sẽ áp dụng. - Xây dựng các tài liệu về chính sách an toàn cho hệ thống 1.3 Áp dụng vào thực tế - Thiết lập hệ thống an toàn thông tin trên mạng. - Cài đặt các phần mềm tăng cường khả năng an toàn như firewall, các bản chữa lỗi, chương trình quét và diệt virus, các phần mềm theo dõi và ngăn chặn truy nhập bất hợp pháp. - Thay đổi cấu hình các phần mềm hay hệ thống hiện sử dụng cho phù hợp. - Phổ biến các chính sách an toàn đến nhóm quản trị hệ thống và từng người sử dụng trong mạng, quy định để tất cả mọi người nắm rõ các chức năng và quyền hạn của mình. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 32 1.4 Duy trì và bảo dƣỡng - Đào tạo nhóm quản trị có thể nắm vững và quản lý được hệ thống. - Liên tục bổ sung các kiến thức về an toàn thông tin cho những người có trách nhiệm như nhóm quản trị, lãnh đạo... - Thay đổi các công nghệ an toàn để phù hợp với những yêu cầu mới. 2. Các biện pháp và công cụ bảo mật hệ thống 2.1. Các biện pháp 2.1.1 Kiểm soát truy nhập Kiểm soát quyền truy nhập bảo vệ cho hệ thống không dây khỏi các mối đe dọa bằng cách xác định cái gì có thể đi vào và đi ra khỏi mạng. Việc kiểm soát truy nhập sẽ xác định trên mọi dịch vụ và ứng dụng cơ bản hoạt động trên hệ thống. 2.1.2 Kiểm soát sự xác thực ngƣời dùng (Authentication) Kiểm soát sự xác thực người sử dụng là bước tiếp theo sau khi được truy nhập vào mạng. Người sử dụng muốn truy nhập vào các tài nguyên của mạng thì sẽ phải được xác nhận bởi hệ thống bảo mật. Có thể có mấy cách kiểm soát sự xác thực người sử dụng: - Xác thực người sử dụng: cung cấp quyền sử dụng các dịch vụ cho mỗi người dùng. Mỗi khi muốn sử dụng một tài nguyên hay dịch vụ của hệ thống, anh ta sẽ phải được xác thực bởi một máy chủ xác thực người sử dụng và kiểm tra xem có quyền sử dụng dịch vụ hay tài nguyên của hệ thống không. - Xác thực trạm làm việc: Cho phép người sử dụng có quyền truy nhập tại những máy có địa chỉ xác định. Ngược lại với việc xác thực người sử dụng, xác thực trạm làm việc không giới hạn với các dịch vụ. - Xác thực phiên làm việc: Cho phép người sử dụng phải xác thực để sử dụng từng dịch vụ trong mỗi phiên làm việc. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 33 - Có nhiều công cụ dùng cho việc xác thực, ví dụ như: + TACACS dùng cho việc truy nhập từ xa thông qua Cisco Router. + RADIUS khá phổ biến cho việc truy nhập từ xa (Remote Access). + Firewall cũng là một công cụ mạnh cho phép xác thực cả 3 loại ở trên. 2.1.3 Tăng cƣờng nhận thức ngƣời dùng Một khía cạnh khác rất cần thiết đối với bật kỳ chính sách bảo mật nào là đào tạo sự nhận thức về bảo mật cho người sử dụng. Việc đào tạo này sẽ chú trọng vào cách sử dụng đúng cách thức và sử dụng các thiết bị điện tử cá nhân để giảm ảnh hưởng của việc mất hoặc bị lấy trộm các thiết bị này. Một nhân tố bảo mật đáng ghi nhận khác được gắn với việc sử dụng đúng cách công nghệ không dây là sự nhận thức của người sử dụng rằng các thiết bị điện tử cá nhân này trên thực tế có khả năng hoạt động như một máy tính cá nhân hoặc một trạm làm việc (workstation). Củng cố việc đào tạo về các tiêu chuẩn bảo mật thông tin, cùng với các chính sách về không dây của công ty, có thể giúp người dùng tăng cường nhận thức của mình về sự rủi ro của hệ thống này. 2.2. Các công cụ bảo mật hệ thống Có nhiều công cụ bảo mật hệ thống cơ bản và phổ biến, thường được áp dụng. Mục tiêu của các công cụ này là đảm bảo cho hệ thống mạng không dây WLAN có thể trở nên an toàn hơn. 2.2.1. Chƣ́ng thƣ̣c bằng địa chỉ MAC Trước hết chúng ta cũng nhắc lại một chút về khái niệm địa chỉ MAC. Địa chỉ MAC - (Media Access Control) là địa chỉ vật lý của thiết bị được in nhập vào Card mạng khi chế tạo, mỗi Card mạng có một giá trị địa chỉ duy nhất. Địa chỉ này gồm 48 bit chia thành 6 byte, 3 byte đầu để xác định nhà sản xuất, ví dụ như: 00-40-96 : Cisco 00-00-86 : 3COM Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 34 00-02-2D : Agere Communications 00-10-E7 : Breezecom 00-E0-03 : Nokia Wireless 00-04-5A : Linksys 3 byte còn lại là số thứ tự, do hãng đặt cho thiết bị Địa chỉ MAC nằm ở lớp 2 (lớp Datalink của mô hình OSI) Khi Client gửi yêu cầu chứng thực cho AP, AP sẽ lấy giá trị địa chỉ MAC của Client đó, so sánh với bảng các địa chỉ MAC được phép kết nối để quyết định xem có cho phép Client chứng thực hay không. Chi tiết quá trình này được biểu diễn ở hình dưới. Hình 9: Mô tả quá trình chứng thực bằng địa chỉ MAC Về nguyên lý thì địa chỉ MAC là do hãng sản xuất quy định ra nhưng nhược điểm của phương pháp này kẻ tấn công lại có thể thay đổi địa chỉ MAC một cách dễ dàng, từ đó có thể chứng thực giả mạo. Vì vậy về mặt an ninh đây không phải là giải pháp tốt nhất ta chỉ lên sử dụng nó như một phần phụ trợ cho các công cụ bảo mật khác. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 35 2.2.2. Chƣ́ng thƣ̣c bằng SSID Chứng thực bằng SSID - System Set Identifier, mã định danh hệ thống, là một phương thức chứng thực đơn giản, nó được áp dụng cho nhiều mô hình mạng nhỏ, yêu cầu mức độ bảo mật thấp. Có thể coi SSID như một mật mã hay một chìa khóa, khi máy tính mới được phép gia nhập mạng nó sẽ được cấp SSID, khi gia nhập, nó gửi giá trị SSID này lên AP, lúc này AP sẽ kiểm tra xem SSID mà máy tính đó gửi lên có đúng với mình quy định không, nếu đúng thì coi như đã chứng thực được và AP sẽ cho phép thực hiện các kết nối. Hình 10: Mô tả quá trình chứng thực bằng SSID Các bước kết nối khi sử dụng SSID: 1. Client phát yêu cầu thăm dò trên tất cả các kênh 2. AP nào nhận được yêu cầu thăm dò trên sẽ trả lời lại (có thể có nhiều AP cùng trả lời) 3. Client chọn AP nào phù hợp để gửi yêu cầu xin chứng thực 4. AP gửi trả lời yêu cầu chứng thực 5. Nếu thỏa mãn các yêu cầu chứng thực, Client sẽ gửi yêu cầu liên kết đến AP 6. AP gửi trả lời yêu cầu Liên kết 7. Quá trình chứng thực thành công, 2 bên bắt đầu trao đổi dữ liệu Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 36 Sử dụng SSID là khá đơn giản nhưng nó cũng có nhiều nhược điểm. Các hãng thường có mã SSID ngầm định sẵn (default SSID), nếu người sử dụng không thay đổi thì các thiết bị AP giữ nguyên giá trị SSID này, kẻ tấn công lợi dụng sự lơi lỏng đó, để dò ra SSID. Kiểu chứng thực dùng SSID là đơn giản, ít bước. Vì vậy nếu kẻ tấn công thực hiện việc bắt rất nhiều gói tin trên mạng để phân tích theo các thuật toán quét giá trị như kiểu Brute Force thì sẽ có nhiều khả năng dò ra được mã SSID mà AP đang sử dụng. Hơn nữa tất cả mạng WLAN dùng chung một SSID, chỉ cần một máy tính trong mạng để lộ thì sẽ ảnh hưởng an ninh toàn mạng. Vì thế Việc sử dụng SSID chỉ áp dụng cho kết nối giữa máy tính và máy tính hoặc cho các mạng không dây phạm vi nhỏ, hoặc là không có kết nối ra mạng bên ngoài. 2.2.3. Chƣ̃ ký điện tƣ̉ Trong môi trường mạng, việc trao đổi thông điệp đòi hỏi phải có sự xác nhận người gửi. Việc xác nhận người gửi đảm bảo rằng bức thông điệp đó thực sự được gửi từ người gửi chứ không phải ai khác. Công nghệ chữ ký điện tử ra đời để phục vụ việc xác nhận người gửi này, đồng thời nó cũng mang tính không thể chối cãi với người đã gửi văn bản đó. Chữ ký điện tử hay còn gọi là chữ ký số hoá bao gồm một cặp khoá: một PUBLIC_KEY và một PRIVATE_KEY. Public Key được thông báo rộng rãi cho mọi người còn private key thì phải được giữ bí mật. Đặc trưng cơ bản của chữ kí số hoá là: Với một cặp khoá, dữ liệu mã hoá với PUBLIC_KEY chỉ có thể được giải mã duy nhất bởi PRIVATE_KEY của nó mà thôi. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 37 Hình 11: Quá trình ký trong message Hình trên là một quá trình tạo ra chữ ký điện tử một văn bản đầu vào được áp dụng các thuật toán băm mã hoá như MD4, MD5, SHA... để tạo ra các giá trị Hash-value hay còn gọi là Message Digest sau đó các giá trị Hash-value nhận được kết hợp cùng Private key mã hoá bởi thuật toán RSA, DSA để tạo ra một Digital signature. Sự an toàn của hệ thống chữ ký điện tử phụ thuộc vào sự bí mật của khoá riêng do người dùng quản lý. Chính vì thế người dùng phải đề phòng sự truy cập bất hợp pháp vào khoá riêng của họ. 2.3. Mã hóa dữ liệu 2.3.1. Sử dụng hệ mật mã DES Một trong những biện pháp bảo mật thông tin trên mạng là sử dụng hệ mật mã DES. Đây là hệ mật mã đối xứng cổ điển thông dụng thường được dùng với số lượng lớn. DES ( Data Encryption Standard ) là tổ hợp của các phương pháp thay thế, đổi chỗ. Nó chia bản tin thành các Block có độ dài cố định ( 64 bit ) và lặp lại các phép mã hoá thay thế và đổi chỗ nhiều lần cho mỗi khối. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 38 Hình 12: Quá trình mã hoá sử dụng hệ mật mã DES Các phát triển tiếp theo của hệ mật mã cổ DES là: - IDEA ( International Data Encryption Algorithm ): khoá 128 bit, khối dữ liệu 64 bit. - RC5: Khối dữ liệu và khoá sử dụng có độ dài thay đổi. - RC6: Nâng cấp của RC5 để tăng tính bảo mật và hiệu quả. - AES: ( Advanced Encryption Standard ): Khối dữ liệu 128 bit, khoá 128, 256. 2.3.2. Sử dụng hệ mật mã RSA Hệ mật mã công khai thông dụng RSA ( Rivest, Shamir, Adleman ) là hệ mật mã bất đối xứng. Nó dựa trên việc phân tích ra thừa số của tích hai số nguyên tố rất lớn là cực kỳ khó khăn ( n = p x q ). Thuật toán RSA có hai khóa, khóa công khai (hay khóa công cộng) và khóa bí mật (hay khóa cá nhân). Khóa công khai được công bố rộng rãi cho mọi người và được dùng để mã hóa. Những thông tin được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa bí mật tương ứng. Bản mã Cipher Text Giải mã Mật mã Plain Text Bản rõ Khoá K Khoá K Bản rõ Ban đầu Kênh truyền Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 39 Hình 13: Quá trình mã hoá sử dụng hệ mật mã RSA Ke là khoá công khai, Kd là khoá bí mật và để giải mã được các thông tin mã hoá thì chỉ có thể giải mã bằng khoá bí mật Kd mà thôi. Quá trình tạo ra cặp khoá gồm khoá công khai và khoá bí mật theo các bước sau: - Chọn 2 số nguyên tố lớn p và q với p≠q, lựa chọn ngẫu nhiên và độc lập. - Tính: N=p x q. - Tính: Ф(N) = (p-1)(q-1). - Chọn một số tự nhiên e sao cho 1 < e <Ф(N) và là số nguyên tố cùng nhau với Ф(N) - Tính: d sao cho de = 1 (mod Ф(N)) (hay d= (1 + i x Ф(N)) / e) với i= n,1 Khóa công khai: Ke = {e,N} Khóa bí mật: Kd = {d,p,q} Ở đây, p và q giữ vai trò rất quan trọng vì vậy trong quá trình tạo khoá mật hai số này phải tuyệt đối dữ bí mật. Thuật toán RSA với khả năng mã hoá mạnh vì vậy nó đảm bảo sự an toàn và đáng tin cậy trong vấn đề bảo mật thông tin trên đường truyền. 2.4. Phƣơng thƣ́c chƣ́ng thƣ̣c và mã hóa WEP Chuẩn IEEE 802.11 định nghĩa một phương thức mã hóa WEP (Wired Equivalent Privacy - Bảo mật tương đương mạng có dây) bao gồm các kỹ thuật cho việc bảo mật truyền dữ liệu trong mạng LAN không dây. Thuật toán của Bản mã Cipher Text Giải mã Mật mã Plain Text Bản rõ Khoá Ke Khoá Kd Bản rõ Ban đầu Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 40 chuẩn này cho phép mã hóa dữ liệu ở dạng tựa RC4, 40 bit để ngăn chặn sự xâm nhập và lấy thông tin qua đường truyền mạng không dây. Với mục tiêu ban đầu chỉ là cung cấp kiểu bảo mật để cho mạng không dây cũng coi như có khả năng bảo mật của mạng có dây, WEP cung cấp một mã khoá chung cho việc mã hoá và giải mã dữ liệu trên đường truyền. Các tính năng của WEP bao gồm: - Điều khiển truy cập, ngăn chặn những người dùng không có khóa WEP hợp lệ truy cập vào mạng. - Bảo vệ các dòng dữ liệu bằng việc mã hóa chúng và chỉ cho phép những người có khóa WEP hợp lệ giải mã. 2.4.1. Phƣơng thức chứng thực Một client chỉ có thể tham gia vào một mạng LAN không dây nếu Nó đã được chứng thực. Phương thức chứng thực phải được trên mỗi client và tương thích với AP. Chuẩn IEEE 802.11b định nghĩa hai phương thức chứng thực đó là: Phương thức chứng thực mở (open key) và phương thức khoá chia sẻ (shared key). Phƣơng thức chứng thực hệ thống mở (Open System Authentication) Đây là phương thức mặc định của chuẩn 802.11. Phương thức này cho phép bất kỳ một thực thể nào trong mạng đều có quyền đưa ra yêu cầu chứng thực và liên kết với AP mà không cần khóa WEP. Với phương thức này, tất cả các tiến trình chứng thực đều được tiến hành với văn bản gốc không mã hoá. Đây được coi như một phương thức chứng thực rỗng, các trạm có thể liên kết với bất kỳ AP nào và có thể lấy được tất cả các dữ liệu bản tin rõ được truyền. Trong hệ thống mở, các trạm và các AP chỉ sử dụng WEP như là một phương tiện mã hóa. Hệ thống này thường được sử dụng khi người dùng đặt vấn Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 41 đề dễ sử dụng lên trên hết, người quản trị không cần bất cứ vấn đề về bảo mật nào, ví dụ như tại các quán café Wifi, điểm truy cập Wifi công cộng. Phƣơng thức chứng thực chia sẻ khóa (Shared Key Authentication) Phương thức này sử dụng một khóa bí mật để chứng thực các trạm tới AP. Các trạm làm việc được yêu cầu phải cung cấp khoá này thì mới có thể kết nối vào hệ thống. Nó cho phép các trạm không dây có thể mã hóa dữ liệu sử dụng khóa thông dụng. WEP cho phép người quản trị định nghĩa các khóa chia sẻ cho việc chứng thực. Việc truy cập chỉ được chấp nhận nếu người sử dụng có khóa kết nối. Khoá chia sẻ được sử dụng để mã hoá và giải mã các khung tin cũng được sử dụng để chứng thực các trạm làm việc, nhưng điều này có thể coi là một trong những điểm yếu bảo mật của hệ thống. Tuy nhiên, việc sử dụng phương pháp này cũng đã cung cấp được khả năng bảo mật tốt hơn nhiều so với phương pháp dùng hệ thống mở ở trên. Các trạm làm việc trong trường hợp này phải bật chế độ sử dụng WEP. Wireless station Access Point Authentication request Challe nge Response Confirm succe ss Generate random number to challenge station Encryp challenge u ing RC4 algorithm Decrypt response to recover challenge. Verify that challenges equate Hình 14: Mô tả quá trình chứng thực giữa Client và AP Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 42 Hình trên mô tả hoạt động của phương thức chứng thực khóa chia sẻ, các bước cụ thể của quá trình chứng thực như sau: Bước 1: Client gửi đến AP yêu cầu xin chứng thực Bước 2: AP sẽ tạo ra một chuỗi mời kết nối (challenge text) ngẫu nhiên gửi đến Client Bước 3: Client nhận được chuỗi này này sẽ mã hóa chuỗi bằng thuật toán RC4 theo mã khóa mà Client được cấp, sau đó Client gửi lại cho AP chuỗi đã mã hóa Bước 4: AP sau khi nhận được chuỗi đã mã hóa của Client, nó sẽ giải mã lại bằng thuật toán RC4 theo mã khóa đã cấp cho Client, nếu kết quả giống với chuỗi ban đầu mà nó gửi cho Client thì có nghĩa là Client đã có mã khóa đúng và AP sẽ chấp nhận quá trình chứng thực của Client và cho phép thực hiện kết nối. 2.4.2. Cách mã hoá WEP Quá trình mã hóa WEP được bắt đầu với một bản tin rõ (plaintext) mà chúng ta cần bảo vệ khỏi những truy cập và sửa đổi trái phép. Hai tiến trình sẽ được áp dụng cho bản tin: một là mã hoá bản tin, hai là bảo vệ bản tin khỏi việc sửa đổi trái phép. Quá trình đó diễn ra như sau: - Khoá mã có độ dài 40bit sẽ được ghép với một vector khởi tạo (viết tắt là IV-initalization vector), có độ dài 24-bit để tạo thành khoá có kích thước 64-bit. - Khoá 64-bit đó sẽ được chuyển tới bộ tạo số ngẫu nhiên (PRNG - pseudo-random number generator). - Bộ tạo số ngẫu nhiên sẽ xử lý và đưa ra kết quả là một khoá mã ngẫu nhiên dựa trên dữ liệu nhập vào. - Kết quả sẽ được sử dụng để mã hoá dữ liệu bằng cách sử dụng phép toán XOR. Kết quả thu được là một dãy dữ liệu có độ dài bằng độ dài dữ liệu cần gửi đi, thêm vào đó là 4 bytes. Các bytes này được sử dụng để kiểm tra lại tính toàn Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 43 vẹn của dữ liệu ở bên nhận. Các giá trị kiểm tra (ICV - Integrity Check Valưue) này được tạo ra thông qua một thuật toán (CRC-32) tiến hành trên bản tin rõ. Hình 15: Thuật toán mã hóa WEP Dưới đây là một cách nhìn khác với hoạt động trên. Trước tiên chúng ta kiểm tra tính toàn vẹn (bằng CRC-32) và nối nó vào cuối bản tin. Sau đó chúng ta lấy toàn bộ bản tin rõ này và XOR nó với chuỗi mã khóa. Chuỗi mã khóa được tạo thành bằng việc lấy khóa bí mật và nối nó vào vector khởi tạo rồi đặt vào bộ mã hóa RC4. Chú ý rằng, sau quá trình XOR hai giá trị, chúng ta thêm vector khởi tạo vào đầu bản tin mã. Vector khởi tạo IV là bản rõ (không mã hóa) bởi vì chúng cần trong quá trình giải mã. Plaintext CRC 01100101110011 1011... Keystream = RC4 (IV. Secrt Key) 11000110110101 1101... Ciphertext IV 10100011000110 011-... Intergrity Algorithm Seed WEP PRNG IV Cipherttext Message Plain text Secret Key Initialization Vector (IV) Key Sequence Intergrity Check Value (ICV) Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 44 2.4.3. Cách giải mã WEP Giải mã là một quá trình giống mã hóa nhưng ngược lại. Trong quá trình mã hóa, IV được gửi đi như bản rõ, vì vậy ta nối chúng vào khóa bí mật rồi đưa vào cuối bộ mã hóa RC4 để tái tạo chuỗi mã khóa. Tiếp theo chúng ta XOR chuỗi mã khóa với bản tin mã và chúng ta thu được bản tin rõ. Cuối cùng thực hiện lại kiểm tra CRC-32 trên bản tin rõ và đảm bảo nó khớp với giá trị kiểm tra toàn vẹn dữ liệu trong bản rõ chưa mã hóa. Nếu việc kiểm tra không khớp, thì có khả năng dữ liệu truyền đi đã bị nhiễu và bị loại bỏ. Hình 16: Quá trình giải mã WEP Quá trình giải mã WEP diễn ra như sau: - Bên nhận tin sẽ sử dụng vector khởi tạo IV để tạo ra khoá mã cần thiết để giải mã bản tin. - Bản mã, kết hợp với khoá giải mã trên sẽ tạo được ra bản tin gốc đã được gửi. - Kiểm tra lại việc giải mã bằng cách sử dụng thuật toán kiểm tra tính toàn vẹn trên bản rõ vừa được giải mã và so sánh giá trị kiểm tra ICV có giống với ICV đã được gửi theo thông điệp hay không? Seed WEP PRNG IV Cipherttext Message Secret Key Key Sequence Intergrity Algorithm ICV-ICV1 ICV ICV Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 45 - Nếu giá trị kiểm tra ICV sai khác, bản tin nhận được đã bị lỗi, và một tín hiệu báo lỗi sẽ được gửi ngược trở lại nơi gửi tin. Thiết bị gửi tin sai sẽ không tiến hành được việc chứng thực để đăng nhập vào mạng. 2.4.4. Quản lý mã khoá Khoá bí mật chia sẻ được nằm ở tất cả các trạm kết nối. Chính vì vậy mà IEEE802.11 không xác định việc truyền mã khoá tới các trạm làm việc. WEP sử dụng cơ chế khóa mã đối xứng, tức là sử dụng mã khóa bí mật chia sẻ ở cả mã hóa và giải mã. Chuẩn IEEE 802.11 cung cấp hai mô hình quản lý khóa WEP trên mạng LAN không dây: - Thiết lập bốn khóa mặc định được chia sẻ cho tất cả các trạm bao gồm các client không dây và các điểm truy cập của Nó. - Mỗi client thiết lập một khóa ánh xạ tới một trạm khác. Phương thức thứ nhất cung cấp bốn khóa. Khi một client có được các khóa mặc định, Nó có thể giao tiếp với tất cả các trạm khác trong hệ thống con. Một trạm hay một AP có thể giải mã các gói đã được mã hóa bất kỳ khoá vào trong bốn khóa đó. Việc giới hạn trao đổi thông tin thông qua việc nhập vào bốn khoá đó một cách thủ công. Mộtư vấn để xảy ra đối với mô hình này là khi các khóa mặc định được phân phối rộng rãi thì chúng có thể bị thay đổi. Trong mô hình thứ hai, mỗi client thiết lập một khóa ánh xạ tới các trạm khác gọi là bảng khóa ánh xạ. Trong phương thức này, mỗi địa chia MAC có thể có một khóa riêng biệt, do đó phương thức này trở nên bảo mật hơn bởi vì có ít hơn các trạm có các khóa. Việc trao cho mỗi trạm làm việc một khoá làm giảm cơ hội tấn công phá mã, nhưng việc phải tạo ra một khoảng thời gian hợp lý để lưu trữ khoá vẫn còn vấn đề, bởi vì các khoá chỉ có thể thay đổi một cách thủ công, nên việc phân phối các khoá trở nên khó khăn hơn nhiều khi số lượng trạm làm việc tăng lên. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 46 2.4.5. Các ƣu nhƣợc điểm của WEP Khi chọn giải pháp an ninh cho mạng không dây, chuẩn 802.11 đưa ra các yêu cầu sau mà WEP đáp ứng được: - Có thể đưa ra rộng rãi, triển khai đơn giản - Mã hóa mạnh - Khả năng tự đồng bộ - Tối ưu tính toán, hiệu quả tài nguyên bộ vi xử lý - Có các lựa chọn bổ xung thêm Lúc đầu người ta tin tưởng ở khả năng kiểm soát truy cập và tích hợp dữ liệu của nó và WEP được triển khai trên nhiều hệ thống, tên gọi của nó đã nói lên những kỳ vọng ban đầu mà người ta đặt cho nó, nhưng sau đó người ta nhận ra rằng WEP không đủ khả năng bảo mật một cách toàn diện. - Chỉ có chứng thực một chiều: Client chứng thực với AP mà không có chứng thực tính hợp pháp của AP với Client - WEP còn thiếu cơ chế cung cấp và quản lý mã khóa. Khi sử dụng khóa tĩnh, nhiều người dụng khóa dùng chung trong một thời gian dài. Bằng máy tính xử lý tốc độ cao hiện nay kẻ tấn công cũng có thể bắt những bản tin mã hóa này để giải mã ra mã khóa mã hóa một cách đơn giản. Nếu giả sử một máy tính trong mạng bị mất hoặc bị đánh cắp sẽ dẫn đến nguy cơ lộ khóa dùng chung đó mà các máy khác cũng đang dùng. Hơn nữa, việc dùng chung khóa, thì nguy cơ lưu lượng thông tin bị tấn công nghe trộm sẽ cao hơn. - Vector khởi tạo IV, như đã phân tích ở trên, là một trường 24 bit kết hợp với phần RC4 để tạo ra chuỗi khóa – key stream, được gửi đi ở dạng nguyên bản, không được mã hóa. IV được thay đổi thường xuyên, IV có 24 bit thì chỉ có thể có tối đa 224 = 16 triệu giá trị IV trong 1 chu kỳ, nhưng khi mạng có lưu lượng lớn thì số lượng 16 triệu giá trị này sẽ quay vòng nhanh, khoảng thời gian thay Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 47 đổi ngắn, ngoài ra IV thường khởi tạo từ giá trị 0, mà muốn IV khởi tạo lại chỉ cần thực hiện được việc reboot lại thiết bị. Hơn nữa chuẩn 802.11 không cần xác định giá trị IV vẫn giữ nguyên hay đã thay đổi, và những Card mạng không dây của cùng 1 hãng sản xuất có thể xẩy ra hiện tượng tạo ra các IV giống nhau, quá trình thay đổi giống nhau. Kẻ tấn công có thể dựa vào đó mà tìm ra IV, rồi tìm ra IV của tất cả các gói tin đi qua mà nghe trộm được, từ đó tìm ra chuỗi khóa và sẽ giải mã được dữ liệu mã hóa. - Chuẩn 802.11 sử dụng mã CRC để kiểm tra tính toàn vẹn của dữ liệu, như nêu trên, WEP không mã hóa riêng giá trị CRC này mà chỉ mã hóa cùng phần Payload, kẻ tấn công có thể bắt gói tin, sửa các giá trị CRC và nội dung của các gói tin đó, gửi lại cho AP xem AP có chấp nhận không, bằng cách “dò” này kẻ tấn công có thể tìm ra được nội dung của phần bản tin đi cùng mã CRC. 2.5. Giao thức bảo toàn dữ liệu với khoá theo thời gian TKIP 2.5.1. Bảo mật với TKIP Để khắc phục các điểm yếu của WEP, người ta đưa ra TKIP ( Temporal key Intergrity Protocol - giao thức bảo toàn dữ liệu với khoá theo thời gian). TKIP có ba nhân tố chính để tăng cường mã hoá: - Chức năng xáo trộn khoá mã từng gói. - Chức năng tăng cường MIC ( Message Integrity Check - mã toàn vẹn bản tin ) gọi là Michael - Các luật tăng cường sắp xếp các IV Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 48 Hình 17: Quá trình bảo mật dùng TKIP Chức năng tăng cƣờng MIC Thay cho việc sử dụng CRC-32 bit đơn giản, Michael yêu cầu các đầu vào: Khoá MIC, địa chỉ nguồn, địa chỉ đích, bản rõ được xác thực. Đầu ra Michael dài 8 byte và được nối thêm vào trường dữ liệu. ( MIC sử dụng hàm bàn được thiết kế bởi Neil Ferguson không tuyến tính, điều này gây khó khăn lớn cho kẻ tấn công để có thể thay đổi một gói trong truyền dẫn ). Chức năng xáo trộn mã khoá từng gói Đầu tiên địa chỉ MAC của người gửi được XOR với TK để tạo khoá pha 1 ( khoá trung gian ). Khoá pha 1 được trộn với một truỗi số để tạo khoá pha 2, khoá từng gói.Đầu ra của khoá pha 2 được đưa tới bộ tạo WEP như là khoá mã WEP chuẩn 128 bit (IV + khoá bí mật chia sẻ, chứ không phải là 64 bit như ở WEP ). Không để các Client sử dụng cùng mã khoá WEP mà thay đổi bởi khoá pha 1 và không để xẩy ra tương quan giữa các IV ( trong trường hợp này là chuỗi số ) và khoá mỗi gói ( khoá pha 2 ). Temporal Key (128 bit) Phase 1 Key Mixing MIC Key Sender’s MAC Address Dest’s MAC Address Plaintext MSG Phase 2 Key Mixing Trip Sequence Control (Sequence Numbers) 128 bit “WEP Key” (displayed as 24 bit IV And 104 bit shared secret) WEP Ciphertext MIC Plaintext MIC Sender’s MAC Address Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 49 Trong WEP, IV tương quan với khoá mã bí mật và đưa một cách đơn giản vảo RC4. Với TKIP pha 1 đảm bảo các Client có khoá trung gian khác nhau. Sau đó pha 2 trộn khoá với chuỗi số trước khi đưa vào RC4. Tiến trình này rắc rối hơn nhiều so với đơn giản đưa IV vào khoá mã bí mật rồi đưa vào RC4. Các luật tăng cƣờng sắp xết các IV. TKIP không còn gặp phải vấn đề sung đột IV của WEP bằng 2 luật đơn giản : Trước tiên không gian IV được tăng từ 24 lên 48 bit. Tại tốc độ 54 Mbps điều này có nghĩa là 1000 năm mới lặp lại một IV. Và TKIP yêu cầu IV tăng từ 0 và rút ra khỏi chuỗi gói. Một không gian IV rộng lớn có nghĩa là xung đột IV và các tấn công tương ứng không thể xẩy ra. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 50 IV. CHUẨN XÁC THỰC 1. Nguyên lý RADIUS Server Việc chứng thực của 802.1x được thực hiện trên một server riêng, server này sẽ quản lý các thông tin để xác thực người sử dụng như tên đăng nhập (username), mật khẩu (password) vv.. Khi người dùng gửi yêu cầu chứng thực, server này sẽ tra cứu dữ liệu để xem người dùng này có hợp lệ không, được cấp quyền truy cập đến mức nào, vv.. Nguyên lý này được gọi là RADIUS (Remote Authentication Dial-in User Service) Server - Máy chủ cung cấp dịch vụ chứng thực người dùng từ xa. Phương thức này xuất hiện từ ban đầu với mục đích là thực hiện qua đường điện thoại, ngày nay không chỉ thực hiện qua quay số mà còn có thể thực hiện trên những đường truyền khác nhưng người ta vấn giữ tên RADIUS. Hình 18: Mô hình chứng thực sử dụng RADIUS Server Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 51 Các quá trình liên kết và xác thực được tiến hành như mô tả trong hình trên, và thực hiện theo các bước sau: RADIUS Server Client Laptop Access Point 1 2 3 4 5 6 7 Hình 19: Quá trình chứng thực RADIUS Server 1. Máy tính Client gửi yêu cầu kết nối đến AP 2. AP thu thập các yêu cầu của Client và gửi đến RADIUS server 3. RADIUS server gửi đến Client yêu cầu nhập user/password 4. Client gửi user/password đến RADIUS Server 5. RADIUS server kiểm tra user/password có đúng không, nếu đúng thì RADIUS server sẽ gửi cho Client mã khóa chung 6. Đồng thời RADIUS server cũng gửi cho AP mã khóa này và đồng thời thông báo với AP về quyền và phạm vi được phép truy cập của Client này 7. Client và AP thực hiện trao đổi thông tin với nhau theo mã khóa được cấp Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 52 Để nâng cao tính bảo mật, RADIUS Server sẽ tạo ra các khóa dùng chung khác nhau cho các máy khác nhau trong các phiên làm việc (session) khác nhau, thậm chí là còn có cơ chế thay đổi mã khóa đó thường xuyên theo định kỳ. Khái niệm khóa dùng chung lúc này không phải để chỉ việc dùng chung của các máy tính Client mà để chỉ việc dùng chung giữa Client và AP. 2. Phƣơng thức chứng thực mở rộng EAP Để đảm bảo an toàn trong quá trình trao đổi bản tin chứng thực giữa Client và AP không bị giải mã trộm, sửa đổi, người ta đưa ra EAP (Extensible Authentication Protocol) - giao thức chứng thực mở rộng trên nền tảng của 802.1x. Giao thức chứng thực mở rộng EAP là giao thức hỗ trợ, đảm bảo an ninh trong khi trao đổi các bản tin chứng thực giữa các bên bằng các phương thức mã hóa thông tin chứng thực. EAP có thể hỗ trợ, kết hợp với nhiều phương thức chứng thực của các hãng khác nhau, các loại hình chứng thực khác nhau ví dụ ngoài user/password như chứng thực bằng đặc điểm sinh học, bằng thẻ chip, thẻ từ, bằng khóa công khai, vv...Kiến trúc EAP cơ bản được chỉ ra ở hình dưới đây, nó được thiết kế để vận hành trên bất cứ lớp đường dẫn nào và dùng bất cứ các phương pháp chứng thực nào. Hình 20: Kiến trúc EAP cơ bản Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 53 2.1. Bản tin EAP Một bản tin EAP được thể hiện ở hình trên. Các trường của bản tin EAP : - Code: trường đầu tiên trong bản tin, là một byte dài và xác định loại bản tin của EAP. Nó thường được dùng để thể hiện trường dữ liệu của bản tin. - Identifier: là một byte dài. Nó bao gồm một số nguyên không dấu được dùng để xác định các bản tin yêu cầu và trả lời. Khi truyền lại bản tin thì vẫn là các số identifier đó, nhưng việc truyền mới thì dùng các số identifier mới. - Length: có giá trị là 2 byte dài. Nó chính là chiều dài của toàn bộ bản tin bao gồm các trường Code, Identifier, Length, và Data. - Data: là trường cuối cùng có độ dài thay đổi. Phụ thuộc vào loại bản tin, trường dữ liệu có thể là các byte không. Cách thể hiện của trường dữ liệu được dựa trên giá trị của trường Code. 2.2. Các bản tin yêu cầu và trả lời EAP ( EAP Requests and Responses ) Trao đổi trong chứng thực mở rộng EAP bao gồm các bản tin yêu cầu và trả lời. Nơi tiếp nhận chứng thực ( Authenticator ) gửi yêu cầu tới hệ thống tìm kiếm truy cập, và dựa trên các bản tin trả lời , truy cập có thể được chấp nhận hoặc từ chối. Bản tin yêu cầu và trả lời được minh họa ở hình dưới đây: Hình 21: Cấu trúc khung của bản tin yêu cầu và trả lời - Code: có giá trị là 1 nếu là bản tin yêu cầu và có giá trị là 2 nếu là bản tin trả lời. Trường Data chứa dữ liệu được dùng trong các bản tin yêu cầu và trả lời. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 54 Mỗi trường Data mang một loại dữ liệu khác nhau, phân ra loại mã xác định và sự liên kết dữ liệu như sau: - Type: là một trường byte chỉ ra loại các bản tin yêu cầu hay trả lời. Chỉ có một byte được dùng trong mỗi gói tin. Khi một bản tin yêu cầu không được chấp nhận, nó có thể gửi một NAK để đề nghị thay đổi loại, có trên 4 loại chỉ ra các phương pháp chứng thực. - Type - Data: là trường có thể thay đổi để làm rõ hơn nguyên lý của từng loại. 2.2.1. Loại code 1: Identity Nơi tiếp nhận chứng thực thường dùng loại Identity như là yêu cầu thiết lập. Sau đó, việc xác định người dùng là bước đầu tiên trong trong chứng thực. Trường Type - Data có thể bao gồm chuỗi để nhắc người dùng, chiều dài của chuỗi được tính từ trường Length trong chính gói EAP. 2.2.2. Loại code 2: Notification (Thông báo) Nơi tiếp nhận chứng thực có thể dùng loại thông báo để gửi một bản tin tới người dùng. Sau đó hệ thống của người dùng hiển thị bản tin đó. Bản tin thông báo được dùng để cung cấp bản tin tới người dùng từ hệ thống chứng thực, như là password về việc hết quyền sử dụng. Các bản tin đáp ứng phải được gửi để trả lời các yêu cầu thông báo. Tuy nhiên, chúng thường là các phản hồi đơn giản, và trường Type - Data có chiều dài là 0. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 55 2.2.3. Loại code 3: NAK Các NAK được dùng để đưa ra một phương thức chứng thực mới. Nơi tiếp nhận chứng thực đưa ra chuỗi mời kết nối, được mã hóa bởi một loại mã. Các loại chứng thực được đánh số thứ tự trên 4. Nếu hệ thống người dùng không phù hợp với loai chứng thực của chuỗi này, nó có thể đưa ra một NAK. Các bản tin NAK của trường của trường Type – Data bao gồm một byte đơn tương ứng với loại chứng thực. 2.2.4. Loại code 4: Chuỗi MD5 (MD5 Challenge) MD5 Challenge thường được sử dụng trong EAP tương tự của giao thức CHAP, được đưa ra trong RFC 1994. Đây là yêu cầu bảo mật cơ bản mà EAP sử dụng gồm có Tên đăng nhập và mật khẩu. MD5 bảo vệ gói tin bằng cách tạo ra những dấu hiệu đặc trưng riêng ( như chữ ký điện tử ) lưu trong gói tin đó. MD5 là một giao thức còn đơn giản, chạy nhanh, dễ bổ xung. Nó không sử dụng chứng thực TKIP, mức độ mã hóa của nó còn chưa cao, có khả năng bị tấn công kiểu thu hút. 2.2.5. Loại code 5: One - time password (OPT ) Hệ thống one - time password dùng bởi EAP được định nghĩa trong RFC 1938. Bản tin yêu cầu được đưa tới người dùng bao gồm chuỗi mời kết nối OPT. Trong một bản tin đáp ứng OPT (loại 5), trường Type - Data gồm có các từ ở từ điển OPT trong RFC 1938. Giống như tất cả các loại chứng thực, các bản tin trả lời có thể là các NAK (loại 3). 2.2.6. Loại code 6: Đặc điểm thẻ Token (Generic Token Card ) Các thẻ Token như là SecureID của RSA và Safeword của Secure Computing là phổ biến với nhiều nơi bởi vì chúng đưa ra sự bảo mật “ngẫu nhiên” các one - time password mà không có một phức tạp nào của một OPT. Các bản tin yêu cầu chứa đựng thông tin đặc điểm thẻ Token cần thiết cho chứng Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 56 thực. Trường Type- Data của yêu cầu phải có chiều dài lớn hơn 0 byte. Trong các bản tin đáp ứng, trường Type - Data được dùng để mang thông tin được sao chép từ thẻ Token bởi người dùng. Trong cả bản tin yêu cầu và trả lời, trường chiều dài của gói EAP được tính là chiều dài bản tin yêu cầu của Type - Data. 2.2.7. Loại code 13: TLS RFC đưa ra việc dùng Transport Layer Security (TLS) trong chứng thực. TLS là phiên bản nâng cấp đã được triển khai một cách rộng rãi ở Secure Socket Layer (SSL) và chứng thực TLS kế thừa một số đặc điểm từ SSL. TLS là một phương thức mã hóa mạnh, nó chứng thực song phương có nghĩa là không chỉ Server chứng thực Client mà Client cũng chứng thực lại Server, chống lại việc nghe trộm, bắt gói tin. Nhược điểm của nó là yêu cầu chứng thực PKI ở cả 2 phía làm cho quá trình chứng thực phức tạp, nó phù hợp với hệ thống nào đã có sẵn chứng thực PKI. 2.2.8. Các loại mã khác Đáng chú ý nhất là 2 khái niệm chứng thực Kerberos và chứng thực cell - phone (thẻ SIM dựa trên các mạng thế hệ thứ 2 và AKA dựa trên các mạng thế hệ thứ 3). 2.3. Các khung trong EAP Khi các trao đổi EAP kết thúc, người dùng hoặc chứng thực thành công hoặc không thành công. Khi nơi tiếp nhận chứng thực xác định việc trao đổi là hoàn tất nó đưa ra khung thành công (Code 3) và không thành công (Code 4) để kết thúc trao đổi EAP. Nó cho phép gửi nhiều bản tin yêu cầu trước khi chứng thực không thành công để cho phép người dùng nhận được thông tin chứng thực đúng. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 57 Hình 22: Cấu trúc các khung EAP thành công và không thành công 2.4. Chứng thực cổng Chứng thực tới các thiết bị mạng ở lớp đường dẫn là không mới. Chứng thực cổng mạng đã được biết đến từ trước. Hầu hết sự ra đời của nó đã có sự phát triển cơ sở hạ tầng khá rộng để phù hợp chứng thực người dùng, như là nguyên lý RADIUS servers, và LDAP directories. Khái niệm Port: để chỉ việc đóng mở cổng tương ứng với việc chấp nhận hay từ chối kết nối của Authenticator. Ngoài ra còn có thêm 1 port cho các tuyến đi qua mà không liên quan đến quá trình chứng thực. Hình 23: Cấu trúc cổng 2.5. Kiến trúc và thuật ngữ trong chứng thực EAP Trong quá trình chứng thực sử dụng EAP, có 3 bên chính tham gia là : - Máy Client/Máy xin chứng thực - Client/Supplicant: là các phần tử có nhu cầu cần chứng thực để thiết lập kết nối Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 58 - Tiếp nhận chứng thực – Authenticator: là các phần tử trung gian tiếp nhận nhu cầu chứng thực và trao đổi bản tin qua lại giữa Client và Server chứng thực. Phương thức trao đổi giữa Authenticator và Client gọi là EAPOL (EAP Over LAN) hoặc EAPOW (EAP Over Wireless). - Server chứng thực - Authentication Server: phần tử xử lý các yêu cầu chứng thực gửi đến, cấp phép hay từ chối. Nó không chỉ xử lý yêu cầu chứng thực của Client mà còn có thể gửi đến Client yêu cầu chứng thực bản thân nó. Server chứng thực có thể theo mô hình RADIUS Server hay Active Directory Server. 2.6. Dạng khung và cách đánh địa chỉ của EAPOL 2.6.1. Dạng khung Dạng cơ bản của một khung EAPOL được đưa ra ở hình dưới đây: Hình 24: Cấu trúc cơ bản của khung EAPOL Bao gồm các trường sau: - MAC header: gồm có địa chỉ đích và địa chỉ nguồn MAC - Ethernet Type: gồm có 2 byte để đánh địa chỉ mã là 88 – 8e. - Version: cho biết số thứ tự của phiên bản. - Packet Type: EAPOL là một sự mở rộng của EAP. Bảng sau chỉ ra một số loại bản tin và miêu tả về chúng: Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 59 Loại bản tin Tên Miêu tả 00000000 EAP - Packet Bao gồm một khung EAP. Phần lớn các khung đều là EAP – Packet. 00000001 EAPOL - Start Thay cho việc đợi một chuỗi mời kết nối từ Authenticator, Supplicant có thể đưa một khung EAPOL – Start. Trong bản tin trả lời, Authenticator gửi một khung EAP – Request / Identity. 00000010 EAPOL – Logoff Khi một hệ thống hoàn tất việc sử dụng mạng, nó có thể đưa ra một khung EAPOL – Logoff để đưa cổng về trạng thái tắt. 00000011 EAPOL – Key EAPOL có thể được dùng để trao đổi thông tin khóa mã hóa. - Packet Body Length: chiều dài là 2 byte. Nó được thiết lập là 0 khi không có packet body nào tồn tại. - Packet Body: trường này có chiều dài thay đổi được, có trong tất cả các dạng khung EAPOL trừ bản tin EAPOL - Start và EAPOL - Logoff. 2.6.2. Đánh địa chỉ Trong môi trường chia sẻ mạng LAN như là Ethernet, Supplicants gửi các bản tin EAPOL tới nhóm địa chỉ 01:C2:00:00:03. Trong mạng 802.11, các cổng là không tồn tại, và EAPOL có thể tiếp tục được chỉ sau khi quá trình liên kết cho phép cả hai bên là Supplicant ( STA không dây di động ) và authenticator Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 60 ( AP ) để trao đổi địa chỉ MAC. Trong môi trường như là 802.11, EAPOL yêu cầu dùng địa chỉ STA. 2.7. Một ví dụ về trao đổi thông tin trong chứng thực EAP Hình 25: Quá trình chứng thực EAP Các bước trao đổi theo thứ tự như sau: 1. Supplicant gửi bản tin EAPOL - Start tới Authenticator. 2. Authenticator ( chuyển mạch mạng ) gửi lại một khung EAP - Request / Identity tới Supplicant. 3. Supplicant trả lời bằng một khung EAP - Reponse / Identity. Sau đó Authenticator gửi đến RADIUS server một bản tin Radius - Access - Request. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 61 4. RADIUS server trả lời bằng một bản tin Radius - Access - Challenge. Sau đó Authenticator gửi đến Supplicant một bản tin EAP - Request cho sự chứng thực hợp lệ chứa bất kỳ thông tin liên quan. 5. Supplicant tập hợp các thông tin trả lời từ người dùng và gửi một EAP (Reponse tới Authenticator). Tại đây thông tin xử lý thành bản tin Radius Access Request và được gửi tới RADIUS. 6. RADIUS server gửi một bản tin Radius Access Accept cho phép truy cập. Vì vậy, Authenticator gửi một khung EAP Success tới Supplicant. Khi đó cổng được mở và người dùng có thể bắt đầu truy cập vào mạng. 7. Khi Supplicant hoàn tất việc truy cập mạng, nó gửi một bản tin EAPOL - Logoff để đóng cổng. Tóm lại về nguyên lý 3 bên thì cũng giống như nguyên lý 3 bên chứng thực đã đề cập ở phần giới thiệu RADIUS server, chỉ có điều khác là các hoạt động trao đổi bản tin qua lại đều thông qua EAP để đảm bảo an ninh. Từ các cơ sở lý thuyết nêu trên đã được các nhà sản suất thiết bị đưa vào ứng dụng để xây dựng lên các hệ thống mạng không dây có độ an toàn và bảo mật dữ liệu cao, đáp ứng được nhu cầu phát triển mạnh mẽ của công nghệ mạng không dây. Trên thực tế các hệ thống mạng không dây phát triển rất nhiều trong các doanh nghiệp, các văn phòng hay các trường đại học. Trong đó trường đại học kỹ thuật công nghiệp thái nguyên là một trong những trường đầu tiên triển khai một hệ thống mạng không dây lớn thực hiện việc cung cấp và chia sẻ các tài nguyên quan trọng của nhà trường với sinh viên. Chính vì vậy nhu cầu bảo mật thông tin và an toàn hệ thống mạng không dây của nhà trường được đặt lên hàng đầu. Việc ứng dụng các cơ sở lý thuyết về bảo mật cho hệ thống sẽ được hiện thực hoá trong chương tiếp theo của luận văn này. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 62 CHƢƠNG III ỨNG DỤNG THỰC TẾ MẠNG KHÔNG DÂY TẠI TRƢỜNG ĐHKTCN THÁI NGUYÊN. Trong chương I và II chúng ta đã đi sâu tìm hiểu về cơ sở lý thuyết cũng như các cơ chế, các nguyên tắc và một số vấn đề bảo mật thông tin trong hệ thống mạng không dây nói chung và trong WLAN nói riêng. Trong chương này sẽ trình bầy cụ thể ứng dụng vào thực tế các lý thuyết về bảo mật đó trong việc xây dựng hệ thống mạng không dây tại trường Đại học Kỹ thuật Công nghiệp Thái Nguyên. I. MÔ HÌNH MẠNG KHÔNG DÂY TRONG TRƢỜNG ĐHKTCN Nguyên tắc thiết kế Hệ thống mạng không dây được xây dựng tại trường Đại học kỹ thuật công nghiệp Thái Nguyên để đáp ứng các nhu cầu sau: - Đảm bảo truy cập không dây cho các thiết bị di động hỗ trợ. - Đảm bảo cung cấp được khả năng truy cập tại các khu vực làm việc chính (tòa nhà trung tâm, tòa nhà thư viện, tòa nhà làm việc các khoa, tòa nhà A5, hội trường) và một số khu vực khuôn viên bên ngoài các tòa nhà trên. - Cung cấp các thông tin, tài nguyên, các giao tiếp giữa sinh viên với nhà trường như kế hoạch thời khoá biểu, lịch thi, thông tin về điểm học tập thông qua cổng thông tin điện tử của nhà trường như Website. - Đảm bảo việc truy cập vào hệ thống Server của trường để đăng ký môn học của sinh viên trong toàn trường. - Phải có khả năng cung cấp dịch vụ Roaming (Người dùng mạng không dây có thể di truyển qua nhiều vùng phủ sóng của các Access Point khác nhau mà không bị ngắt quãng truy cập). Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 63 - Đảm báo cung cấp các tính năng bảo mật phù hợp tin cậy để đảm bảo an toàn thông tin cho toàn bộ hệ thống cơ sở dữ liệu quan trọng của trường. 1. Mô hình logic và sơ đồ phủ sóng vật lý tổng thể tại trƣờng 1.1. Mô hình thiết kế logic Giải pháp bao gồm các Access point đặt tại các tòa nhà được liên kết với nhau dựa trên hệ thống mạng có dây tại trường. Các Access Point được quản lý tập trung nhờ thiết bị WLAN controller đồng thời cung cấp dịch vụ roaming (kết nối liên tục trong khi di chuyển) và các dịch vụ bảo mật, chứng thực. Hình 26: Mô hình logic mạng không dây tại trƣờng Các thiết bị có hỗ trợ kết nối không dây sẽ kết nối tới AP trong vùng phủ sóng, toàn bộ quá trình kết nối và các hoạt động truy cập của thiết bị sẽ được ghi lại tại file log của WLAN controller nhằm kiểm soát các hoạt động truy cập bất hợp pháp. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 64 1.2. Sơ đồ phủ sóng vật lý tổng thể tại trƣờng Dựa trên quá trình khảo sát thực tế tại trường và việc tính toán chi tiết, đảm bảo khả năng tối ưu các vùng mà AP phủ sóng tới. Mặt khác không gian phủ sóng phải liên kết một cách khoa học không rời rạc đảm bảo các yêu cầu về tín hiệu đường truyền. Từ đó chúng tôi đưa ra mô hình phủ sóng của toàn bộ hệ thống mạng không dây như sau: Hình 27: Mô hình phủ sóng tại trƣờng Trong mô hình trên ta thấy rằng việc phủ sóng tại các khu vực nhà làm việc và một số vùng khuôn viên của nhà trường được thực hiện như sau: Trong không gian tại các khu nhà làm việc các AP phát sóng indor theo dạng hình cầu bao phủ toàn bộ không gian làm việc của toà nhà. Dựa vào các thiết bị đo tín hiệu sao cho các điểm chết là ít nhất (điểm mà tại đó tín hiệu sóng wifi là ít nhất hoặc không có ). Các AP sử dụng ăng ten loại yagi để phát sóng outdor theo nửa hình bán cầu ra khu vực khuôn viên của trường theo đúng thiết kế. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 65 2. Thiết kế chi tiết của hệ thống 2.1. Mô hình thiết kế chi tiết hệ thống mạng không dây Với phương án thiết kế, căn cứ trên các tiêu chí về ưu nhược điểm của từng phương án và hệ thống mạng hữu tuyến có dây sẵn có, mô hình thiết kế vật lý chi tiết hệ thống mạng không dây tại trường Đại học Kỹ thuật Công nghiệp Thái Nguyên như sau: Outside Core Distribution Access Cisco 4506 Internet Tòa nhà TT Tòa nhà TV Tòa nhà TH/ Giao vien Tòa nhà A5,Hội trường WLAN controller/ IPS/AAA Semi antenna Semi antenna Semi antenna Semi antenna Load balancer A D S L A D S LL e a se d li n e Hình 28: Sơ đồ phân bố các Access point Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 66 2.2. Thiết bị sử dụng trong hệ thống mạng không dây Thiết bị sử dụng trong hệ thống bao gồm các Access Point (AP) 1242 series của Cisco, mỗi AP sẽ được trang bị 1 antenna ngoài để hỗ trợ phủ sóng outdor ra bên ngoài khuôn viên. Thiết bị này hỗ trợ các cơ chế bảo mật mới nhất nhƣ: - Authentication Security Standards - WPA - WPA2 (802.11i) - Cisco TKIP - Cisco message integrity check (MIC) - IEEE 802.11 WEP keys of 40 bits and 128 bits - 802.1X EAP types: - EAP-Flexible Authentication via Secure Tunneling (EAP-FAST) - Protected EAP-Generic Token Card (PEAP-GTC) - PEAP-Microsoft Challenge Authentication Protocol Version 2 (PEAP-MSCHAP) - EAP-Transport Layer Security (EAP-TLS) - EAP-Tunneled TLS (EAP-TTLS) - EAP-Subscriber Identity Module (EAP-SIM) - Cisco LEAP - Encryption - AES-CCMP encryption (WPA2) - TKIP (WPA) - Cisco TKIP - WPA TKIP - IEEE 802.11 WEP keys of 40 bits and 128 bits Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 67 Một thiết bị hết sức quan trọng đi cùng với các AP là WLC-4402 (Cisco wireless control system) để cung cấp các chức năng cho

Các file đính kèm theo tài liệu này:

  • pdf25LV09_CNTT_KHMTPhamHongViet.pdf
Tài liệu liên quan