Tải bản đầy đủ (.pdf) (47 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Báo cáo khoa học

Báo cáo đồ án: BẢO MẬT MẠNG KHÔNG DÂY WIRELESS SECURITY potx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.09 MB, 47 trang )

Final Project: Wireless Security
- 1 -
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG




BÁO CÁO ĐỒ ÁN MÔN HỌC
AN NINH MẠNG


Tên đề tài:

BẢO MẬT MẠNG KHÔNG DÂY
WIRELESS SECURITY






GVHD: ThS. Lê Phúc
Lớp: D05THA1
Nhóm thực hiện: Nguyễn Khôi 405170031
Nguyễn Ngọc Lê Uyên 405170093
Nguyễn Châu Thành 404170062








Thành phố Hồ Chí Minh
3 – 4 – 2009
Final Project: Wireless Security
- 2 -
MỤC LỤC

Chương I: Giới thiệu về Wireless Lan
1.1. Khái niệm
1.2. Ưu điểm
1.2.1. Tính di động
1.2.2. Tính đơn giản
1.2.3. Tiết kiệm chi phí lâu dài
1.2.4. Khả năng vô hướng
1.2.5. Dễ dàng truy cập tại các đại điểm Internet công cộng
1.3. Hoạt động
1.4. Mô hình
1.4.1. Mô hình mạng AD HOC
1.4.2. Mô hình mạng cơ sở BSSs
1.4.3. Mô hình mạng mở rộng ESSs

Chương II: Các chuẩn 802.11
2.1. Giới thiệu về chuẩn 802.11
2.2. Nhóm lớp vật lý PHY
2.2.1. Chuẩn 802.11b
2.2.2. Chuẩn 802.11a
2.2.3. Chuẩn 802.11g
2.2.4. Chuẩn 802.11n
2.3. Nhóm lớp liên kết dữ liệu MAC

2.3.1. Chuẩn 802.11d
2.3.2. Chuẩn 802.11r
2.3.3. Chuẩn 802.11e
2.3.4. Chuẩn 802.11F
2.3.5. Chuẩn 802.11h
2.3.6. Chuẩn 802.11i
2.3.7. Chuẩn 802.11w
2.4. Các chuẩn khác
2.4.1. Chuẩn 802.11j
2.4.2. Chuẩn 802.11s
2.4.3. Chuẩn 802.11k
2.4.4. Chuẩn 802.11p
2.4.5. Chuẩn 802.11u
Final Project: Wireless Security
- 3 -

Chương III: Các thành phần trong Wireless Lan
3.1. Stations (các máy trạm)
3.2. Access points (các điểm truy cập)
3.3. Wireless medium (môi trường không dây)
3.4. Distribution system (hệ thống phân tán)

Chương IV: Hoạt động của mạng không dây
4.1. Nguyên tắc hoạt động của Wireless Access Point
4.2. Các frame trong Wireless Network

Chương V: Bảo mật mạng không dây
5.1. Tại sao bảo mật mạng không dây?
5.2. Bảo mật mạng không dây(WLAN)
5.2.1. Wireless Client

5.2.2. Access Points (AP)
5.2.3. Access Server
5.3. Mô hình bảo mật không dây
5.3.1. Device Authorization
5.3.2. Encryption
5.3.3. Authentication
5.3.4. Firewall
5.3.5. VPN

Chương VI: Mã hóa
6.1. Định nghĩa
6.2. Phân loại
6.2.1. Mật mã dòng
6.2.2. Mật mã khối
6.3. Một số kỹ thuật có thể khắc phục được vấn đề trên
6.3.1. Sử dụng vector khởi tạo IV
6.3.2. Chế độ phản hồi

Chương VII: Bảo mật bằng WEP
7.1. Định nghĩa WEP
7.2. Frame được mã hóa bởi WEP
7.3. Tiến trình mã hóa và giải mã
Final Project: Wireless Security
- 4 -
7.4. Những điểm yếu về bảo mật của WEP
7.5. Giải pháp WEP tối ưu

Chương VIII: Các kiểu tấn công trong mạng không dây
8.1. ROGUE ACCESS POINT
8.1.1. Định nghĩa

8.1.2. Phân loại
8.2. De-authentication Flood Attack(tấn công yêu cầu xác thực lại )
8.3. Fake Access Point
8.4. Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý
8.5. Tấn công ngắt kết nối (Disassociation flood attack)

Chương IX: Các giải pháp bảo mật nổi bật
9.1. WLAN VPN
9.2. TKIP
9.3. AES
9.3.1. Mã hóa CBC-CTR
9.3.2. Mã hóa CBC-MAC
9.4. 802.1x và EAP
9.4.1. 802.1x
9.4.2. EAP
9.5. WPA
9.5.1. WPA cải tiến 3 điểm yếu nổi bật của WEP
9.5.2. Những điểm yếu của WPA
9.6. WPA2
9.7. Lọc
9.7.1. Lọc SSID
9.7.2. Lọc địa chỉ MAC
9.7.3. Lọc giao thức









Final Project: Wireless Security
- 5 -
Chương I: Giới thiệu về Wireless Lan

1.1 Khái niệm
Mạng không dây là một hệ thống mạng mà ở đó các máy tính có thể nói chuyện, giao
tiếp với nhau và cùng chia sẻ các nguồn tài nguyên như máy in hay các file dữ liệu mà
không cần dùng dây cáp mạng. Thông qua các thiếp bị giao tiếp cơ bản như Access Point
( dùng để phát tín hiệu), Card mạng không dây ( dùng cho máy PC để bàn), Card PCMCI
dùng cho máy tính xách tay không có card wireless tích hợp, USB wireless thì chúng ta
đã có một hệ thống mạng không dây tương đối hoàn chỉnh.
Công nghệ mạng không dây do tổ chức IEEE xây dựng và được tổ chức Wi-Fi
Alliance chính thức đưa vào sử dụng. Mạng không dây có tính năng, đặc trưng hoàn toàn
giống như mạng cổ điển như Ethernet, Token Ring, vv. điểm nổi bật của hệ thống mạng
không dây là không sử dụng Cables để kết nối hoặc ứng dụng tại nơi không thể thi công
cables. Hệ thống này sử dụng tần số Radio 2.4MHz để chuyển tải dữ liệu, do đó bạn dể
dàng nâng cấp, thay đổi tốc độ truyền không giống như hệ thống cổ điển như chôn cables
xuống đất, âm trong tường, vv.
Hệ thống mạng không dây sử dụng môi trường truyền dẫn tần số radio - radio
frequencies (RF). Tần số radio thường rất được sử dụng phổ biến vì băng thông rộng nên
truyền tính hiệu đi rất xa, phủ sóng rộng hơn. Đa số các hệ thống mạng wireless thường
sử dụng băng tần 2.4-gigahertz (GHz).

Chia hệ thống mạng không dây thành 2 loại:
Mạng không dây trong nhà ( Indoor )

Final Project: Wireless Security
- 6 -
Mạng không dây ngoài trời ( Outdoor )





1.2 Ưu điểm
Mạng không dây không dùng cáp cho các kết nối,thay vào đó, chúng sử dụng sóng
radio. Ưu thế của mạng không dây là khả năng di động và sự tự do, người dùng không bị
hạn chế về không gian và vị trí kết nối. Các mạng máy tính không dây có ưu điểm về hiệu
suất, sự thuận lợi, cụ thể như sau:

1.2.1 Tính di động : Người sử dụng laptop và máy tính notebook có thể thay đổi vị trí
mà vẫn luôn duy trì được kết nối mạng. Điều này cho phép người dùng di động có thể di
chuyển từ địa điểm này đến các địa điểm khác, đi lại trong các cuộc hội thảo, hành lang,
quán cà phê, lớp học mà vẫn có thể truy cập vào dữ liệu mạng. Nếu không có mạng không
dây, người dùng phải mang theo cáp và bị hạn chế vì phải làm việc gần với các giắc cắm
cáp. Kết nối LAN không dây là một công nghệ hoàn hảo cho các môi trường cần đến
nhiều sự di động. Ví dụ: các môi trường mua bán lẻ có thể có lợi khi người dùng sử dụng
laptop để vào thông tin kiểm kê một cách trực tiếp trong cơ sở dữ liệu từ các quầy hàng.
Thậm chí nếu không có cơ sở hạ tầng không dây, các máy tính laptop không dây vẫn có
thể từ mạng ad hoc truyền thông và chia sẻ dữ liệu với các máy tính khác.

1.2.2 Tính đơn giản : Để kết nối mạng trong hai tòa nhà cao tầng được tách biệt bởi
trở ngại về vật lý, hợp lệ và tài chính, bạn có thể sử dụng liên kết được cung cấp bởi các
hãng truyền thông (chi một chi phí cài đặt cố định và giá thành chi phí đinh kỳ) hoặc bạn
có thể tạo một liên kết không dây point-to-point bằng việc sử dụng công nghệ LAN không
dây (chi một chi phí cài đặt cố định mà không cần chi phí định kỳ). Việc loại bỏ được các
gánh nặng về truyền thông định kỳ có thể tiết kiệm một cách đáng kể các chi phí cho tổ
chức. Công nghệ mạng LAN không dây có thể được sử dụng để tạo một mạng tạm thời,
Final Project: Wireless Security
- 7 -

điều này có ý nghĩa đối với các nhiệm vụ nào đó chỉ diễn ra trong một thời điểm ngắn. Ví
dụ: mạng sử dụng cho hội nghị hoặc các trình chiếu mang tinh chất thương mại có thể
ứng dụng loại hình mạng không dây này, hiển nhiên là nó linh hoạt hơn việc triển khai
bằng các đường truyền cáp với kiểu nối mạng chạy dây Ethernet truyền thống.
Nhiều tòa nhà như các tòa nhà có từ lâu đời có thể không được phép chạy dây, vì việc này
có thể dẫn đến làm xấu đi tòa nhà. Chính vì vậy nếu áp dụng giải pháp không dây ở đây
sẽ là một lựa chọn cần thiết.Khía cạnh không dây của mạng LAN không dây cũng rất hấp
dẫn với bất kì gia đình nào, người có điều kiện kết nối máy tính trong nhà cùng nhau mà
không cần đục lỗ, kéo dây cáp qua các bức tường và trần nhà.

1.2.3 Tiết kiệm chi phí lâu dài : Trong khi đầu tư cần thiết ban đầu đối với phần cứng
của một mạng máy tính không dây có thể cao hơn chi phí phần cứng của một mạng hữu
tuyến nhưng toàn bộ phí tổn lắp đặt và các chi phí về thời gian tồn tại có thể thấp hơn
đáng kể. Chi phí dài hạn có lợi nhất trong các môi trường động cần phải di chuyển và
thay đổi thường xuyên.

1.2.4 Khả năng vô hướng : các mạng máy tính không dây có thể được cấu hình theo
các topo khác nhau để đáp ứng các nhu cầu ứng dụng và lắp đặt cụ thể. Các cấu hình dễ
dàng thay đổi từ các mạng ngang hàng thích hợp cho một số lượng nhỏ người sử dụng
đến các mạng có cơ sở hạ tầng đầy đủ dành cho hàng nghìn người sử dụng mà có khả
năng di chuyển trên một vùng rộng.

1.2.5 Dễ dàng truy cập tại các đại điểm Internet công cộng. Xa hơn nữa là các tòa
nhà cao tầng của nhiều công ty, truy cập Internet và thậm trí là truy cập vào các trang của
công ty có thể được thực hiện thông qua các mạng hot spot không dây công cộng. Các sân
bay, nhà hàng, bến xe lửa và các vùng công cộng khác trong toàn thành phố có thể được
cung cấp với các loại hình dịch vụ không dây này. Khi một ai đó đi đến đích trong chuyến
công tác của họ có lẽ việc gặp một khách hàng tại văn phòng công ty của họ mà bị giới
hạn thì việc giới hạn về truy cập có thể được cung cấp bằng một mạng không dây cục bộ.
Mạng này có thể nhận ra người dùng này là từ một công ty khác và tạo một kết nối được

cô lập với công ty đó nhưng vẫn có thể truy cập Internet cho người dùng mới đến này.
Nhà cung cấp cơ sở hạ tầng không dây đang cho phép việc kết nối không dây trong các
vùng công cộng xung quanh thế giới. Nhiều sân bay, các trung tâm hội thảo, khách sạn
cung cấp truy cập không dây cho khách của họ.



Final Project: Wireless Security
- 8 -
1.3 Hoạt động

Các mạng máy tính không dây sử dụng các sóng điện từ không gian (vô tuyến hoặc
ánh sáng) để truyền thông tin từ một điểm tới điểm khác. Các sóng vô tuyến thường được
xem như các sóng mang vô tuyến do chúng chỉ thực hiện chức năng cung cấp năng lượng
cho một máy thu ở xa. Dữ liệu đang được phát được điều chế trên sóng mang vô tuyến
(thường được gọi là điều chế sóng mang nhờ thông tin đang được phát) sao cho có thể
được khôi phục chính xác tại máy thu.
Nhiễu sóng mang vô tuyến có thể tồn tại trong cùng không gian, tại cùng thời điểm
mà không can nhiễu lẫn nhau nếu các sóng vô tuyến được phát trên các tần số vô tuyến
khác nhau. Để nhận lại dữ liệu, máy thu vô tuyến sẽ thu trên tần số vô tuyến của máy phát
tương ứng.
Trong một cấu hình mạng máy tính không dây tiêu chuẩn, một thiết bị thu/phát (bộ
thu/phát) được gọi là một điểm truy cập, nối với mạng hữu tuyến từ một vị trí cố định sử
dụng cáp tiêu chuẩn. Chức năng tối thiểu của điểm truy cập là thu, làm đệm, và phát dữ
liệu giữa mạng máy tính không dây và cơ sở hạ tầng mạng hữu tuyến. Một điểm truy cập
đơn có thể hỗ trợ một nhóm nhỏ người sử dụng và có thể thực hiện chức năng trong một
phạm vi từ một trăm đến vài trăm feet. Điểm truy cập (hoặc anten được gắn vào điểm truy
cập) thường được đặt cao nhưng về cơ bản có thể được đặt ở bất kỳ chỗ nào miễn là đạt
được vùng phủ sóng mong muốn.
Những người sử dụng truy cập vào mạng máy tính không dây thông qua các bộ

thích ứng máy tính không dây như các Card mạng không dây trong các vi máy tính, các
máy Palm, PDA. Các bộ thích ứng máy tính không dây cung cấp một giao diện giữa hệ
thống điều hành mạng (NOS – Network Operation System) của máy khách và các sóng
không gian qua một anten. Bản chất của kết nối không dây là trong suốt đối với hệ điều
hành mạng.

1.4 Mô hình
Mạng 802.11 linh hoạt về thiết kế, gồm 3 mô hình mạng sau:
· Mô hình mạng độc lập(IBSSs) hay còn gọi là mạng Ad hoc
· Mô hình mạng cơ sở (BSSs)
· Mô hình mạng mở rộng(ESSs)

1.4.1 Mô hình mạng Ad hoc
Các nút di động (máy tính có hỗ trợ card mạng không dây) tập trung lại trong một
không gian nhỏ để hình thành nên kết nối ngang cấp (peer-to-peer) giữa chúng. Các nút di
động có card mạng wireless là chúng có thể trao đổi thông tin trực tiếp với nhau , không
Final Project: Wireless Security
- 9 -
cần phải quản trị mạng. Vì các mạng ad-hoc này có thể thực hiện nhanh và dễ dàng nên
chúng thường được thiết lập mà không cần một công cụ hay kỹ năng đặc biệt nào vì vậy
nó rất thích hợp để sử dụng trong các hội nghị thương mại hoặc trong các nhóm làm việc
tạm thời. Tuy nhiên chúng có thể có những nhược điểm về vùng phủ sóng bị giới hạn,
mọi người sử dụng đều phải nghe được lẫn nhau.



1.4.2 Mô hình mạng cơ sở Basic service set ( BSSs)




Bao gồm các điểm truy nhập AP (Access Point) gắn với mạng đường trục hữu tuyến
và giao tiếp với các thiết bị di động trong vùng phủ sóng của một cell. AP đóng vai trò
điều khiển cell và điều khiển lưu lượng tới mạng. Các thiết bị di động không giao tiếp
trực tiếp với nhau mà giao tiếp với các AP.Các cell có thể chồng lấn lên nhau khoảng 10-
Final Project: Wireless Security
- 10 -
15% cho phép các trạm di động có thể di chuyển mà không bị mất kết nối vô tuyến và
cung cấp vùng phủ sóng với chi phí thấp nhất. Các trạm di động sẽ chọn AP tốt nhất để
kết nối. Một điểm truy nhập nằm ở trung tâm có thể điều khiển và phân phối truy nhập
cho các nút tranh chấp, cung cấp truy nhập phù hợp với mạng đường trục, ấn định các địa
chỉ và các mức ưu tiên, giám sát lưu lượng mạng, quản lý chuyển đi các gói và duy trì
theo dõi cấu hình mạng. Tuy nhiên giao thức đa truy nhập tập trung không cho phép các
nút di động truyền trực tiếp tới nút khác nằm trong cùng vùng với điểm truy nhập như
trong cấu hình mạng WLAN độc lập. Trong trường hợp này, mỗi gói sẽ phải được phát đi
2 lần (từ nút phát gốc và sau đó là điểm truy nhập) trước khi nó tới nút đích, quá trình này
sẽ làm giảm hiệu quả truyền dẫn và tăng trễ truyền dẫn.

1.4.3 Mô hình mạng mở rộng Extended Service Set (ESSs)
Mạng 802.11 mở rộng phạm vi di động tới một phạm vi bất kì thông qua ESS. Một
ESSs là một tập hợp các BSSs nơi mà các Access Point giao tiếp với nhau để chuyển lưu
lượng từ một BSS này đến một BSS khác để làm cho việc di chuyển dễ dàng của các trạm
giữa các BSS, Access Point thực hiện việc giao tiếp thông qua hệ thống phân phối. Hệ
thống phân phối là một lớp mỏng trong mỗi Access Point mà nó xác định đích đến cho
một lưu lượng được nhận từ một BSS. Hệ thống phân phối được tiếp sóng trở lại một đích
trong cùng một BSS, chuyển tiếp trên hệ thống phân phối tới một Access Point khác, hoặc
gởi tới một mạng có dây tới đích không nằm trong ESS. Các thông tin nhận bởi Access
Point từ hệ thống phân phối được truyền tới BSS sẽ được nhận bởi trạm đích.

Final Project: Wireless Security
- 11 -

Chương II: Các chuẩn 802.11

2.1 Giới thiệu về chuẩn 802.11

Hiện nay, wireless network, cụ thể hơn là wireless LAN/MAN dùng các chuẩn
dạng 802.11. Chuẩn này được ra đời vào năm 1997. Đây là chuẩn sơ khai của mạng ko
dây, nó mô tả cách truyền thông trong mạng ko dây sử dụng các phương thức như DSSS
(Direct Sequence Spread Spectrum), FHSS (Frequency Hopping Spread Spectrum) và
Infrared (hồng ngoại). Tốc độ hoạt động từ 1 - 2 Mbs, hoạt động trong băng tần 2.4 GHz
ISM.
Sau này chuẩn này còn được bổ sung thêm nhiều chuẩn mới có dạng 802.11x. Tất
cả những mạng trong chuẩn 802.x đều bao gồm thành phần MAC và PHY:
- MAC: tập các quy tắc xác định giao thức truy cập môi trường và truyền nhận dữ
liệu.
- PHY: chi tiết thông tin về giao thức truyền và nhận dữ liệu
+ 802.11 : ra đời năm 1997. Đây là chuẩn sơ khai của mạng không dây, nó mô tả cách
truyền thông trong mạng không dây sử dụng các phương thức như DSSS, FHSS, infrared
(hồng ngoại). Tốc độ hoạt động tối đa là 2 Mbps, hoạt động trong băng tần 2.4 GHz ISM.
Hiện nay chuẩn này rất ít được sử dụng trong các sản phẩm thương mại
2.2 Nhóm lớp vật lý PHY
2.2.1 Chuẩn 802.11b
IEEE đã mở rộng trên chuẩn 802.11 gốc vào tháng Bảy năm 1999, đó chính là chuẩn
802.11b. Chuẩn này cải tiến DSSS để tăng băng thông lên 11 Mbps , tương quan với
Ethernet truyền thống.
802.11b sử dụng tần số vô tuyến (2.4 GHz) giống như chuẩn ban đầu 802.11. Các
hãng thích sử dụng các tần số này để chi phí trong sản xuất của họ được giảm. Các thiết bị
802.11b có thể bị xuyên nhiễu từ các thiết bị điện thoại không dây (kéo dài), lò vi sóng
hoặc các thiết bị khác sử dụng cùng dải tần 2.4 GHz. Mặc dù vậy, bằng cách cài đặt các
thiết bị 802.11b cách xa các thiết bị như vậy có thể giảm được hiện tượng xuyên nhiễu
này.


Final Project: Wireless Security
- 12 -
 Ưu điểm của 802.11b – giá thành thấp nhất; phạm vi tín hiệu tốt và không dễ bị
cản trở.
 Nhược điểm của 802.11b – tốc độ tối đa thấp nhất; các ứng dụng gia đình có thể
xuyên nhiễu.
2.2.2 Chuẩn 802.11a
Trong khi 802.11b vẫn đang được phát triển, IEEE đã tạo một mở rộng thứ cấp cho
chuẩn 802.11 có tên gọi 802.11a. Vì 802.11b được sử dụng rộng rãi quá nhanh so với
802.11a, nên một số người cho rằng 802.11a được tạo sau 802.11b. Tuy nhiên trong thực
tế, 802.11a và 802.11b được tạo một cách đồng thời. Do giá thành cao hơn nên 802.11a
chỉ được sử dụng trong các mạng doanh nghiệp còn 802.11b thích hợp hơn với thị trường
mạng gia đình.
802.11a hỗ trợ băng thông lên đến 54 Mbps vì nó sử dụng công nghệ OFDM
(orthogonal frequency-division multiplexing ) và sử dụng tần số vô tuyến 5GHz UNII nên
nó sẽ không giao tiếp được với chuẩn 802.11 và 802.11b. Tần số của 802.11a cao hơn so
với 802.11b chính vì vậy đã làm cho phạm vi của hệ thống này hẹp hơn so với các mạng
802.11b. Với tần số này, các tín hiệu 802.11a cũng khó xuyên qua các vách tường và các
vật cản khác hơn.
Do 802.11a và 802.11b sử dụng các tần số khác nhau, nên hai công nghệ này
không thể tương thích với nhau. Chính vì vậy một số hãng đã cung cấp các thiết bị mạng
hybrid cho 802.11a/b nhưng các sản phẩm này chỉ đơn thuần là bổ sung thêm hai chuẩn
này.
 Ưu điểm của 802.11a – tốc độ cao; tần số 5Ghz tránh được sự xuyên nhiễu từ các
thiết bị khác.
 Nhược điểm của 802.11a – giá thành đắt; phạm vi hẹp và dễ bị che khuất
2.2.3 Chuẩn 802.11g

Vào năm 2002 và 2003, các sản phẩm WLAN hỗ trợ một chuẩn mới hơn đó là

802.11g, được đánh giá cao trên thị trường. 802.11g thực hiện sự kết hợp tốt nhất giữa
802.11a và 802.11b. Nó hỗ trợ băng thông lên đến 54Mbps vì sử dụng công nghệ OFDM
và sử dụng tần số 2.4 Ghz để có phạm vi rộng. 802.11g có khả năng tương thích với các
chuẩn 802.11b, điều đó có nghĩa là các điểm truy cập 802.11g sẽ làm việc với các adapter
mạng không dây 802.11b và ngược lại.
Final Project: Wireless Security
- 13 -
 Ưu điểm của 802.11g – tốc độ cao; phạm vi tín hiệu tốt và ít bị che khuất.
 Nhược điểm của 802.11g – giá thành đắt hơn 802.11b; các thiết bị có thể bị xuyên
nhiễu từ nhiều thiết bị khác sử dụng cùng băng tần.
2.2.4 Chuẩn 802.11n
Chuẩn mới nhất trong danh mục Wi-Fi chính là 802.11n. Đây là chuẩn được thiết
kế để cải thiện cho 802.11g trong tổng số băng thông được hỗ trợ bằng cách tận dụng
nhiều tín hiệu không dây và các anten (công nghệ MIMO).
Khi chuẩn này được đưa ra, các kết nối 802.11n sẽ hỗ trợ tốc độ dữ liệu lên đến
100 Mbps. 802.11n cũng cung cấp phạm vi bao phủ tốt hơn so với các chuẩn Wi-Fi trước
nó nhờ cường độ tín hiệu mạnh của nó. Thiết bị 802.11n sẽ tương thích với các thiết bị
802.11g.
Điểm mạnh của 802.11n
Tốc độ vừa phải và vấn đề về khả năng tương thích là những đặc điểm được tìm
thấy trong các sản phẩm chuẩn dự thảo 802.11n. Tại sao các hãng sản xuất đã gấp rút tung
sản phẩm ra thị trường Có 2 công ty chuyên về lĩnh vực mạng Wi-Fi đã chọn chờ cho đến
hết chuẩn dự thảo 802.11n (ít nhất cho đến thời điểm này). Wi-Fi Airgo Network và hãng
sản xuất thiết bị mạng U.S. Robotics cho biết họ không muốn bán các sản phẩm không
thể cập nhật lên chuẩn cuối cùng. Họ sẽ có chip 802.11n sẵn sàng cho việc thử nghiệm
ngay khi đặc điểm kỹ thuật được phê chuẩn, Airgo nói. Tuy nhiên, những nhà sản xuất
không dây khác dường như không muốn chờ và nhiều khách hàng cũng vậy. Thực tế,
router draft-n bán khá chạy.
Tiến trình phê duyệt chuẩn dù sao cũng không thể nhanh như mong muốn. Chuẩn
draft-n phiên bản 2.0 dự kiến được biểu quyết vào tháng Giêng và có khả năng được

duyệt như chuẩn cuối cùng nhưng hầu hết quan sát viên dự đoán sẽ có chuẩn dự thảo thứ
ba vào cuối 2007, sau đó là sản phẩm được phê chuẩn và chứng nhận vào cuối 2007 hay
đầu 2008. Dù 802.11n chứa nhiều cải tiến của 802.11g hiện hành, nổi bật nhất là tốc độ lý
thuyết, có thể từ 270-600Mbps, tùy thiết bị (chẳng hạn PDA sẽ có tốc độ thấp để tiết kiệm
năng lượng). Tốc độ truyền siêu nhanh của các router này cũng được ứng dụng công nghệ
anten thông minh MIMO mà Airgo Network đã mở đầu trong vài năm qua.
Wi-Fi tốc độ cao cũng ứng dụng công nghệ "channel bonding", bằng cách kết hợp 2 kênh
20MHz liền nhau thành một kênh 40MHz. Tuy nhiên, "channel bonding" có thể gây nhiễu
cho 2 "láng giềng" chuẩn 802.11b và g, bởi nó sẽ lấy toàn bộ dải phổ 2,4GHz mà các sản
phẩm chuẩn này đang sử dụng. Để bảo vệ các mạng lân cận, dự thảo n cũng quy định
Final Project: Wireless Security
- 14 -
Clear Channel Assessment-CCA nhưng đó có phải là điều khoản bắt buộc không thì chưa
rõ.
Để tránh tình trạng "quá tải", 802.11n hỗ trợ cả hai tần số 2,4GHz và 5GHz. Một
số chuyên gia hy vọng tần số 5GHz (hiện được sử dụng cho chuẩn 802.11a) sẽ nổi lên
như "xa lộ siêu tốc" để không gặp trở ngại khi sử dụng các dịch vụ băng thông cao. Trong
năm tới hầu hết các hãng sản xuất sẽ giới thiệu router băng tần kép (dual-band router), tuy
nhiên có thể một vài thiết bị không hỗ trợ đồng thời tần số 2,4GHz và 5GHz.

Tuy nhiên, chuẩn 802.11n chưa an toàn cho người dùng
Trước hết là lỗ hổng trong hệ thống phát hiện xâm nhập trên mạng không dây
(WIDS). Nếu dùng cách truyền dữ liệu qua các kênh 40 HMz (được khuyến cáo dùng chủ
yếu trên dải 5 GHz thông thoáng), hệ thống WIDS sẽ mất gấp đôi thời gian quét tần số để
phát hiện ra các dấu hiệu nguy hiểm, so với kênh 20 MHz trước đây.
Điều này sẽ khiến hacker mất gấp đôi thời gian để thâm nhập vào một tần số cho
trước đến khi máy quét dò đến tần số đó lần nữa (khoảng 4 đến 8 giây). Nhưng giữa
khoảng thời gian đó, hacker sẽ lặp lại các đợt tấn công chứ không chỉ thử một lần rồi thôi.
Như vậy, thời gian quét dài hơn nghĩa là nguy hiểm lớn hơn.
Kẻ tấn công cũng có thể khai thác trình điều khiển (driver) để chiếm quyền truy

cập hệ thống quản lý. Có một công cụ miễn phí từ nhóm Aruba mang tên WiFi Driver
Enumerator làm được điều này sau khi chúng dò ra các driver bảo mật yếu trong hệ
thống.
Hiện chuẩn 802.11n cũng chưa có lá chắn nào để chặn đồng ý truy cập
(acknowledgement - ACK). Nó có cơ chế chấp nhận một bó gói tin thay vì các gói tin
riêng lẻ được xác định bởi một nhận dạng đầu và cuối. Dù vậy, cơ chế này không được
bảo vệ và bất kỳ kẻ tấn công nào cũng có thể chèn vào đó một gói tin "lừa" và tạo ra một
cửa sổ lớn gồm những cấu trúc được gửi đi mà không cần ACK. Như vậy, 802.11n có thể
bị tấn công từ chối dịch vụ DDoS mà không đỡ được

2.3 Nhóm lớp liên kết dữ liệu MAC
2.3.1 Chuẩn 802.11d
Chuẩn này chỉnh sửa lớp MAC của 802.11 cho phép máy trạm sử dụng FHSS có thể tối
ưu các tham số lớp vật lý để tuân theo các quy tắc của các nước khác nhau nơi mà nó
được sử dụng.

2.3.2 Chuẩn 802.11r
Mở rộng của IEEE 802.11d, cho phép nâng cấp khả năng chuyển vùng.

Final Project: Wireless Security
- 15 -
2.3.2 Chuẩn 802.11e
Đây là chuẩn bổ sung cho chuẩn 802.11 cũ, nó định nghĩa thêm các mở rộng về chất
lượng dịch vụ (QoS) nên rất thích hợp cho các ứng dụng multimedia như voice, video
(VoWLAN).
Chuẩn 802.11e cho phép phân các mức độ ưu tiên lưu thông để các dữ liệu cần thời gian
thực (như các luồng tín hiệu hình hay cuộc gọi VoIP) sẽ được truyền trước các dữ liệu
kém quan trọng hơn (như e-mail hoặc trang web). Một số sản phẩm sử dụng một phần của
chuẩn này (gọi là WMM - Wi-Fi Multimedia)


2.3.3 Chuẩn 802.11F
Được phê chuẩn năm 2003. Đây là chuẩn định nghĩa các thức các AP giao tiếp với nhau
khi một client roaming từng vùng này sang vùng khác. Chuẩn này còn được gọi là Inter-
AP Protocol (IAPP). Chuẩn này cho phép một AP có thể phát hiện được sự hiện diện của
các AP khác cũng như cho phép AP “chuyển giao” client sang AP mới (lúc roaming),
điều này giúp cho quá trình roaming được thực hiện một cách thông suốt.

2.3.4 Chuẩn 802.11h
Hiện đang được sử dụng tại châu Âu, đây là khu vực mà quy định tần số radio đòi hỏi các
sản phẩm phải có hệ thống TPC (transmission power control) và DFS (dynamic frequency
selection). TPC giới hạn năng lượng được truyền tải tới mức tối thiểu cần thiết để vươn
tới người dùng xa nhất. DFS lựa chọn kênh dẫn radio tại điểm truy nhập nhằm hạn chế tối
thiểu nhiễu với các hệ thống khác, đặc biệt là ra đa. Tại một số khu vực trên thế giới, đa
phần tần số 5 GHz được dành cho chính phủ và quân đội sử dụng.

2.3.5 Chuẩn 802.11i
Là một chuẩn về bảo mật, nó bổ sung cho các yếu điểm của WEP trong chuẩn 802.11.
Chuẩn này sử dụng các giao thức như giao thức xác thực dựa trên cổng 802.1X, và một
thuật toán mã hóa được xem như là không thể crack được đó là thuật toán AES (Advance
Encryption Standard), thuật toán này sẽ thay thế cho thuật toán RC4 được sử dụng trong
WEP.

2.3.6 Chuẩn 802.11w
Là nâng cấp của các tiêu chuẩn bảo mật được mô tả ở IEEE 802.11i, hiện chỉ trong giải
đoạn khởi đầu.



Final Project: Wireless Security
- 16 -

2.4 Các chuẩn khác
2.4.1 Chuẩn 802.11j
(J = japan) nó là chuẩn mà người Nhật đã xin IEEE để nâng cấp hơn chuẩn 802.11 MAC
và 802.11a PHY, được phê chuẩn tháng 11/2004. Nó đề ra tầng số dành riêng cho Nhật là
từ 4.9GHz->5GHz bởi vì những card wireless của Nhật chỉ được dùng trong tần số từ 4.9-
5.091 GHz. Trong khi đó UNII lại từ 5.15GHz - 5.25 GHz

2.4.2 Chuẩn 802.11s
Định nghĩa các tiêu chuẩn cho việc hình thành mạng dạng lưới (mesh network) một cách
tự động giữa các AP 802.11 với nhau.

2.4.3 Chuẩn 802.11k
Những tiêu chuẩn trong việc quản lí tài nguyên sóng radio. Chuẩn này dự kiến sẽ hoàn tất
và được đệ trình thành chuẩn chính thức trong năm nay.

2.4.4 Chuẩn 802.11p
Hình thức kết nối mở rộng sử dụng trên các phương tiện giao thông (vd: sử dụng Wi-Fi
trên xe buýt, xe cứu thương ). Dự kiến sẽ được phổ biến vào năm 2009.

2.4.5 Chuẩn 802.11u
Quy định cách thức tương tác với các thiết bị không tương thích 802 (chẳng hạn các mạng
điện thoại di động).





















Final Project: Wireless Security
- 17 -


Chương III:Các thành phần trong Wireless Lan

3.1 Stations (các máy trạm)
Các mạng được xây dựng để truyền dữ liệu giữa các trạm, station là các thiết bị
tính toán có giao tiếp mạng không dây, điển hình như các máy tính để bàn hay máy tính
xách tay sử dụng pin. Trong một số môi trường, mạng không dây được sử dụng nhằm
tránh phải kéo cáp mới và các máy để bàn được kết nối với mạng LAN không dây. Những
khu vực lớn hơn cũng có lợi khi sử dụng mạng không dây như xưởng sản xuất sử dụng
mạng cục bộ không dây để kết nối các bộ phận. 802.11 nhanh chóng trở thành chuẩn thực
tế để liên kết những người sử dụng thiết bị điện tử với nhau.

3.2 Access points (các điểm truy cập)
Các khung dữ liệu trên mạng 802.11 phải được chuyển thành dạng khung dữ liệu
khác để phân phối trong các mạng khác. Thiết bị được gọi là điểm truy cập thể hiện các

chức năng chuyển đổi từ không dây sang có dây (điểm truy cập bao gồm nhiều chức năng
khác nhau, nhưng thực hiện chuyển đổi là chức năng quan trọng nhất). Các chức năng
điểm truy cập được đặt tại những thiết bị độc lập.Tuy nhiên, nhiều sản phẩm mới hơn tích
hợp các giao thức 802.11 vào hai loại access point cấp thấp (thin access point) và bộ điều
khiển access point (access point Controller).

3.3 Wireless medium (môi trường không dây)
Để chuyển các khung dữ liệu từ trạm này sang trạm khác trong môi trường không
dây, người ta xây dựng nhiều chuẩn vật lý khác nhau. Nhiều lớp vật lý được phát triển để
hỗ trợ 802.11 MAC, lớp vật lý vô tuyến (radio frequency) và lớp vật lý hồng ngoại được
chuẩn hóa.

3.4 Distribution system (hệ thống phân tán)
Khi các điểm truy cập được kết nối với nhau trong một khu vực, chúng phải liên
lạc với nhau để kiểm soát quá trình di chuyển của các thiết bị di động. Hệ thống phân tán
là một thành phần logic của 802.11 được dùng để chuyển các khung dữ liệu đến đích.
802.11 không yêu cầu bất cứ kỹ thuật riêng biệt nào cho hệ thống phân tán. Đối với hầu
hết các sản phẩm thương mại, hệ thống phân tán bao gồm các phần tử chuyển đổi và môi
trường hoạt động phân tán, chính là mạng đường trục được dùng để chuyển tiếp khung dữ
liệu giữa các điểm truy cập. Trong các sản phẩm thương mại chiếm lĩnh thị trường thì
Ethernet được sử dụng làm mạng đường trục chính.
Final Project: Wireless Security
- 18 -


Chương IV: Hoạt động của mạng không dây
4.1 Nguyên tă
́
c hoa
̣

t đô
̣
ng cua
̉
Wireless Access Point
Chức năng cơ bản của một AP là làm cầu nối (bridge) cho những dữ liệu mạng
không dây từ không khí (môi trường sóng vô tuyến) vào mạng có dây bình thường. Một
AP có thể chấp nhận những kết nối từ một số các máy trạm không dây sao cho nó có thể
trở thành các thành viên bình thường của một mạng LAN dùng dây.
Một AP cũng có thể hoạt động như một cầu nối (bridge) để hình thành một kết nối
không dây giữa một mạng LAN này và một mạng LAN khác trên một khoảng cách xa.
Trong tình huống đó, ở mỗi đầu của kết nối không dây cần một access point. Kiểu kết nối
này gọi là AP-to-AP hoặc kết nối line-of-sight, thường được dùng để kết nối giữa các tòa
nhà.
Cisco cũng đã phát triển một loại AP có thể làm cầu nối cho các loại lưu lượng
trong mạng không dây từ AP này sang AP kia, theo kiểu một chuỗi các cầu nối. Kiểu kết
nối này cho phép một vùng không gian lớn có thể được bao phủ bởi mạng không dây. Các
AP lúc này sẽ hình thành nên sơ đồ mess, rất giống với mô hình ESS, trong đó các AP kết
nối liên hoàn với nhau thông qua các kết nối không dây khác.
AP hoạt động như một điểm truy cập trung tâm, kiểm soát các truy cập từ các máy
trạm. Bất kỳ máy trạm nào khi cố gắng dùng WLAN thì trước hết phải thiết lập một kết
nối với một AP. AP có thể cho phép kết nối theo dạng mở sao cho bất kỳ máy trạm nào
cũng có thể kết hợp, hoặc có thể kiểm soát chặt chẽ hơn bằng cách yêu cầu xác thực, hoặc
có thể dùng các tiêu chuẩn khác trước khi cho phép kết hợp.
Hoạt động của WLAN thì liên quan chặt chẽ đến quá trình phản hồi từ đầu bên kia
của kết nối không dây. Ví dụ, các máy trạm phải bắt tay với AP trước khi nó có thể kết
nối và sử dụng mạng không dây. Ở mức độ cơ bản nhất, yêu cầu này đảm bảo một kết nối
hai chiều bởi vì cả máy trạm và AP đều có khả năng truyền và nhận frame thành công.
Tiến trình này sẽ loại bỏ khả năng truyền thông một chiều, khi máy trạm chỉ có thể nghe
AP nhưng AP thì không thể nghe máy trạm.

Ngoài ra, AP có thể kiểm soát nhiều khía cạnh của phạm vi mạng không dây của
nó bằng cách yêu cầu một số điều kiện phải được đáp ứng trước khi máy trạm có thể kết
nối vào. Ví dụ, AP có thể yêu cầu máy client hỗ trợ một tốc độ truyền dữ liệu cụ thể, đáp
ứng các biện pháp bảo mật và các yêu cầu xác thực trong quá trình kết hợp.
Final Project: Wireless Security
- 19 -


Final Project: Wireless Security
- 20 -


4.2 Các frame trong Wireless Network
Các frame wireless có thể thay đổi về kích thước. Khi một frame được truyền, làm
thế nào để các máy khác biết là frame đã được truyền hoàn tất và đường truyền (sóng vô
tuyến) là rảnh cho các máy khác sử dụng? Rõ ràng, các máy trạm chỉ có thể lắng nghe
trong yên lặng, nhưng nếu làm thế thì không phải luôn luôn là hiệu quả. Các máy trạm
không dây khác có thể cũng lắng nghe và cũng có thể truyền ở cùng một thời điểm.
Chuẩn 802.11 yêu cầu tất cả các máy trạm phải chờ một khoảng thời gian. Khoảng thời
gian này được gọi là khoảng thời gian giữa các frame DCF (DCF interframe space). Sau
khoảng thời gian này, các máy trạm mới có thể truyền.
Bên máy truyền có thể chỉ ra một khoảng thời gian dự kiến để gửi đi hết một frame
bằng cách chỉ ra trong một trường của frame 802.11. Khoảng thời gian này chứa số
timeslot (thường tính bằng đơn vị microseconds) cần thiết để truyền frame. Các máy trạm
khác phải xem giá trị chứa trong header này và phải chờ khoảng thời gian đó trước khi
truyền cho chính nó.
Bởi vì tất cả các frame phải chờ cùng một khoảng thời gian chỉ ra trong frame, tất
cả các máy đó có thể sẽ quyết định cùng truyền khi khoảng thời gian đó trôi qua. Điều
này có thể dẫn đến hiện tượng xung đột, chính là một hiện tượng cần tránh.
Bên cạnh thông số thời gian nêu trên, các trạm không dây cũng phải triển khai một

bộ định thời ngẫu nhiên. Trước khi truyền một frame, máy tính đó phải chọn một số ngẫu
nhiên time slot phải chờ. Con số này sẽ nằm trong khoảng từ zero đến kích thước tối đa
cửa sổ cạnh tranh. Ý tưởng cơ bản của cách làm này là khi một máy muốn truyền, mỗi
máy sẽ chờ một khoảng thời gian ngẫu nhiên, giảm số trạm cố gắng truyền đồng thời
cùng lúc.
Final Project: Wireless Security
- 21 -
Toàn bộ tiến trình này được gọi là chức năng phối hợp phân phối. Chức năng này
được mô tả trong hình dưới đây. Ba người dùng wireless có cùng một frame phải truyền ở
các khoảng thời gian khác nhau. Một chuỗi các sự kiện sau sẽ xảy ra:

1. Người dùng A lắng nghe và xác định rằng không có người dùng nào khác đang truyền.
Người dùng A truyền frame của nó, đồng thời quảng bá khoảng thời gian để truyền frame.
2. Người dùng B cũng có frame để truyền. Anh ta phải chờ cho đến khi nào frame của
người dùng A là hoàn tất, sau đó, phải chờ hết khoảng thời gian DIFS (thời gian phối hợp
phân phối) hoàn tất.
3. Người dùng B phải chờ một khoàng thời gian ngẫu nhiên trước khi cố gắng truyền.
4. Khi người dùng B đang chờ, người dùng C có frame phải truyền. Anh ta lắng nghe và
phát hiện rằng không có ai đang truyền. Người dùng C phải chờ một khoảng thời gian
ngẫu nhiên. Khoàng thời gian này là ngắn hơn khoảng thời gian ngẫu nhiên của người
dùng B.
5. Người dùng C truyền frame và quảng bá khoảng thời gian để truyền.
6. Người dùng B phải chờ khoảng thời gian truyền frame của người dùng C cộng với
khảong thời gian giữa các frame DIFS trước khi cố gắng truyền lại một lần nữa












Final Project: Wireless Security
- 22 -
Chương V: Bảo mật mạng không dây
5.1 Tại sao bảo mật mạng không dây?
Để kết nối tới một mạng LAN hữu tuyến ta cần phải truy cập theo đường truyền
bằng dây cáp, phải kết nối một PC vào một cổng mạng. Với mạng không dây ta chỉ cần có
máy của ta trong vùng sóng bao phủ của mạng không dây. Điều khiển cho mạng có dây
là đơn giản: đường truyền bằng cáp thông thường được đi trong các tòa nhà cao tầng và
các port không sử dụng có thể làm cho nó disable bằng các ứng dụng quản lý. Các mạng
không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vật liệu của các tòa nhà và
như vậy sự bao phủ là không giới hạn ở bên trong một tòa nhà. Sóng vô tuyến có thể
xuất hiện trên đường phố, từ các trạm phát từ các mạng LAN này, và như vậy ai đó có thể
truy cập nhờ thiết bị thích hợp. Do đó mạng không dây của một công ty cũng có thể bị
truy cập từ bên ngoài tòa nhà công ty của họ.
Để cung cấp mức bảo mật tối thiểu cho mạng WLAN thì ta cần hai thành phần sau:
·Cách thức để xác định ai có quyền sử dụng WLAN - yêu cầu này được thỏa mãn bằng cơ
chế xác thực( authentication) .
·Một phương thức để cung cấp tính riêng tư cho các dữ liệu không dây – yêu cầu này
được thỏa mãn bằng một thuật toán mã hóa ( encryption).
Final Project: Wireless Security
- 23 -

5.2 Bảo mật mạng không dây(WLAN)
Một WLAN gồm có 3 phần:
5.2.1 Wireless Client điển hình là một chiếc laptop với NIC (Network Interface

Card) không dây được cài đặt để cho phép truy cập vào mạng không dây.
5.2.2 Access Points (AP) cung cấp sự bao phủ của sóng vô tuyến trong một vùng
nào đó (được biết đến như là các cell (tế bào)) và kết nối đến mạng không dây
5.2.3 Còn Access Server điều khiển việc truy cập. Một Access Server (như là
Enterprise Access Server (EAS) ) cung cấp sự điều khiển, quản lý, các đặc tính bảo mật
tiên tiến cho mạng không dây Enterprise
Một bộ phận không dây có thể được kết nối đến các mạng không dây tồn tại theo một số
cách. Kiến trúc tổng thể sử dụng EAS trong “Gateway Mode” hay “Controller Mode”.

Trong Gateway Mode EAS được đặt ở giữa mạng AP và phần còn lại của mạng
Enterprise. Vì vậy EAS điều khiển tất cả các luồng lưu lượng giữa các mạng không dây
và có dây và thực hiện như một tường lửa
Final Project: Wireless Security
- 24 -

Trong Controll Mode , EAS quản lý các AP và điều khiển việc truy cập đến mạng không
dây, nhưng nó không liên quan đến việc truyền tải dữ liệu người dùng. Trong chế độ này,
mạng không dây có thể bị phân chia thành mạng dây với firewall thông thường hay tích
hợp hoàn toàn trong mạng dây Enterprise. Kiến trúc WLAN hỗ trợ một mô hình bảo mật
được thể hiện trên hình 4. Mỗi một phần tử bên trong mô hình đều có thể cấu hình theo
người quản lý mạng để thỏa mãn và phù hợp với những gì họ cần.


5.3 Mô hình bảo mật không dây

Kiến trúc LAN không dây hỗ trợ một mô hình bảo mật mở và toàn diện dựa trên chuẩn
công nghiệp như thể hiện trên hình 4. Mỗi một phần tử bên trong mô hình đều có thể cấu
hình theo người quản lý mạng để thỏa mãn và phù hợp với những gì họ cần.
Final Project: Wireless Security
- 25 -


5.3.1.Device Authorization: Các Client không dây có thể bị ngăn chặn theo địa chỉ phần
cứng của họ (ví dụ như địa chỉ MAC). EAS duy trì một cơ sở dữ liệu của các Client
không dây được cho phép và các AP riêng biệt khóa hay lưu thông lưu lượng phù hợp.

5.3.2.Encryption: WLAN cũng hỗ trợ WEP, 3DES và chuẩn TLS(Transport Layer
Sercurity) sử dụng mã hóa để tránh người truy cập trộm. Các khóa WEP có thể tạo trên
một per-user, per session basic.
5.3.3.Authentication: WLAN hỗ trợ sự ủy quyền lẫn nhau (bằng việc sử dụng 802.1x
EAP-TLS) để bảo đảm chỉ có các Client không dây được ủy quyền mới được truy cập vào
mạng. EAS sử dụng một RADIUS server bên trong cho sự ủy quyền bằng việc sử dụng
các chứng chỉ số. Các chứng chỉ số này có thể đạt được từ quyền chứng nhận bên trong
(CA) hay được nhập từ một CA bên ngoài. Điều này đã tăng tối đa sự bảo mật và giảm
tối thiểu các thủ tục hành chính.

5.3.4.Firewall: EAS hợp nhất packet filtering và port blocking firewall dựa trên các chuỗi
IP. Việc cấu hình từ trước cho phép các loại lưu lượng chung được enable hay disable.

5.3.5.VPN: EAS bao gồm một IPSec VPN server cho phép các Client không dây thiết lập
các session VPN vững chắc trên mạng.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×