Tải bản đầy đủ (.doc) (74 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kỹ thuật

đề xuất giải pháp bảo mật mạng cục bộ tại trường đại học hải dương

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.29 MB, 74 trang )

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
ĐINH PHƯƠNG NAM
ĐỀ XUẤT GIẢI PHÁP BẢO MẬT MẠNG CỤC BỘ TẠI
TRƯỜNG ĐẠI HỌC HẢI DƯƠNG
LUẬN VĂN THẠC SĨ KỸ THUẬT
HÀ NỘI – 2014
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
ĐINH PHƯƠNG NAM
ĐỀ XUẤT GIẢI PHÁP BẢO MẬT MẠNG CỤC BỘ TẠI
TRƯỜNG ĐẠI HỌC HẢI DƯƠNG
CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN
MÃ SỐ: 60.48.01.04 (Hệ thống thông tin)
LUẬN VĂN THẠC SĨ KỸ THUẬT
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS. TRẦN ĐÌNH QUẾ
HÀ NỘI – 2014
LỜI CẢM ƠN
Lời đầu tiên em xin gửi lời cảm ơn đến toàn thể các Thầy, Cô giáo Học viện
Công nghệ Bưu chính Viễn thông đã tận tình chỉ bảo em trong suốt thời gian học
tập tại Nhà trường.
Em xin gửi lời cảm ơn sâu sắc đến PGS.TS. Trần Đình Quế, người đã trực
tiếp hướng dẫn, tạo mọi điều kiện thuận lợi và tận tình chỉ bảo cho em trong suốt
thời gian làm luận văn tốt nghiệp.
Bên cạnh đó, để hoàn thành luận văn này, em cũng đã nhận được rất nhiều sự
giúp đỡ, những lời động viên quý báu của các bạn bè, gia đình và đồng nghiệp. Em
xin chân thành cảm ơn.
Tuy nhiên, do thời gian hạn hẹp, mặc dù đã nỗ lực hết sức mình, nhưng chắc
rằng luận văn này khó tránh khỏi thiếu sót. Em rất mong nhận được sự thông cảm
và chỉ bảo tận tình của quý Thầy cô và các bạn.
HỌC VIÊN
Đinh Phương Nam
i


LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai
công bố trong bất kỳ công trình nào khác.
Tác giả luận văn
Đinh Phương Nam

ii
MỤC LỤC
LỜI CAM ĐOAN i
MỤC LỤC ii
Danh mục các từ viết tắt iv
Danh mục các bảng vi
Danh mục các hình vẽ vi
MỞ ĐẦU 1
CHƯƠNG I. TỔNG QUAN VỀ MẠNG CỤC BỘ 2
1.1. Giới thiệu 2
1.2. Quá trình phát triển của mạng cục bộ 2
1.2.1. Mạng LAN nối dây 2
1.2.2. Mạng LAN không dây (WLAN) 6
1.3. Kết luận 9
CHƯƠNG 2. AN NINH MẠNG LAN 10
2.1. Mục tiêu của bảo mật trong mạng LAN 10
2.2. Các kiểu tấn công và đe dọa an ninh mạng 11
2.2.1. Tấn công chủ động 11
2.2.2. Tấn công bị động (Passive attacks) 13
2.2.3. Tấn công kiểu chèn ép (Jamming attacks) 15
2.2.4. Tấn công theo kiểu thu hút (Man in the middle attacks) 15
2.3. Các biện pháp và công cụ bảo mật hệ thống 15
2.3.1. Biện pháp kiểm soát truy nhập 15

2.3.2. Các công cụ bảo mật hệ thống 16
2.3.2.1. Firewall 16
2.3.2.2. Chữ ký điện tử 19
2.3.2.3. Bảo mật trong IEEE 802.11 20
2.3.2.4. WLAN VPN 24
2.3.2.5. Lọc 25
2.3.2.6. Nguyên lý RADIUS Server 27
iii
2.3.2.7. Phương thức chứng thực mở rộng EAP 29
2.4. Kết luận 31
CHƯƠNG 3. GIẢI PHÁP BẢO MẬT 32
3.1. Vai trò của của mạng LAN trong giáo dục 32
3.2. Phân tích, đánh giá hiện trạng mạng cục bộ của
Trường Đại học Hải Dương 34
3.3. Đề xuất thực thi bảo mật mạng cục bộ tại Trường Đại
học Hải Dương 36
3.3.1. Đề xuất mô hình mạng LAN mới 36
3.3.2. Các bước thực thi bảo mật hệ thống 39
3.3.3. Thiết lập chế độ bảo mật cho hệ thống mạng 40
3.4. Kết luận 57
KẾT LUẬN 58
PHỤ LỤC 60
TÀI LIỆU THAM KHẢO 64
iv
Danh mục các từ viết tắt
STT Từ viết tắt Tên đầy đủ
1 ACL Access control lists
2 AES Advanced Encryption Standard
3 AH Authentication Header
4 AP Access Point

5 CA Certificate Authority
6 CCK Complimentary Code Keying
7 CTS Clear To Send
8 DCF Distributed Coordination Function
9 DES Data Encryption Standard
10 DHCP Dynamic Host Configuration Protocol
11 DMZ Demilitarized Zone
12 DoS Denial of service
13 DS Distribution System
14 DSSS Direct Sequence Spread Stpectrum
15 EAOPL EAP Over LAN
16 EAP Extensible Authentication Protocol
17 EAPOW EAP Over Wireless
18 HCF Hybrid Coordination Function
19 IBSS Independent Basic Service Set
20 IDS Intrusion Detection System
v
21 IEEE Institute of Electrical and Electronics Engineers
22 IP Internet Protocol
23 Ipsec Internet Protocol Security
24 ISP Internet Service Provider
25 ISM Industrial Scientific and Medical
26 LAN Local Area Network
27 MAC Media Access Control
28 NAT Network Address Translation
29 NIC Network Interface Card
30 OFDM Orthogonal Frequency Division
31 PBCC Packet Binary Convolution Coding
32 PCF Point Coordination Function
33 PEAP Protected EAP Protocol

34 PKI Public Key Infrastructure
35 PSK Pre-sharing Key
36 RADIUS Remote Authentication Dial-In User Service
37 RTS Request To Send
38 SSID Service Set ID
39 STA Station
40 TACACS Terminal Access Controller Access Control System
41 TCP Transmission Control Protocol
42 TKIP Temporal Key Integrity Protocol
vi
43 UDP User Datagram Protocol
44 UNII Unlicense National Information Infrastructure
45 VPN Virtual Private Network
46 WAN Wide Area Network
47 WEP Wired Equivalent Privacy
48 WLAN Wireless Local Area Network
49 WPA Wi-Fi Protected Access
Danh mục các bảng
Số hiệu bảng Tên bảng Trang
Bảng 3.1. Các thông số của Router Cisco 1941/K9 38
Bảng 3.2. Các thông số của WAP610N 38
Danh mục các hình vẽ
Số hiệu
hình vẽ
Tên hình vẽ Trang
2.1 Mô hình bảo vệ LAN bằng Firewall 16
2.2 Mô hình sử dụng firewall phần cứng 17
2.3 Mô hình sử dụng Firewall phần mềm 17
2.4 Mô hình Packet-Filtering Router 18
2.5 Mô hình Screened Host Firewall 18

2.6 Mô hình Screened-subnet Firewall 19
2.7 Quá trình ký trong message 20
2.8 Lọc địa chỉ MAC 25
2.9 Lọc giao thức 27
2.10 Mô hình chứng thực sử dụng RADIUS Server 27
2.11 Quá trình chứng thực RADIUS Server 28
2.12 Kiến trúc EAP cơ bản 29
2.13 Quá trình chứng thực EAP 30
3.1 Truy cập thông tin có thể thực hiện bất kỳ đâu trong khuôn
viên với công nghệ WLAN
32
3.2 Mô hình mạng LAN với những phân đoạn mạng không dây
và có dây đan xen, kết hợp chặt chẽ với những máy chủ chính
sách và xác thực
33
vii
3.3 Sơ đồ hệ thống mạng LAN hiện của Nhà trường 35
3.4 Sơ đồ hệ thống mạng LAN mới 37
3.5 Thiết lập Action Center cảnh báo cho người sử dụng máy
tính
41
3.6 Bật chế độ tự động cập nhật các bản vá lỗi Windows 41
3.7 Bảo vệ máy tính bằng Windows Defender 42
3.8 Bảo vệ máy tính bằng Windows Firewall 42
3.9 Thiết đặt Wireless Security trên AP 43
3.10 Thiết đặt Wireless MAC Filter trên AP 43
3.11 Màn hình làm việc của Windows Firewall with Advanced
Security
44
3.12 Thẻ Domain Profile 44

3.13 Tùy chọn thiết đặt setting cho Domain Profile 45
3.14 Tùy chon thiết đặt Logging cho Domain Profile 46
3.15 Thẻ IPsec Settings 46
3.16 Tùy chọn Key Exchange 47
3.17 Tùy chọn Data Protection 48
3.18 Tùy chọn Integrity Algorithms 48
3.19 Tùy chọn Integrity and Encryption Algorithms 49
3.20 Tùy chọn chứng thực 49
3.21 Chọn cài đặt RADIUS server for 802.1X 50
3.22 Chọn bảo mật các kết nối không dây 51
3.23 Tạo một entry máy khách RADIUS mới 51
3.24 Thêm các nhóm người dùng 52
3.25 Thiết lập VLAN 52
3.26 Thiết lập chế độ bảo mật WPA2 Enteprise cho AP 53
3.27 Thiết lập bảo mật trên máy khách 53
3.28 Cấu hình các thuộc tính PEAP 54
3.29 Cửa sổ đăng nhập 54
1
MỞ ĐẦU
Hiện đại-tiện ích-đa năng là những ưu điểm vượt trội khi nói về máy tính.
Chính vì lẽ đó mà ở bất kỳ đâu từ những gia đình, đến các công ty, những trường
học, bệnh viện hay bất cứ một môi trường kinh doanh nào cũng đều có sự xuất hiện
của máy tính.
Khi xã hội càng phát triển con người càng cần đến thông tin và chia sẻ thông
tin. Chính điều này đã tạo cơ hội cho chiếc máy tính phát huy hết những tiện ích
vốn có của mình. Một chiếc máy tính đơn lẻ đã làm nên bao điều kỳ diệu và khi kết
nối các máy tính lại với nhau thành một hệ thống thì điều kỳ diệu đó còn được nhân
lên rất nhiều lần.
Có lẽ nhờ hiểu rõ được tầm quan trọng và những ưu điểm vượt trội của hệ
thống mạng máy tính mà số lượng các công ty, doanh nghiệp, trường học… thiết

lập, sử dụng hệ thống mạng ngày càng nhiều. Trong các tổ chức, đơn vị luôn có sự
xuất hiện của hệ thống mạng trong khâu quản lý công việc của nhân viên, trong
công tác quản lý, bảo mật và lưu trữ dữ liệu của đơn vị hay các thông báo, thông tin
giữa các cá nhân trong cùng một tổ chức.
Việc phải làm thế nào để xây dựng, duy trì một hệ thống mạng đảm bảo tốt
nhất cho các máy tính cũng như dữ liệu trong mạng được an toàn luôn là vấn đề
được các đơn vị, tổ chức quan tâm. Xuất phát từ nhu cầu thực tế, với đề tài “Đề xuất
giải pháp bảo mật mạng cục bộ tại Trường Đại học Hải Dương”, luận văn đi sâu
nghiên cứu tìm hiểu các mối nguy cơ đe dọa an toàn mang và một số phương pháp,
công cụ nhằm bảo vệ hệ thống mạng máy tính. Từ đó đề xuất ứng dụng vào thực tế
hệ thống mạng cục bộ tại Trường Đại học Hải Dương.
Luận văn gồm 3 chương:
Chương 1: Tổng quan về mạng cục bộ
Chương 2: An ninh mạng LAN
Chương 3: Giải pháp bảo mật
Trong đó đề tài tập trung vào chương 2 và 3 nhằm nghiên cứu tìm hiểu để đề
xuất ứng dụng giải pháp phù hợp nhất với thực tế.
2
CHƯƠNG I. TỔNG QUAN VỀ MẠNG CỤC BỘ
1.1. Giới thiệu
Mạng LAN (Local Area Network) ngày nay đã trở thành một phần không thể
thiếu của hầu như bất kỳ tổ chức nào. Có hai loại mạng LAN khác nhau đó là LAN
nối dây (sử dụng các loại cáp để kết nối) và LAN không dây (sử dụng sóng điện từ
để truyền thông với nhau).
Mạng LAN nối các máy tính với nhau và cho phép người sử dụng có thể:
- Liên lạc với nhau.
- Chia sẻ thông tin.
- Chia sẻ tài nguyên.
Mạng LAN là một nhân tố thiết yếu để thực hiện liên kết các bộ phận của
một tổ chức, và do vậy ngày càng có tầm quan trọng chiến lược.

Một mạng LAN phải có khả năng nối các máy tính có công suất tính toán
khác nhau, chạy các hệ điều hành khác nhau và với các thủ tục truyền thông khác
nhau. Chương trình ứng dụng chạy trên máy tính, cùng với công suất tính toán của
nó, sẽ xác định dải thông (Bandwidth) cần thiết mà mạng LAN phải đảm bảo cho
nó để người sử dụng phải thấy là mạng phản ứng đủ nhanh.
Mạng Campus (khu Đại học) trước đây được dùng để chỉ mạng của một
trường Đại học, nhưng ngày nay nó có ý nghĩa rộng hơn. Campus là bất kỳ tổ chức
nào với một số tòa nhà nằm trên một diện tích do tổ chức đó kiểm soát, có nghĩa là
ta có thể nối các tòa nhà đó với nhau bằng cáp riêng của tổ chức. Với nghĩa đó,
Campus có thể là các Nhà máy, Văn phòng, các tòa nhà của cơ quan, các trường
Đại học, .v.v…
1.2. Quá trình phát triển của mạng cục bộ
1.2.1. Mạng LAN nối dây
Trong nhiều năm qua, LAN đã trở thành một công cụ có ý nghĩa chiến lược
trong hoạt động của hầu như mọi tổ chức, nhất là các Doanh nghiệp, đơn vị. Mạng
3
LAN được phát triển từ thủa ban đầu là để chia sẻ tài nguyên như Máy in và Đĩa
cứng, tiếp đến là việc hỗ trợ cấu trúc khách/chủ (Clien/Server), rồi đến mạng Doanh
nghiệp và ngày nay là mạng đa dịch vụ số.
Vào những năm 60 và 70 của thế kỷ XX, cấu trúc mạng chiếm ưu thế là cấu
trúc phân lớp, với công suất tính toán được tập trung ở máy tính lớn (Main Flame),
còn các Terminal thì không có công suất xử lý (Terminal câm).
Vào những năm 80, cùng với sự xuất hiện của PC, người sử dụng thấy rằng
họ có thể thỏa mãn một phần lớn nhu cầu tính toán của họ mà không cần tới máy
tính lớn. Việc tính toán và xử lý độc lập ngày càng phát triển và vai trò xử lý tập
trung ngày càng giảm dần. Sau đó, LAN và các tiêu chuẩn cho phép nối các máy
tính khác nhau để cùng hoạt động vì lợi ích chung đã xuất hiện.
Sau đây là một số mốc lịch sử:
- Năm 1979, truyền số liệu dạng đơn giản.
- Năm 1980, chuẩn Ethernet đầu tiên ra đời.

- Năm 1982, các máy tính chia sẻ tài nguyên, nhưng sử dụng công suất tính
toán của riêng mình.
- Năm 1984, File server xuất hiện.
- Năm 1986, Hệ điều hành mạng bắt đầu xuất hiện.
- Năm 1988, xử lý phân tán xuất hiện.
- Năm 1989, Router xuất hiện trên thị trường.
- Năm 1990, nối các mạng có thủ tục khác nhau.
- Năm 1993, chuyển mạch Ethernet được chấp nhận.
- Năm 1994, chuẩn Fast Ethernet.
- Năm 1995, chuyển mạch Token Ring xuất hiện.
- Năm 1996, chuẩn Asynchronous Transfer Mode(ATM) được chấp nhận.
4
a. LAN thế hệ thứ nhất
LAN thế hệ thứ nhất nối các máy để bàn với nhau để chia sẻ tài nguyên. Tiếp
theo đó, các LAN được nối với nhau để tạo thành liên mạng bằng cách sử dụng
Hub, Bridge hoặc Router.
Mạng Doanh nghiệp với các chi nhánh ở xa nhau được hình thành thông qua
việc sử dụng Router với các đường xa có tốc độ 64 Kbps, các đường truyền này có
thể là Leased Line (đường thuê riêng) hoặc X.25.
Các mạng LAN đều là loại sử dụng chung môi trường truyền, có nghĩa là
một đường cáp duy nhất được dùng để truyền dữ liệu giữa các máy tính.
b. LAN thế hệ thứ hai
Thế hệ này được đặc trưng bởi công nghệ chuyển mạch và đa dịch vụ
(Multimedia) trước đây được hiểu là các phương tiện truyền dẫn khác nhau như cáp
đồng xoắn, cáp đồng trục, cáp quang. Gần đây, multimedia mới được hiểu là đa
dịch vụ: dữ liệu, thoại và hình ảnh.
c. Ethernet và chuẩn IEEE 802.3
Giới thiệu chung về Ethernet
Ethernet [1] là công nghệ của mạng LAN cho phép truyền tín hiệu giữa các
máy tính với tốc độ

10Mb/s đến 10 Gigabit/s. Trong các kiểu Ethernet thì kiểu sử
dụng cáp xoắn đôi là thông
dụng nhất. Hiện nay có khoảng 85% mạng LAN sử dụng
công nghệ Ethernet.
Năm 1980, Xerox, tập đoàn Intel và tập đoàn Digital Equipment đưa ra tiêu
chuẩn Ethernet 10 Mbps (Tiêu chuẩn DIX).
IEEE (Institute of Electrical and Electronics Engineers, Inc - Viện công nghệ
điện và điện tử) đưa ra tiêu chuẩn về Ethernet đầu tiên vào năm 1985 với tên gọi
"IEEE 802.3 Carrier Sense Multiple Access with Collision Detection Access
Method and Physical Layer Specifications".
Gần đây, với các phương tiện truyền dẫn và công nghệ mới, công nghệ
Ethernet đã ngày càng phát triển và đạt được tốc độ trao đổi số liệu đến 10 Gigabit
5
trên giây.
Thành phần mạng Ethernet bao gồm:
- Data Terminal Equipment: Các thiết bị truyền và nhận dữ liệu Data Terminal
Equipments thường là máy tính, Workstation, File Server, Print Server
- Data Communication Equipment: Là các thiết bị kết nối mạng cho phép
nhận và chuyển khung trên mạng. Data Communication Equipment có thể là các thiết
bị độc lập như Repeter, Switch, Router hoặc các khối giao tiếp thông tin như Card
mạng, Modem
- Interconnecting Media: Cáp xoắn đôi, cáp đồng (mỏng/dày), cáp quang.
Những đặc điểm cơ bản của Ethernet
- Cấu hình truyền thống: Bus đường thẳng/ Star
- Cấu hình khác: Star bus
- Kỹ thuật truyền: Base band
- Phương pháp truy nhập: CSMA/CD.
- Quy cách kỹ thuật: IEEE 802.3.
- Vận tốc truyền 10Mbps, 100Mbps 10Gbps
- Loại cáp: Cáp đồng trục mảnh, cáp đồng trục dày, cáp xoắn đôi, cáp quang

Chuẩn IEEE 802.3
IEEE 802.3 [1] đặc tả một mạng cục bộ dựa trên mạng Ethernet do Digital,
Intel và Xerox hợp tác pháp triển từ năm 1980. IEEE 802.3 tương tự như DIX
Ethernet, bao gồm cả tầng vật lý và tầng con MAC với các đặc tả sau:
- Đặc tả dịch vụ MAC (MAC ServicesSecification)
- Giao thức MAC (MAC Protocol).
- Đặc tả vật lý (Medium-Independent Physical Specification) độc lập với
đường truyền.
- Đặc tả vật lý phụ thuộc đường truyền (Medium - Dependent Physical
Specification).
6
- Đặc tả dịch vụ MAC định nghĩa các dịch vụ IEEE 802.3 cung cấp cho tầng
LLC hoặc người sử dụng ở tầng cao hơn.
Tầng MAC với giao thức truy nhập đường truyền CSMA/CD, làm giảm tình
trạng xung đột và nghẽn thông tin bằng cách mỗi thiết bị trước khi truyền phải lắng
nghe đường truyền và trong khi truyền vẫn tiếp tục nghe để xử lý khi có hiện tượng
va chạm.
Tầng vật lý của IEEE 802.3 được chia làm hai phần. Phần độc lập với đường
truyền, đặc tả giao diện giữa MAC và tầng vật lý. Phần phụ thuộc đường truyền là
bắt buộc phải có và đặc tả giao diện với đường truyền của LAN và các tín hiệu trao
đổi với đường truyền. Có các dạng sau cho tầng vật lý của IEEE 802.3:
- Tốc độ truyền tín hiệu (1 Mb/s hoặc 10Mb/s hoặc 100 Mb/s)
- BASE (nếu là Baseband) hoặc BROAD (nếu là Broadband)
- Chỉ định đặc trưng đường truyền.
10BASE -F: Dùng cáp quang, tốc độ 10 Mb/s, phạm vi cáp 4km Chuẩn này
được phân thành 3 dạng con: 10BASE-FL, 10BASE-FB và 10BASE-FP.
10BASE-T: Sử dụng nột dải tần rộng hỗ trợ cho các tốc độ tín hiệu 10Mb/s.
Dùng cáp UTP, trợ kháng 75 Ohm, với mạng hình sao.
100 BASE-X: Gọi là Fast Ethernet, mạng hình sao tương tự 10BASE, tốc độ
100Mb/s. Chuẩn này gồm 100 BASE-TX dùng cho cáp UTP hoặc STP 2 đôI, 100

BASE-FX dùng cho cáp quang, 100 BASE-T4 dùng cho cáp UTP 4 đôi (Four
Twisted Pairs).
10BROAD36: Dùng Broadband, tốc độ 10Mb/s, cáp đồng trục 75 Ohm,
phạm vi cáp 1800 m (lên tới 3600m trong cấu hình cáp đôi), sử dụng topo dạng BUS
1.2.2. Mạng LAN không dây (WLAN)
a. Khái niệm Wireless Lan
WLAN là một loại mạng máy tính nhưng việc kết nối giữa các thành phần
trong mạng không sử dụng các loại cáp như một mạng thông thường, môi trường
7
truyền thông của các thành phần trong mạng là không khí. Các thành phần trong
mạng sử dụng sóng điện từ để truyền thông với nhau.
b. Các chuẩn mạng WireLess Lan
Chuẩn 802.11
Năm 1997, Viện kỹ sư điện và điện tử (IEEE- Institute of Electrical and
Electronics Engineers) đưa ra chuẩn mạng nội bộ không dây (WLAN) đầu tiên –
được gọi là 802.11 [6] theo tên của nhóm giám sát sự phát triển của chuẩn này. Lúc
này, 802.11 sử dụng tần số 2,4GHz và dùng kỹ thuật trải phổ trực tiếp (Direct-
Sequence Spread Spectrum-DSSS) nhưng chỉ hỗ trợ băng thông tối đa là 2Mbps –
tốc độ khá chậm cho hầu hết các ứng dụng. Và do đó, các sản phẩm chuẩn không
dây này không còn được sản xuất nữa.
Chuẩn 802.11b
Từ tháng 6 năm 1999, IEEE bắt đầu mở rộng chuẩn 802.11 ban đầu và tạo ra
các đặc tả kỹ thuật cho 802.11b. Chuẩn 802.11b hỗ trợ băng thông lên đến 11Mbps,
ngang với tốc độ Ethernet thời bấy giờ. Đây là chuẩn WLAN đầu tiên được chấp
nhận trên thị trường, sử dụng tần số 2,4 GHz. Chuẩn 802.11b sử dụng kỹ thuật điều
chế khóa mã bù (Complementary Code Keying - CCK) và dùng kỹ thuật trải phổ
trực tiếp giống như chuẩn 802.11 nguyên bản. Với lợi thế về tần số (băng tần
nghiệp dư ISM 2,4GHz), các hãng sản xuất sử dụng tần số này để giảm chi phí sản
xuất. Nhưng khi đấy, tình trạng "lộn xộn" lại xảy ra, 802.11b có thể bị nhiễu do lò
vi sóng, điện thoại “mẹ bồng con” và các dụng cụ khác cùng sử dụng tần số

2,4GHz. Tuy nhiên, bằng cách lắp đặt 802.11b ở khoảng cách hợp lý sẽ dễ dàng
tránh được nhiễu. Ưu điểm của 802.11b là giá thấp, tầm phủ sóng tốt và không dễ bị
che khuất. Nhược điểm của 802.11b là tốc độ thấp và có thể bị nhiễu bởi các thiết bị
gia dụng.
Chuẩn 802.11a
Song hành với 802.11b, IEEE tiếp tục đưa ra chuẩn mở rộng thứ hai cũng
dựa vào 802.11 đầu tiên là 802.11a. Chuẩn 802.11a sử dụng tần số 5GHz, tốc độ
8
54Mbps tránh được can nhiễu từ các thiết bị dân dụng. Đồng thời, chuẩn 802.11a
cũng sử dụng kỹ thuật trải phổ khác với chuẩn 802.11b kỹ thuật trải phổ theo
phương pháp đa phân chia tần số trực giao (Orthogonal Frequency Division
Multiplexing-OFDM). Đây được coi là kỹ thuật trội hơn so với trải phổ trực tiếp
(DSSS). Do chi phí cao hơn, 802.11a thường chỉ được sử dụng trong các mạng
doanh nghiệp, ngược lại, 802.11b thích hợp hơn cho nhu cầu gia đình. Tuy nhiên,
do tần số cao hơn tần số của chuẩn 802.11b nên tín hiệu của 802.11a gặp nhiều khó
khăn hơn khi xuyên tường và các vật cản khác.
Do 802.11a và 802.11b sử dụng tần số khác nhau, hai công nghệ này không
tương thích với nhau. Một vài hãng sản xuất bắt đầu cho ra đời sản phẩm "lai"
802.11a/b, nhưng các sản phẩm này chỉ đơn thuần là cung cấp 2 chuẩn sóng Wi-Fi
cùng lúc (máy trạm dùng chuẩn nào thì kết nối theo chuẩn đó).
Ưu điểm của 802.11a là tốc độ nhanh; tránh xuyên nhiễu bởi các thiết bị
khác. Nhược điểm của 802.11a là giá thành cao; tầm phủ sóng ngắn hơn và dễ bị
che khuất.
Chuẩn 802.11g
Năm 2002 và 2003, các sản phẩm WLAN hỗ trợ chuẩn mới hơn được gọi là
802.11g nổi lên trên thị trường, chuẩn này cố gắng kết hợp tốt nhất 802.11a và
802.11b. 802.11g hỗ trợ băng thông 54Mbps và sử dụng tần số 2,4GHz cho phạm vi
phủ sóng lớn hơn. 802.11g tương thích ngược với 802.11b, nghĩa là các điểm truy
cập (access point –AP) 802.11g sẽ làm việc với card mạng Wi-Fi chuẩn 802.11b
Tháng 7/2003, IEEE phê chuẩn 802.11g. Chuẩn này cũng sử dụng phương

thức điều chế OFDM tương tự 802.11a nhưng lại dùng tần số 2,4GHz giống với
chuẩn 802.11b. Điều thú vị là chuẩn này vẫn đạt tốc độ 54Mbps và có khả năng
tương thích ngược với chuẩn 802.11b đang phổ biến.
Ưu điểm của 802.11g là tốc độ nhanh, tầm phủ sóng tốt và không dễ bị che
khuất. Nhược điểm của 802.11g là giá cao hơn 802.11b và có thể bị nhiễu bởi các
thiết bị gia dụng.
9
Chuẩn 802.11n
Chuẩn 802.11n cho phép kết nối với tốc độ 300 Mbps (có thể lên tới
600Mbps), và mở rộng vùng phủ sóng. 802.11n là mạng Wi-Fi đầu tiên có thể cạnh
tranh về mặt hiệu suất với mạng có dây 100Mbps. Chuẩn 802.11n hoạt động ở cả
hai tần số 2,4GHz và 5GHz với kỳ vọng có thể giảm bớt được tình trạng “quá tải” ở
các chuẩn trước đây.
Ưu điểm của 802.11n là tốc độ nhanh nhất, vùng phủ sóng tốt nhất; trở
kháng lớn hơn để chống nhiễu từ các tác động của môi trường. Nhược điểm của
802.11n là giá thành cao hơn 802.11g, sử dụng nhiều luồng tín hiệu có thể gây
nhiễu với các thiết bị 802.11b/g kế cận.
Một số chuẩn khác
Ngoài các chuẩn phổ biến trên, IEEE còn lập các nhóm làm việc độc lập để
bổ sung các quy định vào các chuẩn 802.11a, 802.11b, và 802.11g nhằm nâng cao
tính hiệu quả, khả năng bảo mật và phù hợp với các chuẩn cũ như: IEEE 802.11c,
IEEE 802.11d, IEEE 802.11e, IEEE 802.11f, …
1.3. Kết luận
Chương 1 trình bầy những nội dung cơ bản về mạng cục bộ (LAN) bao gồm
phần giới thiệu, quá trình phát triển của mạng cục bộ. Trong quá trình phát triển
không ngừng về mặt công nghệ mạng thì các chuẩn dành riêng cho mạng cục bộ lần
lượt ra đời như 802.3 cho mạng Ethernet, các chuẩn 802.11 cho mạng không dây.
10
CHƯƠNG 2. AN NINH MẠNG LAN
2.1. Mục tiêu của bảo mật trong mạng LAN

Bất cứ một mạng nào, cả không dây lẫn có dây, đều có những lỗ hổng về mặt
kỹ thuật cho phép tin tặc có thể xâm nhập vào hệ thống để ăn cắp thông tin hay phá
hoại, do đó trên thực tế sẽ không có một mạng nào được xem là bảo mật tuyệt đối.
Vì vậy, người ta thường phải sử dụng nhiều kỹ thuật bảo mật đi kèm với các mạng
để bảo đảm tính an toàn cho mạng.
Bảo mật mạng máy tính LAN cơ bản là sự đảm bảo thông tin của cá nhân,
tập thể, công ty hay doanh nghiệp luôn được an toàn, ngăn chặn việc đánh cắp, sửa
đổi dữ liệu một cách bất hợp pháp. Sự thất thoát thông tin do cố ý, vô ý của người
dùng luôn là một vấn đề được quan tâm hàng đầu trong bảo mật hệ thống mạng của
các tổ chức lớn nhỏ.Việc xây dựng hệ thống bảo mật là điều cực kỳ cấp thiết tuy
nhiên không phải giải pháp nào cũng mang lại hiệu quả tốt nhất, nó còn tùy thuộc
vào các yếu tố như môi trường làm việc, thiết bị, con người sử dụng…
Một hệ thống được xem là an toàn khi có sự kết hợp của các đặc tính sau:
Xác thực (Authentification): Kiểm tra tính xác thực của một thực thể giao
tiếp trên
mạng. Một thực thể có thể là một người sử dụng, một chương trình máy
tính, hoặc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác thực được đánh
giá là quan trọng nhất trong các hoạt động của một phương thức bảo mật. Một hệ
thống thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi
thực thể đó thực hiện kết nối với hệ thống. Cơ chế kiểm tra tính xác thực của các
phương thức bảo mật dựa vào các mô hình chính sau:
- Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví
dụ như
Password, hoặc mã số thông số cá nhân PIN (Personal Information Number).
- Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần
phải thể
hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ
tín dụng.
- Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối
11

tượng kiểm
tra cần phải có những thông tin để định danh tính duy nhất của mình
ví dụ như
thông qua giọng nói, dấu vân tay, chữ ký
- Có thể phân loại bảo mật trên VPN theo các cách sau: mật khẩu truyền thống
hay mật khẩu một lần; xác thực thông qua các giao thức (PAP, CHAP, RADIUS…)
hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc
học (dấu vân tay, giọng nói, quét võng mạc ).
Tính khả dụng (Availability): Tính khả dụng là đặc tính mà thông tin trên
mạng được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu, khi cần thiết bất
cứ khi nào, trong hoàn cảnh nào. Tính khả dụng nói chung dùng tỷ lệ giữa thời gian
hệ thống được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá.
Tính khả dụng cần đáp ứng những yêu cầu sau:
Nhận biết và phân biệt thực thể, khống chế tiếp cận (bao gồm cả việc khống
chế tự tiếp cận và khống chế tiếp cận cưỡng bức), khống chế lưu lượng (chống tắc
nghẽn ), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin
cậy), giám sát tung tích (tất cả các sự kiện
phát sinh trong hệ thống được lưu giữ để
phân tích nguyên nhân, kịp thời dùng các biện pháp
tương ứng).
Tính bảo mật (Confidentialy): Tính bảo mật là đặc tính tin tức không bị tiết lộ
cho các thực thể hay quá trình không được uỷ quyền biết hoặc không để cho các đối
tượng đó lợi dụng. Thông tin chỉ cho phép thực thể được uỷ quyền sử dụng. Kỹ thuật
bảo mật thường là phòng ngừa
dò la thu thập (làm cho đối thủ không thể dò la thu
thập được thông tin), phòng ngừa bức xạ
(phòng ngừa những tin tức bị bức xạ ra
ngoài bằng nhiều đường khác nhau, tăng cường bảo mật thông tin (dưới sự khống
chế của khoá mật mã), bảo mật vật lý (sử dụng các phương pháp vật lý để đảm bảo
tin tức không bị tiết lộ).

2.2. Các kiểu tấn công và đe dọa an ninh mạng
2.2.1. Tấn công chủ động
Tấn công chủ động là tấn công trực tiếp vào một hoặc nhiều thiết bị trên
mạng ví dụ như vào AP, STA. Những kẻ tấn công có thể sử dụng phương pháp tấn
12
công chủ động để thực hiện các chức năng trên mạng. Cuộc tấn công chủ động có
thể được dùng để tìm cách truy nhập tới một Server để thăm dò, để lấy những dữ
liệu quan trọng, thậm chí thực hiện thay đổi cấu hình cơ sở hạ tầng mạng. Kiểu tấn
công này dễ phát hiện nhưng khả năng phá hoại của nó rất nhanh và nhiều, khi phát
hiện ra chúng ta chưa kịp có phương pháp đối phó thì nó đã thực hiện xong quá
trình phá hoại.
Mạo danh, truy cập trái phép
Sự giả mạo là hành động của một kẻ tấn công giả làm người dùng hợp lệ
trong hệ thống mạng không dây. Ví dụ, một người dùng bất kỳ khi biết được các
thông tin nhờ vào các kỹ thuật khác có thể xâm nhập vào mạng và tiến hành thiết
lập các thao tác như truy nhập vào máy chủ phục vụ và cài đặt các đoạn mã nguy
hiểm. Việc giả mạo này được thực hiện bằng cách giả mạo địa chỉ MAC [5], địa chỉ
IP của thiết bị mạng trên máy tấn công thành các giá trị của máy đang sử dụng trong
mạng, làm cho hệ thống hiểu nhầm và cho phép thực hiện kết nối.
Sửa đổi thông tin
Sự thay đổi dữ liệu là một trong những kiểu tấn công gây nguy hiểm cho hệ
thống mạng vì nó làm mất tính toàn vẹn thông tin được truyền trong hệ thống. Sự
thay đổi này bao gồm các thao tác chèn thêm thông tin, xoá và sửa chữa các thông
tin trong quá trình truyền dẫn. Một ví dụ cụ thể của việc truyền dẫn này là một
chương trình dạng Trojan hoặc một virus, hay sâu có thể được truyền đến các thiết
bị nhận hoặc vào hệ thống mạng.
Tấn công từ chối dịch vụ (DoS)
Một kiểu tấn công từ chối dịch vụ DoS (Denial-of-Service) là một ví dụ cụ
thể về sự thất bại của hệ thống mạng, kiểu tấn công này xảy ra khi đối thủ gây ra
cho hệ thống hoặc mạng trở thành không sẵn sàng cho các người dùng hợp lệ, hoặc

làm dừng lại hoặc tắt hẳn các dịch vụ. Hậu quả có thể làm cho mạng bị chậm hẳn lại
hoặc không thể làm việc được nữa. Một ví dụ với mạng không dây là các tín hiệu từ
13
bên ngoài sẽ chiếm cứ và làm tắc nghẽn các thông tin trên đường truyền, điều này
rất khó kiểm soát vì đường truyền của mạng không dây là rất dễ bị xâm nhập.
Các mạng không dây rất nhạy cảm với việc tấn công DoS vì phương pháp
truyền tin sử dụng sóng vô tuyến của mình. Nếu một kẻ tấn công sử dụng một thiết
bị phát sóng mạnh, thì sẽ đủ để làm nhiễu hệ thống mạng, khiến cho các thiết bị
trong mạng không thể kết nối với nhau được. Các thiết bị tấn công DoS không cần
phải ở ngay gần các thiết bị bị tấn công, mà chúng chỉ cần trong phạm vi phủ sóng
của hệ thống mạng.
Một số kỹ thuật tấn công DoS với hệ thống mạng không dây:
- Yêu cầu việc chứng thực với một tần số đủ để chặn các kết nối hợp lệ.
- Yêu cầu bỏ chứng thực với các người dùng hợp lệ. Những yêu cầu này có
thể không bị từ chối bởi một số chuẩn 802.11.
- Giả tín hiệu của một access point để làm cho các người dùng hợp lệ liên lạc
với Nó.
- Lặp đi lặp lại việc truyền các khung RTS/CTS để làm hệ thống mạng bị tắc
nghẽn.
Trong phạm vi tần số 2.4 Ghz của chuẩn 802.11b, có rất nhiều các thiết bị
khác được sử dụng như điện thoại kéo dài, các thiết bị bluetooth. . . tất cả các thiết
bị này đều góp phần làm giảm và làm ngắt tín hiệu mạng không dây.
2.2.2. Tấn công bị động (Passive attacks)
Tấn công bị động là kiểu tấn công không tác động trực tiếp vào thiết bị nào
trên mạng, không làm cho các thiết bị trên mạng biết được hoạt động của nó, vì thế
kiểu tấn công này nguy hiểm ở chỗ nó rất khó phát hiện. Ví dụ như việc lấy trộm
thông tin trong không gian truyền sóng của các thiết bị sẽ rất khó bị phát hiện dù
thiết bị lấy trộm đó nằm trong vùng phủ sóng của mạng chứ chưa nói đến việc nó
được đặt ở khoảng cách xa và sử dụng anten được định hướng tới nơi phát sóng, khi
đó cho phép kẻ tấn công giữ được khoảng cách thuận lợi mà không để bị phát hiện.

Phương thức bắt gói tin (Sniffing)
14
Bắt gói tin – Sniffing là khái niệm cụ thể của khái niệm tổng quát “Nghe
trộm - Eavesdropping” sử dụng trong mạng máy tính. Có lẽ là phương pháp đơn
giản nhất, tuy nhiên nó vẫn có hiệu quả đối với việc tấn công WLAN. Bắt gói tin có
thể hiểu như là một phương thức lấy trộm thông tin khi đặt một thiết bị thu nằm
trong hoặc nằm gần vùng phủ sóng. Kẻ tấn công sẽ khó bị phát hiện ra sự có mặt
của mình nếu thiết bị không dùng để bắt gói tin không kết nối tới AP để thu các gói
tin. Đối với mạng không dây, tín hiệu chứa đựng thông tin được phát trong không
gian vì vậy mà việc bắt gói tin được thực hiện một cách dễ dàng hơn so với hệ
thống mạng có dây. Những chương trình bắt gói tin có khả năng lấy các thông tin
quan trọng. Có những chương trình có thể lấy được mật khẩu trên mạng không dây
trong quá trình trao đổi thông tin giữa Client và Server khi đang thực hiện nhập mật
khẩu để đăng nhập. Cũng từ việc bắt gói tin, có thể nắm được thông tin, phân tích
được lưu lượng của mạng (Traffic analysis) , phổ năng lượng trong không gian của
các vùng. Từ đó mà kẻ tấn công có thể biết chỗ nào sóng truyền tốt, chỗ nào kém,
chỗ nào tập trung nhiều máy.
Wardriving:
Kiểu tấn công wardriving là một thuật ngữ sử dụng để mô tả một người tấn
công, được trang bị một máy xách tay hoặc một thiết bị có khả năng kết nối mạng
không dây Wifi, di chuyển bên ngoài và tìm cách lấy các gói tin của hệ thống mạng
không dây. Có nhiều công cụ hỗ trợ để có thể làm được việc này, ví dụ như
Netstumbler hay IBM'S Wireless Security Auditor.
Khái niệm về wardriving rất đơn giản : sử dụng một thiết bị có khả năng
nhận tín hiệu 802.11, một thiết bị có khả năng xác định vị trí của Nó trên bản đồ, và
một phần mềm có khả năng ghi lại mọi tín hiệu mà nó tiếp nhận được từ hệ thống
mạng. Người tấn công chỉ việc di chuyển từ nơi này qua nơi khác và cho các thiết bị
này thực hiện công việc của nó, đến khi đủ một lượng thông tin cần thiết, người đó
có thể phân tích và xây dựng được một cơ sở dữ liệu thông tin về các mạng không
dây gồm tên mạng, tín hiệu, dải địa chỉ IP được sử dụng, qua giao thức SNMP

(Simple Network anagement Protocol - giao thức quản lý mạng đơn giản). Những
15
yếu điểm này làm cho các mạng này trở thành những điểm trung gian để qua đó, kẻ
tấn công có thể tìm cách truy nhập đến đối tượng cần truy nhập khác.
2.2.3. Tấn công kiểu chèn ép (Jamming attacks)
Ngoài việc sử dụng phương pháp tấn công bị động, chủ động để lấy thông tin
truy cập tới mạng của bạn, phương pháp tấn công theo kiểu chèn ép. Jamming là
một kỹ thuật sử dụng đơn giản để làm mạng của bạn ngừng hoạt động. Phương thức
jamming phổ biến nhất là sử dụng máy phát có tần số phát giống tần số mà mạng sử
dụng để áp đảo làm mạng bị nhiễu, bị ngừng làm việc.
2.2.4. Tấn công theo kiểu thu hút (Man in the middle attacks)
Tấn công theo kiểu thu hút - Man in the middle attacks có nghĩa là dùng một
khả năng mạnh hơn (một AP giả mạo) chen vào giữa hoạt động của các thiết bị và
thu hút, giành lấy sự trao đổi thông tin của thiết bị về mình. Thiết bị chèn giữa đó
phải có vị trí, khả năng thu phát trội hơn các thiết bị sẵn có của mạng. Một đặc điểm
nổi bật của kiểu tấn công này là người sử dụng không thể phát hiện ra được cuộc
tấn công, và lượng thông tin mà thu nhặt được bằng kiểu tấn công này là giới hạn.
2.3. Các biện pháp và công cụ bảo mật hệ thống
2.3.1. Biện pháp kiểm soát truy nhập
Kiểm soát quyền truy nhập bảo vệ cho hệ thống mạng khỏi các mối đe dọa
bằng cách xác định cái gì có thể đi vào và đi ra khỏi mạng. Việc kiểm soát truy
nhập sẽ xác định trên mọi dịch vụ và ứng dụng cơ bản hoạt động trên hệ thống.
Kiểm soát sự xác thực người sử dụng là bước tiếp theo sau khi được truy
nhập vào mạng. Người sử dụng muốn truy nhập vào các tài nguyên của mạng thì sẽ
phải được xác nhận bởi hệ thống bảo mật. Có thể có mấy cách kiểm soát sự xác
thực người sử dụng:
- Xác thực người sử dụng: cung cấp quyền sử dụng các dịch vụ cho mỗi
người dùng. Mỗi khi muốn sử dụng một tài nguyên hay dịch vụ của hệ thống, anh ta
sẽ phải được xác thực bởi một máy chủ xác thực người sử dụng và kiểm tra xem có
quyền sử dụng dịch vụ hay tài nguyên của hệ thống không.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×