ĐẠI HỌC QUỐC GIA TPHCM
TRƯỜNG ĐH KHTN TPHCM
KHOA ĐIỆN TỬ - VIỄN THÔNG
BảO MậT MạNG KHÔNG DÂY
1
SVTH: NGUYỄN CÔNG MINH
GVHD: TH.S TRƯƠNG VĂN THẮNG
MỤC LỤC
1. TỔNG QUAN VỀ MẠNG KHÔNG DÂY
1.1 Khái niệm và lịch sử phát triển
1.2 Các thành phần thiết bị chính của mạng không dây
2. BẢO MẬT MẠNG KHÔNG DÂY
2.1 Tổng quan về bảo mật mạng
2.2 Giải pháp lọc địa chỉ MAC
2.3 Giải pháp mã hóa theo giao thức WEP
2.4 Giải pháp mã hóa theo giao thức WPA
2.5 Giải pháp kết nối một chạm WPS
2.6 Giải pháp chứng thực mở rộng với mô hình 802.1x EAP-TLS
2.7 Firewall
2.8 VPN
3. THỬ NGHIỆM BẺ KHÓA GIAO THỨC WEP
4. KẾT LUẬN
2
1. TỔNG QUAN VỀ MẠNG
KHÔNG DÂY
3
1.1 KHÁI NIệM VÀ LịCH Sử PHÁT TRIểN
Hình 1: Các đặc điểm kỹ thuật của IEEE
802.11
do viện kỹ thuật điện và điện tử Mỹ phê
chuẩn
4
ƯU ĐIểM VÀ VÀ NHƯợC ĐIểM CủA
MạNG KHÔNG DÂY
ƯU ĐIỂM
Sự tiện lợi
Khả năng di động
Hiệu quả
Triển khai
Khả năng mở rộng
NHƯỢC ĐIỂM
Bảo mật
Phạm vi
Độ tin cậy
Tốc độ
Chi phí
5
1.2 CÁC THÀNH PHầN THIếT Bị CHÍNH
CủA MạNG KHÔNG DÂY
Card mạng
Hub – switch
Modem – Router
Access point – Router wireless
6
2. BẢO MẬT MẠNG KHÔNG DÂY
7
2.1 TỔNG QUAN VỀ BẢO MẬT MẠNG
3 yếu tố đảm bảo an
ninh thông tin
Tính bảo mật
Tính toàn vẹn
Tính sẵn sàng
3 yếu tố thế chân
vạc
Bảo mật
Tính năng
Sự dễ dùng
8
2.2 GIảI PHÁP LọC ĐịA CHỉ MAC
Là địa chỉ vật lý của một thiết bị mạng. Địa chỉ MAC là
một số dài 6 byte, thường được viết dưới dạng 12 chữ số
Hexa.
Địa chỉ MAC của một IP được xác định bởi giao thức
ARP (Address Resolution Protocol).
9
ỨNG DụNG CủA ĐịA CHỉ MAC
TRONG VIệC QUảN LÝ KếT NốI
Dựa trên địa chỉ
MAC, có thể thiết lập
bộ lọc để cho
phép/cấm thiết bị kết
nối ra vào mạng
Tuy nhiên đây không
phải là giải pháp
thật an toàn, vì
người dùng có thể
thay đổi được địa chỉ
MAC
10
2.3 GIảI PHÁP MÃ HÓA THEO
GIAO THứC WEP
WEP cung cấp bảo mật cho dữ liệu trên mạng không dây
qua phương thức mã hóa sử dụng thuật toán đối xứng
RC4
WEP sử dụng khóa cố định được chia sẻ giữa một
Access Point và nhiều người dùng cùng với một IV ngẫu
nhiên 24 bit, phổ biến là 2 loại khóa có độ dài 40/64 bit
và 104/128 bit
11
Do sử dụng khóa cố định, WEP có thể được bẻ khóa dễ
dàng bằng các công cụ sẵn có: aircrack, airsnort,
wepcrack, …
Nên chuyển sang dùng các chuẩn giao thức bảo mật mới
an toàn hơn như WPA, WPA2
Trường hợp buộc phải sử dụng WEP thì nên áp dụng các
biện pháp tối ưu
Sử dụng khóa WEP có độ dài 128 bit
Thực thi chính sách thay đổi khóa WEP định kỳ
Sử dụng các công cụ theo dõi số liệu thống kê dữ
liệu trên đường truyền không dây
12
2.4 GIảI PHÁP MÃ HÓA THEO GIAO
THứC WPA
WPA được xây dựng nhằm cải thiện những hạn chế của
WEP nên nó chứa đựng những đặc điểm vượt trội hơn
Cũng sử dụng thuật toán RC4 như WEP, nhưng
mã hoá đầy đủ 128 bit
Sử dụng một khóa động, được thay đổi tự động
nhờ vào giao thức TKIP nhằm chống việc dò tìm
khóa
Cho phép kiểm tra xem thông tin có bị thay đổi
trên đường truyền hay không nhờ vào cơ chế
kiểm tra tính toàn vẹn thông tin MIC
WPA còn có thể sử dụng 802.1x/EAP để đảm bảo
mutual authentication nhằm chống lại man-inmiddle attack.
13
GIAO THứC WPA2
WPA2 sử dụng rất nhiều thuật toán để mã hóa dữ liệu,
đặc biệt là AES (chuẩn mã hóa nâng cao)
AES sử dụng thuật toán mã hoá đối xứng theo khối
Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc
256 bit, được xem như là bảo mật tốt hơn rất nhiều so
với WEP 128 bit
14
2.5 GIảI PHÁP KếT NốI MộT CHạM
WPS
WPS sẽ tự động cấu hình một mạng không dây, được
thiết kế để hỗ trợ kết nối Wi-Fi các sản phẩm khác nhau,
từ 802.11 Access Point, các adapter không dây, Wi-Fi
điện thoại, và các thiết bị điện tử tiêu dùng khác.
Người dùng chỉ cần nhấn nút WPS trên cả hai thiết bị
WPS để kết nối.
15
2.6 GIảI PHÁP CHứNG THựC Mở
RộNG VớI MÔ HÌNH 802.1X EAPTLS
Một số Access Point cho phép thiết lập theo mô hình
chứng thực mở rộng EAP (Extensible Authentication
Protocol).
Mô hình này có thêm một server chứa các thông tin
chứng thực của người sử dụng – ACS (Access Control
Server) Server.
16
Hiện nay có hơn 40 giao thức được xây dựng theo mô
hình EAP, một số giao thức hay được sử dụng là:
EAP-MD5: Username/password được gửi về cho
ACS Server, phương pháp này kém an toàn nhất
trong họ EAP vì bị tấn công dạng MITMD (man-inthe-middle) và tấn công kiểu từ điển
EAP-TLS, EAP-TTLS, PEAP: Sử dụng chữ ký điện tử,
các giao thức chứng thực theo mô hình khóa
công khai PKI này là an toàn nhất hiện nay.
LEAP tương tự như EAP nhưng chỉ sử dụng được
với các card mạng và Access point của Cisco.
17
MÔ HÌNH CHứNG THựC 802.1X
EAP-TLS
EAP-TLS là một kỹ thuật cung cấp các khóa mã hóa
động cho người dùng và session. Điều này cải thiện một
cách đáng kể và vượt qua nhiều điểm yếu trong các
mạng không dây.
18
2.7 FIREWALL
Firewall là một kỹ thuật được tích hợp vào hệ thống
mạng để chống sự truy cập trái phép
Chức năng chính của Firewall là kiểm soát luồng thông
tin từ giữa Intranet và Internet. Thiết lập cơ chế điều
khiển dòng thông tin giữa mạng bên trong (Intranet) và
mạng Internet
19
PHÂN LOạI
Chia làm 2 loại, gồm Firewall cứng và Firewall mềm
Firewall cứng: Là những firewall được tích hợp
trên Router
Firewall mềm: Là những phần mềm Firewall
được cài đặt trên Server.
20
Một Firewall chuẩn bao gồm một hay nhiều các thành
phần sau đây:
Bộ lọc gói tin
Cổng ứng dụng
Cổng vòng
21
2.8 VPN
VPN là sự mở rộng của một mạng riêng thông qua các
mạng công cộng (thường là internet)
Nó cung cấp các cơ chế mã hoá dữ liệu trên đường
truyền, tạo ra một đường ống bảo mật giữa nơi nhận và
nơi gửi
22
Sơ đồ hoạt động của một hệ thống
VPN Remote Access
23
Sơ đồ hoạt động của một hệ thống VPN
Site to Site sử dụng mạng không dây
24
3. THỬ NGHIỆM BẺ KHÓA
GIAO THỨC WEP
25