Tải bản đầy đủ (.doc) (101 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Đồ án tốt nghiệp: An ninh trong mạng không dây

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (960.66 KB, 101 trang )

LỜI CẢM ƠN

Để hoàn thành khóa luận “An ninh mạng không dây”, em xin chân thành
cảm ơn các thầy cô giáo đã tận tình hướng dẫn, giảng dạy trong suốt quá trình học
tập, nghiên cứu, rèn luyện ở Trường Đại học Tài nguyên và Môi trường Hà Nội.
Xin chân thành cảm ơn giảng viên hướng dẫn thạc sĩ Nguyễn Thùy Dung đã
tận tình, chu đáo hướng dẫn em thực hiện đồ án này.
Mặc dù đã có nhiều cố gắng để thực hiện đề tài một cách hoàn chỉnh nhất.
Song do những hạn chế về kiến thức và kinh nghiệm nên không thể tránh khỏi
những thiếu sót nhất định mà bản thân chưa thấy được. Em rất mong nhận được sự
góp ý của quý thầy, cô giáo và các bạn để đồ án được hoàn chỉnh hơn.
Em xin chân thành cảm ơn !


MỤC LỤC
Hình 1.2. Minh họa một mạng Infrastructure nhỏ.............................................6
CHƯƠNG 4: BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY..................35
4.1. Mối nguy hiểm, sự đe dọa đối với WLAN...............................................35
Trước tình hình an ninh mạng phức tạp như hiện nay thì mạng máy tính nói
chung và mạng WLAN nói riêng đang đối mặt với các mối nguy hiểm, các
yếu tố gây mất an toàn như:............................................................................35
- Sự mất cắp các thiết bị (LAN có dây hay không có dây) như: NIC, máy tính,
các thiết bị đấu nối, bộ chia tách mạng... Nếu các thiết bị này bị đánh cắp sẽ
gây hư hỏng một phần hoặc ngưng trệ toàn bộ hệ thống mạng......................35
- Nghe lén, bắt giữ hoặc điều chỉnh, thay thế, hủy bỏ thông tin, hậu quả là dữ
liệu không còn đảm bảo được tính bí mật và tính toàn vẹn của nó.................35
- Sự giả dạng: Khi sự giả dạng xảy ra thì cả hai đặc tính của dữ liệu là tính bí
mật và tính toàn vẹn có thể bị tổn hại nghiêm trọng.......................................35
- Nhiễu hoặc nghẽn mạng: Ảnh hưởng từ các nguồn bức xạ điện từ của các
thiết bị gia dụng: lò vi sóng..., các thiết bị không dây hoạt động cùng tần số
với tần số hoạt động của mạng WLAN... gây ra nhiễu làm ảnh hưởng đến


mạng WLAN. Nhiễu hoặc các dạng của nhiễu có thể ngăn cản một STA thu
hoặc phát tín hiệu từ STA khác, làm xáo trộn sự thu/phát làm tăng tỉ số lỗi,
cản trở tốc độ truyền dữ liệu trong mạng và gây lỗi cho hệ thống thông tin.
Ngoài ra, nhiễu có thể được tạo ra một cách cố ý (từ các nút có mục đích xấu)
làm xáo trộn sự trao đổi tin gây nghẽn mạng (Jamming), hậu quả là làm giảm
sự hoạt động của mạng WLAN.......................................................................35
4.2. Các phương thức, kỹ thuật bảo mật trong mạng WLAN.........................35


2. Encryption: WLAN hỗ trợ các chuẩn mã hóa như WEP, WPA, WPA2... sử
dụng mã hóa để bảo vệ cho kết nối không dây...............................................36
3. Authentication: chỉ cho phép các Wireless Client thực hiện thành công thủ
tục xác thực mới được truy cập vào mạng......................................................36
4. Firewall: qui định dịch vụ, người sử dụng nào được phép truy cập từ bên
trong hệ thống ra mạng bên ngoài hoặc ngược lại..........................................36
5. VPN (Virtual Private Network): nhiều nhà sản xuất WLAN đã tích hợp
phần mềm máy chủ VPN vào trong AP và gateway cho phép sử dụng công
nghệ VPN để bảo mật kết nối không dây........................................................36
Nếu kết hợp và thực hiện tốt các phương thức bảo mật trên thì sẽ xây dựng
được một hệ thống bảo mật vững chắc. Đó chính là tính toàn diện của mô
hình. Và mỗi một phần tử bên trong mô hình đều có thể cấu hình theo người
quản lý mạng để thỏa mãn và phù hợp với những gì họ cần. Đây chính là tính
mở của hệ thống bảo mật trên.........................................................................36
4.2.1. Các kỹ thuật bảo mật sử dụng cơ chế điều khiển truy nhập (Device
Authorization).................................................................................................37
Tất cả các kỹ thuật này đều sử dụng cơ chế lọc (Filtering). Lọc là cơ chế bảo
mật cơ bản có thể kết hợp dùng cùng với WEP và cả AES. Lọc tức là cho
phép những cái mong muốn và ngăn cấm những cái không mong muốn. Lọc
hoạt động giống như Access List trên bộ định tuyến (Router) bằng cách định
nghĩa các tham số mà Client phải tuân theo để truy cập vào mạng.................37

Có 3 kiểu lọc cơ bản có thể được sử dụng trong Wireless Client:..................37
+ Lọc SSID.....................................................................................................37
+ Lọc địa chỉ MAC.........................................................................................37
+ Lọc giao thức...............................................................................................37


a, Lọc SSID (Service Set Identifier)................................................................37
Lọc SSID là một phương thức cơ bản của lọc và chỉ nên được sử dụng cho
việc điều khiển truy cập cơ bản. Định danh tập dịch vụ SSID chỉ là một thuật
ngữ khác để gọi tên mạng. SSID là một chuỗi ký tự số và chữ cái duy nhất,
phân biệt hoa thường, có chiều dài từ 2 đến 32 ký tự được sử dụng để định
nghĩa một vùng xung quanh các AP. Sự khác nhau giữa các SSID trên các AP
có thể cho phép chồng chập các mạng vô tuyến. SSID là một ý tưởng về một
mật khẩu gốc mà không có nó các client không thể kết nối mạng..................37
+Server :..........................................................................................................83
Intel ® Pentium™ Xeon 2,2Ghz Ram 2GB....................................................83
Window Server 2003 SP1...............................................................................83
+ Access Point LinkSys WRT54G..................................................................83
+ Client Latop satellite with Wireless , Window XP SP2...............................83
4.4.2 Giải pháp bảo mật ..................................................................................83
a, Bảo vệ dữ liệu..............................................................................................83
Đây là vấn đề đặc biệt quan trọng, toàn bộ cơ sở dữ liệu về quản lý đào tạo
của nhà trường được lưu và thao tác tại các máy Server của trường. Bao gồm
các dữ liệu như điểm của sinh viên, kế hoạch học tập, các thông tin về học
phí... ................................................................................................................83
Các dữ liệu này phải tuyệt đối an toàn đảm bảo không bị đánh cắp hoặc sửa
chữa thông tin. ................................................................................................83
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an
toàn thông tin có thể đến từ nhiều nơi theo nhiều cách khác nhau vì vậy nhà
trường đã đưa ra các chính sách và phương pháp đề phòng cần thiết. Mục đích



cuối cùng của an toàn bảo mật là bảo vệ các giá trị thông tin và tài nguyên
theo các yêu cầu sau:.......................................................................................84
 Tính tin cậy: Đảm bảo sự chính xác các thông tin của sinh viên trong hệ
thống. Đồng thời các thông tin đó không thể bị truy nhập trái phép bởi những
người không có thẩm quyền. ..........................................................................84
 Tính nguyên vẹn: Thông tin không thể bị sửa đổi, bị làm giả bởi những
người không có thẩm quyền. ..........................................................................84
 Tính sẵn sàng: Thông tin luôn sẵn sàng để đáp ứng sử dụng cho người có
thẩm quyền khi có yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết
.........................................................................................................................84
 Tính không thể từ chối: Thông tin được cam kết về mặt pháp luật của nhà
.........................................................................................................................84
trường cung cấp. .............................................................................................84
Trong các yêu cầu này, yêu cầu về bảo mật được coi là yêu cầu số 1 đối với
thông tin lưu trữ trong hệ thống......................................................................84
b, Bảo vệ các tài nguyên sử dụng trên mạng: .................................................84
Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã
làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho
mục đích của mình như cài đặt các chương trình chạy ẩn để dò mật khẩu
người sử dụng, ứng dụng các liên kết mạng sẵn có để lấy cắp các thông tin
cần thiết hoặc tiếp tục tấn công các hệ thống khác vv.....................................84
c, Bảo vệ danh tiếng cơ quan: ........................................................................84
Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một
trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là gây
sự hoang mang không tin tưởng vào các thông tin mà nhà trường cung cấp.


Trong trường hợp bị tấn công gây mất an toàn về dữ liệu thì tổn thất về uy tín

là rất lớn và có thể để lại hậu quả lâu dài. ......................................................84
4.4.3 Các bước thực thi an toàn bảo mật cho hệ thống ..................................85
a, Các hoạt động bảo mật ở mức một .............................................................85
Ở mức một, người thực thi bảo mật, quản trị hệ thống và mạng thực hiện làm
cho môi trường mạng, máy tính ít bị lỗ hổng bảo mật hơn vì đã được sửa lỗi
bằng các bản sửa lỗi hoặc bằng các biện pháp kỹ thuật. Thực hiện các cảnh
báo ngay lập tức (trực tuyến) để nhắc nhở, thông báo mỗi người dùng trong
mạng các quy tắc sử dụng mỗi khi truy nhập vào hệ thống mạng của trường.
Xây dựng một mạng lưới bảo vệ, lọc, phát hiện và tiêu diệt virus, Spyware,
Troyjan - trên tất các các máy trạm, máy chủ, và các cổng kết nối mạng
(gateway). Đảm bảo cập nhật thường xuyên các phần mềm diệt virus. .........85
Đảm bảo rằng hệ thống sao lưu dữ liệu hoạt động định kỳ, các tập tin có thể
được khôi phục từ các bản sao lưu định kỳ đó, người quản trị hệ thống có đủ
kiến thức cập nhật cần thiết để thực hiện sao lưu trên tất cả các hệ thống ngay
lập tức trong trường hợp bị tấn công. Nếu không có dữ liệu được sao lưu tốt,
một vấn đề nhỏ trong an toàn bảo mật có thể trở thành thảm họa. ................85
Cho phép ghi nhật ký các sự kiện, hoạt động của người dùng khi đăng nhập
vào hệ thống. Hệ thống nếu không có cơ chế ghi nhật ký thì nó gây khó khăn
cho việc phát hiện và khắc phục các vụ tấn công. ........................................85
Thực thi xác thực hệ thống, kiểm tra (audit) để kiểm soát người sử dụng hệ
thống. Chống lại kẻ tấn công giả danh người sử dụng đăng nhập vào hệ thống
và chiếm quyền điều khiển hệ thống. .............................................................85
b, Các hoạt động bảo mật ở mức hai ..............................................................85


Các hoạt động an toàn bảo mật mức hai tập trung nhiều hơn vào việc xây
dựng các chính sách truy nhập cụ thể của người dùng, cho phép hoặc không
cho phép truy cập vào các tài nguyên mạng khác nhau trong hệ thống. Đưa ra
các yêu cầu cụ thể đối với người dùng như việc đăng ký các thông tin cá
nhân, đăng ký địa chỉ MAC của thiết bị truy cập, xây dựng cơ sở dữ liệu về

tài khoản truy cập để xác thực mỗi khi đăng nhậnp hệ thống. Các hoạt động
an toàn bảo mật mức hai cũng tập trung vào các hiểm họa bắt nguồn từ bên
trong nội bộ và có chính sách giám sát các Server chứa thông tin quan trọng,
hỗ trợ các chức năng nhiệm vụ quan trọng. ...................................................85
Trong hệ thống mạng không dây của nhà trường đã xây dựng một Server
Proxy có cài đặt phần mềm chuyên dụng cho phép phát hiện truy nhập của
người dùng được phép hoặc trái phép, lưu và phân tích kết quả truy nhập . . .86
KẾT LUẬN................................................................................................87


DANH MỤC BẢNG, HÌNH VẼ
Hình 1.2. Minh họa một mạng Infrastructure nhỏ.............................................6
CHƯƠNG 4: BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY..................35
4.1. Mối nguy hiểm, sự đe dọa đối với WLAN...............................................35
Trước tình hình an ninh mạng phức tạp như hiện nay thì mạng máy tính nói
chung và mạng WLAN nói riêng đang đối mặt với các mối nguy hiểm, các
yếu tố gây mất an toàn như:............................................................................35
- Sự mất cắp các thiết bị (LAN có dây hay không có dây) như: NIC, máy tính,
các thiết bị đấu nối, bộ chia tách mạng... Nếu các thiết bị này bị đánh cắp sẽ
gây hư hỏng một phần hoặc ngưng trệ toàn bộ hệ thống mạng......................35
- Nghe lén, bắt giữ hoặc điều chỉnh, thay thế, hủy bỏ thông tin, hậu quả là dữ
liệu không còn đảm bảo được tính bí mật và tính toàn vẹn của nó.................35
- Sự giả dạng: Khi sự giả dạng xảy ra thì cả hai đặc tính của dữ liệu là tính bí
mật và tính toàn vẹn có thể bị tổn hại nghiêm trọng.......................................35
- Nhiễu hoặc nghẽn mạng: Ảnh hưởng từ các nguồn bức xạ điện từ của các
thiết bị gia dụng: lò vi sóng..., các thiết bị không dây hoạt động cùng tần số
với tần số hoạt động của mạng WLAN... gây ra nhiễu làm ảnh hưởng đến
mạng WLAN. Nhiễu hoặc các dạng của nhiễu có thể ngăn cản một STA thu
hoặc phát tín hiệu từ STA khác, làm xáo trộn sự thu/phát làm tăng tỉ số lỗi,
cản trở tốc độ truyền dữ liệu trong mạng và gây lỗi cho hệ thống thông tin.

Ngoài ra, nhiễu có thể được tạo ra một cách cố ý (từ các nút có mục đích xấu)
làm xáo trộn sự trao đổi tin gây nghẽn mạng (Jamming), hậu quả là làm giảm
sự hoạt động của mạng WLAN.......................................................................35
4.2. Các phương thức, kỹ thuật bảo mật trong mạng WLAN.........................35


2. Encryption: WLAN hỗ trợ các chuẩn mã hóa như WEP, WPA, WPA2... sử
dụng mã hóa để bảo vệ cho kết nối không dây...............................................36
3. Authentication: chỉ cho phép các Wireless Client thực hiện thành công thủ
tục xác thực mới được truy cập vào mạng......................................................36
4. Firewall: qui định dịch vụ, người sử dụng nào được phép truy cập từ bên
trong hệ thống ra mạng bên ngoài hoặc ngược lại..........................................36
5. VPN (Virtual Private Network): nhiều nhà sản xuất WLAN đã tích hợp
phần mềm máy chủ VPN vào trong AP và gateway cho phép sử dụng công
nghệ VPN để bảo mật kết nối không dây........................................................36
Nếu kết hợp và thực hiện tốt các phương thức bảo mật trên thì sẽ xây dựng
được một hệ thống bảo mật vững chắc. Đó chính là tính toàn diện của mô
hình. Và mỗi một phần tử bên trong mô hình đều có thể cấu hình theo người
quản lý mạng để thỏa mãn và phù hợp với những gì họ cần. Đây chính là tính
mở của hệ thống bảo mật trên.........................................................................36
4.2.1. Các kỹ thuật bảo mật sử dụng cơ chế điều khiển truy nhập (Device
Authorization).................................................................................................37
Tất cả các kỹ thuật này đều sử dụng cơ chế lọc (Filtering). Lọc là cơ chế bảo
mật cơ bản có thể kết hợp dùng cùng với WEP và cả AES. Lọc tức là cho
phép những cái mong muốn và ngăn cấm những cái không mong muốn. Lọc
hoạt động giống như Access List trên bộ định tuyến (Router) bằng cách định
nghĩa các tham số mà Client phải tuân theo để truy cập vào mạng.................37
Có 3 kiểu lọc cơ bản có thể được sử dụng trong Wireless Client:..................37
+ Lọc SSID.....................................................................................................37
+ Lọc địa chỉ MAC.........................................................................................37

+ Lọc giao thức...............................................................................................37


a, Lọc SSID (Service Set Identifier)................................................................37
Lọc SSID là một phương thức cơ bản của lọc và chỉ nên được sử dụng cho
việc điều khiển truy cập cơ bản. Định danh tập dịch vụ SSID chỉ là một thuật
ngữ khác để gọi tên mạng. SSID là một chuỗi ký tự số và chữ cái duy nhất,
phân biệt hoa thường, có chiều dài từ 2 đến 32 ký tự được sử dụng để định
nghĩa một vùng xung quanh các AP. Sự khác nhau giữa các SSID trên các AP
có thể cho phép chồng chập các mạng vô tuyến. SSID là một ý tưởng về một
mật khẩu gốc mà không có nó các client không thể kết nối mạng..................37
+Server :..........................................................................................................83
Intel ® Pentium™ Xeon 2,2Ghz Ram 2GB....................................................83
Window Server 2003 SP1...............................................................................83
+ Access Point LinkSys WRT54G..................................................................83
+ Client Latop satellite with Wireless , Window XP SP2...............................83
4.4.2 Giải pháp bảo mật ..................................................................................83
a, Bảo vệ dữ liệu..............................................................................................83
Đây là vấn đề đặc biệt quan trọng, toàn bộ cơ sở dữ liệu về quản lý đào tạo
của nhà trường được lưu và thao tác tại các máy Server của trường. Bao gồm
các dữ liệu như điểm của sinh viên, kế hoạch học tập, các thông tin về học
phí... ................................................................................................................83
Các dữ liệu này phải tuyệt đối an toàn đảm bảo không bị đánh cắp hoặc sửa
chữa thông tin. ................................................................................................83
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an
toàn thông tin có thể đến từ nhiều nơi theo nhiều cách khác nhau vì vậy nhà
trường đã đưa ra các chính sách và phương pháp đề phòng cần thiết. Mục đích


cuối cùng của an toàn bảo mật là bảo vệ các giá trị thông tin và tài nguyên

theo các yêu cầu sau:.......................................................................................84
 Tính tin cậy: Đảm bảo sự chính xác các thông tin của sinh viên trong hệ
thống. Đồng thời các thông tin đó không thể bị truy nhập trái phép bởi những
người không có thẩm quyền. ..........................................................................84
 Tính nguyên vẹn: Thông tin không thể bị sửa đổi, bị làm giả bởi những
người không có thẩm quyền. ..........................................................................84
 Tính sẵn sàng: Thông tin luôn sẵn sàng để đáp ứng sử dụng cho người có
thẩm quyền khi có yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết
.........................................................................................................................84
 Tính không thể từ chối: Thông tin được cam kết về mặt pháp luật của nhà
.........................................................................................................................84
trường cung cấp. .............................................................................................84
Trong các yêu cầu này, yêu cầu về bảo mật được coi là yêu cầu số 1 đối với
thông tin lưu trữ trong hệ thống......................................................................84
b, Bảo vệ các tài nguyên sử dụng trên mạng: .................................................84
Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã
làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho
mục đích của mình như cài đặt các chương trình chạy ẩn để dò mật khẩu
người sử dụng, ứng dụng các liên kết mạng sẵn có để lấy cắp các thông tin
cần thiết hoặc tiếp tục tấn công các hệ thống khác vv.....................................84
c, Bảo vệ danh tiếng cơ quan: ........................................................................84
Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một
trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là gây
sự hoang mang không tin tưởng vào các thông tin mà nhà trường cung cấp.


Trong trường hợp bị tấn công gây mất an toàn về dữ liệu thì tổn thất về uy tín
là rất lớn và có thể để lại hậu quả lâu dài. ......................................................84
4.4.3 Các bước thực thi an toàn bảo mật cho hệ thống ..................................85
a, Các hoạt động bảo mật ở mức một .............................................................85

Ở mức một, người thực thi bảo mật, quản trị hệ thống và mạng thực hiện làm
cho môi trường mạng, máy tính ít bị lỗ hổng bảo mật hơn vì đã được sửa lỗi
bằng các bản sửa lỗi hoặc bằng các biện pháp kỹ thuật. Thực hiện các cảnh
báo ngay lập tức (trực tuyến) để nhắc nhở, thông báo mỗi người dùng trong
mạng các quy tắc sử dụng mỗi khi truy nhập vào hệ thống mạng của trường.
Xây dựng một mạng lưới bảo vệ, lọc, phát hiện và tiêu diệt virus, Spyware,
Troyjan - trên tất các các máy trạm, máy chủ, và các cổng kết nối mạng
(gateway). Đảm bảo cập nhật thường xuyên các phần mềm diệt virus. .........85
Đảm bảo rằng hệ thống sao lưu dữ liệu hoạt động định kỳ, các tập tin có thể
được khôi phục từ các bản sao lưu định kỳ đó, người quản trị hệ thống có đủ
kiến thức cập nhật cần thiết để thực hiện sao lưu trên tất cả các hệ thống ngay
lập tức trong trường hợp bị tấn công. Nếu không có dữ liệu được sao lưu tốt,
một vấn đề nhỏ trong an toàn bảo mật có thể trở thành thảm họa. ................85
Cho phép ghi nhật ký các sự kiện, hoạt động của người dùng khi đăng nhập
vào hệ thống. Hệ thống nếu không có cơ chế ghi nhật ký thì nó gây khó khăn
cho việc phát hiện và khắc phục các vụ tấn công. ........................................85
Thực thi xác thực hệ thống, kiểm tra (audit) để kiểm soát người sử dụng hệ
thống. Chống lại kẻ tấn công giả danh người sử dụng đăng nhập vào hệ thống
và chiếm quyền điều khiển hệ thống. .............................................................85
b, Các hoạt động bảo mật ở mức hai ..............................................................85


Các hoạt động an toàn bảo mật mức hai tập trung nhiều hơn vào việc xây
dựng các chính sách truy nhập cụ thể của người dùng, cho phép hoặc không
cho phép truy cập vào các tài nguyên mạng khác nhau trong hệ thống. Đưa ra
các yêu cầu cụ thể đối với người dùng như việc đăng ký các thông tin cá
nhân, đăng ký địa chỉ MAC của thiết bị truy cập, xây dựng cơ sở dữ liệu về
tài khoản truy cập để xác thực mỗi khi đăng nhậnp hệ thống. Các hoạt động
an toàn bảo mật mức hai cũng tập trung vào các hiểm họa bắt nguồn từ bên
trong nội bộ và có chính sách giám sát các Server chứa thông tin quan trọng,

hỗ trợ các chức năng nhiệm vụ quan trọng. ...................................................85
Trong hệ thống mạng không dây của nhà trường đã xây dựng một Server
Proxy có cài đặt phần mềm chuyên dụng cho phép phát hiện truy nhập của
người dùng được phép hoặc trái phép, lưu và phân tích kết quả truy nhập . . .86
KẾT LUẬN................................................................................................87


MỞ ĐẦU
1. Lý do chọn đề tài
Ưu điểm của mạng máy tính thể hiện khá rõ trong mọi lĩnh vực của cuộc
sống. Đó chính là sự trao đổi, chia sẻ, lưu trữ và bảo vệ thông tin. Bên cạnh nền
tảng mạng máy tính hữu tuyến, mạng máy tính không dây ngay từ khi ra đời đã thể
hiện nhiều ưu điểm nổi bật về độ linh hoạt, tính giản đơn, khả năng tiện dụng. Do
đặc điểm trao đổi thông tin trong không gian truyền sóng nên khả năng thông tin bị
rò rỉ ra ngoài là hoàn toàn dễ hiểu. Hơn nữa, ngày nay với sự phát triển cao của
công nghệ thông tin, các hacker có thể dễ dàng xâm nhập vào mạng hơn bằng nhiều
con đường khác nhau. Vì vậy, có thể nói điểm yếu cơ bản nhất của mạng máy tính
không dây đó là khả năng bảo mật, an toàn thông tin. Thông tin là một tài sản quý
giá, đảm bảo được an toàn dữ liệu cho người sử dụng là một trong những yêu cầu
được đặt ra hàng đầu.
Vì vậy, em đã chọn đề tài “An ninh trong mạng không dây”.
2. Tính cấp thiết của đề tài:
Wireless Lan là một trong những công nghệ truyền thông không dây được áp
dụng cho mạng cục bộ. Sự ra đời của nó khắc phục những hạn chế mà mạng nối dây
không thể giải quyết được, và là giải pháp cho xu thế phát triển của công nghệ
truyền thông hiện đại. Nói như vậy để thấy được những lợi ích to lớn mà Wireless
Lan mang lại, tuy nhiên nó không phải là giải pháp thay thế toàn bộ cho các mạng
Lan nối dây truyền thống
3. Nơi thực hiện đồ án:
Trường đại học Trưng Vương

Địa chỉ: khu 7, xã Kim Long, huyện Tam Dương, tỉnh Vĩnh Phúc

1


CHƯƠNG I
TỔNG QUAN VỀ MẠNG KHÔNG DÂY WIRELESS LAN (WLAN)
1.1 Giới thiệu chung
1.1.1 Khái niệm
WLAN (Wireless Local Area Network) là mạng cục bộ gồm các máy tính
liên lạc với nhau bằng sóng điện từ. WLAN sử dụng sóng điện từ để truyền và nhận
dữ liệu qua môi trường không khí, tối thiểu hóa việc sử dụng các kết nối có dây. Do
đó người dùng vẫn có thể duy trì kết nối với hệ thống khi di chuyển trong vùng phủ
sóng. WLAN rất phù hợp cho các ứng dụng từ xa, cung cấp dịch vụ mạng nơi công
cộng, khách sạn, văn phòng…
Ưu điểm của mạng máy tính này đã được thể hiện khá rõ trong mọi lĩnh vực
của cuộc sống. Đó chính là sự trao đổi, chia sẻ, lưu trữ và bảo vệ thông tin. Mạng
máy tính không dây ngay từ khi ra đời nó đã phát triển rất nhanh chóng. Sự phát
triển này dựa trên hai nhân tố quan trọng sau đây:
- Sự phổ cập của mạng không dây
Thời gian gần đây với sự phát triển của công nghệ,sự hoàn thiện của các
chuẩn làm cho giá thành của thiết bị Wireless LAN giảm đồng thời nhu cầu sử dụng
Internet càng tăng, tại các nước phát triển các dịch vụ truy nhập Internet không dây
đã trở nên phổ cập, bạn có thể ngồi trong tiền sảnh của một khách sạn và truy nhập
Internet từ máy tính xách tay của mình một cách dễ dàng thông qua kết nối không
dây.Với những lợi ích mà Wireless LAN đem lại, ngày nay công nghệ này được
ứng dụng rất nhiều tại các cơ quan công lập, các trường đại học, các doanh nghiệp
hay thậm chí tại các khu công cộng. Chính những đặc tính dễ mở rộng và quản lý
bảo trì đã tạo ra một sự phổ cập rộng lớn của công nghệ mạng không dây không chỉ
tại những nước phát triển có công nghệ tiên tiến mà trên toàn thế giới.

- Sự thuận tiện

2


Mạng máy tính không dây đang nhanh chóng trở thành một mạng cốt lõi
trong các mạng máy tính và đang phát triển vượt trội. Với công nghệ này, những
người sử dụng có thể truy xuất thông tin của mình mà không phải tìm kiếm chỗ để
nối dây mạng, chúng ta có thể mở rộng phạm vi mạng mà không cần lắp đặt hoặc di
chuyển dây.
1.1.2 Quá trình phát triển
Công nghệ này tuân theo rất nhiều các tiêu chuẩn và cung cấp nhiều mức
bảo mật khác nhau. Nhờ vào các tiêu chuẩn này mà các sản phẩm được sản xuất
một cách đa dạng, các nhà sản xuất có thể kết hợp cùng nhau trong việc chế tạo
cùng một sản phẩm, hay mỗi phần của sản phẩm do một nhà cung cấp chế tạo
nhưng đều tuân theo một tiêu chuẩn chung được quy định
Trong phạm vi của đồ án em xin trình bày cơ bản về chuẩn 802.11 của mạng
không dây, chuẩn này được đưa ra vào năm 1997 bởi tổ chức IEEE (Institute of
Electrical and Electronics Engineers) Học viện các kỹ sư Điện và Điện tử của Mĩ.
Chuẩn này được thiết kế để hỗ trợ các ứng dụng có tốc độ trao đổi dữ liệu ở tầm
trung và tầm cao.
Chuẩn 802.11 là chuẩn nguyên thuỷ của mạng không dây WLAN, vào năm
1999 chuẩn 802.11a ra đời hoạt động ở dải tần 5GHZ, có tốc độ tối đa 54Mbps.
Cũng trong năm này chuẩn 802.11b ra đời hoạt động ở dải tần 2,4-2,48 Ghz và hỗ
trợ tốc độ 11Mbps. Chuẩn này đang được sử dụng rộng rãi trong các hệ thống
mạng không dây, cung cấp được tốc độ phù hợp cho phần lớn các ứng dụng.
Chuẩn 802.11g là chuẩn mới được giới thiệu vào năm 2003 cũng hoạt động ở
cùng dải tần với 802.11b cho phép tốc độ truyền đạt tới 54Mbps, do nó tương
thích với 802.11b nên chuẩn này nhanh chóng chiếm lĩnh được thị trường và đang
được sử dụng nhiều trên thế giới.

Chuẩn 802.11e đang được nghiên cứu để phát triển và có khả năng hỗ trợ các
ứng dụng cần băng thông lớn.

3


1.1.3 Ưu nhược điểm của mạng WLA
a, Ưu điểm:
- Sự tiện lợi: Mạng không dây cũng như hệ thống mạng thông thường. Nó
cho phép người dùng truy xuất tài nguyên mạng ở bất kỳ nơi đâu trong khu vực
được triển khai (nhà hay văn phòng). Với sự gia tăng số người sử dụng máy tính
xách tay (laptop), đó là một điều rất thuận lợi.
- Khả năng di động: Với sự phát triển của các mạng không dây công cộng,
người dùng có thể truy cập Internet ở bất cứ đâu.
- Hiệu quả: Người dùng có thể duy trì kết nối mạng khi họ đi từ nơi này đến
nơi khác.
- Triển khai: Việc thiết lập hệ thống mạng không dây ban đầu chỉ cần ít nhất
1 access point. Với mạng dây, phải tốn thêm chi phí và có thể gặp khó khăn trong
việc triển khai hệ thống dây cáp ở nhiều nơi trong tòa nhà.
- Khả năng mở rộng: Mạng không dây có thể đáp ứng nhu cầu gia tăng số
lượng người dùng. Đôi khi không cần bất cứ thiết lập nào
b, Nhược điểm:
- Bảo mật: Môi trường kết nối không dây là khoảng không nên khả năng bị
tấn công của người dùng là rất cao.
- Phạm vi: Một mạng chuẩn 802.11g với các thiết bị chuẩn chỉ có thể hoạt
động tốt trong phạm vi vài chục mét. Nó phù hợp trong 1 căn nhà, nhưng với một
tòa nhà lớn thì không đáp ứng được nhu cầu. Để đáp ứng cần phải trang bị thêm các
điểm truy cập access point, dẫn đến chi phí gia tăng.
- Độ tin cậy: Vì sử dụng sóng vô tuyến để truyền thông nên việc bị nhiễu, tín
hiệu bị giảm do tác động của các thiết bị khác là không tránh khỏi. Làm giảm đáng

kể hiệu quả hoạt động của mạng.
- Tốc độ: Tốc độ của mạng không dây khá chậm và không ổn định được như
mạng sử dụng cáp.

4


1.2. Các chế độ làm việc của mạng WLAN
1.2.1. Chế độ Ad-hoc
Chế độ Ad-hoc là mạng ngang hàng (Peer-to-Peer), được cấu thành chỉ bởi
các thiết bị hoặc các máy tính có vai trò ngang nhau, không có một thiết bị hay máy
tính nào làm chức năng tổ chức và điều tiết lưu thông mạng. Chúng giao tiếp trực
tiếp với nhau thông qua card mạng không dây mà không dùng đến các thiết bị định
tuyến (Wireless Router) hay thu phát không dây (Wireless AP). Các máy trong
mạng Ad-Hoc phải có cùng các thông số như: BSSID (Basic Service Set ID), kênh
truyền, tốc độ truyền dữ liệu.
Sự truyền thông trên mạng Ad-hoc được quy định bằng các giao thức có
trong các chuẩn 802.11 và được thực thi trong mỗi máy tính. Mạng Ad-hoc truyền
thông tin theo 2 cơ chế: SEA (Spokesman Election Algorithm) và “broadcast và
flooding”.
Mạng Ad-Hoc là kết nối Peer-to-Peer không cần dùng Access Point nên chi
phí thấp, cấu hình và cài đặt đơn giản, thiết lập dễ dàng, nhanh chóng, nhưng vùng
phủ sóng bị giới hạn, khoảng cách giữa hai máy trạm bị giới hạn (khoảng cách liên
lạc giữa chúng là khoảng 30m - 100m), các máy trong mạng Ad-hoc không thể kết
nối hoặc truy xuất đến tài nguyên trong mạng có dây, hơn nữa số lượng người dùng
cũng bị giới hạn.

Hình 1.1: Minh họa 1 mạng Ad-hoc

5



1.2.2. Chế độ Infrastructure

Hình 1.2. Minh họa một mạng Infrastructure nhỏ

Trong chế độ Infrastructure, mỗi thiết bị giao tiếp với AP hay Router, các
thiết bị thu/phát hay bộ định tuyến này kết nối với phần còn lại của hạ tầng mạng
thông qua mạng Ethernet có dây truyền thống, hoặc có thể mỗi AP/Router kết nối
với AP/Router khác tạo thành một mạng WLAN diện rộng hơn, vùng phủ sóng xa
hơn. Chính vì thế, đối với kiểu mạng này, người dùng được phép chuyển vùng khi
di chuyển qua vùng phủ sóng của AP/Router khác. Vì vậy phải định vị các AP này
sao cho nó có thể thu được các tín hiệu một cách tốt nhất, cung cấp khả năng nối kết
tin cậy nhất. Điều quan trọng nhất là nhiều AP cũng có chức năng như các Bridge
(cầu nối) giữa các mạng WLAN và LAN hữu tuyến tức là nếu đã có một LAN hữu
tuyến thì có thể thêm AP/Bridge dưới dạng một client khác vào mạng hữu tuyến.
Chế độ mạng này thông thường được thiết lập với một mạng không dây gia đình.
Hình 1.2 minh họa một mạng Infrastructure điển hình.
1.2.3. Chế độ Hybrid
Chế độ Hybrid là sự kết hợp giữa các mạng Ad-hoc và mạng Infrastructure.
Trong chế độ này tạo một mạng Infrastructure và sau đó tạo các mạng Ad-hoc giữa
những thiết bị được kết nối với mạng Infrastructure. Nói cách khác, mạng hybrid là
thêm các WLAN vào một WLAN lớn hơn theo cùng một cách như mạng
Infrastructure được tạo cầu nối thêm các WLAN vào một LAN lớn hơn. Chế độ

6


Hybrid tăng tối đa băng thông của một mạng không dây bằng cách làm giảm nhu
cầu AP xử lý mọi sự lưu thông, thay vào đó các PC có thể truyền dữ liệu trực tiếp

cho nhau mà không qua AP khi có thể, khi đó AP tự do chuyển tiếp dữ liệu qua lại
LAN hữu tuyến và các AP khác.

Hình 1.3: Một mạng không dây Hybrid
Như vậy, từng chế độ có những ưu nhược điểm riêng của nó. Rõ ràng, một
mạng Ad-hoc hoạt động chỉ khi các PC của nó được đặt nằm cạnh nhau về phương
diện vật lý và phải giới hạn về số lượng. Hơn nữa, để chia sẻ Internet cần có một PC
được bật nguồn. Nhưng sự giao tiếp thì nhanh và nối kết lại dễ dàng, nó là một giải
pháp đáng được lưu ý khi thiết lập một mạng không dây cho một nhóm sinh viên
hay một nhóm nhân viên trong công ty. Các mạng Infrastructure cung cấp một kết
nối Internet chia sẻ với AP chỉ khi nó được bật nguồn, chúng tập trung hóa các nối
kết của mạng, chúng tạo cầu nối cho các LAN không dây và LAN hữu tuyến. Các
tòa nhà lớn cần vô số các AP để đạt được khả năng kết nối hiệu quả và các AP hoạt
động chậm đi đáng kể khi có càng nhiều lưu lượng được định hướng qua chúng.
Các mạng Hybrid mang đến giải pháp lý tưởng cho những nhóm nhỏ, tuy nhiên
chúng cũng đem lại những rủi ro đáng kể khi khả năng kết nối không được phép gia
tăng và hoạt động mạng không thể kiểm soát được.

7


CHƯƠNG II
CHUẨN IEEE 802.11
2.1 Giới thiệu bộ tiêu chuẩn IEEE 802.11
Chuẩn 802.11 cũng như các chuẩn khác trong họ IEEE 802, nó tập trung vào
2 lớp thấp nhất trong mô hình OSI (Open System Interconnection) là lớp vật lý
PHY (Physical Layer) và lớp liên kết dữ liệu (Datalink Layer), và tương ứng với mô
hình TCP/IP là lớp truy nhập mạng (Network Access Layer). Do đó, tất cả hệ thống
mạng theo chuẩn 802 đều có 2 thành phần chính là MAC (Media Access Control)
và PHY (Physical).


Hình 2.1: Mô hình OSI và IEEE 802.11
Chuẩn đầu tiên IEEE cho ra đời là IEEE 802.11. Tiếp sau đó là các chuẩn
IEEE 802.11a, b, g,n,…Chuẩn 802.11 được chia làm hai nhóm: nhóm lớp vật lý
PHY và nhóm lớp liên kết dữ liệu MAC.
2.1.1. Nhóm vật lý PHY
a, Chuẩn 802.11b
Chuẩn 802.11b dùng kiểu trải phổ trực tiếp DSSS, sử dụng CCK
(Complementary Code Keying) để mã hóa dữ liệu, hoạt động ở dải tần 2,4GHz, tốc

8


độ truyền dữ liệu tối đa là 11Mbps trên một kênh, tốc độ thực tế là khoảng từ 45Mbps, độ rộng băng thông là 20MHz. Vùng phủ sóng có thể lên đến 100 mét. Khi
dùng chuẩn này tối đa có 32 người dùng/điểm truy cập. Đây là chuẩn đã được chấp
nhận rộng rãi trên thế giới và được triển khai với qui mô lớn.
Nhược điểm của 802.11b là hoạt động ở dải tần 2,4GHz trùng với dải tần của
nhiều thiết bị trong gia đình như lò vi sóng, mạng bluetooth... nên có thể bị nhiễu.
Đồng thời, nó còn những hạn chế như thiếu khả năng kết nối giữa các thiết bị truyền
giọng nói và không cung cấp dịch vụ QoS (Quality of Service) cho các thiết bị
truyền thông.
b, Chuẩn 802.11a
Chuẩn 802.11a hoạt đông ở băng tần 5GHz và sử dụng phương pháp trải phổ
trực giao OFDM tại lớp vật lý. Tốc độ truyền dữ liệu tối đa có thể đạt được 54Mbps
trên một kênh tránh được can nhiễu từ các thiết bị dân dụng, tốc độ thực tế khoảng
27Mbps, độ rộng băng thông là 20MHz, dùng chuẩn này tối đa có 64 người
dùng/điểm truy cập. Đây cũng là chuẩn đã được triển khai sử dụng rộng rãi trong hệ
thống mạng trên toàn thế giới.
Phạm vi phủ sóng tối đa khoảng 51m. Nhưng chuẩn 802.11a hoạt động tốt
trong khu vực đông đúc, với số lượng kênh không chồng lên nhau (non overlapping) trong dải 5GHz lớn hơn nhiều so với 802.11b (23 kênh so với 3 kênh).

Một lợi ích mà chuẩn 802.11a mang lại, đó chính là tốc độ nhanh do băng thông
hoạt động tương đối lớn nên việc truyền hình ảnh và những tập tin lớn dễ dàng,
không bị nhiễu bỡi các vật dụng, thiết bị trong gia đình. Tuy nhiên, nhược điểm của
các thiết bị chuẩn 802.11a là không tương thích ngược với các thiết bị chuẩn
802.11b có sẵn, tầm hoạt động ngắn và giá thành cao hơn các thiết bị chuẩn
802.11b.

9


c, Chuẩn 802.11g

Hình 2.2: Tốc độ và phạm vi phủ sóng của các chuẩn 802.11b,g,a
Tháng 06/2003 IEEE phê duyệt chuẩn 802.11g bằng cách cải tiến IEEE
802.11b về tốc độ truyền cũng như băng thông, khắc phục nhược điểm của chuẩn
802.11a với tốc độ truyền dữ liệu nhanh gấp 5 lần so với chuẩn 802.11b với cùng
một phạm vi phủ sóng. Tốc độ truyền dữ liệu tối đa lên đến 54Mbps, còn tốc độ
thực tế là khoảng 20Mbps, 802.11g hoạt động ở băng tần 2,4GHz. Do đó, các thiết
bị thuộc chuẩn 802.11b và 802.11g hoàn toàn tương thích với nhau.
d, Chuẩn 802.11n
802.11b

802.11a

802.11g

802.11n

1999


1999

Tháng 6/2003

11Mbps

54Mbps

54Mbps

Tháng 9/2009
300Mbps
hay cao hơn

DSSS/CCK

OFDM

2,4GHz

5GHz

2,4 GHz

1

1

1


20MHz

20MHz

20 MHz

20MHz

40MHz

Throughput [Mbps]

20

20

20

20

40

Max Range (feet) (1
feet ~ 0,3048 met)

350

170

300


Standard
Ratified
Max Rate [Mbps]
Transmission
Frequency band [GHz]
Spatial Stream
Bandwidth [MHz]

DSSS/CCK/OFDM DSSS/CCK/OFDM
2,4GHz

5GHz

1, 2, 3 hay 4

Trên 400

Bảng 2.1: So sánh các chuẩn 802.11 được sử dụng trong mạng WLAN

10


Chuẩn 802.11n được xây dựng trên các chuẩn 802.11 trước đó bằng cách
thêm vào anten MIMO, các kênh 40MHz và sự kết hợp khung trên lớp MAC nên nó
cũng có tính tương thích ngược với các thiết bị của các chuẩn khác.
802.11n dùng kênh ghép (Dual-Bands): thay vì dùng kênh có băng tần
20MHz như các chuẩn Wi-Fi trước đây, 802.11n thêm kênh có băng tần 40MHz.
802.11n hoạt động ở băng tần 2,4GHz và 5GHz, IEEE 802.11n sử dụng kỹ
thuật trải phổ DSSS và OFDM, sử dụng CCK để mã hóa dữ liệu.

Vậy, so với các chuẩn trước, đặc tả kỹ thuật của 802.11n "thoáng" hơn
nhiều: có nhiều chế độ, nhiều cấu hình để tùy chọn. Các nhà sản xuất có thể tăng
hoặc điều chỉnh khả năng hỗ trợ để chế tạo ra các sản phẩm với tốc độ nhanh, kết
nối ổn định, khả năng linh động cao và hứa hẹn khả năng tương thích tốt, tính năng
phong phú, hấp dẫn... với băng thông lớn, tầm phủ sóng rộng, độ tin cậy cao và hỗ
trợ nhiều chế độ cho việc triển khai mở rộng cấu trúc mạng
2.1.2 Nhóm liên kết dữ liệu MAC
Lớp MAC cung cấp một cơ chế đánh địa chỉ được gọi là địa chỉ vật lý hoặc
địa chỉ MAC. MAC cung cấp giao thức và các cơ chế điều khiển cần thiết cho một
phương pháp truy nhập kênh nhất định (Channel access method). Việc này cho phép
nhiều trạm kết nối tới cùng một môi trường vật lý dùng chung như là các mạng bus,
ring, hub, mạng không dây và các liên kết điểm-tới-điểm bán song công (halfduplex)...
a, Chuẩn 802.11d
Chuẩn bổ sung một số tính năng đối với lớp MAC nhằm để phù hợp với các
yêu cầu ở những quốc gia khác nhau. Một số nước trên thế giới có quy định rất chặt
chẽ về tần số và mức năng lượng phát sóng vì vậy 802.11d ra đời nhằm đáp ứng
nhu cầu đó. Chuẩn này chỉnh sửa lớp MAC của 802.11 cho phép máy trạm sử dụng
FHSS có thể tối ưu các tham số lớp vật lý để tuân theo các quy tắc của các nước
khác nhau nơi mà nó được sử dụng. Tuy nhiên, chuẩn 802.11d vẫn đang trong quá
trình phát triển và chưa được chấp nhận rộng rãi như là chuẩn của thế giới.

11


b, Chuẩn 802.11e
Đây là chuẩn được áp dụng cho cả 802.11a, b, g. Mục tiêu của chuẩn này
nhằm cung cấp các chức năng về chất lượng dịch vụ QoS (Quality of Service) cho
WLAN. Về mặt kỹ thuật, 802.11e cũng bổ sung một số tính năng cho lớp con
MAC. Nó định nghĩa thêm các mở rộng về chất lượng dịch vụ QoS nên rất thích
hợp cho các ứng dụng đa phương tiện như voice, video…

c, Chuẩn 802.11h
Tiêu chuẩn này bổ sung một số tính năng cho lớp con MAC nhằm đáp ứng
các quy định châu Âu ở dải tần 5GHz. Châu Âu quy định rằng các sản phẩm dùng
dải tần 5GHz phải có tính năng kiểm soát mức năng lượng truyền dẫn TPC
(Transmission Power Control) và khả năng tự động lựa chọn tần số DFS (Dynamic
Frequency Selection). Lựa chọn tần số ở Access Point giúp làm giảm đến mức tối
thiểu can nhiễu đến các hệ thống radar đặc biệt khác.
d, Chuẩn 802.11i
Đây là một chuẩn về bảo mật, nó bổ sung cho các yếu điểm của WEP trong
chuẩn 802.11 với việc sử dụng các giao thức như giao thức xác thực dựa trên chuẩn
802.1X, và một thuật toán mã hóa được xem như là không thể dò được đó là thuật
toán TKIP và AES. Chuẩn này trên thực tế được tách ra từ IEEE 802.11e.
Ngoài ra,còn có các chuẩn 802.11T, 802.11k; 802.11u; 802.11r;
802.11p...Mỗi một chuẩn này nhằm cải thiện hoặc giải quyết một vấn đề cụ thể nào
đó về thiết bị, mạng không dây.
2.2. Một số cơ chế được sử dụng khi trao đổi thông tin trong mạng
2.2.1. Cơ chế báo nhận ACK (Acknowledgement)
ACK là cơ chế thông báo lại kết quả truyền dữ liệu. Khi bên nhận nhận được
dữ liệu, nó sẽ gửi thông báo ACK đến bên gửi báo là đã nhận được bản tin rồi.
Trong tình huống khi bên gửi không nhận được ACK nó sẽ coi là bên nhận chưa
nhận được bản tin và nó sẽ gửi lại bản tin đó. Cơ chế này nhằm giảm bớt nguy cơ bị

12


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×