Một số vấn đề an ninh trong mạng máy tính không dây

CV có giống với ICV đã được gửi theo thông điệp hay không? Seed WEP PRNG IV Cipherttext Message Secret Key Key Sequence Intergrity Algorithm ICV-ICV1 ICV ICV Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 45 - Nếu giá trị kiểm tra ICV sai khác, bản tin nhận được đã bị lỗi, và một tín hiệu báo lỗi sẽ được gửi ngược trở lại nơi gửi tin. Thiết bị gửi tin sai sẽ không tiến hành được việc chứng thực để đăng nhập vào mạng. 2.4.4. Quản lý mã khoá Khoá bí mật chia sẻ được nằm ở tất cả các trạm kết nối. Chính vì vậy mà IEEE802.11 không xác định việc truyền mã khoá tới các trạm làm việc. WEP sử dụng cơ chế khóa mã đối xứng, tức là sử dụng mã khóa bí mật chia sẻ ở cả mã hóa và giải mã. Chuẩn IEEE 802.11 cung cấp hai mô hình quản lý khóa WEP trên mạng LAN không dây: - Thiết lập bốn khóa mặc định được chia sẻ cho tất cả các trạm bao gồm các client không dây và các điểm truy cập của Nó. - Mỗi client thiết lập một khóa ánh xạ tới một trạm khác. Phương thức thứ nhất cung cấp bốn khóa. Khi một client có được các khóa mặc định, Nó có thể giao tiếp với tất cả các trạm khác trong hệ thống con. Một trạm hay một AP có thể giải mã các gói đã được mã hóa bất kỳ khoá vào trong bốn khóa đó. Việc giới hạn trao đổi thông tin thông qua việc nhập vào bốn khoá đó một cách thủ công. Mộtư vấn để xảy ra đối với mô hình này là khi các khóa mặc định được phân phối rộng rãi thì chúng có thể bị thay đổi. Trong mô hình thứ hai, mỗi client thiết lập một khóa ánh xạ tới các trạm khác gọi là bảng khóa ánh xạ. Trong phương thức này, mỗi địa chia MAC có thể có một khóa riêng biệt, do đó phương thức này trở nên bảo mật hơn bởi vì có ít hơn các trạm có các khóa. Việc trao cho mỗi trạm làm việc một khoá làm giảm cơ hội tấn công phá mã, nhưng việc phải tạo ra một khoảng thời gian hợp lý để lưu trữ khoá vẫn còn vấn đề, bởi vì các khoá chỉ có thể thay đổi một cách thủ công, nên việc phân phối các khoá trở nên khó khăn hơn nhiều khi số lượng trạm làm việc tăng lên. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 46 2.4.5. Các ƣu nhƣợc điểm của WEP Khi chọn giải pháp an ninh cho mạng không dây, chuẩn 802.11 đưa ra các yêu cầu sau mà WEP đáp ứng được: - Có thể đưa ra rộng rãi, triển khai đơn giản - Mã hóa mạnh - Khả năng tự đồng bộ - Tối ưu tính toán, hiệu quả tài nguyên bộ vi xử lý - Có các lựa chọn bổ xung thêm Lúc đầu người ta tin tưởng ở khả năng kiểm soát truy cập và tích hợp dữ liệu của nó và WEP được triển khai trên nhiều hệ thống, tên gọi của nó đã nói lên những kỳ vọng ban đầu mà người ta đặt cho nó, nhưng sau đó người ta nhận ra rằng WEP không đủ khả năng bảo mật một cách toàn diện. - Chỉ có chứng thực một chiều: Client chứng thực với AP mà không có chứng thực tính hợp pháp của AP với Client - WEP còn thiếu cơ chế cung cấp và quản lý mã khóa. Khi sử dụng khóa tĩnh, nhiều người dụng khóa dùng chung trong một thời gian dài. Bằng máy tính xử lý tốc độ cao hiện nay kẻ tấn công cũng có thể bắt những bản tin mã hóa này để giải mã ra mã khóa mã hóa một cách đơn giản. Nếu giả sử một máy tính trong mạng bị mất hoặc bị đánh cắp sẽ dẫn đến nguy cơ lộ khóa dùng chung đó mà các máy khác cũng đang dùng. Hơn nữa, việc dùng chung khóa, thì nguy cơ lưu lượng thông tin bị tấn công nghe trộm sẽ cao hơn. - Vector khởi tạo IV, như đã phân tích ở trên, là một trường 24 bit kết hợp với phần RC4 để tạo ra chuỗi khóa – key stream, được gửi đi ở dạng nguyên bản, không được mã hóa. IV được thay đổi thường xuyên, IV có 24 bit thì chỉ có thể có tối đa 224 = 16 triệu giá trị IV trong 1 chu kỳ, nhưng khi mạng có lưu lượng lớn thì số lượng 16 triệu giá trị này sẽ quay vòng nhanh, khoảng thời gian thay Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 47 đổi ngắn, ngoài ra IV thường khởi tạo từ giá trị 0, mà muốn IV khởi tạo lại chỉ cần thực hiện được việc reboot lại thiết bị. Hơn nữa chuẩn 802.11 không cần xác định giá trị IV vẫn giữ nguyên hay đã thay đổi, và những Card mạng không dây của cùng 1 hãng sản xuất có thể xẩy ra hiện tượng tạo ra các IV giống nhau, quá trình thay đổi giống nhau. Kẻ tấn công có thể dựa vào đó mà tìm ra IV, rồi tìm ra IV của tất cả các gói tin đi qua mà nghe trộm được, từ đó tìm ra chuỗi khóa và sẽ giải mã được dữ liệu mã hóa. - Chuẩn 802.11 sử dụng mã CRC để kiểm tra tính toàn vẹn của dữ liệu, như nêu trên, WEP không mã hóa riêng giá trị CRC này mà chỉ mã hóa cùng phần Payload, kẻ tấn công có thể bắt gói tin, sửa các giá trị CRC và nội dung của các gói tin đó, gửi lại cho AP xem AP có chấp nhận không, bằng cách “dò” này kẻ tấn công có thể tìm ra được nội dung của phần bản tin đi cùng mã CRC. 2.5. Giao thức bảo toàn dữ liệu với khoá theo thời gian TKIP 2.5.1. Bảo mật với TKIP Để khắc phục các điểm yếu của WEP, người ta đưa ra TKIP ( Temporal key Intergrity Protocol - giao thức bảo toàn dữ liệu với khoá theo thời gian). TKIP có ba nhân tố chính để tăng cường mã hoá: - Chức năng xáo trộn khoá mã từng gói. - Chức năng tăng cường MIC ( Message Integrity Check - mã toàn vẹn bản tin ) gọi là Michael - Các luật tăng cường sắp xếp các IV Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 48 Hình 17: Quá trình bảo mật dùng TKIP Chức năng tăng cƣờng MIC Thay cho việc sử dụng CRC-32 bit đơn giản, Michael yêu cầu các đầu vào: Khoá MIC, địa chỉ nguồn, địa chỉ đích, bản rõ được xác thực. Đầu ra Michael dài 8 byte và được nối thêm vào trường dữ liệu. ( MIC sử dụng hàm bàn được thiết kế bởi Neil Ferguson không tuyến tính, điều này gây khó khăn lớn cho kẻ tấn công để có thể thay đổi một gói trong truyền dẫn ). Chức năng xáo trộn mã khoá từng gói Đầu tiên địa chỉ MAC của người gửi được XOR với TK để tạo khoá pha 1 ( khoá trung gian ). Khoá pha 1 được trộn với một truỗi số để tạo khoá pha 2, khoá từng gói.Đầu ra của khoá pha 2 được đưa tới bộ tạo WEP như là khoá mã WEP chuẩn 128 bit (IV + khoá bí mật chia sẻ, chứ không phải là 64 bit như ở WEP ). Không để các Client sử dụng cùng mã khoá WEP mà thay đổi bởi khoá pha 1 và không để xẩy ra tương quan giữa các IV ( trong trường hợp này là chuỗi số ) và khoá mỗi gói ( khoá pha 2 ). Temporal Key (128 bit) Phase 1 Key Mixing MIC Key Sender’s MAC Address Dest’s MAC Address Plaintext MSG Phase 2 Key Mixing Trip Sequence Control (Sequence Numbers) 128 bit “WEP Key” (displayed as 24 bit IV And 104 bit shared secret) WEP Ciphertext MIC Plaintext MIC Sender’s MAC Address Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 49 Trong WEP, IV tương quan với khoá mã bí mật và đưa một cách đơn giản vảo RC4. Với TKIP pha 1 đảm bảo các Client có khoá trung gian khác nhau. Sau đó pha 2 trộn khoá với chuỗi số trước khi đưa vào RC4. Tiến trình này rắc rối hơn nhiều so với đơn giản đưa IV vào khoá mã bí mật rồi đưa vào RC4. Các luật tăng cƣờng sắp xết các IV. TKIP không còn gặp phải vấn đề sung đột IV của WEP bằng 2 luật đơn giản : Trước tiên không gian IV được tăng từ 24 lên 48 bit. Tại tốc độ 54 Mbps điều này có nghĩa là 1000 năm mới lặp lại một IV. Và TKIP yêu cầu IV tăng từ 0 và rút ra khỏi chuỗi gói. Một không gian IV rộng lớn có nghĩa là xung đột IV và các tấn công tương ứng không thể xẩy ra. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 50 IV. CHUẨN XÁC THỰC 1. Nguyên lý RADIUS Server Việc chứng thực của 802.1x được thực hiện trên một server riêng, server này sẽ quản lý các thông tin để xác thực người sử dụng như tên đăng nhập (username), mật khẩu (password) vv.. Khi người dùng gửi yêu cầu chứng thực, server này sẽ tra cứu dữ liệu để xem người dùng này có hợp lệ không, được cấp quyền truy cập đến mức nào, vv.. Nguyên lý này được gọi là RADIUS (Remote Authentication Dial-in User Service) Server - Máy chủ cung cấp dịch vụ chứng thực người dùng từ xa. Phương thức này xuất hiện từ ban đầu với mục đích là thực hiện qua đường điện thoại, ngày nay không chỉ thực hiện qua quay số mà còn có thể thực hiện trên những đường truyền khác nhưng người ta vấn giữ tên RADIUS. Hình 18: Mô hình chứng thực sử dụng RADIUS Server Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 51 Các quá trình liên kết và xác thực được tiến hành như mô tả trong hình trên, và thực hiện theo các bước sau: RADIUS Server Client Laptop Access Point 1 2 3 4 5 6 7 Hình 19: Quá trình chứng thực RADIUS Server 1. Máy tính Client gửi yêu cầu kết nối đến AP 2. AP thu thập các yêu cầu của Client và gửi đến RADIUS server 3. RADIUS server gửi đến Client yêu cầu nhập user/password 4. Client gửi user/password đến RADIUS Server 5. RADIUS server kiểm tra user/password có đúng không, nếu đúng thì RADIUS server sẽ gửi cho Client mã khóa chung 6. Đồng thời RADIUS server cũng gửi cho AP mã khóa này và đồng thời thông báo với AP về quyền và phạm vi được phép truy cập của Client này 7. Client và AP thực hiện trao đổi thông tin với nhau theo mã khóa được cấp Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 52 Để nâng cao tính bảo mật, RADIUS Server sẽ tạo ra các khóa dùng chung khác nhau cho các máy khác nhau trong các phiên làm việc (session) khác nhau, thậm chí là còn có cơ chế thay đổi mã khóa đó thường xuyên theo định kỳ. Khái niệm khóa dùng chung lúc này không phải để chỉ việc dùng chung của các máy tính Client mà để chỉ việc dùng chung giữa Client và AP. 2. Phƣơng thức chứng thực mở rộng EAP Để đảm bảo an toàn trong quá trình trao đổi bản tin chứng thực giữa Client và AP không bị giải mã trộm, sửa đổi, người ta đưa ra EAP (Extensible Authentication Protocol) - giao thức chứng thực mở rộng trên nền tảng của 802.1x. Giao thức chứng thực mở rộng EAP là giao thức hỗ trợ, đảm bảo an ninh trong khi trao đổi các bản tin chứng thực giữa các bên bằng các phương thức mã hóa thông tin chứng thực. EAP có thể hỗ trợ, kết hợp với nhiều phương thức chứng thực của các hãng khác nhau, các loại hình chứng thực khác nhau ví dụ ngoài user/password như chứng thực bằng đặc điểm sinh học, bằng thẻ chip, thẻ từ, bằng khóa công khai, vv...Kiến trúc EAP cơ bản được chỉ ra ở hình dưới đây, nó được thiết kế để vận hành trên bất cứ lớp đường dẫn nào và dùng bất cứ các phương pháp chứng thực nào. Hình 20: Kiến trúc EAP cơ bản Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 53 2.1. Bản tin EAP Một bản tin EAP được thể hiện ở hình trên. Các trường của bản tin EAP : - Code: trường đầu tiên trong bản tin, là một byte dài và xác định loại bản tin của EAP. Nó thường được dùng để thể hiện trường dữ liệu của bản tin. - Identifier: là một byte dài. Nó bao gồm một số nguyên không dấu được dùng để xác định các bản tin yêu cầu và trả lời. Khi truyền lại bản tin thì vẫn là các số identifier đó, nhưng việc truyền mới thì dùng các số identifier mới. - Length: có giá trị là 2 byte dài. Nó chính là chiều dài của toàn bộ bản tin bao gồm các trường Code, Identifier, Length, và Data. - Data: là trường cuối cùng có độ dài thay đổi. Phụ thuộc vào loại bản tin, trường dữ liệu có thể là các byte không. Cách thể hiện của trường dữ liệu được dựa trên giá trị của trường Code. 2.2. Các bản tin yêu cầu và trả lời EAP ( EAP Requests and Responses ) Trao đổi trong chứng thực mở rộng EAP bao gồm các bản tin yêu cầu và trả lời. Nơi tiếp nhận chứng thực ( Authenticator ) gửi yêu cầu tới hệ thống tìm kiếm truy cập, và dựa trên các bản tin trả lời , truy cập có thể được chấp nhận hoặc từ chối. Bản tin yêu cầu và trả lời được minh họa ở hình dưới đây: Hình 21: Cấu trúc khung của bản tin yêu cầu và trả lời - Code: có giá trị là 1 nếu là bản tin yêu cầu và có giá trị là 2 nếu là bản tin trả lời. Trường Data chứa dữ liệu được dùng trong các bản tin yêu cầu và trả lời. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 54 Mỗi trường Data mang một loại dữ liệu khác nhau, phân ra loại mã xác định và sự liên kết dữ liệu như sau: - Type: là một trường byte chỉ ra loại các bản tin yêu cầu hay trả lời. Chỉ có một byte được dùng trong mỗi gói tin. Khi một bản tin yêu cầu không được chấp nhận, nó có thể gửi một NAK để đề nghị thay đổi loại, có trên 4 loại chỉ ra các phương pháp chứng thực. - Type - Data: là trường có thể thay đổi để làm rõ hơn nguyên lý của từng loại. 2.2.1. Loại code 1: Identity Nơi tiếp nhận chứng thực thường dùng loại Identity như là yêu cầu thiết lập. Sau đó, việc xác định người dùng là bước đầu tiên trong trong chứng thực. Trường Type - Data có thể bao gồm chuỗi để nhắc người dùng, chiều dài của chuỗi được tính từ trường Length trong chính gói EAP. 2.2.2. Loại code 2: Notification (Thông báo) Nơi tiếp nhận chứng thực có thể dùng loại thông báo để gửi một bản tin tới người dùng. Sau đó hệ thống của người dùng hiển thị bản tin đó. Bản tin thông báo được dùng để cung cấp bản tin tới người dùng từ hệ thống chứng thực, như là password về việc hết quyền sử dụng. Các bản tin đáp ứng phải được gửi để trả lời các yêu cầu thông báo. Tuy nhiên, chúng thường là các phản hồi đơn giản, và trường Type - Data có chiều dài là 0. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 55 2.2.3. Loại code 3: NAK Các NAK được dùng để đưa ra một phương thức chứng thực mới. Nơi tiếp nhận chứng thực đưa ra chuỗi mời kết nối, được mã hóa bởi một loại mã. Các loại chứng thực được đánh số thứ tự trên 4. Nếu hệ thống người dùng không phù hợp với loai chứng thực của chuỗi này, nó có thể đưa ra một NAK. Các bản tin NAK của trường của trường Type – Data bao gồm một byte đơn tương ứng với loại chứng thực. 2.2.4. Loại code 4: Chuỗi MD5 (MD5 Challenge) MD5 Challenge thường được sử dụng trong EAP tương tự của giao thức CHAP, được đưa ra trong RFC 1994. Đây là yêu cầu bảo mật cơ bản mà EAP sử dụng gồm có Tên đăng nhập và mật khẩu. MD5 bảo vệ gói tin bằng cách tạo ra những dấu hiệu đặc trưng riêng ( như chữ ký điện tử ) lưu trong gói tin đó. MD5 là một giao thức còn đơn giản, chạy nhanh, dễ bổ xung. Nó không sử dụng chứng thực TKIP, mức độ mã hóa của nó còn chưa cao, có khả năng bị tấn công kiểu thu hút. 2.2.5. Loại code 5: One - time password (OPT ) Hệ thống one - time password dùng bởi EAP được định nghĩa trong RFC 1938. Bản tin yêu cầu được đưa tới người dùng bao gồm chuỗi mời kết nối OPT. Trong một bản tin đáp ứng OPT (loại 5), trường Type - Data gồm có các từ ở từ điển OPT trong RFC 1938. Giống như tất cả các loại chứng thực, các bản tin trả lời có thể là các NAK (loại 3). 2.2.6. Loại code 6: Đặc điểm thẻ Token (Generic Token Card ) Các thẻ Token như là SecureID của RSA và Safeword của Secure Computing là phổ biến với nhiều nơi bởi vì chúng đưa ra sự bảo mật “ngẫu nhiên” các one - time password mà không có một phức tạp nào của một OPT. Các bản tin yêu cầu chứa đựng thông tin đặc điểm thẻ Token cần thiết cho chứng Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 56 thực. Trường Type- Data của yêu cầu phải có chiều dài lớn hơn 0 byte. Trong các bản tin đáp ứng, trường Type - Data được dùng để mang thông tin được sao chép từ thẻ Token bởi người dùng. Trong cả bản tin yêu cầu và trả lời, trường chiều dài của gói EAP được tính là chiều dài bản tin yêu cầu của Type - Data. 2.2.7. Loại code 13: TLS RFC đưa ra việc dùng Transport Layer Security (TLS) trong chứng thực. TLS là phiên bản nâng cấp đã được triển khai một cách rộng rãi ở Secure Socket Layer (SSL) và chứng thực TLS kế thừa một số đặc điểm từ SSL. TLS là một phương thức mã hóa mạnh, nó chứng thực song phương có nghĩa là không chỉ Server chứng thực Client mà Client cũng chứng thực lại Server, chống lại việc nghe trộm, bắt gói tin. Nhược điểm của nó là yêu cầu chứng thực PKI ở cả 2 phía làm cho quá trình chứng thực phức tạp, nó phù hợp với hệ thống nào đã có sẵn chứng thực PKI. 2.2.8. Các loại mã khác Đáng chú ý nhất là 2 khái niệm chứng thực Kerberos và chứng thực cell - phone (thẻ SIM dựa trên các mạng thế hệ thứ 2 và AKA dựa trên các mạng thế hệ thứ 3). 2.3. Các khung trong EAP Khi các trao đổi EAP kết thúc, người dùng hoặc chứng thực thành công hoặc không thành công. Khi nơi tiếp nhận chứng thực xác định việc trao đổi là hoàn tất nó đưa ra khung thành công (Code 3) và không thành công (Code 4) để kết thúc trao đổi EAP. Nó cho phép gửi nhiều bản tin yêu cầu trước khi chứng thực không thành công để cho phép người dùng nhận được thông tin chứng thực đúng. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 57 Hình 22: Cấu trúc các khung EAP thành công và không thành công 2.4. Chứng thực cổng Chứng thực tới các thiết bị mạng ở lớp đường dẫn là không mới. Chứng thực cổng mạng đã được biết đến từ trước. Hầu hết sự ra đời của nó đã có sự phát triển cơ sở hạ tầng khá rộng để phù hợp chứng thực người dùng, như là nguyên lý RADIUS servers, và LDAP directories. Khái niệm Port: để chỉ việc đóng mở cổng tương ứng với việc chấp nhận hay từ chối kết nối của Authenticator. Ngoài ra còn có thêm 1 port cho các tuyến đi qua mà không liên quan đến quá trình chứng thực. Hình 23: Cấu trúc cổng 2.5. Kiến trúc và thuật ngữ trong chứng thực EAP Trong quá trình chứng thực sử dụng EAP, có 3 bên chính tham gia là : - Máy Client/Máy xin chứng thực - Client/Supplicant: là các phần tử có nhu cầu cần chứng thực để thiết lập kết nối Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 58 - Tiếp nhận chứng thực – Authenticator: là các phần tử trung gian tiếp nhận nhu cầu chứng thực và trao đổi bản tin qua lại giữa Client và Server chứng thực. Phương thức trao đổi giữa Authenticator và Client gọi là EAPOL (EAP Over LAN) hoặc EAPOW (EAP Over Wireless). - Server chứng thực - Authentication Server: phần tử xử lý các yêu cầu chứng thực gửi đến, cấp phép hay từ chối. Nó không chỉ xử lý yêu cầu chứng thực của Client mà còn có thể gửi đến Client yêu cầu chứng thực bản thân nó. Server chứng thực có thể theo mô hình RADIUS Server hay Active Directory Server. 2.6. Dạng khung và cách đánh địa chỉ của EAPOL 2.6.1. Dạng khung Dạng cơ bản của một khung EAPOL được đưa ra ở hình dưới đây: Hình 24: Cấu trúc cơ bản của khung EAPOL Bao gồm các trường sau: - MAC header: gồm có địa chỉ đích và địa chỉ nguồn MAC - Ethernet Type: gồm có 2 byte để đánh địa chỉ mã là 88 – 8e. - Version: cho biết số thứ tự của phiên bản. - Packet Type: EAPOL là một sự mở rộng của EAP. Bảng sau chỉ ra một số loại bản tin và miêu tả về chúng: Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 59 Loại bản tin Tên Miêu tả 00000000 EAP - Packet Bao gồm một khung EAP. Phần lớn các khung đều là EAP – Packet. 00000001 EAPOL - Start Thay cho việc đợi một chuỗi mời kết nối từ Authenticator, Supplicant có thể đưa một khung EAPOL – Start. Trong bản tin trả lời, Authenticator gửi một khung EAP – Request / Identity. 00000010 EAPOL – Logoff Khi một hệ thống hoàn tất việc sử dụng mạng, nó có thể đưa ra một khung EAPOL – Logoff để đưa cổng về trạng thái tắt. 00000011 EAPOL – Key EAPOL có thể được dùng để trao đổi thông tin khóa mã hóa. - Packet Body Length: chiều dài là 2 byte. Nó được thiết lập là 0 khi không có packet body nào tồn tại. - Packet Body: trường này có chiều dài thay đổi được, có trong tất cả các dạng khung EAPOL trừ bản tin EAPOL - Start và EAPOL - Logoff. 2.6.2. Đánh địa chỉ Trong môi trường chia sẻ mạng LAN như là Ethernet, Supplicants gửi các bản tin EAPOL tới nhóm địa chỉ 01:C2:00:00:03. Trong mạng 802.11, các cổng là không tồn tại, và EAPOL có thể tiếp tục được chỉ sau khi quá trình liên kết cho phép cả hai bên là Supplicant ( STA không dây di động ) và authenticator Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 60 ( AP ) để trao đổi địa chỉ MAC. Trong môi trường như là 802.11, EAPOL yêu cầu dùng địa chỉ STA. 2.7. Một ví dụ về trao đổi thông tin trong chứng thực EAP Hình 25: Quá trình chứng thực EAP Các bước trao đổi theo thứ tự như sau: 1. Supplicant gửi bản tin EAPOL - Start tới Authenticator. 2. Authenticator ( chuyển mạch mạng ) gửi lại một khung EAP - Request / Identity tới Supplicant. 3. Supplicant trả lời bằng một khung EAP - Reponse / Identity. Sau đó Authenticator gửi đến RADIUS server một bản tin Radius - Access - Request. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 61 4. RADIUS server trả lời bằng một bản tin Radius - Access - Challenge. Sau đó Authenticator gửi đến Supplicant một bản tin EAP - Request cho sự chứng thực hợp lệ chứa bất kỳ thông tin liên quan. 5. Supplicant tập hợp các thông tin trả lời từ người dùng và gửi một EAP (Reponse tới Authenticator). Tại đây thông tin xử lý thành bản tin Radius Access Request và được gửi tới RADIUS. 6. RADIUS server gửi một bản tin Radius Access Accept cho phép truy cập. Vì vậy, Authenticator gửi một khung EAP Success tới Supplicant. Khi đó cổng được mở và người dùng có thể bắt đầu truy cập vào mạng. 7. Khi Supplicant hoàn tất việc truy cập mạng, nó gửi một bản tin EAPOL - Logoff để đóng cổng. Tóm lại về nguyên lý 3 bên thì cũng giống như nguyên lý 3 bên chứng thực đã đề cập ở phần giới thiệu RADIUS server, chỉ có điều khác là các hoạt động trao đổi bản tin qua lại đều thông qua EAP để đảm bảo an ninh. Từ các cơ sở lý thuyết nêu trên đã được các nhà sản suất thiết bị đưa vào ứng dụng để xây dựng lên các hệ thống mạng không dây có độ an toàn và bảo mật dữ liệu cao, đáp ứng được nhu cầu phát triển mạnh mẽ của công nghệ mạng không dây. Trên thực tế các hệ thống mạng không dây phát triển rất nhiều trong các doanh nghiệp, các văn phòng hay các trường đại học. Trong đó trường đại học kỹ thuật công nghiệp thái nguyên là một trong những trường đầu tiên triển khai một hệ thống mạng không dây lớn thực hiện việc cung cấp và chia sẻ các tài nguyên quan trọng của nhà trường với sinh viên. Chính vì vậy nhu cầu bảo mật thông tin và an toàn hệ thống mạng không dây của nhà trường được đặt lên hàng đầu. Việc ứng dụng các cơ sở lý thuyết về bảo mật cho hệ thống sẽ được hiện thực hoá trong chương tiếp theo của luận văn này. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 62 CHƢƠNG III ỨNG DỤNG THỰC TẾ MẠNG KHÔNG DÂY TẠI TRƢỜNG ĐHKTCN THÁI NGUYÊN. Trong chương I và II chúng ta đã đi sâu tìm hiểu về cơ sở lý thuyết cũng như các cơ chế, các nguyên tắc và một số vấn đề bảo mật thông tin trong hệ thống mạng không dây nói chung và trong WLAN nói riêng. Trong chương này sẽ trình bầy cụ thể ứng dụng vào thực tế các lý thuyết về bảo mật đó trong việc xây dựng hệ thống mạng không dây tại trường Đại học Kỹ thuật Công nghiệp Thái Nguyên. I. MÔ HÌNH MẠNG KHÔNG DÂY TRONG TRƢỜNG ĐHKTCN Nguyên tắc thiết kế Hệ thống mạng không dây được xây dựng tại trường Đại học kỹ thuật công nghiệp Thái Nguyên để đáp ứng các nhu cầu sau: - Đảm bảo truy cập không dây cho các thiết bị di động hỗ trợ. - Đảm bảo cung cấp được khả năng truy cập tại các khu vực làm việc chính (tòa nhà trung tâm, tòa nhà thư viện, tòa nhà làm việc các khoa, tòa nhà A5, hội trường) và một số khu vực khuôn viên bên ngoài các tòa nhà trên. - Cung cấp các thông tin, tài nguyên, các giao tiếp giữa sinh viên với nhà trường như kế hoạch thời khoá biểu, lịch thi, thông tin về điểm học tập thông qua cổng thông tin điện tử của nhà trường như Website. - Đảm bảo việc truy cập vào hệ thống Server của trường để đăng ký môn học của sinh viên trong toàn trường. - Phải có khả năng cung cấp dịch vụ Roaming (Người dùng mạng không dây có thể di truyển qua nhiều vùng phủ sóng của các Access Point khác nhau mà không bị ngắt quãng truy cập). Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 63 - Đảm báo cung cấp các tính năng bảo mật phù hợp tin cậy để đảm bảo an toàn thông tin cho toàn bộ hệ thống cơ sở dữ liệu quan trọng của trường. 1. Mô hình logic và sơ đồ phủ sóng vật lý tổng thể tại trƣờng 1.1. Mô hình thiết kế logic Giải pháp bao gồm các Access point đặt tại các tòa nhà được liên kết với nhau dựa trên hệ thống mạng có dây tại trường. Các Access Point được quản lý tập trung nhờ thiết bị WLAN controller đồng thời cung cấp dịch vụ roaming (kết nối liên tục trong khi di chuyển) và các dịch vụ bảo mật, chứng thực. Hình 26: Mô hình logic mạng không dây tại trƣờng Các thiết bị có hỗ trợ kết nối không dây sẽ kết nối tới AP trong vùng phủ sóng, toàn bộ quá trình kết nối và các hoạt động truy cập của thiết bị sẽ được ghi lại tại file log của WLAN controller nhằm kiểm soát các hoạt động truy cập bất hợp pháp. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 64 1.2. Sơ đồ phủ sóng vật lý tổng thể tại trƣờng Dựa trên quá trình khảo sát thực tế tại trường và việc tính toán chi tiết, đảm bảo khả năng tối ưu các vùng mà AP phủ sóng tới. Mặt khác không gian phủ sóng phải liên kết một cách khoa học không rời rạc đảm bảo các yêu cầu về tín hiệu đường truyền. Từ đó chúng tôi đưa ra mô hình phủ sóng của toàn bộ hệ thống mạng không dây như sau: Hình 27: Mô hình phủ sóng tại trƣờng Trong mô hình trên ta thấy rằng việc phủ sóng tại các khu vực nhà làm việc và một số vùng khuôn viên của nhà trường được thực hiện như sau: Trong không gian tại các khu nhà làm việc các AP phát sóng indor theo dạng hình cầu bao phủ toàn bộ không gian làm việc của toà nhà. Dựa vào các thiết bị đo tín hiệu sao cho các điểm chết là ít nhất (điểm mà tại đó tín hiệu sóng wifi là ít nhất hoặc không có ). Các AP sử dụng ăng ten loại yagi để phát sóng outdor theo nửa hình bán cầu ra khu vực khuôn viên của trường theo đúng thiết kế. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 65 2. Thiết kế chi tiết của hệ thống 2.1. Mô hình thiết kế chi tiết hệ thống mạng không dây Với phương án thiết kế, căn cứ trên các tiêu chí về ưu nhược điểm của từng phương án và hệ thống mạng hữu tuyến có dây sẵn có, mô hình thiết kế vật lý chi tiết hệ thống mạng không dây tại trường Đại học Kỹ thuật Công nghiệp Thái Nguyên như sau: Outside Core Distribution Access Cisco 4506 Internet Tòa nhà TT Tòa nhà TV Tòa nhà TH/ Giao vien Tòa nhà A5,Hội trường WLAN controller/ IPS/AAA Semi antenna Semi antenna Semi antenna Semi antenna Load balancer A D S L A D S LL e a se d li n e Hình 28: Sơ đồ phân bố các Access point Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 66 2.2. Thiết bị sử dụng trong hệ thống mạng không dây Thiết bị sử dụng trong hệ thống bao gồm các Access Point (AP) 1242 series của Cisco, mỗi AP sẽ được trang bị 1 antenna ngoài để hỗ trợ phủ sóng outdor ra bên ngoài khuôn viên. Thiết bị này hỗ trợ các cơ chế bảo mật mới nhất nhƣ: - Authentication Security Standards - WPA - WPA2 (802.11i) - Cisco TKIP - Cisco message integrity check (MIC) - IEEE 802.11 WEP keys of 40 bits and 128 bits - 802.1X EAP types: - EAP-Flexible Authentication via Secure Tunneling (EAP-FAST) - Protected EAP-Generic Token Card (PEAP-GTC) - PEAP-Microsoft Challenge Authentication Protocol Version 2 (PEAP-MSCHAP) - EAP-Transport Layer Security (EAP-TLS) - EAP-Tunneled TLS (EAP-TTLS) - EAP-Subscriber Identity Module (EAP-SIM) - Cisco LEAP - Encryption - AES-CCMP encryption (WPA2) - TKIP (WPA) - Cisco TKIP - WPA TKIP - IEEE 802.11 WEP keys of 40 bits and 128 bits Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 67 Một thiết bị hết sức quan trọng đi cùng với các AP là WLC-4402 (Cisco wireless control system) để cung cấp các chức năng cho hệ thống không dây. Cisco wireless LAN controller cung cấp khả năng quản trị mạng tập trung không dây theo cách hĩu hình và các tính năng điều khiển cần thiết một cách hiệu quả và bảo mật. Một số tính năng nhƣ sau: - Khả năng kiểm tra chính sách bảo mật của WLAN. - Khả năng quản lý tập chung tường minh về môi trường sóng. - Hoạt động với tốc độ cao nhờ khả năng hội tụ tin cậy và băng thông được tối ưu. - Các tính năng di động cung cấp khả năng truy cập liên tục cho người dùng di chuyển. - Khả năng mở rộng linh hoạch phù hợp với yêu cầu của khách hàng từ nhỏ đến lớn. - Bảo vệ đầu tư, Tiết kiệm chi phí vận hành nhờ mô hình và phương thức triển khai đơn giản, dễ vận hành. Các đặc tính về kỹ thuật: Item Specification Wireless IEEE 802.11a, 802.11b, 802.11g, 802.11d, 802.11h, 802.11n Wired/Switching/Routing IEEE 802.3 10BASE-T, IEEE 802.3u 100BASE-TX specification, IEEE 802.1Q VLAN tagging, and IEEE 802.1D Spanning Tree Protocol Data Request For Comments (RFC) • RFC 768 UDP • RFC 791 IP Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 68 • RFC 792 ICMP • RFC 793 TCP • RFC 826 ARP • RFC 1122 Requirements for Internet Hosts • RFC 1519 CIDR • RFC 1542 BOOTP • RFC 2131 DHCP Security Standards • WPA • IEEE 802.11i (WPA2, RSN) • RFC 1321 MD5 Message-Digest Algorithm • RFC 1851 The ESP Triple DES Transform • RFC 2104 HMAC: Keyed Hashing for Message Authentication • RFC 2246 TLS Protocol Version 1.0 • RFC 2401 Security Architecture for the Internet Protocol • RFC 2403 HMAC-MD5-96 within ESP and AH • RFC 2404 HMAC-SHA-1-96 within ESP and AH • RFC 2405 ESP DES-CBC Cipher Algorithm with Explicit IV • RFC 2406 IPsec • RFC 2407 Interpretation for ISAKMP • RFC 2408 ISAKMP • RFC 2409 IKE • RFC 2451 ESP CBC-Mode Cipher Algorithms Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 69 • RFC 3280 Internet X.509 PKI Certificate and CRL Profile • RFC 3602 The AES-CBC Cipher Algorithm and Its Use with IPsec • RFC 3686 Using AES Counter Mode with IPsec ESP Encryption • WEP and TKIP-MIC: RC4 40, 104 and 128 bits (both static and shared keys) • SSL and TLS: RC4 128-bit and RSA 1024- and 2048-bit • AES: CCM, CCMP • IPSec: DES-CBC, 3DES, AES-CBC Authentication, Authorization, and Accounting (AAA) • IEEE 802.1X • RFC 2548 Microsoft Vendor-Specific RADIUS Attributes • RFC 2716 PPP EAP-TLS • RFC 2865 RADIUS Authentication • RFC 2866 RADIUS Accounting • RFC 2867 RADIUS Tunnel Accounting • RFC 2869 RADIUS Extensions • RFC 3576 Dynamic Authorization Extensions to RADIUS • RFC 3579 RADIUS Support for EAP • RFC 3580 IEEE 802.1X RADIUS Guidelines • RFC 3748 Extensible Authentication Protocol Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 70 • Web-based authentication Management Interfaces • Web-based: HTTP/HTTPS • Command-line interface: Telnet, SSH, serial port Một số tính năng bảo mật đƣợc tích hợp sẵn trên WLAN Controller: - Tính năng IDS: Bảo mật là mối quan tâm lớn của người quản trị hệ thống, và bảo mật cho hệ thống không dây là mối quan tâm lớn của một chuyên gia bảo mật. Cisco lightweight access point và WLAN controller đồng thời đóng vai trò là thiết bị cung cấp truy cập không dây và cảm biến IDS (hệ thống phát hiện xâm nhập). Điều này được thực hiện nhờ kiến trúc split-MAC duy nhất của LWAPP. Split- MAC của LWAPP cho phép quét các kênh mà không làm dán đoạn đến dịch vụ dữ liệu. Access point và Controller có một thư viện khổng lồ về các dấu hiệu của sự tấn công. Ngoài ra, với chứng nhận X.509 giúp hệ thống có thể phát hiện các Access point chưa được chứng thực đang giả dạng access point đã được chứng thực trong hệ thống. Mạng không dây hợp nhất của Cisco cũng giảm bớt các mối đe dọa từ các access point không hợp pháp bằng cách sử dụng công cụ ngăn chặn rất mạnh, bằng cách đảm bảo cho máy trạm không thể tương tác được với các access point giả mạo. - RADIUS: Là một giao thức loại client/server cung cấp bảo mật tập chung, cung cấp dịch vụ chứng thực và quản lý. RADIUS được tích hợp trong wireless controller cung cấp dịch vụ chứng thực người dùng khi người dùng muốn login vào hệ thống và ghi lại các hoạt động của người dùng sau khi đã đăng nhập Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 71 - TACACS+: Cũng giống như RADIUS tuy nhiên thay vì chỉ hỗ trợ chứng thực và bị giới hạn trong việc phân quyền thì TACACS có khả năng cung cấp được các dịch vụ sau: Authentication: Dịch vụ xác định người dùng khi người dùng truy cập vào hệ thống Authorization: Xác định quyền hạn mà người dùng được phép trong cấp độ truy cập của người dùng. Accounting: Là quá trình theo dõi các hoạt động và thay đổi của người dùng - Cấu hình cho người dùng mạng cục bộ: Là cơ sở dữ liệu về người dụng cục bộ trên controller. Cơ sở dữ liệu về người dùng nội bộ lưu trữ các thông tin định danh (username và password) của tất cả người dùng cục bộ, sau đó những thông tin này sẽ được dùng để chứng thực người dùng. - LDAP : Tương tự như RADIUS hoặc cơ sở dữ liệu người dùng cục bộ, Cơ sở dữ liệu LDAP cho phép lưu trữ các thông tin định danh (username/password) của người dùng. Các thông tin này sẽ được dùng để xác thực người dùng. Ví dụ, EAP cục bộ có thể dùng LDAP để xác định username và password của người dùng. - Local EAP: EAP cục bộ là phương thức cho phép người dùng và các thiết bị không dây có thể được chứng thực một cách cục bộ. Được thiết kế để cho các văn phòng từ xa muốn duy trì kết nối không dây khi hệ thống chứng thực không hoạt động hoặc các hệ thống backend bị gián đoạn hoạt động. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 72 2.3. Phân bổ thiết bị sử dụng trong hệ thống Tại mạng trung tâm ở nhà điều hành: - Sử dụng 3 thiết bị AP1242 của cisco để phủ sóng wifi toàn bộ toà nhà hiệu bộ + 1 patch antenna để hỗ trợ phủ sóng xung quanh toà nhà điều hành. Thiết bị WLC-4402 (Cisco wireless control system) được đặt tại phòng máy chủ để quản lý tập trung các AP trong hệ thống. Tại các tòa nhà khác: - Sử dụng các AP1242 được trang bị 2 antenna ngoài phủ sóng đảm bảo phủ sóng tốt hơn. Tổng cộng sẽ có 10 AP được phân bổ như sau: - 03 AP đặt tại khu thí nghiệm và nhà làm việc các khoa. - 02 AP đặt tại thư viện điện tử. - 02 AP đặt tại A5. Sự phân bổ này dựa trên các tính toán thiết kế tối ưu về tầm phủ sóng và nhu cầu đặt ra tại trường Đại học Kỹ thuật Công nghiệp Thái Nguyên. II. GIẢI PHÁP BẢO MẬT TRONG MẠNG KHÔNG DÂY TẠI ĐHKTCN Trong mỗi một hệ thống thông tin nói chung thì một vấn đề vô cùng quan trọng và cần thiết đó chính là vấn đề bảo mật các thông tin chứa đựng trong hệ thống đó. Hệ thống mạng không dây tại trường đại học kỹ thuật công nghiệp với quy mô không nhỏ, việc trao đổi các thông tin liên quan giữu nhà trường và sinh viên là rất lớn hơn nữa các thông tin lại vô cùng quan trọng yêu cầu đặc biệt đặt ra là sự an toàn và bảo mật của các thông tin đó chống sủa chữa, thay đổi hay đánh cắp thông tin trên đường truyền. Từ thực tế này các giải pháp bảo mật đã được ứng dụng trong hệ thồng nhằm thực hiện các yêu cầu quan trọng nêu trên. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 73 1. Yêu cầu bảo vệ thông tin Để làm nổi bật rõ các yêu cầu bảo vệ thông tin tại trường chúng ta cần phân tích nguyên nhân của sự mất an toàn thông tin. Ngày nay, Internet, một kho tàng thông tin khổng lồ, phục vụ hữu hiệu trong học tập và nghiên cứu, đã trở thành một phương tiện thuận lợi không thể thiếu trong việc trao đổ thông tin. Chính những điều quan trọng này đã trở thành đối tượng cho nhiều người tấn công với các mục đích khác nhau. Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet, số lượng các vụ tấn công trên Internet cũng tăng theo cấp số nhân. Trong khi các phương tiện thông tin đại chúng ngày càng nhắc nhiều đến Internet với những khả năng truy nhập thông tin dường như đến vô tận của nó, thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm an ninh và an toàn dữ liệu cho các máy tính được kết nối vào mạng Internet. Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương pháp tấn công cũng liên tục được hoàn thiện. Nhu cầu bảo vệ thông tin của trường Đại học Kỹ thuật Công nghiệp được chia thành ba loại gồm: Bảo vệ dữ liệu; Bảo vệ các tài nguyên sử dụng trên mạng và Bảo vệ danh tiếng của cơ quan: - Bảo vệ dữ liệu: Đây là vấn đề đặc biệt quan trọng, toàn bộ cơ sở dữ liệu về quản lý đào tạo của nhà trường được lưu và thao tác tại các máy Server của trường. Bao gồm các dữ liệu như điểm của sinh viên, kế hoạch học tập, các thông tin về học phí... Các dữ liệu này phải tuyệt đối an toàn đảm bảo không bị đánh cắp hoặc sửa chữa thông tin. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 74 Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thông tin có thể đến từ nhiều nơi theo nhiều cách khác nhau vì vậy nhà trường đã đưa ra các chính sách và phương pháp đề phòng cần thiết. Mục đích cuối cùng của an toàn bảo mật là bảo vệ các giá trị thông tin và tài nguyên theo các yêu cầu sau: Tính tin cậy: Đảm bảo sự chính xác các thông tin của sinh viên trong hệ thống. Đồng thời các thông tin đó không thể bị truy nhập trái phép bởi những người không có thẩm quyền. Tính nguyên vẹn: Thông tin không thể bị sửa đổi, bị làm giả bởi những người không có thẩm quyền. Tính sẵn sàng: Thông tin luôn sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền khi có yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết Tính không thể từ chối: Thông tin được cam kết về mặt pháp luật của nhà trường cung cấp. Trong các yêu cầu này, yêu cầu về bảo mật được coi là yêu cầu số 1 đối với thông tin lưu trữ trong hệ thống. - Bảo vệ các tài nguyên sử dụng trên mạng: Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của mình như cài đặt các chương trình chạy ẩn để dò mật khẩu người sử dụng, ứng dụng các liên kết mạng sẵn có để lấy cắp các thông tin cần thiết hoặc tiếp tục tấn công các hệ thống khác vv... - Bảo vệ danh tiếng cơ quan: Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là gây sự hoang mang không tin tưởng vào các thông tin mà nhà trường cung cấp. Trong Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 75 trường hợp bị tấn công gây mất an toàn về dữ liệu thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài. 2. Các bƣớc thực thi an toàn bảo mật cho hệ thống Phần này trình bày các bước thực thi an toàn bảo mật và các biện pháp nhằm tăng cường tính an toàn, bảo mật cho hệ thống mạng không dây tại trường theo các mức khác nhau. Để có được các chính sách bảo mật đem lại hiệu quả cao, cần xác định rõ các nhân tố tối thiểu về an toàn bảo mật cho hệ thống mạng của trường cùng với các kiến thức quản trị và kỹ năng để thực hiện các hoạt động tăng cường an toàn bảo mật. - Các hoạt động bảo mật ở mức một Ở mức một, người thực thi bảo mật, quản trị hệ thống & mạng thực hiện làm cho môi trường mạng, máy tính ít bị lỗ hổng bảo mật hơn vì đã được sửa lỗi bằng các bản sửa lỗi hoặc bằng các biện pháp kỹ thuật. Thực hiện các cảnh báo ngay lập tức (trực tuyến) để nhắc nhở, thông báo mỗi người dùng trong mạng các quy tắc sử dụng mỗi khi truy nhập vào hệ thống mạng của trường. Xây dựng một mạng lưới bảo vệ, lọc, phát hiện và tiêu diệt virus, Spyware, Troyjan - trên tất các các máy trạm, máy chủ, và các cổng kết nối mạng (gateway). Đảm bảo cập nhật thường xuyên các phần mềm diệt virus. Đảm bảo rằng hệ thống sao lưu dữ liệu hoạt động định kỳ, các tập tin có thể được khôi phục từ các bản sao lưu định kỳ đó, người quản trị hệ thống có đủ kiến thức cập nhật cần thiết để thực hiện sao lưu trên tất cả các hệ thống ngay lập tức trong trường hợp bị tấn công. Nếu không có dữ liệu được sao lưu tốt, một vấn đề nhỏ trong an toàn bảo mật có thể trở thành thảm họa. Cho phép ghi nhật ký các sự kiện, hoạt động của người dùng khi đăng nhập vào hệ thống. Hệ thống nếu không có cơ chế ghi nhật thì nó gây khó khăn cho việc phát hiện và khắc phục các vụ tấn công. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 76 Thực thi xác thực hệ thống, kiểm tra (audit) để kiểm soát người sử dụng hệ thống. Chống lại kẻ tấn công giả danh người sử dụng đăng nhập vào hệ thống và chiếm quyền điều khiển hệ thống. - Các hoạt động bảo mật ở mức hai Các hoạt động an toàn bảo mật mức hai tập trung nhiều hơn vào việc xây dựng các chính sách truy nhập cụ thể của người dùng, cho phép hoặc không cho phép truy cập vào các tài nguyên mạng khác nhau trong hệ thống. Đưa ra các yêu cầu cụ thể đối với người dùng như việc đăng ký các thông tin cá nhân, đăng ký địa chỉ MAC của thiết bị truy cập, xây dựng cơ sở dữ liệu về tài khoản truy cập để xác thực mỗi khi đăng nhậnp hệ thống. Các hoạt động an toàn bảo mật mức hai cũng tập trung vào các hiểm họa bắt nguồn từ bên trong nội bộ và có chính sách giám sát các Server chứa thông tin quan trọng, hỗ trợ các chức năng nhiệm vụ quan trọng. Trong hệ thống mạng không dây của nhà trường đã xây dựng một Server Proxy có cài đặt phần mềm chuyên dụng cho phép phát hiện truy nhập của người dùng được phép hoặc trái phép, lưu và phân tích kết quả truy nhập đó. - Các hoạt động bảo mật ở mức ba Hoạt động ở mức này sử dụng chức năng quản lý cấu hình đối với hệ thống mạng không dây của trường. Như đã trình bầy ở phần trên, các thiết bị sử dụng trong hệ thống như AP1242, WLC-4402 (Cisco wireless control system) được tích hợp sẵn một số chức năng bảo mật mạnh bao gồm bảo mật về phần cứng như các chức năng FireWall, bảo mật về dữ liệu như sử dụng các cơ chế bảo mật như WPA, WPA2, EAP. Ngoài ra thiết bị còn tích hợp các tính bảo mật khác như IDS (hệ thống phát hiện xâm nhập), RADIUS (chứng thực người dùng), TACACS+... Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 77 Thiết bị WLC-4402 (Cisco wireless control system) được cấu hình để quản lý tất cả các AP trong hệ thống, nó cũng giám sát tất cả các hoạt động của người dùng khi truy cập vào bất kỳ AP nào mà nó quản lý đồng thời cho phép ghi lại các hoạt động đó vào file log của thiết bị. Cho phét thiết lập các chính sách người dùng trong đó như cấp quyền truy cập, xác thực username và password, giới hạn các quyền truy cập vào hệ thống, giớ hạn băng thông... III. CHƢƠNG TRÌNH THỰC TẾ ĐÃ XÂY DỰNG Với cơ sở nền tảng lý thuyết về bảo mật hệ thống mạng không dây như đã nghiên cứu ở trên, đồng thời nhiều vấn đề trong bảo mật đã đựơc phân tích, đánh giá một cách cụ thể, từ đó em đã đưa ra được những ưu điểm hay những hạn chế trong vấn đề bảo mật cho mạng không dây. Từ những kiến thức đã học được, em được nhà trường tin tưởng giao cho việc xây dựng hệ thống mạng không dây tại trường Đại học Kỹ thuật Công Nghiệp. Đồng thời áp dụng các phương pháp bảo mật đã nghiên cứu cho hệ thống nhằm đảm bảo sự an toàn về thông tin và cơ sở dữ liệu quan trọng của nhà trường. Qua một thời gian tìm tòi nghiên cứu em đã xây dựng xong hệ thống truy cập mạng không dây của nhà trường bao gồm các chính sách và áp dụng các phương pháp bảo mật cho hệ thống. Sau đây là một số hình ảnh về chương trình thực tế đã xây dựng hệ thống mạng không dây tại trường và áp dụng các công cụ, chính sách bảo mật cho hệ thống. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 78 1. Điều khiển các AP thông qua Wireless controler Các AP được quản lý tập chung bởi thiết bị WLC-4402 (Cisco wireless control system). Hình 29: Giao diện quản trị của WLAN Controler 4420 Hình 30: Hệ thống 10 AP đƣợc quản lý Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 79 Các mức độ truy cập của hệ thống có giới hạn về băng thông và quyền truy cập các tài nguyên trong mạng: Hình 31: Các mức truy cập của hệ thống 2. Chính sách và công cụ bảo mật áp dụng cho hệ thống Các chính sách truy cập của GUEST_ACL và USERS_GV_ACL được tạo ra nhằm quản lý quyền truy cập và chia sẻ tài nguyên của người dùng. Hình 32: Các chính sách truy cập của USERS_GV_ACL Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 80 Hình 33: Các chính sách truy cập của GUEST_ACL Hình 34: Bảo mật lớp 2 của WLAN SSID: Quan tri mang dhktcn Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 81 Hình 35: Bảo mật lớp 3 của WLAN SSID: Quan tri mang dhktcn Hình 36: Bảo mật của WLAN SSID: Sinh vien dhktcn va Khach Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 82 Hình 37: Bảo mật của WLAN SSID: Can bo va Giang vien dhktcn Hình 38: Tạo ra các users chứng thực Web Authentication Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 83 Hình 39: Cấu hình chức năng bảo mật Web Authentication Hình 40: Đăng nhập trong chính sách Web Authentication Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 84 Hình 41: Bảng MAC Adress Table để chứng thực và quản lý IV. ĐÁNH GIÁ KẾT QUẢ Hệ thống mạng không dây được xây dựng tại trường Đại học Kỹ thuật Công nghiệp Thái Nguyên không phải là một hệ thống có quy mô lớn. Tuy nhiên việc bảo đảm an toàn và bảo mật các thông tin là vô cùng quan trọng. Nếu dữ liệu bị đánh cắp hoặc có thể bị sửa đổi thì sẽ gây ra hậu quả nghiêm trọng ảnh hưởng tới quá trình quản lý và uy tín của nhà trường. Chính vì vậy mà yêu cầu bảo mật cho hệ thống được đặt lên hàng đầu. Với việc thiết kế và xây dựng hoàn chỉnh, hiện nay hệ thống mạng này đang hoạt động rất ổn định, các kết quả kiểm tra về khả năng bảo mật thông tin cho thấy sự an toàn của hệ thống và sự bảo mật này vẫn sẽ đã đáp ứng được nhu cầu hiện tại và tương lai của nhà trường. Điều này góp phần quan trọng cho sự phát triển lâu dài của trường cũng như đã đáp ứng được nhu cầu trao đổi thông tin, chia sẻ tài nguyên nhanh chóng thuận tiện an toàn. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 85 Trong tương lai hệ thống cần được trang bị các công cụ và các biện phát bảo mật mạnh hơn nữa vì công nghệ càng phát triển thì các cuộc tấn công vào hệ thống càng tinh vi và nguy hiểm hơn, có tầm ảnh hưởng lớn hơn, gây hậu quả nghiêm trọng. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 86 KẾT LUẬN Vấn đề bảo mật cho hệ thống mạng không dây luôn là một vấn đề hết sức khó khăn và được đặt ở vị trí rất quan trọng trong hầu hết các bản thiết kế mạng, tuy nhiên, để có thể có được một giải pháp hoàn hảo cho mọi tình huống là một điều gần như rất khó. Chính vì vậy, khi thiết kế hệ thống mạng, chúng ta phải dựa trên cơ sở, yêu cầu thực tế của hệ thống, cân nhắc giữa các lợi hại của các phương pháp để đưa ra các chính sách bảo mật hợp lý nhất. Trong thực tế xây dựng hệ thống mạng không dây cho nhà trường đều có sự tham gia của các thành phần khác nhau và có những yêu cầu bảo mật khác nhau. Phân tích kỹ lưỡng các điều này giúp ta quyết định biện pháp nào là phù hợp nhất với hệ thống. Với mong muốn giúp các nhà quản trị mạng có thể xây dựng các giải pháp bảo mật tốt hơn cho hệ thống mạng không dây, trong sự phát triển mạnh mẽ của công nghệ không dây hiện nay và trong tương lai, đề tài "Một số vấn đề an ninh trong mạng máy tính không dây" của em đã nghiên cứu được một số vấn đề sau: - Tìm hiểu tổng quan về hệ thống mạng không dây, các giao thức, cách truyền dẫn dữ liệu, khả năng chống nhiễu, dải tần, cũng như một số vấn đề về kỹ thuật của hệ thống mạng không dây. - Trình bày được các đặc điểm về mạng không dây, và một số các điểm yếu trong bảo mật cũng như các hệ thống bảo mật sẵn có của hệ thống mạng không dây. - Tìm hiểu một số các phương pháp tấn công cơ bản trong hệ thống mạng không dây. Từ đó xây dựng các giải pháp phù hợp cho hệ thống. - Nghiên cứu một số phương pháp đã được sử dụng để cải thiện tính bảo mật của hệ thống mạng không dây, đề xuất sử dụng các phương pháp trong việc thiết kế hệ thống mạng. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 87 - Đã ứng dụng thực tế vấn đề bảo mật trong hệ thống mạng không dây tại trường Đại học Kỹ Thuật Công nghiệp Thái Nguyên, đã đem lại kết quả tốt. Trong khuôn khổ của luận văn, việc nghiên cứu mới chỉ dừng lại ở mức phân tích và đưa ra một số các nhận xét về các biện pháp và công cụ bảo mật đã có cũng như các phương thức bảo mật đang được phát triển và sử dụng với hệ thống mạng không dây. Nhằm cung cấp thêm cho người quản trị mạng có cái nhìn tổng quan hơn về các công nghệ hiện hành và khả năng bảo mật thật sự của hệ thống mạng không dây, từ đó ra quyết định lựa chọn phương án bảo mật cho hệ thống của mình. Tuy nhiên do thời gian có hạn và còn nhiều hạn chế về kiến thức nên trong quá trình thực hiện luận văn, không tránh khỏi có những sai sót. Em mong rằng sẽ nhận được những ý kiến đóng góp của thầy cô và các bạn để luận văn sẽ có thể hoàn thiện hơn, có ích hơn trong thực tế. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 88 TÀI LIỆU THAM KHẢO 1. Andrew Tanenbaum Prentice Hall (4th Ed 2003), Computer Networks Problem Solutions. 2. Chris Hurley, Michael Puchol, Russ Rogers, Frank Thornton (2004), Wardriving: Drive, Detect, Defend. A Guide to Wireless Security, Syngress Publishing, New York, US. 3. Gilbert Held (2003), Security wireless LANs, Wiley Publishing, US. 4. Hossam Afifi, Djamal Zeghlache (2003), Application & Services in Wireless Networks, Kogan Page, UK. 5. Jahanzeb Khan (2003), Building Secure Wireless Networks with 802.11, Wiley Publishing, US. 6. Merriu Maxim David Po11ino (2002), Wrireless Security, Mcgram- Hi11, United States of America. 7. Rob Flickenger (2003), Building Wireless Community Networks, Second Edition, O'rei11y, US. 8. Rob Flickenger (2003), Wireless Hacks, O'reily & Associates, Inc, United States of America. 9. Russe11, D.V. (2002), Wireless security Essentials, Wiley Publishing, Inc, United States of America. 10. Tara M. Swaminatha, Charles R. Elden (2003), Wireles Security and Privacy. Best Practices and Design Techniques, Addison Wesley, Boston, United States of America.