MỤC LỤC
THUẬT NGỮ VIẾT TẮT 1
LỜI NÓI ĐẦU 5
CHƯƠNG I. TỔNG QUAN VỀ MẠNG WLAN 1
1.1 Sự cần thiết của mạng WLAN 1
1.2 Quá trình phát triển của mạng WLAN 3
1.3 Các thành phần của mạng WLAN 4
1.3.1 Các card giao diện mạng vô tuyến 4
1.3.2 Các điểm truy nhập vô tuyến 4
1.3.3 Các cầu nối vô tuyến từ xa 5
1.4 Kiến trúc giao thức WLAN 5
1.5 Cấu hình WLAN 7
1.6 Phân loại mạng WLAN 9
1.6.1 Các LAN vô tuyến 9
1.6.1.1 Trải phổ chuỗi trực tiếp (DSSS) 9
1.6.1.2 Trải phổ nhảy tần (FHSS) 11
1.6.1.3 So sánh các mạng WLAN DSSS và FHSS 13
1.6.1.4 Cảm biến sóng mang 15
1.6.2 Các mạng LAN hồng ngoại 16
1.6.3 Các mạng LAN trực tiếp và khuyếch tán 17
1.6.4 Các đặc tính của các mạng LAN hồng ngoại 18
CHƯƠNG II. CÁC TIÊU CHUẨN CỦA MẠNG WLAN 19
2.1 Giới thiệu về các tiêu chuẩn 19
2.2 Tiêu chuẩn IEEE 802.11 21
2.2.1 Kiến trúc mạng IEEE 802.11 21
2.2.2 Mô hình tham chiếu IEEE 802.11 cơ sở 22
2.3 Lớp vật lý IEEE 802.11 23
2.3.1 Các khuôn dạng gói dữ liệu chung 23
2.3.2 Lớp vật lý DSSS 24
2.3.3 Lớp vật lý FHSS 25
2.3.4 Lớp vật lý hồng ngoại 27
2.4 Lớp điều khiển truy nhập môi trường IEEE 802.11 29
2.4.1 Đơn vị dữ liệu giao thức MAC 802.11 tổng quát 29
2.4.2 Các khoảng trống liên khung 30
2.4.3 Chức năng phối hợp phân tán 31
2.4.4 Chức năng phối hợp điểm 37
2.4.5 Kết hợp và tái kết hợp 39
2.4.6 Nhận thực và bảo mật 39
2.4.7 Đồng bộ hoá 40
2.4.8 Quản lý công suất 41
2.4.9 Quá trình phân mảnh gói 42
2.5 Tiêu chuẩn HIPERLAN Type I 43
2.5.1 Lớp vật lý 43
2.5.2 So sánh các đặc tính kỹ thuật giữa IEEE 802.11 và HIPERLAN 45
2.5.3 Lớp điều khiển truy nhập môi trường HIPERLAN Type I 45
2.5.4 Chuyển tiếp nội bộ 47
2.5.5 Nút ẩn 49
2.5.6 Chất lượng dịch vụ 49
2.5.7 Quản lý công suất 49
2.5.8 An ninh 50
2.6 Chuẩn WLIF OpenAir 50
2.7 Chuẩn HomeRF SWAP 50
2.7.1 Cấu hình mạng 51
2.7.2 Ứng dụng 52
2.8 Chuẩn Bluetooth 52
2.8.1 Tính cần thiết của chuẩn Bluetooth 52
2.8.2 Các đặc tả kỹ thuật Bluetooth 53
2.8.3 Các kiểu kết nối 53
2.8.4 Nhận thực và bảo mật 54
2.8.5 Tiêu thụ công suất 54
2.8.6 Sửa lỗi 54
2.8.7 Các phát triển trong tương lai 55
2.9 Các chuẩn W3C và WAP 55
2.9.1 W3C 55
2.9.2 Diễn đàn WAP-WAP Forum 56
2.10 Chuẩn kết hợp dữ liệu hồng ngoại 56
2.11 Tổng kết 58
CHƯƠNG III. CÁC VẤN ĐỀ CỦA MẠNG WLAN 59
3.1 Các vấn đề khi triển khai WLAN 59
3.1.1 Nút ẩn 59
3.1.2 Theo dõi công suất 61
3.1.3 Các vật cản LAN truyền tín hiệu 62
3.1.4 Các nguồn nhiễu vô tuyến 63
3.2 Các phương pháp nâng cao chất lượng WLAN 63
3.2.1 Cấu hình đa kênh 63
3.2.2 Hoạt động đa kênh đối với các WLAN DSSS 2.4 GHz 64
3.2.3 Hoạt động đa kênh đối với WLAN FHSS 2.4 GHZ 64
3.2.4 Lọc lưu lượng mạng 65
3.2.5 Giảm tốc độ dữ liệu (Fall back) 66
3.2.6 Chuyển vùng và chuyển giao 66
3.2.7 Cân bằng tải 67
3.2.8 Đảm bảo truy nhập vô tuyến 67
3.2.9 Quản lý công suất 68
3.3 An ninh mạng WLAN 68
3.3.1 Giới thiệu 68
3.3.2 Các tập giải pháp an ninh mạng cho WLAN 69
3.3.2.1 Mã hoá 69
3.3.2.2 Giao thức WEP 70
3.3.2.3 Các tiêu chuẩn mã hoá dữ liệu 70
3.3.2.4 Nhận thực 71
3.3.2.5 Lớp khe cắm an ninh SSL 71
3.3.2.6 Lọc địa chỉ MAC (hay danh sách điều khiển truy nhập) 72
3.3.2.7 Giao thức nhận thực mở rộng (EAP) 72
3.3.2.8 802.1x 72
3.3.2.9 Nhận thực 73
3.3.2.10 Mạng riêng ảo 73
3.3.3 Các kiểu tấn công an ninh vô tuyến điển hình 73
3.3.3.1 WEP Cracking - bẻ gãy WEP 74
3.3.3.2 Tấn công địa chỉ MAC 74
3.3.3.3 Các tấn công gây ra bởi một người ở vị trí trung gian 74
3.3.3.4 Các tấn công dạng từ điển 75
3.3.3.5 Tấn công phiên 75
3.3.3.6 Từ chối dịch vụ (DoS) 75
3.3.3.7 Các giải pháp tương lai ngăn chặn các tấn công vào mạng WLAN 76
3.3.4 An ninh trong thực tế 76
3.3.4.1 Khu vực nhà ở và văn phòng nhỏ – Yêu cầu an ninh thấp 77
3.3.4.2 Văn phòng nhỏ và người dùng ở xa – Yêu cầu an ninh trung bình 78
3.3.4.3 Người sử dụng của các tổ chức/tập đoàn – Yêu cầu an ninh cao 78
3.3.4.4 An ninh truy nhập công cộng 80
3.3.5 Các hướng phát triển trong tương lai 80
3.3.6 Kết luận 81
3.3.7 Phụ lục: Các công nghệ và các sáng kiến an ninh 81
3.3.7.1 Nhận thực 81
3.3.7.2 Kiểm tra dư chu trình CRC 81
3.3.7.3 Chữ ký số/ chứng chỉ số 81
3.3.7.4 Tường lửa 82
3.3.7.5 Kerberos 82
3.3.7.6 Tính toàn vẹn 82
3.3.7.7 Chuyển đổi khoá Internet (IKE) 83
3.3.7.8 IPSec 83
3.3.7.9 LEAP 83
3.3.7.10 Điều khiển truy nhập môi trường (MAC) 83
3.3.7.11 Giao thức nhận thực mở rộng được bảo vệ (PEAP) 83
3.3.7.12 Hạ tầng khoá chung (PKI) 84
3.3.7.13 Dịch vụ người sử dụng quay số nhận thực từ xa (RADIUS) 84
3.3.7.14 Bộ nhận dạng tập dịch vụ (SSID) 84
3.3.7.15 An ninh lớp truyền tải (TLS) 84
3.3.7.16 An ninh lớp truyền tải đường ống (TTLS) 84
KẾT LUẬN 85
TÀI LIỆU THAM KHẢO
94 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 2893 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Đồ án Mạng nội hạt vô tuyến WLAN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ng trong cùng một vùng. Nếu một vùng phủ sóng nào đó của mạng WLAN có nhiều nút hơn và cần băng thông bổ sung thì một điểm truy nhập thứ hai hoạt động ở một kênh tần số khác sẽ được thêm vào nhờ vậy sẽ gấp đôi được băng thông khả dụng. Hoạt động đa kênh cũng cho phép các điểm truy nhập phục vụ các nút yêu cầu tốc độ cao và chỉ có thể áp dụng cho các LAN vô tuyến. Nhờ cấu hình các điểm truy nhập khác nhau với các kênh tần số khác nhau mà truyền dẫn trong một vùng phủ sóng vô tuyến được cách ly với các truyền dẫn khác. Như vậy sẽ giảm được nhiễu qua lại và tần suất trì hoãn thông tin của các nút.
Đối với một hệ thống đơn kênh, các nút trong vùng bóng mờ (shaded region- Hình 3.6) chia sẻ môi trường chung. Có nghĩa là nếu một nút trong vùng này phát tín hiệu thì tất cả các nút khác phải hoãn quá trình truyền dẫn của chúng. Bằng việc ấn định mỗi điểm truy nhập cho một kênh khác nhau, tắc nghẽn trong vùng được giảm xuống bởi vì tải lưu lượng được trải rộng ra giữa 2 điểm truy nhập. Các mạng độc lập không hỗ trợ hoạt động đa kênh.
Hoạt động đa kênh cũng có thể được áp dụng cho cầu nối vô tuyến. Khi một kênh tần số khác được dùng cho cầu vô tuyến thì nó sẽ không gây nhiễu lên hoạt động của điểm truy nhập thông thường. Nhờ vậy cho phép mở rộng phạm vi hoạt động của mạng WLAN mà không cần một mạng đường trục hữu tuyến. Một số mạng WLAN cần 1 điểm truy nhập riêng biệt để làm cầu nối vô tuyến trong khi các mạng khác cần các anten định hướng ngoài trời.
1
5
Các nút trong vùng chồng lấn có lựa chọn hai kênh tần số khác nhau
Các nút nằm ngoài vùng chồng lấn hoạt động chỉ trên một kênh
Vùng phát của điểm truy nhập hoạt động với kênh 5
Vùng phát của điểm truy nhập hoạt động với kênh 1
Hình 3.6 - Hoạt động đa kênh
3.2.2 Hoạt động đa kênh đối với các WLAN DSSS 2.4 GHz
Trong băng ISM 2.4 GHz toàn bộ băng thông cho các WLAN DSSS có thể được phân chia bởi các tần số sóng mang khác nhau. Số lượng các tần số sóng mang có thể chọn là: 11 ở Bắc Mỹ; 13 ở Châu Âu; 4 ở Pháp; 1 ở Nhật Bản. Vì tín hiệu DSSS được trải rộng ra trên một băng thông lớn nên sự cách biệt tần số sóng mang nằm giữa các điểm truy nhập lân cận ít nhất là 30MHz. Tức là ở Mỹ và Châu Âu có thể có tới 3 tần số sóng mang được sử dụng trong cùng một vùng. Bảng 3.2 chỉ ra 13 ấn định đa kênh DSSS có thể dựa trên 13 tần số sóng mang khác nhau. Sự cách biệt tần số sóng mang lớn nhất sẽ làm giảm được nhiều lân cận và nâng cao chất lượng so với mạng có cách biệt tần số nhỏ.
3.2.3 Hoạt động đa kênh đối với WLAN FHSS 2.4 GHZ
Vì các kênh tần số trong mẫu nhảy tần chiếm toàn bộ băng tần ISM 2.4 GHz, nên phương pháp phân kênh sử dụng trong DSSS không thể áp dụng trực tiếp trong các hệ thống FHSS. Các mạng WLAN FHSS thực hiện hoạt động đa kênh nhờ thực hiện các kênh tách biệt trên các mẫu nhảy tần khác nhau.
Ấn định
Điểm truy nhập 1
Điểm truy nhập 2
Điểm truy nhập 3
1
2412 MHz (1)
2472 MHz (13)
2442 MHz (7)
2
2417 MHz (2)
2472 MHz (13)
2442 MHz (7)
3
2422 MHz (3)
2472 MHz (13)
2447 MHz (8)
4
2427 MHz (4)
2472 MHz (13)
Không áp dụng
5
2432 MHz (5)
2472 MHz (13)
Không áp dụng
6
2437 MHz (6)
2472 MHz (13)
2412 MHz (1)
7
2442 MHz (7)
2412 MHz (1)
2412 MHz (1)
8
2447 MHz (8)
2412 MHz (1)
2472 MHz (13)
9
2452 MHz (9)
2412 MHz (1)
Không áp dụng
10
2457 MHz (10)
2412 MHz (1)
Không áp dụng
11
2462 MHz (11)
2412 MHz (1)
2437 MHz (6)
12
2467 MHz (12)
2412 MHz (1)
2442 MHz (7)
13
2472 MHz (13)
2412 MHz (1)
2442 MHz (7)
Bảng 3.2 Ấn định đa kênh đối với các mạng WLAN DSSS 2,4 GHZ
3.2.4 Lọc lưu lượng mạng
Một phương pháp để tối ưu chất lượng WLAN là tránh lưu lượng dư thừa phát đi trên kênh vô tuyến. Lưu lượng thừa này có thể là:
Các bản tin mạng được chuyển đổi bởi các thiết bị mạng hữu tuyến (ví dụ như các server) nhưng các bản tin lại không liên quan tới các khách hàng vô tuyến;
Các bản tin broadcast/multicast không được đánh địa chỉ xác định tới các thiết bị khách hàng vô tuyến;
Các bản tin lỗi được tạo ra bởi các thiết bị hỏng hoặc các thiết bị có cấu hình sai.
Việc lọc lưu lượng dư thừa sẽ tiết kiệm băng thông của kênh vô tuyến để sử dụng cho các nút di động. Có thể làm được điều này bằng cách sử dụng các chức năng cầu nối của điểm truy nhập:
Lọc giao thức để từ chối các giao thức mạng hữu tuyến nối tới giao diện vô tuyến;
Lọc lưu lượng trao đổi giữa hai nút cụ thể;
Cho phép mở rộng cơ chế cây để giải quyết các lỗi vòng trong mạng kín;
Lọc ngưỡng để giới hạn số lượng bản tin đang được nối.
3.2.5 Giảm tốc độ dữ liệu (Fall back)
Hầu hết các mạng WLAN sử dụng ưu điểm của vùng phủ sóng nhỏ và các điều kiện truyền sóng tốt để tăng tốc độ số liệu. Trong khi truyền tín hiệu ở tốc độ thấp thường tin cậy hơn và cho phép vùng phủ sóng rộng hơn thì đôi khi người ta lại thích thông lượng cao hơn. Để cân bằng giữa tốc độ và vùng phủ sóng, card giao diện mạng vô tuyến thường phát ở tốc độ khả dụng lớn nhất. Sau khi bị lỗi một vài lần thì card giao diện mạng sẽ giảm xuống tốc độ thấp hơn.
3.2.6 Chuyển vùng và chuyển giao
Một yêu cầu chính đối với mạng WLAN là khả năng giám sát các nút di động và các thiết bị cầm tay. Các thiết bị cầm tay là một nút được chuyển từ vị trí này sang vị trí khác nhưng chỉ sử dụng tại một vị trí cố định. Các nút di động là nút thực sự truy nhập mạng LAN khi đang di chuyển. Khả năng di động của người dùng đòi hỏi một chức năng chuyển vùng, chức năng này cho phép nút di động dịch chuyển giữa các vị trí khác nhau trong môi trường mạng WLAN mà không bị mất kết nối. Để thực hiện chuyển vùng liên tục, mỗi vị trí này được một điểm truy nhập phục vụ và các vùng phủ vô tuyến của điểm truy nhập phải chồng lấn lên nhau.
Hình 3.7 - Chuyển vùng trong WLAN
Nút di động sẽ kiểm tra tỷ lệ tín hiệu trên tạp âm (SNR) khi nó di chuyển và nếu cần thiết nó tiến hành quét để tìm các điểm truy nhập khả dụng và sau đó tự động kết nối tới điểm truy nhập mong muốn để duy trì truy nhập mạng liên tục (Hình 3.7). Thông thường SNR là một hàm của cả cường độ tín hiệu và chất lượng tín hiệu. Khi SNR giảm xuống dưới mức ngưỡng đã được xác định trước thì nút di động sẽ tìm kiếm một điểm truy nhập gần đó với SNR tốt hơn. Nếu phát hiện được một điểm truy nhập như vậy thì nút di động sẽ phát một yêu cầu chuyển giao tới điểm truy nhập này và yêu cầu sẽ được chuyển tới điểm truy nhập cũ. Điểm truy nhập cũ sẽ giải phóng quá trình điều khiển kết nối hiện thời và chuyển nó tới điểm truy nhập mới. Chuyển giao hoàn thành khi nút di động được thông báo về thay đổi này. Thủ tục này tương tự như chức năng chuyển giao trong các mạng tế bào, điểm khác biệt chính là chuyển vùng trên WLAN truyền dẫn gói dễ dàng hơn bởi vì việc chuyển tiếp từ một vùng phủ sóng này tới một vùng phủ sóng khác có thể được thực hiện trong khi truyền dẫn gói, điều này là trái ngược với mạng điện thoại tế bào mà ở đó truyền dẫn có thể diễn ra trong suốt quá trình kết nối thoại. Chủ yếu là chuyển giao phải được thực hiện nhanh vì tốc độ dữ liệu cao của các mạng WLAN,có nghĩa là có rất nhiều gói được phát đi trong khi quá trình chuyển giao đang được dàn xếp. Điều này có thể gây ra truyền dẫn quá mức do các gói bị mất hoặc bị sai hướng. Tốc độ dữ liệu sau khi chuyển giao phụ thuộc rất nhiều vào tốc độ mà tại đó SNR bị suy giảm.
Hầu hết các WLAN có thể hỗ trợ các nút di động ở tốc độ của người đi bộ (tức là tới 10km/h). Một số WLAN có thể đảm bảo kết nối mạng liên tục mà không gây mất hoặc lặp khung ngay cả khi nút di chuyển từ một vùng phủ sóng này sang một vùng phủ sóng khác ở tốc độ 60km/h. Để hỗ trợ chuyển vùng trong các cấu hình đa kênh, các nút di động thường có thể tự động chuyển đổi các kênh tần số hoặc tự động chuyển đổi các mẫu nhảy tần khi thực hiện chuyển vùng giữa các điểm truy nhập. Các mạng WLAN độc lập không hỗ trợ chuyển vùng.
3.2.7 Cân bằng tải
Cân bằng tải cho phép các mạng WLAN phục vụ được các tải lớn hơn, hiệu quả hơn. Mỗi điểm truy nhập có thể giám sát tải lưu lượng trong vùng phủ sóng của nó và sau đó thử cân bằng với số lượng nút đã được phục vụ theo tải lưu lượng trong các điểm truy nhập lân cận. Để làm được điều này các điểm truy nhập phải trao đổi thông tin tải lưu lượng thông qua mạng đường trục. Hầu hết các phương pháp cân bằng tải không phụ thuộc vào cường độ tín hiệu vì điều này làm thuật toán chuyển vùng trở nên phức tạp. Thông thường chuyển vùng có ưu tiên hơn so với cân bằng tải bởi vì một nút di động trước tiên phải có khả năng kết nối tới một điểm truy nhập với cường độ và chất lượng tín hiệu thích hợp trước khi cân bằng tải được thực hiện.
3.2.8 Đảm bảo truy nhập vô tuyến
Kênh vô tuyến dễ mắc phải các nhược điểm: dễ bị nghe trộm và có các tác động truyền dẫn trái phép hơn ở mạng hữu tuyến. Môi trường vô tuyến là môi trường mở không có ranh giới rõ ràng nên không thể áp dụng các cơ chế an ninh lớp vật lý giống như trong các mạng hữu tuyến. Nhưng một vài cơ chế an ninh có thể được sử dụng để ngăn chặn các truy nhập dữ liệu truyền dẫn trái phép trên mạng WLAN. Đó là:
Mã hoá tất cả các dữ liệu được phát qua kênh vô tuyến;
Khoá mạng đối với tất cả các nút không có nhận dạng mạng đúng;
Giới hạn truy nhập trong WLAN chỉ với các nút trong danh sách được phát dữ liệu;
Đặt mật khẩu (password) trong các hệ điều hành mạng.
3.2.9 Quản lý công suất
Các thiết bị WLAN cầm tay có công suất nguồn acquy bị giới hạn nên khi truyền thông qua môi trường vô tuyến dễ bị nhiễu cụm do fading và các hư hỏng đường truyền khác. Hiện nay, các nghiên cứu về lĩnh vực nguồn acquy chưa dự đoán được những thay đổi về năng lượng trong nguồn tiêu thụ nguồn acquy nên vấn đề quan trọng là các thiết bị di động vô tuyến phải được thiết kế để sử dụng hiệu quả năng lượng của nguồn. Việc tối thiểu hoá phần năng lượng tiêu thụ là một vấn đề lớn vì nó tác động đến khả năng thiết kế các mức độ điều khiển mạng. Đã có những nghiên cứu quan trọng trong lĩnh vực phần cứng sử dụng hiệu quả năng lượng nguồn (ví dụ như các thiết bị điện tử công suất thấp, bộ xử lý ở trạng thái ngủ, và điều chế sử dụng hiệu quả công suất) cho thông tin di động. Tuy nhiên, do bị giới hạn về mặt vật lý nên các phát triển phần mềm là hướng phát triển chính để giải quyết vấn đề này một cách hiệu quả. Trong các mạng WLAN, giao thức phần mềm có thể được thiết kế để có thể cho phép một thiết bị mạng rỗi ngắt nguồn ở bộ thu của nó trong phần lớn thời gian, vì thế mà tiết kiệm đáng kể công suất nguồn mà không ảnh đến hiệu năng mạng.
3.3 An ninh mạng WLAN
3.3.1 Giới thiệu
Hiện nay có hàng triệu thiết bị mạng vô tuyến sử dụng công nghệ 802.11 đã và đang được sử dụng cho các tổ chức thương mại, giáo dục và nhà nước. Từ văn phòng cho tới trường học, những lợi ích như quyền sở hữu chi phí thấp, triển khai dễ dàng và độ lợi sản xuất là những nhân tố quan trọng dẫn đến những hiểu biết về các lợi ích của việc thiết lập mạng không dây. Người sử dụng có thể truy nhập mạng hầu như từ mọi vị trí, khả năng truy nhập di động đặt ra các vấn đề an ninh mạng mặc dù những khả năng này sẵn có trong các sản phẩm hiện nay theo chuẩn 802.11a/b/g. Trong phần này trình bày chủ yếu các khái niệm về an ninh mạng, một vài phương pháp tấn công mạng WLAN mà các hacker có thể sử dụng, cũng như các cơ chế và khái niệm về an ninh mạng có thể được sử dụng để bảo vệ mạng chống lại các hacker. Ngoài ra, sẽ có một phần thảo luận về phương pháp điểu khiển an ninh được sử dụng trong các trường hợp người dùng khác nhau.
Thước đo an ninh mạng cho phép bảo đảm tốt nhất chống lại các hacker truy nhập vào mạng, nhưng việc bảo vệ bổ sung cho mạng có thể là tốn kém và khó khăn khi sử dụng. Khi hiểu được các nguy cơ có liên quan, các khái niệm và các công nghệ hiện có, các tổ chức thương mại, giáo dục, và các tổ chức nhà nước có thể chọn lựa các chính sách và khả năng đảm bảo an ninh mạng ở mức độ hợp lý để thực hiện bảo vệ mạng một cách tối ưu.
3.3.2 Các tập giải pháp an ninh mạng cho WLAN
Hiện nay có rất nhiều công nghệ an ninh mạng. Quá trình mật mã hoá dữ liệu sử dụng một mã riêng, làm cho dữ liệu thành bí mật với tất cả người sử dụng ngoại trừ một người sử dụng có một máy thu xác định trước. Quá trình nhận thực nhận dạng người sử dụng và máy tính – nó là quá trình thẩm tra độ tin cậy của một vài người sử dụng hoặc một vài thành phần mạng. Có nhiều tiêu chuẩn và phương pháp áp dụng được đối với mỗi một trong số các công nghệ nói trên với các mức độ bảo vệ và tương hỗ thay đổi theo từng loại. Chúng có thể được sử dụng như là các khối kiến trúc cơ sở trong cơ sở hạ tầng an ninh mạng.
Một ứng dụng an ninh mạng hiệu quả là sử dụng mạng riêng ảo (VPN), VPN kết hợp mã hoá và nhận thực cùng với các giao thức bổ sung. Các mạng VPN xây dựng một bức tường giữa mạng riêng và thế giới bên ngoài, ẩn đi thông tin và bảo vệ mạng vì thế mà người sử dụng không được phép không có khả năng đọc hay sửa đổi thông tin. Các ứng dụng VPN cho phép bảo vệ hiệu quả trong môi trường mạng WLAN và mạng công cộng.
Khi không có các cơ chế an ninh mạng thích hợp, người sử dụng không thể chắc chắn là ai đang đọc dữ liệu của họ hoặc đang điều tra về mạng nội bộ của họ. NETGEAR hỗ trợ tất cả các khả năng an ninh mạng với khả năng hỗ trợ phần cứng khi thích hợp, cho phép một vài trong số hầu hết các lựa chọn đảm bảo an ninh và hiệu năng cao để đảm bảo an ninh cho mạng WLAN.
3.3.2.1 Mã hoá
Quá trình mã hoá đảm bảo dữ liệu bí mật và làm cho dữ liệu trở nên vô nghĩa đối với bất cứ ai không có quyền đọc. Quá trình mã hoá là việc chuyển đổi dữ liệu vào một khuôn dạng mà người sử dụng không được phép thì không thể hiểu được một cách dễ dàng. Dữ liệu được mã hoá bằng một thuật toán hay một khóa.
Quá trình giải mã là việc biến đổi dữ liệu đã mã hoá trở lại dạng ban đầu vì thế nó trở nên dễ hiểu đối với người sử dụng. Để phục hồi nội dung dữ liệu đã được mã hoá yêu cầu có một khoá giải mã chính xác. Hầu hết các quá trình mã hoá sử dụng trên các mạng máy tính được thực hiện bằng một mã khóa dùng chung.
Mỗi người sử dụng có một khoá chung, khoá này là chung cho tất cả các người sử dụng khác và một khoá riêng được giữ bí mật. Các cặp khoá (chung-riêng) này liên kết với nhau về mặt toán học, cho phép người sử dụng mã hoá và giải mã dữ liệu, trong khi giấu kín dữ liệu đối với những người sử dụng khác. Thuật toán mã hoá càng phức tạp thì khả năng bị nghe trộm càng khó khi người sử dụng không thể truy nhập vào khoá. Để mã hóa hiệu quả, chức năng an ninh mạng phải tối thiểu hoá việc tái sử dụng các khoá mật mã bằng cách thường xuyên thay đổi chúng – một vài sơ đồ mã hoá thay đổi khoá 30s một lần.
3.3.2.2 Giao thức WEP
Giao thức bảo mật tương ứng hữu tuyến WEP cung cấp hầu hết khả năng an ninh thông qua quá trình mật mã hoá vô tuyến cơ sở. Trong một số trường hợp, WEP đủ khả năng bảo vệ quyền truy nhập mạng vô tuyến trong phạm vi một căn nhà hoặc các người sử dụng thương mại quy mô nhỏ. Giao thức WEP được xác định để đạt được ba mục tiêu an ninh mạng:
Tính bí mật: quá trình mã hoá ngăn ngừa khả năng nghe trộm ngẫu nhiên.
Điều khiển truy nhập: nhận thực và bảo vệ quyền truy nhập tới một cơ sở hạ tầng mạng WLAN.
Tính toàn vẹn dữ liệu: quá trình tổng kiểm tra ngăn ngừa việc xâm phạm các bản tin phát đi.
WEP cho phép các mức độ mã hoá khác nhau, từ 40 đến 128 bit đối với 802.11b và 802.11g, và lên đến 152 bit đối với 802.11a. Nhiều bit tương ứng với mức độ an ninh tốt hơn bởi vì một khoá dài hơn cần nhiều cố gắng hơn để phá khoá. WEP không hỗ trợ quản lý khoá tức là khả năng chuyển đổi tự động của các khoá mật mã hoá giữa khách hàng (người dùng) và các điểm truy nhập AP. Để duy trì khả năng an ninh hiệu quả, WEP yêu cầu các khoá phải được thay đổi bằng tay. Quá trình này rất mất thời gian nhất là trong các môi trường lớn. Các cơ chế an ninh mạnh hơn như IPSec và VPN hỗ trợ khả năng quản lý khoá tự động.
3.3.2.3 Các tiêu chuẩn mã hoá dữ liệu
Một số kỹ thuật mã hoá dựa trên chuẩn IPSec:
Chuẩn mã hoá dữ liệu DES: DES là một tiêu chuẩn mã hoá đã có từ lâu, nhưng hiện nay nó được xem là kém hiệu quả. Để trở nên hiệu quả hơn nó phải có độ dài khoá là 56 bit (tức là có một khoá 64 bit với 8 bit chẵn lẻ).
DES 3 lần 3DES: là việc sử dụng DES 3 lần với 3 khóa khác nhau. Trong thực tế, 3DES gần gấp đôi độ dài khoá hiệu quả của DES. Kích thước khoá là 192 bit.
Tiêu chuẩn mã hoá tiên tiến AES: Kích thước khóa AES có thể là 128, 192 hay 256 bit. Trong khi chiều dài khoá lớn hơn có nghĩa là an ninh tốt hơn, song chúng cũng yêu cầu công suất xử lý nhiều hơn. Người ta mong muốn chuẩn 802.11i có chứa giao thức AES. Điểm mạnh của AES là có thể yêu cầu một bộ đồng xử lý hoạt động thật hiệu quả. Viện nghiên cứu quốc gia về các tiêu chuẩn và công nghệ thuộc Bộ Thương mại Mỹ (NIST) chọn AES để thay thế cho DES đã có từ lâu. Hiện nay AES là bản công bố về tiêu chuẩn xử lý thông tin liên bang FIPS 197 nó xác định một thuật toán mã hoá sử dụng cho các tổ chức nhà nước ở Mỹ để bảo vệ các thông tin nhạy cảm và các thông tin thông thường. Phòng thương mại đã phê chuẩn việc lựa chọn AES như là một chuẩn nhà nước chính thức vào tháng 5/2002.
3.3.2.4 Nhận thực
Nhận thực là một cơ chế nhận dạng người sử dụng hoặc dịch vụ dựa trên một tiêu chí cho trước. Đó là quá trình xác định ai hay cái gì có đúng như chúng được khai báo hay không. Các hệ thống nhận thực biến đổi từ hệ thống có cặp tên người sử dụng – mật khẩu đơn giản, cho đến hệ thống dò tìm – đáp ứng phức tạp hơn như là các card thông minh và các thiết bị sinh trắc học. Các giao dịch trên mạng thường yêu cầu một quá trình nhận thực chặt chẽ hơn cách nhận thực theo tên người sử dụng và mật khẩu đơn giản. Việc sử dụng các ‘chứng chỉ’ số được công bố và kiểm tra bởi CA nội bộ hoặc CA phần 3 khi một phần trong hạ tầng khoá công cộng PKI được chấp nhận để sử dụng như một phương pháp thực hành an ninh mạng hiệu quả.
3.3.2.5 Lớp khe cắm an ninh SSL
SSL cho phép các quá trình nhận thực, không từ chối khách hàng và server, bảo vệ tính toàn vẹn dữ liệu, mật mã hoá quá trình truyền dẫn. Khách hàng và server thảo thuận và thiết lập một mức mã hoá có thể chấp nhận được lên đến 128 bit. Không giống như IPSec, SSL không yêu cầu phần tiêu đề xác định mức an ninh giống như quản lý khoá và mật mã hoá dữ liệu đối với mọi lưu lượng, SSL rất phù hợp cho các phiên Ad-Hoc (các phiên độc lập).
SSL nằm giữa lớp ứng dụng và lớp TCP/IP trong ngăn xếp giao thức mạng, cung cấp khả năng ứng dụng trong suốt hỗ trợ cho SSL và các đặc tính của nó. SSL là một chuẩn sử dụng trong các trình duyệt Web, và nhiều Website sử dụng giao thức này để đảm bảo bí mật thông tin của người sử dụng ví dụ như số thẻ tín dụng.
3.3.2.6 Lọc địa chỉ MAC (hay danh sách điều khiển truy nhập)
Chuẩn 802.11 xác định một thiết bị có số địa chỉ MAC (điều khiển truy nhập môi trường) cho bởi nhà sản xuất. Nhận dạng MACID là một thành phần sử dụng để nhận thực một người dùng khi đi vào mạng – nó nhận dạng dịch vụ khách hàng của người sử dụng. Các nhà quản trị hệ thống có thể thiết lập một bảng kết nối với điểm truy nhập chỉ chấp nhận các địa chỉ MAC nhất định và lọc bỏ các địa chỉ khác ra khỏi mạng. Tuy nhiên, việc lập trình các địa chỉ MAC của những người sử dụng hợp lệ vào trong các điểm truy nhập của một công ty lớn là một việc làm khó khăn và nó không được sử dụng để duy trì trong các mạng biến đổi liên tục. Khi áp dụng cho các mạng quy mô nhỏ nó tỏ ra rất hiệu quả.
3.3.2.7 Giao thức nhận thực mở rộng (EAP)
EAP là cơ sở để cung cấp khả năng nhận thực tập trung hoá và phân bố khóa động. Nó cho phép các bộ thích ứng khách hàng vô tuyến, các bộ thích ứng này hỗ trợ các kiểu nhận thực khác nhau, truyền thông với các server kết cuối khác nhau giống như RADIUS - dịch vụ người sử dụng quay số nhận thực từ xa. EAP là một giao thức tổng quát sử dụng cho nhận thực có thể hỗ trợ các phương pháp nhận thực khác nhau, và các card thông minh. Khi sử dụng cùng với 802.1x, nó cho phép nhận thực từ đầu cuối – đến – đầu cuối, một khách hàng vô tuyến kết hợp với một điểm truy nhập có thể đạt được quyền truy nhập vào mạng cho đến khi người sử dụng thực hiện quá trình đăng nhập vào mạng. Trong các quá trình truyền thông vô tuyến sử dụng EAP, một người sử dụng yêu cầu kết nối tới một mạng WLAN thông qua một điểm truy nhập, điểm truy nhập này sau đó yêu cầu định danh người sử dụng và phát thông tin định danh tới một server nhận thực, như là RADIUS chẳng hạn. Server này hỏi điểm truy nhập về nguồn gốc của quá trình định danh mà điểm truy nhập thu được từ người sử dụng và sau đó gửi trở lại cho server để hoàn tất một quá trình nhận thực.
EAP thực hiện nhận thực hai chiều - mỗi một phía được nhận thực cần chứng tỏ định danh của nó với phía kia sử dụng chứng chỉ và khoá riêng của nó. Khi cả khách hàng và server nhận thực được mỗi bên an ninh mạng sẽ được đảm bảo hơn. Ví dụ, EAP bảo vệ chống lại các tấn công bởi con người và tấn công theo kiểu dò tìm.
3.3.2.8 802.1x
802.1x cho phép các khả năng đăng nhập vào mạng giữa các PC và hạ tầng mạng bên ngoài. Nó cho phép một kiến trúc cơ sở thực hiện các sơ đồ nhận thực khác nhau. 802.1x cung cấp khả năng mã hoá, và nó không phải là lựa chọn thay thế cho WEP, 3DES, AES, hay bất cứ quá trình mã hoá nào khác. 802.1x không tập trung vào việc nhận thực và quản lý khoá, vì thế nó có thể được sử dụng khi kết hợp với một mã khác. 802.1x không phải là phương pháp nhận thực đơn lẻ mà hơn thế nó sử dụng EAP như là cơ sở nhận thực của nó. Điều này có nghĩa là 802.1x cho phép các chuyển mạch và điểm truy nhập có thể hỗ trợ một số lượng lớn các phương pháp nhận thực, bao gồm nhận thực dựa trên chứng chỉ, các card thông minh, các thẻ (token), các mật khẩu dùng một lần,…802.1x hỗ trợ các tiêu chuẩn mở rộng sử dụng cho nhận thực, cấp phép và thanh toán (bao gồm RADIUS và LDAP) vì thế nó hoạt động cùng với hạ tầng hiện có để quản lý người sử dụng từ xa và người sử dụng di động. Khi kết hợp với một giao thức nhận thực như EAP-TLS, LEAP, hay EAP-TTLS, 802.1x cho phép khả năng điều khiển truy nhập và nhận thực hai chiều thực hiện trên các cổng giữa khách hàng và điểm truy nhập thông qua một server nhận thực.
Microsoft hỗ trợ 802.1x trong Windows XP, và trong tất cả các sản phẩm WLAN của NETGEAR.
3.3.2.9 Nhận thực
VPN là ứng dụng nổi bật nhất hiện nay cho an ninh mạng WLAN bởi vì nó kết hợp được hai quá trình mã hóa và nhận thực. Người sử dụng thiết lập một đường ống an ninh tới điểm truy nhập vô tuyến với một thủ tục đăng nhập sử dụng mật khẩu và tên người sử dụng. Tất cả các sản phẩm không dây của NETGEAR đều hỗ trợ VPN.
3.3.2.10 Mạng riêng ảo
Một mạng VPN tạo ra một mạng riêng trong một môi trường truy nhập chung giống như một mạng WLAN. Nó cho phép truyền thông riêng biệt giữa những người sử dụng, các văn phòng ở xa và các tổ chức thương mại. Một mạng VPN hoạt động bằng cách duy trì khả năng bảo mật thông qua các thủ tục đảm bảo an ninh bao gồm mật mã hoá, khoá, nhận thực và các giao thức tạo đường ống. Các giao thức này kiểm tra người sử dụng và server, mã hoá dữ liệu ở phía phát và giải mã nó ở phía thu. VPN tạo ra một đường ống mà các dữ liệu hoặc người sử dụng không được mã hoá và nhận thực một cách hợp lệ không thể đi vào đường ống này. VPN sử dụng các giao thức an ninh giống như IPSec, giao thức đường ống lớp 2 (L2TP) và giao thức đường ống từ điểm - đến - điểm (PPTP). VPN sử dụng các giao thức mã hoá giống như 3DES và AES, các giao thức này tỏ ra hiệu quả hơn khi sử dụng trong WEP.
VPN là một giải pháp hiệu quả, nó cho phép người sử dụng vô tuyến hợp lệ kết nối an toàn từ mọi vị trí. Nó trong suốt với các ứng dụng.
3.3.3 Các kiểu tấn công an ninh vô tuyến điển hình
Các kỹ thuật đạt quyền truy nhập trái phép vào mạng WLAN là những vấn đề an ninh nổi bật nhất trong các môi trường mạng LAN hữu tuyến. Vì mạng WLAN hoạt động trong môi trường không gian mà không có một kết nối vật lý nào nên chúng dễ bị tấn công hơn.
3.3.3.1 WEP Cracking - bẻ gãy WEP
WEP đã là một phần trong chuẩn 802.11 từ khi nó được phê chuẩn vào năm 1999. Ở thời điểm này, uỷ ban 802.11 đã nhận ra một vài giới hạn của WEP; Tuy nhiên, WEP được xem là lựa chọn tốt nhất khi thực hiện trên thế giới, WEP đã được bổ sung và khảo sát kỹ lưỡng.
WEP dễ bị tấn công vì các khoá mật mã của nó không thay đổi. Khoá mật mã sử dụng cho WEP, bất chấp độ dài khoá đều không thay đổi trừ khi nó được người quản trị thay đổi định kỳ bằng tay ở tất cả các thiết bị. Việc làm này khá nặng nề và ít khi được thực hiện.
Một kẻ tấn công sử dụng một bộ dò tìm gói tin vô tuyến tương đối rẻ tiền để thâm nhập vào các gói dữ liệu. Sau khi thu thập được từ 5 đến 10 triệu gói dữ liệu, kẻ tấn công sử dụng các công cụ sẵn có (giống như WEP Crack và AirSnort mã nguồn mở). Các công cụ này có thể xác định các khoá mật mã trong thời gian ngắn (vài phút), cho phép kẻ tấn công giải mã và đọc được tất cả dữ liệu truyền qua giữa khách hàng (người cung cấp) và điểm truy nhập.
Giải pháp: VPN hay các cơ chế nhận thực hiện nay cho phép bảo vệ chống lại chống lại quá trình bẻ gãy WEP. AES là một giải pháp mã hoá tiên tiến không có các điểm yếu như ở WEP.
3.3.3.2 Tấn công địa chỉ MAC
Các địa chỉ MAC có thể bị bẻ gãy theo nhiều cách khác nhau giống như ở trường hợp các khoá mật mã WEP. Một khi khoá mật mã được giải mã, tất cả các dữ liệu dạng gói bao gồm cả nhận dạng địa chỉ MAC (MACID) đều bị lộ. Tất nhiên là khi không sử dụng mật mã có thể thu được MACID từ môi trường không gian. Một khi thu được một địa chỉ MAC có hiệu lực, các hacker có thể lập trình cho máy tính của họ ‘đánh lừa’ người sử dụng hợp lệ bằng cách lập trình cho một máy tính phát quảng bá vào địa chỉ MACID vừa thu được.
Giải pháp: Các tấn công vào địa chỉ MAC có thể được ngăn ngừa bằng cách sử dụng các cơ chế nhận thực như 802.1x hay VPN.
3.3.3.3 Các tấn công gây ra bởi một người ở vị trí trung gian
Kiểu tấn công này được xác địng bởi một hacker ở giữa một khách hàng và điểm truy nhập, hacker này chặn lại tất cả mọi lưu lượng dữ liệu. Các hacker thu giữ và giải mã các khung dữ liệu gửi ngược và xuôi giữa một card giao diện mạng vô tuyến (NIC) của người sử dụng và điểm truy nhập trong suốt quá trình kết hợp. Việc làm này đem lại các thông tin cần thiết về NIC và điểm truy nhập như các địa chỉ IP cho các thiết bị và các nhận dạng kết hợp của các NIC và các nhận dạng SSID của mạng. Với những thông tin này, một ai đó có thể thiết lập một điểm truy nhập bí mật (trên một kênh vô tuyến khác) ngay cạnh một người sử dụng xác định, để ép buộc card giao diện mạng vô tuyến của người sử dụng tái kết hợp với điểm truy nhập giả này. Cả khách hàng và server đều tin rằng họ đã được kết nối trực tiếp với nhau nhưng thay vào đó là kết nối tới một người trung gian. Kẻ tấn công truy nhập vào tất cả dữ liệu truyền qua lại giữa 2 thực thể (khách hàng và server), bao gồm cả thông tin đăng nhập.
Giải pháp: VPN và các cơ chế nhận thực có thể ngăn chặn kiểu tấn công này.
3.3.3.4 Các tấn công dạng từ điển
Kiển tấn công này tuỳ thuộc vào các tên sử dụng và các từ truyền thống như tên đăng nhập và mật khẩu. Kẻ tấn công thu thập các thông tin dò tìm và đáp ứng nhờ các giao thức mật khẩu cơ sở. Việc sử dụng các công cụ mã nguồn mở dựa trên từ điển chứa hàng trăm nghìn từ, tên, cụm từ, một máy tính không kết nối có thể tiến hành thử nghiệm mỗi liên kết tên người sử dụng – mật khẩu cần thiết cho đến khi giải mã được thông tin đăng nhập. Khi tên người sử dụng và mật khẩu bị bẻ gãy kẻ tấn công có quyền truy nhập vào mạng WLAN với tất cả quyền và đặc quyền của người sử dụng hợp lệ.
Giải pháp: Sử dụng các mật khẩu kết hợp chữ và số, cũng như quy định số ký tự tối thiểu của mật khẩu (thông thường là 8) có thể giúp chống lại kiểu tấn công này. Các cơ chế nhận thực như 802.1x và VPN cũng cho phép khả năng bảo vệ tốt.
3.3.3.5 Tấn công phiên
Khi một kẻ tấn công có khả năng lắng nghe lưu lượng truyền trong mạng và có thể đưa vào mạng thông tin của riêng kẻ đó, thì một phiên sau đó rất dễ bị tấn công – định hướng phiên theo hướng ngược trở lại điểm đầu cuối hợp lệ. Một kẻ tấn công có thể thiết lập một điểm truy nhập và các khách hàng vô tuyến không hợp lệ sẽ cố kết nối tới nó bằng cách gửi đi thông tin nhận thực của họ.
Giải pháp: Các cơ chế nhận thực 802.1x và VPN cho phép bảo vệ hiệu quả chống lại kiểu tấn công này.
3.3.3.6 Từ chối dịch vụ (DoS)
Các tấn công DoS áp dụng cho các mạng vô tuyến. Một kẻ tấn công có thể làm tràn lụt các điểm truy nhập với lưu lượng không thích hợp, làm tràn ngập băng thông hiện có, làm chậm hay dừng hẳn khả năng truy nhập vào mạng của người sử dụng hợp lệ.
Giải pháp: Việc lọc địa chỉ MAC có thể giúp chống lại kiểu tấn công này một cách hiệu quả. Trong các mạng hữu tuyến, các tường lửa với khả năng kiểm tra trạng thái gói có thể ngăn chặn kiểu tấn công DoS đối với các nguồn tài nguyên của mạng LAN đi đến từ điểm truy nhập.
3.3.3.7 Các giải pháp tương lai ngăn chặn các tấn công vào mạng WLAN
Bảo vệ quyền truy nhập Wi-Fi (WPA)
WPA là nguyên tắc an ninh mạng mới công bố bởi liên minh Wi-Fi. Mục tiêu là để tăng cường khả năng an ninh dựa trên các chuẩn WEP hiện tại bao gồm các cơ chế của tiêu chuẩn 802.11i để mã hoá dữ liệu và điều khiển truy nhập mạng. Đối với quá trình mã hóa, WPA không chứa TKIP sử dụng thuật toán mã hoá giống như ở WEP nhưng xây dựng khoá theo một cách khác. Đối với quá trình điều khiển truy nhập, WPA sử dụng giao thức IEEE 802.1x. Liên minh Wi-Fi đã lên kế hoạch thực hiện các cơ chế an ninh mới này như là các đặc điểm tuỳ chọn bắt đầu vào giữa năm 2003 và yêu cầu chúng tuân theo Wi-Fi.
Giao thức mã hoá khoá theo thời gian (TKIP)
TKIP là một phần của WPA, được thiết kế để khắc phục những điểm yếu cố hữu của WEP, đặc biệt là việc tái sử dụng các khoá mật mã. Điều này dẫn đến trong các quá trình mã hoá khả năng bẻ gãy khoá là khó khăn hơn, vì thế TKIP cho phép tăng mức độ bảo vệ chống lại nghe trộm và các kiểu tấn công khác. Bởi vì TKIP tăng cường khả năng mã hoá và cải thiện khả năng phát hiện xâm nhập trái phép, nó cho phép mức độ bảo vệ lớn hơn chống lại việc bẻ gãy lưu lượng dữ liệu và các tấn công xâm nhập trái phép khác.
Quá trình TKIP bắt đầu với 128 bit khoá thời gian dùng chung giữa khách hàng và điểm truy nhập. TKIP kết nối khoá thời gian với một địa chỉ MAC của khách hàng và sau đó bổ sung thêm một vector khởi tạo tương đối lớn 16 octet để tạo ra một khoá, khoá này sẽ mã hoá dữ liệu. Thủ tục này đảm bảo mỗi trạm sử dụng các luồng khoá thời gian khác nhau để mã hoá dữ liệu. TKIP cho phép một cơ chế khoá tự động, thay đổi các khoá thời gian đối với mỗi cụm gồm 10000 gói. Điều này cho phép khả năng phân bố động nâng cao đáng kể an ninh mạng. TKIP cũng sử dụng trường kiểm tra tính toàn vẹn bản tin (MIC). MIC bổ sung cho việc kiểm tra tính toàn vẹn mạnh hơn trường kiểm tra CRC đơn giản để ngăn ngừa kẻ tấn công thay đổi các bản tin sau mỗi quá trình truyền dẫn. Thiết bị WEP chỉ tương thích với TKIP khi TKIP cho phép thiết bị sử dụng WEP. Tuy nhiên, TKIP chỉ là giải pháp tạm thời. Hầu hết các chuyên gia tin rằng có một giải pháp mã hoá mạnh hơn giống như AES cần phải có để đảm bảo mức độ an ninh cao nhất cho người sử dụng.
3.3.4 An ninh trong thực tế
Một cách tổng quát, để có sự thoả hiệp giữa khả năng an ninh và giá thành sản phẩm, hiệu năng và cách sử dụng đơn giản. Mạng có an ninh tốt hơn thì chi phí thực hiện sẽ lớn hơn, có khả năng là khó khăn hơn khi sử dụng và lo ngại về hiệu năng mạng thấp hơn. Trong khi mỗi môi trường có những đòi hỏi nhất định về mức độ an ninh ở đây xem xét các khuyến nghị như sau đây.
3.3.4.1 Khu vực nhà ở và văn phòng nhỏ – Yêu cầu an ninh thấp
Đối với người sử dụng trong phạm vi nhà ở và văn phòng nhỏ chi phí triển khai mạng là một vấn đề, người sử dụng có các server nhận thực trung tâm hoặc các thành phần hạ tầng trung tâm khác. Họ thường không có nguồn tài nguyên thông tin nào khả dụng. Các việc làm sau đây cho phép bảo vệ an ninh cấp 1:
Phần mềm: Cập nhật các NIC và các điểm truy nhập tới phần mềm gần đây nhất. Khởi động khi mua thiết bị và kiểm tra thường xuyên.
Kích hoạt WEP: Thiết lập kích thước khoá mật mã cao nhất có thể được. Trong khi vẫn tồn tại các điểm yếu thì đối với các hacker mức trung bình việc bẻ gãy WEP là tương đối khó khăn – nhất là trong các môi trường mà lưu lượng truyền tải thấp.
Thay đổi tên mặc định SSID thành một tên duy nhất. Không sử dụng các tên gọi có gợi ý như tên đường phố hay địa chỉ, công ty hay nhà riêng.
Không kích hoạt SSID quảng bá: Windows XP và các công cụ giám sát khác sẽ tự động dò tìm các khung đèn hiệu 802.11 để thu được SSID. Khi quá trình quảng bá SSID bị ngắt, điểm truy nhập sẽ không chứa SSID trong một khung đèn hiệu làm cho hầu hết các công cụ dò tìm trở nên vô dụng.
Lọc địa chỉ MAC: Một vài điểm truy nhập có khả năng chấp nhận các kết nối chỉ đối với các địa chỉ MAC đáng tin cậy là các địa chỉ duy nhất trên mạng (không trùng khớp nhau). Thực hiện điều này là rất khó khăn trong một môi trường động với hơn 20 người sử dụng do việc thiết lập điểm truy nhập rất mất thời gian đối với tất cả các khách hàng tin cậy. Tuy nhiên, nó có thể được thiết lập một cách đơn giản trong môi trường nhà ở và môi trường văn phòng nhỏ SOHO.
Các tường lửa cho các mạng LAN hữu tuyến: Bảo vệ các file trên cùng một mạng LAN sử dụng phần mềm hoặc tường lửa phần cứng để cô lập một mạng WLAN và giữ chúng tránh xa người sử dụng không được phép.
Sử dụng WPA khi khả dụng. Hầu hết các nhà cung cấp thiết bị sử dụng WPA thông qua quá trình nâng cấp phần mềm.
3.3.4.2 Văn phòng nhỏ và người dùng ở xa – Yêu cầu an ninh trung bình
Các văn phòng nhỏ và người dùng ở xa có thể là một phần của một tổ chức lớn hơn. Đảm bảo an ninh thông tin là vấn đề quan trọng và phải cân bằng với năng suất tổng và số liệu lớn hơn những người sử dụng.
Phần mềm: Cập nhật NIC vì các điểm truy nhập tới phần mềm gần nhất. Khởi động khi mua thiết bị và kiểm tra thường xuyên.
Kích hoạt WEP: Thiết lập kích thước khoá mã hoá cao nhất có thể được. Trong khi vẫn tồn tại những điểm yếu thì đối với các hacker mức trung bình việc bẻ gãy WEP vẫn còn khó khăn nhất là trong các môi trường lưu lượng dữ liệu thấp.
VPN: Trong trường hợp có thể được sử dụng các điểm truy nhập kích hoạt IPSec hoặc các tường lửa mà chúng có thể thiết lập các đường ống VPN từ người dùng đầu cuối tới điểm truy nhập. Phần mềm VPN cho phép quá trình nhận thực và mã hoá hiệu quả hơn trong mạng công cộng bao gồm các thành phần vô tuyến và hữu tuyến.
Sử dụng WPA khi có thể.
Các điểm truy nhập: Gán các mật khẩu hữu ích cho các điểm truy nhập, thay đổi mật khẩu mặc định của nhà sản xuất. Chúng rất phổ biến nên người sử dụng có thể dễ dàng thay đổi các tham số cấu hình ở điểm truy nhập để thuận lợi khi sử dụng.
Đảm bảo các mật khẩu được mã hoá trước khi truyền qua mạng. Khi gửi mật khẩu tới người sử dụng, sử dụng một chương trình tương tự như PGP để đảm bảo rằng các mật khẩu không bao giờ được gửi đi một cách rõ ràng mà những người sử dụng khác có thể hiểu được.
Một vài điểm truy nhập sẽ trở lại các thiết lập mặc định (không có khả năng đảm bảo an ninh) khi có một ai đó nhấn vào nút “reset” ở điểm truy nhập. Điều này làm cho điểm truy nhập dễ bị tấn công bởi các hacker, khi đó các hacker có thể mở rộng tầm với của họ vào trong mạng.
Cho phép khả năng an ninh tương ứng đối với phần cứng điểm truy nhập
3.3.4.3 Người sử dụng của các tổ chức/tập đoàn – Yêu cầu an ninh cao
Các mạng WLAN yêu cầu cùng một mức độ an ninh giống như người sử dụng hữu tuyến. Ngoài các khuyến nghị cho văn phòng nhỏ và người dùng ở xa (như ở trên), ở đây xem xét các yếu tố sau:
Giám sát các điểm truy nhập bí mật. Thiết bị mạng WLAN không có giá thành cao và dễ dàng khi cài đặt. Tận dụng các công cụ hỗ trợ vận hành để giám sát mạng một cách liên tục và kiểm tra các điểm truy nhập không tuân thủ các nguyên tắc về cấu hình. Một vài điểm truy nhập không tương ứng với các thiết lập an ninh xác định hầu như sẽ bị reset, hoặc nó có thể là một điểm truy nhập bí mật thiết lập bởi một hacker hoặc một người sử dụng không mong muốn kết hợp với các thông tin riêng. Các công cụ phát hiện xâm nhập trái phép có thể giúp nhận dạng sự xuất hiện của hacker, dựa trên các địa chỉ MAC hoặc các yếu tố khác.
Các bộ điều khiển truy nhập: Các điểm truy nhập chỉ theo chuẩn 802.11 cho phép nhận thực không đầy đủ. Thực tế thì 802.11 chỉ thực hiện nhận thực một NIC vô tuyến tới một điểm truy nhập chứ không tới điểm nào khác xung quanh nó. Trong những trường hợp như vậy người ta xem xét sử dụng một bộ điều khiển truy nhập do các nhà sản xuất thiết bị cung cấp như là ReefEdge, Bluesocket, và Nomadix. Các thiết bị này cho phép khả năng điều khiển truy nhập chắc chắn vào mạng, trong khi thực hiện giao diện với các server nhận thực như RADIUS. Các bộ điều khiển truy nhập cho phép điều khiển từng phần khi thực hiện đối với một số lượng lớn người sử dụng và điểm truy nhập.
Nhận thực: Tích hợp các mạng WLAN vào trong có chế nhận thực ở các tổ chức lớn, sử dụng RADIUS hoặc LDAP. EAP có thể áp dụng cho quá trình nhận thực các giao thức thích hợp đối với mỗi người dùng, phụ thuộc vào các yếu tố an ninh riêng biệt. 802.1x cho phép điều khiển truy nhập thực hiện trên cổng và quá trình nhận thực hai chiều giữa khách hàng và điểm truy nhập thông qua một server nhận thực (RADIUS). Các mật khẩu và tên người sử dụng có thể được mã hoá hoặc các chứng chỉ số có thể được sử dụng để nâng cao khả năng nhận thực.
Điều khiển sóng vô tuyến: Tối thiểu hoá quá trình truyền sóng vô tuyến trong các khu vực không có người sử dụng như các khu vực đỗ xe hay các khu vực lân cận văn phòng. Thử nghiệm các anten để tránh các vùng phủ bên ngoài các biên giới điều khiển về mặt vật lý trong điều kiện thuật lợi. Nếu có thể, không đặt các điểm truy nhập tại biên của khu vực nhà ở hay văn phòng. Một vài bộ điều khiển truy nhập có thể làm giảm công suất điểm truy nhập.
Phân mảnh: Cách làm hiệu quả là đưa các điểm truy nhập vào một DMZ, và làm cho người sử dụng vô tuyến tạo đường ống ở trong mạng dùng một mạng VPN. Hạn chế các đặc quyền của người sử dụng mạng WLAN khi thích hợp. Để bảo vệ chống lại những kẻ xâm nhập trái phép truy nhập vào các tài nguyên thông tin của tổ chức đảm bảo rằng các điểm truy nhập mạng WLAN không bị thay đổi bên ngoài tường lửa. Thiết lập cấu hình cho tường lửa để cho phép truy nhập đối với người sử dụng hợp lệ dựa trên các địa chỉ MAC, làm cho các hacker khó khăn hơn khi tấn công vào mạng.
DHCP: Theo mặc định hầu hết các mạng WLAN sử dụng DHCP để tự động gán các địa chỉ IP cho các thiết bị người dùng. Tuy nhiên, DHCP không tạo ra khác biệt giữa người sử dụng và hacker. Với một nhận dạng SSID đúng, bất cứ ai thực hiện giao thức DHCP sẽ thu được địa chỉ IP một cách tự động và trở thành một nút xác thực trong mạng. Khi không kích hoạt DHCP và gán các địa chỉ IP tĩnh tới tất cả người sử dụng vô tuyến, các nhà quản trị mạng có thể tối thiểu hoá khả năng một hacker thu được địa chỉ IP có hiệu lực. Cũng như vậy ở đây cũng xem xét việc thay đổi địa chỉ IP của mạng con. Nhiều router vô tuyến nhận giá trị mặc đinh 192.168.0.1, và sử dụng các địa chỉ tương tự như là router mặc định. Việc thay đổi địa chỉ mạng con xiết chặt khả năng an ninh của mạng.
3.3.4.4 An ninh truy nhập công cộng
Sự thuận lợi của các điểm “hot spot” – điểm truy nhập mức độ cao là khó hạn chế - người sử dụng có thể kiểm tra thư điện tử trong khi ở hàng cafe hoặc đệ trình các bản báo cáo khi ở sân bay. Nhưng một số lượng lớn các điển “hot spot” công cộng không có bất cứ có chế an ninh nào ngoại trừ việc biết được đối tượng để gửi đi các hoá đơn thanh toán. Rất nhiều người sử dụng trong vùng truy nhập công cộng gặp phải rủi ro tại sân bay hay các hàng cafe mò tìm dữ liệu của họ sử dụng các công cụ Network Neighborhood của các hệ điều hành Microsoft Windows. Những kẻ dò tìm có thể phát hiện các gói tin vô tuyến không được mã hoá và xác định được tên người sử dụng và mật khẩu để sử dụng sau này.
Các công nhân trong doanh nghiệp di dộng sử dụng một kết nối mạng VPN nếu họ có ý định sử dụng một dịch vụ mạng WLAN truy nhập công cộng để xâm nhập vào cơ sở dữ liệu của một tổ chức hay server thư điện tử. Một tường lửa cá nhân cũng có thể được thiết lập để hạn chế nghe trộm từ những người sử dụng trên cùng một mạng công cộng. Các nhà cung cấp điểm truy nhập hot spot và các nhà chế tạo Wi-Fi đang làm việc để khắc phục các vấn đề an ninh bằng cách sử dụng các công nghệ được thiết kế để bảo vệ người sử dụng vô tuyến chống lại việc ngăn chặn thông tin và nghe trộm ở các điểm truy nhập hot spot công cộng. Chẳng hạn, một vài nhà cung cấp đường truy nhập đang liên kết lại sự phân tách ở lớp 2 mà điều này ngăn không cho người sử dụng ở hàng cafe truy nhập vào các máy tính xách tay của một người khác.
3.3.5 Các hướng phát triển trong tương lai
Rõ ràng là vấn đề triển khai an ninh cho mạng WLAN hiện nay cần phải được cải thiện. Giai đoạn khởi đầu như 802.11i đem lại các phương pháp thực thi an ninh dựa trên tiêu chuẩn công nghiệp cho môi trường mạng WLAN.
Đặc tả của IEEE đối với tiêu chuẩn 802.11i còn gọi là mạng an ninh tăng cường (RSN) là một phương pháp được tiêu chuẩn hoá tiếp theo sử dụng cho quá trình mật mã hoá và bảo mật mạnh hơn. Nó sẽ liên kết quá trình mật mã hoá với quá trình nhận thực. Hai phương pháp mã hoá thay thế cho giao thức WEP: TKIP và AES. TKIP là giải pháp tạm thời, nó hỗ trợ khách hàng và điểm truy nhập thông qua việc cập nhật phần mềm. Một sơ đồ dựa trên AES sẽ cho phép khả năng an ninh mạnh hơn.
Các hệ thống vô tuyến kế thừa hoặc đang tồn tại có thể được nâng cấp lên một tập con của công nghệ được đặc tả trong chuẩn 802.11i. Các tuỳ chọn mã khác của 802.11i như AES sẽ không được nâng cấp vì chúng yêu cầu nâng cấp phần cứng. Người ta hy vọng là có thể công bố đặc tả IEEE 802.11 vào cuối năm 2003.
3.3.6 Kết luận
Trong khi các tuỳ chọn cho an ninh vô tuyến được trình bày ở đây sẽ giúp cho các tổ chức lựa chọn chính sách an ninh và công nghệ hợp lý đối với các môi trường mạng WLAN của họ. NETGEAR cung cấp phạm vi toàn diện của vấn đề an ninh mạng WLAN cần hỗ trợ cho tất cả các lớp an ninh.
3.3.7 Phụ lục: Các công nghệ và các sáng kiến an ninh
Vấn đề an ninh thông tin có rất các tiêu chuẩn, các khái niệm, các cơ chế áp dụng cho an ninh mạng được định nghĩa rõ ràng. Hầu như tất cả các mạng thông tin doanh nghiệp đều sử dụng một số hay tất cả các khái niệm sau đây. Các nhà cung cấp sản phẩm mạng WLAN nắm bắt các khái niệm này khi họ phát triển các sản phẩm cho doanh nghiệp. Công nghệ an ninh đã phát triển qua một vài năm, chúng đã đem lại những khả năng quan trọng. Các công nghệ an ninh riêng biệt cung cấp các khối kiến trúc để xây dựng đề xây dựng hạ tầng vô tuyến an ninh mạng.
3.3.7.1 Nhận thực
Nhận thực là quyền cho phép một người sử dụng làm việc gì hay đạt được điều gì. Trong các hệ thống máy tính đa người sử dụng, người quản trị hệ thống xác định những người sử dụng nào được phép truy nhập vào hệ thống và xác định đặc quyền của mỗi người sử dụng (quyền truy nhập tới các thư mục chứa dữ liệu, thời gian truy nhập, số lượng không gian bộ nhớ được cấp phát, ...).
3.3.7.2 Kiểm tra dư chu trình CRC
Là một kỹ thuật chung để phát hiện lỗi truyền dẫn dữ liệu.
3.3.7.3 Chữ ký số/ chứng chỉ số
Nó tương tự như hộ chiếu hay bằng lái của tài xế, nó chứng tỏ nhận dạng của người sử dụng, mục tiêu của nó là ngăn ngừa quá trình mạo nhận trái phép. Các chứng chỉ số được công bố bởi một CA (Certificates Authority)– quyền cấp chứng chỉ. Nó bao gồm một tên, số seri, ngày hết hạn, bản sao của khoá chung của chứng chỉ người dùng (được sử dụng để mã hoá các bản tin và các chữ ký số), và chữ ký số bản quyền công bố chứng chỉ vì thế mà một người nhận có thể kiểm tra được một chứng chỉ là thật hay giả. Một vài chứng chỉ số theo chuẩn X.509.
Một chữ ký số (không xung đột với chứng chỉ số) là một chữ ký điện tử có thể được sử dụng để nhận thực định danh của người gửi bản tin hay người ký một văn bản và đảm bảo rằng nột dung ban đầu của văn bản hay bản tin không bị thay đổi.
3.3.7.4 Tường lửa
Là khả năng ngăn chặn lưu lượng mạng thông qua một cổng Gateway theo một tập các quy tắc. Nó thường được đặt ở Gateway hay điểm truy nhập, nó điều khiển luồng lưu lượng mạng, ngăn chặn người sử dụng bên trong và bên ngoài truy nhập dữ liệu và các dịch vụ được xác định bởi người quản trị hệ thống. Các tường lửa cấp cao sử dụng khả năng kiểm tra gói trạng thái hơn là công nghệ lọc gói. Các mạng WLAN có thể bị cô lập với mạng hữu tuyến bằng một tường lửa.
3.3.7.5 Kerberos
Được thiết kế để điều khiển truy nhập tới các nguồn tài nguyên thông tin bằng cách sử dụng một mã khoá bí mật. Sau khi một khách hàng và server nhận thực được nhau sử dụng Kerberos, chúng trao đổi một khoá mã dùng chung, khoá này mã hoá tất cả thông tin của họ, đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu. Kerberos điều khiển truy nhập tới tất cả các nguồn tài nguyên, dịch vụ được bảo vệ trong mạng, bảo vệ chúng tránh khỏi người sử dụng khác, những người này có thể cố sử dụng quyền truy nhập của một ai đó để đạt được quyền truy nhập dữ liệu hay các dịch vụ khác.
Kerberos là một quá trình 3 hướng, phụ thuộc vào dịch vụ thứ 3 gọi là trung tâm phân bổ khoá (KDC) để kiểm tra nhận dạng của một máy tính và thiết lập các khoá mật mã để tạo ra một kết nối an toàn giữa chúng.
Bằng việc thay đổi chuỗi các bản tin mã hoá hay các “vé” của khách hàng, KDC tạo ra các khoá mật mã mới đối với mỗi giai đoạn của quá trình nhận thực. Sau khi một “vé” được tạo ra, khách hàng có thể sử dụng nó để đạt được quyền truy nhập tới server đích không giới hạn số lần truy nhập cho đến khi “vé” hết hạn. Khách hàng hay bất cứ ai khác can thiệp vào mạng đều không thể đọc hay sửa đổi “vé” mà không làm hỏng nó.
3.3.7.6 Tính toàn vẹn
Là phương pháp đảm bảo cho dữ liệu, hệ thống, hay các file ứng dụng không bị xâm nhập nhất là khi chúng được gửi đi qua mạng.
3.3.7.7 Chuyển đổi khoá Internet (IKE)
Là một phương pháp tự động hoá sử dụng cho các khoá mật mã quản lý và trao đổi giữa hai thiết bị mạng VPN. IKE sử dụng mật mã khoá chung cho phép truyền dẫn đảm bảo an ninh khi truyền khoá bí mật tới người nhận, vì thế dữ liệu đã được mã hoá có thể được giải mã tại một đầu cuối khác. IKE là một phần của IPSec.
3.3.7.8 IPSec
IPSec là một giao thức lớp mạng sử dụng cho an ninh mức cao, nó cung cấp một khung các tiêu chuẩn mở đảm bảo các quá trình truyền thông riêng đảm bảo an ninh thông qua các mạng IP. Nó có thể cho phép bảo mật, bảo vệ tránh khỏi các đe doạ và điều khiển truy nhập host đối với lưu lượng mạng thông qua các cơ chế nhận thực và mã hoá chuẩn.
Bởi vì IPSec mã hoá và nhận thực ở mức IP-dưới lớp truyền dẫn-nên nó trong suốt đối với tất cả các ứng dụng như thư điện tử, truyền file, truy nhập Web, … Và bởi vì IPSec trong suốt với người dùng đầu cuối nên không cần đưa chúng vào các cơ chế an ninh, công bố các tài liệu khoá tại một người dùng cơ sở, thu hồi các khoá khi người dùng rời khỏi tổ chức.
Vì IPSec được thiết kế cho giao thức IP nên nó hỗ trợ rộng rãi trong công nghiệp và là chuẩn trên thực tế sử dụng cho các mạng VPN trên mạng Internet.
3.3.7.9 LEAP
Là phần triển khai độc quyền của 802.1x bởi Cisco.
3.3.7.10 Điều khiển truy nhập môi trường (MAC)
Mỗi địa chỉ phần cứng 48 bit duy nhất được gán cho mỗi nút Ethernet, thường được viết dưới dạng 01:23:45:67:89:ab. Để tăng khả năng an ninh cho mạng vô tuyến, người quản trị hệ thống có thể lập trình điểm truy nhập chỉ chấp nhận các địa chỉ MAC xác định và lọc bỏ các phần khác ra khỏi mạng. Bảng điều khiển dùng giao thức MAC sẽ thực hiện khoá một địa chỉ MAC không được biết khi nó đang cố gắng kết nối và không cho phép truy nhập đối với địa chỉ này.
3.3.7.11 Giao thức nhận thực mở rộng được bảo vệ (PEAP)
PEAP là một phần của giao thức EAP. Nó sử dụng an ninh mức truyền dẫn TLS để tạo ra một kênh mã hoá giữa khách hàng và server nhận thực. PEAP không xác định một phương pháp nhận thực nào nhưng cho phép khả năng an ninh bổ sung đối với các giao thức EAP. PEAP được sử dụng như một giao thức nhận thực đối với các khách hàng vô tuyến 802.11 nhưng không hỗ trợ các mạng VPN. PEAP tương tự như TTLS.
3.3.7.12 Hạ tầng khoá chung (PKI)
Là một phương pháp mà người sử dụng VPN có hiệu lực sử dụng để nhận thực thông qua các quyền cấp chứng chỉ. PKI cho phép người sử dụng tương tác với nhau và với các ứng dụng, đạt được và kiểm tra các nhận dạng và các khoá và đăng ký với các thành phần thứ 3 đáng tin cậy.
3.3.7.13 Dịch vụ người sử dụng quay số nhận thực từ xa (RADIUS)
RADIUS cho phép một công ty duy trì các lý lịch người dùng trong một cơ sở dữ liệu trung tâm mà mọi server ở xa có thể chia sẻ với nhau. RADIUS là một giao thức khách hàng-server cho phép các server truy nhập ở xa liên lạc với server trung tâm, thực hiện nhận thực người sử dụng quay số, ban quyển truy nhập tới dịch vụ hay hệ thống yêu cầu. Nó cung cấp khả năng an ninh, cho phép một công ty thiết lập chính sách có thể áp dụng được ở điểm mạng quản lý đơn giản.
3.3.7.14 Bộ nhận dạng tập dịch vụ (SSID)
Một bộ nhận dạng đi kèm với các gói tin gửi đi qua mạng WLAN đóng vai trò như một mật khẩu để tham gia vào một mạng vô tuyến riêng biệt hay dịch vụ hỗ trợ phát quảng bá (BSS). Tất cả các điểm truy nhập và điểm vô tuyến trong cùng một BSS phải dùng chung một SSID, nếu không các gói của chúng sẽ bị bỏ qua.
3.3.7.15 An ninh lớp truyền tải (TLS)
Chuẩn IETF được đề xuất đã thay thế cho giao thức SSL của Netscape. TLS cho phép mã hoá và chứng nhận ở lớp truyền tải, vì thế dữ liệu có thể chuyển qua kênh an ninh mà không yêu cầu những thay đổi đáng kể về phía các ứng dụng khách hàng hay server. TLS cho phép hai khả năng:
Một giao thức bắt tay cho phép server và khách hàng nhận thực nhau và thảo luận để đưa ra một thuật toán mã hoá;
Một giao thức bản ghi báo cáo cung cấp kết nối an ninh với một thuật toán mã hoá đã được lựa chọn
3.3.7.16 An ninh lớp truyền tải đường ống (TTLS)
Là một giao thức an ninh vô tuyến được đề xuất và phát triển bởi Funk Software and Certicom, kết hợp các chứng chỉ mạng cơ sở với quá trình nhận thực khác như là các thẻ (token) hay mật khẩu. Nó còn có tên là EAP-TTLS. TTLS cho phép nhận thực hai chiều mà không cần phải phân bổ hay quản lý các chứng chỉ.
KẾT LUẬN
TÀI LIỆU THAM KHẢO
[1]. Benny Bing, High – Speed Wireless ATM and LANs, Artech House Boston, London, 2000.
[2]. Vern A. Dubendorf, Wireless Data Technology, John Wiley & Son, 2003.
[3]. Nguyễn Phạm Anh Dũng, Lý thuyết trải phổ và ứng dụng, Nhà xuất bản Bưu Điện năm 2000.
[4]. NETGEAR :