Vấn đề bảo mật cho hệ thống mạng không dây luôn là một vấn đề hết sức
khó khăn và được đặt ở vị trí rất quan trọng trong hầu hết các bản thiết kế mạng,
tuy nhiên, để có thể có được một giải pháp hoàn hảo cho mọi tình huống là một
điều gần như rất khó. Chính vì vậy, khi thiết kế hệ thống mạng, chúng ta phải
dựa trên cơ sở, yêu cầu thực tế của hệ thống, cân nhắc giữa các lợi hại của các
phương pháp để đưa ra các chính sách bảo mật hợp lý nhất. Trong thực tế xây
dựng hệ thống mạng không dây cho nhà trường đều có sự tham gia của các thành
phần khác nhau và có những yêu cầu bảo mật khác nhau. Phân tích kỹ lưỡng các
điều này giúp ta quyết định biện pháp nào là phù hợp nhất với hệ thống.
100 trang |
Chia sẻ: lylyngoc | Lượt xem: 2875 | Lượt tải: 4
Bạn đang xem trước 20 trang tài liệu Một số vấn đề an ninh trong mạng máy tính không dây, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
CV có giống với
ICV đã được gửi theo thông điệp hay không?
Seed WEP
PRNG IV
Cipherttext
Message
Secret Key
Key Sequence
Intergrity Algorithm
ICV-ICV1
ICV
ICV
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
45
- Nếu giá trị kiểm tra ICV sai khác, bản tin nhận được đã bị lỗi, và một tín
hiệu báo lỗi sẽ được gửi ngược trở lại nơi gửi tin. Thiết bị gửi tin sai sẽ không
tiến hành được việc chứng thực để đăng nhập vào mạng.
2.4.4. Quản lý mã khoá
Khoá bí mật chia sẻ được nằm ở tất cả các trạm kết nối. Chính vì vậy mà
IEEE802.11 không xác định việc truyền mã khoá tới các trạm làm việc. WEP sử
dụng cơ chế khóa mã đối xứng, tức là sử dụng mã khóa bí mật chia sẻ ở cả mã
hóa và giải mã. Chuẩn IEEE 802.11 cung cấp hai mô hình quản lý khóa WEP
trên mạng LAN không dây:
- Thiết lập bốn khóa mặc định được chia sẻ cho tất cả các trạm bao gồm
các client không dây và các điểm truy cập của Nó.
- Mỗi client thiết lập một khóa ánh xạ tới một trạm khác.
Phương thức thứ nhất cung cấp bốn khóa. Khi một client có được các khóa
mặc định, Nó có thể giao tiếp với tất cả các trạm khác trong hệ thống con. Một
trạm hay một AP có thể giải mã các gói đã được mã hóa bất kỳ khoá vào trong
bốn khóa đó. Việc giới hạn trao đổi thông tin thông qua việc nhập vào bốn khoá
đó một cách thủ công. Mộtư vấn để xảy ra đối với mô hình này là khi các khóa
mặc định được phân phối rộng rãi thì chúng có thể bị thay đổi.
Trong mô hình thứ hai, mỗi client thiết lập một khóa ánh xạ tới các trạm
khác gọi là bảng khóa ánh xạ. Trong phương thức này, mỗi địa chia MAC có thể
có một khóa riêng biệt, do đó phương thức này trở nên bảo mật hơn bởi vì có ít
hơn các trạm có các khóa.
Việc trao cho mỗi trạm làm việc một khoá làm giảm cơ hội tấn công phá mã,
nhưng việc phải tạo ra một khoảng thời gian hợp lý để lưu trữ khoá vẫn còn vấn
đề, bởi vì các khoá chỉ có thể thay đổi một cách thủ công, nên việc phân phối các
khoá trở nên khó khăn hơn nhiều khi số lượng trạm làm việc tăng lên.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
46
2.4.5. Các ƣu nhƣợc điểm của WEP
Khi chọn giải pháp an ninh cho mạng không dây, chuẩn 802.11 đưa ra các
yêu cầu sau mà WEP đáp ứng được:
- Có thể đưa ra rộng rãi, triển khai đơn giản
- Mã hóa mạnh
- Khả năng tự đồng bộ
- Tối ưu tính toán, hiệu quả tài nguyên bộ vi xử lý
- Có các lựa chọn bổ xung thêm
Lúc đầu người ta tin tưởng ở khả năng kiểm soát truy cập và tích hợp dữ liệu của
nó và WEP được triển khai trên nhiều hệ thống, tên gọi của nó đã nói lên những
kỳ vọng ban đầu mà người ta đặt cho nó, nhưng sau đó người ta nhận ra rằng
WEP không đủ khả năng bảo mật một cách toàn diện.
- Chỉ có chứng thực một chiều: Client chứng thực với AP mà không có chứng
thực tính hợp pháp của AP với Client
- WEP còn thiếu cơ chế cung cấp và quản lý mã khóa. Khi sử dụng khóa tĩnh,
nhiều người dụng khóa dùng chung trong một thời gian dài. Bằng máy tính xử lý
tốc độ cao hiện nay kẻ tấn công cũng có thể bắt những bản tin mã hóa này để giải
mã ra mã khóa mã hóa một cách đơn giản. Nếu giả sử một máy tính trong mạng
bị mất hoặc bị đánh cắp sẽ dẫn đến nguy cơ lộ khóa dùng chung đó mà các máy
khác cũng đang dùng. Hơn nữa, việc dùng chung khóa, thì nguy cơ lưu lượng
thông tin bị tấn công nghe trộm sẽ cao hơn.
- Vector khởi tạo IV, như đã phân tích ở trên, là một trường 24 bit kết hợp với
phần RC4 để tạo ra chuỗi khóa – key stream, được gửi đi ở dạng nguyên bản,
không được mã hóa. IV được thay đổi thường xuyên, IV có 24 bit thì chỉ có thể
có tối đa 224 = 16 triệu giá trị IV trong 1 chu kỳ, nhưng khi mạng có lưu lượng
lớn thì số lượng 16 triệu giá trị này sẽ quay vòng nhanh, khoảng thời gian thay
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
47
đổi ngắn, ngoài ra IV thường khởi tạo từ giá trị 0, mà muốn IV khởi tạo lại chỉ
cần thực hiện được việc reboot lại thiết bị. Hơn nữa chuẩn 802.11 không cần xác
định giá trị IV vẫn giữ nguyên hay đã thay đổi, và những Card mạng không dây
của cùng 1 hãng sản xuất có thể xẩy ra hiện tượng tạo ra các IV giống nhau, quá
trình thay đổi giống nhau. Kẻ tấn công có thể dựa vào đó mà tìm ra IV, rồi tìm ra
IV của tất cả các gói tin đi qua mà nghe trộm được, từ đó tìm ra chuỗi khóa và sẽ
giải mã được dữ liệu mã hóa.
- Chuẩn 802.11 sử dụng mã CRC để kiểm tra tính toàn vẹn của dữ liệu, như nêu
trên, WEP không mã hóa riêng giá trị CRC này mà chỉ mã hóa cùng phần
Payload, kẻ tấn công có thể bắt gói tin, sửa các giá trị CRC và nội dung của các
gói tin đó, gửi lại cho AP xem AP có chấp nhận không, bằng cách “dò” này kẻ
tấn công có thể tìm ra được nội dung của phần bản tin đi cùng mã CRC.
2.5. Giao thức bảo toàn dữ liệu với khoá theo thời gian TKIP
2.5.1. Bảo mật với TKIP
Để khắc phục các điểm yếu của WEP, người ta đưa ra TKIP ( Temporal key
Intergrity Protocol - giao thức bảo toàn dữ liệu với khoá theo thời gian).
TKIP có ba nhân tố chính để tăng cường mã hoá:
- Chức năng xáo trộn khoá mã từng gói.
- Chức năng tăng cường MIC ( Message Integrity Check - mã toàn vẹn bản tin )
gọi là Michael
- Các luật tăng cường sắp xếp các IV
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
48
Hình 17: Quá trình bảo mật dùng TKIP
Chức năng tăng cƣờng MIC
Thay cho việc sử dụng CRC-32 bit đơn giản, Michael yêu cầu các đầu vào: Khoá
MIC, địa chỉ nguồn, địa chỉ đích, bản rõ được xác thực. Đầu ra Michael dài 8
byte và được nối thêm vào trường dữ liệu. ( MIC sử dụng hàm bàn được thiết kế
bởi Neil Ferguson không tuyến tính, điều này gây khó khăn lớn cho kẻ tấn công
để có thể thay đổi một gói trong truyền dẫn ).
Chức năng xáo trộn mã khoá từng gói
Đầu tiên địa chỉ MAC của người gửi được XOR với TK để tạo khoá pha 1 ( khoá
trung gian ). Khoá pha 1 được trộn với một truỗi số để tạo khoá pha 2, khoá từng
gói.Đầu ra của khoá pha 2 được đưa tới bộ tạo WEP như là khoá mã WEP chuẩn
128 bit (IV + khoá bí mật chia sẻ, chứ không phải là 64 bit như ở WEP ). Không
để các Client sử dụng cùng mã khoá WEP mà thay đổi bởi khoá pha 1 và không
để xẩy ra tương quan giữa các IV ( trong trường hợp này là chuỗi số ) và khoá
mỗi gói ( khoá pha 2 ).
Temporal Key (128 bit)
Phase 1 Key Mixing
MIC Key
Sender’s MAC Address
Dest’s MAC Address
Plaintext MSG
Phase 2 Key Mixing
Trip Sequence Control
(Sequence Numbers)
128 bit “WEP Key”
(displayed as 24 bit IV
And 104 bit shared secret)
WEP Ciphertext
MIC
Plaintext MIC
Sender’s MAC Address
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
49
Trong WEP, IV tương quan với khoá mã bí mật và đưa một cách đơn giản
vảo RC4. Với TKIP pha 1 đảm bảo các Client có khoá trung gian khác nhau. Sau
đó pha 2 trộn khoá với chuỗi số trước khi đưa vào RC4. Tiến trình này rắc rối
hơn nhiều so với đơn giản đưa IV vào khoá mã bí mật rồi đưa vào RC4.
Các luật tăng cƣờng sắp xết các IV.
TKIP không còn gặp phải vấn đề sung đột IV của WEP bằng 2 luật đơn giản :
Trước tiên không gian IV được tăng từ 24 lên 48 bit. Tại tốc độ 54 Mbps điều
này có nghĩa là 1000 năm mới lặp lại một IV.
Và TKIP yêu cầu IV tăng từ 0 và rút ra khỏi chuỗi gói. Một không gian IV
rộng lớn có nghĩa là xung đột IV và các tấn công tương ứng không thể xẩy ra.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
50
IV. CHUẨN XÁC THỰC
1. Nguyên lý RADIUS Server
Việc chứng thực của 802.1x được thực hiện trên một server riêng, server này
sẽ quản lý các thông tin để xác thực người sử dụng như tên đăng nhập
(username), mật khẩu (password) vv.. Khi người dùng gửi yêu cầu chứng thực,
server này sẽ tra cứu dữ liệu để xem người dùng này có hợp lệ không, được cấp
quyền truy cập đến mức nào, vv.. Nguyên lý này được gọi là RADIUS (Remote
Authentication Dial-in User Service) Server - Máy chủ cung cấp dịch vụ chứng
thực người dùng từ xa. Phương thức này xuất hiện từ ban đầu với mục đích là
thực hiện qua đường điện thoại, ngày nay không chỉ thực hiện qua quay số mà
còn có thể thực hiện trên những đường truyền khác nhưng người ta vấn giữ tên
RADIUS.
Hình 18: Mô hình chứng thực sử dụng RADIUS Server
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
51
Các quá trình liên kết và xác thực được tiến hành như mô tả trong hình trên, và
thực hiện theo các bước sau:
RADIUS
Server
Client Laptop
Access
Point
1
2
3
4
5
6
7
Hình 19: Quá trình chứng thực RADIUS Server
1. Máy tính Client gửi yêu cầu kết nối đến AP
2. AP thu thập các yêu cầu của Client và gửi đến RADIUS server
3. RADIUS server gửi đến Client yêu cầu nhập user/password
4. Client gửi user/password đến RADIUS Server
5. RADIUS server kiểm tra user/password có đúng không, nếu đúng thì
RADIUS server sẽ gửi cho Client mã khóa chung
6. Đồng thời RADIUS server cũng gửi cho AP mã khóa này và đồng thời thông
báo với AP về quyền và phạm vi được phép truy cập của Client này
7. Client và AP thực hiện trao đổi thông tin với nhau theo mã khóa được cấp
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
52
Để nâng cao tính bảo mật, RADIUS Server sẽ tạo ra các khóa dùng chung
khác nhau cho các máy khác nhau trong các phiên làm việc (session) khác nhau,
thậm chí là còn có cơ chế thay đổi mã khóa đó thường xuyên theo định kỳ. Khái
niệm khóa dùng chung lúc này không phải để chỉ việc dùng chung của các máy
tính Client mà để chỉ việc dùng chung giữa Client và AP.
2. Phƣơng thức chứng thực mở rộng EAP
Để đảm bảo an toàn trong quá trình trao đổi bản tin chứng thực giữa Client
và AP không bị giải mã trộm, sửa đổi, người ta đưa ra EAP (Extensible
Authentication Protocol) - giao thức chứng thực mở rộng trên nền tảng của
802.1x.
Giao thức chứng thực mở rộng EAP là giao thức hỗ trợ, đảm bảo an ninh trong
khi trao đổi các bản tin chứng thực giữa các bên bằng các phương thức mã hóa
thông tin chứng thực. EAP có thể hỗ trợ, kết hợp với nhiều phương thức chứng
thực của các hãng khác nhau, các loại hình chứng thực khác nhau ví dụ ngoài
user/password như chứng thực bằng đặc điểm sinh học, bằng thẻ chip, thẻ từ,
bằng khóa công khai, vv...Kiến trúc EAP cơ bản được chỉ ra ở hình dưới đây, nó
được thiết kế để vận hành trên bất cứ lớp đường dẫn nào và dùng bất cứ các
phương pháp chứng thực nào.
Hình 20: Kiến trúc EAP cơ bản
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
53
2.1. Bản tin EAP
Một bản tin EAP được thể hiện ở hình trên. Các trường của bản tin EAP :
- Code: trường đầu tiên trong bản tin, là một byte dài và xác định loại bản
tin của EAP. Nó thường được dùng để thể hiện trường dữ liệu của bản tin.
- Identifier: là một byte dài. Nó bao gồm một số nguyên không dấu được
dùng để xác định các bản tin yêu cầu và trả lời. Khi truyền lại bản tin thì vẫn là
các số identifier đó, nhưng việc truyền mới thì dùng các số identifier mới.
- Length: có giá trị là 2 byte dài. Nó chính là chiều dài của toàn bộ bản tin
bao gồm các trường Code, Identifier, Length, và Data.
- Data: là trường cuối cùng có độ dài thay đổi. Phụ thuộc vào loại bản tin,
trường dữ liệu có thể là các byte không. Cách thể hiện của trường dữ liệu được
dựa trên giá trị của trường Code.
2.2. Các bản tin yêu cầu và trả lời EAP ( EAP Requests and Responses )
Trao đổi trong chứng thực mở rộng EAP bao gồm các bản tin yêu cầu và trả
lời. Nơi tiếp nhận chứng thực ( Authenticator ) gửi yêu cầu tới hệ thống tìm kiếm
truy cập, và dựa trên các bản tin trả lời , truy cập có thể được chấp nhận hoặc từ
chối. Bản tin yêu cầu và trả lời được minh họa ở hình dưới đây:
Hình 21: Cấu trúc khung của bản tin yêu cầu và trả lời
- Code: có giá trị là 1 nếu là bản tin yêu cầu và có giá trị là 2 nếu là bản tin
trả lời. Trường Data chứa dữ liệu được dùng trong các bản tin yêu cầu và trả lời.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
54
Mỗi trường Data mang một loại dữ liệu khác nhau, phân ra loại mã xác định và
sự liên kết dữ liệu như sau:
- Type: là một trường byte chỉ ra loại các bản tin yêu cầu hay trả lời. Chỉ có
một byte được dùng trong mỗi gói tin. Khi một bản tin yêu cầu không được chấp
nhận, nó có thể gửi một NAK để đề nghị thay đổi loại, có trên 4 loại chỉ ra các
phương pháp chứng thực.
- Type - Data: là trường có thể thay đổi để làm rõ hơn nguyên lý của từng
loại.
2.2.1. Loại code 1: Identity
Nơi tiếp nhận chứng thực thường dùng loại Identity như là yêu cầu thiết
lập. Sau đó, việc xác định người dùng là bước đầu tiên trong trong chứng thực.
Trường Type - Data có thể bao gồm chuỗi để nhắc người dùng, chiều dài của
chuỗi được tính từ trường Length trong chính gói EAP.
2.2.2. Loại code 2: Notification (Thông báo)
Nơi tiếp nhận chứng thực có thể dùng loại thông báo để gửi một bản tin tới
người dùng. Sau đó hệ thống của người dùng hiển thị bản tin đó. Bản tin thông
báo được dùng để cung cấp bản tin tới người dùng từ hệ thống chứng thực, như
là password về việc hết quyền sử dụng. Các bản tin đáp ứng phải được gửi để trả
lời các yêu cầu thông báo. Tuy nhiên, chúng thường là các phản hồi đơn giản, và
trường Type - Data có chiều dài là 0.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
55
2.2.3. Loại code 3: NAK
Các NAK được dùng để đưa ra một phương thức chứng thực mới. Nơi tiếp
nhận chứng thực đưa ra chuỗi mời kết nối, được mã hóa bởi một loại mã. Các
loại chứng thực được đánh số thứ tự trên 4. Nếu hệ thống người dùng không phù
hợp với loai chứng thực của chuỗi này, nó có thể đưa ra một NAK. Các bản tin
NAK của trường của trường Type – Data bao gồm một byte đơn tương ứng với
loại chứng thực.
2.2.4. Loại code 4: Chuỗi MD5 (MD5 Challenge)
MD5 Challenge thường được sử dụng trong EAP tương tự của giao thức
CHAP, được đưa ra trong RFC 1994. Đây là yêu cầu bảo mật cơ bản mà EAP sử
dụng gồm có Tên đăng nhập và mật khẩu. MD5 bảo vệ gói tin bằng cách tạo ra
những dấu hiệu đặc trưng riêng ( như chữ ký điện tử ) lưu trong gói tin đó. MD5
là một giao thức còn đơn giản, chạy nhanh, dễ bổ xung. Nó không sử dụng
chứng thực TKIP, mức độ mã hóa của nó còn chưa cao, có khả năng bị tấn công
kiểu thu hút.
2.2.5. Loại code 5: One - time password (OPT )
Hệ thống one - time password dùng bởi EAP được định nghĩa trong RFC
1938. Bản tin yêu cầu được đưa tới người dùng bao gồm chuỗi mời kết nối OPT.
Trong một bản tin đáp ứng OPT (loại 5), trường Type - Data gồm có các từ ở từ
điển OPT trong RFC 1938. Giống như tất cả các loại chứng thực, các bản tin trả
lời có thể là các NAK (loại 3).
2.2.6. Loại code 6: Đặc điểm thẻ Token (Generic Token Card )
Các thẻ Token như là SecureID của RSA và Safeword của Secure
Computing là phổ biến với nhiều nơi bởi vì chúng đưa ra sự bảo mật “ngẫu
nhiên” các one - time password mà không có một phức tạp nào của một OPT.
Các bản tin yêu cầu chứa đựng thông tin đặc điểm thẻ Token cần thiết cho chứng
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
56
thực. Trường Type- Data của yêu cầu phải có chiều dài lớn hơn 0 byte. Trong
các bản tin đáp ứng, trường Type - Data được dùng để mang thông tin được sao
chép từ thẻ Token bởi người dùng. Trong cả bản tin yêu cầu và trả lời, trường
chiều dài của gói EAP được tính là chiều dài bản tin yêu cầu của Type - Data.
2.2.7. Loại code 13: TLS
RFC đưa ra việc dùng Transport Layer Security (TLS) trong chứng thực.
TLS là phiên bản nâng cấp đã được triển khai một cách rộng rãi ở Secure Socket
Layer (SSL) và chứng thực TLS kế thừa một số đặc điểm từ SSL. TLS là một
phương thức mã hóa mạnh, nó chứng thực song phương có nghĩa là không chỉ
Server chứng thực Client mà Client cũng chứng thực lại Server, chống lại việc
nghe trộm, bắt gói tin. Nhược điểm của nó là yêu cầu chứng thực PKI ở cả 2 phía
làm cho quá trình chứng thực phức tạp, nó phù hợp với hệ thống nào đã có sẵn
chứng thực PKI.
2.2.8. Các loại mã khác
Đáng chú ý nhất là 2 khái niệm chứng thực Kerberos và chứng thực cell -
phone (thẻ SIM dựa trên các mạng thế hệ thứ 2 và AKA dựa trên các mạng thế
hệ thứ 3).
2.3. Các khung trong EAP
Khi các trao đổi EAP kết thúc, người dùng hoặc chứng thực thành công
hoặc không thành công. Khi nơi tiếp nhận chứng thực xác định việc trao đổi là
hoàn tất nó đưa ra khung thành công (Code 3) và không thành công (Code 4) để
kết thúc trao đổi EAP. Nó cho phép gửi nhiều bản tin yêu cầu trước khi chứng
thực không thành công để cho phép người dùng nhận được thông tin chứng thực
đúng.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
57
Hình 22: Cấu trúc các khung EAP thành công và không thành công
2.4. Chứng thực cổng
Chứng thực tới các thiết bị mạng ở lớp đường dẫn là không mới. Chứng
thực cổng mạng đã được biết đến từ trước. Hầu hết sự ra đời của nó đã có sự
phát triển cơ sở hạ tầng khá rộng để phù hợp chứng thực người dùng, như là
nguyên lý RADIUS servers, và LDAP directories.
Khái niệm Port: để chỉ việc đóng mở cổng tương ứng với việc chấp nhận
hay từ chối kết nối của Authenticator. Ngoài ra còn có thêm 1 port cho các tuyến
đi qua mà không liên quan đến quá trình chứng thực.
Hình 23: Cấu trúc cổng
2.5. Kiến trúc và thuật ngữ trong chứng thực EAP
Trong quá trình chứng thực sử dụng EAP, có 3 bên chính tham gia là :
- Máy Client/Máy xin chứng thực - Client/Supplicant: là các phần tử có nhu cầu
cần chứng thực để thiết lập kết nối
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
58
- Tiếp nhận chứng thực – Authenticator: là các phần tử trung gian tiếp nhận nhu
cầu chứng thực và trao đổi bản tin qua lại giữa Client và Server chứng thực.
Phương thức trao đổi giữa Authenticator và Client gọi là EAPOL (EAP Over
LAN) hoặc EAPOW (EAP Over Wireless).
- Server chứng thực - Authentication Server: phần tử xử lý các yêu cầu chứng
thực gửi đến, cấp phép hay từ chối. Nó không chỉ xử lý yêu cầu chứng thực của
Client mà còn có thể gửi đến Client yêu cầu chứng thực bản thân nó. Server
chứng thực có thể theo mô hình RADIUS Server hay Active Directory Server.
2.6. Dạng khung và cách đánh địa chỉ của EAPOL
2.6.1. Dạng khung
Dạng cơ bản của một khung EAPOL được đưa ra ở hình dưới đây:
Hình 24: Cấu trúc cơ bản của khung EAPOL
Bao gồm các trường sau:
- MAC header: gồm có địa chỉ đích và địa chỉ nguồn MAC
- Ethernet Type: gồm có 2 byte để đánh địa chỉ mã là 88 – 8e.
- Version: cho biết số thứ tự của phiên bản.
- Packet Type: EAPOL là một sự mở rộng của EAP. Bảng sau chỉ ra một số
loại bản tin và miêu tả về chúng:
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
59
Loại bản
tin
Tên Miêu tả
00000000 EAP - Packet Bao gồm một khung EAP. Phần lớn
các khung đều là EAP – Packet.
00000001 EAPOL - Start Thay cho việc đợi một chuỗi mời kết
nối từ Authenticator, Supplicant có thể
đưa một khung EAPOL – Start. Trong
bản tin trả lời, Authenticator gửi một
khung EAP – Request / Identity.
00000010 EAPOL – Logoff Khi một hệ thống hoàn tất việc sử dụng
mạng, nó có thể đưa ra một khung
EAPOL – Logoff để đưa cổng về trạng
thái tắt.
00000011 EAPOL – Key EAPOL có thể được dùng để trao đổi
thông tin khóa mã hóa.
- Packet Body Length: chiều dài là 2 byte. Nó được thiết lập là 0 khi không
có packet body nào tồn tại.
- Packet Body: trường này có chiều dài thay đổi được, có trong tất cả các
dạng khung EAPOL trừ bản tin EAPOL - Start và EAPOL - Logoff.
2.6.2. Đánh địa chỉ
Trong môi trường chia sẻ mạng LAN như là Ethernet, Supplicants gửi các
bản tin EAPOL tới nhóm địa chỉ 01:C2:00:00:03. Trong mạng 802.11, các cổng
là không tồn tại, và EAPOL có thể tiếp tục được chỉ sau khi quá trình liên kết
cho phép cả hai bên là Supplicant ( STA không dây di động ) và authenticator
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
60
( AP ) để trao đổi địa chỉ MAC. Trong môi trường như là 802.11, EAPOL yêu
cầu dùng địa chỉ STA.
2.7. Một ví dụ về trao đổi thông tin trong chứng thực EAP
Hình 25: Quá trình chứng thực EAP
Các bước trao đổi theo thứ tự như sau:
1. Supplicant gửi bản tin EAPOL - Start tới Authenticator.
2. Authenticator ( chuyển mạch mạng ) gửi lại một khung EAP - Request /
Identity tới Supplicant.
3. Supplicant trả lời bằng một khung EAP - Reponse / Identity. Sau đó
Authenticator gửi đến RADIUS server một bản tin Radius - Access - Request.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
61
4. RADIUS server trả lời bằng một bản tin Radius - Access - Challenge. Sau
đó Authenticator gửi đến Supplicant một bản tin EAP - Request cho sự chứng
thực hợp lệ chứa bất kỳ thông tin liên quan.
5. Supplicant tập hợp các thông tin trả lời từ người dùng và gửi một EAP
(Reponse tới Authenticator). Tại đây thông tin xử lý thành bản tin Radius Access
Request và được gửi tới RADIUS.
6. RADIUS server gửi một bản tin Radius Access Accept cho phép truy cập.
Vì vậy, Authenticator gửi một khung EAP Success tới Supplicant. Khi đó cổng
được mở và người dùng có thể bắt đầu truy cập vào mạng.
7. Khi Supplicant hoàn tất việc truy cập mạng, nó gửi một bản tin EAPOL -
Logoff để đóng cổng.
Tóm lại về nguyên lý 3 bên thì cũng giống như nguyên lý 3 bên chứng thực đã
đề cập ở phần giới thiệu RADIUS server, chỉ có điều khác là các hoạt động trao
đổi bản tin qua lại đều thông qua EAP để đảm bảo an ninh.
Từ các cơ sở lý thuyết nêu trên đã được các nhà sản suất thiết bị đưa vào ứng
dụng để xây dựng lên các hệ thống mạng không dây có độ an toàn và bảo mật dữ
liệu cao, đáp ứng được nhu cầu phát triển mạnh mẽ của công nghệ mạng không
dây. Trên thực tế các hệ thống mạng không dây phát triển rất nhiều trong các
doanh nghiệp, các văn phòng hay các trường đại học. Trong đó trường đại học
kỹ thuật công nghiệp thái nguyên là một trong những trường đầu tiên triển khai
một hệ thống mạng không dây lớn thực hiện việc cung cấp và chia sẻ các tài
nguyên quan trọng của nhà trường với sinh viên. Chính vì vậy nhu cầu bảo mật
thông tin và an toàn hệ thống mạng không dây của nhà trường được đặt lên hàng
đầu. Việc ứng dụng các cơ sở lý thuyết về bảo mật cho hệ thống sẽ được hiện
thực hoá trong chương tiếp theo của luận văn này.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
62
CHƢƠNG III
ỨNG DỤNG THỰC TẾ MẠNG KHÔNG DÂY TẠI
TRƢỜNG ĐHKTCN THÁI NGUYÊN.
Trong chương I và II chúng ta đã đi sâu tìm hiểu về cơ sở lý thuyết cũng như
các cơ chế, các nguyên tắc và một số vấn đề bảo mật thông tin trong hệ thống
mạng không dây nói chung và trong WLAN nói riêng. Trong chương này sẽ
trình bầy cụ thể ứng dụng vào thực tế các lý thuyết về bảo mật đó trong việc xây
dựng hệ thống mạng không dây tại trường Đại học Kỹ thuật Công nghiệp Thái
Nguyên.
I. MÔ HÌNH MẠNG KHÔNG DÂY TRONG TRƢỜNG ĐHKTCN
Nguyên tắc thiết kế
Hệ thống mạng không dây được xây dựng tại trường Đại học kỹ thuật công
nghiệp Thái Nguyên để đáp ứng các nhu cầu sau:
- Đảm bảo truy cập không dây cho các thiết bị di động hỗ trợ.
- Đảm bảo cung cấp được khả năng truy cập tại các khu vực làm việc chính (tòa
nhà trung tâm, tòa nhà thư viện, tòa nhà làm việc các khoa, tòa nhà A5, hội
trường) và một số khu vực khuôn viên bên ngoài các tòa nhà trên.
- Cung cấp các thông tin, tài nguyên, các giao tiếp giữa sinh viên với nhà trường
như kế hoạch thời khoá biểu, lịch thi, thông tin về điểm học tập thông qua cổng
thông tin điện tử của nhà trường như Website.
- Đảm bảo việc truy cập vào hệ thống Server của trường để đăng ký môn học của
sinh viên trong toàn trường.
- Phải có khả năng cung cấp dịch vụ Roaming (Người dùng mạng không dây có
thể di truyển qua nhiều vùng phủ sóng của các Access Point khác nhau mà
không bị ngắt quãng truy cập).
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
63
- Đảm báo cung cấp các tính năng bảo mật phù hợp tin cậy để đảm bảo an toàn
thông tin cho toàn bộ hệ thống cơ sở dữ liệu quan trọng của trường.
1. Mô hình logic và sơ đồ phủ sóng vật lý tổng thể tại trƣờng
1.1. Mô hình thiết kế logic
Giải pháp bao gồm các Access point đặt tại các tòa nhà được liên kết với
nhau dựa trên hệ thống mạng có dây tại trường. Các Access Point được quản lý
tập trung nhờ thiết bị WLAN controller đồng thời cung cấp dịch vụ roaming (kết
nối liên tục trong khi di chuyển) và các dịch vụ bảo mật, chứng thực.
Hình 26: Mô hình logic mạng không dây tại trƣờng
Các thiết bị có hỗ trợ kết nối không dây sẽ kết nối tới AP trong vùng phủ
sóng, toàn bộ quá trình kết nối và các hoạt động truy cập của thiết bị sẽ được ghi
lại tại file log của WLAN controller nhằm kiểm soát các hoạt động truy cập bất
hợp pháp.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
64
1.2. Sơ đồ phủ sóng vật lý tổng thể tại trƣờng
Dựa trên quá trình khảo sát thực tế tại trường và việc tính toán chi tiết, đảm
bảo khả năng tối ưu các vùng mà AP phủ sóng tới. Mặt khác không gian phủ
sóng phải liên kết một cách khoa học không rời rạc đảm bảo các yêu cầu về tín
hiệu đường truyền. Từ đó chúng tôi đưa ra mô hình phủ sóng của toàn bộ hệ
thống mạng không dây như sau:
Hình 27: Mô hình phủ sóng tại trƣờng
Trong mô hình trên ta thấy rằng việc phủ sóng tại các khu vực nhà làm việc
và một số vùng khuôn viên của nhà trường được thực hiện như sau: Trong không
gian tại các khu nhà làm việc các AP phát sóng indor theo dạng hình cầu bao phủ
toàn bộ không gian làm việc của toà nhà. Dựa vào các thiết bị đo tín hiệu sao cho
các điểm chết là ít nhất (điểm mà tại đó tín hiệu sóng wifi là ít nhất hoặc không
có ). Các AP sử dụng ăng ten loại yagi để phát sóng outdor theo nửa hình bán
cầu ra khu vực khuôn viên của trường theo đúng thiết kế.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
65
2. Thiết kế chi tiết của hệ thống
2.1. Mô hình thiết kế chi tiết hệ thống mạng không dây
Với phương án thiết kế, căn cứ trên các tiêu chí về ưu nhược điểm của từng
phương án và hệ thống mạng hữu tuyến có dây sẵn có, mô hình thiết kế vật lý
chi tiết hệ thống mạng không dây tại trường Đại học Kỹ thuật Công nghiệp Thái
Nguyên như sau:
Outside Core Distribution Access
Cisco 4506
Internet
Tòa nhà TT
Tòa nhà TV
Tòa nhà TH/
Giao vien
Tòa nhà
A5,Hội
trường
WLAN controller/
IPS/AAA
Semi
antenna
Semi
antenna
Semi
antenna
Semi
antenna
Load balancer
A
D
S
L
A
D
S
LL
e
a
se
d
li
n
e
Hình 28: Sơ đồ phân bố các Access point
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
66
2.2. Thiết bị sử dụng trong hệ thống mạng không dây
Thiết bị sử dụng trong hệ thống bao gồm các Access
Point (AP) 1242 series của Cisco, mỗi AP sẽ được trang bị 1
antenna ngoài để hỗ trợ phủ sóng outdor ra bên ngoài khuôn
viên.
Thiết bị này hỗ trợ các cơ chế bảo mật mới nhất nhƣ:
- Authentication Security Standards
- WPA
- WPA2 (802.11i)
- Cisco TKIP
- Cisco message integrity check (MIC)
- IEEE 802.11 WEP keys of 40 bits and 128 bits
- 802.1X EAP types:
- EAP-Flexible Authentication via Secure Tunneling (EAP-FAST)
- Protected EAP-Generic Token Card (PEAP-GTC)
- PEAP-Microsoft Challenge Authentication Protocol Version 2 (PEAP-MSCHAP)
- EAP-Transport Layer Security (EAP-TLS)
- EAP-Tunneled TLS (EAP-TTLS)
- EAP-Subscriber Identity Module (EAP-SIM)
- Cisco LEAP
- Encryption
- AES-CCMP encryption (WPA2)
- TKIP (WPA)
- Cisco TKIP
- WPA TKIP
- IEEE 802.11 WEP keys of 40 bits and 128 bits
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
67
Một thiết bị hết sức quan trọng đi cùng với các AP là WLC-4402 (Cisco
wireless control system) để cung cấp các chức năng cho hệ thống không dây.
Cisco wireless LAN controller cung cấp khả năng quản trị mạng tập trung không
dây theo cách hĩu hình và các tính năng điều khiển cần thiết một cách hiệu quả
và bảo mật.
Một số tính năng nhƣ sau:
- Khả năng kiểm tra chính sách bảo mật của WLAN.
- Khả năng quản lý tập chung tường minh về môi trường sóng.
- Hoạt động với tốc độ cao nhờ khả năng hội tụ tin cậy và băng thông được tối
ưu.
- Các tính năng di động cung cấp khả năng truy cập liên tục cho người dùng di
chuyển.
- Khả năng mở rộng linh hoạch phù hợp với yêu cầu của khách hàng từ nhỏ đến
lớn.
- Bảo vệ đầu tư, Tiết kiệm chi phí vận hành nhờ mô hình và phương thức triển
khai đơn giản, dễ vận hành.
Các đặc tính về kỹ thuật:
Item Specification
Wireless IEEE 802.11a, 802.11b, 802.11g, 802.11d, 802.11h,
802.11n
Wired/Switching/Routing IEEE 802.3 10BASE-T, IEEE 802.3u 100BASE-TX
specification, IEEE 802.1Q VLAN tagging, and IEEE
802.1D Spanning Tree Protocol
Data Request For
Comments (RFC)
• RFC 768 UDP
• RFC 791 IP
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
68
• RFC 792 ICMP
• RFC 793 TCP
• RFC 826 ARP
• RFC 1122 Requirements for Internet Hosts
• RFC 1519 CIDR
• RFC 1542 BOOTP
• RFC 2131 DHCP
Security Standards • WPA
• IEEE 802.11i (WPA2, RSN)
• RFC 1321 MD5 Message-Digest Algorithm
• RFC 1851 The ESP Triple DES Transform
• RFC 2104 HMAC: Keyed Hashing for Message
Authentication
• RFC 2246 TLS Protocol Version 1.0
• RFC 2401 Security Architecture for the Internet
Protocol
• RFC 2403 HMAC-MD5-96 within ESP and AH
• RFC 2404 HMAC-SHA-1-96 within ESP and AH
• RFC 2405 ESP DES-CBC Cipher Algorithm with
Explicit IV
• RFC 2406 IPsec
• RFC 2407 Interpretation for ISAKMP
• RFC 2408 ISAKMP
• RFC 2409 IKE
• RFC 2451 ESP CBC-Mode Cipher Algorithms
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
69
• RFC 3280 Internet X.509 PKI Certificate and CRL
Profile
• RFC 3602 The AES-CBC Cipher Algorithm and Its
Use with IPsec
• RFC 3686 Using AES Counter Mode with IPsec
ESP
Encryption • WEP and TKIP-MIC: RC4 40, 104 and 128 bits
(both static and shared keys)
• SSL and TLS: RC4 128-bit and RSA 1024- and
2048-bit
• AES: CCM, CCMP
• IPSec: DES-CBC, 3DES, AES-CBC
Authentication,
Authorization, and
Accounting (AAA)
• IEEE 802.1X
• RFC 2548 Microsoft Vendor-Specific RADIUS
Attributes
• RFC 2716 PPP EAP-TLS
• RFC 2865 RADIUS Authentication
• RFC 2866 RADIUS Accounting
• RFC 2867 RADIUS Tunnel Accounting
• RFC 2869 RADIUS Extensions
• RFC 3576 Dynamic Authorization Extensions to
RADIUS
• RFC 3579 RADIUS Support for EAP
• RFC 3580 IEEE 802.1X RADIUS Guidelines
• RFC 3748 Extensible Authentication Protocol
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
70
• Web-based authentication
Management Interfaces • Web-based: HTTP/HTTPS
• Command-line interface: Telnet, SSH, serial port
Một số tính năng bảo mật đƣợc tích hợp sẵn trên WLAN Controller:
- Tính năng IDS:
Bảo mật là mối quan tâm lớn của người quản trị hệ thống, và bảo mật cho hệ
thống không dây là mối quan tâm lớn của một chuyên gia bảo mật. Cisco
lightweight access point và WLAN controller đồng thời đóng vai trò là thiết bị
cung cấp truy cập không dây và cảm biến IDS (hệ thống phát hiện xâm nhập).
Điều này được thực hiện nhờ kiến trúc split-MAC duy nhất của LWAPP. Split-
MAC của LWAPP cho phép quét các kênh mà không làm dán đoạn đến dịch vụ
dữ liệu. Access point và Controller có một thư viện khổng lồ về các dấu hiệu của
sự tấn công. Ngoài ra, với chứng nhận X.509 giúp hệ thống có thể phát hiện các
Access point chưa được chứng thực đang giả dạng access point đã được chứng
thực trong hệ thống.
Mạng không dây hợp nhất của Cisco cũng giảm bớt các mối đe dọa từ các access
point không hợp pháp bằng cách sử dụng công cụ ngăn chặn rất mạnh, bằng cách
đảm bảo cho máy trạm không thể tương tác được với các access point giả mạo.
- RADIUS:
Là một giao thức loại client/server cung cấp bảo mật tập chung, cung cấp
dịch vụ chứng thực và quản lý.
RADIUS được tích hợp trong wireless controller cung cấp dịch vụ chứng thực
người dùng khi người dùng muốn login vào hệ thống và ghi lại các hoạt động
của người dùng sau khi đã đăng nhập
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
71
- TACACS+:
Cũng giống như RADIUS tuy nhiên thay vì chỉ hỗ trợ chứng thực và bị giới
hạn trong việc phân quyền thì TACACS có khả năng cung cấp được các dịch vụ
sau:
Authentication: Dịch vụ xác định người dùng khi người dùng truy cập vào hệ
thống
Authorization: Xác định quyền hạn mà người dùng được phép trong cấp độ truy
cập của người dùng.
Accounting: Là quá trình theo dõi các hoạt động và thay đổi của người dùng
- Cấu hình cho người dùng mạng cục bộ:
Là cơ sở dữ liệu về người dụng cục bộ trên controller. Cơ sở dữ liệu về người
dùng nội bộ lưu trữ các thông tin định danh (username và password) của tất cả
người dùng cục bộ, sau đó những thông tin này sẽ được dùng để chứng thực
người dùng.
- LDAP :
Tương tự như RADIUS hoặc cơ sở dữ liệu người dùng cục bộ, Cơ sở dữ liệu
LDAP cho phép lưu trữ các thông tin định danh (username/password) của người
dùng. Các thông tin này sẽ được dùng để xác thực người dùng. Ví dụ, EAP cục
bộ có thể dùng LDAP để xác định username và password của người dùng.
- Local EAP:
EAP cục bộ là phương thức cho phép người dùng và các thiết bị không dây
có thể được chứng thực một cách cục bộ. Được thiết kế để cho các văn phòng từ
xa muốn duy trì kết nối không dây khi hệ thống chứng thực không hoạt động
hoặc các hệ thống backend bị gián đoạn hoạt động.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
72
2.3. Phân bổ thiết bị sử dụng trong hệ thống
Tại mạng trung tâm ở nhà điều hành:
- Sử dụng 3 thiết bị AP1242 của cisco để phủ sóng wifi toàn bộ toà nhà hiệu
bộ + 1 patch antenna để hỗ trợ phủ sóng xung quanh toà nhà điều hành. Thiết bị
WLC-4402 (Cisco wireless control system) được đặt tại phòng máy chủ để quản
lý tập trung các AP trong hệ thống.
Tại các tòa nhà khác:
- Sử dụng các AP1242 được trang bị 2 antenna ngoài phủ sóng đảm bảo phủ
sóng tốt hơn. Tổng cộng sẽ có 10 AP được phân bổ như sau:
- 03 AP đặt tại khu thí nghiệm và nhà làm việc các khoa.
- 02 AP đặt tại thư viện điện tử.
- 02 AP đặt tại A5.
Sự phân bổ này dựa trên các tính toán thiết kế tối ưu về tầm phủ sóng và nhu cầu
đặt ra tại trường Đại học Kỹ thuật Công nghiệp Thái Nguyên.
II. GIẢI PHÁP BẢO MẬT TRONG MẠNG KHÔNG DÂY TẠI ĐHKTCN
Trong mỗi một hệ thống thông tin nói chung thì một vấn đề vô cùng quan
trọng và cần thiết đó chính là vấn đề bảo mật các thông tin chứa đựng trong hệ
thống đó. Hệ thống mạng không dây tại trường đại học kỹ thuật công nghiệp với
quy mô không nhỏ, việc trao đổi các thông tin liên quan giữu nhà trường và sinh
viên là rất lớn hơn nữa các thông tin lại vô cùng quan trọng yêu cầu đặc biệt đặt
ra là sự an toàn và bảo mật của các thông tin đó chống sủa chữa, thay đổi hay
đánh cắp thông tin trên đường truyền. Từ thực tế này các giải pháp bảo mật đã
được ứng dụng trong hệ thồng nhằm thực hiện các yêu cầu quan trọng nêu trên.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
73
1. Yêu cầu bảo vệ thông tin
Để làm nổi bật rõ các yêu cầu bảo vệ thông tin tại trường chúng ta cần phân
tích nguyên nhân của sự mất an toàn thông tin.
Ngày nay, Internet, một kho tàng thông tin khổng lồ, phục vụ hữu hiệu trong học
tập và nghiên cứu, đã trở thành một phương tiện thuận lợi không thể thiếu trong
việc trao đổ thông tin. Chính những điều quan trọng này đã trở thành đối tượng
cho nhiều người tấn công với các mục đích khác nhau. Cùng với sự phát triển
không ngừng của Internet và các dịch vụ trên Internet, số lượng các vụ tấn công
trên Internet cũng tăng theo cấp số nhân. Trong khi các phương tiện thông tin
đại chúng ngày càng nhắc nhiều đến Internet với những khả năng truy nhập
thông tin dường như đến vô tận của nó, thì các tài liệu chuyên môn bắt đầu đề
cập nhiều đến vấn đề bảo đảm an ninh và an toàn dữ liệu cho các máy tính được
kết nối vào mạng Internet.
Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương
pháp tấn công cũng liên tục được hoàn thiện. Nhu cầu bảo vệ thông tin của
trường Đại học Kỹ thuật Công nghiệp được chia thành ba loại gồm: Bảo vệ dữ
liệu; Bảo vệ các tài nguyên sử dụng trên mạng và Bảo vệ danh tiếng của cơ
quan:
- Bảo vệ dữ liệu:
Đây là vấn đề đặc biệt quan trọng, toàn bộ cơ sở dữ liệu về quản lý đào tạo của
nhà trường được lưu và thao tác tại các máy Server của trường. Bao gồm các dữ
liệu như điểm của sinh viên, kế hoạch học tập, các thông tin về học phí...
Các dữ liệu này phải tuyệt đối an toàn đảm bảo không bị đánh cắp hoặc sửa chữa
thông tin.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
74
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an
toàn thông tin có thể đến từ nhiều nơi theo nhiều cách khác nhau vì vậy nhà
trường đã đưa ra các chính sách và phương pháp đề phòng cần thiết. Mục đích
cuối cùng của an toàn bảo mật là bảo vệ các giá trị thông tin và tài nguyên theo
các yêu cầu sau:
Tính tin cậy: Đảm bảo sự chính xác các thông tin của sinh viên trong hệ thống.
Đồng thời các thông tin đó không thể bị truy nhập trái phép bởi những người
không có thẩm quyền.
Tính nguyên vẹn: Thông tin không thể bị sửa đổi, bị làm giả bởi những người
không có thẩm quyền.
Tính sẵn sàng: Thông tin luôn sẵn sàng để đáp ứng sử dụng cho người có thẩm
quyền khi có yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết
Tính không thể từ chối: Thông tin được cam kết về mặt pháp luật của nhà trường
cung cấp.
Trong các yêu cầu này, yêu cầu về bảo mật được coi là yêu cầu số 1 đối với
thông tin lưu trữ trong hệ thống.
- Bảo vệ các tài nguyên sử dụng trên mạng:
Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã làm
chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục
đích của mình như cài đặt các chương trình chạy ẩn để dò mật khẩu người sử
dụng, ứng dụng các liên kết mạng sẵn có để lấy cắp các thông tin cần thiết hoặc
tiếp tục tấn công các hệ thống khác vv...
- Bảo vệ danh tiếng cơ quan:
Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một
trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là gây sự
hoang mang không tin tưởng vào các thông tin mà nhà trường cung cấp. Trong
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
75
trường hợp bị tấn công gây mất an toàn về dữ liệu thì tổn thất về uy tín là rất lớn
và có thể để lại hậu quả lâu dài.
2. Các bƣớc thực thi an toàn bảo mật cho hệ thống
Phần này trình bày các bước thực thi an toàn bảo mật và các biện pháp nhằm
tăng cường tính an toàn, bảo mật cho hệ thống mạng không dây tại trường theo
các mức khác nhau. Để có được các chính sách bảo mật đem lại hiệu quả cao,
cần xác định rõ các nhân tố tối thiểu về an toàn bảo mật cho hệ thống mạng của
trường cùng với các kiến thức quản trị và kỹ năng để thực hiện các hoạt động
tăng cường an toàn bảo mật.
- Các hoạt động bảo mật ở mức một
Ở mức một, người thực thi bảo mật, quản trị hệ thống & mạng thực hiện làm
cho môi trường mạng, máy tính ít bị lỗ hổng bảo mật hơn vì đã được sửa lỗi
bằng các bản sửa lỗi hoặc bằng các biện pháp kỹ thuật. Thực hiện các cảnh báo
ngay lập tức (trực tuyến) để nhắc nhở, thông báo mỗi người dùng trong mạng các
quy tắc sử dụng mỗi khi truy nhập vào hệ thống mạng của trường. Xây dựng một
mạng lưới bảo vệ, lọc, phát hiện và tiêu diệt virus, Spyware, Troyjan - trên tất
các các máy trạm, máy chủ, và các cổng kết nối mạng (gateway). Đảm bảo cập
nhật thường xuyên các phần mềm diệt virus.
Đảm bảo rằng hệ thống sao lưu dữ liệu hoạt động định kỳ, các tập tin có thể
được khôi phục từ các bản sao lưu định kỳ đó, người quản trị hệ thống có đủ
kiến thức cập nhật cần thiết để thực hiện sao lưu trên tất cả các hệ thống ngay lập
tức trong trường hợp bị tấn công. Nếu không có dữ liệu được sao lưu tốt, một
vấn đề nhỏ trong an toàn bảo mật có thể trở thành thảm họa.
Cho phép ghi nhật ký các sự kiện, hoạt động của người dùng khi đăng nhập
vào hệ thống. Hệ thống nếu không có cơ chế ghi nhật thì nó gây khó khăn cho
việc phát hiện và khắc phục các vụ tấn công.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
76
Thực thi xác thực hệ thống, kiểm tra (audit) để kiểm soát người sử dụng hệ
thống. Chống lại kẻ tấn công giả danh người sử dụng đăng nhập vào hệ thống và
chiếm quyền điều khiển hệ thống.
- Các hoạt động bảo mật ở mức hai
Các hoạt động an toàn bảo mật mức hai tập trung nhiều hơn vào việc xây
dựng các chính sách truy nhập cụ thể của người dùng, cho phép hoặc không cho
phép truy cập vào các tài nguyên mạng khác nhau trong hệ thống. Đưa ra các yêu
cầu cụ thể đối với người dùng như việc đăng ký các thông tin cá nhân, đăng ký
địa chỉ MAC của thiết bị truy cập, xây dựng cơ sở dữ liệu về tài khoản truy cập
để xác thực mỗi khi đăng nhậnp hệ thống. Các hoạt động an toàn bảo mật mức
hai cũng tập trung vào các hiểm họa bắt nguồn từ bên trong nội bộ và có chính
sách giám sát các Server chứa thông tin quan trọng, hỗ trợ các chức năng nhiệm
vụ quan trọng.
Trong hệ thống mạng không dây của nhà trường đã xây dựng một Server Proxy
có cài đặt phần mềm chuyên dụng cho phép phát hiện truy nhập của người dùng
được phép hoặc trái phép, lưu và phân tích kết quả truy nhập đó.
- Các hoạt động bảo mật ở mức ba
Hoạt động ở mức này sử dụng chức năng quản lý cấu hình đối với hệ thống
mạng không dây của trường. Như đã trình bầy ở phần trên, các thiết bị sử dụng
trong hệ thống như AP1242, WLC-4402 (Cisco wireless control system) được
tích hợp sẵn một số chức năng bảo mật mạnh bao gồm bảo mật về phần cứng
như các chức năng FireWall, bảo mật về dữ liệu như sử dụng các cơ chế bảo mật
như WPA, WPA2, EAP. Ngoài ra thiết bị còn tích hợp các tính bảo mật khác
như IDS (hệ thống phát hiện xâm nhập), RADIUS (chứng thực người dùng),
TACACS+...
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
77
Thiết bị WLC-4402 (Cisco wireless control system) được cấu hình để quản
lý tất cả các AP trong hệ thống, nó cũng giám sát tất cả các hoạt động của người
dùng khi truy cập vào bất kỳ AP nào mà nó quản lý đồng thời cho phép ghi lại
các hoạt động đó vào file log của thiết bị. Cho phét thiết lập các chính sách
người dùng trong đó như cấp quyền truy cập, xác thực username và password,
giới hạn các quyền truy cập vào hệ thống, giớ hạn băng thông...
III. CHƢƠNG TRÌNH THỰC TẾ ĐÃ XÂY DỰNG
Với cơ sở nền tảng lý thuyết về bảo mật hệ thống mạng không dây như đã
nghiên cứu ở trên, đồng thời nhiều vấn đề trong bảo mật đã đựơc phân tích, đánh
giá một cách cụ thể, từ đó em đã đưa ra được những ưu điểm hay những hạn chế
trong vấn đề bảo mật cho mạng không dây. Từ những kiến thức đã học được, em
được nhà trường tin tưởng giao cho việc xây dựng hệ thống mạng không dây tại
trường Đại học Kỹ thuật Công Nghiệp. Đồng thời áp dụng các phương pháp bảo
mật đã nghiên cứu cho hệ thống nhằm đảm bảo sự an toàn về thông tin và cơ sở
dữ liệu quan trọng của nhà trường. Qua một thời gian tìm tòi nghiên cứu em đã
xây dựng xong hệ thống truy cập mạng không dây của nhà trường bao gồm các
chính sách và áp dụng các phương pháp bảo mật cho hệ thống. Sau đây là một số
hình ảnh về chương trình thực tế đã xây dựng hệ thống mạng không dây tại
trường và áp dụng các công cụ, chính sách bảo mật cho hệ thống.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
78
1. Điều khiển các AP thông qua Wireless controler
Các AP được quản lý tập chung bởi thiết bị WLC-4402 (Cisco wireless
control system).
Hình 29: Giao diện quản trị của WLAN Controler 4420
Hình 30: Hệ thống 10 AP đƣợc quản lý
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
79
Các mức độ truy cập của hệ thống có giới hạn về băng thông và quyền truy cập
các tài nguyên trong mạng:
Hình 31: Các mức truy cập của hệ thống
2. Chính sách và công cụ bảo mật áp dụng cho hệ thống
Các chính sách truy cập của GUEST_ACL và USERS_GV_ACL được tạo ra
nhằm quản lý quyền truy cập và chia sẻ tài nguyên của người dùng.
Hình 32: Các chính sách truy cập của USERS_GV_ACL
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
80
Hình 33: Các chính sách truy cập của GUEST_ACL
Hình 34: Bảo mật lớp 2 của WLAN SSID: Quan tri mang dhktcn
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
81
Hình 35: Bảo mật lớp 3 của WLAN SSID: Quan tri mang dhktcn
Hình 36: Bảo mật của WLAN SSID: Sinh vien dhktcn va Khach
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
82
Hình 37: Bảo mật của WLAN SSID: Can bo va Giang vien dhktcn
Hình 38: Tạo ra các users chứng thực Web Authentication
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
83
Hình 39: Cấu hình chức năng bảo mật Web Authentication
Hình 40: Đăng nhập trong chính sách Web Authentication
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
84
Hình 41: Bảng MAC Adress Table để chứng thực và quản lý
IV. ĐÁNH GIÁ KẾT QUẢ
Hệ thống mạng không dây được xây dựng tại trường Đại học Kỹ thuật Công
nghiệp Thái Nguyên không phải là một hệ thống có quy mô lớn. Tuy nhiên việc
bảo đảm an toàn và bảo mật các thông tin là vô cùng quan trọng. Nếu dữ liệu bị
đánh cắp hoặc có thể bị sửa đổi thì sẽ gây ra hậu quả nghiêm trọng ảnh hưởng tới
quá trình quản lý và uy tín của nhà trường. Chính vì vậy mà yêu cầu bảo mật cho
hệ thống được đặt lên hàng đầu. Với việc thiết kế và xây dựng hoàn chỉnh, hiện
nay hệ thống mạng này đang hoạt động rất ổn định, các kết quả kiểm tra về khả
năng bảo mật thông tin cho thấy sự an toàn của hệ thống và sự bảo mật này vẫn
sẽ đã đáp ứng được nhu cầu hiện tại và tương lai của nhà trường. Điều này góp
phần quan trọng cho sự phát triển lâu dài của trường cũng như đã đáp ứng được
nhu cầu trao đổi thông tin, chia sẻ tài nguyên nhanh chóng thuận tiện an toàn.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
85
Trong tương lai hệ thống cần được trang bị các công cụ và các biện phát bảo mật
mạnh hơn nữa vì công nghệ càng phát triển thì các cuộc tấn công vào hệ thống
càng tinh vi và nguy hiểm hơn, có tầm ảnh hưởng lớn hơn, gây hậu quả nghiêm
trọng.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
86
KẾT LUẬN
Vấn đề bảo mật cho hệ thống mạng không dây luôn là một vấn đề hết sức
khó khăn và được đặt ở vị trí rất quan trọng trong hầu hết các bản thiết kế mạng,
tuy nhiên, để có thể có được một giải pháp hoàn hảo cho mọi tình huống là một
điều gần như rất khó. Chính vì vậy, khi thiết kế hệ thống mạng, chúng ta phải
dựa trên cơ sở, yêu cầu thực tế của hệ thống, cân nhắc giữa các lợi hại của các
phương pháp để đưa ra các chính sách bảo mật hợp lý nhất. Trong thực tế xây
dựng hệ thống mạng không dây cho nhà trường đều có sự tham gia của các thành
phần khác nhau và có những yêu cầu bảo mật khác nhau. Phân tích kỹ lưỡng các
điều này giúp ta quyết định biện pháp nào là phù hợp nhất với hệ thống.
Với mong muốn giúp các nhà quản trị mạng có thể xây dựng các giải pháp
bảo mật tốt hơn cho hệ thống mạng không dây, trong sự phát triển mạnh mẽ của
công nghệ không dây hiện nay và trong tương lai, đề tài "Một số vấn đề an ninh
trong mạng máy tính không dây" của em đã nghiên cứu được một số vấn đề sau:
- Tìm hiểu tổng quan về hệ thống mạng không dây, các giao thức, cách truyền
dẫn dữ liệu, khả năng chống nhiễu, dải tần, cũng như một số vấn đề về kỹ thuật
của hệ thống mạng không dây.
- Trình bày được các đặc điểm về mạng không dây, và một số các điểm yếu
trong bảo mật cũng như các hệ thống bảo mật sẵn có của hệ thống mạng không
dây.
- Tìm hiểu một số các phương pháp tấn công cơ bản trong hệ thống mạng không
dây. Từ đó xây dựng các giải pháp phù hợp cho hệ thống.
- Nghiên cứu một số phương pháp đã được sử dụng để cải thiện tính bảo mật của
hệ thống mạng không dây, đề xuất sử dụng các phương pháp trong việc thiết kế
hệ thống mạng.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
87
- Đã ứng dụng thực tế vấn đề bảo mật trong hệ thống mạng không dây tại trường
Đại học Kỹ Thuật Công nghiệp Thái Nguyên, đã đem lại kết quả tốt.
Trong khuôn khổ của luận văn, việc nghiên cứu mới chỉ dừng lại ở mức phân
tích và đưa ra một số các nhận xét về các biện pháp và công cụ bảo mật đã có
cũng như các phương thức bảo mật đang được phát triển và sử dụng với hệ thống
mạng không dây. Nhằm cung cấp thêm cho người quản trị mạng có cái nhìn tổng
quan hơn về các công nghệ hiện hành và khả năng bảo mật thật sự của hệ thống
mạng không dây, từ đó ra quyết định lựa chọn phương án bảo mật cho hệ thống
của mình.
Tuy nhiên do thời gian có hạn và còn nhiều hạn chế về kiến thức nên trong
quá trình thực hiện luận văn, không tránh khỏi có những sai sót. Em mong rằng
sẽ nhận được những ý kiến đóng góp của thầy cô và các bạn để luận văn sẽ có
thể hoàn thiện hơn, có ích hơn trong thực tế.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
88
TÀI LIỆU THAM KHẢO
1. Andrew Tanenbaum Prentice Hall (4th Ed 2003), Computer Networks
Problem Solutions.
2. Chris Hurley, Michael Puchol, Russ Rogers, Frank Thornton (2004),
Wardriving: Drive, Detect, Defend. A Guide to Wireless Security, Syngress
Publishing, New York, US.
3. Gilbert Held (2003), Security wireless LANs, Wiley Publishing, US.
4. Hossam Afifi, Djamal Zeghlache (2003), Application & Services in
Wireless Networks, Kogan Page, UK.
5. Jahanzeb Khan (2003), Building Secure Wireless Networks with 802.11,
Wiley Publishing, US.
6. Merriu Maxim David Po11ino (2002), Wrireless Security, Mcgram-
Hi11, United States of America.
7. Rob Flickenger (2003), Building Wireless Community Networks, Second
Edition, O'rei11y, US.
8. Rob Flickenger (2003), Wireless Hacks, O'reily & Associates, Inc,
United States of America.
9. Russe11, D.V. (2002), Wireless security Essentials, Wiley Publishing,
Inc, United States of America.
10. Tara M. Swaminatha, Charles R. Elden (2003), Wireles Security and
Privacy. Best Practices and Design Techniques, Addison Wesley, Boston,
United States of America.
Các file đính kèm theo tài liệu này:
- mot_so_van_de_an_ninh_trong_mang_may_tinh_khong_day_1637_1364.pdf