Tiểu luận Nghiên cứu giải pháp bảo vệxâm nhập mạng không dây
Mã hóa dữ liệu (Data encryption)
Đó là sử dụng các phương pháp mã hoá dữ liệu ở bên
phát và thực hiện giải mã ở bên thu bên thu chỉ có thể mã hóa
chính xác khi có khoá mã hóa do bên phát cung cấp. Dữ liệu
được biến đổi từ dạng "đọc được" sang dạng “không đọc được"
theo m ột thuật toán nào đó.
28 trang |
Chia sẻ: lylyngoc | Lượt xem: 3449 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Tiểu luận Nghiên cứu giải pháp bảo vệxâm nhập mạng không dây, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
TIỂU LUẬN
ĐỀ TÀI: “NGHIÊN CỨU GIẢI PHÁP BẢO VỆ XÂM
NHẬP MẠNG KHÔNG DÂY”
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN
THÔNG
---------------------------------------
PHẠM HỒNG THÁI
NGHIÊN CỨU GIẢI PHÁP BẢO VỆ XÂM NHẬP
MẠNG KHÔNG DÂY
CHUYÊN NGÀNH: TRUYỀN DỮ LIỆU VÀ MẠNG
MÁY TÍNH
MÃ SỐ: 60.48.15
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI – 2012
1
Luận văn được hoàn thành tại
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: TS. TRẦN THIỆN CHÍNH
Phản biện 1:………………………………………………
Phản biện 2: ……………………………………………
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn
thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc ……… giờ ……… ngày …… tháng …. năm
……
Có thể tìm hiêu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn
thông
2
MỞ ĐẦU
Ngày nay, cùng với sự bùng nổ thông tin thì sự phát triển
của các phương tiện truyền tải thông tin liên lạc và nhu cầu cập
nhật, trao đổi thông tin ở mọi lúc mọi nơi đang trở nên thiết
yếu trong các hoạt động xã hội. Tuy nhiên, để có thể kết nối
trao đổi thông tin người sử dụng phải truy nhập (Internet) từ
một vị trí cố định. Điều này gây hạn chế khi người dùng không
cố định hoặc ở những nơi không có điều kiện kết nối vào
mạng. Do đó, để giải quyết vấn đề truyền tải thông tin/dữ liệu,
hệ thống mạng không dây đã được ứng dụng. Cùng với sự phát
triển của mạng di động, mạng không dây thực sự là một bước
đột phá trong lĩnh vực truyền thông.
Với nhiều lợi thế như dễ kết nối, tính cơ động cao, chí
phí giá thành rẻ, có khả năng ứng dụng rộng rãi nên việc
nghiên cứu mạng WLAN thực sự là cần thiết. Mặt khác, khi
nghiên cứu và triển khai ứng dụng công nghệ WLAN, cần phải
quan tâm tới tính bảo mật an toàn thông tin. Do môi trường
truyền dẫn vô tuyến nên WLAN rất dễ bị rò rỉ thông tin do môi
trường truyền tải và đặc biệt là nguy cơ bị tấn công của các
Hacker.
Do đó, cùng với phát triển WLAN phải phát triển các khả
năng bảo mật WLAN an toàn, cung cấp thông tin hiệu quả, tin
cậy cho người sử dụng.
3
Chương 1 – GIỚI THIỆU WLAN
1.1. Khái niệm và lịch sử hình thành mạng WLAN
Mạng LAN không dây viết tắt là WLAN (Wireless Local
Area Network), là một loại mạng máy tính mà các thành phần
trong mạng không sử dụng cáp như mạng thông thường, môi
trường truyền thông trong mạng là không khí. Các thành phần
trong mạng sử dụng sóng điện từ để truyền thông với nhau,
giúp cho người sử dụng có thể di chuyển trong một vùng bao
phủ rộng mà vẫn kết nối được với mạng.
1.2. Các chuẩn mạng thông dụng của WLAN
1.2.1. Chuẩn 802.11
Đây là chuẩn đầu tiên của hệ thống mạng không dây. Tốc
độ truyền khoảng từ 1 đến 2 Mbps, hoạt động ở băng tần
2.4GHz. Chuẩn 802.11 miêu tả những thao tác của sóng truyền
(FHSS) trong hệ thống mạng không dây.
1.2.2. Chuẩn 802.11a
Các hệ thống tuân thủ theo chuẩn này hoạt động ở băng
tần từ 5,15 đến 5,25GHz và từ 5,75 đến 5,825 GHz, với tốc độ
dữ liệu lên đến 54 Mbit/s. Chuẩn này sử dụng kỹ thuật điều chế
OFDM (Orthogonal Frequency Division Multiplex), cho phép
đạt được tốc độ dữ liệu cao hơn và khả năng chống nhiễu đa
đường tốt hơn.
4
1.2.3. Chuẩn 802.11b
Các hệ thống tuân thủ chuẩn IEEE 802.11b hoạt động ở
băng tần thấp hơn và khả năng xuyên qua các vật thể cứng tốt
hơn các hệ thống tuân thủ chuẩn IEEE 802.11a. Các đặc tính
này khiến các mạng WLAN tuân theo chuẩn IEEE 802.11b phù
hợp với các môi trường có nhiều vật cản và trong các khu vực
rộng.
1.2.4. Chuẩn 802.11g
IEEE 802.11g sử dụng kỹ thuật điều chế OFDM để có
thể đạt tốc độc cao hơn. Ngoài ra, các hệ thống tuân thủ theo
IEEE 802.11g có khả năng tương thích ngược với các hệ thống
theo chuẩn IEEE 802.11b vì chúng thực hiện tất cả các chức
năng bắt buộc của IEEE 802.11b và cho phép các khách hàng
của hệ thống tuân theo IEEE 802.11b kết hợp với các điểm
chuẩn AP của IEEE 802.11g.
1.2.5. Chuẩn 802.11n
Chuẩn 802.11n cho phép kết nối với tốc độ 300 Mbps (có
thể lên tới 600Mbps), và mở rộng vùng phủ sóng. 802.11n là
mạng Wi-Fi đầu tiên có thể cạnh tranh về mặt hiệu suất với
mạng có dây 100Mbps. Chuẩn 802.11n hoạt động ở cả hai tần
số 2,4GHz và 5GHz với kỳ vọng có thể giảm bớt được tình
trạng “quá tải” ở các chuẩn trước đây.
5
1.2.6. Một số chuẩn khác
Ngoài các chuẩn phổ biến trên, IEEE còn lập các nhóm
làm việc độc lập để bổ sung các quy định vào các chuẩn
802.11a, 802.11b, và 802.11g nhằm nâng cao tính hiệu quả,
khả năng bảo mật và phù hợp với các chuẩn cũ như: IEEE
802.11c, IEEE 802.11d, IEEE 802.11e, IEEE 802.11f, …
1.3. Cấu trúc và mô hình mạng WLAN
1.3.1. Cấu trúc cơ bản của mạng WLAN
Mạng sử dụng chuẩn 802.11 gồm có 4 thành phần chính :
Hệ thống phân phối (Distribution System - DS)
Điểm truy cập (Access Point)
Tần số liên lạc vô tuyến (Wireless Medium)
Trạm (Stations)
Hình 1.1 – Cấu trúc cơ bản của một mạng WLAN.
1.3.2. Các mô hình mạng WLAN
Mô hình mạng độc lập IBSS hay còn gọi là mạng Ad-
hoc: Các trạm (máy tính có hỗ trợ card mạng không dây) tập
6
trung lại trong một không gian nhỏ để hình thành nên kết nối
ngang cấp (peer-to-peer) giữa chúng.
Mô hình mạng cơ sở: các Client liên lạc với nhau thông
qua Access Point (AP). AP là điểm trung tâm quản lý mọi sự
giao tiếp trong mạng. Để giao tiếp với nhau các Client phải gửi
các Frame dữ liệu đến AP, sau đó AP sẽ gửi đến máy nhận.
Mô hình mạng mở rộng: Nhiều mô hình BSS kết hợp với
nhau gọi là mô hình mạng ESS. Là mô hình sử dụng từ 2 AP
trở lên để kết nối mạng. Khi đó các AP sẽ kết nối với nhau
thành một mạng lớn hơn, phạm vi phủ sóng rộng hơn, thuận lợi
và đáp ứng tốt cho các Client di động.
Một số mô hình mạng WLAN khác: Mô hình Roaming,
Mô hình khuyếch đại tín hiệu, Mô hình Point to Point, Mô hình
Point to Multipoint
1.4. Đánh giá ưu, nhược điểm và thực trạng mạng WLAN
hiện nay
1.4.1. Ưu điểm
Khả năng lưu động cải thiện hiệu suất và dịch vụ
Cài đặt đơn giản
Giảm bớt giá thành sở hữu
Tính linh hoạt
Khả năng mở rộng
7
1.4.2. Nhược điểm
Ngoài rất nhiều sự tiện lợi và những ưu điểm được đề cập
ở trên thì cũng có các nhược điểm như:
Bảo mật: Môi trường kết nối là không khí nên khả năng
bị tấn công là rất cao.
Phạm vi: nhỏ, chưa đáp ứng được nhu cầu người dùng
Độ tin cậy: tín hiệu bị nhiễu, bị giảm do tác động của
các thiết bị khác
Tốc độ chậm
1.4.3. Thực trạng mạng WLAN hiện nay
Chúng ta có thể dễ dàng kết nối mạng không dây tại
nhiều địa điểm như: trường học, văn phòng,… hoặc ngay tại
gia đình bằng nhiều thiết bị hiện đại như : laptop, PDA...Tuy
nhiên, vẫn còn một số tồn tại như :
Không thay đổi mật khẩu của nhà sản xuất
Không kích hoạt các tính năng mã hóa
Không kiểm tra thường xuyên chế độ bảo mật
Kích hoạt phương pháp bảo mật cấp thấp hoặc không
kích hoạt.
8
Chương 2 – BẢO MẬT TRONG WLAN
2.1. Sơ lược về bảo mật trong mạng không dây WLAN
Bất cứ một mạng nào, cả không dây lẫn có dây, đều có
những lỗ hổng về mặt kỹ thuật cho phép tin tặc có thể xâm
nhập vào hệ thống để ăn cắp thông tin hay phá hoại, do đó trên
thực tế sẽ không có một mạng nào được xem là bảo mật tuyệt
đối. Vì vậy, người ta thường phải sử dụng nhiều kỹ thuật bảo
mật đi kèm với các mạng để bảo đảm tính an toàn cho mạng.
Đối với mạng không dây có thể sử dụng các phương pháp mã
hóa để bảo đảm tính bí mật của thông tin, sử dụng các cơ chế
chứng thực để kiểm tra tính hợp pháp của người dùng.
2.1.1. Vai trò của bảo mật mạng không dây WLAN
Vì mạng Wireless truyền và nhận dữ liệu dựa trên sóng
vô tuyến và vì AP phát sóng lan truyền trong bán kính cho
phép nên bất cứ thiết bị nào có hỗ trợ truy cập Wireless đều có
thể bắt sóng này. Cho nên rủi ro thông tin bị các Hacker “mũ
đen” đánh cắp hoặc nghe trộm rất cao.
Vì dữ liệu được truyền qua sóng vô tuyến nên tính bảo
mật của WLAN cần giải quyết các vấn đề sau đây:
Ngăn chặn thông tin người dùng bị tấn công khi thực
hiện quá trình đàm phán xác thực thông tin truy cập vào mạng.
Sau khi chứng thực hoàn tất, phải bảo đảm an toàn riêng
tư dữ liệu được truyền đi giữa máy khách và điểm truy cập.
9
Kiểm tra chắc chắn rằng người dùng được phép truy cập
vào mạng.
2.1.2. Mô hình chung của bảo mật mạng không dây WLAN
Device Authorisation: xác thực thiết bị theo địa chỉ MAC
Encryption: hỗ trợ WEP, 3DES, TLS
Authentication: xác thực quyền truy nhập
Firewall: quản lý lưu lượng chung
VPN: cho phép client thiết lập phiên VPN
2.2. Những đe dọa an ninh mạng
2.2.1. Những nguy hiểm cho an ninh mạng
Bảo mật có thể được định nghĩa như là sự giữ gìn để
tránh khỏi việc người khác làm những gì mà người sử dụng
không muốn. Các nguy hiểm an ninh có thể đến từ các hacker,
những kẻ đột nhập, một tổ chức, người trong nội bộ.
10
2.2.2. Một số kiểu tấn công WLAN cơ bản
Tấn công bị động: không để lại một dấu vết nào chứng tỏ
đã có sự hiện diện của hacker trong mạng vì hacker không thật
sự kết nối với AP để lắng nghe các gói tin truyền trên đoạn
mạng không dây.
Tấn công chủ động: có thể được sử dụng để truy cập vào
server và lấy được những dữ liệu có giá trị hay sử dụng đường
kết nối Internet của doanh nghiệp để thực hiện những mục đích
phá hoại hay thậm chí là thay đổi cấu hình của hạ tầng mạng.
Bằng cách kết nối với mạng không dây thông qua AP, hacker
có thể xâm nhập sâu hơn vào mạng hoặc có thể thay đổi cấu
hình của mạng.
Tấn công chèn ép (Jamming)
Jamming là một kỹ thuật được sử dụng đơn giản chỉ để
làm hỏng (shut down) mạng không dây của người sử dụng
bằng cách gây nghẽn tín hiệu RF.
Tấn công thu hút (Man-in-the-middle Attack): là kiểu tấn
công mà hacker sử dụng một AP để đánh cắp các node di động
bằng cách gửi tín hiệu RF mạnh hơn AP hợp pháp đến các
node đó. Các node di động nhận thấy có AP phát tín hiệu RF
tốt hơn nên sẽ kết nối đến AP giả mạo này, truyền dữ liệu có
thể là những dữ liệu nhạy cảm đến AP giả mạo và hacker có
toàn quyền xử lý.
11
2.3. Kiến trúc mạng
2.3.1. Kiến trúc mạng WLAN điển hình
2.3.2. Kiến trúc mạng WLAN với giải pháp tường lửa vô
tuyến
Kiến trúc mạng có thể bị thay đổi bằng cách bổ sung một
tường lửa nhận thực vô tuyến điều chỉnh truy nhập tới LAN
bằng cách chỉ cho phép người sử dụng qua sau khi họ đã nhận
thực.
2.4. Các phương thức bảo mật trong WLAN
12
2.4.1. Các giao thức bảo mật chủ yếu
WEP: là một giao thức nhằm bảo vệ sự trao đổi thông
tin chống lại sự nghe trộm, chống lại những kết nối mạng
không được phép cũng như chống lại việc thay đổi hoặc làm
nhiễu thông tin truyền. WEP sử dụng stream cipher (Mật mã)
RC4 cùng với một mã 40 bit và một số ngẫu nhiên 24 bit
(initialization vector – IV) để mã hóa thông tin.
Giải thuật WEP thực chất là giải thuật giải mã hóa RC4.
Nó được xem như là một giải thuật đối xứng vì sử dụng cùng
khóa cho mật mã hóa và giải mật mã UDP (Protocol Data Unit)
văn bản gốc. Mỗi khi truyền, văn bản gốc XOR theo bit với
một luồng khóa (keystream) giả ngẫu nhiên để tạo ra một văn
bản được mật mã.
Ưu điểm của WEP
- Mật mã hóa mạnh, đáng tin cậy. Việc khôi phục khóa bí
mật rất khó khăn. Khi độ dài khóa càng dài thì càng khó để
khôi phục.
- Tự đồng bộ hóa. Không cần giải quyết mất các gói. Mỗi
gói chứa đựng thông tin cần để giải mã nó.
- Hiệu quả: do triển khai ở cả phần cứng hoặc phần mềm
và chi phí triển khai thấp
Nhược điểm của WEP
13
- Không có cơ chế xác thực tập trung hay xác thực dựa trên
người dùng.
- Không hỗ trợ quản lý khóa, tức là không có cơ chế sinh
khóa và phân phát khóa tự động.
- Không có cơ chế xác thực lẫn nhau, chỉ mạng mới xác
thực được người dùng, còn người dùng không thể xác thực
được mạng. Kết quả các AP giả mạo có thể đóng vai một AP
hợp lệ và thu thập dữ liệu từ máy và người dùng.
- Không có cơ chế ngăn chặn truyền lại.
- Dùng lại IV
WPA
WPA sử dụng thuật toán RC4 nhưng mã hoá đầy đủ 128
bit và dành ra 64 bit cho chứng thực để tạo ra sự bảo mật tốt
hơn. Năm 2004 giải pháp TKIP (Temporal Key Integrity
Protocol-Toàn vẹn khóa tạm thời) được IEEE đưa vào WPA
nhằm vá những vấn đề bảo mật trong cài đặt mã dòng RC4.
TKIP dùng hàm băm (hashing) IV để chống lại việc giả mạo
gói tin, nó cũng cung cấp phương thức để kiểm tra tính toàn
vẹn của MIC (Message Integrity Check- bản tin phi tuyến) để
đảm bảo tính chính xác của gói tin. TKIP của WPA sử dụng
khóa động bằng cách đặt cho mỗi frame một chuỗi số riêng để
chống lại dạng tấn công giả mạo. Bởi WPA thay đổi khoá liên
14
tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra
mật khẩu.
Ưu điểm của WPA
- Việc sử dụng TKIP đã làm cho WPA có sức bảo mật tốt
hơn do các khóa khi truyền tin được thay đổi liên tục.
- Do hỗ trợ việc kiểm tra tính toàn vẹn nên dữ liệu được
bảo vệ tốt hơn trên đường truyền.
- Việc tích hợp với các máy chủ xác thực RADIUS để cho
phép quản lý, kiểm toán và khai thác mạng WLAN một cách
an toàn cao.
- Dễ dàng nâng cấp các thiết bị phần cứng như card mạng
và AP đơn giản bằng cách thay đổi phần mềm điều khiển giúp
cho chi phí nâng cấp không đáng kể.
Nhược điểm của WPA.
- Với WPA Personal thì có thể việc sử dụng hàm thay đổi
khoá TKIP, được sử dụng để tạo ra các khoá mã hoá nếu bị
phát hiện hacker có thể đoán được khoá khởi tạo hoặc một
phần của mật khẩu và họ có thể xác định được toàn bộ mật
khẩu, do đó có thể giải mã được dữ liệu.
- Khi sử dụng WPA-PSK thì việc cài đặt trở nên phức tạp,
không phù hợp cho người dùng gia đình điển hình.
15
- TKIP không loại trừ những điểm yếu cơ bản trong bảo
mật WiFi. Nếu một attacker tấn công TKIP, Haker không chỉ
bẻ gãy độ tin cậy, mà còn điều khiển truy nhập và nhận thực.
- Bị tấn công từ chối dịch vụ (DoS) vẫn còn tồn tại.
- Kỹ thuật TKIP của WPA chỉ là giải pháp tạm thời, chưa
cung cấp một phương thức bảo mật cao nhất.
- Với các AP không thể thay đổi để phù hợp với WPA thì
việc thay thế thiết bị phần cứng là không thể tránh khỏi và
WPA Enterprise thì cần một máy chủ xác thực để cung cấp các
khoá khởi tạo, điều này làm cho chi phí triển khai hệ thống
tăng lên.
WPA2
WPA2 sử dụng thêm thuật toán mã hóa AES. WPA2
với AES cũng có cấp độ bảo mật rất cao tương tự như chuẩn
WPA, nhằm bảo vệ cho người dùng và người quản trị đối với
tài khoản và dữ liệu. WPA2 sử dụng rất nhiều thuật toán để mã
hóa dữ liệu như TKIP, RC4, AES và một vài thuật toán khác.
Ưu điểm của WPA2
- Giải pháp mã hóa tối cao với việc sử dụng đồng thời
nhiều thuật toán mã hóa dữ liệu để mang lại hiệu quả mã hóa
cao nhất, tăng độ tin cậy của hệ thống WLAN sử dụng nó.
16
- Do có cơ chế các thuật toán mã hóa tổng hợp nên WPA2
làm cho Hacker không thể suy đoán khóa cũng như bẻ gãy độ
tin cậy và nắm quyền điều khiển truy nhập và nhận thực được.
Nhược điểm của WPA2
- Tồn tại một số tấn công nhằm vào AES như việc tấn công
kênh bên. Tấn công kênh bên không tấn công trực tiếp vào
thuật toán mã hóa mà thay vào đó, tấn công lên các hệ thống
thực hiện thuật toán có sơ hở làm lộ dữ liệu.
- Việc nâng cấp lên chuẩn 802.11i với giao thức bảo mật
WPA2 đòi hỏi phải có chi phí thay thế thiết bị phần cứng gồm
cả AP và Card mạng không dây, điều này làm cho chi phí triển
khai hệ thống tăng và giảm khả năng thích ứng của các thiết bị
máy khách thông dụng.
2.4.2. Giới thiệu cơ chế bảo mật phụ trợ
2.4.2.1. Lọc (filtering)
Lọc là cơ chế bảo mật cơ bản có thể sử dụng cùng với
WEP hoặc một số giao thức khác. Có 3 kiểu lọc cơ bản có thể
được sử dụng trong wireless lan:
Lọc SSID
Về khái niệm, SSID không thực sự là một khóa mật được
sử dụng để bảo vệ sự truy cập cho một mạng không dây vì các
điểm truy cập đều quảng bá SSID để SSID trở thành một cơ
chế cho việc phân biệt giữa các mạng không dây với nhau
17
Khi vô hiệu hóa việc quảng bá SSID, điểm truy cập
không dây sẽ cố gắng không quảng bá khi gặp các gói yêu cầu
sự đáp trả. Cách thức này có thể tăng mức độ bảo mật, nhưng
nếu vô hiệu hóa quảng bá SSID thì SSID vẫn được truyền tải
trong các khung Association và Re-association cũng như các
khung Probe Response. Điều này gần như một việc quá dễ
dàng với bất cứ ai có một bộ “dò tìm” gói dữ liệu, họ đều có
thể khám phá ra SSID mạng không dây, vì bất cứ thời điểm nào
khi có người dùng hợp pháp kết nối với mạng không dây thì
SSID cũng đều được phát dưới dạng văn bản trong sáng.
Lọc địa chỉ MAC
Kỹ thuật lọc địa chỉ MAC là quá trình người quản trị hệ
thống tạo một danh sách trắng để chỉ rõ các địa chỉ MAC nào
là xác thực và được quyền kết nối với điểm truy cập.
Một ưu điểm của kỹ thuật này là dù có ai đó biết SSID
mạng không dây của người sử dụng và mật khẩu WEP hoặc
WPA thì họ cũng không thể kết nối với mạng trừ khi họ sử
dụng card mạng mà chính người sử dụng đã xác thực.
Kỹ thuật lọc địa chỉ MAC chỉ làm việc thực sự tốt trong
các tổ chức nhỏ, không phù hợp trong các doanh nghiệp lớn vì
mỗi lần đưa vào sử dụng một card mạng mới, địa chỉ MAC của
card đó phải được thêm vào bộ lọc địa chỉ MAC
Lọc giao thức
18
Mạng Lan không dây có thể lọc các gói đi qua mạng dựa
trên các giao thức từ lớp 2 đến lớp 7.
2.4.2.2. WLAN VPN
Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo
ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. VPN
tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo
mật như IPSec (Internet Protocol Security). Giao thức bảo mật
giao thức Internet (IPSec) cung cấp những tính năng an ninh
cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định
quyền đăng nhập toàn diện hơn. IPSec có hai cơ chế mã hóa là
Tunnel và Transport. Tunnel mã hóa tiêu đề (header) và kích
thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chi
phí cho VPNs ít hơn đáng kể so với cách giải quyết truyền
thống và có thể nâng cấp dễ dàng, hiệu quả về băng thông cao,
giảm chi phí vận hành quản lí, nâng cao kết nối, nâng cao khả
năng mở rộng, bảo mật, an toàn trong giao dịch.
Tuy nhiên, VPN thiếu các giao thức kế thừa hỗ trợ, phụ
thuộc nhiều vào chất lượng mạng Internet, sự quá tải hay nghẽn
mạng có thể ảnh hưởng xấu đến chất lượng truyền tin của các
máy trong mạng. Đồng thời VPN cũng phụ thuộc vào các nhà
cung cấp dịch vụ ISP.
19
2.4.3. Giới thiệu các phương pháp nhận thực và chống xâm
nhập trái phép nhằm nâng cao khả năng bảo mật của mạng
WLAN.
Chuẩn 802.1x cung cấp đặc tả cho việc điều khiển truy
cập mạng dựa trên cổng (port-based). Điều khiển truy cập dựa
trên cổng xuất phát từ các ethernet switch. Khi một user cố
gắng kết nối vào cổng ethernet, cổng đó sẽ đặt kết nối của user
vào trạng thái block và đợi cho việc kiểm tra định danh người
dùng hoàn tất. Giao thức 802.1x đã được tích hợp vào nhiều hệ
thống WLAN và đã trở thành một chuẩn thực tế cho các nhà
sản xuất. Khi được kết hợp với EAP thì 802.1x có thể cung cấp
một môi trường rất bảo mật và linh động dựa trên các cơ chế
xác thực được sử dụng hiện nay.
2.4.3.1. Server RADIUS (máy chủ xác thực)
Với cơ sở tập trung - Giải pháp sử dụng RADIUS cho
mạng WLAN là rất quan trọng bởi nếu một hệ thống mạng có
rất nhiều Access Point, việc cấu hình để bảo mật hệ thống này
là rất khó nếu quản lý riêng biệt, người dùng có thể xác thực từ
nhiều Access Point khác nhau và điều đó là không bảo mật.
Khi sử dụng RADIUS cho WLAN mang lại khả năng
tiện lợi cao, xác thực cho toàn bộ hệ thống nhiều Access Point,
cung cấp các giải pháp thông minh hơn.
2.4.3.2. EAP-bảo mật cấp cao
20
EAP là một multi-protocol (đa giao thức) và có thể dùng
nhiều dạng giao thức khác nhau thay vì chỉ có giao thức
internet IP. Nó không đòi hỏi sự can thiệp của người sử dụng,
cung cấp khả năng xác thực cho từng user, tự động cung cấp
khóa WEP năng động (dynamic WEP key), vì thế khắc phục
được các trở ngại của việc quản trị các key trên hệ thống WEP.
Đồng thời EAP cũng hỗ trợ các chương mục người dùng và
không đòi hỏi thêm các hình thức an ninh khác lọc (filtering),
kiểm soát truy nhập (access control).
2.4.3.3. Phương pháp phát hiện xâm nhập trong mạng không
dây WIDS (WLAN Intrusion Detection System)
Mục tiêu của việc phát hiện xâm nhập là xác định các
hoạt động trái phép, dùng sai, lạm dụng đối với hệ thống máy
tính gây ra bởi cả người dùng trong hệ thống lẫn người xâm
nhập ngoài hệ thống.
Mô hình hoạt động:
Tập trung: WIDS tập trung có một bộ tập trung để thu
thập tất cả các dữ liệu của các cảm biến mạng riêng lẻ và
chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS
được lưu trữ và xử lý.
Phân tán: WIDS phân tán thực hiện cả chức năng cảm
biến và quản lý.
Kết luận:
21
Rõ ràng thấy rằng thông tin thu thập được bởi WIDS tạo
ra cơ sở dữ liệu được sử dụng để lập báo cáo về tình trạng hoạt
động của mạng và lập ra kế hoạch cho hệ thống mạng. So sánh
cảnh báo của các AP qua nhiều vị trí có thể giúp ta xác định
được vấn đề gây ra do bởi sự khác nhau về các dòng sản phẩm,
phiên bản về phần mềm hệ thống (firmware) và về cấu hình.
2.4.3.4. Giải pháp ngăn ngừa và phát hiện xâm nhập IDS/IPS
a. Định nghĩa IPS
Hệ thống IPS (intrusion prevention system) là một kỹ
thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall
với hệ thống phát hiện xâm nhập IDS (intrusion detection
system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công
và tự động ngăn chặn các cuộc tấn công đó.
b. Chức năng của IPS
Các giải pháp IPS“Ngăn ngừa Xâm nhập” nhằm mục
đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm
bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu
lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt
động hợp pháp tiếp tục.
c. Kiến trúc chung của các hệ thống IPS
Hệ thống IPS gồm 3 modul chính:
Module phân tích luồng dữ liệu: có nhiệm vụ lấy tất các
gói tin đi đến mạng để phân tích
22
Module phát hiện tấn công: có nhiệm vụ phát hiện các
cuộc tấn công. Có hai phương pháp để phát hiện các cuộc tấn
công, xâm nhập là dò sự lạm dụng và dò sự không bình thường.
+) Phương pháp dò sự lạm dụng: phân tích các hoạt động
của hệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công
đã biết trước.
+) Phương pháp dò sự không bình thường: nhận dạng ra
các hành động không bình thường của mạng.
Module phản ứng: Khi modul phát hiện tấn công gửi tín
hiệu báo có sự tấn công hoặc thâm nhập đến modul phản ứng.
Lúc đó modul phản ứng sẽ kích hoạt tường lửa thực hiện chức
nǎng ngǎn chặn cuộc tấn công hay cảnh báo tới người quản trị.
d. Phân loại hệ thống IPS
IPS ngoài luồng (Promiscuous Mode IPS)
Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường
lửa và IPS. IPS có thể kiểm soát luồng dữ liệu vào, phân tích
và phát hiện các dấu hiệu của sự xâm nhập, tấn công. Với vị trí
này, IPS có thể quản lý tường lửa, chỉ dẫn nó chặn lại các hành
động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông
của mạng.
IPS trong luồng (In-line IPS)
Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi
qua IPS trước khi tới bức tường lửa. Điểm khác chính so với
23
IPS ngoài luồng là có thêm chức nǎng chặn lưu thông (traffic-
blocking). Điều đó làm cho IPS có thể ngǎn chặn luồng giao
thông nguy hiểm nhanh hơn so với IPS ngoài luồng
(Promiscuous Mode IPS). Tuy nhiên, vị trí này sẽ làm cho tốc
độ luồng thông tin ra vào mạng chậm hơn.
24
Chương 3 - ỨNG DỤNG GIẢI PHÁP NGĂN CHẶN XÂM
NHẬP TRÁI PHÉP CHO MẠNG WLAN CỦA BỆNH
VIỆN GIAO THÔNG VẬN TẢI
3.1. Hiện trạng hệ thống mạng WLAN của Bệnh viện Giao
thông vận tải
3.1.1. Kiến trúc tổng thể mạng WLAN
Bệnh viện gồm có 2 khu:
Khu 1: là văn phòng và khoa khám bệnh (14 phòng ban)
lắp đặt 1 Router, 3 máy chủ dùng chung 1 địa chỉ Subnet, IP
được cấp động cho các máy Client.
Khu 2: là khoa điều trị và cận lâm sàng (gồm 14 khoa và
4 tòa nhà) lắp đặt 2 Switch, mỗi tòa nhà 4 tầng, cao 16m, cách
nhau 10 m, mỗi tòa đặt 2 AP chuẩn g.
Mạng có dây: gồm 150 nút mạng, 5 Switch 2960.
3.1.2. Thực trạng vấn đề bảo mật mạng WLAN ở Bệnh viện
Giao thông vận tải
Thông tin hiện nay đứng trước nhiều mối nguy cơ về:
thất thoát dữ liệu, mất thông tin, thông tin bị chỉnh sửa,... Để
bảo vệ hệ thống thông tin cần phải có những giải pháp bảo mật
khả thi và hiệu quả.
Hiện nay hệ thống mạng tại Bệnh viện Giao thông vận tải
đã trang bị Firewall ASA5510, hơn 300 máy tính và máy chủ
cài phần mềm antivirus bản quyền.
25
3.1.3. Nguyên lý bảo mật hệ thống thông tin
3.1.3.1. Quyền thâm nhập
Quyền thâm nhập là quyền truy nhập nhằm kiểm soát các
tài nguyên của mạng và quyền hạn trên tài nguyên đó.
3.1.3.2. Đăng nhập/Mật khẩu (Login/Password)
Đây là lớp bảo vệ mức độ truy nhập thông tin ở mức độ
hệ thống. Nhà quản trị cung cấp cho mỗi người dùng một tài
khoản (username) và mật khẩu (password), đồng thời kiểm soát
mọi hoạt động của mạng thông qua hình thức đó.
3.1.3.3. Mã hóa dữ liệu (Data encryption)
Đó là sử dụng các phương pháp mã hoá dữ liệu ở bên
phát và thực hiện giải mã ở bên thu bên thu chỉ có thể mã hóa
chính xác khi có khoá mã hóa do bên phát cung cấp. Dữ liệu
được biến đổi từ dạng "đọc được" sang dạng “không đọc được"
theo một thuật toán nào đó.
3.1.3.4. Bảo vệ vật lý (Physical Protect)
Đây là hình thức ngăn chặn nguy cơ truy nhập vật lý bất
hợp pháp vào hệ thống như ngăn cấm tuyệt đối người không
phận sự vào phòng đặt máy mạng, dùng ổ khoá máy tính, hoặc
cài đặt cơ chế báo động khi có truy nhập vào hệ thống
3.1.1.1. Bức tường lửa (Firewall)
Đây là hình thức ngăn chặn sự xâm nhập bất hợp pháp
vào mạng nội bộ thông qua tường lửa (firewall)
26
3.2. Giải pháp IPS cho mạng WLAN tại Bệnh viện Giao
thông vận tải
3.2.1. Mục tiêu của giải pháp IDS/IPS
Bảo vệ hệ thống mạng sử dụng tính năng phát hiện và
ngăn chặn (IDS/IPS); phát hiện và ngăn chặn các truy cập bất
hợp pháp tới hệ thống mạng; ngăn chặn các cuộc tấn công tới
các dịch vụ, máy chủ hay máy trạm của hệ thống mạng
WLAN.
3.2.2. Mô hình IDS/IPS áp dụng cho Bệnh viện Giao thông
vận tải
Cấu hình thiết bị ở chế độ IPS (Inline mode) để bảo vệ
cho các server cung cấp dịch vụ.
Cấu hình thiết bị ở chế độ IDS (passive mode) để giám
sát mạng.
Mô hình quản lý tập trung như sau:
Các file đính kèm theo tài liệu này:
- td_1362125420_1362125420_0104.pdf