Trường Cao Đẳng Nguyễn Tất Thành Trang 1
Mục Lục
LỜI NÓI ĐẦU 5
Chương 1: TÌM HIỂU VỂ MẠNG KHÔNG DÂY 6
1.1 WLAN (WIFI) 6
1.1.1 Giới thiệu về Wlan (WIFI) 6
1.1.1.1 WLAN là gì ? 6
1.1.1.2 Lịch sử ra đời 6
1.1.2 Các mô hình WLAN 7
1.1.2.1 Mô hình mạng độc lập 7
1.1.2.2 Mô hình mạng cơ sở 8
1.1.2.3 Mô hình mạng mở rộng 9
1.1.2.4 Ưu nhược điểm của WLAN 10
1.1.3 Các thiết bị hạ tầng mạng không dây 11
1.1.3.1.Điểm truy cập: AP (access point) 11
1.1.3.2.Các chế độ hoạt động của AP 12
1.1.4. Bảo mật trong WLAN 15
1.1.4.1.Tại sao phải bảo mật mạng không dây(WLAN) 15
1.1.4.2. Bảo mật mạng không dây (WLAN) 17
1.1.5. Các giải pháp bảo mật 20
1.1.5.1. WLAN VPN 20
1.1.5.2. TKIP (Temporal Key Integrity Protocol) 20
1.1.5.3. AES(Advanced Encryption Standard) 21
1.1.5.4. 802.1x và EAP 21
1.1.5.5. WPA (Wi-Fi Protected Access) 22
1.1.6. Mã Hóa 23
1.1.6.1.Mật mã dòng 24
1.1.6.2. Mật mã khối 25
1.1.7. Các kiểu tấn công trong mạng WLAN 26
GVHD: ThS Nguyễn Minh Thi Sinh Viên: Huỳnh Thái Châu
Trường Cao Đẳng Nguyễn Tất Thành Trang 2
Trường Cao Đẳng Nguyễn Tất Thành Trang 3
1.2.2.1. Khái quát về phân lớp giao thức trong IEEE 802.16. 46
1.2.2.1.1. Lớp vật lý 46
1.2.2.1.2. IEEE 802.16 MAC 47
1.2.2.1.3. Khuôn dạng bản tin MAC 49
1.2.2.2. Liên kết bảo mật SA 51
1.2.2.3. DSA ( Data Security Association ) 52
1.2.2.4. SA chứng thực 52
1.2.2.5. Trao đổi khóa dữ liệu (Data Key Exchange) 53
1.2.3. Một số lỗ hỗng an ninh trong Wimax 54
2.2.1. Lớp vật lý và lớp con bảo mật 54
2.2.2. Nhận thực qua lại 56
2.2.3. Bảo mật dữ liệu 57
2.2.4. Quản lý khóa 57
2.2.5. Các nhược điểm khác 58
Chương 2:
CÁC ỨNG DỤNG VÀ GIẢI PHÁP CHO MẠNG KHÔNG DÂY 59
2.1. Giải pháp kết hợp WiMAX và Wi-Fi 59
2.1.1. Giới thiệu 59
2.1.2. Các dịch vụ và ứng dụng di động 60
2.1.3. Tổng quan về Công nghệ 61
2.1.4. Giải pháp WIMAX/WiFi hội tụ của Alvarion 62
2.1.5. Lợi ích 63
2.1.6. Công nghệ hội tụ WIMAX/WiFi và Công nghệ kết nối Mesh 64
2.1.7. Alvarion cung cấp dịch vụ băng thông rộng cá nhân hiện nay 66
2.2.10 mẹo cải thiện mạng Wi-Fi gia đình 68
2.2.1 Đặt router đúng chỗ 68
2.2.2 Đặt router tránh xa tường, sàn nhà và các vật dụng kim loại 69
2.2.3.Thay ăng ten của router 69
2.2.4 Thay card mạng trên máy tính 70
Tp.hcm, tháng 03 năm 2010
Sinh viên: Huỳnh Thái Châu
GVHD: ThS Nguyễn Minh Thi Sinh Viên: Huỳnh Thái Châu
Trường Cao Đẳng Nguyễn Tất Thành Trang 6
Chương 1: TÌM HIỂU VỂ MẠNG KHÔNG DÂY
1.2 .WLAN (WIFI):
1.1.1. Giới thiệu về Wlan (WIFI):
1.1.1.1. WLAN là gì ?
WLAN là một loại mạng máy tính nhưng việc kết nối giữa các thành phần trong
mạng không sử dụng các loại cáp như một mạng thông thường, môi trường truyền
thông của các thành phần trong mạng là không khí. Các thành phần trong mạng sử
dụng sóng điện từ để truyền thông với nhau.
1.1.1.2. Lịch sử ra đời:
Công nghệ WLAN lần đầu tiên xuất hiện vào cuối năm 1990, khi những nhà sản
xuất giới thiệu những sản phẩm hoạt động trong băng tần 900Mhz. Những giải pháp
này (không được thống nhất giữa các nhà sản xuất) cung cấp tốc độ truyền dữ liệu
1Mbps, thấp hơn nhiều so với tốc độ 10Mbps của hầu hết các mạng sử dụng cáp
hiện thời.
Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng
băng tần 2.4Ghz. Mặc dầu những sản phẩm này đã có tốc độ truyền dữ liệu cao hơn
nhưng chúng vẫn là những giải pháp riêng của mỗi nhà sản xuất không được công
bố rộng rãi. Sự cần thiết cho việc hoạt động thống nhất giữa các thiết bị ở những
dãy tần số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn
mạng không dây chung.
Năm 1997, Institute of Electrical and Electronics Engineers(IEEE) đã phê chuẩn
sự ra đời của chuẩn 802.11, và cũng được biết với tên gọi WIFI (Wireless Fidelity)
GVHD: ThS Nguyễn Minh Thi Sinh Viên: Huỳnh Thái Châu
Trường Cao Đẳng Nguyễn Tất Thành Trang 8 1.1.2.2. Mô hình mạng cơ sở:
Bao gồm các điểm truy nhập AP (Access Point) gắn với mạng đường trục hữu
tuyến và giao tiếp với các thiết bị di động trong vùng phủ sóng của một cell. AP
đóng vai trò điều khiển cell và điều khiển lưu lượng tới mạng. Các thiết bị di động
không giao tiếp trực tiếp với nhau mà giao tiếp với các AP.Các cell có thể chồng lấn
lên nhau khoảng 10-15 % cho phép các trạm di động có thể di chuyển mà không bị
mất kết nối vô tuyến và cung cấp vùng phủ sóng với chi phí thấp nhất. Các trạm di
động sẽ chọn AP tốt nhất để kết nối. Một điểm truy nhập nằm ở trung tâm có thể
điều khiển và phân phối truy nhập cho các nút tranh chấp, cung cấp truy nhập phù
hợp với mạng đường trục, ấn định các địa chỉ và các mức ưu tiên, giám sát lưu
lượng mạng, quản lý chuyển đi các gói và duy trì theo dõi cấu hình mạng. Tuy
nhiên giao thức đa truy nhập tập trung không cho phép các nút di động truyền trực
tiếp tới nút khác nằm trong cùng vùng với điểm truy nhập như trong cấu hình mạng
WLAN độc lập. Trong trường hợp này, mỗi gói sẽ phải được phát đi 2 lần (từ nút
GVHD: ThS Nguyễn Minh Thi Sinh Viên: Huỳnh Thái Châu
Trường Cao Đẳng Nguyễn Tất Thành Trang 9
phát gốc và sau đó là điểm truy nhập) trước khi nó tới nút đích, quá trình này sẽ làm
giảm hiệu quả truyền dẫn và tăng trễ truyền dẫn. 1.1.2.3 Mô hình mạng mở rộng:
Mạng 802.11 mở rộng phạm vi di động tới một phạm vi bất kì thông qua ESS.
Một ESSs là một tập hợp các BSSs nơi mà các Access Point giao tiếp với nhau để
chuyển lưu lượng từ một BSS này đến một BSS khác để làm cho việc di chuyển dễ
dàng của các trạm giữa các BSS, Access Point thực hiện việc giao tiếp thông qua hệ
thống phân phối. Hệ thống phân phối là một lớp mỏng trong mỗi Access Point mà
lượng người dùng. Với hệ thống mạng dùng cáp cần phải gắn thêm cáp
_ Nhược điểm:
+
Bảo mật: Môi trường kết nối không dây là không khí nên khả năng bị tấn công
của người dùng là rất cao.
+ Phạm vi: Một mạng chuẩn 802.11g với các thiết bị chuẩn chỉ có thể hoạt động
tốt trong phạm vi vài chục mét. Nó phù hợp trong 1 căn nhà, nhưngvới một tòa nhà
lớn thì không đáp ứng được nhu cầu. Để đáp ứng cần phải mua thêm Repeater hay
access point, dẫn đến chi phí gia tăng.
+ Độ tin cậy: Vì sử dụng sóng vô tuyến để truyền thông nên việc bị nhiễu, tín
hiệu bị giảm do tác động của các thiết bị khác(lò vi sóng,….) là không tránh khỏi.
Làm giảm đáng kể hiệu quả hoạt động của mạng.
+ Tốc độ: Tốc độ của mạng không dây (1- 125 Mbps) rất chậm so với mạng sử
dụng cáp(100Mbps đến hàng Gbps).
1.1.3 Các thiết bị hạ tầng mạng không dây:
1.1.3.1.Điểm truy cập: AP (access point):
GVHD: ThS Nguyễn Minh Thi Sinh Viên: Huỳnh Thái Châu
Trường Cao Đẳng Nguyễn Tất Thành Trang 12
Cung cấp cho các máy khách(client) một điểm truy cập vào mạng "Nơi mà các máy
tính dùng wireless có thể vào mạng nội bộ của công ty". AP là một thiết bị song
công(Full duplex) có mức độ thông minh tương đương với một chuyển mạch
Ethernet phức tạp(Switch).
dây. AP trong repeater mode kết nối với các client như là một AP và kết nối với
upstream AP như là một client.
GVHD: ThS Nguyễn Minh Thi Sinh Viên: Huỳnh Thái Châu
Trường Cao Đẳng Nguyễn Tất Thành Trang 15
1.1.4. Bảo mật trong WLAN:
1.1.4.1.Tại sao phải bảo mật mạng không dây(WLAN)
Để kết nối tới một mạng LAN hữu tuyến ta cần phải truy cập theo đường truyền
bằng dây cáp, phải kết nối một PC vào một cổng mạng. Với mạng không dây ta chỉ
cần có máy của ta trong vùng sóng bao phủ của mạng không dây. Điều khiển cho
mạng có dây là đơn giản: đường truyền bằng cáp thông thường được đi trong các
tòa nhà cao tầng và các port không sử dụng có thể làm cho nó disable bằng các ứng
dụng quản lý. Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên
qua vật liệu của các tòa nhà và như vậy sự bao phủ là không giới hạn ở bên trong
một tòa nhà. Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát từ các
mạng LAN này, và như vậy ai đó có thể truy cập nhờ thiết bị thích hợp. Do đó
mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công
GVHD: ThS Nguyễn Minh Thi Sinh Viên: Huỳnh Thái Châu
Trường Cao Đẳng Nguyễn Tất Thành Trang 16
ty của họ. Để cung cấp mức bảo mật tối thiểu cho mạng WLAN thì ta cần hai thành phần sau:
+ Cách thức để xác định ai có quyền sử dụng WLAN - yêu cầu này được thỏa mãn
bằng cơ chế xác thực( authentication) .
+ Một phương thức để cung cấp tính riêng tư cho các dữ liệu không dây – yêu cầu
này được thỏa mãn bằng một thuật toán mã hóa ( encryption).
GVHD: ThS Nguyễn Minh Thi Sinh Viên: Huỳnh Thái Châu
Trường Cao Đẳng Nguyễn Tất Thành Trang 17
phần cứng của họ (ví dụ như địa chỉ MAC). EAS duy trì một cơ sở dữ liệu của các
Client không dây được cho phép và các AP riêng biệt khóa hay lưu thông lưu lượng
phù hợp.
+ Encryption: WLAN cũng hỗ trợ WEP, 3DES và chuẩn TLS(Transport Layer
Sercurity) sử dụng mã hóa để tránh người truy cập trộm. Các khóa WEP có thể tạo
trên một per-user, per session basic.
+Authentication: WLAN hỗ trợ sự ủy quyền lẫn nhau (bằng việc sử dụng 802.1x
EAP-TLS) để bảo đảm chỉ có các Client không dây được ủy quyền mới được truy
cập vào mạng. EAS sử dụng một RADIUS server bên trong cho sự ủy quyền bằng
việc sử dụng các chứng chỉ số. Các chứng chỉ số này có thể đạt được từ quyền
chứng nhận bên trong (CA) hay được nhập từ một CA bên ngoài. Điều này đã tăng
tối đa sự bảo mật và giảm tối thiểu các thủ tục hành chính.
+Firewall: EAS hợp nhất packet filtering và port blocking firewall dựa trên các
GVHD: ThS Nguyễn Minh Thi Sinh Viên: Huỳnh Thái Châu
Trường Cao Đẳng Nguyễn Tất Thành Trang 20
chuỗi IP. Việc cấu hình từ trước cho phép các loại lưu lượng chung được enable hay
disable.
+VPN: EAS bao gồm một IPSec VPN server cho phép các Client không dây thiết
lập các session VPN vững chắc trên mạng.
1.1.5. Các giải pháp bảo mật:
1.1.5.1. WLAN VPN:
Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ
liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng
một cơ chế bảo mật như IPSec (Internet Protocol Security). IPSec dùng các thuật
toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa
dữ liệu, và dùng các thuật toán khác để xác thực gói dữ liệu. IPSec cũng sử dụng
thẻ xác nhận số để xác nhận khóa mã (public key). Khi được sử dụng trên mạng
1.1.5.4. 802.1x và EAP:
802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng(port-based) được định nghĩa
bởi IEEE. Hoạt động trên cả môi trường có dây truyền thống và không dây. Việc
điều khiển truy cập được thực hiện bằng cách: Khi một người dùng cố gắng kết nối
GVHD: ThS Nguyễn Minh Thi Sinh Viên: Huỳnh Thái Châu
Trường Cao Đẳng Nguyễn Tất Thành Trang 22
vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị
chặn(blocking) và chờ cho việc kiểm tra định danh người dùng hoàn tất.
1.1.5.5. WPA (Wi-Fi Protected Access):
WEP được xây dựng để bảo vệ một mạng không dây tránh bị nghe trộm. Nhưng
nhanh chóng sau đó người ta phát hiện ra nhiều lổ hỏng ở công nghệ này. Do đó,
công nghệ mới có tên gọi WPA (Wi-Fi Protected Access) ra đời, khắc phục được
nhiều nhược điểm của WEP.
Trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá
TKIP (Temporal Key Integrity Protocol). WPA cũng sử dụng thuật toán RC4 như
WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá
cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể
thực hiện được với WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao
GVHD: ThS Nguyễn Minh Thi Sinh Viên: Huỳnh Thái Châu
Trường Cao Đẳng Nguyễn Tất Thành Trang 23
giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu.
Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin
(Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở
trên đường truyền. WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả
2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá
lúc đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi
tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm.
GVHD: ThS Nguyễn Minh Thi Sinh Viên: Huỳnh Thái Châu
Trường Cao Đẳng Nguyễn Tất Thành Trang 25
1.1.6.2. Mật mã khối:
Mật mã khối sinh ra một chuỗi khóa duy nhất và có kích thước cố định(64 hoặc 128
bit). Chuỗi kí tự chưa được mã hóa( plaintext) sẽ được phân mảnh thành những
khối(block) và mỗi khối sẽ được trộn với chuỗi khóa một cách độc lập. Nếu như
khối plaintext nhỏ hơn khối chuỗi khóa thì plaintext sẽ được đệm thêm vào để có
được kích thước thích hợp. Tiến trình phân mảnh cùng với một số thao tác khác của
mật mã khối sẽ làm tiêu tốn nhiều tài nguyên CPU.
Tiến trình mã hóa dòng và mã hóa khối còn được gọi là chế độ mã hóa khối mã
điện tử ECB (Electronic Code Block). Chế độ mã hóa này có đặc điểm là cùng một
đầu vào plaintext ( input plain) sẽ luôn luôn sinh ra cùng một đầu ra ciphertext
(output ciphertext). Đây chính là yếu tố mà kẻ tấn công có thể lợi dụng để nhận
dạng của ciphertext và đoán được plaintext ban đầu.
GVHD: ThS Nguyễn Minh Thi Sinh Viên: Huỳnh Thái Châu
Copyright: Tài liệu đại học ©