An ninh mạng WLAN

b¸o c¸o ®å ¸n tèt nghiÖp ®¹i häc §Ò tµi: An ninh m¹ng WLAN Gi¸o viªn h­íng dÉn: ThS. NguyÔn Xu©n Hoµng Sinh viªn thùc hiÖn: NguyÔn §×nh Trung Hµ néi 11/2005 Häc viÖn c«ng nghÖ b­u chÝnh viÔn th«ng NéI DUNG B¸O C¸O Tæng quan vÒ m¹ng Wireless LAN KiÕn tróc m¹ng Wireless LAN An ninh m¹ng Wireless LAN KÕt luËn Tæng quan w lan Kh¸i niÖm WLAN CÊu h×nh m¹ng M« h×nh kÕt nèi m¹ng Phæ tÇn Ph­¬ng ph¸p ®iÒu chÕ ChuÈn 802.11 CÊu h×nh lan vµ wlan CÊu h×nh m¹ng WLAN CÊu h×nh m¹ng LAN token ring ­u nh­îc ®iÓm wlan ¦u ®iÓm : TÝnh di ®éng TÝnh ®¬n gi¶n vµ tèc ®é l¾p ®Æt TÝnh linh ho¹t Gi¶m chi phÝ TÝnh v« h­íng Nh­îc ®iÓm : B¨ng th«ng hÑp §iÒu kiÖn kªnh kh«ng æn ®Þnh theo thêi gian §é suy hao cao C¸c m« h×nh kÕt nèi  m¹ng WLAN §iÓm – ng­êi dïng B¨ng tÇn ISM Industrial, Scientific, Medical C¸c chuÈn IEEE 802.11 802.11b 802.11a 2.4 GHz 5 GHz 1-11 Mbps 20-54 Mbps (h.nay) 100+Mbps (t.lai) B¨ng tÇn Tèc ®é sè liÖu 802.11g 2.4 GHz Kªnh kh«ng chång lÊn 3 8 3 Wi-Fi Cã Cã Dù kiến < 54 Mbps ChuÈn KiÕn tróc ieee 802.11 KiÕn tróc m¹ng wlan C¸c thiÕt bÞ cña wlan AP : Lµ thiÕt bÞ kÕt nèi LAN h÷u tuyÕn víi WLAN Cho phÐp sè liÖu ®i qua hai m«i tr­êng kh¸c nhau BRIDGE: T­¬ng tù cÇu h÷u tuyÕn Lµ nèi hai hay nhiÒu m¹ng c¸ch xa nhau vµo mét LAN duy nhÊt Nót v« tuyÕn Client C¸c ®iÓm truy nhËp (AP) TËp dÞch vô c¬ b¶n  Base Service Set Gåm mét AP ®­îc kÕt nèi ®Õn m¹ng cè ®Þnh vµ mét tËp hîp c¸c ®Çu cuèi v« tuyÕn TËp dÞch vô c¬ së ®éc lËp IBSS:Independent BSS Gåm nhiÒu tr¹m ®Çu cuèi v« tuyÕn th«ng tin trùc tiÕp víi nhau kh«ng qua AP mµ qua m¹ng Ad-Hoc TËp dÞch vô më réng  ESS: Extended Service Set Mét lo¹t c¸c BSS chång lÊn Mçi BSS mang mét AP ®­îc kÕt nèi th«ng qua mét hÖ thèng ph©n phèi (DS) C¸c ph­¬ng ph¸p truy cËp PCF phèi hîp ph©n t¸n TruyÒn ®ång bé Th¨m dß truy cËp Khung b¾t buéc ChØ dïng cho m¹ng cã ®Çy ®ñ c¬ së h¹ tÇng DCF phèi hîp ®iÓm TruyÒn dÞ bé Giao thøc CSMA/CA Cµi ®Æt trªn tÊt c¶ c¸c tr¹m Cã thÓ dïng cho c¶ m¹ng ad-hoc vµ m¹ng cã ®Çy ®ñ c¬ së h¹ tÇng C¸c d¹ng khung phæ biÕn Khung RTS Khung CTS Khung ACK An ninh wlan C¸c nguy hiÓm ®èi víi WLAN C¸c biÖn ph¸p ®èi phã Giao thøc t­¬ng ®­¬ng h÷u tuyÕn C¸c nguy hiÓm ®èi víi wlan Ph¸ huû SSID Nghe trém Sù gi¶ m¹o Söa ®æi d÷ liÖu NhiÔu TÊn c«ng mËt m· Nguy hiÓm ®èi víi m¹ng qu¶ng b¸ §iÓm truy cËp ®Óu Nghe trém vµ  biÖn ph¸p ®èi phã TÝn hiÖu cã thÓ bÞ truyÒn ra ngoµi toµ nhµ C¸c anten víi ®é nh¹y c¶m rÊt cao cã thÓ thu ®­îc tÝn hiÖu ®ã TÝn hiÖu cã thÓ bÞ nghe trém C¸c biÖn ph¸p ®èi phã: lµm mê tÝn hiÖu RF nh­ Che ch¾n Sö dông c¸c anten ®Þnh h­íng X¸c ®Þnh vÞ trÝ anten vµ qu¶n lý c«ng suÊt truyÒn Ng­êi tÊn c«ng ph¸t ra mét sè tÝn hiÖu cïng b¨ng tÇn lµm nhiÔu tÝn hiÖu ®Õn m¸y thu C¸c biÖn ph¸p ®èi phã Gi¸m s¸t m¹ng ®Þnh kú Sö dông bé chØ n¨ng l­îng tÝn hiÖu ®Ó ph¸t hiÖn ra nguån nhiÔu vµ chiÕm dông nã Ng¾t kh¶ n¨ng cña c¸c kh¸ch hµng vµ ®iÓm truy cËp ®Ó sö dông chuçi khung RTS vµ CTS NhiÔu vµ vµ biÖn ph¸p ®èi phã TÊn c«ng mËt m· vµ biÖn ph¸p ®èi phã MËt m· WEP yÕu nªn mét sè kÎ ph¸ ho¹i ®· tÊn c«ng vµo mËt m· Khi mËt m· bÞ ph¸ huü nã sÏ rÊt nguy hiÓm C¸c biÖn ph¸p ®èi phã Sö dông vect¬ IV dµi h¬n Thay ®æi kho¸ ®éng Cho phÐp WEP Sö dông tªn m¹ng mÆc ®Þnh Kh«ng cho phÐp qu¶ng b¸ tªn m¹ng Thay ®æi ®Þnh kú kho¸ mËt m· H¹n chÕ ®Þa chØ MAC §Þnh vÞ vµ b¶o mËt truy cËp ®iÓm anten Giíi h¹n c¸c kh¸ch hµng DHCP Thùc thi m¹nh h¬n nhËn thùc vµ m· ho¸ Kh«ng cho phÐp danh môc dïng chung Sö dông bøc t­êng löa c¸c ph­¬ng ph¸p b¶o vÖ m¹ng Kh¸i niÖm WEP Giao thøc wep WEP lµ mét giao thøc m· ho¸ Sö dông ký sè RC4 Keystream ®­îc kÕt hîp víi b¶n tin ®Ó t¹o ra ciphertext KÕt hîp ciphertext víi keystream ®Ó nhËn ®­îc b¶n tin ban ®Çu RC4 sö dông XOR ho¹t ®éng kÕt hîp chuçi khãa vµ ciphertext Ho¹t ®éng chuçi ký sè chung Ho¹t ®éng gi¶i m· wep WEP sö dông mét khãa bÝ mËt 40 bÝt Kho¸ nµy kÕt hîp víi vect¬ khëi t¹o 24 bÝt IV ®Ó t¹o ra khãa RC4 64 bÝt RC4 lÊy 64 bit ®Çu vµo vµ ph¸t sinh mét chuçi khãa b»ng ®é dµi cña th©n khung IV Chuçi khãa ®ã XOR víi th©n khung vµ IV ®Ó m· hãa nã Tr­íc khi m· hãa, khung ®­îc ch¹y qua mét gi¶i thuËt kiÓm tra toµn vÑn Gi¸ trÞ kiÓm tra toµn vÑn ICV b¶o vÖ néi dung chèng l¹i viÖc lôc läi b¶o ®¶m khung kh«ng thay ®æi trong qu¸ tr×nh truyÒn dÉn Xö lý d÷ liÖu WEP Ho¹t ®éng gi¶i m· wep Sù t¹o kho¸: WEP sö dông tËp hîp 4 kho¸ mÆc ®Þnh. NÕu mét tr¹m thu ®­îc khãa mÆc ®Þnh cho tËp dÞch vô, nã cã thÓ truyÒn th«ng sö dông WEP Khung WEP : Gåm 8 byte: 4 byte IV vµ 4 cho ICV Thuéc tÝnh gi¶i m·: Sö dông WEP cña IV ®Ó m· hãa nh÷ng gãi kh¸c nhau víi nh÷ng khãa RC4 kh¸c nhau Ph©n phèi kho¸: Lµ nh­îc ®iÓm cña WEP Ho¹t ®éng gi¶i m· wep WEP h÷u Ých viÖc b¶o vÖ chèng l¹i nh÷ng sù tÊn c«ng t×nh cê b¾t l­u l­îng Qu¶n lý khãa b»ng tay lµ mét vÊn ®Ò nghiªm tóc Khi mét bÝ mËt ph©n chia réng r·i, nã nhanh chãng kh«ng cßn lµ mét bÝ mËt D÷ liÖu ®­îc gi÷ bÝ mËt cÇn ph¶i sö dông hÖ thèng m· hãa m¹nh h¬n WEP kh«ng b¶o vÖ nh÷ng ng­êi dïng lÉn nhau  KÕt luËn vµ khuyÕn c¸o KÕt luËn §å ¸n nµy ®· ®¹t ®­îc c¸c kÕt qu¶ nh­ sau: Ph¸c th¶o tæng quan vÒ m¹ng Wireless LAN M« t¶ kiÕn tróc m¹ng Wireless LAN C¸c ph­¬ng ph¸p truy cËp ®­êng truyÒn Tæng quan vÒ an ninh Wireless LAN C¸c biÖn ph¸p thùc thi b¶o vÖ m¹ng Wireless LAN Giao thøc t­¬ng ®­¬ng h÷u tuyÕn WEP phæ tÇn 5GHz Mü (FCC) 12 Kªnh (*cã thÓ dïng anten cã t¨ng Ých ®Õn 6dBi)  C«ng nghÖ tr¶i phæ Môc đich cña tr¶i phæ lµ ®Ó gi¶m nhiÔu do nhiÒu thiÕt bÞ v« tuyÕn cïng sö dông chung b¨ng tÇn v« tuyÕn (ISM ch¼ng h¹n) DSSS: Direct Sequence Spread Spectrum Tr¶i phæ chuçi trùc tiÕp FHSS: Frequency Hopping SpreadSpectrum Tr¶i phæ nh¶y tÇn  dsss DSSS thùc hiÖn bæ sung c¸c chip d­ vµo bit kªnh ®Ó b¶o vÖ m¸y thu khái mÊt sè liÖu Th«ng th­êng, 11 ®Õn 20 chip ®­îc sö dông cho mét bit, ®iÒu nµy phô thuéc vµo tõng øng dông. ThÝ dô vÒ bit 11 chip ®­îc nh­ sau: 0=10010010110 1=01101101001 Do mét bit kªnh ®­îc truyÒn b»ng nhiÒu chip nªn tèc ®é truyÒn dÉn t¨ng dÉn ®Õn ®é r«ng b¨ng tÇn t¨ng Tû sè gi÷a ®é réng b¨ng tÇn vµ tèc ®é sè liÖu ®­îc gäi lµ ®é lîi xö lý. Trong tr­êng hîp xÐt ë trªn ®é lîi xö lý b¨ng 22/11/8=16 fhss HÖ thèng FHSS lµ cho phÐp nhÈy hay chuyÓn ®æi tÇn sè sãng mang ë mét tËp hîp c¸c tÇn sè theo mÉu ®­îc x¸c ®Þnh bëi chuçi gi¶ t¹p ©m PN (Pseudonoise) T¹i b¨ng tÇn 900 MHz c¸c m¸y ph¸t ph¶i nhÈy Ýt 50 tÇn sè víi thêi gian dõng t¹i mçi tÇn sè kh«ng qu¸ 0,4 ms T¹i b¨ng tÇn 2,4 GHz c¸c m¸y ph¸t ph¶i nhÈy Ýt nhÊt 75 tÇn sè víi thêi gian dõng t¹i mçi tÇn sè kh«ng qu¸ 0,4 ms ­u ®iÓm cña tr¶i phæ Hạn chế nhiễu Tăng dung lượng mạng Khả năng điều phối mạng Hiệu suất ổn định Các mạng chồng chéo nhau Tính di động Tính an toàn Sù bÊt th­êng thiÕt kÕ Qu¶n lý b»ng tay Sö dông kho¸ bÝ mËt 40 b trong khi khuyÕn c¸o lµ 128b Chuçi ký sè cã thÓ bÞ lµm h¹i khi sö dông l¹i chuçi kho¸ tuy nhiªn trong thùc tÕ ë m¹ng bËn rén nã vÉn an toµn. WEP sö dông mét CRC cho sù kiÓm tra toµn vÑn. MÆc dÇu gi¸ trÞ kiÓm tra toµn vÑn ®­îc m· hãa bëi chuçi khãa RC4, CRCs kh«ng ph¶i lµ an toµn mËt m· NhËn thùc, ®Æc tÝnh nµy cã thÓ bÞ tÊn c«ng bëi viÖc ®¸nh lõa truy nhËp vµo trong khung chuyÓn ph¸t ®­îc m· hãa bëi WEP. Nh÷ng khung nhËn ®­îc bëi ®iÓm truy nhËp ®­îc gi¶i m· vµ truyÒn dÉn tíi ng­êi tÊn c«ng tr¹m. NÕu ng­êi tÊn c«ng ®ang sö dông WEP, ®iÓm truy nhËp cã Ých m· hãa khung sö dông khãa ng­êi c«ng kÝch.  VÊn ®Ò víi WEP  NhËn thùc, liªn kÕt, liªn kÕt l¹i Sù t­¬ng quan gi÷a sè IV vµ hµm ®é dµi kho¸ bÝ mËt an ninh m¹ng wireless lan Giao thøc t­¬ng ®­¬ng h÷u tuyÕn wep Thay ®æi thÝch hîp cho nh÷ng ®Þnh vÞ kh¸c Nh÷ng tr¹m ®iÖn tho¹i tõ xa cÇn ph¶i ®­îc b¶o vÖ bëi nh÷ng hÖ thèng VPN m¹nh mÏ nh­ IPSec VPNs tíi nh÷ng v¨n phßng nh¸nh theo kiÓu site-to-site Dõng bÊt cø gãi nµo yªu cÇu phÇn mÒm kh¸ch hµng thùc hiÖn b¶o vÖ gi¶i m·-hãa m¹nh mÏ An ninh møc cao, c«ng nghÖ ®iÓm tíi ®iÓm IPSec KÕt luËn vµ khuyÕn c¸o NhËn thùc: NhËn d¹ng ng­êi sö dông b»ng c¸ch sö dông mét kho¸ ®Þnh h×nh chung trªn kh¸ch hµng vµ mét ®iÓm truy cËp Sù cho phÐp: Cho phÐp hay phñ nhËn mét truy nhËp ®Õn m¹ng MËt m· ho¸: Sö dông c¸c gi¶i thuËt m· ho¸ nh­ WEP, AES hoÆc TKIP Qu¶n lý c«ng suÊt: §iÒu khiÓn c«ng suÊt ph¸t tÝn hiÖu SSID t­¬ng tù mét tªn m¹ng ho¹t ®éng nh­ mét mËt m· th« Cho phÐp mét client liªn kÕt víi mét ®iÓm truy cËp ®óng Khi mËt m· SSID bÞ ph¸ Cã thÓ th¸o SSID tõ khung thiÕt bÞ b¸o hiÖu Thay ®æi SSID khi l¾p ®Æt Sö dông ®Þa chØ MAC nh­ tªn m¹ng  Ph¸ huû SSID vµ biÖn ph¸p ®èi phã Giao thøc wep Sö dông ký sè RC4 Keystream ®­îc kÕt hîp víi b¶n tin ®Ó t¹o ra ciphertext KÕt hîp ciphertext víi keystream ®Ó nhËn ®­îc b¶n tin ban ®Çu RC4 sö dông XOR ho¹t ®éng kÕt hîp chuçi khãa vµ ciphertext PRNG §­a mét kho¸ bÝ mËt vµo trong chuçi kho¸ C¶ bªn ph¸t vµ bªn thu sÏ sö dông kho¸ bÝ mËt ®ã Ho¹t ®éng chuçi ký sè chung Ho¹t ®éng chuçi kho¸ ký sè NÒN GI¶I M· M« h×nh WLAN ®ang sö dông vµ trong t­¬ng lai M« h×nh WLAN ®ang sö dông M« h×nh WLAN trong t­¬ng lai CÇu Mạng B CÇu nèi côc bé Mạng A MạngC CÇu nèi tõ xa