bee_bee_honey090
New Member
Download miễn phí Luận văn Nghiên cứu vấn đề an toàn mạng cục bộ không dây
Mục lục
Mục lục 2
Danh mục các từ viết tắt 6
Danh mục các bảng và hình vẽ 7
Mở đầu 9
chương 1: mạNG CụC Bộ KHÔNG DâY wlan – NHữNG VấN Đề TổNG QUAN. 11
1.1. Tổng quan mạng cục bộ không dây WLAN họ 802.11 11
1.1.1. Kiến trúc mạng WLAN.
1.1.2. Các thành phần WLAN.
1.1.3. Phạm vi phủ sóng.
1.1.4. Băng tần sử dụng.
1.1.4.1. Băng tần ISM.
1.1.4.2. Băng tần UNII.
1.1.5. Các chuẩn chính trong họ 802.11 22
1.1.5.1. Chuẩn 802.11. 22
1.1.5.2. Chuẩn 802.11b. 22
1.1.5.3. Chuẩn 802.11a. 22
1.1.5.4. Chuẩn 802.11g 23
1.1.5.5. Chuẩn 802.11e 23
1.2. Cơ chế truy nhập môi trường tầng MAC 802.11. 23
1.2.1. Phương pháp truy nhập cơ sở– chức năng phối hợp phân tán DCF. 25
1.2.2. Phương pháp điểu khiển truy nhập môi trường: chức năng phối hợp điểm PCF. 28
1.2.3. Phương pháp điều khiển truy nhập môi trường: chức năng phối hợp lai HCF. 28
1.3. Các kỹ thuật tầng vật lý 802.11. 30
1.3.1. Trải phổ chuỗi trực tiếp DSSS31
1.3.2. Đa phân chia tần số trực giao OFDM.31
Chương 2: An toàn mạng WLAN – Nguy cơ và giải pháp. 33
2.1. Những cơ chế an toàn mạng WLAN. 33
2.1.1. Độ tin cậy. 35
2.1.2. Tính toàn vẹn. 36
2.1.3. Xác thực. 37
2.1.3.1. Xác thực mở và những lỗ hổng. 37
2.1.3.2. Xác thực khoá chia sẻ và những lỗ hổng. 38
2.1.3.3. Xác thực địa chỉ MAC và những lỗ hổng. 39
2.1.4. Tính sẵn sàng. 39
2.1.5. Điều khiển truy cập. 40
2.1.6. Mãhoá/Giải mã. 40
2.1.7. Quản lý khoá. 40
2.2. Những mối đe dọa an toànWLAN và những lổ hổng an toàn. 41
2.2.1. Tấn công thụ động. 43
2.2.2. Tấn công chủ động. 47
2.3. Các biện pháp đảm bảo an toàn WLAN. 59
2.3.1. Các biện pháp quản lý. 59
2.3.2. Các biện pháp vận hành. 60
2.3.3. Các biện pháp kỹ thuật. 62
2.3.3.1. Các giải pháp phần mềm. 62
2.3.3.2. Các giải pháp phần cứng. 76
2.2.4. Những chuẩn và những công nghệ an toàn WLAN tiên tiến hiện nay. 78
Chương 3: Một số biện pháp an toàn WLAN thông dụng. 81
3.1. Đánh giá chung về các biện pháp an toàn WLAN. 81
3.2. Biện pháp an toàn WEP. 84
3.2.1. Cơ chế an toàn WEP. 84
3.2.2. ICV giá trị kiểm tra tính toàn vẹn. 88
3.2.3. Tại sao WEP được lựa chọn. 89
3.2.4. Khoá WEP. 90
3.2.5. Máy chủ quản lý khoá mãtập trung.
3.2.6. Cách sử dụng WEP. 93
3.3. Lọc. 94
3.3.1. Lọc SSID. 94
3.3.2. Lọc địa chỉ MAC. 96
3.3.3. Lọc giao thức. 98
3.4. Bảo vệ WLAN với xác thực và mã hoá dữ liệu 802.1x. 99
3.4.1. Xác thực vàcấp quyền mạng. 99
3.4.1.1. EAP TLS. 101
3.4.1.2. PEAP. 101
3.4.1.3. TTLS. 101
3.4.1.4. LEAP. 101
3.4.2. Bảo vệ dữ liệu WLAN. 102
3.4.3. ưu điểm của 802.1x với bảo vệ dữ liệu WLAN. 103
3.5. WPA và 802.11i 104
3.5.1. Mãhoá TKIP trong WPA. 104
3.5.2. Xác thực trong WPA. 106
3.5.3. Quản lý khoá trong WPA. 108
3.5.4. Đánh giá chung về giải pháp WPA. 109
3.5.5. WPA2. 112
3.6. Mạng riêng ảo VPN cho WLAN. 113
3.6.1. Những ưu điểm sử dụng VPN trong bảo vệ WLAN. 117
3.6.2. Nhược điểm sử dụng VPN trong WLAN. 118
Chương 4: Triển khai WLAN an toàn trong môi trường giáo dục.121
4.1. Vai trò tiềm năng của WLAN trong giáo dục. 121
4.2. Lựa chọn giải pháp an toàn WLAN cho khu trường học. 122
4.3. Đề xuất thực thi WLAN an toàn tại trường kỹ thuật nghiệp vụ công an.124
Kết luận 126
Phụ lục chương trình mãhoá/giảI mãfile. 127
Tài liệu tham khảo 138
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
ôngđ−ợc quyền thực hiện xác lập lại AP có thể giảm bớt những mối nguy. Các cơ
quan có thể dò những mối nguy bằng cách thực hiện những kiểm tra an toàn
th−ờng xuyên. Ngoài ra, xác lập lại có thể đ−ợc thực hiện từ xa qua giao diện
quản lý trên một số sản phẩm.Vì lý do này, cần có quản trị mật khẩu
hoàn chỉnh và mã hoá trên giao diện quản lý.
- Sử dụng chức năng MAC ACL (MAC Access Lists): một điạ chỉ MAC
là một địa chỉ phần cứng xác minh duy nhất cho mỗi máy tính (hay thiết bị đi
kèm) trên một mạng. Những mạng sử dụng địa chỉ MAC giúp quy định những
truyền thông giữa những NIC máy tính khác nhau trên cùng một subnet mạng.
Nhiều nhà sản xuất sản phẩm 802.11 cung cấp những khả năng cho việc giới
hạn truy cập tới WLAN dựa trên cơ sở những ACL MAC đ−ợc l−u trữ và phân
phối trong nhiều AP. MAC ACL cấp phát hay từ chối truy cập tới một máy
65
tính sử dụng một danh sách những cấp phép đ−ợc thiết kế bởi địa chỉ MAC.
Tuy nhiên, MAC ACL Ethernet không mô tả một cơ chế phòng thủ mạnh. Bởi
vì những địa chỉ MAC đ−ợc truyền d−ới dạng rõ từ một NIC không dây tới
một AP, MAC này có thể dễ dàng bị lấy trộm. Những ng−ời sử dụng ác tâm
có thể giả mạo một địa chỉ MAC bằng cách thay đổi địa thỉ MAC thực trên
máy tính của họ thành một địa chỉ MAC có quyền truy cập tới mạng không
dây. Biện pháp đối phó này có thể cung cấp mức an toàn nào đó; tuy nhiên,
ng−ời sử dụng nên thận trọng khi sử dụng. Nó có thể có hiệu quả chống lại
trộm không có chủ đích nh−ng sẽ không hiệu quả chống lại những kẻ thù có
dã tâm. Ng−ời sử dụng có thể coi biện pháp này nh− là một phần của chiến
l−ợc phòng thủ sâu tổng thể - bổ sung thêm những cấp độ an toàn để giảm bớt
nguy cơ. Trong một mạng cỡ vừa đến cỡ lớn, gánh nặng của việc thiết lập và
duy trì những MAC ACL có thể v−ợt quá giá trị của biện pháp đối phó an
toàn. Ngoài ra, hầu hết các sản phẩm chỉ hỗ trợ một số giới hạn những địa chỉ
MAC trong MAC ACL. Khối l−ợng danh sách truy cập có thể không đầy đủ
cho những mạng vừa đến lớn.
- Thay đổi SSID (service set identifier): SSID của AP phải đ−ợc thay đổi
từ ngầm định nhà máy. Những giá trị ngầm định của SSID đ−ợc sử dụng bởi
nhiều nhà sản xuất WLAN 802.11 đã đ−ợc công bố. Những giá trị ngầm định
nên đ−ợc thay đổi để ngăn chặn những truy cập dễ dàng. Mặc dù một đối
ph−ơng đ−ợc trang bị có thể thu đ−ợc tham số xác thực qua giao diện không
dây, nên thay đổi nó để ngăn ngừa những cố gắng kết nối mạng không dây
của đối ph−ơng.
- Tối đa khoảng cách báo hiệu (Beacon Interval): Chuẩn 802.11 chỉ ra
việc sử dụng các khung báo hiệu (Beacon) để công bố sự tồn tại của một mạng
không dây. Những beacon đ−ợc truyền từ những AP ở những khoảng thời gian
nhất định và cho phép một trạm client xác minh và tuân thủ những tham số
cấu hình để gia nhập vào mạng không dây. AP có thể đ−ợc cấu hình để triệt
66
bỏ việc truyền những khung Beacon và tr−ờng SSID bắt buộc của nó. Tuy
nhiên, độ dài khoảng thời gian có thể đ−ợc thiết lập tới giá trị cao nhất. Trong
khi việc cải thiện an toàn là phụ, nó không gây thêm khó khăn cho việc tìm
một mạng một cách bị động, bởi vì AP đơn giản hơn và SSID không đ−ợc
truyền th−ờng xuyên. Việc sử dụng một khoảng Beacon dài hơn buộc đối
ph−ơng phải thực hiện những gì đ−ợc xem nh− là sử dụng “quýet động” những
tin thăm dò (Probe) với một SSID cụ thể. Do vậy, ở những nơi có thể, những
mạng không dây nên đ−ợc cấu hình với khoảng cách beacon dài nhất.
- Vô hiệu hoá chức năng SSID quảng bá: SSID là một phần xác thực đôi
khi đ−ợc xem nh− là “tên mạng” và th−ờng là một chuỗi ký tự ASCII đơn giản
(0 đến 32 byte), tr−ờng hợp byte không là một tr−ờng hợp đặc biệt đ−ợc gọi là
SSID quảng bá (broadcast SSID). SSID đ−ợc sử dụng để chỉ định một xác thực
cho mạng không dây. Các client muốn gia nhập mạng phải có một SSID. Một
client không dây có thể xác định tất cả các mạng trong một vùng bằng việc
quýet động những AP có sử dụng những tin yêu cầu thăm dò (Probe Request)
truyền với một SSID không. SSID quảng bá thăm dò các nút một trả lời thăm
dò (Probe Response) từ tất cả những mạng 802.11 trong vùng. Việc vô hiệu
hoá đặc tính SSID quảng bá trong những AP khiến nó bỏ qua tin từ client và
thực hiện quýet động (thăm dò bằng một SSID cụ thể).
- Thay đổi khoá mật mã ngầm định: nhà sản xuất có thể cung cấp một
hay nhiều khoá để tạo khả năng xác thực khoá chia sẻ giữa thiết bị muốn
giành quyền truy cập tới mạng và AP. Việc sử dụng thiết lập khoá chia sẻ
ngầm định hình thành một lỗ hổng an ninh bởi vì nhiều nhà sản xuất sử dụng
những khoá chia sẻ giống nhau trong những thiết lập của họ. Một ng−ời sử
dụng ác tâm có thể biết khoá chia sẻ ngầm định và sử dụng nó để giành quyền
truy cập tới mạng. Việc thay đổi thiết lập khoá chia sẻ ngầm định bằng khoá
khác sẽ giảm bớt nguy cơ. Ví dụ, khoá chia sẻ có thể thay đổi thành 954617
thay bằng việc sử dụng một khoá chia sẻ ngầm định của nhà máy là 111111.
67
Dù ở cấp độ an toàn nào đi chăng nữa, các cơ quan nên thay đổi khoá chia sẻ
từ thiết lập ngầm định bởi vì nó dễ dàng bị tìm ra. Nhìn chung, các cơ quan
nên chọn những khoá có độ dài lớn nhất (ví dụ 104 bít). Cuối cùng, một
nguyên tắc th−ờng đ−ợc chấp nhận cho việc quản lý khoá hoàn hảo đó là việc
thay đổi những khoá mật mã th−ờng xuyên và khi có những thay đổi cá nhân.
- Sử dụng SNMP: một số AP không dây sử dụng những tác tử SNMP,
cho phép những công cụ quản lý mạng giám sát tình trạng của những AP
không dây và các client không dây. Hai phiên bản đầu tiên của SNMP là
SNMPv1 và SNMPv2 chỉ hỗ trợ xác thực bình th−ờng dựa trên cơ sở những
chuỗi bản rõ và kết quả về cơ bản là không an toàn. Nếu nh− trên mạng không
yêu cầu SNMP thì cơ quan nên đơn giản vô hiệu hoá SNMP. Nếu nh− một cơ
quan phải sử dụng một phiên bản của SNMP bên cạnh phiên bản 3, thì họ phải
thừa nhận và chấp nhận những nguy cơ. Nhận thức thông th−ờng rằng chuỗi
SNMP ngầm định mà các tác tử SNMP th−ờng sử dụng là từ “công khai” với
những quyền đ−ợc gán “đọc” hay “đọc và ghi”. Việc sử dụng chuỗi ngầm
định đ−ợc biết đến này sẽ tạo ra những lỗ hổng cho những thiết bị. Nếu nh−
một ng−ời sử dụng không đ−ợc quyền giành quyền truy cập và có những
quyền đọc/ghi, thì ng−ời sử dụng đó có thể ghi dữ liệu tới AP, kết quả tạo ra
một lỗ hổng toàn vẹn dữ liệu. Các cơ quan yêu cầu SNMP nên thay đổi chuỗi
ngầm định th−ờng xuyên khi cần, để tạo chuỗi an toàn. Những đặc quyền nên
đ−ợc thiết lập để “chỉ đọc” nếu nh− đó chỉ là truy cập một ng−ời sử dụng yêu
cầu. Những bao gói tin SNMPv1 và SNMPv2 chỉ hỗ trợ xác thực tầm th−ờng
dựa trên cơ sở những chuỗi bản rõ và kết quả về cơ bản là không an toàn và
không đ...