BTL NHOM8 Co che bao mat mang khong day PDF

Preview

Summary

bai tap lon...

Description

TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN

-------------------------

Trần Nguyệt Ánh 2010A01 Nguyễn Hồng Bắc 2010A01 Đặng Minh Cương 2010A01

BÁO CÁO BÀI TẬP LỚN Môn: Mạng Và Truyền Thông ĐỀ TÀI: “ Cơ Chế Bảo Mật Mạng Không Dây ” Giảng Viên Hướng Dẫn: Ths Vũ Xuân Hạnh

Hà Nội, 2021

Mục lục I, Bảo mật

3

1, Khái niệm bảo mật

3

2, Tại sao phải bảo mật mạng không dây?

3

3, Các tài nguyên cần được bảo vệ

4

4, Kẻ xấu có thể làm những gì?

4

II, Các hình thức tấn công mạng không dây

4

1, Biến đổi thông tin

5

2, Khước từ thống kê

5

3, Dò mật khẩu

5

4, Tấn công truy nhập ( Access Attack )

6

5, Từ chối dịch vụ ( Denial of Service Attack )

7

III, Các giải pháp bảo mật mạng không dây

8

1, VPN ( Virtual Private Network )

9

2, AES ( Advanced Encryption Standard )

9

3, WEP (Wried Equivalent Privacy )

10

4, TKIP ( Temporal Key Integrity Protocol )

11

5, 802.1x và EAP

12

802.1x :

12

EAP :

12

6, WPA ( Wifi Protected Access )

12

7, WPA 2

12

8, Lọc ( filtering )

13

⮚

Lọc SSID

13

⮚

Lọc địa chỉ MAC

13

⮚

Lọc giao thức

13

IV, Phần bài tập

14

Bài 1:

14

Bài 2:

15

Bài 3:

16

Bài 4:

16

Bài 5:

20

I, Bảo mật 1, Khái niệm bảo mật Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Khi mạng không dây ra đời với hàng loạt các tính năng ưu việt đã đặt ra một thử thách lớn trong việc quản trị mạng. Với số lượng thiết bị truy cập nhiều và có thể truy cập từ nhiều vị trí khác nhau, nên tài nguyên dễ bị phân tán, gây mất mát những dữ liệu cũng như các thông tin quan trọng. Từ đó, vấn đề bảo vệ thông tin xuất hiện. Và bảo mật ra đời.

2, Tại sao phải bảo mật mạng không dây? Ai cũng nhận ra rằng, mạng không dây vô cùng tiện lợi nhưng nó kém an toàn hơn so với mạng có dây. Các mạng không dây sử dụng sóng vô tuyến xuyên qua vật liệu của các tòa nhà và như vậy, sự bao phủ là không giới hạn ở bên trong một tòa nhà. Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát các mạng ... Do điều kiện truy cập của loại mạng này, khả năng truy cập của các thiết bị ngoài là vô cùng lớn. Bất kỳ thiết bị nào cũng có thể cố gắng kết nối với mạng không dây. Mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ. Vì vậy, để sử dụng mạng không dây an toàn, chúng ta cần

3, Các tài nguyên cần được bảo vệ ● Trình duyệt Web/ Server cho các giao dịch điện tử ● Client/ Server ngân hàng trực tuyến ● DNS Servers ● Các router trao đổi thông tin cập nhật bảng routing

4, Kẻ xấu có thể làm những gì? ● Nghe lén các thông điệp ● Chèn các thông điệp vào trong kết nối ● Giả danh: có thể giả mạo địa chỉ nguồn trong gói ( hoặc bất kỳ trường nào trong đó ) ● Cướp: tiếp tục kết nối hiện hành nhưng thay người gửi hoặc người nhận bằng chính họ ● Từ chối dịch vụ: dịch vụ hiện tại bị người khác dùng ( quá tải )

II, Các hình thức tấn công mạng không dây Có 5 hình thức tấn công chủ yếu: ● Biến đổi thông tin ( Modification Attack ) ● Khước từ thống kê ( Repudiation Attack ) ● Dò mật khẩu ( Password Detection ) ● Tấn công truy nhập ( Access Attack ) ● Từ chối dịch vụ ( Denial – of – Service ) 1, Biến đổi thông tin Kẻ tấn công tìm cách thay đổi các thông tin mà mình không có quyền truy nhập. Hình thức tấn công này tác động vào tính toàn vẹn của thông tin ● Thay đổi thông tin

● Chèn thêm thông tin ● Xóa thông tin 2, Khước từ thống kê Tấn công vào đặc tính thống kê của hệ thống. Từ chối hoặc khước từ các sự kiện hoặc các tác động đã thực hiện trước đó ● Masquerading ( cải trang ): đóng vai một user hoặc một hệ thống khác ● Denying an Event ( từ chối sự kiện ): từ chối các tác động đã thực hiện hoặc đã ghi vào log file trước đó 3, Dò mật khẩu ⮚ Chủ yếu là mật khẩu quản trị hệ thống ● Windows: Adminstrator ● Unix: Root ⮚ Có 2 loại tấn công dò tìm mật khẩu: ● Brute Force: dò tìm mật khẩu cho đến khi tìm thấy ● Dictionary: sử dụng từ điển các user và password để dò tìm 4, Tấn công truy nhập ( Access Attack ) Kẻ tấn công cố gắng lấy cắp các thông tin mà mình không có quyền truy cập. Kiểu tấn công này có thể xảy ra khi thông tin đang lưu được lưu trữ trên máy chủ hoặc đang được truyền đi trên đường truyền. Nó tác động đến tính bảo mật của thông tin.

● Snooping ( dò tìm ) - Kẻ tấn công tìm kiếm các thông tin trên các file dữ liệu để lấy các nội dung thông tin cần thiết bằng cách tăng quyền sử dụng hoặc giảm điều khiển truy cập vào file. - Diễn ra dưới nhiều dạng khác nhau tùy thuộc vào nguồn lưu trữ thông tin: máy tính, server, CD, tape,… ● Eavesdropping (nghe lén) - Để có quyền truy nhập và nghe được thông tin, kẻ tấn công phải chọn vị trí thích hợp nơi thông tin phải truyền ngang qua vị trí đó

lén sẽ

● Intercept (chặn) - Là một kiểu tấn công thực sự vào thông tin. - Kẻ tấn công chèn hệ thống của mình vào giữa đường truyền dữ liệu và bắt giữ thông tin trước khi gửi đến đích nhận - Kẻ tấn công có quyền chặn đứng hoặc chuyển tiếp thông tin đến nơi nhận

5, Từ chối dịch vụ ( Denial of Service Attack ) - Làm cho hệ thống không thể đáp ứng được yêu cầu sử dụng dịch vụ (phong tỏa dịch vụ) của người sử dụng chính đáng - Kẻ tấn công không giành được quyền truy cập hoặc thay đổi thông tin - Tấn công từ máy đơn lẻ

Khai thác điểm yếu của các giao thức TCP và UDP ⇨ ⇨ ⇨ ⇨

Từ chối truy cập thông tin Từ chối cung cấp ứng dụng Từ chối truy cập hệ thống Từ chối truyền tin

DDoS (Distributed Denial of Service) - Là một hình thức của tấn công DoS - Kẻ tấn công (master) cài chương trình đến các “zombies” . - Master kích hoạt các Zombies đồng loạt tấn công mục tiêu

III, Các giải pháp bảo mật mạng không dây Để cung cấp mức bảo mật tối thiểu cho mạng WLAN thì ta cần hai thành phần sau: + Một phương thức để cung cấp tính riêng tư cho các dữ liệu không dây – yêu cầu này được thỏa mãn bằng một thuật toán mã hóa ( Encryption )

+ Cách thức để xác định ai có quyền sử dụng WLAN – yêu cầu này được thỏa mãn bằng cơ chế xác thực ( Authentication )

1, VPN ( Virtual Private Network ) - Bảo vệ mạng không dây bằng cách tạo ra một kênh có khả năng che chắn dữ liệu khỏi các truy cập trái phép. VPN sử dụng cơ chế bảo mật IPSec (Internet Protocol Security) tạo ra một tin cậy cao. IPSec dùng các thuật toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu, và dùng các thuật toán khác để xác thực gói dữ liệu. - Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa.

Cách VPN mã hóa kết nối internet để tối đa hóa quyền riêng tư

2, AES ( Advanced Encryption Standard ) - AES được phê chuẩn bởi NIST (National Institute of Standard and Technology), AES có thể đáp ứng được các nhu cầu của người dùng. Trong đó, chế độ đặc biệt này của AES được gọi là CBC-CTR (Cipher Block Chaining Counter Mode) với CBC-MAC (Cipher Block Chaining Message Authenticity Check). Tổ hợp của chúng được gọi là AES-CCM . Chế độ CCM là sự kết hợp của mã hóa

CBC-CTR và thuật toán xác thực thông điệp CBC-MAC. Sự kết hợp này cung cấp cả việc mã hóa cũng như kiểm tra tính toàn vẹn của dữ liệu gửi. + Mã hóa CBC – CTR sử dụng một biến đếm để bổ sung cho chuỗi khóa. Biến đếm sẽ tăng lên 1 sao khi mã hóa cho mỗi khối ( block ). Tiến trình này đảm bảo chỉ có duy nhất một khóa cho mỗi khối. Chuỗi ký tự chưa được mã hóa sẽ được phân mảnh ra thành các khối 16 byte + Mã hóa CBC – MAC hoạt động bằng cách sử dụng kết quả của mã hóa CBC cùng với chiều dài frame, địa chỉ nguồn, địa chỉ đích và dữ liệu. Kết quả sẽ cho ra giá trị 128 bit và được cắt thành 64 bit để sử dụng lúc truyền thống - AES-CCM yêu cầu chi phí khá lớn cho cả quá trình mã hóa và kiểm tra tính toàn vẹn của dữ liệu gửi nên tiêu tốn rất nhiều năng lực xử lý của CPU khá lớn. 3, WEP (Wried Equivalent Privacy ) - WEP là một thuật toán nhằm bảo vệ sự trao đổi thông tin chống lại sự nghe trộm, chống lại những nối kết mạng không được cho phép cũng như chống lại việc thay đổi hoặc làm nhiễu thông tin truyền - Chuẩn 802.11 cung cấp tính riêng tư cho dữ liệu bằng thuật toán WEP. WEP dựa trên mật mã dòng đối xứng RC4( Ron’s code 4) được Ron Rivest thuộc hãng RSA Security Inc phát triển. - Hiện nay, trên Internet đã sẵn có những công cụ có khả năng tìm khóa WEP như AirCrack, AirSnort, dWepCrack, WepAttack, WepCrack, WepLab.

Sơ đồ mã hóa bằng WEP

Tiến trình mã hóa và giải mã WEP - Giải pháp WEP tối ưu + Sử dụng khóa WEP có độ dài 128 bit: Thường các thiết bị WEP cho phép cấu hình khóa ở 3 độ dài: 40 bit, 64 bit, 128 bit. Sử dụng khóa với độ dài 128 bit gia tăng số lượng gói gữi liệu hacker cần phải có để phân tích IV, gây khó khăn và kéo dài thời gian giải mã khóa WEP + Thực thi chính sách thay đổi khóa WEP định kỳ: do WEP không hỗ trợ phương thức thay đổi khóa tự động nên sự thay đổi khóa định kỳ sẽ gây khó khăn cho người sử dụng. Nên thực hiện ít nhất 1 lần trong tháng hoặc khi nghi ngờ có khả năng bị lộ khóa + Sử dụng các công cụ theo dõi số liệu thống kê dữ liệu trên đường truyền không dây: Do các công cụ dò khóa WEP cần bắt được số lượng lớn gói dữ liệu và hacker có thể phải sử dụng các công cụ phát sinh dữ liệu nên sự đột biến về số lượng dữ liệu có thể là dấu hiệu của một cuộc tấn công WEP, đánh động người quản trị mạng phát hiện và áp dụng các biện pháp phòng chống kịp thời

4, TKIP ( Temporal Key Integrity Protocol )

- Là giải pháp của IEEE được phát triển năm 2004. Là một nâng cấp cho WEP nhằm vá những vấn đề bảo mật trong cài đặt mã dòng RC4 trong WEP. TKIP dùng hàm băm(hashing) IV để chống lại việc giả mạo gói tin, nó cũng cung cấp phương thức để kiểm tra tính toàn vẹn của thông điệp MIC (Message Integrity Check ) để đảm bảo tính chính xác của gói tin. TKIP sử dụng khóa động bằng cách đặt cho mỗi frame một chuỗi số riêng để chống lại dạng tấn công giả mạo.

5, 802.1x và EAP 802.1x : - Là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) được định nghĩa bởi IEEE. Khi một người dùng cố gắng kết nối vào hệ thống mạng sẽ được đặt ở trạng thái bị chặn(blocking) và chờ cho việc kiểm tra định danh người dùng hoàn tất. EAP : - EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, certificate,…), giao thức được sử dụng (MD5, TLS_Transport Layer Security, OTP,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau.

6, WPA ( Wifi Protected Access ) - Cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP. WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. - WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check) để tăng cường integrity của thông tin truyền. MIC là một message 64 bit được tính dựa trên thuật tóan Michael. MIC sẽ được gửi trong gói TKIP và giúp người nhận kiểm tra xem thông tin nhận được có bị lỗi trên đường truyền hoặc bị thay đổi bởi kẻ phá hoại hay không.Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền. - WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu.

7, WPA 2 - Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES (Advanced Encryption Standard). AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit - Cung cấp cho các quản trị viên mạng lưới với một mức độ bảo đảm rằng chỉ cho phép người dùng có thể truy cập vào mạng. Dựa trên phê chuẩn IEEE 802.11I, WPA2 cung cấp lớp bảo mật của chính phủ triển khai thực hiện các quốc gia Viện Tiêu chuẩn và Công nghệ ( NIST ) FIPS 140-2 tuân thủ thuật toán mã hóa AESS - WPA2 có thể được kích hoạt trong hai phiên bản - WPA2 - cá nhân và WPA2 - Doanh nghiệp. WPA2 - bảo vệ cá nhân không được phép truy cập vào mạng lưới của sử dụng một thiết lập mật khẩu. WPA2 - Doanh nghiệp xác minh thông qua một mạng lưới người sử dụng máy chủ. WPA2 là quay trở lại tương thích với WPA 8, Lọc ( filtering ) - Lọc là cơ chế bảo mật cơ bản có thể sử dụng cùng với WEP. Lọc hoạt động giống như Access list trên router, cấm những cái không mong muốn và cho phép những cái mong muốn. Có 3 kiểu lọc cơ bản có thể được sử dụng: ⮚ Lọc SSID - Lọc SSID là một phương thức cơ bản của lọc và chỉ nên được sử dụng cho việc điều khiển truy cập cơ bản. - SSID của client phải khớp với SSID của AP để có thể xác thực và kết nối với tập dịch vụ. SSID được quảng bá mà không được mã hóa trong các Beacon nên rất dễ bị phát hiện bằng cách sử dụng các phần mềm - Một số sai lầm mà người sử dụng WLAN mắc phải trong việc quản lý SSID gồm: ● Sử dụng giá trị SSID mặc định tạo điều kiện cho hacker dò tìm địa chỉ MAC của AP ● Sử dụng SSID có liên quan đến công ty ● Sử dụng SSID như là phương thức bảo mật của công ty ● Quảng bá SSID một cách không cần thiết ⮚ Lọc địa chỉ MAC - Hầu hết các AP đều có chức năng lọc địa chỉ MAC. Người quản trị có thể xây dựng danh sách các địa chỉ MAC được cho phép. - Nếu client có địa chỉ MAC không nằm trong danh sách lọc địa chỉ MAC của AP thì AP sẽ ngăn chặn không cho phép client đó kết nối vào mạng.

- Nếu công ty có nhiều client thì có thể xây dựng máy chủ RADIUS có chức năng lọc địa chỉ MAC thay vì AP. Cấu hình lọc địa chỉ MAC là giải pháp bảo mật có tính mở rộng cao. ⮚ Lọc giao thức - Mạng Lan không dây có thể lọc các gói đi qua mạng dựa trên các giao thức từ lớp 2 đến lớp 7. Trong nhiều trường hợp người quản trị nên cài đặt lọc giao thức trong môi trường dùng chung.

IV, Phần bài tập Bài 1: - Cho 1 chuỗi được chuyền đi dưới đây: 0110110 1011000 1100111 0011001 - Tìm chuỗi phát sử dụng phương pháp kiểm tra lỗi LRC

0

1

1

0

1

1

0

1

0

1

1

0

0

0

1

1

0

0

1

1

1

0

0

1

1

0

0

1

0

0

0

0

LRC thu => 0

0

1

=> Dữ liệu sai 1 bit. - Giả sử rằng ta nhận được chuỗi thu như sau: 01101100 10110001 11001111 00110011 01010011 Chuỗi thu này có đúng hay không? Tại sao? 0

1

1

0

1

1

0

0

1

0

1

1

0

0

0

1

1

1

0

0

1

1

1

1

0

0

1

1

0

0

1

1

0

1

0

1

0

0

1

1

0

1

1

1

0

0

1

0

Chuỗi thu =>

Bài 2: Cho một dữ liệu X: 101101, được mã hóa lỗi theo dạng CRC với số chia ( đa thức sinh) có dạng 1001. - Tìm CRC. 101101000 1001

1001 101000

001001 1001 0000000 ⇨ Chuỗi dữ liệu phát: 101101000 - Giả sử máy thu nhận được chuỗi dữ liệu Y: 100101001. Hãy cho biết chuỗi dữ liệu nhận đuoẹc đúng và chuỗi nào sai? Giải thích? 100101001 1001 000001001 1001 0000

1001 100001

⇨ Chuỗi dữ liệu nhận được là đúng. ⇨ Vì kết quả nhận được là 000.

Bài 3: Chia subnet Đề bài: Mạng 172.16.0.0/16, mượn 10 bits. - Số subnet: =1024 subnets ( Mạng thuộc lớp B) - Số host trên mỗi subnet: hosts/subnet - Subnet mask: 255.255.255.192 Mạng con 1

Mạng con 2

Mạng con 3

Mạng con 4

Địa chỉ mạng

172.16.0.0/26

172.16.64.0/26

172.16.128.0/26

172.16.192.0/26

Địa chỉ host đầu

172.16.0.1/26

172.16.64.1/26

172.16.128.1/26

172.16.192.1/26

…

…

...

…

...

Địa chỉ host cuối

172.16.63.254/26 172.16.127.254/26 172.16.191.254/26

172.16.255/26

Địa chỉ Broadcast

172.16.63.255/26 172.16.127.255/26 172.16.191.255/26

172.16.255/26

Bài 4: Cho địa chỉ 192.168.1.0/24 sử dụng kĩ thuật VLMS để chia subnet theo sơ đồ sau:

Giải Bước 1: Sắp xếp các mạng cần chia theo thứ tự giảm dần: ⮚

LAN1: 100 hosts

=>

192.168.1.0/25

⮚

LAN2: 50 hosts

=>

192.168.1.128/26

⮚

LAN3: 20 hosts

=>

192.168.1.192/27

⮚

R12: 2 hosts

=>

192.168.1.248/30

=>

192.168.1.252/30

⮚

R23: 2 hosts

Bước 2: Xác định số lớp, số bit của phần hosts: ⮚

Lớp C

⮚

Số bits của phần hosts: 32 - prefix = 32 - 24 = 8 = 28 - 2 = 254 hosts

Bước 3: Chia subnet theo subnet lớn nhất : ⮚ LAN1: 100 hosts ⮚ Mượn 1 bits, chia được 2 subnets: ⮚ Mạng 11: 192.168.1.0/25

cho LAN1.

Địa chỉ mạng: 192.168.10/25 Địa chỉ broadcast: 192.168.1.127 Địa chỉ gateway: 192.168.1.1

Địa chỉ dành cho hosts: 192.168.1.2

192.168.1.126

⮚ Mạng 12: 192.168.1.128/25 Bước 4: Quay lại Bước 3 với subnet tiếp theo: ⮚ Mượn thêm 1 bit, chia được 2 subnets ⮚ Mạng 121: 192.168.1.128/26

LAN2

Địa chỉ mạng: 192.168.1.128/26 Địa chỉ broadcast: 192.168.1.191 Địa chỉ gateway: 192.168.1.1 Địa chỉ dành cho hosts: 192.168.1.130

192.168.1.190

⮚ Mạng 122: 192.168.1.192/26 Bước 4+ : Quay lại Bước 3 với subnets tiếp theo: ⮚ Mượn thêm 1 bits, chia được 2 subnets: ⮚ Mạng 1221: 192.168.1.192/27

LAN 3

Địa chỉ mạng: 192.168.1.192/27 Địa chỉ broadcast: 192.168.1.1223 Địa chỉ gateway: 192.168.1.1 Địa chỉ dành cho hosts: 192.168.1.194

192.168.1.222

⮚ Mạng 1222: 192.186.1.224/27 Bước 4++: Quay lại Bước 3 với subnet tiếp theo: ⮚ Mượn thêm 1 bits, chia được 2 subnets: ⮚ Mạng 12221: 192.168.1.224/28 - 14 hosts ⮚ Mạng 12222: 192.168.1.240/28 Mạng 122221: 192.168.1.240/29 - 6 hosts Mạng 122222: 192.168.1.248/29 R12: 192.168.1.248/30 AB: 192.168.1.251 F-

L: 192.168.1.249 - 192.168.1.250

R23: 192.168.1.252/30 Hỉnh vẽ:

Bài 5:

- Sử dụng thuật toán Dijkstra tìm đường đi ngắn nhất từ A đến tất cả các nút còn lại. Lần

N

KT

{A}

1

{A,C}

2

{A,C,B}

3

{A,C,B,D}

4

{A,C,B,D,E}

5

{A,C,B,D,E,F}

6

{A,C,B,D,E,F,G}

7

{A,C,B,D,E,F,G,H}

8

{A,C,B,D,E,F,G,H, K}

2

A

A A

A

A

A

A

A

5

A

A C

A

A

A

C

A

A

C

A

B

...