Đề tài Bảo mật trong WLAN

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I Sinh viên thực hiện : Dương Trọng Chữ Giáo viên hướng dẫn : Ths. Nguyễn Việt Hùng Từ yêu cầu cần mở rộng mạng Internet trong thực tế - WLAN đã được nghiên cứu và triển khai. Do đặc điểm môi trường truyền dẫn nên WLAN dễ bị thâm nhập từ môi trường ngoài. Cần phát triển các khả năng bảo mật cho WLAN. Đề tài đã hướng tới nghiên cứu bảo mật cho mạng WLAN Chương I : Tổng quan về WLAN. Chương II : Bảo mật mạng và Internet. Chương III : Bảo mật trong WLAN 2 1 3 Tổng quan về WLAN Bảo mật mạng và Internet Bảo mật trong WLAN 4 Kết luận 1 3 2 1 4 Các thành phần kiến trúc WLAN Các thiết bị cơ bản của WLAN Các mô hình mạng WLAN Mô hình tham chiếu WLAN 1 1 Tổng quan về WLAN 3 2 4 Các thành phần kiến trúc WLAN BSS DS Vùng BSS BSS là một vùng bao phủ trong đó các trạm thành phần của BSS có thể duy trì liên lạc. Nếu một trạm di chuyển ra ngoài BSS sẽ không liên lạc trực tiếp được với các thành viên khác. DS Thành phần kiến trúc sử dụng để kết nối các BSS khác nhau Vùng Với lớp vật lý vô tuyến, Các vùng bao phủ không tồn tại 1 1 Tổng quan về WLAN Các thiết bị cơ bản của WLAN Card AP Cầu nối 3 2 4 Các thành phần kiến trúc WLAN Các thành phần kiến trúc WLAN 3 2 4 1 1 Tổng quan về WLAN Các thành phần kiến trúc WLAN Các thiết bị cơ bản của WLAN Các mô hình mạng WLAN Mô hình tham chiếu WLAN Các thành phần kiến trúc WLAN Các thiết bị cơ bản của WLAN WLAN độc lập WLAN cơ sở WLAN có trạm lặp WLAN hoàn chỉnh 3 2 4 1 1 Tổng quan về WLAN Các mô hình WLAN WLAN độc lập WLAN cơ sở WLAN có trạm lặp WLAN hoàn chỉnh WLAN độc lập WLAN cơ sở WLAN có trạm lặp WLAN hoàn chỉnh Các thành phần kiến trúc WLAN Các thiết bị cơ bản của WLAN Các mô hình mạng WLAN Mô hình tham chiếu WLAN 3 2 4 1 1 Tổng quan về WLAN PHY Aplication TCP IP LLC MAC Lớp 1 3 2 7 4 3 2 4 1 1 Tổng quan về WLAN Mô hình tham chiếu WLAN 2.4 GHz FHSS 1Mbps 2Mbps 2.4 GHz DSSS 1Mbps 2MBps Infrared 1Mbps 2Mbps 2.4 GHz DSSS 5.5Mbps 11Mbps 5GHz OFDM 6,9,12,18,36 48,54 Mbps Radio mgmt e.g.scanning association Power Management Shared-key authentication addressing Management Info base (MIB) CSMA/CA Channel access framing WEP (RC4) encryption Fragmention &ARQ PHY SAP Thực thể quản lý tầng MAC (MLME) IP Packets MAC DSAP MAC PHY TỔNG QUAN WLAN 2 BẢO MẬT MẠNG VÀ INTERNET 2 BẢO MẬT MẠNG VÀ INTERNET 3 1 4 2 2.1 Những nguy cơ tấn công đe dọa an ninh mạng. 2.2 Các biện pháp bảo mật mạng. Những đặc trưng cơ bản của bảo mật mạng Độ tin cậy Nhận thực Toàn vẹn bản tin Không phủ nhận bản tin Gián điệp, Hacker… Những nguy cơ tấn công đe dọa an ninh mạng Tấn công mạng Nghe trộm Sửa đổi thông tin Từ chối dịch vụ Đóng giả người gửi hợp pháp Cản trở hoặc phá hủy đường truyền Không công nhận Nghe trộm A B C Sửa đổi thông tin A B C Từ chối dịch vụ B A D C Đóng giả người gửi hợp pháp A B C Cản trở hoặc phá hủy đường truyền B A Không công nhận A B I Sent this message to you No, I didn’t Receive it 2 BẢO MẬT MẠNG VÀ INTERNET 3 1 4 2 2.2 Các biện pháp bảo mật Bảo mật tầng ứng dụng Bảo mật tầng giao vận Giao thức bảo mật IP 2 BẢO MẬT MẠNG VÀ INTERNET 3 1 4 2 Bảo mật tầng ứng dụng: Khóa riêng Khóa động 2.2 Các biện pháp bảo mật Some key, say S Encrypted message Message The same key S Message Encryption Encrypted message Khóa động Khóa riêng Tạo một cặp khóa Message Encrypted message Encryption Encrypted message Message Decryption 2 BẢO MẬT MẠNG VÀ INTERNET 3 1 4 2 2.2 Các biện pháp bảo mật Bảo mật tầng ứng dụng Bảo mật tầng giao vận SSL SSL SSL là một giao thức được thiết kế để mã hóa và nhận thực giữa các web client và server. SSL có thể được áp dụng cho tất cả các ứng dụng làm việc trên TCP. Tuy nhiên, SSL không làm việc trên UDP Client Server Hello, server! Certificate Key exchange and negotiation Data transfer 2 BẢO MẬT MẠNG VÀ INTERNET 3 1 4 2 2.2 Các biện pháp bảo mật Bảo mật tầng ứng dụng. Bảo mật tầng giao vận Giao thức bảo mật IP GIAO THỨC BẢO MẬT TẦNG IP Bảo mật IP sử dụng kết hợp bảo mật và khóa mật mã để mã hóa dữ liệu. Khóa được thiết lập tự động, thay đổi và quản lý bởi IPsec dựa trên IKE (Internet Key Exchange) Trước khi một khóa được thiết lập IKE tiến hành nhận thực Hoạt động giao thức bảo mật tầng IP Host A Host B Router A Router B IKE SA IKE SA IPsec SA IPsec SA IKE Phase 1 IKE Phase 2 IPsec Tunnel 1. Host A sends interesting traffic for Host B 2. Router A and B negotiate an IKE Phase 1 session and authenticate 3. Router A and B negotiate an IKE Phase 2 session and exchange key 4. Information is exchanged via IPsec tunnel 3 2 1 4 3 Nhận thực hệ thống mở Nhận thực khóa dùng chung Mức độ nhận thực Nhận thực hệ thống mở Được cung cấp bởi các nhà cung cấp không có tiêu chuẩn Nhận thực khóa dùng chung Any Hệ thống đóng Địa chỉ MAC Khóa dùng chung (PSK) Bảo mật cao Chuẩn IEEE 802.11 Thuật toán RC4 Nhận thực khóa dùng chung 64 bit WEP : 40 bit khóa mật mã + 24 bit vector khởi tạo (IV) Hàm mã hóa E thao tác trên P để tạo ra C : Ek (P) = C Hàm giải mã D thao tác trên C để tạo ra P: Dk(C) = p Nếu cùng một khóa Dk(Ek(P)) = P WEP PRNG Thuật toán toàn vẹn IV KEY ICV Văn bản chưa mã hóa IV Văn bản mã hóa Chuỗi khóa Sơ đồ khối mật mã bản tin IV Ciphertext WEP PRNG (RC4) ICV’ ICV ICV=ICV’? Sơ đồ khối giải mã bản tin Khóa bí mật Luồng khóa Văn bản gốc Thuật toán CRC32 Đề tài đã thực hiện nghiên cứu tổng quan về mạng WLAN trên cơ sở nghiên cứu hai tầng vật lý PHY và MAC. Thực hiện việc tìm hiểu một số phương pháp bảo mật an toàn cho mạng và Internet trên cơ sở đó nghiên cứu các phương pháp bảo mật cho mạng truy nhập WLAN. Hướng phát triển tiếp theo, đề tài sẽ nghiên cứu cụ thể hơn về mạng WLAN. Các cơ chế và những biện pháp bảo mật tối ưu cho WLAN khi triển khai ứng dụng trong thực tế tại Việt Nam. MN SSID : A SSID : B SSID : A SSID : A AP SSID : ANY - AP cho phép mọi người nhận thực thành công - Không có tiến trình nhận thực Nhận thực hệ thống mở - AP chỉ chấp nhận khách có SSID đúng. Hệ thống đóng MN Router SSID : A SSID : A SSID : ANY AP SSID : B Điều khiển truy nhập Lọc địa chỉ MAC. Hệ thống địa chỉ MAC STA AP Authentication request Challenge (Random) Response (Random encrypted with shared Key) Success if decrypted value matches random Khóa dùng chung Sử dụng một khóa chung với một Challenge và Respone IV 4 Data ICV 4 Init. Vector 3 octet 1 Pad 6 bit Key ID 2 bit Cấu trúc thân khung WEP mở rộng