HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I Sinh viên thực hiện : Dương Trọng Chữ Giáo viên hướng dẫn : Ths.
Jan 03, 2016
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG I
Sinh viên thực hiện : Dương Trọng Chữ
Giáo viên hướng dẫn : Ths. Nguyễn Việt Hùng
•Từ yêu cầu cần mở rộng mạng Internet trong thực tế - WLAN đã được nghiên cứu và triển khai.
•Do đặc điểm môi trường truyền dẫn nên WLAN dễ bị thâm nhập từ môi trường ngoài.
•Cần phát triển các khả năng bảo mật cho WLAN.
•Đề tài đã hướng tới nghiên cứu bảo mật cho mạng WLAN
1
3
2
1
4
•Các thành phần kiến trúc WLAN
•Các thiết bị cơ bản của WLAN
•Các mô hình mạng WLAN
•Mô hình tham chiếu WLAN
1
1 Tổng quan về WLAN
3
2
4
Các thành phần kiến trúc WLAN
BSS
DS
Vùng
BSS `
``
`
STA1
STA2 STA3
STA4
BSS1
BSS2
BSS là một vùng bao phủ trong đó các trạm thành phần của BSS có thể duy trì liên lạc. Nếu một trạm di chuyển ra ngoài BSS sẽ
không liên lạc trực tiếp được với các thành viên khác.
DS
Thành phần kiến trúc sử dụng để kết nối các BSS khác nhau
`
`
``
STA1
STA3
STA4
STA2
AP1AP2
DSBSS1
BSS2
Vùng
Với lớp vật lý vô tuyến, Các vùng bao phủ không tồn tại
1
1 Tổng quan về WLAN
Các thiết bị cơ bản của WLAN
Card
AP
Cầu nối
3
2
4
Các thành phần kiến trúc WLANCác thành phần kiến trúc WLAN
3
2
4
1
1 Tổng quan về WLAN•Các thành phần kiến trúc WLAN
•Các thiết bị cơ bản của WLAN
•Các mô hình mạng WLAN
•Mô hình tham chiếu WLAN
Các thành phần kiến trúc WLAN
Các thiết bị cơ bản của WLAN
WLAN độc lậpWLAN cơ sở
WLAN có trạm lặpWLAN hoàn chỉnh
3
2
4
1
1 Tổng quan về WLANCác mô hình WLAN
WLAN độc lậpWLAN cơ sở
WLAN có trạm lặpWLAN hoàn chỉnh
WLAN độc lậpTrạm di động
Trạm di động
Trạm di độngServer
WLAN cơ sởÔ vô tuyến
Điểm truy nhập AP
Trạm di động
WLAN có trạm lặp
Ô vô tuyến có trạm lặp
Lan đường trục
Điểm truy nhập AP
Trạm di động
Kênh 1Kênh 1
WLAN hoàn chỉnh
•Các thành phần kiến trúc WLAN
•Các thiết bị cơ bản của WLAN
•Các mô hình mạng WLAN
•Mô hình tham chiếu WLAN
3
2
4
1
1 Tổng quan về WLAN
PHYPHY
AplicationAplication
TCPTCP
IPIP
LLCLLC
MACMAC
Lớp
1
3
2
7
43
2
4
1
1 Tổng quan về WLANMô hình tham chiếu WLAN
2.4 GHz FHSS1Mbps2Mbps
2.4 GHzDSSS1Mbps2MBps
Infrared1Mbps2Mbps
2.4 GHzDSSS
5.5Mbps11Mbps
5GHzOFDM
6,9,12,18,3648,54 Mbps
Radio mgmte.g.scanning association
PowerManagement
Shared-keyauthentication
addressingManagement
Info base (MIB)
CSMA/CAChannel access
framing
WEP (RC4)encryption
Fragmention&ARQ
PHY SAP
Thực thể quản lý tầng MAC (MLME)IP Packets
MAC DSAP
MACMAC
PHYPHY
2 BẢO MẬT MẠNG VÀ INTERNET
3
1
4
2
2.1 Những nguy cơ tấn công đe dọa an ninh mạng.
2.2 Các biện pháp bảo mật mạng.
Những đặc trưng cơ bản của bảo mật mạng
Độ tin cậy
Nhận thực
Toàn vẹn bản tin
Không phủ nhận bản tin
ISP
LAN
WANNhà cung cấp dịch vụ Internet (ISP)
Mạng nhà
Mạng công ty
Router PC
Server Notebook Gián điệp, Hacker…
Những nguy cơ tấn công đe dọa an ninh mạng
Tấn công mạng
Nghe trộm
Sửa đổi thông tin
Từ chối dịch vụ
Đóng giả người gửi hợp pháp
Cản trở hoặc phá hủy đường truyền
Không công nhận
Nghe trộm
A B
C
Sửa đổi thông tin
A B
C
Từ chối dịch vụ
B
A
D
C
Đóng giả người gửi hợp pháp
A
B
C
Cản trở hoặc phá hủy đường truyền
BA
Không công nhận
A B
I Sent this message to you
No, I didn’tReceive it
2 BẢO MẬT MẠNG VÀ INTERNET
3
1
4
2
2.2 Các biện pháp bảo mật
•Bảo mật tầng ứng dụng
•Bảo mật tầng giao vận
•Giao thức bảo mật IP
2 BẢO MẬT MẠNG VÀ INTERNET
3
1
4
2
Bảo mật tầng ứng dụng:
•Khóa riêng
•Khóa động
2.2 Các biện pháp bảo mật
Some key, say S
Encrypted message Message
The same key S
Decryption
Message Encryption Encrypted message
Khóa động
Khóa riêng
Tạo một cặp khóa
Message Encrypted messageEncryption
Encrypted message MessageDecryption
2 BẢO MẬT MẠNG VÀ INTERNET
3
1
4
2
2.2 Các biện pháp bảo mật
Bảo mật tầng ứng dụng
Bảo mật tầng giao vận
•SSLSSL SSL là một giao thức được thiết kế để mã hóa và nhận thực giữa các web client và server. SSL có thể được áp dụng cho tất cả các ứng dụng làm việc trên TCP. Tuy nhiên, SSL không làm việc trên UDP
Secure transport layer
SSLSSL
TCPTCP
IPIP
ApplicationApplication
TCPTCP
FragmentationFragmentation
CompressionCompression
AuthenticationAuthentication
encrpytionencrpytionNot secure
transport layer
TCPTCP
IPIP
ApplicationApplicationApplicationApplication
Socket
2 BẢO MẬT MẠNG VÀ INTERNET
3
1
4
2
2.2 Các biện pháp bảo mật
Bảo mật tầng ứng dụng.
Bảo mật tầng giao vận
Giao thức bảo mật IP
GIAO THỨC BẢO MẬT TẦNG IP
•Bảo mật IP sử dụng kết hợp bảo mật và khóa mật mã để mã hóa dữ liệu.
•Khóa được thiết lập tự động, thay đổi và quản lý bởi IPsec dựa trên IKE (Internet Key Exchange)
•Trước khi một khóa được thiết lập IKE tiến hành nhận thực
Hoạt động giao thức bảo mật tầng IP
Host AHost B
Router A Router B
IKE SA IKE SA
IPsec SA IPsec SA
IKE Phase 1
IKE Phase 2
IPsec Tunnel
1. Host A sends interesting traffic for Host B
2. Router A and B negotiate an IKE Phase 1 session and authenticate
3. Router A and B negotiate an IKE Phase 2 session and exchange key
4. Information is exchanged via IPsec tunnel
Mức độ nhận thực
Nhận thực hệ thống mở
Được cung cấp bởi các nhà cung cấp không có tiêu chuẩn
Nhận thực khóa dùng chung
AnyHệ thống đóng
Địa chỉ MAC
Khóa dùng chung (PSK)
Bảo mật cao
AuthenticationAuthentication IntegrityIntegrity
ConfidentialityConfidentialityAccess ControlAccess Control
??
Chuẩn IEEE 802.11
Thuật toán RC4
Nhận thực khóa dùng chung
64 bit WEP : 40 bit khóa mật mã + 24 bit vector khởi tạo (IV)
Hàm mã hóa E thao tác trên P để tạo ra C :
Ek (P) = C
Hàm giải mã D thao tác trên C để tạo ra P:
Dk(C) = p
Nếu cùng một khóa
Dk(Ek(P)) = P
WEPPRNG
Thuật toán toàn vẹn
IV
KEY
ICV
Văn bản chưa mã hóa
IV
Văn bản mã hóa
Chuỗi khóa
Sơ đồ khối mật mã bản tin
IV
Ciphertext
WEPPRNG(RC4)
ICV’
ICV ICV=ICV’?
Sơ đồ khối giải mã bản tin
Khóa bí mật
Luồng khóa Văn bản gốc
Thuật toán CRC32
Đề tài đã thực hiện nghiên cứu tổng quan về mạng WLAN trên cơ sở nghiên cứu hai tầng vật lý PHY và MAC. Thực hiện việc tìm hiểu một số phương pháp bảo mật an toàn cho mạng và Internet trên cơ sở đó nghiên cứu các phương pháp bảo mật cho mạng truy nhập WLAN.
Hướng phát triển tiếp theo, đề tài sẽ nghiên cứu cụ thể hơn về mạng WLAN. Các cơ chế và những biện pháp bảo mật tối ưu cho WLAN khi triển khai ứng dụng trong thực tế tại Việt Nam.
AuthenticationAuthentication IntegrityIntegrity
ConfidentialityConfidentialityAccess ControlAccess Control
MN
SSID : A SSID : B
SSID : A SSID : A
AP
SSID : ANY
- AP cho phép mọi người nhận thực thành công
- Không có tiến trình nhận thực
Nhận thực hệ thống mở
- AP chỉ chấp nhận khách có SSID đúng.
Hệ thống đóng
AuthenticationAuthentication IntegrityIntegrity
ConfidentialityConfidentialityAccess ControlAccess Control
MN
Router
SSID : A
SSID : A SSID : ANY
APSSID : B
Điều khiển truy nhập
Lọc địa chỉ MAC.
Hệ thống địa chỉ MAC
MN
Router
Access Control List : MAC AMAC B
MAC : A
AP Access Control List : MAC AMAC BMAC C
MAC : F
AuthenticationAuthentication IntegrityIntegrity
ConfidentialityConfidentialityAccess ControlAccess Control
STA AP
Authentication request
Challenge (Random)
Response (Random encrypted with shared Key)
Success if decrypted value matches random
Khóa dùng chung
Sử dụng một khóa chung với một Challenge và Respone