Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPT

Bài 5:
Quản trị một mạng an toàn
và Bảo mật các mạng không dây

Củng cố lại bài 4
Bảo mật cho máy chủ (host)
Bảo mật ứng dụng (application)
Bảo mật dữ liệu (data)
Bảo mật mạng (network)
Bảo mật cho máy chủ (host)
Bảo mật ứng dụng (application)
Bảo mật dữ liệu (data)
Bảo mật mạng (network)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 2

Mục tiêu bài học
Quản trị một mạng bảo mật
Các giao thức mạng phổ biến
Các nguyên tắc quản trị mạng
Bảo mật cho các ứng dụng mạng (SV tự đọc)
Bảo mật mạng không dây
Tấn công vào mạng không dây
Các điểm yếu trong bảo mật 802.1x
Các giải pháp bảo mật mạng không dây
Quản trị một mạng bảo mật
Các nguyên tắc quản trị mạng
Bảo mật cho các ứng dụng mạng (SV tự đọc)
Tấn công vào mạng không dây
Các điểm yếu trong bảo mật 802.1x

Giao thức
Các quy tắc ứng xử và giao tiếp
Rất quan trọng để quá trình giao tiếp giữa các thiết bị
được chính xác
Bộ giao thức TCP/IP (Transmission Control
Protocol/Internet Protocol)
Giao thức ICMP (Internet Control Message Protocol) (SV
tự đọc)
Giao thức SNMP (Simple Network Management Protocol)
(SV tự đọc)
Hệ thống tên miền DNS (Domain Name System)
Giao thức FTP (File Transfer Protocol)
Giao thức IPv6 (IP version 6) (SV tự đọc)
Giao thức
Các quy tắc ứng xử và giao tiếp
Rất quan trọng để quá trình giao tiếp giữa các thiết bị
được chính xác
Bộ giao thức TCP/IP (Transmission Control
Protocol/Internet Protocol)
Giao thức ICMP (Internet Control Message Protocol) (SV
tự đọc)
Giao thức SNMP (Simple Network Management Protocol)
(SV tự đọc)
Hệ thống tên miền DNS (Domain Name System)
Giao thức FTP (File Transfer Protocol)
Giao thức IPv6 (IP version 6) (SV tự đọc)

Bộ giao thức TCP/IP
Giao thức điều khiển truyền tin/Giao thức Internet
(Transmission Control Protocol/Internet Protocol – TCP/IP)
Bộ giao thức phổ biến nhất, sử dụng cho các mạng cục
bộ (LAN) và mạng Internet
IP
Giao thức hoạt động chính ở tầng mạng (tầng 3) trong
mô hình kết nối các hệ thống mở (OSI)
TCP
Giao thức tầng giao vận (tầng 4)
Thiết lập kết nối và vận chuyển dữ liệu tin cậy giữa các
thiết bị
TCP/IP sử dụng kiến trúc bốn tầng
Giao diện mạng (Network Interface), Internet, Giao vận
(Transport), Ứng dụng (Application)
Giao thức điều khiển truyền tin/Giao thức Internet
(Transmission Control Protocol/Internet Protocol – TCP/IP)
Bộ giao thức phổ biến nhất, sử dụng cho các mạng cục
bộ (LAN) và mạng Internet
IP
Giao thức hoạt động chính ở tầng mạng (tầng 3) trong
mô hình kết nối các hệ thống mở (OSI)
TCP
Giao thức tầng giao vận (tầng 4)
Thiết lập kết nối và vận chuyển dữ liệu tin cậy giữa các
thiết bị
TCP/IP sử dụng kiến trúc bốn tầng
Giao diện mạng (Network Interface), Internet, Giao vận
(Transport), Ứng dụng (Application)

Mô hình OSI và mô hình TCP/IP

Hệ thống tên miền (DNS) (1/2)
Hệ thống tên miền (Domain Name System - DNS)
Giao thức TCP/IP phân giải một địa chỉ IP sang tên tượng
trưng
Là một cơ sở dữ liệu, gồm tên gọi của từng Web site và
mã số IP tương ứng
Cơ sở dữ liệu DNS được phân tán cho nhiều server trên
Internet
Hệ thống tên miền (Domain Name System - DNS)
Giao thức TCP/IP phân giải một địa chỉ IP sang tên tượng
trưng
Là một cơ sở dữ liệu, gồm tên gọi của từng Web site và
mã số IP tương ứng
Cơ sở dữ liệu DNS được phân tán cho nhiều server trên
Internet

Tra cứu DNS

Hệ thống tên miền (DNS) (2/2)
DNS có thể là tiêu điểm của các cuộc tấn công
Đầu độc DNS thay thế địa chỉ IP giả mạo vào tên tượng
trưng
Có thể được thực hiện trong bảng danh sách máy chủ cục
bộ hoặc trên máy chủ DNS bên ngoài
Phiên bản mới nhất của phần mềm DNS ngăn chặn đầu độc
DNS
Chuyển vùng (zone transfer) cho phép kẻ tấn công tiếp
cận được các thông tin về mạng, phần cứng và hệ điều
hành
DNS có thể là tiêu điểm của các cuộc tấn công
Đầu độc DNS thay thế địa chỉ IP giả mạo vào tên tượng
trưng
Có thể được thực hiện trong bảng danh sách máy chủ cục
bộ hoặc trên máy chủ DNS bên ngoài
Phiên bản mới nhất của phần mềm DNS ngăn chặn đầu độc
DNS
Chuyển vùng (zone transfer) cho phép kẻ tấn công tiếp
cận được các thông tin về mạng, phần cứng và hệ điều
hành

Giao thức truyền file (FTP) (1/3)
Các giao thức TCP/IP được sử dụng để truyền file
Giao thức truyền file (FTP)
Giao thức sao lưu an toàn (SCP)
Các phương pháp sử dụng giao thức FTP trên máy chủ
cục bộ
Từ dấu nhắc lệnh (command prompt)
Sử dụng trình duyệt Web (Web browser)
Sử dụng trình khách FTP (FTP client)
Sử dụng FTP phía sau tường lửa có thể ngăn chặn
được nhiều thử thách
Chế độ FTP chủ động (active mode)
Chế độ FTP thụ động (passive mode)
Các giao thức TCP/IP được sử dụng để truyền file
Giao thức truyền file (FTP)
Giao thức sao lưu an toàn (SCP)
Các phương pháp sử dụng giao thức FTP trên máy chủ
cục bộ
Từ dấu nhắc lệnh (command prompt)
Sử dụng trình duyệt Web (Web browser)
Sử dụng trình khách FTP (FTP client)
Sử dụng FTP phía sau tường lửa có thể ngăn chặn
được nhiều thử thách
Chế độ FTP chủ động (active mode)
Chế độ FTP thụ động (passive mode)

Ứng dụng FTP client

Các lỗ hổng của giao thức FTP
FTP không sử dụng mật mã
Các file được truyền bởi FTP là lỗ hổng đối với các vụ tấn
công kẻ đứng giữa (man-in-the-middle)
Các tùy chọn truyền file bảo mật thay thế FTP
FTP sử dụng tầng kết nối an toàn bảo mật (FTP using
Secure Sockets Layer - FTPS)
FTP an toàn (Secure FTP - SFTP)
Các lỗ hổng của giao thức FTP
FTP không sử dụng mật mã
Các file được truyền bởi FTP là lỗ hổng đối với các vụ tấn
công kẻ đứng giữa (man-in-the-middle)
Các tùy chọn truyền file bảo mật thay thế FTP
FTP sử dụng tầng kết nối an toàn bảo mật (FTP using
Secure Sockets Layer - FTPS)
FTP an toàn (Secure FTP - SFTP)

Giao thức sao lưu an toàn (Secure Copy Protocol - SCP)
Phiên bản nâng cao của giao thức sao lưu từ xa (Remote
Copy Protocol– RCP)
Mã hóa các file và lệnh
Quá trình truyền file không được phép gián đoạn và sau
đó khôi phục lại trong cùng một phiên
Gặp chủ yếu trên các nền tảng Linux và UNIX
Giao thức sao lưu an toàn (Secure Copy Protocol - SCP)
Phiên bản nâng cao của giao thức sao lưu từ xa (Remote
Copy Protocol– RCP)
Mã hóa các file và lệnh
Quá trình truyền file không được phép gián đoạn và sau
đó khôi phục lại trong cùng một phiên
Gặp chủ yếu trên các nền tảng Linux và UNIX

Các quy tắc quản trị mạng
Quản trị mạng bảo mật là công việc đầy thử thách
Phương pháp quản lý dựa trên quy tắc
Dựa vào các thủ tục và quy tắc
Các nguyên tắc có thể do bên ngoài (các bộ luật chi phối)
hoặc nội bộ tổ chức qui định
Các quy tắc thủ tục chỉ ra các quy tắc kỹ thuật
Các quy tắc kỹ thuật
Bảo mật thiết bị
Quản lý thiết kế mạng
Bảo mật các cổng
Quản trị mạng bảo mật là công việc đầy thử thách
Phương pháp quản lý dựa trên quy tắc
Dựa vào các thủ tục và quy tắc
Các nguyên tắc có thể do bên ngoài (các bộ luật chi phối)
hoặc nội bộ tổ chức qui định
Các quy tắc thủ tục chỉ ra các quy tắc kỹ thuật
Các quy tắc kỹ thuật
Bảo mật các cổng

Bảo mật thiết bị gồm các nội dung sau:
Cấu hình bộ định tuyến bảo mật (secure router
configuration)
Phòng chống lũ (flood guard) (SV tự đọc)
Phân tích nhật ký (log analysis) (SV tự đọc)
Bảo mật thiết bị gồm các nội dung sau:
Cấu hình bộ định tuyến bảo mật (secure router
configuration)
Phòng chống lũ (flood guard) (SV tự đọc)
Phân tích nhật ký (log analysis) (SV tự đọc)

Cấu hình bộ định tuyến bảo mật
Bộ định tuyến hoạt động tại tầng mạng (tầng 3)
Chuyển tiếp các gói tin trên toàn bộ mạng máy tính
Bộ định tuyến có thể thực hiện các chức năng bảo mật
Có thể được cấu hình để lọc ra các kiểu lưu lượng mạng
xác định
Bộ định tuyến hoạt động tại tầng mạng (tầng 3)
Chuyển tiếp các gói tin trên toàn bộ mạng máy tính
Bộ định tuyến có thể thực hiện các chức năng bảo mật
Có thể được cấu hình để lọc ra các kiểu lưu lượng mạng
xác định

Nhiệm vụ Giải thích
Tạo thiết kế Nên đưa ra một sơ đồ mạng để minh họa giao tiếp
giữa các bộ định tuyến; sơ đồ này nên thể hiện được
cả giao diện mạng cục bộ (LAN) và mạng diện rộng
(WAN)
Đặt tên cho bộ định
tuyến bằng một tên
có nghĩa
Nên đặt tên có nghĩa cho router để thao tác gõ lệnh
được chính xác và đơn giản;
Các nhiệm vụ để cấu hình
bảo mật cho bộ định tuyến
Đặt tên cho bộ định
tuyến bằng một tên
có nghĩa
Bảo mật cổng Tất cả các cổng kết nối tới bộ định tuyến phải được
bảo mật; bao gồm cả cổng vật lý và các cổng gửi đến
từ các địa điểm ở xa
Thiết lập một mật
khẩu quản trị đủ
mạnh
Cần phải có một mật khẩu để chuyển sang chế độ
privileged mới có thể đưa ra các lệnh cấu hình
Thực hiện các thay
đổi từ bảng điều khiển
Việc cấu hình router phải được thực hiện từ bảng điều
khiển, không được tiến hành tại một vị trí từ xa

Sơ đồ mạng biểu
diễn các router

Việc mở rộng có thể làm phát sinh yêu cầu cần phải
cấu hình lại mạng
Quản lý thiết kế mạng gồm các công việc sau:
Tách mạng (network separation)
Bảo vệ vòng lặp (loop protection) (SV tự đọc)
Quản lý mạng LAN ảo (VLAN management)
Việc mở rộng có thể làm phát sinh yêu cầu cần phải
cấu hình lại mạng
Quản lý thiết kế mạng gồm các công việc sau:
Bảo vệ vòng lặp (loop protection) (SV tự đọc)

Tách mạng
Phân tách giữa các phần khác nhau của hệ thống mạng
Ví dụ: phân khúc mạng quản lý đơn hàng không được
phép truy cập tới mạng quản lý nguồn nhân lực
Các lựa chọn thực hiện phân tách mạng
Phân tách vật lý người dùng bằng cách kết nối họ tới các
bộ chuyển mạch và bộ định tuyến khác nhau
Bộ chuyển mạch khoảng cách không khí (Air gap switch)
Phân tách giữa các phần khác nhau của hệ thống mạng
Ví dụ: phân khúc mạng quản lý đơn hàng không được
phép truy cập tới mạng quản lý nguồn nhân lực
Các lựa chọn thực hiện phân tách mạng
Phân tách vật lý người dùng bằng cách kết nối họ tới các
bộ chuyển mạch và bộ định tuyến khác nhau
Bộ chuyển mạch khoảng cách không khí (Air gap switch)

Quản lý mạng LAN ảo (1/2)
Mạng có thể được phân đoạn thành các nhóm thiết bị vật
lý thông qua VLAN
Người dùng rải rác có thể được nhóm lại với nhau theo
cách lô gíc:
Không quan tâm tới việc người dùng được kết nối tới switch
nào
Mạng có thể được phân đoạn thành các nhóm thiết bị vật
lý thông qua VLAN
Người dùng rải rác có thể được nhóm lại với nhau theo
cách lô gíc:
Không quan tâm tới việc người dùng được kết nối tới switch
nào

Quản lý mạng LAN ảo (2/2)
Các nguyên tắc chung để quản lý mạng VLAN
Một mạng VLAN không nên giao tiếp với mạng VLAN khác,
trừ khi chúng được kết nối tới cùng một bộ định tuyến
(router)
Cấu hình các cổng trống của switch để kết nối với một
mạng VLAN không được sử dụng
Các mạng VLAN khác nhau nên được kết nối tới các switch
khác nhau
Thay đổi tên mặc định của các mạng VLAN
Cấu hình các cổng switch truyền các gói tin VLAN được
gán nhãn để chuyển tiếp các thẻ xác định một cách tường
minh
Cấu hình mạng VLAN sao cho các thiết bị dùng chung
không nằm trong một mạng VLAN riêng (private)
Các nguyên tắc chung để quản lý mạng VLAN
Một mạng VLAN không nên giao tiếp với mạng VLAN khác,
trừ khi chúng được kết nối tới cùng một bộ định tuyến
(router)
Cấu hình các cổng trống của switch để kết nối với một
mạng VLAN không được sử dụng
Các mạng VLAN khác nhau nên được kết nối tới các switch
khác nhau
Thay đổi tên mặc định của các mạng VLAN
Cấu hình các cổng switch truyền các gói tin VLAN được
gán nhãn để chuyển tiếp các thẻ xác định một cách tường
minh
Cấu hình mạng VLAN sao cho các thiết bị dùng chung
không nằm trong một mạng VLAN riêng (private)

Bảo mật cổng
Bảo mật các cổng mạng gồm các hoạt động sau:
Vô hiệu hóa các cổng không dùng (Disabling Unused
Ports)
Hạn chế và lọc MAC (MAC Limiting and Filtering)
IEEE 802.1x

Vô hiệu hóa các
cổng không dùng
Vô hiệu hóa các cổng không dùng
Tắt hết các cổng không cần thiết trên mạng
Kỹ thuật bảo mật này thường bị coi nhẹ
Những switch không được bảo mật cổng cho phép kẻ tấn
công kết nối đến các cổng không sử dụng và tấn công vào
mạng
Tất cả các cổng phải được bảo mật trước khi triển khai vào
mạng
Nhà quản trị mạng cần ra lệnh tắt hết các cổng không sử
dụng
Vô hiệu hóa các cổng không dùng
Tắt hết các cổng không cần thiết trên mạng
Kỹ thuật bảo mật này thường bị coi nhẹ
Những switch không được bảo mật cổng cho phép kẻ tấn
công kết nối đến các cổng không sử dụng và tấn công vào
mạng
Tất cả các cổng phải được bảo mật trước khi triển khai vào
mạng
Nhà quản trị mạng cần ra lệnh tắt hết các cổng không sử
dụng

Giới hạn và lọc địa chỉ MAC
Lọc và giới hạn số lượng địa chỉ MAC (media access
control address) cho phép trên một cổng
Cổng có thể được thiết lập giới hạn bằng 1
Một địa chỉ MAC cụ thể có thể được gán cho một cổng
Chỉ cho phép duy nhất một máy chủ hợp lệ được kết nối đến
cổng
Lọc và giới hạn số lượng địa chỉ MAC (media access
control address) cho phép trên một cổng
Cổng có thể được thiết lập giới hạn bằng 1
Một địa chỉ MAC cụ thể có thể được gán cho một cổng
Chỉ cho phép duy nhất một máy chủ hợp lệ được kết nối đến
cổng

Thiết lập cấu
hình
Giải thích
Static Các địa chỉ MAC được nhập thủ công, sau đó
được lưu trên thiết bị
Dynamic Các địa chỉ MAC tự động được “học” và lưu trữ;
khi switch khởi động lại, những thiết lập này sẽ
bị xóa
Các cấu hình tùy chọn để
giới hạn và lọc địa chỉ MAC
Dynamic Các địa chỉ MAC tự động được “học” và lưu trữ;
khi switch khởi động lại, những thiết lập này sẽ
bị xóa
Sticky Các địa chỉ MAC tự động được “học” và được
lưu trữ cùng với các địa chỉ đã “học” trước đó
sử dụng cấu hình Sticky; nhưng nếu cấu hình
này bị vô hiệu hóa, các địa chỉ sẽ được lưu giữ
trong bộ nhớ sẽ bị loại bỏ khỏi bảng

IEEE 802.1x
IEEE 802.1x
Tiêu chuẩn đưa ra cấp độ cao nhất về bảo mật cổng
Thực hiện xác thực dựa trên cổng
Chặn tất cả các lưu lượng trên cơ sở lần lượt từng cổng:
Cho tới khi client được xác thực thành công

Tiến trình xác thực
IEEE 802.1x

Giao tiếp không dây đã cách mạng hóa mạng máy tính
Các mạng không dây được bắt gặp hầu như ở mọi nơi
Các mạng không dây là mục tiêu của các cuộc tấn công
Các tiêu chuẩn ban đầu của mạng không dây đã có những
lỗ hổng
Những thay đổi về bảo mật mạng không dây mang lại sự
bảo mật tương đương với các mạng có dây
Các nội dung về bảo mật mạng không dây:
Tấn công mạng không dây
Các điểm yếu bảo mật của 802.1x
Giao tiếp không dây đã cách mạng hóa mạng máy tính
Các mạng không dây được bắt gặp hầu như ở mọi nơi
Các mạng không dây là mục tiêu của các cuộc tấn công
Các tiêu chuẩn ban đầu của mạng không dây đã có những
lỗ hổng
Những thay đổi về bảo mật mạng không dây mang lại sự
bảo mật tương đương với các mạng có dây
Các nội dung về bảo mật mạng không dây:
Các điểm yếu bảo mật của 802.1x

Hai dạng tấn công vào mạng không dây
Tấn công trên các thiết bị bluetooth (SV tự đọc)
Tấn công mạng LAN không dây
Hai dạng tấn công vào mạng không dây
Tấn công trên các thiết bị bluetooth (SV tự đọc)
Tấn công mạng LAN không dây

Tấn công mạn LAN không dây
Các mạng không dây là mục tiêu của những kẻ tấn công
Không đòi hỏi dây cáp kết nối
Các kiểu tấn công mạng LAN không dây
Phát hiện mạng
Tấn công thông qua dải tần RF (SV tự đọc)
Tấn công sử dụng điểm truy cập
Các mạng không dây là mục tiêu của những kẻ tấn công
Không đòi hỏi dây cáp kết nối
Các kiểu tấn công mạng LAN không dây
Phát hiện mạng
Tấn công thông qua dải tần RF (SV tự đọc)
Tấn công sử dụng điểm truy cập

Phát hiện mạng (1/3)
Phát hiện mạng (discovering the network)
Một trong những bước đầu tiên để tấn công là phải phát
hiện sự có mặt của một mạng
Dẫn đường (beaconing)
Điểm truy cập liên tục gửi tín hiệu sau một khoảng thời
gian nhất định để thông báo sự tồn tại của nó và cung cấp
các thông tin kết nối
Thiết bị không dây quét các khung dẫn đường (beacon)
Phát hiện mạng (discovering the network)
Một trong những bước đầu tiên để tấn công là phải phát
hiện sự có mặt của một mạng
Dẫn đường (beaconing)
Điểm truy cập liên tục gửi tín hiệu sau một khoảng thời
gian nhất định để thông báo sự tồn tại của nó và cung cấp
các thông tin kết nối
Thiết bị không dây quét các khung dẫn đường (beacon)

Dẫn dắt chiến sự (War driving)
Quá trình phát hiện thụ động vị trí của mạng không dây
Công cụ Mục đích
Thiết bị máy tính di
động
Có thể là một máy tính di động, một máy tính bảng,
hoặc một smartphone.
Card giao tiếp mạng
không dây
Card giao tiếp mạng không dây kết nối thông qua
USB hay một cổng khác và có một ổ cắm ăng ten
ngoài
Card giao tiếp mạng
không dây
Card giao tiếp mạng không dây kết nối thông qua
USB hay một cổng khác và có một ổ cắm ăng ten
ngoài
Ăng ten Gắn thêm ăng ten ngoài giúp tăng đáng kể khả năng
phát hiện và bắt được tín hiệu không dây
Phần mềm Những kẻ dẫn dắt chiến sự nguy hiểm sử dụng
nhiều phần mềm chuyên dụng hơn
Bộ thu tín hiệu định vị
toàn cầu (GPS)
Thiết bị này giúp xác định vị trí chính xác hơn, nếu
thông tin được ghi lại hoặc chia sẻ với nhau

Gieo mầm chiến tranh (War chalking)
Tổ chức tài liệu sau đó quảng cáo địa điểm mạng LAN
không dây cho những người khác cùng sử dụng
Trước kia hành động này được thực hiện bằng cách vẽ lên
tường vỉa hè xung quanh khu vực có mạng
Hiện nay, vị trí của mạng được tung lên các Web site
Các biểu tượng của gieo mầm chiến tranh:
Gieo mầm chiến tranh (War chalking)
Tổ chức tài liệu sau đó quảng cáo địa điểm mạng LAN
không dây cho những người khác cùng sử dụng
Trước kia hành động này được thực hiện bằng cách vẽ lên
tường vỉa hè xung quanh khu vực có mạng
Hiện nay, vị trí của mạng được tung lên các Web site
Các biểu tượng của gieo mầm chiến tranh:

Tấn công sử dụng
điểm truy cập (1/3)
Tấn công sử dụng các điểm truy cập (attack using
access point)
Điểm truy cập lừa đảo
Kẻ sinh đôi ma quỷ (Evil twins)
Truy cập trái phép cho phép kẻ tấn công qua mặt các cấu
hình bảo mật mạng
Có thể được thiết lập sau một tường lửa, mở đường cho
tấn công
Tấn công sử dụng các điểm truy cập (attack using
access point)
Kẻ sinh đôi ma quỷ (Evil twins)
Truy cập trái phép cho phép kẻ tấn công qua mặt các cấu
hình bảo mật mạng
Có thể được thiết lập sau một tường lửa, mở đường cho
tấn công

Kẻ sing đôi ma quỷ (evil twins)
Điểm truy cập do kẻ tấn công cài đặt
Cố gắng bắt chước điểm truy cập hợp lệ
Kẻ tấn công chụp lại quá trình truyền nhận từ người dùng
đến điểm truy cập kẻ sinh đôi ma quỷ.
Kẻ sing đôi ma quỷ (evil twins)
Điểm truy cập do kẻ tấn công cài đặt
Cố gắng bắt chước điểm truy cập hợp lệ
Kẻ tấn công chụp lại quá trình truyền nhận từ người dùng
đến điểm truy cập kẻ sinh đôi ma quỷ.

Các điểm yếu bảo mật của
IEEE 802.11
Ngay từ ban đầu, hội đồng IEEE 802.11 đã sớm nhận ra
rằng truyền nhận không dây có thể bị tấn công
Thực thi một số biện pháp bảo mật mạng không dây trong
bộ tiêu chuẩn
Những lỗ hổng khác của mạng WLAN dành cho nhà cung
cấp tự giải quyết
Các biện pháp bảo vệ vẫn để lộ nhiều sơ hở dẫn tới nhiều
vụ tấn công đã xảy ra
Các điểm yếu bảo mật của IEEE 802.11 được giới thiệu:
Lọc địa chỉ MAC
Lan truyền SSID
Quyền riêng tư tương đương có dây (WEP) (SV tự đọc)
Ngay từ ban đầu, hội đồng IEEE 802.11 đã sớm nhận ra
rằng truyền nhận không dây có thể bị tấn công
Thực thi một số biện pháp bảo mật mạng không dây trong
bộ tiêu chuẩn
Những lỗ hổng khác của mạng WLAN dành cho nhà cung
cấp tự giải quyết
Các biện pháp bảo vệ vẫn để lộ nhiều sơ hở dẫn tới nhiều
vụ tấn công đã xảy ra
Các điểm yếu bảo mật của IEEE 802.11 được giới thiệu:
Lan truyền SSID
Quyền riêng tư tương đương có dây (WEP) (SV tự đọc)

Lọc địa chỉ MAC (1/2)
Phương pháp kiểm soát truy cập mạng WLAN
Giới hạn truy cập của thiết bị tới điểm truy cập AP
Hầu hết các nhà cung cấp AP đều sử dụng lọc địa chỉ MAC
Cho phép hoặc chặn thiết bị dựa trên địa chỉ MAC
Những lỗ hổng bảo mật của phương pháp lọc địa chỉ
MAC
Các địa chỉ được trao đổi ở dạng chưa mã hóa
Kẻ tấn công có thể nhìn thấy địa chỉ của một thiết bị hợp
lệ và sử dụng địa chỉ đó để thay thế cho địa chỉ thiết bị
của hắn
Việc quản lý một số lượng lớn các địa chỉ thực sự là một
thử thách
Phương pháp kiểm soát truy cập mạng WLAN
Giới hạn truy cập của thiết bị tới điểm truy cập AP
Hầu hết các nhà cung cấp AP đều sử dụng lọc địa chỉ MAC
Cho phép hoặc chặn thiết bị dựa trên địa chỉ MAC
Những lỗ hổng bảo mật của phương pháp lọc địa chỉ
MAC
Các địa chỉ được trao đổi ở dạng chưa mã hóa
Kẻ tấn công có thể nhìn thấy địa chỉ của một thiết bị hợp
lệ và sử dụng địa chỉ đó để thay thế cho địa chỉ thiết bị
của hắn
Việc quản lý một số lượng lớn các địa chỉ thực sự là một
thử thách

Lọc địa chỉ MAC (2/2)

Lan truyền SSID (1/2)
Mỗi thiết bị phải được xác thực trước khi kết nối tới
mạng WLAN
Hệ thống xác thực mở
Thiết bị phát hiện thấy mạng không dây và gửi một
khung dữ liệu yêu cầu liên kết tới AP
Khung dữ liệu chứa danh tính của tập dịch vụ (Service
Set Identifier - SSID)
Là tên của mạng do người dùng cung cấp
Có thể là một chuỗi bất kỳ chứa chữ cái hoặc chữ số, có độ
dài từ 2 – 32 ký tự
AP so sánh giá trị SSID này với SSID thực sự của mạng
Nếu hai giá trị này trùng khớp, thiết bị sẽ được xác thực
Mỗi thiết bị phải được xác thực trước khi kết nối tới
mạng WLAN
Thiết bị phát hiện thấy mạng không dây và gửi một
khung dữ liệu yêu cầu liên kết tới AP
Khung dữ liệu chứa danh tính của tập dịch vụ (Service
Set Identifier - SSID)
Là tên của mạng do người dùng cung cấp
Có thể là một chuỗi bất kỳ chứa chữ cái hoặc chữ số, có độ
dài từ 2 – 32 ký tự
AP so sánh giá trị SSID này với SSID thực sự của mạng
Nếu hai giá trị này trùng khớp, thiết bị sẽ được xác thực

Lan truyền SSID (2/2)
Hệ thống xác thực mở là một cơ chế yếu
Chỉ dựa trên đối chiếu các giá trị SSID
Kẻ tấn công có thể đợi một SSID được AP quảng bá
Người dùng có thể cấu hình AP để ngăn việc phát đi các
khung beacon chứa SSID
Chỉ đem lại mức độ bảo mật yếu
Có thể bị phát hiện khi SSID được truyền trong các khung
dữ liệu khác
Các phiên bản Windows XP cũ có thêm một lỗ hổng nếu
phương pháp xác thực mở được áp dụng
Hệ thống xác thực mở là một cơ chế yếu
Chỉ dựa trên đối chiếu các giá trị SSID
Kẻ tấn công có thể đợi một SSID được AP quảng bá
Người dùng có thể cấu hình AP để ngăn việc phát đi các
khung beacon chứa SSID
Chỉ đem lại mức độ bảo mật yếu
Có thể bị phát hiện khi SSID được truyền trong các khung
dữ liệu khác
Các phiên bản Windows XP cũ có thêm một lỗ hổng nếu
phương pháp xác thực mở được áp dụng

Các giải pháp bảo mật
mạng không dây
Cần phải có một phương pháp thống nhất để bảo mật
mạng WLAN
IEEE và liên minh Wi-Fi đã bắt đầu xây dựng giải pháp bảo
mật cho mạng không dây
Kết quả là các tiêu chuẩn vẫn được sử dụng cho tới ngày
nay IEEE 802.11i
Các giải pháp bảo mật mạng không dây hiện dùng
Truy cập Wi-Fi được bảo vệ (Wi-Fi Protected Access -
WPA)
Truy cập Wi-Fi được bảo vệ 2 (Wi-Fi Protected Access 2 –
WPA2)
Các bước bảo mật không dây khác (SV tự đọc)
Cần phải có một phương pháp thống nhất để bảo mật
mạng WLAN
IEEE và liên minh Wi-Fi đã bắt đầu xây dựng giải pháp bảo
mật cho mạng không dây
Kết quả là các tiêu chuẩn vẫn được sử dụng cho tới ngày
nay IEEE 802.11i
Các giải pháp bảo mật mạng không dây hiện dùng
Truy cập Wi-Fi được bảo vệ (Wi-Fi Protected Access -
WPA)
Truy cập Wi-Fi được bảo vệ 2 (Wi-Fi Protected Access 2 –
WPA2)
Các bước bảo mật không dây khác (SV tự đọc)

Truy cập Wi-Fi được
bảo vệ (WPA) (1/3)
Được liên minh Wi-fi giới thiệu vào năm 2003
Là một tập con của IEEE 802.11i
Mục đích thiết kế: bảo vệ các thiết bị không dây hiện tại
và trong tương lai
Phương pháp mã hóa sử dụng Temporal Key Integrity
Protocol (TKIP – giao thức toàn vẹn khóa tạm thời)
Được sử dụng trong WPA
Sử dụng khóa có độ dài lớn hơn 128 bit so với WEP
Được sinh tự động cho mỗi gói tin mới
Được liên minh Wi-fi giới thiệu vào năm 2003
Là một tập con của IEEE 802.11i
Mục đích thiết kế: bảo vệ các thiết bị không dây hiện tại
và trong tương lai
Phương pháp mã hóa sử dụng Temporal Key Integrity
Protocol (TKIP – giao thức toàn vẹn khóa tạm thời)
Được sử dụng trong WPA
Sử dụng khóa có độ dài lớn hơn 128 bit so với WEP
Được sinh tự động cho mỗi gói tin mới

Xác thực sử dụng khóa chia sẻ trước (Preshared Key –
PSK)
Sau khi AP được cấu hình, thiết bị client phải có khóa
giống với giá trị khóa được nhập
Khóa được chia sẻ trước khi quá trình giao tiếp diễn ra
Sử dụng một mật khẩu để sinh ra khóa mã hóa
Mật khẩu phải được nhập trước vào từng AP và thiết bị
không dây
Mật khẩu không được sử dụng cho mã hóa
Mật khẩu đóng vai trò như một xuất phát điểm cho việc
tính toán để sinh ra các khóa mã hóa
Xác thực sử dụng khóa chia sẻ trước (Preshared Key –
PSK)
Sau khi AP được cấu hình, thiết bị client phải có khóa
giống với giá trị khóa được nhập
Khóa được chia sẻ trước khi quá trình giao tiếp diễn ra
Sử dụng một mật khẩu để sinh ra khóa mã hóa
Mật khẩu phải được nhập trước vào từng AP và thiết bị
không dây
Mật khẩu không được sử dụng cho mã hóa
Mật khẩu đóng vai trò như một xuất phát điểm cho việc
tính toán để sinh ra các khóa mã hóa

Các lỗ hổng bảo mật trong WPA
Quản lý khóa
Việc chia sẻ khóa được thực hiện thủ công mà không có biện
pháp đảm bảo an toàn
Các khóa phải được thay đổi định kỳ thường xuyên
Khóa phải được tiết lộ cho những người dùng khách
Mật khẩu
Các mật khẩu PSK ít hơn 20 ký tự là mục tiêu của hành vi bẻ
khóa
Các lỗ hổng bảo mật trong WPA
Quản lý khóa
Việc chia sẻ khóa được thực hiện thủ công mà không có biện
pháp đảm bảo an toàn
Các khóa phải được thay đổi định kỳ thường xuyên
Khóa phải được tiết lộ cho những người dùng khách
Mật khẩu
Các mật khẩu PSK ít hơn 20 ký tự là mục tiêu của hành vi bẻ
khóa

bảo vệ 2 (WPA2) (1/4)
 Thế hệ thứ hai của WPA được gọi là WPA2
Được giới thiệu vào năm 2004
Dựa trên tiêu chuẩn IEEE 802.11i sau cùng
Sử dụng tiêu chuẩn mã hóa nân cao (Advanced Encryption
Standard - AES)
Hỗ trợ cả xác thực PSK và IEEE 802.11x
Phương pháp mã hóa AES-CCMP
Chuẩn giao thức mã hóa dành choWPA2
CCM là thuật toán bảo mật dữ liệu
Thành phần CBC-MAC của CCMP cung cấp sự thống nhất
dữ liệu và xác thực
 Thế hệ thứ hai của WPA được gọi là WPA2
Được giới thiệu vào năm 2004
Dựa trên tiêu chuẩn IEEE 802.11i sau cùng
Sử dụng tiêu chuẩn mã hóa nân cao (Advanced Encryption
Standard - AES)
Hỗ trợ cả xác thực PSK và IEEE 802.11x
Phương pháp mã hóa AES-CCMP
Chuẩn giao thức mã hóa dành choWPA2
CCM là thuật toán bảo mật dữ liệu
Thành phần CBC-MAC của CCMP cung cấp sự thống nhất
dữ liệu và xác thực

bảo vệ 2 (WPA2) (2/4)
Mã hóa và giải mã AES
Nên được thực hiện trong phần cứng do khả năng tính
toán mạnh
Xác thực IEEE 802.1x
Ban đầu được phát triển cho các mạng dùng dây
Đem lại cấp độ bảo mật tốt hơn thông qua việc thực hiện
bảo mật cổng
Chặn tất cả các lưu lượng trên từng cổng cho tới khi client
được xác thực thành công
Mã hóa và giải mã AES
Nên được thực hiện trong phần cứng do khả năng tính
toán mạnh
Xác thực IEEE 802.1x
Ban đầu được phát triển cho các mạng dùng dây
Đem lại cấp độ bảo mật tốt hơn thông qua việc thực hiện
bảo mật cổng
Chặn tất cả các lưu lượng trên từng cổng cho tới khi client
được xác thực thành công

bảo vệ 2 (WPA2) (3/4)
Giao thức xác thực mở rộng (Extensible Authentication
Protocol - EAP)
Nền tảng cho việc vận chuyển các giao thức xác thực
Định nghĩa định dạng gói tin
Sử dụng bốn kiểu gói tin
Request (yêu cầu)
Response (phản hồi)
Success (thành công)
Failure (thất bại)
Giao thức xác thực mở rộng (Extensible Authentication
Protocol - EAP)
Nền tảng cho việc vận chuyển các giao thức xác thực
Định nghĩa định dạng gói tin
Sử dụng bốn kiểu gói tin
Request (yêu cầu)
Response (phản hồi)
Success (thành công)
Failure (thất bại)

bảo vệ 2 (WPA2) (4/4)
EAP gọn nhẹ (LEAP)
Là phương pháp độc quyền do Cisco System phát triển
Yêu cầu xác thực qua lại được sử dụng cho mã hóa WLAN
bằng phần mềm client của Cisco
Có thể bị xuyên phá đối với một số kiểu tấn công
Cisco đã khuyến cáo không nên sử dụng LEAP
EAP được bảo vệ (PEAP)
Đơn giản hóa việc triển khai 802.1x bằng cách sử dụng tài
khoản và mật khẩu đăng nhập Windows
Tạo ra một kênh mã hóa giữa client và máy chủ xác thực
EAP gọn nhẹ (LEAP)
Là phương pháp độc quyền do Cisco System phát triển
Yêu cầu xác thực qua lại được sử dụng cho mã hóa WLAN
bằng phần mềm client của Cisco
Có thể bị xuyên phá đối với một số kiểu tấn công
Cisco đã khuyến cáo không nên sử dụng LEAP
EAP được bảo vệ (PEAP)
Đơn giản hóa việc triển khai 802.1x bằng cách sử dụng tài
khoản và mật khẩu đăng nhập Windows
Tạo ra một kênh mã hóa giữa client và máy chủ xác thực

Tổng kết (1/2)
TCP/IP
Giao thức thông dụng nhất cho mạng LAN và Internet
Các giao thức truyền file
FTP, FTPS, SFTP, SCP
Cấu hình bộ định tuyến phải cung cấp một môi trường
mạng bảo mật
Tách mạng có thể làm tăng độ bảo mật
Bảo mật cổng là một bước quan trọng trong quản lý
mạng
TCP/IP
Giao thức thông dụng nhất cho mạng LAN và Internet
Các giao thức truyền file
FTP, FTPS, SFTP, SCP
Cấu hình bộ định tuyến phải cung cấp một môi trường
mạng bảo mật
Tách mạng có thể làm tăng độ bảo mật
Bảo mật cổng là một bước quan trọng trong quản lý
mạng

Tổng kết (2/2)
Kẻ tấn công có thể xác định sự có mặt của một mạng
không dây sử dụng kỹ thuật dẫn dắt chiến sự hoặc gieo
mầm chiến tranh.
Kẻ tấn công có thể tấn công vào mạng LAN không dây
dùng điểm truy cập lừa đảo hoặc kẻ sinh đôi ma quỷ.
Các điểm yếu bảo mật của 802.11 nằm ở Lọc địa chỉ
MAC và Lan truyền SSID.
Truy cập Wi-Fi được bảo vệ (WPA) và Truy cập Wi-Fi
được bảo vệ 2 (WPA2) đã trở thành nền tảng bảo mật
cho các mạng không dây ngày nay.
Kẻ tấn công có thể xác định sự có mặt của một mạng
không dây sử dụng kỹ thuật dẫn dắt chiến sự hoặc gieo
mầm chiến tranh.
Kẻ tấn công có thể tấn công vào mạng LAN không dây
dùng điểm truy cập lừa đảo hoặc kẻ sinh đôi ma quỷ.
Các điểm yếu bảo mật của 802.11 nằm ở Lọc địa chỉ
MAC và Lan truyền SSID.
Truy cập Wi-Fi được bảo vệ (WPA) và Truy cập Wi-Fi
được bảo vệ 2 (WPA2) đã trở thành nền tảng bảo mật
cho các mạng không dây ngày nay.

Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPT

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (9)

Semelhante a Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPT

Semelhante a Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPT (20)

Mais de MasterCode.vn

Mais de MasterCode.vn (20)

Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPT