Top 8 # Xem Nhiều Nhất Các Giải Pháp Bảo Mật Mạng Mới Nhất 3/2023 # Top Like

Giải pháp tường lửa đa năng UTM

Lợi ích: bảo vệ cổng hệ thống (gateway), ngăn chặn các rủi ro từ môi trường Internet.

Tính năng:

– Lọc web

– Chống xâm nhập (IPS)

– Chống DDoS

– Chống virus, spam

– Lọc các cổng dịch vụ

– Giám sát ứng dụng và người dùng

Giải pháp chống xâm nhập và chống tấn công từ chối dịch vụ (DDoS)

Lợi ích: thiết bị chuyên dụng ngăn chặn hình thức tấn công DDoS.

Tính năng:

– Ngăn chặn các hình thức xâm nhập

– SSL offload

– Chống tấn công DDoS

Giải pháp dò quét các lỗ hổng an ninh

Lợi ích: xác định, giám sát và đưa ra phương án xử lý các lỗ hổng an ninh trên toàn hệ thống mạng, máy chủ, hệ điều hành, cơ sở dữ liệu và ứng dụng.

Tính năng:

– Cung cấp báo cáo toàn diện về các lỗ hổng an ninh trên hệ thống

– Đưa ra các cảnh báo tức thời khi hệ thống xuất hiện lỗ hổng bảo mật

– Hỗ trợ người quản trị đưa ra quyết định về các chính sách và điều chỉnh bảo mật hệ thống chính xác, phù hợp và kịp thời

– Tích hợp với các công cụ giám sát bảo vệ hệ thống như IDS/IPS, tường lửa ứng dụng web… tạo ra một hệ thống phòng thủ an ninh có chiều sâu và liên kết chặt chẽ giữa các thành phần bảo mật

Giải pháp phòng chống spam/ virus mức gateway

Lợi ích: giải pháp chuyên dụng ngăn chặn các hình thức spam email, ngăn chặn virus.

Tính năng:

– SSL offload

– Lọc email spam

– Lọc email đính kèm virus

– Cô lập các kết nối đến liên kết có mã độc

Giải pháp mã hóa và bảo mật đường truyền

Lợi ích: giải pháp chuyên dụng bảo vệ kết nối giữa các site trong cùng một hệ thống, đặc biệt phù hợp với các doanh nghiệp có nhiều chi nhánh và yêu cầu bảo mật cao trên đường truyền.

Tính năng:

– Mã hóa từ mức layer 2 (theo mô hình OSI), hỗ trợ các giao thức Ethernet, Fibre Channel/FICON và SDH/SONET từ 20Mbps đến 10Gbps

– Mã hóa cuộc gọi/ voice

– Mã hóa đường truyền fax

Giải pháp giám sát và phân tích mã độc

Lợi ích: xác định các loại mã độc đang hiện hữu trên hệ thống, tích hợp với các giải pháp mức gateway ngăn chặn mã độc xâm hại hệ thống.

Tính năng:

– Phát hiện và chống lại APTs và các tấn công có mục tiêu Zero-day malware và các khai thác lỗ hổng trên document

– Các hành vi tấn công mạng

– Email threats (phishing, spear-phishing): Bots, Trojans, Worms, Key Loggers and Crime ware

– Giám sát thời gian thực, phân tích sâu dựa trên giao diện điều khiển trực quan

– Giám sát tập trung vào các nguy cơ có mức độ nghiêm trọng cao và các đối tượng có giá trị

– Cung cấp các thông tin về an ninh hệ thống, và đưa ra các biện pháp khắc phục

Lợi ích của bảo mật an ninh mạng:

Bảo vệ toàn diện hệ thống máy tính, hệ thống mạng khỏi những mối đe dọa từ bên ngoài và bên trong hệ thống.

Tận dụng và tiết kiệm tối đa những chi phí đầu tư cho an ninh mạng trong thời điểm hiện tại và tương lai.

Tăng cường bảo mật toàn diện cho dữ liệu của doanh nghiệp nói chung và của các thành viên trong công ty nói riêng.

Dễ dàng kiểm soát toàn diện những hoạt động mạng đang diễn ra trong hệ thống mạng của doanh nghiệp.

Hiện nay, hầu hết các tổ chức, đơn vị, trường học đều đã kết nối mạng nội bộ mạng đến các chi nhánh, đối tác và đã thừa hưởng nhiều lợi ích từ đó. Nhưng chính sự thuận lợi này lại chứa nhiều mối nguy hiểm tiềm ẩn như: virus, hacker, v.v công nghệ cao. Để phát hiện và ngăn chặn mối đe dọa nhờ vào các giải pháp phầm mềm bảo mật an ninh mạng của công ty Bakco giới thiệu:

1.Giải pháp cho phần cứng:

– Về phần này, doanh nghiệp cần có sự đầu tư đúng đắn trước khi mua bất kỳ phần mềm hoặc công cụ nào đó phục vụ cho việc bảo mật.

– Nếu cần nâng cấp hệ thống, bạn hãy chọn những nhà cung cấp dịch vụ chuyên nghiệp và đã có kinh nghiệm lâu năm.

– Tăng cường sự bảo mật cho các thiết bị đầu vào và đầu ra. Ví dụ như USB, ổ cứng, ổ đĩa,…

– Tăng thêm lớp bảo mật cho hệ thống tường lửa.

2. Giải pháp bảo mật hệ thống mạng thông qua Firewall:

Firewall là lớp bảo mật tuyệt vời đối với mọi hệ thống mạng doanh nghiệp. Firewall hay còn gọi là tường lửa sẽ giúp ngăn chặn những nguy cơ tấn công mạng xâm nhập từ bên ngoài hệ thống, ngăn chặn virus.

3.Giải pháp an ninh cho lớp trung gian:

Để bảo mật cho lớp trung gian, chúng ta cần quan tâm đặc biệt tới các thiết bị mạng, hệ điều hành, trang truy cập, vùng VLAN. Ví dụ chúng ta có thể thực hiện các tính năng cho lớp trung gian như:

+ Hạn chế sự truy cập trái phép qua Access Control và nâng cao sự bảo mật thông qua strong password, username.

+ Ngăn chặn những kết nối trái phép thông qua kết nối vật lý như: port security, VLAN access control list trong thiết bị mạng.

+ Hạn chế sự tràn ngập dữ liệu từ khu này đến khu khác, đảm bảo sự lưu thông mạng luôn được duy trì giúp khách hàng dễ dàng truy cập vào hệ thống website.

Một số giải pháp bảo mật hệ thống mạng

I. ĐẶT VẤN ĐỀ

Hiện nay, hầu hết các tổ chức, đơn vị, trường học đều đã kết nối mạng nội bộ mạng đến các chi nhánh, đối tác và đã thừa hưởng nhiều lợi ích từ đó. Nhưng chính sự thuận lợi này lại chứa nhiều mối nguy hiểm tiềm ẩn như: virus, hacker, v.v công nghệ cao.

II. MỘT SỐ TIÊU CHÍ ĐÁNH GIÁ AN TOÀN MẠNG

Theo Microsoft, Cisco, juniper… để đánh giá tính sẵn sàng và khả năng bảo mật mạng máy tính, các tiêu chí được quan tâm hàng đầu là: (xem bảng 1)

1

Hệ thống mạng của tổ chức được thiết kế đúng chuẩn và triển khai mô hình mạng nào (Miền hay nhóm)?

2

Hệ thống website và các ứng dụng có hệ thống cân bằng tải hay không?

3

Tổ chức bạn có triển khai hệ thống tường lửa chưa? Phần cứng hay phần mềm?

4

Hệ điều hành, phần mềm có cập nhật vá lỗi chưa?

5

Tổ chức bạn có ghi nhật ký truy nhập và giám sát hệ thống chưa?

6

Tổ chức bạn bảo về dữ liệu và sao lưu dự phòng như thế nào?

7

Tổ chức bạn có hệ thống phát hiện và ngăn chặn xâm nhập không?

8

Tổ chức của bạn có hệ thống quét virus theo mô hình chủ- khách không?

9

Tổ chức bạn đã triển khai các phương pháp bảo mật nào?

10

Thường xuyên kiểm tra, đánh giá về khả năng bảo mật của tổ chức hay không?

11

Thường xuyên đào tạo người dùng về mạng máy tính trong tổ chức hay không?

…

….Và một số tiêu chí khác

Bảng 1: Một số tiêu chí đánh giá bảo mật của hệ thống mạng

1.1.Nguyên lý thiết kế hệ thống bảo mật

An ninh mạng phải được thiết lập dựa trên các nguyên tắc sau:

+ Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và lớp đó sẽ được thực hiện các chính sách bảo mật hay ngăn chặn khác nhau. Mặt khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó bị xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi và không thể ảnh hưởng sang các tầng hay lớp khác.

+ Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào chỉ một công nghệ hay sản phẩm công nghệ bảo đảm an ninh cho mạng của một hãng nào đó. Bởi nếu như sản phẩm của hãng đó bị hacker tìm ra lỗ hổng thì dễ dàng các sản phẩm tương tự của hãng đó trong mạng cũng sẽ bị xuyên qua và việc phân tầng, phân lớp trong chính sách phòng vệ là vô nghĩa. Vì vậy khi tiến hành phân tầng, tách lớp, nên sử dụng nhiều sản phẩm công nghệ của nhiều hãng khác nhau để hạn chế nhược điểm trên. Đồng thời sử dụng nhiều cộng nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ thống phòng vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDS làm công cụ “đánh hơi”, phản ứng phòng vệ chủ động, Anti-virus để lọc virus…v.v

Từ các tiêu chí và nguyên tắc trên tôi xin đưa ra một số nhóm giải pháp sau: III. CÁC NHÓM GIẢI PHÁP 3.1. NHÓM GIẢI PHÁP VỀ QUY HOẠCH, THIẾT KẾ

+ Các tiêu chuẩn đáp ứng: Các sản phẩm bảo mật phải đáp ứng một số chứng nhận tiêu chuẩn như Common Criteria, ISO/IEC 15408:2005 và ISO/IEC 18405:2005 EAL4, ICSA Firewall và VPN, FIPS-140…

Kiến trúc SOA gồm có 3 lớp:

Lớp cơ sở hạ tầng mạng (networked infrasstructure layer): là lớp mạng liên kết các khối chức năng theo kiến trúc phân tầng, có trật tự.

Lớp dịch vụ tương tác (Interactive services layer): bao gồm sự kết hợp một số kiến trúc mạng đầy đủ với nhau tạo thành các chức năng cho phép nhiều ứng dụng có thể sử dụng trên mạng.

Lớp ứng dụng (Application layer): Bao gồm các loại ứng dụng cộng tác và nghiệp vụ. Các ứng dụng này kết hợp với các dịch vụ tương tác cung cấp ở lớp dưới sẽ giúp triển khai nhanh và hiệu quả

3.1.2. Phương thức thiết kế phân lớp – Hierarchical

Trong phần này, tôi xin giới thiệu sơ lược về các phương thức thiết kế mạng và bảo mật được sử dụng trong việc thiết kế các hệ thống mạng lớn và hiện đại của các tổ chức và doanh nghiệp lớn. Tương ứng với kiến trúc SOA là thuộc lớp Cơ sở hạ tầng mạng.

a) Khu vực LAN

Hình 1: Sơ đồ thiết kế hệ thống mạng SOA theo các khu vực, tầng.

b) Khu vực kết nối WAN

Từ mô hình trên ta cũng thấy được rằng khu vực này được thiết kế theo tầng. Tầng lõi, tầng phân tán, tầng truy xuất vừa đảm bảo tính dự phòng đường truyền, lưu lượng mạng được phân bố đều, toàn mạng được chia thành nhiều phân đoạn để dễ dàng kiểm soát và bảo mật.

a) Khu vực các máy chủ public

Đây là vùng cung cấp các kết nối ra môi trường Internet và các cơ quan thành viên, đối tác. Tại đây phải đảm bảo tính sẵn sàng cao và tính dự phòng đường truyền. Vì vậy hệ thống cân bằng tải và dự phòng đường truyền WAN cần được triển khai.

Khu vực này thường được biết đến với tên là vùng phi quân sự (DMZ-demilitarized zone) có nghĩa rằng tại khu vực này được hệ thống tường lửa kiểm soát vào ra các máy chủ rất chặt chẽ nhằm ngăn chặn các cuộc tấn công của Hacker, người dùng trong LAN…

+ Ưu điểm: dự phòng, dễ phát triển, hiệu năng cao, dễ khắc phục sự cố, thích hợp với môi trường đào tạo và nghiên cứu ở các trường đại học và cao đẳng, doanh nghiệp lớn.

3.1.3 Mô hình triển khai dịch vụ và quản lý người dùng

+ Khó khăn khi xây dựng mạng theo phân lớp là chi phí khá cao, cần đội ngũ quản trị hệ thống chuyên nghiệp

Mô hình này được triển khai trên cơ sở hạ tầng đã thiết kế là yếu tố quyết định đến hiệu năng hoạt động và cách thức quản lý hệ thống.

Thực tế một số cơ quan, doanh nghiệp hiện nay đang triển khai hệ thống mạng theo mô hình mạng ngang hàng. Mô hình này chỉ triển khai cho các tổ chức có quy mô nhỏ hẹp. Khi quy mô hệ thống có trên hàng trăm máy tính, nhiều phòng ban, chức năng thì việc quản lý theo mô hình ngang hàng không còn phù hợp nữa. Giải pháp triển khai dịch vụ và quản lý người dùng theo mô hình chủ-khách là giải pháp tối ưu, hiệu quả nhất. Hệ thống này có nhiều thuận lợi và tính năng tối ưu như:

– Phần quyền truy nhập vào các tài nguyên dùng chung trên mạng.

– Triển khai cấu hình các phần mềm, dịch vụ tự động cho các máy khách, người dùng nhanh chóng.

– Triển khai một chính sách bảo mật cho toàn đơn vị một cách dễ dàng, thống nhất, tập trung, ví dụ: Khi người dùng không sử dụng trong thời gian nhất định, hệ thống sẽ tự lock, luôn yêu cầu người dùng đặt mật khẩu cho hệ điều hành ở chế độ phức tạp, thường xuyên thay đổi mật khẩu…nhằm tránh các hacker dùng các phần mềm giải mã mật khẩu.

3.1.4. Phân hoạch VLAN (LAN ảo)

– Dễ dàng giám sát an ninh, bảo mật, logging v.v

Thực trạng hệ thống mạng ở một số doanh nghiệp hiện nay được phân chia thành các khu vực, chưa kiểm soát được lưu lượng download và upload cũng như băng thông truy xuất Internet của người dùng. Mô hình mạng như vậy là một miền quảng bá, mỗi gói tin kiểu quảng bá thì ở bất kỳ máy nào cũng có thể tới được tất cả các máy tính khác trong mạng nên có những vấn đề sau:

– Về băng thông: Toàn doanh nghiệp là một vùng quảng bá rất lớn, số máy tính, số người dùng sẽ tăng lên khi đơn vị phát triển thêm các khu vực khác. Do vậy băng thông, hiệu năng của toàn mạng sẽ giảm, thậm chí thường gây tắc nghẽn.

– Về bảo mật: Việc kiểm soát bảo mật gặp rất nhiều khó khăn khi hệ thống trải rộng khắp toàn cơ quan, doanh nghiệp.

Hình 2: Minh họa về nhiều VLAN khác nhau ở một trường học

3.2. NHÓM GIẢI PHÁP VỀ HỆ THỐNG NGĂN CHẶN, PHÁT HIỆN TẤN CÔNG 3.2.1 Hệ thống tường lửa đa tầng

Ví dụ: Tất cả các máy tính thuộc các phòng thực hành, thí nghiệm trong toàn trường thì thuộc vlan01; các phòng ban thuộc vlan02, các wireless thuộc vlan03 v.v. Các VLAN đó mặc định sẽ không liên lạc được với nhau. Khi muốn có sự liên lạc giữa các VLAN với nhau ta tiến hành cấu hình trên thiết bị định tuyến router và kiểm soát băng thông giữa các Vlan. (hình 2)

Hệ thống tường lửa là hệ thống kiểm soát truy nhập giữa mạng Internet và mạng nội bộ. Tường lửa có 2 loại: phần cứng và phần mềm. Mỗi loại có các ưu điểm khác nhau. Phần cứng có hiệu năng ổn định, không phụ thuộc vào hệ điều hành, virus, mã độc, ngăn chặn tốt giao thức ở tầng mạng trong mô hình tham chiếu TCP/IP. Phần mềm rất linh hoạt trong những cấu hình ở giao thức tầng ứng dụng trong mô hình TCP/IP.

Ví dụ, tường lửa tầng thứ nhất (thường là phần cứng) đã loại bỏ hầu hết các kiểu tấn công trực diện vào hệ thống máy chủ web, máy chủ mail như kiểu tấn công phân tán (DDOS), tức hacker dùng các công cụ tạo các yêu cầu truy xuất tới máy chủ từ nhiều máy tính khác trên mạng với tần suất cao để nhằm làm cho máy chủ quá tải và dẫn tới ngừng phục vụ.

Nhưng hacker cũng không dừng tại đó, chúng có thể vượt qua hệ thống tường lửal tầng thứ nhất với những gói tin hợp lệ để vào hệ thống mạng LAN. Bằng các giao thức tầng ứng dụng chúng có thể lại đạt được mục đích. Chính vì thế triển khai hệ thống tường lửa phần mềm sẽ hỗ trợ và làm gia tăng tính bảo mật cho toàn mạng. Trong trường hợp, một hệ thống tường lửa gặp sự cố thì hệ thống còn lại vẫn kiểm soát được.

Hình 3: Hệ thống tường lửa với 2 tầng trước và sau

3.2.2. Hệ thống phát hiện và chống xâm nhập IDS/IPS

Hiện nay các hình thức tấn công của người có ý đồ xấu ngày càng nhiều và tinh vi. Ví dụ: Trong đơn vị có thể tự cài đặt các công cụ (Ethereal, Cain & abel…) trên máy tính làm việc hoặc máy tính xách tay để tiến hành nghe lén hay quét trực tiếp lên các máy chủ, từ đó có thể lấy các tài khoản email, Web, FTP, SQL server nhằm thay đổi điểm thi, tiền học phí đã nộp, thay đổi lịch công tác…các hình thức tấn công kiểu này, hệ thống tường lửa không thể phát hiện [3].

3.2.3. Danh sách điều khiển truy xuất, an toàn cổng thiết bị, lọc địa chỉ mạng a) Danh sách điều khiển truy xuất

Giải pháp hữu hiệu cho thực trạng này là xây dựng hệ thống IDS/IPS (Intrusion Detection System/Intrusion prevention system). IDS/IPS là hệ thống bảo mật vô cùng quan trọng, nó có khả năng phát hiện ra các cuộc tấn công dựa vào các dấu hiệu thiết lập sẵn hoặc các đoạn mã độc hại, bất thường trên giao thông mạng; đồng thời có thể loại bỏ chúng trước khi có thể gây hại cho hệ thống.

Tình trạng các phòng ban, …đang tự triển khai mạng wireless và mở rộng mạng LAN, nhất là tại các phòng có nhiều thiết bị di động, laptop dẫn tới số kết nối vào mạng nội bộ tăng, băng thông toàn mạng giảm và khó kiểm soát bảo mật.

b) Bảo mật cổng của thiết bị, lọc địa chỉ vật lý của thiết bị mạng

Danh sách truy nhập là gồm các luật cho phép hay ngăn chặn các gói tin sau khi tham chiếu vào thông tin trong tiêu đề của gói tin để giới hạn các người dùng có thể truy xuất vào các hệ thống máy chủ nội bộ v.v.

Ở các điểm truy nhập mạng công cộng, việc mở rộng LAN của người dùng; việc truy xuất vào các máy chủ nội bộ cần được kiểm soát.

Các giải pháp như cấu hình bảo mật cổng của thiết bị, quản lý địa chỉ vật lý là giải pháp cực kỳ an ninh và hiệu quả trong trường hợp này.

– Cấu hình bảo mật cổng của thiết bị trên các switch nhằm đảm bảo không thể mở rộng LAN khi chưa có sự đồng ý của người quản trị hệ thống, nếu vi phạm điều đó, port trên switch đó sẽ chuyển về trạng thái cấm hoặc trạng thái ngừng hoạt động.

– Địa chỉ vật lý là địa chỉ được cài đặt sẵn từ nhà sản xuất. Về nguyên tắc tất cả các máy tính trên mạng sẽ không trùng nhau về địa chỉ này. Sự kiểm soát theo địa chỉ này là rất cụ thể tới từng máy tính trong mạng, trừ khi người dùng có quyền cài đặt phần mềm và làm giả địa chỉ này ở máy tính đó, hoặc là mở máy tính rồi thay thế card giao tiếp mạng mới.

3.3. NHÓM GIẢI PHÁP KHÁC 3.3.1 Xây dựng hệ thống cập nhật, sửa lỗi tập trung

– Các thiết bị mạng hiện nay đều được trang bị chức năng ngăn theo địa chỉ vật lý này giúp quản trị mạng kiểm soát được người dùng sử dụng mạng, nhất là muốn triển khai trên hệ thống wireless.

Công đoạn đầu tiên của hacker khi tiến hành tấn công là khảo sát hệ thống đích để tìm ra các lỗi của hệ điều hành, của các dịch vụ, của các ứng dụng khi chúng chưa được cập nhật trên website của nhà cung cấp.

Thực trạng ở các cơ quan, doanh nghiệp cho thấy việc sử dụng các sản phẩm phần mềm hầu như ít cập nhật các bản vá lỗi, có chăng cũng đang riêng lẻ trên các máy tính cá nhân, đó chính là cơ hội cho hacker dùng các công để khai thác lỗ hổng bảo mật. Để cập nhật bản vá lỗi cho tất cả các máy khách trong toàn bộ hệ thống qua Internet mất thời gian và tốn nhiều băng thông đường truyền và không thống nhất.

Giải pháp xây dựng hệ thống tự động cập nhật từ nhà cung cấp trên Internet về máy chủ rồi từ máy chủ này, triển khai cho tất cả các máy khách trong toàn mạng.

3.3.2. Ghi nhật ký, theo dõi, giám sát hệ thống a) Ghi nhật ký

Hệ thống WSUS (Windows Server Update Services) của Microsoft không những cập nhập bản vá lỗi cho hệ điều hành Windows mà còn cập nhật bản vá lỗi cho tất cả các sản phẩm khác của hãng bao gồm Internet Explorer, SQL server, Office, Mail, máy chủ Web v.v

Giải pháp ghi lại các phiên kết nối, các phiên đăng nhập của người dùng, các tiến trình hoạt động sẽ giúp quản trị mạng có thể tìm lại dấu vết của người dùng, hacker và các lỗi có thể gây ra cho hệ thống trước đó. Các máy chủ Web , máy chủ Email và máy chủ ứng dụng khác cần được kích hoạt tính năng ghi nhật ký, việc quản lý lưu trữ các thông tin này là rất cần thiết. Hacker chuyên nghiệp khi đã xâm nhập thành công vào hệ thống, việc không thể bỏ qua chính là việc xóa dấu vết đã được ghi. Chính vì thế triển khai hệ thống ghi nhật ký tập trung tại một máy chủ chuyên dụng khác là rất hiệu quả.

b) Theo dõi, giám sát

Các phần mềm mã nguồn mở như: Syslog-ng: (http://www.balabit.com); SyslogAgent: (http://syslogserver.com) là giải pháp tốt. Hệ thống sẽ giúp chúng ta ghi các cảnh báo, thông báo từ các thiết bị phần cứng như: tường lửa, router, switch, từ các máy chủ Web, Database, và các hệ thống khác.

Theo dõi, giám sát là công việc thường xuyên và quan trọng của nhà quản trị mạng chuyên nghiệp, đó chính là công việc phòng chống hiệu quả trước khi sự cố xuất hiện. Theo dõi, giám sát có thể:

– Phát hiện trên hệ thống mạng có nhiều virus phát tán.

– Giám sát các máy tính trong mạng LAN và trên môi trường Internet.

– Theo dõi hiệu năng hoạt động các phần cứng của máy chủ để tiến hành nâng cấp, bảo trì, bảo dưỡng.

– Phát hiện hacker đang dùng các công cụ nghe lén mật khẩu, quét các lỗi của hệ thống và các ứng dụng.

3.3.3. Giải pháp mã hóa dữ liệu và đường truyền

– Thống kê số lượng các kết nối, các session cũng như những lưu lượng bất thường trên hệ thống mạng v.v

Dữ liệu trên máy chủ, máy tính cá nhân của các cơ quan, doanh nghiệp hiện chưa an toàn vì không được mã hóa nội dung và kể cả khi đi trên đường truyền. Dữ liệu ấy có thể được đọc bởi:

– Người dùng đăng nhập thành công vào máy tính

– Hacker dùng các phần mềm capture (bắt) thông tin trên đường truyền

– Tại các máy chủ và máy tính có lưu trữ dữ liệu nhạy cảm, có dữ liệu cần chia sẽ; tại các thiết bị lưu trữ cần thiết phải tiến hành mã hóa nội dung, điều đó đảm bảo rằng nếu có mất thiết bị lưu trữ, máy tính, người tấn công cũng không thể giải mã được dữ liệu.

3.3.4. Đào tạo người dùng

Giải pháp Ipsec sẽ được triển khai tại các hệ thống máy chủ và máy người dùng cũng như các thiết bị mạng phải được cấu hình.

Theo chuẩn quản lý an ninh thông tin (Information Security Management) ISO 17799/BS-7799, trong đó có tiêu chí về “An ninh về nhân sự (Personnel Security)” mô tả trách nhiệm của nhân viên, vai trò của các cá nhân trong an ninh thông tin, nhằm giảm thiểu các sai sót do lỗi của con người, do ăn cắp hoặc lạm dụng tài sản công. Do vậy việc đào tạo người dùng để họ tự bảo vệ các tài nguyên cho máy tính họ và cho cả tổ chức là nhiệm vụ hết sức quan trọng.

Đào tạo người dùng biết cách phòng chống các thủ đoạn của hacker như lừa đảo qua email. Ví dụ: hacker thường lợi dụng tính tò mò của người dùng khi tham gia Internet để lấy thông tin khi yêu cầu người dùng nhập vào.

Đào tạo người dùng sử dụng các công cụ, phần mềm đúng trình tự, khi cần thiết phải kịp thời báo cáo với người quản trị hệ thống.v.v.

3.3.5. Hệ thống chống virus

Đào tạo người dùng phải tuân thủ nguyên tắc bảo mật và an toàn thông tin của tổ chức, kể cả khi họ không tham gia làm việc tại cơ quan.

Để cải thiện tốc độ xử lý của tường lửa, thông thường quản trị mạng không cấu hình kích hoạt tính năng lọc cao cấp của tường lửa (tường lửa ở các vị trí phải xử lý lưu lượng lớn). Khi đó các chương trình quét virus được cài đặt nhằm phát hiện và ngăn chặn các đoạn mã độc, các chương trình gián điệp, các email có tệp tin virus đính kèm.v.v. Nhưng trên thực tế để đầu tư một khối lượng lớn các chương trình virus cho tất cả các máy tính toàn cơ quan thì kinh phí đầu tư khá cao.

Để giảm chi phí bản quyền, giải pháp là triển khai mô hình chống virus chủ -khách. Hiện nay có nhiều hãng nỗi tiếng như Norton, Kaspersky, Trend micro .v.v có thể triển khai theo mô hình này. Lợi ích khi triển khai hệ thống là:

– Chi phí giảm hơn nhiều so với cài đặt trên từng máy khách

IV.TÀI LIỆU THAM KHẢO

– Việc cập nhật phiên bản mới của các máy khách dễ dàng, nhanh chóng và hiệu quả cao.

[1] Andrew R. Baker,Brian Caswell, Mike Poor. Snort Intrusion Detection. 2004. [2] Matthew J. Castelli, Cisco Press, LAN Switching first-step, July 08, 2004 [3] Jazib Frahim, Cisco ASA: All-in-One Tường lửa, IPS, and VPN Adaptive Security Appliance, CCIE No. 5459, Omar Santos, Cisco Press, October 21, 2005. [4] Sean Convery, Cisco Press, Network Security Architectures, April 19, 2004 [5] Diane Teare, Catherine Paquet, Campus Network Design Fundamentals, Cisco Press,December 08, 2005 [6] Security Criteria for Service Delivery Network, Cable Television Laboratories, 2009

Website:

Trong những bài viết tới sẽ giới thiệu chi tiết các giải pháp trên.

[7] http://www.microsoft.com/security, http://cisco.com/security

Lượt xem (11741)

BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG HỌC VIỆN KỸ THUẬT QUÂN SỰ PHAN THÀNH VINH

NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY

Chuyên ngành: Khoa Học Máy Tính LUẬN VĂN THẠC SĨ KỸ THUẬT

Hà Nội – Năm 2014 BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG HỌC VIỆN KỸ THUẬT QUÂN SỰ PHAN THÀNH VINH NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY

Chuyên ngành: Khoa Học Máy Tính Mã số: 60 48 01 01

LUẬN VĂN THẠC SĨ KỸ THUẬT

Hà Nội – Năm 2014

CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI HỌC VIỆN KỸ THUẬT QUÂN SỰ

Cán bộ hướng dẫn chính: TS. Hồ Văn Hương Cán bộ hướng dẫn phụ (nếu có):

Cán bộ chấm phản biện 1:

Cán bộ chấm phản biện 2: Luận văn thạc sĩ được bảo vệ tại: HỘI ĐỒNG CHẤM LUẬN VĂN THẠC SĨ HỌC VIỆN KỸ THUẬT QUÂN SỰ Ngày tháng năm 2014 Tôi xin cam đoan: Những kết quả nghiên cứu được trình bày trong luận văn là hoàn toàn trung thực, của tôi, không vi phạm bất cứ điều gì trong luật sở hữu trí tuệ và pháp luật Việt Nam. Nếu sai, tôi hoàn toàn chịu trách nhiệm trước pháp luật.

TÁC GIẢ LUẬN VĂN Phan Thành Vinh MỤC LỤC

1.3.5. Trao đổi dữ liệu 14 1.4. Kết chương 15 Chương 2 MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN NINH AN TOÀN CHO MẠNG KHÔNG DÂY 2.1. Thực trạng mất an ninh an toàn của mạng không dây 16 2.1.1. Khái niệm an ninh an toàn thông tin 16 2.1.2. Đánh giá vấn đề an toàn, bảo mật hệ thống 17 2.1.3. Các nguy cơ mất an ninh an toàn trong mạng không dây 20 Hình 2.1: Phần mềm bắt gói tin Ethereal 21 2.2. Cơ sở khoa học của mật mã ứng dụng trong việc đảm bảo an toàn và bảo mật mạng không dây 27 2.2.1. Giới thiệu chung 27 2.2.2. Hệ mật mã khóa đối xứng 28 2.2.3. Hệ mật mã khóa công khai 30 2.3. Nghiên cứu một số giải pháp đảm bảo an ninh an toàn cho mạng WLAN 32 2.3.1. Phương pháp bảo mật dựa trên WEP 32 2.3.2. Phương pháp bảo mật dựa trên TKIP 40 2.3.3. Phương pháp bảo mật dựa trên AES-CCMP 52 2.3.4. Nghiên cứu thuật toán mã hóa đối xứng RSA 68 2.4. Kết chương 71 Chương 3 XÂY DỰNG PHẦN MỀM BẢO MẬT MẠNG KHÔNG DÂY WLAN SỬ DỤNG USB ETOKEN 3.1. Phân tích yêu cầu, đề xuất giải pháp 73 3.1.1. Bài toán đặt ra 73 3.1.2. Sơ đồ ứng dụng 74 3.1.3. Môi trường hệ thống 76

3.1.4. Thiết kế cơ sở dữ liệu 79 3.1.5. USB Token 79 3.2. Xây dựng ứng dụng 81 3.2.1. Giới thiệu chung về ứng dụng 81 3.2.2. Server 81 3.2.3. Client 84 KẾT LUẬN TÀI LIỆU THAM KHẢO 90 Tóm tắt luận văn:

+ Họ và tên học viên: Phan Thành Vinh + Chuyên ngành: Khoa học Máy tính Khoá: 24 + Cán bộ hướng dẫn: TS. Hồ Văn Hương + Tên đề tài: Nghiên cứu giải pháp bảo mật mạng không dây. Tóm tắt: Nghiên cứu, tìm hiểu mạng LAN không dây, nguy cơ mất an ninh, an toàn mạng LAN, cơ sỡ khoa học, lý thuyết mật mã. Nghiên cứu đề xuất giải pháp mã hóa gói tin kết hợp mã hóa đường truyền sẵn có để xây dựng phần mềm ứng dụng sử dụng eToken, bảo mật mạng WLAN nội bộ. Một ứng dụng hoàn toàn mới và thiết thực cho các công ty, trường học, quân sự…, trong luận văn này em sẽ trình bày và xây dựng ra phần mềm bảo mật mạng không dậy WLAN.BẢNG CÁC TỪ VIẾT TẮT Từ viết tắt Từ gốc Nghĩa tiếng việt AES Advanced Encryption Standard Chuẩn mã hóa tiên tiến AMPS Advanced Mobile Phone System Hệ thống điện thoại di động AP Access Point Điểm truy cập BS Base Station Trạm cơ sở BSS Basic Service Set Tập dịch vụ cơ bản CCM Counter Mode – CBC MAC Mode mã hóa CBC CCMP Counter Mode – CBC MAC Protocol Giao thức mã hóa CCM CDMA Code Division Multiple Access Đa truy nhập phân chia CRC Cyclic Redundancy Check Kiểm tra dư thừa vòng

DOS Denial Of Service Từ chối dịch vụ DSSS Direct Sequence Spread Spectrum Trải phổ dãy trực tiếp ESS Extended Service Set Tập dịch vụ mở rộng FHSS

FHSS Frequency Hopping Spread Trải phổ nhảy tần GSM Group Special Mobile Nhóm đặc biệt về di động IBSS Independent Basic Service Set Tập dịch vụ cơ bản độc lập ICV Integrity Check Value Giá trị kiểm tra tính toàn IEEE Institute of Electrical and Electronics Viện Công nghệ điện và điện tử

IETF Internet Engineering Task Force Hiệp hội kỹ sư tham gia phát triển về internet IMTS Improved Mobile Telephone System

Hệ thống điện thoại di động cải tiến MAC Message Authentication Code (cryptographic community use) Mã chứng thực gói tin

MIC Message Integrity Code Mã toàn vẹn gói tin MPDU MAC Protocol Data Unit Đơn vị dữ liệu giao thức MAC MSC Mobile Switching Center Trung tâm chuyển mạch di động

MSDU MAC Service Data Unit Đơn vị dữ liệu dịch vụ MAC MTS Mobile Telephone System Hệ thống điện thoại di động NMT Nordic Mobile Telephony Hệ thống điện thoại di động Bắc Âu OFDM Orthogonal Frequency Division Multiplexing Ghép kênh phân chia theo tần số trực giao

PAN Personal Area Network Mạng vùng cá nhân PBX Private Brach Exchange Tổng đài nhánh riêng PHS Personal Handy-phone System Hệ thống điện thoại cầm tay cá nhân PSTN Packet Switched Telephone Network Mạng điện thoại chuyển mạch gói RF Radio Frequency Tần số sóng vô tuyến SMS Short Message Service Dịch vụ nhắn tin ngắn STA Wireless Station Thiết bị có hỗ trợ mạng không dây TACS Total Access Communication System Hệ thống truyền thông truy cập hoàn toàn TDMA Time Division Multiple Access Đa truy nhập phân chia theo thời gian TKIP Temporal Key Integrity Protocol Giao thức toàn vẹn khóa thời gian WEP Wired Equivalent Privacy Bảo mật tương đường mạng hữu tuyến WLAN Wireless Local Area Network Mạng cục bộ không dây WPA Wi-Fi Protected Access Truy cập mạng Wifi an toàn

DANH MỤC CÁC BẢNG

Trang Bảng 2.1: Những điểm yếu của WEP………………………………………41 Bảng 2.2: Cách khắc phục điểm yếu của WEP…………………………… 41

DANH MỤC CÁC HÌNH VẼ Trang Hình 1.1: Mô hình mạng Ad – hoc (mạng ngang hàng) …………………… 5 Hình 1.2: Mô hình mạng cơ sở………………………………………………6 Hình 1.3: Mô hình mạng mở rộng………………………………………… 7 Hình 1.4: Thông số của 802.11n……………………………………………10 Hình 2.1: Phần mềm bắt gói tin Ethereal…………………………… 21 Hình 2.2: Phần mềm thu thập thông tin hệ thống mạng không dây NetStumbler……………………………………………………………… 22 Hình 2.3: Mô tả quá trình tấn công DOS tầng liên kết dữ liệu…………… 25 Hình 2.4: Mô tả quá trình tấn công theo kiểu chèn ép…………………… 27 Hình 2.5: Mô tả quá trình tấn công theo kiểu thu hút……………………….27 Hình 2.6: Mô hình hệ mật mã khóa đối xứng……………………………….29 Hình 2.7: Mô hình hệ mật mã khóa công khai…………………………… 31 Hình 2.8: Quá trình chứng thực diễn ra trong WEP…………………… 34 Hình 2.9: Định dạng của gói tin chứng thực……………………………… 35 Hình 2.10: Mã hóa chuỗi………………………………………………… 36 Hình 2.11: Sự kết hợp của IV với khóa………………………………… 37 Hình 2.12: Thêm ICV……………………………………………………….39 Hình 2.13: Thêm IV và KeyID…………………………………………… 40 Hình 2.14: Tạo và so sánh giá trị MAC (hoặc MIC) …………………… …43 Hình 2.15: Quá trình tạo khóa để mã……………………………………… 46 Hình 2.16: Quá trình xử lý ở bên phát………………………………………50

Hình 2.17: Quá trình xử lý ở bên thu……………………………………….51 Hình 2.18: Quá trình hoạt động của ECB Mode……………………………54 Hình 2.19: Ví dụ về Counter Mode…………………………………………55 Hình 2.20: Quá trình xử lý gói tin trong CCMP…………………………….59 Hình 2.21: Trình tự xử lý một MPDU………………………………………61 Hình 2.22: Phần đầu CCMP……………………………………………… 61 Hình 2.23: Mã hóa và giải mã………………………………………………62 Hình 2.24: Bên trong khối mã hóa CCMP……………………………… 63 Hình 2.25: MPDU sau quá trình mã (CH=CCMP Header)…………………63 Hình 2.26: Định dạng của khối đầu tiên để đưa vào CBC-MAC………… 64 Hình 2.27: Thành phần của khối đầu tiên để đưa vào CBC-MAC………….65 Hình 2.28: Kết hợp số đếm Ctr trong CCMP AES Counter Mode…………66 Hình 2.29. RSA – Tạo khóa…………………………………………………69 Hình 2.30. RSA – Mã hóa………………………………………………… 69 Hình 2.31. RSA – Giải mã………………………………………………… 70 Hình 3.1 Sơ đồ đăng kí token – đăng kí tài khoản………………………… 74 Hình 3.2. Đăng nhập……………………………………………………… 75 Hình 3.3. Trao đổi giữa Client A và Client B……………………………….75 Hình 3.4. Trao đổi giữa Server – Client…………………………………….76 Hình 3.5. Usecase chức năng người quản trị Server……………………… 77 Hình 3.6. Usecase Quản lý thông tin tài khoản…………………………… 78 Hình 3.7. Usecase giao tiếp với mọi Client…………………………………78 Hình 3.8. Chức năng người dùng Client…………………………………….78

Hình 3.9. Usecase Client giao tiếp với Server………………………………79 Hình 3.10. USB Token của Viettel………………………………………….79 Hình 3.11. Đặc tính kĩ thuật của USB eToken………………………………81 Hình 3.12. Mô hình ứng dụng…………………………………………… 81 Hình 3.13. Màn hình chính của Server……………………………………82 Hình 3.14. Màn hình quản lý tài khoản………………………………… 83 Hình 3.15. Màn hình thêm tài khoản…………………………………… 83 Hình 3.16. Màn hình đăng nhập………………………………………… 84 Hình 3.17. Màn hình chính của Client…………………………………….85 Hình 3.18. Màn hình chọn file………………………………………………85 Hình 3.19. Màn hình lưu fie……………………………………………… 86 Hình 3.20. Màn hình cảnh báo không thấy token………………………… 86 Hình 3.21. So sánh 2 file mã hóa và gốc……………………………………871 MỞ ĐẦU Cùng với các công nghệ mới thúc đẩy sự phát triển của mạng Internet thì mạng không dây cũng đã có một chuyển biến mạnh mẽ, trong đó có mạng WLAN. Các thiết bị trong mạng này kết nối với nhau không phải bằng các phương tiện truyền dẫn hữu tuyến mà là bằng sóng vô tuyến. Ích lợi mà mạng này mang lại là khả năng thiết lập kết nối tới các thiết bị không phụ thuộc vào hạ tầng dây dẫn. Cũng nhờ vào đặc điểm của mạng không dây mà chi phí cho việc lắp đặt, duy trì, bảo dưỡng hay thay đổi đường dây đã được giảm đi rất nhiều, đồng thời, tính linh hoạt được áp dụng một cách khá hiệu quả, ở bất cứ đâu trong phạm vi phủ sóng của thiết bị, ta đều có thể kết nối vào mạng. Trong những năm gần đây, giới công nghệ thông tin đã chứng kiến sự bùng nổ của nền công nghiệp mạng không dây. Khả năng liên lạc không dây gần như là tất yếu trong các thiết bị cầm tay, máy tính xách tay, điện thoại di động và các thiết bị số khác. Với các tính năng ưu việt và vùng phục vụ kết nối linh động, khả năng triển khai nhanh chóng, giá thành ngày càng giảm, mạng WLAN đã trở thành một trong những giải pháp cạnh tranh có thể thay thế mạng Ethernet LAN truyền thống. Tuy nhiên, sự tiện lợi của mạng không dây cũng đặt ra một thử thách lớn về bảo đảm an toàn an ninh cho mạng không dây đối với các nhà quản trị mạng. Ưu thế về sự tiện lợi của kết nối không dây có thể bị giảm sút do những khó khăn nảy sinh trong bảo mật mạng. Vấn đề này càng ngày càng trở nên cấp thiết và cần nhận được sự quan tâm từ nhiều phía. Vì những lý do đó cùng với niềm đam mê thực sự về những tiện lợi mà mạng không dây mang lại đã khiến em quyết định chọn đề tài: “Nghiên cứu giải pháp bảo mật mạng không dây WLAN” làm luận văn tốt nghiệp với mong muốn có thể tìm hiểu, nghiên cứu và ứng dụng các giải 2

pháp để đảm bảo an ninh cho mạng không dây. Mục tiêu đóng góp chính của luận văn là hoàn thiện phần mềm trao đổi thông tin nội bộ một cách bảo mật hoàn toàn mới, chưa có ứng dụng nào phát triển. Toàn bộ luận văn được chia làm 3 chương: Chương 1: Tổng quan về mạng không dây Trình bày tổng quan về các loại mạng không dây và các kỹ thuật được ứng dụng trong mạng không dây, sau đó tập trung trình bày về mạng WLAN và chuẩn của mạng WLAN cũng như những gì diễn ra trong quá trình thiết lập kết nối với một hệ thống WLAN đơn giản (chưa có chứng thực và mã hóa). Chương 2: Một số giải pháp đảm bảo an ninh an toàn cho mạng không dây Trình bày thực trạng mất an ninh an toàn của mạng không dây, các kiểu tấn công trong mạng không dây, các giao thức bảo mật trong mạng không dây, các kỹ thuật mật mã ứng dụng để bảo mật mạng không dây và một số giải pháp cho việc đảm bảo an ninh an toàn cho mạng WLAN. Chương 3: Xây dựng phần mềm bảo mật mạng không dây WLAN sử dụng USB ETOKEN Nội dung chính của luận văn này là sử dụng USB eToken kết hợp thuật toán mã hóa bất đối xứng RSA để bảo mật mạng không dây WLAN. USB Token là thiết bị phần cứng dùng để tạo cặp khóa bí mật, công khai và lưu trữ khóa bí mật, các thiết bị này sẽ được nhà cung cấp dịch vụ chữ ký số giao cho khách hàng để khách hàng có thể tạo cặp khóa và ký lên dữ liệu cần ký. Trong luận văn này tôi sẽ trình bày và xây dựng ra phần mềm bảo mật mạng không dây WLAN. 3

Chương 1 TỔNG QUAN VỀ MẠNG WLAN 1.1. Tìm hiểu về mạng WLAN 1.1.1. Giới thiệu Thuật ngữ “mạng máy tính không dây” hay còn gọi là mạng WLAN nói đến công nghệ cho phép hai hay nhiều máy tính giao tiếp với nhau dùng những giao thức mạng chuẩn nhưng không cần dây cáp mạng. Các mạng máy tính không dây sử dụng các sóng điện từ không gian (sóng vô tuyến hoặc sóng ánh sáng) để thu, phát dữ liệu qua không khí, giảm thiểu nhu cầu về kết nối bằng dây. Vì vậy, các mạng WLAN kết hợp liên kết dữ liệu với tính di động của người dùng. Công nghệ này bắt nguồn từ một số chuẩn công nghiệp như là IEEE 802.11 [7] đã tạo ra một số các giải pháp không dây có tính khả thi trong kinh doanh, công nghệ chế tạo, các trường đại học…khi mà ở đó mạng hữu tuyến là không thể thực hiện được. Ngày nay, các mạng WLAN càng trở nên quen thuộc hơn, được công nhận như một sự lựa chọn kết nối đa năng cho một phạm vi lớn các khách hàng kinh doanh. 1.1.2. Ưu điểm của mạng WLAN – Tính di động: Những người sử dụng mạng WLAN có thể truy cập nguồn thông tin ở bất kì nơi nào. Tính di động này sẽ tăng năng suất và tính kịp thời, thỏa mãn nhu cầu về thông tin mà các mạng hữu tuyến không thể có được. – Tính đơn giản: Việc lắp đặt, thiết lập, kết nối một mạng WLAN rất dễ dàng, đơn giản và có thể tránh được việc kéo cáp qua các bức tường và trần nhà. – Tinh linh hoạt: Có thể triển khai mạng WLAN ở những nơi mà mạng hữu tuyến không thể triển khai được hoặc khó triển khai. 4

– Tiết kiệm chi phí lâu dài: Trong khi đầu tư cần thiết ban đầu đối với phần cứng của một mạng máy tinh không dây có thể cao hơn chi phí phần cứng của một mạng hữu tuyến nhưng toàn bộ chi phí lắp đặt và các chi phí về thời gian tồn tại có thể thấp hơn đáng kể. Chi phí dài hạn có lợi nhất trong các môi trường động cần phải di chuyển và thay đổi thường xuyên. – Khả năng vô hướng: Các mạng WLAN có thể được cấu hình theo các cách khác nhau để đáp ứng các nhu cầu ứng dụng và lắp đặt cụ thể. Các cấu hình dễ dàng thay đổi từ các mạng ngang hàng thích hợp cho một số lượng nhỏ người sử dụng đến các mạng có cơ sở hạ tầng đầy đủ dành cho hàng nghìn người sử dụng mà có khả năng di chuyển trên một vùng rộng. 1.1.3. Hoạt động của mạng WLAN Các mạng WLAN sử dụng các sóng điện tử không gian (vô tuyến hoặc ánh sáng) để truyền thông tin từ một điểm tới điểm khác. Các sóng vô tuyến thường được xem như các sóng mang vô tuyến do chúng chỉ thực hiện chức năng cung cấp năng lượng cho một máy thu ở xa. Dữ liệu đang được phát được điều chế trên sóng mang vô tuyến (thường được gọi là điều chế sóng mang nhờ thông tin đang được phát) sao cho có thể được khôi phục chính xác tại máy thu. Trong một cấu hình mạng WLAN tiêu chuẩn, một thiết bị thu/phát (bộ thu/phát) được gọi là một điểm truy cập, nối với mạng hữu tuyến từ một vị trí cố định sử dụng cáp tiêu chuẩn. Chức năng tối thiểu của điểm truy cập là thu, làm đệm và phát dữ liệu giữa mạng WLAN và cơ sở hạ tầng mạng hữu tuyến. Một điểm truy cập đơn có thể hỗ trợ một nhóm nhỏ người sử dụng và có thể thực hiện chức năng trong một phạm vi từ một trăm với vài trăm feet. Điểm truy cập (hoặc anten được gắn vào điểm truy cập) thường được đặt cao nhưng về cơ bản có thể được đặt ở bất kỳ chỗ nào miễn là đạt được vùng phủ sóng mong muốn. Những người sử dụng truy cập mạng WLAN thông qua các bộ thích ứng máy tính không dây như các Card mạng 5

không dây trong các máy tính, các máy Palm, PDA. Các bộ thích ứng máy tính không dây cung cấp một giao diện giữa hệ thống điều hành mạng (NOS – Network Operation System) của máy khách và các sóng không gian qua một anten. Bản chất của kết nối không dây là trong suốt đối với hệ điều hành mạng. 1.1.4. Các mô hình của mạng WLAN 1.1.4.1. Mô hình mạng độc lập IBSS (Ad-hoc) Các trạm(máy tính có hỗ trợ card mạng không dây) tập trung lại trong một không gian nhỏ để hình thành nên kết nối ngang cấp (peer-to-peer) giữa chúng. Các nút di động có card mạng wireless là chúng có thể trao đổi thông tin trực tiếp với nhau, không cần phải quản trị mạng. Vì các mạng ad-hoc này có thể thực hiện nhanh và dễ dàng nên chúng thường được thiết lập mà không cần một công cụ hay kỹ năng đặc biệt nào vì vậy nó rất thích hợp để sử dụng trong các hội nghị thương mại hoặc trong các nhóm làm việc tạm thời. Tuy nhiên chúng có thể có những nhược điểm về vùng phủ sóng bị giới hạn, mọi người sử dụng đều phải nghe được lẫn nhau.

Hình 1.1: Mô hình mạng Ad – hoc (mạng ngang hàng) – Ưu điểm: Kết nối Peer-to-Peer không cần dùng Access Point, chi phí thấp, cấu hình và cài đặt đơn giản. 6

– Khuyết điểm: Khoảng cách giữa các máy trạm bị giới hạn, số lượng người dùng cũng bị giới hạn, không tích hợp được vào mạng có dây sẵn có.

1.1.4.2.Mô hình mạng cơ sở BSS Trong mô mạng cơ sở, các Client muốn liên lạc với nhau phải thông Access Point (AP). AP là điểm trung tâm quản lý mọi sự giao tiếp trong mạng, khi đó các Client không thể liên lạc trực tiếp với như trong mạng IBSS. Để giao tiếp với nhau các Client phải gửi các Frame dữ liệu đến AP, sau đó AP sẽ gửi đến máy nhận.

Hình 1.2: Mô hình mạng cơ sở – Ưu điểm: Các máy trạm không kết nối trực tiếp được với nhau, các máy trạm trong mạng không dây có thể kết nối với hệ thống mạng có dây. – Khuyết điểm: Giá thành cao, cài đặt và cấu hình phức tạp hơn mô hình Ad- Hoc. 1.1.4.3. Mô hình mạng mở rộng ESS Nhiều mô hình BSS kết hợp với nhau gọi là mô hình mạng ESS. Là mô hình sử dụng từ 2 AP trở lên để kết nối mạng. Khi đó các AP sẽ kết nối với nhau thành một mạng lớn hơn, phạm vi phủ sóng rộng hơn, thuận lợi và đáp ứng tốt cho các Client di động. Đảm bảo sự hoạt động của tất cả các Client. 7 Hình 1.3: Mô hình mạng mở rộng 1.2. Chuẩn IEEE 802.11 cho mạng LAN 1.2.1. Giới thiệu IEEE là tổ chức đi tiên phong trong lĩnh vực chuẩn hóa mạng LAN với đề án IEEE 802 nổi tiếng bắt đầu triển khai từ năm 1980 và kết quả là hàng loạt chuẩn thuộc họ IEEE 802.x ra đời, tạo nên một sự hội tụ quan trọng cho việc thiết kế và cài đặt các mạng LAN trong thời gian qua. IEEE 802.11 [7] là chuẩn mạng WLAN do Ủy ban các chuẩn về LAN/MAN của IEEE phát triển, hoạt động ở tần số 5Ghz và 2.4 Ghz. IEEE 802.11 và Wifi nhiều khi được hiểu là một, những thực ra là có sự khác biệt giữa chúng. Wifi là một chuẩn công nghiệp đã được cấp chứng nhận và chỉ là một bộ phận của chuẩn 802.11. Wifi do Wi-Fi Alliance đưa ra để chỉ các sản phẩm của WLAN dựa trên các chuẩn IEEE 802.11 được tổ chức này chứng nhận. Những ứng dụng phổ biến của Wifi bao gồm Internet, VoIP, Game…ngoài ra còn có các thiết bị điện tử gia dụng như Tivi, đầu DVD, Camera…. Họ các chuẩn 802.11 hiện nay bao gồm rất nhiều các kỹ thuật điều chế dựa trên cùng một giao thức cơ bản. Các kỹ thuật phổ biến nhất là b,g và n, các chuẩn khác cũng đang được phát triển và cải tiến. Các chuẩn khác như c, f, h, j là những sửa đổi, mở rộng của các chuẩn trước đó. Chuẩn 802.11a là 8

chuẩn mạng không dây đầu tiên, nhưng 802.11b lại được sử dụng nhiều nhất, sau đó mới đến các chuẩn 802.11g, 802.11a, 802.11n. 1.2.2. Nhóm lớp vật lý PHY 1.2.2.1. Chuẩn 802.11b 802.11b là chuẩn đáp ứng đủ cho phần lớn các ứng dụng mạng. Với một giải pháp rất hoàn thiện, 802.11b có nhiều đặc điểm thuận lợi so với các chuẩn không dây khác. Chuẩn 802.11b sử dụng kiểu trải phô dãy trực tiếp DSSS, hoạt động ở dải tần 2.4GHz, tốc độ truyền dữ liệu tối đa là 11Mbps trên một kênh, tốc độ thực tế là khoảng từ 4-5 Mbps. Khoảng cách có thể lên đến 500 mét trong một môi trường mở rộng. Khi dùng chuẩn này tối đa có 32 người dùng/ điểm truy cập. Đây là chuẩn đã được chấp nhận rộng rãi trên thế giới và được triển khai rất mạnh hiện này do công nghệ này sử dụng dải tần không phải đăng kí cấp phép phục vụ cho công nghiệp, dịch vụ, y tế. Nhược điểm của 802.11b là hoạt động ở dải tần 2.4Ghz trùng với dải tần của nhiều thiết bị trong gia đình như lò vi sóng, điện thoại mẹ con… nên có thể bị nhiễu. 1.2.2.2. Chuẩn 802.11a Trong khi 802.11b vẫn đang được phát triển, IEEE đã tạo một mở rộng thứ cấp cho chuẩn 802.11 có tên gọi 802.11a. Vì 802.11b được sử dụng rộng rãi quá nhanh so với 802.11a, nên một số người cho rằng 802.11a được tạo sau 802.11b. Tuy nhiên trong thực tế, 802.11a và 802.11b được tạo một cách đồng thời. Do giá thành cao hơn nên 802.11a chỉ được sử dụng trong các mạng doanh nghiệp còn 802.11b thích hợp hơn với thị trường mạng gia đình. 802.11a hỗ trợ băng thông lên đến 54 Mbps vì nó sử dụng công nghệ OFDM (Orthogonal Frequency-Division Multiplexing) và sử dụng tần số vô tuyến 5GHz UNII nên nó sẽ không giao tiếp được với chuẩn 802.11 và 802.11b. Tần số của 802.11a cao hơn so với 802.11b chính vì vậy đã làm cho 9

Hình 1.4: Thông số của 802.11n – Ưu điểm: tốc độ lý thuyết cao 270-600Mbps. Sử dụng công nghệ “channel bonding” kết hợp được 2 kênh 20MHz thành 1 kênh 40Mhz. – Nhược điểm: có thể gây nhiễu cho 802.11b vì nó lấy toàn bộ dải phổ 2.4Ghz mà 802.11b đang sử dụng. 1.2.3. Nhóm lớp liên kết dữ liệu MAC 1.2.3.1. Chuẩn 802.11d Chuẩn này chỉnh sửa lớp MAC của 802.11 cho phép máy trạm sử dụng FHSS có thể tối ưu các tham số lớp vật lý để tuân theo các quy tắc của các nước khác nhau nơi mà nó được sử dụng. 1.2.3.2. Chuẩn 802.11r Mở rộng của IEEE 802.11d, cho phép nâng cấp khả năng chuyển vùng. 1.2.3.3. Chuẩn 802.11e Đây là chuẩn bổ sung cho chuẩn 802.11 cũ, nó định nghĩa thêm các mở rộng về chất lượng dịch vụ (QoS) nên rất thích hợp cho các ứng dụng multimedia như voice, video (VoWLAN). Chuẩn 802.11e cho phép phân các mức độ ưu tiên lưu thông để các dữ liệu cần thời gian thực (như các luồng tín hiệu hình hay cuộc gọi VoIP) sẽ được truyền trước các dữ liệu kém quan trọng hơn (như e-mail hoặc trang 11

web). Một số sản phẩm sử dụng một phần của chuẩn này (gọi là WMM – Wi-Fi Multimedia). 1.2.3.4. Chuẩn 802.11f Được phê chuẩn năm 2003. Đây là chuẩn định nghĩa các thức các AP giao tiếp với nhau khi một client roaming từng vùng này sang vùng khác. Chuẩn này còn được gọi là Inter-AP Protocol (IAPP). Chuẩn này cho phép một AP có thể phát hiện được sự hiện diện của các AP khác cũng như cho phép AP “chuyển giao” client sang AP mới (lúc roaming), điều này giúp cho quá trình roaming được thực hiện một cách thông suốt. 1.2.3.5. Chuẩn 802.11h Hiện đang được sử dụng tại châu Âu, đây là khu vực mà quy định tần số radio đòi hỏi các sản phẩm phải có hệ thống TPC (Transmission Power Control) và DFS (Dynamic Frequency Selection). TPC giới hạn năng lượng được truyền tải tới mức tối thiểu cần thiết để vươn tới người dùng xa nhất. DFS lựa chọn kênh dẫn radio tại điểm truy nhập nhằm hạn chế tối thiểu nhiễu với các hệ thống khác, đặc biệt là ra đa. Tại một số khu vực trên thế giới, đa phần tần số 5 GHz được dành cho chính phủ và quân đội sử dụng. 1.2.3.6. Chuẩn 802.11i Là một chuẩn về bảo mật, nó bổ sung cho các yếu điểm của WEP trong chuẩn 802.11. Chuẩn này sử dụng các giao thức như giao thức xác thực dựa trên cổng 802.1X, và một thuật toán mã hóa được xem như là không thể crack được đó là thuật toán AES (Advance Encryption Standard), thuật toán này sẽ thay thế cho thuật toán RC4 được sử dụng trong WEP. 1.2.3.7. Chuẩn 802.11w Là nâng cấp của các tiêu chuẩn bảo mật được mô tả ở IEEE 802.11i, hiện chỉ trong giai đoạn khởi đầu. 1.3. Các quá trình cơ bản diễn ra trong mô hình BSS