Các mối đe dọa và rủi ro bảo mật của mạng không dây. Các mối đe dọa và lỗ hổng không dây

Mối quan tâm lớn đối với tất cả các mạng LAN không dây (và tất cả các mạng LAN có dây) là vấn đề bảo mật. Bảo mật ở đây cũng quan trọng như đối với bất kỳ người dùng Internet nào. Bảo mật là một vấn đề phức tạp và đòi hỏi sự chú ý liên tục. Người dùng có thể gây ra tác hại to lớn do sử dụng các điểm nóng (hot-spot) ngẫu nhiên hoặc các điểm truy cập WI-FI mở tại nhà hoặc tại văn phòng và không sử dụng mã hóa hoặc VPN (Mạng riêng ảo). Điều này nguy hiểm vì người dùng nhập dữ liệu cá nhân hoặc nghề nghiệp của mình và mạng không được bảo vệ khỏi sự xâm nhập từ bên ngoài.

WEP

Ban đầu, rất khó để cung cấp bảo mật đầy đủ cho mạng LAN không dây.

Tin tặc dễ dàng kết nối với hầu hết mọi mạng WiFi bằng cách đột nhập vào các phiên bản đầu tiên của hệ thống bảo mật như Wired Equivalent Privacy (WEP). Những sự kiện này đã để lại dấu ấn và trong một thời gian dài, một số công ty đã miễn cưỡng triển khai hoặc hoàn toàn không triển khai mạng không dây vì sợ rằng dữ liệu được truyền giữa các thiết bị WiFi không dây và các điểm truy cập Wi-Fi có thể bị chặn và giải mã. Như vậy, mô hình bảo mật này đã làm chậm quá trình tích hợp mạng không dây vào doanh nghiệp và khiến người dân sử dụng mạng WiFi tại nhà lo lắng. IEEE sau đó đã thành lập Nhóm làm việc 802.11i, nhóm hoạt động nhằm tạo ra một mô hình bảo mật toàn diện nhằm cung cấp mã hóa và xác thực AES 128-bit để bảo vệ dữ liệu. Liên minh Wi-Fi đã giới thiệu phiên bản trung gian của riêng mình về thông số bảo mật 802.11i này: Truy cập được bảo vệ Wi-Fi (WPA). Mô-đun WPA kết hợp một số công nghệ để giải quyết các lỗ hổng của hệ thống WEP 802.11. Do đó, WPA cung cấp xác thực người dùng đáng tin cậy bằng cách sử dụng tiêu chuẩn 802.1x (xác thực lẫn nhau và đóng gói dữ liệu được truyền giữa các thiết bị khách không dây, điểm truy cập và máy chủ) và Giao thức xác thực mở rộng (EAP).

Nguyên lý hoạt động của hệ thống an ninh được thể hiện dưới dạng sơ đồ trong Hình 1

Ngoài ra, WPA còn được trang bị một mô-đun tạm thời để mã hóa công cụ WEP thông qua mã hóa khóa 128 bit và sử dụng Giao thức toàn vẹn khóa tạm thời (TKIP). Và kiểm tra tin nhắn (MIC) ngăn các gói dữ liệu bị thay đổi hoặc định dạng. Sự kết hợp các công nghệ này bảo vệ tính bảo mật và tính toàn vẹn của việc truyền dữ liệu và đảm bảo an ninh bằng cách kiểm soát quyền truy cập để chỉ những người dùng được ủy quyền mới có quyền truy cập vào mạng.

WPA

Tăng cường hơn nữa bảo mật WPA và kiểm soát truy cập là việc tạo ra một khóa chính mới, duy nhất để liên lạc giữa thiết bị không dây và điểm truy cập của mỗi người dùng cũng như cung cấp phiên xác thực. Ngoài ra, trong việc tạo một trình tạo khóa ngẫu nhiên và trong quá trình tạo khóa cho mỗi gói.

IEEE đã phê chuẩn tiêu chuẩn 802.11i vào tháng 6 năm 2004, mở rộng đáng kể nhiều khả năng nhờ công nghệ WPA. Liên minh Wi-Fi đã tăng cường mô-đun bảo mật của mình trong chương trình WPA2. Như vậy, mức độ bảo mật của chuẩn truyền dữ liệu WiFi 802.11 đã đạt đến mức cần thiết cho việc triển khai các giải pháp và công nghệ không dây trong doanh nghiệp. Một trong những thay đổi đáng kể từ 802.11i (WPA2) sang WPA là việc sử dụng Chuẩn mã hóa nâng cao 128-bit (AES). WPA2 AES sử dụng chế độ anti-CBC-MAC (chế độ hoạt động cho khối mật mã cho phép sử dụng một khóa duy nhất cho cả mã hóa và xác thực) để cung cấp tính bảo mật, xác thực, tính toàn vẹn và bảo vệ chống phát lại dữ liệu. Chuẩn 802.11i cũng cung cấp tính năng lưu trữ khóa và xác thực trước để sắp xếp người dùng trên các điểm truy cập.

WPA2

Với chuẩn 802.11i, toàn bộ chuỗi mô-đun bảo mật (đăng nhập, trao đổi thông tin xác thực, xác thực và mã hóa dữ liệu) trở nên bảo vệ đáng tin cậy và hiệu quả hơn trước các cuộc tấn công không có chủ đích và có chủ đích. Hệ thống WPA2 cho phép quản trị viên mạng Wi-Fi chuyển từ vấn đề bảo mật sang quản lý hoạt động và thiết bị.

Chuẩn 802.11r là một sửa đổi của chuẩn 802.11i. Tiêu chuẩn này đã được phê chuẩn vào tháng 7 năm 2008. Công nghệ của tiêu chuẩn này chuyển các hệ thống phân cấp chính dựa trên công nghệ Handoff một cách nhanh chóng và đáng tin cậy hơn khi người dùng di chuyển giữa các điểm truy cập. Chuẩn 802.11r hoàn toàn tương thích với chuẩn WiFi 802.11a/b/g/n.

Ngoài ra còn có tiêu chuẩn 802.11w nhằm cải thiện cơ chế bảo mật dựa trên tiêu chuẩn 802.11i. Tiêu chuẩn này được thiết kế để bảo vệ các gói điều khiển.

Chuẩn 802.11i và 802.11w là cơ chế bảo mật cho mạng WiFi 802.11n.

Mã hóa tập tin và thư mục trong Windows 7

Tính năng mã hóa cho phép bạn mã hóa các tập tin và thư mục mà sau này sẽ không thể đọc được trên thiết bị khác nếu không có khóa đặc biệt. Tính năng này có mặt ở các phiên bản Windows 7 như Professional, Enterprise hay Ultimate. Sau đây sẽ đề cập đến các cách kích hoạt mã hóa các tập tin và thư mục.

Kích hoạt mã hóa tập tin:

Khởi động -> Máy tính (chọn file cần mã hóa) -> chuột phải vào file -> Thuộc tính -> Nâng cao (tab Chung) -> Thuộc tính bổ sung -> Đánh dấu vào ô Mã hóa nội dung để bảo vệ dữ liệu -> Ok -> Áp dụng - > Ok(Chọn chỉ áp dụng cho tập tin)->

Kích hoạt mã hóa thư mục:

Khởi động -> Máy tính (chọn thư mục cần mã hóa) -> chuột phải vào thư mục -> Thuộc tính -> Nâng cao (tab Chung) -> Thuộc tính bổ sung -> Đánh dấu vào ô Mã hóa nội dung để bảo vệ dữ liệu -> Ok -> Áp dụng - > Ok (Chọn chỉ áp dụng cho tập tin) -> Đóng hộp thoại Thuộc tính (Click Ok hoặc Close).

Gửi công việc tốt của bạn trong cơ sở kiến ​​thức thật đơn giản. Sử dụng mẫu dưới đây

Các sinh viên, nghiên cứu sinh, các nhà khoa học trẻ sử dụng nền tảng kiến ​​thức trong học tập và công việc sẽ rất biết ơn các bạn.

Đăng trên http://www.allbest.ru/

Cơ quan giáo dục ngân sách nhà nước liên bang về giáo dục chuyên nghiệp đại học

Bộ môn: Tin học và Công nghệ thông tin

Chuyên ngành: Khoa học máy tính ứng dụng

KHÓA HỌC

BẢO MẬT KHÔNG DÂY

Được hoàn thành bởi một sinh viên

Kozlova S.K.

Trưởng phòng công việc:

Mityaev V.V.

ĐẠI BÀNG, 2013

Giới thiệu

Phần kết luận

Thư mục

Ứng dụng

Giới thiệu

Hầu hết các máy tính hiện đại đều hỗ trợ truy cập mạng không dây. Nói cách khác, họ có thể kết nối Internet (và các thiết bị hỗ trợ không dây khác) mà không cần cáp mạng. Ưu điểm chính của kết nối không dây là khả năng làm việc với Internet ở mọi nơi trong nhà hoặc văn phòng (nếu khoảng cách giữa máy tính và thiết bị truy cập mạng không dây cho phép). Tuy nhiên, nếu bạn không thực hiện các biện pháp để đảm bảo tính bảo mật cho mạng không dây của mình thì có thể xảy ra các tình huống nguy hiểm tiềm ẩn sau đây, do đó kẻ tấn công có thể:

1. Chặn dữ liệu được truyền hoặc nhận;

2. Có quyền truy cập vào mạng không dây;

3. Chiếm kênh truy cập Internet.

Hãy chuyển sang định nghĩa về bảo mật thông tin. Bảo mật thông tin - có nghĩa là bảo vệ thông tin và hệ thống thông tin khỏi bị truy cập, sử dụng, phát hiện, bóp méo, phá hủy, sửa đổi trái phép.

Bảo mật thông tin đảm bảo tính sẵn có, tính toàn vẹn và bảo mật của thông tin. Để thực hiện bảo mật thông tin của mạng không dây, các công cụ và cơ chế bảo mật thông tin được sử dụng.

Do đó, nếu mạng không dây không an toàn, kẻ tấn công có thể chặn dữ liệu được truyền qua mạng đó, giành quyền truy cập vào mạng và các tệp trên máy tính, đồng thời truy cập Internet bằng kết nối. Do đó, kênh truyền dữ liệu bị chiếm dụng và việc truy cập Internet bị chậm lại.

Chủ đề về bảo mật mạng không dây vẫn còn phù hợp, mặc dù các phương pháp đáng tin cậy để bảo vệ các mạng này, chẳng hạn như công nghệ WPA (Wi-Fi Protected Access), đã tồn tại từ khá lâu.

Mục đích của công việc là nghiên cứu thực tế các vấn đề bảo mật và tính năng bảo mật của mạng không dây.

Đối tượng của khóa học này là an ninh mạng.

Chủ đề là bảo mật của mạng không dây.

Các nhiệm vụ cần giải quyết khi thực hiện công việc này như sau:

1. Xem xét khái niệm mạng không dây;

3. Nghiên cứu các quy định cơ bản của chính sách bảo mật kết nối không dây;

4. Phân tích các giải pháp đảm bảo an ninh mạng không dây;

5. Đánh giá nhu cầu bảo mật mạng không dây;

6. Xây dựng thuật toán thực hiện công việc đánh giá hiệu quả bảo vệ mạng không dây.

1. Khái niệm về mạng không dây và mô tả các loại tấn công chính

1.1 Khái niệm và mô tả mạng không dây

Mạng không dây là việc truyền thông tin qua một khoảng cách mà không cần sử dụng dây dẫn điện hoặc "dây điện".

Khoảng cách này có thể nhỏ (vài mét, như trong điều khiển từ xa của tivi) hoặc rất lớn (hàng nghìn hoặc thậm chí hàng triệu km đối với viễn thông).

Truyền thông không dây thường được coi là một nhánh của viễn thông.

Sự phổ biến của truyền thông không dây đang phát triển với tốc độ bùng nổ, mở ra thị trường mới cho các nhà khai thác - từ trò chơi trực tuyến trên màn hình điện thoại di động đến các dịch vụ khẩn cấp.

Điều này là do sự phổ biến của máy tính xách tay, hệ thống phân trang và sự xuất hiện của hệ thống lớp thư ký cá nhân (Trợ lý kỹ thuật số cá nhân (PDA)), mở rộng chức năng của điện thoại di động.

Những hệ thống như vậy phải cung cấp kế hoạch kinh doanh, thời gian, lưu trữ tài liệu và liên lạc với các trạm từ xa. Phương châm của các hệ thống này là mọi lúc, mọi nơi, tức là cung cấp dịch vụ liên lạc bất kể địa điểm và thời gian. Ngoài ra, các kênh không dây có liên quan khi việc đặt đường cáp và khoảng cách xa là không thể hoặc tốn kém.

Cho đến gần đây, hầu hết các mạng máy tính không dây đều truyền dữ liệu ở tốc độ từ 1,2 đến 14,0 Kbps, thường chỉ là các tin nhắn ngắn, vì không thể truyền các tệp lớn hoặc các phiên làm việc tương tác dài với cơ sở dữ liệu. Các công nghệ truyền dẫn không dây mới hoạt động ở tốc độ vài chục megabit/giây.

Alan S. Cohen, giám đốc cấp cao của Cisco Systems, chịu trách nhiệm về các giải pháp di động, nói rất nhiều về triển vọng của thị trường truyền thông không dây.

Ông cho biết công nghệ không dây đang nhanh chóng trở thành một tiêu chuẩn được chấp nhận và có tác động sâu rộng đến cuộc sống của chúng ta.

Có hai động lực thị trường quan trọng thúc đẩy xu hướng kết nối không dây khắp nơi. Yếu tố đầu tiên là sự “dân chủ hóa” công nghệ không dây, vốn trở nên đáng chú ý trên thị trường di động với sự ra đời của chuẩn 802.11 hoặc Wi-Fi.

Sự tăng trưởng nhanh chóng về số lượng thiết bị di động và mạng di động trong gia đình, căn hộ, doanh nghiệp và thành phố là rất đáng chú ý. Ngày nay, thật dễ dàng và đơn giản để xây dựng một mạng không dây và cung cấp tính di động băng thông rộng vì lợi ích của các tập đoàn lớn và người dùng cá nhân.

Ông cũng nhấn mạnh một lĩnh vực ứng dụng công nghệ di động thú vị khác - mạng lưới đô thị, giúp công nghệ Wi-Fi thực sự phổ biến.

Cung cấp quyền truy cập cho tất cả cư dân thành phố trên toàn lãnh thổ là một ví dụ tuyệt vời về dân chủ hóa công nghệ không dây. Kiến trúc mạng và công nghệ truyền thông hợp nhất không chỉ kết hợp truyền thông có dây và không dây mà còn tập hợp các dịch vụ mạng trong nhà và ngoài trời. Kết quả là bạn có thể duy trì kết nối với mạng mọi lúc mọi nơi, bên trong hay bên ngoài tòa nhà, điều này rất quan trọng đối với truyền thông đô thị.

Truyền thông không dây đang trở nên phổ biến. Nó cho phép bạn cung cấp kết nối cho người dùng ở những nơi khó kết nối cáp hoặc ở những nơi cần có tính di động hoàn toàn. Trong trường hợp này, mạng không dây tương tác với mạng có dây. Ngày nay, cần phải tính đến các giải pháp không dây khi thiết kế bất kỳ mạng nào - từ văn phòng nhỏ đến doanh nghiệp. Điều này có thể sẽ tiết kiệm tiền, lao động và thời gian.

Có nhiều trường hợp và lý do tại sao mạng không dây là lựa chọn duy nhất hoặc thuận tiện nhất để tổ chức truy cập vào mạng truyền thông hoặc Internet:

1) Nếu cần tổ chức khả năng truy cập mạng và Internet du mục cho người dùng ngẫu nhiên trong các quán cà phê, sân bay, nhà ga, cửa hàng và những nơi công cộng khác;

2) Nếu cần tổ chức mạng cục bộ trong các tòa nhà không có khả năng đi dây cáp (ví dụ: trong các tòa nhà lịch sử) hoặc trong các tòa nhà mà việc đặt cáp là một công việc rất phức tạp, tốn thời gian và khó khăn;

3) Khi tổ chức một mạng cục bộ tạm thời, bao gồm mạng cục bộ để truy cập công cộng, ví dụ như để tổ chức bất kỳ sự kiện, hội nghị nào, v.v.;

4) Khi mở rộng mạng cục bộ trong trường hợp cần kết nối bất kỳ phân đoạn cách ly từ xa nào có chứa một số lượng nhỏ máy trạm;

5) Nếu cần truy cập di động vào tài nguyên mạng, chẳng hạn như khi di chuyển quanh một căn hộ hoặc tổ chức bằng máy tính xách tay, khi đến thăm nhiều bệnh nhân khác nhau với bác sĩ trong bệnh viện để liên lạc với cơ sở dữ liệu trung tâm hoặc để liên lạc và điều phối cơ học nói chung các tòa nhà được trang bị đầy đủ các phương tiện hiện đại để cung cấp cho chúng hoạt động sống;

6) Tổ chức các kênh liên lạc bổ sung có thể được cung cấp bởi các nhà khai thác viễn thông thay thế tạo ra mạng cục bộ không dây ở các khu vực khác nhau.

Tùy thuộc vào công nghệ và phương tiện truyền dẫn được sử dụng, có thể xác định các loại mạng không dây sau:

Mạng trên modem vô tuyến;

Mạng trên modem di động;

Hệ thống hồng ngoại;

hệ thống VSAT;

Hệ thống sử dụng vệ tinh quỹ đạo thấp;

Hệ thống sử dụng công nghệ SST;

Hệ thống chuyển tiếp vô tuyến;

Hệ thống thông tin liên lạc laze.

WI-FI là công nghệ không dây hiện đại để truyền dữ liệu qua kênh vô tuyến (không dây, wlan wifi).

Bất kỳ thiết bị nào tuân thủ tiêu chuẩn IEEE 802.11 đều có thể được Wi-Fi Alliance kiểm tra và nhận được chứng nhận phù hợp cũng như quyền hiển thị logo Wi-Fi.

Wireless Fidelity, dịch từ tiếng Anh có nghĩa là độ chính xác không dây. Ngoài ra còn có một tên dài hơn cho thuật ngữ này: EEE 802.11b. Wi-Fi có nguồn gốc từ năm 1985 tại Hoa Kỳ, sau khi phần tần số của kênh vô tuyến được mở để sử dụng mà không có sự cho phép đặc biệt.

Tiêu chuẩn đầu tiên trở nên phổ biến nhất là tiêu chuẩn IEEE 802.11b.

Thiết bị tuân thủ tiêu chuẩn 802.11b đã xuất hiện vào năm 2001 và cho đến ngày nay hầu hết các mạng không dây vẫn hoạt động bằng tiêu chuẩn này và nhiều thiết bị Wi-Fi không dây cũng hỗ trợ 802.11b.

Sóng vô tuyến được sử dụng để liên lạc Wi-Fi rất giống với sóng vô tuyến được sử dụng trong bộ đàm, máy thu, điện thoại di động và các thiết bị khác. Nhưng Wi-Fi có một số điểm khác biệt đáng chú ý so với các thiết bị vô tuyến khác.

Truyền thông được thực hiện ở tần số 2,4-5 GHz. Tần số này cao hơn nhiều so với tần số phù hợp cho điện thoại di động, radio cầm tay và tivi.

Tần số tín hiệu càng cao thì thông tin được truyền đi càng nhiều. Mạng không dây sử dụng sóng vô tuyến giống như radio, điện thoại di động và tivi. Trên thực tế, giao tiếp không dây Wi-Fi giống với giao tiếp vô tuyến hai chiều hơn.

Ở Nga, việc sử dụng Wi-Fi mà không được phép sử dụng tần số từ Ủy ban Tần số Vô tuyến Nhà nước (SCRF) có thể tổ chức mạng bên trong các tòa nhà, nhà kho kín và khu công nghiệp.

Để sử dụng hợp pháp mạng không dây Wi-Fi bên ngoài văn phòng, chẳng hạn như kênh radio giữa hai ngôi nhà lân cận, bạn phải xin phép sử dụng tần số. Có một quy trình đơn giản hóa để cấp giấy phép sử dụng tần số vô tuyến trong băng tần 2400-2483,5 MHz (tiêu chuẩn 802.11b và 802.11g, kênh 1-13); việc xin phép như vậy không cần phải có quyết định riêng từ SCRF. Để sử dụng tần số vô tuyến ở các băng tần khác, đặc biệt là 5 GHz (tiêu chuẩn 802.11a), trước tiên bạn phải có giải pháp riêng từ SCRF. Năm 2007, tình hình đã thay đổi khi ban hành văn bản: “Nghị quyết ngày 25 tháng 7 năm 2007, số 476” Về sửa đổi Nghị quyết của Chính phủ Liên bang Nga” ngày 12 tháng 10 năm 2004.

Đoạn thứ mười sáu của nghị quyết bị loại khỏi danh sách thiết bị phải đăng ký - thiết bị người dùng truy cập không dây ở băng tần vô tuyến 2400-2483,5 MHz với công suất bức xạ của thiết bị phát lên tới 100 mW.

Ngoài ra, theo mục nhập giao thức theo quyết định của SCRF ngày 19 tháng 8 năm 2009, số 09-04-09, SCRC đã quyết định: phân bổ các băng tần vô tuyến 5150-5350 MHz và 5650-6425 MHz để sử dụng trên lãnh thổ Liên bang Nga, ngoại trừ các thành phố được nêu trong phụ lục số 2, truy cập không dây cố định của công dân Liên bang Nga và các pháp nhân Nga mà không ban hành các quyết định riêng của SCRF cho từng cá nhân hoặc pháp nhân.

Các dải tần được chỉ định tương ứng với các tiêu chuẩn và kênh 802.11a/b/g/n với các số trong phạm vi 36-64 và 132-165. Tuy nhiên, Phụ lục 2 liệt kê 164 thành phố lớn nhất ở Nga không thể sử dụng tần số quy định để tạo mạng không dây.

Vi phạm quy trình sử dụng phương tiện vô tuyến điện tử phải chịu trách nhiệm pháp lý theo Điều 13.3 và 13.4 của Bộ luật Liên bang Nga về vi phạm hành chính.

Theo quyết định ngày 15 tháng 7 năm 2010, Ủy ban Tần số Vô tuyến Nhà nước Nga đã hủy bỏ việc ban hành các quyết định riêng bắt buộc của Ủy ban Tần số Vô tuyến Nhà nước đối với việc sử dụng các hệ thống truy cập không dây cố định trong dải tần 5150-5350 MHz và 5650-6425 MHz. Hạn chế đối với các dải tần này đã được dỡ bỏ trên toàn bộ lãnh thổ Nga.

Các loại và loại kết nối sau đây được phân biệt:

1. Kết nối Ad-Hoc (điểm-điểm). Tất cả các máy tính đều được trang bị thẻ không dây (máy khách) và kết nối trực tiếp với nhau thông qua kênh vô tuyến hoạt động theo chuẩn 802.11b và cung cấp tốc độ trao đổi 11 Mbit/s, khá đủ cho hoạt động bình thường;

2. Kết nối cơ sở hạ tầng. Mô hình này được sử dụng khi cần kết nối nhiều hơn hai máy tính. Một máy chủ có điểm truy cập có thể hoạt động như một bộ định tuyến và phân phối kênh Internet một cách độc lập;

3. Điểm truy cập, sử dụng bộ định tuyến và modem. Điểm truy cập được kết nối với bộ định tuyến, bộ định tuyến được kết nối với modem (các thiết bị này có thể được kết hợp thành hai hoặc thậm chí một). Giờ đây, Internet sẽ hoạt động trên mọi máy tính trong vùng phủ sóng Wi-Fi có bộ điều hợp Wi-Fi;

4. Điểm khách hàng. Ở chế độ này, điểm truy cập hoạt động như một máy khách và có thể kết nối với một điểm truy cập hoạt động ở chế độ cơ sở hạ tầng. Nhưng chỉ có một địa chỉ MAC có thể được kết nối với nó. Ở đây nhiệm vụ là chỉ kết nối hai máy tính. Hai bộ điều hợp Wi-Fi có thể hoạt động trực tiếp với nhau mà không cần ăng-ten trung tâm;

5. Kết nối cầu. Máy tính được kết nối với mạng có dây. Mỗi nhóm mạng được kết nối với các điểm truy cập kết nối với nhau thông qua kênh radio. Chế độ này được thiết kế để kết hợp hai hoặc nhiều mạng có dây. Máy khách không dây không thể kết nối với điểm truy cập hoạt động ở chế độ cầu nối.

Do đó, khái niệm và các lớp mạng không dây đã được xem xét và các lý do cho việc sử dụng kết nối không dây phù hợp đã được xác định. Khung pháp lý liên quan đến mạng Wi-Fi được phân tích. Mạng không dây được mô tả bằng cách cung cấp một loại hình và loại kết nối.

Nhiều vấn đề khác nhau thường phát sinh trong quá trình hoạt động của mạng không dây. Một số là do sự giám sát của người khác, và một số là kết quả của những hành động ác ý. Trong mọi trường hợp, thiệt hại được gây ra. Những sự kiện này là các cuộc tấn công, bất kể lý do xảy ra của chúng.

Có bốn loại tấn công chính:

1. Tấn công truy cập;

2. Tấn công sửa đổi;

3. Tấn công từ chối dịch vụ;

4. Tấn công từ chối trách nhiệm.

Tấn công truy cập là nỗ lực của kẻ tấn công nhằm lấy thông tin mà anh ta không có quyền xem và nhằm mục đích vi phạm tính bảo mật của thông tin.

Để thực hiện cuộc tấn công này, cần có thông tin và phương tiện để truyền nó.

Một cuộc tấn công truy cập có thể xảy ra ở bất cứ nơi nào có thông tin và phương tiện truyền tải nó.

Các cuộc tấn công truy cập cũng có thể bao gồm gián điệp, nghe lén và đánh chặn.

Rình mò là xem các tập tin hoặc tài liệu để tìm kiếm thông tin mà kẻ tấn công quan tâm.

Nghe lén là việc ai đó nghe cuộc trò chuyện mà họ không phải là người tham gia (thường sử dụng thiết bị điện tử).

Chặn là việc thu thập thông tin trong quá trình truyền đến đích.

Thông tin được lưu trữ điện tử:

Máy trạm;

May chủ;

Trong máy tính xách tay;

Băng đĩa.

Với đĩa CD, tình hình rất rõ ràng vì kẻ tấn công có thể đánh cắp chúng một cách đơn giản. Với hai điều đầu tiên là khác nhau. Với quyền truy cập hợp pháp vào hệ thống, kẻ tấn công sẽ phân tích các tệp bằng cách mở từng tệp một. Trong trường hợp truy cập trái phép, kẻ tấn công sẽ cố gắng vượt qua hệ thống kiểm soát và giành quyền truy cập vào thông tin cần thiết. Không khó để làm điều này. Bạn cần cài đặt bộ phân tích gói mạng (sniffer) trên hệ thống máy tính của mình. Để làm được điều này, kẻ tấn công phải tăng quyền hạn của mình trong hệ thống hoặc kết nối với mạng. Máy phân tích được cấu hình để thu thập mọi thông tin truyền qua mạng, đặc biệt là ID người dùng và mật khẩu.

Việc nghe lén cũng được thực hiện trong các mạng máy tính toàn cầu như đường dây thuê riêng và kết nối điện thoại. Tuy nhiên, kiểu đánh chặn này đòi hỏi phải có thiết bị phù hợp và kiến ​​thức đặc biệt. Trong trường hợp này, nơi thích hợp nhất để đặt thiết bị nghe là tủ có dây điện.

Và với sự trợ giúp của thiết bị đặc biệt, một hacker có trình độ có thể chặn các hệ thống liên lạc cáp quang. Tuy nhiên, để thành công, anh ta phải đặt hệ thống của mình vào đường truyền giữa người gửi và người nhận thông tin. Trên Internet, điều này được thực hiện bằng cách thay đổi độ phân giải tên, khiến tên máy tính bị chuyển thành địa chỉ không chính xác. Lưu lượng truy cập được chuyển hướng đến hệ thống của kẻ tấn công thay vì nút đích thực tế. Nếu hệ thống như vậy được cấu hình phù hợp, người gửi sẽ không bao giờ biết rằng thông tin của mình không đến được tay người nhận.

Tấn công sửa đổi là một nỗ lực nhằm thay đổi thông tin một cách bất hợp pháp. Nó nhằm mục đích vi phạm tính toàn vẹn của thông tin và có thể xảy ra ở bất cứ nơi nào thông tin tồn tại hoặc được truyền đi.

Có ba loại tấn công sửa đổi:

1. Thay thế;

2. Bổ sung;

3. Loại bỏ.

Thay thế - thay thế các mục tiêu thông tin hiện có cả thông tin mật và thông tin công cộng.

Tấn công bổ sung - thêm dữ liệu mới.

Một cuộc tấn công xóa có nghĩa là di chuyển dữ liệu hiện có.

Tất cả ba loại tấn công sửa đổi đều khai thác các lỗ hổng hệ thống, chẳng hạn như các “lỗ hổng” bảo mật máy chủ cho phép thay thế trang chủ. Ngay cả khi đó, công việc mở rộng vẫn phải được thực hiện trên toàn bộ hệ thống để ngăn chặn việc bị phát hiện. Vì các giao dịch được đánh số tuần tự nên việc xóa hoặc thêm số giao dịch sai sẽ được ghi chú.

Nếu một cuộc tấn công sửa đổi được thực hiện trong quá trình truyền thông tin thì trước tiên cần phải chặn lưu lượng quan tâm, sau đó thực hiện các thay đổi đối với thông tin trước khi gửi nó đến đích.

Tấn công từ chối dịch vụ (DoS) là các cuộc tấn công ngăn cản người dùng hợp pháp sử dụng hệ thống, thông tin hoặc khả năng của máy tính. Nói cách khác, cuộc tấn công này là "Phá hoại", tức là kẻ tấn công.

Do một cuộc tấn công DoS, người dùng thường không có quyền truy cập vào hệ thống máy tính và không thể thao tác với thông tin.

Một cuộc tấn công DoS nhắm vào thông tin sẽ phá hủy, bóp méo hoặc di chuyển nó đến một nơi không thể tiếp cận được.

Một cuộc tấn công DoS nhằm vào các ứng dụng xử lý hoặc hiển thị thông tin hoặc vào hệ thống máy tính mà các ứng dụng này đang chạy, khiến cho việc hoàn thành các tác vụ được thực hiện bằng ứng dụng đó là không thể.

Một kiểu tấn công DoS phổ biến (từ chối quyền truy cập vào hệ thống) nhằm mục đích vô hiệu hóa hệ thống máy tính, do đó bản thân hệ thống, các ứng dụng được cài đặt trên đó và tất cả thông tin được lưu trữ đều không thể truy cập được.

Từ chối quyền truy cập vào thông tin liên lạc có nghĩa là vô hiệu hóa các phương tiện liên lạc từ chối quyền truy cập vào hệ thống máy tính và thông tin.

Các cuộc tấn công DoS nhắm trực tiếp vào hệ thống máy tính được thực hiện thông qua việc khai thác lợi dụng các lỗ hổng trong hệ điều hành hoặc giao thức mạng.

Với sự trợ giúp của những "lỗ hổng" này, kẻ tấn công sẽ gửi một bộ lệnh cụ thể đến ứng dụng mà nó không thể xử lý chính xác, do đó ứng dụng gặp sự cố. Khởi động lại sẽ khôi phục chức năng của nó, nhưng trong quá trình khởi động lại, ứng dụng sẽ không thể hoạt động được.

Cuộc tấn công từ chối trách nhiệm nhắm vào khả năng xác định thông tin hoặc trình bày sai sự kiện hoặc giao dịch thực tế.

Kiểu tấn công này bao gồm:

Masquerade đang thực hiện các hành động dưới vỏ bọc của người dùng khác hoặc hệ thống khác.

Từ chối một sự kiện là từ chối thực tế của một hoạt động.

Các cuộc tấn công DoS chống lại Internet là các cuộc tấn công vào các máy chủ tên gốc của Internet.

Bạn có thể đảm bảo tính bảo mật cho thiết bị truy cập không dây của mình và theo đó, giảm thiểu rủi ro liên quan đến loại truy cập này bằng các bước đơn giản sau:

1. Thay đổi mật khẩu quản trị viên trên thiết bị không dây của bạn. Hacker có thể dễ dàng tìm ra mật khẩu mặc định của nhà sản xuất thiết bị là gì và sử dụng mật khẩu đó để truy cập vào mạng không dây. Tránh những mật khẩu dễ đoán hoặc dễ đoán;

2. Vô hiệu hóa việc phát sóng mã định danh mạng (phát sóng SSID, SSID - Mã định danh bộ dịch vụ, mã định danh mạng) ​​để thiết bị không dây không phát thông tin mà nó được bật;

3. Kích hoạt mã hóa lưu lượng: tốt nhất nên sử dụng giao thức WPA nếu thiết bị hỗ trợ (nếu không thì sử dụng mã hóa WEP);

4. Thay đổi mã định danh mạng (SSID) của thiết bị. Nếu bạn để lại mã định danh mặc định của nhà sản xuất thiết bị, kẻ tấn công có thể dễ dàng xác định mạng không dây bằng cách tìm hiểu mã định danh này. Đừng sử dụng những cái tên dễ đoán.

Để giải quyết vấn đề này, bốn loại tấn công chính và ba loại tấn công sửa đổi đã được xác định và nghiên cứu. Các cuộc tấn công từ chối dịch vụ và từ chối nghĩa vụ cũng phải được xem xét. Dựa trên phân tích này, các bước đã được phát triển để đảm bảo tính bảo mật của các thiết bị truy cập không dây.

Vì vậy, tóm lại, chúng ta có thể tự tin nói rằng kết nối không dây hiện đã trở nên phổ biến, chủ yếu là do khả năng hoạt động với Internet ở bất kỳ đâu trong nhà hoặc văn phòng.

Tuy nhiên, nếu bạn không thực hiện các biện pháp để đảm bảo tính bảo mật cho mạng không dây của mình, kẻ tấn công có thể chặn dữ liệu được truyền qua mạng đó, giành quyền truy cập vào mạng và các tệp trên máy tính của bạn, đồng thời truy cập Internet bằng kết nối.

2. Rà soát các công cụ, phương pháp đảm bảo an toàn thông tin mạng không dây

2.1 Chính sách bảo mật không dây

Đặc điểm cụ thể của mạng không dây có nghĩa là dữ liệu có thể bị chặn và thay đổi bất cứ lúc nào. Một số công nghệ yêu cầu bộ điều hợp không dây tiêu chuẩn, trong khi những công nghệ khác yêu cầu thiết bị chuyên dụng. Nhưng trong mọi trường hợp, những mối đe dọa này được thực hiện khá đơn giản và để chống lại chúng, cần có các cơ chế bảo vệ dữ liệu mật mã hiệu quả.

Khi xây dựng một hệ thống bảo mật, điều quan trọng là phải xác định mô hình mối đe dọa, tức là quyết định bản thân biện pháp bảo vệ sẽ chống lại điều gì. Trên thực tế, có hai mối đe dọa trong mạng không dây: kết nối trái phép và nghe lén, nhưng danh sách của chúng có thể được mở rộng bằng cách nêu bật và khái quát các mối đe dọa chính sau đây liên quan đến thiết bị không dây đối với những mối đe dọa được liệt kê trong chương đầu tiên:

Sử dụng không kiểm soát và vi phạm chu vi;

Kết nối trái phép với các thiết bị và mạng;

Chặn và sửa đổi giao thông;

Vi phạm tính sẵn có;

Định vị thiết bị.

Việc sử dụng rộng rãi các thiết bị không dây và giá thành thấp của chúng dẫn đến những lỗ hổng trong phạm vi an ninh mạng. Ở đây chúng ta không chỉ nói về những kẻ tấn công đã kết nối PDA hỗ trợ Wi-Fi với mạng có dây của công ty mà còn về những tình huống tầm thường hơn. Bộ điều hợp không dây đang hoạt động trên máy tính xách tay được kết nối với mạng công ty, điểm truy cập được mang từ nhà để thử nghiệm - tất cả những thứ này có thể trở thành kênh thuận tiện để xâm nhập mạng nội bộ.

Xác thực không đầy đủ và lỗi trong hệ thống kiểm soát truy cập cho phép kết nối trái phép.

Về bản chất, mạng không dây không thể cung cấp tính sẵn sàng cao. Các yếu tố tự nhiên, nhân tạo và nhân tạo khác nhau có thể làm gián đoạn hoạt động bình thường của kênh vô tuyến một cách hiệu quả. Thực tế này phải được tính đến khi thiết kế mạng và không nên sử dụng mạng không dây để tổ chức các kênh có yêu cầu tính sẵn sàng cao.

Các trạm Wi-Fi có thể dễ dàng được phát hiện bằng các phương pháp thụ động, cho phép bạn xác định vị trí của thiết bị không dây với độ chính xác khá cao. Ví dụ: hệ thống Navizon có thể sử dụng GPS, trạm gốc GSM và các điểm truy cập không dây để xác định vị trí của thiết bị di động.

Chính sách bảo mật cho mạng không dây có thể được trình bày dưới dạng tài liệu riêng biệt hoặc là một phần của các thành phần khác của bảo mật quy định. Trong hầu hết các trường hợp, không cần phải có tài liệu riêng vì các quy định của chính sách mạng không dây phần lớn trùng lặp với nội dung truyền thống của các tài liệu đó. Ví dụ: các yêu cầu về bảo vệ vật lý của các điểm truy cập hoàn toàn bị chồng chéo bởi các vấn đề về bảo mật vật lý của thiết bị mạng đang hoạt động. Về vấn đề này, chính sách bảo mật không dây được trình bày dưới dạng một tài liệu riêng biệt trong quá trình triển khai mạng WLAN, sau đó, với lần sửa đổi tài liệu tiếp theo, nó sẽ kết hợp hài hòa với các tài liệu khác.

Nếu mạng không dây không được sử dụng, chính sách bảo mật phải bao gồm mô tả các cơ chế bảo vệ nhằm giảm thiểu rủi ro liên quan đến việc sử dụng trái phép mạng vô tuyến.

Các phương pháp thực hành tốt nhất trên thế giới trong lĩnh vực quản lý bảo mật thông tin được mô tả trong tiêu chuẩn quốc tế về hệ thống quản lý bảo mật thông tin ISO/IEC 27001 (ISO 27001). ISO 27001 chỉ định các yêu cầu đối với hệ thống quản lý bảo mật thông tin để chứng minh khả năng bảo vệ tài sản thông tin của tổ chức.

Tiêu chuẩn này là GOST RISO/IEC 27001-2006 đích thực. Nó thiết lập các yêu cầu để phát triển, triển khai, vận hành, giám sát, phân tích, hỗ trợ và cải tiến hệ thống quản lý an ninh thông tin được ghi lại, để thực hiện các biện pháp kiểm soát và quản lý an ninh thông tin.

Những ưu điểm chính của tiêu chuẩn ISO/IEC 27001:

Chứng nhận cho phép bạn cho các đối tác kinh doanh, nhà đầu tư và khách hàng thấy rằng tổ chức có khả năng quản lý bảo mật thông tin hiệu quả;

Tiêu chuẩn này tương thích với ISO 9001:2000 và ISO 14001:2007;

Tiêu chuẩn này không đặt ra các hạn chế đối với việc lựa chọn phần mềm và phần cứng, không áp đặt các yêu cầu kỹ thuật đối với các công cụ CNTT hoặc công cụ bảo mật thông tin và cho phép tổ chức hoàn toàn tự do lựa chọn các giải pháp kỹ thuật để bảo mật thông tin.

Khái niệm bảo mật thông tin được tiêu chuẩn quốc tế giải thích là đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin.

Dựa trên tiêu chuẩn này, các khuyến nghị có thể được đưa ra để giảm khả năng vi phạm chính sách bảo mật mạng không dây trong một tổ chức:

1. Đào tạo người dùng và quản trị viên. ISO|IEC 27001 A.8.2.2. Kết quả của việc đào tạo là người dùng phải biết và hiểu các hạn chế của chính sách và quản trị viên phải có đủ trình độ để ngăn chặn và phát hiện các hành vi vi phạm chính sách;

2. Kiểm soát kết nối mạng. ISO|IEC 27001 A.11.4.3. Có thể giảm thiểu rủi ro liên quan đến việc kết nối điểm truy cập trái phép hoặc máy khách không dây bằng cách vô hiệu hóa các cổng chuyển mạch không sử dụng, lọc địa chỉ MAC (bảo mật cổng), xác thực 802.1X, hệ thống phát hiện xâm nhập và máy quét bảo mật theo dõi sự xuất hiện của các đối tượng mạng mới;

3. An ninh vật lý. ISO|IEC 27001 A.9.1. Việc kiểm soát các thiết bị được mang vào cơ sở cho phép bạn hạn chế khả năng các thiết bị không dây kết nối với mạng. Việc hạn chế quyền truy cập của người dùng và khách truy cập vào các cổng mạng và khe cắm mở rộng trên máy tính của bạn sẽ làm giảm khả năng kết nối của thiết bị không dây;

4. Giảm thiểu đặc quyền của người dùng. ISO|IEC 27001 A.11.2.2. Nếu người dùng làm việc trên máy tính có các quyền cần thiết tối thiểu thì khả năng xảy ra những thay đổi trái phép đối với cài đặt của giao diện không dây sẽ giảm đi;

5. Kiểm soát chính sách bảo mật. ISO|IEC 27001 6, A.6.1.8. Các công cụ phân tích bảo mật, chẳng hạn như máy quét lỗ hổng, cho phép bạn phát hiện sự xuất hiện của các thiết bị mới trên mạng và xác định loại của chúng (chức năng xác định phiên bản hệ điều hành và ứng dụng mạng), cũng như theo dõi độ lệch của cài đặt máy khách so với một cấu hình nhất định. Các điều khoản tham chiếu đối với công việc đánh giá do chuyên gia tư vấn bên ngoài thực hiện phải tính đến các yêu cầu của chính sách mạng không dây;

6. Kiểm kê tài nguyên. ISO|IEC 27001 A.7.1.1. Việc có danh sách tài nguyên mạng hiện tại, cập nhật giúp việc khám phá các đối tượng mạng mới dễ dàng hơn;

7. Phát hiện tấn công. ISO|IEC 27001 A.10.10.2. Việc sử dụng các hệ thống phát hiện tấn công, cả truyền thống và không dây, giúp phát hiện kịp thời các nỗ lực truy cập trái phép;

8. Điều tra vụ việc. ISO|IEC 27001 A.13.2. Các sự cố liên quan đến mạng không dây không khác nhiều so với các tình huống tương tự khác, nhưng các thủ tục điều tra chúng phải được xác định. Đối với các mạng nơi mạng không dây đang được triển khai hoặc sử dụng, có thể cần phải bổ sung các phần chính sách;

9. Hỗ trợ pháp lý. ISO|IEC 27001 A.15.1.1. Việc sử dụng mạng không dây có thể phải tuân theo các quy định của Nga và quốc tế. Vì vậy, ở Nga, việc sử dụng dải tần 2,4 GHz được quy định theo quyết định của SCRF ngày 6 tháng 11 năm 2004 (04-03-04-003). Ngoài ra, do mã hóa được sử dụng rộng rãi trong các mạng không dây và việc sử dụng các phương tiện bảo vệ bằng mật mã trong một số trường hợp phải chịu những hạn chế pháp lý khá nghiêm ngặt nên cần phải nghiên cứu vấn đề này;

10. Kiểm toán nội bộ và bên ngoài. ISO|IEC 27001 6, A.6.1.8. Khi thực hiện công việc đánh giá bảo mật, các yêu cầu của chính sách mạng không dây phải được tính đến. Phạm vi công việc có thể thực hiện để đánh giá tính bảo mật của mạng WLAN được mô tả chi tiết hơn trong chương cuối của cuốn sách này;

11. Tách mạng. ISO|IEC 27001 A.11.4.5. Do đặc thù của mạng không dây, nên phân bổ các điểm truy cập không dây vào một phân đoạn mạng riêng bằng cách sử dụng tường lửa, đặc biệt khi liên quan đến quyền truy cập của khách;

12. Sử dụng các biện pháp bảo mật bằng mật mã. ISO|IEC 27001 A.12.3. Các giao thức và thuật toán mã hóa lưu lượng được sử dụng trên mạng không dây (WPA hoặc 802.11i) phải được xác định. Khi sử dụng công nghệ 802.1X, các yêu cầu về giao thức chữ ký số và độ dài của khóa ký của chứng chỉ được sử dụng cho các mục đích sẽ được xác định;

13. Xác thực. ISO|IEC 27001 A.11.4.2. Phải xác định các yêu cầu lưu trữ dữ liệu xác thực, sự thay đổi, độ phức tạp và tính bảo mật của chúng trong quá trình truyền qua mạng. Các phương pháp EAP được sử dụng, các phương pháp bảo vệ khóa công khai của máy chủ RADIUS có thể được xác định rõ ràng;

14. Kiểm soát những thay đổi trong hệ thống thông tin. ISO|IEC 27001 A.12.5.1. Công nghệ không dây phải được tính đến trong IP;

15. Chấp nhận sử dụng phần mềm và phần cứng. ISO|IEC 27001 A.12.4.1 Phần này bao gồm các yêu cầu đối với điểm truy cập, bộ chuyển mạch không dây và máy khách không dây;

16. Phát hiện tấn công. ISO|IEC 27001 A.10.10.2. Phải xác định các yêu cầu đối với hệ thống phát hiện tấn công không dây và phải phân công trách nhiệm phân tích sự kiện;

17. Ghi nhật ký và phân tích các sự kiện bảo mật. ISO|IEC 27001 A.10.10.1. Phần này có thể được mở rộng bằng cách thêm các sự kiện dành riêng cho mạng không dây vào danh sách các sự kiện được giám sát. Có thể bao gồm phần trước;

18. Truy cập mạng từ xa. ISO|IEC 27001 A.11.7.2. Trong hầu hết các trường hợp, người dùng mạng không dây được phân loại một cách hợp lý là người dùng hệ thống truy cập từ xa. Điều này là do các mối đe dọa tương tự và do đó, các biện pháp đối phó đặc trưng của các thành phần IS này. Ngoài ra, sau khi hoàn thành tất cả các giai đoạn, các tài liệu sau phải được tạo dưới dạng này hoặc dạng khác:

Hướng dẫn người dùng về việc sử dụng mạng không dây;

Cài đặt cơ bản của điểm truy cập, bộ chuyển mạch không dây, máy trạm;

Thủ tục giám sát an ninh của mạng không dây;

Hồ sơ của hệ thống phát hiện tấn công;

Quy trình ứng phó sự cố không dây.

Do đó, tiêu chuẩn ISO/IEC 27001 đã được phân tích, dựa trên tiêu chuẩn này, các khuyến nghị đã được đưa ra nhằm giảm khả năng vi phạm chính sách bảo mật không dây của tổ chức. Ngoài ra còn có một danh sách các tài liệu phải được tạo sau khi hoàn thành tất cả các giai đoạn của chính sách bảo mật mạng không dây.

Chính sách bảo mật được xây dựng và thực thi đúng cách là nền tảng đáng tin cậy cho mạng không dây an toàn. Do đó, cần phải quan tâm đầy đủ đến nó, cả ở giai đoạn triển khai mạng và trong quá trình vận hành, phản ánh những thay đổi xảy ra trong mạng trong các văn bản quy định.

2.2 Giải pháp bảo mật không dây

Một yếu tố bảo mật quan trọng đối với bất kỳ mạng nào, không chỉ mạng không dây, là quản lý quyền truy cập và quyền riêng tư. Một trong những cách đáng tin cậy để kiểm soát quyền truy cập vào mạng WLAN là xác thực, cho phép bạn ngăn người dùng trái phép truy cập vào thông tin liên lạc dữ liệu thông qua các điểm truy cập. Kiểm soát truy cập WLAN hiệu quả giúp xác định trạm khách nào được phép và chỉ liên kết chúng với các điểm truy cập đáng tin cậy, ngoại trừ các điểm truy cập trái phép hoặc nguy hiểm.

Tính bảo mật của mạng WLAN có nghĩa là dữ liệu được truyền sẽ chỉ được giải mã chính xác bởi bên dự định gửi dữ liệu đó. Trạng thái bảo mật của dữ liệu được truyền qua mạng WLAN được coi là được bảo vệ nếu dữ liệu được mã hóa bằng khóa mà chỉ người nhận dữ liệu mong muốn mới có thể sử dụng. Mã hóa có nghĩa là tính toàn vẹn của dữ liệu không bị xâm phạm trong toàn bộ quá trình truyền - gửi và nhận.

Ngày nay, các công ty sử dụng mạng WLAN đang triển khai bốn giải pháp riêng biệt để bảo mật, truy cập và quản lý quyền riêng tư của mạng WLAN:

Truy cập mở;

Bảo mật cơ bản;

Tăng cường an ninh;

Bảo mật truy cập từ xa.

Giống như bất kỳ hoạt động triển khai bảo mật nào, bạn nên tiến hành đánh giá rủi ro mạng trước khi chọn và triển khai bất kỳ giải pháp bảo mật WLAN nào:

1. Truy cập mở. Tất cả các sản phẩm mạng LAN không dây được chứng nhận theo thông số kỹ thuật Wi-Fi đều được chuyển sang hoạt động ở chế độ công cộng với các tính năng bảo mật bị tắt. Truy cập mở hoặc thiếu bảo mật có thể phù hợp với nhu cầu của các điểm nóng công cộng như quán cà phê, khuôn viên trường đại học, sân bay hoặc các địa điểm công cộng khác, nhưng đó không phải là một lựa chọn cho các doanh nghiệp. Tính năng bảo mật phải được kích hoạt trên các thiết bị không dây trong quá trình cài đặt. Tuy nhiên, một số công ty không đưa vào các tính năng bảo mật của mạng WLAN, do đó làm tăng nghiêm trọng mức độ rủi ro cho mạng của họ;

2. Bảo mật cơ bản: xác thực địa chỉ SSID, WEP và MAC. Bảo mật cơ bản liên quan đến việc sử dụng Mã nhận dạng bộ dịch vụ (SSID), xác thực khóa mở hoặc chia sẻ, khóa WEP tĩnh và xác thực địa chỉ MAC tùy chọn. Sự kết hợp này có thể được sử dụng để thiết lập các biện pháp kiểm soát quyền riêng tư và quyền truy cập cơ bản, nhưng mỗi phần bảo mật riêng lẻ đều có thể bị xâm phạm. SSID là tên mạng chung cho các thiết bị trong hệ thống con WLAN và dùng để phân tách hệ thống con này một cách hợp lý. SSID ngăn chặn quyền truy cập từ bất kỳ thiết bị khách nào không có SSID. Tuy nhiên, theo mặc định, điểm truy cập sẽ phát SSID giữa các tín hiệu của nó. Ngay cả khi bạn tắt tính năng phát SSID, kẻ tấn công hoặc tin tặc vẫn có thể khám phá SSID mong muốn bằng cách sử dụng cái gọi là "đánh hơi" hoặc "đánh hơi" - giám sát mạng một cách kín đáo. Tiêu chuẩn 802.11, một nhóm thông số kỹ thuật cho mạng WLAN do IEEE phát triển, hỗ trợ hai phương thức xác thực ứng dụng khách: xác thực mở và xác thực khóa chung. Xác thực mở chỉ khác một chút so với việc cung cấp SSID chính xác. Với xác thực khóa chung, điểm truy cập sẽ gửi gói văn bản thử nghiệm đến thiết bị khách, gói này khách hàng phải mã hóa bằng khóa WEP chính xác và quay lại điểm truy cập. Nếu không có khóa chính xác, quá trình xác thực sẽ không thành công và máy khách sẽ không được phép vào nhóm người dùng của điểm truy cập. Xác thực khóa chung không được coi là an toàn vì kẻ tấn công đưa ra tin nhắn văn bản thử nghiệm ban đầu và tin nhắn tương tự được mã hóa bằng khóa WEP có thể giải mã chính khóa WEP. Với xác thực mở, ngay cả khi máy khách được xác thực và có quyền truy cập vào nhóm người dùng của điểm truy cập, việc sử dụng bảo mật WEP sẽ ngăn máy khách truyền dữ liệu từ điểm truy cập đó mà không có khóa WEP chính xác. Khóa WEP có thể dài 40 hoặc 128 bit và thường được quản trị viên mạng xác định tĩnh tại điểm truy cập và mỗi máy khách truyền dữ liệu qua điểm truy cập đó. Khi sử dụng khóa WEP tĩnh, quản trị viên mạng phải mất nhiều thời gian để nhập các khóa giống nhau vào từng thiết bị trên mạng WLAN. Nếu một thiết bị sử dụng khóa WEP tĩnh bị mất hoặc bị đánh cắp, chủ sở hữu của thiết bị bị mất có thể có quyền truy cập vào mạng WLAN. Quản trị viên sẽ không thể xác định rằng người dùng trái phép đã vào mạng cho đến khi mất mát được báo cáo. Sau đó, quản trị viên phải thay đổi khóa WEP trên mỗi thiết bị sử dụng cùng khóa WEP tĩnh với thiết bị bị thiếu. Trong một mạng doanh nghiệp lớn có hàng trăm hoặc thậm chí hàng nghìn người dùng, điều này có thể khó khăn. Tệ hơn nữa, nếu khóa WEP tĩnh được giải mã bằng công cụ như AirSnort, thì quản trị viên sẽ không có cách nào biết rằng khóa đó đã bị người dùng trái phép xâm phạm. Một số nhà cung cấp giải pháp WLAN hỗ trợ xác thực dựa trên địa chỉ vật lý hoặc địa chỉ MAC của card mạng máy khách (NIC). Điểm truy cập sẽ chỉ cho phép máy khách liên kết với điểm truy cập nếu địa chỉ MAC của máy khách khớp với một trong các địa chỉ trong bảng xác thực được điểm truy cập sử dụng. Tuy nhiên, xác thực địa chỉ MAC không phải là biện pháp bảo mật thích hợp vì địa chỉ MAC có thể bị giả mạo và card mạng có thể bị mất hoặc bị đánh cắp;

3. Bảo mật cơ bản sử dụng WPA hoặc WPA2 Một hình thức bảo mật cơ bản khác hiện nay là WPA hoặc WPA2 sử dụng Khóa chia sẻ trước (PSK). Khóa chia sẻ xác thực người dùng bằng mật khẩu hoặc mã nhận dạng (còn gọi là cụm mật khẩu) ở cả trạm khách và điểm truy cập. Máy khách chỉ có thể truy cập mạng nếu mật khẩu máy khách khớp với mật khẩu điểm truy cập. Khóa chia sẻ cũng cung cấp dữ liệu để tạo khóa mã hóa được thuật toán TKIP hoặc AES sử dụng cho mỗi gói dữ liệu được truyền. Mặc dù an toàn hơn khóa WEP tĩnh, nhưng khóa chia sẻ tương tự như khóa WEP tĩnh ở chỗ nó được lưu trữ trên trạm khách và có thể bị xâm phạm nếu trạm khách bị mất hoặc bị đánh cắp. Bạn nên sử dụng cụm mật khẩu chung, mạnh bao gồm nhiều chữ cái, số và ký tự không phải chữ và số;

4. Tóm tắt bảo mật cơ bản. Bảo mật WLAN cơ bản dựa trên sự kết hợp của SSID, xác thực mở, khóa WEP tĩnh, xác thực MAC và khóa chia sẻ WPA/WPA2 chỉ đủ cho các công ty rất nhỏ hoặc những công ty không tin tưởng dữ liệu quan trọng vào mạng WLAN của họ. Tất cả các tổ chức khác được khuyến khích đầu tư vào các giải pháp bảo mật WLAN cấp doanh nghiệp mạnh mẽ;

5. Tăng cường bảo mật. Mức độ bảo mật nâng cao được khuyến nghị cho những khách hàng yêu cầu bảo mật và bảo mật cấp doanh nghiệp. Điều này yêu cầu bảo mật nâng cao hỗ trợ đầy đủ WPA và WPA2 với các khối xây dựng của xác thực hai chiều 802.1X và mã hóa TKIP và AESB, bao gồm các khả năng sau:

802.1X để xác thực hai chiều mạnh mẽ và khóa mã hóa động cho mỗi người dùng và mỗi phiên;

TKIP để mở rộng mã hóa dựa trên RC4, chẳng hạn như bộ nhớ đệm khóa (mỗi gói), kiểm tra tính toàn vẹn của tin nhắn (MIC), thay đổi vectơ khởi tạo (IV) và xoay khóa quảng bá;

AES để mã hóa dữ liệu cấp nhà nước, bảo mật tối đa;

Khả năng của Hệ thống ngăn chặn xâm nhập (IPS) và theo dõi chuyển động của người đăng ký - một cái nhìn minh bạch về mạng trong thời gian thực.

6. Bảo mật mạng LAN không dây và truy cập từ xa. Trong một số trường hợp, bảo mật toàn diện có thể được yêu cầu để bảo vệ ứng dụng. Với quyền truy cập từ xa an toàn, quản trị viên có thể thiết lập mạng riêng ảo (VPN) và cho phép người dùng di động liên lạc với mạng công ty từ các điểm truy cập công cộng như sân bay, khách sạn và phòng hội nghị. Khi được triển khai trong doanh nghiệp, giải pháp bảo mật nâng cao đáp ứng tất cả các yêu cầu bảo mật của mạng WLAN, khiến việc sử dụng VPN trên mạng WLAN của doanh nghiệp là không cần thiết. Việc sử dụng VPN trên mạng WLAN nội bộ có thể ảnh hưởng đến hiệu suất của mạng WLAN, hạn chế khả năng chuyển vùng và khiến người dùng gặp khó khăn hơn khi đăng nhập vào mạng. Do đó, chi phí bổ sung và các hạn chế liên quan đến việc phủ mạng VPN lên mạng WLAN nội bộ dường như không cần thiết.

Do đó, chúng ta có thể đi đến kết luận rằng để đảm bảo an ninh thông tin của bất kỳ mạng nào, không chỉ mạng không dây, quản lý bảo mật và truy cập chất lượng cao là rất quan trọng. Để đạt được điều này, bốn giải pháp riêng biệt hiện đang được triển khai tích cực: truy cập mở, bảo mật cơ bản, bảo mật nâng cao và bảo mật truy cập từ xa.

Nếu bảo mật mạng được xây dựng đúng cách và tuân thủ tất cả các yêu cầu, bảo mật mạng sẽ ở mức cao, điều này sẽ làm phức tạp đáng kể việc truy cập của kẻ tấn công vào mạng không dây.

3. Đánh giá sự cần thiết và hiệu quả của giải pháp bảo mật mạng không dây

3.1 Đánh giá nhu cầu bảo mật mạng không dây

Mặc dù thực tế là hầu hết các công ty đã triển khai mạng không dây này hoặc mạng không dây khác, các chuyên gia thường có nhiều câu hỏi về tính bảo mật của các giải pháp đã chọn và các giám đốc điều hành công ty tránh triển khai công nghệ không dây lo lắng về việc bỏ lỡ các cơ hội để tăng năng suất và giảm chi phí cơ sở hạ tầng.

Nhiều lãnh đạo tổ chức hiểu rằng công nghệ không dây có thể cải thiện năng suất và sự cộng tác nhưng lại ngần ngại triển khai chúng vì sợ những lỗ hổng có thể phát sinh trong mạng công ty do sử dụng mạng không dây. Sự đa dạng của các phương pháp được đề xuất để bảo mật thông tin liên lạc không dây và những tranh cãi về tính hiệu quả của chúng chỉ làm tăng thêm những nghi ngờ này.

Có rất nhiều thách thức liên quan đến việc triển khai công nghệ không dây ở một công ty cỡ trung bình khiến bạn băn khoăn không chỉ về bảo mật không dây mà còn về liệu nó có cần thiết hay không.

Các vấn đề thường gặp có thể khắc phục bằng cách triển khai đúng chính sách bảo mật được thảo luận trong Chương 2:

Quyết định có nên triển khai mạng không dây hay không;

Hiểu và giảm thiểu rủi ro liên quan đến việc giới thiệu công nghệ không dây;

Xác định phương pháp bảo vệ mạng không dây;

Lựa chọn các công nghệ bảo mật mạng không dây tối ưu;

Kiểm tra mức độ bảo mật của mạng không dây đã triển khai;

Tích hợp các tài sản hiện có vào giải pháp bảo mật mạng không dây;

Phát hiện và ngăn chặn các kết nối mạng không dây trái phép.

Những lợi ích do công nghệ mạng không dây mang lại có thể được chia thành hai loại: chức năng và kinh tế.

Lợi ích chức năng bao gồm giảm chi phí quản lý và giảm chi phí vốn, trong khi lợi ích kinh tế bao gồm tăng năng suất, cải thiện hiệu quả quy trình kinh doanh và các cơ hội bổ sung để tạo ra các chức năng kinh doanh mới.

Hầu hết các lợi ích kinh tế chính liên quan đến mạng không dây là nhờ sự linh hoạt và tính di động của nhân viên tăng lên. Công nghệ không dây loại bỏ những hạn chế buộc nhân viên phải ngồi tại bàn làm việc, cho phép họ di chuyển tương đối tự do quanh văn phòng hoặc tòa nhà văn phòng.

Tuy nhiên, bên cạnh tất cả những ưu điểm, cũng có những nhược điểm, chủ yếu là về mặt công nghệ, thể hiện ở tính dễ bị tổn thương của mạng không dây thông qua các cuộc tấn công khác nhau từ những kẻ xâm nhập (phần 1.2 của tác phẩm này được dành cho vấn đề này).

Ngay sau khi những thiếu sót về công nghệ như vậy của mạng không dây thế hệ đầu tiên được phát hiện, công việc tích cực đã bắt đầu loại bỏ chúng. Trong khi một số công ty đang nỗ lực cải thiện các tiêu chuẩn không dây, thì nhiều công ty phân tích, nhà cung cấp bảo mật mạng, v.v. lại cố gắng khắc phục những thiếu sót cố hữu trong các tiêu chuẩn trước đó.

Kết quả là, một số phương pháp bảo mật mạng không dây đã được phát triển.

Có nhiều yếu tố cần xem xét khi đánh giá các tùy chọn khả thi để bảo mật mạng không dây của bạn. Khi thực hiện đánh giá này, bạn cần tính đến nhiều chỉ số khác nhau: từ chi phí triển khai và quản lý giải pháp cho đến tính bảo mật tổng thể của nó. Tất cả các phương pháp trên đều có ưu điểm và nhược điểm riêng, vì vậy bạn cần làm quen với từng phương pháp đó để có thể đưa ra quyết định sáng suốt.

Các tiêu chuẩn bảo mật không dây mới nhất, cụ thể là WPA và WPA2, đã loại bỏ những thiếu sót nghiêm trọng của tiêu chuẩn WEP và do đó khiến các giải pháp như IPsec hoặc công nghệ VPN trở nên không cần thiết. Việc sử dụng WEP tĩnh hoặc động không còn được khuyến khích dưới bất kỳ hình thức nào và việc bỏ qua bảo mật chỉ có lợi trong một số trường hợp. Vì vậy, khi phát triển một giải pháp toàn diện, hiệu quả để bảo vệ mạng không dây, chỉ cần xem xét hai cách tiếp cận là đủ.

Wi-Fi Protected Access (WPA) và Wi-Fi Protected Access 2 (WPA2) được thiết kế đặc biệt để chặn các mối đe dọa đối với mạng không dây dựa trên tiêu chuẩn IEEE 802.11. Tuy nhiên, có một số khác biệt giữa chúng.

Giao thức WPA được phát triển vào năm 2003 để giải quyết những thiếu sót của tiêu chuẩn WEP. Các nhà phát triển WPA đã làm rất tốt việc cung cấp hỗ trợ xác thực lẫn nhau, mã hóa dữ liệu TKIP và kiểm tra tính toàn vẹn của tin nhắn đã ký để bảo vệ chống lại các cuộc tấn công giả mạo gói hoặc phát lại.

WPA2 thậm chí còn cung cấp khả năng bảo mật cao hơn vì nó sử dụng AES thay vì TKIP để bảo mật lưu lượng mạng. Vì vậy, nó phải luôn được ưu tiên hơn WPA.

Giao thức WPA và WPA2 vượt trội hơn đáng kể so với WEP về mặt bảo mật và nếu hệ thống bảo mật được cấu hình đúng cách thì không có lỗ hổng nào được biết đến ở giao thức thứ nhất hoặc thứ hai. Tuy nhiên, WPA2 được coi là an toàn hơn WPA và nếu cơ sở hạ tầng hỗ trợ nó cũng như chi phí bổ sung liên quan đến việc quản lý giải pháp WPA2 có thể chấp nhận được thì đó sẽ là một lựa chọn.

Hầu hết các điểm truy cập được sản xuất ngày nay và các phiên bản hệ điều hành mới nhất đều được chứng nhận phù hợp với yêu cầu của giao thức WPA2. Nếu một số điểm truy cập hoặc máy khách trong môi trường của bạn không hỗ trợ WPA2 thì các thiết bị không dây và hệ thống máy khách hỗ trợ WPA2 có thể sử dụng tiêu chuẩn WPA cũ hơn.

Chúng ta cũng không nên quên phương án phát triển như vậy đối với công ty là từ chối triển khai mạng không dây. Có một câu nói của các chuyên gia bảo mật rằng: “Hệ thống được bảo vệ tốt nhất là hệ thống mà không ai bật lên”. Vì vậy, cách đáng tin cậy nhất để bảo vệ khỏi các lỗ hổng cố hữu trong mạng không dây hoặc bất kỳ công nghệ nào khác là không triển khai chúng. Nhược điểm của cách tiếp cận này là hiển nhiên: một công ty từ chối triển khai bất kỳ công nghệ nào có thể thấy mình không có khả năng cạnh tranh trong điều kiện kinh tế hiện đại, khi bất kỳ lợi thế nào, bao gồm cả công nghệ, có thể là yếu tố quyết định thành công.

Như đã thảo luận, trước khi triển khai bất kỳ công nghệ mới nào trong một công ty cụ thể, người ta phải đánh giá nhu cầu của công ty, khả năng chấp nhận rủi ro và rủi ro thực tế của công ty đó. Công nghệ không dây cũng không ngoại lệ. Mạng không dây có một số lợi ích, nhưng đối với một tổ chức nhất định, những lợi ích này có thể không quan trọng hoặc quan trọng chút nào.

Khi chọn một giải pháp không dây an toàn, bạn cần xem xét tất cả các lựa chọn của mình, bao gồm cả việc kết nối không dây. Nếu xác định rằng một tổ chức chưa sẵn sàng triển khai mạng không dây thì quyết định này phải được phản ánh trong các chính sách hiện có của công ty để ngăn người dùng cuối làm suy yếu tính bảo mật của môi trường mạng công ty do tạo mạng không dây trái phép.

3.2 Phát triển thuật toán thực hiện công việc đánh giá hiệu quả bảo vệ mạng không dây

Để xác định ưu điểm của một phương pháp bảo vệ mạng không dây cụ thể, nên đánh giá tính bảo mật của nó.

Điều này đặc biệt quan trọng do mạng không dây thường được triển khai để quản lý công ty. Theo đó, kẻ tấn công có quyền truy cập vào phân khúc không dây không chỉ có cơ hội sử dụng tài nguyên của công ty cho mục đích riêng của mình mà còn có quyền truy cập vào thông tin bí mật và chặn công việc của những người dùng có mức độ ưu tiên cao.

...

Tài liệu tương tự

Công nghệ truyền thông tin không dây. Phát triển mạng cục bộ không dây. Chuẩn bảo mật WEP. Thủ tục mã hóa WEP. Hack mạng không dây. Chế độ ID mạng ẩn. Các loại xác thực và giao thức. Hack mạng không dây.

tóm tắt, thêm vào ngày 17/12/2010


Phát triển công nghệ bảo mật thông tin cho mạng không dây, có thể được sử dụng để tăng cường bảo vệ máy tính của người dùng, mạng công ty và văn phòng nhỏ. Phân tích các mối đe dọa và bảo mật của mạng không dây. Thiết lập chương trình WPA.

luận văn, bổ sung 19/06/2014


Đặc điểm của chuẩn IEEE 802.11. Các lĩnh vực ứng dụng chính của mạng máy tính không dây. Các phương pháp xây dựng mạng không dây hiện đại. Các lĩnh vực dịch vụ cơ bản của BSS. Các loại và các loại kết nối. Tổng quan về cơ chế truy cập phương tiện truyền thông.

tóm tắt, thêm vào ngày 01/12/2011


Sự phát triển của hệ thống an ninh mạng. Tường lửa là một trong những cách chính để bảo vệ mạng, thực hiện các cơ chế kiểm soát truy cập từ mạng bên ngoài đến mạng nội bộ bằng cách lọc tất cả lưu lượng truy cập vào và ra. Quản lý an ninh mạng.

bài tập khóa học, được thêm vào ngày 07/12/2012


Phân loại các cuộc tấn công mạng theo cấp độ mô hình OSI, theo loại, theo vị trí của kẻ tấn công và đối tượng bị tấn công. Vấn đề bảo mật mạng IP. Các mối đe dọa và lỗ hổng của mạng không dây. Phân loại hệ thống phát hiện tấn công IDS. Khái niệm XSpider.

bài tập khóa học, được thêm vào ngày 04/11/2014


Xác định trong quá trình nghiên cứu một phương pháp hiệu quả để bảo vệ thông tin truyền qua mạng Wi-Fi. Nguyên lý hoạt động của mạng Wi-Fi. Các phương pháp truy cập trái phép vào mạng. Các thuật toán bảo mật mạng không dây. Bản chất không cố định của kết nối.

bài tập khóa học, được thêm vào ngày 18/04/2014


Các giai đoạn phát triển và tiêu chuẩn cơ bản của mạng không dây hiện đại. Lịch sử xuất hiện và phạm vi của công nghệ Bluetooth. Công nghệ và nguyên lý hoạt động của công nghệ truyền dữ liệu không dây Wi-Fi. WiMAX là một tiêu chuẩn mạng không dây đô thị.

trình bày, được thêm vào ngày 22/01/2014


Lựa chọn và chứng minh các công nghệ để xây dựng mạng máy tính cục bộ. Phân tích môi trường truyền dữ liệu. Tính toán hiệu suất mạng, quy hoạch phòng. Lựa chọn phần mềm mạng Các loại chuẩn truy cập Internet không dây.

bài tập khóa học, được thêm vào ngày 22/12/2010


Sử dụng mạng máy tính để truyền dữ liệu. Ưu điểm chính của việc sử dụng mạng công ty là được bảo vệ khỏi sự truy cập vật lý từ bên ngoài hoặc sử dụng các công cụ bảo vệ mạng phần cứng và phần mềm. Các thuật toán tường lửa và mã hóa.

luận văn, bổ sung 25/09/2014


Sự cần thiết phải xây dựng chính sách bảo mật trong việc sử dụng tài nguyên mạng cho doanh nghiệp. Phân tích các yếu tố cơ bản của nó. Bảo mật phần cứng và phần mềm cho mạng máy tính. Các cách tăng mức độ bảo mật, tư vấn cho người dùng.

Bài viết này dành cho vấn đề bảo mật khi sử dụng mạng WiFi không dây.

Giới thiệu - Lỗ hổng WiFi

Nguyên nhân chính khiến dữ liệu người dùng dễ bị tổn thương khi dữ liệu này được truyền qua mạng WiFi là việc trao đổi diễn ra qua sóng vô tuyến. Và điều này giúp có thể chặn tin nhắn tại bất kỳ điểm nào có tín hiệu WiFi. Nói một cách đơn giản, nếu tín hiệu từ một điểm truy cập có thể được phát hiện ở khoảng cách 50 mét thì có thể chặn tất cả lưu lượng mạng của mạng WiFi này trong bán kính 50 mét tính từ điểm truy cập. Ở phòng bên cạnh, trên một tầng khác của tòa nhà, trên đường phố.

Hãy tưởng tượng hình ảnh này. Trong văn phòng, mạng cục bộ được xây dựng thông qua WiFi. Tín hiệu từ điểm truy cập của văn phòng này được thu bên ngoài tòa nhà, chẳng hạn như ở bãi đậu xe. Kẻ tấn công bên ngoài tòa nhà có thể truy cập vào mạng văn phòng, nghĩa là chủ sở hữu của mạng này không chú ý. Mạng WiFi có thể được truy cập dễ dàng và kín đáo. Về mặt kỹ thuật dễ dàng hơn nhiều so với mạng có dây.

Đúng. Đến nay, các phương tiện bảo vệ mạng WiFi đã được phát triển và triển khai. Sự bảo vệ này dựa trên việc mã hóa tất cả lưu lượng truy cập giữa điểm truy cập và thiết bị cuối được kết nối với nó. Nghĩa là, kẻ tấn công có thể chặn tín hiệu vô tuyến, nhưng đối với hắn, đó sẽ chỉ là “rác rưởi” kỹ thuật số.

Bảo vệ WiFi hoạt động như thế nào?

Điểm truy cập chỉ bao gồm trong mạng WiFi của nó thiết bị gửi mật khẩu chính xác (được chỉ định trong cài đặt điểm truy cập). Trong trường hợp này, mật khẩu cũng được gửi mã hóa dưới dạng hàm băm. Hàm băm là kết quả của quá trình mã hóa không thể đảo ngược. Tức là dữ liệu đã được băm không thể giải mã được. Nếu kẻ tấn công chặn mật khẩu băm, anh ta sẽ không thể lấy được mật khẩu.

Nhưng làm sao điểm truy cập biết được mật khẩu có đúng hay không? Điều gì sẽ xảy ra nếu cô ấy cũng nhận được một hàm băm nhưng không thể giải mã được nó? Thật đơn giản - trong cài đặt điểm truy cập, mật khẩu được chỉ định ở dạng thuần túy. Chương trình ủy quyền lấy một mật khẩu trống, tạo một hàm băm từ mật khẩu đó và sau đó so sánh hàm băm này với mật khẩu nhận được từ máy khách. Nếu các giá trị băm khớp nhau thì mật khẩu của khách hàng là chính xác. Tính năng thứ hai của hàm băm được sử dụng ở đây - chúng là duy nhất. Không thể lấy cùng một hàm băm từ hai bộ dữ liệu (mật khẩu) khác nhau. Nếu hai giá trị băm khớp nhau thì cả hai đều được tạo từ cùng một bộ dữ liệu.

Nhân tiện. Nhờ tính năng này, hàm băm được sử dụng để kiểm soát tính toàn vẹn của dữ liệu. Nếu hai giá trị băm (được tạo trong một khoảng thời gian) khớp nhau thì dữ liệu gốc (trong khoảng thời gian đó) không bị thay đổi.

Tuy nhiên, mặc dù thực tế là phương pháp bảo mật mạng WiFi (WPA2) hiện đại nhất là đáng tin cậy nhưng mạng này vẫn có thể bị hack. Làm sao?

Có hai phương pháp để truy cập mạng được bảo vệ bởi WPA2:

1. Chọn mật khẩu bằng cơ sở dữ liệu mật khẩu (còn gọi là tìm kiếm từ điển).
2. Khai thác lỗ hổng trong chức năng WPS.

Trong trường hợp đầu tiên, kẻ tấn công chặn hàm băm mật khẩu của điểm truy cập. Sau đó, các giá trị băm được so sánh với cơ sở dữ liệu hàng nghìn hoặc hàng triệu từ. Một từ được lấy từ từ điển, một hàm băm được tạo cho từ này và sau đó hàm băm này được so sánh với hàm băm bị chặn. Nếu một mật khẩu cơ bản được sử dụng trên một điểm truy cập thì việc bẻ khóa mật khẩu của điểm truy cập này chỉ là vấn đề thời gian. Ví dụ: mật khẩu 8 chữ số (dài 8 ký tự là độ dài mật khẩu tối thiểu cho WPA2) là một triệu kết hợp. Trên máy tính hiện đại, bạn có thể sắp xếp một triệu giá trị trong vài ngày hoặc thậm chí vài giờ.

Trong trường hợp thứ hai, lỗ hổng trong phiên bản đầu tiên của chức năng WPS bị khai thác. Tính năng này cho phép bạn kết nối thiết bị không có mật khẩu, chẳng hạn như máy in, với điểm truy cập. Khi sử dụng tính năng này, thiết bị và điểm truy cập sẽ trao đổi mã kỹ thuật số và nếu thiết bị gửi mã chính xác, điểm truy cập sẽ ủy quyền cho máy khách. Có một lỗ hổng trong chức năng này - mã có 8 chữ số, nhưng chỉ có 4 chữ số trong số đó được kiểm tra tính duy nhất! Nghĩa là, để hack WPS, bạn cần tìm kiếm tất cả các giá trị có 4 chữ số. Do đó, việc hack một điểm truy cập qua WPS có thể được thực hiện chỉ trong vài giờ, trên bất kỳ thiết bị yếu nhất nào.

Thiết lập bảo mật mạng WiFi

Tính bảo mật của mạng WiFi được xác định bởi cài đặt của điểm truy cập. Một số cài đặt này ảnh hưởng trực tiếp đến an ninh mạng.

Chế độ truy cập mạng WiFi

Điểm truy cập có thể hoạt động ở một trong hai chế độ - mở hoặc được bảo vệ. Trong trường hợp truy cập mở, mọi thiết bị đều có thể kết nối với điểm truy cập. Trong trường hợp truy cập được bảo vệ, chỉ thiết bị truyền mật khẩu truy cập chính xác mới được kết nối.

Có ba loại (tiêu chuẩn) bảo vệ mạng WiFi:

• WEP (Quyền riêng tư tương đương có dây). Tiêu chuẩn bảo vệ đầu tiên. Ngày nay, nó thực sự không cung cấp khả năng bảo vệ vì nó có thể bị hack rất dễ dàng do cơ chế bảo vệ yếu kém.
• WPA (Truy cập được bảo vệ Wi-Fi). Theo trình tự thời gian, tiêu chuẩn bảo vệ thứ hai. Tại thời điểm tạo và vận hành, nó cung cấp khả năng bảo vệ hiệu quả cho mạng WiFi. Nhưng vào cuối những năm 2000, cơ hội hack bảo vệ WPA đã được tìm thấy thông qua các lỗ hổng trong cơ chế bảo mật.
• WPA2 (Truy cập được bảo vệ Wi-Fi). Tiêu chuẩn bảo vệ mới nhất. Cung cấp sự bảo vệ đáng tin cậy khi tuân theo các quy tắc nhất định. Cho đến nay, chỉ có hai cách được biết để phá vỡ bảo mật WPA2. Lực lượng mạnh mẽ của mật khẩu từ điển và cách giải quyết bằng cách sử dụng dịch vụ WPS.

Vì vậy, để đảm bảo tính bảo mật cho mạng WiFi của mình, bạn phải chọn loại bảo mật WPA2. Tuy nhiên, không phải tất cả các thiết bị khách đều có thể hỗ trợ nó. Ví dụ: Windows XP SP2 chỉ hỗ trợ WPA.

Ngoài việc chọn chuẩn WPA2 còn cần thêm điều kiện:

Sử dụng phương pháp mã hóa AES.

Mật khẩu truy cập mạng WiFi phải được soạn như sau:

1. Sử dụng các chữ cái và số trong mật khẩu. Một tập hợp ngẫu nhiên các chữ cái và số. Hoặc một từ hoặc cụm từ rất hiếm chỉ có ý nghĩa với bạn.
2. Không sử dụng mật khẩu đơn giản như tên + ngày sinh hoặc một số từ + một vài con số chẳng hạn lena1991 hoặc dom12345.
3. Nếu bạn chỉ cần sử dụng mật khẩu kỹ thuật số thì độ dài của nó phải có ít nhất 10 ký tự. Bởi vì mật khẩu kỹ thuật số gồm tám ký tự được chọn bằng phương pháp bạo lực trong thời gian thực (từ vài giờ đến vài ngày, tùy thuộc vào sức mạnh của máy tính).

Nếu bạn sử dụng mật khẩu phức tạp theo các quy tắc này thì mạng WiFi của bạn không thể bị hack bằng cách đoán mật khẩu bằng từ điển. Ví dụ: đối với mật khẩu như 5Fb9pE2a(chữ và số ngẫu nhiên), tối đa có thể 218340105584896 sự kết hợp. Ngày nay gần như không thể lựa chọn. Ngay cả khi một máy tính so sánh 1.000.000 (triệu) từ mỗi giây, nó sẽ mất gần 7 năm để lặp lại tất cả các giá trị.

WPS (Thiết lập bảo vệ Wi-Fi)

Nếu điểm truy cập có chức năng WPS (Wi-Fi Protected Setup), bạn cần tắt chức năng này. Nếu tính năng này là bắt buộc, bạn phải đảm bảo rằng phiên bản của nó được cập nhật các khả năng sau:

1. Sử dụng tất cả 8 ký tự mã PIN thay vì 4 ký tự như trường hợp ban đầu.
2. Cho phép trì hoãn sau nhiều lần gửi mã PIN không chính xác từ máy khách.

Một tùy chọn bổ sung để cải thiện bảo mật WPS là sử dụng mã PIN chữ và số.

Bảo mật WiFi công cộng

Ngày nay việc sử dụng Internet qua mạng WiFi ở những nơi công cộng - trong quán cà phê, nhà hàng, trung tâm mua sắm, v.v. là mốt. Điều quan trọng là phải hiểu rằng việc sử dụng các mạng như vậy có thể dẫn đến việc đánh cắp dữ liệu cá nhân của bạn. Nếu bạn truy cập Internet thông qua mạng như vậy và sau đó đăng nhập vào một trang web, dữ liệu của bạn (tên người dùng và mật khẩu) có thể bị chặn bởi một người khác được kết nối với cùng một mạng WiFi. Rốt cuộc, trên bất kỳ thiết bị nào đã vượt qua ủy quyền và được kết nối với điểm truy cập, bạn có thể chặn lưu lượng truy cập mạng từ tất cả các thiết bị khác trên mạng này. Và điểm đặc biệt của mạng WiFi công cộng là bất kỳ ai cũng có thể kết nối với nó, kể cả kẻ tấn công, không chỉ với mạng mở mà còn với mạng được bảo vệ.

Bạn có thể làm gì để bảo vệ dữ liệu của mình khi kết nối Internet qua mạng WiFi công cộng? Chỉ có một lựa chọn - sử dụng giao thức HTTPS. Giao thức này thiết lập kết nối được mã hóa giữa máy khách (trình duyệt) và trang web. Nhưng không phải tất cả các trang web đều hỗ trợ giao thức HTTPS. Địa chỉ trên trang web hỗ trợ giao thức HTTPS bắt đầu bằng tiền tố https://. Nếu địa chỉ trên một trang web có tiền tố http://, điều này có nghĩa là trang web đó không hỗ trợ HTTPS hoặc không sử dụng nó.

Một số trang web không sử dụng HTTPS theo mặc định nhưng có giao thức này và có thể được sử dụng nếu bạn chỉ định rõ ràng (thủ công) tiền tố https://.

Đối với các trường hợp sử dụng Internet - trò chuyện, Skype, v.v., bạn có thể sử dụng máy chủ VPN miễn phí hoặc trả phí để bảo vệ dữ liệu này. Nghĩa là, trước tiên hãy kết nối với máy chủ VPN và chỉ sau đó mới sử dụng trò chuyện hoặc mở trang web.

Bảo vệ mật khẩu WiFi

Trong phần thứ hai và thứ ba của bài viết này, tôi đã viết rằng khi sử dụng chuẩn bảo mật WPA2, một trong những cách hack mạng WiFi là đoán mật khẩu bằng từ điển. Nhưng có một cơ hội khác để kẻ tấn công lấy được mật khẩu mạng WiFi của bạn. Nếu bạn lưu mật khẩu của mình trên một tờ giấy dán dán vào màn hình, điều này sẽ khiến người lạ có thể nhìn thấy mật khẩu này. Và mật khẩu của bạn có thể bị đánh cắp từ máy tính được kết nối với mạng WiFi của bạn. Điều này có thể được thực hiện bởi người ngoài nếu máy tính của bạn không được bảo vệ khỏi sự truy cập của người ngoài. Điều này có thể được thực hiện bằng cách sử dụng phần mềm độc hại. Ngoài ra, mật khẩu có thể bị đánh cắp từ một thiết bị được mang ra ngoài văn phòng (nhà, căn hộ) - từ điện thoại thông minh, máy tính bảng.

Vì vậy, nếu bạn cần sự bảo vệ đáng tin cậy cho mạng WiFi của mình, bạn cần thực hiện các bước để lưu trữ mật khẩu của mình một cách an toàn. Bảo vệ nó khỏi sự truy cập của những người không được phép.

Nếu bạn thấy bài viết này hữu ích hoặc đơn giản là thích nó thì đừng ngần ngại hỗ trợ tài chính cho tác giả. Điều này có thể dễ dàng thực hiện bằng cách ném tiền vào Ví Yandex số 410011416229354. Hoặc trên điện thoại +7 918-16-26-331 .

Ngay cả một lượng nhỏ cũng có thể giúp viết bài mới :)

Bảo vệ mạng WiFi- một câu hỏi khác mà chúng tôi phải đối mặt sau khi chúng tôi tạo mạng gia đình. Tính bảo mật của mạng wifi không chỉ là sự đảm bảo chống lại các kết nối không mong muốn của bên thứ ba với Internet của bạn mà còn là sự đảm bảo cho tính bảo mật của máy tính của bạn và các thiết bị mạng khác - xét cho cùng, vi-rút từ máy tính của người khác có thể xâm nhập qua các lỗ hổng và gây ra rất nhiều rắc rối. Chìa khóa bảo mật wifi, thường bị giới hạn ở hầu hết người dùng, là không đủ trong trường hợp này. Nhưng điều đầu tiên trước tiên…

Trước hết, để tổ chức bảo vệ mạng wifi, hãy quan tâm đến những mạng bắt buộc, tôi khuyên bạn nên sử dụng khóa bảo mật wifi WPA2/PSK. Nó yêu cầu một mật khẩu gồm bảy chữ số khá phức tạp, rất khó đoán. Nhưng có lẽ! Tôi đã suy nghĩ nghiêm túc về vấn đề này khi trong lần xem xét tiếp theo về các thiết bị có trong mạng, tôi phát hiện ra không phải một, không phải hai mà là 10 thiết bị trong số đó! Sau đó, việc bảo vệ mạng wifi khiến tôi thực sự quan tâm và tôi bắt đầu tìm kiếm các phương pháp bổ sung, đáng tin cậy hơn và tất nhiên là tôi đã tìm thấy nó. Hơn nữa, điều này không yêu cầu bất kỳ chương trình bảo vệ cụ thể nào - mọi thứ đều được thực hiện trong cài đặt của bộ định tuyến và máy tính. Bây giờ tôi sẽ chia sẻ với bạn! Có, phần trình diễn các phương pháp sẽ được thực hiện trên các thiết bị ASUS - các thiết bị hiện đại có giao diện giống hệt nhau, đặc biệt, trong khóa học video, tôi đã thực hiện mọi thứ trên mẫu WL-520GU.

Bảo vệ mạng wifi - những cách thiết thực

1. Vô hiệu hóa phát sóng SSID

Bất kỳ ai đã xem khóa học video của tôi đều biết tôi đang nói về điều gì. Đối với những người không, tôi sẽ giải thích. SSID, nói bằng tiếng Nga, là tên mạng của chúng tôi. Tức là tên mà bạn đã gán cho nó trong cài đặt và được hiển thị khi quét các bộ định tuyến có sẵn để kết nối.

Nếu SSID của bạn hiển thị với mọi người thì bất kỳ ai cũng có thể thử kết nối với SSID đó. Để chỉ bạn và bạn bè của bạn biết về nó, bạn cần phải giấu nó đi, tức là nó không có trong danh sách này. Để thực hiện việc này, hãy chọn hộp kiểm “Ẩn SSID”. Sau đó, nó sẽ biến mất khỏi kết quả tìm kiếm. Và bạn có thể tham gia theo cách sau:

Thế là xong, sau đó bạn nên đăng nhập vào wifi an toàn của mình, mặc dù nó không hiển thị.

2. Lọc thiết bị theo địa chỉ MAC

Đây là một cách đáng tin cậy hơn nữa để bảo vệ wifi khỏi những vị khách không mời. Thực tế là mỗi thiết bị đều có mã nhận dạng cá nhân riêng, được gọi là địa chỉ MAC. Bạn có thể chỉ cho phép truy cập vào máy tính của mình bằng cách nhập ID của chúng vào cài đặt bộ định tuyến tại nhà.

Nhưng trước tiên bạn cần tìm hiểu những MAC này. Để thực hiện việc này, trong Windows 7, bạn cần thực hiện chuỗi: “Bắt đầu > Bảng điều khiển > Mạng và Internet > Trung tâm điều khiển > Thay đổi cài đặt bộ điều hợp” và nhấp đúp vào kết nối wifi của bạn. Tiếp theo, nhấp vào nút “Chi tiết” và xem mục “Địa chỉ vật lý” - chính là nó!

Chúng tôi viết nó không có dấu gạch nối - chỉ có số và chữ cái.
Sau đó chuyển đến tab “Bộ lọc địa chỉ MAC của mạng không dây” trong bảng quản trị của bộ định tuyến.
Chọn mục “Chấp nhận” từ danh sách thả xuống và thêm địa chỉ MAC của các máy tính nằm trong khu vực địa phương của bạn—Tôi nhắc lại, không có dấu gạch ngang.

Sau đó, hãy lưu cài đặt và vui mừng vì thiết bị của người khác sẽ không đăng nhập!

3. Lọc thiết bị theo địa chỉ IP

Đây là một phương pháp thậm chí còn tiên tiến hơn. Tại đây, các máy tính sẽ được sàng lọc không chỉ bởi MAC mà còn bởi IP của chúng, được gán thủ công cho từng máy. Các công nghệ hiện đại có thể thay thế MAC, nghĩa là sau khi biết số tiện ích của bạn, bạn có thể bắt chước nó và đăng nhập, như thể bạn đã tự kết nối. Theo mặc định, IP được tự động phân phối đến tất cả các thiết bị được kết nối trong một phạm vi nhất định - điều này xảy ra do bộ định tuyến hoạt động ở chế độ được gọi là máy chủ DCHP. Nhưng chúng ta có thể vô hiệu hóa nó và đặt địa chỉ IP cho từng địa chỉ theo cách thủ công.

Hãy xem điều này được thực hiện như thế nào trong thực tế. Trước tiên, bạn cần tắt máy chủ DCHP, máy chủ này tự động phân phối địa chỉ. Đi tới phần “LAN” và mở tab “Máy chủ DCHP”. Ở đây chúng tôi vô hiệu hóa nó (“Không” trong đoạn đầu tiên).

Sau này, bạn cần định cấu hình từng máy tính hoặc thiết bị khác. Nếu bạn đang sử dụng Windows 7, hãy truy cập “Bảng điều khiển > Mạng và Internet > Trung tâm mạng và chia sẻ > Thay đổi cài đặt bộ điều hợp > Kết nối không dây (hoặc bất cứ tên nào bạn gọi)”. Nhấp đúp vào nó và đi tới “Thuộc tính> Giao thức Internet Phiên bản 4 (TCP/IP)”. Ở đây chúng tôi nhận được tất cả các tham số một cách tự động. Chọn hộp “Sử dụng IP sau” và đặt:

• IP là IP mà bạn đã chỉ định khi thiết lập bộ định tuyến, tức là đối với tôi nó là 192.168.1.3
• Mặt nạ - 255.255.255.0
• Cổng - IP bộ định tuyến, nghĩa là theo mặc định trên ASUS là 192.168.1.1

4. Thời gian hoạt động của bộ định tuyến

Phương pháp này phù hợp với những người làm việc trên máy tính vào cùng một thời điểm nhất định. Điểm mấu chốt là bộ định tuyến sẽ chỉ phân phối Internet vào một số giờ nhất định. Ví dụ: bạn đi làm về lúc 6 giờ chiều và trực tuyến đến 10 giờ. Sau đó chúng ta thiết lập cho máy chỉ hoạt động từ 18h đến 22h. Cũng có thể đặt ngày chuyển đổi cụ thể. Ví dụ, nếu bạn về nước vào cuối tuần, bạn không thể phát wifi vào thứ bảy và chủ nhật.

Chế độ này được đặt trong phần “Mạng không dây”, tab “Chuyên nghiệp”. Chúng tôi đặt các ngày trong tuần cho công việc và giờ làm việc.

5. Ngăn chặn kết nối mạng tự động

Cài đặt này được thực hiện trên chính máy tính và rất có thể nó thậm chí không phải để bảo vệ wifi mà để bảo vệ máy tính khỏi kết nối với mạng của người khác, qua đó có thể nhiễm vi-rút. Nhấp vào kết nối không dây của bạn trong “Kết nối mạng” (xem điểm 3) và chọn “Thuộc tính mạng không dây” tại đây.

Để bảo mật tối đa kết nối của bạn với mạng wifi, bạn nên bỏ chọn tất cả các hộp ở đây để nhập mật khẩu mỗi lần kết nối. Đối với những người lười biếng, bạn có thể để lại điểm đầu tiên - kết nối tự động với mạng hiện tại, nhưng bạn không thể kích hoạt hai điểm còn lại, điều này cho phép máy tính tham gia độc lập bất kỳ điểm nào khác có sẵn để kết nối.

Như bạn có thể thấy, tính năng bảo vệ mạng WiFi không chỉ được cung cấp bởi mã hóa WPA2 - nếu bạn làm theo những mẹo đơn giản này, tính bảo mật của mạng không dây của bạn sẽ được đảm bảo! Bạn cũng sẽ sớm học cách bảo vệ toàn bộ mạng cục bộ của mình cùng một lúc và để không bỏ lỡ bài viết này, tôi khuyên bạn nên đăng ký nhận các bản cập nhật blog. Nếu bạn có bất kỳ câu hỏi nào, mẫu bình luận luôn sẵn sàng phục vụ bạn 😉

Nếu bài viết có ích thì để tỏ lòng biết ơn tôi yêu cầu bạn làm 3 điều đơn giản:

1. Đăng ký kênh YouTube của chúng tôi
2. Gửi liên kết đến ấn phẩm tới tường của bạn trên mạng xã hội bằng nút ở trên

Hiện nay, hầu hết các công ty, doanh nghiệp ngày càng quan tâm nhiều hơn đến việc sử dụng mạng Wi-Fi trực tiếp. Điều này là do sự tiện lợi, tính di động và giá thành tương đối rẻ của việc kết nối các văn phòng riêng lẻ và khả năng di chuyển chúng trong phạm vi của thiết bị. Mạng Wi-Fi sử dụng các mô hình toán học thuật toán phức tạp để xác thực, mã hóa dữ liệu và kiểm soát tính toàn vẹn trong quá trình truyền của chúng - điều này sẽ cho phép bạn tương đối bình tĩnh về sự an toàn của dữ liệu khi sử dụng công nghệ này.

Phân tích an ninh mạng không dây.

Hiện nay, hầu hết các công ty, doanh nghiệp ngày càng quan tâm nhiều hơn đến việc sử dụng mạng Wi-Fi trực tiếp. Điều này là do sự tiện lợi, tính di động và giá thành tương đối rẻ của việc kết nối các văn phòng riêng lẻ và khả năng di chuyển chúng trong phạm vi của thiết bị. Mạng Wi-Fi sử dụng các mô hình toán học thuật toán phức tạp để xác thực, mã hóa dữ liệu và kiểm soát tính toàn vẹn trong quá trình truyền của chúng - điều này sẽ cho phép bạn tương đối bình tĩnh về sự an toàn của dữ liệu khi sử dụng công nghệ này.

Tuy nhiên, khả năng bảo mật này chỉ mang tính tương đối nếu bạn không chú ý đúng mức đến việc thiết lập mạng không dây của mình. Tại thời điểm này, đã có danh sách các tính năng “chuẩn” mà hacker có thể có được nếu sơ suất trong việc thiết lập mạng không dây:

Truy cập vào tài nguyên mạng cục bộ;

Nghe lén, đánh cắp (có nghĩa là lưu lượng truy cập Internet trực tiếp);

Làm biến dạng thông tin truyền qua mạng;

Giới thiệu một điểm truy cập giả mạo;

Một chút lý thuyết.

1997 – tiêu chuẩn IEEE 802.11 đầu tiên được xuất bản. Tùy chọn bảo vệ truy cập mạng:

1. Mật khẩu SSID (ID nhóm máy chủ) đơn giản đã được sử dụng để truy cập mạng cục bộ. Tùy chọn này không cung cấp mức độ bảo vệ cần thiết, đặc biệt đối với trình độ công nghệ hiện tại.

2. Sử dụng WEP (Wired Equivalent Privacy) – tức là sử dụng khóa kỹ thuật số để mã hóa luồng dữ liệu bằng chức năng này. Bản thân các khóa chỉ là mật khẩu thông thường có độ dài từ 5 đến 13 ký tự ASCII, tương ứng với mã hóa 40 hoặc 104 bit ở mức tĩnh.

2001 - giới thiệu tiêu chuẩn IEEE 802.1X mới. Tiêu chuẩn này sử dụng các khóa mã hóa 128 bit động, nghĩa là thay đổi định kỳ theo thời gian. Ý tưởng cơ bản là người dùng mạng hoạt động theo phiên, sau khi hoàn thành phiên này, họ sẽ được gửi một khóa mới - thời gian phiên tùy thuộc vào hệ điều hành (Windows XP - theo mặc định, thời gian của một phiên là 30 phút).

Hiện nay có các chuẩn 802.11:

802.11 - Tiêu chuẩn cơ sở ban đầu. Hỗ trợ truyền dữ liệu qua kênh vô tuyến ở tốc độ 1 và 2 Mbit/s.

802.11a - Chuẩn WLAN tốc độ cao. Hỗ trợ truyền dữ liệu ở tốc độ lên tới 54 Mbit/s qua kênh vô tuyến trong phạm vi khoảng 5 GHz.

I802.11b - Tiêu chuẩn phổ biến nhất. Hỗ trợ truyền dữ liệu với tốc độ lên tới 11 Mbit/s qua kênh vô tuyến trong phạm vi khoảng 2,4 GHz.

802.11e - Yêu cầu chất lượng yêu cầu cho tất cả các giao diện vô tuyến IEEE WLAN

802.11f - Tiêu chuẩn mô tả thứ tự liên lạc giữa các điểm truy cập ngang hàng.

802.11g - Thiết lập kỹ thuật điều chế bổ sung cho tần số 2,4 GHz. Được thiết kế để cung cấp tốc độ truyền dữ liệu lên tới 54 Mbit/s qua kênh vô tuyến trong phạm vi khoảng 2,4 GHz.

802.11h - Tiêu chuẩn mô tả việc quản lý phổ tần 5 GHz để sử dụng ở Châu Âu và Châu Á.

802.11i (WPA2) - Một tiêu chuẩn khắc phục các vấn đề bảo mật hiện có trong lĩnh vực giao thức xác thực và mã hóa. Ảnh hưởng đến giao thức 802.1X, TKIP và AES.

Hiện nay có 4 chuẩn được sử dụng rộng rãi là: 802.11, 802.11a, 802.11b, 802.11g.

2003 - Tiêu chuẩn WPA (Wi-Fi Protected Access) được giới thiệu, kết hợp các lợi ích của việc đổi mới khóa động của IEEE 802.1X với mã hóa TKIP (Giao thức toàn vẹn khóa tạm thời), Giao thức xác thực mở rộng (EAP) và tính toàn vẹn của thông báo công nghệ xác minh MIC ( Kiểm tra tính toàn vẹn của tin nhắn).

Ngoài ra, nhiều tiêu chuẩn bảo mật độc lập từ nhiều nhà phát triển khác nhau đang được phát triển song song. Dẫn đầu là những gã khổng lồ như Intel và Cisco.

2004 - WPA2, hay 802.11i xuất hiện - tiêu chuẩn an toàn nhất tại thời điểm này.

Các công nghệ bảo vệ mạng Fi-Wi.

WEP

Công nghệ này được phát triển đặc biệt để mã hóa luồng dữ liệu được truyền trong mạng cục bộ. Dữ liệu được mã hóa bằng khóa từ 40 đến 104 bit. Nhưng đây không phải là toàn bộ khóa mà chỉ là thành phần tĩnh của nó. Để tăng cường bảo mật, cái gọi là vectơ khởi tạo IV (Vectơ khởi tạo) được sử dụng, được thiết kế để ngẫu nhiên hóa một phần bổ sung của khóa, cung cấp các biến thể khác nhau của mật mã cho các gói dữ liệu khác nhau. Vectơ này là 24-bit. Do đó, kết quả là chúng tôi thu được mã hóa chung với độ sâu bit từ 64 (40+24) đến 128 (104+24) bit, cho phép chúng tôi hoạt động với cả các ký tự không đổi và được chọn ngẫu nhiên trong quá trình mã hóa. Nhưng mặt khác, 24 bit chỉ có ~16 triệu tổ hợp (2 lũy thừa 24) - nghĩa là sau khi chu kỳ tạo khóa hết hạn, một chu kỳ mới sẽ bắt đầu. Việc hack được thực hiện khá đơn giản:

1) Tìm lần lặp lại (thời gian tối thiểu, đối với khóa dài 40 bit - từ 10 phút).

2) Hack phần còn lại (về cơ bản là giây)

3) Bạn có thể xâm nhập vào mạng của người khác.

Đồng thời có những tiện ích dùng để bẻ khóa khá phổ biến như WEPcrack.

802.1X

IEEE 802.1X là tiêu chuẩn nền tảng cho mạng không dây. Nó hiện được hỗ trợ bởi Windows XP và Windows Server 2003.

802.1X và 802.11 là các tiêu chuẩn tương thích. 802.1X sử dụng thuật toán tương tự như WEP, cụ thể là RC4, nhưng có một số khác biệt ("tính di động" cao hơn, tức là có thể kết nối ngay cả một thiết bị PDA với mạng) và các sửa lỗi (hack WEP, v.v. P.).

802.1X dựa trên Giao thức xác thực mở rộng (EAP), Bảo mật lớp vận chuyển (TLS) và RADIUS (Dịch vụ người dùng quay số truy cập từ xa).

Sau khi người dùng vượt qua giai đoạn xác thực, anh ta sẽ được gửi một khóa bí mật ở dạng mã hóa trong một thời gian ngắn nhất định - thời gian của phiên hiện tại hợp lệ. Sau khi hoàn thành phiên này, một khóa mới sẽ được tạo và gửi lại cho người dùng. Giao thức bảo mật lớp vận chuyển TLS cung cấp tính xác thực lẫn nhau và tính toàn vẹn của việc truyền dữ liệu. Tất cả các khóa đều là 128-bit.

Riêng biệt, cần phải đề cập đến tính bảo mật của RADIUS: nó dựa trên giao thức UDP (và do đó tương đối nhanh), quá trình ủy quyền xảy ra trong bối cảnh của quá trình xác thực (nghĩa là không có ủy quyền nào như vậy), Việc triển khai máy chủ RADIUS tập trung vào phục vụ máy khách một quy trình (mặc dù có thể thực hiện được và đa quy trình - câu hỏi vẫn còn mở), hỗ trợ một số loại xác thực khá hạn chế (văn bản rõ ràng và CHAP) và có mức độ trung bình về bảo vệ. Trong RADIUS, chỉ mật khẩu văn bản rõ ràng mới được mã hóa, phần còn lại của gói vẫn “mở” (từ quan điểm bảo mật, ngay cả tên người dùng cũng là một tham số rất quan trọng). Nhưng CHAP là một vấn đề riêng biệt. Ý tưởng là không có văn bản rõ ràng mật khẩu dưới mọi hình thức sẽ không bao giờ được truyền qua mạng Cụ thể: khi xác thực người dùng, khách hàng sẽ gửi cho máy người dùng một Thử thách nhất định (một chuỗi ký tự ngẫu nhiên tùy ý), người dùng nhập mật khẩu và với Thử thách này, máy người dùng sẽ thực hiện một số hành động mã hóa nhất định bằng mật khẩu đã nhập (thường là mã hóa thông thường này bằng thuật toán MD5 (RFC-1321). Kết quả là Phản hồi. Phản hồi này được gửi lại cho máy khách và máy khách sẽ gửi mọi thứ cùng nhau (Thử thách và Phản hồi) tới Máy chủ 3A (Xác thực, Ủy quyền, Kế toán) để xác thực. Máy chủ đó (cũng có mật khẩu người dùng bên cạnh) thực hiện các hành động tương tự với Thử thách và so sánh Phản hồi của nó với phản hồi nhận được từ máy khách: hội tụ - người dùng được xác thực, không - từ chối . Do đó, chỉ người dùng và máy chủ 3A mới biết mật khẩu văn bản rõ ràng và mật khẩu văn bản rõ ràng không “di chuyển” qua mạng và không thể bị hack.

WPA

WPA (Wi-Fi Protected Access) là một tiêu chuẩn tạm thời (công nghệ truy cập an toàn vào mạng không dây), được chuyển đổi sang IEEE 802.11i. Về cơ bản, WPA kết hợp:

802.1X là tiêu chuẩn nền tảng cho mạng không dây;

EAP - Giao thức xác thực mở rộng;

TKIP - Giao thức toàn vẹn khóa tạm thời;

MIC là công nghệ kiểm tra tính toàn vẹn của tin nhắn (Message Integrity Check).

Các mô-đun chính là TKIP và MIC. Tiêu chuẩn TKIP sử dụng các khóa 128 bit được chọn tự động, được tạo theo cách không thể đoán trước và có khoảng 500 tỷ biến thể. Một hệ thống phân cấp phức tạp gồm thuật toán chọn khóa và sự thay thế động của chúng cứ sau 10 KB (10 nghìn gói được truyền) giúp hệ thống được bảo mật tối đa. Công nghệ Kiểm tra tính toàn vẹn của tin nhắn cũng bảo vệ chống lại sự xâm nhập từ bên ngoài và những thay đổi về thông tin. Một thuật toán toán học khá phức tạp cho phép bạn so sánh dữ liệu được gửi tại một điểm và nhận được ở một điểm khác. Nếu những thay đổi được nhận thấy và kết quả so sánh không hội tụ, dữ liệu đó bị coi là sai và bị loại bỏ.

Đúng, TKIP hiện không phải là công cụ tốt nhất trong việc triển khai mã hóa do công nghệ Tiêu chuẩn mã hóa nâng cao (AES) mới trước đây được sử dụng trong VPN.

VPN

Công nghệ VPN (Mạng riêng ảo) được Intel đề xuất nhằm cung cấp kết nối an toàn giữa hệ thống máy khách và máy chủ qua các kênh Internet công cộng. VPN có lẽ là một trong những dịch vụ đáng tin cậy nhất về độ tin cậy mã hóa và xác thực.

Có một số công nghệ mã hóa được sử dụng trong VPN, trong đó phổ biến nhất được mô tả bằng giao thức PPTP, L2TP và IPSec với các thuật toán mã hóa DES, Triple DES, AES và MD5. Bảo mật IP (IPSec) được sử dụng khoảng 65-70% thời gian. Với sự trợ giúp của nó, bảo mật gần như tối đa của đường dây liên lạc được đảm bảo.

Công nghệ VPN không được thiết kế dành riêng cho Wi-Fi - nó có thể được sử dụng cho bất kỳ loại mạng nào, nhưng bảo vệ mạng không dây với sự trợ giúp của nó là giải pháp đúng đắn nhất.

Một lượng khá lớn phần mềm (Windows NT/2000/XP, Sun Solaris, Linux) và phần cứng đã được phát hành cho VPN. Để triển khai bảo vệ VPN trong mạng, bạn cần cài đặt một cổng VPN đặc biệt (phần mềm hoặc phần cứng), trong đó các đường hầm được tạo, một đường hầm cho mỗi người dùng. Ví dụ: đối với mạng không dây, cổng phải được cài đặt ngay trước điểm truy cập. Và người dùng mạng cần cài đặt các chương trình máy khách đặc biệt, do đó các chương trình này cũng hoạt động bên ngoài mạng không dây và việc giải mã được thực hiện vượt ra ngoài ranh giới của nó. Mặc dù tất cả điều này khá cồng kềnh nhưng nó rất đáng tin cậy. Nhưng giống như mọi thứ, nó đều có nhược điểm, trong trường hợp này có hai nhược điểm:

Sự cần thiết phải quản lý khá rộng rãi;

Giảm dung lượng kênh 30-40%.

Ngoài ra, VPN là một lựa chọn khá rõ ràng. Hơn nữa, gần đây, sự phát triển của thiết bị VPN chính xác là theo hướng cải thiện tính bảo mật và tính di động. Giải pháp IPsec VPN hoàn chỉnh trong dòng Cisco VPN 5000 là một ví dụ điển hình. Hơn nữa, dòng này hiện chỉ bao gồm giải pháp VPN dựa trên máy khách duy nhất hiện nay hỗ trợ Windows 95/98/NT/2000, MacOS, Linux và Solaris. Ngoài ra, giấy phép miễn phí để sử dụng thương hiệu và phân phối phần mềm máy khách IPsec VPN đi kèm với tất cả các sản phẩm VPN 5000, đây cũng là điều quan trọng.

Những điểm chính về việc bảo vệ mạng Fi-Wi của tổ chức.

Dựa trên tất cả những điều trên, bạn có thể đảm bảo rằng các cơ chế và công nghệ bảo vệ hiện có cho phép bạn đảm bảo tính bảo mật cho mạng của mình khi sử dụng Fi-Wi. Đương nhiên, nếu quản trị viên không chỉ dựa vào các cài đặt cơ bản mà còn quan tâm đến việc tinh chỉnh. Tất nhiên, không thể nói rằng theo cách này, mạng của bạn sẽ biến thành một pháo đài bất khả xâm phạm, nhưng bằng cách phân bổ đủ kinh phí đáng kể cho thiết bị, thời gian cấu hình và tất nhiên là giám sát liên tục, bạn có thể đảm bảo an ninh với xác suất xấp xỉ 95%.

Những điểm chính khi tổ chức, thiết lập mạng Wi-Fi không nên bỏ qua:

- Lựa chọn và cài đặt một điểm truy cập:

> trước khi mua, hãy đọc kỹ tài liệu và thông tin hiện có về các lỗ hổng trong quá trình triển khai phần mềm cho loại thiết bị này (ví dụ nổi tiếng về lỗ hổng trên iOS của bộ định tuyến Cisco cho phép kẻ tấn công truy cập vào bảng cấu hình) . Có thể hợp lý nếu bạn hạn chế mua một tùy chọn rẻ hơn và cập nhật hệ điều hành của thiết bị mạng;

> khám phá các giao thức và công nghệ mã hóa được hỗ trợ;

> bất cứ khi nào có thể, hãy mua các thiết bị sử dụng WPA2 và 802.11i vì chúng sử dụng công nghệ mới để bảo mật - Tiêu chuẩn mã hóa nâng cao (AES). Hiện tại, đây có thể là các điểm truy cập băng tần kép (AP) cho mạng IEEE 802.11a/b/g Cisco Aironet 1130AG và 1230AG. Các thiết bị này hỗ trợ chuẩn bảo mật IEEE 802.11i, công nghệ chống xâm nhập Wi-Fi Protected Access 2 (WPA2) sử dụng Chuẩn mã hóa nâng cao (AES) và đảm bảo dung lượng đáp ứng nhu cầu cao nhất của người dùng mạng LAN không dây. Các AP mới tận dụng công nghệ IEEE 802.11a/b/g băng tần kép và vẫn tương thích hoàn toàn với các phiên bản cũ hơn của thiết bị chạy IEEE 802.11b;

> chuẩn bị trước cho máy của khách hàng để hoạt động cùng với thiết bị đã mua. Một số công nghệ mã hóa có thể không được hệ điều hành hoặc trình điều khiển hỗ trợ tại thời điểm này. Điều này sẽ giúp tránh lãng phí thời gian khi triển khai mạng;

> không cài đặt điểm truy cập bên ngoài tường lửa;

> Đặt ăng-ten bên trong các bức tường của tòa nhà và hạn chế năng lượng vô tuyến để giảm khả năng kết nối từ bên ngoài.

> sử dụng ăng-ten định hướng, không sử dụng kênh radio mặc định.

- Thiết lập điểm truy cập:

> nếu điểm truy cập của bạn cho phép bạn từ chối quyền truy cập vào cài đặt của mình qua kết nối không dây thì hãy sử dụng tính năng này. Ban đầu, đừng tạo cơ hội cho tin tặc kiểm soát các nút chính qua sóng vô tuyến khi xâm nhập vào mạng của bạn. Tắt các giao thức phát sóng vô tuyến như SNMP, giao diện quản trị web và telnet;

> hãy chắc chắn(!) sử dụng mật khẩu phức tạp để truy cập cài đặt điểm truy cập;

> nếu điểm truy cập cho phép bạn kiểm soát quyền truy cập của máy khách bằng địa chỉ MAC, hãy đảm bảo sử dụng địa chỉ này;

> nếu thiết bị cho phép bạn cấm phát SSID, hãy đảm bảo thực hiện việc này. Nhưng đồng thời, hacker luôn có cơ hội lấy được SSID khi kết nối với tư cách là khách hàng hợp pháp;

> chính sách bảo mật phải cấm các máy khách không dây tạo kết nối đặc biệt (các mạng như vậy cho phép hai hoặc nhiều trạm kết nối trực tiếp với nhau, bỏ qua các điểm truy cập định tuyến lưu lượng truy cập của chúng). Tin tặc có thể sử dụng một số kiểu tấn công nhằm vào các hệ thống sử dụng kết nối đặc biệt. Vấn đề chính của mạng ad-hoc là thiếu khả năng nhận dạng. Các mạng này có thể cho phép tin tặc thực hiện các cuộc tấn công trung gian, từ chối dịch vụ (DoS) và/hoặc xâm phạm hệ thống.

- Chọn cài đặt tùy thuộc vào công nghệ:

> nếu có thể, hãy từ chối quyền truy cập đối với các máy khách có SSID;

> nếu không có tùy chọn nào khác, hãy đảm bảo bật ít nhất WEP nhưng không thấp hơn 128bit.

> nếu khi cài đặt trình điều khiển thiết bị mạng, bạn được cung cấp ba công nghệ mã hóa: WEP, WEP/WPA và WPA, sau đó chọn WPA;

> nếu cài đặt thiết bị cung cấp lựa chọn: “Khóa chia sẻ” (có thể chặn khóa WEP, khóa này giống nhau cho tất cả máy khách) và “Hệ thống mở” (có thể tích hợp vào mạng nếu biết SSID ) - chọn “Khóa chia sẻ”. Trong trường hợp này (nếu bạn sử dụng xác thực WEP), tốt nhất bạn nên bật tính năng lọc theo địa chỉ MAC;

> nếu mạng của bạn không lớn, bạn có thể chọn Khóa chia sẻ trước (PSK).

> nếu có thể sử dụng 802.1X. Tuy nhiên, khi thiết lập máy chủ RADIUS, nên chọn loại xác thực CHAP;

> mức độ bảo mật tối đa tại thời điểm này được cung cấp bằng cách sử dụng VPN - hãy sử dụng công nghệ này.

- Mật khẩu và chìa khóa:

> khi sử dụng SSID, hãy tuân thủ các yêu cầu tương tự như bảo vệ bằng mật khẩu - SSID phải là duy nhất (đừng quên rằng SSID không được mã hóa và có thể dễ dàng bị chặn!);

> luôn sử dụng các phím dài nhất có thể. Không sử dụng các khóa nhỏ hơn 128 bit;

> đừng quên bảo vệ mật khẩu - sử dụng trình tạo mật khẩu, thay đổi mật khẩu sau một khoảng thời gian nhất định, giữ bí mật mật khẩu;

> trong cài đặt thường có bốn phím được xác định trước để lựa chọn - sử dụng tất cả chúng, thay đổi theo một thuật toán nhất định. Nếu có thể, đừng tập trung vào các ngày trong tuần (luôn có người trong bất kỳ tổ chức nào làm việc vào cuối tuần - điều gì ngăn cản việc triển khai mạng vào những ngày này?).

> cố gắng sử dụng các phím dài, thay đổi linh hoạt. Nếu bạn sử dụng khóa và mật khẩu tĩnh, hãy thay đổi mật khẩu sau một khoảng thời gian nhất định.

> hướng dẫn người dùng giữ bí mật mật khẩu và khóa. Điều đặc biệt quan trọng nếu một số người sử dụng máy tính xách tay mà họ giữ ở nhà để đăng nhập.

- Thiết lạp mạng lưới:

> sử dụng NetBEUI để tổ chức các tài nguyên được chia sẻ. Nếu điều này không mâu thuẫn với khái niệm mạng của bạn, đừng sử dụng giao thức TCP/IP trên mạng không dây để sắp xếp các thư mục và máy in dùng chung.

> không cho phép khách truy cập vào các tài nguyên được chia sẻ;

> cố gắng không sử dụng DHCP trên mạng không dây của bạn - sử dụng địa chỉ IP tĩnh;

> giới hạn số lượng giao thức trong mạng WLAN chỉ ở những giao thức cần thiết.

- Tổng quan:

> sử dụng tường lửa trên tất cả các máy khách mạng không dây hoặc ít nhất là kích hoạt tường lửa cho XP;

> thường xuyên theo dõi các lỗ hổng, bản cập nhật, chương trình cơ sở và trình điều khiển trên thiết bị của bạn;

> sử dụng máy quét bảo mật định kỳ để xác định các vấn đề tiềm ẩn;

> Xác định các công cụ để thực hiện quét không dây và tần suất thực hiện các lần quét này. Quét không dây có thể giúp xác định vị trí các điểm truy cập giả mạo.

> nếu tài chính của tổ chức bạn cho phép, hãy mua hệ thống phát hiện xâm nhập (IDS, Hệ thống phát hiện xâm nhập), chẳng hạn như:

Công cụ Giải pháp Mạng LAN Không dây của CiscoWorks (WLSE), bao gồm một số tính năng mới - tự phục hồi, phát hiện giả mạo nâng cao, kiểm tra địa điểm tự động, chế độ chờ ấm, theo dõi khách hàng với báo cáo theo thời gian thực.
CiscoWorks WLSE là giải pháp cấp hệ thống tập trung để quản lý toàn bộ cơ sở hạ tầng không dây dựa trên các sản phẩm Cisco Aironet. Khả năng quản lý thiết bị và vô tuyến nâng cao được CiscoWorks WLSE hỗ trợ giúp đơn giản hóa các hoạt động mạng không dây đang diễn ra, cho phép triển khai liền mạch, nâng cao bảo mật và đảm bảo tính khả dụng tối đa đồng thời giảm chi phí triển khai và vận hành.

Hệ thống Hitachi AirLocation sử dụng mạng IEEE802.11b và có khả năng hoạt động cả trong nhà và ngoài trời. Theo các nhà phát triển, độ chính xác của việc xác định tọa độ của một vật thể là 1-3 m, chính xác hơn một chút so với đặc tính tương tự của hệ thống GPS. Hệ thống bao gồm một máy chủ xác định tọa độ, một máy chủ điều khiển, một bộ một số trạm gốc, một bộ thiết bị WLAN và phần mềm chuyên dụng. Giá tối thiểu của bộ sản phẩm là khoảng 46,3 nghìn USD.Hệ thống xác định vị trí của thiết bị được yêu cầu và khoảng cách giữa thiết bị đó với từng điểm truy cập bằng cách tính toán thời gian phản hồi của thiết bị đầu cuối đối với các tín hiệu được gửi bởi các điểm được kết nối với mạng với khoảng cách giữa các nút là 100-200m. Do đó, để có được vị trí đủ chính xác của thiết bị đầu cuối, chỉ cần ba điểm truy cập là đủ.

Đúng, giá của những thiết bị như vậy khá cao, nhưng bất kỳ công ty nghiêm túc nào cũng có thể quyết định chi số tiền này để tự tin vào tính bảo mật của mạng không dây của họ.