Bảo mật trong Wlan

tường lửa thực hiện một trong hai chính sách thiết kế cơ bản : Chấp nhận bất cứ dịch vụ nào trừ khi nó bị pỏu nhận tuyệt đối. Từ chối mọi dịch vụ trừ khi nó được chấp nhận tuyệt đối. Một tường lửa thực hiện một chính sách đầu tiên mặc định cho phép tất cả các dịch vụ đi vào trong site. Một tường lửa từ chối chính sách thứ hai mặc định từ chối tất cả các dịch vụ. Chính sách đầu tiên ít được mong đợi, nó đưa ra nhiều con đường để khai thác tường lửa, người sử dụng có thể truy nhập các dịch vụ mới không bị từ chối bởi chính sách hoặc chạy các dịch vụ bị từ chối tại các cổng TCP/UDP không tiêu chuẩn mà không bị loại bỏ bởi chính sách. Chính sách thứ hai mạnh hơn và an toàn hơn, nhưng nó khó khăn hơn khi thực hiện có thể ảnh hưởng tới nhiều người sử dụng hơn trong các dịch vụ chắc chắn. Mối quan hệ giữa chính sách truy nhập dịch vụ mức cao và mức thấp hơn đã được đề cập. Mối quan hệ này là vốn có bởi vì chính sách truy nhập dịch vụ phụ thuộc chủ yếu vào khả năng và những hạn chế của hệ thống tường lửa, cũng như các vấn đề cố hữu của bảo mật kết hợp với các dịch vụ Internet mong muốn. Ví dụ, dịch vụ mong muốn đã định nghĩa trong các chính sách truy nhập dịch vụ có thể bị từ chối khi các vấn đề bảo mật vốn có trong các dịch vụ này không thể điều khiển hiệu quả bởi chính sách mức thấp và khi sự bảo mật mạng thực hiện ưu tiên cho các đối tượng khác. Nói cách khác, một tổ chức phụ thuộc chủ yếu vào các dịch vụ này gặp nhiều khó khăn khi phải chấp nhận nguy hiểm cao hơn. Mối quan hệ giữa chính sách truy nhập dịch vụ và bản đối chiếu mức thấp hơn của nó cho phép một quá trình lặp lại trong sự xác định cả hai. Chính sách truy nhập dịch vụ là thành phần có ý nghĩa nhất trong bốn sự mô tả ở đây. Ba thành phần khác được sử dụng để thực hiện và làm cho chính sách có hiệu lực. Hiệu quả của hệ thống tường lửa trong việc bảo vệ mạng tùy thuộc loại tường lửa sử dụng, sự sử dụng tường lửa hợp lý và chính sách truy nhập dịch vụ. Nhận thực cấp cao Các nhận thực cấp cao như là Card thông minh, các thẻ bài nhận thực, và các cơ chế phần mềm gốc được thiết kế để thay thế sự yếu kém của các mật khẩu truyền thống. Trong khi các kĩ thuật nhận thực thay đổi, chúng cũng tương tự như trong việc tạo ra các mật khẩu bằng các thiết bị nhận thực cấp cao không thể bị dùng lại bởi một Hacker đã giám sát một kết nối. Đối với các mật khẩu cũ trên Internet, một tường lửa có thể truy nhập Internet không sử dụng hoặc không bao gồm sự liên hệ tới sử dụng nhận thực cấp cao. Một số thiết bị nhận thực cấp cao đã sử dụng hiện nay gọi là hệ thống mật khẩu một lần. Một Card thông minh hay thẻ bài nhận thực, ví dụ, tạo ra một câu trả lời rằng hệ thống Host có thể sử dụng thay cho mật khẩu truyền thống. Bởi vì Card thông minh hay thẻ bài làm việc chung với phần mềm hoặc phần cứng trên Host, tạo ra một đáp ứng duy nhất cho mọi lần đăng nhập. Kết quả là một mật khẩu dùng một lần, khi bị giám sát, nó không thể dùng lại bởi kẻ đột nhập muốn giành quyền truy nhập mạng. 2.4.3.3 Các kiến trúc tường lửa Các tường lửa có thể được định cấu hình trong một số kiến trúc khác nhau, cung cấp các mức độ bảo mật khác nhau có chi phí lặp đặt và qui trình hoạt động khác nhau. Các tổ chức nên xem xét các mối nguy hiểm để lựa chọn loại tường lửa phù hợp và các chính sách mẫu. Host đa cổng Một Host đa cổng là một host có nhiều hơn một giao diện mạng, với mỗi giao diện kết nối tới các phân đoạn (segment) mạng vật lý hoặc logic. Một dual-homed host (host với hai giao diện) trường hợp phổ biến nhất của một Host đa cổng Một dual – homed là một tường lửa với hai Card giao diện mạng (NIC) với mỗi giao diện kết nối tới một mạng khác nhau. Một giao diện mạng thường được kết nối tới một mạng ngoài (hay mạng không tin cậy), trong khi đó giao diện khác được kết nối tới nội mạng (mạng tin cậy). Trong cấu hình này, một nguyên lý bảo mật quan trọng là không cho phép lưu lượng đến từ mạng không tin cậy được định tuyến trực tiếp tới mạng tin cậy - tường lửa phải luôn luôn đóng vai trò trung gian. Các host được bảo vệ Một kiển trúc tường lửa cho các host được bảo về sử dụng một host (gọi là một host phòng vệ) kết nối toàn bộ các host bên ngoài, hơn nữa còn cho phép kết nối thẳng tới host khác, kém an toàn cho các host bên trong. Một bộ định tuyến lọc được định cấu hình cho tonà bộ các kết nối tới nội mạng từ mạng ngoài được định hướng thẳng tới host “phòng vệ”. Nếu cổng lọc gói tin được triển khai, khi đó host “phòng vệ” nên được thiết lập cho tất cả các kết nối từ mạng ngoài đi qua host “phòng vệ” để ngăn chặn kết nối Internet trực tiếp giữa mạng ORGANIZATION và bên ngoài. Mạng con được bảo vệ Kiến trúc mạng con được bảo vệ về bản chất giống như kiến trúc Host được bảo vệ, nhưng thêm một tầng mở rộng của bảo mật bằng việc tạo một mạng có host “phòng vệ ” cư trú. Một mạng con được bảo vệ sẽ được triển khai bằng cách thêm một mạng vành đai để ngăn tách nội mạng với mạng ngoài. CHƯƠNG III BẢO MẬT TRONG WLAN 3.1 Giới thiệu Không giống như các hệ thống hữu tuyến được bảo vệ vật lý, các mạng vô tuyến không cố định trong một phạm vi. Chúng có di chuyển ra xa khoảng một 1000 bước chân ngoài ranh giới của vị trí gốc với một laptop và một anten thu. Những điều này làm cho mạng WLAN rất dễ bị xâm phạm và khó khăn trong bảo mật. Hiệp hội tiêu chuẩn 802.11 đã bổ sung một tuyến bảo vệ gọi là Wireless Equivalency Protocol – giao thức bảo mật tương đương hữu tuyến (WEP). WEP là giao thức mã hoá cung cấp bảo mật cùng mức với cáp hữu tuyến. Tiêu chuẩn này cung cấp cả 40 và 128 bit (thực sự chỉ có 104 bit ) mật mã hoạt động tại tầng data link sử dụng thuật toán RC4. 3.2 Cơ sở bảo mật 802.11 802.11 có ba phưong thức cơ bản để bảo mật cho WLAN là : SSID, WEP và MAC address filtering. 3.2.1 Tập dịch vụ ID (SSID) SID là một chuỗi được sử dụng để định nghĩa một vùng phổ biến xung quanh các điểm truy nhập nhận (APs). Sự khác nhau giữa các SSID trên các AP có thể cho phép chồng chập các mạng vô tuyến. SSID là một ý tưởng về một mật khẩu gốc mà không có nó các máy tính (máy khách ) không thể kết nối mạng. Tuy nhiên, yêu cầu này có thể dễ dàng bị gạt qua một bên bởi vì các AP quảng bá SSID nhiều lần trong một giây và bất kỳ công cụ phân tích 802.11 nào như là Airmagnet, NetStumbler, hay Wildpackets Airopeek có thể được sử dụng để đọc nó. Bởi vì những người sử dụng thường định cấu hình các máy khách, điều này làm cho các mật khẩu được biết rộng rãi. Những người sử dụng có nên thay đổi SSID của họ không? Tất nhiên, mặc dù SSID không bổ sung bất kỳ lớp bảo mật nào, nó nên được thay đổi khỏi các giá trị mặc định vì rằng nó làm cho những người khác không thể ngẫu nhiên sử dụng mạng của người sử dụng hợp pháp. 3.2.2 Giao thức bảo mật tương đương hữu tuyến (WEP) Tiêu chuẩn 802.11 định nghĩa một phương thức mật mã hoá và nhận thực gọi là WEP (giao thức bảo mật tương đương hữu tuyến) để giảm nhẹ những lo lắng về bảo mật. Nói chung, nhận thực được sử dụng để bảo vệ chống lại những truy nhập trái phép tới mạng, trong khi mật mã hoá được sử dụng để đánh bại những người nghe trộm khi cố gắng thực hiện giải mật mã bắt giữ được. 802.11 sử dụng WEP cho cả mật mã hoá và nhận thực. Có bốn tuỳ chọn sẵn có khi sử dụng WEP: Không sử dụng WEP Sử dụng WEP chỉ để mật mã hóa. Sử dụng WEP chỉ để nhận thực. Sử dụng WEP đề nhận thực và mã hoá. Mật mã hóa WEP dựa trên thuật toán RC4, thuật toán này sử dụng một khoá 40 bit cùng với một vec tơ khởi tạo (IV) ngẫu nhiên 24 bit để mã hóa việc truyền dẫn dữ liệu vô tuyến. Nếu được phép, cùng một khoá WEP phải được sử dụng trên tất cả các máy khách và các AP cho các truyền thông. Để ngăn chặn truy nhập trái phép, WEP cũng định nghĩa một giao thức nhận thực. Có hai dạng nhận thực được định nghĩa bởi 802.11 là : Nhận thực hệ thống mở và Nhận thực khoá dùng chung. Nhận thực hệ thống mở cho phép bất kỳ máy khách 802.11b kết hợp với AP và bỏ qua quá trình nhận thực. Không diễn ra nhận thực máy khách hoặc mật mã hoá dữ liệu. Nó có thể được sử dụng cho truy nhập WLAN công cộng, truy nhập WLAN công cộng có thể tìm thấy trong các cửa hàng cafe, sân bay, các khác sạn, các trung tâm hội nghị, và các những nơi gặp gỡ tương tự khác. Ở đây, tính công cộng được yêu cầu cho sử dụng mạng. Mạng mở nhận thực người sử dụng dựa trên tên mật khẩu người sử dụng trên một trang Web đăng nhập an toàn. Để khép kín các mạng, chế độ này có thể được sử dụng khi các phương thức nhận thực khác được cung cấp. Trong việc sử dụng nhận thực khoá dùng chung, AP gửi một challenge phrase tới một radio khách yêu cầu nhận thực. Radio khách mã hóa challenge phrase dựa vào khoá dùng chung và trả nó về cho AP. Nếu AP giải mã thành công nó trở về bản tin challenge gốc, nó chứng tỏ rằng máy khách có khoá riêng chính xác. Khi đó máy khách được tạo một kết nối mạng. Đối với người quan sát ngẫu nhiên, dường như thấy rằng quá trình nhận thực khoá dùng chung là an toàn hơn quá trình nhận thực khoá mở. Tuy nhiên, cả challenge phrase (được gửi trong một văn bản không mã hoá) và challenge là sẵn có, một hacker có thể tìm thấy khoá WEP. Vì thế không phải nhận thực hệ thống mở mà cũng không phải nhận thực khóa riêng là an toàn. Bởi vì tiêu chuẩn 802.11 dựa vào các dịch vụ quản lý khoá ngoài để phân phối các khoá bí mật tới mỗi trạm và không chi rõ các dịch vụ phân phối khoá, hầu hết các máy khách 802.11 truy nhập các Card và các AP dựa trên phân phối khoá nhân công. Điều này nghĩa là các khoá giữ nguyên không thay đổi trừ khi nhà quản lý thay đổi chúng. Những khó khăn do trạng thái không thay đổi của các khoá và quá trình quản lý khoá nhân công cũng như việc thay đổi các khoá trên mỗi trạm trong một mạng lớn có thể tiêu tốn rất nhiều thời gian. Hơn nữa, do tính di động vốn có của dân số và không có một phương pháp hợp lý để quản lý tác vụ này, nhà quản lý mạng có thể phải chịu áp lực rất lớn để hoàn thành việc này trong một khung thời gian hợp lý. Một lo lắng khác là sức mạnh của WEP vì rằng nó chỉ cung cấp bốn khoá mật mã tĩnh dùng chung. Điều này nghĩa là bốn khoá mật mã hóa là giống nhau cho tất cả các máy và các AP tại mọi thời điểm một máy khách truy nhập vào mạng. Với đủ thời gian, “sự gần gũi (trạng thái về thời gian và không gian)”, và các công cụ dowload từ Web, các hackers có thể xác định khoá mật mã đã sử dụng và giải mã dữ liệu. Từ việc WEP có thể bị bẻ gãy, người sử dụng có nên sử dụng WEP không? nếu người sử dụng không có cái gì khác, thì vẫn nên dùng WEP vì nó sẽ gây khó khăn hơn cho các Hacker có khả năng . 3.2.3 Lọc địa chỉ MAC Ngoài hai cơ chế bảo mật cơ bản mà 802.11 cung cấp, nhiều công ty đã triển khai lọc địa chi MAC trong các sản phẩm của họ. Cơ chế này là không hoàn hảo. Bộ lọc địa chỉ MAC bao gồm các địa chỉ MAC của các Card giao diện mạng vô tuyến (NIC), có thể kết hợp với AP đã cho bất kỳ. Một số nhà cung cấp đã cung cấp các công cụ tự động quá trình nhập và cập nhật; mặt khác, đây là một xử lý nhân công hoàn toàn. Một bộ lọc MAC cũng không không bảo mật mạnh bởi vì nó dễ dàng để tìm ra các địa chỉ MAC tốt với một Niffer (tên chương trình phân tích mạng), khi đó bằng việc sử dụng các driver Linux sẵn có trên Internet cho hầu hết các Card truy nhập máy khách 802.11, người sử dụng có thể xác định cấu hình địa chỉ MAC sniffed vào trong Card và giành quyền truy nhập tới mạng. Mặc dù không bảo mật hoàn hảo, lọc địa chỉ MAC có tác dụng làm cho ai đó khó khăn hơn khi giành quyền truy nhập mạng. Có hai phương thức khác đã đề cập bởi Wi-Fi, sử dụng các khoá phiên và một hệ thống VPN, có thể triển khai được cho bảo mật Wi-Fi. Để mà hiểu được mức độ bảo mật bao nhiêu là cần thiết cho một ứng dụng thực tế, điều quan trọng là phải hiểu các mối đe doạ và các tấn công có thể xảy ra. 3.3 Những đe doạ an ninh mạng 3.3.1 Những nguy hiểm cho an ninh mạng Bảo mật có thể được định nghĩa như là sự gìn giữ để tránh khỏi việc người khác làm những gì mà người sử dụng không muốn như ảnh hưởng tới dữ liệu người sử dụng , các máy tính, hay các thiết bị ngoại vi. Thông tin lưu trữ, độ chính xác và giá trị thông tin, truy nhập các dịch vụ bên trong và các dịch vụ bên ngoài, và bảo mật của tổ chức khi nguy hiểm. Các nguy hiểm an ninh có thể đến từ các hacker, những kẻ đột nhập, một tổ chức, người trong nội bộ, và những người làm công … "Script Kiddiez" copy các tấn công phổ biến từ Internet và chạy chúng. Các hacker tinh vi hiểu bản chất các giao thức và điểm yếu của chúng. Do đó những kẻ đột nhập có thể khi truy nhập các số thẻ tín dụng và kiểm tra các tài khoản. Tổ chức những kẻ đột nhập có thể biết các thông tin tài chính, kế hoạch kinh doanh, và tài sản trí tuệ. Họ là những nguy hiểm rất đáng sợ. 3.3.2 Mô hình bảo mật WLAN Những kẻ đột nhập có thể gây ra bốn loại tấn công cơ bản trên một hệ thống là : sự đánh chặn (Interception), làm giả mạo (fabrication), sửa đổi, và ngắt thông tin. Loại thứ năm là Sự không công nhận (repudiation) là một tấn công chống lại chống lại trách nhiệm giải trình thông tin. Nó là một loại tấn công từ trong hệ thống hoặc do thực thể nguồn hoặc do thực thể đích. Mỗi loại tấn công này có thể được chỉ ra bởi một cơ chế bảo mật. Các cơ chế bảo mật thực hiện một hệ thống mật mã hóa. Bảng 3-1 mô tả năm loại tấn công : Bảng 3-1 Năm loại tấn công mạng Tấn công Mục tiêu Cách giải quyết Đánh chặn Độ tin cậy và bảo mật Mật mã hoá / giải mã Làm giả mạo Tính chất xác thực Nhận thực Sửa đổi Tính toàn vẹn Các tấn công vào tính toàn vẹn có thể được giải quyết bằng các chữ kí điện tử số cho mọi bản tin Ngắt (làm gián đoạn) Tính sẵn sàng Chưa có giải pháp hiệu quả Không công nhận Nonrepudiation Non – repudication hiện tại vẫn bị trong các trường hợp đánh cắp nhận dạng (identity theft) 3.3.2.1 Lưu lượng (dòng) thông thường Trong điều kiện thông thường, thông tin được gửi từ nguồn tới đích (Hình 3-1) Hình 3-1 Dòng thông thường 3.3.2.2. Sự đánh chặn Sự đánh chặn là một tấn công thụ động vào độ tin cậy, ở đây một thực thể đột nhập là có khả năng đọc thông tin gửi từ một thực thể nguồn tới thực thể đích (hình 3-2). Sniffing (thăm dò) là một ví dụ của tấn công đánh chặn. Hình 3-2 Sự đánh chặn trong một mạng Một kẻ đột nhập cố gắng nghiên cứu hoặc tạo cách sử dụng thông tin từ hệ thống, nhưng không ảnh hưởng tới các tài nguyên hệ thống. Sự nhận dạng thực thể nguồn có thể bị ngăn chặn và sau đó sử dụng trong một tấn công, hoặc kẻ đột nhập có thể quan tâm đến các nội dung message phát hành như là thông tin nhận thực, các mật khẩu, các số thẻ tín dụng, sở hữu trí tuệ, hoặc các thông tin nhạy cảm khác. Kẻ đột nhập cũng có thể quan tâm đến thực hiện phân tích lưu lượng trên hệ thống để thu được hoặc suy luận ra thông tin từ các đặc trưng lưu lượng. Các mục sau mô tả các ví dụ về sự đánh chặn. Nghe trộm và Thăm dò: Nghe trộm là việc thu được thông tin thụ động từ mạng. Như là có thể nghe các cuộc đàm thoại của người khác, thông tin có thể bị nghe lỏm trên mạng. Phương thức thu nhặt thông tin về mạng là sự khai thác dễ dàng với sự phát hành một số sản phẩm. Airopeek, Airsnort, NetStumbler,và WEPCrack là toàn bộ các chương trình cho phép bạn có được thông tin như là SSID, MAC address của AP, và thông tin về WEP. Điều kiện tự nhiên của mạng dựa trên tấn số vô tuyến (RF) từ nó có thể đánh chặn gói tin bởi bất kỳ radio nào trong độ rộng của một bộ phát. Sự đánh chặn có thể xảy ra ngoài xa vùng làm việc của người sử dụng bằng việc sử dụng các anten thu cao. Với các công cụ đọc sẵn có, một người nghe trộm không bị giới hạn khi hoàn thành sưu tập các gói tin cho các phân tích sau đó, nhưng thực sự anh ta (hay cô ta) có thể thấy các trao đổi phiên giống như các trang Web đã xem bởi một người sử dụng vô tuyến hợp pháp. Một người nghe trộm cũng có thể bắt giữ các trao đổi nhận thực yếu, như là một số các đăng nhập web site. Kẻ đột nhập có thể sao lại logon và giành quyền truy nhập. Ủy ban tiêu chuẩn 802.11 đã thông qua WEP, một mật mã hóa sở hữu riêng so RSA thiết kế, trước tiên các phân tích mật mã thích hợp đã được thực hiện cho thiết kế WEP đã bắt đầu từ phân tích bởi các nhóm nghiên cứu tại Berkeley và đại học Maryland và những khe hở nghiêm trọng của mật mã đã được tìm thấy. Các nghiên cứu ở Rice University và AT&T đã tìm ra thuật toán để bẻ WEP trong khoảng 15 phút. Các Hacker đã triển khai các công cụ như là NetStumbler, APSniff, và BSD Airtools để tìm các mạng vô tuyến. Các công cụ như là WEPCrack và Airsnort có thể bẻ WEP mà không quan tâm tới chiều dài khóa. WEP là một thuật toán đơn giản sử dụng luồng mật mã RC4 để phát triển một khóa ngắn và IV thành một luồng khóa - một số giả ngẫu nhiên(PN) vô hạn. Phía gửi thực hiện các phép toán logic OR (hoặc XOR) bản tin chưa mã hóa (được nối thêm chuỗi kiểm tra vòng dư (CRC) ) với luồng khóa này để tạo ra bản tin mật mã. Phía thu có một bản sao khóa này và sử dụng nó để tạo ra một luồng khóa giống hệt. Các bản tin mật mã được XOR với luồng khóa và bản tin chưa mã hóa gốc được khôi phục. Hình 3-3 minh họa việc tạo khóa mật mã trong WEP. Hình 3-3 : Việc tạo một bản tin mật mã trong WEP WEP hoạt động tại tầng liên kết, ở đây tổn thất gói tin là phổ biến. Đây là điều tại sao IV được gửi rõ ràng. Nếu hai bản tin sử dụng cùng IV và cùng khóa được sử dụng với một bản tin chưa mã hóa đã biết, bản tin chưa mã hóa khác có thể được khôi phục. IEEE 802.11 không chỉ rõ cách chọn một IV. Hầu hết những thực thi khởi chạy IV với giá trị bằng 0 và và sau đó tăng nó thêm 1 cho mỗi gói tin đã gửi. Điều này nghĩa là nếu khối được reset, IV bắt đầu lại tại giá trị 0. Bởi vì WEP đã gửi IV trong điều kiện rõ ràng cùng với một bản tin đã mật mã hóa, nó có thể bị sử dụng kiến trúc từ điển và các phương thức tĩnh để bẻ khóa WEP. Cả thực thi 64 bit và 128 bit đều có cùng điểm yếu. WEP được thiết kế cho các ngôi nhà và các doanh nghiệp nhỏ. WEP có một khóa tĩnh cho toàn bộ hệ thống . Nếu một Laptop, PDA, hoặc các thiết bị 802.11 khác bị mất hoặc để không đúng chỗ, bạn không thể vô hiệu hóa một khóa của người sử dụng tiêng lẻ, toàn bộ công trình phải đặ lại khóa. Một vấn đề khác là WEP không có một hệ thống phân phối khóa. Trong một doanh nghiệp nhỏ, có thể thực hiện nhập khóa cho AP và một số lượng nhỏ Laptop. Tuy nhiên, trong một tổ chức lớn, các khóa nhập nhân công là không khả thi. Nếu một hệ thống cần đặt lại khóa, một cá nhân tin cậy phải nhập khóa vào trong Card máy khách của mọi thiết bị nhân công 802.11. Bởi vì nó tiêu tốn quá nhiều thời gian cho việc thay đổi khóa, người sử dụng sử dụng cùng một khóa trong một thời gian dài. Thậm chí, nếu toàn bộ nhân viên của hệ thống được tín nhiệm để quản lý các khoá của họ, vẫn có thể là rất khó khăn cho các nhân viên để thực hiện. Bởi vì các nhà cung cấp khác nhau sẽ cung cấp các loại khoá khác nhau. Một số nhà cung cấp sử dụng các khoá Hex (hệ thập lục phân), các nhà cung cấp khác sử dụng khoá ASCII, và vẫn có một số nhà cung cấp sử dụng cụm từ tạo khoá. Một số nhà cung cấp sử dụng kết hợp hai hoặc ba loại khuôn dạng trên. Một số nhà cung cấp Card máy khách có 4 khoá và đề nghị người sử dụng một trong bốn loại đó. Việc đề nghị người sử dụng thay đổi khoá mới không khả thi bởi vì laptop ăn trộm sẽ cũng nhập vào cùng với các khoá. Vấn đề càng trở nên nghiêm trọng hơn khi một số máy khách chỉ sử dụng duy nhất một khoá đơn. Một số Card không cung cấp mật mã hóa toàn bộ (ví dụ,Orinoco Bronze ), trong khi các Card khác cung chỉ cấp 40 bit mật mã hoá. Vẫn có những Card khác cho phép mật mã hoá cả 40 bit và 104 bit. Trong nhiều hệ thống các khoá WEP không được bảo vệ đúng cách. Các khoá WEP thỉnh thoảng được lưu trữ trong tình trạng rõ ràng (không mật mã hoá). Cần có một giải pháp để bảo vệ 802.11 chống lại sự đánh chặn phải bảo mật cá nhân. Tuy nhiên, giải pháp này cũng phải giải quyết vấn đề phân phối khoá kết hợp và bảo mật đúng cách các khoá. 3.3.2.3 Sự làm giả mạo Sự giả mạo là một tấn công chủ động vào nhận thực, ở đây một kẻ đột nhập giả vờ là một thực thể nguồn (Hình 3-4). Bắt chước các gói tin và làm giả các e – mail là các ví dụ của một tấn công làm giả mạo thông tin. Hình 3-4 Sự làm giả mạo trong mạng WEP có hai cơ chế nhận thực. Với cơ chế nhận thực hệ thống mở (thuật toán mặc định), máy khách chỉ thông báo mục đích để kết hợp với một AP, và AP tìm MIB (Management Information Base), nếu loại nhận thực = OS, truy nhập được phép. Nhận thực hệ thống mở, với tính tự nhiên của nó, không thực hiện nhận thực và cung cấp không an toàn mọi thứ. Hình 3-5 minh họa quá trình nhận thực hệ thống mở. Hình 3-5 Nhận thực hệ thống mở trong một mạng 802.11 WEP cũng có một thuật toán tùy chọn, ở đây một máy khách có thể yêu cầu được nhận thực dựa trên nhận thực khóa dùng chung. AP lần lượt phát một challenge ngẫu nhiên 128 bit và gửi nó tới một máy khách. Máy khách sẽ trả lời với challenge, mật mã hóa với khóa bí mật dùng chung, nó được định cấu hình trong cả máy khách và AP. AP giải mã challenge, sử dụng một CRC để kiểm tra tính toàn vẹn của nó. Nếu các khung mật mã hóa trùng với challenge gốc, trạm được nhận thực. Tùy chọn, “cái bắt tay” challenge/response được lặp lại trong sự định hướng ngược nhau (opposite direction ) cho nhận thực nhân công. Hình 3-6 minh họa quá trình nhận thực khóa dùng chung. Hình 3-6 Nhận thực khoá dùng chung trong 802.11 Một kẻ tấn công bắt giữ các khung này xử lý tất cả các yêu cầu để nhận được luồng khoá RC4 và đáp ứng bằng một bản tin chưa mã hoá Challenge, bản tin đã mã hoá, và IV trong tương lai. Bây giờ, kẻ tấn công có thể giả làm một khách hàng hợp pháp trên mạng WLAN. Bởi vì các khoá được dùng chung với toàn bộ những người sử dụng, không có cơ chế sẵn có cho nhận thực người sử dụng riêng lẻ và phần cứng. Nếu các khoá bị lọt ra ngoài khoặc bị crack, những người biết được khoá có thể sử dụng hệ thống. WEP cũng không có cơ chế cho người sử dụng hoặc phần cứng để nhận thực AP. Lọc địa chỉ MAC đôi khi được sử dụng để điều khiển truy nhập tài nguyên. Tuy nhiên, lọc địa chỉ MAC là không thích hợp cho nhận thực người sử dụng. Khá đơn giản để rò ra địa chỉ MAC hợp lệ ngoài không khí và thay đổi địa chỉ MAC của Card khách để giả mạo một người sử dụng hợp pháp. Khi một ai đó có được quyền truy nhập mạng, tất cả các máy tính trên mạng có thể bị truy nhập bởi vì WEP và 802.11 không cung cấp các cơ chế điều khiển truy nhập để giới hạn các tài nguyên có thể bị truy nhập. Trong một ngôi nhà, hoặc môi trường doanh nghiệp nhỏ, điều này không được đảm bảo. Tuy nhiên, trong một môi trường lớn, nó là một điều quan trọng cần thực hiện điều khiển truy nhập tài nguyên dựa trên các chính sách truy nhập. Các mục sau sẽ cung cấp các ví dụ về sự giả mạo. Tấn công trung gian: Để thực hiện một tấn công trung gian, hai host phải tin chắc rằng máy tính ở giữa là một host khác. Phiên bản cũ của tấn công này xảy ra khi một người nào đó thu các gói tin từ mạng rồi sửa đổi chúng, sau đó đưa chúng trở lại mạng. Sự giả mạo: Sự giả mạo là hoạt động giả mạo thành một ai đó hoặc một cái gì đó mà người sử dụng không biết, giống như việc sử dụng ID của một cá nhân và mật khẩu. Sự giả mạo Dịch vụ tên miền (DNS) được hoàn thành bằng cách gửi một đáp ứng DNS tới một sever DNS trên mạng. Giả mạo địa chỉ IP tin cậy vào việc hầu hết các router chỉ xem xét địa chỉ IP đích, không xem xét địa chỉ gửi. Việc xác nhận tính hợp lệ các địa chỉ IP gửi có thể ngăn chặn loại giả mạo này. Tấn công gián điệp : Hoạt động định cấu hình một thiết bị để giành quyền truy nhập mạng hoặc chèn các thiết bị trái phép vào trong mạng cốt để mà giành quyền truy nhập mạng được gọi là một tấn công gián điệp. Bằng cách cài đặt các Card mạng vô tuyến trong vùng phụ cận mạng đích, một thiết bị có thể được định cấu hình để giành quyền truy nhập. Các AP trái phép có thể được thử cài đặt để làm cho người sử dụng kết nối tới AP của các Hacker đúng hơn là phải kết nối tới AP mạng mong đợi. Nếu các AP này được cài đặt đằng sau tường lửa, nguy hiểm các tấn công lớn hơn rất nhiều. Tấn công cưỡng bức : Còn được gọi là phá mật khẩu hay tấn công lần lượt , loại tấn công này sử dụng một từ điển và thực hiện thử lặp đi lặp lại để kiểm tra các mật khẩu để giành quyền truy nhập mạng. Loại tấn công này là có thể thực hiện được thậm chí nếu nhận thực mật khẩu được thực hiện. 3.3.2.4 Sửa đổi Sửa đổi là loại tấn công chủ động vào độ tin cậy, ở đây một thực thể đột nhập thay đổi thông tin đã được gửi từ một thực thể nguồn tới một thực thể đích (Hình 3-7). Việc chèn một chương trình Trojan Horse (một chương trình máy tính xuất hiện để thực hiện một chức năng có ích, nhưng đồng thời có chứa các mật mã hoặc các lệnh ẩn gây hỏng đối với hệ thống đang chạy nó) hoặc viurs là một ví dụ của tấn công sửa đổi Hình 3-7 : Tấn công sửa đổi trong một mạng 802.11 WEP là trống trải cho một tấn công modification mà không bị phát hiện bởi vì IV được tăng một trị số và CRC là hàm tuyến tính mà nó chỉ sử dụng các phép cộng và phép nhân. Vì vậy biểu thức sau đây là đúng . (3.1) Với việc kiểm tra tính toàn vẹn CRC-32, nó có khả năng thay đổi một hay nhiều bit trong bản tin gốc chưa mã hoá và dự đoán các bit trong kiểm tra tổng cần để thay đổi bản tin để duy trì tính hợp lệ của nó. Điều này nghĩa là nó có khả năng lấy bản tin từ thực thể nguồn và sửa đổi và chèn lại chúng trong một luồng dữ liệu không bị phát hiện. Bảo mật 802.11 cơ sở không bảo đảm tính toàn vẹn bản tin. WEP hoặc các mật mã thay thế nó cần có một kiểm tra tính toàn vẹn đảm bảo. Các mục sau sẽ cung cấp các ví dụ về tấn công sửa đổi. Mất thiết bị : Mất một Latop hoặc một phần thiết bị khác đưa ra một vấn đề là dữ liệu được lưu trữ trong thiết bị. Rất có khả năng một cá nhân sẽ truy nhập vào trong mạng hữu tuyến dựa trên các thiết bị đánh cắp và các mật khẩu lưu trữ, và giả mạo một người sử dụng hợp pháp. Kịch bản này có thể xảy ra với các mạng hữu tuyến hiện tại và không phụ thuộc vào việc có được truy nhập WLAN hay không. Mất thiết bị đã được trang bị truy nhập vô tuyến chắc chắn mang cùng các nguy hiểm tương tự hữu tuyến. Nhiễm vi rút : Nhiễm virus là một vấn đề ảnh hưởng cho cả mạng hữu tuyến và mạng vô tuyến. Đến bây giờ, vẫn không có báo cáo tường mình về ảnh hưởng của virus lên các điện thoại tổ ong; tuy nhiên, đã có các virus có khả năng tồn tại trong các bản tin gửi tới các điện thoại tổ ong. Hai trong số này là VBS/Timo-A và the LoveBug. 3.3.2.5 Phúc đáp Phúc đáp là loại tấn công chủ động vào tính toàn vẹn, ở đây một nhóm đột nhập gửi lại thông tin mà đã được gửi từ một thực thể nguồn tới thực thể đích (Hình 3-8). Hình 3-8 : Tấn công Phúc đáp trên một mạng Bảo mật 802.11 cơ bản không có sự bảo vệ chống lại Phúc đáp. Nó không bao gồm các mã số dãy hoặc các Tem thời gian. Bởi vì các IV và các khoá có thể được dùng lại, do đó có thể phát lại các bản tin đã lưu trữ với cùng IV mà không bị phát hiện để chèn các bản tin không thật vào trong hệ thống. Các gói tin riêng lẻ phải được nhận thực, không mật mã hoá. Các gói tin phải có các mã số dãy hoặc các Tem thời gian. Các mục sau mô tả một số ví dụ và các tấn công Phúc đáp. Tái định hướng dòng lưu lượng: Một trạm tấn công có thể đầu độc các bảng giao thức giải pháp địa chỉ (ARP) trong các chuyển mạch trên mạng hữu tuyến qua AP, nguyên nhân là các gói tin cho một trạm hữu tuyến được định tuyến tới trạm tấn công. Kẻ tấn công có thể bắt giữ thụ động các gói tin này trước khi chuyển tiếp chúng tới hệ thống hữu tuyến tấn công hoặc thử một tấn công trung gian. Trong một tấn công, toàn bộ các hệ thống dễ bị ảnh hưởng có thể ở trên mạng hữu tuyến. Xâm lấn và đánh cắp tài nguyên : Một kẻ tấn công đã nắm được các điều khiển WLAN, có thể giành được quyền cho phép vào mạng, hoặc đánh cắp một quyền truy nhập trạm hợp lệ. Việc đánh cắp quyền truy nhập của trạm là đơn giản nếu kẻ tấn công có thể bắt chước các địa chỉ MAC trạm hợp lệ và sử dụng các điạ chỉ IP gán cho nó. Kẻ tấn công đợi đến khi hệ thông hợp lệ ngừng sử dụng mạng và sau đó thực hiện thao tác các điểm của nó trong mạng. Điều này cho phép một attacker truy nhập trực tiếp tất cả các thiết bị trong một mạng hoặc sử dụng mạng để giành truy nhập tới Internet mở rộng. 3.3.2.6 Sự phản ứng Sự phản ứng là một tấn công chủ động, ở đây các gói tin được gửi bởi một kẻ đột nhập tới đích (Hình 3-9). Kẻ đột nhập kiểm tra sự phản ứng. Thông tin bổ sung có thể được tìm thấy từ kênh bên cạnh này. Hình 3-9 : Ví dụ về tấn công phản ứng 3.3.2.7 Ngắt Ngắt là một tấn công chủ động vào tính sẵn sàng, ở đây một thực thể đột nhập chặn thông tin gửi từ một thực thể gốc tới một thực thể đích (Hình 3-10). Hình 3-10 : Một ví dụ về Ngắt Kẻ đột nhập có thể cố gắng làm cạn kiệt băng thông mạng bằng việc làm lụt ARP, phát quảng bá, làm lụt SYN giao thức điều khiển truyền dẫn (TCP), lụt hàng đợi, và sử dụng các phương thức làm ngập lụt khác… kẻ đột nhập cũng có thể sử dụng một số cơ chế vật lý như là nhiễu RF (Radio Frequency ) để ngắt thành công một mạng. Một dạng tương tự với tấn công là sự làm giảm giá trị của dịch vụ, ở đây dịch vụ hoàn toàn không bị chặn, nhưng chất lượng dịch (QoS) bị giảm đi. Các tấn công phủ nhận dịch vụ (DoS) : Các tấn công DoS không cho phép một Hacker giành quyền truy nhập mạng, đúng hơn, về cơ bản chúng làm các hệ thống máy tính khó có thể truy nhập bằng cách làm quá tải các server hoặc mạng bằng việc sử dụng lưu lượng hợp lệ, vì vậy người sử dụng có thể không truy nhập được các tài nguyên. Mục đích là để ngăn chặn mạng tách khỏi việc cung cấp các dịch vụ tới tất cả mọi người. Thông thường, điều này được hoàn thành bằng cách làm quá tải một tài nguyên. Sự quá tải là nguyên nhân làm Host trở lên không dùng được. Nhiều loại tấn công này tồn tại tuỳ thuộc vào loại tài nguyên bị chặn (không gian đĩa, băng thông, bộ nhớ trong, và các bộ đệm). Trong trường hợp đơn giản nhất, đóng dịch vụ khi nó là không cần thiết để thực hiện ngăn chặn loại tấn công này. Trong các trường hợp khác, chúng không thể dễ dàng bị chặn mà không có sự hạn chế sử dụng một tài nguyên cần thiết. Trong một mạng vô tuyến, bởi vì sóng không gian được dùng chung cho các thiết bị khác nhau như là các điện thoại cordless, các lò vi sóng, và các bộ kiểm tra nhỏ, một attacker với một thiết bị thích hợp có thể làm ngập lụt các sóng vô tuyến bằng tạp âm và phá vỡ dịch vụ mạng. Các mạng giả mạo và tái dịnh hướng trạm: Một mạng 802.11 vô tuyến rất dễ bị ảnh hưởng bởi một tấn công AP giả mạo. Một AP giả mạo được sở hữu bởi một attacker xác nhận kết nối mạng và sau đó chặn lưu lượng và có thể cũng thực hiện các tấn công man-in-the-middle trước khi lưu lượng được phép truyền trên mạng. Mục đích chính của một mạng giả mạo là loại bỏ lưu lượng hợp lệ ra khỏi WLAN lên trên một mạng hữu tuyến để tấn công và sau đó chèn lại lưu lượng vào trong mạng hợp pháp. Như vậy các AP giả mạo có thể được triển khai dễ dàng trong khác khu vực công cộng. 3.3.2.8 Sự phủ nhận Sự phủ nhận là một tấn công chủ động đến thuộc tính không được phủ nhận được yêu cầu bởi nguồn hay đích, nghĩa là thực thể nguồn phủ nhận việc gửi một bản tin hoặc thực thể đích phủ nhận việc nhận bản tin. (Hình 3-11) Hình 3-11 : Một ví dụ về phủ nhận Bảo mật 802.11 cơ sở không có thuộc tính không được phủ nhận. Nếu không có thuộc tính không được phủ nhận , thì thực thể nguồn có thể liên tục phủ nhận việc gửi bản tin và thực thể đích có thể liên tục phủ nhận việc nhận bản tin. 3.4 Kiến trúc mạng 3.4.1 Kiến trúc mạng điển hình với WLAN thêm vào Mạng LAN cần được bảo vệ từ những người sử dụng trên các AP vô tuyến. Hình 3-12 biểu diễn một nhóm kiến trúc hạ tầng mạng. Internet kết nối tới một router trên WAN biên. Trên LAN biên của router, người sử dụng có thể tuỳ chọn kết nối một server vùng không tranh chấp (DMZ) mà có thể truy nhập từ một tổ hợp mạng trên một LAN biên. Thông thường, chức năng tường lửa được bao gồm trong Router. Các server LAN biên và gần hơn nữa là các AP và các Laptop vô tuyến. Tuy nhiên, AP mới ngẫu nhiên tạo một đừơng để đi vào sau tường lửa thông qua liên kết không gian. Hình 3-12 : Kiến trúc WLAN 3.4.2 Kiến trúc mạng điển hình với một WLAN và tường lửa vô tuyến bổ sung Kiến trúc mạng có thể bị thay đổi bằng cách bổ sung một tường lửa nhận thực vô tuyến điều chỉnh truy nhập tới LAN bằng cách chỉ cho phép người sử dụng qua sau khi họ đã nhận thực, như biểu diễn trên hình 3-13. Một server DMZ tuỳ chọn hoặc một cổng chặn giữ có thể tồn tại trên WLAN biên của mạng. Tường lửa nhận thực vô tuyến tách rời WLAN khỏi LAN, vì thế sự bảo vệ các mạng tránh bị truy nhập qua thiết bị vô tuyến. Trong một giao thức nhận thực có thể mở rộng (EAP) 802.11x. AP sẽ bao gồm tường lửa và một sự bổ sung sever dịch vụ người sử dụng tham gian nhận thực từ xa (RADIUS) sẽ cần được định vị trên LAN. Trong một VPN, các host LAN tạo thành điểm đầu cuối của VPN tunnel. Cả hai loại tường lửa sẽ phải cần một lỗ hổng để mạng lưu lượng VPN từ WLAN biên và WAN tới LAN. Hình 3-13 : Một tường lửa nhận thực vô tuyến bảo vệ LAN 3.5 Chính sách bảo mật - Miền các tuỳ chọn Người sử dụng cần biết những gì được bảo vệ. Đó có thể là các thiết bị như các server, router, các modem, và thông tin như là e – mail, đặc tính trí tuệ, các bí mật thương mại, danh sách khách hàng, các kế hoạch kinh doanh, và các bản ghi y học… Đôi khi thông tin phải được bảo vệ bằng luật. Từ thông tin này, một sự phân tích nguy hiểm đơn giản có thể được thực hiện để xem xét những gì đe doạ an ninh mạng (dữ liệu hoặc mạng) và mức độ của biện pháp đối phó đòi hỏi giải quyết vấn đề. Bảng 3-2 biểu diễn các mức độ khác nhau của bảo mật, cấu hình, những gì được bảo mật bởi cấu hình, và các ứng dụng như là một cấu hình có thể được sử dụng Bảng3-2 :Dải các tùy chọn bảo mật cho mạng vô tuyến Mức độ bảo mật Cấu hình Bảo đảm Ứng dụng 0 Không bảo mật Mạng ở ngoài và không cấu hình Không có gì Các dịch vụ ứng dụng không được bảo mật thông tin. Tuy nhiên nhiều người sử dụng vẫn dùng các dịch vụ mạng này. 1 Truy nhập công cộng Nhận thực người sử dụng Truy nhập mạng Thư viện, cửa hàng cafe, khách sạn, sân bay…. 2 Bảo mật giới hạn 40- or 128-bit WEP, MAC access control list (ACL), và không quảng bá Một số mạng truy nhập và bảo mật dữ liệu Home và SOHO với tính di chuyển. 3 Bảo mật cơ sở Truy nhập bảo mật Wi-Fi (WPA) (later 802.11i) Truy nhập mạng và bảo mật dữ liệu Nhà, SOHO, và các hệ thống nhỏ linh động. 4 Bảo mật cấp cao 802.1x/EAP-X và RADIUS Truy nhập mạng và bảo mật dữ liệu Các hệ thống linh động 5 Bảo mật đầu cuối – tới – đầu cuối VPNs cũng như Point-to-Point Tunneling Protocol (PPTP), PPTPv2, Layer 2 Tunneling Protocol (L2TP), Kerberos, và IP Security (IPSec) Truy nhập mạng và bảo mật dữ liệu Các ứng dụng đặ biệt, trao đổi thường mại, liên lạc… 3.5.1 Truy nhập công cộng Truy nhập công cộng giống như việc để các khoá cho mọi người đều biết và sử dụng. NoCat Auth, Sputnik, và Wayport hạn chế truy nhập tới người sử dụng công cộng bằng cách nhận thực họ. Tiến trình nhận thực họ bảo vệ mạng bởi các sự khác nhau của uỷ nhiệm truy nhập. Trong một số trường hợp, quảng cáo được trao đổi để giành quyền truy nhập hệ thống. Trong các trường hợp NoCat Auth, truy nhập có thể bị loại bỏ để tránh việc người ta lạm dụng hệ thống. Nhiều giải pháp loại này không cung cấp một cơ chế (tunnel) bảo mật cho những người sử dụng của chúng. Dữ liệu gửi trên không khí là trong điều kiện rõ ràng. Những người sử dụng phải được cung cấp sự bảo vệ của riêng mình chống lại những lỗ hổng của độ tin cậy như là sử dụng một VPN để tạo tunnel quay lại công trình mạng của họ. 3.5.2 Điều khiển truy nhập cơ bản Hiện nay, truy nhập cơ bản cũng giống như việc giấu một khoá dưới một tấm thảm. Khoá được dấu ngoài để cho những người thông minh có thể tìm thấy, nhưng mạng truy nhập và dữ liệu được truy nhập sẽ không có giá trị do sự cố ngắt mạng. Tối thiểu, người sử dụng nên kích hoạt WEP, các mật khẩu bảo vệ các thiết bị dùng chung và các tài nguyên, thay đổi tên mạng từ SSID mặc định, sử dụng lọc địa chỉ MAC, và tắt quảng bá nếu có thể. Viện công nghệ điện và điện tử (IEEE) đang làm việc để loại bỏ khoá tránh tình trạng “khóa dưới thảm” bằng hai giải pháp - cải tiến WEP tạm thời và thay thế WEP lâu dài. 3.5.3 Các phương thức bảo mật 802.11 ngoài WEP Truy nhập bảo vệ Wi-Fi (WPA): tháng 11 năm 2002, liên minh Wi – Fi thông báo tiêu chuẩn bảo mật WPA. Nó sẽ thay thế tiêu chuẩn WEP hiện tại trên thiết bị Wi – Fi. Có thể thấy trước rằng nhiều nhà cung cấp sẽ đưa ra phần sụn và phần mềm nâng cấp cho các sản phẩm Wi – Fi sẵn có để chúng làm việc với WPA. WPA sử dụng giao thức toàn vẹn khoá tạm thời (TKIP), một kỹ thuật mật mã cứng rắn hơn được sử dụng trong WEP. TKIP sử dụng khoá băm (KeyMix) và kiểm tra tính toàn vẹn bản tin phi tuyến (MIC). TKIP cũng sử dụng một giao thức rapid – rekeying (ReKey) thay đổi khoá mật mã cho khoảng 10.000 gói tin. Tuy nhiên, TKIP không loại trừ những điểm yếu cơ bản trong bảo mật Wi – Fi. Nếu một attacker tấn công TKIP, anh ta hoặc cô ta không chỉ bẻ gãy độ tin cậy, mà còn điều khiển truy nhập và nhận thực. WPA sẽ làm việc trong hai phương pháp khác nhau, tuỳ thuộc vào loại mạng. Trong nhà và các văn phòng nhỏ, công nghệ sẽ làm việc trong chế độ khoá “tiền chia sẻ”. Những người sử dụng nhập khoá mạng để giành quyền truy nhập. Trong chế độ quản lý, nó sẽ làm việc với các AS và sẽ yêu cầu sự hỗ trợ của 802.1x và EAP.802.1x và EAP cho phép một bộ thích ứng mạng khách đàm phán qua một AP với một back – end AS sử dụng các giao dịch mật mã an toàn để trao đổi các khoá phiên. WPA bao gồm nhiều phần của 802.11. Tuy nhiên, một số các phần tử khoá không được bao gồm trong đó như là sự hỗ trợ cho một thuật toán mật mã mới gọi là tiêu chuẩn mật mã hoá cấp cao (AES), tiêu chuẩn này sẽ thay thế thuật toán mật mã RC4 cơ sở khi 802.11i trở nên phổ biến. 3.5.4 802.11 Phương pháp bảo mật ngoài WPA WPA khi trở nên phổ biến, sẽ là một bước chuyển tiếp tốt bảo mật một nhà hoặc một SOHO WLAN. Tuy nhiên, cho một hệ thống lớn, 802.1x/EAP và VPN là vẫn có thể phát triển và tồn tại được . 3.5.5 802.1x và EAP—bảo mật cấp cao 802.11x cung cấp một Framework nhận thực cho các WLAN, cho phép một người sử dụng được nhận thực bởi một trung tâm nhận thực. Thuật toán thực tế được sử dụng để xác định một người sử dụng là đúng hoặc sai và có thể ghép nhiều thuật toán với nhau. 802.11x sử dụng EAP, một giao thực sẵn có làm việc trên Ethernet, Token Ring, hoặc các WLAN cho việc trao đổi bản tin trong thời gian tiến trình nhận thực. 3.5.6 Nhận thực cổng mạng 802.1x : Nhận thực 802.1 x cho các WLAN có ba thành phần chính : Supplicant (thường là các phần mềm máy khách), bộ nhận thực (AP), và AS (thông thường là một server RADIUS). Các bộ nhận thực kết nối tới mạng LA. Hình 3-14 minh họa tiến trình này. Hình 3-14 : Nhận thực 802.1x Dạng thông thường cho một nhân thực 802.11x như sau : Supplicant (trong máy khách ) thử kết nối tới AP bằng cách gửi một bản tin bắt đầu. AP tìm ra Supplicant và làm cho các cổng supplicant trong trạng thái không được phép, vì vậy chỉ các bản tin 802.1x/EAP được chuyển tiếp. Tất cả các lưu lượng khác bị chặn. Supplicant sau đó gửi một bản tin EAP khởi động. AP tin tưởng vào một bản tin toàn vẹn EAP - Yêu cầu để giành được nhận dạng Supplicant. Gói tin EAP – Trả lời của máy khách bao gồm nhận dạng Supplicant để chuyển tiếp tới AS. AS nhận thực Supplicant và các trả lời khác bằng cách chấp nhận hoặc loại bỏ Supplicant. 3.5.7 Giao thức nhận thực mở rộng (EAP) 3.5.7.1 Giới thiệu Để thiết lập liên lạc trên một liên kết Point – to – Point, mỗi đầu cuối của của liên kết PPP đầu tiên phải gửi các gói tin LCP để định cấu hình liên kết dữ liệu trong thời gian thiết lập liên kết. Sau khi các kết nối đã thiết lập, PPP cung cấp một giai đoạn nhận thực tùy chọn trước khi đi đến giai đoạn giao thức tầng mạng. Mặc định rằng, nhận thực là khôngbắt buộc. Nếu nhận thực của liên kết được mong muốn, một thực thi phải chỉ rõ tùy chọn cấu hình giao thức nhận thực trong thời gian Phase thiết lập liên kết. Các giao thức nhận thực này được chỉ định cho sử dụng đầu tiên bởi các Host và các router kết nối tới một server mạng PPP qua các chuyển mạch hoặc các đường dial – up, nhưng có thể được chấp nhận để xác định các kết nối. Server có thể sử dụng sự nhận dạng của kết nối host hoặc router trong sự lựa chọn các tùy chọn cho tầng mạng. 3.5.7.2. Giao thức nhận thực có thể mở rộng điểm tới điểm (EAP) Giao thức nhận thực có thể mở rộng (EAP) là một giao thức bảo mật tầng giao vận của mô hình OSI, nói chung là một giao thức cho nhận thực PPP hỗ trợ nhiều kĩ thuật nhận thực. EAP không lựa chọn một cơ chế nhận thực cụ thể tại Giai đoạn điều khiển liên kết (Link Control Phase), đúng hơn là nó trì hoãn điều này cho đến giai đoạn nhận thực. Điều này cho phép bộ nhận thực yêu cầu thêm thông tin trước khi xác định cơ chế nhận thực rõ ràng. Điều này cũng chấp nhận sự sử dụng một server “back - end” thi hành nhiều cơ chế khác nhau trong khi server PPP chỉ đơn thuần đi qua tổng đài nhận thực. Sau khi giai đoạn thiết lập kết nối được hoàn thành, bộ nhận thực gửi một hoặc nhiều Request để nhận thực điểm. Request có một trường Type để xác định những gì đang được yêu cầu. Ví dụ về các loại Request bao gồm Identity, MD5-challenge, One-Time Passwords, Generic Thẻ bài Card… Thông thường, bộ nhận thực sẽ gửi một Indentity Request theo sau bởi một hoặc nhiều Request cho thông tin nhận thực. Tuy nhiên, một Indentity Request không được yêu cầu, và có thể bỏ qua trong các trường hợp Indentity là đoán được. Điểm (Peer) gửi một gói tin Response trong trường Reply cho mỗi Request. Cũng như gói tin Request, gói tin Respone bao gồm một trường Type tương ứng với trường Type của Request. Bộ nhận thực chấm dứt giai đoạn nhận thực với một gói tin thành công hoặc thất bại (Succes or Failure packet). Ưu điểm Giao thức EAP có thể hỗ trợ nhiều cơ chế nhận thực không phải thực hiện giai đoạn tiền đàm phán một cách riêng biệt trong giai đoạn LCP. Các thiết bị không cần thiết phải hiểu mỗi loại Request và cũng có thể đơn giản các hoạt động như một tác nhân passthrough cho một server “back - end” trên một host. Thiết bị chỉ cần xem mã thành công/ thất bại để kết thúc giai đoạn nhận thực. Các nhược điểm EAP thực hiện yêu cầu bổ sung một loại nhận thực mới cho LCP và vì thế các thực thi PPP sẽ cần thiết phải được sử đổi để sử dụng nó. Nó cũng đi lạc khỏi mô hình nhận thực PPP trước đó của một cơ chế nhận thực rõ ràng trong thời gian LCP. 3.5.7.3 Cấu hình khuôn dạng tùy chọn Cấu hình khuôn dạng tổng quát tùy chọn như sau: Hình 3-15 : Khuông dạng tổng quát gói tin Type 3 Length 4 3.5.7.4 Khuôn dạng gói tin Chính xác một gói tin PP EAP được đóng gói trong trường thông tin của một khung PPP tầng liên kết dữ liệu ở đây trường giao thức chỉ rõ loại Hex C227 (PPP EAP). Dạng tổng quát của khuôn dạng gói tin EAP được biểu diễn như sau. Các trường được phát từ trái qua phải. Hình 3-15 : Khuôn dạng gói tin Code Trường code là một Octet và nhận dạng loại gói tin EAP. Các mã EAP được gán như sau : 1 Request 2 Response 3 Success 4 Failure Identifier :Trường Identifier gồm một octet. Length : Trường Length gồm hai octet và chỉ rõ chiều dài của các gói tin EAP bao gồm Code, identifier, Length và Data. Các octet bên ngoài phạm vi của trường Length có thể coi là đệm tầng liên kết dữ liệu và không cần để ý khi tiếp nhận. Data : Trường Data gồm 0 hoặc nhiều octet. Khuôn dạng trường dữ liệu được quyết định bởi trường Code. Request and Response : Gói tin Request được gửi bởi bộ nhận thực tới Peer. Mỗi Request có một loại trường phục vụ việc xác định những gì đang được yêu cầu. Bộ nhận thực phải phát một gói tin EAP với tập trường mã tới 1 ( Request). Các gói tin Request bổ sung được gửi cho đến khi một gói tin Response hợp lệ được nhận. Các Request phát lại phải được gửi với cùng giá trị nhận dạng để mà phân biệt được chúng với các Request mới. Các nội dung của trường dữ liệu là phụ thuộc loại Request. Peer phải gửi một gói tin Request trả lời gói tin Request. Lưu ý : Bởi vì tiến trình nhận thực sẽ thường bao gồm đầu vào người sử dụng. Dạng tổng quát của gói tin Request và Respone được biểu diễn như sau. Các trường được phát từ trái qua phải Hình 3-16 : Gói tin Request và Respone Code 1 cho Request; 2 cho Response. Identifier Trường Identifier gồm một octet. Trường Identifier phải giống nhau nếu một gói tin Request được phát lại trong thời gian timeout trong khi đang chờ một Response. Bất kỳ các Request mới nào cũng phải sửa đổi trường Identifier. Nếu một Peer nhận một bản sao Request khi nó đã gửi một Response, nó phải gửi lại một Respone. Nếu một Peer nhận một bản sao Request trước khi nó đã gửi một Response tới Request đầu tiên, nó sẽ lặng lẽ loại bỏ bản sao Request. Length Trường Length gồm hai octet và chỉ rõ chiều dài của gói tin EAP bao gồm Code, Indentifier, Length, Type, và Type – Data. Các octet ngoài phạm vi của trường Length có thể coi là phần đệm tầng liên kết dữ liệu và không cần quan tâm tới khi nhận. Type Trường Type gồm một octet. Trường này chỉ rõ loại Request và Response. Chỉ một Type phải được xác định rõ trên Request hoặc Respone EAP. Thông thường, trường Type của Response giống trường Type của Request. Tuy nhiên, cũng có một Nak Response Type cho việc xác định rằng một Request Type không được chấp nhận tới một điểm. Khi gửi một Nak trong một Respone tới một Request, Peer có thể xác định rõ một Type nhận thực luân phiên. Type-Data Trường Type – data thay đổi cùng với Type của Request và Response. Thành công và thất bại Các gói tin thành công được gửi bởi bộ nhận thực tới điểm để xác nhận nhận thực thành công. Bộ nhận thực phải phát một gói tin EAP với trường code thiết lập 3 (Success). Nếu bộ nhận thực không thể nhận thực điểm khi ấy sự thực thi phải phát mọt gói tin EAP với trường mã thiết lập bằng 4 (thất bại). Một bộ nhận thực có thể muốn phát ra nhiều Request trước khi gửi một trả lời Failure để mà cho phép người ta gõ sửa lỗi. Dạng tổng quan của khuôn dạng gói tin Success và Failure được biểu diễn như sau. Các trường được phát từ trái qua phải : Hình 3-17 : Các trường gói tin Code 3 cho Success; 4 cho Failure. Identifier Trường Identifier gồm một octet. Trường Identifier phải trùng với trường Identifier của gói tin Response. Length : 4 octet 3.5.7.5 Các loại Request /Response EAP ban đầu Trường Type gồm một Octet và các nhận dạng cấu trúc của gói tin Request hoặc Respone EAP. 3 Type đầu tiên được dành cho các Type đặc biệt. Các Type còn lại định nghĩa các trao đổi nhận thực. Nak Type là hợp lệ chỉ đối với các gói tin Respone, nó không được gửi trong một Request. Nak Type chỉ được gửi trong việc trả lời tới một Request sử dụng một mã Type nhận thực. Tất cả các thực thi EAP phải hỗ trợ các Type 1 – 4. Các Type này, cũng như các Type 5 và 6. 1 Nhận dạng 2 Khai báo 3 Nak (Response only) 4 MD5-Challenge 5 Mật khẩu một lần (OTP) 6 Generic Token Card Nhận dạng Trường Indentity được sử dụng để truy vấn nhận dạng điểm. Nói chung, bộ nhận thực sẽ đưa ra điều này cũng như Request ban đầu. Có thể bao gồm Một bản tin có thể hiển thị tùy chọn để nhắc Peer trong trường hợp mong muốn tương tác với người sử dụng. Một Respone phải được gửi tới Request này với một Type1 (Nhận dạng). Type : 1 octet Type-Data : Trường này có thể bao gồm một bản tin có thể hiển thị Request. Respone sử dụng trường này để trả về Indetity. Nếu Identity là không được biết, trường này sẽ nhận các byte toàn 0. Trường không được kết thúc bằng Null. Chiều dài của trường xuất phát từ trường Length của gói tin Request/Response và vì thể một Null không được yêu cầu. Khai báo (Notification) Notification Type được sử dụng tùy ý để truyển một bản tin có thể hiển thị từ một bộ nhận thực tới Peer. Peer nên hiển thị bản tin này tới người sử dụng hoặc bản ghi nó nếu nó không thể được hiển thị. Nó được dự định để cung cấp một thông báo xác nhận của một số tình trạng khẩn cấp. Type : 2 octet Type-Data : Trường Type-Data trong Request bao gồm một bản tin có thể hiển thị. Độ dài của bản tin được xác định bởi trường Length của gói tin Request. Bản tin phải không được kết cuối bằng Null. Một Respone phải được gửi trong sự trả lời tới Request với một trường Type của 2 (Notification). Response nên được gửi ngay lập tức. Nak Type-Data là hợp lệ chỉ trong bản tin Response. Nó được gửi trong trả lời tới một Request ở dây Type nhận thực là không thể được chấp nhận. Các Type nhận thực được đánh số 4. Type : 3octet Type-Data : Trường này phải bao gồm một octet đơn xác định loại nhận thực mong muốn. KẾT LUẬN Đồ án “bảo mật trong WLAN ” về cơ bản đã được hoàn thành với những nội dung sau Chương I của đồ án đã thực hiện nghiên cứu tổng quan về mô hình mạng WLAN trên cơ sở nghiên cứu hai tầng vật lý PHY và MAC. Nội dung của chương đã nêu cấu hình mạng WLAN, các khái niệm, các dịch vụ được cung cấp trong các tầng, chức năng của các phân lớp trong mỗi tầng, quá trình thực hiện truyền dữ liệu trong WLAN. Giới thiệu về một số tầng vật lý phổ biến sử dụng trong WLAN. Chương II của đồ án đi vào nghiên cứu tổng quan về bảo mật cho mạng và Internet. Thực hiện phân tích những nguy hiểm thường gặp ảnh hưởng tới an ninh mạng. Nghiên cứu những chính sách bảo mật hữu hiệu, các cơ chế và dịch vụ bảo mật, bảo mật môi trường vật lý, nhận dạng và nhận thực mạng, tường lửa … Chương III nghiên cứu bảo mật trong mạng WLAN. Phân tích các nguy hiểm thường xảy ra cho mạng WLAN. Đi vào tìm hiểu và phân tích các giao thức WEP và EAP, các cơ chế nhận dạng và nhận thực là cơ sở cho bảo mật WLAN. Tuy nhiên, do sự hạn chế về kiến thức đồ án của em vẫn còn nhiều thiếu sót, em rất mong được sự đóng gớp ý kiến của quí thầy, cô và các ban. Em xin gửi lời cảm ơn chân thành tới thầy giáo Ths. Nguyễn Việt Hùng đã nhiệt tình hướng dẫn tạo mọi điều kiện giúp đỡ em trong quá trình thực hiện đề tài! TÀI LIỆU THAM KHẢO [1] McGraw-Hill, Wi-Fi Handbook: Building 802.11b Wireless Networks [2] S.K.PARMAR, Computer, network and nework systems security 2003 [3] Man Young Rhee, Wiley internet – security 2003 [4] International Standard ISO/IEC 8802-11: 1999(E) ANSI/IEEE Std 802.11, 1999 Edition (R2003), Information technology-Telecommunications and information exchange between systems - Local and metropolitan area networks- Specific requirements. [5] Vũ Trí Trung, Đồ án tốt nghiệp đại học 2004 – các tiêu chuẩn WLAN và ứng dụng.