Nghiên cứu vấn đề an toàn mạng cục bộ không dây

Mục lục Chương 1: mạNG CụC Bộ KHÔNG DâY wlan – NHữNG VấN Đề TổNG QUAN. 11 1.1. Tổng quan mạng cục bộ không dây WLAN họ 802.11 11 1.1.1. Kiến trúc mạng WLAN. 1.1.2. Các thành phần WLAN. 1.1.3. Phạm vi phủ sóng. 1.1.4. Băng tần sử dụng. 1.1.4.1. Băng tần ISM. 1.1.4.2. Băng tần UNII. 1.1.5. Các chuẩn chính trong họ 802.11 22 1.1.5.1. Chuẩn 802.11. 22 1.1.5.2. Chuẩn 802.11b. 22 1.1.5.3. Chuẩn 802.11a. 22 1.1.5.4. Chuẩn 802.11g 23 1.1.5.5. Chuẩn 802.11e 23 1.2. Cơ chế truy nhập môi tr-ờng tầng MAC 802.11. 23 1.2.1. Ph-ơng pháp truy nhập cơ sở – chức năng phối hợp phân tán DCF. 25 1.2.2. Ph-ơng pháp điểu khiển truy nhập môi tr-ờng: chức năng phối hợp điểm PCF. 28 3 1.2.3. Ph-ơng pháp điều khiển truy nhập môi tr-ờng: chức năng phối hợp lai HCF. 28 1.3. Các kỹ thuật tầng vật lý 802.11. 30 1.3.1. Trải phổ chuỗi trực tiếp DSSS 31 1.3.2. Đa phân chia tần số trực giao OFDM. 31 Chương 2: An toàn mạng WLAN – Nguy cơ và giải pháp. 33 2.1. Những cơ chế an toàn mạng WLAN. 33 2.1.1. Độ tin cậy. 35 2.1.2. Tính toàn vẹn. 36 2.1.3. Xác thực. 37 2.1.3.1. Xác thực mở và những lỗ hổng. 37 2.1.3.2. Xác thực khoá chia sẻ và những lỗ hổng. 38 2.1.3.3. Xác thực địa chỉ MAC và những lỗ hổng. 39 2.1.4. Tính sẵn sàng. 39 2.1.5. Điều khiển truy cập. 40 2.1.6. Mã hoá/Giải mã. 40 2.1.7. Quản lý khoá. 40 2.2. Những mối đe dọa an toàn WLAN và những lổ hổng an toàn. 41 2.2.1. Tấn công thụ động. 43 2.2.2. Tấn công chủ động. 47 2.3. Các biện pháp đảm bảo an toàn WLAN. 59 2.3.1. Các biện pháp quản lý. 59 4 2.3.2. Các biện pháp vận hành. 60 2.3.3. Các biện pháp kỹ thuật. 62 2.3.3.1. Các giải pháp phần mềm. 62 2.3.3.2. Các giải pháp phần cứng. 76 2.2.4. Những chuẩn và những công nghệ an toàn WLAN tiên tiến hiện nay. 78 Chương 3: Một số biện pháp an toàn WLAN thông dụng. 81 3.1. Đánh giá chung về các biện pháp an toàn WLAN. 81 3.2. Biện pháp an toàn WEP. 84 3.2.1. Cơ chế an toàn WEP. 84 3.2.2. ICV giá trị kiểm tra tính toàn vẹn. 88 3.2.3. Tại sao WEP đ-ợc lựa chọn. 89 3.2.4. Khoá WEP. 90 3.2.5. Máy chủ quản lý khoá mã tập trung. 92 3.2.6. Cách sử dụng WEP. 93 3.3. Lọc. 94 3.3.1. Lọc SSID. 94 3.3.2. Lọc địa chỉ MAC. 96 3.3.3. Lọc giao thức. 98 3.4. Bảo vệ WLAN với xác thực và mã hoá dữ liệu 802.1x. 99 3.4.1. Xác thực và cấp quyền mạng. 99 3.4.1.1. EAP TLS. 101 3.4.1.2. PEAP. 101 5 3.4.1.3. TTLS. 101 3.4.1.4. LEAP. 101 3.4.2. Bảo vệ dữ liệu WLAN. 102 3.4.3. -u điểm của 802.1x với bảo vệ dữ liệu WLAN. 103 3.5. WPA và 802.11i 104 3.5.1. Mã hoá TKIP trong WPA. 104 3.5.2. Xác thực trong WPA. 106 3.5.3. Quản lý khoá trong WPA. 108 3.5.4. Đánh giá chung về giải pháp WPA. 109 3.5.5. WPA2. 112 3.6. Mạng riêng ảo VPN cho WLAN. 113 3.6.1. Những -u điểm sử dụng VPN trong bảo vệ WLAN. 117 3.6.2. Nh-ợc điểm sử dụng VPN trong WLAN. 118 Chương 4: Triển khai WLAN an toàn trong môi tr-ờng giáo dục. 121 4.1. Vai trò tiềm năng của WLAN trong giáo dục. 121 4.2. Lựa chọn giải pháp an toàn WLAN cho khu tr-ờng học. 122 4.3. Đề xuất thực thi WLAN an toàn tại tr-ờng kỹ thuật nghiệp vụ công an. 124 Kết luận 126 Phụ lục ch-ơng trình mã hoá/giảI mã file. 127 Tài liệu tham khảo 138

pdf141 trang | Chia sẻ: banmai | Lượt xem: 2041 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Nghiên cứu vấn đề an toàn mạng cục bộ không dây, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ho¸ m· ho¸ míi. §iÒu nµy cho phÐp thuËt to¸n m· ho¸ WEP (®−îc thÊy trong hÇu hÕt nh÷ng phÇn cøng WLAN hiÖn nay) ®−îc sö dông theo mét c¸ch an toµn h¬n nhiÒu. 3.4.3. −u ®iÓm cña 802.1x víi b¶o vÖ d÷ liÖu WLAN Lîi Ých chÝnh cña gi¶i ph¸p 802.1x: - An toµn cao: nã lµ mét s¬ ®å x¸c thùc an toµn cao bëi v× nã cã thÓ sö dông nh÷ng x¸c minh client hay nh÷ng mËt khÈu vµ tªn ng−êi sö dông. - M· ho¸ m¹nh h¬n: nã cho phÐp m· ho¸ t¨ng c−êng d÷ liÖu m¹ng. - Trong suèt: nã cung cÊp x¸c thùc vµ kÕt nèi trong suèt tíi WLAN. - X¸c thùc ng−êi sö dông vµ m¸y tÝnh: nã cho phÐp x¸c thùc t¸ch biÖt ng−êi sö dông vµ m¸y tÝnh. X¸c thùc t¸ch biÖt m¸y tÝnh cho phÐp m¸y tÝnh ®−îc qu¶n lý thËm chÝ khi kh«ng cã ng−êi sö dông nµo ®¨ng nhËp vµo. - Chi phÝ thÊp: chi phÝ cho phÇn cøng m¹ng thÊp. - HiÖu n¨ng cao: do m· ho¸ ®−îc thùc hiÖn trong phÇn cøng WLAN chø kh«ng ph¶i ë CPU m¸y tÝnh client, viÖc m· ho¸ WLAN kh«ng cã t¸c ®éng nµo lªn møc ®é hiÖu n¨ng cña m¸y tÝnh client. Ngoµi nh÷ng −u ®iÓm trªn, gi¶i ph¸p an toµn 802.1x còng cã mét sè vÊn ®Ò nh−: - MÆc dï 802.1x gÇn nh− ®−îc chÊp nhËn trªn toµn cÇu, nh−ng viÖc sö dông nh÷ng ph−¬ng ph¸p EAP kh¸c nhau cã nghÜa lµ sù t−¬ng thÝch ho¹t ®éng kh«ng ph¶i lóc nµo còng ®−îc ®¶m b¶o. - WPA vÉn cßn kh¸ míi mÎ vµ cã thÓ kh«ng s½n sµng trªn nh÷ng phÇn cøng cò. 104 - RSN thÕ hÖ míi (802.1i) sÏ ®−îc phª chuÈn vµ sÏ yªu cÇu ph¸t triÓn nh÷ng cËp nhËt phÇn cøng vµ phÇn mÒm. 3.5. WPA(Wi-Fi Protect Access) vµ 802.11i Nh÷ng vÊn ®Ò an toµn trong chuÈn 802.11 vµ WEP dÉn ®Õn sù ph¸t triÓn cña chuÈn 802.11i. Vµo th¸ng 10 n¨m 2003, Wi-Fi Alliance ®· c«ng bè WPA ®Ó gi¶i quyÕt tÊt c¶ nh÷ng lç hæng ®−îc biÕt ®Õn trong WEP. §©y lµ mét gi¶i ph¸p t¹m thêi ®Ó kh¾c phôc nh÷ng lç hæng cña chuÈn 802.11 ë thêi ®iÓm ®ã. Sù thóc ®Èy ph¸t triÓn WPA tËp trung vµo nh÷ng lç hæng an toµn trong 802.11. WPA ®−îc thiÕt kÕ lµ mét gi¶i ph¸p m¹nh, kinh tÕ lµm viÖc víi phÇn cøng cò (nh÷ng s¶n phÈm 802.11), vµ t−¬ng thich víi chuÈn 802.11i. §Õn n¨m 2004, tÊt c¶ c¸c s¶n phÈm ph¶i tÝch hîp WPA sÏ ®−îc x¸c nhËn Wi-Fi. WPA thùc hiÖn nh÷ng c¶i tiÕn chÝnh ®èi víi m· ho¸, x¸c thùc, toµn vÑn d÷ liÖu, qu¶n lý kho¸, vµ bæ sung mét yÕu tè x¸c ®Þnh kh¶ n¨ng an toµn m¹ng. WPA ®−a ra mét c«ng nghÖ m· ho¸ míi, TKIP (Temporal Key Integrity Protocol) víi kiÓm tra tÝnh toµn vÑn tin MIC (Message Integrity Check), ®Ó thay thÕ WEP vµ cung cÊp tin cËy d÷ liÖu vµ toµn vÑn payload d÷ liÖu m¹ng. Wi-Fi Alliance thùc thi x¸c thùc lÉn nhau trong WPA b»ng ph−¬ng tiÖn x¸c thùc IEEE 802.1x/EAP, cung cÊp mét x¸c thùc m¹nh gi÷a mét client kh«ng d©y vµ m¸y chñ x¸c thùc th«ng qua mét AP. Ngoµi ra, WPA më ®−êng cho sö dông ph−¬ng ph¸p x¸c thùc më. Qu¶n lý kho¸, mét trong nh÷ng vÊn ®Ò lín nhÊt trong 802.11, ®· ®−îc gi¶i quyÕt vµ thùc thi trong 802.11i (vµ WPA) cung cÊp mét qu¸ tr×nh x¸c thùc t¸ch biÖt ®Ó cho phÐp ph©n phèi kho¸. YÕu tè x¸c ®Þnh an toµn m¹ng tÝch hîp nh÷ng yÕu tè th«ng tin WPA trong nh÷ng khung 802.11 (b¸o hiÖu, th¨m dß, ®¸p øng, vµ th¸ch thøc t¸i kÕt hîp) ®Ó x¸c ®Þnh m· ho¸ vµ x¸c thùc nµo lµ phï hîp cho sö dông. 3.5.1. M· ho¸ TKIP trong WPA TKIP ®−îc thiÕt kÕ ®Ó gi¶i quyÕt nh÷ng lç hæng cña WEP, kh«ng cÇn thay thÕ phÇn cøng cò. V× lý do nµy, TKIP duy tr× nh÷ng c¬ chÕ c¬ b¶n cña 105 WEP: IV, thuËt to¸n RC4, vµ ICV. Tuy nhiªn, s¬ ®å m· ho¸ RC4 ®−îc t¨ng c−êng sö dông mét kho¸ trªn mçi gãi tin 128 bÝt, vµ mét IV 48 bÝt dµi h¬n. Kh«ng gièng nh− WEP, TKIP m· ho¸ mçi gãi d÷ liÖu ®−îc göi b»ng kho¸ m· ho¸ duy nhÊt cña chÝnh nã. Nh÷ng kho¸ nµy ®−îc t¹o ra mét c¸ch tù ®éng, cung cÊp kh¶ n¨ng an toµn cao h¬n chèng l¹i nh÷ng kÎ x©m ph¹m dùa vµo viÖc dù ®o¸n tr−íc nh÷ng kho¸ tÜnh trong WEP. Ngoµi ra, WPA bao gåm mét kiÓm tra tÝnh toµn vÑn tin MIC, ®−îc gäi lµ Michael, ®Ó ng¨n chÆn biÕn ®æi tin. Cã ba giao thøc kÕt hîp víi TKIP: MIC (hay Michael), mét thuËt to¸n trén kho¸, vµ mét t¨ng c−êng IV. ThuËt to¸n ®Çu tiªn, MIC, lµ mét thuËt to¸n toµn vÑn tin mËt m· ®Ó ng¨n chÆn bÊt kú biÕn ®æi nµo tíi mét tin. Nã sö dông mét hµm b¨m thay cho tæng kiÓm tra tuyÕn tÝnh, gi¶i quyÕt nh÷ng lç hæng trong ICV. ThuËt to¸n b¨m, ®−îc gäi lµ Michael, ®−îc thiÕt kÕ ®Ó ®¶m b¶o néi dung cña gãi d÷ liÖu chØ ®−îc göi bëi nh÷ng client kh«ng d©y hîp ph¸p vµ kh«ng cã sù biÕn ®æi d÷ liÖu nµo trong suèt qu¸ tr×nh truyÒn gãi tin. Michael t¹o ra hai tõ 32 bÝt ®Ó t¹o mét b¨m 64 bÝt. Mét b¨m ®−îc tÝnh to¸n, sau ®ã ®−îc so s¸nh víi c¶ bªn nhËn/truyÒn. GÝa trÞ MIC ph¶i phï hîp víi d÷ liÖu sÏ ®−îc chÊp nhËn. NÕu kh«ng, gãi tin nµy bÞ bá qua bëi v× nã ®−îc gi¶ ®Þnh r»ng tÝnh toµn vÑn gãi tin ®· bÞ g©y h¹i, trõ phi nh÷ng biÖn ph¸p ®èi phã ®−îc thùc hiÖn. Trong tr−êng hîp nµy, tÊt c¶ nh÷ng lÇn truyÒn vµ thu nhËn gãi tin ®Òu bÞ v« hiÖu ho¸, vµ tÊt c¶ c¸c client kh«ng d©y gi¶i x¸c thùc vµ nh÷ng kÕt hîp míi bÞ dõng l¹i trong vßng 60 gi©y. Giao thøc thø hai, TKIP thay thÕ IV 24 bÝt lç hæng b»ng mét bé ®Õm chuçi TKIP TSC (TKIP Sequence Counter) 48 bÝt ®Ó gi¶i quyÕt nh÷ng vÊn ®Ò sö dông l¹i IV trong WEP. TSC lµ mét bé ®Õm 48 bÝt b¾t ®Çu b»ng 0 vµ t¨ng thªm 1 cho mçi gãi tin, cung cÊp cho bªn nhËn ph−¬ng tiÖn duy tr× dÊu vÕt cña gi¸ trÞ cao nhÊt cho mçi ®Þa chØ MAC, ®Ó ®¶m b¶o nh÷ng gãi tin ®Õn theo chuçi. Mét gãi tin bÞ bá qua nÕu nh− gi¸ trÞ TSC (gãi TKIP) Ýt h¬n hoÆc b»ng 106 víi gãi tin nã võa nhËn ®−îc, ®Ó ng¨n chÆn nh÷ng tÊn c«ng dïng l¹i. Do giao thøc ®Çu tiªn t¨ng c−êng ICV vµ MIC, mét kÎ tÊn c«ng còng bÞ ng¨n chÆn tr−íc thay ®æi TSC vµ sö dông nã ®Ó truyÒn l¹i mét gãi tin. TSC ®−îc sö dông trong thuËt to¸n gi¶i m·, vµ nÕu bÞ biÕn ®æi víi kÕt qu¶ trong ICV vµ MIC kh«ng phï hîp gãi tin nµy sÏ bÞ bá qua. Hµm TSC cho phÐp mét chuçi kho¸ kh«ng bao giê bÞ dïng l¹i víi cïng kho¸. Giao thøc nµy ng¨n chÆn mét kÎ tÊn c«ng thùc hiÖn mét tÊn c«ng dïng l¹i, ®−îc biÕt ®Õn lµ nh÷ng tÊn c«ng b¶n râ ®· biÕt vµ nh÷ng tÊn c«ng dùa trªn c¬ së tõ ®iÓn sau khi kh«i phôc mét dßng kho¸. Giao thøc thø ba, TKIP tÝch hîp mét hµm trén kho¸ ®Ó ®¶m b¶o nh÷ng kho¸ m· ho¸ thay ®æi trªn c¬ së mçi gãi tin. Nã ®−îc thiÕt kÕ ®Ó b¶o vÖ kho¸ m· ho¸ t¹m thêi TEK (Temporal Encryption Key) 128 bÝt, mét khãa c¬ së t¹m thêi ®−îc sö dông ®Ó t¹o nh÷ng kho¸ dïng duy nhÊt trªn mçi gãi tin. ThuËt to¸n trén kho¸ lµ mét phÐp to¸n hai pha. §Ó ®¬n gi¶n, TEK, ®−îc kÕt hîp víi TSC vµ mét ®Þa chØ n¬i truyÒn TA (Transmitter Address) 48 bÝt ®Ó t¹o mét kho¸ duy nhÊt trªn mçi gãi tin, mÇm WEP 128 bÝt, ®−îc sö dông víi thuËt to¸n WEP. Bé ®Õm TSC, nh− ®· nªu tr−íc ®ã, t¨ng víi mçi gãi tin, t¹o ra mÇm WEP thay ®æi víi mçi gãi tin. KÕt qu¶, TKIP t¹o ra nh÷ng kho¸ duy nhÊt mét c¸ch tù ®éng ®Ó m· ho¸ mçi gãi d÷ liÖu ®−îc truyÒn trong mét phiªn kh«ng d©y, cung cÊp xÊp xØ 280 ngh×n tØ nh÷ng kÕt hîp kho¸ cã thÓ sÏ ®−îc t¹o ra cho mçi gãi tin. 3.5.2. X¸c thùc trong WPA Trong WPA, x¸c thùc lÉn nhau ®¹t ®−îc b»ng khung 802.1x/EAP. X¸c thùc lÉn nhau gióp ®¶m b¶o chØ nh÷ng ng−êi sö dông ®−îc quyÒn míi cã thÓ truy cËp m¹ng. Nã lµ mét qu¸ tr×nh kh¼ng ®Þnh r»ng mét client kh«ng d©y ®ang x¸c thùc tíi mét m¸y chñ ®−îc quyÒn, vµ kh«ng ph¶i víi mét AP gi¶ m¹o. 107 Qóa tr×nh x¸c thùc b¾t ®Çu víi mét giao thøc hç trî EAP, client kh«ng d©y liªn l¹c víi mét AP b»ng mét yªu cÇu (kÕt hîp) sÏ ®−îc x¸c thùc. Víi ®iÒu khiÓn truy cËp cæng 802.1x, mét client kh«ng d©y kh«ng ®−îc cÊp quyÒn truy cËp tíi mét AP cho ®Õn khi nã ®−îc x¸c thùc. AP ®Èy yªu cÇu nµy tíi mét m¸y chñ x¸c thùc AS (Authentication server), ë ®ã AS yªu cÇu ng−êi sö dông ®−a ra mét mËt khÈu hîp lÖ (th«ng qua AP), vµ x¸c thùc ®¸p øng tõ ng−êi sö dông (nÕu hîp lÖ). Sau ®ã, mét AP nhËn ®−îc quyÒn tõ AS, vµ më mét cæng ®Ó chÊp nhËn d÷ liÖu tõ ng−êi sö dông. Client kh«ng d©y khi ®ã ®−îc phÐp gia nhËp WLAN. Khi ®−îc x¸c thùc, client kh«ng d©y vµ AS ®ång thêi t¹o mét PMK (Pairwise Master Key), nh− lµ mét phÇn cña qu¸ tr×nh x¸c thùc lÉn nhau. Nh÷ng kho¸ chñ nµy gièng nh− phÇn gèc rÔ cña c©y kho¸ cho ra nh÷ng kho¸ truyÒn. PMK lµ mét kho¸ chia sÎ ®−îc sö dông bëi client kh«ng d©y vµ AS ®Ó th−¬ng thuyÕt nh÷ng kho¸ truyÒn sö dông cho mét phiªn. Nã kh«ng ph¶i lµ PMK, tuy nhiªn nh÷ng kho¸ truyÒn (nh÷ng kho¸ PTK) ®−îc sö dông trong nh÷ng hµm m· ho¸ vµ b¨m. PMK kh«ng liªn quan trùc tiÕp trong viÖc t¹o nh÷ng dßng kho¸ cho m· ho¸, nã gióp ng¨n chÆn nh÷ng kho¸ yÕu. Khi kho¸ chia sÎ chñ ®−îc t¹o, AS truyÒn kho¸ nµy tíi AP th«ng qua giao thøc RADIUS. C¬ chÕ x¸c thùc chia thµnh hai lo¹i, bëi v× WPA ph¶i gi¶i quyÕt hai thÞ tr−êng rÊt kh¸c nhau: xÝ nghiÖp vµ ng−êi dïng. - ë møc xÝ nghiÖp: CÊp quyÒn, x¸c thùc vµ kiÓm ®Þnh lµ nh÷ng thµnh phÇn cÇn thiÕt ®Ó cung cÊp mét tµi nguyªn an toµn cho ng−êi sö dông møc xÝ nghiÖp. Sö dông WPA ®Ó x¸c thùc ng−êi sö dông, th−êng th«ng qua mét m¸y chñ RADIUS. Trong qu¸ tr×nh x¸c thùc, ng−êi sö dông nhËn ®−îc mét kho¸ c¸i (primary master key-PMK), kho¸ nµy sau ®ã ®−îc sö dông ®Ó thiÕt lËp thuËt to¸n m· ho¸ ®−îc sö dông bëi TKIP. Do PMK ®−îc sinh ra nh− lµ kÕt qu¶ cña qu¸ tr×nh x¸c thùc, kh«ng cÇn nh÷ng mËt khÈu ®−îc l−u côc bé. 108 Ngoµi ra th«ng tin x¸c thùc ®−îc ®−a qua mét kªnh m· ho¸ ®Ó b¶o vÖ tr−íc nh÷ng kÎ nghe trém. - Møc ng−êi dïng: WPA kh«ng chØ lµ mét gi¶i ph¸p møc xÝ nghiÖp, nã còng ®−îc dïng ®Ó ®¶m b¶o an toµn cho nh÷ng ng−êi sö dông SOHO. M«i tr−êng nµy kh«ng thùc sù cÇn tíi mét m¸y chñ x¸c thùc, do ®ã, WPA ph¶i cã mét ph−¬ng ph¸p nµo ®ã ®Ó t¹o PMK ®−îc sö dông ®Ó khëi t¹o qu¸ tr×nh m· ho¸ TKIP. Gi¶i ph¸p nµy ®−îc t¹o ra b»ng c¸ch sö dông mét mËt khÈu ®−îc chia sÎ tr−íc ®· ®−îc cÊu h×nh tr−íc trong AP vµ tÊt c¶ c¸c nót. ë møc nµy WPA víi chÕ ®é kho¸ chia sÎ tr−íc PSK (Pre-shared Key) dÔ bÞ tÊn c«ng h¬n khi sö dông WPA ë møc xÝ nghiÖp. WPA-PSK tr«ng cã vÎ lµm viÖc gièng nh− WEP. Ng−êi sö dông thiÕt lËp AP b»ng c¸ch lùa chän WPA-PSK vµ nhËp mét mËt khÈu hay passphrase. Sau ®ã, anh ta thùc hiÖn nh÷ng thao t¸c t−¬ng tù trªn thiÕt bÞ kh«ng d©y, khëi ®éng kÕt nèi, vµ cã thÓ l−ít an toµn trªn internet. WPA kh«ng chØ bao gåm tÊt c¶ nh÷ng thµnh phÇn vµ nh÷ng r¾c rèi cña WEP (nh− KSA, PRGA, XOR, vµ ICV), mµ nã cßn bæ sung thªm nh÷ng thuËt to¸n vµ nh÷ng c«ng nghÖ kh¸c nh− MD5, SHA-1, HMAC, PMK, PTK.. 3.5.3. Qu¶n lý kho¸ trong WPA WPA kÕt hîp mét hÖ thèng qu¶n lý kho¸ vµ t¹o khãa m¹nh, kÕt hîp qu¸ tr×nh x¸c thùc vµ nh÷ng hµm toµn vÑn d÷ liÖu. Sö dông giao thøc 802.1x/EAP, mét kho¸ chñ ®−îc t¹o mét c¸ch tù ®éng. Sau viÖc t¹o PMK, qu¸ tr×nh trao ®æi kho¸ ®−îc xem lµ qu¸ tr×nh b¾t tay 4 chiÒu, vµ b¾t tay GTK (Group Key). B¾t tay 4 chiÒu vµ GTK lµ nh÷ng b¾t tay an toµn ®−îc sö dông ®Ó thiÕt lËp vµ cµi ®Æt nh÷ng kho¸ truyÒn ®−îc sö dông gi÷a mét client kh«ng d©y vµ mét AP trong phiªn, gåm nh÷ng kho¸ m· ho¸ TKIP. Nã lµ mét qu¸ tr×nh trao ®æi 4 gãi tin cña nh÷ng tin kho¸ EAPOL. Nh÷ng gãi kho¸ EAPOL 802.1x ®−îc sö dông ®Ó ph©n phèi nh÷ng kho¸ trªn mçi phiªn tíi nh÷ng client kh«ng d©y ®· ®−îc x¸c thùc thµnh c«ng. Ph¶i l−u ý r»ng nh÷ng kho¸ truyÒn nµy lµ t¹m thêi, vµ 109 chØ kÐo dµi khi mét client kh«ng d©y ®−îc kÕt hîp vµ x¸c thùc tíi mét AP. WPA bæ sung mét yÕu tè x¸c ®Þnh kh¶ n¨ng an toµn m¹ng trong nh÷ng khung 802.11 ®Ó ph©n lo¹i th«ng qua nh÷ng nh©n tè th«ng tin WPA (trong khung) ph−¬ng ph¸p x¸c thùc yªu cÇu (802.1x hay kho¸ chia sÎ tr−íc) vµ m· ho¸ phï hîp (WEP, TKIP, AES). Nh÷ng yÕu tè th«ng tin WPA s½n cã trong nh÷ng khung sau: nh÷ng khung b¸o hiÖu (AP tíi tÊt c¶ client trong BSS), ®¸p øng th¨m dß (AP tíi client kh«ng d©y), yªu cÇu kÕt hîp (client tíi AP) vµ c¸c yªu cÇu t¸i kÕt hîp. Client kh«ng d©y sÏ lÊy nh÷ng th«ng tin nµy tõ nh÷ng yÕu tè th«ng tin WPA ®Ó x¸c ®Þnh ph−¬ng ph¸p cÊp quyÒn vµ m· ho¸ phï hîp. 3.5.4. §¸nh gi¸ chung vÒ gi¶i ph¸p an toµn WPA WPA kh«ng ph¶i lµ mét gi¶i ph¸p hoµn h¶o, nã béc lé mét sè giíi h¹n, Tr−íc hÕt, nã dÔ bÞ nh÷ng tÊn c«ng DoS. Nh− ®· ®Ò cËp ë trªn, giao thøc TKIP triÓn khai hai biÖn ph¸p ®èi phã ®Ó h¹n chÕ nh÷ng yÕu kÐm trong thuËt to¸n Michael. Khi hai gãi d÷ liÖu cã lçi MIC trong mét chu kú 60 gi©y, mét AP, gi¶ sö ®ang chÞu mét tÊn c«ng chñ ®éng, sÏ gi¶i kÕt hîp tÊt c¶ client ®−îc kÕt hîp tíi nã. KÕt qu¶, kÕt nèi m¹ng sÏ ng−ng trong 60 gi©y. Tuy nhiªn, mét kÎ tÊn c«ng sÏ kh«ng thÓ t×m ra th«ng tin vÒ nh÷ng kho¸ m· ho¸. Ngoµi ra, 802.11i (gåm c¶ WPA) kh«ng gi¶i quyÕt yÕu kÐm an toµn b»ng mét vµi giao thøc EAP nh− LEAP vµ PEAP. WPA thùc thi an toµn WLAN h¬n WEP. HÇu hÕt nh÷ng lç hæng ®−îc ®−a ra trong WEP ®· ®−îc WPA xö lý, TKIP t¨ng ®¸ng kÓ søc m¹nh vµ ®é phøc t¹p cña m· ho¸ kh«ng d©y, lµm cho mét kÎ tÊn c«ng thªm khã kh¨n khi muèn ®ét nhËp vµo mét WLAN. Th«ng qua WPA, nh÷ng biÖn ph¸p an toµn kh«ng d©y ®−îc më réng gåm: kÝch cì kho¸, sè l−îng kho¸ sö dông b»ng c¸ch bæ sung thªm viÖc t¹o kho¸ ®éng trªn mçi gãi tin, mét m· ho¸ m¹nh h¬n (TKIP), t¹o ra mét c¬ chÕ kiÓm tra toµn vÑn vµ kÕt hîp x¸c thùc lÉn nhau. WPA gi¶i quyÕt vµ lo¹i bá nh÷ng tÊn c«ng thô ®éng vµ bÞ ®éng ®−îc biÕt. MIC cã thÓ dß ra bÊt kú nh÷ng biÕn ®æi tin nµo, do ®ã lo¹i bá nh÷ng tÊn c«ng 110 nh− lËt bÝt, dïng l¹i, quy n¹p. Nhê thuËt to¸n trén kho¸ TKIP, viÖc kh«i phôc nh÷ng dßng kho¸ WEP lµ kh«ng thÓ thùc hiÖn ®−îc. Nh÷ng kh«i phôc kho¸ WEP dùa trªn c¬ së tõ ®iÓn còng kh«ng thÓ thùc hiÖn ®−îc, bëi v× kÎ tÊn c«ng kh«ng thÓ ®o¸n thªm g× ®−îc n÷a. ViÖc ph¸ WEP còng bÞ ®¸nh b¹i b»ng thuËt to¸n trén kho¸ TKIP. WPA còng cung cÊp trî gióp cho viÖc dß nh÷ng AP gi¶ m¹o. VËy cô thÓ WPA gi¶i quyÕt nh÷ng yÕu kÐm cña WEP nh− thÕ nµo? - Vect¬ khëi t¹o yÕu kÐm vµ nh÷ng va ®Ëp GÝa trÞ vect¬ khëi t¹o ®−îc sö dông ®Ó cung cÊp cho mçi gãi tin mét kho¸ duy nhÊt (vect¬ khëi t¹o céng víi mét kho¸ chia sÎ tr−íc). Kho¸ duy nhÊt nµy t¹o ra mét trë ng¹i nghiªm träng cho bÊt kú mét kÎ tÊn c«ng nµo, ®¬n gi¶n bëi v× mçi gãi tin ph¶i ®−îc xö lý nh− lµ mét môc tiªu duy nhÊt. Crack mËt khÈu cña mét gãi tin chØ cung cÊp truy cËp tíi gãi tin ®ã mµ th«i. WEP sö dông vect¬ khëi t¹o chØ cã 24 bÝt, do ®ã vect¬ khëi t¹o sau vµi giê sÏ bÞ lÆp l¹i, t¹o ra lç hæng ®−îc gäi lµ nh÷ng va ®Ëp (collision), tõ ®ã kÎ tÊn c«ng cã thÓ dÔ dµng giµnh quyÒn truy cËp d÷ liÖu. WPA kh¾c phôc nh−îc ®iÓm nµy cña WEP b»ng c¸ch t¨ng kÝch cì vect¬ khëi t¹o lªn 48 bÝt, cung cÊp Ýt nhÊt 900 n¨m dïng mËt khÈu kh«ng lÆp l¹i, lo¹i bá lç hæng va ®Ëp trong WEP. WPA thay ®æi gi¸ trÞ vect¬ khëi t¹o. MÆc dï còng sö dông cïng thuËt to¸n nh− WEP nh−ng do kiÓm so¸t ®−îc gi¸ trÞ vect¬ khëi t¹o ë ®Çu vµo thuËt to¸n nªn nã lÊp ®−îc nh÷ng lç hæng an toµn trong WEP. Ngoµi ra, mËt khÈu míi ®−îc thay ®æi mét c¸ch tù ®éng sau mçi 10,000 gãi tin. - GÝa trÞ kiÓm tra tÝnh toµn vÑn (ICV) WEP sö dông mét gi¸ trÞ kiÓm tra tÝnh toµn vÑn ICV (Integrity Check Value) ®Ó ®¶m b¶o r»ng nh÷ng gãi tin kh«ng bÞ söa ®æi trong suèt qu¸ tr×nh truyÒn. GÝa trÞ kiÓm tra tÝnh toµn vÑn nµy kh«ng mÊy an toµn. §Ó kh¾c phôc nh−îc ®iÓm nµy, WPA sö dông thuËt to¸n Michael, t¹o ra mét gi¸ trÞ toµn vÑn 111 duy nhÊt, sö dông nh÷ng ®Þa chØ MAC cña bªn nhËn vµ bªn göi. Tuy nhiªn, Michael sö dông mét s¬ ®å m· ho¸ ®¬n gi¶n cã thÓ bÞ ph¸ b»ng nh÷ng tÊn c«ng kiÓu b¾t Ðp th« b¹o. §Ó chèng l¹i tÊn c«ng nµy, nÕu nh− Michael dß ra nhiÒu h¬n hai gãi tin kh«ng hîp lÖ trong vßng ch−a ®Çy mét phót, nã sÏ treo m¹ng trong mét phót vµ khëi ®éng l¹i tÊt c¶ c¸c mËt khÈu. Tuy nhiªn, biÖn ph¸p nµy l¹i më cöa cho nh÷ng kÎ tÊn c«ng thùc hiÖn mét kiÓu tÊn c«ng tõ chèi dÞch vô b»ng c¸ch chÌn thªm nh÷ng gãi tin lçi, tuy nhiªn, ®Ó cã thÓ thùc hiÖn ®−îc ®iÒu nµy, kÎ tÊn c«ng tr−íc hÕt ph¶i tr¶i qua nhiÒu tÇng b¶o vÖ kh¸c nhau. - Gi¶ m¹o vµ dïng l¹i (Forgery and Replay) WEP kh«ng cã biÖn ph¸p b¶o vÖ chèng l¹i nh÷ng tÊn c«ng gi¶ m¹o hay dïng l¹i. BÊt kú kÎ tÊn c«ng nµo ®Òu cã thÓ chÌn gãi tin nµo ®ã vµo trong mét m¹ng. Ngoµi ra, mét kÎ tÊn c«ng cã thÓ sö dông l¹i mét gãi tin thu ®−îc trong viÖc chÌn thªm nµy. WPA chèng l¹i nh÷ng tÊn c«ng kiÓu nµy th«ng qua mét gi¸ trÞ IV 48 bÝt. Tr−íc hÕt, IV ®−îc t¹o ra sö dông nh÷ng ®Þa chØ MAC cña card m¹ng göi vµ mét gi¸ trÞ ®Õm chuçi. Kü thuËt nµy ng¨n chÆn nh÷ng tÊn c«ng gi¶ m¹o bëi v× mét kÎ tÊn c«ng ph¶i biÕt MAC vµ nh÷ng gi¸ trÞ IV ®−îc m· ho¸ trong gãi tin. Thø hai, IV bao gåm mét bé ®Õm chuçi. Khi mét gãi tin ®−îc nhËn, gÝa trÞ ®Õm cña nã ph¶i n»m trong ph¹m vi chÊp nhËn ®−îc nÕu kh«ng nã sÏ bÞ bá qua. KÕt qu¶, nh÷ng tÊn c«ng dïng l¹i sÏ kh«ng thÓ thùc hiÖn ®−îc. - X¸c thùc ng−êi sö dông WEP kh«ng ®−a ra nhiÒu c¸ch thøc x¸c thùc. Cã thÓ thiÕt lËp mét hÖ thèng x¸c thùc chia sÎ, tuy nhiªn sö dông ph−¬ng ph¸p nµy më ra nh÷ng nguy c¬ an toµn kh¸c. §Ó gi¶i quyÕt vÊn ®Ò nµy, WPA hç trî x¸c thùc th«ng qua giao thøc x¸c thùc t¨ng c−êng 802.1x qua LAN (EAPoL - Extensible Authentication Protocol over LAN), th−êng b»ng mét m¸y chñ RADIUS. 112 3.5.5. WPA2 (Wi-Fi Protect Access 2) WPA2 ®−îc Wi-Fi Alliance c«ng bè vµo th¸ng 9 n¨m 2004. Nã dùa trªn c¬ së phiªn b¶n söa ®æi cuèi cïng cña chuÈn 802.11i. WPA2 lµ thÕ hÖ thø hai cña an toµn WPA tÝch hîp c¬ chÕ m· ho¸ tiªn tiÕn h¬n, sö dông giao thøc CCMP (Counter –Mode/CBC-MAC) ®−îc gäi lµ AES (Advanced Encryption Standard) [24]. X¸c thùc WPA2 vÉn sö dông s¬ ®å x¸c thùc 802.1x/EAP ®−îc nªu trong WPA. Tuy nhiªn, chuÈn 802.11i ®Çy ®ñ kÕt hîp EAP qua mét giao thøc LAN Ethernet (EAPOL) cho phÐp client x¸c thùc tr−íc víi AP. §iÒu nµy ®−îc thùc hiÖn b»ng c¸ch göi mét x¸c nhËn client th«ng qua mét LAN h÷u tuyÕn, khiÕn dÔ dµng h¬n cho viÖc thùc hiÖn roam gi÷a nh÷ng AP vµ tõ nh÷ng m«i tr−êng h÷u tuyÕn tíi nh÷ng m«i tr−êng kh«ng d©y. Ngoµi ra, WPA2 t−¬ng thÝch trë l¹i vµ tÝch hîp ho¹t ®éng víi nh÷ng s¶n phÈm ®−îc x¸c nhËn Wi-Fi cho WPA. CCMP dùa trªn c¬ së AES míi ®−îc ®−a ra ®· nhËn ®−îc sù xem xÐt ®¸nh gi¸ kü l−ìng cña c¸c chuyªn gia mËt m· trªn toµn thÕ giíi. AES ®¸p øng nh÷ng yªu cÇu an toµn chÝnh phñ Mü, vµ ®−îc chÊp nhËn nh− lµ mét chuÈn m· ho¸ phï hîp. CCMP lµ mét thuËt to¸n m¹nh kh«ng t−¬ng thÝch víi phÇn cøng vËn hµnh WEP tr−íc ®ã vµ sÏ yªu cÇu nh÷ng thay ®æi vÒ giao thøc vµ phÇn cøng. CCMP cung cÊp m· ho¸ (®é tin cËy), toµn vÑn tin m¹nh h¬n TKIP, vµ còng b¶o vÖ tr−íc tÊn c«ng dïng l¹i. T−¬ng lai cña nh÷ng triÓn khai WLAN dÞch chuyÓn theo h−íng dïng CCMP. AES ®−îc NIST lùa chän nhê søc m¹nh mËt m· cña nã, vµ tÝnh dÔ dµng thùc hiÖn. §−îc t¹o ra tõ thuËt to¸n Rijndael [25], AES lµ mét m· ho¸ ®¬n gi¶n sö dông mét tÝnh to¸n ho¸n vÞ – thay thÕ. Nã ®−îc triÓn khai víi c¶ phÇn cøng hoÆc phÇn mÒm, vµ yªu cÇu rÊt Ýt bé nhí. AES lµ mét kü thuËt m· ho¸ kho¸ ®èi xøng sö dông mét ph−¬ng ph¸p m· khèi ®Ó m· ho¸ nh÷ng bÝt d−íi d¹ng khèi b¶n râ, ®−îc tÝnh to¸n ®éc lËp. Mçi khèi cã kÝch cì 128 bÝt, vµ triÓn khai mét kho¸ cã ®é dµi 128 bÝt. AES ho¹t ®éng trªn mét m¶ng byte 4x4 ®−îc 113 gäi lµ mét tr¹ng th¸i. Víi WPA2, cã 10 vßng, vµ 4 giai ®o¹n t¹o mét vßng. Bèn giai ®o¹n nµy gåm: - Nh÷ng byte phô (mét phÐp thay thÕ phi tuyÕn)- mçi byte ®−îc thay thÕ b»ng byte kh¸c theo mét b¶ng ®èi chiÕu. - DÞch hµng (ShiftRows) - b−íc chuyÓn vÞ – mçi hµng cña tr¹ng th¸i ®−îc dÞch chuyÓn vßng trßn qua mét sè b−íc nhÊt ®Þnh. - Trén cét (MixColumns) – mét b−íc trén – mét phÐp trén ®−îc thùc hiÖn trªn nh÷ng cét cña tr¹ng th¸i, kÕt hîp 4 byte trong mçi cét sö dông mét phÐp biÕn ®æi tuyÕn tÝnh. - Céng kho¸ vßng (AddRoundKey) – phÐp XOR – mçi byte cña tr¹ng th¸i ®−îc kÕt hîp víi mét byte cña vßng kho¸ phô sö dông phÐp XOR. Cho ®Õn n¨m 2005, vÉn ch−a cã tÊn c«ng thµnh c«ng nµo chèng l¹i ®−îc AES. AES lµ mét thuËt to¸n mËt m· cùc kú an toµn. Vµo th¸ng 4/2006, WPA2 sÏ mang tÝnh b¾t buéc víi nh÷ng s¶n phÈm kh«ng d©y ®−îc x¸c nhËn logo Wi-Fi. 3.6. M¹ng riªng ¶o VPN cho WLAN C«ng nghÖ m¹ng riªng ¶o lµ c«ng nghÖ ®ang ph¸t triÓn nhanh chãng cung cÊp truyÒn d÷ liÖu an toµn trong nh÷ng c¬ së h¹ tÇng m¹ng. VPN (Virtual Private Network) th−êng ®−îc sö dông trong 3 tr−êng hîp kh¸c nhau: ®èi víi truy cËp ng−êi sö dông tõ xa, ®èi víi kÕt nèi LAN-to-LAN, vµ ®èi víi Extranet. VPN triÓn khai nh÷ng kü thuËt mËt m· ®Ó b¶o vÖ th«ng tin IP khi nã truyÒn tõ mét m¹ng sang m¹ng kÕ tiÕp hoÆc tõ mét vÞ trÝ tíi vÞ trÝ kÕ tiÕp. D÷ liÖu bªn trong “®−êng hÇm” VPN ®−îc m· ho¸ vµ t¸ch rêi khái l−u l−îng m¹ng kh¸c. Mét VPN cho kÕt nèi site-to-site ®−îc minh ho¹ ë h×nh d−íi ®©y. Trong tr−êng hîp nµy, l−u l−îng truyÒn tõ vïng A sang vïng B ®−îc b¶o vÖ khi nã di chuyÓn trong Internet. 114 H×nh 3.9: B¶o vÖ b»ng VPN HÇu hÕt c¸c VPN sö dông ngµy nay tËn dông bé giao thøc IPsec. IPsec ®−îc ph¸t triÓn bëi IETF (Internet Engineering Task Force), lµ mét khung cña nh÷ng chuÈn më ®Ó ®¶m b¶o truyÒn tin riªng qua nh÷ng m¹ng IP. Nã cung cÊp nh÷ng kiÓu b¶o vÖ sau: - §é tin cËy. - TÝnh toµn ven. - X¸c thùc nguån gèc d÷ liÖu. - B¶o vÖ ph©n tÝch l−u l−îng. TÝnh toµn vÑn phi kÕt nèi ®¶m b¶o mét tin nhËn ®−îc kh«ng bÞ thay ®æi so víi tin gèc. X¸c thùc nguån gèc d÷ liÖu ®¶m b¶o tin nhËn ®−îc göi ®i tõ t¸c gi¶ thùc cña nã chø kh«ng ph¶i bëi kÎ gi¶ m¹o nµo kh¸c. B¶o vÖ dïng l¹i (replay) ®¶m b¶o cïng mét tin kh«ng ®−îc truyÒn nhiÒu lÇn vµ c¸c tin kh«ng bÞ x¸o trén khi truyÒn. §é tin cËy ®¶m b¶o nh÷ng ng−êi kh¸c kh«ng thÓ ®äc th«ng tin trong tin truyÒn. B¶o vÖ ph©n tÝch l−u l−îng ®¶m b¶o gi¸n ®iÖp kh«ng thÓ x¸c ®Þnh ®−îc ng−êi ®ang truyÒn tin hoÆc tÇn sè hay khèi l−îng truyÒn tin. §Çu ESP (Encapsulating Security Protocol) cung cÊp tÝnh riªng t− vµ b¶o vÖ chãng l¹i nh÷ng thay ®æi cã ¸c ý, vµ header x¸c thùc (AH- Authentification Header) b¶o vÖ chèng l¹i sù thay ®æi nh−ng kh«ng cung cÊp tÝnh riªng t−. Giao thøc IKE (Internet Key Exchange) [26] cho phÐp nh÷ng Vïng A Vïng B ThiÕt bÞ VPN B¶o vÖ IPsec 115 kho¸ mËt vµ nh÷ng tham sè cã liªn quan tíi nh÷ng b¶o vÖ kh¸c ®−îc trao ®æi tr−íc cho mét cuéc truyÒn tin mµ kh«ng cÇn cã sù can thiÖp cña ng−êi sö dông. ViÖc sö dông IPsec víi WLAN ®−îc m« t¶ ë h×nh d−íi ®©y: H×nh 3.10: An toµn VPN Nh− minh ho¹ ë trªn, ®−êng èng IPsec ®−îc cung cÊp tõ client kh«ng d©y qua AP tíi thiÕt bÞ VPN. Víi IPsec, c¸c dÞch vô an toµn ®−îc cung cÊp ë tÇng m¹ng cña ng¨n giao thøc. §iÒu nµy cã nghÜa tÊt c¶ nh÷ng øng dông vµ nh÷ng giao thøc ho¹t ®éng trªn tÇng ®ã (vÝ dô trªn tÇng 3) ®−îc b¶o vÖ bëi IPsec. C¸c dÞch vô an toµn IPsec lµ ®éc lËp víi an toµn xuÊt hiÖn ë tÇng thø 2, an toµn WEP. Víi chiÕn l−îc phßng thñ s©u, th× nªn cã c¶ VPN vµ IPsec. ë h×nh trªn, VPN m· ho¸ d÷ liÖu ®−îc truyÒn tíi vµ tõ m¹ng cã d©y. H×nh 3.11: B¶o vÖ WLAN b»ng VPN An toµn giao thøc Internet (IPsec) AP Client kh«ng d©y ThiÕt bÞ VPN M¹ng xÝ nghiÖp Cæng VPN 116 H×nh trªn minh ho¹ mét vÝ dô kh¸c vÒ mét m¹ng kh«ng d©y víi “vËt phñ VPN”. Nh− minh ho¹, víi nh÷ng thiÕt bÞ kh«ng d©y ®−îc trang bÞ VPN, c¸c client cã thÓ kÕt nèi an toµn tíi m¹ng doanh nghiÖp th«ng qua mét cæng VPN. C¸c client kh«ng d©y thiÕt lËp nh÷ng kÕt nèi IPsec tíi cæng VPN kh«ng d©y-bæ sung cho hoÆc thay thÕ WEP. L−u ý r»ng client kh«ng d©y kh«ng cÇn phÇn cøng ®Æc biÖt; nã chØ cÇn ®−îc cung cÊp víi phÇn mÒm client IPsec/VPN. Cæng VPN cã thÓ sö dông nh÷ng kho¸ mËt m· ®−îc chia sÎ tr−íc hoÆc nh÷ng x¸c minh sè (dùa trªn c¬ së kho¸ c«ng khai) cho x¸c thùc thiÕt bÞ client kh«ng d©y. Mét tæ chøc sö dông nh÷ng kho¸ chia sÎ tr−íc cho mét gi¶i ph¸p VPN sÏ ph¶i ®èi mÆt víi nh÷ng vÊn ®Ò ph©n phèi kho¸ t−¬ng tù nh− ë WEP. Ngoµi ra, x¸c thùc ng−êi sö dông víi mét cæng m¹ng riªng ¶o VPN cã thÓ xuÊt hiÖn viÖc sö dông dÞch vô ng−êi sö dông quay sè x¸c thùc tõ xa (RADIUS) hay nh÷ng mËt khÈu on time (OTP). Cæng m¹ng riªng ¶o cã thÓ hoÆc kh«ng thÓ cã mét t−êng löa trän vÑn ®Ó giíi h¹n l−u l−îng tíi nh÷ng vÞ trÝ nhÊt ®Þnh trong m¹ng. Ngµy nay, hÇu hÕt c¸c thiÕt bÞ VPN cã t−êng löa kÕt hîp cïng lµm viÖc ®Ó b¶o vÖ toµn m¹ng khái truy cËp kh«ng ®−îc quyÒn vµ d÷ liÖu ng−êi sö dông truyÒn qua m¹ng. VPN vµ t−êng löa kÕt hîp sÏ tiÕt kiÖm chi phÝ vµ gi¶m g¸nh nÆng qu¶n trÞ. Ngoµi ra, cæng VPN cã thÓ hoÆc kh«ng thÓ cã kh¶ n¨ng t¹o mét nhËt ký kiÓm tra mäi ho¹t ®éng. Mét dÊu vÕt kiÓm tra lµ mét b¶n ghi theo thø tù thêi gian vÒ c¸c ho¹t ®éng cña hÖ thèng ®Ó cã thÓ kh«i phôc l¹i vµ kiÓm tra chuçi c¸c m«i tr−êng vµ c¸c ho¹t ®éng. Mét nhµ qu¶n lý an toµn cã thÓ sö dông mét vÕt kiÓm tra trªn cæng VPN ®Ó gi¸m s¸t sù tu©n thñ chÝnh s¸ch an toµn vµ hiÓu ®−îc liÖu chØ cã nh÷ng ng−êi ®−îc quyÒn míi cã quyÒn truy cËp vµo m¹ng kh«ng d©y. Còng cÇn l−u ý r»ng mÆc dï ph−¬ng ph¸p VPN t¨ng c−êng an toµn giao diÖn truyÒn trong m«i tr−êng kh«ng khÝ, tuy nhiªn, ph−¬ng ph¸p nµy kh«ng hoµn toµn gi¶i quyÕt vÊn ®Ò an toµn cho m¹ng doanh nghiÖp. VÝ dô, x¸c thùc vµ cÊp quyÒn cho nh÷ng øng dông xÝ nghiÖp kh«ng ph¶i lóc nµo còng ®−îc 117 gi¶i quyÕt b»ng gi¶i ph¸p an toµn nµy. Mét sè thiÕt bÞ VPN cã thÓ sö dông nh÷ng chÝnh s¸ch ng−êi sö dông cô thÓ yªu cÇu x¸c thùc tr−íc khi truy cËp tíi nh÷ng øng dông møc xÝ nghiÖp. C¸c c¬ quan mong muèn t×m kiÕm sù hç trî trong viÖc ph¸t triÓn mét chiÕn l−îc an toµn møc xÝ nghiÖp tæng thÓ. §èi víi nh÷ng m¹ng côc bé kh«ng d©y khi nh÷ng lç hæng cña WEP tÜnh bÞ kh¸m ph¸, VPN ®· nhanh chãng ®−îc ®−a ra nh− lµ mét c¸ch ®Ó ®¶m b¶o an toµn d÷ liÖu truyÒn qua m¹ng WLAN. VPN lµ mét gi¶i ph¸p cùc kú tèt ®Ó ®¶m b¶o an toµn khi truyÒn d÷ liÖu trªn mét m¹ng cã nhiÒu kÎ thï nh− Internet (mÆc dï chÊt l−îng cña nh÷ng thùc thi VPN lµ kh«ng gièng nhau). Tuy nhiªn, nã kh«ng cÇn thiÕt lµ gi¶i ph¸p tèt nhÊt ®Ó ®¶m b¶o an toµn cho nh÷ng WLAN néi bé. §èi víi lo¹i øng dông nµy, mét VPN ®−a ra Ýt h¬n hoÆc kh«ng ®−a ra tÝnh chÊt an toµn bæ sung g× so víi nh÷ng gi¶i ph¸p 802.1x trong khi ®ã l¹i lµm t¨ng mét c¸ch ®¸ng kÓ ®é phøc t¹p vµ chi phÝ, gi¶m kh¶ n¨ng sö dông. L−u ý: ®iÒu nµy kh«ng gièng víi viÖc sö dông VPN ®Ó ®¶m b¶o an toµn l−u l−îng truyÒn qua nh÷ng hotspots. ViÖc b¶o vÖ d÷ liÖu m¹ng cña nh÷ng ng−êi sö dông kÕt nèi qua nh÷ng m¹ng tõ xa lµ mét sö dông VPN hîp lý. 3.6.1. Nh÷ng −u ®iÓm sö dông VPN b¶o vÖ WLAN - HÇu hÕt c¸c tæ chøc ®· cã mét gi¶i ph¸p VPN ®−îc triÓn khai do vËy nh÷ng ng−êi sö dông vµ nh©n viªn IT sÏ thÊy quen víi ph−¬ng ph¸p nµy. - B¶o vÖ d÷ liÖu VPN th−êng sö dông m· ho¸ phÇn mÒm cho phÐp nh÷ng thuËt to¸n ®−îc thay ®æi vµ cËp nhËt mét c¸ch dÔ dµng h¬n m· ho¸ dùa trªn c¬ së phÇn cøng. - B¹n cã thÓ sö dông phÇn cøng víi chi phÝ thÊp h¬n bëi v× b¶o vÖ VPN lµ ®éc lËp víi phÇn cøng WLAN. 118 3.6.2. Nh−îc ®iÓm sö dông VPN - VPN thiÕu tÝnh trong suèt ng−êi sö dông. Nh÷ng client VPN th−êng yªu cÇu ng−êi sö dông khëi t¹o b»ng tay mét kÕt nèi tíi m¸y chñ VPN; do ®ã, kÕt nèi nµy sÏ kh«ng bao giê trong suèt nh− mét kÕt nèi h÷u tuyÕn. Nh÷ng client kh«ng ph¶i Microsoft còng cã thÓ khëi ®éng cho nh÷ng x¸c minh ®¨ng nhËp t¹i kÕt nèi ngoµi m¹ng chuÈn hay ®¨ng nhËp miÒn. NÕu nh− VPN ng¾t kÕt nèi, do mét tÝn hiÖu WLAN nghÌo nµn hay do ng−êi sö dông roam gi÷a c¸c AP, ng−êi sö dông sÏ ph¶i kÕt nèi l¹i. - Do kÕt nèi VPN chØ lµ khëi t¹o ng−êi sö dông, mét m¸y tÝnh gi¶ m¹o kh«ng ®¨ng nhËp sÏ kh«ng thÓ kÕt nèi tíi VPN. Do ®ã, mét m¸y tÝnh kh«ng thÓ bÞ qu¶n lý tõ xa hay bÞ theo dâi tõ xa trõ khi mét ng−êi sö dông ®· ®¨ng nhËp vµo. Nh÷ng thiÕt lËp GPO (Group policy object) m¸y tÝnh nhÊt ®Þnh, nh− nh÷ng m· khëi ®éng vµ m¸y tÝnh ®−îc g¸n phÇn mÒm sÏ kh«ng bao giê ®−îc ¸p dông. - Nh÷ng hiÖn t−îng roaming, nh÷ng m· ®¨ng nhËp, vµ phÇn mÒm ®−îc triÓn khai tíi ng−êi sö dông sö dông GPO cã thÓ kh«ng lµm viÖc ®−îc nh− mong ®îi. Trõ khi ng−êi sö dông lùa chän ®Ó ®¨ng nhËp sö dông kÕt nèi VPN tõ khëi ®éng ®¨ng nhËp Windows, m¸y tÝnh sÏ kh«ng kÕt nèi tíi LAN liªn hîp cho ®Õn sau khi ng−êi sö dông ®· ®¨ng nhËp vµ khëi ®éng kÕt nèi VPN. Víi mét client VPN kh«ng ph¶i Microsoft, kh«ng thÓ thùc hiÖn mét ®¨ng nhËp miÒn ®Çy ®ñ qua mét kÕt nèi VPN. - Sù khëi ®Çu l¹i tõ chÕ ®é standby hay chÕ ®é nghØ kh«ng tù ®éng thiÕt lËp l¹i kÕt nèi VPN; ng−êi sö dông ph¶i thùc hiÖn ®iÒu nµy b»ng tay. - MÆc dï d÷ liÖu bªn trong ®−êng hÇm VPN ®−îc b¶o vÖ, VPN kh«ng ®−a ra sù b¶o vÖ cho b¶n th©n WLAN. Mét kÎ tÊn c«ng vÉn cã thÓ gia nhËp vµo WLAN vµ cè g¾ng th¨m dß hay tÊn c«ng bÊt kú thiÕt bÞ nµo ®−îc g¾n tíi WLAN. 119 - Nh÷ng m¸y chñ VPN cã thÓ trë thµnh mét nót cæ chai. TÊt c¶ client WLAN truy cËp tíi LAN liªn hîp ®−îc chuyÓn qua m¸y chñ VPN. Nh÷ng thiÕt bÞ VPN phôc vô mét sè l−îng lín nh÷ng client tõ xa tèc ®é thÊp; do vËy, hÇu hÕt c¸c cæng VPN sÏ kh«ng thÓ ®èi mÆt víi hµng chôc hay hµng tr¨m client ch¹y ë tèc ®é LAN tèi ®a. - Chi phÝ cho viÖc bæ sung phÇn cøng vµ qu¶n lý nh÷ng thiÕt bÞ VPN ch¾c ch¾n cao h¬n nhiÒu mét gi¶i ph¸p WLAN ®¬n thuÇn. Mçi mét vïng sÏ ph¶i cÇn tíi m¸y chñ VPN cña chÝnh nã ngoµi nh÷ng AP WLAN. - Nh÷ng phiªn VPN thiªn vÒ ng¾t kÕt nèi khi nh÷ng client roam gi÷a nh÷ng AP. MÆc dï nh÷ng øng dông sÏ th−êng ph¶i chÞu mét ng¾t kÕt nèi t¹m thêi khi chuyÓn m¹ch nh÷ng AP kh«ng d©y, nh÷ng phiªn VPN sÏ th−êng xuyªn bÞ ph¸ vì, yªu cÇu ng−êi sö dông t¸i kÕt nèi l¹i b»ng tay. - Chi phÝ cña m¸y chñ VPN vµ nh÷ng cÊp phÐp phÇn mÒm client, còng nh− chi phÝ triÓn khai phÇn mÒm, cã thÓ lµ mét vÊn ®Ò víi nh÷ng gi¶i ph¸p VPN kh«ng ph¶i lµ Microsoft. B¹n còng cã thÓ ph¶i quan t©m tíi t−¬ng thÝch phÇn mÒm client VPN bëi nh÷ng client kh«ng ph¶i Microsoft th−êng thay thÕ chøc n¨ng Windows chÝnh. NhiÒu nhµ ph©n tÝch vµ nhµ s¶n xuÊt cho r»ng an toµn VPN th−êng tèt h¬n an toµn WLAN. MÆc dï ®iÒu nµy lµ ®óng cho WEP tÜnh, nh−ng kh«ng hoµn toµn víi nh÷ng gi¶i ph¸p dùa trªn c¬ së EAP 802.1x. Nh÷ng ph−¬ng ph¸p x¸c thùc VPN, cô thÓ, th−êng kÐm an toµn h¬n vµ kh«ng m¹nh h¬n. VÝ dô, nh÷ng gi¶i ph¸p WLAN ®−îc hç trî bëi Microsoft sö dông cïng ph−¬ng ph¸p x¸c thùc EAP gièng nh− nh÷ng ph−¬ng ph¸p VPN cña nã (EAP-TLS vµ MS-CHAP v2). NhiÒu thùc thi VPN, ®Æc biÖt lµ nh÷ng thùc thi dùa trªn c¬ së chÕ ®é ®−êng hÇm IPsec, sö dông x¸c thùc kho¸ chia sÎ (mét mËt khÈu nhãm). §iÒu nµy t¹o ra nh÷ng lç hæng an toµn nghiªm träng gièng nh− WEP tÜnh. 120 Mét VPN kh«ng lµm ®iÒu g× ®Ó ®¶m b¶o an toµn cho b¶n th©n WLAN. MÆc dï d÷ liÖu bªn trong nh÷ng ®−êng hÇm VPN lµ an toµn, bÊt kú ai vÉn cã thÓ x©m nhËp vµo WLAN vµ cè g¾ng tÊn c«ng nh÷ng client hîp ph¸p vµ nh÷ng thiÕt bÞ kh¸c trªn WLAN. VPN phï hîp nhÊt ®Ó ®¶m b¶o an toµn cho l−u l−îng truyÒn qua nh÷ng m¹ng c«ng céng, ë ®ã ng−êi sö dông ®ang kÕt nèi qua mét kÕt nèi b¨ng th«ng réng gia ®×nh hoÆc tõ mét hotspot kh«ng d©y. Tuy nhiªn, VPN ch−a bao giê ®−îc thiÕt kÕ ®Ó ®¶m b¶o an toµn l−u l−îng m¹ng trªn nh÷ng m¹ng bªn trong. §èi víi hÇu hÕt c¸c tæ chøc, VPN trong vai trß cña nã sÏ qóa cång kÒnh vµ h¹n chÕ vÒ mÆt chøc n¨ng cho ng−êi sö dông vµ qu¸ ®¾t ®á vµ phøc t¹p cho phßng IT ®Ó cã thÓ duy tr× nã. Trong nh÷ng tr−êng hîp ngo¹i lÖ ë ®ã an toµn cao h¬n cho mét kÕt nèi cô thÓ hay kiÓu l−u l−îng cÇn thiÕt, ®iÒu nµy cã thÓ ®−îc cung cÊp bëi mét ®−êng hÇm VPN hoÆc chÕ ®é vËn t¶i IPsec ngoµi b¶o vÖ WLAN ®¬n thuÇn. 121 Ch−¬ng 4: TriÓn khai WLAN an toµn trong m«i tr−êng gi¸o dôc 4.1. Vai trß tiÒm n¨ng cña WLAN trong gi¸o dôc M¹ng côc bé dùa trªn c«ng nghÖ kh«ng d©y sÏ ®ãng mét phÇn quan träng trong viÖc ph¸t triÓn c¬ së h¹ tÇng c«ng nghÖ th«ng tin t¹i c¸c tr−êng cao ®¼ng vµ ®¹i häc trong mét vµi n¨m tíi. Nã ®Æc biÖt h÷u Ých ®èi víi nh÷ng m«i tr−êng gi¸o dôc mong muèn më réng hÖ thèng m¹ng hiÖn hµnh cña hä sang c¸c khu vùc míi x©y dùng, bëi v× c«ng nghÖ WLAN ch¾c ch¾n sÏ lµ mét c¸ch thøc hiÖu qu¶ nhÊt vÒ chi phÝ cho viÖc më réng hÖ thèng m¹ng còng nh− kÐo theo nã lµ sù gia t¨ng ®ång thêi sè l−îng ng−êi sö dông. Ngoµi nh÷ng lîi Ých vÒ mÆt kinh tÕ, WLAN còng cung cÊp cÊp tÝnh c¬ ®éng h¬n so víi LAN h÷u tuyÕn v× nh÷ng lý do sau: Thø nhÊt, WLAN cung cÊp tÝnh c¬ ®éng vËt lý, bëi v× bÊt kú ®©u trong kh«ng gian gi¸o dôc ng−êi sö dông lµm viÖc, hä vÉn cã thÓ sö dông hÖ thèng m¹ng. Víi mét m¹ng h÷u tuyÕn, ®iÒu nµy chØ cã thÓ thùc hiÖn ®−îc b»ng c¸ch ph¶i quyÕt ®Þnh vÞ trÝ ®Æt m¸y tÝnh vµ cµi ®Æt nh÷ng socket m¹ng t¹i n¬i ®ã. Th−êng viÖc sö dông kh«ng gian thay ®æi theo thêi gian, vµ khi ®ã, víi triÓn khai h÷u tuyÕn ta ph¶i ®Æt l¹i ®−êng c¸p, cßn ®èi víi c«ng nghÖ kh«ng d©y ®iÒu nµy kh«ng cÇn thiÕt, nã hoµn toµn cã thÓ ®¸p øng ®−îc tr−íc nh÷ng thay ®æi ®ã. Thø hai, víi mét m¹ng h÷u tuyÕn, sè l−îng tèi ®a ng−êi sö dông ph¶i ®−îc x¸c ®Þnh khi kh«ng gian ®−îc l¾p d©y dÉn vµ sè l−îng phï hîp nh÷ng socket m¹ng ®−îc cµi ®Æt. §iÒu nµy ®ång nghÜa víi viÖc cã qu¸ nhiÒu socket m¹ng ®−îc cµi ®Æt, dÉn ®Õn tèn kÐm tiÒn b¹c, vµ khi cÇu v−ît qu¸ cung mét sè ng−êi sö dông kh«ng thÓ sö dông m¹ng. Víi mét m¹ng kh«ng d©y, mÆc dï hiÖu n¨ng m¹ng còng sÏ gi¶m khi l−îng sö dông t¨ng, trõ khi cã mét nhu cÇu rÊt cao tÊt c¶ ng−êi sö dông cïng truy cËp m¹ng. 122 Thø ba, m¹ng kh«ng d©y cã thÓ ®Õn víi nh÷ng n¬i mµ m¹ng h÷u tuyÕn kh«ng thÓ ®Õn ®−îc, nh− nh÷ng ph¹m vi ngoµi trêi, do tÝn hiÖu cã thÓ bao trïm ë ph¹m vi hµng tr¨m mÐt tõ c¸c toµ nhµ. ViÖc trang bÞ hÖ thèng m¹ng kh«ng d©y ë khu tr−êng ®¹i häc cho ta kh¶ n¨ng t−¬ng t¸c nhiÒu h¬n gi÷a nh÷ng gi¸o viªn vµ nh÷ng sinh viªn. Hä cã thÓ truy cËp th«ng tin vµ nh÷ng øng dông m¹ng dÔ dµng h¬n, ë bÊt kú ®©u trong khu«n viªn cña tr−êng. Ngoµi ra, nã cßn khuyÕn khÝch sö dông nh÷ng m¸y tÝnh x¸ch tay cã trang bÞ c«ng nghÖ kh«ng d©y cña chÝnh sinh viªn, lµm t¨ng kh¶ n¨ng häc tËp nghiªn cøu cña hä còng nh− kh«ng gian häc tËp kh«ng bÞ gß bã trong líp häc mµ vÉn ®¹t hiÖu qu¶ cao. H×nh 4.1: Truy cËp th«ng tin cã thÓ thùc hiÖn bÊt kú ®©u trong khu«n viªn víi c«ng nghÖ WLAN 4.2. Lùa chän gi¶i ph¸p an toµn WLAN cho khu tr−êng häc Ngoµi nh÷ng thuËn lîi nªu trªn cña WLAN, còng gièng nh− víi bÊt kú c«ng nghÖ míi nµo kh¸c, WLAN còng cã nh÷ng vÊn ®Ò ®i kÌm víi nã nh− kh¶ n¨ng ®¸p øng tr−íc nh÷ng thay ®æi nhanh chãng vÒ nh÷ng chuÈn c«ng nghÖ WLAN; vÊn ®Ò chia sÎ d¶i th«ng; vµ vÊn ®Ò an toµn. An toµn lµ mét vÊn ®Ò quan träng trong WLAN, tuy nhiªn kh«ng cã nghÜa lµ kh«ng thÓ triÓn khai WLAN v× nã hæng h¬n so víi LAN h÷u tuyÕn. C¬ së h¹ tÇng WLAN Qu¶n trÞ Nh÷ng b¶n ghi vµ th«ng tin Gi¸o viªn Nh÷ng bµi gi¶ng vµ th«ng tin Sinh viªn Häc trùc tuyÕn vµ th«ng tin Th− viÖn S¸ch ®iÖn tö vµ th«ng tin trùc tuyÕn 123 BÊt kú m¹ng nµo ®Òu cã nh÷ng nguy c¬ an toµn tiÒm Èn nÕu nh− chóng ta kh«ng chó ý tíi viÖc b¶o vÖ nã tr−íc nh÷ng tÊn c«ng. §èi víi tõng m«i tr−êng, môc ®Ých sö dông cô thÓ, cÇn lùa chän gi¶i ph¸p an toµn phï hîp. Tr−íc ®©y, ®èi víi nh÷ng thiÕt kÕ WLAN cho mét khu (campus) nµo ®ã, kh«ng thÓ cung cÊp roaming kÕt nèi liªn tôc gi÷a nh÷ng toµ nhµ, ®Æc biÖt khi VPN ®−îc sö dông ®Ó ®¶m b¶o an toµn WLAN. ViÖc roaming gi÷a c¸c toµ nhµ yªu cÇu t−¬ng t¸c ng−êi sö dông ë d¹ng treo vµ b¾t ®Çu l¹i nh÷ng øng dông khi hä di chuyÓn tõ toµ nhµ nµy sang toµ nhµ kh¸c. ChÝnh v× thÕ, WLAN th−êng ®−îc x©y dùng trªn mét subnet duy nhÊt. H×nh 4.2: Topo m¹ng WLAN truyÒn thèng – t¸ch rêi nh÷ng ng−êi sö dông kh«ng d©y sö dông mét subnet duy nhÊt. Tuy nhiªn, hiÖn nay chóng ta cã thÓ thiÕt kÕ dÞch vô WLAN bao phñ toµn bé khu nhµ b»ng hç trî IP di ®éng [27], mét chuÈn sÏ cho phÐp roaming gi÷a c¸c toµ nhµ. Ng−êi sö dông tõ xa víi Client VPN 124 H×nh 4.3: Topo m¹ng WLAN víi nh÷ng ph©n ®o¹n m¹ng kh«ng d©y vµ cã d©y ®an xen, kÕt hîp chÆt chÏ víi nh÷ng m¸y chñ chÝnh s¸ch vµ x¸c thùc Víi sù ph¸t triÓn cña c«ng nghÖ WLAN trong giai ®o¹n hiÖn nay, sö dông c«ng nghÖ VPN cho m· ho¸ m¹nh gi÷a WLAN vµ m¹ng liªn hîp cïng víi triÓn khai x¸c thùc ®Ó hç trî kiÓm so¸t truy cËp sÏ cung cÊp cho ta møc ®é an toµn tèt nhÊt. §©y còng chÝnh lµ gi¶i ph¸p ®−îc triÓn khai hÇu hÕt ë c¸c tr−êng ®¹i häc trªn thÕ giíi cã triÓn khai WLAN. Nh÷ng chuÈn an toµn WLAN ®ang næi lªn hiÖn nay, nh− TKIP vµ nh÷ng chuÈn t−¬ng lai, nh− chuÈn m· ho¸ AES trong 802.11i sÏ lµ mét gi¶i ph¸p l©u dµi ®Ó ®¶m b¶o an toµn WLAN mµ kh«ng cÇn ®Õn m· ho¸ VPN. 4.3. §Ò xuÊt thùc thi WLAN an toµn t¹i tr−êng kü thuËt nghiÖp vô c«ng an. HiÖn nay, môc ®Ých triÓn khai WLAN t¹i tr−êng kü thuËt nghiÖp vô c«ng an lµ më réng hÖ thèng m¹ng h÷u tuyÕn hiÖn cã sang c¸c khu vùc kh¸c trong khu«n viªn cña Tr−êng mµ kh«ng cÇn ph¶i thùc hiÖn thiÕt kÕ vµ triÓn Subnet h÷u tuyÕn Subnet kh«ng d©y Subnet kh«ng d©y Subnet h÷u tuyÕn Trung t©m d÷ liÖu hay closet h÷u tuyÕn T¨ng c−êng chÝnh s¸ch m· ho¸, x¸c thùc, kiÓm so¸t truy cËp Nh÷ng m¸y chñ chÝnh s¸ch/x¸c thùc Nh÷ng øng dông xÝ nghiÖp vµ nh÷ng m¸y chñ d÷ liÖu Qu¶n lý tËp trung Ng−êi sö dông tõ xa víi client VPN 125 khai ®−êng c¸p m¹ng. Sö dông c«ng nghÖ WLAN sÏ gióp gi¶m bít chi phÝ l¾p ®Æt, më ra kh¶ n¨ng nèi m¹ng gi÷a nh÷ng toµ nhµ hoÆc gi÷a c¸c tÇng trong mét toµ nhµ khã triÓn khai c¸p, hoÆc ph¶i thùc hiÖn nh÷ng ph¸ dì vÒ x©y dùng, kiÕn tróc.. Khi triÓn khai WLAN ph¶i gi¶i quyÕt hai vÊn ®Ò an toµn c¬ b¶n , ®ã lµ: - X¸c thùc (ng−êi sö dông vµ thiÕt bÞ). - B¶o mËt th«ng tin trªn ®−êng truyÒn. TriÓn khai WLAN víi môc ®Ých më réng hÖ thèng m¹ng LAN v¨n phßng vµ hÖ thèng m¹ng LAN thùc tËp chuyªn ngµnh. §èi víi hÖ thèng m¹ng v¨n phßng cã thÓ sö dông nh÷ng biÖn ph¸p an toµn WLAN c¬ b¶n nh− ®· ®Ò cËp ë trªn nh− sö dông WEP tÜnh, läc.., hoÆc cã thÓ sö dông gi¶i ph¸p an toµn tèt h¬n nh− WPA ë chÕ ®é PSK. §èi víi hÖ thèng m¹ng thùc tËp chuyªn ngµnh, do ®Æc thï, c¸c biÖn ph¸p b¶o vÖ vËt lý ®−îc chó ý hµng ®Çu ®Ó ®¶m b¶o an toµn thiÕt bÞ m¹ng. Ngoµi ra vÊn ®Ò b¶o mËt l−u l−îng m¹ng (b¶o mËt th«ng tin truyÒn trong kh«ng khÝ) còng lµ quan t©m chÝnh khi triÓn khai WLAN cho m¹ng nµy. Sö dông kü thuËt mËt m· m¹nh ®Ó m· ho¸ th«ng tin truyÒn trªn m¹ng lµ mét biÖn ph¸p ®¶m b¶o an toµn tèt nhÊt. Cã thÓ sö dông mËt m· kho¸ ®èi xøng, víi c¬ së h¹ tÇng kho¸ m· ho¸/gi¶i m· s½n cã, cung cÊp cho bªn truyÒn vµ bªn nhËn tin ®Ó thùc hiÖn m· ho¸/gi¶i m· file truyÒn/nhËn. Khi ®ã trªn c¸c client sÏ ®−îc cµi ®Æt phÇn mÒm m· ho¸ gi¶i m· file. PhÇn phô lôc sÏ tr×nh bµy mét ch−¬ng tr×nh phÇn mÒm minh ho¹ m· ho¸/gi¶i m· file sö dông mËt m· kho¸ ®èi xøng. 126 KÕt luËn M¹ng WLAN sÏ lµ c«ng nghÖ m¹ng cña t−¬ng lai. Tuy nhiªn, do tÝnh chÊt më cña m¹ng nµy, vÊn ®Ò an toµn còng cÇn ®−îc ®Æt lªn hµng ®Çu. HiÖn nay nh÷ng c«ng nghÖ an toµn nh− WEP, läc.. ®−îc xem lµ nh÷ng c«ng nghÖ an toµn c¬ së, ®−îc triÓn khai cho WLAN tõ thêi kú b¾t ®Çu cña m¹ng nµy. C«ng nghÖ m¹ng riªng ¶o VPN vµ 802.1x ®−îc xem lµ c«ng nghÖ an toµn ®ang ®−îc ¸p dông triÓn khai t¹i thêi ®iÓm hiÖn t¹i, vµ nh÷ng c«ng nghÖ nh− 802.11i vµ WPA chÝnh lµ sù lùa chän cña t−¬ng lai khi thùc hiÖn triÓn khai WLAN. Tuy nhiªn, viÖc lùa chän c«ng nghÖ an toµn nµo lµ phï hîp hoµn toµn phô thuéc vµo tõng môc ®Ých an toµn cô thÓ. §èi víi m«i tr−êng m¹ng yªu cÇu tÝnh b¶o mËt cao (nh− b¶o mËt th«ng tin quèc gia) th× cÇn lùa chän gi¶i ph¸p an toµn cã sö dông kü thuËt mËt m· vµ x¸c thùc ng−êi dïng m¹nh. Qua t×m hiÓu vÒ m¹ng WLAN vµ nh÷ng vÊn ®Ò an toµn cho m¹ng nµy t«i nhËn thÊy trong t−¬ng lai kh«ng xa, viÖc x©y dùng dù ¸n triÓn khai c«ng nghÖ WLAN an toµn cho tr−êng ®¹i häc kü thuËt c«ng an nh©n d©n lµ hoµn toµn cã thÓ thùc hiÖn ®−îc. §ã còng chÝnh lµ mét phÇn trong ®Þnh h−íng nghiªn cøu tiÕp theo cña luËn v¨n. 127 Phô lôc ch−¬ng tr×nh m∙ ho¸/gi¶i m∙ file Ch−¬ng tr×nh m· hãa/gi¶i m· File sö dông kü thuËt m· dßng ®èi xøng. File tr−íc khi truyÒn ®−îc m· hãa b»ng mét kho¸ mËt m· nh»m ®¶m b¶o an toµn th«ng tin trªn ®−êng truyÒn. T¹i n¬i nhËn, sÏ sö dông kho¸ t−¬ng tù ®Ó gi¶i m·. Ch−¬ng tr×nh hç trî m· ho¸ file nÐn (Winzip); sö dông ph−¬ng ph¸p mËt m· t¨ng c−êng MD5 vµ SHA ®Ó b¨m kho¸, ®¶m b¶o an toµn cao. D−íi ®©y lµ mét sè phÇn trong ch−¬ng tr×nh ®−îc x©y dùng trªn ng«n ng÷ lËp tr×nh VB 6.0. ********************************************* PhÇn m· ho¸/gi¶i m· dïng thuËt to¸n m· dßng ®èi xøng ********************************************* 'Khëi t¹o thuËt to¸n Public Sub RC4ini(Pwd As String) Dim temp As Integer, Aini As Integer, bini As Integer 'L−u kho¸ trong m¶ng byte bini = 0 For Aini = 0 To 255 bini = bini + 1 If bini > Len(Pwd) Then bini = 1 End If kep(Aini) = Asc(Mid$(Pwd, bini, 1)) Next Aini 'Khëi t¹o S-box For Aini = 0 To 255 s(Aini) = Aini Next Aini bini = 0 128 For Aini = 0 To 255 bini = (bini + s(Aini) + kep(Aini)) Mod 256 ' Swap( S(i),S(j) ) temp = s(Aini) s(Aini) = s(bini) s(bini) = temp Next Aini End Sub 'ChØ sö dông thñ tôc nµy cho nh÷ng text ng¾n Public Function EnDeCrypt(plaintxt As String) As String Dim temp As Integer, rccounter As Long, i As Integer, j As Integer, k As Integer Dim TempArray() As Byte Str2ByteArray plaintxt, TempArray For rccounter = 1 To UBound(TempArray) i = (i + 1) Mod 256 j = (j + s(i)) Mod 256 ' Swap( S(i),S(j) ) temp = s(i) s(i) = s(j) s(j) = temp 'T¹o k byte kho¸ k = s((s(i) + s(j)) Mod 256) 'Byteb¶nrâ xor Bytekho¸ TempArray(rccounter) = TempArray(rccounter) Xor k Next rccounter EnDeCrypt = StrConv(TempArray, vbUnicode) End Function 129 '************* Thñ tôc m∙ ho¸/gi¶i m∙ file ****************** Private Sub EnDeCryptfile() Dim eNr As Integer Dim DNr As Integer Dim Answer As Integer Dim dCount As Double Dim dRest As Double Dim sTemp As String Const CPY_BUFFER = 10240 On Error GoTo Error 'ThiÕt lËp bé ®Õm Set-Box vÒ 0 i = 0: j = 0 If olefile = "" Then path = SaveDialog(Me, "*.*", "Lua chon file de ma hoa/giai ma", App.path) Else path = olefile End If If path = "" Then txtpwd.SetFocus Exit Sub End If 'In mét text tr¹ng th¸i Form1.Caption = "Dang xu ly file" 'Disable the Mousepointer MousePointer = vbHourglass 'Xo¸ mµn h×nh Form1.Refresh 130 If Winzip And encrypt Then Call Zip End If eNr = FreeFile DNr = FreeFile + 1 Open path For Binary As eNr If LOF(eNr) = 0 Then Close eNr GoTo Error End If If encrypt Then 'NÕu nh− ®∙ cã file th× c¶nh b¸o ng−êi sö dông If FileExist(path + ".enc") Then Answer = MsgBox("File " & path + ".enc da co - tiep tuc?", vbYesNo, "Loi") If Answer = vbYes Then SetAttr path + ".enc", vbArchive Else 'Enable the Mousepointer MousePointer = vbDefault 'S½n sµng! Form1.Caption = StatusCaption 'ThiÕt lËp Focus txtpwd.SetFocus Exit Sub End If End If Open path + ".enc" For Binary As DNr 131 Else path = Left$(path, Len(path) - 4) 'NÕu nh− ®∙ cã file nµy råi th× c¶nh b¸o ng−êi sö dông If FileExist(path) Then Answer = MsgBox("File " & path + " da co - tiep tuc?", vbYesNo, "Loi") If Answer = vbYes Then SetAttr path, vbArchive Else 'Enable the Mousepointer MousePointer = vbDefault 'S½n sµng! Form1.Caption = StatusCaption 'ThiÕt lËp Focus txtpwd.SetFocus Exit Sub End If End If Open path For Binary As DNr End If 'B¨m kho¸ (MD5 hoÆc SHA) If Hash_Sel = "MD5" Then Call md5_hash_msg(txtpwd.Text) sign_msg = Trim(Str(Context.State(1))) + Trim(Str(Context.State(2))) + Trim(Str(Context.State(3))) + Trim(Str(Context.State(4))) Else 'Default Setting Call sha_hash_msg(txtpwd.Text) 132 sign_msg = Trim(Str(bufA)) & Trim(Str(bufB)) & Trim(Str(bufC)) & Trim(Str(bufD)) & Trim(Str(bufE)) End If 'Khëi t¹o nh÷ng S-Box chØ mét lÇn cho mét file (víi b¨m kho¸) RC4ini (sign_msg) '§äc file vµ m∙ ho¸ 'NÕu nh− file lín h¬n 10Kb If LOF(eNr) > CPY_BUFFER Then sTemp = Space(CPY_BUFFER) dCount = Int(LOF(eNr) / CPY_BUFFER) dRest = LOF(eNr) For i = 1 To dCount Get eNr, , sTemp Put DNr, , EnDeCrypt(sTemp) dRest = dRest - CPY_BUFFER Next i sTemp = String(dRest, " ") Get eNr, , sTemp Put DNr, , EnDeCrypt(sTemp) 'NÕu nh− file nhá h¬n hoÆc b»ng 10 Kb ElseIf LOF(eNr) 0 Then sTemp = Space(LOF(eNr)) Get eNr, , sTemp Put DNr, , EnDeCrypt(sTemp) End If sTemp = Empty Close eNr Close DNr 133 Close 1 Close 2 If FileExist(oldzipname) And encrypt Then Kill oldzipname 'T¹o con trá chuét MousePointer = vbDefault 'S½n sµng! Form1.Caption = StatusCaption 'ThiÕt lËp Focus txtpwd.SetFocus Error: End Sub Private Sub Zip() Dim zipname As String 'KiÓm tra xem file ®∙ ®−îc nÐn ch−a If InStr(path, ".zip") > 0 Then GoTo Error If InStr(path, ".") > 0 Then 'Xo¸ bæ sung më réng cò .zip zipname = Chr(34) + Left$(path, Len(path) - 3) + "zip" + Chr(34) + " " oldzipname = Left$(path, Len(path) - 3) + "zip" Else 'NÕu nh− file kh«ng cã bæ sung më réng .zip zipname = Chr(34) + zipname + ".zip" + Chr(34) + " " oldzipname = zipname + ".zip" 'KiÓm tra xem ®∙ cã file nÐn ch−a If FileExist(oldzipname) Then MsgBox "Da co mot file duoc nen: " + oldzipname, vbOKOnly, "Loi!" 134 GoTo Error End If End If 'Khëi ®éng Winzip ShellAndWait Winzippath + " " + zipname + Chr(34) + path + Chr(34) 'Tªn file nÐn 'File ®Ó nÐn 'L−u ®−êng dÉn míi bëi v× b©y giê muèn m∙ ho¸ file nÐn! If FileExist(oldzipname) Then path = oldzipname Else MsgBox "Khong the nen file...", vbOKOnly, "Loi!" End If Error: End Sub 'Dïng cho Drag and Drop Private Sub Encryptb_OLEDragDrop(Data As DataObject, Effect As Long, Button As Integer, Shift As Integer, x As Single, y As Single) Dim filecounter As Integer For filecounter = 1 To Data.Files.Count If (GetAttr(Data.Files.Item(filecounter)) And vbDirectory) = 0 Then olefile = Data.Files(filecounter) encrypt = True Call check End If Next End Sub 135 Private Sub Decrypt_OLEDragDrop(Data As DataObject, Effect As Long, Button As Integer, Shift As Integer, x As Single, y As Single) Dim filecounter As Integer For filecounter = 1 To Data.Files.Count If (GetAttr(Data.Files.Item(filecounter)) And vbDirectory) = 0 Then olefile = Data.Files(filecounter) encrypt = False Call check End If Next End Sub Private Sub check() 'KiÓm tra lçi If txtpwd.Text = "" Then MsgBox "Ban can nhap khoa de ma hoa hoac giai ma", 0, "Loi!" txtpwd.SetFocus Exit Sub ElseIf Len(txtpwd) < 8 Then MsgBox "Ban nen su dung khoa dai hon 7 ky tu!", 0, "Canh bao an toan" End If If Verify Then Ok.Visible = True Cancel.Visible = True temp = txtpwd txtpwd = "" txtpwd.SetFocus 136 Form1.Caption = "Xac thuc khoa!" Else Call EnDeCryptfile End If End Sub 'Dïng cho x¸c thùc kho¸ Private Sub Ok_Click() If temp = txtpwd Then Ok.Visible = False Cancel.Visible = False Call EnDeCryptfile Else Ok.Visible = False Cancel.Visible = False Form1.Caption = StatusCaption txtpwd = "" txtpwd.SetFocus Exit Sub End If Form1.Caption = StatusCaption End Sub 137 ********************************************* Thùc hiÖn ch−¬ng tr×nh ********************************************* 1. NhËp kho¸ m· ho¸/gi¶i m· 2. Thùc hiÖn x¸c thùc kho¸ m· ho¸/gi¶i m· (nÕu chän chøc n¨ng nµy) 3. Lùa chän file ®Ó m· ho¸/gi¶i m· 138 tµi liÖu tham kh¶o 139 [1]. Jim Geier (2002), Improving WLAN Performance with RTS/CTS, [2]. Pejman Roshan Jonathan Leary (2003), 802.11 Wireless LAN Fundermentals, Cisco Press. [3]. MicrosoftTechnet (2002), RADIUS Protocol Security and Best Practices, ain/security/radiussec.mspx#E2. [4]. David Taylor (2000), Intrusion Detection FAQ: Are there Vulnerabilites in VLAN Implementations? VLAN Security Test Report, [5]. Jim Geier (2004), What SSID is Right for You?, [6]. Sean Convery, Darrin Miller, Sri Sundaralingam (2003), Wireless LAN Security in Depth, Cisco SAFE White Paper. [7]. Grace12 (2005), Wireless LAN 802.11, “Station Services”, “Distribution System Services”, [8]. Ilenia Tinnrello, Giuseppe Bianchi, Luca Scalia, “Performance Evaluation of Differentiated Access Mechanisms Effectiveness in 802.11 Network”, University degli studi di Palermo, Dipartimento di Ingegneria Elettrica Viale delle scienze, 90128, Palemo, Italy. [9]. Plamen Nedeltchev (2001), “The Hidden Station Challenge”, Wireless Local Area Networks and the 802.11 standard, Felicia Brych, pp. 13-15. [10]. NIST (1999), An Introduction to Computer Security, Special Publication 800-12. 140 [11]. Alfred J. Menezes, Paul C. VanOorschot, Scott A. Vanstore (2000), “Digital Signatures”, Handbook of Applied Cryptography, CRC Press, pp. 425-489. [12]. Alfred J. Menezes, Paul C. VanOorschot, Scott A. Vanstore (2000), “Block Cipher”, Handbook of Applied Cryptography, CRC Press, pp. 223-283. [13]. Alfred J. Menezes, Paul C. VanOorschot, Scott A. Vanstore (2000), “Stream Cipher”, Handbook of Applied Cryptography, CRC Press, pp. 191-223. [14]. William A. Arbaugh, Narendar Shankar, Y.C. Justin Wan (2001), Your 802.11 Wireless Network has No Clothes, Department of Computer Science, University of Maryland, College Park, Maryland 20742. [15]. Anton T. Rager (2001), WEPCrack, AirSnort, [16]. Daniel J. Barrett, Richard E. Silverman, and Robert G. Byrnes (2005), SSH: The Secure Shell (The Definitive Guide), O'Reilly. [17]. security-works/index.html, Secure Sockets Layer (SSL): How It Works. [18]. Third Wave Communications (2002), RSA Security help create solution to secure WLAN, Johannesburg, South Africa. [19]. Mark Roy (2000), Diameter extends remote authentication, 141 [20]. B.Clifford Neuman, Theodore Ts’o (1994), Kerberos: An Authentication Service for Computer Networks, IEEE Communications Magazine, Vol 32, Number 9, pages 33-38. [21]. Scott Fluhrer, Itsik Mantin, Adi Shamir (2003), Weaknesses in the Key Scheduling Algorithm of RC4, Computer Science department, the Weizmann Institude, Rehovot 76100, Israel. [22]. Sean Whalen (2002), Analysis of WEP and RC4 Algorithm, [23]. B. Aboba (2004), Extensible Authentication Protocol (EAP), Network Working Group, IETF. [24]. Federal Information Standards Publication 197 (2001), Announcing the Advanced Encryption Standard (AES), National Institude of Standards and Technology. [25]. Joan Daemen, Vincent Rijmen (1999), AES Proposal Rijndael, National Institude of Standards and Technology. [26]. Angelos D. Keromytis (2000), The IKE Protocol, hallqvist_html/node5.html. [27]. Jim Geier (2003), Mobile IP Enables WLAN Roaming,

Các file đính kèm theo tài liệu này:

  • pdf000000208035R.pdf
Tài liệu liên quan