Mục lục
Chương 1: mạNG CụC Bộ KHÔNG DâY wlan – NHữNG VấN Đề TổNG QUAN. 11
1.1. Tổng quan mạng cục bộ không dây WLAN họ 802.11 11
1.1.1. Kiến trúc mạng WLAN.
1.1.2. Các thành phần WLAN.
1.1.3. Phạm vi phủ sóng.
1.1.4. Băng tần sử dụng.
1.1.4.1. Băng tần ISM.
1.1.4.2. Băng tần UNII.
1.1.5. Các chuẩn chính trong họ 802.11 22
1.1.5.1. Chuẩn 802.11. 22
1.1.5.2. Chuẩn 802.11b. 22
1.1.5.3. Chuẩn 802.11a. 22
1.1.5.4. Chuẩn 802.11g 23
1.1.5.5. Chuẩn 802.11e 23
1.2. Cơ chế truy nhập môi tr-ờng tầng MAC 802.11. 23
1.2.1. Ph-ơng pháp truy nhập cơ sở – chức năng phối hợp phân tán DCF. 25
1.2.2. Ph-ơng pháp điểu khiển truy nhập môi tr-ờng: chức năng phối hợp điểm PCF. 28 3
1.2.3. Ph-ơng pháp điều khiển truy nhập môi tr-ờng: chức năng phối hợp lai HCF. 28
1.3. Các kỹ thuật tầng vật lý 802.11. 30
1.3.1. Trải phổ chuỗi trực tiếp DSSS 31
1.3.2. Đa phân chia tần số trực giao OFDM. 31
Chương 2: An toàn mạng WLAN – Nguy cơ và giải pháp. 33
2.1. Những cơ chế an toàn mạng WLAN. 33
2.1.1. Độ tin cậy. 35
2.1.2. Tính toàn vẹn. 36
2.1.3. Xác thực. 37
2.1.3.1. Xác thực mở và những lỗ hổng. 37
2.1.3.2. Xác thực khoá chia sẻ và những lỗ hổng. 38
2.1.3.3. Xác thực địa chỉ MAC và những lỗ hổng. 39
2.1.4. Tính sẵn sàng. 39
2.1.5. Điều khiển truy cập. 40
2.1.6. Mã hoá/Giải mã. 40
2.1.7. Quản lý khoá. 40
2.2. Những mối đe dọa an toàn WLAN và những lổ hổng an toàn. 41
2.2.1. Tấn công thụ động. 43
2.2.2. Tấn công chủ động. 47
2.3. Các biện pháp đảm bảo an toàn WLAN. 59
2.3.1. Các biện pháp quản lý. 59 4
2.3.2. Các biện pháp vận hành. 60
2.3.3. Các biện pháp kỹ thuật. 62
2.3.3.1. Các giải pháp phần mềm. 62
2.3.3.2. Các giải pháp phần cứng. 76
2.2.4. Những chuẩn và những công nghệ an toàn WLAN tiên tiến hiện nay. 78
Chương 3: Một số biện pháp an toàn WLAN thông dụng. 81
3.1. Đánh giá chung về các biện pháp an toàn WLAN. 81
3.2. Biện pháp an toàn WEP. 84
3.2.1. Cơ chế an toàn WEP. 84
3.2.2. ICV giá trị kiểm tra tính toàn vẹn. 88
3.2.3. Tại sao WEP đ-ợc lựa chọn. 89
3.2.4. Khoá WEP. 90
3.2.5. Máy chủ quản lý khoá mã tập trung. 92
3.2.6. Cách sử dụng WEP. 93
3.3. Lọc. 94
3.3.1. Lọc SSID. 94
3.3.2. Lọc địa chỉ MAC. 96
3.3.3. Lọc giao thức. 98
3.4. Bảo vệ WLAN với xác thực và mã hoá dữ liệu 802.1x. 99
3.4.1. Xác thực và cấp quyền mạng. 99
3.4.1.1. EAP TLS. 101
3.4.1.2. PEAP. 101 5
3.4.1.3. TTLS. 101
3.4.1.4. LEAP. 101
3.4.2. Bảo vệ dữ liệu WLAN. 102
3.4.3. -u điểm của 802.1x với bảo vệ dữ liệu WLAN. 103
3.5. WPA và 802.11i 104
3.5.1. Mã hoá TKIP trong WPA. 104
3.5.2. Xác thực trong WPA. 106
3.5.3. Quản lý khoá trong WPA. 108
3.5.4. Đánh giá chung về giải pháp WPA. 109
3.5.5. WPA2. 112
3.6. Mạng riêng ảo VPN cho WLAN. 113
3.6.1. Những -u điểm sử dụng VPN trong bảo vệ WLAN. 117
3.6.2. Nh-ợc điểm sử dụng VPN trong WLAN. 118
Chương 4: Triển khai WLAN an toàn trong môi tr-ờng giáo dục. 121
4.1. Vai trò tiềm năng của WLAN trong giáo dục. 121
4.2. Lựa chọn giải pháp an toàn WLAN cho khu tr-ờng học. 122
4.3. Đề xuất thực thi WLAN an toàn tại tr-ờng kỹ thuật nghiệp vụ công an. 124
Kết luận 126
Phụ lục ch-ơng trình mã hoá/giảI mã file. 127
Tài liệu tham khảo 138
141 trang |
Chia sẻ: banmai | Lượt xem: 2032 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Nghiên cứu vấn đề an toàn mạng cục bộ không dây, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ho¸ m· ho¸ míi. §iÒu nµy cho phÐp thuËt to¸n m· ho¸ WEP
(®−îc thÊy trong hÇu hÕt nh÷ng phÇn cøng WLAN hiÖn nay) ®−îc sö dông
theo mét c¸ch an toµn h¬n nhiÒu.
3.4.3. −u ®iÓm cña 802.1x víi b¶o vÖ d÷ liÖu WLAN
Lîi Ých chÝnh cña gi¶i ph¸p 802.1x:
- An toµn cao: nã lµ mét s¬ ®å x¸c thùc an toµn cao bëi v× nã cã thÓ sö
dông nh÷ng x¸c minh client hay nh÷ng mËt khÈu vµ tªn ng−êi sö dông.
- M· ho¸ m¹nh h¬n: nã cho phÐp m· ho¸ t¨ng c−êng d÷ liÖu m¹ng.
- Trong suèt: nã cung cÊp x¸c thùc vµ kÕt nèi trong suèt tíi WLAN.
- X¸c thùc ng−êi sö dông vµ m¸y tÝnh: nã cho phÐp x¸c thùc t¸ch biÖt
ng−êi sö dông vµ m¸y tÝnh. X¸c thùc t¸ch biÖt m¸y tÝnh cho phÐp m¸y tÝnh
®−îc qu¶n lý thËm chÝ khi kh«ng cã ng−êi sö dông nµo ®¨ng nhËp vµo.
- Chi phÝ thÊp: chi phÝ cho phÇn cøng m¹ng thÊp.
- HiÖu n¨ng cao: do m· ho¸ ®−îc thùc hiÖn trong phÇn cøng WLAN
chø kh«ng ph¶i ë CPU m¸y tÝnh client, viÖc m· ho¸ WLAN kh«ng cã t¸c
®éng nµo lªn møc ®é hiÖu n¨ng cña m¸y tÝnh client.
Ngoµi nh÷ng −u ®iÓm trªn, gi¶i ph¸p an toµn 802.1x còng cã mét sè vÊn
®Ò nh−:
- MÆc dï 802.1x gÇn nh− ®−îc chÊp nhËn trªn toµn cÇu, nh−ng viÖc sö
dông nh÷ng ph−¬ng ph¸p EAP kh¸c nhau cã nghÜa lµ sù t−¬ng thÝch ho¹t ®éng
kh«ng ph¶i lóc nµo còng ®−îc ®¶m b¶o.
- WPA vÉn cßn kh¸ míi mÎ vµ cã thÓ kh«ng s½n sµng trªn nh÷ng phÇn
cøng cò.
104
- RSN thÕ hÖ míi (802.1i) sÏ ®−îc phª chuÈn vµ sÏ yªu cÇu ph¸t triÓn
nh÷ng cËp nhËt phÇn cøng vµ phÇn mÒm.
3.5. WPA(Wi-Fi Protect Access) vµ 802.11i
Nh÷ng vÊn ®Ò an toµn trong chuÈn 802.11 vµ WEP dÉn ®Õn sù ph¸t triÓn
cña chuÈn 802.11i. Vµo th¸ng 10 n¨m 2003, Wi-Fi Alliance ®· c«ng bè WPA
®Ó gi¶i quyÕt tÊt c¶ nh÷ng lç hæng ®−îc biÕt ®Õn trong WEP. §©y lµ mét gi¶i
ph¸p t¹m thêi ®Ó kh¾c phôc nh÷ng lç hæng cña chuÈn 802.11 ë thêi ®iÓm ®ã.
Sù thóc ®Èy ph¸t triÓn WPA tËp trung vµo nh÷ng lç hæng an toµn trong
802.11. WPA ®−îc thiÕt kÕ lµ mét gi¶i ph¸p m¹nh, kinh tÕ lµm viÖc víi phÇn
cøng cò (nh÷ng s¶n phÈm 802.11), vµ t−¬ng thich víi chuÈn 802.11i. §Õn n¨m
2004, tÊt c¶ c¸c s¶n phÈm ph¶i tÝch hîp WPA sÏ ®−îc x¸c nhËn Wi-Fi.
WPA thùc hiÖn nh÷ng c¶i tiÕn chÝnh ®èi víi m· ho¸, x¸c thùc, toµn vÑn
d÷ liÖu, qu¶n lý kho¸, vµ bæ sung mét yÕu tè x¸c ®Þnh kh¶ n¨ng an toµn m¹ng.
WPA ®−a ra mét c«ng nghÖ m· ho¸ míi, TKIP (Temporal Key Integrity
Protocol) víi kiÓm tra tÝnh toµn vÑn tin MIC (Message Integrity Check), ®Ó
thay thÕ WEP vµ cung cÊp tin cËy d÷ liÖu vµ toµn vÑn payload d÷ liÖu m¹ng.
Wi-Fi Alliance thùc thi x¸c thùc lÉn nhau trong WPA b»ng ph−¬ng tiÖn x¸c
thùc IEEE 802.1x/EAP, cung cÊp mét x¸c thùc m¹nh gi÷a mét client kh«ng
d©y vµ m¸y chñ x¸c thùc th«ng qua mét AP. Ngoµi ra, WPA më ®−êng cho sö
dông ph−¬ng ph¸p x¸c thùc më. Qu¶n lý kho¸, mét trong nh÷ng vÊn ®Ò lín
nhÊt trong 802.11, ®· ®−îc gi¶i quyÕt vµ thùc thi trong 802.11i (vµ WPA)
cung cÊp mét qu¸ tr×nh x¸c thùc t¸ch biÖt ®Ó cho phÐp ph©n phèi kho¸. YÕu tè
x¸c ®Þnh an toµn m¹ng tÝch hîp nh÷ng yÕu tè th«ng tin WPA trong nh÷ng
khung 802.11 (b¸o hiÖu, th¨m dß, ®¸p øng, vµ th¸ch thøc t¸i kÕt hîp) ®Ó x¸c
®Þnh m· ho¸ vµ x¸c thùc nµo lµ phï hîp cho sö dông.
3.5.1. M· ho¸ TKIP trong WPA
TKIP ®−îc thiÕt kÕ ®Ó gi¶i quyÕt nh÷ng lç hæng cña WEP, kh«ng cÇn
thay thÕ phÇn cøng cò. V× lý do nµy, TKIP duy tr× nh÷ng c¬ chÕ c¬ b¶n cña
105
WEP: IV, thuËt to¸n RC4, vµ ICV. Tuy nhiªn, s¬ ®å m· ho¸ RC4 ®−îc t¨ng
c−êng sö dông mét kho¸ trªn mçi gãi tin 128 bÝt, vµ mét IV 48 bÝt dµi h¬n.
Kh«ng gièng nh− WEP, TKIP m· ho¸ mçi gãi d÷ liÖu ®−îc göi b»ng kho¸ m·
ho¸ duy nhÊt cña chÝnh nã. Nh÷ng kho¸ nµy ®−îc t¹o ra mét c¸ch tù ®éng,
cung cÊp kh¶ n¨ng an toµn cao h¬n chèng l¹i nh÷ng kÎ x©m ph¹m dùa vµo
viÖc dù ®o¸n tr−íc nh÷ng kho¸ tÜnh trong WEP. Ngoµi ra, WPA bao gåm mét
kiÓm tra tÝnh toµn vÑn tin MIC, ®−îc gäi lµ Michael, ®Ó ng¨n chÆn biÕn ®æi
tin.
Cã ba giao thøc kÕt hîp víi TKIP: MIC (hay Michael), mét thuËt to¸n
trén kho¸, vµ mét t¨ng c−êng IV. ThuËt to¸n ®Çu tiªn, MIC, lµ mét thuËt to¸n
toµn vÑn tin mËt m· ®Ó ng¨n chÆn bÊt kú biÕn ®æi nµo tíi mét tin. Nã sö dông
mét hµm b¨m thay cho tæng kiÓm tra tuyÕn tÝnh, gi¶i quyÕt nh÷ng lç hæng
trong ICV. ThuËt to¸n b¨m, ®−îc gäi lµ Michael, ®−îc thiÕt kÕ ®Ó ®¶m b¶o néi
dung cña gãi d÷ liÖu chØ ®−îc göi bëi nh÷ng client kh«ng d©y hîp ph¸p vµ
kh«ng cã sù biÕn ®æi d÷ liÖu nµo trong suèt qu¸ tr×nh truyÒn gãi tin. Michael
t¹o ra hai tõ 32 bÝt ®Ó t¹o mét b¨m 64 bÝt. Mét b¨m ®−îc tÝnh to¸n, sau ®ã
®−îc so s¸nh víi c¶ bªn nhËn/truyÒn. GÝa trÞ MIC ph¶i phï hîp víi d÷ liÖu sÏ
®−îc chÊp nhËn. NÕu kh«ng, gãi tin nµy bÞ bá qua bëi v× nã ®−îc gi¶ ®Þnh
r»ng tÝnh toµn vÑn gãi tin ®· bÞ g©y h¹i, trõ phi nh÷ng biÖn ph¸p ®èi phã ®−îc
thùc hiÖn. Trong tr−êng hîp nµy, tÊt c¶ nh÷ng lÇn truyÒn vµ thu nhËn gãi tin
®Òu bÞ v« hiÖu ho¸, vµ tÊt c¶ c¸c client kh«ng d©y gi¶i x¸c thùc vµ nh÷ng kÕt
hîp míi bÞ dõng l¹i trong vßng 60 gi©y.
Giao thøc thø hai, TKIP thay thÕ IV 24 bÝt lç hæng b»ng mét bé ®Õm
chuçi TKIP TSC (TKIP Sequence Counter) 48 bÝt ®Ó gi¶i quyÕt nh÷ng vÊn ®Ò
sö dông l¹i IV trong WEP. TSC lµ mét bé ®Õm 48 bÝt b¾t ®Çu b»ng 0 vµ t¨ng
thªm 1 cho mçi gãi tin, cung cÊp cho bªn nhËn ph−¬ng tiÖn duy tr× dÊu vÕt cña
gi¸ trÞ cao nhÊt cho mçi ®Þa chØ MAC, ®Ó ®¶m b¶o nh÷ng gãi tin ®Õn theo
chuçi. Mét gãi tin bÞ bá qua nÕu nh− gi¸ trÞ TSC (gãi TKIP) Ýt h¬n hoÆc b»ng
106
víi gãi tin nã võa nhËn ®−îc, ®Ó ng¨n chÆn nh÷ng tÊn c«ng dïng l¹i. Do giao
thøc ®Çu tiªn t¨ng c−êng ICV vµ MIC, mét kÎ tÊn c«ng còng bÞ ng¨n chÆn
tr−íc thay ®æi TSC vµ sö dông nã ®Ó truyÒn l¹i mét gãi tin. TSC ®−îc sö dông
trong thuËt to¸n gi¶i m·, vµ nÕu bÞ biÕn ®æi víi kÕt qu¶ trong ICV vµ MIC
kh«ng phï hîp gãi tin nµy sÏ bÞ bá qua. Hµm TSC cho phÐp mét chuçi kho¸
kh«ng bao giê bÞ dïng l¹i víi cïng kho¸. Giao thøc nµy ng¨n chÆn mét kÎ tÊn
c«ng thùc hiÖn mét tÊn c«ng dïng l¹i, ®−îc biÕt ®Õn lµ nh÷ng tÊn c«ng b¶n râ
®· biÕt vµ nh÷ng tÊn c«ng dùa trªn c¬ së tõ ®iÓn sau khi kh«i phôc mét dßng
kho¸.
Giao thøc thø ba, TKIP tÝch hîp mét hµm trén kho¸ ®Ó ®¶m b¶o nh÷ng
kho¸ m· ho¸ thay ®æi trªn c¬ së mçi gãi tin. Nã ®−îc thiÕt kÕ ®Ó b¶o vÖ kho¸
m· ho¸ t¹m thêi TEK (Temporal Encryption Key) 128 bÝt, mét khãa c¬ së t¹m
thêi ®−îc sö dông ®Ó t¹o nh÷ng kho¸ dïng duy nhÊt trªn mçi gãi tin. ThuËt
to¸n trén kho¸ lµ mét phÐp to¸n hai pha. §Ó ®¬n gi¶n, TEK, ®−îc kÕt hîp víi
TSC vµ mét ®Þa chØ n¬i truyÒn TA (Transmitter Address) 48 bÝt ®Ó t¹o mét
kho¸ duy nhÊt trªn mçi gãi tin, mÇm WEP 128 bÝt, ®−îc sö dông víi thuËt
to¸n WEP. Bé ®Õm TSC, nh− ®· nªu tr−íc ®ã, t¨ng víi mçi gãi tin, t¹o ra mÇm
WEP thay ®æi víi mçi gãi tin. KÕt qu¶, TKIP t¹o ra nh÷ng kho¸ duy nhÊt mét
c¸ch tù ®éng ®Ó m· ho¸ mçi gãi d÷ liÖu ®−îc truyÒn trong mét phiªn kh«ng
d©y, cung cÊp xÊp xØ 280 ngh×n tØ nh÷ng kÕt hîp kho¸ cã thÓ sÏ ®−îc t¹o ra
cho mçi gãi tin.
3.5.2. X¸c thùc trong WPA
Trong WPA, x¸c thùc lÉn nhau ®¹t ®−îc b»ng khung 802.1x/EAP. X¸c
thùc lÉn nhau gióp ®¶m b¶o chØ nh÷ng ng−êi sö dông ®−îc quyÒn míi cã thÓ
truy cËp m¹ng. Nã lµ mét qu¸ tr×nh kh¼ng ®Þnh r»ng mét client kh«ng d©y
®ang x¸c thùc tíi mét m¸y chñ ®−îc quyÒn, vµ kh«ng ph¶i víi mét AP gi¶
m¹o.
107
Qóa tr×nh x¸c thùc b¾t ®Çu víi mét giao thøc hç trî EAP, client kh«ng
d©y liªn l¹c víi mét AP b»ng mét yªu cÇu (kÕt hîp) sÏ ®−îc x¸c thùc. Víi
®iÒu khiÓn truy cËp cæng 802.1x, mét client kh«ng d©y kh«ng ®−îc cÊp quyÒn
truy cËp tíi mét AP cho ®Õn khi nã ®−îc x¸c thùc. AP ®Èy yªu cÇu nµy tíi
mét m¸y chñ x¸c thùc AS (Authentication server), ë ®ã AS yªu cÇu ng−êi sö
dông ®−a ra mét mËt khÈu hîp lÖ (th«ng qua AP), vµ x¸c thùc ®¸p øng tõ
ng−êi sö dông (nÕu hîp lÖ). Sau ®ã, mét AP nhËn ®−îc quyÒn tõ AS, vµ më
mét cæng ®Ó chÊp nhËn d÷ liÖu tõ ng−êi sö dông. Client kh«ng d©y khi ®ã
®−îc phÐp gia nhËp WLAN.
Khi ®−îc x¸c thùc, client kh«ng d©y vµ AS ®ång thêi t¹o mét PMK
(Pairwise Master Key), nh− lµ mét phÇn cña qu¸ tr×nh x¸c thùc lÉn nhau.
Nh÷ng kho¸ chñ nµy gièng nh− phÇn gèc rÔ cña c©y kho¸ cho ra nh÷ng kho¸
truyÒn. PMK lµ mét kho¸ chia sÎ ®−îc sö dông bëi client kh«ng d©y vµ AS ®Ó
th−¬ng thuyÕt nh÷ng kho¸ truyÒn sö dông cho mét phiªn. Nã kh«ng ph¶i lµ
PMK, tuy nhiªn nh÷ng kho¸ truyÒn (nh÷ng kho¸ PTK) ®−îc sö dông trong
nh÷ng hµm m· ho¸ vµ b¨m. PMK kh«ng liªn quan trùc tiÕp trong viÖc t¹o
nh÷ng dßng kho¸ cho m· ho¸, nã gióp ng¨n chÆn nh÷ng kho¸ yÕu. Khi kho¸
chia sÎ chñ ®−îc t¹o, AS truyÒn kho¸ nµy tíi AP th«ng qua giao thøc
RADIUS.
C¬ chÕ x¸c thùc chia thµnh hai lo¹i, bëi v× WPA ph¶i gi¶i quyÕt hai thÞ
tr−êng rÊt kh¸c nhau: xÝ nghiÖp vµ ng−êi dïng.
- ë møc xÝ nghiÖp: CÊp quyÒn, x¸c thùc vµ kiÓm ®Þnh lµ nh÷ng thµnh
phÇn cÇn thiÕt ®Ó cung cÊp mét tµi nguyªn an toµn cho ng−êi sö dông møc xÝ
nghiÖp. Sö dông WPA ®Ó x¸c thùc ng−êi sö dông, th−êng th«ng qua mét m¸y
chñ RADIUS. Trong qu¸ tr×nh x¸c thùc, ng−êi sö dông nhËn ®−îc mét kho¸
c¸i (primary master key-PMK), kho¸ nµy sau ®ã ®−îc sö dông ®Ó thiÕt lËp
thuËt to¸n m· ho¸ ®−îc sö dông bëi TKIP. Do PMK ®−îc sinh ra nh− lµ kÕt
qu¶ cña qu¸ tr×nh x¸c thùc, kh«ng cÇn nh÷ng mËt khÈu ®−îc l−u côc bé.
108
Ngoµi ra th«ng tin x¸c thùc ®−îc ®−a qua mét kªnh m· ho¸ ®Ó b¶o vÖ tr−íc
nh÷ng kÎ nghe trém.
- Møc ng−êi dïng: WPA kh«ng chØ lµ mét gi¶i ph¸p møc xÝ nghiÖp, nã
còng ®−îc dïng ®Ó ®¶m b¶o an toµn cho nh÷ng ng−êi sö dông SOHO. M«i
tr−êng nµy kh«ng thùc sù cÇn tíi mét m¸y chñ x¸c thùc, do ®ã, WPA ph¶i cã
mét ph−¬ng ph¸p nµo ®ã ®Ó t¹o PMK ®−îc sö dông ®Ó khëi t¹o qu¸ tr×nh m·
ho¸ TKIP. Gi¶i ph¸p nµy ®−îc t¹o ra b»ng c¸ch sö dông mét mËt khÈu ®−îc
chia sÎ tr−íc ®· ®−îc cÊu h×nh tr−íc trong AP vµ tÊt c¶ c¸c nót. ë møc nµy
WPA víi chÕ ®é kho¸ chia sÎ tr−íc PSK (Pre-shared Key) dÔ bÞ tÊn c«ng h¬n
khi sö dông WPA ë møc xÝ nghiÖp.
WPA-PSK tr«ng cã vÎ lµm viÖc gièng nh− WEP. Ng−êi sö dông thiÕt
lËp AP b»ng c¸ch lùa chän WPA-PSK vµ nhËp mét mËt khÈu hay passphrase.
Sau ®ã, anh ta thùc hiÖn nh÷ng thao t¸c t−¬ng tù trªn thiÕt bÞ kh«ng d©y, khëi
®éng kÕt nèi, vµ cã thÓ l−ít an toµn trªn internet. WPA kh«ng chØ bao gåm tÊt
c¶ nh÷ng thµnh phÇn vµ nh÷ng r¾c rèi cña WEP (nh− KSA, PRGA, XOR, vµ
ICV), mµ nã cßn bæ sung thªm nh÷ng thuËt to¸n vµ nh÷ng c«ng nghÖ kh¸c
nh− MD5, SHA-1, HMAC, PMK, PTK..
3.5.3. Qu¶n lý kho¸ trong WPA
WPA kÕt hîp mét hÖ thèng qu¶n lý kho¸ vµ t¹o khãa m¹nh, kÕt hîp qu¸
tr×nh x¸c thùc vµ nh÷ng hµm toµn vÑn d÷ liÖu. Sö dông giao thøc 802.1x/EAP,
mét kho¸ chñ ®−îc t¹o mét c¸ch tù ®éng. Sau viÖc t¹o PMK, qu¸ tr×nh trao ®æi
kho¸ ®−îc xem lµ qu¸ tr×nh b¾t tay 4 chiÒu, vµ b¾t tay GTK (Group Key). B¾t
tay 4 chiÒu vµ GTK lµ nh÷ng b¾t tay an toµn ®−îc sö dông ®Ó thiÕt lËp vµ cµi
®Æt nh÷ng kho¸ truyÒn ®−îc sö dông gi÷a mét client kh«ng d©y vµ mét AP
trong phiªn, gåm nh÷ng kho¸ m· ho¸ TKIP. Nã lµ mét qu¸ tr×nh trao ®æi 4 gãi
tin cña nh÷ng tin kho¸ EAPOL. Nh÷ng gãi kho¸ EAPOL 802.1x ®−îc sö dông
®Ó ph©n phèi nh÷ng kho¸ trªn mçi phiªn tíi nh÷ng client kh«ng d©y ®· ®−îc
x¸c thùc thµnh c«ng. Ph¶i l−u ý r»ng nh÷ng kho¸ truyÒn nµy lµ t¹m thêi, vµ
109
chØ kÐo dµi khi mét client kh«ng d©y ®−îc kÕt hîp vµ x¸c thùc tíi mét AP.
WPA bæ sung mét yÕu tè x¸c ®Þnh kh¶ n¨ng an toµn m¹ng trong nh÷ng khung
802.11 ®Ó ph©n lo¹i th«ng qua nh÷ng nh©n tè th«ng tin WPA (trong khung)
ph−¬ng ph¸p x¸c thùc yªu cÇu (802.1x hay kho¸ chia sÎ tr−íc) vµ m· ho¸ phï
hîp (WEP, TKIP, AES). Nh÷ng yÕu tè th«ng tin WPA s½n cã trong nh÷ng
khung sau: nh÷ng khung b¸o hiÖu (AP tíi tÊt c¶ client trong BSS), ®¸p øng
th¨m dß (AP tíi client kh«ng d©y), yªu cÇu kÕt hîp (client tíi AP) vµ c¸c yªu
cÇu t¸i kÕt hîp. Client kh«ng d©y sÏ lÊy nh÷ng th«ng tin nµy tõ nh÷ng yÕu tè
th«ng tin WPA ®Ó x¸c ®Þnh ph−¬ng ph¸p cÊp quyÒn vµ m· ho¸ phï hîp.
3.5.4. §¸nh gi¸ chung vÒ gi¶i ph¸p an toµn WPA
WPA kh«ng ph¶i lµ mét gi¶i ph¸p hoµn h¶o, nã béc lé mét sè giíi h¹n,
Tr−íc hÕt, nã dÔ bÞ nh÷ng tÊn c«ng DoS. Nh− ®· ®Ò cËp ë trªn, giao thøc TKIP
triÓn khai hai biÖn ph¸p ®èi phã ®Ó h¹n chÕ nh÷ng yÕu kÐm trong thuËt to¸n
Michael. Khi hai gãi d÷ liÖu cã lçi MIC trong mét chu kú 60 gi©y, mét AP,
gi¶ sö ®ang chÞu mét tÊn c«ng chñ ®éng, sÏ gi¶i kÕt hîp tÊt c¶ client ®−îc kÕt
hîp tíi nã. KÕt qu¶, kÕt nèi m¹ng sÏ ng−ng trong 60 gi©y. Tuy nhiªn, mét kÎ
tÊn c«ng sÏ kh«ng thÓ t×m ra th«ng tin vÒ nh÷ng kho¸ m· ho¸. Ngoµi ra,
802.11i (gåm c¶ WPA) kh«ng gi¶i quyÕt yÕu kÐm an toµn b»ng mét vµi giao
thøc EAP nh− LEAP vµ PEAP.
WPA thùc thi an toµn WLAN h¬n WEP. HÇu hÕt nh÷ng lç hæng ®−îc
®−a ra trong WEP ®· ®−îc WPA xö lý, TKIP t¨ng ®¸ng kÓ søc m¹nh vµ ®é
phøc t¹p cña m· ho¸ kh«ng d©y, lµm cho mét kÎ tÊn c«ng thªm khã kh¨n khi
muèn ®ét nhËp vµo mét WLAN. Th«ng qua WPA, nh÷ng biÖn ph¸p an toµn
kh«ng d©y ®−îc më réng gåm: kÝch cì kho¸, sè l−îng kho¸ sö dông b»ng
c¸ch bæ sung thªm viÖc t¹o kho¸ ®éng trªn mçi gãi tin, mét m· ho¸ m¹nh h¬n
(TKIP), t¹o ra mét c¬ chÕ kiÓm tra toµn vÑn vµ kÕt hîp x¸c thùc lÉn nhau.
WPA gi¶i quyÕt vµ lo¹i bá nh÷ng tÊn c«ng thô ®éng vµ bÞ ®éng ®−îc biÕt.
MIC cã thÓ dß ra bÊt kú nh÷ng biÕn ®æi tin nµo, do ®ã lo¹i bá nh÷ng tÊn c«ng
110
nh− lËt bÝt, dïng l¹i, quy n¹p. Nhê thuËt to¸n trén kho¸ TKIP, viÖc kh«i phôc
nh÷ng dßng kho¸ WEP lµ kh«ng thÓ thùc hiÖn ®−îc. Nh÷ng kh«i phôc kho¸
WEP dùa trªn c¬ së tõ ®iÓn còng kh«ng thÓ thùc hiÖn ®−îc, bëi v× kÎ tÊn c«ng
kh«ng thÓ ®o¸n thªm g× ®−îc n÷a. ViÖc ph¸ WEP còng bÞ ®¸nh b¹i b»ng thuËt
to¸n trén kho¸ TKIP. WPA còng cung cÊp trî gióp cho viÖc dß nh÷ng AP gi¶
m¹o.
VËy cô thÓ WPA gi¶i quyÕt nh÷ng yÕu kÐm cña WEP nh− thÕ nµo?
- Vect¬ khëi t¹o yÕu kÐm vµ nh÷ng va ®Ëp
GÝa trÞ vect¬ khëi t¹o ®−îc sö dông ®Ó cung cÊp cho mçi gãi tin mét
kho¸ duy nhÊt (vect¬ khëi t¹o céng víi mét kho¸ chia sÎ tr−íc). Kho¸ duy
nhÊt nµy t¹o ra mét trë ng¹i nghiªm träng cho bÊt kú mét kÎ tÊn c«ng nµo,
®¬n gi¶n bëi v× mçi gãi tin ph¶i ®−îc xö lý nh− lµ mét môc tiªu duy nhÊt.
Crack mËt khÈu cña mét gãi tin chØ cung cÊp truy cËp tíi gãi tin ®ã mµ th«i.
WEP sö dông vect¬ khëi t¹o chØ cã 24 bÝt, do ®ã vect¬ khëi t¹o sau vµi giê sÏ
bÞ lÆp l¹i, t¹o ra lç hæng ®−îc gäi lµ nh÷ng va ®Ëp (collision), tõ ®ã kÎ tÊn
c«ng cã thÓ dÔ dµng giµnh quyÒn truy cËp d÷ liÖu.
WPA kh¾c phôc nh−îc ®iÓm nµy cña WEP b»ng c¸ch t¨ng kÝch cì
vect¬ khëi t¹o lªn 48 bÝt, cung cÊp Ýt nhÊt 900 n¨m dïng mËt khÈu kh«ng lÆp
l¹i, lo¹i bá lç hæng va ®Ëp trong WEP.
WPA thay ®æi gi¸ trÞ vect¬ khëi t¹o. MÆc dï còng sö dông cïng thuËt
to¸n nh− WEP nh−ng do kiÓm so¸t ®−îc gi¸ trÞ vect¬ khëi t¹o ë ®Çu vµo thuËt
to¸n nªn nã lÊp ®−îc nh÷ng lç hæng an toµn trong WEP. Ngoµi ra, mËt khÈu
míi ®−îc thay ®æi mét c¸ch tù ®éng sau mçi 10,000 gãi tin.
- GÝa trÞ kiÓm tra tÝnh toµn vÑn (ICV)
WEP sö dông mét gi¸ trÞ kiÓm tra tÝnh toµn vÑn ICV (Integrity Check
Value) ®Ó ®¶m b¶o r»ng nh÷ng gãi tin kh«ng bÞ söa ®æi trong suèt qu¸ tr×nh
truyÒn. GÝa trÞ kiÓm tra tÝnh toµn vÑn nµy kh«ng mÊy an toµn. §Ó kh¾c phôc
nh−îc ®iÓm nµy, WPA sö dông thuËt to¸n Michael, t¹o ra mét gi¸ trÞ toµn vÑn
111
duy nhÊt, sö dông nh÷ng ®Þa chØ MAC cña bªn nhËn vµ bªn göi. Tuy nhiªn,
Michael sö dông mét s¬ ®å m· ho¸ ®¬n gi¶n cã thÓ bÞ ph¸ b»ng nh÷ng tÊn
c«ng kiÓu b¾t Ðp th« b¹o. §Ó chèng l¹i tÊn c«ng nµy, nÕu nh− Michael dß ra
nhiÒu h¬n hai gãi tin kh«ng hîp lÖ trong vßng ch−a ®Çy mét phót, nã sÏ treo
m¹ng trong mét phót vµ khëi ®éng l¹i tÊt c¶ c¸c mËt khÈu. Tuy nhiªn, biÖn
ph¸p nµy l¹i më cöa cho nh÷ng kÎ tÊn c«ng thùc hiÖn mét kiÓu tÊn c«ng tõ
chèi dÞch vô b»ng c¸ch chÌn thªm nh÷ng gãi tin lçi, tuy nhiªn, ®Ó cã thÓ thùc
hiÖn ®−îc ®iÒu nµy, kÎ tÊn c«ng tr−íc hÕt ph¶i tr¶i qua nhiÒu tÇng b¶o vÖ kh¸c
nhau.
- Gi¶ m¹o vµ dïng l¹i (Forgery and Replay)
WEP kh«ng cã biÖn ph¸p b¶o vÖ chèng l¹i nh÷ng tÊn c«ng gi¶ m¹o hay
dïng l¹i. BÊt kú kÎ tÊn c«ng nµo ®Òu cã thÓ chÌn gãi tin nµo ®ã vµo trong mét
m¹ng. Ngoµi ra, mét kÎ tÊn c«ng cã thÓ sö dông l¹i mét gãi tin thu ®−îc trong
viÖc chÌn thªm nµy. WPA chèng l¹i nh÷ng tÊn c«ng kiÓu nµy th«ng qua mét
gi¸ trÞ IV 48 bÝt.
Tr−íc hÕt, IV ®−îc t¹o ra sö dông nh÷ng ®Þa chØ MAC cña card m¹ng
göi vµ mét gi¸ trÞ ®Õm chuçi. Kü thuËt nµy ng¨n chÆn nh÷ng tÊn c«ng gi¶ m¹o
bëi v× mét kÎ tÊn c«ng ph¶i biÕt MAC vµ nh÷ng gi¸ trÞ IV ®−îc m· ho¸ trong
gãi tin. Thø hai, IV bao gåm mét bé ®Õm chuçi. Khi mét gãi tin ®−îc nhËn,
gÝa trÞ ®Õm cña nã ph¶i n»m trong ph¹m vi chÊp nhËn ®−îc nÕu kh«ng nã sÏ bÞ
bá qua. KÕt qu¶, nh÷ng tÊn c«ng dïng l¹i sÏ kh«ng thÓ thùc hiÖn ®−îc.
- X¸c thùc ng−êi sö dông
WEP kh«ng ®−a ra nhiÒu c¸ch thøc x¸c thùc. Cã thÓ thiÕt lËp mét hÖ
thèng x¸c thùc chia sÎ, tuy nhiªn sö dông ph−¬ng ph¸p nµy më ra nh÷ng nguy
c¬ an toµn kh¸c. §Ó gi¶i quyÕt vÊn ®Ò nµy, WPA hç trî x¸c thùc th«ng qua
giao thøc x¸c thùc t¨ng c−êng 802.1x qua LAN (EAPoL - Extensible
Authentication Protocol over LAN), th−êng b»ng mét m¸y chñ RADIUS.
112
3.5.5. WPA2 (Wi-Fi Protect Access 2)
WPA2 ®−îc Wi-Fi Alliance c«ng bè vµo th¸ng 9 n¨m 2004. Nã dùa
trªn c¬ së phiªn b¶n söa ®æi cuèi cïng cña chuÈn 802.11i. WPA2 lµ thÕ hÖ thø
hai cña an toµn WPA tÝch hîp c¬ chÕ m· ho¸ tiªn tiÕn h¬n, sö dông giao thøc
CCMP (Counter –Mode/CBC-MAC) ®−îc gäi lµ AES (Advanced Encryption
Standard) [24]. X¸c thùc WPA2 vÉn sö dông s¬ ®å x¸c thùc 802.1x/EAP ®−îc
nªu trong WPA. Tuy nhiªn, chuÈn 802.11i ®Çy ®ñ kÕt hîp EAP qua mét giao
thøc LAN Ethernet (EAPOL) cho phÐp client x¸c thùc tr−íc víi AP. §iÒu nµy
®−îc thùc hiÖn b»ng c¸ch göi mét x¸c nhËn client th«ng qua mét LAN h÷u
tuyÕn, khiÕn dÔ dµng h¬n cho viÖc thùc hiÖn roam gi÷a nh÷ng AP vµ tõ nh÷ng
m«i tr−êng h÷u tuyÕn tíi nh÷ng m«i tr−êng kh«ng d©y. Ngoµi ra, WPA2
t−¬ng thÝch trë l¹i vµ tÝch hîp ho¹t ®éng víi nh÷ng s¶n phÈm ®−îc x¸c nhËn
Wi-Fi cho WPA.
CCMP dùa trªn c¬ së AES míi ®−îc ®−a ra ®· nhËn ®−îc sù xem xÐt
®¸nh gi¸ kü l−ìng cña c¸c chuyªn gia mËt m· trªn toµn thÕ giíi. AES ®¸p øng
nh÷ng yªu cÇu an toµn chÝnh phñ Mü, vµ ®−îc chÊp nhËn nh− lµ mét chuÈn
m· ho¸ phï hîp. CCMP lµ mét thuËt to¸n m¹nh kh«ng t−¬ng thÝch víi phÇn
cøng vËn hµnh WEP tr−íc ®ã vµ sÏ yªu cÇu nh÷ng thay ®æi vÒ giao thøc vµ
phÇn cøng. CCMP cung cÊp m· ho¸ (®é tin cËy), toµn vÑn tin m¹nh h¬n TKIP,
vµ còng b¶o vÖ tr−íc tÊn c«ng dïng l¹i. T−¬ng lai cña nh÷ng triÓn khai
WLAN dÞch chuyÓn theo h−íng dïng CCMP.
AES ®−îc NIST lùa chän nhê søc m¹nh mËt m· cña nã, vµ tÝnh dÔ dµng
thùc hiÖn. §−îc t¹o ra tõ thuËt to¸n Rijndael [25], AES lµ mét m· ho¸ ®¬n
gi¶n sö dông mét tÝnh to¸n ho¸n vÞ – thay thÕ. Nã ®−îc triÓn khai víi c¶ phÇn
cøng hoÆc phÇn mÒm, vµ yªu cÇu rÊt Ýt bé nhí. AES lµ mét kü thuËt m· ho¸
kho¸ ®èi xøng sö dông mét ph−¬ng ph¸p m· khèi ®Ó m· ho¸ nh÷ng bÝt d−íi
d¹ng khèi b¶n râ, ®−îc tÝnh to¸n ®éc lËp. Mçi khèi cã kÝch cì 128 bÝt, vµ triÓn
khai mét kho¸ cã ®é dµi 128 bÝt. AES ho¹t ®éng trªn mét m¶ng byte 4x4 ®−îc
113
gäi lµ mét tr¹ng th¸i. Víi WPA2, cã 10 vßng, vµ 4 giai ®o¹n t¹o mét vßng.
Bèn giai ®o¹n nµy gåm:
- Nh÷ng byte phô (mét phÐp thay thÕ phi tuyÕn)- mçi byte ®−îc thay thÕ
b»ng byte kh¸c theo mét b¶ng ®èi chiÕu.
- DÞch hµng (ShiftRows) - b−íc chuyÓn vÞ – mçi hµng cña tr¹ng th¸i
®−îc dÞch chuyÓn vßng trßn qua mét sè b−íc nhÊt ®Þnh.
- Trén cét (MixColumns) – mét b−íc trén – mét phÐp trén ®−îc thùc
hiÖn trªn nh÷ng cét cña tr¹ng th¸i, kÕt hîp 4 byte trong mçi cét sö dông mét
phÐp biÕn ®æi tuyÕn tÝnh.
- Céng kho¸ vßng (AddRoundKey) – phÐp XOR – mçi byte cña tr¹ng
th¸i ®−îc kÕt hîp víi mét byte cña vßng kho¸ phô sö dông phÐp XOR.
Cho ®Õn n¨m 2005, vÉn ch−a cã tÊn c«ng thµnh c«ng nµo chèng l¹i
®−îc AES. AES lµ mét thuËt to¸n mËt m· cùc kú an toµn. Vµo th¸ng 4/2006,
WPA2 sÏ mang tÝnh b¾t buéc víi nh÷ng s¶n phÈm kh«ng d©y ®−îc x¸c nhËn
logo Wi-Fi.
3.6. M¹ng riªng ¶o VPN cho WLAN
C«ng nghÖ m¹ng riªng ¶o lµ c«ng nghÖ ®ang ph¸t triÓn nhanh chãng
cung cÊp truyÒn d÷ liÖu an toµn trong nh÷ng c¬ së h¹ tÇng m¹ng. VPN
(Virtual Private Network) th−êng ®−îc sö dông trong 3 tr−êng hîp kh¸c nhau:
®èi víi truy cËp ng−êi sö dông tõ xa, ®èi víi kÕt nèi LAN-to-LAN, vµ ®èi víi
Extranet. VPN triÓn khai nh÷ng kü thuËt mËt m· ®Ó b¶o vÖ th«ng tin IP khi nã
truyÒn tõ mét m¹ng sang m¹ng kÕ tiÕp hoÆc tõ mét vÞ trÝ tíi vÞ trÝ kÕ tiÕp. D÷
liÖu bªn trong “®−êng hÇm” VPN ®−îc m· ho¸ vµ t¸ch rêi khái l−u l−îng
m¹ng kh¸c. Mét VPN cho kÕt nèi site-to-site ®−îc minh ho¹ ë h×nh d−íi ®©y.
Trong tr−êng hîp nµy, l−u l−îng truyÒn tõ vïng A sang vïng B ®−îc b¶o vÖ
khi nã di chuyÓn trong Internet.
114
H×nh 3.9: B¶o vÖ b»ng VPN
HÇu hÕt c¸c VPN sö dông ngµy nay tËn dông bé giao thøc IPsec. IPsec
®−îc ph¸t triÓn bëi IETF (Internet Engineering Task Force), lµ mét khung cña
nh÷ng chuÈn më ®Ó ®¶m b¶o truyÒn tin riªng qua nh÷ng m¹ng IP. Nã cung
cÊp nh÷ng kiÓu b¶o vÖ sau:
- §é tin cËy.
- TÝnh toµn ven.
- X¸c thùc nguån gèc d÷ liÖu.
- B¶o vÖ ph©n tÝch l−u l−îng.
TÝnh toµn vÑn phi kÕt nèi ®¶m b¶o mét tin nhËn ®−îc kh«ng bÞ thay ®æi
so víi tin gèc. X¸c thùc nguån gèc d÷ liÖu ®¶m b¶o tin nhËn ®−îc göi ®i tõ t¸c
gi¶ thùc cña nã chø kh«ng ph¶i bëi kÎ gi¶ m¹o nµo kh¸c. B¶o vÖ dïng l¹i
(replay) ®¶m b¶o cïng mét tin kh«ng ®−îc truyÒn nhiÒu lÇn vµ c¸c tin kh«ng
bÞ x¸o trén khi truyÒn. §é tin cËy ®¶m b¶o nh÷ng ng−êi kh¸c kh«ng thÓ ®äc
th«ng tin trong tin truyÒn. B¶o vÖ ph©n tÝch l−u l−îng ®¶m b¶o gi¸n ®iÖp
kh«ng thÓ x¸c ®Þnh ®−îc ng−êi ®ang truyÒn tin hoÆc tÇn sè hay khèi l−îng
truyÒn tin. §Çu ESP (Encapsulating Security Protocol) cung cÊp tÝnh riªng t−
vµ b¶o vÖ chãng l¹i nh÷ng thay ®æi cã ¸c ý, vµ header x¸c thùc (AH-
Authentification Header) b¶o vÖ chèng l¹i sù thay ®æi nh−ng kh«ng cung cÊp
tÝnh riªng t−. Giao thøc IKE (Internet Key Exchange) [26] cho phÐp nh÷ng
Vïng A
Vïng B
ThiÕt bÞ VPN
B¶o vÖ IPsec
115
kho¸ mËt vµ nh÷ng tham sè cã liªn quan tíi nh÷ng b¶o vÖ kh¸c ®−îc trao ®æi
tr−íc cho mét cuéc truyÒn tin mµ kh«ng cÇn cã sù can thiÖp cña ng−êi sö
dông.
ViÖc sö dông IPsec víi WLAN ®−îc m« t¶ ë h×nh d−íi ®©y:
H×nh 3.10: An toµn VPN
Nh− minh ho¹ ë trªn, ®−êng èng IPsec ®−îc cung cÊp tõ client kh«ng
d©y qua AP tíi thiÕt bÞ VPN. Víi IPsec, c¸c dÞch vô an toµn ®−îc cung cÊp ë
tÇng m¹ng cña ng¨n giao thøc. §iÒu nµy cã nghÜa tÊt c¶ nh÷ng øng dông vµ
nh÷ng giao thøc ho¹t ®éng trªn tÇng ®ã (vÝ dô trªn tÇng 3) ®−îc b¶o vÖ bëi
IPsec. C¸c dÞch vô an toµn IPsec lµ ®éc lËp víi an toµn xuÊt hiÖn ë tÇng thø 2,
an toµn WEP. Víi chiÕn l−îc phßng thñ s©u, th× nªn cã c¶ VPN vµ IPsec. ë
h×nh trªn, VPN m· ho¸ d÷ liÖu ®−îc truyÒn tíi vµ tõ m¹ng cã d©y.
H×nh 3.11: B¶o vÖ WLAN b»ng VPN
An toµn giao thøc Internet (IPsec)
AP
Client kh«ng d©y
ThiÕt bÞ VPN
M¹ng xÝ nghiÖp Cæng VPN
116
H×nh trªn minh ho¹ mét vÝ dô kh¸c vÒ mét m¹ng kh«ng d©y víi “vËt
phñ VPN”. Nh− minh ho¹, víi nh÷ng thiÕt bÞ kh«ng d©y ®−îc trang bÞ VPN,
c¸c client cã thÓ kÕt nèi an toµn tíi m¹ng doanh nghiÖp th«ng qua mét cæng
VPN. C¸c client kh«ng d©y thiÕt lËp nh÷ng kÕt nèi IPsec tíi cæng VPN kh«ng
d©y-bæ sung cho hoÆc thay thÕ WEP. L−u ý r»ng client kh«ng d©y kh«ng cÇn
phÇn cøng ®Æc biÖt; nã chØ cÇn ®−îc cung cÊp víi phÇn mÒm client
IPsec/VPN. Cæng VPN cã thÓ sö dông nh÷ng kho¸ mËt m· ®−îc chia sÎ tr−íc
hoÆc nh÷ng x¸c minh sè (dùa trªn c¬ së kho¸ c«ng khai) cho x¸c thùc thiÕt bÞ
client kh«ng d©y. Mét tæ chøc sö dông nh÷ng kho¸ chia sÎ tr−íc cho mét gi¶i
ph¸p VPN sÏ ph¶i ®èi mÆt víi nh÷ng vÊn ®Ò ph©n phèi kho¸ t−¬ng tù nh− ë
WEP. Ngoµi ra, x¸c thùc ng−êi sö dông víi mét cæng m¹ng riªng ¶o VPN cã
thÓ xuÊt hiÖn viÖc sö dông dÞch vô ng−êi sö dông quay sè x¸c thùc tõ xa
(RADIUS) hay nh÷ng mËt khÈu on time (OTP). Cæng m¹ng riªng ¶o cã thÓ
hoÆc kh«ng thÓ cã mét t−êng löa trän vÑn ®Ó giíi h¹n l−u l−îng tíi nh÷ng vÞ
trÝ nhÊt ®Þnh trong m¹ng. Ngµy nay, hÇu hÕt c¸c thiÕt bÞ VPN cã t−êng löa kÕt
hîp cïng lµm viÖc ®Ó b¶o vÖ toµn m¹ng khái truy cËp kh«ng ®−îc quyÒn vµ d÷
liÖu ng−êi sö dông truyÒn qua m¹ng. VPN vµ t−êng löa kÕt hîp sÏ tiÕt kiÖm
chi phÝ vµ gi¶m g¸nh nÆng qu¶n trÞ. Ngoµi ra, cæng VPN cã thÓ hoÆc kh«ng
thÓ cã kh¶ n¨ng t¹o mét nhËt ký kiÓm tra mäi ho¹t ®éng. Mét dÊu vÕt kiÓm tra
lµ mét b¶n ghi theo thø tù thêi gian vÒ c¸c ho¹t ®éng cña hÖ thèng ®Ó cã thÓ
kh«i phôc l¹i vµ kiÓm tra chuçi c¸c m«i tr−êng vµ c¸c ho¹t ®éng. Mét nhµ
qu¶n lý an toµn cã thÓ sö dông mét vÕt kiÓm tra trªn cæng VPN ®Ó gi¸m s¸t sù
tu©n thñ chÝnh s¸ch an toµn vµ hiÓu ®−îc liÖu chØ cã nh÷ng ng−êi ®−îc quyÒn
míi cã quyÒn truy cËp vµo m¹ng kh«ng d©y.
Còng cÇn l−u ý r»ng mÆc dï ph−¬ng ph¸p VPN t¨ng c−êng an toµn giao
diÖn truyÒn trong m«i tr−êng kh«ng khÝ, tuy nhiªn, ph−¬ng ph¸p nµy kh«ng
hoµn toµn gi¶i quyÕt vÊn ®Ò an toµn cho m¹ng doanh nghiÖp. VÝ dô, x¸c thùc
vµ cÊp quyÒn cho nh÷ng øng dông xÝ nghiÖp kh«ng ph¶i lóc nµo còng ®−îc
117
gi¶i quyÕt b»ng gi¶i ph¸p an toµn nµy. Mét sè thiÕt bÞ VPN cã thÓ sö dông
nh÷ng chÝnh s¸ch ng−êi sö dông cô thÓ yªu cÇu x¸c thùc tr−íc khi truy cËp tíi
nh÷ng øng dông møc xÝ nghiÖp. C¸c c¬ quan mong muèn t×m kiÕm sù hç trî
trong viÖc ph¸t triÓn mét chiÕn l−îc an toµn møc xÝ nghiÖp tæng thÓ.
§èi víi nh÷ng m¹ng côc bé kh«ng d©y khi nh÷ng lç hæng cña WEP
tÜnh bÞ kh¸m ph¸, VPN ®· nhanh chãng ®−îc ®−a ra nh− lµ mét c¸ch ®Ó ®¶m
b¶o an toµn d÷ liÖu truyÒn qua m¹ng WLAN. VPN lµ mét gi¶i ph¸p cùc kú tèt
®Ó ®¶m b¶o an toµn khi truyÒn d÷ liÖu trªn mét m¹ng cã nhiÒu kÎ thï nh−
Internet (mÆc dï chÊt l−îng cña nh÷ng thùc thi VPN lµ kh«ng gièng nhau).
Tuy nhiªn, nã kh«ng cÇn thiÕt lµ gi¶i ph¸p tèt nhÊt ®Ó ®¶m b¶o an toµn cho
nh÷ng WLAN néi bé. §èi víi lo¹i øng dông nµy, mét VPN ®−a ra Ýt h¬n hoÆc
kh«ng ®−a ra tÝnh chÊt an toµn bæ sung g× so víi nh÷ng gi¶i ph¸p 802.1x trong
khi ®ã l¹i lµm t¨ng mét c¸ch ®¸ng kÓ ®é phøc t¹p vµ chi phÝ, gi¶m kh¶ n¨ng sö
dông.
L−u ý: ®iÒu nµy kh«ng gièng víi viÖc sö dông VPN ®Ó ®¶m b¶o an
toµn l−u l−îng truyÒn qua nh÷ng hotspots. ViÖc b¶o vÖ d÷ liÖu m¹ng cña
nh÷ng ng−êi sö dông kÕt nèi qua nh÷ng m¹ng tõ xa lµ mét sö dông VPN hîp
lý.
3.6.1. Nh÷ng −u ®iÓm sö dông VPN b¶o vÖ WLAN
- HÇu hÕt c¸c tæ chøc ®· cã mét gi¶i ph¸p VPN ®−îc triÓn khai do vËy
nh÷ng ng−êi sö dông vµ nh©n viªn IT sÏ thÊy quen víi ph−¬ng ph¸p nµy.
- B¶o vÖ d÷ liÖu VPN th−êng sö dông m· ho¸ phÇn mÒm cho phÐp
nh÷ng thuËt to¸n ®−îc thay ®æi vµ cËp nhËt mét c¸ch dÔ dµng h¬n m· ho¸ dùa
trªn c¬ së phÇn cøng.
- B¹n cã thÓ sö dông phÇn cøng víi chi phÝ thÊp h¬n bëi v× b¶o vÖ VPN
lµ ®éc lËp víi phÇn cøng WLAN.
118
3.6.2. Nh−îc ®iÓm sö dông VPN
- VPN thiÕu tÝnh trong suèt ng−êi sö dông. Nh÷ng client VPN th−êng
yªu cÇu ng−êi sö dông khëi t¹o b»ng tay mét kÕt nèi tíi m¸y chñ VPN; do ®ã,
kÕt nèi nµy sÏ kh«ng bao giê trong suèt nh− mét kÕt nèi h÷u tuyÕn. Nh÷ng
client kh«ng ph¶i Microsoft còng cã thÓ khëi ®éng cho nh÷ng x¸c minh ®¨ng
nhËp t¹i kÕt nèi ngoµi m¹ng chuÈn hay ®¨ng nhËp miÒn. NÕu nh− VPN ng¾t
kÕt nèi, do mét tÝn hiÖu WLAN nghÌo nµn hay do ng−êi sö dông roam gi÷a
c¸c AP, ng−êi sö dông sÏ ph¶i kÕt nèi l¹i.
- Do kÕt nèi VPN chØ lµ khëi t¹o ng−êi sö dông, mét m¸y tÝnh gi¶ m¹o
kh«ng ®¨ng nhËp sÏ kh«ng thÓ kÕt nèi tíi VPN. Do ®ã, mét m¸y tÝnh kh«ng
thÓ bÞ qu¶n lý tõ xa hay bÞ theo dâi tõ xa trõ khi mét ng−êi sö dông ®· ®¨ng
nhËp vµo. Nh÷ng thiÕt lËp GPO (Group policy object) m¸y tÝnh nhÊt ®Þnh, nh−
nh÷ng m· khëi ®éng vµ m¸y tÝnh ®−îc g¸n phÇn mÒm sÏ kh«ng bao giê ®−îc
¸p dông.
- Nh÷ng hiÖn t−îng roaming, nh÷ng m· ®¨ng nhËp, vµ phÇn mÒm ®−îc
triÓn khai tíi ng−êi sö dông sö dông GPO cã thÓ kh«ng lµm viÖc ®−îc nh−
mong ®îi. Trõ khi ng−êi sö dông lùa chän ®Ó ®¨ng nhËp sö dông kÕt nèi VPN
tõ khëi ®éng ®¨ng nhËp Windows, m¸y tÝnh sÏ kh«ng kÕt nèi tíi LAN liªn
hîp cho ®Õn sau khi ng−êi sö dông ®· ®¨ng nhËp vµ khëi ®éng kÕt nèi VPN.
Víi mét client VPN kh«ng ph¶i Microsoft, kh«ng thÓ thùc hiÖn mét ®¨ng
nhËp miÒn ®Çy ®ñ qua mét kÕt nèi VPN.
- Sù khëi ®Çu l¹i tõ chÕ ®é standby hay chÕ ®é nghØ kh«ng tù ®éng thiÕt
lËp l¹i kÕt nèi VPN; ng−êi sö dông ph¶i thùc hiÖn ®iÒu nµy b»ng tay.
- MÆc dï d÷ liÖu bªn trong ®−êng hÇm VPN ®−îc b¶o vÖ, VPN kh«ng
®−a ra sù b¶o vÖ cho b¶n th©n WLAN. Mét kÎ tÊn c«ng vÉn cã thÓ gia nhËp
vµo WLAN vµ cè g¾ng th¨m dß hay tÊn c«ng bÊt kú thiÕt bÞ nµo ®−îc g¾n tíi
WLAN.
119
- Nh÷ng m¸y chñ VPN cã thÓ trë thµnh mét nót cæ chai. TÊt c¶ client
WLAN truy cËp tíi LAN liªn hîp ®−îc chuyÓn qua m¸y chñ VPN. Nh÷ng
thiÕt bÞ VPN phôc vô mét sè l−îng lín nh÷ng client tõ xa tèc ®é thÊp; do vËy,
hÇu hÕt c¸c cæng VPN sÏ kh«ng thÓ ®èi mÆt víi hµng chôc hay hµng tr¨m
client ch¹y ë tèc ®é LAN tèi ®a.
- Chi phÝ cho viÖc bæ sung phÇn cøng vµ qu¶n lý nh÷ng thiÕt bÞ VPN
ch¾c ch¾n cao h¬n nhiÒu mét gi¶i ph¸p WLAN ®¬n thuÇn. Mçi mét vïng sÏ
ph¶i cÇn tíi m¸y chñ VPN cña chÝnh nã ngoµi nh÷ng AP WLAN.
- Nh÷ng phiªn VPN thiªn vÒ ng¾t kÕt nèi khi nh÷ng client roam gi÷a
nh÷ng AP. MÆc dï nh÷ng øng dông sÏ th−êng ph¶i chÞu mét ng¾t kÕt nèi t¹m
thêi khi chuyÓn m¹ch nh÷ng AP kh«ng d©y, nh÷ng phiªn VPN sÏ th−êng
xuyªn bÞ ph¸ vì, yªu cÇu ng−êi sö dông t¸i kÕt nèi l¹i b»ng tay.
- Chi phÝ cña m¸y chñ VPN vµ nh÷ng cÊp phÐp phÇn mÒm client, còng
nh− chi phÝ triÓn khai phÇn mÒm, cã thÓ lµ mét vÊn ®Ò víi nh÷ng gi¶i ph¸p
VPN kh«ng ph¶i lµ Microsoft. B¹n còng cã thÓ ph¶i quan t©m tíi t−¬ng thÝch
phÇn mÒm client VPN bëi nh÷ng client kh«ng ph¶i Microsoft th−êng thay thÕ
chøc n¨ng Windows chÝnh.
NhiÒu nhµ ph©n tÝch vµ nhµ s¶n xuÊt cho r»ng an toµn VPN th−êng tèt
h¬n an toµn WLAN. MÆc dï ®iÒu nµy lµ ®óng cho WEP tÜnh, nh−ng kh«ng
hoµn toµn víi nh÷ng gi¶i ph¸p dùa trªn c¬ së EAP 802.1x. Nh÷ng ph−¬ng
ph¸p x¸c thùc VPN, cô thÓ, th−êng kÐm an toµn h¬n vµ kh«ng m¹nh h¬n. VÝ
dô, nh÷ng gi¶i ph¸p WLAN ®−îc hç trî bëi Microsoft sö dông cïng ph−¬ng
ph¸p x¸c thùc EAP gièng nh− nh÷ng ph−¬ng ph¸p VPN cña nã (EAP-TLS vµ
MS-CHAP v2). NhiÒu thùc thi VPN, ®Æc biÖt lµ nh÷ng thùc thi dùa trªn c¬ së
chÕ ®é ®−êng hÇm IPsec, sö dông x¸c thùc kho¸ chia sÎ (mét mËt khÈu
nhãm). §iÒu nµy t¹o ra nh÷ng lç hæng an toµn nghiªm träng gièng nh− WEP
tÜnh.
120
Mét VPN kh«ng lµm ®iÒu g× ®Ó ®¶m b¶o an toµn cho b¶n th©n WLAN.
MÆc dï d÷ liÖu bªn trong nh÷ng ®−êng hÇm VPN lµ an toµn, bÊt kú ai vÉn cã
thÓ x©m nhËp vµo WLAN vµ cè g¾ng tÊn c«ng nh÷ng client hîp ph¸p vµ
nh÷ng thiÕt bÞ kh¸c trªn WLAN.
VPN phï hîp nhÊt ®Ó ®¶m b¶o an toµn cho l−u l−îng truyÒn qua nh÷ng
m¹ng c«ng céng, ë ®ã ng−êi sö dông ®ang kÕt nèi qua mét kÕt nèi b¨ng th«ng
réng gia ®×nh hoÆc tõ mét hotspot kh«ng d©y. Tuy nhiªn, VPN ch−a bao giê
®−îc thiÕt kÕ ®Ó ®¶m b¶o an toµn l−u l−îng m¹ng trªn nh÷ng m¹ng bªn trong.
§èi víi hÇu hÕt c¸c tæ chøc, VPN trong vai trß cña nã sÏ qóa cång kÒnh vµ
h¹n chÕ vÒ mÆt chøc n¨ng cho ng−êi sö dông vµ qu¸ ®¾t ®á vµ phøc t¹p cho
phßng IT ®Ó cã thÓ duy tr× nã. Trong nh÷ng tr−êng hîp ngo¹i lÖ ë ®ã an toµn
cao h¬n cho mét kÕt nèi cô thÓ hay kiÓu l−u l−îng cÇn thiÕt, ®iÒu nµy cã thÓ
®−îc cung cÊp bëi mét ®−êng hÇm VPN hoÆc chÕ ®é vËn t¶i IPsec ngoµi b¶o
vÖ WLAN ®¬n thuÇn.
121
Ch−¬ng 4: TriÓn khai WLAN an toµn trong m«i
tr−êng gi¸o dôc
4.1. Vai trß tiÒm n¨ng cña WLAN trong gi¸o dôc
M¹ng côc bé dùa trªn c«ng nghÖ kh«ng d©y sÏ ®ãng mét phÇn quan
träng trong viÖc ph¸t triÓn c¬ së h¹ tÇng c«ng nghÖ th«ng tin t¹i c¸c tr−êng
cao ®¼ng vµ ®¹i häc trong mét vµi n¨m tíi. Nã ®Æc biÖt h÷u Ých ®èi víi nh÷ng
m«i tr−êng gi¸o dôc mong muèn më réng hÖ thèng m¹ng hiÖn hµnh cña hä
sang c¸c khu vùc míi x©y dùng, bëi v× c«ng nghÖ WLAN ch¾c ch¾n sÏ lµ mét
c¸ch thøc hiÖu qu¶ nhÊt vÒ chi phÝ cho viÖc më réng hÖ thèng m¹ng còng nh−
kÐo theo nã lµ sù gia t¨ng ®ång thêi sè l−îng ng−êi sö dông.
Ngoµi nh÷ng lîi Ých vÒ mÆt kinh tÕ, WLAN còng cung cÊp cÊp tÝnh c¬
®éng h¬n so víi LAN h÷u tuyÕn v× nh÷ng lý do sau:
Thø nhÊt, WLAN cung cÊp tÝnh c¬ ®éng vËt lý, bëi v× bÊt kú ®©u trong
kh«ng gian gi¸o dôc ng−êi sö dông lµm viÖc, hä vÉn cã thÓ sö dông hÖ thèng
m¹ng. Víi mét m¹ng h÷u tuyÕn, ®iÒu nµy chØ cã thÓ thùc hiÖn ®−îc b»ng c¸ch
ph¶i quyÕt ®Þnh vÞ trÝ ®Æt m¸y tÝnh vµ cµi ®Æt nh÷ng socket m¹ng t¹i n¬i ®ã.
Th−êng viÖc sö dông kh«ng gian thay ®æi theo thêi gian, vµ khi ®ã, víi triÓn
khai h÷u tuyÕn ta ph¶i ®Æt l¹i ®−êng c¸p, cßn ®èi víi c«ng nghÖ kh«ng d©y
®iÒu nµy kh«ng cÇn thiÕt, nã hoµn toµn cã thÓ ®¸p øng ®−îc tr−íc nh÷ng thay
®æi ®ã.
Thø hai, víi mét m¹ng h÷u tuyÕn, sè l−îng tèi ®a ng−êi sö dông ph¶i
®−îc x¸c ®Þnh khi kh«ng gian ®−îc l¾p d©y dÉn vµ sè l−îng phï hîp nh÷ng
socket m¹ng ®−îc cµi ®Æt. §iÒu nµy ®ång nghÜa víi viÖc cã qu¸ nhiÒu socket
m¹ng ®−îc cµi ®Æt, dÉn ®Õn tèn kÐm tiÒn b¹c, vµ khi cÇu v−ît qu¸ cung mét sè
ng−êi sö dông kh«ng thÓ sö dông m¹ng. Víi mét m¹ng kh«ng d©y, mÆc dï
hiÖu n¨ng m¹ng còng sÏ gi¶m khi l−îng sö dông t¨ng, trõ khi cã mét nhu cÇu
rÊt cao tÊt c¶ ng−êi sö dông cïng truy cËp m¹ng.
122
Thø ba, m¹ng kh«ng d©y cã thÓ ®Õn víi nh÷ng n¬i mµ m¹ng h÷u tuyÕn
kh«ng thÓ ®Õn ®−îc, nh− nh÷ng ph¹m vi ngoµi trêi, do tÝn hiÖu cã thÓ bao
trïm ë ph¹m vi hµng tr¨m mÐt tõ c¸c toµ nhµ.
ViÖc trang bÞ hÖ thèng m¹ng kh«ng d©y ë khu tr−êng ®¹i häc cho ta kh¶
n¨ng t−¬ng t¸c nhiÒu h¬n gi÷a nh÷ng gi¸o viªn vµ nh÷ng sinh viªn. Hä cã thÓ
truy cËp th«ng tin vµ nh÷ng øng dông m¹ng dÔ dµng h¬n, ë bÊt kú ®©u trong
khu«n viªn cña tr−êng. Ngoµi ra, nã cßn khuyÕn khÝch sö dông nh÷ng m¸y
tÝnh x¸ch tay cã trang bÞ c«ng nghÖ kh«ng d©y cña chÝnh sinh viªn, lµm t¨ng
kh¶ n¨ng häc tËp nghiªn cøu cña hä còng nh− kh«ng gian häc tËp kh«ng bÞ gß
bã trong líp häc mµ vÉn ®¹t hiÖu qu¶ cao.
H×nh 4.1: Truy cËp th«ng tin cã thÓ thùc hiÖn bÊt kú ®©u trong khu«n viªn víi
c«ng nghÖ WLAN
4.2. Lùa chän gi¶i ph¸p an toµn WLAN cho khu tr−êng häc
Ngoµi nh÷ng thuËn lîi nªu trªn cña WLAN, còng gièng nh− víi bÊt kú
c«ng nghÖ míi nµo kh¸c, WLAN còng cã nh÷ng vÊn ®Ò ®i kÌm víi nã nh−
kh¶ n¨ng ®¸p øng tr−íc nh÷ng thay ®æi nhanh chãng vÒ nh÷ng chuÈn c«ng
nghÖ WLAN; vÊn ®Ò chia sÎ d¶i th«ng; vµ vÊn ®Ò an toµn.
An toµn lµ mét vÊn ®Ò quan träng trong WLAN, tuy nhiªn kh«ng cã
nghÜa lµ kh«ng thÓ triÓn khai WLAN v× nã hæng h¬n so víi LAN h÷u tuyÕn.
C¬ së h¹ tÇng WLAN
Qu¶n trÞ
Nh÷ng b¶n ghi vµ th«ng tin
Gi¸o viªn
Nh÷ng bµi gi¶ng vµ th«ng tin
Sinh viªn
Häc trùc tuyÕn vµ th«ng tin
Th− viÖn
S¸ch ®iÖn tö vµ th«ng tin trùc tuyÕn
123
BÊt kú m¹ng nµo ®Òu cã nh÷ng nguy c¬ an toµn tiÒm Èn nÕu nh− chóng ta
kh«ng chó ý tíi viÖc b¶o vÖ nã tr−íc nh÷ng tÊn c«ng. §èi víi tõng m«i tr−êng,
môc ®Ých sö dông cô thÓ, cÇn lùa chän gi¶i ph¸p an toµn phï hîp.
Tr−íc ®©y, ®èi víi nh÷ng thiÕt kÕ WLAN cho mét khu (campus) nµo
®ã, kh«ng thÓ cung cÊp roaming kÕt nèi liªn tôc gi÷a nh÷ng toµ nhµ, ®Æc biÖt
khi VPN ®−îc sö dông ®Ó ®¶m b¶o an toµn WLAN. ViÖc roaming gi÷a c¸c toµ
nhµ yªu cÇu t−¬ng t¸c ng−êi sö dông ë d¹ng treo vµ b¾t ®Çu l¹i nh÷ng øng
dông khi hä di chuyÓn tõ toµ nhµ nµy sang toµ nhµ kh¸c. ChÝnh v× thÕ, WLAN
th−êng ®−îc x©y dùng trªn mét subnet duy nhÊt.
H×nh 4.2: Topo m¹ng WLAN truyÒn thèng – t¸ch rêi nh÷ng ng−êi sö dông
kh«ng d©y sö dông mét subnet duy nhÊt.
Tuy nhiªn, hiÖn nay chóng ta cã thÓ thiÕt kÕ dÞch vô WLAN bao phñ
toµn bé khu nhµ b»ng hç trî IP di ®éng [27], mét chuÈn sÏ cho phÐp roaming
gi÷a c¸c toµ nhµ.
Ng−êi sö dông
tõ xa víi Client
VPN
124
H×nh 4.3: Topo m¹ng WLAN víi nh÷ng ph©n ®o¹n m¹ng kh«ng d©y vµ cã d©y
®an xen, kÕt hîp chÆt chÏ víi nh÷ng m¸y chñ chÝnh s¸ch vµ x¸c thùc
Víi sù ph¸t triÓn cña c«ng nghÖ WLAN trong giai ®o¹n hiÖn nay, sö
dông c«ng nghÖ VPN cho m· ho¸ m¹nh gi÷a WLAN vµ m¹ng liªn hîp cïng
víi triÓn khai x¸c thùc ®Ó hç trî kiÓm so¸t truy cËp sÏ cung cÊp cho ta møc ®é
an toµn tèt nhÊt. §©y còng chÝnh lµ gi¶i ph¸p ®−îc triÓn khai hÇu hÕt ë c¸c
tr−êng ®¹i häc trªn thÕ giíi cã triÓn khai WLAN.
Nh÷ng chuÈn an toµn WLAN ®ang næi lªn hiÖn nay, nh− TKIP vµ
nh÷ng chuÈn t−¬ng lai, nh− chuÈn m· ho¸ AES trong 802.11i sÏ lµ mét gi¶i
ph¸p l©u dµi ®Ó ®¶m b¶o an toµn WLAN mµ kh«ng cÇn ®Õn m· ho¸ VPN.
4.3. §Ò xuÊt thùc thi WLAN an toµn t¹i tr−êng kü thuËt nghiÖp vô
c«ng an.
HiÖn nay, môc ®Ých triÓn khai WLAN t¹i tr−êng kü thuËt nghiÖp vô
c«ng an lµ më réng hÖ thèng m¹ng h÷u tuyÕn hiÖn cã sang c¸c khu vùc kh¸c
trong khu«n viªn cña Tr−êng mµ kh«ng cÇn ph¶i thùc hiÖn thiÕt kÕ vµ triÓn
Subnet h÷u tuyÕn Subnet kh«ng d©y
Subnet kh«ng d©y
Subnet h÷u tuyÕn
Trung t©m d÷ liÖu hay
closet h÷u tuyÕn
T¨ng c−êng chÝnh s¸ch
m· ho¸, x¸c thùc, kiÓm
so¸t truy cËp
Nh÷ng m¸y chñ chÝnh
s¸ch/x¸c thùc
Nh÷ng øng dông xÝ nghiÖp
vµ nh÷ng m¸y chñ d÷ liÖu
Qu¶n lý
tËp trung Ng−êi sö dông tõ
xa víi client VPN
125
khai ®−êng c¸p m¹ng. Sö dông c«ng nghÖ WLAN sÏ gióp gi¶m bít chi phÝ l¾p
®Æt, më ra kh¶ n¨ng nèi m¹ng gi÷a nh÷ng toµ nhµ hoÆc gi÷a c¸c tÇng trong
mét toµ nhµ khã triÓn khai c¸p, hoÆc ph¶i thùc hiÖn nh÷ng ph¸ dì vÒ x©y
dùng, kiÕn tróc..
Khi triÓn khai WLAN ph¶i gi¶i quyÕt hai vÊn ®Ò an toµn c¬ b¶n , ®ã lµ:
- X¸c thùc (ng−êi sö dông vµ thiÕt bÞ).
- B¶o mËt th«ng tin trªn ®−êng truyÒn.
TriÓn khai WLAN víi môc ®Ých më réng hÖ thèng m¹ng LAN v¨n
phßng vµ hÖ thèng m¹ng LAN thùc tËp chuyªn ngµnh.
§èi víi hÖ thèng m¹ng v¨n phßng cã thÓ sö dông nh÷ng biÖn ph¸p an
toµn WLAN c¬ b¶n nh− ®· ®Ò cËp ë trªn nh− sö dông WEP tÜnh, läc.., hoÆc cã
thÓ sö dông gi¶i ph¸p an toµn tèt h¬n nh− WPA ë chÕ ®é PSK.
§èi víi hÖ thèng m¹ng thùc tËp chuyªn ngµnh, do ®Æc thï, c¸c biÖn
ph¸p b¶o vÖ vËt lý ®−îc chó ý hµng ®Çu ®Ó ®¶m b¶o an toµn thiÕt bÞ m¹ng.
Ngoµi ra vÊn ®Ò b¶o mËt l−u l−îng m¹ng (b¶o mËt th«ng tin truyÒn trong
kh«ng khÝ) còng lµ quan t©m chÝnh khi triÓn khai WLAN cho m¹ng nµy. Sö
dông kü thuËt mËt m· m¹nh ®Ó m· ho¸ th«ng tin truyÒn trªn m¹ng lµ mét biÖn
ph¸p ®¶m b¶o an toµn tèt nhÊt. Cã thÓ sö dông mËt m· kho¸ ®èi xøng, víi c¬
së h¹ tÇng kho¸ m· ho¸/gi¶i m· s½n cã, cung cÊp cho bªn truyÒn vµ bªn nhËn
tin ®Ó thùc hiÖn m· ho¸/gi¶i m· file truyÒn/nhËn. Khi ®ã trªn c¸c client sÏ
®−îc cµi ®Æt phÇn mÒm m· ho¸ gi¶i m· file.
PhÇn phô lôc sÏ tr×nh bµy mét ch−¬ng tr×nh phÇn mÒm minh ho¹ m·
ho¸/gi¶i m· file sö dông mËt m· kho¸ ®èi xøng.
126
KÕt luËn
M¹ng WLAN sÏ lµ c«ng nghÖ m¹ng cña t−¬ng lai. Tuy nhiªn, do tÝnh
chÊt më cña m¹ng nµy, vÊn ®Ò an toµn còng cÇn ®−îc ®Æt lªn hµng ®Çu.
HiÖn nay nh÷ng c«ng nghÖ an toµn nh− WEP, läc.. ®−îc xem lµ nh÷ng
c«ng nghÖ an toµn c¬ së, ®−îc triÓn khai cho WLAN tõ thêi kú b¾t ®Çu cña
m¹ng nµy. C«ng nghÖ m¹ng riªng ¶o VPN vµ 802.1x ®−îc xem lµ c«ng nghÖ
an toµn ®ang ®−îc ¸p dông triÓn khai t¹i thêi ®iÓm hiÖn t¹i, vµ nh÷ng c«ng
nghÖ nh− 802.11i vµ WPA chÝnh lµ sù lùa chän cña t−¬ng lai khi thùc hiÖn
triÓn khai WLAN. Tuy nhiªn, viÖc lùa chän c«ng nghÖ an toµn nµo lµ phï hîp
hoµn toµn phô thuéc vµo tõng môc ®Ých an toµn cô thÓ. §èi víi m«i tr−êng
m¹ng yªu cÇu tÝnh b¶o mËt cao (nh− b¶o mËt th«ng tin quèc gia) th× cÇn lùa
chän gi¶i ph¸p an toµn cã sö dông kü thuËt mËt m· vµ x¸c thùc ng−êi dïng
m¹nh.
Qua t×m hiÓu vÒ m¹ng WLAN vµ nh÷ng vÊn ®Ò an toµn cho m¹ng nµy
t«i nhËn thÊy trong t−¬ng lai kh«ng xa, viÖc x©y dùng dù ¸n triÓn khai c«ng
nghÖ WLAN an toµn cho tr−êng ®¹i häc kü thuËt c«ng an nh©n d©n lµ hoµn
toµn cã thÓ thùc hiÖn ®−îc. §ã còng chÝnh lµ mét phÇn trong ®Þnh h−íng
nghiªn cøu tiÕp theo cña luËn v¨n.
127
Phô lôc ch−¬ng tr×nh m∙ ho¸/gi¶i m∙ file
Ch−¬ng tr×nh m· hãa/gi¶i m· File sö dông kü thuËt m· dßng ®èi xøng.
File tr−íc khi truyÒn ®−îc m· hãa b»ng mét kho¸ mËt m· nh»m ®¶m b¶o an
toµn th«ng tin trªn ®−êng truyÒn. T¹i n¬i nhËn, sÏ sö dông kho¸ t−¬ng tù ®Ó
gi¶i m·. Ch−¬ng tr×nh hç trî m· ho¸ file nÐn (Winzip); sö dông ph−¬ng ph¸p
mËt m· t¨ng c−êng MD5 vµ SHA ®Ó b¨m kho¸, ®¶m b¶o an toµn cao. D−íi
®©y lµ mét sè phÇn trong ch−¬ng tr×nh ®−îc x©y dùng trªn ng«n ng÷ lËp tr×nh
VB 6.0.
*********************************************
PhÇn m· ho¸/gi¶i m· dïng thuËt to¸n m· dßng ®èi xøng
*********************************************
'Khëi t¹o thuËt to¸n
Public Sub RC4ini(Pwd As String)
Dim temp As Integer, Aini As Integer, bini As Integer
'L−u kho¸ trong m¶ng byte
bini = 0
For Aini = 0 To 255
bini = bini + 1
If bini > Len(Pwd) Then
bini = 1
End If
kep(Aini) = Asc(Mid$(Pwd, bini, 1))
Next Aini
'Khëi t¹o S-box
For Aini = 0 To 255
s(Aini) = Aini
Next Aini
bini = 0
128
For Aini = 0 To 255
bini = (bini + s(Aini) + kep(Aini)) Mod 256
' Swap( S(i),S(j) )
temp = s(Aini)
s(Aini) = s(bini)
s(bini) = temp
Next Aini
End Sub
'ChØ sö dông thñ tôc nµy cho nh÷ng text ng¾n
Public Function EnDeCrypt(plaintxt As String) As String
Dim temp As Integer, rccounter As Long, i As Integer, j As Integer, k
As Integer
Dim TempArray() As Byte
Str2ByteArray plaintxt, TempArray
For rccounter = 1 To UBound(TempArray)
i = (i + 1) Mod 256
j = (j + s(i)) Mod 256
' Swap( S(i),S(j) )
temp = s(i)
s(i) = s(j)
s(j) = temp
'T¹o k byte kho¸
k = s((s(i) + s(j)) Mod 256)
'Byteb¶nrâ xor Bytekho¸
TempArray(rccounter) = TempArray(rccounter) Xor k
Next rccounter
EnDeCrypt = StrConv(TempArray, vbUnicode)
End Function
129
'************* Thñ tôc m∙ ho¸/gi¶i m∙ file ******************
Private Sub EnDeCryptfile()
Dim eNr As Integer
Dim DNr As Integer
Dim Answer As Integer
Dim dCount As Double
Dim dRest As Double
Dim sTemp As String
Const CPY_BUFFER = 10240
On Error GoTo Error
'ThiÕt lËp bé ®Õm Set-Box vÒ 0
i = 0: j = 0
If olefile = "" Then
path = SaveDialog(Me, "*.*", "Lua chon file de ma hoa/giai ma",
App.path)
Else
path = olefile
End If
If path = "" Then
txtpwd.SetFocus
Exit Sub
End If
'In mét text tr¹ng th¸i
Form1.Caption = "Dang xu ly file"
'Disable the Mousepointer
MousePointer = vbHourglass
'Xo¸ mµn h×nh
Form1.Refresh
130
If Winzip And encrypt Then
Call Zip
End If
eNr = FreeFile
DNr = FreeFile + 1
Open path For Binary As eNr
If LOF(eNr) = 0 Then
Close eNr
GoTo Error
End If
If encrypt Then
'NÕu nh− ®∙ cã file th× c¶nh b¸o ng−êi sö dông
If FileExist(path + ".enc") Then
Answer = MsgBox("File " & path + ".enc da co - tiep tuc?",
vbYesNo, "Loi")
If Answer = vbYes Then
SetAttr path + ".enc", vbArchive
Else
'Enable the Mousepointer
MousePointer = vbDefault
'S½n sµng!
Form1.Caption = StatusCaption
'ThiÕt lËp Focus
txtpwd.SetFocus
Exit Sub
End If
End If
Open path + ".enc" For Binary As DNr
131
Else
path = Left$(path, Len(path) - 4)
'NÕu nh− ®∙ cã file nµy råi th× c¶nh b¸o ng−êi sö dông
If FileExist(path) Then
Answer = MsgBox("File " & path + " da co - tiep tuc?", vbYesNo,
"Loi")
If Answer = vbYes Then
SetAttr path, vbArchive
Else
'Enable the Mousepointer
MousePointer = vbDefault
'S½n sµng!
Form1.Caption = StatusCaption
'ThiÕt lËp Focus
txtpwd.SetFocus
Exit Sub
End If
End If
Open path For Binary As DNr
End If
'B¨m kho¸ (MD5 hoÆc SHA)
If Hash_Sel = "MD5" Then
Call md5_hash_msg(txtpwd.Text)
sign_msg = Trim(Str(Context.State(1))) + Trim(Str(Context.State(2)))
+ Trim(Str(Context.State(3))) + Trim(Str(Context.State(4)))
Else 'Default Setting
Call sha_hash_msg(txtpwd.Text)
132
sign_msg = Trim(Str(bufA)) & Trim(Str(bufB)) & Trim(Str(bufC)) &
Trim(Str(bufD)) & Trim(Str(bufE))
End If
'Khëi t¹o nh÷ng S-Box chØ mét lÇn cho mét file (víi b¨m kho¸)
RC4ini (sign_msg)
'§äc file vµ m∙ ho¸
'NÕu nh− file lín h¬n 10Kb
If LOF(eNr) > CPY_BUFFER Then
sTemp = Space(CPY_BUFFER)
dCount = Int(LOF(eNr) / CPY_BUFFER)
dRest = LOF(eNr)
For i = 1 To dCount
Get eNr, , sTemp
Put DNr, , EnDeCrypt(sTemp)
dRest = dRest - CPY_BUFFER
Next i
sTemp = String(dRest, " ")
Get eNr, , sTemp
Put DNr, , EnDeCrypt(sTemp)
'NÕu nh− file nhá h¬n hoÆc b»ng 10 Kb
ElseIf LOF(eNr) 0 Then
sTemp = Space(LOF(eNr))
Get eNr, , sTemp
Put DNr, , EnDeCrypt(sTemp)
End If
sTemp = Empty
Close eNr
Close DNr
133
Close 1
Close 2
If FileExist(oldzipname) And encrypt Then Kill oldzipname
'T¹o con trá chuét
MousePointer = vbDefault
'S½n sµng!
Form1.Caption = StatusCaption
'ThiÕt lËp Focus
txtpwd.SetFocus
Error:
End Sub
Private Sub Zip()
Dim zipname As String
'KiÓm tra xem file ®∙ ®−îc nÐn ch−a
If InStr(path, ".zip") > 0 Then GoTo Error
If InStr(path, ".") > 0 Then
'Xo¸ bæ sung më réng cò .zip
zipname = Chr(34) + Left$(path, Len(path) - 3) + "zip" + Chr(34) + "
"
oldzipname = Left$(path, Len(path) - 3) + "zip"
Else
'NÕu nh− file kh«ng cã bæ sung më réng .zip
zipname = Chr(34) + zipname + ".zip" + Chr(34) + " "
oldzipname = zipname + ".zip"
'KiÓm tra xem ®∙ cã file nÐn ch−a
If FileExist(oldzipname) Then
MsgBox "Da co mot file duoc nen: " + oldzipname, vbOKOnly,
"Loi!"
134
GoTo Error
End If
End If
'Khëi ®éng Winzip
ShellAndWait Winzippath + " " + zipname + Chr(34) + path + Chr(34)
'Tªn file nÐn
'File ®Ó nÐn
'L−u ®−êng dÉn míi bëi v× b©y giê muèn m∙ ho¸ file nÐn!
If FileExist(oldzipname) Then
path = oldzipname
Else
MsgBox "Khong the nen file...", vbOKOnly, "Loi!"
End If
Error:
End Sub
'Dïng cho Drag and Drop
Private Sub Encryptb_OLEDragDrop(Data As DataObject, Effect As
Long, Button As Integer, Shift As Integer, x As Single, y As Single)
Dim filecounter As Integer
For filecounter = 1 To Data.Files.Count
If (GetAttr(Data.Files.Item(filecounter)) And vbDirectory) = 0 Then
olefile = Data.Files(filecounter)
encrypt = True
Call check
End If
Next
End Sub
135
Private Sub Decrypt_OLEDragDrop(Data As DataObject, Effect As
Long, Button As Integer, Shift As Integer, x As Single, y As Single)
Dim filecounter As Integer
For filecounter = 1 To Data.Files.Count
If (GetAttr(Data.Files.Item(filecounter)) And vbDirectory) = 0 Then
olefile = Data.Files(filecounter)
encrypt = False
Call check
End If
Next
End Sub
Private Sub check()
'KiÓm tra lçi
If txtpwd.Text = "" Then
MsgBox "Ban can nhap khoa de ma hoa hoac giai ma", 0, "Loi!"
txtpwd.SetFocus
Exit Sub
ElseIf Len(txtpwd) < 8 Then
MsgBox "Ban nen su dung khoa dai hon 7 ky tu!", 0, "Canh bao an
toan"
End If
If Verify Then
Ok.Visible = True
Cancel.Visible = True
temp = txtpwd
txtpwd = ""
txtpwd.SetFocus
136
Form1.Caption = "Xac thuc khoa!"
Else
Call EnDeCryptfile
End If
End Sub
'Dïng cho x¸c thùc kho¸
Private Sub Ok_Click()
If temp = txtpwd Then
Ok.Visible = False
Cancel.Visible = False
Call EnDeCryptfile
Else
Ok.Visible = False
Cancel.Visible = False
Form1.Caption = StatusCaption
txtpwd = ""
txtpwd.SetFocus
Exit Sub
End If
Form1.Caption = StatusCaption
End Sub
137
*********************************************
Thùc hiÖn ch−¬ng tr×nh
*********************************************
1. NhËp kho¸ m· ho¸/gi¶i m·
2. Thùc hiÖn x¸c thùc kho¸ m· ho¸/gi¶i m· (nÕu chän chøc n¨ng nµy)
3. Lùa chän file ®Ó m· ho¸/gi¶i m·
138
tµi liÖu tham kh¶o
139
[1]. Jim Geier (2002), Improving WLAN Performance with RTS/CTS,
[2]. Pejman Roshan Jonathan Leary (2003), 802.11 Wireless LAN
Fundermentals, Cisco Press.
[3]. MicrosoftTechnet (2002), RADIUS Protocol Security and Best
Practices,
ain/security/radiussec.mspx#E2.
[4]. David Taylor (2000), Intrusion Detection FAQ: Are there
Vulnerabilites in VLAN Implementations? VLAN Security Test Report,
[5]. Jim Geier (2004), What SSID is Right for You?,
[6]. Sean Convery, Darrin Miller, Sri Sundaralingam (2003), Wireless
LAN Security in Depth, Cisco SAFE White Paper.
[7]. Grace12 (2005), Wireless LAN 802.11, “Station Services”,
“Distribution System Services”,
[8]. Ilenia Tinnrello, Giuseppe Bianchi, Luca Scalia,
“Performance Evaluation of Differentiated Access Mechanisms
Effectiveness in 802.11 Network”, University degli studi di
Palermo, Dipartimento di Ingegneria Elettrica Viale delle
scienze, 90128, Palemo, Italy.
[9]. Plamen Nedeltchev (2001), “The Hidden Station Challenge”,
Wireless Local Area Networks and the 802.11 standard, Felicia Brych,
pp. 13-15.
[10]. NIST (1999), An Introduction to Computer Security, Special
Publication 800-12.
140
[11]. Alfred J. Menezes, Paul C. VanOorschot, Scott A. Vanstore
(2000), “Digital Signatures”, Handbook of Applied
Cryptography, CRC Press, pp. 425-489.
[12]. Alfred J. Menezes, Paul C. VanOorschot, Scott A. Vanstore
(2000), “Block Cipher”, Handbook of Applied Cryptography,
CRC Press, pp. 223-283.
[13]. Alfred J. Menezes, Paul C. VanOorschot, Scott A. Vanstore
(2000), “Stream Cipher”, Handbook of Applied Cryptography,
CRC Press, pp. 191-223.
[14]. William A. Arbaugh, Narendar Shankar, Y.C. Justin Wan
(2001), Your 802.11 Wireless Network has No Clothes,
Department of Computer Science, University of Maryland,
College Park, Maryland 20742.
[15]. Anton T. Rager (2001), WEPCrack, AirSnort,
[16]. Daniel J. Barrett, Richard E. Silverman, and Robert G. Byrnes
(2005), SSH: The Secure Shell (The Definitive Guide), O'Reilly.
[17].
security-works/index.html, Secure Sockets Layer (SSL): How It Works.
[18]. Third Wave Communications (2002), RSA Security help
create solution to secure WLAN, Johannesburg, South Africa.
[19]. Mark Roy (2000), Diameter extends remote authentication,
141
[20]. B.Clifford Neuman, Theodore Ts’o (1994), Kerberos: An
Authentication Service for Computer Networks, IEEE Communications
Magazine, Vol 32, Number 9, pages 33-38.
[21]. Scott Fluhrer, Itsik Mantin, Adi Shamir (2003), Weaknesses
in the Key Scheduling Algorithm of RC4, Computer Science
department, the Weizmann Institude, Rehovot 76100, Israel.
[22]. Sean Whalen (2002), Analysis of WEP and RC4 Algorithm,
[23]. B. Aboba (2004), Extensible Authentication Protocol (EAP),
Network Working Group, IETF.
[24]. Federal Information Standards Publication 197 (2001),
Announcing the Advanced Encryption Standard (AES), National
Institude of Standards and Technology.
[25]. Joan Daemen, Vincent Rijmen (1999), AES Proposal
Rijndael, National Institude of Standards and Technology.
[26]. Angelos D. Keromytis (2000), The IKE Protocol,
hallqvist_html/node5.html.
[27]. Jim Geier (2003), Mobile IP Enables WLAN Roaming,
Các file đính kèm theo tài liệu này:
- 000000208035R.pdf