Bảo mật trong mạng wlan

ddle. Tương tự tấn công DoS , tấn công man-in-the-middle trong mạng không dây dễ dàng hơn nhiều so với các có dây, bởi mạng có dây yêu cầu một phần nào đó truy cập mạng. Việc đặt một AP giả mạo trong vùng phủ mạng không dây là một dạng tấn công man-in-the-middle. Khi kẻ tấn công biết SSID mà mạng sử dụng ( rất dễ tìm ra ) và AP giả mạo đủ mạnh , người dùng không dây khi đó không tài nào biết rằng họ đang kết nối với một AP trái phép. Sử dụng AP giả, kẻ tấn công có thể thu thập được các thông tin quan trọng về mạng không dây như các yêu cầu xác thực , khoá bảo mật đang được sử dụng… Thông thường, kẻ tấn công sẽ thiết lập một laptop với hai adapter không dây , trong đó AP giả mạo sẽ sử dụng một card và card còn lại được sử dụng để chuyển tiếp yêu cầu thông qua cầu nối không dây tới AP hợp pháp. Ví dụ, kẻ tấn công có thể chạy AP giả mạo từ một chiếc xe bên ngoài. Tuy nhiên, thông thường thiết lập AP giả mạo ẩn gần hay trong cùng một vùng vật lý với AP hợp pháp. Do tính chất ảo không thể phát hiện của chúng, chỉ có thể phòng ngừa các AP ảo thông qua đo đạc thận trọng về tần số và bảo mật vật lý. Việc đo đạc tần số cũng có lợi trong việc phát hiện các AP trái phép của các thành viên thiết lập trong vùng làm việc của họ. Những AP trái phép thường được thiết lập không cố ý nhằm phục vụ thuận tiện cho người dùng. Chiếm đoạt và thay đổi mạng không dây .Có nhiều kỹ thuật chiếm đoật mạng không dây hoặc chiếm đoạt một phiên. Không giống một số tấn công, quản trị mạng và bảo mật có thể không nhận thấy sự khác nhau giữa kẻ chiếm đoạt và người dùng hợp pháp. Có nhiều công cụ để chiếm đoạt mạng. Các công cụ này dựa trên các vấn đề bổ xung cơ bản trong hầu hết tất cả các thiết bị hiện nay. Như các gói TCP/IP chuyển qua các switch, router, và AP, mỗi thiết bị xe địa chỉ đích và so sánh nó với địa chỉ IP đã biết. Nếu địa chỉ không có trong bảng , thiết bị chuyển gói tới gateway mặc định nó. Bảng này được sử dụng để liên kết địa chỉ IP với địa chỉ MAC đã biết của thiết bị. Trong nhiều trường hợp, danh sách là động được xây dựng dưa trên lưu lượng chuyển qua thiết bị và khai báo ARP từ một thiết bị mới tham gia mạng. Không có xác thực hay kiểm chứng yêu cầu mà thiết bị nhận được có hợp lệ không. Do đó, người dùng có chủ tâm có thể gửi các bản tin tới các thiết bị định tuyến và các AP đã nhận địa chỉ MAC của anh ta được giao kết với một địa chỉ IP đã biết . Sau đó , tất cả lưu lượng đi qua router này được định trước cho địa chỉ IP bị chiếm được. Khi kẻ tấn công bắt chước gateway mặc định hoặc một host riêng biệt trong mạng, tất cả các máy cố gắng kết nối với mạng sẽ kết nối với máy của kẻ tấn công thay vì cái đích của họ hướng tới. Nếu kẻ tấn công khéo léo, hắn sẽ chỉ sử dụng thong tin này để xác định các password và các thông tin cần thiết khác và vẫn định tuyến toàn bộ lưu lượng tới người nhận mong đợi. Khi hắn thực hiện điều này, các người dùng đầu cuối sẽ không biết có người ở giữa man-in-the-middle đã chặn việc truyền thông của họ và đã gây tổn hại tới password và các thông tin của họ. Kẻ tấn công khéo léo khác có thể thực hiện hoàn hảo việc sử dụng các AP giả mạo. Khi kẻ tấn công có khả năng đạt một AP với sóng đủ mạnh, người dùng đầu cuối không thể liên kết với AP hợp pháp mà họ cần. Khi kẻ tấn công có khả năng đặt một AP với sóng đủ mạnh. người đầu cuối không thể liên kết với AP hợp pháp mà họ cần. Sử dụng kỹ thuật này, kẻ tấn công có thể nhận các yêu cầu và thông tin từ các workstation đầu cuối về khoá bí mật và nơi mà người dùng đang thử kết nối. Các AP giả mạo này cũng có thể được sử dụng để cố gắng phá những AP được cấu hình chặt chẽ. Việc sử dụng các công cụ như AirSnort và WEPCrack yêu cầu một lượng lớn dữ liệu để có thể giải mã khoá bí mật. Khi kẻ tấn công nhận biết một mạng và giả mạo địa chỉ MAC để trở thành một thành viên hợp pháp trong mạng, hắn có thể thu được nhiều thông tin hơn việc thông qua cơ chế dò quét. Khi mạng bị tấn công sử dụng SSH để truy cập các host , việc ăn cắp password dễ dàng hơn nhiều so với cố gắng thử trên một host. Bằng việc dò ARP kết nới với AP , kẻ tấn công có thể xuất hiện ở host muốn đánh cắp password. Sau đó, có thể làm cho tất cả các người dùng không dây đang thực hiện SSH với host kết nối vào máy giả mạo. Khi những người dùng này đăng nhập với password của họ, trước tiên kẻ tấn công thu được password và sau đó chuyển kết nối tới đích thực sự. Nếu kẻ tấn công không thực hiện bước thứ hai, nó sẽ làm tăng khả năng tấn công sẽ bị phát hiện bởi vì người dùng sẽ phàn nàn về việc họ không thể kết nối tới host. CHƯƠNG IV. CÁC GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY. 1.Một số nhân tố cần quan tâm của bảo mật mạng không dây. Giải pháp bảo mật mà chúng ta sử dụng trong thiết kế mạng của ta phụ thuộc vào nhiều nhân tố khác nhau. Sự thiết lập bảo mật cơ sở sẽ được dựa trên chính sách bảo mật của chúng ta. Việc đưa một giải pháp hoàn hảo là hết sức khó khăn, chúng ta chỉ có thể cố gắng đạt đwocj mức bảo mật nhất trong khả năng có thể với việc kết hợp nhiều phương thức cũng như bảo mật theo nhiều lớp. Một số nhân tố cần xét đến cho triển khai bảo mật không dây : Có bao nhiêu client không dây mà tôi cần đáp ứng ( có trách nhiệm ) và có bao nhiêu là có thể điều khiển và tin tưởng được trong các client đó ? Yêu cầu bao nhiêu AP để cung cấp dịch vụ không dây trong khu vực bao phủ của tôi? Thiết kế của tôi có bao gồm tính di động không (mobility – khả năng chuyển giao giữa các AP) Các client của tôi có được sử dụng trong môi trường không điều khiển không ? (như trong các quán cafe, sân bay, các mạng gia đình…) Có giải pháp VPN ở đó không ? Có cơ sở hạ tầng PKI triển khai sẵn ở đó không ? Mức độ quan trọng của tài sản thông tin tôi cần bảo vệ. Lưu ý trong các phương thức bảo mật một số là sẵn có nhưng đồng nghĩa với khả năng bảo mật yếu, một số giải pháp đòi hỏi phải có hỗ trợ từ hạ tầng cơ sở của mạng với chi phí cao. Do đó khi lựa chọn giải pháp triển khai bảo mật phải căn cứ vào quy mô triển khai , mức bảo mật yêu cầu cũng như chi phí đặt ra. 2. Các mục tiêu của bảo mật mạng không dây. Có 5 mục tiêu chính của bảo mật mạng không dây cũng được biết tới như các dịch vụ bảo mật và có thể được sử dụng như các yêu cầu về bảo mật. 2.1. Sự tin cậy . Sự tin cậy là việc bảo vệ dữ liệu khỏi bị lộ ra ngoài đối với những người không được phép. Mã hoá được sử dụng để thực hiện mục đích này. Với tấn công chủ động, kẻ tấn công có khả năng giải mã khuôn dạng bất kỳ của dữ liệu mã hoá (dựa trên thuật toán hay một giản đồ nào đó với một máy tính mạnh và không giới hạn về thời gian). Do đó sự tin cậy là một yêu cầu quan trọng cho việc bảo vệ chống lại tấn công. 2.2. Sự xác thực. Dịch vụ xác thực liên quan tới việc bảo đảm truyền thông được xác thực. Trong trường hợp của các bản tin đơn như báo hiệu hay cảnh báo, chức năng của dịch vụ xác thực là bảo đảm rằng bên nhận bản tin từ bên phát được khẳng định. Trong trường hợp tương tác liên tục như kết nối của một kết cuối với host, đòi hỏi xác thực cả hai hướng. Trước tiên, tại thời điểm khởi tạo kết nối, dịch vụ đảm bảo rằng cả hai thực thể được xác thực (mỗi thực thể có một yêu cầu xác thực). Thứ hai, dịch vụ phải đảm bảo rằng liên kết không bị cản trở bởi một cách nào đó như bên thứ ba có thể giả mạo một trong hai bên hợp pháp để thực hiện những mục đích truyền dẫn trái phép hoặc thu nhận thông tin. 2.3. Điều khiển truy nhập. Trong bối cảnh bảo mật mạng, điều khiển truy nhập là khả năng giới hạn và điều khiển truy nhập tới các hệ thống , các mạng và các ứng dụng. Do đó, những người dùng trái phép bị ngăn cấm ở ngoài. Mặc dù việc xác thực người dùng riêng biệt thường được tổ hợp với các mục tiêu điều khiển truy nhập, chúng được thực hiện như vậy bởi người dùng trước tiên phải được xác thực có thể thông qua một server cho trước và mạng khi đó có thể xác nhận quyền truy cập của người dùng. Điều khiển truy nhập là sự cấp phép truy nhập. 2.4. Tính toàn vẹn. Ngăn cản người dùng trái phép thay đổi dữ liệu . Chỉ những nhóm người được phép là có thể thay đổi dữ liệu. Thay đổi dữ liệu bao gồm thay đổi trạng thái , xoá, khởi tạo, và làm trễ hoặc phát lại các bản tin 2.5 Khả năng từ chối trong truyền thông . Hoặc người khởi tạo hoặc người hnận trong quá trình truyền thông không có khả năng để từ chối truềyn thông và chấp nhận bản tin muộn hơn. Do đó khi bản tin được gửi, bên nhận có thể xác thực bản tin trong thực tế là được gửi bởi người đựơc cho là người gửi. Tương tụ khi nhận bản tin, người gửi có thể xác thực trong thực tế bản tin nhận được bởi người được cho là người nhận 3. Một số yêu cầu trong các giải pháp bảo mật không dây. 3.1 Phân cấp. Mạng phải được phân cấp , điều này yêu cầu giản đồ bảo mật được triển khai trong mạng được phân cấp đều nhau trong khi duy trì mức độ bảo mật. Ở đây phân cấp cả trong số lượng người dùng và trong việc tăng kích thước mạng như việc thêm vào một số yếu tố mạng mới hoặc việc mở rộng một vùng phủ mới ví dụ một building. 3.2 Khả năng bổ sung. Đơn giản và dễ dàng trong việc bổ sung giản đồ bảo mật là hết sức quan trọng. Do đó, một giản đồ bảo mật phải được đặt ra sao cho nó dễ dàng trong việc bổ sung và vẫn đáp ứng được các yêu cầu bảo mật. 3.3 Hiệu quả. Các tính năng bảo mật phải có tác động rất nhỏ tới hiệu suất mạng. Điều này đặc biệt quan trọng trong truyền thông thời gian khi thực khi các yêu cầu bảo mật phải được đáp ứng đồng thời với yêu cầu về chất lượng dịch vụ. Hiệu quả cũng đi cùng với cách sử dụng tài nguyên của môi trường, các giải pháp bảo mật phải không gây ra việc tăng toàn bộ dung lượng của mạng. 3.4 Tính sẵn sàng. Đây là mục tiêu cuối cùng trong 5 mục tiêu được đề cập. Bất kỳ một dịch vụ hay mạng phải sẵn sàng đối với người dùng. Đảm bảo tính sẵn sàng do một số tấn công có khả năng phá vỡ như tấn công DoS. Một số giải pháp bảo mật mạng không dây : 4. Thiết lập anten và điều chỉnh. Chúng ta có thể từng bước tối thiểu hoá khả năng rò rỉ RF ra ngoài thông qua việc thiết lập điều chỉnh đối với các anten. Sử dụng các anten định hướng để định hướng búp năng lượng bên trong khu vực phủ sóng, thay cho các anten phát RF theo mọi hướng. Trên thực tế các anten phía trong ít rò rỉ hơn các anten phía ngoài. Do đó có thể giảm công suất của các anten phía ngoài và của một số AP cao cấp hơn. Thiết lập công suất phát tới mức nhỏ nhất sao cho vẫn thoả mãn phục vụ cho các yêu cầu thông tin của các client không dây. Theo cách này, nguyên tắc đặc quyền tối thiểu được áp dụng cho các mạng không dây. Công suất có thể được nâng cao đủ để vươn tới tất cả các client nhưng phải đủ thấp để tối thiểu hoá khả năng rò rỉ ra ngoài. 5. Các thiết lập bảo mật cơ bản. 5.1 Vô hiệu hoá quảng bá SSID. Theo mặc định, AP tự động cung cấp thông tin số định danh SSID của hệ thống mạng cho tất cả các thiết bị nằm trong bán kính phủ sóng của nó khi có yêu cầu. Điều này giúp cho người sử dụng máy tính có đầy đủ thông tin để tham gia vào mạng, nhưng lại là nhược điểm bị các hacker lợi dụng để thâm nhập bất hợp pháp, vì vậy đối với các mạng cục bộ cần vô hiệu hoá chức năng này để mạng hoạt động an toàn hơn. Tuy nhiên , bằng các bỏ SSID khỏi báo hiệu điều khiển, bạn thực sự đang ngắt khả năng chuyển giao thức của các client từ AP này sang AP khác. Các client không dây sử dụng các báo hiệu điều khiển để xác định khi nào chúng gần một AP khác hơn với tín hiệu mạnh hơn. Không có SSID, không có cách nào để client biết rằng nó có thể truy cập lại với một AP mạnh hơn. 5.2. Kích hoạt WEP. Mặc dù WEP được xác định có nhiều điểm yếu, tuy vậy nó vẫn có vai trò phòng vệ. Mặt khác đây là một giải pháp sẵn có trong các thiết bị. Sử dụng WEP và thay đổi khoá mã thường xuyên trước xác định mạng của bạn là riêng tư. Khi giao thức 802.11 không có cách nào khác để nói với giao thức rằng người xung quanh rằng họ không nên thử truy nhập vào AP của bạn. Việc sử dụng mã hoá WEP giúp tránh được các xâm nhập mức thấp. 5.3 Sử dụng lọc MAC. Tất cả các thiết bị nối mạng đều có một chuỗi 12 ký tự duy nhất dùng làm số định danh cho từng thiết bị, gọi là địa chỉ MAC ( Media Access Control). Để hệ thống hoạt động an toàn hơn, chỉ những thiết bị nối mạng có số đăng ký MAC nhất định mới được quyền truy cập vào hệ thống... Nguyên lý lọc MAC là lưu giữ một danh sách các địa chỉ MAC được cho phép trong AP và chỉ chấp nhận các lưu lượng từ các card đó. 6. Tăng cường hoá bảo mật. 6.1 TKIP. Để khắc phục các điểm yếu của mã hoá WEP sẵn có tăng cười mã hoá bảo mật WEP bằng sử dụng TKIP. Về cơ bản, TKIP là một chuyển tiếp tạm thời khắc phục WEP, thực hiện như update phần mềm, firmware. Một số thoả hiệp thiết kế được xây dựng để tương thích ngược với hệ thống cơ sở đang tồn tại. Tuy nhiên, TKIP hiện tại đã khắc phục được tất cả các điểm yếu liên quan về WEP: Tấn công lặp : IV có thể được sử dụng không theo thứ tự. Tấn công giả mạo : IV sử dụng CRC32 bit tuyến tính và có thể bị thao túng. Tấn công xung đột khoá mã : xung đột IV. Tấn công khoá mã yếu : mã hoá luồng RC4 là dễ bị tấn công FMS (Airsnort, WEP crack, dweputil…) 4.1 Mã Hóa TKIP TKIP có 3 nhân tố chính để tăng cường mã hoá. • Chức năng xoá trộn khoá mã từng gói. Các client bắt đầu với hai khoá mã : một khoá mã 128 bit và một khoá toàn vẹn dữ liệu 64bit được sử dụng trong các giao kết 802.1x. Khoá mã được gọi là TK (khoá trung gian). Khoá toàn vẹn được gọi là khoá MIC (khoá mã toàn vẹn bản tin). Đầu tiên, địa chỉ MAC của người gửi được XOR với TK để tạo thành khoá pha 1 ( đôi khi được gọi là khoá trung gian). Khoá pha 1 sau đó được trộn với một chuỗi số để tạo nên khoá pha 2, khoá từng gói. Đầu ra của khoá pha 2 được đưa tới bộ tạo WEP như là khoá mã WEP chuẩn 128bit (IV + khoá bí mật chia sẻ). Phần còn lại của tiến trình xẩy ra như trong thực hiện WEP thông thường. Sự khác nhau là tiến trình xẩy như trong thực hiện WEP thông thường. Sự khác nhau là chúng ta không để tất cả các client sử dụng cùng khoá mã WEP (thay đổi khoá pha 1) và chúng ta không để xẩy ra tương quan giữa các IV (trong trường hợp này là chuỗi số) và khoá mỗi gói (khoá pha 2). Tấn công các khoá yếu bị thất bại bởi vì IV không còn tương quan với khoá mã mỗi gói.Nó được thực hiện bởi bộ mã hoá Feistel thiết kế bởi Dong Whiting và Ron Rivest. Nhớ rằng vấn đề trong thiết kế WEP cơ bản là IV tương quan với khoá mã bí mật và đưa một cách đơn giản vào RC4. Với TKIP pha 1 đảm bảo rằng tất cả client sẽ có khoá trung gian khác nhau. Sau đó, pha 2 trộn khoá trung gian với chuỗi số trước khi đưa nó vào RC4. Như chúng ta có thể thấy, tiến trình này rắc rối hơn nhiều việc đơn giản đưa IV vào khoá mã bí mật rồi đưa nó tới RC4. TKIP sử dụng khoá mã mỗi gói đã sửa chữa sai sót của WEP trong thực thi RC4 Hình 4.2 : Chức năng xáo trộn mã khóa từng gói • Chức năng tăng cười MIC (mã toàn vẹn bản tin) gọi là Michael. Thay cho sử dụng CRC 32 bit đơn giản, chức năng MIC mới chỉ sử dụng hàm băm được thiết kế bởi Neil Ferguson. Không định tuyến, điều này gây khó khăn lớn với kẻ tấn công để có thể thay đổi một gói trong truyền dẫn. Michael yêu cần các đầu vào : khoá MIC, địa chỉ nguồn, địa chỉ đích, bản rõ. Bằng việc kết hợp địa chỉ nguồn và địa chỉ đích toàn vẹn MAC được xác thực. Đầu ra Michael dài 8 bytes và được nối thêm vào trường dữ liệu • Các luật tăng cười sắp xếp các IV. TKIP thoát khỏi vấn đề xung đột IV của WEP bằng hai luật đơn giản : Trước tiên, không gian IV được tăng từ 24 lên 48 bit. Tại tốc độ 54 Mbps, điều này có nghĩa là 1000 năm mới lặp lại 1 IV. Thứ hai, TKIP yêu cầu IV tăng từ 0 và rút ra khỏi chuỗi gói. Trong các thuật ngữ bảo mật, một không gian IV rộng hơn (chuỗi số) có nghĩa là xung đột IV và các tấn công tương ứng là không thể xẩy ra nữa. 6.2 AES. AES là bộ mã hoá thuộc chuẩn 802.11 i mới được đưa ra để khắc phục những nhược điểm của mã hoá bảo mật không dây. Tuy nhiên , trong đặc tả 802.11i AES có tính bắt buộc không giống TKIP mang tính lựa chọn. AES là cơ chế mã hoá theo FIPS_ferderal information Processing Standards. Tiêu chuẩn xử lý thông tin liên bang được đưa ra nhằm thay thế RC4. AES có phương thức đa dạng, nhưng đặc tả 802.11i lựa chọn phương thức bộ đếm với giao thức CBC_MAC (CCM), thường được xem như AEC_CCMP. Phương thức bộ đếm cung cấp mã hoá, trong khi CBC_MAC cung cấp xác thực và toàn vẹn dữ liệu. Tương tự RC4, AES được thiết kế như một thuật toán khoá đối xứng, có nghĩa là bản mã và giải mã với cùng một khoá bí mật chia sẻ. Không giống bộ mã hoá luồng của RC4, dùng mã hoá tuyến tính 1 byte tại một thời điểm (dùng XOR), bộ mã hoá AES thực hiện với đoạn 128 bit, do đó AES được gọi là bộ mã hoá khối. CCMP và TKIP chia sẻ nhiều thuộc tính. Cùng sử dụng khoá mã thời gian 128 bit lấy từ khoá chủ được sử dụng trong giao kết 802.1x . CCMP cũng sử dụng IV 48 bit được xem như số gói (PN). Giống như TKIP, CCMP có thuật toán MIC để đảm bảo rằng gói không bị can thiệp. Tuy nhiên, MIC sử dụng trong CCMP hoạt động khác thuật toán Micheal trong TKIP, tính toán MIC trong CCMP dựa trên thông tin khởi đầu từ IV và các thông tin tiếp đầu khác. Hơn nữa, nó hoạt động ở đoạn 128bit được mang từ một khối tới khối tiếp theo cho đến khi tới cuối của bản tin rõ, ở đây giá trị cuối được tính. Tiến trình mã hoá phương thức bộ đếm AES cũng khác nhiều so với WEP/ TKIP và RC4. Trước tiên , đầu ra của bộ mã hoá AES là 128 bỉt với dữ liệu đầu vào cũng từ IV và thông tin tiếp đầu khác. Tiếp theo , toàn bộ bản tin rõ được phân đoạn thành các đoạn 128 bit và được XOR với đầu ra của bộ mã hoá AES 128 bit tại mỗi thời điểm. Bộ mã hoá lặp lại tiến trình này ( tăng bộ đếm sau mỗi khối 128 bit) cho tới khi toàn bộ bản rõ được mã hoá. Cuối cùng, nó thiết lập lại bộ đếm về 0 và XOR giá trị MIC, sau đó gắn vào cuối khung. Kết quả của phương thức tăng cường này là mã hoá mạnh hơn nhiều . Tuy nhiên, chú ý rằng các tiếp đầu thêm vào vượt quá CPU của cơ cấu WEP/ RC4 thông thường. Do đó , AES yêu cầu phần cứng mới được phát triển và điều này giải thích tại sao nó không tương thích ngược với các thiết bị không dây thế hệ 1 đang tồn tại. 7. Thiết lập cơ chế xác thực người dùng. 7.1 EAP. EAP được tạo ra ban đầu như một phần mở rộng cho PPP. Ý tưởng là thiết lập một khung tổng quát cho các phương thức xác thực. Nói các khác , PPP cài thêm các module xác thực. Theo cách này, chúng ta có thể xác thực nguồn dùng của mình theo cách chúng ta muốn. Ví dụ, có thể sử dụng , những thứ như password, certificates, tokens, PKI, Smartcards kerberos, biometrics (sinh trắc học) hoặc đưa chuẩn xác thực của chúng ta vào. Có một chuẩn mở nghĩa là chúng ta có thể kiểm soát được sự phát triển khai trong tương lai bởi vì các phương thức tương lại hiện chưa được phát minh luôn luôn có thể được thêm vào EAP. 7.2 Khung 802.1x. 802.1x đơn giản là một giao thức để EAP hoạt động ở mạng có dây và không dây. 802.1x có 3 thành phần cơ bản của nó: - Supplicant : người sử dụng hoặc client yêu cầu truy cập mạng. - Authenticator : đối tượng trung gian mà khoá / cho phép lưu lượng chuyển qua thường là AP. - Server xác thực bộ máy quản lý thông tin xác thực thường là RADIUS. Hình 4.3 : Khung 802.1x 7.3 Cơ chế xác thực. Authenticators kiểm soát lưu lượng, thực tế, chúng ta hoạt động giống như các của một firewall động. Nếu chúng ta không được xác thực, chúng không cho phép bất kỳ một lưu lượng nào của chúng ta đi qua ngoại trừ các bản tin 802.1x. Sau khi chúng ta xác thực, lưu lượng của chúng ta mới được cho phép. Tất cả điều này được thực hiện sử dụng 2 cổng ảo : 1 cổng được điều khiển và một cổng phi điều khiển. Cổng phi điều khiển chỉ được sử dụng bởi authenticator để giao tiếp với server xác thực. Cổng được điều khiển bắt đầu với trạng thái không xác thực, ngăn tất cả các lưu lượng. Sau khi client được xác thực, cổng được điều khiển chuyển sang trạng thái xác thực và lưu lượng mạng được cho phép chuyển qua. Hình 4.4 : Các cổng điều khiển và phi điều khiển Hình 4.5 : Các thức xác thực 802.1x hoạt động Supplicant (client) bắt đầu bằng việc gửi khung EAP Start. Điều này để authenticator biết rằng có người đang gõ cửa và muốn vào. Authenticator đáp lại với một khung EAP Request / Identify, giống như câu hỏi “Ai đó” , Supplicant đáp lại với một khng EAP Request / Identify khác để xác nhận chính họ (ví dụ như tên người dùng), Authenticator chuyển thông tin này tới server xác thực. Server xác thực sau đó gửi tới authenticator khung EAP – Request bao gồm một số yêu cầu thư để kiểm tra tin cậy, như yêu cầu password. Authenticator chuyển yêu cầu thư tới supplicant mà sẽ đưa ra đáp ứng thích hợp. Autheticator nhận đáp ứng này và chuyển nó đến server xác thực. Tiếp theo , server xác thực đánh giá sự tin cậy và đáp lại với khung EAP – Success Cor Failure tới Authenticator. Nếu nhận được bản tin EAP – success , authenticator sẽ chuyển trang thái cổng được điều khiển từ không xác thực sang xác thực và lưu lượng mạng sẽ được bắt đầu chuyển qua ngay lập tức. Như chúng ta có thể thấy, supplicant và server xác thực không bao giờ trao đổi trực tiếp. Tất cả giao tiếp được chặn và chuyển tiếp bởi authenticator. Khi client được xác thực , nó mới được phép truy nhập tài nguyên mạng. 802.1x có thể được sử dụng bảo mật tới từng trạm hoặc từng phiên quan trọng. Nhớ rằng trong một trường WEP, tất cả có cùng một khóa mã bí mạtWEP chia sẻ. Bây h , với 802.1x mỗi client có thể có khóa mã bí mật WEP chia sẻ của chính mình. Bằng cách này, cho dù khi chúng ta sử dụng công cụ crack WEP thành công, chúng ta chỉ thu được khóa mã của một người hoặc một phiên riêng lẻ. Không giống WEP truyền thống, sử dụng cùng khóa mã bí mật chia sẻ cho mọi người dùng và mọi phiên , 802.1x không sử dụng các khóa mã để giải mã toàn bộ lưu lượng mạng. Kỹ thuật này thường được coi như WEP động và được sử dụng nhằm giảm một số nguy cơ liên quan tới WEP và những điểm yếu đã đươc công khai của nó. Hơn nữa , do 802.1x cho phép tạo khóa mã tự động, chúng ta có thể bắt các client của mình thay lại khóa mã theo chu kỳ, bằng cách đó dẫn tới ít xung đột IV hơn. Nếu chúng ta quá lo lắng chúng ta có thể thay đổi key theo chu kỳ 30s. Với TKIP, 802.1x có thể được sử dụng để đảm bảo phân phối khóa chủ được sử dụng trong mã khóa và khóa MIC. Nhưng hãy đợi chút, còn các vấn đề khác nữa. Ngay khi bắt đầu, các thành phần 802.1x mở cánh cửa để thực hiện những thứ mà không bao giờ có thể xẩy ra trước đây trong môi trường 802.11. Trước tiên, người dùng bây giờ có thể được phân biệt riêng lẻ và được xác thực. Trong môi trường WEP trước đây, tất cả mọi người chia sẻ cùng khóa mã WEP. Khi người dùng được xác thực, tất cả những gì chúng ta biết về họ chỉ là khóa mã WEP. Tuy nhiên, thông tin này không thể cho chúng ta biết đó là Stephanie từ bộ phận thanh tóan. Với 802.1x, một người dùng được xác thực được nhận biết riêng biệt. Điều này có nghĩa là bây giờ chúng ta có hỗ trợ kiểm soát AAA xác thực , cấp quyền và tính thanh toán. Do chúng ta biết ai đang kết nối, chúng ta cũng có thể đòi hỏi thực hiện truy cập mạng dựa trên chính sách cụ thể. Ví dụ, giới hạn thời gian/ ngày có thể được đưa ra dựa trên chúng ta là ai. Thậm chí có thể làm những thứ như chỉ định người dùng ngang hàng VLAN. 7.4 Các phương thức xác thực EAP Phương thức EAP mà chúng ta chọn sẽ xác định sự phức tạp trong thực hiện như sức mạnh của giải pháp bảo mật. Một số phương thức được cài đặt sớm hơn , một số khác, trong khi một số phương thức cung cấp bảo mật tốt hơn một số khác. Hãy nhớ rằng phương thức EAP mà chúng ta chọn phải được hỗ trợ bởi toàn bộ các thành phần của hệ thống 802.1x như supplicant, authenticator, và server xác thực. a. MD5. Phương thức EAP MD5, cung cấp mức bảo mật thấp nhất có thể và nó là dễ nhất để thực thi. Phương thức này, thường đựơc gọi là CHAP trong các ứng dụng PPP truyền thống là dễ bị tấn công đối với một số loại tấn công bao gồm tấn công từ điển khá đơn giản. Thêm nữa, các password phải được lưu giữ trong một biểu rõ bởi server. Vấn đề khác là nó không yêu cầu xác thực lẫn nhau, để lộ điểm yếu cho những tấn công ở giữa. Việc sử dụng xác thực một chiều, AP xác thực client, nhưng client không xác thực AP. Trong bối cảnh PPP truyền thống , điều này có thể được, mang lại quan hệ phức tạp đối với vai trò của một server dial _up. Nói cách khác, trong ngữ cảnh dial_up, một lượng xác định xác nhận tin cậy là mặc nhiên bởi vì client quay số tin chắc rằng server trên một đầu cuối khác của đường dây chính là server họ muốn giao kết, bởi vì chúng ta là một người quay số vào server. Cần một nỗ lực đáng kể để ngắt mạng thoại và định tuyến lại cuộc gọi ( nối chuyển tiếp cuộc gọi) . Không phải là một tấn công không thể xẩy ra, nhưng nó ở mức khó thực hiện. Nói cách khác, thiết lập một AP giả, đơn giản hơn nhiều. Xác thực lẫn nhau trong ngữ cảnh không dây là thực sự cần thiết. Hơn nữa, không giống các phương thức EAP khác mà chúng ta sẽ xem xét MD5 là một phương thức không hỗ trợ tạo khoá mã WEP/TKIP động. Nó không có cơ chế để tạo các khoá mã cho từng phiên hay từng người dùng. Tất cả những điều này nghĩa là không bao giờ nên sử dụng MD5 trong môi trường sản phẩm. Nó chỉ nên dùng cho mục đích thử nghiệm và đảm bảo tương thích ngược. Trong thực tế, một số nhà cung cấp thực sự chăn xác thực MD5 bởi vì nó không được dựa trên xác thực bảo mật. b. LEAP. Giao thức xác thực mở rộng hạng nhẹ LEAP cung cấp cả xác thực lẫn nhau và tạo lại khoá mã WEP động. LEAP được thiết kế như một giải pháp chuyển tiếp tiền 802.1x bởi Cisco trong năm 2000. Ở thời gian đàu trước khi WPA được thực thi rộng rãi, Cisco đã sớm tập trung vào việc tạo nên một giải pháp bảo mật mạnh mẽ, mềm dẻo để thay thể WEP và các yếu điểm của nó. Thật đáng tiếc , giao thức này không phải là một chuẩn và thuộc sở hữu riêng. Do đó , nó chỉ được hỗ trợ trong thiết bị Cisco và không được chấp nhận rộng rãi trong giới công nghiệp. Đây thực sự vừa là tin tốt và tin xấu. Tin tốt là chúng ta có thể hỗ trợ bảo mật mạng không dây trên một nền tảng đa năng bời vì Cisco hỗ trợ các adapter client trên một diện lớn các hệ điều hành bao gồm Windows, Macitosh và linux. Tin xấu là giải pháp này chỉ được thực hiện khi môi trường của chúng ta có các sản phẩm thiết bị Cisco. Chúng ta phải sử dụng các NIC client, AP và server RADIUS để LEAP hoạt động. Với hầu hết các công ty miễn cưỡng trói buộc chính mình vào một giải pháp của một nhà cung cấp đơn nhất, LEAP chỉ như một khả năng có thể chấp nhận được. Điều này đặc biệt đúng trong môi trường hỗn hợp ( như hospot) nơi mà việc đồng nhất các nhà cung cấp không được đảm bảo. c. TLS. Bảo mật lớp chuyển tải đại diện cho khả năng bảo mật mạnh mẽ nhất và khó khăn nhất trong triển khai. TLS cung cấp xác thực lẫn nhau, cũng như tạo lại khoá mã WEP tự động. Giao thức thiết lập một đường ống mã hoá / luồng từ đầu cuối tới đầu cuối cho việc truyền dẫn tin cậy của người dùng sử dụng PKI. Nói cách khác cả client và server phải sử dụng chứng chỉ số để tạo một đường ống bảo mật. Thêm nữa, có một tin tốt và xấu . Khi giải pháp PKI cung cấp mức bảo mật cao nhất, việc triển khai một hạ tầng hỗ trợ đầy đủ PKI là một nhiệm vụ cực kỳ phức tạp. d. TTLS và PEAP. TTLS và PEAP là mở rộng của TLS. Với các phương thức này, AP được xác thực bởi TLS, sau khi người dùng được xác thực bởi một người dùng khác giao thức đường hầm được thiết lập. Nói cách khác, TLS được sử dụng để thiết lập một kênh bảo mật ( sử dụng chứng chỉ phía server), sau đó giao kết EAP khác được thiết lập thông qua kênh bảo mật để xác thực người dùng. - TTLS : Bảo mật lớp truyền sử dụng đường hầm hỗ trợ xác thực lẫn nhau và tạo lại khoá mã WEP động. Tuy nhiên, không giống TLS, TTLS chỉ yêu cầu chứng chỉ phía trên server mà không yêu cầu ở phía client. Client có thể được xác thực sau đó bằng password. Do đó, TTLS gần như đạt được mức bảo mật của TLS, nhưng đơn giản hơn nhiều trong triển khai. - PEAP : PEAP hỗ trợ xác thực lẫn nhau và tạo lại khoá mã WEP động và chỉ yêu cầu chứng chỉ phía server. Bởi vì việc xác thực client được thực hiện thông qua một kênh bảo mật, nó có thể sử dụng phương thức ít bảo mật hơn để xác thực client. Chúng ta sử dụng một chứng chỉ server để xác thực server và sau đó chúng ta có thể dùng phương thức EAP khác để xác thực client. Do đó, chúng ta có thể, trên lý thuyết sử dụng PEAP với MS – CHAP ver 2.0 và nó sẽ được bảo mật vì MS – CHAP được xẩy ra bên trong đường hầm bảo mật PEAP. So sánh các phương thức xác thực EAP Phương thức Triển khai đặc trưng Hướng xác thực Mã Hoá WEP Độ phức tạp triển khai Bảo mật không dây MD5 Dựa trên password Xác thực một chiều không Dễ dàng Kém TLS Xác thực dựa trên chứng chỉ Xác thực lẫn nhau hai chiều Có Phức tạp Tốt nhất TTLS/PEAP Xác thực server thông qua chứng chỉ, xác thực client thông qua các phương thức khác Xác thực lẫn nhau hai chiều có vừa phải tốt Nhớ rằng các loại EAP được đề xuất và hỗ trợ bởi các nhà cung cấp khác nhau. Ví dụ , LEAP được ủng hộ bởi Cisco, PEAP là Mircosoft , Cisco và RSA, trong khi TTLS là Funk software và Certicom. Tuy nhiên, MD5 và TLS được hỗ trợ rộng rãi. Khi chọn một phương thức EAP , một điều rất quan trọng là cân nhắc nhà cung cấp đằng sau công nghệ 802.1x có 3 thành phần supplicant, authenticator và server xác thực. Khi chúng ta chọn phần cứng cho môi trường của mình, luôn nhớ rằng 802.1x ( cũng như phương thức EAP mà chúng ta chọn) phải được hỗ trợ ở tất cả các thành phần. 802.1x có hiệu quả to lớn trng bảo mật mạng 802.11 bởi vì nó hỗ trợ tạo khoá mã động và nó không còn những điểm yếu đối với các tấn công như giao thức 802.11 mắc phải. Không giống như WEP, sử dụng khoá mã trình được chia sẻ cho tất cả mọi người, 802.1x có thể tạo khoá mã động từng người dùng hoặc từng phiên. Hơn nữa, chúng ta có thể nhận biết người dùng đơn nhất và có thể thực hiện các hoạt động mà trước đây là không thể. Điều này có thể cho phép thực hiện các hoạt động mà trước đây là không thể. Điều này có thể cho phép thi hành chính sách bắt buộc với từng người dùng ( như giới hạn thời gian / ngày). Nhớ rằng 802.1x là một khung giản đơn cho phép sử dụng EAP thông qua một mạng có dây hay không dây. Bản thân EAP cũng là một khung cho phép sử dụng đa phương thức xác thực. Do đó, loại EAP mà chúng ta chọn là bộ phận chính sau đó là cách nó thực thi 802.1x cũng như cách bảo mật mạng như thế nào. Một số phương thức EAP khó cài đặt hơn các phương thức khác (bởi vì chúng yêu cầu một hạ tầng PKI) và một số sẽ bảo mật tốt hơn số khác (bởi vì chúng dựa trên các thuật toán và kỹ thuật bảo mật tiên tiến hơn). Tất cả các nhân tố phải được cân nhắc cẩn thận khi lựa chọn một phương thức EAP. 8. Bảo mật mạng không dây với VPN. 8.1 VPN. VPN cho phép các máy tính kết nối tới Internet và truy nhập các tài nguyên của mạng riêng biệt một cách an toàn. Nói cách khác, VPN cho phép máy truy cập từ xa truy nhập an toàn vào một mạng riêng biệt thông qua truyền tải (như internet) không tin cậy. Điều này rất tiện lợi cho người sử dụng truy cập từ xa, cho họ có thể truy cập an toàn tài nguyên chung khi họ đang trên đường tới hoặc trên đường về từ văn phòng. VPN phổ biến do chúng có thể tiết kiệm chi phí cho các dịch vụ thoại dial- up truyền thống (kết nối trực tiếp). Do một phiên VPN có thể được thiết lập với bất kỳ một kết nối Internet nào (ở bất cứ đâu trên thế giới) chỉ phí về cơ bản ít hơn nhiều so với dial-up, phải cần lượng lớn modem dial-up và chỉ phí cho thoại đường dài. Các mạng không day thu được lợi ích từ VPN bời vì truyền tải không dây thường được xem như không tin cậy. VPN cho phép chúng ta dựa vào những giao thức mức cao để bảo mật dữ liệu, tốt hơn nhiều so với việc các lựa chọn như WEP. Một server VPN được thiết lập để cho phép mọi người từ mạng ngoài có thể truy cập vào các tài nguyên chung bên trong. Khi bạn có giải pháp VPN, nó có thể đóng vài trò kép vừa hỗ trợ người dùng truy cập từ xa, vừa tăng cường bảo mật cho người dùng không dây. Trong thế giới không dây, chúng ta quan tâm đến việc bảo vệ sự tin cậy dữ liệu bằng cách sử dụng mã hóa. Do đó, khi bạn đặt tất cả các AP trong một phân đoạn phía ngoài firewall, bạn có thể buộc người dùng không dây của mình sử dụng VPN để truy cập mạng. Bằng cách này, tất cả các client không dây là tương đương về logic với người sử dụng truy cập từ xa. Sự lo lắng chủ yếu của người dùng không dây khi sử dụng VPN là chuyển giao giữa các AP. Bất kỳ giải pháp nào dựa trên mã hóa mức cao hơn đều có khả năng ngắt kết nối khi người dùng chuyển giao thức giữa các AP. Ví dụ, IPSec (lớp 3) sẽ ngắt khi người dùng chuyển tới một AP mới và nó gán một địa chỉ IP mới. Bằng cách kiểm soát chức năng DHCP (trái với việc mỗi AP có địa chỉ IP không lệ thuộc) bạn sẽ đảm bảo địa chỉ IP xác định chắc chắn khi chuyển giao từ AP tới AP khác. 8.2 Kiến trúc VPN cho mạng không dây. a. Network to network. Network to network mô tả một đường hầm giữa hai mạng riêng biệt ngăn cách về địa lý. Kiến trúc VPN này thường sử dụng khi các mạng LAN được kết nối thông qua mạng công cộng để người dùng có thể truy cập tới tài nguyên của mạng LAN khác, trong khi họ kết nối từ mạng LAN của họ. Ưu điểm chủ yếu trong cấu hình này là hai mạng như liền kề nhau và hoạt động của các gateway VPN là trong suốt với người dùng đầu cuối. Trong giản đồ này , đường hầm giữ vai trò quan trọng như các mạng riêng sử dụng RFC 1918 , dải định địa chỉ riêng không được định tuyến thông qua internet. Lưu lượng được bảo vệ trong các đường hầm cho các liên kết nội thành công. Hình 4.6 : Kiến trúc Network-to-network Một vi dụ thực tế cho ứng dụng kiến trúc này trong mạng không dây là 2 trụ sở của cùng một tổ chức sử dụng liên kết không dây point-to-point. Mặc dù lưu lượng truyền dẫn không vượt ra ngoài hạ tầng của tổ chức, nhưng phần truyền dẫn không dây được rất đáng quan tâm giống như lưu lượng được định tuyến qua mạng công cộng. b. Host-to-network. Lược đồ host – to – network xẩy ra khi người dùng từ xa truy cập tới mạng công ty thông qua internet. Client di động trước tiên thiết lập kết nối Internet và sau đó khởi tạo yêu cầu cho việc thiết lập đường hầm bảo mật với gateway VPN của công ty. Khi việc xác thực được hoàn tất, một đường hầm được thiết lập thông qua mạng công cộng và client trở thành tương đương với máy trong mạng nội. Với sự tăng trưởng của đội ngũ nhân viên làm việc tại nhà kiến trúc này ngày càng ứng dụng rộng rãi. Với liên kết các không dây point-to-multipoint, bảo mật lớp 2 là không đủ hoặc có thể găp những vấn đề nghiêm trọng về tương thích và thao tác khi triển khai một hospot công cộng. Ở đây cần cơ chế mã hóa mạnh , lập tài khoảng người dùng và xác thực cho tất cả các laptop cũng nhưng các thiết bị không dây khác. Điều này kéo theo kết nối VPN trung tâm với điều khiển truy cập và khả năng quản lý tài khoản thông qua các đường hầm VPN kết cuối tại đó. Điều này có thể thực hiện thông qua triển khai một Server RAIDUS, cơ sở dữ liệu người dùng và hạ tầng 802.1x . Kiến trúc VPN The host-to-network giả thiết rằng các host không dây được kết nối VPN trung tâm, nhưng không truyền thông với các host không dây trong WLAN. Hình 4.7 : Kiến Trúc Host-to-network c. Host – to – host. Host – to – host là một kiến thức ít thông dụng nhất , chỉ gồm 2 host cả truyền thông và mã hóa và không mã hóa. Trong cấu hình đường hầm được thiết lập giữa 2 host tất cả truyền thông giữa chúng được đảm bảo thông qua VPN. Một ví dụ thực tế là một server lưu trữ sao lưu từ xa. Cả hai host được kết nối thông qua internet và dữ liệu từ server trung tâm được tạo ảnh tại server lưu trữ sao lưu. Trong mạng không dây , kiến trúc VPN host-to-host đựơc áp dụng để bảo vệ cho các WLAN ad-hoc. Hình 4.8 : Kiến trúc host-to-host. 8.3 Các giao thức bảo mật trong VPN. a. Bộ giao thức IPSec. IP Sec được thừa nhận rộng rãi , hỗ trợ và chuẩn huóa với mọi giao thức VPN. IPSec là khung làm việc của các chuẩn mở cung cấp một bộ các giao thức bảo mật thực hiện trên nền liên kết IP hiện tại. Nó cung cấp cả xác thực dữ liệu và cả dịch vụ mã hóa tại lớp thứ 3 và có thể thực hiện ở bất kỳ thiết bị truyền dẫn nào thông qua IP. Không giống như các giản đồ mã hóa khác thực hiện ở lớp cao, IPSec hoạt động trong lớp thấp có thể bảo vệ tất cả các lưu lượng truyền qua IP. Nó cũng có thể được dùng chung với các giao thức đường hầm lớp 2 để cung cấp cả xác thực và mã hóa cho các lưu lượng non – IP. IPSec bao gồm 3 thành phần chính : Authentication header (AH) , Encapsulating Security Payload ( ESP) , and Internet Key exchange (IKE). AH Được thêm vào sau tiếp đầu IP, cung cấp xác thực mức gói và các dịch vụ toàn vẹn dữ liệu đảm bảo rằng gói không bị giả mạo trên đường truyền và toàn vẹn đến người nhận. ESP : Sử dụng kỹ thuật mã hóa mạnh (RC5, 3DES, Blowfish…), đóng gói thông tin, cung cấp tin cậy, xác thực dữ liệu gốc, toàn vẹ dữ liệu, giới hạn lưu lượng truyền và khả năng che dấu thông tin IP bên nhận và bên gửi. IKE : Khóa là công cụ để mã hóa nhưng cần phải trao đổi giữa các bên trước khi sử dụng. Để trao đổi khóa an toàn, giao thức IKE hỗ trợ các giải thuật mã hóa 3DES, giải thuật chia Tiger, giải thuật chứ ký điện tử RSA , giải thuật xác thực MD5. b. PPTP và L2TP. Ngoài giao thức IPSEC cung cấp các dịch vụ VPN , còn có sử dụng 2 giao thức khác là PPTP (point to point Tunneling protocol) và L2TP ( Layer 2 tunneling protocol). Cả hai giao thức này được tích hợp sẵn trong Windows. - PPTP Để xác thực, PPTP hỗ trợ MS- CHAP, MS – CHAP V2 và EAP_TLS. Các giao thức MS-CHAP va MS-CHAP V2 thực hiện sử dụng các username và password. Giao thức EAP_TLS sử dụng chứng chỉ server và client, yêu cầu một hạ tầng PKI. MS – CHAP v2 mạnh hơn nhiều MS_CHAP và cũng cung cấp xác thực lẫn nhau. Khi đuợc sử dụng với password mạnh, MS-CHAP v2 thường được xem như một lựa chọn có thể chấp nhận được khi bạn không thể triển khai một giải pháp bảo mật nào nữa như IPSec. Khi bạn sử MS- CHAP v2 điểm cốt yếu là đòi hỏi luật password mạnh ( ví dụ, 8 hay nhiều ký tự và hỗn hợp cả ký tự cao và thấp, các dấu, số và các ký tự đặc biệt). EAP_TLS dựa trên các chứng chỉ để xác thực, cung cấp phương thức mạnh nhất để xác thực. Về phía client EAP_TLS chỉ được hỗ trợ bởi Windows XP và 2000. MS-CHAP v2 được hỗ trợ bởi Windows 95, 98, ME, NT4.0, 2000, XP và CE3.0 (poket PC2002) . Chú ý rằng các client windows NT4 yêu cầu ít nhất là service pack 4 và các client windows 95 yêu cầu dial – up networking 1.3 hoặc hơn và update bảo mật. Về mã hóa , PPTP sử dụng MPPE , bộ mã hóa luồng dựa trên RC4 . Độ dài mã hóa có thể 40, 56 hoặc 128bit. Mã hóa được thực hiện sau khi xác thực PPP và thiết lập liên kết. Do đó , kẻ tấn công , người có thể bắt được lưu lượng này, có thể dùng phiên này cho các tấn công từ điển offline. Điều này giải thích tại sao pass mạnh là rất quan trọng. - L2TP. L2TP sử dụng PPP để xác thực người dùng phối hợp với IPSec để mã hóa dữ liệu. Phương thức này dựa trên hạ tầng PKI, như yêu cầu cả các chứng chỉ server và client, thêm nữa là các ủy nhiệm username/password. Đồng thời L2TP và IPSec (thường được xem như L2TP/ IPSec) cung cấp toàn vẹn dữ liệu và xác nhận trên từng gói cơ bản. Các client hỗ trợ sẵn là Windows XP và 2000. Với Window98 , ME , và NT4.0 Worrk status phải update patch. L2PT thực hiện đầu tiên là việc xác lập thỏa thuận IKE để tạo một giao kết bảo mật IPSec. Trong suốt thỏa thuận IKE, client và server trao đổi các chứng chỉ và thiết lập các tham số bảo mật, bao gồm phương thức xác thực và các khóa được sử dụng trong phiên. Mã hóa dữ liệu được cung cấp bởi bộ mã hóa khối dữ liệu được cung cấp bởi bộ mã hóa khối DES ( hay 3DES) với khóa 56 bit (hoặc 168bit với 3DES). 9. Các kỹ thuật phát hiện xâm nhập IDS Mục tiêu của việc phát hiện xâm nhập là xác định các hoạt động trái phép, dùng sai, lạm dụng đối với hệ thống máy tính gây ra bởi cả ngưòi dùng trong hệ thống lẫn người xâm nhập ngoài hệ thống. Phát hiện xâm nhập trái phép là một việc làm đầy khó khăn do ảnh hưởng của sự tăng trưởng nhanh chóng các kết nối mạng, môi trường máy tính không đồng nhất (hệ điều hành hỗn hợp), nhiều giao thức truyền thông và sự phân loại đáng kể của các ứng dụng thông dụng và độc quyền. Hầu hết các kỹ thuật IDS được xây dựng dựa trên sự khác biệt ứng xử của kẻ xâm nhập với người dùng hợp lệ. Người ta phân chia thành một số loại IDS như sau : Network – based IDS và Host – based IDS Network – based IDS dùng các phân tích tải mạng để so sánh dữ liệu phiên với các dữ liệu đã biết của các dấu hiệu tấn công vào hệ điều hành và ứng dụng. Khi phát hiện được network – based IDS có thể phản ứng lại bằng cách ghi lại phiên truyền thông, cảnh báo nhà quản trị, chấm dứt phiên truyền thông đó và có thể đưa vào firewall. Host – based IDS thì phân tích log của hệ điều hành và ứng dụng của hệ thống, so sánh sự kiện với cơ sở dữ liệu đã biết về các phạm vi bảo mật và các chính sách được đặt ra. Chúng xem xét log của hệ điều hành, log truy nhập, log ứng dụng, cũng như các chính sách của các ứng dụng do người dùng định nghĩa. Nếu thấy có vi phạm chúng có thể phản ứng bằng cách ghi lại các hành động đó, cảnh báo cho nhà quản trị và trong một số trường hợp ngừng hành động trước khi nó xảy ra. Sự kết hợp của network – based IDS và host – based IDS cung cấp sự bảo vệ đáng kế và sự thi hành chính sách vói công ty mọi cỡ và chức năng kinh doanh. Misuse – based IDS và Anomaly – based IDS : Misuse – based IDS có thể phân chia thành hai loại dựa trên kiểu tấn công, đó là knowledge –based và signature – based. Misuse – based IDS với cơ sở dữ liệu knowledge –based lưu dữ thông tin về các dạng tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ liệu và nếu thấy có sự giống nhau thì đưa ra sự cảnh báo. Sự kiện không trùng với bất kỳ sự tấn công nào thì được coi là những hành động chính đáng. Lợi thế của mô hình này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công. Tuy nhiên mô hình này có điểm yếu, trước tiên với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được những kiểu tấn công đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện những kiểu tấn công và lỗ hổng mới Hình 4.9 : Knowledge – based IDS Signture –based IDS là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn công gọi là dấu hiệu. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểu tấn công. Ví dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung các gói tin liên quan đến kiểu tấn công đã biết. Thường thì dấu hiệu lưu ở dạng cho phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện. Trong quá trình xử lý sự kiện được so sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau thì hệ tạo ra cảnh báo. Signture – based IDS hiện nay rất thông dụng vì chúng dễ phát triển, cho phản hồi chính xác về cảnh báo và thường yêu cầu ít tài nguyên tính toán. Tuy nhiên, chúng có những điểm yếu sau: + mô tả về cuộc tấn công thường ở mức độ thấp, khó hiểu + mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào cơ sở dữ liệu nên kích cỡ của nó sẽ trở nên rất lớn. + dấu hiệu càng cụ thể thì càng tạo ra ít cảnh báo nhầm, nhưng càng khó phát hiện những biến thể của nó. Anomaly – based IDS dựa trên giả thiết là những hành động không bình thường là có ý đồ xấu, do đó trước tiên hệ cần xây dựng những mẫu hành động bình thường của hệ thống rồi mới xác định các hành động không bình thường Hình 4.10 : Anomaly – based IDS Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước. Tuy nhiên hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai trong đó có rất nhiều các cảnh báo là cảnh báo từ những hành động bình thường, chỉ có một vài hành động là có ý xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm đó Nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung là tính đa dạng và thay đổi. Hơn nữa, sự nhập nhằng của giao thức tầng dưới và sự khác biệt của các ứng dụng làm việc phát hiện các hành vi không bình thường trong một môi truờng nhất định là rất khó, vì sự không bình thường là đặc tính của môi trường. Cuối cùng, một vài kiểu tấn công mới có khả năng giả mạo các hành động hợp pháp và có thể không bị phát hiện. Khi chúng ta so sánh IDS thông thường ( IDS trong các mạng có dây) và IDS trong mạng không dây thì khác biệt duy nhất đó là topology của mạng và phải rà quét trong không gian chứ không phải trong dây dẫn, còn tất cả các thành phần khác đều giống nhau. Wireless IDS Cách làm việc của Wireless IDS có hơi khác so với IDS trong mạng LAN truyền thống. Trong môi trường mạng có dây ta có toàn quyền quản lý đối với các loại lưu lượng được truyền dẫn trên dây. Trong WLAN, không khí là môi trường truyền dẫn, tất cả mọi ngưòi trong phạm vi phủ sóng của tấn số theo chuẩn 802.11 đều có thể truy cập vào mạng. Do đó cần phải có sự giám sát cả bên trong và bên ngoài mạng. Một khác biệt nữa là Wireless IDS cần cho mạng máy tính đã triển khai WLAN và cả những nơi chưa triển khai WLAN. Lý do là dù khả năng bị tấn công từ mạng WLAN vào mạng LAN chưa rõ ràng nhưng đó là mối đe doạ thực sự. Sự đe doạ này được coi là chỉ liên quan đến ai sử dụng mạng WLAN nhưng thực sự thì toàn bộ tổ chức mạng LAN đều nên giám sát lưu lượng lưu chuyển trong mạng WLAN để chắc chắn loại bỏ sự đe doạ từ không gian xung quanh. Một điều luôn phải để tâm đến là các AP giả mạo bất kể bạn đang dùng mạng không dây hay mạng LAN truyền thống . Wireless IDS có thể được cấu hình theo mô hình tập trung hoặc phân tán. Trong mô hình tập trung, một bộ tập trung sẽ thu thập tất cả các dữ liệu tần số 802.11 của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý để phát hiện xâm nhập. Hầu hết các IDS tập trung đều có nhiều cảm biến để có thể phát hiện xâm nhập trong phạm vi toàn mạng. Để thuận tiện log file và các tín hiệu báo động đêu được đưa về thiết bị quản lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. Wireless IDS tập trung phù hợp với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu. Trong khi đó Wireless IDS phân tán bao gồm một hoặc nhiều thiết bị thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng WLAN nhỏ và có ít hơn 3AP. WLAN thường được thiết kế để bảo phủ một phạm vi vật lý rộng lớn đảm bảo cho người dùng hợp pháp có thể truy cập thuận tiện từ nhiều nơi khác nhau. Chính vì lý dó đó, nhiều điểm truy cập không dây phải được thiết lập ở các vị trí khác nhau trong mạng để đảm bảo độ đồng đều về tín hiệu cho toàn mạng. Một quy tắc chung khi triển khai giải pháp IDS không dây là các cảm biến phải được đặt ngay ở nơi AP được cài đặt. Lợi thế rõ nhất của việc làm này là có thể bảo vệ cho mạng WLAN một cách toàn diện và triệt để. Ngoài ra nếu tuân theo quy tắc này, kẻ tấn công sẽ bị định vị chính xác dễ dàng hơn sau khi người quản trị xác định được cảm biến nào đặt gần kẻ tấn công nhất. Hầu hết các chính sách bảo mật của WLAN đều để xuất rằng mọi truyền thông trong mạng không dây đều cần mã hoá. Một thuộc tính khác có thể được thực hiện cho Wireless IDS là tạo một danh sách các AP hợp lệ, do đó bất cứ khi nào không nhận diện được hay phát hiện ra một AP giả mạo Wireless IDS có thể nhanh chóng phát hiện và cảnh báo. KẾT LUẬN WLAN ngày càng phát triển và đóng vai trò quan trọng trong cuộc sống và công việc do những đặc tính mà nó đem lại.Chính vì sự tiện lợi của mạng không dây, nên nó đang dần thay thế cho các hệ thống mạng có dây truyền thống. Tuy nhiên WLAN do mới ra đời nên còn chưa được thử thách và còn chứa đứng nhiều vấn đề trong nó những vấn đề bảo mật. Để góp phần vào việc xây dựng giải pháp bảo mật mạng không dây cho nhu cầu phát triển mạnh mẽ của mạng không dây, hiện nay và trong tương lai, đề tài “Bảo mật trong mạng WLAN” đã đi vào nghiên cứu vào một số vấn đề sau: Nghiên cứu lý thuyết mạng không dây , phân tích các đặc trưng của mạng không dây, phương thức truyền dẫn, các giao thức mạng, các phương thức mã hóa bảo mật sẵn có. Phân tích tính dễ tấn công của mạng không dây, các điểm yếu của mạng về truyền dẫn cũng như mã hóa bảo mật, phân tích và chỉ ra các nguy cơ và các phương thức tấn công. Đưa ra , phân tích các phương thức khắc phục điểm yếu về mã hóa bảo mật, các phương thức xác thực cho mạng không dây, hệ thống VPN cho mạng không dây. Mặc dù các giải pháp bảo mật đưa ra còn ở tính khái quát, chưa đi vào chi tiết triển khai thực hiện nhưng nó sẽ góp phần cho việc lựa chọn giải pháp khi xây dựng nên hệ thống mạng không dây mới hay mở rộng ra từ cơ sở mạng có dây cũ. Các phương thức và giải pháp đưa ra một phần dựa trên nền tảng mã hóa và bảo mật sẵn có hiện nay , một phần là các phương thức mới đang dần được hòan thiện cho sự triển khai mạng không dây. Do điều kiện và kinh nghiệm còn hạn chế nên đò án tốt nghiệp này còn rất nhiều thiếu sót và tồn tại nhất định. Kính mong các Thầy và bạn bè đóng góp để xây dựng thành một đề tài hoàn chỉnh. Xin chân thành cảm ơn các thầy cô và bạn bè trực tiếp và gián tiếp giúp đỡ tôi hoàn thành đề tài nghiên cứu này. Hà Nội , tháng 6 năm 2009. Sinh Viên Đặng Bích Thủy TÀI LIỆU THAM KHẢO 01) Mạng căn bản Tổng hợp và biên dịch : VN-Guide, NXB Thống kê 02) Mạng máy tính Lược dịch và biên soạn : Hồ Anh Phong, NXB Thống kê 03) Frank Ohrtman and Konrad Roeder, Wi-Fi Handbook Building 802.11b Wireless Networks- Wi-Fi Security, McGraw- Hill, 2003 04) Jffrey Wheat, Randy Hiser, Alicia Neely, Andy McCullough, Designing a Wireless Network, SynGress 05) Juliana Aldous, C# Language Specifications, MSPress, 2001 06) Lawrence Harte, Introduction to 802.11 Wireless LAN (WLAN), ALTHOS, 2004 07) Matthew AGast, 802.11 Wireless Networks Definitive Guide, O’Reilly, April 2002 08) Michel Daoud Yacoub, Wireless Technology Protocol Standards and Techniques, CRC Press, 2002 09) Mohammad Ilyas,The Handbook of Ad hoc Wireless Networks, CRC Press,2003 10) Nathan J. Muller, Wireless A to Z, McGraw-Hill, 2003 11) Ramjee Prasad and Luis Muñoz, WLANs And WPANs Towards 4G Wireless, Artech House, 2003 12) Russell Dean Vines, Wireless Security Essentials, Wiley, 2002 13) Stewart S. Miller, Wi-Fi Security, McGraw-Hill, 2003