Nghiên cứu công nghệ mạng không dây

2.1.6.2 Mô hình của Wireless LAN IEEE 802.11 Hai mô hình cơ bản sử dụng cho Wireless LAN là Ad-hoc và mạng cơ sở hạ tầng. Hai mô hình này có sự khác biệt nhau rõ ràng về giới hạn không gian sử dụng, các quản lý mạng, kiến trúc mạng. a) Ad-hoc: Ad-hoc là mô hình mạng mà trong đó chỉ bao gồm các máy trạm, không có Access Point. Mỗi thiết bị kết nối trực tiếp với các thiết bị khác trong mạng. Mô hình này rất thích hợp cho việc kết nối một nhóm nhỏ các thiết bị và không cần phải giao tiếp với các hệ thống mạng khác. Hình 2.4: Mô hình Ad hoc b) Mô hình mạng cơ sở hạ tầng: Infrastructure BSS là một mô hình mở rộng của một mạng Wireless LAN đã có bằng cách sử dụng Access Point. Access Point đóng vai trò vừa là cầu nối của mạng WLAN với các mạng khác vừa là trung tâm điều khiển sự trao đổi thông tin trong mạng. Access Point giúp truyền và nhận dữ liệu giữa các thiết bị trong một vùng lớn hơn. Phạm vi và số thiết bị sử dụng trong mạng cơ sở hạ tầng tuỳ thuộc vào chuẩn sử dụng và sản phẩm của các nhà sản xuất. Trong mô hình mạng cơ sở hạ tầng có thể có nhiều Access Point để tạo ra một mạng hoạt động trên phạm vi rộng hay chỉ có duy nhất một Access Point cho một phạm vi nhỏ như trong một căn nhà, một toà nhà. Mạng cơ sở hạ tầng có hai lợi thế chính so với IBSS: • Infrastructure được thiết lập phụ thuộc vào tầm hoạt động của AP. Vì vậy, muốn thiết lập Wireless LAN tất cả các thiết bị di động bắt buộc phải nằm trong vùng phủ sóng của AP và mọi công việc giao tiếp mạng đều phải thông qua AP. Ngược lại, kết nối trực tiếp IBSS trong mạng ad-hoc giúp hạn chế thông tin truyền và nhận của mạng nhưng chi phí lại gia tăng ở tầng vật lý bởi vì tất các thiết bị đều luôn luôn phải duy trì kết nối với tất cả các thiết bị khác trong vùng dịch vụ. • Trong mạng cơ sở hạ tầng, AP còn cho phép các station chuyển sang chế độ tiết kiệm năng lượng. Các AP được thông báo khi một station chuyển sang chế độ tiết kiệm năng lượng và tạo frame đệm cho chúng. Các thiết bị chú trọng sử dụng năng lượng (Battery-operated) có thể chuyển bộ thu phát tín hiệu của mình sang chế độ nghỉ và khi hoạt động lại sẽ nhận được tín hiệu được khôi phục từ các frame đệm lưu trong AP. Hình 2.5: Mô hình Infrastructure 3.2 Các phương pháp bảo mật cho mạng Wireless LAN An toàn truy cập và bảo mật cho mạng cục bộ không dây sử dụng các phương pháp thuộc 3 nhóm sau: Các phương pháp lọc Chứng thực Mã hóa dữ liệu truyền Hình 3.3: Mô hình bảo mật LAN không dây 3.2.1 Các phương pháp lọc Lọc (Filtering) là một cơ chế bảo mật căn bản mà có thể dùng bổ sung cho WEP. Lọc theo nghĩa đen là chặn những gì không mong muốn và cho phép những gì được mong muốn. Filter làm việc giống như là một danh sách truy nhập trên router: bằng cách xác định các tham số mà các trạm phải gán vào để truy cập mạng. Với WLAN thì việc đó xác định xem các máy trạm là ai và phải cấu hình như thế nào. Các phương pháp lọc có thể thực hiện trên WLAN: - Lọc SSID - Lọc địa chỉ MAC - Lọc địa chỉ IP - Lọc cổng (Port) a) Lọc SSID SSID - System Set Identifier, mã định danh hệ thống, là một phương thức lọc đơn giản, nó được áp dụng cho nhiều mô hình mạng nhỏ, yêu cầu mức độ bảo mật thấp. Có thể coi SSID như một mật mã hay một chìa khóa, khi máy tính mới được phép gia nhập mạng nó sẽ được cấp SSID, khi gia nhập, nó gửi giá trị SSID này lên AP, lúc này AP sẽ kiểm tra xem SSID mà máy tính đó gửi lên có đúng với mình quy định không, nếu đúng thì AP sẽ cho phép thực hiện các kết nối. Hình 3.4: Mô tả quá trình lọc SSID Các bước kết nối khi sử dụng SSID: 1. Client phát yêu cầu thăm dò trên tất cả các kênh 2. AP nào nhận được yêu cầu thăm dò sẽ trả lời lại (có thể có nhiều AP cùng trả lời). 3. Client chọn AP nào phù hợp để gửi SSID. 4. AP gửi trả lời. 5. Nếu thỏa mãn các yêu cầu, Client sẽ gửi yêu cầu Liên kết đến AP 6. AP gửi trả lời yêu cầu Liên kết SSID là một chuỗi dài 32 bit. Trong một số tình huống công khai (hay còn gọi là hệ thống mở - Open System Authentication), khi AP không yêu cầu chứng thực chuỗi SSID này sẽ là một chuỗi trắng (null). Trong một số tình huống công khai khác, AP có giá trị SSID và nó phát BroadCast cho toàn mạng. Còn khi giữ bí mật (hay còn gọi là hệ thống đóng - Close System Authentication), chỉ khi có SSID đúng thì máy tính mới tham gia vào mạng được. Giá trị SSID cũng có thể thay đổi thường xuyên hay bất thường, lúc đó phải thông báo đến tất cả các máy tính được cấp phép và đang sử dụng SSID cũ, nhưng trong quá trình trao đổi SSID giữa Client và AP thì mã này để ở nguyên dạng, không mã hóa. b) Lọc địa chỉ MAC WLAN có thể lọc dựa vào địa chỉ MAC của các trạm khách. Hầu hết tất cả các AP, thậm chí cả những cái rẻ tiền, đều có chức năng lọc MAC. Người quản trị mạng có thể biên tập, phân phối và bảo trì một danh sách những địa chỉ MAC được phép và lập trình chúng vào các AP. Nếu một Card PC hoặc những Client khác với một địa chỉ MAC mà không trong danh sách địa chỉ MAC của AP, nó sẽ không thể đến được điểm truy nhập đó. Hình 3.5: Lọc địa chỉ MAC Tất nhiên, lập trình các địa chỉ MAC của các Client trong mạng WLAN vào các AP trên một mạng rộng thì không thực tế. Bộ lọc MAC có thể được thực hiện trên vài RADIUS Server thay vì trên mỗi điểm truy nhập. Cách cấu hình này làm cho lọc MAC là một giải pháp an toàn, và do đó có khả năng được lựa chọn nhiều hơn. Việc nhập địa chỉ MAC cùng với thông tin xác định người sử dụng vào RADIUS khá là đơn giản, mà có thể phải được nhập bằng bất cứ cách nào, là một giải pháp tốt. RADIUS Server thường trỏ đến các nguồn chứng thực khác, vì vậy các nguồn chứng thực khác phải được hỗ trợ bộ lọc MAC. Bộ lọc MAC có thể làm việc tốt trong chế độ ngược lại. Xét một ví dụ, một người làm thuê bỏ việc và mang theo cả Card Lan không dây của họ. Card Wlan này nắm giữ cả chìa khóa WEP và bộ lọc MAC vì thế không thể để họ còn được quyền sử dụng. Khi đó người quản trị có thể loại bỏ địa chỉ MAC của máy khách đó ra khỏi danh sách cho phép. Mặc dù Lọc MAC trông có vẻ là một phương pháp bảo mật tốt, chúng vẫn còn dễ bị ảnh hưởng bởi những thâm nhập sau: - Sự ăn trộm một Card PC trong có một bộ lọc MAC của AP - Việc thăm dò WLAN và sau đó giả mạo với một địa chỉ MAC để thâm nhập vào mạng. c) Lọc địa chỉ IP Địa chỉ IP khác địa chỉ MAC ở chố nó dùng cho lớp 3 (lớp Network của mô hình OSI), nó là địa chỉ Logic chứ không phải địa chỉ Vật lý gắn liền với thiết bị mạng. Về nguyên lý hoạt động của lọc địa chỉ IP cũng giống như của lọc địa chỉ MAC. Địa chỉ IP có thể được cấp động (DHCP) hoặc tự đặt (Manual set). Khi kẻ tấn công đã dò hay biết được một địa chỉ IP được cấp phép trong mạng, hắn cũng có thể dễ dàng đặt lại địa chỉ IP của mình đề có thể qua mặt được AP. Vì vậy phương pháp này hiệu quả là không cao. d) Lọc cổng: Lọc cổng về mặt nguyên lý cũng giống như 2 nguyên tắc lọc kia, sự phân chia cổng thực hiện ở lớp 4 (lớp Transport của mô hình OSI). Một máy tính có thể mở rất nhiều cổng để các máy tính khác truy cập vào, mỗi cổng đáp ứng một dịch vụ khác nhau, ví dụ cổng 21 cho FTP, cổng 23 cho Telnet, cổng 80 cho HTTP, vv... Việc lọc theo cổng là biện pháp để ngăn chặn những truy cập trái phép đến các cổng khác của dịch vụ khác. Hiện giờ có rất nhiều tiện ích dò, quét cổng giúp cho kẻ tấn công dễ dàng xác định máy tính đang mở những cổng gì cho những dịch vụ nào. 3.2.2 Chứng thực 3.2.2.1 Phương pháp 802.1x Việc chứng thực của 802.1x được thực hiện trên một server riêng, server này sẽ quản lý các thông tin để xác thực người sử dụng như tên đăng nhập (username), mật khẩu (password), mã số thẻ, dấu vân tay, vv.. Khi người dùng gửi yêu cầu chứng thực, server này sẽ tra cứu dữ liệu để xem người dùng này có hợp lệ không, được cấp quyền truy cập đến mức nào, vv.. Nguyên lý này được gọi là RADIUS (Remote Authentication Dial−in User Service) Server – Máy chủ cung cấp dịch vụ chứng thực người dùng từ xa thông qua phương thức quay số. Phương thức quay số xuất hiện từ ban đầu với mục đích là thực hiện qua đường điện thoại, ngày nay không chỉ thực hiện qua quay số mà còn có thể thực hiện trên những đường truyền khác nhưng người ta vấn giữ tên RADIUS như xưa. Hình 3.6: Mô hình chứng thực sử dụng RADIUS Server Các quá trình liên kết và xác thực được tiến hành như mô tả trong hình trên, và thực hiện theo các bước sau: Hình 3.7: Quá trình liên kết và xác thực 1. Máy tính Client gửi yêu cầu kết nối đến AP 2. AP thu thập các yêu cầu của Client và gửi đến RADIUS server 3. RADIUS server gửi đến Client yêu cầu nhập user/password 4. Client gửi user/password đến RADIUS Server 5. RADIUS server kiểm tra user/password có đúng không, nếu đúng thì RADIUS server sẽ gửi cho Client mã khóa chung 6. Đồng thời RADIUS server cũng gửi cho AP mã khóa này và đồng thời thông báo với AP về quyền và phạm vi được phép truy cập của Client này 7. Client và AP thực hiện trao đổi thông tin với nhau theo mã khóa được cấp Để nâng cao tính bảo mật, RADIUS Server sẽ tạo ra các khóa dùng chung khác nhau cho các máy khác nhau trong các phiên làm việc (session) khác nhau, thậm chí là còn có cơ chế thay đổi mã khóa đó thường xuyên theo định kỳ. Khái niệm khóa dùng chung lúc này không phải để chỉ việc dùng chung của các máy tính Client mà để chỉ việc dùng chung giữa Client và AP. Chứng thực mở rộng EAP Để đảm bảo an toàn trong quá trình trao đổi bản tin chứng thực giữa Client và AP không bị giải mã trộm, sửa đổi, người ta đưa ra EAP (Extensible Authentication Protocol) – giao thức chứng thực mở rộng trên nền tảng của 802.1x. Giao thức chứng thực mở rộng EAP là giao thức hỗ trợ, đảm bảo an ninh trong khi trao đổi các bản tin chứng thực giữa các bên bằng các phương thức mã hóa thông tin chứng thực. EAP có thể hỗ trợ, kết hợp với nhiều phương thức chứng thực của các hãng khác nhau, các loại hình chứng thực khác nhau ví dụ ngoài user/password như chứng thực bằng đặc điểm sinh học, bằng thẻ chip, thẻ từ, bằng khóa công khai, vv...Kiến trúc EAP cơ bản được chỉ ra ở hình dưới đây, nó được thiết kế để vận hành trên bất cứ lớp đường dẫn nào và dùng bất cứ các phương pháp chứng thực nào. Hình 3.8: Kiến trúc EAP cơ bản Bản tin EAP Hình: 3.9 Cấu trúc khung của bản tin EAP Một bản tin EAP được thể hiện ở hình trên. Các trường của bản tin EAP : - Code: trường đầu tiên trong bản tin, là một byte dài và xác định loại bản tin của EAP. Nó thường được dùng để thể hiện trường dữ liệu của bản tin. - Identifier: là một byte dài. Nó bao gồm một số nguyên không dấu được dùng để xác định các bản tin yêu cầu và trả lời. Khi truyền lại bản tin thì vẫn là các số identifier đó, nhưng việc truyền mới thì dùng các số identifier mới. - Length: có giá trị là 2 byte dài. Nó chính là chiều dài của toàn bộ bản tin bao gồm các trường Code, Identifier, Length, và Data. - Data: là trường cuối cùng có độ dài thay đổi. Phụ thuộc vào loại bản tin, trường dữ liệu có thể là các byte không. Cách thể hiện của trường dữ liệu được dựa trên giá trị của trường Code. 3.2.2.3 VPN WLAN Nhận ra sự yếu kém của WEP, những người sử dụng doanh nghiệp đã khám phá ra một cách hiệu quả để bảo vệ mạng không dây WLAN của mình, được gọi là VPN Fix. Ý tưởng cơ bản của phương pháp này là coi những người sử dụng WLAN như những người sử dụng dịch vụ truy cập từ xa. Trong cách cấu hình này, tất các những điểm truy cập WLAN, và cũng như các máy tính được kết nối vào các điểm truy cập này, đều được định nghĩa trong một mạng LAN ảo (Vitual LAN).  Trong cơ sở hạ tầng bảo mật, các thiết bị này được đối xử như là "không tin tưởng". Trước khi bất cứ các thiết bị WLAN được kết nối, chúng sẽ phải được sự cho phép từ thành phần bảo mật của mạng LAN. Dữ liệu cũng như kết nối của các thiết bị sẽ phải chạy qua một máy chủ xác thực như RADIUS chẳng hạn... Tiếp đó, kết nối sẽ được thiết lập thành một tuyến kết nối bảo mật đã được mã hoá bởi một giao thức bảo mật ví dụ như IPSec, giống như khi sử dụng các dịch vụ truy cập từ xa qua Internet.Tuy nhiên, giải pháp này cũng không phải là hoàn hảo, VPN Fix cần lưu lượng VPN lớn hơn cho tường lửa, và cần phải tạo các thủ tục khởi tạo cho từng người sử dụng. Hơn nữa, IPSec lại không hỗ những thiết bị có nhiều chức năng riêng như thiết bị cầm tay, máy quét mã vạch... Cuối cùng, về quan điểm kiến trúc mạng, cấu hình theo VPN chỉ là một giải pháp tình thế chứ không phải là sự kết hợp với WLAN.