Xá thự và bảo mật mạng wlan 802 11

b Mục tiêu và phạm vi nghiên cứu Xây dựng một hệ thống cung cấp dịch vụ với AAA serverXây dựng máy chủ cung cấp CA Certificate Authority cho số lượng lớn người sử dụng Tìm hiểu các vấn đ

TRƯỜ NG Đ Ạ I H C BÁCH KHOA HÀ NỘI Ọ -

Người hướng dẫn : TS.Nguyễn Chấn Hùng

Nội dung tóm tắt :

a) Lý do chọn đề tài

Trước tình hỉnh các mạng WLAN quy mô nhỏ hiện nay sử dụng các mã bí mật với các kiểu bảo mật WEP,WPA…không thể đảm bảo cho một mạng viễn thông với số lượng lớn người dùng Do đó,việc nâng cao tính bảo mật kết nối nhiều cell, roaming tương đương ,

các mạng di động hiện nay là hết sức cần thiết

Cùng với sự phát triển công nghệ hiện nay, việc các điểm truy cập wifi ngày càng phổ biến đã tạo ra môi trường hết sức thuận lợi cho việc phát triển đề tài trong tương lai gần

b) Mục tiêu và phạm vi nghiên cứu

Xây dựng một hệ thống cung cấp dịch vụ với AAA server

Xây dựng máy chủ cung cấp CA( Certificate Authority) cho số lượng lớn người sử dụng Tìm hiểu các vấn đề bảo mật hiện nay

Đưa ra hướng nghiên cứu trong mạng 802.11

thông qua kết nối mạng internet Bố cục đồ án trình bày như sau :

Chương 1 : Cơ sở lý thuyết

Chương 2 : Mô hình phát triển

Chương 3 : Hệ thống xác thực 802.11

Chương 4 : Kết quả đạt được và hướng phát triển

Chương 5 : Kết luận

d) Phương pháp nghiên cứu

Theo phương pháp xoắn ốc : tiếp nhận yêu cầu, phân tích, thực hiện đưa ra nguyên mẫu, kiểm tra lại nguyên mẫu này rồi lại tiếp tục nhận yêu cầu, phân tích…

1.1.1 Quá trình phát triển 15

1.1.2 Phân loại 1632T1.2 Các chuẩn WLAN 1832T

1.2.1 Các chuẩn 802.11 1832T1.3 Cấu trúc cơ bản của WLAN32T 24

Chương 4: KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG PHÁT TRIỂN32T 9632T4.1 Mô hình hạ tầng mạng triển khai tại ĐHBK HN 9632T

4.1.1 Hạ tầng mạng 97

4.1.2 Các dịch vụ triển khai 9832T4.2 Xây dựng cơ sở hạ tầng mạng Wifi phủ sóng ở phạm vi rộng có khả năng

roaming32T 9932T

4.2.1 Xây dựng cơ sở hạ tầng mạng Wifi phủ sóng ở phạm vi rộng có khả năng roaming32T 99

4.2.2 Xác thực bằng Radius 10032T

4.2.3 Ứng dụng các dịch vụ VoIP trên cơ sở hạ tầng của trường Bách Khoa32T 10032T4.3 Biên bản triển khai dịch vụ xác thực dùng Radius server 10132T

với máy di động HTC32T 10432T

4.3.3 Testcase 1c (ID_001c): Kiểm tra việc Roaming giữa các vùng phủ sóng của các AP khi sử dụng xác thực bằng Radius32T 10532T4.4 Biên bản thử nghiệm các dịch vụ VoIP 32T 107

server accounting server tính cước

ADSL 0TAsymmetric digital subscriber line Đường dây thuê bao số bất đối

xứng API Application programming

interface

Giao diện lập trình ứng dụng

AON Active Optical Network Mạng quang chủ động

BCN Broadband Convergence Network Mạng hội tụ băng rộng

BKUMN BK Unified messagingNetwork Hệ thống truyền thông hợp nhất BRAS Broadband Remote Access Server Máy chủ truy cập từ xa băng rộng

CA Certificate Authority Chứng thực người dùng

CATV Cable Television Ti vi truyền hình cáp

CHAP Challege Handshake

authentication protocol

Giao thức chứng thực bắt tay 3 bước

DHT Distribution Hash Table Bảng băm phân tán

DMB Digital Multimedia Broadcast Mạng truyền thông quản bá đa

phương tiện DSLAM Digital Subcriber Line Access

Multiplexer

Bộ ghép kênh truy nhập số theo thuê baoo

EAS Enterprise Access Server Máy chủ truy nhập

EAP Extended authentication protocol Giao thức xác thực mở rộng FMC Fix mobile convergence Hội tụ cố định và di động

GPS Global Position System Hệ thống định vị toàn cầu

IETF Internet Engineering Task Force Tổ chức kĩ sư internet

IMS IP Multimedia Subsytem Phân hệ giao thức Internet đa

phương tiện

IP Internet protocol Giao thức Internet

ISDN Integrated services digital network Mạng số đa dịch vụ tích hợp

LAN Local area network Mạng nội hạt

MAN Metropolitan area network Mạng khu vực thành phố

MPLS Multi Protocol Label Switch Giao thức chuyển mạch nhãn

NAS Network access server Máy chủ truy cập mạng

NAT Network address translation Dịch địa chỉ mạng

NGN Next Generation Network Mạng thế hệ mới

NN Normal Node Node thông thường trong mạng P2P ODN Optical distribution network Mạng quang phân bố

OLSR Optimize Link State Routing

Protocol

Giao thức định tuyến tối giản hóa trạng thái đường nối

ONT Optical network terminals Thiết bị đầu cuối mạng quang

PBX Private Branch Exchange Tổng đài nội bộ

PCM Pulse Code Modulation Điều chế xung mã

PDAs Personal Digital Assistant Thiết bị kĩ thuật số cá nhân

PON Passive Optical Network Mạng quang bị động

QoS Quality of service Chất lượng dịch vụ

Radius Remote authentication dial in user

-service

Giao thức chứng thực dịch vụ người dùng từ xa

RFID Radio Frequency

IdentifyDetection

Nhận diện bằng sóng Radio

RTCP Real time control protocol Giao thức điều khiển theo thời gian

thực RTP Realtime Transport Protocol Giao thức vận chuyển theo thời

gian thực

SIP Session Initiation Protocol Giao thức khởi tạo phiên

SDH Synchronous Digital Hierachy Hệ thống phân cấp số đồng bộ

SN Super Node Node nhiều chức năng ở mạng P2P SONET Synchronous Optical Network Mạng quang đồng bộ

STUN Simple Traversal of UDP through

NATs

Hệ máy chủ có khả năng cho phép ánh xạ địa chỉ mạng đi qua

TLS Transport Layer Security Bảo mật lớp vận chuyển

UC Unified communications Truyền thông hợp nhất

UCN Ubiquitous Computing Network Mạng tính toán khắp nơi

UM Unified messaging Tin nhắn hợp nhất

VICS Vehicle information and

communication system

Hệ thống thông tin liên lạc giao thông

WAMUL Wireless Adhoc Mutilmedia Hệ thống truyền thông đa phương

tiện trên nền mạng Adhoc không dây

WEP Wired Equivalent Privacy Giao thức bảo mật tương đương

mạng có dây Wimax 0TWorldwide Interoperability for

Microwave Access

Chuẩn kết nối băng rộng không dây WPA 0TWifi Protected Access Giao thức bảo vệ truy cập wifi WMN Wireless Mesh Network Mạng không dây dạng lưới

Hình 1-2 Dải tần 5 GHzU 19 32TU

Hình 1-3 Các lựa chọn chuẩn IEEE 802.11b 21 U 32TU

Hình 1-4 Các thành phần vật lý cơ bản của WLANU 24 32TU

Hình 1-5 Cấu trúc cơ bản của WLANU32T 25 32TU

Hình 1-6 Một người lạ truy cậpU 28 32TU

Hình 1-7 Mô hình bảo mật wifiU 3232TU

Hình 1-8 Lọc địa chỉ MACU 33 32TU

Hình 1-9 Lọc giao thứcU 35 32TU

Hình 1 10 Ph ng pháp 802.1x- ươ U 37 32TU

Hình 1-11 Xác thực trong 802.1xU 38 32TU

Hình 1 12 802.1x EAP- -TLS với EAS trong Controller ModeU32T 38 32TU

Hình 1-13 Quy trình mã hóa WEP sử dụng RC4 40 U 32TU

Hình 2 Mô hình Ad-1 - hocU 4532TU

Hình 2 2 Mô hình ESS- U 46 32TU

Hình 2-3 Mô hình tham chiếu cơ sở IEEE 802.11U 47 32TU

Hình 2 4 S- ơ đồ kiến trúc tổng quan WMNU32T 53 32TU

Hình 2-5 Kiến trúc Infrastructure/ Backbone WMNU32T 54 32TU

Hình 2-6 Kiến trúc Client WMNU 55 32TU

Hình 2-7 Kiến trúc Hybrid WMNU 56 32TU

Hình 2-8 Ứng dụng WMN trong tàu điệnU 61 32TU

Hình 3-1 Mô hình tổng quan hệ thống RadiusU 67 32TU

Hình 3-2 Mô hình ủy quyền dạng quan hệ tin tưởng end to endU 71 32TU

Hình 3-3 Mô hình ủy quyền dạng quan hệ tin tưởng hop to hopU 72

Hình 4-1 Mô hình triển khai xác thực sử dụng Radius serverU32T 96 32TU

Hình 4 2 S- ơ đồ bố trí đặt các APU 100 32TU

Hình 4-3 Giao diện cấu hình Wireless của AP ECB3500U 103 32TU

Hình 4-4 Hệ thống sử dụng chế độ mã hóa WPA/TKIP 103 U 32TU

Hình 4-5 Roaming giữa 2 cell của APU 10532TU

Hình 4-6 Dịch vụ gọi đi qua VoIPU 111

lợi ích đầu tiên mà họ đạt được là chi phí cuộc gọi sẽ rẻ hơn đáng kể Còn đối với các nhà sản xuất, cung cấp và khai thác mạng, VoIP, VOWIFI mở ra những thách thức mới nhưng cũng hứa hẹn khả năng lợi nhuận đáng kể Đây cũng là một bước đột phá trong việc tiến tới một xu thế mạng viễn thông mới trong tương lai Công nghệ VOIP,

VOWIFI có rất nhiều ưu điểm như :Giảm cước phí dịch vụ thoại đường dài; Hỗ trợ nhiều cuộc gọi với băng tần thấp hơn; Nhiều hơn và tốt hơn các dịch vụ nâng cao ; Sử dụng có hiệu quả nhất giao thức IP và đặc biệt là khă năng xác thực các thuê bao sử dụng VOWIFI nâng cao chất lượng cuộc gọi , đảm bảo roaming qua nhiều vùng phủ sóng wifi

Ở Việt Nam dù vẫn còn nhiều hạn chế về cơ sở hạ tầng và nguồn lực song không thể nằm ngoài xu thế phát triển chung của thế giới Xu thế ngày nay là xác thực Radius trong WLAN, nâng cao khả năng roaming trong mạng WLAN và VoIP là một trong những ứng dụng của RADIUS Sở dĩ xác thực AAA đạt được tính năng vượt trội này là

do có thể đáp ứng được với số lượng lớn người dùng mạng, tính phổ biến các ứng dụng trong môi trường kinh doanh viễn thông ngày nay do vậy việc thực hiện xác thực và roaming trong mạng WLAN có vai trò quan trong trong việc phát triển hệ thống viễn thông Sản phẩm đã được thử nghiệm thành công trên thực tế kèm theo những nghiên cứu đo đạc băng thông và cho thấy khả năng triển khai trong điều kiện của Việt Nam

Em xin chân thành cảm ơn TS Nguyễn Chấn Hùng người thực sự là cha đẻ của hệ - thống này đã vạch ra ý tưởng, các giải pháp và tạo mọi điều kiện hết sức thuận lợi để

em có thể hoàn thành sản phẩm này

Cảm ơn các bạn sinh viên cùng thực tập và làm việc tại phòng nghiên cứu và phát triển công nghệ multimedia C9-410 khoaĐiện tử viễn thông đã cổ vũ, động viên, và là

điều kiện thuận lợi trong suốt quá trình học tập và làm đồ án

Hà Nội -tháng 04 năm 2011

Sinh viên: Trần Duy Thanh

bảo mật WEP,WPA…không thể đảm bảo cho một mạng viễn thông với số lượng lớn người dùng Do đó,việc nâng cao tính bảo mật , kết nối nhiều cell, roaming tương đương các mạng di động hiện nay là hết sức cần thiết.

Cùng với sự phát triển công nghệ hiện nay, việc các điểm truy cập wifi ngày càng phổ biến đã tạo ra môi trường hết sức thuận lợi cho việc phát triển đề tài trong tương lai gần

Mục tiêu và phạm vi nghiên cứu

Xây dựng một hệ thống cung cấp dịch vụ với AAA server

Xây dựng máy chủ cung cấp CA( Certificate Authority) cho số lượng lớn người sử dụng

Tìm hiểu các vấn đề bảo mật hiện nay

Đưa ra hướng nghiên cứu trong mạng 802.11

Đặc biệt, tác giả đã đạt được những thành công bước đầu trong việc triển khai hệ thống máy chủ Radius, giải quyết được một trong những yêu cầu quan trọng nhất là vấn đề xác thực liên mạng và hội tụ dịch vụ Nội dung của đồ án tốt nghiệp này bao gồm cơ sở

lý thuyết và giới thiệu về các công cụ cần thiết, các phương án để xây dựng hệ thống

Chương 1 : Cơ sở lý thuyết

Chương 2 : Mô hình phát triển

Chương 3 : Hệ thống xác thực 802.11

Chương 4 : Kết quả đạt được và hướng phát triển

Chương 5 : Kết luận

Chương 1: CƠ SỞ LÝ THUYẾT

Quá trình phát triển của các mạng WLAN được sơ lược qua:

Công nghệ WLAN lần đầu tiên xuất hiện vào cuối năm 1990, khi những nhà sản xuất giới thiệu những sản phẩm hoạt động trong băng tần 900Mhz Những giải pháp này (không được thống nhất giữa các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mbps, thấp hơn nhiều so với tốc độ 10Mbps của hầu hết các mạng sử dụng cáp hiện thời

Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần

2.4Ghz Mặc dầu những sản phẩm này đã có tốc độ truyền dữ liệu cao hơn nhưng

chúng vẫn là những giải pháp riêng của mỗi nhà sản xuất không được công bố rộng rãi

Sự cần thiết cho việc hoạt động thống nhất giữa các thiết bị ở những dãy tần số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây chung

Năm 1997, Institute of Electrical and Electronics Engineers(IEEE) đã phê chuẩn sự

ra đời của chuẩn 802.11, và cũng được biết với tên gọi WIFI (Wireless Fidelity) cho các mạng WLAN Chuẩn 802.11 hỗ trợ ba phương pháp truyền tín hiệu, trong đó có bao gồm phương pháp truyền tín hiệu vô tuyến ở tần số 2.4Ghz

Năm 1999, IEEE thông qua hai sự bổ sung cho chuẩn 802.11 là các chuẩn 802.11a và

802.11b (định nghĩa ra những phương pháp truyền tín hiệu) Và những thiết bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây vượt trội Các thiết bị WLAN 802.11b truyền phát ở tần số 2.4Ghz, cung cấp tốc độ truyền dữ liệu có thể lên tới 11Mbps IEEE 802.11b được tạo ra nhằm cung cấp những đặc điểm về tính hiệu dụng, thông lượng (throughput) và bảo mật để so sánh với mạng có dây thông thường

Năm 2003, IEEE công bố thêm một sự cải tiến là chuẩn 802.11g mà có thể truyền nhận

thông tin ở cả hai dãy tần 2.4Ghz và 5Ghz và có thể nâng tốc độ truyền dữ liệu lên đến 54Mbps Thêm vào đó, những sản phẩm áp dụng 802.11g cũng có thể tương thich ngược với các thiết bị chuẩn 802.11b

Hình 1-1 Quá trình phát triển của mạng WLAN

1.1.2 Phân loại

Các mạng WLAN có thể được phân loại thành mạng WLAN vô tuyến và WLAN hồng ngoại Các mạng WLAN vô tuyến có thể dựa trên quá trình truyền dẫn băng hẹp hay truyền dẫn trải phổ trong khi đó đối với các WLAN hồng ngoại có thể là khuyếch tán hay được định hướng Dưới đây đề cập cơ bản các mạng WLAN vô tuyến và hồng ngoại, có đánh giá điểm mạnh cũng như điểm yếu của mỗi loại

a Các WLAN vô tuyến

Đa số các hệ thống mạng WLAN sử dụng công nghệ trải phổ Khái niệm về trải phổ đảm bảo quá trình truyền thông tin cậy và an toàn Trải phổ đề cập đến các sơ đồ tín hiệu dựa trên một số dạng mã hoá (độc lập với thông tin được phát đi) và chúng sử dụng băng thông lớn hơn nhiều so với yêu cầu để truyền tín hiệu Băng thông lớn hơn

có nghĩa là nhiễu và các hiệu ứng fading đa đường chỉ ảnh hưởng một phần đến quá trình truyền dẫn trải phổ Vì vậy mà năng lượng tín hiệu thu hầu như không đổi theo thời gian Điều này cho phép tách sóng dễ dàng khi máy thu được đồng bộ với các tham số của tín hiệu trải phổ Các tín hiệu trải phổ có khả năng hạn chế nhiễu và gây khó khăn cho quá trình phát hiện và chặn tín hiệu trên đường truyền Có hai kỹ thuật trải phổ: Trải phổ chuỗi trực tiếp (DSSS) và trải phổ nhảy tần (FHSS)

b Các mạng WLAN hồng ngoại

Mạng WLAN đầu tiên được phát triển sử dụng truyền dẫn hồng ngoại cách đây khoảng chừng 20 năm Các hệ thống này khai thác các điểm thuận lợi do sử dụng vô tuyến hồng ngoại như là một môi trường cho truyền dẫn vô tuyến Chẳng hạn, tia hồng ngoại

có băng thông không cấp phép rất dồi dào, nó loại bỏ được nhiễu vô tuyến, các thiết bị hồng ngoại nhỏ và tiêu thụ ít công suất

Không giống như các sóng vô tuyến, các tần số hồng ngoại là quá cao để thực hiện điều chế giống như đối với các tần số vô tuyến Vì vậy, các đường truyền hồng ngoại thường dựa trên cơ sở điều chế xung bật tắt và tách sóng tín hiệu quang Quá trình - truyền dẫn xung bật tắt được thực hiện bằng cách biến đổi cường độ (biên độ) dòng - điện trong máy phát hồng ngoại như là laser diode hay diode phát quang chẳng hạn Theo cách này, dữ liệu được mang đi bởi cường độ (chứ không phải là pha hay tần số) của sóng ánh sáng Các hệ thống hồng ngoại sử dụng hai thành phần vật lý khác nhau (các bộ phát và các bộ tách) để phát và thu tín hiệu sóng quang Điều này trái ngược với các hệ thống vô tuyến vì ở đó sử dụng một anten chung để phát và thu tín hiệu

Các mạng WLAN hồng ngoại khác với các mạng WLAN vô tuyến ở nhiều điểm Nói chung, các hệ thống vô tuyến luôn tạo ra vùng phủ rộng hơn Mặt khác, tín hiệu vô tuyến luôn có độ rộng băng thông hẹp hơn các tín hiệu quang mặc dù các hệ thống thương mại vẫn chưa khai thác được hết băng thông tín hiệu quang

30m:

11Mb/s90m: 1Mb/s

IEEE 802.11g 2.4 54

15m:

54Mb/s 45m:

tần ISM (khoảng 83 MHz trong phổ 2.4 GHz), 802.11a sử dụng gấp 4 lần băng tần ISM vì UNII sử dụng phổ không nhiễu 300MHz

độ thấp hơn, và sau đó sẽ được truyền song song Mỗi kênh truyền tốc độ cao có độ rộng là 20MHz và được chia nhỏ thành 52 kênh phụ, mỗi cái có độ rộng khoảng 300 kHz

COFDM sử dụng 48 kênh phụ cho việc truyền dữ liệu, và 4 kênh còn lại được sử dụng cho sửa lỗi COFDM có tốc độ truyền cao hơn và có khả năng phục hồi lỗi tốt hơn, nhờ vào kỹ thuật mã hoá và sửa lỗi của nó Mỗi kênh phụ có độ rộng khoảng 300 kHz Để

mã hoá 125 kbps thì BPSK được sử dụng cho tốc độ khoảng 6000 kbps Sử dụng QPSK thì có khả năng mã hoá l6n tới 250 kbps mỗi kênh, cho tốc độ khoảng 12Mbps Bằng cách sử dụng QAM 16 mức mã hoá 4bit/Hertz, và đạt được tốc độ 24 Mbps Tốc

độ 54 Mbps đạt được bằng cách sử dụng 64 QAM, cho phép từ 8 10 bit cho mỗi vòng,

-và tổng cộng lên đến 1.125 Mbps cho mỗi kênh 300 kHz Với 48 kênh cho tốc độ 54 Mbps, tuy nhiên, tốc độ tối đa theo lý thuyết của COFDM là 108 Mbps

Tất cả các băng tần dùng cho Wireless LAN là không cần đăng ký, vì thế nó dễ dàng dẫn đến

sự xung đột và nhiễu Để tránh sự xung đột này, cả 802.11a và 802.11b đều có sự điều chỉnh

để giảm các mức của tốc độ truyền dữ liệu Trong khi 802.11b có các tốc độ truyền dữ liệu là 5.5, 2 và 1 Mbps thì 802.11a có bảy mức (48, 36, 24, 18, 12, 9, và 6 )

b 802.11b

Được đưa vào năm 1999, tiêu chuẩn IEEE 802.11b hay Wi fi, là phần mở rộng của - tiêu chuẩn 802.11 Chuẩn này cung cấp việc truyền dữ liệu trong dải tần 2.4 Ghz , với các tốc độ 1- 2 Mbps

IEEE 802.11b sử dụng phương pháp trải phổ trực tiếp DSSS Tiêu chuẩn 802.11b được xây dựng ở 2 lớp dưới cùng của mô hình OSI: PHY và lớp con MAC thuộc lớp liên kết

dữ liệu

Để tăng tốc độ truyền lên cho chuẩn 802.11b, vào năm 1998, Lucent và Harris đề xuất cho IEEE một chuẩn được gọi là Complementary Code Keying(CCK) CCK sử dụng một tập 64 từ các mã 8 bit, do đó 6 bit có thể được đại diện bởi bất kỳ từ mã nào Vì là một tập hợp những từ mã này có các đặc tính toán học duy nhất cho phép chúng được bên nhận nhận ra một cách chính xác với các kỹ thuật khác, ngay cả khi có sự hiện diện của nhiễu

Với tốc độ 5.5 Mbps sử dụng CCK để mã hoá 4 bit mỗi sóng mang, và với tốc độ 11 Mbps mã hoá 8 bit mỗi sóng mang Cả hai tốc độ đều sử dụng QPSK làm kỹ thuật điều chế và tín hiệu ở 1.375 MSps Vì FCC điều chỉnh năng lượng đầu ra thành 1 watt Effective Isotropic Radiated Power(EIRP) Do đó với những thiết bị 802.11, khi di chuyển ra khỏi sóng radio, radio có thể thích nghi và sử dụng kỹ thuật mã hoá ít phức tạp hơn để gửi dữ liệu và kết quả là tốc độ chậm hơn

Một trong những nhược điểm của IEEE 802.11b là băng tần dễ bị nghẽn và hệ thống dễ

bị nhiễu bởi các hệ thống mạng khác, lò vi ba, các loại điện thoại hoạt động ở tần số 2.4 GHz và các mạng Bluetooth Đồng thời IEEE 802.11b cũng có những hạn chế như: thiếu khả năng kết nối giữa các thiết bị truyền giọng nói, không cung cấp dịch vụ QoS (Quality of Service) cho các phương tiện truyền thông

Mặc dù vẫn còn một vài hạn chế và nhược điểm nhưng chuẩn 802.11b (thường gọi là Wifi) là chuẩn thông dụng, được sử dụng phổ biến nhất hiện nay với số lượng lớn các nhà cung cấp cho các đối tượng khách hàng là các doanh nghiệp, gia đình hay các văn phòng nhỏ

Hình 1-3 Các lựa chọn chuẩn IEEE 802.11b

c 802.11b+

IEEE 802.11b+: TI (Texas Instruments) đã phát triển một kỹ thuật điều chế gọi là

PBCC (Packet Binary Convolutional Code) mà nó có thể cung cấp các tốc độ tín hiệu ở 22Mbps và 33Mbps TI sản xuất các chipset dựa trên 802.11b còn hỗ trợ PBCC

22Mbps.Các sản phẩm kết hợp các chipset này được biết như là các thiết bị 802.11b+ Chúng hoàn toàn tương thích với 802.11b, và khi giao tiếp với nhau có thể đạt được tốc

độ tín hiệu 22Mbps Một sự tăng cường mà TI có thể được sử dụng giữa các thiết bị 802.11b+ là chế độ 4x, nó sử dụng kích thước gói tin tối đa lớn hơn (4000 byte) để

giảm chồng lấp và tăng thông lượng

d 802.11g

Chuẩn IEEE 802.11g là một chuẩn mới, được khởi thảo từ năm 2001 nhưng mãi đến năm 2003 mới hoàn thành Mặc dù chuẩn 802.11a có tốc độ nhanh (54 Mbps), hoạt động tại băng tần cao (5 GHz ) nhưng nhược điểm lớn nhất của nó là không tương thích với chuẩn 802.11b Vì thế sẽ không thể thay thế hệ thống đang dùng 802.11b mà không phải tốn kém quá nhiều IEEE đã cho ra đời chuẩn 802.11g nhằm cải tiến

802.11b về tốc độ truyền cũng như băng thông 802.11g có hai đặc tính chính sau đây:

Sử dụng kỹ thuật OFDM (Orthogonal Frequency Division Multiplexing), để có thể cung cấp các dịch vụ có tốc độ lên tới 54Mbps Trước đây, FCC (Federal

Communication Commission- USA) có cấm sử dụng OFDM tại 2,4GHz Nhưng hiện nay FCC đã cho phép sử dụng OFDM tại cả hai băng tần 2.4GHz và 5GHz

Tương thích với các hệ thống 802.11b tồn tại trước Do đó, 802.11g cũng có hỗ trợ CCK và thiết bị 802.11g cũng có thể giao tiếp với thiết bị 802.11b có sẵn

Một thuận lợi rõ ràng của 802.11g là tương thích với 802.11b (được sử dụng rất rộng rãi ) và có được tốc độ truyền cao như 802.11a Tuy nhiên số kênh tối đa mà 802.11g được sử dụng vẫn là 3 như 802.11b Bên cạnh đó, do hoạt động ở tần số 2,4 GHz như 802.11b, hệ thống sử dụng 802.11g cũng dễ bị nhiễu như 802.11b

e 802.11g+

IEEE 802.11g+: được cải tiến từ chuẩn 802.11g, hoàn toàn tương thích với 802.11a và 802.11b, được phát triển bởi TI Khi các thiết bị 802.11g+ hoạt động với nhau thì thông lượng đạt được có thể lên đến 100Mbps

Tầm hoạt động trung bình của các chuẩn có thể đạt đến 90 mét, tùy theo tiêu chuẩn, tốc

độ và điều kiện môi trường làm việc

f 802.11i

Nó là chuẩn bổ sung cho các chuẩn 802.11a, 802.11b, 802.11g về vấn đề bảo mật Nó

mô tả cách mã hóa dữ liệu truyền giữa các hệ thống sử dụng các chuẩn này 802.11i định nghĩa một phương thức mã hoá mạnh mẽ gồm Temporal Key Integrity Protocol (TKIP) và Advanced Encryption Standard (AES)

g 802.11n

Một chuẩn Wi Fi mới đang được Liên minh WWiSE đưa ra xin phê chuẩn (dự kiến vào năm 2008), với mục tiêu đưa kết nối không dây băng thông rộng lên một tầm cao mới Công nghệ này hứa hẹn sẽ đẩy mạnh đáng kể tốc độ của các mạng cục bộ không dây (WLAN)

-Liên minh WWiSE (WorldWide Spectrum Efficiency), bao gồm các công ty: Airgo Networks, Bermai, Broadcom, Conexant Systems, STMicroelectronics và Texas

Instruments, cho biết công nghệ Wi Fi mới đang được nhóm thảo luận 802.11n của Viện Kỹ thuật Điện và Điện tử (IEEE) xem xét Đây là bộ phận giám sát một chuẩn Wi-Fi thế hệ kế tiếp có khả năng duy trì tốc độ trao đổi dữ liệu không dây vượt mức 100Mbps

-Chuẩn Wi Fi đề xuất dựa trên công nghệ MIMO- - OFDM ( multiple input, multiple output- orthogonal frequency division multiplexing), cung cấp tốc độ cao hơn bằng cách sử dụng hai anten ở mỗi đầu của tín hiệu (một để truyền, một để nhận), thay vì một anten ở mỗi đầu như hiện nay

Công nghệ MIMO sẽ là thành phần cốt yếu của chuẩn 802.11n, cung cấp phạm vi phủ sóng WLAN ổn định hơn với tỷ lệ truyền dữ liệu siêu nhanh Nó sẽ cho phép người dùng thực hiện nhiều công việc hơn với Wi Fi, đặc biệt trong các ứng dụng đa phương - tiện

WWiSE cho biết công nghệ mới có thể đạt tỷ lệ truyền tối đa lên đến 135Mbps trong cấu hình tối thiểu 2 nối 2 (two- by- two), và tỷ lệ này có thể lên tới 540Mbps qua 1 cấu trúc MIMO 4 nối 4 (four- by- four) và độ rộng kênh truyền 40MHz

1.3 Cấu trúc cơ bản của WLAN

Một mạng WLAN 802.11 thông thường gồm bốn thành phần chính: Hệ thống phân phối (DS), Điểm truy nhập (AP), Môi trường vô tuyến (WM) và Các trạm STA

Hình 1-4 Các thành phần vật lý cơ bản của WLAN

1.3.1 Điểm truy cập

Thiết bị gọi là điểm truy nhập đóng vai trò như là cầu nối giữa mạng WLAN với

trường bên ngoài Chức năng chính của điểm truy nhập là mở rộng mạng (mở rộng một vùng phủ sóng vô tuyến) Các điểm truy nhập bổ sung có thể được triển khai trong một toà nhà hay khuôn viên trường đại học nhằm tạo ra các vùng truy nhập vô tuyến rộng lớn

Điểm truy nhập hỗ trợ khả năng truy nhập tới hệ thống phân phối bằng cách cung cấp các dịch vụ bổ sung để nó hoạt động như một trạm cơ sở Ngoài ra điểm truy nhập cũng đóng vai trò phân bố trong các cấu hình mạng không ngang hàng

1.3.2 Môi trường vô tuyến (Wireless Medium)

Là môi trường truyền các sóng điện từ mang thông tin từ trạm này đến trạm khác Đây chính là môi trường không khí

1.3.3 Các trạm (Station)

Các mạng WLAN được t hiết kế và xây dựng nhằm mục đích kết nối các trạm với nhau Trạm có thể là những thiết bị như máy tính, điện thoại cầm tay hay bất cứ thiết bị nào có giao diện vô tuyến

Basic service set (BSS)

802.11 định nghĩa BSS như một khối kết cấu cơ bản của mạng WLAN Hình 2.4 biểu diễn hai BSS, mỗi BSS có hai trạm

Hình 1-5 Cấu trúc cơ bản của WLAN

BSS chỉ gồm một nhóm các trạm không dây truyền thông với nhau trong một phạm vi giới hạn, được xác định bởi các đặc tính của môi trường truyền Khi một trạm nằm trong vùng phục vụ, nó có thể liên lạc với tất cả các thành phần khác trong BSS Nếu một trạm di chuyển ra ngoài BSS của nó, nó sẽ không liên lạc trực tiếp được với các thành viên khác của BSS

1.3.4 Hệ thống phân phối (Distribution System)

Thành phần kiến trúc dùng để kết nối các nhóm dịch vụ với nhau và tích hợp với các mạng LAN để tạo thành một mạng mở rộng được gọi là Hệ thống phân phối DS Hay

nói cách khác, DS sử dụng để kết nối các BSS với nhau, để điều phối thông tin đến các trạm đích

Một DS cho phép hỗ trợ các thiết bị di động bằng cách cung cấp các dịch vụ logic cần thiết giám sát địa chỉ để chuyển đổi đích và tích hợp nhiều BSS Dữ liệu di chuyển giữa một BSS và DS qua một AP Các địa chỉ được AP sử dụng để trao đổi thông tin trên môi trường vô tuyến WM và trên môi trường hệ thống phân phối DSM không nhất thiết phải giống nhau

WLAN phân tích một cách logic môi trường vô tuyến với môi trường hệ thống phân phối Mỗi môi trường logic khác nhau được sử dụng cho mỗi mục đích khác nhau bởi một thành phần kiến trúc khác nhau

Trong thực tế, hệ thống phân phối được xem như sự kết hợp giữa cầu nối (bridge) và môi trường hệ thống phân phối Nó là các mạng xương sống (backbone), sử dụng để chuyển các gói tin giữa các điểm truy nhập

1.4 Bảo mật trong mạng WLAN

Bảo mật là vấn đề hết sức quan trọng đối với người dùng trong tất cả các hệ thống mạng (LAN, WLAN…) Nhưng do bắt nguồn từ tính cố hữu của môi trường không dây Để kết nối tới một mạng LAN hữu tuyến cần phải truy cập theo đường truyền bằng dây cáp, phải kết nối một PC vào một cổng mạng Với mạng không dây Wi- Fi chỉ cần có thiết bị trong vùng sóng là có thể truy cập được nên vấn đề bảo mật cho mạng không dâyWi Fi là cực kỳ quan trọng và làm đau đầu những người sử dụng - mạng

Điều khiển cho mạng hữu tuyến là đơn giản: đường truyền bằng cáp thông thường được đi trong các tòa nhà cao tầng và các port không sử dụng có thể làm cho nó disable bằng các ứng dụng quản lý Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vật liệu của các tòa nhà và như vậy sự bao phủ là không giới hạn ở

bên trong một tòa nhà Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát

từ các mạng Wi- Fi này, và như vậy ai đó cũng có thể truy cập nhờ vào các thiết bị thích hợp Do đó mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ

Không giống như các hệ thống hữu tuyến được bảo vệ vật lý, các mạng vô tuyến không

cố định trong một phạm vi Chúng có di chuyển ra xa khoảng 1000 bước chân ngoài ranh giới của vị trí gốc với một laptop và một anten thu Những điều này làm cho mạng WiFi rất dễ bị xâm phạm

Bảo mật là vấn đề rất quan trọng và đặc biệt rất được sự quan tâm của những doanh nghiệp Không những thế, bảo mật cũng là nguyên nhân khiến doanh nghiệp e ngại khi cài đặt mạng cục bộ không dây WLAN Họ lo ngại về những điểm yếu trong bảo mật WEP (Wired Equivalent Privacy), và quan tâm tới những giải pháp bảo mật mới thay thế an toàn hơn

IEEE và Wi Fi All- iance đã phát triển các giải pháp có tính bảo mật hơn là: Bảo vệ truy cập WPA (Wi-Fi Protected Access), và IEEE 802.11i (hay còn được gọi là WPA2), bảo mật bằng xác thực 802.1x và một giải pháp tình thế khác mang tên VPN Fix cũng giúp tăng cường bảo mật mạng không dây cho môi trường mạng không dây cục bộ Theo như Webtorial, WPA và 802.11i được sử dụng tương ứng là 29% và 22% Mặt khác, 42% được sử dụng cho các "giải pháp tình thế" khác như: bảo mật hệ thống mạng riêng ảo VPN (Vitual Private Network) qua mạng cục bộ không dây

Hình 1-6 Một người lạ truy cập

1.4.1 Một số hình thức tấn công

a Tấn công không qua chứng thực

Tấn công không qua chứng thực (Deauthentication attack) là sự khai thác gần như hoàn hảo lỗi nhận dạng trong mạng 802.11 Trong mạng 802.11 khi một nút mới gia nhập vào mạng nó sẽ phải đi qua quá trình xác nhận cũng như các quá trình có liên quan khác rồi sau đó mới được phép truy cập vào mạng Bất kỳ các nút ở vị trí nào cũng có thể gia nhập vào mạng bằng việc sử dụng khoá chia sẻ tại vị trí nút đó để biết được mật khẩu của mạng Sau quá trình xác nhận, các nút sẽ đi tới các quá trình có liên quan để

có thể trao đổi dữ liệu và quảng bá trong toàn mạng Trong suốt quá trình chứng thực chỉ có một vài bản tin dữ liệu, quản lý và điều khiển là được chấp nhận Một trong các bản tin đó mang lại cho các nút khả năng đòi hỏi không qua chứng thực từ mỗi nút khác Bản tin đó được sử dụng khi một nút muốn chuyển giữa hai mạng không dây khác nhau Ví dụ nếu trong cùng một vùng tồn tại nhiều hơn một mạng không dây thì nút đó sẽ sử dụng bản tin này Khi một nút nhận được bản tin “không qua chứng thực” này nó sẽ tự động rời khỏi mạng và quay trở lại trạng thái gốc ban đầu của nó

Trong tấn công không qua chứng thực, tin tặc sẽ sử dụng một nút giả mạo để tìm ra địa chỉ của AP đang điều khiển mạng Không quá khó để tìm ra địa chỉ của AP bởi nó

không được bảo vệ bởi thuật toán mã hoá, địa chỉ của chúng có thể được tìm thấy nếu chúng ta lắng nghe lưu lượng giữa AP và các nút khác Khi tin tặc có được địa chỉ của

AP, chúng sẽ gửi quảng bá các bản tin không chứng thực ra toàn mạng khiến cho các nút trong mạng ngay lập tức dừng trao đổi tin với mạng Sau đó tất cả các nút đó sẽ cố kết nối lại, chứng thực lại và liên kết lại với AP tuy nhiên do việc truyền các bản tin không qua chứng thực được lặp lại liên tục khiến cho mạng rơi vào tình trạng bị dừng hoạt động

b Tấn công truyền lại

Tấn công truyền lại (Replay Attack) là tin tặc đứng chắn ngang việc truyền thông tin hợp lệ và rồi sử dụng lại nó Tin tặc không thay đổi bản tin mà chỉ gửi lại nó trong thời điểm thích hợp theo sự lựa chọn của tin tặc

Trong mạng 802.11, tấn công truyền lại tạo ra kiểu tấn công từ chối dịch vụ vì khi nút nhận được một bản tin hợp lệ nó sẽ chiếm dụng băng thông và tính toán thời gian để giải mã bản tin đó Các lỗi dễ bị tấn công nhất trong 802.11 rất nhạy với hình thức tấn công này là các bản tin không có thứ tự một cách rõ ràng Trong 802.11 không có cách nào để dò và loại bỏ các bản tin bị truyền lại

c Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý

Tần số là một nhược điểm bảo mật trong mạng không dây Mức độ nguy hiểm thay đổi phụ thuộc vào giao diện của lớp vật lý Có một vài tham số quyết định sự chịu đựng của mạng là: năng lượng máy phát, độ nhạy của máy thu, tần số RF, băng thông và sự định hướng của anten

Trong 802.11 sử dụng thuật toán đa truy cập cảm nhận sóng mang (CSMA) để tránh xung đột CSMA là một thành phần của lớp MAC CSMA được sử dụng để chắc chắn rằng sẽ không có xung đột dữ liệu trên đường truyền Kiểu tấn công này không sử dụng tạp âm để tạo ra lỗi cho mạng nhưng nó sẽ lợi dụng chính chuẩn đó Thậm chí là

kỹ thuật sử dụng trải phổ tuần tự trực tiếp (DSSS), mã sửa sai FEC hay CRC đều vô ích với kiểu tấn công này

Có nhiều cách để khai thác giao thức cảm nhận sóng mang vật lý Cách đơn giản là làm cho các nút trong mạng đều tin tưởng rằng có một nút đang truyền tin tại thời điểm hiện tại Cách dễ nhất đạt được điều này là tạo ra một nút giả mạo để truyền tin một cách liên tục Một cách khác là sử dụng bộ tạo tín hiệu RF Một cách tấn công tinh vi hơn là làm cho card mạng chuyển vào chế độ kiểm tra mà ở đó nó truyền đi liên tiếp một mẫu kiểm tra Tất cả các nút trong phạm vi của một nút giả là rất nhạy với sóng mang và trong khi có một nút đang truyền thì sẽ không có nút nào được truyền Theo như tin tặc thì đó là kiểu rất dễ bị tấn công vì nó không đòi hỏi thiết bị đặc biệt

d Tấn công từ chối dịch vụ

Đây là hình thức tấn công làm cho các mạng không dây không thể phục vụ được người dùng, từ chối dịch vụ với những người dùng hợp pháp Trong mạng có dây có các hình thức tấn công từ chối dịch vụ DoS (Denial of Service) phổ biến như Ping of Death, SYN Flooding Các hình thức này dựa trên cơ chế của bộ giao thức TCP/IP, có thể khiến cho máy chủ bị treo Mạng không dây tồn tại những điểm yếu để tấn công DoS khác với mạng có dây ví dụ như khi sóng radio truyền trong môi trường, nó rất dễ bị ảnh hưởng bởi các yếu tố khách quan cũng như chủ quan Một kẻ tấn công có thể tạo ra các sóng có cùng tần số với tần số truyền tín hiệu để gây nhiễu cho đường truyền Điều này đòi hỏi một bộ phát sóng đủ đảm bảo tín hiệu ổn định cho mạng

e Giả mạo địa chi MAC

Trong 802.11 địa chỉ MAC là một cách để ngăn người dùng bất hợp pháp gia nhập vào mạng Việc giả địa chỉ MAC là một nhiêm vụ khá dễ dàng đối với tin tặc Trong khi giá trị được mã hoá trong phần cứng là không thể thay đổi thì giá trị được đưa ra trong phần sụn (chương trình cơ sở) của phần cứng lại có thể thay đổi được Có nhiều

chương trình sử dụng cho các hệ điều hành khác nhau có thể thay đổi được địa chỉ MAC được đưa ra trong bộ điều hợp mạng Thủ tục này thực sự là rất dễ và có thể được thực hiện trong vài phút Thậm chí sau khi giả địa chỉ MAC trở nên phổ biến, 802.11 vẫn còn sử dụng phương pháp chứng thực này bởi vì địa chỉ MAC 48 bit là đủ dài để ngăn chặn các cuộc tấn công vào nó Nhiều chương trình mới đã được tạo ra để cho phép tin tặc vượt qua được sự khó khăn này Tin tặc không phải đi tìm địa chỉ MAC bởi vì nó được phát quảng bá ra toàn mạng do chuẩn 802.11 yêu cầu như vậy Chỉ có một vài gói tin mà tin tặc cần chặn lại để lấy địa chỉ MAC và do vậy bằng việc giả mạo địa chỉ MAC tin tặc đã được nhận dạng như một người dùng hợp pháp của mạng

Mã hóa dữ liệu truyền - Sử dụng các phương pháp: WEP (Wired Equivalent

Privacy), WPA (Wifi Protected Access), 802.11i (WPA2)

Hình 1-7 Mô hình bảo mật wifi

a Firewall, phương pháp lọc

Lọc (Filtering) là một cơ chế bảo mật căn bản mà có thể dùng bổ sung cho WEP

và/hoặc AES Lọc theo nghĩa đen là chặn những gì không mong muốn và cho phép những gì được mong muốn Filter làm việc giống như là một danh sách truy nhập trên router: bằng cách xác định các tham số mà các trạm phải gán vào để truy cập mạng Với Wi Fi thì việc đó xác định xem các máy trạm là ai và phải cấu hình như thế nào -

Có ba loại căn bản của Filtering có thể thực hiện trên Wi- Fi:

infracstructure mode) hoặc của các trạm khác (chế độ đặc biệt, Ad hoc mode) để chứng thực và liên kết Client để thiết lập dịch vụ

-Vì lí do SSID được phát quảng bá trong những bản tin dẫn đường mà AP hoặc các Station gửi ra, nên dễ dàng tìm được SSID của một mạng sử dụng một bộ phân tích mạng, Sniffer Nhiều AP có khả năng lấy các SSID của các khung thông tin dẫn đường (beacon frame) Trong trường hợp này client phải so khớp SSID để liên kết với AP Khi một hệ thống được cấu hình theo kiểu này, nó được gọi là hệ thống đóng, closed system Lọc SSID được coi là một phương pháp không tin cậy trong việc hạn chế những người sử dụng trái phép của Wi Fi Một vài loại AP có khả năng gỡ bỏ SSID từ - những thông tin dẫn đường hoặc các thông tin kiểm tra Trong trường hợp này, để gia nhập dịch vụ một trạm phải có SSID được cấu hình bằng tay trong việc thiết đặt cấu hình driver

 Lọc địa chỉ MAC

Wi- Fi có thể lọc dựa vào địa chỉ MAC của các trạm khách Hầu hết tất cả các AP, thậm chí cả những cái rẻ tiền, đều có chức năng lọc MAC Người quản trị mạng có thể biên tập, phân phối và bảo trì một danh sách những địa chỉ MAC được phép và lập trình chúng vào các AP Nếu một Card PC hoặc những Client khác với một địa chỉ MAC mà không trong danh sách địa chỉ MAC của AP, nó sẽ không thể đến được điểm truy nhập đó

Hình 1-8 Lọc địa chỉ MAC

Tất nhiên, lập trình các địa chỉ MAC của các Client trong mạng WLAN vào các AP trên một mạng rộng thì không thực tế Bộ lọc MAC có thể được thực hiện trên vài RADIUS Server thay vì trên mỗi điểm truy nhập Cách cấu hình này làm cho lọc MAC

là một giải pháp an toàn, và do đó có khả năng được lựa chọn nhiều hơn Việc nhập địa chỉ MAC cùng với thông tin xác định người sử dụng vào RADIUS khá là đơn giản, mà

có thể phải được nhập bằng bất cứ cách nào, là một giải pháp tốt RADIUS Server thường trỏ đến các nguồn chứng thực khác, vì vậy các nguồn chứng thực khác phải được hỗ trợ bộ lọc MAC Bộ lọc MAC có thể làm việc tốt trong chế độ ngược lại Xét một ví dụ, một người làm thuê bỏ việc và mang theo cả Card Lan không dây của họ Card Wlan này nắm giữ cả chìa khóa WEP và bộ lọc MAC vì thế không thể để họ còn được quyền sử dụng Khi đó người quản trị có thể loại bỏ địa chỉ MAC của máy khách

đó ra khỏi danh sách cho phép Mặc dù Lọc MAC trông có vẻ là một phương pháp bảo mật tốt, chúng vẫn còn dễ bị ảnh hưởng bởi những thâm nhập sau:

- Sự ăn trộm một Card PC trong có một bộ lọc MAC của AP

- Việc thăm dò Wi Fi và sau đó giả mạo với một địa chỉ MAC để thâm nhập vào - mạng

Với những mạng gia đình hoặc những mạng trong văn phòng nhỏ, nơi mà có một số lượng nhỏ các trạm khách, thì việc dùng bộ lọc MAC là một giải pháp bảo mật hiệu quả Vì không một hacker thông minh nào lại tốn hàng giờ để truy nhập vào một mạng

có giá trị sử dụng thấp

 Lọc giao thức

Mạng WLan có thể lọc các gói đi qua mạng dựa trên các giao thức lớp 2- Trong 7 nhiều trường hợp, các nhà sản xuất làm các bộ lọc giao thức có thể định hình độc lập cho cả những đoạn mạng hữu tuyến và vô tuyến của AP Tưởng tượng một hoàn cảnh, trong đó một nhóm cầu nối không dây được đặt trên một Remote building trong mạng Wi- Fi của một trường đại học mà kết nối lại tới AP của tòa nhà kỹ thuật trung tâm Vì

tất cả những người sử dụng trong remote building chia sẻ băng thông 5Mbs giữa những tòa nhà này, nên một số lượng đáng kể các điều khiển trên các sử dụng này phải được thực hiện Nếu các kết nối này được cài đặt với mục đích đặc biệt của sự truy nhập Internet của người sử dụng, thì bộ lọc giao thức sẽ loại trừ tất cả các giao thức, ngoại trừ SMTP, POP3, HTTP, HTTPS, FTP

Trong cách cấu hình này, tất các những điểm truy cập Wi Fi, và cũng như các máy - tính được kết nối vào các điểm truy cập này, đều được định nghĩa trong một mạng LAN ảo (Vitual LAN) Trong cơ sở hạ tầng bảo mật, các thiết bị này được đối xử như

là "không tin tưởng" Trước khi bất cứ các thiết bị Wi Fi được kết nối, chúng sẽ phải - được sự cho phép từ thành phần bảo mật của mạng LAN Dữ liệu cũng như kết nối của

các thiết bị sẽ phải chạy qua một máy chủ xác thực như RADIUS chẳng hạn Tiếp đó, kết nối sẽ được thiết lập thành một tuyến kết nối bảo mật đã được mã hoá bởi một giao thức bảo mật ví dụ như IPSec, giống như khi sử dụng các dịch vụ truy cập từ xa qua Internet

Tuy nhiên, giải pháp này cũng không phải là hoàn hảo, VPN Fix cần lưu lượng VPN lớn hơn cho tường lửa, và cần phải tạo các thủ tục khởi tạo cho từng người sử dụng Hơn nữa, IPSec lại không hỗ trợ những thiết bị có nhiều chức năng riêng như thiết bị cầm tay, máy quét mã vạch Cuối cùng, về quan điểm kiến trúc mạng, cấu hình theo VPN chỉ là một giải pháp tình thế

Phương pháp 802.1x

Chuẩn WLAN 802.11 không có sự xác nhận thông minh, vì vậy chuẩn công nghiệp đã thông qua giao thức 802.1x cho sự xác nhận của nó 802.1x đưa ra cách thức điều khiển truy cập mạng cơ bản, nó sử dụng EAP (Extensible Authentication Protocol) và RADIUS server 802.1x không đưa ra giao thức xác nhận một cách cụ thể nhưng chỉ rõ EAP trong việc hỗ trợ số lượng các giao thức xác nhận như là CHAP-MD5, TLS và Kerberos EAP có thể được mở rộng vì vậy các giao thức xác nhận mới có thể được hỗ trợ như trong các phiên bản sau của nó EAP được đưa ra để hoạt động trên giao thức Point- to- Point (PPP); để nó tương thích với các giao thức của lớp liên kết dữ liệu khác (như là Token Ring 802.5 hay Wireless LANs 802.11) EAP Over LANs (EAPOL) đã được phát triển

Hình 1-10 Phương pháp 802.1x

802.1x EAP-TLS được sử dụng trong các môi trường cớ bản và an toàn cao Sự trao đổi của các message EAP TLS cung cấp sự xác nhận lẫn nhau, sự bắt tay của giao - thức mã hóa và sự trao đổi khóa bảo vệ giữa một client Wi Fi và mạng EAP- -TLS là một kỹ thuật cung cấp các khóa mã hóa động cho người dùng và session Điều này cải thiện một cách đáng kể và vượt qua nhiều điểm yếu trong các mạng không dây

Hình dưới đây chỉ ra một chuỗi các sự kiện xuất hiện khi một Client được xác nhận bằng 802.1x EAP TLS Hai chứng chỉ digital được yêu cầu ở đây: một trên RADIUS -server (ví dụ EAS) và một trên Client không dây Chú ý rằng sự truy cập không dây được cung cấp cho tới khi sự xác nhận thành công và các khóa WEP động đã được thiết lập