CHƯƠNG XII AN NINH MẠNG CỤC BỘ KHÔNG DÂY ThS Nguyễn Cao Đạt E-mail: dat@cse.hcmut.edu.vn Tham khảo [2] Network Security – A Beginner’s Guide: module 18 http://www.wifi.org http://standards.ieee.org/wireless http://en.wikipedia.org/wiki/Wired_Equivalent_Pr ivacy http://www.bsi.bund.de/literat/doc/wlan/wlan.pd f Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Nội dung trình bày       Công nghệ WLAN Lịch sử phát triiển an ninh WLAN Các tính an ninh 802.11 Các tính an ninh cải tiến So sánh chuẩn an ninh WLAN Kết luận khuyến cáo Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN   Các chuẩn 802.11a, 802.11b, 802.11g, 802.11n Cho phép máy trạm thiết lập kết nối với Access Point lên đến 11Mbps/54Mbps/108Mbps Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN  Các chuẩn khác  802.11n – 100Mbps+  802.11e – QoS   Được liên minh WiFi đặt tên “Wireless MultiMedia (WMM)” 802.11i    Thêm thuật tốn mã hóa AES Đòi hỏi xử lý tốc độ cao TKIP giải pháp tạm thời Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN  Vấn đề an ninh    WLAN dùng không khí phương tiện truyền thơng cho việc gửi nhận thơng tin Tín hiệu thu phạm vi hoạt động WLAN có số lỗ hổng bảo mật mà không tồn mạng cục có dây Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN  Môt số mối đe dọa     War driver: Kẻ công muốn truy cập Internet miễn phí nên cố gắng để tìm cơng điểm truy cập WLAN khơng có an ninh hay an ninh yếu.  Tin tặc: Sử dụng mạng không dây cách để truy cập vào mạng doanh nghiệp mà không cần phải qua kết nối Internet có tường lửa Nhân viên: Nhân viên vơ tình giúp tin tặc truy cập vào mạng doanh nghiệp nhiều cách Điểm truy cập giả mạo: kẻ cơng thiết lập AP riêng mình, với thiết lập tương tự AP có Khi người dùng sử dụng AP giả mạo bị lộ thông tin Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN  Các hình thức giảm nguy    Xác thực lẫn Mã hóa liệu Phát thâm nhập bất hợp pháp Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Lịch sử phát triển an ninh WLAN  1997, chuẩn 802.11 cung cấp     SSID (Service Set Identifier) Lọc địa MAC WEP (Wired Equivalent Privacy) 2001   Fluhrer, Mantin Shamir số điểm yếu WEP IEEE bắt đầu khởi động nhóm i (802.11i) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Lịch sử phát triển an ninh WLAN  2003      Wi-Fi Protected Access(WPA) giới thiệu Là giải pháp tạm thời cho WEP Một phần của IEEE 802.11i 2004     WPA2 được giới thiệu Nó dựa trên chuẩn IEEE 802.11i Được phê chuẩn vào 25/06/2004 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 10 Các tính an ninh cải tiến  Wi-Fi Protected Access (WPA)     Giải hầu hết điểm yếu WEP Là tập 802.11i, tương thích 802.11i Mục tiêu cải thiện vấn đề mã hóa xác thực người dùng Gồm chế độ hoạt động   WPA doanh nghiệp: TKIP/MIC ; 802.1X/EAP WPA cá nhân: TKIP/MIC; PSK Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 24 Các chế độ hoạt động WPA  Doanh nghiệp   Nhà hay văn phòng nhỏ     Dùng 802.1x/EAP cho xác thực Dùng chế độ “Pre-Shared Keys (PSK)” Người dùng cung cấp khóa chủ máy tính Khóa chủ kích hoạt TKIP việc quay vòng khóa Chế độ hỗn hợp  Hoạt động với WEP máy trạm không hỗ trợ WPA Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 25 Chế độ WPA doanh nghiệp  Xác thực(IEEE 802.1X/EAP)      Xác thực lẫn Vì bạn khơng bị tham gia mạng giả mạo cung cấp thơng tin bí mật bạn Hỗ trợ nhiều phương thức xác thực dựa mật khẩu, chứng số Quản lý thông tin người dùng tập trung Một AAA server cần thiết Dùng giao thức RADIUS cho AAA phân phối khóa Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 26 EAP(Extensible Authentication Protocol)  Cisco LEAP    EAP-GTC    Xác thực lẫn dùng chứng X.509 Mặc định 802.11i EAP-TTLS/PEAP TLS qua đường hầm  Không yêu cầu chứng client Trường Đại Học Bách Khoa Tp.HCM  Khoa Khoa Học Kỹ Thuật Máy Tính Xác thực dùng mật lần EAP-FAST  EAP-TLS   Dùng Username/password Dễ bị tổn thương bởi công mật khẩu/ dựa băm    Client & server có khóa, thiết lập đường hầm an toàn Xác thực xảy ra trên đường hầm an toàn Giống như xác thực VPN Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 27 Xác thực với EAP-FAST AP Supplicant Enterprise Network EAPOL Start EAP Authentication Start Ask client for EAPidentity Request/Identity EAP RADIUS Access -Response/Identity request (EAP-ID) Secure Tunnel (via TLS & PAC) Client-side Authentication key Client derives PMK EAP success RADIU S server Access Request with EAP-ID Perform sequence defined by EAP-FAST RADIUS Access Accept (Pass PMK to AP) key WPA Key Management Protected DATA Transfer Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 28 Đánh giá loại EAP EAP-OPEN EAPFAST Dể sử dụng LEAP PEAP EAPMD5 EAP-TTLS EAPTLS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính An tồn For&display purposes only Mật mã an ninh mạng Cisco IT recommends you undertake your own formal security requirements analysi Chương XII: An ninh mạng cục không dây 29 Chế độ WPA doanh nghiệp  Mã hóa(TKIP/MIC)  TKIP      Temporal Key Integrity Protocol Sửa lỗi phục hồi khóa WEP Bảo vệ IV cách loại bỏ khả dự đốn Sử dụng thuật tốn mã hóa RC4 WEP Thêm MIC cuối của thông điệp rõ nhằm đảm bảo thơng điệp đó khơng bị giả mạo MIC Message Integrity Code  Chống lại công bit-flip  Phải Trường Đại Học Bách Khoa Tp.HCM thực client & AP.Mật mã & an ninh mạng  Khoa Khoa Học Kỹ Thuật Máy Tính Chương XII: An ninh mạng cục không dây 30 Chế độ WPA doanh nghiệp Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 31 Chế độ WPA doanh nghiệp  Mã hóa (TKIP/MIC)     Dùng khóa 64 bits Chia gói tin thành khối 32 bits Dùng shifts, XORs, + đến khối 32 bits để lấy thẻ xác thực 64 bits Khóa MIC tính tốn liệu địa nguồn địa đích   MIC = MIC_key(SA, DA, PlainMSDU) Tránh bắt gói, thay đổi gởi lại gói tin Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 32 Chế độ WPA doanh nghiệp  Mã hóa (TKIP/MIC)      Mỗi khóa mã hóa gói IV có chiều dài 48bits dẫn đến giảm việc tái sử dụng IV IV mã hóa trước gởi MIC thay CRC Có thể nâng cấp dể dàng cho phần cứng hỗ trợ WEP Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 33 Chế độ WPA cá nhân   Mã hóa (TKIP) Authentication (PSK - Pre-shared key)  Chế độ đặc biệt (khơng có hạ tầng 802.1x)  Passphrase cung cấp tất máy trạm Access Point  Dựa bắt tay khóa bốn lần   Hai lần đầu: máy trạm access point trao đổi giá trị ngẫu nhiên để xác thực lẫn Hai lân : access point hướng dẫn máy trạm để cài đặt khóa tính tốn trước Máy trạm xác nhận Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục khơng dây 34 Các tính an ninh cải tiến  WPA2/802.11i       WPA giải pháp tình WPA2 chuẩn IEEE 802.11i 802.11i dùng khái niệm an ninh mạng mạnh mẽ(RSN -Robust Security Network) Khác biệt lớn nhất: AES dùng cho mã hóa Mã hóa AES thực phần cứng Đòi hỏi xử lý mạnh Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 35 Các chế độ hoạt động WPA2  Doanh nghiệp    Nhà hay văn phòng nhỏ    Xác thực dùng 802.1X/EAP Mã hóa dùng AES-CCMP Xác thực dùng PSK Mã hóa dùng AES-CCMP AES-CCMP      AES mã hóa khóa đối xứng Chiều dài khối khóa 128 bits CCMP: Counter-Mode/CBC-Mac Protocol Mã hóa dùng chế độ Counter Tồn vẹn liệu dùng CMC-MAC Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 36 So sánh chuẩn an ninh WLAN WEP Mã hóa RC4 Quay vòng Khơng khóa WPA WPA2 RC4 với TKIP/MIC AES Các khóa phiên động Các khóa phiên động Phân phối Gõ tay Phân phối tự khóa vào thiết bị động Phân phối tự động Xác thực Dùng khóa WEP Có thể dùng 802.1x & EAP Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Có thể dùng 802.1x & EAP Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 37 Kết luận khuyến cáo   An ninh mạng nói chung khơng phải trạng thái mà tiến trình Các khuyến cáo cho an ninh WLAN      Dùng thiết bị tương thích có chứng nhận Wi-Fi Thay đổi SSID không quảng bá SSID Cấu hình lọc địa MAC bạn quản lý người dùng Access Point Cấu hình WEP với khóa có chiều 128 bits thay đổi khóa WEP thường xuyên nâng cấp firmware hỗ trợ WPA/WPA2 Nâng cấp firmware để cấu hình WPA/WPA2 dùng 802.1x/EAP để xác thực người dùngS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 38