TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TIỂU LUẬN MÔN HỌC AN TỒN VÀ BẢO MẬT THƠNG TIN Đề tài: Wireless LAN security Giảng viên hướng dẫn: PGS Nguyễn Linh Giang Nhóm thực hiện: nhóm Lớp: VUWIT15 Sinh viên thực hiện:    Nguyễn Văn Hiệp 20158142 Đặng Thị Hằng 20158124 Trần Thị Ngân 20158280 Hà Nội, ngày tháng năm Mục lục CÁC KIỂU TẤN CÔNG TRONG MẠNG WLAN I Tấn công bị động(Passive Attack ) Tấn công chủ động( Active Attack) Tấn công cách gây tắc nghẽn( Jamming) Tấn công kiểu đứng ( Man-in-the-middle Attack) Tấn công yêu cầu xác thực lại Tấn cơng dựa cảm nhận sóng mang lớp vật lý 10 Tấn công ngắt kết nối( Disassociation flood attack) 11 Tấn công giả mạo ( ROGUE ACCESS POINT) 12 II BẢO MẬT MẠNG WLAN 12 WEP 12 VNP 13 TKIP (Temporal Key Integrity Protocol) 14 AES 14 802.1X EAP 15 WPA (WI-FI Protected access) 16 WPA2 17 LỌC (Filltering) 18 III XÁC THỰC CÁC GIAO THỨC ĐỂ BẢO MẬT MẠNG WLAN 18 Tổng quan 18 Các yêu cầu cho xác thực mạng không dây 20 Các chứng nhận dựa phương thức xác thức 22 Phương thức xác thực yêu cầu mật 25 Yêu cầu việc sử dụng 27 Kết luận 28 CÁC KIỂU TẤN CÔNG TRONG MẠNG WLAN I CÁC KIỂU TẤN CƠNG TRONG MẠNG WLAN Tấn cơng bị động(Passive Attack ) Tấn công bị động hay nghe phương pháp công WLAN đơn giản hiệu Tấn công bị động không để lại dấu vết chứng tỏ có diện hacker không thật kết nối với AP để lắng nghe gói tin truyền mạng khơng dây Phần mềm dò thám WLAN hay ứng dụng miễn phí thu thập thơng tin mạng không dây khoảng cách xa cách sử dụng anten định hướng Phương thức cho phép hacker giữ khoảng cách mạng, không để lại dấu vết lắng nghe thu thập thông tin q giá Hình 1.1 Tấn cơng bị động Có nhiều ứng dụng có khả thu thập password từ địa HTTP,email, instant message, phiên làm việc FTP, telnet Những kiểu kết nối truyền password theo dạng clear text( khơng mã hóa) Nhiều ứng dụng bắt password hash( mật mã băm) truyền đoạn mạng không dây client server lúc client đăng nhập vào Bất kỳ thông tin truyền đoạn mạng không dây theo kiểu dễ bị công hacker Hãy xem xét tác động hacker đăng nhập vào mạng thông tin người dùng gây thiệt hại cho mạng Hacker thủ phạm thông tin log lại đến người dùng mà hacker đăng nhập vào Điều làm cho nhân viên việc Hình 1.2 Quá trình lấy password WEP công bị động Tấn công chủ động( Active Attack) Hacker cơng chủ động (active) để thực số tác vụ mạng Một cơng chủ động sử dụng để truy cập vào server lấy liệu có giá trị hay sử dụng đường kết nối internet doanh nghiệp để thực mục đích phá hoại hay chí thay đổi cấu hình hạ tầng mạng Bằng cách kết nối với mạng không dây thơng qua AP hacker xâm nhập sâu vào mạng thay đổi cấu hình mạng Ví dụ, hacker sửa đổi để thêm MAC address hacker vào danh sách cho phép MAC filter AP hay vơ hiêu hóa tính MAC filter giúp cho việc đột nhập sau dễ dàng Admin chí khơng biết thay CÁC KIỂU TẤN CÔNG TRONG MẠNG WLAN đổi thời gian dài không kiểm tra thường xun Hình 2.1 Mơ hình cơng chủ động Một số ví dụ điển hình active attack bao gồm Spammer hay đối thủ cạch tranh muốn đột nhập vào sở liệu công ty bạn Một Spammer ( kẻ phát tán thư rác) gửi lúc nhiều mail đến mạng gia đình hay doanh nghiệp thơng qua kết nối WLAN khơng dây Sau có địa IP từ DHCP server, hacker làm cho ISP bạn ngắt kết nối email bạn lạm dụng gửi nhiều mail lỗi bạn Đối thủ cạch tranh muốn có danh sách khách hàng bạn với thông tin liên hệ hay chí bảng lương để có mức cạch tranh tốt hay giành lấy khách hàng bạn Những kiểu công xảy thường xuyên mà admin không hay biết Một hacker kết nối khơng dây vào mạng bạn, truy cập vào server, sử dụng kết nối WLAN, Internet hay truy cập đến laptop, desktop người dùng Cùng với số công cụ đơn giản, hacker dễ dàng thu thập thơng tin quan trọng, giả mạo người dùng hay chí gay thiệt hại cho mạng cách cấu hình sai Dị tìn server cách quét cổng, tạo phiên làm việc NULL để chia sẻ hay crack password, sau đăng nhập vào server account crack điều mà hacker làm mạng bạn Tấn công cách gây tắc nghẽn( Jamming) Jamming kỹ thuật sử dụng đơn giản để làm hỏng ( shut down) mạng không dây bạn Tương tự kẻ phá hoại sử dụng công DOS vào web server làm nghẽn server mạng WLAN bị shut down cách gây nghẽn tín hiểu RF Những tín hiệu gây nghẽn cố ý hay vơ ý loại bỏ hay không loại bỏ Khi hacker chủ động cơng jamming, hacker sử dụng thiết bị WLAN đặc biệt, thiết bị phát tín hiệu RF cơng suất cao hay sweep generator Hình 3.1 Tấn công gây nghẽn Để loại bỏ kiểu công yêu cầu phải xác định nguồn tínhiệu RF Việc làm cách sử dụng Spectrum Analyzer (máy phân tích phổ) Có nhiều loại Spectrum Analyzer thị trường bạn nêndùng loại cầm tay, dùng pin cho tiện sử dụng Một cách khác dùng ứng dụng Spectrum Analyzer phần mềm kèm theo sản phẩm WLAN cho client Khi nguồn gây jamming di chuyển không gây hại tháptruyền thông hay hệ thống hợp pháp khác admin nên xem xét sử dụng dãy tần số khác cho mạng WLAN Ví dụ, admin chịu trách nhiệm thiết kế cài đặt mạngWLAN cho mơi trường rộng lớn, phức tạp cần phải xem CÁC KIỂU TẤN CÔNG TRONG MẠNG WLAN xét kỹ Nếu nguồn nhiễu RF trải rộng 2.4 Ghz đàm, lị vi sóng … thìadmin nên sử dụng thiết bị theo chuẩn 802.11a hoạt động băng tần 5Ghz UNII thay sử dụng thiết bị 802.11b/g hoạt động băng tần 2.4Ghz dễ bị nhiễu Jamming vô ý xuất thường xuyên nhiều thiết bị khác chia chung băng tần 2.4 ISM với mạng WLAN Jamming cách chủ động thường không phổ biến lắm, lý để thực jamming tốn kém, giá củathiết bị mắc tiền, kết đạt tạm thời shutdown mạng thời gian ngắn Tấn công kiểu đứng ( Man-in-the-middle Attack) Tấn công theo kiểu Man-in-the-middle trường hợp hacker sử dụng mộtAP để đánh cắp node di động cách gởi tín hiệu RF mạnh AP hợp pháp đến node Các node di động nhận thấy có AP phát tín hiệu RF tốt hơnnên kết nối đến AP giả mạo này, truyền liệu liệu nhạy cảmđến AP giả mạo hacker có tồn quyền xử lý Hình 4.1 Tấn cơng Man in the Middle Attacks Để cho client kết nối lại đến AP giả mạo cơng suất phát AP giả mạo phải cao nhiều so với AP hợp pháp vùng phủ sóng Việc kết nốilại với AP giả mạo xem phần roaming nên người dùng sẽkhông biết Việc đưa nguồn nhiễu toàn kênh (all-band interference chẳnghạn bluetooth) vào vùng phủ sóng AP hợp pháp buộc client phải roaming Hacker muốn công theo kiểu Man-in-the-middle trước tiên phải biết giá trị SSID client sử dụng (giá trị dễ dàng có được) Sau đó,hacker phải biết giá trị WEP key mạng có sử dụng WEP Kết nốiupstream (với mạng trục có dây) từ AP giả mạo điều khiển thông qua mộtthiết bị client PC card hay Workgroup Bridge Nhiều khi, công Man-in-the-middle thực với laptop hai PCMCIA card Phần mềm APchạy máy laptop nơi PC card sử dụng AP PC card thứ hai sử dụng để kết nối laptop đến AP hợp pháp gần Trong cấu hình này, laptop man-in-the-middle (người giữa), hoạt động client AP hợp pháp Từ hacker lấy thơng tin giá trị cách sử dụng sniffer máy laptop Hình 4.2 Mơ tả cơng CÁC KIỂU TẤN CÔNG TRONG MẠNG WLAN Điểm cốt yếu kiểu công người dùng nhận biết Vìthế, số lượng thơng tin mà hacker thu phụ thuộc vào thời gian màhacker trì trạng thái trước bị phát Tấn cơng u cầu xác thực lại Hình 5.1 Mơ hình cơng u cầu xác thực lại Kẻ công xác định mục tiêu công người dùng mạng wireless kết nối họ( Access Point đến kết nối nó) Chèn frame yêu cầu xác thực lại vào mạng WLAN cách giả mạo địa MAC nguồn đích Access Point người dùng Người dùng wireless nhận frame yêu cầu xác thực lạ nghĩ chúng Access Point gửi đến Sau ngắt người dùng khỏi dịch vụ không dây, kẻ công tiếp thục thực tương tự với người lại Thông thường người dùng kết nối lại để phục hồi dịch vụ, kẻ cơng nhanh chóng tiếp tục gửi gói yêu cầu xác thực lại cho người dùng Tấn công dựa cảm nhận sóng mang lớp vật lý Ta hiểu nôm na : kẻ công lợi dụng giao thức chống đụng độ CSMA/CA, tức làm cho người dùng nghĩ lúc mạng có máy tính truyền thơng Điều làm cho máy tính khác trạng thái chờ đợi kẻ công truyền liệu xong=> dẫn đến tình trạng nghẽn mạng Tần số nhược điểm mạng không dây Mức độ nguy hiểm phụ thuộc vào giao diện lớp vật lý Có vài tham số định chịu đựng mạng là: lượng máy phát, độ nhạy cảm máy thu, tần số RF, băng thông định hướng anten Trong 802.11 sử dụng thuật toán đa truy cập cảm nhận sóng mang(CSMA) để tránh va chạm CSMA thành phần lớp MAC CSMA sử dụng để chắn trằng khơng có va chạm đường truyền Kiểu công không sử dụng tập âm để tạo lỗi chomangj lợi dụng chuẩn Có nhiều cách để khai thác giao thức cảm nhận sóng mang vật lý Cách đơn giản làm cho nút mangh tin tưởng có nút truyền tin thời điểm Cách dễ đạt điều tạo nút giả mạo để truyền tin cách liên tục Một cách khacslaf sử dụng tạo tín hiệu RF Một cách công tinh vi làm cho card mạng chuyển vào chế độ kiểm tra mà truyền liên tiếp mẫu kiểm tra Tất nút phạm vi nút giả nhạy với sóng mạng có nút truyền khơng có nút truyền BẢO MẬT MẠNG WLAN doanh nghiệp cần máy chủ xác thực 802.1x để cung cấp khóa khởi tạo cho phiên làm việc Lưu ý: -Có lỗ hổng WPA lỗi xảy với WPA Personal Khi mà sử dụng hàm thay đổi khóa TKIP sử dụng để tạo khóa mã hóa chưa bị phát hiện, hacker đốn khóa khởi tạo phần mật khẩu, họ xác định tồn mật khẩu, giải mã liệu Tuy nhiên, lỗ hỏng loại bỏ cách sử dụng khóa khởi tạo khơng dể đoán (đừng sử dụng từ “P@SSWORD” để làm mật khẩu) -Điều có nghĩa thủ thuật TKIP WPA giải pháp tam thời, chưa cung cấp phương thức bảo mật cao WPA thích hợp với cơng ty mà khơng truyền liệu “mật” thương mại hay thơng tin nhạy cảm…WPA thích hợp với hoạt động ngày mang tính thử nghiệm cơng nghệ WPA2 Một giải pháp lâu dài sử dụng 802.11i tương đương với WPA2, chứng nhận Wi-Fi Alliance Chuẩn sử dụng thuật tốn mã hóa mạnh mẽ gọi Chuẩn mã hóa nâng cao AES AES sử dụng thuật tốn mã hóa đối xứng theo khối Rijndael, sử dụng khối mã hó 128 bit, 192 bit 256 bit Để đánh giá chuẩn mã hóa này, Việc nghiên cứu quốc gia Chuẩn Công nghệ Mỹ, NIST (National Institute of Standards and Technology), thơng qua thuật tốn mã đối xứng Lưu ý: Chuẩn mã hóa sử dụng cho quan phủ Mỹ để bảo vệ thông tin nhạy cảm Trong AES xem bảo mật tốt nhiều so với WEP 128 bit 168 bit DES (Digital Encryption standanrd) Để đảm bảo mặt hiệu năng, trình mã hóa cần thực thiết bị 17 phần cứng tích hợp vào chip Tuy nhiên, người sử dụng mạng không dây quan tâm tới vấn đề Hơn nữa, hầu hết thiết bị cầm tay WI-FI máy quét mã vạch không tương thích với chuẩn 802.11i LỌC (Filltering) Lọc chế bảo mật sử dụng với WEP Lọc hoạt động giống access list router, cấm không mông muốn cho phép mong muốn Có kiểu lọc sử dụng wireless lan: – Lọc SSID – Lọc địa MAC – Lọc giao thức a) Lọc SSID b) Lọc địa MAC c) Lọc giao thức III XÁC THỰC CÁC GIAO THỨC ĐỂ BẢO MẬT MẠNG WLAN Tổng quan Xác thực trình kiểm tra yêu cầu đặt Hình thức xác thực đơn giản người yêu cầu xác thực đưa mật tới hệ thống để kiểm tra Nếu mật quyền truy nhập thực dịch vụ cho phép.Trong vài trường hợp yêu cầu tính xác thực cao nhiên có trường hợp mang tính kiểm tra như: - Người sử dụng bảo đảm tính xác thực thơng qua câu hỏi - Kênh giao tiếp người sử dụng người xác thực phải bảo vệ người sử dụng người xác thực đảm bảo chắn khơng bị nghe trộm) Để đảm bảo an tồn cao hệ thống giới XÁC THỰC CÁC GIAO THỨC ĐỂ BẢO MẬT MẠNG WLAN hạn số lần nhập sai mật để tránh tình trạng người cơng dị mật Chúng ta xem xét vấn đề xảy người truy cập vào mạng không dây Chuẩn 802.11 thông qua máy tính xách tay Vấn đề thứ người sử dụng khơng thể có cách biết điểm truy nhập gì, điều người quản trị mạng qui định.Tuy nhiên kẻ cơng giả danh người khác để truy cập đến mạng Nếu điều xảy người bị giả danh biết xác liệu bị lấy cắp Vấn đề thứ hai môi trường truyền thông trường hợp mạng vô tuyến bị kiểm sốt với thiết bị thu Điều thực dễ dàng kẻ công thông qua việc sử dụng mật chưa bị xố Vấn đề kiểm sốt nhờ sử dụng chế xác thực thông qua số chức phức tạp mà người dùng nắm Nhưng có vấn đề nảy sinh Kẻ cơng tạo mật giả máy tính riêng sau phân tích kết trả máy tính So sánh kết ghép nối lại cho mật Những mật dự đoán tạo nhanh khiến cho người sử dụng người quản trị mạng khơng thể phát Hình thức cơng gọi từ điển phá khoá “cracker’s dictionary Cách thức cơng offline loại trừ cách đặt số lớn ngẫu nhiên thay cho mật dễ nhớ Nhưng điều làm nảy sinh lỗi thứ tự mật dễ nhớ Để khắc phục vấn đề mật lưu trữ máy tính, điều có nghĩa người sử dụng cần phải tự bảo vệ máy tính khỏi truy cập trái phép từ bên ngồi Chính mà u cầu xác thực cho mạng không dây nghiêm ngặt nhiều so với mạng cố định sử dụng hệ thống quay số Trong phần trước tiên thu thập yêu cầu phương thức xác thực phù hợp cho mạng không dây Danh sách bao gồm đặc trưng thêm vào phương thức xác thực phải có danh sách đặc tính số mạng khơng dây hữu ích vài mơi trường 19 Tiếp xem xét hai họ xác thực cho mạng không dây Họ thứ gồm phương pháp xác thực sử dụng khố cơng cộng Họ thứ hai phương pháp xác thực sử dụng mật Chúng ta xem xét đặc tính phương pháp mã khoá SPEKE phương pháp mã hố thích hợp cho mạng khơng dây Cuối tóm tắt phương pháp xác thực bảng so sánh khả kết hợp với phương pháp có trước Các yêu cầu cho xác thực mạng không dây Tiếp theo câu hỏi đặt yêu cầu xác thực sử dụng để truy cập mạng không dây? Trong phần liệt kê yêu cầu cần có cho phương pháp xác thực, đặc trưng thêm vào đặc tính hữu ích mơi trường cụ thể a) Các u cầu ( Bắt buộc ) Tính tương hỗ: Nó cung cấp tính xác thực lẫn nhau, người chịu trách nhiệm xác thực phải xác thực người sử dụng ngược lại người sử dụng phải kiểm tra lại đối tượng xác thực Đây u cầu quan trọng mạng khơng dây kẻ công dễ tạo điểm truy cập giả Có hai khả cơng xảy Thứ kẻ giả mạo không truy cập vào mạng công người sử dụng để lấy Thứ hai, kẻ giả mạo kết nối vào mạng bỏ qua xác thực người sử dụng quyền truy cập mạng Khi người sử dụng bị theo dõi chí bị thay đổi liệu kẻ công chèn liệu họ vào Cơ chế tự bảo vệ: Nó phải tự bảo vệ khỏi việc nghe trộm đường truyền vật lý không đảm bảo an toàn Cơ chế xác thực thực theo cách mà người nghe trộm học được tính Khả ngăn chặn cách thức cơng kiểu từ điển – Nó có khả ngăn chặn công online offline Với hình thức cơng online ngăn chặn cách hạn chế số lần xác thực Với cách công offline cách thức phổ biến sử dụng phương pháp hỏi đáp Thủ tục tạo khoá – Thủ tục tạo tin xác thực để thiết lập bảo vệ cho người dùng Những khoá thông qua thiết bị người sử dụng WEP TKIP XÁC THỰC CÁC GIAO THỨC ĐỂ BẢO MẬT MẠNG WLAN b) Các đặc tính thêm vào ( Nên có) Xác thực cho người dùng - Chúng ta nên xác thực người dùng thiết bị người sử dụng Đây gọi bảo mật cứng Nói cách khác cách sử dụng smart card cung cấp cho người dùng để truy cập vào mạng Bảo mật phía trước – Chúng ta nên cung cấp chế độ bảo mật phía trước Bảo mật trước nghĩa bảo mật phía người sử dụng mật khoá điểm tương lai Kẻ công ghi lại phiên làm việc người dùng biết mật phiên mã hố Điểm truy cập – Chúng nên làm việc với tất điểm truy cập hỗ trợ chuẩn 802.1x với chế độ xác thực EAP Nhanh chóng hiệu – Tính xác thực nên thực với số lượng giao thức nhỏ sử dụng tài nguyên Giá thành bảo trì thấp - Chúng ta nên đơn giản hoá cho người quản trị Một phương thức yêu cầu xác thực cho người sử dụng thuờng không dễ cho người quản trị Việc loại bỏ sách bảo trì tạo gánh nặng cho việc quản trị hệ thống Dễ dàng cho người dùng - Các đặc tính nên thuận tiện cho người sử dụng Ví dụ việc sử dụng giấy chứng nhận để lưu trữ thiết bị gây phiền toái cho người quản trị lại điều thuận tiện cho người dùng Smart cards, không thuận tiện cho người dùng dễ dàng cho người quản trị Người dùng không quan tâm tới việc gõ mật ngắn, dễ nhớ, lại phản đối việc sử dụng chuỗi ký hiệu dài c) Các đặc trưng hữu ích khác (Tuỳ chọn) Các phương thức tăng tính kế thừa – Việc bảo mật phương thức kết hợp phương thức xác thực mạng không dây phương thức xác thực Đặc tính hữu ích mơi trường mà hệ thống xác thực kế thừa thay Xác thực lại nhanh – Nó nên cung cấp có chế xác thực nhằm làm giảm thời gian tính tốn Đặc biệt việc thiết lập chuyển giao mềm cho người sử dụng di động Khi bị bó buộc thời gian chuyển giao mềm phương thức thực quay vịng hồn thành 21 việc cung cấp dịch vụ tên miền thông qua số vòng lặp Tuy nhiên việc đặt yêu cầu cao tính bảo mật Các chứng nhận dựa phương thức xác thức Ngày mạng 802.11 xác thực theo chuẩn 802.1x Chuẩn 802.1x xác định giao thức xác thực mở rộng (EAP) trực tiếp qua lớp kết nối EAP giao thức truyền thông sử dụng thông qua loại chế xác thực khác EAP chuẩn IETF đưa vào tháng 3/1998 cho kết nối điểm điểm Các phương pháp EAP phát triển cho mạng không dây dựa việc kiểm tra thơng qua khố cơng cộng giao thức bảo mật lớp truyền tải (TLS) Các giao thức EAP-TLS, EAP-TTLS PEAP Chúng ta xem xét vấn đề sau tiến hành nghiên cứu cụ thể phương thức bảo mật cao (còn gọi Zero Knowledge Password Proof- ZKPP) a) EAP-TLS EAP-TLS sử dụng khoá kiểm tra công khai TLS EAP để cung cấp việc xác thực lẫn máy chủ khách hàng Với EAP-TLS, máy chủ khách hàng phải đăng ký chữ ký dạng số thông qua quyền chứng thực (CA) để kiểm tra Các đặc tính EAP-TLS bao gồm:  Xác thực lẫn máy chủ khách hàng)  Trao đổi khoá (để thiết lập WEP động khoá TKIP)  Phân mảnh nối lại với tin EAP dài cần có phần kích thước kiểm tra càn)  Kết nối nhanh (thông qua TLS) b) EAP-TTLS Phương thức TLS EAP đường hầm (EAP-TTLS) cung cấp loạt thuộc tính cho tin tin RADIUS EAP - dùng vận chuyển, EAP-TTLS cung cấp chức phương thức PEAP (sẽ thảo luận đây) Tuy nhiên mật RADIUS CHAP mã hố, TTLS bảo vệ tính chất kế thừa RADIUS Khi máy chủ TTLS gửi tin RADIUS tới máy chủ đích, giải mã thuộc tính bảo vệ EAP-TTLS XÁC THỰC CÁC GIAO THỨC ĐỂ BẢO MẬT MẠNG WLAN chèn chúng trực tiếp vào tin chuyển Bởi phương thức giống PEAP, nên sử dụng Hình 3.2.1: Giao diện TTLS c) PEAP Giống chuẩn TTLS, PEAP tạo khả xác thực cho mạng LAN không dây mà không yêu cầu xác thực Để bảo vệ EAP (PEAP) thêm lớp TLS lên EAP giống EAP-TTLS, sau sử dụng kết phiên TLS phương tiện vận chuyển để bảo vệ phương thức EAP PEAP sử dụng TLS để xác thực từ máy chủ tới máy trạm khơng có chiều ngược lại Theo phương thức máy chủ yêu cầu khoá xác thực cịn khách hàng khơng Máy chủ máy trạm trao đổi chi thơng tin mã hố TLS, tin TLS xác thực mã hoá sử dụng khố thơng qua hai bên PEAP cung cấp dịch vụ cho phương thức EAP sau: • Bản tin xác nhận (Những kẻ cơng khó khăn việc chèn vào tin EAP) • Mã hố tin (Những kẻ cơng đọc giải mã tin EAP) • Xác thực từ máy chủ đến khách hàng (vì phương thức cần bảo vệ xác thực từ khách hàng tới máy chủ) • Trao đổi khố (để thiết lập cho WEP động khố TKIP) • Phân mảnh ghép lại (cần thiết tin EAP dài) • Thiết lập kết nối nhanh ( thơng qua phiên TLS) PEAP chế đặc biệt hữu ích để tăng tính bảo mật kế thừa từ phương thức EAP sở đặc tính 23 Microsoft PEAP Microsoft PEAP hỗ trợ quyền xác thực khách hàng thơng qua MSCHAP phiên 2, giới hạn liệu người dùng thơng qua có chế chia miền Windows NT hoạt động thư mục Để sử dụng Microsofts PEAP, người dùng cần phải mua chứng thực riêng từ CA để thiết lập IAS, chứng thực để lưu trữ máy tính cục Với khách hàng không dây để xác nhận IAS, CA gốc phải thiết lập cho khách hàng Tuy nhiên Windows XP bao gồm chứng thực gốc nhiều CA Nếu chứng thực IAS máy chủ bao gồm gốc CA, khơng cần thêm cấu hình cho khách hàng Nếu người sử dụng mua chứng thực IAS cho Windows XP mà khơng có CA họ phải thiết lập tên khách hàng khơng dây Cisco PEAP Cisco PEAP hỗ trợ xác thực khách hàng thông qua mật lần (OTP) mật truy cập Điều cho phép hỗ trợ sở liệu từ người quản lý bảo mật RSA hỗ trợ cho sở liệu mật truy nhập LDAP, Novell NDS Microsoft Thêm vào khách hàng Cisco PEAP bảo vệ việc nhận dạng tin mã hoá đường hầm TLS thiết lập Điều cung cấp bảo đảm cho người sử dụng trình dùng d) Các vấn đề với phương thức xác thực Mặc dù có nhiều ưu điểm có số vấn đề với phương thức chứng thực dựa EAP Giá cho việc quản trị Tất phương thức yêu cầu phải có khố xác thực nhận dạng khách hàng Điều yêu cầu người quản trị mạng phải trả quyền cho CA phần mềm sử dụng Tiếp theo thiết bị truy cập mạng phải cấu hình để nhận quyền xác thực XÁC THỰC CÁC GIAO THỨC ĐỂ BẢO MẬT MẠNG WLAN CA Phương thức EAP-TLS yêu cầu tất thiết bị người sử dụng phải chứng thực Điều kéo theo giá tăng Ngồi cịn chi phí bảo trì vận hành, danh sách thiết bị huỷ bỏ mạng Giao thức trao đổi dài Hạn chế thứ hai phương thức dựa EAP số giao thức trao đổi yêu cầu khách hàng nhà quản lý Ví dụ để xác thực người sử dụng thông qua giao thức EAPMD5 bảo vệ PEAP cần tới thủ tục khách hàng nhà quản trị mạng Yêu cầu số lần trao đổi lớn dẫn đến trễ đường truyền Bởi trễ việc xác thực vấn đề đặc biệt cho người sử dụng di động di chuyển từ vị trí đến vị trí khác yêu cầu chuyển giao Xác thực thiết bị người dùng yêu cầu Smart Card Đây vấn đề thứ ba cần quan tâm Khi việc chứng thực lưu thiết bị người sử dụng thiết bị cần đảm bảo độ an toàn thiết bị cá nhân thông thường Trong trường nơi mà thiết bị không đảm bảo độ an tồn có nhiều thiết bị cá nhân sử dụng điều quan trọng cần phải đảm bảo quyền xác thực cho thiết bị Smart card cách người dùng mang theo chúng khơng thuận tiện u cầu tất thiết bị ghép nối theo Phương thức xác thực yêu cầu mật Mặc dù phương thức xác thực mật có nhiều thuận tiện phương thức xác thực phần cứng chúng có khả bị cơng.Chúng bị cơng dựa bảng từ điển cịn lưu lại, kẻ cơng lựa chọn ngẫu nhiên từ bảng từ điển lấy mật a) LEAP Cisco CCX LEAP giao thức xác thực mở rộng dựa việc xác thực lẫn nhau, có nghĩa người dùng điểm truy cập phải xác thực trước truy cập mạng Việc xác thực lẫn nhằm mục đích chống lại truy cập trái phép vào mạng Cisco LEAP dựa sở tên 25 mật Cisco CCX (Chương trình mở rộng tương thích Cisco) chắn sở hại tầng mạng không dây Cisco Aironet thiết bị người dùng từ công ty thứ ba Điều tạo thuận lợi cho việc vận hành bảo dưỡng thiết bị Cisco giao thức bao gồm LEAP b) LEAP Với Cisco’s LEAP, khoá bảo mật thay đổi động tuỳ theo phiên làm việc nhằm mục đích hạn chế việc lựa chọn gói tin để giải mã từ bên ngồi Khi khố phát thơng qua LEAP sử dụng chia sẻ bí mật người sử dụng điểm truy cập Bởi LEAP giao thức Cisco nên sử dụng cho điểm truy cập Cisco LEAP thêm mức bảo mật khác cho mạng thông qua việc xác thực kết nối toàn mạng trước cho phép gói tin đến thiết bị khơng dây Việc thay đổi cặp khố bí mật xác thực người sử dụng cho phép tăng tính bảo mật cho liệu không dây c) Phương thức xác thực mật cao Trên sở giá bất tiện việc xác thực dựa phần cứng, chuyên gia bảo mật phát triển họ phương thức bảo mật dựa mật Chúng ta sử dụng phương thức mật cao đề cập tới họ phương thức Lợi ích phương thức hai bên cung cấp cho vấn đề bảo mật mà không sợ bên thứ ba can thiệp vào Phương thức đạt tính xác thực cao thơng qua mật ngắn gọn dễ nhớ Vấn đề phương thức trao đổi khố DiffieHellman Một khoá Diffie-Hellman cho phép hai bên tạo khố mã hố cho phép người quan sát xem tồn phiên giao dịch khơng thể học theo Trao đổi khoá Diffie-Hellman đặt web người dùng trực tuyến ví dụ để mã hố thơng tin cá nhân số card Nếu khách hàng người bn bán khơng hồn thành cơng việc trước họ đồng ý mã hố khố để người thứ ba khơng thể can thiệp vào để tìm kiếm thông tin XÁC THỰC CÁC GIAO THỨC ĐỂ BẢO MẬT MẠNG WLAN d) Tiềm SPEKE Phương thức SPEKE sử dụng chuỗi tin ngẫu nhiên để trao đổi thông tin thiết bị Các phần SPEKE thực tính tốn tin, sau xác định mật cho thiết bị Khi mật hợp lệ, SPEKE dùng mật chia sẻ thiết bị Với người thứ ba, tin SPEKE giống số ngẫu nhiên xác định mật Đặc tính trội thêm vào SPEKE việc xác định khố nhờ tính tốn từ khố cơng cộng Do khơng cần khố cơng cộng, khố cá nhân sống thời gian dài SPEKE sử dụng phương thức xác thực chuỗi ký hiệu (ZKPP) để truyền mật điều bảo vệ thông tin khỏi truy cập trái phép khơng sử dụng giao thức Bởi vì, SPEKE tạo mật dựa quyền xác thực cao an tồn Với SPEKE, chí mật ngắn bảo vệ khỏi cơng Đặc tính bảo mật SPEKE bao gồm: • • • • • Cao hơn, khơng giới hạn chiều dài khố Bảo vệ khỏi công off-line Người dùng máy chủ có xác thực đồng thời Khơng u cầu thêm sở hạ tầng cho bảo mật Không yêu cầu xác nhận văn người dùng nhà quản trị mạng • Hồn tồn sử dụng mật mã cho mật chiều dài nhỏ Yêu cầu việc sử dụng Để thực SPEKE, người sử dụng hình thành việc thiết lập lần thiết lập cấu hình truy cập mạng lần Khơng cần có sở hạ tầng (khơng giống TLS chuẩn xác thực 802.1x ) để nhận mức xác thực giống xây dựng cho thiết bị SPEKE LEAP 27 Cisco LEAP giao thức sử dụng điểm truy cập Cisco Nó có nguồn gốc từ EAP, cung cấp thực lẫn người dùng máy chủ SPEKE điểm truy cập độc lập làm việc theo điểm truy cập chuẩn 802.1x Điều cung cấp tính mềm dẻo tối đa cho loại mạng tích hợp khơng sử dụng sở hạ tầng Cisco WLAN SPEKE PEAP EAP bảo vệ (PEAP) hỗ trợ xác thực lần, mật thay đổi hỗ trợ hết hiệu lực, sở liệu mở rộng hỗ trợ cho LDAP/NDS PEAP mã hoá trao đổi người dùng EAP máy chủ, việc bảo mật bảo đảm kênh TLS Xác thực lẫn yêu cầu người dùng EAP máy chủ Tuy nhiên SPEKE không yêu cầu chứng thực văn cung cấp xác thực đồng thời Mật thay đổi chắn mà không sợ người thứ ba can thiệp không cần kênh TLS Kết luận Bảo mật mạng khơng dây giúp giảm chi phí giá cả, sản phẩm thị trường cạnh tranh Chúng ta không xem xét liệu nhà quản trị cung cấp bảo mật mà áp dụng Việc lựa chọn mức bảo mật cao cần đầu tư tốt việc bảo mật cần kinh phí tương đối Hầu hết công bị bỏ qua nhà quản trị dễ gặp tổn thất Sự phá vỡ bảo mật lấy trộm thông tin, phá huỷ liệu nghẽn đứt mạng tốn Trong bảng 1, so sánh vài họ phương thức EAP mà xem xét tổng quan gồm: tính kế thừa, chứng nhận, mật mật cao Các đặc tính u cầu tìm thấy đoạn hai cột bên trái Như bảng 1, phương thức cũ EAP EAPMD5 khơng thích hợp cho xác thực mạng khơng dây chúng khơng thoả mãn yêu cầu đặt Cả phương thức chứng thực mật cao thoả mãn yêu cầu đặt sử dụng mạng không dây Phương thức xác nhận gồm vài đặc tính đặc biệt có giá trị số môi trường, XÁC THỰC CÁC GIAO THỨC ĐỂ BẢO MẬT MẠNG WLAN khả bảo vệ tăng tính kế thừa Tuy nhiên phương thức mật dễ dàng thiết lập cho nhà quản trị Phương thức SPEKE đặc biệt thích hợp cho mơi trường nơi mà chứng nhận không thực tế SOHO Người sử dụng SOHO tìm SPEKE dễ dàng thiết lập giá thấp Nhà cung cấp vận chuyển dịch vụ tìm thấy mềm dẻo SPEKE khơng địi hỏi sở hạ tầng SPEKE thực dễ dàng với S trường cao nơi mà người phân phối điều khiển quản lý, người dùng lấy từ trang web đĩa CD với điểm truy cập 29 XÁC THỰC CÁC GIAO THỨC ĐỂ BẢO MẬT MẠNG WLAN Bảng 1: So sánh phương thức EAP 31 ... thức 22 Phương thức xác thực yêu cầu mật 25 Yêu cầu việc sử dụng 27 Kết luận 28 CÁC KIỂU TẤN CÔNG TRONG MẠNG WLAN I CÁC KIỂU TẤN CƠNG TRONG MẠNG WLAN Tấn... tính cho tin tin RADIUS EAP - dùng vận chuyển, EAP-TTLS cung cấp chức phương thức PEAP (sẽ thảo luận đây) Tuy nhiên mật RADIUS CHAP mã hố, TTLS bảo vệ tính chất kế thừa RADIUS Khi máy chủ TTLS... xác thực đồng thời Mật thay đổi chắn mà không sợ người thứ ba can thiệp không cần kênh TLS Kết luận Bảo mật mạng khơng dây giúp giảm chi phí giá cả, sản phẩm thị trường cạnh tranh Chúng ta không