Các hướng phát triển trong tương lai. Rõ ràng là vấn đề triển khai an ninh cho mạng WLAN hiện nay cần phải được cải thiện. Giai đoạn khởi đầu như 802.11i đem lại các phương pháp thực thi an ninh dựa trên tiêu chuẩn công nghiệp cho môi trường mạng WLAN. Đặc tả của IEEE đối với tiêu chuẩn 802.11i còn gọi là mạng an ninh tăng cường (RSN) là một phương pháp được tiêu chuẩn hoá tiếp theo sử dụng cho quá trình mật mã hoá và bảo mật mạnh hơn. Nó sẽ liên kết quá trình mật mã hoá với quá trình nhận thực. Hai phương pháp mã hoá thay thế cho giao thức WEP: TKIP và AES. TKIP là giải pháp tạm thời, nó hỗ trợ khách hàng và điểm truy nhập thông qua việc cập nhật phần mềm. Một sơ đồ dựa trên AES sẽ cho phép khả năng an ninh mạnh hơn. Các hệ thôngd vô tuyến kế thừa hoặc đang tồn tại có thể được nâng cấp lên một tập con của công nghệ được đặc tả trong chuẩn 802.11i. Các tuỳ chọn mã khác của 802.11i như AES sẽ không được nâng cấp vì chúng yêu cầu nâng cấp phần cứng. Người ta hy vọng là có thể công bố đặc tả IEEE 802.11 vào cuối năm 2003. F, Kết luận Trong khi các tuỳ chọn cho an ninh vô tuyến được trình bày ở đây sẽ giúp cho các tổ chức lựa chọn chính sách an ninh và công nghệ hợp lý đối với các môi trường mạng WLAN của họ. NETGEAR cung cấp phạm vi toàn diện của vấn đề an ninh mạng WLAN cần hỗ trợ cho tất cả các lớp an ninh. G, Phụ lục: Các công nghệ và các sáng kiến an ninh Vấn đề an ninh thông tin có rất các tiêu chuẩn, các khái niệm, các cơ chế áp dụng cho an ninh mạng được định nghĩa rõ ràng. Hầu như tất cả các mạng thông tin doanh nghiệp đều sử dụng một số hay tất cả các khái niệm sau đây. Các nhà cung cấp sản phẩm mạng WLAN nắm bắt các khái niệm này khi họ phát triển các sản phẩm cho doanh nghiệp. Công nghệ an ninh đã phát triển qua một vài năm, chúng đã đem lại những khả năng quan trọng. Các công nghệ an ninh riêng biệt cung cấp các khối kiến trúc để xây dựng đề xây dựng hạ tầng vô tuyến an ninh mạng. G1, Nhận thực Nhận thực là quyền cho phép một người sử dụng làm việc gì hay đạt được điều gì. Trong các hệ thống máy tính đa người sử dụng, người quản trị hệ thống xác định những người sử dụng nào được phép truy nhập vào hệ thống và xác định đặc quyền của mỗi người sử dụng (quyền truy nhập tới các thư mục chứa dữ liệu, thời gian truy nhập, số lượng không gian bộ nhớ được cấp phát, vvv). G2, Kiểm tra dư chu trình CRC Là một kỹ thuật chung để phát hiện lỗi truyền dẫn dữ liệu. G3, Chữ ký số/ chứng chỉ số Nó tương tự như hộ chiếu hay bằng lái của tài xế, nó chứng tỏ nhận dạng của người sử dụng, mục tiêu của nó là ngăn ngừa quá trình mạo nhận trái phép. Các chứng chỉ số được công bố bởi một CA – quyền cấp chứng chỉ. Nó bao gồm một tên, số seri, ngày hết hạn, bản sao của khoá chung của chứng chỉ người dùng (được sử dụng để mã hoá các bản tin và các chữ ký số), và chữ ký số bản quyền công bố chứng chỉ vì thế mà một người nhận có thể kiểm tra được một chứng chỉ là thật hay giả. Một vài chứng chỉ số theo chuẩn X.509. Một chữ ký số (không xung đột với chứng chỉ số) là một chữ ký điện tử có thể được sử dụng để nhận thực định danh của người gửi bản tin hay người ký một văn bản, và đảm bảo rằng nột dung ban đầu của văn bản hay bản tin không bị thay đổi. G4, Tường lửa Là khả năng ngăn chặn lưu lượng mạng thông qua một cổng Gateway theo một tập các quy tắc. Nó thường được đặt ở Gateway hay điểm truy nhập, nó điều khiển luồng lưu lượng mạng, ngăn chặn người sử dụng bên trong và bên ngoài truy nhập dữ liệu và các dịch vụ được xác định bởi người quản trị hệ thống. Các tường lửa cấp cao sử dụng khả năng kiểm tra gói trạng thái hơn là công nghệ lọc gói. Các mạng WLAN có thể bị cô lập với mạng hữu tuyến bằng một tường lửa. G5, Kerberos Được thiết kế để điều khiển truy nhập tới các nguồn tài nguyên thông tin bằng cách sử dụng một mã khoá bí mật. Sau khi một khách hàng và server nhận thực được nhau sử dụng Kerberos, chúng trao đổi một khoá mã dùng chung, khoá này mã hoá tất cả thông tin của họ, đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu. Kerberos điều khiển truy nhập tới tất cả các nguồn tài nguyên, dịch vụ được bảo vệ trong mạng, bảo vệ chúng tránh khỏi người sử dụng khác, những người này có thể cố sử dụng quyền truy nhập của một ai đó để đạt được quyền truy nhập dữ liệu hay các dịch vụ khác. Kerberos là một quá trình 3 hướng, phụ thuộc vào dịch vụ thứ 3 gọi là trung tâm phân bổ khoá (KDC) để kiểm tra nhận dạng của một máy tính và thiết lập các khoá mật mã để tạo ra một kết nối an toàn giữa chúng. Bằng việc thay đổi chuỗi các bản tin mã hoá hay các “vé” của khách hàng, KDC tạo ra các khoá mật mã mới đối với mỗi giai đoạn của quá trình nhận thực. Sau khi một “vé” được tạo ra, khách hàng có thể sử dụng nó để đạt được quyền truy nhập tới server đích không giới hạn số lần truy nhập cho đến khi “vé” hết hạn. Khách hàng hay bất cứ ai khác can thiệp vào mạng đều không thể đọc hay sửa đổi “vé” mà không làm hỏng nó. G6, Tính toàn vẹn Là phương pháp đảm bảo cho dữ liệu, hệ thống, hay các file ứng dụng không bị xâm nhập nhất là khi chúng được gửi đi qua mạng. G7, Chuyển đổi khoá Internet (IKE) Là một phương pháp tự động hoá sử dụng cho các khoá mật mã quản lý và trao đổi giữa hai thiết bị mạng VPN. IKE sử dụng mật mã khoá chung cho phép truyền dẫn đảm bảo an ninh khi truyền khoá bí mật tới người nhận, vì thế dữ liệu đã được mã hoá có thể được giải mã tại một đầu cuối khác. IKE là một phần của IPSec. G8, IPSec IPSec là một giao thức lớp mạng sử dụng cho an ninh mức cao, nó cung cấp một khung các tiêu chuẩn mở đảm bảo các quá trình truyền thông riêng đảm bảo an ninh thông qua các mạng IP. Nó có thể cho phép bảo mật, bảo vệ tránh khỏi các đe doạ và điều khiển truy nhập host đối với lưu lượng mạng thông qua các cơ chế nhận thực và mã hoá chuẩn. Bởi vì IPSec mã hoá và nhận thực ở mức IP-dưới lớp truyền dẫn-nên nó trong suốt đối với tất cả các ứng dụng như thư điện tử, truyền file, truy nhập Web, … Và bởi vì IPSec trong suốt với người dùng đầu cuối nên không cần đưa chúng vào các cơ chế an ninh, công bố các tài liệu khoá tại một người dùng cơ sở, thu hồi các khoá khi người dùng rời khỏi tổ chức. Vì IPSec được thiết kế cho giao thức IP nên nó hỗ trợ rộng rãi trong công nghiệp và là chuẩn trên thực tế sử dụng cho các mạng VPN trên mạng Internet. G9, LEAP Là phần triển khai độc quyền của 802.1x bởi Cisco. G10, Điều khiển truy nhập môi trường (MAC) Mỗi địa chỉ phần cứng 48 bit duy nhất được gán cho mỗi nút Ethernet, thường được viết dưới dạng 01:23:45:67:89:ab. Để tăng khả năng an ninh cho mạng vô tuyến, người quản trị hệ thống có thể lập trình điểm truy nhập chỉ chấp nhận các địa chỉ MAC xác định và lọc bỏ các phần khác ra khỏi mạng. Bảng điều khiển dùng giao thức MAC sẽ thực hiện khoá một địa chỉ MAC không được biết khi nó đang cố gắng kết nối và không cho phép truy nhập đối với địa chỉ này. G11, Giao thức nhận thực mở rộng được bảo vệ (PEAP) PEAP là một phần của giao thức EAP. Nó sử dụng an ninh mức truyền dẫn TLS để tạo ra một kênh mã hoá giữa khách hàng và server nhận thực. PEAP không xác định một phương pháp nhận thực nào nhưng cho phép khả năng an ninh bổ sung đối với các giao thức EAP. PEAP được sử dụng như một giao thức nhận thực đối với các khách hàng vô tuyến 802.11 nhưng không hỗ trợ các mạng VPN. PEAP tương tự như TTLS. G12, Hạ tầng khoá chung (PKI) Là một phương pháp mà người sử dụng VPN có hiệu lực sử dụng để nhận thực thông qua các quyền cấp chứng chỉ. PKI cho phép người sử dụng tương tác với nhau và với các ứng dụng, đạt được và kiểm tra các nhận dạng và các khoá và đăng ký với các thành phần thứ 3 đáng tin cậy. G13, Dịch vụ người sử dụng quay số nhận thực từ xa (RADIUS) RADIUS cho phép một công ty duy trì các lý lịch người dùng trong một cơ sở dữ liệu trung tâm mà mọi server ở xa có thể chia sẻ với nhau. RADIUS là một giao thức khách hàng-server cho phép các server truy nhập ở xa liên lạc với server trung tâm, thực hiện nhận thực người sử dụng quay số, ban quyển truy nhập tới dịch vụ hay hệ thống yêu cầu. Nó cung cấp khả năng an ninh, cho phép một công ty thiết lập chính sách có thể áp dụng được ở điểm mạng quản lý đơn giản. G14, Bộ nhận dạng tập dịch vụ (SSID) Một bộ nhận dạng đi kèm với các gói tin gửi đi qua mạng WLAN đóng vai trò như một mật khẩu để tham gia vào một mạng vô tuyến riêng biệt hay dịch vụ hỗ trợ phát quảng bá (BSS). Tất cả các điểm truy nhập và điểm vô tuyến trong cùng một BSS phải dùng chung một SSID, nếu không các gói của chúng sẽ bị bỏ qua. G15, An ninh lớp truyền tải (TLS) Chuẩn IETF được đề suất đã thay thế cho giao thức SSL của Netscape. TLS cho phép mã hoá và chứng nhận ở lớp truyền tải, vì thế dữ liệu có thể chuyển qua kênh an ninh mà không yêu cầu những thay đổi đáng kể về phía các ứng dụng khách hàng hay server. TLS cho phép hai khả năng: • Một giao thức bắt tay cho phép server và khách hàng nhận thực nhau và thảo luận để đưa ra một thuật toán mã hoá. • Một giao thức bản ghi báo cáo cung cấp kết nối an ninh với một thuật toán mã hoá đã được lựa chọn. G16, An ninh lớp truyền tải đường ống (TTLS) Là một giao thức an ninh vô tuyến được đề xuất và phát triển bởi Funk Software and Certicom, kết hợp các chứng chỉ mạng cơ sở với quá trình nhận thực khác như là các thẻ (Token) hay mật khẩu. Nó còn có tên là EAP-TTLS. TTLS cho phép nhận thực hai chiều mà không cần phải phân bổ hay quản lý các chứng chỉ. . Các hướng phát triển trong tương lai. Rõ ràng là vấn đề triển khai an ninh cho mạng WLAN hiện nay cần phải được cải thiện sử dụng một số hay tất cả các khái niệm sau đây. Các nhà cung cấp sản phẩm mạng WLAN nắm bắt các khái niệm này khi họ phát triển các sản phẩm cho doanh nghiệp.