Bài giảng Network Security: Chương 12 do ThS. Nguyễn Cao Đạt biên soạn trình bày về an ninh mạng cục bộ không dây với những nội dung như công nghệ WLAN hiện nay, lịch sử phát triển an ninh WLAN, các tính năng an ninh cơ bản của 802.11, tính năng an ninh cải tiến, so sánh các chuẩn an ninh WLAN.
CHƯƠNG XII AN NINH MẠNG CỤC BỘ KHÔNG DÂY ThS Nguyễn Cao Đạt E-mail: dat@cse.hcmut.edu.vn Tham khảo [2] Network Security – A Beginner’s Guide: module 18 http://www.wifi.org http://standards.ieee.org/wireless http://en.wikipedia.org/wiki/Wired_Equivalent_Privacy http://www.bsi.bund.de/literat/doc/wlan/wlan.pdf Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Nội dung trình bày Công nghệ WLAN Lịch sử phát triiển an ninh WLAN Các tính an ninh 802.11 Các tính an ninh cải tiến So sánh chuẩn an ninh WLAN Kết luận khuyến cáo Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN Các chuẩn 802.11a, 802.11b, 802.11g, 802.11n Cho phép máy trạm thiết lập kết nối với Access Point lên đến 11Mbps/54Mbps/108Mbps Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN Các chuẩn khác 802.11n – 100Mbps+ 802.11e – QoS Được liên minh WiFi đặt tên “Wireless MultiMedia (WMM)” 802.11i Thêm thuật tốn mã hóa AES Địi hỏi xử lý tốc độ cao TKIP giải pháp tạm thời Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN Vấn đề an ninh WLAN dùng khơng khí phương tiện truyền thông cho việc gửi nhận thông tin Tín hiệu thu phạm vi hoạt động WLAN có số lỗ hổng bảo mật mà không tồn mạng cục có dây Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN Môt số mối đe dọa War driver: Kẻ cơng muốn truy cập Internet miễn phí nên cố gắng để tìm cơng điểm truy cập WLAN khơng có an ninh hay an ninh yếu Tin tặc: Sử dụng mạng không dây cách để truy cập vào mạng doanh nghiệp mà không cần phải qua kết nối Internet có tường lửa Nhân viên: Nhân viên vơ tình giúp tin tặc truy cập vào mạng doanh nghiệp nhiều cách Điểm truy cập giả mạo: kẻ cơng thiết lập AP riêng mình, với thiết lập tương tự AP có Khi người dùng sử dụng AP giả mạo bị lộ thông tin Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN Các hình thức giảm nguy Xác thực lẫn Mã hóa liệu Phát thâm nhập bất hợp pháp Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Lịch sử phát triển an ninh WLAN 1997, chuẩn 802.11 cung cấp SSID (Service Set Identifier) Lọc địa MAC WEP (Wired Equivalent Privacy) 2001 Fluhrer, Mantin Shamir số điểm yếu WEP IEEE bắt đầu khởi động nhóm i (802.11i) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Lịch sử phát triển an ninh WLAN 2003 Wi-Fi Protected Access(WPA) giới thiệu Là giải pháp tạm thời cho WEP Một phần IEEE 802.11i 2004 WPA2 giới thiệu Nó dựa chuẩn IEEE 802.11i Được phê chuẩn vào 25/06/2004 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục khơng dây 10 Các tính an ninh cải tiến Wi-Fi Protected Access (WPA) Giải hầu hết điểm yếu WEP Là tập 802.11i, tương thích 802.11i Mục tiêu cải thiện vấn đề mã hóa xác thực người dùng Gồm chế độ hoạt động WPA doanh nghiệp: TKIP/MIC ; 802.1X/EAP WPA cá nhân: TKIP/MIC; PSK Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 24 Các chế độ hoạt động WPA Doanh nghiệp Nhà hay văn phòng nhỏ Dùng 802.1x/EAP cho xác thực Dùng chế độ “Pre-Shared Keys (PSK)” Người dùng cung cấp khóa chủ máy tính Khóa chủ kích hoạt TKIP việc quay vịng khóa Chế độ hỗn hợp Hoạt động với WEP máy trạm không hỗ trợ WPA Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 25 Chế độ WPA doanh nghiệp Xác thực(IEEE 802.1X/EAP) Xác thực lẫn Vì bạn khơng bị tham gia mạng giả mạo cung cấp thông tin bí mật bạn Hỗ trợ nhiều phương thức xác thực dựa mật khẩu, chứng số Quản lý thông tin người dùng tập trung Một AAA server cần thiết Dùng giao thức RADIUS cho AAA phân phối khóa Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 26 EAP(Extensible Authentication Protocol) Cisco LEAP EAP-TLS Dùng Username/password Dễ bị tổn thương công mật khẩu/ dựa băm Xác thực lẫn dùng chứng X.509 Mặc định 802.11i EAP-TTLS/PEAP TLS qua đường hầm Không yêu cầu chứng client Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 EAP-GTC Xác thực dùng mật lần EAP-FAST Client & server có khóa, thiết lập đường hầm an toàn Xác thực xảy đường hầm an toàn Giống xác thực VPN Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 27 Xác thực với EAP-FAST Enterprise Network AP Supplicant EAPOL Start RADIUS server Start EAP Authentication Ask client for identity EAP-Request/Identity EAP -Response/Identity (EAP-ID) RADIUS Access request Access Request with EAP-ID Secure Tunnel (via TLS & PAC) Perform sequence defined by EAP-FAST Client-side Authentication key EAP success RADIUS Access Accept (Pass PMK to AP) key Client derives PMK WPA Key Management Protected DATA Transfer Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 28 Đánh giá loại EAP EAP-OPEN EAP-FAST Dể sử dụng LEAP PEAP EAP-MD5 EAP-TTLS EAP-TLS An toàn Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 For display only Mật mã &purposes an ninh mạng Cisco IT recommends you undertake your own formal security requirements analysis Chương XII: An ninh mạng cục không dây 29 Chế độ WPA doanh nghiệp Mã hóa(TKIP/MIC) TKIP Temporal Key Integrity Protocol Sửa lỗi phục hồi khóa WEP Bảo vệ IV cách loại bỏ khả dự đoán Sử dụng thuật toán mã hóa RC4 WEP Thêm MIC cuối thông điệp rõ nhằm đảm bảo thông điệp khơng bị giả mạo MIC Message Integrity Code Chống lại công bit-flip Phải thực client & AP Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 30 Chế độ WPA doanh nghiệp Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 31 Chế độ WPA doanh nghiệp Mã hóa (TKIP/MIC) Dùng khóa 64 bits Chia gói tin thành khối 32 bits Dùng shifts, XORs, + đến khối 32 bits để lấy thẻ xác thực 64 bits Khóa MIC tính toán liệu địa nguồn địa đích MIC = MIC_key(SA, DA, PlainMSDU) Tránh bắt gói, thay đổi gởi lại gói tin Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 32 Chế độ WPA doanh nghiệp Mã hóa (TKIP/MIC) Mỗi khóa mã hóa gói IV có chiều dài 48bits dẫn đến giảm việc tái sử dụng IV IV mã hóa trước gởi MIC thay CRC Có thể nâng cấp dể dàng cho phần cứng hỗ trợ WEP Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 33 Chế độ WPA cá nhân Mã hóa (TKIP) Authentication (PSK - Pre-shared key) Chế độ đặc biệt (không có hạ tầng 802.1x) Passphrase cung cấp tất máy trạm Access Point Dựa bắt tay khóa bốn lần Hai lần đầu: máy trạm access point trao đổi giá trị ngẫu nhiên để xác thực lẫn Hai lân : access point hướng dẫn máy trạm để cài đặt khóa tính tốn trước Máy trạm xác nhận Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục khơng dây 34 Các tính an ninh cải tiến WPA2/802.11i WPA giải pháp tình WPA2 chuẩn IEEE 802.11i 802.11i dùng khái niệm an ninh mạng mạnh mẽ(RSN -Robust Security Network) Khác biệt lớn nhất: AES dùng cho mã hóa Mã hóa AES thực phần cứng Đòi hỏi xử lý mạnh Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 35 Các chế độ hoạt động WPA2 Doanh nghiệp Nhà hay văn phòng nhỏ Xác thực dùng 802.1X/EAP Mã hóa dùng AES-CCMP Xác thực dùng PSK Mã hóa dùng AES-CCMP AES-CCMP AES mã hóa khóa đối xứng Chiều dài khối khóa 128 bits CCMP: Counter-Mode/CBC-Mac Protocol Mã hóa dùng chế độ Counter Tồn vẹn liệu dùng CMC-MAC Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 36 So sánh chuẩn an ninh WLAN WEP Mã hóa RC4 Quay vịng Khơng khóa WPA RC4 với TKIP/MIC AES Các khóa phiên động Các khóa phiên động Phân phối Gõ tay Phân phối tự khóa vào thiết bị động Xác thực Dùng khóa WEP Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 WPA2 Có thể dùng 802.1x & EAP Phân phối tự động Có thể dùng 802.1x & EAP Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 37 Kết luận khuyến cáo An ninh mạng nói chung khơng phải trạng thái mà tiến trình Các khuyến cáo cho an ninh WLAN Dùng thiết bị tương thích có chứng nhận Wi-Fi Thay đổi SSID khơng quảng bá SSID Cấu hình lọc địa MAC bạn quản lý người dùng Access Point Cấu hình WEP với khóa có chiều 128 bits thay đổi khóa WEP thường xun khơng thể nâng cấp firmware hỗ trợ WPA/WPA2 Nâng cấp firmware để cấu hình WPA/WPA2 dùng 802.1x/EAP để xác thực người dùngS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 38 ... Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 28 Đánh giá loại EAP EAP-OPEN EAP-FAST Dể sử dụng LEAP PEAP EAP-MD5 EAP-TTLS EAP-TLS An toàn Trường Đại Học Bách Khoa... 802.1X/EAP Mã hóa dùng AES-CCMP Xác thực dùng PSK Mã hóa dùng AES-CCMP AES-CCMP AES mã hóa khóa đối xứng Chiều dài khối khóa 128 bits CCMP: Counter-Mode/CBC-Mac Protocol Mã hóa dùng... EAP-Request/Identity EAP -Response/Identity (EAP-ID) RADIUS Access request Access Request with EAP-ID Secure Tunnel (via TLS & PAC) Perform sequence defined by EAP-FAST Client-side Authentication