CHƯƠNG 3 GIAO THỨC BẢO MẬT MẠNG KHÔNG DÂY CHUẨN IEEE 802
3.2.2. IEEE 802.11x trong mạng Wi-Fi LANs
Với ý tưởng thiết kế cho việc điều khiển các cổng LAN riêng biệt, vậy khi áp dụng vào mạng WLAN, nơi mà một điểm truy cập có thể hỗ trợ nhiều thiết bị truy nhập cùng một lúc như thế nào? Chúng ta có thể coi mỗi kết nối không dây từ AP đến thiết bị truy cập như là một kết nối độc lập. Trong thực
tế, ta chỉ cần thay thế kết nối vật lý trên các cổng (port) của bộ chuyển mạch hub của mạng LAN thành kết nối logic của mạng không dây.
Trong bối cảnh hoạt động của 802.11x, mỗi thiết bị truy cập là một máy trạm (Supplicant) mong muốn được cung cấp các dịch vụ của AP (thường là kết nối với một mạng có dây). Để thực hiện được việc này, các AP cẩn phải tạo cho mỗi máy trạm một cổng logic kết nối với thiết bị nhận thực (Authenticator). Mỗi thiết bị nhận thực phải có trách nhiệm điều khiển truy nhập cho các máy trạm mà nó được phân công. Cùng với các cổng logic và thiết bị nhận thực, đây cũng có thể coi là một điều khiển chuyển mạch vật lý.
Một thiết bị không dây mới, hoạt động như một Supplicant sẽ tham gia vào truy cập bằng cách gửi thông điệp đến Authenticator, Authenticator sẽ điều khiển kết nối bên trong AP. Tất cả điều này được thực hiện bằng phần mềm. Không có Authenticator vật lý hoặc switch, vì vậy số lượng thực thể IEEE 802.11x trong các hoạt động giống như các liên kết thiết bị di động (như trong Hình 3.).
Hình 3. Cổng logic 802.11X trong AP
Đó là một quan niệm sai lầm phổ biến về 802.11x là nó chỉ liên quan đến môi trường của các công ty lớn, trong đó có các máy chủ xác thực chuyên dụng. Tuy nhiên, trong thực tế, máy chủ xác thực có thể là một quá trình đơn giản bên trong AP, chỉ là một danh sách các tên người dùng và mật khẩu. Điều này có nghĩa là với cùng một nguyên tắc của 802.11x có thể áp dụng cho các mạng lớn nhưng cũng có thể áp dụng cho mạng gia đình. Nếu như máy chủ xác thực được xây dựng bên trong AP, nó không cần sử dụng Radius bởi vì
Authenticator và máy chủ xác thực không cần thiết nói chuyện qua mạng, chúng ở cùng một chỗ. Trong trường hợp này, số lượng các phương pháp xác thực sẽ giới hạn trong những lựa chọn bởi nhà cung cấp thiết bị.
Chúng ta đang nói về 802.11x trong bối cảnh kiểm soát truy cập. Điều này được mô tả như một quá trình hoạt động một lần: các truy cập Supplicant yêu cầu và Authenticator chấp nhận nó sau khi hỏi ý kiến máy chủ xác thực. Điều này có vẻ là đủ cho truy cập dial-up hoặc cổng Ethernet LAN bởi vì nó là một kết nối vật lý cho mỗi Supplicant và rất khó cho kẻ tấn công thực hiện một kết nối khi nó đã được ủy quyền. Nhưng nó không đủ với một mạng WiFi. Nếu không có bảo vệ, nó quá dễ dàng cho kẻ tấn công, chỉ cần chờ đợi cho đến khi một người dùng hợp lệ được cấp quyền và sau đó nó bắt đầu sử dụng kết nối đó bằng cách đánh cắp định danh của người dùng đó. Vì vậy, đối với mạng WiFi, ta có một ràng buộc xác thực cho một cơ chế nhằm ngăn ngừa sự chiếm quyền điều khiển. Điều này được thực hiện bằng việc kết hợp thông điệp xác thực (toàn vẹn) như một phần của quá trình xác thực. Ta phải chắc chắn rằng cả AP và thiết bị di động có khóa bí mật của họ tại chỗ bằng cách kiểm tra thông điệp xác thực và rằng họ đã bật mã hóa trước khi cấp quyền truy cập vào mạng. Sự khác biệt quan trọng này là kết quả trong một số thay đổi nhỏ để 802.11x đảm bảo đồng bộ là quá trình rất phức tạp.