Để đảm bảo an toàn trong quỏ trỡnh trao đổi bản tin chứng thực giữa Client và AP khụng bị giải mó trộm, sửa đổi, người ta đưa ra EAP (Extensible Authentication Protocol) – giao thức chứng thực mở rộng trờn nền tảng của 802.1X.
Giao thức chứng thực mở rộng EAP là giao thức hỗ trợ, đảm bảo an ninh trong khi trao đổi cỏc bản tin chứng thực giữa cỏc bờn bằng cỏc phương thức mó húa thụng tin chứng thực. EAP cú thể hỗ trợ, kết hợp với nhiều phương thức chứng thực của cỏc hóng khỏc nhau, cỏc loại hỡnh chứng thực khỏc nhau vớ dụ ngoài user/password như chứng thực bằng đặc điểm sinh học, bằng thẻ
chip, thẻ từ, bằng khúa cụng khai, vv...
Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy
- Nguyờn tắc hoạt động dựa theo chuẩn của IETF và cho phộp bổ xung cỏc kiểu chứng thực mới khi cú nhu cầu như:
+ Transport Layer Security – TLS + Internet Key Exchange – IKE + GSS_API – Kerberos
+ Cỏc phương thức khỏc như LEAP, PEAP, vv..
- Khụng phụ thuộc vào lớp IP, vỡ nú là giao thức bao gúi riờng - Khụng dựng cơ chế cửa sổ kiểu ACK/NAK
- Khụng dựng kiểu phõn mảnh
- Cú thể hoạt động trờn nhiều giao thức kết nối ở lớp kết nối (Link Layer) như PPP, 802.3, 802.5, 802.11. vv..
- Khụng quan tõm đến bảo mật kết nối vật lý - Việc truyền lại gúi là trỏch nhiệm của chứng thực
Hỡnh 2.20 : Kiến trỳc EAP
Trong quỏ trỡnh chứng thực sử dụng EAP, cú 3 bờn chớnh tham gia là: Mỏy Client/Mỏy xin chứng thực - Client/Supplicant: là cỏc phần tử cú nhu cầu cần chứng thực để thiết lập kết nối
75
Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy
Tiếp nhận chứng thực – Authenticator: là cỏc phần tử trung gian tiếp nhận nhu cầu chứng thực và trao đổi bản tin qua lại giữa Client và Server chứng thực. Phương thức trao đổi giữa Authenticator và Client gọi là EAPOL (EAP Over LAN) hoặc EAPOW (EAP Over Wireless).
Server chứng thực - Authentication Server: phần tử xử lý cỏc yờu cầu chứng thực gửi đến, cấp phộp hay từ chối. Nú khụng chỉ xử lý yờu cầu chứng thực của Client mà cũn cú thể gửi đến Client yờu cầu chứng thực bản thõn nú. Server chứng thực cú thể theo mụ hỡnh RADIUS Server hay Active Directory Server.
Khỏi niệm Port: để chỉ việc đúng mở cổng tương ứng với việc chấp nhận hay từ chối kết nối của Authenticator. Ngoài ra cũn cú thờm 1 port cho cỏc tuyến đi qua mà khụng liờn quan đến quỏ trỡnh chứng thực
Hỡnh 2.21 : Hỡnh vẽ minh họa khỏi niệm port
Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy Hỡnh 2.22 : Quỏ trỡnh trao đổi giữa ba bờn tham gia
Về mặt nguyờn lý 3 bờn thỡ cũng giống như nguyờn lý 3 bờn chứng thực
đó đề cập ở phần giới thiệu RADIUS server, chỉ cú điều khỏc là cỏc hoạt
động trao đổi bản tin qua lại đều thụng qua EAP đểđảm bảo an ninh. Cỏc phương thức chứng thực mà EAP hỗ trợ :
a) EAP-MD5 (RFC1994)
Đõy là yờu cầu bảo mật cơ bản mà EAP sử dụng gồm cú Tờn đăng nhập và mật khẩu. EAP-MD5 bảo vệ gúi tin bằng tạo ra những dấu hiệu đặc trưng riờng (như chữ ký điện tử) lưu trong gúi tin đú. EAP-MD5 là giao thức cũn
đơn giản, chạy nhanh, dễ bổ xung và cấu hỡnh. Nú khụng sử dụng chứng nhận PKI, mức độ mó húa của nú chưa cao, cú khả năng bị tấn cụng kiểu thu hỳt vỡ vậy nú chỉ phự hợp trong mỗi trường mạng cú dõy.
b) EAP – TLS (RFC 2716)
EAP-TLS là một phương thức mó húa mạnh, nú chứng thực song phương cú nghĩa là khụng chỉ Server chứng thực Client mà Client cũng chứng
77
Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy
thực lại Server, chống lại việc nghe trộm, bắt gúi tin. Nhược điểm của nú là yờu cầu chứng thực PKI ở cả 2 phớa làm cho quỏ trỡnh chứng thực phức tạp, nú phự hợp với hệ thống nào đó cú sẵn chứng thực PKI.
c) EAP–TTLS – EAP Tunel TLS
Được Funk Software và Certicom phỏt triển, xuất phỏt từ EAP-TLS, nhưng nú cải tiến để giảm bớt đi sự phức tạp của EAP-TLS mà vẫn đảm bảo khả năng mó húa. Nú vẫn thực hiện chứng thực hai chiều nhưng việc chứng thực Server với Client được thực hiện đơn giản qua chứng nhận trao đổi (certificate exchange). EAP –TTLS sử dụng cơ chế “đường hầm” cú thể kết nối với cỏc hệ thống Active Directory, RADIUS, và LDAP
d) PEAP – Protected EAP
Nú cũng xuất phỏt từ EAP-TTLS và được RSA, Cisco và Microsoft coi như một giải phỏp tương tự. PEAP cú thể thực hiện chứng thực mà khụng cần trao đổi chứng nhận 2 chiều. Nú giải quyết cỏc điểm yếu của EAP bằng cỏch bổ xung thờm cỏc tớnh năng sau:
- bảo vệ chứng nhận của người dựng - phự hợp chuẩn an ninh EAP
- quy trỡnh trao đổi mó khúa tiờu chuẩn - hỗ trợ phõn mảnh và ghộp mảnh - hỗ trợ kết nối lại nhanh
Khỏc với EAP-TTLS, PEAP khụng hỗ trợ phương thức chứng thực tờn/mật khẩu thường dựng kiểu cơ sở dữ liệu lưu tờn người sử dụng của LDAP.
Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy
Giải phỏp được Cisco đưa ra vào thỏng 10/2000. Nú yờu cầu chứng thực 2 chiều. Nú cũng sử dụng cơ chế Tờn/Mật mó nhưng khụng sử dụng chứng nhận PKI. Nhược điểm của LEAP là do nú là chuẩn của 1 hóng riờng đề ra (Cisco) nờn cú khụng phải luụn tương thớch với hệ thống của cỏc hóng khỏc.
Cỏc bước thực hiện chứng thực của LEAP: - Client gửi đến AP yờu cầu chứng thực
- AP chuyển cỏc yờu cầu này tới RADIUS server
- RADIUS gửi Client chuỗi mời kết nối – challenge độ dài 8 byte - Client nhận được thực hiện 3 bước nhở sau
+ Mó húa mật mó bằng thuật toỏn băm MD4, độ dài bản tin là 16 bytes
+ Thờm 5 byte trống đểđộ dài bản tin thành 21 byte
+ Chia 21 byte này thành 3 đơn vị nhỏ, mỗi đơn vị dài 7 byte
- Mó húa chuỗi challenge sử dụng thuật toỏn DES bằng cỏc đơn vị 7 byte trờn
- Kết quả sau đú được chia thành cỏc phần dài 24 byte và được gửi đến RADIUS server thụng qua AP
- RADIUS server cũng thực hiện mó húa chuỗi challenge tương tự như
trờn
- So sỏnh 2 kết quả mó húa, nếu trựng nhau thỡ cú nghĩa là Client chứng thực hợp lệ và AP cho phộp thực hiện kết nối
Như vậy quỏ trỡnh này cũng giống như ỏp dụng với WEP kết nối RADIUS server, chỉ cú khỏc ở chỗ mó húa mật khẩu và bản tin chứng thực.
79
Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy