KHÔNG DÂY.
Giải pháp bảo mật mà chúng ta sử dụng trong thiết kế mạng của sẽ phụ thuộc nhiều nhân tố khác nhau. Sự thiết lập bảo mật cơ sở sẽđựơc dựa trên chính sách bảo mật của chúng ta. Việc đưa một giải pháp hoàn hảo là hết sức khó khăn, chúng ta chỉ có thể cố
gắng đạt được mức bảo mật cao nhất trong khả năng có thể với việc kết hợp nhiều phương thức cũng như bảo mật theo nhiều lớp.
Khi triển khai bảo mật không dây cần xem xét các yếu tố sau:
+ Có bao nhiêu máy trạm không dây mà tôi cần đáp ứng và bao nhiêu là có thể điều khiển và tin tưởng được trong các máy trạm đó.
+ Yêu cầu có bao nhiêu AP để có thể cung cấp dịch vụ không dây trong khu vực bao phủ của tôi.
+Thiết kế của tôi có bao gồm tính di động không (khả năng di chuyển giữa các AP). +Các máy trạm có đựơc sử dụng trong môi trường không kiểm soát không (café, sân bay, mạng gia đình…).
+Có sẵn giải pháp VPN không.
+Có cơ sở hạ tầng PKI triển khai sẵn ởđó không? +Mức độ quan trọng của tài sản mà ta cần bảo vệ.
Lưu ý: trong các phương thức bảo mật một số là có sẵn nhưng đồng nghĩa với khả năng bảo mật yếu, một số giải pháp đòi hỏi phải hộ trợ từ cơ sở hạ tầng mạng với chi phí cao. Do đó khi lựa chọn triển khai giải pháp bảo mật phải căn cứ vào qui mô triển khai, mức bảo mật yêu cầu cũng như khoản chi phí đầu tư dành cho các giải pháp bảo mật.
3.2.CÁC MỤC TIÊU CỦA BẢO MẬT KHÔNG DÂY.
bảo mật và có thểđược sử dụng như các yêu cầu về bảo mật.
3.2.1.Sự tin cậy.
Sự tin cậy là việc bảo vệ dữ liệu không bị lộ ra ngoài đối với những người không được phép. Mã hóa đựơc sử dụng để thực hiện mục đích này. Với tấn công chủđộng, kẻ tấn công có thể giải mà khuôn dạng bất kì của dữ liệ mà hoá (dựa trên thuật toán hay một giản đồ nào đó với một máy tính mạnh không giới hạn về thời gian). Do vậy sự tin cậy là một yêu cầu quan trọng cho việc bảo vệ chống là các cuộc tấn công.
3.2.2.Sự xác thực.
Dịch vụ xác thực liên quan đến việc đảm bảo truyền thông được xác thực. Trong trường hợp các bản tin đơn như báo hiệu hay cảnh báo chức năng của xác thực là đảm bảo răng bên nhận bản tin từ bên phát đựơc khẳng định. Trong trường hợp tương tác liên tục như kết nối của một kết cuối với host, đòi hỏi xác thực cả 2 hướng. Trước tiên. , tại thời điểm khởi tạo kết nối, dịch vụđảm bảo được cả 2 thực thểđược xác thực (mỗi thực thể có một yêu cầu xác thực). Thư hai dịch vụ phải đảm bảo rằng liên kết không bị
cản trở bằng một cách nào đó như bên thứ 3 có thể giả mạo một trong 2 bên hợp pháp
để thực hiện những mục đích truyền dẫn trái phép hoặc thu nhận thông tin.
3.2.3.Điều khiển truy nhập.
Trong bối cảnh bảo mật mạng, điều khiển truy nhập là khả năng giới hạn và điều khiển truy nhập tới các hệ thống, các mạng và các ứng dụng. Do đó, những người dùng trái phép bị ngăn cấm ở ngoài. Mặc dù việc xác thựuc ngừơi dụng riêng biệt thường được tổ hợp với các mực tiêu điều khiển truy nhập, chúng được thực hiện như vậy bởi người dùng trước tiên phải được xác thực có thể thông qua một server cho trước và mạng khi
đó có thể xác nhận quyền truy cập của người dùng. Điều khiển truy cập là sự cấp phép truy cập.
3.2.4.Tính toàn vẹn
Ngăn cản người dùng trái phép thay đổi dữ liệu. Chỉ những nhóm được phép thay đổi dữ liệu. Thay đổi dữ liệu bao gồm trạng thái, xóa, khởi tạo, làm trễ hoặc phát lại các
bản tin.
3.2.5.Khả năng từ chối trong truyền thông.
Hoặc người khởi tạo hoặc người nhận trong quá trình truyển thông không có khả năng
để từ chối truyền thông và chấp nhập các bản tin muộn hơn. Do đó khi bản tin được gửi bên nhận có thể xác thực bản tin trong thực tế là được gửi bởi người được cho là người gửi. Tương tự khi nhận bản tin, người gửi có thể xác thực trong thực tế bản tin được nhận bởi người được cho là người nhận.
3.3.MỘT SỐ YÊU CẦU KHI TRIỂN KHAI CÁC BIỆN PHÁP BẢO MẬT
KHÔNG DÂY.
3.3.1.Phân cấp.
Mạng phải được phân cấp, điều này yêu cầu giản đồ bảo mật được triển khai trang mạng được phân cấp đều nhau khi duy trì mức độ bảo mật. Ở đây phân cấp cả trong số
lượng người dùng và trong việc tăng kích thức mạng như việc thêm vào một số yếu tố
mạng mới hoặc một vùng phủ mới vidu một building.
3.3.2.Khả năng bổ xung.
Đơn giản và dễ dàng bổ xung trong giản đồ bảo mật là hết sức quan trọng. Do đó một giản đồ bảo mật phải được đặt sao cho nó dễ dàng trong việc bổ sung và vẫn đáp ứng
được các yêu cầu bảo mật.
3.3.3.Hiệu quả.
Các tính năng bảo mật phải có tác động rất nhỏ tới hiệu suất mạng. Điều này đặc biệt quan trọng trong truyền thông thời gian thực khi các yêu cầu bảo mật phải được đáp
ứng đồng thời với yêu cầu về chất lượng dịch vụ. Hiệu quả cũng đi cùng với cách sử
dụng tài nguyên của môi trường. Các giải pháp bảo mật phải không gây ra việc lãng phí tòan bộ dung lượng của mạng.
3.3.4.Tính sẵn sàng.
Đây là mục tiêu cuối cùng trong 5 mục tiêu được đề cập. Bất kì một dịch vụ hay mạng phải sẵn sàng đối với người dùng. Đảm bảo sẵn sàng do một số tấn công có khả năng
phá vỡ như DoS.
3.4.CÁC NGUYÊN TẮC THIẾT KẾ BẢO MẬT TRONG MÔI TRƯỜNG LÀM
VIỆC.
Phần này mô tả các nguyên tắc liên quan đến kiến trúc và thiết kế giải pháp bảo mật WLAN. Những nguyên tắc này nên được sử dụng trong giai đoạn thiết kế và lập kết hoạch WLAN.
Dưới đây là các nguyên tắc khi phát triển các kiến trúc bảo mật WLAN. 1) Nguyên tắc áp dụng phòng thủ chiều sâu
Quan niệm thiết kế bảo mật này liên quan đến việc thực hiện nhiều lớp các biện pháp bảo mật để kiểm soát việc truy nhập đên các mạng và hệ thống cần bảo vệ. Những nơi này thường là mục tiêu của những kẻ tân công cố gắng dành được các truy nhạp bất hợp pháp. Nhằm mục đích bảo vệ hệ thống thì nên thực hiện nhiều biện pháp an ninh nhằm mục đích nếu một biện pháp an ninh bị chọc thủng thì các lớp bảo mật còn lại sẽ
bảo vệ hệ thống mục tiêu. Các biện pháp như cách li các đoạn mạng có dây và không dây. Các phương pháp xác thực người dùng và thiết bị mạnh dựa trên địa chỉ và giao thức, tăng cường bảo mật các thiết bị đầu cuối khỏi các truy xuất bất hợp pháp, kiểm soát và phát hiện xung đột trên đoạn mạng có dây và không dây là các ví dụ phòng vệ
nhiều lớp có thể sử dụng đển đạt được thiết kế bảo vệ chiều sâu.
2) Nguyên tắc cách ly và phân đoạn mạng WLAN với mạng LAN có dây
WLAN và mạng có dây không nên kết nối trực tiếp. Vậy ghi lại nhật kí và giám sát mạng không dây lớp 4 và 5 không nên kết nối trực tiếp với mạng có dây nhưng thay vào đó cách ly bằng một thiết bị như firewall, gateway để cung cấp sự phân đoạn và kiểm soát luồng dữ liệu.
3) Nguyên tắc yêu cầu các truy xuất xác thực lẫn nhau đến mạng WLAN cho tất cả
người dùng và thiết bị.
Tất cả người dùng và thiết bị mạng truy nhâp WLAN nên được xác thực trước khi cấp quyền truy xuất. Ngoài ra người sử dụng và thiết bị cũng nên xác thực WLAN để đảm
bảo tính hợp pháp không phải là thiết bị giả mạo do kẻ tân công dựng lên. Công nghệ
không dây mặc định cho phép xác thực mở mà không cần phải có tài khoản. Hiển nhiên kiểu truy xuất này không an toàn và nên tránh bằng giải pháp xác thực lẫn nhau mạnh hơn dựa trên giao thức 802.1x được định nghĩa trong tiêu chuẩn 802.11i
4) Nguyên tắc bảo về luồng dữ liệu WLAN bằng cách thực thi bảo mật lớp 2.
Như đã trình bày phần trên chuẩn 802.11i/WPA2 cung cấp toàn vẹn, mã hoá và xác thực lớp 2 của frame Ethernet WLAN và các thông tin đi kèm??. AES là giải pháp bảo mật mạnh và được trông đợi nhiều hơn TKIP nhưng thường phải được thực thi trong phần cứng. TKIP được sử dụng để nâng cấp các thiết bị WLAN đang tồn tại. Chuẩn bảo mật WEP không nên sử dụng cho việc bảo mật luồng dữ liệu lớp 2.
5) Nguyên tắc hạn chế luồng thông tin giữa WLAN và mạng có dây.
Các ứng dụng, các giao thức và cặp thông tin nguồn/đích nên được hạn chế tới yêu cầu tối thiểu để hỗ trợ các yêu cầu chức năng. Lọc địa chỉ MAC Ethernet cơ sở ở lớp 2 có thểđược thực hiện ở hầu hết các điểm truy xuất để cho phép chỉ các thiết bị được hợp pháp hay đã biết trước được chuyển tiếp qua AP. Ở mức IP 1 firewall phân tách WLAN và mạng LAN có dây có thể lọc địa IP nguồn và IP đích các port dịch vụ và
ứng dụng nhất định, nên phát triển các rule hạn chế được nhiều nhất cho firewall và nên thực hiện một cấu hình mặc định từ chối chỉ cho phép luồng dữ liệu được yêu cầu giữa nguồn và đích.
6) Nguyên tắc giám sát WLAN để phát hiện những cố gắng xâm nhập.
IDS (hệ thông phát hiên xâm nhập) giám sát luồng dữ liệu trên mạng để nhận diện các tấn công tiềm năng dựa trên các dấu hiệu đã biết, các mẫu luồng dữ liệu, và các dấu hiệu bất thường các hoạt động cơ sở. Có rất nhiều các sản phẩm hệ thông phát hiện xâm nhập không dây WIDS có sẵn trên thị trường cũng nhưđược phổ biến công cộng. Các sản phẩm WIDS có thể là các hệ thống đơn lẻ chuyên dụng, hoặc các giải pháp
được tích hợp trong AP cung cấp kết nối không dây. Một cách lí tưởng, thì nên thực hiện các biện pháp logging trung tâm và tạo báo động.
3.5.TRIỂN KHAI GIẢI PHÁP BẢO MẬT XÁC THỰC NGUỜI DÙNG 802.1x. 3.5.1.Lí do lựa chọn giải pháp bảo mật 802.1x.