khác.
Như phân tích ở trên các chuẩn bảo mật thông dụng khác đều có những mặt hạn chế
nhất định:
+Chứng thực qua hệ thống mở (Open Authentication) chứng thực qua việc xác định chính xác SSIDs là một biện pháp đơn giản nhất và đương nhiên cũng dễ bị phá nhất. +Chứng thực qua khoá chia sẻ (Shared-key Authentication) Là kiểu chứng thực cho phép kiểm tra xem một khách hàng không dây đang được chứng thực có biết về bí mật chung không. Điều này tương tự với khoá chứng thực đã được chia sẻ trước trong bảo mật IP (IPSec). Chuẩn 802.11 hiện nay giả thiết rằng Khoá dùng chung được phân phối
đến các tất cả các khách hàng đầu cuối thông qua một kênh bảo mật riêng, độc lập với tất cả các kênh khác của IEEE 802.11.Tuy nhiên, hình thức chứng thực qua Khoá chia sẻ nói chung là không an toàn và không được khuyến nghị sử dụng.
+Bảo mật dữ liệu thông qua WEP (Wired Equivalent Privacy) Với thuộc tính cố hữu của mạng không dây, truy nhập an toàn tại lớp vật lý đến mạng không dây là một vấn
đề tương đối khó khăn. Bởi vì không cần đến một cổng vật lý riêng, bất cứ người nào trong phạm vi của một điểm truy nhập dịch vụ không dây cũng có thể gửi và nhận khung cũng như theo dõi các khung đang được gửi khác. WEP key là một khóa tĩnh. Nếu không có WEP, việc nghe trộm và phát hiện gói từ xa sẽ trở nên rất dễ dàng. WEP cung cấp các dịch vụ bảo mật dữ liệu bằng cách mã hoá dữ liệu được gửi giữa các node không dây. Mã hoá WEP dùng luồng mật mã đối xứng RC4 với từ khoá dài 40 bit hoặc104 bit. WEP cung cấp độ toàn vẹn của dữ liệu từ các lỗi ngẫu nhiên bằng cách gộp một giá trị kiểm tra độ toàn vẹn (ICV - Integrity Check Value) vào phần được mã hoá của khung truyền không dây. Việc xác định và phân phối các chìa khoá WEP không được định nghĩa và phải được phân phối thông qua một kênh an toàn và độc lập với 802.11.
Nhằm khắc phục các nhược điểm trên, như chìa khóa là tĩnh, mật khẩu được gửi dưới dạng Clear text trên môi trường truyền, quản lí chìa khóa không tập trung, tấn công giả
mạo, v. v. chuẩn 802.1x với khả năng mở rộng của EAP và tính tối ưu của LEAP đã
được nghiên cứu và đưa ra sử dụng.
Nếu như các chuẩn khác không có sự phân biệt các giao thức truy cập, thì chuẩn 802.1x cung cấp những chi tiết kỹ thuật cho phép điều khiển truy nhập cổng. Sựđiều khiển truy nhập thông qua những cổng cơ bản được khởi đầu, và vẫn đang được sử
dụng với chuyển mạch Ethernet. Khi người dùng thử nối tới port mong muốn, cổng đó sẽ tạm thời ở trạng thái khóa và chờđợi sự xác nhận người sử dụng của hệ thống chứng thực. Giao thức 802.1x đã được kết hợp vào trong hệ thống WLAN và gần như trở
thành một chuẩn giữa những nhà cung cấp. Khi được kết hợp giao thức chứng thực mở
(EAP), 802.1x có thể cung cấp một sơ đồ chứng thực trên một môi trường an toàn và linh hoạt.
Giao thức 802.1x đảm bảo được các tính chất sau:
1.Đảm bảo tính tin cậy.
Hầu hết thông tin trao đổi trong mạng đều được mã hóa, kể cả các thông tin về mật khẩu ban đầu, ngoài ra giao thức này còn tránh việc giả mạo thông qua cơ chế chứng thực lẫn nhau giữa Client và Server. v. v. (sẽđược làm rõ hơn trong phần AAA). Các phương pháp mã hóa được áp dụng như là SSH (Secure Shell), SSL (Secure Sockets Layer) hoặc IPSec.
2.Đảm bảo tính toàn vẹn:
Giao thức sử dụng các phương thức kiểm tra như Checksum, hoặc Cyclic Redundancy Checks (CRCs) để kiểm tra tính toàn vẹn dữ liệu, bên cạnh đó nó cũng sử dụng các thuật toán hóa MD5 và RC4 để đảm bảo sự toàn vẹn này.
3.Đảm bảo tính sẵn sàng:
vấn đề phát sinh mới nhất để luôn đảm bảo sẵn sàng mà không gặp phải trở ngại nào cũng như luôn tương thích với các thiết bị hiện có.
4.Cơ chế xác thực.
Với sự kết hợp giữa cơ chế chứng thực động và quản lí chìa khóa tập trung, 802.1x đã khắc phục được hầu hết các vấn đề còn tồn tại của các giao thức khác. EAP, được định nghĩa trước tiên cho giao thức point-to-point (PPP), là một giao thức
để chuyển đổi một phương pháp chứng thực. EAP được định nghĩa trong RFC 2284 và
định nghĩa những đặc trưng của phương pháp chứng thực, bao gồm những vấn đề
người sử dụng được yêu cầu (password, certificate, v. v), giao thức được sử dụng (MD5, TLS, GMS, OTP, v. v), hỗ trợ sinh chìa khóa tựđộng và hỗ trợ sự chứng thực lẫn nhau. Nếu WEP tồn tại điểm yếu là xác thực một bước và xác thực khóa chia sẻ. Một quá trình chứng thực khóa chia sẻ xảy ra theo các bước sau:
1.Một clien gửi yêu cầu liên kết tới AP.
2.AP gửi một đoạn văn bản ngẫu nhiên tới Client, văn bản này chưa được mã hóa, dài 128 octets, và yêu cầu Client dùng chìa khóa WEP của nó để mã hóa.
3.Clien mã hóa văn bản với chìa khóa WEP của nó và gửi văn bản đã được mã hóa đó
đến AP.
4.AP sẽ thử giải mã văn bản đó, để xác định xem chìa khóa WEP của Client có hợp lệ
không, nếu có thì nó gửi một trả lời cho phép, còn nếu không, thì nó trả lời bằng một thông báo không cho phép Client đó liên kết.
Trong phương pháp này tồn tại một số vấn đề: chìa khóa WEP được dùng cho hai mục
đích, để chứng thực và để mã hóa dữ liệu, đây chính là kẽ hở để hacker có cơ hội thâm nhập mạng. Hacker sẽ thu cả hai tín hiệu, văn bản chưa mã hóa do AP gửi và văn bản
đã mã hóa, do Client gửi, và từ hai thông tin đó hacker có thể giải mã ra được chìa khóa WEP.
không có cơ chế xác thực lẫn nhau, do đó dễ bị lộ key và dễ bị tấn công theo kiểu man- in-the-middle. Thì chuẩn 802.1x đã khắc phục bằng mô hình chứng thực tập trung và chứng thực lẫn nhau thông qua việc sử dụng
+RADIUS (Remote Access Dial-In User Service).
+Bảo vệ khóa key bằng cách sử dụng cơ chế bắt tay một bước (one-way hashes). +Chính sách xác thực nhắc lại một cách thường xuyên, tạo các chìa khóa mới cho các phiên xác thực mới
+Thay đổi vector khởi tạo (IV) trong mã hóa WEP
Mô hình chứng thực 802.1x-EAP thành công thực hiện như sau:
Quá trình chứng thực 802.1x-EAP Wireless client muốn liên kết với một AP trong mạng.
1.AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng, khi
đó Client yêu cầu liên kết tới AP
2.AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP 3.Client gửi đáp lại yêu cầu nhận dạng EAP cho AP
4.Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng thực.
5.Server chứng thực gửi một yêu cầu cho phép tới AP 6.AP chuyển yêu cầu cho phép tới client
7.Client gửi trả lời sự cấp phép EAP tới AP 8.AP chuyển sự trả lời đó tới Server chứng thực
9.Server chứng thực gửi một thông báo thành công EAP tới AP
10.AP chuyển thông báo thành công tới client và đặt cổng của client trong chế độ
forward. Khi hỗ trợ khả năng chứng thực lẫn nhau, thì quá trình trên tiếp tục xảy ra nhưng với chiều ngược lại.
Trong quá trình xác thực trên có một số vấn đề cần xem xét: tạo chìa khóa theo phiên và quản lí chìa khóa tập trung.
*Sinh chìa khóa động.
Để tránh việc giả mạo, mỗi một phiên kết nối với một client sẽ được RADIUS server cấp cho một key riêng, session key. Khi truyền key này cho Client, để tránh việc nghe trộm do gửi thông tin clear text, AP sẽ mã hóa session key này, và client sẽ dùng key của mình để giải mã, lấy session key cho mình. Tất cả các session key này đều được sinh bởi RADIUS server thông qua một thuật toán nào đó. Có khi mỗi phiên liên kết chỉ có một Key, nhưng bạn cũng có thể thiết lập trên RADIUS server để tạo các chu kỳ
xác thực theo yêu cầu của bạn. Theo cơ chế này, RADIUS sẽđịnh kỳ xác thực client, do đó tránh được truy cập mạng do vô tình. Quản lí chìa khóa tập trung. Ngoài ra với những mạng WLAN quy mô lớn sử dụng WEP như một phương pháp bảo mật căn bản, server quản lý chìa khóa mã hóa tập trung nên được sử dụng vì những lí do sau:
-Quản lí sinh chìa khóa tập trung
-Quản lí việc phân bố chìa khóa một cách tập trung -Thay đổi chìa khóa luân phiên
-Giảm bớt công việc cho nhà quản lý
Bình thường, khi sử dụng WEP, những chìa khóa (được tạo bởi người quản trị) thường
được nhập bằng tay vào trong các trạm và các AP. Khi sử dụng server quản lý chìa khóa mã hóa tập trung, một quá trình tự động giữa các trạm, AP và server quản lý sẽ
thực hiện việc trao các chìa khóa WEP.
Hình sau mô tả cách thiết lập một hệ thống như vậy Topo mạng quản lý chìa khóa mã hóa tập trung Server quản lý chìa khóa mã hóa tập trung cho phép sinh chìa khóa trên mỗi gói, mỗi phiên, hoặc các phương pháp khác, phụ thuộc vào sự thực hiện của các nhà sản xuất. Phân phối chìa khóa WEP trên mỗi gói, mỗi chìa khóa mới sẽ được gán vào phần cuối của các kết nối cho mỗi gói được gửi, trong khi đó, phân phối chìa khóa
WEP trên mỗi phiên sử dụng một chìa khóa mới cho mỗi một phiên mới giữa các node. Với những cải tiến của chuẩn 802.1x, các client được xác định thông qua usernames, thay vì địa chỉ MAC như các chuẩn trước đó. Nó không những tăng cường khả năng bảo mật mà còn làm cho quá trình AAA (Authentication, Authorization, and Accountting) hiệu quả hơn. Điều này sẽ được nhắc lại trong phần sau: về
Authorization.
Như bên trên đã đề cập, nếu không có sự xác thực lẫn nhau thì việc một client lầm tưởng một AP giả mạo là AP hợp pháp là điều hoàn toàn có thể xảy ra, Man-inthe- middle Attacks. Mô hình mạng sử dụng RADIUS server như trên đã khắc phục được
điều đó thông qua việc xác thực ngược giữa Client và AP. Thực tế quá trình xác thực xảy ra theo 3 pha, pha khởi đầu, pha chứng thực và pha kết thúc. Trong đó pha chứng thực với sự tham gia của RADIUS server cho phép hệ thống phân quyền người sử dụng thông qua các chính sách cài đặt trên server dựa trên tài khoản của người dùng. Nếu việc xác thực thông qua địa chỉ vật lý, MAC, chỉ là xác thực về mặt thiết bị, tức là không có sự phân quyền cho người dùng, thì xác thực dựa trên tên và mật khẩu cho phép chúng ta phân quyền người dùng. Vấn đề cấp quyền, Authorization, tùy thuộc chính sách của người quản trị, có thể phân quyền theo giao thức, thông qua cổng, theo phạm vi dữ liệu, hoặc theo sự phân cấp về người dùng, admin, mod, member, v. v. Thông qua việc quản lí và cấp quyền nói trên, người quản trị hoàn toàn có thể ghi lại
được vết của người sử dụng, theo dõi các trang, thư mục cũng như ghi lại được tất cả
quá trình truy cập của người dùng.
3.5.1.2.Sự phù hợp với thực tế khi triển khai 802.1x:
Khi triển khai bất ki giải pháp nào đều phải xây dựng dựa trên thực tế triển khai muốn vậy trước hết phải tiến hành khảo sát khu vực triển khai.
+Các đặc điểm của vị trí triển khai:
Khu vực triển khai là 3 toà nhà làm việc tại Đài TNVN khu vực Bà triệu. Qua khảo sát có một sốđặc điểm sau:
-Khu vực triển khai gồm 3 toà nhà trong khu vực có mật độ dân cư cao, gần công sở
trường học là những nơi thuận lợi để các hacker có thể lợi dụng vị trí để khai thác. -Các AP đã được triển khai và phủ sóng ở toàn bộ các tầng của toà nhà. Hệ thống AP này được kết nối trực tiếp vào mạng có dây. Hệ thống mạng có dây gồm có DC làm nhiệm vụ quản lí các username, Các File server chia sẻ tập tin cho người dùng thông qua các username. Hệ thống này được kết nối với internet qua các modem khác nhau. -Các thiết bị AP đang sử dụng là Linksys và các máy trạm đều hỗ trợ chuẩn 802.1x. Hiện tại một số AP triển khai giải pháp bảo mật WEP, một số chưa triển khai bất kì giải pháp bảo mật nào. Do vậy hệ thống chưa được bảo mật.
-Số lượng các máy trạm hiện có gồm 500 PC và 250 máy tính cá nhân. Chủ yếu sử
dụng hệđiều hành XP. Số máy tính cá nhân ngày càng tăng do nhu cầu sử dụng cao. Chuẩn 802.1x là một chuẩn công nghiệp, quản lí tập trung thường sử dụng cho các cơ
quan với số lượng máy tính lớn.
-Đây là một chuẩn mở chúng ta có thể triển khai trên nền Window 2003 (xem phần phụ
lục triển khai với window 2003), hoặc triển khai trên các hệ mã nguồn mở Linux. -Tương thích với hầu hết các thiết bị hiện có trên thị trường.
-Giá thành rẻ.
-Các máy các trạm và các AP hiện đang sử dụng tại Đài TNVN hoàn toàn có thể triển khai theo chuẩn này.
3.5.2.Đánh giá các chuẩn giao thức xác thực mở rộng EAP.
Một số chuẩn xác thực mở rộng sẵn có: +Cisco EAP (LEAP)
Đây là một giao thức độc quyền của Cisco yêu cầu phải có ACS cho việc xác thực do vậy chi phí cao nên không phù hợp.
+EAP-TLS
yêu cầu một hạ tầng cơ sở khoá công khai. +EAP-TTLS
+EAP-PEAP
Ở đây với thiết bị không phải là cisco do vậy chi phí giảm nên ta chỉ có thể quan tâm
đến 3 giao thức cuối cùng (EAP-TLS, EAP-TTLS, EAP-PEAP). Ta có bảng so sánh 3 chuẩn cuối như sau: TLS TTLS PEAP Phần mềm Hỗ trợ các HĐH máy trạm Linux, Mac OS X, Windows 95/98/ME, Windows NT/2000/XP, Mac OS X Linux, Mac OS X, Windows 95/98/ME, Windows NT/2000/XP Linux, MacOS X, Windows
Phần mềm máy trạm Cần được cài Không cần cài đặt Đi kèm với window XP
Máy chủ Authentication
Cisco ACS, Funk Odyssey, Interlink Secure. XS, Meetinghouse AEGIS, Microsoft IAS, FreeRADIUS Funk, Meetinghouse, Interlink
Cisco ACS, Microsoft IAS, Interlink Secure. XS, Meetinghouse, Funk Các phương pháp chứng thực X. 509 Certificates CHAP, PAP, MS- CHAP, MS-CHAPv2, và EAP Phương pháp EAP; MS-CHAPv2, token card, và EAP-TLS Giao thức vận hành Cấu trúc giao thức cơ bản Thiết lập phiên TLS và chứng thực hợp lệ trên cả máy trạm và máy chủ. Gồm 2 giai đoạn: (1) Thiết lập TLS giữa Máy trạm và TTLS. (2) Trao đổi các giá trị thuộc tính giữa máy trạm và máy chủ.
2 phần:
(1) Thiết lập TLS giữa máy trạm và
server PEAP (2) Chạy EAP phía trong trao đổi qua đương hầm TLS
Kết nối lại phiên
nhanh Không Có Có
Server certificate Yêu cầu Yêu cầu Yêu cầu
Client certificate Yêu cầu Tuỳ chọn Tuỳ chọn
Các phần mềm bổ
xung Có Có
Không, Windows 2003 đi cùng với một server Radius.
Bảng 3.1.Bảng so sánh các chuẩn giao thức xác thực mở rộng.
Từ bảng so sánh chi tiết trên ta thấy rằng giao thức EAP-PEAP là lựa chọn phù hợp để
triển khai và được AP Linksys hỗ trợ.
3.5.3.Xây dựng mô hình triển khai:
Từ những đánh giá và lựa chọn ở trên tôi xin đề xuất một mô hình triển khai giải pháp bảo mật tại Đài TNVN như sau:
Hình 3.1 Mô hình triển khai.
+01 Domain controller để quản lí tập trung người dùng thông qua Active Directory. +01 Microsoft IAS Radius server.
+01 Máy chủ chứng thực để cấp phép. + Các AP Linksys (đã triển khai lắp đặt).
+Các trạm Wireless ởđây là các máy tính xách tay. +Group policy để cấu hình tựđộng các máy trạm.
Ngoài ra khi kết nối mạng không dây với mạng hữu tuyến đang tồn tại sẽ làm tăng nguy cơ mất mát dữ liệu trên mạng hữu tuyến đang tồn tại và nguy cơ tân công từ