bổ sung
Kiến trúc mạng cĩ thể bị thay đổi bằng cách bổ sung một tường lửa nhận thực vơ tuyến điều chỉnh truy nhập tới LAN bằng cách chỉ cho phép người sử dụng qua sau khi họđã nhận thực, như biểu diễn trên hình 3-13. Một server DMZ tuỳ chọn hoặc một cổng chặn giữ cĩ thể tồn tại trên WLAN biên của mạng. Tường lửa nhận thực vơ tuyến tách rời WLAN khỏi LAN, vì thế sự bảo vệ các mạng tránh bị truy nhập qua thiết bị vơ tuyến. Trong một giao thức nhận thực cĩ thể mở rộng (EAP) 802.11x. AP sẽ bao gồm tường lửa và một sự bổ sung sever dịch vụ người sử dụng tham gian nhận thực từ xa (RADIUS) sẽ cần được định vị trên LAN. Trong một VPN, các host LAN tạo thành điểm đầu cuối của VPN tunnel. Cả hai loại tường lửa sẽ phải cần một lỗ hổng để mạng lưu lượng VPN từ WLAN biên và WAN tới LAN.
Hình 3-13 : Một tường lửa nhận thực vơ tuyến bảo vệ LAN
3.5 Chính sách bảo mật - Miền các tuỳ chọn
Người sử dụng cần biết những gì được bảo vệ. Đĩ cĩ thể là các thiết bị như các server, router, các modem, và thơng tin như là e – mail, đặc tính trí tuệ, các bí mật thương mại, danh sách khách hàng, các kế hoạch kinh doanh, và các bản ghi y học… Đơi khi thơng tin phải được bảo vệ bằng luật. Từ thơng tin này, một sự phân tích nguy hiểm đơn giản cĩ thể được thực hiện để xem xét những gì đe doạ an ninh mạng (dữ liệu hoặc mạng) và mức độ của biện pháp đối phĩ địi hỏi giải quyết vấn đề.
Bảng 3-2 biểu diễn các mức độ khác nhau của bảo mật, cấu hình, những gì được bảo mật bởi cấu hình, và các ứng dụng như là một cấu hình cĩ thể được sử dụng
Bảng3-2 :Dải các tùy chọn bảo mật cho mạng vơ tuyến
Mức độ bảo mật Cấu hình Bảo đảm Ứng dụng 0 Khơng bảo mật Mạng ở ngồi và khơng cấu hình Khơng cĩ gì Các dịch vụứng dụng khơng được bảo mật thơng tin. Tuy nhiên nhiều người sử dụng vẫn dùng các dịch vụ mạng
này. 1 Truy nhập cơng cộng Nhận thực người sử dụng Truy nhập mạng Thư viện, cửa hàng cafe, khách sạn, sân bay…. 2 Bảo mật giới hạn 40- or 128-bit WEP, MAC access control list (ACL), và khơng quảng bá Một số mạng truy nhập và bảo mật dữ liệu Home và SOHO với tính di chuyển. 3 Bảo mật cơ sở
Truy nhập bảo mật Wi- Fi (WPA) (later 802.11i) Truy nhập mạng và bảo mật dữ liệu Nhà, SOHO, và các hệ thống nhỏ linh động. 4 Bảo mật cấp cao 802.1x/EAP-X và RADIUS Truy nhập mạng và bảo mật dữ liệu Các hệ thống linh động 5 Bảo mật đầu cuối – tới – đầu cuối VPNs cũng như Point- to-Point Tunneling Protocol (PPTP), PPTPv2, Layer 2 Tunneling Protocol (L2TP), Kerberos, và IP Security (IPSec) Truy nhập mạng và bảo mật dữ liệu Các ứng dụng đặ biệt, trao đổi thường mại, liên lạc… 3.5.1 Truy nhập cơng cộng
Truy nhập cơng cộng giống như việc để các khố cho mọi người đều biết và sử dụng. NoCat Auth, Sputnik, và Wayport hạn chế truy nhập tới người sử dụng cơng cộng bằng cách nhận thực họ. Tiến trình nhận thực họ bảo vệ mạng bởi các sự khác nhau của uỷ nhiệm truy nhập. Trong một số trường hợp, quảng cáo
được trao đổi để giành quyền truy nhập hệ thống. Trong các trường hợp NoCat Auth, truy nhập cĩ thể bị loại bỏ để tránh việc người ta lạm dụng hệ thống. Nhiều giải pháp loại này khơng cung cấp một cơ chế (tunnel) bảo mật cho những người sử dụng của chúng. Dữ liệu gửi trên khơng khí là trong điều kiện rõ ràng. Những người sử dụng phải được cung cấp sự bảo vệ của riêng mình chống lại những lỗ hổng của độ tin cậy như là sử dụng một VPN để tạo tunnel quay lại cơng trình mạng của họ.
3.5.2 Điều khiển truy nhập cơ bản
Hiện nay, truy nhập cơ bản cũng giống như việc giấu một khố dưới một tấm thảm. Khố được dấu ngồi để cho những người thơng minh cĩ thể tìm thấy, nhưng mạng truy nhập và dữ liệu được truy nhập sẽ khơng cĩ giá trị do sự cố ngắt mạng.
Tối thiểu, người sử dụng nên kích hoạt WEP, các mật khẩu bảo vệ các thiết bị dùng chung và các tài nguyên, thay đổi tên mạng từ SSID mặc định, sử dụng lọc địa chỉ MAC, và tắt quảng bá nếu cĩ thể. Viện cơng nghệđiện và điện tử (IEEE) đang làm việc để loại bỏ khố tránh tình trạng “khĩa dưới thảm” bằng hai giải pháp - cải tiến WEP tạm thời và thay thế WEP lâu dài.
3.5.3 Các phương thức bảo mật 802.11 ngồi WEP
Truy nhập bảo vệ Wi-Fi (WPA): tháng 11 năm 2002, liên minh Wi – Fi thơng báo tiêu chuẩn bảo mật WPA. Nĩ sẽ thay thế tiêu chuẩn WEP hiện tại trên thiết bị Wi – Fi. Cĩ thể thấy trước rằng nhiều nhà cung cấp sẽ đưa ra phần sụn và phần mềm nâng cấp cho các sản phẩm Wi – Fi sẵn cĩ để chúng làm việc với WPA.
WPA sử dụng giao thức tồn vẹn khố tạm thời (TKIP), một kỹ thuật mật mã cứng rắn hơn được sử dụng trong WEP. TKIP sử dụng khố băm (KeyMix) và kiểm tra tính tồn vẹn bản tin phi tuyến (MIC). TKIP cũng sử dụng một giao thức
rapid – rekeying (ReKey) thay đổi khố mật mã cho khoảng 10.000 gĩi tin. Tuy nhiên, TKIP khơng loại trừ những điểm yếu cơ bản trong bảo mật Wi – Fi. Nếu một attacker tấn cơng TKIP, anh ta hoặc cơ ta khơng chỉ bẻ gãy độ tin cậy, mà cịn điều khiển truy nhập và nhận thực.
WPA sẽ làm việc trong hai phương pháp khác nhau, tuỳ thuộc vào loại mạng. Trong nhà và các văn phịng nhỏ, cơng nghệ sẽ làm việc trong chếđộ khố “tiền chia sẻ”. Những người sử dụng nhập khố mạng để giành quyền truy nhập.
Trong chế độ quản lý, nĩ sẽ làm việc với các AS và sẽ yêu cầu sự hỗ trợ của 802.1x và EAP.802.1x và EAP cho phép một bộ thích ứng mạng khách đàm phán qua một AP với một back – end AS sử dụng các giao dịch mật mã an tồn để trao đổi các khố phiên.
WPA bao gồm nhiều phần của 802.11. Tuy nhiên, một số các phần tử khố khơng được bao gồm trong đĩ như là sự hỗ trợ cho một thuật tốn mật mã mới gọi là tiêu chuẩn mật mã hố cấp cao (AES), tiêu chuẩn này sẽ thay thế thuật tốn mật mã RC4 cơ sở khi 802.11i trở nên phổ biến.
3.5.4 802.11 Phương pháp bảo mật ngồi WPA
WPA khi trở nên phổ biến, sẽ là một bước chuyển tiếp tốt bảo mật một nhà hoặc một SOHO WLAN. Tuy nhiên, cho một hệ thống lớn, 802.1x/EAP và VPN là vẫn cĩ thể phát triển và tồn tại được .
3.5.5 802.1x và EAP—bảo mật cấp cao
802.11x cung cấp một Framework nhận thực cho các WLAN, cho phép một người sử dụng được nhận thực bởi một trung tâm nhận thực. Thuật tốn thực tế được sử dụng để xác định một người sử dụng là đúng hoặc sai và cĩ thể ghép nhiều thuật tốn với nhau.
802.11x sử dụng EAP, một giao thực sẵn cĩ làm việc trên Ethernet, Token Ring, hoặc các WLAN cho việc trao đổi bản tin trong thời gian tiến trình nhận thực.
3.5.6 Nhận thực cổng mạng 802.1x :
Nhận thực 802.1 x cho các WLAN cĩ ba thành phần chính : Supplicant (thường là các phần mềm máy khách), bộ nhận thực (AP), và AS (thơng thường là một server RADIUS). Các bộ nhận thực kết nối tới mạng LA. Hình 3-14 minh họa tiến trình này.
Network Supplicant (in latop) Authentaction Server (Radius) WLAN Other Trafic EAP Only LAN Authenticator (Access Ponit) Hình 3-14 : Nhận thực 802.1x
Dạng thơng thường cho một nhân thực 802.11x như sau : Supplicant (trong máy khách ) thử kết nối tới AP bằng cách gửi một bản tin bắt đầu. AP tìm ra Supplicant và làm cho các cổng supplicant trong trạng thái khơng được phép, vì vậy chỉ các bản tin 802.1x/EAP được chuyển tiếp. Tất cả các lưu lượng khác bị chặn.
Supplicant sau đĩ gửi một bản tin EAP khởi động. AP tin tưởng vào một bản tin tồn vẹn EAP - Yêu cầu để giành được nhận dạng Supplicant. Gĩi tin EAP – Trả lời của máy khách bao gồm nhận dạng Supplicant để chuyển tiếp tới AS.
AS nhận thực Supplicant và các trả lời khác bằng cách chấp nhận hoặc loại bỏ Supplicant.
3.5.7 Giao thức nhận thực mở rộng (EAP)
3.5.7.1 Giới thiệu
Để thiết lập liên lạc trên một liên kết Point – to – Point, mỗi đầu cuối của của liên kết PPP đầu tiên phải gửi các gĩi tin LCP đểđịnh cấu hình liên kết dữ liệu trong thời gian thiết lập liên kết. Sau khi các kết nối đã thiết lập, PPP cung cấp một giai đoạn nhận thực tùy chọn trước khi đi đến giai đoạn giao thức tầng mạng.
Mặc định rằng, nhận thực là khơngbắt buộc. Nếu nhận thực của liên kết được mong muốn, một thực thi phải chỉ rõ tùy chọn cấu hình giao thức nhận thực trong thời gian Phase thiết lập liên kết.
Các giao thức nhận thực này được chỉ định cho sử dụng đầu tiên bởi các Host và các router kết nối tới một server mạng PPP qua các chuyển mạch hoặc các đường dial – up, nhưng cĩ thểđược chấp nhận để xác định các kết nối. Server cĩ thể sử dụng sự nhận dạng của kết nối host hoặc router trong sự lựa chọn các tùy chọn cho tầng mạng.
3.5.7.2. Giao thức nhận thực cĩ thể mở rộng điểm tới điểm (EAP)
Giao thức nhận thực cĩ thể mở rộng (EAP) là một giao thức bảo mật tầng giao vận của mơ hình OSI, nĩi chung là một giao thức cho nhận thực PPP hỗ trợ nhiều kĩ thuật nhận thực. EAP khơng lựa chọn một cơ chế nhận thực cụ thể tại Giai đoạn điều khiển liên kết (Link Control Phase), đúng hơn là nĩ trì hỗn điều này cho đến giai đoạn nhận thực. Điều này cho phép bộ nhận thực yêu cầu thêm thơng tin trước khi xác định cơ chế nhận thực rõ ràng. Điều này cũng chấp nhận sự sử dụng một server “back - end” thi hành nhiều cơ chế khác nhau trong khi server PPP chỉđơn thuần đi qua tổng đài nhận thực.
1. Sau khi giai đoạn thiết lập kết nối được hồn thành, bộ nhận thực gửi một hoặc nhiều Request để nhận thực điểm. Request cĩ một trường Type để xác định những gì đang được yêu cầu. Ví dụ về các loại Request bao gồm Identity, MD5-challenge, One-Time Passwords, Generic Thẻ bài Card… Thơng thường, bộ nhận thực sẽ gửi một Indentity Request theo sau bởi một hoặc nhiều Request cho thơng tin nhận thực. Tuy nhiên, một Indentity Request khơng được yêu cầu, và cĩ thể bỏ qua trong các trường hợp Indentity là đốn được.
2. Điểm (Peer) gửi một gĩi tin Response trong trường Reply cho mỗi Request. Cũng như gĩi tin Request, gĩi tin Respone bao gồm một trường Type tương ứng với trường Type của Request.
3. Bộ nhận thực chấm dứt giai đoạn nhận thực với một gĩi tin thành cơng hoặc thất bại (Succes or Failure packet).
Ưu điểm
Giao thức EAP cĩ thể hỗ trợ nhiều cơ chế nhận thực khơng phải thực hiện giai đoạn tiền đàm phán một cách riêng biệt trong giai đoạn LCP.
Các thiết bị khơng cần thiết phải hiểu mỗi loại Request và cũng cĩ thểđơn giản các hoạt động như một tác nhân passthrough cho một server “back - end” trên một host. Thiết bị chỉ cần xem mã thành cơng/ thất bại để kết thúc giai đoạn nhận thực.
Các nhược điểm
EAP thực hiện yêu cầu bổ sung một loại nhận thực mới cho LCP và vì thế các thực thi PPP sẽ cần thiết phải được sửđổi để sử dụng nĩ. Nĩ cũng đi lạc khỏi mơ hình nhận thực PPP trước đĩ của một cơ chế nhận thực rõ ràng trong thời gian LCP.
3.5.7.3 Cấu hình khuơn dạng tùy chọn
Cấu hình khuơn dạng tổng quát tùy chọn như sau:
Hình 3-15 : Khuơng dạng tổng quát gĩi tin
Type 3
Length 4
3.5.7.4 Khuơn dạng gĩi tin
Chính xác một gĩi tin PP EAP được đĩng gĩi trong trường thơng tin của một khung PPP tầng liên kết dữ liệu ở đây trường giao thức chỉ rõ loại Hex C227 (PPP EAP). Dạng tổng quát của khuơn dạng gĩi tin EAP được biểu diễn như sau. Các trường được phát từ trái qua phải.
Code Indentifier Length Data
Code
Trường code là một Octet và nhận dạng loại gĩi tin EAP. Các mã EAP được gán như sau :
1 Request 2 Response 3 Success 4 Failure
Identifier :Trường Identifier gồm một octet.
Length : Trường Length gồm hai octet và chỉ rõ chiều dài của các gĩi tin EAP bao gồm Code, identifier, Length và Data. Các octet bên ngồi phạm vi của trường Length cĩ thể coi là đệm tầng liên kết dữ liệu và khơng cần để ý khi tiếp nhận.
Data : Trường Data gồm 0 hoặc nhiều octet. Khuơn dạng trường dữ liệu được quyết định bởi trường Code.
Request and Response : Gĩi tin Request được gửi bởi bộ nhận thực tới Peer. Mỗi Request cĩ một loại trường phục vụ việc xác định những gì đang được yêu cầu. Bộ nhận thực phải phát một gĩi tin EAP với tập trường mã tới 1 ( Request). Các gĩi tin Request bổ sung được gửi cho đến khi một gĩi tin Response hợp lệ được nhận. Các Request phát lại phải được gửi với cùng giá trị nhận dạng để mà phân biệt được chúng với các Request mới. Các nội dung của trường dữ liệu là phụ thuộc loại Request. Peer phải gửi một gĩi tin Request trả lời gĩi tin Request.
Lưu ý : Bởi vì tiến trình nhận thực sẽ thường bao gồm đầu vào người sử dụng.
Dạng tổng quát của gĩi tin Request và Respone được biểu diễn như sau. Các trường được phát từ trái qua phải
Hình 3-16 : Gĩi tin Request và Respone
Code
1 cho Request; 2 cho Response.
Identifier
Trường Identifier gồm một octet. Trường Identifier phải giống nhau nếu một gĩi tin Request được phát lại trong thời gian timeout trong khi đang chờ một Response. Bất kỳ các Request mới nào cũng phải sửa đổi trường Identifier. Nếu một Peer nhận một bản sao Request khi nĩ đã gửi một Response, nĩ phải gửi lại một Respone. Nếu một Peer nhận một bản sao Request trước khi nĩ đã gửi một Response tới Request đầu tiên, nĩ sẽ lặng lẽ loại bỏ bản sao Request.
Length
Trường Length gồm hai octet và chỉ rõ chiều dài của gĩi tin EAP bao gồm Code, Indentifier, Length, Type, và Type – Data. Các octet ngồi phạm vi của trường Length cĩ thể coi là phần đệm tầng liên kết dữ liệu và khơng cần quan tâm tới khi nhận.
Type
Trường Type gồm một octet. Trường này chỉ rõ loại Request và Response. Chỉ một Type phải được xác định rõ trên Request hoặc Respone EAP. Thơng thường, trường Type của Response giống trường Type của Request. Tuy nhiên, cũng cĩ một Nak Response Type cho việc xác định rằng một Request Type khơng được chấp nhận tới một điểm. Khi gửi một Nak trong một Respone tới một Request, Peer cĩ thể xác định rõ một Type nhận thực luân phiên.
Trường Type – data thay đổi cùng với Type của Request và Response.
Thành cơng và thất bại
Các gĩi tin thành cơng được gửi bởi bộ nhận thực tới điểm để xác nhận nhận thực thành cơng. Bộ nhận thực phải phát một gĩi tin EAP với trường code thiết lập 3 (Success).
Nếu bộ nhận thực khơng thể nhận thực điểm khi ấy sự thực thi phải phát mọt gĩi tin EAP với trường mã thiết lập bằng 4 (thất bại). Một bộ nhận thực cĩ thể muốn phát ra nhiều Request trước khi gửi một trả lời Failure để mà cho phép người ta gõ sửa lỗi.
Dạng tổng quan của khuơn dạng gĩi tin Success và Failure được biểu diễn như sau. Các trường được phát từ trái qua phải :
Hình 3-17 : Các trường gĩi tin Code
3 cho Success; 4 cho Failure. Identifier
Trường Identifier gồm một octet. Trường Identifier phải trùng với trường Identifier của gĩi tin Response.
Length : 4 octet
3.5.7.5 Các loại Request /Response EAP ban đầu
Trường Type gồm một Octet và các nhận dạng cấu trúc của gĩi tin Request hoặc Respone EAP. 3 Type đầu tiên được dành cho các Type đặc biệt. Các Type cịn lại định nghĩa các trao đổi nhận thực. Nak Type là hợp lệ chỉ đối với các gĩi