Tổ chức Liên minh các nhà sản xuất lớn về thiết bị wifi – Wifi Alliance, được thành lập để giúp đảm bảo tính tương thích giữa các sản phẩm wifi của các hãng khác nhau. Nhằm cải thiện mức độ an toàn về mặt thông tin trong mạng 802.11 mà không cần yêu cầu nâng cấp phần cứng, Wifi Alliance thông qua TKIP như một tiêu chuẩn bảo mật cần thiết khi triển khai mạng lưới được cấp chứng nhận Wifi. Kiểu bảo mật này được gọi với tên là WPA. WPA ra đời trước khi chuẩn IEEE 802.11i – 2004 được chính thức thông qua. Nó bao gồm việc quản lý khóa và quá trình xác thực.
Tiếp sau đó, WPA2 được đưa ra, như một tiêu chuẩn bảo mật bám sát hơn theo chuẩn 802.11i của IEEE. Điểm khác biệt lớn nhất giữa WPA và WPA2 là thay vì sử dụng AES để đảm bảo tính bảo mật và toàn vẹn dữ liệu thì WPA dùng TKIP cho việc mã hóa và thuật toán Michael cho việc xác thực trên từng gói dữ liệu.
Mỗi phiên bản của WPA đều được chia thành hai loại: Personal dành cho hộ gia đình và văn phòng quy mô nhỏ, Enterprise dành cho doanh nghiệp lớn có cơ sở hạ tầng mạng đầy đủ. Điểm khác biệt duy nhất đáng kể giữa hai loại này là ở hình thức có được khóa PMK. Với Personal, khóa PMK sinh ra từ khóa tĩnh được nhập vào thủ công trên AP và các STA. Rõ ràng cách làm này là không khả thi đối với các mạng lưới có quy mô lớn. Do đó trong Enterprise, khóa PMK nhận được từ quá trình xác thực IEEE 802.1X/EAP. Việc cấp phát khóa này là hoàn toàn tự động và tương đối an toàn. Sau khi đã xác thực lẫn nhau rồi, STA và Máy chủ xác thực xây dựng khóa PMK dựa trên các thông tin đã biết. Khóa này là giống nhau trên cả STA và Máy chủ xác thực. Máy chủ xác thực sẽ tiến hành
sao chép một bản khóa PMK này rồi gửi về cho AP. Lúc này, cả AP và STA đều đã nhận được khóa PMK phù hợp. Trong thực tế, Máy chủ xác thực thường được sử dụng là Máy chủ RADIUS.
WPA được đánh giá là kém an toàn hơn so với người anh em WPA2. Tuy nhiên, lợi thế của WPA là không yêu cầu cao về phần cứng. Do WPA sử dụng TKIP mã hóa theo thuật toán RC4 giống như WEP nên hầu hết các card mạng không dây cũ hỗ trợ WEP chỉ cần được nâng cấp firmware là có thể hoạt động tương thích với tiêu chuẩn của WPA.
WPA2 sử dụng CCMP/AES cho việc mã hóa dữ liệu và kiểm tra tính toàn vẹn của gói tin. CCMP/AES là một cơ chế mã hóa rất mạnh và phức tạp do đó yêu cầu cao về năng lực xử lý của chip. Cũng chính vì điều này mà hiện nay WPA2 chưa được triển khai rộng dãi như WPA. Lý do là WPA2 cần phải nâng cấp về mặt phần cứng, tốn kém hơn nhiều so với viêc cập nhật firmware đối với WPA. Tuy nhiên, với các hệ thống mạng yêu cầu mức độ an ninh cao thì khuyến nghị nên sử dụng WPA2. Việc lựa chọn tiêu chuẩn an ninh nào là hoàn toàn phụ thuộc vào sự cân bằng giữa tiềm lực tài chính và mức độ an toàn thông tin cần đảm bảo.
So sánh giữa WEP, WPA và WPA2
WEP WPA WPA2
Là thành phần tùy chọn trong chuẩn IEEE 802.11
Tiêu chuẩn an ninh của WiFi Alliance đặt ra
Tương tự như WPA
Khóa WEP được cấu hình thủ công trên AP và các STA
Khuyến nghị nên sử dụng xác thực 802.1X/EAP để nhận khóa tự động
Tương tự như WPA
Sử dụng mã hóa dòng Tương tự như WEP Sử dụng mã hóa khối. Có hỗ trợ mã hóa dòng (TKIP)
Mã hóa trên từng gói tin dựa vào việc thay đổi giá trị IV, giá trị IV được kết hợp trực tiếp với PMK để
Sử dụng phương pháp mã hóa tiên tiến và phức tạp hơn, quá trình tạo khóa có thông qua khóa trung gian
hình thành khóa PTK Độ dài khóa nhỏ, 64 bit
hay 128 bit
Độ dài khóa lớn, kết hợp nhiều thành phần thông tin để sinh khóa
Tương tự như WPA
Sử dụng thuật toán CRC để kiểm tra tính toàn vẹn dữ liệu. Mức độ tin cậy thấp
Sử dụng thuật toán Micheal để tính toán ra mã MIC. Có độ tin cậy cao hơn CRC
Sử dụng CCMP/AES tính toán mã MIC. Có độ tin cậy cao nhất
Không có khả năng xác thực 2 chiều
Hỗ trợ xác thực 2 chiều, sử dụng IEEE802.1X/EAP
Tương tự như WPA
Phương pháp đơn giản, không yêu cầu về năng lực phần cứng cao
Tương đối phức tạp hơn WEP nhưng cũng không yêu cầu cao về phần cứng
Phức tạp, yêu cầu cao về năng lực sử lý phần cứng Thích hợp với mạng quy mô nhỏ Phù hợp với cả mạng quy mô nhỏ và trung bình Phù hợp với các mạng lớn, quy mô cỡ doanh nghiệp
Kết luận (adsbygoogle = window.adsbygoogle || []).push({});
Chương này đã trình bày về những điểm yếu kém của phương thức bảo mật WEP từ xác thực cho đến mã hóa, những kiểu tấn công thường gặp có thể phá vỡ bảo mật WEP, và nêu ra cách tối ưu WEP, một số phương thức thay thế khác như đang nghiên cứu và phát triển phương thức WEP không chuẩn, hoặc sử dụng bảo mật WPA/WPA2.
KẾT LUẬN
Mặc dù có những nhược điểm nghiêm trọng, bảo mật WEP vẫn tốt hơn là không dùng cơ chế mã hóa nào cho mạng không dây!. WEP có thể được xem như là một cơ chế bảo mật ở mức độ thấp nhất, cần thiết được triển khai khi không thể sử dụng các biện pháp khác tốt hơn. Điều này phù hợp cho các tình huống sử dụng các thiết bị không dây cũ chưa có hỗ trợ WPA, hoặc các tình huống có yêu cầu về độ bảo mật thấp như mạng không dây gia đình, mạng không dây cộng đồng …
Do đó em đã chọn hướng nghiên cứu của đề tài này là “Điểm yếu của bảo mật WEP và các phương thức thay thế”. Sau thời gian thực hiện, em đã hoàn thành chuyên đề với các nội dung chính sau:
1. Tìm hiểu về mạng WireLess Lan, các mô hình và vấn đề về an ninh trong mạng không dây.Tìm hiểu về nguyên lí hoạt động của WEP. Cơ chế xác thức và mã hóa.
2. Tổng quan về phương pháp bảo mật WEP như định nghĩa, các quá trình xác thực và mã hóa, cơ chế hoạt động…
3. Tìm hiểu những điểm yếu trong phương pháp bảo mật WEP như xác thực, mã hóa và đề cập đến các phương thức bảo mật tốt hơn như nghiên cứu WEP không chuẩn.
Trong quá trình thực hiện chuyên đề này, em được hướng dẫn, giúp đỡ và hỗ trợ của thầy giáo Hoàng Trọng Minh. Em xin trân trọng gửi lời cảm ơn sâu sắc đến Ths.Hoàng Trọng Minh - Học Viện Công Nghệ Bưu Chính Viễn Thông - Hà Nội – người thầy đã trực tiếp, tận tình hướng dẫn, định hướng nội dung và luôn giải đáp những thắc mắc của em.
Tuy nhiên do còn nhiều hạn chế khách quan, kiến thức và không có kinh nghiệm thực tế nên chuyên đề của em không tránh khỏi những thiếu sót, em mong nhận được sự góp ý của thầy cô giáo và các bạn để ngày càng hoàn thiện thêm kiến thức của mình. Xin trân trọng cảm ơn./.
TÀI LIỆU THAM KHẢO
1. Jon Edney, William A.Arbaugh, “Real 802.11 Security: Wi-Fi Protected Access and 802.11i” July 15, 2003
2. Harry G. Perros , “Connection-oriented Networks SONET/SDH, ATM, MPLS and OPTICAL network” John Wiley & Sons Ltd, The Atrium, Southern Gate, Chichester, West Sussex PO19 8SQ, England, 2005.
3. Kevin H. Liu, “IP over WDM”, QOptics Inc, Oregon, USA, 2002.
4. Joan Serrat and Alex Galis, “Deploying and managing IP over WDM networks”. For a complete listing of the Artech House Telecommunications Library, ARTECH HOUSE, INC, 685 Canton Street ,Norwood, MA 02062, 2003. 5. Biswanath Mukherjee-,“Optical WDM network”, University of California, Davis, CA 95616 USA, 2006.
Jinhui Xu, Chunming Qiao, Jikai Li, and Guang Xu, “Efficient Channel Scheduling Algorithms in Optical Burst Switched Networks”, Department of Computer Science and Engineering, State University of New York at Buffalo, 201 Bell Hall, Buffalo, NY 14260, USA, 200