Bảo mật WLAN

Một phần của tài liệu Giáo trình mạng máy tính (nghề kỹ thuật sửa chữa, lắp ráp máy tính cao đẳng) (Trang 87 - 93)

1. Cụng nghệ WLAN

1.5. Bảo mật WLAN

Tại sao phi bo mt WLAN?

Bảo mật là một trong những khuyết điểm lớn nhất của mạng WLAN

Bảo mật là một trong những khuyết điểm lớn nhất của mạngWLAN. Do điều kiện

truy cập của loại mạng này, mà khả năng truy cập của thiết bị ngoài trong khụng gian phỏt súng là vụ cựng lớn. Đồng thời, khả năng nhiễu súng cũng khụng thể trỏnh khỏi. Để sử dụng mạng WLAN an toàn, chỳng ta cần phải bảo mật WLAN.

Bảo mật mạng WLAN giỳp sử dụng và kết nối mạng an toàn

Để cung cấp mức bảo mật tối thiểu cho mạng WLAN thỡ ta cần sự cú mặt của hai yếu tố sau:

Cỏch thức để xỏc định quyền sử dụng WLAN. Được thực hiện bằng cơ chế

xỏc thực.

Một phương thức để cung cấp tớnh riờng tư cho cỏc dữ liệu khụng dõy. Được

thực hiện bằng một thuật toỏn mó húa.

Mó húa WLAN là gỡ?

Mó húa là biến đổi dữ liệu để chỉ cú cỏc thành phần được xỏc nhận mới giải mó được nú. Trong mó húa, cú hai loại mật mó với cỏch thức sinh ra một chuỗi khúa (key stream) từ một giỏ trị khúa bớ mật.

• Mật mó dũng (stream ciphers): Mật mó dũng mó húa theo từng bit. Điều này làm phỏt sinh chuỗi khúa liờn tục dựa trờn giỏ trị của khúa.

• Mật mó khối (block ciphers): Ngược lại với mật mó dũng. Mật mó khối sinh ra một chuỗi khúa duy nhất cú kớch thước cố định. Chuỗi kớ tự chưa được mó húa (plaintext) sẽ được phõn mảnh thành những khối (block). Mỗi khối sẽ được trộn với chuỗi khúa một cỏch độc lập.

WEP là một tiờu chuẩn bảo mật mạng khụng dõy Wi-Fi

WEP là viết tắt của cụm từ Wired Equivalent Privacy. WEP được định nghĩa là một tiờu chuẩn bảo mật mạng khụng dõy Wi-Fi. Từ đú, bạn cú thể hiểu, khúa WEP là một loại mật mó bảo mật cho cỏc thiết bị Wi-Fi. Cỏc khúa WEP cho phộp một nhúm cỏc thiết bị trờn mạng cục bộ trao đổi cỏc thụng điệp được mó húa với nhau trong khi ẩn nội dung của cỏc tin nhắn do người ngoài xem.

Cú thể núi, khúa WEP là yếu tố cơ bản cho thuật toỏn mó húa. Khúa WEP cú thể được sử dụng theo 2 cỏch:

• Dựng để mó húa dữ liệu

• Dựng để định danh xỏc thực client

Cỏc giải phỏp bảo mật VPN nổi bật

Cú nhiều giải phỏp bảo mật giỳp mạng WLAN chống lại kẻ tấn cụng

Bảo mật là một trong những vấn đề quan trọng nhất trong mạngWLAN. Tuy nhiờn,

người dựng cú thể hoàn toàn yờn tõm vỡ hiện tại trờn thị trường tồn tại rất nhiều giải phỏp bảo mật VPN nổi bật, cú thể kể đến như:

• WLAN VPN

• TKIP (Temporal Key Integrity Protocol) • AES (Advanced Encryption Standard) • 802.1x và EAP

• WPA (Wi-Fi Protected Access) • WPA 2

• WPA3

• WLAN Wifi Alliance • WLAN SAE

• Lọc (Filtering)

Mạng riờng ảo VPN bảo vệ mạng WLAN bằng cỏch tạo ra một kờnh cú khả năng che chắn dữ liệu khỏi cỏc truy cập trỏi phộp. VPN sử dụng cơ chế bảo mật IPSec từ

đú tạo ra độ tin cậy cao. IPSec là viết tắt của Internet Protocol Security.

TKIP (Temporal Key Integrity Protocol)

TKIP dựng hàm băm (hashing) IV để chống lại việc giả mạo gúi tin. Cũng dựng để xỏc định tớnh toàn vẹn của thụng điệp MIC (message integrity check). Nhằm mục đớch đảm bảo sự minh bạch của gúi tin. Khúa động của TKIP cài đặt cho mỗi frame cú chức năng chống lại dạng tấn cụng giả mạo.

AES (Advanced Encryption Standard)

Được phờ chuẩn bởi NIST (National Institute of Standard and Technology), AES cú thể đỏp ứng cỏc nhu cầu của người dựng trờn mạngWLAN. Trong đú, chế độ đặc biệt

này của AES được gọi là CBC-CTR (Cipher Block Chaining Counter Mode) với CBC-MAC (Cipher Block Chaining Message Authenticity Check).

802.1x và EAP

Theo IEEE, 802.1x là chuẩn đặc tả cho việc truy cập Internet thụng qua cổng (port- based). Đõy là giải phỏp cú thể hoạt động trờn cả mụi trường đường truyền cú dõy lẫn khụng dõy. Trong đú, việc điều khiển truy cập được thực hiện bằng cỏch tạm thời chặn người dựng cho đến khi quỏ trỡnh thẩm định hoàn tất.

EAP là phương thức xỏc thực bao gồm yờu cầu định danh người dựng (password, certificate,…), giao thức được sử dụng và hỗ trợ tự động sinh khúa và xỏc thực lẫn nhau.

WPA (Wi-Fi Protected Access)

WPA là giải phỏp cụng nghệ thay thế cho WEP vốn cũn nhiều khuyết điểm. Một

trong những cải tiến quan trọng của WPA là sử dụng hàm thay đổi khoỏ TKIP (Temporal Key Integrity Protocol) và kiểm tra tớnh toàn vẹn của thụng tin (Message Integrity Check).

WPA 2

WPA 2 là giải phỏp lõu dài được chứng nhận bởi Wi-Fi Alliance và sử dụng sử dụng 802.11i. Với thuật toỏn mó húa nõng cao AES (Advanced Encryption Standard),

WPA 2 được nhiều cơ quan chớnh phủ Mỹ sử dụng để bảo vệ cỏc thụng tin nhạy cảm.

WPA3

WLAN Wifi Alliance

Sự đỏp trả của Wifi Alliance trong WPA3 là rất mạnh mẽ. Vớ dụ như khi hệ thống

mạng bị tấn cụng hoặc bẻ khúa thỡ WPA3 vẫn cú khả năng cung cấp mó húa cho người dựng. Như vậy sẽ ngăn chặn được sự tấn cụng của những Hacker.

Hơn nữ Wifi Alliance cũn cú khả năng tăng cường bảo vệ quyền riờng tư, bảo mật cỏc dữ liệu của người dựng nhờ PMF.

WLAN SAE là gỡ?

SAE chỉ là một giao thức trao đổi key mới được tớch hợp trong phương phỏp bảo mật WPA3. Mục đớch của giao thức này chớnh là giải quyết lỗ hổng KRACK.

Ưu điểm nổi bật của giao thức này đú là khả năng chống lại cỏc cuộc tấn cụng giải mó ngoại tuyến thụng qua việc cung cấpForward Secrecy. Tỏc dụng của việc cung cấp

Forward Secrecy là cú thể ngăn chặn lại sự tấn cụng của kẻ thự kể cả khi chỳng đó biết mật khẩu.

Lọc (Filtering)

Filtering là cơ chế bảo mật cơ bản cú thể sử dụng cựng với WEP. Cơ chế này cho

phộp những thiết bị mong muốn và cấm những thiết bị khụng mong muốn truy cập vào. Cú 3 kiểu lọc cơ bản cú thể được sử dụng trong hệ thống mạng khụng dõy nội bộ:

• Lọc SSID: thường được sử dụng trong cỏc điều khiển truy cập cơ bản. Trong đú, SSID của client phải khớp với SSID của AP để cú thể xỏc thực và kết nối với tập dịch vụ.

• Lọc địa chỉ MAC: là chức năng tồn tại trong hầu hết cỏc AP. Nếu client cú địa chỉ MAC khụng nằm trong danh sỏch lọc địa chỉ MAC của AP thỡ AP sẽ ngăn chặn khụng cho phộp client đú kết nối vào mạng.

• Lọc giao thức: được sử dụng trong cỏc mạng WLAN khụng dõy để lọc cỏc gúi đi qua mạng dựa trờn cỏc giao thức từ lớp 2 đến lớp 7.

Nờn lựa chọn giải phỏp bảo mật WLAN nào?

WPA2 vẫn đang là tiờu chuẩn mó húa Wifi an toàn nhất hiện nay. Tiờu

chuẩn WPA2 tớnh đến cả lỗ hổng KRACK.

Bảo mật WEP lại rất dễ bị bẻ khúa. Hiện nay tiờu chuẩn mó húa này khụng

được sử dụng cho bất kỳ mục đớch nào. Nếu vẫn cũn sử dụng những thiết bị ỏp dụng chuẩn mó húa này thỡ người dựng nờn thay thế để tăng cường độ bảo mật cho WLAN.

Mặc dự chưa được đưa vào sử dụng, người dựng cũng khụng nờn quỏ mong đợi vào chuẩn WPA3. Bởi cho dự là tiờu chuẩn mó húa nào đi chăng

nữa thỡ cũng sẽ khụng cú khả năng bảo mật tất cả cỏc thiết bị trong nhỏy mắt. Việc đưa ra một tiờu chuẩn mó húa mới và ỏp dụng lõu dài là cả một quỏ trỡnh.

Tiờu chuẩn bảo mật WLAN mà Mắt Bóo khuyờn dựng là gỡ?

• Tiờu chuẩn bảo mật wifiWPA2 vẫn là chuẩn bảo mật wifi tốt nhất mà bạn nờn

lựa chọn và sử dụng cho hệ thống mạng của mỡnh.

Cỏc kiểu tấn cụng mạng WLAN là gỡ?

Mạng WLAN thường xuất hiện một số hỡnh thức tấn cụng sau: • Rogue Access Point

De-authentication Flood Attack (tấn cụng yờu cầu xỏc thực lại)

Fake Access Point

Tấn cụng dựa trờn sự cảm nhận súng mang lớp vật lý

Tấn cụng ngắt kết nối (Disassociation flood attack)

Kẻ tấn cụng thường tỡm cỏch làm nhiễu loạn thụng tin hoặc ngắt người dựng khỏi kết nối WLAN

Rogue Access Point

Access Point giả mạo (Rogue Access Point) là cụm từ được dựng để mụ tả những AP

được tạo ra một cỏch vụ tỡnh hoặc cố ý nhằm làm ảnh hưởng đến hệ thống mạng khụng dõy hiện cú. Cú nhiều cỏch để phõn loại cỏc AP giả mạo. Trong đú, bốn loại AP giả mạo thường gặp trong mạng WLAN là:

• Access Point được cấu hỡnh khụng hoàn chỉnh • Access Point giả mạo từ cỏc mạngWLAN lõn cận

• Access Point giả mạo do kẻ tấn cụng tạo ra

• Access Point giả mạo được thiết lập bởi chớnh nhõn viờn của cụng ty

De-authentication Flood Attack (tấn cụng yờu cầu xỏc thực lại)

De-authentication Flood Attack được tạo ra nhằm hướng đến cỏc mục tiờu tấn cụng

là người dựng đang kết nối và giao tiếp trong mạng khụng dõy. Trong đú, người dựng sẽ nhận được cỏc frame yờu cầu xỏc thực thụng tin giả mạo địa chỉ MAC nguồn và đớch từ kẻ tấn cụng. Khi đú, người dựng sẽ bị ngắt khỏi dịch vụ liờn kết mạng WLAN và kẻ tấn cụng sẽ thực hiện cỏc bước tương tự với những người dựng khỏc.

Fake Access Point

VớiFake Access Point, kẻ tấn cụng sẽ gửi cỏc gúi beacon với địa chỉ vật lý (MAC) và

SSID giả để tạo ra nhiều điểm truy cập giả lập. Quỏ trỡnh này sẽ gõy xỏo trộn toàn bộ cỏc phần mềm điều khiển card mạng khụng dõy của người dựng trờn hệ thống.

Tấn cụng dựa trờn sự cảm nhận súng mang lớp vật lý

Với phương thức này, kẻ tấn cụng sẽ tỡm cỏch tạo ra lỗi nghẽn mạng vỡ nhầm lẫn tớn hiệu. Điều này cú thể được thực hiện bằng hỡnh thức tạo ra một nỳt giả truyền tin liờn tục đồng thời sử dụng bộ tạo tớn hiệu RF hoặc làm cho card mạng chuyển vào chế độ kiểm tra.

Phương thức này được thực hiện tuần tự theo cỏc bước sau:

• Kẻ tấn cụng xỏc định mục tiờu và mối liờn kết giữa điểm truy cập với cỏc clients. Sau đú sẽ gửi disassociation frame bằng cỏch giả mạo địa chỉ MAC nguồn và đớch đến AP với cỏc client tương ứng.

• Client sẽ nhận cỏc frame này và nghĩ rằng frame hủy kết nối đến từ AP.

• Kẻ tấn cụng tiếp tục thực hiện tương tự với cỏc client cũn lại làm cho cỏc client tự động ngắt kết nối với AP.

• Khi bị ngắt kết nối, client sẽ thực hiện kết nối lại với AP ngay lập tức. Kẻ tấn cụng sẽ tiếp tục gửi disassociation frame đến AP và client.

Một phần của tài liệu Giáo trình mạng máy tính (nghề kỹ thuật sửa chữa, lắp ráp máy tính cao đẳng) (Trang 87 - 93)

Tải bản đầy đủ (PDF)

(115 trang)