Toàn bộ tiến trình xác thực và kết nối gồm 3 trạng thái khác nhau: Chưa xác thực và chưa kết nối Đã xác thực và chưa kết nối Đã xác thực và đã kết nối 1.4.5 Các phương thức xác thực Hệ thống mở (Open System) Hình 1.11 Quy trình xác nhận của hệ thống mở
Đây là dạng hệ thống không quản lý quyền truy cập. Người dùng chỉ cần chỉ định định danh (BSSID) của WLAN là có thể truy cập vào hệ thống. Dạng xác nhận này thường được dùng ở những nơi truy cập công cộng như Internet Café, nhà ga, sân bay…
Quá trình này thực hiện đơn giản theo hai bước sau:
1. Máy client gửi một yêu cầu liên kết tới Access Point.
2. Access Point chứng thực máy client và gửi một trả lời xác thực client được liên kết
Phương pháp này thì đơn giản và bảo mật hơn phương pháp chứng thực khóa chia sẻ, phương pháp này được 802.11 cài đặt mặc định trong các thiết bị WLAN. Sử dụng phương pháp này một trạm có thể liên kết với bất cứ một AP nào sử dụng phương pháp chứng thực hệ thống mở khi nó có SSID đúng. SSID đó phải phù hợp trên cả AP và Client. Trước khi Client đó hoàn thành quá trình chứng thực. Quá trình chứng thực hệ thống mở dùng cho cả môi trường bảo mật và môi trường không bảo mật. Trong phương pháp này thì WEP chỉ được sử dụng để mã hóa dữ liệu, nếu có.
34
Hình 1.12 Chứng thực trong hệ thống mở.
Xác thực khóa chia sẽ (Shared-key)
Quản lý việc truy cập hệ thống thông qua một khóa (hay mật khẩu ) quy định trước. Access Point kiểm tra khóa của station (đã được cung cấp thông qua một hình thức nào đó), nếu khóa station cung cấp trùng với khóa của Access Point đang giữ, thì Access Point xác nhận thông tin truy cập là hợp lệ. Station sau đó có thể truy cập vào hệ thống. Ngược lại, Station sẽ bị từ chối. Quy trình xác nhận này còn được gọi là quy trình xác nhận 4 chiều (Handshake 4 ways).
Quy trình xác nhận diễn ra như sau:
Hình 1.13 Quy trình xác nhận của hệ thống dùng khóa chia sẽ Phương pháp này bắt buộc phải dùng WEP.
35
Access Point nhận được yêu cầu sẽ tạo ra một giá trị thăm dò, challenge, ngẫu nhiên và gởi giá trị thăm dò challenge đến station.
Station nhận được giá trị thăm dò challenge, dùng khóa quy ước để mã hoá challenge và gởi challenge đã mã hóa đến Access Point.
Access Point dùng khóa quy ước để giải mã thông điệp do station gởi đến và so sánh giá trị thăm dò challenge nhận được với challenge đã tạo trước đó. Nếu thấy 2 giá trị này là trùng khớp, Access Point sẽ cho phép station truy cập vào hệ thống.
Nhìn qua thì phương pháp này có vẻ an toàn hơn phương pháp chứng thực hệ thống mở, nhưng nếu xem xét kỹ thì trong phương pháp này, chìa khóa Wep được dùng cho hai mục đích, để chứng thực và để mã hóa dữ liệu, đây chính là kẽ hở để hacker có cơ hội thâm nhập mạng. Hacker sẽ thu cả hai tín hiệu, văn bản chưa mã hóa do AP gửi và văn bản đã mã hóa, do Client gửi, và từ hai thông tin đó hacker có thể giải mã ra được chìa khóa WEP.
Hệ thống dùng cho doanh nghiệp (Enterprise System)
Bảo vệ sự truy cập vào hệ thống thông qua một authentication server – AS (thường gọi là RADIUS server). Đối với hệ thống này, Access Point không đóng vai trò xác nhận người dùng mà nó chỉ đóng vai trò là thiết bị trung gian truyền các thông điệp xác nhận giữa station và authentication server. Việc xác nhận quyền truy cập sẽ do authentication server đảm nhận.
Trong hệ thống này, authentication server sẽ quản lý thông tin các user hợp lệđược phép truy cập vào hệ thống. Trong quá trình xác nhận, station sẽ cung cấp cho authentication server username và password của họ, authentication server sẽ xác nhận là username và password đó có hợp lệ hay không.
Kết thúc quá trình xác nhận, authentication server sẽ thông báo cho Access Point biết station đó có được phép truy cập vào hệ thống hay không dựa vào kết quả xác nhận ở bước trên.
36
Hình 1.14 Quy trình xác nhận của hệ thống dùng cho doanh nghiệp
1.4.6 Các giao thức xác thực nổi bật
Có nhiều giải pháp và giao thức xác thực bảo mật hiện nay bao gồm mạng riêng ảo VPN (Vỉtual Private Network) và 802.1X sử dụng giao thức xác thực có thể mở rộng EAP (Extensible Authentication Protocol). Các giải pháp bảo mật này sẽ chuyển việc xác thực từ AP sang một máy chủ xác thực (client phải đợi trong suốt tiến trình xác thực này).
802.1x và EAP
Chuẩn 802.1x cung cấp những chi tiết kỹ thuật cho sự điều khiển truy nhập thông qua những cổng cơ bản. Sựđiều khiển truy nhập thông qua những cổng cơ bản được khởi đầu, và vẫn đang được sử dụng với chuyển mạch Ethernet. Khi người dùng thử nối tới cổng Ethernet, cổng đó sẽ đặt kết nối của người sử dụng ở chế độ khóa và chờ đợi sự xác nhận người sử dụng của hệ thống chứng thực.
Giao thức 802.1x đã được kết hợp vào trong hệ thống WLAN và gần như trở thành một chuẩn giữa những nhà cung cấp. Khi được kết hợp giao thức chứng thực mở (EAP), 802.1x có thể cung cấp một sơ đồ chứng thực trên một môi trường an toàn và linh hoạt.
EAP, được định nghĩa trước tiên cho giao thức point-to-point (PPP), là một giao thức để chuyển đổi một phương pháp chứng thực. EAP được định nghĩa trong RFC 2284 và định nghĩa những đặc trưng của phương pháp chứng thực, bao gồm những vấn đề người sử dụng được yêu cầu (password, certificate, v.v), giao thức được sử dụng (MD5, TLS, GMS, OTP,
37
v.v), hỗ trợ sinh chìa khóa tựđộng và hỗ trợ sự chứng thực lẫn nhau. Có lẽ hiện thời có cả tá loại EAP trên thị trường, một khi cả những người sử dụng công nghệ và IEEE đều không đồng ý bất kỳ một loại riêng lẽ nào, hoặc một danh sách nhỏ các loại, để từđó tạo ra một chuẩn.
Hình 1.15 Quá trình chứng thực 802.1x-EAP
Mô hình chứng thực 802.1x-EAP thành công thực hiện như sau: 1. Client yêu cầu liên kết tới AP
2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP 3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP
4. Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng thực
5. Server chứng thực gửi một yêu cầu cho phép tới AP 6. AP chuyển yêu cầu cho phép tới client
38
8. AP chuyển sự trả lời đó tới Server chứng thực
9. Server chứng thực gửi một thông báo thành công EAP tới AP
10. AP chuyển thông báo thành công tới client và đặt cổng của client trong chếđộ forward.
Một số kiểu xác thực EAP phổ biến:
EAP-MD5 challenge: đây là kiểu xác thực EAP được đưa ra sớm nhất, hoàn toàn giống với xác thực CHAP trong mạng có dây. EAP-MD5 đại diện cho xác thực EAP ở mức cơ bản mà các thiết bị 802.1x hỗ trợ.
EAP-Cisco Wireless: thường gọi là giao thức xác thực có thể mở rộng hạng nhẹ LEAP (Lightweight Extensible Authentication Protocol), kiểu xác thực EAP này được sử dụng chủ yếu trong các AP không dây của Cisco. LEAP cung cấp bảo mật trong suốt quá trình trao đổi khởi tạo ban đầu, mã hóa dữ liệu truyền sử dụng khóa WEB tựđộng sinh ra và hỗ trợ xác thực qua lại.
EAP-TLS (Transport Layer Security): cung cấp xác thực dựa trên giấy chứng nhận (certificate-based), xác thực lẫn nhau. EAP-TLS dựa trên các certificate ở phía client và phía server để thực hiện xác thực, sử dụng khóa WEB tựđộng sinh ra dựa trên người dùng (user-based) và dựa trên phiên làm việc (session-based) để bảo mật kết nối.
EAP-TTLS (tunneled TLS): EAP-TTLS là một mở rộng của EAP-TLS, cung cấp xác thực dựa trên certificate, xác thực lẫn nhau cho các client trên mạng. EAP-TTLS chỉ yêu cầu bên phía server nên giảm được sự cần thiết phải cấu hình certificate trên các client. EAP-TTLS cung cấp đường hầm bảo mật khi xác thực client bằng các bản ghi TLS, đảm bảo rằng người dùng được bảo vệ khởi bị nghe lén trên đường truyền không dây. Khóa WEB tựđộng sinh ra dựa trên người dùng (user-based) và dựa trên phiên làm việc (session- based) để bảo mật kết nối.
EAP-SRP (Secure Remote Password): SRP là một giao thức xác thực dựa trên mật mã, nó cũng là giao thức trao đổi khóa. Nó giải quyết các vấn đề làm sao đảm bảo việc xác thực người dùng với máy chủđược thực hiện một cách bảo mật và giúp cho người sử dụng khỏi
39
phải nhớ các mật mã hay các thông tin mật khác. Máy chủ sẽ thực hiện xác thực cho mỗi người dùng, tuy nhiên nếu máy chủ bị tổn thương, kẻ tấn công cũng không thể giả dạng người dùng đểđăng nhập vào mạng. SRP sẽ trao đổi các mật mã mạnh một cách bảo mật, cho phép hai bên có thể truyền thông một cách an toàn.
EAP-SIM (GSM-Global System for Mobile communication): EAP-SIM là một cơ chế cho mạng IP di động (Mobile IP) để xác thực truy cập và đăng ký sinh khóa sử dụng GSM Subcriber Identify Module (SIM).
Giải pháp VPN
Những nhà sản xuất WLAN ngày càng tăng các chương trình phục vụ mạng riêng ảo – VPN - trong các AP, Gateway, cho phép dùng kỹ thuật VPN để bảo mật cho kết nối WLAN. Khi VPN server được xây dựng vào AP, các client sử dụng phần mềm Off-the-shelf VPN, sử dụng các giao thức như PPTP hoặc Ipsec để hình thành một đường hầm trực tiếp tới AP. Trước tiên client liên kết tới điểm truy nhập, sau đó quay số kết nối VPN, được yêu cầu thực hiện để client đi qua được AP. Tất cả lưu lượng được thông qua đường hầm, và có thể được mã hóa để thêm một lớp an toàn. Hình 1.16 sau đây mô tả một cấu hình mạng như vậy:
Sự sử dụng PPTP với những bảo mật được chia sẻ rất đơn giản để thực hiện và cung cấp một mức an toàn hợp lí, đặc biệt khi được thêm mã hóa WEP. Sự sử dụng Ipsec với những bí mật dùng chung hoặc những sự cho phép là giải pháp chung của lựa chọn giữa những kỹ năng bảo mật trong phạm vi hoạt động này. Khi VPN server được cung cấp vào trong một Gateway, quá trình xảy ra tương tự, chỉ có điều sau khi client liên kết với AP, đường hầm VPN được thiết lập với thiết bị gateway thay vì với bản thân AP.
40
Hình 1.16 Wireless VPN
Cũng có những nhà cung cấp đang đề nghị cải tiến cho những giải pháp VPN hiện thời của họ (phần cứng hoặc phần mềm) để hỗ trợ các client không dây và để cạnh tranh trên thị trường WLAN. Những thiết bị hoặc những ứng dụng này phục vụ trong cùng khả năng như gateway, giữa những đoạn vô tuyến và mạng hữu tuyến. Những giải pháp VPN không dây khá đơn giản và kinh tế. Nếu một admin chưa có kinh nghiệm với các giải pháp VPN, thì nên tham dự một khóa đào tạo trước khi thực hiện nó. VPN mà hỗ trợ cho WLAN được thiết kế một cách khá đơn giản, có thể được triển khai bởi một người đang tập sự, chính điều đó lí giải tại sao các thiết bị này lại phổ biến như vậy đối với người dùng.
1.5 Các giải pháp bảo mật trên WLAN
Ngoài việc kế thừa những yêu cầu về bảo mật cần có từ mạng hữu tuyến, mạng máy tính không dây cần có những phương pháp bảo đảm an ninh riêng. Chuẩn IEEE 802.11 quy định 3 mục tiêu an ninh cần có cho mạng 802.11 bao gồm:
Tính xác thực (Authentication): Nhằm đảm bảo chỉ những thiết bịđược phép (đã xác thực) mới có thể truy cập vào điểm truy cập sử dụng dịch vụ.
Tính bí mật (Condifidentislity): Là sự bảo vệ dữ liệu truyền đi khỏi những cuộc tấn công bịđộng.
41
Tính toàn vẹn (Integrity): Đảm bảo dữ liệu không bị sửa đổi trong quá trình truyền qua mạng
Với ba mục tiêu này, chuẩn 802.11 sử dụng 3 phương pháp là xác thực, mã hóa và kiểm tra tính toàn vẹn nhằm đảm bảo tính an toàn cho môi trường mạng.
1.5.1 Các mức bảo vệ an toàn mạng
Vì không có một giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng nhiều mức bảo vệ khác nhau tạo thành nhiều lớp "rào chắn" đối với hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cất giữ trong các máy tính, đăc biệt là trong các server của mạng. Hình sau mô tả các lớp rào chắn thông dụng hiên nay để bảo vệ thông tin tại các trạm của mạng.
Hình 1.17 Các mức độ bảo vệ mạng
Như hình minh họa trong hình trên, các lớp bảo vệ thông tin trên mạng gồm:
Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên ( ở đây là thông tin) của mạng và quyền hạn ( có thể thực hiện những thao tác gì) trên tài nguyên đó. Hiên nay việc kiểm soát ở mức này được áp dụng sâu nhất đối với tệp
Lớp bảo vệ tiếp theo là hạn chế theo tài khoản truy nhập gồm đăng ký tên/ và mật khẩu tương ứng. Đây là phương pháp bảo vệ phổ biến nhất vì nó đơn giản, ít tốn kém và cũng rất có hiệu quả. Mỗi người sử dụng muốn truy nhập được vào mạng sử dụng các tài nguyên đều phải đăng ký tên và mật khẩu. Người quản trị hệ thống có trách nhiêm quản lý, kiểm
42
soát mọi hoạt động của mạng và xác định quyền truy nhập của những người sử dụng khác tùy theo thời gian và không gian.
Lớp thứ ba là sử dụng các phương pháp mã hóa (encrytion). Dữ liệu được biến đổi từ dạng " đọc được" sang dạng không " đọc được" theo một thuật toán nào đó. Chúng ta sẽ xem xét các phương thức và các thuật toán mã hóa được sủ dụng phổ biến ở phần dưới đây.
Lớp thứ tư: là bảo vệ vật lý ( physical protection) nhằm ngăn cản các truy nhập bất hợp pháp vào hệ thôngd. Thường dùng các biện pháp truyền thống như ngăn cấm người không có nhiệm vụ vào phòng đặt máy, dùng hệ thống khóa trên máy tính, cài đặt các hệ thống báo động khi có truy nhập vào hệ thống..
Lớp thứ năm: Cài đặt các hệ thống tường lửa (firewall), nhằm ngăn chặn cá thâm nhập trái phép và cho phép lọc các gói tin mà ta không muốn gửi đi hoặc nhân vào vì một lý do nào đó.
1.5.2 Wired Equivalent Privacy (WEP)
WEP (Wired Equivalent Privacy – Tính bí mật tương đương mạng hữu tuyến) là cơ chế bảo mật đầu tiên khi chuẩn 802.11 ra đời.
WEP có thể dịch là chuẩn bảo mật dữ liệu cho mạng không dây mức độ tương đương với mạng có dây, là phương thức chứng thực người dùng và mã hóa nội dung dữ liệu truyền trên mạng LAN không dây (WLAN). Chuẩn IEEE 802.11 quy định việc sử dụng WEP như một thuật toán kết hợp giữa bộ sinh mã giả ngẫu nhiên PRNG (Pseudo Random Number Generator) và bộ mã hóa luồng theo kiểu RC4. Phương thức mã hóa RC4 thực hiện việc mã hóa và giải mã khá nhanh, tiết kiệm tài nguyên, và cũng đơn giản trong việc sử dụng nó ở các phần mềm khác.
Chúng ta đã biết WEP là một thuật toán bảo nhằm bảo vệ sự trao đổi thông tin chống lại sự nghe trộm, chống lại những kết nối mạng không được cho phép cũng như chống lại việc thay đổi hoặc làm nhiễu thông tin truyền. WEP sử dụng stream cipher RC4 cùng với một mã 40 bit và một số ngẫu nhiên 24 bit (initialization vector - IV) để mã hóa thông tin. Thông tin mã hóa được tạo ra bằng cách thực hiện phép toán XOR giữa keystream và plain
43
text. Thông tin mã hóa và IV sẽđược gửi đến người nhận. Người nhận sẽ giải mã thông tin dựa vào IV và khóa WEP đã biết trước.
WEP sử dụng một khoá mã hoá không thay đổi có độ dài 64 bit hoặc 128 bit, (nhưng trừđi 24 bit sử dụng cho vector khởi tạo khoá mã hoá, nên độ dài khoá chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thực các thiết bịđược phép truy cập vào trong mạng và cũng được sử dụng để mã hoá truyền dữ liệu.