TỔNG QUAN VỀ AN NINH MẠNG WLAN
5.2.2. Chuẩn an ninh IEEE 802.11i * CCMP
* CCMP
Giao thức an ninh hoạt động ở tầng liên kết dữ liệu sử dụng AES được gọi là CCMP (giao thức Chế độ đếm kết hợp CBC-MAC). CCMP là chế độ hoạt động kết hợp trong đó cùng một khóa vừa được sử dụng để mã hóa và đảm bảo toàn vẹn cho dữ liệu.
TỔNG QUAN VỀ AN NINH MẠNG WLAN
* CCMP
+ Chế độ đếm kết hợp CBC-MAC (CCM)
Chế độ đếm (counter mode) hay còn gọi chế độ CTR hoạt động theo phương thức: sử dụng một giá trị bình thường (gọi là số đếm), thực hiện mã hóa giá trị này rồi XOR với khối dữ liệu để tạo ra dữ liệu đã mã hóa
Mã hóa theo chế độ đếm (Counter Mode)
TỔNG QUAN VỀ AN NINH MẠNG WLAN
* CCMP
+ Quá trình hoạt động của CCMP
Quá trình mã hóa CCMP
TỔNG QUAN VỀ AN NINH MẠNG WLAN
* CCMP
+ Quá trình hoạt động của CCMP
Cấu trúc khung tin CCMP
TỔNG QUAN VỀ AN NINH MẠNG WLAN
* RSN
Bên cạnh TKIP và CCMP, chuẩn 802.11i định nghĩa một kiểu mạng không dây mới gọi là mạng an toàn ổn định (RSN – Robust Security Network) – về bản chất là định nghĩa cây phân cấp khóa và tập các thủ tục sinh khóa (bên cạnh các phương pháp mã hóa đã được lựa chọn). Như vậy, về khía cạnh nào đó, RSN cũng tương tự như mạng không dây sử dụng WEP.
TỔNG QUAN VỀ AN NINH MẠNG WLAN
* Những điểm yếu an ninh của 802.11i
• Khóa phiên được sử dụng để mã hóa trong TKIP hoàn toàn có thể thu được nếu như lấy
được nhiều hơn 2 khóa RC4 (được sinh ra với cùng một giá trị của 32 bit đầu trong TKIP IV).
• Chế độ sử dụng PSK mặc dù cho phép đơn giản hóa việc triển khai TKIP trên phạm vi
nhỏ, nhưng khả năng an toàn lại không cao hơn WEP
• Việc sử dụng mã Michael làm mã toàn vẹn cho thông điệp cũng không đảm bảo được
khả năng giả mạo khung tin
• Chế độ mạng hỗn hợp trong 802.11i cho phép kẻ tấn công thực hiện kiểu tấn công quay
lui mức độ an ninh (Security Level Rollback attack)
TỔNG QUAN VỀ AN NINH MẠNG WLAN
5.2.3. WPA / WPA2
Chuẩn WPA (Truy cập Wi-Fi có bảo vệ) được liên minh Wi-Fi đề xuất (2002) nhằm tạo ra một giải pháp an ninh tạm thời cho mạng không dây trong điều kiện WEP thì quá yếu còn 802.11i vẫn đang trong giai đoạn xây dựng. Về thực chất, chuẩn WPA là một tập con của RSN, sử dụng phương pháp mã hóa TKIP thay thế cho WEP
TỔNG QUAN VỀ AN NINH MẠNG WLAN
Các giải pháp khác
Các giải pháp an ninh khác dành cho mạng hữu tuyến cũng được áp dụng hoặc được sửa đổi để áp dụng vào mạng không dây như: mạng riêng ảo (VPN), Ipsec, SSH, hệ thống phát hiện xâm nhập (IDS)… Các giải pháp này một mặt thường hoạt động ở tầng trên so với tầng liên kết dữ liệu, mặt khác đòi hỏi nhiều chi phí để triển khai nên khó thích hợp cho việc triển khai rộng rãi. Tuy vậy, chúng vẫn được các tổ chức sử dụng như là các biện pháp tăng cường.
TỔNG QUAN VỀ AN NINH MẠNG WLAN
Tổng kết
Chương này đã giới thiệu các giải pháp an ninh chủ yếu được áp dụng cho mạng 802.11. Việc tập trung đi sâu vào nghiên cứu các phương pháp mã hóa và đảm bảo tính toàn vẹn trong các phương pháp này nhằm đưa ra một cái nhìn tổng quát về quá trình phát triển cũng như cải tiến của các phương pháp này. Trong đó, chuẩn an ninh WEP được coi là không đủ để đảm bảo an ninh cho mạng 802.11, chuẩn TKIP được đưa ra như một giải pháp chuyển đổi trong khi chờ các phần cứng 802.11 cũ được nâng cấp để hỗ trợ cho CCMP. Giải pháp CCMP được đưa như một giải pháp mới, toàn diện để tránh những rủi ro kế thừa từ chuẩn WEP – điều mà TKIP vẫn bị ảnh hưởng. CCMP sử dụng thuật toán mã hóa AES để mã hóa dữ liệu và thuật toán CBC-MAC để tính toán và kiểm tra tính toàn vẹn của dữ liệu - là hai thuật toán đã đạt được niềm tin trong cộng đồng bảo mật về tính an toàn của chúng.
TỔNG QUAN VỀ AN NINH MẠNG WLAN