2.5.3.1 WEP
WEP (Wired Equivalent Privacy) là một giao thức đƣợc sử dụng trong mạng LAN, đƣợc định nghĩa trong chuẩn 802.11. WEP đƣợc xây dựng nhằm bảo vệ sự trao đổi thông tin chống sự nghe trộm, chống lại những kết nối mạng không đƣợc phép cũng nhƣ chống lại sự thay đổi hay làm nhiễu thông tin. Thực ra, WEP đã đƣa cả xác thực ngƣời dùng và đảm bảo an toàn dữ liệu vào cùng một phƣơng thức không an toàn.
WEP đƣa ra 3 mức an toàn: mức off (no security), 64-bit (weak security), 128-bit (stronger security), với các thiết bị truyền thông không dây thì tất cả phải sử dụng cùng kiểu mã hoá.
WEP sử dụng stream cipher RC4 cùng với một khoá mã hoá không thay đổi có độ dài 64 bit hoặc 128 bit, (nhƣng trừ đi 24 bit sử dụng cho vector khởi tạo khoá mã hoá,
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 27
nên độ dài khoá chỉ còn 40 bit hoặc 104 bit) đƣợc sử dụng để xác thực các thiết bị đƣợc phép truy cập vào trong mạng và cũng đƣợc sử dụng để mã hoá truyền dữ liệu.
WEP nổi tiếng là đơn giản vì các khoá mã hoá này dễ dàng bị "bẻ gãy" bởi thuật toán brute-force và kiểu tấn công thử lỗi (trial-and-error). Các phần mềm miễn phí nhƣ Airsnort hoặc WEP Crack sẽ cho phép hacker có thể phá vỡ khoá mã hoá nếu họ thu thập đủ từ 5 đến 10 triệu gói tin trên một mạng không dây. Với những khoá mã hoá 128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hoá nên chỉ có 104 bit đƣợc sử dụng để mã hoá, và cách thức cũng giống nhƣ mã hoá có độ dài 64 bit nên mã hoá 128 bit cũng dễ dàng bị bẻ khoá. Ngoài ra, những điểm yếu trong những vector khởi tạo khoá mã hoá giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông tin hơn rất nhiều.
WEP có thể đƣợc tạo ra cách bảo mật mạnh mẽ hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khoá mã hoá mới cho mỗi phiên làm việc. Khoá mã hoá sẽ thay đổi trên mỗi phiên làm việc. Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẻ gãy khoá bảo mật.
2.5.3.2 WLAN VPN
Hình 2.14: Mô hình mạng WLAN VPN
Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật nhƣ IPSec (Internet Protocol Security). IPSec dùng các thuật toán mạnh nhƣ Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 28
và dùng các thuật toán khác để xác thực gói dữ liệu. IPSec cũng sử dụng thẻ xác nhận số để xác nhận khóa mã (public key). Khi đƣợc sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa.
2.5.3.3 TKIP
TKIP (Temporal Key Integrity Protocol) là giải pháp của IEEE đƣợc phát triển năm 2004. Là một nâng cấp cho WEP nhằm vá những vấn đề bảo mật trong cài đặt mã dòng RC4 trong WEP. TKIP dùng hàm băm (hashing) IV để chống lại việc giả mạo gói tin, nó cũng cung cấp phƣơng thức để kiểm tra tính toàn vẹn của thông điệp MIC (Message Integrity Check ) để đảm bảo tính chính xác của gói tin. TKIP sử dụng khóa động bằng cách đặt cho mỗi frame một chuỗi số riêng để chống lại dạng tấn công giả mạo.
2.5.3.4 AES
Là một chức năng mã hóa đƣợc phê chuẩn bởi NIST (Nation Instutute of Standard and Technology). IEEE đã thiết kế một chế độ cho AES để đáp ứng nhu cầu của mạng WLAN. Chế độ này đƣợc gọi là CBC-CTR (Cipher Block Chaining Counter Mode) với CBC-MAC (Cipher Block Chaining Message Authenticity Check). Tổ hợp của chúng đƣợc gọi là AES-CCM. Chế độ CCM là sự kết hợp của mã hóa CBC-CTR và thuật toán xác thực thông điệp CBC-MAC. Sự kết hợp này cung cấp cả việc mã hóa cũng nhƣ kiểm tra tính toàn vẹn của dữ liệu gửi.
Mã hóa CBC-CTR sử dụng một biến đếm để bổ sung cho chuỗi khóa. Biến đếm sẽ tăng lên 1 sau khi mã hóa cho mỗi khối (block). Tiến trình này đảm bảo chỉ có duy nhất một khóa cho mỗi khối. Chuỗi ký tự chƣa đƣợc mã hóa sẽ đƣợc phân mảnh ra thành các khối 16 byte.
CBC-MAC hoạt động bằng cách sử dụng kết quả của mã hóa CBC cùng với chiều dài frame, địa chỉ nguồn, địa chỉ đích và dữ liệu. Kết quả sẽ cho ra giá trị 128 bit và đƣợc cắt thành 64 bit để sử dụng lúc truyền thông.
AES-CCM yêu cầu chi phí khá lớn cho cả quá trình mã hóa và kiểm tra tính toàn vẹn của dữ liệu gửi nên tiêu tốn rất nhiều năng lực xử lý của CPU khá lớn.
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 29
2.5.3.5 802.1X VÀ EAP
802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) đƣợc định nghĩa bởi IEEE. Hoạt động trên cả môi trƣờng có dây truyền thống và không dây. Việc điều khiển truy cập đƣợc thực hiện bằng cách:
Khi một ngƣời dùng cố gắng kết nối vào hệ thống mạng, kết nối của ngƣời dùng sẽ đƣợc đặt ở trạng thái bị chặn (blocking) và chờ cho việc kiểm tra định danh ngƣời dùng hoàn tất.
Hình 2.15: Mô hình hoạt động xác thực
EAP là phƣơng thức xác thực bao gồm yêu cầu định danh ngƣời dùng (password, cetificate,…), giao thức đƣợc sử dụng (MD5, TLS_Transport Layer Security, OTP_ One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau.
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 30
Mô hình xác thực 802.1X-EAP cho Client diễn ra nhƣ sau:
1. AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng, khi đó Client yêu cầu liên kết tới AP.
2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP. 3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP.
4. Thông tin đáp lại yêu cầu nhận dạng EAP của client đƣợc chuyển tới Server chứng thực.
5. Server chứng thực gửi một yêu cầu cho phép tới AP. 6. AP chuyển yêu cầu cho phép tới client.
7. Client gửi trả lời sự cấp phép EAP tới AP. 8. AP chuyển sự trả lời đó tới Server chứng thực.
9. Server chứng thực gửi một thông báo thành công EAP tới AP.
10. AP chuyển thông báo thành công tới client và đặt cổng của client trong chế độ forward.
2.5.3.6 WPA
WEP đƣợc xây dựng để bảo vệ một mạng không dây tránh bị nghe trộm. Nhƣng nhanh chóng sau đó ngƣời ta phát hiện ra nhiều lổ hổng ở công nghệ này. Do đó, công nghệ mới có tên gọi WPA (Wi-Fi Protected Access) ra đời, khắc phục đƣợc nhiều nhƣợc điểm của WEP.
Trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP. WPA cũng sử dụng thuật toán RC4 nhƣ WEP, nhƣng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể thực hiện đƣợc với WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu.
Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đƣờng truyền. WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hóa lúc
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 31
đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ đƣợc sử dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc.
Lưu ý:
Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal. Khi mà sử dụng hàm thay đổi khoá TKIP đƣợc sử dụng để tạo ra các khoá mã hoá bị phát hiện, nếu hacker có thể đoán đƣợc khoá khởi tạo hoặc một phần của mật khẩu, họ có thể xác định đƣợc toàn bộ mật khẩu, do đó có thể giải mã đƣợc dữ liệu. Tuy nhiên, lỗ hổng này cũng sẽ bị loại bỏ bằng cách sử dụng những khoá khởi tạo không dễ đoán (đừng sử dụng những từ nhƣ "P@SSWORD" để làm mật khẩu).
Điều này cũng có nghĩa rằng kỹ thuật TKIP của WPA chỉ là giải pháp tạm thời, chƣa cung cấp một phƣơng thức bảo mật cao nhất. WPA chỉ thích hợp với những công ty mà không truyền dữ liệu "mật" về những thƣơng mại, hay các thông tin nhạy cảm... WPA cũng thích hợp với những hoạt động hàng ngày và mang tính thử nghiệm công nghệ.