2.2.3. Phương thức kiểm soát truy cập
2.2.3.1. Chuẩn chứng thực 802.1X
Phƣơng pháp chứng thực đƣợc sử dụng để chứng thực các thông tin ngƣời dùng (và máy chủ) trên các mạng WPA đƣợc định nghĩa theo chuẩn IEEE 802.1X. Chuẩn 802.11X cung cấp một cơ cấu hoạt động hiệu quả cho chứng thực và kiểm soát lƣu lƣợng ngƣời dùng đến một mạng đƣợc bảo vệ. Ngồi ra 802.1X cịn cung cấp một phƣơng tiện để tự động thay đổi các khóa mã hóa dữ liệu, cho phép sử dụng một máy chủ xác thực trung tâm mà có thể xác thực lẫn nhau làm cho kẻ tấn công không thể kết nối vào mạng đƣợc.
Thông tin xác thực giữa máy chủ (Server) và máy khách (Client) sẽ đƣợc trao đổi thông qua giao thức xác thực mở rộng EAP (Extensible Authentication Protocol). Trong quá trình này điểm truy cập (AP) sẽ làm nhiệm vụ chuyển giao thông tin giữa máy chủ và máy khách muốn xác thực. Các bƣớc thực hiện nhƣ sau:
một thông điệp bắt đầu yêu cầu muốn đƣợc kết nối đến mạng. Việc này sẽ bắt đầu với một loạt các trao đổi thông điệp để xác thực máy khách.
2. Điểm truy cập trả lời với một thông điệp yêu cầu nhận dạng
3. Máy khách gửi một gói tin trả lời chứa danh tính đến máy chủ xác thực.
4. Các máy chủ xác thực sử dụng một thuật toán xác thực cụ thể để xác minh danh tính của máy khách. Điều này có thể đƣợc thơng qua bằng cách sử dụng các chứng chỉ số hoặc một vài loại chứng thực EAP khác.
5. Các máy chủ xác thực sẽ gửi thông điệp hoặc chấp nhận hoặc từ chối tới điểm truy cập.
6. Điểm truy cập gửi gói tin thơng báo thành công hoặc từ chối tới máy khách.
7. Nếu máy chủ xác thực chấp nhận máy khách, máy khách sẽ đƣợc phép truy cập vào các tài nguyên mạng.
Chứng thực 802.1X khơng dựa trên cổng (Port). Điều này có nghĩa là khi ai đó cố gắng kết nối đến một mạng đƣợc bảo vệ, sự truyền thông sẽ đƣợc phép qua một cổng ảo để truyền tải các thơng tin đăng nhập. Nếu q trình thẩm định thành cơng, các khóa mã hóa sẽ đƣợc gửi đi một cách an toàn và ngƣời dùng lúc này sẽ đƣợc trao quyền truy cập hoàn toàn.
Cách xác thực này yêu cầu một máy chủ ngoài đƣợc gọi là máy chủ Remote Authentication Dial In User Service (RADIUS) hoặc Authentication, Authorization, và Accounting (AAA), đƣợc sử dụng cho một loạt các giao thức mạng. Một máy chủ RADIUS cần phải hiểu ngôn ngữ của giao thức xác thực mở rộng EAP và có thể truyền thơng với các AP khơng dây (các máy khách RADIUS hoặc các bộ thẩm định). Máy chủ RADIUS về bản chất sẽ phục vụ nhƣ một máy trung gian giữa các AP và dữ liệu ngƣời dùng. Để từ đó các AP có thể truyền thơng trực tiếp với máy khách 802.1X, cũng đƣợc nói đến nhƣ một 802.1X Supplicant, trên máy tính hoặc thiết bị của ngƣời dùng.
2.2.3.2. Nguyên lý RADIUS Server
Việc xác thực của 802.1X đƣợc thực hiện trên một máy chủ (Server) riêng, máy chủ này sẽ quản lý các thông tin để xác thực ngƣời sử dụng nhƣ:
máy chủ này sẽ tra cứu dữ liệu để xem ngƣời dùng này có hợp lệ khơng, đƣợc cấp quyền truy cập đến mức nào… Nguyên lý này đƣợc gọi là RADIUS Server - máy chủ cung cấp dịch vụ xác thực ngƣời dùng từ xa thông qua phƣơng thức quay số. Các bƣớc thực hiện nhƣ sau:
1. Máy khách gửi yêu cầu kết nối đến điểm truy cập.
2. Điểm truy cập thu thập các yêu cầu của máy khách và gửi tới RADIUS Server.
3. RADIUS Server gửi đến máy khách yêu cầu nhập tên (username) và mật khẩu (password).
4. Máy khách gửi tên và mật khẩu đến cho RADIUS Server.
5. RADIUS Server kiểm tra tên và mật khẩu có đúng khơng, nếu đúng sẽ gửi cho máy khách mã khóa chung.
6. RADIUS Server cũng đồng thời gửi cho điểm truy cập mã khóa này và báo với điểm truy cập về quyền hạn và phạm vi đƣợc phép truy cập của máy khách này.
7. Máy khách và điểm truy cập thực hiện trao đổi thông tin với nhau theo mã khóa đƣợc cấp.
Để nâng cao tính bảo mật, RADIUS Server sẽ tạo ra các khóa dùng chung khác nhau cho các máy khác nhau trong các phiên làm việc khác nhau, thậm chí có thể thay đổi mã khóa đó thƣờng xuyên theo định kỳ. Khái niệm khóa dùng chung lúc này là để chỉ việc dùng chung giữa máy khách và điểm truy cập (AP).
2.2.3.3. Giao thức chứng thực mở rộng EAP
Để đảm bảo an tồn trong q trình trao đổi thơng tin xác thực giữa máy khách và điểm truy cập không bị giải mã trộm, hoặc sửa đổi ngƣời ta đƣa ra một giao thức chứng thực mở rộng trên nền tảng của 802.1X đƣợc gọi là EAP (Extensible Authentication Protocol).
Giao thức chứng thực mở rộng EAP là giao thức hỗ trợ, đảm bảo an ninh trong khi trao đổi các bản tin chứng thực giữa các bên bằng các phƣơng thức mã hóa thơng tin chứng thực. Kiến trúc EAP cơ bản đƣợc chỉ ra ở hình 2.10, nó đƣợc thiết kế để vận hành trên bất cứ đƣờng dẫn nào và dùng bất cứ các phƣơng pháp chứng thực nào.
Dƣới đây là cấu trúc khung của gói tin EAP
Byte 1 1 2 Tùy biến
Code Indentifier Length Data
Các trƣờng tin của bản tin EAP:
Code : trƣờng đầu tiên trong bản tin dài 1 byte và dùng để xác định
loại bản tin của EAP, thƣờng đƣợc dùng để thể hiện trƣờng dữ liệu của bản tin.
Indentifier: trƣờng này có kích thƣớc 1 byte, bao gồm một số
nguyên không dấu đƣợc dùng để xác định các bản tin yêu cầu và trả lời. Khi truyền lại bản tin thì vẫn dùng các Indentifier đó, nếu truyền mới thì dùng các số Indentifier mới.
Length: dài 2 byte, chứa chiều dài của toàn bộ bản tin bao gồm các
trƣờng code, Indentifier, Length, Data.
TLS AKA/SIM Token Card Phƣơng thức
EAP
PPP 802.3 802.1 Lớp liên kết dữ liệu