Mạng LAN cần được bảo vệ từ những người sử dụng trên các AP vơ tuyến. Hình 3-12 biểu diễn một nhóm kiến trúc hạ tầng mạng. Internet kết nối tới một router trên WAN biên. Trên LAN biên của router, người sử dụng có thể tuỳ chọn kết nối một server vùng khơng tranh chấp (DMZ) mà có thể truy nhập từ một tổ hợp mạng trên một LAN biên. Thông thường, chức năng tường lửa được bao gồm trong Router. Các server LAN biên và gần hơn nữa là các AP và các Laptop vô tuyến. Tuy nhiên, AP mới ngẫu nhiên tạo một đừơng để đi vào sau tường lửa thông qua liên kết khơng gian.
Hình 3-12 : Kiến trúc WLAN
3.4.2 Kiến trúc mạng điển hình với một WLAN và tường lửa vơ tuyến bổ sung
Kiến trúc mạng có thể bị thay đổi bằng cách bổ sung một tường lửa nhận thực vô tuyến điều chỉnh truy nhập tới LAN bằng cách chỉ cho phép người sử dụng qua sau khi họ đã nhận thực, như biểu diễn trên hình 3-13. Một server DMZ tuỳ chọn hoặc một cổng chặn giữ có thể tồn tại trên WLAN biên của mạng. Tường lửa nhận thực vơ tuyến tách rời WLAN khỏi LAN, vì thế sự bảo vệ các mạng tránh bị truy nhập qua thiết bị vô tuyến. Trong một giao thức nhận thực có thể mở rộng (EAP) 802.11x. AP sẽ bao gồm tường lửa và một sự bổ sung sever dịch vụ người
sử dụng tham gian nhận thực từ xa (RADIUS) sẽ cần được định vị trên LAN.
Trong một VPN, các host LAN tạo thành điểm đầu cuối của VPN tunnel. Cả hai loại tường lửa sẽ phải cần một lỗ hổng để mạng lưu lượng VPN từ WLAN biên và WAN tới LAN.
Hình 3-13 : Một tường lửa nhận thực vơ tuyến bảo vệ LAN
3.5 Chính sách bảo mật - Miền các tuỳ chọn
Người sử dụng cần biết những gì được bảo vệ. Đó có thể là các thiết bị như các server, router, các modem, và thông tin như là e – mail, đặc tính trí tuệ, các bí
mật thương mại, danh sách khách hàng, các kế hoạch kinh doanh, và các bản ghi y học… Đôi khi thông tin phải được bảo vệ bằng luật. Từ thông tin này, một sự phân tích nguy hiểm đơn giản có thể được thực hiện để xem xét những gì đe doạ an ninh mạng (dữ liệu hoặc mạng) và mức độ của biện pháp đối phó địi hỏi giải quyết vấn đề.
Bảng 3-2 biểu diễn các mức độ khác nhau của bảo mật, cấu hình, những gì được bảo mật bởi cấu hình, và các ứng dụng như là một cấu hình có thể được sử dụng
Bảng3-2 :Dải các tùy chọn bảo mật cho mạng vơ tuyến
Mức độ bảo mật Cấu hình Bảo đảm Ứng dụng 0 Khơng bảo mật Mạng ở ngồi và khơng cấu hình Khơng có gì Các dịch vụ ứng dụng không được bảo mật thông tin. Tuy nhiên nhiều người sử dụng vẫn dùng các dịch vụ mạng này. 1 Truy nhập công cộng Nhận thực người sử dụng Truy nhập mạng Thư viện, cửa hàng cafe, khách sạn, sân bay…. Bảo mật giới hạn 40- or 128-bit WEP, MAC access control list (ACL),
Một số mạng truy nhập và bảo Home và SOHO với tính di chuyển.
2 và không quảng bá mật dữ liệu 3 Bảo mật cơ sở Truy nhập bảo mật Wi-Fi (WPA) (later 802.11i) Truy nhập mạng và bảo mật dữ liệu Nhà, SOHO, và các hệ thống nhỏ linh động. 4 Bảo mật cấp cao 802.1x/EAP- X và RADIUS Truy nhập mạng và bảo mật dữ liệu Các hệ thống linh động 5 Bảo mật đầu cuối – tới – đầu cuối VPNs cũng như Point-to-Point Tunneling Protocol (PPTP), PPTPv2, Layer 2 Tunneling Protocol (L2TP), Kerberos, và IP Security (IPSec) Truy nhập mạng và bảo mật dữ liệu Các ứng dụng đặ biệt, trao đổi thường mại, liên lạc…
3.5.1 Truy nhập công cộng
Truy nhập công cộng giống như việc để các khoá cho mọi người đều biết và
sử dụng. NoCat Auth, Sputnik, và Wayport hạn chế truy nhập tới người sử dụng
công cộng bằng cách nhận thực họ. Tiến trình nhận thực họ bảo vệ mạng bởi các sự khác nhau của uỷ nhiệm truy nhập. Trong một số trường hợp, quảng cáo được trao đổi để giành quyền truy nhập hệ thống. Trong các trường hợp NoCat Auth, truy nhập có thể bị loại bỏ để tránh việc người ta lạm dụng hệ thống. Nhiều giải pháp loại này không cung cấp một cơ chế (tunnel) bảo mật cho những người sử dụng của chúng. Dữ liệu gửi trên khơng khí là trong điều kiện rõ ràng. Những người sử
dụng phải được cung cấp sự bảo vệ của riêng mình chống lại những lỗ hổng của độ tin cậy như là sử dụng một VPN để tạo tunnel quay lại cơng trình mạng của họ.
3.5.2 Điều khiển truy nhập cơ bản
Hiện nay, truy nhập cơ bản cũng giống như việc giấu một khoá dưới một tấm thảm. Khoá được dấu ngồi để cho những người thơng minh có thể tìm thấy, nhưng mạng truy nhập và dữ liệu được truy nhập sẽ khơng có giá trị do sự cố ngắt mạng.
Tối thiểu, người sử dụng nên kích hoạt WEP, các mật khẩu bảo vệ các thiết bị dùng chung và các tài nguyên, thay đổi tên mạng từ SSID mặc định, sử dụng lọc địa chỉ MAC, và tắt quảng bá nếu có thể. Viện cơng nghệ điện và điện tử (IEEE) đang làm việc để loại bỏ khố tránh tình trạng “khóa dưới thảm” bằng hai giải pháp - cải tiến WEP tạm thời và thay thế WEP lâu dài.
3.5.3 Các phương thức bảo mật 802.11 ngoài WEP
Truy nhập bảo vệ Wi-Fi (WPA): tháng 11 năm 2002, liên minh Wi – Fi thông báo tiêu chuẩn bảo mật WPA. Nó sẽ thay thế tiêu chuẩn WEP hiện tại trên thiết bị Wi – Fi. Có thể thấy trước rằng nhiều nhà cung cấp sẽ đưa ra phần sụn và phần mềm nâng cấp cho các sản phẩm Wi – Fi sẵn có để chúng làm việc với WPA. WPA sử dụng giao thức toàn vẹn khoá tạm thời (TKIP), một kỹ thuật mật mã cứng rắn hơn được sử dụng trong WEP. TKIP sử dụng khố băm (KeyMix) và kiểm tra tính tồn vẹn bản tin phi tuyến (MIC). TKIP cũng sử dụng một giao thức rapid – rekeying (ReKey) thay đổi khoá mật mã cho khoảng 10.000 gói tin. Tuy nhiên, TKIP khơng loại trừ những điểm yếu cơ bản trong bảo mật Wi – Fi. Nếu một attacker tấn công TKIP, anh ta hoặc cô ta không chỉ bẻ gãy độ tin cậy, mà còn điều khiển truy nhập và nhận thực.
WPA sẽ làm việc trong hai phương pháp khác nhau, tuỳ thuộc vào loại mạng. Trong nhà và các văn phịng nhỏ, cơng nghệ sẽ làm việc trong chế độ khoá “tiền chia sẻ”. Những người sử dụng nhập khoá mạng để giành quyền truy nhập.
Trong chế độ quản lý, nó sẽ làm việc với các AS và sẽ yêu cầu sự hỗ trợ của 802.1x và EAP.802.1x và EAP cho phép một bộ thích ứng mạng khách đàm phán
qua một AP với một back – end AS sử dụng các giao dịch mật mã an tồn để trao đổi các khố phiên.
WPA bao gồm nhiều phần của 802.11. Tuy nhiên, một số các phần tử khoá khơng được bao gồm trong đó như là sự hỗ trợ cho một thuật toán mật mã mới gọi là tiêu chuẩn mật mã hoá cấp cao (AES), tiêu chuẩn này sẽ thay thế thuật toán mật mã RC4 cơ sở khi 802.11i trở nên phổ biến.
3.5.4 802.11 Phương pháp bảo mật ngoài WPA
WPA khi trở nên phổ biến, sẽ là một bước chuyển tiếp tốt bảo mật một nhà hoặc một SOHO WLAN. Tuy nhiên, cho một hệ thống lớn, 802.1x/EAP và VPN là vẫn có thể phát triển và tồn tại được .
3.5.5 802.1x và EAP—bảo mật cấp cao
802.11x cung cấp một Framework nhận thực cho các WLAN, cho phép một người sử dụng được nhận thực bởi một trung tâm nhận thực. Thuật toán thực tế được sử dụng để xác định một người sử dụng là đúng hoặc sai và có thể ghép nhiều thuật toán với nhau.
802.11x sử dụng EAP, một giao thực sẵn có làm việc trên Ethernet, Token Ring, hoặc các WLAN cho việc trao đổi bản tin trong thời gian tiến trình nhận thực.
3.5.6 Nhận thực cổng mạng 802.1x :
Nhận thực 802.1 x cho các WLAN có ba thành phần chính : Supplicant (thường là các phần mềm máy khách), bộ nhận thực (AP), và AS (thông thường là một server RADIUS). Các bộ nhận thực kết nối tới mạng LA. Hình 3-14 minh họa tiến trình này.
Hình 3-14 : Nhận thực 802.1x
Dạng thông thường cho một nhân thực 802.11x như sau : Supplicant (trong máy khách ) thử kết nối tới AP bằng cách gửi một bản tin bắt đầu. AP tìm ra Supplicant và làm cho các cổng supplicant trong trạng thái khơng được phép, vì vậy chỉ các bản tin 802.1x/EAP được chuyển tiếp. Tất cả các lưu lượng khác bị chặn.
Supplicant sau đó gửi một bản tin EAP khởi động. AP tin tưởng vào một bản tin toàn vẹn EAP - Yêu cầu để giành được nhận dạng Supplicant. Gói tin EAP – Trả lời của máy khách bao gồm nhận dạng Supplicant để chuyển tiếp tới AS.
AS nhận thực Supplicant và các trả lời khác bằng cách chấp nhận hoặc loại bỏ Supplicant.
3.5.7 Giao thức nhận thực mở rộng (EAP)3.5.7.1 Giới thiệu 3.5.7.1 Giới thiệu
Để thiết lập liên lạc trên một liên kết Point – to – Point, mỗi đầu cuối của của liên kết PPP đầu tiên phải gửi các gói tin LCP để định cấu hình liên kết dữ liệu trong thời gian thiết lập liên kết. Sau khi các kết nối đã thiết lập, PPP cung cấp một giai đoạn nhận thực tùy chọn trước khi đi đến giai đoạn giao thức tầng mạng.
Mặc định rằng, nhận thực là khôngbắt buộc. Nếu nhận thực của liên kết được mong muốn, một thực thi phải chỉ rõ tùy chọn cấu hình giao thức nhận thực trong thời gian Phase thiết lập liên kết.
Các giao thức nhận thực này được chỉ định cho sử dụng đầu tiên bởi các Host và các router kết nối tới một server mạng PPP qua các chuyển mạch hoặc các đường dial – up, nhưng có thể được chấp nhận để xác định các kết nối. Server có thể sử dụng sự nhận dạng của kết nối host hoặc router trong sự lựa chọn các tùy chọn cho tầng mạng.
3.5.7.2. Giao thức nhận thực có thể mở rộng điểm tới điểm (EAP)
Giao thức nhận thực có thể mở rộng (EAP) là một giao thức bảo mật tầng giao vận của mơ hình OSI, nói chung là một giao thức cho nhận thực PPP hỗ trợ nhiều kĩ thuật nhận thực. EAP không lựa chọn một cơ chế nhận thực cụ thể tại Giai đoạn điều khiển liên kết (Link Control Phase), đúng hơn là nó trì hỗn điều này cho đến giai đoạn nhận thực. Điều này cho phép bộ nhận thực yêu cầu thêm thông tin trước khi xác định cơ chế nhận thực rõ ràng. Điều này cũng chấp nhận sự sử dụng một server “back - end” thi hành nhiều cơ chế khác nhau trong khi server PPP chỉ đơn thuần đi qua tổng đài nhận thực.
1. Sau khi giai đoạn thiết lập kết nối được hoàn thành, bộ nhận
thực gửi một hoặc nhiều Request để nhận thực điểm. Request có một trường Type để xác định những gì đang được yêu cầu. Ví dụ về các loại Request bao gồm Identity, MD5-challenge, One-Time Passwords, Generic Thẻ bài
Card… Thông thường, bộ nhận thực sẽ gửi một Indentity Request theo sau
bởi một hoặc nhiều Request cho thông tin nhận thực. Tuy nhiên, một Indentity Request khơng được u cầu, và có thể bỏ qua trong các trường hợp Indentity là đoán được.
2. Điểm (Peer) gửi một gói tin Response trong trường Reply cho
mỗi Request. Cũng như gói tin Request, gói tin Respone bao gồm một trường Type tương ứng với trường Type của Request.
3. Bộ nhận thực chấm dứt giai đoạn nhận thực với một gói tin thành cơng hoặc thất bại (Succes or Failure packet).
Ưu điểm
Giao thức EAP có thể hỗ trợ nhiều cơ chế nhận thực không phải thực hiện giai đoạn tiền đàm phán một cách riêng biệt trong giai đoạn LCP.
Các thiết bị không cần thiết phải hiểu mỗi loại Request và cũng có thể đơn giản các hoạt động như một tác nhân passthrough cho một server “back - end” trên một host. Thiết bị chỉ cần xem mã thành công/ thất bại để kết thúc giai đoạn nhận thực.
Các nhược điểm
EAP thực hiện yêu cầu bổ sung một loại nhận thực mới cho LCP và vì thế các thực thi PPP sẽ cần thiết phải được sử đổi để sử dụng nó. Nó cũng đi lạc khỏi mơ hình nhận thực PPP trước đó của một cơ chế nhận thực rõ ràng trong thời gian LCP.
3.5.7.3 Cấu hình khn dạng tùy chọn
Cấu hình khn dạng tổng qt tùy chọn như sau:
Hình 3-15 : Khng dạng tổng qt gói tin Type 3
Length 4
3.5.7.4 Khn dạng gói tin
Chính xác một gói tin PP EAP được đóng gói trong trường thơng tin của một khung PPP tầng liên kết dữ liệu ở đây trường giao thức chỉ rõ loại Hex C227 (PPP EAP). Dạng tổng quát của khn dạng gói tin EAP được biểu diễn như sau. Các trường được phát từ trái qua phải.
Hình 3-15 : Khn dạng gói tin
Code
Trường code là một Octet và nhận dạng loại gói tin EAP. Các mã EAP được gán như sau :
1 Request 2 Response 3 Success 4 Failure
Identifier :Trường Identifier gồm một octet.
Length : Trường Length gồm hai octet và chỉ rõ chiều dài của các gói tin
EAP bao gồm Code, identifier, Length và Data. Các octet bên ngồi phạm vi của trường Length có thể coi là đệm tầng liên kết dữ liệu và không cần để ý khi tiếp nhận.
Data : Trường Data gồm 0 hoặc nhiều octet. Khuôn dạng trường dữ liệu
được quyết định bởi trường Code.
Request and Response : Gói tin Request được gửi bởi bộ nhận thực tới
Peer. Mỗi Request có một loại trường phục vụ việc xác định những gì đang được yêu cầu. Bộ nhận thực phải phát một gói tin EAP với tập trường mã tới 1 ( Request). Các gói tin Request bổ sung được gửi cho đến khi một gói tin Response hợp lệ được nhận. Các Request phát lại phải được gửi với cùng giá trị nhận dạng để mà phân biệt được chúng với các Request mới. Các nội dung của trường dữ liệu là phụ thuộc loại Request. Peer phải gửi một gói tin Request trả lời gói tin Request.
Lưu ý : Bởi vì tiến trình nhận thực sẽ thường bao gồm đầu vào người sử
Dạng tổng quát của gói tin Request và Respone được biểu diễn như sau. Các trường được phát từ trái qua phải
Hình 3-16 : Gói tin Request và Respone Code
1 cho Request; 2 cho Response.
Identifier
Trường Identifier gồm một octet. Trường Identifier phải giống nhau nếu một gói tin Request được phát lại trong thời gian timeout trong khi đang chờ một Response. Bất kỳ các Request mới nào cũng phải sửa đổi trường Identifier. Nếu một Peer nhận một bản sao Request khi nó đã gửi một Response, nó phải gửi lại một Respone. Nếu một Peer nhận một bản sao Request trước khi nó đã gửi một Response tới Request đầu tiên, nó sẽ lặng lẽ loại bỏ bản sao Request.
Length
Trường Length gồm hai octet và chỉ rõ chiều dài của gói tin EAP bao gồm Code, Indentifier, Length, Type, và Type – Data. Các octet ngoài phạm vi của trường Length có thể coi là phần đệm tầng liên kết dữ liệu và không cần quan tâm tới khi nhận.
Type
Trường Type gồm một octet. Trường này chỉ rõ loại Request và Response. Chỉ một Type phải được xác định rõ trên Request hoặc Respone EAP. Thông thường, trường Type của Response giống trường Type của Request. Tuy nhiên, cũng có một Nak Response Type cho việc xác định rằng một Request Type không
được chấp nhận tới một điểm. Khi gửi một Nak trong một Respone tới một Request, Peer có thể xác định rõ một Type nhận thực luân phiên.
Type-Data
Trường Type – data thay đổi cùng với Type của Request và Response.
Thành cơng và thất bại
Các gói tin thành cơng được gửi bởi bộ nhận thực tới điểm để xác nhận nhận thực thành công. Bộ nhận thực phải phát một gói tin EAP với trường code thiết lập 3 (Success).
Nếu bộ nhận thực không thể nhận thực điểm khi ấy sự thực thi phải phát mọt gói tin EAP với trường mã thiết lập bằng 4 (thất bại). Một bộ nhận thực có thể