Ở Phần này chúng ta sẽ mô tả các giải pháp xác thực được cấu hình trên các điểm truy cập (AP). Giải pháp xác thực được gắn với dịch vụ thiết lập định danh (SSID - Service Set Identifiers) được cấu hình trên các điểm truy cập. Nếu như chúng ta muốn phục vụ nhiều loại thiết bị khác nhau của khách hàng với các điểm truy cập như nhau thì ta sẽ phải cấu hình thiết lập nhiều SSID hơn.
Trước khi các thiết bị không dây của khách hàng muốn giao tiếp với mạng thông thường được cung cấp bởi các điểm truy cập (AP) thì nó phải được xác thực bởi các điểm truy cập bằng phương pháp mở (truy cập tự do) hoặc là các khóa xác thực được chia sẻ (shared-key authentication). Để bảo mật được tối đa và tốt nhất, thì khi các thiết bị của khách hàng muốn truy cập vào mạng của bạn, thì cũng nên được xác thực bằng cách sử dụng xác thực địa chỉ MAC hoặc xác thực mở rộng (EAP- Extensible Authentication Protocol). Cả hai loại xác thực trên điều được xác thực bằng một máy chủ trên mạng của bạn.
Theo mặc định thì các điểm truy cập sẽ gửi yêu cầu xác thực lại đến máy chủ xác thực với các kiểu dịch vụ và các thuộc tính đã được cài đặt bởi chứng chỉ xác thực. Tuy nhiên một số máy chủ Microsoft sever lại không hổ trợ việc chứng thực này, để thay đổi các dịch vụ thuộc tính đăng nhập chứng chỉ thỉ phải đảm bảo rằng các máy chủ Microsoft phải nhận ra các yêu cầu xác thực lại từ các điểm truy câp (AP).
Các điểm truy cập có thể dùng một sốt cơ chế xác thực hoặc loại xác thực hay cũng có thể sử dụng nhiều hơn một cơ chế xác thực cùng một thời điểm.
Xác thực mở (Open Authentication to Access point)
Xác thực mở là cách xác thực cho phép bất kỳ các thiết bị xác thực nào muốn giao tiếp với các điểm truy cập (AP). Để sử dụng xác thực mở, bất kỳ các thiết bị không dây nào cũng có thể xác thực với các điểm truy cập, tuy nhiên các thiết bị chỉ có thể giao tiếp khi Wired Equivalent Privacy (WEP) keys phù hợp với WEP với các điểm truy cập. Các thiết bị không sử dụng WEP sẽ không thể cố gắng xác thực (truy câp) vào các điểm truy cập sử đụng WEP. Xác thực mở không dựa trên RADIUS Sever.
Hình 2.1: Trình tự xác thực mở.
Hình 2.1 trình bày các quá trình tự xác thực giữa thiết bị cố gắng xác thực và thiết bị truy cập sử dụng xác thực mở. Trong ví dụ trên khóa WEP của thiết bị không phù hợp với khóa WEP của điểm truy cập nên thiết bị có thể xác thực được nhưng không thể truyền dữ liệu.
Xác thực khóa chia sẻ (Shared Key Authentication to the Access Point)
Cisco cung cấp các khóa xác thực chung tuân thủ theo chuẩn IEEE 802.11b. Tuy nhiên các xác thực khóa chia sẽ này có nhiều lỗ hỏng bảo mật nên ta tránh sử dụng nó.
Trong suốt quá trình xác thực khóa chia sẻ. Điểm truy cập sẽ gửi không mã hóa thách thức chuổi các văn bản với bất kì các thiết bị cố gắng giao tiếp với điểm truy cập. Các thiết bị này sẽ yêu cầu xác thực mã hóa với các văn bản thách thức và gửi trở lại điểm truy cập. Nếu văn bản thách thức được mã hóa chính xác, thì các điểm truy cập cho phép các thiết bị yêu cầu xác thực.
Cả hai thách thưc mã hóa và không mã hóa đều có thể được theo dõi, tuy nhiên, với các điểm truy cập mở sẽ dễ bị tấn công từ những kẻ xâm nhập bằng tính toán khóa WEP để so sánh chỗi các văn bản không mã hóa và mã hóa. Vì lỗ hổng này dễ bị tấng công, khóa xác minh chung (Shared Key Authentication) có thể kém an toàn hơn so với xác thực mở. Cũng giống với xác thực mở, khóa xác minh chung cũng không dựa trên RADIUS.
Hình 2.2: Trình tự xác thực khóa xác minh chung
Hình 2.2 mô tả cách thức xác thực giữa thiết bị cố gắng để xác thực và truy cập vào điểm truy cập sử dụng khóa xác minh chung. Trong hình 2.2 khóa WEP của thiết bị phù hợp với điểm truy cập nên thiết bị được xác thực và có thể giao tiếp được.
Xác thực mạng mở rộng (EAP Authentication to the Network)
Đối với cách xác thực này sẽ cung cấp mức độ bảo mật cao nhất cho hệ thống mạng không dây của bạn. Bằng cách sử dụng giao thức xác thực mở rộng (EAP- Extensible Authentication Protocol) để tương tác với một máy chủ RADIUS có EAP- tương thích. Điểm truy cập sẽ đóng vai trò trung gian, giúp các thiết bị không dây của khách hàng và máy chủ RADIUS để thực hiện việc xác thực lẫn nhau và lấy được khóa unicast WEP động. Máy chủ RADIUS sẽ gửi khóa WEP đến điểm truy cập, nó sử dụng khóa này cho tất cả các tín hiệu và dữ liệu unicast mà máy chủ gửi hoặc nhận được từ khách hàng. Điểm truy cập sẽ mã hóa chúng và quảng bá khóa WEP với chính khóa unicast của khách hàng và gửi lại cho họ.
Hình 2.3: Trình tự xác thực mở rộng EAP
Trong hình 2.3 các bước từ 1 đến 9 một thiết bị client không dây và một máy chủ RADIUS trên mạng LAN có dây sử dụng 802.1x và các EAP xác thực để xác thực lẫn nhau thông qua điểm truy cập (AP). Máy chủ RADIUS gửi xác thực thách thức đến máy client. Máy client sử dụng khóa một chiều của người dùng cung cấp mật khẩu để tạo ra phản hồi với thách thức và gửi phản hồi đến máy chủ RADIUS. Máy chủ sử dụng thông tin cơ sở từ dữ liệu người dùng, máy chủ RADIUS tạo ra
phản hồi của riêng mình để so sánh với các phản hồi từ máy client. Khi máy chủ RADIUS xác thực máy client, quá trình này được lặp lại và đảo ngược thì client xác thực máy chủ RADIUS.
Khi việc xác thực lẫn nhau hoàn tất, máy Chủ RADIUS và máy client xác định một khóa WEP duy nhất cho máy client và cung cấp cho máy client với mức độ truy cập mạng phù hợp, do đó mức độ bảo mật sẽ xấp xỉ với đoạn mạng chuyển mạch nối vơi máy tính cá nhân để bàn. Máy client sẽ tải các khóa này và chuẩn bị sử dụng chúng cho các phiên đăng nhập
Trong suốt phiên đăng nhập, máy chủ RADIUS sẽ mã hóa và gửi khóa WEP, được gọi là khóa phiên, trên mạng LAN có dây đến điểm truy cập. Điểm truy cập mã hóa nó, khóa quảng bá với khóa phiên và gửi lại khóa quảng bá đã mã hóa cho client. Trong quá trình đó khóa phiên được sử dụng để giải mã. Máy client và các điểm truy cập được kích hoạt WEP và sử dụng các phiên và các khóa WEP quản bá cho tất cả các thông tin liên lạc trong suốt các phiên giao dịch còn lại.
Có nhiều hơn một loại xác thực mở rộng EAP, nhưng các điểm truy cập vẫn làm việc theo một cách tương tự với mỗi loại. Nó sẽ chuyển tiếp các tin nhắn xác thực từ các thiết bị không dây client gửi đến Máy chủ RADIUS và từ máy chủ RADIUS đến thiết bại không dây client.
Tuy nhiên nếu khi bạn sử dụng cách xác thực EAP, bạn có thể chon xác thự mở hoặc chia sẽ khóa xác thực, nhưng bạn không cần phải tạo vùng chọn. Xác thực EAP sẽ kiểm soát xác thực cả hai điểm truy cập trên mạng của bạn.
Xác thực mạng với địa chỉ MAC (MAC-Address Authentication to the Network)
Xác thực mạng với địa chỉ MAC. Điểm truy cập sẽ chuyển tiếp các địa chỉ MAC của các thiết bị không dây client đến máy chủ RADIUS trên mạng của bạn, và máy chủ sẽ kiểm tra lại với danh sách địa chỉ MAC cho phép. Bởi vì những kẻ xâm nhập có tạo ra địa chỉ MAC giả mạo, xác thực bằng địa chỉ MAC là kém an
toàn hơn so với xác thực mở rộng EAP. Tuy nhiên xác thực địa chỉ MAC cung cấp một phương thức thẩm định thay thế cho các thiết bị không dây client mà EAP không có khả năng đáp ứng.
Nếu như chúng ta không có máy chủ RADIUS trên mạng của mình, bạn có thể tạo ra danh sách các địa chỉ MAC cho phép trên các điểm truy cập được bảo mật nâng cao. Trang địa chỉ MAC xác thực, các thiết bị có địa chỉ MAC không có trong danh sách cho phép sẽ không được xác thực.
Nếu việc xác thực MAC client trên mạng LAN không dây của bạn phải thường xuyên dịch chuyển, thì bạn có thể kích hoạt bộ nhớ cache xác thực MAC trên các điểm truy cập của mình. Bộ nhớ đệm xác thực MAC làm giảm tổn phí vì các điểm truy câp xác thực cho các thiết bị lưu trong bộ nhớ cache MAC của nó mà không cần phải gửi yêu cầu xác thực đến máy chủ xác thực.
Hình 2.4: Các bước xác thực dựa trên xác thực địa chỉ MAC
Xác thực kết hợp MAC-Based, EAP, xác thực mở
Bạn có thể thiết lập các điểm truy cập để xác thực các thiết bị máy trạm có thể sử dụng kết hợp xác thực địa chỉ MAC và EAP. Khi bạn kích hoạt tính năng này thì các thiết bị client sử dụng 802.11 xác thực mở trên kết nối đến các điểm truy cập
đầu tiên cố gắng xác thực địa chỉ MAC. Nếu MAC xác thực thành công thì việc truy cập trên mạng diễn ra, còn việc xác thực MAC không thành công thì việt xác thực EAP tiếp tục được diễn ra.
Sử dụng CCKM cho xác thực client.
Sử dụng Cisco Centralized Key Management (CCKM), xác thực thiết bi client có thể dịch chuyển từ điểm truy cập đến nơi khác mà có thể nhận thấy được sự trì hoãn, trễ trong quá trình dịch chuyển. Điểm truy cập trên mạng của bạn cung cấp dịch vụ tên miền không dây (WDS) và tạo ra bộ nhớ cache của các chứng chỉ bảo mật cho CCKM được kích hoạt thiết bị client trên mạng con.
Các chứng chỉ trong bộ nhớ cache của điểm truy cập (WDS) sẽ làm giảm đáng kể thời gian cần thiết cho viêc cấp lại chứng chỉ. Khi CCKM kích hoạt thiết bị client cho phép di chuyển đến một điểm truy cập mới. Khi một thiết bị client di chuyển thì các điểm truy cập (WDS) chuyển tiếp thông tin bảo mật của client đến điểm truy cập mới.Và việc kết nối giao tiếp sẽ giảm được quá trình xử lý trao đổi giữ hai gói tin client chuyển vùng và điểm truy cập mới. Sự chuyển vùng client diễn ra nhanh chóng mà không cảm nhận thấy sự chậm trễ trong quá trình xác thực chuyển vùng.
Quản lý, sử dụng khóa WPA
Wi-Fi Protected Access (WPA), là một tiêu chuẩn tăng cường an ninh và tương tích mạnh mẽ, tăng mức độ bảo vệ dữ liệu và kiểm soát truy cập cho các hệ thống mạng LAN không dây hiện tại và tương lai. Nó sẽ được chuyển tiếp và tương thích với các chuẩn sắp tới của 802.11i. WPA thúc đẩy TKIP (Temporal Key Integrity Protocol) cho việc bảo vệ dữ liệu và 802.1x cho quản lý khóa xác thực.
WPA key management hỗ trợ hai loại quản lý loại trừ lẫn nhau WPA và WPA- Pre-shared (WPA-PSK). Sử dụng WPA key management, client và máy chủ xác thực với nhau sử dụng một phương pháp xác thực EAP. Client và máy chủ tạo ra một cặp khóa chính (PMK). Sử dụng WPA máy chủ sẽ tạo ra PMK động và chuyển nó đến các điểm truy cập. Sử dụng WPA-PSK , bạn sẽ phải cấu hình khóa chia sẽ trước cả trên máy client và các điểm truy cập và khóa PSK sẽ được sử dụng như là PMK.