Wi-fi Protected Access (WPA)

Bảo mật mạng không dây

3.2.2. Wi-fi Protected Access (WPA)

Được Wi-fi Allience phát triển nhầm hai mục tiêu: bảo mật mạnh mẽ mạng không dây với mã hóa và kiểm soát truy cập với chứng thực người dùng. Sử dụng Extensible Authentication Protocol (EAP), 802.1x để chứng thực người dùng. Và dùng MIC, TKIP cùng với giao thức phân phối khóa tự động 802.1x để mã hóa. Như vậy có thể thấy WPA = 802.1x + EAP + MIC + TKIP.

• Hoạt động

Hoạt động của WPA khác nhau đối với hạ tầng mạng của một công ty lớn và một văn phòng nhỏ. Đối với văn phòng nhỏ, việc kiểm tra password được cấu hình ở client và AP. Khi password đã được kiểm tra thì khóa đã mã hóa được trao đổi và quá trình mã hóa bắt đầu. Bước chứng thực cũng là bước kiểm tra password.

Đối với hạ tầng mạng lớn, bước đầu tiên, client phải liên lạc được với AP. Sau khi liên lạc được, AP sẽ tạm thời không cho client truy cập cho tới khi chứng thực thành công. Client sẽ phải lấy chứng nhận từ server. Sau khi chứng thực thành công, server sẽ gửi khóa mã hóa về cho AP và

Bảo mật mạng không dây

client. Cuối cùng, để có thể truy cập vào LAN, client và AP phải mã hóa tất cả dữ liệu bằng khóa

vừa nhận được.

• Yêu cầu phần cứng

Để hệ thống có thể sử dụng WPA, yêu cầu phần cứng phải hổ trợ WPA. Đối với các thiết bị mới chắn chắn có hỗ trợ WPA, nhưng các thiết bị cũ đòi hỏi phải nâng cấp để có thể sử dụng WPA. Ngoài ra còn cần phải có một server chứng thực đủ mạnh như RADIUS server.

• So sánh

WEP WAP

- Khóa 40 bit. - Khóa tĩnh.

- Phân phối khóa tĩnh.

- Khóa 128 bit. - Khóa động.

- Phân phối khóa tự động.

• 802.1x: là một chuẩn được nghiên cứu bởi nhóm 802.11i, chuẩn này liên quan đến quá trình cách

thức chứng thực trong các mạng 802.11. Dựa trên EAP và sẽ được phát triển để có thể sử dụng nhiều thuật toán chứng thực khác nhau.

3.2.3. WPA2

WPA2 là một kỹ thuật bảo mật mạng không dây phát triển lên từ WPA, đượcWi-fi Allien thử nghiệm lần đầu tiên vào ngày 1 tháng 9 năm 2004. Tháng 9 năm 2004, Wi- fi Allien thông báo bắt đầu từ 1/9/2004 sẽ ra mắt dòng sản phẩm đầu tiên có tích hợp WPA2. Và từ đó đến nay, hàng ngàn sản phẩm mạng không dây được các nhà sản xuất đưa ra thị trường luôn có tích hợp WPA2.

Cả WPA lẫn WPA2 đều đảm bảo ở mức độ cao cho người sử dụng lẫn người quản trị về tính bí mật của dữ liệu và chỉ được truy cập bởi các người dùng đã được chứng

Bảo mật mạng không dây

thực. Cả hai đều sử dụng 802.1x và EAP để chứng thực người dùng và cả hai đều có hai phiên bản Personal và Enterprise để đáp ứng yêu cầu khác nhau của từng lớp khách hàng.

• Chế độ Personal của WPA2: sử dụng phương thức mã hóa pre-shared key, chỉ yêu cầu một AP và một thiết bị đầu cuối.

• Chế độ Enterprise của WPA2: chứng thực bằng 802.1x và EAP, yêu cầu phải có RADIUS hoặc một server chứng thực riêng biệt.

Tuy nhiên điểm khác biệt lớn giữa WPA và WPA2 là WPA2 sử dụng thuật toán mã hóa AES, là một thuật toán mã hóa mạnh thường được sử dụng bởi các cơ quan chính phủ hay các tập đoàn lớn trên thế giới. Cũng như WPA, WPA2 tạo một session key mới cho mỗi kết nối. Lợi ích của điều này là mỗi client trong mạng sẽ có một session key riêng biệt và duy nhất. Session key này sẽ được sử dụng để mã hóa bất cứ gói tin nào trong mạng. Việc tạo ra các session key riêng biệt và duy nhất là nguyên lý chính giúp cho WPA và WPA2 bảo mật hơn so với WEP.

WEP WPA WPA2 Ra đời 1999 2003 2004 Cơ chế chứng thực Pre-shared Key Personal: Pre-

shared Key Enterprise: 802.1x + EAP Personal: Pre- shared Key Enterprise: 802.1x + EAP

Kỹ thuật mã hóa RC4 – mã hóa dòng

TKIP AES

Chiều dài khóa 40 – 128 – 256 bit 128 bit 128 – 192 – 256 bit Độ bảo mật Thấp Cao Rất Cao

4. Mạng tin cậy không dây

Các loại EAP