802.1x và EAP

Bảo mật mạng không dây

4.1. 802.1x và EAP

802.11i cho phép sử dụng nhiều cơ chế bảo mật trong mạng không dây cho phép tính linh động trong quá trình triển khai cũng như làm tăng khả bảo mật. Khi chỉ có một lớp bảo mật, ví dụ như WEP, việc tấn công sẽ rất dễ dàng nhưng nếu như có nhiều cơ chế bảo mật thì công việc tấn công sẽ khó khăn hơn rất nhiều.

Bảo mật mạng không dây

Để đạt được mục tiêu xây dựng một chuẩn bảo mật mạng không dây đáng tin, 802.11i kết hợp 802.1x và EAP. 802.1x là kỹ thuật chứng thực yêu cầu client phải chứng thực trước khi truy cập mạng. EAP là một phần mở rộng cho Point-to-Point (PPP) và giao thức này được tổ chức IETF định nghĩa trong cuốn RFC 2284 - PPP Extensible Authentication Protocol (EAP). EAP cho phép một phương pháp xác thực tùy ý được sử dụng để truyền thông tin ủy nhiệm và trao đổi thông tin có chiều dài tùy ý. EAP được tạo nhằm phản hồi lại yêu cầu về những phương pháp xác thực mạnh mẽ hơn, những phương pháp này sao lưu dự phòng những thiết bị bảo mật bổ sung, chẳng hạn như các chứng nhận hoặc smart card cũng như các tổ hợp tên người dùng và password chuẩn.

Ta xem cơ chế bảo mật bao gồm ba tầng. Tầng đầu là tầng vật lý 802.11 mang theo các gói tin. Phía trên 802.11 ta có hệ thống chứng thực 802.1x. Trên cùng là hệ thống chứng thực mỏ rộng sử dụng nhiều phiên bản của EAP. Kết hợp các kỹ thuật đó ta sẽ được một hệ thống bảo mật mạnh mẽ. Sử dụng hệ thống bảo mật như trên, ta đạt được các mục tiêu sau:

• Chứng thực giữa client và server trước khi client được phép truy cập.

• Chứng thực người dùng chứ không sử dụng chứng thực đơn giản của hệ thống.

• Khóa được tạo ra ngẫu nhiên.

• Mã hóa mạnh mẽ, với khả năng đảm bảo toàn vẹn dữ liệu.

Hệ thống này hơi giống với WPA, nhưng có điểm khác nhau là ở WPA ta phải xây dựng PKI để tạo ra các chứng chỉ số. WPA hoạt động dựa trên nguyên tắc chia sẻ khóa, khóa sẽ không được tạo thủ công như trong mạng tin cậy không dây. Hệ thống bảo mật mạnh nhất hiện nay là WPA-2 cũng dựa trên kỹ thuật của WPA.

Có ba thiết bị chính trong mạng tin cậy không dây là thiết bị đầu cuối, AP và máy chủ chứng thực. Việc chứng thực của 802.1x được thực hiện trên một server riêng, server này sẽ quản lý các thông tin để xác thực người sử dụng như tên đăng nhập (username), mật khẩu (password), mã số thẻ, dấu vân tay, vv.. Khi người dùng gửi yêu cầu chứng thực, server này sẽ tra cứu dữ liệu để xem người dùng này có hợp lệ không, được cấp quyền truy cập đến mức nào, vv.. Nguyên lý này được gọi là RADIUS (Remote Authentication Dial−in User Service) Server – Máy chủ cung cấp dịch vụ chứng thực người dùng từ xa.

Các loại EAP