Các loại EAP - Bảo mật mạng không dây- 123docz.net

Bảo mật mạng không dây

4.2. Các loại EAP

Có bốn loại EAP là Transport Layer Security (EAP-TLS), Tunneled Transport Layer Security (EAP-TTLS), Cisco’s Lightweight EAP (LEAP) và Protected EAP (PEAP). Ngoài ra còn có EAP-MD5 là một phương pháp xác thực người dùng đơn giản chỉ sử dụng username và password do đó không được sử dụng cho mạng tin cậy. Bởi vì MD5 chứng thực bằng cách bâm mật khẩu của user ra rồi sau đó gửi hàm bâm đó đi. Sau đó server sẽ kiểm tra hàm bâm đó, nếu chính xác thì client đã được chứng thực. EAP-MD5 thích hợp cho mạng có dây hơn với mạng không dây.

4.2.1. LEAP

Được phát triển bởi Cisco, yêu cầu một mật khẩu chung cho chứng thực. Mật khẩu này được cấu hình ở cả client lẫn server. Khi server yêu cầu chứng thực, mật khẩu sẽ được client trả về cho server.

LEAP cung cấp độ bảo mật cao vào thời điểm WEP bị bẻ nhưng nó không đủ mạnh cho mạng tin cậy, nguyên nhân là do sử dụng chung một mật khẩu. Việc sử dụng chung một mật dễ dàng bị attacker tấn công và nắm được mật khẩu đó.

Bảo mật mạng không dây

Ưu điểm của LEAP là, mặc dù nó không được xây dựng trong các hệ thống hiện nay, Cisco đã hỗ trợ đầy đủ cho việc thực thi LEAP trên bất cứ môi trường nào.

4.2.2. EAP-TLS

EAP-TLS là hệ thống thích hợp với mạng tin cậy do sử dụng chứng chỉ X.509 đối với cả server và client. Cả hai phía đều phải đưa ra chứng chỉ của mình cho phía thứ ba xác nhận do đó thông tin ăn cấp được là rất ít ví dụ như chỉ lấy được tên của client. Khi client liên lạc với AP, AP sẽ ngăn lại mọi giao tiếp với client đó cho tới khi nhận được tin xác nhận từ server chứng thực. AP sẽ liên lạc với client, yêu cầu client gửi yêu cầu bắt đầu quá trình chứng thực, sau đó gửi yêu cầu đó lên server. Server nhận được yêu cầu và gửi chứng chỉ của mình về cho client. Một khi client đã xác nhận thông tin trong chứng chỉ của server, client sẽ gửi chứng chỉ của mình cho server. Sau khi server xác nhận thông tin sẽ tạo ra một khóa để sử dụng chung cho cả client và server. Sau đó, server sẽ liên lạc với AP để thông báo chứng thực thành công vời thông thông tin của client. Client cần phải sử dụng khóa được tạo ra để mã hóa dữ liệu và AP cho phép client truy cập mạng.

4.2.3. EAP-TTLS

EAO-TTLS cũng sử dụng quá trình làm việc của EAP-TLS nhưng thay đổi một chút. Khác biệt rõ nhất giữa EAP-TTLS và EAP-TLS là trong hệ thống EAP-TTLS chỉ có server mới phải chứng thực, client không cần phải chứng thực trong quá trình hình thành kết nối.

Khi cleint liên lạc AP, và yêu cầu thực hiện EAP-TTLS. Server sẽ gửi chứng chỉ của mình cho client, sau khi client xác nhận, giữa client và server sẽ hình thành một kênh

Bảo mật mạng không dây

truyền mã hóa bí mật, giống như trong quá trình hình thành kênh truyền của SSL. Khi kênh truyền được thiết lập, client sẽ xuất trình chứng chỉ, tonken, mật khẩu, … để chứng thực cho chính mình sử dụng phương pháp mã hóa mà người quản trị chỉ định. Các loại mã hóa thường dùng là PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP-MD5, … Một khi client chứng thực thành công, server gửi thông báo đến cho AP rồi AP tiếp tục gửi thông báo chứng thực thành công cho client. Bây giờ client có thể truy cập vào hệ thống mạng.

4.2.4. PEAP

PEAP được hợp tác phát triển bởi Microsoft, Cisco, RSA Security và kết hợp nhiều kỹ thuật bảo mật khác nhau. Hoạt động của PEAP được chia thành hai phần, trong đó phần đầu giống như EAP-TLS. Phần sau giống với EAP-TTLS được hổ trợ thêm nhiều giao thức chứng thực.

Khi client liên lạc với AP, AP sẽ ngăn lại mọi giao tiếp với client đó cho tới khi nhận được tin xác nhận từ server chứng thực. AP sẽ liên lạc với client, yêu cầu client gửi yêu cầu bắt đầu quá trình chứng thực, sau đó cung gửi yêu cầu đó lên server. Server nhận được yêu cầu và gửi chứng chỉ của mình về cho client. Một khi client đã xác nhận thông tin trong chứng chỉ của server, client sẽ gửi những thông tin của mình mà server yêu cầu. Đó có thể là chứng chỉ, tonken, hay mật khẩu… khi server đã xác nhận thông tin của client, server sẽ tạo ra một khóa dùng chung. Sau đó, server sẽ liên lạc với AP để thông báo chứng thực thành công vời thông thông tin của client, sau đó AP gửi xác nhận về cho client. Client cần phải sử dụng khóa được tạo ra để mã hóa dữ liệu và AP cho phép client truy cập mạng.

Bảo mật mạng không dây