Như chỳng ta đó biết, giải phỏp phổ biến nhất và hữu hiệu nhất để chống lại cỏc mối đe dọa đến an ninh mạng là mó húa. Để thực hiện mó húa, chỳng ta cần xỏc định cỏc vấn đề như mó húa những gỡ và cụng cụ mó húa nờn được bố trớ ở đõu. Cú hai sự
lựa chọn cơ bản: mó húa liờn kết và mó húa đầu cuối. Hai phương ỏn này được minh họa sử dụng qua một mạng chuyển mạch gúi trong hỡnh 3.2.
Với mó húa liờn kết, mỗi liờn kết truyền thụng cú nguy cơ bị tấn cụng được trang bị ở cả hai đầu của liờn kết bằng một cụng cụ mó húa. Vỡ vậy, mọi sự lưu chuyển thụng tin qua tất cả cỏc liờn kết truyền thụng được đảm bảo an ninh. Mặc dự vậy, mó húa liờn kết cần đến rất nhiều cụng cụ mó húa trong một mạng lớn, nú cung cấp một mức bảo mật cao. Một bất lợi của giải phỏp này là cỏc thụng điệp cần phải được giải mó mỗi lần nú đi vào một chuyển mạch gúi. Việc này là cần thiết bởi vỡ chuyển mạch cần phải đọc địa chỉ (số mạch ảo) trong phần đầu gúi tin để định tuyến gúi tin. Do đú, cỏc thụng điệp cú nguy cơ bị tấn cụng tại mỗi chuyển mạch. Nếu trong trường hợp là một mạng chuyển mạch gúi cụng cộng thỡ người dựng khụng thể kiểm soỏt được toàn bộ an ninh tại cỏc nỳt mạng.
Với mó húa đầu cuối, quỏ trỡnh mó húa được thực hiện ở hai hệ thống đầu cuối. Mỏy chủ hoặc thiết bị đầu cuối nguồn thực hiện mó húa dữ liệu. Dữ liệu đó được mó húa sau đú được truyền nguyờn vẹn qua mạng tới mỏy chủ hoặc thiết bị đầu cuối đớch. Cỏc thiết bị đớch dựng chung một khúa với cỏc thiết bị nguồn và vỡ vậy nú cú thể giải mó được dữ liệu. Giải phỏp này được cho là đảm bảo an ninh trong quỏ trỡnh truyền dữ liệu chống lại cỏc sự tấn cụng vào cỏc liờn kết mạng hoặc cỏc chuyển mạch. Tuy nhiờn giải phỏp này vẫn cũn điểm yếu.
Chỳng ta cựng xem xột tỡnh huống sau đõy. Một mỏy trạm kết nối tới một mạng chuyển mạch gúi X.25, thiết lập một mạch ảo tới mỏy trạm khỏc và chuẩn bị truyền dữ liệu tới mỏy trạm kia sử dụng phương phỏp mó húa đầu cuối. Dữ liệu được truyền qua mạng dưới dạng cỏc gúi tin, gồm cú phần đầu và một vài dữ liệu người dựng. Vậy phần nào của mỗi gúi tin mỏy trạm sẽ mó húa? Giả sử mỏy trạm mó húa toàn bộ gúi tin bao gồm cả phần đầu gúi tin. Điều này khụng thể tiến hành được bởi vỡ chỳng ta nhớ lại rằng chỉ cú mỏy trạm đớch mới cú thể thực hiện giải mó được. Cỏc nỳt chuyển mạch gúi sẽ nhận gúi tin đó được mó húa và khụng thể đọc được phần đầu gúi tin. Vỡ vậy, nú sẽ khụng thể định tuyến gúi tin. Điều này dẫn đến việc mỏy trạm chỉ cú thể mó húa phần dữ liệu người dựng của gúi tin và phải để lại phần đầu gúi tin ở dạng tường minh, cú như vậy cỏc nỳt chuyển mạch mới cú thể đọc được phần đầu gúi tin để định tuyến gúi tin.
Như vậy, với mó húa đầu cuối dữ liệu người dựng được đảm bảo an toàn. Tuy nhiờn, mẫu lưu chuyển thụng tin khụng được bảo vệ bởi vỡ cỏc phần đầu gúi tin được truyền tải tường minh. Để đạt được sự an toàn cao hơn, cả mó húa liờn kết và mó húa đầu cuối là cần thiết, như là được chỉ ra trong hỡnh dưới đõy:
Hỡnh 3.2: Kết hợp cỏc phương ỏn mó húa
Túm lại, khi cả hai hỡnh thức mó húa này được dựng, mỏy trạm mó húa phần dữ liệu người dựng của gúi tin sử dụng khúa mó húa đầu cuối. Sau đú toàn bộ gúi tin được mó húa sử dụng khúa mó húa liờn kết. Khi gúi tin đi qua mạng, mỗi chuyển mạch sử dụng khúa mó húa liờn kết giải mó gúi tin để đọc phần đầu gúi tin và sau đú mó húa toàn bộ gúi tin lại để gửi nú tới liờn kết tiếp theo. Lỳc này toàn bộ gúi tin được đảm bảo an toàn ngoại trừ thời gian mà gúi tin thực sự ở trong bộ nhớ của một chuyển mạch gúi bởi vỡ tại thời gian này phần đầu gúi tin ở dạng tường minh.
Theo như phõn tớch vớ dụ ở trờn chỳng ta cú thể thấy đối với mạng khụng dõy cũng cú thể bố trớ cỏc cụng cụ mó húa theo hai hỡnh thức là mó húa đầu cuối và mó húa liờn kết. Việc kết hợp được cả hai hỡnh thức mó húa này là cần thiết giỳp đảm bảo an ninh an toàn cao hơn.
Đối với cỏc yờu cầu như từ mạng WLAN cú thể kết nối được tới mạng LAN đó cú đảm bảo an ninh an toàn thụng tin. Với những trường hợp cần thiết cú thể cho phộp kết nối khụng dõy hoặc cú dõy thụng qua mạng cụng cộng (Internet) trao đổi tin tức với mạng nội bộ mà vẫn đảm bảo an ninh, bảo mật thụng tin chỳng ta cú thể sử dụng cụng nghệ mạng riờng ảo (VPN). Một mạng riờng ảo kết nối tới cỏc thành phần và tài nguyờn của một mạng thụng qua mạng khỏc. VPN thực hiện điều này bằng cỏch cho phộp người dựng tạo đường hầm xuyờn qua mạng khụng dõy hoặc mạng cụng cộng khỏc, theo cỏch này những người tham gia đường hầm được hưởng ớt nhất là cựng mức bảo mật và cỏc tớnh năng như là khi họ tham gia mạng cú dõy riờng tư. Một VPN là một nhúm gồm cú hai hay nhiều hơn nữa cỏc hệ thống mỏy tớnh đó được kết nối tới một mạng riờng tư, mạng mà được xõy dựng và duy trỡ bởi tổ chức với mục đớch sử dụng của riờng họ cựng với những hạn chế khi truy cập mạng cụng cộng. Giải phỏp
VPN cho truy cập khụng dõy là sự lựa chọn phự hợp nhất hiện nay. Nú đó được triển khai rộng rói để cung cấp cho những người làm việc từ xa truy cập đảm bảo an toàn tới mạng riờng thụng qua Internet. Trong ứng dụng người dựng từ xa, VPN cung cấp một đường chuyờn dụng, đảm bảo an toàn được gọi là đường hầm vượt qua mạng khụng tin cậy. Một VPN toàn diện cần phải cú ba thành phần kỹ thuật chớnh: bảo mật, điều khiển lưu lượng và quản lý tập trung. Cú ba dạng giao thức tạo đường hầm nổi bật được sử dụng trong VPN để đảm bảo an ninh là: Point-to-Point Tunneling Protocol (PPTP), Layer-2 Transport Protocol (L2TP) và Internet Protocol Security (IPSec). Khi sử dụng cụng nghệ VPN để đảm bảo an ninh cho mạng khụng dõy vấn đề xỏc thực và mó húa qua mạng khụng dõy được cung cấp bởi mỏy chủ dịch vụ VPN, mỏy này cũng làm cụng việc như là cổng nối với mạng riờng.
Dưới đõy là mụ hỡnh đề xuất giải phỏp bảo mật cho mạng WLAN ngành cụng an đỏp ứng cỏc yờu cầu đó đặt ra:
Hỡnh 3.3: Giải phỏp đảm bảo an ninh mạng WLAN ngành cụng an
Như trong hỡnh vẽ trờn chỳng ta thấy cỏc yờu cầu đặt ra cần đảm bảo an ninh đều đó cơ bản được giải quyết. Với yờu cầu cỏc mỏy tớnh trong mạng WLAN khi kết nối, trao đổi thụng tin đảm bảo bảo mật thụng tin, chỉ những mỏy tớnh được phộp mới kết nối được với hệ thống chỳng ta sử dụng chuẩn bảo mật mới cho mạng WLAN là WPA hoặc WPA2.
WPA khắc phục được những điểm yếu của WEP. Nú cũng cung cấp khả năng chứng thực người dựng bao gồm cả IEEE 802.1X/EAP (Extensible Authentication Protocol) và PSK (pre-shared key), đú cũng là một tớnh năng khụng xuất hiện trong WEP. Là một phần của chuẩn 802.11i, WPA được thiết kế nhằm tăng cường khả năng bảo mật cho cỏc dũng thiết bị tương thớch với chuẩn 802.11.
WPA đó được thiết kế và được kiểm chứng bởi những chuyờn gia về mó húa. Nú cú thể được cài đặt nhanh gọn và dễ dàng thụng qua cỏc phần mềm nõng cấp cho hầu hết cỏc AP (Access Point) đó được chứng nhận (Wi-Fi CERTIFIEDTM) và cỏc thiết bị phớa người sử dụng mà khụng làm ảnh hưởng nhiều đến khả năng của mạng.
Khi được cài đặt đỳng, WPA cung cấp một mức bảo mật cao cho mạng khụng dõy của cỏc doanh nghiệp cũng như của cỏc hộ gia đỡnh, nú mó húa dữ liệu trước khi truyền đi và đảm bảo rằng chỉ cú những ai được phộp mới cú khả năng truy cập vào mạng. Đối với cỏc doanh nghiệp đó triển khai IEEE 802.1X để chứng thực thỡ WPA cú khả năng dung hũa được cơ sở dữ liệu hạ tầng mạng sẵn cú.
Được Wi-Fi Alliance cụng bố vào thỏng 11 năm 2004, WPA2 là một phiờn bản đó được chứng nhận dựa trờn của chuẩn 802.11i đầy đủ, cụng bố vào thỏng 6 năm 2004. Giống như WPA, WPA2 cũng hỗ trợ khả năng chứng thực IEEE 802.1X/EAP và PSK. Ngoài ra, nú dụng giao thức CCMP với thuật toỏn mó húa AES.
Khi triển khai WPA hoặc WPA2 cần lưu ý: Cú hai mode của WPA và WPA2 là mode dựng cho cỏc tổ chức doanh nghiệp (Enterprise mode) và mode dựng cho cỏ nhõn (Personal mode). Cả hai đều cung cấp giải phỏp bảo mật và chứng thực.
WPA WPA2 Enterprise Mode (Business and Government) Authentication: IEEE 802.1X/EAP Encryption: TKIP/MIC Authentication: IEEE 802.1X/EAP Encryption: AES-CCMP Personal Mode (SOHO/peronal) Authentication: PSK Encryption: TKIP/MIC Authentication: PSK Encryption: AES-CCMP
Bảng 3.1: Cỏc mode của WPA và WPA2
Personal mode được thiết kế cho cỏc hộ gia đỡnh hay văn phũng cú quy mụ nhỏ (tương đương với hộ gia đỡnh), nơi mà khụng dựng server chứng thực. Nú hoạt động theo dạng khụng quản lý tức là nú sử dụng khúa dựng chung (PSK - Pre-share key) để chứng thực thay vỡ dựng IEEE 802.X. Mode này sử dụng kiểu chứng thực như sau: một mật khẩu (PSK) được nhập vào AP để tạo khúa mó. Vỡ vậy mà nú khụng thớch hợp trong mụi trường doanh nghiệp. PSK thường được người sử dụng dựng chung. Một PSK đủ mạnh phải bao gồm cả chữ, số và cỏc ký tự đặc biệt. Personal mode sử dụng phương phỏp mó húa giống như Enterprise mode. Nú hỗ trợ việc mó húa cho từng người dựng, từng phiờn và từng gúi tin thụng qua TKIP (WPA) hay AES (WPA2).
Enterprise mode hoạt động theo một chế độ được quản lý và thỏa món những yờu cầu khắt khe về bảo mật cho một mạng doanh nghiệp. Nú thỳc đẩy mụi trường
chứng thực IEEE 802.1X, mụi trường này sử dụng giao thức chứng thực mở rộng (EAP – Extensible Authentication Protocol) với một server chứng thực để cung cấp khả năng chứng thực mạnh đối với cả hai phớa giữa mỏy trạm và server chứng thực thụng qua AP. Trong mode này, mỗi người sử dụng được cung cấp một cơ chế khúa duy nhất để truy cập vào mạng. Điều này mang lại một mức bảo mật cao đối với dữ liệu mang tớnh cỏ nhõn.
Mạng WLAN ngành cụng an được triển khai ở dạng Enterprise Mode, ở đõy ta thực hiện việc triển khai một mạng khụng dõy sử dụng phương phỏp chứng thực PEAP-MS-CHAP v2 cựng với WPA hoặc WPA2. Mụ hỡnh triển khai như ở hỡnh 3.4:
Hỡnh 3.4: Mụ hỡnh triển khai mạng WPA (WPA2) Enterprise Mode Ở mụ hỡnh trờn cỏc thiết bị được triển khai bao gồm:
1. STA: là Notebook cú wireless card hỗ trợ WPA, WPA2 và chạy hệ điều hành Windows XP SP2.
2. Access Point: là Wireless Broadband Router của hóng Linksys.
3. AAA Server: Windows Server 2003 SP2 được cài dịch vụ IAS với chức năng là một RADIUS Server.
4. Authentication Database: Windows Server 2003 SP2 được cài đặt Active Directory, Domain Controller, DNS server, DHCP server, CA và IIS server.
Một số bước tiến hành triển khai thực tế như sau:
1. Thực hiện cỏc cụng việc sau trờn mỏy chủ Authentication Database:
Cài đặt hệ điều hành Windows Server 2003 SP2. Đổi tờn Server là BCAAuth.
Thiết lập địa chỉ IP: 192.168.0.10/24.
Cài đặt dịch vụ DHCP với dải địa chỉ: 192.168.0.20-192.168.0.254 Cài đặt CA với dạng Enterprise root CA và đặt tờn là BCA CA. Tạo nhúm mới: WirelessUsers.
Tạo cỏc User mới: w1, w2 rồi thờm cỏc user này vào nhúm WirelessUsers. Cài đặt dịch vụ IIS để người dựng cú thể truy cập thụng qua Web browser.
2. Thực hiện cỏc cụng việc sau trờn mỏy chủ chạy IAS:
Cài đặt hệ điều hành Windows Server 2003 SP2. Đổi tờn Server là IAS.
Thiết lập địa chỉ IP: 192.168.0.11/24. Chọn Prefered DNS: 192.168.0.10 Cài đặt dịch vụ IAS.
Thiết lập Certificate cho chớnh mỏy IAS này.
Tạo RADIUS client với tờn gọi là Wireless AP và địa chỉ IP của AP là 192.168.0.1. Thiết lập mật khẩu liờn lạc giữa AP và IAS server.
Thiết lập chớnh sỏch bảo mật cho cả nhúm WirelessUsers với phương phỏp chứng thực là PEAP.
3. Thực hiện thiết lập thụng số trờn AP:
Đặt SSID: e15bca
Địa chỉ IP: 192.168.0.1/24
Security Mode: WPA Enterprise / WPA2 Enterprise WPA Algorithms: TKIP/AES/TKIP+AES
Địa chỉ của RADIUS server: 192.168.0.11 RADIUS port: 1812
Shared Key: khúa này chớnh là khúa tạo cho RADIUS client trờn IAS server.
4. Thực hiện thiết lập trờn Notebook :
Notebook đó được cài đặt sẵn Windows XP SP2.
Đăng nhập vào Domain để trở thành mỏy tớnh thành viờn của bca.local qua đường Ethernet.
Ngắt kết nối qua đường Ethernet, thiết lập cấu hỡnh cho Wireless: chọn đỳng SSID là e15bca, Network Authentication là WPA/WPA2, Data encryption là TKIP/AES. EAP type là PEAP.
Đối với cỏc yờu cầu như từ mạng WLAN cú thể kết nối được tới mạng LAN đó cú đảm bảo an ninh an toàn thụng tin. Với những trường hợp cần thiết cú thể cho phộp kết nối khụng dõy hoặc cú dõy thụng qua mạng cụng cộng (Internet) trao đổi tin tức với mạng nội bộ mà vẫn đảm bảo an ninh, bảo mật thụng tin chỳng ta cú thể sử dụng cụng nghệ mạng riờng ảo (VPN). Cú một số tỡnh huống thụng dụng của VPN:
- Remote Access: Đỏp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dựng ở xa, bờn ngoài đơn vị thụng qua Internet. Vớ dụ khi người dựng muốn truy cập
vào cơ sở dữ liệu hay cỏc file server, gửi nhận email từ cỏc mail server nội bộ của đơn vị.
- Site To Site: Áp dụng cho cỏc tổ chức cú nhiều văn phũng chi nhỏnh, giữa cỏc văn phũng cần trao đổi dữ liệu với nhau. Vớ dụ một cụng ty đa quốc gia cú nhu cầu chia sẻ thụng tin giữa cỏc chi nhỏnh đặt tại Singapore và Việt Nam, cú thể xõy dựng một hệ thống VPN Site-to-Site kết nối hai site Việt Nam và Singapore tạo một đường truyền riờng trờn mạng Internet phục vụ quỏ trỡnh truyền thụng an toàn, hiệu quả.
- Intranet/ Internal VPN: Trong một số tổ chức, quỏ trỡnh truyền dữ liệu giữa một số bộ phận cần bảo đảm tớnh riờng tư, khụng cho phộp những bộ phận khỏc truy cập. Hệ thống Intranet VPN cú thể đỏp ứng tỡnh huống này.
Đối với mạng WLAN ngành cụng an như trờn hỡnh 3.3 được triển khai giải phỏp truy cập từ xa VPN trờn Windows Server 2003 cú cơ chế mó húa dựa trờn giao thức IPSec nhằm đảm bảo an toàn thụng tin:
Như chỳng ta biết, để cỏc mỏy tớnh trờn hệ thống mạng LAN/WAN hay Internet truyền thụng với nhau, chỳng phải sử dụng cựng một giao thức (giống như ngụn ngữ giao tiếp trong thế giới con người) và giao thức phổ biến hiện nay là TCP/IP. Khi truyền cỏc gúi tin, chỳng ta cần phải ỏp dụng cỏc cơ chế mó húa và chứng thực để bảo mật. Cú nhiều giải phỏp để thực hiện việc này, trong đú cơ chế mó húa IPSEC hoạt động trờn giao thức TCP/IP tỏ ra hiệu quả và tiết kiệm chi phớ trong quỏ trỡnh triển khai.
Trong quỏ trỡnh chứng thực hay mó húa dữ liệu, IPSEC cú thể sử dụng một hoặc cả hai giao thức bảo mật sau:
- AH (Authentication Header): header của gúi tin được mó húa và bảo vệ phũng chống cỏc trường hợp "ip spoofing" hay "man in the midle attack", tuy nhiờn trong trường hợp này phần nội dung thụng tin chớnh khụng được bảo vệ.
- ESP (Encapsulating Security Payload): Nội dung thụng tin được mó húa, ngăn chặn cỏc trường hợp hacker đặt chương trỡnh nghe lộn và chặn bắt dữ liệu trong quỏ