Cũng nhƣ mạng LAN, mạng WLAN yêu cầu các công cụ phân tích và xử lý phải đồng bộ, để có thể duy trì, tối ƣu hóa và gia tăng bảo mật đối với các chức năng của toàn bộ hệ thống. Tuy nhiên, trong môi trƣờng LAN, tất cả các tín hiệu đƣợc cấu trúc và truyền tải qua hệ thống dây cáp ổn định; còn tín hiệu trong mạng WLAN đƣợc truyền đi qua việc ứng dụng công nghệ tần số vô tuyến (RF), có thể truyền ra bên ngoài theo tất cả các hƣớng nên rất dễ bị gián đoạn hoặc bị can thiệp bởi bên thứ ba.
Chất lƣợng của tín hiệu truyền đi trong nội mạng WLAN có thể thay đổi theo thời gian và không gian, ngay cả khi nguồn phát và điểm tiếp nhận đã đƣợc cố định. Bởi vì nhiều ngƣời có thể truy cập vào mạng WLAN mở, thậm chí khi kết nối chƣa đƣợc xác
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 24
thực, các dữ liệu sẽ dễ dàng bị truy cập và sử dụng một cách bất hợp pháp. Việc sử dụng phổ tần chƣa đƣợc cấp phép phù hợp với tiêu chuẩn 802.11 cũng dễ làm gia tăng tính nguy hiểm của hệ thống vì nó phải chia sẻ băng thông với các thiết bị không theo chuẩn 802.11, nhƣ Bluetooth, điện thoại không dây và lò vi ba. Do đó, các kỹ sƣ CNTT phải cấu trúc hợp lý trƣớc khi thiết lập các giải pháp bảo mật cho hệ thống WLAN.
2.5.2 Bảo mật WLAN như thế nào?
Một WLAN gồm có 3 phần: Wireless Client, Access Points và Access Server.
+ Wireless Client điển hình là một chiếc laptop với NIC (Network Interface Card) không dây đƣợc cài đặt để cho phép truy cập vào mạng không dây.
+ Access Points (AP) cung cấp sự bao phủ của sóng vô tuyến trong một vùng nào đó (đƣợc biết đến nhƣ là các cell (tế bào)) và kết nối đến mạng không dây.
+ Còn Access Server điều khiển việc truy cập. Một Access Server (nhƣ là Enterprise Access Server (EAS) ) cung cấp sự điều khiển, quản lý, các đặc tính bảo mật tiên tiến cho mạng không dây Enterprise.
Trong mô hình Gateway Mode: EAS đƣợc đặt ở giữa mạng AP và phần còn lại của mạng Enterprise. Vì vậy EAS điều khiển tất cả các luồng lƣu lƣợng giữa các mạng không dây và có dây và thực hiện nhƣ một tƣờng lửa.
Hình 2.11: Mô hình Enterprise Access Server
Trong mô hình Controll Mode: EAS quản lý các AP và điều khiển việc truy cập đến mạng không dây, nhƣng nó không liên quan đến việc truyền tải dữ liệu ngƣời
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 25
dùng. Trong chế độ này, mạng không dây có thể bị phân chia thành mạng dây với firewall thông thƣờng hay tích hợp hoàn toàn trong mạng dây Enterprise.
Hình 2.12: Mô hình Controll Mode
Kiến trúc WLAN hỗ trợ một mô hình bảo mật đƣợc thể hiện nhƣ hình sau. Mỗi một phần tử bên trong mô hình đều có thể cấu hình theo ngƣời quản lý mạng để thỏa mãn và phù hợp với những gì họ cần.
Hình 2.13: Mô hình bảo mật
Device Authorization: Các Client không dây có thể bị ngăn chặn theo địa chỉ phần cứng của họ (ví dụ nhƣ địa chỉ MAC). EAS duy trì một cơ sở dữ liệu của các Client không dây đƣợc cho phép và các AP riêng biệt khóa hay lƣu thông lƣu lƣợng phù hợp.
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 26
Encryption: WLAN cũng hỗ trợ WEP, 3DES và chuẩn TLS (Transport Layer Sercurity) sử dụng mã hóa để tránh ngƣời truy cập trộm. Các khóa WEP có thể tạo trên một per-user, per session basic.
Authentication: WLAN hỗ trợ sự ủy quyền lẫn nhau (bằng việc sử dụng 802.1x EAP-TLS) để bảo đảm chỉ có các Client không dây đƣợc ủy quyền mới đƣợc truy cập vào mạng. EAS sử dụng một RADIUS server bên trong cho sự ủy quyền bằng việc sử dụng các chứng chỉ số. Các chứng chỉ số này có thể đạt đƣợc từ quyền chứng nhận bên trong (CA) hay đƣợc nhập từ một CA bên ngoài. Điều này đã tăng tối đa sự bảo mật và giảm tối thiểu các thủ tục hành chính.
Firewall: EAS hợp nhất packet filtering và port blocking firewall dựa trên các chuỗi IP. Việc cấu hình từ trƣớc cho phép các loại lƣu lƣợng chung đƣợc enable hay disable.
VPN: EAS bao gồm một IPSec VPN server cho phép các Client không dây thiết lập các session VPN vững chắc trên mạng.
2.5.3 Các giải pháp bảo mật
2.5.3.1 WEP
WEP (Wired Equivalent Privacy) là một giao thức đƣợc sử dụng trong mạng LAN, đƣợc định nghĩa trong chuẩn 802.11. WEP đƣợc xây dựng nhằm bảo vệ sự trao đổi thông tin chống sự nghe trộm, chống lại những kết nối mạng không đƣợc phép cũng nhƣ chống lại sự thay đổi hay làm nhiễu thông tin. Thực ra, WEP đã đƣa cả xác thực ngƣời dùng và đảm bảo an toàn dữ liệu vào cùng một phƣơng thức không an toàn.
WEP đƣa ra 3 mức an toàn: mức off (no security), 64-bit (weak security), 128-bit (stronger security), với các thiết bị truyền thông không dây thì tất cả phải sử dụng cùng kiểu mã hoá.
WEP sử dụng stream cipher RC4 cùng với một khoá mã hoá không thay đổi có độ dài 64 bit hoặc 128 bit, (nhƣng trừ đi 24 bit sử dụng cho vector khởi tạo khoá mã hoá,
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 27
nên độ dài khoá chỉ còn 40 bit hoặc 104 bit) đƣợc sử dụng để xác thực các thiết bị đƣợc phép truy cập vào trong mạng và cũng đƣợc sử dụng để mã hoá truyền dữ liệu.
WEP nổi tiếng là đơn giản vì các khoá mã hoá này dễ dàng bị "bẻ gãy" bởi thuật toán brute-force và kiểu tấn công thử lỗi (trial-and-error). Các phần mềm miễn phí nhƣ Airsnort hoặc WEP Crack sẽ cho phép hacker có thể phá vỡ khoá mã hoá nếu họ thu thập đủ từ 5 đến 10 triệu gói tin trên một mạng không dây. Với những khoá mã hoá 128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hoá nên chỉ có 104 bit đƣợc sử dụng để mã hoá, và cách thức cũng giống nhƣ mã hoá có độ dài 64 bit nên mã hoá 128 bit cũng dễ dàng bị bẻ khoá. Ngoài ra, những điểm yếu trong những vector khởi tạo khoá mã hoá giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông tin hơn rất nhiều.
WEP có thể đƣợc tạo ra cách bảo mật mạnh mẽ hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khoá mã hoá mới cho mỗi phiên làm việc. Khoá mã hoá sẽ thay đổi trên mỗi phiên làm việc. Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẻ gãy khoá bảo mật.
2.5.3.2 WLAN VPN
Hình 2.14: Mô hình mạng WLAN VPN
Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật nhƣ IPSec (Internet Protocol Security). IPSec dùng các thuật toán mạnh nhƣ Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 28
và dùng các thuật toán khác để xác thực gói dữ liệu. IPSec cũng sử dụng thẻ xác nhận số để xác nhận khóa mã (public key). Khi đƣợc sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa.
2.5.3.3 TKIP
TKIP (Temporal Key Integrity Protocol) là giải pháp của IEEE đƣợc phát triển năm 2004. Là một nâng cấp cho WEP nhằm vá những vấn đề bảo mật trong cài đặt mã dòng RC4 trong WEP. TKIP dùng hàm băm (hashing) IV để chống lại việc giả mạo gói tin, nó cũng cung cấp phƣơng thức để kiểm tra tính toàn vẹn của thông điệp MIC (Message Integrity Check ) để đảm bảo tính chính xác của gói tin. TKIP sử dụng khóa động bằng cách đặt cho mỗi frame một chuỗi số riêng để chống lại dạng tấn công giả mạo.
2.5.3.4 AES
Là một chức năng mã hóa đƣợc phê chuẩn bởi NIST (Nation Instutute of Standard and Technology). IEEE đã thiết kế một chế độ cho AES để đáp ứng nhu cầu của mạng WLAN. Chế độ này đƣợc gọi là CBC-CTR (Cipher Block Chaining Counter Mode) với CBC-MAC (Cipher Block Chaining Message Authenticity Check). Tổ hợp của chúng đƣợc gọi là AES-CCM. Chế độ CCM là sự kết hợp của mã hóa CBC-CTR và thuật toán xác thực thông điệp CBC-MAC. Sự kết hợp này cung cấp cả việc mã hóa cũng nhƣ kiểm tra tính toàn vẹn của dữ liệu gửi.
Mã hóa CBC-CTR sử dụng một biến đếm để bổ sung cho chuỗi khóa. Biến đếm sẽ tăng lên 1 sau khi mã hóa cho mỗi khối (block). Tiến trình này đảm bảo chỉ có duy nhất một khóa cho mỗi khối. Chuỗi ký tự chƣa đƣợc mã hóa sẽ đƣợc phân mảnh ra thành các khối 16 byte.
CBC-MAC hoạt động bằng cách sử dụng kết quả của mã hóa CBC cùng với chiều dài frame, địa chỉ nguồn, địa chỉ đích và dữ liệu. Kết quả sẽ cho ra giá trị 128 bit và đƣợc cắt thành 64 bit để sử dụng lúc truyền thông.
AES-CCM yêu cầu chi phí khá lớn cho cả quá trình mã hóa và kiểm tra tính toàn vẹn của dữ liệu gửi nên tiêu tốn rất nhiều năng lực xử lý của CPU khá lớn.
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 29
2.5.3.5 802.1X VÀ EAP
802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) đƣợc định nghĩa bởi IEEE. Hoạt động trên cả môi trƣờng có dây truyền thống và không dây. Việc điều khiển truy cập đƣợc thực hiện bằng cách:
Khi một ngƣời dùng cố gắng kết nối vào hệ thống mạng, kết nối của ngƣời dùng sẽ đƣợc đặt ở trạng thái bị chặn (blocking) và chờ cho việc kiểm tra định danh ngƣời dùng hoàn tất.
Hình 2.15: Mô hình hoạt động xác thực
EAP là phƣơng thức xác thực bao gồm yêu cầu định danh ngƣời dùng (password, cetificate,…), giao thức đƣợc sử dụng (MD5, TLS_Transport Layer Security, OTP_ One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau.
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 30
Mô hình xác thực 802.1X-EAP cho Client diễn ra nhƣ sau:
1. AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng, khi đó Client yêu cầu liên kết tới AP.
2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP. 3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP.
4. Thông tin đáp lại yêu cầu nhận dạng EAP của client đƣợc chuyển tới Server chứng thực.
5. Server chứng thực gửi một yêu cầu cho phép tới AP. 6. AP chuyển yêu cầu cho phép tới client.
7. Client gửi trả lời sự cấp phép EAP tới AP. 8. AP chuyển sự trả lời đó tới Server chứng thực.
9. Server chứng thực gửi một thông báo thành công EAP tới AP.
10. AP chuyển thông báo thành công tới client và đặt cổng của client trong chế độ forward.
2.5.3.6 WPA
WEP đƣợc xây dựng để bảo vệ một mạng không dây tránh bị nghe trộm. Nhƣng nhanh chóng sau đó ngƣời ta phát hiện ra nhiều lổ hổng ở công nghệ này. Do đó, công nghệ mới có tên gọi WPA (Wi-Fi Protected Access) ra đời, khắc phục đƣợc nhiều nhƣợc điểm của WEP.
Trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP. WPA cũng sử dụng thuật toán RC4 nhƣ WEP, nhƣng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể thực hiện đƣợc với WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu.
Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đƣờng truyền. WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hóa lúc
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 31
đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ đƣợc sử dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc.
Lưu ý:
Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal. Khi mà sử dụng hàm thay đổi khoá TKIP đƣợc sử dụng để tạo ra các khoá mã hoá bị phát hiện, nếu hacker có thể đoán đƣợc khoá khởi tạo hoặc một phần của mật khẩu, họ có thể xác định đƣợc toàn bộ mật khẩu, do đó có thể giải mã đƣợc dữ liệu. Tuy nhiên, lỗ hổng này cũng sẽ bị loại bỏ bằng cách sử dụng những khoá khởi tạo không dễ đoán (đừng sử dụng những từ nhƣ "P@SSWORD" để làm mật khẩu).
Điều này cũng có nghĩa rằng kỹ thuật TKIP của WPA chỉ là giải pháp tạm thời, chƣa cung cấp một phƣơng thức bảo mật cao nhất. WPA chỉ thích hợp với những công ty mà không truyền dữ liệu "mật" về những thƣơng mại, hay các thông tin nhạy cảm... WPA cũng thích hợp với những hoạt động hàng ngày và mang tính thử nghiệm công nghệ.
2.5.3.7 WPA2
Một giải pháp về lâu dài là sử dụng 802.11i tƣơng đƣơng với WPA2, đƣợc chứng nhận bởi Wi-Fi Alliance. Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và đƣợc gọi là Chuẩn mã hoá nâng cao AES. AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit. Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia về Chuẩn và Công Nghệ của Mỹ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này.
Lưu ý: Chuẩn mã hoá này đƣợc sử dụng cho các cơ quan chính phủ Mỹ để bảo
vệ các thông tin nhạy cảm.
Trong khi AES đƣợc xem nhƣ là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES (Digital Encryption Standard). Để đảm bảo về mặt hiệu năng, quá trình mã hoá cần đƣợc thực hiện trong các thiết bị phần cứng nhƣ tích hợp vào chip.
Sv thực hiện: Nguyễn Thị Lụa
Nguyễn Thị Lệ Chi Trang 32
Tuy nhiên, rất ít ngƣời sử dụng mạng không dây quan tâm tới vấn đề này. Hơn nữa, hầu hết các thiết bị cầm tay Wi-Fi và máy quét mã vạch đều không tƣơng thích với chuẩn 802.11i.
2.5.3.8 LỌC (FILTERING)
Lọc (Filtering) là một cơ chế bảo mật căn bản mà có thể dùng bổ sung cho WEP và AES. Lọc theo nghĩa đen là chặn những gì không mong muốn và cho phép những gì đƣợc mong muốn. Filter làm việc giống nhƣ là một danh sách truy nhập trên router: bằng cách xác định các tham số mà các trạm phải gán vào để truy cập mạng. Với WLAN thì việc đó xác định xem các máy trạm là ai và phải cấu hình nhƣ thế nào. Có ba loại căn bản của Filtering có thể thực hiện trên WLAN.
- Lọc SSID.
- Lọc địa chỉ MAC. - Lọc giao thức.
Lọc SSID
Lọc SSID là một phƣơng pháp lọc sơ đẳng, và nên chỉ đƣợc dùng cho hầu hết các điều khiển truy nhập. SSID (Service Set Identifier) chỉ là một thuật ngữ khác cho tên mạng. SSID của một trạm WLAN phải khớp với SSID trên AP (chế độ cơ sở, infracstructure mode) hoặc của các trạm khác (chế độ đặc biệt, Ad-hoc mode) để chứng thực và liên kết Client để thiết lập dịch vụ, vì lí do SSID đƣợc phát quảng bá trong những bản tin dẫn đƣờng mà AP hoặc các Station gửi ra, nên dễ dàng tìm đƣợc SSID của một mạng sử dụng một bộ phân tích mạng, sniffer. Nhiều AP có khả năng lấy các SSID của các khung thông tin dẫn đƣờng (beacon frame). Trong trƣờng hợp này client phải so khớp SSID để liên kết vói AP.
Khi một hệ thống đƣợc cấu hình theo kiểu này, nó đƣợc gọi là hệ thống đóng (closed system). Lọc SSID đƣợc coi là một phƣơng pháp không tin cậy trong việc hạn