CHƢƠNG 2 TỔNG QUAN VỀ AN NINH MẠNG INTERNET KHÔNG DÂY
2.2. Giải pháp an ninh cho mạng Internet không dây (WAP)
2.2.1.3. TLS và WTLS
- Giống nhau: Cùng khái niệm phân biệt một phiên (Session) và một kết nối (connection).
+ Kết nối được đánh giá là ngắn hơn so với phiên.
+ Trong trường hợp mạng không dây, thời gian sống của một kết nối có thể tuỳ thuộc vào chất lượng thơng tin nơi mà người sử dụng (vị trí địa lý, khí hậu...).
+ Các phiên bền hơn là các kết nối và có thể tồn tại qua nhiều kết nối và được xác định bằng một số ID của phiên (session ID).
+ Các tham số bảo mật cho mỗi phiên được sử dụng để bảo mật một kết nối, có nghĩa là khi một kết nối bị phá vỡ, phiên có thể tồn tại và có thể được phục hồi sau đó.
+ Phiên có thể được phục hồi, nghĩa là một phiên đang được thiết lập có thể sử dụng một tập tham số bảo mật với phiên trước đó. Phiên đó có thể là từ một kết nối hiện đang hoạt động, một kết nối khác cũng đang hoạt động hay là một kết nối đã hoạt động rồi. Việc phục hồi các phiên có thể được sử dụng để tạo nên các kết nối đồng thời cùng chia sẻ một tập tham số chung. Điều đó cịn tuỳ thuộc vào server vì server có quyền quyết định xem có cho phép phiên được phục hồi hay không.
- Khác nhau:
WTLS TLS
- Thuộc tầng vận chuyển, nhưng bên trên - Thực chất là một tầng thêm vào tầng nó là WTP và WSP và tầng phiên. vận chuyển dùng để can thiệp tầng ứng - Cách sắp xếp này cho phép chúng có thể dụng và tầng vận chuyển “ thực sự”
nhằm vào mục đích bảo mật. độc lập với các dịch vụ được ứng dụng
yêu cầu.
- Khơng địi hỏi giao thức vận chuyển tin - Đòi hỏi giao thức vận chuyển tin cậy
cậy (UDP, WDP). (TCP).
- Dùng trường số tuần tự: Cho phép - Không dùng trường số tuần tự WTLS làm việc với các vận chuyển (sequence number filed)
không tin cậy.
- Không hỗ trợ phân đoạn, lắp ghép dữ - Cho phép phân đoạn, lắp ghép dữ liệu liệu dưới dạng các gói tin. dưới dạng các gói tin nhận được từ các
tầng trên.
Bảng 2.1. So sánh sự khác nhau giữa WTLS và TLS
WTLS cho phép chứng thực cả client và server gồm ba lớp thực hiện cùng với các đánh dấu chức năng là: Bắt buộc, tuỳ thuộc chọn hay loại trừ.
Class 1 chỉ u cầu hỗ trợ trao đổi khố cơng khai (public key exchange) mã hoá và MACs ( kiểm sốt truy cập mơi trường truyền thơng), các chứng nhận bên phía client và server và một tuỳ chọn bắt tay bí mật có chia sẻ (một bắt tay bí mật có chia sẻ là trường hợp mà cả client và server đều đã biết được bí mật và chúng khơng cần trao đổi với nhau nữa.)
Các thuật tốn nén và giao tiếp thẻ thông minh không được dùng trong quá trình thực hiện của class1. Các thực thi trên class 1 có thể vẫn chọn hỗ trợ cho việc chứng thực cả hai phía client và server thơng qua các chứng nhận, nhưng nó khơng cần thiết. Class 2 hỗ trợ chứng nhận phía server là cố định. Class3, hỗ trợ cho cả client và server là cố định.
Hỗ trợ việc nén và giao tiếp thẻ thông minh là một tuỳ chọn ở class 2 và 3. Quá trình thực hiện.
- Client bắt đầu tiến trình thiết lập một phiên bảo mật bằng cách gửi thông điệp đến cho server yêu cầu đàm phán thiết lập phiên bảo mật.
- Server cũng có thể gửi thơng điệp u cầu phía client bắt đầu một phiên đàm phán, thế nhưng nó cịn tuỳ thuộc vào phía client có đồng ý hay khơng.
- Tại bất kỳ thời điểm nào trong phiên làm việc, phía client cũng có thể gửi thông điệp này để yêu cầu đàm phán lại các thiết bị này. Đàm phán lại các thiết lập giúp giới hạn lượng dữ liệu có thể thấy được khi kẻ nghe trộm tấn cơng bằng cách tạo ra một khố an tồn mới.
- Khi client yêu cầu đàm phán một phiên bảo mật, nó cung cấp một danh sách các dịch vụ bảo mật mà nó có thể hỗ trợ. Phía client cũng cho biết rằng sau bao lâu thì các tham số bảo mật phải được làm mới lại. Trong phần lớn các trường hợp, phía client có thể u cầu các tham số này được làm mới qua mỗi thông điệp.
- Nếu cơ hội trao đổi khố chung xác định khơng phải là kẻ mạo danh thì phía server phải gửi cho client một chứng nhận để xác định chính mình. Chứng nhận được gửi đi phải phù hợp với thuật tốn trao đổi khóa đã được đồng ý.
- Chứng nhận ở phía gửi phải đến đầu tiên trong danh sách và mỗi chứng nhận đến tiếp theo phải chứng thực chứng nhận đến đó trước. Chứng nhận của CA gốc có thể được bỏ qua trong danh sách, về cơ bản có thể chấp nhận chứng nhận của CA gốc có giá trị tuỳ ý và có thể đã có sẵn ở phía client. Nếu khơng thì client cũng có thể dễ dàng quản lý được.
2.3. Tổng kết
Chương này đã giới thiệu các kỹ thuật tấn cơng mạng Internet khơng dây và từ đó đưa ra các giải pháp an ninh cho mạng Internet không dây (chủ yếu ở tầng trên – WAP). Việc tập trung đi sâu vào các kỹ thuật tấn công mạng Internet không dây như: tấn công bị động – Passive attacks, tấn công chủ động – Active attacks, tấn công kiểu chèn ép - Jamming attacks, tấn công kiểu thu hút - Man in the middle attacks và tấn công do yếu tố con người nhằm đưa ra một cái nhìn tổng thể về các kỹ thuật tấn công mạng Internet không dây của các hacker, để từ đó đưa ra được các giải pháp an ninh, bảo mật phù hợp với từng kỹ thuật tấn công. Các phương thức tấn công hầu hết thiên về thao tác kỹ thuật, ngồi ra phương thức tấn cơng do yếu tố con người cịn đặc biệt quan trọng vì cách tấn cơng này khơng cần dùng nhiều thao tác kĩ thuật, nó do ý thức của từng con người quyết định, vì vậy việc giáo dục con người từ khi sinh ra là cực kỳ quan trọng.
Từ những kỹ thuật tấn công mạng Internet không dây, các giải pháp an ninh, bảo mật cũng được đưa ra và tập trung chủ yếu vào các tầng trên – WAP. Cả
Internet và WAP bảo mật được thực hiện ngay trên Tầng Vận chuyển: Mơ hình trên mạng Internet không dây thực thi phần lớn các chức năng bảo mật của mình trong TLS, cịn WAP thì thực hiện phần lớn trong WTLS (WTLS dựa trên nền của TLS). Ngoài ra nội dung của chương cũng đi sâu vào trình bày về các giải pháp an ninh cụ thể để ngăn chặn các cuộc tấn cơng bên trong và bên ngồi mạng như đã nêu trên.
Chương này đã giới thiệu các kỹ thuật tấn công mạng Internet không dây đồng thời cũng đưa ra được các giải pháp an ninh, bảo mật cho mạng Internet không dây này. Vậy trong cuộc sống, làm việc, học tập, kinh doanh thương mại,..v..v…an ninh, bảo mật của mạng Internet không dây đã được thử nghiệm và ứng dụng như thế nào? Để trả lời được câu hỏi này chúng ta đi vào nghiên cứu chương 3 – Mạng Internet không dây và thử nghiệm.