Chương 2. GIẢI PHÁP BẢO MẬT TRONG MẠNG WLAN
2.2. Các Giải pháp bảo mật WLAN
2.2.1. Tại sau phải bảo mật WLAN
Bảo mật là một trong những khuyết điểm lớn nhất của mạng WLAN.
Do điều kiện truy cập của loại mạng này, mà khả năng truy cập của thiết bị ngoài trong không gian phát sóng là vô cùng lớn. Đồng thời, khả năng nhiễu sóng cũng không thể tránh khỏi. Để sử dụng mạng WLAN an toàn, chúng ta cần phải bảo mật WLAN.
Để cung cấp mức bảo mật tối thiểu cho mạng WLAN thì cần sự có mặt của hai yếu tố sau:
+ Cách thức để xác định quyền sử dụng WLAN. Được thực hiện bằng cơ chế xác thực.
+ Một phương thức để cung cấp tính riêng tư cho các dữ liệu không dây. Được thực hiện bằng một thuật toán mã hóa.
Mã hóa WLAN là gì?
+ Mã hóa là biến đổi dữ liệu để chỉ có các thành phần được xác nhận mới giải mã được nó. Trong mã hóa, có hai loại mật mã với cách thức sinh ra một chuỗi khóa (key stream) từ một giá trị khóa bí mật.
+ Mật mã dòng (stream ciphers): Mật mã dòng mã hóa theo từng bit.
Điều này làm phát sinh chuỗi khóa liên tục dựa trên giá trị của khóa.
+ Mật mã khối (block ciphers): Ngược lại với mật mã dòng. Mật mã khối sinh ra một chuỗi khóa duy nhất có kích thước cố định. Chuỗi kí tự chưa
được mã hóa (plaintext) sẽ được phân mảnh thành những khối (block). Mỗi khối sẽ được trộn với chuỗi khóa một cách độc lập.
2.2.2. Các giải pháp bảo mật
Bảo mật là một trong những vấn đề quan trọng nhất trong mạng WLAN. Tuy nhiên, hiện tại trên thị trường tồn tại rất nhiều giải pháp bảo mật VPN nổi bật, có thể kể đến như: WLAN VPN, TKIP (Temporal Key Integrity Protocol), AES (Advanced Encryption Standard), 802.1x và EAP, WPA (Wi- Fi Protected Access), WPA 2, WPA3, WLAN Wifi Alliance, WLAN SAE.
2.2.2.1. WLAN VPN:
Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh có khả năng che chắn dữ liệu khỏi các truy cập trái phép. VPN sử dụng cơ chế bảo mật IPSec từ đó tạo ra độ tin cậy cao. IPSec là viết tắt của Internet Protocol Security. Các tập đoàn lớn, các cơ sở giáo dục và cơ quan chính phủ sử dụng công nghệ VPN để cho phép người dùng từ xa kết nối an toàn đến mạng riêng của cơ quan.
Một hệ thống VPN có thể kết nối được nhiều site khác nhau, dựa trên khu vực, diện tích địa lý... tương tự như chuẩn Wide Area Network (WAN).
Bên cạnh đó, VPN còn được dùng để "khuếch tán", mở rộng các mô hình Intranet nhằm truyền tải thông tin, dữ liệu tốt hơn. Ví dụ, các trường học vẫn phải dùng VPN để nối giữa các khuôn viên của trường (hoặc giữa các chi nhánh với trụ sở chính) lại với nhau.
Nếu muốn kết nối vào hệ thống VPN, thì mỗi tài khoản đều phải được xác thực (phải có Username và Password). Những thông tin xác thực tài khoản này được dùng để cấp quyền truy cập thông qua 1 dữ liệu - Personal Identification Number (PIN), các mã PIN này thường chỉ có tác dụng trong 1 khoảng thời gian nhất định (30s hoặc 1 phút).
Khi kết nối máy tính hoặc một thiết bị khác chẳng hạn như điện thoại, máy tính bảng với một VPN, máy tính hoạt động giống như nó nằm trên cùng
mạng nội bộ với VPN. Tất cả traffic trên mạng được gửi qua kết nối an toàn đến VPN. Nhờ đó, có thể truy cập an toàn đến các tài nguyên mạng nội bộ ngay cả khi đang ở rất xa.
Cũng có thể sử dụng Internet giống như đang ở vị trí của của VPN, điều này mang lại một số lợi ích khi sử dụng WiFi public hoặc truy cập trang web bị chặn, giới hạn địa lý. Khi duyệt web với VPN, máy tính sẽ liên hệ với trang web thông qua kết nối VPN được mã hóa. Mọi yêu cầu, thông tin, dữ liệu trao đổi giữa và website sẽ được truyền đi trong một kết nối an toàn. Nếu sử dụng VPN tại Hoa Kỳ để truy cập vào Netflix, Netflix sẽ thấy kết nối của máy tính đến từ Hoa Kỳ.
2.2.2.2. TKIP
TKIP viết tắt của cụm từ Temporal Key Integrity Protocol là giao thức toàn vẹn khóa tạm thời, được giới thiệu vào những năm đầu của thiên niên kỷ này như là một biện pháp bảo mật tạm thời để thay thế tiêu chuẩn mã hóa WEP (Wired Equivalent Privacy) cũ được sử dụng rộng rãi trên thiết bị Wi-Fi đầu tiên được ra mắt vào cuối những năm 1990 và đầu những năm 2000, dùng hàm băm (hashing) IV để chống lại việc giả mạo gói tin. Cũng dùng để xác định tính toàn vẹn của thông điệp MIC (message integrity check). Nhằm mục đích đảm bảo sự minh bạch của gói tin. Khóa động của TKIP cài đặt cho mỗi frame có chức năng chống lại dạng tấn công giả mạo.
Mặc dù TKIP được dự định bảo mật ít nhất tương đối nhiều hơn WEP, nhưng tiêu chuẩn này đã bị từ chối trong phiên bản 2012 của Wi-Fi 802.11 sau khi phát hiện có lỗ hổng bảo mật rõ ràng có thể bị tin tặc khai thác mà không gặp quá nhiều vấn đề. Đó là bởi vì TKIP sử dụng cùng một cơ chế cơ bản như WEP và do đó, dễ bị tấn công như nhau. Phải nói rằng, một số tính năng bảo mật mới được triển khai theo tiêu chuẩn WPA-PSK (TKIP), như băm khóa trên mỗi gói, xoay khóa phát sóng và bộ đếm chuỗi, có nghĩa là nó có thể loại bỏ một số điểm yếu của WEP, giống như các cuộc tấn công khôi
phục khóa khét tiếng mà tiêu chuẩn cũ dễ mắc phải, mặc dù vậy, giao thức này có các lỗ hổng đáng kể của chính nó.
2.2.2.3. AES
AES viết tắt của cụm từ Advanced Encryption Standard được gọi là mã hóa nâng cao, được phê chuẩn bởi NIST (National Institute of Standard and Technology), là một bộ mật mã có sẵn trong kích thước khối 128 bit và độ dài khóa là 128, 192 hoặc 256 bit tùy thuộc vào phần cứng. Mặc dù đi kèm với hành lý của riêng mình, nhưng nó là một giao thức được bảo mật hơn nhiều so với giao thức DES (Tiêu chuẩn mã hóa dữ liệu) cũ được xuất bản lần đầu vào những năm 1970. Không giống như người tiền nhiệm của nó, AES không sử dụng mạng Fiestel và thay vào đó, sử dụng một hiệu trưởng thiết kế được gọi là mạng hoán vị thay thế làm cơ sở cho thuật toán mã hóa khối. AES có thể đáp ứng các nhu cầu của người dùng trên mạng WLAN. Trong đó, chế độ đặc biệt này của AES được gọi là CBC-CTR (Cipher Block Chaining Counter Mode) với CBC-MAC (Cipher Block Chaining Message Authenticity Check).
2.2.2.4. 802.1x và EAP
Theo IEEE, 802.1x là chuẩn đặc tả cho việc truy cập Internet thông qua cổng (port-based). Đây là giải pháp có thể hoạt động trên cả môi trường đường truyền có dây lẫn không dây. Trong đó, việc điều khiển truy cập được thực hiện bằng cách tạm thời chặn người dùng cho đến khi quá trình thẩm định hoàn tất.
EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, certificate,…), giao thức được sử dụng và hỗ trợ tự động sinh khóa và xác thực lẫn nhau.
2.2.2.5. WPA
WPA viết tắt cụm từ Wi-Fi Protected Access là giải pháp công nghệ thay thế cho WEP vốn còn nhiều khuyết điểm. Một trong những cải tiến quan
trọng của WPA là sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol) và kiểm tra tính toàn vẹn của thông tin.
Các nhà nghiên cứu đã phát triển một thế hệ bảo mật mới được gọi là IEEE 802.11i mà trong đó định nghĩa một kiểu mạng không dây mới gọi là
“Mạng bảo mật mạnh” Robust Security Network (RSN). Trong 1 số khía cạnh thì nó tương đối giống với mạng bình thường hoặc mạng WEP cơ bản. Tuy nhiên, để có thể tham gia vào mạng RSN, một thiết bị không dây cần có thêm 1 số chức năng mới. Tuy nhiên, hầu hết các thiết bị card wifi đang có trên thị trường không thể nâng cấp lên RSN bởi các hoạt động mã hoá không được tích hợp vào phần cứng và người sử dụng lại không muốn thay thế thiết bị của họ. Vì thế cần có một khoảng thời gian để mạng RSN có thể hoàn toàn đi vào hoạt động. Tuy nhiên, đã có một giải pháp để giải quyết vấn đề này. Các nhà nghiên cứu đã phát triển một giải pháp bảo mật dựa trên khả năng của những sản phẩm wifi hiện có. Đó chính là giao thức khoá toàn vẹn thời gian (TKIP).
TKIP là một chế độ tuỳ chọn của RSN.
Sự phát triển của TKIP đã giúp nâng cấp cho các hệ thống hiện có rất nhiều. Tuy nhiên, công nghệ này không thể đợi đến khi được phê duyệt tiêu chuẩn vì nó sẽ mất thời gian. Chính vì thế hiệp hội Wifi – Aliance đã thông qua một phương thức an ninh mới được phát triển dựa trên RSN nhưng chỉ sử dụng TKIP.
Có thể nói đây là một tập hợp con của RSN và được gọi là WPA (Wifi Protected Access). Nhiều nhà cung cấp đã nâng cấp phần mềm cho các sản phẩm của họ để hỗ trợ phương thức WPA và hầu hết các sản phẩm mới đều được tích hợp WPA. WPA sử dụng khoá toàn vẹn thời gian TKIP cho mã hoá và khuyến nghị sử dụng 802.1X/EAP cho nhận thực. Ngoài ra, WPA cũng đã bổ sung cơ chế kiểm tra toàn vẹn dữ liệu Message Integrity Check (MIC) để chống lại những gói tin giả mạo.
Giới thiệu 802.1X
802.1X là một khái niệm tương đối đơn giản. Mục đích của nó là thực hiện việc kiểm soát truy nhập tại điểm mà người sử dụng tham gia vào mạng.
Nó chia mạng thành 3 phần:
+ Máy trạm là thiết bị muốn gia nhập mạng + Thiết bị nhận thực để kiểm soát truy nhập
+ Máy chủ xác thực dùng để đưa ra các quyết định
802.1X cung cấp một cơ cấu hoạt động hiệu quả cho chứng thực và kiểm soát lưu lượng người dùng đến một mạng được bảo vệ. Ngoài ra, 802.1X còn cung cấp một phương tiện để tự động thay đổi các khoá mã hoá dữ liệu, ví dụ như từ máy chủ RADIUS thông qua EAP. Framework này cho phép sử dụng một máy chủ xác thực trung tâm mà có thể xác thực lẫn nhau làm cho kẻ xấu không thể kết nối vào mạng được.
Các bước xác thực
Các bước xác thực được thể hiện:
Hình 2.1 Các bước xác thực trong IEEE 802.1X
Các AP gửi khung báo hiệu với các yếu tố thông tin WPA đến trạm phục vụ các thiết lập. Các yếu tố thông tin bao gom các phương thức nhận thực bắt buộc (802.1X hoặc khoá chia sẻ trước) và thuật toán mã hoá (TKIP, AES).
+ Bước 1: 802.1X được bắt đầu với một máy trạm chưa xác thực (client) cố gắng kết nối tới 1 thiết bị nhận thực (802.11 AP). Client sẽ gửi một thông điệp bắt đầu Extensible Authentication Protocol (EAP). Việc này sẽ bắt đầu một loạt các trao đổi thông điệp để xác thực client.
+ Bước 2: AP trả lời với một EAP – Thông điệp yêu cầu nhận dạng.
+ Bước 3: Client gửi một EAP – gói tin trả lời chứa danh tính đến máy chủ xác thực. Ap sẽ trả lời bằng cách mở một cổng chỉ cho phép gói tin EAP từ client đi đến máy chủ xác thực nằm ở bên có dây của AP. Ap sẽ chặn tất cả các lưu lượng khác như HTTP, DHCP và các gói dữ liệu cho đến khi AP có thể nhận dạng được client bằng cách sử dụng máy chủ xác thực.
+ Bước 4: Các máy chủ xác thực sử dụng một thuật toán xác thực cụ thể để xác minh danh tính của client. Điều này có thể được thông qua bằng cách sử dụng các chứng chỉ số hoặc một vài loại chứng thực EAP khác.
+ Bước 5: Các máy chủ xác thực sẽ gửi thông điệp hoặc chấp nhận, hoặc từ chối tới AP.
+ Bước 6: AP gửi EAP- gói tin thành công (hoặc từ chối) tới client.
+ Bước 7: Nếu máy chủ xác thực chấp nhận client, client sẽ được phép truy nhập vào các tài nguyên mạng.
2.2.2.6. WPA 2
WPA 2 là giải pháp lâu dài được chứng nhận bởi Wi-Fi Alliance và sử dụng sử dụng 802.11i. Với thuật toán mã hóa nâng cao AES (Advanced Encryption Standard), WPA 2 được nhiều cơ quan chính phủ Mỹ sử dụng để bảo vệ các thông tin nhạy cảm.
2.2.2.7. WPA 3
WLAN Wifi Alliance
Sự đáp trả của Wifi Alliance trong WPA3 là rất mạnh mẽ. Ví dụ như khi hệ thống mạng bị tấn công hoặc bẻ khóa thì WPA3 vẫn có khả năng cung