II I BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY
3.2.3.Bảo mật WPA2
Trong khi Wi-Fi Alliance đưa ra WPA, và được coi là loại trừ mọi lỗ hổng dễ bị tấn công của WEP, nhưng người sử dụng vẫn không thực sự tin tưởng vào WPA với những yếu điểm của nó:
+ Điểm yếu đầu tiên của WPA là nó vẫn không giải quyết được DoS (tấn công từ chối dịch vụ). Kẻ phá hoại có thể làm nhiễu mạng WPA WiFi bằng cách gửi ít nhất 2 gói thông tin với một khóa sai (wrong encryption key) mỗi giây. Trong trường hợp đó, AP sẽ cho rằng một kẻ phá hoại đang tấn công mạng và AP sẽ cắt tất cả các nối kết trong vòng một phút để tránh hao tổn tài nguyên mạng. Do đó, sự tiếp
diễn của thông tin không được phép sẽ làm xáo trộn hoạt động của mạng và ngăn cản sự nối kết của những người dùng được cho phép (authorized users).
+ Ngoài ra WPA vẫn sử dụng thuật toán RC4 mà có thể dễ dàng bị bẻ vỡ bởi FMS attack. Hệ thống mã hóa RC4 chứa đựng những khóa yếu (weak keys). Những khóa yếu này cho phép truy ra mã khóa. Để có thể tìm ra khóa yếu của RC4, chỉ cần thu thập một số lượng đủ thông tin truyền trên kênh truyền không dây.
+ WPA - PSK là một phiên bản yếu của WPA mà ở đó nó gặp vấn đề về quản lý password hoăc shared secret giữa nhiều người dùng. Khi một người trong nhóm (trong công ty) rời nhóm, một password/secret mới cần phải được thiết lập.. Có một lỗ hổng trong WPA Personal khi sử dụng hàm thay đổi khóa TKIP-PSK để tạo ra các khóa mã hoá dễ bị phát hiện, nếu hacker có thể đoán được khóa khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu. Tuy nhiên, lỗ hổng này được hạn chế phần nào bằng cách sử dụng những khóa khởi tạo phức tạp, không dễ đoán. Điều này cũng có nghĩa rằng kĩ thuật TKIP của WPA chỉ là giải pháp tạm thời, chưa cung cấp một phương thức bảo mật cao nhất. WPA thích hợp với những hoạt động hàng ngày, được chọn bảo mật trong các trường hợp không truyền dữ liệu "mật" mang tính thương mại, hay các thông tin nhạy cảm...
Để khắc phục nhược điểm của WPA, tiếp sau đó, một giải pháp về lâu dài là nhanh chóng đưa một tiêu chuẩn bảo mật tốt hơn, bám sát hơn theo chuẩn 802.11i của IEEE. Đó là chuẩn WPA2 được Wi-Fi Alliance thông qua tháng 9 năm 2004. Cũng giống như WPA, WPA2 được thiết kế để bảo mật trên tất cả các phiên bản 802.11b, 802.11a, 802.11g, và 802.11n hỗ trợ đa kênh, đa chế độ và cho phép thực hiện chứng thực trên IEEE 802.1X/EAP hoặc PSK; tăng mức độ bảo mật về dữ liệu, điều khiển truy nhập mạng, nó khắc phục tất cả những điểm yếu của WEP kể cả WPA. Điểm khác biệt lớn nhất giữa WPA và WPA2 đó là trong khi WPA dùng TKIP cho việc mã hóa và thuật toán Michael cho việc xác thực trên từng gói dữ liệu thì WPA2 sử dụng chuẩn mã hóa cao cấp AES để đảm bảo tính bảo mật và toàn vẹn dữ liệu.
WPA2 sử dụng CCMP/AES cho việc mã hóa dữ liệu và kiểm tra tính toàn vẹn của gói tin. CCMP/AES là một cơ chế mã hóa rất mạnh và phức tạp do đó yêu cầu cao về năng lực xử lý của chip. Cũng chính vì điều này mà hiện nay WPA2 chưa được triển khai rộng dãi như WPA. Để nâng cấp từ WEP hay WPA lên WPA2 là cần phải nâng cấp về mặt phần cứng, tốn kém hơn nhiều so với viêc cập nhật firmware đối với WPA. Tuy nhiên, với các hệ thống mạng yêu cầu mức độ an ninh cao thì khuyến cáo nên sử dụng WPA2. Việc lựa chọn tiêu chuẩn an ninh nào là hoàn toàn phụ thuộc vào sự cân bằng giữa tiềm lực tài chính và mức độ an toàn thông tin cần đảm bảo.
♦ Chuẩn mã hóa cao cấp AES (Advanced Encryption Standard)
Là một chức năng mã hóa thế hệ kế tiếp được phê chuẩn bởi NIST (Nation Institute of Standard and Technology). AES làm việc với khối dữ liệu 128 bit và khóa có độ dài 128, 192 hoặc 256 bit. AES ngày nay được sử dụng rộng rãi trong các công nghệ truyền thông mới như trong IEEE 802.11i, WiMAX... bởi tính bảo mật của nó. IEEE đã thiết kế một chế độ cho AES để đáp ứng nhu cầu của mạng
WLAN. Chế độ này được gọi là CBC-CTR (Cipher Block Chaining Counter Mode) với CBC-MAC (Cipher Block Chaining Message AuthentICIty Check). Tổ hợp của chúng được gọi là AES-CCM. AES-CCM yêu cầu chi phí khá lớn cho cả quá trình mã hóa và kiểm tra tính toàn vẹn của dữ liệu gửi nên tiêu tốn rất nhiều năng lực xử lý của CPU khá lớn. Chế độ CCM là sự kết hợp của mã hóa CBC-CTR và thuật toán xác thực thông điệp CBC-MAC. Sự kết hợp này cung cấp cả việc mã hóa cũng như kiểm tra tính toàn vẹn của dữ liệu gửi trong một giải pháp duy nhất.
Mã hóa CBC-CTR hoạt động bằng cách sử dụng một biến đếm để bổ sung cho chuỗi khóa. Biến đếm sẽ tăng lên 1 sau khi mã hóa cho mỗi khối (block). Tiến trình này đảm bảo chỉ có duy nhất một khóa cho mỗi khối. Chuỗi ký tự chưa được mã hóa sẽ được phân mảnh ra thành các khối 16Byte.
CBC-MAC hoạt động bằng cách sử dụng kết quả của mã hóa CBC cùng với chiều dài khung, địa chỉ nguồn, địa chỉ đích và dữ liệu. Kết quả sẽ cho ra giá trị 128bit và được cắt thành 64bit để sử dụng lúc truyền thông. .
Việc thay đổi kỹ thuật mã hóa dữ liệu sang một giải pháp mạnh như AES sẽ có ảnh hưởng lớn đến bảo mật mạng không dây nhưng vẫn còn có những giải pháp có thể mở rộng khác đã được cài đặt vào mạng doanh nghiệp như máy chủ mã hóa khóa tập trung để tự động điều khiển quá trình phân phát khóa. Và một điều chúng ta cần đặc biệt quan tâm, nếu card thu phát sóng của client (có lưu trữ khóa mã hóa) bị mất trộm (đánh cắp) thì cho dù AES có mạnh thế nào đi nữa thì hacker vẫn có thể đột nhập vào mạng được.
Bảng 3.1: So sánh giữa WEP, WPA và WPA2
WEP WPA WPA2
Tiêu chuẩn
Là thành phần tùy chọn trong chuẩn 802.11
Tiêu chuẩn bảo mật của Wifi-Alliance đưa ra
Tương tự WPA
Khóa
Khóa được cấu hình thủ công trên AP, các STA
Khuyến nghị nên sử dụng xác thực 802.1X/EAP để nhận khóa tự động (có hỗ trợ cài đặt khóa thủ công)
Tương tự WPA Khóa tĩnh, dùng chung cho tất cả mọi người Khóa được cấp phát động, riêng cho từng user, từng phiên truyền
và từng gói tin Tương tự WPA Kích cỡ khóa nhỏ (64bit hay 128bit) Kích cỡ lớn, kết hợp nhiều thành phần thông
tin để sinh ra khóa
Tương tự WPA Mã hóa Sử dụng mã hóa dòng; sử dụng thuật toán RC4 Sử dụng mã hóa dòng; sử dụng giao thức TKIP Sử dụng mã hóa khối (có hỗ trợ mã hóa dòng TKIP); sử dụng
mã hóa cao cấp AES Mật mã hóa có
Hacker WEP (vẫn còn lỗ hổng
khi sử dụng PSK) về mã hóa của WEPlẫn WPA
Tính toàn vẹn
dữ liệu (adsbygoogle = window.adsbygoogle || []).push({});
Độ tin cậy thấp Độ tin cậy cao Độ tin cậy cao nhất
Nâng cấp và yêu cầu
phần cứng
Không đòi hỏi phần cứng phức
tạp
Phần cứng phức tạp hơn WEP, khi nâng cấp lên WPA chỉ cần nâng cấp phần mềm firmwave
Yêu cầu về năng lực xử lí của phần cứng, khi nâng cấp lên là nâng cấp phần cứng
Sử dụng
Thích hợp mạng quy mô nhỏ, không đòi hỏi cao
về bảo mật
Thích hợp mạng quy mô nhỏ và trung bình, có đòi hỏi về bảo mật dữ liệu
Phù hợp với các mạng lớn, doanh nghiệp, đòi hỏi bảo mật cao cho dữ liệu