II I BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY
3.4. Phương thức bảo mật sử dụng VPN (Virtual Private Network)
Hình 3.30: Giải pháp sử dụng VPN để bảo mật trong WLAN
Công nghệ mạng riêng ảo VPN cung cấp công cụ để truyền dữ liệu một cách an toàn giữa 2 thiết bị mạng trên môi trường truyền không an toàn. Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như IPSec (Internet Protocol Security). IPSec dùng các thuật toán mạnh như
Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu, và dùng các thuật toán khác để xác thực gói dữ liệu. IPSec cũng sử dụng thẻ xác nhận số để xác nhận khóa mã (public key). Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa. VPN hoạt động bằng cách
tạo ra đường hầm trên nền giao thức IP. Các lưu lượng bên trong đường hầm sẽ bị mã hóa và hoàn toàn bị cách li. Công nghệ VPN cung cấp 3 cấp độ cho việc bảo mật: xác thực người dùng, mã hóa và xác thực dữ liệu, với giải pháp không chỉ mã hóa các gói tin mà còn đưa chúng vào đường hầm riêng trong khi truyền. Chính lớp bảo mật riêng này sẽ cung cấp nhiều thuận lợi hơn cho mức truy cập.
Nhiều nhà sản xuất WLAN đã tích hợp phần mềm VPN server vào trong AP và Gateway cho phép sử dụng công nghệ VPN để bảo mật kết nối không dây. Lúc đó, client phải sử dụng phần mềm VPN client chạy các giao thức như PPTP (Point-to- Point Tunneling Protocol) hay IPSec (IP Security) để thiết lập đường hầm trực tiếp đến AP.
Trước tiên, client phải kết nối (associate) với AP. Sau đó, một kết nối VPN dial-up sẽ phải được tạo ra để cho client truyền lưu lượng qua AP. Tất cả lưu lượng truyền qua đường hầm được mã hóa và được truyền trong đó để tăng thêm một lớp bảo mật nữa.
Sử dụng PPTP với mật mã dùng chung (shared secret) rất đơn giản, dễ cài đặt và cung cấp một mức bảo mật tốt đặc biệt là khi sử dụng với mã hóa WEP. Sử dụng IPSec với mật mã dùng chung hay giấy chứng nhận (Certification) cũng là một giải pháp khác cho chúng ta lựa chọn. Khi VPN server được cài đặt vào Enterprise Gateway thì tiến trình cũng diễn ra tương tự ngoại trừ một điều là sau khi client kết nối với AP thì đường hầm VPN sẽ được thiết lập với gateway ở trên chứ không phải là với AP.
Cũng có một số nhà sản xuất đưa ra nhiều biến dạng cho giải pháp VPN hiện tại của họ (cả phần cứng hay phần mềm) để hỗ trợ client không dây và cạnh tranh trên thị trường WLAN. Những thiết bị hay ứng dụng này hoạt động cũng tương tự như là Enterprise Gateway, đặt giữa phân đoạn mạng không dây và mạng lõi có dây. Giải pháp VPN không dây có giá cả hợp lý, cài đặt khá đơn giản. Nếu người quản trị (admin) không có kinh nghiệm về các giải pháp VPN thì người quản trị nên được đào tạo trước khi triển khai một giải pháp VPN. VPN hỗ trợ WLAN thường được thiết kế với quan điểm là những người quản trị chưa hề biết gì về VPN, điều này giải thích tại sao VPN lại được khuyến khích sử dụng phổ biến như vậy khi mà doanh nghiệp chưa triển khai được các bảo mật tiên tiến hơn như WPA2...
Với tất cả những nguy cơ, mối nguy hiểm, sự đe doạ đã trình bày ở trên, có thể người dùng mạng không an tâm về hệ thống mạng WLAN và quyết định không sử dụng nó? Tuy mỗi giải pháp, cơ chế, hệ thống bảo mật còn có những điểm yếu, lỗ hổng riêng, nhưng nếu biết kết hợp các giải pháp lại, sử dụng một cách mềm dẻo thì sẽ tạo ra được một giải pháp bảo mật tối ưu, cần thiết đáp ứng được nhu cầu bảo mật cho mạng WLAN. Trong thực tế, để bảo mật một mạng WLAN, người ta thường kết hợp sử dụng nhiều giải pháp bảo mật lại với nhau để tạo thành một hệ thống bảo mật đảm bảo, chắc chắn.
Hình 4.31: Kết hợp nhiều giải pháp bảo mật trong một hệ thống.
