Giao thức này là một sự phát triển của các giao thức khác (PPP, RADIUS, EAP) được phát triển dành cho việc chứng thực. 802.1x điều khiển truy nhập thông qua những cổng cơ bản. Sự điều khiển truy nhập thông qua những cổng cơ bản được khởi đầu, và vẫn đang được sử dụng với chuyển mạch Ethernet. Khi người dùng thử nối tới cổng Ethernet, cổng đó sẽ đặt kết nối của người sử dụng ở chế độ khóa và chờ đợi sự xác nhận người sử dụng của hệ thống chứng thực.
Các thành phần:
Giao thức hoạt động dựa trên 3 phần chính:Client (trạm), Access Point(AP), Server xác thực.
802.1x còn được gọi là Port-based Network Access Control, nói cách khác là nó xác thực dựa vào cổng. Một trạm sẽ được phép truy cập vào mạng nếu nó đã được xác thực trước đó.
Hoạt động:
Cụ thể một trạm sẽ kết nối với AP qua một PAE (Port Access Entity), PAE này được chia làm hai cổng, một cổng được điều khiển (mở hay đóng kết nối) cung cấp kết nối cho client trong trường hợp xác thực thành công, và một cổng không được điều khiển (kết nối luôn mở) dùng để chứng thực khi tất cả các lưu lượng khác bị trả lại.
Cổng điều kiển có thể mở hoặc đóng tùy theo giá trị của một biến trung gian (AuthContrelledPortControl). Biến này có thể có 3 trạng thái:
• ForceUnauthorized: truy cập vào cổng được điều khiển bị cấm (kết nối luôn mở)
• ForceAuthorized: truy cập vào cổng điều khiển được phép (kết nối luôn đóng)
• Auto (mặc định): truy cập phụ thuộc vào kết quả xác thực.
Chứng thực bằng RADIUS.
EAP ( Extensive Authentication Protocol) được dùng để chứng thực trong một phiên (session), gồm EAPOL (Extensive Authentication Protocol Over Lan) nằm ở giữa trạm với AP, và EAP giữa AP với server (thường sử dụng RADIUS server : Remote Authentication Dial In User Server).
Bình thường trạm và server chia sẻ với nhau bí mật (khóa, giấy chứng thực …), khi server nhận được một yêu cầu của AP cho việc chứng thực trạm, nó gửi một yêu cầu đến trạm. Yêu cầu này chỉ có thể được giải quyết bởi một bí mật đã được chia sẻ từ trước và bí mật này cho phép chứng thực.
Hình1.24: Quá trình chứng thực 802.1x-EAP Các dạng khác của giao thức chứng thực này:
• Chứng thực bởi password: EAP-MD5, ngày càng ít sử dụng; LEAP (Light EAP) giao thức của Cisco.
• Chứng thực bằng thẻ: EAP-SIM (Subsciber Identity Module), được sử dụng cho AP công cộng (hotspot), sử dụng thẻ SIM hay GSM, cho phép áp dụng
cả việc tính hóa đơn; EAP – AKA (Authentification and Key Agreement), sử dụng hệ thống chứng thực của thẻ SIM của UMTS (Universal Mobile Telecommunications System).
• Chứng thực bằng giấy chứng thực: EAP-TLS (Transport Layer Security), dựa trên kĩ thuật SSL (Secure Socket Layer), sử dụng hệ thống khóa công khai PKI, sinh ra và phân bố khóa WEP động (cho user, cho phiên, cho gói tin). Đòi hỏi phải có một giấy chứng thực cho mỗi client. Để hạn chế một số điểm yếu trong giao thức EAP (mặc định việc định dạng user, gặp vấn đề khi ngắt kết nối nhanh…), giao thức PEAP (Protected EAP) đã được phát triển. Giao thức này sử dụng MA-CHAP version 2 để chứng thực.
1.2.2.4. VPN (Virtual Private Network): mạng riêng ảo
Bảo vệ WLAN bằng cách tạo một kênh che chắc dữ liệu khỏi các truy nhập trái phép.Những nhà sản xuất WLAN ngày càng tăng các chương trình phục vụ mạng riêng ảo, VPN, trong các AP, Gateway, cho phép dùng kỹ thuật VPN để bảo mật cho kết nối WLAN. Khi VPN server được xây dựng vào AP, các client sử dụng phần mềm Off-the-shelf VPN, sử dụng các giao thức như PPTP hoặc Ipsec để hình thành một đường hầm trực tiếp tới AP.
Trước tiên client liên kết tới điểm truy nhập, sau đó quay số kết nối VPN, được yêu cầu thực hiện để client đi qua được AP. Tất cả lưu lượng được qua thông qua đường hầm, và có thể được mã hóa để thêm một lớp an toàn. Hình sau đây mô tả một cấu hình mạng như vậy:
Hình 1.25: Wireless VPN
Khi VPN server được cung cấp vào trong một Gateway, quá trình xảy ra tương tự, chỉ có điều sau khi client liên kết với AP, đường hầm VPN được thiết lập với thiết bị gateway thay vì với bản thân AP.
VPN tạo ra một tin cậy cao thông qua việc sử dụng IPsec. IPsec dùng các thuật toán mạnh như DES (Data Encryption Standard) và 3DES (Triple DES) đê mã hóa dữ liệu và các giải thuật khác để xác thực gói dữ liệu. IPsec cũng sử dụng thẻ xác nhận số để xác nhận khóa mã (khóa công khai public key). Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa.
1.2.2.5. Wireless Gateway
Trên wireless gateway bây giờ sẵn sàng với công nghệ VPN, như là NT, DHCP, PPPoE, WEP, MAC filter và có lẽ thậm chí là một filewall xây dựng sẵn. Những thiết bị này đủ cho các văn phòng nhỏ với một vài trạm làm việc và dùng chúng kết nối tới internet. Giá của những thiết bị này rất thay đổi phụ thuộc vào phạm vi những dịch vụ được đề nghị.
Những wireless gateway trên mạng quy mô lớn hơn là một sự thích nghi đặc biệt của VPN và server chứng thực cho WLAN. Gateway này nằm trên đoạn mạng hữu tuyến giữa AP và mạng hữu tuyến. Như tên của nó, gateway điều khiển sự truy nhập từ WLAN lên đoạn mạng hữu tuyến, vì thế trong khi mộtattacker có thể lắng nghe hoặc truy cập được tới đoạn mạng không dây, gateway bảo vệ hệ thống phân bố hữu tuyến khỏi sự tấn công.
Một ví dụ một trường hợp tốt nhất để triển khai mô hình gateway như vậy có thể là hoàn cảnh sau: giả thiết một bệnh viện đã sử dụng 40 AP trên vài tầng của bệnh viện. Vốn đầu tư của họ vào đây là khá lớn, vì thế nếu các AP không hỗ trợ các biện pháp an toàn mà có thể nâng cấp, thì để tăng tính bảo mật, bệnh viện đó phải thay toàn bộ số AP. Trong khi đó nếu họ thuê một gateway thì công việc này sẽ đơn giản và đỡ tốn kém hơn nhiều. Gateway này có thể được kết nối giữa chuyển mạch lõi và chuyển mạch phân bố (mà nối tới AP) và có thể đóng vai trò của server chứng thực, server VPN mà qua đó tất cả các client không dây có thể
kết nối. Thay vì triển khai tất cả các AP mới, một (hoặc nhiều hơn tùy thuộc quy mô mạng) gateway có thể được cài đặt đàng sau các AP.
Sử dụng kiểu gateway này cung cấp một sự an toàn thay cho nhóm các AP. Đa số các gateway mạng không dây hỗ trợ một mảng các giao thức như PPTP, IPsec, L2TP, chứng thực và thậm chí cả QoS.
(adsbygoogle = window.adsbygoogle || []).push({});