IV, Khoỏ mó từng gúi dữ liệu
5. Thiết lập cơ chế chứng thực ngƣời dựng
Trong quỏ trỡnh bảo mật một hệ thống mạng, việc chứng thực người dựng là một trong những bước quan trọng và cú ý nghĩa, nú nhằm xỏc thực một người dựng liệu cú quyền tham gia mạng hay khụng ? Việc xõy dựng cỏc hệ thống cho phộp chứng thực người dựng tốt hơn giỳp cho hệ thống mạng cú một tớnh an toàn cao hơn rất nhiều. Cỏc nhà bảo mật đó đưa ra rất nhiều những phương ỏn cải tiến sự chứng thực nhằm mang lại tớnh bảo mật tốt hơn cho hệ thống mạng. Việc chứng thực người dựng cũng sẽ giỳp quản lý tốt hơn cỏc tài nguyờn trong mạng, cũng như quản lý người dựng và nhiều vấn đề khỏc nữa.
Chuẩn LAN khụng dõy 802.11 khụng cú sự xỏc nhận thụng minh, vỡ vậy chuẩn cụng nghiệp đó thụng qua giao thức 802.1x cho sự xỏc nhận của nú. 802.1x đưa ra cỏch thức điều khiển truy cập mạng cú port-based, cỏi này sử dụng EAP (Extensible Authentication Protocol) và RADIUS server. 802.1x khụng đưa ra giao thức xỏc nhận một cỏch cụ thể nhưng chỉ rừ EAP trong việc hỗ trợ số lượng cỏc giao thức xỏc nhận như là CHAP-MD5, TLS và Kerberos. EAP cú thể được mở rộng vỡ vậy cỏc giao thức xỏc nhận mới cú thể được hỗ trợ như trong cỏc phiờn bản sau của nú. EAP được đưa ra để hoạt động trờn giao thức Point-to-Point (PPP); để nú tương thớch với cỏc giao thức của lớp liờn kết dữ liệu khỏc (như là Token Ring 802.5 hay Wireless LANs 802.11) EAP Over LANs (EAPOL) đó được phỏt triển.
63
Mụ hỡnh xỏc thực cuối cựng được thể hiện ở hỡnh dưới:
Hỡnh 13-Mụ hỡnh xỏc thực
5.1-Giao thức chứng thực cú thể mở rộng EAP
EAP – Extensible Authentication Protocol là một dạng mở rộng của giao thức PPP trờn ý tưởng chớnh là thiết lập một khung tổng quỏt cho cỏc phương thức chứng thực. Cú thể núi là PPP bổ sung thờm cỏc module chứng thực, cỏc module này cú thể xỏc định được vai trũ của người sử dụng hệ thống mạng theo cỏch mà chỳng ta muốn. Giao thức chứng thực theo tớnh mở này giỳp người dựng cú thể đảm bảo sự tương thớch với cỏc kiểu chứng thực trong tương lai. Vớ dụ như : sử dụng mật khẩu, cỏc chứng chỉ, cỏc khoỏ sinh trắc học (võn tay, nhận dạng giọng núi…), cỏc chuẩn chứng thực như kerberos, DH,… hoặc đưa ra một chuẩn chứng thực mới.
Việc đưa ra cỏc chuẩn mở này cú thể núi là một bước tiến của cỏc hệ thống bảo mật, vỡ nú giỳp cho người quản trị cú thể tuỳ biến được hệ thống của mỡnh tốt hơn mà khụng cần phải thay đổi quỏ nhiều cỏc thành phần cũng như khụng cần hiểu sõu một cỏch chi tiết.
64
5.2- Khung 802.1x.
Trong một hệ thống làm việc, nhu cầu đảm bảo tớnh bảo mật cho quỏ trỡnh trao đổi khoỏ là một trong những vấn đề được rất nhiều người dựng và cỏc nhà quản trị mạng quan tõm, việc phõn phối khoỏ tốt sẽ làm giảm tớnh mất an toàn với cỏc trường hợp bị lộ khoỏ. Cỏc nhà sản xuất đó đề xuất đưa ra giao thức 802.1x trong việc chứng thực và phõn phối khoỏ trong cỏc sản phẩm của mỡnh. Cỏc sản phẩm ngày nay của cỏc hệ thống Cisco, Intel, Linksys…và cỏc hệ điều hành của Microsoft, đều đó được tớch hợp và tương thớch với chuẩn 802.1x này. Chuẩn này hướng tới việc chứng thực người dựng như ở mạng cú dõy, nú xỏc định đối tượng cần chứng thực là người dựng chứ khụng phải là cỏc thiết bị mạng. Điều này làm cho mối nguy hiểm đến từ cỏc thiết bị mạng khụng dõy giảm xuống tối đa. Chỳng ta hỡnh dung mỗi khi một người dựng (gọi là supplicant) cần truy nhập hệ thống mạng khụng dõy, người dựng sử dụng một thiết bị di động, tiến hành kết nối tới một access point (được gọi là người chứng thực – authenticator) và từ đú truy cập đến một mỏy chủ chứng thực người dựng (thường là RADIUS – Remote Authentication Dial-in User Service – Dịch vụ chứng thực người dựng từ xa qua đăng nhập). Người dựng và mỏy chủ sẽ tiến hành việc chứng thực thụng qua cỏc việc hỏi đỏp, nếu mỏy chủ hỏi và người dựng trả lời đỳng, trong một số hệ thống mạng khụng dõy, việc chứng thực sẽ diễn ra một lần nữa theo chiều ngược lại (người dựng hỏi và mỏy chủ trả lời), điều này đảm bảo an toàn trong việc bị tấn cụng bằng cỏc access point giả mạo. Sau khi việc chứng thực hoàn tất, người dựng và mỏy chủ chứng thực sẽ cựng nhau thống nhất một khoỏ WEP sẽ được sử dụng trong phiờn làm việc này và từ đú trở đi, người dựng sử dụng khoỏ này để làm việc với access point.
65
Cú thể núi 802.1x đơn giản là một giao thức chứng thực trờn EPA mở rộng hoạt động ở mạng cú dõy và khụng dõy. Cấu tạo chớnh của 802.1x cú 3 thành phần cơ bản :
- Supplicant : người cần kết nối với hệ thống mạng.
- Authenticator : thường là cỏc access point, nơi cho dữ liệu đi qua. - Server : mỏy chủ chứa cỏc thụng tin để chứng thực, thường là
RADIUS Server.
Hỡnh 14. Khung 802.1x.
5.3-Cơ chế chứng thực 802.1x
Việc chứng thực của 802.1x dựa trờn việc cho phộp cỏc Authenticator (cỏc access point) hoạt động như một hệ thống firewall động. Tất cả cỏc thụng tin sẽ bị chặn nếu chỳng ta khụng được chứng thực, trừ cỏc bản tin chứng thực 802.1x. Cỏc luồng thụng tin sẽ được phộp đi qua sau khi người dựng
66
(supplicant) đó được chứng thực. Trờn thực tế, để làm được như vậy, cỏc authenticator sử dụng hai cổng ảo : một cổng cú điều khiển, và một cổng phi điều khiển. Cổng phi điều khiển kết nối giữa authenticator và mỏy chủ chứng thực, cổng này giỳp truyền cỏc thụng tin giữa Authenticator và Server. Nú giỳp cho cỏc gúi tin 802.1x cú thể lưu chuyển dễ dàng từ Supplicant đến mỏy chủ chứng thực thụng qua Authenticator. Cổng cú điều khiển sẽ bắt đầu với trạng thỏi chặn tất cả cỏc thụng lượng đi qua nú, và sẽ mở ra sau khi việc chứng thực trả về kết quả đỳng, cho phộp cỏc thụng tin đi qua nú.
Hỡnh 15. Cỏc cổng điều khiển và phi điều khiển.
Quỏ trỡnh này gồm cỏc bước sau :
1 – Supplicant (client) gửi khung EAP Start đến Authenticator để Authenticator biết rằng cú người đang muốn truy nhập.
2 – Authenticator trả lời bằng viờc gửi lại một khung EAP Request/Identify để yờu cầu Supplicant gửi thụng tin chứng thực người dựng.
3 – Supplicant gửi một khung EAP Request/Identify khỏc chứa thụng tin xỏc thực của người dựng (vd : username…)
67
4 – Authenticator chuyển thụng tin này tới server chứng thực.
5 – Server chứng thực sau đú gửi tới Authenticator khung EAP/Request chứa thụng điệp thử thỏch để kiểm tra tin cậy, như yờu cầu password.
6 – Authenticator chuyển yờu cầu này tới Supplicant
7 – Supplicant gửi thụng điệp trả lời chứng thực đến Authenticator 7 – Authenticator nhận trả lời từ Supplicant này và chuyển nú đến Server chứng thực để Server đỏnh giỏ sự tin cậy
8 – Server kiểm tra và trả lại khung EAP-Success (thành cụng) hoặc EAP-Failure (thất bại) tới Authenticator.
9 – Nếu nhận được bản tin EAP–Success, Authenticator sẽ chuyển trạng thỏi cổng được điều khiển từ khụng chứng thực sang chứng thực và lưu lượng mạng sẽ được bắt đầu chuyển qua ngay lập tức.
Để đảm bảo an ninh, việc kết nối chỉ diễn ra trực tiếp giữa Supplicant và Authenticator và giữa Authenticator và Server, khụng cú kết nối bờn ngoài trực tiếp vào Server. Đảm bảo cho việc chứng thực diễn ra một cỏch an toàn hơn.
Thờm vào đú, hệ thống 802.1x cho phộp cú thể sử dụng khoỏ WEP một cỏch riờng lẻ theo từng trạm, ngăn chặn tỡnh trạng bị lộ khoỏ trờn hệ thống WEP truyền thống. Khi được trang bị khả năng này, khi bị tấn cụng và bẻ khoỏ WEP, hệ thống cũng chỉ bị mất một khoỏ làm việc với một trạm hoặc một phiờn làm việc.
Tuy nhiờn, dựa trờn cỏc khoỏ bị lộ, cỏc người dựng khụng được phộp cú thể xõm nhập bất hợp phỏp vào hệ thống và dũ tỡm cỏc khoỏ cũn lại. Nhưng dẫu sao, thỡ tớnh an toàn của hệ thống cũng đó được tăng một cỏch đỏng ghi nhận.
68
Hỡnh 15 túm tắt lại quỏ trỡnh trờn với 5 bước cơ bản :
Hỡnh 16 : Cỏc bước chứng thực 802.1x
Bước 1 : Người dựng yờu cầu chứng thực, AP khụng cho truy nhập hệ thống mạng
Bước 2 : Cỏc dữ liệu được AP mó hoỏ và chuyển cho mỏy chủ chứng thực
Bước 3 : Mỏy chủ chứng thực kiểm tra thụng tin truy nhập và cấp phỏt quyền truy nhập
Bước 4 : Một mó khoỏ WEP được cấp phỏt và AP mở cổng truy nhập cho người dựng
Bước 5 : Người dựng được phộp truy nhập vào mạng thụng qua AP một cỏch an toàn với mó khoỏ WEP của mỡnh.
69
Việc khụng sử dụng chung một mó khoỏ WEP cho mọi người dựng và mọi phiờn làm việc trong việc mó hoỏ và giải mó, giỳp WEP trở nờn linh động hơn và trỏnh được cỏc nguy cơ liờn quan tới WEP và cỏc điểm yếu mà đó được cụng bố của nú. Và do 802.1x cho phộp tạo mó khoỏ tự động, chỳng ta cú thể giỳp cỏc người dựng của mỡnh thay lại mó khoỏ của mỡnh theo chu kỳ, bằng cỏch đú dẫn tới ớt xung đột vector khởi tạo IV hơn. Vớ dụ như cứ 30 giõy thỡ lại đổi khoỏ một lần. 802.1x cũng cú thể được sử dụng để đảm bảo phõn phối khúa chủ được sử dụng trong mó húa MIC trong hệ thống sử dụng TKIP.
Với hệ thống 802.1x này, ngoài ý nghĩa làm cụng việc xỏc thực người dựng, ý nghĩa sõu hơn là nú giỳp hệ thống theo một quan điểm nào đú là cú khả năng nhận biết và kiểm soỏt được ai đang làm cỏi gỡ trong hệ thống. Điều này khụng phải bao giờ cũng đỳng khi bị hacker tấn cụng và lấy đi mó khoỏ để giả mạo là một người dựng được chứng thực trong hệ thống. Khi biết được người dựng là ai, hệ thống cú thể thực hiện cỏc thao tỏc phõn quyền cao cấp hơn cho người dựng như là giới hạn truy nhập đến cỏc tài nguyờn, hay là giới hạn thời gian truy nhập hệ thống, kiểm soỏt lưu lượng mạng, cũng như là cho phộp cấu hỡnh hệ thống hay khụng …. Những giới hạn này sẽ làm giảm thiệt hại cho hệ thống trong cỏc trường hợp bị tấn cụng.
5.4-Cỏc phƣơng thức chứng thực EAP
Giao thức chứng thực mở rộng EAP là một dạng giao thức mở cho phộp chỳng ta sử dụng nhiều phương thức chứng thực khỏc nhau, cú thể hỡnh dung nú như đường ống dẫn, cũn cỏc phương thức chứng thực là cỏi đi qua đường ống dẫn đú. Việc lựa chọn phương thức chứng thực EAP sẽ xỏc định sự phức tạp trong thực hiện cũng như sức mạnh của giải phỏp bảo mật. Mỗi phương thức cú những thế mạnh khỏc nhau, nhưng tuy nhiờn, việc lựa chọn
70
phải quan tõm đến tớnh tương thớch với tất cả cỏc thành phần của 802.1x. Sau đõy là bốn phương phỏp chứng thực chớnh được sử dụng trong cỏc hệ thống EAP :
MD5 - Message Digest 5
Phương thức chứng thực một chiều trong hệ thống mạng sử dụng mật khẩu. Đõy là một phương thức đơn giản nhất, và cũng là phương thức yếu nhất, nờn khụng được đề nghị sử dụng cho hệ thống mạng khụng dõy. Với phương thức này, mật khẩu của người dựng được lưu trữ trờn server dưới dạng bản rừ. Hệ thống này cũng vẫn cũn yếu điểm bởi vỡ nú chỉ chứng thực một chiều : server tiến hành chứng thực người dựng chứ người dựng khụng tiến hành chứng thực lại server, điều này dẫn đến cỏc sơ hở để hacker cú thể đúng giả server và tấn cụng lấy thụng tin của người dựng đơn lẻ, từ đú truy cập vào hệ thống và xõm nhập vào cỏc thụng tin nhạy cảm khỏc.
Phương thức này được sử dụng như là phương thức CHAP (Challenge Handshake Protocol) trong cỏc ứng dụng PPP truyền thống : Hai đầu kết nối chia sẻ bộ mó mật CHAP giống nhau và mỗi đầu được gỏn một tờn cục bộ riờng.
Giả sử một người dựng A quay số truy cập vào mỏy chủ truy cập B.
Mỏy chủ truy cập sẽ gửi qua đường truyền một gúi tin khởi tạo chứng thực Type 1 gọi là gúi tin thử thỏch. Gúi tin thử thỏch này chứa một số được sinh ngẫu nhiờn, một số ID sequence number để xỏc định thử thỏch và tờn chứng thực của bờn thử thỏch.
Bờn gọi sẽ lấy ra chuỗi tờn chứng thực, và tỡm trong dữ liệu của mỡnh chuỗi mó mật CHAP ứng với tờn người dựng nhận được.
71
Bờn gọi sẽ nhập mó mật của CHAP, số ID sequence number và một giỏ trị số được sinh ngẫu nhiờn vào thuật toỏn băm Message Digest 5 (MD5).
Giỏ trị kết quả sau khi tớnh toỏn hàm băm được gửi trả lại cho bờn thử thỏch (mỏy chủ truy cập) trong một gúi trả lời CHAP (Type 2) chứa chuỗi băm, tờn chứng thực của bờn gọi và cuối cựng là ID (Sequence Number) được lấy từ gúi tin thử thỏch.
Khi nhận được gúi trả lời Type 2, bờn thử thỏch sẽ sử dụng ID để tỡm gúi tin thử thỏch nguyờn thủy.
username của bờn gọi (A) được sử dụng để tỡm kiếm mó mật CHAP từ một cơ sở dữ liệu cục bộ, hay một RADIUS server hoặc một TACACS+ server.
ID, giỏ trị Challenge gốc được sinh ngẫu nhiờn và giỏ trị CHAP ngẫu nhiờn ban đầu và mó mật của được đưa vào xử lý bởi hàm băm MD5.
Chuỗi băm kết quả sau khi tớnh toỏn sau đú được so sỏnh với giỏ trị nhận được trong gúi trả lời Type 2.
Nếu 2 chuỗi là giống nhau thỡ quỏ trỡnh chứng thực CHAP đó thành cụng và cỏc gúi Type 3 được gửi đến bờn gọi chứa ID. Điều này cú nghĩa là kết nối đó được chứng thực hợp lệ.
Nếu chứng thực CHAP thất bại, một gúi tin Type 4 sẽ được gửi đến bờn gọi trong đú chứa ID nguyờn thủy, xỏc nhận quỏ trỡnh chứng thực là khụng thành cụng.
Việc băm (Hashing) hoàn toàn khỏc với việc mó húa thụng tin bởi vỡ thụng tin sẽ khụng thể được khụi phục lại sau khi thực hiện hàm băm.
Phương thức này tuy vẫn phự hợp với cỏc hệ thống quay số điện thoại. Vỡ việc xõm nhập hệ thống điện thoại để thay đổi lại thụng tin, đỏnh lừa
72
người sử dụng là một việc khú. Nhưng tuy nhiờn, nú khụng phự hợp với cỏc hệ thống mạng khụng dõy vỡ với dạng hệ thống này, việc một mỏy chủ chứng thực giả mạo được gài vào hệ thống là điều rất đơn giản. Và phương phỏp này khụng hề cung cấp cỏc khả năng chứng thực theo chiều ngược lại cho người dựng cũng như khả năng tạo khoỏ WEP/TKIP động cho từng phiờn hay từng người dựng.
LEAP – Cisco Lightweight Authentication Extension Protocol
Giao thức chứng thực mở rộng hạng nhẹ LEAP được đưa ra bởi Cisco năm 2000 cho phộp cỏc cải tiến trong việc chứng thực, cung cấp tớnh an ninh cao hơn nhiều so với MD5, nhưng do nú khụng phải là một chuẩn và cú tớnh chất sở hữu riờng của Cisco, nờn nú làm giới hạn khả năng lựa chọn thiết bị và dẫn tới những chi phớ cao trong một thời gian dài. Điều này cú thể vớ như con dao hai lưỡi, một bờn là nguy hiểm khi phải chịu phụ thuộc vào một nhà sản xuất và rất khú để chuyển sang hệ thống khỏc, một bờn là những lợi ớch về tớnh tương thớch trờn rất nhiều cỏc hệ thống vỡ Cisco là một trong những cụng ty cung cấp cỏc thiết bị mạng cú khả năng tương thớch rất tốt, hơn thế nữa, khi sử dụng cỏc sản phẩm của một cụng ty duy nhất sẽ cú cơ hội nhận được cỏc ưu tiờn và cỏc chớnh sỏch hỗ trợ tốt hơn. Ngoài ra, hệ thống sử dụng chứng thực LEAP thực sự hiệu quả, nú cung cấp cả chứng thực lẫn nhau và tạo lại khúa mó WEP động, giỳp hệ thống cú những giải phỏp bảo mật đa dạng và tốt hơn.
Bảo mật lớp chuyển vận TLS (Transport Layer Security)
Bảo mật lớp chuyển dựa trờn giao thức chứng thực gần giống giao thức được sử dụng trong SSL (Secure Socket Layer) trong bảo mật truyền thụng trờn Web. TLS cung cấp chứng thực lẫn nhau giữa supplicant và server chứng thực. Một khi chứng thực được hoàn tất, 802.1x cho phộp tạo ra cỏc khoỏ