Là một thiết bị ngoại vi dùng để thu phát tín hiệu, truyền tải thông tin giữa các thiết bị Wireless, và mạng dùng dây. Thị trường phổ biến là Access Point chuẩn B (11MB/s) chuẩn G (54MB/s) chuẩn Super G (108MB/s) dung công nghệ MIMO (Multi Input – Multi Output), và chuẩn N là chuẩn có tốc độ cao nhất hiện nay với tốc độ lên tới 300MB/s. Access Point có ba chế độ cơ bản:
Chế độ gốc (Root Node): Là kiểu thông dụng nhất, khi Access Point (AP) kết nối trực tiếp tới mạng dây thông thường, trong chế độ Root mode, AP kết nối ngang hàng với các đoạn mạng dây khác và có thể truyền tải thông tin như trong một mạng dùng dây bình thường.
Hình 3.5: Chế độ gốc
Chế độ lặp (Repeater Mode): AP trong chế độ repeater kết nối với client như một AP và kết nối như 1 client với AP server.Chế độ Repeater thường được sử dụng để mở rộng vùng phủ sóng nhưng 1 điểm yếu của chế độ Repeater là phạm vi phủ sóng của hai AP bị trùng lắp ít nhất 50%.Mô hình dưới đây sẽ diễn tả chế độ Repeater.
Chế độ cầu nối (Bridge Mode): Chế độ Bridge mode thường được sử dụng khi muốn kết nối hai đoạn mạng độc lập với nhau.
Hình 3.7: Chế độ cầu nối 3.4.7. Mô hình thực tế của mạng WLAN.
- Mô hình mạng không dây kết nối với mạng có dây: Trên thực tế thì có rất nhiều mô hình mạng không dây từ một vài máy tính kết nối Adhoc đến mô hình WLAN, WWAN, mạng phức hợp. Sau đây là hai loại mô hình kết nối mạng không dây phổ biến, từ hai mô hình này có thể kết hợp để tạo ra nhiều mô hình phức tạp, đa dạng khác. AP sẽ làm nhiệm vụ tập trung các kết nối không dây, đồng thời nó kết nối vào mạng WAN (hoặc LAN) thông qua giao diện Ethernet RJ45, ở phạm vi hẹp có thể coi AP làm nhiệm vụ như một router định tuyến giữa hai mạng này.
WAN Access Point Wireless Station Wireless Station ` Wireless Network Wireline Network
Hình 3.7: Mô hình mạng không dây kết nối với mạng có dây
- Hai mạng có dây kết nối với nhau bằng kết nối không dây: Kết nối không dây giữa hai đầu của hai mạng WAN sử dụng thiết bị Bridge làm cầu nối, có thể kết hợp sử dụng chảo thu phát nhỏ truyền sóng viba. Khi đó khoảng cách giữa hai đầu kết nối có thể từ vài trăm mét đến vài chục km tùy vào loại thiết bị cầu nối không dây.
Wireless Network WAN Wireline Network Bridge Building WAN Wireline Network Bridge Building
Hình 3.8: Mô hình hai mạng không dây kết nối với nhau 3.4.8. Một số cơ chế trao đổi thông tin trong WLAN
Cơ chế CSMA-CA: Nguyên tắc cơ bản khi truy cập của chuẩn 802.11 là sử dụng cơ chế CSMA-CA viết tắt của Carrier Sense Multiple Access Collision Avoidance – Đa truy cập sử dụng sóng mang phòng tránh xung đột. Nguyên tắc này gần giống như nguyên tắc CSMA- CD (Carrier Sense Multiple Access Collision Detect) của chuẩn 802.3 (cho Ethernet). Điểm khác ở đây là CSMA-CA nó sẽ chỉ truyền dữ liệu khi bên kia sẵn sàng nhận và không truyền, nhận dữ liệu nào khác trong lúc đó, đây còn gọi là nguyên tắc LBT listening before talking nghe trước khi nói
Trước khi gói tin được truyền đi, thiết bị không dây đó sẽ kiểm tra xem có các thiết bị nào khác đang truyền tin không, nếu đang truyền, nó sẽ đợi đến khi nào các thiết bị kia truyền xong thì nó mới truyền. Để kiểm tra việc các thiết bị kia đã truyền xong chưa, trong khi “đợi” nó sẽ hỏi “thăm dò” đều đặn sau các khoảng thời gian nhất định.
Cơ chế RTS/CTS: Để giảm thiểu nguy xung đột do các thiết bị cùng truyền trong cùng thời điểm, người ta sử dụng cơ chế RTS/CTS – Request To Send/ Clear To Send. Ví dụ nếu AP muốn truyền dữ liệu đến STA, nó sẽ gửi 1 khung RTS đến STA, STA nhận được tin và gửi lại khung CTS, để thông báo sẵn sàng nhận dữ liệu từ AP, đồng thời không thực hiện truyền dữ liệu với các thiết bị khác cho đến khi AP truyền xong cho STA. Lúc đó các thiết bị khác nhận được thông báo cũng sẽ tạm ngừng việc truyền thông tin đến STA. Cơ chế RTS/CTS đảm bảo tính sẵn sàng giữa 2 điểm truyền dữ liệu và ngăn chặn nguy cơ xung đột khi truyền dữ liệu.
Cơ chế ACK: ACK – Acknowledging là cơ chế thông báo lại kết quả truyền dữ liệu. Khi bên nhận nhận được dữ liệu, nó sẽ gửi thông báo ACK đến bên gửi báo là đã nhận được bản tin rồi. Trong tình huống khi bên gửi không nhận được ACK nó sẽ coi là bên nhận chưa nhận được bản tin và nó sẽ gửi lại bản tin đó. Cơ chế này nhằm giảm bớt nguy cơ bị mất dữ liệu trong khi truyền giữa hai điểm.
3.5. Tổng kết chƣơng
Qua chương này chúng ta đã biết được cấu trúc cơ bản của một mạng WLAN và các công nghệ thường được dùng.Cũng như các tổ chức chính trong WLAN có trách nhiệm phân phối qui định cách thức hoạt động của các chuẫn WLAN. Bên cạnh đó chúng ta cũng đã được tìm hiểu các chuẩn 802.11, ưu nhược điểm của mạng WLAN. Biết được các mô hình mạng WLAN căn bản trên cơ sở đó giúp chúng ta được phần nào khi có ý định xây dưng một mô hình mạng không dây cho cá nhân hay một doanh nghiệp vừa và nhỏ.
CHƯƠNG 4: BẢO MẬT MẠNG KHÔNG DÂY
4.1. Cách thức tiến hành bảo mật cho WLAN
Do nâng cấp lên từ hệ thống mạng có dây truyền thống lên hệ thống mạng không dây nên cơ chế bảo mật nảy sinh ra những vấn đề mới cần được giải quyết.Vì là hệ thống mạng không dây nên không chỉ nhân viên trong công ty có thể sử dụng mà kể cả người ngoài cũng có thể dễ dàng đột nhập vào hệ thống nếu họ có thiết bị thu sóng wireless. Để giải quyết vấn đề này, ta cần phải thiết lập các cơ chế bảo mật cho hệ thống mạng không dây của công ty. Để cung cấp một phương thức bảo mật tối thiểu cho một mạng WAN thì ta cần có hai thành phần sau:
- Một cách thức để quyết định ai hay cái gì có thể sử dụng WLAN: Yêu cầu này được thõa mãn bằng cơ chế xác thực (authentication).
- Một phƣơng thức để cung cấp tính riêng tƣ cho dữ liệu không dây: Yêu cầu này được thõa mãn bằng một thuật toán (encryption).
Bảo mật mạng không dây bao gồm cả chứng thực và mã hóa. Nếu chỉ có một cơ chế duy nhất thì không đủ để bảo đảm an toàn cho mạng không dây.
4.2. Cơ chế chứng thực
Chứng thực có nghĩa là chứng nhận, xác thực sự hợp pháp của một ngƣời, một quá trình tham gia, sử dụng nào đó qua các phƣơng thức, công cụ nhƣ mã khóa, chìa khóa, tài khoản, chữ ký, vân tay…Qua đó có thể cho phép hoặc không cho phép các hoạt động tham gia, sử dụng. Ngƣời đƣợc quyền tham gia,
sử dụng sẽ đƣợc cấpmột hay nhiều phƣơng thức chứng nhận, xác thực trên.
Trong một mạng không dây, giả sử là sử dụng một AP để liên kết các máy tính lại với nhau, khi một máy tính mới muốn gia nhập vào mạng không dây đó, nó cần phải kết nối với AP. Để chứng thực máy tính xin kết nối đó, có nhiều phương pháp AP có sử dụng như MAC Address, SSID, WEP, RADIUS,EAP.
4.2.1. Nguyên lý RADIUS SERVER
Việc chứng thực của 802.1x được thực hiện trên một server riêng, server này sẽ quản lý các thông tin để xác thực người sử dụng như tên đăng nhập (username), mật khẩu (password), mã số thẻ, dấu vân tay, .. Khi người dùng gửi yêu cầu chứng thực, server này sẽ tra cứu dữ liệu để xem người dùng này có hợp lệ không, được cấp quyền truy cập đến mức nào…Nguyên lý này được gọi là RADIUS (Remote Authentication Dial−in User Service) Server – Máy chủ cung cấp dịch vụ chứng thực người dùng từ xa thông qua phương thức quay số. Phương thức quay số xuất hiện từ ban đầu với mục đích là thực hiện qua đường điện thoại, ngày nay không chỉ thực hiện qua quay số mà còn có thể thực hiện trên những đường truyền khác nhưng người ta vấn giữ tên RADIUS như xưa.
Các quá trình liên kết và xác thực được tiến hành như mô tả trong hình trên, và thực hiện theo các bước sau:
Hình 4.2: Hoạt động của Radius Server
Các bước thực hiện như sau:
Máy tính Client gửi yêu cầu kết nối đến AP.
AP thu thập các yêu cầu của Client và gửi đến RADIUS server.
RADIUS server gửi đến Client yêu cầu nhập user/password.
Client gửi user/password đến RADIUS Server.
RADIUS server kiểm tra user/password có đúng không, nếu đúng thì
RADIUS server sẽ gửi cho Client mã khóa chung.
Đồng thời RADIUS server cũng gửi cho AP mã khóa này và đồng thời thông
báo với AP về quyền và phạm vi đƣợc phép truy cập của Client này.
Client và AP thực hiện trao đổi thông tin với nhau theo mã khóa được cấp.
Để nâng cao tính bảo mật, RADIUS Server sẽ tạo ra các khóa dùng chung khác nhau cho các máy khác nhau trong các phiên làm việc (session) khác nhau, thậm chí là còn có cơ chế thay đổi mã khóa đó thường xuyên theo định kỳ. Khái niệm khóa dùng chung lúc này không phải để chỉ việc dùng chung của các máy tính Client mà để chỉ việc dùng chung giữa Client và AP.
Để đảm bảo an toàn trong quá trình trao đổi bản tin chứng thực giữa Client và AP không bị giải mã trộm, sửa đổi, người ta đưa ra EAP (Extensible Authentication Protocol) – giao thức chứng thực mở rộng trên nền tảng của 802.1x.
Giao thức chứng thực mở rộng EAP là giao thức hỗ trợ, đảm bảo an ninh trong khi trao đổi các bản tin chứng thực giữa các bên bằng các phương thức mã hóa thông tin chứng thực. EAP có thể hỗ trợ, kết hợp với nhiều phương thức chứng thực của các hãng khác nhau, các loại hình chứng thực khác nhau ví dụ ngoài user/password như chứng thực bằng đặc điểm sinh học, bằng thẻ chip, thẻ từ, bằng khóa công khai, vv...Kiến trúc EAP cơ bản được chỉ ra ở hình dưới đây, nó được thiết kế để vận hành trên bất cứ lớp đường dẫn nào và dùng bất cứ các phương pháp chứng thực nào.
Hình 4.3: Kiến trúc EAP cơ bản
Hình 4.4: Bản tin EAP Các trƣờng của bản tin EAP:
- Code: Trường đầu tiên trong bản tin, là một byte dài và xác định loại bản tin của EAP. Nó thường được dùng để thể hiện trường dữ liệu của bản tin. - Identifier: Là một byte dài. Nó bao gồm một số nguyên không dấu được
dùngđể xác định các bản tin yêu cầu và trả lời. Khi truyền lại bản tin thì vẫn là các số identifier đó, nhưng việc truyền mới thì dùng các số identifier mới.
- Length: Có giá trị là 2 byte dài. Nó chính là chiều dài của toàn bộ bản tin bao gồm các trường Code, Identifier, Length, và Data.
- Data: Là trường cuối cùng có độ dài thay đổi. Phụ thuộc vào loại bản tin, trường dữ liệu có thể là các byte không. Cách thể hiện của trường dữ liệu được dựa trên giá trị của trường Code.
4.3. Tổng quan về mã hóa
Cơ chế mã hóa dữ liệu dựa trên những thuật toán mật mã (cipher) làm cho dữ liệu xuất hiện theo dạng ngẫu nhiên. Có hai loại mật mã:
+ Mật mã dòng (stream cipher). + Mật mã khối (block cipher).
Cả hai loại mật mã này hoạt động bằng cách cách sinh ra một chuỗi khóa (key stream) từ một giá trị khóa bí mật. Chuỗi khóa sau đó được trộn với dữ liệu (ở dạng chưa mã hóa gọi là plaintext) để sinh ra dữ liệu đã được mã hóa hay còn gọi là ciphertext. Hai loại mật mã trên khác nhau về kích thước của dữ liệu mà chúng thao tác tại một thời điểm.
4.3.1. Mật mã dòng
Mật mã dòng phát sinh chuỗi khóa liên tục dựa trên giá trị khóa. Ví dụ, một mật mã dòng có thể sinh ra một chuỗi dài 15 byte để mã hóa một khung và một chuỗi khóa khác dài 200 byte để mã hóa môt khung khác. Hình 1 minh họa hoạt động của mật mã dòng. Mật mã dòng khá nhỏ và một thuật toán mã hóa rất hiệu quả, kết quả là nó không sử dụng nhiều CPU. Mật mã dòng phổ biến là RC4, chính là nền tảng của thuật toán WEP.
Hình 4.3: Hoạt động của mật mã dòng 4.3.2. Mật mã khối
Một mật mã khối sinh ra sinh ra một chuỗi khóa duy nhất và có kích thước cố định, chuỗi ký tự chưa mã hóa (plaintext) sẽ đươc phân mảnh thành những khối (block) và mỗi khối sẽ được trộn với một chuỗi khóa độc lập. Nếu như khối plaintext là nhỏ hơn khối chuỗi khóa thì plaintext sẽ được đệm thêm vào để có kích thước thích hợp. Hình 2 minh họa hoạt động của của mật mã khối. Tiến trình phân mảnh cùng với các thoa tác khác của mật mã khối sẽ làm tiêu tốn nhiều tài nguyên CPU hơn là mật mã dòng. Kết quả là mật mã khối sẽ làm giảm thông lượng của thiết bị.
Tiến trình mã hóa được mô tả ở đây của mật mã dòng và mật mã khối được gọi là chế độ mã hóa khối mã hóa tử ECB ( Electronic Code Block). Chế độ mã hóa ECB có đặc điểm là cùng một đầu vào plaintext sẽ luôn sinh ra cùng một đầu ra ciphertext. Yếu tố này chính là một nguy cơ bảo mật tiềm tàng bỡi vì những kẻ nghe lén có thể nhìn thấy được dạng của ciphertext có thể đoán được plaintext ban đầu.
Hình 4.4: Hoạt động của mật mã khối
Một số kỹ thuật mã hóa có thể khắc phục vấn đề này bao gồm:
- Vector khởi tạo IV (Initialization vector).
Hình 4.5: Mã hóa vectơ khởi tạo
Một vector khởi tạo IV là một số được cộng thêm vào khóa, kết quả cuối cùng là thay đổi chuỗi khóa. IV sẽ được nối vào vào khóa trước khi chuổi khóa được sinh ra. Mỗi khi IV thay đổi thì chuỗi khóa cũng thay đổi theo. Hình 4.6 minh họa hai trường hợp:
- Thứ nhất, mã hóa mật mã dòng không sử dụng IV. Trong trường hợp này thì dữ
liệu planintext khi trộn với chuỗi khóa 12345 sẽ luôn luôn sinh ra ciphertext là AHGHE.
- Thứ hai, mã hóa sử dụng IV. Trong trường hợp này thì chuỗi khóa sẽ có những giá
trị khác nhau khi IV thay đổi, kết quả sẻ có ciphertext khác nhau.
Chế độ phản hồi: Chế độ phản hồi (feedback) sữa đổi tiến trình mã hóa để tránh một việc plaintext sinh ra trong cùng một ciphertext trong suốt quá trình mã hóa. Chế độ phản hồi thường được sử dụng với mật mã khối.
4.4. Các phƣơng thức bảo mật trong WLAN 4.4.1. Bảo mật bằng WEP
Phƣơng thức chứng thực qua SSID khá đơn giản, chính vì vậy mà nó chƣa đảm bảo đƣợc yêu cầu bảo mật, mặt khác nó chỉ đơn thuần là chứng thực mà
chƣa có mã hóa dữ liệu. Do đó chuẩn 802.11 đã đƣa ra phƣơng thức mới là WEP. WEP có thể dịch là chuẩn bảo mật dữ liệu cho mạng không dây mức độ
tƣơng đƣơng với mạng có dây, là phƣơng thức chứng thực ngƣời dùng và mã hóa nội dung dữ liệu truyền trên mạng LAN không dây (WLAN).Nó dựa trên mật mã dòng đối xứng (symmetric) RC4. Đặc điểm đối xứng của RC4 yêu cầu
khóa WEP phải khớp nhau giữa Access Point (AP) và client . WEP là một thuật toán mã hóa đƣợc sử dụng bởi tiến trình xác thực ngƣời dùng và mã hóa
dữ liệu trên phân đoạn mạng không dây của mạng LAN. Chuẩn 802.11 yêu cầu sử dụng WEP nhƣ là phƣơng thức bảo mật cho mạng không dây.
Hình 4.6: Khung đã đƣợc mã hóa bởi WEP
WEP là một thuật toán đơn giản sử dụng bộ phát sinh số ngẫu nhiên PRNG (Pseudo-Random Number Generator) và mật mã dòng RC4. RC4 thuộc sở hữu thương mại của RSADSL. Mật mã dòng RC4 là khá nhanh để mã hóa và giải mã,
vì thế mà nó tiết kiệm được CPU, RC4 cũng đủ đơn giản để các nhà phần mềm lập trình nó vào trong sản phẩm của mình.
Để tránh chế độ ECB trong quá trình mã hóa, WEP sử dụng 24 bit IV, nó được nối