Bảo mật WLAN bằng RADIUS Server và WPA2 -7

Bảo mật WLAN bằng RADIUS Server và WPA2 làm việc. Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẽ gãy khoá bảo mật. 3.3 WLAN VPN Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như IPSec (Internet Protocol Security). IPSec dùng các thuật toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã...
Nội dung trích xuất từ tài liệu:
Bảo mật WLAN bằng RADIUS Server và WPA2 -7 Bảo mật WLAN bằng RADIUS Server và WPA2 làm việc. Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẽ gãy khoá bảo mật. 3.3 WLAN VPN Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che ch ắn dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật nh ư IPSec (Internet Protocol Security). IPSec dùng các thu ật toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu và dùng các thu ật toán khác để xác thực gói d ữ liệu. IPSec cũng sử dụng thẻ xác nhận số để xác nhận khóa m ã (public key). Khi được sử dụng trên m ạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa. Hình 3.2 Mô hình WLAN VPN Trang 56 Bảo mật WLAN bằng RADIUS Server và WPA2 3.4 TKIP (TEMPORAL KEY INTEGRITY PROTOCOL) Là giải pháp của IEEE được phát triển năm 2004. Là một nâng cấp cho WEP nhằm vá những vấn đề bảo mật trong cài đặt mã dòng RC4 trong WEP. TKIP dùng hàm băm (hashing) IV để chống lại việc giả mạo gói tin, nó cũng cung cấp phương thức để kiểm tra tính toàn vẹn của thông điệp MIC (message integrity check) để đảm bảo tính chính xác của gói tin. TKIP sử dụng khóa động bằng cách đ ặt cho mỗi frame một chuỗi số riêng đ ể chống lại dạng tấn công giả mạo. 3.5 AES Trong mật m ã học, AES (viết tắt của từ tiếng Anh: Advanced Encryption Standard, hay Tiêu chuẩn mã hóa tiên tiến ) là một thuật toán mã hóa khối đ ược chính phủ Hoa kỳ áp dụng làm tiêu chuẩn m ã hóa. Giống nh ư tiêu chu ẩn tiền nhiệm DES, AES được kỳ vọng áp dụng trên phạm vi thế giới và đã được nghiên cứu rất kỹ lưỡng. AES được chấp thuận làm tiêu chuẩn liên bang bởi Viện tiêu chuẩn và công ngh ệ quốc gia Hoa kỳ (NIST) sau một quá trình tiêu chuẩn hóa kéo d ài 5 năm. Thu ật toán được thiết kế bởi hai nhà mật mã học người Bỉ: Joan Daemen và Vincent Rijmen (lấy tên chung là Rijndael khi tham gia cuộc thi thiết kế AES). Rijndael được phát âm là Rhine dahl theo phiên âm quốc tế (IPA: [ɹaindal]). 3.6 802.1X VÀ EAP 802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) đ ược định nghĩa bởi IEEE. Hoạt động trên cả môi trường có dây truyền thống và không dây. Việc điều khiển truy cập được thực hiện bằng cách: Khi một người dùng cố Trang 57 Bảo mật WLAN bằng RADIUS Server và WPA2 gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị ch ặn (blocking) và chờ cho việc kiểm tra định danh người dùng hoàn tất. H ình 3.3 Mô hình hoạt động xác thực 802.1x EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, cetificate,…), giao thức đư ợc sử dụng (MD5, TLS_Transport Layer Security, OTP_ One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau. Quá trình chứng thực 802.1x-EAP như sau: Wireless client muốn liên kết với một AP trong mạng. 1. AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng, khi đó Client yêu cầu liên kết tới AP 2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP 3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP 4. Thông tin đáp lại yêu cầu nhận dạng EAP của client đư ợc chuyển tới Server chứng thực Trang 58 Bảo mật WLAN bằng RADIUS Server và WPA2 5. Server chứng thực gửi một yêu cầu cho phép tới AP 6. AP chuyển yêu cầu cho phép tới client 7. Client gửi trả lời sự cấp phép EAP tới AP 8. AP chuyển sự trả lời đó tới Server chứng thực 9. Server chứng thực gửi một thông báo thành công EAP tới AP 10. AP chuyển thông báo thành công tới client và đặt cổng của client trong ch ế độ forward. 3.7 WPA (WI-FI PROTECTED ACCESS) WEP được xây dựng để bảo vệ một mạng không dây tránh bị nghe trộm. Nhưng nhanh chóng sau đó người ta phát hiện ra nhiều lổ hỏng ở công nghệ n ày. Do đó, công ngh ệ mới có tên gọi WPA (Wi-Fi Protected Access) ra đ ời, khắc phục được nhiều nhược điểm của WEP. Trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP. WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và m ột đặc điểm khác là WPA thay đ ổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá m ã hoá đ ều không thể thực hiện được với WPA. Bởi WPA thay đổi khoá liên tục n ên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra m ật khẩu. Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền. WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác b iệt chỉ là khoá khởi tạo mã hóa lúc đầu. WPA Personal thích hợp cho gia đ ình và m ạng văn phòng nhỏ, khoá Trang 59 Bảo mật WLAN bằng RADIUS Server và WPA2 khởi tạo sẽ đ ược sử dụng tại các điểm truy cập và thiết bị máy trạm . Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc. Lưu ý: Có một lỗ hổng trong WPA và lỗi này ch ỉ xảy ra với WPA Personal. Khi mà i. sử dụng hàm thay đổi khoá TKIP được sử dụng để tạo ra các khoá mã hoá b ị phát hiện, nếu hacker có thể đoán được khoá khởi tạo hoặc một phần của mật khẩu, họ có th ể xác định được toàn bộ mật khẩu, do đó có thể giải m ã được dữ liệu. Tuy nhiên, lỗ hổng này cũng sẽ bị loại bỏ bằng cách sử dụng những khoá khởi tạo không dễ đoán (đừng sử dụng những từ như P@SSWORD để làm mật khẩu). Điều n ày cũng có nghĩa rằng kỹ thuật TKIP của WPA chỉ là giải p ...