Wireless Security – Các khái niệm cơ bản

Wired Equivalent Privacy (WEP)

Wired Equivalent Privacy (WEP) là một giải thuật mã hóa bảo vệ dữ liệu trong mạng LAN không dây tránh bị nghe trộm. Khi dùng WEP, các mạng LAN không dây sinh và phân phối những key chia sẻ giữa client và các điểm truy cập (access point – AP) sao cho cả hai bên đều cùng biết. WEP dùng các key đó để authenticate, đồng thời để mã hóa dữ liệu. Điều đầu tiên AP cần xác định khi một máy client được cấu hình WEP sẵn truy cập vào mạng không dây, là key của client có phù hợp hay không.

Có hai loại WEP key – 64 bit và 128 bit. Mỗi loại đều dùng một vector khởi tạo dài 24 bit, theo sau đó là một khóa bí mật dài 40 bit hay 104 bit để tương ứng với hai loại độ dài khác nhau.

Có hai cách để phân phối các WEP key:

  • Key tĩnh: Các key được thiết lập tĩnh một cách thủ công. Thường thì ta thiết lập các key này thông qua phần mềm điều khiển access point. Ta có thể chọn key ở dạng ASCII (dạng chữ, số) hay dạng HEX (thập lục phân) và chiều dài key là 64 bit hay 128 bit. Mỗi client phải được cấu hình WEP key tĩnh thủ công giống với key ở access point, và không bao giờ được thay đổi cho đến khi key ở trên access point thay đổi. Khi key trên access point thay đổi, toàn bộ các client cũng phải thay đổi theo một cách thủ công. Điều này làm tăng rủi ro bảo mật, tốn thời gian và công sức trong quản lý. Vì vậy WEP key tĩnh chỉ phù hợp cho những mạng LAN không dây nhỏ và đơn giản.
  • Cung cấp key tập trung thông qua máy chủ: Các máy chủ sẽ phát hành WEP key đến các máy client và AP theo một cơ chế định trước. Máy chủ phân phối WEP key theo hai cơ chế như sau:
    • Phân phối key theo từng packet – khi mỗi packet được gửi thì yêu cầu key mới cho cả hai đầu kết nối.
    • Phân phối key theo từng session – khi mỗi session mới được thiết lập giữa các bên thì sinh ra một key mới.

Với phương pháp này, WEP key được thay đổi liên tục và chỉ có tác dụng trong một khoảng thời gian nhất định. Việc tạo khóa và phân phối được tập trung và tự động hóa, do đó giảm chi phí quản lý xuống tối thiểu.

So với WEP key tĩnh, cung cấp key tập trung thông qua máy chủ có tính thực tế cao hơn và an toàn hơn trong mạng LAN không dây.

WEP dùng giải thuật RC4 để mã hóa dữ liệu và CRC-32 checksum để kiểm tra sự toàn vẹn dữ liệu trên đường truyền. Tuy nhiên RC4 lại có điểm yếu bảo mật với vector khởi tạo (IV) chỉ dài 24 bit và CRC-32 là giải thuật checksum tuyến tính có thể bị kẻ xấu lợi dụng để thay đổi nội dung gói tin. Những điểm yếu này để ngỏ nhiều lỗ hổng khiến cho WEP dễ bị khai thác tấn công.

802.1x

Chuẩn 802.1x cung cấp phương pháp port-based điều khiển truy cập vào mạng. Nó đưa ra một framework cho việc xác nhận và điều khiển lưu thông của user trong mạng được bảo vệ, cũng như cấp phát động các key mã hóa khác nhau.

Gọi cơ chế điều khiển truy cập của 802.1X là port-based vì khi một client chưa được authenticate kết nối vào AP, AP sẽ phản ứng lại bằng cách kích hoạt 1 port để vận chuyển chỉ các gói tin EAP từ client đến server làm nhiệm vụ xác thực, được kết nối bằng cáp với AP. AP khóa tất cả những traffic khác, như HTTP, DHCP, POP3… cho đến khi client được xác nhận thành công.

802.1x kết nối một giao thức gọi là EAP (Extensible Authentication Protocol) đến các thiết bị nằm ở phía không dây và có dây của AP, đồng thời hỗ trợ xác nhận với nhiều phương pháp khác nhau, như mật khẩu dùng một lần hay xác nhận khóa công khai.

Quy trình xác nhận (authenticate) và xác thực quyền (authorize) theo chuẩn 802.1x trên mạng LAN không dây được tóm tắt như sau:

  1. Client gửi yêu cầu truy cập đến access point
  2. Access point yêu cầu một username và password từ client sau đó gửi phản hồi đến authentication server.
  3. Server gửi yêu cầu thử thách cho việc truy cập đến AP, sau đó AP lại gửi yêu cầu thử thách đến cho client.
  4. Client gửi phản hồi thử thách đến AP, AP lại chuyển phản hồi đến server.
  5. Nếu phản hồi là đúng, server trả về một thông điệp thành công và WEP key được mã hóa trong một session key đến cho client thông qua AP.
  6. Client và AP bắt đầu giao tiếp thông qua WEP key.

So với WEP, 802.1x có những ưu điểm:

  • Quá trình authenticate tốt hơn và có khả năng mã hóa key
  • Khả năng tương vận (Interoperability) cao cho nhiều loại thiết bị từ nhiều nhà cung cấp khác nhau.
  • WEP key đươc tạo động

Wi-Fi Protected Access (WPA)

Là một chuẩn bảo mật có khả năng tương vận được thiết kế để tăng cường bảo vệ dữ liệu và điều khiển truy cập cho các hệ thống mạng LAN không dây.

WPA được thiết kế để lấp những lỗ hổng bảo mật của WEP, đặc biệt là quá trình mã hóa dữ liệu và authenticate yếu.

WPA cung cấp hai yếu tố cải tiến về bảo mật như sau:

  • Cải tiến mã hóa dữ liệu thông qua TKIP. Temporal Key Integrity Protocol, cung cấp sự cải tiến trong mã hóa dữ liệu bằng cách trộn lẫn key đựơc sinh theo từng packet với véc tơ khởi tạo (IV) được mở rộng với những sequence counter để chống replay attack trên WEP, sau đó mới chuyển đến quy trình khởi tạo mã hóa RC4. Ngoài ra, TKIP còn hiện thực chức năng kiểm tra sự toàn vẹn thông điệp (Message Integrity Check – MIC) 64 bit với giải thuật MICHAEL.
  • Authenticate người dùng ở mức độ doanh nghiệp thông qua 802.1x và EAP. Framework 802.1x và EAP dùng một máy chủ authenticate tập trung, chẳng hạn như RADIUS, để authenticate mỗi người dùng trong mạng trước khi họ kết nối vào. Nó cũng sử dụng cơ chế “nhận dạng lẫn nhau” để ngăn chặn người dùng truy cập vào một mạng giả mạo có thể đánh cắp nhận dạng của họ.

WPA2, thế hệ thứ hai của WPA, dựa trên bản sửa đổi 802.11i của IEEE dành cho chuẩn 802.11. Điểm khác biệt chính giữa hai thế hệ là WPA2 dùng kỹ thuật mã hóa phức tạp hơn là AES (Advanced Encryption Standard), còn gọi là Rijndael. Đây là một giải thuật mã hóa khối được công nhận như là chuẩn mã hóa cho chính phủ Mỹ.

About dongthao

The best things in life, they are free ... (Cry on my shoulder lyric)
This entry was posted in Networking and tagged , , , , . Bookmark the permalink.

Có 4 phản hồi tại Wireless Security – Các khái niệm cơ bản

  1. Xin giúp đỡvề wireless nói:

    mình sử dụng laptop Asus, có hổ trợ wireless.Ở nơi bán máy thì truy cập vào mạng có dây hoặc không dây bình thường.Ở nhà mình dùng router ADSL kết nối qua router wireless Dlink,khi kết nối vào wireless này thì bị yêu cầu nhập security key passpharse,mình không biết về mạng, mong các bạn giúp đỡ.Xin cảm ơn

  2. à há, trường hợp này router wireless của bạn tạm gọi là Access Point (AP) đã được một người (tổ chức, hay bạn) cấu hình password để tránh những sự truy cập vào mạng trái phép, vì thế khi bạn truy cập vào AP để ra mạng Internet bằng sóng wifi thì cần phải có password chứng thực, và password này chỉ có người cấu hình AP mới biết được.
    Nếu bạn cần biết thêm thông tin hướng dẫn chi tiết hơn, vui lòng mail đến địa chỉ của mình: cothailan@yahoo.com hoặc add nick Y!M: cothailan
    chúc bạn một ngày vui vẻ.

  3. trinh van dat nói:

    co truong hop AP dat tien ko ket noi duoc, nen muon AP cu ve thu thi lai duoc!!!!!!

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s