I.

Tổng quan về wireless:
1. Khái niệm: Mạng không dây là sự kết nối 2 hay nhiều máy tính qua tín hiệu sóng radio. Mạng cho phép người sử dụng chia sẻ các tập tin, máy in hay truy cập Internet. Đặc điểm của mạng không dây: - Chia sẻ nguồn tài nguyên và truyền không cần dây. - Cài đặt dễ dàng, tính ổn định cao nên thích hợp với sử dụng trong các gia đình cũng như ở công sở. - Kết nối từ nhiều thiết bị khác nhau. - Đắt hơn rất nhiều so với công nghệ mạng dây như Ethenet. Nếu bạn cần kết nối 2 hay nhiều máy tính ở những nơi không thể sử dụng hoặc rất khó có thể sử dụng mạng cáp chuẩn thì mạng không dây sẽ đáp ứng được yêu cầu của bạn. Mỗi máy tính cá nhân được trang bị một thiết bị thu phát tín hiệu radio từ các máy tính khác trong mạng, gọi là bộ điều hợp mạng LAN không dây (wireless LAN adapter ) hay là các card mạng LAN không dây. Bạn có thể tìm thấy các adapter được tích hợp bên trong hoặc là phụ kiện bên ngoài của các máy tính cá nhân và máy tính xách tay. Tương tự như mạng Ethernet, mạng LAN không dây truyền tín hiệu theo dạng gói. Mỗi adapter có một số ID địa chỉ duy nhất. Mỗi gói chứa dữ liệu cũng như địa chỉ của adapter nhận và adapter gửi. Thêm vào đó, card mạng còn có khả năng kiểm tra đường truyền trước khi gửi dữ liệu lên mạng. Nếu đường truyền rỗi, chúng sẽ gửi dữ liệu đi. Nếu không, card mạng sẽ tạm nghỉ và chúng sẽ kiểm tra lại đường truyền sau một thời gian. 2. Phân loại: a/ Chuẩn của Wireless Networks ZIEEE 802.15: Bluetooth, được sử dụng trong mạng Personal Area Network (PAN). ZIEEE 802.11: Wifi, được sử dụng cho mạng Local Area Network (LAN). ZIEEE 802.16: WiMax (Worldwide Interoperability for Microwave Access), được sử dụng cho Metropolitan Area Networki (MAN). ZIEEE 802.20: được sử dụn cho Wide Area Network (WAN). b/ Các loại Wireless Networks: Wireless LAN ( Wifi ): Kết nối wireless trong một phạm vi nhỏ như trong một phòng, một toà nhà, hoặc giữa hai toà nhà gần nhau…Bán kính phủ sóng bên

trong ( indoor ) khoảng vài trăm mét… Bên ngoài ( outdoor ) khoảng vài km. Thường được sử dụng ở những nơi đông đúc như khách sạn, sân bay, ga tàu điện, trường học…Sử dụng chuẩn 802.11.. Wireless-MAN ( WiMax ): Kết nối wireless giữa những building khác nhau, hay giữa các building trong cùng một thành phố…Bán kính phủ sóng có thể lên tới vài chục km. Thường được sử dụng ở những nơi thưa thớt dân cư hay nơi có đia hình phức tạp. 3. Tìm hiểu về WLan ( Wireless Lan ): Hiện nay, tiêu chuẩn chính cho Wireless LAN là một họ giao thức truyền tin qua mạng không dây 802.11 được phát triển bởi IEEE. Nó định ra những tiêu chuẩn cho việc kết nối giữa một wireless client và một base station hay giữa các wireless client với nhau. Chuẩn này, 802.11 được IEEE phát triển và đưa ra vào năm 1997. Gồm có: 802.11, 802.11a, 802.11b, 802.11b+ (được cải tiến từ 802.11b), 802.11g, 802.11h, 802.11n 802.11: - Tốc độ truyền khoảng từ 1 đến 2 Mbps, hoạt động ở băng tần 2.4GHz. - Tầng vật lí sử dụng phương thức DSSS (Direct Sequence Spread Spectrum ) hay FHSS ( Frequency Hoping Spread Spectrum ) để truyền. 802.11a: - Là phần mở rộng của chuẩn 802.11, cung cấp tốc độ truyền lên tới 54 Mbps, hoạt động ở dải băng tần 5 GHz. Sử dụng phương pháp điều chế ghép kênh theo vùng tần số vuông góc Orthogonal Frequency Division Multiplexing ( OFDM ). - Có thể sử dụng đến 8 Access Point ( truyền trên 8 kênh non-overlapping, kênh không chồng lãnh thổ ), đặc điểm này ở dải tần 2.4GHz, chỉ sử dụng được đến 3 Access Point ( truyền trên 3 kên non-overlapping ). - Hỗ trợ đồng thời nhiều người sử dụng với tốc độ cao và ít bị xung đột. - Các sản phẩm theo chuẩn 802.11a không tương thích với các sản phẩm theo chuẩn 802.11, 802.11b và 802.11g vì chúng hoạt động trên các dải băng tần khác nhau. Tuy nhiên, các nhà sản xuất chipset đang cố gắng đưa ra loại chipset hoạt động ở cả hai chuẩn 802.11a và 802.11b. Sự phối hợp này được biết đến với tên gọi là Wifi5. 802.11b, 802.11b+: - Cũng được biết với tên gọi 802.11 Hight Rate hay thông dụng hơn là Wifi. - Cung cấp tốc độ truyền là 11 Mpbs ( 802.11b ) hay 22 Mbps ( 802.11b+), hoạt động ở dải băng tần 2.4 GHz. Có thể tương thích với 802.11 và 802.11g. Tốc độ có

thể ở 1, 2, hay 5,5 Mbps. - Tầng vật lí chỉ sử dụng trải phổ trực tiếp DSSS. - Được đưa ra vào năm 1999, cải tiến từ chuẩn 802.11, cho phép các chức năng của mạng wireless phù hợp với mạng Ethernet. - Các sản phẩm theo chuẩn 802.11b được kiểm tra và thử nghiệm bởi hiệp hội các công ty Ethernet không dây (WECA) và được biết đến như là hiệp hội WiFi. Những sản phẩm Wireless được WiFi kiểm tra nếu đạt thì sẽ mang nhãn hiệu này. - Đây là một chuẩn được sử dụng rộng rãi nhất hiện nay cho Wireless LAN, vì nó sử dụng ở dải băng tần 2.4 GHz , hay còn gọi là unlicesed frequency hay là ISM ( Industrial, Service and Medical). Ngoài ra, dải băng tần này còn được sử dụng cho các chuẩn mạng không dây khác là Bluetooth và HomeRF. 802.11g: - Cung cấp tốc độ truyền khoảng 20+Mbps, hoạt động ở dải băng tần 2.4GHz. - Phương thức điều chế: có thể dùng 1 trong 2 phương thức: + OFDM ( giống 802.11a ) : tốc độ truyền có thể lên tới 54 Mbps. + DSSS: tốc độ giới hạn ở 11 Mbps. - Tương thích ngược với 802.11b. - Bị hạn chế về số kênh truyền. 802.11h: - Được sử dụng ở châu Âu, hoạt động ở băng tần 5 GHz. 802.11x: Chuẩn IEEE 802.1X xác định cơ chế dựa trên điều khiển truy cập các cổng trong mạng sử dụng các đặc tính vật lý của cơ sở hạ tầng mạng LAN IEEE 802. Nó cung cấp phương thức xác thực và quyền ghép các thiết bị vào cổng mạng LAN đó là đặc tính kết nối điểm điểm. Các thông số 802.1X gồm một số đặc tính hố trợ cho điều khiển truy cập cổng trong mạng LAN không dây (WLANs). Đặc tính này gồm các khả năng cho điểm truy cập mạng không dây để đạt được khó thông tin và xác thực thành công.  Chuẩn 802.11x là cơ chế xác thực và điều khiển truy nhập dựa trên giao thức EAP ( Extensible Authentication Protocol ).

II. Tổng quan giao thức bảo mật cho mạng không dây.
1. Đặt vấn đề: a/ Tại sao phải bảo mật cho mang không dây? Tính tương hỗ: Nó cung cấp tính xác thực lẫn nhau, đó là người chịu trách nhiệm xác thực phải xác thực được người sử dụng và ngược lại người sử dụng cũng phải kiểm tra lại đối tượng xác thực mình. Đây là yêu cầu quan trọng trong mạng không dây bởi vì những kẻ tấn công rất dễ tạo ra những điểm truy cập giả. Có hai khả năng tấn công có thể xảy ra. Thứ nhất kẻ giả mạo không được truy cập vào mạng và tấn công người sử dụng để lấy thông tin xác thực. Thứ hai, khi kẻ giả mạo kết nối vào được mạng sẽ bỏ qua sự xác thực của người sử dụng và quyền truy cập mạng. Khi đó người sử dụng có thể bị theo dõi thậm chí có thể bị thay đổi dữ liệu do kẻ tấn công sẽ chèn dữ liệu của họ vào. Cơ chế tự bảo vệ: Nó phải tự bảo vệ khỏi việc nghe trộm khi đường truyền vật lý không đảm bảo an toàn. Cơ chế xác thực được thực hiện theo cách mà người nghe trộm không thể học được được bất kỳ tính năng nào. Khả năng ngăn chặn cách thức tấn công kiểu từ điển – Nó có khả năng ngăn chặn tấn công cả online hoặc offline. Với hình thức tấn công online có thể ngăn chặn bằng cách hạn chế số lần xác thực. Với cách tấn công offline cách thức phổ biến là sử dụng phương pháp hỏi đáp. Thủ tục tạo khoá – Thủ tục này tạo ra các bản tin xác thực để thiết lập sự bảo vệ cho người dùng. Những khoá này sẽ được thông qua các thiết bị người sử dụng như WEP hoặc TKIP. b/ Vấn đề đặt ra: Trong những năm gần đây, giới công nghệ thông tin đã chứng kiến sự bùng nổ của nền công nghiệp mạng không dây. Khả năng liên lạc không dây đã gần như tất yếu trong các thiết bị cầm tay (PDA), máy tính xách tay, điện thoại di động và các thiết bị số khác. Với các tính năng ưu việt về vùng phục vụ kết nối linh động, khả năng triển khai nhanh chóng, giá thành ngày càng giảm, mạng không dây đã trở thành một trong những giải pháp cạnh tranh có thể thay thế mạng Ethernet LAN truyền thống. Tuy

nhiên, sự tiện lợi của mạng không dây cũng đặt ra một thử thách lớn về bảo mật đường truyền cho các nhà quản trị mạng. Ưu thế về sự tiện lợi của kết nối không dây có thể bị giảm sút do những khó khăn nảy sinh trong bảo mật mạng. Khi thiết kế các yêu cầu kỹ thuật cho mạng không dây, chuẩn 802.11 của IEEE đã tính đến vấn đề bảo mật dữ liệu đường truyền qua phương thức mã hóa WEP. Phương thức này được đa số các nhà sản xuất thiết bị không dây hỗ trợ như một phương thức bảo mật mặc định. Tuy nhiên, những phát hiện gần đây về điểm yếu của chuẩn 802.11 WEP đã gia tăng sự nghi ngờ về mức độ an toàn của WEP và thúc đẩy sự phát triển của chuẩn 802.11i. Tuy vậy, đa phần các thiết bị không dây hiện tại đã và đang sử dụng WEP và nó sẽ còn tồn tại khá lâu trước khi chuẩn 802.11i được chấp nhận và triển khai rộng rãi. Giao thức WEP (Wired Equivalent Privacy) nghĩa là bảo mật tương đương với mạng có dây (Wired LAN). Khái niệm này là một phần trong chuẩn IEEE 802.11. Theo định nghĩa, WEP được thiết kế để đảm bảo tính bảo mật cho mạng không dây đạt mức độ như mạng nối cáp truyền thống. Đối với mạng LAN (định nghĩa theo chuẩn IEEE 802.3), bảo mật dữ liệu trên đường truyền đối với các tấn công bên ngoài được đảm bảo qua biện pháp giới hạn vật lý, tức là hacker không thể truy xuất trực tiếp đến hệ thống đường truyền cáp. Do đó chuẩn 802.3 không đặt ra vấn đề mã hóa dữ liệu để chống lại các truy cập trái phép. Đối với chuẩn 802.11, vấn đề mã hóa dữ liệu được ưu tiên hàng đầu do đặc tính của mạng không dây là không thể giới hạn về mặt vật lý truy cập đến đường truyền, bất cứ ai trong vùng phủ sóng đều có thể truy cập dữ liệu nếu không được bảo vệ. 2. Phương thức tấn công của hacker vào mạng không dây: Mặc dù phương thức xác thực bằng mật khẩu có nhiều thuận tiện hơn phương thức xác thực bằng phần cứng nhưng chúng vẫn có khả năng bị tấn công.Chúng bị tấn công dựa trên bảng từ điển còn lưu lại, ở đây kẻ tấn công có thể lựa chọn ngẫu nhiên từ bảng từ điển đã lấy được các mật khẩu có thể. Các hacker có thể dùng các phần mềm chuyên dụng để lọc các bản tin, kênh của người sử dụng và sử dụng nó để crack password …

3. Giao thức bảo mật cho mạng không dây ( Của cisco sử dụng) Ngày nay các mạng 802.11 xác thực theo chuẩn 802.1x . Chuẩn 802.1x xác định giao thức xác thực mở rộng (EAP) trực tiếp qua lớp kết nối. EAP là giao thức truyền thông được sử dụng thông qua các loại cơ chế xác thực khác nhau. EAP là

chuẩn của IETF đưa ra vào tháng 3/1998 cho kết nối điểm điểm. Các phương pháp EAP phát triển cho mạng không dây được dựa trên việc kiểm tra thông qua khoá công cộng và giao thức bảo mật tại lớp truyền tải (TLS). Các giao thức đó là EAP-TLS, EAP-TTLS và PEAP. Chúng ta sẽ lần lượt xem xét các vấn đề này sau đó sẽ tiến hành nghiên cứu cụ thể phương thức bảo mật cao hơn (còn gọi là Zero Knowledge Password Proof – ZKPP). 3.1 EAP-TLS EAP-TLS sử dụng khoá kiểm tra công khai TLS trong EAP để cung cấp việc xác thực lẫn nhau giữa máy chủ và khách hàng. Với EAP-TLS, cả máy chủ và khách hàng đều phải đăng ký chữ ký dạng số thông qua quyền chứng thực (CA) để kiểm tra. Các đặc tính của EAP-TLS bao gồm:
• • • •

Xác thực lẫn nhau (giữa máy chủ và khách hàng) Trao đổi khoá (để thiết lập WEP động và khoá TKIP) Phân mảnh và nối lại (với bản tin EAP dài cần có phần kích thước kiểm tra nếu cần) Kết nối nhanh (thông qua TLS)

3.2 EAP-TTLS Phương thức TLS EAP đường hầm (EAP-TTLS) cung cấp một loạt các thuộc tính cho một bản tin như là bản tin RADIUS EAP - dùng vận chuyển, EAPTTLS có thể cung cấp các chức năng như phương thức PEAP (sẽ thảo luận dưới đây). Tuy nhiên nếu mật khẩu của RADIUS hoặc CHAP sẽ được mã hoá, thì TTLS có thể bảo vệ được các tính chất kế thừa của RADIUS. Khi máy chủ TTLS gửi bản tin RADIUS tới máy chủ tại đích, nó sẽ giải mã các thuộc tính bảo vệ của EAPTTLS và chèn chúng trực tiếp vào bản tin chuyển đi. Bởi vì phương thức này giống như PEAP, nên nó ít được sử dụng hơn… 3.3 PEAP Giống như chuẩn TTLS, PEAP tạo khả năng xác thực cho mạng LAN không dây mà không yêu cầu xác thực. Để bảo vệ EAP (PEAP) thêm lớp TLS lên trên cùng EAP giống như EAP-TTLS, rồi sau đó sử dụng kết quả của phiên TLS như phương tiện vận chuyển để bảo vệ phương thức EAP. PEAP sử dụng TLS để xác thực từ máy chủ tới máy trạm nhưng không có chiều ngược lại. Theo phương thức này chỉ máy chủ yêu cầu khoá xác thực còn khách hàng thì không. Máy chủ và máy trạm trao đổi chuỗi thông tin mã hoá trong TLS, và bản tin TLS được xác thực và mã hoá sử dụng khoá đã được thông qua giữa hai bên. PEAP cung cấp dịch vụ cho phương thức EAP như sau:

• • • • • •

Bản tin xác nhận (Những kẻ tấn công sẽ rất khó khăn trong việc chèn vào bản tin EAP) Mã hoá bản tin (Những kẻ tấn công sẽ không thể đọc và giải mã bản tin EAP) Xác thực từ máy chủ đến khách hàng (vì thế phương thức này chỉ cần bảo vệ xác thực từ khách hàng tới máy chủ) Trao đổi khoá (để thiết lập cho WEP động hoặc khoá TKIP) Phân mảnh và ghép lại (cần thiết nếu bản tin EAP dài) Thiết lập kết nối nhanh ( thông qua phiên TLS )

PEAP là cơ chế đặc biệt hữu ích để tăng tính bảo mật kế thừa từ phương thức EAP trên cơ sở các đặc tính dưới đây. 3.4 Microsoft PEAP Microsoft PEAP hỗ trợ quyền xác thực khách hàng thông qua MS-CHAP phiên bản 2, nó giới hạn dữ liệu người dùng thông qua có chế chia miền Windows NT và hoạt động của các thư mục. Để sử dụng Microsoft’s PEAP, người dùng cần phải mua chứng thực riêng từ CA để thiết lập IAS, và một chứng thực để lưu trữ tại máy tính cục bộ. Với khách hàng không dây để xác nhận IAS, thì tại CA gốc phải thiết lập cho mỗi khách hàng này. Tuy nhiên Windows XP bao gồm các chứng thực gốc của rất nhiều CA. Nếu chứng thực IAS của máy chủ bao gồm gốc CA, thì không cần thêm cấu hình cho khách hàng. Nếu người sử dụng mua chứng thực IAS cho Windows XP mà không có CA thì họ phải thiết lập tên khách hàng không dây. 3.5 Cisco PEAP Cisco PEAP hỗ trợ xác thực tại khách hàng thông qua mật khẩu một lần (OTP) và mật khẩu truy cập. Điều này cho phép hỗ trợ cơ sở dữ liệu từ người quản lý như là bảo mật RSA và cũng hỗ trợ cho cơ sở dữ liệu về mật khẩu truy nhập như LDAP, Novell NDS và Microsoft . Thêm vào đó khách hàng Cisco PEAP có thể bảo vệ việc nhận dạng tin cho đến khi mã hoá đường hầm TLS được thiết lập. Điều này cung cấp sự bảo đảm cho người sử dụng trong quá trình dùng. 3.6 Phương thức LEAP và Cisco CCX - LEAP là giao thức xác thực mở rộng dựa trên việc xác thực lẫn nhau, có nghĩa là cả người dùng và điểm truy cập đều phải xác thực trước khi truy cập mạng. Việc xác thực lẫn nhau nhằm mục đích chống lại sự truy cập trái phép vào mạng. Cisco

LEAP dựa trên cơ sở tên và mật khẩu. Cisco CCX (Chương trình mở rộng tương thích của Cisco) sự chắc chắn giữa cơ sở hại tầng mạng không dây Cisco Aironet và các thiết bị người dùng từ công ty thứ ba. Điều này tạo sự thuận lợi cho việc vận hành bảo dưỡng các thiết bị Cisco và các giao thức bao gồm cả LEAP - Với Cisco’s LEAP, khoá bảo mật thay đổi động tuỳ theo phiên làm việc nhằm mục đích hạn chế việc lựa chọn gói tin để giải mã từ bên ngoài. Khi một khoá mới được phát ra thông qua LEAP sử dụng sự chia sẻ bí mật giữa người sử dụng và điểm truy cập. Bởi vì LEAP là giao thức của Cisco nên nó chỉ được sử dụng cho điểm truy cập của Cisco. LEAP cũng thêm một mức bảo mật khác cho mạng thông qua việc xác thực các kết nối trên toàn mạng trước khi cho phép các gói tin đến các thiết bị không dây. Việc thay đổi cặp khoá bí mật và xác thực người sử dụng cho phép tăng tính bảo mật cho dữ liệu không dây. 3.7 Phương thức SPEKE Phương thức SPEKE sử dụng một chuỗi bản tin ngẫu nhiên để trao đổi thông tin giữa các thiết bị. Các phần của SPEKE thực hiện tính toán các bản tin, rồi sau đó xác định mật khẩu cho các thiết bị. Khi mật khẩu hợp lệ, SPEKE sẽ dùng các mật khẩu chia sẻ giữa các thiết bị. Với người thứ ba, bản tin SPEKE sẽ giống như một số ngẫu nhiên và không thể xác định được mật khẩu là gì. Đặc tính nổi trội thêm vào của SPEKE là việc xác định khoá nhờ tính toán từ khoá công cộng. Do vậy sẽ không cần bất kỳ khoá công cộng, khoá cá nhân sống trong một thời gian dài. SPEKE sử dụng phương thức xác thực chuỗi các ký hiệu 0 (ZKPP) để truyền mật khẩu điều này bảo vệ thông tin khỏi sự truy cập trái phép nếu không sử dụng đúng giao thức. Bởi vì, SPEKE tạo ra mật khẩu dựa trên quyền xác thực cao và an toàn hơn. Với SPEKE, thậm chí mật khẩu ngắn cũng bảo vệ khỏi sự tấn công. Đặc tính bảo mật của SPEKE bao gồm :
• • • • • •

Cao hơn, không giới hạn chiều dài khoá Bảo vệ khỏi sự tấn công off-line Người dùng và máy chủ có sự xác thực đồng thời Không yêu cầu thêm về cơ sở hạ tầng cho bảo mật Không yêu cầu xác nhận về văn bản giữa người dùng và nhà quản trị mạng Hoàn toàn sử dụng mật mã cho mật khẩu chiều dài nhỏ

Các phương thức bảo mật trong WLAN:
SSID: SSID ( Service Set Identifier ) là một cái tên để đặt cho WLAN, dùng để phân biệt WLAN này và WLAN khác. Nó cũng giống như tên người. Một SSID có thể chứa tối đa 32 kí tự và là “case sensitive” – phân biệt chữ hoa và chữ thường. Nó có thể được cấu hình trong Acess Point. Thông thường, trong một hệ thống WLAN của một công ty, thì các AP sẽ có cùng một SSID. Nó giúp cho việc roaming được dễ dàng và hiệu quả. Dĩ nhiên, tất cả các máy client ( hosts ) trong mạng đó cũng phải có cùng SSID với APs để có thể kết nối được. Các hãng sảng xuất AP thường đã cấu hình trước SSID trong AP của họ. Ví dụ: AP của Cisco có SSID là tsunami. SSID này gọi là SSID mặc định, default SSID. Nó giúp cho việc cấu hình WLAN trở nên đơn giản hơn, chỉ việc mua AP về lắp đặt và … ta đã có một WLAN. Vấn đề ở chỗ, nếu ta không cấu hình lại SSID, thì có thể sẽ có sự trùng lắp SSID giữa 2 công ty khác nhau mà cùng xài một thiết bị của cùng một hãng sản xuất à thiếu an toàn Do đó, để giải quyết vấn đề này, chúng ta phải thay đổi SSID như là một nhiệm vụ bắt buộc khi cài đặt một WLAN, dựa trên việc dễ quản lí, có ý nghĩa, bảo mật. Tuy nhiên, do trong mỗi “beacon frame” đều có SSID và việc sử dụng các thiết bị nghe lén đơn giản của một người ít kinh nghiệm cũng có thể xác định được SSID của một mạng Wireless. Cho nên Security Wireless bằng SSID thì vẫn chưa đảm bào lắm. WEP: WEP ( Wired Equivalent Privacy ) là một giao thức bảo mật dùng trong WLAN được định nghĩa trong chuẩn 802.11b. Được thiết kế để cung cấp sự bảo mật tương tự trong mạng LAN có dây ( wired LAN ) bằng cách mã hoá data trong quá trình truyền dữ liệu bằng sóng radio. Tuy nhiên, WEP hoạt động ở tầng 1 và 2 theo mô hình OSI, vì thế nó không cung cấp sự bảo mật điểm tới điểm. WEP sử dụng 64 hay 128 bits key để mã hoá data dựa trên thuật toán RC4, trong đó 24 bits đầu được dùng cho Initialization Vector (IV). Do nhược điểm của IV và thuật toán RC4, Wep key có thể bị bẻ khóa trong một khoảng thời gian ngắn, có thể tính bằng phút trong một mạng máy tính thông thường. Khi sử dụng phương thức bảo mật này, một AP và các Wireless Client dùng chung các khoá WEP tĩnh. Khoá mã này được kiểm tra trong quá trình xác thực, nếu khoá không tương thích thì client không được liên kết với AP và tất nhiên không truy

nhập được vào mạng. Khoá mã tĩnh dùng chung có khả năng bị dò tìm và lấy cắp, khi đó việc mã hoá không còn ý nghĩa với vấn đề an ninh mạng nữa. Lọc địa chỉ MAC: - Ngoài các phương pháp SSID, và WEP, ta có thể quản lí số máy tính có thể truy cập vào mạng Wireless LAN bằng cấp cấu hình cho AP các địa chỉ MAC có thể truy cập vào WLAN. Được thực hiện bằng tay. ( cái này cũng giống như switch port security trong cấu hình Switch ). - Phần lớn các AP đều sử dụng phương pháp này như là một phương tiện bảo mật. - Tuy nhiên, địa chỉ MAC có thể được thay đổi chỉ với một câu lệnh. TKIP Temporal Key Integrity Protocol là giao thức theo chuẩn IEEE 802.11i thay thế cho WEP. Nó được xác nhận bởi khối Wi-Fi cho việc sử dụng trong việc truy cập bảo vệ không dây (WPA). ZKPP Zero Knowledge Password Proof – là quá trình nơi mà phương thức xác thực mật khẩu cao có thể thiết lập giữa hai bên mỗi bên chỉ biết được mật khẩu của mình và người thứ ba không thể nghe trộm được. WPS (Wi-Fi Protected Setup - thiết lập bảo vệ Wifi): Đây là phương pháp mã hóa nhằm tạo sự thoải mái trong sử dụng. Nó sẽ tự động tạo những key ngẫu nhiên mà bạn không phải làm điều đó. Đó là cách tốt nhất và dễ dàng nhất để mã hóa. Nếu router và máy tính của bạn có tương thích với nhau về WPS thì hãy sử dụng WPS đi. Wi-Fi Protected Access (WPA) Là một chuẩn bảo mật có khả năng tương vận được thiết kế để tăng cường bảo vệ dữ liệu và điều khiển truy cập cho các hệ thống mạng LAN không dây. WPA được thiết kế để lấp những lỗ hổng bảo mật của WEP, đặc biệt là quá trình mã hóa dữ liệu và authenticate yếu.

WPA cung cấp hai yếu tố cải tiến về bảo mật như sau: * Cải tiến mã hóa dữ liệu thông qua TKIP. Temporal Key Integrity Protocol, cung cấp sự cải tiến trong mã hóa dữ liệu bằng cách trộn lẫn key đựơc sinh theo từng packet với véc tơ khởi tạo (IV) được mở rộng với những sequence counter để chống replay attack trên WEP, sau đó mới chuyển đến quy trình khởi tạo mã hóa RC4. Ngoài ra, TKIP còn hiện thực chức năng kiểm tra sự toàn vẹn thông điệp (Message Integrity Check – MIC) 64 bit với giải thuật MICHAEL. *Authenticate người dùng ở mức độ doanh nghiệp thông qua 802.1x và EAP. Framework 802.1x và EAP dùng một máy chủ authenticate tập trung, chẳng hạn như RADIUS, để authenticate mỗi người dùng trong mạng trước khi họ kết nối vào. Nó cũng sử dụng cơ chế “nhận dạng lẫn nhau” để ngăn chặn người dùng truy cập vào một mạng giả mạo có thể đánh cắp nhận dạng của họ. WPA2 thế hệ thứ hai của WPA, dựa trên bản sửa đổi 802.11i của IEEE dành cho chuẩn 802.11. Điểm khác biệt chính giữa hai thế hệ là WPA2 dùng kỹ thuật mã hóa phức tạp hơn là AES (Advanced Encryption Standard), còn gọi là Rijndael. Đây là một giải thuật mã hóa khối được công nhận như là chuẩn mã hóa cho chính phủ Mỹ.

III. Các công nghệ bảo mật cho mạng không dây
SES-SecureEasySetup/Dễ dàng thiết lập bảo mật Công nghệ SES cho phép người sử dụng thiết lập một mạng không dây và kích hoạt tính năng bảo mật WPA chỉ bằng cách nhấn một nút trên thiết bị. Một khi đã được kích hoạt, SES tạo một kết nối bảo mật giữa các thiết bị mạng không dây với nhau, tự động cấu hình mạng của bạn dựa vào việc tự điều chỉnh SSID, và cho phép thiết lập khoá bảo mật động WPA. Sử dụng tính năng SES là nhanh chóng và dễ dàng – đơn giản chỉ việc nhấn nút SES có trên thiết bị định tuyến hay điểm truy nhập của linksys, sau đó kích vào nút START trên máy xách tay hay máy để bàn của bạn là đã sẵn sàng cho việc liên lạc không dây dựa trên một kết nối bảo mật. Nếu muốn thêm nhiều thiết bị không dây khác vào mạng, bạn hãy nhấn lại nút SES trên thiết bị để quá trình xử lý lại từ đầu. Công nghệ SES làm đơn giản hoá việc thiết lập mạng không dây và quá trình xử lý bảo mật, tất cả chỉ đơn giản là nhấn một nút. Giải pháp của ITS Bổ sung vào hệ thống mạng các điểm truy cập không dây tốc độ cao WAP-

4000 hỗ trợ tốc độ lên tới 108 Mb/s. Cài đặt bảo mật bằng Radius Server trên các máy chủ có sẵn của hệ thống: Bảo mật bằng tài khoản và mật khẩu (username và password) khi truy cập.Các tài khoản đăng nhập này sẽ được phân quyền trên máy chủ có giới hạn quyền truy cập cho người dùng. Khi có một hacker nào đó dùng máy tính xách tay truy cập vào hệ thống, vì không có tài khoản nên không thể đăng nhập thành công được.

Yêu cầu thiết bị • Một máy chủ dùng hệ điều hành Window 2000/2003 Server cài AD, phân quyền hạn chế truy cập cho các user • Cài đặt Radius Server trên máy chủ đó • Các Wap-4000 cấu hình chế độ AP cho phép roaming, kết hợp với giao thức 802.1x • Các máy tính để bàn gắn card mạng không dây như WL 8310, các máy laptop gắn card WL 3563. Các card mạng này cũng cần được kích hoạt tính năng 802.1x Giải pháp mạng không dây của Nortel. Giải pháp Standalone: Giải pháp Hybrid Giải pháp Adaptive Giải pháp mesh

IV. Kết luận

Sign up to vote on this title
UsefulNot useful