Ngoài việc kế thừa những yêu cầu về bảo mật cần có từ mạng hữu tuyến, mạng máy tính không dây cần có những phương pháp bảo đảm an ninh riêng. Chuẩn IEEE 802.11 quy định 3 mục tiêu an ninh cần có cho mạng 802.11 bao gồm:
Tính xác thực (Authentication): Nhằm đảm bảo chỉ những thiết bị được phép (đã xác thực) mới có thể truy cập vào điểm truy cập sử dụng dịch vụ.
Tính bí mật (Condifidentislity): Là sự bảo vệ dữ liệu truyền đi khỏi những cuộc tấn công bị động.
41
Tính toàn vẹn (Integrity): Đảm bảo dữ liệu không bị sửa đổi trong quá trình truyền qua mạng
Với ba mục tiêu này, chuẩn 802.11 sử dụng 3 phương pháp là xác thực, mã hóa và kiểm tra tính toàn vẹn nhằm đảm bảo tính an toàn cho môi trường mạng.
1.5.1 Các mức bảo vệ an toàn mạng
Vì không có một giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng nhiều mức bảo vệ khác nhau tạo thành nhiều lớp "rào chắn" đối với hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cất giữ trong các máy tính, đăc biệt là trong các server của mạng. Hình sau mô tả các lớp rào chắn thông dụng hiên nay để bảo vệ thông tin tại các trạm của mạng.
Hình 1.17 Các mức độ bảo vệ mạng
Như hình minh họa trong hình trên, các lớp bảo vệ thông tin trên mạng gồm:
Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên ( ở đây là thông tin) của mạng và quyền hạn ( có thể thực hiện những thao tác gì) trên tài nguyên đó.
Hiên nay việc kiểm soát ở mức này được áp dụng sâu nhất đối với tệp
Lớp bảo vệ tiếp theo là hạn chế theo tài khoản truy nhập gồm đăng ký tên/ và mật khẩu tương ứng. Đây là phương pháp bảo vệ phổ biến nhất vì nó đơn giản, ít tốn kém và cũng rất có hiệu quả. Mỗi người sử dụng muốn truy nhập được vào mạng sử dụng các tài nguyên đều phải đăng ký tên và mật khẩu. Người quản trị hệ thống có trách nhiêm quản lý, kiểm
42
soát mọi hoạt động của mạng và xác định quyền truy nhập của những người sử dụng khác tùy theo thời gian và không gian.
Lớp thứ ba là sử dụng các phương pháp mã hóa (encrytion). Dữ liệu được biến đổi từ dạng " đọc được" sang dạng không " đọc được" theo một thuật toán nào đó. Chúng ta sẽ xem xét các phương thức và các thuật toán mã hóa được sủ dụng phổ biến ở phần dưới đây.
Lớp thứ tư: là bảo vệ vật lý ( physical protection) nhằm ngăn cản các truy nhập bất hợp pháp vào hệ thôngd. Thường dùng các biện pháp truyền thống như ngăn cấm người không có nhiệm vụ vào phòng đặt máy, dùng hệ thống khóa trên máy tính, cài đặt các hệ thống báo động khi có truy nhập vào hệ thống..
Lớp thứ năm: Cài đặt các hệ thống tường lửa (firewall), nhằm ngăn chặn cá thâm nhập trái phép và cho phép lọc các gói tin mà ta không muốn gửi đi hoặc nhân vào vì một lý do nào đó.
1.5.2 Wired Equivalent Privacy (WEP)
WEP (Wired Equivalent Privacy – Tính bí mật tương đương mạng hữu tuyến) là cơ chế bảo mật đầu tiên khi chuẩn 802.11 ra đời.
WEP có thể dịch là chuẩn bảo mật dữ liệu cho mạng không dây mức độ tương đương với mạng có dây, là phương thức chứng thực người dùng và mã hóa nội dung dữ liệu truyền trên mạng LAN không dây (WLAN). Chuẩn IEEE 802.11 quy định việc sử dụng WEP như một thuật toán kết hợp giữa bộ sinh mã giả ngẫu nhiên PRNG (Pseudo Random Number Generator) và bộ mã hóa luồng theo kiểu RC4. Phương thức mã hóa RC4 thực hiện việc mã hóa và giải mã khá nhanh, tiết kiệm tài nguyên, và cũng đơn giản trong việc sử dụng nó ở các phần mềm khác.
Chúng ta đã biết WEP là một thuật toán bảo nhằm bảo vệ sự trao đổi thông tin chống lại sự nghe trộm, chống lại những kết nối mạng không được cho phép cũng như chống lại việc thay đổi hoặc làm nhiễu thông tin truyền. WEP sử dụng stream cipher RC4 cùng với một mã 40 bit và một số ngẫu nhiên 24 bit (initialization vector - IV) để mã hóa thông tin.
Thông tin mã hóa được tạo ra bằng cách thực hiện phép toán XOR giữa keystream và plain
43
text. Thông tin mã hóa và IV sẽ được gửi đến người nhận. Người nhận sẽ giải mã thông tin dựa vào IV và khóa WEP đã biết trước.
WEP sử dụng một khoá mã hoá không thay đổi có độ dài 64 bit hoặc 128 bit, (nhưng trừ đi 24 bit sử dụng cho vector khởi tạo khoá mã hoá, nên độ dài khoá chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thực các thiết bị được phép truy cập vào trong mạng và cũng được sử dụng để mã hoá truyền dữ liệu.
Rất đơn giản, các khoá mã hoá này dễ dàng bị "bẻ gãy" bởi thuật toán brute-force và kiểu tấn công thử lỗi (trial-and-error). Các phần mềm miễn phí như Airsnort hoặc WEPCrack sẽ cho phép hacker có thể phá vỡ khoá mã hoá nếu họ thu thập đủ từ 5 đến 10 triệu gói tin trên một mạng không dây. Với những khoá mã hoá 128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hoá nên chỉ có 104 bit được sử dụng để mã hoá, và cách thức cũng giống như mã hoá có độ dài 64 bit nên mã hoá 128 bit cũng dễ dàng bị bẻ khoá. Ngoài ra, những điểm yếu trong những vector khởi tạo khoá mã hoá giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông tin hơn rất nhiều.
Không dự đoán được những lỗi trong khoá mã hoá, WEP có thể được tạo ra cách bảo mật mạnh mẽ hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khoá mã hoá mới cho mỗi phiên làm việc. Khoá mã hoá sẽ thay đổi trên mỗi phiên làm việc. Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẽ gãy khoá bảo mật.
Những điểm yếu về bảo mật của WEP:
WEP sử dụng khóa cố định được chia sẻ giữa một Access Point (AP) và nhiều người dùng (users) cùng với một IV ngẫu nhiên 24 bit. Do đó, cùng một IV sẽ
44
được sử dụng lại nhiều lần. Bằng cách thu thập thông tin truyền đi, kẻ tấn công có thể có đủ thông tin cần thiết để có thể bẻ khóa WEP đang dùng.
Một khi khóa WEP đã được biết, kẻ tấn công có thể giải mã thông tin truyền đi và có thể thay đổi nội dung của thông tin truyền. Do vậy WEP không đảm bảo được sự cẩn mật (confidentiality) và toàn vẹn (integrity) của thông tin.
Việc sử dụng một khóa cố định được chọn bởi người sử dụng và ít khi được thay đổi (có nghĩa là khóa WEP không được tự động thay đổi) làm cho WEP rất dễ bị tấn công.
WEP cho phép người dùng (supplicant) xác minh (authenticate) AP trong khi AP không thể xác minh tính xác thực của người dùng. Nói một cách khác, WEP không cung ứng khả năng nhận thực lẫn nhau (mutual authentication).
1.5.3 Kỹ thuật chìa khóa nhảy
Gần đây, kỹ thuật chìa khóa nhảy sử dụng mã hóa MD5 và những chìa khóa mã hóa thay đổi liên tục trở nên sẵn dùng trong môi trường WLAN. Mạng thay đổi liên tục, “hops”, từ một chìa khóa này đến một chìa khóa khác thông thường 3 giây một lần. Giải pháp này yêu cầu phần cứng riêng và chỉ là giải pháp tạm thời trong khi chờ sự chấp thuận chuẩn bảo mật tiên tiến 802.11i. Thuật toán chìa khóa này thực hiện như vậy để khắc phục những nhược điểm của WEP về vector khởi tạo.
1.5.4 Temporal Key Integrity Protocol (TKIP)
TKIP thực chất là một sự cải tiến WEP mà vẫn giữ những vấn đề bảo mật đã biết trong WEP của chuỗi dòng số RC4. TKIP cung cấp cách làm rối vector khởi tạo để chống lại việc nghe lén các gói một cách thụ động. Nó cũng cung cấp sự kiểm tra tính toàn vẹn thông báo để giúp xác định liệu có phải một người sử dụng không hợp pháp đã sửa đổi những gói tin bằng cách chèn vào lưu lượng để có thể crack chìa khóa. TKIP bao gồm sự sử dụng các chìa khóa động để chống lại sự ăn cắp các chìa khóa một cách bị động, một lỗ hổng lớn trong chuẩn WEP.
45
TKIP có thể thực hiện thông qua các vi chương trình được nâng cấp cho AP và bridge cũng như những phần mềm và vi chương trình nâng cấp cho thiết bị client không dây. TKIP chỉ rõ các quy tắc sử dụng vector khởi tạo, các thủ tục tạo lại chìa khóa dựa trên 802.1x, sự trộn chìa khóa trên mỗi gói và mã toàn vẹn thông báo. Sẽ có sự giảm tính thực thi khi sử dụng TKIP, tuy nhiên bù lại là tính bảo mật được tăng cường đáng kể, nó tạo ra một sự cân bằng hợp lý.
1.5.5 Những giải pháp dựa trên AES
Những giải pháp dựa trên AES có thể thay thế WEP sử dụng RC4, nhưng chỉ là tạm thời. Mặc dù không có sản phẩm nào sử dụng AES đang có trên thị trường, một vài nhà sản xuất đang thực hiện để đưa chúng ra thị trường. Bản dự thảo 802.11i chỉ rõ sự sử dụng của AES, và xem xét các người sử dụng trong việc sử dụng nó. AES có vẻ như là một bộ phận để hoàn thành chuẩn này.
Kỹ thuật mã hóa dữ liệu đang thay đổi tới một giải pháp đủ mạnh như AES sẽ tác động đáng kể trên bảo mật mạng WLAN, nhưng vẫn phải là giải pháp phổ biến sử dụng trên những mạng rộng như những server quản lý chìa khóa mã hóa tập trung để tự động hóa quá trình trao đổi chìa khóa. Nếu một card vô tuyến của client bị mất, mà đã được nhúng chìa khóa mã hóa AES, nó không quan trọng với việc AES mạnh đến mức nào bởi vì thủ phạm vẫn có thể có được sự truy nhập tới mạng.
1.5.6 Filtering
Filtering (lọc) là một cơ chế bảo mật cơ bản có thể được sử dụng cùng với WEP và AES.
Filtering có nghĩa là giữ lại những cái không mong muốn và cho phép những cái mong muốn. Filtering hoạt động tương tự như Access List trên Router: bằng cách định nghĩa các tham số mà client phải tuân theo để có thể truy cập vào mạng. Có 3 kiểu filtering cơ bản có thể được sử dụng trong WLAN:
SSID filtering
MAC address filtering
Protocol filtering
46 SSID Filtering
SSID filtering là một phương thức cơ bản của filtering, và chỉ nên được sử dụng cho việc điều khiển truy cập cơ bản. SSID (Service Set Identifier) chỉ là một thuật ngữ khác để gọi tên mạng. SSID của client phải khớp với SSID trên AP (trong mạng infrastructure) hay các client khác (trong mạng Ad-hoc) để có thể xác thực và kết nối với Service Set. Bởi vì SSID được quảng bá mà không được mã hóa trong các Beacon nên rất dễ phát hiện giá trị SSID bằng cách sử dụng sniffer. Nhiều AP có khả năng không phát SSID trong các Beacon.
Trong trường hợp này, client phải có cùng giá trị SSID để có thể kết nối với AP. Khi một hệ thống được cấu hình theo cách này, nó được gọi là một hệ thống đóng. SSID filtering không được xem như là một phương thức tin cậy để ngăn chặn các người dùng không được quyền truy cập vào mạng. Một số sai lầm mà người sử dụng WLAN mắc phải trong việc quản lý SSID gồm:
Sử dụng giá trị SSID mặc định: Thiết lập này tạo điều kiện thuận lợi cho hacker dò tìm địa chỉ MAC của AP. Rất đơn giản cho một hacker khi sử dụng sniffer để biết được địa chỉ MAC address của AP, sau đó nhìn vào phần OUI (3 bytes đầu) của MAC address để biết được nhà sản xuất (bằng cách tra bảng OUI được cung cấp hởi IEEE). Bảng OUI liệt kê các giá trị OUI khác nhau được gán cho các nhà sản xuất. Chúng ta có thể sử dụng NetStumbler để thực hiện các thao tác này một cách tự động. Mỗi nhà sản xuất thiết bị đều sử dụng giá trị SSID mặc định của riêng họ, việc có được giá trị này là hoàn toàn dễ dàng, chúng đều nằm trên website của nhà sản xuất. Vì thế, thay đổi giá trị mặc định của SSID là điều cần thiết.
Sử dụng SSID có liên quan đến công ty: Điều này gây ra một nguy cơ bảo mật bởi vì hacker có thể dễ dàng tìm được vị trí vật lý của công ty. Khi tìm kiếm mạng WLAN trong bất kỳ vùng địa lý nào thì việc tìm được địa chỉ vật lý của WLAN chỉ mới là ½ của vấn đề.
Thậm chí sau khi phát hiện được WLAN sử dụng các công cụ như NetStumbler thì việc tìm được nguồn gốc của tín hiệu sẽ tốn nhiều thời gian và công sức. Khi một admin sử dụng SSID là tên của công ty hay tổ chức thì việc tìm được WLAN là rất dễ dàng. Vì thế, luôn luôn sử dụng SSID không liên quan đến công ty.
47
Sử dụng SSID như là một phương thức bảo mật mạng không dây: Điều này có thể gây ra một sự nản lòng bởi vì người sử dụng phải thay đổi giá trị SSID trong cấu hình của họ để có thể gia nhập vào mạng. SSID chỉ nên được sử dụng như là một phương thức để phân đoạn mạng chứ không phải là bảo mật mạng.
Quảng bá SSID một cách không cần thiết: Chúng ta nên tắt chế độ quảng bá SSID của AP. Cấu hình này sẽ giúp cản trở những cuộc nghe lén một cách tình cờ.
MAC Address Filtering
WLAN có thể filter dựa trên MAC address của client. Hầu hết tất cả các AP đều có chức năng MAC filtering. Người quản trị mạng có thể xây dựng, phân phát và duy trì một danh sách các địa chỉ MAC được cho phép. Nếu client có địa chỉ MAC không nằm trong danh sách MAC filter của AP cố gắng kết nối vào mạng thì chức năng MAC filter sẽ ngăn chặn không cho phép client đó kết nối vào mạng.
Có thể thấy rằng, đưa tất cả các MAC address của client vào bảng MAC filter của tất cả các AP trong một doanh nghiệp lớn là không khả thi. MAC address filter có thể được cài đặt trên một RADIUS server thay vì trên AP. Cấu hình này làm cho MAC filter là một giải pháp bảo mật có tính mở rộng cao. Đơn giản chỉ nhập địa chỉ MAC address vào RADIUS cùng với thông tin định danh người dùng. RADIUS server thường chỉ đến một nguồn chứng thực khác, vì thế một nguồn chứng thực là cần thiết để có thể hỗ trợ MAC filter.
Mặc dù MAC filter dường như là một phương thức tốt để bảo mật mạng WLAN trong một số trường hợp. Tuy nhiên, nó vẫn dễ bị tấn công trong các trường hợp sau :
Đánh cắp Card WLAN có trong danh sách cho phép của AP
Lắng nghe traffic trong mạng WLAN, sau đó giả mạo địa chỉ MAC address sau giờ làm việc.
MAC filtering rất thích hợp cho gia đình và văn phòng nhỏ nơi có ít client. Sử dụng WEP và MAC filtering cung cấp một giải pháp bảo mật vừa đủ trong các môi trường như vậy. Giải pháp này vừa đủ là bởi vì không một hacker thông minh nào lại mất thời gian để
48
đột nhập vào mạng gia đình hay văn phòng nhỏ, để rồi chẳng thu được thông tin quý giá gì.
Protocol Filtering
WLAN có thể lọc các gói tin truyền trên mạng dựa trên các giao thức lớp 2 đến lớp 7.
Trong nhiều trường hợp, các nhà sản xuất làm cho protocol filter có thể được cấu hình một cách độc lập cho cả đoạn mạng có dây và đoạn mạng không dây trên AP.
Lấy một ví dụ, ta có 2 AP kết nối 2 mạng LAN của tòa nhà lại với nhau. Vì băng thông dành cho các user ở tòa nhà thứ hai khá nhỏ nên một số phương thức điều khiển phải được sử. Nếu đường kết nối này được cài đặt với mục đích nhanh chóng truy cập internet cho người dùng thì chúng ta chỉ nên cho phép các giao thức như SMTP, POP3, HTTP, HTTPS, FTP và các giao thức tin nhắn nhanh khác. Khả năng lọc giao thức như vậy là rất hữu ích trong việc quản lý sử dụng môi trường dùng chung.
1.5.7 Wireless Gateways
Trên wireless gateway bây giờ tích hợp sẵn với các công nghệ như là VPN NT, DHCP, PPPoE, WEP, MAC filter và có lẽ thậm chí là một firewall. Những thiết bị này đủ cho các văn phòng nhỏ với một vài trạm làm việc và dùng chúng kết nối tới internet. Giá của những thiết bị này rất thay đổi phụ thuộc vào phạm vi những dịch vụ được đề nghị.
Những wireless gateway trên mạng quy mô lớn hơn là một sự thích nghi đặc biệt của VPN và server chứng thực cho WLAN. Gateway này nằm trên đoạn mạng hữu tuyến giữa AP và mạng hữu tuyến. Như tên của nó, gateway điều khiển sự truy nhập từ WLAN lên đoạn mạng hữu tuyến, vì thế trong khi một hacker có thể lắng nghe hoặc truy cập được tới đoạn mạng không dây, gateway bảo vệ hệ thống phân bố hữu tuyến khỏi sự tấn công.
Ví dụ một trường hợp tốt nhất để triển khai mô hình gateway như vậy có thể là hoàn cảnh sau: giả thiết một bệnh viện đã sử dụng 40 AP trên vài tầng của bệnh viện. Vốn đầu tư của họ vào đây là khá lớn, vì thế nếu các AP không hỗ trợ các biện pháp an toàn mà có thể nâng cấp, thì để tăng tính bảo mật, bệnh viện đó phải thay toàn bộ số AP. Trong khi đó nếu họ thuê một gateway thì công việc này sẽ đơn giản và đỡ tốn kém hơn nhiều. Gateway