Tải bản đầy đủ - 0 (trang)
Tiến trình mã hóa được mô tả ở đây của mật mã dòng và mật mã khối được gọi là chế độ mã hóa ECB ( Electronic Code Block). Chế độ mã hóa ECB có đặc điểm là cùng một đầu vào plaintext sẽ luôn sinh ra cùng một đầu ra ciphertext. Đây chính là một nguy cơ bảo

Tiến trình mã hóa được mô tả ở đây của mật mã dòng và mật mã khối được gọi là chế độ mã hóa ECB ( Electronic Code Block). Chế độ mã hóa ECB có đặc điểm là cùng một đầu vào plaintext sẽ luôn sinh ra cùng một đầu ra ciphertext. Đây chính là một nguy cơ bảo

Tải bản đầy đủ - 0trang

hóa và IV sẽ được gửi đến người nhận. Người nhận sẽ giải mã thơng tin dựa vào

IV và khóa WEP đã biết trước.

Những ưu điểm về bảo mật WEP:



Sơ đồ mã hóa bằng WEP

-



Có thể đưa ra rộng rãi, triển khai đơn giản.

Khả năng tự đồng bộ.

Tối ưu tính toán, hiệu quả tài nguyên bộ vi xử lý.

Những nhược điểm về bảo mật WEP:



-



Dễ dàng bị “bẻ gãy” bằng phương pháp vét cạn và kiểu tấn công thử lỗi (trialand-error).

Dựa vào điểm yếu trong những vector khởi tạo IV khóa mã hóa giúp, kẻ tấn

cơng có thể tìm ra mật khẩu nhanh hơn với ít gói thơng tin hơn rất nhiều.

Chỉ có chứng thực một chiều: Client chứng thực với AP mà khơng có tính hợp

pháp của AP với Client.

WEP còn thiếu cơ chế cung cấp và quản lý mã khóa. Khi sử dụng khóa tĩnh,

nhiều người dùng khóa chung trong một thời gian dài dẫn đến nguy cơ lưu

lượng thông tin bị tấn công nghe trộm sẽ cao hơn.



2.1.4 Bảo mật bằng TKIP, AES:

Bảo mật bằng TKIP (Temporal Key Integrity Protocol):

Là giải pháp của IEEE được phát triển năm 2004. Là một nâng cấp cho WEP

nhằm vá những vấn đề bảo mạt trong cài đặt mã dòng RC4 trong WEP.

TKIP dùng hàm băm (hashing) IV để chống lại việc giả mạo gói tin, nó cũng

cung cấp phương thức để kiểm tra tính tồn vẹn của thơng điệp MIC (Message

Integrity Check) để đảm bảo tính chính xác của gói tin

25



TKIP sử dụng khóa động bằng cách đặt cho mỗi gói frames một chuỗi số

riêng để chống lại dạng tấn công giả mạo.

Bảo mật bằng AES:

Trong mã học, AES (Advanced Encryption Standard, hay Tiêu chuẩn mã hóa

tiên tiến) là một thuật tốn mã hóa khối được chính phủ Hoa Kì áp dụng làm tiêu

chuẩn mã hóa.

IEEE đã thiết kế một chế độ cho AES để đáp ứng nhu cầu của mạng WLAN.

Chế độ này được gọi là CBC-CTR(Cipher Block Chaining Counter Mode) với

CBC-MAC(Cipher Block Chaining Message Authenticity Check). Tổ hợp của

chúng được gọi là AES-CCM .

Chế độ CCM là sự kết hợp của mã hóa CBC-CTR và thuật tốn xác thực

thông điệp CBC-MAC. Sự kết hợp này cung cấp cả việc mã hóa cũng như kiểm tra

tính tồn vẹn của dữ liệu gửi.

2.1.5 Bảo mật bằng WPA/WPA2

WPA là một giải pháp bảo mật được đề xuất bởi liên minh WiFi (WiFi

Alliance) nhằm khác phục những hạn chế của WEP. WPA được nâng cấp bằng việc

cập nhật phần mềm SP2 của Microsoft. Các kí tự được sử dụng bởi WPA là loại

256 bit, tân tiến hơn rất nhiều so với kí tự 64 bit và 128 bit có trong hệ thống WEP.

Đến năm 2006, WPA chính thức bị thay thế bởi WPA2. Một trong những cả

tiến đáng chú ý nhất của WPA2 so với WPA là sự có mặt bắt buộc của AES và

CCMP (Counter Cipher Mde with Block Chaining Message Authentication Code

Protocol) nhằm thay thế cho TKIP. Tuy vậy, TKIP vẫn có mặt trong WPA2 để làm

phương án dự phòng và duy trì khả năng tương tác với WPA.

WPA cả tiến 3 điểm yếu nổi bật của WEP:

 WPA/WPA2 cũng mã hóa thơng tin bằng RC4 nhưng chiều dài của khóa là

128 bit và vector IV có chiều dài 48 bit. Một cải tiến đối với WEP là sử dụng

giao thức TKIP (Temporal Key Integrity Protocol) nhằm thay đổi khóa dùng

AP và user một cách tự động trong quá trình trao đổi thông tin.

 Sử dụng 802.1x/EAP để đảm bảo tính nhận thực lẫn nhau nhằm chống lại

kiểu tấn cơng xem vào giữa (Man-in-the-middle Attack).

 Sử dụng thuật toán kiểm tra tính tồn vẹn của bản tin MIC (Michael Mesage

Integrity Check) để tăng cường tính tồn vẹn của thơng tin truyền.

Tóm lại, WPA/WPA2 được xây dựng nhằm cải thiện những hạn chế của

WEP nên nó chứa đựng những đặc điểm vượt trội so với WEP. Đầu tiên, nó sử

dụng một khóa động mà được thay đổi một cách tự động nhờ vào giao thức TKIP.

26



Khóa sẽ thay đổi dựa trên người dùng, phiên trao đổi nhất thời và số lượng gói

thơng tin đã truyền. Đặc điểm thứ 2 là WPA cho phép kiểm tra xem thơng tin có bị

thay đổi trên đường truyền hay không nhờ vào bản tin MIC. Và đặc điểm nổi bật

cuối cùng là nó cho phép nhận thực lẫn nhau bằng cách sử dụng giao thức 802.1x.

2.2



Phương pháp lọc (SSID, MAC, Protocol)



Lọc (Filtering) là một cơ chế bảo mật căn bản mà có thể dùng bổ sung cho

WEP và AES. Lọc theo đúng nghĩa đen là chặn những gì khơng mong muốn và cho

phép những gì được mong muốn. Filter làm việc giống như một danh sách truy cập

trên router: bằng cách xác định các tham số mà các trạm phải gắn vào để truy cập

mạng. Với WLAN thì việc đó xác định xem các máy trạm là ai và phải cấu hình

như thế nào. Có ba loại căn bản của Filter có thể thực hiên trên WLAN:

• Lọc SSID

• Lọc địa chỉ MAC

• Lọc gia thức (Protocol)

2.2.1 Phương pháp lọc SSID:

Là một phương pháp lọc sơ đẳng, và nên chỉ thực hiện cho hầu hết các điều

khiển truy cập. SSID (Service Set Identifier) chỉ là một thuật ngữ khác cho tên

mạng.

SSID của một trạm WLAN phải khớp với SSID trên AP (chế độ cơ sở,

infracsture mode) hoặc của các trạm khác (chế độ đặc biệt, Ad-hoc mode) để

chứng thực và liên kết Client để thiết lập dịch vụ.

SSID được phát quảng bá trong những bản tin dẫn đường mà AP hoặc các

Station gửi ran, nên dễ dàng tìm được SSID cảu một mạng sử dụng một bộ phân

tích mạng, sniffer. Nhiều AP có khả năng lấy các SSID của các khung thông tin

dẫn đường.

Lọc SSID được coi là một phương pháp không tin cậy trong việc hạn chế

những người dùng trái phép trong một WLAN.



27



2.2.2 Phương pháp lọc địa chỉ MAC:



WLAN có thể lọc dựa vào địa chỉ MAC của các trạm khách. Hầu hết tất cả

các AP đều có chức năng lọc MAC.

Người quản trị có thể biên tập, phân phối và bảo trì một danh sách những địa

chỉ MAC được phép và lập trình chúng vào các AP. Nếu một card PA hoặc những

client khác với một địa chỉ MAC mà khơng có danh sách địa chỉ MAC của AP, nó

sẽ khơng thể đến được điểm truy cập đó

Mặc dù lọc MAC trong có vẻ là một phương pháp bảo mật tốt, chúng vẫn

còn dễ bị ảnh hưởng bởi những thâm nhập sau:

• Sự ăn trộm một card PC trong đó có một bộ lọc MAC của AP.

• Việc thăm dò WLAN và sau đó giả mạo với một địa chỉ MAC để thâm nhập

vào mạng.

Với những mạng gia đình hoặc những mặng văn phòng nhỏ, nơi mà có một

số lượng nhỏ các trạm khách, thì việc sử dụng bộ lọc MAC là một giải pháp bảo

mật hiệu quả.

2.2.3 Phương pháp lọc Protocol:

Mạng WLAN có thể lọc các gói tin đi qua mạng dựa trên các giao thức từ

lớp 2 đến lớp 7. Trong nhiều trường hợp, các nhà sản xuất làm các bộ lọc giao thức

có thể định hình độc lập cho tất cả những đoạn mạng hữu tuyến và vô tuyến của

AP.

28



Khả năng lọc giao thức rất hữu ích trong việc quản lý sử dụng môi trường

chung.

4.3



Phương pháp chứng thực:



Chứng thực có nghĩa là chứng nhận, xác thực sự hợp pháp của một người,

một quá trình tham gia, sử dụng nào đó qua các phương thức, cơng cụ như mã

khóa, chìa khóa, tài khoản, chữ ký, vân tay…Qua đó có thể cho phép hoặc không

cho phép các hoạt động tham gia, sử dụng. Người được quyền tham gia, sử dụng sẽ

được cấp một hay nhiều phương thức chứng nhận, xác thực trên.

Trong một mạng khơng dây, khi một máy tính mới muốn gia nhập vào

mạng khơng dây, nó cần phải kết nối với AP. Để chứng thực máy tính xin kết

nối đó, có nhiều phương pháp AP có sử dụng như RADIUS,EAP...



4.3.1 Phương pháp chứng thực RADIUS SERVER:

Radius là một giao thức mạng dùng để chứng thực người dùng từ xa

(Remote Access). Thông tin dùng để chứng thực được lưu tập trong ở Radius

server. Khi cần chứng thực người dùng, Nas sẽ chuyển thông tin của ngườid ùng

đến Radius server để kiểm tra. Két quả sẽ được Radius server trả lại cho Nas,

thông tin trao đổi giữa Radius server và Radius client đề được mã hóa. Có thể hiểu

Radius server cung cấp cho Radius client khả năng truy xuất vào hệ thống tài

khoản người dùng trên Active directory (AD).

Giao thức RADIUS cung cấp phương pháp AAA để giám sát những gì

ngườidúng đầu-cuối có thể làm trên mạng. Ta có tể xác thực (authentication)

người dùng, cấp quyền (authorization) cho người dùng, cũng như tập hợp được

thông tin như thời gian bắt đầu hay kết thúc của người dùng (accounting).

29



Việc bảo mật WLAN sử dụng chuẩn 802.1 kết hợp với xác thực người dùng

trên AP. Một máy chủ thực hiện việc xác thực trên nền tảng RADIUS (Remote

Authentication Dial In User Service) có thể là một giải pháp tốt cung cấp xác thực

cho chuẩn 802.1x.

2.3.2 Phương pháp chứng thực mở rộng EAP:

Để đảm bảo an tồn trong q trình trao đổi bản tin chứng thực giữa Client

và AP không bị giải mã trộm, sửa đổi, người ta đưa ra giao thức chứng thực mở

rộng trên nền tảng của 802.1x là EAP (Extensible Authentication Protocol) .

Giao thức chứng thực mở rộng EAP là giao thức hỗ trợ, đảm bảo an ninh

trong khi trao đổi các bản tin chứng thực giữa các bên bằng các phương thức mã

hóa thơng tin chứng thực. EAP có thể hỗ trợ, kết hợp với nhiều phương thức chứng

thực của các hãng khác nhau, các loại hình chứng thực khác nhau ví dụ ngồi

user/password như chứng thực bằng đặc điểm sinh học, bằng thẻ chip, thẻ từ, bằng

khóa cơng khai, vv...Kiến trúc EAP cơ bản được chỉ ra ở hình dưới đây, nó được

thiết kế để vận hành trên bất cứ lớp đường dẫn nào và dùng bất cứ các phương

pháp chứng thực nào.



Mơ hình hoạt động xác thực của 802.1.x

Các trường của bản tin EAP:

30



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tiến trình mã hóa được mô tả ở đây của mật mã dòng và mật mã khối được gọi là chế độ mã hóa ECB ( Electronic Code Block). Chế độ mã hóa ECB có đặc điểm là cùng một đầu vào plaintext sẽ luôn sinh ra cùng một đầu ra ciphertext. Đây chính là một nguy cơ bảo

Tải bản đầy đủ ngay(0 tr)

×