WEP là gì? WPA là gì? - 2

Chia sẻ: Cao Tt | Ngày: | Loại File: PDF | Số trang:6

Thêm vào BST

Báo xấu

212
lượt xem 47
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

lựa chọn. Khi VPN server được cài đặt vào Enterprise Gateway thì tiến trình cũng diễn ra tương tự ngoại trừ một điều là sau khi client kết nối với AP thì VPN tunnel sẽ được thiết lập với upstream gateway chứ không phải là với AP. Cũng có một số nhà sản xuất đưa ra nhiều biến dạng cho giải pháp VPN hiện tại của họ (cả phần cứng hay phần mềm) để hỗ trợ client không dây và cạnh tranh trên thị trường WLAN. Những thiết bị hay ứng dụng này hoạt động cũng tương tự như là Enterprise...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: WEP là gì? WPA là gì? - 2

lựa chọn. Khi VPN server đư ợc cài đặt vào Enterprise Gateway thì tiến trình cũng diễn ra tương tự ngoại trừ một điều là sau khi client kết nối với AP thì VPN tunnel sẽ được thiết lập với upstream gateway chứ không phải là với AP. Cũng có một số nhà sản xuất đưa ra nhiều biến dạng cho giải pháp VPN hiện tại của họ (cả phần cứng hay phần mềm) để hỗ trợ client không dây và cạnh tranh trên thị trường WLAN. Nh ững thiết bị hay ứng dụng n ày hoạt động cũng tương tự như là Enterprise Gateway, đặt giữa phân đoạn mạng không dây và m ạng lõi có dây. Giải pháp VPN không dây có giá cả hợp lý cài đặt khá đơn giản. Nếu admin không có kinh nghiệm về các giải pháp VPN th ì admin nên được đào tạo trư ớc khi triển khai một giải pháp VPN. VPN hỗ trợ WLAN th ường được thiết kế với quan điểm là các admin chưa hề biết gì về VPN, điều n ày giải thích tại sao VPN lại phổ biến nh ư vậy. 3. Key Hopping Technology Gần đây, công nghệ nhảy key sử dụng mã hóa MD5 và thay đổi key m ã hóa thường xuyên đã rất phổ biến trên th ị trường. Mạng thường xuyên thay đổi hay nhảy (hop) từ key này sang key khác sau mỗi 3 giây. Giải pháp n ày yêu cầu các phần cứng độc quyền và chỉ là một giải pháp trung gian cho một giải pháp khác mới và m ạnh hơn là 802.11i (chuẩn bổ sung mở rộng bảo mật). Thuật toán key được cài đặt theo cách này nhắm tránh những yếu điểm trong WEP (chẳng hạn như vấn đề Initialization Vector – IV). 4. Temporal Key Integrity Protocol (**IP) **IP là một sự nâng cấp cho WEP nhằm fix những vấn đề bảo mật đã biết trong cài đặt RC4 stream cipher trong WEP. **IP cung cấp khả năng hashing (băm) IV để chống lại việc giả
mạo gói tin, nó cũng cung cấp phương thức để kiểm tra tính toàn vẹn của thông điệp (MIC = Message Integrity Check) giúp xác đ ịnh xem liệu hacker đã thay đổi nội dung gói tin (bằng cách chèn vào traffic giúp crack key) hay chưa. **IP sử dụng key động để chống lại việc crack key - là một lỗ hổng phổ biến trong chuẩn WEP hiện tại. **IP có thể được cài đặt thông qua nâng cấp firmware cho AP hay Bridge cũng như nâng cấp software và firmware cho client. **IP xác đ ịnh các nguyên tắc cho IV, phương thức khởi tạo lại key dựa trên 802.1X, trộn key theo per-packet, hay kiểm tra toàn vẹn MIC. Những điều này sẽ gây ảnh hưởng đến hiệu n ăng sử dụng nhưng sự mất mát này đáng đuợc cân nhắc nếu xét về khía cạnh nâng cao bảo mật. 5. AES Base Solution Giải pháp dựa trên AES có thể thay thế cho WEP sử dụng RC4 nhưng chỉ là một bước trung gian. AES đ ã được các chuyên gia mật m ã xem xét k ỹ lư ỡng và rất hiệu quả về phần cứng cũng như phần mềm. Chuẩn 802.11i xác định sử dụng AES. Việc thay đổi kỹ thuật mã hóa dữ liệu sang một giải pháp mạnh như AES sẽ có ảnh hưởng lớn đến bảo mật mạng không dây nhưng vẫn còn có những giải pháp có thể mở rộng khác đã được cài đặt vào m ạng doanh nghiệp như server m ã hóa key tập trung để tự động điều khiển quá trình phân phát key. Nếu card radio của client (có lưu trữ key mã hóa) b ị mất trộm th ì cho dù AES có m ạnh thế n ào đi nữa thì hacker vẫn có thể đột nhập vào m ạn g được.
6. Wireless Gateway Residental Wireless Gateway (RWG) có tích hợp nhiều công nghệ như VPN, NAT, DHCP, PPPoE, WEP, MAC filter và th ậm chí là cả Firewall. Những thiết bị này là quá đủ cho môi trường gia đ ình và văn phòng nhỏ. Chi phí của những thiết bị này khác nhau tùy những dịch vụ m à nó cung cấp. Một số thiết bị cao cấp còn hỗ trợ định tuyến tĩnh và RIPv2. Enterprise Wireless Gateway (EWG) là m ột server VPN và xác thực đặc biệt cho WLAN. EWG n ằm trên phân đo ạn mạng có dây giữa AP và Upstream network. Nó điều khiển truy cập từ WLAN vào mạng có dây, vì th ế nếu hacker có thể lắng nghe hay thậm chí là truy cập được vào phân đoạn mạng không dây thì EWG sẽ bảo vệ mạng có dây khỏi tấn công. Một ví dụ có thể giúp bạn hiểu được ý nghĩa của việc d ùng EWG: Giả sử một bệnh viện đ ã cài đặt 40 AP trên nhiều tầng của tòa nhà. Sự đầu tư này khá là tốn kém, vì th ế nếu như AP không hỗ trợ những khả năng bảo mật tốt thì bệnh viện có thể sẽ phải thay thế to àn bộ AP. Tuy nhiên, bệnh viện có thể giải quyết vấn đề n ày bằng cách sử dụng EWG. Gateway này có thể được kết nối giữa core switch với distribution switch (switch này sẽ nối với AP) và có thể hoạt động như là một server xác thực và server VPN cho toàn bộ WLAN client. Thay vì ph ải thay toàn bộ AP thì chỉ cần 1 (hay nhiều h ơn tùy nhu cầu) Gateway là có thể cung cấp giải pháp bảo mật cho bệnh viện. Hầu hết các EWG hỗ trợ nhiều giao thức VPN như PPTP, IPSec, L2TP, certificate và thậm chí là QoS dựa trên profile. 7. 802.1X và EAP (Extensible Authentication Protocol) Chuẩn 802.1X cung cấp đặc tả cho việc điều khiển truy cập mạng dựa trên cổng (port-based).
Điều khiển truy cập dựa trên cổng xuất phát từ các ethernet switch. Khi một user cố gắng kết nối vào cổng ethernet, cổng đó sẽ đặt kết nối của user vào trạng thái block và đ ợi cho việc kiểm tra định danh người dùng hoàn tất. Giao thức 802.1X đ ã được tích hợp vào nhiều hệ thống WLAN và đã trở th ành một chuẩn thực tế cho các nhà sản xuất. Khi được kết hợp với EAP thì 802.1X có thể cung cấp một môi trường rất bảo mật và linh động dựa trên các cơ chế xác thực được sử dụng hiện nay. Lúc đầu, EAP được định nghĩa như là một giao thức điểm điểm (point-to -point protocol = PPP) là một giao thức để thỏa thuận phương thức xác thực. EAP được định nghĩa trong RFC 2284 và đ ịnh nghĩa các phương thức xác thực bao gồm yêu cầu định danh người d ùng (password, certificate …), giao thức được sử dụng (MD5, TLS, GSM, OTP …) hỗ trợ tự động sinh key và xác thực lẫn nhau (mutual) Mô hình xác th ực 802.1X-EAP cho client diễn ra như sau + Client yêu cầu kết nối (associate request) với AP + AP hồi đáp assocation request bằng một EAP identity request + Client gởi một EAP identity response cho AP + EAP identity response của client sẽ được AP forward đến server xác thực + Server xác thực gởi một authorization request đến AP + AP sẽ forward authorization request đến client + Client gởi một EAP Authorization Response đến AP + AP sẽ forward EAP authorization response đến server xác thực + Server xác thực gởi một EAP success đến AP
+ AP sẽ forward EAP success đến client và đ ặt cổng kết nối với client sang chế độ forward Khi 802.1X được sử dụng cùng với EAP, một tình huống phát sinh cho các client là sẽ có 2 lần đăng nhập cho user. Lý do chính là 802.1X yêu cầu xác thực để cung cấp kết nối lớp 2. Trong hầu hết các trư ờng hợp, xác thực n ày được thực hiện thông qua một cơ sở dữ liệu người dùng tập trung. Nếu cơ sở dữ liệu này không trùng với cơ sở dữ liệu được sử dụng lúc xác thực ngư ời dùng đăng nhập vào m ạng (như Windows domain controller, Active Directory, NDS, LDAP ..) hay ít nhất là đồng bộ với cơ sở dữ liệu được sử dụng để xác thực người dùng để cho user có thể đăng nhập 2 lần nhưng sử dụng chung account. Hầu hết admin chọn sử dụng chung database cho kết nối lớp 2 MAC và kết nối client/server cung cấp quá trình đăng nhập thông suốt cho client. Cấu hình tương tự cũng có thể được sử dụng cho giải pháp VPN. nguồn WEP WEP (Wired Equ ivalent Privacy) là phương pháp mã hóa đầu tiên được sử dụng trong wi-fi.
Phương pháp này sử dụng thu ật toán mã hóa đối xứng RC4 do RSA Security phát triển. Người sử dụng sẽ phải nhập một khóa bí mật và khóa này phải giống khóa được định nghĩa trước trên AP. Phương pháp này có như ợc điểm là khó quản lý khóa bí mật bởi khoá này phải được nhập trên tất cả các máy tính truy nhập vào hệ thống wi-fi. Không có gì đảm bảo là tất cả những ngư ời được cung cấp khoá không đ ể lộ thông tin này, chỉ cần một người để lộ là hệ thống sẽ bị nguy hiểm. Ngoài ra, hiện nay WEP đã có thể dễ d àng bị bẻ khóa trong th ời gian rất ngắn mà không cần ai trong số được cấp khoá đ ể lộ. WPA WPA (Wi-fi Protected Access) cũng sử dụng thuật toán mã hóa đối xứng RC4 nhưng với khóa dài hơn (128 bits so với 64 bit của WEP). Ngoài ra WPA còn sử dụng cơ ch ế thay đổi khóa nhằm chống lại việc dò tìm khóa. Tuy nhiên, hiện nay khoá WPA đ ã có thể bẻ được và phương pháp này cũng gặp phải vấn đề như đối với WEP là qu ản lý khoá khó khăn do có yếu tố con người. WPA 2 WPA 2 (Wi-fi Protected Access version 2) – hay còn gọi là chu ẩn 802.11i: WPA 2 cũng tương tự như WPA nhưng sử dụng phương pháp mã hóa mạnh hơn - AES (Advanced Encryption Standard) - với độ dài khóa 256 bits. Trên lý thuyết, AES vẫn có thể bẻ được, nhưng thời gian để b ẻ khoá là không kh ả thi trong thực tế tại thời điểm này. Mặc dù vậy, WPA 2 cũng gặp phải vấn đề là khó khăn trong việc giữ bí m ật khoá này do nh ững người sử dụng có th ể nói cho nhau ho ặc bị lộ do vô tình ghi khóa ra đâu đó.