Bảo mật mạng LAN không dây (Kỳ 3)

Bảo mật mạng LAN không dây (Kỳ 1)
Bảo mật mạng LAN không dây (Kỳ 2)

6. Mã hóa

Mã hóa là biến đổi dữ liệu để chỉ có các thành phần được xác nhận mới có thể giải mã được nó. Quá trình mã hóa là kết hợp vài plaintext với một khóa để tạo thành văn bản mật (Ciphertext). Sự giải mã được bằng cách kết hợp Ciphertext với khóa để tái tạo lại plaintext gốc như hình 5. Quá trình xắp xếp và phân bố các khóa gọi là sự quản lý khóa.

Quá trình mã hóa và giải mã


Nếu cùng một khóa được sử dụng cho cả hai quá trình mã hóa và giải mã thì các khóa này được hiểu như là “symmetric” (đối xứng). Còn nếu các khóa khác nhau được sử dụng thì quá trình này được hiểu như là “asymmetrric”. Các khóa Asymmetric được sử dụng nhiều trong các PKIs (Public Key Infrastructures), nơi mà một khóa là “public” và các cái còn lại là “private”.

Có hai phương pháp mã hóa: Cipher khối và Cipher chuỗi. Các Cipher khối hoạt động trên plaintext trong các nhóm bit gọi là các block, điển hình dài 64 hoặc 128 bit. Các ví dụ điển hình của Cipher khối như là: DES, triple DES (3DES), AES và Blowfish. Các Cipher chuỗi biến đổi một khóa thành một “keystream” ngẫu nhiên (điển hình là 8 bit), sau đó kết hợp với plaintext để mã hóa nó. Các Cipher chuỗi được dùng nhiều hơn so với các Cipher khối. Các ví dụ về Cipher chuỗi như là: RC4 (được sử dụng trong LANs không dây 802.11).

7. Xác nhận không dây

Sự xác nhận là việc cung cấp hay hủy cung cấp một ai đó hay cái gì đó đã được xác nhận. Sự xác nhận thông thường là một quá trình một chiều (one-way), ví dụ như một người log on bằng một máy tính và cung cấp nhận dạng của họ với username và password. Trong mạng không dây, sự xác nhận lẫn nhau nên được sử dụng ở những nơi mà mạng xác nhận Client và các Client xác nhận mạng. Điều này ngăn cản các thiết bị giả có thể giả trang như thiết bị mạng để truy cập đến các dữ liệu quan trọng trên các Client không dây.

Chuẩn LAN không dây 802.11 không có sự xác nhận thông minh, vì vậy chuẩn công nghiệp đã thông qua giao thức 802.1x cho sự xác nhận của nó. 802.1x đưa ra cách thức điều khiển truy cập mạng cơ port-based, cái này sử dụng EAP (Extensible Authentication Protocol) và RADIUS server. 802.1x không đưa ra giao thức xác nhận một cách cụ thể nhưng chỉ rõ EAP trong việc hỗ trợ số lượng các giao thức xác nhận như là CHAP-MD5, TLS và Kerberos. EAP có thể được mở rộng vì vậy các giao thức xác nhận mới có thể được hỗ trợ như trong các phiên bản sau của nó. EAP được đưa ra để hoạt động trên giao thức Point-to-Point (PPP); để nó tương thích với các giao thức của lớp liên kết dữ liệu khác (như là Token Ring 802.5 hay Wireless LANs 802.11) EAP Over LANs (EAPOL) đã được phát triển. Mô hình xác nhận cuối cùng được thể hiện ở hình dưới:

Mô hình xác nhận


802.1x EAP-TLS được sử dụng trong các mô trường cớ bản và an toàn cao. Sự trao đổi của các message EAP-TLS cung cấp sự xác nhận lẫn nhau, sự bắt tay của giao thức mã hóa và sự trao đổi khóa bảo vệ giữa một Client không dây và mạng. EAP-TLS là một kỹ thuật cung cấp các khóa mã hóa động cho người dùng và session. Điều này cải thiện một cách đáng kể và vượt qua nhiều điểm yếu trong các mạng không dây.

Hình dưới đây chỉ ra một chuỗi các sự kiện xuất hiện khi một Client được xác nhận bằng 802.1x EAP-TLS. Hai chứng chỉ digital được yêu cầu ở đây: một trên RADIUS server (ví dụ EAS) và một trên Client không dây. Chú ý rằng sự truy cập không dây được cung cấp cho tới khi sự xác nhận thành công và các khóa WEP động đã được thiết lập.

Xác nhận 802.1x EAP-TLS


802.1x EAP-TLS với EAS trong Controller Mode được thể hiện trên hình 8. Client không dây có chứng chỉ digital (được cài đặt từ trước). Client không dây truyền thông với EAS thông qua AP. Tất cả ba thành phần (Wireless client, AP và EAS) hỗ trợ quá trình 802.1x EAP-TLS. Client không dây có thể sử dụng Windows XP (được xây dựng để hỗ trợ cho 802.1x EAP-TLS) hay Windows 98/Me/2000 bằng việc sử dụng Madge Wireless LAN Utility (WLU). Khi xác nhận, dữ liệu người dùng cũng có thể được sử dụng EAS mà đã được cấu hình trong Gateway Mode.

802.1x EAP-TLS trong Controller Mode


Phạm Văn Linh
Email:
vanlinh@quantrimang.com

Chủ Nhật, 23/07/2006 07:18
31 👨 2.767
0 Bình luận
Sắp xếp theo