Bảo mật mạng LAN không dây

Khi các mạng wireless LAN được triển khai rộng rãi và chúng ta cũng biết nhiều về lợi ích của nó, xong đi kèm với nó là việc bảo mật cũng rất khó khăn. Bài viết này chúng tôi đề cập và thảo luận một số kỹ thuật và giải pháp để bảo mật hệ thống này.


1. Giới thiệu

Khi các mạng wireless LAN được triển khai rộng rãi và chúng ta cũng biết nhiều về lợi ích của nó, xong đi kèm với nó là việc bảo mật cũng rất khó khăn. Bài viết này chúng tôi chỉ chỉ đề cập và thảo luận một số kỹ thuật cơ bản để bảo mật hệ thống này và một số giải pháp bảo mật hữu hiệu.

2. Tại sao bảo mật lại rất quan trọng

Tại sao chúng ta lại phải quan tâm đến vấn đề bảo mật của mạng wireless LAN? Điều này bắt nguồn từ tính cố hữu của môi trường không dây. Để kết nối tới một mạng LAN hữu tuyến bạn cần phải truy cập theo đường truyền bằng dây cáp, phải kết nối một PC vào một cổng mạng. Với mạng không dây bạn chỉ cần có máy của bạn trong vùng sóng bao phủ của mạng không dây. Điều khiển cho mạng hữu tuyến là đơn giản: đường truyền bằng cáp thông thường được đi trong các tòa nhà cao tầng và các port không sử dụng có thể làm cho nó disable bằng các ứng dụng quản lý. Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vật liệu của các tòa nhà và như vậy sự bao phủ là không giới hạn ở bên trong một tòa nhà. Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát từ các mạng LAN này, và như vật ai đó có thể truy cập nhờ thiết bị thích hợp. Do đó mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ. Hình 1 thể hiện một người lạ có thể truy cập đến một LAN không dây từ bên ngoài như thế nào. Giải pháp ở đây là phải làm sao để có được sự bảo mật cho mạng này chống được việc truy cập theo kiểu này.

3. Các điểm yếu trong bảo mật 802.11

Chuẩn IEEE 802.11 đưa ra một WEP (Wired Equivalent Privacy) để bảo vệ sự truyền phát không dây. WEP được sử dụng một chuỗi số 0 đối xứng để mã hóa các người dùng trong mạng không dây. 802.11 đưa ra các khóa WEP 64 bit nhưng được cung câp thêm lên khóa WEP 128 bit. 802.11 không đưa ra các khóa được xắp xếp như thế nào. Một WEP bao gồm 2 phần: vector khởi tạo (IV) 24 bit và key mật. IV được phát trong plain text ở phần header của các gói 802.11. Tuy nhiên nó rất dễ bị “crack”. Vì vậy giải pháp tiếp theo là phải sử dụng các khóa WEP động mà có thể thay đổi một cách thường xuyên.

Chuẩn 802.11 xác nhận các máy khách sử dụng khóa WEP. Tiếp sau đó chuẩn công nghiệp đã được đưa ra thông qua xác nhận 802.1x (bạn có thể xem phần 7) để bổ sung cho các thiếu xót của chuẩn 802.11 trước nó. Tuy nhiên gần đây, trường đại học Maryland đã minh chứng bằng tài liệu về sự cố của vấn đề bảo mật tiềm ẩn với giao thức 802.1x này. Giải pháp ngày nay là sử dụng sự xác nhận lẫn nhau để ngăn cản “ai đó ở giữa” tấn công và các khóa WEP động, các khóa này được xắp xếp một cách cẩn thận và các kênh mã hóa. Cả hai kỹ thuật này được hỗ trợ bởi giao thức (TLS: Transport Layer Security). Nổi bật hơn cả là việc khóa per-packet và kiểm tra tính toàn vẹn của message. Đây chính là chuẩn bảo mật 802.11i.

CoPyRiGht:InTecNet

Trong phần tiếp theo này chúng ta tiếp tục tim hiểu các cấu trúc và mô hình bảo mật mạng LAN không dây.


4. Cấu trúc của một LAN không dây

Một LAN không dây gồm có 3 phần: Wireless Client, Access Points và Access Server. Wireless Client điển hình là một chiếc laptop với NIC (Network Interface Card) không dây được cài đặt để cho phép truy cập vào mạng không dây. Access Points (AP) cung cấp sự bao phủ của sóng vô tuyến trong một vùng nào đó (được biết đến như là các cell (tế bào)) và kết nối đến mạng không dây. Còn Access Server điều khiển việc truy cập. Cả hai chuẩn 802.11b (LAN 11Mbps tại tần số 2,4GHz) và APs Bluetooth được hỗ trợ ở đây. Một Access Server (như là Enterprise Access Server or EAS) cung cấp sự điều khiển, quản lý, các đặc tính bảo mật tiên tiến cho mạng không dây Enterprise.


Enterprise Access Server trong Gateway Mode
Một bộ phận không dây có thể được kết nối đến các mạng không dây tồn tại theo một số cách. Kiến trúc tổng thể sử dụng EAS trong “Gateway Mode” hay “Controller Mode”. Trong Gateway Mode (xem hình 2 ở trên) EAS được đặt ở giữa mạng AP và phần còn lại của mạng Enterprise. Vì vậy EAS điều khiển tất cả các luồng lưu lượng giữa các mạng không dây và có dây và thực hiện như một firewall.

Trong Controll Mode (hình dưới), EAS quản lý APs và điều khiển việc truy cập đến mạng không dây, nhưng nó không liên quan đến việc truyền tải dữ liêu người dùng. Trong chế độ này, mạng không dây có thể bị phân chia thành mạng dây với firewall thông thường hay tích hợp hoàn toàn trong mạng dây Enterprise.



Enterprise Access Server trong Controller Mode.
5. Mô hình bảo mật không dây

Kiến trúc LAN không dây hỗ trợ một mô hình bảo mật mở và toàn diện dựa trên chuẩn công nghiệp như thể hiện trên hình 4. Mỗi một phần tử bên trong mô hình đều có thể cấu hình theo người quản lý mạng để thỏa mãn và phù hợp với những gì họ cần.


Mô hình bảo mật không cho mạng không dây
Dievice Authorisation: các Client không dây có thể bị ngăn chặn theo địa chỉ phần cứng của họ (ví dụ như địa chỉ MAC). EAS duy trì một cơ sở dữ liệu của các Client không dây được cho phép và các AP riêng biệt khóa hay thông lưu lượng phù hợp.

Encryption: WLAN cũng hổ trợ WEP, 3DES và chuẩn TLS sử dụng mã hóa để tránh người truy cập trộm. Các khóa WEP có thể đươck tạo trên một per-user, per session basic.

Authentication: WLAN hỗ trợ sự ủy quyền lẫn nhau (bằng việc sử dụng 802.1x EAP-TLS) để bảo đảm chỉ có các Client không dây được ủy quyền mới được truy cập vào mạng. EAS sử dụng một RADIUS server bên trong cho sự ủy quyền bằng việc sử dụng các chứng chỉ số. Các chứng chỉ số này có thể đạt được từ quyền chứng nhận bên trong (CA) hay được nhập từ một CA bên ngoài. Điều này đã tăng tối đa sự bảo mật và giảm tối thiểu các thủ tục hành chính.

Firewall: EAS hợp nhất customable packet filtering và port blocking firewall dựa trên các chuỗi Linux IP. Việc cấu hình từ trước cho phép các loại lưu lượng chung được enable hay disable.

VPN: EAS bao gồm một IPSec VPN server cho phép các Client không dây thiết lập các session VPN vững chắc trên mạng.

CoPyRiGht:InTecNet