EAP (Extensible Authentication Protocol) - Phương thức bảo mật cho mạng không dây

Do việc truyền dữ liệu trong mạng không dây thực hiện trong môi trường mở nên chúng ta cần có cơ chế bảo mật khác với các mạng truyền thống.Trong bài này chúng ta sẽ nghiên cứu cách thức hoạt động và cơ chế bảo mật trong các mạng không dây từ đó tìm ra một cơ chế thích hợp nhất.
Nội dung trích xuất từ tài liệu:
EAP (Extensible Authentication Protocol) - Phương thức bảo mật cho mạng không dâyEAP (Extensible Authentication Protocol) - Phương thức bảo mật cho mạng không dây802.11 (Phần 1)2:19, 30/10/2007 Do việc truyền dữ liệu trong mạng không dây thực hiện trong môi trường mở nên chúng ta cần có cơ chế bảo mật khác với các mạng truyền thống.Trong bài này chúng ta sẽ nghiên cứu cách thức hoạt động và cơ chế bảo mật trong các mạng không dây từ đó tìm ra một cơ chế thíchhợp nhất. Tiếp theo chúng ta sẽ xem xét một vài cơ chế xác thực trong mạng khôngdây như phương pháp mã khoá công cộng, mã sử dụng mật khẩu thông thường và mãsử dụng mật khẩu phức tạp. Một trong các loại mã sử dụng mật khẩu đặc biệt nhưSPEKE (Simple Password-authenticated Exponential Key Exchange) sẽ được đề cậpchi tiết hơn. Cuối cùng là các bảng so sánh phương thức bảo mật cho mạng khôngdây. Nguyễn Hữu Phát1. Tổng quan Do việc truyền dữ liệu trong mạng không dây thực hiện trong môi trường mở nênchúng ta cần có cơ chế bảo mật khác với các mạng truyền thống.Trong bài này chúngta sẽ nghiên cứu cách thức hoạt động và cơ chế bảo mật trong các mạng không dây từđó tìm ra một cơ chế thích hợp nhất. Tiếp theo chúng ta sẽ xem xét một vài cơ chế xácthực trong mạng không dây như phương pháp mã khoá công cộng, mã sử dụng mậtkhẩu thông thường và mã sử dụng mật khẩu phức tạp. Một trong các loại mã sử dụngmật khẩu đặc biệt như SPEKE (Simple Password-authenticated Exponential KeyExchange) sẽ được đề cập chi tiết hơn. Cuối cùng là các bảng so sánh phương thứcbảo mật cho mạng không dây. Xác thực là một quá trình kiểm tra các yêu cầu đặt ra. Hình thức xác thực đơn giảnnhất là một người khi được yêu cầu xác thực sẽ đưa một mật khẩu tới hệ thống đểkiểm tra. Nếu mật khẩu đúng anh ta sẽ được quyền truy nhập và thực hiện các dịchvụ cho phép.Trong một vài trường hợp yêu cầu tính xác thực cao tuy nhiên cũng cótrường hợp chỉ mang tính kiểm tra như: - Người sử dụng được bảo đảm tính xác thực thông qua các câu hỏi. - Kênh giao tiếp giữa người sử dụng và người xác thực phải được bảo vệ(người sử dụng và người xác thực có thể đảm bảo chắc chắn rằng không bị nghetrộm). Để đảm bảo an toàn cao hệ thống có thể giới hạn số lần nhập sai mật khẩuđể tránh tình trạng người tấn công có thể dò mật khẩu.Chúng ta sẽ xem xét các vấn đề xảy ra khi một người truy cập vào mạng không dâychuẩn 802.11 thông qua một máy tính xách tay. Vấn đề thứ nhất đó là người sử dụngsẽ không thể có cách nào biết điểm truy nhập là gì, điều này do người quản trị mạngqui định.Tuy nhiên kẻ tấn công có thể giả danh một người khác để truy cập đếnmạng. Nếu điều này xảy ra người bị giả danh sẽ không thể biết chính xác dữ liệu đãbị lấy cắp như thế nào.Vấn đề thứ là môi trường truyền thông trong trường hợp này là mạng vô tuyến có thểbị kiểm soát với một thiết bị thu. Điều này được thực hiện dễ dàng bởi kẻ tấn côngthông qua việc sử dụng những mật khẩu chưa bị xoá. Vấn đề này có thể kiểm soátnhờ sử dụng cơ chế xác thực thông qua một số chức năng phức tạp mà chỉ người dùngnắm được. Nhưng có một vấn đề mới nảy sinh. Kẻ tấn công có thể tạo ra những mậtkhẩu giả trên một máy tính riêng sau đó phân tích những kết quả trả về máy tính. Sosánh những kết quả đó ghép nối lại sẽ cho một mật khẩu. Những mật khẩu dự đoánnày được tạo ra rất nhanh khiến cho người sử dụng cũng như người quản trị mạngkhông thể phát hiện được. Hình thức tấn công này được gọi là từ điển phá khoá“cracker’s dictionary” .Cách thức tấn công offline này có thể loại trừ bằng cách đặt một số lớn ngẫu nhiênthay thế cho những mật khẩu dễ nhớ. Nhưng điều này làm nảy sinh lỗi thứ tư đó làmật khẩu dễ nhớ. Để khắc phục vấn đề này mật khẩu có thể được lưu trữ trên máytính, điều này có nghĩa là người sử dụng cần phải tự mình bảo vệ máy tính của mìnhkhỏi sự truy cập trái phép từ bên ngoài. Chính vì vậy mà yêu cầu xác thực cho mạngkhông dây nghiêm ngặt hơn rất nhiều so với mạng cố định sử dụng hệ thống quay số.Trong bài này trước tiên chúng ta thu thập các yêu cầu đó là các phương thức xác thựcphù hợp cho mạng không dây. Danh sách này bao gồm các đặc trưng thêm vào đó là cácphương thức xác thực phải có và danh sách các đặc tính của một số mạng không dâycó thể hữu ích trong một vài môi trường.Tiếp đó chúng ta sẽ xem xét hai họ xác thực cơ bản cho mạng không dây. Họ thứnhất gồm các phương pháp xác thực sử dụng khoá công cộng. Họ thứ hai là cácphương pháp xác thực sử dụng mật khẩu. Chúng ta cũng xem xét các đặc tính cơ bảncủa phương pháp mã khoá SPEKE phương pháp mã hoá rất thích hợp cho mạng khôngdây. Cuối cùng chúng ta tóm tắt các phương pháp xác thực trong một bảng và so sánhkhả năng kết hợp của nó với các phương pháp đã có trước đó.2. Các yêu cầu cho xác thực trong mạng không dâyTiếp theo câu hỏi đặt ra là yêu cầu xác thực gì sẽ được sử dụng để truy cập mạngkhông dây? Trong phần này sẽ liệt kê các yêu cầu cần có cho các phương pháp xácthực, các đặc trưng thêm vào và các đặc tính có thể hữu ích trong môi trường cụ thể.2.1. Các yêu cầu ( Bắt buộc )Tính tương hỗ: Nó cung cấp tính xác thực lẫn nhau, đó là người chịu trách nhiệm xácthực phải xác thực được người sử dụng và ngược lại người sử dụng cũng phải kiểmtra lại đối tượng xác thực mình. Đây là yêu cầu quan trọng trong mạng không dây bởivì những kẻ tấn công rất dễ tạo ra những điểm truy cập giả. Có hai khả năng tấncông có thể xảy ra. Thứ nhất ...