CHƯƠNG XII AN NINH MẠNG CỤC BỘ KHÔNG DÂY ThS Nguyễn Cao Đạt E-mail: dat@cse.hcmut.edu.vn Tham khảo [2] Network Security – A Beginner’s Guide: module 18 http://www.wifi.org http://standards.ieee.org/wireless http://en.wikipedia.org/wiki/Wired_Equivalent_Privacy http://www.bsi.bund.de/literat/doc/wlan/wlan.pdf Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Nội dung trình bày       Công nghệ WLAN Lịch sử phát triiển an ninh WLAN Các tính an ninh 802.11 Các tính an ninh cải tiến So sánh chuẩn an ninh WLAN Kết luận khuyến cáo Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN   Các chuẩn 802.11a, 802.11b, 802.11g, 802.11n Cho phép máy trạm thiết lập kết nối với Access Point lên đến 11Mbps/54Mbps/108Mbps Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN  Các chuẩn khác  802.11n – 100Mbps+  802.11e – QoS   Được liên minh WiFi đặt tên “Wireless MultiMedia (WMM)” 802.11i    Thêm thuật toán mã hóa AES Đòi hỏi xử lý tốc độ cao TKIP giải pháp tạm thời Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN  Vấn đề an ninh    WLAN dùng không khí phương tiện truyền thông cho việc gửi nhận thông tin Tín hiệu thu phạm vi hoạt động WLAN có số lỗ hổng bảo mật mà không tồn mạng cục có dây Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN  Môt số mối đe dọa     War driver: Kẻ công muốn truy cập Internet miễn phí nên cố gắng để tìm công điểm truy cập WLAN an ninh hay an ninh yếu Tin tặc: Sử dụng mạng không dây cách để truy cập vào mạng doanh nghiệp mà không cần phải qua kết nối Internet có tường lửa Nhân viên: Nhân viên vô tình giúp tin tặc truy cập vào mạng doanh nghiệp nhiều cách Điểm truy cập giả mạo: kẻ công thiết lập AP riêng mình, với thiết lập tương tự AP có Khi người dùng sử dụng AP giả mạo bị lộ thông tin Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Công nghệ WLAN  Các hình thức giảm nguy    Xác thực lẫn Mã hóa liệu Phát thâm nhập bất hợp pháp Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Lịch sử phát triển an ninh WLAN  1997, chuẩn 802.11 cung cấp     SSID (Service Set Identifier) Lọc địa MAC WEP (Wired Equivalent Privacy) 2001   Fluhrer, Mantin Shamir số điểm yếu WEP IEEE bắt đầu khởi động nhóm i (802.11i) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây Lịch sử phát triển an ninh WLAN  2003     Wi-Fi Protected Access(WPA) giới thiệu Là giải pháp tạm thời cho WEP Một phần IEEE 802.11i 2004    WPA2 giới thiệu Nó dựa chuẩn IEEE 802.11i Được phê chuẩn vào 25/06/2004 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 10 Các tính an ninh cải tiến  Wi-Fi Protected Access (WPA)     Giải hầu hết điểm yếu WEP Là tập 802.11i, tương thích 802.11i Mục tiêu cải thiện vấn đề mã hóa xác thực người dùng Gồm chế độ hoạt động   WPA doanh nghiệp: TKIP/MIC ; 802.1X/EAP WPA cá nhân: TKIP/MIC; PSK Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 24 Các chế độ hoạt động WPA  Doanh nghiệp   Nhà hay văn phòng nhỏ     Dùng 802.1x/EAP cho xác thực Dùng chế độ “Pre-Shared Keys (PSK)” Người dùng cung cấp khóa chủ máy tính Khóa chủ kích hoạt TKIP việc quay vòng khóa Chế độ hỗn hợp  Hoạt động với WEP máy trạm không hỗ trợ WPA Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 25 Chế độ WPA doanh nghiệp  Xác thực(IEEE 802.1X/EAP)      Xác thực lẫn Vì bạn không bị tham gia mạng giả mạo cung cấp thông tin bí mật bạn Hỗ trợ nhiều phương thức xác thực dựa mật khẩu, chứng số Quản lý thông tin người dùng tập trung Một AAA server cần thiết Dùng giao thức RADIUS cho AAA phân phối khóa Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 26 EAP(Extensible Authentication Protocol)  Cisco LEAP    EAP-TLS    Dùng Username/password Dễ bị tổn thương công mật khẩu/ dựa băm Xác thực lẫn dùng chứng X.509 Mặc định 802.11i EAP-TTLS/PEAP   TLS qua đường hầm Không yêu cầu chứng client Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011  EAP-GTC   Xác thực dùng mật lần EAP-FAST    Client & server có khóa, thiết lập đường hầm an toàn Xác thực xảy đường hầm an toàn Giống xác thực VPN Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 27 Xác thực với EAP-FAST AP Supplicant EAPOL Start Enterprise Network RADIUS server Start EAP Authentication Ask client for identity EAPRequest/Identity EAP -Response/Identity (EAP-ID) RADIUS Access request Access Request with EAP-ID Secure Tunnel (via TLS & PAC) Perform sequence defined by EAP-FAST Client-side Authentication key EAP success RADIUS Access Accept (Pass PMK to AP) key Client derives PMK WPA Key Management Protected DATA Transfer Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 28 Đánh giá loại EAP EAP-OPEN EAP-FAST Dể sử dụng LEAP PEAP EAP-MD5 EAP-TTLS EAP-TLS An toàn Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 display purposes only MậtFormã & an ninh mạng Cisco IT recommends you undertake your own formal security requirements analysis Chương XII: An ninh mạng cục không dây 29 Chế độ WPA doanh nghiệp  Mã hóa(TKIP/MIC)  TKIP      Temporal Key Integrity Protocol Sửa lỗi phục hồi khóa WEP Bảo vệ IV cách loại bỏ khả dự đoán Sử dụng thuật toán mã hóa RC4 WEP Thêm MIC cuối thông điệp rõ nhằm đảm bảo thông điệp không bị giả mạo MIC    Message Integrity Code Chống lại công bit-flip Phải thực client & AP Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 30 Chế độ WPA doanh nghiệp Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 31 Chế độ WPA doanh nghiệp  Mã hóa (TKIP/MIC)     Dùng khóa 64 bits Chia gói tin thành khối 32 bits Dùng shifts, XORs, + đến khối 32 bits để lấy thẻ xác thực 64 bits Khóa MIC tính toán liệu địa nguồn địa đích   MIC = MIC_key(SA, DA, PlainMSDU) Tránh bắt gói, thay đổi gởi lại gói tin Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 32 Chế độ WPA doanh nghiệp  Mã hóa (TKIP/MIC)      Mỗi khóa mã hóa gói IV có chiều dài 48bits dẫn đến giảm việc tái sử dụng IV IV mã hóa trước gởi MIC thay CRC Có thể nâng cấp dể dàng cho phần cứng hỗ trợ WEP Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 33 Chế độ WPA cá nhân   Mã hóa (TKIP) Authentication (PSK - Pre-shared key)  Chế độ đặc biệt (không có hạ tầng 802.1x)  Passphrase cung cấp tất máy trạm Access Point  Dựa bắt tay khóa bốn lần   Hai lần đầu: máy trạm access point trao đổi giá trị ngẫu nhiên để xác thực lẫn Hai lân : access point hướng dẫn máy trạm để cài đặt khóa tính toán trước Máy trạm xác nhận Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 34 Các tính an ninh cải tiến  WPA2/802.11i       WPA giải pháp tình WPA2 chuẩn IEEE 802.11i 802.11i dùng khái niệm an ninh mạng mạnh mẽ(RSN -Robust Security Network) Khác biệt lớn nhất: AES dùng cho mã hóa Mã hóa AES thực phần cứng Đòi hỏi xử lý mạnh Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 35 Các chế độ hoạt động WPA2  Doanh nghiệp    Nhà hay văn phòng nhỏ    Xác thực dùng 802.1X/EAP Mã hóa dùng AES-CCMP Xác thực dùng PSK Mã hóa dùng AES-CCMP AES-CCMP      AES mã hóa khóa đối xứng Chiều dài khối khóa 128 bits CCMP: Counter-Mode/CBC-Mac Protocol Mã hóa dùng chế độ Counter Toàn vẹn liệu dùng CMC-MAC Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 36 So sánh chuẩn an ninh WLAN WEP Mã hóa RC4 Quay vòng Không khóa WPA RC4 với TKIP/MIC AES Các khóa phiên động Các khóa phiên động Phân phối Gõ tay Phân phối tự khóa vào thiết bị động Xác thực Dùng khóa WEP Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 WPA2 Có thể dùng 802.1x & EAP Phân phối tự động Có thể dùng 802.1x & EAP Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 37 Kết luận khuyến cáo   An ninh mạng nói chung trạng thái mà tiến trình Các khuyến cáo cho an ninh WLAN      Dùng thiết bị tương thích có chứng nhận Wi-Fi Thay đổi SSID không quảng bá SSID Cấu hình lọc địa MAC bạn quản lý người dùng Access Point Cấu hình WEP với khóa có chiều 128 bits thay đổi khóa WEP thường xuyên nâng cấp firmware hỗ trợ WPA/WPA2 Nâng cấp firmware để cấu hình WPA/WPA2 dùng 802.1x/EAP để xác thực người dùngS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Mật mã & an ninh mạng Chương XII: An ninh mạng cục không dây 38