TRƯỜNG ĐẠI HỌC SÀI GÒN

CHƯƠNG 3: MỘT SỐ VẤN ĐỀ BẢO MẬT
MẠNG WLAN
GV: LƯƠNG MINH HUẤN


NỘI DUNG

I. Tại sao phải bảo mật WLAN?
II. Thiết lập bảo mật WLAN
III. Khái niệm mã hóa
IV. Các giải pháp bảo mật
V. Một số kiểu tấn công trong WLAN


I. TẠI SAO PHẢI BẢO MẬT WLAN?

 Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vật liệu của các tòa nhà và như vậy sự bao
phủ là không giới hạn ở bên trong một tòa nhà. 

 Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát từ các mạng LAN này, và như vậy ai đó có thể truy
cập nhờ thiết bị thích hợp. 

 Do đó mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ.


I. TẠI SAO PHẢI BẢO MẬT WLAN?


I. TẠI SAO PHẢI BẢO MẬT WLAN?

 Để bảo mật mạng không dây ta cần:
 Cách

thức để xác định ai có quyền sử dụng WLAN - yêu cầu này được thỏa mãn bằng cơ chế xác

thực( authentication) .

 Một phương thức để cung cấp tính riêng tư cho các dữ liệu không dây – yêu cầu này được thỏa mãn bằng một thuật
toán mã hóa ( encryption).


I. TẠI SAO PHẢI BẢO MẬT WLAN?


II. THIẾT LẬP BẢO MẬT MẠNG KHÔNG DÂY

 Một WLAN gồm có 3 phần: Wireless Client, Access Points và Access Server.
 Wireless Client điển hình là một chiếc laptop với NIC (Network Interface Card) không dây được cài đặt để cho phép
truy cập vào mạng không dây.

 Access Points (AP) cung cấp sự bao phủ của sóng vô tuyến trong một vùng nào đó (được biết đến như là các cell (tế
bào)) và kết nối đến mạng không dây.

 Access Server điều khiển việc truy cập. Một Access Server (như là Enterprise Access Server (EAS) ) cung cấp sự điều
khiển, quản lý, các đặc tính bảo mật tiên tiến cho mạng không dây Enterprise


II. THIẾT LẬP BẢO MẬT MẠNG KHÔNG DÂY


 EAS có thể được đặt trong chế độ gateway mode hoặc controller mode
 Trong Gateway Mode, EAS được đặt giữa mạng AP và phần còn lại của mạng Enterprise. Vì vậy EAS điều khiển tất cả
các luồng lưu lượng giữa các mạng không dây và có dây, thực hiện như một tường lửa.


II. THIẾT LẬP BẢO MẬT MẠNG KHÔNG DÂY


II. THIẾT LẬP BẢO MẬT MẠNG KHÔNG DÂY

 Trong Controll Mode, EAS quản lý các AP và điều khiển việc truy cập trên mạng không dây, nhưng nó không liên
quan đến việc truyền tải dữ liệu người dùng. Trong chế độ này, mạng không dây có thể bị phân chia thành mạng dây
với firewall thông thường hay tích hợp hoàn toàn trong mạng dây Enterprise.


II. THIẾT LẬP BẢO MẬT MẠNG KHÔNG DÂY


II. THIẾT LẬP BẢO MẬT MẠNG KHÔNG DÂY

 Các thiết lập bảo mật mạng không dây:


II. THIẾT LẬP BẢO MẬT MẠNG KHÔNG DÂY

 Device Authorization: Các Client không dây có thể bị ngăn chặn theo địa chỉ phần cứng (ví dụ như địa chỉ MAC).
EAS duy trì một cơ sở dữ liệu của các Client không dây được cho phép và các AP riêng biệt khóa hay lưu thông lưu
lượng phù hợp.

 Encryption: WLAN cũng hổ trợ WEP, 3DES và chuẩn TLS (Transport Layer Sercurity) sử dụng mã hóa để tránh

người truy cập trộm. Các khóa WEP có thể tạo trên một per-user, per session basic.


II. THIẾT LẬP BẢO MẬT MẠNG KHÔNG DÂY

 Authentication: WLAN hổ trợ sự ủy quyền lẫn nhau (bằng việc sử dụng 802.1x EAP-TLS) để bảo đảm chỉ có các
Client không dây được ủy quyền mới được truy cập vào mạng. EAS sử dụng một RADIUS server bên trong cho sự
ủy quyền bằng việc sử dụng các chứng chỉ số.

 Firewall: EAS hợp nhất packet filtering và port blocking firewall dựa trên các chuỗi IP. Việc cấu hình từ trước cho
phép các loại lưu lượng chung được enable hay disable.

 VPN: EAS bao gồm một IPSec VPN server cho phép các Client không dây thiết lập các session VPN vững chắc
trên mạng


III. MÃ HÓA

 Khái niệm mã hóa
 Các loại mật mã
 Một số kỹ thuật mã hóa


III.1 KHÁI NIỆM MÃ HÓA

 Mã hóa là biến đổi dữ liệu để chỉ có các thành phần được xác nhận mới có thể giải mã được nó.
 Quá trình mã hóa là kết hợp plaintext với một khóa để trở thành văn bản mật (Ciphertext).
 Sự giải mã được bằng cách kết hợp Ciphertext với khóa để tái tạo lại plaintext gốc.
 Quá trình sắp xếp và phân bố các khóa gọi là sự quản lý khóa.



III.1 KHÁI NIỆM MÃ HÓA


III.2 CÁC LOẠI MẬT MÃ

 Có 2 loại mật mã
 Mật mã dòng (stream cipher)
 Mật mã khối (block cipher)

 Cả hai loại mật mã này hoạt động bằng cách sinh ra một chuỗi khóa ( key stream) từ một giá trị khóa bí mật. Chuỗi
khóa sau đó sẽ được trộn với dữ liệu (plaintext) để sinh dữ liệu đã được mã hóa.

 Hai loại mật mã này khác nhau về kích thước của dữ liệu mà chúng thao tác tại một thời điểm


III.2 CÁC LOẠI MẬT MÃ

 Mật mã dòng dùng phương thức mã hóa theo từng bit, mật mã dòng phát sinh chuỗi khóa liên tục dựa trên giá trị
của khóa

 Ví dụ một mật mã dòng có thể sinh ra một chuỗi khóa dài 15 byte để mã hóa một frame và một chuỗi khóa khác dài
200 byte để mã hóa một frame khác.

 Mật mã dòng là thuật toán mã hóa khá hiệu quả, ít tiêu tốn tài nguyên CPU.


III.2 CÁC LOẠI MẬT MÃ



III.2 CÁC LOẠI MẬT MÃ

 Mật mã khối sinh ra một chuỗi khóa duy nhất và có kích thước cố định (64 hoặc 128 bit).
 Chuỗi kí tự chưa được mã hóa (plaintext) sẽ được phân mảnh thành những khối (block) và mỗi khối se được trộn
với chuỗi khóa một cách độc lập.

 Nếu như khối plaintext nhỏ hơn khối chuỗi khóa thì plaintext sẽ được đệm thêm vào để có được kích thước thích
hợp.

 Tiến trình phân mảnh cùng với một số thao tác khác của mật mã khối sẽ làm tiêu tốn nhiều tài nguyên CPU.


III.2 CÁC LOẠI MẬT MÃ


III.2 CÁC LOẠI MẬT MÃ

 Tiến trình mã hóa dòng và mã hóa khối còn được gọi là chế độ mã hóa khối mã điện tử ECB ( Electronic Code
Block).

 Chế độ mã hóa này có đặc điểm là cùng một đầu vào plaintext ( input plain) sẽ luôn luôn sinh ra cùng một đầu ra
ciphertext (output ciphertext).

 Đây chính là yếu tố mà kẻ tấn công có thể lợi dụng để nhận dạng của ciphertext và đoán được plaintext ban đầu.


III.3 MỘT SỐ KỸ THUẬT MÃ HÓA

 Để khắc phục tình trạng hacker có thể nhận dạng ciphertext để dịch ngược lại plaintext, người ta đưa ra các kỹ thuật
mã hóa để hạn chế vấn đề này.


 Một số kỹ thuật mã hóa đơn cử như:
 Sử dụng vector khởi tạo (Initialization vector)
 Chế độ phản hồi (feed back)
 Thuật toán WEP


III.3 MỘT SỐ KỸ THUẬT MÃ HÓA

 Vector khởi tạo (IV) là một số được thêm vào khóa và làm thay đổi khóa .
 IV được nối vào khóa trước khi chuỗi khóa được sinh ra, khi IV thay đổi thì chuỗi khóa cũng sẽ thay đổi theo và kết
quả là ta sẽ có ciphertext khác nhau.

 Ta nên thay đổi giá trị IV theo từng frame. Theo cách này nếu một frame được truyền 2 lần thì chúng ta sẽ có 2
ciphertext hoàn toàn khác nhau cho từng frame.