An ninh mạng WLAN ............................................................................................................. 2
A, Giới thiệu ......................................................................................................................... 2
B, Các tập giải pháp an ninh mạng cho WLAN ................................................................. 2
B1, Mã hoá ....................................................................................................................... 3
B2, Giao thức WEP .......................................................................................................... 3
B3, Các tiêu chuẩn mã hoá dữ liệu .................................................................................. 4
B4, Nhận thực ................................................................................................................. 4
B5, Lớp khe cắm an ninh SSL ......................................................................................... 4
B6, Lọc địa chỉ MAC (hay danh sách điều khiển truy nhập) ......................................... 5
B7, Giao thức nhận thực mở rộng (EAP) ........................................................................ 5
B8, 802.1x ........................................................................................................................ 5
B9, Nhận thực .................................................................................................................. 6
B10, Mạng riêng ảo .......................................................................................................... 6
C, Các kiểu tấn công an ninh vô tuyến điển hình ................................................................ 6
C1, WEP Cracking - bẻ gẫy WEP ................................................................................... 6
C2, Tấn công địa chỉ MAC .............................................................................................. 7
C3, Các tấn công gây ra bởi một người ở vị trí trung gian ............................................. 7
C4, Các tấn công dạng từ điển ......................................................................................... 8
C5, Tấn công phiên .......................................................................................................... 8
C6, Từ chối dịch vụ (DoS) ............................................................................................... 8
C7, Các giải pháp tương lai ngăn chặn các tấn công vào mạng WLAN ....................... 8
C7.1, Bảo vệ quyền truy nhập Wi-Fi (WPA) .............................................................. 8
C7.2, Giao thức mã hoá khoá theo thời gian (TKIP) .................................................. 9
D, An ninh trong thực tế ...................................................................................................... 9
D1, Home and SOHO – (Khu vực nhà ở và văn phòng nhỏ) – Yêu cầu an ninh mức
thấp ................................................................................................................................... 9
D2, Văn phòng nhỏ và người dùng ở xa – Yêu cầu an ninh mức độ trung bình .......... 10
D3, Người sử dụng của các tổ chức/tập đoàn – Yêu cầu an ninh mức cao .................. 11
D4, An ninh truy nhập công cộng .................................................................................. 12
E, Các hướng phát triển trong tương lai. ........................................................................... 12
F, Kết luận .......................................................................................................................... 13

G, Phụ lục: Các công nghệ và các sáng kiến an ninh ........................................................ 13
G1, Nhận thực ................................................................................................................ 13
G2, Kiểm tra dư chu trình CRC ..................................................................................... 13
G3, Chữ ký số/ chứng chỉ số .......................................................................................... 13
G4, Tường lửa ................................................................................................................ 14
G5, Kerberos .................................................................................................................. 14
G6, Tính toàn vẹn ........................................................................................................... 14
G7, Chuyển đổi khoá Internet (IKE) ............................................................................. 14
G8, IPSec ........................................................................................................................ 14
G9, LEAP ....................................................................................................................... 15
G10, Điều khiển truy nhập môi trường (MAC) ............................................................ 15
G11, Giao thức nhận thực mở rộng được bảo vệ (PEAP) ............................................ 15
G12, Hạ tầng khoá chung (PKI) .................................................................................... 15
G13, Dịch vụ người sử dụng quay số nhận thực từ xa (RADIUS) ............................... 15
G14, Bộ nhận dạng tập dịch vụ (SSID) ......................................................................... 16
G15, An ninh lớp truyền tải (TLS) ................................................................................ 16
G16, An ninh lớp truyền tải đường ống (TTLS) ........................................................... 16
An ninh mạng WLAN
A, Giới thiệu
Hiện nay có hàng triệu thiết bị mạng vô tuyến sử dụng công nghệ 802.11 đã và
đang được sử dụng cho các tổ chức thương mại, giáo dục và nhà nước. Từ văn phòng cho
tới trường học, quyền sở hữu tổng chi phí thấp, triển khai dễ dàng, và độ lợi sản xuất là
những nhân tố quan trọng dẫn đến những hiểu biết về các lợi ích của việc thiết lập mạng
không dây. Người sử dụng có thể truy nhập mạng hầu như từ mọi vị trí, khả năng truy
nhập di động đặt ra các vấn đề an ninh mạng mà chúng thường được quan tâm, mặc dù
những khả năng an ninh mạng là sẵn có trong các sản phẩm hiện nay theo chuẩn
802.11a/b/g. Những khảo sát gần đây ở New York và thung lũng Silicon đã chỉ ra rằng có
hàng trăm điểm truy nhập mạng WLAN đã được phát hiện, dưới 50% sử dụng WEP để
mạng rộng mở đối với mọi người dùng không được phép trong vùng phủ có thể truy
nhập vào mạng.

Trong phần này trình bày chủ yếu các khái niệm về an ninh mạng, một vài phương
pháp tấn công mạng WLAN mà các hacker có thể sử dụng, cũng như các cơ chế và khái
niệm về an ninh mạng có thể được sử dụng để bảo vệ mạng chống lại các hacker. Ngoài
ra, sẽ có một phần thảo luận về phương pháp điểu khiển an ninh được sử dụng trong các
trường hợp người dùng khác nhau.
Thước đo an ninh mạng cho phép bảo đảm tốt nhất chống lại các hacker truy nhập
vào mạng, nhưng việc bảo vệ bổ sung cho mạng có thể là tốn kém và khó khăn khi sử
dụng. Khi hiểu được các nguy cơ có liên quan, các khái niệm và các công nghệ hiện có,
các tổ chức thương mại, giáo dục, và các tổ chức nhà nước có thể chọn lựa các chính
sách và khả năng đảm bảo an ninh mạng ở mức độ hợp lý để thực hiện bảo vệ mạng một
cách tối ưu.
B, Các tập giải pháp an ninh mạng cho WLAN
Hiện nay có rất nhiều công nghệ an ninh mạng. Quá trình mật mã hoá dữ liệu sử
dụng một mã riêng, làm cho dữ liệu thành bí mật với tất cả người sử dụng ngoại trừ một
người sử dụng có một máy thu định trước. Quá trình nhận thực nhận dạng người sử dụng
và máy tính – nó là quá trình thẩm tra độ tin cậy của một vài người sử dụng hoặc một vài
thành phần mạng. Có nhiều tiêu chuẩn và phương pháp áp dụng được đối với mỗi một
trong số các công nghệ nói trên với các mức độ bảo vệ và tương hỗ thay đổi theo từng
loại. Chúng có thể được sử dụng như là các khối kiến trúc cơ sở trong cơ sở hạ tầng an
ninh mạng.
Một ứng dụng an ninh mạng hiệu quả là sử dụng mạng riêng ảo (VPN), VPN kết
hợp mã hoá và nhận thực cùng với các giao thức bổ sung. Các mạng VPN xây dựng một
“bức tường” giữa mạng riêng và thế giới bên ngoài, ẩn đi thông tin và bảo vệ mạng vì thế
mà người sử dụng không được phép không có khả năng đọc hay sửa đổi thông tin. Các
ứng dụng VPN cho phép bảo vệ hiệu quả trong môi trường mạng WLAN và mạng công
cộng.
Khi không có các cơ chế an ninh mạng thích hợp, người sử dụng không thể chắc
chắn là ai đang đọc dữ liệu của họ hoặc đang điều tra về mạng nội bộ của họ. NETGEAR
hỗ trợ tất cả các khả năng an ninh mạng với khả năng hỗ trợ phần cứng khi thích hợp,
cho phép một vài trong số hầu hết các lựa chọ an ninh mạng và hiệu năng cao để đảm

bảo an ninh cho mạng WLAN.
B1, Mã hoá
Quá trình mã hoá đảm bảo dữ liệu bí mật và làm cho dữ liệu trở nên vô nghĩa đối
với bất cứ ai không có quyền đọc. Quá trình mã hoá là việc chuyển đổi dữ liệu và một
khuôn dạng mà người sử dụng không được phép thì không thể hiểu được một cách dễ
dàng. Dữ liêu được mã hoá bằng một thuật toán hay một khóa.
Quá trình giải mã là việc biến đổi dữ liệu đã mã hoá trở lại dạng ban đầu vì thế nó
trở nên dễ hiểu đối với người sử dụng. Để phục hồi nội dung dữ liệu đã được mã hoá,
yêu cầu có một khoá giải mã chính xác. Hầu hết các quá trình mã hoá sử dụng trên các
mạng máy tính được thực hiện bằng một mã khóa dùng chung.
Mỗi người sử dụng có một khoá chung, khoá này là chung cho tất cả các người sử
dụng khác, và một khoá riêng được giữ bí mật. Các cặp khoá (chung-riêng) này được kết
nối với nhau về mặt toán học, cho phép người sử dụng mã hoá và giải mã dữ liệu, trong
khi giấu kín dữ liệu đối với những người sử dụng khác. Thuật toán mã hoá càng phức tạp
thì khả năng bị nghe trộm càng khó khi người sử dụng không truy nhập vào khoá được.
Để việc mã hóa hiệu quả, chức năng an ninh mạng phải tối thiểu hoá việc tái sử dụng các
khoá mật mã bằng cách thường xuyên thay đổi chúng – một vài sơ đồ mã hoá thay đổi
khoá 30s một lần.
B2, Giao thức WEP
Giao thức bảo mật tương ứng hữu tuyến WEP cung cấp hầu hết khả năng an ninh
thông qua quá trình mật mã hoá vô tuyến cơ sở. Trong một số trường hợp, WEP đủ để
bảo vệ quyền truy nhập mạng vô tuyến trong phạm vi một căn nhà hoặc các người sử
dụng thương mại quy mô nhỏ. Giao thức WEP được xác định để đạt được ba mục tiêu an
ninh mạng:
• Tính bí mật: quá trình mã hoá ngăn ngừa khả năng nghe trộm ngẫu nhiên;
• Điều khiển truy nhập: nhận thực và bảo vệ quyền truy nhập tới một cơ sở
hạ tầng mạng WLAN;
• Tính toàn vẹn dữ liệu: quá trình tổng kiểm tra ngăn ngừa việc xâm phạm
các bản tin phát đi.
WEP cho phép các mức độ mã hoá khác nhau, từ 40 đến 128 bit đối với 802.11b

và 802.11g, và lên đến 152 bit đối với 802.11a. Nhiều bit tương ứng với mức độ an ninh
tốt hơn bởi vì một khoá dài hơn cần nhiều cố gắng hơn để phá khoá. WEP không hỗ trợ
quản lý khoá, là khả năng chuyển đổi tự động của các khoá mật mã hoá giữa khách hàng
(người dùng) và các điểm truy nhập AP. Để duy trì khả năng an ninh hiệu quả, WEP yêu
cầu các khoá phải được thay đổi bằng tay. Quá trình này rất mất thời gian nhất là trong
các môi trường lớn. Các cơ chế an ninh mạnh hơn như IPSec và VPN hỗ trợ khả năng
quản lý khoá tự động.
B3, Các tiêu chuẩn mã hoá dữ liệu
Một số kỹ thuật mã hoá dựa trên chuẩn IPSec:
• Chuẩn mã hoá dữ liệu DES: DES là một tiêu chuẩn mã hoá đã có từ lâu,
nhưng hiện nay nó được xem là kém hiệu quả. Để trở nên hiệu quả hơn nó phải có độ dài
khoá là 56 bit (tức là có một khoá 64 bit với 8 bit chẵn lẻ).
• DES 3 lần 3DES: là việc sử dụng DES 3 lần với 3 khóa khác nhau. Trong
thực tế, 3DES gần gấp đôi độ dài khoá hiệu quả của DES. Kích thước khoá là 192 bit.
• Tiêu chuẩn mã hoá tiên tiến AES: Kích thước khóa AES có thể đặt là 128,
192 hay 256 bit. Trong khi chiều dài khoá lớn hơn có nghĩa là an ninh tốt hơn, song
chúng cũng yêu cầu công suất xử lý nhiều hơn. Người ta muốn chuẩn 802.11i có chứa
giao thức AES. Điểm mạnh của AES là có thể yêu cầu một bộ đồng xử lý hoạt động thật
hiệu quả. Viện nghiên cứu quốc gia về các tiêu chuẩn và công nghệ thuộc Bộ Thương
mại Mỹ (NIST) chọn AES để thay thế cho DES đã có từ lâu. Hiện nay AES là bản công
bố về tiêu chuẩn xử lý thông tin liên bang FIPS 197 nó xác định một thuật toán mã hoá
sử dụng cho các tổ chức nhà nước ở Mỹ để bảo vệ các thông tin nhạy cảm và các thông
tin thông thường. Phòng thương mại đã phê chuẩn việc lựa chon AES như là một chuẩn
nhà nước chính thức vào tháng 5/2002.
B4, Nhận thực
Nhận thực là một cơ chế nhận dạng người sử dụng hoặc dịch vụ dựa trên một tiêu
chí cho trước. Đó là quá trình xác định ai hay cái gì có đúng như chúng được khai báo
hay không. Các hệ thống nhận thực biến đổi từ hệ thống có cặp tên người sử dụng – mật
khẩu đơn giản, cho đến hệ thống dò tìm – đáp ứng phức tạp hơn như là các card thông
minh và các thiết bị sinh trắc học. Các giao dịch trên mạng thường yêu cầu một quá trình

nhận thực chặt chẽ hơn cách nhận thực theo tên người sử dụng và mật khẩu đơn giản.
Việc sử dụng các “chứng chỉ” số được công bố và kiểm tra bởi CA nội bộ hoặc CA phần
3 khi một phần trong hạ tầng khoá công cộng PKI được chấp nhận để sử dụng như một
phương pháp thực hành an ninh mạng hiệu quả.
B5, Lớp khe cắm an ninh SSL
SSL cho phép các quá trình nhận thực, không từ chối khách hàng và server, bảo vệ
tính toàn vẹn dữ liệu, mật mã hoá quá trình truyền dẫn. Khách hàng và server thảo thuận
và thiết lập một mức mã hoá có thể chấp nhận được lên đến 128 bit. Không giống như
IPSec, SSL không yêu cầu phần tiêu đề xác định mức an ninh giống như quản lý khoá và
mật mã hoá dữ liệu đối với mọi lưu lượng, SSL rất phù hợp cho các phiên Ad-Hoc (các
phiên độc lập).
SSL nằm giữa lớp ứng dụng và lớp TCP/IP trong ngăn xếp giao thức mạng, cung
cấp khả năng ứng dụng trong suốt hỗ trợ cho SSL và các đặc tính của nó. SSL là một
chuẩn sử dụng trong các trình duyệt Web, và nhiều Website sử dụng giao thức này để
đảm bảo bí mật thông tin của người sử dụng ví dụ như số thẻ tín dụng.
B6, Lọc địa chỉ MAC (hay danh sách điều khiển truy nhập)
Chuẩn 802.11 xác định một thiết bị có số địa chỉ MAC (điều khiển truy nhập mổi
trường) cho bởi nhà sản xuất. Định dang MACID là một thành phần sử dụng để nhận
thực một người dùng khi đi vào mạng – nó nhận dạng dịch vụ khách hàng của người sử
dụng. Các nhà quản trị hệ thống có thể thiết lập một bảng kết nối với điểm truy nhập chỉ
chấp nhận các địa chỉ MAC nhất đinh và lọc bỏ các địa chỉ khác ra khỏi mạng. Tuy
nhiên, việc lập trình các địa chỉ MAC của những người sử dụng hợp lệ vào trong các
điểm truy nhập của một công ty lớn là một việc làm khó khăn và nó không được sử dụng
để duy trì trong các mạng biến đổi liên tục. Khi áp dụng cho các mạng quy mô nhỏ nó tỏ
ra rất hiệu quả.
B7, Giao thức nhận thực mở rộng (EAP)
EAP là cơ sở để cung cấp khả năng nhận thực tập trung hoá và phân bố khóa
động. Nó cho phép các bộ thích ứng khách hàng vô tuyến, các bộ thích ứng này hỗ trợ
các kiểu nhận thực khác nhau, truyền thông với các server kết cuối khác nhau giống như
RADIUS - dịch vụ người sử dụng quay số nhận thực từ xa. EAP là một giao thức tổng

quát sử dụng cho nhận thực có thể hỗ trợ các phương pháp nhận thực khác nhau, và các
card thông minh. Khi sử dụng cùng với 802.1x, nó cho phép nhận thực từ đầu cuối – đến
– đầu cuối, một khách hàng vô tuyến kết hợp với một điểm truy nhập có thể đạt được
quyền truy nhập vào mạng cho đến khi người sử dụng thực hiện quá trình đăng nhập vào
mạng. Trong các quá trình truyền thông vô tuyến sử dụng EAP, một người sử dụng yêu
cầu kết nối tới một mạng WLAN thông qua một điểm truy nhập, điểm truy nhập này sau
đó yêu cầu định danh người sử dụng và phát thông tin định danh tới một server nhận
thực, như là RADIUS chẳng hạn. Server này hỏi điểm truy nhập về nguồn gốc của quá
trình định danh mà điểm truy nhập thu được từ người sử dụng và sau đó gửi trở lại cho
server để hoàn tất một quá trình nhận thực.
EAP thực hiện nhận thực hai chiều-mỗi một phía được nhận thực cần chứng tỏ
định danh của nó với phía kia sử dụng chứng chỉ và khoá riêng của nó. Khi cả khách
hàng và server nhận thực được mỗi bên an ninh mạng sẽ được đảm bảo hơn. Ví dụ, EAP
bảo vệ chống lại các tấn công bởi con người và tấn công theo kiểu dò tìm.
B8, 802.1x
802.1x cho phép các khả năng đăng nhập vào mạng giữa các PC và hạ tầng mạng
bên ngoài. Nó cho phép một kiến trúc cơ sở thực hiện các sơ đồ nhận thực khác nhau.
802.1x cung cấp khả năng mã hoá, và nó không phải là lựa chọn thay thế cho WEP,
3DES, AES, hay bất cứ quá trình mã hoá nào khác. 802.1x không tập trung vào việc nhận
thực và quản lý khoá, vì thế nó có thể được sử dụng khi kết hợp với một mã khác.
802.1x không phải là phương pháp nhận thực đơn lẻ mà hơn thế nó sử dụng EAP như là
cơ sở nhận thực của nó. Điều này có nghĩa là 802.1x cho phép các chuyển mạch và điểm
truy nhập có thể hỗ trợ một số lượng lớn các phương pháp nhận thực, bao gồm nhận thực
dựa trên chứng chỉ, các card thông minh, các thẻ (token), các mật khẩu dùng một lần,…
802.1x hỗ trợ các tiêu chuẩn mở rộng sử dụng cho nhận thực, cấp phép và thanh toán
(bao gồm RADIUS và LDAP) vì thế nó hoạt động cùng với hạ tầng hiện có để quản lý
người sử dụng từ xa và người sử dụng di động. Khi kết hợp với một giao thức nhận thực
như EAP-TLS, LEAP, hay EAP-TTLS, 802.1x cho phép khả năng điều khiển truy nhập
và nhận thực hai chiều thực hiện trên các cổng giữa khách hàng và điểm truy nhập thông
qua một server nhận thực.

Microsoft hỗ trợ 802.1x trong Windows XP, và trong tất cả các sản phẩm WLAN
của NETGEAR.
B9, Nhận thực
VPN là ứng dụng nổi bật nhất hiện nay cho an ninh mạng WLAN bởi vì nó kết
hợp được hai quá trình mã hóa và nhận thực. Người sử dụng thiết lập một đường ống an
ninh tới điểm truy nhập vô tuyến với một thủ tục đăng nhập sử dụng mật khẩu và tên
người sử dụng. Tất cả các sản phẩm không dây của NETGEAR đều hỗ trợ VPN.
B10, Mạng riêng ảo
Một mạng VPN tạo ra một mạng riêng trong một môi trường truy nhập chung
giống như một mạng WLAN. Nó cho phép truyền thông riêng biệt giữa những người sử
dụng, các văn phòng ở xa, và các tổ chức thương mại. Một mạng VPN hoạt động bằng
cách duy trì khả năng bảo mật thông qua các thủ tục đảm bảo an ninh bao gồm mật mã
hoá, khoá, nhận thực và các giao thức tạo đường ống. Các giao thức này kiểm tra người
sử dụng và server, mã hoá dữ liệu ở phía phát và giải mã nó ở phía thu. VPN tạo ra một
đường ống mà các dữ liệu hoặc người sử dụng không được mã hoá và nhận thực một
cách hợp lệ không thể đi vào đường ống này. VPN sử dụng các giao thức an ninh giống
như IPSec, giao thức đường ống lớp 2 (L2TP) và giao thức đường ống từ điểm- đến-
điểm (PPTP). VPN sử dụng các giao thức mã hoá giống như 3DES và AES, các giao
thức này tỏ ra hiệu quả hơn khi sử dụng trong WEP.
VPN là một giải pháp hiệu quả, nó cho phép người sử dụng vô tuyến hợp lệ kết
nối an toàn từ mọi vị trí. Nó trong suốt với các ứng dụng.
C, Các kiểu tấn công an ninh vô tuyến điển hình
Các kỹ thuật đạt quyền truy nhập trái phép vào mạng WLAN là những vấn đề an
ninh nổi bật nhất trong các môi trường mạng LAN hữu tuyến. Vì mạng WLAN hoạt động
trong môi trường không gian mà không có một kết nối vật lý nào nên chúng dễ bị tấn
công hơn.
C1, WEP Cracking - bẻ gẫy WEP
WEP đã là một phần trong chuẩn 802.11 từ khi nó được phê chuẩn vào năm 1999.
Ở thời điểm này, uỷ ban 802.11 đã nhận ra một vài giới hạn của WEP; Tuy nhiên, WEP