Các hướng phát triển trong tương lai.
Rõ ràng là vấn đề triển khai an ninh cho mạng WLAN hiện nay cần phải được cải
thiện. Giai đoạn khởi đầu như 802.11i đem lại các phương pháp thực thi an ninh dựa trên
tiêu chuẩn công nghiệp cho môi trường mạng WLAN.
Đặc tả của IEEE đối với tiêu chuẩn 802.11i còn gọi là mạng an ninh tăng cường
(RSN) là một phương pháp được tiêu chuẩn hoá tiếp theo sử dụng cho quá trình mật mã
hoá và bảo mật mạnh hơn. Nó sẽ liên kết quá trình mật mã hoá với quá trình nhận thực.
Hai phương pháp mã hoá thay thế cho giao thức WEP: TKIP và AES. TKIP là giải pháp
tạm thời, nó hỗ trợ khách hàng và điểm truy nhập thông qua việc cập nhật phần mềm.
Một sơ đồ dựa trên AES sẽ cho phép khả năng an ninh mạnh hơn.
Các hệ thôngd vô tuyến kế thừa hoặc đang tồn tại có thể được nâng cấp lên một
tập con của công nghệ được đặc tả trong chuẩn 802.11i. Các tuỳ chọn mã khác của
802.11i như AES sẽ không được nâng cấp vì chúng yêu cầu nâng cấp phần cứng. Người
ta hy vọng là có thể công bố đặc tả IEEE 802.11 vào cuối năm 2003.
F, Kết luận
Trong khi các tuỳ chọn cho an ninh vô tuyến được trình bày ở đây sẽ giúp cho các
tổ chức lựa chọn chính sách an ninh và công nghệ hợp lý đối với các môi trường mạng
WLAN của họ. NETGEAR cung cấp phạm vi toàn diện của vấn đề an ninh mạng WLAN
cần hỗ trợ cho tất cả các lớp an ninh.
G, Phụ lục: Các công nghệ và các sáng kiến an ninh
Vấn đề an ninh thông tin có rất các tiêu chuẩn, các khái niệm, các cơ chế áp dụng
cho an ninh mạng được định nghĩa rõ ràng. Hầu như tất cả các mạng thông tin doanh
nghiệp đều sử dụng một số hay tất cả các khái niệm sau đây. Các nhà cung cấp sản phẩm
mạng WLAN nắm bắt các khái niệm này khi họ phát triển các sản phẩm cho doanh
nghiệp. Công nghệ an ninh đã phát triển qua một vài năm, chúng đã đem lại những khả
năng quan trọng. Các công nghệ an ninh riêng biệt cung cấp các khối kiến trúc để xây
dựng đề xây dựng hạ tầng vô tuyến an ninh mạng.
G1, Nhận thực
Nhận thực là quyền cho phép một người sử dụng làm việc gì hay đạt được điều gì.
Trong các hệ thống máy tính đa người sử dụng, người quản trị hệ thống xác định những
người sử dụng nào được phép truy nhập vào hệ thống và xác định đặc quyền của mỗi

người sử dụng (quyền truy nhập tới các thư mục chứa dữ liệu, thời gian truy nhập, số
lượng không gian bộ nhớ được cấp phát, vvv).
G2, Kiểm tra dư chu trình CRC
Là một kỹ thuật chung để phát hiện lỗi truyền dẫn dữ liệu.
G3, Chữ ký số/ chứng chỉ số
Nó tương tự như hộ chiếu hay bằng lái của tài xế, nó chứng tỏ nhận dạng của
người sử dụng, mục tiêu của nó là ngăn ngừa quá trình mạo nhận trái phép. Các chứng
chỉ số được công bố bởi một CA – quyền cấp chứng chỉ. Nó bao gồm một tên, số seri,
ngày hết hạn, bản sao của khoá chung của chứng chỉ người dùng (được sử dụng để mã
hoá các bản tin và các chữ ký số), và chữ ký số bản quyền công bố chứng chỉ vì thế mà
một người nhận có thể kiểm tra được một chứng chỉ là thật hay giả. Một vài chứng chỉ số
theo chuẩn X.509.
Một chữ ký số (không xung đột với chứng chỉ số) là một chữ ký điện tử có thể
được sử dụng để nhận thực định danh của người gửi bản tin hay người ký một văn bản,
và đảm bảo rằng nột dung ban đầu của văn bản hay bản tin không bị thay đổi.
G4, Tường lửa
Là khả năng ngăn chặn lưu lượng mạng thông qua một cổng Gateway theo một
tập các quy tắc. Nó thường được đặt ở Gateway hay điểm truy nhập, nó điều khiển luồng
lưu lượng mạng, ngăn chặn người sử dụng bên trong và bên ngoài truy nhập dữ liệu và
các dịch vụ được xác định bởi người quản trị hệ thống. Các tường lửa cấp cao sử dụng
khả năng kiểm tra gói trạng thái hơn là công nghệ lọc gói. Các mạng WLAN có thể bị cô
lập với mạng hữu tuyến bằng một tường lửa.
G5, Kerberos
Được thiết kế để điều khiển truy nhập tới các nguồn tài nguyên thông tin bằng
cách sử dụng một mã khoá bí mật. Sau khi một khách hàng và server nhận thực được
nhau sử dụng Kerberos, chúng trao đổi một khoá mã dùng chung, khoá này mã hoá tất cả
thông tin của họ, đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu. Kerberos điều khiển
truy nhập tới tất cả các nguồn tài nguyên, dịch vụ được bảo vệ trong mạng, bảo vệ chúng
tránh khỏi người sử dụng khác, những người này có thể cố sử dụng quyền truy nhập của
một ai đó để đạt được quyền truy nhập dữ liệu hay các dịch vụ khác.

Kerberos là một quá trình 3 hướng, phụ thuộc vào dịch vụ thứ 3 gọi là trung tâm
phân bổ khoá (KDC) để kiểm tra nhận dạng của một máy tính và thiết lập các khoá mật
mã để tạo ra một kết nối an toàn giữa chúng.
Bằng việc thay đổi chuỗi các bản tin mã hoá hay các “vé” của khách hàng, KDC
tạo ra các khoá mật mã mới đối với mỗi giai đoạn của quá trình nhận thực. Sau khi một
“vé” được tạo ra, khách hàng có thể sử dụng nó để đạt được quyền truy nhập tới server
đích không giới hạn số lần truy nhập cho đến khi “vé” hết hạn. Khách hàng hay bất cứ ai
khác can thiệp vào mạng đều không thể đọc hay sửa đổi “vé” mà không làm hỏng nó.
G6, Tính toàn vẹn
Là phương pháp đảm bảo cho dữ liệu, hệ thống, hay các file ứng dụng không bị
xâm nhập nhất là khi chúng được gửi đi qua mạng.
G7, Chuyển đổi khoá Internet (IKE)
Là một phương pháp tự động hoá sử dụng cho các khoá mật mã quản lý và trao
đổi giữa hai thiết bị mạng VPN. IKE sử dụng mật mã khoá chung cho phép truyền dẫn
đảm bảo an ninh khi truyền khoá bí mật tới người nhận, vì thế dữ liệu đã được mã hoá có
thể được giải mã tại một đầu cuối khác. IKE là một phần của IPSec.
G8, IPSec
IPSec là một giao thức lớp mạng sử dụng cho an ninh mức cao, nó cung cấp một
khung các tiêu chuẩn mở đảm bảo các quá trình truyền thông riêng đảm bảo an ninh
thông qua các mạng IP. Nó có thể cho phép bảo mật, bảo vệ tránh khỏi các đe doạ và điều
khiển truy nhập host đối với lưu lượng mạng thông qua các cơ chế nhận thực và mã hoá
chuẩn.
Bởi vì IPSec mã hoá và nhận thực ở mức IP-dưới lớp truyền dẫn-nên nó trong
suốt đối với tất cả các ứng dụng như thư điện tử, truyền file, truy nhập Web, … Và bởi vì
IPSec trong suốt với người dùng đầu cuối nên không cần đưa chúng vào các cơ chế an
ninh, công bố các tài liệu khoá tại một người dùng cơ sở, thu hồi các khoá khi người
dùng rời khỏi tổ chức.
Vì IPSec được thiết kế cho giao thức IP nên nó hỗ trợ rộng rãi trong công nghiệp
và là chuẩn trên thực tế sử dụng cho các mạng VPN trên mạng Internet.
G9, LEAP

Là phần triển khai độc quyền của 802.1x bởi Cisco.
G10, Điều khiển truy nhập môi trường (MAC)
Mỗi địa chỉ phần cứng 48 bit duy nhất được gán cho mỗi nút Ethernet, thường
được viết dưới dạng 01:23:45:67:89:ab. Để tăng khả năng an ninh cho mạng vô tuyến,
người quản trị hệ thống có thể lập trình điểm truy nhập chỉ chấp nhận các địa chỉ MAC
xác định và lọc bỏ các phần khác ra khỏi mạng. Bảng điều khiển dùng giao thức MAC sẽ
thực hiện khoá một địa chỉ MAC không được biết khi nó đang cố gắng kết nối và không
cho phép truy nhập đối với địa chỉ này.
G11, Giao thức nhận thực mở rộng được bảo vệ (PEAP)
PEAP là một phần của giao thức EAP. Nó sử dụng an ninh mức truyền dẫn TLS
để tạo ra một kênh mã hoá giữa khách hàng và server nhận thực. PEAP không xác định
một phương pháp nhận thực nào nhưng cho phép khả năng an ninh bổ sung đối với các
giao thức EAP. PEAP được sử dụng như một giao thức nhận thực đối với các khách hàng
vô tuyến 802.11 nhưng không hỗ trợ các mạng VPN. PEAP tương tự như TTLS.
G12, Hạ tầng khoá chung (PKI)
Là một phương pháp mà người sử dụng VPN có hiệu lực sử dụng để nhận thực
thông qua các quyền cấp chứng chỉ. PKI cho phép người sử dụng tương tác với nhau và
với các ứng dụng, đạt được và kiểm tra các nhận dạng và các khoá và đăng ký với các
thành phần thứ 3 đáng tin cậy.
G13, Dịch vụ người sử dụng quay số nhận thực từ xa (RADIUS)
RADIUS cho phép một công ty duy trì các lý lịch người dùng trong một cơ sở dữ
liệu trung tâm mà mọi server ở xa có thể chia sẻ với nhau. RADIUS là một giao thức
khách hàng-server cho phép các server truy nhập ở xa liên lạc với server trung tâm, thực
hiện nhận thực người sử dụng quay số, ban quyển truy nhập tới dịch vụ hay hệ thống yêu
cầu. Nó cung cấp khả năng an ninh, cho phép một công ty thiết lập chính sách có thể áp
dụng được ở điểm mạng quản lý đơn giản.
G14, Bộ nhận dạng tập dịch vụ (SSID)
Một bộ nhận dạng đi kèm với các gói tin gửi đi qua mạng WLAN đóng vai trò
như một mật khẩu để tham gia vào một mạng vô tuyến riêng biệt hay dịch vụ hỗ trợ phát
quảng bá (BSS). Tất cả các điểm truy nhập và điểm vô tuyến trong cùng một BSS phải

dùng chung một SSID, nếu không các gói của chúng sẽ bị bỏ qua.
G15, An ninh lớp truyền tải (TLS)
Chuẩn IETF được đề suất đã thay thế cho giao thức SSL của Netscape. TLS cho
phép mã hoá và chứng nhận ở lớp truyền tải, vì thế dữ liệu có thể chuyển qua kênh an
ninh mà không yêu cầu những thay đổi đáng kể về phía các ứng dụng khách hàng hay
server. TLS cho phép hai khả năng:
• Một giao thức bắt tay cho phép server và khách hàng nhận thực nhau và
thảo luận để đưa ra một thuật toán mã hoá.
• Một giao thức bản ghi báo cáo cung cấp kết nối an ninh với một thuật toán
mã hoá đã được lựa chọn.
G16, An ninh lớp truyền tải đường ống (TTLS)
Là một giao thức an ninh vô tuyến được đề xuất và phát triển bởi Funk Software
and Certicom, kết hợp các chứng chỉ mạng cơ sở với quá trình nhận thực khác như là các
thẻ (Token) hay mật khẩu. Nó còn có tên là EAP-TTLS. TTLS cho phép nhận thực hai
chiều mà không cần phải phân bổ hay quản lý các chứng chỉ.