PDA

View Full Version : Ask Wireless và mã hóa dữ liệu (WEP, WPA, WPA2)


tinnythekid
17-08-2009, 16:00
Chào mọi người,

Tý lập topic này mong nhờ được giúp đỡ và hiểu thêm về mã hóa dữ liệu của mạng không dây hiện nay. Thực tình là mấy hôm nay đang bị cái này hành.

Công ty Tý ai cũng có 1 cái laptop (hầu hết nhân viên đều sử dụng laptop làm việc). Mỗi lần chỉnh Security của cái AccessPoint từ WEP sang WPA hay WPA2 hay ngược lại là một số máy rớt, một số "sóng sót". Để public thì ai cũng xài được. Công ty thì bên software, mà cứ để mạng public vậy thì "sợ". Xếp "dí" hổm giờ mà chưa xử lý được.

Có google thử, người ta nói nâng cấp driver card wireless cho mấy cái máy không xài được chuẩn WPA, but nâng firmware, thử cài lại máy, đủ cách but vẫn pó chiếu.

Xin mọi người, quý thầy (cô - nếu có) chỉ giáo...

vinhcomputer
17-08-2009, 19:09
Vậy thì đừng chuyển nữa dùng lock địa chỉ mac đi.

kenboy
17-08-2009, 19:50
Đừng để AP cấp IP động nữa , cấu hình Ip tĩnh cho card wireless laptop hết , nhớ đặt dãy đ/c nào khó nhớ (đừng đặt 192.... hay 10.0...là đc) . Ở ngoài có dò đc sóng wireless cũng chả có bít IP mà truy cập !

tinnythekid
17-08-2009, 22:29
Ý bạn là vẫn để public, sau đó dùng MAC filter?
Cũng được, but phải đi lấy MAC mấy chục cái máy, Tý ngại.

tinnythekid
19-08-2009, 21:43
Sau khi tìm hiểu, Tý cố gắng hệ thống lại về các chuẩn bảo mật mạng không dây sau đây:

Ta có công thức bảo mật:
Bảo mật (Security) = Chứng thực (Authentication) và Mã hóa (Encryption)

Các chuẩn bảo mật không dây cơ bản hiện có (theo Tý biết) bao gồm:
1. WEP (Wired Equivalent Privacy) - xem thêm tại wiki
2. WPA (Wi-Fi Protected Access)
3. WPA2

Chúng ta sẽ đi tìm hiểu từng chuẩn:

1. WEP. - Xem thêm (http://en.wikipedia.org/wiki/Wired_Equivalent_Privacy)
WEP là một hệ thống mã hóa dùng cho việc bảo mật dữ liệu cho mạng Wireless, WEP là một phần của chuẩn 802.11 gốc và dựa trên thuật toán mã hóa RC4, mã hóa dữ liệu 40bit để ngăn chặn sự truy cập trái phép từ bên ngoài.

1.a. Cơ chế chứng thực của chuẩn WEP (Authentication)

1.a.1. Open Authentication
Open Authentication là phương thức chấp nhận mọi yêu cầu truy cập của bất kỳ Client nào nằm trong phạm vi phục vụ của AP. Mục đích của phương thức này là nhanh chóng cho phép Client truy cập vào mạng.

Phương thức này dựa trên việc cấu hình trước khóa WEP ở Client và AP. Client và AP phải có cùng khóa WEP để có thể giao tiếp với nhau. Bất kỳ thiết bị nào cũng có thể gia nhập vào mạng nếu cấu hình đúng khóa WEP và không bật tính năng mã hóa dữ liệu. Nếu khóa WEP được cấu hình ở Client và AP khác nhau thì Client sẽ không thể mã hóa và giải mã chính xác dữ liệu, và các frame dữ liệu sẽ bị Client hoặc AP loại bỏ.

1.a.2. Shared Key Authentication
Trong phương thức này, AP gửi một chuỗi ký tự chưa được giải mã cho các bất kỳ thiết bị nào muốn giao tiếp với AP. Khi đó thiết bị muốn giao tiếp với AP sẽ yêu cầu chứng thực bằng cách dùng key được cung cấp của mình giải mã chuỗi ký tự và gửi lại cho AP.
Nếu chuỗi ký tự đã giải mã này đúng, nghĩa là key đúng, thì AP sẽ chứng thực cho thiết bị này.

Việc mã hóa và giải mã chuỗi ký tự này hoàn toàn có thể bị giám sát từ bên ngoài (Attacker), Attacker có thể kết hợp chuỗi ký tự đã giải mã và chưa giải mã để tính toán ra khóa WEP. Chính vì nhược điểm này mà Shared Key Authentication bảo mật kém hơn Open Authentication.

1.b. Cơ chế mã hóa dữ liệu
(chờ ai đó lấp chỗ này)

2. WPA Xem thêm (http://en.wikipedia.org/wiki/Wi-Fi_Protected_Access)
WPA được thiết kế nhằm thay thế cho WEP vì có tính bảo mật cao hơn. WPA bảo mật mạnh hơn WEP rất nhiều vì WPA sử dụng hệ thống kiểm tra và bảo đảm tính toàn vẹn của dữ liệu tốt hơn WEP.

2.a.Cơ chế chứng thực

2.a.1. EAP -Extensible Authentication Protocol
EAP authentication cung cấp key động cho các Client. Key động thì bảo mật hơn nhiều so với key tĩnh.
Phương pháp chứng thực này cần kết hợp với một RAIDUS server

RADIUS server

RADIUS – Remote Access Dial-up User Service là một công nghệ thường được dùng cho các doanh nghiệp có quy mô lớn để bảo vệ và quản lý việc truy cập trong mạng không dây.
RADIUS là danh sách những Username và password. Trước khi muốn truy cập vào mạng thì User phải nhập Username và password và gửi đến RADIUS server, server sẽ kiểm tra tài khoản của User, nếu đúng thì cho phép truy cập, ngược lại thì không.

RADIUS server được cài đặt để cung cấp những cấp độ và lớp truy cập khác nhau. Ví dụ như những User truy cập vào mạng, người thì chỉ được phép truy cập Internet, người khác thì chỉ được xem mail, người khác thì có thể đầy đủ các quyền…

Cũng giống như tất cả các công nghệ bảo mật phức tạp khác, RADIUS cũng là một công nghệ đa dạng về loại và cấp độ. Bạn có thể sử dụng RADIUS miễn phí do Microsoft cung cấp cho một hệ thống bảo một tiêu chuẩn, hoặc bạn có thể dùng những giải pháp bảo mật về phần cứng và phần mềm.

2.a.2. LEAP Authentication
LEAP Authentication là một trong những loại chứng thực dùng cho mạng WLAN được Cisco đề xuất.
LEAP hổ trợ rất mạnh việc chứng thực giữa Client và RADIUS Server.
LEAP cung cấp động khóa được mã hóa.
LEAP Authentication hổ trợ mạng sử dụng WPA và WPA2.
LEAP Authentication được phát triển rộng rãi, hổ trợ nhiều loại Client, nhiều thiết bị của các nhà sản xuất.

Một vài đặc tính của LEAP hổ trợ như :
• Đăng nhập và chứng thực Username và password trên mội trường Active Directory WinNT/2000
• Đơn giản và giá thành thấp cho người quản trị mạng
• Quản trị, bảo mật tiện lợi, linh động, tập trung
• Hiệu suất bảo mật cao, có thể nâng cấp lên cấp độ bảo mật cao hơn
• LEAP hổ trợ chạy trên nhiều môi trường khác nhau : Microsoft Windows, Mac OS, Linux, DOS và Window CE

2.a.3. MAC Address Authentication
AP sẽ chuyển tiếp địa chỉ MAC của các Client đến đến RADIUS server trên mạng, RADIUS server sẽ so sánh địa chỉ nhận được với bảng danh sách địa chỉ MAC mà cho phép truy cập vào mạng.

Nếu không có RADIUS server bạn có thể tạo một danh sách các địa chỉ MAC cho phép truy cập trên AP. Khi đó những Client nào không có địa chỉ MAC phù hợp thì không được chứng thực.

2.b. Cơ chế mã hóa
TKIP - Temporal Key Integrity Protocol
TKIP sử dụng thuật toán RC4 để mã hóa với 128bit cho mã hóa và 64bit cho chứng thực.
...
(Xem thêm ở Wiki (http://en.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol))

3. WPA2
WPA2 là một chuẩn ra đời sau WPA và được kiểm định lần đầu tiên và ngày 1/9/2004. WPA2 được National Institute of Standards and Technology (NIST) khuyến cáo sử dụng.

WPA2 cũng có cấp độ bảo mật rất cao tương tự như chuẩn WPA, nhằm bảo vệ cho người dùng và người quản trị đối với tài khoản và dữ liệu.

Nhưng trên thực tế WPA2 cung cấp hệ thống mã hóa mạnh hơn so với WPA, và đây cũng là nhu cầu của các tập đoàn và doanh nghiệp có quy mô lớn. WPA2 sử dụng rất nhiều thuật toán để mã hóa dữ liệu như TKIP, RC4, AES và một vài thuật toán khác. Những hệ thống sử dụng WPA2 đều tương thích với WPA.

3.a. Chứng thực:
Giống WPA

3.b. Mã hóa:
AES - Advanced Encryption Standard
...
Xem thêm ở Wiki (http://en.wikipedia.org/wiki/AES_%28cipher%29)

(bài này cọp ở đâu đó)