EAP (Extensible Authentication Protocol) - Phương thức bảo mật cho mạng không dây
802.11 (Phần 1)
2:19, 30/10/2007
Do việc truyền dữ liệu trong mạng
không dây thực hiện trong môi
trường mở nên chúng ta cần có cơ
chế bảo mật khác với các mạng
truyền thống.Trong bài này chúng
ta sẽ nghiên cứu cách thức hoạt
động và cơ chế bảo mật trong các
mạng không dây từ đó tìm ra một
cơ chế thích hợp nhất. Tiếp theo
chúng ta sẽ xem xét một vài cơ chế xác thực trong mạng không dây như phương pháp mã
khoá công cộng, mã sử dụng mật khẩu thông thường và mã sử dụng mật khẩu phức tạp.
Một trong các loại mã sử dụng mật khẩu đặc biệt như SPEKE (Simple Password-
authenticated Exponential Key Exchange) sẽ được đề cập chi tiết hơn. Cuối cùng là các
bảng so sánh phương thức bảo mật cho mạng không dây.

Nguyễn Hữu Phát

1. Tổng quan
Do việc truyền dữ liệu trong mạng không dây thực hiện trong môi trường mở nên
chúng ta cần có cơ chế bảo mật khác với các mạng truyền thống.Trong bài này chúng ta sẽ
nghiên cứu cách thức hoạt động và cơ chế bảo mật trong các mạng không dây từ đó tìm ra
một cơ chế thích hợp nhất. Tiếp theo chúng ta sẽ xem xét một vài cơ chế xác thực trong
mạng không dây như phương pháp mã khoá công cộng, mã sử dụng mật khẩu thông
thường và mã sử dụng mật khẩu phức tạp. Một trong các loại mã sử dụng mật khẩu đặc
biệt như SPEKE (Simple Password-authenticated Exponential Key Exchange) sẽ được đề
cập chi tiết hơn. Cuối cùng là các bảng so sánh phương thức bảo mật cho mạng không dây.

Xác thực là một quá trình kiểm tra các yêu cầu đặt ra. Hình thức xác thực đơn giản nhất

phép từ bên ngoài. Chính vì vậy mà yêu cầu xác thực cho mạng không dây nghiêm ngặt
hơn rất nhiều so với mạng cố định sử dụng hệ thống quay số. Trong bài này trước tiên
chúng ta thu thập các yêu cầu đó là các phương thức xác thực phù hợp cho mạng không
dây. Danh sách này bao gồm các đặc trưng thêm vào đó là các phương thức xác thực phải
có và danh sách các đặc tính của một số mạng không dây có thể hữu ích trong một vài môi
trường.

Tiếp đó chúng ta sẽ xem xét hai họ xác thực cơ bản cho mạng không dây. Họ thứ nhất
gồm các phương pháp xác thực sử dụng khoá công cộng. Họ thứ hai là các phương pháp
xác thực sử dụng mật khẩu. Chúng ta cũng xem xét các đặc tính cơ bản của phương pháp
mã khoá SPEKE phương pháp mã hoá rất thích hợp cho mạng không dây. Cuối cùng chúng
ta tóm tắt các phương pháp xác thực trong một bảng và so sánh khả năng kết hợp của nó
với các phương pháp đã có trước đó.

2. Các yêu cầu cho xác thực trong mạng không dây

Tiếp theo câu hỏi đặt ra là yêu cầu xác thực gì sẽ được sử dụng để truy cập mạng không
dây? Trong phần này sẽ liệt kê các yêu cầu cần có cho các phương pháp xác thực, các đặc
trưng thêm vào và các đặc tính có thể hữu ích trong môi trường cụ thể.

2.1. Các yêu cầu ( Bắt buộc )

Tính tương hỗ: Nó cung cấp tính xác thực lẫn nhau, đó là người chịu trách nhiệm xác thực
phải xác thực được người sử dụng và ngược lại người sử dụng cũng phải kiểm tra lại đối
tượng xác thực mình. Đây là yêu cầu quan trọng trong mạng không dây bởi vì những kẻ
tấn công rất dễ tạo ra những điểm truy cập giả. Có hai khả năng tấn công có thể xảy ra.
Thứ nhất kẻ giả mạo không được truy cập vào mạng và tấn công người sử dụng để lấy
thông tin xác thực. Thứ hai, khi kẻ giả mạo kết nối vào được mạng sẽ bỏ qua sự xác thực
của người sử dụng và quyền truy cập mạng. Khi đó người sử dụng có thể bị theo dõi thậm
chí có thể bị thay đổi dữ liệu do kẻ tấn công sẽ chèn dữ liệu của họ vào.


2.3. Các đặc trưng hữu ích khác (Tuỳ chọn)

Các phương thức tăng tính kế thừa – Việc này có thể ít bảo mật vì phương thức này kết
hợp phương thức xác thực của mạng không dây và các phương thức xác thực trên. Đặc tính
này sẽ hữu ích trong môi trường mà các hệ thống xác thực kế thừa không thể thay thế ngay
được.
Xác thực lại nhanh – Nó nên cung cấp có chế xác thực nhằm làm giảm thời gian cũng như
tính toán. Đặc biệt là việc thiết lập chuyển giao mềm cho người sử dụng di động. Khi bị bó
buộc về thời gian chuyển giao mềm phương thức này sẽ thực hiện quay vòng và có thể
hoàn thành việc cung cấp dịch vụ tên miền thông qua một số vòng lặp. Tuy nhiên việc này
đặt ra yêu cầu rất cao về tính bảo mật. 3. Các chứng nhận dựa trên phương thức xác thức

Ngày nay các mạng 802.11 xác thực theo chuẩn 802.1x . Chuẩn 802.1x xác định giao thức
xác thực mở rộng (EAP) trực tiếp qua lớp kết nối. EAP là giao thức truyền thông được sử
dụng thông qua các loại cơ chế xác thực khác nhau. EAP là chuẩn của IETF đưa ra vào
tháng 3/1998 cho kết nối điểm điểm.
Các phương pháp EAP phát triển cho mạng không dây được dựa trên việc kiểm tra thông
qua khoá công cộng và giao thức bảo mật tại lớp truyền tải (TLS). Các giao thức đó là
EAP-TLS, EAP-TTLS và PEAP. Chúng ta sẽ lần lượt xem xét các vấn đề này sau đó sẽ
tiến hành nghiên cứu cụ thể phương thức bảo mật cao hơn (còn gọi là Zero Knowledge
Password Proof – ZKPP).
3.1. EAP-TLS
EAP-TLS sử dụng khoá kiểm tra công khai TLS trong EAP để cung cấp việc xác thực lẫn
nhau giữa máy chủ và khách hàng. Với EAP-TLS, cả máy chủ và khách hàng đều phải
đăng ký chữ ký dạng số thông qua quyền chứng thực (CA) để kiểm tra.
Các đặc tính của EAP-TLS bao gồm:

• Thiết lập kết nối nhanh ( thông qua phiên TLS )
PEAP là cơ chế đặc biệt hữu ích để tăng tính bảo mật kế thừa từ phương thức EAP trên cơ
sở các đặc tính dưới đây.
Microsoft PEAP
Microsoft PEAP hỗ trợ quyền xác thực khách hàng thông qua MS-CHAP phiên bản 2, nó
giới hạn dữ liệu người dùng thông qua có chế chia miền Windows NT và hoạt động của
các thư mục.
Để sử dụng Microsoft’s PEAP, người dùng cần phải mua chứng thực riêng từ CA để thiết
lập IAS, và một chứng thực để lưu trữ tại máy tính cục bộ. Với khách hàng không dây để
xác nhận IAS, thì tại CA gốc phải thiết lập cho mỗi khách hàng này.
Tuy nhiên Windows XP bao gồm các chứng thực gốc của rất nhiều CA. Nếu chứng thực
IAS của máy chủ bao gồm gốc CA, thì không cần thêm cấu hình cho khách hàng. Nếu
người sử dụng mua chứng thực IAS cho Windows XP mà không có CA thì họ phải thiết
lập tên khách hàng không dây.
Cisco PEAP
Cisco PEAP hỗ trợ xác thực tại khách hàng thông qua mật khẩu một lần (OTP) và mật
khẩu truy cập. Điều này cho phép hỗ trợ cơ sở dữ liệu từ người quản lý như là bảo mật
RSA và cũng hỗ trợ cho cơ sở dữ liệu về mật khẩu truy nhập như LDAP, Novell NDS và
Microsoft . Thêm vào đó khách hàng Cisco PEAP có thể bảo vệ việc nhận dạng tin cho đến
khi mã hoá đường hầm TLS được thiết lập. Điều này cung cấp sự bảo đảm cho người sử
dụng trong quá trình dùng.
3.4. Các vấn đề với phương thức xác thực
Mặc dù có rất nhiều ưu điểm nhưng cũng có một số vấn đề với các phương thức chứng
thực dựa trên EAP.
3.4.1. Giá cho việc quản trị
Tất cả các phương thức đều yêu cầu phải có khoá xác thực được nhận dạng bởi khách
hàng. Điều này yêu cầu người quản trị mạng phải trả bản quyền cho CA hoặc các phần
mềm sử dụng. Tiếp theo mỗi thiết bị truy cập mạng phải được cấu hình để nhận được
quyền xác thực và CA. Phương thức EAP-TLS yêu cầu tất cả các thiết bị của người sử
dụng phải được chứng thực. Điều này kéo theo giá cả tăng. Ngoài ra còn chi phí bảo trì vận