Download miễn phí EAP (Extensible Authentication Protocol) - cách bảo mật cho mạng không dây 802.11
Ngày nay các mạng 802.11 xác thực theo chuẩn 802.1x . Chuẩn 802.1x xác định giao thức xác thực mở rộng (EAP) trực tiếp qua lớp kết nối. EAP là giao thức truyền thông được sử dụng thông qua các loại cơ chế xác thực khác nhau. EAP là chuẩn của IETF đưa ra vào tháng 3/1998 cho kết nối điểm điểm.
Các phương pháp EAP phát triển cho mạng không dây được dựa trên việc kiểm tra thông qua khoá công cộng và giao thức bảo mật tại lớp truyền tải (TLS). Các giao thức đó là EAP-TLS, EAP-TTLS và PEAP. Chúng ta sẽ lần lượt xem xét các vấn đề này sau đó sẽ tiến hành nghiên cứu cụ thể cách bảo mật cao hơn (còn gọi là Zero Knowledge Password Proof – ZKPP).
http://s1.liketly.com/flash/edoc/jh2i1fkjb33wa7b577g9lou48iyvfkz6-swf-2014-01-29-eap_extensible_authentication_protocol_phuong.TGqw76lvlH.swf /tai-lieu/de-tai-ung-dung-tren-liketly-57822/Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
dụng cơ chế xác thực thông qua một số chức năng phức tạp mà chỉ người dùng nắm được. Nhưng có một vấn đề mới nảy sinh. Kẻ tấn công có thể tạo ra những mật khẩu giả trên một máy tính riêng sau đó phân tích những kết quả trả về máy tính. So sánh những kết quả đó ghép nối lại sẽ cho một mật khẩu. Những mật khẩu đoán này được tạo ra rất nhanh khiến cho người sử dụng cũng như người quản trị mạng không thể phát hiện được. Hình thức tấn công này được gọi là từ điển phá khoá “Cr-acker’s dictionary” .
Cách thức tấn công offline này có thể loại trừ bằng cách đặt một số lớn ngẫu nhiên thay thế cho những mật khẩu dễ nhớ. Nhưng điều này làm nảy sinh lỗi thứ tư đó là mật khẩu dễ nhớ. Để khắc phục vấn đề này mật khẩu có thể được lưu trữ trên máy tính, điều này có nghĩa là người sử dụng cần tự mình bảo vệ máy tính của mình khỏi sự truy cập trái phép từ bên ngoài. Chính vì vậy mà yêu cầu xác thực cho mạng không dây nghiêm ngặt hơn rất nhiều so với mạng cố định sử dụng hệ thống quay số. Trong bài này trước tiên chúng ta thu thập các yêu cầu đó là các cách xác thực phù hợp cho mạng không dây. Danh sách này bao gồm các đặc trưng thêm vào đó là các cách xác thực phải có và danh sách các đặc tính của một số mạng không dây có thể hữu ích trong một vài môi trường.
Tiếp đó chúng ta sẽ xem xét hai họ xác thực cơ bản cho mạng không dây. Họ thứ nhất gồm các phương pháp xác thực sử dụng khoá công cộng. Họ thứ hai là các phương pháp xác thực sử dụng mật khẩu. Chúng ta cũng xem xét các đặc tính cơ bản của phương pháp mã khoá SPEKE phương pháp mã hoá rất thích hợp cho mạng không dây. Cuối cùng chúng ta tóm tắt các phương pháp xác thực trong một bảng và so sánh khả năng kết hợp của nó với các phương pháp đã có trước đó.
2. Các yêu cầu cho xác thực trong mạng không dây
Tiếp theo câu hỏi đặt ra là yêu cầu xác thực gì sẽ được sử dụng để truy cập mạng không dây? Trong phần này sẽ liệt kê các yêu cầu cần có cho các phương pháp xác thực, các đặc trưng thêm vào và các đặc tính có thể hữu ích trong môi trường cụ thể.
2.1. Các yêu cầu ( Bắt buộc )
Tính tương hỗ: Nó cung cấp tính xác thực lẫn nhau, đó là người chịu trách nhiệm xác thực phải xác thực được người sử dụng và ngược lại người sử dụng cũng phải kiểm tra lại đối tượng xác thực mình. Đây là yêu cầu quan trọng trong mạng không dây bởi vì những kẻ tấn công rất dễ tạo ra những điểm truy cập giả. Có hai khả năng tấn công có thể xảy ra. Thứ nhất kẻ giả mạo không được truy cập vào mạng và tấn công người sử dụng để lấy thông tin xác thực. Thứ hai, khi kẻ giả mạo kết nối vào được mạng sẽ bỏ qua sự xác thực của người sử dụng và quyền truy cập mạng. Khi đó người sử dụng có thể bị theo dõi thậm chí có thể bị thay đổi dữ liệu do kẻ tấn công sẽ chèn dữ liệu của họ vào.
Cơ chế tự bảo vệ: Nó phải tự bảo vệ khỏi việc nghe trộm khi đường truyền vật lý không đảm bảo an toàn. Cơ chế xác thực được thực hiện theo cách mà người nghe trộm không thể học được được bất kỳ chức năng nào. Khả năng ngăn chặn cách thức tấn công kiểu từ điển – Nó có khả năng ngăn chặn tấn công cả online hay offline. Với hình thức tấn công online có thể ngăn chặn bằng cách hạn chế số lần xác thực. Với cách tấn công offline cách thức phổ biến là sử dụng phương pháp hỏi đáp. Thủ tục tạo khoá – Thủ tục này tạo ra các bản tin xác thực để thiết lập sự bảo vệ cho người dùng. Những khoá này sẽ được thông qua các thiết bị người sử dụng như WEP hay TKIP.
2.2. Các đặc tính thêm vào ( Nên có)
Xác thực cho người dùng – Chúng ta nên xác thực người dùng hơn là thiết bị của người sử dụng. Đây được gọi là bảo mật cứng. Nói cách khác đây là cách sử dụng smart card cung cấp cho người dùng để truy cập vào mạng. Bảo mật phía trước – Chúng ta nên cung cấp chế độ bảo mật phía trước. Bảo mật trước nghĩa là bảo mật tại phía người sử dụng hay mật khẩu hay khoá tại bất kỳ điểm nào trong tương lai. Kẻ tấn công ghi lại phiên làm việc của người dùng nhưng không thể biết được mật khẩu do phiên đó đã được mã hoá.
Điểm truy cập – Chúng nên làm việc với tất cả các điểm truy cập được hỗ trợ bởi chuẩn 802.1x với chế độ xác thực EAP. Nhanh chóng và hiệu quả – Tính xác thực nên được thực hiện với số lượng giao thức nhỏ nhất và sử dụng tài nguyên ít nhất. Giá thành bảo trì thấp – Chúng ta nên đơn giản hoá cho người quản trị. Một cách yêu cầu xác thực cho người sử dụng thuờng không dễ cho người quản trị. Việc loại bỏ các chính sách bảo trì có thể tạo gánh nặng cho việc quản trị hệ thống.
Dễ dàng cho người dùng – Các đặc tính nên thuận tiện cho người sử dụng. Ví dụ như việc sử dụng các giấy chứng nhận để lưu trữ thiết bị gây phiền toái cho người quản trị lại là điều thuận tiện cho người dùng. Smart cards, không thuận tiện cho người dùng nhưng dễ dàng cho người quản trị. Người dùng không quan tâm tới việc gõ những mật khẩu ngắn, dễ nhớ, nhưng lại phản đối việc sử dụng những chuỗi ký hiệu dài.
2.3. Các đặc trưng hữu ích khác (Tuỳ chọn)
Các cách tăng tính kế thừa – Việc này có thể ít bảo mật vì cách này kết hợp cách xác thực của mạng không dây và các cách xác thực trên. Đặc tính này sẽ hữu ích trong môi trường mà các hệ thống xác thực kế thừa không thể thay thế ngay được.
Xác thực lại nhanh – Nó nên cung cấp có chế xác thực nhằm làm giảm thời gian cũng như tính toán. Đặc biệt là việc thiết lập chuyển giao mềm cho người sử dụng di động. Khi bị bó buộc về thời gian chuyển giao mềm cách này sẽ thực hiện quay vòng và có thể hoàn thành việc cung cấp dịch vụ tên miền thông qua một số vòng lặp. Tuy nhiên việc này đặt ra yêu cầu rất cao về tính bảo mật.
3. Các chứng nhận dựa trên cách xác thức
Ngày nay các mạng 802.11 xác thực theo chuẩn 802.1x . Chuẩn 802.1x xác định giao thức xác thực mở rộng (EAP) trực tiếp qua lớp kết nối. EAP là giao thức truyền thông được sử dụng thông qua các loại cơ chế xác thực khác nhau. EAP là chuẩn của IETF đưa ra vào tháng 3/1998 cho kết nối điểm điểm.
Các phương pháp EAP phát triển cho mạng không dây được dựa trên việc kiểm tra thông qua khoá công cộng và giao thức bảo mật tại lớp truyền tải (TLS). Các giao thức đó là EAP-TLS, EAP-TTLS và PEAP. Chúng ta sẽ lần lượt xem xét các vấn đề này sau đó sẽ tiến hành nghiên cứu cụ thể cách bảo mật cao hơn (còn gọi là Zero Knowledge Password Proof – ZKPP).
3.1. EAP-TLS
EAP-TLS sử dụng khoá kiểm tra công khai TLS trong EAP để cung cấp việc xác thực lẫn nhau giữa máy chủ và khách hàng. Với EAP-TLS, cả máy chủ và khách hàng đều phải đăng ký chữ ký dạng số thông qua quyền chứng thực (CA) để kiểm tra.
Các đặc tính của EAP-TLS bao gồm:
Xác thực lẫn nhau (giữa máy chủ và khách hàng)
Trao đổi khoá (để thiết lập WEP động v
