Wifi là mạng kết nối Internet không dây, là từ viết tắt của Wireless Fidelity, sử dụng sóng vô tuyến để truyền tín hiệu. Loại sóng vô tuyến này tương tự như sóng điện thoại, truyền hình và radio Việc xác thực người dùng sử dụng Pre Shared Key cho hộ gia đình và doanh nghiệp nhỏ (SOHO) và sử dụng máy chủ xác thực RADIUS cho doanh nghiệp lớn (Enterprise).
Trang 3L o g o
Khái niệm WIFI
Wifi là mạng kết nối Internet không dây, là
từ viết tắt của Wireless Fidelity, sử dụng
sóng vô tuyến để truyền tín hiệu.
Loại sóng vô tuyến này tương tự như
sóng điện thoại, truyền hình và radio
Trang 4L o g o
Nguyên tắc hoạt động của Wif
Trang 5L o g o
Lợi ích của wif
Đảm bảo tính thẩm mỹ cho những nơi
không yêu cầu lắp đặt dây cáp như trong
các di tích kiến trúc.
Đảm bảo liền mạch việc kết nối mạng
LAN hoặc mạng Internet khi người dùng
IPad,/ Iphone vừa sử dụng vửa di chuyển trong phạm vi tòa nhà hoặc khu vực.
Thiết lập mạng WiFi công công (WiFi
Hotspot) để truy cập Internet trong sân
bay, khách sạn và trung tâm bán hàng.
Trang 6L o g o
Chuẩn giao thức WLAN
Chuẩn giao thức mạng WLAN - IEEE
802.1.
Các giao thức IEEE 802.11 được tạo
thành từ sự sắp xếp của các kỹ thuật điều chế truyền dẫn khác nhau trên môi trường không khí (over-the-air) với cùng các
nguyên tắc cơ bản như nhau.
Các giao thức được sử dụng rộng rãi
trong dãi tần 2,4GHz là 802.11b, 802.11g, 802.11n
Trang 7L o g o
Các chế độ hoạt động mạng WiFi chuẩn 802.11
Chế độ Infrastructure: được sử dụng khi có ít nhất một
điểm truy cập (AP - Access Point) kết nối vào mạng LAN hay mạng Internet và có ít nhất một trạm khách hàng
(client) Trạm khách hàng (laptop, máy tính bảng, điện
thoại thông minh) kết nối vô tuyến vào mạng LAN hay
mạng Internet thông qua điểm truy cập (AP).
Trang 8L o g o
Các chế độ hoạt động mạng WiFi chuẩn 802.11
Chế độ Ad-Hoc: được sử dụng khi các trạm khách hàng
(clients) trực tiếp kết nối vô tuyến với nhau mà không
cần phải thông qua một điểm truy cập (AP) Điều này
cũng được gọi là chế độ chia sẻ ngang hàng
(peer-to-peer).
Trang 9L o g o
Các chuẩn mạng 802.11 phổ biến
Trang 10L o g o
Tốc độ của các giao thức
Trang 11L o g o
Bảo mật Wif
WEP (Wired Equivalent Privacy), WPA
(WiFi Protected Access) và WPA2 là ba kỹ thuật an ninh phổ biến trong đó WPA2
dùng bộ mã AES với tính bảo mật rất cao.
Việc xác thực người dùng sử dụng Pre-
Shared Key cho hộ gia đình và doanh
nghiệp nhỏ (SOHO) và sử dụng máy chủ
xác thực RADIUS cho doanh nghiệp lớn
(Enterprise).
Trang 12L o g o
WEP
Trang 13L o g o
Giới thiệu
WEP (Wired Equivalent Privacy, bảo mật tương đương mạng có dây), là
một phần của chuẩn IEEE 802.11, được phê chuẩn vào 9/1999, sử dụng thuật toán RC4 (mã hóa đối xứng) để bảo mật thông tin và CRC-32 checksum để
đảm bảo tính toàn vẹn của thông tin Khóa WEP ở phía client dùng để chứng thực với Access Point, mã hóa và giải mã dữ liệu
Chuẩn 64-bit WEP (còn gọi là WEP-40) dùng 40 bit làm key, 24 bit làm IV (Initialization vector), chuẩn mở rộng 128-bit WEP (còn gọi là WEP-104)
(chuẩn IEEE 802.11 không có nhưng nhiều nhà cung cấp hỗ trợ chuẩn này
trong các thiết bị Access Point của họ) dùng key 104 bit Đối với WEP-104, nó gồm một chuỗi 26 ký tự hexa (0-9, a-f), mỗi ký tự mô tả 4 bit của key, 26 * 4 bit = 104 bit (cách tính tương tự cho các chuẩn WEP khác) Ngoài ra, một số nhà sản xuất cũng hỗ trợ 256-bit WEP trong một số sản phẩm của họ
Trang 14L o g o
Chứng thực
Trước khi truyền nhận dữ liệu với Access Point, client cần phải chứng thực
mình là ai Đối với WEP, có 2 cách chứng thực (Authentication) được dùng:
Open System authentication and Shared Key authentication
Open System authentication
Không cần chứng thực, client không cần cung cấp giấy ủy nhiệm
(credentials) của nó cho Access Point trong quá trình chứng thực Vì
thế bất kỳ client nào cũng có thể chứng thực bản thân nó với Access
Point và kết nối với Access Point mà không cần phải có khóa WEP Sau quá trình chứng thực và kết nối với Access Point, WEP được dùng để
mã hóa dữ liệu Bắt đầu từ thời điểm này, client cần phải có khóa hợp
lệ
Trang 15L o g o
Chứng thực
Quá trình chứng thực theo Open System authentication
• B1: Client gửi một thông điệp yêu cầu chứng thực theo kểu Open System Authentication, trong đó có chứa địa chỉ MAC của client
• B2: Access Point gửi lại một thông điệp cho biết việc chứng thực
của client thành công hay thất bại
Trang 16L o g o
Chứng thực
Shared Key authentication
Access Point kiểm tra client có hợp lệ hay không thông qua một khóa được qui định trước giữa client và Access Point (Shared Key) WEP
được dùng để chứng thực
Quá trình chứng thực gồm 4 bước:
Trang 17L o g o
Mã hóa
Trang 18L o g o
Giải mã
Trang 19L o g o
Ưu điểm
Tốc độ xử lý nhanh do sử dụng thuật toán RC4
Trang 20L o g o
Nhược điểm
Vẫn không chống lại được kiểu tấn công reused key attack mặc dù đã sử
dụng IV Vì IV chỉ có 24 bit nên khi khối lượng gói tin truyền đi nhiều
(khoảng 5000 gói tin) thì IV bị lặp lại
Không có cơ chế thay đổi khóa tự động
Không ngăn được tấn công DoS (Denial of service)
Không ngăn được việc thay đổi thông tin truyền đi dù có sử dụng
checksum
Trang 21L o g o
WPA
Trang 22L o g o
Giới thiệu
• WPA (Fi Protected Access), được ra đời vào tháng 4 năm 2003 bởi
Wi-Fi Alliance nhằm khắc phục các điểm yếu của WEP
• WPA được thiết kế để thay thế các mạng dùng WEP mà không cần nâng
cấp phần cứng Các nâng cấp miễn phí về phần mềm cho hầu hết các card
mạng và điểm truy cập sử dụng WPA rất dễ dàng và có sẵn Tuy nhiên, WPA không hỗ trợ các thiết bị cầm tay và máy quét mã vạch Theo Wi-Fi Alliance,
có khoảng 200 thiết bị đã được cấp chứng nhận tương thích WPA
• WPA dùng Temporal Key Intergrity Protocol (TKIP) để mã hoá và dùng
802.1X chứng thực với một trong các dạng của chuẩn Extensible
Authentication Protocol (EAP) sẵn có hiện nay
• WPA thay thế WEP ở các điểm sau: chứng thực, mã hóa, toàn vẹn thông
tin
Trang 23L o g o
• WPA có sẵn 2 lựa chọn Cả 2 lựa chọn này đều sử dụng giao thức TKIP, và
sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu
o WPA Enterprise (đòi hỏi một Radius Server) Dùng trong mạng doanh
nghiệp Nó sử dụng công nghệ 802.11x để xác thực người sử dụng thông qua một RADIUS server Máy chủ xác thực và 802.1x cung cấp các khoá khởi tạo cho mỗi phiên làm việc
o WPA Personal (hay WPA-PSK (WPA-Pre Shared Key)) dùng trong các
mạng gia đình và mạng văn phòng nhỏ Khoá khởi tạo sẽ được sử dụng tại các thời điểm truy cập và thiết bị máy trạm Mỗi người dùng phải nhập vào một
passphrase (là một chuỗi password dùng để kết nối, giao dịch) để kết nối
mạng
Giới thiệu
Trang 24L o g o
Chứng thực
Có 2 cách chứng thực trong WPA: Open system authentication và 802.1X
Open system authentication: Giống với WEP
802.1X: WPA hỗ trợ 2 cấp hoạt động
• WPA Enterprise là môi trường có hệ thống RADIUS và sử dụng chứng
thực EAP
• WPA Personal dành cho môi trường không có hệ thống RADIUS và sử
dụng pre-shared key (khóa được cấp trước) để chứng thực
Trang 25L o g o
Mã hóa
WPA cần những giá trị sau để mã hóa và đảm bảo tính toàn vẹn
của thông điệp truyền đi:
IV, bắt đầu từ 0 và tăng lên đối với những frame sau này
Khóa mã hóa dữ liệu (dùng cho unicast traffic (kênh truyền giữa
chính client với AP)) hoặc khóa mã hóa nhóm (dùng cho multicast
traffic (nhiều kênh truyền) hoặc dùng cho broadcast).
Địa chỉ nơi nhận (DA, destination address) và địa chỉ nơi gửi (SA, source address) của frame
Giá trị của trường Priority, có giá trị là 0 và được thay đổi lại cho
những mục đích sau này
Khóa toàn vẹn (dùng cho unicast traffic) hoặc khóa toàn vẹn nhóm (cho multicast hoăc broadcast traffic)
Trang 26L o g o
Mã hóa
Trang 27L o g o
Mã hóa
Quá trình mã hóa cho gói dữ liệu unicast diễn ra theo trình tự sau:
[IV, DA, khóa mã hóa dữ liệu] là đầu vào của hàm Key mixing, kết quả trả về
là một khóa mã hóa cho từng gói dữ liệu (per-packet)
[DA, SA, Priority, data (chưa được mã hóa), khóa toàn vẹn] là đầu vào của
thuật toán Michael để tạo ra MIC (Message Integrity Check)
ICV được tính từ CRC-32 checksum
[IV, khóa mã hóa dữ liệu per-packet] là đầu vào của thuật toán RC4 (trong
hình là hàm PRNG) để tạo ra keystream, keystream có cùng kích thước với dữ liệu, MIC, và ICV
Keystream XOR với [data, MIC, ICV] để tạo ra [data, MIC, ICV] được mã
hóa, nó là một phần của frame payload
Để tạo frame payload, IV, trường khác và IV mở rộng được thêm vào [data, MIC, ICV] được mã hóa
Trang 28L o g o
Giải mã
Trang 29L o g o
Giải mã
Quá trình giải mã cho gói dữ liệu unicast diễn ra theo trình tự sau:
1 Giá trị IV được lấy ra từ frame payload, [IV, DA, khóa mã hóa dữ liệu] đưa vào hàm Key mixing để tạo ra khóa mã hóa per-packet
2 [IV, khóa mã hóa per-packet] là đầu vào của thuật toán RC4 (trong hình
là hàm PRNG) để tạo ra keystream, keystream có cùng kích thước với dữ liệu, MIC, ICV
3 Keystream XOR với [data, MIC, ICV] bị mã hóa để tạo ra [data, MIC, ICV] ban đầu
4 ICV được tính lại và so sánh với giá trị ICV vừa được giải mã xong Nếu giá trị ICV không đúng thì dữ liệu được tự động loại bỏ
5 [DA, SA, data, khóa toàn vẹn] là đầu vào của thuật toán Michael để tạo
ra MIC
6 Giá trị MIC vừa mới tính lại đem so sánh với MIC vừa được giải mã
Nếu giá trị MIC không đúng, dữ liệu được tự động loại bỏ
Trang 30L o g o
Ưu điểm
Không cần cài đặt phần cứng
WPA cũng mã hóa thông tin bằng RC4 nhưng chiều dài của khóa là 128 bit
và IV có chiều dài là 48 bit
WPA sử dụng giao thức TKIP nhằm thay đổi khóa dùng Access Point và
User một cách tự động trong quá trình trao đổi thông tin Khóa sẽ thay đổi dựa trên người dùng, phiên trao đổi nhất thời và số lượng gói thông tin đã truyền
WPA sử dụng 802.1x/EAP để đảm bảo chứng thực lẫn nhau giữa Access
Point và User nhằm chống lại tấn công kiểu man-in-middle
WPA sử dụng MIC (Michael Message Integrity Check) để tăng cường tính toàn vẹn của thông tin
Trang 31L o g o
Nhược điểm
Điểm yếu đầu tiên của WPA là nó vẫn không giải quyết được denial-of-service
(DoS) attack Kẻ phá hoại có thể làm nhiễu mạng WPA WiFi bằng cách gửi ít nhất
2 gói thông tin với một khóa sai (wrong encryption key) mỗi giây Trong trường
hợp đó, Access Point sẽ cho rằng một kẻ phá hoại đang tấn công mạng và Access
Point sẽ cắt tất cả các nối kết trong vòng một phút để tránh hao tổn tài nguyên
mạng Do đó, sự tiếp diễn của thông tin không được phép sẽ làm xáo trộn hoạt động của mạng và ngăn cản sự nối kết của những người dùng được cho phép
WPA vẫn sử dụng thuật toán RC4, nó có thể dễ dàng bị bẻ vỡ bởi FMS attack, được
đề nghị bởi những nhà nghiên cứu ở trường đại học Berkeley Hệ thống mã hóa
RC4 chứa đựng những khóa yếu (weak keys) Những khóa yếu này
cho phép truy ra khóa encryption Để có thể tìm ra khóa yếu của RC4, chỉ cần thu thập một số lượng đủ thông tin truyền trên kênh truyền không dây
WPA-PSK là một phiên bản yếu của WPA mà ở đó nó gặp vấn đề về quản lý
password hoặc shared secret giữa nhiều người dùng Khi một người trong nhóm
(trong công ty) rời nhóm, một password/secret mới cần phải được thiết lập.
Trang 32L o g o
WPA2
Trang 33L o g o
WPA-2 là gì ?
WPA-2 là một chuẩn bảo mật dành cho mạng WIFI Đây là phiên bản nâng cấp của WPA
cho phép bảo mật tốt hơn.
WPA-2 được tạo ra bởi Wifi allience và IEEE nhằm mục đích thay thế cho WEP đã lỗi thời.
Trang 34L o g o
WPA-2 là gì ?
Ở chế độ Personal, sử dụng khóa chia sẻ
PSK (Pre-Shared Key) và không bắt buộc
người dùng chia sẻ trong việc xác thực.
Ở chế độ Enterprise, bắt buộc người dùng
chia sẻ trong việc xác thực dựa trên chuẩn
xác thực 802.1X
Trang 35L o g o
Cách thức hoạt động của WPA-2
Trang 36L o g o
Cách thức hoạt động của WPA-2
Giai đoạn 1: Security Policy Agreement
Ở giai đoạn này yêu cầu các bên truyền
thông thỏa thuận các chính sách bảo mật
để sử dụng.
Các chính sách bảo mật được hỗ trợ bởi
AP (Access Pointer) được phát quảng bá
trên các beacon hoặc trong các bản tin
Probe Respond
Tiếp theo là các xác thực mở (giống như
trong các mạng TSN, ở đó xác thực là luôn luôn thành công)
Trang 38L o g o
Cách thức hoạt động của WPA-2
Giai đoạn 2: 802.1X authentication
Xác thực trong WPA-2 chế độ Personal thì không bắt buộc phải có một server xác
thực Giữa client và AP sẽ sinh ra 1 cặp
khóa chia sẻ PSK với độ dài 256-bit.
Xác thực của WPA-2 trong chế độ
Enterprise thì dựa vào chuẩn 802.1X Các thành phần chính bao gồm client tham gia vào mạng, Authenticator (AP) có chức
năng điều khiển truy cập, Authentication
Server (RADIUS) quyết định trao quyền
Authenticator (AP) chia mỗi cổng ảo thành
Trang 41L o g o
Cách thức hoạt động của WPA-2
Giai đoạn 3: Key derivation and distribution
Trang 42L o g o
Cách thức hoạt động của WPA-2
Giai đoạn 3: Key derivation and distribution
Kết nối an toàn dựa trên các khóa bí mật Trong RSN, mỗi khóa có một thời gian
sống giới hạn và bảo mật tổng thể được
bảo đảm nhờ sử dụng một tập hợp các
khóa khác nhau, được tổ chức thành cây Khi một phiên bảo mật được thiết lập sau khi xác thực thành công, các khóa tạm thời (khóa phiên) được tạo và thường xuyên
cập nhật cho đến khi phiên bảo mật kết
thúc.
Có 2 bước bắt tay trong khi sinh khóa:
4-way handshake sinh ra PTK (Pair-wire
Transient Key) và GTK (Group Transient Key).
Group handshake key: tạo mới cho GTK.
Trang 43L o g o
Cách thức hoạt động của WPA-2
Giai đoạn 4: RSNA data confidentiality and
integrity
Tất cả các khóa sinh ra ở các giai đoạn
trên được sử dụng trong các giao thức hỗ trợ RSNA bảo mật và toàn vẹn.
Trang 44L o g o
MÃ HÓA TRONG WPA2
WPA2 sử dụng mã hóa AES mode
Counter-Mode/CBC-Mac (CCMP) Là một phương thức hoạt động mới cho việc mã
hóa cho phép một single key có thể sử
dụng cho cả 2 việc là mã hóa và xác thực.
CCM gồm 2 chế độ làm việc: Counter
mode (CTR), CBC-MAC
Trang 45L o g o
Counter mode (CTR)
Trang 46L o g o
CBC-MAC
Trang 47L o g o
Quá trình mã hóa:
MIC tương tự như checksum, cung cấp
tính toàn vẹn cho các trường không thể
thay đổi trong 802.11 header, không giống như WEP và WPA, ngăn việc phát lại gói
tin đã bị khai thác để giải mã gói hoặc tìm được thông tin mật mã
Trang 48L o g o
Quá trình tạo ra MIC:
IV được mã hóa với AES và TK để tạo ra một dãy 128 bits
Kết quả 128 bits được XOR với 128 bits
kết quả tiếp theo
Kết quả của XOR sau đó được truyền qua các bước 1 và 2 cho đến khi tất cả 128
khối trong 802.11 payload hết.
Cuối cùng, 64 bits đầu tiên được sử dụng
để tạo ra MIC.
Trang 49L o g o
Quá trình mã hóa:
Thuật toán CTR sẽ mã hóa dữ liệu với
MIC (được tính toán bằng CBC-MAC như
ở trên) CTR bắt đầu bằng 128 bit preload tương tự như MIC IV, nhưng sử dụng một giá trị đếm khởi tạo bằng 1 thay vì chiều
dài dữ liệu
Trang 50L o g o
Dữ liệu và MIC được mã hóa:
Khởi tạo bộ đếm.
128 bit đầu tiên được mã hóa bằng AES và TK
để tạo ra kết quả 128-bit.
Một XOR được thực hiện trên kết quả của
bước 1 tạo ra 128 bit mã hóa đầu tiên
Lặp lại bước 1 – 4 đến khi tất cả các khối 128 bits được mã hóa hết.
Đặt lại giá trị đếm bằng 0 và mã hóa nó sử
dụng AES và XOR với MIC, sau đó gắn vào
chuỗi mã hóa.www.themegallery.com Company Logo
Trang 51L o g o
Quá trình giải mã
Sử dụng cùng thuật toán mã hóa để lấy ra giá trị đếm
Giá trị đếm nhận được và phần mã hóa của
802.11 payload được giải mã sử dụng CTR và
TK Kết
Quả là MIC và dữ liệu được giải mã.
Cuối cùng sư dụng CBC-MAC để tính lại MIC và các giá trị ở bước 3 và bước 2, nếu không khớp thì bị bỏ Còn lại dữ liệu được giải mã sẽ được
gửi đến ngăn xếp mạng cho máy khách.
Trang 52L o g o
ƯU ĐIỂM so với WPA
WPA2 là cải tiến của WPA bằng cách sử
dụng mã hóa AES và xác thực
802.1X/EAP.
Trang 53L o g o
Click to edit company slogan
www.themegallery.com
Thank You !