Giao Thức Wep (Wired Equivalent Privacy)

Những ưu điểm của SET: Đảm bảo tính chính xác của thông tin cho cả 2 bên gửi và nhận; Đảm bảo tính toàn vẹn của thông tin do có sử dụng các phương pháp mã hóa dữ liệu để che giấu thông tin; Do khóa dùng để mã hóa và giải mã được mã bằng phương pháp khóa công khai nên khả năng bị bẻ khóa là rất khó xảy ra; Sự xác nhận các thông tin về tài khoản là do các ngân hàng trung gian thực hiện nên người dùng không sợ lộ các thông tin về tài khoản của mình khi tiến hành các giao dịch trên mạng; Có cơ chế xác thực cho cả hai phía gửi và nhận tin thông qua các chứng thực số nên giảm được tình trạng chối cãi cũng như lừa đảo trên mạng.

Hạn chế của SET: Thường có độ trễ khi giao dịch. Độ trễ sinh ra là do tính phức tạp của các thuật toán mã hóa công khai và do việc thường xuyên phải tiến hành giao dịch với các ngân hàng trung gian để xác thực lại các bên tham gia trong giao dịch; Một lượng lớn các thao tác backup dữ liệu được thực hiện trong quá trình giao dịch, do đó làm cho hệ thống trở nên công kềnh và làm chậm quá trình giao dịch; SET yêu cầu các thiết bị phần cứng chuyên dụng mà giá thành của các thiết bị này hiện tại có thể là rất cao; SET cũng yêu cầu một số phần mềm chuyên dụng phải được cài đặt tại trình duyệt của máy client như là ví tiền điện tử. Có thể hình dung sơ đồ đầy đủ của SET như trong Hình 6.9

Hình 6.9: Các thành phần của SET

6.3.2.4. Giao thức WEP (Wired Equivalent Privacy)

Wifi (Wireless Fidelity) là thuật ngữ hiện giờ vẫn còn đang gây tranh cãi vì nó chẳng có nghĩa gì cả, chỉ là một bộ giao thức cho thiết bị không dây dựa trên chuẩn 802.11x bao gồm các Access Point và các thiết bị đầu cuối không dây như PC Card, USB Card, Wifi PDA,... kết nối với nhau. Wifi sử dụng nhiều chuẩn mã hoá khác nhau nhằm bảo vệ cho việc tránh truy cập trái phép. Do tính đặc thù của kết nối không dây là không thể giới hạn về mặt vật lý truy cập đến đường truyền, bất cứ ai trong vùng phủ sóng đều có thể truy cập được, nên mã hoá là điều cần thiết đối với người sử dụng cần sự riêng tư, an toàn. Wifi hiện nay có 3 kiểu mã hoá chính là: WEP (Wired Equivalent Privacy), WPA (Wireless Protected Access) và WPA2.

WEP (Wired Equivalent Privacy) nghĩa là bảo mật tương đương với mạng có dây (Wired LAN). Khái niệm này là một phần trong chuẩn IEEE

802.11. Theo định nghĩa, WEP được thiết kế để đảm bảo tính bảo mật cho mạng không dây đạt mức độ như mạng nối cáp truyền thống. Đối với mạng LAN (định nghĩa theo chuẩn IEEE 802.3), bảo mật dữ liệu trên đường truyền đối với các tấn công bên ngoài được đảm bảo qua biện pháp giới hạn vật lý, tức là kẻ tấn công không thể truy xuất trực tiếp đến hệ thống đường truyền cáp. Do đó chuẩn 802.3 không đặt ra vấn đề mã hóa dữ liệu để chống lại các truy cập trái phép. Đối với chuẩn 802.11, vấn đề mã hóa dữ liệu được ưu tiên hàng đầu do đặc tính của mạng không dây là không thể giới hạn về mặt vật lý truy cập đến đường truyền, bất cứ ai trong vùng phủ sóng đều có thể truy cập dữ liệu nếu không được bảo vệ.

Như vậy, WEP cung cấp bảo mật cho dữ liệu trên mạng không dây qua phương thức mã hóa sử dụng thuật toán đối xứng RC4, được Ron Rivest - thuộc hãng RSA Security Inc nổi tiếng - phát triển. Thuật toán RC4 cho phép chiều dài của khóa thay đổi và có thể lên đến 256 bit. Chuẩn

Có thể bạn quan tâm!

Xem toàn bộ 194 trang tài liệu này.

802.11 đòi hỏi bắt buộc các thiết bị WEP phải hỗ trợ chiều dài khóa tối thiểu là 40 bit, đồng thời đảm bảo tùy chọn hỗ trợ cho các khóa dài hơn. Hiện nay, đa số các thiết bị không dây hỗ trợ WEP với ba chiều dài khóa: 40 bit, 64 bit và 128 bit.

Với phương thức mã hóa RC4, WEP cung cấp tính bảo mật và toàn vẹn của thông tin trên mạng không dây, đồng thời được xem như một phương thức kiểm soát truy cập. Một máy nối mạng không dây không có khóa WEP chính xác sẽ không thể truy cập đến Access Point (AP) và cũng không thể giải mã cũng như thay đổi dữ liệu trên đường truyền. Tuy nhiên, gần đây đã có những phát hiện của giới phân tích an ninh cho thấy nếu bắt được một số lượng lớn nhất định dữ liệu đã mã hóa sử dụng WEP và sử dụng công cụ thích hợp, có thể dò tìm được chính xác khóa WEP trong thời gian ngắn. Điểm yếu này là do lỗ hổng trong cách thức WEP sử dụng phương pháp mã hóa RC4.

Hạn chế của WEP: Do WEP sử dụng RC4, một thuật toán sử dụng phương thức mã hóa dòng (Stream Cipher), nên cần một cơ chế đảm bảo hai dữ liệu giống nhau sẽ không cho kết quả giống nhau sau khi được mã hóa hai lần khác nhau. Đây là một yếu tố quan trọng trong vấn đề mã hóa dữ liệu nhằm hạn chế khả năng suy đoán khóa của Hacker. Để đạt mục đích trên, một giá trị có tên Initialization Vector (IV) được sử dụng để cộng thêm với khóa nhằm tạo ra khóa khác nhau mỗi lần mã hóa. IV là một giá trị có chiều dài 24 bit và được chuẩn IEEE 802.11 đề nghị (không bắt buộc) phải thay đổi theo từng gói dữ liệu. Vì máy gửi tạo ra IV không theo định luật hay tiêu chuẩn, IV bắt buộc phải được gửi đến máy nhận ở dạng không mã hóa. Máy nhận sẽ sử dụng giá trị IV và khóa để giải mã gói dữ liệu.

Cách sử dụng giá trị IV là nguồn gốc của đa số các vấn đề với WEP. Do giá trị IV được truyền đi ở dạng không mã hóa và đặt trong Header của gói dữ liệu 802.11 nên bất cứ ai "tóm được" dữ liệu trên mạng đều có thể thấy được. Với độ dài 24 bit, giá trị của IV dao động trong khoảng

16.777.216 trường hợp. Những chuyên gia bảo mật tại đại học California- Berkeley đã phát hiện ra là khi cùng giá trị IV được sử dụng với cùng khóa trên một gói dữ liệu mã hóa (khái niệm này được gọi nôm na là va chạm IV), kẻ tấn công có thể bắt gói dữ liệu và tìm ra được khóa WEP. Thêm vào đó, ba nhà phân tích mã hóa Fluhrer, Mantin và Shamir (FMS) đã phát hiện thêm những điểm yếu của thuật toán tạo IV cho RC4. FMS đã vạch

ra một phương pháp phát hiện và sử dụng những IV lỗi nhằm tìm ra khóa WEP.

Thêm vào đó, một trong những mối nguy hiểm lớn nhất là những cách tấn công dùng hai phương pháp nêu trên đều mang tính chất thụ động. Có nghĩa là kẻ tấn công chỉ cần thu nhận các gói dữ liệu trên đường truyền mà không cần liên lạc với Access Point. Điều này khiến khả năng phát hiện các tấn công tìm khóa WEP đầy khó khăn và gần như không thể phát hiện được.

Giải pháp WEP tối ưu: Với những điểm yếu nghiêm trọng của WEP và sự phát tán rộng rãi của các công cụ dò tìm khóa WEP trên Internet, giao thức này không còn là giải pháp bảo mật được chọn cho các mạng có mức độ nhạy cảm thông tin cao. Tuy nhiên, trong rất nhiều các thiết bị mạng không dây hiện nay, giải pháp bảo mật dữ liệu được hỗ trợ phổ biến vẫn là WEP. Dù sao đi nữa, các lỗ hổng của WEP vẫn có thể được giảm thiểu nếu được cấu hình đúng, đồng thời sử dụng các biện pháp an ninh khác mang tính chất hỗ trợ.

Để gia tăng mức độ bảo mật cho WEP và gây khó khăn cho Hacker, các biện pháp sau được đề nghị:

(1) Sử dụng khóa WEP có độ dài 128 bit: Thường các thiết bị WEP cho phép cấu hình khóa ở ba độ dài: 40 bit, 64 bit, 128 bit. Sử dụng khóa với độ dài 128 bit gia tăng số lượng gói dữ liệu kẻ tấn công cần phải có để phân tích IV, gây khó khăn và kéo dài thời gian giải mã khóa WEP. Nếu thiết bị không dây của bạn chỉ hỗ trợ WEP ở mức 40 bit (thường gặp ở các thiết bị không dây cũ), bạn cần liên lạc với nhà sản xuất để tải về phiên bản cập nhật Firmware mới nhất.

(2) Thực thi chính sách thay đổi khóa WEP định kỳ: Do WEP không hỗ trợ phương thức thay đổi khóa tự động nên sự thay đổi khóa định kỳ sẽ gây khó khăn cho người sử dụng. Tuy nhiên, nếu không đổi khóa WEP thường xuyên thì cũng nên thực hiện ít nhất một lần trong tháng hoặc khi nghi ngờ có khả năng bị lộ khóa.

(3) Sử dụng các công cụ theo dõi số liệu thống kê dữ liệu trên đường truyền không dây: Do các công cụ dò khóa WEP cần bắt được số lượng lớn gói dữ liệu và kẻ tấn công có thể phải sử dụng các công cụ phát sinh dữ liệu nên sự đột biến về lưu lượng dữ liệu có thể là dấu hiệu của một cuộc tấn công WEP, đánh động người quản trị mạng phát hiện và áp dụng các biện pháp phòng chống kịp thời.

Tương lai của WEP: Như đã được đề cập trong các phần trên, WEP (802.11) không cung cấp độ bảo mật cần thiết cho đa số các ứng dụng không dây cần độ an toàn cao. Do sử dụng khóa cố định, WEP có thể được bẻ khóa dễ dàng bằng các công cụ sẵn có. Điều này thúc đẩy các nhà quản trị mạng tìm các giải pháp WEP không chuẩn từ các nhà sản xuất. Tuy nhiên, do những giải pháp này không được chuẩn hóa nên lại gây khó khăn cho việc tích hợp các thiết bị giữa các hãng sản xuất khác nhau.

Hiện nay, chuẩn 802.11i đang được phát triển bởi IEEE với mục đích khắc phục các điểm yếu của WEP và trở thành chuẩn thay thế hoàn toàn cho WEP khi được chấp thuận và triển khai rộng rãi. Nhưng thời điểm chuẩn 802.11i được thông qua chính thức vẫn chưa được công bố. Do vậy, hiệp hội WiFi của các nhà sản xuất không dây đã đề xuất và phổ biến rộng rãi chuẩn WPA (WiFi Protected Access) như một bước đệm trước khi chính thức triển khai 802.11i. Về phương diện kỹ thuật, chuẩn WPA là bản sao mới nhất của 802.11i và đảm bảo tính tương thích giữa các thiết bị từ các nhà sản xuất khác nhau. Tới thời điểm hiện nay, một số các thiết bị WiFi mới đã hỗ trợ WPA, WPA2 giải quyết được vấn đề bảo mật của WEP.

Mặc dù có những nhược điểm nghiêm trọng, bảo mật WEP vẫn tốt hơn là không dùng cơ chế mã hóa nào cho mạng không dây! WEP có thể được xem như một cơ chế bảo mật ở mức độ thấp nhất, cần thiết được triển khai khi không thể sử dụng các biện pháp khác tốt hơn. Điều này phù hợp cho các tình huống sử dụng các thiết bị không dây cũ chưa có hỗ trợ WPA, hoặc các tình huống có yêu cầu về độ bảo mật thấp như mạng không dây gia đình, mạng không dây cộng đồng,...

6.3.3. Sử dụng tường lửa

6.3.3.1. Khái niệm

Tường lửa (Firewall) chính là một thiết bị (cả phần cứng và mềm) nhằm thực thi những biện pháp đảm bảo an toàn và bảo mật cho việc vào/ra hệ thống mạng, tuy nhiên không phải là tất cả. Tường lửa cho phép những người sử dụng mạng máy tính của một tổ chức có thể truy cập tài nguyên của các mạng khác, nhưng đồng thời ngăn cấm những người sử dụng khác, không được phép, từ bên ngoài truy cập vào mạng máy tính của tổ chức. Tư tưởng cơ bản của Firewall là: đặt cấu hình mạng sao cho tất cả các thông tin vào ra mạng đều phải đi qua một máy được chỉ định và đó chính là Firewall. Ở đây, Firewall sẽ quyết định cho những gì đi qua và cấm không cho những gì đi qua để đảm bảo an toàn.

Là một thiết bị bảo vệ nằm ở biên giới mạng máy tính, Firewall phân chia mạng máy tính thành hai vùng riêng biệt, một vùng là vùng tin cậy và vùng kia là vùng không tin cậy nhằm bảo vệ mọi truy nhập trái phép từ vùng không tin cậy đối với vùng tin cậy (vùng tin cậy còn gọi là vùng được bảo vệ). Firewall ngăn cản các truy nhập trái phép bằng cách lọc tất cả những giao dịch theo một luật đã định nghĩa trước. Do vậy Firewall chỉ hoạt động hiệu quả khi các luật lọc đó tốt. Firewall chính là công cụ thực thi chính sách an toàn mạng máy tính bằng cách định nghĩa các dịch vụ và các truy nhập được phép hoặc bị ngăn cản, chính sách an toàn mạng máy tính bắt buộc tất cả các truy nhập đều phải thông qua Firewall để cho phép kiểm soát và điều chỉnh khi cần.

6.3.3.2. Các đặc điểm chính của Firewall

Tường lửa có các đặc điểm chính sau đây:

(1) Là kỹ thuật được tích hợp vào mạng để chống lại sự truy cập trái phép, nhằm bảo vệ nguồn thông tin nội bộ, hạn chế xâm nhập,

(2) Internet Firewall là thiết bị (phần cứng, mềm) nằm giữa mạng nội bộ Intranet (công ty, tổ chức, quốc gia..) và Internet. Thực hiện việc bảo mật thông tin của Intranet từ thế giới Internet bên ngoài,

(3) Thường được xây dựng trên hệ thống mạnh, chịu lỗi cao.

Một đặc điểm cần lưu ý là Firewall không có tác dụng bảo vệ trong các trường hợp sau:

- Hành động phá hoại hoặc truy nhập trái phép xuất phát từ mạng bên trong (vùng mạng tin cậy).

- Bảo vệ mạng khỏi những truy nhập được phép nhưng là những truy cập mang mục đích xấu. Bởi vì những truy nhập này sau khi được xác thực thẩm quyền thì được phép làm mọi thứ trong thẩm quyền của nó.

- Bảo vệ mạng khỏi tất cả các cuộc tấn công có hại. Tin tặc có thể lợi dụng lỗ hổng của các cổng dịch vụ mà truy nhập đến các cổng này được sự cho phép bởi Firewall.

Đối với những máy sử dụng WindowsXP thì phần mềm Firewall được tích hợp cùng với hệ điều hành và người sử dụng chỉ việc bật chức năng này lên để thiết lập một bức tường lửa bảo vệ máy tính của mình. Nhưng với các hệ điều hành Windows phiên bản trước đó thì chưa được tích hợp gói phần mềm này.

Đối với các hệ thống lớn hay các máy chủ thì thường chúng ta sử dụng hệ thống phần cứng để xây dựng Firewall nhằm đảm bảo độ tin cậy cao cho toàn bộ hệ thống.

Đối với từng tổ chức doanh nghiệp cụ thể thì cần có những chính sách xây dựng tường lửa khác nhau sao cho hoạt động một cách hiệu quả và phù hợp với quy mô của doanh nghiệp mình. Với những doanh nghiệp lớn thì có thể xây dựng tường lửa với nhiều mức bảo vệ khác nhau, đưa ra các Firewall nhiều lớp bên trong doanh nghiệp để có thể làm cách ly các đơn vị phòng ban, các Domain với nhau.

Các doanh nghiệp có Website thương mại (hoặc mạng LAN) nên sử dụng các phần mềm bức tường lửa có bản quyền của các tổ chức cung cấp phần mềm có uy tín trên thế giới như Microsoft,...

6.3.3.3. Phân loại tường lửa

Có nhiều cách phân loại tường lửa trong các hệ thống thông tin, như phân loại theo cấu tạo, phân loại theo mục đích sử dụng, phân loại theo cơ chế hoạt động, phân loại theo các tiêu chí khi kiểm soát gói tin,... Sau đây sẽ trình bày cách phân loại dựa trên cơ chế hoạt động của tường lửa trong hệ thống thông tin của tổ chức.

Tường lửa mức mạng (Firewall lọc gói): Đây là loại tường lửa sử dụng thiết bị phần cứng để xây dựng. Cụ thể ở đây là tường lửa được xây dựng trên bộ định tuyến. Quy tắc hoạt động của loại tường lửa kiểu này là nó kiểm soát tất cả các gói tin đi qua bộ định tuyến và qua đó lọc các gói tin này theo một tiêu chuẩn nào đó.

Như chúng ta biết, thông tin được truyền trên mạng theo các gói tin và trên mỗi gói tin đều chứa thông tin về địa chỉ của người gửi. Tường lửa được xây dựng trên bộ định tuyến cho phép chúng ta kiểm soát các gói tin này và lọc các gói tin theo địa chỉ IP của người gửi.

Firewall lọc gói theo dõi 4 tham số của mỗi gói tin TCP/IP là địa chỉ IP nguồn và đích, cổng dịch vụ nguồn và đích, nếu các tham số này thoả mãn một điều kiện lọc cho trước nào đó thì hành động của điều kiện lọc đó sẽ được áp dụng cho gói tin đó, thông thường là hành động huỷ bỏ gói tin hoặc chuyển tiếp gói tin. Firewall lọc gói không kiểm tra nội dung của gói tin chuyển qua, do đó không thể kiểm soát được kết nối hoặc giao thức nào thông qua Firewall lọc gói cả. Firewall loại này thường được kết hợp cùng với Router.

Hình 6.10. Tường lửa với cơ chế lọc gói