bảo mật hệ thống mạng wlan

- Để cung cấp mức bảo mật tối thiểu cho mạng WLAN thì cần xác định hai yếu tố sau: o Cách thức để xác định quyền sử dụng WLAN thông qua bằng cơ chế xác thực.. • Giới thiệu giải pháp Radi

Lab 5: Bảo mật h ệ thống m ng WLAN ạ

A Lý Thuyết

• Những hạn chế của mạng WLAN

- Bảo mật là một trong những vấn đề quan trọng nhất trong mạng WLAN Do điều kiện truy cập của loại mạng này, mà khả năng truy cập của thiết bị ngoài trong không gian phát sóng là vô cùng lớn Đồng thời, khả năng nhiễu sóng cũng không thể tránh khỏi Để sử dụng mạng WLAN an toàn, chúng ta

cần phải bảo mật WLAN

- Để cung cấp mức bảo mật tối thiểu cho mạng WLAN thì cần xác định hai yếu tố sau:

o Cách thức để xác định quyền sử dụng WLAN thông qua bằng cơ chế xác thực

o Phương thức mã hóa đảm bảo tính riêng tư cho các dữ liệu không dây

thông qua thuật toán mã hóa - Mã hóa WLAN

o Mã hóa là biến đổi dữ liệu để chỉ có các thành phần được xác nhận mới giải mã được nó Trong mã hóa, có hai loại mật mã với cách thức sinh ra một chuỗi khóa (key stream) từ một giá trị khóa bí mật o Mật mã dòng (stream ciphers): Mật mã dòng mã hóa theo từng bit

Điều này làm phát sinh chuỗi khóa liên tục dựa trên giá trị của khóa o Mật mã khối (block ciphers): Ngược lại với mật mã dòng Mật mã

khối sinh ra một chuỗi khóa duy nhất có kích thước cố định Chuỗi ký tự chưa được mã hóa (plaintext) sẽ được phân mảnh thành những khối (block) Mỗi khối sẽ được trộn với chuỗi khóa một cách độc lập -

- Ban đầu, IEEE 802.11 sử dụng giải pháp bảo mật bằng những khoá tĩnh (static keys) cho cả quá trình mã hoá và xác thực Phương thức xác thực như vậy là không đủ mạnh, cuối cùng có thể bị tấn công Bởi vì các khoá được quản lý và không thay đổi, điều này không thể áp dụng trong một giải pháp doanh nghiệp lớn được

- Cisco giới thiệu và cho phép sử dụng EEE 802.1x là giao thức xác thực và I sử dụng khoá động (dynamic keys), bao gồm 802.1x Extensible Authentication Protocol (EAP) Cisco cũng giới thiệu phương thức để chống lại việc tấn công bằng cách sử dụng quá trình băm (hashing) (Per Packet Key – PPK) và Message Integrity Check (MIC) Phương thức này được biết đến như Cisco Key Integrity Protocol (CKIP) và Cisco Message Integrity

• Giới thiệu giải pháp Radius

- RADIUS (Remote Authentication Dial In User Service) là giao thức mạng được sử dụng để xác thực và cho phép người dùng truy cập vào một mạng từ xa Radius có khả năng cung cấp xác thực tập trung, cấp quyền và ghi nhận thông tin (Authentication, Authorization và Accounting-AAA)

- RADIUS hoạt động theo mô hình client/ server

o Server: hoạt động trên NAS (network access server), tiếp nhận, kiểm tra và xử lý các thông tin người dùng

o Client: các thiết bị cần xác thực thông tin người dùng và các dịch vụ truy cập mạng

- RADIUS sử dụng giao thức UDP 1812 và 1813

- Người dùng được xác thực thông qua giao thức 802.1x (EAP Access Point có thể đóng vai trò như một máy chủ đáp ứng việc xác thực cho người dùng, hoặc có thể kết nối đến máy chủ RADIUS nhờ xác thực thông tin người dùng

- Thông tin EAP sẽ được truyền từ Access point tới máy chủ xác thực Sau khi xác thực WLAN client thành công, dữ liệu sẽ được mã hoá trước khi truyền đi

- Với giải pháp doanh nghiệp, để tối ưu quá trình bảo mật, người quản trị sử dụng 802.1x EAP làm phương thức xác thực và TKIP hay AES làm phương thức mã hoá, dựa theo chuẩn WPA hay WPA2 3

- Xác thực và ủy quyền

o WLAN Client gửi thông tin đăng nhập đến AP (Radius Client) Sau đó, AP gửi thông báo Yêu cầu truy cập (Radius Access Request message) đến Radius Server, yêu cầu ủy quyền cấp quyền truy cập

thông qua giao thức Radius Yêu cầu này bao gồm thông tin đăng nhập và chứng chỉ bảo mật (certificate) do người dùng cung cấp Ngoài ra, yêu cầu có thể chứa thông tin khác mà AP biết về người dùng, ví dụ địa chỉ IP, MAC

o Radius Server kiểm tra thông tin có chính xác không bằng cách sử dụng các phương thức xác thực như PAP, CHAP hoặc EAP Radius Server có thể thực hiện việc xác thực bằng cách truy vấn cơ sở dữ liệu tài khoản người dùng trên các máy chủ SQL, Kerberos, LDAP hoặc Active Directory để xác minh thông tin đăng nhập của người dùng o Sau đó, Radius Server trả về một trong ba phản hồi cho AP:

Từ chối truy cập (Access Reject): người dùng bị từ chối truy

cập vào tất cả các tài nguyên mạng Lý do có thể bao gồm việc không cung cấp chứng nhận hoặc tài khoản người dùng không xác định hoặc không hoạt động, bị khóa, v.v

Yêu cầu gửi thêm thông tin truy cập (Access Challenge):

Yêu cầu thông tin bổ sung từ người dùng như mật khẩu phụ, mã PIN, mã thông báo hoặc thẻ Access Challenge cũng được sử dụng trong các hộp thoại xác thực phức tạp hơn, khi đường hầm (tunnel) bảo mật được thiết lập giữa máy tính người dùng và Radius Server

Chấp nhận truy cập (Access Accept): người dùng được cấp quyền truy cập Khi người dùng được xác thực, Radius Server sẽ kiểm tra xem người dùng có được phép sử dụng dịch vụ mạng được yêu cầu sau khi kết nối Wifi thành công

o Thông tin trao đổi giữa client và server được xác thực bởi một khóa chia sẻ (Shared Secret) Khóa này không bao giờ được truyền đi qua mạng do đó nâng cao tính bảo mật của thông tin

o Mật khẩu được mã hóa trong quá trình truyền để ngăn chặn mật khẩu người dùng bị thu thập trên đường truyền.

• Giải pháp MAC Filter

- Để tăng cường khả năng bảo mật cho mạng Wi Fi, ngoài việc sử dụng các chế độ -mã hóa, xác thực, ẩn SSID thì người dùng nên kết hợp thêm tính năng lọc địa chỉ MAC

- Giải pháp Wireless MAC Filter chỉ cho phép các thiết bị trong danh sách an toàn được kết nối vào mạng và cấm tất cả thiết bị trong danh sách đen truy xuất vào mạng, ngay cả khi bạn có mật khẩu Wifi hoặc bất kể bạn đang sử dụng giao thức kết nối nào

- Để thiết lập bộ lọc MAC, bạn cần lập danh sách địa chỉ MAC cho các thiết bị có nhu cầu kết nối vào mạng Tuy nhiên, trong môi trường mạng không dây công cộng như quán café, phòng chăm sóc khách hang, nơi các thiết bị không dây thường xuyên thay đổi, ta không nên áp dụng giải pháp Wireless MAC Filter.

Bảng thông s cố ấu hình thiết b ị

Device Interface IP Address Subnet Mask Default Gateway

- Thiết lập mạng Wifi v i ớ AP (dùng Wireless Router để giả ập AP) l- Thiết lập cấu hình các tính năng quản tr ị cơ ản và tùy biến c u hình.bấ- Thiết lập bảo mật hệ thống mạng Wifi với Radius

- Thiết lập dịch vụ MAC filter để hạn chế truy cập trái phép vào h ệ thống mạng Wifi

Tình huống Lab

Trong bài Lab này, các bạn sẽ thiết lập b o mảật mạng Wifi bằng cách sử ụ d ng dịch vụ Radius để chứng thực người dùng khi kết nối Wifi Bên cạnh đó, các bạn sẽ thi t lậếp dịch v Wireless MAC ụfilter để ạ h n ch truy c p trái phép vào h th ng m ng Wifi ếậệ ốạ

Các thiết bị đượ ấu hình vớc ci các thông số như sau: Yêu cầu Lab

1 Cấu hình AP để cấp Wifi cho hệ thống mạng chứng thực đăng nhập qua Radius Server: o SSID: Linksys

o Network mode: phát Wifi c ả 2 chuẩn N (2.4 GHz) và AC (5 GHz)

o Standard Channel: 1

o Channel Bandwidth: 40 MHz (N) và 80 MHz (AC)

o SSID broadcast: Enabled

o Wireless security:

WPA2 Enterprise – AES Radius Server: 192.168.1.2

Radius port: 1645

Shared secret: Cisco Key renewal: 3600 seconds

o Chỉ cho phép Laptop kết nối Wifi sử ụ d ng Wireless MAC Filter.2 Cấu hình Radius Server để chứng thực người dùng Wifi theo các thông tin sau:

o Client Name: Linksys

o Client IP: 192.168.1.1

o Secret: Cisco

o ServerType: Radius

o Tài kho n/ m t kh u: ảậ ẩ user1 / Aa123456

3 Kiểm thử: kết nối Laptop và Smartphone vào h ệ thống Wifi.

Thực hiện yêu c u Lab.ầ

Phần 1: Thiết lập Basic Wireless Settings

Tại trang web quản trị của AP, trong menu Wireless, tab Basic Wireless Settings, cấu hình các

thông s sau: ố

Bước 1: Thi t l p c u hình trên t n s 2.4 GHz ế ậấầố (chuẩn N)

a Tại mục Network mode, chọn Auto

b T ại mục Network name (SSID), nh p ậ Linksys c Tại mục SSID broadcast, chọn Enabled

d T ại mục Standard Channel, chọn 1 – 2.412 GHz.

e Tại mục Channel Bandwidth, chọn 40 MHz Channel

f Nhấn Save Settingsđể lưu lại thi t lập ế

Bước 2: Thi t l p c u hình trên t n sế ậấầố 5 GHz – 2 (chu n AC wave 2) ẩa Tại mục Network mode, chọn Auto

b T ại mục Network name (SSID), nh p ậ Linksys c Tại mục SSID broadcast, chọn Enabled

d T ại mục Standard Channel, chọn 149 – 5.745 GHz.

e Tại mục Channel Bandwidth, chọn 80 MHz Channel

f Nhấn Save Settingsđể lưu lại thi t lập ế

Bước 3: Thi t l p c u hình trên t n sế ậấầố 5 GHz – 1 (chu n AC wave 1) ẩa Tại mục Network mode, chọn Auto

b T ại mục Network name (SSID), nh p ậ Linksys c Tại mục SSID broadcast, chọ Enabled n d T ại mục Standard Channel, chọn 36 – 5.180 GHz.

e Tại mục Channel Bandwidth, chọn 80 MHz Channel

f Nhấn Save Settingsđể lưu lại thi t lập ế

Phần 2: Thi t lế ập Wireless Security chứng thực qua Radius Server

Tại trang web quản trị của AP, trong menu Wireless, tab Basic Wireless Settings, cấu hình các thông s ố sau:

Bước 1: Thi t l p c u hình trên t n sế ậấầố 2.4 GHz (chu n N)ẩa Security mode: WPA2 Enterprise

b Encryption: AES

c Radius Server: 192.168.1.2

d Radius Port: 1645

e Share Secret: Cisco f Key Renewal: 3600 seconds

g Nhấn Save Settingsđể lưu lại thi t lập ế

Bước 2: Thi t l p c u hình trên t n sế ậấầố 5 GHz (chu n AC wave 1)ẩThực hiện tương tự như cấu hình trên t n s 2.4 GHz ầốBước 3: Thi t l p c u hình trên t n sế ậấầố 5 GHz (chu n AC wave 2) ẩ

Thực hiện tương t ựnhư cấu hình trên tần s 2.4 GHz ố

Phần 4: Cấu hình Radius Server để ch ng thứ ực người dùng Wifi

Trên Radius Server, tại menu Services, chọn mụ AAA c và cấu hình các thông số sau: Bước 1: C u hình dấ ịch vụ

a Trong mục Service, chọn On

b Trong mục Radius Port: nhập 1645 .Bước 2: C u hình Network Configuration ấ

a Trong mục Client Name, nh p tên cho Profile là ậ Linksys b Trong mục Client IP, nhập IP của AP là 192.168.1.1

c Trong mục Secret, nhập mật khẩu tương ứng với mật khẩu Share Secret trong c u hình ấWifi của AP Cisco là

d Trong mục ServerType, chọ nRadius.

Bước 3: C u hình User Setup ấ

a Trong mục Username, nh p tên cho tài khoậ ản là user1 b Trong mục Password, nhập mật khẩu cho tài khoản là Aa123456

c Trên Laptop, mở trình duyệt Web và truy cập đến trang web quản trị của AP (địa chỉ 192.168.1.1 )

d Nhập tài khoản đăng nhập và mật khẩu: admin/admin để truy cập web đến AP

Bước 2: K t n i Smartphone vào h ếố ệ thống Wifi không thành công

a Trên Smartphone, t i menu ạ Config, chọn Wireless0 và cấu hình như sau: • Tại mục SSID, nhập Linksys

• Tại mục Authentication, chọn WPA2 và nhập tài khoản/ mật khẩu đăng nhập là

user1/ Aa12345678

• Tại mục IP Configuration, chọn chế độ DHCP

b Trên Smartphone, tại menu Desktop, mở công cụ IP Configuration, kiểm tra

Smartphone không kết nố được Wifi vào AP vì bị ạn chế truy cập bởi dịch vụ MAC i hfilter