Đang tải... (xem toàn văn)
Bảo mật mạng WLAN bằng chứng thực RADIUS Mục tiêu của đề tài Nắm được các kiến thức cơ bản về mạng không dây. Tìm hiểu được các hình thức tấn công cũng như bảo mật mạng không dây cơ bản. Tìm hiểu và hiểu được rõ cơ chế, tầm quan trọng của bảo mật mạng không dây bằng chứng thực Radius . Thực hành cấu hình các kiểu chứng thực, mã hóa, cũng như bảo mật Wireless Access Point.
Bảo mật mạng WLAN bằng chứng thực RADIUS MỤC LỤC 1 Bảo mật mạng WLAN bằng chứng thực RADIUS DANH MỤC HÌNH VẼ Hình 3. 1 Kết quả cấu hình cấp phát DHCP của Server.……………………… Hình 3. 2 Các thông số cấu hình Enterprise CA…………………………………… … Hình 3. 3 Kết quả sau khi đã Request Certificate từ CA Enterprise Server……… …. Hình 3. 4 Tạo OU, User và Group………………………………………………… …. Hình 3. 5 Chuyển domain sang Native mode……………………………………… … Hình 3. 6 Cấu hình RADIUS……………………………………………………… …. Hình 3. 7 Tạo mới RADIUS Client………………………………………………… Hình 3. 8 Tạo mới Remote Access Policy……………………………………… ……. Hình 3. 9 Access Mote là “Wireless”…………………………………………… …… Hình 3. 10 User or Group Access………………………………………………… …. Hình 3. 11 Tạo mới Remote Access Policy………………………………………… Hình 3. 12 Kết quả tạo Remote Access Policy………………………………………. Hình 3. 13 Cấu hình quản lý truy cập từ xa cho User………………………………… Hình 3. 14 Cấu hình AP………………………………………………………………… Hình 3. 15 Cấu hình SSID, kiểu chứng thực và mã hóa…………………………… Hình 3. 16 Cấu hình chứng thực…………………………………………………… Hình 3. 17 Cấu hình kiểu kết nối và phương pháp chứng thực……………………… Hình 3. 18 Kết quả cấu hình Wireless Network cho client……………………… … Hình 3. 19 Cửa sổ đăng nhập chứng thực cho client…………………………… …… 2 Bảo mật mạng WLAN bằng chứng thực RADIUS CÁC THUẬT NGỮ ĐƯỢC SỬ DỤNG ADSL Asymmetric Digital Subscriber Line Mạng thuê bao không đồng bộ AES Advanced Encryption Standard Chuẩn mã hóa nâng cao AP Access point Điểm truy nhập CCK Complementary Code Keying Khóa mã bổ xung CDMA Code Divison Multiple Access Đa truy nhập phân chia theo mã CPE Customer Premises Equipment Thiết bị tại nhà của khách hàng CSMA/CA Carrier Sense Multiple Access/ Collision Avoidance Đa truy xuất cảm biến mang tránh xung đột CTS Clear To Send Xóa nhận dạng gửi DHCP Dynamic Host Configuration Protocol Cơ chế đánh địa chỉ động DSSS Direct Sequence Spread Strectrum Trải phổ trực tiếp EAP Extensible Authentication Protocol Giao thức chứng thực mở rộng ESS Extended Service Set Bộ dịch vụ mở rộng FDD Frequency Division Duplexing FDMA Frequency Division Multiple Access Đa truy nhập phân chia theo tần số IEEE Institute of Electrical and Electronic Engineers Viện kĩ thuật điện và điện tử IV Initialization Vector Vector khởi tạo MAC Media Access Control Điều khiển truy cập môi trường NIST National Institute of Standards and Technology Viện tiêu chuẩn và kỹ thuật quốc gia OFDM Orthogonal Frequency Division Multiplexing Phân chia tần số trực giao đa bộ phận PDA Personal Digital Assistant Máy trợ lý cá nhân dùng kỹ thuật số PRNG Pseudo Random Number Generator Thiết bị tạo số giả ngẫu nhiên 3 Bảo mật mạng WLAN bằng chứng thực RADIUS PSK Phase Shifp Keying Điều pha QoS Quality of Service Chất lượng dịch vụ QPSK Quardrature Phase Shift Keying Điều chế khóa dịch pha cầu phương RADIUS Remote Authentication Dial_In User Service Dịch vụ truy nhập bằng điện thoại xác nhận từ xa RTS Request To Send Yêu cầu gửi SSID Service Set Identifiers Bộ nhận dạng dịch vụ TDD Time Division Duplexing Phân chia theo thời gian TDMA Time Division Multiple Access Đa truy nhập phân chia theo thời gian TKIP Temporal Key Integrity Protocol Hàm thay đổi khóa VPN Virtual Private Network Mạng riêng ảo WDMZ Wireless DeMilitarized Zone Vùng phi quân sự không dây WEP Wired Equivalent Privacy Wi-fi Wireless Fidelity CHƯƠNG 1. TỔNG QUAN VỀ ĐỀ TÀI 1.1. Lý do chọn đề tài Trong thời gian gần đây chúng ta thường nghe nói về Wi-Fi và Internet không dây. Thực ra Wi-Fi không chỉ được dùng để kết nối Internet không dây mà còn dùng để kết nối hầu hết các thiết bị tin học và viễn thông quen thuộc như máy tính, máy in, PDA, điện thoại di động mà không cần dây cáp nối, rất thuận tiện cho người sử dụng. Mạng không dây là một trong những bước tiến lớn của ngành máy tính. Truy cập Internet trở thành nhu cầu quen thuộc với mọi người. Tuy nhiên để có thể kết nối Internet người sử dụng phải truy cập Internet từ một vị trí cố định thông qua một máy tính kết nối vào mạng. Điều này đôi khi gây ra rất nhều khó khăn cho những người sử dụng khi đang di chuyển hoặc đến một nơi không có điều kiện kết nối vào mạng. Xuất phát từ yêu cầu mở rộng Internet, WLAN đã được nghiên cứu và triển khai ứng dụng trong thực tế, với những tính năng hỗ trợ đáp ứng được băng thông, 4 Bảo mật mạng WLAN bằng chứng thực RADIUS triển khai lắp đặt dễ dàng và đáp ứng được các yêu cầu kỹ thuật, kinh tế. Chẳng hạn việc sử dụng công nhệ Internet không dây Wi-Fi cho phép mọi người truy cập lấy thông tin ở bất kỳ vị trí nào như bến xe, nhà ga, sân bay,… Với rất nhiều lợi ích và sự truy cập công cộng như vậy, nhưng vấn đề bảo mật luôn làm đau đầu các nhà sản xuất, các tổ chức và cá nhân người sử dụng. Vì phương tiện truyền tin của WLAN là sóng vô tuyến và môi trường truyền tin là không khí, thiết bị thu chỉ cần nằm trong vùng phủ sóng là có có khả năng truy cập vào mạng. Điều này dẫn đến vấn đề nghiêm trọng về bảo mật mạng WLAN. Chính vì vậy, em đã chọn đề tài “Bảo mật mạng WLAN bằng chứng thực RADIUS” để làm đề tài cho đồ án. Trong quá trình thực hiện đề tài, do hạn chế về thời gian và lượng kiến thức cũng như kinh nghiệm thực tế nên không tránh khỏi những thiếu sót. Kính mong sự đóng góp ý kiến của thầy cô và các bạn để bài báo cáo của em được hoàn thiện hơn. 1.2. Mục tiêu của đề tài Nắm được các kiến thức cơ bản về mạng không dây. Tìm hiểu được các hình thức tấn công cũng như bảo mật mạng không dây cơ bản. Tìm hiểu và hiểu được rõ cơ chế, tầm quan trọng của bảo mật mạng không dây bằng chứng thực Radius . Thực hành cấu hình các kiểu chứng thực, mã hóa, cũng như bảo mật Wireless Access Point. 1.3. Giới hạn và phạm vi của đề tài Ứng dụng kết quả nghiên cứu được cùng với kiến thức về bảo mật mạng không dây bằng chứng thực RADIUS để triển khai hệ thống trên quy mô nhỏ. 1.4. Kết quả dự kiến Tìm hiểu được lý thuyết về mạng WLAN bằng chứng thực RADIUS Cài đặt và cấu hình triển khai hệ thống xác thực RADIUS trên windows 2003 CD chứa video cài đặt và cấu hình và các báo cáo trong quá trình thực hiện. 5 Bảo mật mạng WLAN bằng chứng thực RADIUS CHƯƠNG 2. CƠ SỞ LÝ THUYẾT 2.1.Tổng quan về WLAN 2.1.1.Mạng WLAN là gì? Mạng LAN không dây viết tắt là WLAN (Wireless Local Area Network) hay WIFI (Wireless Fidelity), là một mạng dùng để kết nối hai hay nhiều máy tính với nhau mà không sử dụng dây dẫn. WLAN dùng công nghệ trải phổ, sử dụng sóng vô tuyến cho phép truyền thông giữa các thiết bị trong một vùng nào đó gọi là Basic Service Set. Đây là một giải pháp có rất nhiều ưu điểm so với kết nối mạng có dây (wireline) truyền thống. Người dùng vẫn duy trì kết nối với mạng khi di chuyển trong vùng phủ sóng. 2.1.2.Lịch sử hình thành và phát triển. Năm 1990, công nghệ WLAN lần đầu tiên xuất hiện, khi những nhà sản xuất giới thiệu những sản phẩm hoạt động ở băng tần 900 Mhz. Các giải pháp này (không 6 Bảo mật mạng WLAN bằng chứng thực RADIUS có sự thống nhất của các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mbs, thấp hơn rất nhiều so với tốc độ 10 Mbs của hầu hết các mạng sử dụng cáp lúc đó. Năm 1992, các nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần 2.4GHz. Mặc dù những sản phẩm này có tốc độ truyền cao hơn nhưng chúng vẫn chỉ là những giải pháp riêng của mỗi nhà sản xuất và không được công bố rộng rãi. Sự cần thiết cho việc thống nhất hoạt động giữa các thiết bị ở những dãy tần số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây. Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã thông qua sự ra đời của chuẩn 802.11, và được biết đến với tên WIFI (Wireless Fidelity) cho các mạng WLAN. Năm 1999, IEEE thông qua sự bổ sung cho chuẩn 802.11 là chuẩn 802.11a và 802.11b (định nghĩa ra những phương pháp truyền tín hiệu). Và các thiết bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây nổi trội. Năm 2003, IEEE công bố thêm sự cải tiến là chuẩn 802.11g, chuẩn này cố gắng tích hợp tốt nhất các chuẩn 802.11a, 802.11b và 802.11g. Sử dụng băng tần 2.4Ghz cho phạm vi phủ sóng lớn hơn. Năm 2009, IEEE cuối cùng cũng thông qua chuẩn WIFI thế hệ mới 802.11n sau 6 năm thử nghiệm. Chuẩn 802.11n có khả năng truyền dữ liệu ở tốc độ 300Mbps hay thậm chí cao hơn. 2.1.3.Ưu điểm của WLAN Sự tiện lợi: Mạng không dây cung cấp giải pháp cho phép người sử dụng truy cập tài nguyên trên mạng ở bất kì nơi đâu trong khu vực WLAN được triển khai (khách sạn, trường học, thư viện…). Với sự bùng nổ của máy tính xách tay và các thiết bị di động hỗ trợ wifi như hiện nay, điều đó thật sự rất tiện lợi. Khả năng di động: Với sự phát triển vô cùng mạnh mẽ của viễn thông di động, người sử dụng có thể truy cập internet ở bất cứ đâu như: Quán café, thư viện, trường học và thậm chí là ở các công viên hay vỉa hè. Người sử dụng đều có thể truy cập Internet miễn phí. 7 Bảo mật mạng WLAN bằng chứng thực RADIUS Hiệu quả: Người sử dụng có thể duy trì kết nối mạng khi họ đi từ nơi này đến nơi khác. Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, chúng ta chỉ cần một đường truyền ADSL và một AP là được một mạng WLAN đơn giản. Với việc sử dụng cáp, sẽ rất tốn kém và khó khăn trong việc triển khai ở nhiều nơi trong tòa nhà. Khả năng mở rộng: Mở rộng dễ dàng và có thể đáp ứng tức thì khi có sự gia tăng lớn về số lượng người truy cập. 2.1.4.Nhược điểm Bên cạnh những thuận lợi mà mạng không dây mang lại cho chúng ta thì nó cũng mắc phải những nhược điểm. Đây là sự hạn chế của các công nghệ nói chung. Bảo mật: Đây có thể nói là nhược điểm lớn nhất của mạng WLAN, bởi vì phương tiện truyền tín hiệu là sóng và môi trường truyền tín hiệu là không khí nên khả năng một mạng không dây bị tấn công là rất lớn. Phạm vi: Như ta đã biết chuẩn IEEE 802.11n mới nhất hiện nay cũng chỉ có thể hoạt động ở phạm vi tối đa là 150m, nên mạng không dây chỉ phù hợp cho một không gian hẹp. Độ tin cậy: Do phương tiện truyền tín hiệu là sóng vô tuyến nên việc bị nhiễu, suy giảm…là điều không thể tránh khỏi. Điều này gây ảnh hưởng đến hiệu quả hoạt động của mạng. Tốc độ: Tốc độ cao nhất hiện nay của WLAN có thể lên đến 600Mbps nhưng vẫn chậm hơn rất nhiều so với các mạng cáp thông thường (có thể lên đến hàng Gbps) 2.2.Cơ sở hạ tầng WLAN 2.2.1.Cấu trúc cơ bản của WLAN Distribution System (Hệ thống phân phối ): Đây là một thành phần logic sử dụng để điều phối thông tin đến các station đích. Chuẩn 802.11 không đặc tả chính xác kỹ thuật cho DS. 8 Bảo mật mạng WLAN bằng chứng thực RADIUS Access Point (Điểm truy cập): Chức năng chính chủa AP là mở rộng mạng. Nó có khả năng chuyển đổi các frame dữ liệu trong 802.11 thành các frame thông dụng để có thể sử dụng trong mạng khác. Access Point cũng là cầu nối giữa mạng không dây thành mạng có dây. Wireless Medium (Tầng liên lạc vô tuyến): Chuẩn 802.11 sử dụng tầng liên lạc vô tuyến để chuyển đổi các frame dữ liệu giữa các máy trạm với nhau. Station (Các máy trạm): Đây là các thiết bị ngoại vi có hỗ trợ kết nối vô tuyến như: Laptop, PDA, Palm… 1. Access Point (AP) 2. Wireless Medium 3. Station Hình 2. Cấu trúc cơ bản của WLAN 2.2.2. Thiết bị dành cho WLAN Wireless Access Point (AP): Là thiết bị có nhiệm vụ cung cấp cho máy khách (client) một điểm truy cập vào mạng. AP là một thiết bị song công (Full duplex) có mức độ thông minh tương đương với một chuyển mạch Ethernet phức tạp (Switch). 9 Bảo mật mạng WLAN bằng chứng thực RADIUS Hình 2. Thiết bị Wireless AccessPoint Các chế độ hoạt động của AP: AP có thể giao tiếp với các máy không dây, với mạng có dây truyền thống và với các AP khác. AP có ba chế độ hoạt động chính: Chế độ gốc (root mode): Root mode được sử dụng khi AP kết nối với mạng backbone có dây thông qua giao diện có dây (thường là Ethernet) của nó. Hầu hết các AP đều hoạt động ở chế độ mặc định là root mode. Khi một AP được kết nối với phân đoạn có dây thông qua cổng Ethernet của nó, nó sẽ được cấu hình để hoạt động trong root mode. Khi ở trong root mode, các AP được kết nối với cùng một hệ thống phân phối có dây có thể nói chuyện được với nhau thông qua phân đoạn có dây. Các Client không dây có thể giao tiếp với các Client không dây khác nằm trong những cell (ô tế bào, hay vùng phủ sóng của AP) khác nhau thông qua AP tương ứng mà chúng kết nối vào, sau đó các AP này sẽ giao tiếp với nhau thông qua phân đoạn có dây. 10 [...]... 12 Bảo mật mạng WLAN bằng chứng thực RADIUS Hình 2 Thiết bị Wireless Router Wireless NICs: Là các thiết bị được máy khách dùng để kết nối vào AP 13 Bảo mật mạng WLAN bằng chứng thực RADIUS Hình 2 Wireless NICs 2.2.3.Các mô hình WLAN Mạng 802.11 rất linh hoạt về thiết kế, bao gồm 3 mô hình cơ bản sau: • Mô hình mạng độc lập (IBSSs) hay còn gọi là mạng Ad-hoc • Mô hình mạng cơ sở (BSSs) • Mô hình mạng. .. HTTPS, FTP… 32 Bảo mật mạng WLAN bằng chứng thực RADIUS Hình 2 Lọc giao thức 2.5.Kết luận Qua các hình thức tấn công cũng như các giải pháp bảo mật WLAN trên, người thiết kế mạng cũng như bảo mật mạng phải nắm được cụ thể các hình thức tấn công nào có thể xảy ra đối với mô hình mạng mình thiết kế Từ đó có được các giải pháp bảo mật phù hợp với từng mô hình Đảm bảo tính bảo mật nhưng cũng đảm bảo tính tiện... Prevention System) Xác thực và bảo mật dữ liệu bằng cách mã hoá thông tin truyền trên mạng IDS như một thiết bị giám sát mạng Wireless và mạng Wired để tìm kiếm và cảnh báo khi có các dấu hiệu tấn công 25 Bảo mật mạng WLAN bằng chứng thực RADIUS 2.4.1.WEP WEP (Wired Equivalen Privacy) có nghĩa là bảo mật không dây tương đương với có dây Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệu... khóa bảo mật 2.4.2 .WLAN VPN Mạng riêng VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như Ipsec (Internet Protocol Security) IPSec để mã hóa dự liệu và dùng các thuật toán khác để các thực gói dự liệu Ipsec cũng sử dụng thẻ xác nhận số 26 Bảo mật mạng WLAN bằng chứng thực RADIUS để xác nhận... Với các doanh nghiệp đòi hỏi bảo mật, quản lý người dùng chặc chẽ và tập trung, một giải pháp tối ưu được đặt ra đó là sử dụng dịch vụ chứng thực RADIUS kết hợp với WPA2 Với dịch vụ chứng thực này, 33 Bảo mật mạng WLAN bằng chứng thực RADIUS người dùng không dùng chung một “share key” mà có tên đăng nhập và mật khẩu riêng, được quản lý bởi server AAA Cụ thể về dịch vụ xác thực sẽ được trình bày trong... quá trình chuyển vùng 16 Bảo mật mạng WLAN bằng chứng thực RADIUS Hình 2 Mô hình mạng ESS 2.3.Các hình thức tấn công phổ biến trong WLAN Tấn công và phòng chống trong mạng WLAN là vấn đề được quan tâm đến rất nhiều hiện nay bởi các chuyên gia trong lĩnh vực bảo mật Nhiều giải pháp tấn công và phòng chống đã được đưa ra nhưng cho đến bây giờ chưa có giải pháp nào được gọi là bảo mật an toàn, cho đến hiện... hóa để trộm mật khẩu của người dùng Access Point giả mạo được thiết lập bởi chính nhân viên của công ty: Vì sự tiện lợi của mạng không dây một số nhân viên của công ty đã tự trang bị Access Point và kết nối chúng vào mạng có dây của công ty Do 19 Bảo mật mạng WLAN bằng chứng thực RADIUS không hiểu rõ và nắm vững về bảo mật trong mạng không dây nên họ vô tình tạo ra một lỗ hổng lớn về bảo mật Những... không đảm bảo tính bảo mật như khi sử dụng tại doanh nghiệp Để bảo mật mạng WLAN, ta cần thực hiện qua các bước: Authentication Encryption IDS & IPS Chỉ có những người dùng được xác thực mới có khả năng truy cập vào mạng thông qua các Access Point Các phương thức mã hoá được áp dụng trong quá trình truyền các thông tin quan trọng Bảo mật các thông tin và cảnh báo nguy cơ bảo mật bằng hệ thống... phủ Mỹ để bảo vệ các thông tin nhạy cảm Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES (Digital Encryption standanrd) Để đảm bảo về mặt hiệu năng, quá trình mã hóa cần thực hiện trong các thiết bị phần cứng như tích hợp vào chip Tuy nhiên, rất ít người sử dụng mạng không dây quan tâm tới vấn đề này Hơn nữa, hầu 30 Bảo mật mạng WLAN bằng chứng thực RADIUS hết... của AP thì AP sẽ ngăn chặn không cho phép client đó kết nối vào mạng 31 Bảo mật mạng WLAN bằng chứng thực RADIUS Nếu công ty có nhiều client thì có thể xây dựng máy chủ RADIUS có chức năng lọc địa chỉ MAC thay vì AP Cấu hình lọc địa chỉ MAC là giải pháp bảo mật có tính mở rộng cao - Lọc giao thức Mạng LAN không dây có thể lọc các gói đi qua mạng dựa trên các giao thức từ lớp 2 đến lớp 7 Trong nhiều trường . Bảo mật mạng WLAN bằng chứng thực RADIUS MỤC LỤC 1 Bảo mật mạng WLAN bằng chứng thực RADIUS DANH MỤC HÌNH VẼ Hình 3. 1 Kết quả cấu hình cấp. 12 Bảo mật mạng WLAN bằng chứng thực RADIUS Hình 2. Thiết bị Wireless Router Wireless NICs: Là các thiết bị được máy khách dùng để kết nối vào AP. 13 Bảo mật mạng WLAN bằng chứng thực RADIUS Hình. vào mạng. Điều này dẫn đến vấn đề nghiêm trọng về bảo mật mạng WLAN. Chính vì vậy, em đã chọn đề tài Bảo mật mạng WLAN bằng chứng thực RADIUS để làm đề tài cho đồ án. Trong quá trình thực