TRNG AI HOC s PHAM H NễI * KHOA CễNG NGH THễNG TIN BI MINH NGN BO MT MNG WLAN BNG PHNG PHP XC THC KHểA LUN TT NGHIấP AI HOC C huyờn ngnh: S phm tn hc H N I-N M 2016 * * TR N G I HC H N I s PHM K H O A Cễ NG NGH TH ễ N G TIN BI MINH NGN BO MT MNG WLAN BNG PHNG PHP XC THC KHểA LUN TểT NGHIP I HC Chuyờn ngnh: S phm Tin hc Ngi hng dn khoa hc: PGS.TS Trnh ỡnh Thng H NI - NM 2016 LI CM N Trong quỏ trỡnh thc hin ti Bo mt mng WLAN bng phng phỏp xỏc thc, ngoi s c gng ca bn thõn, tụi ó nhn c s giỳp tn tỡnh, to iu kin ca cỏc thy cụ giỏo khoa Cụng ngh Thụng tin, c bit l thy giỏo hng dn: PGS TS Trnh ỡnh Thng cựng ton th gia ỡnh v bn bố Em xin by t lũng bit n sõu sc ti Phú giỏo s Tin s Trnh ỡnh Thng ó tn tỡnh giỳp em sut quỏ trỡnh nghiờn cu v thc hin khoỏ lun tt nghip Em xin lũi cm n n quý thy cụ giỏo khoa Cụng ngh Thụng tin trng i hc S phm H Ni ó to iu kin quan tõm giỳp em thi gian hon thin ti õy l ln u tiờn lm quen vi cụng vic nghiờn cu, ni dung ca cun khoỏ lun khụng nhng thiu sút Em rt mong nhn c s úng gúp quý bỏu ca thy cụ giỏo v cỏc bn sinh viờn Sinh viờn thc hin Bựi Minh Ngõn LI CAM OAN Tụi xin cam oan ti: BO MT MNG WLAN BNG PHNG PHP XC THC l kt qu m tụi trc tip nghiờn cu Trong quỏ trỡnh nghiờn cu tụi ó s dng ti liu ca mt s tỏc gi, nhiờn ú ch l c s tụi rỳt c nhng cn tỡm hiu ti ca mỡnh õy l kt qu ca cỏ nhõn tụi, hon ton khụng trựng vúi kt qu ca tỏc gi khỏc Nu sai tụi hon ton chu trỏch nhim Sinh viờn Bựi Minh Ngõn MC LC CHNG I - TNG QUAN V MNG W LAN 1.1 Khỏi nim v lch s hỡnh thnh mng WLAN [2,4] .3 1.2 Cỏch lm vic ca mng W LAN 1.3 Cỏc chun thụng dng ca W LAN[2,3] 1.3.1 Chun 802.11 1.3.2 Chun 802.11a 1.3.3 Chun 802.11b 1.3.4 Chun 802.1 l g 1.3.5 Chun 802.l l n 1.4 Cu trỳc v mt s mụ hỡnh mng WLAN[2,3] 1.4.1 Cu trỳc c bn ca mng W LAN 1.4.2 Cỏc thit b h tng mng W L A N 10 1.4.3 Cỏc mụ hỡnh mng W L A N 14 1.5 ỏnh giỏ u im, nhc im v thc trng mng WLAN hin 16 1.5.1 u im 16 1.5.2 Nhc im 17 1.5.3 Thc trng s dng mng WLAN hin n a y 18 CHNG II HèNH THC TN CễNG V PHNG PHNG PHP BO MT MNG WLAN ! 19 2.1 Gii thiu .19 2.2 Mt s hỡnh thc tn cụng mng WLAN hin [5] 19 2.2.1 De-authentication A ttack 19 2.2 Rogue Access Point (gi mo A P ) 20 2.2.3 Tn cụng da trờn s cm nhn lp vt l 21 2.2.4 Disassociation Attack (Tn cụng ngt kt n i) 22 2.2.5 Deny o f Service Attack (D o s) 23 2.2.6 Passive Attack (Tn cụng b ng) 24 2.2.7 Active Attack Tn cụng ch ng) 25 2.2.8 Jamming Attacks (Tn cụng chốn ộ p ) 25 2.3 Cỏc gii phỏp bo mt mng WLAN [2,4] .26 2.3.1 W EP 27 2.3.2 WLAN VPN 28 2.3.3 TKIP (TEMPORAL KEY INTEGRITY P R O TO C O L) 29 2.3.4 A E S 30 2.3.5 802.1XV E A P 30 2.3.6 WPA (WI-FI PROTECTED ACCESS) 32 2.3.7 W PA2 33 2.3.8 LC (FILTERING) 33 CHNG III BO MAT WLAN BNG PHNG PHP XC THC RADIUS SERVER V WPA2 36 4.1 Gii thiu tng quan .36 4.1.1 Xỏc thc, cap phộp v kim toỏn 36 4.1.2 S bo mt v tnh m r n g 38 4.1.3 p dng RADIUS cho W LAN 39 4.1.4 Chng ta s la chn mỏy ch RADIUS nh th no l hp lý ? 40 4.2 Mụ t h th n g 41 4.3 Quy trỡnh ci t 42 Bc 1: Ci t Network Policy and Access Services R o le 42 Bc 2: c u hỡnh cỏc b iu khin hoc AP khụng d õ y 47 Bc 3: Ci t chng ch CA tờn mỏy khỏch 47 Bc 4: c u hỡnh cỏc thit lp mng trờn mỏy khỏch 49 Bc 5: Ket noi v ng nhp 51 4.4 DEMO 52 KẫT LUN V HNG PHT TRIN .53 TI LIU THAM KHO 54 DANH MC BNG BIU Bng 1.1 Mt s thụng s k thut ca chun IEEE 802.1 la Bng 1.2 Mt s thụng s k thut ca chun IEEE 802.1 lb Bng 1.3 Mt s thụng s k thut ca chun IEEE 802.1 lg Bng 1.4 Mt s thụng s k thut ca chun IEEE 802.1 ln DANH MC NH V Hỡnh 1.1 - H thng MIMO NxM cú N kờnh phỏt v M kờnh thu Hỡnh - Cu trỳc c bn ca mt mng WLAN Hỡnh 1.3 - Access Point Linksys Hỡnh 1.4 - Ch Root Mode Hỡnh 1.5 - Ch Bridge Mode Hỡnh - Ch Repeater Mode Hỡnh 1.7 - Card PCI Wireless Hỡnh 1.8 -Card PCMCIA Wireless Hỡnh 1.9 -Card USB Wireless Hỡnh 1.10- Mụ hỡnh mng AD HOC Hỡnh 1.11 - Mụ hỡnh mng c s Hỡnh 1.12- Mụ hỡnh mng m rng Hỡnh2.1 - Mụ hỡnh Deauthentication Attack Hỡnh 2.2 - Mụ hỡnh Disassociation Attack Hỡnh 2.3 - Mụ t tn cụng theo kiu chốn ộp Hỡnh 2.4 Truy cp trỏi phộp mng khụng dõy Hỡnh 2.5 Mụ hỡnh WLAN VPN Hỡnh 2.6 Mụ hỡnh hot ng xỏc thc 802.lx Hỡnh 2.7 Tin trỡnh xỏc thc MAC Hỡnh 2.8 Lc giao thc Hỡnh 3.1 Mụ hỡnh xỏc thc gia Wireless Clients v RADIUS Server Hỡnh 3.2 Weless Clients, AP v RADIUS Server Hỡnh 3.3: Ci t Network Policy and Access Services role Hỡnh 3.4: Tớch chn mt s dch v Role services Hỡnh 3.5: Chn RADIUS server for 802.1X Hỡnh 3.6: Chn bo mt cỏc kt ni khụng dõy Hỡnh 3.7: Nhp vo cỏc thụng tin chi tit cho b iu khin hay im truy cp khụng dõy ca bn Hỡnh 3.8: B sung cỏc nhúm ngi dựng m bn mun h cú th kt ni Hỡnh 3.9: Kớch nỳt Configure nh ngha cỏc thit lp VLAN Hỡnh 3.10: Export chng ch CA ci t vo cỏc mỏy khỏch Hỡnh 3.11: Ci t chng ch CA vo mỏy khỏch Hỡnh 3.12: Chn PEAP lm phng phỏp nhn thc Hỡnh 3.13: Cu hỡnh cỏc thuc tớnh PEAP Hỡnh 3.14: Ca s ng nhp Hỡnh 3.15 Kt qu ng nhp vo h thng Hỡnh 3.16: Trng thỏi kt ni DANH MC CM T VIT TT T vit tt Ngha ting Anh Ngha ting Vit AAA Authentication, Xỏc thc, cõp quyờn, Access iu khin truy xut Authorization, Control ACK ACKnowldge AES Advanced Phn hụi - ỏp li Encryption Chuõn mó húa tiờn tiờn Standard AP Access Point BRAN Broadband iờm truy cp Access Mng truy nhp vụ Radio Network tuyn bng rng BSS Basic Services Set Mụ hỡnh mng c s CCK Compimentary Code Keying K thut khoỏ mó bự CHAP Challenge-handshake Giao thc xỏc thc yờu authentication protocol cu bt tay CSMA/CD Carrier Sense Multiple a truy nhp nhn biờt Access súng mang vi kh with Collision Detection nng phỏt hin xung t DES Data Encryption Standard Chuõn mó hoỏ d liu DS Distribution System H thụng phõn phụi DSSS Direct Sequence Spectrum EAP Extensible Spread K thut tri phụ tuõn t trc tip Authentication Giao thc xỏc thc m Protocol rng ESS Extended Service Set Dch v m rng ETSI European Vin Tiờu Chuõn Viờn Telecommunications Thụng Chõu u Standards Institute mt dng Attribute-Value, h tr cho nhiu cụng ngh khỏc nhau, v nhiu phng thc xỏc thc khỏc Mt chun c nh ngha ong Attribute-Value pairs (cp ụi), bao gm User-Name, User-Pass word, NASIPAddress, NAS-Port, Service-Type Cỏc nh sn xut (vendors) cng cú th nh ngha Attribute-Value pairs mang cỏc thụng tin ca mỡnh nh Vendor-Specific ton b vớ d ny c miờu t ong RFC 2548 - nh ngh Microsoft Attribute-Value pair MS-CHAP 4.1.3 p dng RADIUS cho WLAN Trong mt mng Wireless s dng 802 Ix Port Access Control, cỏc mỏy trm s dng wireless vi vai trũ Remote User v Wireless Access Point lm vic nh mt Network Access Server (NAS) thay th cho vic kt ni n NAS vi dial-up nh giao thc ppp, wireless station kt ni n Access Point bng vic s dng giao thc 802.11 Mt quỏ trỡnh c thc hin, wireless station gi mt message EAPStart ti Access Point Access Point s yờu cu station nhn dng v chuyn cỏc thụng tin ú ti mt AAA Server vi thụng tin l RADIUS AccessRequest User-Name attribute Mỏy ch AAA v wireless station hon thnh quỏ trỡnh bng vic chuyn cỏc thụng tin RADIUS Access-Challenge v Access-Request qua Access Point c quyt nh bi phớa trờn l mt dng EAP, thụng tin ny c chuyn mt ng hm c mó hoỏ TLS (Encypted TLS Tunnel) Nu mỏy ch AAA gi mt message Access-Accept, Access Point v wireless station s hon thnh quỏ trỡnh kt ni v thc hin phiờn lm vic vi vic s dng WEP hay TKIP mó hoỏ d liu V ti im ú, Access Point s khụng cm cng v wireless station cú th gi v nhn d liu t h thng mng mt cỏch bỡnh thng 39 cn lu ý l mó hoỏ d liu t wireless station ti Access Point khỏc vi quỏ trnh mó hoỏ t Access Point ti mỏy ch AAA Server (RADIUS Server) Nu mỏy ch AAA gi mt message Access-Reject, Access Point s ngt kt ni ti station Station cú th c gng th li quỏ trỡnh xỏc thc, nhng Access Point s cm station ny khụng gi c cỏc gúi tin ti cỏc Access Point gn ú Chỳ ý l station ny hon ton cú kh nng nghe c cỏc d liu c truyn i t cỏc stations khỏc - Trờn thc t d liu c truyn qua súng radio v ú l cõu li ti bn phi mó hoỏ d liu truyn ong mng khụng dõy Attribute-Value pare bao gm message ca RADIUS cú th s dng bi mỏy ch AAA quyt nh phiờn lm vic gia Access Point v wireless station, nh Sesstion-Timeout hay VLAN Tag (Tunnel- Type=VLAN, Tunnel-Private-Group-ID=tag) Chớnh xỏc cỏc thụng tin thờm vo cú th ph thuc vo mỏy ch AAA Server hay Access Point v station bn s dng 4.1.4 Chỳng ta s la chn mỏy ch RADIUS nh th no l hp lý? Phn ny s trỡnh by vic qun lý s dng ng dng cng nh giỏ c ca mt mỏy ch RADIUS nu c trin khai s l bao nhiờu cú th phự hp vi doanh nghip Trong phn trờn, chỳng ta ó hiu c mỏy ch RADIUS cung cp xỏc thc cho 802.Ix Port Access Control Chỳng ta cn quan tõm n vic trin khai cỏc tu chn cho cỏc gii phỏp s dng chun 802 lx Vic qun lý s dng ng dng ny cng nh giỏ c ca mt mỏy ch RADIUS nu c trin khai s l bao nhiờu cú th phự hp vi doanh nghip 40 4.2 Mụ t h thng Hỡnh 3.2 Wireless Clients, AP v RADIUS Server Mng WLAN bn thõn nú l khụng bo mt, nhiờn i vi mng cú dõy nu bn khụng cú mt s phũng nga hay cu hỡnh bo y gỡ thỡ nú cng chng bo mt gỡ im mu cht to mt mng WLAN bo mt l phi trin khai cỏc phng phỏp bo mt thit yu cho WLAN giỳp cho h thng mng ca mỡnh c an ton hn Nhm ngn chn nhng truy cp mng trỏi phộp m mỡnh khụng mong mun Khi ú client mun truy cp vo mng thỡ phi ng nhp ỳng username v password hp l Quỏ trỡnh xỏc thc ny c iu khin bi RADIUS server Mụ t yờu cu: - Cu hỡnh RADIUS server trờn Window Server 2008, to user v password cho cỏc client d nh tham gia vo mng - Trờn TP-LINK , thit t security mode l WPA2-Enterprise - Cho PC tham gia vo mng, kim a kt ni 41 Thỏt b yờu cu: - AP Tp-link TL-WR740N - pc (1 pc c gn card wkeless v pc lm Radius server) PC lm Radius server s dng h iu hnh Windows Server 2008 Enterprise Edition v ó c nõng lờn Domain Controller, PC lm wireless client s dng h iu hnh Windows XP (hoc Win 7, Win 10 ) 4.3 Quy trỡnh c t Bc 1: Ci t Network Policy and Access Services Role Ta vo Start chn Server Manager Click vo Add Roles xut hin hi thoi Add Roles Wizard, sau ú tớch chn Network Policy and Access Services Select Server Rolrti Sefect on? or t jobte nrtaonth^ server R fifes: D M W W W fU (tetwwk M tớ *nj ftcôss3ôiitMs ằô5 ' ằằ :iA - il L , Active Drectoty Fedeejttron servees Active E re c to r Y ijghtweigN Dreeory Seroces ĩ CH CPServer r~wiveelectorRichtsMaraaôwt5w>iwi Apdewar Server R es ls W w w gfr,P Q teyyằd ptvtớôK iiV iC rfkPdt Y server(fP5>, Poutn ônaRemofằ Aiỷws, R ote5ô R ô g tslralb n A i^hoffty (HRA), and H Crederỡbụi iUrthon satan Protoed s-afogu&'d the health *>Mrjrfcyâf KMM*rôctL pa* 5e*vđf f itS :rv i:c Bl M M hPakf Q PrrtrSetvces n arid Acceg Ssrytes rằlùằttl5mtt85 ' UD5I SôrôM Q W rdcw iD epleym eneS ervice* ttorfca frft* J g n t PCJCflfrf P V c y o u s M ốxt ằ Hỡnh 3.3: Ci t Network Policy and Access Services role Chn cỏc mc c lit kờ di õy (hỡnh 3.4): Network Policy Server Routing and Remote Access Servers Remote Access Services Routing 42 & ScUhMRate Sefwliô Befa-iVouBwi s*4ôt tfwIô * *ằnrinsC O C rftai farPiM w oA Pstcvaw lftccftS5-5ôM côi Roeôfvfcô: D escripijor: fùtttwci k frcfcy Server Jb w s you to c re a te and enforce orđ *ôraw eft-w ằdenetw orkKt poktesF o rcH snthealth, correction reque*!9ukhenW cation,.-and ( o m e t ỹ o r r e f ju o t awthcrci>hon W feh 5, younn alsodepfby HsbwkA cceisprotectw a Hinh 3.4: Tớch chn mt s dch v ong Rụle services Sau click Intall ci t Lỳc ny bn cú tỡi bt u vic cu hỡnh NPS vi chc nng RADIUS: kớch Start, ỏnh nps.msc v nhn Enter Tip theo ta vo Start Administrative Tool ^ Network Policy Server Vi tựy chn Standard Configuration, chn RADIUS server for 802.IX Wkeless or Wired Connections(xem hỡnh 3.5) t menu s xung Pif ớtớlon view H * ự~ &'rpitU>tôợf W ặ B jSQ w rtU*rtj A rvorc I P o to s '* *ôM 5Pằôeiwn j A cũirtpi G tllditi) S larlfrd & N*Vo*k Pobcy sô v * ằ il-iPS J ô*ỗ*-n W! to ctô*bằ a r d tr io r c ô Q iaanỗato* ôMằ6* ô***ằ k ô * * * pỡcằằ> I ô Cte*he40t\ ewwkr t ^ ằ ằ c m j i f f t mh a g ^ Und**d CoftfrQurj1ớon a li iớằ fjn Ju ibcrt I ^ ố rt i ljú ^ 1hằla( Wô1 tW i leớii fhộ VA teM l flầiArt 01ô rtM -in ú wa3-W [N eớvôoA C C M frỷằehỷ*(ớaA P l [NeSwH Ace ôfil Pr-eeổn IMAPl IR & ftllfSợcrvftfoi C itaiU pe t V f-T Jflorr^cfaoctt cortijLisona ớớ'iFcôal)4ằi.Urớ com cô: beúằ Ihwcorraci inou rw w u* ctfrti Ih*ôiiMcaretart i H h M i (ôICy c a t h i d i u d W A J i U M M I M v d M o T u l Ê i l j i L M ô M leb v < * m r l a ; u ô ỷ r r ằ o ContaHW P A 4yanc4*d configuration Hỡnh 3.5: Chn RADIUS server for 802.IX 43 Kớch Configure 802 IX Vi Type of 802.IX connections, chn Secure Wireless Connections (xem hỡnh 3.6) v kớch Next 13 Select 802 IX Connections T y p e ot IX c o n n e c tio n s: i* S e c u re W * e le ô C o ririe c tio n s When you dechp 802.1X wireless access * on - nelwctk, WPS can autheriicate end eUthocize connection lequests made by wireless clients connecting Ihfough the access points f' SiicaiWted (1Ê) Ccirmftctioris When you deploy 602 authenticating switches on network, NPS can atfhenfocate -end etiborfce connection requests n>ade by Ethernet d ents qonneqtwig ihipggh (he switches: T his d d aJt te*l Iằ u*ed frs pô1( of the rwrv? For each of Hie created with this wizard You cen use the default tad or modiy il |SfecurằW irelett Comectiore Hỡnh 3.6: Chn bo mt cỏc kt ni khụng dõy Vi mi b iu khin hoc im truy cp khụng dõy, kớch Add to mt entry mỏy khỏch RADIS mi Nhng nhng gỡ th hin hỡnh 3.7, chỳng ta s phi ch nh tờn, õy l th giỳp bn d phõn bit, a ch IP hoc DNS v mt chia s Shared Secret 44 Configure 802.1X Specifv 802, IX Switches S Please speciFy IX sw iches or W ireless Access Points (RADIUS clients) RADIUS denis aie net-work access servers, such as atiherticahng switches and wieiess access point RADIUS clients are not client computers T0 ỡtreciớ a RADIUS ctent.dck Add N e w R A D I U S C lie n t Nrùie-sndAddiộii Add., Fiiốridly nafne; Addles* (IP 01 DNS]: Verify Shared Secret To manually type a sHsied $n *>.4 Ouni w , ẫM i ttớôw P*4W JC *M i M B ự Ê > ô 'TaôCr rô *9i K K A C M -J( Yô* r91' U W 2H M 2ằ : K 1MK.H nôte>S'C 1i f l U '54 ise ! ô IV ! ô n i r s iH ia t Tô HO l i u ằớô V#B im \ i: PKt, Bi**a r.ớtro s s * ô * ' Hỡnh 3.16: Trng thỏi kt ni 52 KT LUN V HNG PHT TRIN Kt luõn Thụng qua vic tỡm hiu v mng khụng dõy c bit l mng cc b khụng dõy, tụi ó cú c cỏc kin thc v cỏc chun, cu trỳc mng, cỏc bo mt v trin khai h thng mng cc b khụng dõy Vic phỏt trin mng khụng dõy tht s em li hiu qu vi s thun li s dng cỏc thit b cú tớnh di ng cao v bo mt c t lờn hng u Do vy tụi ó chn phng phỏp xỏc thc RADIUS Server kt hp vi phng phỏp mó húa WPA2 nhm xut gii phỏp bo mt WLAN Bo mt WLAN bng phng phỏp xỏc thc l mt nhng gii phỏp bo mt mnh hin Núi nh th khụng cú ngha gii phỏp ny l hon ton bt kh xõm phm, ờn thc t mun bo mt tt h thng ca mỡnh thỡ khụng ch yu t phn cng hay phn mm m cũn c yu t ngi Hng phỏt trin ng dng cụng ngh Smart Card vic bo mt WLAN Nghiờn cu v cụng ngh WMAN (IEEE 802.16), WWAN (IEEE 802.20) Tỡm hiu cỏc yờu cu, mụ hỡnh thit k, trin khai v bo mt h thng WMAN, WWAN 53