Đang tải... (xem toàn văn)
CHƯƠNG 1. MẠNG CỤC BỘ KHÔNG DÂY 1.1 TỔNG QUAN VỀ WLAN 1.1.1 Lịch sử hình thành và phát triển Mạng LAN không dây viết tắt là WLAN (Wireless Local Area Network), là một mạng dùng để kết nối hai hay nhiều máy tính với nhau mà không sử dụng dây dẫn. WLAN dùng công nghệ trải phổ, sử dụng sóng vô tuyến cho phép truyền thông giữa các thiết bị trong một vùng nào đó. Công nghệ WLAN lần đầu tiên xuất hiện vào cuối năm 1990. Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần 2.4Ghz Năm 1997, Institute of Electrical and Electronics Engineers (IEEE) đã phê chuẩn sự ra đời của chuẩn 802.11. Năm 1999, IEEE thông qua hai sự bổ sung cho chuẩn 802.11 là các chuẩn 802.11a và 802.11b Năm 2003, IEEE công bố thêm một sự cải tiến là chuẩn 802.11g mà có thể truyền nhận thông tin ở cả hai dãy tần 2.4Ghz và 5Ghz và có thể nâng tốc độ truyền dữ liệu lên đến 54Mbps. 1.1.2 Ưu điểm của WLAN Sự tiện lợi Khả năng di động Hiệu quả Triển khai Khả năng mở rộng 1.1.3 Nhược điểm của WLAN Bảo mật Phạm vi Độ tin cậy Tốc độ 1.2 CÁC CHUẨN THÔNG DỤNG CỦA WLAN Hiện nay tiêu chuẩn chính cho Wireless là một họ giao thức truyền tin qua mạng không dây IEEE 802.11. Do việc nghiên cứu và đưa ra ứng dụng rất gần nhau nên có một số giao thức đã thành chuẩn của thế giới, một số khác vẫn còn đang tranh cãi và một số còn đang dự thảo. Một số chuẩn thông dụng như: 802.11b (cải tiến từ 802.11), 802.11a, 802.11g, 802.11n.
Báo cáo đò án tốt nghiệp Khoa Điện tử CHƯƠNG MẠNG CỤC BỘ KHÔNG DÂY 1.1 TỔNG QUAN VỀ WLAN 1.1.1 Lịch sử hình thành phát triển Mạng LAN không dây viết tắt WLAN (Wireless Local Area Network), mạng dùng để kết nối hai hay nhiều máy tính với mà không sử dụng dây dẫn WLAN dùng công nghệ trải phổ, sử dụng sóng vô tuyến cho phép truyền thông thiết bị vùng Công nghệ WLAN lần xuất vào cuối năm 1990 Năm 1992, nhà sản xuất bắt đầu bán sản phẩm WLAN sử dụng băng tần 2.4Ghz Năm 1997, Institute of Electrical and Electronics Engineers (IEEE) phê chuẩn đời chuẩn 802.11 Năm 1999, IEEE thông qua hai bổ sung cho chuẩn 802.11 chuẩn 802.11a 802.11b Năm 2003, IEEE công bố thêm cải tiến chuẩn 802.11g mà truyền nhận thông tin hai dãy tần 2.4Ghz 5Ghz nâng tốc độ truyền liệu lên đến 54Mbps 1.1.2 Ưu điểm WLAN • Sự tiện lợi • Khả di động • Hiệu • Triển khai • Khả mở rộng 1.1.3 Nhược điểm WLAN • Bảo mật • Phạm vi • Độ tin cậy • Tốc độ 1.2 CÁC CHUẨN THÔNG DỤNG CỦA WLAN Hiện tiêu chuẩn cho Wireless họ giao thức truyền tin qua SVTH: La Văn Dương, lớp ĐT – K11 Trang Báo cáo đò án tốt nghiệp Khoa Điện tử mạng không dây IEEE 802.11 Do việc nghiên cứu đưa ứng dụng gần nên có số giao thức thành chuẩn giới, số khác tranh cãi số dự thảo Một số chuẩn thông dụng như: 802.11b (cải tiến từ 802.11), 802.11a, 802.11g, 802.11n 1.2.1 Chuẩn IEEE 802.11b Bảng 1.1 Một số thông số kỹ thuật chuẩn IEEE 802.11b Release Date Op Frequency Data Rate (Typ) Data Rate (Max) Range (Indoor) October 1999 2.4 GHz 4.5 Mbit/s 11 Mbit/s ~35 m 1.2.2 Chuẩn IEEE 802.11a Bảng 1.2 Một số thông số kỹ thuật chuẩn IEEE 802.11a Release Date Op Frequency Data Rate (Typ) Data Rate (Max) Range (Indoor) October 1999 GHz 23 Mbit/s 54 Mbit/s ~35 m 1.2.3 IEEE 802.11g Bảng 1.3 Một số thông số kỹ thuật chuẩn IEEE 802.11g Release Date Op Frequency Data Rate (Typ) Data Rate (Max) Range (Indoor) June 2003 2.4 GHz 23 Mbit/s SVTH: La Văn Dương, lớp ĐT – K11 54 Mbit/s ~35 m Trang Báo cáo đò án tốt nghiệp Khoa Điện tử 1.2.4 Chuẩn IEEE 802.11n Bảng 1.4 Một số thông số kỹ thuật chuẩn IEEE 802.11n Release Date Data Rate Op Frequency June 2009 GHz and/or 2.4 (est.) GHz (Typ) 74 Mbit/s Data Rate (Max) 300 Mbit/s (2 streams) Range (Indoor) ~70 m Ngoài chuẩn phổ biến nêu nhiều chuẩn IEEE 802.1x khác như: IEEE 802.1i, IEEE 802.1h, … 1.3 CẤU TRÚC VÀ CÁC MÔ HÌNH WLAN 1.3.1 Cấu trúc WirelessLAN Có thành phần loại mạng sử dụng chuẩn 802.11: o Hệ thống phân phối (DS _ Distribution System) o Điểm truy cập (Access Point) o Tần liên lạc vô tuyến (Wireless Medium) o Trạm (Stattions) 1.3.2 Các thiết bị hạ tầng mạng không dây • Điểm truy cập: AP (Access Point) Cung cấp cho máy khách(client) điểm truy cập vào mạng "Nơi mà máy tính dùng wireless vào mạng nội công ty" AP thiết bị song công(Full duplex) có mức độ thông minh tương đương với chuyển mạch Ethernet phức tạp (Switch) • Các chế độ hoạt động AP AP giao tiếp với máy không dây, với mạng có dây truyền thống với AP khác Có Mode hoạt động AP: Root mode, Bridge mode Repeater mode • Các thiết bị máy khách WLAN Là thiết bị WLAN máy khách sử dụng để kết nối vào WLAN o Card PCI Wireless o Card PCMCIA Wireless o Card USB Wireless SVTH: La Văn Dương, lớp ĐT – K11 Trang Báo cáo đò án tốt nghiệp Khoa Điện tử 1.3.2 Các mô hình WLAN Mạng 802.11 linh hoạt thiết kế, gồm mô hình mạng sau: Mô hình mạng độc lập (IBSSs) hay gọi mạng Ad hoc Mô hình mạng sở (BSSs) Mô hình mạng mở rộng (ESSs) i) Mô hình mạng AD HOC (Independent Basic Service Sets (IBSSs) ) Hình 1.12 Mô hình mạng AD HOC ii) Mô hình mạng sở (Basic service sets (BSSs) ) Hình 1.13 Mô hình mạng sở SVTH: La Văn Dương, lớp ĐT – K11 Trang Báo cáo đò án tốt nghiệp Khoa Điện tử iii) Mô hình mạng mở rộng (Extended Service Set (ESSs)) Hình 1.14 Mô hình mạng mở rộng 1.4 THỰC TRẠNG VỀ BẢO MẬT WLAN HIỆN NAY Nếu số thống kê người dùng mạng không dây nhà có đến người không kích hoạt chế độ bảo mật Mặc định, nhà sản xuất tắt chế độ bảo mật việc thiết lập ban đầu dễ dàng, sử dụng bạn phải mở lại Tuy nhiên, cần phải cẩn thận kích hoạt tính bảo mật, số sai lầm thường gặp phải • Sai lầm Không thay đổi mật nhà sản xuất • Sai lầm Không kích hoạt tính mã hóa • Sai lầm Không kiểm tra chế độ bảo mật • Sai lầm Quá tích cực với thiết lập bảo mật mà không nhớ địa MAC máy tính • Sai lầm Cho phép người truy cập SVTH: La Văn Dương, lớp ĐT – K11 Trang Báo cáo đò án tốt nghiệp Khoa Điện tử CHƯƠNG CÁC HÌNH THỨC TẤN CÔNG WLAN Theo nhiều tài liệu nghiên cứu, để công vào mạng WLAN Attacker sử dụng cách sau: Rogue Access Point De-authentication Flood Attack Fake Access Point Tấn công dựa cảm nhận lớp vật lý Disassociation Flood Attack 2.1 ROGUE ACCESS POINT i) Định nghĩa Access Point giả mạo dùng để mô tả Access Point tạo cách vô tình hay cố ý làm ảnh hưởng đến hệ thống mạng có Nó dùng để thiết bị hoạt động không dây trái phép mà không quan tâm đến mục đích sử dụng chúng ii) Phân loại Access Point cấu hình không hoàn chỉnh Access Point giả mạo từ mạng WLAN lân cận Access Point giả mạo kẻ công tạo Access Point giả mạo thiết lập nhân viên công ty 2.2 TẤN CÔNG YÊU CẦU XÁC THỰC LẠI Kẻ công xác định mục tiêu công người dùng mạng wireless kết nối họ (Access Point đến kết nối nó) Chèn frame yêu cầu xác thực lại vào mạng WLAN cách giả mạo địa MAC nguồn đích Access Point người dùng Người dùng wireless nhận frame yêu cầu xác thực lại nghĩ chúng Access Point gửi đến Sau ngắt người dùng khỏi dịch vụ không dây, kẻ công tiếp tục thực tương tự người dùng lại SVTH: La Văn Dương, lớp ĐT – K11 Trang Báo cáo đò án tốt nghiệp Khoa Điện tử Thông thường người dùng kết nối lại để phục hồi dịch vụ, kẻ công nhanh chóng tiếp tục gửi gói yêu cầu xác thực lại cho người dùng 2.3 FAKE ACCESS POINT Kẻ công sử dụng công cụ có khả gửi gói beacon với địa vật lý (MAC) giả mạo SSID giả để tạo vô số Access Point giả lập Điều làm xáo trộn tất phần mềm điều khiển card mạng không dây người dùng 2.4 TẤN CÔNG DỰA TRÊN SỰ CẢM NHẬN SÓNG MANG LỚP VẬT LÝ Ta hiểu nôm na là: Kẻ tất công lợi dụng giao thức chống đụng độ CSMA/CA, tức làm cho tất người dùng nghĩ lúc mạng có máy tính truyền thông Điều làm cho máy tính khác luôn trạng thái chờ đợi kẻ công truyền liệu xong dẫn đến tình trạng nghẽn mạng 2.5 TẤN CÔNG NGẮT KẾT NỐI Kẻ công xác định mục tiêu (wireless clients) mối liên kết AP với clients Kẻ công gửi disassociation frame cách giả mạo Source Destination MAC đến AP client tương ứng Client nhận frame nghĩ frame hủy kết nối đến từ AP Đồng thời kẻ công gởi disassociation frame đến AP Sau ngắt kết nối client, kẻ công tiếp tục thực tương tự với client lại làm cho client tự động ngắt kết nối với AP Khi clients bị ngắt kết nối thực kết nối lại với AP Kẻ công tiếp tục gởi disassociation frame đến AP clients • Có thể ta dễ nhầm lẫn kiểu công : Disassociation flood attack De-authentication Flood Attack Giống : Về hình thức công, cho chúng giống giống đại bác nòng , vừa công Access Point vừa công Clients Và quan trọng hết, chúng "nả pháo" liên tục Khác nhau: SVTH: La Văn Dương, lớp ĐT – K11 Trang Báo cáo đò án tốt nghiệp Khoa Điện tử De-authentication Flood Attack: Yêu cầu AP client gởi lại frame xác thực xác thực failed Disassociation flood attack : Gởi disassociation frame làm cho AP client tin tưởng kết nối chúng bị ngắt SVTH: La Văn Dương, lớp ĐT – K11 Trang Báo cáo đò án tốt nghiệp Khoa Điện tử CHƯƠNG CÁC GIẢI PHÁP BẢO MẬT WLAN 3.1 TẠI SAO PHẢI BẢO MẬT WLAN? • Những nguy bảo mật WLAN bao gồm: Các thiết bị kết nối tới Access Point broadcast SSID Hacker cố gắng tìm kiếm phương thức mã hoá sử dụng trình truyền thông tin mạng, sau có phương thức giải mã riêng lấy thông tin nhạy cảm Người dụng sử dụng Access Point gia đình không đảm bảo tính bảo mật sử dụng doanh nghiệp • Để bảo mật mạng WLAN, ta cần thực qua bước: Authentication Encryption IDS & IPS 3.2 WEP WEP (Wired Equivalent Privacy) có nghĩa bảo mật không dây tương đương với có dây Thực ra, WEP đưa xác thực người dùng đảm bảo an toàn liệu vào phương thức không an toàn WEP sử dụng khoá mã hoá không thay đổi có độ dài 64 bit 128 bit, (nhưng trừ 24 bit sử dụng cho vector khởi tạo khoá mã hoá, nên độ dài khoá 40 bit 104 bit) sử dụng để xác thực thiết bị phép truy cập vào mạng sử dụng để mã hoá truyền liệu 3.3 WLAN VPN Mạng riêng ảo VPN bảo vệ mạng WLAN cách tạo kênh che chắn liệu khỏi truy cập trái phép VPN tạo tin cậy cao thông qua việc sử dụng chế bảo mật IPSec (Internet Protocol Security) IPSec dùng thuật toán mạnh Data Encryption Standard (DES) Triple DES (3DES) để mã hóa liệu dùng thuật toán khác để xác thực gói liệu IPSec sử dụng thẻ xác nhận số để xác nhận khóa mã (public key) Khi sử dụng mạng WLAN, cổng kết nối VPN đảm nhận việc xác thực, đóng gói mã hóa SVTH: La Văn Dương, lớp ĐT – K11 Trang Báo cáo đò án tốt nghiệp Khoa Điện tử 3.4 TKIP (TEMPORAL KEY INTEGRITY PROTOCOL) Là giải pháp IEEE phát triển năm 2004 Là nâng cấp cho WEP nhằm vá vấn đề bảo mật cài đặt mã dòng RC4 WEP TKIP dùng hàm băm (hashing) IV để chống lại việc giả mạo gói tin, cung cấp phương thức để kiểm tra tính toàn vẹn thông điệp MIC (message integrity check) để đảm bảo tính xác gói tin TKIP sử dụng khóa động cách đặt cho frame chuỗi số riêng để chống lại dạng công giả mạo 3.5 AES Trong mật mã học, AES (viết tắt từ tiếng Anh: Advanced Encryption Standard, hay Tiêu chuẩn mã hóa tiên tiến) thuật toán mã hóa khối phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa Giống tiêu chuẩn tiền nhiệm DES, AES kỳ vọng áp dụng phạm vi giới nghiên cứu kỹ lưỡng AES chấp thuận làm tiêu chuẩn liên bang Viện tiêu chuẩn công nghệ quốc gia Hoa kỳ (NIST) sau trình tiêu chuẩn hóa kéo dài năm Thuật toán thiết kế hai nhà mật mã học người Bỉ: Joan Daemen Vincent Rijmen (lấy tên chung "Rijndael" tham gia thi thiết kế AES) Rijndael phát âm "Rhine dahl" theo phiên âm quốc tế (IPA: [ɹaindal]) 3.6 802.1X VÀ EAP 802.1x chuẩn đặc tả cho việc truy cập dựa cổng (port-based) định nghĩa IEEE Hoạt động môi trường có dây truyền thống không dây Việc điều khiển truy cập thực cách: Khi người dùng cố gắng kết nối vào hệ thống mạng, kết nối người dùng đặt trạng thái bị chặn (blocking) chờ cho việc kiểm tra định danh người dùng hoàn tất EAP phương thức xác thực bao gồm yêu cầu định danh người dùng (password, cetificate,…), giao thức sử dụng (MD5, TLS_Transport Layer Security, OTP_ One Time Password,…) hỗ trợ tự động sinh khóa xác thực lẫn • Quá trình chứng thực 802.1x-EAP Wireless client muốn liên kết với AP mạng AP chặn lại tất thông tin client client log on vào SVTH: La Văn Dương, lớp ĐT – K11 Trang 10 Báo cáo đò án tốt nghiệp Khoa Điện tử mạng, Client yêu cầu liên kết tới AP AP đáp lại yêu cầu liên kết với yêu cầu nhận dạng EAP Client gửi đáp lại yêu cầu nhận dạng EAP cho AP Thông tin đáp lại yêu cầu nhận dạng EAP client chuyển tới Server chứng thực Server chứng thực gửi yêu cầu cho phép tới AP AP chuyển yêu cầu cho phép tới client Client gửi trả lời cấp phép EAP tới AP AP chuyển trả lời tới Server chứng thực Server chứng thực gửi thông báo thành công EAP tới AP 10 AP chuyển thông báo thành công tới client đặt cổng client chế độ forward 3.7 WPA (WI-FI PROTECTED ACCESS) WEP xây dựng để bảo vệ mạng không dây tránh bị nghe trộm Nhưng nhanh chóng sau người ta phát nhiều lổ hỏng công nghệ Do đó, công nghệ có tên gọi WPA (Wi-Fi Protected Access) đời, khắc phục nhiều nhược điểm WEP Trong cải tiến quan trọng WPA sử dụng hàm thay đổi khoá TKIP WPA sử dụng thuật toán RC4 WEP, mã hoá đầy đủ 128 bit Và đặc điểm khác WPA thay đổi khoá cho gói tin Các công cụ thu thập gói tin để phá khoá mã hoá thực với WPA Bởi WPA thay đổi khoá liên tục nên hacker không thu thập đủ liệu mẫu để tìm mật Không thế, WPA bao gồm kiểm tra tính toàn vẹn thông tin (Message Integrity Check) Vì vậy, liệu bị thay đổi đường truyền WPA có sẵn lựa chọn: WPA Personal WPA Enterprise Cả lựa chọn sử dụng giao thức TKIP, khác biệt khoá khởi tạo mã hóa lúc đầu WPA Personal thích hợp cho gia đình mạng văn phòng nhỏ, khoá khởi tạo sử dụng điểm truy cập thiết bị máy trạm Trong đó, WPA cho doanh nghiệp cần máy chủ xác thực 802.1x để cung cấp khoá khởi tạo cho phiên làm việc SVTH: La Văn Dương, lớp ĐT – K11 Trang 11 Báo cáo đò án tốt nghiệp Khoa Điện tử 3.8 WPA2 Một giải pháp lâu dài sử dụng 802.11i tương đương với WPA2, chứng nhận Wi-Fi Alliance Chuẩn sử dụng thuật toán mã hoá mạnh mẽ gọi Chuẩn mã hoá nâng cao AES AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, 192 bit 256 bit Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia Chuẩn Công nghệ Mỹ, NIST (National Institute of Standards and Technology), thông qua thuật toán mã đối xứng Lưu ý: Chuẩn mã hoá sử dụng cho quan phủ Mỹ để bảo vệ thông tin nhạy cảm 3.9 LỌC (FILTERING) Lọc chế bảo mật sử dụng với WEP Lọc hoạt động giống Access list router, cấm không mong muốn cho phép mong muốn Có kiểu lọc sử dụng wireless lan: Lọc SSID Lọc địa MAC Lọc giao thức 3.10 KẾT LUẬN Cho điểm truy cập tự động (hotspots), việc mã hoá không cần thiết, cần người dung xác thực mà Với người dùng sử dụng mạng WLAN cho gia đình, phương thức bảo mật với WPA passphare hay preshared key khuyến cáo sử dụng Với giải pháp doanh nghiệp, để tối ưu trình bảo mật với 802.1x EAP làm phương thức xác thực TKIP hay AES làm phương thức mã hoá Được dựa theo chuẩn WPA hay WPA2 802.11i security Bảng 3.1 Escalating Security Open Access Basic Security Enhanced Remote Access Security - No encryption - WPA Passphase - 802.1x EAP - Virtual Private - Basic - WEP Encryption - Mutual Network (VPN) SVTH: La Văn Dương, lớp ĐT – K11 Trang 12 Báo cáo đò án tốt nghiệp anthentication - Home use Khoa Điện tử Anthentication - Business - Public - TKIP & AES Traveler “hotspots” Encrytion - Telecommuter - WPA/WPA2 - 802.11i Security Enterprise SVTH: La Văn Dương, lớp ĐT – K11 Trang 13 Báo cáo đò án tốt nghiệp Khoa Điện tử CHƯƠNG BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP CHỨNG THỰC RADIUS SERVER VÀ WPA2 4.1 GIỚI THIỆU TỔNG QUAN Việc bảo mật WLAN sử dụng chuẩn 802.1x kết hợp với xác thực người dùng Access Point (AP) Một máy chủ thực việc xác thực tảng RADIUS giải pháp tốt cung cấp xác thực cho chuẩn 802.1x 4.1.1 Xác thực, cấp phép kiểm toán Giao thức Remote Authentication Dial In User Service (RADIUS) định nghĩa RFC 2865 sau: Với khả cung cấp xác thực tập trung, cấp phép điều khiển truy cập (Authentication, Authorization, Accounting – AAA) cho phiên làm việc với SLIP PPP Dial-up – việc cung cấp xác thực nhà cung cấp dịch vụ Internet (ISP) dựa giao thức để xác thực người dùng họ truy cập Internet Khi user kết nối, NAS gửi message dạng RADIUS Access-Request tới máy chủ AAA Server, chuyển thông tin username password, thông qua port xác định, NAS identify, message Authenticator Sau nhận thông tin máy chủ AAA sử dụng gói tin cung cấp NAS identify, Authenticator thẩm định lại việc NAS có phép gửi yêu cầu không Nếu có khả năng, máy chủ AAA tìm kiểm tra thông tin username password mà người dùng yêu cầu truy cập sở lệu Nếu trình kiểm tra mang thông tin Access-Request định trình truy cập user chấp nhận Khi trình xác thực bắt đầu sử dụng, máy chủ AAA trả RADIUS Access-Challenge mang số ngẫu nhiên NAS chuyển thông tin đến người dùng từ xa (với ví dụ sử dụng CHAP) Khi người dùng phải trả lời yêu cầu xác nhận (trong ví dụ này, đưa lời đề nghị mã hoá password), sau NAS chuyển tới máy chủ AAA message RADIUS Access-Request Nếu máy chủ AAA sau kiểm tra thông tin người dùng hoàn toàn thoả mãn cho phép sử dụng dịch vụ, trả message dạng RADIUS SVTH: La Văn Dương, lớp ĐT – K11 Trang 14 Báo cáo đò án tốt nghiệp Khoa Điện tử Access-Accept Nếu không thoả mãn máy chủ AAA trả tin RADIUS Access-Reject NAS ngắt kết nối với user Khi gói tin Access-Accept nhận RADIUS Accounting thiết lập, NAS gửi mộtgói tin RADIUS Accounting-Request (Start) tới máy chủ AAA Máy chủ thêm thông tin vào file Log nó, với việc NAS cho phép phiên làm việc với user bắt đầu nào, kết thúc nào, RADIUS Accouting làm nhiệm vụ ghi lại trình xác thực user vào hệ thống, kết thúc phiên làm việc NAS gửi thông tin RADIUS Accounting-Request (Stop) 4.1.2 Sự bảo mật tính mở rộng Tất message RADIUS đóng gói UDP datagrams, bao gồm thông tin như: message type, sequence number, length, Authenticator, loạt Attribute-Value Authenticator: Tác dụng Authenticator cung cấp chế độ bảo mật NAS AAA Server sử dụng Authenticator để hiểu đuợc thông tin mã hóa mật chẳng hạn Authenticator giúp NAS phát giả mạo gói tin RADIUS Responses Cuối cùng, Authenticator sử dụng làm cho để biễn password thành dạng đó, ngăn chặn việc làm lộ mật người dùng message RADIUS Authenticator gửi Access-Request số ngẫu nhiên MD5 băm (hash) số ngẫu nhiên thành dạng riêng OR’ed cho mật người dùng gửi Access-Request User-Password Toàn RADIUS response sau MD5 băm (hash) với thông số bảo mật Authenticator, thông số response khác Authenticator giúp cho trình giao tiếp NAS máy chủ AAA bảo mật kẻ công tóm hai gói tin RADIUS Access-Request Access-Response thực "dictionary attack" để phân tích việc đóng gói Trong điều kiện thực tế để việc giải mã khó khăn bạn cần phải sử dụng thông số dài hơn, toàn vấn đề có khả nguy hại cho trình truyền tải miêu tả kỹ RFC 3580 Attribute-Value Pairs: Thông tin mang RADIUS đuợc miêu tả dạng Attribute-Value, để hỗ trợ cho nhiều công nghệ khác nhau, nhiều phương SVTH: La Văn Dương, lớp ĐT – K11 Trang 15 Báo cáo đò án tốt nghiệp Khoa Điện tử thức xác thực khác Một chuẩn định nghĩa Attribute-Value pairs (cặp đôi), bao gồm User-Name, User-Password, NAS-IPAddress, NAS-Port, Service-Type Các nhà sản xuất (vendors) định nghĩa Attribute-Value pairs để mang thông tin Vendor-Specific toàn ví dụ miêu tả RFC 2548 - Định nghĩ Microsoft Attribute-Value pair MS-CHAP Thêm vào đó, nhiều chuẩn Attribute-Value pairs định nghĩa nhiều năm để hỗ trợ Extensible Authentication Protocol (EAP), dạng khác cũ PAP CHAP dial-up protocol Bạn tìm thấy tài liệu RFC 3579 cho phiên RADIUS hỗ trợ EAP Trong phần nói rõ hỗ trợ xác thực cho WLAN, từ chuẩn EAP sử dụng cho 802.1x Port Access Control phép xác thực từ bên cho wireless 4.1.3 Áp dụng RADIUS cho WLAN Trong mạng Wireless sử dụng 802.1x Port Access Control, máy trạm sử dụng wireless với vai trò Remote User Wireless Access Point làm việc Network Access Server (NAS) Để thay cho việc kết nối đến NAS với dial-up giao thức PPP, wireless station kết nối đến Access Point việc sử dụng giao thức 802.11 Một trình thực hiện, wireless station gửi message EAP-Start tới Access Point Access Point yêu cầu station nhận dạng chuyển thông tin tới AAA Server với thông tin RADIUS Access-Request User-Name attribute Máy chủ AAA wireless station hoàn thành trình việc chuyển thông tin RADIUS Access-Challenge Access-Request qua Access Point Được định phía dạng EAP, thông tin chuyển đường hầm mã hoá TLS (Encypted TLS Tunnel) Nếu máy chủ AAA gửi message Access-Accept, Access Point wireless station hoàn thành trình kết nối thực phiên làm việc với việc sử dụng WEP hay TKIP để mã hoá liệu Và điểm đó, Access Point không cấm cổng wireless station gửi nhận liệu từ hệ thống mạng cách bình thường Cần lưu ý mã hoá liệu từ wireless station tới Access Point khác với trình mã hoá từ Access Point tới máy chủ AAA Server (RADIUS Server) Nếu máy chủ AAA gửi message Access-Reject, Access Point ngắt kết nối tới station Station cố gắng thử lại tình xác thực, Access Point SVTH: La Văn Dương, lớp ĐT – K11 Trang 16 Báo cáo đò án tốt nghiệp Khoa Điện tử cấm station không gửi gói tin tới Access Point gần Chú ý station hoàn toàn có khả nghe liệu truyền từ stations khác – Trên thực tế liệu truyền qua sóng radio câu trả lời bạn phải mã hoá liệu truyền mạng không dây Attribute-Value pare bao gồm message RADIUS sử dụng máy chủ AAA để định phiên làm việc Access Point wireless station, Sesstion-Timeout hay VLAN Tag (Tunnel-Type=VLAN, Tunnel-Private-GroupID=tag) Chính xác thông tin thêm vào phụ thuộc vào máy chủ AAA Server hay Access Point station bạn sử dụng 4.1.4 Các tùy chọn bổ sung Một vấn đề bạn phải hiểu vai trò RADIUS trình xác thực WLAN, bạn phải thiết lập máy chủ AAA hỗ trợ interaction Nếu bạn có máy chủ AAA mạng gọi RADIUS, sẵn sàng để hỗ trợ xác thực cho chuẩn 802.1x cho phép chọn lựa dạng EAP Nếu có bạn chuyển tiếp đến bước làm để thiết lập tính Nếu bạn có RADIUS – AAA Server không hỗ trợ 802.1x, không hỗ trợ dạng EAP, bạn lựa chọn cách cập nhật phiên phần mềm cho server, hay bạn cài đặt máy chủ Nếu bạn cài đặt máy chủ AAA hỗ trợ xác thực cho chuẩn 802.1x, bạn sử dụng tính RADIUS proxy để thiết lập chuỗi máy chủ, chia sẻ chung sở liệu tập trung, RADIUS proxy sử dụng để chuyển yêu cầu xác thực tới máy chủ có khả xác thực qua chuẩn 802.1x Nếu bạn RADIUS – máy chủ AAA, bạn cần thiết phải cài đặt máy chủ cho trình xác thực WLAN, lựa chọn cài đặt công việc thú vị Với sở tập trung - Giải pháp sử dụng RADIUS cho mạng WLAN quan trọng hệ thống mạng bạn có nhiều Access Point việc cấu hình để bảo mật hệ thống khó quản lý riêng biệt, người dùng xác thực từ nhiều Access Point khác điều không bảo mật Khi sử dụng RADIUS cho WLAN mang lại khả tiện lợi cao, xác thực cho toàn hệ thống nhiều Access Point, … cung cấp giải pháp thông minh SVTH: La Văn Dương, lớp ĐT – K11 Trang 17 Báo cáo đò án tốt nghiệp Khoa Điện tử 4.1.5 Chúng ta lựa chọn máy chủ RADIUS hợp lý? Phần trình bày việc quản lý sử dụng ứng dụng giá máy chủ RADIUS triển khai để phù hợp với doanh nghiệp Trong phần trên, hiểu máy chủ RADIUS cung cấp xác thực cho 802.1x Port Access Control Chúng ta cần quan tâm đến việc triển khai tuỳ chọn cho giải pháp sử dụng chuẩn 802.1x Việc quản lý sử dụng ứng dụng giá máy chủ RADIUS triển khai để phù hợp với doanh nghiệp • Chi phí Các công việc kinh doanh muốn nâng cao tính bảo mật cho hệ thống mạng WLAN lại sử dụng chuẩn 802.1x – với yêu cầu lựa chọn việc triển khai RADIUS hợp lý Deploy WPA with Preshared Keys: Nâng cấp hệ thống mạng WLAN bạn sử dụng từ Wired Equivalent Privacy (WEP) tới Wi-Fi Protected Access (WPA) có thực không cần phải sử dụng RADIUS mà cách sử dụng Preshared Keys (PSK) hỗ trợ cho chuẩn 802.1x Preshared Keys thực việc xác thực cho user khả chống công "dictionary attack" tồn nhiều vấn đề bảo mật Nếu sử dụng giải pháp việc kinh doanh bạn có nhiều rủi hơn, áp dụng cho môi trường nhỏ giải pháp WPA-PSK hợp lý Use Microsoft's RADIUS Server: Nếu bạn có máy chủ chạy hệ điều hành Microsoft Windows Server 2000/2003 hoàn toàn có khả năng, với việc sử dụng Microsoft’s Internet Authentication Service (IAS) IAS cần thiết cho nhà quản trị hay user phải làm việc môi trường Windows Và tính cao cấp Microsoft Wireless Provisioning Service Install an Open Source RADIUS Server: Nếu bạn phiên Windows, lựa chọn cho bạn sử dụng giải pháp phần mềm mã nguồn mở, bạn tham khảo tại: http://www.freeradius.org Với khả hỗ trợ cho chuẩn 802.1x máy chủ chạy hệ điều hành mã nguồn mở Linux, Free or OpenBSD, OSF/Unix, Solaris sử dụng làm RADIUS Server SVTH: La Văn Dương, lớp ĐT – K11 Trang 18 Báo cáo đò án tốt nghiệp Khoa Điện tử Mua Commercial RADIUS Server: Trong trường hợp phải sử dụng giải pháp chuyên nghiệp cần hỗ trợ đầy đủ toàn tính khả an toàn, độ ổn định bạn mua thương mại từ nhà sản xuất khác, với tính hỗ trợ 802.1x RADIUS Server chuyên nghiệp: Aradial WiFi - http://www.aradial.com Bridgewater Wi-Fi AAA - http://www.bridgewatersystems.com Cisco Secure Access Control Server - http://www.cisco.com/ Funk Odyssey - http://www.funk.com/ IEA RadiusNT - http://www.iea-software.com/ Infoblox RADIUS One Appliance - http://www.infoblox.com/ Interlink Secure XS - http://www.interlinknetworks.com/ LeapPoint AiroPoint Appliance - http://www.leappoint.com/ Meetinghouse AEGIS - http://www.mtghouse.com/ OSC Radiator - http://www.open.com.au/radiator/ Vircom VOP Radius - http://www.vircom.com Commercial RADIUS Servers có giá tuỳ vào khả sản phẩm Ví dụ bạn mua Funk Odyssey Server, bao gồm 25 license Odyssey Client VOB Radius Small Bussiness giá khởi điểm $995 cho 100 Users Một máy chủ Radiator license giá $720 RADIUS server bao gồm giá phần cứng/phần mềm Ví dụ Funk’s Steel-Belted Radius có giá Network Engines $7500 LeapPoint’s AiroPoint 3600 – SE có giá khởi điểm $2499 cho 50 clients Toàn giá ví dụ phụ thuộc nhiều vào nhà cung cấp phần mềm hay đại lý hãng khác Ngoài với lựa chọn cho mạng doanh nghiệp nhỏ bạn điều kiện triển khai máy chủ RADIUS giải pháp tốt cho bạn sử dụng giải pháp bảo mật từ công ty chuyên bảo mật hệ thống mạng Wi-Fi WSC Guard mang đến giải pháp bảo mật cho dịch vụ 802.1x với giá khởi điểm $89 cho người dùng năm xuống $59 khách hàng đăng ký 1000 người dùng 4.2 MÔ TẢ HỆ THỐNG Mạng WLAN thân không bảo mật, nhiên mạng có dây bạn phòng ngừa hay cấu hình bảo vệ chẳng bảo mật SVTH: La Văn Dương, lớp ĐT – K11 Trang 19 Báo cáo đò án tốt nghiệp Khoa Điện tử Điểm mấu chốt để tạo mạng WLAN bảo mật phải triển khai phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng an toàn Nhằm ngăn chặn truy cập mạng trái phép mà không mong muốn Khi client muốn truy cập vào mạng phải đăng nhập username password hợp lệ Quá trình xác thực điều khiển RADIUS server • Mô tả yêu cầu: Cấu hình RADIUS server Window Server 2003, tạo user password cho client dự định tham gia vào mạng Trên AP Linksys, thiết đặt security mode WPA2-Enterprise Cho PC tham gia vào mạng, kiểm tra kết nối • Thiết bị yêu cầu: Access point Linksys WRT54G, pc (1 pc có gắn card wireless pc làm Radius server) PC làm Radius server sử dụng hệ điều hành Windows Server 2003 Enterprise Edition nâng lên Domain Controller, PC làm wireless client sử dụng hệ điều hành Windows XP Professional join domain 4.3 QUY TRÌNH CÀI ĐẶT 4.3.1 Bước 1: Cài DHCP 4.3.2 Bước 2: Cài Enterprise CA 4.3.3 Bước 3: Cài Radius 4.3.4 Bước 4: Chuyển sang Native Mode 4.3.5 Bước 5: Cấu hình DHCP 4.3.6 Bước 6: Cấu hình Radius 4.3.7 Bước 7: Tạo users, cấp quyền Remote access cho users cho computer 4.3.8 Bước 8: Tạo Remote Access Policy 4.3.9 Bước 9: Cấu hình AP khai báo địa máy RADIUS 4.3.10 Bước 10: Cấu hình Wireless Client 4.4 DEMO • Ta khởi động Radius server AP Từ Wireless Client ta đăng nhập với user name “cuong”, password “1” Ta thấy kết sau: SVTH: La Văn Dương, lớp ĐT – K11 Trang 20 Báo cáo đò án tốt nghiệp Khoa Điện tử Hình 4.20 Các thông số cấp DHCP server IP, DNS server, Default Gateway … • Trên Radius Server, ta vào Administrative Tools Event Viewer Security, ta thấy kết sau: Hình 4.21 Event Viewer Chi tiết cụ thể trình đăng nhập ghi lại log file sau: ++ ++ User NGOCUONG\cuong was granted access Fully-Qualified-User-Name = ngocuong.net/wifi/cuong NAS-IP-Address = 192.168.1.111 NAS-Identifier = Client-Friendly-Name = Linksys 54G Client-IP-Address = 192.168.1.111 Calling-Station-Identifier = 00-1B-77-09-BF-1E NAS-Port-Type = Wireless - IEEE 802.11 SVTH: La Văn Dương, lớp ĐT – K11 Trang 21 Báo cáo đò án tốt nghiệp Khoa Điện tử NAS-Port = Proxy-Policy-Name = Use Windows authentication for all users Authentication-Provider = Windows Authentication-Server = Policy-Name = wifi Authentication-Type = PEAP EAP-Type = Secured password (EAP-MSCHAP v2) For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp ++ ++ SVTH: La Văn Dương, lớp ĐT – K11 Trang 22 [...]... Trang 12 Báo cáo đò án tốt nghiệp anthentication - Home use Khoa Điện tử Anthentication - Business - Public - TKIP & AES Traveler “hotspots” Encrytion - Telecommuter - WPA/WPA2 - 802.11i Security Enterprise SVTH: La Văn Dương, lớp ĐT 1 – K11 Trang 13 Báo cáo đò án tốt nghiệp Khoa Điện tử CHƯƠNG 4 BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP CHỨNG THỰC RADIUS SERVER VÀ WPA2 4.1 GIỚI THIỆU TỔNG QUAN Việc bảo mật WLAN sử... tuy nhiên đối với mạng có dây nếu bạn không có một sự phòng ngừa hay cấu hình bảo vệ gì thì nó cũng chẳng bảo mật gì SVTH: La Văn Dương, lớp ĐT 1 – K11 Trang 19 Báo cáo đò án tốt nghiệp Khoa Điện tử Điểm mấu chốt để tạo ra một mạng WLAN bảo mật là phải triển khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng của mình được an toàn hơn Nhằm ngăn chặn những truy cập mạng trái phép... Văn Dương, lớp ĐT 1 – K11 Trang 18 Báo cáo đò án tốt nghiệp Khoa Điện tử Mua một Commercial RADIUS Server: Trong trường hợp phải sử dụng một giải pháp chuyên nghiệp cần hỗ trợ đầy đủ toàn bộ các tính năng cũng như khả năng an toàn, và độ ổn định bạn có thể mua các bản thương mại từ các nhà sản xuất khác, với tính năng hỗ trợ 802.1x và là một RADIUS Server chuyên nghiệp: Aradial WiFi - http://www.aradial.com... tạo mã hóa lúc đầu WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc SVTH: La Văn Dương, lớp ĐT 1 – K11 Trang 11 Báo cáo đò án tốt nghiệp Khoa Điện tử 3.8 WPA2 Một giải pháp về lâu dài là sử dụng 802.11i.. .Báo cáo đò án tốt nghiệp Khoa Điện tử mạng, khi đó Client yêu cầu liên kết tới AP 2 AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP 3 Client gửi đáp lại yêu cầu nhận dạng EAP cho AP 4 Thông tin đáp lại yêu cầu... các giải pháp thông minh hơn SVTH: La Văn Dương, lớp ĐT 1 – K11 Trang 17 Báo cáo đò án tốt nghiệp Khoa Điện tử 4.1.5 Chúng ta sẽ lựa chọn máy chủ RADIUS như thế nào là hợp lý? Phần này sẽ trình bày việc quản lý sử dụng ứng dụng cũng như giá cả của một máy chủ RADIUS nếu được triển khai sẽ là bao nhiêu để có thể phù hợp với doanh nghiệp Trong phần trên, chúng ta đã hiểu được máy chủ RADIUS cung cấp xác... 8: Tạo Remote Access Policy 4.3.9 Bước 9: Cấu hình AP và khai báo địa chỉ máy RADIUS 4.3.10 Bước 10: Cấu hình Wireless Client 4.4 DEMO • Ta khởi động Radius server và AP Từ Wireless Client ta đăng nhập với user name là “cuong”, password “1” Ta sẽ thấy kết quả như sau: SVTH: La Văn Dương, lớp ĐT 1 – K11 Trang 20 Báo cáo đò án tốt nghiệp Khoa Điện tử Hình 4.20 Các thông số được cấp bởi DHCP server như... Attribute-Value Pairs: Thông tin được mang bởi RADIUS đuợc miêu tả trong một dạng Attribute-Value, để hỗ trợ cho nhiều công nghệ khác nhau, và nhiều phương SVTH: La Văn Dương, lớp ĐT 1 – K11 Trang 15 Báo cáo đò án tốt nghiệp Khoa Điện tử thức xác thực khác nhau Một chuẩn được định nghĩa trong Attribute-Value pairs (cặp đôi), bao gồm User-Name, User-Password, NAS-IPAddress, NAS-Port, Service-Type Các nhà sản xuất... chọn cho mạng doanh nghiệp nhỏ bạn không có điều kiện triển khai máy chủ RADIUS một giải pháp tốt cho bạn là sử dụng giải pháp bảo mật từ các công ty chuyên về bảo mật hệ thống mạng Wi-Fi như WSC Guard mang đến giải pháp bảo mật cho các dịch vụ trên nền 802.1x và với giá khởi điểm là $89 cho một người dùng một năm và sẽ xuống còn $59 khi khách hàng đăng ký 1000 người dùng 4.2 MÔ TẢ HỆ THỐNG Mạng WLAN bản... thống mạng một cách bình thường Cần lưu ý là mã hoá dữ liệu từ wireless station tới Access Point khác với quá trình mã hoá từ Access Point tới máy chủ AAA Server (RADIUS Server) Nếu máy chủ AAA gửi một message Access-Reject, Access Point sẽ ngắt kết nối tới station Station có thể cố gắng thử lại quá tình xác thực, nhưng Access Point sẽ SVTH: La Văn Dương, lớp ĐT 1 – K11 Trang 16 Báo cáo đò án tốt nghiệp