LỜI CẢM ƠN Trước tiên em xin gửi lời cảm ơn chân thành tới thầy cô giáo khoa Công nghệ thông tin trường Đại học Công nghệ thông tin truyền thông nói chung, môn mạng truyền thông nói riêng tận tình truyền đạt, giảng dạy cho em kiến thức, kinh nghiệm quý báu suốt năm học tập rèn luyện trường Đặc biệt em xin gửi lời cảm ơn đến cô giáo Phạm Bích Trà, môn hệ thông thông tin tận tình hướng dẫn, trực tiếp bảo em suốt thời gian làm đồ án tốt nghiệp Trong thời gian làm việc với cô, em tiếp thu thêm nhiều kiến thức bổ ích mà học tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc, hiệu Đây điều cần thiết cho em trình học tập công tác sau Sau xin gửi lời cảm ơn chân thành tới gia đình, anh chị, bạn bè động viên, đóng góp ý kiến giúp đỡ em trình học tâp, nghiên cứu hoàn thành đề tài Thái Nguyên, tháng 06, năm 2012 Sinh viên Nguyễn Thế Yên LỜI CAM ĐOAN Em xin cam đoan đồ án sản phẩm tìm tòi, nghiên cứu tài liệu cách nghiêm túc hướng dẫn giáo viên hướng dẫn Nội dung đồ án chép đồ án khác mà có ý tưởng, sáng tạo thân Nếu có thông tin sai lệch e xin hoàn toàn chịu trách nhiệm trước hội đồng nhà trường Sinh viên Nguyễn Thế Yên MỤC LỤC DANH MỤC HÌNH ẢNH DANH MỤC TỪ VIẾT TẮT Từ viết tắt Nghĩa tiếng anh Nghĩa tiếng Việt RADIUS ACL Remote Authentication Dial-In User Service Access Control List PKI Public Key Infrastructure IDS AP Intrusion Detection System Institute of Electrical and Electronics Engineers Access Point Xác thực người dùng sử dụng dịch vụ từ xa Danh sách điều khiển truy nhập Cơ sở hạ tầng khóa công khai Hệ thống phát xâm nhập Hiệp hội kỹ sư điện điện tử Điểm truy cập BSS Basic Service Sets Mạng sở ESS Extended Service Set Mạng mở rộng SSID Services Set Indentifier WEP Wired Equivalen Privacy IPsec Internet Protocol Security Nhận dạng thiết lập dịch vụ Bảo mật tương đương mạng có dây Các giao thức bảo mật IEEE MIC Message Integity Check AES Advanced Encryption Stadar Wi-Fi Protected Access WPA NIST TACACS DES National Institute of Standards and Technology Terminal Access Controller Access Control System Digital Encryption Standanrd Kiểm tra tính nguyên vẹn tin báo Tiêu chuẩn mã hóa tiên tiến Giao thức bảo mật mạng không dây theo chuẩn 802.11i Viện tiêu chuẩn công nghệ Hệ thống điều khiển truy cập thiết bị đầu cuối Tiêu chuẩn kỹ thuật số hóa LỜI NÓI ĐẦU Với phát triển nhanh chóng mạng internet đặt biệt công nghệ mạng, kèm theo vấn đề bảo vệ tài nguyên thông tin mạng, tránh mát, xâm phạm việc cần thiết cấp bách Bảo mật mạng hiểu cách bảo vệ, đảm bảo an toàn cho thành phần mạng bao gồm liệu, thiết bị, sở hạ tầng mạng đảm bảo tài nguyên mạng tránh việc đánh cắp thông tin, đồng thời tăng tính bảo mật thông tin cho mạng cao Vấn đề bảo mật làm đau đầu nhà sản xuất, tổ chức cá nhân người sử dụng Các nhà quản trị mạng ngày phải điều khiển việc truy cập giám sát thông tin mà người dùng đầu cuối thao tác Những việc làm đưa đến thành công hay thất bại công ty Và AAA cách thức tốt để giám sát mà người dùng đầu cuối làm mạng cách bảo mật tiện lợi Chúng ta xác thực (authentication) người dùng, cấp quyền (authorization) cho người dùng, kiểm toán để tập hợp thông tin thời gian bắt đầu hay kết thúc người dùng (accounting) Vì vậy, em lựa chọn đề tài ‘’Xây dựng giải pháp bảo mật mạng không dây phương pháp xác thực RADIUS SERVER’’ để làm đồ án tốt nghiệp Trong trình làm đồ án chắn không tránh khỏi thiếu sót Mong thầy cô bạn đóng góp ý kiến để đồ án hoàn thiện Em xin chân thành cảm ơn! Thái Nguyên, tháng 06 năm 2012 Nguyễn Thế Yên CHƯƠNG I TỔNG QUAN AN NINH MẠNG VÀ MẠNG KHÔNG DÂY 1.1 Mục tiêu của việc bảo mật Việc phát triển ngày cao mạng Internet đem lại nhiều thuận tiện cho người Tuy nhiên mang lại nhiều mối nguy hiểm từ hacker Đảm bảo cho người dùng hệ thống mạng hoạt động cách an toàn mục tiêu hàng đầu việc bảo mật:  Đảm bảo cho mạng nội không bị xâm nhập trái phép  Các tài liệu thông tin quan trọng không bị đánh cắp  Các dịch vụ thực cách nhanh chóng, không bị ngưng trệ không thực  Người dung làm việc mạng không bị mạo danh, lừa đảo… 1.2 Một số nguy hình thức công mạng a) Một số nguy Những nguy bảo mật đe dọa mát liệu nhạy cảm mối lo ngại doanh nghiệp vừa nhỏ Sau 10 nguy bảo mật đánh giá nguy hiểm mà doanh nghiệp phải đối mặt  Nhân viên bất mãn với công ty Trong số doanh nghiệp vừa nhỏ, liệu kinh doanh quan trọng hay thông tin khách hàng thường giao phó cho cá nhân Điều tạo nên tình trạng "lệ thuộc quyền hạn" nguy hiểm Khi cá nhân bất mã lý với công ty ban điều hành công ty Lúc vấn đề thời gian quyền hạn kiểm soát thông tin cá nhân mà  Không có kế hoạch xử lý rủi ro Hệ thống máy tính, mạng doanh nghiệp phải đối mặt với nhiều nguy bảo mật, từ việc hư hỏng vật lý trường hợp bị công từ tin tặc hay virus có khả gây tổn hại cho liệu Khá nhiều doanh nghiệp vừa nhỏ thiếu hẳn sách phản ứng với việc thất thoát liệu hay kế hoạch khắc phục cố Đại đa số lúng túng bắt đầu hoạt động mang tính ứng phó  Những thiết lập mặc định không thay đổi Tin tặc thường dùng tập tin chứa đựng hàng trăm ngàn tài khoản mặc định (username password) thiết bị kết nối mạng để dò tìm quyền hạn truy xuất khả đăng nhập vào hệ thống mạng Nếu tài khoản, thiết lập mặc định không thay đổi, tin tặc dễ dàng chiếm quyền điểu khiển tài nguyên mạng  Môi trường mạng nhà không an toàn Đối với vài doanh nghiệp nhỏ, nhân viên thường đem máy tính xách tay (laptop) đến văn phòng để làm việc Trong môi trường mạng gia đình, chế độ bảo mật thường hay chí thiết lập bảo vệ Do đó, laptop nhân viên nguồn gốc phát tán virus, malware hay trở thành zombie trung gian để tin tặc công vào hệ thống mạng doanh nghiệp  Thiếu cảnh giác với mạng công cộng Một thủ đoạn chung tin tặc hay sử dụng để dẫn dụ nạn nhân đặt thiết bị trung chuyển wireless access-point không cài đặt mật (unsecured) gán nhãn "Mạng Wi-Fi miễn phí" ngồi chờ kết nối rơi vào bẫy Tin tặc dùng công cụ thâu tóm gói liệu mạng giúp nhận biết văn hay mà nhân viên doanh nghiệp gõ gửi  Mất mát thiết bị di động Rất nhiều doanh nghiệp, chí gần có vài hãng lớn bị thất thoát liệu quan trọng cắp máy tính xách tay, thất lạc điện thoại di động hay đĩa flash USB lưu trữ Dữ liệu thiết bị thường mã hóa hay bảo vệ mật khẩu, dễ dàng xử lý sở hữu chúng  Lỗi từ máy chủ web Hiện nhiều doanh nghiệp không coi trọng việc đặt website máy chủ nào, mức độ bảo mật Do đó, website kinh doanh doanh nghiệp mồi ngon đợt công SQL Injection hay botnet  Duyệt web tràn lan Không phải nhân viên văn phòng đủ am hiểu tường tận hiểm họa rình rập mạng Internet malware, spyware, virus, trojan Họ vô tư truy cập vào website không xác định bị dẫn dụ click vào website tin tặc chào đón máy tính nhân viên cánh cửa giúp tin tặc xâm nhập vào mạng doanh nghiệp  Email chứa mã độc Những giội bom thư rác làm tràn ngập hộp thư bạn với tiêu đề hấp dẫn hay lời mời chào kinh doanh cú nhấp chuột sai lầm máy tính tải đoạn mã độc làm tiền đề cho hàng loạt phần mềm độc hại sau xâm nhập vào máy tính  Không vá lỗi bảo mật Hơn 90% công vào hệ thống mạng cố gắng khai thác lỗi bảo mật biết đến Mặc dù vá lỗi thường xuyên hãng sản xuất cung cấp sau lỗi phát vài doanh nghiệp lại không coi trọng việc cập nhật lỗi thường nhật dẫn đến việc lỗi bảo mật mở toang cổng chào đón công b) Một số hình thức công Trong khoa học máy tính, virus máy tính (thường người sử dụng gọi tắt virus) chương trình hay đoạn mã thiết kế để tự nhân chép vào đối tượng lây nhiễm khác (file, ổ đĩa, máy tính ) Trước đây, virus thường viết số người am hiểu lập trình muốn chứng tỏ khả nên thường virus có hành động như: cho chương trình không hoạt động đúng, xóa liệu, làm hỏng ổ cứng, gây trò đùa khó chịu Những virus viết thời gian gần không thực trò đùa hay phá hoại đối máy tính nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hành động khác nhằm có lợi cho người phát tán virus Chiếm 90% số virus phát nhắm vào hệ thống sử dụng hệ điều hành họ Windows đơn giản hệ điều hành sử dụng nhiều thến giới Do tính thông dụng Windows nên tin tặc thường tập trung hướng vào chúng nhiều hệ điều hành khác (Cũng có quan điểm cho Windows có tính bảo mật không tốt hệ điều hành khác (như Linux) nên có nhiều virus hơn, nhiên hệ điều hành khác thông dụng Windows thị phần hệ điều hành ngang lượng virus xuất có lẽ tương đương nhau)  Virus Một virus máy tính thiết kế để công máy tính thường phá máy tính khác thiết bị mạng Một virus thường tập tin đính kèm e-mail, chọn tập tin đính kèm gây mã thực thi để chạy tái tạo virus Một virus phải thực chạy nhớ để chạy tìm kiếm chương trình khác máy chủ để lây nhiễm nhân rộng Như tên nó, virus cần máy chủ bảng tính e-mail để đính kèm, lây nhiễm, nhân rộng Có số hiệu ứng chung vi rút Một số virus lành tính, cần thông báo cho nạn nhân họ họ bị nhiễm bệnh Các virus ác tính tạo hủy hoại cách xóa tập tin không gây lỗi cho máy tính bị nhiễm có chứa tài sản kỹ thuật số, chẳng hạn hình ảnh, tài liệu, mật khẩu, báo cáo tài  Worm Worm chương trình phá hoại quét điểm yếu lỗ hổng bảo mật máy tính khác để khai thác điểm yếu nhân rộng.Worm tái tạo độc lập nhanh chóng Worm khác với virus hai cách chính: Virus cần máy chủ để đính kèm thực hiện, sâu không yêu cầu máy chủ.Virus sâu thường gây loại khác hủy diệt Virus, chúng cư trú nhớ, thường xóa sửa đổi tập tin quan trọng máy tính bị nhiễm bệnh Tuy nhiên, Worms có xu hướng mạng trung tâm so với máy tính trung tâm Worms tái tạo cách nhanh chóng cách bắt đầu kết nối mạng để nhân rộng gửi số lượng lớn liệu Worms chứa hành khách mang theo, trọng tải liệu, mà giao máy tính mục tiêu cho trạng thái zombie Zombie máy tính có bị xâm phạm kiểm soát kẻ công mạng Zombies thường sử dụng để khởi động công mạng khác Một sưu tập lớn zombie điều khiển kẻ công gọi "botnet" Botnets phát triển lớn Botnet xác định lớn 100.000 máy tính zombie  Trojan horse Là phần mềm nguy hại tìm cách ngụy trang ứng dụng đáng tin cậy trò chơi trình bảo vệ hình Một người dùng tin cậy cố gắng để truy cập trò chơi vô thưởng vô phạt trình bảo vệ hình, Trojan bắt đầu hoạt động gây tổn hại xóa tập tin định dạng lại ổ đĩa cứng Trojan thường không tự chép.Những kẻ công mạng cố gắng sử dụng ứng dụng phổ biến, chẳng hạn iTunes Apple, để triển khai Trojan Ví dụ, công mạng gửi e-mail với liên kết có mục đích để tải hát iTunes miễn phí Trojan sau bắt đầu kết nối đến máy chủ web bên bắt đầu công người dùng cố gắng để tải hát miễn phí rõ ràng  Từ chối dịch vụ Một công từ chối dịch vụ (DoS) công mạng có kết việc từ chối dịch vụ ứng dụng yêu cầu máy chủ web Có vài chế để tạo công DoS Các phương pháp đơn giản tạo lượng lớn xuất để giao thông mạng hợp lệ Đây loại công DoS mạng cố gắng để làm nghẽn ống dẫn lưu lượng truy cập mạng để sử dụng hợp lệ có thông qua kết nối mạng Tuy nhiên, loại DoS thông thường cần phải phân phối thường đòi hỏi nhiều nguồn để tạo công.Một công DoS lợi dụng thực tế hệ thống mục tiêu máy chủ phải trì thông tin trạng thái có kích thước đệm dự kiến nội dung gói tin mạng cho ứng dụng cụ thể Một công DoS khai thác lỗ hổng cách gửi gói có giá trị kích cỡ liệu mà không mong đợi ứng dụng nhận được.Một số loại công DoS tồn tại, bao gồm công Teardrop Ping of Death, mà gửi gói thủ công mạng khác từ ứng dụng dự kiến gây sụp đổ ứng dụng máy chủ Những công DoS máy chủ không bảo vệ, chẳng hạn máy chủ thương mại điện tử, gây máy chủ bị lỗi ngăn chặn người dùng bổ sung thêm hàng vào giỏ mua sắm họ  Spyware Spyware lớp ứng dụng phần mềm tham gia vào công mạng Spyware ứng dụng cài đặt để ẩn máy tính máy tính xách tay mục tiêu Một ứng dụng phần mềm gián điệp bí mật cài đặt, phần mềm gián điệp bắt thông tin người dùng làm với máy tính họ Một số thông tin bị bắt bao gồm trang web truy cập, e-mail gửi đi, mật sử dụng Những kẻ công sử dụng 10  Các ví dụ bao gồm hiển thị hệ thập lục phân gói liệu  Cổng UDP nguồn phải sử dụng kết hợp với nhận dạng yêu cầu xác định  Nhiều thuộc tính phục cho phép thuộc tính Vendor-Specific  Một Access-Request yêu cầu chứa NAS-IP-Address NAS-Identifier (hoặc chứa hai)  Thêm ghi "Operations" với nhiều thông tin proxy, truyền lại, trì kết nối  Nếu nhiều thuộc tính với loại tương tự có mặt đồng thời, thứ tự thuộc tính loại phải trì proxy  Làm rõ Proxy-State  Làm rõ thuộc tính phụ thuộc vào vị trí gói tin, miễn      thuộc tính loại tương tự giữ theo thứ tự Thêm vào phần lời khuyên IANA Cập nhật phần "Proxy" "Operations" Framed-MTU gửi Access-Request gợi ý Cập nhật lời khuyên bảo mật Các chuỗi văn xác định tập hợp chuỗi, để làm rõ việc sử dụng UTF-8 RFC 2866 - RADIUS Accounting: mô tả trình kế toán cho máy chủ RADIUSvà cập nhật cho RFC 2865 Cũng RFC 2865, RFC 2866 giới thiệu gói tin dùng trình kế toán thuộc tính gói tin mô tả     trình kế toán diễn có yêu cầu thực kế toán Một số thay đổi so với RFC 2139: Thay US-ASCII UTF-8 Thêm ghi Proxy Framed-IP-Address nên chứa địa IP thực tế người sử dụng Nếu Acct-Session-ID gửi Access-Request, phải sử     dụng Accounting-Request cho phiên giao dịch Các giá trị thêm vào Acct-Status-Type Thêm vào phần lời khuyên IANA Cập nhật tài liệu tham khảo Các chuỗi văn xác định tập hợp chuỗi, để làm rõ việc sử dụng UTF-8 RFC 2867 - RADIUS Accounting Modifications for Tunnel Protocol Support: mô tả việc cải biến chế RADIUS Accounting để hổ trợ cho giao thức đường hầm, cập nhật thêm cho RFC 2866 60 Nhiều ứng dụng giao thức đường hầm PPTP L2TP bao hàm truy cập mạng quay số Một số, việc cung cấp truy cập an toàn cho mạng nội công ty thông qua mạng Internet, đặc trưng đường hầm chủ động: đường hầm tạo theo yêu cầu người sử dụng cho mục đích cụ thể Các ứng dụng khác gồm đường hầm bắt buộc: đường hầm tạo mà hành động từ người sử dụng lựa chọn cho phép người dùng vấn đề này, dịch vụ nhà cung cấp dịch vụ Internet (ISP) Thông thường, ISP cung cấp dịch vụ muốn thu thập liệu để toán, quy hoạch mạng Một cách để thu thập liệu sử dụng mạng quay số dùng phương tiện RADIUS Accounting Việc sử dụng RADIUS Accounting cho phép liệu sử dụng quay số thu thập vị trí trung tâm, lưu trữ NAS Để thu thập liệu sử dụng đường hầm, thuộc tính RADIUS cần thiết, tài liệu xác định thuộc tính Ngoài ra, số giá trị cho thuộc tính Acct-Status-Type đề xuất Kiến nghị cụ thể ví dụ việc áp dụng thuộc tính cho giao thức L2TP mô tả RFC 2809 Các giá trị Acct-Status-Type mới:  Tunnel-Start: giá trị 9, dùng để đánh dấu việc tạo đường hầm với nút khác  Tunnel-Stop: giá trị 10, , dùng để đánh dấu việc hủy đường hầm từ tới nút khác  Tunnel-Reject: giá trị 11, , dùng để đánh dấu việc từ chối tạo đường hầm với nút khác  Tunnel-Link-Start: giá trị 12, dùng để đánh dấu tạo thành liên kết đường hầm  Tunnel-Link-Stop: giá trị 13, dùng để đánh dấu phá hủy lien kết đường hầm  Tunnel-Link-Reject: giá trị 14, dùng để đánh dấu việc từ chối tạo nên liên kết đường hầm tồn Và thuộc tính mới:  Acct-Tunnel-Connection: Thuộc tính sử dụng để cung cấp phương tiện để nhận diện phiên đường hầm cho mục đích kiểm toán  Acct-Tunnel-Packets-Lost: Thuộc tính số gói liệu bị liên kết đưa 61 RFC 2868 - RADIUS Attributes for Tunnel Protocol Support: mô tả thuộc tính RADIUS hỗ trợ cho giao thức đường ống, cập nhật them cho RFC 2865 Các thuộc tính RADIUS cần thiết để chuyển thông tin đường hầm từ máy chủ RADIUS tới điểm cuối đường hầm Các thuộc tính mới:  Tunnel-Type: Thuộc tính giao thức đường hầm sử dụng giao thức đường hầm sử dụng  Tunnel-Medium-Type: Thuộc tính phương tiện sử dụng để tạo đường hầm theo giao thức (như L2TP), điều có tác dụng nhiều phương tiện vận chuyển  Tunnel-Client-Endpoint: Thuộc tính chứa địa người khởi xướng cuối đường hầm  Tunnel-Server-Endpoint: Thuộc tính chứa địa máy chủ cuối đường hầm  Tunnel-Password: Thuộc tính chứa mật dùng để xác thực tới máy chủ truy cập từ xa  Tunnel-Private-Group-ID: Thuộc tính ID nhóm cho phiên hầm cụ thể  Tunnel-Assignment-ID: Thuộc tính sử dụng để người khởi xướng đường hầm đường hầm cụ thể để phân công phiên  Tunnel-Preference: Khi máy chủ RADIUS gởi trả nhiều thuộc tính đường hầm cho người khởi xướng đường hầm, thuộc tính gán vào thuộc tính đường hầm để thiết lập độ ưu tiên cho đường hầm  Tunnel-Client-Auth-ID: Thuộc tính ghi rõ tên người khởi xướng đường hầm sử dụng giai đoạn xác nhận khởi tạo đường hầm  Tunnel-Server-Auth-ID: Thuộc tính ghi rõ tên người tận đường hầm sử dụng giai đoạn xác nhận khởi tạo đường hầm RFC 2869 – RADIUS Extensions: đưa gợi ý số thuộc tính bổ sung thêm vào RADIUS để thực nhiều chức hữu ích khác Những thuộc tính trường mở rộng trải qua trước đóđược nêu bị coi thử nghiệm Extensible Authentication Protocol (EAP) phần mở rộng PPP cung cấp hỗ trợ cho phương pháp xác thực bổ sung bên PPP RFC mô tả 62 cách mà thuộc tính EAP-Message Message-Authenticator sử dụng để cung cấp EAP hỗ trợ bên RADIUS Tất thuộc tính bao gồm chiều dài biến Type-Length-Value 3tuples Giá trị thuộc tính thêm vào mà không lo ngại làm xáo trộn triển khai có giao thức 2.3.7 Áp dụng RADIUS SERVER cho mạng không dây Trong mạng WLAN sử dụng 802.11x port access control, máy trạm sử dụng Wireless đóng vai trò Remote Access Wireless Access Point làm việc NAS-Network Access Server Để thay việc kết nối đến NAS với dial-up giao thức PPP, Wireless station kết nối đến AP việc sử dụng giao thức 802.11 Một trình thực , wireless station gửi EAP-Start tơi AP AP yêu cầu station nhận dạng chuyển thông tin tới AAA server với thông tin RADIUS Access-request Usename attribute AAA server Wireless Station hoàn thành việc chuyển thông tin RADIUS Access-challenge Access-request qua AP Được định phía dạng EAP, thông tin chuyển đường hầm mã hóa TLS (Encypted TLS Tunnel) Nếu AAA server gửi message Access-accept, AP Wireless station hoàn thành trình kết nối hoàn thành phiên làm việc với việc sử dụng WEP hay TKIP để mã hóa liệu Và điểm đó, AP không cấm cổng wireless station gửi nhận liệu từ hệ thống mạng cách bình thường Cần ý trình mã hóa liệu wireless station AP khác trình mã hóa từ AP đến AAA server Nếu AAA server gửi message Access-reject, AP ngắt kết nối đến wireless station Wireless station cố gắng thử lại trình xác thực, AP cấm wireless station không gửi gói UDP đến AP gần 63 Chú ý station hoàn toàn lắng nghe liệu truyền từ station khác Trên thực tế liệu truyền qua song radio lí bạn phải mã hóa liệu truyền mạng không dây Attribute-value pare bao gồm tròn message RADIUS sử dụng AAA server để định phiên làm việc AP wireless station, session-timeout hay VLAN tag (Tunnel-Type=VLAN, Tunnel-Private-GroupID=TAG) Chính xác thông tin thêm vào phụ thuộc vào AAA server hay AP wireless station mà bạn sử dụng Một vấn đề bạn phải hiểu vai trò RADIUS trình xác thực WLAN, bạn cần thiết lập AAA server hỗ trợ interaction Nếu AAA server gọi RADIUS, sẵn sang để hỗ trợ xác thực cho chuẩn 802.11x cho phép lựa chọn dạng EAP Nếu có bạn chuyển đến bước làm để thiết lập tính Nếu bạn có RADIUS hỗ trợ 802.11x, không hỗ trợ dạng EAP, bạn lựa chọn cách cập nhật phiên phần mềm cho server, hay bạn cài đặt máy chủ Nếu bạn cài server có hỗ trợ xác thực cho chuẩn 802.11x, bạn sử dụng tính RADIUS proxy để thiết lập chuỗi máy chủ, chia sở liệu tập trung, RADIUS proxy sử dụng để chuyển yêu cầu xác thực đến máy chủ có khả xác thực chuẩn 802.11x Nếu bạn máy chủ RADIUS, bạn cần thiết phải cài đặt máy chủ cho trình xác thực WLAN, lựa chọn cài đặt công việc thú vị Khi sử dụng RADIUS cho WLAN mang lại khả tiện lợi cao, xác thực cho toàn hệ thống nhiều AP,…cung cấp giải pháp thông minh CHƯƠNG III MÔ PHỎNG 64 3.1 Một số thiết bị sử dụng  Một máy Windows Server nâng cấp lên Domain Controler  Một máy Client Joint Domain  Một Access Point 3.2 Thực hiện mô Hình 3-1 Sơ đồ mô  Nâng cấp Windows server 2003 lên Domain Controler Tiến hành cài đặt Windows server 2003 phần mềm Vmware sau nâng cấp Windows server 2003 lên Domain Controler Nâng cấp lên Domain Controler cách sau : Trước nân cấp nên Domain Controler, phải đặt địa IP cho Windows server 2003 Sau tiến hành nâng cấp Vào StartRun, gõ lệnh DCPROMO Quá trình cài đặt bắt đầu 65 Hình 3-2 Nâng cấp lên Domain Controler Trong Contral Panel, nhấn đúp biểu tượng Add or Remove Programs Trong cửa sổ vừa mở, chọn mục Add/Remove Windows Components Cửa sổ Windows Components Wizard xuất  Cài đặt DHCP Chọn mục Network Services nhấn nút Details để làm xuất cửa sổ Network Services Trong cửa sổ đánh dấu chọn vào mục Dynamic Host Configuration Protocol (DHCP) nhấn OK Hình 3-3 Cài đặt DHCP 66  Cài đặt Enterprise CA Start Control Panel Add or Remove Programs Trong mục Add or Remove Programs, nhấn Add/Remove Windows Components Tích vào ô Certificae Services Next Hình 3-4 Cài đặt Enterprise CA  Chuyển sang chế độ Native Mode Hình 3-5 Chuyển sang chế độ Native Mode 67  Cấu hình DHCP Hình 3-6 Cấu hình DHCP  Cấu hình Radius Server Hình 3-7 Cấu hình Radius Server 68  Tạo User, cấp quyền Remote Access cho User và computer Hình 3-8 Tạo User  Tạo Remote Access Policy Hình 3-9 Tạo Remote Access Policy  Xin chứng Certificate Authority (CA) và cài đặt CA Client 69 Hình 3-10 Xin chứng CA  Cấu hình Access Point Hình 3-11 Cấu hình Access Point  Giao diện đăng nhập 70 Hình 3-12 Giao diện đăng nhập  Kiểm tra kết nối lệnh Ping Hình 3-13 Kiểm tra kết nối  Kiểm tra gói tin xác thực Wireshark 71 Hình 3-14 Kiểm tra gói tin xác thực Wireshark Client Hình 3-15 Kiểm tra gói tin xác thực Window Server 72 KẾT LUẬN Bảo vệ an toàn hệ thống mạng chủ đề rộng, có liên quan đến nhiều lĩnh vực Trong thực tế có nhiều phương pháp thực để bảo vệ an toàn mạng, đề tài chọn giải pháp sử dụng giao thức xác thực RADIUS SERVER để đảm bảo tính bảo mật mạng doanh nghiệp vừa nhỏ Những vấn đề đạt được: đồ án sâu vào phân tích vấn đề an ninh mạng như: - Tìm hiểu hình thức công vào hệ thống mạng - Xác thực người dùng truy cập vào hệ thống Username Password -Tìm hiểu xây dựng windows server 2003, cài đặt dịch vụ hỗ trợ (DHCP, IIS, CA, IAS…) windows server 2003 để thực đề tài Hướng phát triển đề tài: Về đồ án hoàn thành yêu cầu đề tài đặt Cần tiếp tục cập nhật phát triển giải pháp xác thực mạnh để bảo vệ hệ thống mạng cho quan doanh nghiệp Tiếp cận môi trường thực tế, thực thiết bị thật Triển khai mô hình mạng hoàn chỉnh, áp dụng cho khu ký túc xá trường cao đẳng, đại học Đáp ứng nhu cầu công ty, doanh nghiệp Em xin chân thành cảm ơn Thạc sỹ Phạm Bích Trà tạo điều kiện giúp đỡ em thực đề tài Thái Nguyên, tháng 06 năm 2012 Nguyễn Thế Yên TÀI LIỆU THAM KHẢO  Tài liệu [1] Dave Hucaby, Cisco ASA and PIX Firewall Handbook 73 [2] Jazib Frahim, Omar Santos, Cisco ASA: All-in-one Firewall, IPS and VPN Adaptive Security Appliance [3] Jazib Frahim, Omar Santos , Cisco ASA: All-in-one Firewall, IPS, Anti-X and VPN Adaptive Security Appliance (Second Edition) [4] Brandon Carroll, Cisco Access Control Security: AAA Administrative Services  Trang Web [1] Ictu.edu.vn [2] Tailieu.vn [3] Nhatnghe.com [4] Vnpro.org [5] Microsoft.com [6] Cisco.com 74 ... (accounting) Vì vậy, em lựa chọn đề tài ‘ Xây dựng giải pháp bảo mật mạng không dây phương pháp xác thực RADIUS SERVER ’ để làm đồ án tốt nghiệp Trong trình làm đồ án chắn không tránh khỏi thiếu sót Mong... Tổng quan mạng không dây 1.4.1 Một số đặc điểm mạng không dây  Mạng không dây là ? Mạng LAN không dây viết tắt WLAN (Wireless Local Area Network) hay WIFI (Wireless Fidelity), mạng dùng để kết... chưa có giải pháp gọi bảo mật an toàn, giải pháp phòng chống đưa tương đối (nghĩa tính bảo mật mạng WLAN bị phá vỡ nhiều cách khác nhau) Vấn đề công mạng WLAN nào? Và giải pháp phòng chống sao?