ĐỀ TÀI Nghiên cứu giải pháp bảo mật mạng Wireless dựa vào RADIUS

MỤC LỤC MỤC LỤC 1 LỜI CẢM ƠN 3 LỜI MỞ ĐẦU 4 CHƯƠNG I: TỔNG QUAN VỀ WIRELESS LAN 5 1.1. Wireless lan là gì? 5 1.1.1. Khái niệm 5 1.1.2. Lịch sử hình thành và phát triển. 5 1.1.3. Ưu điểm của WLAN 6 1.1.4. Nhược điểm 6 1.2. Cơ sở hạ tầng WLAN 7 1.2.1. Cấu trúc cơ bản của WLAN 7 1.2.2. Thiết bị dành cho WLAN 8 1.2.3. Các mô hình WLAN 12 1.3. Chuẩn 802.11 15 1.3.1. Giới thiệu tổng quan 15 1.3.2. Các đặc điểm kỹ thuật của IEEE 802.11 16 1.3.3. Các gói tin xử lý trong tầng datalink: là giử và bắt gói tin 16 1.3.4. Quá trình xử lý của các gói tin 16 1.4 Bảo mật dữ liệu trong wlan 16 CHƯƠNG II: QUI TRÌNH CHỨNG THỰC TRONG WIRELESS LAN 18 2.1. Khái niệm EAP 18 2.2. Quá tình chứng thực 802.1xEAP 18 2.3. WEP và WPA 18 2.3.1. Mã hóa và giải mã trong WEP 18 2.3.2. Mã hóa và giải mã trong WPA 21 CHƯƠNG III: BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP CHỨNG THỰC RADIUS 23 3.1. RADIUS là gì 23 3.2. Quá trình trao đổi gói tin trong RADIUS 23 3.2.1. Xác thực cấp phép và kiểm toán 23 3.2.2. Sự bảo mật và tính mở rộng 24 3.2.3. Áp dụng RADIUS cho WLAN 25 3.2.4. Các tùy chọn bổ sung 26 CHƯƠNG VI: QUY TRÌNH CÀI ĐẶT VÀ TRIỂN KHAI HỆ THỐNG RADIUS SERVER 28 4.1. Cài đặt và cấu hình DHCP 28 4.1.1. Cài đặt DHCP 28 4.1.2. Cấu hình DHCP 28 4.2. Cài Enterprise CA và Request Certificate từ CA Enterprite Server 28 4.2.1. Cài đặt Enterprise CA 28 4.2.2. Request Certificate từ CA Enterprite Server 29 4.3. Tạo user, cấp quyền Remote Access cho users và chuyển sang Native Mode 30 4.3.1. Tạo OU có tên “wifi” 30 4.3.2. Chuyển sang Native Mode 31 4.4. Cài đặt và cấu hình RADIUS, tạo Remote Access Policy 31 4.4.1. Cài đặt RADIUS 31 4.4.2. Cấu hình RADIUS 32 4.4.3. Tạo Remove Access Policy 33 4.5. Cấu hình AP 35 4.6. Cấu hình Wireless client 36 4.7. Demo 38 KẾT LUẬN 41 TÀI LIỆU THAM KHẢO 42 LỜI CẢM ƠN Trong suốt quá trình học tập và đào tạo tại trường, em đã rất may mắn khi được các thầy cô giáo tận tụy, quan tâm chỉ bảo và truyền đạt cho em những kiến thức vô cùng quý báu. Đó là hành trang giúp em vững bước trên con đường mới. Đồ án chuyên ngành là điều kiện giúp em đúc kết toàn bộ những kiến thức đã học. Qua đó giúp em nhìn nhận được những lổ hõng về mặt kiến thức của mình. Qua bài viết này em muốn bày tỏa lòng biết ơn sâu sắc đến toàn bộ quý thầy cô. Đã mang đến cho em những kiến thức vô vàng quý báu không chỉ về mặt kiến thức chuyên môn mà còn nung nấu, rèn luyện cho chúng em tính cần cù, tìm tòi học hỏi, có ý thức tự lực, tự cường. Đồng thời em cũng cảm ơn sự hướng dẫn tận tâm của thầy giáo Văn Thiên Hoàng và các thầy cô khác trong Khoa đã giúp em hoàn thành thành đề tài một cách thuận lợi. Do thời gian có hạn, nên bài Báo Cáo này không thể tránh khỏi sự thiếu sót. Chúng em rất mong sẽ nhận được sự đánh giá và góp ý của thầy cô để em bổ sung thêm kiến thức và rút ra bài học cho bản thân. Một lần nữa em xin gửi đến quý thầy cô lòng biết ơn vô hạn và những lời chúc tốt đẹp nhất. Tp. Hồ Chí Minh, Ngày 7 Tháng 07 Năm 2012 Nhóm sinh viên thực hiện LỜI MỞ ĐẦU Ngày nay, trước sự phát triển vượt bậc trên mọi lĩnh vực của Khoa Học Kỹ Thuật thì ngành Công Nghệ Thông Tin cũng đã và đang chiếm một vị trí vô cùng to lớn trong Xã Hội. Kéo theo đó là các ngành Công Nghiệp, Thương Mại, Viễn Thông… điều phát triển theo và lấy Công Nghệ Thông Tin làm nền tảng. Trong đó phải kể đến sự ra đời và phát triển của mạng máy tính. Mạng WLAN ra đời thực sự là một bước tiến vượt bật của công nghệ mạng, đây là phương pháp chuyển giao từ điểm này sang điểm khác sử dụng sóng vô tuyến. Và hiện nay đã phổ biến trên toàn thế giới, mang lại rất nhiều lợi ích cho người sử dụng, nhất là khả năng di động của nó. Ở một số nước có nền thông tin công nghệ phát triển, mạng không dây thực sự đi vào cuộc sống. Chỉ cần có một Laptop, PDA hoặc một thiết bị truy cập không dây bất kỳ, chúng ta có thể truy cập vào mạng không đây ở bất kỳ nơi đâu, trên cơ quan, trong nhà, trên máy bay, ở quán Caffe… ở bất kỳ đâu trong phạm vi phủ sóng của WLAN. Do đặc điểm trao đổi thông tin trong không gian truyền sóng nên khả năng thông tin bị rò rỉ ra ngoài là điều dễ hiểu. Nếu chúng ta không khắc phục được điểm yếu này thì môi trường mạng không dây sẽ trở thành mục tiêu của những hacker xâm phạm, gây ra những sự thất thoát về thông tin, tiền bạc… Do đó bảo mật thông tin là một vấn đề rất nóng hiện nay. Đi đôi với sự phát triển mạng không giây phải phát triển các khả năng bảo mật, để cung cấp thông tin hiệu quả, tin cậy cho người sử dụng. Đó cũng chính là lý do Nhóm chọn đồ án Nghiên giải pháp bảo mật mạng wireless dựa vào RDIUS. Tp. Hồ Chí Minh, Ngày 07 Tháng 07 Năm 2012 Nhóm sinh viên thực hiện CHƯƠNG I: TỔNG QUAN VỀ WIRELESS LAN 1.1. Wireless lan là gì? 1.1.1. Khái niệm Mạng LAN không dây viết tắt là WLAN (Wireless Local Area Network) hay WIFI (Wireless Fidelity), là một mạng dùng để kết nối hai hay nhiều máy tính với nhau mà không sử dụng dây dẫn. WLAN dùng công nghệ trải phổ, sử dụng sóng vô tuyến cho phép truyền thông giữa các thiết bị trong một vùng nào đó gọi là Basic Service Set. Đây là một giải pháp có rất nhiều ưu điểm so với kết nối mạng có dây (wireline) truyền thống. Người dùng vẫn duy trì kết nối với mạng khi di chuyển trong vùng phủ sóng. 1.1.2. Lịch sử hình thành và phát triển. Năm 1990, công nghệ WLAN lần đầu tiên xuất hiện, khi những nhà sản xuất giới thiệu những sản phẩm hoạt động ở băng tần 900 Mhz. Các giải pháp này (không có sự thống nhất của các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mbs, thấp hơn rất nhiều so với tốc độ 10 Mbs của hầu hết các mạng sử dụng cáp lúc đó. Năm 1992, các nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần 2.4GHz. Mặc dù những sản phẩm này có tốc độ truyền cao hơn nhưng chúng vẫn chỉ là những giải pháp riêng của mỗi nhà sản xuất và không được công bố rộng rãi. Sự cần thiết cho việc thống nhất hoạt động giữa các thiết bị ở những dãy tần số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây. Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã thông qua sự ra đời của chuẩn 802.11, và được biết đến với tên WIFI (Wireless Fidelity) cho các mạng WLAN. Năm 1999, IEEE thông qua sự bổ sung cho chuẩn 802.11 là chuẩn 802.11a và 802.11b (định nghĩa ra những phương pháp truyền tín hiệu). Và các thiết bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây nổi trội. Năm 2003, IEEE công bố thêm sự cải tiến là chuẩn 802.11g, chuẩn này cố gắng tích hợp tốt nhất các chuẩn 802.11a, 802.11b và 802.11g. Sử dụng băng tần 2.4Ghz cho phạm vi phủ sóng lớn hơn. Năm 2009, IEEE cuối cùng cũng thông qua chuẩn WIFI thế hệ mới 802.11n sau 6 năm thử nghiệm. Chuẩn 802.11n có khả năng truyền dữ liệu ở tốc độ 300Mbps hay thậm chí cao hơn. 1.1.3. Ưu điểm của WLAN  Sự tiện lợi: Mạng không dây cung cấp giải pháp cho phép người sử dụng truy cập tài nguyên trên mạng ở bất kì nơi đâu trong khu vực WLAN được triển khai (khách sạn, trường học, thư viện…). Với sự bùng nổ của máy tính xách tay và các thiết bị di động hỗ trợ wifi như hiện nay, điều đó thật sự rất tiện lợi.  Khả năng di động: Với sự phát triển vô cùng mạnh mẽ của viễn thông di động, người sử dụng có thể truy cập internet ở bất cứ đâu. Như: Quán café, thư viện, trường học và thậm chí là ở các công viên hay vỉa hè. Người sử dụng đều có thể truy cập internet miễn phí.  Hiệu quả: Người sử dụng có thể duy trì kết nối mạng khi họ đi từ nơi này đến nơi khác.  Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, chúng ta chỉ cần một đường truyền ADSL và một AP là được một mạng WLAN đơn giản. Với việc sử dụng cáp, sẽ rất tốn kém và khó khăn trong việc triển khai ở nhiều nơi trong tòa nhà.  Khả năng mở rộng: Mở rộng dễ dàng và có thể đáp ứng tức thì khi có sự gia tăng lớn về số lượng người truy cập. 1.1.4. Nhược điểm Bên cạnh những thuận lợi mà mạng không dây mang lại cho chúng ta thì nó cũng mắc phải những nhược điểm. Đây là sự hạn chế của các công nghệ nói chung.  Bảo mật: Đây có thể nói là nhược điểm lớn nhất của mạng WLAN, bởi vì phương tiện truyền tín hiệu là song và môi trường truyền tín hiệu là không khí nên khả năng một mạng không dây bị tấn công là rất lớn  Phạm vi: Như ta đã biết chuẩn IEEE 802.11n mới nhất hiện nay cũng chỉ có thể hoạt động ở phạm vi tối đa là 150m, nên mạng không dây chỉ phù hợp cho một không gian hẹp.  Độ tin cậy: Do phương tiện truyền tín hiệu là sóng vô tuyến nên việc bị nhiễu, suy giảm…là điều không thể tránh khỏi. Điều này gây ảnh hưởng đến hiệu quả hoạt động của mạng.  Tốc độ: Tốc độ cao nhất hiện nay của WLAN có thể lên đến 600Mbps nhưng vẫn chậm hơn rất nhiều so với các mạng cáp thông thường (có thể lên đến hàng Gbps) 1.2. Cơ sở hạ tầng WLAN 1.2.1. Cấu trúc cơ bản của WLAN  Distribution System (Hệ thống phân phối ): Đây là một thành phần logic sử dụng để điều phối thông tin đến các station đích.Chuẩn 802.11 không đặc tả chính xác kỹ thuật cho DS.  Access Point: chức năng chính chủa AP là mở rộng mạng. Nó có khả năng chuyển đổi các frame dữ liệu trong 802.11 thành các frame thông dụng để có thể sử dụng trong mạng khác.  Wireless Medium (tầng liên lạc vô tuyến): Chuẩn 802.11 sử dụng tần liên lạc vô tuyến để chuyển đổi các frame dữ liệu giữa các máy trạm với nhau.  Station (các máy trạm): Đây là các thiết bị ngoại vi có hỗ trợ kết nối vô tuyến như: laptop, PDA, Palm… 1.2.2. Thiết bị dành cho WLAN  Wireless Accesspoint(AP): Là thiết bị có nhiệm vụ cung cấp cho máy khách (client) một điểm truy cập vào mạng.  Các chế độ hoạt động của AP: AP có ba chế độ hoạt động chính. o Chế độ gốc (root mode): Root mode được sử dụng khi AP kết nối với mạng backbone có dây thông qua giao diện có dây (thường là Ethernet) của nó. Hầu hết các AP đều hoạt động ở chế độ mặc định là root mode. o Chế độ cầu nối(bridge mode): Trong bridge mode, AP hoạt động hoàn toàn như cầu mối không dây. Với chế độ này, máy khách (client) sẽ không kết nối trực tiếp với AP, nhưng thay vào đó, AP dùng để nối hai hay nhiều đoạn mạng có dây lại với nhau. Hiện nay, hầu hết các thiết bị AP đều hỗ trợ chế độ bridge. o Chế độ lặp (Repeater mode): Ở chế độ Repeater, sẽ có ít nhất hai thiết bị AP, một root AP và một AP hoạt động như một Repeater không dây. AP trong Repeater mode hoạt động như một máy khách khi kết nối với root AP và hoạt động như một AP khi kết nối với máy khách.  Wireless Router Ngày nay, với sự tiến bộ của công nghệ và kỹ thuật, sự ra đời của thiết bị đa năng Wireless Router với sự kết hợp chức năng cửa ba thiết bị là Wireless Accesspoint, Ethernet Switch và Router.  Wireless NICs: Là các thiết bị được máy khách dùng để kết nối vào AP. 1.2.3. Các mô hình WLAN Mạng 802.11 rất linh hoạt về thiết kế, bao gồm 3 mô hình cơ bản sau • Mô hình mạng độc lập (IBSSs) hay còn gọi là mạng Adhoc. • Mô hình mạng cơ sở (BSSs). • Mô hình mạng mở rộng (ESSs). 1.2.3.1. Mô hình mạng độc lập Mạng IBSSs (Independent Basic Service Set) hay còn gọi là mạng adhoc, trong mô hình mạng adhoc các client liên lạc trực tiếp với nhau mà không cần thông qua AP nhưng phải ở trong phạm vi cho phép. Mô hình mạng nhỏ nhất trong chuẩn 802.11 là 2 máy client liên lạc trực tiếp với nhau. Thông thường mô hình này được thiết lập bao gồm một số client được cài đặt dùng chung mục đích cụ thể trong khoảng thời gian ngắn .Khi mà sự liên lạc kết thúc thì mô hình IBSS này cũng được giải phóng. 1.2.3.2. Mô hình mạng cơ sở (BSSs) The Basic Service Sets (BSS) là một topology nền tảng của mạng 802.11. Các thiết bị giao tiếp tạo nên một BSS với một AP duy nhất với một hoặc nhiều client. Các máy trạm kết nối với sóng wireless của AP và bắt đầu giao tiếp thông qua AP. Các máy trạm là thành viên của BSS được gọi là “có liên kết”. Thông thương các AP được kết nối với một hệ thống phân phối trung bình (DSM), nhưng đó không phải là một yêu cầu cần thiết của một BSS. Nếu một AP phục vụ như là cổng để vào dịch vụ phân phối, các máy trạm có thể giao tiếp, thông qua AP, với nguồn tài nguyên mạng ở tại hệ thống phân phối trung bình. Nó cũng cần lưu ý là nếu các máy client muốn giao tiếp với nhau, chúng phải chuyển tiếp dữ liệu thông qua các AP. Các client không thể truyền thông trực tiếp với nhau, trừ khi thông qua các AP. Hình sau mô tả mô hình một BSS chuẩn. 1.2.3.3. Mô hình mạng mở rộng (ESSs) Trong khi một BSS được coi là nền tảng của mạng 802.11, một mô hình mạng mở rộng ESS (extended service set) của mạng 802.11 sẽ tương tự như là một tòa nhà được xây dựng bằng đá. Một ESS là hai hoặc nhiều BSS kết nối với nhau thông qua hệ thống phân phối. Một ESS là một sự hội tụ nhiều điểm truy cập và sự liên kết các máy trạm của chúng. Tất cả chỉ bằng một DS. Một ví dụ phổ biến của một ESS có các AP với mức độ một phần các tế bào chồng chéo lên nhau. Mục đích đằng sau của việc này là để cung cấp sự chuyển vùng liên tục cho các client. Hầu hết các nhà cung cấp dịch vụ đề nghị các tế bào chồng lên nhau khoảng 10%15% để đạt được thành công trong quá trình chuyển vùng. 1.3. Chuẩn 802.11 1.3.1. Giới thiệu tổng quan Năm 2007, IEEE cho ra đời 802.11n có tốc độ lý thuyết lên đến 600Mbps và vùng phủ sóng rộng khoảng 250m. Hiện nay IEEE 802.11n vẫn còn đang trong giai đoạn thử nghiệm nhưng hầu hết mọi thiết bị trên thị trường điều có chuẩn này. Chuẩn 802.11 là chuẩn đầu tiên mô tả hoạt động của WlAN. Chuẩn này bao gồm tất cả các công nghệ truyền dẫn sẵn có như trãi phổ chuổi trực tiếp DSSS (Direct Sequence Spread Spectrum), trãi phổ nhảy tần FHSS (Frequence Hopping Spread Spectrum) và hồng ngoại (Infrared). Chuẩn 802.11 mô tả hệ thống DSSS chỉ hoạt động tại tốc độ 1 Mbps và 2 Mbps. Nếu hệ thống DSSS hoạt động ở các tốc độ khác nhau như 1 Mbps, 2 Mbps và 11 Mbps thì nó vẫn được gợi là hệ thống tương thích chuẩn 802.11. Tuy nhiên, nếu như hệ thống hoạt động ở tốc độ nào khác ngoài 1 Mbps và 2 Mbps thì mặc dù hệ thống đó là tương thích chuẩn 802.11 bởi vì nó có thể hoạt động ở 1 Mbps và 2 Mbps thì nó vẫn không hoạt động trong chế độ tương thích chuẩn 802.11 và không thể mong chờ nó giao tiếp được với các thiết bị tương thích 802.11 khác. IEEE 802.11 là một trong hai chuẩn mô tả hoạt động của hệ thống WLAN nhảy tần (Frequency hopping). Nếu như người quản trị mạng gặp phải một hệ thống nhảy tần thì nó có thể là hệ thống tương thích 802.11 hay hệ thống tương thích OpenAir. Chuẩn 802.11 mô tả việc sử dụng hệ thống FHSS tại 1 Mbps và 2 Mbps. Có nhiều hệ thống FHSS mở rộng tốc độ hoạt động lên đến 310 Mbps sử dụng các công nghệ độc quyền nhưng chỉ với DSSS, nếu hệ thống đang hoạt động ở tốc độ 1 và 2 Mbps thì cũng không thể mong chờ nó sẽ giao tiếp được với các thiết bị tương thích 802.11. Các sản phẩm 802.11 hoạt động trong băng tần 2,4 GHz ISM giữa 2,4000 GHz và 2,4835 GHz. Hồng ngoại cũng được mô tả trong 802.11, nó là một công nghệ dựa trên ánh sâng và không sử dụng băng tần 2,4 GHz ISM. 1.3.2. Các đặc điểm kỹ thuật của IEEE 802.11 802.11a 802.11b 802.11g 802.11n Năm phê chuẩn Tháng 71999 Tháng 71999 Tháng 62003 Chưa Tốc độ tối đa 54Mbps 11Mbps 54Mbps 300Mbps hay cao hơn Điều chế OFDM DSSS hay CCK DSS hay CCK hay OFDM DSS hay CCK hay OFDM Dải tần số trung tần (RF) 54GHz 2.4GHz 2.4GHz 2.4GHz hay 5GHz Spatial Stream 1 1 1 1,2,3 hay 4 Độ rộng băng thông 20MHz 20MHz 20MHz 20MHz hay 40MHz 1.3.3. Các gói tin xử lý trong tầng datalink: là giử và bắt gói tin 1.3.4. Quá trình xử lý của các gói tin Quy trình xử lý trong chuẩn 802.11 ở tầng datalink là Tầng liên kết dữ liệu (Data Link): truy xuất tới một mạng vật lý bằng các địa chỉ vật lý. Địa chỉ MAC là địa chỉ của tầng 2. Các nút trên LAN gửi thông điệp cho nhau bằng cách sử dụng các địa chỉ IP, và các địa chỉ này phải được chuyển đổi sang các địa MAC tương ứng. Giao thức phân giải gửiMột vùng nhớ cache lưu trữ các địa chỉ MAC để tăng tốc độ xử lý này, và có thể kiểm tra bằng tiện ích arp –a. 1.4 Bảo mật dữ liệu trong wlan  Bảo mật dữ liệu trong wlan diễn ra ở tầng 2: Tầng liên kết dữ liệu (Data Link Layer)  Dữ liệu được mã hóa • Tầng liên kết dữ liệu cung cấp các phương tiện có tính chức năng và quy trình để truyền dữ liệu giữa các thực thể mạng, phát hiện và có thể sửa chữa các lỗi trong tầng vật lý nếu có. Cách đánh địa chỉ mang tính vật lý, nghĩa là địa chỉ (địa chỉ MAC) được mã hóa cứng vào trong các thẻ mạng (network card) khi chúng được sản xuất. Hệ thống xác định địa chỉ này không có đẳng cấp (flat scheme). Chú ý: Ví dụ điển hình nhất là Ethernet. Những ví dụ khác về các giao thức liên kết dữ liệu (data link protocol) là các giao thức HDLC; ADCCP dành cho các mạng điểmtớiđiểm hoặc mạng chuyển mạch gói (packetswitched networks) và giao thức Aloha cho các mạng cục bộ. Trong các mạng cục bộ theo tiêu chuẩn IEEE 802, và một số mạng theo tiêu chuẩn khác, chẳng hạn FDDI, tầng liên kết dữ liệu có thể được chia ra thành 2 tầng con: tầng MAC (Media Access Control Điều khiển Truy nhập Đường truyền) và tầng LLC (Logical Link Control Điều khiển Liên kết Lôgic) theo tiêu chuẩn IEEE 802.2. • Tầng liên kết dữ liệu chính là nơi các cầu nối (bridge) và các thiết bị chuyển mạch (switches) hoạt động. Kết nối chỉ được cung cấp giữa các nút mạng được nối với nhau trong nội bộ mạng. Tuy nhiên, có lập luận khá hợp lý cho rằng thực ra các thiết bị này thuộc về tầng 2,5 chứ không hoàn toàn thuộc về tầng 2. CHƯƠNG II: QUI TRÌNH CHỨNG THỰC TRONG WIRELESS LAN 2.1. Khái niệm EAP EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, certificate,…), giao thức được sử dụng (MD5, TLI_Transport Layer Security, OTP_One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau. 2.2. Quá tình chứng thực 802.1xEAP Wireless client muốn lien kết với một AP trong mạng. 1. AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng. Khi đó client yêu cầu lien kết tới AP. 2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP. 3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP. 4. Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng thực. 5. Server chứng thực gửi một yêu cầu cho phép AP. 6. AP chuyển yêu cầu cho phép tới client. 7. Client gửi trả lời sự cấp phép EAP tới AP. 8. AP chuyển sự trả lời đó tới Server chứng thực. 9. Server chứng tực gửi một thông báo thành công EAP tới AP. 10. AP chuyển thông báo thành công tới client và đặt cổng của client trogn chế độ forward. 2.3. WEP và WPA 2.3.1. Mã hóa và giải mã trong WEP Sóng vô tuyến lan truyền trong môi trường mạng có thể bị kẻ tấn công bắt sóng được. Điều này thực sự là mối đe doạ nghiêm trọng. Để bảo vệ dữ liệu khỏi bị nghe trộm, nhiều dạng mã hóa dữ liệu đã dùng. Đôi khi các dạng mã hóa này thành công, một số khác thì có tính chất ngược lại, do đó làm phá vỡ sự an toàn của dữ liệu. Phương thức chứng thực qua SSID khá đơn giản, chính vì vậy mà nó chưa đảm bảo được yêu cầu bảo mật, mặt khác nó chỉ đơn thuần là chứng thực mà chưa có mã hóa dữ liệu. Do đó chuẩn 802.11 đã đưa ra phương thức mới là WEP – Wired Equivalent Privacy. WEP có thể dịch là chuẩn bảo mật dữ liệu cho mạng không dây mức độ tương đương với mạng có dây, là phương thức chứng thực người dùng và mã hóa nội dung dữ liệu truyền trên mạng LAN không dây (WLAN). Chuẩn IEEE 802.11 ( IEEE Institute of Electrical and Electronic Engineers ) quy định việc sử dụng WEP như một thuật toán kết hợp giữa bộ sinh mã giả ngẫu nhiên PRNG – Pseudo Random Number Generator và bộ mã hóa luồng theo kiểu RC4. Phương thức mã hóa RC4 thực hiện việc mã hóa và giải mã khá nhanh, tiết kiệm tài nguyên, và cũng đơn giản trong việc sử dụng nó ở các phần mềm khác. Chuẩn 802.11 chủ yếu cho việc phân phát các MSDU (đơn vị dữ liệu dịch vụ của MAC) giữa các kết nối LLC (điều khiển liên kết logic ). Phương thức chứng thực của WEP cũng phải qua các bước trao đổi giữa Client và AP, nhưng nó có thêm mã hóa và phức tạp hơn. Các bước cụ thể như sau: 1. Client gửi đến AP yêu cầu xin chứng thực. 2. AP sẽ tạo ra một chuỗi mời kết nối (challenge text) ngẫu nhiên gửi đến Client. 3. Client nhận được chuỗi này này sẽ mã hóa chuỗi bằng thuật toán RC4 theo mã khóa mà Client được cấp, sau đó Client gửi lại cho AP chuỗi đã mã hóa. 4. AP sau khi nhận được chuỗi đã mã hóa của Client, nó sẽ giải mã lại bằng thuật toán RC4 theo mã khóa đã cấp cho Client, nếu kết quả giống với chuỗi ban đầu mà nó gửi cho Client thì có nghĩa là Client đã có mã khóa đúng và AP sẽ chấp nhận quá trình chứng thực của Client và cho phép thực hiện kết nối. WEP là một thuật toán mã hóa đối xứng có nghĩa là quá trình mã hóa và giải mã đều dùng một là Khóa dùng chung Share key, khóa này AP sử dụng và Client được cấp. Một số khái niệm bảo mật trong WEP:  Khóa dùng chung–Share key: Đây là mã khóa mà AP và Client cùng biết và sử dụng cho việc mã hóa và giải mã dữ liệu. Khóa này có 2 loại khác nhau về độ dài là 40 bit và 104 bit. Một AP có thể sử dụng tới 4 Khóa dùng chung khác nhau, tức là nó có làm việc với 4 nhóm các Client kết nối tới nó.  Vectorkhởi tạo IVInitialization Vector: Đây là một chuỗi dài 24 bit, được tạo ra một cách ngẫu nhiên và với gói tin mới truyền đi, chuỗi IV lại thay đổi một lần. Có nghĩa là các gói tin truyền đi liền nhau sẽ có các giá trị IV thay đổi khác nhau. Vì thế người ta còn gọi nó là bộ sinh mã giả ngẫu nhiên PRNG – Pseudo Random Number Generator. Mã này sẽ được truyền cho bên nhận tin (cùng với bản tin đã mã hóa), bên nhận sẽ dùng giá trị IV nhận được cho việc giải mã.  RC4: Chữ RC4 xuất phát từ chữ Rons Code lấy từ tên người đã nghĩ ra là Ron Rivest, thành viên của tổ chức bảo mật RSA. Đây là loại mã dạng chuỗi các ký tự được tạo ra liên tục (còn gọi là luồng dữ liệu). Độ dài của RC4 chính bằng tổng độ dài của Khóa dùng chung và mã IV. Mã RC4 có 2 loại khác nhau về độ dài từ mã là loại 64 bit (ứng với Khóa dùng chung 40 bit) và 128 bit (ứng với Khóa dùng chung dài 104 bit). Khóa dùng chung và vector khởi tạo IVInitialization Vector (một luồng dữ liệu liên tục) là hai nguồn dữ liệu đầu vào của bộ tạo mã dùng thuật toán RC4 để tạo ra chuỗi khóa (key stream) giả ngẫu nhiên một cách liên tục. Mặt khác, phần nội dung bản tin được bổ sung thêm phần kiểm tra CRC để tạo thành một gói tin mới, CRC ở đây được sử dụng để nhằm kiểm tra tính toàn vẹn của dữ liệu (ICV – Intergrity Check Value), chiều dài của phần CRC là 32 bit ứng với 8 bytes. Gói tin mới vẫn có nội dung ở dạng chưa mã hóa (plant text), sẽ được kết hợp với chuỗi các khóa key stream theo thuật toán XOR để tạo ra một bản tin đã được mã hóa – cipher text. Bản tin này và chuỗi IV được đóng gói thành gói tin phát đi. Dữ liệu được đưa vào kết hợp với chuỗi mã được chia thành các khối (block), các khối này có độ lớn tương ứng với độ lớn của chuỗi mã, ví dụ nếu ta dùng chuỗi mã 64 bit thì khối sẽ là 8 byte, nếu chuỗi mã 128 bit thì khối sẽ là 16 byte. Nếu các gói tin có kích cỡ lẻ so với 8 byte (hoặc 16 byte) thì sẽ được chèn thêm các ký tự “độn” vào để thành số nguyên lần các khối. Bộ tạo chuỗi khóa là một yếu tố chủ chốt trong quá trình xử lý mã hóa vì nó chuyển một khóa bí mật từ dạng ngắn sang chuỗi khóa dài. Điều này giúp đơn giản rất nhiều việc phân phối lại các khóa, các máy kết nối chỉ cần trao đổi với nhau khóa bí mật. IV mở rộng thời gian sống có ích cuả khóa bí mật và cung cấp khả năng tự đồng bộ. Khóa bí mật có thể không thay đổi trong khi truyền nhưng IV lại thay đổi theo chu kỳ. Mỗi một IV mới sẽ tạo ra một seed mới và một sequence mới, tức là có sự tương ứng 11 giữa IV và key sequence. IV không cung cấp một thông tin gì mà kẻ bất hợp pháp có thể lợi dụng. Quá trình giải mã cũng thực hiện tương tự như theo các khâu tương tự của quá trình mã hóa nhưng theo chiều ngược lại. Bên nhận dùng Khóa dùng chung và giá trị IV (tách được từ bản tin) làm 2 đầu vào của bộ sinh chuỗi mã RC4. Chuỗi khóa do RC4 tạo ra sẽ kết hợp XOR với Cipher Text để tạo ra Clear Text ở đầu ra, gói tin sau khi bỏ phần CRC sẽ còn lại phần payload, chính là thông tin ban đầu gửi đi. Quá trình giải mã cũng chia bản tin thành các khối như quá trình mã hóa. 2.3.2. Mã hóa và giải mã trong WPA WPA là sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol). WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể thực hiện được với WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu. Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền. WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn này đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc.  WPA cung cấp hai yếu tố cải tiến về bảo mật như sau:  Cải tiến mã hóa dữ liệu thông qua TKIP. Temporal Key Integrity Protocol, cung cấp sự cải tiến trong mã hóa dữ liệu bằng cách trộn lẫn key đựơc sinh theo từng packet với véc tơ khởi tạo (IV) được mở rộng với những sequence counter để chống replay attack trên WEP, sau đó mới chuyển đến quy trình khởi tạo mã hóa RC4. Ngoài ra, TKIP còn hiện thực chức năng kiểm tra sự toàn vẹn thông điệp (Message Integrity Check – MIC) 64 bit với giải thuật MICHAEL.  Authenticate người dùng ở mức độ doanh nghiệp thông qua 802.1x và EAP. Framework 802.1x và EAP dùng một máy chủ authenticate tập trung, chẳng hạn như RADIUS, để authenticate mỗi người dùng trong mạng trước khi họ kết nối vào. Nó cũng sử dụng cơ chế “nhận dạng lẫn nhau” để ngăn chặn người dùng truy cập vào một mạng giả mạo có thể đánh cắp nhận dạng của họ. Các bước cụ thể như sau: Bước 1: AP tạo ra một số ngẫu nhiên và gửi nó cho PC.PC sau đó sử dụng một cụm từ mật khẩu cùng với số ngẫu nhiên để lấy được một mã khóa được sử dụng để mã hóa dữ liệu đến AP. Bước 2: PC tạo 1 số ngẫu nhiên kèm với MIC (Message Integrity Code:được dùng để bảo đảm rằng dữ liệu không phải là giả mạo). Bước 3: Để xác minh, AP sẽ gửi số ngẫu nhiên một lần nữa, mật mã bằng cách sử dụng giá trị ở bước 1. Bước 4: Một thông điệp cuối cùng được gửi, cho biết đã có sự kết nối giữa 2 bên. CHƯƠNG III: BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP CHỨNG THỰC RADIUS 3.1. RADIUS là gì RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền và kiểm toán truy cập cho mạng. Ban đầu được phát triển cho thiết lập kết nối từ xa. Radius bâu giờ thì hỗ trợ cho máy chủ VPN, các điểm truy cập không dây, chứng thực chuyển mạch internet, truy cập DSL, và các loại truy cập mạng khác. RADIUS được mô tả trong RFC 2865, Remote Authentication Dialin User Service (RADIUS), (IETF Draft Standard) and RFC 2866, RADIUS Accounting (Informational). 3.2. Quá trình trao đổi gói tin trong RADIUS 3.2.1. Xác thực cấp phép và kiểm toán Giao thức RADIUS được định nghĩa trong RFC 2865 như sau: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization và AccoutingAAA) cho các phiên làm việc với SLIP và PPP DialUp. Như việc cung cấp dịch vụ internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập internet. Nó cần thiết trong các NAS để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Accessrequest sẽ chuyển thông tin tới một Authentication Server, thông thường nó là một AAA Server. Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu, thông tin của người dùng, các điều khiển truy cập trên một điểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NASs Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Accessrequest tới máy chủ AAA Server, chuyển các thông tin như Username, Password , UDP port, NAS indentifier và một Authentication message. Sau khi nhận các thông tin AAA sử dụng gói tin được cung cấp như NAS Indentify, và Authentication thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không?Nếu có khả năng, AAA server sẽ kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong database. Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin trong Accessrequest quyết định quá trình truy cập của user đó là được chấp nhận. Khi quá trình chứng thực bắt đầu được sử dụng, AAA server có thể trả về một RADIUS AccessChallenge mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến người dùng từ xa. Khi đó người dùng sẽ phải trả lời đúng yêu cầu xác nhận, sau đó NAS sẽ chuyển đến AAA server một RADIUS AccessRequest AAA server sau khi kiểm tra các thông tin của người dùng hoàn toàn thỏa mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Accessaccept. Nếu không thỏa mãn AAA server sẽ trả về một tin RADIUS Accessreject và NAS sẽ ngắt dịch vụ. Khi gói tin Accessaccept được nhận và RADIUS Accouting đã được thiết lập, NAS sẽ gửi một gói tin RADIUS Accouting –request tới AAA server. Máy chủ sẽ thêm các thông tin vào logfile của nó, với việc NAS sẽ cho phép phiên làm việc với User bắt đầu khi nào và kết thúc khi nào. RADIUS Accouting làm nhiệm vụ ghi lại quá trình xác thực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi thông tin RADIUS Accoutingrequest 3.2.2. Sự bảo mật và tính mở rộng Tất cả các message của RADIUS đều được đóng gói bởi UDP datagrams, nó bao gồm các thông tin như: message type, sequence number, length, Authenticator, và một loạt các AttributeValue. Authenticator: tác dụng của Authenticator là cung cấp một chế độ bảo mật. NAS và AAA Server sử dụng Authenticator để hiểu đuợc các thông tin đã đươcj mã hoá của nhau như mật khẩu chẳng hạn. Authenticator cũng giúp NAS phát hiện sự giả mạo của gói tin RADIUS Responses. Cuối cùng, Authenticator được sử dụng làm cho để biễn password thành một dạng nào đó, ngăn chặn việc làm lộ mật khẩu của người dùng trong các message RADIUS. Authenticator gửi AccessRequest trong một số ngẫu nhiên. MD5 sẽ băm (hash) số ngẫu nhien đó thành một dạng riêng là OR’ed cho mật khẩu của ngwoif dùng và gửi trong AccessRequest UserPassword. Toàn bộ RADIUS response sau đó được MD5 băm (hash) với cùng thông số bảo mật của Authenticator, và các thông số response khác. Authenticator giúp cho quá trình giao tiếp giữa NAS và máy chủ AAA được bảo mật nhưng nếu kẻ tấn công tóm được cả hai gói tin RADIUS AccessRequest và AccessResponse thì có thể thực hiện dictionary attack để phân tích việc đóng gói này. Trong điều kiện thực tế để việc giải mã khó khăn bạn cần phải sử dụng những thông số dài hơn, toàn bộ vấn đề có khả năng nguy hại cho quá trình truyền tải này được miêu tả rất kỹ trong RFC 3580 AttributeValue Pairs: Thông tin được mang bởi RADIUS đuợc miêu tả trong một dạng AttributeValue, để hỗ trợ cho nhiều công nghệ khác nhau, và nhiều phương thức xác thực khác nhau. Một chuẩn được định nghĩa trong AttributeValue pairs (cặp đôi), bao gồm UserNam, UserPassword, NASIPAddress, NASPort, ServiceType. Các nhà sản xuất (vendors) cũng có thể định nghĩa AttributeValue pairs để mang các thông tin của mình như VendorSpecific toàn bộ ví dụ này được miêu tả trong RFC 2548 Định nghĩ Microsoft AttributeValue pair trong MSCHAP. Thêm vào đó, rất nhiều chuẩn AttributeValue pairs được định nghĩa trong nhiều năm để hỗ trợ Extensible Authentication Protocol (EAP), một dạng khác cũ hơn của nó là PAP và CHAP dialup protocol. Bạn có thể tìm thấy trong tài liệu RFC 3579 cho phiên bản mới nhất của RADIUS hỗ trợ EAP. Trong phần này sẽ nói rất rõ về hỗ trợ xác thực cho WLAN, từ khi chuẩn EAP được sử dụng cho 802.1X Port Access Control để cho phép xác thực từ bên ngoài cho wireless. 3.2.3. Áp dụng RADIUS cho WLAN Trong một mạng WLAN sử dụng 802.11x port access control, các máy trạm sử dụng Wireless đóng vai trò Remote Access và Wireless Access Point làm việc như một NASNetwork Access Server. Để thay thế việc kết nối đến NAS với dialup như giao thức PPP, Wireless station kết nối đến AP bằng việc sử dụng giao thức 802.11 Một quá trình được thực hiện , wireless station gửi một EAPStart tơi AP. AP sẽ yêu cầu station nhận dạng và chuyển thông tin đó tới một AAA server với thông tin là RADIUS Accessrequest Usename attribute. AAA server và Wireless Station hoàn thành bằng việc chuyển các thông tin RADIUS Accesschallenge và Accessrequest qua AP. Được quyết định bởi phía trên là một dạng EAP, thông tin này được chuyển trong một đường hầm được mã hóa TLS (Encypted TLS Tunnel). Nếu AAA server gửi một message Accessaccept, AP và Wireless station sẽ hoàn thành quá trình kết nối và hoàn thành phiên làm việc với việc sử dụng WEP hay TKIP để mã hóa dữ liệu. Và tại điểm đó, AP sẽ không cấm cổng và wireless station có thể gửi và nhận dữ liệu từ hệ thống mạng một cách bình thường. Cần chú ý là quá trình mã hóa dữ liệu giữa wireless station và AP khác quá trình mã hóa từ AP đến AAA server. Nếu AAA server gửi một message Accessreject, AP sẽ ngắt kết nối đến wireless station. Wireless station có thể cố gắng thử lại quá trình xác thực, nhưng AP cấm wireless station này không được gửi các gói UDP đến các AP gần đó. Chú ý là station này hoàn toàn có thể lắng nghe các dữ liệu được truyền đi từ các station khác. Trên thực tế dữ liệu được truyền qua song radio và đó là lí do tại sao bạn phải mã hóa dữ liệu khi truyền trên mạng không dây. Attributevalue pare bao gồm tròn các message của RADIUS có thể sử dụng AAA server để quyết định phiên làm việc giữa AP và wireless station, như sessiontimeout hay VLAN tag (TunnelType=VLAN, TunnelPrivateGroupID=TAG). Chính xác thông tin thêm vào có thể phụ thuộc vào AAA server hay AP và wireless station mà bạn đang sử dụng. 3.2.4. Các tùy chọn bổ sung Một vấn đề đầu tiên bạn phải hiểu vai trò của RADIUS trong quá trình xác thực của WLAN, bạn cần thiết lập một AAA server hỗ trợ interaction. Nếu một AAA server gọi là RADIUS, nó sẵn sang để hỗ trợ xác thực cho chuẩn 802.11x và cho phép lựa chọn các dạng EAP. Nếu đã có bạn chuyển đến bước tiếp theo là làm thế nào để thiết lập tính năng này. Nếu bạn có một RADIUS hỗ trợ 802.11x, hoặc không hỗ trợ dạng EAP, bạn có thể lựa chọn bằng cách cập nhật các phiên bản phần mềm mới hơn cho server, hay bạn có thể cài đặt một máy chủ mới. Nếu bạn cài một server mới có hỗ trợ xác thực cho chuẩn 802.11x, bạn có thể sử dụng tính năng RADIUS proxy để thiết lập một chuỗi các máy chủ, cùng chia sẽ một cơ sở dữ liệu tập trung, RADIUS proxy có thể sử dụng để chuyển các yêu cầu xác thực đến các máy chủ có khả năng xác thực chuẩn 802.11x Nếu bạn không có máy chủ RADIUS, bạn cần thiết phải cài đặt một máy chủ cho quá trình xác thực WLAN, lựa chọn cài đặt này là một công việc thú vị. Với cơ sở trung tâm –Giải pháp sử dụng RADIUS cho mạng WLAN là rất quan trọng bởi nếu một hệ thống mạng của bạn có nhiều AP thì việc cấu hình bảo mật hệ thống này rất khó để quản lí riêng biệt, người dùng có thể xác thực từ nhiều AP khác nhau và điều đó là không thực sự bảo mật Khi sử dụng RADIUS cho WLAN mang lại khả năng tiện lợi rất cao, xác thực cho toàn bộ hệ thống nhiều AP,…cung cấp các giải pháp thông minh hơn. CHƯƠNG VI: QUY TRÌNH CÀI ĐẶT VÀ TRIỂN KHAI HỆ THỐNG RADIUS SERVER 4.1. Cài đặt và cấu hình DHCP 4.1.1. Cài đặt DHCP Vào Control Panel è AddRemove program è AddRemove Windows Component è Networking Services è Chọn Dynamic Host Configuration Protocol (DHCP) è Chọn OK 4.1.2. Cấu hình DHCP Mở DHCP Console từ thư mục Administrator Tools, chuột phải vào tên server và chọn “Authorize” để đăng ký với DC.  Scope range: 192.168.10.1024 è 192.168.10.10024  Lease Duration: 8 ngày  Default Gateway: 192.168.10.1  DNS Server: 192.168.10.1 4.2. Cài Enterprise CA và Request Certificate từ CA Enterprite Server 4.2.1. Cài đặt Enterprise CA Vào Control Panel è AddRemove program è AddRemove Windows Component è Certificate services è chọn Certificate Service CA và chọn Certificate Services Web Enroment Support è Chọn OK( trong quá trình cài đặt nhớ chọn luôn IIS để dùng Web Enrollment Winzard). Trong các winzard tiếp theo ta chọn “Enterprise root CA” và đặt cho CA này là “wifi”, nhấp Next cho tới khi hoàn tất. 4.2.2. Request Certificate từ CA Enterprite Server Có hai cách để Request Certificate từ CA Enterprise Server Thứ nhất vào trình duyệt nhập vào địa chỉ http:ipcaservercertsrv, nhập user và pasword administrator sau đó chọn “Request a Certificate ” è chọn “ Advanced Certificate Request” è chọn “Create and submit a request to this CA”. è Trong trang “Advanced Certificate Request” chọn “Certificate Template” và điển đầy đủ thông tin trong phần “Identifying information for offline template” è. Trong phần “Key Options” click chọn “Store certificate in the local coputer certificate store” è Sau khi certification được cấp phát click “Install this certificate” để cài certificate. Thứ hai vào Run gõ mmc xuất hiện cửa sổ Console Root và chọn AddRemove Snapin è Add Certificates và chọn snapin và computer account è Chọn Local coputer è chọn All Tasks để Request new Certificate… èChọn Domain Controler è Đặt tên radius è sau khi request Certificate có tên như hình bên dưới. Vào ổ C: sẽ thấy Certificate có tên server1.mm02a.comwifi.crt để cài đặt nó. 4.3. Tạo user, cấp quyền Remote Access cho users và chuyển sang Native Mode 4.3.1. Tạo OU có tên “wifi” Vào Administrator Tools mở Active Directory User and computer.  Tạo OU có tên là “wifi”.Trong OU wifi tạo user có tên là “u1”, password là “123”. Cũng trong OU này, tạo Group “wifi” và đưa user “u1” vào group “wifi”. 4.3.2. Chuyển sang Native Mode Để điều khiển truy cập của user qua Remove Access Policy, mở Active Director User and Computer, click chuột phải vào computer và chọn “Raise domain Functional Level”. 4.4. Cài đặt và cấu hình RADIUS, tạo Remote Access Policy 4.4.1. Cài đặt RADIUS Vào Control panel è AddRemove program è AddRemove Windows component è Networking Service è Chọn Internet Authentication Service. 4.4.2. Cấu hình RADIUS Vào Administrative Tools è Internet Authenticaton Service . Trong cửa sổ Internet Authenticaton Service, click chuột phải vào Internet Authenticaton Service (local) và chọn Register Server in Active Directory. Chuyển xuống mục RADIUS Cliens, click chuột phải vào và chọn New RADIUS Cliens. Trong các cửa sổ tiếp theo, nhập tên thiết bị Access point (ở đây đặt là TPLink) và Secret key là 123 (chú ý Secret key để cấu hình ở AP). 4.4.3. Tạo Remove Access Policy Cũng trong cửa sổ Internet Authenticaton Service click chuột phải vào Remove Access Policies và chọn New Remove Access Policy. Trong Policy name đặt tên là wifi. Phương thức truy cập Access methois chọn Wireless trong hộp thoại Select group, Add group sinhvien vào. Trong hộp thoại Authentication Methods chọn Protected EAP (PEAP). Vào Administrator Tools mở Active Directory User and computer. Trong OU wifi, Click chuột phải vào user “u1” chọn Property, trong hộp thoại property chọn tab Dialin. Ở mục Remove Access Permission tích chọn “Control access through Remove Access Policy” để quản lý user này bằng policy vừa tạo ra. 4.5. Cấu hình AP Kết nối máy tính vào cổng LAN của AP bằng cáp thẳng. Gõ địa chỉ cổng LAN của AP (mặt định của TPLink là http:192.168.1.1). Đăng nhập với tài khoản mặt định (user admin password admin). Nếu không được tiến hành reset lại AP để tham số cấu hình trở về mặc định. Tiến hành cấu hình cổng LAN và WAN như bình thường. Riêng phần Wireless Security chọn kiểu mã hóa là WPA2 và AES, địa chỉ IP của server RADIUS là 192.168.10.1 với port là 1082, share secret giống với đã khai báo ở server RADIUS là 123. 4.6. Cấu hình Wireless client Ở đây Wireless client sử dụng Windows XP. Vì vậy trước để windows chứng thực được WPA2, ta phải tiến hành update. Download update từ link sau: Click chuột phải vào wireless card è Properties è chọn tab Wireless Networks è cấu hình như bên dưới. 4.7. Demo Đã hoàn thành cấu hình RADIUS Server và AP, từ client tiến hành kết nối vào mạng wireless linksys, đăng nhập với user và mật khẩu đã được tạo ở Server RADIUS là “u1” và “123”, domain là “nghiadv.com”. KẾT LUẬN  Kết quả đạt được  Về lý thuyết: Phương pháp bảo mật mà nhóm nghiên cứu là một trong những phương pháp bảo mật WLAN tốt nhất hiện nay. Có ý nghĩa thực tiễn cao, áp dụng được co các cơ quan, doanh nghiệp có nhu cầu về bảo mật WLAN cao. Sau khi thực hiện xong đề tài, các thành viên trong nhóm đã hiểu được tổng quan về hệ thống mạng không dây, các hình thức tấn công cũng như bảo mật mạng không dây cơ bản. Đặt biệt hiểu rõ được cơ chế, tầm quan trọng của bảo mật mạng không dây bằng chứng thực RADIUS.  Về thực hành Các thành viên trong nhóm đã thành thạo cấu hình các kiểu chứng thực, mã hoá, vận hành cơ bản cũng như bảo mật Wireless Access point. Trong quá trình cấu hình chứng thực, các thành viên hiểu rõ hơn được cơ chế chứng thực của Windows Server 2003.  Hạn chế Chưa triển khai trên hệ thống Linux với chứng thực LDAP. Chỉ triển khai trên qui mô nhỏ và chưa được áp dụng thực tế nên chưa kiểm tra được các sự cố phát sinh trong quá trình vận hành.Các máy Wireless Client phải tiến hành cài đặt mới có thể xác thực được  Hướng mở Triển khai hệ thống xác thực RADIUS trên LINUX và mở rộng mô hình xác thực không chỉ cho WIFI mà cả hệ thống mạng sử dụng cáp, các máy VPN server, NAS Server…Nghiên cứu ứng dụng công nghệ vWMAN (IEEE 802.16), WWAN (802.20) Tìm hiểu yêu cầu, mô hình thiết kế, triển khai và bảo mật hệ thống WMAN, WWAN TÀI LIỆU THAM KHẢO  Sách, giáo trình, đồ án 1. Giáo trình CCNA Exploration 4.0 LAN Switching and Wireless – Cisco System 2. Hacking Wireless Kỹ Thuật Thâm Nhập Mạng Không Dây NXB Hồng Đức 3. Đồ án tìm hiểu giao thức xác thực RADIUS và xây dựng mô hình bảo mật WLAN với RADIUS server – Nguyễn Minh Nhật – ĐH Duy Tân. 4. Đồ án Bảo mật WLAN với RADIUS và WPA2 – Đặng Ngọc Cường – ĐH Bách Khoa TP HCM  Internet 1. http:nhatnghe.comforum 2. http:hvaonline.net 3. http:vi.wikipedia.orgwiki 4. http:2mit.org