ỨNG DỤNG GIẢI PHÁP BẢO MẬT CHO MẠNG KHÔNG DÂY VÀO MÔ HÌNH CỤ THỂ 3.1 Cấu hình xác thực kiểu WEP cho mô hình mạng BSS Hình 3.1 Sơ đồ mô hình kết nối mạng Thiết Lập Bss Với Access Point(Linksys WAP55AG) Và Pc Bảo Mật Cơ Bản Cho Bss kiểu xác thực WEP Preshared Key (vừa authentication vừa encryption 3.1.1 Cấu hình Access Point thông qua giao diện Web-Based Bước 1: Để vào giao diện Web-Based Utility AP cần thơng qua trình duyệt web (web browser) PC PC gắn wired card wireless card Ở dùng PC có gắn wired card Dùng cable chéo (cross cable), đầu gắn vào card mạng PC đầu lại gắn vào cổng LAN mặt sau AP Hình 3.2: Access Point Linksys WAP55AG Để đặt địa IP cho PC này, thực sau: a Click vào menu Start, mở Control Panel b Double-Click vào biểu tượng Network Connection c Nhấn phải (Right-click) vào biểu tượng Local Area Connection chọn Properties d Internet Protocol (TCP/IP) liệt kê Network Adapter e Chọn Internet Protocol (TCP/IP) nhấn vào Properties f Cửa sổ Interner Protocal (TCP/IP) Properties Hình 3.3 Đặt địa chỉ IP cho máy Chọn Use the following IP address Theo mặc định nhà sản xuất địa quản trị AP 192.168.1.246 Như vậy, PC lớp mạng với AP truy cập vào AP để dùng Web-Based Utility Đặt địa IP cho PC 192.168.1.10 /24 Địa địa có dạng 192.168.1.X (với X từ 254) Tuy nhiên cần tránh dùng địa 1, 255 Những địa địa dành riêng Nhấn OK Như TCP/IP cấu hình Bước 2: Tại address trình duyệt web (thông thường IE Firefox) gõ vào địa quản trị AP Linksys WAP55AG http://192.168.1.246 Bước 3: Sau gõ Enter, xuất sau: Hình 3.4: Màn hình đăng nhập vào AP User name: Bỏ qua trường này, để trống Password: admin Đối với lần sử dụng Web-Based Utility password mặc định admin Có thể chỉnh sửa lại password sau Nhấn OK Bước 4: Màn hình xuất hiển thị tab Setup Hình 3.5: Giao diện cấu hình cho AP Tab Setup cho phép cấu hình AP mức tổng quát Device Name: Có thể đặt lại tên cho AP, tên giúp xác định thân AP mạng, nên gợi nhớ Điều giúp ích nhiều mạng sử dụng nhiều AP Sau đặt tên xong, để lưu lại nhấn Save Settings Configuration Type: phần AP đưa cách cấu hình địa sử dụng mạng - Automatic Configuration-DHCP: Nếu thiết đặt mode này, AP DHCP server cấp địa PC khác mạng Địa AP đơn giản địa dùng để quản trị Khi dùng địa cấp tự động, quản trị mạng gặp khó khăn muốn cấu hình AP khơng qua kết nối trực tiếp - Static IP: Quản trị mạng cấu hình địa IP tĩnh cho AP Địa thuộc subnet mà DHCP server cấp xuống cho PC kết nối vào AP Tuy nhiên, trường hợp này, địa IP quản trị cố định Quản trị mạng gặp khó khăn mode bên Như vào giao diện Web-Based Utility AP Có thể cấu hình theo u cầu thực tế Để lưu lại cấu hình thay đổi AP nhấn vào Save Settings 3.1.2 Thiết lập mạng BSS Tập dịch vụ (BSS- Basic Service Set) BSS bao gồm AP kết nối tới sở hạ tầng hữu tuyến mạng có dây, wired LAN tập trạm khơng dây cuối BSS sử dụng cấu hình infrastructure, cấu hình u cầu AP đóng vai trị server cho ô tế bào (cell) kênh WLAN đơn Truyền thông client A client B thực từ client A đến AP, sau từ AP đến client B Nghĩa tất lưu lượng qua AP, client giao tiếp trực tiếp với Một BSS có SSID Mỗi BSS bao phủ cell xung quanh AP với vùng có tốc độ liệu khác (các đường truyền liệu) Tốc độ liệu đường tròn đồng tâm phụ thuộc vào công nghệ sử dụng Đối với đường trịn xa AP tốc độ liệu thấp Lưu ý tất thiết bị khơng dây giao tiếp với AP thiết bị phải hoạt động chế độ Infrastructure Mode Bất thiết bị hoạt động chế độ Ad-hoc Mode nhận AP 3.1.3 Các kiểu chứng thực WLAN Open System dạng chứng thực mà khơng dựa thuật tốn chứng thực (no authentication algorithm) AP cấp quyền truy cập cho client muốn vào BSS Như Open System khơng có ý nghĩa chứng thực người dùng Tuy nhiên dạng yêu cầu chứng thực thiết kế cho thiết bị cần kết nối nhanh vào mạng Ví dụ thiết bị cầm tay đọc thẻ, CPU không mạnh để xử lý thuật toán chứng thực phức tạp Open System dùng message: Authentication Request Authentication Response, cho phép thiết bị kết nối vào mạng khơng dây Nếu khơng bật chức mã hóa, thiết bị có SSID với AP truy cập vào BSS Nếu bật mã hóa WEP AP, thân WEP key cách quản lý truy nhập Nếu thiết bị khơng có WEP key, chứng thực thành cơng gửi thông tin qua AP Hình 3.6: Chứng thực sử dụng WEP Shared Key Authentication Khác với Open system, shared key authentication đòi hỏi client AP phải bật chế mã hóa WEP WEP key phải giống Quá trình chứng thực Shared Key Authentication: Client gửi authentication request đến AP để yêu cầu chứng thực shared-key authentication AP trả lời bằng authen response có chứa challenge dạng plaintext Client sử dụng WEP key để mã hóa challenge trả lời lại AP Nếu AP giải mã u cầu authentication khơi phục challenge trả lời bằng authentication response * Cấu hình Access Point dùng Static IP Bước 1: Vào giao diện Web-based Utility, tab Setup Client phép truy cập Chọn Static IP để cấu hình địa IP tĩnh, tự cấu hình bằng tay Chọn Save Settings để lưu lại cấu hình chọn Màn hình Xác nhận Cấu hình thay đổi sau: Sau trở lại hình tab Setup Bước 2: Ở giao diện Web-based Utility, vào tab Wireless\ Basic Wireless Settings SSID SSID chuỗi phân biệt chữ hoa chữ thường, không dài 32 kí tự Tất thiết bị BSS phải có SSID Các hãng sảng xuất AP thường cấu hình trước SSID AP họ Đối với AP LinksysWAP55AG hỗ trợ chuẩn 802.11a 802.11g nên có SSID linksys-a linksys-g SSID gọi SSID mặc định, default SSID Nó giúp cho việc cấu hình WLAN trở nên đơn giản hơn, việc mua AP lắp đặt … ta có WLAN Vấn đề chỗ, ta khơng cấu hình lại SSID, có trùng lắp SSID cơng ty khác dùng thiết bị hãng sản xuất linksys-g SSID mặc định nhà sản xuất AP Khi PC nằm vùng phủ AP PC quét mạng Và PC dùng thiết bị PCI wireless card Linksys WMP54G, hỗ trợ chuẩn 802.11g nên AP cấu hình Wireless-G Settings Trong cấu hình cấu hình Network Name (SSID) vnpro Channel Chọn channel phù hợp danh sách channel Đối với chuẩn 802.11g 11 Tất thiết bị không dây BSS phảihỗ trợ từ kênh dùng chung kênh truyền giao tiếp với Mặc định channel Nhấn Save Settings để lưu lại cấu hình vừa chọn Bước 3: Vào tab Wireless\ Basic Wireless Settings Theo mặc định, WEP Encryption đặt Disable Nhấn Save Settings để lưu lại cấu hình vừa chọn Như cấu hình xong AP Cấu hình PC có gắn PCI wireless card Bước 1: Double-click vào icon khay hệ thống Xuất hình Link Information sau: Chọn tab Profil Bước : Màn hình Profile Chọn New để tạo Profile Đặt tên profile vnpro chẳng hạn Kết nối thành công Bước 9: Cấu hình tương tự cho PC có gắn wireless card lại Bước 10: Thực ping kiểm tra kết nối PC Trong Command Prompt DOS, xem lại địa PCI wireless card C:\>ipconfig Thực ping tới PC lại C:\>ping 192.168.1.20 Cấu hình Access Point dùng DHCP Server Thay tự cấu hình địa IP dùng DHCP server cấp địa IP cho client BSS Access Point Vào giao diện Web-based Utility, tab Setup Chọn Automatic Configuration-DHCP Lưu ý: DHCP server cung cấp thơng số cấu hình cho client, thông thường DHCP server cung cấp địa IP cho client Trong trường hợp AP đóng vai trị BOOTP relay agent Tức AP truân chuyển message DHCP client DHCP server Chọn Save Settings để lưu lại cấu hình vừa chọn PC có gắn wireless card Ở hình Network Setting Chọn Obtain a network settings automatically (DHCP) Lưu lại thay đổi cấu hình vào profile Kiểm tra địa IP Client BSS Xác thực WEP Shared Key Access Point Bước 1: Ở giao diện Web-based Utility, tab vào Wireless \ Basic Wireless Setting Chọn Security Mode WEP Bước 2: Sau chọn security mode trên, hình cấu hình WEP sau: Encryption: Chọn WEP key có chiều dài 64-bits hay 128-bits Passphrase: Có thể tự cấu hình WEP key dùng passphrase để phát sinh key Passphrase dài khơng q 16 kí tự, ứng với passphrase tương ứng phát sinh WEP key Passphrase hỗ trợ sản linksys.phẩm từ Linksys TX Key: WEP Key mặc định sử dụng WEP Key phần hướng dẫn dùng passphrase Bước 3: Vào tab Wireless \ Wireless Security Open System: Đây hình thức chứng thực qua việc xác định xác SSID Bất Client khơng có SSID hợp lệ truy cập vào BSS mà không qua trình kiểm tra khác Shared Key: Đây hình thức chứng thực cho phép kiểm tra xem Client muốn truy cập vào BSS có biết khóa dùng chung (Shared Key) không, sau chứng thực thành công bắt đầu truyền liệu Chuẩn 802.11 giả thiết rằng Shared Key phân phối đến tất Client thông qua kênh bảo mật riêng, độc lập với tất kênh khác 802.11 Nhấn Save Settings để lưu lại cấu hình Bước 4: Quan sát PC có gắn PCI wireless card PC khơng cịn truy cập vào BSS, AP khơng nhận Vì PC khơng cấu hình sử dụng WEP để xác thực hay mã hóa liệu Điều xảy tương tự với PC lại BSS Do chúng khơng cịn ping thấy 3.2 Cấu hình xác thực RADIUS server Nhằm ngăn chặn truy cập mạng trái phép mà khơng mong muốn Khi client muốn truy cập vào mạng phải đăng nhập user name password hợp lợi Quá trình xác thực điều khiển RADIUS server Mơ tả u cầu: • Cấu hình RADIUS server Win 2003, tạo user password cho client dự định tham gia vào mạng Bật tính xác thực EAP Authentication với RADIUS server AP Aironet ( bằng webpage CLI) • Cho PC tham gia vào mạng, kiểm tra kết nối Thiết bị yêu cầu : Access point Aironet 1131, pc có gắn card wireless, pc làm RADIUS server Các bước thực : 3.2.1 Cấu hình RADIUS server win 2003  Cài đặt phần mềm Cisco Secure ACS v3.2 pc chạy win 2003 để làm server Double click vào file setup.exe thư mục chứa phần mềm ACS để tiến hành cài đặt Màn hình setup : Check vào tất mục để cài đặt ACS, nhấn Next : Authenticate Users Using : chọn thiết bị tương ứng mà ta sử dụng Ở ta sử dung Access point Aironet nên ta chọn RADIUS (Cisco Aironet).Access Server Name: tùy chọn đặt tên cho thiết bị Ta nên đặt trùng tên với Access point mà ta muốn cấu hình để dễ phân biệt.Access Server IP Address: Địa IP AP mà ta cần cấu hình ... 4: Màn hình xuất hiển thị tab Setup Hình 3.5: Giao diện cấu hình cho AP Tab Setup cho phép cấu hình AP mức tổng quát Device Name: Có thể đặt lại tên cho AP, tên giúp xác định thân AP mạng,... Open System dùng message: Authentication Request Authentication Response, cho phép thiết bị kết nối vào mạng không dây Nếu không bật chức mã hóa, thiết bị có SSID với AP truy cập vào BSS Nếu bật... mạng gặp khó khăn muốn cấu hình AP không qua kết nối trực tiếp - Static IP: Quản trị mạng cấu hình địa IP tĩnh cho AP Địa thuộc subnet mà DHCP server cấp xuống cho PC kết nối vào AP Tuy nhiên,