Báo cáo tốt nghiệp Vấn đề an ninh an toàn mạng máy tính giải pháp xác thực người dùng LỜI NĨI ĐẦU Hiện vấn đề tồn cầu hoá kinh tế thị trường mở cửa mang lại nhiều hội làm ăn hợp tác kinh doanh phát triển Các ngành cơng nghiệp máy tính truyền thông phát triển đưa giới chuyển sang thời đại mới: thời đại công nghệ thông tin Việc nắm bắt ứng dụng Công nghệ thông tin lĩnh vực khoa học, kinh tế, xã hội đem lại cho doanh nghiệp tổ chức thành tựu lợi ích to lớn Máy tính trở thành cơng cụ đắc lực khơng thể thiếu người, người ngồi chỗ mà nắm bắt thông tin giới hàng ngày nhờ vào phát triển mạnh mẽ Internet Các tổ chức, công ty hay quan phải (tính đến) xây dựng hệ thống tài nguyên chung để phục vụ cho nhu cầu nhân viên khách hàng Và nhu cầu tất yếu nảy sinh người quản lý hệ thống phải kiểm soát việc truy nhập sử dụng tài nguyên Một vài người có nhiều quyền vài người khác Ngoài ra, người quản lý muốn người khác truy nhập vào tài nguyên Để thực nhu cầu truy nhập trên, phải xác định người dùng hệ thống để phục vụ cách xác nhất, việc xác thực người dùng Đây vấn đề nóng bỏng quan tâm Đó nguyên nhân khiến em chọn đề tài "Giải pháp xác thực người dùng công nghệ Captive Portal” Với công nghệ Captive Portal bắt buộc máy muốn sử dụng Internet mạng trước tiên phải sử dụng trình duyệt để “được” tới trang đặc biệt (thường dùng cho mục đích xác thực) Captive Portal chuyển hướng trình duyệt tới thiết bị xác thực an ninh Điều thực cách bắt tất gói tin, kể địa cổng, đến người dùng mở trình duyệt thử truy cập Internet Tại thời điểm đó, trình duyệt chuyển hướng tới trang Web đặc biệt yêu cầu xác thực (đăng nhập) toán, đơn giản bảng thông báo quy định mà người dùng phải tuân theo yêu cầu người dùng phải chấp nhận quy định trước truy cập Internet Captive Portal thường triển khai hầu hết điểm truy nhập Wi-Fi dùng để điều khiển mạng có dây Giải pháp xác thực người dùng Lê Thị Thùy Lương Đề tài gồm phần mở đầu, bốn chương kết luận Chương 1: Vấn đề an ninh an tồn mạng máy tính giải pháp xác thực người dùng Trình bày tổng quan vấn đề an ninh mạng máy tính, nguy vấn đề bảo mật hệ thống mạng Tìm hiểu khái niệm xác thực người dùng giải pháp xác thực người dùng phổ biến Qua đưa ưu điểm nhược điểm giải pháp Chương II: Mạng khơng dây sách bảo mật Chương tìm hiểu khái qt mạng khơng dây sách bảo mật Chương III: Công nghệ Captive Portal sử dụng Radius xác thực WLAN Chương vào khảo sát cơng nghệ xác thực người dùng Đó xác thực người dùng công nghệ Captive Portal Chương IV: Cài đặt thử nghiệm phân mềm ChilliSpot Chương trình bày cách cấu hình; cách triển khai cài đặt sử dụng chương trình Phần kết luận: Phần tóm tắt kết đạt được, đưa hạn chế hướng khai thác hệ thống thực tế Giải pháp xác thực người dùng Lê Thị Thùy Lương Chương 1: VẤN ĐỀ AN NINH AN TỒN MẠNG MÁY TÍNH VÀ CÁC GIẢI PHÁP XÁC THỰC NGƯỜI DÙNG 1.1 Tổng quan vấn đề an ninh an tồn mạng máy tính 1.1.1 Đe dọa an ninh từ đâu? Trong xã hội, thiện ác song song tồn hai mặt khơng tách rời, chúng ln phủ định Có biết người muốn hướng tới chân thiện, tốt đẹp, có khơng kẻ mục đích hay mục đích khác lại làm cho ác nảy sinh, lấn lướt thiện Sự giằng co thiện ác vấn đề xúc xã hội, cần phải loại trừ ác, ác lại nảy sinh theo thời gian Mạng máy tính vậy, có người phải biết công sức nghiên cứu biện pháp bảo vệ cho an ninh tổ chức mình, lại có kẻ tìm cách phá vỡ lớp bảo vệ với nhiều ý đồ khác Mục đích người lương thiện muốn tạo khả bảo vệ an ninh cho tổ chức rõ ràng Ngược lại, ý đồ kẻ xấu lại nhiều góc độ, cung bậc khác Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả mình, để thoả mãn thói hư ích kỷ Loại người thường làm hại người khác cách phá hoại tài nguyên mạng, xâm phạm quyền riêng tư bôi nhọ danh dự họ Nguy hiểm hơn, có kẻ lại muốn đoạt không nguồn lợi người khác việc lấy cắp thông tin mật công ty, đột nhập vào ngân hàng để chuyển trộm tiền Bởi thực tế, hầu hết tổ chức cơng ty tham gia vào mạng máy tính tồn cầu có lượng lớn thơng tin kết nối trực tuyến Trong lượng lớn thông tin ấy, có thơng tin bí mật như: bí mật thương mại, kế hoạch phát triển sản phẩm, chiến lược maketing, phân tích tài hay thơng tin nhân sự, bí mật riêng tư Các thông tin quan trọng, việc để lộ thông tin cho đối thủ cạnh tranh dẫn đến hậu nghiêm trọng Tuy nhiên, muốn kẻ xấu thực mục đích Chúng cần phải có thời gian, sơ hở, yếu hệ thống bảo vệ an ninh mạng Và để thực điều đó, chúng phải có trí tuệ thơng minh cộng với chuỗi dài kinh nghiệm Còn để xây dựng biện pháp đảm bảo an ninh, đòi hỏi người xây dựng khơng trí tuệ kinh nghiệm thực tiễn Như thế, hai mặt tích cực tiêu cực Giải pháp xác thực người dùng Lê Thị Thùy Lương thực bàn tay khối óc người, khơng có máy móc thay Vậy, vấn đề an ninh an tồn mạng máy tính hồn tồn mang tính người Ban đầu, trị phá hoại mang tính chất trị chơi người có trí tuệ khơng nhằm mục đích vụ lợi, xấu xa Tuy nhiên, mạng máy tính trở nên phổ dụng, có kết nối nhiều tổ chức, cơng ty, cá nhân với nhiều thơng tin bí mật, trị phá hoại lại khơng ngừng gia tăng Sự phá hoại gây nhiều hậu nghiêm trọng, trở thành loại tội phạm Theo số liệu thống kê CERT (Computer Emegency Response Team) số lượng vụ cơng Internet thông báo cho tổ chức 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 năm 1993 2241 năm 1994 Những vụ cơng nhằm vào tất máy tính có mặt Internet, từ máy tính công ty lớn AT & T, IBM, trường đại học, quan nhà nước, nhà băng Những số đưa này, thực tế phần tảng băng Một phần lớn vụ cơng khơng thơng báo nhiều lý khác nhau, uy tín, đơn giản họ khơng biết bị công Thực tế, đe doạ an ninh không bên tổ chức, mà bên tổ chức vấn đề nghiêm trọng Đe dọa bên tổ chức xẩy lớn bên ngoài, nguyên nhân nhân viên có quyền truy nhập hệ thống gây Vì họ có quyền truy nhập hệ thống nên họ tìm điểm yếu hệ thống, vơ tình họ phá hủy hay tạo hội cho kẻ khác xâm nhập hệ thống Và nguy hiểm hơn, họ kẻ bất mãn hay phản bội hậu khơng thể lường trước Tóm lại, vấn đề an ninh an tồn mạng máy tính hồn tồn vấn đề người khơng ngừng gia tăng, bị đe doạ từ bên ngồi bên tổ chức Vấn đề trở thành mối lo ngại lớn cho chủ thể tham gia vào mạng máy tính tồn cầu Và vậy, để đảm bảo việc trao đổi thông tin an tồn an ninh cho mạng máy tính, buộc tổ chức phải triển khai biện pháp bảo vệ đảm bảo an ninh, mà trước hết cho 1.1.2 Các giải pháp đảm bảo an ninh Như ta thấy, an ninh an tồn mạng máy tính bị đe doạ từ nhiều góc độ nguyên nhân khác Đe doạ an ninh xuất phát từ bên ngồi mạng nội xuất phát từ bên tổ chức Do đó, việc đảm bảo an ninh an tồn cho mạng máy tính cần phải có nhiều giải pháp cụ thể khác Tuy nhiên, tổng quan có ba giải pháp sau: Giải pháp xác thực người dùng Lê Thị Thùy Lương o Giải pháp phần cứng o Giải pháp phần mềm o Giải pháp người Đây ba giải pháp tổng quát mà nhà quản trị an ninh phải tính đến cơng tác đảm bảo an ninh an tồn mạng máy tính Mỗi giải pháp có ưu nhược điểm riêng mà người quản trị an ninh cần phải biết phân tích, tổng hợp chọn lựa để tạo khả đảm bảo an ninh tối ưu cho tổ chức Giải pháp phần cứng giải pháp sử dụng thiết bị vật lý hệ thống máy chuyên dụng, thiết lập mơ hình mạng (thiết lập kênh truyền riêng, mạng riêng) Giải pháp phần cứng thông thường kèm với hệ thống phần mềm điều khiển tương ứng Đây giải pháp không phổ biến, khơng linh hoạt việc đáp ứng với tiến dịch vụ xuất hiện, chi phí cao Khác với giải pháp phần cứng, giải pháp phần mềm đa dạng Giải pháp phần mềm phụ thuộc hay khơng phụ thuộc vào phần cứng Cụ thể giải pháp phần mềm như: phương pháp xác thực, phương pháp mã hoá, mạng riêng ảo, hệ thống tường lửa, Các phương pháp xác thực mã hố đảm bảo cho thơng tin truyền mạng cách an tồn Vì với cách thức làm việc nó, thơng tin thật đường truyền mã hố dạng mà kẻ “nhịm trộm” khơng thể thấy được, thông tin bị sửa đổi nơi nhận có chế phát sửa đổi Cịn phương pháp sử dụng hệ thống tường lửa lại đảm bảo an ninh góc độ khác Bằng cách thiết lập luật điểm đặc biệt (thường gọi điểm nghẹt) hệ thống mạng bên (mạng cần bảo vệ) với hệ thống mạng bên ngồi (mạng coi khơng an toàn bảo mật - Internet), hệ thống tường lửa hồn tồn kiểm sốt kết nối trao đổi thông tin hai mạng Với cách thức này, hệ thống tường lửa đảm bảo an ninh tốt cho hệ thống mạng cần bảo vệ Như thế, giải pháp phần mềm gần hồn tồn gồm chương trình máy tính, chi phí cho giải pháp so với giải pháp phần cứng Bên cạnh hai giải pháp trên, giải pháp sách người giải pháp thiếu Vì phần thấy, vấn đề an ninh an tồn mạng máy tính hồn tồn vấn đề người, việc đưa hành lang pháp lý quy nguyên tắc làm việc cụ thể cần thiết Ở đây, hành lang pháp lý gồm: điều khoản luật nhà nước, văn luật, Cịn quy định tổ chức đặt cho phù hợp với đặc điểm riêng Các quy Giải pháp xác thực người dùng Lê Thị Thùy Lương định như: quy định nhân sự, việc sử dụng máy, sử dụng phần mềm, Và vậy, hiệu việc đảm bảo an ninh an toàn cho hệ thống mạng máy tính ta thực triệt để giải pháp sách người Tóm lại, vấn đề an ninh an tồn mạng máy tính vấn đề lớn, yêu cầu cần phải có giải pháp tổng thể, không phần mềm, phần cứng máy tính mà địi hỏi vấn đề sách người Và vấn đề cần phải thực cách thường xuyên liên tục, không triệt để ln nảy sinh theo thời gian Tuy nhiên, giải pháp tổng thể hợp lý, đặc biệt giải tốt vấn đề sách người ta tạo cho an tồn chắn 1.2 Vấn đề bảo mật hệ thống mạng 1.2.1 Các vấn dề chung bảo mật hệ thống mạng Đặc điểm chung hệ thống mạng có nhiều người sử dụng chung phân tán mặt địa lý nên việc bảo vệ tài nguyên phức tạp nhiều so với việc mơi trường máy tính đơn lẻ, người sử dụng Hoạt động người quản trị hệ thống mạng phải đảm bảo thông tin mạng tin cậy sử dụng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định không bị công kẻ phá hoại Nhưng thực tế không mạng đảm bảo an toàn tuyệt đối, hệ thống dù bảo vệ chắn đến mức có lúc bị vơ hiệu hóa kẻ có ý đồ xấu 1.2.2 Một số khái niệm lịch sử bảo mật hệ thống a Đối tượng công mạng (intruder) Đối tượng cá nhân tổ chức sử dụng kiến thức mạng công cụ phá hoại (gồm phần cứng phần mềm) để dị tìm điểm yếu lỗ hổng bảo mật hệ thống, thực hoạt động xâm nhập chiếm đoạt tài nguyên trái phép Một số đối tượng công mạng như: Hacker: kẻ xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu thành phần truy nhập hệ thống Masquerader: Là kẻ giả mạo thông tin mạng giả mạo địa IP, tên miền, định danh người dùng… Giải pháp xác thực người dùng Lê Thị Thùy Lương Eavesdropping: Là đối tượng nghe trộm thông tin mạng, sử dụng cơng cụ Sniffer, sau dùng cơng cụ phân tích debug để lấy thơng tin có giá trị Những đối tượng cơng mạng nhằm nhiều mục đích khác ăn cắp thơng tin có giá trị kinh tế, phá hoại hệ thống mạng có chủ định, hành động vô ý thức… b Các lỗ hổng bảo mật Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ cơng xâm nhập trái phép vào hệ thống để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp Có nhiều nguyên nhân gây lỗ hổng bảo mật: lỗi thân hệ thống, phần mềm cung cấp người quản trị yếu không hiểu sâu dịch vụ cung cấp… Mức độ ảnh hưởng lỗ hổng tới hệ thống khác Có lỗ hổng ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới tồn hệ thống phá hủy hệ thống c Chính sách bảo mật Chính sách bảo mật tập hợp quy tắc áp dụng cho người tham gia quản trị mạng, có sử dụng tài nguyên dịch vụ mạng Đối với trường hợp phải có sách bảo mật khác Chính sách bảo mật giúp người sử dụng biết trách nhiệm việc bảo vệ tài nguyên mạng, đồng thời giúp cho nhà quản trị mạng thiết lập biện pháp đảm bảo hữu hiệu trình trang bị, cấu hình kiểm sốt hoạt động hệ thống mạng 1.3 Các kiến thức xác thực người dùng Khi người sử dụng muốn truy nhập vào hệ thống máy tính, thơng thường, người sử dụng cần cung cấp thông tin nhận dạng cho máy tính Khi nhận thơng tin ấy, máy tính kiểm tra xem người sử dụng có quyền truy nhập vào hệ thống không Đây nguyên tắc áp dụng cho người muốn trao đổi thông tin với người khác: Trước tiên cần phải xác định người tham gia trao đổi thông tin có người muốn trao đổi khơng Do cần phải có phương thức Giải pháp xác thực người dùng Lê Thị Thùy Lương để cung cấp đặc điểm nhận dạng nhằm đảm bảo người trao đổi thơng tin hợp lệ Q trình gọi xác thực người sử dụng Trên giới Việt Nam, vấn đề xác thực người dùng quan tâm có nhiều giải pháp sử dụng nghiên cứu Có nhiều cách để xác thực: người sử dụng cung cấp thơng tin mà có người biết: ví dụ mật khẩu, mã số cá nhân,… người cung cấp thơng tin riêng khác số chứng minh thư, thẻ từ, thẻ thông minh… Trong đó, giải pháp lại có ưu điểm nhược điểm riêng khác 1.3.1 Khái niệm xác thực người dùng Xác thực người dùng q trình qua hệ thống xác minh thực họ Q trình xác thực xác định xem người có phải người sử dụng hệ thống khơng Nó thường kèm với trình xác định quyền hạn người hệ thống 1.3.2 Các giải pháp xác thực người dùng phổ biến a Giải pháp sử dụng tên mật Mô tả Đây giải pháp truyền thống hay sử dụng nhất, giải pháp sử dụng tài khoản hệ thống Mỗi tài khoản bao gồm tên truy nhập (uername) mật (password) Tên truy nhập dùng để phân biệt người dùng khác (thường hệ thống), mật để xác thực lại người sử dụng tên có người dùng thật khơng Mật thường người sở hữu tên truy nhập tương ứng đặt giữ bí mật có người biết Khi người dùng muốn đăng nhập sử dụng tài nguyên hệ thống phải đăng nhập cách nhập tên mật Trước hết, hệ thống đối chiếu tên truy nhập người dùng đưa vào với sở liệu tên người dùng, tồn tên người dùng hệ thống tiếp tục đối chiếu mật đưa vào tương ứng với tên truy nhập sở liệu Qua lần đối chiếu thỏa mãn người đăng nhập người dùng hợp lệ hệ thống Ưu điềm Thiết kế sử dụng đơn giản, tốn tài nguyên Hệ thống gồm sở liệu người dùng với thông tin chủ yếu tên truy nhập mật Tương ứng với Giải pháp xác thực người dùng Lê Thị Thùy Lương tên truy nhập quyền sử dụng người hệ thống Do thông tin không chiếm nhiều tài nguyên Người dùng dễ hiểu dễ sử dụng Chi phí để thực giải pháp rẻ so với giải pháp khác Nó khơng phụ thuộc vào thiết bị phần cứng mà dựa phần mềm Giải pháp có khả làm việc hệ điều hành Do đó, việc thực giải pháp dễ dàng không tốn Nhược điểm Giải pháp có nhược điểm lớn khơng có bảo mật cao Vì người dùng thường có tên đăng nhập nhiều người dùng có Mặt khác, người dùng thường chọn mật dễ nhớ không cẩn thận gõ mật khẩu, dễ bị công Kẻ cơng có nhiều phương pháp để đạt mật thâm nhập vào hệ thống đọc file mật khẩu, dự đoán mật khẩu, vét cạn từ từ điển để tìm mật khẩu, lừa người dùng để lộ mật Một số biện pháp để tăng thêm tính bảo mật cho giải pháp này: Đặt mật phức tạp: mật phải chứa tối thiểu ký tự, không trùng với tên đăng nhập, chứa loại ký tự chữ cái, chữ số, ký tự đặc biệt Nếu đặt kẻ muốn cơng khó đốn mật Thay đổi mật khẩu: quy định sau thời gian định mật khơng cịn tác dụng hệ thống người dùng phải đặt lại mật khác Mật thay đổi nên khả kiểm sốt tình trạng an tồn mật cao Mã hóa thơng tin: Trong mơi trường làm việc mạng, nhà thiết kế thường dùng biện pháp mã hóa thơng tin đăng nhập từ máy khách trước chúng gửi tới máy chủ hệ thống Do đó, khả bị cắp mật giảm nhiều kẻ xấu bắt gói tin đăng nhập đường truyền Hiện nay, giải pháp mật sử dụng lần (one-time password) sử dụng nhiều ứng dụng Các mật danh sách sử dụng lần mà khơng thể sử dụng lại lần đăng nhập sau Có cách để hệ thống mật sử dụng lần làm việc là: Danh sách mật tạo cách ngẫu nhiên hệ thống làm bản, cho người dùng cho hệ thống Danh sách mật tạo theo yêu cầu người sử dụng hệ thống công nhận thuộc tính NAS-IP-Address đặt "0.0.0.0" điạ IP nguồn yêu cầu radius xác định bảng lộ trình hệ điều hành radiusserver1 host Địa IP máy chủ radius (mặc định=rad01.hotradius.com) radiusserver2 host Địa IP máy chủ radius (mặc định =rad02.hotradius.com) radiusauthport port Số cổng UDP sử dụng cho radius yêu cầu xác thực (mặc định=1812) radiusacctport port Số cổng UDP sử dụng cho radius u cầu tính tốn (mặc định=1813) radiussecret secret Radius chia sẻ bí mật cho máy chủ (mặc định=testing123) Bí mật nên thay đổi để khơng làm bí mật bị lộ radiusnasid id Định danh máy chủ truy nhập mạng (mặc định=nas01) radiusnasip host Địa IP tới báo cáo thuộc tính NAS-IP-Addres Mặc định địa IP rõ tùy chọn radiuslisten radiuscalled name Đặt tên tới báo cáo thuộc tính Called-Station-ID Mặc định cho địa MAC giao diện khơng dây mà rõ tùy chọn dhcpmac radiuslocationid id ID định vị WISPr Cần định dang: isocc=, cc=,ac=,network= Tham số miêu tả rõ tài liệu: Wi-Fi Alliance - Wireless ISP Roaming - Best Current Practices v1, tháng 2- 2003 radiuslocationname name Tên định vị WISPr Cần định dạng: ,