LỜI CẢM ƠN Để hoàn thành luận án tốt nghiệp, em xin gửi lời cảm ơn sâu sắc tới thầy cô giáo Bộ môn tin học trƣờng ĐHDL Hải Phòng trực tiếp giảng dạy cung cấp cho em kiến thức quý báu để em tìm hiểu tiếp cận với cơng nghệ lĩnh vực Đặc biệt em xin chân thành gửi lời cảm ơn đến TS Phạm Hồng Thái CN Lƣơng Việt Nguyên - ĐH Công nghệ tận tình hƣớng dẫn em nhƣ tạo điều kiện tài liệu kiến thức để em hoàn thành đƣợc luận án tốt nghiệp Và cuối xin gửi lời cảm ơn tới gia đình, tới bạn động viên, góp ý sát cánh em đƣờng học tập Do thời gian eo hẹp khả có hạn nên luận án tốt nghiệp khơng tránh khỏi thiếu sót Kính mong nhận đƣợc nhiều ý kiến đóng góp, phê bình q thầy bạn để chƣơng trình đƣợc hoàn thiện Em xin chân thành cảm ơn ! Hải Phòng, tháng năm 2007 Sinh viên Lê Thị Thùy Lƣơng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Giải pháp xác thực người dùng Lê Thị Thùy Lương MỤC LỤC LỜI CẢM ƠN MỤC LỤC LỜI NÓI ĐẦU Chƣơng 1: VẤN ĐỀ AN NINH AN TỒN MẠNG MÁY TÍNH VÀ CÁC GIẢI PHÁP XÁC THỰC NGƢỜI DÙNG 1.1 Tổng quan vấn đề an ninh an tồn mạng máy tính 1.1.1 Đe dọa an ninh từ đâu? 1.1.2 Các giải pháp đảm bảo an ninh 1.2 Vấn đề bảo mật hệ thống mạng 10 1.2.1 Các vấn dề chung bảo mật hệ thống mạng 10 1.2.2 Một số khái niệm lịch sử bảo mật hệ thống 10 1.3 Các kiến thức xác thực ngƣời dùng 11 1.3.1 Khái niệm xác thực ngƣời dùng 12 1.3.2 Các giải pháp xác thực ngƣời dùng phổ biến 12 1.3.3 Các giao thức xác thực 18 1.3.4 Nhận xét 20 Chƣơng 2: MẠNG KHÔNG DÂY VÀ CÁC CHÍNH SÁCH BẢO MẬT 21 2.1 Giới thiệu chung mạng không dây 21 2.2 Lịch sử phát triển phát triển mạng không dây 22 2.2.1 Lịch sử phát triển mạng không dây 22 2.2.2 Sự phát triển mạng không dây 23 2.2.3 Các hệ phát triển mạng không dây 24 2.3 Công nghệ phổ biến mạng không dây 25 2.3.1 Công nghệ TDMA 25 2.3.2 Công nghệ GSM 25 2.3.3 Công nghệ CDMA 26 2.3.4 Công nghệ WiFi 26 2.3.5 Công Nghệ WiMax 27 2.3.6 Công nghệ GPRS 27 2.4 Các chuẩn phổ biến mạng không dây 27 2.6 Cơng nghệ cơng cách phịng thủ 29 2.6.1 Phƣơng pháp công Rogue Access Point 29 2.6.2 Tổng hợp phƣơng pháp công khác 31 2.7 Chính sách bảo mật mạng không dây 35 2.7.1 Đánh giá hệ thống bảo mật WLAN 35 2.7.2 Chính sách bảo mật WLAN 35 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Giải pháp xác thực người dùng Lê Thị Thùy Lương Chƣơng 3: CÔNG NGHỆ CAPTIVE PORTAL VÀ SỬ DỤNG RADIUS XÁC THỰC TRONG WLAN 37 3.1 Công nghệ Captive Portal gì? 37 3.1.1 Các cách triển triển khai 37 3.1.3 Giới thiệu số phần mềm sử dụng công nghệ Captive Portal 38 3.1.4 Một số hạn chế 39 3.2 Sử dụng RADIUS cho trình xác thực WLAN 39 3.2.1 Xác thực, cấp phép, toán 41 3.2.2 Sự an toàn mở rộng 42 3.2.3 Áp dụng RADIUS cho mạng LAN không dây 43 3.2.4.Tthực tùy chọn 44 3.2.5 Kết luận 44 Chƣơng 4: CÀI ĐẶT VÀ THỬ NGHIỆM PHẦN MỀM CHILLISPOT 45 4.1 Giới thiệu ChilliSpot 45 4.1.1 Phƣơng pháp xác thực ChilliSpot 45 4.1.2 Một số giao diện ChilliSpot 45 4.1.3 Yêu cầu để xây dựng HotSpot 46 4.1.4 Kiến trúc mạng xây dựng 47 4.2 Mô tả 48 4.2.1 Máy chủ Web xác thực 48 4.2.2 RADIUS 48 4.2.2 Access Point 53 4.2.3 Máy khách 53 4.2.4 Kiến trúc phần mềm 53 4.3 Cài đặt RedHat 9, Fedora (FC1,FC2,FC3 FC4) 54 4.3.1 Yêu cầu tối thiểu 54 4.3.2 Chuẩn bị 54 4.3.3 Cài đặt Redhat Fedora 54 4.3.4 Cài đặt định cấu hình ChilliSpot 55 4.3.5 Cài đặt Firewall 56 4.3.6 Cài đặt cấu hình máy chủ web chứng thực UAM 57 4.3.7 Cài đặt cấu hình FreeRADIUS 57 4.4 Cấu hình máy khách 58 4.4.1 Phƣơng pháp truy nhập phổ thông - Universal Access Method 58 4.4.2 Bảo vệ truy nhập không dây - Wireless Protected Access 59 4.5 Những file đƣợc tạo đƣợc sử dụng 59 4.6 Tùy chọn 60 4.6.1 Tóm tắt 60 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Giải pháp xác thực người dùng Lê Thị Thùy Lương 4.6.2 Tùy chọn 60 4.6.3 Tệp tin 67 4.6.4 Tín hiệu 67 4.7 Các phiên ChilliSpot 67 4.7.1 ChilliSpot 1.1 67 4.7.2 ChilliSpot 1.0 68 4.7.3 ChilliSpot 1.0 RC3 68 4.7.4 ChilliSpot 1.0 RC2 69 4.7.5 ChilliSpot 1.0 RC1 69 4.7.6 ChilliSpot 0.99 70 4.7.7 ChilliSpot 0.98 71 4.7.8 ChilliSpot 0.97 72 4.7.9 ChilliSpot 0.96 73 4.7.10 ChilliSpot 0.95 73 4.7.11 ChilliSpot 0.94 74 4.7.12 ChilliSpot 0.93 75 4.7.13 ChilliSpot 0.92 75 4.7.14 ChilliSpot 0.91 75 4.7.15 ChilliSpot 0.90 75 KẾT LUẬN 76 Kết đạt đƣợc 76 Hƣớng phát triển đề tài 76 CÁC TÀI LIỆU THAM KHẢO 77 Tài liệu 77 Một số website: 77 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Giải pháp xác thực người dùng Lê Thị Thùy Lương LỜI NĨI ĐẦU Hiện vấn đề tồn cầu hoá kinh tế thị trƣờng mở cửa mang lại nhiều hội làm ăn hợp tác kinh doanh phát triển Các ngành công nghiệp máy tính truyền thơng phát triển đƣa giới chuyển sang thời đại mới: thời đại công nghệ thông tin Việc nắm bắt ứng dụng Công nghệ thông tin lĩnh vực khoa học, kinh tế, xã hội đem lại cho doanh nghiệp tổ chức thành tựu lợi ích to lớn Máy tính trở thành cơng cụ đắc lực khơng thể thiếu ngƣời, ngƣời ngồi chỗ mà nắm bắt đƣợc thông tin giới hàng ngày nhờ vào phát triển mạnh mẽ Internet Các tổ chức, cơng ty hay quan phải (tính đến) xây dựng hệ thống tài nguyên chung để phục vụ cho nhu cầu nhân viên khách hàng Và nhu cầu tất yếu nảy sinh ngƣời quản lý hệ thống phải kiểm soát đƣợc việc truy nhập sử dụng tài nguyên Một vài ngƣời có nhiều quyền vài ngƣời khác Ngoài ra, ngƣời quản lý muốn ngƣời khác truy nhập đƣợc vào tài nguyên Để thực đƣợc nhu cầu truy nhập trên, phải xác định đƣợc ngƣời dùng hệ thống để phục vụ cách xác nhất, việc xác thực ngƣời dùng Đây vấn đề nóng bỏng đƣợc quan tâm Đó nguyên nhân khiến em chọn đề tài "Giải pháp xác thực ngƣời dùng công nghệ Captive Portal” Với công nghệ Captive Portal bắt buộc máy muốn sử dụng Internet mạng trƣớc tiên phải sử dụng trình duyệt để “đƣợc” tới trang đặc biệt (thƣờng dùng cho mục đích xác thực) Captive Portal chuyển hƣớng trình duyệt tới thiết bị xác thực an ninh Điều đƣợc thực cách bắt tất gói tin, kể địa cổng, đến ngƣời dùng mở trình duyệt thử truy cập Internet Tại thời điểm đó, trình duyệt đƣợc chuyển hƣớng tới trang Web đặc biệt yêu cầu xác thực (đăng nhập) tốn, đơn giản bảng thơng báo quy định mà ngƣời dùng phải tuân theo yêu cầu ngƣời dùng phải chấp nhận quy định trƣớc truy cập Internet Captive Portal thƣờng đƣợc triển khai hầu hết điểm truy nhập Wi-Fi đƣợc dùng để điều khiển mạng có dây LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Giải pháp xác thực người dùng Lê Thị Thùy Lương Đề tài gồm phần mở đầu, bốn chương kết luận Chương 1: Vấn đề an ninh an tồn mạng máy tính giải pháp xác thực người dùng Trình bày tổng quan vấn đề an ninh mạng máy tính, nguy vấn đề bảo mật hệ thống mạng Tìm hiểu khái niệm xác thực ngƣời dùng giải pháp xác thực ngƣời dùng phổ biến Qua đƣa đƣợc ƣu điểm nhƣợc điểm giải pháp Chương II: Mạng khơng dây sách bảo mật Chƣơng tìm hiểu khái qt mạng khơng dây sách bảo mật Chương III: Công nghệ Captive Portal sử dụng Radius xác thực WLAN Chƣơng vào khảo sát cơng nghệ xác thực ngƣời dùng Đó xác thực ngƣời dùng công nghệ Captive Portal Chương IV: Cài đặt thử nghiệm phân mềm ChilliSpot Chƣơng trình bày cách cấu hình; cách triển khai cài đặt sử dụng chƣơng trình Phần kết luận: Phần tóm tắt kết đạt đƣợc, đƣa hạn chế hƣớng khai thác hệ thống thực tế LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Giải pháp xác thực người dùng Lê Thị Thùy Lương Chương 1: VẤN ĐỀ AN NINH AN TOÀN MẠNG MÁY TÍNH VÀ CÁC GIẢI PHÁP XÁC THỰC NGƯỜI DÙNG 1.1 Tổng quan vấn đề an ninh an tồn mạng máy tính 1.1.1 Đe dọa an ninh từ đâu? Trong xã hội, thiện ác song song tồn nhƣ hai mặt không tách rời, chúng ln phủ định Có biết ngƣời muốn hƣớng tới chân thiện, tốt đẹp, có khơng kẻ mục đích hay mục đích khác lại làm cho ác nảy sinh, lấn lƣớt thiện Sự giằng co thiện ác vấn đề xúc xã hội, cần phải loại trừ ác, nhƣng ác lại nảy sinh theo thời gian Mạng máy tính vậy, có ngƣời phải biết công sức nghiên cứu biện pháp bảo vệ cho an ninh tổ chức mình, lại có kẻ tìm cách phá vỡ lớp bảo vệ với nhiều ý đồ khác Mục đích ngƣời lƣơng thiện ln muốn tạo khả bảo vệ an ninh cho tổ chức rõ ràng Ngƣợc lại, ý đồ kẻ xấu lại nhiều góc độ, cung bậc khác Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả mình, để thoả mãn thói hƣ ích kỷ Loại ngƣời thƣờng làm hại ngƣời khác cách phá hoại tài nguyên mạng, xâm phạm quyền riêng tƣ bôi nhọ danh dự họ Nguy hiểm hơn, có kẻ lại muốn đoạt không nguồn lợi ngƣời khác nhƣ việc lấy cắp thông tin mật công ty, đột nhập vào ngân hàng để chuyển trộm tiền Bởi thực tế, hầu hết tổ chức công ty tham gia vào mạng máy tính tồn cầu có lƣợng lớn thơng tin kết nối trực tuyến Trong lƣợng lớn thơng tin ấy, có thơng tin bí mật nhƣ: bí mật thƣơng mại, kế hoạch phát triển sản phẩm, chiến lƣợc maketing, phân tích tài hay thơng tin nhân sự, bí mật riêng tƣ Các thơng tin quan trọng, việc để lộ thông tin cho đối thủ cạnh tranh dẫn đến hậu nghiêm trọng Tuy nhiên, muốn kẻ xấu thực đƣợc mục đích Chúng cần phải có thời gian, sơ hở, yếu hệ thống bảo vệ an ninh mạng Và để thực đƣợc điều đó, chúng phải có trí tuệ thơng minh cộng với chuỗi dài kinh nghiệm Còn để xây dựng đƣợc biện pháp đảm bảo an ninh, đòi hỏi ngƣời xây dựng khơng trí tuệ kinh nghiệm thực tiễn Nhƣ thế, hai mặt tích cực tiêu cực đƣợc LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Giải pháp xác thực người dùng Lê Thị Thùy Lương thực bàn tay khối óc ngƣời, khơng có máy móc thay đƣợc Vậy, vấn đề an ninh an tồn mạng máy tính hồn tồn mang tính ngƣời Ban đầu, trị phá hoại mang tính chất trị chơi ngƣời có trí tuệ khơng nhằm mục đích vụ lợi, xấu xa Tuy nhiên, mạng máy tính trở nên phổ dụng, có kết nối nhiều tổ chức, công ty, cá nhân với nhiều thơng tin bí mật, trị phá hoại lại không ngừng gia tăng Sự phá hoại gây nhiều hậu nghiêm trọng, trở thành loại tội phạm Theo số liệu thống kê CERT (Computer Emegency Response Team) số lƣợng vụ công Internet đƣợc thông báo cho tổ chức 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 năm 1993 2241 năm 1994 Những vụ công nhằm vào tất máy tính có mặt Internet, từ máy tính cơng ty lớn nhƣ AT & T, IBM, trƣờng đại học, quan nhà nƣớc, nhà băng Những số đƣa này, thực tế phần tảng băng Một phần lớn vụ công không đƣợc thơng báo nhiều lý khác nhau, nhƣ uy tín, đơn giản họ khơng biết bị cơng Thực tế, đe doạ an ninh khơng bên ngồi tổ chức, mà bên tổ chức vấn đề nghiêm trọng Đe dọa bên tổ chức xẩy lớn bên ngồi, ngun nhân nhân viên có quyền truy nhập hệ thống gây Vì họ có quyền truy nhập hệ thống nên họ tìm đƣợc điểm yếu hệ thống, vơ tình họ phá hủy hay tạo hội cho kẻ khác xâm nhập hệ thống Và nguy hiểm hơn, họ kẻ bất mãn hay phản bội hậu khơng thể lƣờng trƣớc đƣợc Tóm lại, vấn đề an ninh an tồn mạng máy tính hồn tồn vấn đề ngƣời khơng ngừng gia tăng, bị đe doạ từ bên bên tổ chức Vấn đề trở thành mối lo ngại lớn cho chủ thể tham gia vào mạng máy tính tồn cầu Và nhƣ vậy, để đảm bảo việc trao đổi thơng tin an tồn an ninh cho mạng máy tính, buộc tổ chức phải triển khai biện pháp bảo vệ đảm bảo an ninh, mà trƣớc hết cho 1.1.2 Các giải pháp đảm bảo an ninh Nhƣ ta thấy, an ninh an tồn mạng máy tính bị đe doạ từ nhiều góc độ nguyên nhân khác Đe doạ an ninh xuất phát từ bên mạng nội xuất phát từ bên tổ chức Do đó, việc đảm bảo an ninh an tồn cho mạng máy tính cần phải có nhiều giải pháp cụ thể khác Tuy nhiên, tổng quan có ba giải pháp sau: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Giải pháp xác thực người dùng Lê Thị Thùy Lương o Giải pháp phần cứng o Giải pháp phần mềm o Giải pháp ngƣời Đây ba giải pháp tổng quát mà nhà quản trị an ninh phải tính đến cơng tác đảm bảo an ninh an tồn mạng máy tính Mỗi giải pháp có ƣu nhƣợc điểm riêng mà ngƣời quản trị an ninh cần phải biết phân tích, tổng hợp chọn lựa để tạo khả đảm bảo an ninh tối ƣu cho tổ chức Giải pháp phần cứng giải pháp sử dụng thiết bị vật lý nhƣ hệ thống máy chuyên dụng, thiết lập mơ hình mạng (thiết lập kênh truyền riêng, mạng riêng) Giải pháp phần cứng thơng thƣờng kèm với hệ thống phần mềm điều khiển tƣơng ứng Đây giải pháp khơng phổ biến, khơng linh hoạt việc đáp ứng với tiến dịch vụ xuất hiện, chi phí cao Khác với giải pháp phần cứng, giải pháp phần mềm đa dạng Giải pháp phần mềm phụ thuộc hay không phụ thuộc vào phần cứng Cụ thể giải pháp phần mềm nhƣ: phƣơng pháp xác thực, phƣơng pháp mã hoá, mạng riêng ảo, hệ thống tƣờng lửa, Các phƣơng pháp xác thực mã hố đảm bảo cho thơng tin truyền mạng cách an tồn Vì với cách thức làm việc nó, thơng tin thật đƣờng truyền đƣợc mã hoá dƣới dạng mà kẻ “nhịm trộm” khơng thể thấy đƣợc, thơng tin bị sửa đổi nơi nhận có chế phát sửa đổi Cịn phƣơng pháp sử dụng hệ thống tƣờng lửa lại đảm bảo an ninh góc độ khác Bằng cách thiết lập luật điểm đặc biệt (thƣờng gọi điểm nghẹt) hệ thống mạng bên (mạng cần bảo vệ) với hệ thống mạng bên (mạng đƣợc coi khơng an tồn bảo mật - Internet), hệ thống tƣờng lửa hồn tồn kiểm sốt kết nối trao đổi thơng tin hai mạng Với cách thức này, hệ thống tƣờng lửa đảm bảo an ninh tốt cho hệ thống mạng cần bảo vệ Nhƣ thế, giải pháp phần mềm gần nhƣ hồn tồn gồm chƣơng trình máy tính, chi phí cho giải pháp so với giải pháp phần cứng Bên cạnh hai giải pháp trên, giải pháp sách ngƣời giải pháp khơng thể thiếu đƣợc Vì nhƣ phần thấy, vấn đề an ninh an tồn mạng máy tính hồn tồn vấn đề ngƣời, việc đƣa hành lang pháp lý quy nguyên tắc làm việc cụ thể cần thiết Ở đây, hành lang pháp lý gồm: điều khoản luật nhà nƣớc, văn dƣới luật, Cịn quy định tổ chức đặt cho phù hợp với đặc điểm riêng Các quy LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Giải pháp xác thực người dùng Lê Thị Thùy Lương định nhƣ: quy định nhân sự, việc sử dụng máy, sử dụng phần mềm, Và nhƣ vậy, hiệu việc đảm bảo an ninh an toàn cho hệ thống mạng máy tính ta thực triệt để giải pháp sách ngƣời Tóm lại, vấn đề an ninh an tồn mạng máy tính vấn đề lớn, yêu cầu cần phải có giải pháp tổng thể, không phần mềm, phần cứng máy tính mà địi hỏi vấn đề sách ngƣời Và vấn đề cần phải đƣợc thực cách thƣờng xuyên liên tục, không triệt để đƣợc ln nảy sinh theo thời gian Tuy nhiên, giải pháp tổng thể hợp lý, đặc biệt giải tốt vấn đề sách ngƣời ta tạo cho an tồn chắn 1.2 Vấn đề bảo mật hệ thống mạng 1.2.1 Các vấn dề chung bảo mật hệ thống mạng Đặc điểm chung hệ thống mạng có nhiều ngƣời sử dụng chung phân tán mặt địa lý nên việc bảo vệ tài nguyên phức tạp nhiều so với việc mơi trƣờng máy tính đơn lẻ, ngƣời sử dụng Hoạt động ngƣời quản trị hệ thống mạng phải đảm bảo thông tin mạng tin cậy sử dụng mục đích, đối tƣợng đồng thời đảm bảo mạng hoạt động ổn định không bị công kẻ phá hoại Nhƣng thực tế không mạng đảm bảo an toàn tuyệt đối, hệ thống dù đƣợc bảo vệ chắn đến mức có lúc bị vơ hiệu hóa kẻ có ý đồ xấu 1.2.2 Một số khái niệm lịch sử bảo mật hệ thống a Đối tượng công mạng (intruder) Đối tƣợng cá nhân tổ chức sử dụng kiến thức mạng công cụ phá hoại (gồm phần cứng phần mềm) để dị tìm điểm yếu lỗ hổng bảo mật hệ thống, thực hoạt động xâm nhập chiếm đoạt tài nguyên trái phép Một số đối tƣợng công mạng nhƣ: Hacker: kẻ xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu thành phần truy nhập hệ thống Masquerader: Là kẻ giả mạo thông tin mạng nhƣ giả mạo địa IP, tên miền, định danh ngƣời dùng… 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com thuộc tính NAS-IP-Address đƣợc đặt "0.0.0.0" điạ IP nguồn yêu cầu radius đƣợc xác định bảng lộ trình hệ điều hành radiusserver1 host Địa IP máy chủ radius (mặc định=rad01.hotradius.com) radiusserver2 host Địa IP máy chủ radius (mặc định =rad02.hotradius.com) radiusauthport port Số cổng UDP sử dụng cho radius yêu cầu xác thực (mặc định=1812) radiusacctport port Số cổng UDP sử dụng cho radius u cầu tính tốn (mặc định=1813) radiussecret secret Radius chia sẻ bí mật cho máy chủ (mặc định=testing123) Bí mật nên thay đổi để khơng làm bí mật bị lộ radiusnasid id Định danh máy chủ truy nhập mạng (mặc định=nas01) radiusnasip host Địa IP tới báo cáo thuộc tính NAS-IP-Addres Mặc định địa IP rõ tùy chọn radiuslisten radiuscalled name Đặt tên tới báo cáo thuộc tính Called-Station-ID Mặc định cho địa MAC giao diện khơng dây mà rõ tùy chọn dhcpmac radiuslocationid id ID định vị WISPr Cần định dang: isocc=, cc=,ac=,network= Tham số miêu tả rõ tài liệu: Wi-Fi Alliance - Wireless ISP Roaming - Best Current Practices v1, tháng 2- 2003 radiuslocationname name Tên định vị WISPr Cần định dạng: ,