1. Trang chủ
  2. » Luận Văn - Báo Cáo

Giải pháp xác thực người dùng bằng công nghệ captive portal

79 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Giải Pháp Xác Thực Người Dùng
Tác giả Lê Thị Thùy Lương
Người hướng dẫn TS. Phạm Hồng Thái, CN. Lương Việt Nguyên
Trường học ĐHDL Hải Phòng
Chuyên ngành Tin học
Thể loại luận án tốt nghiệp
Năm xuất bản 2007
Thành phố Hải Phòng
Định dạng
Số trang 79
Dung lượng 752,5 KB

Cấu trúc

  • Chương 1: VẤN ĐỀ AN NINH AN TOÀN MẠNG MÁY TÍNH VÀ CÁC GIẢI PHÁP XÁC THỰC NGƯỜI DÙNG (6)
    • 1.1. Tổng quan về vấn đề an ninh an toàn mạng máy tính (7)
      • 1.1.1. Đe dọa an ninh từ đâu? (7)
      • 1.1.2. Các giải pháp cơ bản đảm bảo an ninh (8)
    • 1.2. Vấn đề bảo mật hệ thống và mạng (10)
      • 1.2.1. Các vấn dề chung về bảo mật hệ thống và mạng (10)
      • 1.2.2. Một số khái niệm và lịch sử bảo mật hệ thống (10)
    • 1.3. Các kiến thức cơ bản về xác thực người dùng (12)
      • 1.3.1. Khái niệm về xác thực người dùng (12)
      • 1.3.2. Các giải pháp xác thực người dùng phổ biến (12)
      • 1.3.3. Các giao thức xác thực (18)
      • 1.3.4. Nhận xét (20)
  • Chương 2: MẠNG KHÔNG DÂY VÀ CÁC CHÍNH SÁCH BẢO MẬT (7)
    • 2.1. Giới thiệu chung về mạng không dây (21)
    • 2.2. Lịch sử phát triển và sự phát triển của mạng không dây (22)
      • 2.2.1. Lịch sử phát triển của mạng không dây (22)
      • 2.2.2. Sự phát triển của mạng không dây (23)
      • 2.2.3. Các thế hệ phát triển của mạng không dây (25)
    • 2.3. Công nghệ phổ biến của mạng không dây (26)
      • 2.3.1. Công nghệ TDMA (26)
      • 2.3.2. Công nghệ GSM (26)
      • 2.3.3. Công nghệ CDMA (26)
      • 2.3.4. Công nghệ WiFi (26)
      • 2.3.5. Công Nghệ WiMax (27)
      • 2.3.6. Công nghệ GPRS (28)
    • 2.4. Các chuẩn phổ biến của mạng không dây (28)
    • 2.6. Công nghệ tấn công và cách phòng thủ (30)
      • 2.6.1. Phương pháp tấn công bằng Rogue Access Point (30)
      • 2.6.2. Tổng hợp các phương pháp tấn công khác (32)
    • 2.7. Chính sách bảo mật mạng không dây (35)
      • 2.7.2. Chính sách bảo mật WLAN (36)
  • Chương 3: CÔNG NGHỆ CAPTIVE PORTAL VÀ SỬ DỤNG RADIUS XÁC THỰC TRONG WLAN (21)
    • 3.1. Công nghệ Captive Portal là gì? (38)
      • 3.1.1. Các cách triển triển khai (38)
      • 3.1.3. Giới thiệu một số phần mềm sử dụng công nghệ Captive Portal (39)
      • 3.1.4. Một số hạn chế (40)
    • 3.2. Sử dụng RADIUS cho quá trình xác thực trong WLAN (40)
      • 3.2.1. Xác thực, cấp phép, và thanh toán (42)
      • 3.2.2. Sự an toàn và mở rộng (43)
      • 3.2.3. Áp dụng RADIUS cho mạng LAN không dây (44)
      • 3.2.4. Tthực hiện các tùy chọn (0)
      • 3.2.5. Kết luận (45)
  • Chương 4: CÀI ĐẶT VÀ THỬ NGHIỆM PHẦN MỀM CHILLISPOT (38)
    • 4.1. Giới thiệu ChilliSpot (46)
      • 4.1.1. Phương pháp xác thực của ChilliSpot (46)
      • 4.1.2. Một số giao diện của ChilliSpot (46)
      • 4.1.3. Yêu cầu để xây dựng một HotSpot (47)
      • 4.1.4. Kiến trúc mạng khi xây dựng (48)
    • 4.2. Mô tả (49)
      • 4.2.1. Máy chủ Web xác thực (49)
      • 4.2.2. RADIUS (49)
      • 4.2.2. Access Point (0)
      • 4.2.3. Máy khách (55)
      • 4.2.4. Kiến trúc phần mềm (55)
    • 4.3. Cài đặt trên RedHat 9, Fedora (FC1,FC2,FC3 hoặc FC4) (0)
      • 4.3.1. Yêu cầu tối thiểu (56)
      • 4.3.2. Chuẩn bị (56)
      • 4.3.3. Cài đặt Redhat hoặc Fedora (56)
      • 4.3.4. Cài đặt và định cấu hình ChilliSpot (57)
      • 4.3.5. Cài đặt Firewall (58)
      • 4.3.6. Cài đặt và cấu hình máy chủ web chứng thực UAM (59)
      • 4.3.7. Cài đặt và cấu hình FreeRADIUS (59)
    • 4.4. Cấu hình máy khách (60)
      • 4.4.1. Phương pháp truy nhập phổ thông - Universal Access Method (60)
      • 4.4.2. Bảo vệ sự truy nhập không dây - Wireless Protected Access (61)
    • 4.5. Những file được tạo ra hoặc được sử dụng (61)
    • 4.6. Tùy chọn (62)
      • 4.6.1. Tóm tắt (62)
      • 4.6.2. Tùy chọn (0)
      • 4.6.3. Tệp tin (69)
      • 4.6.4. Tín hiệu (69)
    • 4.7. Các phiên bản của ChilliSpot (69)
      • 4.7.1. ChilliSpot 1.1 (69)
      • 4.7.2. ChilliSpot 1.0 (70)
      • 4.7.3. ChilliSpot 1.0 RC3 (70)
      • 4.7.4. ChilliSpot 1.0 RC2 (71)
      • 4.7.5. ChilliSpot 1.0 RC1 (71)
      • 4.7.6. ChilliSpot 0.99 (72)
      • 4.7.7. ChilliSpot 0.98 (73)
      • 4.7.8. ChilliSpot 0.97 (74)
      • 4.7.9. ChilliSpot 0.96 (0)
      • 4.7.10. ChilliSpot 0.95 (75)
      • 4.7.11. ChilliSpot 0.94 (76)
      • 4.7.12. ChilliSpot 0.93 (0)
      • 4.7.13. ChilliSpot 0.92 (77)
      • 4.7.14. ChilliSpot 0.91 (77)
      • 4.7.15. ChilliSpot 0.90 (77)
  • KẾT LUẬN (0)

Nội dung

VẤN ĐỀ AN NINH AN TOÀN MẠNG MÁY TÍNH VÀ CÁC GIẢI PHÁP XÁC THỰC NGƯỜI DÙNG

Tổng quan về vấn đề an ninh an toàn mạng máy tính

1.1.1 Đe dọa an ninh từ đâu?

Trong xã hội, cái thiện và cái ác luôn song song tồn tại như hai mặt không tách rời, chúng luôn phủ định nhau Có biết bao nhiêu người muốn hướng tới cái chân thiện, cái tốt đẹp, thì cũng có không ít kẻ vì mục đích này hay mục đích khác lại làm cho cái ác nảy sinh, lấn lướt cái thiện Sự giằng co giữa cái thiện và cái ác ấy luôn là vấn đề bức xúc của xã hội, cần phải loại trừ cái ác, thế nhưng cái ác lại luôn nảy sinh theo thời gian Mạng máy tính cũng vậy, có những người phải mất biết bao nhiêu công sức nghiên cứu ra các biện pháp bảo vệ cho an ninh của tổ chức mình, thì cũng lại có kẻ tìm mọi cách phá vỡ lớp bảo vệ đó với nhiều ý đồ khác nhau.

Mục đích của người lương thiện là luôn muốn tạo ra các khả năng bảo vệ an ninh cho tổ chức rất rõ ràng Ngược lại, ý đồ của kẻ xấu lại ở nhiều góc độ, cung bậc khác nhau Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả năng của mình, để thoả mãn thói hư ích kỷ Loại người này thường làm hại người khác bằng cách phá hoại các tài nguyên trên mạng, xâm phạm quyền riêng tư hoặc bôi nhọ danh dự của họ Nguy hiểm hơn, có những kẻ lại muốn đoạt không các nguồn lợi của người khác như việc lấy cắp các thông tin mật của các công ty, đột nhập vào ngân hàng để chuyển trộm tiền Bởi trên thực tế, hầu hết các tổ chức công ty tham gia vào mạng máy tính toàn cầu đều có một lượng lớn các thông tin kết nối trực tuyến Trong lượng lớn các thông tin ấy, có các thông tin bí mật như: các bí mật thương mại, các kế hoạch phát triển sản phẩm, chiến lược maketing, phân tích tài chính hay các thông tin về nhân sự, bí mật riêng tư Các thông tin này hết sức quan trọng, việc để lộ ra các thông tin cho các đối thủ cạnh tranh sẽ dẫn đến một hậu quả hết sức nghiêm trọng.

Tuy nhiên, không phải bất cứ khi nào muốn những kẻ xấu cũng có thể thực hiện được mục đích của mình Chúng cần phải có thời gian, những sơ hở, yếu kém của chính những hệ thống bảo vệ an ninh mạng Và để thực hiện được điều đó, chúng cũng phải có trí tuệ thông minh cộng với cả một chuỗi dài kinh nghiệm Còn để xây dựng được các biện pháp đảm bảo an ninh, đòi hỏi ở người xây dựng cũng không kém về trí tuệ và kinh nghiệm thực tiễn Như thế, cả hai mặt tích cực và tiêu cực ấy đều được thực hiện bởi bàn tay khối óc của con người, không có máy móc nào có thể thay thế được Vậy, vấn đề an ninh an toàn mạng máy tính hoàn toàn mang tính con người.

Ban đầu, những trò phá hoại chỉ mang tính chất là trò chơi của những người có trí tuệ không nhằm mục đích vụ lợi, xấu xa Tuy nhiên, khi mạng máy tính trở nên phổ dụng, có sự kết nối của nhiều tổ chức, công ty, cá nhân với nhiều thông tin bí mật, thì những trò phá hoại ấy lại không ngừng gia tăng Sự phá hoại ấy đã gây ra nhiều hậu quả nghiêm trọng, nó đã trở thành một loại tội phạm Theo số liệu thống kê của CERT (Computer Emegency Response Team) thì số lượng các vụ tấn công trên Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991,

1400 năm 1993 và 2241 năm 1994 Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, từ các máy tính của các công ty lớn như AT & T, IBM, các trường đại học, các cơ quan nhà nước, các nhà băng Những con số đưa ra này, trên thực tế chỉ là phần nổi của tảng băng Một phần lớn các vụ tấn công không được thông báo vì nhiều lý do khác nhau, như sự mất uy tín, hoặc chỉ đơn giản là họ không hề biết mình bị tấn công

Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức, mà bên trong tổ chức vấn đề cũng hết sức nghiêm trọng Đe dọa bên trong tổ chức xẩy ra lớn hơn bên ngoài, nguyên nhân chính là do các nhân viên có quyền truy nhập hệ thống gây ra Vì họ có quyền truy nhập hệ thống nên họ có thể tìm được các điểm yếu của hệ thống, hoặc vô tình họ cũng có thể phá hủy hay tạo cơ hội cho những kẻ khác xâm nhập hệ thống Và nguy hiểm hơn, một khi họ là kẻ bất mãn hay phản bội thì hậu quả không thể lường trước được.

Tóm lại, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con người và không ngừng gia tăng, nó có thể bị đe doạ từ bên ngoài hoặc bên trong tổ chức Vấn đề này đã trở thành mối lo ngại lớn cho bất kì chủ thể nào tham gia vào mạng máy tính toàn cầu Và như vậy, để đảm bảo việc trao đổi thông tin an toàn và an ninh cho mạng máy tính, buộc các tổ chức đó phải triển khai các biện pháp bảo vệ đảm bảo an ninh, mà trước hết là cho chính mình.

1.1.2 Các giải pháp cơ bản đảm bảo an ninh

Như trên ta đã thấy, an ninh an toàn mạng máy tính có thể bị đe doạ từ rất nhiều góc độ và nguyên nhân khác nhau Đe doạ an ninh có thể xuất phát từ bên ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức Do đó, việc đảm bảo an ninh an toàn cho mạng máy tính cần phải có nhiều giải pháp cụ thể khác nhau Tuy nhiên, tổng quan nhất có ba giải pháp cơ bản sau: o Giải pháp về phần cứng. o Giải pháp về phần mềm. o Giải pháp về con người. Đây là ba giải pháp tổng quát nhất mà bất kì một nhà quản trị an ninh nào cũng phải tính đến trong công tác đảm bảo an ninh an toàn mạng máy tính Mỗi giải pháp có một ưu nhược điểm riêng mà người quản trị an ninh cần phải biết phân tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối ưu nhất cho tổ chức mình.

Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ thống máy chuyên dụng, cũng có thể là các thiết lập trong mô hình mạng (thiết lập kênh truyền riêng, mạng riêng) Giải pháp phần cứng thông thường đi kèm với nó là hệ thống phần mềm điều khiển tương ứng Đây là một giải pháp không phổ biến, vì không linh hoạt trong việc đáp ứng với các tiến bộ của các dịch vụ mới xuất hiện, và chi phí rất cao.

Khác với giải pháp phần cứng, giải pháp về phần mềm hết sức đa dạng Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng Cụ thể các giải pháp về phần mềm như: các phương pháp xác thực, các phương pháp mã hoá, mạng riêng ảo, các hệ thống bức tường lửa, Các phương pháp xác thực và mã hoá đảm bảo cho thông tin truyền trên mạng một cách an toàn nhất Vì với cách thức làm việc của nó, thông tin thật trên đường truyền được mã hoá dưới dạng mà những kẻ “nhòm trộm” không thể thấy được, hoặc nếu thông tin bị sửa đổi thì tại nơi nhận sẽ có cơ chế phát hiện sự sửa đổi đó Còn phương pháp sử dụng hệ thống bức tường lửa lại đảm bảo an ninh ở góc độ khác Bằng cách thiết lập các luật tại một điểm đặc biệt (thường gọi là điểm nghẹt) giữa hệ thống mạng bên trong (mạng cần bảo vệ) với hệ thống mạng bên ngoài (mạng được coi là không an toàn về bảo mật - hay là Internet), hệ thống bức tường lửa hoàn toàn có thể kiểm soát các kết nối trao đổi thông tin giữa hai mạng Với cách thức này, hệ thống tường lửa đảm bảo an ninh khá tốt cho hệ thống mạng cần bảo vệ Như thế, giải pháp về phần mềm gần như hoàn toàn gồm các chương trình máy tính, do đó chi phí cho giải pháp này sẽ ít hơn so với giải pháp về phần cứng.

Bên cạnh hai giải pháp trên, giải pháp về chính sách con người là một giải pháp hết sức cơ bản và không thể thiếu được Vì như phần trên đã thấy, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con người, do đó việc đưa ra một hành lang pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết Ở đây, hành lang pháp lý có thể gồm: các điều khoản trong bộ luật của nhà nước, các văn bản dưới luật, Còn các quy định có thể do từng tổ chức đặt ra cho phù hợp với từng đặc điểm riêng Các quy định có thể như: quy định về nhân sự, việc sử dụng máy, sử dụng phần mềm, Và như vậy, sẽ hiệu quả nhất trong việc đảm bảo an ninh an toàn cho hệ thống mạng máy tính một khi ta thực hiện triệt để giải pháp về chính sách con người

Tóm lại, vấn đề an ninh an toàn mạng máy tính là một vấn đề lớn, nó yêu cầu cần phải có một giải pháp tổng thể, không chỉ phần mềm, phần cứng máy tính mà nó đòi hỏi cả vấn đề chính sách về con người Và vấn đề này cần phải được thực hiện một cách thường xuyên liên tục, không bao giờ triệt để được vì nó luôn nảy sinh theo thời gian Tuy nhiên, bằng các giải pháp tổng thể hợp lý, đặc biệt là giải quyết tốt vấn đề chính sách về con người ta có thể tạo ra cho mình sự an toàn chắc chắn hơn.

Vấn đề bảo mật hệ thống và mạng

1.2.1 Các vấn dề chung về bảo mật hệ thống và mạng Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng chung và phân tán về mặt địa lý nên việc bảo vệ tài nguyên phức tạp hơn nhiều so với việc môi trường một máy tính đơn lẻ, hoặc một người sử dụng.

Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin trên mạng là tin cậy và sử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định không bị tấn công bởi những kẻ phá hoại.

Nhưng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi những kẻ có ý đồ xấu.

1.2.2 Một số khái niệm và lịch sử bảo mật hệ thống a Đối tượng tấn công mạng (intruder) Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép

Một số đối tượng tấn công mạng như:

Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống

Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP, tên miền, định danh người dùng…

Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị.

Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể đó là những hành động vô ý thức… b Các lỗ hổng bảo mật

Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.

Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bản thân hệ thống, hoặc phần mềm cung cấp hoặc người quản trị yếu kém không hiểu sâu về các dịch vụ cung cấp…

Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau Có lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn bộ hệ thống hoặc phá hủy hệ thống. c Chính sách bảo mật

Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng. Đối với từng trường hợp phải có chính sách bảo mật khác nhau Chính sách bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biện pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng.

MẠNG KHÔNG DÂY VÀ CÁC CHÍNH SÁCH BẢO MẬT

Giới thiệu chung về mạng không dây

Ngày nay sự phát triển công nghệ đã diễn ra với một tốc độ chóng mặt, không thể đoán trước Công nghệ Internet cũng không nằm ngoài xu hướng đó, chỉ cách đây một thời gian ngắn khi các modem 56Kbps đang còn phổ biến và được nhiều người chấp nhận, nhưng đến nay với công nghệ DSL thì người dùng có thể truy cập Internet tốc độ cao ngay tại chính nhà mình với đường kết nối có thể lên tới 6Mbps Chưa bao giờ người dùng có thể truy nhập miễn phí rất nhiều thông tin một cách nhanh chóng và thuận tiện Con người có thể ngồi nhà và tìm kiếm trao đổi thông tin với tốc độ tải dữ liệu lên tới hàng megabit Nhưng thực sự thì chi phí cho DSL là không rẻ, điều đó làm cho nó không phải là một giải pháp tối ưu đối với người dùng Với sự phát triển mạnh mẽ của các thiết bị cầm tay và các thiết bị hỗ trợ không dây đã đưa đến một công nghệ mới chính là công nghệ mạng không dây, dùng sóng điện từ để thực hiện các giao thức truyền tin không cần qua dây hoặc cáp nối Giao tiếp qua mạng không dây hiện nay được cung cấp rất dễ dàng, giá rẻ, dịch vụ mạng băng thông rộng Cùng với các thiết bị hỗ trợ như là bluetooth, mạng không dây đang được áp dụng rộng rãi, đặc biệt với các thiết bị cầm tay như là: mobile, PDA, pocketPC, …

Công nghệ không dây - đúng với tên gọi của nó - là công nghệ cho phép một hoặc nhiều thiết bị giao tiếp được với nhau mà không cần những kết nối vật lí hay nói cách khác là kết nối mà không cần đến cable mạng Công nghệ không dây sử dụng sóng radio trong khi các công nghệ truyền thống sử dụng các loại cable làm phương tiện truyền dữ liệu Phạm vị của công nghệ không dây là rất lớn, kể từ những hệ thống mạng trên diện rộng và phức tạp như mạng WLAN, mạng điện thoại di động cho tới những hệ thống, thiết bị cực kì đơn giản như tai nghe, micro không dây và một loạt các thiết bị không có nhiệm vụ lưu trữ và xử lí thông tin khác Nó cũng bao gồm các thiết bị hồng ngoại như các loại điều khiển từ xa, một số loại chuột và bàn phím không dây

Lịch sử phát triển và sự phát triển của mạng không dây

2.2 Lịch sử phát triển và sự phát triển của mạng không dây

2.2.1 Lịch sử phát triển của mạng không dây

Sau đây là những thông tin cơ bản dẫn đến sự ra đời của hệ thống truyền thông không dây hiện nay:

Năm 1928: Lần đầu tiên John Baird đã sử dụng bộ biến điệu biên độ trong công nghệ không dây để thu phát tín hiệu Tivi qua thái bình dương.

Năm 1933: Amstrong phát minh ra bộ biến điệu tần số

Năm 1958: Hệ thống mạng không dây đầu tiên ở Đức ra đời, đó là hệ thống A-

Netz, theo công nghệ tương tự sử dụng tần số 160MHz Đến năm 1971 mức độ phủ sóng đạt 80% diện tích lãnh thổ, phục vụ hơn 11.000 khách hàng.

Năm 1982: Hệ thống mới ra đời, sử dụng dải tần 900MHz, cho phép truyền âm thanh và dữ liệu, đó là hệ thống GSM (Groupe Speciale Mobile) (sau này thuật ngữ này viết tắt cho Global System for Mobile communication).

Năm 1983: Mỹ đưa ra hệ thống AMPS và đến năm 1989 hệ thống này được phát triển thành hệ thống điện thoại di động tương tự làm việc ở dải tần 850 MHz. Đầu năm 1990: Đánh dấu sự khởi đầu của hệ thống kỹ thuật số hoàn chỉnh.

Năm 1991, cơ quan Tiêu chuẩn truyền thông Châu Âu ETSI phát triển chuẩn DECT cho hệ thống điện thoại không dây kỹ thuật số, làm việc ở dải tần 1880-1900 MHz với phạm vi liên lạc 100-500m, gồm 120 kênh khác nhau, có thể chuyển tải được 2Mbit/s.

Hệ thống có khả năng hỗ trợ 10.000 người sử dụng trên 1 km² và sau đó đã được sử dụng ở hơn 40 nước.

Năm 1991: GSM được chuẩn hoá, phiên bản đầu tiên của GSM được gọi là hệ thống toàn cầu cho truyền thông di động, hoạt động ở tần số 900MHz, sử dụng 124 kênh song công GSM có thể cung cấp dịch vụ trên phạm vi quốc tế, tự động định vị những dịch vụ, nhận dạng, mã hoá, nhắn tin ngắn với 160 ký tự, fax Hiện nay, trên thế giới có khoảng 130 nước sử dụng các hệ thống truyền thông theo chuẩn GSM

Năm 1996: Chuẩn ESTI được chuẩn hoá thành HYPERLAN (High

Performance Radio Local Area Network) hoạt động ở tần số 5.2GHz, băng thông đường truyền lên tới 23,5Mbit/s.

Năm 1997: Chuẩn IEEE 802.11 ra đời, hoạt động ở dải tần 2,4 GHz và băng thông 2Mbit/s (có thể nâng lên 10Mbit/s)

Năm 1998: Đánh dấu sự bắt đầu của truyền thông di động bằng việc sử dụng vệ tinh với hệ thống Iridium Hệ thống này bao gồm 66 vệ tinh quay quanh trái đất ở tầng thấp và sử dụng dải tần 1.6GHz cho việc kết nối với điện thoại di động

2.2.2 Sự phát triển của mạng không dây

Mạng không dây có tuổi đời còn rẩt trẻ, tuy nhiên trên thể giới đã có tới hàng triệu người sử dụng Web phone và các thiết bị cầm tay không dây để truy cập Internet.Các quốc gia và các tập đoàn đa quốc gia đang nỗ lực rất lớn để thiết lập một cơ sở hạ tầng không dây vững chắc Để thấy được sự phát triển của mạng không dây chúng ta sẽ so sánh mạng không dây và mạng có dây và các ứng dụng của chúng với nhau.

Hình 1 Mạng không dây có dây và các ứng dụng của nó

Mạng không dây bắt đầu phát triển vào năm 1990 nhưng mãi cho tới năm

2000 nó mới thực sự phát triển

Công nghệ truy cập không dây thế hệ 2G truyền với tốc độ: từ 9,6 -> 19,2 kbps, tốc độ này thấp hơn nhiều so với di-up Destop Pc kết nối Internet Tuy nhiên, ở thế hệ 2.5G tốc độ này đã lên tới100 kbps, thế hệ 3G tốc độ đạt 2 -> 4Mbps Với tốc độ này cho phép kết nối không dây chạy nhanh hơn nhiều so với kết nối có dây và các dịch vụ DSL.

Hình vẽ trên cho thấy: ở thế hệ 2G, các thông điệp được truyền đi chủ yếu dưới dạng tiếng nói và văn bản Nhưng thế hệ 2.5G đặc biệt là 3G đã mở ra một cánh cửa mới cho nhiều ứng dụng không dây mới ví dụ như hội thảo qua mạng …

Một so sánh nữa mà chúng tôi muốn đưa ra đó là: số lượng thuê bao(Subscrible) không dây và có dây truy cập Internet Từ năm 2003 trở về trước số lượng thuê bao có dây cao hơn nhiều so với không dây Theo dự đoán của ôngEricson, thì đến năm 2006 số thuê bao không dây sẽ cao hơn nhiều (Minh họa Hình 2)

Hình 2: Truy cập internet di động 2.2.3 Các thế hệ phát triển của mạng không dây

Các thế hệ phát triển của mạng không dây được phân chia dựa vào công nghệ truy cập không dây(Wireless Access Technology).

1G Hệ thống mạng không dây thế hệ thứ nhất ra đời vào cuối những năm 70 đầu những năm 80 Hệ thống được xây dựng với mục đích duy nhất truyền tiếng nói dựa trên công nghệ FDMA Với công nghệ này, mỗi người gọi sẽ có một kênh tần số riêng

2G Thế hệ thứ 2 ra đời vào cuối những năm 80 đầu những năm 90 Hệ thống đã được số hóa, chất lượng đường truyền được cải thiện đáng kể, dung lượng hệ thống tăng lên, phạm vi của khu vực phủ sóng tăng lên Công nghệ đa truy nhập chính được sử dụng cho thế hệ 2G đó là TDMA và CDMA.

3G Thế hệ 3G là thế hệ của tiếng nói kỹ thuật số và dữ liệu Hệ thống có thể truyền được tiếng nói, dữ liệu , hình ảnh, audio và video Công nghệ sử dụng chính là W-CDMA and CDMA 2000 W-CDMA(Wideband CDMA): có băng thông 5MHz, cùng hoạt động với GSM, có thể chuyển giao với cell của GSM, thúc đẩy bởi UMTS (Universal Mobile Telecommunication System) của châu Âu CDMA 2000: được đưa ra bởi Qualcomm của US, băng thông 5MHz, không cùng hoạt động với GSM, không thể chuyển giao với cell của GSM.

2.5G Băng thông 100 kbps, lớn hơn nhiều so với thế hệ 2G nhưng thấp hơn nhiều so với thế hệ 3G.

Công nghệ phổ biến của mạng không dây

Hệ thống sử dụng TDMA hoạt động theo kênh tần số, trong đó các caller sử dụng chế độ chia sẻ thời gian theo kênh tấn số này, mỗi caller sẽ sử dụng một khe thời gian trong cả chuỗi khe thời gian. Ưu điểm của hệ thống TDMA: tăng hiệu quả truyền dữ liệu Công nghệ TDMA phân chia người sử dụng theo thời gian vì vậy đảm bảo cho các sự truyền thông diễn ra đồng thời không gây ra xung đột.

Bên cạnh đó, một nhược điểm của TDMA là mỗi một caller có một khe thời gian được định nghĩa trước, kết quả là khi mà một caller đang đi lang thang từ khối này sang khối khác thì tất cả khe thời gian của khối tiếp theo đã bị chiếm dữ, vì vậy có thể bị ngừng kết nối.

GSM(Group Special Mobile hoặc Global System for Mobile Communication) Công nghệ này trước kia phát triển chủ yếu ở Châu Âu và Mĩ Tuy nhiên, ngày nay GSM đã phổ biến ở nhiều nước trên thế giới Hệ thống triển khai GSM là DECT (digital enhanced cordless telephony), dùng chuẩn IS – 136 và iDEN(integrated Digital Enhanced Network).

CDMA và GSM thuộc thế hệ 2G Công nghệ CDMA hoạt động ở dải tần 1.25MHz, được đặc tả trong chuẩn IS – 95 CDMA cho sử dụng toàn bộ phổ tần số, có khả năng đồng bộ người dùng tuy nhiên mức độ điện năng của toàn bộ người dùng phải như nhau, tại trạm cơ sở biết mọi người dùng Tín hiệu truyền đi với chất lượng tốt, giao tiếp an toàn Ngày nay có khá nhiều các chuẩn mobile phone đang được phát triển dựa trên công nghệ CDMA.

Wifi - Wireless Fidelity là tên gọi mà các nhà sản xuất đặt cho một chuẩn kết nối không dây (IEEE 802.11), công nghệ sử dụng sóng radio để thiết lập hệ thống kết nối mạng không dây Công nghệ WiFi cho phép kết nối Internet vô tuyến với tốc độ cực nhanh, có thể sử dụng trong vòng bán kính từ vài chục mét trở lên Bằng cách thiết lập nhiều điểm truy cập hay còn gọi là “điểm nóng” (hot spots) Đây là công nghệ mạng được thương mại hóa tiên tiến nhất thế giới hiện nay Một mạng Internet không dây Wifi thường gồm ba bộ phận cơ bản: điểm truy cập (Access Point); card giao tiếp mạng (Network Interface Card - NIC); và bộ phận thu phát, kết nối thông tin tại các nút mạng gọi là Wireless CPE (Customer Premier Equipment) Trong đó, Access Point đóng vai trò trung tâm của toàn mạng, là điểm phát và thu sóng, trao đổi thông tin với tất cả các máy trạm trong mạng, cho phép duy trì kết nối hoặc ngăn chặn các máy trạm tham gia vào mạng Một Access Point có thể cho phép tới hàng nghìn máy tính trong vùng phủ sóng truy cập mạng cùng lúc Đến nay, Viện Kỹ thuật điện và Điện tử của Mỹ (Institute of Electrical and Electronic Engineers - IEEE) đã phát triển ba chỉ tiêu kỹ thuật cho mạng LAN không dây gồm: chuẩn 802.11a ở tần số 5,lGHz, tốc độ 54Mbps; chuẩn 802.11b ở tần số 2,4 GHz, tốc độ 11 Mbps; và chuẩn 802.11g ở tần số 2,4GHz, tốc độ 54Mbps Các ứng dụng mạng LAN, hệ điều hành hoặc giao thức mạng, bao gồm cả TCP/IP, có thể chạy trên mạng không dây WLAN (Wireless Local Area Network) tương thích chuẩn 802.11 dễ dàng mà không cần tới hệ thống cáp dẫn lằng nhằng.

Wifi đặc biệt thích hợp cho nhu cầu sử dụng di động và các điểm truy cập đông người dùng Nó cho phép người sử dụng truy cập mạng giống như khi sử dụng công nghệ mạng máy tính truyền thống tại bất cứ thời điểm nào trong vùng phủ sóng. Thêm vào đó, Wifi có độ linh hoạt và khả năng phát triển mạng lớn do không bị ảnh hưởng bởi việc thay đổi lại vị trí, thiết kế lại mang máy tính Cũng vì là mạng không dây nên Wifi khắc phục được những hạn chế về đường cáp vật lý, giảm được nhiều chi phí triển khai thi công dây mạng và không phải tác động nhiều tới cơ sở hạ tầng.

WiMax cũng tương tự như WiFi Cả hai đều tạo ra các điểm nóng truy nhập, tức là vùng xung quanh một ăngten trung tâm để mọi người có thể chia sẻ thông tin và truy nhập Internet chỉ bằng một chiếc laptop đã cài đặt Trong khi Wi-Fi chỉ bao phủ trong vùng rộng vài trăm feet (1 feet = 0,3048m), WiMax có thể bao phủ vùng rộng 25 đến 30 dặm Như vậy, WiMax có thể được dùng để thay thế cả các công nghệ băng thông rộng truyền thống, sử dụng đường điện thoại cố định và dây cáp Công nghệ WiMax sử dụng băng tần 10 MHz hứa hẹn tốc độ truyền 30 Mb/giây trong phạm vi 1 km ở khu vực đông dân và 5 km ở vùng hẻo lánh WiMax sử dụng chuẩn OFDM (Phân chia tần số trực giao) với khả năng tiêu thụ năng lượng thấp hơn WiFi OFDM có thể thu hẹp băng thông khi kết nối mạng và chỉ áp dụng tốc độ cao nhất trong quá hoạt động trong khi WiFi không thể thực hiện được điều này."Wimax là tiềm năng lớn cho công nghệ mạng di động thế hệ 4 (4G)".

GPRS đã được nhắc đến nhiều trong khoảng 3-4 năm trở lại đây GPRS(General Packet Radio Service) là công nghệ chuyển mạch gói được phát triển trên nền tảng công nghệ thông tin di động toàn cầu (GSM: Global System for Mobile) sử dụng đa truy nhập phân chia theo thời gian (TDMA: Time Division Multiple Access).Với công nghệ GPRS, tốc độ đường truyền có thể đạt tới 150 Kbp/s, gấp tới 15 lần đường truyền hiện nay (GSM mới chỉ đạt tốc độ 9,6kbp/s) Người sử dụng có thể truy cập Internet từ điện thoại di động có tính năng WAP để gửi tin nhắn hình ảnh và âm thanh; chia sẻ các kênh truyền số liệu tốc độ cao và ứng dụng đa phương tiện; truyền ảnh, truyền dữ liệu tốc độ cao, thương mại điện tử GPRS là bước quan trọng hội nhập tới các mạng thông tin thế hệ ba (3G).

Các chuẩn phổ biến của mạng không dây

Chuẩn 802.1 Là chuẩn không dây đầu tiên được đưa ra trong “802 family”, được đề xuất bởi IEEE năm 1997, và định nghĩa ba công nghệ được sử dụng trong tầng vật lý: FHSS ở 2.4Ghz, DSSS ở 2.4 Ghz, và Infrared Các mạng radio 802.11b và 802.11g sử dụng DSSS có thể đạt được tốc độ truyền dữ liệu là 1 hoặc 2Mbps trong khi có mạng radio sử dụng truyền thông FHSS và hồng ngoại không đạt được như vậy.

Chuẩn 802.11a Theo tài liệu có trên IEEE cả 802.11a và 802.11b đều được phê chuẩn vào 16/09/1999 Trước đó, 802.11a được biết đến như là sự chấm hết cho 802.11b, như là nó không chỉ truyền dữ liệu nhanh hơn (lên tới 54Mbs) mà còn thực hiện ở một phổ hoàn toàn khác, 5Ghz UNII band Nó sử dụng công nghệ mã hoá gọi là OFDM ( Orthogonal Frequency Division Multiplexing ) Với những hứa hẹn về tốc độ thực thi cao hơn, không bị nhiễu với các thiết bị 2.4GHz, 802.11có vẻ đầy tiềm năng và nó được đưa ra thị trường chậm hơn 802.11b 802.11a cũng phải trải qua một số vấn đề: tại cùng điều kiện mức năng lượng như nhau, các tín hiệu tại 5GHz chỉ được truyền đi với khoảng cách bằng một nửa so với các tín hiệu cùng loại ở 2.5Ghz, đây thực sự là rào cản công nghệ với các nhà thiết kế và thực thi Kết quả là 802.11a không được sử dụng rộng rãi như 802.11b cũng như giá thành vẫn ở mức cao dù giá thiết bị đã giảm xuống theo thời gian.

Chuẩn 802.11b Đây là chuẩn phố biến (được thừa nhận do thực tế sản xuất) trong một vài năm trở lại đây Nó đem lại khả năng truyền cũng như thông lượng truyền dữ liệu đáng nể (trong khi sóng radio có thể gửi frames với tốc độ có thể lên tới 11Mbps, chi phí giao thức làm cho tốc độ dữ liệu chỉ khoảng 5 tới 6 Mbps ngang với chuẩn Ethernet 10baseT) Nó sử dụng DSSS ở 2.4Ghz, và tự động lựa chọn tốc độ tốc độ truyền dữ liệu tốt nhất (1, 2, 5.5, hoặc 11Mbps), phụ thuộc vào năng lượng tín hiệu hiện thời Ưu điểm lớn nhất của nó chính là tính phổ biến: hàng triệu các thiết bị 802.11b đã được mang đến các vùng trên thế giới, giá cả của các thiết bị cũng tương đối rẻ mà không chỉ có thế rât nhiều các máy tính xách tay cũng như các thiết bị cầm tay bây giờ đã được kèm theo với khả năng kết nối dựa trên chuẩn 802.11b.

Chuẩn 802.11g Sử dụng mã hóa OFDM của 802.11a ở dải tần 2.4Ghz, và cũng hạ xuống tới DSSS để tương thích ngược với các sóng radio của 802.11b Điều đó có nghĩa là các tốc độ thuộc dòng 54Mbps theo lí thuyết có thể đạt được ở dải tần 2.4Ghz, trong khi tất cả vẫn được giữ lại để tương thích với các thiết bị 802.11b đang hiện có Điều đó thực sự rất hứa hẹn, các thiết bị được bán ra giờ đây có thể nâng cấp thành 802.11g thông qua nâng cấp các firmware, 802.11g thực sự sẽ hưa hẹn trở thành công nghệ chính phổ biến trong thời gian tới với sự khắc phục các nhước điểm về kĩ thuật, giá cả, sự tương thích của 802.11a.

Chuẩn 802.16 Được đưa ra vào năm 2001, 802.16 hứa hẹn sẽ khắc phục được tất cả các thiếu sót của những ứng dụng khoảng cách xa so với các chuẩn 802.11.

Do họ gia đình chuẩn 802.11 chỉ áp dụng trong các mạng LAN, không được sử dụng trong các khoảng cách xa nên 802.16 được thiết kế như một chuẩn cung cấp một cơ sở hạ tầng cho mạng không dây cho các thành phố, với khoảng cách được tính bằng km.

Nó sử dụng tần số từ 10 đến 66Ghz để cung cấp các dịch vụ thương mại chất lượng tới các trạm, các toà nhà … Các thiết bị cho 802.16 đã có trên thị trường và giá cả sẽ tốt hơn theo thời gian.

Chuẩn 802.1x Phương thức 802.1x không chỉ là phương thức của mạng không dây Nó được mô tả như là một phương pháp cho xác thực cổng và có thể áp dụng cho bất kì mạng nào, cả không dây lẫn có dây.

Chuẩn Bluetooth Ngày nay, Bluetooth là chuẩn khá phổ biến của mạng AdHoc Chuẩn Bluetooth là một đặc điểm kĩ thuật của tính toán và giao tiếp từ xa ChuẩnBluetooth hoạt động ở băng thông radio 2.45GHz và hỗ trợ tốc độ truyền dữ liệu lên tới 720 kbps Trong tương lai nó có thể hỗ trợ đồng thời ba kênh tiếng nói cùng diễn ra một lúc, nó có thể làm giảm xung đột bên trong của các thiết bị khác nhau hoạt động ở cùng một băng thông tần số Chuẩn IEEE 802.15 dựa trên các đặc điểm của Bluetooth Version1.1 Các ứng dụng mạng của chuẩn Bluetooth bao gồm: sự đồng bộ hóa không dây, truy cập Internet, Intranet, e-mail bằng cách sử dụng kết nối máy tính cá nhân cục bộ, có thể tính toán ẩn thông qua các ứng dụng tính toán tự động

Công nghệ tấn công và cách phòng thủ

2.6.1 Phương pháp tấn công bằng Rogue Access Point

Thuật ngữ “Rogue Access Point” là để chỉ những Access Point được triển khai trái phép nhằm những mục đích xấu Nhưng trên thực tế nó dùng để chỉ tất cả các thiết bị được triển khai trái phép bất kể mục đích thực là gì. a Các nhân viên triển khai Access Point trái phép

Do sự tiện dụng của các thiết bị mạng không dây tại gia đình nên một vài nhân viên đã gắn những Access Point rẻ tiền vào mạng WLAN nội bộ Chính những hành động không cố ý này của người dùng đã vô tình tạo nên một lỗ hổng lớn có thể dẫn tới việc dò rỉ các thông tin quan trọng ra ngoài Những Access Point rẻ tiền này có thể không tuân theo các thủ tục tiêu chuẩn triển khai do đó tạo nên nhiều vấn đề bảo mật trong mạng không dây và có dây Những vị khách bên trong tòa nhà và các hacker bên ngoài tòa nhà có thể kết nối tới các Access Point này để ăn cắp băng thông, gửi nhìêu nội dung xấu tới người khác, lấy các dữ liệu quan trọng, tấn công các tài sản của công ty, hoặc sử dụng mạng đó để tấn công các mạng khác. b Các Access Point không được cấu hình đúng cách

Thình thoảng một cái Access Point có thể bỗng nhiên trở thành một thiết bị thâm nhập trái phép chỉ bởi một lỗi cấu hình rất nhỏ Thay đổi trong việc thiết lập xác định dịch vụ, thiết lập xác nhận, thiết lập mã hóa …, có thể diễn ra nghiêm trọng bởi vì chúng có thể cho phép sự kết hợp trái phép nếu không được cấu hình đúng cách Lấy ví dụ, trong chế độ xác thực mở, bất cứ thiết bị không dây ở máy khách nào trong trạng thái 1 (chưa được xác thực và chưa được liên kết) đều có thể gửi những yêu cầu xác thực tới một Access Point và nếu xác thực thành công thì có thể chuyển sang trạng thái 2 (được xác thực và chưa được liên kết) Nếu như một Access Point không xác định đúng người dùng bởi những lối cấu hình thì kẻ tấn công có thể gửi rất nhiều yêu cầu xác thực là tràn bảng chứa thông tin xác thực người dùng của Access Point, và làm cho nó không thể phục vụ được những người dùng hợp pháp khác. c Rogue Access Point từ những mạng WLAN lân cận

Những máy tính sử dụng chuẩn 802.11 ngày nay đều tự động chọn cái Access Point gần nhất và kết nối với chúng Ví dụ, Window XP tự động kết nối tới liên kết gần nhất có thể ở trong vùng lân cận Chính bởi vì đặc tính này mà các máy tính của một tổ chức có thể kết nối tới những Access Point của một tổ chức lân cận Mặc dù là các Access Point lân cận này không phải chủ ý muốn lôi kéo các máy tính đó, nhưng chính sự liên kết này có thể làm lộ các thông tin nhạy cảm Trong mạng ad-hoc, các thiết bị không dây có thể liên lạc trực tiếp giữa chúng mà không cần một thiết bị tạo mạng LAN như là Access Point Mặc dù các thiết bị này về bản chất có thể tự chia sẻ dữ liệu tuy nhiên chúng có thể gây ra những đe dọa nguy hiểm cho cả tổ chức bởi vì chúng thiếu những biện pháp bảo mật cần thiết như là việc xác thực người dùng 802.1x, và mã hóa khóa động Kết quả là mạng ad-hoc có thể gây ra nhiều mối nguy hiểm cho dữ liệu (khi dữ liệu không được mã hóa) Thêm vào đó, việc xác thực người dùng yếu cũng có thể cho phép các thiết bị truy cập bất hợp pháp Nếu như các thiết bị trong mạng ad-hoc có kết nối với mạng có dây thì toàn bộ hệ thống mạng có dây đều bị đặt trong tình trạng nguy hiểm. d Các Rogue Access Point không áp dụng đúng các chính sách bảo mật

Các tổ chức có thể thiết lập các chính sách bảo mật lên trên các Access Point tham gia truy nhập vào mạng không dây Chính sách cơ bản nhất là dựa trên việc phân loại các địa chỉ MAC Các tổ chức có thể cấu hình trước cho phép một loạt các địa chỉ MAC hợp lệ và định danh của một số các thiết bị khác ngoài danh sách địa chỉ MAC để nhằm ngăn chặn việc xâm nhập trái phép của các thiết bi khác Hoặc giả như một tổ chức chỉ hoàn toàn dùng các Access Point của hãng Cisco thì một chiếc Access Point của một hãng khác chắc chắn là chiếc không hợp lệ rồi Một cách đơn giản, các tổ chức có thể thiết lập hàng loạt các chính sách sử dụng SSID, loại sóng truyền thông, và kênh Bất cứ khi nào một chiếc Access Point bị phát hiện là không tuân theo các chính sách đã được thiết lập trước này thì nó đều bị coi là Access Point trái phép. e Các Rogue Access Point được điều khiển bới kẻ tấn công

Các mạng LAN không dây phải chịu rất nhiều cuộc tấn công Thêm vào đó các công cụ tấn công mã nguồn mở đã làm cho công việc của những kẻ tấn công dễ dàng hơn Những kẻ tấn công có thể cài đặt những Access Point với cùng chỉ số SSID như những chiếc Access Point hợp lệ khác Khi các máy tính nhận được tín hiệu mạnh hơn từ chiếc Access Point mà kẻ tấn công điều khiển thì chúng sẽ tự động kết nối với chiếc Access Point đó Sau đó thì kẻ tấn công có thể thực hiện một cuộc tấn công. Những kẻ tấn công sẽ điều khiển các máy tính truy cập vào Access Point bằng cách sử dụng một chiếc laptop dùng mạng không dây và một vài thiết bị khác, kẻ tấn công có thể phá hoại thành công những dịch vụ không dây ở xung quanh đó Phần lớn các cuộc tấn công từ chối dịch vụ là đều nhằm vào việc làm cạn kiệt những tài nguyên của Access Point như là bảng chứa thông tin xác thực người dùng.

Tóm lại, một rogue Access Point là một Access Point không đáng tin cậy hoặc chưa được xác định đang chạy trong hệ thống WLAN của bạn Việc dò tìm các Access Point bất hợp pháp này là bước đầu tiên để phòng vệ cho hệ thống WLAN của bạn.

2.6.2 Tổng hợp các phương pháp tấn công khác a Tấn công Duration

Các thiết bị không dây có một bộ cảm biến để ưu tiên việc dùng sóng RF Bộ cảm biến này làm giảm khả năng 2 thiết bị cùng truyền phát một lúc Những nút không dây dành quyền sử dụng kênh truyền sóng trong một khoảng thời gian nhất định quy định trong gói tin Thông thường một gói tin 802.11 có định dạng như sau:

Giá trị Duration trong gói tin này là để chỉ khoảng chờ tính theo mini giây mà kênh sẽ dành để phục vụ cho thiết bị truyền gói tin này tới Véctơ định vị mạng sẽ lưu giữ thông tin về khoảng chờ này và định ra cho mỗi nút Quy luật cơ bản nhất là bất cứ nút nào cũng có thể truyền tin chỉ khi véctơ định vị mạng đang ở số 0 hay nói cách khác tức là không có nút nào đang chiếm giữ kênh tại thời điểm đó Những kẻ tấn công đã lợi dụng đặc điểm này của véctơ định vị mạng Một kẻ tấn công có thể gửi phải đợi cho đến khi giá trị đó trở về 0 Nếu như kẻ tấn công thành công trong việc gửi liên tục nhìều gói tin với khoảng đợi lớn, thì nó sẽ ngăn cản các nút khác hoạt động trong một thời gian dài và do đó gây ra từ chối dịch vụ.

Chương trình WiFi Manager có thể cảnh báo khi nó phát hiện ra những thông số thời gian Duration không bình thường được gửi đi Các nhà quản trị mạng WLAN ngay lập tức phải phân tích xem thông số Duration đó là vô tình hay là cố ý được gửi bởi kẻ tấn công. b Tấn công tràn kết nối

Tấn công tràn kết nối là một kiểu tấn công từ chối dịch vụ mà kẻ tấn công cố gắng lấp đầy bảng kết nối của Access Point bằng cách làm tràn Access Point bởi một loạt các thông tin yêu cầu kết nối giả Theo chuẩn 802.11 thì chứng thực dùng khóa chia sẻ gặp nhiều khiếm quyết và rất ít khi được sử dụng Cách duy nhất là sử dụng chứng thực mở một thủ tục dựa trên sự chứng thực cao hơn từ 802.1x hoặc VPN. Chứng thực mở cho phép bất cứ máy khách nào được chứng thực sau đó kết nối Một kẻ tấn công có thể làm tràn bảng kết nối của Access Point bằng cách tạo ra nhiều máy khách đạt tới trạng thái được chứng thực và được kết nối Một khi bảng kết nối đã tràn thì các máy khách khác sẽ không thể kết nối được với Access Point và lúc này tấn công từ chối dịch vụ đã thành công.

Khi WiFi tìm kiếm các địa chỉ MAC giả và lần theo những hoạt động của 802.1x và việc truyền dữ liệu sau khi một kết nối máy khách thành công để ngăn chặn kiểu tấn công từ chối dịch vụ này c Tấn công tràn phân tách

Tấn công phân tách là một dạng của tấn công từ chối dịch vụ để buộc các máy khách luôn ở trạng thái được chứng thực nhưng chưa được kết nối bằng cách lừa gửi những gói tin phân tách từ Access Point tới các máy khách Cứ mỗi khi máy khách yêu cầu dịch vụ kết nối thì kẻ tấn công lại gửi một gói tin phân tách đến cho máy khách làm cho máy khách không thể nào kết nối thành công được và không thể đạt được trạng thái được chứng thực và được kết nối.

WiFi manager phát hiện ra kiểu tấn công từ chối dịch vụ này bằng cách dò tìm các gói tin phân tách giả và lần theo tình trạng chứng thực và kết nối của các máy khách Một khi được cảnh báo, các Access Point và máy khách bị tấn công sẽ bị phát hiện và người quản trị mạng WLAN có thể giải quyết vấn đề này. d Tấn công ngăn cản chứng thực

Tấn công ngăn cản chứng thực là một dạng của tấn công từ chối dịch vụ bằng cách cố tình tạo ra các gói tin chứng thực với các thông số sai (thông số dịch vụ chứng thực và mã trạng thái) từ các máy khách ở trạng thái được chứng thực và được kết nối đến một Access Point Khi nhận được các gói tin chứng thực sai này, Access Point sẽ chuyển máy khách về trạng thái chưa được chứng thực và chưa được kết nối làm ngưng kết nối đường truyền Công cụ để thực hiện kiểu tấn công này gọi là Fata-jack – một phiên bản nâng cấp của Wlan-jack víêt bởi Mark Osbourne.

CÔNG NGHỆ CAPTIVE PORTAL VÀ SỬ DỤNG RADIUS XÁC THỰC TRONG WLAN

Công nghệ Captive Portal là gì?

Chúng ta sẽ tìm hiểu khái niệm Captive Portal (viết tắt là CP) thông qua cách thức hoạt động của chúng.

Công nghệ CP sẽ bắt buộc một máy muốn sử dụng Internet trong mạng thì trước tiên phải sử dụng trình duyệt để “được” tới một trang đặc biệt (thường dùng cho mục đích xác thực) CP sẽ chuyển hướng trình duyệt tới thiết bị xác thực an ninh Điều này được thực hiện bằng cách bắt tất cả các gói tin, kể cả địa chỉ và cổng, đến khi người dùng mở một trình duyệt và thử truy cập Internet Tại thời điểm đó, trình duyệt sẽ được chuyển hướng tới trang web đặc biệt yêu cầu xác thực (đăng nhập) hoặc thanh toán, hoặc đơn giản chỉ là hiện một bảng thông báo về các quy định mà người dùng sẽ phải tuân theo và yêu cầu người dùng phải chấp nhận các quy định đó trước khi truy cập Internet CP thường được triển khai ở hầu hết các điểm truy nhập WiFi và nó cũng có thể được dùng để điều khiển mạng có dây.

Do trang web đăng nhập phải truy cập được từ trình duyệt của máy khách, do đó trang web này cần phải đặt ngay trên gateway hoặc trên một web server nằm trong

“danh sách trắng” nghĩa là có thể truy cập mà không cần quá trình xác thực Ngoài việc có danh sách trắng của các địa chỉ URL, một vài loại gateway còn có danh sách trắng đối với một vài cổng TCP.

3.1.1 Các cách triển triển khai a Chuyển hướng bằng HTTP (Hypertext Transfer Protocol)

Nếu một máy khách chưa xác thực truy cập đến một website, trình duyệt sẽ yêu cầu địa chỉ IP tương ứng với tên miền từ máy chủ DNS và nhận được thông tin này như bình thường Tiếp đó trình duyệt sẽ gửi một yêu cầu HTTP đến địa chỉ IP đó Tuy nhiên yêu cầu này sẽ bị firewall chặn lại và chuyển tiếp tới một máy chủ chuyển tiếp. Máy chủ chuyển tiếp này phản hồi với một trả lời HTTP thông thường, trong đó gồm mã trạng thái HTTP 302 để chuyển hướng máy khách tới CP Đối với máy khách thì quá trình này hoàn toàn “trong suốt” Máy khách sẽ tưởng rằng website đó đã thực sự trả lời với yêu cầu đầu tiên và gửi thông tin chuyển hướng. b Chuyển hướng bằng DNS

Nếu một máy khách chưa xác thực truy cập đến một website, trình duyệt sẽ yêu cầu địa chỉ IP tương ứng với tên miền từ máy chủ DNS Thay vì trả về IP chính xác của tên miền website đó, máy chủ DNS sẽ trả về IP của CP.

Nếu quản trị mạng không có hành động ngăn ngừa thì cách thức này có thể dễ dàng bị vượt qua bằng cách sử dụng một máy chủ DNS khác tại máy khách.

3.1.3 Giới thiệu một số phần mềm sử dụng công nghệ Captive Portal a Dành cho FreeBSD/OpenBSD

PfSense pfSense là một phiên bản phần mềm tường lửa được tách ra từ phần mềm tường lửa mã nguồn mở m0n0wall phát triển trên nền hệ điều hành FreeBSD Gói phần mềm bao gồm hệ hiều hành Unix FreeBSD và các gói dịch tích hợp có chức năng router, tường lửa, máy chủ VPN, và một số dịch khác Với mục tiêu là các hệ thống PC nhúng, gói phần mềm được thiết kế nhỏ gọn, dễ dàng cài đặt thông qua giao diện web và đặc biệt là có khả năng cài đặt thêm gói dịch vụ để mở rộng tính năng Trang web chính thức của pfSense là www.pfSense.com Để có thể tiếp tục thao tác như trong bài viết, các bạn vào mục downloads trên website, chọn download phiên bản iso LiveCD và ghi ra đĩa CD tập tin iso này. Ưu điểm

- Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm.

- Dễ cài đặt, cấu hình.

- Phải trang bị thêm modem nếu không có sẵn.

- Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác.

- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.

- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình. b Dành cho Linux

PacketFence (http://www.packetfence.org): sử dụng ARP Spoofing thay vì lọc địa chỉ MAC/IP Có thể được sử dụng để phát hiện/cô lập worms Sử dụng Snort cho IDS.

ZeroShell (http://www.zeroshell.net/eng): là một bản phân phối Linux nhỏ dạng LiveCD hoặc CompactFlash có chứa một multi-gateway Captive Portal.

DNS Redirector (http://www.dnsredirector.com): không cần MAC, cho phép tích hộp 3 rd party với MAC.

HotSpotSystem.com (http://www.hotspotsystem.com): Giải pháp hoàn thiện cho dịch vụ HotSpot trả tiền và miễn phí.

WorldSpot.net (http://worldspot.net): Giải pháp dựa trên ChilliSpot Miễn phí cho các HotSpot miễn phí.

Hấu hết các sản phẩm này chỉ đòi hỏi người sử dụng tới một trang đăng nhập có mã hoá SSL, sau đó IP và MAC của họ sẽ được cho phép đi qua gateway Điều này sẽ có thể bị lợi dụng với một công cụ nghe lén gói tin đơn giản Một khi địa chỉ IP và MAC của một máy tính khác đã được xác thực thì một máy tính bất kì có thể giả mạo địa chỉ IP và MAC của máy tính đó và do đó được phép đi qua gateway.

Những platform có Wi-Fi và TCP/IP stack nhưng không có trình duyệt hỗ trợ HTTPS thì không thể sử dụng nhiều loại CP Ví dụ như máy chơi game Nintendo DS sử dụng Nintendo Wi-Fi Connection.

CÀI ĐẶT VÀ THỬ NGHIỆM PHẦN MỀM CHILLISPOT

Giới thiệu ChilliSpot

ChilliSpot là một phần mềm sử dụng công nghệ Captive Portal mã nguồn mở dùng để điều khiển truy nhập mạng LAN không dây Phần mềm được sử dụng để xác thực người dùng của một mạng LAN không dây Có hỗ trợ đăng nhập qua web, xác thực, cấp quyền và thống kê được điều khiển thông qua máy chủ radius.

ChilliSpot có bản dịch cho các phiên bản: Redhat, Fedora, Debian, Mandrake và OpenWRT.

4.1.1 Phương pháp xác thực của ChilliSpot

ChilliSpot hỗ trợ 2 phương pháp xác thực: o Phương pháp truy nhập phổ thông (UAM - Universal Access Method) o Bảo vệ truy cập mạng không dây (WPA - Wireless Protected Access)

Với UAM, máy khách không dây được cấp một địa chỉ IP do Chilli cấp Khi người dùng khởi động trình duyệt web, Chilli sẽ bắt kết nối TCP và gửi tới trình duyệt web xác thực của máy chủ ChilliSpot sẽ hỏi người dùng username và password. Password được mã hóa và gửi lại cho ChilliSpot.

Với WPA, xác thực được điều khiển bởi Access Point và sau đó được chuyển từ Access Point đến ChilliSpot Nếu như WPA được sử dụng kết nối giữa Access Point và máy khách được mã hóa. Đối với UAM và WPA, ChilliSpot chuyển yêu cầu xác thực cho máy chủ radius Máy chủ radius gửi một thông báo chấp nhận truy cập tới Chilli nếu việc xác thực đó thành công Cách khác là sự truy nhập bị loại bỏ được gửi sau.

4.1.2 Một số giao diện của ChilliSpot

ChilliSpot có 3 giao diện chính: o Một giao diện liên kết xuống dưới để chấp nhận kết nối từ khách hàng o Một giao diện radius để xác thực khách hàng. o Một giao diện mạng liên kết lên trên để chuyển tiếp lưu lượng cho những mạng khác.

Xác thực máy khách được thực hiện bởi máy chủ radius ngoài Cho UAM CHAP-Challenge và CHAP-Password như chỉ rõ RFC 2865 được sử dụng Cho WPA thuộc tính EAP- Thông báo radius được định nghĩa trong RFC 2869 được sử dụng. Thông báo các thuộc tính được mô tả trong RFC 2548 được sử dụng để chuyển các khóa mã hóa từ máy chủ radius tới ChilliSpot Ngoài ra, giao diện radius còn hỗ trợ thống kê

Giao diện liên kết xuống dưới chấp nhận DHCP và yêu cầu ARP từ máy khách. Máy khách có thể trong 2 trạng thái: Không được xác thực và được xác thực Trong trạng thái không được xác thực, mạng yêu cầu máy khách được gửi một lần nữa tới web server xác thực.

Trong một ứng dụng không đựợc xác thực điển hình, máy khách sẽ được chuyển tiếp tới web server và nhập lại tên và mật khẩu Web server chuyển tiếp người dùng tới Chilli có nghĩa là gửi một lần nữa trình duyệt web tới Chilli Một yêu cầu xác thực chuyển tiếp tới máy chủ radius Nếu xác thực thành công trạng thái của máy khách được thay đổi thành được xác thực Phương pháp xác thực này chính là phương pháp truy nhập phổ thông (UAM)

Giống một trong những khả năng tới UAM mà các Access Point có thể được định hình để xác thực khách hàng bởi việc sử dụng bảo vệ truy nhập không dây (WPA) Trong quyền xác thực trường hợp này được chuyển từ Access Point tới Chilli bởi việc sử dụng giao thức radius Yêu cầu radius nhận được là sự ủy quyền bởi Chilli và chuyển tiếp tới máy chủ radius

Giao diện liên kết lên trên được thực hiện bởi việc sử dụng bộ điều khiển TUN/TAP Khi Chilli khởi động một giao diện TUN được thiết lập và để tùy chọn cấu hình ngoài tập lệnh được gọi.

4.1.3 Yêu cầu để xây dựng một HotSpot Để xây dựng một HotSpot cần những thành phần sau đây: o Đường kết nối Internet. o Wireless LAN access point o Phần mềm ChilliSpot o Máy chủ RADIUS o Máy chủ Web

4.1.4 Kiến trúc mạng khi xây dựng

Một kiến trúc mạng tiêu biểu như hình dưới đây:

Máy khách không dây có thể thiết lập kết nối không dây tới Access Point nhưng trước hết nó phải xác thực với Chilli.

Theo cấu trúc có 3 kiểu mạng khác nhau: o Mạng ngoài: tiêu biểu là Internet hoặc Intranet Sự truy nhập từ mạng ngoài được Chilli bảo vệ và chỉ cho phép lưu lượng từ máy khách đã được xác thực đi qua. o Mạng trong: mạng bên trong đang nối Access Point với ChilliSpot Được sử dụng để chuyển tiếp cho Ethernet các khung giữa Chilli và máy khách cũng như cho lưu lượng quản lý IP tới và từ những Access Point. o Mạng không dây: máy khách được kết nối tới mạng không dây và những

Access Point phục vụ nhu cầu nối giữa mạng trong và mạng không dây Cho phép chuyển tiếp tới Ethernet các khung giữa Chilli và máy khách không dây

Chilli phụ thuộc vào một số máy chủ ngoài: o Máy chủ DNS: khi truy nhập mạng ngoài, máy khách dựa trên một hay nhiều những máy chủ DNS để giải quyết tên miền đến những địa chỉ IP Máy khách có được thông tin của máy chủ DNS và địa chỉ IP nhờ vào Chilli Trước khi bắt đầu cài đặt ChilliSpot bạn phải xác định địa chỉ IP của ít nhất một máy chủDNS mà có thể sử dụng mạng không dây Nếu bạn không chỉ rõ máy chủ DNSChillli sẽ sử dụng máy chủ DNS mà được chỉ định bởi hệ điều hành. o Máy chủ UAM: khi một người đăng nhập, khi đó được gửi một lần nữa tới trang chủ xác thực và yêu cầu người dùng cho biết tên và mật khẩu Nếu một máy chủ UAM không có sẵn thì có thể cài đặt một máy chủ Chilli. o Máy chủ radius: quyền người dùng được lưu trữ trong một hay một số máy chủ radius Bất cứ nơi nào máy khách kết nối tới mạng, Chilli sẽ liên hệ với máy chủ radius để xác nhận quyền người dùng Nếu máy chủ radius riệng biệt không có sẵn thì có thể cài đặt trên máy chủ Chilli.

Nói chung, Access Point cần phải định cấu hình với sự xác thực mở và không có sự mã hóa nào Sự xác thực được điều khiển bởi Chilli Để an toàn hơn AccessPoint cần phải định cấu hình cho sự bảo vệ truy nhập không dây.

Mô tả

4.2.1 Máy chủ Web xác thực

Một máy chủ web xác thực là cần thiết để xác nhận những người dùng sử dụng phương pháp truy nhập phổ thông Cho sự bảo vệ truy nhập mạng không dây máy chủ web là không cần thiết.

Giao diện truyền thông tới máy chủ web thực hiện sử dụng giao thức HTTP. Không có “call backs ” nào từ máy chủ web đến Chilli là cần thiết để xác nhận máy khách Điều này có nghĩa là HotSpot có thể được đặt đằng sau một cổng vào NAT (Network Address Translation - Hệ thống dịch địa chỉ IP), proxy hoặc firewall trong khi máy chủ web được định vị trên Internet công cộng.

Chúng ta cung cấp một nguyên bản CGI (Common Gateway Interface – Hệ giao tiếp cổng vào chung) cho máy chủ web của bạn và sẽ hỏi người dùng tên và mật khẩu Người dùng đưa thông tin này vào, mật khẩu được mã hóa sau đó được gửi tới Chilli và chuyển tiếp yêu cầu cho máy chủ radius Bạn cần phải sử dụng giao thức SSL / TLS trên máy chủ web của bạn để bảo vệ tên và mật khẩu.

Chúng ta không cung cấp bất kì phần mềm máy chủ radius nào Cho những dự án nhỏ, chúng ta giới thiệu sử dụng máy chủ radius mã nguồn mở như: FreeRADIUS,Cistron hoặc OpenRADIUS. b Những thuộc tính RADIUS

User-name 1 String X X Tên đăng nhập đầy đủ của người dùng

User-Password 2 String X Sử dụng cho UAM luân phiên tới CHAP-Password và CHAP-Challenge.

CHAP-Password 3 String X Sử dụng cho UAM

CHAP-Challenge 60 String X Sử dụng cho UAM

EAP-Message 79 String X X Sử dụng cho WPA

NAS-IP-Address 4 IPaddr X X Địa chỉ IP của Chilli (đặt bởi tùy chọn radiusnasip hoặc radiuslisten) Nếu cả radiuslisten lẫn nasipaddress đều không thiết lập NAS-địa chỉ IP thiết lập tới "0.0.0.0".

Service-Type 6 Integer X X Đặt tới Đăng nhập những yêu cầu xác thực bình thường.Cho những thông báo -Yêu cầu quản lí cấu hình kiểu RFC 2882 tới máy chủ radius đây là thiết lập tới ChilliSpot cho phép duy nhất (0x38df0001) Thông báo sự chấp nhận từ máy chủ radius cho những thông báo quản lí cấu hình cũng phải thiết lập tới ChilliSpot cho phép duy nhất (0x38df0001)

Framed-IP-Address 8 IPaddr X X X Địa chỉ IP của người sử dụng

Reply-Message 18 String X Lí do loại bỏ nếu hiện hành.

State 24 String X X Gửi tới Chilli: Access-Accept hay Access-Challenge

Sử dụng trong suốt sau yêu cầu truy xuất.

Class 25 String X X Sao chép trong suốt bởi Chilli từ Access-Accept tới

Session-Timeout 27 Integer X Rời 1lần ngoài phiên là hoàn thành (giây)

Called-Station-ID 30 String X X Thiết lập radius gọi là lệnh chọn đường hay địa chỉ MAC của

ChilliSpot nếu không hiện hành.

Calling-Station-ID 31 String X X Địa chỉ MAC của máy khách

NAS-ID 32 String X X Thiết lập tùy chọn radiusnasid nếu hiện hành.

Acct-Status-Type 40 Integer X 1=Start, 2=Stop, 3=Interim-Update

Acct-Input-Octets 42 Integer X Số của octets nhận từ máy khách.

Acct-Output-Octets 43 Integer X Số của octets truyền tới máy khách.

Acct-Session-ID 44 String X X ID duy nhất để liên kết Access-Request và Accounting-Request messages.

Acct-Session-Time 46 Integer X Khoảng thời gian phiên làm việc

Acct-Input-Packets 47 Integer X Số của gói tin nhận từ máy khách.

Acct-Output-Packets 48 Integer X Số của gói tin truyền từ máy khách.

Acct-Terminate-Cause 49 Integer X 1=User-Request, 2=Lost-Carrier, 4=Idle-Timeout,

5=Session-Timeout, 11=NAS-Reboot Acct-Input-Gigawords 52 Integer X Thời gian Acct-Input-Octets counter has wrapped around. Acct-Output-Gigawords 53 Integer X Thời gian Acct-Output-Octets counter has wrapped around.

NAS-Port-Type 61 Integer X X 19=Wireless-IEEE-802.11

Luôn bao gồm trong Access-Request Nếu hiện hành trong Access-Accept, Access-Challenge hay Access-reject Chilli sẽ xác nhận thông báo xác thực là chính xác.

Acct-Interim-Interval 85 Integer X Nếu hiện hành trong Access-Accept Chilli sẽ tạo ra thời gian chuyển tiếp mục bản ghi với thời gian được chỉ rõ.

WISPr-Location-ID 14122, 1 String X X Vị trí ID là thiết lập tùy chọn radiuslocationid nếu hiện hành.

Cần phải trong định dạng: isocc=, cc=,ac=, network=

WISPr-Location-Name 14122, 2 String X X Định vị tên là thiết lập tùy chọn radiuslocationname nếu hiện hành.Cần định dạng: ,

Chilli bao gồm thuộc tính trong thông báo Access-Request Thứ tự thông báo thao tác viên rời khỏi URL để sử dụng cho đăng kí của máy khách Mặc định tới "http://192.168.182.1:3990/logoff". WISPr-Redirection-URL 14122, 4 String X

Nếu hiện hành máy chủ sẽ gửi 1 lần nữa tới URL 1 xác thực. URL này cần 1 liên kết tới WISPr-Logoff-URL để cho phép máy khách rời khỏi hệ thống.

WISPr-Bandwidth-Max-Up 14122, 7 Integer X Tốc độ truyền cực đại (b/s) Giới hạn bandwidth của kết nối.

Chú ý thuộc tính này là b/s.

Down 14122, 8 Integer X Tốc độ nhận cực đại (b/s) giới hạn bandwidth của kết nối.

Chú ý thuộc tính này chỉ rõ b/s.

Thời gian người dùng bỏ kết nối trong định dạng ISO 8601 (YYYY-MM-DDThh:mm:ssTZD) Nếu TZD không được chỉ rõ giờ địa phương được giả thiết.Ví dụ ngắt kết nối vào

18 December 2001 at 7:00 PM UTC được chỉ rõ là 2001-12-18T19:00:00+00:00.

Octets 14559, 1 Integer X octets số cực đại người dùng cho phép truyền Sau giới hạn này người dùng sẽ ngừng kết nối.

Octets này người dùng sẽ ngừng kết nối.

Octets 14559, 3 X octets số cực đại người dùng cho phép chuyển giao(tổng truyền và nhận) Sau giới hạn này người dùng sẽ ngừng kết nối.

Khi nào nhận được từ máy chủ radius trong thông báo quản lí cấu hình kiểu RFC 2882 thuộc tính này sẽ tùy chọn dòng lệnh uamallowed.

Khi nào nhận được từ máy chủ radius trong thông báo quản lí cấu hình kiểu RFC 2882 thuộc tính này sẽ tùy chọn dòng lệnh macallowed.

Khi nào nhận được từ máy chủ radius trong thông báo quản lí cấu hình kiểu RFC 2882 thuộc tính này sẽ tùy chọn dòng lệnh interval.

MS-MPPE-Send-Key 311,16 String X Sử dụng cho WPA

MS-MPPE-Recv-Key 311,17 String X Sử dụng cho WPA

Cho UAM hầu như bất kì Access Point nào cũng sử dụng được.

Nếu bạn muốn hỗ trợ WPA, bạn cần một Access Point mà hỗ trợ điều này. ChilliSpot được kiểm tra với những Access Point từ Cisco và Proxim để WPA hoạt động.

Máy khách có thể chỉ là thiết bị mà có card WLAN PC hoặc xây dựng trong LAN không dây Bạn phải tìm một máy khách “wifi” thích hợp. Đối với UAM, máy khách cần có một bộ duyệt web Ví dụ những máy khách không dây với bộ duyệt web bao gồm những thiết bị nhúng và những phone WLAN VoIP nào đó. Đối với WPA, bạn cần một máy khách mà hỗ trợ điều này Cái này cần hỗ trợ bởi cả card WLAN PC cũng như hệ điều hành Microsoft cung cấp một gói WPA cho Windows XP.

Nền tảng chính cho ChilliSpot là Linux, nhưng nó có thể biên dịch phần mềm khác như: FreeBSD, OpenBSD, Solaris và even Apple OSX.

Mục đích thiết kế chính của ChilliSpot là sự ổn định, có thể di chuyển được và biến đổi được Kết quả của sự lựa chọn thiết kế như sau: o Lập trình bằng ngôn ngữ C để hoàn thiện tính di chuyển được tiến tới những nền tảng khác. o Sự trùng nhau được thực hiện sử dụng một vòng select() đơn để cải tiến có thể chuyển và cùng lúc đạt được thông lượng cao Một quá trình máy khách tạo ra mỗi khi một yêu cầu xác thực http từ máy khách nhận được. o Ứng dụng chỉ phát triển trong không gian người dùng Cung cấp tính di chuyển tốt với chi phí thực hiện Tính thực thi có thể tăng bởi việc người dùng thực hiện cách trình bày trong nhân. o Duy trì kênh truy cập của bộ nhớ kiểm tra định vị và lỗi Giúp cải tiến sự ổn định nhưng cần phải được tối ưu hóa cho sự thực thi ở giai đoạn về sau.

Cài đặt trên RedHat 9, Fedora (FC1,FC2,FC3 hoặc FC4)

o Bộ xử lý loại Intel pentium 233MHz (hoặc nhanh hơn). o 2 card mạng. o RAM 64 MB. o Đĩa cứng 1 GB (nếu cài đặt hệ điều hành mới). o Đĩa cứng trống 10 MB (nếu sử dụng hệ điều hành đã cài đặt). o RedHat 9, Fedora 1, Fedora 2.

Trước khi bắt đầu cài đặt ChilliSpot, bạn sẽ cần phần cứng và phần mềm sau: o Một PC phù hợp với 2 card mạng. o Đĩa CD RedHat 9 hay Fedora 1 - 4 để cài đặt. o File ChilliSpot cài đặt cho Redhat 9, Fedora 1 - 4.

Bạn cũng cần quyết định sắp đặt bố trí mạng của bạn Đối với mạng không dây và mạng trong, bạn có thể sử dụng địa chỉ IP cho trong lời giới thiệu Địa chỉ IP của mạng ngoài thường được xác định bằng cấu hình có sẵn, vì vậy bạn cần tìm địa chỉ IP cũng như netmask cho mạng này Hơn nữa, một địa chỉ IP thường được yêu cầu Nếu bạn sử dụng địa chỉ IP động, bạn không cần định cấu hình địa chỉ IP và thông tin cổng.

4.3.3 Cài đặt Redhat hoặc Fedora

Cài đặt Redhat hoặc Fedora trong mục này, những phần của cài đặt yêu cầu chú ý đặc biệt hơn nữa.

Trong quá trình cài đặt bạn sẽ được hỏi một lựa chọn trong các lựa chọn

Dưới “Installation Type” chọn “Server”

Dưới "Network Configuration" cấu hình những giao diện thích hợp. o eth0: Là giao diện ngoài của ChilliSpot (thường kết nối với Internet). Định hình giao diện này cho DHCP hoặc nếu bạn đang sử dụng địa chỉ

IP tĩnh bạn cần định cấu hình cả địa chỉ IP và netmask.

Bạn cần thiết lập hostname của máy chủ Trong ví dụ này, chúng ta sử dụng

Nếu bạn sử dụng DHCP cho giao diện ngoài, bạn làm bình thường không phải định cấu hình bất cứ cái gì Nếu bạn sử dụng IP tĩnh, bạn sẽ cần điền vào "Gateway" cũng như "Primary DNS" Bạn có thể chọn điền vào "Secondary DNS" và "Tertiary DNS".

Dưới "Firewall Configuration" chọn "Enable Firewall" (Redhat 9: an toàn mức

" trung bình ") Chúng ta sẽ tùy chỉnh những quy tắc firewall về sau trong quá trình cài đặt, vì vậy bây giờ bạn có thể bỏ những tùy chọn firewall khác

Dưới "Package Group Selection" chọn những gói sau: o "Server Configuration Tools" o "Web Server" (không cần nếu sử dụng máy UAM riêng ) o Dưới những chi tiết cho "Network Servers" chọn "freeradius" (Không cần nếu sử dụng máy Radius riêng) o Những công cụ quản lý. Đối với RedHat9, bạn cần download và biên dịch radius miễn phí từ www.freeradius.org Không có gói khác nào cần bởi Chilli Ở trên cài đặt quy định khoảng 850 MB của đĩa cứng Bạn có thể cũng muốn cài đặt giao diện đồ họa người dùng hoặc gói khác, tuy nhiên điều này không được yêu cầu bởi Chilli

Sau khi bạn cài đặt Linux, hệ thống sẽ khởi động lại Đăng nhập gốc và bạn sẵn sàng cài đặt phần còn lại của phần mềm.

4.3.4 Cài đặt và định cấu hình ChilliSpot

ChilliSpot cài đặt bởi kết qủa của tập lệnh: rpm -i http://www.chillispot.org/download/chillispot-1.1.0.i386.rpm

Trong thời gian cài đặt ChilliSpot, file cấu hình được sao chép tới /etc/chilli.conf Bạn cần hiệu chỉnh lại file này.

Như bắt đầu, bạn có thể bỏ hầu hết tham số Nếu bạn sử dụng một máy chủ radius ngoài bạn cần phải sửa đổi các tham số: o radiusserver1

Nếu bạn không sử dụng máy chủ radius ngoài, bạn có thể bỏ các tham số này, chúng ta sẽ cài đặt một máy chủ radius sau quá trình cài đặt.

Nếu bạn sử dụng máy chủ UAM ngoài, bạn cần sửa tham số: o uamserver

Nếu bạn không sử dụng máy chủ UAM ngoài, bạn có thể bỏ các tham số này. Chúng ta sẽ cài đặt một máy chủ UAM sau quá trình cài đặt. Để tự động khởi động, Chilli đưa ra lệnh: chkconfig chilli on

ChilliSpot sẽ bắt đầu ngay sau bạn khởi động lại, hay bạn có thể khởi động trực tiếp bằng lệnh:

Firewall rất quan trọng để bảo vệ ChilliSpot khỏi lưu lượng không hợp pháp. Không thể thỏa mãn tất cả các cấu hình kết nối mạng và nói chung bạn cần viết tập hợp các quy tắc firewall đơn Như điểm bắt đầu, bạn có thể sử dụng tập lệnh đặt trong:

/usr/share/doc/chillispot-1.1.0/firewall.iptables

Bạn có thể hiệu chỉnh file này để thỏa mãn cấu hình của chính mình hoặc đơn giản sử dụng nó mà không phải sửa đổi Bạn hiệu chỉnh file cài đặt nó bởi các lệnh sau:

/usr/share/doc/chillispot-1.1.0/firewall.iptables

Trước hết làm sạch những quy tắc firewall hiện thời, cài đặt những quy tắc mới và cuối cùng lưu giữ những quy tắc để chúng sẽ được khôi phục mỗi khi hệ thống khởi động lại.

ChilliSpot đẩy tới cho mạng những gói tin, IP chuyển tới phải được bật trong nhân Bạn cần thay đổi dòng để đọc: net.ipv4.ip_forward = 0 trong /etc/sysctl.conf tới: net.ipv4.ip_forward = 1

Nếu bạn sử dụng một máy chủ radius và UAM ngoài kết thúc sự cài đặt Bạn khởi động lại hệ thống, trong thứ tự làm chính xác tất cả các thay đổi bạn đã thực hiện.

Nếu bạn không sử dụng máy chủ radius hoặc UAM ngoài, bạn cần cài đặt như miêu tả bên dưới.

4.3.6 Cài đặt và cấu hình máy chủ web chứng thực UAM

Mạng chủ Apache được cài đặt như phần cài đặt của Linux Chúng ta sẽ định cấu hình Apache để yêu cầu tên người dùng và mật khẩu của máy khách không dây.

Cấu hình máy khách

4.4.1 Phương pháp truy nhập phổ thông - Universal Access Method

Với phương pháp truy nhập phổ thông (UAM) máy khách không dây được gửi một lần nữa tới trang web đăng nhập Tên đăng nhập và mật khẩu hợp lệ được máy khách cho phép truy nhập mạng ngoài (Internet hoặc Intranet) Việc sử dụng UAM bao gồm các bước trong máy khách như sau: o Cài đặt card LAN không dây. o Kết hợp với Access Point trong hotspot o Bắt đầu trình duyệt thay vào trang chủ, bình thường trình duyệt sẽ gửi một lần nữa tới trang đăng nhập HotSpot o Nhập tên đăng nhập và mật khẩu, cần phải phù hợp với tên đăng nhập và mật khẩu được định hình trước đó trong máy chủ radius.

Với UAM lưu lượng giữa máy khách không dây và Access Point truyền không cần mã hóa Có nghĩa là bất cứ ai có thiết bị thích hợp đều có thể quan sát truyền thông tin và nó cũng có thể bị đánh cắp khi kết nối có sẵn Đối với nhiều cách sử dụng sự thiếu an toàn này không là vấn đề nhưng cho cách sử UAM thì không thích hợp.

Hướng dẫn người dùng chung:

1 Thay đổi WLAN SSID tới ChilliSpot (hoặc bất cứ SSID nào bạn định hình trên Access Point)

2 PC phải kết nối tới Access Point tự động (tối thiểu nếu bạn sử dụng Windows MS)

3 Bắt đầu trình duyệt Khi trình duyệt web khởi động Chilli phải gửi người dùng tới web server xác thực của bạn

4 Người dùng nhập tên đăng nhập và mật khẩu (như được định hình trong máy chủ radius )

5 Đăng nhập được xác nhận và người dùng được tự do duyệt Internet

6 Nếu bất kỳ điều gì sai: làm chắc chắn rằng sự mã hóa mạng WLAN được tắt và ủy quyền trình duyệt web cho phép sửa chữa Khởi động lại PC.

4.4.2 Bảo vệ sự truy nhập không dây - Wireless Protected Access

Bảo vệ sự truy nhập không dây (WPA) giải quyết hầu hết vấn đề an toàn liên quan đến phương pháp UAM WPA sử dụng giao thức xác thực mở rộng Extensible Authentication Protocol (EAP) mà yêu cầu phạm vi băng rộng của phương pháp xác thực Với WPA có thể mã hóa lưu lượng giữa máy khách không dây và Access Point

WPA phải được hỗ trợi bởi cả card mạng LAN máy khách cũng như hệ điều hành Microsoft cung cấp một gói WPA cho dịch vụ Windows XP gói 1.

Những file được tạo ra hoặc được sử dụng

/usr/share/doc/chillispot-1.1.0/ Thư mục tài liệu người dùng, ví dụ tập lệnh và tệp

/usr/sbin/chilli Có thể thi hành ChilliSpot

/etc/chilli.conf Tệp cấu hình ChilliSpot

/etc/rc.d/init.d/chilli Hệ thống ChilliSpot khởi tạo tập lệnh.

/var/www/cgi-bin/ hotspotlogin.cgi

Tập lệnh Perl cgi thực hiện phương pháp truy nhập phổ thông

Trang sách hướng dẫn chilli (8) Sách hướng dẫn ChilliSpot.

Tùy chọn

4.6.1 Tóm tắt chilli help chilli version chilli

[ fg ] [ debug ] [ conf file ] [ pidfile file ] [ statedir file ] [ net net ] [

dynip net ] [ statip net ] [ dns1 host ] [ dns2 host ] [ domain domain ] [ ipup script ] [ ipdown script ] [ conup script ] [ condown script ] [ radiuslisten host ] [ radiusserver1 host ] [ radiusserver2 host ] [ radiusauthport port ] [ radiusacctport port ] [ radiussecret secret ] [ radiusnasid id ] [ radiusnasip host ] [ radiuscalled name ] [ radiuslocationid id

] [ radiuslocationname name ] [ radiusnasporttype type ] [ coaport port ] [ coanoipcheck ] [ proxylisten host ] [ proxyport port ] [ proxyclient host ] [ proxysecret secret ] [ confusername username ] [ confpassword password ] [ dhcpif dev ] [ dhcpmac address ] [ lease seconds ] [ eapolenable ] [ uamserver url ] [ uamhomepage url ] [ uamsecret secret ] [ uamlisten host ] [ uamport port ] [ uamallowed domain ] [ uamanydns ] [ macauth ] [ macallowed ] [ macsuffix suffix ] [ macpasswd password ]

Trợ giúp in và thoát

Phiên bản in và thóat

Chạy trong mặt trước (mặc định = off)

Chạy trong chế độ debug (mặc định = off)

conf file Đọc file cấu hình (mặc định = /etc/chilli.conf) nơi mỗi hàng tương ứng tới một dòng lệnh tùy chọn, nhưng khoảng cách giữa những dòng chữ in ' ' loại bỏ Tùy chọn dòng lệnh ghi đè tùy chọn cho trong file cấu hình.

interval seconds Đọc lại file cấu hình và làm DNS tra cứu mỗi interval seconds Cái này có cùng hiệu ứng như việc gửi tín hiệu HUP Nếu interval là 0 (zero) tính năng này được vô hiệu hóa file (mặc định = /etc/chilli.conf) nơi mỗi hàng tương ứng tới một lệnh tùy chọn, nhưng với khoảng cách giữa những dòng in ' ' loại bỏ Tùy chọn hàng lệnh ghi đè những tùy chọn cho trong file cấu hình.

Tên file của file id xử lý (mặc định = /var/run/chilli.pid)

statedir path Đường dẫn tới thư mục của dữ liệu không thay đổi (mặc định = /var/lib/chilli/)

net net Địa chỉ mạng của giao diện liên kết lên trên (mặc định = 192.168.182.0/24) Địa chỉ mạng là quá trình thiết đặt initialisation khi chilli thiết lập một thiết bị TUN cho giao diện liên kết lên trên Địa chỉ mạng được chỉ rõ như / (192.168.182.0/255.255.255.0) hoặc / (192.168.182.0/24)

dynip net động Xem xét tùy chọn net cho phần miêu tả của định dạng địa chỉ mạng

Vùng địa chỉ IP tĩnh Chỉ rõ một vùng của địa chỉ IP tĩnh Với định phần một địa chỉ tĩnh, địa chỉ IP của máy khách có thể được chỉ rõ bởi máy chủ radius Định phần địa chỉ tĩnh có thể sử dụng cho cả xác thực MAC và WPA

Máy chủ DNS 1 Nó sử dụng để thông tin cho máy khách khoảng địa chỉ DNS để sử dụng cho quyết định hostname Nếu tùy chọn này không được định sẵn hệ thống DNS sơ cấp được sử dụng

Máy chủ DNS 2 Nó sử dụng để thông tin cho máy khách khoảng địa chỉ DNS để sử dụng cho quyết định hostname Nếu tùy chọn này không được định sẵn hệ thống DNS thứ cấp được sử dụng

Tên miền Nó sử dụng để thông tin máy khách về tên miền để sử dụng cho việc tra cứu DNS

Thực hiện tập lệnh sau khi giao diện mạng TUN được đưa lên Thực hiện với các tham số sau:

Thực hiện tập lệnh sau khi giao diện mạng TUN đưa xuống Thực hiện với các tham số sau:

Thực hiện tập lệnh sau khi xác thực Thực hiện với các tham số sau:

Thực hiện tập lệnh sau khi người dùng tắt Thực hiện với các tham số sau:

xác định giá trị cho thuộc tính NAS-IP-Address radius Nếu radiuslisten bị bỏ qua thì thuộc tính NAS-IP-Address sẽ được đặt "0.0.0.0" và điạ chỉ IP nguồn của yêu cầu radius sẽ được xác định bởi bảng lộ trình hệ điều hành.

radiusserver1 host Địa chỉ IP của máy chủ radius 1 (mặc định=rad01.hotradius.com)

radiusserver2 host Địa chỉ IP của máy chủ radius 2 (mặc định =rad02.hotradius.com)

Số cổng UDP sử dụng cho radius yêu cầu xác thực (mặc định12)

Số cổng UDP sử dụng cho radius yêu cầu tính toán (mặc định13)

Radius chia sẻ bí mật cho cả các máy chủ (mặc định=testing123) Bí mật này nên thay đổi để không làm bí mật bị lộ.

radiusnasid id Định danh máy chủ truy nhập mạng (mặc định=nas01)

radiusnasip host Địa chỉ IP tới báo cáo trong thuộc tính NAS-IP-Addres Mặc định địa chỉ IP chỉ rõ bởi tùy chọn radiuslisten

radiuscalled name Đặt tên tới báo cáo trong thuộc tính Called-Station-ID Mặc định cho địa chỉ MAC của giao diện không dây mà có thể chỉ rõ bởi tùy chọn dhcpmac

ID định vị WISPr Cần định dang: isocc=, cc=,ac=,network= Tham số này miêu tả rõ hơn trong tài liệu: Wi-Fi Alliance - Wireless ISP Roaming - Best Current Practices v1, tháng 2- 2003

ISP Roaming - Best Current Practices v1, tháng 2- 2003

Giá trị của thuộc tính NAS-Port-Type Mặc định 19 (Wireless-IEEE-802.11)

Cổng UDP nghe cho radius chấp nhận yêu cầu ngừng kết nối.

Nếu tùy chọn đã cho không có sự kiểm tra nào được thực hiện trên địa chỉ IP nguồn của radius yêu cầu ngừng kết nối Mặt khác, nó kiểm tra là radius yêu cầu ngừng kết nối bắt nguồn từ máy chủ radius1 hoặc máy chủ radius2

Giao diện IP địa phương gửi tới sử dụng để chấp nhận radius yêu cầu

Cổng UDP nghe để cho chấp nhận radius yêu cầu

Từ địa chỉ IP mà radius yêu cầu được chấp nhận Nếu bỏ qua máy chủ sẽ không chấp nhận radius yêu cầu

Radius chia sẻ bí mật cho máy khách Nếu không chỉ rõ nó mặc định radiussecret

Nếu confusername được chỉ rõ cùng với confpassword, ChilliSpot sẽ chỉ rõ khoảng cách bởi tùy chọn interval truy vấn máy chủ radius cho thông tin cấu hình Trả lời từ máy chủ radius phải có thuộc tính Service-Type đặt tới ChilliSpot cho phép duy nhất để có bất kỳ hiệu ứng nào Hiện nay, hỗ trợ ChilliSpot-UAM-Allowed, ChilliSpot-MAC-Allowed và ChilliSpot-Interval Những thuộc tính này ghi đè các tùy chọn theo thứ tự uamallowed , macallowed và interval

Xem ở dưới tùy chọn confusername rõ

dhcpmac address Địa chỉ MAC lắng nghe Nếu không chỉ rõ địa chỉ MAC của giao diện sẽ đựợc sử dụng Địa chỉ MAC cần phải chọn để nó không xung đột với địa chỉ khác trong LAN Địa chỉ trong miền 00:00:5E:00:02:00 - 00:00:5E:FF:FF:FF nằm trong miền IANA của địa chỉ và không được cấp phát cho những mục đích khác

Tùy chọn dhcpmac có thể được sử dụng trong sự liên kết với bộ lọc truy nhập, hoặc với những điểm truy nhập mà hỗ trợ gói tin chuyển tiếp tới địa chỉ MAC. Như vậy nó có thể ở mức MAC để phân ra lưu lượng quản lý điểm truy nhập từ lưu lượng người dùng cho hệ thống an toàn hoàn thiện.

Tùy chọn dhcpmac sẽ đặt giao diện trong chế độ promisc

Sử dụng một DHCP lease thứ hai (mặc định = 600)

Các phiên bản của ChilliSpot

Ở đây chúng ta chỉ nói về những điều mới trong các phiên bản này

Là một phiên bản mới và phát triển nhất hiện nay

Tùy chọn cấu hình mới: radiuslisten, cái mà vẫn được sử dụng nếu tùy chọn radiusnasip không được định rõ Nhờ có David Bird o Tùy chọn Radiuscalled: Cho phép đặc tả của tên được sử dụng cho thuộc tính Called-Station-ID Việc này được xác định trước bởi địa chỉ MAC của giao diện không dây, nó vẫn được sử dụng nếu tùy chọn radiuscalled không được định rõ Nhờ có David Bird. o Tùy chọn Confusername và confpassword: Khi các tùy chọn này được đưa ra ChilliSpot sẽ truy vấn máy chủ radius đều đặn Các thuộc tính được trả lại bởi máy chủ radius sẽ ghi đè những tùy chọn aumallowed, macallowed và interval o Tùy chọn Conup và condown: Những lựa chọn này cho phép các tập lệnh chạy khi người dùng xác thực và ngừng kết nối Các lệnh được thực thi với một nhóm các tham số: devicename, ip address, mask, user ip address user mac address và filter ID Một nhóm các biến môi trường được cung cấp khá tốt.

Tùy chọn Macallowed và uanallowed có thể nhân lên gấp nhiều lần theo lý thuyết Giờ đây ChilliSpot chấp nhận nhiều dòng macallowed hoặc uamallowed trong file cấu hình hay nhân lên nhiều lần trong dòng lệnh Trước đây, danh sách địa chỉ MAC hoặc các tên miền bị giới hạn trong một dòng đơn, giới hạn trong 255 ký tự. Nhờ có David Bird cho lần thực hành đầu tiên và Lorenzo Bettini nâng cấp hoàn thiện Gengetopt để hỗ trợ nhiều dòng.

Cải thiện sự định vị IP sau khi khởi động lại cho MAC xác thực người dùng. Người dùng mà được xác thực trên địa chỉ MAC cơ bản sẽ ngay lập tức xác thực liên tục sau khi ChilliSpot khởi động lại.

Hơn nữa, bản quyền câu lệnh và sự tín nhiệm được bao gồm trong chương trình.

Cải thiện sự định vị IP sau khi khởi động lại ChilliSpot sẽ định vị đúng địa chỉ

IP ngay lập tức sau khi khởi động lại Trước đây, máy khách không dây đã đưa ra một yêu cầu DHCP mới nhằm đăng nhập lại sau khi khởi động. có thể chấp nhận được.

Phân tách tốt hơn tùy chọn uamserver và uamhomepage Có thể định rõ số cổng như một phần của URL cho tùy chọn uamserver và uamhomepage Cùng lúc cổng hạn chế bị gỡ bỏ bởi vậy máy khách không dây có lớp IP chính thức, truy cập tới địa chỉ IP của tùy chọn uamserver và uamhomepage Nhờ có Drew S.Dupont.

Daemon sẽ ghi lỗi đầu ra Trong khi chạy như daemon ChilliSpot sẽ viết đầu ra gỡ rối tới stdout.

Sửa chữa lỗi memcpy trên tùy chọn uamallowed Lỗi- nguyên nhân bởi một phần của tùy chọn uamallowed bị sao chép Nhờ có Jerome Heulot.

Cải thiện thử lại radius không cần thiết Trước đây ChilliSpot buộc phải luân phiên giữa máy chủ radius1 và máy chủ radius2 trên những lần thử lại Giờ đây nó sẽ thử lại 3 lần trên cùng máy chủ radius trước khi chuyển đổi tới phần khác.

Ngoài ra, một tùy chọn radiussporttype mới được thêm vào, định rõ thuộc tính NAS-Port-Type radius sử dụng.

Những lỗi khi chạy như daemon Lỗi được đưa ra trong 1.0 RC1 là do một số vấn đề khi chạy trong nền sau Nó ảnh hưởng tới Session-Timeout, tính toán tạm thời và sóng mang mất không kết nối tốt như các tính năng khác.

ChilliSpot-Max-Total-Octets Thuộc tính này làm việc như mong đợi.

4.7.5 ChilliSpot 1.0 RC1 Các thuộc tính giới hạn bộ đĩa

ChilliSpot hỗ trợ 3 thuộc tính giới hạn bộ đĩa:

ChilliSpot-Max-Iput-Octets Một số lượng cực đại các octets (bộ tám) người dùng được phép truyền Sau khi giới hạn này đạt được, người dùng sẽ ngừng kết nối.

ChilliSpot-Max-Output-Octets Một số lượng cực đại các octets (bộ tám) người dùng được phép nhận Sau khi giới hạn này đạt được, người dùng sẽ ngừng kết nối.

ChilliSpot-Max-Total-Octets Một số lượng cực đại các octets (bộ tám) người dùng được phép chuyển giao( tổng số octets truyền và nhận) Sau khi giới hạn này đạt được, người dùng sẽ ngừng kết nối.

Hơn nữa bộ đếm byte ChilliSpot đã thay đổi bởi vậy chúng không đếm các gói tin mà bị thả bởi ChilliSpot như phần của khuôn lưu lượng Nhờ có Philipp Kobel

và Haralld Jenny harald@lin.at hỗ trợ làm việc trong các thuộc tính giới hạn bộ đĩa. Đọc lại File cấu hình

Khi gửi một tín hiệu HUP, ChilliSpot daemon sẽ đọc lại file cấu hình và thực hiện tra cứu tên miền File cấu hình có thể được đọc lại mà không cần kết nối hoạt động người dùng Hơn nữa một tùy chọn interval mới sẽ là nguyên nhân file cấu hình phải đọc lại đều đặn.

ChilliSpot có một tùy chọn eapolable mới cho phép ChilliSpot thực hiện xác thực EAPOL Với sự lựa chọn này, ChilliSpot làm việc như một bộ xác thực EAPOL. Hiện nay, ChilliSpot không thiết lập các khóa mã hóa bởi vậy WAP không hỗ trợ EAPOL địa phương.

4.7.6 ChilliSpot 0.99 Tuân theo WISPr Appendix D

ChilliSpot tuân theo WISPr Appendix D chỉ rõ việc giao tiếp giữa máy khách và HotSpot Điều này có nghĩa là người dùng mà có cài đặt máy khách có thể đăng nhập vào ChilliSpot mà không cần trình duyệt web.

Nhờ có Stefan Lengacher đưa ra đặc tính này và đặc biệt là WERoam đã bảo trợ Appendix D.

Radius hỗ trợ ngưng kết nối

ChilliSpot hỗ trợ RFC 3567 Radius –ngưng kết nối thông điệp.

RFC 3567 cho phép một quản trị viên gửi một thông điệp Radius-Disconnect tới NAS trên cổng UDP 3799 Thông điệp nên ở dạng tối thiểu bao gồm thưộc tính User-name Đã có lần NAS nhận thông điệp này nó sẽ không kết nối người dùng và gửi lại một tin báo nhận Ngoài ra một thông điệp ngừng giải thích sẽ được gửi tới máy chủ radius. Để sử dụng đặc tính này bạn nên chạy ChilliSpot như sau: miễn phí: echo "User-Name = user" | radclient 10.0.0.219:3799 40 secret123

Received response ID 219, code 41, length = 20

Một mã trả lời là 41 chỉ ra rằng việc không kết nối là tốt, 42 nghĩa là người dùng không thể kết nối. Địa chỉ MAC kiểu RFC 3585

Ngày đăng: 26/06/2023, 21:25

HÌNH ẢNH LIÊN QUAN

Hình 1. Mạng không dây có dây và các ứng dụng của nó - Giải pháp xác thực người dùng bằng công nghệ captive portal
Hình 1. Mạng không dây có dây và các ứng dụng của nó (Trang 24)
Hình 2: Truy cập internet di động 2.2.3. Các thế hệ phát triển của mạng không dây - Giải pháp xác thực người dùng bằng công nghệ captive portal
Hình 2 Truy cập internet di động 2.2.3. Các thế hệ phát triển của mạng không dây (Trang 25)

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w