LỜI CẢM ƠN Để hoàn thành luận án tốt nghiệp, em xin gửi lời cảm ơn sâu sắc tới thầy cô giáo Bộ môn tin học trường ĐHDL Hải Phòng trực tiếp giảng dạy cung cấp cho em kiến thức quý báu để em tìm hiểu tiếp cận với cơng nghệ lĩnh vực Đặc biệt em xin chân thành gửi lời cảm ơn đến TS Phạm Hồng Thái CN Lương Việt Nguyên - ĐH Công nghệ tận tình hướng dẫn em tạo điều kiện tài liệu kiến thức để em hoàn thành luận án tốt nghiệp Và cuối xin gửi lời cảm ơn tới gia đình, tới bạn động viên, góp ý sát cánh em đường học tập Do thời gian eo hẹp khả có hạn nên luận án tốt nghiệp khơng tránh khỏi thiếu sót Kính mong nhận nhiều ý kiến đóng góp, phê bình q thầy bạn để chương trình hoàn thiện Em xin chân thành cảm ơn ! Hải Phòng, tháng năm 2007 Sinh viên Lê Thị Thùy Lương Giải pháp xác thực người dùng Lê Thị Thùy Lương MỤC LỤC LỜI CẢM ƠN .1 MỤC LỤC LỜI NÓI ĐẦU .5 Chương 1: VẤN ĐỀ AN NINH AN TOÀN MẠNG MÁY TÍNH VÀ CÁC GIẢI PHÁP XÁC THỰC NGƯỜI DÙNG 1.1 Tổng quan vấn đề an ninh an toàn mạng máy tính 1.1.1 Đe dọa an ninh từ đâu? 1.1.2 Các giải pháp đảm bảo an ninh 1.2 Vấn đề bảo mật hệ thống mạng 10 1.2.1 Các vấn dề chung bảo mật hệ thống mạng 10 1.2.2 Một số khái niệm lịch sử bảo mật hệ thống 10 1.3 Các kiến thức xác thực người dùng .11 1.3.1 Khái niệm xác thực người dùng 12 1.3.2 Các giải pháp xác thực người dùng phổ biến 12 1.3.3 Các giao thức xác thực 18 1.3.4 Nhận xét 20 Chương 2: MẠNG KHÔNG DÂY VÀ CÁC CHÍNH SÁCH BẢO MẬT 21 2.1 Giới thiệu chung mạng không dây 21 2.2 Lịch sử phát triển phát triển mạng không dây 22 2.2.1 Lịch sử phát triển mạng không dây 22 2.2.2 Sự phát triển mạng không dây 23 2.2.3 Các hệ phát triển mạng không dây 24 2.3 Công nghệ phổ biến mạng không dây .25 2.3.1 Công nghệ TDMA 25 2.3.2 Công nghệ GSM 25 2.3.3 Công nghệ CDMA 26 2.3.4 Công nghệ WiFi 26 2.3.5 Công Nghệ WiMax 27 2.3.6 Công nghệ GPRS 27 2.4 Các chuẩn phổ biến mạng không dây 27 2.6 Công nghệ cơng cách phịng thủ 29 2.6.1 Phương pháp công Rogue Access Point 29 2.6.2 Tổng hợp phương pháp công khác 31 2.7 Chính sách bảo mật mạng khơng dây 35 2.7.1 Đánh giá hệ thống bảo mật WLAN .35 Giải pháp xác thực người dùng Lê Thị Thùy Lương 2.7.2 Chính sách bảo mật WLAN 35 Chương 3: CÔNG NGHỆ CAPTIVE PORTAL VÀ SỬ DỤNG RADIUS XÁC THỰC TRONG WLAN 37 3.1 Cơng nghệ Captive Portal gì? .37 3.1.1 Các cách triển triển khai 37 3.1.3 Giới thiệu số phần mềm sử dụng công nghệ Captive Portal 38 3.1.4 Một số hạn chế 39 3.2 Sử dụng RADIUS cho trình xác thực WLAN .39 3.2.1 Xác thực, cấp phép, toán 41 3.2.2 Sự an toàn mở rộng .42 3.2.3 Áp dụng RADIUS cho mạng LAN không dây 43 3.2.4.Tthực tùy chọn 44 3.2.5 Kết luận 44 Chương 4: CÀI ĐẶT VÀ THỬ NGHIỆM PHẦN MỀM CHILLISPOT 45 4.1 Giới thiệu ChilliSpot 45 4.1.1 Phương pháp xác thực ChilliSpot .45 4.1.2 Một số giao diện ChilliSpot 45 4.1.3 Yêu cầu để xây dựng HotSpot 46 4.1.4 Kiến trúc mạng xây dựng 47 4.2 Mô tả 48 4.2.1 Máy chủ Web xác thực 48 4.2.2 RADIUS 48 4.2.2 Access Point 53 4.2.3 Máy khách .53 4.2.4 Kiến trúc phần mềm 53 4.3 Cài đặt RedHat 9, Fedora (FC1,FC2,FC3 FC4) .54 4.3.1 Yêu cầu tối thiểu .54 4.3.2 Chuẩn bị 54 4.3.3 Cài đặt Redhat Fedora 54 4.3.4 Cài đặt định cấu hình ChilliSpot 55 4.3.5 Cài đặt Firewall .56 4.3.6 Cài đặt cấu hình máy chủ web chứng thực UAM 57 4.3.7 Cài đặt cấu hình FreeRADIUS 57 4.4 Cấu hình máy khách .58 4.4.1 Phương pháp truy nhập phổ thông - Universal Access Method 58 4.4.2 Bảo vệ truy nhập không dây - Wireless Protected Access 59 4.5 Những file tạo sử dụng 59 Giải pháp xác thực người dùng Lê Thị Thùy Lương 4.6 Tùy chọn 60 4.6.1 Tóm tắt 60 4.6.2 Tùy chọn 60 4.6.3 Tệp tin .67 4.6.4 Tín hiệu 67 4.7 Các phiên ChilliSpot 67 4.7.1 ChilliSpot 1.1 67 4.7.2 ChilliSpot 1.0 68 4.7.3 ChilliSpot 1.0 RC3 68 4.7.4 ChilliSpot 1.0 RC2 69 4.7.5 ChilliSpot 1.0 RC1 69 4.7.6 ChilliSpot 0.99 70 4.7.7 ChilliSpot 0.98 71 4.7.8 ChilliSpot 0.97 72 4.7.9 ChilliSpot 0.96 73 4.7.10 ChilliSpot 0.95 73 4.7.11 ChilliSpot 0.94 74 4.7.12 ChilliSpot 0.93 75 4.7.13 ChilliSpot 0.92 75 4.7.14 ChilliSpot 0.91 75 4.7.15 ChilliSpot 0.90 75 KẾT LUẬN .76 Kết đạt 76 Hướng phát triển đề tài 76 CÁC TÀI LIỆU THAM KHẢO 77 Tài liệu 77 Một số website: .77 Giải pháp xác thực người dùng Lê Thị Thùy Lương LỜI NĨI ĐẦU Hiện vấn đề tồn cầu hoá kinh tế thị trường mở cửa mang lại nhiều hội làm ăn hợp tác kinh doanh phát triển Các ngành cơng nghiệp máy tính truyền thông phát triển đưa giới chuyển sang thời đại mới: thời đại công nghệ thông tin Việc nắm bắt ứng dụng Công nghệ thông tin lĩnh vực khoa học, kinh tế, xã hội đem lại cho doanh nghiệp tổ chức thành tựu lợi ích to lớn Máy tính trở thành cơng cụ đắc lực khơng thể thiếu người, người ngồi chỗ mà nắm bắt thông tin giới hàng ngày nhờ vào phát triển mạnh mẽ Internet Các tổ chức, công ty hay quan phải (tính đến) xây dựng hệ thống tài nguyên chung để phục vụ cho nhu cầu nhân viên khách hàng Và nhu cầu tất yếu nảy sinh người quản lý hệ thống phải kiểm soát việc truy nhập sử dụng tài nguyên Một vài người có nhiều quyền vài người khác Ngoài ra, người quản lý muốn người khác truy nhập vào tài nguyên Để thực nhu cầu truy nhập trên, phải xác định người dùng hệ thống để phục vụ cách xác nhất, việc xác thực người dùng Đây vấn đề nóng bỏng quan tâm Đó nguyên nhân khiến em chọn đề tài "Giải pháp xác thực người dùng công nghệ Captive Portal” Với công nghệ Captive Portal bắt buộc máy muốn sử dụng Internet mạng trước tiên phải sử dụng trình duyệt để “được” tới trang đặc biệt (thường dùng cho mục đích xác thực) Captive Portal chuyển hướng trình duyệt tới thiết bị xác thực an ninh Điều thực cách bắt tất gói tin, kể địa cổng, đến người dùng mở trình duyệt thử truy cập Internet Tại thời điểm đó, trình duyệt chuyển hướng tới trang Web đặc biệt yêu cầu xác thực (đăng nhập) toán, đơn giản bảng thông báo quy định mà người dùng phải tuân theo yêu cầu người dùng phải chấp nhận quy định trước truy cập Internet Captive Portal thường triển khai hầu hết điểm truy nhập Wi-Fi dùng để điều khiển mạng có dây Giải pháp xác thực người dùng Lê Thị Thùy Lương Đề tài gồm phần mở đầu, bốn chương kết luận Chương 1: Vấn đề an ninh an tồn mạng máy tính giải pháp xác thực người dùng Trình bày tổng quan vấn đề an ninh mạng máy tính, nguy vấn đề bảo mật hệ thống mạng Tìm hiểu khái niệm xác thực người dùng giải pháp xác thực người dùng phổ biến Qua đưa ưu điểm nhược điểm giải pháp Chương II: Mạng khơng dây sách bảo mật Chương tìm hiểu khái qt mạng khơng dây sách bảo mật Chương III: Công nghệ Captive Portal sử dụng Radius xác thực WLAN Chương vào khảo sát cơng nghệ xác thực người dùng Đó xác thực người dùng công nghệ Captive Portal Chương IV: Cài đặt thử nghiệm phân mềm ChilliSpot Chương trình bày cách cấu hình; cách triển khai cài đặt sử dụng chương trình Phần kết luận: Phần tóm tắt kết đạt được, đưa hạn chế hướng khai thác hệ thống thực tế Giải pháp xác thực người dùng Lê Thị Thùy Lương Chương 1: VẤN ĐỀ AN NINH AN TỒN MẠNG MÁY TÍNH VÀ CÁC GIẢI PHÁP XÁC THỰC NGƯỜI DÙNG 1.1 Tổng quan vấn đề an ninh an tồn mạng máy tính 1.1.1 Đe dọa an ninh từ đâu? Trong xã hội, thiện ác song song tồn hai mặt khơng tách rời, chúng ln phủ định Có biết người muốn hướng tới chân thiện, tốt đẹp, có khơng kẻ mục đích hay mục đích khác lại làm cho ác nảy sinh, lấn lướt thiện Sự giằng co thiện ác vấn đề xúc xã hội, cần phải loại trừ ác, ác lại nảy sinh theo thời gian Mạng máy tính vậy, có người phải biết công sức nghiên cứu biện pháp bảo vệ cho an ninh tổ chức mình, lại có kẻ tìm cách phá vỡ lớp bảo vệ với nhiều ý đồ khác Mục đích người lương thiện muốn tạo khả bảo vệ an ninh cho tổ chức rõ ràng Ngược lại, ý đồ kẻ xấu lại nhiều góc độ, cung bậc khác Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả mình, để thoả mãn thói hư ích kỷ Loại người thường làm hại người khác cách phá hoại tài nguyên mạng, xâm phạm quyền riêng tư bôi nhọ danh dự họ Nguy hiểm hơn, có kẻ lại muốn đoạt không nguồn lợi người khác việc lấy cắp thông tin mật công ty, đột nhập vào ngân hàng để chuyển trộm tiền Bởi thực tế, hầu hết tổ chức cơng ty tham gia vào mạng máy tính tồn cầu có lượng lớn thơng tin kết nối trực tuyến Trong lượng lớn thông tin ấy, có thơng tin bí mật như: bí mật thương mại, kế hoạch phát triển sản phẩm, chiến lược maketing, phân tích tài hay thơng tin nhân sự, bí mật riêng tư Các thông tin quan trọng, việc để lộ thông tin cho đối thủ cạnh tranh dẫn đến hậu nghiêm trọng Tuy nhiên, muốn kẻ xấu thực mục đích Chúng cần phải có thời gian, sơ hở, yếu hệ thống bảo vệ an ninh mạng Và để thực điều đó, chúng phải có trí tuệ thơng minh cộng với chuỗi dài kinh nghiệm Còn để xây dựng biện pháp đảm bảo an ninh, đòi hỏi người xây dựng khơng trí Giải pháp xác thực người dùng Lê Thị Thùy Lương tuệ kinh nghiệm thực tiễn Như thế, hai mặt tích cực tiêu cực thực bàn tay khối óc người, khơng có máy móc thay Vậy, vấn đề an ninh an tồn mạng máy tính hồn tồn mang tính người Ban đầu, trị phá hoại mang tính chất trị chơi người có trí tuệ khơng nhằm mục đích vụ lợi, xấu xa Tuy nhiên, mạng máy tính trở nên phổ dụng, có kết nối nhiều tổ chức, cơng ty, cá nhân với nhiều thơng tin bí mật, trị phá hoại lại khơng ngừng gia tăng Sự phá hoại gây nhiều hậu nghiêm trọng, trở thành loại tội phạm Theo số liệu thống kê CERT (Computer Emegency Response Team) số lượng vụ cơng Internet thông báo cho tổ chức 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 năm 1993 2241 năm 1994 Những vụ cơng nhằm vào tất máy tính có mặt Internet, từ máy tính công ty lớn AT & T, IBM, trường đại học, quan nhà nước, nhà băng Những số đưa này, thực tế phần tảng băng Một phần lớn vụ cơng khơng thơng báo nhiều lý khác nhau, uy tín, đơn giản họ khơng biết bị công Thực tế, đe doạ an ninh không bên tổ chức, mà bên tổ chức vấn đề nghiêm trọng Đe dọa bên tổ chức xẩy lớn bên ngoài, nguyên nhân nhân viên có quyền truy nhập hệ thống gây Vì họ có quyền truy nhập hệ thống nên họ tìm điểm yếu hệ thống, vơ tình họ phá hủy hay tạo hội cho kẻ khác xâm nhập hệ thống Và nguy hiểm hơn, họ kẻ bất mãn hay phản bội hậu khơng thể lường trước Tóm lại, vấn đề an ninh an tồn mạng máy tính hồn tồn vấn đề người khơng ngừng gia tăng, bị đe doạ từ bên ngồi bên tổ chức Vấn đề trở thành mối lo ngại lớn cho chủ thể tham gia vào mạng máy tính tồn cầu Và vậy, để đảm bảo việc trao đổi thông tin an tồn an ninh cho mạng máy tính, buộc tổ chức phải triển khai biện pháp bảo vệ đảm bảo an ninh, mà trước hết cho 1.1.2 Các giải pháp đảm bảo an ninh Như ta thấy, an ninh an tồn mạng máy tính bị đe doạ từ nhiều góc độ nguyên nhân khác Đe doạ an ninh xuất phát từ bên ngồi mạng nội xuất phát từ bên tổ chức Do đó, việc đảm bảo an Giải pháp xác thực người dùng Lê Thị Thùy Lương ninh an tồn cho mạng máy tính cần phải có nhiều giải pháp cụ thể khác Tuy nhiên, tổng quan có ba giải pháp sau: o Giải pháp phần cứng o Giải pháp phần mềm o Giải pháp người Đây ba giải pháp tổng quát mà nhà quản trị an ninh phải tính đến cơng tác đảm bảo an ninh an tồn mạng máy tính Mỗi giải pháp có ưu nhược điểm riêng mà người quản trị an ninh cần phải biết phân tích, tổng hợp chọn lựa để tạo khả đảm bảo an ninh tối ưu cho tổ chức Giải pháp phần cứng giải pháp sử dụng thiết bị vật lý hệ thống máy chuyên dụng, thiết lập mơ hình mạng (thiết lập kênh truyền riêng, mạng riêng) Giải pháp phần cứng thông thường kèm với hệ thống phần mềm điều khiển tương ứng Đây giải pháp không phổ biến, khơng linh hoạt việc đáp ứng với tiến dịch vụ xuất hiện, chi phí cao Khác với giải pháp phần cứng, giải pháp phần mềm đa dạng Giải pháp phần mềm phụ thuộc hay khơng phụ thuộc vào phần cứng Cụ thể giải pháp phần mềm như: phương pháp xác thực, phương pháp mã hoá, mạng riêng ảo, hệ thống tường lửa, Các phương pháp xác thực mã hố đảm bảo cho thơng tin truyền mạng cách an tồn Vì với cách thức làm việc nó, thơng tin thật đường truyền mã hố dạng mà kẻ “nhịm trộm” khơng thể thấy được, thông tin bị sửa đổi nơi nhận có chế phát sửa đổi Cịn phương pháp sử dụng hệ thống tường lửa lại đảm bảo an ninh góc độ khác Bằng cách thiết lập luật điểm đặc biệt (thường gọi điểm nghẹt) hệ thống mạng bên (mạng cần bảo vệ) với hệ thống mạng bên ngồi (mạng coi khơng an toàn bảo mật - Internet), hệ thống tường lửa hồn tồn kiểm sốt kết nối trao đổi thông tin hai mạng Với cách thức này, hệ thống tường lửa đảm bảo an ninh tốt cho hệ thống mạng cần bảo vệ Như thế, giải pháp phần mềm gần hồn tồn gồm chương trình máy tính, chi phí cho giải pháp so với giải pháp phần cứng Bên cạnh hai giải pháp trên, giải pháp sách người giải pháp thiếu Vì phần thấy, vấn đề an ninh an Giải pháp xác thực người dùng Lê Thị Thùy Lương tồn mạng máy tính hồn tồn vấn đề người, việc đưa hành lang pháp lý quy nguyên tắc làm việc cụ thể cần thiết Ở đây, hành lang pháp lý gồm: điều khoản luật nhà nước, văn luật, Cịn quy định tổ chức đặt cho phù hợp với đặc điểm riêng Các quy định như: quy định nhân sự, việc sử dụng máy, sử dụng phần mềm, Và vậy, hiệu việc đảm bảo an ninh an toàn cho hệ thống mạng máy tính ta thực triệt để giải pháp sách người Tóm lại, vấn đề an ninh an tồn mạng máy tính vấn đề lớn, yêu cầu cần phải có giải pháp tổng thể, không phần mềm, phần cứng máy tính mà địi hỏi vấn đề sách người Và vấn đề cần phải thực cách thường xuyên liên tục, không triệt để ln nảy sinh theo thời gian Tuy nhiên, giải pháp tổng thể hợp lý, đặc biệt giải tốt vấn đề sách người ta tạo cho an tồn chắn 1.2 Vấn đề bảo mật hệ thống mạng 1.2.1 Các vấn dề chung bảo mật hệ thống mạng Đặc điểm chung hệ thống mạng có nhiều người sử dụng chung phân tán mặt địa lý nên việc bảo vệ tài nguyên phức tạp nhiều so với việc mơi trường máy tính đơn lẻ, người sử dụng Hoạt động người quản trị hệ thống mạng phải đảm bảo thông tin mạng tin cậy sử dụng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định không bị công kẻ phá hoại Nhưng thực tế không mạng đảm bảo an toàn tuyệt đối, hệ thống dù bảo vệ chắn đến mức có lúc bị vơ hiệu hóa kẻ có ý đồ xấu 1.2.2 Một số khái niệm lịch sử bảo mật hệ thống a Đối tượng công mạng (intruder) Đối tượng cá nhân tổ chức sử dụng kiến thức mạng công cụ phá hoại (gồm phần cứng phần mềm) để dị tìm điểm yếu lỗ hổng bảo mật hệ thống, thực hoạt động xâm nhập chiếm đoạt tài nguyên trái phép Một số đối tượng công mạng như: 10