BẢO MẬT MẠNG KHÔNG DÂY BẰNG RADIUS TRÊN THIẾT BỊ ACCESS POINT CISCO AIR 1600 - Full 10 điểm

i L Ờ I C ẢM ƠN Trong 3 năm họ c t ạ i T rường Cao Đẳ ng CNTT H ữ u Ngh ị Vi ệ t Hàn, em đã nhậ n đượ c r ấ t nhi ề u s ự quan tâm, giúp đỡ c ủ a quý th ầ y cô, gia đình và b ạ n bè L ời đầ u tiên em xin g ửi đế n quý th ầy cô trong trường Cao Đẳ ng CNTT H ữ u Ngh ị Vi ệ t Hàn nói chung, các th ầ y cô giáo trong khoa khoa h ọ c máy tính và các th ầ y cô chuyên ngành m ạ ng máy tính nói riêng l ờ i c ảm ơn chân thành và sâu sắ c nh ấ t Đặ c bi ệ t em xin g ử i l ờ i c ảm ơn đế n cô ThS Ninh Khánh Chi là giáo viên hướ ng d ẫn làm đồ án t ố t nghi ệ p đã tận tình giúp đỡ , tr ự c ti ế p ch ỉ b ảo, hướ ng d ẫ n em trong su ốt quá trình làm đồ án Trong th ờ i gian làm vi ệ c v ớ i cô, em không ng ừ ng ti ế p thu thêm nhi ề u ki ế n th ứ c b ổ ích mà còn h ọ c t ậ p đượ c tinh th ầ n làm vi ệc, thái độ nghiên c ứ u khoa h ọ c nghiêm túc, hi ệ u qu ả, đây là những điề u r ấ t c ầ n thi ế t cho em trong quá trình h ọ c t ậ p và công tác sau này Tuy v ậ y, do th ờ i gian làm đồ án có h ạn cũng như kinh nghiệ m còn h ạ n ch ế c ủ a mình nên không th ể tránh kh ỏ i nh ữ ng sai sót, h ạ n ch ế nh ất đị nh Vì v ậ y, em mong đượ c s ự ch ỉ b ảo, đóng góp củ a các th ầy cô để đồ án t ố t nghi ệ p c ủ a em hoàn thi ện hơn Em xin chân thành c ảm ơn! Đà nẵng, tháng 05 năm 2015 Sinh viên thực hiện Hoàng Tuấn Ngọc ii M Ụ C L Ụ C L Ờ I C ẢM ƠN i M Ụ C L Ụ C ii DANH M Ụ C CÁC T Ừ VI Ế T T Ắ T v DANH M Ụ C B Ả NG vii DANH M Ụ C HÌNH V Ẽ c c viii M Ở ĐẦ U 1 CHƯƠNG I: TỔ NG QUAN V Ề M Ạ NG KHÔNG DÂY 2 1 1 T ổ ng quan v ề m ạ ng không dây 2 1 1 1 Gi ớ i thi ệ u v ề m ạ ng không dây c ụ c b ộ 2 1 1 1 1 M ạ ng không dây là gì? 2 1 1 1 2 L ị ch s ử hình thành và phát tri ể n c ủ a m ạ ng không dây 2 1 1 1 3 Ưu điể m c ủ a m ạ ng không dây 3 1 1 1 4 Nhược điể m c ủ a m ạ ng không dây 3 1 1 2 Các chu ẩ n thông d ụ ng trong m ạ ng không dây 4 1 1 2 1 Chu ẩ n 802 11 4 1 1 2 2 Chu ẩ n 802 11b 4 1 1 2 3 Chu ẩ n 802 11a 4 1 1 2 4 Chu ẩ n 802 11g 5 1 1 2 5 Chu ẩ n 802 11n 5 1 1 2 6 Chu ẩ n 802 11ac 5 1 1 2 7 M ộ t s ố chu ẩ n m ở r ộ ng 7 1 2 Giao th ứ c xác th ự c m ở r ộ ng 7 1 2 1 EAP-TLS (EAP-Transport Layer Security) 7 1 2 2 EAP-TTLS (EAP- Tunneled Transport Layer Security) 8 1 2 3 PEAP (Protected Extensible Authentication Protocol) 8 1 2 4 LEAP (Lightweight Extensible Authentication Protocol) 9 1 2 5 EAP-FAST (EAP- Flexible Authentication via Secure Tunneling) 9 1 2 6 So sánh các phương th ứ c xác th ự c m ở r ộ ng 10 1 3 Các gi ả i pháp b ả o m ậ t m ạ ng không dây 11 1 3 1 WEP 11 1 3 2 WLAN – VPN 11 iii 1 3 3 AES 13 1 3 4 WPA 14 1 3 5 WPA/2 15 1 3 6 L Ọ C (Filltering) 16 1 3 6 1 L ọ c SSID 16 1 3 6 2 L ọc đị a ch ỉ MAC 16 1 3 6 3 L ọ c giao th ứ c 17 1 3 7 M ộ t s ố gi ả i pháp b ả o m ậ t WLAN 18 CHƯƠNG II: TÌM HI Ể U V Ề GIAO TH Ứ C XÁC TH Ự C RADIUS 19 2 1 T ổ ng quan v ề giao th ứ c RADIUS 19 2 1 1 Gi ớ i thi ệ u v ề RADIUS 19 2 1 2 Tính ch ấ t c ủ a RADIUS 19 2 1 3 Giao th ứ c RADIUS 1 20 2 1 3 1 Cơ chế ho ạt độ ng 20 2 1 3 2 D ạ ng gói Packet 22 2 1 3 3 Packet type (ki ể u packet) 24 2 1 4 Giao th ứ c RADIUS 2 28 2 1 4 1 Cơ chế ho ạt độ ng 28 2 1 4 2 Packet Format 28 2 2 Xác th ự c, c ấ p phép và ki ể m toán 28 2 2 1 Quá trình xác th ự c và c ấp phép ngườ i dùng (Authentication and Authorization) 28 2 2 2 Quá trình ki ể m toán (Accounting) 30 2 3 S ự b ả o m ậ t, tính m ở r ộ ng và ứ ng d ụ ng c ủ a Radius 30 CHƯƠNG III: TRIỂ N KHAI B Ả O M Ậ T M Ạ NG KHÔNG DÂY B Ằ NG CH Ứ NG TH Ự C RADIUS TRÊN THI Ế T B Ị 33 ACCESS POINT CISCO AIR 1600 33 3 1 Gi ớ i thi ệ u thi ế t b ị Access point cisco air 1600 33 3 1 1 Gi ớ i thi ệ u 33 3 1 2 Các bướ c c ấu hình Access Point Air 1600 thành điể m phát wifi 34 3 2 Mô t ả v ề h ệ th ố ng m ạ ng 38 3 2 1 Gi ớ i thi ệu sơ đồ h ệ th ố ng m ạ ng 38 iv 3 2 2 Yêu c ầ u c ủ a h ệ th ố ng 39 3 3 Quy trình tri ể n khai ch ứ ng th ự c RADIUS 39 3 3 1 Cài đặ t và c ấ u hình DHCP 40 3 3 1 1 Cài đặ t DHCP 40 3 3 1 2 C ấ u hình DHCP 40 3 3 2 Cài đặ t Enterprise CA và Request Certificate t ừ CA Enterprite Serve 41 3 3 2 1 Cài đặ t Enterprise CA 41 3 3 2 2 Request Certificate t ừ CA Enterprite Server 41 3 3 3 T ạ o Users, c ấ p quy ề n Remote Access cho user và chuy ể n sang Native Mode 42 3 3 3 1 T ạ o Users và Group 42 3 3 3 2 c ấ p quy ề n Remote Access cho user và chuy ể n sang Native Mode 42 3 3 4 Cài đặ t và c ấ u hình Radius 43 3 3 4 1 Cài đặ t Radius 43 3 3 4 2 C ấ u hình Radius 43 3 3 5 C ấ u hình Access Point Cisco Air 1600 45 3 3 6 C ấ u hình Wireless trên Client 47 3 3 7 Ki ể m tra ki ế t n ố i 49 K Ế T LU Ậ N 52 TÀI LI Ệ U THAM KH Ả O x NH Ậ N XÉT C Ủ A CÁN B Ộ HƯỚ NG D Ẫ N xi v DANH M Ụ C CÁC T Ừ VI Ế T T Ắ T Vi ế t T ắ t Ti ế ng Anh Ti ế ng Vi ệ t AAA Authentication - Authorization - Accounting Xác th ự c - C ấ p quy ề n – Ki ể m toán AES Advanced Encryption Stadar Tiêu chu ẩ n mã hóa tiên ti ế n AP Access Point Thi ế t b ị phát wifi CHAP Challenge Handsha ke Authentication Protocol Giao th ứ c xác th ự c th ử thách b ắ t tay EAP Extensible Authentication Protocol Giao th ứ c xác th ự c m ở r ộ ng EAP - FAST Extensible Authentication Protocol - Flexible Authentication via Secure Tunneling Giao th ứ c xác th ự c m ở r ộ ng EAP - FAS T EAP - TLS Extensible Authentication Protocol Transport Layer Security Giao th ứ c xác th ự c m ở r ộ ng EAP - TLS EAP - TTLS Tunneled Transport Layer Security Giao th ứ c xác th ự c m ở r ộ ng TTLS IEEE Institute of Electrical and Electronics Engineers Vi ệ n k ỹ ngh ệ Đi ệ n và Đi ệ n t ử LEAP Lightweight Extensible Authentication Protocol Giao th ứ c xác th ự c m ở r ộ ng LEAP MAC Media Access Control Giao th ứ c đ i ề u khi ể n truy nh ậ p môi trư ờ ng MS - CHAP v2 Microsoft Challenge Handshake Authentication Protocol version 2 Giao th ứ c xác th ự c th ử thách - b ắ t tay c ủ a Miscrosoft NAS Network Access Server Thi ế t l ậ p m ộ t đư ờ ng h ầ m an toàn t ớ i m ạ ng riêng vi PAP Password Authentication Protocol Cơ ch ế ch ứ ng th ự c PAP PEAP Protected Extensible Authentication Protocol Giao th ứ c xác th ự c m ở r ộ ng PEAP PPP Public Private Partnerships H ợ p tác công tư RADIUS Remote Authentication Dial In User Service Giao th ứ c RADIUS SLIP Serial Line Internet Protocol Giao th ứ c truy c ậ p t ừ xa SMTP Simple Mail Transfer Protocol Giao th ứ c truy ề n t ả i thư tín đơn gi ả n SSI D Service Set Identifier Tên mi ề n m ạ ng TKIP Temporal Key Integrity Protocol Phương th ứ c mã hóa TKIP UDP User Datagram Protocol Giao th ứ c UDP VPN Vi rtual Private Network M ạ ng riêng ả o WEP Wired Equivalen Privacy Phương th ứ c mã hóa WEP WLAN Wireless Loc al Area Network M ạ ng c ụ c b ộ không dây WPA Wi - Fi Protected Access Phương th ứ c mã hóa WPA WPA/2 Wi - Fi Protected Access version 2 Phương th ứ c mã hóa WPA version 2 vii DANH M Ụ C B Ả NG S ố hi ệ u b ả ng Tên b ả ng Trang 1 1 So sánh các phương th ứ c xác th ự c m ở r ộ ng 10 3 1 Thông tin ph ầ n c ứ ng thi ế t b ị Access Point Cisco air 1600 33 3 2 Các c ổ ng giao ti ế p c ủ a Access Point Cisco Air 1600 34 viii DANH M Ụ C HÌNH V Ẽ S ố hi ệ u hình Tên hình Trang 1 1 Mô hình VLAN VNP 13 1 2 L ọ c đ ị a ch ỉ MAC 17 2 1 Packet Format 22 2 2 Access-request Packet Format 24 2 3 Access-accept Packet Format 24 2 4 Access-reject packet format 25 2 5 Access-challenge packet format 25 2 6 Attributes type 26 2 7 Quá trình xác th ự c và c ấ p phép ngư ờ i dùng 29 2 8 Quá trình ki ể m toán 30 2 9 Tính m ở r ộ ng trong m ạ ng không dây 31 3 1 Thi ế t b ị Access Point Cisco Air 1600 34 3 2 Các c ổ ng giao ti ế p c ủ a Access Point Cisco Air 1600 34 3 3 Cài đặt và cấu hình DHCP 35 3 4 Đăng nhập vào giao diện cấu hình Access Point 1600 35 3 5 Giao diện chính cấu hình Access Point 1600 35 3 6 Giao diện Network 36 3 7 Giao diện cấu hì nh Radio0-802 11n 36 3 8 Giao diện để vào cấu hình SSID 36 3 9 Cấu hình một SSID 37 3 10 Kết nối mạng 37 3 11 Giao diện Open Network and Sharing Center 37 3 12 K iểm tra địa chỉ ip của client 38 3 13 DHCP server cấp địa chỉ ip cho client 38 3 14 Mô hình tri ể n khai ch ứ ng th ự c Radius 39 3 15 Cài đ ặ t DHCP 40 3 16 C ấ u hình DHCP và c ấ p ip cho client 40 3 17 Cài đ ặ t Enterprise CA 41 ix 3 18 Request Certificate t ừ CA Enterprite Server 41 3 19 Request Certifi cate t ừ CA Enterprite Server 42 3 20 T ạ o user và group 42 3 21 C ấ u hình qu ả n lý truy c ậ p t ừ xa cho User 43 3 22 C huy ể n domain sang Native Mode 43 3 23 C ấ u hình Radius 44 3 24 T ạ o m ớ i Radius Client 44 3 25 T ạ o m ớ i Remove Access Policy 44 3 26 C ấ u hình Server Manager 45 3 27 Ch ọ n server EAP Authentication 45 3 28 Qu ả n lý mã hóa 46 3 29 C ấ u hình đ ị a ch ỉ radius 46 3 30 Thêm user 46 3 31 T ạ o m ớ i m ộ t SSID 47 3 32 C ấ u hình SSID 47 3 33 C ấ u hình Client Authenticated Key Management 47 3 34 C ấ u hình SSID, ki ể u ch ứ ng th ự c và mã hóa 48 3 35 C ử a s ổ Change connection settings 48 3 36 C ử a s ổ Wireless Network Properties 48 3 37 C ử a s ổ Protected EAP Properties 49 3 38 C ử a s ổ EAP MSCHAPv2 Properties 49 3 39 C ử a s ổ Advanced settings 49 3 40 C ử a s ổ đăng nh ậ p cho client 50 3 41 K ế t qu ả sau khi k ế t n ố i 50 3 42 K i ể m tra ip c ủ a client 50 3 43 K ế t qu ả c ấ p phát ip trên DHCP server 50 3 44 C ụ th ể thông tin ch ứ ng th ự c 51 B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 1 M Ở ĐẦ U V ớ i t ốc độ phát tri ể n và không ng ừ ng c ả i ti ế n c ủ a công ngh ệ m ạ ng M ọi ngườ i, t ừ công nhân cho đế n nh ững ngườ i ch ủ , t ừ sinh viên đế n giáo viên, t ổ ch ứ c doanh nghi ệp cũng như chính p h ủ , t ấ t c ả đề u có nhu c ầ u k ế t n ố i m ọ i lúc, m ọi nơi Vì vậ y, m ạng WLAN ra đời để đáp ứ ng nhu c ầ u trên M ạng WLAN ra đờ i th ự c s ự là m ột bướ c ti ến vượ t b ậ t c ủ a công ngh ệ m ạ ng, đây là phương pháp chuyể n giao t ừ điểm này sang điể m khác s ử d ụ ng sóng vô tuy ế n Và hi ện nay đã phổ bi ế n trên toàn th ế gi ớ i, mang l ạ i r ấ t nhi ề u l ợi ích cho ngườ i s ử d ụ ng, nh ấ t là kh ả năng di độ ng c ủ a nó Ở m ộ t s ố nướ c có n ề n công ngh ệ thông tin phát tri ể n, m ạ ng không dây th ự c s ự đi vào cuộ c s ố ng Ch ỉ c ầ n có m ộ t Laptop, Smartphone ho ặ c m ộ t thi ế t b ị truy c ậ p không dây b ấ t k ỳ , chúng ta có th ể truy c ậ p vào m ạng không đây ở b ấ t k ỳ nơi đâu, trên cơ quan, trong nhà, ở quán Co ffe… ở b ấ t k ỳ đâu trong phạ m vi ph ủ sóng c ủ a WLAN V ớ i r ấ t nhi ề u l ợ i ích và s ự truy c ậ p công c ộng như vậy, nhưng vấn đề b ả o m ậ t luôn làm đau đầ u các nhà s ả n xu ấ t, các t ổ ch ức và cá nhân ngườ i s ử d ụng Vì phương ti ệ n truy ề n tin c ủ a WLAN là sóng vô tuy ến và môi trườ ng truy ề n tin là không khí, ch ỉ thi ế t b ị thu ch ỉ c ầ n n ằ m trong vùng ph ủ sóng là có có kh ả năng truy cậ p vào m ạ ng điề u này d ẫn đế n v ấn đề nghiêm tr ọ ng v ề b ả o m ậ t m ạ ng WLAN Chính vì v ậy, em đã ch ọn đề tài “ B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 ” đ ể làm đ ồ án t ố t nghi ệ p c ủ a mình B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 2 CHƯƠNG I: TỔ NG QUAN V Ề M Ạ NG KHÔNG DÂY 1 1 T ổ ng quan v ề m ạ ng không dây 1 1 1 Gi ớ i thi ệ u v ề m ạ ng không dây c ụ c b ộ 1 1 1 1 M ạ ng không dây là gì? M ạ ng LAN không dây vi ế t t ắ t là WLAN (Wireless Local Area Network) hay WIFI (Wireless Fidelity), là m ộ t m ạng dùng để k ế t n ố i hai hay nhi ề u máy tính v ớ i nhau mà không s ử d ụ ng dây d ẫ n WLAN dùng công ngh ệ tr ả i ph ổ , s ử d ụ ng sóng vô tuy ế n cho phép truy ề n thông gi ữ a các thi ế t b ị trong m ột vùng nào đó gọ i là Basic Service Set Đây là mộ t gi ả i pháp có r ấ t nhi ều ưu điể m so v ớ i k ế t n ố i m ạ ng có dây (Wired network) truy ề n th ống Ngườ i dùng v ẫ n duy trì k ế t n ố i v ớ i m ạ ng khi di chuy ể n trong vùng ph ủ sóng 1 1 1 2 L ị ch s ử hình thành và phát tri ể n c ủ a m ạ ng không dây Năm 1990, công nghệ WLAN l ần đầ u tiên xu ấ t hi ệ n, khi nh ữ ng nhà s ả n xu ấ t gi ớ i thi ệ u nh ữ ng s ả n ph ẩ m ho ạt độ ng ở băng tầ n 900Mhz Các gi ả i pháp này (không có s ự th ố ng nh ấ t c ủ a các nhà s ả n xu ấ t) cung c ấ p t ốc độ truy ề n d ữ li ệ u 1Mpbs, th ấp hơn r ấ t nhi ề u so v ớ i t ốc độ 10Mpbs c ủ a h ầ u h ế t các m ạ ng s ử d ụng cáp lúc đó Năm 1992, các nhà sả n xu ấ t b ắt đầ u bán nh ữ ng s ả n ph ẩ m WLAN s ử d ụng băng t ầ n 2 4GHz M ặ c dù nh ữ ng s ả n ph ẩ m này có t ốc độ truy ền cao hơn nhưng chúng vẫ n ch ỉ là nh ữ ng gi ả i pháp riêng c ủ a m ỗ i nhà s ả n xu ất và không đượ c công b ố r ộ ng rãi S ự c ầ n thi ế t cho vi ệ c th ố ng nh ấ t ho ạt độ ng gi ữ a các thi ế t b ị ở nh ữ ng dãy t ầ n s ố khác nhau d ẫn đế n m ộ t s ố t ổ ch ứ c b ắt đầ u phát tri ể n ra nh ữ ng chu ẩ n m ạ ng không dây Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã thông qua s ự ra đờ i c ủ a chu ẩn 802 11, và đượ c bi ết đế n v ớ i tên WIFI (Wireless Fidelity) cho các m ạ ng WLAN Năm 1999, IEEE thông qua sự b ổ sung cho chu ẩ n 802 11 là chu ẩ n 802 11a và 802 11b (định nghĩa ra những phương pháp truyề n tín hi ệ u) Và các thi ế t b ị WLAN d ự a trên chu ẩn 802 11b đã nhanh chóng trở thành công ngh ệ không dây n ổ i tr ộ i Năm 2003, IEEE công b ố thêm s ự c ả i ti ế n là chu ẩ n 802 11g, chu ẩ n này c ố g ắ ng tích h ợ p t ố t nh ấ t các chu ẩ n 802 11a, 802 11b và 802 11g S ử d ụng băng tầ n 2 4Ghz cho ph ạ m vi ph ủ sóng l ớn hơn Năm 2009, IEEE thông qua chuẩ n WIFI th ế h ệ th ứ tư 802 11n sau 6 năm thử B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 3 nghi ệ m Chu ẩ n 802 11n có kh ả năng truyề n d ữ li ệ u ở t ốc độ 300Mbps hay th ậ m chí cao hơn Năm 2013: Chu ẩ n Wifi th ế h ệ th ứ năm 802 11ac cho công ngh ệ m ạ ng không dây ra đ ờ i T ố c đ ộ t ố i đa hi ệ n là 1730Mbp s và ch ỉ ch ạ y ở băng t ầ n 5GHz 1 1 1 3 Ưu điể m c ủ a m ạ ng không dây S ự ti ệ n l ợ i: M ạ ng không dây cung c ấ p gi ải pháp cho phép ngườ i s ử d ụ ng truy c ậ p tài nguyên trên m ạ ng ở b ất kì nơi đâu trong khu vực WLAN đượ c tri ể n khai (khách s ạn, trườ ng h ọc, thư viện…) Vớ i s ự bùng n ổ c ủ a máy tính xách tay và các thi ế t b ị di độ ng h ỗ tr ợ wifi như hiện nay, điều đó thậ t s ự r ấ t ti ệ n l ợ i Kh ả năng di độ ng: V ớ i s ự phát tri ể n vô cùng m ạ nh m ẽ c ủ a vi ễn thông di độ ng, ngườ i s ử d ụ ng có th ể truy c ậ p internet ở b ấ t c ứ đâu Như: Quán café, thư viện, trườ ng h ọ c và th ậ m chí là ở các công viên hay v ỉ a hè Ngườ i s ử d ụng đề u có th ể truy c ậ p internet mi ễ n phí Hi ệ u qu ả : Ngườ i s ử d ụ ng có th ể duy trì k ế t n ố i m ạ ng khi h ọ đi từ nơi này đế n nơi khác Tri ể n khai: R ấ t d ễ dàng cho vi ệ c tri ể n khai m ạ ng không dây, chúng ta ch ỉ c ầ n m ột đườ ng truy ề n ADSL và m ộ t AP là đượ c m ộ t m ạng WLAN đơn giả n V ớ i vi ệ c s ử d ụ ng cáp, s ẽ r ấ t t ốn kém và khó khăn trong việ c tri ể n khai ở nhi ều nơi trong tòa nhà Kh ả năng mở r ộ ng: M ở r ộ ng d ễ dàng và có th ể đáp ứ ng t ứ c thì khi có s ự gia tăng lớ n v ề s ố lượng ngườ i truy c ậ p 1 1 1 4 Nhược điể m c ủ a m ạ ng không dây Bên c ạ nh nh ữ ng thu ậ n l ợ i mà m ạ ng không dây mang l ạ i cho chúng ta thì nó cũng mắ c ph ả i nh ững nhược điểm Đây là sự h ạ n ch ế c ủ a các công ngh ệ nói chung B ả o m ậ t: Đây có thể nói là nhược điể m l ớ n nh ấ t c ủ a m ạ ng WLAN, b ở i vì phương tiệ n truy ề n tín hi ệ u là só ng và môi trườ ng truy ề n tín hi ệ u là không khí nên kh ả năng mộ t m ạ ng không dây b ị t ấ n công là r ấ t l ớ n Ph ạ m vi: Như ta đã biế t chu ẩ n IEEE 802 11n m ớ i nh ấ t hi ện nay cũng chỉ có th ể ho ạt độ ng ở ph ạ m vi t ối đa là 150m, nên mạ ng không dây ch ỉ phù h ợ p cho m ộ t không gian h ẹ p Độ tin c ậ y: Do phương tiệ n truy ề n tín hi ệ u là sóng vô tuy ế n nên vi ệ c b ị nhi ễ u, suy gi ảm…là điề u không th ể tránh kh ỏi Điề u này gây ảnh hưởng đế n hi ệ u qu ả ho ạ t độ ng c ủ a m ạ ng B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 4 T ốc độ : T ốc độ cao nh ấ t hi ệ n nay c ủ a WLAN có th ể l ên đến 600Mbps nhưng v ẫ n ch ậm hơn rấ t nhi ề u so v ớ i các m ạng cáp thông thườ ng (có th ể lên đế n hàng Gbps) 1 1 2 Các chu ẩ n thông d ụ ng trong m ạ ng không dây 1 1 2 1 Chu ẩ n 802 11 Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã giớ i thi ệ u m ộ t chu ẩn đầ u tiên cho WLAN Chu ẩn này đượ c g ọ i là 802 11 sau khi tên c ủ a nhóm đượ c thi ế t l ậ p nh ằ m giám sát s ự phát tri ể n c ủ a nó Tuy nhiên, 802 11 ch ỉ h ỗ tr ợ cho băng tầ n m ạ ng c ực đại lên đế n 2Mbps – quá ch ậm đố i v ớ i h ầ u h ế t các ứ ng d ụ ng V ới lý do đó, các s ả n ph ẩ m không dây thi ế t k ế theo chu ẩn 802 11 ban đầ u d ầ n không đượ c s ả n xu ấ t 1 1 2 2 Chu ẩ n 802 11b IEEE đã mở r ộ ng trên chu ẩ n 802 11 g ố c vào tháng 7 năm 1999, đó chính là chu ẩ n 802 11b Chu ẩ n này h ỗ tr ợ băng thông lên đến 11Mbps, tương quan vớ i Ethernet truy ề n th ố ng 802 11b s ử d ụ ng t ầ n s ố vô tuy ế n (2 4 GHz) gi ống như chuẩ n ban đầ u 802 11 Các hãng thích s ử d ụ ng các t ầ n s ố này để chi phí trong s ả n xu ấ t c ủ a h ọ đượ c gi ả m Các thi ế t b ị 802 11b có th ể b ị xuyên nhi ễ u t ừ các thi ế t b ị điệ n tho ạ i không dây (kéo dài), lò vi sóng ho ặ c các thi ế t b ị khác s ử d ụ ng cùng d ả i t ầ n 2 4 GHz  Ưu điể m c ủ a 802 11b : Giá thành th ấ p nh ấ t, ph ạ m vi tín hi ệ u t ố t và không d ễ b ị c ả n tr ở  Như ợ c đi ể m c ủ a 802 11b : T ố c đ ộ t ố i đa th ấ p nh ấ t, có th ể b ị nhi ễ u b ở i các thi ế t b ị gia d ụ ng t rong gia đình 1 1 2 3 Chu ẩ n 802 11a Trong khi 802 11b v ẫn đang đượ c phát tri ển, IEEE đã tạ o m ộ t m ở r ộ ng th ứ c ấ p cho chu ẩ n 802 11 có tên g ọi 802 11a Vì 802 11b đượ c s ử d ụ ng r ộ ng rãi quá nhanh so v ớ i 802 11a, nên m ộ t s ố ngườ i cho r ằng 802 11a đượ c t ạ o sau 802 11b Tuy nhiên trong th ự c t ế, 802 11a và 802 11b đượ c t ạ o m ột cách đồ ng th ời Do giá thành cao hơn nên 802 11a ch ỉ đượ c s ử d ụ ng trong các m ạ ng doanh nghi ệ p còn 802 11b thích h ợ p hơn vớ i th ị trườ ng m ạng gia đình 802 11a hỗ tr ợ băng thông lên đế n 54 Mbps và s ử d ụ ng t ầ n s ố vô tuy ế n 5GHz T ầ n s ố c ủa 802 11a cao hơn so vớ i 802 11b chính vì v ậ y đã làm cho phạ m vi c ủ a h ệ th ố ng này h ẹp hơn so vớ i các m ạ ng 802 11b V ớ i t ầ n s ố này, các tín hi ệu 802 11a cũng khó xuyên qua các vách tườ ng và các v ậ t c ản khác hơn Do 802 11a và 802 11b s ử d ụ ng các t ầ n s ố khác nhau, nên hai công ngh ệ này B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 5 không th ể tương thích vớ i nhau Chính vì v ậ y m ộ t s ố hãng đã cung cấ p các thi ế t b ị m ạng hybrid cho 802 11a/b nhưng các sả n ph ẩ m này ch ỉ đơn thuầ n là b ổ sung thêm hai chu ẩ n này  Ưu đ i ể m c ủ a 802 11a: T ốc độ cao; t ầ n s ố 5Ghz tránh đượ c s ự xuyên nhi ễ u t ừ các thi ế t b ị khác  Nhược điể m c ủ a 802 11a: G iá thành đắ t; ph ạ m vi h ẹ p và d ễ b ị che khu ấ t 1 1 2 4 Chu ẩ n 802 11g Vào năm 2002 và 2003, các sả n ph ẩ m WLAN h ỗ tr ợ m ộ t chu ẩ n m ới hơn đó là 8 02 11g, được đánh giá cao trên thị trườ ng 802 11g th ự c hi ệ n s ự k ế t h ợ p t ố t nh ấ t gi ữ a 802 11a và 802 11b Nó h ỗ tr ợ băng thông lên đế n 54Mbps và s ử d ụ ng t ầ n s ố 2 4 Ghz để có ph ạ m vi r ộ ng 802 11g có kh ả năng tương thích vớ i các chu ẩn 802 11b, điều đó có ng hĩa là các điể m truy c ậ p 802 11g s ẽ làm vi ệ c v ớ i các adapter m ạ ng không dây 802 11b và ngượ c l ạ i  Ưu điể m c ủ a 802 11g: T ốc độ cao; ph ạ m vi tín hi ệ u t ố t và ít b ị che khu ấ t  Nhược điể m c ủ a 802 11g: G iá thành đ ắ t hơn 802 11b; các thi ế t b ị có th ể b ị xuyên nhi ễ u t ừ nhi ề u thi ế t b ị khác s ử d ụ ng cùng băng t ầ n 1 1 2 5 Chu ẩ n 802 11n Năm 2009 chu ẩ n 802 11n ra đời Đây là chuẩn đượ c thi ế t k ế để c ả i thi ệ n cho 802 11g trong t ổ ng s ố băng thông đượ c h ỗ tr ợ b ằ ng cách t ậ n d ụ ng nhi ề u tín hi ệ u không dây và các anten (công ngh ệ MIMO) T ốc độ t ối đa 600Mb/s (trên thị trườ ng ph ổ bi ế n có các thi ế t b ị 150Mb/s, 300Mb/s và 450Mb/s) Chu ẩ n này có th ể ho ạt độ ng trên c ả hai băng tầ n 2,4GHz l ẫ n 5GHz và n ế u router h ỗ tr ợ thì hai băng tầ n này có th ể cùng đượ c phát sóng song song nhau  Ưu điể m c ủ a 802 11n: T ốc độ nhanh và ph ạ m vi tín hi ệ u t ố t nh ấ t; kh ả năng chị u đự ng t ốt hơn từ vi ệ c xuyên nhi ễ u t ừ các ngu ồ n bên ngoài  Nhược điể m c ủ a 802 11n: Giá thành đắt hơn 802 11g; sử d ụ ng nhi ề u tín hi ệ u có th ể gây nhi ễ u v ớ i các m ạ ng 802 11b/g ở g ầ n 1 1 2 6 Chu ẩ n 802 11ac Chu ẩ n Wifi th ế h ệ th ứ 5, 802 11ac ra đời trong năm 2013 So vớ i các chu ẩ n trước đó, 802 11ac hỗ tr ợ t ốc độ t ối đa hiệ n là 1730Mb/s (s ẽ còn tăng tiế p) và ch ỉ ch ạ y ở băng tầ n 5GHz M ộ t s ố m ứ c t ốc độ th ấp hơn (ứ ng v ớ i s ố lu ồ ng truy ề n d ữ li ệ u th ấ p B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 6 hơn) bao gồ m 450Mb/s và 900Mb/s V ề m ặ t lý thuy ế t, Wi-Fi 802 11ac s ẽ cho t ốc độ cao g ấ p ba l ầ n so v ớ i Wi-Fi 802 11n ở cùng s ố lu ồ ng (stream) truy ề n, ví d ụ : khi dùng ăng -ten 1x1 thì Wi-Fi ac cho t ốc độ 450Mb/s, trong khi Wi-Fi n ch ỉ là 150Mb/s Còn n ếu tăng lên ăng -ten 3x3 v ớ i ba lu ồ ng, Wi-Fi chu ẩ n 802 11ac có th ể cung c ấ p 1300Mb/s, trong khi Wi-Fi chu ẩ n 802 11n ch ỉ là 450Mb/s Tuy nhiên, nh ữ ng con s ố nói trên ch ỉ là t ốc độ t ối đa trên lý thuy ết, còn trong đờ i th ự c thì t ốc độ này s ẽ gi ả m xu ố ng tùy theo thi ế t b ị thu phát, môi trườ ng, v ậ t c ả n, nhi ễ u tín hi ệ u Nh ững điể m m ớ i c ủ a chu ẩ n 802 11ac: - Băng thông kênh truyề n r ộng hơn: Băng thông rộng hơn giúp việ c truy ề n d ữ li ệ u gi ữ a hai thi ế t b ị được nhanh hơn Trên băng tầ n 5GHz, Wi-Fi 802 11ac h ỗ tr ợ các kênh v ới độ r ộng băng thông 20MHz, 40MHz, 80MHz và tùy chọ n 160MHz Trong khi đó, 802 11n chỉ h ỗ tr ợ kênh 20MHz và 40MHz mà thôi Như đã nói ở trên, kênh 80MHz thì t ấ t nhiên ch ứa đượ c nhi ề u d ữ li ệu hơn là kênh 40MHz rồ i - Nhi ề u lu ồ ng d ữ li ệu hơn: Spatial stream là m ộ t lu ồ ng d ữ li ệu đượ c truy ền đi b ằ ng công ngh ệ đa ăng -ten MIMO Nó cho phép m ộ t thi ế t b ị có th ể phát đi cùng lúc nhi ề u tín hi ệ u b ằ ng cách s ử d ụ ng nhi ều hơn 1 ăng -ten 802 11n có th ể đảm đương tố i đa 4 spatial stream, còn vớ i Wi-Fi 802 11ac thì con s ố này được đẩy lên đế n 8 lu ồ ng Tương ứ ng v ới đó sẽ là 8 ăng -ten, còn g ắ n trong hay ngoài thì tùy nhà s ả n xu ất nhưng thườ ng h ọ s ẽ ch ọ n gi ả i pháp g ắn trong để đả m b ả o tính th ẩ m m ỹ - H ỗ tr ợ Multi user - MIMO: Ở Wi - Fi 802 11n, m ộ t thi ế t b ị có th ể truy ề n nhi ề u spatial stream nhưng ch ỉ nh ắ m đ ế n 1 đ ị a ch ỉ duy nh ấ t Đi ề u này có nghĩa là ch ỉ m ộ t thi ế t b ị (ho ặ c m ộ t ngư ờ i dùng) có th ể nh ậ n d ữ li ệ u ở m ộ t th ờ i đi ể m Ngư ờ i ta g ọ i đây là single - user MIMO (SU - MIMO) Còn v ớ i chu ẩ n 802 11ac, m ộ t kĩ thu ậ t m ớ i đư ợ c b ổ sung và o v ớ i tên g ọ i multi - user MIMO Nó cho phép m ộ t access point s ử d ụ ng nhi ề u ăng - ten đ ể truy ề n tín hi ệ u đ ế n nhi ề u thi ế t b ị (ho ặ c nhi ề u ngư ờ i dùng) cùng lúc và trên cùng m ộ t băng t ầ n Các thi ế t b ị nh ậ n s ẽ không ph ả i ch ờ đ ợ i đ ế n lư ợ t mình như SU - MIMO, t ừ đó đ ộ tr ễ s ẽ đư ợ c gi ả m xu ố ng đáng k ể - T ầ m ph ủ sóng r ộng hơn: Router dùng chu ẩ n 802 11ac s ẽ cho t ầ m ph ủ sóng r ộng đế n 90 mét, trong khi router dùng m ạ ng 802 11n có t ầ m ph ủ sóng ch ỉ kho ả ng 80 mét là t ối đa B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 7 1 1 2 7 M ộ t s ố chu ẩ n m ở r ộ ng 802 11h: Chu ẩ n này là m ộ t bi ế n th ể c ủ a 802 11a ở Châu Âu có thêm các đặ c tính t ối ưu 802 11i: Chu ẩ n này v ẫn đang đượ c phát tri ể n, nó là m ộ t lá ch ắ n b ả o v ệ để các chu ẩ n WLAN t ồ n t ạ i, nó s ẽ nâng cao m ức độ b ả o m ậ t b ằng cách như là mậ t hoá t ố t hơn và điề u khi ể n truy c ậ p 802 16: M ộ t b ả n phác th ả o c ủ a chu ẩ n WLAN cho m ạ ng thành ph ố (MAN) d ự a trên OFDM và s ử d ụng 802 11a làm cơ sở, đượ c công b ố vào tháng 4 năm 2002 802 16 h ỗ tr ợ ki ến trúc “point -to- multipoint” trong dả i t ầ n t ừ 10 đế n 66 GHz, t ốc độ d ữ li ệ u lên t ớ i 120Mbps 802 11e: c ả i thi ệ n ch ất lượ ng d ị ch v ụ , cho phép thi ế t l ậ p m ứ c độ ưu tiên 802 11x: V ề b ả o m ậ t WLAN và các l ớ p khác c ủ a các d ị ch v ụ c ụ th ể 802 11c: C ả i thi ệ n thao tác gi ữ a hai thi ế t b ị 802 11d: Chu ẩ n LAN/MAN, c ả i thi ện “roaming” (roaming là kh ả năng đưa mộ t thi ế t b ị không dây t ừ ph ạ m vi c ủ a m ột điể m truy c ậ p này t ớ i ph ạ m vi c ủ a m ột điể m truy c ậ p khác mà không làm m ấ t k ế t n ối) Nói cách khác “roaming” tức là “chuyể n vùng” 802 11f: Để điề u ch ỉ nh liên điể m truy c ậ p (regulate inter access point handoffs) 1 2 Giao th ứ c xác th ự c m ở r ộ ng 1 2 1 EAP-TLS (EAP-Transport Layer Security) EAP-TLS là m ột phương pháp xác thự c hai chi ều trong đó client và server phả i ch ứng minh đị nh danh c ủ a cho nhau Trong su ốt quá trình trao đổ i EAP-TLS, client g ử i ch ứ ng nh ậ n user c ủ a nó và server truy c ậ p t ừ xa ho ặ c server RADIUS g ử i ch ứ ng nh ậ n máy tính c ủ a nó N ế u m ộ t trong hai ch ứ ng nh ận không đượ c g ử i ho ặ c n ế u m ộ t ch ứ ng nh ậ n không h ợ p l ệ , k ế t n ố i s ẽ b ị k ế t thúc EAP-TLS là m ộ t trong s ố ít các giao th ứ c h ỗ tr ợ các ch ức năng: nhậ n th ự c qua l ạ i, mã hóa và qu ả n lý khóa d ự a trên các liên k ế t PPP đượ c mô t ả trong RFC 2716 EAP - TLS là s ự k ế th ừ a nh ững ưu điể m và s ự linh ho ạ t c ủ a EAP EAP-TLS s ử d ụ ng khoá ki ểm tra công khai TLS trong EAP để cung c ấ p vi ệ c xác th ự c l ẫ n nhau gi ữ a máy ch ủ và khách hàng V ớ i EAP-TLS, c ả máy ch ủ và khách hàng đề u ph ải đăng ký chữ ký d ạ ng s ố thông qua quy ề n ch ứ ng th ực (CA) để ki ể m tra B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 8 Các đặ c tính c ủ a EAP-TLS bao g ồ m: - Xác th ự c l ẫ n nhau (gi ữ a máy ch ủ và khách hàng) - Trao đổi khoá (để thi ế t l ập WEP độ ng và khoá TKIP) - Phân m ả nh và n ố i l ạ i (v ớ i b ả n tin EAP dài c ầ n có ph ầ n kích thướ c ki ể m tra n ế u c ầ n) - K ế t n ố i nhanh (thông qua TLS) 1 2 2 EAP-TTLS (EAP- Tunneled Transport Layer Security) EAP-TTLS (EAP - Tunneled TLS) là m ột phương pháp nhậ n th ự c EAP khác, cung c ấ p m ộ t s ố ch ức năng vượ t tr ộ i so v ớ i EAP-TLS Phương th ứ c EAP - TTLS cung c ấ p m ộ t lo ạ t các thu ộ c tính cho m ộ t b ả n tin như là b ả n tin RADIUS EAP - dùng v ậ n chuy ể n , EAP - TTLS có th ể cung c ấ p các ch ứ c năng như phương th ứ c PEAP Tuy nhiên n ế u m ậ t kh ẩ u c ủ a RADIUS ho ặ c CHAP s ẽ đư ợ c m ã hoá, thì TTLS có th ể b ả o v ệ đư ợ c các tính ch ấ t k ế th ừ a c ủ a RADIUS Khi máy ch ủ TTLS g ử i b ả n tin RADIUS t ớ i máy ch ủ t ạ i đích, nó s ẽ gi ả i mã các thu ộ c tính b ả o v ệ c ủ a EAP - TTLS và chèn chúng tr ự c ti ế p vào b ả n tin chuy ể n đi B ở i vì phương th ứ c này gi ố ng như PEAP, nên nó ít đư ợ c s ử d ụ ng hơn EAP - TTLS m ở r ộ ng s ự th ỏ a thu ậ n nh ậ n th ự c b ằ ng cách s ử d ụ ng liên k ế t an toàn đượ c thi ế t l ậ p b ởi TLS Handshake để trao đố i thông tin b ổ sung gi ữ a client và server Liên k ế t an toàn này s ẽ đượ c server s ử d ụng để nh ậ n th ự c Client trên h ạ t ầ ng nh ậ n th ự c có s ẵ n theo các giao th ứ c: PAP, CHAP, MS-CHAP v2 1 2 3 PEAP (Protected Extensible Authentication Protocol) Gi ống như chuẩ n TTLS, PEAP t ạ o kh ả năng xác thự c cho m ạ ng LAN không dây mà không yêu c ầ u xác th ực Để b ả o v ệ EAP (PEAP) thêm l ớ p TLS lên trên cùng EAP gi ống như EAP -TTLS, r ồi sau đó sử d ụ ng k ế t qu ả c ủa phiên TLS như phương ti ệ n v ậ n chuy ển để b ả o v ệ phương thứ c EAP PEAP s ử d ụng TLS để xác th ự c t ừ máy ch ủ t ớ i máy tr ạm nhưng không có chiều ngượ c l ại Theo phương thứ c này ch ỉ máy ch ủ yêu c ầ u khoá xác th ự c còn khách hàng thì không Máy ch ủ và máy tr ạm trao đổ i chu ỗ i thông tin mã hoá trong TLS, và b ản tin TLS đượ c xác th ự c và mã hoá s ử d ụng khoá đã đượ c thông qua gi ữ a hai bên PEAP cung c ấ p d ị ch v ụ cho phương thức EAP như sau: - B ả n tin xác nh ậ n (Nh ữ ng k ẻ t ấ n công s ẽ r ất khó khăn trong việ c chèn vào b ả n tin EAP) B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 9 - Mã hoá b ả n tin (Nh ữ ng k ẻ t ấ n công s ẽ không th ể đọ c và gi ả i mã b ả n tin EAP) - Xác th ự c t ừ máy ch ủ đế n khách hàng (vì th ế phương thứ c này ch ỉ c ầ n b ả o v ệ xác th ự c t ừ khách hàng t ớ i máy ch ủ ), Trao đổi khoá (để thi ế t l ậ p cho WEP độ ng ho ặ c khoá TKIP) - Phân m ả nh và ghép l ạ i (c ầ n thi ế t n ế u b ả n tin EAP dài) - Thi ế t l ậ p k ế t n ố i nhanh (thông qua phiên TLS ) Phương pháp nhậ n th ự c PEAP mang l ạ i m ộ t s ố l ợ i ích b ả o m ật như sau: - B ả o v ệ nh ậ n d ạ ng - B ả o v ệ quá trình thương lượ ng và k ế t thúc - B ả o v ệ header 1 2 4 LEAP (Lightweight Extensible Authentication Protocol) LEAP là giao th ứ c xác th ự c m ở r ộ ng d ự a trên vi ệ c xác th ự c l ẫn nhau, có nghĩa là c ả người dùng và điể m truy c ập đề u ph ả i xác th ực trướ c khi truy c ậ p m ạ ng Vi ệ c xác th ự c l ẫ n nhau nh ằ m m ục đích chố ng l ạ i s ự truy c ậ p trái phép vào m ạ ng LEAP d ự a trên cơ sở tên và m ậ t kh ẩ u V ớ i LEAP, khoá b ả o m ật thay đổi độ ng tu ỳ theo phiên làm vi ệ c nh ằ m m ục đích h ạ n ch ế vi ệ c l ự a ch ọ n gói ti n để gi ả i mã t ừ bên ngoài Khi m ộ t khoá m ới đượ c phát ra thông qua LEAP s ử d ụ ng s ự chia s ẻ bí m ậ t gi ữa ngườ i s ử d ụng và điể m truy c ậ p B ở i vì LEAP là giao th ứ c c ủ a Cisco nên nó ch ỉ đượ c s ử d ụng cho điể m truy c ậ p c ủ a Cisco LEAP cũng thêm mộ t m ứ c b ả o m ậ t khác cho m ạ ng thông qua vi ệ c xác th ự c các k ế t n ố i trên toàn m ạng trước khi cho phép các gói tin đế n các thi ế t b ị không dây Vi ệc thay đổ i c ặ p khoá bí m ậ t và xác th ực ngườ i s ử d ụng cho phép tăng tính bả o m ậ t cho d ữ li ệ u 1 2 5 EAP-FAST (EAP- Flexible Authentication via Secure Tunneling) S ự xác th ực linh động thông qua đườ ng h ầ m an toàn (FAST) c ủ a EAP là sáng ki ến tương đố i m ớ i c ủ a IETF Ý tưởng cơ sở c ủ a giao th ứ c này là tránh vi ệ c s ử d ụ ng gi ấ y phép EAP-FAST thi ế t l ập đườ ng h ầ m d ự a trên gi ấ y ủ y quy ề n truy c ập đượ c b ả o v ệ (PAC) mà có th ể đượ c qu ả n lý t ự độ ng b ở i EAP-FAST thông qua server AAA Phương pháp này cũng có hai giai đoạ n v ới giai đoạ n 0 là tùy ý Giai đoạn tùy ý 0 đượ c s ử d ụng không thường xuyên Trong giai đoạ n này gi ấ y ủ y quy ền người dùng đượ c sinh ra m ộ t cách b ảo đả m gi ữa ngườ i dùng và m ạ ng Gi ấ y ủ y quy ền này, đượ c bi ết như là PAC, đượ c s ử d ụng trong giai đoạ n m ộ t B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 10 Giai đoạ n m ộ t thi ế t l ậ p m ộ t kênh gi ữ a tr ạm và server AAA PAC đượ c s ử d ụ ng cho các m ục đích xác thự c Đườ ng h ầ m t ạ o ra ở giai đoạ n m ột đượ c s ử d ụng trong giai đoạ n hai để th ự c thi xác th ực client an toàn Ngườ i dùng g ử i tên và m ậ t kh ẩu trong giai đoạ n này EAP-FAST h ỗ tr ợ cơ chế b ả o v ệ : - MitM (Man - in - the - Middle ), t ấ n công truy ề n l ạ i, và các t ấ n công t ừ đi ể n - T ấ n công IV: là m ộ t chu ỗ i nh ị phân gi ả ng ẫ u nhiên (pseudo random binary) đượ c s ử d ụng để kh ở i t ạ o cho quy trình mã hoá 1 2 6 So sánh các phương thứ c xác th ự c m ở r ộ ng B ảng 1 1: So sánh các phương thứ c xác th ự c m ở r ộ ng TLS, TTLS LEAP EAP - FAST PEAP Tính tương h ổ Có Có Có Có T ự b ả o v ệ Có Có Có Có Kh ả năng ch ố ng t ấ n công t ừ đi ể n Có Không Có (h ỗ tr ợ b ả o v ệ : T ấ n công MitM , T ấ n công IV , T ấ n công truy ề n l ạ i ) Có Phát sinh khoá b ả o v ệ phiên Có Có Có Có Đ ộ an toàn Cao Y ế u Cao Cao Yêu c ầ u server g i ấ y ch ứ ng nh ậ n Không Không Không Có Yêu c ầ u client gi ấ y ch ứ ng nh ậ n Có Không Không Không Nhanh chóng và hi ệ u qu ả Không Có Không Thu ậ n ti ệ n cho ngư ờ i dùng Không ( Ch ỉ gi ấ y ch ứ ng nh ậ n đư ợ c lưu trên máy client) Có Có Có H ỗ tr ợ qu ả ng bá AP Có Không Có Có Y ế u t ố k ế th ừ a Có Không Có Có Xác th ự c l ạ i nhanh Có Không Có Có B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 11 1 3 Các gi ả i pháp b ả o m ậ t m ạ ng không dây 1 3 1 WEP WEP (Wired Equivalen Privacy) có nghĩa là bả o m ật không dây tương đương v ớ i có dây Th ực ra, WEP đã đưa cả xác th ực người dùng và đả m b ả o an toàn d ữ li ệ u vào cùng m ột phương thứ c không an toàn WEP s ử d ụ ng m ộ t khóa mã hóa không thay đổi có độ dài 64 bit ho ặc 128 bit, (nhưng trừ đi 24 bit sử d ụ ng cho vector kh ở i t ạ o khóa mã hóa, nên độ dài khóa ch ỉ còn 40 bit ho ặc 104 bit) đượ c s ử d ụng để xác th ự c các thi ế t b ị đượ c phép truy c ậ p vào trong m ạng và cũng đượ c s ử d ụng để mã hóa truy ề n d ữ li ệ u Đặ c tính c ủ a WEP: - Điề u khi ể n truy c ập, ngăn chặ n s ự truy c ậ p c ủ a nh ữ ng client không có khóa phù h ợ p - S ự b ả o m ậ t nh ằ m b ả o v ệ d ữ li ệ u m ạ ng b ằ ng cách mã hóa chúng và ch ỉ cho nh ững client nào có đúng khóa WEP giả i mã R ất đơn giả n, các khóa mã hóa này d ễ dàng b ị “bẻ gãy” bở i thu ậ t toán brute- force và ki ể u t ấ n công th ử l ỗ i (tria-and-error) Các ph ầ n m ề m mi ễ n phí như Aircrack - ng, Airsnort, ho ặ c WEP crack s ẽ cho phép hacker có th ể phá v ỡ khóa mã hóa n ế u h ọ thu th ậ p t ừ 5 đế n 10 tri ệ u gói tin trên m ộ t m ạ ng không dây V ớ i nh ữ ng khóa mã hóa 128 bit cũng không khá hơn: 24 bit cho khở i t ạ o mã hóa nên ch ỉ có 104 bit đượ c s ử d ụ ng D ụ ng c ụ để mã hoá và cách th ức cũng giống như mã hóa có độ dài 64 bit nên mã hóa 128 bit cũng dễ dàng b ị b ẻ khóa Ngoài ra, nh ững điể m y ế u trong nh ữ ng vector kh ở i t ạ o khóa mã hoá giúp cho hacker có th ể tìm ra m ậ t kh ẩu nhanh hơn vớ i ít gói thông tin hơn rấ t nhi ề u Không d ự đoán đượ c nh ữ ng l ỗ i trong khóa mã hóa WEP có th ể t ạ o ra cách b ả o m ậ t m ạ nh m ẽ hơn nế u s ử d ụ ng m ộ t giao th ứ c xác th ự c mà cung c ấ p m ỗ i khóa mã hóa m ớ i cho m ỗ i phiên làm vi ệ c Khóa mã hóa s ẽ thay đổ i trên m ỗ i phiên làm vi ệ c Điề u này s ẽ gây khó khăn hơn cho hacker thu thập đủ các gói d ữ li ệ u c ầ n thi ết để có th ể b ẽ gãy khóa b ả o m ậ t 1 3 2 WLAN – VPN VPN thường được dùng để k ế t n ối các văn phòng chi nhánh (branch -office), B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 12 các ngườ i dùng t ừ xa (mobile users) v ề văn phòng chính Thay vì dùng k ế t n ố i th ậ t khá ph ứ c t ạp như đườ ng dây thuê bao s ố , VPN t ạ o ra các liên k ế t ảo đượ c truy ề n qua Internet gi ữ a m ạ ng riêng c ủ a m ộ t t ổ ch ứ c v ớ i địa điể m ho ặc ngườ i s ử d ụ ng ở xa M ạ ng riêng VPN b ả o v ệ m ạ ng WLAN b ằ ng cách t ạ o ra m ộ t kênh che ch ắ n d ữ li ệ u kh ỏ i các truy c ậ p trái phép VPN t ạ o ra m ộ t tin c ậ y cao thông qua vi ệ t s ử d ụ ng m ột cơ chế b ả o m ật như IPSec (Internet Protocol Security) IPSec để mã hóa d ữ li ệ u và dùng các thu ật toán khác để xác th ự c gói d ữ li ệ u, IPS ec cũng sử d ụ ng th ẻ xác nh ậ n s ố để xác nh ậ n khóa mã (Public K ey) Khi đượ c s ử d ụ ng trên m ạng WLAN, VPN đả m nh ậ n vi ệ c xác th ực, đóng gói và mã hóa VNP cung c ấ p 3 ch ức năng chính: - Cung c ấ p truy nh ậ p t ừ xa t ớ i tài nguyên c ủ a t ổ ch ứ c m ọ i lúc, m ọi nơi - K ế t n ối các chi nhánh văn phòng vớ i nhau - Ki ể m soát truy nh ậ p c ủ a khách hàng, nhà cung c ấ p và các th ự c th ể bên ngoài t ớ i nh ữ ng tài nguyên c ủ a t ổ ch ứ c L ợ i ích c ủ a VNP: Đố i v ớ i khách hàng: - Gi ả m thi ể u chi phí s ử d ụ ng so v ớ i vi ệ c k ế t n ố i m ạ ng di ệ n r ộ ng dùng các kênh thuê riêng - Gi ả m thi ể u chi phí kênh k ế t n ối đườ ng dài - Gi ả m thi ể u vi ệ c thi ế t k ế và qu ả n lý m ạ ng, gi ả m thi ể u vi ệc lãng phí băng thông, khách hàng có kh ả năng trả theo cước lưu lượ ng s ử d ụ ng Đố i v ớ i nhà cung c ấ p d ị ch v ụ : - Tăng doanh thu từ lưu lượ ng s ử d ụng cũng như xuấ t phát t ừ các d ị ch v ụ gia tăng giá trị khác kèm theo - Tăng hiệ u qu ả s ử d ụ ng m ạ ng Internet hi ệ n t ạ i - Kéo theo kh ả năng tư vấ n thi ế t k ế t m ạng cho khách hàng đâ y là m ộ t y ế u t ố quan tr ọ ng t ạ o ra m ố i quan h ệ g ắ n bó gi ữ a nhà cung c ấ p d ị ch v ụ v ới khách hàng đặ c bi ệ t là các khách hàng l ớ n - Đầu tư không lớ n hi ệ u qu ả đem lạ i cao, m ở ra lĩnh vự c kinh doanh m ới đố i v ớ i nhà cung c ấ p d ị ch v ụ B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 13 Hình 1 1: Mô hình VLAN VNP 1 3 3 AES Chu ẩ n mã hóa d ữ li ệ u tiên ti ế n AES (Advanced Encryption Standard) là m ộ t h ệ mã khóa bí m ậ t có tên là Rijdael (do hai nhà m ậ t mã h ọc ngườ i B ỉ là Joan Daemen và Vincent Rijmen đưa ra và trở thành chu ẩ n t ừ năm 2002) cho phép xử lý các kh ố i d ữ li ệ u inpu t có kích thướ c 128 bit s ử d ụng các khóa có độ dài 128, 192 ho ặ c 256 bit H ệ mã Rijdael đượ c thi ế t k ế để có th ể làm vi ệ c v ớ i các khóa và các kh ố i d ữ li ệu có độ dài l ớn hơn tuy nhiên khi đượ c ch ọ n là m ộ t chu ẩ n do Ủ y ban tiêu chu ẩ n c ủ a Hoa K ỳ đưa ra năm 2001, nó được qui đị nh ch ỉ làm vi ệ c v ớ i các kh ố i d ữ li ệ u 128 bit và các khóa có độ dài 128, 192 ho ặc 256 bit (do đó còn đặ t cho các tên AES-128, AES-192, AES-256 tương ứ ng v ới độ dài khóa s ử d ụ ng)  Đánh giá thuậ t toán: - Thu ậ t toán AES thích h ợ p cho vi ệ c tri ể n khai trên nhi ề u h ệ th ố ng khác nhau, không ch ỉ trên các máy tính cá nhân, mà c ả trên các h ệ th ố ng th ẻ thông minh - Ngoài ra, t ấ t c ả các bướ c x ử lý c ủ a vi ệ c mã hóa và gi ải mã đều đượ c thi ế t k ế thích h ợ p v ới cơ chế x ử lý song song nên AES càng ch ứ ng t ỏ th ế m ạ nh c ủ a mình trên các h ệ th ố ng thi ế t b ị m ớ i - Do đặ c tính c ủ a vi ệ c x ử lý thao tác trên t ừ ng byte d ữ li ệ u nên không có s ự khác bi ệt nào được đặ t ra khi tri ể n khai trên h ệ th ố ng big-endian hay little-endian  Ưu điể m: - AES đã đượ c chính ph ủ Hoa k ỳ tuy ế n b ố là có độ an toàn cao, và đã đượ c s ử d ụ ng thông tin m ậ t - AES có mô t ả toán h ọc đơn giả n - C ấu trúc rõ ràng đơn giả n B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 14  Nhược điể m - C ấ u trúc toán h ọ c c ủ a AES có mô t ả toán h ọc khá đơn giản Tuy điề u này chưa d ẫn đế n m ố i nguy hi ểm nào nhưng mộ t s ố nhà nghiên c ứ u s ợ r ằ ng s ẽ có ngườ i l ợ i d ụng đượ c c ấu trúc này trong tương lai - Độ l ớ n c ủ a khóa mã có th ể thay đổ i linh ho ạ t t ừ 128 đế n 256 bit S ố lượ ng chu k ỳ có th ể được thay đổ i tùy thu ộ c vào yêu c ầu riêng được đặ t ra cho t ừ ng ứ ng d ụ ng và h ệ th ố ng c ụ th ể - D ạ ng t ấ n công lên AES duy nh ấ t thành công là t ấ n công kênh bên (side channel attack) 1 3 4 WPA WEP đượ c xây d ựng để b ả o v ệ m ộ t m ạ ng không dây tránh b ị nghe tr ộm Nhưng nhanh chóng sau đó ngườ i ta phát hi ệ n ra nhi ề u l ỗ h ổ ng công ngh ệ này Do đó công ngh ệ m ớ i có tên g ọ i WPA (Wi- Fi Protected Access) ra đờ i, kh ắ c ph ục đượ c nhi ề u nhược điể m c ủ a WEP Trong nh ữ ng c ả i ti ế n quan tr ọ ng nh ấ t c ủ a WPA là s ử d ụng hàm thay đổ i khóa TKIP WPA cũng sử d ụ ng thu ật toán RC4 như WEP, nhưng mã hóa đầy đủ 128 bit Và m ột đặc điểm khác là WPA thay đổ i khóa cho m ỗ i gói tin Các công c ụ thu th ậ p các gói tin để khóa phá mã hóa đề u không th ể th ự c hi ện đượ c v ớ i WPA B ở i WPA thay đổ i khóa liên t ụ c nên hacker không bao gi ờ thu th ập đủ d ữ li ệ u m ẫu để tìm ra m ậ t kh ẩ u Không nh ữ ng th ế WPA còn bao g ồ m c ả tính toàn v ẹ n c ủ a thông tin (Message Integrity check) Vì v ậ y, d ữ li ệ u không th ể b ị thay đổi trong khi đang ở trên đườ ng truy ề n WPA có s ẵ n 2 l ự a ch ọ n: WPA Personal và WPA Enterprise C ả 2 l ự a ch ọ n đ ề u s ử d ụ ng gia o th ứ c TKIP, và s ự khác bi ệ t ch ỉ là khóa kh ở i t ạ o mã hóa lúc đ ầ u WPA Personal thích h ợ p cho gia đình và m ạ ng văn phòng nh ỏ , khóa kh ở i t ạ o s ẽ đư ợ c s ử d ụ ng t ạ i các đi ể m truy c ậ p và thi ế t b ị máy tr ạ m Trong khi đó, WPA cho doanh nghi ệ p c ầ n m ộ t máy ch ủ xác th ự c và 802 1x đ ể cung c ấ p các khóa kh ở i t ạ o cho m ỗ i phiên làm vi ệ c Lưu ý: - Có m ộ t l ỗ h ổ ng trong WPA và l ỗ i này ch ỉ x ả y ra v ớ i WPA Personal Khi mà s ử d ụng hàm thay đổi khóa TKIP đượ c s ử d ụng để t ạo ra các khóa mã hóa chưa phát hiệ n, n ế u hacker có th ể đoán đượ c khóa kh ở i t ạ o ho ặ c m ộ t ph ầ n c ủ a m ậ t kh ẩ u, h ọ có th ể xác B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 15 định đượ c toàn b ộ m ậ t kh ẩu, do đó có thể gi ải mã đượ c d ữ li ệ u Tuy nhiên, l ổ h ỏ ng này cũng sẽ đượ c lo ạ i b ỏ b ằ ng cách s ử d ụ ng nh ữ ng khóa kh ở i t ạ o không d ễ đoán (đừ ng s ử d ụ ng nh ữ ng t ừ như “P@SSWORD” để làm m ậ t kh ẩ u) - Điều này cũng có nghĩa rằ ng th ủ thu ậ t TKIP c ủ a WPA ch ỉ là gi ả i pháp t ạ m th ờ i, chưa cung cấ p m ột phương thứ c b ả o m ậ t cao nh ấ t WPA ch ỉ thích h ợ p v ớ i nh ữ ng công ty mà không truy ề n d ữ li ệu “mật” về thương mạ i hay các thông tin nh ạ y c ảm…WPA cũng thích hợ p v ớ i nh ữ ng ho ạt độ ng h ằ ng ngày và mang tính th ử nghi ệ m công ngh ệ 1 3 5 WPA/2 M ộ t gi ả i pháp v ề lâu dài là s ử d ụng 802 11i tương đương với WPA2, đượ c ch ứ ng nh ậ n b ở i Wi-Fi Alliance Chu ẩ n này s ử d ụ ng thu ậ t toán mã hóa m ạ nh m ẽ và đượ c g ọ i là Chu ẩ n mã hóa nâng cao AES AES s ử d ụ ng thu ật toán mã hóa đố i x ứ ng theo kh ố i Rijndael, s ử d ụ ng kh ố i mã hóa 128 bit, và 192 bit ho ặc 256 bit Để đánh giá chu ẩ n mã hóa này, Vi ệ c nghiên c ứ u qu ố c gia v ề Chu ẩ n và Công ngh ệ c ủ a M ỹ , NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đố i x ứ ng này L ợ i ích c ủ a WPA2: WPA2 gi ả i quy ết đượ c các l ỗ h ỗ ng c ủa WEP như tin tặ c t ấ n công ki ểu như đơn v ị trung gian “man in the middle” giả i mã xác th ự c, tái g ử i nh ậ n (replay), khóa y ế u (weak keys), gi ả m ạo gói tin (packet forging), xung độ t khóa (key collision) B ằ ng vi ệ c s ử d ụ ng mã hóa AES và xác th ự c 802 1X/EAP, WPA2 nâng cao c ả i thi ện năng l ự c so v ớ i WPA s ử d ụ ng mã hóa TKIP và xác th ự c 802 1X/EAP Hơn nữa, WPA2 cũng bổ sung hai ch ức năng nâng cao cho việ c h ỗ tr ợ chuy ể n vùng không dây (roaming of wireless) khi máy khách di chuy ể n gi ữa các điể m truy c ậ p AP: - H ỗ tr ợ lưu trữ PMK (Pair-wise Master Key) – cho phép tái k ế t n ố i t ớ i AP, máy khách k ế t n ố i mà không c ầ n tái xác th ự c (re-authenticate) - H ỗ tr ợ xác th ực trướ c (Pre-authentication) – cho phép m ộ t máy khách xác th ực trướ c t ớ i m ộ t AP chu ẩ n b ị chuy ể n t ớ i, trong khi v ẫn đang duy trì kế t n ố i v ớ i AP khác đang di chuyể n ra xa Vi ệ c h ỗ tr ợ lưu trữ PMK và xác th ự c cho phép WPA2 gi ả m th ờ i gian chuy ể n vùng t ừ m ộ t giây t ới ít hơn 1/10 giây Lợ i ích c ủ a vi ệ c chuy ể n vùng nhanh WPA2 có th ể h ỗ tr ợ các ứ ng d ụng đòi hỏ i v ề th ời gian như Citrix, video, thoạ i trên n ề n IP (voice B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 16 over IP) không b ị gián đoạ n khi chuy ể n vùng 1 3 6 L Ọ C (Filltering) L ọ c (Filtering) là m ột cơ chế b ả o m ật căn bả n mà có th ể dùng b ổ sung cho WEP và AES L ọc theo nghĩa đen là chặ n nh ữ ng gì không mong mu ố n và cho phép nh ững gì đượ c mong mu ố n Filter làm vi ệ c gi ống như là mộ t danh sách truy nh ậ p trên router: b ằng cách xác đị nh các tham s ố mà các tr ạ m ph ải gán vào để truy c ậ p m ạ ng V ớ i WLAN thì vi ệc đó xác đị nh xem các máy tr ạ m là ai và ph ả i c ấu hình như thế nào Có ba lo ại căn bả n c ủ a Filtering có th ể th ự c hi ệ n trên WLAN: - L ọ c SSID - L ọc đị a ch ỉ MAC - L ọ c giao th ứ c 1 3 6 1 L ọ c SSID L ọc SSID là phương thức cơ bả n c ủ a l ọ c và ch ỉ nên đượ c s ử d ụ ng trong vi ệ c điề u khi ể n truy c ập cơ bả n SSID (Service Set Identifier) ch ỉ là m ộ t thu ậ t ng ữ khác cho tên m ạ ng SSID c ủ a client ph ả i kh ớ p v ớ i SSID c ủa AP để có th ể xác th ự c và k ế t n ố i v ớ i t ậ p d ị ch v ụ SSID đượ c qu ảng bá mà không đượ c mã hóa trong các Beocon nên r ấ t d ễ b ị phát hi ệ n b ằ ng cách s ử d ụ ng các ph ầ n m ề m L ọ c SSID đư ợ c coi là m ộ t phương pháp không tin c ậ y trong vi ệ c h ạ n ch ế nh ữ ng ngư ờ i s ử d ụ ng trái phép c ủ a m ộ t WLAN M ộ t s ố sai l ầ m mà ngư ờ i s ử dung WLAN m ắ c ph ả i trong qu ả n lí SSSID g ồ m: - S ử d ụ ng giá tr ị SSID m ặc đị nh t ạo điề u ki ệ n cho hacker dò tìm đị a ch ỉ MAC c ủ a AP - S ử d ụ ng SSID có liên quan đế n công ty - S ử d ụng SSID như là phương thứ c b ả o m ậ t c ủ a công ty - Qu ả ng bá SSID m ộ t cách không c ầ n thi ế t 1 3 6 2 L ọc đị a ch ỉ MAC Trước khi nề n công nghi ệp Wi - Fi giải quyết được những vấn đề và thi ếu sót của WEP (wireless encryption protocol) - công nghệ bả o m ậ t b ằ ng mã hóa, nhi ề u chuyên gia khuy ế n cáo s ử d ụng thêm cơ chế l ọc đị a ch ỉ MAC nhằm tăng cườ ng b ả o m ậ t M ỗ i thi ế t b ị Wi- Fi đượ c gán duy nh ấ t m ột đị a ch ỉ MAC (Media Access B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 17 Control) g ồ m 12 ch ữ s ố th ậ p l ục phân Đị a ch ỉ MAC là ph ầ n “ngầm” của thiết bị ph ầ n c ứng và đượ c g ử i t ự độ ng t ới điể m truy c ậ p Wi-Fi m ỗ i khi thi ế t b ị k ế t n ố i vào m ạ ng S ử d ụng trình quản lý cấ u hình của điể m truy c ậ p (Access Point - AP), Có th ể lập được mộ t danh sách thi ế t b ị an toàn (đượ c phép truy xu ấ t vào m ạ ng) hay danh sách thi ế t b ị không được phép truy xuấ t vào m ạ ng (black list – danh sách đen) Nế u b ộ l ọ c đị a ch ỉ MAC đượ c kích ho ạ t, AP ch ỉ cho phép các thi ế t b ị trong danh sách an toàn đượ c k ế t n ố i vào m ạ ng và c ấ m t ấ t c ả thi ế t b ị trong danh sách đen truy xuấ t vào m ạ ng, ngay c ả khi b ạ n có khóa k ế t n ố i, b ấ t k ể b ạn đang sử d ụ ng giao th ứ c k ế t n ố i nào Hình 1 2: L ọc đị a ch ỉ MAC H ầ u h ế t các AP đề u có ch ức năng lọc đị a ch ỉ MAC Ngườ i qu ả n tr ị xây d ự ng danh sách các đị a ch ỉ MAC đượ c cho phép N ếu client có đị a ch ỉ MAC không n ằ m trong danh sách l ọc đị a ch ỉ MAC c ủ a AP thì AP s ẽ ngăn chặn không cho phép client đó kế t n ố i vào m ạ ng N ế u công ty có nhi ề u client thì có th ể xây d ự ng máy ch ủ RADIUS có ch ứ c năng lọc đị a ch ỉ MAC thay vì AP C ấ u hình l ọc đị a ch ỉ MAC là gi ả i pháp b ả o m ậ t có tính m ở r ộ ng cao 1 3 6 3 L ọ c giao th ứ c M ạ ng Lan không dây có th ể l ọc các gói đi qua mạ ng d ự a trên các giao th ứ c t ừ l ớ p 2 đế n l ớ p 7 Trong nhi ều trườ ng h ợp ngườ i qu ả n tr ị nên cài đặ t l ọ c giao th ứ c trong môi trườ ng dùng chung Trong hoàn c ả nh m ộ t nhóm c ầ u n ố i không dây đư ợ c đ ặ t trên m ộ t Remote building trong m ộ t m ạ ng WLAN c ủ a m ộ t trư ờ ng đ ạ i h ọ c mà k ế t n ố i l ạ i t ớ i AP c ủ a tòa nhà k ỹ thu ậ t trung tâm Vì t ấ t c ả nh ữ ng ngư ờ i s ử d ụ ng trong remote building chia s ẻ băng thông 5 Mpbs gi ữ a nh ữ ng tòa nhà này, nên m ộ t s ố lư ợ ng đáng k ể các đi ề u khi ể n trên các s ử d ụ ng này ph ả i đư ợ c th ự c hi ệ n N ế u các k ế t n ố i này đư ợ c cài đ ặ t v ớ i m ụ c đích đ ặ c bi ệ t c ủ a s ự truy nh ậ p internet c ủ a ngư ờ i s ử d ụ ng, thì b ộ l ọ c giao th ứ c s ẽ lo ạ i tr ừ t ấ t c ả các giao th ứ c, ngo ạ i tr ừ SMTP, POP3, HTTP, HTTPS, FTP B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 18 1 3 7 M ộ t s ố gi ả i pháp b ả o m ậ t WLAN - Đố i v ới các điể m truy c ậ p t ự độ ng (hotspots), vi ệ c mã hoá không c ầ n thi ế t, ch ỉ c ần ngườ i dùng xác th ự c mà thôi - V ới ngườ i dùng s ử d ụ ng m ạ ng WLAN cho gia đình, m ộ t phương th ứ c b ả o m ậ t v ớ i WPA passphare hay preshared key đư ợ c khuy ế n cáo s ử d ụ ng - V ớ i gi ả i pháp doanh nghi ệp, để t ối ưu quá trì nh b ả o m ậ t v ớ i 802 1X EAP làm phương t h ứ c xác th ực và TKIP hay AES làm phương thức mă hoá Đượ c d ự a theo chu ẩ n WPA hay WPA2 và 802 11i se curity - B ả o m ậ t m ạ ng WLAN cũng tương tự như bả o m ậ t cho các h ộ th ố ng m ạ ng khác B ả o m ậ t h ệ th ố ng ph ải đượ c áp d ụ ng cho nhi ề u t ầ ng, các thi ế t b ị nh ậ n d ạ ng phát hi ệ n t ấ n công ph ải đượ c tri ể n khai Gi ớ i h ạ n các quy ề n truy c ậ p t ố i thi ể u cho nh ừng ngườ i dùng c ầ n thi ế t D ữ li ệu đượ c chia s ẻ và yêu c ầ u xác th ự c m ớ i cho phép truy c ậ p D ữ li ệ u truy ề n ph ải đượ c mã hóa - K ẻ t ấ n công có th ể t ấ n công m ạ ng WLAN không b ả o m ậ t b ấ t c ứ lúc nào Vì v ậ y c ầ n có m ột phương án triể n khai h ợ p lý - Ph ải ước lượng được các nguy cơ b ả o m ậ t và các m ức độ b ả o m ậ t c ầ n thi ế t để áp d ụ ng - Đánh giá đượ c toàn b ộ các giao ti ế p qua WLAN và các phương thứ c b ả o m ậ t c ần đượ c áp d ụ ng - Đánh giá đượ c các công c ụ và các l ự a ch ọ n khi thi ế t k ẻ v ề tri ề n khai m ạ ng WLAN - Trong khi s ử d ụ ng VPN Fix qua các k ế t n ố i WLAN có th ể là m ột ý tưở ng hay và cũ ng s ẽ là m ột hướng đi đúng Nhưng sự không thu ậ n ti ện cũng như giá cả và tăng lưu lượ ng m ạng cũng là rào cả n c ầ n vượ t qua S ự chuy ển đổ i sang 802 11i và mã hoá AES đem lạ i kh ả năng bả o m ậ t cao nh ất Nhưng các t ổ ch ứ c , cơ quan vẫn đang sử d ụ ng hàng nghìn nh ữ ng card m ạ ng WLAN không h ỗ tr ợ chu ẩn này Hơn nữ a AES không h ỗ tr ợ các thi ế t b ị c ầ m tay và máy quét mã v ạ ch ho ặ c các thi ế t b ị khác Đó là nh ữ ng gi ớ i h ạ n khi l ự a ch ọ n 802 11i B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 19 CHƯƠNG II : TÌM HI Ể U V Ề GIAO TH Ứ C XÁC TH Ự C RADIUS 2 1 T ổ ng quan v ề giao th ứ c RADIUS 2 1 1 Gi ớ i thi ệ u v ề RADIUS Giao th ức Remote Authentication Dial In User Service (RADIUS) được đị nh nghĩa trong RFC 2865 được đưa ra với định nghĩa: Vớ i kh ả năng cung cấ p xác th ự c t ậ p trung, c ấp phép và điề u khi ể n truy c ậ p (Authentication, Authorization, và Access Control – AAA) cho các phiên làm vi ệ c v ớ i SLIP và PPP Dial-up – như việ c cung c ấ p xác th ự c c ủ a các nhà cung c ấ p d ị ch v ụ Internet (ISP) đề u d ự a trên giao th ức này để xác th ực ngườ i dùng khi h ọ truy c ậ p Internet Nó c ầ n thi ế t trong t ấ t c ả các Network Access Server (NAS) để làm vi ệ c v ớ i danh sách các username và password cho vi ệ c c ấ p phép, RADIUS Access-Request s ẽ chuy ể n các thông tin t ớ i m ộ t Authentication Server, thông thườ ng nó là m ộ t AAA Server (AAA – Authentication, Authoriztion, và Accounting) Trong ki ế n trúc c ủ a h ệ th ố ng nó t ạ o ra kh ả năng tậ p trung các d ữ thông tin c ủa người dùng, các điề u ki ệ n truy c ậ p trên m ột điể m duy nh ấ t (single point), cung c ấ p gi ả i pháp NAS Có 2 lo ạ i giao th ứ c RADIUS:  Giao th ứ c RADIUS 1: Xác nh ậ n quy ề n (authentication), phân quy ề n (authorization), thông tin c ấ u hình gi ữ a máy ch ủ qu ả n lý truy c ậ p (NAS- Network Access Server) mà có các yêu c ầ u c ầ n xác nh ậ n và máy ch ủ xác nh ậ n quy ề n dùng chung (Shared Authentication Server)  Giao th ứ c RADIUS 2: Thông tin v ề tài kho ả n gi ữ a NAS và máy ch ủ qu ả n lý tài kho ả n dùng chung 2 1 2 Tính ch ấ t c ủ a RADIUS RADIUS th ự c ra là m ộ t giao d ị ch đượ c xây d ự ng trên giao th ứ c có các tính ch ấ t chính như sau: N ếu như yêu cầ u (request) g ử i t ớ i máy ch ủ xác nh ậ n quy ền sơ cấ p (primary authentication server) th ấ t b ạ i, thì yêu c ầ u này ph ải đượ c g ử i t ớ i máy ch ủ sơ cấ p (secondary server) Để th ự c hi ệ n yêu c ầ u này ph ả i có timers (b ộ t ạ o th ờ i gian) cho vi ệ c truy ề n l ạ i (retransmission) Các đòi hỏ i v ề th ờ i gian c ủ a RADIUS r ấ t khác bi ệ t so v ớ i TCP M ộ t m ặ t, RADIUS không yêu c ầu “câu trả l ời” (responsive) về vi ệ c dò tìm d ữ li ệ u b ị m ấ t User B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 20 s ẵ n sàng ch ờ trong nhi ề u giây để cho vi ệ c xác nh ậ n quy ền đượ c hoàn thành Vi ệ c truy ề n l ại thườ ng x ảy ra đố i v ớ i các TCP d ự a trên th ờ i gian truy ề n nh ậ n trung bình không c ầ n thi ế t n ữ a, k ể c ả th ờ i gian hao t ổ n cho vi ệ c nh ậ n bi ế t ph ả n h ồ i v ề M ặ t khác, user không th ể ch ờ đợ i quá lâu trong nhi ề u phút cho vi ệ c xác nh ậ n quy ề n Vi ệ c ph ả i ch ờ đợ i quá lâu là không h ữ u ích Vi ệ c s ử d ụ ng luân phiên nhanh chóng các server s ẽ cho phép user truy c ập đượ c vào m ạng trướ c khi h ọ b ỏ cu ộ c Tr ạ ng thái r ấ t t ự do c ủa RADIUS đã đơn giả n hóa vi ệ c s ử d ụ ng UDP Các client và server có th ể đăng ký vào hoặ c ra kh ỏ i m ạ ng H ệ th ố ng b ị kh ởi độ ng l ạ i vì m ột lý do nào đó, như: Nguồn điệ n b ị m ất…Các sự ki ệ n b ất thườ ng n

TỔNG QUAN VỀ MẠNG KHÔNG DÂY

Tổng quan về mạng không dây

1.1.1 Giới thiệu về mạng không dây cục bộ

1.1.1.1 Mạng không dây là gì?

Mạng LAN không dây viết tắt là WLAN (Wireless Local Area Network) hay

WIFI (Wireless Fidelity), là một mạng dùng để kết nối hai hay nhiều máy tính với nhau mà không sử dụng dây dẫn WLAN dùng công nghệ trải phổ, sử dụng sóng vô tuyến cho phép truyền thông giữa các thiết bị trong một vùng nào đó gọi là Basic

Service Set Đây là một giải pháp có rất nhiều ưu điểm so với kết nối mạng có dây (Wired network) truyền thống Người dùng vẫn duy trì kết nối với mạng khi di chuyển trong vùng phủ sóng

1.1.1.2 Lịch sử hình thành và phát triển của mạng không dây

Năm 1990, công nghệ WLAN lần đầu tiên xuất hiện, khi những nhà sản xuất giới thiệu những sản phẩm hoạt động ở băng tần 900Mhz Các giải pháp này (không có sự thống nhất của các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mpbs, thấp hơn rất nhiều so với tốc độ 10Mpbs của hầu hết các mạng sử dụng cáp lúc đó

Năm 1992, các nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần 2.4GHz Mặc dù những sản phẩm này có tốc độ truyền cao hơn nhưng chúng vẫn chỉ là những giải pháp riêng của mỗi nhà sản xuất và không được công bố rộng rãi Sự cần thiết cho việc thống nhất hoạt động giữa các thiết bị ở những dãy tần số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây

Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã thông qua sự ra đời của chuẩn 802.11, và được biết đến với tên WIFI (Wireless Fidelity) cho các mạng WLAN

Năm 1999, IEEE thông qua sự bổ sung cho chuẩn 802.11 là chuẩn 802.11a và

802.11b (định nghĩa ra những phương pháp truyền tín hiệu) Và các thiết bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây nổi trội

Năm 2003, IEEE công bố thêm sự cải tiến là chuẩn 802.11g, chuẩn này cố gắng tích hợp tốt nhất các chuẩn 802.11a, 802.11b và 802.11g Sử dụng băng tần 2.4Ghz cho phạm vi phủ sóng lớn hơn

Năm 2009, IEEE thông qua chuẩn WIFI thế hệ thứ tư 802.11n sau 6 năm thử nghiệm Chuẩn 802.11n có khả năng truyền dữ liệu ở tốc độ 300Mbps hay thậm chí cao hơn

Năm 2013: Chuẩn Wifi thế hệ thứ năm 802.11ac cho công nghệ mạng không dây ra đời Tốc độ tối đa hiện là 1730Mbps và chỉ chạy ở băng tần 5GHz

1.1.1.3 Ưu điểm của mạng không dây

Sự tiện lợi: Mạng không dây cung cấp giải pháp cho phép người sử dụng truy cập tài nguyên trên mạng ở bất kì nơi đâu trong khu vực WLAN được triển khai

(khách sạn, trường học, thư viện…) Với sự bùng nổ của máy tính xách tay và các thiết bị di động hỗ trợ wifi như hiện nay, điều đó thật sự rất tiện lợi

Khả năng di động: Với sự phát triển vô cùng mạnh mẽ của viễn thông di động, người sử dụng có thể truy cập internet ở bất cứ đâu Như: Quán café, thư viện, trường học và thậm chí là ở các công viên hay vỉa hè Người sử dụng đều có thể truy cập internet miễn phí

Hiệu quả: Người sử dụng có thể duy trì kết nối mạng khi họ đi từ nơi này đến nơi khác

Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, chúng ta chỉ cần một đường truyền ADSL và một AP là được một mạng WLAN đơn giản Với việc sử dụng cáp, sẽ rất tốn kém và khó khăn trong việc triển khai ở nhiều nơi trong tòa nhà

Khả năng mở rộng: Mở rộng dễ dàng và có thể đáp ứng tức thì khi có sự gia tăng lớn về số lượng người truy cập

1.1.1.4 Nhược điểm của mạng không dây

Bên cạnh những thuận lợi mà mạng không dây mang lại cho chúng ta thì nó cũng mắc phải những nhược điểm Đây là sự hạn chế của các công nghệ nói chung

Bảo mật: Đây có thể nói là nhược điểm lớn nhất của mạng WLAN, bởi vì phương tiện truyền tín hiệu là sóng và môi trường truyền tín hiệu là không khí nên khả năng một mạng không dây bị tấn công là rất lớn

Phạm vi: Như ta đã biết chuẩn IEEE 802.11n mới nhất hiện nay cũng chỉ có thể hoạt động ở phạm vi tối đa là 150m, nên mạng không dây chỉ phù hợp cho một không gian hẹp Độ tin cậy: Do phương tiện truyền tín hiệu là sóng vô tuyến nên việc bị nhiễu, suy giảm…là điều không thể tránh khỏi Điều này gây ảnh hưởng đến hiệu quả hoạt động của mạng

Tốc độ: Tốc độ cao nhất hiện nay của WLAN có thể lên đến 600Mbps nhưng vẫn chậm hơn rất nhiều so với các mạng cáp thông thường (có thể lên đến hàng Gbps)

1.1.2 Các chuẩn thông dụng trong mạng không dây

Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã giới thiệu một chuẩn đầu tiên cho WLAN Chuẩn này được gọi là 802.11 sau khi tên của nhóm được thiết lập nhằm giám sát sự phát triển của nó Tuy nhiên, 802.11 chỉ hỗ trợ cho băng tần mạng cực đại lên đến 2Mbps – quá chậm đối với hầu hết các ứng dụng

Với lý do đó, các sản phẩm không dây thiết kế theo chuẩn 802.11 ban đầu dần không được sản xuất

IEEE đã mở rộng trên chuẩn 802.11 gốc vào tháng 7 năm 1999, đó chính là chuẩn 802.11b Chuẩn này hỗ trợ băng thông lên đến 11Mbps, tương quan với

Ethernet truyền thống 802.11b sử dụng tần số vô tuyến (2.4 GHz) giống như chuẩn ban đầu 802.11 Các hãng thích sử dụng các tần số này để chi phí trong sản xuất của họ được giảm Các thiết bị 802.11b có thể bị xuyên nhiễu từ các thiết bị điện thoại không dây (kéo dài), lò vi sóng hoặc các thiết bị khác sử dụng cùng dải tần 2.4 GHz

 Ưu điểm của 802.11b: Giá thành thấp nhất, phạm vi tín hiệu tốt và không dễ bị cản trở

 Nhược điểm của 802.11b: Tốc độ tối đa thấp nhất, có thể bị nhiễu bởi các thiết bị gia dụng trong gia đình

Giao thức xác thực mở rộng

1.2.1 EAP-TLS (EAP-Transport Layer Security)

EAP-TLS là một phương pháp xác thực hai chiều trong đó client và server phải chứng minh định danh của cho nhau Trong suốt quá trình trao đổi EAP-TLS, client gửi chứng nhận user của nó và server truy cập từ xa hoặc server RADIUS gửi chứng nhận máy tính của nó Nếu một trong hai chứng nhận không được gửi hoặc nếu một chứng nhận không hợp lệ, kết nối sẽ bị kết thúc

EAP-TLS là một trong số ít các giao thức hỗ trợ các chức năng: nhận thực qua lại, mã hóa và quản lý khóa dựa trên các liên kết PPP được mô tả trong RFC 2716

EAP - TLS là sự kế thừa những ưu điểm và sự linh hoạt của EAP

EAP-TLS sử dụng khoá kiểm tra công khai TLS trong EAP để cung cấp việc xác thực lẫn nhau giữa máy chủ và khách hàng Với EAP-TLS, cả máy chủ và khách hàng đều phải đăng ký chữ ký dạng số thông qua quyền chứng thực (CA) để kiểm tra

Các đặc tính của EAP-TLS bao gồm:

- Xác thực lẫn nhau (giữa máy chủ và khách hàng)

- Trao đổi khoá (để thiết lập WEP động và khoá TKIP)

- Phân mảnh và nối lại (với bản tin EAP dài cần có phần kích thước kiểm tra nếu cần)

- Kết nối nhanh (thông qua TLS)

1.2.2 EAP-TTLS (EAP- Tunneled Transport Layer Security)

EAP-TTLS (EAP - Tunneled TLS) là một phương pháp nhận thực EAP khác, cung cấp một số chức năng vượt trội so với EAP-TLS Phương thức EAP-TTLS cung cấp một loạt các thuộc tính cho một bản tin như là bản tin RADIUS EAP - dùng vận chuyển, EAP-TTLS có thể cung cấp các chức năng như phương thức PEAP Tuy nhiên nếu mật khẩu của RADIUS hoặc CHAP sẽ được mã hoá, thì TTLS có thể bảo vệ được các tính chất kế thừa của RADIUS Khi máy chủ TTLS gửi bản tin RADIUS tới máy chủ tại đích, nó sẽ giải mã các thuộc tính bảo vệ của EAP-TTLS và chèn chúng trực tiếp vào bản tin chuyển đi Bởi vì phương thức này giống như PEAP, nên nó ít được sử dụng hơn

EAP - TTLS mở rộng sự thỏa thuận nhận thực bằng cách sử dụng liên kết an toàn được thiết lập bởi TLS Handshake để trao đối thông tin bổ sung giữa client và server Liên kết an toàn này sẽ được server sử dụng để nhận thực Client trên hạ tầng nhận thực có sẵn theo các giao thức: PAP, CHAP, MS-CHAP v2

1.2.3 PEAP (Protected Extensible Authentication Protocol)

Giống như chuẩn TTLS, PEAP tạo khả năng xác thực cho mạng LAN không dây mà không yêu cầu xác thực Để bảo vệ EAP (PEAP) thêm lớp TLS lên trên cùng

EAP giống như EAP-TTLS, rồi sau đó sử dụng kết quả của phiên TLS như phương tiện vận chuyển để bảo vệ phương thức EAP PEAP sử dụng TLS để xác thực từ máy chủ tới máy trạm nhưng không có chiều ngược lại Theo phương thức này chỉ máy chủ yêu cầu khoá xác thực còn khách hàng thì không Máy chủ và máy trạm trao đổi chuỗi thông tin mã hoá trong TLS, và bản tin TLS được xác thực và mã hoá sử dụng khoá đã được thông qua giữa hai bên

PEAP cung cấp dịch vụ cho phương thức EAP như sau:

- Bản tin xác nhận (Những kẻ tấn công sẽ rất khó khăn trong việc chèn vào bản tin EAP)

- Mã hoá bản tin (Những kẻ tấn công sẽ không thể đọc và giải mã bản tin

- Xác thực từ máy chủ đến khách hàng (vì thế phương thức này chỉ cần bảo vệ xác thực từ khách hàng tới máy chủ), Trao đổi khoá (để thiết lập cho WEP động hoặc khoá TKIP)

- Phân mảnh và ghép lại (cần thiết nếu bản tin EAP dài)

- Thiết lập kết nối nhanh (thông qua phiên TLS )

Phương pháp nhận thực PEAP mang lại một số lợi ích bảo mật như sau:

- Bảo vệ quá trình thương lượng và kết thúc

1.2.4 LEAP (Lightweight Extensible Authentication Protocol)

LEAP là giao thức xác thực mở rộng dựa trên việc xác thực lẫn nhau, có nghĩa là cả người dùng và điểm truy cập đều phải xác thực trước khi truy cập mạng Việc xác thực lẫn nhau nhằm mục đích chống lại sự truy cập trái phép vào mạng LEAP dựa trên cơ sở tên và mật khẩu

Với LEAP, khoá bảo mật thay đổi động tuỳ theo phiên làm việc nhằm mục đích hạn chế việc lựa chọn gói tin để giải mã từ bên ngoài Khi một khoá mới được phát ra thông qua LEAP sử dụng sự chia sẻ bí mật giữa người sử dụng và điểm truy cập Bởi vì LEAP là giao thức của Cisco nên nó chỉ được sử dụng cho điểm truy cập của Cisco

LEAP cũng thêm một mức bảo mật khác cho mạng thông qua việc xác thực các kết nối trên toàn mạng trước khi cho phép các gói tin đến các thiết bị không dây Việc thay đổi cặp khoá bí mật và xác thực người sử dụng cho phép tăng tính bảo mật cho dữ liệu

1.2.5 EAP-FAST (EAP- Flexible Authentication via Secure Tunneling)

Sự xác thực linh động thông qua đường hầm an toàn (FAST) của EAP là sáng kiến tương đối mới của IETF Ý tưởng cơ sở của giao thức này là tránh việc sử dụng giấy phép EAP-FAST thiết lập đường hầm dựa trên giấy ủy quyền truy cập được bảo vệ (PAC) mà có thể được quản lý tự động bởi EAP-FAST thông qua server AAA

Phương pháp này cũng có hai giai đoạn với giai đoạn 0 là tùy ý

Giai đoạn tùy ý 0 được sử dụng không thường xuyên Trong giai đoạn này giấy ủy quyền người dùng được sinh ra một cách bảo đảm giữa người dùng và mạng Giấy ủy quyền này, được biết như là PAC, được sử dụng trong giai đoạn một

Giai đoạn một thiết lập một kênh giữa trạm và server AAA PAC được sử dụng cho các mục đích xác thực Đường hầm tạo ra ở giai đoạn một được sử dụng trong giai đoạn hai để thực thi xác thực client an toàn Người dùng gửi tên và mật khẩu trong giai đoạn này

EAP-FAST hỗ trợ cơ chế bảo vệ:

- MitM (Man-in-the-Middle), tấn công truyền lại, và các tấn công từ điển

- Tấn công IV: là một chuỗi nhị phân giả ngẫu nhiên (pseudo random binary) được sử dụng để khởi tạo cho quy trình mã hoá

1.2.6 So sánh các phương thức xác thực mở rộng

Bảng 1.1: So sánh các phương thức xác thực mở rộng

TLS, TTLS LEAP EAP-FAST PEAP

Tính tương hổ Có Có Có Có

Tự bảo vệ Có Có Có Có

Khả năng chống tấn công từ điển

Có Không Có (hỗ trợ bảo vệ: Tấn công MitM, Tấn công IV, Tấn công truyền lại)

Phát sinh khoá bảo vệ phiên

Có Có Có Có Độ an toàn Cao Yếu Cao Cao

Yêu cầu server giấy chứng nhận

Yêu cầu client giấy chứng nhận

Nhanh chóng và hiệu quả

Thuận tiện cho người dùng

Không (Chỉ giấy chứng nhận được lưu trên máy client)

Yếu tố kế thừa Có Không Có Có

Các giải pháp bảo mật mạng không dây

WEP (Wired Equivalen Privacy) có nghĩa là bảo mật không dây tương đương với có dây Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệu vào cùng một phương thức không an toàn WEP sử dụng một khóa mã hóa không thay đổi có độ dài 64 bit hoặc 128 bit, (nhưng trừ đi 24 bit sử dụng cho vector khởi tạo khóa mã hóa, nên độ dài khóa chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thực các thiết bị được phép truy cập vào trong mạng và cũng được sử dụng để mã hóa truyền dữ liệu Đặc tính của WEP:

- Điều khiển truy cập, ngăn chặn sự truy cập của những client không có khóa phù hợp

- Sự bảo mật nhằm bảo vệ dữ liệu mạng bằng cách mã hóa chúng và chỉ cho những client nào có đúng khóa WEP giải mã

Rất đơn giản, các khóa mã hóa này dễ dàng bị “bẻ gãy” bởi thuật toán brute- force và kiểu tấn công thử lỗi (tria-and-error) Các phần mềm miễn phí như Aircrack- ng, Airsnort, hoặc WEP crack sẽ cho phép hacker có thể phá vỡ khóa mã hóa nếu họ thu thập từ 5 đến 10 triệu gói tin trên một mạng không dây Với những khóa mã hóa

128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hóa nên chỉ có 104 bit được sử dụng

Dụng cụ để mã hoá và cách thức cũng giống như mã hóa có độ dài 64 bit nên mã hóa 128 bit cũng dễ dàng bị bẻ khóa Ngoài ra, những điểm yếu trong những vector khởi tạo khóa mã hoá giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông tin hơn rất nhiều

Không dự đoán được những lỗi trong khóa mã hóa WEP có thể tạo ra cách bảo mật mạnh mẽ hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khóa mã hóa mới cho mỗi phiên làm việc Khóa mã hóa sẽ thay đổi trên mỗi phiên làm việc Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẽ gãy khóa bảo mật

VPN thường được dùng để kết nối các văn phòng chi nhánh (branch-office), các người dùng từ xa (mobile users) về văn phòng chính Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua

Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa

Mạng riêng VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép VPN tạo ra một tin cậy cao thông qua việt sử dụng một cơ chế bảo mật như IPSec (Internet Protocol Security) IPSec để mã hóa dữ liệu và dùng các thuật toán khác để xác thực gói dữ liệu, IPSec cũng sử dụng thẻ xác nhận số để xác nhận khóa mã (Public Key) Khi được sử dụng trên mạng WLAN, VPN đảm nhận việc xác thực, đóng gói và mã hóa

VNP cung cấp 3 chức năng chính:

- Cung cấp truy nhập từ xa tới tài nguyên của tổ chức mọi lúc, mọi nơi

- Kết nối các chi nhánh văn phòng với nhau

- Kiểm soát truy nhập của khách hàng, nhà cung cấp và các thực thể bên ngoài tới những tài nguyên của tổ chức

Lợi ích của VNP: Đối với khách hàng:

- Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênh thuê riêng

- Giảm thiểu chi phí kênh kết nối đường dài

- Giảm thiểu việc thiết kế và quản lý mạng, giảm thiểu việc lãng phí băng thông, khách hàng có khả năng trả theo cước lưu lượng sử dụng Đối với nhà cung cấp dịch vụ:

- Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trị khác kèm theo

- Tăng hiệu quả sử dụng mạng Internet hiện tại

- Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là các khách hàng lớn

- Đầu tư không lớn hiệu quả đem lại cao, mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ

Hình 1.1: Mô hình VLAN VNP

Chuẩn mã hóa dữ liệu tiên tiến AES (Advanced Encryption Standard) là một hệ mã khóa bí mật có tên là Rijdael (do hai nhà mật mã học người Bỉ là Joan Daemen và

Vincent Rijmen đưa ra và trở thành chuẩn từ năm 2002) cho phép xử lý các khối dữ liệu input có kích thước 128 bit sử dụng các khóa có độ dài 128, 192 hoặc 256 bit Hệ mã Rijdael được thiết kế để có thể làm việc với các khóa và các khối dữ liệu có độ dài lớn hơn tuy nhiên khi được chọn là một chuẩn do Ủy ban tiêu chuẩn của Hoa Kỳ đưa ra năm 2001, nó được qui định chỉ làm việc với các khối dữ liệu 128 bit và các khóa có độ dài 128, 192 hoặc 256 bit (do đó còn đặt cho các tên AES-128, AES-192, AES-256 tương ứng với độ dài khóa sử dụng)

- Thuật toán AES thích hợp cho việc triển khai trên nhiều hệ thống khác nhau, không chỉ trên các máy tính cá nhân, mà cả trên các hệ thống thẻ thông minh

- Ngoài ra, tất cả các bước xử lý của việc mã hóa và giải mã đều được thiết kế thích hợp với cơ chế xử lý song song nên AES càng chứng tỏ thế mạnh của mình trên các hệ thống thiết bị mới

- Do đặc tính của việc xử lý thao tác trên từng byte dữ liệu nên không có sự khác biệt nào được đặt ra khi triển khai trên hệ thống big-endian hay little-endian

- AES đã được chính phủ Hoa kỳ tuyến bố là có độ an toàn cao, và đã được sử dụng thông tin mật

- AES có mô tả toán học đơn giản

- Cấu trúc rõ ràng đơn giản

- Cấu trúc toán học của AES có mô tả toán học khá đơn giản Tuy điều này chưa dẫn đến mối nguy hiểm nào nhưng một số nhà nghiên cứu sợ rằng sẽ có người lợi dụng được cấu trúc này trong tương lai

- Độ lớn của khóa mã có thể thay đổi linh hoạt từ 128 đến 256 bit Số lượng chu kỳ có thể được thay đổi tùy thuộc vào yêu cầu riêng được đặt ra cho từng ứng dụng và hệ thống cụ thể

- Dạng tấn công lên AES duy nhất thành công là tấn công kênh bên (side channel attack)

TÌM HIỂU VỀ GIAO THỨC XÁC THỰC RADIUS

Tổng quan về giao thức RADIUS

Giao thức Remote Authentication Dial In User Service (RADIUS) được định nghĩa trong RFC 2865 được đưa ra với định nghĩa: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization, và Access

Control – AAA) cho các phiên làm việc với SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet Nó cần thiết trong tất cả các Network Access

Server (NAS) để làm việc với danh sách các username và password cho việc cấp phép,

RADIUS Access-Request sẽ chuyển các thông tin tới một Authentication Server, thông thường nó là một AAA Server (AAA – Authentication, Authoriztion, và

Accounting) Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), cung cấp giải pháp NAS

Có 2 loại giao thức RADIUS:

 Giao thức RADIUS 1: Xác nhận quyền (authentication), phân quyền

(authorization), thông tin cấu hình giữa máy chủ quản lý truy cập (NAS-

Network Access Server) mà có các yêu cầu cần xác nhận và máy chủ xác nhận quyền dùng chung (Shared Authentication Server)

 Giao thức RADIUS 2: Thông tin về tài khoản giữa NAS và máy chủ quản lý tài khoản dùng chung

RADIUS thực ra là một giao dịch được xây dựng trên giao thức có các tính chất chính như sau:

Nếu như yêu cầu (request) gửi tới máy chủ xác nhận quyền sơ cấp (primary authentication server) thất bại, thì yêu cầu này phải được gửi tới máy chủ sơ cấp

(secondary server) Để thực hiện yêu cầu này phải có timers (bộ tạo thời gian) cho việc truyền lại (retransmission)

Các đòi hỏi về thời gian của RADIUS rất khác biệt so với TCP Một mặt,

RADIUS không yêu cầu “câu trả lời” (responsive) về việc dò tìm dữ liệu bị mất User sẵn sàng chờ trong nhiều giây để cho việc xác nhận quyền được hoàn thành Việc truyền lại thường xảy ra đối với các TCP dựa trên thời gian truyền nhận trung bình không cần thiết nữa, kể cả thời gian hao tổn cho việc nhận biết phản hồi về Mặt khác, user không thể chờ đợi quá lâu trong nhiều phút cho việc xác nhận quyền Việc phải chờ đợi quá lâu là không hữu ích Việc sử dụng luân phiên nhanh chóng các server sẽ cho phép user truy cập được vào mạng trước khi họ bỏ cuộc

Trạng thái rất tự do của RADIUS đã đơn giản hóa việc sử dụng UDP Các client và server có thể đăng ký vào hoặc ra khỏi mạng Hệ thống bị khởi động lại vì một lý do nào đó, như: Nguồn điện bị mất…Các sự kiện bất thường này nói chung sẽ không gây nguy hiểm nếu như có những timeout tốt và xác định được các cầu nối TCP đã bị đứt Tuy nhiên UDP hoàn toàn bỏ qua các sự cố đặt biệt này; Các client và server có thể một “chuyến vận chuyển dữ liệu” UDP ngay lập tức và để nó tự nhiên truyền trên mạng với các sự kiện có thể có

UDP đơn giản hóa việc thực hiện server Ở những phiên bản trước, server được thực hiện đơn luồng (single thread), có nghĩa là mỗi lúc chỉ có một yêu cầu được nhận, xử lí và trả về Điều này không thể quản lý được trong môi trường kỹ thuật an toàn quay vòng (back-end security mechanism) dùng thời gian thực (real-time) Hàng đợi yêu cầu của server sẽ bị đầy, và trong một môi trường có hàng trăm người được yêu cầu xác nhận quyền trong mỗi phút, thời gian quay vòng của yêu cầu sẽ lớn hơn rất nhiều so với thời gian mà user chờ đợi Do vậy, giải pháp được chọn là thực hiện server chế độ đa luồng (multi-thread) với UDP Những quá trình xử lý độc lập sẽ được sinh ra trên server tương ứng với mỗi yêu cầu và những quá trình này sẽ trả lời trực tiếp với các NAS khách hàng bằng gói UDP tới lớp truyền dẫn chính của client

Khi một client được cấu hình để sử dụng RADIUS, thì bất kỳ user nào của client đều giới thiệu những thông tin xác nhận quyền với client Đó có thể là dấu nhắc lệnh đăng ký vào mạng yêu cầu user nhập username và password vào User có thể lựa chọn việc sử dụng protocol thích hợp để thực hiện giới thiệu những thông tin này các gói dữ liệu chẳng hạn như PPP

Mỗi client nhận được thông tin như vậy, nó có thể chọn dùng RADIUS để xác nhận quyền Client sẽ tạo ra một “yêu cầu truy cập” (access request) chứa các thuộc tính như trên: mật khẩu của user, ID của client và ID port mà user này sẽ truy cập vào

Mật khẩu khi nhập vào sẽ được ẩn (Mã hóa RSA hoặc MD5)

“Yêu cầu truy cập” (access request) sẽ được gửi cho RADIUS thông qua mạng

Nếu không trả lời trong một khoảng thời gian qui ước thì yêu cầu sẽ được gửi lại

Client có thể chuyển (forward) yêu cầu cho các server dự phòng trong trường hợp server chính bị tắt hoặc hư hỏng

Mỗi khi RADIUS server nhận được yêu cầu, nó sẽ xác nhận client gửi Những yêu cầu từ các client nào không chia sẻ thông tin bảo mật với RADIUS sẽ không được xác nhận và trả lời Nếu client là hợp lệ, RADIUS server sẽ tìm kiếm trong cơ sở dữ liệu (CSDL) user có cùng tên trong yêu cầu Chỉ mục của user trong cở sở dữ liệu sẽ chứa danh sách các đòi hỏi cần thiết cho phép user truy cập vào mạng RADIUS luôn luôn xác nhận mật khẩu của user và có thể cả ID của client và ID port mà user được phép truy cập

RADIUS server có thể yêu cầu các server khác xác nhận yêu cầu Lúc đó

RADIUS đóng vai trò của một client

Nếu bất cứ điều kiện nào không thỏa mãn, RADIUS server sẽ gửi một trả lời ‘từ chối truy cập” (access reject) biểu thị rằng yêu cầu của user là không hợp lệ Server có thể kèm theo một thông báo dạng văn bản (text message) trong access-reject để client có thể hiển thị cho user Không có một thuộc tính nào khác được phép chứa trong access-reject

Nếu tất cả các điều kiện đều thỏa mãn và RADIUS server muốn đưa ra một yêu cầu đòi hỏi user phải trả lời, thì RADIUS sẽ gửi một trả lời “đòi hỏi truy cập” (access- challenge), nó có thể dưới dạng một thông báo dạng văn bản được hiển thị cho user bởi client hoặc là một thuộc tính trạng thái (state attribute) Client sẽ nhận access- challenge, và nếu nó được trang bị challenge/ response, nó sẽ hiển thị thông báo nhắc nhở user trả lời yêu cầu Sau đó client sẽ gửi lại (re-submit) “yêu cầu truy cập”

(original access-request) với một số hiệu yêu cầu (request ID) mới, nhưng thuộc tính usename-password được lấy từ thông tin vừa mới nhập vào, và kèm luôn cả thuộc tính trạng thái từ access-challenge RADIUS server có thể trả lời một access-request bằng một access-accept, access-reject hoặc một access-challenge khác

Nếu cuối cùng tất cả các điều kiện trên được thỏa mãn, thì danh sách các giá trị cấu hình cho user được đặt vào trả lời “access-accept” Các giá trị này bao gồm kiểu của dịch vụ (SLIP, PPP, Login ) và các giá trị cần thiết để cấp phát dịch vụ này Ví dụ như đối với SLIP hay PPP, các giá trị này có thể là địa chỉ IP, subnet mask, MTU, phương pháp nén và số hiệu lọc gói Ở chế độ ký tự (character mode), các giá trị này có thể là giao thức và tên máy chủ

Một gói RADIUS được bao bọc trong trường dữ liệu của gói UDP, và trường địa chỉ đích có số hiệu cổng là 1812 Khi gói trả lời được tạo ra, số hiệu cổng của địa chỉ nguồn và đích được bảo lưu

Xác thực, cấp phép và kiểm toán

2.2.1 Quá trình xác thực và cấp phép người dùng (Authentication and

Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access-request tới máy chủ AAA Server, chuyển các thông tin như Username, Password , UDP port,

NAS indentifier và một Authentication message

Sau khi nhận các thông tin AAA sử dụng gói tin được cung cấp như NAS

Indentify, và Authentication thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không? Nếu có khả năng, AAA server sẽ kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong database Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin trong Access-request quyết định quá trình truy cập của user đó là được chấp nhận

Khi quá trình chứng thực bắt đầu được sử dụng, AAA server có thể trả về một

RADIUS Access-Challenge mang một số ngẫu nhiên NAS sẽ chuyển thông tin đến người dùng từ xa Khi đó người dùng sẽ phải trả lời đúng yêu cầu xác nhận, sau đó

NAS sẽ chuyển đến AAA server một RADIUS Access-Request

AAA server sau khi kiểm tra các thông tin của người dùng hoàn toàn thỏa mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-accept

Nếu không thỏa mãn AAA server sẽ trả về một tin RADIUS Access-reject và NAS sẽ ngắt dịch vụ

Khi gói tin Access-accept được nhận và RADIUS Accouting đã được thiết lập,

NAS sẽ gửi một gói tin RADIUS Accouting –request tới AAA server Máy chủ sẽ thêm các thông tin vào logfile của nó, với việc NAS sẽ cho phép phiên làm việc với

User bắt đầu khi nào và kết thúc khi nào RADIUS Accouting làm nhiệm vụ ghi lại quá trình xác thực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi thông tin RADIUS Accouting-request

Hình 2.7: Quá trình xác thực và cấp phép người dùng

2.2.2 Quá trình kiểm toán (Accounting)

Khi một máy khách được cấu hình để sử dụng RADIUS kiểm toán, khi bắt đầu cung cấp dịch vụ nó sẽ tạo ra một gói tin bắt đầu kiểm toán mô tả các loại hình dịch vụ được cung cấp và người sử dụng nó đang được chuyển tới, và sẽ gửi tới máy chủ kiểm toán RADIUS, trong đó sẽ gửi lại một xác nhận rằng gói tin đã được nhận

Khi kết thúc cung cấp dịch vụ máy khách sẽ tạo ra một gói kết thúc kiểm toán mô tả các loại hình dịch vụ đã được giao và thông số tùy ý như là thời gian trôi qua, octet vào và ra, hoặc các gói dữ liệu vào và ra Nó sẽ gửi tới máy chủ kiểm toán

RADIUS, và sẽ gửi phản hồi một xác nhận rằng gói tin đã được nhận Accounting-

Request (dù cho bắt đầu hoặc kết thúc) được gửi tới máy chủ kiểm toán RADIUS qua mạng Trong trường hợp các gói tin bị thất lạc chưa đến được phía server khách hàng tiếp tục cố gắng gửi gói tin Accounting-Request cho đến khi nhận được một xác nhận, bằng cách sử dụng một số hình thức chờ để truyền Nếu không có phản hồi được trả về trong một khoảng thời gian, yêu cầu được gửi lại một số lần

Máy khách cũng có thể chuyển tiếp yêu cầu tới một máy chủ thay thế hoặc các máy chủ trong trường hợp máy chủ chính ngừng hoạt động hoặc không thể truy cập

Một máy chủ thay thế có thể được sử dụng hoặc sau khi một số cố gắng đến các máy chủ chính bị lỗi, hoặc trong một kiểu vận hành lần lượt

Máy chủ kiểm toán RADIUS có thể làm cho yêu cầu của các máy chủ khác đáp ứng các yêu cầu, trong trường hợp nó hoạt động như một máy khách Nếu máy chủ kiểm toán RADIUS không thể thành công ghi lại các gói tin kiểm toán, nó không phải gửi một xác nhận Accounting-Response cho máy khách

Hình 2.8: Quá trình kiểm toán.

Sự bảo mật, tính mở rộng và ứng dụng của Radius

Tất cả các message của RADIUS đều được đóng gói bởi UDP datagrams, nó bao gồm các thông tin như: message type, sequence number, length, Authenticator, và một loạt các Attribute-Value

Authenticator: Có tác dụng cung cấp một chế độ bảo mật NAS và AAA Server sử dụng Authenticator để hiểu đuợc các thông tin đã được mã hoá của nhau như mật khẩu Authenticator cũng giúp NAS phát hiện sự giả mạo của gói tin RADIUS

Responses Authenticator được sử dụng làm cho để biễn password thành một dạng nào đó, ngăn chặn việc làm lộ mật khẩu của người dùng trong các message RADIUS

Authenticator: Gửi Access-Request trong một số ngẫu nhiên MD5 sẽ mã hóa số ngẫu nhiên đó thành một dạng riêng cho mật khẩu của người dùng và gửi trong

Access-Request User-Password Toàn bộ RADIUS response sau đó được MD5 mã hóa với cùng thông số bảo mật của Authenticator, và các thông số response khác

Authenticator giúp cho quá trình giao tiếp giữa NAS và máy chủ AAA được bảo mật nhưng nếu kẻ tấn công tóm được cả hai gói tin RADIUS Access-Request và

Access-Response thì có thể thực hiện Dictionary Attack (tấn công từ điển) để phân tích việc đóng gói này

 Tính mở rộng của radius

Attribute-Value Pairs: Thông tin được mang bởi RADIUS đuợc miêu tả trong một dạng Attribute-Value, để hỗ trợ cho nhiều công nghệ khác nhau, và nhiều phương thức xác thực khác nhau Một chuẩn được định nghĩa trong Attribute-Value pairs (cặp đôi), bao gồm User-Nam, User-Password, NAS-IPAddress, NAS-Port, Service-Type

Thêm vào đó, rất nhiều chuẩn Attribute-Value pairs được định nghĩa trong nhiều năm để hỗ trợ Extensible Authentication Protocol (EAP), một dạng khác cũ hơn của nó là PAP và CHAP dial-up protocol Giúp hỗ trợ xác thực cho WLAN, từ khi chuẩn EAP được sử dụng cho 802.1X Port Access Control để cho phép xác thực từ bên ngoài cho wireless

Hình 2.9: Tính mở rộng trong mạng không dây

RADIUS thường được dùng để tính cước dựa trên tài nguyên đã sử dụng

Ví dụ như ISP sẽ tính cước cho người dùng về chi phí kết nối Ta có thể cài đặt

RADIUS Accounting mà không cần sử dụng RADIUS để xác thực và cấp quyền Với chức năng accounting mở rộng, RADIUS cho phép dữ liệu được gửi từ các thiết bị xuất phát cũng như là thiết bị đích, từ đó giúp ta theo dõi việc sử dụng tài nguyên (thời gian, số lượng các gói tin, số lượng byte, ) trong suốt phiên làm việc.

TRIỂN KHAI BẢO MẬT MẠNG KHÔNG DÂY BẰNG CHỨNG THỰC RADIUS TRÊN THIẾT BỊ

Giới thiệu thiết bị Access point cisco air 1600

Thiết bị Cisco Aironet 1600 Series là một trong những sản phẩm của Cisco

Unified Wireless Network, cung cấp hiệu suất tuyệt vời với các chức năng tiên tiến, cải thiện hơn, thông minh hơn và có thể mở rộng lên đến 18.000 điểm truy cập

 Một số công nghệ được tích hợp trên AP 1600

Radio resource management (RRM): Tự động sữa lỗi và tối ưu hóa tần số vô tuyến RF để giảm các điểm chết và giúp đảm bảo các kết nối client ổn định hơn

CleanAir Express: hiệu quả trong việc phát hiện và can thiệp RF, cung cấp khả năng phân tích quang phổ

ClientLink 2.0: Cải thiện hiệu suất tải xuống cho tất cả các thiết bị di động bao gồm cả 802.11n và cải thiện tuổi thọ pin trên các thiết bị di động như điện thoại thông minh và máy tính bảng

Công nghệ BandSelect: Cải thiện kết nối 5-GHz của client

Công nghệ VideoStream: Sử dụng multicast để cải thiện ứng dụng và phương tiện truyền thông

 Thông tin về phần cứng của thiết bị AP Cisco Air 1600

Bảng 3.1: Thông tin phần cứng thiết bị Access Point Cisco air 1600

Phần mềm hỗ trợ Cisco Unified Wireless Network Software

Cisco IOS Software Release Ăngten tích hợp 2.4 GHz, gain 4.0 dBi, horizontal beamwidth 360°

5 GHz, gain 4.0 dBi, horizontal beamwidth 360°

Bộ nguồn AP1600: 44 to 57 VDC

Power Supply and Power Injector: 100 to 240 VAC; 50 to 60Hz Chuẩn giao tiếp IEEE 802.11a/b/g, IEEE 802.11n, IEEE 802.11h, IEEE 802.11d

Hình 3.1: Thiết bị Access Point Cisco Air 1600

Bảng 3.2: Các cổng giao tiếp của Access Point Cisco Air 1600

2 Cổng Console Dùng để cấu hình Access Point bằng dòng lệnh

3 Cổng Ethernet Cung cấp nguồn điện PoE và kết nối mạng

4 Cổng VDC Cổng nguồn cAccess Point

Hình 3.2: Các cổng giao tiếp của Access Point Cisco Air 1600

3.1.2 Các bước cấu hình Access Point Air 1600 thành điểm phát wifi Để cấu hình thiết bị Access Point Cisco Air 1600 ta làm theo các bước như sau:

 Bước 1: Cài đặt và cấu hình DHCP trên Windows Server 2003

 Bước 2: Vào giao diện cấu hình Access Point Cisco Air 1600

 Bước 3: Cấu hình Access Point Cisco Air 1600

 Bước 4: Kiểm tra kết nối

Tiến hành cấu hình Access Point Cisco Air 1600

 Bước 1: Cài đặt và cấu hình DHCP

Vào Control Panel Add/Remove program  Add/Remove Windows

Component  Networking Services  Chọn Dynamic Host Configuration Protocol

Mở DHCP Console từ thư mục Administrator Tools, click chuột phải vào tên server và chọn “Authorize” để cấu hình DHCP

Hình 3.3: Cài đặt và cấu hình DHCP

 Bước 2: Mở trình duyệt web và nhập địa chỉ ip của Access Point

Sau khi DHCP Server đã cấp IP cho Access Point ta dùng trình duyệt và gõ địa chỉ IP của AP là 10.21.15.6 Sau đó đăng nhập với tài khoản mặc định của thiết bị với user: Cisco và password: Cisco

Hình 3.4: Đăng nhập vào giao diện cấu hình Access Point 1600

 Bước 3: Cấu hình Access Point Cisco Air 1600

Hình 3.5: Giao diện chính cấu hình Access Point 1600

Tại giao diện chính chọn  Network  Radio0-802.11n 2G.Hz để tiến hành cấu hình

Hình 3.6: Giao diện Network

Tiếp tục chọn Settings  Tại mục Enable Radio chọn Enable  Tại mục Role in Radio Network chọn Access Point  Chọn Apply để lưu lại cấu hình

Hình 3.7:Giao diện cấu hình Radio0-802.11n

Tiếp theo để tạo một SSID ta chọn mục Home  Tại Esay Setup chọn Network

Hình 3.8: Giao diện để vào cấu hình SSID

- Tại mục SSID nhập tên mạng, chọn Broad SSID in Beacon để quảng bá tên mạng

- Mục Security chọn kiểu mã hóa, ở đây chọn WEP Key để nhập password cho mạng muốn tạo

- Chọn Apply để hoàn tất việc tạo một SSID.click

Hình 3.9: Cấu hình một SSID

 Bước 4: Kiểm tra kết nối mạng với SSID vừa tạo

Click chuột trái vào biểu tượng mạng ở góc trái màn hình và chọn miền mạng vừa tạo Ở đây miền mạng tuangoc là miền mạng vừa được tạo trước đó, vì thế ta chọn miền mạng tuanngoc và nhập password để kết nối

Hình 3.10: Kết nối mạng

Click chuột phải vào biểu tượng mạng ở góc trái màn hình và chọn Open

Network and Sharing Center  Chọn Details để xem thông tin chi tiết

Hình 3.11: Giao diện Open Network and Sharing Center

Hoặc vào Run  Gõ Cmd và nhấn Enter  nhập dòng lệnh ipconfig /all để xem thông tin chi tiết của card mạng

Ta thấy rằng địa chỉ IP của client là 10.21.15.7/24 do DHCP Server cấp phát với địa chỉ DHCP Server là 10.21.15.200/24.

Mô tả về hệ thống mạng

Vào DHCP ta thấy Server đã cấp địa chỉ IP cho client

Hình 3.13: DHCP server cấp địa chỉ ip cho client

3.2 Mô tả về hệ thống mạng

3.2.1 Giới thiệu sơ đồ hệ thống mạng

Xuất phát từ những lợi ích rất dễ thấy như tính linh động, thuật tiện trong việc áp dụng mạng WLAN vào các nơi công cộng như công sở, trường học Đặt biệt là trường CĐ CNTT Hữu Nghị Việt Hàn với số lượng giảng viên, sinh viên ở khu vực

KTX có nhu cầu sử dụng mạng internet rất lớn Do đó việc áp dụng mô hình triển khai mạng WLAN với hình thức chứng thực RADIUS cho ký túc xác trường CĐ CNTT

Hữu Nghị Việt Hàn với đối tượng là Giảng viên và Sinh viên của trường áp dụng cho các user này được thời gian truy cập cũng như các vấn đề về thu phí…vv

Mô hình mạng đây bao gồm:

+ 01 Switch, khác với các Accessp Point thông thường trên thị trường, đối với

Access Point Cisco Air 1600 cần phải có Switch để cấp nguồn PoE thông qua cổng

Ethernet cho AP hoạt động

+ 01 máy chủ làm server, máy server này sẽ cài đặt windows server 2003 để triển khai các dịch vụ cần thiết và làm máy chủ quản lý có địa chỉ IP 10.21.15.200/24

+ 01 Access Point để phát wifi Ở đây sẽ sử dụng Access Point Cisco Air 1600 được cấp IP 10.21.15.5/24 từ server DHCP

+ Client để kết nối wifi, khi kết nối sẽ phải nhập user và password để xác thực

Hình 3.14: Mô hình triển khai chứng thực Radius

3.2.2 Yêu cầu của hệ thống

- Một máy Server dùng để triển khai RADIUS, một máy tính PC hoặc Laptop để làm client (phải có wireless card)

- Một Access Point, ở đây dùng Access Point Cisco Air 1600 có hỗ trợ chứng thực RADIUS

- Một Switch cung cấp nguồn PoE cho Access Point Cisco Air 1600 hoạt động, thông qua cổng Ehernet

- Trên máy server cài đặt hệ điều hành Windows Server 2003.

Quy trình triển khai chứng thực RADIUS

Bước 1: Cài đặt và cấu hình DHCP

Bước 2: Cài đặt Enterprise CA và Request Certificate từ CA Enterprite Server

Bước 3: Tạo users, cấp quyền Remote Access cho user và chuyển sang Native

Bước 4: Cài đặt và cấu hình Radius

Bước 5: Cấu hình Access Point 1600

Bước 6: Cấu hình Wireless Client

- Đảm bảo máy chủ sever đã cài đặt địa chỉ IP Kiểm tra ip bằng cách vào Start

 Run  gõ ipconfig /all để xem thông tin IP

- Máy chủ server phải được lên domain Có thể lên domain cho máy chủ server bằng cách vào Start  Run  gõ dcpromo

3.3.1 Cài đặt và cấu hình DHCP

Vào Control Panel  Add/Remove program  Add/Remove Windows

Component  Networking Services  Chọn Dynamic Host Configuration Protocol

Mở DHCP Console từ thư mục Administrator Tools, chuột phải vào tên server và chọn “Authorize” để đăng ký với DC

 Tạo một Scope có tên là “DHCP”

Hình 3.16: Cấu hình DHCP và cấp ip cho client

3.3.2 Cài đặt Enterprise CA và Request Certificate từ CA Enterprite Serve

Vào Control Panel  Add/Remove program  Add/Remove Windows

Component  Certificate services  chọn Certificate Service CA và chọn Certificate

Services Web Enroment Support  Chọn OK( trong quá trình cài đặt nhớ chọn luôn

IIS để dùng Web Enrollment Winzard) Trong các winzard tiếp theo ta chọn

“Enterprise root CA” và đặt cho CA này là “ngoc”, nhấp Next cho tới khi hoàn tất

Hình 3.17: Cài đặt Enterprise CA

3.3.2.2 Request Certificate từ CA Enterprite Server

Có hai cách để Request Certificate từ CA Enterprise Server

Vào trình duyệt web và gõ địa chỉ http://localhost/certsrv hoặc là nhập địa chỉ ip của máy chủ server trong trường hợp này là http://10.21.15.200/certsrv, nhập user và pasword administrator sau đó chọn “Request a Certificate ”  chọn “ Advanced

Certificate Request”  chọn “Create and submit a request to this CA”  Trong trang

“Advanced Certificate Request” chọn “Certificate Template” và điển đầy đủ thông tin trong phần “Identifying information for offline template”  Trong phần “Key

Options” click chọn “Store certificate in the local coputer certificate store”  Sau khi certification được cấp phát click “Install this certificate” để cài certificate

Thứ hai vào Run gõ mmc xuất hiện cửa sổ Console Root và chọn Add/Remove

Snap-in  Add Certificates và chọn snap-in và computer account  Chọn Local coputer  chọn All Tasks để Request new Certificate  Chọn Domain Controler  Đặt tên radius  sau khi request Certificate có tên như hình bên dưới

Hình 3.19: Request Certificate từ CA Enterprite Server

3.3.3 Tạo Users, cấp quyền Remote Access cho user và chuyển sang Native

Vào Administrator Tools mở Active Directory User and computer Tạo một

Group có tên là “sinhvien”, tạo user sv1 và sv2 và đưa user sv1 và sv2 vào group

Hình 3.20: Tạo user và group

3.3.3.2 Cấp quyền Remote Access cho user và chuyển sang Native Mode

Vào Administrator Tools mở Active Directory User and computer Click chuột phải vào user “sv1” chọn Property, trong hộp thoại property chọn tab Dial-in Ở mục

Remove Access Permission tích chọn “Control access through Remove Access Policy” để quản lý user này bằng policy vừa tạo ra

Hình 3.21: Cấu hình quản lý truy cập từ xa cho User Để điều khiển truy cập của user qua Remove Access Policy, mở Active

Director User and Computer, click chuột phải vào computer và chọn “Raise domain

Hình 3.22: Chuyển domain sang Native Mode

3.3.4 Cài đặt và cấu hình Radius

Vào Control panel  Add/Remove program  Add/Remove Windows component  Networking Service  Chọn Internet Authentication Service

Vào Administrative Tools  Internet Authenticaton Service Trong cửa sổ

Internet Authenticaton Service, click chuột phải vào Internet Authenticaton Service

(local) và chọn Register Server in Active Directory

Chuyển xuống mục RADIUS Cliens, click chuột phải vào và chọn New

RADIUS Cliens Trong các cửa sổ tiếp theo, nhập tên thiết bị Access point (ở đây đặt là TPLink) và Secret key là viethanit (chú ý Secret key để cấu hình ở AP)

Hình 3.24: Tạo mới Radius Client

Cũng trong cửa sổ Internet Authenticaton Service click chuột phải vào Remove

Access Policies và chọn New Remove Access Policy Trong Policy name đặt tên là wifi Phương thức truy cập Access methods chọn Wireless trong hộp thoại Select group, Add group sinhvien vào Trong hộp thoại Authentication Methods chọn

Hình 3.25: Tạo mới Remove Access Policy

3.3.5 Cấu hình Access Point Cisco Air 1600

Kết nối máy tính vào cổng LAN của AP bằng cáp thẳng Mở trình duyệt và gõ địa chỉ ip của AP 10.21.15.6 được cấp bởi DHCP server Đăng nhập với tài khoản mặc định (user Cisco password Cisco)

Tại giao diện chính chọn mục Security  Server Manager để bắt đầu cấu hình

 Server: nhập IP của máy chủ Radius Server, ở đây là 10.21.15.200

 Shared Secret: Nhập Shared Secret ở đây là “tuanngoc” lưu ý phải trùng với Shared Secret bên máy chủ Radius Server

 Authentication Port (optional): ta nhập 1812 dùng để xác thực

 Accouting Port (optional): ta nhập 1813 dùng để kiểm toán

Hình 3.26: Cấu hình Server Manager

Cũng trong giao diện Server Manager tại mục EAP Authentication  Chọn địa chỉ IP có trong Priority  Apply

Hình 3.27: Chọn server EAP Authentication

Chuyển qua mục Encryption Manager  Click vào Cipher  AES CCMP làm phương thức mã hóa  Apply-All hoặc Apply-Radio0 để lưu cấu hình

Hình 3.28: Quản lý mã hóa

Chuyển xuống Local RADIUS Server:

 Tại mục Network Access Server: Nhập IP của RADIUS Server

 Shared Secret: Nhập Shared Secret trùng với Shared Secret của Radius

Sau khi Click chuột vào Apply thì IP máy chủ RADIUS sẽ xuất hiện tại mục

Current Network Access Servers bên trái

Hình 3.29: Cấu hình địa chỉ radius

Nhập Username và Password  Apply

Chọn SSID Manager để cấu hình SSID

 Tại SSID: Tạo tên mạng wifi muốn quảng bá, ở đây tạo tên SSID là

 Click vào Radio0-802.11N và Radio1-802.11N

Hình 3.31: Tạo mới một SSID

Cũng trong mục SSID Manager tiếp tục chuyển xuống và cấu hình thêm một số thông tin như sau:

Click vào Opent Authetication  With EAP Tiếp tục Click vào Network EAP và sau đó chuyển xuống Costomize chọn IP là 10.21.15.200 đã có trong Priority 

Trong Client Authenticated Key Management tại Key Management 

Mandatory  Enable WPA  WPAv2  Apply

Hình 3.33: Cấu hình Client Authenticated Key Management

3.3.6 Cấu hình Wireless trên Client

Vào Start  Control Panel  Network and Sharing Center  Set Up a New

Connection or Network  Manually connect to a wireless network

Trong mục Network name nhập “tuanngoc”, Security type chọn WPA2-

Enterprise, Encryption type chọn AES

Hình 3.34: Cấu hình SSID, kiểu chứng thực và mã hóa

Sau khi chọn Next Xuất hiện màn hình sau: Chọn Change connection settings

Hình 3.35: Cửa sổ Change connection settings

Cửa sổ Wireless Network Properties xuất hiện  Chọn tab Security  Trong mục Choose a network authentication method chọn Microsoft: Protected EAP (PEAP)

Hình 3.36: Cửa sổ Wireless Network Properties

Sau khi chọn Settings xuất hiện cửa sổ Protected EAP Properties Bỏ chọn mục

Hình 3.37: Cửa sổ Protected EAP Properties

Trong mục Select Authentication Method  Secured password (EAP-

MSCHAPv2), chọn tiếp mục Configure, xuất hiện cửa sổ EAP MSCHAPv2 Properties:

Bỏ chọ mục Automatically use my Windows logon name and password (and domain if any)

Hình 3.38: Cửa sổ EAP MSCHAPv2 Properties

Trong cửa sổ tuanngoc wireless network Properties Advanced settings, cửa sổ Advanced settings xuất hiện  tab 802.1X settings

Trong mục Specify authentication mode  User authentication OK

Hình 3.39: Cửa sổ Advanced settings

Sau khi hoàn tất cấu hình, ta tiến hành kết nối tới miền mạng vừa được tạo ra trước đó, ở đây là miền mạng “tuanngoc” khi kết nối sẽ đăng nhập bằng username và password để chứng thực

Hình 3.40: Cửa sổ đăng nhập cho client

Hình 3.41: Kết quả sau khi kết nối

Kiểm tra ip của client sau khi kết nối thành công

Hình 3.42: Kiểm tra ip của client

Hình 3.43: Kết quả cấp phát ip trên DHCP server

Hình 3.44: Cụ thể thông tin chứng thực.