TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÙI MINH NGÂN BẢO MẬT MẠNG WLAN BẰNG PHƯƠNG PHÁP XÁC THỰC KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC Chuyên ngành: Sư phạm tin học HÀ NỘI – NĂM 2016 TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÙI MINH NGÂN BẢO MẬT MẠNG WLAN BẰNG PHƯƠNG PHÁP XÁC THỰC KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC Chuyên ngành: Sư phạm Tin học Người hướng dẫn khoa học: PGS.TS Trịnh Đình Thắng HÀ NỘI – NĂM 2016 LỜI CÁM ƠN Trong trình thực đề tài “Bảo mật mạng WLAN phương pháp xác thực”, cố gắng thân, nhận giúp đỡ tận tình, tạo điều kiện thầy cô giáo khoa Công nghệ Thông tin, Đặc biệt thầy giáo hướng dẫn: PGS TS Trịnh Đình Thắng toàn thể gia đình bạn bè Em xin bày tỏ lòng biết ơn sâu sắc tới Phó giáo sư Tiến sĩ Trịnh Đình Thắng tận tình giúp đỡ em suốt trình nghiên cứu thực khoá luận tốt nghiệp Em xin lời cảm ơn đến quý thầy cô giáo khoa Công nghệ Thông tin trường đại học Sư phạm Hà Nội tạo điều kiện quan tâm giúp đỡ em thời gian hoàn thiện đề tài Đây lần làm quen với công việc nghiên cứu, nội dung khoá luận không khỏi thiếu sót Em mong nhận đóng góp quý báu thầy cô giáo bạn sinh viên Sinh viên thực Bùi Minh Ngân LỜI CAM ĐOAN Tôi xin cam đoan đề tài: BẢO MẬT MẠNG WLAN BẰNG PHƢƠNG PHÁP XÁC THỰC kết mà trực tiếp nghiên cứu Trong trình nghiên cứu sử dụng tài liệu số tác giả, nhiên sở để rút vấn đề cần tìm hiểu đề tài Đây kết cá nhân tôi, hoàn toàn không trùng với kết tác giả khác Nếu sai hoàn toàn chịu trách nhiệm Sinh viên Bùi Minh Ngân MỤC LỤC CHƯƠNG I – TỔNG QUAN VỀ MẠNG WLAN 1.1 Khái niệm lịch sử hình thành mạng WLAN [2,4] 1.2 Cách làm việc mạng WLAN 1.3 Các chuẩn thông dụng WLAN[2,3] 1.3.1 Chuẩn 802.11 1.3.2 Chuẩn 802.11a 1.3.3 Chuẩn 802.11b 1.3.4 Chuẩn 802.11g 1.3.5 Chuẩn 802.11n 1.4 Cấu trúc số mô hình mạng WLAN[2,3] 1.4.1 Cấu trúc mạng WLAN 1.4.2 Các thiết bị hạ tầng mạng WLAN 10 1.4.3 Các mô hình mạng WLAN 14 1.5 Đánh giá ưu điểm, nhược điểm thực trạng mạng WLAN 16 1.5.1 Ưu điểm 16 1.5.2 Nhược điểm 17 1.5.3 Thực trạng sử dụng mạng WLAN 18 CHƯƠNG II HÌNH THỨC TẤN CÔNG VÀ PHƯƠNG PHƯƠNG PHÁP BẢO MẬT MẠNG WLAN 19 2.1 Giới thiệu 19 2.2 Một số hình thức công mạng WLAN [5] 19 2.2.1 De-authentication Attack 19 2.2.2 Rogue Access Point (giả mạo AP) 20 2.2.3 Tấn công dựa cảm nhận lớp vật lý 21 2.2.4 Disassociation Attack (Tấn công ngắt kết nối) 22 2.2.5 Deny of Service Attack (Dos) 23 2.2.6 Passive Attack (Tấn công bị động) 24 2.2.7 Active Attack (Tấn công chủ động) 25 2.2.8 Jamming Attacks (Tấn công chèn ép) 25 2.3 Các giải pháp bảo mật mạng WLAN [2,4] 26 2.3.1 WEP 27 2.3.2 WLAN VPN 28 2.3.3 TKIP (TEMPORAL KEY INTEGRITY PROTOCOL) 29 2.3.4 AES 30 2.3.5 802.1X VÀ EAP 30 2.3.6 WPA (WI-FI PROTECTED ACCESS) 32 2.3.7 WPA2 33 2.3.8 LỌC (FILTERING) 33 CHƯƠNG III BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP XÁC THỰC RADIUS SERVER VÀ WPA2 36 4.1 Giới thiệu tổng quan 36 4.1.1 Xác thực, cấp phép kiểm toán 36 4.1.2 Sự bảo mật tính mở rộng 38 4.1.3 Áp dụng RADIUS cho WLAN 39 4.1.4 Chúng ta lựa chọn máy chủ RADIUS hợp lý? 40 4.2 Mô tả hệ thống 41 4.3 Quy trình cài đặt 42 Bước 1: Cài đặt Network Policy and Access Services Role 42 Bước 2: Cấu hình điều khiển AP không dây 47 Bước 3: Cài đặt chứng CA tên máy khách 47 Bước 4: Cấu hình thiết lập mạng máy khách 49 Bước 5: Kết nối đăng nhập 51 4.4 DEMO 52 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 53 TÀI LIỆU THAM KHẢO 54 DANH MỤC BẢNG BIỂU Bảng 1.1 Một số thông số kỹ thuật chuẩn IEEE 802.11a Bảng 1.2 Một số thông số kỹ thuật chuẩn IEEE 802.11b Bảng 1.3 Một số thông số kỹ thuật chuẩn IEEE 802.11g Bảng 1.4 Một số thông số kỹ thuật chuẩn IEEE 802.11n DANH MỤC ẢNH VẼ Hình 1.1 - Hệ thống MIMO NxM có N kênh phát M kênh thu Hình 1.2 – Cấu trúc mạng WLAN Hình 1.3 – Access Point Linksys Hình1.4 – Chế độ Root Mode Hình 1.5 – Chế độ Bridge Mode Hình 1.6 – Chế độ Repeater Mode Hình 1.7 – Card PCI Wireless Hình 1.8 -Card PCMCIA Wireless Hình 1.9 -Card USB Wireless Hình 1.10 – Mô hình mạng AD HOC Hình 1.11 – Mô hình mạng sở Hình 1.12 – Mô hình mạng mở rộng Hình2.1 – Mô hình Deauthentication Attack Hình 2.2 – Mô hình Disassociation Attack Hình 2.3 – Mô tả công theo kiểu chèn ép Hình 2.4 Truy cập trái phép mạng không dây Hình 2.5 Mô hình WLAN VPN Hình 2.6 Mô hình hoạt động xác thực 802.1x Hình 2.7 Tiến trình xác thực MAC Hình 2.8 Lọc giao thức Hình 3.1 Mô hình xác thực Wireless Clients RADIUS Server Hình 3.2 Wireless Clients, AP RADIUS Server Hình 3.3: Cài đặt Network Policy and Access Services role Hình 3.4: Tích chọn số dịch vụ Role services Hình 3.5: Chọn RADIUS server for 802.1X Hình 3.6: Chọn bảo mật kết nối không dây Hình 3.7: Nhập vào thông tin chi tiết cho điều khiển hay điểm truy cập không dây bạn Hình 3.8: Bổ sung nhóm người dùng mà bạn muốn họ kết nối Hình 3.9: Kích nút Configure để định nghĩa thiết lập VLAN Hình 3.10: Export chứng CA để cài đặt vào máy khách Hình 3.11: Cài đặt chứng CA vào máy khách Hình 3.12: Chọn PEAP làm phương pháp nhận thực Hình 3.13: Cấu hình thuộc tính PEAP Hình 3.14: Cửa sổ đăng nhập Hình 3.15 Kết đăng nhập vào hệ thống Hình 3.16: Trạng thái kết nối DANH MỤC CỤM TỪ VIẾT TẮT Từ viết tắt Nghĩa tiếng Anh Nghĩa tiếng Việt AAA Authentication, Xác thực, cấp quyền, Access điều khiển truy xuất Authorization, Control ACK ACKnowldge AES Advanced Phản hồi – đáp lại Encryption Chuẩn mã hóa tiên tiến Standard AP Access Point BRAN Broadband Điểm truy cập Access Mạng truy nhập vô Radio Network tuyến băng rộng BSS Basic Services Set Mô hình mạng sở CCK Compimentary Code Keying Kỹ thuật khoá mã bù CHAP Challenge-handshake Giao thức xác thực yêu authentication protocol cầu bắt tay CSMA/CD Carrier Sense Multiple Đa truy nhập nhận biết Access sóng mang với khả with Collision Detection phát xung đột DES Data Encryption Standard Chuẩn mã hoá liệu DS Distribution System Hệ thống phân phối DSSS Direct Sequence Spectrum EAP Extensible Spread Kỹ thuật trải phổ trực tiếp Authentication Giao thức xác thực mở Protocol rộng ESS Extended Service Set Dịch vụ mở rộng ETSI European Viện Tiêu Chuẩn Viễn Telecommunications Thông Châu Âu Standards Institute Cần lưu ý mã hoá liệu t wireless station tới Access Point khác với trình mã hoá t Access Point tới máy chủ AAA Server (RADIUS Server) Nếu máy chủ AAA gửi message Access-Reject, Access Point ngắt kết nối tới station Station cố gắng thử lại trình xác thực, Access Point cấm station không gửi gói tin tới Access Point gần Chú ý station hoàn toàn có khả nghe liệu truyền t stations khác – Trên thực tế liệu truyền qua sóng radio câu trả lời bạn phải mã hoá liệu truyền mạng không dây Attribute-Value pare bao gồm message RADIUS sử dụng máy chủ AAA để định phiên làm việc Access Point wireless station, Sesstion-Timeout hay VLAN Tag (Tunnel- Type=VLAN, Tunnel-Private-Group-ID=tag) Chính xác thông tin thêm vào phụ thuộc vào máy chủ AAA Server hay Access Point station bạn sử dụng 4.1.4 Chúng ta lựa chọn máy chủ RADIUS nhƣ hợp lý? Phần trình bày việc quản lý sử dụng ứng dụng giá máy chủ RADIUS triển khai để phù hợp với doanh nghiệp Trong phần trên, hiểu máy chủ RADIUS cung cấp xác thực cho 802.1x Port Access Control Chúng ta cần quan tâm đến việc triển khai tuỳ chọn cho giải pháp sử dụng chuẩn 802.1x Việc quản lý sử dụng ứng dụng giá máy chủ RADIUS triển khai để phù hợp với doanh nghiệp 40 4.2 Mô tả hệ thống Hình 3.2 Wireless Clients, AP RADIUS Server Mạng WLAN thân không bảo mật, nhiên mạng có dây bạn phòng ng a hay cấu hình bảo vệ chẳng bảo mật Điểm mấu chốt để tạo mạng WLAN bảo mật phải triển khai phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng an toàn Nhằm ngăn chặn truy cập mạng trái phép mà không mong muốn Khi client muốn truy cập vào mạng phải đăng nhập username password hợp lệ Quá trình xác thực điều khiển RADIUS server  Mô tả yêu cầu: - Cấu hình RADIUS server Window Server 2008, tạo user password cho client dự định tham gia vào mạng - Trên TP-LINK , thiết đặt security mode WPA2-Enterprise - Cho PC tham gia vào mạng, kiểm tra kết nối 41  Thiết bị yêu cầu: - AP Tp-link TL-WR740N - pc (1 pc có gắn card wireless pc làm Radius server) PC làm Radius server sử dụng hệ điều hành Windows Server 2008 Enterprise Edition nâng lên Domain Controller, PC làm wireless client sử dụng hệ điều hành Windows XP (hoặc Win 7, Win 10…) 4.3 Quy trình cài đặt Bƣớc 1: Cài đặt Network Policy and Access Services Role Ta vào Start chọn Server Manager Click vào Add Roles xuất hội thoại Add Roles Wizard, sau tích chọn Network Policy and Access Services Hình 3.3: Cài đặt Network Policy and Access Services role Chọn mục liệt kê (hình 3.4):  Network Policy Server  Routing and Remote Access Servers  Remote Access Services  Routing 42 Hình 3.4: Tích chọn số dịch vụ Role services Sau click Intall để cài đặt Lúc bạn bắt đầu việc cấu hình NPS với chức RADIUS: kích Start, đánh nps.msc nhấn Enter Tiếp theo ta vào Start  Administrative Tool  Network Policy Server Với tùy chọn Standard Configuration, chọn RADIUS server for 802.1X Wireless or Wired Connections(xem hình 3.5) t menu sổ xuống Hình 3.5: Chọn RADIUS server for 802.1X 43 Kích Configure 802.1X Với Type of 802.1X connections, chọn Secure Wireless Connections (xem hình 3.6) kích Next Hình 3.6: Chọn bảo mật kết nối không dây Với điều khiển điểm truy cập không dây, kích Add để tạo entry máy khách RADIUS Nhưng thể hình 3.7, phải định tên, thứ giúp bạn dễ phân biệt, địa IP DNS bí mật chia sẻ Shared Secret 44 Hình 3.7: Nhập vào thông tin chi tiết cho điều khiển hay điểm truy cập không dây bạn Về phương pháp nhận thực, Authentication Method, chọn Microsoft Protected EAP (PEAP) sử dụng PEAP Kích nút Configure…, chọn chứng mà bạn tạo trước, kích OK Trong cửa sổ Specify User Groups (xem hình 3.8), kích Add 45 Hình 3.8: Bổ sung nhóm người dùng mà bạn muốn họ kết nối Trong hộp thoại Select Group, nhập vào nhóm, kích Advanced để tìm kiếm nhóm có sẵn Nếu chưa tạo nhóm bổ sung, bạn chọn Domain Users phép người dùng Domain Computers cho nhận thực máy điều khiển hay AP bạn hỗ trợ Nếu nhận thông báo lỗi miền không tồn tại, bạn khởi động lại máy chủ Active Directory Domain Services thực lại lần Khi thêm nhóm mong muốn, kích Next để tiếp tục Trong cửa sổ Configure a VLAN (xem hình 3.9), mạng bạn (switch điều khiển hay AP) hỗ trợ VLAN bạn cấu hình chúng, kích Configure… để thiết lập chức VLAN 46 Hình 3.9: Kích nút Configure để định nghĩa thiết lập VLAN Giờ bạn thực xong việc cấu hình VLAN, kích Next Xem lại thiết lập kích Finish Bƣớc 2: Cấu hình điều khiển AP không dây Chọn -Enterprise WPA2-Enteprise Về kiểu mã hóa, chọn TKIP if using WPAorAES if using WPA2 Sau nhập vào địa IP cho máy chủ RADIUS, máy Windows Sever mà bạn thiết lập Tiếp đến, nhập vào bí mật chia sẻ mà bạn tạo trước cho điều khiển AP Sau lưu lại thiết lập Bƣớc 3: Cài đặt chứng CA tên máy khách Do tạo chứng máy chủ Certificate Authority (CA) cho riêng mình, nên cần cài đặt CA vào máy khách, cách này, máy khách hợp lệ hóa máy chủ trước thực nhận thực Để xem quản lý chứng Windows Server 2008, triệu gọi Certificate Manager Nếu bạn lưu MMC vào desktop 47 phần 1, mở Bằng không làm theo bước đây: Kích Start, đánh MMC nhấn Enter Trên cửa sổ MMC, kích File>Add/Remove Snap-in Chọn Certificates kích Add Chọn Computer account kích Next Chọn Local computer, kích Finish, sau kích OK Hình 3.10: Export chứng CA để cài đặt vào máy khách Lúc máy khách, kích đúp chứng kích nút Install Certificate(hình 3.11) Sử dụng wizard để import vào kho chứa Trusted Root Certificate Authorities 48 Hình 3.11: Cài đặt chứng CA vào máy khách Bƣớc 4: Cấu hình thiết lập mạng máy khách Giống việc cài đặt chứng chỉ, bạn đẩy thiết lập mạng cho máy khách Group Policy điều hành mạng miền Active Directory Đầu tiên, tạo network profile entry mạng ưa thích Với Security Type chọn WPA-Enterprise WPA2-Enteprise Với Encryption Type, chọn TKIP if using WPA AES if using WPA2 Mở network profile chọn tab Authentication Tích tùy chọn Enable IEEE 802.1x authentication for this network Với Network Authentication method (trong Vista & 7, thể 3.12) EAP Type (trong XP), chọn Protected EAP (PEAP) Trong XP, hủy chọn hai hộp kiểm cửa sổ 49 Hình 3.12: Chọn PEAP làm phương pháp nhận thực Chỉ Windows 7, kích nút Advanced Settings tab Security Sau cửa sổ Advanced Settings, tích tùy chọn Specify authentication mode, chọn User Authentication, kích OK để trở tab Security Kích Settings (trong Vista & 7)  Tích vào hộp đầu tiên, Validate server certificate  Tích hộp chọn thứ hai, Connect to these servers, nhập vào tên đầy đủ máy chủ Nếu cần, tìm Windows Server cách kích Start > Server Manager  Trong hộp danh sách Trusted Root Certification Authorities, chọn chứng CA mà bạn v a nhập  Chọn Secured password (EAP-MSCHAP v2) làm phương pháp nhận thực 50 Hình 3.13: Cấu hình thuộc tính PEAP  Kích nút Configure Nếu bạn điều hành mạng miền Active Directory, nên tích tùy chọn Ngược lại, hủy chọn để người dùng nhập vào username password họ sau kết nối với mạng Cuối cùng, kích OK cửa sổ để lưu thiết lập Bƣớc 5: Kết nối đăng nhập Trên máy khách, chọn mạng t danh sách mạng không dây có sẵn Hình 3.14: Cửa sổ đăng nhập 51 4.4 DEMO Ta khởi động Radius server AP T Wireless Client ta đăng nhập với user name , password Ta thấy kết sau: Hình 3.15 kết đăng nhập vào hệ thống Hình 3.16: Trạng thái kết nối 52 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN  Kết luận Thông qua việc tìm hiểu mạng không dây đặc biệt mạng cục không dây, có kiến thức chuẩn, cấu trúc mạng, vấn đề bảo mật triển khai hệ thống mạng cục không dây Việc phát triển mạng không dây thật đem lại hiệu với thuận lợi sử dụng thiết bị có tính di động cao vấn đề bảo mật đặt lên hàng đầu Do chọn phương pháp xác thực RADIUS Server kết hợp với phương pháp mã hóa WPA2 nhằm đề xuất giải pháp bảo mật WLAN Bảo mật WLAN phương pháp xác thực giải pháp bảo mật mạnh Nói nghĩa giải pháp hoàn toàn “bất khả xâm phạm”, thực tế muốn bảo mật tốt hệ thống không yếu tố phần cứng hay phần mềm mà yếu tố người  Hướng phát triển  Ứng dụng công nghệ Smart Card việc bảo mật WLAN  Nghiên cứu công nghệ WMAN (IEEE 802.16), WWAN (IEEE 802.20)  Tìm hiểu yêu cầu, mô hình thiết kế, triển khai bảo mật hệ thống WMAN, WWAN 53 TÀI LIỆU THAM KHẢO [1]Sybex CWNA Certified Wireless Network Administrator Study Guide Exam PW0-100 Sep 2006 [2] Luận văn cử nhân “Bảo mật WLAN RADIUS Server WPA2” Đặng Ngọc Cường – đại học Duy Tân [3] Luận văn thạc sỹ “Tìm hiểu mạng không dây phát triển dịch vụ mạng không dây” Nguyễn Khánh Trình – đại học Bách Khoa Hà Nội [4] Đồ án “Bảo mật mạng LAN không dây” Nguyễn Huy Bắc – đại học Bách Khoa Hà Nội [5] Luận văn “Các kiểu công mạng” Đặng Phạm Phúc Duy Nguyễn Hoàng Quốc Phong – đại học Ngoại Ngữ Tin Học TP Hồ Chí Minh [6] Luận văn “Các kiểu công mạng” Đặng Phạm Phúc Duy Nguyễn Hoàng Quốc Phong – đại học Ngoại Ngữ Tin Học TP Hồ Chí Minh [7] Các trang Web : - http://www.thegioiwifi.vn/forum/ - http://www.quantrimang.com.vn/ - … 54