BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - PHẠM QUỐC HOÀNG NGHIÊN CỨU VÀ TRIỂN KHAI CÁC GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY TẠI ĐÀI TNVN CHUYÊN NGÀNH KĨ THUẬT ĐIỆN TỬ LUẬN VĂN THẠC SỸ Hướng dẫn khoa học: TS NGUYỄN XUÂN DŨNG Hà Nội 10/2009 MỤC LỤC Trang MỤC LỤC .1 DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC SƠ ĐỒ LỜI MỞ ĐẦU PHẦN 1: TỔNG QUAN VỀ MẠNG KHÔNG DÂY 1.1.KHÁI NIỆM MẠNG MÁY TÍNH KHÔNG DÂY .9 1.1.1.Giới thiệu 1.1.2.Ưu điểm mạng máy tính không dây 1.1.3.Hoạt động mạng máy tính không dây 10 1.1.4.Các mô hình mạng máy tính không dây 11 1.1.4.1.Kiểu Ad – hoc 11 1.1.4.2.Kiểu Infrastructure 12 1.1.5.Cự ly truyền sóng, tốc độ truyền liệu 12 1.2.KỸ THUẬT ĐIỀU CHẾ TRẢI PHỔ 12 1.2.1.Trải phổ trực tiếp DSSS – Direct Sequence Spread Spectrum .13 1.2.2.Trải phổ nhẩy tần FHSS – Frequency Hopping Spread Spectrum .14 1.1.3.Công nghệ ghép kênh phân chia theo tần số trực giao OFDM – Orthogonal Frequency Division Multiplexing 15 1.3.CÁC CHUẨN 802.11 16 1.3.1.Nhóm lớp vật lý PHY 17 1.3.1.1.Chuẩn 802.11b 17 1.3.1.2.Chuẩn 802.11a 17 1.3.1.3.Chuẩn 802.11g 17 1.3.1.4.Chuẩn 802.11n 18 1.3.2.Nhóm lớp liên kết liệu MAC 18 1.3.2.1.Chuẩn 802.11d 18 1.3.2.2.Chuẩn 802.11e 18 1.3.2.3.Chuẩn 802.11f 19 1.3.2.4.Chuẩn 802.11h 19 1.3.2.5.Chuẩn 802.11i 19 PHẦN 2: MỘT SỐ VẤN ĐỀ BẢO MẬT CHO MẠNG KHÔNG DÂY WLAN 20 2.1.GIỚI THIỆU 20 2.2.MỘT SỐ HÌNH THỨC TẤN CÔNG MẠNG WLAN PHỔ BIẾN VÀ CÁCH ĐỐI PHÓ .22 2.2.1.Tấn công bị động – Passive attacks .22 2.2.1.1.Định nghĩa 22 2.2.1.2.Kiểu công bị động cụ thể - Phương thức bắt gói tin (Sniffing) 22 2.2.3.Tấn công chủ động – Active attacks .25 2.2.3.1.Định nghĩa 25 2.2.3.2.Các kiểu công chủ động cụ thể 26 2.2.3.3.Tấn công kiểu chèn ép - Jamming attacks 31 2.2.3.4.Tấn công theo kiểu thu hút - Man in the middle attacks 32 2.3.MỘT SỐ GIẢI PHÁP BẢO MẬT CHO MẠNG KHÔNG DÂY WLAN 33 2.3.1.Một số khái niệm 33 2.3.1.1.Chứng thực - Authentication 33 2.3.1.2.Phê duyệt – Authorization 34 2.3.1.3.Kiểm tra – Audit 34 Luận văn thạc sĩ Điện tử - Viễn thông 2.3.1.4.Mã hóa liệu – Data Encryption 34 2.3.2.Chứng thực địa MAC – MAC Address 35 2.3.2.1.Nguyên lý thực 35 2.3.2.2.Nhược điểm 36 2.3.3.Chứng thực SSID .36 2.3.3.1.Nguyên lý thực 36 2.3.3.2.Nhược điểm SSID 38 2.3.4.Phương thức chứng thực mã hóa WEP 40 2.3.4.1.Giới thiệu 40 2.3.4.2.Phương thức chứng thực 41 2.3.4.3.Phương thức mã hóa 42 2.3.4.4.Các ưu, nhược điểm WEP 45 2.3.4.5.Phương thức dò mã chứng thực 47 2.3.4.6.Phương thức dò mã dùng chung – Share key WEP 47 2.3.4.7.Cải tiến phương pháp chứng thực mã hóa WEP 51 2.3.5.Chuẩn chứng thực 802.1x thiết lập chế xác thực người dùng 55 2.3.5.1.Nguyên lý RADIUS Server 55 2.3.5.2.Giao thức chứng thực mở rộng EAP 58 2.3.6.Hệ thống phát xâm nhập mạng không dây (WLAN Intrusion Detection System) .67 2.3.6.1.Các kỹ thuật phát xâm nhập IDS (Intrusion Detection System) 67 2.3.6.2 Wireless IDS 70 2.3.6.3 Triển khai hệ thống Wireless IDS 72 PHẦN 3: TRIỂN KHAI CÁC GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY TẠI ĐÀI TIẾNG NÓI VIỆT NAM .74 3.1 CÁC YẾU TỐ CẦN QUAN TÂM KHI TRIỂN KHAI MẠNG BẢO MẬT KHÔNG DÂY 74 3.2.CÁC MỤC TIÊU CỦA BẢO MẬT KHÔNG DÂY 74 3.2.1.Sự tin cậy 75 3.2.2.Sự xác thực 75 3.2.3.Điều khiển truy nhập .75 3.2.4.Tính toàn vẹn 75 3.2.5.Khả từ chối truyền thông 76 3.3.MỘT SỐ YÊU CẦU KHI TRIỂN KHAI CÁC BIỆN PHÁP BẢO MẬT KHÔNG DÂY .76 3.3.1.Phân cấp .76 3.3.2.Khả bổ xung 76 3.3.3.Hiệu 76 3.3.4.Tính sẵn sàng 76 3.4.CÁC NGUYÊN TẮC THIẾT KẾ BẢO MẬT TRONG MÔI TRƯỜNG LÀM VIỆC 77 3.5.TRIỂN KHAI GIẢI PHÁP BẢO MẬT XÁC THỰC NGUỜI DÙNG 802.1X 79 3.5.1.Lí lựa chọn giải pháp bảo mật 802.1x 79 3.5.1.1 Những ưu việt giải pháp bảo mật 802.1x so với giải pháp bảo mật khác 79 3.5.1.2.Sự phù hợp với thực tế triển khai 802.1x: 84 3.5.2.Đánh giá chuẩn giao thức xác thực mở rộng EAP 85 3.5.3.Xây dựng mô hình triển khai: .87 3.5.4.Các bước triển khai ứng dụng 89 3.5.5.Một số giải pháp bảo mật mạng không dây kết hợp .90 3.5.5.1.Thiết lập an ten điều chỉnh 90 3.5.5.2.Vô hiệu hóa quảng bá SSID 91 3.5.5.3.Lọc Mac 91 3.5.5.4.VPN 92 3.5.6.Khả mở rộng phát triển .93 KẾT LUẬN 94 TÀI LIỆU THAM KHẢO 96 PHỤ LỤC 97 Phạm Quốc Hoàng Luận văn thạc sĩ Điện tử - Viễn thông DANH MỤC CÁC TỪ VIẾT TẮT AAA - Authentication Authorization Audit ACL - Access control lists ACS - Access Control Server ACU - Aironet Client Utility AES – Advanced Encryption Standard AP - Access point APOP - Authentication POP BSS - Basic Service Set BSSID - Basic Service Set Identifier CA - Certificate Authority CCK - Complimentary Code Keying CHAP - Challenge Handshake Authentication Protocol CMSA/CD - Carrier Sense Multiple Access with Collision Detection CRC - Cyclic redundancy check CSMA/CA - Carrier Sense Multiple Access with Collision Avoidance CTS - Clear To Send DES - Data Encryption Standard DFS - Dynamic Frequency Selection DHCP - Dynamic Host Configuration Protocol DMZ - Demilitarized Zone DOS - Denial of service DRDOS - Distributed Reflection DOS DS - Distribution System Phạm Quốc Hoàng Luận văn thạc sĩ Điện tử - Viễn thông DSSS - Direct Sequence Spread Spectrum EAP - Extensible Authentication Protocol EAPOL - EAP Over LAN EAPOW - EAP Over Wireless ESS - Extended Service Set ETSI - European Telecommunications Standards Institute FCC - Federal Communications Commissio FHSS – Frequency Hopping Spread Spectrum GPS - Global Positioning System HTML -HyperText Markup Language HTTP - HyperText Transfer Protocol IBSS - Independent Basic Service Set ICMP -Internet Control Message Protocol ICV – Intergrity Check Value IEEE - Institute of Electrical and Electronics Engineers IETF - Internet Engineering Task Force IR - Infrared Light IKE - Internet Key Exchange IP - Internet Protocol IPSec - Internet Protocol Security IrDA - Infrared Data Association ISDN -Integrated Services Digital Network ISM - Industrial Scientific and Medical ISP - Internet Service Provider ITU - International Telecommunication Union IV - Initialization Vector LAN - Local Area Network LCP – Link Control Protocol Phạm Quốc Hoàng Luận văn thạc sĩ Điện tử - Viễn thông LEAP - Light Extensible Authentication Protocol LLC - Logical Link Control LOS - Light of Sight MAC - Media Access Control MAN - Metropolitan Area Network MIC - Message Integrity Check MSDU - Media Access Control Service Data Unit OCB - Offset Code Book OFDM - Orthogonal Frequency Division OSI - Open Systems Interconnection OTP - One-time password PAN - Person Area Network PBCC - Packet Binary Convolutional Coding PCMCIA - Personal Computer Memory Card International Association PDA - Personal Digital Assistant PEAP - Protected EAP Protocol PKI-Public Key Infrastructure PRNG - Pseudo Random Number Generator QoS - Quality of Service RADIUS - Remote Access Dial-In User Service RF - Radio frequency RFC - Request For Comment RTS - Request To Send SIG - Special Interest Group SSH - Secure Shell SSID - Service Set ID SSL - Secure Sockets Layer STA - Station Phạm Quốc Hoàng Luận văn thạc sĩ Điện tử - Viễn thông SWAP - Standard Wireless Access Protocol TACACS - Terminal Access Controller Access Control System TCP - Transmission Control Protocol TFTP - Trivial File Transfer Protocol TKPI - Temporal Key Integrity Protocol TLS - Transport Layer Security TPC - Transmission Power Control UDP - User Datagram Protocol UWB – Ultra Wide Band UNII - Unlicensed National Information Infrastructure VLAN - Virtual LAN WAN - Wide Area Network WECA - Wireless Ethernet Compatibility WEP - Wired Equivalent Protocol WLAN - Wireless fidelity WLAN - Wireless LAN WPAN - Wireless Personal Area Network Phạm Quốc Hoàng Luận văn thạc sĩ Điện tử - Viễn thông DANH MỤC SƠ ĐỒ 11 Hình 1.1: Mô hình mạng Ad – hoc (hay mạng ngang hàng)…………………… 13 Hình 1.2: Hoạt động trải phổ chuỗi trực tiếp………………………………… 14 Hình 1.3: Mô hình nhảy tần CABED……………………………………………… 15 Hình 1.4: Phương thức điều chế OFDM…………………………………………… 21 Hình 2.1: Một người lạ truy cập vào mạng………………………………………… 22 Hình 2.2: Phần mềm bắt gói tin Ethereal…………………………………………… 23 Hình 2.3: Phần mềm thu thập thông tin hệ thống mạng không dây NetStumbler… 28 Hình 2.4 Mô tả trình công DOS tầng liên kết liệu……………………… 30 Hình 2.5: Mô tả trình công mạng AP giả mạo……………………… 32 Hình 2.6: Mô tả trình công theo kiểu chèn ép……………………………… 33 Hình 2.7: Mô tả trình công theo kiểu thu hút……………………………… 36 Hình 2.8: Mô tả trình chứng thực địa MAC………………………… 37 Hình 2.9: Mô tả trình chứng thực SSID………………………………… 38 Hình 2.10: Mô hình phương pháp chứng thực SSID 802.11………………… 40 Hình 2.11: Giá trị SSID AP phát chế độ quảng bá………………………… 40 Hình 2.12: Giá trị SSID AP phát chế độ trả lời Client…………………… 41 Hình 2.13: Mô tả trình chứng thực Client AP………………………… 42 Hình 2.14: Cài đặt mã khóa dùng chung cho WEP………………………………… 43 Hình 2.15: Mô tả trình mã hoá truyền đi………………………………… 45 Hình 2.16: Mô tả trình giải mã nhận về…………………………………… 49 Hình 2.17: Mô tả trình thực từ bên mạng không dây……………… 50 Hình 2.18: Mô tả nguyên lý Bit- Flipping………………………………………… 51 Hình 2.19: Mô tả trình thực từ bên mạng không dây……………… 52 Hình 2.20: Cấu trúc khung liệu trước sau bổ xung……………………… 53 Hình 2.21: Cấu trúc bên trường MIC…………………………………… 56 Hình 2.22: Mô tả trình mã hóa truyền sau bổ xung………………… 57 Hình 2.24: Mô hình chứng thực sử dụng RADIUS Server………………………… 59 Hình 2.26: Mô hình chứng thực sử dụng RADIUS Server………………………… 59 Hình 2.27: Cấu trúc khung tin yêu cầu trả lời………………………… 62 Hình 2.28: Cấu trúc khung EAP thành công không thành công…………… 63 Hình 2.29: Cấu trúc cổng…………………………………………………………… 64 Hình 2.30: Mô hình chứng thực sử dụng RADIUS Server………………………… 64 Hình 2.31: Cấu trúc khung EAPOL…………………………………… 66 Hình 2.32: Các bước trao đổi chứng thực EAP……………………………… 87 Bảng 3.1:Bảng so sánh chuẩn giao thức xác thực mở rộng …………………… 87 Hình 3.1 Mô hình triển khai………………………………………………………… Phạm Quốc Hoàng Luận văn thạc sĩ Điện tử - Viễn thông LỜI MỞ ĐẦU Ngày mạng máy tính ngày phát triển với xuất ngày nhiều thiết bị công nghệ di động, thiết bị ngày gắn bó đem lại tiện lợi to lớn cho sống người Với việc triển khai phổ biến mạng không dây với đặc thù truyền dẫn mạng không dây vấn đề bảo mật trở lên cấp thiết hết Ngay từ xuất chuẩn không dây 802.11 nhà sản xuất không ngừng cải tiến, nghiên cứu tìm giải pháp bảo mật không dây đưa vào sử dụng để đáp ứng nhu cầu khắt khe người sử dụng việc bảo vệ liệu tài nguyên trước công ngày tinh vi khó lường Với giải pháp bảo mật có sẵn việc nghiên cứu lựa chọn mô hình bảo mật để ứng dụng cho phù hợp tối ưu với doanh nghiệp câu hỏi đặt cho người làm công tác kĩ thuật triển khai mạng không dây Việc thiết kế giải pháp bảo mật cho doanh nghiệp toán tối ưu chi phí triển khai với phạm vi mức độ bảo mật điều kiện khu vực triển khai Trong khuôn khổ luận văn, chọn đề tài nhỏ xuất phát từ yêu cầu thực tế làm việc “Nghiên cứu triển khai giải pháp bảo mật mạng không dây Đài TNVN” Nội dung gồm phần: Phần 1: Trình bày tổng quan mạng không dây, nguyên lý chung, vấn đề kĩ thuật liên quan chuẩn không dây Phân 2: Trình bày vấn đề bảo mật mạng không dây Các giải pháp bảo mật nguy công biện pháp đối phó Phần 3: Trình bày vấn đề liên quan triển khai giải pháp bảo mật không dây áp dụng cụ thể Đài TNVN Luận văn hoàn thành với hướng dẫn nhiệt tình TS.Nguyễn Xuân Dũng, Giảng viên Khoa Điện tử-Viễn thông, Đại học Bách khoa Hà nội với nỗ lực thân giúp đỡ gia đình bè bạn Tôi chân thành cảm ơn giúp đỡ quí báu Ngoài ra, luận văn có tham khảo số tài liệu nước Phần tài liệu tham khảo liệt kê tài liệu Hà nội ngày 26 tháng 10 năm 2009 Phạm Quốc Hoàng Phạm Quốc Hoàng Luận văn thạc sĩ Điện tử - Viễn thông PHẦN 1: TỔNG QUAN VỀ MẠNG KHÔNG DÂY 1.1.KHÁI NIỆM MẠNG MÁY TÍNH KHÔNG DÂY 1.1.1.Giới thiệu Mạng máy tính từ lâu trở thành thành phần thiếu nhiều lĩnh vực đời sống xã hội, từ hệ thống mạng cục dùng để chia sẻ tài nguyên đơn vị hệ thống mạng toàn cầu Internet Các hệ thống mạng hữu tuyến vô tuyến ngày phát triển phát huy vai trò Mặc dù mạng không dây xuất từ nhiều thập niên năm gần đây, với bùng nổ thiết bị di động nhu cầu nghiên cứu phát triển hệ thống mạng không dây ngày trở nên cấp thiết Nhiều công nghệ, phần cứng, giao thức, chuẩn đời tiếp tục nghiên cứu phát triển Mạng không dây có tính linh hoạt cao, hỗ trợ thiết bị di động nên không bị ràng buộc cố định phân bố địa lý mạng hữu tuyến Ngoài ra, ta dễ dàng bổ sung hay thay thiết bị tham gia mạng mà không cần phải cấu hình lại toàn topology mạng Tuy nhiên, hạn chế lớn mạng không dây khả bị nhiễu gói tin so với mạng hữu tuyến Bên cạnh đó, tốc độ truyền vấn đề đáng quan tâm Hiện nay, hạn chế dần khắc phục Những nghiên cứu mạng không dây thu hút viện nghiên cứu doanh nghiệp giới Với đầu tư đó, hiệu chất lượng hệ thống mạng không dây ngày nâng cao, hứa hẹn bước phát triển tương lai 1.1.2.Ưu điểm mạng máy tính không dây Mạng máy tính không dây nhanh chóng trở thành mạng cốt lõi mạng máy tính phát triển vượt trội Với công nghệ này, người sử dụng truy cập thông tin dùng chung mà tìm kiếm chỗ để nối dây mạng, mở rộng phạm vi mạng mà không cần lắp đặt di chuyển dây Các mạng máy tính không dây có ưu điểm hiệu suất, thuận lợi, cụ thể sau: Phạm Quốc Hoàng TÀI LIỆU THAM KHẢO A Tiếng anh 1) Frank Ohrtman and Konrad Roeder, WLAN Handbook Building 802.11b Wireless Networks- WLAN Security, McGraw- Hill, 2003 2) Gilbert Held, Securing Wireless Lans, Wiley Publishing, US, 2003 3) Designing A Wireless Network (Syngress Publishing 2001) 4) Building A Cisco Wireless LAN(Syngress Publishing 2002) 5) Building Wireless Community Networks (O'Reilly 2002) 6) Configuring the Cisco Wireless Security Suite (Cisco System 2002) 7) Wireless Security and Privacy: Best Practices and Design Techniques (Addison Wesley 9/2002) 8) Building Secure Wireless Networks with 802.11 (Wiley Publishing 2003) 9) Wireless Security: Critical Issues and Solutions (Craig J Mathias 2003) 10)Wireless Security Essentials by Russell Dean Vines @2002 Wiley Publishing 11)Securing Wireless LAN by Grillbert Held @2003 Wiley 12)Deploying Secure 802.11 Wireless Networks with Microsoft Windows @ 2004 13)Designing a wireless network by Jeffey Wheat, Randy Hiser, Jackie Tuker 14)CWNA-Certified Wireless Network Administrator & CWNP- Certified Wireless Networking Professional form Cisco 15)Wireless Hacks by Rob Flickenger Copyright @2003 O’Reilly @Associates, inc 16)White paper: 802.1x Port Authentication with Microsoft’s Active Directory B Tiếng Việt 10.Bảo mật mang không dây vấn đề giải pháp (Lận văn thạc sĩ Tác giả ĐỖ THANH BÌNH 2005) Phạm Quốc Hoàng 96 PHỤ LỤC A Phụ lục A: Các bước triển khai cụ thể với 802.1X Với hệ thống Windows Server 2003 Service Pack a Cấu hình Access Point - AP bạn phải hỗ trợ 802.1X WEP -Vào giao diện quản trị AP, tìm mục "Wireless Security" "Wireless Settings" tùy loại AP sau thiết lập giá trị RADIUS Server, Port, Secret key - Vào mục 802.1X Security bật tính lên thiết lập giá trị: độ dài key (chọn dài cho an tâm) re-key No rekeying - clients không làm Rekeying every X minutes – sinh key sau X phút Phạm Quốc Hoàng 97 Rekeying every X packets – sinh key sau X gói tin gửi Save, exit b Cấu hình Windows 2003 Certification Authority PEAP phương pháp xác thực chiều, nên Server (IAS) cần phải xác thực với Clients trước Clients gừi username mật (đã mã Public key IAS Certificate) hóa đến Sau IAS giải mã để lấy username mật Private key - Cài đặt: Control panel > Add/remove program > Add/remove Win component -> Certificate service (Trong trình cài đặt nhớ chọn IIS để dùng Web Enrollment Wizard) - Cấp chứng cho IAS Server - Cấp chứng cho Wireless clients (tương tự) c Cấu hình Active Directory - Vào User account > Dial-in Tab > mục Remote Access Permission chọn “Control Access through Remote Access Policy” để quản lý việc vào ông User qua IAS (Nếu option bị mờ, có nghĩa domain functional level nhỏ 2000 native 2003 mode, ta phải nâng domain functional level lên) - Thêm tài khoản máy tính chạy dịch vụ IAS vào Group "RAS and IAS Servers" cách đơn giản mở IAS console, phải chuột vào tên máy, chọn "Authorize" Phạm Quốc Hoàng 98 [IMG]http: //www *************/titanevn/reg_ad_ISA JPG[/IMG] d Cấu hình IAS - Cài đặt: Control panel > Add/remove program > Add/remove Win component > Networking Services > Internet Authentication Service - Mở IAS Console từ thư mục Administrative Tools, bấm phải chuột vào tên server chọn "Register Server in Active Directory" - Chuyển lên mục RADIUS Client, bấm phải chuột chọn "New RADIUS Client" cửa sổ mở ra, ta nhập thông số Thiết bị Access Point: địa IP Secret key Ở phần chọn "Client-Vendor" loại Access Point có tên danh mục chọn; loại chọn "RADIUS Standard" Phạm Quốc Hoàng 99 e.Tạo Policies cho phép Wireless clients kết nối vào mạng - Bấm phải chuột vào Remote Access Policies; chọn New Remote Access Policy - Ở Wizard ra: gõ tên Policies (gì được, dễ hiểu, dễ phân biệt với Policies khác) - Kiểu kết nối: chọn Wireless - Kiểu xác thực: PEAP; cửa sổ này, ta chọn thêm Certificate lúc đầu tạo cho IAS Server f.Phần thiết lập máy trạm XP Thực theo bước sau để cấu hình thiết lập thích hợp cho Windows XP: Trên cửa sổ Local Area Connection Properties, chọn tab Wireless Networks Nếu entry tồn có SSID mạng không dây WEP, bạn chọn kích Properties Nếu entry tồn trước, kích Add Trên tab Association cửa sổ Wireless Network Properties: Nhập vào tên mạng SSID mong muốn, add vào entry Chọn WEP WPA,WPA2 cho trường Network Authentication, dựa vào phiên thiết lập máy chủ RADIUS (Chọn TKIP cho trường Data Encryption sử dụng WPA AES sử dụng WPA2) Trong tab Authentication (xem hình 1): Chọn Ensure Protected EAP (PEAP) cho EAP Type Hủy chọn hai hộp kiểm khác, trừ RADIUS server thiết lập cho tình đặc biệt Phạm Quốc Hoàng 100 Hình Trong tab Authentication, kích nút Properties thực theo bước cửa sổ Protected EAP Properties (xem hình 2): Chọn hộp kiểm đâu tiên, Validate server certificate Hủy chọn hộp kiểm thứ hai, Connect to these servers Chọn CA certificate cài đặt máy chủ RADIUS bên AP từ danh sách Nếu chứng tự ký AP sử dụng Chọn cho “Secured password (EAP-MSCHAP v2)” cho trường Select Authentication Method kích nút Configure Trong hộp thoại xuất hiện, hủy chọn tùy chọn có tên Automatically use my Windows logon name and password (and domain if any), kích OK Hình hiển thị hai cửa sổ Phạm Quốc Hoàng 101 Hình g.Kết nối đến mạng không dây WEP/802.1x Sau cấu hình thiết lập mạng Windows, chọn mạng từ danh sách mạng không dây hữu, giống kết nối vào mạng Wi-Fi khác Một thông báo phần phía góc phải Windows xuất để bạn nhập vào tiêu chuẩn đăng nhập; kích vào thông báo Trong hộp thoại Enter Credentials xuất hiện, nhập vào tên người dùng mật cho tài khoản thiết lập máy chủ RADIUS bên AP, để trống trường Logon Domain, sau nhấn Enter B Phụ lục B: Hướng dẫn sử dụng FreeRADIUS để chứng thực Wi-Fi : Chúng ta sử dụng máy chủ FreeRADIUS làm máy chủ chứng thực, dự án mã nguồn mở, phát triển GNU General Public License Version (GPLv2) Nó thực máy chủ RADIUS sử dụng rộng khắp toàn giới Ngoài việc thực chứng thực 802.1X/PEAP, chứng thực mà thiết lập, máy chủ hỗ trợ nhiều kiểu chứng thực khác loạt kiểu Phạm Quốc Hoàng 102 mạng khác Nó có khả tự động chuyển đổi dự phòng, cân tải hỗ trợ nhiều sở liệu backend Trước tiên bạn cần cài đặt phân phối Linux Hướng dẫn dựa hệ điều hành CentOS, hệ điều hành mã nguồn mở miễn phí Bên cạnh hệ điều hành Mac OS X Windows hỗ trợ, phân phối Linux Mẹo: Nếu không thực cài đặt mặc định CentOS 5.3, bạn cần bảo đảm cài đặt gói OpenSSL trước thực Bạn cài đặt FreeRADIUS PC cũ Chỉ cần bảo đảm máy tính FreeRADIUS có kết nối chạy dây với mạng Thêm vào bảo đảm có địa IP tĩnh địa động Gán địa cho adapter mạng CentOS dự trữ địa khác thông qua thiết lập DHCP router Lưu ý: Hướng dẫn cài đặt dựa tên phiên 5.3 hệ điều hành CentOS phiên FreeRADIUS 2.1.6 Lúc gói phần mềm FreeRADIUS hành không cung cấp thông qua địa lưu trữ CentOS thông thường mà có gói phần mềm phiên cũ 1.x.x Chính sử dụng location nhóm thứ ba Mặc dù sau bạn cài đặt phiên hành (2.x.x) FreeRADIUS cách sử dụng gói phần mềm thông qua Package Manager cách Sử dụng CentOS, download file freeradius2.repo lưu vào desktop Mở Terminal đánh "su", nhập vào mật gốc bạn Sau đánh "cp /home/yourusername/Desktop/freeradius2.repo /etc/yum.repos.d" Tiếp tục đánh "yum install freeradius2", nhắc nhở, nhập "y" để bắt đầu trình cài đặt Nếu cần đến dependency, chọn để cài đặt chúng Nếu gặp lỗi "Package is not signed", đánh "gedit" sử dụng trình soạn thảo văn (text editor) để thay đổi "gpgcheck=1" thành "gpgcheck=0" file /etc/yum.conf, sau lưu đóng trình soạn thảo văn Sau cài đặt hoàn tất, đảo Phạm Quốc Hoàng 103 ngược thiết lập Hãy đánh vào dòng cài đặt lần cửa sổ terminal tồn Bạn cài đặt gói phần mềm FreeRADIUS bổ sung, chẳng hạn gói phần mềm hỗ trợ cho sở liệu backend Để thấy danh sách gói, đánh "yum info freeradius2*" Trong hướng dẫn này, sử dụng MySQL, cài đặt câu lệnh "yum install freeradius2-mysql" Tiếp đến, chọn cài đặt dependency cách đánh “y” +Khởi động cấu hình file Nếu bạn chưa làm việc với máy chủ Unix/Linux ứng dụng dòng lệnh FreeRADIUS khó hiểu bạn lúc Mặc dù có vài tiện ích GUI có sẵn thường cấu hình thông qua file văn cấu hình Việc cài đặt FreeRADIUS đơn giản Các file cấu hình mặc định cấu hình trước để chạy hầu hết giao thức chứng thực mà không cần nhiều hay thay đổi Không thay đổi xóa thiết lập mà bạn không hiểu thực Một lỗi đơn giản phá hỏng cấu hình tốn nhiều thời gian để khắc phục cố Nếu bạn có +Tạo chứng tự ký cho PEAP Mặc dù chứng SSL yêu cầu cho PEAP TLS tạo cách tự động FreeRADIUS, bạn phải tùy chỉnh thuộc tính nhận dạng mật Thực điều trước chạy máy chủ lần đầu cách thực thay đổi Mở Terminal, đánh "su" cho root mode, chạy "gedit" để mở trình soạn thảo văn Sau mở file ca, client server cnf từ /etc/raddb/certs Trong file cấu hình, chỉnh sửa sau: Thay đổi "default_days" phần CA Default thành số lớn năm, bạn tạo nâng cấp chứng Phạm Quốc Hoàng 104 Thay đổi "input_password" "output_password" phần Req để chứng bảo vệ thay cho mật mặc định Thay đổi giá trị cho trường nhận dạng phần Certificate Authority, Client Server Lưu file không đóng trình soạn thảo lúc Bạn cần nâng cấp mật file etc/raddb/eap.conf cách thay đổi giá trị "private_key_password" phần TLS Lưu file đóng trình soạn thảo Trong root terminal tồn tại, đánh "/usr/sbin/radiusd -X" Lệnh tạo chứng tự ký bạn bắt đầu máy chủ chế độ gỡ rối để bạn thấy xảy Nếu thứ diễn kế hoạch bạn thấy dòng chữ "Ready to process requests" cuối Mặc dù máy chủ cài đặt chạy, phần hướng dẫn bạn cách cấu hình vài thiết lập khác trước sẵn sàng chứng thực người dùng Wi-Fi bạn +Cài đặt thiết lập EAP Có nhiều kiểu EAP, bạn phải định kiểu muốn sử dụng Trong hướng dẫn thảo luận việc sử dụng PEAP, kiểu EAP không yêu cầu bạn tạo chứng bảo mật cho người dùng Họ kết nối mạng cách sử dụng username password họ Khi bạn sẵn sàng, tạo thay đổi nhỏ file cấu hình EAP: Mở Terminal, đánh "su" cho root mode, chạy "gedit" để mở Text Editor Sau mở etc/raddb/eap.conf Trong phần phần EAP, thay đổi "default_eap_type" từ "md5" thành "peap" Lưu đóng file, nhiên để mở Text Editor +Tạo tài khoản người dùng Phạm Quốc Hoàng 105 Tiếp đến bạn cần tạo username password mà người dùng nhập vào kết nối đến mạng Wi-Fi Đầu tiên tạo tài khoản người dùng file cấu hình để test máy chủ Sau sử dụng sở liệu MySQL để lưu thông tin người dùng, giải pháp tuyệt vời bạn có nhiều người dùng cần thay đổi thông tin mật họ cách thường xuyên Trong trình soạn thảo văn root tồn tại, mở etc/raddb/users Sau đánh vào username, nhấn Tab đánh Cleartext-Password := "thepassword" Đây ví dụ: egeier Cleartext-Password := "pass123" Lưu đóng file, nhiên để mở trình soạn thảo Nhập vào thông tin chi tiết AP (client) Lúc bạn phải nhập vào địa IP bí mật chia sẻ (mật khẩu) tối thiểu AP không dây, thứ gọi client FreeRADIUS Tiếp đến bạn lưu trữ thông tin chi tiết client sở liệu, chẳng hạn MySQL Mặc dù bạn làm việc mạng nhỏ, bạn dễ dàng sử dụng phương pháp file văn Trên trình soạn thảo văn root tồn tại, mở etc/raddb/clients.conf nhập vào thông tin chi tiết cho AP theo ví dụ đây: Client 192.168.0.1 {secret = testing123 shortname = private-network-1} Thay đổi địa IP, nhập vào bí mật cho AP nhập tên mô tả Sau không quêTrong phần loạt giới thiệu cho bạn cách cài đặt FreeRADIUS để thực chứng thực 802.1 X/PEAP, với mục đích để chạy mã hóa WPA WPA2 Enterprise mạng Wi-Fi Chúng ta load PC với hệ điều hành CentOS 5.3 cài đặt FreeRADIUS phiên 2.1.6 Thêm vào tạo số tài khoản người dùng nhập vào số thông tin chi tiết AP Trong phần hai giới thiệu cách mở tường lửa CentOS cấu hình điểm truy cập (AP) Sau phân phối file CA đến tất máy tính cấu hình chúng với Phạm Quốc Hoàng 106 thiết lập chứng thực mã hóa Cuối thiết lập SQL để lưu trữ thông tin AP thông tin người dùng sở liệu thay file văn +Mở tường lửa CentOS có tường lửa đính kèm kích hoạt cách mặc định Để lưu lượng RADIUS đến FreeRADIUS, bạn phải mở cổng mà sử dụng Kích System >Administration > Security Level and Firewall Sau kích mũi tên để mở rộng phần Other Ports Thêm cổng UDP 1812 1813 sau kích Apply +Khởi động lại máy chủ để load thiết lập Nếu bạn thực thay đổi cấu hình FreeRADIUS hoạt động, bạn phải khởi động lại máy chủ để thay đổi bạn có hiệu lực Để stop máy chủ, vào cửa sổ terminal nhấn Ctrl + C Sau đánh '/usr/sbin/radiusd -X' lần (hoặc nhấn phím mũi tên hướng lên) để bắt đầu trình khởi động lại Nếu bạn mở cửa sổ terminal mới, bạn phải đánh 'su' trước để chạy chế độ root Lúc máy chủ chạy chuẩn bị chấp nhận yêu cầu chứng thực từ phía người dùng Wi-Fi Khi mạng mã hóa bạn hoạt động, bạn bỏ qua '–X' để bắt đầu FreeRADIUS mà không cần việc gỡ rối Máy chủ làm việc chế độ background bạn tham chiếu đến file ghi việc giải thích liệu +Cấu hình AP Đây lúc bạn cấu hình AP Sau thiết lập chúng để sử dụng mã hóa WPA (TKIP) hay WPA2 (AES) Enterprise, bạn phải nhập vào thiết lập RADIUS Những thiết lập bao gồm địa IP máy FreeRADIUS, cổng (1812), bí mật mà bạn định nghĩa cho AP Hầu hết AP hỗ trợ việc giải thích để lưu thông tin session Nếu bạn cần giải thích, bạn phải nhập vào thông tin chi tiết tương tự máy chủ với cổng 1813 +Cài đặt file CA tất máy tính Mặc dù giao thức chứng thực PEAP không yêu cầu chứng máy khách, nhiên bạn phải cài đặt chứng cho Certificate Authority (CA) Phạm Quốc Hoàng 107 máy tính Điều sử dụng chứng tự ký cho máy chủ thay cho việc mua chứng ký từ CA mà Windows nhận diện, chẳng hạn VeriSign GoDaddy Bạn cần copy file etc/raddb/certs/ca.der vào tất máy tính Bạn copy vào ổ USB thực paste vào máy tính Để copy, bạn mở terminal đánh "su" để vào chế độ root, sử dụng chế độ tồn đó, chạy lệnh copy, chẳng hạn "cp /etc/raddb/certs/ca.der /newlocation/certs" Lúc này, máy tính Windows, kích chuột phải vào file chứng chọn Install Certificate Sau đặt vào kho lưu trữ Trusted Root Certification Authorities Trên hộp thoại xác nhận, chọn Yes để cài đặt +Cấu hình máy tính với thiết lập chứng thực mã hóa Trên mạng WEP WPA/WPA2-personal, bạn chọn mạng nhắc nhở key Mặc dù việc kết nối đến mạng mã hóa doanh nghiệp gặp nhiều phức tạp việc cấu hình cấu hình, bạn kết nối cách đơn giản với mạng cách nhập vào username password, chí bạn lưu thông tin để nhập nhiều lần Nếu chưa có profile không tồn mạng, bạn cần tạo profile Sau cấu hình thiết lập Nhớ rằng, bạn sử dụng mã hóa WPA (TKIP) WPA2 (AES) Enterprise với chứng thực PEAP Trong hộp thoại thuộc tính PEAP, bạn cần chọn để hợp lệ hóa chứng máy chủ chọn chứng import Thêm vào bạn nhập địa IP máy chủ để sử dụng hợp lệ hóa Sau bảo đảm bạn sử dụng phương pháp Password (EAP-MSCHAP v2) Kích nút Configure để bảo đảm thiết lập (Automatically use my Windows logon name and password) hộp thoại không kiểm Cần lưu ý rằng, lần đầu bạn kết nối mạng, hộp thoại Validate Server Certificate xuất hiện, ẩn đằng sau cửa sổ khác Khi kích Ok để chấp nhận chứng tiếp tục kết nối Phạm Quốc Hoàng 108 +Thiết lập SQL cho người dùng tra cứu AP Nếu bạn có số lượng lớn người dùng AP, bạn thay đổi thông tin chi tiết họ hay AP cách thường xuyên, bạn sử dụng sở liệu để lưu thông tin thay cho file văn Bạn cài đặt cấu hình máy chủ sử dụng máy chủ host trước, chẳng hạn từ nhà cung cấp website Bằng cách hai cách trên, bạn phải cài đặt gói phần mềm FreeRADIUS MySQL (freeradius2-mysql) Lúc bạn cần load cấu trúc sở liệu mặc định vào máy chủ sở liệu Nếu chạy máy chủ bạn CentOS, bạn chạy lệnh "mysql -uroot -prootpass radius < /etc/raddb/sql/mysql/schema.sql" từ Terminal Nếu sử dụng máy chủ từ xa hoăc máy chủ host từ nhà cung cấp, bạn chạy "gedit" với root Terminal sử dụng Text Editor để mở etc/raddb/sql/mysql/schema.sql Sau copy paste lệnh SQL vào máy chủ để chạy chúng Nếu bạn muốn sử dụng SQL cho thông tin chi tiết AP, load fileetc/raddb/sql/mysql/nas.sql vào sở liệu bạn Bạn cần chỉnh sửa file cấu hình FreeRADIUS để mách bảo máy chủ sử dụng SQL Từ root Text Editor, mở etc/raddb/radiusd.conf không comment dòng "$INCLUDE sql.conf" Mở etc/raddb/sites-enabled/inner-tunnel không comment "sql" từ phần Authorize Lúc FreeRADIUS sử dụng file SQL Bạn cần cung cấp cho FreeRADIUS kết nối sở liệu thông tin chi tiết đăng nhập Từ trình soạn thảo gốc, mở etc/raddb/sql.conf Sau bảo đảm cho database = 'mysql' Nếu sử dụng sở liệu từ xa sở liệu cấu hình sẵn, nhập vào địa máy chủ Bảo đảm bạn nhập vào Username Password cho máy chủ Với giá trị radius_db value, nhập vào tên sở liệu Nếu sử dụng SQL cho thông tin chi tiết AP, không comment "readclients = yes" Cuối cùng, chèn hàng vào bảng để định nghĩa tài khoản người dùng Định dạng tương tự định dạng file người dùng: Phạm Quốc Hoàng 109 username attribute op value egeier Cleartext-Password := pass123 Đây ví dụ bạn chèn vào bảng cho thông tin AP kích hoạt nó: nasname shortname type secret 192.168.0.1 private-network-1 other testing123 +Khắc phục cố Cần lưu ý thiết lập máy chủ sau tạo thay đổi, sử dụng chế độ gỡ rối để thấy hành động máy chủ Nếu bạn gặp phải vấn đề đăng nhập kết nối, kiểm tra cách cẩn thận phần gỡ rối phân tích thay đổi thực gần Phạm Quốc Hoàng 110 ... PHẦN 3: TRIỂN KHAI CÁC GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY TẠI ĐÀI TIẾNG NÓI VIỆT NAM .74 3.1 CÁC YẾU TỐ CẦN QUAN TÂM KHI TRIỂN KHAI MẠNG BẢO MẬT KHÔNG DÂY 74 3.2.CÁC MỤC... Trình bày vấn đề bảo mật mạng không dây Các giải pháp bảo mật nguy công biện pháp đối phó Phần 3: Trình bày vấn đề liên quan triển khai giải pháp bảo mật không dây áp dụng cụ thể Đài TNVN Luận văn... việc Nghiên cứu triển khai giải pháp bảo mật mạng không dây Đài TNVN” Nội dung gồm phần: Phần 1: Trình bày tổng quan mạng không dây, nguyên lý chung, vấn đề kĩ thuật liên quan chuẩn không dây