1. Trang chủ
  2. » Công Nghệ Thông Tin

Nghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUS (tt)

25 279 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 25
Dung lượng 712,96 KB

Nội dung

Nghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUS

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - LÊ THÙY LINH NGHIÊN CỨU TRIỂN KHAI MẠNG KHÔNG DÂY SỬ DỤNG GIAO THỨC XÁC THỰC RADIUS Chuyên ngành: Hệ thống thơng tin Mã số: 848.01.04 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – NĂM 2018 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: ……………………………………………………… (Ghi rõ học hàm, học vị) Phản biện 1: ……………………………………………………………………… Phản biện 2: …………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng i MỤC LỤC MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ MẠNG KHÔNG DÂY .3 1.1 Giới thiệu mạng không dây 1.1.1 Định nghĩa 1.1.2 Lịch sử hình thành phát triển .3 1.1.3 Ưu điểm nhược điểm mạng WLAN 1.1.4 Ứng dụng mạng không dây 1.2 Nguyên tắc hoạt động mạng WLAN 1.3 Các chuẩn thông dụng mạng WLAN 1.3.1 Chuẩn 802.11a 1.3.2 Chuẩn 802.11b 1.3.3 Chuẩn 802.11g 1.3.4 Chuẩn 802.11n 1.3.5 Chuẩn 802.11ac 1.3.6 Chuẩn 802.11 AD(WiGig): .5 1.3.7 Chuẩn Wi-Fi 802.11ah (HaLow) .5 1.4 Cơ sở hạ tầng mạng WLAN .5 1.4.1 Cấu trúc mạng WLAN 1.4.2 Các thiết bị hạ tầng mạng không dây 1.4.3 Các mơ hình kết nối mạng không dây 1.5 Các nguy công mạng không dây 1.5.1 Rogue Access Point (Tấn công giả mạo) .7 1.5.2 Tấn công yêu cầu xác thực lại (De-authentication Flood Attack) 1.5.3 Fake Access Point 1.5.4 Tấn công dựa cảm nhận sóng mang lớp vật lý .8 1.5.5 Tấn công ngắt kết nối (Disassocition flood attack) 1.5.6 Một số dạng công khác: .9 1.6 Các giải pháp bảo mật mạng WLAN 1.6.1 Các kỹ thuật bảo mật sử dụng chế điều khiển truy nhập ………………………9 1.6.1.1 Lọc SSID (Service Set Identifier) .9 ii 1.6.2 Các kỹ thuật bảo mật sử dụng phương thức mã hóa Encryption 10 1.6.3 Sử dụng giải pháp VPN (Virtual Private Network) 10 1.6.4 Phương thức bảo mật sử dụng công nghệ tường lửa Firewall 10 1.6.5 Hệ thống phát xâm nhập không dây (Wireless IDS) .11 1.6.6 Kiểm soát xác thực người dùng 11 1.7 Kết chương 11 2.1 Giao thức Radius gì? .12 2.2 Tính chất giao thức Radius 12 2.3 Quá trình trao đổi gói tin Radius 12 2.3.1 Xác thực, cấp phép kiểm toán 12 2.3.2 Sự bảo mật tính mở rộng 13 2.3.3 Áp dụng RADIUS cho WLAN 13 2.4 Giao thức RADIUS 13 2.4.1 Cơ chế hoạt động 13 2.4.2 Packet format 14 2.4.3 Packet type 14 2.5 Giao thức RADIUS 15 2.5.1 Cơ chế hoạt động 15 2.5.2 Packet Format 15 2.6 Kết chương 16 CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG BẢO MẬT WLAN SỬ DỤNG GIAO THỨC XÁC THỰC RADIUS 17 3.1 Mô tả hệ thống .17 3.2 Cài đặt thử nghiệm đánh giá kết 17 3.3 Kết chương 20 Những đóng góp luận văn 21 Hướng phát triển luận văn 21 MỞ ĐẦU Ngày nay, trước phát triển vượt bậc lĩnh vực Khoa Học Kỹ Thuật ngành Cơng Nghệ Thơng Tin chiếm vị trí vơ to lớn Xã Hội Kéo theo ngành Công Nghiệp, Thương Mại, Viễn Thông… điều phát triển theo lấy Công Nghệ Thông Tin làm tảng Với tốc độ phát triển không ngừng cải tiến công nghệ mạng Mọi người, từ công nhân người chủ, từ sinh viên đến giáo viên, tổ chức doanh nghiệp phủ, tất có nhu cầu kết nối lúc, nơi Vì vậy, mạng WLAN đời để đáp ứng nhu cầu Mạng WLAN đời thực bước tiến vượt bật công nghệ mạng, phương pháp chuyển giao từ điểm sang điểm khác sử dụng sóng vơ tuyến phổ biến tồn giới, mang lại nhiều lợi ích cho người sử dụng, khả di động Ở số nước có thơng tin công nghệ phát triển, mạng không dây thực vào sống Chỉ cần có Laptop, PDA thiết bị truy cập không dây bất kỳ, truy cập vào mạng khơng nơi đâu, quan, nhà, máy bay, quán Coffe… đâu phạm vi phủ sóng WLAN Với tính ưu việt khả triển khai nhanh chóng, giá thành ngày giảm, mạng WLAN trở thành giải pháp cạnh tranh thay mạng Ethernet LAN truyền thống.Tuy nhiên tiện lợi mạng không dây đặt thử thách lớn đảm bảo an tồn anh ninh cho mạng khơng dây nhà quản trị mạng Ưu tiện lợi kết nối khơng dây bị giảm sút khó khăn nảy sinh trình bảo mật mạng Phương tiện truyền tin WLAN sóng vơ tuyến cần thiết bị thu nằm trong vùng phủ sóng có khả truy cập vào mạng Nếu không khắc phục điểm yếu mơi trường mạng khơng dây trở thành mục tiêu hacker xâm phạm, gây thất thơng tin, tiền bạc… Chính vấn đề đặt cần phải bảo mật cho mạng không dây Đi đôi với phát triển mạng không giây phải phát triển khả bảo mật, để cung cấp thông tin hiệu quả, tin cậy cho người sử dụng Trong luận văn tơi trình bày phương pháp bảo mật mạng WLAN sử dụng giao thức xác thực Radius Khi người sử dụng muốn truy nhập vào mạng WLAN mong muốn, q trình xác thực client thực RADIUS server RADIUS server quản lý tập trung toàn người dùng WLAN Máy client không phép truy cập vào mạng chưa xác thực Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu: mạng không dây WLAN hình thức cơng vào mạng không dây Sử dụng phương thức xác thực Radius Server để ngăn chặn công Phạm vi nghiên cứu: Giới hạn hệ thống mạng dựa TCP/IP., mạng WLAN hệ điều hành Windows Bố cục luận văn gồm phần mở đầu chương nội dung cụ thể là: Chương 1: Tổng quan mạng không dây Trình bày tổng quan mạng khơng dây, ngun tắc hoạt động mạng không dây, chuẩn thông dụng mạng không dây, sở hạ tầng mạng không dây, nguy cơng biên pháp phòng chống Chương 2: Giao thức Radius Trình bày cách chi tiết giao thức xác thực Radius: tính chất giao thức Radius, quy trình trao trổi gói tin chế hoạt động giao thức Radius Chương 3: Triển khai hệ thống bảo mật WLAN sử dụng giao thức xác thực Radius Trình bày giải pháp triển khai hệ thống bảo mật WLAN sử dụng giao thức xác thực Radius Từ đưa kết luận CHƯƠNG TỔNG QUAN VỀ MẠNG KHÔNG DÂY 1.1Giới thiệu mạng không dây 1.1.1 Định nghĩa Mạng không dây (Wireless Local Area Network – WLAN), mạng dùng để kết nối hai hay nhiều máy tính với mà khơng cần sử dụng dây dẫn WLAN dùng công nghệ trải phổ, sử dụng sóng vơ tuyến cho phép truyền thơng thiết bị vùng gọi Basic Service Set Nó giúp cho người sử dụng di chuyển vùng bào phủ rộng mà kết nối với mạng 1.1.2 Lịch sử hình thành phát triển Cơng nghệ WLAN lần xuất vào cuối năm 1990, nhà sản xuất giới thiệu sản phẩm hoạt động băng tần 900Mhz Năm 1992, nhà sản xuất bắt đầu bán sản phẩm WLAN sử dụng băng tần 2.4Ghz Năm 1997, Institute of Electrical and Electronics Engineers (IEEE) phê chuẩn đời chuẩn 802.11 với phương pháp truyền tín hiệu vơ tuyến tần số 2.4Ghz Năm 1999, IEEE thông qua hai bổ sung cho chuẩn 802.11 chuẩn 802.11a và 802.11b Năm 2003, IEEE công bố thêm cải tiến chuẩn 802.11g Năm 2009, IEEE thơng qua chuẩn WiFi hệ 802.11n Được phát triển từ năm 2011 đến 2013, đến tháng năm 2014 chuẩn IEEE 802.11ac phê duyệt đưa vào sử dụng Chuẩn 802.11ad (WiGig) tiêu chuẩn dựa công nghệ tạo Liên minh WiGig (Wireless Gigabit) (năm 2013, Liên minh WiGig sáp nhập với Liên minh Wifi) Đầu năm 2016, Hiệp hội Wi-Fi Quốc tế Wi-Fi Alliance vừa thức phê duyệt chuẩn Wi-Fi 802.11ah 1.1.3 Ưu điểm nhược điểm mạng WLAN 1.1.3.1 Ưu điểm - Sự tiện lợi - Khả di động - Hiệu - Triển khai - Khả mở rộng 1.1.3.2 Nhược điểm - Bảo mật - Phạm vi - Độ tin cậy - Nhiễu - Tóc độ 1.1.4 Ứng dụng mạng không dây - Cung cấp khả truy cập mạng cách linh hoạt - Mở rộng mạng khu vực đặc biệt - Cung cấp dịch vụ truy cập mạng không dây - Sử dụng cho văn phòng quy mơ nhỏ - Sử dụng tình cần thiết lập mạng thời gian ngắn, thiết lập đơn giản nhanh chóng - Sử dụng nhà máy, nhà kho, bệnh viện - Cung cấp khả truy cập mạng nơi công cộng 1.2 Nguyên tắc hoạt động mạng WLAN Mạng WLAN sử dụng sóng điện từ (vơ tuyến tia hồng ngoại) để truyền thông tin từ điểm sang điểm khác mà không dựa vào kết nối vật lý Các sóng vơ tuyến thường sóng mang vơ tuyến chúng thực chức phân phát lượng đơn giản tới máy thu xa Dữ liệu truyền chồng lên sóng mang vơ tuyến để nhận lại máy thu Đó điều biến sóng mang theo thông tin truyền Một liệu chồng (được điều chế) lên sóng mang vơ tuyến, tín hiệu vơ tuyến chiếm nhiều tần số đơn, tần số tốc độ truyền theo bit thơng tin biến điệu thêm vào sóng mang 1.3 Các chuẩn thông dụng mạng WLAN Hiện tiêu chuẩn cho Wireless họ giao thức truyền tin qua mạng không dây IEEE 802.11 Do việc nghiên cứu đưa ứng dụng gần nên có số giao thức thành chuẩn giới Một số chuẩn thông dụng: 802.11a, 802.11b, 802.11g, 802.11g, 802.11n, 802.11ac 1.3.1 Chuẩn 802.11a Chuẩn 802.11a hỗ trợ băng thơng lên đến 54 Mbps tín hiệu phổ tần số quy định quanh mức 5GHz 1.3.2 Chuẩn 802.11b Chuẩn hỗ trợ băng thông lên đến 11Mbps, tương đương với Ethernet truyền thống 1.3.3 Chuẩn 802.11g 802.11g nỗ lực để kết hợp ưu điểm chuẩn 802.11a 802.11b Nó hỗ trợ băng thông lên đến 54Mbps sử dụng tần số 2.4 Ghz để có phạm vi rộng 802.11g có khả tương thích với chuẩn 802.11b 1.3.4 Chuẩn 802.11n 802.11n (đôi gọi tắt Wireless N) thiết kế để cải thiện cho 802.11g tổng số băng thơng hỗ trợ bằng cách tận dụng nhiều tín hiệu không dây anten (công nghệ MIMO); cung cấp băng thông tối đa lên đến 300Mbps 1.3.5 Chuẩn 802.11ac 802.11ac sử dụng công nghệ không dây băng tần kép, hỗ trợ kết nối đồng thời băng tần 2.4 GHz GHz 802.11ac cung cấp khả tương thích ngược với chuẩn 802.11b, 802.11g, 802.11n băng thông đạt tới 1.300 Mbps băng tần GHz, 450 Mbps 2.4GHz Chuẩn 802.11.ac có luồng liệu truyền với công nghệ đa Anten lên đến luồng liệu (Spatial streams), nhiều người dùng MIMO (multi-user MIMO) dùng cho nơi có mật độ người dùng cao(lên đến 256-QAM) 1.3.6 Chuẩn 802.11 AD(WiGig): Tần số chuẩn wifi 802.11ad khoảng 60 GHz 1.3.7 Chuẩn Wi-Fi 802.11ah (HaLow) Chuẩn HaLow hoạt động dải tần không dây không cần cấp phép GHz khả xuyên qua vật cản tốt bên cạnh phạm vi phủ sóng rộng so với chuẩn WiFi phổ biến (WiFi a/b/g/n/ac) 1.4 Cơ sở hạ tầng mạng WLAN 1.4.1 Cấu trúc mạng WLAN  Distribution System (Hệ thống phân phối  Access Point  Wireless Medium (tầng liên lạc vô tuyến  Station (các máy trạm) 1.4.2 Các thiết bị hạ tầng mạng không dây 1.4.2.1 Card mạng khơng dây (Wireless NIC) Máy tính sử dụng card mạng không dây để giao tiếp với mạng không dây bằng cách điều chế tín hiệu liệu với chuỗi trải phổ thực giao thức CSMA/CA (Carrier Sense Multiple Access with CollISIon Avoidance) làm việc chế độ bán song công (halfduplex) 1.4.2.2 Điểm truy cập: AP (Access Point) Access Point (điểm truy cập) cung cấp cổng truy cập cho máy trạm muốn kết nối vào WLAN 1.4.2.3 Cầu nối không dây WB (Wireless Bridge) Wireless Bridge cung cấp kết nối hai đoạn mạng LAN có dây, sử dụng mơ hình điểm - điểm điểm - đa điểm 1.4.2.4 Anten thiết bị không dây (Antenna) Anten thiết bị dùng để chuyển đổi tín hiệu cao tần đường truyền thành sóng truyền khơng khí 1.4.2.5 Các thiết bị máy khách WLAN Là thiết bị WLAN máy khách sử dụng để kết nối vào WLAN Ngoài thiết bị trên, mạng WLAN có thiết bị khác như: định tuyến không dây (Wireless Router), lặp không dây (Wireless Repeater) 1.4.3 Các mơ hình kết nối mạng không dây Mạng 802.11 linh hoạt thiết kế, bao gồm mơ hình sau  Mơ hình mạng độc lập (IBSSs) hay gọi mạng Ad-hoc  Mơ hình mạng sở (BSSs)  Mơ hình mạng mở rộng (ESSs) 1.4.3.1 Mơ hình mạng AD HOC (Independent Basic Service Sets (IBSSs)) Hình 1.1 Mơ hình mạng AD HOC 1.4.3.2 Mơ hình mạng sở (Basic service sets (BSSs)) Hình 1.2 Mơ hình mạng sở 1.4.3.3 Mơ hình mạng mở rộng (ESSs) Hình 1.3 Mơ hình mạng ESS 1.5 Các nguy công mạng không dây 1.5.1 Rogue Access Point (Tấn công giả mạo) 1.5.1.1 Định nghĩa Access Point giả mạo dùng để mô tả Access Point tạo cách vơ tình hay cố ý làm ảnh hưởng đến hệ thống mạng có Nó dùng để thiết bị hoạt động không dây trái phép mà khơng quan tâm đến mục đích sử dụng chúng 1.5.1.2 Phân loại - Access Point cấu hình khơng hồn chỉnh: - Access Point giả mạo từ mạng WLAN lân cận - Access Point giả mạo kẻ công tạo ra: 1.5.2 Tấn công yêu cầu xác thực lại (De-authentication Flood Attack) - Kẻ công xác định mục tiêu công người dùng mạng wireless kết nối họ - Chèn frame yêu cầu xác thực lại vào mạng WLAN bằng cách giả mạo địa MAC nguồn đích Access Point người dùng - Người dùng wireless nhận frame yêu cầu xác thực lại nghĩ rằng chúng Access Point gửi đến - Sau ngắt người dùng khỏi dịch vụ không dây, kẻ công tiếp tục thực tương tự người dùng lại - Thơng thường người dùng kết nối lại để phục hồi dịch vụ, kẻ cơng nhanh chóng gửi gói u cầu xác thực lại cho người dùng 1.5.3 Fake Access Point Kẻ cơng sử dụng cơng cụ có khả gửi gói beacon với địa vật lý (MAC) giả mạo SSID giả để tạo vô số Access Point giả lập Điều làm xáo trộn tất phần mềm điều khiển card mạng không dây người dùng 1.5.4 Tấn công dựa cảm nhận sóng mang lớp vật lý Kẻ cơng lợi dụng giao thức chống đụng độ CSMA/CA, tức làm cho tất người dùng nghĩ rằng lúc mạng có máy truyền thơng Điều làm cho máy tính khác ln trạng thái chờ đợi kẻ công truyền liệu xong, dẫn đến tình trạng nghẽn mạng 1.5.5 Tấn công ngắt kết nối (Disassocition flood attack) - Kẻ công xác định mục tiêu (wireless cliens) mối liên kết AP với client - Kẻ công gửi disassociation frame bằng cách giả mạo source Destination MAC đến AP clien tương ứng 9 - Client nhận frame nghĩ rằng frame hủy kết nối đến từ AP Đồng thời kẻ cơng gửi gói disassociation frame đến AP - Sau ngắt kết nối client, kẻ công tiếp tục thực tương tự với client lại làm cho client tự động ngắt kết nối với AP - Khi client bị ngắt kết nối thực kết nối lại với AP Kẻ công tiếp tục gửi gói disassociation frame đến AP client 1.5.6 Một số dạng công khác:  Tấn công bị động- Nghe trộm (Passive Attack -Eavesdropping)  Tấn công chủ động (Active Attack):  Tấn công kiểu gây nghẽn, chèn ép (Jamming Attack): 1.6 Các giải pháp bảo mật mạng WLAN 1.6.1 Các kỹ thuật bảo mật sử dụng chế điều khiển truy nhập (Device Authorization) Tất kỹ thuật sử dụng chế lọc (Filtering) Lọc tức cho phép mong muốn ngăn cấm khơng mong muốn Có kiểu lọc sử dụng Wireless Client: + Lọc SSID + Lọc địa MAC + Lọc giao thức 1.6.1.1 Lọc SSID (Service Set Identifier) Lọc SSID phương thức lọc nên sử dụng cho việc điều khiển truy cập 1.6.1.2 Lọc địa MAC WLAN lọc dựa vào địa MAC client 1.6.1.3 Lọc giao thức: Mạng Lan khơng dây lọc gói qua mạng dựa giao thức từ lớp đến lớp 10 1.6.2 Các kỹ thuật bảo mật sử dụng phương thức mã hóa Encryption 1.6.2.1 Phương pháp bảo mật WEP (Wired Equivalent Privacy) Bước 1: Client gửi đến AP yêu cầu xin chứng thực Bước 2: AP tạo chuỗi mời kết nối ngẫu nhiên gửi đến Client Bước 3: Client nhận chuỗi mã hóa chuỗi bằng thuật tốn RC4 theo mã khóa mà Client cấp, sau Client gửi lại cho AP chuỗi mã hóa Bước 4: AP sau nhận chuỗi mã hóa Client, giải mã lại bằng thuật tốn RC4 theo mã khóa cấp cho Client, kết giống với chuỗi ban đầu mà gửi cho Client có nghĩa Client có mã khóa AP chấp nhận trình chứng thực Client cho phép thực kết nối 1.6.2.2 Bảo mật bằng WPA (Wifi Protected Access) WPA sử dụng thuật tốn RC4 WEP, mã hóa đầy đủ 128 bit chiều dài IV 48 bit đặc điểm khác WPA thay đổi khóa cho gói tin Các cơng cụ thu thập gói tin để khóa phá mã hóa khơng thể thực với WPA Bởi WPA thay đổi khóa liên tục nên hacker khơng thu thập đủ liệu mẫu để tìm mật 1.6.2.3 Bảo mật bằng WPA2 WPA2 chuẩn đời sau WPA kiểm định lần vào ngày 1/9/2004 WPA2 (Wifi Protected Access – version 2) thường gọi 802.11i, phiên WPA, chứng nhận Wi-Fi Alliance Chuẩn sử dụng thuật tốn mã hóa mạnh mẽ gọi Chuẩn mã hóa nâng cao AES ( Advanced Encyption Standard) AES sử dụng thuật tốn mã hóa đối xứng theo khối Rijndael, sử dụng khối mã hóa 128 bit 192 bit 256 bit 1.6.3 Sử dụng giải pháp VPN (Virtual Private Network) VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa 1.6.4 Phương thức bảo mật sử dụng công nghệ tường lửa Firewall Firewall kỹ thuật tích hợp vào hệ thống mạng để chống lại truy cập trái 11 phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thống số thông tin khác không mong muốn 1.6.5 Hệ thống phát xâm nhập không dây (Wireless IDS) Nhiệm vụ WIDS là: + Giám sát phân tích hoạt động người dùng hệ thống + Nhận diện loại công biết + Xác định hoạt động bất thường hệ thống mạng + Xác định sách bảo mật cho WLAN + Thu thập tất truyền thông mạng không dây đưa cảnh báo dựa dấu hiệu biết hay bất thường truyền thông 1.6.6 Kiểm soát xác thực người dùng Kiểm soát xác thực người sử dụng bước sau truy nhập vào mạng Người sử dụng muốn truy nhập vào tài nguyên mạng phải xác nhận hệ thống bảo mật 1.7 Kết chương Chương trình bày tổng quan WLAN, nguy công mạng không dây giải pháp bảo mật: + Đưa khái niệm WLAN, lịch sử phát triển mạng WLAN, nguyên tắc hoạt động mạng WLAN + Các thiết bị bản, mơ hình, cấu trúc WLAN + Đề cập chuẩn IEEE dùng WLAN Theo đó, tốc độ phạm vi phủ sóng, việc sử dụng kỹ thuật mã hóa, trải phổ…trong mạng WLAN việc sử dụng chuẩn IEEE quy định + Các nguy công mạng không dây giải pháp bảo mật mạng WLAN Sau có nhìn tổng quát WLAN, chương trình bày giao thức Raidus Server sử dụng để bảo mật cho mạng WLAN 12 CHƯƠNG 2: GIAO THỨC RADIUS 2.1 Giao thức Radius gì? RADIUS giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền kiểm toán truy cập cho mạng Ban đầu phát triển cho thiết lập kết nối từ xa Radius hỗ trợ cho máy chủ VPN, điểm truy cập không dây, chứng thực chuyển mạch internet, truy cập DSL, loại truy cập mạng khác 2.2 Tính chất giao thức Radius RADIUS thực giao dịch xây dựng giao thức có tính chất sau: Nếu yêu cầu (request) gửi tới máy chủ xác nhận quyền sơ cấp (primary authentication server) thất bại, yêu cầu phải gửi tới máy chủ sơ cấp (secondary server) Các đòi hỏi thời gian RADIUS khác biệt so với TCP Trạng thái tự RADIUS đơn giản hóa việc sử dụng UDP 2.3 Q trình trao đổi gói tin Radius 2.3.1 Xác thực, cấp phép kiểm toán Giao thức RADIUS định nghĩa RFC 2865: với khả cung cấp xác thực tập trung, cấp phép điều khiển truy cập (Authentication, Authorization, Accounting – AAA) cho phiên làm việc với SLIP PPP Dial-up việc cung cấp xác thực nhà cung cấp dịch vụ Internet (ISP) dựa giao thức để xác thực người dùng họ truy cập Internet Nó cần thiết tất Network Acess Server (NAS) để làm việc với danh sách tên người dùng mật cho việc cấp phép, RADIUS AccessRequest chuyển thơng tin tới Authentication Server, thơng thường AAA Server 13 Hình 2.4 Quá trình trao đổi gói tin RADIUS 2.3.2 Sự bảo mật tính mở rộng Tất message RADIUS đóng gói UDP datagrams, bao gồm thông tin như: message type, sequence number, length, Authenticator, loạt Attribute-Value 2.3.3 Áp dụng RADIUS cho WLAN Trong mạng WLAN sử dụng 802.11x port access control, máy trạm sử dụng Wireless đóng vai trò Remote Access Wireless Access Point làm việc NASNetwork Access Server Để thay việc kết nối đến NAS với dial-up giao thức PPP, Wireless station kết nối đến AP bằng việc sử dụng giao thức 802.11 2.4 Giao thức RADIUS 2.4.1 Cơ chế hoạt động Khi client cấu hình để sử dụng RADIUS, user client giới thiệu thơng tin xác nhận quyền với client Đó dấu nhắc lệnh đăng ký vào mạng yêu cầu user nhập username password User lựa chọn việc sử dụng protocol thích hợp để thực giới thiệu thơng tin gói liệu chẳng hạn PPP 14 2.4.2 Packet format Một cách xác, gói RADIUS bao bọc trường liệu gói UDP, trường địa đích có số hiệu cổng 1812 Khi gói trả lời tạo ra, số hiệu cổng địa nguồn đích bảo lưu Một gói liệu RADIUS xác định sau:  Code: Code field octet, xác định kiểu gói RADIUS Khi gói có mã khơng hợp lệ khơng xác nhận  Identifier (Trường định danh ) Indentifier field octet, phù hợp với việc hỗ trợ yêu cầu trả lời Các máy chủ RADIUS phát yêu cầu trùng lặp, có client có địa IP nguồn UDP port định danh thời gian ngắn  Length Length field hai octet cho biết tồn chiều dài gói thơng điệp RADIUS  Authenticator Trường authenticator 16 octet chứa thông tin mà máy khách máy chủ RADIUS sử dụng để xác thực lẫn 2.4.3 Packet type Packet type xác định code field chiếm byte gói RADIUS  Access-Request Gói access-request gửi tới RADIUS server Nó chun chở thơng tin dùng để xác định xem user có phép truy cập vào NAS dịch vụ định hay không  Access-accept Gói access-accept gửi trả RADIUS server tất giá trị thuộc tính gói access-request thỏa mãn  Access-reject Gói access-reject gửi trả từ RADIUS server có giá trị thuộc tính khơng thỏa mãn  Access-challenge 15 Gói access-challenge RADIUS server gửi đến user đòi hỏi thêm thơng tin cần thiết mà user phải trả lời  Attributes (các thuộc tính) Các thuộc tính RADIUS, chứa gói u cầu/ trả lời, mang thông tin xác thực quyền, phân quyền, cấu hình cần thiết để cấp phát dịch vụ cho user Dạng thuộc tính sau  Type  Length (trường độ dài)  Value (trường giá trị) 2.5 Giao thức RADIUS 2.5.1 Cơ chế hoạt động Khi client cài đặt để sử dụng RADIUS Accouting, lúc bắt đầu cấp phát dịch vụ client sinh gói “bắt đầu cấp phát tài khoản” mô tả kiểu dịch vụ cấp phát user cấp phát dịch vụ đó; sau gửi gói đến RADIUS accouting server mà tới lượt gửi lại thơng báo nhận biết gói nhận Lúc kết thúc cấp phát dịch vụ client sinh gói “kết thúc cấp phát tài khoản” mô tả kiểu dịch vụ cấp phát thông tin thống kê lọc dựa thời gian trơi qua, byte nhập/ xuất, gói nhập/xuất; sau gửi gói đến RADIUS accouting server mà tới lượt gửi lại thơng báo nhận biết gói nhận 2.5.2 Packet Format Giống giao thức RADIUS 1, giao thức RADIUS có trường: code, indentifier, length, authentication Trường code có hai giá trị đặc trưng cho hai kiểu gói accouting-request accouting-response Thuộc tính user-password chứa gói access-request access-challenge, đặc trưng cho mật (password) user, ẩn truyền tới RADIUS server Giả sử gọi “thơng tin bí mật chung” S, giá trị trường xác định yêu cầu (request authentication) 128 bit RA Chia mật lắp đầy ký tự NULL (nếu cần) 16 thành phần (chunks) p1, p2…Gọi khối mật mã dạng văn (ciphertext blocks) c(1), c(2),…và giá trị trung gian b1, b2…Dấu + phép cộng chuỗi b1 = MD5(S + RA) c(1) = p1 xor b1 b2 = MD5(S + c(1)) c(2) = p2 xor b2 bi = MD5(S + c(i-1)) c(i) = pi xor bi The String will contain c(1)+c(2)+ +c(i) where + denotes concatenation Khi gói RADIUS nhận, trình diễn ngược lại trình giải mã 2.6 Kết chương Trong chương này, hiểu máy chủ RADIUS gì, quy trình trao đổi gói tin Radius Server Với sở tập trung - Giải pháp sử dụng RADIUS cho mạng WLAN quan trọng hệ thống mạng có nhiều Access Point việc cấu hình để bảo mật hệ thống khó quản lý riêng biệt, người dùng xác thực từ nhiều Access Point khác điều khơng bảo mật Khi sử dụng RADIUS cho WLAN mang lại khả tiện lợi cao, xác thực cho toàn hệ thống nhiều Access Point, … cung cấp giải pháp thông minh Trong chương triển khai cấu hình RADIUS để bảo mật mạng WLAN với mơ hình nhỏ 17 CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG BẢO MẬT WLAN SỬ DỤNG GIAO THỨC XÁC THỰC RADIUS 3.1 Mô tả hệ thống Mô tả yêu cầu:  Cấu hình RADIUS server Window Server 2008 Enterprise, tạo user password cho client tham gia vào hệ thống  Trên AP TP-Link (TL-WR841N), thiết đặt bảo mật mạng không dây WPA/WPA2 - Doanh nghiệp có hỗ trợ WPA2-Enterprise  Kết nối network access point Window server 2008 phải thông xuốt, không bị chặn firewall  Cho PC tham gia vào mạng, kiểm tra kết nối Thiết bị yêu cầu:  Access point TP-Link (TL-WR841N) với địa IP LAN 192.168.45.1  pc sử dụng hệ điều hành Windows Ultimate 32 bit có gắn card wireless để kết nối Wifi Cài máy ảo Vmware PC cài hệ điều hành Windows Server 2008 Enterprisec có Ram tối thiểu 1GB máy ảo Windows Server 2008 Enterprise nâng lên Domain Controller 3.2 Cài đặt thử nghiệm và đánh giá kết 3.2.1 Cấu hình RAIDUS Server 3.2.1.1 Cấu hình địa IP cho windows server - Ở đặt địa IP Window Server 2008 192.168.45.11; điạ Subnet mask 255.255.255.0; Default gateway để địa 192.168.45.1 địa AP Tại DNS đặt trỏ Prefer DNS - Sau kiểm tra kết nối từ AP đến Server từ Server đến AP 3.3.1.2 Thực cài đặt cấu hình dịch vụ cho hệ thống Thực cài đặt Active Directory Certificate Services (CA), NAP(Network Policy and Access Services), Web Server Role (IIS) cấu hình DHCP 18 3.2.1.3 Thực tạo người dùng xác thực vào hệ thống - Tạo users, cấp quyền Remote access cho users cho computer: - Mở Active Directory Users and Computers Console từ thư mục Administrative Tools - Vào mục radiusserver.com chọn New tạo Organizational Unit(OU) với tên radius - Tại mục Organizational Unit(OU) “radius”→Chọn New→ tạo group “group_radius” user” client” - User “client” OU đặt password “radius@12345” - Thêm “client” vào “group_radius” 3.2.1.4.Cấu hình NAP(Network Policy and Access Services) - Đăng ký dịch vụ cho NPS - Configure cho RADIUS server 802.1X - Thực thêm cấu hình cho Radius Client Địa Chỉ Ip địa Accesspoint - Cấu hình cho Secure Wireless Connection 3.2.2 Cấu hình AP - Bước 1: Kết nối Laptop với Accesspoint - Bước 2: Cấu hình Đặt tên cho wireless: Tắt DHCP Tắt tường lửa Accesspoint Tiến hành cấu hình bảo mật mạng khơng dây: Hình 3.1 Cấu hình bảo mật WLAN sử dụng Radius Access Point 19 3.2.3 Cấu hình Wireless client Ở Wireless client sử dụng Windows Vì trước để windows chứng thực WPA2, tiên cần cấu hình wifi cần xác thực client Vào Manually connect to a wireless network để cấu hình Wireless client - Tên Network tên mạng wifi đặt tên AP: “demo radius” - Security type chọn WPA2-Enterprise Sau thực cấu hình Wireless client 3.2.4 Demo thực nghiệm Đã hoàn thành cấu hình RADIUS Server AP, từ client tiến hành kết nối vào mạng wireless “demo radius”, đăng nhập với user mật tạo Server RADIUS “client” “radius@12345”, domain “radiussever.com” Hình 3.2 Kết nối Wifi thành công Các thông số cấp DHCP server IP, DNS server, Default Gateway … Hình 3.3 Thông số cấp DHCP server cho Wireless Client 20 Đánh giá: - Các máy client muốn vào mạng wifi cần phải xác thực dựa vào thông tin dựa vào máy chủ radius Điều dẫn tới việc bảo mật cao an toàn so với hình thức bảo mật thơng thường Vì tránh mát liệu nguy công hacker - Các máy Wireless Client phải tiến hành cài đặt xác thực - Chưa có điều kiện thực tế cho việc triển khai cấu hình tất trường hợp, kỹ thuật công WLAN thiết bị triển khai thực tế môi trường hệ thống mạng doanh nghiệp 3.3 Kết chương Trong chương tìm hiểu việc triển khai hệ thống sử dụng giao thức xác thực Radius server Windows server 2008 Hiểu rõ việc xác thực máy chủ có sử dụng xác thực Radius có client yêu cầu đăng nhập vào hệ thống wifi Tuy nhiên, chưa nghiên cứu triển khai hệ thống khác Chỉ triển khai qui mô nhỏ chưa áp dụng thực tế nên chưa kiểm tra cố phát sinh trình vận hành 21 KẾT LUẬN Những đóng góp luận văn Phương pháp bảo mật nghiên cứu phương pháp bảo mật WLAN tốt Có ý nghĩa thực tiễn cao, áp dụng cho quan, doanh nghiệp có nhu cầu bảo mật WLAN cao Sau thực xong đề tài, hiểu tổng quan hệ thống mạng khơng dây, hình thức công bảo mật mạng không dây Đặc biệt hiểu rõ chế, tầm quan trọng bảo mật mạng không dây bằng chứng thực RADIUS Đã thành thạo cấu hình kiểu chứng thực, mã hoá, vận hành bảo mật Wireless Access point Trong trình cấu hình chứng thực, hiểu rõ chế chứng thực Windows  Hạn chế Chưa triển khai hệ thống Linux với chứng thực LDAP Chỉ triển khai qui mô nhỏ chưa áp dụng thực tế nên chưa kiểm tra cố phát sinh trình vận hành Các máy Wireless Client phải tiến hành cài đặt xác thực Hướng phát triển luận văn Triển khai hệ thống xác thực RADIUS Windows Server với việc mở rộng mơ hình xác thực khơng cho WIFI mà hệ thống mạng sử dụng cáp, máy VPN server, NAS Server… Triển khai hệ thống xác thực RADIUS LINUX mở rộng mơ hình xác thực khơng cho WIFI mà hệ thống mạng sử dụng cáp, máy VPN server, NAS Server…Nghiên cứu ứng dụng cơng nghệ vWMAN (IEEE 802.16), WWAN (802.20) Tìm hiểu u cầu, mơ hình thiết kế, triển khai bảo mật hệ thống WMAN, WWAN ... khơng phép truy cập vào mạng chưa xác thực Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu: mạng khơng dây WLAN hình thức công vào mạng không dây Sử dụng phương thức xác thực Radius Server để ngăn... tiết giao thức xác thực Radius: tính chất giao thức Radius, quy trình trao trổi gói tin chế hoạt động giao thức Radius Chương 3: Triển khai hệ thống bảo mật WLAN sử dụng giao thức xác thực Radius. .. giải pháp triển khai hệ thống bảo mật WLAN sử dụng giao thức xác thực Radius Từ đưa kết luận CHƯƠNG TỔNG QUAN VỀ MẠNG KHÔNG DÂY 1.1Giới thiệu mạng không dây 1.1.1 Định nghĩa Mạng không dây (Wireless

Ngày đăng: 28/02/2018, 11:33

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN