BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TPHCM KHOA CÔNG NGHỆ THÔNG TIN - - ĐỒ ÁN HỌC PHẦN ĐỀ TÀI: TRIỂN KHAI HỆ THỐNG SECURE HOTSPOT Giáo viên hướng dẫn: Mai Xuân Phú Sinh viên thực hiện: Phan Hữu Linh Nguyễn Tấn Quốc 11033051 11226391 TPHCM, ngày 11 tháng 07 năm 2014 LỜI CẢM ƠN Để hồn thành đồ án chúng tơi xin chân thành gửi lời cảm ơn đến quý thầy cô khoa Công nghệ thông tin trường Đại học Công Nghiệp Tp.Hồ Chí Minh quan tâm giúp đỡ bảo tận tình trình thực đề tài Nhờ chúng tơi tiếp thu nhiều ý kiến đóng góp nhận xét q báu q thầy cô Chúng xin gửi lời cảm ơn sâu sắc đến ThS Mai Xuân Phú trực tiếp hướng dẫn, định hướng chuyên môn, quan tâm giúp đỡ tận tình tạo điều kiện thuận lợi trình thực đồ án Mặc dù cố gắng trình thực đồ án khơng thể tránh khỏi thiếu sót Chúng tơi mong nhận góp ý q thầy bạn bè Nhóm thực hiện: Nguyễn Tấn Quốc Phan Hữu Linh NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN TP Hồ Chí Minh, ngày 09 tháng 07 năm 2013 Giáo viên hướng dẫn (Ký ghi họ tên) LỜI NÓI ĐẦU MỞ ĐẦU: Tổng quan WLAN: 1.1 Lịch sử hình thành: 1.2 Ưu điểm, nhược điểm WLAN: 1.2.1 Ưu điểm: 1.2.2 Nhược điểm: 1.3 Thực trạng bảo mật WLAN nay: Các nguy tiềm ẩn mạng WLAN: 2.1 Chế độ Ad-hoc: 2.2 Dual homing: Các kiểu công phổ biến mạng máy tính: 3.1 Tấn cơng trực tiếp: 3.2 Nghe trộm: 3.3 Giả mạo địa IP: 3.4 Vơ hiêu hóa chức hệ thống: 3.5 Tấn công vào yếu tố người: 3.6 Các giải pháp bảo đảm an ninh mạng: Chương 1: MỘT SỐ NGUY CƠ AN NINH TRONG HỆ THỐNG MẠNG WIFI 1.1 Tấn công bị động công chủ động: 1.1.1 Tấn công bị động: 1.1.2 Tấn công chủ động: 1.2 Tấn công vào tiêu chí an tồn (CIA): 1.2.1 Tấn cơng vào tiêu chí bảo mật 1.2.2 Tấn cơng vào tiêu chí tồn vẹn liệu: 1.2.3 Tấn cơng vào tiêu chí sẵn sàng liệu: 1.2.4 Kết luận: 1.3 Chức lỗ hổng tầng OSI: 1.3.1 Tầng ứng dụng (Application): 1.3.2 Tầng trình diễn (Presentation): 1.3.3 Tầng phiên (Session): 1.3.4 Tầng giao vận (Transport) 1.3.5 Tầng mạng (Network): 1.3.6 Tầng liên kết liệu (Data Link) 1.3.7 Tầng vật lý (Physical) 1.4 Man-in-the-middle Attack (MITM Attack): 1.5 Tấn công kiểu chèn ép: 1.6 Giới thiệu số phương pháp công tiêu biểu mạng Wi-Fi: 1.6.1 Tấn công WPA/WPA2: 1.6.2 Hack Password Wireless WPA hidden SSID Chương 2: MỘT SỐ GIẢI PHÁP AN TOÀN CHO HỆ THỐNG WIFI 2.1 Phương pháp mã hóa: 2.1.1 Mã hóa dòng: 2.1.2 Mã hóa khối: 2.1.3 Bảo mật WEP: 2.1.4 Bảo mật TKIP, AES: 2.1.5 Bảo mật WPA/WPA2 2.2 Phương pháp lọc (SSID, MAC, Protocol) 2.2.1 Phương pháp lọc SSID: 2.2.2 Phương pháp lọc địa MAC: 2.2.3 Phương pháp lọc Protocol: 2.3 Phương pháp chứng thực: 2.3.1 Phương pháp chứng thực RADIUS SERVER: 2.3.2 Phương pháp chứng thực mở rộng EAP: Chương 3: TRIỂN KHAI GIẢI PHÁP BẢO MẬT KHÔNG DÂY WPA2ENTERPRISE 3.1 Giới thiệu phương pháp bảo mật WPA2-Enterprise: 3.2 Các ưu điểm chế độ Enterprise: Chương 4: CÔNG NGHỆ CAPTIVE PORTAL VÀ SỬ DỤNG RADIUS XÁC THỰC NGƯỜI DÙNG TRONG WLAN 4.1 Tìm hiểu cơng nghệ Captive Portal: 4.1.1 Các cách triển khai: 4.1.1.1 Chuyển hướng HTTP (Hyper Transfer Protocol): 4.1.1.2 Chuyển hướng DNS: 4.1.1.3 Chuyển hướng ICMP (Internet Control Message Protocol): 4.1.2 Giới thiệu số phần mềm sử dụng công nghệ Captive Portal: 4.1.2.1 Dành cho FreeBSD/OpenBSD: 4.1.2.2 Dành cho Linux: 4.1.2.3 Dành cho Windows: 4.1.2.4 Các loại khác: 4.1.3 Một số hạn chế: 4.2 Sử dụng RADIUS trình xác thực WLAN: 4.2.1 Xác thực, cấp phép tốn: 4.2.2 Sự an tồn mở rộng: 4.2.3 Kiến trúc RADIUS: 4.2.4 Áp dụng RADIUS cho mạng LAN không dây: 4.2.5 Thực tùy chọn: 4.2.6 Tổng kết: KẾT LUẬN DANH MỤC TÀI LIỆU THAM KHẢO LỜI NÓI ĐẦU Hiện nay, vấn đề tồn cầu hóa kinh tế thị trường mở cửa mang lại nhiều hội làm ăn, hợp tác kinh doanh phát triển Các ngành cơng nghiệp máy tính truyền thơng đưa giới chuyển sang thời đại mới: thời đại công nghệ thông tin Việc nắm bắt ứng dụng Công nghệ thông tin lĩnh vực khoa học, kinh tế xã hội đem lại cho doanh nghiệp tổ chức thành tựu to lớn Máy tính trở thành cơng cụ đắc lực khơng thể thiếu người, người ngồi chỗ nắm bắt thông tin giới hàng ngày, nhờ vào phát triển mạnh mẽ Internet Việc truy cập mạng từ Wi-Fi công cộng, quán cafe, nhà hàng, khách sạn… trở nên quen thuộc Nhưng không ý thức hết nguy tiềm ẩn từ việc sử dụng Wi-Fi nơi công cộng Nguy lớn bảo mật an tồn thơng tin Vậy nên vấn đề an tồn sử dụng wifi vấn đề thiết thực Đó lý chúng lựa chọn đề tài “Triên khai hệ thống Sercure Hostpot” Mục tiêu thực đề tài: - Tìm hiểu số nguy an ninh tiềm ẩn hệ thống mạng WiFi - Tìm hiểu số phương pháp cơng phổ biến mạng WiFi - Các phương pháp nâng cao tính an toàn cho hệ thống mạng WiFi - Lựa chọn giải pháp triển khai hệ thống Secure HotSpot MỞ ĐẦU Tổng quan WLAN: 3.1 Lịch sử hình thành: Mạng LAN khơng dây, viết tắt WLAN (Wireless Local Area Netwwork), mạng dùng để kết nối hai hay nhiều máy tính với mà không cần sử dụng dây dẫn WLAN dùng công nghệ trải phổ, sừ dụng sóng vơ tuyến cho phép truyền thơng thiết bị vùng Công nghệ WLAN lần đầu xuất vào cuối năm 1990 Năm 1992, nhà sản xuất bắt đầu bán sản phẩm WLAN sử dụng băng tần 2.4GHz Năm 1997, Institute of Electrical and Electronics Engineers (IEEE) phê chuẩn đời chuẩn 802.11 Năm 1999, IEEE thông qua hai bổ sung cho chuẩn 802.11 chuẩn 802.11ª 802.11b Năm 2003, IEEE cơng bố thêm hai cải tiến chuẩn 8002.11g mà nhận truyền thơng tin hai dãy tần 2.4GHz 5GHz nâng tốc độ truyền liệu lên đến 55Mbps 3.2 Ưu điểm, nhược điểm WLAN: 3.2.1 Ưu điểm: - Sự tiện lợi: cho phép người dùng truy xuất tài nguyên mạng nơi đâu khu vực triển khai Với gia tăng số người sử dụng máy tính xách tay (laptop) nay, điều tiện lợi - Khả di động: Với phát triển mạng không dây công cộng, người dùng truy cập Internet đâu Chẳng hạn quán cafe, người dùng truy cập Internet miễn phí - Hiệu quả: người dùng trì kết nối mạng họ từ nơi đến nơi khác - Triển khai: Việc thiết lập hệ thống mạng không dây ban đầu chir cần Access Point (AP) Với mạng dùng cáp, phải tốn thêm chi phí gặp khó khăn việc triển khai hệ thơng cáp nhiều nơi tòa nhà Khả mở rộng: Mạng khơng dây đáp ứng tức gia tăng số người dùng Với hệ thống mạng dùng cáp cần phải gắn thêm dây 3.2.2 Nhược điểm: - Bảo mật: Môi trường kết nối không dây không khí nên khả bị cơng người dùng cao - Phạm vi: Một mạng chuẩn với thiết bị chuẩn hoạt động tốt phạm vị vài chục mét Nó phùhợp văn nhà, với tồn nhà lớn khơng đáp ứng đủ Để đáp ứng cần phải mua thêm Repeater hay Access Point dẫn đến chi phí gia tăng - Độ tin cậy: Vì sử dụng sóng vơ tuyến để truyền thơng nên việc bị nhiễu, tín hiệu giảm tác động thiết bị khác (lò vi sóng, máy phát ) việc không tránh khỏi Làm giảm đáng kể hoạt động mạng - Tốc độ: Tốc độ mạng không (1-125Mbps) chậm so với mạng sử dụng cáp (100Mbps đến hàng Gbps) 3.3 Thực trạng bảo mật WLAN nay: Nếu số thống kê người dùng mạng khơng dây tạo nhà có đến người khơng kích hoạt chế độ bảo mật Mặc đinh, nhà sản xuất tắt chế độ bảo mật việc thiết lập ban đầu dễ dàng, sử dụng, bạn phải mở lại Tuy nhiên, cúng ta cần phải cấn thận kích hoạt tính bảo mật, số sai lần thường gặp phải: - Sai lầm 1: Không thay đổi mật nhà sản xuất Sai lầm 2: Khơng kích hoạt tính mã hóa Sai lầm 3: Khơng kiểm tra chế độ bảo mật Sai lầm 4: Quá tích cực với thiết bị bảo mật mà không nhớ đến địa MAC máy tính Sai lầm 5: Cho phép người truy cập Các nguy tiềm ẩn mạng WLAN: - Dưới hai lỗ hổng mà kẻ công dễ dàng lợi dụng để xâm nhập trái phép vào mạng: 4.1 Chế độ Ad-hoc: 10 Sử dụng dịch vụ (vd: Authencicate My Wifi) để tiết kiện thời gian, kinh phí kiến thức cần thiết thiết lập máy chủ Nó cung cấp hỗ trợ cấu hình máy khác đảo bảo triển khai dễ dàng chế bảo mật nhiều vị trí - Sử dụng máy chủ miễn phí TekRADIUS Sử dụng máy chủ mã nguồn mở miễn phí FreeDADIUS, sử dụng file văn túy cho việc cấu hình quản trị Chủ yếu cho máy tính Linux/Unix chạy Windows Mua sử dụng phần mềm máy chủ RADIUS Elekton cho Windows MAC OS X ClearBox cho Windows 3.5 Cấu hình máy khách: Ngồi việc điều hành máy chủ RADIUS, chế độ Enterprise u cầu cấu hình máy khác phức tạp máy tính thiết bị không dây người dùng Chế độ Personal yêu cầu nhập mật khấu nhắc nhở thực Tuy nhiên với chế độ Enterpirise, bạn cần phải cài đặt CA vào máy khách sau cấu hình thủ cơng thiết lập bảo mật không dây xác thực 802.1x Yêu cầu có ích việc cài đặt khác phục cố cấu hình máy khách sử dụng tiện ích triển khai để trợ giúp Nếu sử dụng Windows Server, bạn phân bố chứng cấu hình thiết lập từ xa tập trung cách sử dụng Group Policy, tối thiểu máy tính Windows join vào miền 3.6 Các bước thiết lập: Để trợ giúp tốt trình thiết lập WPA/WPA2-Enterprisevà 802.1x 802.1x., chúng tơi liệt kê tồn bước trình : - Chọn, cài đặt cấu hình máy RAIUS sử dụng dịch vụ Tạo CA để phát hàng cài đặt máy RADIUS, chiêu thức thực phần cài đặt cấu hình máy chủ RADIUS Một cách khác bạn mua chứng số từ CA công GoDaddy Verisign để cài đặt chứng máy chủ tất máy khách Nếu sử dụng EAP-TLS, bạn phải tạo chứng số cho người dùng 34 Trên máy chủ, định cư sở liệu máy khách RADIUS với địa chia sẻ cho AP Trên máy chủ, định cư liệu người dùng tên mật cho người dùng Trên AP, cấu hình bảo mật WPA/WPA2-Enterprise nhập địa máy IP máy chủ RADIUS bí mật chia sẻ tạo cho AP cụ thể Trên máy tính thiết bị khơng dây, cấu hình bảo mật WPA/WPA2Enterprise cấu hình thiết lập xác thực 802.1x Chương CÔNG NGHỆ CAPTIVE PORTAL VÀ SỬ DỤNG RADIUS XÁC THỰC NGƯỜI DÙNG TRONG WLAN 4.1 Tìm hiểu cơng nghệ Captive Portal: Chúng ta tìm hiểu khái niệm Captive Portal (CP) thông qua cách thức hoạt động chúng Công nghệ CP bắt buộc máy muốn sử dụng Internet mạng trước tiên phải sử dụng trình duyệt để chuyển đến trang đặc biệt (thường dùng cho mục đích xác thực) CP chuyển hướng trình duyệt đến thiết bị xác thực an ninh Điều thực cách bắt tất gói tin, kể địa cổng, đến người dùng mở trình duyệt thử truy cập Internet Tại thời điểm đó, trình duyệt chuyển hướng đến trang web đặc biệt yêu cầu xác thực (đăng nhập) toán, đơn giản bảng thông báo quy định mà người dùng phải tuân theo yêu cầu người dùng phải chấp nhận quy định trước truy cập Internet CP thường triển khai hầu hết điểm truy cập WIFI dùng để điều khiển mạng không dây 35 Do trang web đăng nhập phải truy cập từ trình duyệt máy khách, trang web cần đặt gateway server nằm “danh sách trắng” nghĩa truy cập mà khơng cần q trình xác thực Ngồi việc có danh sách trắng địa URL, vài loại gateway có danh sách trắng vài cổng TCP Mơ hình Captive Portal 4.1.1 Các cách triển khai: 4.1.1.1 Chuyển hướng HTTP (Hyper Transfer Protocol): Nếu máy khách chưa xác thực truy cập đến website, trình duyệt sx yêu cầu địa IP tương ứng với tên miền từ máy DNS nhận thông tin bình thường Tiếp đó, trình duyệt gửi u cầu HTTP đến địa IP Tuy nhiên, yêu cầu bị firewal chặn lại chuyển tiếp đến máy chủ chuyển tiếp Máy chủ chuyển tiếp phản hồi với câu trả lời HTTP thông thường, bao gồm mã trạng thái HTTP 302 để chuyển hướng đến máy khác CP Đối với máy khách q trình hồn tồn “trong suốt” Máy khách tưởng trang web thực trả lời với yêu cầu gửi thông tin chuyển hướng 4.1.1.2 Chuyển hướng DNS: Nếu máy khách chưa xác thực truy cập đến website, trình duyệt yêu cầu địa IP tương ứng với tên miền từ máy chủ DNS Thay trả IP xác tên miền website đó, máy chủ DNS trả IP CP Nếu quản trị mạng khơng có hành động ngăn ngừa cách thức dể dàng bị vượt qua cách sử dụng máy chủ DNS khác máy khách 36 4.1.1.3 Chuyển hướng ICMP (Internet Control Message Protocol): Lưu lượng máy khách chuyển hướng cách sử dụng chuyển hướng ICMP tầng mạng (tầng 3) 4.1.2 Giới thiệu số phần mềm sử dụng công nghệ Captive Portal: 4.1.2.1 Dành cho FreeBSD/OpenBSD: PfSense phiên phần mềm tường lửa tách từ phần mềm tường lửa mã nguồn mở m0n0wall phát triển hệ điều hành FreeBSD Gói phần mềm bao gồn hệ điều hành Unix FreeBSD cá gói dịch vụ tích hợp vó chức router, tường lửa, máy chủ WPN, số dịch vụ khác Với mục tiêu hệ thống PC nhúng, gói phần mềm thiết kế nhỏ gọn, dễ dàng cài đặt thơng qua giao diện web đặc biệt có khả cài đặt thêm gói dịch vụ để mở rộng tính • Ưu điểm: - Miễn phí - Có khả bổ sung thêm tính gói dịch vụ cộng thêm - Dễ cài đặt cấu hình • Hạn chế: - Phải trang bị thêm modem khơng có sẵn - Khơng hỗ trợ từ nhà sản xuất thiết bị cân tải khác - Vẫn chưa có tính lọc URL thiết bị thương mại Đòi hỏi người sử dụng có kiến thức mạng để cấu hình 4.1.2.2 Dành cho Linux: PacketFence (http://Packetfence.org): sử dụng ARP Spooting thay lọc địa Mac/IP Có thể sử dụng để phát hiện/cô lập worms Sử dụng Snort cho IDS ZeroShell (http://zoroshell.net.eng): phân phối Linux nhỏ dạng LiveCD CompactFlash có chứa multi-gatewway Captive Portal 4.1.2.3 Dành cho Windows: DNS Redirector (http://dnsredirector): không cần Mac, cho phép tích hợp 3rd party với MAC 37 4.1.2.4 Các loại khác: HotSpotSystem (http://hospotsystem.com): Giải pháp hoàn thiện cho dịch vụ Hotspot trả tiền miễn phí WorldSpot (http://worldspot.net): Fiair ohaps dựa ChilliSpot Miễn phí cho Hotspot miễn phí 4.1.3 Một số hạn chế: Hầu hết sảng phầm đỏi hỏi người sử dung đến trang đăng nhập có mã hóa SSl, IP MAC họ cho phép qua gateway Điều bị lợi dụng với cơng cụ nghe gói tin đơn giản Một địa IP MAC máy tính khác xác thực máy tính giả mạo IP MAC máy tính để cho phép qua gateway Những platform có Wi-Fi TCP/IP stack khơng có trình duyệt hỗ trợ HTTPS khơng thể sử dụng nhiều loại CP 4.2 Sử dụng RADIUS trình xác thực WLAN: Với khả hỗ trợ xác thực cho chuẩn không dây 802.1x, RADIUS giải pháp thiếu cho doanh nghiệp muốn quản lý tâp trung tăng cường tính bảo mật cho hệ thống 38 Việc bảo mật mạng Lan không dây (WLAN) sử dụng chuẩn 802.1x kết hợp với xác thực người dùng Access Point Một máy chủ thực việc xác thực tảng RADIUS giải pháp tốt cung cấp xác thực cho chuẩn 802.1x Trong phần giới thiệu cách thức làm việc RADIUS phải cần thiết máy chủ RADIUS để hỗ trợ việc xác thực cho WLAN 4.2.1 Xác thực, cấp phép toán: Giao thức RADIUS cung cấp xác thực tập trung, cấp phép điều khiển truy cập (Authentication, Authorization, Accounting - AAA) cho phiên làm việc với SLIP PPP Dial0up – việc cung cấp xác thực nhà cung cấp dịch vụ Internet (IPS) dựa giao thức để xác thực người dùng họ truy cập Internet Khi user kết nối, NAS gửi thông báo yêu cầu kết nối dạng RADIUS đến máy chủ AAA Server, chuyển thông tin username password, thông qua port xác định, NAS Identify, thông báo xác thực Sau nhận thơng tin máy chủ AAA sử dụng gói tin cung cấp, NAS ID thông báo xác thực để thẩm định lại việc NAS có phép gửi u cầu khơng Nếu được, máy chủ AAA tìm kiểm tra thơng tin tên mật mà người dùng yêu cầu truy cập sở liệu Nếu trình kiểm tra thơng tin gói u cầu truy cập NAS cấp quyền truy cập cho người dùng Trong q trình chứng thực, máy chủ trả tin RADIUS Access-Challenge (RADIUS thách thức truy cập) mang số ngẫu nhiên NAS chuyển thơng tin đến người dùng từ xa (CHAP) Khi người dùng phải trả lời yêu cầu xác nhận, sau NAS chuyển tới thơng báo yêu cầu truy cập (RADIUS Access-Request) 39 Nếu máy chủ AAA sau kiểm tra thông tin người dùng cho phép sử dụng dịch vụ, trả thông báo chấp nhận truy cập (RADIUS Access-Accept) Nếu không thoả mãn máy chủ trả tin chối truy nhập (RADIUS Access-Reject) NAS ngắt kết nối với người dùng Khi gói tin chấp nhận truy nhập nhận chế độ kiểm toán RADIUS (RADIUS Accounting) thiết lập, NAS gửi gói tin yêu cầu kiểm toán-RADIUS Accounting-Request (start) tới máy chủ AAA Máy chủ thêm thơng tin vào tập tin log phản hồi lại yêu cầu, với việc NAS cho phép phiên làm việc với người dùng bắt đầu nào, kết thúc nào, RADIUS kiểm toán làm nhiệm vụ ghi lại trình xác thực người dùng vào hệ thống, kết thúc phiên làm việc NAS gửi tin RADIUS AccountingRequest (stop) - - 4.2.2 Sự an toàn mở rộng: Tất thơng báo RADIUS đóng gói gói liệu người dùng UDP, bao gồm thông tin như: kiểu thông báo (message type), số thứ tự (sequence number), độ dài (lengh), xác thực (Authenticator), giá trị thuộc tính (Attribute-Value) Xác thực (Authenticator): tác dụng xác thực cung cấp chế độ bảo mật NAS máy chủ AAA sử dụng xác thực (Authenticator) để hiểu thông tin mã hoá (mật khẩu) 40 - Xác thực (Authenticator) gửi yêu cầu truy cập (Access-Request) số ngẫu nhiên MD5 băm (hash) số ngẫu nhiên thành dạng riêng OR'ed cho mật người dùng gửi thuộc tính tên người dùng-mật (User-Password) tin yêu cầu truy cập (Access-Request) Tất tin phản hồi RADIUS (RADIUS Response) sau đươc MD5 băm với thông số bảo mật xác thực (Authenticator) thông số phản hồi khác - Xác thực giúp cho trình giao tiếp NAS máy chủ AAA dược bảo mật kẻ công bắt hai gói tin Access-Request Access-Response chúng dùng từ điển để tìm khóa bí mật (shared secret) Do việc sử dụng khóa bí mật ngẫu nhiên có độ dài lớn nhằm tăng cường tính bảo mật cho q trình cần thiết - Xác thực (Authenticator) giúp NAS phát giả mạo gói tin RADIUS Response Nó sử dụng làm cho mật mã hóa thành dạng đó, ngăn chặn việc làm lộ mật người dùng thông báo RADIUS - Cặp giá trị thuộc tính: thơng tin mang RADIUS đuợc miêu tả dạng giá trị thuộc tính, để hỗ trợ cho nhiều cơng nghệ truy cập phương thức xác thực khác Một chuẩn định nghĩa cặp giá trị thuộc tính , bao gồm tên người dùng-mật khẩu, điạ IP NAS, cổng dịch vụ NAS Có thể định nghĩa cặp giá trị thuộc tính để mang thơng tin - Rất nhiều chuẩn cặp giá trị thuộc tính định nghĩa để hỗ trợ giao thức xác thực mở rộng (Extensible Authentication Protocol-EAP), dạng khác cũ giao thức PAP CHAP dial-up 4.2.3 Kiến trúc RADIUS: Một gói RADIUS bao bọc mơi trường liệu gói UDP, trường địa đích có số hiệu cổng 1812 Khi gói trả lời tạo ra, số hiêu cổng địa nguồn đích bảo lưu 41 Một gói liệu RADIUS xác định sau (các trường từ trái sang phải) • Code: Code field gồm octet, xác định kiểu gói RADIUS Khi gói có mã khơng hợp lệ khơng xác nhận RADIUS code (decimal) định sau: Access-Request Access-Accept Access-Reject Accounting-Request Accounting-Response Access-Challenge 12 Status-Server (experimental – thực tế) Status-Client (experimental – thực tế) Reserved (dự trữ) • Indentifier (Trường định danh): Indentifier field gồm octet, phù hợp với việc hỗ trợ yêu cầu trả lời Các máy chủ RADIUS phát yêu cầu trùng lặp, có client có địa IP nguồn UDP port định danh thời gian ngắn • Lenght Length field gồm hai octet, bao gồm code field, indentifier, length, authentication, trường thuộc tính (attribute field) Những byte nằm khoảng quy định length coi byte thừa, bị bỏ qua nhận 42 Nếu gói ngắn giá trị trường length, hơng xác nhận trả lời Giá trị nhỏ trường length 20 giá trị lớn 4096 • Authetication (trường xác nhận) Trường authentication gồm 16 octet Octet lớn truyền Giá trị sử dụng để xác nhân câu trả lời từ RADIUS server sử dụng thuật toán ẩn mật - Bộ xác nhận yêu cầu (Request Authenticator) Trong gói “yêu cầu truy cập” (Access-Request), giá trị trường xác nhận (authenticator field) số ngẫu nhiên 16 byte gọi xác nhận yêu cầu (request authenticator) Giá trị phải khơng thể dự đốn trước (unpredictable) (unique) suốt thời gian sống “thơng tin bí mật” (secret) (mật dùng chung client RADIUS server), có lặp lại giá trị có nghĩa nhân vật (attacker) trả lời câu hỏi mà khơng vần xác thực RADIUS server Do đó, xác nhận u cầu nên dó giá tri tồn cục (global) theo thời gian Mặc dù giao thức RADIUS khơng có khả ngăn cản sử nghe phiên xác nhận (authenticated session) qua đường dây, việc sinh giá trị dự đốn trước cho xác nhận u cầu hạn chết nhiều kiện NAS RADIUS server chia sẻ “thơng tin bí mật” Thơng tin bí mật dùng chung có sau giá trị “bộ xác nhận yêu cầu” đưa vào băm chiều (one-way MD5 hash) để tạo giá trị số 16 byte Giá trị XOR với mật mà user nhập vào, kết đặt vào thuộc tính UserPassword gói Access-Request - Trường xác nhận gói “trả lời” (Response Authenticator): Giá trị trường xác nhận (authenticator field) gói AccessRequest, Access-Reject, Access-Challenge gọi xác nhận trả lời Giá trị băm chiều MD5 chuỗi byte trường mã, danh hiệu, đọ dài, xác nhận gói “yêu cầu truy cập” cộng thêm thuộc tính trả lời thơng tin bí mật nói chung • Trường thuộc tính (Attributes) Có thuộc tính có nhều phiên (intances) Những thuộc tính loại giữ nguyên thứ tự Đối với loại gói cho phép thuộc tính định mà thơi 4.2.4 Áp dụng RADIUS cho mạng LAN không dây: 43 Trong mạng không dây sử dụng cổng điều khiển truy cập 802.1X, máy trạm sử dụng mạng khơng dây với vai trò người dùng từ xa điểm truy nhập không dây làm việc với vai trò NAS Để thay cho việc kết nối đến NAS với dial-up giao thức PPP, máy trạm kết nối đến Access Point việc sử dụng giao thức 802.11 Quá trình thực hiện: - Máy trạm gửi thông báo EAP-start tới Access Point - Access Point yêu cầu id máy trạm chuyển thơng tin tới máy chủ AAA - Máy chủ AAA máy trạm hồn thành q trình chứng thực việc chuyển tin RADIUS Access-Challenge Access-Request thông qua Access Point - Nếu máy chủ gửi tin chấp nhận truy cập (Access-Accept), Access Point máy trạm hoàn thành trình kết nối bắt đầu phiên làm Tại thời điểm đó, Access Point khơng khóa cổng máy trạm gửi nhận liệu từ hệ thống mạng cách bình thường 44 - Nếu máy chủ gửi tin từ chối truy nhập (Access-Reject), Access Point ngắt kết nối tới máy trạm Trạm cố gắng thử lại q tình chứng thực, Access Point ngăn trạm không cho gửi gói tin tới Access Point gần - Giá trị cặp thuộc tính tin RADIUS sử dụng máy chủ AAA để định phiên làm việc Access Point máy trạm Session-Timeout or VLAN tag (Tunnel-Type=VLAN,Tunnel-Private-Group-ID=tag) Các thông tin thêm vào phụ thuộc vào máy chủ hay Access Point máy trạm 4.2.5 Thực tùy chọn: Nguyên tắc cần nắm sử dụng RADIUS trình xác thực WLAN phải thiết lập máy chủ AAA hỗ trợ tương tác Nếu có máy chủ AAA mạng gọi RADIUS, sẵn sàng để hỗ trợ xác thực cho chuẩn 802.1X cho phép chọn lựa dạng EAP Nếu có chuyển tiếp đến bước làm để thiết lập tính Nếu ta có máy chủ RADIUS không hỗ trợ 802.1X, không hỗ trợ dạng EAP, ta lựa chọn cách cập nhật phiên phần mềm cho máy chủ, cài đặt máy chủ Nếu cài đặt máy chủ hỗ trợ chứng thực cho chuẩn 802.1X, ta sử dụng tính RADIUS proxy để thiết lập chuỗi máy chủ, chia sẻ chung sở liệu tập trung, RADIUS proxy sử dụng để chuyển yêu cầu xác thực tới máy chủ có khả chứng thực qua chuẩn 802.1X Nếu khơng có máy chủ RADIUS phải cài đặt máy chủ cho trình xác thực WLAN 4.2.6 Tổng kết: Với sở tập trung, giải pháp sử dụng RADIUS cho mạng WLAN quan trọng hệ thống mạng có nhiều Access Point việc cấu hình để bảo mật hệ thống khó quản lý riêng biệt, người dùng xác thực từ nhiều Access Point khác điều khơng bảo mật Khi sử dụng RADIUS cho WLAN mang lại khả tiện lợi cao, xác thực cho toàn hệ thống nhiều Access Point, cung cấp giải pháp thông minh 45 KẾT LUẬN Qua đồ án này, đạt kết sau: - Tìm hiểu số nguy an ninh tiềm ẩn hệ thống mạng Wi-Fi - Tim hiểu số phương pháp công phổ biến mạng Wi-Fi - Các phương pháp nâng cao tính an tồn cho hệ thống mạng Wi-Fi - Tìm hiểu phương pháp chứng thực người dùng RADIUS với ưu điểm so với cách triển khai hệ thống mạng Wi-Fi thơng thường: • Mỗi người dùng sử dụng tài khoản đăng nhập riêng, khơng sử dụng khóa dùng chung cách triển khai thơng thường nên chống lại cơng Replay, giả mạo • Hệ thống sử dụng chứng thực hai chiều (người dùng-access point access point-người dùng) nên tránh việc giả mạo access point • Do người dùng cần phải có tài khoản đăng nhập để truy cập internet nên có kiểm sốt việc truy cập internet người dùng (giới hạn thời gian, băng thông ) • Yêu cầu phần cứng máy chủ không cao, tận dụng máy sử dụng để cài đạt hệ thống Do thời gian thực đồ án khơng nhiều nên có mặt hạn chế: - Nội dung có chỗ xếp chưa hợp lý, chủ yếu trình bày theo cách hiểu cá nhân người viết nên gây khó khăn cho người đọc - Hệ thống triển khai phức tạp đòi hỏi người triển khai phải có kiến thức chuyên môn 46 DANH MỤC TÀI LIỆU THAM KHẢO Tài liệu từ Internet: A Comprehensive Review of 802.11 Wireless LAN Security and the Cisco Wireless Security Suite http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps430/ps4076/ prod_white_paper09186a00800b469f.html Confidentiality, Integrity, Availability: The three components of the CIA Triad http://security.blogoverflow.com/2012/08/confidentiality-integrityavailability-the-three-components-of-the-cia-triad/ Captive Portal http://en.wikipedia.org/wiki/Captive_portal Bảo mật Wlan Radius Server WPA2 http://ntcx.wordpress.com/2012/03/08/b%E1%BA%A3o-m%E1%BA %ADt-wlan-b%E1%BA%B1ng-radius-server-va-wpa2/ Lab hack Password Wireless http://quangtuyen88.wordpress.com/2011/06/23/lab-hack-passwordwireless-wpa-hidden-ssid-document-video Triển khai bảo mật không dây WPA2 Enterprise http://thietbivanphongso1.com/chi-tiet-giai-phap/trien-khai-bao-mat-khongday-wpa2-enterprise-trong-doanh-nghiep-nho/44.html 47 Bài giảng An tồn Bảo mật thơng tin www.ntu.edu.vn/Portals/7/HTTT/BaiGiangATBMTT.pdf Sự khác biệt chuẩn bảo mật WiFi http://vnreview.vn/tu-van-bao-mat/-/view_content/content/617472/su-khacbiet-giua-cac-chuan-bao-mat-wifi-wep-wpa-va-wpa2 Tài liệu tiếng Anh: Vivek Ramachandran, Backtrack Wireless Penetration Testing 117pp James F.Kurose and Keith W Ross, Computer.Networking.A.TopWireless Security Handbook 48 ... phổ biến mạng WiFi - Các phương pháp nâng cao tính an tồn cho hệ thống mạng WiFi - Lựa chọn giải pháp triển khai hệ thống Secure HotSpot MỞ ĐẦU Tổng quan WLAN: 3.1 Lịch sử hình thành: Mạng LAN... nơi đến nơi khác - Triển khai: Việc thiết lập hệ thống mạng không dây ban đầu chir cần Access Point (AP) Với mạng dùng cáp, phải tốn thêm chi phí gặp khó khăn việc triển khai hệ thơng cáp nhiều... 2.4 Vơ hiêu hóa chức hệ thống: Đây kiểu làm tê liệt hệ thống, không ngăn chặn phương tiện để làm việc truy cập thơng tin mạng Ví dụ sử dụng lệnh ping với tốc độ cao buộc hệ thống tiêu hao tồn độ