LỜI CẢM ƠN Để hoàn thành đồ án chuyên ngành yêu cầu thời gian đặt ra, em xin chân thành cảm ơn thầy giao cho chúng em đề tài tận tình hướng dẫn, tạo điều kiện giúp đỡ chúng em trình làm đồ án Qua trình làm đồ án chuyên ngành chúng em học hỏi nhiều Giúp chúng em có nhìn sơ chun ngành mình, hành trang quan trọng để chúng em tốt nghiệp sau Mặc dù cố gắng q trình làm đồ án mơn học chun ngành khó tránh khỏi thiếu sót, mong góp ý thầy để chúng em rút kinh nghiệm Chúng em xin chân thành cảm ơn! Tp Hồ Chí Minh, Ngày Tháng 04 Năm 2018 Nhóm sinh viên thực MỤC LỤC LỜI CẢM ƠN CHƯƠNG I: TỔNG QUAN VỀ WIRELESS LAN 1.1 Wireless lan gì? 1.1.1 Khái niệm 1.1.2 Lịch sử hình thành phát triển 1.2 Ưu điểm nhược điểm 1.2.1 Ưu điểm WLAN 1.2.2 Nhược điểm CHƯƠNG II: QUI TRÌNH CHỨNG THỰC TRONG WIRELESS LAN 2.1 Khái niệm EAP 2.2 Quá tình chứng thực 802.1x-EAP 2.3 Mã hóa giải mã WPA .6 2.4 Giao thức xác thực IEEE 802.1X CHƯƠNG III: BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP CHỨNG THỰC RADIUS 19 3.1 RADIUS .19 3.2 Quá trình trao đổi gói tin RADIUS 19 3.2.1 Xác thực cấp phép kiểm toán 19 3.2.2 Sự bảo mật tính mở rộng 20 3.2.3 Áp dụng RADIUS cho WLAN 21 3.2.4 Các tùy chọn bổ sung 22 CHƯƠNG VI: QUY TRÌNH CÀI ĐẶT VÀ TRIỂN KHAI HỆ THỐNG RADIUS SERVER 24 4.1 Cài đặt, cấu hình radius 24 4.2 Chuẩn bị cho lab cấu hình 802.1x wifi radius window server 2012 .24 4.3 Nâng cấp Active Director(AD) 24 4.4 Cài đặt, cấu hình radius 24 4.5 Cài đặt NAP cấu hình NAP(Network Policy and Access Services) 33 4.6 Cấu access point client 45 KẾT LUẬN 51 TÀI LIỆU THAM KHẢO 52 CHƯƠNG I: TỔNG QUAN VỀ WIRELESS LAN 1.1 Wireless lan gì? 1.1.1 Khái niệm Mạng LAN khơng dây viết tắt WLAN (Wireless Local Area Network) hay WIFI (Wireless Fidelity), mạng dùng để kết nối hai hay nhiều máy tính với mà khơng sử dụng dây dẫn WLAN dùng cơng nghệ trải phổ, sử dụng sóng vô tuyến cho phép truyền thông thiết bị vùng gọi Basic Service Set Đây giải pháp có nhiều ưu điểm so với kết nối mạng có dây (wireline) truyền thống Người dùng trì kết nối với mạng di chuyển vùng phủ sóng 1.1.2 Lịch sử hình thành phát triển Năm 1990, công nghệ WLAN lần xuất hiện, nhà sản xuất giới thiệu sản phẩm hoạt động băng tần 900 Mhz Các giải pháp (khơng có thống nhà sản xuất) cung cấp tốc độ truyền liệu 1Mbs, thấp nhiều so với tốc độ 10 Mbs hầu hết mạng sử dụng cáp lúc Năm 1992, nhà sản xuất bắt đầu bán sản phẩm WLAN sử dụng băng tần 2.4GHz Mặc dù sản phẩm có tốc độ truyền cao chúng giải pháp riêng nhà sản xuất không công bố rộng rãi Sự cần thiết cho việc thống hoạt động thiết bị dãy tần số khác dẫn đến số tổ chức bắt đầu phát triển chuẩn mạng không dây Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) thông qua đời chuẩn 802.11, biết đến với tên WIFI (Wireless Fidelity) cho mạng WLAN Năm 1999, IEEE thông qua bổ sung cho chuẩn 802.11 chuẩn 802.11a 802.11b (định nghĩa phương pháp truyền tín hiệu) Và thiết bị WLAN dựa chuẩn 802.11b nhanh chóng trở thành công nghệ không dây trội Năm 2003, IEEE công bố thêm cải tiến chuẩn 802.11g, chuẩn cố gắng tích hợp tốt chuẩn 802.11a, 802.11b 802.11g Sử dụng băng tần 2.4Ghz cho phạm vi phủ sóng lớn Năm 2009, IEEE cuối thông qua chuẩn WIFI hệ 802.11n sau năm thử nghiệm Chuẩn 802.11n có khả truyền liệu tốc độ 300Mbps hay chí cao 1.2 Ưu điểm nhược điểm 1.2.1 Ưu điểm WLAN  Sự tiện lợi: Mạng không dây cung cấp giải pháp cho phép người sử dụng truy cập tài nguyên mạng nơi đâu khu vực WLAN triển khai (khách sạn, trường học, thư viện…) Với bùng nổ máy tính xách tay thiết bị di động hỗ trợ wifi nay, điều thật tiện lợi  Khả di động: Với phát triển vô mạnh mẽ viễn thông di động, người sử dụng truy cập internet đâu Như: Quán café, thư viện, trường học chí công viên hay vỉa hè Người sử dụng truy cập internet miễn phí  Hiệu quả: Người sử dụng trì kết nối mạng họ từ nơi đến nơi khác  Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, cần đường truyền ADSL AP mạng WLAN đơn giản Với việc sử dụng cáp, tốn khó khăn việc triển khai nhiều nơi tòa nhà  Khả mở rộng: Mở rộng dễ dàng đáp ứng tức có gia tăng lớn số lượng người truy cập 1.2.2 Nhược điểm Bên cạnh thuận lợi mà mạng khơng dây mang lại cho mắc phải nhược điểm Đây hạn chế cơng nghệ nói chung  Bảo mật: Đây nói nhược điểm lớn mạng WLAN, phương tiện truyền tín hiệu song mơi trường truyền tín hiệu khơng khí nên khả mạng khơng dây bị công lớn  Phạm vi: Như ta biết chuẩn IEEE 802.11n hoạt động phạm vi tối đa 150m, nên mạng không dây phù hợp cho không gian hẹp  Độ tin cậy: Do phương tiện truyền tín hiệu sóng vơ tuyến nên việc bị nhiễu, suy giảm…là điều tránh khỏi Điều gây ảnh hưởng đến hiệu hoạt động mạng  Tốc độ: Tốc độ cao WLAN lên đến 600Mbps chậm nhiều so với mạng cáp thông thường (có thể lên đến hàng Gbps) CHƯƠNG II: QUI TRÌNH CHỨNG THỰC TRONG WIRELESS LAN 2.1 Khái niệm EAP EAP phương thức xác thực bao gồm yêu cầu định danh người dùng (password, certificate,…), giao thức sử dụng (MD5, TLI_Transport Layer Security, OTP_One Time Password,…) hỗ trợ tự động sinh khóa xác thực lẫn 2.2 Quá tình chứng thực 802.1x-EAP Wireless client muốn liên kết với AP mạng AP chặn lại tất thông tin client client log on vào mạng Khi client yêu cầu lien kết tới AP AP đáp lại yêu cầu liên kết với yêu cầu nhận dạng EAP Client gửi đáp lại yêu cầu nhận dạng EAP cho AP Thông tin đáp lại yêu cầu nhận dạng EAP client chuyển tới Server chứng thực Server chứng thực gửi yêu cầu cho phép AP AP chuyển yêu cầu cho phép tới client Client gửi trả lời cấp phép EAP tới AP AP chuyển trả lời tới Server chứng thực Server chứng tực gửi thông báo thành công EAP tới AP 10 AP chuyển thông báo thành công tới client đặt cổng client trogn chế độ forward 2.3 Mã hóa giải mã WPA WPA sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol) WPA sử dụng thuật toán RC4 WEP, mã hoá đầy đủ 128 bit Và đặc điểm khác WPA thay đổi khoá cho gói tin Các cơng cụ thu thập gói tin để phá khố mã hố khơng thể thực với WPA Bởi WPA thay đổi khoá liên tục nên hacker không thu thập đủ liệu mẫu để tìm mật Khơng thế, WPA bao gồm kiểm tra tính tồn vẹn thơng tin (Message Integrity Check) Vì vậy, liệu khơng thể bị thay đổi đường truyền WPA có sẵn lựa chọn: WPA Personal WPA Enterprise Cả lựa chọn sử dụng giao thức TKIP, khác biệt khoá khởi tạo mã hố lúc đầu WPA Personal thích hợp cho gia đình mạng văn phòng nhỏ, khố khởi tạo sử dụng điểm truy cập thiết bị máy trạm Trong đó, WPA cho doanh nghiệp cần máy chủ xác thực 802.1x để cung cấp khoá khởi tạo cho phiên làm việc  WPA cung cấp hai yếu tố cải tiến bảo mật sau:  Cải tiến mã hóa liệu thông qua TKIP Temporal Key Integrity Protocol, cung cấp cải tiến mã hóa liệu cách trộn lẫn key đựơc sinh theo packet với véc tơ khởi tạo (IV) mở rộng với sequence counter để chống replay attack WEP, sau chuyển đến quy trình khởi tạo mã hóa RC4 Ngồi ra, TKIP thực chức kiểm tra tồn vẹn thơng điệp (Message Integrity Check – MIC) 64 bit với giải thuật MICHAEL  Authenticate người dùng mức độ doanh nghiệp thông qua 802.1x EAP Framework 802.1x EAP dùng máy chủ authenticate tập trung, chẳng hạn RADIUS, để authenticate người dùng mạng trước họ kết nối vào Nó sử dụng chế “nhận dạng lẫn nhau” để ngăn chặn người dùng truy cập vào mạng giả mạo đánh cắp nhận dạng họ Các bước cụ thể sau: Bước 1: AP tạo số ngẫu nhiên gửi cho PC.PC sau sử dụng cụm từ mật với số ngẫu nhiên để lấy mã khóa sử dụng để mã hóa liệu đến AP Bước 2: PC tạo số ngẫu nhiên kèm với MIC (Message Integrity Code:được dùng để bảo đảm liệu giả mạo) Bước 3: Để xác minh, AP gửi số ngẫu nhiên lần nữa, mật mã cách sử dụng giá trị bước Bước 4: Một thông điệp cuối gửi, cho biết có kết nối bên 2.4 Giao thức xác thực IEEE 802.1X IEEE 802.1X (điều khiển truy nhập mạng dựa cổng - Port-Based Network Access Control) phát triển dành cho mạng không dây, cung cấp chế xác thực, cấp quyền phân phối khóa, thực điều khiển truy nhập user truy nhập mạng Cấu trúc IEEE 802.1X bao gồm thành phần chính:  User truy nhập mạng  Xác thực cung cấp điều khiển truy nhập mạng  Server xác thực  Trong mạng không dây, AP hoạt động xác thực cung cấp điều khiển truy nhập mạng  Mỗi cổng vật lý (cổng ảo WLAN) chia thành cổng logic tạo nên thực thể truy nhập mạng - PAE (Port Access Entity)  Authenticator PAE luôn mở phép frame xác thực qua, dịch vụ PAE mở xác thực thành công Quyết định cho phép truy nhập thường thực thành phần thứ ba, gọi server xác thực (nó server Radius dành riêng phần mềm chạy AP)  Chuẩn 802.11i thực số thay đổi nhỏ 802.1X để mạng khơng dây kiểm tốn khả ăn trộm ID  Bản tin xác thực kết hợp chặt chẽ để đảm bảo user AP tính tốn khóa bí mật cho phép mã hóa trước truy nhập vào mạng  User authenticator liên lạc với sử dụng giao thức dựa EAP Chú ý vai trò authenticator chủ yếu thụ động – đơn giản chuyển tiếp tất tin đến server xác thực  EAP khung cho sử dụng phương pháp xác thực khác (cho phép số giới hạn loại message – Request, Respond, Succcess, Failure) dựa việc lựa chọn phương pháp xác thực: EAP-TLS, EAP-TTLS, PEAP, Kerberos v5, EAP- SIM, Khi q trình hồn thành, hai thực thể có khóa bí mật chủ (Master key)  Truyền thông authenticator server xác thực sử dụng giao thức EAPOL (EAP Over LAN), sử dụng mạng không dây để chuyển tiếp liệu EAP sử dụng giao thức lớp cao Radius  Một RSN đặc thù chấp nhận thiết bị có khả RSN, IEEE 802.1i hỗ trợ kiến trúc mạng an toàn chuyển tiếp (Transitional Security Network - TSN) để hai hệ thống RSN WEP tham gia, cho phép user nâng cấp thiết bị họ theo thời gian  Các thủ tục xác thực kết hợp sử dụng chế bắt tay bước, kết hợp gọi kết hợp mạng an toàn mạnh (Robust Security Network Association - RSNA) Thiết lập phiên truyền thông bao gồm giai đoạn:  Tán thành sách bảo mật  Xác thực 802.1X  Nhận khóa nguồn phân phối  Bảo mật toàn vẹn liệu RSNA Thiết lập phiên truyền thông Giai đoạn -tán thành sách bảo mật:  Ở giai đoạn yều cầu bên truyền thông thỏa thuận sách bảo mật để sử dụng  Các sách bảo mật hỗ trợ AP phát quảng bá beacon tin Probe Respond (tiếp sau Probe Respond từ client)  Tiếp theo xác thực mở (giống mạng TSN, xác thực luôn thành công)  Client phản ứng đưa yêu cầu Associaton Request phê chuẩn Associaton Respond từ AP Các thơng tin sách an toàn gửi trường RSN IE, bao gồm:  Các phương pháp xác thực hỗ trợ (802.1X, PSK)  Các giao thức an toàn cho truyền thơng unicast (CCMP, TKIP, ) – cặp khóa mã hóa  Các giao thức an tồn cho truyền thơng multicast (CCMP, TKIP, ) - nhóm khóa mã hóa 10 -Hộp thoại Network Policy Server xuất Standard Configuration xổ drop down list chọn RADIUS server for 802.1X Wireless or Wired Connections – Và Sau chọn Configure 802.1X – Hộp thoại 802.1X Connections Type xuất hiện: + Type of 802.1X Connection: Tick chọn Seucre Wiresless Connections + Name: Đặt tên cho Policy – Sau chọn điền xong bạn bán Next để qua bước – Hộp thoại Specify 802.1X Switches xuất chọn Add để Add Radius client Lưu ý : Radius client access point Nếu có access point add cái, có add 2, … khơng add vào access point cho dù cố tình trỏ RADIUS Server khơng sử dụng – Sau click Add… hộp thoại New RADIUS Client xuất hiện, cần làm sau: + Friend Name: đặt tên cho radius client ( lời khuyên nên đặt trùng với host name thiết bị wireless add vào) + Address: gõ địa IP access point vào + tick vào Manual gõ chuỗi Shared secret vào confirm lại lần Lưu ý chuỗi secret nầy dùng để xác thực access point radius server, điền vào access point cấu hình phần sau + Và bấm OK để hồn tất việc Add RADIUS Client – Sau add RADIUS Client xong bấm Next để qua bước 40 – Hộp thoại Configure an Authentication Method xuất hiện: – Type xổ chọn Microsoft: Secured password(EAP-MSCHAP v2) – Sau click vào Configure + Hộp thoại EAP MSCHAP v2 xuất Number of authentication retries xuất gõ số lần authentication cố gắng kết nối lại vào + Sau tick vào Allow client to change password after it has expired – Hộp thoại Specify User Groups xuất bạn bấn vào Add… để Add group cho phép sử dụng 802.1X chứng thực wifi tạo sẳn group tên Wifi add account Nep.Pham vào – Sau click vào Add… bạn chọn gõ tên Group bấm ok – Và Bấm Next để qua bước – Hộp thoại Configure Traffic Controls xuất bấm Next để tiếp tục bước – Hộp thoại Completing New 802.1X Secure Wired and Wireless Connections and RADIUS clients xuất chọn Finish để hoàn tất 4.6 Cấu access point client 4.6.1 Cấu hình access point: – Trường hợp access point hỗ trợ DHCP tận dụng, trường hợp access point khơng hỗ trợ phải setup DHCP Server để cấp IP cho wifi (trong lab nàyy Access Point hỗ trợ DHCP nên setup Window Server để cấp IP cho Wifi client Tại Access Point: – Truy cập vào access point để cấu hình, truy cập vào access point http://192.198.1.10 đăng nhập vào để cấu hình – Sau đăng nhập vào giao diện quản lý wifi đặt tên cho SSID, đặt hutech.com – Tại phần Security phần Security mode chọn WPA2-Enterprise, chọn WPA2Enterprise mix với Enterprise Mix mix AES TKIP + Primary RADIUS Server trỏ RADIUS server (192.168.1.1) + Primary RADIUS Server port : gõ 1812 + Primary Shared Secret : gõ chuỗi Secret đăng ký RADIUS Server – Sau bấm Save để hồn tất phần cấu hình tất phần cấu hình Access Point 4.6.2 Cấu hình win client: – Tại Client (Máy Laptop chạy Window 7) thấy chưa có SSID đăng ký phần Manage Wireless Networks – Lưu ý : cần phải Add SSID cho nó, khơng wifi không sử dụng -Tại phần Manage Wireless Networks chọn Add để add SSID vào – Hộp thoại Manual connect to a wireless network n click vào Manual create a network profile – Ở bước này: + Gõ SSID đặt access point Network Name + Security type: chọn WPA2-Enterpise WPA2-Enterpise Mix + Tick vào Start this connection automatically + Và bấm Next để qua bước – Sau cấu hình xong chọn Change connection settings để tùy chỉnh lại – Tại phần tùy chỉnh tab security làm sau: + Security type: chọn WPA2-Enterprise + Encryption type : cho AES + Choose a network authentication method: chọn Microsoft: Protected EAP (PEAP) + Sau chọn Setting, hộp thoại Protected EAP Properties xuất bạn làm sau: Tick bỏ Validate server certificate… Click Configure bỏ chọn Automatically use my Windows login name and password Bỏ Tick chọn Enable Fast Reconnect Cuối bấm OK để hoàn tất hộp thoại Protected EAP Properties + Cuối bấm OK hộp thoại Wireless Network Properties để hoàn tất bước add SSID client – Sau add SSID xong ta chọn Wireless SSID HUTECH.COM gõ username/password ( set AD nằm OU Wifi) bấm OK – Máy kết nối wifi SSID HUTECH.COM thành công 50 KẾT LUẬN Kết đạt  - Về lý thuyết: Phương pháp bảo mật mà nhóm nghiên cứu phương pháp bảo mật WLAN tốt Có ý nghĩa thực tiễn cao, áp dụng cho quan, doanh nghiệp có nhu cầu bảo mật WLAN cao Sau thực xong đề tài, thành viên nhóm hiểu tổng quan hệ thống mạng khơng dây, hình thức công bảo mật mạng không dây Đặt biệt hiểu rõ chế, tầm quan trọng bảo mật mạng không dây chứng thực RADIUS  Hạn chế Chưa triển khai hệ thống Linux với chứng thực LDAP  Hướng mở Triển khai hệ thống xác thực RADIUS LINUX mở rộng mơ hình xác thực khơng cho WIFI mà hệ thống mạng sử dụng cáp, máy VPN server, NAS Server… TÀI LIỆU THAM KHẢO  Internet [1] https://tools.ietf.org/html/rfc2865 [2] http://www.vnpro.org/forum/forum/ccent%C2%AE/icnd-1-basic-wireless-lan- config/2390-th%E1%BA%A3o-lu%E1%BA%ADn-ieee-802-1x [3] https://www.cisco.com/c/en/us/support/docs/wireless/aironet-1100series/44844-leapserver.html ... PHÁP CHỨNG THỰC RADIUS 3.1 RADIUS RADIUS giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền kiểm toán truy cập cho mạng Ban đầu phát tri n cho thiết lập kết nối từ xa Radius bâu hỗ... RFC 3580 Attribute-Value Pairs: Thông tin mang RADIUS đuợc miêu tả dạng Attribute-Value, để hỗ trợ cho nhiều công nghệ khác nhau, nhiều phương thức xác thực khác Một chuẩn định nghĩa Attribute-Value... mật Khi sử dụng RADIUS cho WLAN mang lại khả tiện lợi cao, xác thực cho toàn hệ thống nhiều AP,…cung cấp giải pháp thơng minh CHƯƠNG VI: QUY TRÌNH CÀI ĐẶT VÀ TRI N KHAI HỆ THỐNG RADIUS SERVER