Các bước cụ thể như sau: Bước 1: AP tạo ra một số ngẫu nhiên và gửi nó cho PC.PC sau đó sử dụng mộtcụm từ mật khẩu cùng với số ngẫu nhiên để lấy được một mã khóa được sử dụng để mã hóa d
Trang 1LỜI CẢM ƠN
Để hoàn thành đồ án chuyên ngành đúng yêu cầu và thời gian đặt ra, em xin chân thành cảm ơn thầy đã giao cho chúng em đề tài này và tận tình hướng dẫn, tạo mọi điều kiện giúp đỡ chúng em trong quá trình làm đồ án Qua quá trình làm đồ án chuyên ngành chúng em đã học hỏi được rất nhiều Giúp chúng em có được cái nhìn
sơ bộ về chuyên ngành của mình, là hành trang quan trọng để chúng em tốt nghiệp sau này.
Mặc dù đã rất cố gắng trong quá trình làm đồ án môn học chuyên ngành nhưng khó tránh khỏi những thiếu sót, rất mong được sự góp ý của thầy để chúng
em rút kinh nghiệm.
Chúng em xin chân thành cảm ơn!
Tp Hồ Chí Minh, Ngày 7 Tháng 04 Năm 2018
Nhóm sinh viên thực hiện
Trang 2MỤC LỤC
LỜI CẢM ƠN 1
CHƯƠNG I: TỔNG QUAN VỀ WIRELESS LAN 3
1.1 Wireless lan là gì? 3
1.1.1 Khái niệm 3
1.1.2 Lịch sử hình thành và phát triển 3
1.2 Ưu điểm và nhược điểm 4
1.2.1 Ưu điểm của WLAN 4
1.2.2 Nhược điểm 4
CHƯƠNG II: QUI TRÌNH CHỨNG THỰC TRONG WIRELESS LAN 6
2.1 Khái niệm EAP 6
2.2 Quá tình chứng thực 802.1x-EAP 6
2.3 Mã hóa và giải mã trong WPA 6
2.4 Giao thức xác thực IEEE 802.1X 7
CHƯƠNG III: BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP CHỨNG THỰC RADIUS 19
3.1 RADIUS là gì 19
3.2 Quá trình trao đổi gói tin trong RADIUS 19
3.2.1 Xác thực cấp phép và kiểm toán 19
3.2.2 Sự bảo mật và tính mở rộng 20
3.2.3 Áp dụng RADIUS cho WLAN 21
3.2.4 Các tùy chọn bổ sung 22
CHƯƠNG VI: QUY TRÌNH CÀI ĐẶT VÀ TRIỂN KHAI HỆ THỐNG RADIUS SERVER 24
4.1 Cài đặt, cấu hình radius 24
4.2 Chuẩn bị cho bài lab cấu hình 802.1x wifi radius trên window server 2012 24
4.3 Nâng cấp Active Director(AD) 24
4.4 Cài đặt, cấu hình radius 24
4.5 Cài đặt NAP và cấu hình NAP(Network Policy and Access Services) 33
4.6 Cấu trên access point và client 45
KẾT LUẬN 51
TÀI LIỆU THAM KHẢO 52
Trang 3CHƯƠNG I: TỔNG QUAN VỀ WIRELESS LAN
1.1 Wireless lan là gì?
1.1.1 Khái niệm
Mạng LAN không dây viết tắt là WLAN (Wireless Local Area Network) hay WIFI(Wireless Fidelity), là một mạng dùng để kết nối hai hay nhiều máy tính với nhau màkhông sử dụng dây dẫn WLAN dùng công nghệ trải phổ, sử dụng sóng vô tuyến chophép truyền thông giữa các thiết bị trong một vùng nào đó gọi là Basic Service Set
Đây là một giải pháp có rất nhiều ưu điểm so với kết nối mạng có dây (wireline)truyền thống Người dùng vẫn duy trì kết nối với mạng khi di chuyển trong vùng phủsóng
1.1.2 Lịch sử hình thành và phát triển.
Năm 1990, công nghệ WLAN lần đầu tiên xuất hiện, khi những nhà sản xuất giớithiệu những sản phẩm hoạt động ở băng tần 900 Mhz Các giải pháp này (không có sựthống nhất của các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mbs, thấp hơn rất nhiều
so với tốc độ 10 Mbs của hầu hết các mạng sử dụng cáp lúc đó
Năm 1992, các nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần2.4GHz Mặc dù những sản phẩm này có tốc độ truyền cao hơn nhưng chúng vẫn chỉ lànhững giải pháp riêng của mỗi nhà sản xuất và không được công bố rộng rãi Sự cần thiếtcho việc thống nhất hoạt động giữa các thiết bị ở những dãy tần số khác nhau dẫn đến một
số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây
Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã thông qua
sự ra đời của chuẩn 802.11, và được biết đến với tên WIFI (Wireless Fidelity) cho cácmạng WLAN
Năm 1999, IEEE thông qua sự bổ sung cho chuẩn 802.11 là chuẩn 802.11a và802.11b (định nghĩa ra những phương pháp truyền tín hiệu) Và các thiết bị WLAN dựatrên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây nổi trội
Năm 2003, IEEE công bố thêm sự cải tiến là chuẩn 802.11g, chuẩn này cố gắngtích hợp tốt nhất các chuẩn 802.11a, 802.11b và 802.11g Sử dụng băng tần 2.4Ghz chophạm vi phủ sóng lớn hơn
Trang 4Năm 2009, IEEE cuối cùng cũng thông qua chuẩn WIFI thế hệ mới 802.11n sau 6năm thử nghiệm Chuẩn 802.11n có khả năng truyền dữ liệu ở tốc độ 300Mbps hay thậmchí cao hơn.
1.2 Ưu điểm và nhược điểm
1.2.1 Ưu điểm của WLAN
Sự tiện lợi: Mạng không dây cung cấp giải pháp cho phép người sử dụng truy
cập tài nguyên trên mạng ở bất kì nơi đâu trong khu vực WLAN được triển khai(khách sạn, trường học, thư viện…) Với sự bùng nổ của máy tính xách tay và cácthiết bị di động hỗ trợ wifi như hiện nay, điều đó thật sự rất tiện lợi
Khả năng di động: Với sự phát triển vô cùng mạnh mẽ của viễn thông di
động, người sử dụng có thể truy cập internet ở bất cứ đâu Như: Quán café, thưviện, trường học và thậm chí là ở các công viên hay vỉa hè Người sử dụng đều cóthể truy cập internet miễn phí
Hiệu quả: Người sử dụng có thể duy trì kết nối mạng khi họ đi từ nơi này
đến nơi khác
Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, chúng ta chỉ
cần một đường truyền ADSL và một AP là được một mạng WLAN đơn giản Vớiviệc sử dụng cáp, sẽ rất tốn kém và khó khăn trong việc triển khai ở nhiều nơitrong tòa nhà
Khả năng mở rộng: Mở rộng dễ dàng và có thể đáp ứng tức thì khi có sự gia
tăng lớn về số lượng người truy cập
1.2.2 Nhược điểm
Bên cạnh những thuận lợi mà mạng không dây mang lại cho chúng ta thì nó cũngmắc phải những nhược điểm Đây là sự hạn chế của các công nghệ nói chung
Bảo mật: Đây có thể nói là nhược điểm lớn nhất của mạng WLAN, bởi vì
phương tiện truyền tín hiệu là song và môi trường truyền tín hiệu là không khí nênkhả năng một mạng không dây bị tấn công là rất lớn
Phạm vi: Như ta đã biết chuẩn IEEE 802.11n mới nhất hiện nay cũng chỉ có
thể hoạt động ở phạm vi tối đa là 150m, nên mạng không dây chỉ phù hợp cho mộtkhông gian hẹp
Trang 5 Độ tin cậy: Do phương tiện truyền tín hiệu là sóng vô tuyến nên việc bị
nhiễu, suy giảm…là điều không thể tránh khỏi Điều này gây ảnh hưởng đến hiệuquả hoạt động của mạng
Tốc độ: Tốc độ cao nhất hiện nay của WLAN có thể lên đến 600Mbps nhưng
vẫn chậm hơn rất nhiều so với các mạng cáp thông thường (có thể lên đến hàng Gbps)
Trang 6CHƯƠNG II: QUI TRÌNH CHỨNG THỰC TRONG WIRELESS LAN 2.1 Khái niệm EAP
EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password,certificate,…), giao thức được sử dụng (MD5, TLI_Transport Layer Security, OTP_OneTime Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau
2.2 Quá tình chứng thực 802.1x-EAP
Wireless client muốn liên kết với một AP trong mạng
1 AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng Khi
đó client yêu cầu lien kết tới AP
2 AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP
3 Client gửi đáp lại yêu cầu nhận dạng EAP cho AP
4 Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng thực
5 Server chứng thực gửi một yêu cầu cho phép AP
6 AP chuyển yêu cầu cho phép tới client
7 Client gửi trả lời sự cấp phép EAP tới AP
8 AP chuyển sự trả lời đó tới Server chứng thực
9 Server chứng tực gửi một thông báo thành công EAP tới AP
10 AP chuyển thông báo thành công tới client và đặt cổng của client trogn chế độ forward
2.3 Mã hóa và giải mã trong WPA
WPA là sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol).WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit Và một đặcđiểm khác là WPA thay đổi khoá cho mỗi gói tin Các công cụ thu thập các gói tin để phákhoá mã hoá đều không thể thực hiện được với WPA Bởi WPA thay đổi khoá liên tụcnên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu Không những thế,WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check) Vìvậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền
WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise Cả 2 lựa chọn này đều
sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu WPA
Trang 7Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụngtại các điểm truy cập và thiết bị máy trạm Trong khi đó, WPA cho doanh nghiệp cần mộtmáy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc.
WPA cung cấp hai yếu tố cải tiến về bảo mật như sau:
Cải tiến mã hóa dữ liệu thông qua TKIP Temporal Key Integrity Protocol,cung cấp sự cải tiến trong mã hóa dữ liệu bằng cách trộn lẫn key đựơc sinh theotừng packet với véc tơ khởi tạo (IV) được mở rộng với những sequence counter
để chống replay attack trên WEP, sau đó mới chuyển đến quy trình khởi tạo mãhóa RC4 Ngoài ra, TKIP còn hiện thực chức năng kiểm tra sự toàn vẹn thôngđiệp (Message Integrity Check – MIC) 64 bit với giải thuật MICHAEL
Authenticate người dùng ở mức độ doanh nghiệp thông qua 802.1x và EAP.Framework 802.1x và EAP dùng một máy chủ authenticate tập trung, chẳnghạn như RADIUS, để authenticate mỗi người dùng trong mạng trước khi họ kếtnối vào Nó cũng sử dụng cơ chế “nhận dạng lẫn nhau” để ngăn chặn ngườidùng truy cập vào một mạng giả mạo có thể đánh cắp nhận dạng của họ
Các bước cụ thể như sau:
Bước 1: AP tạo ra một số ngẫu nhiên và gửi nó cho PC.PC sau đó sử dụng mộtcụm từ mật khẩu cùng với số ngẫu nhiên để lấy được một mã khóa được sử dụng
để mã hóa dữ liệu đến AP
Bước 2: PC tạo 1 số ngẫu nhiên kèm với MIC (Message Integrity Code:được dùng
để bảo đảm rằng dữ liệu không phải là giả mạo)
Bước 3: Để xác minh, AP sẽ gửi số ngẫu nhiên một lần nữa, mật mã bằng cách sử dụng giá trị ở bước 1
Bước 4: Một thông điệp cuối cùng được gửi, cho biết đã có sự kết nối giữa 2 bên
2.4 Giao thức xác thực IEEE 802.1X
IEEE 802.1X (điều khiển truy nhập mạng dựa trên cổng - Port-Based Network Access Control) được phát triển dành cho các mạng không dây, cung cấp các cơ chế xác thực, cấp quyền và phân phối khóa, và thực hiện điều khiển truy nhập đối với user truy nhập mạng
Cấu trúc IEEE 802.1X bao gồm 3 thành phần chính:
User truy nhập mạng
Trang 8 Xác thực cung cấp điều khiển truy nhập mạng.
Chuẩn 802.11i thực hiện một số thay đổi nhỏ đối với 802.1X để các mạng không dây kiểm toán khả năng ăn trộm ID
Bản tin xác thực được kết hợp chặt chẽ để đảm bảo rằng cả user và AP tính toán khóa bí mật và cho phép mã hóa trước khi truy nhập vào mạng
User và authenticator liên lạc với nhau sử dụng giao thức dựa trên EAP Chú ý rằng vai trò của authenticator chủ yếu là thụ động – nó chỉ đơn giản chuyển tiếp tất cả các bản tin đến server xác thực
EAP là một khung cho sử dụng các phương pháp xác thực khác nhau (cho phép chỉ một số giới hạn các loại message – Request, Respond, Succcess, Failure) và dựa
Trang 9trên việc lựa chọn các phương pháp xác thực: EAP-TLS, EAP-TTLS, PEAP, Kerberos v5, EAP- SIM, Khi quá trình này hoàn thành, cả hai thực thể có một khóa bí mật chủ (Master key).
Truyền thông giữa authenticator và server xác thực sử dụng giao thức EAPOL (EAP Over LAN), được sử dụng trong các mạng không dây để chuyển tiếp các dữ liệu EAP sử dụng các giao thức lớp cao như Radius
Một RSN đặc thù sẽ chỉ chấp nhận các thiết bị có khả năng RSN, nhưng IEEE 802.1i cũng hỗ trợ một kiến trúc mạng an toàn chuyển tiếp (Transitional Security Network - TSN) để cả hai hệ thống RSN và WEP cùng tham gia, cho phép các user nâng cấp các thiết bị của họ theo thời gian
Các thủ tục xác thực và kết hợp sử dụng cơ chế bắt tay 4 bước, kết hợp được gọi là kết hợp mạng an toàn mạnh (Robust Security Network Association - RSNA)
Thiết lập một phiên truyền thông bao gồm 4 giai đoạn:
Tán thành các chính sách bảo mật
Xác thực 802.1X
Nhận được khóa nguồn và phân phối
Bảo mật và toàn vẹn dữ liệu RSNA
Thiết lập một phiên truyền thông
Trang 10Giai đoạn 1 -tán thành các chính sách bảo mật:
Ở giai đoạn này yều cầu các bên truyền thông thỏa thuận các chính sách bảo mật
Trang 11 Hỗ trợ tiền xác thực, cho phép các user tiền xác thực trước khi được chuyển tới truy nhập mạng.
Tại điểm cuối của thủ tục một bản tin chấp nhận Radius được gửi từ AP tới client bao gồm MK và bản tin thành công EAP
Giai đoạn 3 – cây khóa và phân phối
Kết nối an toàn dựa trên các khóa bí mật Trong RSN, mỗi khóa có một thời gian sống giới hạn và bảo mật tổng thể được đảm bảo nhờ sử dụng một tập hợp các khóa khác nhau, được tổ chức thành cây Khi một phiên bảo mật được thiết lập sau
Trang 12khi xác thực thành công, các khóa tạm thời (khóa phiên) được tạo và thường xuyên cập nhật cho đến khi phiên bảo mật kết thúc.
Có 2 bước bắt tay trong khi sinh khóa
4-way Handshake sinh ra PTK (Pair-wire Transient Key) và GTK (Group
Transient Key)
Group Handshake Key: tạo mới cho GTK
PMK (Pairwire Master Key) nhận được dựa trên
phương pháp xác thực được sử dụng:
Nếu sử dụng PSK, PMK = PSK PSK được sinh ra từ mật khẩu thông thường (từ
8-63 ký tự) hoặc là một chuỗi 256 bit, cung cấp các giải pháp bảo mật cho cá nhân hoặc văn phòng nhỏ (không cần server xác thực)
Nếu một AS được sử dụng, PMK nhận được từ MK của xác thực 802.11 X
Trang 13 PMK bản thân không bao giờ được sử dụng cho mã hóa và kiểm tra toàn vẹn nó được sử dụng để sinh ra một khóa mã hóa tạm thời PTK Độ dài của PTK phụ thuộc vào giao thức mã hóa: 512 bit cho TKIP và 384 cho CCMP.
PTK bao gồm các phần sau:
o KCK – 128 bit: khóa dành cho xác thực các bản tin (MIC) trong quá trình 4- way handshake và group handshake key
o KEK - 128 bit: khóa để đảm bảo bảo mật dữ liệu trong quá trình 4-way
handshake và group handshake key
o TK – 128 bit: khóa cho mã hóa dữ liệu (được sử dụng bởi TKIP hoặc CCMP)
o TMK – 2x64 bit: khóa dành cho xac thực dữ liệu (được sử dụng chỉ với MIC) Một khóa dành riêng cho mỗi kênh liên lạc
Trang 144-way handshake: được khởi nguồn từ AP, tạo cho nó có các khả năng:
Xác nhận sự nhận biết của client với PTK
Sinh ra PTK mới
Cài đặt các khóa mã hóa và toàn vẹn
Xác nhận bộ mã hóa được chọn
Trang 15Giai đoạn 4 – RSNA bảo mật và toàn vẹn dữ liệu
Tất cả các khóa sinh ra ở các giai đoạn trên được sử dụng trong các giao thức hỗ trợ RSNA bảo mật và toàn vẹn
TKIP (Temporal Key Hash)
CCMP (Counter-Mode/ Cipher Bock Chaining Message Authentication Code Protocol)
WRAP (Wireless Robust Authenticated Protocol)
Ưu điểm chính của TKIP so với WEP là sự luân phiên khóa.
TKIP sử dụng thay đổi thường xuyên các khóa mã cho RC4 (khoảng 10000
packet), và véc tơ khởi tại IV được tạo khác
Trang 16 TKIP được bao gồm trong 802.11i như là một lựa chọn.
Trên thực tế, TKIP bao gồm 4 thuật toán để thực hiện tốt nhất các khả năng an toàn:
o Mã kiểm tra tính toàn vẹn bản tin (MIC): có thể thực hiện trên phần mềm chạy trên các CPU tốc độ thấp
o Nguyên tắc chuỗi IV mới
o Chức năng trộn khóa trên mỗi gói
o Phân phối khóa: một phương pháp mới để phân phối khóa
Chức năng trộn khóa trên mỗi gói
Giá trị MIC được tính
Trang 17 Một số tính năng mới cũng được phát triển thêm như sử dụng một khóa đơn cho
mã hóa và xác thực (với các IV khác nhau) hoặc bao phủ phần dữ liệu không được
mã hóa bởi xác thực
Các điểm yếu trong WPA/WPA2
Chỉ một ít các điểm yếu nhỏ được phát hiện trên WPA/WPA2 từ khi chúng được phê chuẩn, không có điểm yếu là là quá nguy hiểm
Hầu hết các điểm yếu thực tế là tấn công chống lại khóa PSK của WPA/WPA2
Như đã biết PSK là phương án thay thế của 802.1x PMK sinh ra bởi AS Nó là một chuỗi 256 bit hoặc một mật khẩu từ 8-63 ký tự, được sử dụng để sinh ra sử dụng thuật toán: PSK = PMK = PBKDF2 (pass, SSID, SSID length, 4096, 256), ở đây PBKDF2
là một phương pháp được sử dụng trọng PKCS #5, 4096 là số lượng của các hàm
Trang 18hash và 256 là giá trị lối ra PTK được sinh ra từ PMK sử dụng 4-way handshake và tất cả thông tin được sử dụng để tính toán giá trị của nó được truyền ở dạng plaintext.
Sức mạnh của PTK vì thế dựa trên các giá trị của PMK, để PSK hiệu quả bằng cách
sử dụng các mật khẩu mạnh Như đã được chỉ ra bởi Robert Moskiwitz, bản tin thứ hai của 4-way handshake phải chịu được các tấn công sử dụng từ điển và brute force
Có một số tiện ích được tạo ra để lợi dụng điểm yếu này, aicrack được sử dụng để tấn công PSK trong WPA
Giao thức thiết kế (4096 hàm hash cho mỗi pass) nghĩa là một tấn công brute force sẽ rất chậm
Một biện pháp chống lại tấn công mật khẩu là sử dụng ít nhất mật khẩu 20 ký tự
Để thực hiện tấn công này attacker phải bắt được các bản tin trong quá trình 4-way handshake nhờ chế độ giám sát thụ động mạng không dây hoặc sử dụng tấn công không xác thực
Trang 19CHƯƠNG III: BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP CHỨNG THỰC
RADIUS
3.1 RADIUS là gì
RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền
và kiểm toán truy cập cho mạng Ban đầu được phát triển cho thiết lập kết nối từ xa.Radius bâu giờ thì hỗ trợ cho máy chủ VPN, các điểm truy cập không dây, chứng thựcchuyển mạch internet, truy cập DSL, và các loại truy cập mạng khác RADIUS được mô
tả trong RFC 2865, "Remote Authentication Dial-in User Service (RADIUS), (IETF DraftStandard) and RFC 2866, "RADIUS Accounting" (Informational)
3.2 Quá trình trao đổi gói tin trong RADIUS
3.2.1 Xác thực cấp phép và kiểm toán
Giao thức RADIUS được định nghĩa trong RFC 2865 như sau: Với khả năng cungcấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization vàAccouting-AAA) cho các phiên làm việc với SLIP và PPP Dial-Up Như việc cung cấpdịch vụ internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cậpinternet
Nó cần thiết trong các NAS để làm việc với danh sách các username và passwordcho việc cấp phép, RADIUS Access-request sẽ chuyển thông tin tới một AuthenticationServer, thông thường nó là một AAA Server Trong kiến trúc của hệ thống nó tạo ra khảnăng tập trung các dữ liệu, thông tin của người dùng, các điều khiển truy cập trên mộtđiểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ thống lớn, cungcấp giải pháp NASs
Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access-request tớimáy chủ AAA Server, chuyển các thông tin như Username, Password , UDP port, NASindentifier và một Authentication message
Sau khi nhận các thông tin AAA sử dụng gói tin được cung cấp như NASIndentify, và Authentication thẩm định lại việc NAS đó có được phép gửi các yêu cầu đókhông?Nếu có khả năng, AAA server sẽ kiểm tra thông tin username và password màngười dùng yêu cầu truy cập trong database Nếu quá trình kiểm tra là đúng thì nó sẽ
Trang 20AAA server sau khi kiểm tra các thông tin của người dùng hoàn toàn thỏa mãn sẽ chophép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-accept Nếu khôngthỏa mãn AAA server sẽ trả về một tin RADIUS Access-reject và NAS sẽ ngắt dịch vụ.
Khi gói tin Access-accept được nhận và RADIUS Accouting đã được thiết lập,NAS sẽ gửi một gói tin RADIUS Accouting –request tới AAA server Máy chủ sẽ thêmcác thông tin vào logfile của nó, với việc NAS sẽ cho phép phiên làm việc với User bắtđầu khi nào và kết thúc khi nào RADIUS Accouting làm nhiệm vụ ghi lại quá trình xácthực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi thông tin RADIUSAccouting-request
3.2.2 Sự bảo mật và tính mở rộng
Tất cả các message của RADIUS đều được đóng gói bởi UDP datagrams, nó bao gồm các thông tin như: message type, sequence number, length, Authenticator, và một loạt các Attribute-Value
Authenticator: tác dụng của Authenticator là cung cấp một chế độ bảo mật NAS và AAAServer sử dụng Authenticator để hiểu đuợc các thông tin đã đươcj mã hoá của nhau như mật khẩu chẳng hạn Authenticator cũng giúp NAS phát hiện sự giả mạo của gói tin
RADIUS Responses Cuối cùng, Authenticator được sử dụng làm cho để biễn password thành một dạng nào đó, ngăn chặn việc làm lộ mật khẩu của người dùng trong các
message RADIUS
Authenticator gửi Access-Request trong một số ngẫu nhiên MD5 sẽ băm (hash) số ngẫu nhien đó thành một dạng riêng là OR’ed cho mật khẩu của ngwoif dùng và gửi trong Access-Request User-Password Toàn bộ RADIUS response sau đó được MD5 băm
(hash) với cùng thông số bảo mật của Authenticator, và các thông số response khác
Trang 21Authenticator giúp cho quá trình giao tiếp giữa NAS và máy chủ AAA được bảo mật nhưng nếu kẻ tấn công tóm được cả hai gói tin RADIUS Access-Request và Access- Response thì có thể thực hiện "dictionary attack" để phân tích việc đóng gói này Trong điều kiện thực tế để việc giải mã khó khăn bạn cần phải sử dụng những thông số dài hơn, toàn bộ vấn đề có khả năng nguy hại cho quá trình truyền tải này được miêu tả rất kỹ trong RFC 3580
Attribute-Value Pairs: Thông tin được mang bởi RADIUS đuợc miêu tả trong một dạng Attribute-Value, để hỗ trợ cho nhiều công nghệ khác nhau, và nhiều phương thức xác thực khác nhau Một chuẩn được định nghĩa trong
Attribute-Value pairs (cặp đôi), bao gồm User-Nam, User-Password, NAS-IPAddress, NAS-Port, Service-Type Các nhà sản xuất (vendors) cũng có thể định nghĩa Attribute- Value pairs để mang các thông tin của mình như Vendor-Specific toàn bộ ví dụ này được miêu tả trong RFC 2548 - Định nghĩ Microsoft Attribute-Value pair trong MS-CHAP Thêm vào đó, rất nhiều chuẩn Attribute-Value pairs được định nghĩa trong nhiều năm để
hỗ trợ Extensible Authentication Protocol (EAP), một dạng khác cũ hơn của nó là PAP và CHAP dial-up protocol Bạn có thể tìm thấy trong tài liệu RFC 3579 cho phiên bản mới nhất của RADIUS hỗ trợ EAP Trong phần này sẽ nói rất rõ về hỗ trợ xác thực cho
WLAN, từ khi chuẩn EAP được sử dụng cho 802.1X Port Access Control để cho phép xác thực từ bên ngoài cho wireless
3.2.3 Áp dụng RADIUS cho WLAN
Trong một mạng WLAN sử dụng 802.11x port access control, các máy trạm sửdụng Wireless đóng vai trò Remote Access và Wireless Access Point làm việc như mộtNAS-Network Access Server Để thay thế việc kết nối đến NAS với dial-up như giao thứcPPP, Wireless station kết nối đến AP bằng việc sử dụng giao thức 802.11
Một quá trình được thực hiện , wireless station gửi một EAP-Start tơi AP AP sẽyêu cầu station nhận dạng và chuyển thông tin đó tới một AAA server với thông tin làRADIUS Access-request Usename attribute
AAA server và Wireless Station hoàn thành bằng việc chuyển các thông tinRADIUS Access-challenge và Access-request qua AP Được quyết định bởi phía trên là
Trang 22một dạng EAP, thông tin này được chuyển trong một đường hầm được mã hóa TLS
Cần chú ý là quá trình mã hóa dữ liệu giữa wireless station và AP khác quá trình
mã hóa từ AP đến AAA server
Nếu AAA server gửi một message Access-reject, AP sẽ ngắt kết nối đến wirelessstation Wireless station có thể cố gắng thử lại quá trình xác thực, nhưng AP cấm wirelessstation này không được gửi các gói UDP đến các AP gần đó Chú ý là station này hoàntoàn có thể lắng nghe các dữ liệu được truyền đi từ các station khác Trên thực tế dữ liệuđược truyền qua song radio và đó là lí do tại sao bạn phải mã hóa dữ liệu khi truyền trênmạng không dây
Attribute-value pare bao gồm tròn các message của RADIUS có thể sử dụng AAAserver để quyết định phiên làm việc giữa AP và wireless station, như session-timeout hayVLAN tag (Tunnel-Type=VLAN, Tunnel-Private-Group-ID=TAG) Chính xác thông tinthêm vào có thể phụ thuộc vào AAA server hay AP và wireless station mà bạn đang sửdụng
Nếu bạn có một RADIUS hỗ trợ 802.11x, hoặc không hỗ trợ dạng EAP, bạn có thểlựa chọn bằng cách cập nhật các phiên bản phần mềm mới hơn cho server, hay bạn có thểcài đặt một máy chủ mới Nếu bạn cài một server mới có hỗ trợ xác thực cho chuẩn802.11x, bạn có thể sử dụng tính năng RADIUS proxy để thiết lập một chuỗi các máy
Trang 23chủ, cùng chia sẽ một cơ sở dữ liệu tập trung, RADIUS proxy có thể sử dụng để chuyển các yêu cầu xác thực đến các máy chủ có khả năng xác thực chuẩn 802.11x
Nếu bạn không có máy chủ RADIUS, bạn cần thiết phải cài đặt một máy chủ choquá trình xác thực WLAN, lựa chọn cài đặt này là một công việc thú vị
Với cơ sở trung tâm –Giải pháp sử dụng RADIUS cho mạng WLAN là rất quantrọng bởi nếu một hệ thống mạng của bạn có nhiều AP thì việc cấu hình bảo mật hệ thốngnày rất khó để quản lí riêng biệt, người dùng có thể xác thực từ nhiều AP khác nhau vàđiều đó là không thực sự bảo mật
Khi sử dụng RADIUS cho WLAN mang lại khả năng tiện lợi rất cao, xác thực chotoàn bộ hệ thống nhiều AP,…cung cấp các giải pháp thông minh hơn
Trang 24CHƯƠNG VI: QUY TRÌNH CÀI ĐẶT VÀ TRIỂN KHAI HỆ THỐNG
RADIUS SERVER
4.1 Cài đặt, cấu hình radius
Cài đặt + Cấu hình Active Directory Certificate Services (CA)
Cài đặt NAP (Network Policy and Access Services)
Cấu hình NAP
Test từ phía client (Laptop sử dụng Window 7)
4.2 Chuẩn bị cho bài lab cấu hình 802.1x wifi radius trên window server 2012
Một access point hỗ trợ WPA2-Enterprise
Một Window server 2012 bản standard trở lên RAM tối thiểu là 2GB
Một Laptop đã cài sẳn hệ điều hành Window 7 ( chưa join domain)
Kết nối network giữa access point và Window server 2012 phải thông xuốt, không bị chặn bởi firewall
4.3 Nâng cấp Active Director(AD)
Bước 1: đảm bảo Window server 2012 đã active hoặc đang còn trong tình trạng sử dụng trial
Bước 2: Server phải được đặt IP và trỏ Prefer DNS về chính nó
4.4 Cài đặt, cấu hình radius
Cài đặt + Cấu hình Active Directory Certificate Services (CA)
4.4.1 Cài đặt CA
– Đầu tiên vào Server Manager> Add Roles and Features
– Chọn Active Directory Certificate Services
Trang 25-Hộp thoại Add Roles and Feature Wizard xuất hiện chọn Add và bấm Next để tiếp tục
Hộp thoại Active Directory Certificate Service xuất hiện bấm Next để tiếp tục
Trang 26Hộp thoại Select role service xuất hiện tick vào Certification Authority và bấm Next để
tiếp tục
Hộp thoại Confirm installation selections xuất hiện bấm Install