Mục tiêu nghiên cứu của luận văn là nghiên cứu kỹ thuật tấn công mạng WLAN, các giải pháp đảm bảo an toàn mạng WLAN và đề xuất giải pháp nâng cao độ bảo mật cho mạng WLAN tại trường Đại học Hà Nội. Mời các bạn tham khảo!
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Phạm Huyền Huyên GIẢI PHÁP BẢO MẬT HỆ THỐNG WLAN, ÁP DỤNG CHO MẠNG TRƯỜNG ĐẠI HỌC HÀ NỘI Chuyên nghành: Hệ thống thông tin Mã số: 8.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – NĂM 2020 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS TS Lê Hữu Lập Phản biện 1: PGS TS Nguyễn Hà Nam Phản biện 2: TS Nguyễn Vĩnh An Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: 9giờ 15 ngày 09 tháng năm 2021 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng MỞ ĐẦU Lý chọn đề tài: Cùng với phát triển mạnh mẽ khoa học công nghệ, đặc biệt công nghệ thông tin điện tử viễn thông, nhu cầu trao đổi thông tin liệu người ngày cao Mạng máy tính đóng vai trị quan trọng lĩnh vực sống Bên cạnh tảng mạng máy tính có dây, mạng máy tính không dây từ đời thể ưu điểm vượt trội tính tiện dụng, linh hoạt đơn giản Mặc dù mạng máy tính khơng dây tồn từ lâu, chúng đạt phát triển bật thời đại công nghệ điện tử, chịu ảnh hưởng sâu sắc kinh tế vật lý đại Ngày nay, mạng không dây trở nên thiết thực sống Chúng ta cần thiết bị điện thoại thơng minh, máy tính xách tay, PDA phương thức truy cập mạng không dây truy cập mạng nhà, quan, trường học, văn phòng nơi khác Bất nơi phạm vi phủ sóng mạng Do tính chất trao đổi thông tin không gian truyền dẫn nên khả rị rỉ thơng tin cao Nếu không khắc phục điểm yếu này, môi trường mạng không dây trở thành mục tiêu hacker xâm nhập, gây thất thơng tin tiền bạc Vì vậy, bảo mật thơng tin vấn đề thu hút nhiều quan tâm Với phát triển mạng không dây, cần phát triển khả bảo mật để cung cấp cho người dùng thơng tin hiệu đáng tin cậy Vì vậy, việc kết nối mạng nội quan tổ chức vào mạng Internet mà khơng có biện pháp đảm bảo an ninh dẫn đến nguy an tồn thơng tin liệu cao Để nâng cao tính bảo mật cho hệ thống mạng nội phục vụ cho nhu cầu công việc, giảng dạy học tập trường Đại học Hà Nội, học viên chọn đề tài: “GIẢI PHÁP BẢO MẬT HỆ THỐNG WLAN, ÁP DỤNG CHO MẠNG TRƯỜNG ĐẠI HỌC HÀ NỘI” Tổng quan vấn đề nghiên cứu Nội dung luận văn trình nghiên cứu, tìm hiểu để từ đúc kết yếu tố đảm bảo tính bảo mật cho hệ thống mạng WLAN: - Nắm bắt số phương pháp công hệ thống mạng thường gặp giải pháp bảo mật để có cách thức phịng chống, cách xử lý cố khắc phục sau cố cách nhanh - Đề xuất giải pháp nâng cao tính bảo mật cho hệ thống mạng Trường Đại học Hà Nội Mục tiêu nghiên cứu đề tài Mục tiêu nghiên cứu luận văn nghiên cứu kỹ thuật công mạng WLAN, giải pháp đảm bảo an toàn mạng WLAN đề xuất giải pháp nâng cao độ bảo mật cho mạng WLAN trường Đại học Hà Nội Đối tượng phạm vi nghiên cứu đề tài - Đối tượng nghiên cứu luận văn mạng WLAN vấn đề liên quan đến bảo mật mạng WLAN - Phạm vi nghiên cứu luận văn giải pháp bảo mật mạng WLAN ứng dụng cho mạng WLAN trường Đại học Hà Nội Phương pháp nghiên cứu đề tài - Về mặt lý thuyết: Thu thập, khảo sát, nghiên cứu tài liệu thơng tin có liên quan đến bảo mật mạng WLAN - Về mặt thực nghiệm: Khảo sát hệ thống mạng WLAN nội Trường Đại học Hà Nội đề xuất giải pháp bảo mật cho hệ thống mạng Bố cục luận văn Luận văn chia làm chương chính: Chương 1: Tổng quan mạng khơng dây & Nguy công mạng 1.1 Giới thiệu WLAN 1.2 Các chuẩn mạng thông dụng WLAN 1.3 Cơ sở hạ tầng mơ hình mạng WLAN 1.4 Các nguy công mạng WLAN 1.5 Kết chương Chương 2: Các giải pháp bảo mật mạng WLAN 2.1 Giới thiệu 2.2 Xác thực qua mã hóa Wifi: WEP; WPA; WPA2; WPA3 2.3 Xác thực Wifi Radius Server 2.3 Kết chương Chương 3: Bảo mật mạng WLAN Hanu chứng thực Radius Server 3.1 Khảo sát mạng WLAN Đại Học Hà Nội 3.2 Đề xuất giải pháp bảo mật cho mạng WLAN trường Đại học Hà Nội 3.3 Cài đặt 3.4 Thử nghiệm đánh giá kết 3.5 Kết chương Trong trình thực luận văn, thân cố gắng thu thập tài liệu, củng cố kiến thức luận văn hạn chế định Học viên mong nhận dạy, đóng góp tận tình thầy, để luận văn học viên hồn thiện có tính ứng dụng cao thực tiễn CHƯƠNG I – TỔNG QUAN VỀ MẠNG WLAN & NGUY CƠ TẤN CƠNG MẠNG 1.1 – Giới thiệu mạng WLAN Cơng nghệ WLAN xuất vào cuối năm 1990, nhà sản xuất giới thiệu sản phẩm hoạt động dải tần 900MHz Các giải pháp cung cấp tốc độ truyền liệu 1Mbps, thấp nhiều so với tốc độ 10Mbps hầu hết mạng có dây thời Năm 1997, IEEE (Viện Kỹ sư Điện Điện tử) phê duyệt chuẩn 802.11, cịn gọi WIFI (Wireless Fidelity) WLAN Chuẩn 802.11 hỗ trợ ba phương pháp truyền liệu, bao gồm phương pháp truyền tín hiệu vơ tuyến tần số 2.4 GHz Vào năm 1999, IEEE thông qua hai cách triển khai chuẩn 802.11, thông qua phương thức truyền 8.2.11a 802.11b Các thiết bị 802.11b phát sóng với tốc độ 2.4GHz, cung cấp tốc độ truyền tải lên đến 11Mbps So với mạng có dây, mục đích việc tạo IEEE 802.11b cung cấp hiệu quả, thông lượng bảo mật Đầu năm 2003, IEEE công bố tiêu chuẩn khác 802.11g, truyền thơng tin dải tần 2.4GHz 5GHz Chuẩn 802.11g tăng tốc độ truyền liệu lên 54Mbps Ngoài ra, sản phẩm sử dụng chuẩn 802.11g tương thích với thiết bị 802.11b Ngày nay, chuẩn 802.11g đạt đến tốc độ 108Mbps300Mbps Vào cuối năm 2009, chuẩn 802.11n IEEE phê duyệt để sử dụng thức sản phẩm tiêu chuẩn chứng nhận Wi-Fi Alliance Mục tiêu cơng nghệ tăng tốc độ truyền tải phạm vi hoạt động thiết bị cách kết hợp công nghệ tiên tiến Chuẩn 802.11ac phát hành vào năm 2013 gọi Wi-Fi 802.11ac sử dụng công nghệ không dây băng tần kép để hỗ trợ kết nối đồng thời hai băng tần 2.4 GHz GHz 802.11ac cung cấp khả tương thích ngược với chuẩn 802.11b, 802.11g 802.11n, đồng thời có băng thơng lên tới 1300 Mbps băng tần GHz 450 Mbps băng tần 2.4 GHz Chuẩn 802.11ax gọi Wi-Fi 6, phiên thức áp dụng vào ngày 16 tháng năm 2019 Chuẩn kết nối không dây hệ thứ sáu cung cấp cho người dùng tảng kết nối mang đến nhiều cải tiến đáng giá, quan trọng tốc độ truy cập nhanh, băng thông lớn độ trễ thấp, so với sản phẩm hệ trước ưu việt nhiều lần Đối với loạt ứng dụng yêu cầu tốc độ truyền ngày cao, điều đạt bước tiến lớn: phát trực tuyến phim độ phân giải cực cao lên đến 4K, 8K; ứng dụng/phần mềm thương mại; chơi trò chơi trực tuyến, họp trực tuyến giúp người dùng nhận nhiều lợi ích từ cải tiến 1.2 - Các chuẩn mạng thông dụng WLAN Các chuẩn WLAN Học viện Kỹ nghệ Điện Điện tử IEEE (Institute of Electrical and Electronics Engineers) qui chuẩn thống toàn giới 1.2.1 - Chuẩn 802.11 Đây tiêu chuẩn cho hệ thống mạng không dây Tốc độ truyền từ đến Mbps hoạt động dải tần 2.4GHz Tiêu chuẩn bao gồm tất công nghệ truyền dẫn tại, bao gồm phổ chuỗi trực tiếp (DSS), trải phổ nhảy tần (FHSS) tia hồng ngoại Chuẩn 802.11 hai chuẩn mơ tả hoạt động sóng truyền (FHSS) mạng không dây Chỉ phần cứng phù hợp với chuẩn 802.11 sử dụng hệ thống sóng mang 1.2.2 - Chuẩn 802.11a IEEE bổ sung phê duyệt tiêu chuẩn vào tháng năm 1999 để cung cấp tiêu chuẩn hoạt động tốc độ cao (từ 20 đến 54 Mbit/s) băng tần GHz Các hệ thống tuân thủ tiêu chuẩn hoạt động băng tần 5.15 đến 5.25 GHz 5.75 đến 5.825 GHz với tốc độ liệu lên đến 54 Mbit/s Tiêu chuẩn sử dụng công nghệ điều chế OFDM - Ghép kênh phân chia theo tần số trực giao) để đạt tốc độ liệu cao khả chống nhiễu đa đường tốt 1.2.3 - Chuẩn 802.11b Giống tiêu chuẩn IEEE 802.11a, lớp vật lý thay đổi so với tiêu chuẩn IEEE.802.11 Các hệ thống tuân thủ tiêu chuẩn hoạt động dải tần 2.400 đến 2.483 GHz hỗ trợ dịch vụ thoại, liệu hình ảnh với tốc độ tối đa 11 Mbit/s Tiêu chuẩn xác định môi trường truyền DSSS với tốc độ liệu 11 Mbit/s, 5,5 Mbit/s, 2Mbit/s Mbit/s WLAN tuân thủ IEEE 802.11b phù hợp với môi trường đông đúc khu vực rộng lớn, chẳng hạn tòa nhà, nhà máy, nhà kho trung tâm phân phối… Khoảng cách hoạt động hệ thống khoảng 100 mét 1.2.4 – Chuẩn 802.11g Các hệ thống tuân theo tiêu chuẩn hoạt động băng tần 2.4 GHz đạt tốc độ 54 Mbit/s Giống IEEE 802.11a, IEEE 802.11g sử dụng công nghệ điều chế OFDM để đạt tốc độ cao Ngoài ra, hệ thống tuân thủ IEEE 802.11g tương thích ngược với hệ thống IEEE 802.11b chúng thực tất chức IEEE 802.11b cần thiết cho phép máy khách hệ thống tuân theo hệ thống IEEE 802.11b chuẩn AP IEEE 802.11g 1.2.5 – Chuẩn 802.11n Chuẩn 802.11n viện IEEE phê duyệt để sử dụng thức, đồng thời vượt qua thử nghiệm chứng nhận Liên minh Wi-Fi (Wi-Fi Alliance) cho sản phẩm tiêu chuẩn Chứng nhận Wi-Fi 802.11n cập nhật bổ sung số tính tùy chọn cho dự thảo 802.11n 2.0 (bản nháp 2.0) Wi-Fi Alliance đưa vào tháng năm 2007 Về lý thuyết, chuẩn 802.11n cho phép kết nối tốc độ 300 Mbps (lên đến 600 Mbps), nhanh lần mở rộng vùng phủ sóng so với tốc độ đỉnh lý thuyết chuẩn trước 802.11g/a 802.11n (54 Mbps), mạng Wi-Fi cạnh tranh với mạng có dây 100Mbps hiệu suất Chuẩn 802.11n hoạt động tần số 2.4GHz 5GHz, người ta kỳ vọng giảm bớt tình trạng "quá tải" chuẩn trước 1.2.6 Chuẩn 802.11ac (tên gọi WiFi 5) 802.11ac chuẩn WiFi phổ biến 802.11ac sử dụng công nghệ không dây băng tần kép để hỗ trợ kết nối đồng thời băng tần 2.4 GHz GHz 802.11ac cung cấp khả tương thích với chuẩn 802.11b, 802.11g 802.11n, băng thông băng tần GHz lên đến 1300 Mbps băng thông 2.4 GHz lên đến 450 Mbps Wi-Fi 802.11ac gửi nhiều luồng khơng gian cho phép nhiều ăng-ten tiếp cận nhiều người dùng nhiều thiết bị khác dải tần lúc Tầm phủ sóng rộng Wi-Fi 802.11ac có phạm vi lớn tốc độ mạng nhanh chuẩn mạng khác Nếu sử dụng tòa nhà cao tầng, giảm bớt lặp lặp lặp lại để giảm thiểu chi phí 1.2.7 Chuẩn 802.11ax (Wi-Fi hệ thứ 6) Wi-Fi hệ thứ sáu cập nhật chuẩn mạng không dây, so với chuẩn Wi-Fi trước đây, chúng có tốc độ nhanh hơn, dung lượng lớn tiết kiệm lượng Đặc điểm Wifi 6: Tốc độ cực nhanh; Nâng cao hiệu quả; Điều chế cấp cao 1024 – QAM; Symbol OFDM x 4; Độ rộng kênh 160MHz luồng; OFDMA – Loại bỏ hồn tồn độ trễ; 8x8 MU-MIMO: Chuẩn 802.11ax hỗ trợ truyền đa người dùng MIMO đường lên đường xuống cách tạo nhiều luồng 802.11ax, nhân hiệu suất 802.11ac cách tạo tối đa luồng theo hướng; Target Wake Time: Lập lịch kết nối để giảm thiểu điện tiêu thụ 1.3 – Cơ sở hạ tầng mơ hình mạng WLAN 1.3.1 - Cấu trúc mạng WLAN Mạng sử dụng chuẩn 802.11 gồm có thành phần chính: • Hệ thống phân phối (DS) • Điểm truy cập (AP) • Tần liên lạc vơ tuyến (Wireless Medium) • Trạm (Stattions) 1.3.2 - Điểm truy cập: AP (Access Point) AP thiết bị song công, mức độ thơng minh tương đương với chuyển mạch Ethernet (Switch) phức tạp Cung cấp điểm truy cập mạng cho máy khách (client) Các chế độ hoạt động AP: AP giao tiếp với máy khơng dây, với mạng có dây truyền thống với AP khác Có Mode hoạt động AP: Chế độ gốc (Root mode); Chế độ cầu nối (Bridge mode); Chế độ lặp (Repeater mode) 1.3.3 – Các thiết bị máy khách mạng WLAN a) Card PCI Wireless: b) Card PCMCIA Wireless: c) Card USB Wireless: 1.3.4 - Các mơ hình mạng WLAN Mạng WLAN gồm mơ sau: Mơ hình mạng độc lập (IBSS) hay cịn gọi mạng Ad hoc; Mơ hình mạng sở (BSS); Mơ hình mạng mở rộng (ESS) 1.4 – Các nguy cơng mạng WLAN Hiện nay, có nhiều cơng nghệ cơng mạng WLAN, điển hình cơng nghệ sau: 1.4.1 – Phương thức bắt gói tin (Sniffing) Đánh khái niệm cụ thể khái niệm chung "nghe trộm" sử dụng mạng máy tính Nó phương pháp đơn giản nhất, hiệu để chống lại cơng WLAN Bắt gói hiểu phương thức lấy cắp thông tin đầu thu nằm gần vùng phủ sóng Nếu thiết bị khơng thực kết nối với AP để nhận gói liệu, thiết bị nằm gần vùng phủ sóng mạng, cơng bắt gói khó phát diện thiết bị Các biện pháp ngăn chặn bắt gói tin: Vì “bắt gói tin” phương thức cơng thụ động nên khó phát hiện, đồng thời đường truyền không phận nên ngăn kẻ công nghe trộm Giải pháp nâng cao khả mã hóa thơng tin để kẻ cơng khơng thể giải mã được, thơng tin thu vô giá trị kẻ công Cách tốt để ngăn chặn việc đánh sử dụng IPSec để mã hóa thơng lượng 1.4.2 - Tấn công yêu cầu xác thực lại Các công chống xác thực cách để khai thác hiệu lỗi chuẩn 802.11 Trong mạng 802.11, nút muốn tham gia vào mạng, phải trải qua q trình xác minh danh tính liên kết Khi yêu cầu đáp ứng, nút cấp quyền truy cập vào mạng Rất dễ lấy địa AP mạng Khi kẻ cơng biết địa AP, sử dụng địa quảng bá để gửi thông báo khử xác thực đến tất nút mạng Nút chấp nhận thông báo xác minh 10 o Máy khách nhận khung nghĩ khung bị ngắt kết nối đến từ AP Đồng thời, kẻ công gửi khung hủy liên kết đến AP o Sau ngắt kết nối máy khách, kẻ công tiếp tục thực thao tác tương tự máy khách lại, khiến máy khách tự động ngắt kết nối khỏi AP o Sau máy khách ngắt kết nối, họ kết nối lại với AP Kẻ công tiếp tục gửi khung ngắt kết nối đến AP máy khách 1.5 – Kết luận chương Mạng khơng dây có nhiều ưu điểm, nhiên hacker công để lấy liệu làm hỏng hệ thống Do điều kiện truy cập mạng này, khả tiếp cận thiết bị bên ngồi khơng gian quảng bá lớn Đồng thời, khả bị nhiễu tránh khỏi Để sử dụng mạng WLAN cách an toàn, nghiên cứu sâu giải pháp bảo mật mạng WLAN cần thiết Trong chương II luận văn trình bày vấn đề CHƯƠNG II – CÁC GIẢI PHÁP BẢO MẬT TRONG MẠNG WLAN 2.1 – Giới thiệu Trong hệ thống mạng, tính bảo mật bí mật hệ thống thơng tin có vai trị quan trọng Thơng tin có giá trị xác, sau người có thẩm quyền lưu giữ thơng tin biết thơng tin thơng tin bảo mật Khi khơng có thơng tin việc sử dụng hệ thống thông tin phương tiện để quản lý vận hành, bảo mật bị bỏ qua 2.1.1 – Tại phải bảo mật Mạng WLAN không an tồn, dù sử dụng mạng LAN có dây hay WAN khơng an tồn khơng có phương pháp bảo mật hiệu Khi chi phí xây dựng mạng WLAN ngày giảm, ngày có nhiều tổ chức, cơng ty cá nhân sử dụng Điều chắn khiến tin tặc quay sang công khai thác lỗ hổng tảng mạng sử dụng chuẩn 802.11 Sniffer nắm bắt giao tiếp mạng, chúng phân tích đánh cắp thơng tin quan trọng 11 người dùng Ngồi ra, tin tặc lấy liệu bí mật cơng ty; Can thiệp vào giao dịch tổ chức khách hàng để lấy thông tin nhạy cảm; làm hỏng hệ thống Những mát to lớn cho tổ chức, công ty đo lường trước Do đó, cần thiết lập mơ hình chiến lược bảo mật 2.1.2 - Đánh giá vấn đề an toàn, bảo mật hệ thống Để đảm bảo an ninh cho hệ thống mạng, cần thiết lập nhiều tiêu chuẩn để đánh giá mức độ an toàn bảo mật hệ thống mạng Trên phương diện logic, hệ thống bảo mật phải đảm bảo yêu cầu sau: Tính bí mật (Confidentiality); Tính xác thực (Authentication); Tính tồn vẹn (Integrity); Tính khơng thể phủ nhận (Non repudiation); Tính khơng xác định đảm bảo người gửi người nhận từ chối tin nhắn gửi; Tính khả dụng (Availability); Một hệ thống sẵn sàng đảm bảo có nghĩa liệu truy cập vào thời điểm mong muốn thời gian định; Khả điều khiển truy nhập (Access Control) Trong bối cảnh an ninh mạng, kiểm soát truy cập hạn chế khả truy cập máy chủ thông qua phương tiện truyền thông Để đạt kiểm soát này, cần phải xác định xác minh thực thể cố gắng có quyền truy cập để quyền truy cập người thỏa mãn 2.2 – Xác thực qua mã hóa Wifi 2.2.1 - Wired Equivalent Privacy (WEP) WEP thuật toán đơn giản sử dụng PRNG (Pseudo Random Number Generator) dòng mã RC4 WEP sử dụng khóa mã hóa 64 bits 128 bits khơng đổi (nhưng trừ 24 bits sử dụng cho vectơ khởi tạo khóa mã hóa, độ dài khóa 40 104 bits cho phép truy cập vào mạng sử dụng để mã hóa thiết bị truyền liệu Nhược điểm lớn WEP sử dụng khóa mã hóa tĩnh Khi thiết lập chế WEP cho định tuyến, tất thiết bị mạng sử dụng khóa để mã hóa tất gói liệu truyền Nhưng thực tế là, gói liệu mã hóa khơng thể tránh khỏi việc bị đánh chặn Do số lỗi kỹ thuật "bí truyền", kẻ nghe trộm hồn tồn đánh chặn đủ số lượng gói tin mã hóa để tìm khóa giải mã 12 2.2.2 - WPA (Wi-Fi Protected Access) Công nghệ mang tên WPA (Wi-Fi Protected Access) đời, khắc phục nhiều khuyết điểm WEP Một cải tiến quan trọng WPA việc sử dụng chức Giao thức tồn vẹn khóa tạm thời (TKIP) WPA sử dụng thuật toán RC4 (chẳng hạn WEP), sử dụng mã hóa 128-bit đầy đủ Một chức khác WPA thay đổi khóa gói Có hai tùy chọn cho WPA: WPA Personal WPA Enterprise Cả hai tùy chọn sử dụng giao thức TKIP, khác biệt nằm khóa mã hóa ban đầu 2.2.3 - WPA2 (Wi-Fi Protected Access II) Sử dụng thuật tốn mã hóa mạnh gọi tiêu chuẩn mã hóa nâng cao AES AES sử dụng mật mã đối xứng khối Rijndael, sử dụng mã hóa 128 bits, 192 bits 256 bits Mặc dù AES coi tốt nhiều so với 128-bit WEP 168-bit DES (Tiêu chuẩn mã hóa kỹ thuật số) Để đảm bảo hiệu suất, trình mã hóa cần hồn thành thiết bị phần cứng tích hợp vào chip Tuy nhiên, người dùng mạng không dây quan tâm đến vấn đề Ngoài ra, hầu hết thiết bị cầm tay Wi-Fi máy quét mã vạch không tuân thủ 802.11i 2.2.4 – WPA3 (Wi-Fi Protected Access III) WPA3 đời nhằm khắc phục điểm yếu mà hệ tiền nhiệm cần khắc phục Là phiên kế thừa cho hệ thứ ba WPA2, phiên thứ ba có ba mục tiêu chính: cải thiện khả mã hóa, đơn giản hóa việc sử dụng tích hợp, đồng thời trở thành giải pháp mạnh mẽ cho thiết bị IoT Đối mặt với mối đe dọa 400 triệu mạng không dây, WPA3 phải giới thiệu nhanh chóng Tuy nhiên, tại, tất định tuyến thiết bị sử dụng WPA3 Do đó, tương lai gần, WPA2 tiêu chuẩn mà thiết bị chứng nhận Wi-Fi phải hỗ trợ 13 2.3 – Xác thực Wifi RADIUS Server 2.3.1 Tổng quan giao thức RADIUS - Giao thức RADIUS: RADIUS thực chất giao thức mạng sử dụng để xác thực cho phép người dùng truy cập mạng từ xa - RADIUS cho phép xác thực tập trung, ủy quyền kiểm tra quyền truy cập cho mạng Bảo mật WLAN kết hợp tiêu chuẩn 802.1x với xác thực người dùng điểm truy cập (AP) Máy chủ thực xác thực tảng RADIUS giải pháp tốt để cung cấp xác thực cho tiêu chuẩn 802.1x 2.3.2 Tính chất RADIUS Nếu yêu cầu đến máy chủ xác thực khơng thành cơng, u cầu phải gửi đến máy chủ phụ Để thực yêu cầu này, yêu cầu phải lưu trữ lớp truyền tải phép truyền thay Điều có nghĩa phải có đếm thời gian để truyền lại Trạng thái RADIUS thoải mái, đơn giản hóa việc sử dụng UDP Máy khách máy chủ thực "truyền" liệu UDP tức cho phép chúng truyền kiện xảy cách tự nhiên thơng qua mạng UDP đơn giản hóa việc triển khai máy chủ Quá trình xử lý độc lập tạo máy chủ cho yêu cầu trình xử lý phản hồi trực tiếp đến NAS máy khách thơng qua gói liệu UDP đến lớp truyền tải máy khách 2.3.3 Q trình trao đổi gói tin Khi máy khách cấu hình để sử dụng RADIUS, dấu nhắc lệnh để đăng ký mạng yêu cầu người dùng nhập tên người dùng mật Ứng dụng khách đưa "yêu cầu truy cập" chứa thuộc tính giống nhau: mật người dùng, ID ứng dụng khách ID cổng mà người dùng truy cập "Yêu cầu truy cập" gửi đến RADIUS qua mạng Nếu khơng có phản hồi thời gian quy định, yêu cầu gửi lại Nếu máy chủ gặp cố chạy theo kiểu vịng trịn, máy khách chuyển tiếp u cầu đến máy chủ dự phòng 14 Mỗi máy chủ RADIUS nhận yêu cầu, xác nhận việc gửi máy khách Nếu máy khách hợp lệ, máy chủ RADIUS tìm kiếm người dùng có tên yêu cầu sở liệu RADIUS xác minh mật người dùng xác minh ID ứng dụng khách ID cổng mà người dùng phép truy cập Máy chủ RADIUS yêu cầu máy chủ khác xác nhận yêu cầu RADIUS sau hoạt động máy khách Nếu điều kiện không đáp ứng, máy chủ RADIUS gửi phản hồi "Truy cập bị Từ chối", cho biết yêu cầu người dùng không hợp lệ Nếu tất điều kiện đáp ứng máy chủ RADIUS muốn gửi yêu cầu phản hồi người dùng, RADIUS gửi phản hồi "yêu cầu truy cập" (access-challenge) Client nhận accesschallenge, trang bị challenge/ response, hiển thị thơng báo nhắc nhở user trả lời yêu cầu Sau client gửi lại (resubmit) “yêu cầu truy cập” (original access-request) với số hiệu yêu cầu (request ID) mới, thuộc tính usename-password lấy từ thông tin vừa nhập vào, kèm ln thuộc tính trạng thái từ access-challenge RADIUS server trả lời accessrequest access-accept, access-reject accesschallenge khác Nếu tất điều kiện cuối đáp ứng, danh sách giá trị cấu hình người dùng đưa vào câu trả lời “chấp nhận truy cập'' 2.3.4 - Xác thực, cấp phép kiểm toán Giao thức dịch vụ người dùng quay số xác thực từ xa (RADIUS) định nghĩa RFC 2865 sau: Nó có khả cung cấp xác thực tập trung, ủy quyền kiểm soát truy cập (xác thực, ủy quyền kế toán-AAA) cho phiên Được sử dụng kết hợp với SLIP quay số PPP nhà cung cấp dịch vụ xác thực Nhà cung cấp dịch vụ Internet (ISP) dựa vào giao thức để xác thực người dùng với Internet Danh sách tên người dùng mật phải sử dụng để ủy quyền tất máy chủ truy cập mạng (NAS) Một yêu cầu truy cập RADIUS chuyển thông tin đến máy chủ xác thực, thường 15 máy chủ AAA Trong cấu trúc hệ thống, liệu người dùng, thông tin điều kiện truy cập tập trung vào điểm (single point), nhà cung cấp giải pháp NAS có khả cung cấp hệ thống quy mơ lớn 2.3.5 - Sự bảo mật tính mở rộng Tất thơng báo RADIUS đóng gói biểu đồ liệu UDP, bao gồm thông tin như: loại thông báo, số thứ tự, độ dài, trình xác thực giá trị thuộc tính khác Authenticator: Mục đích Authenticator cung cấp chế độ an tồn Attribute-Value Pairs: Thơng tin mang RADIUS đuợc miêu tả dạng Attribute-Value, hỗ trợ nhiều công nghệ khác nhiều phương pháp xác thực khác Một chuẩn định nghĩa Attribute-Value pairs (cặp đôi), bao gồm User-Name, User-Password, NAS-IPAddress, NAS-Port, Service-Type 2.3.6 - Áp dụng RADIUS cho WLAN Cơ chế hoạt động: RADIUS xác định quyền truy cập người dùng mạng thơng qua mơ hình máy khách/máy chủ Tuy nhiên, thực tế, yêu cầu truy cập mạng thường gửi từ hệ thống máy khách người dùng điểm truy cập WiFi tới hệ thống máy chủ RADIUS để xác thực Máy chủ RADIUS thường kết hợp hệ thống tạo, trì quản lý thông tin nhận dạng cung cấp dịch vụ xác thực riêng lẻ Do đó, người dùng muốn truy cập mạng bảo vệ giao thức RADIUS từ xa, họ phải cung cấp thông tin xác thực phù hợp với liệu chức thư mục liên kết Khi người dùng muốn truy cập để cung cấp thông tin đăng nhập đầy đủ, liệu truyền từ máy khách đến máy chủ RADIUS thông qua người yêu cầu Nếu thông tin người dùng khớp với thông tin lưu trữ sở liệu liên kết, thông báo xác thực gửi trở lại máy khách RADIUS để người dùng truy cập để kết nối với mạng Ngược lại, liệu không khớp, thông báo từ chối hiển thị 16 2.3.7 - Các tùy chọn bổ sung Nếu có máy chủ AAA gọi RADIUS mạng, hỗ trợ xác thực 802.1x cho phép lựa chọn loại EAP Nếu có máy chủ RADIUS-AAA khơng hỗ trợ 802.1x không hỗ trợ loại EAP, chúng tơi lựa chọn cách cập nhật lên phiên phần mềm máy chủ cài đặt máy chủ Việc sử dụng RADIUS cho mạng WLAN mang lại tiện lợi cao, xác thực toàn hệ thống nhiều điểm truy cập, từ đưa giải pháp thơng minh 2.3.8 - Lựa chọn máy chủ RADIUS hợp lý Trong phần trước, thấy máy chủ RADIUS cung cấp xác thực cho kiểm soát truy cập cổng 802.1x Chúng ta cần xem xét lựa chọn triển khai cho giải pháp sử dụng chuẩn 802.1x Nếu việc triển khai phù hợp với doanh nghiệp chi phí quản lý ứng dụng chi phí máy chủ RADIUS bao nhiêu? Các doanh nghiệp muốn cải thiện tính bảo mật hệ thống WLAN họ, sử dụng tiêu chuẩn 802.1x - đó, nên chọn triển khai RADIUS 2.4 – Kết luận chương Xác thực Wi-Fi máy chủ Radius công nghệ tiên tiến nay, phương pháp bảo mật hiệu dựa chuẩn 802.1x, tối ưu hóa cao sử dụng rộng rãi nước ta nhiều nước khác giới Tuy nhiên, chi phí lựa chọn máy chủ xác thực người dùng cần cân nhắc kỹ lưỡng để tránh thất thoát, lãng phí cho đơn vị doanh nghiệp 17 Chương III: BẢO MẬT CHO MẠNG WLAN CỦA TRƯỜNG ĐẠI HỌC HÀ NỘI BẰNG CHỨNG THỰC RADIUS SERVER Chương luận văn nghiên cứu đề xuất giải pháp bảo mật phù hợp cho mạng WLAN trường Đại học Hà Nội 3.1 Khảo sát mạng WLAN Đại Học Hà Nội (sau xin phép đồng ý từ lãnh đạo nhà trường) 3.1.1 Mô hình kiến trúc, chức trang thiết bị mạng có hệ thống mạng trường Đại học Hà nội Trường Đại học Hà Nội có mơi trường sư phạm, mơi trường văn hố lành mạnh, cảnh quan xanh, sạch, đẹp, trường nằm trục giao thông vào trung tâm thành phố Hà Nội Nhà trường có quần thể kiến trúc khơng gian đại tiện ích, khu hành chính, giảng đường, thư viện, ký túc xá tất bố trí diện tích tổng thể khoảng Hệ thống mạng máy tính trường Đại học Hà nội xây dựng theo mơ hình client server, đồng thời với kiến trúc mạng hình tầng, ta đạt tốc độ nhanh kiểm soát tốt xảy lỗi mở rộng tùy ý muốn Hiện trường Đại học Hà nội sử dụng máy chủ đặt trung tâm Nhà A, Nhà C, Thư viện trường 1100 máy trạm Tại khu vực mạng nội bộ, tòa nhà trường Đại học Hà Nội có Switch kết nối thẳng tới Switch tổng để mạng vào khu vực máy chủ nội bộ, máy chủ kết nối với thông qua switch Cisco 48 port đường 1000Base LX 1000 Base TX, máy trạm kết nối với máy chủ thông qua Switch Cisco 24 port 3.1.2 Ứng dụng mạng máy tính trường Đại học Hà nội - Tra cứu tài liệu phục vụ công việc học tập sinh viên cơng việc cán tồn trường - Sinh viên theo dõi thơng tin tình hình học tập thời gian học trường thông qua cổng thông tin nhà trường (http://hanu.edu.vn) - Việc trao đổi thơng tin tồn trường dễ dàng hơn, có thơng báo, định phổ cập cho toàn CB toàn trường thông qua trang tác nghiệp trường (http://tacnghiep.hanu.vn) 18 3.1.3 Nhu cầu sử dụng mạng WLAN từ thực tiễn - Mặc dù hệ thống mạng LAN tương đối đáp ứng nhu cầu làm việc, giảng dạy cán giảng viên toàn trường Nhưng thời kỳ IoT (Internet of Things) nên dùng mạng LAN chưa đủ phục vụ cho đối tượng người dùng Nhu cầu sử dụng Internet lớn, ngồi máy tính để bàn cần kết nối Internet Laptop, Ipad, Smart phone cần kết nối mạng lúc nơi khuôn viên nhà Trường để phục vụ học tập, làm việc giải trí ngày nhiều, địi hỏi Hệ thống phải ln kết nối Internet phải ổn định, an toàn - Khi bùng phát dịch COVID - 19 đợt đầu năm lan toàn xã hội, yêu cầu giãn cách xã hội để tránh lây nhiễm bệnh, nhu cầu sử dụng mạng WLAN phòng ban, giảng đường khu ký túc xá phục vụ cho việc làm việc, giảng dạy học tập Online cán bộ, giảng viên sinh viên ngày cao - Khả cung ứng cao, đáp ứng lượng lớn kết nối vào hay mạng mà giữ ổn định, an toàn yêu cầu bắt buộc - Có khả nâng cấp cải tạo tương lai 3.1.4 Hiện trạng vấn đề liên quan đến bảo mật trình sử dụng thiết bị phát WLAN trường Đại học Hà Nội Thực trạng: - Các đơn vị trường (phòng ban, khoa) muốn sử dụng wifi cho mục đích cán đơn vị u cầu bên TT cơng nghệ thông tin lắp thêm thiết bị AP phát wifi riêng cho phòng ban (hoặc khoa) Các thiết bị cài đặt đặt mật bảo vệ riêng đơn vị theo kiểu WPA/WPA2 personal (theo khuyến cáo nhà sản xuất) thiết bị không đặt mật bảo vệ để thuận tiện cho việc truy cập vào mạng người dùng, sau thiết bị cắm vào đường mạng LAN nội trường Nguy cơ: Mất an toàn cho người dùng sở liệu nhà trường lớn - Khi Wi-Fi không dùng mật để bảo vệ: Thiết bị truyền tải liệu hoàn tồn mở bị lợi dụng, điểm phát khơng an tồn nguy hiểm liệu cá nhân người dùng Điều có nghĩa 19 lưu lượng chuyển tải từ mạng này, bao gồm tin nhắn, mật khẩu, văn bản,…đều bị kẻ xấu lợi dụng - Khi đặt chế độ bảo mật WPA/WPA2 Personal: Chức thay đổi khóa TKIP sử dụng để tạo khóa mã hóa phát hiện, tin tặc đốn khóa khởi tạo phần mật khẩu, họ xác định tồn mật giải mã liệu Nỗ lực để hack mạng tùy thuộc vào cài đặt bao gồm độ mạnh mật Ví dụ, mật yếu dễ đốn (ví dụ mật thường hay đặt dãy số liên tiếp hay dãy số lặp) tội phạm dễ dàng giải mã thơng tin chuyển tải mạng khơng cịn an tồn Như biện pháp sử dụng Wifi đơn vị trường (có mật khơng có mật khẩu) an tồn cao: Đối tượng cơng nghe lén, giải mã giao thức mã hóa đọc nội dung gói tin mà trước cho an tồn Dẫn đến, thông tin cá nhân, thông tin nhạy cảm tài khoản ngân hàng, thẻ tín dụng, tài khoản mạng xã hội, thông tin riêng, nội dung chat, thư điện tử, hình ảnh, video…của người dùng bị đánh cắp truyền qua mạng không dây Vì lý trên, xây dựng hệ thống bảo mật mạng WLAN trường cần thiết để bảo vệ người dùng mạng không dây sở liệu nhà trường 3.2 Đề xuất giải pháp bảo mật cho mạng WLAN trường Đại học Hà Nội 3.2.1 Các giải pháp bảo mật mạng WLAN có Hanu a Thay đổi tên mạng (SSID): b Thay đổi tên người dùng mật khẩu: c Sử dụng mã hóa mạnh để bảo mật wifi: d Chọn mật mạnh: e Thay đổi mật wifi: f Vơ hiệu hóa mạng khách: g Bật tường lửa để bảo mật wifi: h Tắt WPS: i Quản lý firmware định tuyến: k Tắt quản lý từ xa/ dịch vụ khơng cần thiết: 20 Trên cách bảo mật WLAN cho mạng HANU Trong số cách này, nên ý tới cách mã hóa đặt mật mạnh Bởi cách bảo mật mạng khơng dây đơn giản, an toàn dễ thực 3.2.2 Bảo mật mạng WLAN sử dụng chứng thực Radius Server Hanu Xuất phát từ lợi ích hữu ích tính linh động, thuật tiện việc áp dụng mạng WLAN vào nơi công cộng công sở, trường học Đặc biệt trường Đại học Hà Nội với số lượng cán bộ, giảng viên khoảng 750 người, sinh viên nhà trường có khoảng 10.000 sinh viên khóa, sinh viên khu vực KTX có nhu cầu sử dụng mạng internet lớn Học viên xin đề xuất áp dụng mơ hình triển khai mạng WLAN với hình thức chứng thực RADIUS cho khu hành chính, giảng đường ký túc xá trường với đối tượng sử dụng cán bộ, giảng viên, sinh viên trường để quản lý tập trung nâng cao tính báo mật cho người dùng sở liệu nhà trường Với đối tượng Giảng viên, viên chức trường, liệu truyền mạng cần có bảo mật đường truyền tổ chức đối tượng vào Group phân quyền áp dụng sách thích hợp đáp ứng nhu cầu bảo mật liệu truyền mạng vấn đề phân quyền Đối với đối tượng Sinh viên, nhu cầu truy cập để sử dụng mạng internet nên đối tượng tổ chức vào group thích hợp Sinh viên có nhu cầu sử dụng mạng WLAN cấp user password Cấp cho user khoảng thời gian truy cập vấn đề kiểm sốt, thu phí…vv 3.2.3 Giải pháp mạng Xây dựng phòng máy chủ tập trung quản lý WLAN tầng nhà A sử dụng chứng thực Radius Server để điều khiển cấp quyền truy cập cho user kết nối với AP lắp khu làm việc, giảng đường khu ký túc xá sinh viên khuôn viên nhà trường Để việc áp dụng giải pháp sử dụng Radius server khả thi cần tính đến tính hiệu kinh tế phù hợp, ngồi thiết bị phịng máy chủ, switch chia cổng, đường cáp quang tòa nhà, cần phải có, để giảm chi phí đầu tư thiết bị Access Point lắp cho 21 phòng ban giảng đường, thư viện, học viên đề xuất cách phân bổ lắp thiết bị tòa nhà sau: Nhà A khu hành có phịng ban lắp thiết bị phù hợp hành lang (riêng khu vực phịng máy chủ khơng lắp thiết bị phát wifi để đảm bảo tính bảo mật sở liệu nhà trường) phục vụ cho cán sử mạng WLAN (ví dụ dùng TPLink Archer C50 đáp ứng 20-25 người dùng) Các tòa nhà giảng đường nhà B, nhà A1, nhà C, nhà E, D1, D2, D3, thư viện trang bị lắp thiết bị Access Point hành lang tầng, thiết bị có khả đáp ứng số lượng lớn người dùng (ví dụ dùng Wifi Ruckus ZoneFlex AccessPoint 7372 có khả đáp ứng 200 người dùng lúc) Các khu KTX sinh viên nhà D4, D5, D6, D7, D8, D9, D10: Các nhà ban quản lý bố trí có 6-8 bạn sinh viên phòng, nên trang bị thiết bị Access Point rẻ tiền (như TP-Link 840N) vào phòng phục vụ đủ nhu cầu số người dùng cho phịng 3.2.4 Mơ tả hệ thống (thử nghiệm) Mơ tả yêu cầu: + Access Point TP-Links (hoặc hãng khác có hỗ trợ WPA2-Enterprise) + pc làm RADIUS server sử dụng hệ điều hành Windows Server 2012 Data center có RAM tối thiểu 2GB, tạo user password cho client dự định tham gia vào mạng + Laptop có card wireless sử dụng hệ điều hành Windows dùng làm client + Kết nối network access point Window server 2012 phải thông suốt, không bị chặn firewall 3.3 – Cài đặt Server phải đặt IP trỏ Prefer DNS nâng cấp Active Director (AD) 3.3.1 Cài đặt + Cấu hình Active Directory Certificate Services (CA) 3.3.2 Cài đặt NAP cấu hình NAP(Network Policy and Access Services) 3.3.3 Cấu access point client 22 3.4 Thử nghiệm đánh giá kết 3.4.1 Thử nghiệm 3.4.2 Đánh giá kết quả: Khi bảo mật phương pháp Radius server có khác biệt đáng kể với bảo mật sử dụng phương pháp khác là hình thức có khóa PMK (Pair-wise Master Key): Như với chế độ bảo mật WPA/WPA2 Personal, khóa PMK sinh từ khóa tĩnh nhập vào thủ cơng AP Station Cịn sử dụng WPA/WPA2 Enterprise phương pháp Radius server, khóa PMK nhận từ trình xác thực IEEE 802.1x/EAP Việc cấp phát khóa hồn tồn tự động tương đối an toàn Sau xác thực lẫn rồi, station máy chủ xác thực Radius xây dựng khóa PMK dựa thơng tin biết Khóa giống station máy chủ xác thực Radius Máy chủ xác thực Radius tiến hành chép khóa PMK gửi cho AP Lúc này, AP Station nhận khóa PMK phù hợp cho phép kết nối mạng Bởi vậy, phương pháp Radius server an tồn thích hợp với triển khai hệ thống qui mô lớn trường học, công ty Các máy client muốn vào mạng wifi phải tiến hành cài đặt, phải xác thực dựa vào thông tin cung cấp từ máy chủ Radius server Điều dẫn tới việc bảo mật cao an tồn so với hình thức bảo mật thơng thường Vì bảo vệ người dùng tránh mát liệu nguy công hacker xâm nhập 3.5 Kết luận chương Chương luận văn khảo sát mạng có dây không dây trường Đại học Hà Nội, vấn đề nảy sinh trình sử dụng yêu cầu bảo mật mạng nhằm đáp ứng nhu cầu đào tạo nhà trường Luận văn đề xuất giải pháp bảo mật cho mạng WLAN trường Đại học Hà Nội phương pháp bảo mật dùng RADIUS SERVER Các kết thử nghiệm cho thấy giải pháp bảo mật đề xuất triển khai thực tế phù hợp với yêu cầu đề 23 KẾT LUẬN Ngày nay, mạng không dây trở nên thiết thực sống, giúp người dùng kết nối mạng lúc, nơi phạm vi phủ sóng thiết bị, đáp ứng nhu cầu học tập, làm việc giải trí người Đi đơi với tính tiện lợi, độ an tồn mạng khơng dây xuất đồng thời tạo kẻ hở cho Hacker xâm nhập lấy cắp thông tin, liệu phương pháp khác nhau, địi hỏi cần có phát triển giải pháp bảo mật để cung cấp cho người dùng thông tin hiệu đáng tin cậy Các chuẩn mạng phương pháp bảo mật mạng không dây phát triển qua thời kỳ đáp ứng nhu cầu phát triển kỹ thuật từ thực tế sử dụng Hầu hết hệ sau cải tiến công nghệ khắc phục hạn chế hệ trước tốc độ bảo mật để nhằm mục đích phục vụ nhu cầu người dùng đạt hiệu tốt Trong phương pháp bảo mật mạng khơng dây phương pháp bảo mật dùng máy chủ RADIUS xem hiệu tốt thời điểm RADIUS cho phép xác thực tập trung, ủy quyền kiểm tra quyền truy cập cho mạng nên mang đến cho người dùng độ an toàn bảo mật cao Với mục tiêu nghiên cứu giải pháp bảo mật cho mạng WLAN ứng dụng Trường Đại học Hà nội, luận văn đạt số kết sau đây: - Nghiên cứu yêu cầu bảo mật cho mạng WLAN - Nghiên cứu giải pháp bảo mật cho mạng WLAN - Đề xuất giải pháp bảo mật triển khai cho mạng nội Trường Đại học Hà nội: Sử dụng phương pháp RADIUS xác thực cho user kết nối vào mạng WLAN Luận văn học viên giới thiệu chi tiết cách cài đặt kết chạy thử nghiệm sử dụng RADIUS Windows Server 2012 24 Hướng phát triển luận văn: • Tìm hiểu u cầu, mơ hình thiết kế, triển khai bảo mật hệ thống Server RADIUS thực tế • Tìm hiểu, xây dựng hệ thống phát xâm nhập cho mạng WLAN thực công hệ thống ... việc, giảng dạy học tập trường Đại học Hà Nội, học viên chọn đề tài: “GIẢI PHÁP BẢO MẬT HỆ THỐNG WLAN, ÁP DỤNG CHO MẠNG TRƯỜNG ĐẠI HỌC HÀ NỘI” Tổng quan vấn đề nghiên cứu Nội dung luận văn q trình... giải pháp bảo mật cho mạng WLAN - Đề xuất giải pháp bảo mật triển khai cho mạng nội Trường Đại học Hà nội: Sử dụng phương pháp RADIUS xác thực cho user kết nối vào mạng WLAN Luận văn học viên... có liên quan đến bảo mật mạng WLAN - Về mặt thực nghiệm: Khảo sát hệ thống mạng WLAN nội Trường Đại học Hà Nội đề xuất giải pháp bảo mật cho hệ thống mạng Bố cục luận văn Luận văn chia làm chương