BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HỒ CHÍ MINH KHOA CƠNG NGHỆ THƠNG TIN oOo ĐỒ ÁN CHUYÊN NGÀNH ĐỀ TÀI: XÂY DỰNG VÀ TRIỂN KHAI HỆ THỐNG CAPTIVE PORTAL Giáo viên hướng dẫn: Nguyễn Phúc Hưng Sinh viên thực : 11238941 - Nguyễn Quốc Huy 11260931 - Mai Chiếm Minh TP Hồ Chí Minh Tháng Năm 2015 LỜI CẢM ƠN Để hoàn thành đồ án này, chúng em xin gửi lời cảm ơn sâu sắc đến giảng viên khoa Công Nghệ Thông Tin trường Đại học Cơng Nghiệp Thành Phố Hồ Chí Minh trực tiếp giảng dạy cung cấp cho chúng em kiến thức quý báu để chúng em tìm hiểu tiếp cận với cơng nghệ Đặc biệt, chúng em xin chân thành gửi lời cảm ơn đến thầy Nguyễn Phúc Hưng tận tình hướng dẫn chúng em tạo điều kiện kiến thức tài liệu thiết bị để chúng em hồn thành đồ án Và cuối chúng em xin chân thành cảm ơn bạn bè giáo viên khác khoa Công Nghệ Thông Tin thầy Nguyễn Hịa, thầy Mai Xn Phú, thầy Bùi Cơng Trường thầy Đặng Thanh Bình động viên, góp ý cho đồ án chúng em suốt trình thực nhóm Do thời gian eo hẹp khả cịn có hạn nên đồ án chúng em khơng thể tránh khỏi thiếu sót Kính mong nhận nhiều ý kiến đóng góp phê bình quý thầy cô bạn để chúng em hồn thiện kiến thức đồ án Chúng em xin chân thành cảm ơn! TP.Hồ Chí Minh, ngày tháng năm 2015 Sinh viên thực Nguyễn Quốc Huy Mai Chiếm Minh NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Phần đánh giá: Ý thức thực hiện: Nội dung thực hiện: Hình thức trình bày: Tổng hợp kết quả: Điểm số: Điểm chữ: Tp Hồ Chí Minh, ngày… tháng … năm …… Giáo viên hướng dẫn NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Phần đánh giá: Ý thức thực hiện: Nội dung thực hiện: Hình thức trình bày: Tổng hợp kết quả: Điểm số: Điểm chữ: Tp Hồ Chí Minh, ngày… tháng … năm …… Giáo viên phản biện LỜI NĨI ĐẦU Ngày nay, mạng máy tính Internet phổ biến rộng rãi, tổ chức cá nhân có nhu cầu sử dụng máy tính mạng máy tính để tính tốn, lưu trữ, quảng bá thông tin hay sử dụng dịch vụ giao dịch trực tuyến mạng Nhưng đồng thời với hội mở ấy, lại có nguy mạng máy tính khơng quản lý dễ dàng bị công, gây hậu nghiêm trọng Từ đó, việc quản lý xác thực người dùng hệ thống mạng, đặc biệt mạng không dây cần thiết để bảo mật tài nguyên cá nhân, tổ chức, doanh nghiệp Để thực công việc này, ta cần xây dựng hệ thống quản lý truy cập hiệu quả, Captive Portal giải pháp hữu hiệu Xây dựng Captive Portal cho hệ thống mạng không dây bạn, không giúp kiểm soát khả truy cập từ bên ngồi mà cịn giúp cho tổ chức, doanh nghiệp bạn tận dụng để thực sách quảng cáo hệ thống Website chứng thực hệ thống DANH MỤC TỪ VIẾT TẮT - ADSL - Asymmetric Digital Subscriber Line AP – Access Point ARP – Address Resolution Protocol CI – CodeIgniter DHCP – Dynamic Host Configuration Protocol DNS – Domain Name System DoS – Deny of Service GUI – Graphic User Interface HTTP – HyperText Transfer Protocol HTTPS – HyperText Transfer Protocol Sercure IP – Internet Protocol LAN – Local Area Network MAC – Media Access Control MVC – Model-View-Controller NAT – Network Address Translation NIC – Network Interface Card PHP – Hypertext Preprocessor SAM – Smart Access Management TCP – Transmission Control Protocol URI – Uniform Resource Indentifier URL – Uniforn Resource Locatior WAN – Wide Area Network WPA – Wifi Protected Access DANH MỤC HÌNH ẢNH Hình 1: Trang đăng nhập Captive Portal 11 Hình 2: Mơ hình MVC chuẩn 13 Hình 3: Cách thức làm việc MVC 14 Hình 4: Mơ hình MVC CodeIgniter 15 Hình 5: Mơ hình DHCP cho mạng Wifi 22 Hình 6: Cấu hình router Access Point 23 Hình 7: Chỉnh sửa cấu hình file sudoers 24 Hình 8: File kịch cho hệ thống Captive Portal 25 Hình 9: Kết lệnh “iptables –L” 25 Hình 10: Kết lệnh “iptables –t nat –L” 25 Hình 11: Kịch tc command để quản lý băng thông 26 Hình 12: Mơ hình database hệ thống Website quản lý .27 Hình 13: Trang đăng nhập người dùng 28 Hình 14: Trang hiển thị đăng nhập thành công 29 Hình 15-a: Trang quản lý admin 30 Hình 15-b: Trang quản lý admin 30 Hình 16: Luật iptables có kết nối .31 Hình 17: Luật iptables ngắt kết nối 31 Hình 18: Chức lấy tài khoản cho Sinh Viên Giảng Viên 32 Hình 19: Lịch sử đăng nhập người dùng hệ thống .33 MỤC LỤC CHƯƠNG 1: TỔNG QUAN VỀ CAPTIVE PORTAL VÀ CÁCH TRIỂN KHAI Giới thiệu công nghệ Captive Portal Tổng quan Captive Portal tính flexible, có firewall thương mại lớn, tính 1 - giúp chuyển hướng người dùng vào trang web định sẵn, từ quản lý người dùng cấm khơng cho người khác dùng mạng Tính tiên tiến kiểu đăng nhập WPA, WPA2 chỗ người dùng thao tác trực tiếp với trang web (http, https) đăng nhập khô khan kiểu WPA, - WPA2 Với công nghệ Captive Portal bắt buộc máy sử dụng Internet mạng trước tiên phải sử dụng trình duyệt để tới trang đặc biệt, thường dùng để xác thực Captive Portal chuyển hướng trình duyệt tới thiết bị xác thực an ninh Điều thực cách tất gói tin, kể địa cổng, đến người dùng mở trình duyệt thử truy cập Internet Tại thời điểm đó, trình duyệt chuyển hướng đến trang Web đặc biệt yêu cầu xác thực (đăng nhập) toán, đơn giản bảng thông báo quy định mà người dùng phải tuân theo yêu cầu người dùng phải chấp nhận quy định trước truy cập Internet Captive Portal thường triển khai hầu hết điểm truy cập Wifi dùng để điều khiển mạng có dây Các cách triển khai Chuyển hướng HTTP (Hypertext Transfer Protocol) Khi có truy cập từ máy chưa qua xác thực để đến website, trình duyệt nhận thông tin địa IP DNS tương ứng cách bình thường gửi HTTP request tới IP Tuy nhiên bị firewall chặn lại chuyển tới máy chủ chuyển tiếp máy chủ phản hồi gói HTTP 302 chuyển hướng máy khách tới Captive Portal Quá trình diễn ngầm bên nên máy khách tưởng website thực trả lời với yêu cầu gửi thông tin chuyển hướng 10 2.3 Hệ thống SAM chế hoạt động - Bước 1: Đầu tiên, máy client mạng kết nối vào Wifi thơng qua Wireleass Access Point, có yêu cầu bật trình duyệt lên để thực xác thực Khi đó, có nghĩa kết nối từ máy client Internet bị chặn lại Ubuntu Server Bước 2: Tiếp theo máy client bật trình duyệt lên vào website bất kì, lúc đó, trang web xác thực hệ thống ra, đây, client thực thao tác xác thực thông qua Username, Password kiểu xác thực khác mà Server định nghĩa Nếu không xác thực thành cơng, máy client khơng thể sử dụng Internet Bước 3: Nếu client xác thực thành công, có trang web để báo xác thực thành cơng sử dụng Internet, đồng thời báo thời gian sử dụng client Ở bước này, Webserver xử lý đồng thời việc đăng nhập xác thực người dùng song song với việc mở tường lửa cho phép người dùng Internet Bước 4: Sau xác thực thành cơng người dùng sử dụng Internet bình thường, trình sử dụng, người dùng tự ngắt kết nối khơng dùng để trì thời gian sử dụng hết thời gian sử dụng, hệ thống tự động ngắt kết nối Tại đây, Webserver lại tiếp tục xử lý đồng thời việc ngắt session đăng nhập người dùng với đóng firewall khơng có người dùng Internet 2.4 Hệ thống SAM vấn đề bảo mật Cũng hệ thống khác, vấn đề bảo mật hệ thống SAM trọng cách phân tích nguy cơng tìm cách phịng chống 2.4.1 Các nguy công - Một hệ thống SAM kỹ thuật mà tất lưu lượng truy cập người dùng giữ lại chuyển đến server xử lý xác định Điều thực cách chặn truy cập lưu lượng có nguồn gốc từ khách hàng Khách hàng chuyển đến trang xác thực dựa vào yêu cầu thông tin đăng nhập hợp lệ trước cho phép khách hàng truy cập Internet Kỹ thuật dùng để xử lý, chặn truy cập lưu lượng xác định kết nối khách hàng từ địa MAC, nên đối tượng cơng biết cách nhận biết 25 sử dụng lổ hổng để phá vỡ tính hoạt động quán hệ thống Kẻ cơng thay đổi địa MAC để đăng nhập nhiều lần Các kẻ có ý đồ xấu truy nhập vào Router Wifi, thực cấu hình lại Router Wifi đó, nhằm phá hủy hệ thống SAM Server nối nội mạng LAN nên không tránh khỏi việc kẻ có ý đồ xấu cơng phá hoại Server 2.4.2 Tài nguyên công - Tài nguyên hệ thống database để xác thực việc đăng nhập để thực kết nối username, password, chỉnh sửa cấu hình hệ thống Mật đăng nhập router wifi để thực việc chỉnh sửa cài đặt Mật root user có quyền tương tự Ubuntu Server 2.4.3 Cách phòng chống - Ngăn chặn để người dùng tiếp cận với database việc thực việc bảo mật mật khẩu, xác thực riêng… Đổi mật mặc định router để tránh trường hợp đoán password Hạn chế truy cập đến Server, thực sách phân quyền hợp lý file có liên quan đến hệ thống Chỉ cho phép user root có quyền thêm, xóa, sửa tùy chỉnh file hệ thống, điều đảm bảo tính an tồn hệ thống, chống lại cơng từ bên ngồi đồng thời đảm bảo tồn vẹn khơng bị đánh cắp tài ngun triển khai hệ thống bên Sử dụng câu lệnh chown với file kịch tự động file xử lý web hệ thống Cú pháp: #chown root 26 CHƯƠNG 3: TRIỂN KHAI VÀ CÀI ĐẶT HỆ THỐNG SAM 3.1 Xây dựng dịch vụ DHCP Việc cấu hình DHCP server giúp cho địa IP cấp phát động cho máy Client Địa lấy động từ dải IP cấu hình sẵn DHCP server Các tham số DNS Sever, Default Gateway cung cấp cho mày client cách xác tự động Sự trùng lặp IP không xảy Việc cài đặt DHCP server giúp cho hệ thống hoạt động liên tục, giảm gánh nặng cho việc quản trị tăng hiệu cho hệ thống Hình 5: Mơ hình DHCP cho mạng WiFi - Cài đặt Server: sudo apt-get install dhcp3-server Cấu hình Server: + Dải IP cấp từ 192.168.10.50 đến 192.168.10.254 (có thể cấu hình lại tùy vào số lượng người sử dụng) + Địa Router hay Gateway mạng 192.168.10.2 + DNS cho hệ thống 8.8.8.8 (DNS Google tự dựng DNS server) 27 3.2 Cấu hình router Access Point Hệ thống này, ta sử dụng router Access Point để thực nhiệm vụ phát Wifi cho phép người dùng kết nối Tại đây, ta chuyển tất kết nối người dùng tới server quản lý Để thực việc này, ta cần thực bước sau: + Bước 1: Thực kết nối vật lý từ cổng Ethernet router Access Point đến card mạng Server + Bước 2: Thực Disable cổng WAN router Access Point + Bước 3: Cấu hình địa IP cho router Access Point, đó, Default Gateway trỏ đến địa server để chuyển kết nối đến server xử lý + Bước 4: Thiết lập DHCP forwad trỏ địa server + Bước 5: Chọn Apply Setting Hình 6: Cấu hình router Access Point 3.3 Cấu hình máy Server - Server thành phần nói quan trọng hệ thống này, đây, server chặn tất kết nối từ bên client chờ việc xác thực, xác thực thành cơng tiến hành “mở cổng” cho kết nối client Internet 28 - Để hệ thống có thực mục tiêu nó, ta cần cấu hình server theo bước sau: + Bước 1: Cài đặt phần mềm cần thiết apache2, mysql, tc, iptables tải framework CodeIgniter + Bước 2: Cấu hình apache2 mysql để hệ thống Webserver chạy + Bước 3: Cấu hình file visudo người dùng daemon Webserver chạy lệnh iptables từ Web Hình 7: Chỉnh sửa cấu hình file sudoers + Bước 4: Bật chế độ forward Ubuntu Server để chuyển tiếp gói tin từ card mạng thứ qua card mạng thứ 29 + Bước 5: Tạo file kịch cho hệ thống SAM với nội dung hình bên để thực việc điều hướng đến trang xác thực có yêu cầu kết nối từ port 80 (http) 443 (https) chạy thực thi file khởi động hệ thống Hình 8: File kịch cho hệ thống SAM + Bước 6: Kiểm tra luật iptables Ubuntu Server hệ thống SAM khởi động lệnh “iptables –L” “iptables –t nat –L” Hình 9: Kết lệnh “iptables –L” + Hình 10: Kết lệnh “iptables –t nat –L” Bước 7: Cấu hình để apache2 dhcp tự khởi động bật server 30 3.4 - Xây dựng kịch quản lý sở liệu Việc quản lý thao tác sở liệu thực tự động thông qua kịch chạy ngầm hệ thống Việc đảm bảo thao tác sở liệu cập nhật thơng tin, quản lý trạng thái người dùng, tính tốn thời gian sử dụng… thực cách tự động Ngoài ra, việc chạy kịch shell giúp hệ thống chạy nhanh hơn, ổn định hơn, phụ thuộc vào công cụ quản trị sở liệu giao diện 3.5 Xây dựng kịch quản lý băng thông Nhằm đảm bảo chất lượng dịch vụ cho nhóm người hệ thống cách phù hợp, ví dụ người dùng tốc độ 400Kbyte/s, người dùng khách tối đa 100Kbyte/s Tuy nhiên, với việc quản lý băng thơng, việc phân chia băng thông phải hợp lý, trọng vào mặt như: + Băng thơng ước tính theo loại tài khoản người dùng thông qua băng thông tổng đường truyền, thời gian sử dụng… + Đảm bảo tất người nhóm người dùng sử dụng băng thông Con số cụ thể tùy thuộc vào tổng băng thông mạng số lượng truy cập mà admin cấu hình cách linh động Xây dựng kịch quản lý băng thông tool cài đặt sẵn Ubuntu 12.04 tc command Hình 11: Kịch tc command để quản lý băng thông 3.6 Xây dựng hệ thống Website chứng thực Ubuntu Server - Thực theo mơ hình MVC framework CodeIgniter, ta tiến hành lập trình thao tác xử lý controller, thực việc load giao diện website từ view lấy liệu từ database model - Tất phải thống với tất phương thức xử lý Và để thực tốt điều trên, ta thực bước sau: + Bước 1: Xây dựng database – cài đặt mysql tạo database 31 Hình 12: Mơ hình database hệ thống Website quản lý 32 + Bước 2: Tiến hành chỉnh sửa file config framework CodeIgniter để hệ thống Webserver chạy + Bước 3: Tạo trang giao diện cho người dùng đăng nhập xử lý việc đăng nhập đồng thời với việc chạy lệnh bật tường lửa iptables phép kết nối Internet + Bước 4: Xây dựng hệ thống website quản lý cho admin nhằm thực việc quản lý kết nối, tạo user, group quản lý lịch sử truy cập 3.7 - Cài đặt chạy thử Sau thiết lập xong cài đặt trên, ta tiến hành chạy thử hệ thống Đầu tiên, ta kết nối đến wifi, đó, có thơng báo u cầu ta mở trình duyệt lên để xác thực việc kết nối sử dụng Internet Ta mở trình duyệt tiến hành vào trang web bất kì, lúc đó, hệ thống chuyển ta qua trang xác thực để tiến hành xác thực việc đăng nhập Hình 13: Trang đăng nhập người dùng - Tại đây, người dùng đăng nhập hai cách nêu để thực việc truy cập Internet thời gian cho phép Nếu việc đăng nhập khơng thành cơng, hệ thống chặn việc Internet bạn bạn thực việc xác thực Nếu việc xác thực thành công, hệ thống chuyển trang qua trang quảng cáo hệ thống, đồng thời báo lên thời gian sử dụng bạn, đây, bạn thực việc ngắt kết nối lúc 33 Hình 14: Trang hiển thị đăng nhập thành cơng 34 - Đó mà người dùng thấy từ việc đăng nhập vào hệ thống họ, phía Server quản lý, người sử dụng thấy khác Đây người quản trị thấy chưa có người dùng kết nối vào hệ thống Hình 15-a: Trang quản lý admin - Nhưng có người dùng kết nối vào hệ thống họ thấy khác Hình 15-b: Trang quản lý admin 35 - Và mà người quản trị dễ dàng nhìn thấy kết nối quản lý thơng qua giao diện Web, thực chất bên hệ thống, lệnh iptables chạy ngầm bên (Ví dụ người dùng có IP 192.168.10.113 xác thực thành cơng cho phép người kết nối Internet) Hình 16: Luật iptables có kết nối - Và người dùng có IP 192.168.10.113 thực việc ngắt kết nối luật iptables khác thêm vào, kết nối Internet lại bị điều hướng trở lại Server Hình 17: Luật iptables ngắt kết nối - Đó tất mà nhìn thấy hiểu cách rõ ràng nguyên tắt hoạt động hệ thống SAM Ta có nhìn chi tiết hệ thống nhiều phương diện, từ phía người dùng, người quản trị cốt lõi bên hệ thống Từ hiểu cách thực hoạt động để sách phương án để phát triển thêm hệ thống tốt 36 CHƯƠNG 4: KẾT LUẬN 4.1 Kết đạt - Xây dựng thành công hệ thống SAM dựa tảng Captive Portal triển khai thực tế thành công Khoa Công Nghệ Thông Tin Đại học Công nghiệp TP Hồ Chí Minh Hệ thống chạy tự động hồn tồn thơng qua file kịch cài đặt trước Quản lý truy cập tài khoản, thực việc xác thực trước kết nối Internet Các tài khoản người dùng đảm bảo bảo mật Thực tính tốn, quản lý băng thơng cho người dùng Hệ thống có tính linh hoạt cao thơng qua admin cấu hình lại tùy chỉnh thời gian sử dụng băng thông người dùng Giao diện người dùng giao diện quản trị tiện dụng 4.2 Đánh giá kết hệ thống - Sau thời gian triển khai chạy thực tế Khoa Công Nghệ Thông Tin, Đại học Cơng Nghiệp TP Hồ Chí Minh, hệ thống SAM đáp ứng đáng kể nhu cầu sử dụng Internet giảng viên, sinh viên người dùng khách Ngồi ra, hệ thống cịn đánh giá tốt từ giảng viên khoa Công Nghệ Thông Tin thông qua chức cung cấp tài khoản cho sinh viên sử dụng Wifi để sử dụng trình báo cáo đồ án, hay công việc khác cho phép giảng viên Hình 18: Chức lấy tài khoản cho Sinh viên Giảng Viên 37 Hình 19: Lịch sử đăng nhập người dùng hệ thống 4.3 Các mặt hạn chế - Do chạy thử quy mô nhỏ nên hệ thống chưa đánh giá xác khả đáp ứng cho số lượng truy cập lớn, khoảng từ 300-500 Hệ thống chưa tự động bật trình duyệt kết nối đến Wifi Hệ thống chưa tự động mở trang xác thực website có chứng thực HTTPS 4.4 Hướng phát triển tương lai - Sẽ đưa hệ thống triển khai địa bàn rộng trường đại học, khu dân cư, kí túc xá… - Xử lý liên kết với mạng xã hội, trang quảng cáo để hỗ trợ cho vấn đề Wifi marketing - Nghiên cứu xây dựng máy cho server mini PC, thiết bị nhỏ gọn bo mạch để thuận lợi cho việc triển khai 38 TÀI LIỆU THAM KHẢO [1] Brad Antoniewicz, “802.11 Attacks”, Version 1.0 [2] Wei-Lin Chen, “A Proof of MITM Vulneralbility in Public WLANs Guarded by Captive Portal” [3] Haidong Xia, Jose Brustoloni, “Detecting and Blocking Unauthorized Access in Wifi Networks”, 2004 [4] Austin Godber, Partha Dagupsta, “Security Wireless Gateway”, trang 41-46, 2008 39 ... tin qua địa MAC, giúp cho người quản trị dễ dàng việc quản lý kết nối m? ??ng 1.3 Giới thiệu m? ? hình MVC 1.3.1 Khái ni? ?m Mơ hình MVC (Model – View – Controller) kiến trúc phần m? ? ?m hay m? ? hình thiết... Network MAC – Media Access Control MVC – Model-View-Controller NAT – Network Address Translation NIC – Network Interface Card PHP – Hypertext Preprocessor SAM – Smart Access Management TCP – Transmission... 11260931 - Mai Chi? ?m Minh TP Hồ Chí Minh Tháng N? ?m 2015 LỜI C? ?M ƠN Để hoàn thành đồ án này, chúng em xin gửi lời c? ?m ơn sâu sắc đến giảng viên khoa Công Nghệ Thông Tin trường Đại học Cơng Nghiệp