Giải pháp bảo mật mạng Wireless dựa vào RADIUS MỤC LỤC MỤC LỤC LỜI CẢM ƠN Error! Bookmark not defined LỜI MỞ ĐẦU CHƢƠNG I: TỔNG QUAN VỀ WIRELESS LAN 1.1 Wireless lan gì? 1.1.1 Khái niệm 1.1.2 Lịch sử hình thành phát triển 1.1.3 Ƣu điểm WLAN 1.1.4 Nhƣợc điểm 1.2 Cơ sở hạ tầng WLAN 1.2.1 Cấu trúc WLAN 1.2.2 Thiết bị dành cho WLAN 1.2.3 Các mơ hình WLAN 12 1.3 Chuẩn 802.11 15 1.3.1 Giới thiệu tổng quan 15 1.3.2 Các đặc điểm kỹ thuật IEEE 802.11 16 1.3.3 Các gói tin xử lý tầng datalink: giử bắt gói tin 16 1.3.4 Q trình xử lý gói tin 16 1.4 Bảo mật liệu wlan 16 CHƢƠNG II: QUI TRÌNH CHỨNG THỰC TRONG WIRELESS LAN 18 2.1 Khái niệm EAP 18 2.2 Quá tình chứng thực 802.1x-EAP 18 2.3 WEP WPA 18 2.3.1 Mã hóa giải mã WEP 18 2.3.2 Mã hóa giải mã WPA 21 CHƢƠNG III: BẢO MẬT WLAN BẰNG PHƢƠNG PHÁP CHỨNG THỰC RADIUS23 3.1 RADIUS 23 3.2 Quá trình trao đổi gói tin RADIUS 23 Giải pháp bảo mật mạng Wireless dựa vào RADIUS 3.2.1 Xác thực cấp phép kiểm toán 23 3.2.2 Sự bảo mật tính mở rộng 24 3.2.3 Áp dụng RADIUS cho WLAN 25 3.2.4 Các tùy chọn bổ sung 26 CHƢƠNG VI: QUY TRÌNH CÀI ĐẶT VÀ TRIỂN KHAI HỆ THỐNG RADIUS SERVER 28 4.1 Cài đặt cấu hình DHCP 28 4.1.1 Cài đặt DHCP 28 4.1.2 Cấu hình DHCP 28 4.2 Cài Enterprise CA Request Certificate từ CA Enterprite Server 28 4.2.1 Cài đặt Enterprise CA 28 4.2.2 Request Certificate từ CA Enterprite Server 29 4.3 Tạo user, cấp quyền Remote Access cho users chuyển sang Native Mode 30 4.3.1 Tạo OU có tên “wifi” 30 4.3.2 Chuyển sang Native Mode 31 4.4 Cài đặt cấu hình RADIUS, tạo Remote Access Policy 31 4.4.1 Cài đặt RADIUS 31 4.4.2 Cấu hình RADIUS 32 4.4.3 Tạo Remove Access Policy 33 4.5 Cấu hình AP 35 4.6 Cấu hình Wireless client 36 4.7 Demo 38 KẾT LUẬN 41 TÀI LIỆU THAM KHẢO 42 Giải pháp bảo mật mạng Wireless dựa vào RADIUS Giải pháp bảo mật mạng Wireless dựa vào RADIUS LỜI MỞ ĐẦU Ngày nay, trƣớc phát triển vƣợt bậc lĩnh vực Khoa Học Kỹ Thuật ngành Cơng Nghệ Thơng Tin chiếm vị trí vơ to lớn Xã Hội Kéo theo ngành Công Nghiệp, Thƣơng Mại, Viễn Thông… điều phát triển theo lấy Công Nghệ Thông Tin làm tảng Trong phải kể đến đời phát triển mạng máy tính Mạng WLAN đời thực bƣớc tiến vƣợt bật công nghệ mạng, phƣơng pháp chuyển giao từ điểm sang điểm khác sử dụng sóng vơ tuyến Và phổ biến toàn giới, mang lại nhiều lợi ích cho ngƣời sử dụng, khả di động Ở số nƣớc có thông tin công nghệ phát triển, mạng không dây thực vào sống Chỉ cần có Laptop, PDA thiết bị truy cập không dây bất kỳ, truy cập vào mạng không nơi đâu, quan, nhà, máy bay, quán Caffe… đâu phạm vi phủ sóng WLAN Do đặc điểm trao đổi thông tin không gian truyền sóng nên khả thơng tin bị rị rỉ ngồi điều dễ hiểu Nếu khơng khắc phục đƣợc điểm yếu mơi trƣờng mạng khơng dây trở thành mục tiêu hacker xâm phạm, gây thất thơng tin, tiền bạc… Do bảo mật thơng tin vấn đề nóng Đi đơi với phát triển mạng không giây phải phát triển khả bảo mật, để cung cấp thông tin hiệu quả, tin cậy cho ngƣời sử dụng Đó lý Nhóm chọn đồ án "Nghiên giải pháp bảo mật mạng wireless dựa vào RDIUS" Giải pháp bảo mật mạng Wireless dựa vào RADIUS CHƢƠNG I: TỔNG QUAN VỀ WIRELESS LAN 1.1 Wireless lan gì? 1.1.1 Khái niệm Mạng LAN không dây viết tắt WLAN (Wireless Local Area Network) hay WIFI (Wireless Fidelity), mạng dùng để kết nối hai hay nhiều máy tính với mà không sử dụng dây dẫn WLAN dùng công nghệ trải phổ, sử dụng sóng vơ tuyến cho phép truyền thông thiết bị vùng gọi Basic Service Set Đây giải pháp có nhiều ƣu điểm so với kết nối mạng có dây (wireline) truyền thống Ngƣời dùng trì kết nối với mạng di chuyển vùng phủ sóng 1.1.2 Lịch sử hình thành phát triển Năm 1990, công nghệ WLAN lần xuất hiện, nhà sản xuất giới thiệu sản phẩm hoạt động băng tần 900 Mhz Các giải pháp (khơng có thống nhà sản xuất) cung cấp tốc độ truyền liệu 1Mbs, thấp nhiều so với tốc độ 10 Mbs hầu hết mạng sử dụng cáp lúc Năm 1992, nhà sản xuất bắt đầu bán sản phẩm WLAN sử dụng băng tần 2.4GHz Mặc dù sản phẩm có tốc độ truyền cao nhƣng chúng giải pháp riêng nhà sản xuất không đƣợc công bố rộng rãi Sự cần thiết cho việc thống hoạt động thiết bị dãy tần số khác dẫn đến số tổ chức bắt đầu phát triển chuẩn mạng không dây Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) thông qua đời chuẩn 802.11, đƣợc biết đến với tên WIFI (Wireless Fidelity) cho mạng WLAN Giải pháp bảo mật mạng Wireless dựa vào RADIUS Năm 1999, IEEE thông qua bổ sung cho chuẩn 802.11 chuẩn 802.11a 802.11b (định nghĩa phƣơng pháp truyền tín hiệu) Và thiết bị WLAN dựa chuẩn 802.11b nhanh chóng trở thành cơng nghệ khơng dây trội Năm 2003, IEEE công bố thêm cải tiến chuẩn 802.11g, chuẩn cố gắng tích hợp tốt chuẩn 802.11a, 802.11b 802.11g Sử dụng băng tần 2.4Ghz cho phạm vi phủ sóng lớn Năm 2009, IEEE cuối thông qua chuẩn WIFI hệ 802.11n sau năm thử nghiệm Chuẩn 802.11n có khả truyền liệu tốc độ 300Mbps hay chí cao 1.1.3 Ƣu điểm WLAN  `Sự tiện lợi: Mạng không dây cung cấp giải pháp cho phép ngƣời sử dụng truy cập tài nguyên mạng nơi đâu khu vực WLAN đƣợc triển khai (khách sạn, trƣờng học, thƣ viện…) Với bùng nổ máy tính xách tay thiết bị di động hỗ trợ wifi nhƣ nay, điều thật tiện lợi  Khả di động: Với phát triển vô mạnh mẽ viễn thông di động, ngƣời sử dụng truy cập internet đâu Nhƣ: Quán café, thƣ viện, trƣờng học chí công viên hay vỉa hè Ngƣời sử dụng truy cập internet miễn phí  Hiệu quả: Ngƣời sử dụng trì kết nối mạng họ từ nơi đến nơi khác  Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, cần đƣờng truyền ADSL AP đƣợc mạng WLAN đơn giản Với việc sử dụng cáp, tốn khó khăn việc triển khai nhiều nơi tòa nhà  Khả mở rộng: Mở rộng dễ dàng đáp ứng tức có gia tăng lớn số lƣợng ngƣời truy cập Giải pháp bảo mật mạng Wireless dựa vào RADIUS 1.1.4 Nhƣợc điểm Bên cạnh thuận lợi mà mạng khơng dây mang lại cho mắc phải nhƣợc điểm Đây hạn chế cơng nghệ nói chung  Bảo mật: Đây nói nhƣợc điểm lớn mạng WLAN, phƣơng tiện truyền tín hiệu song mơi trƣờng truyền tín hiệu khơng khí nên khả mạng không dây bị công lớn  Phạm vi: Nhƣ ta biết chuẩn IEEE 802.11n hoạt động phạm vi tối đa 150m, nên mạng không dây phù hợp cho không gian hẹp  Độ tin cậy: Do phƣơng tiện truyền tín hiệu sóng vơ tuyến nên việc bị nhiễu, suy giảm…là điều tránh khỏi Điều gây ảnh hƣởng đến hiệu hoạt động mạng  Tốc độ: Tốc độ cao WLAN lên đến 600Mbps nhƣng chậm nhiều so với mạng cáp thơng thƣờng (có thể lên đến hàng Gbps) 1.2 Cơ sở hạ tầng WLAN 1.2.1 Cấu trúc WLAN  Distribution System (Hệ thống phân phối ): Đây thành phần logic sử dụng để điều phối thông tin đến station đích.Chuẩn 802.11 khơng đặc tả xác kỹ thuật cho DS  Access Point: chức chủa AP mở rộng mạng Nó có khả chuyển đổi frame liệu 802.11 thành frame thông dụng để sử dụng mạng khác  Wireless Medium (tầng liên lạc vô tuyến): Chuẩn 802.11 sử dụng tần liên lạc vô tuyến để chuyển đổi frame liệu máy trạm với  Station (các máy trạm): Đây thiết bị ngoại vi có hỗ trợ kết nối vơ tuyến nhƣ: laptop, PDA, Palm… Giải pháp bảo mật mạng Wireless dựa vào RADIUS Access Point (AP) Wireless Medium Station 1.2.2 Thiết bị dành cho WLAN  Wireless Accesspoint(AP): Là thiết bị có nhiệm vụ cung cấp cho máy khách (client) điểm truy cập vào mạng  Các chế độ hoạt động AP: AP có ba chế độ hoạt động Giải pháp bảo mật mạng Wireless dựa vào RADIUS o Chế độ gốc (root mode): Root mode đƣợc sử dụng AP kết nối với mạng backbone có dây thơng qua giao diện có dây (thƣờng Ethernet) Hầu hết AP hoạt động chế độ mặc định root mode o Chế độ cầu nối(bridge mode): Trong bridge mode, AP hoạt động hồn tồn nhƣ cầu mối khơng dây Với chế độ này, máy khách (client) không kết nối trực tiếp với AP, nhƣng thay vào đó, AP dùng để nối hai hay nhiều đoạn mạng có dây lại với Hiện nay, hầu hết thiết bị AP hỗ trợ chế độ bridge Giải pháp bảo mật mạng Wireless dựa vào RADIUS o Chế độ lặp (Repeater mode): Ở chế độ Repeater, có hai thiết bị AP, root AP AP hoạt động nhƣ Repeater không dây AP Repeater mode hoạt động nhƣ máy khách kết nối với root AP hoạt động nhƣ AP kết nối với máy khách  Wireless Router Ngày nay, với tiến công nghệ kỹ thuật, đời thiết bị đa Wireless Router với kết hợp chức cửa ba thiết bị Wireless Accesspoint, Ethernet Switch Router Giải pháp bảo mật mạng Wireless dựa vào RADIUS CHƢƠNG VI: QUY TRÌNH CÀI ĐẶT VÀ TRIỂN KHAI HỆ THỐNG RADIUS SERVER 4.1 Cài đặt cấu hình DHCP 4.1.1 Cài đặt DHCP Vào Control Panel  Add/Remove program  Add/Remove Windows Component  Networking Services  Chọn Dynamic Host Configuration Protocol (DHCP)  Chọn OK 4.1.2 Cấu hình DHCP Mở DHCP Console từ thƣ mục Administrator Tools, chuột phải vào tên server chọn “Authorize” để đăng ký với DC  Scope range: 192.168.10.10/24  192.168.10.100/24  Lease Duration: ngày  Default Gateway: 192.168.10.1  DNS Server: 192.168.10.1 4.2 Cài Enterprise CA Request Certificate từ CA Enterprite Server 4.2.1 Cài đặt Enterprise CA Giải pháp bảo mật mạng Wireless dựa vào RADIUS Vào Control Panel  Add/Remove program  Add/Remove Windows Component  Certificate services  chọn Certificate Service CA chọn Certificate Services Web Enroment Support  Chọn OK( q trình cài đặt nhớ chọn ln IIS để dùng Web Enrollment Winzard) Trong winzard ta chọn “Enterprise root CA” đặt cho CA “wifi”, nhấp Next hoàn tất 4.2.2 Request Certificate từ CA Enterprite Server Có hai cách để Request Certificate từ CA Enterprise Server Thứ vào trình duyệt nhập vào địa http://ip-ca-server/certsrv, nhập user pasword administrator sau chọn “Request a Certificate ”  chọn “ Advanced Certificate Request”  chọn “Create and submit a request to this CA”  Trong trang “Advanced Certificate Request” chọn “Certificate Template” điển đầy đủ thông tin phần “Identifying information for offline template”  Trong phần “Key Options” click chọn “Store certificate in the local coputer Giải pháp bảo mật mạng Wireless dựa vào RADIUS certificate store”  Sau certification đƣợc cấp phát click “Install this certificate” để cài certificate Thứ hai vào Run gõ mmc xuất cửa sổ Console Root chọn Add/Remove Snap-in  Add Certificates chọn snap-in computer account  Chọn Local coputer  chọn All Tasks để Request new Certificate… Chọn Domain Controler  Đặt tên radius  sau request Certificate có tên nhƣ hình bên dƣới Vào ổ C:\ thấy Certificate có tên server1.mm02a.com-wifi.crt để cài đặt 4.3 Tạo user, cấp quyền Remote Access cho users chuyển sang Native Mode 4.3.1 Tạo OU có tên “wifi” Vào Administrator Tools mở Active Directory User and computer  Tạo OU có tên “wifi”.Trong OU wifi tạo user có tên “u1”, password “123” Cũng OU này, tạo Group “wifi” đƣa user “u1” vào group “wifi” Giải pháp bảo mật mạng Wireless dựa vào RADIUS 4.3.2 Chuyển sang Native Mode Để điều khiển truy cập user qua Remove Access Policy, mở Active Director User and Computer, click chuột phải vào computer chọn “Raise domain Functional Level” 4.4 Cài đặt cấu hình RADIUS, tạo Remote Access Policy 4.4.1 Cài đặt RADIUS Giải pháp bảo mật mạng Wireless dựa vào RADIUS Vào Control panel  Add/Remove program  Add/Remove Windows component  Networking Service  Chọn Internet Authentication Service 4.4.2 Cấu hình RADIUS Vào Administrative Tools  Internet Authenticaton Service Trong cửa sổ Internet Authenticaton Service, click chuột phải vào Internet Authenticaton Service (local) chọn Register Server in Active Directory Chuyển xuống mục RADIUS Cliens, click chuột phải vào chọn New RADIUS Cliens Trong cửa sổ tiếp theo, nhập tên thiết bị Access point (ở đặt TPLink) Secret key 123 (chú ý Secret key để cấu hình AP) Giải pháp bảo mật mạng Wireless dựa vào RADIUS 4.4.3 Tạo Remove Access Policy Cũng cửa sổ Internet Authenticaton Service click chuột phải vào Remove Access Policies chọn New Remove Access Policy Trong Policy name đặt tên wifi Phƣơng thức truy cập Access methois chọn Wireless hộp thoại Select group, Add group sinhvien vào Trong hộp thoại Authentication Methods chọn Protected EAP (PEAP) Giải pháp bảo mật mạng Wireless dựa vào RADIUS Vào Administrator Tools mở Active Directory User and computer Trong OU wifi, Click chuột phải vào user “u1” chọn Property, hộp thoại property chọn tab Dial-in Ở mục Remove Access Permission tích chọn “Control access through Remove Access Policy” để quản lý user policy vừa tạo Giải pháp bảo mật mạng Wireless dựa vào RADIUS 4.5 Cấu hình AP Kết nối máy tính vào cổng LAN AP cáp thẳng Gõ địa cổng LAN AP (mặt định TPLink http://192.168.1.1) Đăng nhập với tài khoản mặt định (user admin password admin) Nếu không đƣợc tiến hành reset lại AP để tham số cấu hình trở mặc định Tiến hành cấu hình cổng LAN WAN nhƣ bình thƣờng Riêng phần Wireless Security chọn kiểu mã hóa WPA2 AES, địa IP server RADIUS 192.168.10.1 với port 1082, share secret giống với khai báo server RADIUS 123 Giải pháp bảo mật mạng Wireless dựa vào RADIUS 4.6 Cấu hình Wireless client Ở Wireless client sử dụng Windows XP Vì trƣớc để windows chứng thực đƣợc WPA2, ta phải tiến hành update Download update từ link sau: Click chuột phải vào wireless card  Properties  chọn tab Wireless Networks  cấu hình nhƣ bên dƣới Giải pháp bảo mật mạng Wireless dựa vào RADIUS Giải pháp bảo mật mạng Wireless dựa vào RADIUS 4.7 Demo Đã hồn thành cấu hình RADIUS Server AP, từ client tiến hành kết nối vào mạng wireless linksys, đăng nhập với user mật đƣợc tạo Server RADIUS “u1” “123”, domain “nghiadv.com” Giải pháp bảo mật mạng Wireless dựa vào RADIUS Giải pháp bảo mật mạng Wireless dựa vào RADIUS Giải pháp bảo mật mạng Wireless dựa vào RADIUS KẾT LUẬN   Kết đạt đƣợc Về lý thuyết: Phƣơng pháp bảo mật mà nhóm nghiên cứu phƣơng pháp bảo mật WLAN tốt Có ý nghĩa thực tiễn cao, áp dụng đƣợc co quan, doanh nghiệp có nhu cầu bảo mật WLAN cao Sau thực xong đề tài, thành viên nhóm hiểu đƣợc tổng quan hệ thống mạng khơng dây, hình thức cơng nhƣ bảo mật mạng không dây Đặt biệt hiểu rõ đƣợc chế, tầm quan trọng bảo mật mạng không dây chứng thực RADIUS  Về thực hành Các thành viên nhóm thành thạo cấu hình kiểu chứng thực, mã hố, vận hành nhƣ bảo mật Wireless Access point Trong trình cấu hình chứng thực, thành viên hiểu rõ đƣợc chế chứng thực Windows Server 2003  Hạn chế Chƣa triển khai hệ thống Linux với chứng thực LDAP Chỉ triển khai qui mô nhỏ chƣa đƣợc áp dụng thực tế nên chƣa kiểm tra đƣợc cố phát sinh trình vận hành.Các máy Wireless Client phải tiến hành cài đặt xác thực đƣợc  Hƣớng mở Triển khai hệ thống xác thực RADIUS LINUX mở rộng mơ hình xác thực khơng cho WIFI mà hệ thống mạng sử dụng cáp, máy VPN server, NAS Server…Nghiên cứu ứng dụng công nghệ vWMAN (IEEE 802.16), WWAN (802.20) Giải pháp bảo mật mạng Wireless dựa vào RADIUS Tìm hiểu u cầu, mơ hình thiết kế, triển khai bảo mật hệ thống WMAN, WWAN TÀI LIỆU THAM KHẢO  Sách, giáo trình, đồ án [1] Giáo trình CCNA Exploration 4.0 LAN Switching and Wireless – Cisco System [2] Hacking Wireless Kỹ Thuật Thâm Nhập Mạng Không Dây -NXB Hồng Đức [3] Đồ án tìm hiểu giao thức xác thực RADIUS xây dựng mơ hình bảo mật WLAN với RADIUS server – Nguyễn Minh Nhật – ĐH Duy Tân [4] Đồ án Bảo mật WLAN với RADIUS WPA2 – Đặng Ngọc Cƣờng – ĐH Bách Khoa TP HCM  Internet [1] http://nhatnghe.com/forum [2] http://hvaonline.net [3] http://vi.wikipedia.org/wiki [4] http://2mit.org ... chọn đồ án "Nghiên giải pháp bảo mật mạng wireless dựa vào RDIUS" Giải pháp bảo mật mạng Wireless dựa vào RADIUS CHƢƠNG I: TỔNG QUAN VỀ WIRELESS LAN 1.1 Wireless lan gì? 1.1.1 Khái niệm Mạng. .. vào mạng wireless linksys, đăng nhập với user mật đƣợc tạo Server RADIUS “u1” “123”, domain “nghiadv.com” Giải pháp bảo mật mạng Wireless dựa vào RADIUS Giải pháp bảo mật mạng Wireless dựa vào. .. wireless card  Properties  chọn tab Wireless Networks  cấu hình nhƣ bên dƣới Giải pháp bảo mật mạng Wireless dựa vào RADIUS Giải pháp bảo mật mạng Wireless dựa vào RADIUS 4.7 Demo Đã hồn thành