Nghiên cứu bảo mật trong mạng WLAN công cộng và giải pháp tại trường Cao đẳng kỹ thuật công nghệ Hòa Bình

MỤC LỤC

ĐẲNG KỸ THUẬT CễNG NGHỆ HềA BèNH

KHẢO SÁT THỰC TRẠNG BẢO MẬT MẠNG KHÔNG DÂY CÔNG CỘNG TẠI MỘT SỐ ĐƠN VỊ SỰ NGHIỆP

Thêm vào đó việc đảm bảo an toàn mạng cũng chưa được chú ý người sử dụng bất kỳ có thể truy cập đến bất kỳ các trang mạng xã hội có tính chất vi phạm pháp luật, chống phá, xuyên tạc đảng, nhà nước, cùng với các trang web không lành mạnh hoặc những trang web giả mạo dễ bị virus có thể ảnh hưởng đến toàn bộ hệ thống mạng. Nhưng nếu chỉ sử dụng riêng với Captive Portal thì chúng ta vẫn gặp nhiều rủi ro vì chỉ sử dụng phương pháp đăng nhập bằng username và password nên dễ bị hacker tấn công vì phương pháp này sử dụng giao thức HTTP là giao thức không được mã hoá. Như vậy để tránh rủi ro thì chúng ta phải sử dụng phối hợp giữa Captive portal với Pfsense cho phép chúng ta mã hóa thông tin đăng nhập của người sử dụng vì nó sử dụng giao thức HTTPs.

Kẻ tấn công sẽ tạo ra một mạng Wifi công cộng giả mạo nếu bạn không cảnh giác và kết nối vào mạng Wifi đó thì mạng này sẽ ghi nhận lại mọi thứ, từ các chi tiết bạn nhập vào như mật khẩu ngân hàng, cho đến những dữ liệu nhạy cảm khác. Nó cũng có thể hướng người dùng đến những trang web độc hại có thể lừa người dùng lấy cắp thông tin tài chính hoặc cài mã độc vào máy để có thể truy cập từ xa. Cụ thể, trong một khảo sát gần đây của tổ chức nghiên cứu Internet Pew, 93% người sử dụng nói kiểm soát việc ai có thể lấy thông tin của họ là điều rất quan trọng, 90%.

Các mục tiêu chịu nhiều cuộc tấn công nhất trong năm qua là các cơ quan chính phủ, hệ thống ngân hàng, tổ chức tài chính, hệ thống công nghiệp và các hệ thống trọng yếu khác. Nguyên nhân vì thời điểm cuối năm, các cơ quan, doanh nghiệp, tổ chức có nhiều dự án CNTT cần hoàn thành, nhân sự thường phải hoạt động trên 100% năng suất nên khả năng xảy ra nhiều sai sót, đây cũng là cơ hội để tin tặc (hacker) có thể. Các chuyên gia cho biết người dùng sẽ phải đối mặt với 3 hình thức tấn công chính khi sử dụng mạng Wifi miễn phí tại các thành phố, bao gồm: tấn công nghe lén (Man-in-the-Middle hay MitM), tấn công lừa đảo (Phishing) và tấn công giả mạo Wifi (SSID Spoofing).

Nhưng nếu trong máy tính của bạn có nhiều dữ liệu quan trọng thì khi dùng Wifi công cộng luôn tiềm ẩn nguy cơ là bạn sẽ bị đánh cắp dữ liệu, thiết bị của bạn sẽ bị nhiễm virus hoặc malware các loại.

THỰC TRẠNG MẠNG TẠI TRƯỜNG CĐ KỸ THUẬT - CÔNG NGHỆ HềA BèNH

● Có sự không đồng bộ giữa các thiết bị trong hệ thống mạng không dây dẫn đến không ổn định và thiếu khả năng quản lý các thiết bị Access Point (AP). Hệ thống không có khả năng giám sát hoạt động của người dùng trên mạng Wifi công cộng. ● Lượng truy cập quá nhiều trong cùng một thời điểm sẽ dẫn đến tình trạng mạng bị quá tải (lag mạng).

● Các phòng ban liên tục phải thay đổi mật khẩu wifi vì lượng truy cập của học sinh sinh viên quá lớn. ● Không kiểm soát được băng thông từng người sử dụng dẫn đến tình trạng bị chiếm băng thông, gây ảnh hưởng đến chất lượng mạng. ● Phải có khả năng giúp người dùng mạng có thể chuyển qua nhiều vùng khác của Access Point khác nhau mà không bị ngắt quãng truy cập.

● Trang bị hệ thống Wifi công cộng ổn định nhằm phục vụ công việc cũng như nhu cầu sử dụng của cán bộ, giáo viên, học sinh sinh viên. ● Hệ thống mạng Wifi có khả năng liệt kê các người dùng khác nhau, từ đó, cung cấp chính sách truy cập Wifi tùy chỉnh cho từng người dùng sử dụng dịch vụ. ● Đối với cán bộ giáo viên thì cung cấp truy cập Wifi bằng username và password.

● Cung cấp truy cập Wifi miễn phí cho học sinh sinh viên, khách đến cơ quan làm việc nhưng với tốc độ giới hạn.

TRIỂN KHAI GIẢI PHÁP BẢO MẬT CHO WLAN TẠI KHOA TIN HỌC – TRƯỜNG CĐ KỸ THUẬT - CễNG NGHỆ HềA BèNH

Từ nhu cầu sử dụng của học sinh sinh viên, nên ở đây tác giả tạo một tài khoản miễn phí với tên “free” đồng thời cho nhiều kết nối tới tài khoản này (nhiều người có thể truy cập cùng lúc với một tài khoản) và đặt tốc độ truy cập giới hạn. Tạo tài khoản cho phép truy cập miễn phí và giới hạn tốc độ Tạo tài khoản truy cập cho khách đến làm việc tại nhà trường, trong trường hợp muốn cung cấp truy cập theo tài khoản bằng username và password cho khách ở thời gian dài ngày và sử dụng tốc cao. Để cấu hình Captive Portal cho hệ thống mạng không dây, đầu tiên chúng ta cần đặt tên cho Captive Portal để áp dụng cho mạng wifi trong phần Zone name: cũng như đặt mô tả cho mạng không dây.

Trang đăng nhập giống như một trang web nên việc thiết kế phải cho cả giao diện máy tính và chuẩn Mobile (Responsive) để tối ưu trên các thiết bị di động, khi người sử dụng kết nối vào mạng thì sẽ được chuyển đến trang đăng nhập để xác thực người dùng trước khi được kết nối vào mạng internet. Trên trang đăng nhập đồng thời đưa ra các điều kiện và điều khoản sử dụng dịch vụ để người sử dụng phải đồng ý trước khi được phép gia nhập. Nếu dùng cách bảo mật thông thường như WPA/WPA2 thì không làm được việc này. Điều này sẽ giúp bên cung cấp dịch vụ mạng giới hạn trách nhiệm của mình đối với tất cả các khách sử dụng nếu trong trường hợp mạng Internet được sử dụng vào những mục đích xấu, vi phạm pháp luật. Quá trình đăng nhập Captive Portal. 1) Người sử dụng gửi yêu cầu tới trang đăng nhập. 2) Webserver sẽ đổi hướng đến Captive Portal trên Pfsense. 3) Sau khi đăng nhập thành công sẽ trả về trang ban đầu. Kiểu tấn công phổ biến đối với Captive Portal là tấn công MITM mà có thể cho phép kẻ tấn công ngăn chặn các khung dữ liệu trên một mạng LAN, điều chỉnh thông tin, và thậm chí lấy cắp tên người dùng, mật khẩu từ trang đăng nhập Captive Portal. HTTPS là viết tắt của “Hypertext Transfer Protocol Secure”, nó là một sự kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên Internet.

Trong luận văn này tác giả sẽ sử dụng kết hợp giữa giao thức HTTP và giao thức bảo mật SSL có thể tạo trực tiếp trên Pfsense còn đối với khoa Tin học thì mua chứng chỉ SSL và sau đó được nhập vào Pfsense. Từ nhu cầu bảo mật thông tin cho toàn bộ các thiết bị mạng trong hệ thống và để giảm nguy cơ người dùng truy cập vào những trang giả mạo, không lành mạnh dễ bị nhiễm virus và làm giảm nguy cơ bị ăn cắp thông tin cá nhân ở đây tác giả sử dụng squid proxy kết hợp với Captive Portal để nhằm nâng cao bảo vệ người sử dụng từ những mối nguy hiểm trên. Trong phần này dùng để cài đặt dung lượng bộ nhớ cache sẽ lưu vào ổ cứng máy chủ vì khi người sử dụng kết nối vào Internet tất cả các thông tin sẽ được squid lưu vào bộ nhớ cache mà thông tin này sẽ lưu lại lịch sử truy cập internet của khách hàng.

Thông tin sẽ giỳp xử lý hai vấn đề chớnh một là dựng để quản lý và theo dừi những truy cập bất hợp pháp của người sử dụng sau này khi cần thiết và hai là tăng tốc độ truy cập Internet nhờ việc lưu thông tin vào bộ cache trước đó (giúp giảm lưu lượng băng thông truy cập Internet).

Hình 4.9. Tạo tài khoản cho phép truy cập miễn phí và giới hạn tốc độ
Hình 4.9. Tạo tài khoản cho phép truy cập miễn phí và giới hạn tốc độ

ƯU NHƯỢC ĐIỂM

- Không đòi hỏi mấy cấu hình cao khi hoạt động Captive Portal trên pfSense Sản phẩm khác. Không phụ thuộc vào phần cứng của thiết bị, có thể sử dụng bất cứ thiết bị wifi nào hiện có. Phải thay tất cả bộ phát wifi cũ nếu có bằng thiết bị được chỉ định.

Nếu người dùng di chuyển sang vùng phủ sóng của WiFi khác, cần đăng nhập lại Giới hạn thời gian sử dụng Có thể hoặc không, tùy từng loại sản. Giới hạn băng thông sử dụng của người dùng, và có thể chia băng thông có ưu tiên. Hỗ trợ mạng VPN, để nối các chi nhánh thành 1 mạng nội bộ, hỗ trợ.

Hệ thống tài khoản riêng với 3 cách đăng nhập có thể dùng đồng thời 1.Tài khoản dạng user/pass,. - Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác. - Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình.