Các giải pháp bảo mật mạng WLAN bằng xác thực RADIUS

Các hình thức tấn công phổ biến trong WLAN

Nhiều giải pháp tấn công và phòng chống đã được đưa ra nhưng cho đến bây giờ chưa có giải pháp nào được gọi là bảo mật an toàn, cho đến hiện nay mọi giải pháp phòng chống được đưa ra đều chỉ là tương đối (nghĩa là tính bảo mật trong mạng WLAN vẫn có thể bị phá vỡ bằng nhiều cách khác nhau). Nếu một Access Point không xác nhận sự hợp lệ của một máy khách do lỗi trong cấu hình, kẻ tấn công có thể gửi một số lượng lớn yêu cầu xác thực, làm tràn bảng yêu cầu kết nối của các máy khách ở Access Point, làm cho Access Point từ chối truy cập của các người dùng khác bao gồm các người dùng được phép truy cập.

Các giải pháp bảo mật WLAN

TKIP dùng hàm băm (hashing) IV để chống lại việc MIC (message integity check) đẻ đảm bảo tính chính xác của gói tin TKIP và sử dụng khóa động bằng cách đặt cho mỗi frame một chuỗi sống lại dạng tấn công giả mạo. Trong mật mã học AES (viết tắt của từ tiếng Anh: Advanced Encryption Stadar, hay Tiêu chuẩn mã hóa tiên tiến) là một thuật toán mà hóa khối được chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa. Việc điều khiển truy cập được thực hiện bằng cách: Khi một người dùng cố gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn (bloking) và chờ cho việc kiểm tra định danh người dùng hoàn tất.

EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, certificate,…), giao thức được sử dụng (MD5, TLI_Transport Layer Security, OTP_One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau. Khi mà sử dụng hàm thay đổi khóa TKIP được sử dụng để tạo ra các khóa mã hóa chưa phát hiện, nếu hacker có thể đoán được khóa khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu.  Vì tất cả những người sử dụng trong Remote builing chia sẻ băng thông 5Mbs giữa những tòa nhà này, nên một số lượng đáng kể các điểu khiển trên các sử dụng này phải được thực hiện.

 Nếu các kết nối này được cài đặt với mục đích đặc biệt của sự truy nhập internet của người sử dụng, thì booj lọc giao thức sẽ loại trừ tất cả các giao thức, ngoại trừ HTTP, SMTP, HTTPS, FTP…. Qua các hình thức tấn công cũng như các giải pháp bảo mật WLAN trên, người thiết kế mạng cũng như bảo mật mạng phải nắm được cụ thể các hình thức tấn công nào có thể xảy ra đối với mô hình mạng mình thiết kế.

Giao thức RADIUS

Hàng đợi yêu cầu của server sẽ bị đầy, và trong một môi trường có hàng trăm người được yêu cầu xác nhận quyền trong mỗi phút, thời gian quay vòng của yêu cầu sẽ lớn hơn rất nhiều so với thời gian mà user chờ đợi. Nếu tất cả các điều kiện đều thỏa mãn và RADIUS server muốn đưa ra một yêu cầu đòi hỏi user phải trả lời, thì RADIUS sẽ gửi một trả lời “đòi hỏi truy cập” (access- challenge), nó có thể dưới dạng một thông báo dạng văn bản được hiển thị cho user bởi client hoặc là một thuộc tính trạng thái (state attribute). Sau đó client sẽ gửi lại (re-submit) “yêu cầu truy cập” (original access- request) vơi một số hiệu yêu cầu (request ID) mới, nhưng thuộc tính usename-password được lấy từ thông tin vừa mới nập vào, và kèm luôn cả thuộc tính trạng thái từ access-.

Trường indentifier của gói access- challenge phải trùng khớp với gói access-request tương ứng đã gửi đi trước đó và phải có trường xác nhận (authenticator field) phù hợp với thông tin bí mật dùng chung. Sau đó NAS sẽ gửi gói access-request gốc nhưng với danh hiệu yêu cầu (request ID) và xác nhận yêu cầu (request authenticator) mới, đồng thời thuộc tính user-password cũng được thay thế bởi thông tin trả lời của user (đã được mã hóa) và có thể bao gồm cả thuộc tính state từ gói access-challenge. Khi client được cài đặt để sử dụng RADIUS Accouting, thì lúc bắt đầu cấp phát dịch vụ client sẽ sinh ra một gói “bắt đầu cấp phát tài khoản” mô tả kiểu của dịch vụ sẽ được cấp phát và user sẽ được cấp phát dịch vụ đó; sau đó gửi gói này đến RADIUS accouting server mà tới lượt nó sẽ gửi lại một thông báo nhận biết là gói đã được nhận.

Các thuộc tính hợp lệ trong gói RADIUS dạng access-request, access-accept sẽ hợp lệ trong các gói accouting-request, trừ một số thuộc tính không thể hiện như: User- Password, CHAP-Password, Reply-Message,State. Băm MD5 một chiều (one-way MD5 hash) sẽ được xây dựng từ chuỗi các byte của “thông tin bí mật chung” giữa NAS và RADIUS server và thường xác nhận yêu cầu.Giá trị tính được sẽ được XOR với đoạn 16 byte đầu tiên của mật khẩu, kết quả sẽ được đặt vào 16 byte đầu tiên của trường giá trị của thuộc tính user-password.

RADIUS SERVER 1. Tổng quan

Giao thức RADIUS được định nghĩa trong RFC 2865 như sau: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization và Accouting-AAA) cho các phiên làm việc với SLIP và PPP Dial-Up. Nó cần thiết trong các NAS để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Access-request sẽ chuyển thông tin tới một Authentication Server, thông thường nó là một AAA Server. Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu, thông tin của người dùng, các điều khiển truy cập trên một điểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NASs.

Sau khi nhận các thông tin AAA sử dụng gói tin được cung cấp như NAS Indentify, và Authentication thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không?Nếu có khả năng, AAA server sẽ kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong database. Tất cả các message của RADIUS đều đóng gói bởi UDP Datagram s, nó bao gồm các thông tin như: message type, sequence number, length, authenticator, và một loạt các attributes values mà chúng ta đã tìm hiểu ở trên. Attribute-value pare bao gồm tròn các message của RADIUS có thể sử dụng AAA server để quyết định phiên làm việc giữa AP và wireless station, như session- timeout hay VLAN tag (Tunnel-Type=VLAN, Tunnel-Private-Group-ID=TAG).

Nếu bạn cài một server mới có hỗ trợ xác thực cho chuẩn 802.11x, bạn có thể sử dụng tính năng RADIUS proxy để thiết lập một chuỗi các máy chủ, cùng chia sẽ một cơ sở dữ liệu tập trung, RADIUS proxy có thể sử dụng để chuyển các yêu cầu xác thực đến các máy chủ có khả năng xác thực chuẩn 802.11x. Với cơ sở trung tâm –Giải pháp sử dụng RADIUS cho mạng WLAN là rất quan trọng bởi nếu một hệ thống mạng của bạn có nhiều AP thì việc cấu hình bảo mật hệ thống này rất khó để quản lí riêng biệt, người dùng có thể xác thực từ nhiều AP khác nhau và điều đó là không thực sự bảo mật.

Quy trình cài đặt và triển khai 1. Cài đặt và cấu hình DHCP

Thứ nhất vào trình duyệt nhập vào địa chỉ http://ip-ca-server/certsrv trong trường hợp này là http://10.10.6.99/certsrv , nhập user và pasword administrator sau đó chọn “Request a Certificate ” è chọn “ Advanced Certificate Request” è chọn “Create and submit a request to this CA”. “Advanced Certificate Request” chọn “Certificate Template” và điển đầy đủ thông tin trong phần “Identifying information for offline template” è. Trong phần “Key Options” click chọn “Store certificate in the local coputer certificate store” è Sau khi certification được cấp phát click “Install this certificate” để cài certificate.

Thứ hai vào Run gừ mmc xuất hiện cửa sổ Console Root và chọn Add/Remove Snap-in è Add Certificates và chọn snap-in và computer account è Chọn Local coputer è chọn All Tasks để Request new Certificate… è Chọn Domain Controler è. Để điều khiển truy cập của user qua Remove Access Policy, mở Active Director User and Computer, click chuột phải vào computer và chọn “Raise domain Functional Level”. Trong cửa sổ Internet Authenticaton Service, click chuột phải vào Internet Authenticaton Service (local) và chọn Register Server in Active Directory.

Trong các cửa sổ tiếp theo, nhập tên thiết bị Access point (ở đây đặt là TPLink) và Secret key là viethanit (chú ý Secret key để cấu hình ở AP). Ở mục Remove Access Permission tích chọn “Control access through Remove Access Policy” để quản lý user này bằng policy vừa tạo ra. Riêng phần Wireless Security chọn kiểu mã hóa là WPA2 và AES, địa chỉ IP của server RADIUS là 10.10.6.99 với port là 1082, share secret giống với đã khai báo ở server RADIUS là viethanit.

Đã hoàn thành cấu hình RADIUS Server và AP, từ client tiến hành kết nối vào mạng wireless KTXVietHanIT, đăng nhập với user và mật khẩu đã được tạo ở Server RADIUS là “viet” và “aA123456”, domain là “MM02A”.