Trong lịch sử, Radius đã sử dụng 2 phương pháp xác thực cơ bản là sử dụng mật khẩu gốc và băm mật khẩu. Cách tiếp cận thứ 2 là sử dụng một cơ chế băm khóa dựa trên bí mật chia sẻ. Hai phương pháp được thể hiện trong 2 giao thức xác thực phổ biến nhất sử dụng với Radius là PAP và CHAP. Trong trường hợp sử dụng PAP, NAS (hoặc Radius server) sẽ gửi Client ID (hoặc PAP ID) cùng với mật khẩu (bản gốc) trong các gói access – request đến máy chủ. Kể tư khi quá trình gửi mật khẩu gốc tư client đến server không còn an toàn nữa, quá trình này bị cấm và không còn được sử dụng cho hầu hết các ISP dial – up. Trong trường hợp sử dụng CHAP, đầu tiên NAS tạo ra 1 giá trị ngẫu nhiên và gửi nó như là 1 giá trị yêu cầu cho người sử dụng, người sẽ trả lời nó với 1 phản hồi, kèm theo tên người dùng và giá trị CHAP ID. Sau đó, NAS giao tiếp với Radius server bằng cách gửi 1 gói tin yêu cầu truy nhập vào máy chủ có chứa thông tin của CHAP username và sử dụng CHAP ID, CHAP response như CHAP password. Sau đó, Radius server xác nhận mật khẩu của người dùng bằng cách lặp lại quá trình băm được thực hiện bởi người sử dụng và so sánh kết quả với giá trị lưu trữ. Nếu kết quả phù hợp và chính xác, máy chủ sẻ gửi trả lại 1 thông báo chấp nhận truy cập vào NAS, ngược lại sẽ có thông báo tư chối truy cập.
3.2 LỖ HỖNG TRONG CHỨNG THỰC RADIUS
• Thiếu gói tin xác thực cho các gói tin access – request. Các thông báo access – request có chứa 1 số giả ngẫu nhiên 128 bit được gọi là yêu cầu xác thực (Request Authenticator - RA). Tuy nhiên, trong thực tế thì chức năng của RA còn hơn cả lúc này, và được sử dụng trong việc ẩn mật khẩu của người dùng trong thông báo access – request. Như vậy, giá trị của RA thực sự không cung cấp xác thực trong thông báo access – request. Lưu ý rằng, sử dụng Radius trên IPsec sẽ khắc phục được vấn đề này.
• Sử dụng tư điển ngoại tuyến (offline) để tấn công bí mật chia sẻ. Nhiều triển khai Radius chỉ cho phép chia sẻ những bí mật bao gồm những ký tự ASCII và có độ dài dưới 16 ký tự. Điều này hạn chế kết quả trong những bí mật được chia sẻ thường có entropy thấp. Nhận thấy được điều này, một kẻ tấn công có thể bắt đầu thu thập các gói tin access – request, access – reponse (cũng có thể là gói accounting – request hoặc accounting – response) để sau đó thực hiện tấn công bằng tư điển ngoại tuyến.
• Tấn công bằng tư điển ngoại tuyến trong EAP. Tương tự như quá trình tấn công ở phần bí mật chia sẻ, kẻ tấn công cũng có thể thực hiện một cuốc tấn công ngoại tuyến trên bất kỳ gói tin nào trong thuộc tính của EAP. Tuy nhiên, kể tư khi các thuộc tính của các gói tin EAP sử dụng HMAC – MD5, kiểu tấn công này gặp khó khăn hơn trước đây.
3.3 QUÁ TRÌNH CHỨNG THỰC RADIUS SERVER TRONG WLAN
Mạng WLAN bản thân nó là không bảo mật, tuy nhiên đối với mạng có dây nếu bạn không có một sự phòng ngưa hay cấu hình bảo vệ thì nó cũng chẳng bảo mật. Điểm mấu chốt để tạo ra một mạng WLAN bảo mật là phải triển khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng được an toàn hơn, nhằm ngăn chặn những truy cập mạng trái phép không mong muốn. Khi đó client muốn truy cập vào mạng thì phải đăng nhập đúng Username và Password hợp lệ. Quá trình xác thực này được điều khiển bởi RADIUS server.
3.3.1 Kịch bản xác thực bảo mật WLAN với Radius Server
3.3.1.1 Giới thiệu
a. Mô hình
Mạng WLAN gồm:
- 01 Server được cài đặt Radius Server trên Window Server 2003 - 01 AP Linksys được thiết đặt chế độ bảo mật là WPA2 Enterprise - Các Client PC tham gia vào mạng, kiểm tra kết nối
Hình 3.2: Client, AP, Radius server
b. Yêu cầu :
- Cấu hình RADIUS server trên Window Server 2003, tạo User và Password cho các client dự định tham gia vào mạng.
- Trên AP Linksys, thiết đặt chế độ bảo mật là WPA2 Enterprise - Cho PC tham gia vào mạng, kiểm tra kết nối theo 2 trường hợp:
• Kết nối thành công
• Kết nối không thành công
3.3.1.2 Thực hiện
a) Thiết bị:
- 1 AP Linksys – WRT54G. 2 PC (1 PC có gắn card wireless và 1 PC làm Radius server)
- PC làm Radius server sử dụng hệ điều hành Windows Server 2003 Enterprise Edition và đã được nâng lên Domain Controller.
- PC làm wireless client sử dụng hệ điều hành Windows 7 Professional. b) Các bước cài đặt:
• Bước 1: Cài đặt DHCP trên máy chủ được chọn làm Radius Server
Vào Control Panel Add/Remove Program Add/Remove Windows Components Networking Services Chọn Dynamic Host Configuration Protocol (DHCP) Chọn OK.
Hình 3.3: Cài đặt DHCP
• Bước 2: Cài đặt Enterprise CA
Control Panel Add/Remove Program Add/Remove Windows Components Certificate Services Chọn Certificate Services CA và Chọn Certificate Services Web Enrollment Support Chọn OK (Trong quá trình cài đặt chọn IIS để dùng Web Enrollment Wizard). Trong các Wizard tiếp theo ta chọn “Enterprise root CA” và đặt tên cho CA này là “radiusserver”.
Hình 3.4: Cài đặt CA
• Bước 3: Cài Radius
Vào Control Panel Add/Remove Program Add/Remove Windows Components Networking Services Chọn Internet Authentication Service.
• Bước 4: Chuyển sang Native Mode
Để điều khiển truy cập của user qua Remote Access Policy. Mở Active Directory Users and Computers Console tư thư mục Administrative Tools, click chuột phải vào tên server và chọn “Raise domain Functional Level”
Hình 3.6: Raise domain functional level
• Bước 5: Cấu hình DHCP
Mở DHCP Console tư thư mục Administrative Tools, bấm phải chuột vào tên server và chọn “Anthorize” để đăng ký với DC.
- Tạo một Scope có tên là “wlan”.
- Scope range: 192.168.1.3 192.168.1.127 - Lease Duration: 7 ngày.
- Default Gateway: 192.168.1.1 - DNS Server: 192.168.1.2
• Bước 6: Cấu hình Radius
- Mở IAS Console tư thư mục Administrative Tools, bấm phải chuột vào “Internet Authentication Service (Local)” và chọn "Register Server in Active Directory".
Hình 3.8: Register Server in Active Directory
- Chuyển xuống mục RADIUS Client, bấm phải chuột và chọn "New RADIUS Client". Trong cửa sổ mở ra, ta nhập các thông số của thiết bị Access Point: Địa chỉ IP và Secret key. Ở phần chọn "Client - Vendor" nếu loại Access Point có tên trong danh mục thì chọn, nếu không biết loại gì thì chọn "RADIUS Standard" và Shared Secret là “1234” (phải trùng với shared key trên AP).
• Bước 7: Tạo User. Cấp quyền Remote Access cho User và Computer
Mở Active Directory Users and Computers Console tư thư mục Administrative Tools.
- Tạo 1 OU “wlan”
- Trong OU này tạo 1 user “u1”, password là “abc~123”. - Tạo tiếp 1 computer có tên là “wificlient”.
- Cũng trong OU “wlan” tạo 1 group “wifi”, các thành viên của group này là: “wificlient” và user “u1”.
- Vào User account Dial-in Tab ở mục Remote Access Permission chọn “Allow access” để quản lý việc ra vào của User qua IAS.
Hình 3.10: Active Directory Users and Computers
• Bước 8: Tạo Remote Access Policy
- Mở IAS Console tư thư mục Administrative Tools Remote Access Policies New Remote Access Policies.
Đặt tên cho Policy này là “wlan”
Hình 3.12: Policy name là “wlan”
Access mode là “Wireless”
Trong wizard tiếp theo cấp quyền truy cập cho User hay Group
Hình 3.14: User or Group Access
Ta chọn phương thức xác thực cho policy này là PEAP (Protected Extensible Authentication Protocol). Ta chọn Finish ở Wizard tiếp theo để hoàn thành.
• Bước 9: Request Certificate từ CA Enterprite Server
Do server Radius không đặt chung với CA Enterprite Server nên cần xin cấp Certificate tư CA server. Để xin Certificate server, tư cửa sổ Internet explorer nhập vào địa chỉ của CA server http://192.168.1.2/certsrv
Sau khi giao diện trang cấp phép hiện ra, click chọn “Request a certificate”
Hình 3.16: Màn hình bắt đầu xin Certificate server
Click chọn “ Advanced certificate request”
Hình 3.17: Request Certificate
Sau đó click chọn “Create and submit a request to this CA”
Trong trang “Advanced Certificate Request” chọn Certificate Template là Web Server và điền đầy đủ thông tin trong phần “Identifying information For Offline Template”.
Hình 3.19: Create and submit a request to this CA
Trong phần “Key Options” click chọn “Store certificate in the local computer certificate store”
Hình 3.20: Tùy chỉnh trong “Key Options”
Sau khi Certification được cấp phát click “Install this certificate” để cài cài Certificate
Hình 3.21: Certification được cấp phát
CA Server báo là đã cấp phát certification thành công
Hình 3.22: Certificate has been successfully installed
• Bước 10: Cấu hình AP. Khai báo địa chỉ máy Radius Server
Mở FireFox Trên thanh Address Bar gõ địa chỉ 192.168.1.5 (để vào cấu hình AP) Chọn Tab Wireless Tab Wireless Security Cấu hình AP như hình.
Hình 3.23: Cấu hình AP với chế độ bảo mật WPA2 Enterprise
• Bước 11: Cấu hình Wireless Client
Mở Control Panel Network and Sharing Center Manage wireless network Click chuột phải vào Radius_Network chọn Properties và cấu hình như bên dưới.
c) Demo
Khởi động Radius Server và AP. Tư Wireless Client đăng nhập với user là “u1” và passwork là “abc~123”.
Hình 3.25: Bắt đầu kết nối vào AP
Kết quả thu được khi kết nối thành công
Hình 3.26: Kết nối thành công
Khi nhập 1 username và password bất kỳ sẽ không thể kết nối được.
Cửa sổ xác định lỗi tại máy client.
Hình 3.28: Quá trình chứng thực cho User bị lỗi
Trên Radius Server, ta vào Administrative Tools Event Viewer Security, kết quả chi tiết cụ thể quá trình đăng nhập được ghi lại trong logfile như sau:
User u1 was granted access.
Fully-Qualified-User-Name = RadiusServer.net/wlan/u1 NAS-IP-Address = 192.168.1.5
NAS-Identifier = <not present> Client-Friendly-Name = linksys Client-IP-Address = 192.168.1.5
Calling-Station-Identifier = 00-21-00-51-B5-85 NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 1
Proxy-Policy-Name = Use Windows authentication for all users Authentication-Provider = Windows
Authentication-Server = <undetermined> Policy-Name = wlan
Authentication-Type = PEAP
EAP-Type = Secured password (EAP-MSCHAP v2) For more information, see Help and Support Center at
KẾT LUẬN
Trong đề tài này, tôi đã cố gắng tổng hợp những giao thức bảo mật cơ bản về mạng không dây. Với khả năng nghiên cứu cũng như vấn đề về thiết bị và phần mềm còn hạn chế nên không thể tránh khỏi những thiếu sót.
CÁC VẤN ĐỀ THỰC HIỆN ĐƯỢC
- Hiểu được cách thức hoạt động của các giao thức bảo mật mạng không dây. - Nắm được các thuật toán xử lý trong mỗi giao thức.
- Cài đặt thành công giao thức chứng thực Radius trong Window Server 2003.
CÁC VẤN ĐỀ CHƯA THỰC HIỆN ĐƯỢC
- Thuật toán xử lý trong giao thức WPA và WPA 2.
- Cơ chế hoạt động và thuật toán sử dụng trong giao thức chứng thực Radius.
HƯỚNG PHÁT TRIỀN ĐỀ TÀI
- Tìm hiểu giao thức chứng thực Radius trong môi trường Hệ điều hành Linux - Chứng thực Radius trong hệ phân tán với giao diện đăng nhập tư Web.
TÀI LIỆU THAM KHẢO
Tiếng Việt
[1]. Thạc sỹ Phạm Thế Quế, Học viện Công Nghệ Bưu Chính Viễn Thông, Mạng Máy Tính, 2007
[2]. Thạc sỹ Nguyễn Minh Nhật, Trường Đại học Dân lập Duy Tân, Giáo trình An
Ninh Mạng.
Tiếng Anh
[3]. Thomas Hardjono – Lakshminath R.Dondeti ,Security in Wireless LANs and MANs, 2005
[4]. Pejman Roshan – Jonathan Leary, 802.11 Wireless LAN Fundamentals, 2003 [5]. Cisco Networkers, Wireless Campus Networks Security, 2007
[6]. Arash Habibi Lashkari, University of Malaya (UM), Mir Mohammad Seyed Danesh, Multimedia University (MMU), A Survey on Wireless Security protocols
Tài liệu Internet
[7]. http://www.quantrimang.com.vn [8]. http://www.wimaxpro.org
[9]. http://www.vn-zoom.com [10]. http://tailieu.vn