CHƯƠNG 3 CÁC KỸ THUẬT TẤN CÔNG MẠNG WLAN VÀ BIỆN PHÁP PHÒNG CHỐNG
3.4.5Lựa chọn máy chủ RADIUS như thế nào là hợp lý
Trong phần trên, chúng ta đã hiểu được máy chủ RADIUS cung cấp xác thực cho 802.1x Port Access Control. Chúng ta cần quan tâm đến việc triển khai các tuỳ chọn cho các giải pháp sử dụng chuẩn 802.1x. Việc quản lý sử dụng ứng dụng này cũng như giá cả của một máy chủ RADIUS nếu được triển khai sẽ là bao nhiêu để có thể phù hợp với doanh nghiệp.
Các công việc kinh doanh muốn nâng cao tính bảo mật cho hệ thống mạng WLAN nhưng lại sử dụng chuẩn 802.1x – và với yêu cầu này thì lựa chọn việc triển khai RADIUS là hợp lý.
Deploy WPA with Preshared Keys: Nâng cấp hệ thống mạng WLAN đang sử dụng từ Wired Equivalent Privacy (WEP) tới Wi-Fi Protected Access (WPA) có thực
hỗ trợ cho chuẩn 802.1x. Preshared Keys không thể thực hiện việc xác thực cho mỗi user và khả năng chống các cuộc tấn công "dictionary attack" là rất kém do tồn tại khá nhiều vấn đề về bảo mật. Nếu sử dụng giải pháp này việc kinh doanh sẽ có nhiều rủi do hơn, và chỉ áp dụng cho môi trường nhỏ thì giải pháp WPA-PSK là hợp lý.
Use Microsoft's RADIUS Server: Nếu chúng ta có một máy chủ chạy hệ điều hành Microsoft Windows Server 2000/2003 thì hoàn toàn có khả năng, với việc sử dụng Microsoft’s Internet Authentication Service (IAS). IAS cần thiết cho các nhà quản trị hay các user phải làm việc trên môi trường Windows. Và nó cũng là một trong những tính năng cao cấp của Microsoft Wireless Provisioning Service.
Install an Open Source RADIUS Server: Nếu chúng ta không có một phiên bản Windows, một lựa chọn nữa là sử dụng giải pháp phần mềm mã nguồn mở, có thể tham khảo tại: http://www.freeRADIUS.org. Với khả năng hỗ trợ cho chuẩn 802.1x các máy chủ chạy hệ điều hành mã nguồn mở như Linux, Free or OpenBSD, OSF/Unix, hoặc Solaris đều có thể sử dụng làm RADIUS Server.
Mua một Commercial RADIUS Server: Trong trường hợp phải sử dụng một giải pháp chuyên nghiệp cần hỗ trợ đầy đủ toàn bộ các tính năng cũng như khả năng an toàn, và độ ổn định thì có thể mua các bản thương mại từ các nhà sản xuất khác, với tính năng hỗ trợ 802.1x và là một RADIUS Server chuyên nghiệp:
Aradial WiFi - http://www.aradial.com
Bridgewater Wi-Fi AAA - http://www.bridgewatersystems.com Cisco Secure Access Control Server - http://www.cisco.com/ Funk Odyssey - http://www.funk.com/
IEA RadiusNT - http://www.iea-software.com/
Infoblox RADIUS One Appliance - http://www.infoblox.com/ Interlink Secure XS - http://www.interlinknetworks.com/ LeapPoint AiroPoint Appliance - http://www.leappoint.com/ Meetinghouse AEGIS - http://www.mtghouse.com/
OSC Radiator - http://www.open.com.au/radiator/ Vircom VOP RADIUS - http://www.vircom.com
Commercial RADIUS Servers có giá cả tuỳ vào khả năng của sản phẩm. Ví dụ mua một Funk Odyssey Server, bao gồm 25 license Odyssey Client. VOB RADIUS Small Bussiness giá khởi điểm là $995 cho 100 Users. Một máy chủ Radiator license giá $720.
RADIUS server cũng có thể bao gồm cả giá của phần cứng/phần mềm. Ví dụ Funk’s Steel-Belted RADIUS có giá trên một Network Engines là $7500. LeapPoint’s AiroPoint 3600 – SE có giá khởi điểm là $2499 cho 50 clients. Toàn bộ giá ở trên là ví dụ còn phụ thuộc nhiều vào nhà cung cấp phần mềm hay các đại lý của các hãng khác nhau.
Ngoài ra với sự lựa chọn cho mạng doanh nghiệp nhỏ không có điều kiện triển khai máy chủ RADIUS một giải pháp tốt cho doanh nghiệp là sử dụng giải pháp bảo mật từ các công ty chuyên về bảo mật hệ thống mạng Wi-Fi như WSC Guard mang đến giải pháp bảo mật cho các dịch vụ trên nền 802.1x và với giá khởi điểm là $89 cho một người dùng một năm và sẽ xuống còn $59 khi khách hàng đăng ký 1000 người dùng.
3.5 – Kết Luận
Mạng không dây có nhiều ưu điểm, nhưng đi kèm với nó là các nguy cơ bi hacker tấn công để lấy dữ liệu, phá hoại hệ thống. Vì môi trường truyền dẫn là không dây do đó việc bảo mật mạng LAN không dây là rất quan trọng. Ngày nay, do việc mạng LAN không dây trở nên phổ biến, nên nghiên cứu vấn đề bảo mật mạng LAN không dây rất được chú trọng.
Trên đây là một số kỹ thật tấn công mạng WLAN và phương pháp phòng chống. Việc phòng chống tấn công chỉ mang ý nghĩa tương đối, nó không thể chống được hoàn toàn các kiểu tấn công.
Phương pháp dùng máy chủ RADIUS để xác thực được xem là phương pháp bào mật hiệu của nhất hiện nay dựa trên chuẩn 802.1x. Tuy nhiên, chi phí cho việc lựa chọn một máy chủ dùng để xác thực người dùng cũng cần được cân nhắc cẩn thận, tránh thất thoát cho doanh nghiệp.