4.1. Giới thiệu ChilliSpot
ChilliSpot là một phần mềm sử dụng công nghệ Captive Portal mã nguồn mở
dùng để điều khiển truy nhập mạng LAN không dây. Phần mềm được sử dụng để xác thực người dùng của một mạng LAN không dây. Có hỗ trợ đăng nhập qua web, xác thực, cấp quyền và thống kê được điều khiển thông qua máy chủ radius.
ChilliSpot có bản dịch cho các phiên bản: Redhat, Fedora, Debian, Mandrake và OpenWRT.
4.1.1. Phương pháp xác thực của ChilliSpot
ChilliSpot hỗ trợ 2 phương pháp xác thực:
o Phương pháp truy nhập phổ thông (UAM - Universal Access Method) o Bảo vệ truy cập mạng không dây (WPA - Wireless Protected Access)
Với UAM, máy khách không dây được cấp một địa chỉ IP do Chilli cấp. Khi người dùng khởi động trình duyệt web, Chilli sẽ bắt kết nối TCP và gửi tới trình duyệt web xác thực của máy chủ. ChilliSpot sẽ hỏi người dùng username và password. Password được mã hóa và gửi lại cho ChilliSpot.
Với WPA, xác thực được điều khiển bởi Access Point và sau đó được chuyển từ
Access Point đến ChilliSpot. Nếu như WPA được sử dụng kết nối giữa Access Point và máy khách được mã hóa.
Đối với UAM và WPA, ChilliSpot chuyển yêu cầu xác thực cho máy chủ
radius. Máy chủ radius gửi một thông báo chấp nhận truy cập tới Chilli nếu việc xác thực đó thành công. Cách khác là sự truy nhập bị loại bỏđược gửi sau.
4.1.2. Một số giao diện của ChilliSpot
ChilliSpot có 3 giao diện chính:
o Một giao diện liên kết xuống dưới để chấp nhận kết nối từ khách hàng.
o Một giao diện radius để xác thực khách hàng.
o Một giao diện mạng liên kết lên trên để chuyển tiếp lưu lượng cho những mạng khác.
Xác thực máy khách được thực hiện bởi máy chủ radius ngoài. Cho UAM CHAP-Challenge và CHAP-Password như chỉ rõ RFC 2865 được sử dụng. Cho WPA thuộc tính EAP- Thông báo radius được định nghĩa trong RFC 2869 được sử dụng. Thông báo các thuộc tính được mô tả trong RFC 2548 được sử dụng để chuyển các khóa mã hóa từ máy chủ radius tới ChilliSpot. Ngoài ra, giao diện radius còn hỗ trợ
thống kê.
Giao diện liên kết xuống dưới chấp nhận DHCP và yêu cầu ARP từ máy khách. Máy khách có thể trong 2 trạng thái: Không được xác thực và được xác thực. Trong trạng thái không được xác thực, mạng yêu cầu máy khách được gửi một lần nữa tới web server xác thực.
Trong một ứng dụng không đựợc xác thực điển hình, máy khách sẽ được chuyển tiếp tới web server và nhập lại tên và mật khẩu. Web server chuyển tiếp người dùng tới Chilli có nghĩa là gửi một lần nữa trình duyệt web tới Chilli. Một yêu cầu xác thực chuyển tiếp tới máy chủ radius. Nếu xác thực thành công trạng thái của máy khách được thay đổi thành được xác thực. Phương pháp xác thực này chính là phương pháp truy nhập phổ thông (UAM).
Giống một trong những khả năng tới UAM mà các Access Point có thể được
định hình để xác thực khách hàng bởi việc sử dụng bảo vệ truy nhập không dây (WPA). Trong quyền xác thực trường hợp này được chuyển từ Access Point tới Chilli bởi việc sử dụng giao thức radius. Yêu cầu radius nhận được là sựủy quyền bởi Chilli và chuyển tiếp tới máy chủ radius.
Giao diện liên kết lên trên được thực hiện bởi việc sử dụng bộ điều khiển TUN/TAP. Khi Chilli khởi động một giao diện TUN được thiết lập và để tùy chọn cấu hình ngoài tập lệnh được gọi.
4.1.3. Yêu cầu để xây dựng một HotSpot
Để xây dựng một HotSpot cần những thành phần sau đây:
o Đường kết nối Internet.
o Wireless LAN access point
o Phần mềm ChilliSpot
o Máy chủ RADIUS
4.1.4. Kiến trúc mạng khi xây dựng (adsbygoogle = window.adsbygoogle || []).push({});
Một kiến trúc mạng tiêu biểu như hình dưới đây:
Máy khách không dây có thể thiết lập kết nối không dây tới Access Point nhưng trước hết nó phải xác thực với Chilli.
Theo cấu trúc có 3 kiểu mạng khác nhau:
o Mạng ngoài: tiêu biểu là Internet hoặc Intranet. Sự truy nhập từ mạng ngoài
được Chilli bảo vệ và chỉ cho phép lưu lượng từ máy khách đã được xác thực đi qua.
o Mạng trong: mạng bên trong đang nối Access Point với ChilliSpot. Được sử
dụng để chuyển tiếp cho Ethernet các khung giữa Chilli và máy khách cũng như
cho lưu lượng quản lý IP tới và từ những Access Point.
o Mạng không dây: máy khách được kết nối tới mạng không dây và những Access Point phục vụ nhu cầu nối giữa mạng trong và mạng không dây. Cho phép chuyển tiếp tới Ethernet các khung giữa Chilli và máy khách không dây.
Chilli phụ thuộc vào một số máy chủ ngoài:
o Máy chủ DNS: khi truy nhập mạng ngoài, máy khách dựa trên một hay nhiều những máy chủ DNS để giải quyết tên miền đến những địa chỉ IP. Máy khách có được thông tin của máy chủ DNS và địa chỉ IP nhờ vào Chilli. Trước khi bắt
đầu cài đặt ChilliSpot bạn phải xác định địa chỉ IP của ít nhất một máy chủ
DNS mà có thể sử dụng mạng không dây. Nếu bạn không chỉ rõ máy chủ DNS Chillli sẽ sử dụng máy chủ DNS mà được chỉđịnh bởi hệđiều hành.
o Máy chủ UAM: khi một người đăng nhập, khi đó được gửi một lần nữa tới trang chủ xác thực và yêu cầu người dùng cho biết tên và mật khẩu. Nếu một máy chủ UAM không có sẵn thì có thể cài đặt một máy chủ Chilli.
o Máy chủ radius: quyền người dùng được lưu trữ trong một hay một số máy chủ radius. Bất cứ nơi nào máy khách kết nối tới mạng, Chilli sẽ liên hệ với máy chủ radius để xác nhận quyền người dùng. Nếu máy chủ radius riệng biệt không có sẵn thì có thể cài đặt trên máy chủ Chilli.
Nói chung, Access Point cần phải định cấu hình với sự xác thực mở và không có sự mã hóa nào. Sự xác thực được điều khiển bởi Chilli. Để an toàn hơn Access Point cần phải định cấu hình cho sự bảo vệ truy nhập không dây.
4.2. Mô tả
4.2.1. Máy chủ Web xác thực
Một máy chủ web xác thực là cần thiết để xác nhận những người dùng sử dụng phương pháp truy nhập phổ thông. Cho sự bảo vệ truy nhập mạng không dây máy chủ
web là không cần thiết.
Giao diện truyền thông tới máy chủ web thực hiện sử dụng giao thức HTTP. Không có “call backs ” nào từ máy chủ web đến Chilli là cần thiết để xác nhận máy khách. Điều này có nghĩa là HotSpot có thể được đặt đằng sau một cổng vào NAT (Network Address Translation - Hệ thống dịch địa chỉ IP), proxy hoặc firewall trong khi máy chủ web được định vị trên Internet công cộng.
Chúng ta cung cấp một nguyên bản CGI (Common Gateway Interface – Hệ
giao tiếp cổng vào chung) cho máy chủ web của bạn và sẽ hỏi người dùng tên và mật khẩu. Người dùng đưa thông tin này vào, mật khẩu được mã hóa sau đó được gửi tới Chilli và chuyển tiếp yêu cầu cho máy chủ radius. Bạn cần phải sử dụng giao thức SSL / TLS trên máy chủ web của bạn để bảo vệ tên và mật khẩu.
4.2.2. RADIUS a. Máy chủ radius a. Máy chủ radius
Chúng ta không cung cấp bất kì phần mềm máy chủ radius nào. Cho những dự
án nhỏ, chúng ta giới thiệu sử dụng máy chủ radius mã nguồn mở như: FreeRADIUS, Cistron hoặc OpenRADIUS.