Các phiên bản của ChilliSpot

Một phần của tài liệu Tài liệu Báo cáo tốt nghiệp Vấn đề an ninh an toàn mạng máy tính và các giải pháp xác thực người dùng pptx (Trang 64 - 74)

b. Những thuộc tính RADIUS

4.7. Các phiên bản của ChilliSpot

Ởđây chúng ta chỉ nói về những điều mới trong các phiên bản này

4.7.1. ChilliSpot 1.1

Là một phiên bản mới và phát triển nhất hiện nay. Tùy chọn cấu hình mới:

o Tùy chọn Radiusnasip: Cho phép đặc tả địa chỉ IP được sử dụng cho thuộc tính NAS-IP-Address. Việc này được xác định trước bởi tùy chọn radiuslisten, cái mà vẫn được sử dụng nếu tùy chọn radiusnasip không

o Tùy chọn Radiuscalled: Cho phép đặc tả của tên được sử dụng cho thuộc tính Called-Station-ID. Việc này được xác định trước bởi địa chỉ MAC của giao diện không dây, nó vẫn được sử dụng nếu tùy chọn radiuscalled không được định rõ. Nhờ có David Bird.

o Tùy chọn Confusername và confpassword: Khi các tùy chọn này được

đưa ra ChilliSpot sẽ truy vấn máy chủ radius đều đặn. Các thuộc tính

được trả lại bởi máy chủ radius sẽ ghi đè những tùy chọn aumallowed, macallowed và interval.

o Tùy chọn Conup và condown: Những lựa chọn này cho phép các tập lệnh chạy khi người dùng xác thực và ngừng kết nối. Các lệnh được thực thi với một nhóm các tham số: devicename, ip address, mask, user ip address user mac address và filter ID. Một nhóm các biến môi trường

được cung cấp khá tốt.

4.7.2. ChilliSpot 1.0

Tùy chọn Macallowed và uanallowed có thể nhân lên gấp nhiều lần theo lý thuyết. Giờđây ChilliSpot chấp nhận nhiều dòng macallowed hoặc uamallowed trong file cấu hình hay nhân lên nhiều lần trong dòng lệnh. Trước đây, danh sách địa chỉ

MAC hoặc các tên miền bị giới hạn trong một dòng đơn, giới hạn trong 255 ký tự. Nhờ có David Bird cho lần thực hành đầu tiên và Lorenzo Bettini nâng cấp hoàn thiện Gengetopt để hỗ trợ nhiều dòng.

Cải thiện sự định vị IP sau khi khởi động lại cho MAC xác thực người dùng. Người dùng mà được xác thực trên địa chỉ MAC cơ bản sẽ ngay lập tức xác thực liên tục sau khi ChilliSpot khởi động lại.

Hơn nữa, bản quyền câu lệnh và sự tín nhiệm được bao gồm trong chương trình.

4.7.3. ChilliSpot 1.0 RC3

Cải thiện sựđịnh vị IP sau khi khởi động lại ChilliSpot sẽ định vị đúng địa chỉ

IP ngay lập tức sau khi khởi động lại. Trước đây, máy khách không dây đã đưa ra một yêu cầu DHCP mới nhằm đăng nhập lại sau khi khởi động.

Cải thiện tính tương thích Skype. Trước đây không xác thực người dùng Skype gây ra việc sử dụng CPU quá mức. Hiện nay, việc này đã được giảm bớt đi đến mức có thể chấp nhận được.

Phân tách tốt hơn tùy chọn --uamserver và --uamhomepage. Có thể định rõ số

cổng như một phần của URL cho tùy chọn --uamserver và --uamhomepage. Cùng lúc cổng hạn chế bị gỡ bỏ bởi vậy máy khách không dây có lớp IP chính thức, truy cập tới

địa chỉ IP của tùy chọn --uamserver và --uamhomepage.. Nhờ có Drew S.Dupont. Daemon sẽ ghi lỗi đầu ra. Trong khi chạy như daemon ChilliSpot sẽ viết đầu ra gỡ rối tới stdout.

Sửa chữa lỗi memcpy trên tùy chọn --uamallowed. Lỗi- nguyên nhân bởi một phần của tùy chọn --uamallowed bị sao chép. Nhờ có Jerome Heulot.

Cải thiện thử lại radius không cần thiết. Trước đây ChilliSpot buộc phải luân phiên giữa máy chủ radius1 và máy chủ radius2 trên những lần thử lại. Giờđây nó sẽ

thử lại 3 lần trên cùng máy chủ radius trước khi chuyển đổi tới phần khác.

Ngoài ra, một tùy chọn --radiussporttype mới được thêm vào, định rõ thuộc tính NAS-Port-Type radius sử dụng.

4.7.4. ChilliSpot 1.0 RC2

Những lỗi khi chạy như daemon. Lỗi được đưa ra trong 1.0 RC1 là do một số

vấn đề khi chạy trong nền sau. Nó ảnh hưởng tới Session-Timeout, tính toán tạm thời và sóng mang mất không kết nối tốt như các tính năng khác.

ChilliSpot-Max-Total-Octets. Thuộc tính này làm việc như mong đợi.

4.7.5. ChilliSpot 1.0 RC1

Các thuộc tính giới hạn bộđĩa

ChilliSpot hỗ trợ 3 thuộc tính giới hạn bộđĩa:

ChilliSpot-Max-Iput-Octets. Một số lượng cực đại các octets (bộ tám) người dùng được phép truyền. Sau khi giới hạn này đạt được, người dùng sẽ ngừng kết nối.

ChilliSpot-Max-Output-Octets. Một số lượng cực đại các octets (bộ tám) người dùng được phép nhận. Sau khi giới hạn này đạt được, người dùng sẽ ngừng kết nối.

ChilliSpot-Max-Total-Octets. Một số lượng cực đại các octets (bộ tám) người dùng được phép chuyển giao( tổng số octets truyền và nhận). Sau khi giới hạn này đạt

được, người dùng sẽ ngừng kết nối.

Để sử dụng được thuộc tính mới này một từ điển radius phải được sao chép sang máy chủ radius. Tệp từđiển được tìm thấy trong doc/dictionary.chillispot.

Hơn nữa bộđếm byte ChilliSpot đã thay đổi bởi vậy chúng không đếm các gói tin mà bị thả bởi ChilliSpot như phần của khuôn lưu lượng. Nhờ có Philipp Kobel <philipp.kobel@lin.at> và Haralld Jenny harald@lin.at hỗ trợ làm việc trong các thuộc tính giới hạn bộđĩa.

Đọc lại File cấu hình

Khi gửi một tín hiệu HUP, ChilliSpot daemon sẽ đọc lại file cấu hình và thực hiện tra cứu tên miền. File cấu hình có thể được đọc lại mà không cần kết nối hoạt

động người dùng. Hơn nữa một tùy chọn --interval mới sẽ là nguyên nhân file cấu hình phải đọc lại đều đặn.

EAPOL địa phương

ChilliSpot có một tùy chọn --eapolable mới cho phép ChilliSpot thực hiện xác thực EAPOL. Với sự lựa chọn này, ChilliSpot làm việc như một bộ xác thực EAPOL. Hiện nay, ChilliSpot không thiết lập các khóa mã hóa bởi vậy WAP không hỗ trợ

EAPOL địa phương.

4.7.6. ChilliSpot 0.99

Tuân theo WISPr Appendix D

ChilliSpot tuân theo WISPr Appendix D chỉ rõ việc giao tiếp giữa máy khách và HotSpot. Điều này có nghĩa là người dùng mà có cài đặt máy khách có thể đăng nhập vào ChilliSpot mà không cần trình duyệt web.

Nhờ có Stefan Lengacher đưa ra đặc tính này và đặc biệt là WERoam đã bảo trợ Appendix D.

Radius hỗ trợ ngưng kết nối

ChilliSpot hỗ trợ RFC 3567 Radius –ngưng kết nối thông điệp.

RFC 3567 cho phép một quản trị viên gửi một thông điệp Radius-Disconnect tới NAS trên cổng UDP 3799. Thông điệp nên ở dạng tối thiểu bao gồm thưộc tính User-name. Đã có lần NAS nhận thông điệp này nó sẽ không kết nối người dùng và gửi lại một tin báo nhận. Ngoài ra một thông điệp ngừng giải thích sẽđược gửi tới máy chủ radius.

Để sử dụng đặc tính này bạn nên chạy ChilliSpot như sau:

Căn cứ trên bản ghi giải thích bạn kiểm tra mà người dùng đựợc đăng nhập hiện thời. Để log off người dùng cần sử dụng chương trình radclient cung cấp radius miễn phí:

echo "User-Name = user" | radclient 10.0.0.219:3799 40 secret123 Received response ID 219, code 41, length = 20

Một mã trả lời là 41 chỉ ra rằng việc không kết nối là tốt, 42 nghĩa là người dùng không thể kết nối.

Địa chỉ MAC kiểu RFC 3585

ChilliSpot định dạng các đỉa chỉ MAC như chỉ rõ trong RFC 3585. Những ứng dụng này cho đến thuộc tính Called- Station-ID, Calling-Station-ID radius chẳng khác gì một vài vị trí khác nơi địa chỉ MAC được định dạng như dạng văn bản.

Địa chỉ MAC được chuyển tiếp tới máy chủ UAM

Địa chỉ MAC của người dùng được hướng tới máy chủ UAM. Xác thực MAC giới hạn tới địa chỉ MAC cụ thể.

Với xác thực MAC có thể giới hạn yêu cầu xác thực địa chỉ MAC cụ thể. Tùy chọn mới này đươc sử dụng như sau:

--macallowed 000A5EACBE51,00301B3C32E9

Cái mà chỉ ra rằng xác thực MAC sẽ chỉ được sử dụng cho địa chỉ MAC 000A5EACBE51 và 00301B3C32E9. Tất cả các khách hàng khác sẽ sử dụng đăng nhập cơ bản web.

Initial FreeBSD port- Ký tắt vào cổng FreeBSD

ChilliSpot biên dịch và chạy dưới FreeBSD. Kiểm tra dưới FreeBSD5.3.

Cốđịnh lỗi

Giới hạn dải thông trên sự xác thực MAC. ChilliSpot giới hạn dải thông phù hợp khi sử dụng xác thực MAC.

Cấp cho địa chỉ IP tốt hơn. Sau khi khởi động lại ChilliSpot cố gắng cấp cho máy khách cùng một địa chỉ IP như chỉđịnh trước khi khởi động lại.

4.7.7. ChilliSpot 0.98

ChilliSpot 0.98 là một bản bảo trì bao gồm sửa chữa lỗi cho các lỗi được phát hiện ra từ phiên bản cuối cùng.

Ngưng kết nối Session-Time và những bản ghi kế toán: Một lỗi gây ra cho ChilliSpot ngừng gửi bản ghi giải thích cho một số người dùng và không logout người dùng khi thuộc tính Session-Timeout được sử dụng. Lỗi có thể xuất hiện khi logon/logoff. Lỗi được cốđinh trong 0.98.

IP tĩnh: IP tĩnh với xác thực MAC không làm việc cho một vài cấu hình. Điều này được cốđịnh trong 0.98.

4.7.8. ChilliSpot 0.97

Radius Hosting miễn phí

ChilliSpot Radius Hosting sẵn có bây giờ. Dịch vụ là một giới hạn về mặt chức năng của dịch vụ thương mại HotRadius và có thể được sử dụng cho home hostspots và cho việc kiểm tra của ChilliSpot. Máy chủ miễn phí sử dụng không lợi nhuận. Kiểm tra tại http://radius.chillispot.org. Hỗ trợ sự nâng cấp ChilliSpot bằng cách sử dụng HotRadius cho thương mại hotspot của bạn.

Cải thiện hotspotlogin.cgi

Tính tương thích IE XP SP2: ChilliSpot pop-ups tương thích với Internet Explorer Windows XP SP2.

Chuyển hướng tới trang chủ: Sau khi đăng nhập thành công người dùng hiện thời có thể mặc định chuyển hướng tới trình duyệt của mình định cấu hình trang chủ. Nếu sử dụng WISPr-Redirection-URL trong radius chấp nhận gói người dùng sẽ

chuyển hướng tới URL này để thay thế.

Máy đếm trực truyến: Cửa sổ ChilliSpot pop-up hiển thị tổng số lần trực tuyến. Nếu thuộc tính timeout được sử dụng thì time left sẽ thay thế.

Sự thay đổi API: Giao diện giữa ChilliSpot daemon và web server đã thay đổi. Giao diện này ngắt một cách đáng tiếc tính tương thích với người dùng qua tập lệnh riêng. Nhưng giao diện đó khá ổn định trong một khoảng thời gian.

Từ khóa Logout: Nếu pop-up bị mất, người dùng có thể logout trở lại trang bằng cách đánh “exit” trên thanh vị trí.

Thuộc tính Radius

ChilliSpot khi đó hỗ trợ Acct-Input-Gigawords và Acct-Output-Gigawords. Cách sử dụng của Acct-Input-Octets và Acct-Output-Octers đã đảo ngược lại bởi vậy chúng tuân theo RFC 2866.

4.7.9. ChilliSpot 0.96

Các lựa chọn cấu hình mới

Uamhomepage: Ngược hướng người dùng không xác thực được người dùng với URL. URL có thể hiển thị thông tin về hostspot và cả đường link tới

http://192.168.182.1:3990/prelogin cho phép người dùng đăng nhập.

Uamanydns: Cho phép người dùng không xác thực để sử dụng bất cứ máy chủ

DNS nào. Việc này cần cho người dùng mà phải định cấu hình cố định cho máy chủ

DNS. Vì lý do an toàn, lựa chọn này nên kết hợp với đích NAT đến máy chủ DNS hostspot.

Macauth: Cho phép MAC xác thực. Khi lựa chọn này đã cho, ChilliSpot đầu tiên cố gắng xác thực cơ bản địa chỉ MAC. Nếu không thành công, xác thực UAM bình thường sẽ xảy ra. Nhờ có Gavin đã đề xuất tính năng này.

Macpassword: password sử dụng cho xác thực MAC.

Macsuffix: Hậu tốđược thêm vào địa chỉ MAC để tạo thành dạng User-name. Nếu bỏ sót địa chỉ MAC sẽđược sử dụng như User-name.

Statip: Đia chỉ IP và netmask sử dụng cho vị trí địa chỉ IP tĩnh. Khi lựa chọn này được chọn ChilliSpot sử dụng thuộc tính Framed-IP-Address radius cho địa chỉ IP.

Đặc tính này chỉ làm việc cho xác thực MAC và WPA.

Xem lại mã nguồn, sửa lỗi và thêm vào bản ghi

Sự hạn chế trong phiên bản 0.95: Giới hạn số lượng máy khách được gỡ bỏ và việc mã hóa được tối ưu cho hostspot rộng.

Việc truy nhập bổ xung được giới thiệu. Nhờ có Vladimir Vuksan.

4.7.10. ChilliSpot 0.95

Duyệt qua một số trang web mà không có xác thực

Lựa chon cấu hình “uamallowed” mới được bao gồm trong sự giải thoát này. Nó cho phép người dùng kết nối với một danh sách đặc biệt các tên miền, địa chỉ IP hay phân đoạn mạng mà không có xác thực lần đầu. Lựa chọn mới này có thể sử dụng cho nhiều mục đích.

Người dùng có thể kết nối tới cổng thanh toán thẻđể trả cho hệ thống dịch vụ

Cho phép người dùng lựa chọn nội dung miễn phí chẳng hạn như cộng đồng hay thông tin liên quan đến hostspot mà không cần xác thực.

Cho phép người dùng chung sử dụng Hostspot chung để kết nối tới máy chủ

VPN mà không cần xác thức với ChilliSpot .

Cải tiến makefiles

Sự thay đổi makefiles và một vài mã nguồn được sửa đổi để cải tiến khả năng cài đặt trên Gentoo.

Thông tin được chuyển đổi sang tập lệnh perl cgi

Nhiều thông tin được chuyển đổi sang tập lệnh perl cgi . Lúc xác thực thành công, tập lệnh perl cho thông tin thêm sau:

o User-name: Username được gửi trở lại cho tập lệnh cgi như một tham số

“uid” cgi.

o Session –timeout: trên cơ sở Session-Timeout thuộc tính radius thời gian còn lại cho việc kết nối được gửi trở lại như một tham số “timeleft” cgi. Nó cho phép người phát triển tập lệnh cgi tính đến bộ đếm cơ bản javascript cái mà hiển thị time left trước khi việc kết nối được hoàn thành.

o URL gốc: URL mà người dùng bình thường yêu cầu được gửi trở lại tập lệnh cgi như tham số “userurl” cgi. Việc này cho phép người phát triển tập lệnh cgi gửi một lần nữa người dùng tớI URL sau khi họ xác thực. Chú ý rằng tham số “userurl” cgi được thiết lập tới URL đầu tiên, khách hàng cố gắng kết nối tới. Một số trình duyệt nối tới URLs cùng lúc. Nó có kết quả trong vấn

đề tương thích trình duyệt bất ngờ.

Cấu hình của giao diện mạng

ChilliSpot được đưa ra giao diện mạng nếu nó không được cấu hình.

4.7.11. ChilliSpot 0.94

o Cổng OpenWRT đầu tiên.

o Tính tương thích cố định lỗi đối với Yahoo cho bạn sửa đổi trình duyệt web.

o Các lựa chọn cấu hình radiusauthport và radiusacctport mới tương thích với máy chủ radius sử dụng cổng phi chuẩn.

4.7.12. ChilliSpot 0.93

o Hồi âm thông điệp Radius được bổ sung đầy đủ.

o Quản lý lỗi tốt hơn khi chilli.conf hay web server định cấu hình.

o Tắt máy tốt. Khi chilli log off người dùng gửi thông điệp ngừng tính toán radius và sau đó giải phóng tài nguyên.

4.7.13. ChilliSpot 0.92

o Radius Session-Time, Idle-Timeout cũng như thuộc tính WISPr.

o Cốđịnh lỗi: người dùng thậm chí sẽ log out khi ấn “Logout”

4.7.14. ChilliSpot 0.91

o Radius tạm thời tính toán.

o Hoàn thiện tập lệnh cgi với cửa sổ popup logout.

o Gỡ bỏ cảnh báo proxy khi không sử dụng WPA.

4.7.15. ChilliSpot 0.90

KẾT LUẬN

Kết qu đạt được

Nghiên cứu và tìm hiểu các giải pháp xác thực phổ biến là giải pháp sử dụng mật khẩu, giải pháp dùng thẻ thông minh và giải pháp sử dụng các yếu tố sinh trắc học. Đối với mỗi giải pháp nêu trên, luận văn đều phải đưa ra được mô tả, các ưu

điểm, nhược điểm và mức độ khả thi ứng dụng một cách đầy đủ và chính xác.

So sánh được ưu, nhược điểm giữa các giải pháp để áp dụng vào thực tế. Từđó

đưa ra được các giải pháp kết hợp để tăng tính an toàn và độ tin cậy của giải pháp.

Đểđưa ra giải pháp mới phải tìm hiểu và nghiên cứu về mạng không dây.

Đưa ra giải pháp xác thực sử dụng công nghệ mới đó là xác thực người dùng bằng công nghệ Captive Portal. Giải pháp này phải được mô tả kỹ lưỡng về mặt lý thuyết, rút ra những hạn chế và triển khai vào thực tế.

Phần mềm đã thực hiện được các chức năng chính của hệ thống.

Thu thập được thông tin đưa vào chạy thử chương trình và đã hoàn thiện chương trình.

Hướng phát trin ca đề tài

Trong thời gian tới em sẽ thực hiện thêm các chức năng còn thiếu sót của chương trình:

Tăng cường tính bảo mật, an toàn cho chương trình.

Cải tiến các thuật toán tốt hơn, bắt lỗi và hoàn thiện thêm các chức năng khác. Do thực hiện đề tài trong một khoảng thời gian ngắn và cộng thêm sự thiếu kinh

Một phần của tài liệu Tài liệu Báo cáo tốt nghiệp Vấn đề an ninh an toàn mạng máy tính và các giải pháp xác thực người dùng pptx (Trang 64 - 74)

Tải bản đầy đủ (PDF)

(74 trang)