1. 2 Các chuẩn mạng thông dụng của WLAN
2.3. 6 Áp dụng RADIUS cho WLAN
Cơ chế hoạt động:
RADIUS xác định quyền truy cập của người dùng mạng thông qua mô hình máy khách/máy chủ. Tuy nhiên, trên thực tế, yêu cầu truy cập mạng thường được gửi từ hệ thống máy khách và người dùng hoặc điểm truy cập WiFi tới hệ thống máy chủ RADIUS để xác thực.
Máy chủ RADIUS thường là sự kết hợp của các hệ thống tạo, duy trì và quản lý thông tin nhận dạng và cung cấp các dịch vụ xác thực riêng lẻ. Do đó, khi người dùng muốn truy cập mạng được bảo vệ bởi giao thức RADIUS từ xa, họ phải cung cấp thông tin xác thực phù hợp với dữ liệu trong chức năng thư mục liên kết.
Khi người dùng muốn truy cập để cung cấp thông tin đăng nhập đầy đủ, dữ liệu sẽ được truyền từ máy khách đến máy chủ RADIUS thông qua người yêu cầu. Nếu thông tin người dùng khớp với thông tin được lưu trữ trong cơ sở dữ liệu liên kết, một thông báo xác thực sẽ được gửi trở lại máy khách RADIUS để người dùng có thể truy cập để kết nối với mạng. Ngược lại, nếu dữ liệu không khớp, thông báo từ chối sẽ được hiển thị.
- Cấu trúc giao thức: Trong một mạng Wireless sử dụng 802.1x Port Access Control, các máy trạm sử dụng wireless với vai trò Remote User và Wireless Access Point làm việc như một Network Access Server (NAS). Để thay thế cho việc kết nối đến NAS với dial-up như giao thức PPP, wireless station kết nối đến Access Point bằng việc sử dụng giao thức 802.11.
Một quá trình được thực hiện, wireless station gửi một message EAP-Start tới Access Point. Điểm truy cập sẽ yêu cầu trạm nhận ra thông tin này và chuyển nó đến máy chủ AAA và sử dụng thông tin này làm thuộc tính của tên người dùng của yêu cầu truy cập RADIUS.
Máy chủ AAA và trạm không dây hoàn thành quá trình này bằng cách truyền thông tin yêu cầu truy cập và yêu cầu truy cập RADIUS trên điểm truy cập. Được xác định ở trên là một dạng EAP. Thông tin này được truyền trong một đường hầm TLS được mã hóa (Encypted TLS Tunnel).
Nếu máy chủ AAA gửi thông báo chấp nhận quyền truy cập, điểm truy cập và trạm không dây sẽ hoàn tất kết nối và sử dụng WEP hoặc TKIP cho phiên để mã hóa dữ liệu. Cho đến lúc đó, điểm truy cập sẽ không cấm các cổng và trạm không dây gửi và nhận dữ liệu từ mạng một cách bình thường.
Cần lưu ý là mã hoá dữ liệu từ wireless station tới Access Point khác với quá trình mã hoá từ Access Point tới máy chủ AAA Server (RADIUS Server).
Nếu máy chủ AAA gửi một message Access-Reject, Access Point sẽ ngắt kết nối tới trạm. Trạm có thể cố gắng thử quá tình xác thực lại, nhưng AP sẽ cấm trạm này không gửi được các gói tin tới các điểm truy cập gần đó. Xin lưu ý rằng trạm này hoàn toàn có khả năng nghe dữ liệu do các trạm khác gửi về - thực tế thì dữ liệu được gửi qua sóng vô tuyến, đây là câu trả lời cho việc tại sao phải mã hóa dữ liệu khi gửi dữ liệu trong mạng không dây.
Attribute-Value pare bao gồm trong message của RADIUS có thể sử dụng bởi máy chủ AAA để quyết định phiên làm việc giữa Access Point và wireless station, như Sesstion-Timeout hay VLAN Tag (Tunnel-Type=VLAN, Tunnel-Private-
Group-ID=tag). Thông tin chính xác được thêm vào có thể phụ thuộc vào máy chủ AAA hoặc điểm truy cập và trạm được sử dụng.