Hình 2–15: Mô hình xác thực giữa WLAN và RADIUS Server
Việc bảo mật WLAN sử dụng chuẩn 802.11x kết hợp với người dùng trên Access Point (AP), máy chủ thực hiện trên nền tảnh RADIUS là một giải pháp tốt nhất cho chuẩn 802.11x.
RADIUS (Remote Authentication Dial In User Service) là một giao thức sử dụng cho phép xác thực tập trung và kiểm soát truy cập mạng, ban đầu được phát triển để thiết lập kết nối từ xa, còn bây giờ RADIUS hỗ trợ cho máy chủ VPN, các điểm truy cập không dây, chứng thực chuyển mạng Internet, truy cập mạng.
Nguyên lý RADIUS Server:
- Việc chứng thực của 802.1x được thực hiện trên một server riêng, server này
sẽ quản lý các thông tin để xác thực người sử dụng như tên đăng nhập (username), mật khẩu (password), mã số thẻ,… Khi người dùng gửi yêu cầu
tới chứng thực, server này sẽ tra cứu dữ liệu để xem người này có hợp lệ không, được cấp quyền truy cập tới mức nào.
- Máy chủ cung cấp dịch vụ chứng thực người dùng từ xa thông qua phương
thức quay số. Phương thức quay số xuất hiện từ ban đầu với mục đích là thực hiện qua đường điện thoại, ngày nay không chỉ thực hiện quay số mà còn có thể thực hiện trên những đường truyền khác nhau.
Hình 2–16: Nguyên lý hoạt động của Radius Server
Tính chất của RADIUS Server:
- Nếu như yêu cầu gửi tới máy chủ xác nhận quyền sơ cấp (Primary
Authentication Server) thất bại, thì yêu cầu này phải được gửi tới máy chủ sơ cấp (Secondary server). Để thực hiện, một bản sao yêu cầu phải được lưu trên lớp transport cho phép việc truyền luân phiên, có nghĩa là phải có times cho việc truyền lại.
- Trạng thái tự do của Radius đơn giản hóa việc sử dụng UDP. Các Client và Server có thể đăng ký hay ra khỏi mạng. Hệ thống bị khởi động lại vì một lý do nào đó như: nguồn điện bị mất,… các sự kiện này sẽ không gây nguy hiểm nếu như có những Timeout tốt và xác định được các cầu nối TCP đã bị đứt. Tuy nhiên, UDP hoàn toàn bỏ qua các sự cố đặc biệt này, các client và server có thể một chuyển vận dữ liệu UDP ngay lập tức và tự nó truyền đi trên mạng với các sự kiện có thể có.
- UDP đơn giản hóa việc thực hiên Server chế độ đa luồng (multi-thread) với
UDP. Nhưng quá trình xử lý độc lập sẽ được sinh ra trên Server tương ứng với mỗi yêu cầu và những quá trình này sẽ trả lời trực tiếp với các NAS khách hàng bằng gói UDP tới lớp truyền dẫn chính của Client.
Có hai loại giao thức RADIUS mô tả về:
- Giao thức RADIUS 1: Xác nhận quyền (Authentication), phân quyền thông
tin cấu hình giữa máy chủ truy cập (NAS- Network Access Server) mà có yêu cầu xác nhận, máy chủ xác nhận quyền dùng chung.
- Giao thức RADIUS 2: Thông tin tài khoản giữa máy chủ NAS và máy chủ
quản lý tài khoản dùng chung.
Giao thức RADIUS được định nghĩa trong RFC 2865 như sau: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập cho các phiên làm việc PPP Dial-up. Giao thức cần thiết trong tất cả các NAS để làm việc với danh sách các username, password cho việc cấp phép truy cập, RADIUS Access-Request sẽ chuyển các thông tin tới một Authentication Server, thông qua nó là AAA Server (Authentication, Authoriztion và Accounting).
Trong một mạng WLAN sử dụng chuẩn 802.11x các máy trạm sử dụng đóng vai trò Remote Access và Wireless Access Point làm việc như một NAS. Để thay thế kết nối đến NAS với Dial-up như giao thức PPP. Wireless station kết nối đến AP bằng việc sử dụng giao thức 802.11.
- Wireless Station gửi một thông điệp EAP- Start tới AP, AP sẽ yêu cầu station nhận dạng và chuyển thông tin đó tới một máy chủ AAA Server với thông tin là Radius Access-Request Username attribute.
- AAA server và Wireless Station hoàn thành việc chuyển thông tin Radius
Access- challenge và Access – request qua AP, thông tin này được chuyển trong một đường hầm mã hóa TLS (Encypted TLS Tunnel).
- Nếu AAA server gửi một thông điệp Access-accept, AP và Wireless station
sẽ hoàn thành quá trình kết nối và hoàn thành phiên làm việc với sử dụng WEP hay TKIP để mã hóa dữ liệu. Và trong thời điểm đó, AP không cấm cổng và wireless station có thể gửi và nhận dữ liệu từ hệ thống mạng bình thường.
- AAA Server gửi thông điệp Access-reject, AP sẽ ngắt kết nối đến wireless
station. Wireless Station có thể cố gắng kết nối lại quá trình xác thực nhưng AP cấm Wireless station này không được các gói tin UDP đến các AP gần đó. Station này có khả năng lắng nghe được các dữ liệu được truyền đi từ các station khác, trên thực tế dữ liệu được truyền trên sóng Radio và đó là lý do bạn phải mã hóa dữ liệu trước khi truyền đi trong mạng.
- Attribute-value pare bao gồm trong các thông điệp của Radius có thể dùng
AAA Server để quyết định phiên làm việc giữa AP và wireless station như session-timeout. Chính xác thông tin thêm vào có thể phụ thuộc vào AAA server hay AP và wireless station.
Để nâng cao tính bảo mật, RADIUS Server sẽ tạo ra các khóa dùng chung khác nhau cho các máy khác nhau trong các phiên làm việc (session) khác nhau, thậm chí là có cơ chế thay đổi mã khóa thường xuyên. Khái niệm mã khóa dùng chung lúc này không phải là để chỉ việc dùng chung của máy tính Client mà để chỉ việc dùng chung giữa các Client và AP.
Chứng thực mở rộng EAP:
Đảm bảo an toàn trong quá trình bảo mật thông tin chứng thực Client và AP không bị đánh cắp và lấy trộm thông tin, người ta đưa ra EAP (Extensible Authentication Protocol) giao thức chứng thực mở rộng trên nền tảng của 802.1x.
Giao thức chứng thực mở rộng EAP là giao thức hỗ trợ, đảm bảo an ninh mạng trong khi trao đổi các bản tin chứng thực giữa các bên bằng phương thức mã hóa chứng thực. EAP có thể hỗ trợ và kết hợp với nhiều phương thức chứng thực khác nhau.