3.1.1 RADIUS là gì?
RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền và kiểm toán truy cập cho mạng. Ban đầu được phát triển cho thiết lập kết nối từ xa. Radius bâu giờ thì hỗ trợ cho máy chủ VPN, các điểm truy cập không dây, chứng thực chuyển mạch internet, truy cập DSL, và các loại truy cập mạng khác. RADIUS được mô tả trong RFC 2865, "Remote Authentication Dial-in User Service (RADIUS), (IETF Draft Standard) and RFC 2866, "RADIUS Accounting" (Informational).
3.1.2 Quá trình trao đổi gói tin trong RADIUS
• Xác thực, cấp phát và kiểm chứng
- Giao thức Remote Authenication Dial In User Server (RADIUS) được định nghĩa trong RFC 2865 như sau: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Athenication, Authorization và Accounting- AAA) cho các phiên làm việc với SLIP và PPP Dial-up như việc cung cấp xác thực của nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet.
- Nó cần thiết trong tất cả các Network Access Server (NSA) để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các thông tin tới một Athentication Server, thông thường nó là một AAA Server (AAA- Authenication, Authorization và Accounting). Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu, thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi có khả năng cung cấp cho hệ thống lớn, cung cấp giải pháp NASs
- Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access Request tới máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một port xác định, NAS identify và một message Authenticator.
- Sau khi nhận được thông tin từ máy chủ AAA sử dụng các gói tin được cung cấp như NAS identify và Authenticator thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không.Nếu có khả năng, máy chủ AAA sẽ tìm kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong cơ sở dữ liệu.Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin trong Access Request quyết định quá trình truy cập của user đó là được chấp nhận.
- Khi quá trình xác thực bắt đầu được sử dụng, máy chủ AAA có thể sẽ trả về một RADIUS Access Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến người dùng từ xa (với ví dụ này sử dụng CHAP).Khi đó người dùng sẽ phải trả lời đúng các yêu cầu xác nhận (trong ví dụ này, đưa ra lời đề nghị mã hóa password), sau đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request. - Nếu máy chủ AAA sau khi kiểm tra các thông tin người dùng hoàn toàn thỏa mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access Request. Nếu không thỏa mãn máy chủ AAA sẽ trả về một tin RADIUS Access Reject và NAS sẽ ngắt kết nối với user.
- Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được thiết lập, NAS sẽ gửi một gói tin RADIUS Accounting Request (Start) tới máy chủ AAA.Máy chủ sẽ thêm thông tin vào file Log của nó, với việc NAS sẽ cho phép phiên làm việc với user bắt đầu khi nào và kết thúc khi nào, RADIUS Accounting làm nhiệm vụ ghi lại quá trình xác thực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Accounting Request (stop)
• Sự bảo mật và tính mở rộng
Tất cả các message của RADIUS đều được đóng gói bởi UDP datagrams, nó bao gồm các thông tin như: message type, sequence number, length, Authenticator, và
Authenticator: tác dụng của Authenticator là cung cấp một chế độ bảo mật. NAS và AAA Server sử dụng Authenticator để hiểu đuợc các thông tin đã đươcj mã hoá của nhau như mật khẩu chẳng hạn. Authenticator cũng giúp NAS phát hiện sự giả mạo của gói tin RADIUS Responses. Cuối cùng, Authenticator được sử dụng làm cho để biễn password thành một dạng nào đó, ngăn chặn việc làm lộ mật khẩu của người dùng trong các message RADIUS.
Authenticator gửi Access-Request trong một số ngẫu nhiên. MD5 sẽ băm (hash) số ngẫu nhien đó thành một dạng riêng là OR’ed cho mật khẩu của ngwoif dùng và gửi trong Access-Request User-Password. Toàn bộ RADIUS response sau đó được MD5 băm (hash) với cùng thông số bảo mật của Authenticator, và các thông số response khác.
Authenticator giúp cho quá trình giao tiếp giữa NAS và máy chủ AAA được bảo mật nhưng nếu kẻ tấn công tóm được cả hai gói tin RADIUS Access-Request và Access-Response thì có thể thực hiện "dictionary attack" để phân tích việc đóng gói này. Trong điều kiện thực tế để việc giải mã khó khăn bạn cần phải sử dụng những thông số dài hơn, toàn bộ vấn đề có khả năng nguy hại cho quá trình truyền tải này được miêu tả rất kỹ trong RFC 3580
Attribute-Value Pairs: Thông tin được mang bởi RADIUS đuợc miêu tả trong một dạng Attribute-Value, để hỗ trợ cho nhiều công nghệ khác nhau, và nhiều phương thức xác thực khác nhau. Một chuẩn được định nghĩa trong
Attribute-Value pairs (cặp đôi), bao gồm User-Nam, User-Password, NAS-
IPAddress, NAS-Port, Service-Type. Các nhà sản xuất (vendors) cũng có thể định nghĩa Attribute-Value pairs để mang các thông tin của mình như Vendor-Specific toàn bộ ví dụ này được miêu tả trong RFC 2548 - Định nghĩ Microsoft Attribute- Value pair trong MS-CHAP.
Thêm vào đó, rất nhiều chuẩn Attribute-Value pairs được định nghĩa trong nhiều năm để hỗ trợ Extensible Authentication Protocol (EAP), một dạng khác cũ hơn của nó là PAP và CHAP dial-up protocol. Bạn có thể tìm thấy trong tài liệu RFC 3579
cho phiên bản mới nhất của RADIUS hỗ trợ EAP. Trong phần này sẽ nói rất rõ về hỗ trợ xác thực cho WLAN, từ khi chuẩn EAP được sử dụng cho 802.1X Port Access Control để cho phép xác thực từ bên ngoài cho wireles
• .Áp dụng RADIUS cho WLAN
Trong một mạng WLAN sử dụng 802.11x port access control, các máy trạm sử dụng Wireless đóng vai trò Remote Access và Wireless Access Point làm việc như một NAS-Network Access Server. Để thay thế việc kết nối đến NAS với dial-up như giao thức PPP, Wireless station kết nối đến AP bằng việc sử dụng giao thức 802.11
Một quá trình được thực hiện , wireless station gửi một EAP-Start tơi AP. AP sẽ yêu cầu station nhận dạng và chuyển thông tin đó tới một AAA server với thông tin là RADIUS Access-request Usename attribute.
AAA server và Wireless Station hoàn thành bằng việc chuyển các thông tin RADIUS Access-challenge và Access-request qua AP. Được quyết định bởi phía trên là một dạng EAP, thông tin này được chuyển trong một đường hầm được mã hóa TLS (Encypted TLS Tunnel).
Nếu AAA server gửi một message Access-accept, AP và Wireless station sẽ hoàn thành quá trình kết nối và hoàn thành phiên làm việc với việc sử dụng WEP hay TKIP để mã hóa dữ liệu. Và tại điểm đó, AP sẽ không cấm cổng và wireless station có thể gửi và nhận dữ liệu từ hệ thống mạng một cách bình thường.
Cần chú ý là quá trình mã hóa dữ liệu giữa wireless station và AP khác quá trình mã hóa từ AP đến AAA server.
Nếu AAA server gửi một message Access-reject, AP sẽ ngắt kết nối đến wireless station. Wireless station có thể cố gắng thử lại quá trình xác thực, nhưng AP cấm wireless station này không được gửi các gói UDP đến các AP gần đó. Chú ý là station này hoàn toàn có thể lắng nghe các dữ liệu được truyền đi từ các station
khác. Trên thực tế dữ liệu được truyền qua song radio và đó là lí do tại sao bạn phải mã hóa dữ liệu khi truyền trên mạng không dây.
Attribute-value pare bao gồm tròn các message của RADIUS có thể sử dụng AAA server để quyết định phiên làm việc giữa AP và wireless station, như session- timeout hay VLAN tag (Tunnel-Type=VLAN, Tunnel-Private-Group-ID=TAG). Chính xác thông tin thêm vào có thể phụ thuộc vào AAA server hay AP và wireless station mà bạn đang sử dụng.
• Các tùy chọn bổ sung
Một vấn đề đầu tiên bạn phải hiểu vai trò của RADIUS trong quá trình xác thực của WLAN, bạn cần thiết lập một AAA server hỗ trợ interaction. (adsbygoogle = window.adsbygoogle || []).push({});
Nếu một AAA server gọi là RADIUS, nó sẵn sang để hỗ trợ xác thực cho chuẩn 802.11x và cho phép lựa chọn các dạng EAP. Nếu đã có bạn chuyển đến bước tiếp theo là làm thế nào để thiết lập tính năng này.
Nếu bạn có một RADIUS hỗ trợ 802.11x, hoặc không hỗ trợ dạng EAP, bạn có thể lựa chọn bằng cách cập nhật các phiên bản phần mềm mới hơn cho server, hay bạn có thể cài đặt một máy chủ mới. Nếu bạn cài một server mới có hỗ trợ xác thực cho chuẩn 802.11x, bạn có thể sử dụng tính năng RADIUS proxy để thiết lập một chuỗi các máy chủ, cùng chia sẽ một cơ sở dữ liệu tập trung, RADIUS proxy có thể sử dụng để chuyển các yêu cầu xác thực đến các máy chủ có khả năng xác thực chuẩn 802.11x
Nếu bạn không có máy chủ RADIUS, bạn cần thiết phải cài đặt một máy chủ cho quá trình xác thực WLAN, lựa chọn cài đặt này là một công việc thú vị.
Với cơ sở trung tâm –Giải pháp sử dụng RADIUS cho mạng WLAN là rất quan trọng bởi nếu một hệ thống mạng của bạn có nhiều AP thì việc cấu hình bảo mật hệ thống này rất khó để quản lí riêng biệt, người dùng có thể xác thực từ nhiều AP khác nhau và điều đó là không thực sự bảo mật
Khi sử dụng RADIUS cho WLAN mang lại khả năng tiện lợi rất cao, xác thực cho toàn bộ hệ thống nhiều AP,…cung cấp các giải pháp thông minh hơn
3.2 Yêu cầu kỹ thuật
- Sử dụng phần mềm Packet Tracer để thiết kế và mô phỏng hệ thống mạng WLAN. Hệ thống mạng WLAN gồm có:
+ Cấu hình 1 Radius Server làm máy chủ, tạo uer và passwword cho các client đự tính tham gia vào mạng.
+ Trên AP-Linksys thiết đặt security mode là WPA2 – Enterprise. + Cho PC có gắn card wireless tham gia vào mạng, kiểm tra kết nối.
3.3 Mô hình tổng quan
Hình 3- : Mô hình tổng quan.
- Một máy chủ làm nhiệm vụ là Domain Controller, DNS, cũng như là RADIUS Server.
- Một Access Point (TP-Link) dùng để phát wifi.
- Một Laptop dùng làm client tham gia vào mạng.
3.4 Quy trình cài đặt và triển khai
3.4 1 Đặt IP tĩnh cho RADIUS Server và Linksys
Đặt IP cho Radius Server
Hình 3- : Đặt IP cho Radius Server
Đặt IP cổng LAN cho Linksys thông qua giao diện GUI. IP mặc định là 192.168.0.1. Ta điền DNS 8.8.8.8 để Linksys cấp phát DHCP cho Client.
Hình 3- : Đặt IP cho Linksys
3.4.2 Cấu hình xác thực giữa Linksys và RADIUS Server
Vào RADIUS Server, chọn tab Config, chọn mục AAA sẽ thấy phần cấu hình cho RADIUS. Các thông số sẽ được Setup như hình dưới.
Hình 3- : Cấu hình RADIUS Server
Cấu hình Wireless cơ bản, tên mạng (SSID) là TK8NE tắt tính năng quảng bá SSID
Hình 3- : Cấu hình Wireless
Cấu hình bảo mật cho Wireless, chọn Mode ở dạng Enterprise (doanh nghiệp) sẽ thấy mục dành cho RADIUS. Nhập IP của RADIUS Server, chọn key để xác thực với RADIUS Server là myhome. Encryption thì chọn TKIP.
Hình 3- : Cấu hình bảo mật cho Wireless
3.4.3 Cài đặt Laptop
Vào tab desktop, chọn PC Wireless, chọn Profiles sẽ thấy đang có sẵn 1 Profile tên là Default. Ta sửa thông tin trong Default cũng được, không thì tạo Profile mới. Chọn edit để sửa.
Hình 3- : Đặt tên cho mạng SSID (adsbygoogle = window.adsbygoogle || []).push({});
Chọn Advance Setup, sau đó nhập tên mạng là TK8NE
Mặc định laptop xin DHCP, ấn Next đi tiếp. Ở phần security, chọn WPA2 Enterprise (giống như trên Linksys).
Hình 3- : Chọn chế độ bảo mật cho mạng Wireless trên Laptop
Nhập Username: u1 và pass: myhome đã tạo trên Radius Server.
Hình 3- : Nhập username và pass trên laptop
Quay lại Profile, xem lại các thông số đã đặt cho mạng TK8NE và ấn Connect để Laptop tham gia vào mạng.
Để thành công trên Laptop đang cấu hình vào tab Config, chọn mục Wireless. Tại mục Encryption chọn Tkip là xong.
Kết quả là thiết lập thành công mô phỏng 1 mạng WLAN:
Hình 3- : Mô phỏng mạng WLAN
3.4.4 Kiểm tra hệ thống
Đã hoàn thành việc cấu hình Radius Server và Linksys, từ máy Client tiến hành kết nối vào mạng wireless “TK8NE”, . Kết quả là:
Hình 3- : Ping IP từ Client tới Server thành công.
CHƯƠNG 4: KẾT LUẬN 4.1 Kết quả đạt được của đề tài
Sau thời gian nghiên cứu và phát triển đề tài đồ án tốt nghiệp, em đã hoàn thành cơ bản các mục tiêu ban đầu đề ra của đề tài:
- Phát biểu được tổng quan hệ thống mạng không dây, chuẩn mạng không dây,
cấu trúc cơ bản của mạng 802.11, các phương thức tấn công mạng không dây.
- Nêu được các giải pháp bảo mật mạng không dây, đánh giá ưu nhược điểm
các giải pháp bảo mật mạng không dây.
- Xây dựng triển khai bảo mật mạng không dây với chứng thực RADIUS
Server bằng phần mềm Packet tracer
4.2 Hạn chế của đề tài
- Các giải pháp bảo mật, kỹ thuật bảo mật cho mạng không dây còn hạn chế.
- Chưa giải quyết được vấn đề làm tăng hiệu năng mạng không dây.
- Sản phẩm chưa được lắp đặt và triển khai thực tế.
4.3 Hướng phát triển của đề tài
- Ứng dụng công nghệ mạng riêng ảo trong hệ thống mạng không dây, tăng
khả năng bảo mật trong hệ thống.
- Tìm hiểu, triển khai mô hình bảo mật, tăng hiệu năng hoạt động trong mạng
không dây. (adsbygoogle = window.adsbygoogle || []).push({});
TÀI LIỆU THAM KHẢO
[1] Joel Scambray - Stuart McClure - George Kurtz, Network Security Secrets
& Solution.
[2] Bộ môn Mạng máy tính & Truyền thông, Bảo mật máy tính và mạng. Hưng
Yên, Việt Nam: Khoa Công Nghệ Thông Tin- Đại học sư phạm kỹ thuật Hưng Yên, 2011.
[3] S. S.Miller, WI-Fi Security, McGrow-Hill, 2005.
[4] V. K. Quý, Thiết Kế Mạng Doanh Nghiệp.Hưng Yên, Việt Nam: Bộ môn
Mạng máy tính & Truyền thông-Khoa CNTT-Trường Đại Học Sư Phạm Kỹ Thuật Hưng Yên, 2008.
[5] Professionals, Hacking Wireless Networks Modul 15, McGrow-Hill, 2008.
[6] Trường Đại học kinh tế - Tài chính Tp. Hồ Chí Minh, CCNA Semester 1.