Hấu hết các sản phẩm này chỉ đòi hỏi người sử dụng tới một trang đăng nhập có mã hoá SSL, sau đó IP và MAC của họ sẽ được cho phép đi qua gateway. Điều này sẽ có thể bị lợi dụng với một công cụ nghe lén gói tin đơn giản. Một khi địa chỉ IP và MAC của một máy tính khác đã được xác thực thì một máy tính bất kì có thể giả mạo địa chỉ IP và MAC của máy tính đó và do đó được phép đi qua gateway.
Những platform có Wi-Fi và TCP/IP stack nhưng không có trình duyệt hỗ trợ HTTPS thì không thể sử dụng nhiều loại CP. Ví dụ như máy chơi game Nintendo DS sử dụng Nintendo Wi-Fi Connection.
CHƯƠNG 3: TRIỂN KHAI CÔNG NGHỆ CHỨNG THỰC WIFI CAPTIVE PORTAL TRÊN CENTOS
1.6 Mô tả mô hình triển khai
Máy server cài hệ điều hành CentOS, trên đó cài đặt các dịch vụ FreeRadius, Chillispot, Web Server, MySQL-Server. Khi một Client kết nối đến mạng LAN thông qua Access Point, thì Client được chấp nhận truy cập vào LAN bằng cách để AcessPoint ở chế độ Open, đồng thời Client sẽ được cấp cho 1 địa chỉ IP để sử dụng từ dịch vụ Chilli. Nhưng khi Client thực hiện trình duyệt Web thì nó sẽ được chuyển đến một máy chủ Web để xác thực bằng việc nhập user và password. Thông tin nhận được sẽ được chuyển tới Chilli, tại đây một yêu cầu xác thực được gửi tới máy chủ xác thực Radius, nếu xác thực thành công client sẽ được truy cập internet với luật mà người quản trị đưa ra.
Giới thiệu Chillispot
Chillispot là một phần mềm mã nguồn mở sử dụng công nghệ Captive Portal để chứng thực người dùng truy cập mạng WLAN. Phần mềm có hỗ trợ giao diện web page login và sử dụng với một máy chủ chứng thực.
Cơ chế hoạt động: Chillispot kiểm soát eth1 sử dụng module vtun kernel để bring up tới một interface ảo tun0. Nhưng trên thực tế module vtun kernel được sử dụng để di chuyển các gói tin IP từ kernel tới user mode, chức năng chllispot có thể thực hiện không qua bất kỳ các module kernel phi tiêu chuẩn nào (non-standard). Chillispot sẽ setup một DHCP server trên interface tun0, khi Client kết nối tới mạng Wifi, client sẽ được cấp 1 IP động (mặc định dải 192.168.182.X) sinh ra từ Chilllispot. Vì IP động được cấp phát khác mạng so với mạng thực nên để Client truy cập Internet cần sử dụng cơ chế NAT trên 2 card mạng Server. Khi một client non-authenticated kết nối tới webpage (port 80 hoặc 443), yêu cầu sẽ được chấp nhận bởi chilli và bị redirect tới script perl (được gọi là hotspotlogin.cgi). Script
hotspotlogin.cgi sẽ cung cấp một web page cho end-user với trường username & password. Thông tin chứng thực này sẽ được gửi tới Radius Server.
ChilliSpot hỗ trợ 2 phương pháp xác thực:
˗ Phương pháp truy nhập phổ thông (UAM - Universal Access Method)
˗ Bảo vệ truy cập mạng không dây (WPA - Wireless Protected Access)
Với UAM, máy khách không dây được cấp một địa chỉ IP do Chilli cấp. Khi người dùng khởi động trình duyệt web, Chilli sẽ bắt kết nối TCP và gửi tới trình duyệt web xác thực của máy chủ. ChilliSpot sẽ hỏi ngƣời dùng username và password. Password được mã hóa và gửi lại cho ChilliSpot.
Với WPA, xác thực được điều khiển bởi Access Point và sau đó được chuyển từ Access Point đến ChilliSpot. Nếu như WPA được sử dụng kết nối giữa Access Point và máy khách được mã hóa. Đối với UAM và WPA, ChilliSpot chuyển yêu cầu xác thực cho máy chủ radius. Máy chủ radius gửi một thông báo chấp nhận truy cập tới Chilli nếu việc xác thực đó thành công. Nếu không thành công sự truy cập bị loại bỏ.
Áp dụng thực tế: áp dụng cho quản lý truy cập Wi-Fi cho doanh nghiệp, quán cafe, tòa nhà, khách sạn, thành phố, kinh doanh cung cấp wifi internet trên địa bàn lớn,..
Lợi ích: Mỗi người dùng sẽ có 1 account (username & password) riêng, thông tin sẽ khó bị rò rỉ.
Giới thiệu FreeRadius
Freeradius là một Server RADIUS mã nguồn mở rất mạnh mẽ. Nó hỗ trợ tất cả các giao thức xác thực phổ biến, và các máy chủ đi kèm với một công cụ quản trị người sử dụng web dựa trên PHP được gọi là dialupadmin. Nó là cơ sở cho nhiều
sản phẩm RADIUS thương mại và dịch vụ, chẳng hạn như các hệ thống nhúng, thiết bị có hỗ trợ RADIUS Network Access Control và WiMAX.
Cơ chế hoạt động: Trong mạng không dây dùng chuẩn 802.1 cổng điều khiển các máy trạm không dây với vai trò người dùng từ xa và điểm truy cập đóng vai trò như một NAS. Để thay thế cho việc kết nối đến NAS với dial-up nhờ giao thức PPP, trạm không dây kết nối đến Access Point bằng việc sử dụng giao thức 802.11.
Một quá trình thực hiện, trạm không dây gửi thông báo EAP bắt đầu đến Acess Point. Access Point sẽ yêu cầu trạm nhận dạng và chuyển các thông tin đó tới một máy chủ với thông tin là RADIUS và yêu cầu truy nhập thuộc tính tên người dùng.
Máy chủ và trạm không dây hoàn thành quá trình bằng việc chuyển các thông tin RADIUS thách thức truy nhập và yêu cầu truy nhập qua Access Point. Được quyết định phía trên là một dạng EAP, thông tin này được chuyển trong một đường được mã hoá TLS (Encypted TLS Tunnel).
Nếu máy chủ thông báo chấp nhận truy nhập, Access Point và trạm không dây sẽ hoàn thành quá trình kết nối và thực hiện phiên làm việc với việc sử dụng khóa WEB hay TKIP để mã hoá dữ liệu. Và tại điểm đó, Access Point sẽ không cấm cổng và trạm không dây có thể gửi và nhận dữ liệu từ hệ thống mạng một cách bình thường.
Mã hoá dữ liệu từ trạm không dây tới Access Point khác với quá trình mã hoá từ Access Point tới máy chủ.
Nếu máy chủ gửi một thông báo từ chối truy nhập, Access Point sẽ ngắt kết nối tới trạm. Trạm có thể cố gắng thử lại quá tình xác thực, nhưng Access Point sẽ cấm trạm này không gửi được các gói tin tới các Access Point ở gần đó. Chú ý là trạm này hoàn toàn có khả năng nghe được các dữ liệu được truyền đi từ các trạm khác. Trên thực tế dữ liệu được truyền qua sóng radio và đó là câu trả lời tại sao ta phải mã hoá dữ liệu khi truyền trong mạng không dây.
Lợi ích: Việt sử dụng RADIUS cho mạng WLAN là cần thiết bởi nếu một hệ thống mạng chúng có nhiều Access Point thì việt cấu hình để bảo mật hệ thống này là rất khó nếu quản lý riêng biệt, người dùng có thể xác thực từ nhiều Access Point khác nhau và điều đó là không bảo mật.
Khi sử dụng RADIUS cho WLAN mang lại khả năng tiện lợi rất cao, xác thực cho toàn bộ hệ thống nhiều Access Point, cung cấp các giải pháp thông minh hơn, việc sử dụng RADIUS cho mạng WLAN là rất quan