Chương 4 : CÀI ĐẶT VÀ THỬ NGHIỆM PHẦN MỀM CHILLISPOT
4.1. Giới thiệu ChilliSpot
ChilliSpot là một phần mềm sử dụng công nghệ Captive Portal mã nguồn mở dùng để điều khiển truy nhập mạng LAN không dây. Phần mềm được sử dụng để xác thực người dùng của một mạng LAN khơng dây. Có hỗ trợ đăng nhập qua web, xác thực, cấp quyền và thống kê được điều khiển thơng qua máy chủ radius.
ChilliSpot có bản dịch cho các phiên bản: Redhat, Fedora, Debian, Mandrake và OpenWRT.
4.1.1. Phương pháp xác thực của ChilliSpot
ChilliSpot hỗ trợ 2 phương pháp xác thực:
o Phương pháp truy nhập phổ thông (UAM - Universal Access Method) o Bảo vệ truy cập mạng không dây (WPA - Wireless Protected Access)
Với UAM, máy khách không dây được cấp một địa chỉ IP do Chilli cấp. Khi người dùng khởi động trình duyệt web, Chilli sẽ bắt kết nối TCP và gửi tới trình duyệt web xác thực của máy chủ. ChilliSpot sẽ hỏi người dùng username và password. Password được mã hóa và gửi lại cho ChilliSpot.
Với WPA, xác thực được điều khiển bởi Access Point và sau đó được chuyển từ Access Point đến ChilliSpot. Nếu như WPA được sử dụng kết nối giữa Access Point và máy khách được mã hóa.
Đối với UAM và WPA, ChilliSpot chuyển yêu cầu xác thực cho máy chủ radius. Máy chủ radius gửi một thông báo chấp nhận truy cập tới Chilli nếu việc xác thực đó thành cơng. Cách khác là sự truy nhập bị loại bỏ được gửi sau.
4.1.2. Một số giao diện của ChilliSpot
ChilliSpot có 3 giao diện chính:
o Một giao diện liên kết xuống dưới để chấp nhận kết nối từ khách hàng.
o Một giao diện radius để xác thực khách hàng.
o Một giao diện mạng liên kết lên trên để chuyển tiếp lưu lượng cho những mạng khác.
Xác thực máy khách được thực hiện bởi máy chủ radius ngoài. Cho UAM CHAP-Challenge và CHAP-Password như chỉ rõ RFC 2865 được sử dụng. Cho WPA thuộc tính EAP- Thông báo radius được định nghĩa trong RFC 2869 được sử dụng. Thơng báo các thuộc tính được mơ tả trong RFC 2548 được sử dụng để chuyển các khóa mã hóa từ máy chủ radius tới ChilliSpot. Ngồi ra, giao diện radius còn hỗ trợ thống kê.
Giao diện liên kết xuống dưới chấp nhận DHCP và yêu cầu ARP từ máy khách. Máy khách có thể trong 2 trạng thái: Khơng được xác thực và được xác thực. Trong trạng thái không được xác thực, mạng yêu cầu máy khách được gửi một lần nữa tới web server xác thực.
Trong một ứng dụng không đựợc xác thực điển hình, máy khách sẽ được chuyển tiếp tới web server và nhập lại tên và mật khẩu. Web server chuyển tiếp người dùng tới Chilli có nghĩa là gửi một lần nữa trình duyệt web tới Chilli. Một yêu cầu xác thực chuyển tiếp tới máy chủ radius. Nếu xác thực thành công trạng thái của máy khách được thay đổi thành được xác thực. Phương pháp xác thực này chính là phương pháp truy nhập phổ thơng (UAM).
Giống một trong những khả năng tới UAM mà các Access Point có thể được định hình để xác thực khách hàng bởi việc sử dụng bảo vệ truy nhập không dây (WPA). Trong quyền xác thực trường hợp này được chuyển từ Access Point tới Chilli bởi việc sử dụng giao thức radius. Yêu cầu radius nhận được là sự ủy quyền bởi Chilli và chuyển tiếp tới máy chủ radius.
Giao diện liên kết lên trên được thực hiện bởi việc sử dụng bộ điều khiển TUN/TAP. Khi Chilli khởi động một giao diện TUN được thiết lập và để tùy chọn cấu hình ngồi tập lệnh được gọi.
4.1.3. Yêu cầu để xây dựng một HotSpot
Để xây dựng một HotSpot cần những thành phần sau đây:
o Đường kết nối Internet.
o Wireless LAN access point
o Phần mềm ChilliSpot
o Máy chủ RADIUS
4.1.4. Kiến trúc mạng khi xây dựng
Một kiến trúc mạng tiêu biểu như hình dưới đây:
Máy khách khơng dây có thể thiết lập kết nối khơng dây tới Access Point nhưng trước hết nó phải xác thực với Chilli.
Theo cấu trúc có 3 kiểu mạng khác nhau:
o Mạng ngoài: tiêu biểu là Internet hoặc Intranet. Sự truy nhập từ mạng ngoài
được Chilli bảo vệ và chỉ cho phép lưu lượng từ máy khách đã được xác thực đi qua.
o Mạng trong: mạng bên trong đang nối Access Point với ChilliSpot. Được sử
dụng để chuyển tiếp cho Ethernet các khung giữa Chilli và máy khách cũng như cho lưu lượng quản lý IP tới và từ những Access Point.
o Mạng không dây: máy khách được kết nối tới mạng không dây và những
Access Point phục vụ nhu cầu nối giữa mạng trong và mạng không dây. Cho phép chuyển tiếp tới Ethernet các khung giữa Chilli và máy khách không dây.
Chilli phụ thuộc vào một số máy chủ ngoài:
o Máy chủ DNS: khi truy nhập mạng ngoài, máy khách dựa trên một hay nhiều
những máy chủ DNS để giải quyết tên miền đến những địa chỉ IP. Máy khách có được thơng tin của máy chủ DNS và địa chỉ IP nhờ vào Chilli. Trước khi bắt đầu cài đặt ChilliSpot bạn phải xác định địa chỉ IP của ít nhất một máy chủ DNS mà có thể sử dụng mạng không dây. Nếu bạn không chỉ rõ máy chủ DNS Chillli sẽ sử dụng máy chủ DNS mà được chỉ định bởi hệ điều hành.
o Máy chủ UAM: khi một người đăng nhập, khi đó được gửi một lần nữa tới
trang chủ xác thực và yêu cầu người dùng cho biết tên và mật khẩu. Nếu một máy chủ UAM khơng có sẵn thì có thể cài đặt một máy chủ Chilli.
o Máy chủ radius: quyền người dùng được lưu trữ trong một hay một số máy
chủ radius. Bất cứ nơi nào máy khách kết nối tới mạng, Chilli sẽ liên hệ với máy chủ radius để xác nhận quyền người dùng. Nếu máy chủ radius riệng biệt khơng có sẵn thì có thể cài đặt trên máy chủ Chilli.
Nói chung, Access Point cần phải định cấu hình với sự xác thực mở và khơng có sự mã hóa nào. Sự xác thực được điều khiển bởi Chilli. Để an toàn hơn Access Point cần phải định cấu hình cho sự bảo vệ truy nhập không dây.