Chương 3 : XÁC THỰC NGƯỜI DÙNG TRONG MẠNG KHÔNG DÂY
3.2 Chuẩn xác thực
3.2.2.6 Dạng khung và cách đánh địachỉ của EAPOL
a) Dạng khung
Dạng cơ bản của một khung EAPOL được đưa ra ở hình dưới đây:
Hình 3.7. Cấu trúc cơ bản của khung EAPOL
Bao gồm các trường sau:
- MAC header: gồm có địa chỉ đích và địa chỉ nguồn MAC - Ethernet Type: gồm có 2 byte để đánh địa chỉ mã là 88 – 8e. - Version: cho biết số thứ tự của phiên bản.
- Packet Type: EAPOL là một sự mở rộng của EAP. Bảng sau chỉ ra một số loại bản tin và miêu tả về chúng:
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
- Packet Body Length: chiều dài là 2 byte. Nó được thiết lập là 0 khi khơng có packet body nào tồn tại.
- Packet Body: trường này có chiều dài thay đổi được, có trong tất cả các dạng khung EAPOL trừ bản tin EAPOL - Start và EAPOL - Logoff.
b) Đánh địa chỉ
Trong môi trường chia sẻ mạng LAN như là Ethernet, Supplicants gửi các bản tin EAPOL tới nhóm địa chỉ 01:C2:00:00:03. Trong mạng 802.11, các cổng là không tồn tại, và EAPOL có thể tiếp tục được chỉ sau khi quá trình liên kết cho phép cả hai bên là Supplicant ( STA không dây di động ) và authenticator ( AP ) để trao đổi địa chỉ MAC. Trong môi trường như là 802.11, EAPOL yêu cầu dùng địa chỉ STA.
3.2.2.7 Một ví dụ về trao đổi thơng tin trong chứng thực EAP
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Các bước trao đổi theo thứ tự như sau:
1. Supplicant gửi bản tin EAPOL - Start tới Authenticator.
2. Authenticator ( chuyển mạch mạng ) gửi lại một khung EAP - Request / Identity tới Supplicant.
3. Supplicant trả lời bằng một khung EAP - Reponse / Identity. Sau đó Authenticator gửi đến RADIUS server một bản tin Radius - Access - Request. 4. RADIUS server trả lời bằng một bản tin Radius - Access - Challenge. Sau đó Authenticator gửi đến Supplicant một bản tin EAP - Request cho sự chứng thực hợp lệ chứa bất kỳ thông tin liên quan.
5. Supplicant tập hợp các thông tin trả lời từ người dùng và gửi một EAP (Reponse tới Authenticator). Tại đây thông tin xử lý thành bản tin Radius Access Request và được gửi tới RADIUS.
6. RADIUS server gửi một bản tin Radius Access Accept cho phép truy cập. Vì vậy, Authenticator gửi một khung EAP Success tới Supplicant. Khi đó cổng được mở và người dùng có thể bắt đầu truy cập vào mạng.
7. Khi Supplicant hoàn tất việc truy cập mạng, nó gửi một bản tin EAPOL - Logoff để đóng cổng.
Tóm lại về ngun lý 3 bên thì cũng giống như nguyên lý 3 bên chứng thực đã đề cập ở phần giới thiệu RADIUS server, chỉ có điều khác là các hoạt động trao đổi bản tin qua lại đều thông qua EAP để đảm bảo an ninh. Từ các cơ sở lý thuyết nêu trên đã được các nhà sản suất thiết bị đưa vào ứng dụng để xây dựng nên các hệ thống mạng khơng dây có độ an tồn và bảo mật dữ liệu cao, đáp ứng được nhu cầu phát triển mạnh mẽ của công nghệ mạng không dây. Trên thực tế các hệ thống mạng không dây phát triển rất nhiều trong các doanh nghiệp, các văn phòng hay các trường đại học.
3.3 Xác thực người dùng áp dụng RADIUS server
Trong một mạng không dây sử dụng 802.1x Port Access Control, các máy trạm sử dụng wireless với vai trò Remote User và Wireless Access Point làm việc như một Network Access Server (NAS). Để thay thế cho việc kết nối đến NAS với
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
dial-up như giao thức PPP, wireless station kết nối đến Access Point bằng việc sử dụng giao thức 802.11.
Một quá trình được thực hiện, wireless station gửi một message EAP-Start tới Access Point. Access Point sẽ yêu cầu station nhận dạng và chuyển các thông tin đó tới một AAA Server với thông tin là RADIUS Access-Request User-Name attribute.
Máy chủ AAA và wireless station hồn thành q trình bằng việc chuyển các thông tin RADIUS Access-Challenge và Access-Request qua Access Point. Được quyết định bởi phía trên là một dạng EAP, thông tin này được chuyển trong một đường hầm được mã hoá TLS (Encypted TLS Tunnel).
Nếu máy chủ AAA gửi một message Access-Accept, Access Point và wireless station sẽ hồn thành q trình kết nối và thực hiện phiên làm việc với việc sử dụng WEP hay TKIP để mã hố dữ liệu. Và tại điểm đó, Access Point sẽ khơng cấm cổng và wireless station có thể gửi và nhận dữ liệu từ hệ thống mạng một cách bình thường.
Cần lưu ý là mã hoá dữ liệu từ wireless station tới Access Point khác với q trình mã hố từ Access Point tới máy chủ AAA Server (RADIUS Server).
Nếu máy chủ AAA gửi một message Access-Reject, Access Point sẽ ngắt kết nối tới station. Station có thể cố gắng thử lại quá tình xác thực, nhưng Access Point sẽ cấm station này khơng gửi được các gói tin tới các Access Point ở gần đó. Chú ý là station này hồn tồn có khả năng nghe được các dữ liệu được truyền đi từ các stations khác – Trên thực tế dữ liệu được truyền qua sóng radio và đó là câu trả lời tại sao bạn phải mã hoá dữ liệu khi truyền trong mạng không dây.
Attribute-Value pare bao gồm trong message của RADIUS có thể sử dụng bởi máy chủ AAA để quyết định phiên làm việc giữa Access Point và wireless station, như Sesstion-Timeout hay VLAN Tag (Tunnel-Type=VLAN, Tunnel- Private-Group-ID=tag). Chính xác các thơng tin thêm vào có thể phụ thuộc vào máy chủ AAA Server hay Access Point và station bạn sử dụng.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
3.4 Kết luận chương
Trong chương này đã trình bày giải pháp an ninh là xác thực người dùng. Đây là một trong những biện pháp bảo mật hệ thống khá phổ biến. Hệ thống quản lý xác thực người dùng bởi máy chủ xác thực. Người dùng muốn sử dụng dịch vụ hay tài nguyên của hệ thống phải được cấp user, pass. Như vậy sẽ tránh được những truy cập bất hợp pháp.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Chương 4. THỬ NGHIỆM 4.1 Giới thiệu chương. 4.1 Giới thiệu chương.
Thơng qua mơ hình mơ phỏng một mạng WiMax đơn giản để hình dung một cách trực quan, cụ thể hơn về mơ hình triển khai của một mạng sử dụng công nghệ này. Từ đó xây dựng mơ hình giải pháp an ninh mạng. Nội dung chương gồm 3 phần chính :
- Mơ tả hệ thống - Qui trình cài đặt - Kịch bản thử nghiệm
4.2 Mô tả hệ thống
Trong chương này sẽ mô phỏng thử nghiệm “Giải pháp truy nhập an tồn cho mạng khơng dây WiMax”.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Với mơ hình hệ thống WiMax, WiMax bổ sung cho Wi-Fi bằng cách mở rộng phạm vi của Wi-Fi và mang lại những thực tế của người sử dụng "kiểu Wi-Fi" trên một quy mô địa lý rộng hơn. Công nghệ Wi-Fi được thiết kế và tối ưu cho các mạng nội bộ (LAN), trong khi WiMax được thiết kế và tối ưu cho các mạng đô thị (MAN).
Để thử nghiệm cho “Giải pháp truy nhập an tồn cho mạng khơng dây
WiMax” là bài toán xác thực người dùng sử dụng Radius Server. Radius Server
chứng thực có điểm chung giữa cơng nghệ WiMax và Wi-Fi là chuẩn 802.1x. Mặc dù chứng thực WiMax và Wi-Fi có điểm riêng nhưng do điều kiện khó khăn về thiết bị nên bài tốn thực nghiệm tơi sẽ triển khai là bài tốn mơ phỏng: “ xác thực người dùng sử dụng Radius Server trong mạng khơng dây Wi-Fi” như hình 4.2.
Hình 4.2. Mơ hình chứng thực Wireless Clients, AP và RADIUS Server.
Mạng khơng dây bản thân nó là khơng bảo mật, tuy nhiên đối với mạng có dây nếu bạn khơng có một sự phịng ngừa hay cấu hình bảo vệ thì nó cũng khơng bảo mật. Điểm mấu chốt để tạo ra một mạng không dây bảo mật là phải triển khai các phương pháp bảo mật thiết yếu để giúp cho hệ thống mạng của mình được an tồn hơn nhằm ngăn chặn những truy cập mạng trái phép mà mình khơng mong
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
muốn. Khi đó client muốn truy cập vào mạng thì phải đăng nhập đúng username và
password hợp lệ. Quá trình xác thực này được điều khiển bởi RADIUS server. Mơ tả u cầu bài tốn:
Cấu hình RADIUS server trên Window Server 2003, tạo user và password cho các client dự định tham gia vào mạng.
Trên AP TP-Link, thiết đặt security mode là Radius.
Cho PC tham gia vào mạng, kiểm tra kết nối.
Phân tích gói tin
Thiết bị u cầu: 1 Access point TP-Link, 2 pc (1 pc có gắn card wireless và 1 pc
làm Radius server).
PC làm Radius server sử dụng hệ điều hành Windows Server 2003 Enterprise Edition và đã được nâng lên Domain Controller, PC làm wireless client sử dụng hệ điều hành Windows XP Professional và đã được join domain.
4.3 Qui trình cài đặt (xem chi tiết phần Phụ lục) 4.4 Kịch bản thử nghiệm 4.4 Kịch bản thử nghiệm
4.4.1 Mô tả kịch bản thử nghiệm
1. Client gửi gói tin EAP-Start đến Access Point (AP). 2. AP yêu cầu Client nhận dạng.
3. AP chuyển đến RADIUS server với thông tin RADIUS Access – Request User- Name attribute.
4. RADIUS server và Client hồn thành q trình bằng việc chuyển các thông tin RADIUS Access – Challenge và Access – Request qua AP.
5. RADIUS server kiểm tra User-Name attribute:
- Trường hợp 1 (Client khơng được cấp user, pass): Nếu RADIUS server gửi gói tin Acces-Reject, AP ngắt kết nối đến Client. AP cấm Client khơng gửi được gói tin đến AP ở gần.
- Trường hợp 2(Client được cấp user, pass): Nếu RADIUS server gửi gói tin Acces- Accept, AP và Client hồn thành kết nối. AP khơng cấm cổng và Client có thể gửi nhận dữ liệu qua hệ thống mạng.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
4.4.2 Mơ tả kịch bản thử nghiệm qua phân tích gói tin xác thực
Sử dụng phần mềm Wireshark để phân tích gói tin xác thực giữa Client – Access Point –Radius server.
Hình 4.3 Giao diện phần mềm Wireshark. Kiểm tra kết nối Client -Access Point –Radius server
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
1. Client gửi gói tin EAP-Start đến Access Point (AP).(gói tin 25)
2. AP yêu cầu Client nhận dạng.
Gói tin thứ 26: AP yêu cầu Client nhận dạng. Gói tin thứ 38: AP và Client nhận dạng thành công.
3. AP chuyển đến RADIUS server với thông tin RADIUS Access – Request User- Name attribute.
4. RADIUS server và Client hồn thành q trình bằng việc chuyển các thơng tin RADIUS Access – Challenge và Access – Request qua AP.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Bắt đầu từ gói tin thứ 201 Radius server nhận được thông tin tài khoản của Client bằng việc chuyển các gói tin Access-Chanllenge và Access-Request qua AP.
5. RADIUS server kiểm tra User-Name attribute.
- Trường hợp 1: RADIUS server gửi gói tin Acces-Reject, AP ngắt kết nối đến Client. AP cấm Client khơng gửi được gói tin đến AP ở gần.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Gói tin thứ 94: Radius server gửi gói tin Access-Reject cho AP. Khi đó, AP ngắt
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
- Trường hợp 2: RADIUS server gửi gói tin Acces-Accept, AP và Client hồn thành kết nối. AP khơng cấm cổng và Client có thể gửi nhận dữ liệu qua hệ thống mạng.
Gói tin thứ 215: Radius server gửi gói tin Access-Accept cho AP chấp nhận cho
AP và Client hoàn thành quá trình kết nối và thực hiện phiên làm việc. Và tại thời điểm đó, AP sẽ cho phép Client có thể gửi và nhận dữ liệu từ hệ thống mạng.
4.5 Kết luận chương
Với mơ hình mơ phỏng thực nghiệm đã mơ tả được phần nào cách thức triển khai giải pháp an ninh trong mạng không dây. Qua kịch bản thử nghiệm đã mô phỏng cho 2 khả năng có thể xảy ra khi người dùng muốn truy nhập vào mạng khơng dây. Từ đó, ta có thể lựa chọn giải pháp này kết hợp thiết bị an ninh để xây dựng hệ thống mạng khơng dây an tồn.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
KẾT LUẬN
Vấn đề bảo mật cho hệ thống mạng không dây ln là một vấn đề hết sức khó khăn và được đặt ở vị trí rất quan trọng trong hầu hết các bản thiết kế mạng, tuy nhiên, để có thể có được một giải pháp hồn hảo cho mọi tình huống là một điều gần như rất khó. Chính vì vậy, khi thiết kế hệ thống mạng, chúng ta phải dựa trên cơ sở, yêu cầu thực tế của hệ thống, cân nhắc giữa các lợi hại của các phương pháp để đưa ra các chính sách bảo mật hợp lý nhất.
Với mong muốn giúp các nhà quản trị mạng có thể xây dựng các giải pháp bảo mật tốt hơn cho hệ thống mạng không dây, trong sự phát triển mạnh mẽ của công nghệ không dây hiện nay và trong tương lai, đề tài “Giải pháp truy nhập an
tồn cho mạng khơng dây WiMax” với việc thử nghiệm xác thực người dùng khi
truy cập mạng sử dụng RADIUS server giúp người quản trị kiểm soát truy nhập tránh được những truy nhập bất hợp pháp.
Hướng phát triển tiếp theo
WiMax là một công nghệ mới hứa hẹn khả năng phát triển tại Việt Nam. Với đặc điểm riêng của mình, khi đưa thiết bị vào mạng Việt Nam cần có những lựa chọn phù hợp với các điều kiện cụ thể. Hướng phát triển tiếp theo là nghiên cứu sâu hơn về các giải pháp điều khiển trong WiMax. Vấn đề bảo mật và vấn đề điều chế trong WiMax cũng sẽ được nghiên cứu sâu hơn nhằm đưa ra những yêu cầu cụ thể phù hợp với mạng lưới Việt Nam. Cuối cùng, tôi mong muốn được mang những kiến thức đã thu được để tham gia vào triển khai các hệ thống WiMax tại Việt Nam.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
TÀI LIỆU THAM KHẢO
Tiếng Việt
[1]. Đỗ Ngọc Anh, (07/06/2006), biên dịch “WiMax di động: Tổng quan kỹ thuật – đánh giá hoạt động”, http://www.tapchibcvt.gov.vn/
[2]. Nguyễn Quốc Khương, Nguyễn Văn Đức, Nguyễn Trung Kiên, Nguyễn Thu Hà, vc (13/03/2006),“WiMax – Công nghệ truy nhập mạng không dây băng rộng”, http://www.tapchibcvt.gov.vn/
Tiếng Anh
[3]. Brage Rønning Tukkensæter Master of Science in Communication Technology Submission date: June 2009
[4]. Designing a wireless Network, Global Knowledge [5]. IEEE Standards 802.16a – 2003
[6]. IEEE Standards 802.16 REVd - 2004
[7]. IEEE 802.11, 2003. Working Group Web Site: www.ieee802.org/11/ [8]. Masters thesis: Techno – Economic analysis of IEEE 802.16a – Based Fixed wireless access network, Timo Smura, 07/2004.
[9]. Masters thesis: Denial of service vulnerrabilities in IEEE 802.16 wireless network, Derrick D.Boom, 10/2004.
[10]. Masters thesis: Link Adaptation Algorithm and Metric for IEEE Standard 802.16, Shyamal Ramachandran, 02/2004.
[11]. WIMAX FORUM, 2002. An Introduction to the World Interoperability for Microwave Access (WiMax) Forum.
http://www.wimaxforum.org/news/downloads.asp. [12]. WIMAX FORUM, 2003. WiMaxOverview. http://www.wimaxforum.org/news/downloads.asp
Trang web
[13]. http://www.vnpt.com.vn/ [14]. http://ieee.org/
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
PHỤ LỤC Bước 1: Cài DHCP
Vào Control panel Add/remove program Add/remove Windows
components Networking Services Chọn Dynamic Host Configuration Protocol (DHCP) Chọn OK
Bước 2: Cài Enterprise CA
Control panel Add/remove program Add/remove Windows
components Certificate services Chọn Certificate Services CA và Chọn Certificate Services Web Enrollment Support Chọn OK (Trong q trình cài đặt nhớ chọn ln IIS để dùng Web Enrollment Wizard). Trong các wizard tiếp theo ta chọn “Enterprise root CA” và đặt tên cho CA này là “wifi”, DC=linhvu,DC=com.
Hình 1.1 Enterprise CA.
Bước 3: Cài Radius