Bảo mật WLAN bằng RADIUS Server và WPA2 MỞ ĐẦU Công nghệ không dây là một phương pháp chuyển giao từ điểm này đến điểm khác sử dụng sóng vô tuyến. Mạng không dây ngày nay bắt nguồn từ nhiều giai đoạn phát triển của thông tin vô tuyến, những ứng dụng điện báo và radio. Mặc dầu một vài phát minh xuất hiện từ những năm 1800, nhưng sự phát triển nổi bật đạt được vào kỷ nguyên của công nghệ điện tử và chịu ảnh hưởng lớn của nền kinh tế học hiện đại, cũng như các khám phá trong lĩnh vực vật lý. Cho đến nay, mạng không dây đã đạt được những bước phát triển đáng kể. Tại một số nước có nền công nghệ thông tin phát triển, mạng không dây thực sự đi vào cuộc sống. Chỉ cần một laptop, PDA hoặc một phương tiện truy nhập mạng không dây bất kỳ, chúng ta có thể truy nhập vào mạng ở bất cứ nơi đâu, trên cơ quan, trong nhà, ngoài đường, trong quán cafe, trên máy bay v.v, bất cứ nơi đâu nằm trong phạm vi phủ sóng của WLAN. Tuy nhiên chính sự hỗ trợ truy nhập công cộng, các phương tiện truy nhập lại đa dạng, đơn giản, cũng như phức tạp, kích cỡ cũng có nhiều loại, đã đem lại sự đau đầu cho các nhà quản trị trong vấn đề bảo mật. Làm thế nào để tích hợp được các biện pháp bảo mật vào các phương tiện truy nhập, mà vẫn đảm bảo những tiện ích như nhỏ gọn, giá thành, hoặc vẫn đảm bảo hỗ trợ truy cập công cộng v.v. Cũng chính vì lý do này mà tôi đã chọn đề tài “Bảo mật WLAN bằng RADIUS Server và WPA2” cho khóa luận của mình. Trong phạm vi khóa luận tôi sẽ trình bày một cái nhìn tổng quan về WLAN, lịch sử phát triển, chuẩn thực hiện, một số đặc tính kỹ thuật, các khuyến cáo về bảo mật, các phương pháp bảo mật vốn có và các giải pháp được đề nghị. Trong suốt thời gian thực hiện khóa luận tốt nghiệp, tôi đã nhận được sự giúp đỡ, chỉ bảo tận tình của thầy cô khoa CNTT, trường Đại học Duy Tân. Vậy cho phép tôi được bày tỏ lòng biết ơn sâu sắc tới sự giúp đỡ đó. Đặt biệt tôi xin chân thành cảm ơn thầy Nhuyễn Gia Như – Trưởng Khoa CNTT, người đã trực tiếp hướng dẫn và tạo mọi điều kiện thuận lợi giúp đỡ tôi hoàn thành khóa luận này. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 2 Bảo mật WLAN bằng RADIUS Server và WPA2 Qua đây tôi cũng xin cảm ơn gia đình và bạn bè đã tạo điều kiện, giúp đỡ và động viên tôi hoàn thành khóa luận đúng thời hạn. Khóa luận này được chia làm 4 chương: Chương 1 Trình bày một cái nhìn tổng quan về WLAN, công nghệ sử dụng, các chuẩn, các đặt tính kỹ thuật và thực trạng bảo mật Wlan ở Việt Nam. Chương 2 Trình bày về các hình thức tấn công Wlan phổ biến hiện nay như: Rogue Access point, De-Authentication Flood Attack, Fake Access point, tấn công dựa trên sự cảm nhận lớp vật lý, Disassociation Flood Attack … Chương 3 Trình bày về các giải pháp bảo mật phổ biến hiện nay như: Wep, Wlan VPN, 802.1x, WPA, WPA2, Filtering … và các ưu nhược điểm của chúng như thế nào. Chương 4 Trình bày về việc sử dụng RADIUS Server và WPA2 cho quá trình xác thực trong WLAN. Trong quá trình làm khóa luận sẽ không tránh khỏi những thiếu sót. Rất mong sự góp ý kiến của quý thầy cô và bạn bè để khóa luận này được hoàn chỉnh hơn. Đà Nẵng, ngày 09 tháng 5 năm 2008 Sinh viên thực hiện Đặng Ngọc Cường SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 3 Bảo mật WLAN bằng RADIUS Server và WPA2 MỤC LỤC MỞ ĐẦU .....................................................................................................................2 MỤC LỤC ...................................................................................................................4 DANH MỤC CÁC HÌNH VẼ ................................................................................6 DANH MỤC CÁC BẢNG BIỂU ................................................................................8 DANH MỤC CÁC CỤM TỪ VIẾT TẮT ...................................................................9 TÀI LIỆU THAM KHẢO .............................................................................................11 CHƯƠNG 1. MẠNG CỤC BỘ KHÔNG DÂY ..........................................................12 1.1 TỔNG QUAN VỀ WLAN .................................................................................... 12 1.1.1 Lịch sử hình thành và phát triển ...............................................................12 1.1.2 Ưu điểm của WLAN ...................................................................................... 13 1.1.3 Nhược điểm của WLAN .............................................................................. 13 1.2 CÁC CHUẨN THÔNG DỤNG CỦA WLAN ..................................................... 14 1.2.1 Chuẩn IEEE 802.11b....................................................................................15 1.2.2 Chuẩn IEEE 802.11a ....................................................................................15 1.2.3 IEEE 802.11g ................................................................................................16 1.2.4 Chuẩn IEEE 802.11n....................................................................................17 1.2.5 So sánh các chuẩn IEEE 802.11x ................................................................18 1.3 CẤU TRÚC VÀ CÁC MÔ HÌNH WLAN ........................................................... 23 1.3.1 Cấu trúc cơ bản của WirelessLAN ............................................................23 1.3.2 Các thiết bị hạ tầng mạng không dây.................................................... 24 1.3.2 Các mô hình WLAN ........................................................................................ 28 1.4 THỰC TRẠNG VỀ BẢO MẬT WLAN HIỆN NAY .......................................30 CHƯƠNG 2. CÁC HÌNH THỨC TẤN CÔNG WLAN ............................................. 32 2.1 ROGUE ACCESS POINT...................................................................................32 2.2 TẤN CÔNG YÊU CẦU XÁC THỰC LẠI ......................................................35 2.3 FAKE ACCESS POINT ......................................................................................... 35 2.4 TẤN CÔNG DỰA TRÊN SỰ CẢM NHẬN SÓNG MANG LỚP VẬT LÝ. .36 2.5 TẤN CÔNG NGẮT KẾT NỐI ........................................................................37 CHƯƠNG 3. CÁC GIẢI PHÁP BẢO MẬT WLAN ................................................... 39 3.1 TẠI SAO PHẢI BẢO MẬT WLAN? ................................................................... 39 3.2 WEP.......................................................................................................................... 40 3.3 WLAN VPN......................................................................................................41 3.4 TKIP (TEMPORAL KEY INTEGRITY PROTOCOL)...................................... 43 3.5 AES ......................................................................................................................43 3.6 802.1X VÀ EAP ..................................................................................................43 3.7 WPA (WI-FI PROTECTED ACCESS) ..............................................................45 3.8 WPA2 ....................................................................................................................... 46 3.9 LỌC (FILTERING) .............................................................................................46 3.10 KẾT LUẬN....................................................................................................49 CHƯƠNG 4. BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP XÁC THỰC RADIUS SERVER VÀ WPA2 ......................................................................................................... 51 4.1 GIỚI THIỆU TỔNG QUAN ...........................................................................51 SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 4 Bảo mật WLAN bằng RADIUS Server và WPA2 4.1.1 Xác thực, cấp phép và kiểm toán ................................................................51 4.1.2 Sự bảo mật và tính mở rộng ....................................................................53 4.1.3 Áp dụng RADIUS cho WLAN ...................................................................... 54 4.1.4 Các tùy chọn bổ sung ...................................................................................55 4.1.5 Chúng ta sẽ lựa chọn máy chủ RADIUS như thế nào là hợp lý? ............56 4.2 MÔ TẢ HỆ THỐNG ...........................................................................................58 4.3 QUY TRÌNH CÀI ĐẶT ...................................................................................59 4.3.1 Bước 1: Cài DHCP ......................................................................................... 59 4.3.2 Bước 2: Cài Enterprise CA .......................................................................59 4.3.3 Bước 3: Cài Radius .....................................................................................60 4.3.4 Bước 4: Chuyển sang Native Mode............................................................60 4.3.5 Bước 5: Cấu hình DHCP ............................................................................61 4.3.6 Bước 6: Cấu hình Radius ............................................................................61 4.3.7 Bước 7: Tạo users, cấp quyền Remote access cho users và cho computer .................................................................................................................................62 4.3.8 Bước 8: Tạo Remote Access Policy...........................................................63 4.3.9 Bước 9: Cấu hình AP và khai báo địa chỉ máy RADIUS........................... 65 4.3.10 Bước 10: Cấu hình Wireless Client ..........................................................66 4.4 DEMO ...................................................................................................................... 68 KẾT LUẬN VÀ HƯỚNG MỞ ...........................................................................72 SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 5 Bảo mật WLAN bằng RADIUS Server và WPA2 DANH MỤC CÁC HÌNH VẼ Hình 1.1 Phạm vi của WLAN trong mô hình OSI ......................................................15 Hình 1.2 Logo Wi-fi ......................................................................................................18 Hình 1.3 Tốc độ truyền tải so với các chuẩn khác ....................................................19 Hình 1.4 Cấu trúc WLAN................................................................................................ 22 Hình 1.5 Access Points ..................................................................................................25 Hình 1.6 ROOT MODE ................................................................................................26 Hình 1.7 BRIDGE MODE ............................................................................................27 Hình 1.8 REPEATER MODE.......................................................................................27 Hình 1.9 Card PCI Wireless ..........................................................................................28 Hình 1.10 Card PCMCIA Wireless...............................................................................28 Hình 1.11 Card USB Wireless ......................................................................................29 Hình 1.12 Mô hình mạng AD HOC .............................................................................29 Hình 1.13 Mô hình mạng cơ sở ........................................................................ 30 Hình 1.14 Mô hình mạng mở rộng ...........................................................................31 Hình 2.1 Mô hình tấn công “yêu cầu xác thực lại” ..................................................35 Hình 2.2 Mô hình tấn công Fake Access Point ............................................................36 Hình 2.3 Mô hình tấn công ngắt kết nối .................................................................37 Hình 3.1 Truy cập trái phép mạng không dây .............................................................39 Hình 3.2 Mô hình WLAN VPN ....................................................................................41 Hình 3.3 Mô hình hoạt động xác thực 802.1x.............................................................43 Hình 3.4 Tiến trình xác thực MAC ................................................................................ 46 Hình 3.5 Lọc giao thức .............................................................................................47 Hình 4.1 Mô hình xác thực giữa Wireless Clients và RADIUS Server ......................50 Hình 4.2 Wireless Clients, AP và RADIUS Server......................................................57 SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 6 Bảo mật WLAN bằng RADIUS Server và WPA2 Hình 4.3 Enterprise CA .............................................................................................58 Hình 4.4 Raise domain functional level. .......................................................................59 Hình 4.5 Kết quả cấu hình DHCP .................................................................................. 60 Hình 4.6 Register Server in Active Directory ..............................................................60 Hình 4.7 Khai báo radius client.....................................................................................61 Hình 4.8 Active Directory Users and Computers .........................................................62 Hình 4.9 New Remote Access Policy. ..........................................................................62 Hình 4.10 Access mode là “Wireless” ..........................................................................63 Hình 4.11 User or Group Access ..................................................................................63 Hình 4.12 EAP type.......................................................................................................64 Hình 4.13 Kết quả tạo Remote Access Policy ............................................................64 Hình 4.14 Cấu hình Access Point .................................................................................65 Hình 4.15 Wireless Network Connection Properties....................................................66 Hình 4.16 Cấu hình Network Authentication và Data Encryption ..............................66 Hình 4.17 Cấu hình EAP type ......................................................................................67 Hình 4.18 Kết quả sau khi đăng nhập vào hệ thống ..................................................67 Hình 4.19 Trạng thái kết nối .....................................................................................68 Hình 4.20 Các thông số được cấp bởi DHCP server như IP, DNS server, Default Gateway ..........................................................................................................................68 Hình 4.21 Event Viewer ................................................................................................69 Hình 4.22 Information Properties .................................................................................69 SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 7 Bảo mật WLAN bằng RADIUS Server và WPA2 DANH MỤC CÁC BẢNG BIỂU Bảng 1.1 Một số thông số kỹ thuật của chuẩn IEEE 802.11b ...................................16 Bảng 1.2 Một số thông số kỹ thuật của chuẩn IEEE 802.11a ...................................17 Bảng 1.3 Một số thông số kỹ thuật của chuẩn IEEE 802.11g ...................................17 Bảng 1.4 Một số thông số kỹ thuật của chuẩn IEEE 802.11n ...................................18 Bảng 1.5 So sánh các chuẩn IEEE 802.11x .................................................................19 Bảng 3.1 Escalating Security ........................................................................................48 SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 8 Bảo mật WLAN bằng RADIUS Server và WPA2 DANH MỤC CÁC CỤM TỪ VIẾT TẮT AP AAA Access Point Authentication, Authorization, Điểm truy cập Xác thực, cấp phép và kiểm AES BSSs CHAP và Access Control Advanced Encryption Standard Basic Service Sets Challenge-handshake toán Tiêu chuẩn mã hóa tiên tiến Mô hình mạng cơ sở Giao thức xác thực yêu cầu bắt DES DS DSSS authentication protocol Data Encryption Standard Distribution system Direct sequence spread tay Tiêu chuẩn mã hóa dữ liệu Hệ thống phân phối Trải phổ trực tiếp EAP spectrum Extensible Authentication Giao thức xác thực mở rộng ESSs FCC Protocol Extended Service Sets Federal Communications Mô hình mạng mở rộng Ủy ban truyền thông Liên bang FHSS Commission Frequency-hopping spread Hoa Kỳ Trải phổ nhảy tần IBSSs spectrum Independent Basic Service Sets Mô hình mạng độc lập hay còn IDS IEEE Intrusion Detection System Institute of Electrical and gọi là mạng Ad hoc Hệ thống phát hiện xâm nhập Viện kỹ thuật điện và điện tử IPSec Electronics Engineers Internet Protocol Security của Mỹ Tập hợp các chuẩn chung nhất (industry-defined set) trong việc kiểm tra, xác thực và mã hóa các dữ liệu dạng packet trên tầng ISM Industrial, scientific and Network (IP Băng tầng dành cho công ISP LAN MAC medical Internet service provider Local Area Network Medium Access Control nghiệp, khoa học và y học Nhà cung cấp dịch vụ Internet Mạng cục bộ Điều khiển truy cập môi trường SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 9 Bảo mật WLAN bằng RADIUS Server và WPA2 MAN MIC Metropolitan Area Network Message integrity check Mạng đô thị Phương thức kiểm tra tính toàn N/A NAS NIST Not Applicable Network access server Nation Instutute of Standard vẹn của thông điệp Chưa sử dụng Máy chủ truy cập mạng Viện nghiên cứu tiêu chuẩn và OFDM and Technology Orthogonal frequency division công nghệ quốc gia Trải phổ trực giao PC PDA multiplexing Persional Computer Persional Digital Assistant Máy tính cá nhân Máy trợ lý cá nhân dùng kỹ PEAP Protected Extensible thuật số Giao thức xác thực mở rộng PPP PSK RADIUS Authentication Protocol Point-to-Point Protocol Preshared Keys Remote Authentication Dial In được bảo vệ Giao thức liên kết điểm điểm Khóa chia sẻ Dịch vụ truy cập bằng điện thoại RF SLIP SSID TKIP User Service Radio frequency Serial Line Internet Protocol Service set identifier Temporal Key Integrity xác nhận từ xa Tần số vô tuyến Giao thức internet đơn tuyến Bộ nhận dạng dịch vụ Giao thức toàn vẹn khóa thời UDP VLAN VPN WEP Protocol User Datagram Protocol Virtual Local Area Network Virtual Private Network Wired Equivalent Privacy gian Là một giao thức truyền tải Mạng LAN ảo Mạng riêng ảo Bảo mật tương đương mạng đi Wireless Fidelity dây Hệ thống mạng không dây sử Wireless Local Area Network Wi-fi Protected Access dụng sóng vô tuyến Mạng cục bộ không dây Bảo vệ truy cập Wi-fi WI-FI WLAN WPA/WPA2 SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 10 Bảo mật WLAN bằng RADIUS Server và WPA2 TÀI LIỆU THAM KHẢO Tiếng Việt [1] KS. Trần Việt An, Nối mạng không dây, NXB. Giao thông vận tải 2006 Tiếng Anh [2] Philip Kwan, 802.1X Port Authentication with Microsoft Active Directory, March 2003 [3] WRT54G-EU v7 quick install guides & user guides Rev A, 2006, tr 1-10 [4] David D.Coleman, David A.Westcott, CWNA - Certified Wireless Network Administrator Study Guide, 2006, 594tr, Chapter 13, tr 408-438 [5] ftp://ftp.rfc-editor.org/in-notes/rfc2865.txt, RADIUS, 6/2000 [6] ftp://ftp.rfc-editor.org/in-notes/rfc2869.txt, RADIUS Extensions, 6/2000 [7] ftp://ftp.rfc-editor.org/in-notes/rfc3579.txt, RADIUS & EAP, 9/2003 Trang web [8] http://www.vnexperts.net/index.php? option=com_content&task=view&id=458&Itemid=101 [9] http://www.vnexperts.net/index.php? option=com_content&task=view&id=459&Itemid=101 [10] http://wimaxpro.org/forum/ (http://wifipro.org/forum) [11] http://vsic.com/forum/ [12] http://nhatnghe.com/forum/ [13] http://vnpro.org/forum/ [14] http://athena.com.vn/forum/ [15] http://ictvietnam.net/forum/ (http://adminviet.net/forum) [16] http://vi.wikipedia.org [17] http://en.wikipedia.org SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 11 Bảo mật WLAN bằng RADIUS Server và WPA2 CHƯƠNG 1. MẠNG CỤC BỘ KHÔNG DÂY 1.1 TỔNG QUAN VỀ WLAN 1.1.1 Lịch sử hình thành và phát triển Mạng LAN không dây viết tắt là WLAN (Wireless Local Area Network), là một mạng dùng để kết nối hai hay nhiều máy tính với nhau mà không sử dụng dây dẫn. WLAN dùng công nghệ trải phổ, sử dụng sóng vô tuyến cho phép truyền thông giữa các thiết bị trong một vùng nào đó còn được gọi là Basic Service Set. Nó giúp cho người sử dụng có thể di chuyển trong một vùng bao phủ rộng mà vẫn kết nối được với mạng. Công nghệ WLAN lần đầu tiên xuất hiện vào cuối năm 1990, khi những nhà sản xuất giới thiệu những sản phẩm hoạt động trong băng tần 900Mhz. Những giải pháp này (không được thống nhất giữa các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mbps, thấp hơn nhiều so với tốc độ 10Mbps của hầu hết các mạng sử dụng cáp hiện thời. Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần 2.4Ghz. Mặc dầu những sản phẩm này đã có tốc độ truyền dữ liệu cao hơn nhưng chúng vẫn là những giải pháp riêng của mỗi nhà sản xuất không được công bố rộng rãi. Sự cần thiết cho việc hoạt động thống nhất giữa các thiết bị ở những dãy tần số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây chung. Năm 1997, Institute of Electrical and Electronics Engineers (IEEE) đã phê chuẩn sự ra đời của chuẩn 802.11, và cũng được biết với tên gọi WI-FI (Wireless Fidelity) cho các mạng WLAN. Chuẩn 802.11 hỗ trợ ba phương pháp truyền tín hiệu, trong đó có bao gồm phương pháp truyền tín hiệu vô tuyến ở tần số 2.4Ghz. Năm 1999, IEEE thông qua hai sự bổ sung cho chuẩn 802.11 là các chuẩn 802.11a và 802.11b (định nghĩa ra những phương pháp truyền tín hiệu). Và những thiết bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây vượt trội. Các thiết bị WLAN 802.11b truyền phát ở tần số 2.4Ghz, cung cấp tốc độ truyền dữ liệu có thể lên tới 11Mbps. IEEE 802.11b được tạo ra nhằm cung SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 12 Bảo mật WLAN bằng RADIUS Server và WPA2 cấp những đặc điểm về tính hiệu dụng, thông lượng (throughput) và bảo mật để so sánh với mạng có dây. Năm 2003, IEEE công bố thêm một sự cải tiến là chuẩn 802.11g mà có thể truyền nhận thông tin ở cả hai dãy tần 2.4Ghz và 5Ghz và có thể nâng tốc độ truyền dữ liệu lên đến 54Mbps. Thêm vào đó, những sản phẩm áp dụng 802.11g cũng có thể tương thích ngược với các thiết bị chuẩn 802.11b. Hiện nay chuẩn 802.11g đã đạt đến tốc độ 108Mbps-300Mbps. 1.1.2 Ưu điểm của WLAN Sự tiện lợi: Mạng không dây cũng như hệ thống mạng thông thường. Nó cho phép người dùng truy xuất tài nguyên mạng ở bất kỳ nơi đâu trong khu vực được triển khai (nhà hay văn phòng). Với sự gia tăng số người sử dụng máy tính xách tay (laptop), đó là một điều rất thuận lợi. Khả năng di động: Với sự phát triển của các mạng không dây công cộng, người dùng có thể truy cập Internet ở bất cứ đâu. Chẳng hạn ở các quán Cafe, người dùng có thể truy cập Internet không dây miễn phí. Hiệu quả: Người dùng có thể duy trì kết nối mạng khi họ đi từ nơi này đến nơi khác. Triển khai: Việc thiết lập hệ thống mạng không dây ban đầu chỉ cần ít nhất 1 access point. Với mạng dùng cáp, phải tốn thêm chi phí và có thể gặp khó khăn trong việc triển khai hệ thống cáp ở nhiều nơi trong tòa nhà. Khả năng mở rộng: Mạng không dây có thể đáp ứng tức thì khi gia tăng số lượng người dùng. Với hệ thống mạng dùng cáp cần phải gắn thêm cáp. 1.1.3 Nhược điểm của WLAN Công nghệ mạng LAN không dây, ngoài rất nhiều sự tiện lợi và những ưu điểm được đề cập ở trên thì cũng có các nhược điểm. Trong một số trường hợp mạng LAN không dây có thể không như mong muốn vì một số lý do. Hầu hết chúng phải làm việc với những giới hạn vốn có của công nghệ. Bảo mật: Môi trường kết nối không dây là không khí nên khả năng bị tấn công của người dùng là rất cao. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 13 Bảo mật WLAN bằng RADIUS Server và WPA2 Phạm vi: Một mạng chuẩn 802.11g với các thiết bị chuẩn chỉ có thể hoạt động tốt trong phạm vi vài chục mét. Nó phù hợp trong 1 căn nhà, nhưngvới một tòa nhà lớn thì không đáp ứng được nhu cầu. Để đáp ứng cần phải mua thêm Repeater hay access point, dẫn đến chi phí gia tăng. Độ tin cậy: Vì sử dụng sóng vô tuyến để truyền thông nên việc bị nhiễu, tín hiệu bị giảm do tác động của các thiết bị khác (lò vi sóng,…) là không tránh khỏi. Làm giảm đáng kể hiệu quả hoạt động của mạng. Tốc độ: Tốc độ của mạng không dây (1- 125 Mbps) rất chậm so với mạng sử dụng cáp (100 Mbps đến hàng Gbps). 1.2 CÁC CHUẨN THÔNG DỤNG CỦA WLAN Hiện nay tiêu chuẩn chính cho Wireless là một họ giao thức truyền tin qua mạng không dây IEEE 802.11. Do việc nghiên cứu và đưa ra ứng dụng rất gần nhau nên có một số giao thức đã thành chuẩn của thế giới, một số khác vẫn còn đang tranh cãi và một số còn đang dự thảo. Một số chuẩn thông dụng như: 802.11b (cải tiến từ 802.11), 802.11a, 802.11g, 802.11n. Phạm vi của IEEE 802.11 Hình 1.1 Phạm vi của WLAN trong mô hình OSI SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 14 Bảo mật WLAN bằng RADIUS Server và WPA2 1.2.1 Chuẩn IEEE 802.11b Chuẩn này được đưa ra vào năm 1999, nó cải tiến từ chuẩn 802.11. Cũng hoạt động ở dải tần 2,4 Ghz nhưng chỉ sử dụng trải phổ trực tiếp DSSS. Tốc độ tại Access Point có thể lên tới 11Mbps (802.11b), 22Mbps (802.11b+). Các sản phẩm theo chuẩn 802.11b được kiểm tra và thử nghiệm bởi hiệp hội các công ty Ethernet không dây (WECA) và được biết đến như là hiệp hội WiFi, những sản phẩm Wireless được WiFi kiểm tra nếu đạt thì sẽ mang nhãn hiệu này. Hiện nay IEEE 802.11b là một chuẩn được sử dụng rộng rãi nhất cho Wireless LAN. Vì dải tần số 2,4Ghz là dải tần số ISM (Industrial, Scientific and Medical: dải tần vô tuyến dành cho công nghiệp, khoa học và y học, không cần xin phép) cũng được sử dụng cho các chuẩn mạng không dây khác như là: Bluetooth và HomeRF, hai chuẩn này không được phổ biến như là 801.11. Bluetooth được thiết kế sử dụng cho thiết bị không dây mà không phải là Wireless LAN, nó được dùng cho mạng cá nhân PAN(Personal Area Network). Như vậy Wireless LAN sử dụng chuẩn 802.11b và các thiết bị Bluetooth hoạt động trong cùng một dải băng tần. Bảng 1.1 Một số thông số kỹ thuật của chuẩn IEEE 802.11b Release Date Op. Frequency Data Rate (Typ) Data Rate (Max) Range (Indoor) October 1999 2.4 GHz 4.5 Mbit/s 11 Mbit/s ~35 m 1.2.2 Chuẩn IEEE 802.11a Đây là một chuẩn được cấp phép ở dải băng tần mới. Nó hoạt động ở dải tần số 5 Ghz sử dụng phương thức điều chế ghép kênh theo vùng tần số vuông góc (OFDM). Phương thức điều chế này làm tăng tốc độ trên mỗi kênh (từ 11Mbps/1kênh lên 54 Mbps/1 kênh). Có thể sử dụng đến 8 Access Point (truyền trên 8 kênh Nonoverlapping,kênh không chồng lấn phổ), đặc điểm này ở dải tần 2,4Ghz chỉ có SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 15 Bảo mật WLAN bằng RADIUS Server và WPA2 thể sử dụng 3 Access Point (truyền trên 3 kênh Non – overlapping). Hỗ trợ đồng thời nhiều người sử dụng với tốc độ cao mà ít bị xung đột. Các sản phẩm của theo chuẩn IEEE 802.11a không tương thích với các sản phẩm theo chuẩn IEEE 802.11 và 802.11b vì chúng hoạt động ở các dải tần số khác nhau. Tuy nhiên các nhà sản xuất chipset đang cố gắng đưa loại chipset hoạt động ở cả 2 chế độ theo hai chuẩn 802.11a và 802.11b. Sự phối hợp này được biết đến với tên WiFi5 ( WiFi cho công nghệ 5Gbps). Bảng 1.2 Một số thông số kỹ thuật của chuẩn IEEE 802.11a Release Date Op. Frequency Data Rate (Typ) Data Rate (Max) Range (Indoor) October 1999 5 GHz 23 Mbit/s 54 Mbit/s ~35 m 1.2.3 IEEE 802.11g Bản dự thảo của tiêu chuẩn này được đưa ra vào tháng 10 – 2002. Sử dụng dải tần 2,4 Ghz, tốc độ truyền lên đến 54Mbps. Phương thức điều chế: Có thể dùng một trong 2 phương thức Dùng OFDM (giống với 802.11a) tốc độ 54Mbps. truyền lên tới Dùng trải phổ trực tiếp DSSS tốc độ bị giới hạn ở 11 Mbps. Tương thích ngược với chuẩn 802.11b. Bị hạn chế về số kênh truyền. Bảng 1.3 Một số thông số kỹ thuật của chuẩn IEEE 802.11g Release Date Op. Frequency Data Rate (Typ) Data Rate (Max) Range (Indoor) June 2003 2.4 GHz 23 Mbit/s 54 Mbit/s ~35 m SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 16 Bảo mật WLAN bằng RADIUS Server và WPA2 1.2.4 Chuẩn IEEE 802.11n Hình 1.2 Logo Wi-fi Chuẩn 802.11n đang được xúc tiến để đạt tốc độ 100 Mb/giây, nhanh gấp 5 lần chuẩn 802.11g và cho phép thiết bị kết nối hoạt động với khoảng cách xa hơn các mạng Wi-Fi hiện hành. Winston Sun, giám đốc công nghệ của công ty không dây Atheros Communications, nhận xét, một thiết bị tương thích 802.11n có thể truy cập các điểm hotspot với tốc độ 150 MB/giây với khoảng cách lý tưởng dưới 6m, khả năng liên kết càng giảm khi người dùng ở cách xa điểm truy cập đó. 802.11n chưa thể sớm trở thành chuẩn Wi-Fi thế hệ mới vì một số mạng Wi-Fi không thuộc thông số 802.11n cũng được giới thiệu. Theo Sun, các chuẩn Wi-Fi mới được ra mắt có thể tự động dò tần sóng thích hợp để kết nối Internet. Chính vì thế, thiết bị hỗ trợ 802.11n không thể “độc chiếm” phổ Wi-Fi và phải “nhường” sóng cho các mạng kết nối khác. Ông Sun cho biết, tốc độ truy cập Wi-Fi giảm tỷ lệ nghịch với khoảng cách từ thiết bị tới hotspot vẫn cho phép các máy cầm tay, như iTV của Apple stream được các đoạn video clip nhưng không thể stream video nén có độ nét cao . Bảng 1.4 Một số thông số kỹ thuật của chuẩn IEEE 802.11n Release Date Op. Frequency June 2009 5 GHz and/or 2.4 (est.) GHz Data Rate (Typ) 74 Mbit/s SVTH: Đặng Ngọc Cường, K10-101-0003 Data Rate (Max) 300 Mbit/s (2 streams) Range (Indoor) ~70 m Trang 17 Bảo mật WLAN bằng RADIUS Server và WPA2 Hình 1.3 Tốc độ truyền tải so với các chuẩn khác 1.2.5 So sánh các chuẩn IEEE 802.11x Wi-Fi còn có tên gọi khác là IEEE 802.11 (hay ngắn gọn là 802.11) cũng chính là nhóm các tiêu chuẩn kỹ thuật của công nghệ kết nối này do liên minh WiFi (Wi-Fi Alliance: www.wi-fi.org) quy định. Hiện tồn tại các xác thực sau được đưa ra bởi Wi-Fi Alliance: Bảng 1.5 So sánh các chuẩn IEEE 802.11x Chuẩn IEEE 802.11 Phân Tính năng chính loại Định nghĩa Kết nối Tần số: 2,4 GHz Chú thích Chuẩn lý thuyết Tốc độ tối đa: 2 mbps Tầm hoạt động: không xác định IEEE 802.11a IEEE 801.11b Kết nối Kết nối Tần số: 5 GHz Xem thêm Tốc độ tối đa: 54 mbps 802.11d và Tầm hoạt động: 25-75 m 802.11h Tần số: 2,4 GHz Tương thích với SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 18 Bảo mật WLAN bằng RADIUS Server và WPA2 Tốc độ tối đa: 11 mbps 802.11g Tầm hoạt động: 35-100 m IEEE 802.11g Kết nối Tần số: 2,4 GHz Tương thích Tốc độ tối đa: 54 mbps ngược với Tầm hoạt động: 25-75 m 802.11b, xem thêm 802.11d và 802.11h IEEE 8021.11n Kết nối Tần số: 2,4 GHz Tương thích Tốc độ tối đa: 540 mbps ngược với Tầm hoạt động: 50-125 m 802.11b/g Dự kiến sẽ được thông qua vào tháng 11/2008 IEEE 802.11d IEEE 802.11h Tính Bật tính năng thay đổi tầng Hỗ trợ bởi một năng bổ MAC để phù hợp với các số thiết bị sung yêu cầu ở những quốc gia 802.11a và khác nhau 802.11a/g Tính Chọn tần số động Hỗ trợ bởi một năng bổ (dynamic frequency số thiết bị sung selection: DFS) và điều 802.11a và khiển truyền năng lượng 802.11a/g (transmit power control: TPC) để hạn chế việc xung đột với các thiết bị dùng tần số 5 GHz khác WPA Enterprise Bảo mật Sử dụng xác thực 802.1x Xem thêm với chế độ mã hóa TKIP và WPA2 một máy chủ xác thực SVTH: Đặng Ngọc Cường, K10-101-0003 Enterprise Trang 19 Bảo mật WLAN bằng RADIUS Server và WPA2 WPA Personal Bảo mật Sử dụng khóa chia sẻ với mã hóa TKIP WPA2 Enterprise Bảo mật Nâng cấp của WPA Xem thêm WPA2 Personal Dựa trên 802.11i Enterprise với việc dùng mã hóa AES WPA2 Personal Bảo mật Nâng cấp của WPA Dựa trên 802.11i Personal với việc dùng mã hóa AES EAP-TLS Bảo mật Extensible Authentication Protocol Transport Layer Sử dụng cho WPA Enterprise Security EAP- Bảo mật EAP-Tunneled TTLS/MSCHAPv2 Sử dụng cho TLS/Microsoft Challenge WPA/WPA2 Authentication Handshake Enterprise Protocol EAP-SIM WMM Bảo mật Một phiên bản của EAP Sử dụng cho cho các dịch vụ điện thoại WPA/WPA2 di động nền GSM Enterprise Multime Xác thực cho VoIP để quy Một thành phần dia định cách thức ưu tiên băng của bản thảo thông cho giọng nói hoặc 802.11e WLAN video Quality of Service IEEE 802.11 chưa từng được ứng dụng thực tế và chỉ được xem là bước đệm để hình thành nên kỷ nguyên Wi-Fi. Trên thực tế, cả 24 kí tự theo sau 802.11 đều được lên kế hoạch sử dụng bởi Wi-Fi Alliance. Như ở bảng trên, các IEEE 802.11 được phân loại thành nhiều nhóm, trong đó hầu như người dùng chỉ biết và quan tâm đến tiêu chuẩn phân loại theo tính chất kết nối (IEEE 802.11a/b/g/n...). SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 20 Bảo mật WLAN bằng RADIUS Server và WPA2 Một số IEEE 802.11 ít phổ biến khác: IEEE 802.11c: các thủ tục quy định cách thức bắt cầu giữa các mạng Wi-Fi. Tiêu chuẩn này thường đi cặp với 802.11d. IEEE 802.11e: đưa QoS (Quality of Service) vào Wi-Fi, qua đó sắp đặt thứ tự ưu tiên cho các gói tin, đặc biệt quan trọng trong trường hợp băng thông bị giới hạn hoặc quá tải. IEEE 802.11F: giao thức truy cập nội ở Access Point, là một mở rộng cho IEEE 802.11. Tiêu chuẩn này cho phép các Access Point có thể “nói chuyện” với nhau, từ đó đưa vào các tính năng hữu ích như cân bằng tải, mở rộng vùng phủ sóng Wi-Fi... IEEE 802.11h: những bổ sung cho 802.11a để quản lý dải tần 5 GHz nhằm tương thích với các yêu cầu kỹ thuật ở châu Âu. IEEE 802.11i: những bổ sung về bảo mật. Chỉ những thiết bị IEEE 802.11g mới nhất mới bổ sung khả năng bảo mật này. Chuẩn này trên thực tế được tách ra từ IEEE 802.11e. WPA là một trong những thành phần được mô tả trong 802.11i ở dạng bản thảo, và khi 802.11i được thông qua thì chuyển thành WPA2 (với các tính chất được mô tả ở bảng trên). IEEE 802.11j: những bổ sung để tương thích điều kiện kỹ thuật ở Nhật Bản. IEEE 802.11k: những tiêu chuẩn trong việc quản lí tài nguyên sóng radio. Chuẩn này dự kiến sẽ hoàn tất và được đệ trình thành chuẩn chính thức trong năm nay. IEEE 802.11p: hình thức kết nối mở rộng sử dụng trên các phương tiện giao thông (vd: sử dụng Wi-Fi trên xe buýt, xe cứu thương...). Dự kiến sẽ được phổ biến vào năm 2009. IEEE 802.11r: mở rộng của IEEE 802.11d, cho phép nâng cấp khả năng chuyển vùng. IEEE 802.11T: đây chính là tiêu chuẩn WMM như mô tả ở bảng trên. IEE 802.11u: quy định cách thức tương tác với các thiết bị không tương thích 802 (chẳng hạn các mạng điện thoại di động). SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 21 Bảo mật WLAN bằng RADIUS Server và WPA2 IEEE 802.11w: là nâng cấp của các tiêu chuẩn bảo mật được mô tả ở IEEE 802.11i, hiện chỉ trong giải đoạn khởi đầu. ... Các chuẩn IEEE 802.11F và 802.11T được viết hoa chữ cái cuối cùng để phân biệt đây là hai chuẩn dựa trên các tài liệu độc lập, thay vì là sự mở rộng / nâng cấp của 802.11, và do đó chúng có thể được ứng dụng vào các môi trường khác 802.11 (chẳng hạn WiMAX – 802.16). Trong khi đó 802.11x sẽ không được dùng như một tiêu chuẩn độc lập mà sẽ bỏ trống để trỏ đến các chuẩn kết nối IEEE 802.11 bất kì. Nói cách khác, 802.11 có ý nghĩa là “mạng cục bộ không dây”, và 802.11x mang ý nghĩa “mạng cục bộ không dây theo hình thức kết nối nào đấy (a/b/g/n)”. Hình thức bảo mật cơ bản nhất ở mạng Wi-Fi là WEP là một phần của bản IEEE 802.11 “gốc”. Bạn dễ dàng tạo một mạng Wi-Fi với lẫn lộn các thiết bị theo chuẩn IEEE 802.11b với IEEE 802.11g. Tất nhiên là tốc độ và khoảng cách hiệu dụng sẽ là của IEEE 802.11b. Một trở ngại với các mạng IEEE 802.11b/g và có lẽ là cả n là việc sử dụng tần số 2,4 GHz, vốn đã quá “chật chội” khi đó cũng là tần số hoạt động của máy bộ đàm, tai nghe và loa không dây... Tệ hơn nữa, các lò viba cũng sử dụng tần số này, và công suất quá lớn của chúng có thể gây ra các vẫn đề về nhiễu loạn và giao thoa. Tuy chuẩn IEEE 802.11n chưa được thông qua nhưng khá nhiều nhà sản xuất thiết bị đã dựa trên bản thảo của chuẩn này để tạo ra những cái gọi là chuẩn G+ hoặc SuperG với tốc độ thông thường là gấp đôi giới hạn của IEEE 802.11g. Các thiết bị này tương thích ngược với IEEE 802.11b/g rất tốt nhưng tất nhiên là ở mức tốc độ giới hạn. Bên cạnh đó, bạn phải dùng các thiết bị (card mạng, router, access point...) từ cùng nhà sản xuất. Khi chuẩn IEEE 802.11n được thông qua, các nốt kết nối theo chuẩn b/g vẫn được hưởng lợi khá nhiều từ khoảng cách kết nối nếu Access Point là chuẩn n. Cần lưu ý, bất kể tốc độ kết nối Wi-Fi là bao nhiêu thì tốc độ “ra net” của bạn cũng chỉ giới hạn ở mức khoảng 2 mbps (tốc độ kết nối Internet). Với môi SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 22 Bảo mật WLAN bằng RADIUS Server và WPA2 trường Internet công cộng (quán cafe Wi-Fi, thư viện...), ắt hẳn lợi thế tốc độ truyền file trong mạng cục bộ xem như không tồn tại. 1.3 CẤU TRÚC VÀ CÁC MÔ HÌNH WLAN 1.3.1 Cấu trúc cơ bản của WirelessLAN Hình 1.4 Cấu trúc WLAN Có 4 thành phần chính trong các loại mạng sử dụng chuẩn 802.11: o Hệ thống phân phối (DS _ Distribution System) o Điểm truy cập (Access Point) o Tần liên lạc vô tuyến (Wireless Medium) o Trạm (Stattions) i. Hệ thống phân phối (DS _ Distribution System) Thiết bị logic của 802.11 được dùng để nối các khung tới đích của chúng: Bao gồm kết nối giữa động cơ và môi trường DS (ví dụ như mạng xương sống). 802.11 không xác định bất kỳ công nghệ định nào đối với DS. nhất Hầu hết trong các ứng dụng quảng cáo, Ethernet được dùng như là môi trường DS - Trong ngôn ngữ của 802.11, xương sống Ethernet là môi trường hệ thống phân phối. Tuy nhiên, không có nghĩa nó hoàn toàn là DS. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 23 Bảo mật WLAN bằng RADIUS Server và WPA2 ii. Điểm truy cập (Aps _ Access Points) Chức năng chính của AP là mở rộng mạng. Nó có khả năng chuyển đổi các frame dữ liệu trong 802.11 thành các frame thông dụng để có thể sử dụng trong các mạng khác. APs có chức năng cầu nối giữa không dây thành có dây. iii. Tần liên lạc vô tuyến (Wireless Medium) Chuẩn 802.11 sử dụng tầng liên lạc vô tuyến để chuyển các frame dữ liệu giữa các máy trạm với nhau. iv. Trạm (Stations) Các máy trạm là các thiết bị vi tính có hỗ trợ kết nối vô tuyến như: Máy tính xách tay, PDA, Palm, Desktop … 1.3.2 Các thiết bị hạ tầng mạng không dây Điểm truy cập: AP (Access Point) Cung cấp cho các máy khách(client) một điểm truy cập vào mạng "Nơi mà các máy tính dùng wireless có thể vào mạng nội bộ của công ty". AP là một thiết bị song công(Full duplex) có mức độ thông minh tương đương với một chuyển mạch Ethernet phức tạp (Switch). Hình 1.5 Access Points SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 24 Bảo mật WLAN bằng RADIUS Server và WPA2 Các chế độ hoạt động của AP AP có thể giao tiếp với các máy không dây, với mạng có dây truyền thống và với các AP khác. Có 3 Mode hoạt động chính của AP: Chế độ gốc (Root mode): Root mode được sử dụng khi AP được kết nối với mạng backbone có dây thông qua giao diện có dây (thường là Ethernet) của nó. Hầu hết các AP sẽ hỗ trợ các mode khác ngoài root mode, tuy nhiên root mode là cấu hình mặc định. Khi một AP được kết nối với phân đoạn có dây thông qua cổng Ethernet của nó, nó sẽ được cấu hình để hoạt động trong root mode. Khi ở trong root mode, các AP được kết nối với cùng một hệ thống phân phối có dây có thể nói chuyện được với nhau thông qua phân đoạn có dây. Các client không dây có thể giao tiếp với các client không dây khác nằm trong những cell (ô tế bào, hay vùng phủ sóng của AP) khác nhau thông qua AP tương ứng mà chúng kết nối vào, sau đó các AP này sẽ giao tiếp với nhau thông qua phân đoạn có dây, như ví dụ trong hình 1.6. Hình 1.6 ROOT MODE Chế độ cầu nối (bridge Mode): Trong Bridge mode, AP hoạt động hoàn toàn giống với một cầu nối không dây. AP sẽ trở thành một cầu nối không dây khi được cấu hình theo cách này. Chỉ một số ít các AP trên thị trường có hỗ trợ chức năng Bridge, điều này sẽ làm cho thiết bị có giá cao hơn SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 25 Bảo mật WLAN bằng RADIUS Server và WPA2 đáng kể. Chúng ta sẽ giải thích một cách ngắn gọn cầu nối không dây hoạt động như thế nào, từ hình 1.7 Client không kết nối với cầu nối, nhưng thay vào đó, cầu nối được sử dụng để kết nối 2 hoặc nhiều đoạn mạng có dây lại với nhau bằng kết nối không dây. Hình 1.7 BRIDGE MODE Chế độ lặp(repeater mode): AP có khả năng cung cấp một đường kết nối không dây upstream vào mạng có dây thay vì một kết nối có dây bình thường. Một AP hoạt động như là một root AP và AP còn lại hoạt động như là một Repeater không dây. AP trong repeater mode kết nối với các client như là một AP và kết nối với upstream AP như là một client. Hình 1.8 REPEATER MODE SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 26 Bảo mật WLAN bằng RADIUS Server và WPA2 Các thiết bị máy khách trong WLAN Là những thiết bị WLAN được các máy khách sử dụng để kết nối vào WLAN. a. Card PCI Wireless: Là thành phần phổ biến nhất trong WLAN. Dùng để kết nối các máy khách vào hệ thống mạng không dây. Được cắm vào khe PCI trên máy tính. Loại này được sử dụng phổ biến cho các máy tính để bàn(desktop) kết nối vào không mạng dây. Hình 1.9 Card PCI Wireless b. Card PCMCIA Wireless: Trước đây được sử dụng trong các máy tính xách tay(laptop) và cácthiết bị hỗ trợ cá nhân số PDA(Personal Digital Associasion). Hiện nay nhờ sự phát triển của công nghệ nên PCMCIA wireless ít được sử dụng vì máy tính xách tay và PDA, …. đều được tích hợp sẵn Card Wireless bên trong thiết bị. Hình 1.10 Card PCMCIA Wireless c. Card USB Wireless: SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 27 Bảo mật WLAN bằng RADIUS Server và WPA2 Loại rất được ưu chuộng hiện nay dành cho các thiết bị kết nối vào mạng không dây vì tính năng di động và nhỏ gọn . Có chức năng tương tự như Card PCI Wireless, nhưng hỗ trợ chuẩn cắm là USB (Universal Serial Bus). Có thể tháo lắp nhanh chóng (không cần phải cắm cố định như Card PCI Wireless) và hỗ trợ cắm khi máy tính đang hoạt động. Hình 1.11 Card USB Wireless 1.3.2 Các mô hình WLAN Mạng 802.11 linh hoạt về thiết kế, gồm 3 mô hình mạng sau: Mô hình mạng độc lập (IBSSs) hay còn gọi là mạng Ad hoc. Mô hình mạng cơ sở (BSSs). Mô hình mạng mở rộng (ESSs). i) Mô hình mạng AD HOC (Independent Basic Service Sets (IBSSs) ) Các nút di động (máy tính có hỗ trợ card mạng không dây) tập trung lại trong một không gian nhỏ để hình thành nên kết nối ngang cấp (peer-to-peer) giữa chúng. Các nút di động có card mạng wireless là chúng có thể trao đổi thông tin trực tiếp với nhau , không cần phải quản trị mạng. Vì các mạng ad-hoc này có thể thực hiện nhanh và dễ dàng nên chúng thường được thiết lập mà không cần một công cụ hay kỹ năng đặc biệt nào vì vậy nó rất thích hợp để sử dụng trong các hội nghị thương mại hoặc trong các nhóm làm việc tạm thời. Tuy nhiên chúng có thể có những nhược điểm về vùng phủ sóng bị giới hạn, mọi người sử dụng đều phải nghe được lẫn nhau. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 28 Bảo mật WLAN bằng RADIUS Server và WPA2 Hình 1.12 Mô hình mạng AD HOC ii) Mô hình mạng cơ sở (Basic service sets (BSSs) ) Bao gồm các điểm truy nhập AP (Access Point) gắn với mạng đường trục hữu tuyến và giao tiếp với các thiết bị di động trong vùng phủ sóng của một cell. AP đóng vai trò điều khiển cell và điều khiển lưu lượng tới mạng. Các thiết bị di động không giao tiếp trực tiếp với nhau mà giao tiếp với các AP.Các cell có thể chồng lấn lên nhau khoảng 10-15 % cho phép các trạm di động có thể di chuyển mà không bị mất kết nối vô tuyến và cung cấp vùng phủ sóng với chi phí thấp nhất. Các trạm di động sẽ chọn AP tốt nhất để kết nối. Một điểm truy nhập nằm ở trung tâm có thể điều khiển và phân phối truy nhập cho các nút tranh chấp, cung cấp truy nhập phù hợp với mạng đường trục, ấn định các địa chỉ và các mức ưu tiên, giám sát lưu lượng mạng, quản lý chuyển đi các gói và duy trì theo dõi cấu hình mạng. Tuy nhiên giao thức đa truy nhập tập trung không cho phép các nút di động truyền trực tiếp tới nút khác nằm trong cùng vùng với điểm truy nhập như trong cấu hình mạng WLAN độc lập. Trong trường hợp này, mỗi gói sẽ phải được phát đi 2 lần (từ nút phát gốc và sau đó là điểm truy nhập) trước khi nó tới nút đích, quá trình này sẽ làm giảm hiệu quả truyền dẫn và tăng trễ truyền dẫn. Hình 1.13 Mô hình mạng cơ sở SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 29 Bảo mật WLAN bằng RADIUS Server và WPA2 iii) Mô hình mạng mở rộng (Extended Service Set (ESSs)) Mạng 802.11 mở rộng phạm vi di động tới một phạm vi bất kì thông qua ESS. Một ESSs là một tập hợp các BSSs nơi mà các Access Point giao tiếp với nhau để chuyển lưu lượng từ một BSS này đến một BSS khác để làm cho việc di chuyển dễ dàng của các trạm giữa các BSS, Access Point thực hiện việc giao tiếp thông qua hệ thống phân phối. Hệ thống phân phối là một lớp mỏng trong mỗi Access Point mà nó xác định đích đến cho một lưu lượng được nhận từ một BSS. Hệ thống phân phối được tiếp sóng trở lại một đích trong cùng một BSS, chuyển tiếp trên hệ thống phân phối tới một Access Point khác, hoặc gởi tới một mạng có dây tới đích không nằm trong ESS. Các thông tin nhận bởi Access Point từ hệ thống phân phối được truyền tới BSS sẽ được nhận bởi trạm đích. Hình 1.14 Mô hình mạng mở rộng 1.4 THỰC TRẠNG VỀ BẢO MẬT WLAN HIỆN NAY Nếu con số thống kê đúng thì cứ 5 người dùng mạng không dây tại nhà có đến 4 người không kích hoạt bất kỳ chế độ bảo mật nào. Mặc định, các nhà sản xuất tắt chế độ bảo mật để cho việc thiết lập ban đầu được dễ dàng, khi sử dụng bạn phải mở lại. Tuy nhiên, chúng ta cần phải cẩn thận khi kích hoạt tính năng bảo mật, dưới đây là một số sai lầm thường gặp phải. Sai lầm 1. Không thay đổi mật khẩu của nhà sản xuất. Khi lần đầu tiên cài đặt router không dây, chúng ta rất dễ quên thay đổi mật khẩu mặc định của nhà sản xuất. Nếu không thay đổi, có thể người khác sẽ dùng mật khẩu mặc định SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 30 Bảo mật WLAN bằng RADIUS Server và WPA2 truy cập vào Router và thay đổi các thiết lập để thoải mái truy cập vào mạng. Kinh nghiệm: Luôn thay mật khẩu mặc định. Sai lầm 2. Không kích hoạt tính năng mã hóa. Nếu không kích hoạt tính năng mã hóa, chúng ta sẽ quảng bá mật khẩu và e-mail của mình đến bất cứ ai trong tầm phủ sóng, người khác có thể cố tình dùng các phầm mềm nghe lén miễn phí như AirSnort (airsnort.shmoo.com) để lấy thông tin rồi phân tích dữ liệu. Kinh nghiệm: Hãy bật chế độ mã hóa kẻo người khác có thể đọc được email của chúng ta. Sai lầm 3. Không kiểm tra chế độ bảo mật. Chúng ta mua một AccessPoint, kết nối Internet băng rộng, lắp cả máy in vào, rồi có thể mua thêm nhiều thiết bị không dây khác nữa. Có thể vào một ngày nào đó, máy in sẽ tự động in hết giấy bởi vì chúng ta không thiết lập các tính năng bảo mật. Kinh nghiệm: Đừng cho rằng mạng của chúng ta đã an toàn. Hãy nhờ những người am hiểu kiểm tra hộ. Sai lầm 4. Quá tích cực với các thiết lập bảo mật. Mỗi Wireless Card/ Thẻ mạng không dây đều có một địa chỉ phần cứng (địa chỉ MAC) mà AP có thể dùng để kiểm soát những máy tính nào được phép nối vào mạng. Khi bật chế độ lọc địa chỉ MAC, có khả năng chúng ta sẽ quên thêm địa chỉ MAC của máy tính chúng ta đang sử dụng vào danh sách, như thế chúng ta sẽ tự cô lập chính mình, tương tự như bỏ chìa khóa trong xe hơi rồi chốt cửa lại. Kinh nghiệm: Phải kiểm tra cẩn thận khi thiết lập tính năng bảo mật. Sai lầm 5. Cho phép mọi người truy cập. Có thể chúng ta là người đầu tiên có mạng không dây và muốn 'khoe' bằng cách đặt tên mạng là 'truy cập thoải mái' chẳng hạn. Hàng xóm của mình có thể dùng kết nối này để tải rất nhiều phim ảnh chẳng hạn và mạng sẽ chạy chậm như rùa. Kinh nghiệm: Mạng không dây giúp chia sẻ kết nối Internet dễ dàng, tuy nhiên, đừng bỏ ngõ vì sẽ có người lạm dụng. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 31 Bảo mật WLAN bằng RADIUS Server và WPA2 CHƯƠNG 2. CÁC HÌNH THỨC TẤN CÔNG WLAN Tấn công và phòng chống trong mạng WLAN là vấn đề được quan tâm rất nhiều hiện nay bởi các chuyên gia trong lĩnh vực bảo mật. Nhiều giải pháp tấn công và phòng chống đã được đưa ra nhưng cho đến bây giờ chưa giải pháp nào thật sự gọi là bảo mật hoàn toàn, cho đến hiện nay mọi giải pháp phòng chống được đưa ra đều là tương đối (nghĩa là tính bảo mật trong mạng WLAN vẫn có thể bị phá vỡ bằng nhiều cách khác nhau). Vậy để tấn công một mạng WLAN như thế nào? Và giải pháp phòng chống ra sao? Chúng ta sẽ cùng tìm hiểu rõ hơn trong phần dưới đây. Theo rất nhiều tài liệu nghiên cứu, hiện tại để tấn công vào mạng WLAN thì các Attacker có thể sử dụng một trong những cách sau: Rogue Access Point De-authentication Flood Attack Fake Access Point Tấn công dựa trên sự cảm nhận lớp vật lý Disassociation Flood Attack 2.1 ROGUE ACCESS POINT i) Định nghĩa Access Point giả mạo được dùng để mô tả những Access Point được tạo ra một cách vô tình hay cố ý làm ảnh hưởng đến hệ thống mạng hiện có. Nó được dùng để chỉ các thiết bị hoạt động không dây trái phép mà không quan tâm đến mục đích sử dụng của chúng. ii) Phân loại Access Point được cấu hình không hoàn chỉnh Một Access Point có thể bất ngờ trở thành một thiết bị giả mạo do sai sót trong việc cấu hình. Sự thay đổi trong Service Set Identifier (SSID), thiết lập xác thực, thiết lập mã hóa,… điều nghiêm trọng nhất là chúng sẽ không thể xác thực các kết nối nếu bị cấu hình sai. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 32 Bảo mật WLAN bằng RADIUS Server và WPA2 Ví dụ: Trong trạng thái xác thực mở (open mode authentication) các người dùng không dây ở trạng thái 1 (chưa xác thực và chưa kết nối) có thể gửi các yêu cầu xác thực đến một Access Point và được xác thực thành công sẽ chuyển sang trang thái 2 (được xác thực nhưng chưa kết nối). Nếu một Access Point không xác nhận sự hợp lệ của một máy khách do lỗi trong cấu hình, kẻ tấn công có thể gửi một số lượng lớn yêu cầu xác thực, làm tràn bảng yêu cầu kết nối của các máy khách ở Access Point, làm cho Access Point từ chối truy cập của các người dùng khác bao gồm cả người dùng được phép truy cập. Access Point giả mạo từ các mạng WLAN lân cận Các máy khách theo chuẩn 802.11 tự động chọn Access Point có sóng mạnh nhất mà nó phát hiện được để kết nối. Ví dụ: Windows XP tự động kết nối đến kết nối tốt nhất có thể xung quanh nó. Vì vậy, những người dùng được xác thực của một tổ chức có thể kết nối đến các Access Point của các tổ chức khác lân cận. Mặc dù các Access Point lân cận không cố ý thu hút kết nối từ các người dùng, những kết nối đó vô tình để lộ những dữ liệu nhạy cảm. Access Point giả mạo do kẻ tấn công tạo ra Giả mạo AP là kiểu tấn công “man in the middle” cổ điển. Đây là kiểu tấn công mà tin tặc đứng ở giữa và trộm lưu lượng truyền giữa 2 nút. Kiểu tấn công này rất mạnh vì tin tặc có thể trộm tất cả lưu lượng đi qua mạng. Rất khó khăn để tạo một cuộc tấn công “man in the middle” trong mạng có dây bởi vì kiểu tấn công này yêu cầu truy cập thực sự đến đường truyền. Trong mạng không dây thì lại rất dễ bị tấn công kiểu này. Tin tặc cần phải tạo ra một AP thu hút nhiều sự lựa chọn hơn AP chính thống. AP giả này có thể được thiết lập bằng cách sao chép tất cả các cấu hình của AP chính thống đó là: SSID, địa chỉ MAC v.v… Bước tiếp theo là làm cho nạn nhân thực hiện kết nối tới AP giả. Cách thứ nhất là đợi cho nguời dùng tự kết nối. Cách thứ hai là gây ra một cuộc tấn công từ chối dịch vụ DoS trong AP chính thống do vậy nguời dùng sẽ phải kết nối lại với AP giả. Trong mạng 802.11 sự lựa chọn AP được thực hiện bởi cường độ của tín hiệu nhận. Điều duy nhất tin tặc phải thực hiện là chắc chắn rằng AP của mình SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 33 Bảo mật WLAN bằng RADIUS Server và WPA2 có cường độ tín hiệu mạnh hơn cả. Để có được điều đó tin tặc phải đặt AP của mình gần người bị lừa hơn là AP chính thống hoặc sử dụng kỹ thuật anten định hướng. Sau khi nạn nhân kết nối tới AP giả, nạn nhân vẫn hoạt động như bình thường do vậy nếu nạn nhân kết nối đến một AP chính thống khác thì dữ liệu của nạn nhân đều đi qua AP giả. Tin tặc sẽ sử dụng các tiện ích để ghi lại mật khẩu của nạn nhân khi trao đổi với Web Server. Như vậy tin tặc sẽ có được tất cả những gì anh ta muốn để đăng nhập vào mạng chính thống. Kiểu tấn công này tồn tại là do trong 802.11 không yêu cầu xác thực 2 hướng giữa AP và nút. AP phát quảng bá ra toàn mạng. Điều này rất dễ bị tin tặc nghe trộm và do vậy tin tặc có thể lấy được tất cả các thông tin mà chúng cần. Các nút trong mạng sử dụng WEP để xác thực chúng với AP nhưng WEP cũng có những lỗ hổng có thể khai thác. Một tin tặc có thể nghe trộm thông tin và sử dụng bộ phân tích mã hoá để trộm mật khẩu của người dùng. Access Point giả mạo được thiết lập bởi chính nhân viên của công ty Vì sự tiện lợi của mạng không dây một số nhân viên của công ty đã tự trang bị Access Point và kết nối chúng vào mạng có dây của công ty. Do không hiểu rõ và nắm vững về bảo mật trong mạng không dây nên họ vô tình tạo ra một lỗ hỏng lớn về bảo mật. Những người lạ vào công ty và hacker bên ngoài có thể kết nối đến Access Point không được xác thực để đánh cắp băng thông, đánh cắp thông tin nhạy cảm của công ty, sự dụng hệ thống mạng của công ty tấn công người khác,… SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 34 Bảo mật WLAN bằng RADIUS Server và WPA2 2.2 TẤN CÔNG YÊU CẦU XÁC THỰC LẠI Hình 2.1 Mô hình tấn công “yêu cầu xác thực lại” Kẻ tấn công xác định mục tiêu tấn công là các người dùng trong mạng wireless và các kết nối của họ (Access Point đến các kết nối của nó). Chèn các frame yêu cầu xác thực lại vào mạng WLAN bằng cách giả mạo địa chỉ MAC nguồn và đích lần lượt của Access Point và các người dùng. Người dùng wireless khi nhận được frame yêu cầu xác thực lại thì nghĩ rằng chúng do Access Point gửi đến. Sau khi ngắt được một người dùng ra khỏi dịch vụ không dây, kẻ tấn công tiếp tục thực hiện tương tự đối với các người dùng còn lại. Thông thường người dùng sẽ kết nối lại để phục hồi dịch vụ, nhưng kẻ tấn công đã nhanh chóng tiếp tục gửi các gói yêu cầu xác thực lại cho người dùng. 2.3 FAKE ACCESS POINT Kẻ tấn công sử dụng công cụ có khả năng gửi các gói beacon với địa chỉ vật lý (MAC) giả mạo và SSID giả để tạo ra vô số Access Point giả lập. Điều này làm xáo trộn tất cả các phần mềm điều khiển card mạng không dây của người dùng. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 35 Bảo mật WLAN bằng RADIUS Server và WPA2 Hình 2.2 Mô hình tấn công Fake Access Point 2.4 TẤN CÔNG DỰA TRÊN SỰ CẢM NHẬN SÓNG MANG LỚP VẬT LÝ Ta có thể hiểu nôm na là: Kẻ tất công lợi dụng giao thức chống đụng độ CSMA/CA, tức là nó sẽ làm cho tất cả người dùng nghĩ rằng lúc nào trong mạng cũng có 1 máy tính đang truyền thông. Điều này làm cho các máy tính khác luôn luôn ở trạng thái chờ đợi kẻ tấn công ấy truyền dữ liệu xong dẫn đến tình trạng nghẽn trong mạng. Tần số là một nhược điểm bảo mật trong mạng không dây. Mức độ nguy hiểm thay đổi phụ thuộc vào giao diện của lớp vật lý. Có một vài tham số quyết định sự chịu đựng của mạng là: năng lượng máy phát, độ nhạy của máy thu, tần số RF (Radio Frequency), băng thông và sự định hướng của anten. Trong 802.11 sử dụng thuật toán đa truy cập cảm nhận sóng mang (CSMA) để tránh va chạm. CSMA là một thành phần của lớp MAC. CSMA được sử dụng để chắc chắn rằng sẽ không có va chạm dữ liệu trên đường truyền. Kiểu tấn công này không sử dụng tạp âm để tạo ra lỗi cho mạng nhưng nó sẽ lợi dụng chính chuẩn đó. Có nhiều cách để khai thác giao thức cảm nhận sóng mang vật lý. Cách đơn giản là làm cho các nút trong mạng đều tin tưởng rằng có một nút đang truyền tin tại thời điểm hiện tại. Cách dễ nhất đạt được điều này là tạo ra một nút giả mạo để truyền tin một cách liên tục. Một cách khác là sử dụng bộ tạo tín hiệu RF. Một cách tấn công SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 36 Bảo mật WLAN bằng RADIUS Server và WPA2 tinh vi hơn là làm cho card mạng chuyển vào chế độ kiểm tra mà ở đó nó truyền đi liên tiếp một mẫu kiểm tra. Tất cả các nút trong phạm vi của một nút giả là rất nhạy với sóng mang và trong khi có một nút đang truyền thì sẽ không có nút nào được truyền. 2.5 TẤN CÔNG NGẮT KẾT NỐI Hình 2.3 Mô hình tấn công ngắt kết nối Kẻ tấn công xác định mục tiêu (wireless clients) và mối liên kết giữa AP với các clients. Kẻ tấn công gửi disassociation frame bằng cách giả mạo Source và Destination MAC đến AP và các client tương ứng. Client sẽ nhận các frame này và nghĩ rằng frame hủy kết nối đến từ AP. Đồng thời kẻ tấn công cũng gởi disassociation frame đến AP. Sau khi đã ngắt kết nối của một client, kẻ tấn công tiếp tục thực hiện tương tự với các client còn lại làm cho các client tự động ngắt kết nối với AP. Khi các clients bị ngắt kết nối sẽ thực hiện kết nối lại với AP ngay lập tức. Kẻ tấn công tiếp tục gởi disassociation frame đến AP và clients. Có thể ta sẽ rất dễ nhầm lẫn giữa 2 kiểu tấn công : Disassociation flood attack và De-authentication Flood Attack. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 37 Bảo mật WLAN bằng RADIUS Server và WPA2 Giống nhau : Về hình thức tấn công, có thể cho rằng chúng giống nhau vì nó giống như một đại bác 2 nòng , vừa tấn công Access Point vừa tấn công Clients. Và quan trọng hơn hết, chúng "nả pháo" liên tục. Khác nhau: De-authentication Flood Attack: Yêu cầu cả AP và client gởi lại frame xác thực xác thực failed. Disassociation flood attack : Gởi disassociation frame làm cho AP và client tin tưởng rằng kết nối giữa chúng đã bị ngắt. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 38 Bảo mật WLAN bằng RADIUS Server và WPA2 CHƯƠNG 3. CÁC GIẢI PHÁP BẢO MẬT WLAN 3.1 TẠI SAO PHẢI BẢO MẬT WLAN? Để kết nối tới một mạng LAN hữu tuyến ta cần phải truy cập theo đường truyền bằng dây cáp, phải kết nối một PC vào một cổng mạng. Với mạng không dây ta chỉ cần có máy của ta trong vùng sóng bao phủ của mạng không dây. Điều khiển cho mạng có dây là đơn giản: đường truyền bằng cáp thông thường được đi trong các tòa nhà cao tầng và các port không sử dụng có thể làm cho nó disable bằng các ứng dụng quản lý. Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vật liệu của các tòa nhà và như vậy sự bao phủ là không giới hạn ở bên trong một tòa nhà. Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát từ các mạng LAN này, và như vậy ai đó có thể truy cập nhờ thiết bị thích hợp. Do đó mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ. Với giá thành xây dựng một hệ thống mạng WLAN giảm, ngày càng có nhiều công ty sử dụng. Điều này sẽ không thể tránh khỏi việc Hacker chuyển sang tấn công và khai thác các điểm yếu trên nền tảng mạng sử dụng chuẩn 802.11. Những công cụ Sniffers cho phép tóm được các gói tin giao tiếp trên mạng, họ có thể phân tích và lấy đi những thông tin quan trọng của chúng ta. Hình 3.1 Truy cập trái phép mạng không dây SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 39 Bảo mật WLAN bằng RADIUS Server và WPA2 Những nguy cơ bảo mật trong WLAN bao gồm: Các thiết bị có thể kết nối tới những Access Point đang broadcast SSID. Hacker sẽ cố gắng tìm kiếm các phương thức mã hoá đang được sử dụng trong quá trình truyền thông tin trên mạng, sau đó có phương thức giải mã riêng và lấy các thông tin nhạy cảm. Người dụng sử dụng Access Point tại gia đình sẽ không đảm bảo tính bảo mật như khi sử dụng tại doanh nghiệp. Để bảo mật mạng WLAN, ta cần thực hiện qua các bước: Authentication Encryption IDS & IPS. Chỉ có những người dùng được xác thực mới có khả năng truy cập vào mạng thông qua các Access Point. Các phương thức mã hoá được áp dụng trong quá trình truyền các thông tin quan trọng. Bảo mật các thông tin và cảnh báo nguy cơ bảo mật bằng hệ thống IDS (Intrusion Detection System) và IPS (Intrusion Prevention System). Xác thực và bảo mật dữ liệu bằng cách mã hoá thông tin truyền trên mạng. IDS như một thiết bị giám sát mạng Wireless và mạng Wired để tìm kiếm và cảnh báo khi có các dấu hiệu tấn công. 3.2 WEP WEP (Wired Equivalent Privacy) có nghĩa là bảo mật không dây tương đương với có dây. Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệu vào cùng một phương thức không an toàn. WEP sử dụng một khoá mã hoá không thay đổi có độ dài 64 bit hoặc 128 bit, (nhưng trừ đi 24 bit sử dụng cho vector khởi tạo khoá mã hoá, nên độ dài khoá chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thực các thiết bị được phép truy cập vào trong mạng và cũng được sử dụng để mã hoá truyền dữ liệu. Rất đơn giản, các khoá mã hoá này dễ dàng bị "bẻ gãy" bởi thuật toán bruteforce và kiểu tấn công thử lỗi (trial-and-error). Các phần mềm miễn phí như Airsnort hoặc WEPCrack sẽ cho phép hacker có thể phá vỡ khoá mã hoá nếu họ thu SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 40 Bảo mật WLAN bằng RADIUS Server và WPA2 thập đủ từ 5 đến 10 triệu gói tin trên một mạng không dây. Với những khoá mã hoá 128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hoá nên chỉ có 104 bit được sử dụng để mã hoá, và cách thức cũng giống như mã hoá có độ dài 64 bit nên mã hoá 128 bit cũng dễ dàng bị bẻ khoá. Ngoài ra, những điểm yếu trong những vector khởi tạo khoá mã hoá giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông tin hơn rất nhiều. Không dự đoán được những lỗi trong khoá mã hoá, WEP có thể được tạo ra cách bảo mật mạnh mẽ hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khoá mã hoá mới cho mỗi phiên làm việc. Khoá mã hoá sẽ thay đổi trên mỗi phiên làm việc. Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẽ gãy khoá bảo mật. 3.3 WLAN VPN Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như IPSec (Internet Protocol Security). IPSec dùng các thuật toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu và dùng các thuật toán khác để xác thực gói dữ liệu. IPSec cũng sử dụng thẻ xác nhận số để xác nhận khóa mã (public key). Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 41 Bảo mật WLAN bằng RADIUS Server và WPA2 Hình 3.2 Mô hình WLAN VPN SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 42 Bảo mật WLAN bằng RADIUS Server và WPA2 3.4 TKIP (TEMPORAL KEY INTEGRITY PROTOCOL) Là giải pháp của IEEE được phát triển năm 2004. Là một nâng cấp cho WEP nhằm vá những vấn đề bảo mật trong cài đặt mã dòng RC4 trong WEP. TKIP dùng hàm băm (hashing) IV để chống lại việc giả mạo gói tin, nó cũng cung cấp phương thức để kiểm tra tính toàn vẹn của thông điệp MIC (message integrity check) để đảm bảo tính chính xác của gói tin. TKIP sử dụng khóa động bằng cách đặt cho mỗi frame một chuỗi số riêng để chống lại dạng tấn công giả mạo. 3.5 AES Trong mật mã học, AES (viết tắt của từ tiếng Anh: Advanced Encryption Standard, hay Tiêu chuẩn mã hóa tiên tiến) là một thuật toán mã hóa khối được chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa. Giống như tiêu chuẩn tiền nhiệm DES, AES được kỳ vọng áp dụng trên phạm vi thế giới và đã được nghiên cứu rất kỹ lưỡng. AES được chấp thuận làm tiêu chuẩn liên bang bởi Viện tiêu chuẩn và công nghệ quốc gia Hoa kỳ (NIST) sau một quá trình tiêu chuẩn hóa kéo dài 5 năm. Thuật toán được thiết kế bởi hai nhà mật mã học người Bỉ: Joan Daemen và Vincent Rijmen (lấy tên chung là "Rijndael" khi tham gia cuộc thi thiết kế AES). Rijndael được phát âm là "Rhine dahl" theo phiên âm quốc tế (IPA: [ɹaindal]). 3.6 802.1X VÀ EAP 802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) được định nghĩa bởi IEEE. Hoạt động trên cả môi trường có dây truyền thống và không dây. Việc điều khiển truy cập được thực hiện bằng cách: Khi một người dùng cố gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn (blocking) và chờ cho việc kiểm tra định danh người dùng hoàn tất. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 43 Bảo mật WLAN bằng RADIUS Server và WPA2 Hình 3.3 Mô hình hoạt động xác thực 802.1x EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, cetificate,…), giao thức được sử dụng (MD5, TLS_Transport Layer Security, OTP_ One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau. Quá trình chứng thực 802.1x-EAP như sau: Wireless client muốn liên kết với một AP trong mạng. 1. AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng, khi đó Client yêu cầu liên kết tới AP 2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP 3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP 4. Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng thực 5. Server chứng thực gửi một yêu cầu cho phép tới AP 6. AP chuyển yêu cầu cho phép tới client 7. Client gửi trả lời sự cấp phép EAP tới AP 8. AP chuyển sự trả lời đó tới Server chứng thực 9. Server chứng thực gửi một thông báo thành công EAP tới AP 10. AP chuyển thông báo thành công tới client và đặt cổng của client trong chế độ forward. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 44 Bảo mật WLAN bằng RADIUS Server và WPA2 3.7 WPA (WI-FI PROTECTED ACCESS) WEP được xây dựng để bảo vệ một mạng không dây tránh bị nghe trộm. Nhưng nhanh chóng sau đó người ta phát hiện ra nhiều lổ hỏng ở công nghệ này. Do đó, công nghệ mới có tên gọi WPA (Wi-Fi Protected Access) ra đời, khắc phục được nhiều nhược điểm của WEP. Trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP. WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể thực hiện được với WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu. Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền. WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hóa lúc đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc. Lưu ý: i. Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal. Khi mà sử dụng hàm thay đổi khoá TKIP được sử dụng để tạo ra các khoá mã hoá bị phát hiện, nếu hacker có thể đoán được khoá khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu. Tuy nhiên, lỗ hổng này cũng sẽ bị loại bỏ bằng cách sử dụng những khoá khởi tạo không dễ đoán (đừng sử dụng những từ như "P@SSWORD" để làm mật khẩu). ii. Điều này cũng có nghĩa rằng kỹ thuật TKIP của WPA chỉ là giải pháp tạm thời, chưa cung cấp một phương thức bảo mật cao nhất. WPA chỉ thích hợp với những công ty mà không truyền dữ liệu "mật" về những thương SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 45 Bảo mật WLAN bằng RADIUS Server và WPA2 mại, hay các thông tin nhạy cảm... WPA cũng thích hợp với những hoạt động hàng ngày và mang tính thử nghiệm công nghệ. 3.8 WPA2 Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng nhận bởi Wi-Fi Alliance. Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES. AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit. Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia về Chuẩn và Công nghệ của Mỹ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này. Lưu ý: Chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mỹ để bảo vệ các thông tin nhạy cảm. Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES (Digital Encryption Standard). Để đảm bảo về mặt hiệu năng, quá trình mã hoá cần được thực hiện trong các thiết bị phần cứng như tích hợp vào chip. Tuy nhiên, rất ít người sử dụng mạng không dây quan tâm tới vấn đề này. Hơn nữa, hầu hết các thiết bị cầm tay Wi-Fi và máy quét mã vạch đều không tương thích với chuẩn 802.11i. 3.9 LỌC (FILTERING) Lọc là cơ chế bảo mật cơ bản có thể sử dụng cùng với WEP. Lọc hoạt động giống như Access list trên router, cấm những cái không mong muốn và cho phép những cái mong muốn. Có 3 kiểu lọc cơ bản có thể được sử dụng trong wireless lan: Lọc SSID Lọc địa chỉ MAC Lọc giao thức a) Lọc SSID Lọc SSID là một phương thức cơ bản của lọc và chỉ nên được sử dụng cho việc điều khiển truy cập cơ bản. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 46 Bảo mật WLAN bằng RADIUS Server và WPA2 SSID của client phải khớp với SSID của AP để có thể xác thực và kết nối với tập dịch vụ. SSID được quảng bá mà không được mã hóa trong các Beacon nên rất dễ bị phát hiện bằng cách sử dụng các phần mềm. Một số sai lầm mà người sử dụng WLAN mắc phải trong việc quản lí SSID gồm: Sử dụng giá trị SSID mặc định tạo điều kiện cho hacker dò tìm địa chỉ MAC của AP. Sử dụng SSID có liên quan đến công ty. Sử dụng SSID như là phương thức bảo mật của công ty. Quảng bá SSID một cách không cần thiết. b) Lọc địa chỉ MAC Hầu hết các AP đều có chức năng lọc địa chỉ MAC. Người quản trị có thể xây dựng danh sách các địa chỉ MAC được cho phép. Nếu client có địa chỉ MAC không nằm trong danh sách lọc địa chỉ MAC của AP thì AP sẽ ngăn chặn không cho phép client đó kết nối vào mạng. Nếu công ty có nhiều client thì có thể xây dựng máy chủ RADIUS có chức năng lọc địa chỉ MAC thay vì AP. Cấu hình lọc địa chỉ MAC là giải pháp bảo mật có tính mở rộng cao. c) Lọc giao thức Mạng Lan không dây có thể lọc các gói đi qua mạng dựa trên các giao thức từ lớp 2 đến lớp 7. Trong nhiều trường hợp người quản trị nên cài đặt lọc giao thức trong môi trường dùng chung, ví dụ trong trường hợp sau: Hình 3.4 Tiến trình xác thực MAC SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 47 Bảo mật WLAN bằng RADIUS Server và WPA2 Có một nhóm cầu nối không dây được đặt trên một Remote building trong một mạng WLAN của một trường đại học mà kết nối lại tới AP của tòa nhà kỹ thuật trung tâm. Vì tất cả những người sử dụng trong remote building chia sẻ băng thông 5Mbs giữa những tòa nhà này, nên một số lượng đáng kể các điều khiển trên các sử dụng này phải được thực hiện. Nếu các kết nối này được cài đặt với mục đích đặc biệt của sự truy nhập internet của người sử dụng, thì bộ lọc giao thức sẽ loại trừ tất cả các giao thức, ngoại trừ HTTP, SMTP, HTTPS, FTP… Hình 3.5 Lọc giao thức SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 48 Bảo mật WLAN bằng RADIUS Server và WPA2 3.10 KẾT LUẬN Cho các điểm truy cập tự động (hotspots), việc mã hoá không cần thiết, chỉ cần người dung xác thực mà thôi. Với người dùng sử dụng mạng WLAN cho gia đình, một phương thức bảo mật với WPA passphare hay preshared key được khuyến cáo sử dụng. Với giải pháp doanh nghiệp, để tối ưu quá trình bảo mật với 802.1x EAP làm phương thức xác thực và TKIP hay AES làm phương thức mã hoá. Được dựa theo chuẩn WPA hay WPA2 và 802.11i security. Bảng 3.1 Escalating Security Open Access Basic Security Enhanced Remote Access Security - No encryption - WPA Passphase - 802.1x EAP - Virtual Private - Basic - WEP Encryption - Mutual Network (VPN) anthentication - Home use Anthentication - Business - Public - TKIP Encrytion Traveler “hotspots” - WPA/WPA2 - Telecommuter - 802.11i Security - Enterprise Bảo mật mạng WLAN cũng tương tự như bảo mật cho các hệ thống mạng khác. Bảo mật hệ thống phải được áp dụng cho nhiều tầng, các thiết bị nhận dạng phát hiện tấn công phải được triển khai. Giới hạn các quyền truy cập tối thiểu cho những người dùng cần thiết. Dữ liệu được chia sẻ và yêu cầu xác thực mới cho phép truy cập. Dữ liệu truyền phải được mã hoá. Kẻ tấn công có thể tấn công mạng WLAN không bảo mật bất cứ lúc nào. Bạn cần có một phương án triển khai hợp lý. Phải ước lượng được các nguy cơ bảo mật và các mức độ bảo mật cần thiết để áp dụng. Đánh giá được toàn bộ các giao tiếp qua WLAN và các phương thức bảo mật cần được áp dụng. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 49 Bảo mật WLAN bằng RADIUS Server và WPA2 Đánh giá được các công cụ và các lựa chọn khi thiết kế về triển khai mạng WLAN. Trong khi sử dụng VPN Fix qua các kết nối WLAN có thể là một ý tưởng hay và cũng sẽ là một hướng đi đúng. Nhưng sự không thuận tiện cũng như giá cả và tăng lưu lượng mạng cũng là rào cản cần vượt qua. Sự chuyển đổi sang 802.11i và mã hoá AES đem lại khả năng bảo mật cao nhất. Nhưng các tổ chức, cơ quan vẫn đang sử dụng hàng nghìn những card mạng WLAN không hỗ trợ chuẩn này. Hơn nữa AES không hỗ các thiết bị cầm tay và máy quét mã vạch hoặc các thiết bị khác... Đó là những giới hạn khi lựa chọn 802.11i. Sự chuyển hướng sang WPA vẫn còn là những thử thách. Mặc dù, vẫn còn những lỗ hổng về bảo mật và có thể những lỗ hổng mới sẽ được phát hiện. Nhưng tại thời điểm này, WPA là lựa chọn tốt. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 50 Bảo mật WLAN bằng RADIUS Server và WPA2 CHƯƠNG 4. BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP XÁC THỰC RADIUS SERVER VÀ WPA2 4.1 GIỚI THIỆU TỔNG QUAN Hình 4.1 Mô hình xác thực giữa Wireless Clients và RADIUS Server. Việc bảo mật WLAN sử dụng chuẩn 802.1x kết hợp với xác thực người dùng trên Access Point (AP). Một máy chủ thực hiện việc xác thực trên nền tảng RADIUS có thể là một giải pháp tốt cung cấp xác thực cho chuẩn 802.1x. Trong phần này này tôi sẽ giới thiệu cách thức làm việc của RADIUS và vì sao phải cần máy chủ RADIUS để hỗ trợ việc xác thực cho WLAN. 4.1.1 Xác thực, cấp phép và kiểm toán Giao thức Remote Authentication Dial In User Service (RADIUS) được định nghĩa trong RFC 2865 như sau: Với khả năng cung cấp xác thực tập trung, cấp SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 51 Bảo mật WLAN bằng RADIUS Server và WPA2 phép và điều khiển truy cập (Authentication, Authorization, và Accounting – AAA) cho các phiên làm việc với SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet. Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách các username và password cho việc cấp phép, RADIUS AccessRequest sẽ chuyển các thông tin tới một Authentication Server, thông thường nó là một AAA Server (AAA – Authentication, Authoriztion, và Accounting). Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu, thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NASs. Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS AccessRequest tới máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một port xác định, NAS identify, và một message Authenticator. Sau khi nhận được các thông tin máy chủ AAA sử dụng các gói tin được cung cấp như NAS identify, và Authenticator thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không. Nếu có khả năng, máy chủ AAA sẽ tìm kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong cơ sở dữ lệu. Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin trong Access-Request quyết định quá trình truy cập của user đó là được chấp nhận. Khi quá trình xác thực bắt đầu được sử dụng, máy chủ AAA có thể sẽ trả về một RADIUS Access-Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến người dùng từ xa (với ví dụ này sử dụng CHAP). Khi đó người dùng sẽ phải trả lời đúng các yêu cầu xác nhận (trong ví dụ này, đưa ra lời đề nghị mã hoá password), sau đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request. Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn thoả mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-Accept. Nếu không thoả mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject và NAS sẽ ngắt kết nối với user. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 52 Bảo mật WLAN bằng RADIUS Server và WPA2 Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được thiết lập, NAS sẽ gửi mộtgói tin RADIUS Accounting-Request (Start) tới máy chủ AAA. Máy chủ sẽ thêm các thông tin vào file Log của nó, với việc NAS sẽ cho phép phiên làm việc với user bắt đầu khi nào, và kết thúc khi nào, RADIUS Accouting làm nhiệm vụ ghi lại quá trình xác thực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Accounting- Request (Stop). 4.1.2 Sự bảo mật và tính mở rộng Tất cả các message của RADIUS đều được đóng gói bởi UDP datagrams, nó bao gồm các thông tin như: message type, sequence number, length, Authenticator, và một loạt các Attribute-Value. Authenticator: Tác dụng của Authenticator là cung cấp một chế độ bảo mật. NAS và AAA Server sử dụng Authenticator để hiểu đuợc các thông tin đã được mã hóa của nhau như mật khẩu chẳng hạn. Authenticator cũng giúp NAS phát hiện sự giả mạo của gói tin RADIUS Responses. Cuối cùng, Authenticator được sử dụng làm cho để biễn password thành một dạng nào đó, ngăn chặn việc làm lộ mật khẩu của người dùng trong các message RADIUS. Authenticator gửi Access-Request trong một số ngẫu nhiên. MD5 sẽ băm (hash) số ngẫu nhiên đó thành một dạng riêng là OR’ed cho mật khẩu của người dùng và gửi trong Access-Request User-Password. Toàn bộ RADIUS response sau đó được MD5 băm (hash) với cùng thông số bảo mật của Authenticator, và các thông số response khác. Authenticator giúp cho quá trình giao tiếp giữa NAS và máy chủ AAA được bảo mật nhưng nếu kẻ tấn công tóm được cả hai gói tin RADIUS Access-Request và Access-Response thì có thể thực hiện "dictionary attack" để phân tích việc đóng gói này. Trong điều kiện thực tế để việc giải mã khó khăn bạn cần phải sử dụng những thông số dài hơn, toàn bộ vấn đề có khả năng nguy hại cho quá trình truyền tải này được miêu tả rất kỹ trong RFC 3580. Attribute-Value Pairs: Thông tin được mang bởi RADIUS đuợc miêu tả trong một dạng Attribute-Value, để hỗ trợ cho nhiều công nghệ khác nhau, và nhiều phương thức xác thực khác nhau. Một chuẩn được định nghĩa trong Attribute-Value SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 53 Bảo mật WLAN bằng RADIUS Server và WPA2 pairs (cặp đôi), bao gồm User-Name, User-Password, NAS-IPAddress, NAS-Port, Service-Type. Các nhà sản xuất (vendors) cũng có thể định nghĩa Attribute-Value pairs để mang các thông tin của mình như Vendor-Specific toàn bộ ví dụ này được miêu tả trong RFC 2548 - Định nghĩ Microsoft Attribute-Value pair trong MSCHAP. Thêm vào đó, rất nhiều chuẩn Attribute-Value pairs được định nghĩa trong nhiều năm để hỗ trợ Extensible Authentication Protocol (EAP), một dạng khác cũ hơn của nó là PAP và CHAP dial-up protocol. Bạn có thể tìm thấy trong tài liệu RFC 3579 cho phiên bản mới nhất của RADIUS hỗ trợ EAP. Trong phần này sẽ nói rất rõ về hỗ trợ xác thực cho WLAN, từ khi chuẩn EAP được sử dụng cho 802.1x Port Access Control để cho phép xác thực từ bên ngoài cho wireless. 4.1.3 Áp dụng RADIUS cho WLAN Trong một mạng Wireless sử dụng 802.1x Port Access Control, các máy trạm sử dụng wireless với vai trò Remote User và Wireless Access Point làm việc như một Network Access Server (NAS). Để thay thế cho việc kết nối đến NAS với dial-up như giao thức PPP, wireless station kết nối đến Access Point bằng việc sử dụng giao thức 802.11. Một quá trình được thực hiện, wireless station gửi một message EAP-Start tới Access Point. Access Point sẽ yêu cầu station nhận dạng và chuyển các thông tin đó tới một AAA Server với thông tin là RADIUS Access-Request User-Name attribute. Máy chủ AAA và wireless station hoàn thành quá trình bằng việc chuyển các thông tin RADIUS Access-Challenge và Access-Request qua Access Point. Được quyết định bởi phía trên là một dạng EAP, thông tin này được chuyển trong một đường hầm được mã hoá TLS (Encypted TLS Tunnel). Nếu máy chủ AAA gửi một message Access-Accept, Access Point và wireless station sẽ hoàn thành quá trình kết nối và thực hiện phiên làm việc với việc sử dụng WEP hay TKIP để mã hoá dữ liệu. Và tại điểm đó, Access Point sẽ không cấm cổng và wireless station có thể gửi và nhận dữ liệu từ hệ thống mạng một cách bình thường. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 54 Bảo mật WLAN bằng RADIUS Server và WPA2 Cần lưu ý là mã hoá dữ liệu từ wireless station tới Access Point khác với quá trình mã hoá từ Access Point tới máy chủ AAA Server (RADIUS Server). Nếu máy chủ AAA gửi một message Access-Reject, Access Point sẽ ngắt kết nối tới station. Station có thể cố gắng thử lại quá tình xác thực, nhưng Access Point sẽ cấm station này không gửi được các gói tin tới các Access Point ở gần đó. Chú ý là station này hoàn toàn có khả năng nghe được các dữ liệu được truyền đi từ các stations khác – Trên thực tế dữ liệu được truyền qua sóng radio và đó là câu trả lời tại sao bạn phải mã hoá dữ liệu khi truyền trong mạng không dây. Attribute-Value pare bao gồm trong message của RADIUS có thể sử dụng bởi máy chủ AAA để quyết định phiên làm việc giữa Access Point và wireless station, như Sesstion-Timeout hay VLAN Tag (Tunnel-Type=VLAN, TunnelPrivate-Group-ID=tag). Chính xác các thông tin thêm vào có thể phụ thuộc vào máy chủ AAA Server hay Access Point và station bạn sử dụng. 4.1.4 Các tùy chọn bổ sung Một vấn đề đầu tiên bạn phải hiểu vai trò của RADIUS trong quá trình xác thực của WLAN, bạn phải thiết lập một máy chủ AAA hỗ trợ interaction. Nếu bạn có một máy chủ AAA trong mạng gọi là RADIUS, nó đã sẵn sàng để hỗ trợ xác thực cho chuẩn 802.1x và cho phép chọn lựa các dạng EAP. Nếu đã có bạn chuyển tiếp đến bước tiếp theo là làm thế nào để thiết lập tính năng này. Nếu bạn có một RADIUS – AAA Server không hỗ trợ 802.1x, hoặc không hỗ trợ các dạng EAP, bạn có thể lựa chọn bằng cách cập nhật các phiên bản phần mềm mới hơn cho server, hay bạn có thể cài đặt một máy chủ mới. Nếu bạn cài đặt một máy chủ AAA hỗ trợ xác thực cho chuẩn 802.1x, bạn có thể sử dụng tính năng RADIUS proxy để thiết lập một chuỗi các máy chủ, cùng chia sẻ chung một cơ sở dữ liệu tập trung, RADIUS proxy có thể sử dụng để chuyển các yêu cầu xác thực tới máy chủ có khả năng xác thực qua chuẩn 802.1x. Nếu bạn không có một RADIUS – là máy chủ AAA, bạn cần thiết phải cài đặt một máy chủ cho quá trình xác thực của WLAN, lựa chọn cài đặt này là một công việc thú vị. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 55 Bảo mật WLAN bằng RADIUS Server và WPA2 Với cơ sở tập trung - Giải pháp sử dụng RADIUS cho mạng WLAN là rất quan trọng bởi nếu một hệ thống mạng của bạn có rất nhiều Access Point việc cấu hình để bảo mật hệ thống này là rất khó nếu quản lý riêng biệt, người dùng có thể xác thực từ nhiều Access Point khác nhau và điều đó là không bảo mật. Khi sử dụng RADIUS cho WLAN mang lại khả năng tiện lợi rất cao, xác thực cho toàn bộ hệ thống nhiều Access Point, … cung cấp các giải pháp thông minh hơn. 4.1.5 Chúng ta sẽ lựa chọn máy chủ RADIUS như thế nào là hợp lý? Phần này sẽ trình bày việc quản lý sử dụng ứng dụng cũng như giá cả của một máy chủ RADIUS nếu được triển khai sẽ là bao nhiêu để có thể phù hợp với doanh nghiệp. Trong phần trên, chúng ta đã hiểu được máy chủ RADIUS cung cấp xác thực cho 802.1x Port Access Control. Chúng ta cần quan tâm đến việc triển khai các tuỳ chọn cho các giải pháp sử dụng chuẩn 802.1x. Việc quản lý sử dụng ứng dụng này cũng như giá cả của một máy chủ RADIUS nếu được triển khai sẽ là bao nhiêu để có thể phù hợp với doanh nghiệp. Chi phí Các công việc kinh doanh muốn nâng cao tính bảo mật cho hệ thống mạng WLAN nhưng lại sử dụng chuẩn 802.1x – và với yêu cầu này thì lựa chọn việc triển khai RADIUS là hợp lý. Deploy WPA with Preshared Keys: Nâng cấp hệ thống mạng WLAN của bạn đang sử dụng từ Wired Equivalent Privacy (WEP) tới Wi-Fi Protected Access (WPA) có thực hiện không cần phải sử dụng RADIUS mà bằng cách sử dụng Preshared Keys (PSK) hỗ trợ cho chuẩn 802.1x. Preshared Keys không thể thực hiện việc xác thực cho mỗi user và khả năng chống các cuộc tấn công "dictionary attack" là rất kém do tồn tại khá nhiều vấn đề về bảo mật. Nếu sử dụng giải pháp này việc kinh doanh của bạn sẽ có nhiều rủi do hơn, và chỉ áp dụng cho môi trường nhỏ thì giải pháp WPA-PSK là hợp lý. Use Microsoft's RADIUS Server: Nếu bạn có một máy chủ chạy hệ điều hành Microsoft Windows Server 2000/2003 thì hoàn toàn có khả năng, với việc sử dụng Microsoft’s Internet Authentication Service (IAS). SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 56 Bảo mật WLAN bằng RADIUS Server và WPA2 IAS cần thiết cho các nhà quản trị hay các user phải làm việc trên môi trường Windows. Và nó cũng là một trong những tính năng cao cấp của Microsoft Wireless Provisioning Service. Install an Open Source RADIUS Server: Nếu bạn không có một phiên bản Windows, một lựa chọn cho bạn nữa là sử dụng giải pháp phần mềm mã nguồn mở, bạn có thể tham khảo tại: http://www.freeradius.org. Với khả năng hỗ trợ cho chuẩn 802.1x các máy chủ chạy hệ điều hành mã nguồn mở như Linux, Free or OpenBSD, OSF/Unix, hoặc Solaris đều có thể sử dụng làm RADIUS Server. Mua một Commercial RADIUS Server: Trong trường hợp phải sử dụng một giải pháp chuyên nghiệp cần hỗ trợ đầy đủ toàn bộ các tính năng cũng như khả năng an toàn, và độ ổn định bạn có thể mua các bản thương mại từ các nhà sản xuất khác, với tính năng hỗ trợ 802.1x và là một RADIUS Server chuyên nghiệp: Aradial WiFi - http://www.aradial.com Bridgewater Wi-Fi AAA - http://www.bridgewatersystems.com Cisco Secure Access Control Server - http://www.cisco.com/ Funk Odyssey - http://www.funk.com/ IEA RadiusNT - http://www.iea-software.com/ Infoblox RADIUS One Appliance - http://www.infoblox.com/ Interlink Secure XS - http://www.interlinknetworks.com/ LeapPoint AiroPoint Appliance - http://www.leappoint.com/ Meetinghouse AEGIS - http://www.mtghouse.com/ OSC Radiator - http://www.open.com.au/radiator/ Vircom VOP Radius - http://www.vircom.com Commercial RADIUS Servers có giá cả tuỳ vào khả năng của sản phẩm. Ví dụ bạn mua một Funk Odyssey Server, bao gồm 25 license Odyssey Client. VOB Radius Small Bussiness giá khởi điểm là $995 cho 100 Users. Một máy chủ Radiator license giá $720. RADIUS server cũng có thể bao gồm cả giá của phần cứng/phần mềm. Ví dụ Funk’s Steel-Belted Radius có giá trên một Network Engines là $7500. LeapPoint’s AiroPoint 3600 – SE có giá khởi điểm là $2499 cho 50 clients. Toàn bộ SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 57 Bảo mật WLAN bằng RADIUS Server và WPA2 giá ở trên là ví dụ còn phụ thuộc nhiều vào nhà cung cấp phần mềm hay các đại lý của các hãng khác nhau. Ngoài ra với sự lựa chọn cho mạng doanh nghiệp nhỏ bạn không có điều kiện triển khai máy chủ RADIUS một giải pháp tốt cho bạn là sử dụng giải pháp bảo mật từ các công ty chuyên về bảo mật hệ thống mạng Wi-Fi như WSC Guard mang đến giải pháp bảo mật cho các dịch vụ trên nền 802.1x và với giá khởi điểm là $89 cho một người dùng một năm và sẽ xuống còn $59 khi khách hàng đăng ký 1000 người dùng. 4.2 MÔ TẢ HỆ THỐNG Hình 4.2 Wireless Clients, AP và RADIUS Server. Mạng WLAN bản thân nó là không bảo mật, tuy nhiên đối với mạng có dây nếu bạn không có một sự phòng ngừa hay cấu hình bảo vệ gì thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra một mạng WLAN bảo mật là phải triển SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 58 Bảo mật WLAN bằng RADIUS Server và WPA2 khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng của mình được an toàn hơn. Nhằm ngăn chặn những truy cập mạng trái phép mà mình không mong muốn. Khi đó client muốn truy cập vào mạng thì phải đăng nhập đúng username và password hợp lệ. Quá trình xác thực này được điều khiển bởi RADIUS server. Mô tả yêu cầu: Cấu hình RADIUS server trên Window Server 2003, tạo user và password cho các client dự định tham gia vào mạng. Trên AP Linksys, thiết đặt security mode là WPA2-Enterprise. Cho PC tham gia vào mạng, kiểm tra kết nối. Thiết bị yêu cầu: 1 Access point Linksys WRT54G, 2 pc (1 pc có gắn card wireless và 1 pc làm Radius server). PC làm Radius server sử dụng hệ điều hành Windows Server 2003 Enterprise Edition và đã được nâng lên Domain Controller, PC làm wireless client sử dụng hệ điều hành Windows XP Professional và đã được join domain. 4.3 QUY TRÌNH CÀI ĐẶT 4.3.1 Bước 1: Cài DHCP Vào Control panel Add/remove program Add/remove Windows components Networking Services Chọn Dynamic Host Configuration Protocol (DHCP) Chọn OK 4.3.2 Bước 2: Cài Enterprise CA Control panel Add/remove program Add/remove Windows components Certificate services Chọn Certificate Services CA và Chọn Certificate Services Web Enrollment Support Chọn OK (Trong quá trình cài đặt nhớ chọn luôn IIS để dùng Web Enrollment Wizard). Trong các wizard tiếp theo ta chọn “Enterprise root CA” và đặt tên cho CA này là “wifi”. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 59 Bảo mật WLAN bằng RADIUS Server và WPA2 Hình 4.3 Enterprise CA. 4.3.3 Bước 3: Cài Radius Vào Control panel Add/remove program Add/remove Windows components Networking Services Chọn Internet Authentication Service. 4.3.4 Bước 4: Chuyển sang Native Mode Để điều khiển truy cập của user qua Remote Access Policy. Mở Active Directory Users and Computers Console từ thư mục Administrative Tools, click phải chuột vào tên server và chọn “Raise domain Functional Level” Hình 4.4 Raise domain functional level. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 60 Bảo mật WLAN bằng RADIUS Server và WPA2 4.3.5 Bước 5: Cấu hình DHCP Mở DHCP Console từ thư mục Administrative Tools, bấm phải chuột vào tên server và chọn “Anthorize” để đăng ký với DC. Tạo một Scope có tên là “wifi”. Scope range: 192.168.1.150/24 192.168.1.200 Lease Duration: 2 ngày. Default Gateway: 192.168.1.1 DNS Server: 192.168.1.77, 203.113.131.1 Hình 4.5 Kết quả cấu hình DHCP 4.3.6 Bước 6: Cấu hình Radius Mở IAS Console từ thư mục Administrative Tools, bấm phải chuột vào “Internet Authentication Service (Local)” và chọn "Register Server in Active Directory". Hình 4.6 Register Server in Active Directory SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 61 Bảo mật WLAN bằng RADIUS Server và WPA2 Chuyển xuống mục RADIUS Client, bấm phải chuột và chọn "New RADIUS Client" trong cửa sổ mở ra, ta nhập các thông số của thiết bị Access Point: Địa chỉ IP và Secret key. Ở phần chọn "Client-Vendor" nếu loại Access Point có tên trong danh mục thì chọn; nếu không biết loại gì thì chọn "RADIUS Standard" và Shared Secret là “maiyeulf” (phải trùng với shared key trên AP). Hình 4.7 Khai báo radius client 4.3.7 Bước 7: Tạo users, cấp quyền Remote access cho users và cho computer Mở Active Directory Users and Computers Console từ thư mục Administrative Tools. Ta tạo 1 OU “wifi” Tong OU này ta tạo 1 user “cuong”, password là “1”. Ta tạo tiếp 1 computer có tên là “WirelessCli”. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 62 Bảo mật WLAN bằng RADIUS Server và WPA2 Cũng trong OU “wifi” ta tạo 1 group “wifi”, các thành viên của group này là: “WirelessCli” và user “cuong”. Vào User account Dial-in Tab ở mục Remote Access Permission chọn “Control Access through Remote Access Policy” để quản lý việc ra vào của User qua IAS. Hình 4.8 Active Directory Users and Computers 4.3.8 Bước 8: Tạo Remote Access Policy Mở IAS Console từ thư mục Administrative Tools Remote Access Policies New Remote Access Policies. Hình 4.9 New Remote Access Policy. Đặt tên cho Policy này là “wifi” Access mode là “Wireless”. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 63 Bảo mật WLAN bằng RADIUS Server và WPA2 Hình 4.10 Access mode là “Wireless”. Trong wizard tiếp theo ta sẽ cấp quyền truy cập cho user hay group. Hình 4.11 User or Group Access Ta chọn phương thức xác thực cho policy này là PEAP (protected extensible anthentication protocol). Ta chọn Finish ở wizard tiếp theo để hoàn thành. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 64 Bảo mật WLAN bằng RADIUS Server và WPA2 Hình 4.12 EAP type Hình 4.13 Kết quả tạo Remote Access Policy 4.3.9 Bước 9: Cấu hình AP và khai báo địa chỉ máy RADIUS Mở IE Trên thanh Address Bar ta gõ vào 192.168.1.111 (để vào cấu hình AP) Chọn Tab Wireless Tab Wireless Security Tiếp theo ta sẽ cấu hình AP như hình. Hình 4.14 Cấu hình Access Point SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 65 Bảo mật WLAN bằng RADIUS Server và WPA2 4.3.10 Bước 10: Cấu hình Wireless Client Để cấu hình được Wireless Client sử dụng WPA2 thì trước tiên ta phải download gói update cho Windows XP từ link sau: http://www.microsoft.com/downloads/details.aspx?familyid=662BB74DE7C1-48D6-95EE-1459234F4483&displaylang=en Ta chọn Wireless Card Properties Tab Wireless Networks Ta sẽ cấu hình như các hình sau. Hình 4.15 Wireless Network Connection Properties SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 66 Bảo mật WLAN bằng RADIUS Server và WPA2 Hình 4.16 Cấu hình Network Authentication và Data Encryption Hình 4.17 Cấu hình EAP type Cuối cùng ta boot lại RADIUS Server, Access Point và Wireless Client. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 67 Bảo mật WLAN bằng RADIUS Server và WPA2 4.4 DEMO Ta khởi động Radius server và AP. Từ Wireless Client ta đăng nhập với user name là “cuong”, password “1”. Ta sẽ thấy kết quả như sau: Hình 4.18 Kết quả sau khi đăng nhập vào hệ thống Hình 4.19 Trạng thái kết nối SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 68 Bảo mật WLAN bằng RADIUS Server và WPA2 Hình 4.20 Các thông số được cấp bởi DHCP server như IP, DNS server, Default Gateway … Trên Radius Server, ta vào Administrative Tools Event Viewer Security, ta sẽ thấy kết quả như sau: Hình 4.21 Event Viewer SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 69 Bảo mật WLAN bằng RADIUS Server và WPA2 Hình 4.22 Information Properties Chi tiết cụ thể của quá trình đăng nhập được ghi lại trong log file như sau: ++----------------------------------------------------------------------------------------------++ User NGOCUONG\cuong was granted access. Fully-Qualified-User-Name = ngocuong.net/wifi/cuong NAS-IP-Address = 192.168.1.111 NAS-Identifier = <not present> Client-Friendly-Name = Linksys 54G Client-IP-Address = 192.168.1.111 Calling-Station-Identifier = 00-1B-77-09-BF-1E NAS-Port-Type = Wireless - IEEE 802.11 NAS-Port = 1 Proxy-Policy-Name = Use Windows authentication for all users Authentication-Provider = Windows Authentication-Server = <undetermined> SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 70 Bảo mật WLAN bằng RADIUS Server và WPA2 Policy-Name = wifi Authentication-Type = PEAP EAP-Type = Secured password (EAP-MSCHAP v2) For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. ++----------------------------------------------------------------------------------------------++ SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 71 Bảo mật WLAN bằng RADIUS Server và WPA2 KẾT LUẬN VÀ HƯỚNG MỞ Kết luận Thông qua việc tìm hiểu về mạng không dây đặc biệt là mạng cục bộ không dây, tôi đã có được các kiến thức về các chuẩn, cấu trúc mạng, các vấn đề bảo mật và khi triển khai hệ thống mạng cục bộ không dây. Việc phát triển mạng không dây thật sự đem lại hiệu quả với sự thuận lợi khi sử dụng các thiết bị có tính di động cao và vấn đề bảo mật được đặt lên hàng đầu. Do vậy tôi đã chọn phương pháp xác thực RADIUS Server kết hợp với phương pháp mã hóa WPA2 nhằm đề xuất giải pháp bảo mật WLAN. Tuy tôi chưa áp dụng giải pháp này vào trong thực tế nhưng theo tôi thì đây là giải pháp bảo mật WLAN mạnh nhất hiện nay. Nói như thế không có nghĩa giải pháp này là hoàn toàn “bất khả xâm phạm”, vì muốn bảo mật tốt hệ thống của mình thì không chỉ yếu tố phần cứng hay phần mềm mà còn cả yếu tố con người. Hướng mở Ứng dụng công nghệ Smart Card trong việc bảo mật WLAN. Nghiên cứu về (IEEE công nghệ WMAN (IEEE 802.16), WWAN 802.20). Tìm hiểu các yêu cầu, mô hình khi thiết kế, triển khai và bảo mật hệ thống WMAN, WWAN. SVTH: Đặng Ngọc Cường, K10-101-0003 Trang 72