BẢO MẬT MẠNG KHÔNG DÂY BẰNG RADIUS TRÊN THIẾT BỊ ACCESS POINT CISCO AIR 1600 - Full 10 điểm

i L Ờ I C ẢM ƠN Trong 3 năm họ c t ạ i T rường Cao Đẳ ng CNTT H ữ u Ngh ị Vi ệ t Hàn, em đã nhậ n đượ c r ấ t nhi ề u s ự quan tâm, giúp đỡ c ủ a quý th ầ y cô, gia đình và b ạ n bè L ời đầ u tiên em xin g ửi đế n quý th ầy cô trong trường Cao Đẳ ng CNTT H ữ u Ngh ị Vi ệ t Hàn nói chung, các th ầ y cô giáo trong khoa khoa h ọ c máy tính và các th ầ y cô chuyên ngành m ạ ng máy tính nói riêng l ờ i c ảm ơn chân thành và sâu sắ c nh ấ t Đặ c bi ệ t em xin g ử i l ờ i c ảm ơn đế n cô ThS Ninh Khánh Chi là giáo viên hướ ng d ẫn làm đồ án t ố t nghi ệ p đã tận tình giúp đỡ , tr ự c ti ế p ch ỉ b ảo, hướ ng d ẫ n em trong su ốt quá trình làm đồ án Trong th ờ i gian làm vi ệ c v ớ i cô, em không ng ừ ng ti ế p thu thêm nhi ề u ki ế n th ứ c b ổ ích mà còn h ọ c t ậ p đượ c tinh th ầ n làm vi ệc, thái độ nghiên c ứ u khoa h ọ c nghiêm túc, hi ệ u qu ả, đây là những điề u r ấ t c ầ n thi ế t cho em trong quá trình h ọ c t ậ p và công tác sau này Tuy v ậ y, do th ờ i gian làm đồ án có h ạn cũng như kinh nghiệ m còn h ạ n ch ế c ủ a mình nên không th ể tránh kh ỏ i nh ữ ng sai sót, h ạ n ch ế nh ất đị nh Vì v ậ y, em mong đượ c s ự ch ỉ b ảo, đóng góp củ a các th ầy cô để đồ án t ố t nghi ệ p c ủ a em hoàn thi ện hơn Em xin chân thành c ảm ơn! Đà nẵng, tháng 05 năm 2015 Sinh viên thực hiện Hoàng Tuấn Ngọc ii M Ụ C L Ụ C L Ờ I C ẢM ƠN i M Ụ C L Ụ C ii DANH M Ụ C CÁC T Ừ VI Ế T T Ắ T v DANH M Ụ C B Ả NG vii DANH M Ụ C HÌNH V Ẽ c c viii M Ở ĐẦ U 1 CHƯƠNG I: TỔ NG QUAN V Ề M Ạ NG KHÔNG DÂY 2 1 1 T ổ ng quan v ề m ạ ng không dây 2 1 1 1 Gi ớ i thi ệ u v ề m ạ ng không dây c ụ c b ộ 2 1 1 1 1 M ạ ng không dây là gì? 2 1 1 1 2 L ị ch s ử hình thành và phát tri ể n c ủ a m ạ ng không dây 2 1 1 1 3 Ưu điể m c ủ a m ạ ng không dây 3 1 1 1 4 Nhược điể m c ủ a m ạ ng không dây 3 1 1 2 Các chu ẩ n thông d ụ ng trong m ạ ng không dây 4 1 1 2 1 Chu ẩ n 802 11 4 1 1 2 2 Chu ẩ n 802 11b 4 1 1 2 3 Chu ẩ n 802 11a 4 1 1 2 4 Chu ẩ n 802 11g 5 1 1 2 5 Chu ẩ n 802 11n 5 1 1 2 6 Chu ẩ n 802 11ac 5 1 1 2 7 M ộ t s ố chu ẩ n m ở r ộ ng 7 1 2 Giao th ứ c xác th ự c m ở r ộ ng 7 1 2 1 EAP-TLS (EAP-Transport Layer Security) 7 1 2 2 EAP-TTLS (EAP- Tunneled Transport Layer Security) 8 1 2 3 PEAP (Protected Extensible Authentication Protocol) 8 1 2 4 LEAP (Lightweight Extensible Authentication Protocol) 9 1 2 5 EAP-FAST (EAP- Flexible Authentication via Secure Tunneling) 9 1 2 6 So sánh các phương th ứ c xác th ự c m ở r ộ ng 10 1 3 Các gi ả i pháp b ả o m ậ t m ạ ng không dây 11 1 3 1 WEP 11 1 3 2 WLAN – VPN 11 iii 1 3 3 AES 13 1 3 4 WPA 14 1 3 5 WPA/2 15 1 3 6 L Ọ C (Filltering) 16 1 3 6 1 L ọ c SSID 16 1 3 6 2 L ọc đị a ch ỉ MAC 16 1 3 6 3 L ọ c giao th ứ c 17 1 3 7 M ộ t s ố gi ả i pháp b ả o m ậ t WLAN 18 CHƯƠNG II: TÌM HI Ể U V Ề GIAO TH Ứ C XÁC TH Ự C RADIUS 19 2 1 T ổ ng quan v ề giao th ứ c RADIUS 19 2 1 1 Gi ớ i thi ệ u v ề RADIUS 19 2 1 2 Tính ch ấ t c ủ a RADIUS 19 2 1 3 Giao th ứ c RADIUS 1 20 2 1 3 1 Cơ chế ho ạt độ ng 20 2 1 3 2 D ạ ng gói Packet 22 2 1 3 3 Packet type (ki ể u packet) 24 2 1 4 Giao th ứ c RADIUS 2 28 2 1 4 1 Cơ chế ho ạt độ ng 28 2 1 4 2 Packet Format 28 2 2 Xác th ự c, c ấ p phép và ki ể m toán 28 2 2 1 Quá trình xác th ự c và c ấp phép ngườ i dùng (Authentication and Authorization) 28 2 2 2 Quá trình ki ể m toán (Accounting) 30 2 3 S ự b ả o m ậ t, tính m ở r ộ ng và ứ ng d ụ ng c ủ a Radius 30 CHƯƠNG III: TRIỂ N KHAI B Ả O M Ậ T M Ạ NG KHÔNG DÂY B Ằ NG CH Ứ NG TH Ự C RADIUS TRÊN THI Ế T B Ị 33 ACCESS POINT CISCO AIR 1600 33 3 1 Gi ớ i thi ệ u thi ế t b ị Access point cisco air 1600 33 3 1 1 Gi ớ i thi ệ u 33 3 1 2 Các bướ c c ấu hình Access Point Air 1600 thành điể m phát wifi 34 3 2 Mô t ả v ề h ệ th ố ng m ạ ng 38 3 2 1 Gi ớ i thi ệu sơ đồ h ệ th ố ng m ạ ng 38 iv 3 2 2 Yêu c ầ u c ủ a h ệ th ố ng 39 3 3 Quy trình tri ể n khai ch ứ ng th ự c RADIUS 39 3 3 1 Cài đặ t và c ấ u hình DHCP 40 3 3 1 1 Cài đặ t DHCP 40 3 3 1 2 C ấ u hình DHCP 40 3 3 2 Cài đặ t Enterprise CA và Request Certificate t ừ CA Enterprite Serve 41 3 3 2 1 Cài đặ t Enterprise CA 41 3 3 2 2 Request Certificate t ừ CA Enterprite Server 41 3 3 3 T ạ o Users, c ấ p quy ề n Remote Access cho user và chuy ể n sang Native Mode 42 3 3 3 1 T ạ o Users và Group 42 3 3 3 2 c ấ p quy ề n Remote Access cho user và chuy ể n sang Native Mode 42 3 3 4 Cài đặ t và c ấ u hình Radius 43 3 3 4 1 Cài đặ t Radius 43 3 3 4 2 C ấ u hình Radius 43 3 3 5 C ấ u hình Access Point Cisco Air 1600 45 3 3 6 C ấ u hình Wireless trên Client 47 3 3 7 Ki ể m tra ki ế t n ố i 49 K Ế T LU Ậ N 52 TÀI LI Ệ U THAM KH Ả O x NH Ậ N XÉT C Ủ A CÁN B Ộ HƯỚ NG D Ẫ N xi v DANH M Ụ C CÁC T Ừ VI Ế T T Ắ T Vi ế t T ắ t Ti ế ng Anh Ti ế ng Vi ệ t AAA Authentication - Authorization - Accounting Xác th ự c - C ấ p quy ề n – Ki ể m toán AES Advanced Encryption Stadar Tiêu chu ẩ n mã hóa tiên ti ế n AP Access Point Thi ế t b ị phát wifi CHAP Challenge Handsha ke Authentication Protocol Giao th ứ c xác th ự c th ử thách b ắ t tay EAP Extensible Authentication Protocol Giao th ứ c xác th ự c m ở r ộ ng EAP - FAST Extensible Authentication Protocol - Flexible Authentication via Secure Tunneling Giao th ứ c xác th ự c m ở r ộ ng EAP - FAS T EAP - TLS Extensible Authentication Protocol Transport Layer Security Giao th ứ c xác th ự c m ở r ộ ng EAP - TLS EAP - TTLS Tunneled Transport Layer Security Giao th ứ c xác th ự c m ở r ộ ng TTLS IEEE Institute of Electrical and Electronics Engineers Vi ệ n k ỹ ngh ệ Đi ệ n và Đi ệ n t ử LEAP Lightweight Extensible Authentication Protocol Giao th ứ c xác th ự c m ở r ộ ng LEAP MAC Media Access Control Giao th ứ c đ i ề u khi ể n truy nh ậ p môi trư ờ ng MS - CHAP v2 Microsoft Challenge Handshake Authentication Protocol version 2 Giao th ứ c xác th ự c th ử thách - b ắ t tay c ủ a Miscrosoft NAS Network Access Server Thi ế t l ậ p m ộ t đư ờ ng h ầ m an toàn t ớ i m ạ ng riêng vi PAP Password Authentication Protocol Cơ ch ế ch ứ ng th ự c PAP PEAP Protected Extensible Authentication Protocol Giao th ứ c xác th ự c m ở r ộ ng PEAP PPP Public Private Partnerships H ợ p tác công tư RADIUS Remote Authentication Dial In User Service Giao th ứ c RADIUS SLIP Serial Line Internet Protocol Giao th ứ c truy c ậ p t ừ xa SMTP Simple Mail Transfer Protocol Giao th ứ c truy ề n t ả i thư tín đơn gi ả n SSI D Service Set Identifier Tên mi ề n m ạ ng TKIP Temporal Key Integrity Protocol Phương th ứ c mã hóa TKIP UDP User Datagram Protocol Giao th ứ c UDP VPN Vi rtual Private Network M ạ ng riêng ả o WEP Wired Equivalen Privacy Phương th ứ c mã hóa WEP WLAN Wireless Loc al Area Network M ạ ng c ụ c b ộ không dây WPA Wi - Fi Protected Access Phương th ứ c mã hóa WPA WPA/2 Wi - Fi Protected Access version 2 Phương th ứ c mã hóa WPA version 2 vii DANH M Ụ C B Ả NG S ố hi ệ u b ả ng Tên b ả ng Trang 1 1 So sánh các phương th ứ c xác th ự c m ở r ộ ng 10 3 1 Thông tin ph ầ n c ứ ng thi ế t b ị Access Point Cisco air 1600 33 3 2 Các c ổ ng giao ti ế p c ủ a Access Point Cisco Air 1600 34 viii DANH M Ụ C HÌNH V Ẽ S ố hi ệ u hình Tên hình Trang 1 1 Mô hình VLAN VNP 13 1 2 L ọ c đ ị a ch ỉ MAC 17 2 1 Packet Format 22 2 2 Access-request Packet Format 24 2 3 Access-accept Packet Format 24 2 4 Access-reject packet format 25 2 5 Access-challenge packet format 25 2 6 Attributes type 26 2 7 Quá trình xác th ự c và c ấ p phép ngư ờ i dùng 29 2 8 Quá trình ki ể m toán 30 2 9 Tính m ở r ộ ng trong m ạ ng không dây 31 3 1 Thi ế t b ị Access Point Cisco Air 1600 34 3 2 Các c ổ ng giao ti ế p c ủ a Access Point Cisco Air 1600 34 3 3 Cài đặt và cấu hình DHCP 35 3 4 Đăng nhập vào giao diện cấu hình Access Point 1600 35 3 5 Giao diện chính cấu hình Access Point 1600 35 3 6 Giao diện Network 36 3 7 Giao diện cấu hì nh Radio0-802 11n 36 3 8 Giao diện để vào cấu hình SSID 36 3 9 Cấu hình một SSID 37 3 10 Kết nối mạng 37 3 11 Giao diện Open Network and Sharing Center 37 3 12 K iểm tra địa chỉ ip của client 38 3 13 DHCP server cấp địa chỉ ip cho client 38 3 14 Mô hình tri ể n khai ch ứ ng th ự c Radius 39 3 15 Cài đ ặ t DHCP 40 3 16 C ấ u hình DHCP và c ấ p ip cho client 40 3 17 Cài đ ặ t Enterprise CA 41 ix 3 18 Request Certificate t ừ CA Enterprite Server 41 3 19 Request Certifi cate t ừ CA Enterprite Server 42 3 20 T ạ o user và group 42 3 21 C ấ u hình qu ả n lý truy c ậ p t ừ xa cho User 43 3 22 C huy ể n domain sang Native Mode 43 3 23 C ấ u hình Radius 44 3 24 T ạ o m ớ i Radius Client 44 3 25 T ạ o m ớ i Remove Access Policy 44 3 26 C ấ u hình Server Manager 45 3 27 Ch ọ n server EAP Authentication 45 3 28 Qu ả n lý mã hóa 46 3 29 C ấ u hình đ ị a ch ỉ radius 46 3 30 Thêm user 46 3 31 T ạ o m ớ i m ộ t SSID 47 3 32 C ấ u hình SSID 47 3 33 C ấ u hình Client Authenticated Key Management 47 3 34 C ấ u hình SSID, ki ể u ch ứ ng th ự c và mã hóa 48 3 35 C ử a s ổ Change connection settings 48 3 36 C ử a s ổ Wireless Network Properties 48 3 37 C ử a s ổ Protected EAP Properties 49 3 38 C ử a s ổ EAP MSCHAPv2 Properties 49 3 39 C ử a s ổ Advanced settings 49 3 40 C ử a s ổ đăng nh ậ p cho client 50 3 41 K ế t qu ả sau khi k ế t n ố i 50 3 42 K i ể m tra ip c ủ a client 50 3 43 K ế t qu ả c ấ p phát ip trên DHCP server 50 3 44 C ụ th ể thông tin ch ứ ng th ự c 51 B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 1 M Ở ĐẦ U V ớ i t ốc độ phát tri ể n và không ng ừ ng c ả i ti ế n c ủ a công ngh ệ m ạ ng M ọi ngườ i, t ừ công nhân cho đế n nh ững ngườ i ch ủ , t ừ sinh viên đế n giáo viên, t ổ ch ứ c doanh nghi ệp cũng như chính p h ủ , t ấ t c ả đề u có nhu c ầ u k ế t n ố i m ọ i lúc, m ọi nơi Vì vậ y, m ạng WLAN ra đời để đáp ứ ng nhu c ầ u trên M ạng WLAN ra đờ i th ự c s ự là m ột bướ c ti ến vượ t b ậ t c ủ a công ngh ệ m ạ ng, đây là phương pháp chuyể n giao t ừ điểm này sang điể m khác s ử d ụ ng sóng vô tuy ế n Và hi ện nay đã phổ bi ế n trên toàn th ế gi ớ i, mang l ạ i r ấ t nhi ề u l ợi ích cho ngườ i s ử d ụ ng, nh ấ t là kh ả năng di độ ng c ủ a nó Ở m ộ t s ố nướ c có n ề n công ngh ệ thông tin phát tri ể n, m ạ ng không dây th ự c s ự đi vào cuộ c s ố ng Ch ỉ c ầ n có m ộ t Laptop, Smartphone ho ặ c m ộ t thi ế t b ị truy c ậ p không dây b ấ t k ỳ , chúng ta có th ể truy c ậ p vào m ạng không đây ở b ấ t k ỳ nơi đâu, trên cơ quan, trong nhà, ở quán Co ffe… ở b ấ t k ỳ đâu trong phạ m vi ph ủ sóng c ủ a WLAN V ớ i r ấ t nhi ề u l ợ i ích và s ự truy c ậ p công c ộng như vậy, nhưng vấn đề b ả o m ậ t luôn làm đau đầ u các nhà s ả n xu ấ t, các t ổ ch ức và cá nhân ngườ i s ử d ụng Vì phương ti ệ n truy ề n tin c ủ a WLAN là sóng vô tuy ến và môi trườ ng truy ề n tin là không khí, ch ỉ thi ế t b ị thu ch ỉ c ầ n n ằ m trong vùng ph ủ sóng là có có kh ả năng truy cậ p vào m ạ ng điề u này d ẫn đế n v ấn đề nghiêm tr ọ ng v ề b ả o m ậ t m ạ ng WLAN Chính vì v ậy, em đã ch ọn đề tài “ B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 ” đ ể làm đ ồ án t ố t nghi ệ p c ủ a mình B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 2 CHƯƠNG I: TỔ NG QUAN V Ề M Ạ NG KHÔNG DÂY 1 1 T ổ ng quan v ề m ạ ng không dây 1 1 1 Gi ớ i thi ệ u v ề m ạ ng không dây c ụ c b ộ 1 1 1 1 M ạ ng không dây là gì? M ạ ng LAN không dây vi ế t t ắ t là WLAN (Wireless Local Area Network) hay WIFI (Wireless Fidelity), là m ộ t m ạng dùng để k ế t n ố i hai hay nhi ề u máy tính v ớ i nhau mà không s ử d ụ ng dây d ẫ n WLAN dùng công ngh ệ tr ả i ph ổ , s ử d ụ ng sóng vô tuy ế n cho phép truy ề n thông gi ữ a các thi ế t b ị trong m ột vùng nào đó gọ i là Basic Service Set Đây là mộ t gi ả i pháp có r ấ t nhi ều ưu điể m so v ớ i k ế t n ố i m ạ ng có dây (Wired network) truy ề n th ống Ngườ i dùng v ẫ n duy trì k ế t n ố i v ớ i m ạ ng khi di chuy ể n trong vùng ph ủ sóng 1 1 1 2 L ị ch s ử hình thành và phát tri ể n c ủ a m ạ ng không dây Năm 1990, công nghệ WLAN l ần đầ u tiên xu ấ t hi ệ n, khi nh ữ ng nhà s ả n xu ấ t gi ớ i thi ệ u nh ữ ng s ả n ph ẩ m ho ạt độ ng ở băng tầ n 900Mhz Các gi ả i pháp này (không có s ự th ố ng nh ấ t c ủ a các nhà s ả n xu ấ t) cung c ấ p t ốc độ truy ề n d ữ li ệ u 1Mpbs, th ấp hơn r ấ t nhi ề u so v ớ i t ốc độ 10Mpbs c ủ a h ầ u h ế t các m ạ ng s ử d ụng cáp lúc đó Năm 1992, các nhà sả n xu ấ t b ắt đầ u bán nh ữ ng s ả n ph ẩ m WLAN s ử d ụng băng t ầ n 2 4GHz M ặ c dù nh ữ ng s ả n ph ẩ m này có t ốc độ truy ền cao hơn nhưng chúng vẫ n ch ỉ là nh ữ ng gi ả i pháp riêng c ủ a m ỗ i nhà s ả n xu ất và không đượ c công b ố r ộ ng rãi S ự c ầ n thi ế t cho vi ệ c th ố ng nh ấ t ho ạt độ ng gi ữ a các thi ế t b ị ở nh ữ ng dãy t ầ n s ố khác nhau d ẫn đế n m ộ t s ố t ổ ch ứ c b ắt đầ u phát tri ể n ra nh ữ ng chu ẩ n m ạ ng không dây Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã thông qua s ự ra đờ i c ủ a chu ẩn 802 11, và đượ c bi ết đế n v ớ i tên WIFI (Wireless Fidelity) cho các m ạ ng WLAN Năm 1999, IEEE thông qua sự b ổ sung cho chu ẩ n 802 11 là chu ẩ n 802 11a và 802 11b (định nghĩa ra những phương pháp truyề n tín hi ệ u) Và các thi ế t b ị WLAN d ự a trên chu ẩn 802 11b đã nhanh chóng trở thành công ngh ệ không dây n ổ i tr ộ i Năm 2003, IEEE công b ố thêm s ự c ả i ti ế n là chu ẩ n 802 11g, chu ẩ n này c ố g ắ ng tích h ợ p t ố t nh ấ t các chu ẩ n 802 11a, 802 11b và 802 11g S ử d ụng băng tầ n 2 4Ghz cho ph ạ m vi ph ủ sóng l ớn hơn Năm 2009, IEEE thông qua chuẩ n WIFI th ế h ệ th ứ tư 802 11n sau 6 năm thử B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 3 nghi ệ m Chu ẩ n 802 11n có kh ả năng truyề n d ữ li ệ u ở t ốc độ 300Mbps hay th ậ m chí cao hơn Năm 2013: Chu ẩ n Wifi th ế h ệ th ứ năm 802 11ac cho công ngh ệ m ạ ng không dây ra đ ờ i T ố c đ ộ t ố i đa hi ệ n là 1730Mbp s và ch ỉ ch ạ y ở băng t ầ n 5GHz 1 1 1 3 Ưu điể m c ủ a m ạ ng không dây S ự ti ệ n l ợ i: M ạ ng không dây cung c ấ p gi ải pháp cho phép ngườ i s ử d ụ ng truy c ậ p tài nguyên trên m ạ ng ở b ất kì nơi đâu trong khu vực WLAN đượ c tri ể n khai (khách s ạn, trườ ng h ọc, thư viện…) Vớ i s ự bùng n ổ c ủ a máy tính xách tay và các thi ế t b ị di độ ng h ỗ tr ợ wifi như hiện nay, điều đó thậ t s ự r ấ t ti ệ n l ợ i Kh ả năng di độ ng: V ớ i s ự phát tri ể n vô cùng m ạ nh m ẽ c ủ a vi ễn thông di độ ng, ngườ i s ử d ụ ng có th ể truy c ậ p internet ở b ấ t c ứ đâu Như: Quán café, thư viện, trườ ng h ọ c và th ậ m chí là ở các công viên hay v ỉ a hè Ngườ i s ử d ụng đề u có th ể truy c ậ p internet mi ễ n phí Hi ệ u qu ả : Ngườ i s ử d ụ ng có th ể duy trì k ế t n ố i m ạ ng khi h ọ đi từ nơi này đế n nơi khác Tri ể n khai: R ấ t d ễ dàng cho vi ệ c tri ể n khai m ạ ng không dây, chúng ta ch ỉ c ầ n m ột đườ ng truy ề n ADSL và m ộ t AP là đượ c m ộ t m ạng WLAN đơn giả n V ớ i vi ệ c s ử d ụ ng cáp, s ẽ r ấ t t ốn kém và khó khăn trong việ c tri ể n khai ở nhi ều nơi trong tòa nhà Kh ả năng mở r ộ ng: M ở r ộ ng d ễ dàng và có th ể đáp ứ ng t ứ c thì khi có s ự gia tăng lớ n v ề s ố lượng ngườ i truy c ậ p 1 1 1 4 Nhược điể m c ủ a m ạ ng không dây Bên c ạ nh nh ữ ng thu ậ n l ợ i mà m ạ ng không dây mang l ạ i cho chúng ta thì nó cũng mắ c ph ả i nh ững nhược điểm Đây là sự h ạ n ch ế c ủ a các công ngh ệ nói chung B ả o m ậ t: Đây có thể nói là nhược điể m l ớ n nh ấ t c ủ a m ạ ng WLAN, b ở i vì phương tiệ n truy ề n tín hi ệ u là só ng và môi trườ ng truy ề n tín hi ệ u là không khí nên kh ả năng mộ t m ạ ng không dây b ị t ấ n công là r ấ t l ớ n Ph ạ m vi: Như ta đã biế t chu ẩ n IEEE 802 11n m ớ i nh ấ t hi ện nay cũng chỉ có th ể ho ạt độ ng ở ph ạ m vi t ối đa là 150m, nên mạ ng không dây ch ỉ phù h ợ p cho m ộ t không gian h ẹ p Độ tin c ậ y: Do phương tiệ n truy ề n tín hi ệ u là sóng vô tuy ế n nên vi ệ c b ị nhi ễ u, suy gi ảm…là điề u không th ể tránh kh ỏi Điề u này gây ảnh hưởng đế n hi ệ u qu ả ho ạ t độ ng c ủ a m ạ ng B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 4 T ốc độ : T ốc độ cao nh ấ t hi ệ n nay c ủ a WLAN có th ể l ên đến 600Mbps nhưng v ẫ n ch ậm hơn rấ t nhi ề u so v ớ i các m ạng cáp thông thườ ng (có th ể lên đế n hàng Gbps) 1 1 2 Các chu ẩ n thông d ụ ng trong m ạ ng không dây 1 1 2 1 Chu ẩ n 802 11 Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã giớ i thi ệ u m ộ t chu ẩn đầ u tiên cho WLAN Chu ẩn này đượ c g ọ i là 802 11 sau khi tên c ủ a nhóm đượ c thi ế t l ậ p nh ằ m giám sát s ự phát tri ể n c ủ a nó Tuy nhiên, 802 11 ch ỉ h ỗ tr ợ cho băng tầ n m ạ ng c ực đại lên đế n 2Mbps – quá ch ậm đố i v ớ i h ầ u h ế t các ứ ng d ụ ng V ới lý do đó, các s ả n ph ẩ m không dây thi ế t k ế theo chu ẩn 802 11 ban đầ u d ầ n không đượ c s ả n xu ấ t 1 1 2 2 Chu ẩ n 802 11b IEEE đã mở r ộ ng trên chu ẩ n 802 11 g ố c vào tháng 7 năm 1999, đó chính là chu ẩ n 802 11b Chu ẩ n này h ỗ tr ợ băng thông lên đến 11Mbps, tương quan vớ i Ethernet truy ề n th ố ng 802 11b s ử d ụ ng t ầ n s ố vô tuy ế n (2 4 GHz) gi ống như chuẩ n ban đầ u 802 11 Các hãng thích s ử d ụ ng các t ầ n s ố này để chi phí trong s ả n xu ấ t c ủ a h ọ đượ c gi ả m Các thi ế t b ị 802 11b có th ể b ị xuyên nhi ễ u t ừ các thi ế t b ị điệ n tho ạ i không dây (kéo dài), lò vi sóng ho ặ c các thi ế t b ị khác s ử d ụ ng cùng d ả i t ầ n 2 4 GHz  Ưu điể m c ủ a 802 11b : Giá thành th ấ p nh ấ t, ph ạ m vi tín hi ệ u t ố t và không d ễ b ị c ả n tr ở  Như ợ c đi ể m c ủ a 802 11b : T ố c đ ộ t ố i đa th ấ p nh ấ t, có th ể b ị nhi ễ u b ở i các thi ế t b ị gia d ụ ng t rong gia đình 1 1 2 3 Chu ẩ n 802 11a Trong khi 802 11b v ẫn đang đượ c phát tri ển, IEEE đã tạ o m ộ t m ở r ộ ng th ứ c ấ p cho chu ẩ n 802 11 có tên g ọi 802 11a Vì 802 11b đượ c s ử d ụ ng r ộ ng rãi quá nhanh so v ớ i 802 11a, nên m ộ t s ố ngườ i cho r ằng 802 11a đượ c t ạ o sau 802 11b Tuy nhiên trong th ự c t ế, 802 11a và 802 11b đượ c t ạ o m ột cách đồ ng th ời Do giá thành cao hơn nên 802 11a ch ỉ đượ c s ử d ụ ng trong các m ạ ng doanh nghi ệ p còn 802 11b thích h ợ p hơn vớ i th ị trườ ng m ạng gia đình 802 11a hỗ tr ợ băng thông lên đế n 54 Mbps và s ử d ụ ng t ầ n s ố vô tuy ế n 5GHz T ầ n s ố c ủa 802 11a cao hơn so vớ i 802 11b chính vì v ậ y đã làm cho phạ m vi c ủ a h ệ th ố ng này h ẹp hơn so vớ i các m ạ ng 802 11b V ớ i t ầ n s ố này, các tín hi ệu 802 11a cũng khó xuyên qua các vách tườ ng và các v ậ t c ản khác hơn Do 802 11a và 802 11b s ử d ụ ng các t ầ n s ố khác nhau, nên hai công ngh ệ này B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 5 không th ể tương thích vớ i nhau Chính vì v ậ y m ộ t s ố hãng đã cung cấ p các thi ế t b ị m ạng hybrid cho 802 11a/b nhưng các sả n ph ẩ m này ch ỉ đơn thuầ n là b ổ sung thêm hai chu ẩ n này  Ưu đ i ể m c ủ a 802 11a: T ốc độ cao; t ầ n s ố 5Ghz tránh đượ c s ự xuyên nhi ễ u t ừ các thi ế t b ị khác  Nhược điể m c ủ a 802 11a: G iá thành đắ t; ph ạ m vi h ẹ p và d ễ b ị che khu ấ t 1 1 2 4 Chu ẩ n 802 11g Vào năm 2002 và 2003, các sả n ph ẩ m WLAN h ỗ tr ợ m ộ t chu ẩ n m ới hơn đó là 8 02 11g, được đánh giá cao trên thị trườ ng 802 11g th ự c hi ệ n s ự k ế t h ợ p t ố t nh ấ t gi ữ a 802 11a và 802 11b Nó h ỗ tr ợ băng thông lên đế n 54Mbps và s ử d ụ ng t ầ n s ố 2 4 Ghz để có ph ạ m vi r ộ ng 802 11g có kh ả năng tương thích vớ i các chu ẩn 802 11b, điều đó có ng hĩa là các điể m truy c ậ p 802 11g s ẽ làm vi ệ c v ớ i các adapter m ạ ng không dây 802 11b và ngượ c l ạ i  Ưu điể m c ủ a 802 11g: T ốc độ cao; ph ạ m vi tín hi ệ u t ố t và ít b ị che khu ấ t  Nhược điể m c ủ a 802 11g: G iá thành đ ắ t hơn 802 11b; các thi ế t b ị có th ể b ị xuyên nhi ễ u t ừ nhi ề u thi ế t b ị khác s ử d ụ ng cùng băng t ầ n 1 1 2 5 Chu ẩ n 802 11n Năm 2009 chu ẩ n 802 11n ra đời Đây là chuẩn đượ c thi ế t k ế để c ả i thi ệ n cho 802 11g trong t ổ ng s ố băng thông đượ c h ỗ tr ợ b ằ ng cách t ậ n d ụ ng nhi ề u tín hi ệ u không dây và các anten (công ngh ệ MIMO) T ốc độ t ối đa 600Mb/s (trên thị trườ ng ph ổ bi ế n có các thi ế t b ị 150Mb/s, 300Mb/s và 450Mb/s) Chu ẩ n này có th ể ho ạt độ ng trên c ả hai băng tầ n 2,4GHz l ẫ n 5GHz và n ế u router h ỗ tr ợ thì hai băng tầ n này có th ể cùng đượ c phát sóng song song nhau  Ưu điể m c ủ a 802 11n: T ốc độ nhanh và ph ạ m vi tín hi ệ u t ố t nh ấ t; kh ả năng chị u đự ng t ốt hơn từ vi ệ c xuyên nhi ễ u t ừ các ngu ồ n bên ngoài  Nhược điể m c ủ a 802 11n: Giá thành đắt hơn 802 11g; sử d ụ ng nhi ề u tín hi ệ u có th ể gây nhi ễ u v ớ i các m ạ ng 802 11b/g ở g ầ n 1 1 2 6 Chu ẩ n 802 11ac Chu ẩ n Wifi th ế h ệ th ứ 5, 802 11ac ra đời trong năm 2013 So vớ i các chu ẩ n trước đó, 802 11ac hỗ tr ợ t ốc độ t ối đa hiệ n là 1730Mb/s (s ẽ còn tăng tiế p) và ch ỉ ch ạ y ở băng tầ n 5GHz M ộ t s ố m ứ c t ốc độ th ấp hơn (ứ ng v ớ i s ố lu ồ ng truy ề n d ữ li ệ u th ấ p B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 6 hơn) bao gồ m 450Mb/s và 900Mb/s V ề m ặ t lý thuy ế t, Wi-Fi 802 11ac s ẽ cho t ốc độ cao g ấ p ba l ầ n so v ớ i Wi-Fi 802 11n ở cùng s ố lu ồ ng (stream) truy ề n, ví d ụ : khi dùng ăng -ten 1x1 thì Wi-Fi ac cho t ốc độ 450Mb/s, trong khi Wi-Fi n ch ỉ là 150Mb/s Còn n ếu tăng lên ăng -ten 3x3 v ớ i ba lu ồ ng, Wi-Fi chu ẩ n 802 11ac có th ể cung c ấ p 1300Mb/s, trong khi Wi-Fi chu ẩ n 802 11n ch ỉ là 450Mb/s Tuy nhiên, nh ữ ng con s ố nói trên ch ỉ là t ốc độ t ối đa trên lý thuy ết, còn trong đờ i th ự c thì t ốc độ này s ẽ gi ả m xu ố ng tùy theo thi ế t b ị thu phát, môi trườ ng, v ậ t c ả n, nhi ễ u tín hi ệ u Nh ững điể m m ớ i c ủ a chu ẩ n 802 11ac: - Băng thông kênh truyề n r ộng hơn: Băng thông rộng hơn giúp việ c truy ề n d ữ li ệ u gi ữ a hai thi ế t b ị được nhanh hơn Trên băng tầ n 5GHz, Wi-Fi 802 11ac h ỗ tr ợ các kênh v ới độ r ộng băng thông 20MHz, 40MHz, 80MHz và tùy chọ n 160MHz Trong khi đó, 802 11n chỉ h ỗ tr ợ kênh 20MHz và 40MHz mà thôi Như đã nói ở trên, kênh 80MHz thì t ấ t nhiên ch ứa đượ c nhi ề u d ữ li ệu hơn là kênh 40MHz rồ i - Nhi ề u lu ồ ng d ữ li ệu hơn: Spatial stream là m ộ t lu ồ ng d ữ li ệu đượ c truy ền đi b ằ ng công ngh ệ đa ăng -ten MIMO Nó cho phép m ộ t thi ế t b ị có th ể phát đi cùng lúc nhi ề u tín hi ệ u b ằ ng cách s ử d ụ ng nhi ều hơn 1 ăng -ten 802 11n có th ể đảm đương tố i đa 4 spatial stream, còn vớ i Wi-Fi 802 11ac thì con s ố này được đẩy lên đế n 8 lu ồ ng Tương ứ ng v ới đó sẽ là 8 ăng -ten, còn g ắ n trong hay ngoài thì tùy nhà s ả n xu ất nhưng thườ ng h ọ s ẽ ch ọ n gi ả i pháp g ắn trong để đả m b ả o tính th ẩ m m ỹ - H ỗ tr ợ Multi user - MIMO: Ở Wi - Fi 802 11n, m ộ t thi ế t b ị có th ể truy ề n nhi ề u spatial stream nhưng ch ỉ nh ắ m đ ế n 1 đ ị a ch ỉ duy nh ấ t Đi ề u này có nghĩa là ch ỉ m ộ t thi ế t b ị (ho ặ c m ộ t ngư ờ i dùng) có th ể nh ậ n d ữ li ệ u ở m ộ t th ờ i đi ể m Ngư ờ i ta g ọ i đây là single - user MIMO (SU - MIMO) Còn v ớ i chu ẩ n 802 11ac, m ộ t kĩ thu ậ t m ớ i đư ợ c b ổ sung và o v ớ i tên g ọ i multi - user MIMO Nó cho phép m ộ t access point s ử d ụ ng nhi ề u ăng - ten đ ể truy ề n tín hi ệ u đ ế n nhi ề u thi ế t b ị (ho ặ c nhi ề u ngư ờ i dùng) cùng lúc và trên cùng m ộ t băng t ầ n Các thi ế t b ị nh ậ n s ẽ không ph ả i ch ờ đ ợ i đ ế n lư ợ t mình như SU - MIMO, t ừ đó đ ộ tr ễ s ẽ đư ợ c gi ả m xu ố ng đáng k ể - T ầ m ph ủ sóng r ộng hơn: Router dùng chu ẩ n 802 11ac s ẽ cho t ầ m ph ủ sóng r ộng đế n 90 mét, trong khi router dùng m ạ ng 802 11n có t ầ m ph ủ sóng ch ỉ kho ả ng 80 mét là t ối đa B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 7 1 1 2 7 M ộ t s ố chu ẩ n m ở r ộ ng 802 11h: Chu ẩ n này là m ộ t bi ế n th ể c ủ a 802 11a ở Châu Âu có thêm các đặ c tính t ối ưu 802 11i: Chu ẩ n này v ẫn đang đượ c phát tri ể n, nó là m ộ t lá ch ắ n b ả o v ệ để các chu ẩ n WLAN t ồ n t ạ i, nó s ẽ nâng cao m ức độ b ả o m ậ t b ằng cách như là mậ t hoá t ố t hơn và điề u khi ể n truy c ậ p 802 16: M ộ t b ả n phác th ả o c ủ a chu ẩ n WLAN cho m ạ ng thành ph ố (MAN) d ự a trên OFDM và s ử d ụng 802 11a làm cơ sở, đượ c công b ố vào tháng 4 năm 2002 802 16 h ỗ tr ợ ki ến trúc “point -to- multipoint” trong dả i t ầ n t ừ 10 đế n 66 GHz, t ốc độ d ữ li ệ u lên t ớ i 120Mbps 802 11e: c ả i thi ệ n ch ất lượ ng d ị ch v ụ , cho phép thi ế t l ậ p m ứ c độ ưu tiên 802 11x: V ề b ả o m ậ t WLAN và các l ớ p khác c ủ a các d ị ch v ụ c ụ th ể 802 11c: C ả i thi ệ n thao tác gi ữ a hai thi ế t b ị 802 11d: Chu ẩ n LAN/MAN, c ả i thi ện “roaming” (roaming là kh ả năng đưa mộ t thi ế t b ị không dây t ừ ph ạ m vi c ủ a m ột điể m truy c ậ p này t ớ i ph ạ m vi c ủ a m ột điể m truy c ậ p khác mà không làm m ấ t k ế t n ối) Nói cách khác “roaming” tức là “chuyể n vùng” 802 11f: Để điề u ch ỉ nh liên điể m truy c ậ p (regulate inter access point handoffs) 1 2 Giao th ứ c xác th ự c m ở r ộ ng 1 2 1 EAP-TLS (EAP-Transport Layer Security) EAP-TLS là m ột phương pháp xác thự c hai chi ều trong đó client và server phả i ch ứng minh đị nh danh c ủ a cho nhau Trong su ốt quá trình trao đổ i EAP-TLS, client g ử i ch ứ ng nh ậ n user c ủ a nó và server truy c ậ p t ừ xa ho ặ c server RADIUS g ử i ch ứ ng nh ậ n máy tính c ủ a nó N ế u m ộ t trong hai ch ứ ng nh ận không đượ c g ử i ho ặ c n ế u m ộ t ch ứ ng nh ậ n không h ợ p l ệ , k ế t n ố i s ẽ b ị k ế t thúc EAP-TLS là m ộ t trong s ố ít các giao th ứ c h ỗ tr ợ các ch ức năng: nhậ n th ự c qua l ạ i, mã hóa và qu ả n lý khóa d ự a trên các liên k ế t PPP đượ c mô t ả trong RFC 2716 EAP - TLS là s ự k ế th ừ a nh ững ưu điể m và s ự linh ho ạ t c ủ a EAP EAP-TLS s ử d ụ ng khoá ki ểm tra công khai TLS trong EAP để cung c ấ p vi ệ c xác th ự c l ẫ n nhau gi ữ a máy ch ủ và khách hàng V ớ i EAP-TLS, c ả máy ch ủ và khách hàng đề u ph ải đăng ký chữ ký d ạ ng s ố thông qua quy ề n ch ứ ng th ực (CA) để ki ể m tra B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 8 Các đặ c tính c ủ a EAP-TLS bao g ồ m: - Xác th ự c l ẫ n nhau (gi ữ a máy ch ủ và khách hàng) - Trao đổi khoá (để thi ế t l ập WEP độ ng và khoá TKIP) - Phân m ả nh và n ố i l ạ i (v ớ i b ả n tin EAP dài c ầ n có ph ầ n kích thướ c ki ể m tra n ế u c ầ n) - K ế t n ố i nhanh (thông qua TLS) 1 2 2 EAP-TTLS (EAP- Tunneled Transport Layer Security) EAP-TTLS (EAP - Tunneled TLS) là m ột phương pháp nhậ n th ự c EAP khác, cung c ấ p m ộ t s ố ch ức năng vượ t tr ộ i so v ớ i EAP-TLS Phương th ứ c EAP - TTLS cung c ấ p m ộ t lo ạ t các thu ộ c tính cho m ộ t b ả n tin như là b ả n tin RADIUS EAP - dùng v ậ n chuy ể n , EAP - TTLS có th ể cung c ấ p các ch ứ c năng như phương th ứ c PEAP Tuy nhiên n ế u m ậ t kh ẩ u c ủ a RADIUS ho ặ c CHAP s ẽ đư ợ c m ã hoá, thì TTLS có th ể b ả o v ệ đư ợ c các tính ch ấ t k ế th ừ a c ủ a RADIUS Khi máy ch ủ TTLS g ử i b ả n tin RADIUS t ớ i máy ch ủ t ạ i đích, nó s ẽ gi ả i mã các thu ộ c tính b ả o v ệ c ủ a EAP - TTLS và chèn chúng tr ự c ti ế p vào b ả n tin chuy ể n đi B ở i vì phương th ứ c này gi ố ng như PEAP, nên nó ít đư ợ c s ử d ụ ng hơn EAP - TTLS m ở r ộ ng s ự th ỏ a thu ậ n nh ậ n th ự c b ằ ng cách s ử d ụ ng liên k ế t an toàn đượ c thi ế t l ậ p b ởi TLS Handshake để trao đố i thông tin b ổ sung gi ữ a client và server Liên k ế t an toàn này s ẽ đượ c server s ử d ụng để nh ậ n th ự c Client trên h ạ t ầ ng nh ậ n th ự c có s ẵ n theo các giao th ứ c: PAP, CHAP, MS-CHAP v2 1 2 3 PEAP (Protected Extensible Authentication Protocol) Gi ống như chuẩ n TTLS, PEAP t ạ o kh ả năng xác thự c cho m ạ ng LAN không dây mà không yêu c ầ u xác th ực Để b ả o v ệ EAP (PEAP) thêm l ớ p TLS lên trên cùng EAP gi ống như EAP -TTLS, r ồi sau đó sử d ụ ng k ế t qu ả c ủa phiên TLS như phương ti ệ n v ậ n chuy ển để b ả o v ệ phương thứ c EAP PEAP s ử d ụng TLS để xác th ự c t ừ máy ch ủ t ớ i máy tr ạm nhưng không có chiều ngượ c l ại Theo phương thứ c này ch ỉ máy ch ủ yêu c ầ u khoá xác th ự c còn khách hàng thì không Máy ch ủ và máy tr ạm trao đổ i chu ỗ i thông tin mã hoá trong TLS, và b ản tin TLS đượ c xác th ự c và mã hoá s ử d ụng khoá đã đượ c thông qua gi ữ a hai bên PEAP cung c ấ p d ị ch v ụ cho phương thức EAP như sau: - B ả n tin xác nh ậ n (Nh ữ ng k ẻ t ấ n công s ẽ r ất khó khăn trong việ c chèn vào b ả n tin EAP) B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 9 - Mã hoá b ả n tin (Nh ữ ng k ẻ t ấ n công s ẽ không th ể đọ c và gi ả i mã b ả n tin EAP) - Xác th ự c t ừ máy ch ủ đế n khách hàng (vì th ế phương thứ c này ch ỉ c ầ n b ả o v ệ xác th ự c t ừ khách hàng t ớ i máy ch ủ ), Trao đổi khoá (để thi ế t l ậ p cho WEP độ ng ho ặ c khoá TKIP) - Phân m ả nh và ghép l ạ i (c ầ n thi ế t n ế u b ả n tin EAP dài) - Thi ế t l ậ p k ế t n ố i nhanh (thông qua phiên TLS ) Phương pháp nhậ n th ự c PEAP mang l ạ i m ộ t s ố l ợ i ích b ả o m ật như sau: - B ả o v ệ nh ậ n d ạ ng - B ả o v ệ quá trình thương lượ ng và k ế t thúc - B ả o v ệ header 1 2 4 LEAP (Lightweight Extensible Authentication Protocol) LEAP là giao th ứ c xác th ự c m ở r ộ ng d ự a trên vi ệ c xác th ự c l ẫn nhau, có nghĩa là c ả người dùng và điể m truy c ập đề u ph ả i xác th ực trướ c khi truy c ậ p m ạ ng Vi ệ c xác th ự c l ẫ n nhau nh ằ m m ục đích chố ng l ạ i s ự truy c ậ p trái phép vào m ạ ng LEAP d ự a trên cơ sở tên và m ậ t kh ẩ u V ớ i LEAP, khoá b ả o m ật thay đổi độ ng tu ỳ theo phiên làm vi ệ c nh ằ m m ục đích h ạ n ch ế vi ệ c l ự a ch ọ n gói ti n để gi ả i mã t ừ bên ngoài Khi m ộ t khoá m ới đượ c phát ra thông qua LEAP s ử d ụ ng s ự chia s ẻ bí m ậ t gi ữa ngườ i s ử d ụng và điể m truy c ậ p B ở i vì LEAP là giao th ứ c c ủ a Cisco nên nó ch ỉ đượ c s ử d ụng cho điể m truy c ậ p c ủ a Cisco LEAP cũng thêm mộ t m ứ c b ả o m ậ t khác cho m ạ ng thông qua vi ệ c xác th ự c các k ế t n ố i trên toàn m ạng trước khi cho phép các gói tin đế n các thi ế t b ị không dây Vi ệc thay đổ i c ặ p khoá bí m ậ t và xác th ực ngườ i s ử d ụng cho phép tăng tính bả o m ậ t cho d ữ li ệ u 1 2 5 EAP-FAST (EAP- Flexible Authentication via Secure Tunneling) S ự xác th ực linh động thông qua đườ ng h ầ m an toàn (FAST) c ủ a EAP là sáng ki ến tương đố i m ớ i c ủ a IETF Ý tưởng cơ sở c ủ a giao th ứ c này là tránh vi ệ c s ử d ụ ng gi ấ y phép EAP-FAST thi ế t l ập đườ ng h ầ m d ự a trên gi ấ y ủ y quy ề n truy c ập đượ c b ả o v ệ (PAC) mà có th ể đượ c qu ả n lý t ự độ ng b ở i EAP-FAST thông qua server AAA Phương pháp này cũng có hai giai đoạ n v ới giai đoạ n 0 là tùy ý Giai đoạn tùy ý 0 đượ c s ử d ụng không thường xuyên Trong giai đoạ n này gi ấ y ủ y quy ền người dùng đượ c sinh ra m ộ t cách b ảo đả m gi ữa ngườ i dùng và m ạ ng Gi ấ y ủ y quy ền này, đượ c bi ết như là PAC, đượ c s ử d ụng trong giai đoạ n m ộ t B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 10 Giai đoạ n m ộ t thi ế t l ậ p m ộ t kênh gi ữ a tr ạm và server AAA PAC đượ c s ử d ụ ng cho các m ục đích xác thự c Đườ ng h ầ m t ạ o ra ở giai đoạ n m ột đượ c s ử d ụng trong giai đoạ n hai để th ự c thi xác th ực client an toàn Ngườ i dùng g ử i tên và m ậ t kh ẩu trong giai đoạ n này EAP-FAST h ỗ tr ợ cơ chế b ả o v ệ : - MitM (Man - in - the - Middle ), t ấ n công truy ề n l ạ i, và các t ấ n công t ừ đi ể n - T ấ n công IV: là m ộ t chu ỗ i nh ị phân gi ả ng ẫ u nhiên (pseudo random binary) đượ c s ử d ụng để kh ở i t ạ o cho quy trình mã hoá 1 2 6 So sánh các phương thứ c xác th ự c m ở r ộ ng B ảng 1 1: So sánh các phương thứ c xác th ự c m ở r ộ ng TLS, TTLS LEAP EAP - FAST PEAP Tính tương h ổ Có Có Có Có T ự b ả o v ệ Có Có Có Có Kh ả năng ch ố ng t ấ n công t ừ đi ể n Có Không Có (h ỗ tr ợ b ả o v ệ : T ấ n công MitM , T ấ n công IV , T ấ n công truy ề n l ạ i ) Có Phát sinh khoá b ả o v ệ phiên Có Có Có Có Đ ộ an toàn Cao Y ế u Cao Cao Yêu c ầ u server g i ấ y ch ứ ng nh ậ n Không Không Không Có Yêu c ầ u client gi ấ y ch ứ ng nh ậ n Có Không Không Không Nhanh chóng và hi ệ u qu ả Không Có Không Thu ậ n ti ệ n cho ngư ờ i dùng Không ( Ch ỉ gi ấ y ch ứ ng nh ậ n đư ợ c lưu trên máy client) Có Có Có H ỗ tr ợ qu ả ng bá AP Có Không Có Có Y ế u t ố k ế th ừ a Có Không Có Có Xác th ự c l ạ i nhanh Có Không Có Có B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 11 1 3 Các gi ả i pháp b ả o m ậ t m ạ ng không dây 1 3 1 WEP WEP (Wired Equivalen Privacy) có nghĩa là bả o m ật không dây tương đương v ớ i có dây Th ực ra, WEP đã đưa cả xác th ực người dùng và đả m b ả o an toàn d ữ li ệ u vào cùng m ột phương thứ c không an toàn WEP s ử d ụ ng m ộ t khóa mã hóa không thay đổi có độ dài 64 bit ho ặc 128 bit, (nhưng trừ đi 24 bit sử d ụ ng cho vector kh ở i t ạ o khóa mã hóa, nên độ dài khóa ch ỉ còn 40 bit ho ặc 104 bit) đượ c s ử d ụng để xác th ự c các thi ế t b ị đượ c phép truy c ậ p vào trong m ạng và cũng đượ c s ử d ụng để mã hóa truy ề n d ữ li ệ u Đặ c tính c ủ a WEP: - Điề u khi ể n truy c ập, ngăn chặ n s ự truy c ậ p c ủ a nh ữ ng client không có khóa phù h ợ p - S ự b ả o m ậ t nh ằ m b ả o v ệ d ữ li ệ u m ạ ng b ằ ng cách mã hóa chúng và ch ỉ cho nh ững client nào có đúng khóa WEP giả i mã R ất đơn giả n, các khóa mã hóa này d ễ dàng b ị “bẻ gãy” bở i thu ậ t toán brute- force và ki ể u t ấ n công th ử l ỗ i (tria-and-error) Các ph ầ n m ề m mi ễ n phí như Aircrack - ng, Airsnort, ho ặ c WEP crack s ẽ cho phép hacker có th ể phá v ỡ khóa mã hóa n ế u h ọ thu th ậ p t ừ 5 đế n 10 tri ệ u gói tin trên m ộ t m ạ ng không dây V ớ i nh ữ ng khóa mã hóa 128 bit cũng không khá hơn: 24 bit cho khở i t ạ o mã hóa nên ch ỉ có 104 bit đượ c s ử d ụ ng D ụ ng c ụ để mã hoá và cách th ức cũng giống như mã hóa có độ dài 64 bit nên mã hóa 128 bit cũng dễ dàng b ị b ẻ khóa Ngoài ra, nh ững điể m y ế u trong nh ữ ng vector kh ở i t ạ o khóa mã hoá giúp cho hacker có th ể tìm ra m ậ t kh ẩu nhanh hơn vớ i ít gói thông tin hơn rấ t nhi ề u Không d ự đoán đượ c nh ữ ng l ỗ i trong khóa mã hóa WEP có th ể t ạ o ra cách b ả o m ậ t m ạ nh m ẽ hơn nế u s ử d ụ ng m ộ t giao th ứ c xác th ự c mà cung c ấ p m ỗ i khóa mã hóa m ớ i cho m ỗ i phiên làm vi ệ c Khóa mã hóa s ẽ thay đổ i trên m ỗ i phiên làm vi ệ c Điề u này s ẽ gây khó khăn hơn cho hacker thu thập đủ các gói d ữ li ệ u c ầ n thi ết để có th ể b ẽ gãy khóa b ả o m ậ t 1 3 2 WLAN – VPN VPN thường được dùng để k ế t n ối các văn phòng chi nhánh (branch -office), B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 12 các ngườ i dùng t ừ xa (mobile users) v ề văn phòng chính Thay vì dùng k ế t n ố i th ậ t khá ph ứ c t ạp như đườ ng dây thuê bao s ố , VPN t ạ o ra các liên k ế t ảo đượ c truy ề n qua Internet gi ữ a m ạ ng riêng c ủ a m ộ t t ổ ch ứ c v ớ i địa điể m ho ặc ngườ i s ử d ụ ng ở xa M ạ ng riêng VPN b ả o v ệ m ạ ng WLAN b ằ ng cách t ạ o ra m ộ t kênh che ch ắ n d ữ li ệ u kh ỏ i các truy c ậ p trái phép VPN t ạ o ra m ộ t tin c ậ y cao thông qua vi ệ t s ử d ụ ng m ột cơ chế b ả o m ật như IPSec (Internet Protocol Security) IPSec để mã hóa d ữ li ệ u và dùng các thu ật toán khác để xác th ự c gói d ữ li ệ u, IPS ec cũng sử d ụ ng th ẻ xác nh ậ n s ố để xác nh ậ n khóa mã (Public K ey) Khi đượ c s ử d ụ ng trên m ạng WLAN, VPN đả m nh ậ n vi ệ c xác th ực, đóng gói và mã hóa VNP cung c ấ p 3 ch ức năng chính: - Cung c ấ p truy nh ậ p t ừ xa t ớ i tài nguyên c ủ a t ổ ch ứ c m ọ i lúc, m ọi nơi - K ế t n ối các chi nhánh văn phòng vớ i nhau - Ki ể m soát truy nh ậ p c ủ a khách hàng, nhà cung c ấ p và các th ự c th ể bên ngoài t ớ i nh ữ ng tài nguyên c ủ a t ổ ch ứ c L ợ i ích c ủ a VNP: Đố i v ớ i khách hàng: - Gi ả m thi ể u chi phí s ử d ụ ng so v ớ i vi ệ c k ế t n ố i m ạ ng di ệ n r ộ ng dùng các kênh thuê riêng - Gi ả m thi ể u chi phí kênh k ế t n ối đườ ng dài - Gi ả m thi ể u vi ệ c thi ế t k ế và qu ả n lý m ạ ng, gi ả m thi ể u vi ệc lãng phí băng thông, khách hàng có kh ả năng trả theo cước lưu lượ ng s ử d ụ ng Đố i v ớ i nhà cung c ấ p d ị ch v ụ : - Tăng doanh thu từ lưu lượ ng s ử d ụng cũng như xuấ t phát t ừ các d ị ch v ụ gia tăng giá trị khác kèm theo - Tăng hiệ u qu ả s ử d ụ ng m ạ ng Internet hi ệ n t ạ i - Kéo theo kh ả năng tư vấ n thi ế t k ế t m ạng cho khách hàng đâ y là m ộ t y ế u t ố quan tr ọ ng t ạ o ra m ố i quan h ệ g ắ n bó gi ữ a nhà cung c ấ p d ị ch v ụ v ới khách hàng đặ c bi ệ t là các khách hàng l ớ n - Đầu tư không lớ n hi ệ u qu ả đem lạ i cao, m ở ra lĩnh vự c kinh doanh m ới đố i v ớ i nhà cung c ấ p d ị ch v ụ B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 13 Hình 1 1: Mô hình VLAN VNP 1 3 3 AES Chu ẩ n mã hóa d ữ li ệ u tiên ti ế n AES (Advanced Encryption Standard) là m ộ t h ệ mã khóa bí m ậ t có tên là Rijdael (do hai nhà m ậ t mã h ọc ngườ i B ỉ là Joan Daemen và Vincent Rijmen đưa ra và trở thành chu ẩ n t ừ năm 2002) cho phép xử lý các kh ố i d ữ li ệ u inpu t có kích thướ c 128 bit s ử d ụng các khóa có độ dài 128, 192 ho ặ c 256 bit H ệ mã Rijdael đượ c thi ế t k ế để có th ể làm vi ệ c v ớ i các khóa và các kh ố i d ữ li ệu có độ dài l ớn hơn tuy nhiên khi đượ c ch ọ n là m ộ t chu ẩ n do Ủ y ban tiêu chu ẩ n c ủ a Hoa K ỳ đưa ra năm 2001, nó được qui đị nh ch ỉ làm vi ệ c v ớ i các kh ố i d ữ li ệ u 128 bit và các khóa có độ dài 128, 192 ho ặc 256 bit (do đó còn đặ t cho các tên AES-128, AES-192, AES-256 tương ứ ng v ới độ dài khóa s ử d ụ ng)  Đánh giá thuậ t toán: - Thu ậ t toán AES thích h ợ p cho vi ệ c tri ể n khai trên nhi ề u h ệ th ố ng khác nhau, không ch ỉ trên các máy tính cá nhân, mà c ả trên các h ệ th ố ng th ẻ thông minh - Ngoài ra, t ấ t c ả các bướ c x ử lý c ủ a vi ệ c mã hóa và gi ải mã đều đượ c thi ế t k ế thích h ợ p v ới cơ chế x ử lý song song nên AES càng ch ứ ng t ỏ th ế m ạ nh c ủ a mình trên các h ệ th ố ng thi ế t b ị m ớ i - Do đặ c tính c ủ a vi ệ c x ử lý thao tác trên t ừ ng byte d ữ li ệ u nên không có s ự khác bi ệt nào được đặ t ra khi tri ể n khai trên h ệ th ố ng big-endian hay little-endian  Ưu điể m: - AES đã đượ c chính ph ủ Hoa k ỳ tuy ế n b ố là có độ an toàn cao, và đã đượ c s ử d ụ ng thông tin m ậ t - AES có mô t ả toán h ọc đơn giả n - C ấu trúc rõ ràng đơn giả n B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 14  Nhược điể m - C ấ u trúc toán h ọ c c ủ a AES có mô t ả toán h ọc khá đơn giản Tuy điề u này chưa d ẫn đế n m ố i nguy hi ểm nào nhưng mộ t s ố nhà nghiên c ứ u s ợ r ằ ng s ẽ có ngườ i l ợ i d ụng đượ c c ấu trúc này trong tương lai - Độ l ớ n c ủ a khóa mã có th ể thay đổ i linh ho ạ t t ừ 128 đế n 256 bit S ố lượ ng chu k ỳ có th ể được thay đổ i tùy thu ộ c vào yêu c ầu riêng được đặ t ra cho t ừ ng ứ ng d ụ ng và h ệ th ố ng c ụ th ể - D ạ ng t ấ n công lên AES duy nh ấ t thành công là t ấ n công kênh bên (side channel attack) 1 3 4 WPA WEP đượ c xây d ựng để b ả o v ệ m ộ t m ạ ng không dây tránh b ị nghe tr ộm Nhưng nhanh chóng sau đó ngườ i ta phát hi ệ n ra nhi ề u l ỗ h ổ ng công ngh ệ này Do đó công ngh ệ m ớ i có tên g ọ i WPA (Wi- Fi Protected Access) ra đờ i, kh ắ c ph ục đượ c nhi ề u nhược điể m c ủ a WEP Trong nh ữ ng c ả i ti ế n quan tr ọ ng nh ấ t c ủ a WPA là s ử d ụng hàm thay đổ i khóa TKIP WPA cũng sử d ụ ng thu ật toán RC4 như WEP, nhưng mã hóa đầy đủ 128 bit Và m ột đặc điểm khác là WPA thay đổ i khóa cho m ỗ i gói tin Các công c ụ thu th ậ p các gói tin để khóa phá mã hóa đề u không th ể th ự c hi ện đượ c v ớ i WPA B ở i WPA thay đổ i khóa liên t ụ c nên hacker không bao gi ờ thu th ập đủ d ữ li ệ u m ẫu để tìm ra m ậ t kh ẩ u Không nh ữ ng th ế WPA còn bao g ồ m c ả tính toàn v ẹ n c ủ a thông tin (Message Integrity check) Vì v ậ y, d ữ li ệ u không th ể b ị thay đổi trong khi đang ở trên đườ ng truy ề n WPA có s ẵ n 2 l ự a ch ọ n: WPA Personal và WPA Enterprise C ả 2 l ự a ch ọ n đ ề u s ử d ụ ng gia o th ứ c TKIP, và s ự khác bi ệ t ch ỉ là khóa kh ở i t ạ o mã hóa lúc đ ầ u WPA Personal thích h ợ p cho gia đình và m ạ ng văn phòng nh ỏ , khóa kh ở i t ạ o s ẽ đư ợ c s ử d ụ ng t ạ i các đi ể m truy c ậ p và thi ế t b ị máy tr ạ m Trong khi đó, WPA cho doanh nghi ệ p c ầ n m ộ t máy ch ủ xác th ự c và 802 1x đ ể cung c ấ p các khóa kh ở i t ạ o cho m ỗ i phiên làm vi ệ c Lưu ý: - Có m ộ t l ỗ h ổ ng trong WPA và l ỗ i này ch ỉ x ả y ra v ớ i WPA Personal Khi mà s ử d ụng hàm thay đổi khóa TKIP đượ c s ử d ụng để t ạo ra các khóa mã hóa chưa phát hiệ n, n ế u hacker có th ể đoán đượ c khóa kh ở i t ạ o ho ặ c m ộ t ph ầ n c ủ a m ậ t kh ẩ u, h ọ có th ể xác B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 15 định đượ c toàn b ộ m ậ t kh ẩu, do đó có thể gi ải mã đượ c d ữ li ệ u Tuy nhiên, l ổ h ỏ ng này cũng sẽ đượ c lo ạ i b ỏ b ằ ng cách s ử d ụ ng nh ữ ng khóa kh ở i t ạ o không d ễ đoán (đừ ng s ử d ụ ng nh ữ ng t ừ như “P@SSWORD” để làm m ậ t kh ẩ u) - Điều này cũng có nghĩa rằ ng th ủ thu ậ t TKIP c ủ a WPA ch ỉ là gi ả i pháp t ạ m th ờ i, chưa cung cấ p m ột phương thứ c b ả o m ậ t cao nh ấ t WPA ch ỉ thích h ợ p v ớ i nh ữ ng công ty mà không truy ề n d ữ li ệu “mật” về thương mạ i hay các thông tin nh ạ y c ảm…WPA cũng thích hợ p v ớ i nh ữ ng ho ạt độ ng h ằ ng ngày và mang tính th ử nghi ệ m công ngh ệ 1 3 5 WPA/2 M ộ t gi ả i pháp v ề lâu dài là s ử d ụng 802 11i tương đương với WPA2, đượ c ch ứ ng nh ậ n b ở i Wi-Fi Alliance Chu ẩ n này s ử d ụ ng thu ậ t toán mã hóa m ạ nh m ẽ và đượ c g ọ i là Chu ẩ n mã hóa nâng cao AES AES s ử d ụ ng thu ật toán mã hóa đố i x ứ ng theo kh ố i Rijndael, s ử d ụ ng kh ố i mã hóa 128 bit, và 192 bit ho ặc 256 bit Để đánh giá chu ẩ n mã hóa này, Vi ệ c nghiên c ứ u qu ố c gia v ề Chu ẩ n và Công ngh ệ c ủ a M ỹ , NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đố i x ứ ng này L ợ i ích c ủ a WPA2: WPA2 gi ả i quy ết đượ c các l ỗ h ỗ ng c ủa WEP như tin tặ c t ấ n công ki ểu như đơn v ị trung gian “man in the middle” giả i mã xác th ự c, tái g ử i nh ậ n (replay), khóa y ế u (weak keys), gi ả m ạo gói tin (packet forging), xung độ t khóa (key collision) B ằ ng vi ệ c s ử d ụ ng mã hóa AES và xác th ự c 802 1X/EAP, WPA2 nâng cao c ả i thi ện năng l ự c so v ớ i WPA s ử d ụ ng mã hóa TKIP và xác th ự c 802 1X/EAP Hơn nữa, WPA2 cũng bổ sung hai ch ức năng nâng cao cho việ c h ỗ tr ợ chuy ể n vùng không dây (roaming of wireless) khi máy khách di chuy ể n gi ữa các điể m truy c ậ p AP: - H ỗ tr ợ lưu trữ PMK (Pair-wise Master Key) – cho phép tái k ế t n ố i t ớ i AP, máy khách k ế t n ố i mà không c ầ n tái xác th ự c (re-authenticate) - H ỗ tr ợ xác th ực trướ c (Pre-authentication) – cho phép m ộ t máy khách xác th ực trướ c t ớ i m ộ t AP chu ẩ n b ị chuy ể n t ớ i, trong khi v ẫn đang duy trì kế t n ố i v ớ i AP khác đang di chuyể n ra xa Vi ệ c h ỗ tr ợ lưu trữ PMK và xác th ự c cho phép WPA2 gi ả m th ờ i gian chuy ể n vùng t ừ m ộ t giây t ới ít hơn 1/10 giây Lợ i ích c ủ a vi ệ c chuy ể n vùng nhanh WPA2 có th ể h ỗ tr ợ các ứ ng d ụng đòi hỏ i v ề th ời gian như Citrix, video, thoạ i trên n ề n IP (voice B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 16 over IP) không b ị gián đoạ n khi chuy ể n vùng 1 3 6 L Ọ C (Filltering) L ọ c (Filtering) là m ột cơ chế b ả o m ật căn bả n mà có th ể dùng b ổ sung cho WEP và AES L ọc theo nghĩa đen là chặ n nh ữ ng gì không mong mu ố n và cho phép nh ững gì đượ c mong mu ố n Filter làm vi ệ c gi ống như là mộ t danh sách truy nh ậ p trên router: b ằng cách xác đị nh các tham s ố mà các tr ạ m ph ải gán vào để truy c ậ p m ạ ng V ớ i WLAN thì vi ệc đó xác đị nh xem các máy tr ạ m là ai và ph ả i c ấu hình như thế nào Có ba lo ại căn bả n c ủ a Filtering có th ể th ự c hi ệ n trên WLAN: - L ọ c SSID - L ọc đị a ch ỉ MAC - L ọ c giao th ứ c 1 3 6 1 L ọ c SSID L ọc SSID là phương thức cơ bả n c ủ a l ọ c và ch ỉ nên đượ c s ử d ụ ng trong vi ệ c điề u khi ể n truy c ập cơ bả n SSID (Service Set Identifier) ch ỉ là m ộ t thu ậ t ng ữ khác cho tên m ạ ng SSID c ủ a client ph ả i kh ớ p v ớ i SSID c ủa AP để có th ể xác th ự c và k ế t n ố i v ớ i t ậ p d ị ch v ụ SSID đượ c qu ảng bá mà không đượ c mã hóa trong các Beocon nên r ấ t d ễ b ị phát hi ệ n b ằ ng cách s ử d ụ ng các ph ầ n m ề m L ọ c SSID đư ợ c coi là m ộ t phương pháp không tin c ậ y trong vi ệ c h ạ n ch ế nh ữ ng ngư ờ i s ử d ụ ng trái phép c ủ a m ộ t WLAN M ộ t s ố sai l ầ m mà ngư ờ i s ử dung WLAN m ắ c ph ả i trong qu ả n lí SSSID g ồ m: - S ử d ụ ng giá tr ị SSID m ặc đị nh t ạo điề u ki ệ n cho hacker dò tìm đị a ch ỉ MAC c ủ a AP - S ử d ụ ng SSID có liên quan đế n công ty - S ử d ụng SSID như là phương thứ c b ả o m ậ t c ủ a công ty - Qu ả ng bá SSID m ộ t cách không c ầ n thi ế t 1 3 6 2 L ọc đị a ch ỉ MAC Trước khi nề n công nghi ệp Wi - Fi giải quyết được những vấn đề và thi ếu sót của WEP (wireless encryption protocol) - công nghệ bả o m ậ t b ằ ng mã hóa, nhi ề u chuyên gia khuy ế n cáo s ử d ụng thêm cơ chế l ọc đị a ch ỉ MAC nhằm tăng cườ ng b ả o m ậ t M ỗ i thi ế t b ị Wi- Fi đượ c gán duy nh ấ t m ột đị a ch ỉ MAC (Media Access B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 17 Control) g ồ m 12 ch ữ s ố th ậ p l ục phân Đị a ch ỉ MAC là ph ầ n “ngầm” của thiết bị ph ầ n c ứng và đượ c g ử i t ự độ ng t ới điể m truy c ậ p Wi-Fi m ỗ i khi thi ế t b ị k ế t n ố i vào m ạ ng S ử d ụng trình quản lý cấ u hình của điể m truy c ậ p (Access Point - AP), Có th ể lập được mộ t danh sách thi ế t b ị an toàn (đượ c phép truy xu ấ t vào m ạ ng) hay danh sách thi ế t b ị không được phép truy xuấ t vào m ạ ng (black list – danh sách đen) Nế u b ộ l ọ c đị a ch ỉ MAC đượ c kích ho ạ t, AP ch ỉ cho phép các thi ế t b ị trong danh sách an toàn đượ c k ế t n ố i vào m ạ ng và c ấ m t ấ t c ả thi ế t b ị trong danh sách đen truy xuấ t vào m ạ ng, ngay c ả khi b ạ n có khóa k ế t n ố i, b ấ t k ể b ạn đang sử d ụ ng giao th ứ c k ế t n ố i nào Hình 1 2: L ọc đị a ch ỉ MAC H ầ u h ế t các AP đề u có ch ức năng lọc đị a ch ỉ MAC Ngườ i qu ả n tr ị xây d ự ng danh sách các đị a ch ỉ MAC đượ c cho phép N ếu client có đị a ch ỉ MAC không n ằ m trong danh sách l ọc đị a ch ỉ MAC c ủ a AP thì AP s ẽ ngăn chặn không cho phép client đó kế t n ố i vào m ạ ng N ế u công ty có nhi ề u client thì có th ể xây d ự ng máy ch ủ RADIUS có ch ứ c năng lọc đị a ch ỉ MAC thay vì AP C ấ u hình l ọc đị a ch ỉ MAC là gi ả i pháp b ả o m ậ t có tính m ở r ộ ng cao 1 3 6 3 L ọ c giao th ứ c M ạ ng Lan không dây có th ể l ọc các gói đi qua mạ ng d ự a trên các giao th ứ c t ừ l ớ p 2 đế n l ớ p 7 Trong nhi ều trườ ng h ợp ngườ i qu ả n tr ị nên cài đặ t l ọ c giao th ứ c trong môi trườ ng dùng chung Trong hoàn c ả nh m ộ t nhóm c ầ u n ố i không dây đư ợ c đ ặ t trên m ộ t Remote building trong m ộ t m ạ ng WLAN c ủ a m ộ t trư ờ ng đ ạ i h ọ c mà k ế t n ố i l ạ i t ớ i AP c ủ a tòa nhà k ỹ thu ậ t trung tâm Vì t ấ t c ả nh ữ ng ngư ờ i s ử d ụ ng trong remote building chia s ẻ băng thông 5 Mpbs gi ữ a nh ữ ng tòa nhà này, nên m ộ t s ố lư ợ ng đáng k ể các đi ề u khi ể n trên các s ử d ụ ng này ph ả i đư ợ c th ự c hi ệ n N ế u các k ế t n ố i này đư ợ c cài đ ặ t v ớ i m ụ c đích đ ặ c bi ệ t c ủ a s ự truy nh ậ p internet c ủ a ngư ờ i s ử d ụ ng, thì b ộ l ọ c giao th ứ c s ẽ lo ạ i tr ừ t ấ t c ả các giao th ứ c, ngo ạ i tr ừ SMTP, POP3, HTTP, HTTPS, FTP B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 18 1 3 7 M ộ t s ố gi ả i pháp b ả o m ậ t WLAN - Đố i v ới các điể m truy c ậ p t ự độ ng (hotspots), vi ệ c mã hoá không c ầ n thi ế t, ch ỉ c ần ngườ i dùng xác th ự c mà thôi - V ới ngườ i dùng s ử d ụ ng m ạ ng WLAN cho gia đình, m ộ t phương th ứ c b ả o m ậ t v ớ i WPA passphare hay preshared key đư ợ c khuy ế n cáo s ử d ụ ng - V ớ i gi ả i pháp doanh nghi ệp, để t ối ưu quá trì nh b ả o m ậ t v ớ i 802 1X EAP làm phương t h ứ c xác th ực và TKIP hay AES làm phương thức mă hoá Đượ c d ự a theo chu ẩ n WPA hay WPA2 và 802 11i se curity - B ả o m ậ t m ạ ng WLAN cũng tương tự như bả o m ậ t cho các h ộ th ố ng m ạ ng khác B ả o m ậ t h ệ th ố ng ph ải đượ c áp d ụ ng cho nhi ề u t ầ ng, các thi ế t b ị nh ậ n d ạ ng phát hi ệ n t ấ n công ph ải đượ c tri ể n khai Gi ớ i h ạ n các quy ề n truy c ậ p t ố i thi ể u cho nh ừng ngườ i dùng c ầ n thi ế t D ữ li ệu đượ c chia s ẻ và yêu c ầ u xác th ự c m ớ i cho phép truy c ậ p D ữ li ệ u truy ề n ph ải đượ c mã hóa - K ẻ t ấ n công có th ể t ấ n công m ạ ng WLAN không b ả o m ậ t b ấ t c ứ lúc nào Vì v ậ y c ầ n có m ột phương án triể n khai h ợ p lý - Ph ải ước lượng được các nguy cơ b ả o m ậ t và các m ức độ b ả o m ậ t c ầ n thi ế t để áp d ụ ng - Đánh giá đượ c toàn b ộ các giao ti ế p qua WLAN và các phương thứ c b ả o m ậ t c ần đượ c áp d ụ ng - Đánh giá đượ c các công c ụ và các l ự a ch ọ n khi thi ế t k ẻ v ề tri ề n khai m ạ ng WLAN - Trong khi s ử d ụ ng VPN Fix qua các k ế t n ố i WLAN có th ể là m ột ý tưở ng hay và cũ ng s ẽ là m ột hướng đi đúng Nhưng sự không thu ậ n ti ện cũng như giá cả và tăng lưu lượ ng m ạng cũng là rào cả n c ầ n vượ t qua S ự chuy ển đổ i sang 802 11i và mã hoá AES đem lạ i kh ả năng bả o m ậ t cao nh ất Nhưng các t ổ ch ứ c , cơ quan vẫn đang sử d ụ ng hàng nghìn nh ữ ng card m ạ ng WLAN không h ỗ tr ợ chu ẩn này Hơn nữ a AES không h ỗ tr ợ các thi ế t b ị c ầ m tay và máy quét mã v ạ ch ho ặ c các thi ế t b ị khác Đó là nh ữ ng gi ớ i h ạ n khi l ự a ch ọ n 802 11i B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 19 CHƯƠNG II : TÌM HI Ể U V Ề GIAO TH Ứ C XÁC TH Ự C RADIUS 2 1 T ổ ng quan v ề giao th ứ c RADIUS 2 1 1 Gi ớ i thi ệ u v ề RADIUS Giao th ức Remote Authentication Dial In User Service (RADIUS) được đị nh nghĩa trong RFC 2865 được đưa ra với định nghĩa: Vớ i kh ả năng cung cấ p xác th ự c t ậ p trung, c ấp phép và điề u khi ể n truy c ậ p (Authentication, Authorization, và Access Control – AAA) cho các phiên làm vi ệ c v ớ i SLIP và PPP Dial-up – như việ c cung c ấ p xác th ự c c ủ a các nhà cung c ấ p d ị ch v ụ Internet (ISP) đề u d ự a trên giao th ức này để xác th ực ngườ i dùng khi h ọ truy c ậ p Internet Nó c ầ n thi ế t trong t ấ t c ả các Network Access Server (NAS) để làm vi ệ c v ớ i danh sách các username và password cho vi ệ c c ấ p phép, RADIUS Access-Request s ẽ chuy ể n các thông tin t ớ i m ộ t Authentication Server, thông thườ ng nó là m ộ t AAA Server (AAA – Authentication, Authoriztion, và Accounting) Trong ki ế n trúc c ủ a h ệ th ố ng nó t ạ o ra kh ả năng tậ p trung các d ữ thông tin c ủa người dùng, các điề u ki ệ n truy c ậ p trên m ột điể m duy nh ấ t (single point), cung c ấ p gi ả i pháp NAS Có 2 lo ạ i giao th ứ c RADIUS:  Giao th ứ c RADIUS 1: Xác nh ậ n quy ề n (authentication), phân quy ề n (authorization), thông tin c ấ u hình gi ữ a máy ch ủ qu ả n lý truy c ậ p (NAS- Network Access Server) mà có các yêu c ầ u c ầ n xác nh ậ n và máy ch ủ xác nh ậ n quy ề n dùng chung (Shared Authentication Server)  Giao th ứ c RADIUS 2: Thông tin v ề tài kho ả n gi ữ a NAS và máy ch ủ qu ả n lý tài kho ả n dùng chung 2 1 2 Tính ch ấ t c ủ a RADIUS RADIUS th ự c ra là m ộ t giao d ị ch đượ c xây d ự ng trên giao th ứ c có các tính ch ấ t chính như sau: N ếu như yêu cầ u (request) g ử i t ớ i máy ch ủ xác nh ậ n quy ền sơ cấ p (primary authentication server) th ấ t b ạ i, thì yêu c ầ u này ph ải đượ c g ử i t ớ i máy ch ủ sơ cấ p (secondary server) Để th ự c hi ệ n yêu c ầ u này ph ả i có timers (b ộ t ạ o th ờ i gian) cho vi ệ c truy ề n l ạ i (retransmission) Các đòi hỏ i v ề th ờ i gian c ủ a RADIUS r ấ t khác bi ệ t so v ớ i TCP M ộ t m ặ t, RADIUS không yêu c ầu “câu trả l ời” (responsive) về vi ệ c dò tìm d ữ li ệ u b ị m ấ t User B ả o m ậ t m ạ ng không dây b ằ ng Radius trên thi ế t b ị Access Point Cisco Air 1600 SVTH: Hoàng Tu ấ n Ng ọ c_L ớ p: CCMM06A 20 s ẵ n sàng ch ờ trong nhi ề u giây để cho vi ệ c xác nh ậ n quy ền đượ c hoàn thành Vi ệ c truy ề n l ại thườ ng x ảy ra đố i v ớ i các TCP d ự a trên th ờ i gian truy ề n nh ậ n trung bình không c ầ n thi ế t n ữ a, k ể c ả th ờ i gian hao t ổ n cho vi ệ c nh ậ n bi ế t ph ả n h ồ i v ề M ặ t khác, user không th ể ch ờ đợ i quá lâu trong nhi ề u phút cho vi ệ c xác nh ậ n quy ề n Vi ệ c ph ả i ch ờ đợ i quá lâu là không h ữ u ích Vi ệ c s ử d ụ ng luân phiên nhanh chóng các server s ẽ cho phép user truy c ập đượ c vào m ạng trướ c khi h ọ b ỏ cu ộ c Tr ạ ng thái r ấ t t ự do c ủa RADIUS đã đơn giả n hóa vi ệ c s ử d ụ ng UDP Các client và server có th ể đăng ký vào hoặ c ra kh ỏ i m ạ ng H ệ th ố ng b ị kh ởi độ ng l ạ i vì m ột lý do nào đó, như: Nguồn điệ n b ị m ất…Các sự ki ệ n b ất thườ ng n