Đang tải... (xem toàn văn)
Nghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUSNghiên cứu và triển khai mạng không dây sử dụng giao thức xác thực RADIUS
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - LÊ THÙY LINH NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG KHÔNG DÂY SỬ DỤNG GIAO THỨC XÁC THỰC RADIUS LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – NĂM 2018 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - LÊ THÙY LINH NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG KHÔNG DÂY SỬ DỤNG GIAO THỨC XÁC THỰC RADIUS Chuyên ngành: Hệ thống thông tin Mã số: 848.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC : GS.TS NGUYỄN BÌNH HÀ NỘI – NĂM 2018 i LỜI CAM ĐOAN Tôi cam đoan cơng trình nghiên cứu riêng tơi Các số liệu, kết nêu luận văn trung thực chưa công bố cơng trình khác Học viên Lê Thùy Linh ii LỜI CÁM ƠN Trước tiên, xin gửi lời cảm ơn sâu sắc đến thầy giáo GS.TS Nguyễn Bình – Khoa Điện Tử– Học viện Cơng nghệ Bưu Chính Viễn thơng, Người tận tình hướng dẫn bảo tơi suốt q trình thực khóa luận Tơi đồng thời cảm ơn thầy cô Khoa Công nghệ Thông tin I – Học viện Công nghệ Bưu Viễn thơng truyền đạt kiến thức bổ ích Tôi xin cảm ơn thầy cô Khoa Đào tạo Sau Đại học giúp đỡ trình tơi làm luận văn Tơi xin chân thành cảm ơn gia đình tơi giúp đỡ để tơi có thời gian hồn thành khóa luận Cuối cùng, tơi xin chân thành cảm ơn anh chị, bạn bè bạn sinh viên giúp đỡ trình thu thập xử lý liệu Học viên Lê Thùy Linh iii MỤC LỤC LỜI CAM ĐOAN i LỜI CÁM ƠN ii MỤC LỤC iii DANH MỤC CÁC CHỮ VIẾT TẮT vi DANH MỤC CÁC HÌNH VẼ viii MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ MẠNG KHÔNG DÂY 1.1 Giới thiệu mạng không dây 1.1.1 Định nghĩa 1.1.2 Lịch sử hình thành phát triển 1.1.3 Ưu điểm nhược điểm mạng WLAN 1.1.4 Ứng dụng mạng không dây 1.2 Nguyên tắc hoạt động mạng WLAN 1.3 Các chuẩn thông dụng mạng WLAN 1.3.1 Chuẩn 802.11a 1.3.2 Chuẩn 802.11b 1.3.3 Chuẩn 802.11g 1.3.4 Chuẩn 802.11n 1.3.5 Chuẩn 802.11ac 1.3.6 Chuẩn 802.11 AD(WiGig): 10 1.3.7 Chuẩn Wi-Fi 802.11ah (HaLow) 10 1.4 Cơ sở hạ tầng mạng WLAN 11 iv 1.4.1 Cấu trúc mạng WLAN 11 1.4.2 Các thiết bị hạ tầng mạng không dây 11 1.4.3 Các mơ hình kết nối mạng khơng dây 13 1.5 Các nguy công mạng không dây 15 1.5.1 Rogue Access Point (Tấn công giả mạo) 15 1.5.2 Tấn công yêu cầu xác thực lại (De-authentication Flood Attack) 17 1.5.3 Fake Access Point 18 1.5.4 Tấn cơng dựa cảm nhận sóng mang lớp vật lý 18 1.5.5 Tấn công ngắt kết nối (Disassocition flood attack) 19 1.5.6 Một số dạng công khác: 20 1.6 Các giải pháp bảo mật mạng WLAN 21 1.6.1 Các kỹ thuật bảo mật sử dụng chế điều khiển truy nhập (Device Authorization) 22 1.6.2 Các kỹ thuật bảo mật sử dụng phương thức mã hóa Encryption 24 1.6.3 Sử dụng giải pháp VPN (Virtual Private Network) 28 1.6.4 Phương thức bảo mật sử dụng công nghệ tường lửa Firewall 29 1.6.5 Hệ thống phát xâm nhập không dây (Wireless IDS) 30 1.6.6 Kiểm soát xác thực người dùng 30 1.7 Kết chương 31 CHƯƠNG 2: GIAO THỨC RADIUS 32 2.1 Giao thức Radius gì? 33 2.2 Tính chất giao thức Radius 33 2.3 Q trình trao đổi gói tin Radius 34 2.3.1 Xác thực, cấp phép kiểm toán 34 v 2.3.2 Sự bảo mật tính mở rộng 36 2.3.3 Áp dụng RADIUS cho WLAN 38 2.4 Giao thức RADIUS 39 2.4.1 Cơ chế hoạt động 39 2.4.2 Packet format 40 2.4.3 Packet type 44 2.5 Giao thức RADIUS 49 2.5.1 Cơ chế hoạt động 49 2.5.2 Packet Format 50 2.5.3 Phương pháp mã hóa giả mã 50 2.6 Kết chương 51 CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG BẢO MẬT WLAN SỬ DỤNG GIAO THỨC XÁC THỰC RADIUS 52 3.1 Mô tả hệ thống 52 3.2 Cài đặt thử nghiệm đánh giá kết 53 3.3 Kết chương 66 KẾT LUẬN 67 Những đóng góp luận văn 67 Hướng phát triển luận văn 67 DANH MỤC TÀI LIỆU THAM KHẢO 68 vi DANH MỤC CÁC CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt Authentication, Authorization Dịch vụ xác thực, cấp quyền and Accounting kiểm tốn (tính cước) AES Advanced Encyption Standard Chuẩn mã hóa nâng cao AP Access Point Điểm truy cập AS Access Server Máy chủ truy cập Carrier Sense Multiple Access Đa truy cập cảm nhận sóng mang with CollISIon Avoidance có tránh xung đột AAA CSMA/CA Cơ sở liệu CSDL DES DHCP DOS EAP IEEE Data Encryption Standard Chuẩn mã hóa liệu Dynamic Host Configuration Hệ thống giao thức cấu hình IP Protocol động Denial of Service Tấn công từ chối dịch vụ Extensible Authentication Phương thức bảo mật cho mạng Protocol không dây Institute of Electrical and Electronics Engineers Viện Kỹ sư Điện Điện tử IV Initialization Vector Vector khởi tạo IP Internet Protocol Giao thức liên mạng ISA Industry Standard Architecture Cổng giao tiếp card âm LAN Local Area Network Mạng máy tính cục MAC Media Access Control Điều khiển truy nhập môi trường MIMO Multiple-Input and MultipleOutput NAS Network Access Server NOS Network Operating System Nhiều đầu vào nhiều đầu công nghệ lưu trữ liệu mạng máy tính Hệ điều hành mạng vii OSI PCI Open Systems Interconnection Peripheral Component Interconn ect PDA Personal Digital Assistant PPP Point-to-Point Protocol Quadrature Amplitude QAM Modulation Remote Authentication Dial In Mơ hình kết nối hệ thống mở Cổng kết nối thiết bị ngoại vi Thiết bị số hỗ trợ cá nhân Giao thức Điểm-Điểm Điều chế biên độ vng góc User Service Dịch vụ xác thực người dùng quay số từ xa SSID Service Set Identifier Tên tập dịch vụ SLIP Serial Line Internet Protocol RADIUS TACACS TCP TKIP Giao Thức Internet Đơn Tuyến Terminal Access Controller Hệ thống điều khiển kiểm tra truy Access-Control System cập đầu cuối Transmission Control Protocol Temporal Key Integrity Protocol Giao thức điều khiển truyền (dữ liệu) Giao thức tồn vẹn khố thời gian UDP User Datagram Protocol Giao thức gói liệu người dùng VPN Virtual Privite Network Mạng riêng ảo WEP Weak Encryption Protocol Giao thức mã hoá yếu WIFI Wireless Fidelity WLAN Wireless Local Area Network WPA/WPA Wi-Fi Protected Access Hệ thống mạng không dây sử dụng sóng vơ tuyến Mạng cục khơng dây Chuẩn bảo mật sử dụng mạng WLAN viii DANH MỤC CÁC HÌNH VẼ Hình 1.1 Phạm vi WLAN mơ hình OSI Hình 1.2 Cấu trúc WLAN 11 Hình Mơ hình mạng AD HOC 13 Hình 1.4 Mơ hình mạng sở 14 Hình 1.5 Mơ hình mạng ESS 15 Hình 1.6 Tấn cơng Man-In-The-Middle 17 Hình 1.7 Mơ hình cơng “u cầu xác thực lại” 17 Hình Mơ hình cơng Fake Access Point 18 Hình 1.9 Mơ hình cơng ngắt kết nối 19 Hình 1.10 Mơ hình bảo mật cho mạng WLAN 22 Hình 1.11 Mã hóa + Xác thực = Bảo mật WLAN 25 Hình 1.12 Các bước kết nối Client với AP 26 Hình 1.13 Giải pháp VPN 29 Hình 1.14 Mơ hình Firewall 29 Hình 2.1 Quá trình trao đổi gói tin RADIUS 35 Hình 2.2 Mơ hình xác thực Clients RADIUS Server 37 Hình 2.3 Packet Format 41 Hình 2.4 Access-request Packet Format 44 Hình 2.5 Access-accept Packet Format 45 Hình 2.6 Access-reject packet format 45 Hình 2.7 Access-challenge packet format 46 Hình 2.8 Attributes type 47 Hình 3.1 Wireless Clients, AP RADIUS Server 52 Hình 3.2 Window Server 2008 nâng cấp lên domain controller 53 Hình 3.3 Đổi card mạng cho Window Server 2008 54 Hình 3.4 Cấu hình địa IP cho Server 55 Hình 3.5 Kiểm tra kết nối từ Server đến AP 55 54 Hình 3.25 Đổi card mạng cho Window Server 2008 Vào thẻ Edit máy ảo→Vitual Network Editor→Vmnet1 chọn Realtek PCIe FE Family Controller→Save 3.2.1.1 Cấu hình địa IP cho windows server Vào Control Panel chọn Network Connections Chọn mạng Local Area Connection muốn cấu hình Server phải đặt IP trỏ Prefer DNS Ở đặt địa IP Window Server 2008 192.168.45.11; điạ Subnet mask 255.255.255.0; Default gateway để địa 192.168.45.1 địa AP Tại DNS đặt trỏ Prefer DNS 55 Hình 3.26 Cấu hình địa IP cho Server Kiểm tra kết nối từ Server tới Access point với địa ip 192.168.45.1 Thực ping từ Server đến AP Hình 3.27 Kiểm tra kết nối từ Server đến AP Kiểm tra kết nối từ AP đến Server Tại AP thự Ping 192.168.45.11 để kiểm tra kết nối từ AP Server 56 Hình 3.28 Kiểm tra kết nối từ AP đến Server 3.3.1.2 Thực cài đặt cấu hình dịch vụ cho hệ thống Thực cài đặt Active Directory Certificate Services (CA), NAP(Network Policy and Access Services), Web Server Role (IIS) cấu hình DHCP - Vào Start→ chọn Administrative Tools→ Chọn Server Manager - Vào Roles→chọn Add Roles để thực cài đặt dịch vụ→ Next - Chọn mục Active Directory Cetificate Services, DHCP Server, Network Policy and Access Services Web Server(IIS)→ Chọn Next→ Next 57 Hình 3.29 Các dịch vụ cần thêm cho hệ thống - Chọn mục Network Policy Server Routing and Remote Access Services Chọn Next→Next - Chọn “Validate” địa DNS Server IPv4→ Next - Chọn Next→Add để cấu hình cho DHCP Đặt tên cho DHCP : DHCP Radius Địa từ 192.168.45.10 đến 192.168.45.100 Sunnet Mask: 255.255.255.0 Default gateway đặt địa AP: 192.168.45.1 Nhấn OK→Next 58 Hình 3.30 Cấu hình DHCP máy chủ Radius cấp cho AP - Chọn Disable DHCPv6 nhấn Next→ Next→Next→Next - Trong Role Service chọn mục Certification Authority Certification Authority Web Enrollment→ Next(10)→ Install - Thực trình Add dịch vụ kết sau kết thúc nhấn Finish để hoàn thành trình cài đặt dịch vụ Hình 3.31 Thực cấu hình dịch vụ thành cơng - Sau khởi động lại server để kích hoạt dịch vụ hoạt động 3.2.1.3 Thực tạo người dùng xác thực vào hệ thống - Tạo users, cấp quyền Remote access cho users cho computer: - Mở Active Directory Users and Computers Console từ thư mục Administrative Tools - Vào mục radiusserver.com chọn New tạo Organizational Unit(OU) với tên radius 59 - Tại mục Organizational Unit(OU) “radius”→Chọn New→ tạo group “group_radius” user” client” - User “client” OU đặt password “radius@12345” - Thêm “client” vào “group_radius” Hình 3.32 Tạo người dùng xác thực vào hệ thống 3.2.1.4.Cấu hình NAP(Network Policy and Access Services) - Chọn mục Network policy Server thư mục Administrative Tools - Click chuột phải vào NPS chọn Register server in active Directory để đăng ký dịch vụ cho NPS Hình 3.33 Đăng ký Network Policy Server - Chọn “Radius server for 802.1X wireless or wired connection” vàthực configure cho RADIUS server 802.1X 60 Hình 3.34 Cấu hình Radius server for 802.1X - Chọn Secure Wireless Connections →Next - Chọn Add để thực cấu hình cho Radius Client Tên radius Client “wifiradius” Địa Chỉ Ip địa Accesspoint: 192.168.45.1 Shared secret “radius@12345” Hình 3.35 Cấu hình Radius Client - Tại mục Configure an Authentication Method chọn “Microsofr:protected EAP(PEAP)”→Next - Thực add vào group Radius tạo trước đó→Next(2) 61 Hình 3.36 Thêm Radius Client vào Group - Chọn Finish để hồn thành q trình cấu hình - Vào mục Network Policy chọn properties cấu hình cho Secure Wireless Connection - Chọn add mục Conditions→Chọn Authentication Type→Add→chọn EAP→OK→Apply→OK Kết : Hình 3.37 Cấu hình thành cơng dịch vụ NPS 3.2.2 Cấu hình AP Bước 1: Kết nối Laptop với Accesspoint - Cắm cable từ laptop vào Accesspoint Sau vào trình duyệt truy cập địa của cổng LAN 192.168.45.1 62 - Sau nhập Username Password mặc định AP admin admin (xem mặt sau AP) Bước 2: Cấu hình - Đặt tên cho wireless: Chọn thẻ mạng không dây→ chọn cài đặt bản-> đổi tên wireless trường tên mạng không dây thành “demo radius”→ save - Vì tất IP nhận từ Server nên tất Wireless tắt DHCP - Tắt tường lửa Accesspoint - Tiến hành cấu hình bảo mật mạng khơng dây: Thực vơ hiệu hóa WPS: Vào thẻ Mạng khơng dây → Chọn WPS→Vơ hiệu hóa WPS→Save Tiến hành cấu hình bảo mật mạng khơng dây: Vào thẻ mạng khơng dây → Chọn bảo mật mạng không dây → Chọn WPA/WPA2 Doanh nghiệp tiến hành cấu hình → Save Kiểu xác thực: WPA2 Mã hóa: AES IP máy chủ Radius địa IP Server: 192.168.45.11 Mật mã máy chủ Radius: “radius@12345” chuỗi Shared secret điền lúc cấu hình NPS Hình 3.38 Cấu hình bảo mật WLAN sử dụng Radius Access Point 3.2.3 Cấu hình Wireless client Ở Wireless client sử dụng Windows Vì trước để windows chứng 63 thực WPA2, cần cấu hình wifi cần xác thực client - Vào Network and Sharing Center →Set up a new connection or network →Manually connect to a wireless network - Cửa sổ “Manually connect to a wireless network” xuất thực điền thông tin wireless muốn add → Next Ở điền tên Network tên mạng wifi đặt tên AP: “demo radius” Security type chọn WPA2-Enterprise Hình 3.39a,b,c Cấu hình Wireless client - Chọn Change connection setting → Next Vào thẻ Security cửa sổ demo radius Wireless netwok Properties điền 64 Hình 3.17b Cấu hình Wireless client Hình 3.17c Cấu hình Wireless client Cuối boot lại RADIUS Server, Access Point Wireless Client 3.2.4 Demo thực nghiệm Đã hồn thành cấu hình RADIUS Server AP, từ client tiến hành kết nối vào mạng wireless “demo radius”, đăng nhập với user mật tạo Server RADIUS “client” “radius@12345”, domain “radiussever.com” 65 Hình 3.40 Kết nối Wifi thành công Các thông số cấp DHCP server IP, DNS server, Default Gateway … Hình 3.41 Thông số cấp DHCP server cho Wireless Client Đánh giá: - Các máy client muốn vào mạng wifi cần phải xác thực dựa vào thông tin dựa vào máy chủ radius Điều dẫn tới việc bảo mật cao an toàn so với hình thức bảo mật thơng thường Vì tránh mát liệu nguy công hacker 66 - Các máy Wireless Client phải tiến hành cài đặt xác thực - Chưa có điều kiện thực tế cho việc triển khai cấu hình tất trường hợp, kỹ thuật công WLAN thiết bị triển khai thực tế môi trường hệ thống mạng doanh nghiệp 3.3 Kết chương Trong chương tìm hiểu việc triển khai hệ thống sử dụng giao thức xác thực Radius server Windows server 2008 Hiểu rõ việc xác thực máy chủ có sử dụng xác thực Radius có client yêu cầu đăng nhập vào hệ thống wifi Tuy nhiên, chưa nghiên cứu triển khai hệ thống khác Chỉ triển khai qui mô nhỏ chưa áp dụng thực tế nên chưa kiểm tra cố phát sinh trình vận hành 67 KẾT LUẬN Những đóng góp luận văn Phương pháp bảo mật nghiên cứu phương pháp bảo mật WLAN tốt Có ý nghĩa thực tiễn cao, áp dụng cho quan, doanh nghiệp có nhu cầu bảo mật WLAN cao Sau thực xong đề tài, hiểu tổng quan hệ thống mạng khơng dây, hình thức công bảo mật mạng không dây Đặc biệt hiểu rõ chế, tầm quan trọng bảo mật mạng không dây bằng chứng thực RADIUS Đã thành thạo cấu hình kiểu chứng thực, mã hoá, vận hành bảo mật Wireless Access point Trong trình cấu hình chứng thực, hiểu rõ chế chứng thực Windows Hạn chế Chưa triển khai hệ thống Linux với chứng thực LDAP Chỉ triển khai qui mô nhỏ chưa áp dụng thực tế nên chưa kiểm tra cố phát sinh trình vận hành Các máy Wireless Client phải tiến hành cài đặt xác thực Hướng phát triển luận văn Triển khai hệ thống xác thực RADIUS Windows Server với việc mở rộng mơ hình xác thực khơng cho WIFI mà hệ thống mạng sử dụng cáp, máy VPN server, NAS Server… Triển khai hệ thống xác thực RADIUS LINUX mở rộng mơ hình xác thực không cho WIFI mà hệ thống mạng sử dụng cáp, máy VPN server, NAS Server…Nghiên cứu ứng dụng cơng nghệ vWMAN (IEEE 802.16), WWAN (802.20) Tìm hiểu u cầu, mơ hình thiết kế, triển khai bảo mật hệ thống WMAN, WWAN 68 DANH MỤC TÀI LIỆU THAM KHẢO Tài liệu tiếng việt [1] Lê Tấn Liên- Minh Quân (2009), Hacking Wireless Kỹ Thuật Thâm Nhập Mạng Không Dây - NXB Hồng Đức Tài liệu tiếng Anh [1] Overview , details and analysis of Radius protocol(2003) Jaakko Tuomimäki [2] Cisco System(1998).Cisco IOS Network Security, pp.19-113 [3] RFC – 2059 – C Rigney – 1997 [4] RFC – 2865 – C.Rigney, S.Wwillens, A.Rubens, WW.Simpson – 2000 [5] RFC – 2866 – C.Rigney – 2000 [6] Wireless LAN Configuration Guide – Cisco System Inc Website tham khảo [1].https://quantrimang.com/cac-chuan-wireless-802-11b-802-11a802-11g-va-802-11n-47723, truy cập ngày 15/10/2017 ... không phép truy cập vào mạng chưa xác thực Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu: mạng khơng dây WLAN hình thức công vào mạng không dây Sử dụng phương thức xác thực Radius Server để... THÙY LINH NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG KHÔNG DÂY SỬ DỤNG GIAO THỨC XÁC THỰC RADIUS Chuyên ngành: Hệ thống thông tin Mã số: 848.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI... giao thức xác thực Radius: tính chất giao thức Radius, quy trình trao trổi gói tin chế hoạt động giao thức Radius Chương 3: Triển khai hệ thống bảo mật WLAN sử dụng giao thức xác thực Radius Trình