LỜI CẢM ƠN

Trong 3 năm học tại Trường Cao Đẳng CNTT Hữu Nghị Việt Hàn, em đã nhận
được rất nhiều sự quan tâm, giúp đỡ của quý thầy cô, gia đình và bạn bè.

Lời đầu tiên em xin gửi đến quý thầy cô trong trường Cao Đẳng CNTT Hữu
Nghị Việt Hàn nói chung, các thầy cơ giáo trong khoa khoa học máy tính và các thầy
cơ chun ngành mạng máy tính nói riêng lời cảm ơn chân thành và sâu sắc nhất.

Đặc biệt em xin gửi lời cảm ơn đến cô ThS. Ninh Khánh Chi là giáo viên hướng
dẫn làm đồ án tốt nghiệp đã tận tình giúp đỡ, trực tiếp chỉ bảo, hướng dẫn em trong
suốt quá trình làm đồ án. Trong thời gian làm việc với cô, em không ngừng tiếp thu
thêm nhiều kiến thức bổ ích mà cịn học tập được tinh thần làm việc, thái độ nghiên
cứu khoa học nghiêm túc, hiệu quả, đây là những điều rất cần thiết cho em trong q
trình học tập và cơng tác sau này.

Tuy vậy, do thời gian làm đồ án có hạn cũng như kinh nghiệm cịn hạn chế của
mình nên khơng thể tránh khỏi những sai sót, hạn chế nhất định. Vì vậy, em mong
được sự chỉ bảo, đóng góp của các thầy cơ để đồ án tốt nghiệp của em hồn thiện hơn.

Em xin chân thành cảm ơn!
Đà nẵng, tháng 05 năm 2015
Sinh viên thực hiện
Hoàng Tuấn Ngọc

i

MỤC LỤC

LỜI CẢM ƠN .................................................................................................................i
MỤC LỤC ..................................................................................................................... ii

DANH MỤC CÁC TỪ VIẾT TẮT ..............................................................................v
DANH MỤC BẢNG ................................................................................................... vii
DANH MỤC HÌNH VẼ.........................................................................................c cviii
MỞ ĐẦU.........................................................................................................................1
CHƯƠNG I: TỔNG QUAN VỀ MẠNG KHÔNG DÂY ...........................................2
1.1. Tổng quan về mạng không dây. ...................................................................................................... 2

1.1.1. Giới thiệu về mạng không dây cục bộ...............................................................2
1.1.1.1. Mạng khơng dây là gì? ...............................................................................2
1.1.1.2. Lịch sử hình thành và phát triển của mạng không dây...............................2
1.1.1.3. Ưu điểm của mạng không dây....................................................................3
1.1.1.4. Nhược điểm của mạng không dây..............................................................3

1.1.2. Các chuẩn thông dụng trong mạng không dây. .................................................4
1.1.2.1. Chuẩn 802.11..............................................................................................4
1.1.2.2. Chuẩn 802.11b............................................................................................4
1.1.2.3. Chuẩn 802.11a............................................................................................4
1.1.2.4. Chuẩn 802.11g............................................................................................5
1.1.2.5. Chuẩn 802.11n............................................................................................5
1.1.2.6. Chuẩn 802.11ac. .........................................................................................5
1.1.2.7. Một số chuẩn mở rộng................................................................................7

1.2. Giao thức xác thực mở rộng. ............................................................................................................ 7
1.2.1. EAP-TLS (EAP-Transport Layer Security). .....................................................7
1.2.2. EAP-TTLS (EAP- Tunneled Transport Layer Security).................................8
1.2.3. PEAP (Protected Extensible Authentication Protocol). ..................................8
1.2.4. LEAP (Lightweight Extensible Authentication Protocol)...............................9
1.2.5. EAP-FAST (EAP- Flexible Authentication via Secure Tunneling)................9
1.2.6. So sánh các phương thức xác thực mở rộng..................................................10


1.3. Các giải pháp bảo mật mạng không dây. ................................................................................ 11
1.3.1. WEP...............................................................................................................11
1.3.2. WLAN – VPN. ..............................................................................................11

ii

1.3.3. AES................................................................................................................13
1.3.4. WPA ..............................................................................................................14
1.3.5. WPA/2 ...........................................................................................................15
1.3.6. LỌC (Filltering).............................................................................................16

1.3.6.1. Lọc SSID. .................................................................................................16
1.3.6.2. Lọc địa chỉ MAC ......................................................................................16
1.3.6.3. Lọc giao thức. ...........................................................................................17
1.3.7 Một số giải pháp bảo mật WLAN. ...................................................................18
CHƯƠNG II: TÌM HIỂU VỀ GIAO THỨC XÁC THỰC RADIUS .....................19
2.1. Tổng quan về giao thức RADIUS. ............................................................................................... 19
2.1.1. Giới thiệu về RADIUS. ...................................................................................19
2.1.2. Tính chất của RADIUS. ..................................................................................19
2.1.3. Giao thức RADIUS 1. .....................................................................................20
2.1.3.1. Cơ chế hoạt động......................................................................................20
2.1.3.2. Dạng gói Packet........................................................................................22
2.1.3.3. Packet type (kiểu packet)..........................................................................24
2.1.4. Giao thức RADIUS 2. .....................................................................................28
2.1.4.1 Cơ chế hoạt động.......................................................................................28
2.1.4.2. Packet Format. ..........................................................................................28
2.2. Xác thực, cấp phép và kiểm toán.................................................................................................. 28
2.2.1. Quá trình xác thực và cấp phép người dùng (Authentication and
Authorization). ........................................................................................................... 28
2.2.2. Quá trình kiểm tốn (Accounting)...................................................................30

2.3. Sự bảo mật, tính mở rộng và ứng dụng của Radius.............................................................. 30
CHƯƠNG III: TRIỂN KHAI BẢO MẬT MẠNG KHÔNG DÂY BẰNG CHỨNG
THỰC RADIUS TRÊN THIẾT BỊ ............................................................................33
ACCESS POINT CISCO AIR 1600...........................................................................33
3.1. Giới thiệu thiết bị Access point cisco air 1600....................................................................... 33
3.1.1. Giới thiệu. ........................................................................................................33
3.1.2. Các bước cấu hình Access Point Air 1600 thành điểm phát wifi....................34
3.2. Mô tả về hệ thống mạng. .................................................................................................................. 38
3.2.1. Giới thiệu sơ đồ hệ thống mạng. .....................................................................38

iii

3.2.2. Yêu cầu của hệ thống. .....................................................................................39
3.3. Quy trình triển khai chứng thực RADIUS................................................................................ 39

3.3.1. Cài đặt và cấu hình DHCP...............................................................................40
3.3.1.1. Cài đặt DHCP. ..........................................................................................40
3.3.1.2. Cấu hình DHCP........................................................................................40

3.3.2 Cài đặt Enterprise CA và Request Certificate từ CA Enterprite Serve. ...........41
3.3.2.1. Cài đặt Enterprise CA...............................................................................41
3.3.2.2 Request Certificate từ CA Enterprite Server. ............................................41

3.3.3. Tạo Users, cấp quyền Remote Access cho user và chuyển sang Native Mode.
................................................................................................................................... 42

3.3.3.1. Tạo Users và Group..................................................................................42
3.3.3.2. cấp quyền Remote Access cho user và chuyển sang Native Mode..........42
3.3.4. Cài đặt và cấu hình Radius. .............................................................................43
3.3.4.1. Cài đặt Radius...........................................................................................43

3.3.4.2. Cấu hình Radius. ......................................................................................43
3.3.5. Cấu hình Access Point Cisco Air 1600. ..........................................................45
3.3.6. Cấu hình Wireless trên Client..........................................................................47
3.3.7. Kiểm tra kiết nối. .............................................................................................49
KẾT LUẬN ..................................................................................................................52
TÀI LIỆU THAM KHẢO.............................................................................................x
NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN ...............................................................xi

iv

DANH MỤC CÁC TỪ VIẾT TẮT

Viết Tắt Tiếng Anh Tiếng Việt
AAA
AES Authentication - Xác thực- Cấp quyền – Kiểm toán
AP
CHAP Authorization - Accounting
EAP
Advanced Encryption Stadar Tiêu chuẩn mã hóa tiên tiến
EAP-FAST
Access Point Thiết bị phát wifi
EAP-TLS
EAP-TTLS Challenge Handshake Giao thức xác thực thử thách bắt tay

IEEE Authentication Protocol
LEAP
MAC Extensible Authentication Giao thức xác thực mở rộng
MS-CHAP v2
Protocol
NAS

Extensible Authentication Giao thức xác thực mở rộng EAP-

Protocol -Flexible FAST

Authentication via Secure

Tunneling

Extensible Authentication Giao thức xác thực mở rộng EAP-

Protocol Transport Layer TLS

Security

Tunneled Transport Layer Giao thức xác thực mở rộng TTLS

Security

Institute of Electrical and Viện kỹ nghệ Điện và Điện tử
Electronics Engineers

Lightweight Extensible Giao thức xác thực mở rộng LEAP

Authentication Protocol

Media Access Control Giao thức điều khiển truy nhập môi
trường

Microsoft Challenge Giao thức xác thực thử thách-bắt tay
Handshake Authentication của Miscrosoft


Protocol version 2

Network Access Server Thiết lập một đường hầm an toàn tới
mạng riêng.

v

PAP Password Authentication Cơ chế chứng thực PAP
Protocol
PEAP Protected Extensible Giao thức xác thực mở rộng PEAP
PPP Authentication Protocol
RADIUS Public Private Partnerships Hợp tác công tư
SLIP Remote Authentication Dial Giao thức RADIUS
SMTP In User Service
SSID Serial Line Internet Protocol Giao thức truy cập từ xa
TKIP Simple Mail Transfer Giao thức truyền tải thư tín đơn giản
UDP Protocol
VPN Service Set Identifier Tên miền mạng
WEP Temporal Key Integrity Phương thức mã hóa TKIP
WLAN Protocol
WPA User Datagram Protocol Giao thức UDP
WPA/2 Virtual Private Network Mạng riêng ảo
Wired Equivalen Privacy Phương thức mã hóa WEP
Wireless Local Area Network Mạng cục bộ không dây
Wi-Fi Protected Access Phương thức mã hóa WPA
Wi-Fi Protected Access Phương thức mã hóa WPA version 2
version 2

vi


DANH MỤC BẢNG

Số hiệu Tên bảng Trang
bảng
1.1 So sánh các phương thức xác thực mở rộng. 10
3.1 Thông tin phần cứng thiết bị Access Point Cisco air 1600. 33
3.2 Các cổng giao tiếp của Access Point Cisco Air 1600. 34

vii

DANH MỤC HÌNH VẼ

Số hiệu hình Tên hình Trang
1.1 Mơ hình VLAN VNP. 13
1.2 Lọc địa chỉ MAC. 17
2.1 Packet Format. 22
2.2 Access-request Packet Format. 24
2.3 Access-accept Packet Format. 24
2.4 Access-reject packet format. 25
2.5 Access-challenge packet format. 25
2.6 Attributes type. 26
2.7 Quá trình xác thực và cấp phép người dùng. 29
2.8 Q trình kiểm tốn. 30
2.9 Tính mở rộng trong mạng khơng dây. 31
3.1 Thiết bị Access Point Cisco Air 1600. 34
3.2 Các cổng giao tiếp của Access Point Cisco Air 1600. 34
3.3 Cài đặt và cấu hình DHCP. 35
3.4 Đăng nhập vào giao diện cấu hình Access Point 1600. 35
3.5 Giao diện chính cấu hình Access Point 1600. 35

3.6 Giao diện Network. 36
3.7 Giao diện cấu hình Radio0-802.11n. 36
3.8 Giao diện để vào cấu hình SSID. 36
3.9 Cấu hình một SSID. 37
3.10 Kết nối mạng. 37
3.11 Giao diện Open Network and Sharing Center. 37
3.12 Kiểm tra địa chỉ ip của client 38
3.13 DHCP server cấp địa chỉ ip cho client. 38
3.14 Mơ hình triển khai chứng thực Radius. 39
3.15 Cài đặt DHCP. 40
3.16 Cấu hình DHCP và cấp ip cho client. 40
3.17 Cài đặt Enterprise CA. 41

viii

3.18 Request Certificate từ CA Enterprite Server. 41

3.19 Request Certificate từ CA Enterprite Server. 42

3.20 Tạo user và group. 42

3.21 Cấu hình quản lý truy cập từ xa cho User. 43

3.22 Chuyển domain sang Native Mode. 43

3.23 Cấu hình Radius. 44

3.24 Tạo mới Radius Client. 44

3.25 Tạo mới Remove Access Policy. 44


3.26 Cấu hình Server Manager. 45

3.27 Chọn server EAP Authentication. 45

3.28 Quản lý mã hóa. 46

3.29 Cấu hình địa chỉ radius. 46

3.30 Thêm user. 46

3.31 Tạo mới một SSID. 47

3.32 Cấu hình SSID. 47

3.33 Cấu hình Client Authenticated Key Management. 47

3.34 Cấu hình SSID, kiểu chứng thực và mã hóa. 48

3.35 Cửa sổ Change connection settings. 48

3.36 Cửa sổ Wireless Network Properties. 48

3.37 Cửa sổ Protected EAP Properties. 49

3.38 Cửa sổ EAP MSCHAPv2 Properties. 49

3.39 Cửa sổ Advanced settings. 49

3.40 Cửa sổ đăng nhập cho client. 50


3.41 Kết quả sau khi kết nối. 50

3.42 Kiểm tra ip của client. 50

3.43 Kết quả cấp phát ip trên DHCP server. 50

3.44 Cụ thể thông tin chứng thực. 51

ix

Bảo mật mạng không dây bằng Radius trên thiết bị Access Point Cisco Air 1600

MỞ ĐẦU

Với tốc độ phát triển và không ngừng cải tiến của công nghệ mạng. Mọi người,
từ công nhân cho đến những người chủ, từ sinh viên đến giáo viên, tổ chức doanh
nghiệp cũng như chính phủ, tất cả đều có nhu cầu kết nối mọi lúc, mọi nơi. Vì vậy,
mạng WLAN ra đời để đáp ứng nhu cầu trên.

Mạng WLAN ra đời thực sự là một bước tiến vượt bật của công nghệ mạng,
đây là phương pháp chuyển giao từ điểm này sang điểm khác sử dụng sóng vơ tuyến.
Và hiện nay đã phổ biến trên toàn thế giới, mang lại rất nhiều lợi ích cho người sử
dụng, nhất là khả năng di động của nó. Ở một số nước có nền cơng nghệ thông tin
phát triển, mạng không dây thực sự đi vào cuộc sống. Chỉ cần có một Laptop,
Smartphone hoặc một thiết bị truy cập không dây bất kỳ, chúng ta có thể truy cập vào
mạng khơng đây ở bất kỳ nơi đâu, trên cơ quan, trong nhà, ở quán Coffe… ở bất kỳ
đâu trong phạm vi phủ sóng của WLAN.

Với rất nhiều lợi ích và sự truy cập cơng cộng như vậy, nhưng vấn đề bảo mật

luôn làm đau đầu các nhà sản xuất, các tổ chức và cá nhân người sử dụng. Vì phương
tiện truyền tin của WLAN là sóng vơ tuyến và mơi trường truyền tin là khơng khí, chỉ
thiết bị thu chỉ cần nằm trong vùng phủ sóng là có có khả năng truy cập vào mạng.
điều này dẫn đến vấn đề nghiêm trọng về bảo mật mạng WLAN. Chính vì vậy, em đã
chọn đề tài “Bảo mật mạng không dây bằng Radius trên thiết bị Access Point Cisco
Air 1600” để làm đồ án tốt nghiệp của mình.

SVTH: Hồng Tuấn Ngọc_Lớp: CCMM06A 1

Bảo mật mạng không dây bằng Radius trên thiết bị Access Point Cisco Air 1600

CHƯƠNG I: TỔNG QUAN VỀ MẠNG KHÔNG DÂY

1.1. Tổng quan về mạng không dây.
1.1.1. Giới thiệu về mạng không dây cục bộ.
1.1.1.1. Mạng khơng dây là gì?

Mạng LAN không dây viết tắt là WLAN (Wireless Local Area Network) hay
WIFI (Wireless Fidelity), là một mạng dùng để kết nối hai hay nhiều máy tính với
nhau mà khơng sử dụng dây dẫn. WLAN dùng cơng nghệ trải phổ, sử dụng sóng vơ
tuyến cho phép truyền thông giữa các thiết bị trong một vùng nào đó gọi là Basic
Service Set.

Đây là một giải pháp có rất nhiều ưu điểm so với kết nối mạng có dây (Wired
network) truyền thống. Người dùng vẫn duy trì kết nối với mạng khi di chuyển trong
vùng phủ sóng.
1.1.1.2. Lịch sử hình thành và phát triển của mạng khơng dây.

Năm 1990, công nghệ WLAN lần đầu tiên xuất hiện, khi những nhà sản xuất
giới thiệu những sản phẩm hoạt động ở băng tần 900Mhz. Các giải pháp này (khơng

có sự thống nhất của các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mpbs, thấp hơn
rất nhiều so với tốc độ 10Mpbs của hầu hết các mạng sử dụng cáp lúc đó.

Năm 1992, các nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng
tần 2.4GHz. Mặc dù những sản phẩm này có tốc độ truyền cao hơn nhưng chúng vẫn
chỉ là những giải pháp riêng của mỗi nhà sản xuất và không được công bố rộng rãi. Sự
cần thiết cho việc thống nhất hoạt động giữa các thiết bị ở những dãy tần số khác nhau
dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây.

Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã thông
qua sự ra đời của chuẩn 802.11, và được biết đến với tên WIFI (Wireless Fidelity) cho
các mạng WLAN.

Năm 1999, IEEE thông qua sự bổ sung cho chuẩn 802.11 là chuẩn 802.11a và
802.11b (định nghĩa ra những phương pháp truyền tín hiệu). Và các thiết bị WLAN
dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây nổi trội.

Năm 2003, IEEE công bố thêm sự cải tiến là chuẩn 802.11g, chuẩn này cố gắng
tích hợp tốt nhất các chuẩn 802.11a, 802.11b và 802.11g. Sử dụng băng tần 2.4Ghz
cho phạm vi phủ sóng lớn hơn.

Năm 2009, IEEE thông qua chuẩn WIFI thế hệ thứ tư 802.11n sau 6 năm thử

SVTH: Hoàng Tuấn Ngọc_Lớp: CCMM06A 2

Bảo mật mạng không dây bằng Radius trên thiết bị Access Point Cisco Air 1600

nghiệm. Chuẩn 802.11n có khả năng truyền dữ liệu ở tốc độ 300Mbps hay thậm chí
cao hơn.


Năm 2013: Chuẩn Wifi thế hệ thứ năm 802.11ac cho công nghệ mạng không
dây ra đời. Tốc độ tối đa hiện là 1730Mbps và chỉ chạy ở băng tần 5GHz.
1.1.1.3. Ưu điểm của mạng không dây.

Sự tiện lợi: Mạng không dây cung cấp giải pháp cho phép người sử dụng truy
cập tài nguyên trên mạng ở bất kì nơi đâu trong khu vực WLAN được triển khai
(khách sạn, trường học, thư viện…). Với sự bùng nổ của máy tính xách tay và các thiết
bị di động hỗ trợ wifi như hiện nay, điều đó thật sự rất tiện lợi.

Khả năng di động: Với sự phát triển vô cùng mạnh mẽ của viễn thông di động,
người sử dụng có thể truy cập internet ở bất cứ đâu. Như: Quán café, thư viện, trường
học và thậm chí là ở các công viên hay vỉa hè. Người sử dụng đều có thể truy cập
internet miễn phí.

Hiệu quả: Người sử dụng có thể duy trì kết nối mạng khi họ đi từ nơi này đến
nơi khác.

Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, chúng ta chỉ cần
một đường truyền ADSL và một AP là được một mạng WLAN đơn giản. Với việc sử
dụng cáp, sẽ rất tốn kém và khó khăn trong việc triển khai ở nhiều nơi trong tòa nhà.

Khả năng mở rộng: Mở rộng dễ dàng và có thể đáp ứng tức thì khi có sự gia
tăng lớn về số lượng người truy cập.
1.1.1.4. Nhược điểm của mạng không dây.

Bên cạnh những thuận lợi mà mạng không dây mang lại cho chúng ta thì nó
cũng mắc phải những nhược điểm. Đây là sự hạn chế của các cơng nghệ nói chung.

Bảo mật: Đây có thể nói là nhược điểm lớn nhất của mạng WLAN, bởi vì
phương tiện truyền tín hiệu là sóng và mơi trường truyền tín hiệu là khơng khí nên khả

năng một mạng không dây bị tấn công là rất lớn

Phạm vi: Như ta đã biết chuẩn IEEE 802.11n mới nhất hiện nay cũng chỉ có thể
hoạt động ở phạm vi tối đa là 150m, nên mạng không dây chỉ phù hợp cho một không
gian hẹp.

Độ tin cậy: Do phương tiện truyền tín hiệu là sóng vô tuyến nên việc bị nhiễu,
suy giảm…là điều không thể tránh khỏi. Điều này gây ảnh hưởng đến hiệu quả hoạt
động của mạng.

SVTH: Hoàng Tuấn Ngọc_Lớp: CCMM06A 3

Bảo mật mạng không dây bằng Radius trên thiết bị Access Point Cisco Air 1600

Tốc độ: Tốc độ cao nhất hiện nay của WLAN có thể lên đến 600Mbps nhưng
vẫn chậm hơn rất nhiều so với các mạng cáp thơng thường (có thể lên đến hàng Gbps).
1.1.2. Các chuẩn thông dụng trong mạng không dây.
1.1.2.1. Chuẩn 802.11.

Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã giới
thiệu một chuẩn đầu tiên cho WLAN. Chuẩn này được gọi là 802.11 sau khi tên của
nhóm được thiết lập nhằm giám sát sự phát triển của nó. Tuy nhiên, 802.11 chỉ hỗ trợ
cho băng tần mạng cực đại lên đến 2Mbps – quá chậm đối với hầu hết các ứng dụng.
Với lý do đó, các sản phẩm không dây thiết kế theo chuẩn 802.11 ban đầu dần không
được sản xuất.
1.1.2.2. Chuẩn 802.11b.

IEEE đã mở rộng trên chuẩn 802.11 gốc vào tháng 7 năm 1999, đó chính là
chuẩn 802.11b. Chuẩn này hỗ trợ băng thông lên đến 11Mbps, tương quan với
Ethernet truyền thống. 802.11b sử dụng tần số vô tuyến (2.4 GHz) giống như chuẩn

ban đầu 802.11. Các hãng thích sử dụng các tần số này để chi phí trong sản xuất của
họ được giảm. Các thiết bị 802.11b có thể bị xuyên nhiễu từ các thiết bị điện thoại
không dây (kéo dài), lị vi sóng hoặc các thiết bị khác sử dụng cùng dải tần 2.4 GHz.

 Ưu điểm của 802.11b: Giá thành thấp nhất, phạm vi tín hiệu tốt và khơng dễ bị
cản trở.

 Nhược điểm của 802.11b: Tốc độ tối đa thấp nhất, có thể bị nhiễu bởi các thiết
bị gia dụng trong gia đình.
1.1.2.3. Chuẩn 802.11a.

Trong khi 802.11b vẫn đang được phát triển, IEEE đã tạo một mở rộng thứ cấp
cho chuẩn 802.11 có tên gọi 802.11a. Vì 802.11b được sử dụng rộng rãi quá nhanh so
với 802.11a, nên một số người cho rằng 802.11a được tạo sau 802.11b. Tuy nhiên
trong thực tế, 802.11a và 802.11b được tạo một cách đồng thời. Do giá thành cao hơn
nên 802.11a chỉ được sử dụng trong các mạng doanh nghiệp cịn 802.11b thích hợp
hơn với thị trường mạng gia đình. 802.11a hỗ trợ băng thông lên đến 54 Mbps và sử
dụng tần số vô tuyến 5GHz. Tần số của 802.11a cao hơn so với 802.11b chính vì vậy
đã làm cho phạm vi của hệ thống này hẹp hơn so với các mạng 802.11b. Với tần số
này, các tín hiệu 802.11a cũng khó xun qua các vách tường và các vật cản khác hơn.

Do 802.11a và 802.11b sử dụng các tần số khác nhau, nên hai cơng nghệ này

SVTH: Hồng Tuấn Ngọc_Lớp: CCMM06A 4

Bảo mật mạng không dây bằng Radius trên thiết bị Access Point Cisco Air 1600

khơng thể tương thích với nhau. Chính vì vậy một số hãng đã cung cấp các thiết bị
mạng hybrid cho 802.11a/b nhưng các sản phẩm này chỉ đơn thuần là bổ sung thêm
hai chuẩn này.


 Ưu điểm của 802.11a: Tốc độ cao; tần số 5Ghz tránh được sự xuyên nhiễu từ
các thiết bị khác.

 Nhược điểm của 802.11a: Giá thành đắt; phạm vi hẹp và dễ bị che khuất.
1.1.2.4. Chuẩn 802.11g.

Vào năm 2002 và 2003, các sản phẩm WLAN hỗ trợ một chuẩn mới hơn đó là
802.11g, được đánh giá cao trên thị trường. 802.11g thực hiện sự kết hợp tốt nhất giữa
802.11a và 802.11b. Nó hỗ trợ băng thơng lên đến 54Mbps và sử dụng tần số 2.4 Ghz
để có phạm vi rộng. 802.11g có khả năng tương thích với các chuẩn 802.11b, điều đó
có nghĩa là các điểm truy cập 802.11g sẽ làm việc với các adapter mạng không dây
802.11b và ngược lại.

 Ưu điểm của 802.11g: Tốc độ cao; phạm vi tín hiệu tốt và ít bị che khuất.
 Nhược điểm của 802.11g: Giá thành đắt hơn 802.11b; các thiết bị có thể bị
xuyên nhiễu từ nhiều thiết bị khác sử dụng cùng băng tần.
1.1.2.5. Chuẩn 802.11n.

Năm 2009 chuẩn 802.11n ra đời. Đây là chuẩn được thiết kế để cải thiện cho
802.11g trong tổng số băng thông được hỗ trợ bằng cách tận dụng nhiều tín hiệu
khơng dây và các anten (công nghệ MIMO).

Tốc độ tối đa 600Mb/s (trên thị trường phổ biến có các thiết bị 150Mb/s,
300Mb/s và 450Mb/s). Chuẩn này có thể hoạt động trên cả hai băng tần 2,4GHz lẫn
5GHz và nếu router hỗ trợ thì hai băng tần này có thể cùng được phát sóng song song
nhau.

 Ưu điểm của 802.11n: Tốc độ nhanh và phạm vi tín hiệu tốt nhất; khả năng chịu
đựng tốt hơn từ việc xuyên nhiễu từ các nguồn bên ngoài.


 Nhược điểm của 802.11n: Giá thành đắt hơn 802.11g; sử dụng nhiều tín hiệu có
thể gây nhiễu với các mạng 802.11b/g ở gần.
1.1.2.6. Chuẩn 802.11ac.

Chuẩn Wifi thế hệ thứ 5, 802.11ac ra đời trong năm 2013. So với các chuẩn
trước đó, 802.11ac hỗ trợ tốc độ tối đa hiện là 1730Mb/s (sẽ còn tăng tiếp) và chỉ chạy
ở băng tần 5GHz. Một số mức tốc độ thấp hơn (ứng với số luồng truyền dữ liệu thấp

SVTH: Hoàng Tuấn Ngọc_Lớp: CCMM06A 5

Bảo mật mạng không dây bằng Radius trên thiết bị Access Point Cisco Air 1600

hơn) bao gồm 450Mb/s và 900Mb/s.
Về mặt lý thuyết, Wi-Fi 802.11ac sẽ cho tốc độ cao gấp ba lần so với Wi-Fi

802.11n ở cùng số luồng (stream) truyền, ví dụ: khi dùng ăng-ten 1x1 thì Wi-Fi ac cho
tốc độ 450Mb/s, trong khi Wi-Fi n chỉ là 150Mb/s. Còn nếu tăng lên ăng-ten 3x3 với
ba luồng, Wi-Fi chuẩn 802.11ac có thể cung cấp 1300Mb/s, trong khi Wi-Fi chuẩn
802.11n chỉ là 450Mb/s. Tuy nhiên, những con số nói trên chỉ là tốc độ tối đa trên lý
thuyết, còn trong đời thực thì tốc độ này sẽ giảm xuống tùy theo thiết bị thu phát, mơi
trường, vật cản, nhiễu tín hiệu.

Những điểm mới của chuẩn 802.11ac:
- Băng thông kênh truyền rộng hơn: Băng thông rộng hơn giúp việc truyền dữ
liệu giữa hai thiết bị được nhanh hơn. Trên băng tần 5GHz, Wi-Fi 802.11ac hỗ trợ các
kênh với độ rộng băng thông 20MHz, 40MHz, 80MHz và tùy chọn 160MHz. Trong
khi đó, 802.11n chỉ hỗ trợ kênh 20MHz và 40MHz mà thơi. Như đã nói ở trên, kênh
80MHz thì tất nhiên chứa được nhiều dữ liệu hơn là kênh 40MHz rồi.
- Nhiều luồng dữ liệu hơn: Spatial stream là một luồng dữ liệu được truyền đi

bằng công nghệ đa ăng-ten MIMO. Nó cho phép một thiết bị có thể phát đi cùng lúc
nhiều tín hiệu bằng cách sử dụng nhiều hơn 1 ăng-ten. 802.11n có thể đảm đương tối
đa 4 spatial stream, cịn với Wi-Fi 802.11ac thì con số này được đẩy lên đến 8 luồng.
Tương ứng với đó sẽ là 8 ăng-ten, cịn gắn trong hay ngồi thì tùy nhà sản xuất nhưng
thường họ sẽ chọn giải pháp gắn trong để đảm bảo tính thẩm mỹ.
- Hỗ trợ Multi user-MIMO: Ở Wi-Fi 802.11n, một thiết bị có thể truyền nhiều
spatial stream nhưng chỉ nhắm đến 1 địa chỉ duy nhất. Điều này có nghĩa là chỉ một
thiết bị (hoặc một người dùng) có thể nhận dữ liệu ở một thời điểm. Người ta gọi đây
là single-user MIMO (SU-MIMO). Còn với chuẩn 802.11ac, một kĩ thuật mới được bổ
sung vào với tên gọi multi-user MIMO. Nó cho phép một access point sử dụng nhiều
ăng-ten để truyền tín hiệu đến nhiều thiết bị (hoặc nhiều người dùng) cùng lúc và trên
cùng một băng tần. Các thiết bị nhận sẽ không phải chờ đợi đến lượt mình như SU-
MIMO, từ đó độ trễ sẽ được giảm xuống đáng kể.
- Tầm phủ sóng rộng hơn: Router dùng chuẩn 802.11ac sẽ cho tầm phủ sóng
rộng đến 90 mét, trong khi router dùng mạng 802.11n có tầm phủ sóng chỉ khoảng 80
mét là tối đa.

SVTH: Hoàng Tuấn Ngọc_Lớp: CCMM06A 6

Bảo mật mạng không dây bằng Radius trên thiết bị Access Point Cisco Air 1600

1.1.2.7. Một số chuẩn mở rộng.
802.11h: Chuẩn này là một biến thể của 802.11a ở Châu Âu có thêm các đặc

tính tối ưu.
802.11i: Chuẩn này vẫn đang được phát triển, nó là một lá chắn bảo vệ để các

chuẩn WLAN tồn tại, nó sẽ nâng cao mức độ bảo mật bằng cách như là mật hoá tốt
hơn và điều khiển truy cập.


802.16: Một bản phác thảo của chuẩn WLAN cho mạng thành phố (MAN) dựa
trên OFDM và sử dụng 802.11a làm cơ sở, được công bố vào tháng 4 năm 2002.
802.16 hỗ trợ kiến trúc “point-to-multipoint” trong dải tần từ 10 đến 66 GHz, tốc độ
dữ liệu lên tới 120Mbps.802.11e: cải thiện chất lượng dịch vụ, cho phép thiết lập mức
độ ưu tiên.

802.11x: Về bảo mật WLAN và các lớp khác của các dịch vụ cụ thể.
802.11c: Cải thiện thao tác giữa hai thiết bị.
802.11d: Chuẩn LAN/MAN, cải thiện “roaming”.(roaming là khả năng đưa một
thiết bị không dây từ phạm vi của một điểm truy cập này tới phạm vi của một điểm
truy cập khác mà không làm mất kết nối). Nói cách khác “roaming” tức là “chuyển
vùng”.
802.11f: Để điều chỉnh liên điểm truy cập (regulate inter access point handoffs).
1.2. Giao thức xác thực mở rộng.
1.2.1. EAP-TLS (EAP-Transport Layer Security).
EAP-TLS là một phương pháp xác thực hai chiều trong đó client và server phải
chứng minh định danh của cho nhau. Trong suốt quá trình trao đổi EAP-TLS, client
gửi chứng nhận user của nó và server truy cập từ xa hoặc server RADIUS gửi chứng
nhận máy tính của nó. Nếu một trong hai chứng nhận không được gửi hoặc nếu một
chứng nhận không hợp lệ, kết nối sẽ bị kết thúc.
EAP-TLS là một trong số ít các giao thức hỗ trợ các chức năng: nhận thực qua
lại, mã hóa và quản lý khóa dựa trên các liên kết PPP được mô tả trong RFC 2716.
EAP - TLS là sự kế thừa những ưu điểm và sự linh hoạt của EAP.
EAP-TLS sử dụng khố kiểm tra cơng khai TLS trong EAP để cung cấp việc
xác thực lẫn nhau giữa máy chủ và khách hàng. Với EAP-TLS, cả máy chủ và khách
hàng đều phải đăng ký chữ ký dạng số thông qua quyền chứng thực (CA) để kiểm tra.

SVTH: Hoàng Tuấn Ngọc_Lớp: CCMM06A 7

Bảo mật mạng không dây bằng Radius trên thiết bị Access Point Cisco Air 1600


Các đặc tính của EAP-TLS bao gồm:
- Xác thực lẫn nhau (giữa máy chủ và khách hàng).
- Trao đổi khoá (để thiết lập WEP động và khoá TKIP).
- Phân mảnh và nối lại (với bản tin EAP dài cần có phần kích thước kiểm
tra nếu cần).
- Kết nối nhanh (thông qua TLS).

1.2.2. EAP-TTLS (EAP- Tunneled Transport Layer Security).
EAP-TTLS (EAP - Tunneled TLS) là một phương pháp nhận thực EAP khác,

cung cấp một số chức năng vượt trội so với EAP-TLS. Phương thức EAP-TTLS cung
cấp một loạt các thuộc tính cho một bản tin như là bản tin RADIUS EAP - dùng vận
chuyển, EAP-TTLS có thể cung cấp các chức năng như phương thức PEAP. Tuy nhiên
nếu mật khẩu của RADIUS hoặc CHAP sẽ được mã hoá, thì TTLS có thể bảo vệ được
các tính chất kế thừa của RADIUS. Khi máy chủ TTLS gửi bản tin RADIUS tới máy
chủ tại đích, nó sẽ giải mã các thuộc tính bảo vệ của EAP-TTLS và chèn chúng trực
tiếp vào bản tin chuyển đi. Bởi vì phương thức này giống như PEAP, nên nó ít được sử
dụng hơn.

EAP - TTLS mở rộng sự thỏa thuận nhận thực bằng cách sử dụng liên kết an
toàn được thiết lập bởi TLS Handshake để trao đối thông tin bổ sung giữa client và
server. Liên kết an toàn này sẽ được server sử dụng để nhận thực Client trên hạ tầng
nhận thực có sẵn theo các giao thức: PAP, CHAP, MS-CHAP v2 ...
1.2.3. PEAP (Protected Extensible Authentication Protocol).

Giống như chuẩn TTLS, PEAP tạo khả năng xác thực cho mạng LAN không
dây mà không yêu cầu xác thực. Để bảo vệ EAP (PEAP) thêm lớp TLS lên trên cùng
EAP giống như EAP-TTLS, rồi sau đó sử dụng kết quả của phiên TLS như phương
tiện vận chuyển để bảo vệ phương thức EAP. PEAP sử dụng TLS để xác thực từ máy

chủ tới máy trạm nhưng khơng có chiều ngược lại. Theo phương thức này chỉ máy chủ
yêu cầu khố xác thực cịn khách hàng thì khơng. Máy chủ và máy trạm trao đổi chuỗi
thơng tin mã hố trong TLS, và bản tin TLS được xác thực và mã hố sử dụng khố đã
được thơng qua giữa hai bên.

PEAP cung cấp dịch vụ cho phương thức EAP như sau:
- Bản tin xác nhận (Những kẻ tấn công sẽ rất khó khăn trong việc chèn
vào bản tin EAP)

SVTH: Hoàng Tuấn Ngọc_Lớp: CCMM06A 8

Bảo mật mạng không dây bằng Radius trên thiết bị Access Point Cisco Air 1600

- Mã hoá bản tin (Những kẻ tấn công sẽ không thể đọc và giải mã bản tin
EAP)

- Xác thực từ máy chủ đến khách hàng (vì thế phương thức này chỉ cần
bảo vệ xác thực từ khách hàng tới máy chủ), Trao đổi khoá (để thiết lập
cho WEP động hoặc khoá TKIP)

- Phân mảnh và ghép lại (cần thiết nếu bản tin EAP dài)
- Thiết lập kết nối nhanh (thông qua phiên TLS )
Phương pháp nhận thực PEAP mang lại một số lợi ích bảo mật như sau:
- Bảo vệ nhận dạng.
- Bảo vệ quá trình thương lượng và kết thúc.
- Bảo vệ header.
1.2.4. LEAP (Lightweight Extensible Authentication Protocol).
LEAP là giao thức xác thực mở rộng dựa trên việc xác thực lẫn nhau, có nghĩa
là cả người dùng và điểm truy cập đều phải xác thực trước khi truy cập mạng. Việc xác
thực lẫn nhau nhằm mục đích chống lại sự truy cập trái phép vào mạng. LEAP dựa

trên cơ sở tên và mật khẩu.
Với LEAP, khoá bảo mật thay đổi động tuỳ theo phiên làm việc nhằm mục đích
hạn chế việc lựa chọn gói tin để giải mã từ bên ngồi. Khi một khố mới được phát ra
thơng qua LEAP sử dụng sự chia sẻ bí mật giữa người sử dụng và điểm truy cập. Bởi
vì LEAP là giao thức của Cisco nên nó chỉ được sử dụng cho điểm truy cập của Cisco.
LEAP cũng thêm một mức bảo mật khác cho mạng thông qua việc xác thực các kết nối
trên toàn mạng trước khi cho phép các gói tin đến các thiết bị khơng dây. Việc thay đổi
cặp khố bí mật và xác thực người sử dụng cho phép tăng tính bảo mật cho dữ liệu.
1.2.5. EAP-FAST (EAP- Flexible Authentication via Secure Tunneling)
Sự xác thực linh động thông qua đường hầm an toàn (FAST) của EAP là sáng
kiến tương đối mới của IETF. Ý tưởng cơ sở của giao thức này là tránh việc sử dụng
giấy phép. EAP-FAST thiết lập đường hầm dựa trên giấy ủy quyền truy cập được bảo
vệ (PAC) mà có thể được quản lý tự động bởi EAP-FAST thông qua server AAA.
Phương pháp này cũng có hai giai đoạn với giai đoạn 0 là tùy ý.
Giai đoạn tùy ý 0 được sử dụng không thường xuyên. Trong giai đoạn này giấy
ủy quyền người dùng được sinh ra một cách bảo đảm giữa người dùng và mạng. Giấy
ủy quyền này, được biết như là PAC, được sử dụng trong giai đoạn một.

SVTH: Hoàng Tuấn Ngọc_Lớp: CCMM06A 9

Bảo mật mạng không dây bằng Radius trên thiết bị Access Point Cisco Air 1600

Giai đoạn một thiết lập một kênh giữa trạm và server AAA. PAC được sử dụng

cho các mục đích xác thực.

Đường hầm tạo ra ở giai đoạn một được sử dụng trong giai đoạn hai để thực thi

xác thực client an toàn. Người dùng gửi tên và mật khẩu trong giai đoạn này.


EAP-FAST hỗ trợ cơ chế bảo vệ:

- MitM (Man-in-the-Middle), tấn công truyền lại, và các tấn công từ điển.

- Tấn công IV: là một chuỗi nhị phân giả ngẫu nhiên (pseudo random

binary) được sử dụng để khởi tạo cho quy trình mã hố.

1.2.6. So sánh các phương thức xác thực mở rộng.

Bảng 1.1: So sánh các phương thức xác thực mở rộng.

Tính tương hổ TLS, TTLS LEAP EAP-FAST PEAP
Tự bảo vệ Có Có Có Có
Có Có Có Có
Khả năng chống Có Có
tấn cơng từ điển Không Có (hỗ trợ bảo vệ: Tấn
Có công MitM, Tấn công IV, Có
Phát sinh khố Có Cao
bảo vệ phiên Cao Yếu Tấn công truyền lại) Có
Độ an toàn Không Không Có Không
Yêu cầu server Không
giấy chứng nhận Có Có Cao Có
Yêu cầu client Có Không
giấy chứng nhận Không Có
Nhanh chóng và Không Không Có
Không (Chỉ giấy Không Có
hiệu quả chứng nhận được Không Không
Thuận tiện cho lưu trên máy client)
Có

người dùng Có
Có
Hỗ trợ quảng bá Có
AP Có Có
Có
Yếu tố kế thừa
Xác thực lại
nhanh

SVTH: Hoàng Tuấn Ngọc_Lớp: CCMM06A 10

Bảo mật mạng không dây bằng Radius trên thiết bị Access Point Cisco Air 1600

1.3. Các giải pháp bảo mật mạng không dây.
1.3.1. WEP.

WEP (Wired Equivalen Privacy) có nghĩa là bảo mật khơng dây tương đương
với có dây. Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an tồn dữ liệu
vào cùng một phương thức khơng an tồn. WEP sử dụng một khóa mã hóa khơng thay
đổi có độ dài 64 bit hoặc 128 bit, (nhưng trừ đi 24 bit sử dụng cho vector khởi tạo
khóa mã hóa, nên độ dài khóa chỉ cịn 40 bit hoặc 104 bit) được sử dụng để xác thực
các thiết bị được phép truy cập vào trong mạng và cũng được sử dụng để mã hóa
truyền dữ liệu.

Đặc tính của WEP:
- Điều khiển truy cập, ngăn chặn sự truy cập của những client khơng có
khóa phù hợp.
- Sự bảo mật nhằm bảo vệ dữ liệu mạng bằng cách mã hóa chúng và chỉ
cho những client nào có đúng khóa WEP giải mã.


Rất đơn giản, các khóa mã hóa này dễ dàng bị “bẻ gãy” bởi thuật toán brute-
force và kiểu tấn cơng thử lỗi (tria-and-error). Các phần mềm miễn phí như Aircrack-
ng, Airsnort, hoặc WEP crack sẽ cho phép hacker có thể phá vỡ khóa mã hóa nếu họ
thu thập từ 5 đến 10 triệu gói tin trên một mạng khơng dây. Với những khóa mã hóa
128 bit cũng khơng khá hơn: 24 bit cho khởi tạo mã hóa nên chỉ có 104 bit được sử
dụng.

Dụng cụ để mã hoá và cách thức cũng giống như mã hóa có độ dài 64 bit nên
mã hóa 128 bit cũng dễ dàng bị bẻ khóa. Ngồi ra, những điểm yếu trong những vector
khởi tạo khóa mã hố giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói
thơng tin hơn rất nhiều.

Không dự đốn được những lỗi trong khóa mã hóa. WEP có thể tạo ra cách bảo
mật mạnh mẽ hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khóa mã hóa
mới cho mỗi phiên làm việc. Khóa mã hóa sẽ thay đổi trên mỗi phiên làm việc. Điều
này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẽ
gãy khóa bảo mật.
1.3.2. WLAN – VPN.

VPN thường được dùng để kết nối các văn phịng chi nhánh (branch-office),

SVTH: Hồng Tuấn Ngọc_Lớp: CCMM06A 11