XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI (DaloRadius Linux Mint)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.38 MB, 61 trang )
LỜI CẢM ƠN
Trong suốt quá trình học tập và đào tạo tại trường, em đã rất may mắn khi được
các thầy cô giáo tận tụy, quan tâm chỉ bảo và truyền đạt cho em những kiến thức vô
cùng quý báu. Đó là hành trang giúp em vững bước trên con đường mới.
Đồ án chuyên ngành là điều kiện giúp em đúc kết toàn bộ những kiến thức đã
học. Qua đó giúp em nhìn nhận được những lỗ hổng về mặt kiến thức của mình.
Qua bài viết này em muốn bày tỏ lòng biết ơn sâu sắc đến toàn bộ quý thầy cô.
Đã mang đến cho em những kiến thức vô vàn quý báu không chỉ về mặt kiến thức
chuyên môn mà còn nung nấu, rèn luyện cho chúng em tính c ần cù, tìm tòi học hỏi, có
ý thức tự lực, tự cường.
Em xin chân thành cảm ơn sự hướng dẫn tận tâm của thầy Nguyễn Hữu Phước
Đại và các thầy cô khác trong Khoa đã giúp em hoàn thành đề tài tốt nghiệp một cách
thuận lợi.
Tuy nhiên vì thời gian có hạn, kiến thức chuyên môn còn hạn chế và bản thân
còn thiếu kinh nghiệm thực tiễn nên nội dung đề tài này không thể tránh khỏi sự thiếu
sót. Chúng em rất mong sẽ nhận được sự đánh giá và góp ý của thầy cô để em bổ sung
thêm kiến thức và rút ra bài học cho bản thân.
Một lần nữa em xin gửi đến quý thầy cô lòng biết ơn vô hạn và những lời chúc
tốt đẹp nhất.
Em xin chân thành cảm ơn!
Cần Thơ, ngày … tháng … năm 2015
Nhóm sinh viên thực hiện
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
MỤC LỤC
LỜI CẢM ƠN ...........................................................................................................................1
MỤC LỤC.................................................................................................................................2
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN THỰC TẬP ...........................................6
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN.....................................................................7
CÁC THUẬT NGỮ VIẾT TẮT.............................................................................................8
TÓM TẮT .................................................................................................................................9
CHƯƠNG 1: TỔNG QUAN ............................................................................................... 11
1/ ĐẶT VẤN ĐỀ .............................................................................................................. 11
2/ MỤC TIÊU ĐỀ TÀI..................................................................................................... 12
3/ PHẠM VI CỦ A ĐỀ TÀI ............................................................................................. 12
4/ PHƯƠNG PHÁP PHẠM VI NGHIÊN CỨU VÀ HƯỚNG GIẢI QUYẾ T ........ 12
4.1/ Phương pháp nghiên cứu ..................................................................................... 12
4.2/ Phạm vi nghiên cứu .............................................................................................. 13
4.3/ Hướng giải quyết................................................................................................... 13
4.4/ Kế hoạch thực hiện ............................................................................................... 13
PHẦN 1: CƠ SỞ LÝ THUYẾ T .......................................................................................... 14
CHƯƠNG 2: TỔNG QUAN VỀ MẠN G KHÔNG DÂY ............................................... 14
1/ CÁC KHÁI NIỆM CƠ BẢN VỀ MẠN G KHÔNG DÂY ...................................... 14
1.1/ Khái niệm............................................................................................................... 14
CNTT12-TM
Trang 2
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
1.2/ Lịch sử hình thành và phát triển.......................................................................... 14
1.3/ Ưu điểm của WLAN ............................................................................................ 15
1.4/ Nhược điểm của WLAN ...................................................................................... 16
1.5/ Cơ sở hạ tầng của WLAN .................................................................................... 16
1.6/ Bảo mật dữ liệu WLAN ....................................................................................... 20
2/ QUY TRÌN H CHỨNG THỰC TRONG WIRELESS LAN ................................... 21
2.1/ Khái niệm EAP ..................................................................................................... 21
2.2/ Quá trình chứng thực 802.1X-EAP .................................................................... 22
2.3/ WEP (Wired Equivalent Privacy) ....................................................................... 23
2.4/ WPA (WiFi Protected Access)............................................................................ 24
CHƯƠNG 3: TỔ NG QUAN VỀ KIẾN TRÚ C AAA ...................................................... 28
1/ KHÁI QUÁT VỀ KIẾ N TRÚ C AAA ....................................................................... 28
1.1/ Kiến trúc AAA là gì?............................................................................................ 28
1.2/ Xác thực (Authentication) ................................................................................... 29
1.3/ Cấp quyền (Authorization) .................................................................................. 29
1.4/ Kiểm toán (Accounting)....................................................................................... 29
CHƯƠNG 4: GIAO THỨC RADIUS ................................................................................ 31
1/ TỔNG QUAN GIAO THỨ C RADIUS ..................................................................... 31
2/ TÍ NH CHẤT CỦ A RADIUS ...................................................................................... 32
3/ PHƯƠNG PHÁP MÃ HÓ A VÀ GIẢI MÃ .............................................................. 33
CHƯƠNG 5: RADIUS SERVER ....................................................................................... 34
1/ TỔNG QUAN RADIUS SERVER ............................................................................ 34
2/ ƯU ĐIỂM VÀ NHƯỢC ĐIỂM RADIUS SERVER ............................................... 36
CNTT12-TM
Trang 3
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
2.1/ Ưu điểm.................................................................................................................. 36
2.2/ Nhược điểm ........................................................................................................... 37
PHẦN 2: NỘI DUNG THỰC HIỆN .................................................................................. 38
CHƯƠNG 6: LỰ A CHỌN PHẦN MỀ M .......................................................................... 38
1/ TIÊU CHÍ ĐẶT RA ..................................................................................................... 38
1.1/ Chi phí sử dụng ..................................................................................................... 38
1.2/ Bản quyền phần mềm ........................................................................................... 38
1.3/ Hạn chế về cấu hình của Access Point ............................................................... 39
1.4/ Khả năng tích hợp và nâng cấp mở rộng ........................................................... 40
2/ PHẦN MỀ M HỆ THỐ NG – LINUX MINT ............................................................ 41
3/ GÓ I PHẦN MỀM ỨNG DỤNG ................................................................................ 42
3.1/ Freeradius............................................................................................................... 42
3.2/ Daloradius .............................................................................................................. 42
CHƯƠNG 7: SƠ ĐỒ KIẾ N TRÚ C VÀ TỔ NG QUÁ T .................................................. 44
1/ SƠ ĐỒ TỔNG QUÁT.................................................................................................. 44
2/ QUY TRÌN H CHỨNG THỰC ................................................................................... 44
CHƯƠNG 8: QUY TRÌNH CÀI ĐẶT VÀ TRIỂN KHAI HỆ THỐNG MÁY CHỦ . 46
1/ CẤU HÌ NH ACCESS POINT .................................................................................... 46
2/ CÀI ĐẶT VÀ CẤU HÌN H RADIUS SERVER ....................................................... 47
2.1/ Cài đặt Freeradius ................................................................................................. 47
2.2/ Cơ sở dữ liệu MySQL .......................................................................................... 47
2.3/ Cấu hình Clients .................................................................................................... 48
2.4/ Thêm Users ............................................................................................................ 49
CNTT12-TM
Trang 4
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
2.5/ Tạo và cấu hình chứng chỉ ................................................................................... 49
3/ DALORADIUS ............................................................................................................ 50
3.1/ Tổng quan daloRADIUS...................................................................................... 50
3.2/ Cài đặt daloRADIUS ............................................................................................ 50
4/ DEMO ............................................................................................................................ 51
1/ KẾT QUẢ ĐẠT ĐƯỢC .............................................................................................. 59
2/ CÁC KHUYẾ T ĐIỂ M THIẾU SÓ T ......................................................................... 59
3/ HƯỚ NG PHÁT TRIỂN TRONG TƯƠNG LAI...................................................... 60
TÀI LIỆU THAM KHẢO .................................................................................................... 61
CNTT12-TM
Trang 5
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN THỰC TẬP
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
Cần Thơ, ngày … tháng … năm 2015
CNTT12-TM
Trang 6
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
Cần Thơ, ngày … tháng … năm 2015
CNTT12-TM
Trang 7
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
CÁC THUẬT NGỮ VIẾT TẮT
Từ/Ký hiê ̣u viế t tắ t
Giải thích
AAA
Authentication Authorization Accounting
– Xác thực cấ p quyề n kiể m toán
ADSL
Asymmetric Digital Subsciber Line Đường dây thuê bao bấ t đố i xứng
AP
Access Point – Điể m truy cập
DS
Distribution System - Hệ thống phân phối
EAP
Extensble Authentication Protocol - Giao
thức xác thực mở rô ̣ng
IEEE
Institute of Electrical and Electronics
Engineers - Viện kỹ nghệ và điện tử
NAS
Network Attached Storage – Thiết bị lưu
trữ gắn vào mạng
RADIUS
Remote Authentication Dial In User
Service - Giao thức chứng thực người
dùng từ xa
WEP
Wires Equivalent Privacy - Riêng tư
tương tự mạng dây
WIFI
Wireless Fidelity - Mạng không dây
WLAN
Wireless Local Area Network - Mạng cục
bộ không dây
WPA
Wireless Protected Area - Vùng bảo vệ
dây
CNTT12-TM
Trang 8
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
TÓM TẮT
Cùng với sự phát triển nhanh chóng của mạng internet, mạng WIFI cũng được
sử dụng phổ biến ở khắp mọi nơi như công ty, văn phòng hay nhà riêng… Đa số các
nhà quản trị đều sử dụng phương thức bảo mật dùng khóa chung (Pre-Shared Key).
Việc sử dụng một khóa chung như vậy mang đến nhiều khuyết điểm như: không thế
kiểm soát được những ai đang đăng nhập và sử dụng mạng; không áp dụng được chính
sách phân quyền, giới hạn truy cập lên người dùng hoặc nhóm người dùng nào đó;
khóa chung sẽ dễ dàng bị lộ do nhiều người cùng biết, hệ thống mạng WIFI sẽ dễ dàng
bị người ngoài xâm nhập, nhà quản trị phải mất rất nhiều thời gian để thay đổi khóa
chung đối với mạng WIFI vừa và lớn. Nội dung của đề tài này chủ yếu nhắm vào việc
xây dựng hệ thống chứng thực cho mạng WIFI bằng username và password thay vì
Pre-Shared Key, cho phép nhà quản trị giám sát được những ai đang truy cập mạng,
phân loại người dùng theo nhóm, có thể vận hành và tích hợp với hệ thống mạng WIFI
hiện nay với chi phí triển khai thấp. Đây cũng là nhu c ầu của phần lớn công ty, tổ chức,
doanh nghiệp… ở thời điểm hiện tại và trong tương lai.
ABSTRACT
Along with fast growing of the Internet, WIFI networks have become
ubiquitous in today’s world. Most network administrators have been protecting their
wireless networks by Pre-Shared Key method. This method comes with its own risks:
it is incapable of monitoring who is accessing to WIFI network, inability to apply
authorization policies, speed limiting policies on users or groups; PreShared Key can
be leaked easily due to human error, so unauthorized personnel can access WIFI
network without difficulty, and it takes a long time for network admi nistrators to
change Pre-Shared Key for medium and large networks. This thesis’s target aims at
building an Authentication System which can authenticate wireless users with
username and password instead of Pre-Shared Key, allows network administrators to
monitor who is accessing to WIFI network, classifies users into groups. In addition,
this Authentication System can be easily deployed and intergrated with existing
wireless network system with low cost deplo yment. This is a great demand on most
companies, enterprises, organizations...at this time and in future.
CNTT12-TM
Trang 9
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
TỪ KHÓA
RADIU S, AAA, AUTHEN TIC AT ION,
AUTHOR IZA TION, ACCOUNT ING, WIFI,
WLAN, FREE RA DIUS,
CNTT12-TM
Trang 10
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
CHƯƠNG 1: TỔNG QUAN
1/ ĐẶT VẤN ĐỀ
Ngày nay, trước sự phát triển vượt bậc trên mọi lĩnh vực của Khoa Học Kỹ
Thuật thì ngành Công Nghệ Thông Tin cũng đã và đang chiếm một vị trí vô cùng to
lớn trong xã hội. Kéo theo đó là các ngành Công Nghiệp, Thương Mại, Viễn Thông…
đều phát triển theo và lấy Công Nghệ Thông Tin làm nền tảng.
Trong đó phải kể đến sự ra đời và phát triển của mạng máy tính. Mạng WLAN
ra đời thực sự là một bước tiến vượt bậc của công nghệ mạng, đây là phương pháp
chuyển giao từ điểm này sang điểm khác sử dụng sóng vô tuyến. Và hiện nay đã phổ
biến trên toàn thế giới, mang lại rất nhiều lợi ích cho người sử dụng, nhất là khả năng
di động của nó. Ở một số nước có nền thông tin công nghệ phát triển, mạng không
dây thực sự đi vào cuộc sống. Chỉ cần có một Laptop, PDA hoặc một thiết bị truy cập
không dây bất kỳ, chúng ta có thể truy cập vào mạng không đây ở bất kỳ nơi đâu, trên
cơ quan, trong nhà, trên máy bay, ở quán cafe… ở bất kỳ đâu trong phạm vi phủ sóng
của WLAN. An toàn dữ liệu máy tính luôn là vấn đề rất được quan tâm, đặc biệt là
vấn đề an toàn dữ liệu mạng khi mà mạng máy tính trong giai đoạn phát triển mạnh
mẽ. Mạng LAN không dây 802.11 sử dụng môi trường truyền dẫn không dây điện từ
với những đặc điểm riêng của nó cần có những giải pháp an ninh riêng bên cạnh các
giải pháp an ninh truyền thống cho mạng hữu tuyến. Việc tập trung nghiên cứu,
đánh giá mức độ an ninh của mạng này không chỉ có ý nghĩa đối với riêng lĩnh vực
quân sự, kỹ thuật mà còn đối với tất cả các lĩnh vực đang áp dụng nó.
Khi thiết kế các yêu cầu kỹ thuật cho mạng không dây, chuẩn 802.11 của IEEE
đã có tính đến vấn đề bảo mật dữ liệu đường truyền qua phương thức mã hóa. Trong
đó, phương thức WEP đã được đa số các nhà sản xuất thiết bị không dây hỗ trợ như là
một phương thức mặc định bảo mật không dây. Tuy nhiên, những phát hiện gần đây
về điểm yếu của chuẩn 802.11 WEP cho thấy WEP không phải là một cơ chế bảo mật
toàn diện cho mạng WLAN và các nhà nghiên cứu đã tìm ra một phương thức bảo
mật mới WAP2 tương ứng là chuẩn 802.11i.
CNTT12-TM
Trang 11
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
Do đặc điểm trao đổi thông tin trong không gian truyền sóng nên khả năng
thông tin bị rò rỉ ra ngoài là điều dễ hiểu. Nếu chúng ta không khắc phục được điểm
yếu này thì môi trường mạng không dây sẽ trở thành mục tiêu của những hacker xâm
phạm, gây ra những sự thất thoát về thông tin, tiền bạc… Do đó bảo mật thông tin là
một vấn đề rất nóng hiện nay. Đi đôi với sự phát triển mạng không giây phải phát
triển các khả năng bảo mật, để cung cấp thông tin hiệu quả, tin cậy cho người sử dụng.
2/ MU ̣C TIÊU ĐỀ TÀ I
Do vậy luận văn trước hết thực hiện việc tìm hiểu, phân tích các giải pháp an
ninh cũng như các rủi ro từ mạng WLAN dựa trên các tiêu chí đảm bảo: tính an toàn,
tính xác thực, tính toàn vẹn. Qua đó có thể thấy RADIUS SERVER với mục tiêu cung
cấp một giải pháp an ninh mới cho mạng WLAN đủ khả năng để mang lại sự an toàn
cho dữ liệu.
Theo hướng tìm hiểu được cho thấy phương pháp chứng thực người dù ng
bằ ng RADIUS SERVER thích hợp cho việc triển khai trên nhiều hệ thống khác
nhau, có khả năng chứng thực người dùng khi truy câ ̣p vào mang
̣ Wifi bằ ng
Username/password thay cho khóa chung, cho phép quản lý người dùng, dễ dàng
nâng cấ p hê ̣ thố ng mạng thay vì xây dựng hê ̣ thố ng mang
̣ toàn bô ̣ laị từ đầ u.
3/ PHẠM VI CỦA ĐỀ TÀ I
Phạm vi của đề tài tập trung vào việc xây dựng một hệ thống x ác thực người
dùng cho mạng WIFI nhằm giải quyết triệt để những hạn chế của mang
̣ WLAN (như
đã nêu bên trên) với chi phí triển khai thấp thông qua việc ứng dụng các sản phẩm
nguồn mở nhưng vẫn đảm bảo tính bảo mật cao và có thể vận hành trên những thiết bị
thông thường.
4/ PHƯƠNG PHÁP PHẠM VI NGHIÊN CỨU VÀ HƯỚNG GIẢI QUYẾT
4.1/ Phương pháp nghiên cứu
Phương pháp nghiên cứu chủ yếu dựa trên các bài viết học thuật cũng như các
nguồn tài liệu trên Internet kết hợp với kinh nghiệm thực tiễn để tiến hành nghiên cứu
CNTT12-TM
Trang 12
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
kiến trúc của hệ thống, triển khai kiểm nghiệm khả năng hoạt động và đáp ứng trên
thiết bị thật.
4.2/ Phạm vi nghiên cứu
Phạm vi nghiên cứu tập trung vào kiến trúc AAA của RADIUS SERVER, các
kỹ thuật tấn công xâm nhập để từ đó suy ra các quy tắc và dấu hiệu của chúng,
phương pháp chuyển tiếp gói tin giữa các giao diện mạng (network interface), hệ điều
hành hoạt động trên nền tảng thiết bị nhúng, các công cụ bảo mật mã nguồn mở.
4.3/ Hướng giải quyết
Dựa vào việc phân tích và nghiên cứu mô hình cũng như các thành phần của
kiến trúc AAA và máy chủ RADIUS SERVER, từ đó triển khai một hệ thống máy
chủ chứng thư ̣c người dùng hoạt động trên thiết bị thật trong thực tế dựa trên nền tảng
của hệ điều hành và các phần mềm, công cụ mã nguồn mở.
4.4/ Kế hoạch thực hiện
Kế hoạch thực hiện trong vòng 9 tuần, báo cáo được tiến hành viết song song
cùng nội dung công việc thực hiện, cụ thể như sau:
Bảng 1: Kế hoạch thực hiện luận văn.
Tuần
1, 2
3, 4
5
6
7
8
Cò n la ̣i
CNTT12-TM
Nội dung công việc
Nghiên cứu tài liê ̣u về kiế n trúc AAA.
Nghiên cứu máy chủ RADIUS SERVER và các vấn đề liên quan.
Cài đăṭ thử nghiê ̣m và triể n khai lên Access Point.
Cấu hình và cài đặt thêm các gói trên Access Point.
Tổng hợp lại các phần báo cáo đã viết, sửa lại nếu cần thiết.
Thiết kế slide trình chiếu.
Dư ̣ trù công viê ̣c.
Trang 13
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
PHẦN 1: CƠ SỞ LÝ THUYẾT
CHƯƠNG 2: TỔNG QUAN VỀ MẠNG KHÔNG DÂY
1/ CÁC KHÁI NIỆM CƠ BẢN VỀ MẠNG KHÔNG DÂY
1.1/ Khái niệm
Mạng LAN không dây viết tắt là WLAN (Wireless Local Area Network) hay
WIFI (Wireless Fidelity), là một mạng dùng để kết nối hai hay nhiều máy tính với
nhau mà không sử dụng dây dẫn. WLAN dùng công nghệ trải phổ, sử dụng sóng vô
tuyến cho phép truyền thông giữa các thiết bị trong một vùng nào đó gọi là Basic
Service Set.
Đây là một giải pháp có rất nhiều ưu điểm so với kết nối mạng có dây (wireline)
truyền thống. Người dùng vẫn duy trì kết nối với mạng khi di chuyển trong vùng phủ
sóng.
1.2/ Lịch sử hình thành và phát triển
Năm 1990, công nghệ WLAN lần đầu tiên xuất hiện, khi những nhà sản xuất
giới thiệu những sản phẩm hoạt động ở băng tần 900 Mhz. Các giải pháp này (không
có sự thống nhất của các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mbs, thấp hơn
rất nhiều so với tốc độ 10 Mbs của hầu hết các mạng sử dụng cáp lúc đó.
Năm 1992, các nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng
tần 2.4GHz. Mặc dù những sản phẩm này có tốc độ truyền cao hơn nhưng chúng vẫn
chỉ là những giải pháp riêng của mỗi nhà sản xuất và không được công bố rộng rãi. Sự
cần thiết cho việc thống nhất hoạt động giữa các thiết bị ở những dãy tần số khác nhau
dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây.
Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã thông
qua sự ra đời của chuẩn 802.11, và được biết đến với tên WIFI (Wireless Fidelity) cho
các mạng WLAN.
CNTT12-TM
Trang 14
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
Năm 1999, IEEE thông qua sự bổ sung cho chuẩn 802.11 là chuẩn 802.11a và
802.11b (định nghĩa ra những phương pháp truyền tín hiệu). Và các thiết bị WLAN
dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây nổi trội.
Năm 2003, IEEE công bố thêm sự cải tiến là chuẩn 802.11g, chuẩn này cố
gắng tích hợp tốt nhất các chuẩn 802.11a, 802.11b và 802.11g. Sử dụng băng t ần
2.4Ghz cho phạm vi phủ sóng lớn hơn.
Năm 2009, IEEE cuối cùng cũng thông qua chuẩn WIFI thế hệ mới 802.11n
sau 6 năm thử nghiệm. Chuẩn 802.11n có khả năng truyền dữ liệu ở tốc độ 300Mbps
hay thậm chí cao hơn.
1.3/ Ưu điểm của WLAN
Sự tiện lợi: Mạng không dây cung cấp giải pháp cho phép người sử dụng
truy cập tài nguyên trên mạng ở bất kỳ nơi đâu trong khu vực WLAN được
triển khai (khách sạn, trường học, thư viện…). Với sự bùng nổ của máy
tính xách tay và các thiết bị di động hỗ trợ wifi như hiện nay, điề u đó thật
sự rất tiện lợi.
Khả năng di động: Với sự phát triển vô cùng mạnh mẽ của viễn thông di
động, người sử dụng có thể truy cập internet ở bất cứ đâu như: quán cafe,
thư viện, trường học và thậm chí là ở các công viên hay vỉa hè. Người sử
dụng đều có thể truy cập internet miễn phí.
Hiệu quả: Người sử dụng có thể duy trì kết nối mạng khi họ đi từ nơi này
đến nơi khác.
Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, chúng ta chỉ
cần một đường truyền ADSL và một AP là được một mạng WLAN đơn
giản. Với việc sử dụng cáp, sẽ rất tốn kém và khó khăn trong việc triển
khai ở nhiều nơi trong tòa nhà.
Khả năng mở rộng: Mở rộng dễ dàng và có thể đáp ứng tức thì khi có sự
gia tăng lớn về số lượng người truy cập.
CNTT12-TM
Trang 15
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
1.4/ Nhược điểm của WLAN
Bên cạnh những thuận lợi mà mạng không dây mang lại cho chúng ta thì nó cũng
mắc phải những nhược điểm. Đây là sự hạn chế của các công nghệ nói chung.
Bảo mật: Đây có thể nói là nhược điểm lớn nhất của mạng WLAN, bởi vì
phương tiện truyền tín hiệu là song song và môi trường truyền tín hiệu là
không khí nên khả năng một mạng không dây bị tấn công là rất lớn.
Phạm vi: Như ta đã biết chuẩn IEEE 802.11n mới nhất hiện nay cũng chỉ
có thể hoạt động ở phạm vi tối đa là 150m, nên mạng không dây chỉ phù
hợp cho một không gian hẹp.
Độ tin cậy: Do phương tiện truyền tín hiệu là sóng vô tuyến nên việc bị
nhiễu, suy giảm…là điều không thể tránh khỏi. Điều này gây ảnh hưởng
đến hiệu quả hoạt động của mạng.
Tốc độ: Tốc độ cao nhất hiện nay của WLAN có thể lên đến 600Mbps
nhưng vẫn chậm hơn rất nhiều so với các mạng cáp thông thường (có thể
lên đến hàng Gbps). Khi số lượng máy tính trong mạng không dây tăng lên
thì tốc độ băng thông sẽ giảm xuống (tỉ lệ nghịch).
1.5/ Cơ sở hạ tầng của WLAN
1.5.1/ Cấ u trúc cơ bản của WLAN
Distribution System (Hệ thống phân phối ): Đây là một thành phần logic
sử dụng để điều phối thông tin đến các station đích.Chuẩn 802.11 không đặc tả
chính xác kỹ thuật cho DS.
Access Point: chức năng chính chủa AP là mở rộng mạng. Nó có khả năng
chuyển đổi các frame dữ liệu trong 802.11 thành các frame thông dụng để có
thể sử dụng trong mạng khác.
Wireless Medium (tầng liên lạc vô tuyến): Chuẩn 802.11 sử dụng tần liên
lạc vô tuyến để chuyển đổi các frame dữ liệu giữa các máy trạm với nhau.
Station (các máy trạm): Đây là các thiết bị ngoại vi có hỗ trợ kết nối vô
tuyến như: laptop, PDA, Palm…
CNTT12-TM
Trang 16
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
1. Access Point (AP)
2. Wireless Medium
3. Station
Hình 1: Cấu trúc cơ bản của WLAN
1.5.2/ Thiế t bi da
̣ ̀ nh cho WLAN
Wireless Accesspoint (AP): Là thiết bị có nhiệm vụ cung cấp cho máy
khách (client) một điểm truy cập vào mạng.
Hinh
̀ 2: Thiết bi ̣Wireless Access Points
Các chế độ hoạt động của AP: AP có ba chế độ hoạt động chính.
CNTT12-TM
Trang 17
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
o Chế độ gốc (root mode): Root mode được sử dụng khi AP kết nối với
mạng backbone có dây thông qua giao diện có dây (thường là Ethernet) của
nó. Hầu hết các AP đều hoạt động ở chế độ mặc định là root mode.
Hinh
̀ 3: AP hoạt đô ̣ng ở root mode
o Chế độ cầu nối (bridge mode): Trong bridge mode, AP hoạt động hoàn
toàn như cầu mối không dây. Với chế độ này, máy khách (client) sẽ không
kết nối trực tiếp với AP, nhưng thay vào đó, AP dùng để nối hai hay nhiều
đoạn mạng có dây lại với nhau. Hiện nay, hầu hết các thiết bị AP đều hỗ trợ
chế độ bridge.
Hinh
̀ 4: Chế đô ̣ cầu nố i của AP
CNTT12-TM
Trang 18
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
o Chế độ lặp (Repeater mode): Ở chế độ Repeater, sẽ có ít nhất hai thiết
bị AP, một root AP và một AP hoạt động như một Repeater không dây. AP
trong Repeater mode ho ạt động như một máy khách khi kết nối với root AP
và hoạt động như một AP khi kết nối với máy khách.
Hinh
̀ 5: Chế đô ̣ Repeater của AP
Wireless Router: Ngày nay, với sự tiến bộ của công nghệ và kỹ thuật, sự ra
đời của thiết bị đa năng Wireless Router với sự kết hợp chức năng cửa ba thiết
bị là Wireless Accesspoint, Ethernet Switch và Router.
Hinh
̀ 6: Thiết bi ̣Wireless Router
Wireless NICs: Là các thiết bị được máy khách dùng để kết nối vào AP.
CNTT12-TM
Trang 19
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
Hinh
̀ 7: Thiết bi ̣Wireless NICS
1.5.3/ Các mô hì nh WLAN
Mạng 802.11 rất linh hoạt về thiết kế, bao gồm 3 mô hình cơ bản sau:
Mô hình mạng độc lập (IBSSs) hay còn gọi là mạng Ad-hoc.
Mô hình mạng cơ sở (BSSs).
Mô hình mạng mở rộng (ESSs).
1.6/ Bảo mật dữ liệu WLAN
Bảo mật dữ liệu trong WLAN diễn ra ở tầng liên kế t dữ liê ̣u.
Dữ liệu được mã hóa
Tầng liên kết dữ liệu cung cấp các phương tiện có tính chức năng và quy
trình để truyền dữ liệu giữa các thực thể mạng, phát hiện và có thể sửa chữa
các lỗi trong tầng vật lý nếu có. Cách đánh địa chỉ mang tính vật lý, nghĩa là
địa chỉ (địa chỉ MAC) được mã hóa cứng vào trong các thẻ mạng (network
card) khi chúng được sản xuất. Hệ thống xác định địa chỉ này không có
đẳng cấp (flat scheme). Chú ý: ví dụ điển hình nhất là Ethernet. Những ví
dụ khác về các giao thức liên kết dữ liệu (data link protocol) là các giao
CNTT12-TM
Trang 20
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
thức HDLC; ADCCP dành cho các mạng điểm-tới-điểm hoặc mạng chuyển
mạch gói (packet-switched networks) và giao thức Aloha cho các mạng cục
bộ. Trong các mạng cục bộ theo tiêu chuẩn IEEE 802, và một số mạng theo
tiêu chuẩn khác, chẳng hạn FDDI, tầng liên kết dữ liệu có thể được chia ra
thành 2 tầng con: tầng MAC (Media Access Control - Điều khiển Truy
nhập Đường truyền) và tầng LLC (Logical Link Control - Điều khiển Liên
kết Lôgic) theo tiêu chuẩn IEEE 802.2.
Tầng liên kết dữ liệu chính là nơi các cầu nối (bridge) và các thiết bị
chuyển mạch (switches) hoạt động. Kết nối chỉ được cung cấp giữa các nút
mạng được nối với nhau trong nội bộ mạng. Tuy nhiên, có lập luận khá hợp
lý cho rằng thực ra các thiết bị này thuộc về tầng 2,5 chứ không hoàn toàn
thuộc về tầng 2.
2/ QUY TRÌNH CHỨNG THỰC TRONG WIRELESS LAN
2.1/ Khái niệm EAP
EAP (Extensible Authentication Protocol) là một phần mở rộng cho Point-toPoint (PPP) và giao thức này được tổ chức IETF định nghĩa trong cuốn RFC 2284 PPP Extensible Authentication Protocol (EAP). EAP cho phép một phương pháp xác
thực tùy ý được sử dụng để truyền thông tin ủy nhiệm và trao đổi thông tin có chiều
dài tùy ý. Phương thức xác thực bao gồm yêu cầu định danh người dùng (password,
certificate,…), giao thức được sử dụng (MD5, TLI_Transport Layer Security,
OTP_One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau.
Hinh
̀ 8: Kiế n trúc EAP cơ bản
CNTT12-TM
Trang 21
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
Hinh
̀ 9: Bản tin EAP
Một bản tin EAP được thể hiện ở hình trên. Các trường của bản tin EAP:
Code: trường đầu tiên trong bản tin, là một byte dài và xác định loại bản tin
của EAP. Nó thường được dùng để thể hiện trường dữ liệu của bản tin.
Identifier: là một byte dài. Nó bao gồm một số nguyên không dấu được
dùng để xác định các bản tin yêu cầu và trả lời. Khi truyền lại bản tin thì
vẫn là các số identifier đó, nhưng việc truyền mới thì dùng các số identifier
mới.
Length: có giá trị là 2 byte dài. Nó chính là chiều dài của toàn bộ bản tin
bao gồm các trường Code, Identifier, Length, và Data.
Data: là trường cuối cùng có độ dài thay đổi. Phụ thuộc vào loại bản tin,
trường dữ liệu có thể là các byte không. Cách thể hiện của trường dữ liệu
được dựa trên giá trị của trường Code.
2.2/ Quá trình chứng thực 802.1X-EAP
Wireless client liên kết với một AP trong mạng theo các bước sau:
1) AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào
mạng. Khi đó client yêu cầu liên kết tới AP.
2) AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP.
3) Client gửi đáp lại yêu cầu nhận dạng EAP cho AP.
4) Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server
chứng thực.
5) Server chứng thực gửi một yêu cầu cho phép AP.
6) AP chuyển yêu cầu cho phép tới client.
7) Client gửi trả lời sự cấp phép EAP tới AP.
8) AP chuyển sự trả lời đó tới Server chứng thực.
9) Server chứng thực gửi một thông báo thành công EAP tới AP.
CNTT12-TM
Trang 22
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
10) AP chuyển thông báo thành công tới client và đặt cổng của client trong chế
độ forward.
2.3/ WEP (Wired Equivalent Privacy)
Sóng vô tuyến lan truyền trong môi trường mạng có thể bị kẻ tấn công bắt sóng
được. Điều này thực sự là mối đe doạ nghiêm trọng. Để bảo vệ dữ liệu khỏi bị nghe
trộm, nhiều dạng mã hóa dữ liệu đã dùng. Đôi khi các dạng mã hóa này thành công,
một số khác thì có tính chất ngược lại, do đó làm phá vỡ sự an toàn của dữ liệu.
Phương thức chứng thực qua SSID khá đơn giản, chính vì vậy mà nó chưa đảm bảo
được yêu cầu bảo mật, mặt khác nó chỉ đơn thuần là chứng thực mà chưa có mã hóa
dữ liệu. Do đó chuẩn 802.11 đã đưa ra phương thức mới là WEP – Wired Equivalent
Privacy.
WEP có thể dịch là chuẩn bảo mật dữ liệu cho mạng không dây mức độ tương
đương với mạng có dây, là phương thức chứng thực người dùng và mã hóa nội dung
dữ liệu truyền trên mạng LAN không dây (WLAN).
Phương thức chứng thực của WEP cũng phải qua các bước trao đổi giữa Client
và AP, nhưng nó có thêm mã hóa và phức tạp hơn.
Hinh
̀ 10: Quá trình chứng thư ̣c giữa client và AP
CNTT12-TM
Trang 23
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
Các bước cụ thể như sau:
1) Client gửi đến AP yêu cầu xin chứng thực.
2) AP sẽ tạo ra một chuỗi mời kết nối (challenge text) ngẫu nhiên gửi đến client.
3) Client nhận được chuỗi này sẽ mã hóa chuỗi bằng thuật toán RC4 theo mã khóa
mà client được cấp, sau đó client gửi lại cho AP chuỗi đã mã hóa.
4) AP sau khi nhận được chuỗi đã mã hóa của client, nó sẽ giải mã lại bằng thuật
toán RC4 theo mã khóa đã cấp cho client, nếu kết quả giống với chuỗi ban đầu
mà nó gửi cho client thì có nghĩa là client đã có mã khóa đúng và AP sẽ chấp
nhận quá trình chứng thực của client và cho phép thực hiện kết nối.
WEP là một thuật toán mã hóa đối xứng có nghĩa là quá trình mã hóa và gi ải mã
đều dùng một là Khóa dùng chung - Share key, khóa này AP sử dụng và Client được
cấp. Mặc dù các thuật toán được cải tiến và kích thước kí tự được tăng lên, qua thời
gian nhiều lỗ hổng bảo mật được phát hiện trong chuẩn WEP khiến nó càng ngày càng
dễ bị qua mặt khi mà sức mạnh của máy tính ngày càng được củng cố. Năm 2001,
nhiều lỗ hổng tiềm tàng đã bị phơi bày trên mạng internet. Đến năm 2005, FBI công
khai trình diễn khả năng bẻ khóa WEP chỉ trong một vài phút bằng phần mềm hoàn
toàn miễn phí nhằm nâng cao nhận thức về sự nguy hiểm của WEP.
2.4/ WPA (WiFi Protected Access)
Wifi Protected Access là phương thức được Liên minh wifi đưa ra để thay thế
WEP trước những nhược điểm không thể khắc phục của chuẩn cũ. WPA được áp
dụng chính thức vào năm 2003, một năm trước khi WEP bị loại bỏ. Phiên bản phổ
biến nhất của WPA là WPA-PSK (Pre-Shared Key). Các kí tự được sử dụng bởi WPA
là loại 256 bit, tân tiến hơn rất nhiều so với kí tự 64 bit và 128 bit có trong hệ thống
WEP.
Một trong những thay đổi lớn lao được tích hợp vào WPA bao gồm khả năng
kiểm tra tính toàn vẹn của gói tin (message integrity check) để xem liệu hacker có thu
thập hay thay đổi gói tin chuyền qua lại giữa điểm truy cập và thiết bị dùng wifi hay
không. Ngoài ra còn có giao thức khóa toàn vẹn thời gian (Temporal Key Integrity
CNTT12-TM
Trang 24
XÂY DỰNG HỆ THỐNG CHỨNG THỰC CHO MẠNG WIFI
Protocol – TKIP). TKIP sử dụng hệ thống kí tự cho từng gói, an toàn hơn r ất nhiều so
với kí tự tĩnh của WEP. Sau này, TKIP bị thay thế bởi Advanced Encryption Standard
(AES).
Tuy vậy điều này không có nghĩa là WPA đã hoàn hảo. TKIP, một bộ phận
quan trọng của WPA, được thiết kế để có thể tung ra thông qua các bản cập nhật phần
mềm lên thiết bị được trang bị WEP. Chính vì vậy nó vẫn phải sử dụng một số yếu tố
có trong hệ thống WEP, vốn cũng có thể bị kẻ xấu khai thác.
WPA, giống như WEP, cũng trải qua các cuộc trình diễn công khai để cho thấy
những yếu điểm của mình trước một cuộc tấn công. Phương pháp qua mặt WPA
không phải bằng cách tấn công trực tiếp vào thuật toán của nó mà là vào một hệ thống
bổ trợ có tên Wifi Protected Setup (WPS), được thiết kế để có thể dễ dàng kết nối
thiết bị tới các điểm truy cập.
2.4.1/ WPA-Personal
Chế độ mã hó a WPA-Personal thích hợp với hầu hết các mạng gia đình – không
thích hợp với các mạng doanh nghiệp. Bạn có thể định nghĩa mật khẩu mã hóa trên
router không dây và các điểm truy cập (AP) khác. Sau đó mật khẩu phải được nhập
vào bởi người dùng khi kết nối với mạng Wi-Fi.
Mặc dù chế độ này dường như rất dễ thực thi, nhưng nó không thể bảo đảm an
toàn cho mạng doanh nghiệp. Truy cập không dây không mang tính riêng biệt hoặc có
thể quản lý tập trung. Một mật khẩu được áp dụng cho tất cả người dùng. Nếu mật
khẩu toàn cục cần phải thay đổi thì nó phải được thay đổi trên tất cả các AP và máy
tính. Điều này sẽ gây ra rất nhiều khó khăn khi bạn cần thay đổi; cho ví dụ, khi một
nhân viên nào đó rời công ty hoặc, khi có máy tính nào đó bị mất cắp hoặc bị thỏa hiệp.
Các mâṭ khẩu được lưu trữ trên các máy khác h vì vâ ̣y bấ t cứ ai trên máy tí nh
cũng có thể kết nố i vào mang
̣ và xem mâṭ khẩ u.
CNTT12-TM
Trang 25
