Tài liệu Đề tài Bảo mật WLAN bằng RADIUS Server và WPA2: MỞ ĐẦU
Công nghệ không dây là một phương pháp chuyển giao từ điểm này đến điểm khác sử dụng sóng vô tuyến. Mạng không dây ngày nay bắt nguồn từ nhiều giai đoạn phát triển của thông tin vô tuyến, những ứng dụng điện báo và radio. Mặc dầu một vài phát minh xuất hiện từ những năm 1800, nhưng sự phát triển nổi bật đạt được vào kỷ nguyên của công nghệ điện tử và chịu ảnh hưởng lớn của nền kinh tế học hiện đại, cũng như các khám phá trong lĩnh vực vật lý. Cho đến nay, mạng không dây đã đạt được những bước phát triển đáng kể. Tại một số nước có nền công nghệ thông tin phát triển, mạng không dây thực sự đi vào cuộc sống. Chỉ cần một laptop, PDA hoặc một phương tiện truy nhập mạng không dây bất kỳ, chúng ta có thể truy nhập vào mạng ở bất cứ nơi đâu, trên cơ quan, trong nhà, ngoài đường, trong quán cafe, trên máy bay v.v, bất cứ nơi đâu nằm trong phạm vi phủ sóng của WLAN. Tuy nhiên chính sự hỗ trợ truy nhập công cộng, các phương tiện truy nhập lại đa dạng, đơn giản, cũng như phức tạp, kích...
70 trang |
Chia sẻ: hunglv | Lượt xem: 1661 | Lượt tải: 2
Bạn đang xem trước 20 trang mẫu tài liệu Đề tài Bảo mật WLAN bằng RADIUS Server và WPA2, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
MỞ ĐẦU
Công nghệ không dây là một phương pháp chuyển giao từ điểm này đến điểm khác sử dụng sóng vô tuyến. Mạng không dây ngày nay bắt nguồn từ nhiều giai đoạn phát triển của thông tin vô tuyến, những ứng dụng điện báo và radio. Mặc dầu một vài phát minh xuất hiện từ những năm 1800, nhưng sự phát triển nổi bật đạt được vào kỷ nguyên của công nghệ điện tử và chịu ảnh hưởng lớn của nền kinh tế học hiện đại, cũng như các khám phá trong lĩnh vực vật lý. Cho đến nay, mạng không dây đã đạt được những bước phát triển đáng kể. Tại một số nước có nền công nghệ thông tin phát triển, mạng không dây thực sự đi vào cuộc sống. Chỉ cần một laptop, PDA hoặc một phương tiện truy nhập mạng không dây bất kỳ, chúng ta có thể truy nhập vào mạng ở bất cứ nơi đâu, trên cơ quan, trong nhà, ngoài đường, trong quán cafe, trên máy bay v.v, bất cứ nơi đâu nằm trong phạm vi phủ sóng của WLAN. Tuy nhiên chính sự hỗ trợ truy nhập công cộng, các phương tiện truy nhập lại đa dạng, đơn giản, cũng như phức tạp, kích cỡ cũng có nhiều loại, đã đem lại sự đau đầu cho các nhà quản trị trong vấn đề bảo mật. Làm thế nào để tích hợp được các biện pháp bảo mật vào các phương tiện truy nhập, mà vẫn đảm bảo những tiện ích như nhỏ gọn, giá thành, hoặc vẫn đảm bảo hỗ trợ truy cập công cộng v.v. Cũng chính vì lý do này mà tôi đã chọn đề tài “Bảo mật WLAN bằng RADIUS Server và WPA2” cho khóa luận của mình.
Trong phạm vi khóa luận tôi sẽ trình bày một cái nhìn tổng quan về WLAN, lịch sử phát triển, chuẩn thực hiện, một số đặc tính kỹ thuật, các khuyến cáo về bảo mật, các phương pháp bảo mật vốn có và các giải pháp được đề nghị.
Trong suốt thời gian thực hiện khóa luận tốt nghiệp, tôi đã nhận được sự giúp đỡ, chỉ bảo tận tình của thầy cô khoa CNTT, trường Đại học Duy Tân. Vậy cho phép tôi được bày tỏ lòng biết ơn sâu sắc tới sự giúp đỡ đó. Đặt biệt tôi xin chân thành cảm ơn thầy Nhuyễn Gia Như – Trưởng Khoa CNTT, người đã trực tiếp hướng dẫn và tạo mọi điều kiện thuận lợi giúp đỡ tôi hoàn thành khóa luận này.
Qua đây tôi cũng xin cảm ơn gia đình và bạn bè đã tạo điều kiện, giúp đỡ và động viên tôi hoàn thành khóa luận đúng thời hạn.
Khóa luận này được chia làm 4 chương:
Chương 1 Trình bày một cái nhìn tổng quan về WLAN, công nghệ sử dụng, các chuẩn, các đặt tính kỹ thuật và thực trạng bảo mật Wlan ở Việt Nam.
Chương 2 Trình bày về các hình thức tấn công Wlan phổ biến hiện nay như: Rogue Access point, De-Authentication Flood Attack, Fake Access point, tấn công dựa trên sự cảm nhận lớp vật lý, Disassociation Flood Attack …
Chương 3 Trình bày về các giải pháp bảo mật phổ biến hiện nay như: Wep, Wlan VPN, 802.1x, WPA, WPA2, Filtering … và các ưu nhược điểm của chúng như thế nào.
Chương 4 Trình bày về việc sử dụng RADIUS Server và WPA2 cho quá trình xác thực trong WLAN.
Trong quá trình làm khóa luận sẽ không tránh khỏi những thiếu sót. Rất mong sự góp ý kiến của quý thầy cô và bạn bè để khóa luận này được hoàn chỉnh hơn.
Đà Nẵng, ngày 09 tháng 5 năm 2008
Sinh viên thực hiện
Đặng Ngọc Cường
MỤC LỤC
DANH MỤC CÁC HÌNH VẼ
Hình 1.1 Phạm vi của WLAN trong mô hình OSI 15
Hình 1.2 Logo Wi-fi 18
Hình 1.3 Tốc độ truyền tải so với các chuẩn khác 19
Hình 1.4 Cấu trúc WLAN 22
Hình 1.5 Access Points 25
Hình 1.6 ROOT MODE 26
Hình 1.7 BRIDGE MODE 27
Hình 1.8 REPEATER MODE 27
Hình 1.9 Card PCI Wireless 28
Hình 1.10 Card PCMCIA Wireless 28
Hình 1.11 Card USB Wireless 29
Hình 1.12 Mô hình mạng AD HOC 29
Hình 1.13 Mô hình mạng cơ sở 30
Hình 1.14 Mô hình mạng mở rộng 31
Hình 2.1 Mô hình tấn công “yêu cầu xác thực lại” 35
Hình 2.2 Mô hình tấn công Fake Access Point 36
Hình 2.3 Mô hình tấn công ngắt kết nối 37
Hình 3.1 Truy cập trái phép mạng không dây 39
Hình 3.2 Mô hình WLAN VPN 41
Hình 3.3 Mô hình hoạt động xác thực 802.1x 43
Hình 3.4 Tiến trình xác thực MAC 46
Hình 3.5 Lọc giao thức 47
Hình 4.1 Mô hình xác thực giữa Wireless Clients và RADIUS Server. 50
Hình 4.2 Wireless Clients, AP và RADIUS Server. 57
Hình 4.3 Enterprise CA. 58
Hình 4.4 Raise domain functional level. 59
Hình 4.5 Kết quả cấu hình DHCP 60
Hình 4.6 Register Server in Active Directory 60
Hình 4.7 Khai báo radius client 61
Hình 4.8 Active Directory Users and Computers 62
Hình 4.9 New Remote Access Policy. 62
Hình 4.10 Access mode là “Wireless”. 63
Hình 4.11 User or Group Access 63
Hình 4.12 EAP type 64
Hình 4.13 Kết quả tạo Remote Access Policy 64
Hình 4.14 Cấu hình Access Point 65
Hình 4.15 Wireless Network Connection Properties 66
Hình 4.16 Cấu hình Network Authentication và Data Encryption 66
Hình 4.17 Cấu hình EAP type 67
Hình 4.18 Kết quả sau khi đăng nhập vào hệ thống 67
Hình 4.19 Trạng thái kết nối 68
Hình 4.20 Các thông số được cấp bởi DHCP server như IP, DNS server, Default Gateway … 68
Hình 4.21 Event Viewer 69
Hình 4.22 Information Properties 69
DANH MỤC CÁC BẢNG BIỂU
Bảng 1.1 Một số thông số kỹ thuật của chuẩn IEEE 802.11b 16
Bảng 1.2 Một số thông số kỹ thuật của chuẩn IEEE 802.11a 17
Bảng 1.3 Một số thông số kỹ thuật của chuẩn IEEE 802.11g 17
Bảng 1.4 Một số thông số kỹ thuật của chuẩn IEEE 802.11n 18
Bảng 1.5 So sánh các chuẩn IEEE 802.11x 19
Bảng 3.1 Escalating Security 48
DANH MỤC CÁC CỤM TỪ VIẾT TẮT
AP
Access Point
Điểm truy cập
AAA
Authentication, Authorization, và Access Control
Xác thực, cấp phép và kiểm toán
AES
Advanced Encryption Standard
Tiêu chuẩn mã hóa tiên tiến
BSSs
Basic Service Sets
Mô hình mạng cơ sở
CHAP
Challenge-handshake authentication protocol
Giao thức xác thực yêu cầu bắt tay
DES
Data Encryption Standard
Tiêu chuẩn mã hóa dữ liệu
DS
Distribution system
Hệ thống phân phối
DSSS
Direct sequence spread spectrum
Trải phổ trực tiếp
EAP
Extensible Authentication Protocol
Giao thức xác thực mở rộng
ESSs
Extended Service Sets
Mô hình mạng mở rộng
FCC
Federal Communications Commission
Ủy ban truyền thông Liên bang Hoa Kỳ
FHSS
Frequency-hopping spread spectrum
Trải phổ nhảy tần
IBSSs
Independent Basic Service Sets
Mô hình mạng độc lập hay còn gọi là mạng Ad hoc
IDS
Intrusion Detection System
Hệ thống phát hiện xâm nhập
IEEE
Institute of Electrical and Electronics Engineers
Viện kỹ thuật điện và điện tử của Mỹ
IPSec
Internet Protocol Security
Tập hợp các chuẩn chung nhất (industry-defined set) trong việc kiểm tra, xác thực và mã hóa các dữ liệu dạng packet trên tầng Network (IP
ISM
Industrial, scientific and medical
Băng tầng dành cho công nghiệp, khoa học và y học
ISP
Internet service provider
Nhà cung cấp dịch vụ Internet
LAN
Local Area Network
Mạng cục bộ
MAC
Medium Access Control
Điều khiển truy cập môi trường
MAN
Metropolitan Area Network
Mạng đô thị
MIC
Message integrity check
Phương thức kiểm tra tính toàn vẹn của thông điệp
N/A
Not Applicable
Chưa sử dụng
NAS
Network access server
Máy chủ truy cập mạng
NIST
Nation Instutute of Standard and Technology
Viện nghiên cứu tiêu chuẩn và công nghệ quốc gia
OFDM
Orthogonal frequency division multiplexing
Trải phổ trực giao
PC
Persional Computer
Máy tính cá nhân
PDA
Persional Digital Assistant
Máy trợ lý cá nhân dùng kỹ thuật số
PEAP
Protected Extensible Authentication Protocol
Giao thức xác thực mở rộng được bảo vệ
PPP
Point-to-Point Protocol
Giao thức liên kết điểm điểm
PSK
Preshared Keys
Khóa chia sẻ
RADIUS
Remote Authentication Dial In User Service
Dịch vụ truy cập bằng điện thoại xác nhận từ xa
RF
Radio frequency
Tần số vô tuyến
SLIP
Serial Line Internet Protocol
Giao thức internet đơn tuyến
SSID
Service set identifier
Bộ nhận dạng dịch vụ
TKIP
Temporal Key Integrity Protocol
Giao thức toàn vẹn khóa thời gian
UDP
User Datagram Protocol
Là một giao thức truyền tải
VLAN
Virtual Local Area Network
Mạng LAN ảo
VPN
Virtual Private Network
Mạng riêng ảo
WEP
Wired Equivalent Privacy
Bảo mật tương đương mạng đi dây
WI-FI
Wireless Fidelity
Hệ thống mạng không dây sử dụng sóng vô tuyến
WLAN
Wireless Local Area Network
Mạng cục bộ không dây
WPA/WPA2
Wi-fi Protected Access
Bảo vệ truy cập Wi-fi
TÀI LIỆU THAM KHẢO
Tiếng Việt
KS. Trần Việt An, Nối mạng không dây, NXB. Giao thông vận tải 2006
Tiếng Anh
Philip Kwan, 802.1X Port Authentication with Microsoft Active Directory, March 2003
WRT54G-EU v7 quick install guides & user guides Rev A, 2006, tr 1-10
David D.Coleman, David A.Westcott, CWNA - Certified Wireless Network Administrator Study Guide, 2006, 594tr, Chapter 13, tr 408-438
ftp://ftp.rfc-editor.org/in-notes/rfc2865.txt, RADIUS, 6/2000
ftp://ftp.rfc-editor.org/in-notes/rfc2869.txt, RADIUS Extensions, 6/2000
ftp://ftp.rfc-editor.org/in-notes/rfc3579.txt, RADIUS & EAP, 9/2003
Trang web
(
(
CHƯƠNG 1. MẠNG CỤC BỘ KHÔNG DÂY
1.1 TỔNG QUAN VỀ WLAN
1.1.1 Lịch sử hình thành và phát triển
Mạng LAN không dây viết tắt là WLAN (Wireless Local Area Network), là một mạng dùng để kết nối hai hay nhiều máy tính với nhau mà không sử dụng dây dẫn. WLAN dùng công nghệ trải phổ, sử dụng sóng vô tuyến cho phép truyền thông giữa các thiết bị trong một vùng nào đó còn được gọi là Basic Service Set. Nó giúp cho người sử dụng có thể di chuyển trong một vùng bao phủ rộng mà vẫn kết nối được với mạng.
Công nghệ WLAN lần đầu tiên xuất hiện vào cuối năm 1990, khi những nhà sản xuất giới thiệu những sản phẩm hoạt động trong băng tần 900Mhz. Những giải pháp này (không được thống nhất giữa các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mbps, thấp hơn nhiều so với tốc độ 10Mbps của hầu hết các mạng sử dụng cáp hiện thời.
Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần 2.4Ghz. Mặc dầu những sản phẩm này đã có tốc độ truyền dữ liệu cao hơn nhưng chúng vẫn là những giải pháp riêng của mỗi nhà sản xuất không được công bố rộng rãi. Sự cần thiết cho việc hoạt động thống nhất giữa các thiết bị ở những dãy tần số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây chung.
Năm 1997, Institute of Electrical and Electronics Engineers (IEEE) đã phê chuẩn sự ra đời của chuẩn 802.11, và cũng được biết với tên gọi WI-FI (Wireless Fidelity) cho các mạng WLAN. Chuẩn 802.11 hỗ trợ ba phương pháp truyền tín hiệu, trong đó có bao gồm phương pháp truyền tín hiệu vô tuyến ở tần số 2.4Ghz.
Năm 1999, IEEE thông qua hai sự bổ sung cho chuẩn 802.11 là các chuẩn 802.11a và 802.11b (định nghĩa ra những phương pháp truyền tín hiệu). Và những thiết bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây vượt trội. Các thiết bị WLAN 802.11b truyền phát ở tần số 2.4Ghz, cung cấp tốc độ truyền dữ liệu có thể lên tới 11Mbps. IEEE 802.11b được tạo ra nhằm cung cấp những đặc điểm về tính hiệu dụng, thông lượng (throughput) và bảo mật để so sánh với mạng có dây.
Năm 2003, IEEE công bố thêm một sự cải tiến là chuẩn 802.11g mà có thể truyền nhận thông tin ở cả hai dãy tần 2.4Ghz và 5Ghz và có thể nâng tốc độ truyền dữ liệu lên đến 54Mbps. Thêm vào đó, những sản phẩm áp dụng 802.11g cũng có thể tương thích ngược với các thiết bị chuẩn 802.11b. Hiện nay chuẩn 802.11g đã đạt đến tốc độ 108Mbps-300Mbps.
1.1.2 Ưu điểm của WLAN
Sự tiện lợi: Mạng không dây cũng như hệ thống mạng thông thường. Nó cho phép người dùng truy xuất tài nguyên mạng ở bất kỳ nơi đâu trong khu vực được triển khai (nhà hay văn phòng). Với sự gia tăng số người sử dụng máy tính xách tay (laptop), đó là một điều rất thuận lợi.
Khả năng di động: Với sự phát triển của các mạng không dây công cộng, người dùng có thể truy cập Internet ở bất cứ đâu. Chẳng hạn ở các quán Cafe, người dùng có thể truy cập Internet không dây miễn phí.
Hiệu quả: Người dùng có thể duy trì kết nối mạng khi họ đi từ nơi này đến nơi khác.
Triển khai: Việc thiết lập hệ thống mạng không dây ban đầu chỉ cần ít nhất 1 access point. Với mạng dùng cáp, phải tốn thêm chi phí và có thể gặp khó khăn trong việc triển khai hệ thống cáp ở nhiều nơi trong tòa nhà.
Khả năng mở rộng: Mạng không dây có thể đáp ứng tức thì khi gia tăng số lượng người dùng. Với hệ thống mạng dùng cáp cần phải gắn thêm cáp.
1.1.3 Nhược điểm của WLAN
Công nghệ mạng LAN không dây, ngoài rất nhiều sự tiện lợi và những ưu điểm được đề cập ở trên thì cũng có các nhược điểm. Trong một số trường hợp mạng LAN không dây có thể không như mong muốn vì một số lý do. Hầu hết chúng phải làm việc với những giới hạn vốn có của công nghệ.
Bảo mật: Môi trường kết nối không dây là không khí nên khả năng bị tấn công của người dùng là rất cao.
Phạm vi: Một mạng chuẩn 802.11g với các thiết bị chuẩn chỉ có thể hoạt động tốt trong phạm vi vài chục mét. Nó phù hợp trong 1 căn nhà, nhưngvới một tòa nhà lớn thì không đáp ứng được nhu cầu. Để đáp ứng cần phải mua thêm Repeater hay access point, dẫn đến chi phí gia tăng.
Độ tin cậy: Vì sử dụng sóng vô tuyến để truyền thông nên việc bị nhiễu, tín hiệu bị giảm do tác động của các thiết bị khác (lò vi sóng,…) là không tránh khỏi. Làm giảm đáng kể hiệu quả hoạt động của mạng.
Tốc độ: Tốc độ của mạng không dây (1- 125 Mbps) rất chậm so với mạng sử dụng cáp (100 Mbps đến hàng Gbps).
1.2 CÁC CHUẨN THÔNG DỤNG CỦA WLAN
Hiện nay tiêu chuẩn chính cho Wireless là một họ giao thức truyền tin qua mạng không dây IEEE 802.11. Do việc nghiên cứu và đưa ra ứng dụng rất gần nhau nên có một số giao thức đã thành chuẩn của thế giới, một số khác vẫn còn đang tranh cãi và một số còn đang dự thảo. Một số chuẩn thông dụng như: 802.11b (cải tiến từ 802.11), 802.11a, 802.11g, 802.11n.
Phạm vi của IEEE 802.11
Hình 1.1 Phạm vi của WLAN trong mô hình OSI
1.2.1 Chuẩn IEEE 802.11b
Chuẩn này được đưa ra vào năm 1999, nó cải tiến từ chuẩn 802.11.
Cũng hoạt động ở dải tần 2,4 Ghz nhưng chỉ sử dụng trải phổ trực tiếp DSSS.
Tốc độ tại Access Point có thể lên tới 11Mbps (802.11b), 22Mbps (802.11b+).
Các sản phẩm theo chuẩn 802.11b được kiểm tra và thử nghiệm bởi hiệp hội các công ty Ethernet không dây (WECA) và được biết đến như là hiệp hội Wi-Fi, những sản phẩm Wireless được WiFi kiểm tra nếu đạt thì sẽ mang nhãn hiệu này.
Hiện nay IEEE 802.11b là một chuẩn được sử dụng rộng rãi nhất cho Wireless LAN. Vì dải tần số 2,4Ghz là dải tần số ISM (Industrial, Scientific and Medical: dải tần vô tuyến dành cho công nghiệp, khoa học và y học, không cần xin phép) cũng được sử dụng cho các chuẩn mạng không dây khác như là: Bluetooth và HomeRF, hai chuẩn này không được phổ biến như là 801.11. Bluetooth được thiết kế sử dụng cho thiết bị không dây mà không phải là Wireless LAN, nó được dùng cho mạng cá nhân PAN(Personal Area Network). Như vậy Wireless LAN sử dụng chuẩn 802.11b và các thiết bị Bluetooth hoạt động trong cùng một dải băng tần.
Bảng 1.1 Một số thông số kỹ thuật của chuẩn IEEE 802.11b
Release Date
Op. Frequency
Data Rate (Typ)
Data Rate (Max)
Range (Indoor)
October 1999
2.4 GHz
4.5 Mbit/s
11 Mbit/s
~35 m
1.2.2 Chuẩn IEEE 802.11a
Đây là một chuẩn được cấp phép ở dải băng tần mới. Nó hoạt động ở dải tần số 5 Ghz sử dụng phương thức điều chế ghép kênh theo vùng tần số vuông góc (OFDM). Phương thức điều chế này làm tăng tốc độ trên mỗi kênh (từ 11Mbps/1kênh lên 54 Mbps/1 kênh).
Có thể sử dụng đến 8 Access Point (truyền trên 8 kênh Non-overlapping,kênh không chồng lấn phổ), đặc điểm này ở dải tần 2,4Ghz chỉ có thể sử dụng 3 Access Point (truyền trên 3 kênh Non – overlapping).
Hỗ trợ đồng thời nhiều người sử dụng với tốc độ cao mà ít bị xung đột.
Các sản phẩm của theo chuẩn IEEE 802.11a không tương thích với các sản phẩm theo chuẩn IEEE 802.11 và 802.11b vì chúng hoạt động ở các dải tần số khác nhau. Tuy nhiên các nhà sản xuất chipset đang cố gắng đưa loại chipset hoạt động ở cả 2 chế độ theo hai chuẩn 802.11a và 802.11b. Sự phối hợp này được biết đến với tên WiFi5 ( WiFi cho công nghệ 5Gbps).
Bảng 1.2 Một số thông số kỹ thuật của chuẩn IEEE 802.11a
Release Date
Op. Frequency
Data Rate (Typ)
Data Rate (Max)
Range (Indoor)
October 1999
5 GHz
23 Mbit/s
54 Mbit/s
~35 m
1.2.3 IEEE 802.11g
Bản dự thảo của tiêu chuẩn này được đưa ra vào tháng 10 – 2002.
Sử dụng dải tần 2,4 Ghz, tốc độ truyền lên đến 54Mbps.
Phương thức điều chế: Có thể dùng một trong 2 phương thức
Dùng OFDM (giống với 802.11a) tốc độ truyền lên tới 54Mbps.
Dùng trải phổ trực tiếp DSSS tốc độ bị giới hạn ở 11 Mbps.
Tương thích ngược với chuẩn 802.11b.
Bị hạn chế về số kênh truyền.
Bảng 1.3 Một số thông số kỹ thuật của chuẩn IEEE 802.11g
Release Date
Op. Frequency
Data Rate (Typ)
Data Rate (Max)
Range (Indoor)
June 2003
2.4 GHz
23 Mbit/s
54 Mbit/s
~35 m
1.2.4 Chuẩn IEEE 802.11n
Hình 1.2 Logo Wi-fi
Chuẩn 802.11n đang được xúc tiến để đạt tốc độ 100 Mb/giây, nhanh gấp 5 lần chuẩn 802.11g và cho phép thiết bị kết nối hoạt động với khoảng cách xa hơn các mạng Wi-Fi hiện hành.
Winston Sun, giám đốc công nghệ của công ty không dây Atheros Communications, nhận xét, một thiết bị tương thích 802.11n có thể truy cập các điểm hotspot với tốc độ 150 MB/giây với khoảng cách lý tưởng dưới 6m, khả năng liên kết càng giảm khi người dùng ở cách xa điểm truy cập đó.
802.11n chưa thể sớm trở thành chuẩn Wi-Fi thế hệ mới vì một số mạng Wi-Fi không thuộc thông số 802.11n cũng được giới thiệu. Theo Sun, các chuẩn Wi-Fi mới được ra mắt có thể tự động dò tần sóng thích hợp để kết nối Internet. Chính vì thế, thiết bị hỗ trợ 802.11n không thể “độc chiếm” phổ Wi-Fi và phải “nhường” sóng cho các mạng kết nối khác.
Ông Sun cho biết, tốc độ truy cập Wi-Fi giảm tỷ lệ nghịch với khoảng cách từ thiết bị tới hotspot vẫn cho phép các máy cầm tay, như iTV của Apple stream được các đoạn video clip nhưng không thể stream video nén có độ nét cao .
Bảng 1.4 Một số thông số kỹ thuật của chuẩn IEEE 802.11n
Release Date
Op. Frequency
Data Rate (Typ)
Data Rate (Max)
Range (Indoor)
June 2009 (est.)
5 GHz and/or 2.4 GHz
74 Mbit/s
300 Mbit/s (2 streams)
~70 m
Hình 1.3 Tốc độ truyền tải so với các chuẩn khác
1.2.5 So sánh các chuẩn IEEE 802.11x
Wi-Fi còn có tên gọi khác là IEEE 802.11 (hay ngắn gọn là 802.11) cũng chính là nhóm các tiêu chuẩn kỹ thuật của công nghệ kết nối này do liên minh Wi-Fi (Wi-Fi Alliance: www.wi-fi.org) quy định. Hiện tồn tại các xác thực sau được đưa ra bởi Wi-Fi Alliance:
Bảng 1.5 So sánh các chuẩn IEEE 802.11x
Chuẩn
Phân loại
Tính năng chínhĐịnh nghĩa
Chú thích
IEEE 802.11
Kết nối
Tần số: 2,4 GHzTốc độ tối đa: 2 mbpsTầm hoạt động: không xác định
Chuẩn lý thuyết
IEEE 802.11a
Kết nối
Tần số: 5 GHzTốc độ tối đa: 54 mbpsTầm hoạt động: 25-75 m
Xem thêm 802.11d và 802.11h
IEEE 801.11b
Kết nối
Tần số: 2,4 GHzTốc độ tối đa: 11 mbpsTầm hoạt động: 35-100 m
Tương thích với 802.11g
IEEE 802.11g
Kết nối
Tần số: 2,4 GHzTốc độ tối đa: 54 mbpsTầm hoạt động: 25-75 m
Tương thích ngược với 802.11b, xem thêm 802.11d và 802.11h
IEEE 8021.11n
Kết nối
Tần số: 2,4 GHzTốc độ tối đa: 540 mbpsTầm hoạt động: 50-125 m
Tương thích ngược với 802.11b/gDự kiến sẽ được thông qua vào tháng 11/2008
IEEE 802.11d
Tính năng bổ sung
Bật tính năng thay đổi tầng MAC để phù hợp với các yêu cầu ở những quốc gia khác nhau
Hỗ trợ bởi một số thiết bị 802.11a và 802.11a/g
IEEE 802.11h
Tính năng bổ sung
Chọn tần số động (dynamic frequency selection: DFS) và điều khiển truyền năng lượng (transmit power control: TPC) để hạn chế việc xung đột với các thiết bị dùng tần số 5 GHz khác
Hỗ trợ bởi một số thiết bị 802.11a và 802.11a/g
WPA Enterprise
Bảo mật
Sử dụng xác thực 802.1x với chế độ mã hóa TKIP và một máy chủ xác thực
Xem thêm WPA2 Enterprise
WPA Personal
Bảo mật
Sử dụng khóa chia sẻ với mã hóa TKIP
Xem thêm WPA2 Personal
WPA2 Enterprise
Bảo mật
Nâng cấp của WPA Enterprise với việc dùng mã hóa AES
Dựa trên 802.11i
WPA2 Personal
Bảo mật
Nâng cấp của WPA Personal với việc dùng mã hóa AES
Dựa trên 802.11i
EAP-TLS
Bảo mật
Extensible Authentication Protocol Transport Layer Security
Sử dụng cho WPA Enterprise
EAP-TTLS/MSCHAPv2
Bảo mật
EAP-Tunneled TLS/Microsoft Challenge Authentication Handshake Protocol
Sử dụng cho WPA/WPA2 Enterprise
EAP-SIM
Bảo mật
Một phiên bản của EAP cho các dịch vụ điện thoại di động nền GSM
Sử dụng cho WPA/WPA2 Enterprise
WMM
Multimedia
Xác thực cho VoIP để quy định cách thức ưu tiên băng thông cho giọng nói hoặc video
Một thành phần của bản thảo 802.11e WLAN Quality of Service
IEEE 802.11 chưa từng được ứng dụng thực tế và chỉ được xem là bước đệm để hình thành nên kỷ nguyên Wi-Fi. Trên thực tế, cả 24 kí tự theo sau 802.11 đều được lên kế hoạch sử dụng bởi Wi-Fi Alliance. Như ở bảng trên, các IEEE 802.11 được phân loại thành nhiều nhóm, trong đó hầu như người dùng chỉ biết và quan tâm đến tiêu chuẩn phân loại theo tính chất kết nối (IEEE 802.11a/b/g/n...).
Một số IEEE 802.11 ít phổ biến khác:
IEEE 802.11c: các thủ tục quy định cách thức bắt cầu giữa các mạng Wi-Fi. Tiêu chuẩn này thường đi cặp với 802.11d.
IEEE 802.11e: đưa QoS (Quality of Service) vào Wi-Fi, qua đó sắp đặt thứ tự ưu tiên cho các gói tin, đặc biệt quan trọng trong trường hợp băng thông bị giới hạn hoặc quá tải.
IEEE 802.11F: giao thức truy cập nội ở Access Point, là một mở rộng cho IEEE 802.11. Tiêu chuẩn này cho phép các Access Point có thể “nói chuyện” với nhau, từ đó đưa vào các tính năng hữu ích như cân bằng tải, mở rộng vùng phủ sóng Wi-Fi...
IEEE 802.11h: những bổ sung cho 802.11a để quản lý dải tần 5 GHz nhằm tương thích với các yêu cầu kỹ thuật ở châu Âu.
IEEE 802.11i: những bổ sung về bảo mật. Chỉ những thiết bị IEEE 802.11g mới nhất mới bổ sung khả năng bảo mật này. Chuẩn này trên thực tế được tách ra từ IEEE 802.11e. WPA là một trong những thành phần được mô tả trong 802.11i ở dạng bản thảo, và khi 802.11i được thông qua thì chuyển thành WPA2 (với các tính chất được mô tả ở bảng trên).
IEEE 802.11j: những bổ sung để tương thích điều kiện kỹ thuật ở Nhật Bản.
IEEE 802.11k: những tiêu chuẩn trong việc quản lí tài nguyên sóng radio. Chuẩn này dự kiến sẽ hoàn tất và được đệ trình thành chuẩn chính thức trong năm nay.
IEEE 802.11p: hình thức kết nối mở rộng sử dụng trên các phương tiện giao thông (vd: sử dụng Wi-Fi trên xe buýt, xe cứu thương...). Dự kiến sẽ được phổ biến vào năm 2009.
IEEE 802.11r: mở rộng của IEEE 802.11d, cho phép nâng cấp khả năng chuyển vùng.
IEEE 802.11T: đây chính là tiêu chuẩn WMM như mô tả ở bảng trên.
IEE 802.11u: quy định cách thức tương tác với các thiết bị không tương thích 802 (chẳng hạn các mạng điện thoại di động).
IEEE 802.11w: là nâng cấp của các tiêu chuẩn bảo mật được mô tả ở IEEE 802.11i, hiện chỉ trong giải đoạn khởi đầu.
...
Các chuẩn IEEE 802.11F và 802.11T được viết hoa chữ cái cuối cùng để phân biệt đây là hai chuẩn dựa trên các tài liệu độc lập, thay vì là sự mở rộng / nâng cấp của 802.11, và do đó chúng có thể được ứng dụng vào các môi trường khác 802.11 (chẳng hạn WiMAX – 802.16).
Trong khi đó 802.11x sẽ không được dùng như một tiêu chuẩn độc lập mà sẽ bỏ trống để trỏ đến các chuẩn kết nối IEEE 802.11 bất kì. Nói cách khác, 802.11 có ý nghĩa là “mạng cục bộ không dây”, và 802.11x mang ý nghĩa “mạng cục bộ không dây theo hình thức kết nối nào đấy (a/b/g/n)”.
Hình thức bảo mật cơ bản nhất ở mạng Wi-Fi là WEP là một phần của bản IEEE 802.11 “gốc”.
Bạn dễ dàng tạo một mạng Wi-Fi với lẫn lộn các thiết bị theo chuẩn IEEE 802.11b với IEEE 802.11g. Tất nhiên là tốc độ và khoảng cách hiệu dụng sẽ là của IEEE 802.11b. Một trở ngại với các mạng IEEE 802.11b/g và có lẽ là cả n là việc sử dụng tần số 2,4 GHz, vốn đã quá “chật chội” khi đó cũng là tần số hoạt động của máy bộ đàm, tai nghe và loa không dây... Tệ hơn nữa, các lò viba cũng sử dụng tần số này, và công suất quá lớn của chúng có thể gây ra các vẫn đề về nhiễu loạn và giao thoa.
Tuy chuẩn IEEE 802.11n chưa được thông qua nhưng khá nhiều nhà sản xuất thiết bị đã dựa trên bản thảo của chuẩn này để tạo ra những cái gọi là chuẩn G+ hoặc SuperG với tốc độ thông thường là gấp đôi giới hạn của IEEE 802.11g. Các thiết bị này tương thích ngược với IEEE 802.11b/g rất tốt nhưng tất nhiên là ở mức tốc độ giới hạn. Bên cạnh đó, bạn phải dùng các thiết bị (card mạng, router, access point...) từ cùng nhà sản xuất.
Khi chuẩn IEEE 802.11n được thông qua, các nốt kết nối theo chuẩn b/g vẫn được hưởng lợi khá nhiều từ khoảng cách kết nối nếu Access Point là chuẩn n.
Cần lưu ý, bất kể tốc độ kết nối Wi-Fi là bao nhiêu thì tốc độ “ra net” của bạn cũng chỉ giới hạn ở mức khoảng 2 mbps (tốc độ kết nối Internet). Với môi trường Internet công cộng (quán cafe Wi-Fi, thư viện...), ắt hẳn lợi thế tốc độ truyền file trong mạng cục bộ xem như không tồn tại.
1.3 CẤU TRÚC VÀ CÁC MÔ HÌNH WLAN
1.3.1 Cấu trúc cơ bản của WirelessLAN
Hình 1.4 Cấu trúc WLAN
Có 4 thành phần chính trong các loại mạng sử dụng chuẩn 802.11:
Hệ thống phân phối (DS _ Distribution System)
Điểm truy cập (Access Point)
Tần liên lạc vô tuyến (Wireless Medium)
Trạm (Stattions)
i. Hệ thống phân phối (DS _ Distribution System)
Thiết bị logic của 802.11 được dùng để nối các khung tới đích của chúng: Bao gồm kết nối giữa động cơ và môi trường DS (ví dụ như mạng xương sống).
802.11 không xác định bất kỳ công nghệ nhất định nào đối với DS.
Hầu hết trong các ứng dụng quảng cáo, Ethernet được dùng như là môi trường DS - Trong ngôn ngữ của 802.11, xương sống Ethernet là môi trường hệ thống phân phối. Tuy nhiên, không có nghĩa nó hoàn toàn là DS.
ii. Điểm truy cập (Aps _ Access Points)
Chức năng chính của AP là mở rộng mạng. Nó có khả năng chuyển đổi các frame dữ liệu trong 802.11 thành các frame thông dụng để có thể sử dụng trong các mạng khác.
APs có chức năng cầu nối giữa không dây thành có dây.
iii. Tần liên lạc vô tuyến (Wireless Medium)
Chuẩn 802.11 sử dụng tầng liên lạc vô tuyến để chuyển các frame dữ liệu giữa các máy trạm với nhau.
iv. Trạm (Stations)
Các máy trạm là các thiết bị vi tính có hỗ trợ kết nối vô tuyến như: Máy tính
xách tay, PDA, Palm, Desktop …
1.3.2 Các thiết bị hạ tầng mạng không dây
Điểm truy cập: AP (Access Point)
Cung cấp cho các máy khách(client) một điểm truy cập vào mạng "Nơi mà các máy tính dùng wireless có thể vào mạng nội bộ của công ty". AP là một thiết bị song công(Full duplex) có mức độ thông minh tương đương với một chuyển mạch Ethernet phức tạp (Switch).
Hình 1.5 Access Points
Các chế độ hoạt động của AP
AP có thể giao tiếp với các máy không dây, với mạng có dây truyền thống và với các AP khác. Có 3 Mode hoạt động chính của AP:
Chế độ gốc (Root mode): Root mode được sử dụng khi AP được kết nối với mạng backbone có dây thông qua giao diện có dây (thường là Ethernet) của nó. Hầu hết các AP sẽ hỗ trợ các mode khác ngoài root mode, tuy nhiên root mode là cấu hình mặc định. Khi một AP được kết nối với phân đoạn có dây thông qua cổng Ethernet của nó, nó sẽ được cấu hình để hoạt động trong root mode. Khi ở trong root mode, các AP được kết nối với cùng một hệ thống phân phối có dây có thể nói chuyện được với nhau thông qua phân đoạn có dây. Các client không dây có thể giao tiếp với các client không dây khác nằm trong những cell (ô tế bào, hay vùng phủ sóng của AP) khác nhau thông qua AP tương ứng mà chúng kết nối vào, sau đó các AP này sẽ giao tiếp với nhau thông qua phân đoạn có dây, như ví dụ trong hình 1.6.
Hình 1.6 ROOT MODE
Chế độ cầu nối (bridge Mode): Trong Bridge mode, AP hoạt động hoàn toàn giống với một cầu nối không dây. AP sẽ trở thành một cầu nối không dây khi được cấu hình theo cách này. Chỉ một số ít các AP trên thị trường có hỗ trợ chức năng Bridge, điều này sẽ làm cho thiết bị có giá cao hơn đáng kể. Chúng ta sẽ giải thích một cách ngắn gọn cầu nối không dây hoạt động như thế nào, từ hình 1.7 Client không kết nối với cầu nối, nhưng thay vào đó, cầu nối được sử dụng để kết nối 2 hoặc nhiều đoạn mạng có dây lại với nhau bằng kết nối không dây.
Hình 1.7 BRIDGE MODE
Chế độ lặp(repeater mode): AP có khả năng cung cấp một đường kết nối không dây upstream vào mạng có dây thay vì một kết nối có dây bình thường. Một AP hoạt động như là một root AP và AP còn lại hoạt động như là một Repeater không dây. AP trong repeater mode kết nối với các client như là một AP và kết nối với upstream AP như là một client.
Hình 1.8 REPEATER MODE
Các thiết bị máy khách trong WLAN
Là những thiết bị WLAN được các máy khách sử dụng để kết nối vào WLAN.
a. Card PCI Wireless:
Là thành phần phổ biến nhất trong WLAN. Dùng để kết nối các máy khách vào hệ thống mạng không dây. Được cắm vào khe PCI trên máy tính. Loại này được sử dụng phổ biến cho các máy tính để bàn(desktop) kết nối vào mạng không dây.
Hình 1.9 Card PCI Wireless
b. Card PCMCIA Wireless:
Trước đây được sử dụng trong các máy tính xách tay(laptop) và cácthiết bị hỗ trợ cá nhân số PDA(Personal Digital Associasion). Hiện nay nhờ sự phát triển của công nghệ nên PCMCIA wireless ít được sử dụng vì máy tính xách tay và PDA,…. đều được tích hợp sẵn Card Wireless bên trong thiết bị.
Hình 1.10 Card PCMCIA Wireless
c. Card USB Wireless:
Loại rất được ưu chuộng hiện nay dành cho các thiết bị kết nối vào mạng không dây vì tính năng di động và nhỏ gọn . Có chức năng tương tự như Card PCI Wireless, nhưng hỗ trợ chuẩn cắm là USB (Universal Serial Bus). Có thể tháo lắp nhanh chóng (không cần phải cắm cố định như Card PCI Wireless) và hỗ trợ cắm khi máy tính đang hoạt động.
Hình 1.11 Card USB Wireless
1.3.2 Các mô hình WLAN
Mạng 802.11 linh hoạt về thiết kế, gồm 3 mô hình mạng sau:
Mô hình mạng độc lập (IBSSs) hay còn gọi là mạng Ad hoc.
Mô hình mạng cơ sở (BSSs).
Mô hình mạng mở rộng (ESSs).
i) Mô hình mạng AD HOC (Independent Basic Service Sets (IBSSs) )
Các nút di động (máy tính có hỗ trợ card mạng không dây) tập trung lại trong một không gian nhỏ để hình thành nên kết nối ngang cấp (peer-to-peer) giữa chúng. Các nút di động có card mạng wireless là chúng có thể trao đổi thông tin trực tiếp với nhau , không cần phải quản trị mạng. Vì các mạng ad-hoc này có thể thực hiện nhanh và dễ dàng nên chúng thường được thiết lập mà không cần một công cụ hay kỹ năng đặc biệt nào vì vậy nó rất thích hợp để sử dụng trong các hội nghị thương mại hoặc trong các nhóm làm việc tạm thời. Tuy nhiên chúng có thể có những nhược điểm về vùng phủ sóng bị giới hạn, mọi người sử dụng đều phải nghe được lẫn nhau.
Hình 1.12 Mô hình mạng AD HOC
ii) Mô hình mạng cơ sở (Basic service sets (BSSs) )
Bao gồm các điểm truy nhập AP (Access Point) gắn với mạng đường trục hữu tuyến và giao tiếp với các thiết bị di động trong vùng phủ sóng của một cell. AP đóng vai trò điều khiển cell và điều khiển lưu lượng tới mạng. Các thiết bị di động không giao tiếp trực tiếp với nhau mà giao tiếp với các AP.Các cell có thể chồng lấn lên nhau khoảng 10-15 % cho phép các trạm di động có thể di chuyển mà không bị mất kết nối vô tuyến và cung cấp vùng phủ sóng với chi phí thấp nhất. Các trạm di động sẽ chọn AP tốt nhất để kết nối. Một điểm truy nhập nằm ở trung tâm có thể điều khiển và phân phối truy nhập cho các nút tranh chấp, cung cấp truy nhập phù hợp với mạng đường trục, ấn định các địa chỉ và các mức ưu tiên, giám sát lưu lượng mạng, quản lý chuyển đi các gói và duy trì theo dõi cấu hình mạng. Tuy nhiên giao thức đa truy nhập tập trung không cho phép các nút di động truyền trực tiếp tới nút khác nằm trong cùng vùng với điểm truy nhập như trong cấu hình mạng WLAN độc lập. Trong trường hợp này, mỗi gói sẽ phải được phát đi 2 lần (từ nút phát gốc và sau đó là điểm truy nhập) trước khi nó tới nút đích, quá trình này sẽ làm giảm hiệu quả truyền dẫn và tăng trễ truyền dẫn.
Hình 1.13 Mô hình mạng cơ sở
iii) Mô hình mạng mở rộng (Extended Service Set (ESSs))
Mạng 802.11 mở rộng phạm vi di động tới một phạm vi bất kì thông qua ESS. Một ESSs là một tập hợp các BSSs nơi mà các Access Point giao tiếp với nhau để chuyển lưu lượng từ một BSS này đến một BSS khác để làm cho việc di chuyển dễ dàng của các trạm giữa các BSS, Access Point thực hiện việc giao tiếp thông qua hệ thống phân phối. Hệ thống phân phối là một lớp mỏng trong mỗi Access Point mà nó xác định đích đến cho một lưu lượng được nhận từ một BSS. Hệ thống phân phối được tiếp sóng trở lại một đích trong cùng một BSS, chuyển tiếp trên hệ thống phân phối tới một Access Point khác, hoặc gởi tới một mạng có dây tới đích không nằm trong ESS. Các thông tin nhận bởi Access Point từ hệ thống phân phối được truyền tới BSS sẽ được nhận bởi trạm đích.
Hình 1.14 Mô hình mạng mở rộng
1.4 THỰC TRẠNG VỀ BẢO MẬT WLAN HIỆN NAY
Nếu con số thống kê đúng thì cứ 5 người dùng mạng không dây tại nhà có đến 4 người không kích hoạt bất kỳ chế độ bảo mật nào. Mặc định, các nhà sản xuất tắt chế độ bảo mật để cho việc thiết lập ban đầu được dễ dàng, khi sử dụng bạn phải mở lại. Tuy nhiên, chúng ta cần phải cẩn thận khi kích hoạt tính năng bảo mật, dưới đây là một số sai lầm thường gặp phải.
Sai lầm 1. Không thay đổi mật khẩu của nhà sản xuất. Khi lần đầu tiên cài đặt router không dây, chúng ta rất dễ quên thay đổi mật khẩu mặc định của nhà sản xuất. Nếu không thay đổi, có thể người khác sẽ dùng mật khẩu mặc định truy cập vào Router và thay đổi các thiết lập để thoải mái truy cập vào mạng. Kinh nghiệm: Luôn thay mật khẩu mặc định.
Sai lầm 2. Không kích hoạt tính năng mã hóa. Nếu không kích hoạt tính năng mã hóa, chúng ta sẽ quảng bá mật khẩu và e-mail của mình đến bất cứ ai trong tầm phủ sóng, người khác có thể cố tình dùng các phầm mềm nghe lén miễn phí như AirSnort (airsnort.shmoo.com) để lấy thông tin rồi phân tích dữ liệu. Kinh nghiệm: Hãy bật chế độ mã hóa kẻo người khác có thể đọc được e-mail của chúng ta.
Sai lầm 3. Không kiểm tra chế độ bảo mật. Chúng ta mua một AccessPoint, kết nối Internet băng rộng, lắp cả máy in vào, rồi có thể mua thêm nhiều thiết bị không dây khác nữa. Có thể vào một ngày nào đó, máy in sẽ tự động in hết giấy bởi vì chúng ta không thiết lập các tính năng bảo mật. Kinh nghiệm: Đừng cho rằng mạng của chúng ta đã an toàn. Hãy nhờ những người am hiểu kiểm tra hộ.
Sai lầm 4. Quá tích cực với các thiết lập bảo mật. Mỗi Wireless Card/ Thẻ mạng không dây đều có một địa chỉ phần cứng (địa chỉ MAC) mà AP có thể dùng để kiểm soát những máy tính nào được phép nối vào mạng. Khi bật chế độ lọc địa chỉ MAC, có khả năng chúng ta sẽ quên thêm địa chỉ MAC của máy tính chúng ta đang sử dụng vào danh sách, như thế chúng ta sẽ tự cô lập chính mình, tương tự như bỏ chìa khóa trong xe hơi rồi chốt cửa lại. Kinh nghiệm: Phải kiểm tra cẩn thận khi thiết lập tính năng bảo mật.
Sai lầm 5. Cho phép mọi người truy cập. Có thể chúng ta là người đầu tiên có mạng không dây và muốn 'khoe' bằng cách đặt tên mạng là 'truy cập thoải mái' chẳng hạn. Hàng xóm của mình có thể dùng kết nối này để tải rất nhiều phim ảnh chẳng hạn và mạng sẽ chạy chậm như rùa. Kinh nghiệm: Mạng không dây giúp chia sẻ kết nối Internet dễ dàng, tuy nhiên, đừng bỏ ngõ vì sẽ có người lạm dụng.
CHƯƠNG 2. CÁC HÌNH THỨC TẤN CÔNG WLAN
Tấn công và phòng chống trong mạng WLAN là vấn đề được quan tâm rất nhiều hiện nay bởi các chuyên gia trong lĩnh vực bảo mật. Nhiều giải pháp tấn công và phòng chống đã được đưa ra nhưng cho đến bây giờ chưa giải pháp nào thật sự gọi là bảo mật hoàn toàn, cho đến hiện nay mọi giải pháp phòng chống được đưa ra đều là tương đối (nghĩa là tính bảo mật trong mạng WLAN vẫn có thể bị phá vỡ bằng nhiều cách khác nhau). Vậy để tấn công một mạng WLAN như thế nào? Và giải pháp phòng chống ra sao? Chúng ta sẽ cùng tìm hiểu rõ hơn trong phần dưới đây.
Theo rất nhiều tài liệu nghiên cứu, hiện tại để tấn công vào mạng WLAN thì các Attacker có thể sử dụng một trong những cách sau:
Rogue Access Point
De-authentication Flood Attack
Fake Access Point
Tấn công dựa trên sự cảm nhận lớp vật lý
Disassociation Flood Attack
2.1 ROGUE ACCESS POINT
i) Định nghĩa
Access Point giả mạo được dùng để mô tả những Access Point được tạo ra một cách vô tình hay cố ý làm ảnh hưởng đến hệ thống mạng hiện có. Nó được dùng để chỉ các thiết bị hoạt động không dây trái phép mà không quan tâm đến mục đích sử dụng của chúng.
ii) Phân loại
Access Point được cấu hình không hoàn chỉnh
Một Access Point có thể bất ngờ trở thành một thiết bị giả mạo do sai sót trong việc cấu hình. Sự thay đổi trong Service Set Identifier (SSID), thiết lập xác thực, thiết lập mã hóa,… điều nghiêm trọng nhất là chúng sẽ không thể xác thực các kết nối nếu bị cấu hình sai.
Ví dụ: Trong trạng thái xác thực mở (open mode authentication) các người dùng không dây ở trạng thái 1 (chưa xác thực và chưa kết nối) có thể gửi các yêu cầu xác thực đến một Access Point và được xác thực thành công sẽ chuyển sang trang thái 2 (được xác thực nhưng chưa kết nối). Nếu một Access Point không xác nhận sự hợp lệ của một máy khách do lỗi trong cấu hình, kẻ tấn công có thể gửi một số lượng lớn yêu cầu xác thực, làm tràn bảng yêu cầu kết nối của các máy khách ở Access Point, làm cho Access Point từ chối truy cập của các người dùng khác bao gồm cả người dùng được phép truy cập.
Access Point giả mạo từ các mạng WLAN lân cận
Các máy khách theo chuẩn 802.11 tự động chọn Access Point có sóng mạnh nhất mà nó phát hiện được để kết nối.
Ví dụ: Windows XP tự động kết nối đến kết nối tốt nhất có thể xung quanh nó. Vì vậy, những người dùng được xác thực của một tổ chức có thể kết nối đến các Access Point của các tổ chức khác lân cận. Mặc dù các Access Point lân cận không cố ý thu hút kết nối từ các người dùng, những kết nối đó vô tình để lộ những dữ liệu nhạy cảm.
Access Point giả mạo do kẻ tấn công tạo ra
Giả mạo AP là kiểu tấn công “man in the middle” cổ điển. Đây là kiểu tấn công mà tin tặc đứng ở giữa và trộm lưu lượng truyền giữa 2 nút. Kiểu tấn công này rất mạnh vì tin tặc có thể trộm tất cả lưu lượng đi qua mạng. Rất khó khăn để tạo một cuộc tấn công “man in the middle” trong mạng có dây bởi vì kiểu tấn công này yêu cầu truy cập thực sự đến đường truyền. Trong mạng không dây thì lại rất dễ bị tấn công kiểu này. Tin tặc cần phải tạo ra một AP thu hút nhiều sự lựa chọn hơn AP chính thống. AP giả này có thể được thiết lập bằng cách sao chép tất cả các cấu hình của AP chính thống đó là: SSID, địa chỉ MAC v.v…
Bước tiếp theo là làm cho nạn nhân thực hiện kết nối tới AP giả.
Cách thứ nhất là đợi cho nguời dùng tự kết nối.
Cách thứ hai là gây ra một cuộc tấn công từ chối dịch vụ DoS trong AP chính thống do vậy nguời dùng sẽ phải kết nối lại với AP giả.
Trong mạng 802.11 sự lựa chọn AP được thực hiện bởi cường độ của tín hiệu nhận. Điều duy nhất tin tặc phải thực hiện là chắc chắn rằng AP của mình có cường độ tín hiệu mạnh hơn cả. Để có được điều đó tin tặc phải đặt AP của mình gần người bị lừa hơn là AP chính thống hoặc sử dụng kỹ thuật anten định hướng. Sau khi nạn nhân kết nối tới AP giả, nạn nhân vẫn hoạt động như bình thường do vậy nếu nạn nhân kết nối đến một AP chính thống khác thì dữ liệu của nạn nhân đều đi qua AP giả. Tin tặc sẽ sử dụng các tiện ích để ghi lại mật khẩu của nạn nhân khi trao đổi với Web Server. Như vậy tin tặc sẽ có được tất cả những gì anh ta muốn để đăng nhập vào mạng chính thống. Kiểu tấn công này tồn tại là do trong 802.11 không yêu cầu xác thực 2 hướng giữa AP và nút. AP phát quảng bá ra toàn mạng. Điều này rất dễ bị tin tặc nghe trộm và do vậy tin tặc có thể lấy được tất cả các thông tin mà chúng cần. Các nút trong mạng sử dụng WEP để xác thực chúng với AP nhưng WEP cũng có những lỗ hổng có thể khai thác. Một tin tặc có thể nghe trộm thông tin và sử dụng bộ phân tích mã hoá để trộm mật khẩu của người dùng.
Access Point giả mạo được thiết lập bởi chính nhân viên của công ty
Vì sự tiện lợi của mạng không dây một số nhân viên của công ty đã tự trang bị Access Point và kết nối chúng vào mạng có dây của công ty. Do không hiểu rõ và nắm vững về bảo mật trong mạng không dây nên họ vô tình tạo ra một lỗ hỏng lớn về bảo mật. Những người lạ vào công ty và hacker bên ngoài có thể kết nối đến Access Point không được xác thực để đánh cắp băng thông, đánh cắp thông tin nhạy cảm của công ty, sự dụng hệ thống mạng của công ty tấn công người khác,…
2.2 TẤN CÔNG YÊU CẦU XÁC THỰC LẠI
Hình 2.1 Mô hình tấn công “yêu cầu xác thực lại”
Kẻ tấn công xác định mục tiêu tấn công là các người dùng trong mạng wireless và các kết nối của họ (Access Point đến các kết nối của nó).
Chèn các frame yêu cầu xác thực lại vào mạng WLAN bằng cách giả mạo địa chỉ MAC nguồn và đích lần lượt của Access Point và các người dùng.
Người dùng wireless khi nhận được frame yêu cầu xác thực lại thì nghĩ rằng chúng do Access Point gửi đến.
Sau khi ngắt được một người dùng ra khỏi dịch vụ không dây, kẻ tấn công tiếp tục thực hiện tương tự đối với các người dùng còn lại.
Thông thường người dùng sẽ kết nối lại để phục hồi dịch vụ, nhưng kẻ tấn công đã nhanh chóng tiếp tục gửi các gói yêu cầu xác thực lại cho người dùng.
2.3 FAKE ACCESS POINT
Kẻ tấn công sử dụng công cụ có khả năng gửi các gói beacon với địa chỉ vật lý (MAC) giả mạo và SSID giả để tạo ra vô số Access Point giả lập. Điều này làm xáo trộn tất cả các phần mềm điều khiển card mạng không dây của người dùng.
Hình 2.2 Mô hình tấn công Fake Access Point
2.4 TẤN CÔNG DỰA TRÊN SỰ CẢM NHẬN SÓNG MANG LỚP VẬT LÝ
Ta có thể hiểu nôm na là: Kẻ tất công lợi dụng giao thức chống đụng độ CSMA/CA, tức là nó sẽ làm cho tất cả người dùng nghĩ rằng lúc nào trong mạng cũng có 1 máy tính đang truyền thông. Điều này làm cho các máy tính khác luôn luôn ở trạng thái chờ đợi kẻ tấn công ấy truyền dữ liệu xong è dẫn đến tình trạng nghẽn trong mạng.
Tần số là một nhược điểm bảo mật trong mạng không dây. Mức độ nguy hiểm thay đổi phụ thuộc vào giao diện của lớp vật lý. Có một vài tham số quyết định sự chịu đựng của mạng là: năng lượng máy phát, độ nhạy của máy thu, tần số RF (Radio Frequency), băng thông và sự định hướng của anten. Trong 802.11 sử dụng thuật toán đa truy cập cảm nhận sóng mang (CSMA) để tránh va chạm. CSMA là một thành phần của lớp MAC. CSMA được sử dụng để chắc chắn rằng sẽ không có va chạm dữ liệu trên đường truyền. Kiểu tấn công này không sử dụng tạp âm để tạo ra lỗi cho mạng nhưng nó sẽ lợi dụng chính chuẩn đó. Có nhiều cách để khai thác giao thức cảm nhận sóng mang vật lý. Cách đơn giản là làm cho các nút trong mạng đều tin tưởng rằng có một nút đang truyền tin tại thời điểm hiện tại. Cách dễ nhất đạt được điều này là tạo ra một nút giả mạo để truyền tin một cách liên tục. Một cách khác là sử dụng bộ tạo tín hiệu RF. Một cách tấn công tinh vi hơn là làm cho card mạng chuyển vào chế độ kiểm tra mà ở đó nó truyền đi liên tiếp một mẫu kiểm tra. Tất cả các nút trong phạm vi của một nút giả là rất nhạy với sóng mang và trong khi có một nút đang truyền thì sẽ không có nút nào được truyền.
2.5 TẤN CÔNG NGẮT KẾT NỐI
Hình 2.3 Mô hình tấn công ngắt kết nối
Kẻ tấn công xác định mục tiêu (wireless clients) và mối liên kết giữa AP với các clients.
Kẻ tấn công gửi disassociation frame bằng cách giả mạo Source và Destination MAC đến AP và các client tương ứng.
Client sẽ nhận các frame này và nghĩ rằng frame hủy kết nối đến từ AP. Đồng thời kẻ tấn công cũng gởi disassociation frame đến AP.
Sau khi đã ngắt kết nối của một client, kẻ tấn công tiếp tục thực hiện tương tự với các client còn lại làm cho các client tự động ngắt kết nối với AP.
Khi các clients bị ngắt kết nối sẽ thực hiện kết nối lại với AP ngay lập tức. Kẻ tấn công tiếp tục gởi disassociation frame đến AP và clients.
Có thể ta sẽ rất dễ nhầm lẫn giữa 2 kiểu tấn công : Disassociation flood attack và De-authentication Flood Attack.
Giống nhau : Về hình thức tấn công, có thể cho rằng chúng giống nhau vì nó giống như một đại bác 2 nòng , vừa tấn công Access Point vừa tấn công Clients. Và quan trọng hơn hết, chúng "nả pháo" liên tục.
Khác nhau:
De-authentication Flood Attack: Yêu cầu cả AP và client gởi lại frame xác thực è xác thực failed.
Disassociation flood attack : Gởi disassociation frame làm cho AP và client tin tưởng rằng kết nối giữa chúng đã bị ngắt.
CHƯƠNG 3. CÁC GIẢI PHÁP BẢO MẬT WLAN
3.1 TẠI SAO PHẢI BẢO MẬT WLAN?
Để kết nối tới một mạng LAN hữu tuyến ta cần phải truy cập theo đường truyền bằng dây cáp, phải kết nối một PC vào một cổng mạng. Với mạng không dây ta chỉ cần có máy của ta trong vùng sóng bao phủ của mạng không dây. Điều khiển cho mạng có dây là đơn giản: đường truyền bằng cáp thông thường được đi trong các tòa nhà cao tầng và các port không sử dụng có thể làm cho nó disable bằng các ứng dụng quản lý. Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vật liệu của các tòa nhà và như vậy sự bao phủ là không giới hạn ở bên trong một tòa nhà. Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát từ các mạng LAN này, và như vậy ai đó có thể truy cập nhờ thiết bị thích hợp. Do đó mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ.
Với giá thành xây dựng một hệ thống mạng WLAN giảm, ngày càng có nhiều công ty sử dụng. Điều này sẽ không thể tránh khỏi việc Hacker chuyển sang tấn công và khai thác các điểm yếu trên nền tảng mạng sử dụng chuẩn 802.11. Những công cụ Sniffers cho phép tóm được các gói tin giao tiếp trên mạng, họ có thể phân tích và lấy đi những thông tin quan trọng của chúng ta.
Hình 3.1 Truy cập trái phép mạng không dây
Những nguy cơ bảo mật trong WLAN bao gồm:
Các thiết bị có thể kết nối tới những Access Point đang broadcast SSID.
Hacker sẽ cố gắng tìm kiếm các phương thức mã hoá đang được sử dụng trong quá trình truyền thông tin trên mạng, sau đó có phương thức giải mã riêng và lấy các thông tin nhạy cảm.
Người dụng sử dụng Access Point tại gia đình sẽ không đảm bảo tính bảo mật như khi sử dụng tại doanh nghiệp.
Để bảo mật mạng WLAN, ta cần thực hiện qua các bước: Authentication è Encryption è IDS & IPS.
Chỉ có những người dùng được xác thực mới có khả năng truy cập vào mạng thông qua các Access Point.
Các phương thức mã hoá được áp dụng trong quá trình truyền các thông tin quan trọng.
Bảo mật các thông tin và cảnh báo nguy cơ bảo mật bằng hệ thống IDS (Intrusion Detection System) và IPS (Intrusion Prevention System). Xác thực và bảo mật dữ liệu bằng cách mã hoá thông tin truyền trên mạng. IDS như một thiết bị giám sát mạng Wireless và mạng Wired để tìm kiếm và cảnh báo khi có các dấu hiệu tấn công.
3.2 WEP
WEP (Wired Equivalent Privacy) có nghĩa là bảo mật không dây tương đương với có dây. Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệu vào cùng một phương thức không an toàn. WEP sử dụng một khoá mã hoá không thay đổi có độ dài 64 bit hoặc 128 bit, (nhưng trừ đi 24 bit sử dụng cho vector khởi tạo khoá mã hoá, nên độ dài khoá chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thực các thiết bị được phép truy cập vào trong mạng và cũng được sử dụng để mã hoá truyền dữ liệu.
Rất đơn giản, các khoá mã hoá này dễ dàng bị "bẻ gãy" bởi thuật toán brute-force và kiểu tấn công thử lỗi (trial-and-error). Các phần mềm miễn phí như Airsnort hoặc WEPCrack sẽ cho phép hacker có thể phá vỡ khoá mã hoá nếu họ thu thập đủ từ 5 đến 10 triệu gói tin trên một mạng không dây. Với những khoá mã hoá 128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hoá nên chỉ có 104 bit được sử dụng để mã hoá, và cách thức cũng giống như mã hoá có độ dài 64 bit nên mã hoá 128 bit cũng dễ dàng bị bẻ khoá. Ngoài ra, những điểm yếu trong những vector khởi tạo khoá mã hoá giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông tin hơn rất nhiều.
Không dự đoán được những lỗi trong khoá mã hoá, WEP có thể được tạo ra cách bảo mật mạnh mẽ hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khoá mã hoá mới cho mỗi phiên làm việc. Khoá mã hoá sẽ thay đổi trên mỗi phiên làm việc. Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẽ gãy khoá bảo mật.
3.3 WLAN VPN
Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như IPSec (Internet Protocol Security). IPSec dùng các thuật toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu và dùng các thuật toán khác để xác thực gói dữ liệu. IPSec cũng sử dụng thẻ xác nhận số để xác nhận khóa mã (public key). Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa.
Hình 3.2 Mô hình WLAN VPN
3.4 TKIP (TEMPORAL KEY INTEGRITY PROTOCOL)
Là giải pháp của IEEE được phát triển năm 2004. Là một nâng cấp cho WEP nhằm vá những vấn đề bảo mật trong cài đặt mã dòng RC4 trong WEP. TKIP dùng hàm băm (hashing) IV để chống lại việc giả mạo gói tin, nó cũng cung cấp phương thức để kiểm tra tính toàn vẹn của thông điệp MIC (message integrity check) để đảm bảo tính chính xác của gói tin. TKIP sử dụng khóa động bằng cách đặt cho mỗi frame một chuỗi số riêng để chống lại dạng tấn công giả mạo.
3.5 AES
Trong mật mã học, AES (viết tắt của từ tiếng Anh: Advanced Encryption Standard, hay Tiêu chuẩn mã hóa tiên tiến) là một thuật toán mã hóa khối được chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa. Giống như tiêu chuẩn tiền nhiệm DES, AES được kỳ vọng áp dụng trên phạm vi thế giới và đã được nghiên cứu rất kỹ lưỡng. AES được chấp thuận làm tiêu chuẩn liên bang bởi Viện tiêu chuẩn và công nghệ quốc gia Hoa kỳ (NIST) sau một quá trình tiêu chuẩn hóa kéo dài 5 năm.
Thuật toán được thiết kế bởi hai nhà mật mã học người Bỉ: Joan Daemen và Vincent Rijmen (lấy tên chung là "Rijndael" khi tham gia cuộc thi thiết kế AES). Rijndael được phát âm là "Rhine dahl" theo phiên âm quốc tế (IPA: [ɹaindal]).
3.6 802.1X VÀ EAP
802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) được định nghĩa bởi IEEE. Hoạt động trên cả môi trường có dây truyền thống và không dây. Việc điều khiển truy cập được thực hiện bằng cách: Khi một người dùng cố gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn (blocking) và chờ cho việc kiểm tra định danh người dùng hoàn tất.
Hình 3.3 Mô hình hoạt động xác thực 802.1x
EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, cetificate,…), giao thức được sử dụng (MD5, TLS_Transport Layer Security, OTP_ One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau.
Quá trình chứng thực 802.1x-EAP như sau:Wireless client muốn liên kết với một AP trong mạng.1. AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng, khi đó Client yêu cầu liên kết tới AP2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP4. Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng thực5. Server chứng thực gửi một yêu cầu cho phép tới AP6. AP chuyển yêu cầu cho phép tới client7. Client gửi trả lời sự cấp phép EAP tới AP8. AP chuyển sự trả lời đó tới Server chứng thực9. Server chứng thực gửi một thông báo thành công EAP tới AP10. AP chuyển thông báo thành công tới client và đặt cổng của client trong chế độ forward.
3.7 WPA (WI-FI PROTECTED ACCESS)
WEP được xây dựng để bảo vệ một mạng không dây tránh bị nghe trộm. Nhưng nhanh chóng sau đó người ta phát hiện ra nhiều lổ hỏng ở công nghệ này. Do đó, công nghệ mới có tên gọi WPA (Wi-Fi Protected Access) ra đời, khắc phục được nhiều nhược điểm của WEP.
Trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP. WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể thực hiện được với WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu.
Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền. WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hóa lúc đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc.
Lưu ý:
Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal. Khi mà sử dụng hàm thay đổi khoá TKIP được sử dụng để tạo ra các khoá mã hoá bị phát hiện, nếu hacker có thể đoán được khoá khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu. Tuy nhiên, lỗ hổng này cũng sẽ bị loại bỏ bằng cách sử dụng những khoá khởi tạo không dễ đoán (đừng sử dụng những từ như "P@SSWORD" để làm mật khẩu).
Điều này cũng có nghĩa rằng kỹ thuật TKIP của WPA chỉ là giải pháp tạm thời, chưa cung cấp một phương thức bảo mật cao nhất. WPA chỉ thích hợp với những công ty mà không truyền dữ liệu "mật" về những thương mại, hay các thông tin nhạy cảm... WPA cũng thích hợp với những hoạt động hàng ngày và mang tính thử nghiệm công nghệ.
3.8 WPA2
Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng nhận bởi Wi-Fi Alliance. Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES. AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit. Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia về Chuẩn và Công nghệ của Mỹ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này.
Lưu ý: Chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mỹ để bảo vệ các thông tin nhạy cảm.
Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES (Digital Encryption Standard). Để đảm bảo về mặt hiệu năng, quá trình mã hoá cần được thực hiện trong các thiết bị phần cứng như tích hợp vào chip. Tuy nhiên, rất ít người sử dụng mạng không dây quan tâm tới vấn đề này. Hơn nữa, hầu hết các thiết bị cầm tay Wi-Fi và máy quét mã vạch đều không tương thích với chuẩn 802.11i.
3.9 LỌC (FILTERING)
Lọc là cơ chế bảo mật cơ bản có thể sử dụng cùng với WEP. Lọc hoạt động giống như Access list trên router, cấm những cái không mong muốn và cho phép những cái mong muốn. Có 3 kiểu lọc cơ bản có thể được sử dụng trong wireless lan:
Lọc SSID
Lọc địa chỉ MAC
Lọc giao thức
a) Lọc SSID
Lọc SSID là một phương thức cơ bản của lọc và chỉ nên được sử dụng cho việc điều khiển truy cập cơ bản.
SSID của client phải khớp với SSID của AP để có thể xác thực và kết nối với tập dịch vụ. SSID được quảng bá mà không được mã hóa trong các Beacon nên rất dễ bị phát hiện bằng cách sử dụng các phần mềm. Một số sai lầm mà người sử dụng WLAN mắc phải trong việc quản lí SSID gồm:
Sử dụng giá trị SSID mặc định tạo điều kiện cho hacker dò tìm địa chỉ MAC của AP.
Sử dụng SSID có liên quan đến công ty.
Sử dụng SSID như là phương thức bảo mật của công ty.
Quảng bá SSID một cách không cần thiết.
b) Lọc địa chỉ MAC
Hầu hết các AP đều có chức năng lọc địa chỉ MAC. Người quản trị có thể xây dựng danh sách các địa chỉ MAC được cho phép.
Nếu client có địa chỉ MAC không nằm trong danh sách lọc địa chỉ MAC của AP thì AP sẽ ngăn chặn không cho phép client đó kết nối vào mạng.
Nếu công ty có nhiều client thì có thể xây dựng máy chủ RADIUS có chức năng lọc địa chỉ MAC thay vì AP. Cấu hình lọc địa chỉ MAC là giải pháp bảo mật có tính mở rộng cao.
c) Lọc giao thức
Mạng Lan không dây có thể lọc các gói đi qua mạng dựa trên các giao thức từ lớp 2 đến lớp 7. Trong nhiều trường hợp người quản trị nên cài đặt lọc giao thức trong môi trường dùng chung, ví dụ trong trường hợp sau:
Hình 3.4 Tiến trình xác thực MAC
Có một nhóm cầu nối không dây được đặt trên một Remote building trong một mạng WLAN của một trường đại học mà kết nối lại tới AP của tòa nhà kỹ thuật trung tâm.
Vì tất cả những người sử dụng trong remote building chia sẻ băng thông 5Mbs giữa những tòa nhà này, nên một số lượng đáng kể các điều khiển trên các sử dụng này phải được thực hiện.
Nếu các kết nối này được cài đặt với mục đích đặc biệt của sự truy nhập internet của người sử dụng, thì bộ lọc giao thức sẽ loại trừ tất cả các giao thức, ngoại trừ HTTP, SMTP, HTTPS, FTP…
Hình 3.5 Lọc giao thức
3.10 KẾT LUẬN
Cho các điểm truy cập tự động (hotspots), việc mã hoá không cần thiết, chỉ cần người dung xác thực mà thôi.
Với người dùng sử dụng mạng WLAN cho gia đình, một phương thức bảo mật với WPA passphare hay preshared key được khuyến cáo sử dụng.
Với giải pháp doanh nghiệp, để tối ưu quá trình bảo mật với 802.1x EAP làm phương thức xác thực và TKIP hay AES làm phương thức mã hoá. Được dựa theo chuẩn WPA hay WPA2 và 802.11i security.
Bảng 3.1 Escalating Security
Open Access
Basic Security
Enhanced Security
Remote Access
- No encryption
- Basic anthentication
- Public “hotspots”
- WPA Passphase
- WEP Encryption
- Home use
- 802.1x EAP
- Mutual Anthentication
- TKIP Encrytion
- WPA/WPA2
- 802.11i Security
- Enterprise
- Virtual Private Network (VPN)
- Business Traveler
- Telecommuter
Bảo mật mạng WLAN cũng tương tự như bảo mật cho các hệ thống mạng khác. Bảo mật hệ thống phải được áp dụng cho nhiều tầng, các thiết bị nhận dạng phát hiện tấn công phải được triển khai. Giới hạn các quyền truy cập tối thiểu cho những người dùng cần thiết. Dữ liệu được chia sẻ và yêu cầu xác thực mới cho phép truy cập. Dữ liệu truyền phải được mã hoá.
Kẻ tấn công có thể tấn công mạng WLAN không bảo mật bất cứ lúc nào. Bạn cần có một phương án triển khai hợp lý.
Phải ước lượng được các nguy cơ bảo mật và các mức độ bảo mật cần thiết để áp dụng.
Đánh giá được toàn bộ các giao tiếp qua WLAN và các phương thức bảo mật cần được áp dụng.
Đánh giá được các công cụ và các lựa chọn khi thiết kế về triển khai mạng WLAN.
Trong khi sử dụng VPN Fix qua các kết nối WLAN có thể là một ý tưởng hay và cũng sẽ là một hướng đi đúng. Nhưng sự không thuận tiện cũng như giá cả và tăng lưu lượng mạng cũng là rào cản cần vượt qua. Sự chuyển đổi sang 802.11i và mã hoá AES đem lại khả năng bảo mật cao nhất. Nhưng các tổ chức, cơ quan vẫn đang sử dụng hàng nghìn những card mạng WLAN không hỗ trợ chuẩn này. Hơn nữa AES không hỗ các thiết bị cầm tay và máy quét mã vạch hoặc các thiết bị khác... Đó là những giới hạn khi lựa chọn 802.11i. Sự chuyển hướng sang WPA vẫn còn là những thử thách. Mặc dù, vẫn còn những lỗ hổng về bảo mật và có thể những lỗ hổng mới sẽ được phát hiện. Nhưng tại thời điểm này, WPA là lựa chọn tốt.
CHƯƠNG 4. BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP XÁC THỰC RADIUS SERVER VÀ WPA2
4.1 GIỚI THIỆU TỔNG QUAN
Hình 4.1 Mô hình xác thực giữa Wireless Clients và RADIUS Server.
Việc bảo mật WLAN sử dụng chuẩn 802.1x kết hợp với xác thực người dùng trên Access Point (AP). Một máy chủ thực hiện việc xác thực trên nền tảng RADIUS có thể là một giải pháp tốt cung cấp xác thực cho chuẩn 802.1x.
Trong phần này này tôi sẽ giới thiệu cách thức làm việc của RADIUS và vì sao phải cần máy chủ RADIUS để hỗ trợ việc xác thực cho WLAN.
4.1.1 Xác thực, cấp phép và kiểm toán
Giao thức Remote Authentication Dial In User Service (RADIUS) được định nghĩa trong RFC 2865 như sau: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization, và Accounting – AAA) cho các phiên làm việc với SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet.
Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các thông tin tới một Authentication Server, thông thường nó là một AAA Server (AAA – Authentication, Authoriztion, và Accounting). Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu, thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NASs.
Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access-Request tới máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một port xác định, NAS identify, và một message Authenticator.
Sau khi nhận được các thông tin máy chủ AAA sử dụng các gói tin được cung cấp như NAS identify, và Authenticator thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không. Nếu có khả năng, máy chủ AAA sẽ tìm kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong cơ sở dữ lệu. Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin trong Access-Request quyết định quá trình truy cập của user đó là được chấp nhận.
Khi quá trình xác thực bắt đầu được sử dụng, máy chủ AAA có thể sẽ trả về một RADIUS Access-Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến người dùng từ xa (với ví dụ này sử dụng CHAP). Khi đó người dùng sẽ phải trả lời đúng các yêu cầu xác nhận (trong ví dụ này, đưa ra lời đề nghị mã hoá password), sau đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request.
Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn thoả mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-Accept. Nếu không thoả mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject và NAS sẽ ngắt kết nối với user.
Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được thiết lập, NAS sẽ gửi mộtgói tin RADIUS Accounting-Request (Start) tới máy chủ AAA. Máy chủ sẽ thêm các thông tin vào file Log của nó, với việc NAS sẽ cho phép phiên làm việc với user bắt đầu khi nào, và kết thúc khi nào, RADIUS Accouting làm nhiệm vụ ghi lại quá trình xác thực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Accounting-Request (Stop).
4.1.2 Sự bảo mật và tính mở rộng
Tất cả các message của RADIUS đều được đóng gói bởi UDP datagrams, nó bao gồm các thông tin như: message type, sequence number, length, Authenticator, và một loạt các Attribute-Value.
Authenticator: Tác dụng của Authenticator là cung cấp một chế độ bảo mật. NAS và AAA Server sử dụng Authenticator để hiểu đuợc các thông tin đã được mã hóa của nhau như mật khẩu chẳng hạn. Authenticator cũng giúp NAS phát hiện sự giả mạo của gói tin RADIUS Responses. Cuối cùng, Authenticator được sử dụng làm cho để biễn password thành một dạng nào đó, ngăn chặn việc làm lộ mật khẩu của người dùng trong các message RADIUS.
Authenticator gửi Access-Request trong một số ngẫu nhiên. MD5 sẽ băm (hash) số ngẫu nhiên đó thành một dạng riêng là OR’ed cho mật khẩu của người dùng và gửi trong Access-Request User-Password. Toàn bộ RADIUS response sau đó được MD5 băm (hash) với cùng thông số bảo mật của Authenticator, và các thông số response khác.
Authenticator giúp cho quá trình giao tiếp giữa NAS và máy chủ AAA được bảo mật nhưng nếu kẻ tấn công tóm được cả hai gói tin RADIUS Access-Request và Access-Response thì có thể thực hiện "dictionary attack" để phân tích việc đóng gói này. Trong điều kiện thực tế để việc giải mã khó khăn bạn cần phải sử dụng những thông số dài hơn, toàn bộ vấn đề có khả năng nguy hại cho quá trình truyền tải này được miêu tả rất kỹ trong RFC 3580.
Attribute-Value Pairs: Thông tin được mang bởi RADIUS đuợc miêu tả trong một dạng Attribute-Value, để hỗ trợ cho nhiều công nghệ khác nhau, và nhiều phương thức xác thực khác nhau. Một chuẩn được định nghĩa trong Attribute-Value pairs (cặp đôi), bao gồm User-Name, User-Password, NAS-IPAddress, NAS-Port, Service-Type. Các nhà sản xuất (vendors) cũng có thể định nghĩa Attribute-Value pairs để mang các thông tin của mình như Vendor-Specific toàn bộ ví dụ này được miêu tả trong RFC 2548 - Định nghĩ Microsoft Attribute-Value pair trong MS-CHAP.
Thêm vào đó, rất nhiều chuẩn Attribute-Value pairs được định nghĩa trong nhiều năm để hỗ trợ Extensible Authentication Protocol (EAP), một dạng khác cũ hơn của nó là PAP và CHAP dial-up protocol. Bạn có thể tìm thấy trong tài liệu RFC 3579 cho phiên bản mới nhất của RADIUS hỗ trợ EAP. Trong phần này sẽ nói rất rõ về hỗ trợ xác thực cho WLAN, từ khi chuẩn EAP được sử dụng cho 802.1x Port Access Control để cho phép xác thực từ bên ngoài cho wireless.
4.1.3 Áp dụng RADIUS cho WLAN
Trong một mạng Wireless sử dụng 802.1x Port Access Control, các máy trạm sử dụng wireless với vai trò Remote User và Wireless Access Point làm việc như một Network Access Server (NAS). Để thay thế cho việc kết nối đến NAS với dial-up như giao thức PPP, wireless station kết nối đến Access Point bằng việc sử dụng giao thức 802.11.
Một quá trình được thực hiện, wireless station gửi một message EAP-Start tới Access Point. Access Point sẽ yêu cầu station nhận dạng và chuyển các thông tin đó tới một AAA Server với thông tin là RADIUS Access-Request User-Name attribute.
Máy chủ AAA và wireless station hoàn thành quá trình bằng việc chuyển các thông tin RADIUS Access-Challenge và Access-Request qua Access Point. Được quyết định bởi phía trên là một dạng EAP, thông tin này được chuyển trong một đường hầm được mã hoá TLS (Encypted TLS Tunnel).
Nếu máy chủ AAA gửi một message Access-Accept, Access Point và wireless station sẽ hoàn thành quá trình kết nối và thực hiện phiên làm việc với việc sử dụng WEP hay TKIP để mã hoá dữ liệu. Và tại điểm đó, Access Point sẽ không cấm cổng và wireless station có thể gửi và nhận dữ liệu từ hệ thống mạng một cách bình thường.
Cần lưu ý là mã hoá dữ liệu từ wireless station tới Access Point khác với quá trình mã hoá từ Access Point tới máy chủ AAA Server (RADIUS Server).
Nếu máy chủ AAA gửi một message Access-Reject, Access Point sẽ ngắt kết nối tới station. Station có thể cố gắng thử lại quá tình xác thực, nhưng Access Point sẽ cấm station này không gửi được các gói tin tới các Access Point ở gần đó. Chú ý là station này hoàn toàn có khả năng nghe được các dữ liệu được truyền đi từ các stations khác – Trên thực tế dữ liệu được truyền qua sóng radio và đó là câu trả lời tại sao bạn phải mã hoá dữ liệu khi truyền trong mạng không dây.
Attribute-Value pare bao gồm trong message của RADIUS có thể sử dụng bởi máy chủ AAA để quyết định phiên làm việc giữa Access Point và wireless station, như Sesstion-Timeout hay VLAN Tag (Tunnel-Type=VLAN, Tunnel-Private-Group-ID=tag). Chính xác các thông tin thêm vào có thể phụ thuộc vào máy chủ AAA Server hay Access Point và station bạn sử dụng.
4.1.4 Các tùy chọn bổ sung
Một vấn đề đầu tiên bạn phải hiểu vai trò của RADIUS trong quá trình xác thực của WLAN, bạn phải thiết lập một máy chủ AAA hỗ trợ interaction.
Nếu bạn có một máy chủ AAA trong mạng gọi là RADIUS, nó đã sẵn sàng để hỗ trợ xác thực cho chuẩn 802.1x và cho phép chọn lựa các dạng EAP. Nếu đã có bạn chuyển tiếp đến bước tiếp theo là làm thế nào để thiết lập tính năng này.
Nếu bạn có một RADIUS – AAA Server không hỗ trợ 802.1x, hoặc không hỗ trợ các dạng EAP, bạn có thể lựa chọn bằng cách cập nhật các phiên bản phần mềm mới hơn cho server, hay bạn có thể cài đặt một máy chủ mới. Nếu bạn cài đặt một máy chủ AAA hỗ trợ xác thực cho chuẩn 802.1x, bạn có thể sử dụng tính năng RADIUS proxy để thiết lập một chuỗi các máy chủ, cùng chia sẻ chung một cơ sở dữ liệu tập trung, RADIUS proxy có thể sử dụng để chuyển các yêu cầu xác thực tới máy chủ có khả năng xác thực qua chuẩn 802.1x.
Nếu bạn không có một RADIUS – là máy chủ AAA, bạn cần thiết phải cài đặt một máy chủ cho quá trình xác thực của WLAN, lựa chọn cài đặt này là một công việc thú vị.
Với cơ sở tập trung - Giải pháp sử dụng RADIUS cho mạng WLAN là rất quan trọng bởi nếu một hệ thống mạng của bạn có rất nhiều Access Point việc cấu hình để bảo mật hệ thống này là rất khó nếu quản lý riêng biệt, người dùng có thể xác thực từ nhiều Access Point khác nhau và điều đó là không bảo mật.
Khi sử dụng RADIUS cho WLAN mang lại khả năng tiện lợi rất cao, xác thực cho toàn bộ hệ thống nhiều Access Point, … cung cấp các giải pháp thông minh hơn.
4.1.5 Chúng ta sẽ lựa chọn máy chủ RADIUS như thế nào là hợp lý?
Phần này sẽ trình bày việc quản lý sử dụng ứng dụng cũng như giá cả của một máy chủ RADIUS nếu được triển khai sẽ là bao nhiêu để có thể phù hợp với doanh nghiệp.
Trong phần trên, chúng ta đã hiểu được máy chủ RADIUS cung cấp xác thực cho 802.1x Port Access Control. Chúng ta cần quan tâm đến việc triển khai các tuỳ chọn cho các giải pháp sử dụng chuẩn 802.1x. Việc quản lý sử dụng ứng dụng này cũng như giá cả của một máy chủ RADIUS nếu được triển khai sẽ là bao nhiêu để có thể phù hợp với doanh nghiệp.
Chi phí
Các công việc kinh doanh muốn nâng cao tính bảo mật cho hệ thống mạng WLAN nhưng lại sử dụng chuẩn 802.1x – và với yêu cầu này thì lựa chọn việc triển khai RADIUS là hợp lý.
Deploy WPA with Preshared Keys: Nâng cấp hệ thống mạng WLAN của bạn đang sử dụng từ Wired Equivalent Privacy (WEP) tới Wi-Fi Protected Access (WPA) có thực hiện không cần phải sử dụng RADIUS mà bằng cách sử dụng Preshared Keys (PSK) hỗ trợ cho chuẩn 802.1x. Preshared Keys không thể thực hiện việc xác thực cho mỗi user và khả năng chống các cuộc tấn công "dictionary attack" là rất kém do tồn tại khá nhiều vấn đề về bảo mật. Nếu sử dụng giải pháp này việc kinh doanh của bạn sẽ có nhiều rủi do hơn, và chỉ áp dụng cho môi trường nhỏ thì giải pháp WPA-PSK là hợp lý.
Use Microsoft's RADIUS Server: Nếu bạn có một máy chủ chạy hệ điều hành Microsoft Windows Server 2000/2003 thì hoàn toàn có khả năng, với việc sử dụng Microsoft’s Internet Authentication Service (IAS).
IAS cần thiết cho các nhà quản trị hay các user phải làm việc trên môi trường Windows. Và nó cũng là một trong những tính năng cao cấp của Microsoft Wireless Provisioning Service.
Install an Open Source RADIUS Server: Nếu bạn không có một phiên bản Windows, một lựa chọn cho bạn nữa là sử dụng giải pháp phần mềm mã nguồn mở, bạn có thể tham khảo tại: Với khả năng hỗ trợ cho chuẩn 802.1x các máy chủ chạy hệ điều hành mã nguồn mở như Linux, Free or OpenBSD, OSF/Unix, hoặc Solaris đều có thể sử dụng làm RADIUS Server.
Mua một Commercial RADIUS Server: Trong trường hợp phải sử dụng một giải pháp chuyên nghiệp cần hỗ trợ đầy đủ toàn bộ các tính năng cũng như khả năng an toàn, và độ ổn định bạn có thể mua các bản thương mại từ các nhà sản xuất khác, với tính năng hỗ trợ 802.1x và là một RADIUS Server chuyên nghiệp:
Aradial WiFi -
Bridgewater Wi-Fi AAA -
Cisco Secure Access Control Server -
Funk Odyssey -
IEA RadiusNT -
Infoblox RADIUS One Appliance -
Interlink Secure XS -
LeapPoint AiroPoint Appliance -
Meetinghouse AEGIS -
OSC Radiator -
Vircom VOP Radius -
Commercial RADIUS Servers có giá cả tuỳ vào khả năng của sản phẩm. Ví dụ bạn mua một Funk Odyssey Server, bao gồm 25 license Odyssey Client. VOB Radius Small Bussiness giá khởi điểm là $995 cho 100 Users. Một máy chủ Radiator license giá $720.
RADIUS server cũng có thể bao gồm cả giá của phần cứng/phần mềm. Ví dụ Funk’s Steel-Belted Radius có giá trên một Network Engines là $7500. LeapPoint’s AiroPoint 3600 – SE có giá khởi điểm là $2499 cho 50 clients. Toàn bộ giá ở trên là ví dụ còn phụ thuộc nhiều vào nhà cung cấp phần mềm hay các đại lý của các hãng khác nhau.
Ngoài ra với sự lựa chọn cho mạng doanh nghiệp nhỏ bạn không có điều kiện triển khai máy chủ RADIUS một giải pháp tốt cho bạn là sử dụng giải pháp bảo mật từ các công ty chuyên về bảo mật hệ thống mạng Wi-Fi như WSC Guard mang đến giải pháp bảo mật cho các dịch vụ trên nền 802.1x và với giá khởi điểm là $89 cho một người dùng một năm và sẽ xuống còn $59 khi khách hàng đăng ký 1000 người dùng.
4.2 MÔ TẢ HỆ THỐNG
Hình 4.2 Wireless Clients, AP và RADIUS Server.
Mạng WLAN bản thân nó là không bảo mật, tuy nhiên đối với mạng có dây nếu bạn không có một sự phòng ngừa hay cấu hình bảo vệ gì thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra một mạng WLAN bảo mật là phải triển khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng của mình được an toàn hơn. Nhằm ngăn chặn những truy cập mạng trái phép mà mình không mong muốn. Khi đó client muốn truy cập vào mạng thì phải đăng nhập đúng username và password hợp lệ. Quá trình xác thực này được điều khiển bởi RADIUS server.
Mô tả yêu cầu:
Cấu hình RADIUS server trên Window Server 2003, tạo user và password cho các client dự định tham gia vào mạng.
Trên AP Linksys, thiết đặt security mode là WPA2-Enterprise.
Cho PC tham gia vào mạng, kiểm tra kết nối.
Thiết bị yêu cầu: 1 Access point Linksys WRT54G, 2 pc (1 pc có gắn card wireless và 1 pc làm Radius server).
PC làm Radius server sử dụng hệ điều hành Windows Server 2003 Enterprise Edition và đã được nâng lên Domain Controller, PC làm wireless client sử dụng hệ điều hành Windows XP Professional và đã được join domain.
4.3 QUY TRÌNH CÀI ĐẶT
4.3.1 Bước 1: Cài DHCP
Vào Control panel è Add/remove program è Add/remove Windows components è Networking Services è Chọn R Dynamic Host Configuration Protocol (DHCP) è Chọn OK
4.3.2 Bước 2: Cài Enterprise CA
Control panel è Add/remove program è Add/remove Windows components è Certificate services è Chọn R Certificate Services CA và Chọn R Certificate Services Web Enrollment Support è Chọn OK (Trong quá trình cài đặt nhớ chọn luôn IIS để dùng Web Enrollment Wizard). Trong các wizard tiếp theo ta chọn “Enterprise root CA” và đặt tên cho CA này là “wifi”.
Hình 4.3 Enterprise CA.
4.3.3 Bước 3: Cài Radius
Vào Control panel è Add/remove program è Add/remove Windows components è Networking Services è Chọn R Internet Authentication Service.
4.3.4 Bước 4: Chuyển sang Native Mode
Để điều khiển truy cập của user qua Remote Access Policy. Mở Active Directory Users and Computers Console từ thư mục Administrative Tools, click phải chuột vào tên server và chọn “Raise domain Functional Level”
Hình 4.4 Raise domain functional level.
4.3.5 Bước 5: Cấu hình DHCP
Mở DHCP Console từ thư mục Administrative Tools, bấm phải chuột vào tên server và chọn “Anthorize” để đăng ký với DC.
Tạo một Scope có tên là “wifi”.
Scope range: 192.168.1.150/24 è 192.168.1.200
Lease Duration: 2 ngày.
Default Gateway: 192.168.1.1
DNS Server: 192.168.1.77, 203.113.131.1
Hình 4.5 Kết quả cấu hình DHCP
4.3.6 Bước 6: Cấu hình Radius
Mở IAS Console từ thư mục Administrative Tools, bấm phải chuột vào “Internet Authentication Service (Local)” và chọn "Register Server in Active Directory".
Hình 4.6 Register Server in Active Directory
Chuyển xuống mục RADIUS Client, bấm phải chuột và chọn "New RADIUS Client" trong cửa sổ mở ra, ta nhập các thông số của thiết bị Access Point: Địa chỉ IP và Secret key.
Ở phần chọn "Client-Vendor" nếu loại Access Point có tên trong danh mục thì chọn; nếu không biết loại gì thì chọn "RADIUS Standard" và Shared Secret là “maiyeulf” (phải trùng với shared key trên AP).
Hình 4.7 Khai báo radius client
4.3.7 Bước 7: Tạo users, cấp quyền Remote access cho users và cho computer
Mở Active Directory Users and Computers Console từ thư mục Administrative Tools.
Ta tạo 1 OU “wifi”
Tong OU này ta tạo 1 user “cuong”, password là “1”.
Ta tạo tiếp 1 computer có tên là “WirelessCli”.
Cũng trong OU “wifi” ta tạo 1 group “wifi”, các thành viên của group này là: “WirelessCli” và user “cuong”.
Vào User account è Dial-in Tab è ở mục Remote Access Permission chọn “Control Access through Remote Access Policy” để quản lý việc ra vào của User qua IAS.
Hình 4.8 Active Directory Users and Computers
4.3.8 Bước 8: Tạo Remote Access Policy
Mở IAS Console từ thư mục Administrative Tools è Remote Access Policies è New Remote Access Policies.
Hình 4.9 New Remote Access Policy.
Đặt tên cho Policy này là “wifi”
Access mode là “Wireless”.
Hình 4.10 Access mode là “Wireless”.
Trong wizard tiếp theo ta sẽ cấp quyền truy cập cho user hay group.
Hình 4.11 User or Group Access
Ta chọn phương thức xác thực cho policy này là PEAP (protected extensible anthentication protocol). Ta chọn Finish ở wizard tiếp theo để hoàn thành.
Hình 4.12 EAP type
Hình 4.13 Kết quả tạo Remote Access Policy
4.3.9 Bước 9: Cấu hình AP và khai báo địa chỉ máy RADIUS
Mở IE è Trên thanh Address Bar ta gõ vào 192.168.1.111 (để vào cấu hình AP) è Chọn Tab Wireless è Tab Wireless Security è Tiếp theo ta sẽ cấu hình AP như hình.
Hình 4.14 Cấu hình Access Point
4.3.10 Bước 10: Cấu hình Wireless Client
Để cấu hình được Wireless Client sử dụng WPA2 thì trước tiên ta phải download gói update cho Windows XP từ link sau:
Ta chọn Wireless Card è Properties è Tab Wireless Networks è Ta sẽ cấu hình như các hình sau.
Hình 4.15 Wireless Network Connection Properties
Hình 4.16 Cấu hình Network Authentication và Data Encryption
Hình 4.17 Cấu hình EAP type
Cuối cùng ta boot lại RADIUS Server, Access Point và Wireless Client.
4.4 DEMO
Ta khởi động Radius server và AP. Từ Wireless Client ta đăng nhập với user name là “cuong”, password “1”. Ta sẽ thấy kết quả như sau:
Hình 4.18 Kết quả sau khi đăng nhập vào hệ thống
Hình 4.19 Trạng thái kết nối
Hình 4.20 Các thông số được cấp bởi DHCP server như IP, DNS server, Default Gateway …
Trên Radius Server, ta vào Administrative Tools è Event Viewer è Security, ta sẽ thấy kết quả như sau:
Hình 4.21 Event Viewer
Hình 4.22 Information Properties
Chi tiết cụ thể của quá trình đăng nhập được ghi lại trong log file như sau:
++----------------------------------------------------------------------------------------------++
User NGOCUONG\cuong was granted access.
Fully-Qualified-User-Name = ngocuong.net/wifi/cuong
NAS-IP-Address = 192.168.1.111
NAS-Identifier =
Client-Friendly-Name = Linksys 54G
Client-IP-Address = 192.168.1.111
Calling-Station-Identifier = 00-1B-77-09-BF-1E
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 1
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server =
Policy-Name = wifi
Authentication-Type = PEAP
EAP-Type = Secured password (EAP-MSCHAP v2)
For more information, see Help and Support Center at
++----------------------------------------------------------------------------------------------++
KẾT LUẬN VÀ HƯỚNG MỞ
Kết luận
Thông qua việc tìm hiểu về mạng không dây đặc biệt là mạng cục bộ không dây, tôi đã có được các kiến thức về các chuẩn, cấu trúc mạng, các vấn đề bảo mật và khi triển khai hệ thống mạng cục bộ không dây. Việc phát triển mạng không dây thật sự đem lại hiệu quả với sự thuận lợi khi sử dụng các thiết bị có tính di động cao và vấn đề bảo mật được đặt lên hàng đầu.
Do vậy tôi đã chọn phương pháp xác thực RADIUS Server kết hợp với phương pháp mã hóa WPA2 nhằm đề xuất giải pháp bảo mật WLAN.
Tuy tôi chưa áp dụng giải pháp này vào trong thực tế nhưng theo tôi thì đây là giải pháp bảo mật WLAN mạnh nhất hiện nay. Nói như thế không có nghĩa giải pháp này là hoàn toàn “bất khả xâm phạm”, vì muốn bảo mật tốt hệ thống của mình thì không chỉ yếu tố phần cứng hay phần mềm mà còn cả yếu tố con người.
Hướng mở
Ứng dụng công nghệ Smart Card trong việc bảo mật WLAN.
Nghiên cứu về công nghệ WMAN (IEEE 802.16), WWAN (IEEE 802.20).
Tìm hiểu các yêu cầu, mô hình khi thiết kế, triển khai và bảo mật hệ thống WMAN, WWAN.
Các file đính kèm theo tài liệu này:
- Bao mat WLAN bang Radius Server va WPA2.doc