Tải bản đầy đủ - 0 (trang)
Trong một mạng không dây, khi một máy tính mới muốn gia nhập vào mạng không dây, nó cần phải kết nối với AP. Để chứng thực máy tính xin kết nối đó, có nhiều phương pháp AP có sử dụng như RADIUS,EAP...

Trong một mạng không dây, khi một máy tính mới muốn gia nhập vào mạng không dây, nó cần phải kết nối với AP. Để chứng thực máy tính xin kết nối đó, có nhiều phương pháp AP có sử dụng như RADIUS,EAP...

Tải bản đầy đủ - 0trang

Việc bảo mật WLAN sử dụng chuẩn 802.1 kết hợp với xác thực người dùng

trên AP. Một máy chủ thực hiện việc xác thực trên nền tảng RADIUS (Remote

Authentication Dial In User Service) có thể là một giải pháp tốt cung cấp xác thực

cho chuẩn 802.1x.

2.3.2 Phương pháp chứng thực mở rộng EAP:

Để đảm bảo an tồn trong q trình trao đổi bản tin chứng thực giữa Client

và AP không bị giải mã trộm, sửa đổi, người ta đưa ra giao thức chứng thực mở

rộng trên nền tảng của 802.1x là EAP (Extensible Authentication Protocol) .

Giao thức chứng thực mở rộng EAP là giao thức hỗ trợ, đảm bảo an ninh

trong khi trao đổi các bản tin chứng thực giữa các bên bằng các phương thức mã

hóa thơng tin chứng thực. EAP có thể hỗ trợ, kết hợp với nhiều phương thức chứng

thực của các hãng khác nhau, các loại hình chứng thực khác nhau ví dụ ngồi

user/password như chứng thực bằng đặc điểm sinh học, bằng thẻ chip, thẻ từ, bằng

khóa cơng khai, vv...Kiến trúc EAP cơ bản được chỉ ra ở hình dưới đây, nó được

thiết kế để vận hành trên bất cứ lớp đường dẫn nào và dùng bất cứ các phương

pháp chứng thực nào.



Mơ hình hoạt động xác thực của 802.1.x

Các trường của bản tin EAP:

30



-



-



Code: để xác định loại bản tin của EAP. Nó thường được dùng để thể hiện trường

dữ liệu của bản tin.

Identifier: bao gồm một số nguyên không dấu được dùng để xác định các bản tin

yêu cầu và trả lời. Khi truyền lại bản tin thì vẫn là các số identifier đó, nhưng việc

truyền mới thì dùng các số identifier mới.

Length: là chiều dài của toàn bộ bản tin bao gồm các trường Code, Identifier,

Length, và Data.

Data: có độ dài thay đổi. Phụ thuộc vào loại bản tin, trường dữ liệu có thể là các

byte khơng. Cách thể hiện của trường dữ liệu được dựa trên giá trị của trường

Code..



Bản tin EAP

Các kiểu phổ biến nhất của EAP

• PEAP (Protected EAP): đây là một trong các phương pháp EAP phổ biến

nhất và dễ thực thi. Nó có thể thẩm định người dùng thông qua username và

password mà họ nhập vào khi kết nối mạng.

Máy chủ thẩm định có thể được hợp lệ quá trong suốt quá trình thầm

định PEAP khi chứng chỉ SSI được cài đặt trên máy chủ. Kiểu này được hỗ

trợ mặc định trong Windows

• TLS (Transport Layer Security): là một trong những kiểu bảo mật an toàn

nhất, tuy nhiên lại khá phức tạp trong vấn để thực thi và bảo trì. Q trình

hợp lệ hóa máy chủ và khách đều cần được thực hiện thông qua chứng chỉ

SSL. Thay vì cung cấp username và password khi kết nối, các thiết bị của

người dùng hoặc các máy tính phải được load file chứng chỉ SSL vào máy

khách 802.1x của nó.

Các quản trị viên có thể kiểm sốt Certificate Authority (CA) và quản

lý các chứng chỉ máy khách, điều này cho phép họ có nhiều quyền kiểm

sốt, nhưng cũng u cầu nhiều thời gian quản trị hơn.

• TTLS (Tunneled TLS): một phiên bản cải tiến của TLS, không yêu cầu

chứng chỉ bảo mật của máy khách, vấn đề này đã giảm được sự phức tạp

trong việc quản lý mạng. Mặc fud vậy, kiểu EAP này khơng có sự hỗ trợ

ngun bản trong Windows, nó cần đến một máy khách thức ba.

31



Chương 3

MÃ HĨA WPA2-ENTERPRISE

Trong chương này, chúng tơi sẽ giới thiệu một số vấn để cần biết khi thiết

lập bảo mật không dây WPA2-Enterprise. Các thông tin bao gồm những cách thức

để các bạn có thể hiểu, cài đặt và quản lý vấn để bảo mật không dây.

3.1



Giới thiệu phương pháp bảo mật WPA2-Enterprise:



Khi thiết lập mạng không dây, chắc chắn các bạn sẽ thấy hai chế độ bảo mật

Wifi Protected Access (WPA) khác nhau đó là Personal và Enterprise.

• Chế độ Personal: hay vẫn được gọi là Pre-Shared Key (PSK), chế độ này thích hợp

hầu hết với các mạng gia đình. Bạn có thể định nghĩa mật khẩu mã hóa trên router

khơng dây và các AP khác. Sau đó mật khẩu phải được nhập bởi người dùng khi

kết nối với mạng Wifi.

Mặc dù chế độ này dường như rất dễ thực thi, nhưng nó khơng thể bảo đảm

an tồn, một mật khẩu được áp dụng cho tất cả người dùng, điều này gây khó khăn

khi bạn cần thay đổi.

Trong chế độ này, mật khẩu được mã hóa lưu trên các máy tính. Mặc dù vậy

– dù là người dùng hay kẻ tấn cơng dều có thể kết nối với mạng và cũng có thể

khơi phục được mật khẩu mã hóa.

• Chế độ Enterprise (EAP/RADIUS): đây là chế độ mà các doanh nghiệp và tổ chức

hay sử dụng. Mặc dù phức tạp trong việc thiết lập, nhưng chế độ bảo mật này cung

cấp khả năng điểu khiển tập trung và phân biệt trong việc truy cập mạng Wifi.

Người dùng được gán các thông tin đăng nhập mà họ cần phải nhập để kết nối vào

mạng, các thông tin đăng nhập này có ther được thay đổi hoặc thu hồi bởi các quản

trị viên bất cứ lúc nào.

Người dùng không cần quan tâm đến các khóa mã thực sự. Chúng được tạo

ra một cách an toàn và được gán trên mỗi session người dùng trong chế độ

background sau khi người dùng nào đó nhập vào các chứng chỉ đăng nhập của họ.

Điều này sẽ tránh được việc ai đó có thể khơi phục lại khóa mạng từ máy tính.

3.2



Các ưu điểm của chế độ Enterprise:



32



Cho phép người dùng đăng nhập vào mạng bằng tên và mật khẩu hay chứng

chỉ số. Cả hai kiểu chứng chỉ để được thay đổi hoặc thu hồi ở bất cứ thời điểm nào

trên máy chủ khi thiết bị không dây bị mất hoặc đánh cắp. Người lại khi sử dụng

để độ Personal, mật khẩu cần phải thay đổi một cách thủ công trên tất cả cá AP và

thiết bị khơng dây.

Vì phải cung cấp cho người dùng một khóa mã hóa động và duy nhất nên nó

có thể ngăn chặn việc xem trộm thơng tin giữa các người dùng trong mạng. Trong

cế độ Personal, người dùng kết nối thành cơng có thể thấy lưu lượng của người

dùng khác- có thể là mật khẩu, email hay các dữ liệu nhạy cảm khác.

Khóa động giúp tăng cường sức mạnh cho mã khóa WPA (TKIP) và WPA2

(AES). Còn ở chế độ Personal, dễ bị tiết lộ khóa hơn đối với các tấn công từ điển.

Điều này lý giải tại sao khi sử dụng chế độ Personal thì việc tạo mật khẩu dài và

phức tạp là điểu rất quan trọng.

3.3



Giới thiệu thẩm định 802.1x và các máy chủ RADIUS:



Phương pháp thẩm đinh được sử dụng để thẩm đinh các thông tin người

dùng (và máy chủ) trên các mạng WPA/WPA2-Enterprise được định nghĩa theo

chuẩn IEEE 802.1x. Cách thức này yêu cầu một máy chủ ngoài. Vẫn được gọi là

máy chủ Remote Authentication Dial In User Service oặc Authentication,

Authorization và Accounting (AAA) được sư dụng cho một loạt giao thức mạng và

các môi trường chứa ISP.

Một máy chủ RADIUS cần phải hiểu ngơn ngữ Extrnsible Authentication

Protocol (EAP) và có thể truyền thơng với các AP không dây về bản chất sẽ phục

vụ như một máy trung gian giữa các AP và dữ liệu người dùng. Để từ đó, các AP

có thể truyền thơng trực tiếp với máy khách 802.1x, cũng được nói đến như một

902.1x Supplicant, trên máy tính hoặc thiết bị của người dùng.

Thẩm đinh 902.1x không dựa trên port, điều này có nghĩa là khi ai đó cố gắn

kết nối đến một mạng đã được bảo vệ, sự truyền thông sẽ được phép cho qua một

cổng ảo để truyền tải các thơng tin đăng nhập. Nếu q trình thẩm định thành cơng,

các mã khóa sẽ được gửi đi một cách an toàn và người dùng lúc này sẽ được trao

quyền truy cập hoàn toàn.

3.4



Các tùy chọn máy chủ:



Trên Window Seeerver, bạn có thể sử dụng tính năng Internet Authnticate

Service (IAS) hoặc Network Policy Server (NPS) cho RADIUS Server.

Mua và sử dụng các AP có máy chĩ RADIUS đi kèm. Vấn đề này thường

bao gồm việc cài đặt phần mềm vào máy chủ. Với các mạng ít quan trọng hơn và

nhỏ hơn, bạn có thể tái sử dụng các máy tính cũ cho việc này.

33



Sử dụng dịch vụ (vd: Authencicate My Wifi) để tiết kiện thời gian, kinh phí

và các kiến thức cần thiết trong thiết lập máy chủ. Nó cũng cung cấp sự hỗ trợ cấu

hình máy khác và đảo bảo triển khai dễ dàng hơn cơ chế bảo mật ở nhiều vị trí.

-



Sử dụng máy chủ miễn phí như TekRADIUS.



Sử dụng máy chủ mã nguồn mở và miễn phí như FreeDADIUS, sử dụng các

file văn bản thuần túy cho việc cấu hình và quản trị. Chủ yếu cho các máy tính

Linux/Unix nhưng cũng có thể chạy trên Windows.

Mua và sử dụng phần mềm máy chủ RADIUS như Elekton cho Windows

hoặc MAC OS X và ClearBox cho Windows.

3.5



Cấu hình máy khách:



Ngoài việc điều hành máy chủ RADIUS, chế độ Enterprise còn u cầu một

cấu hình máy khác phức tạp hơn trên các máy tính và thiết bị khơng dây của người

dùng. Chế độ Personal chỉ yêu cầu nhập mật khấu khi được nhắc nhở và có thể

được thực hiện. Tuy nhiên với chế độ Enterpirise, bạn cần phải cài đặt CA vào các

máy khách và sau đó cấu hình thủ công thiết lập bảo mật không dây và xác thực

802.1x.

Yêu cầu này rất có ích trong việc cài đặt và khác phục sự cố cấu hình máy

khách hoặc sử dụng tiện ích triển khai để trợ giúp.

Nếu sử dụng Windows Server, bạn có thể phân bố chứng chỉ và cấu hình

thiết lập từ xa và tập trung bằng cách sử dụng Group Policy, tối thiểu là các máy

tính Windows được join vào miền.

3.6



Các bước thiết lập:

Để trợ giúp tốt hơn trong q trình thiết lập WPA/WPA2-Enterprisevà

802.1x. 802.1x., chúng tơi liệt kê tồn bộ các bước cơ bản trong q trình :

-



Chọn, cài đặt và cấu hình máy chỉ RAIUS hoặc sử dụng dịch vụ.



Tạo ra một CA để có thể phát hàng và cài đặt trên máy chỉ RADIUS, chiêu

thức này có thể được thực hiện như một phần của cài đặt hoặc cấu hình máy chủ

RADIUS. Một cách khác là bạn có thể mua chứng chỉ số từ CA công như

GoDaddy hoặc Verisign để không phải cài đặt chứng chỉ máy chủ trên tất cả máy

khách. Nếu sử dụng EAP-TLS, bạn cũng phải tạo các chứng chỉ số cho mỗi người

dùng.



34



Trên máy chủ, định cư cơ sở dữ liệu máy khách RADIUS với địa chỉ chia sẻ

cho mỗi AP.

Trên máy chủ, định cư dữ liệu người dùng bằng tên và mật khẩu cho mỗi

người dùng.

Trên mỗi AP, cấu hình bảo mật WPA/WPA2-Enterprise và nhập địa chỉ máy

IP của máy chủ RADIUS và bí mật chia sẻ đã được tạo cho AP cụ thể đó.

Trên mỗi máy tính và thiết bị khơng dây, cấu hình bảo mật WPA/WPA2Enterprise và cấu hình các thiết lập xác thực 802.1x.

Chương 4

CƠNG NGHỆ CAPTIVE PORTAL VÀ SỬ DỤNG RADIUS XÁC

THỰC NGƯỜI DÙNG TRONG WLAN

4.1



Tìm hiểu cơng nghệ Captive Portal:



Chúng ta sẽ tìm hiểu khái niệm Captive Portal (CP) thông qua cách thức

hoạt động của chúng.

Công nghệ CP sẽ bắt buộc một máy muốn sử dụng Internet trong mạng thì

trước tiên phải sử dụng trình duyệt để được chuyển đến một trang đặc biệt (thường

dùng cho mục đích xác thực). CP sẽ chuyển hướng trình duyệt đến các thiết bị xác

thực an ninh. Điều này được thực hiện bằng cách bắt tất cả các gói tin, kể cả địa

chỉ và cổng, đến khi người dùng mở một trình duyệt và thử truy cập Internet. Tại

thời điểm đó, trình duyệt sẽ được chuyển hướng đến một trang web đặc biệt yêu

cầu xác thực (đăng nhập) hoặc thanh tốn, hoặc đơn giản chỉ là hiện bảng thơng

báo về các quy định mà người dùng sẽ phải tuân theo và yêu cầu người dùng phải

chấp nhận các quy định đó trước khi truy cập Internet. CP thường được triển khai ở

hầu hết các điểm truy cập WIFI và nó cũng có thể được dùng để điều khiển mạng

khơng dây.



35



Do trang web đăng nhập phải được truy cập từ trình duyệt của máy khách,

do đó trang web này cần được đặt ngay trên gateway hoặc trên một server nằm

trong “danh sách trắng” nghĩa là có thể truy cập mà khơng cần q trình xác thực.

Ngồi việc có danh sách trắng của các địa chỉ URL, một vài loại gateway còn có

danh sách trắng đối với một vài cổng TCP.



Mơ hình Captive Portal



4.1.1 Các cách triển khai:

4.1.1.1



Chuyển hướng bằng HTTP (Hyper Transfer Protocol):



Nếu một máy khách chưa xác thực truy cập đến một website, trình duyệt sx

yêu cầu địa chỉ IP tương ứng với tên miền từ máy chỉ DNS và nhận được thơng tin

này như bình thường. Tiếp đó, trình duyệt sẽ gửi một yêu cầu HTTP đến địa chỉ IP

đó. Tuy nhiên, yêu cầu này sẽ bị firewal chặn lại và chuyển tiếp đến một máy chủ

chuyển tiếp. Máy chủ chuyển tiếp sẽ phản hồi với một câu trả lời HTTP thơng

thường, trong đó bao gồm mã trạng thái HTTP 302 để chuyển hướng đến máy khác

CP. Đối với máy khách thì q trình này hồn tồn “trong suốt”. Máy khách sẽ

tưởng rằng trang web đó đã thực sự trả lời với yêu cầu đầu tiên và gửi thông tin

chuyển hướng.

4.1.1.2



Chuyển hướng bằng DNS:



Nếu một máy khách chưa xác thực truy cập đến một website, trình duyệt sẽ

yêu cầu địa chỉ IP tương ứng với tên miền từ máy chủ DNS. Thay vì trả về IP chính

xác của tên miền website đó, máy chủ DNS sẽ trả về IP của CP.

Nếu quản trị mạng khơng có hành động ngăn ngừa thì cách thức này có thể

dể dàng bị vượt qua bằng cách sử dụng một máy chủ DNS khác tại máy khách.

36



4.1.1.3



Chuyển hướng ICMP (Internet Control Message Protocol):



Lưu lượng của máy khách có thể được chuyển hướng bằng cách sử dụng

chuyển hướng ICMP ở tầng mạng (tầng 3).

4.1.2 Giới thiệu một số phần mềm sử dụng công nghệ Captive Portal:

4.1.2.1



Dành cho FreeBSD/OpenBSD:



PfSense là một phiên bản phần mềm tường lửa được tách ra từ phần mềm

tường lửa mã nguồn mở m0n0wall phát triển trên hệ điều hành FreeBSD. Gói phần

mềm bao gồn hệ điều hành Unix FreeBSD và cá gói dịch vụ tích hợp vó chức năng

router, tường lửa, máy chủ WPN, và một số dịch vụ khác.

Với mục tiêu là các hệ thống PC nhúng, gói phần mềm được thiết kế nhỏ

gọn, dễ dàng cài đặt thông qua giao diện web và đặc biệt là có khả năng cài đặt

thêm gói dịch vụ để mở rộng tính năng.

• Ưu điểm:

- Miễn phí.

- Có khả năng bổ sung thêm tính năng bằng các gói dịch vụ cộng thêm.

- Dễ cài đặt cấu hình.

• Hạn chế:

- Phải trang bị thêm modem nếu khơng có sẵn.

- Khơng được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác.

- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.

Đòi hỏi người sử dụng có kiến thức cơ bản về mạng để cấu hình

4.1.2.2



Dành cho Linux:



PacketFence (http://Packetfence.org): sử dụng ARP Spooting thay vì lọc địa

chỉ Mac/IP. Có thể sử dụng để phát hiện/cơ lập worms. Sử dụng Snort cho IDS.

ZeroShell (http://zoroshell.net.eng): là một bản phân phối Linux nhỏ dạng

LiveCD hoặc CompactFlash có chứa một multi-gatewway Captive Portal.

...

4.1.2.3



Dành cho Windows:



DNS Redirector (http://dnsredirector): không cần Mac, cho phép tích hợp 3rd

party với MAC.

37



...

4.1.2.4



Các loại khác:



HotSpotSystem (http://hospotsystem.com): Giải pháp hoàn thiện cho dịch vụ

Hotspot trả tiền và miễn phí.

WorldSpot (http://worldspot.net): Fiair ohaps dựa trên ChilliSpot. Miễn phí

cho các Hotspot miễn phí.

4.1.3 Một số hạn chế:

Hầu hết các sảng phầm này đỏi hỏi người sử dung đến một trang đăng nhập

có mã hóa SSl, sao đó IP và MAC của họ sẽ được cho phép đi qua gateway. Điều

này sẽ có thể bị lợi dụng với một cơng cụ nghe lén gói tin đơn giản

Một khi địa chỉ IP và MAC của một máy tính khác đã được xác thực thì một

máy tính bất kì có thể giả mạo IP và MAC của máy tính đó để được cho phép đi

qua gateway.

Những platform có Wi-Fi và TCP/IP stack nhưng khơng có trình duyệt hỗ

trợ HTTPS thì khơng thể sử dụng nhiều loại CP



4.2



Sử dụng RADIUS trong quá trình xác thực trong WLAN:



Với khả năng hỗ trợ xác thực cho cả chuẩn không dây 802.1x, RADIUS là

giải pháp không thể thiếu cho các doanh nghiệp muốn quản lý tâp trung và tăng

cường tính bảo mật cho hệ thống.



38



Việc bảo mật mạng Lan không dây (WLAN) sử dụng chuẩn 802.1x kết hợp

với xác thực người dùng trên Access Point. Một máy chủ thực hiện việc xác thực

trên nền tảng RADIUS có thể là một giải pháp tốt cung cấp xác thực cho chuẩn

802.1x. Trong phần này sẽ giới thiệu cách thức làm việc của RADIUS và vì sao

phải cần thiết máy chủ RADIUS để hỗ trợ việc xác thực cho WLAN.



4.2.1 Xác thực, cấp phép và thanh toán:

Giao thức RADIUS cung cấp xác thực tập trung, cấp phép và điều khiển truy

cập (Authentication, Authorization, và Accounting - AAA) cho các phiên làm việc

với SLIP và PPP Dial0up – như việc cung cấp xác thực của các nhà cung cấp dịch

vụ Internet (IPS) đều dựa trên giao thức này để xác thực người dùng khi họ truy

cập Internet.

Khi một user kết nối, NAS sẽ gửi một thông báo yêu cầu kết nối dạng

RADIUS đến máy chủ AAA Server, chuyển các thông tin như username và

password, thông qua một port xác định, NAS Identify, và một thông báo xác thực.

Sau khi nhận được các thơng tin máy chủ AAA sử dụng các gói tin được

cung cấp, NAS ID và thông báo xác thực để thẩm định lại việc NAS đó có được

phép gửi các u cầu đó khơng. Nếu được, máy chủ AAA sẽ tìm kiểm tra thơng tin

tên và mật khẩu mà người dùng yêu cầu truy cập trong cơ sở dữ liệu. Nếu q trình

kiểm tra các thơng tin trong gói yêu cầu truy cập là đúng thì NAS sẽ cấp quyền

truy cập cho người dùng.

Trong quá trình chứng thực, máy chủ có thể sẽ trả về một bản tin RADIUS

Access-Challenge (RADIUS thách thức truy cập) mang một số ngẫu nhiên. NAS

sẽ chuyển thông tin đến người dùng từ xa (CHAP). Khi đó người dùng sẽ phải trả

lời đúng các yêu cầu xác nhận, sau đó NAS sẽ chuyển tới một thông báo yêu cầu

truy cập (RADIUS Access-Request).

39



Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng và cho

phép sử dụng dịch vụ, nó sẽ trả về một thông báo chấp nhận truy cập (RADIUS

Access-Accept). Nếu không thoả mãn máy chủ sẽ trả về một bản tin chối truy nhập

(RADIUS Access-Reject) và NAS sẽ ngắt kết nối với người dùng.

Khi một gói tin chấp nhận truy nhập được nhận và chế độ kiểm toán của

RADIUS (RADIUS Accounting) đã được thiết lập, NAS sẽ gửi một gói tin yêu cầu

kiểm toán-RADIUS Accounting-Request (start) tới máy chủ AAA. Máy chủ sẽ

thêm các thông tin vào tập tin log của nó và phản hồi lại yêu cầu, với việc NAS sẽ

cho phép phiên làm việc với người dùng bắt đầu khi nào, và kết thúc khi nào,

RADIUS kiểm toán làm nhiệm vụ ghi lại quá trình xác thực của người dùng vào hệ

thống, khi kết thúc phiên làm việc NAS sẽ gửi một bản tin RADIUS AccountingRequest (stop).

-



-



4.2.2 Sự an tồn và mở rộng:

Tất cả các thơng báo của RADIUS đều được đóng gói bởi gói dữ liệu người dùng

UDP, nó bao gồm các thơng tin như: kiểu thơng báo (message type), số thứ tự

(sequence number), độ dài (lengh), xác thực (Authenticator), và các giá trị thuộc

tính (Attribute-Value)

Xác thực (Authenticator): tác dụng của xác thực là cung cấp một chế độ bảo mật.

NAS và máy chủ AAA sử dụng xác thực (Authenticator) để hiểu được các thông

tin đã được mã hoá của nhau (mật khẩu).



40



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Trong một mạng không dây, khi một máy tính mới muốn gia nhập vào mạng không dây, nó cần phải kết nối với AP. Để chứng thực máy tính xin kết nối đó, có nhiều phương pháp AP có sử dụng như RADIUS,EAP...

Tải bản đầy đủ ngay(0 tr)

×