Tìm hiểu về hệ mật mã máy tính, mô hình hóa quá trình xác thực RADIUS (LDAP) trên mạng wifi

Song song với việc xây dựng n/n tảng v/ công nghệ thông tin, cũng như phát triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa h-c, giáo dục, xã hội,.... Mục đích nghiên cứu của

TRƯỜNG ĐẠI HỌC ĐẠI NAM

Học phần: AN TOÀN DỮ LIỆU

ĐỀ TÀI (SỐ 8): Tìm hiểu về hệ mật mã máy tính, mô hình

hóa quá trình xác thực RADIUS (LDAP) trên mạng WiFi

Giảng viên hướng dẫn : Mạc Văn Quang Sinh viên thực hiện(nhóm 2): -Nguyễn Văn Dũng

-Bùi Khánh Duy

-Phan Tiến Đức-Khương Bá Duy

Hà nội, ngày 08 tháng 10 năm 2020

MỤC LỤC

L* do ch-n đ/ t1i……… 3Mục đích nghiên cứu của đ/ t1i……….3Lời mở đầu……… 4

Chương I: Tổng quan về hệ mật mã máy tính……… 5 Chương II: Phân loại hệ mật mã……6

2.1 Mã hóa đối xứng cổ điển………62.2 Mã hóa đối xứng hiện đại………61.2 Mã hóa đối xứng công khai ………7

Chương III: Mô hình hóa quá trình xác thực RADIUS (LDAP) trên mạng WiFi 8

3.1 Tìm hiểu v/ RADIUS( Remote Authentication Dial-In User Service)… 83.2 Tìm hiểu LDAP v1 phương thức hoạt động:……… 9

Chương IV Xác thực RADIUS trên mạng wifi:………10

Lý do chọn đề tài:

Thông tin có vai trò v1 giá trị ng1y c1ng to lớn Công nghệ thông tin xâm nhậpv1o hầu hết các hoạt động trong xã hội Song song với việc xây dựng n/n tảng v/ công nghệ thông tin, cũng như phát triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa h-c, giáo dục, xã hội, thì việc bảo vệ những th1nh quả

đó l1 một đi/u không thể thiếu Trong khi công nghệ mạng v1 Internet mang lạinhi/u cơ hội phát triển v1 cạnh tranh mới cho các tổ chức thì cũng l1 lúc nó l1m dấy lên nhu cầu cần phải bảo vệ hệ thống máy tính trước các đe d-a v/ bảo mật Tuy nhiên, để thực sự thấy rõ yêu cầu cấp bách của mã hóa trong thời đại ng1y nay, cần nhấn mạnh rằng với các phương tiện kỹ thuật hiện đại việc giữ

bí mật ng1y c1ng trở nên hết sức khó khăn Vì thế, nhóm em ch-n đ/ t1i “Tìm hiểu v/ hệ mật mã máy tính; mô hình hóa quá trình xác thực RADIUS (LDAP) trên mạng WiFi” để tìm hiểu

Mục đích nghiên cứu của đề tài:

Tiểu luận nêu lên được một cách khái quát nhất v/ hệ mật mã máy tính, mô hình hóa quá trình xác thực RADIUS (LDAP) trên mạng WiFi

Lời mở đầu:

Ng1y nay, với sự phát triển mạnh mẽ của công nghệ thông tin việc ứng dụng các công nghệ mạng máy tính trở nên vô cùng phổ cập v1 cần thiết Công nghệmạng máy tính đã mang lại những lợi ích to lớn cho quá trình trao đổi thông tingiữa các nhóm người dùng Bảo mật an to1n dữ liệu l1 vấn đ/ thời sự, l1 một chủ đ/ rộng có liên quan đến nhi/u lĩnh vực v1 trong thực tế có nhi/u phương pháp được thực hiện để bảo vệ an to1n dữ liệu Ng1y nay với sự phát triển nhanh chóng của công nghệ thông tin thì các nguy cơ xâm nhập v1o các hệ thống thông tin, mạng dữ liệu ng1y c1ng gia tăng

Trong mật mã vấn đ/ bảo mật thông tin luôn đi đôi với vấn đ/ xác thực thông tin, đặc biệt trong hệ thống mã khóa công khai vấn đ/ xác thực l1 vô cùng quan tr-ng Để giải quyết việc xác thực, người ta đưa ra một cách vừa đơn giảnvừa hiệu quả l1 sử dụng chữ k* số Việc sử dụng chữ k* số ng1y c1ng có nhi/

u ứng dụng trong thực tế, không chỉ giới hạn trong ng1nh Công nghệ thông tin, ng1nh Mật mã m1 còn được áp dụng trong một số lĩnh vực khác như ngân h1ng để xác thực người gửi v1 người nhận, cùng bưu chính viễn thông để sử dụng các thẻ thông minh

Chương I Tổng quan về hệ mật mã máy tính:

Mật mã h-c l1 một lĩnh vực liên quan đến các kỹ thuật ngôn ngữ v1 toán h-c đểđảm bảo an to1n thông tin, cụ thể l1 trong thông tin liên lạc Trong lịch sử, mật

mã h-c gắn li/n với quá trình mã hóa, đi/u n1y có nghĩa l1 nó gắn với các cáchthức để chuyển đổi thông tin từ dạng n1y sang dạng khác nhưng ở đây l1 từdạng thông tin có thể nhận thức được th1nh dạng không nhận thức được, l1mcho thông tin trở th1nh dạng không thể đ-c được nếu như không có các kiếnthức bí mật Quá trình mã hóa được sử dụng chủ yếu để đảm bảo tính bí mậtcủa các thông tin quan tr-ng, chẳng hạn trong công tác tình báo, quân sự hayngoại giao cũng như các bí mật v/ kinh tế, thương mại Trong những năm gầnđây, lĩnh vực hoạt động của mật mã hóa đã được mở rộng: mật mã hóa hiện đạicung cấp cơ chế cho nhi/u hoạt động hơn l1 chỉ duy nhất việc giữ bí mật v1 cómột loạt các ứng dụng như: chứng thực khóa công khai, chữ k* số, bầu cử điện

tử hay ti/n điện tử Ngo1i ra, những người không có nhu cầu thiết yếu đặc biệtv/ tính bí mật cũng sử dụng các công nghệ mật mã hóa, thông thường đượcthiết kế v1 tạo lập sẵn trong các cơ sở hạ tầng của công nghệ tính toán v1 liênlạc viễn thông

Mật mã h-c l1 một lĩnh vực liên ng1nh, được tạo ra từ một số lĩnh vực khác.Các dạng cổ nhất của mật mã hóa chủ yếu liên quan với các kiểu mẫu trongngôn ngữ Gần đây thì tầm quan tr-ng đã thay đổi v1 mật mã hóa sử dụng v1gắn li/n nhi/u hơn với toán h-c, cụ thể l1 toán h-c rời rạc, bao gồm các vấn đ/liên quan đến l* thuyết số, l* thuyết thông tin, độ phức tạp tính toán, thống kêv1 tổ hợp Mật mã hóa l1 công cụ được sử dụng trong an ninh máy tính v1mạng

Chương II Phân loại hệ mật mã :

2.1 Mã hóa đối xứng cổ điển

- Mã hoá cổ điển l1 phương pháp mã hoá đơn giản nhất xuất hiện đầu tiên trong lịch sử ng1nh mã hoá

- Thuật toán đơn giản v1 dễ hiểu

- Những phương pháp mã hoá n1y l1 cở sở cho việc nghiên cứu v1 phát triển thuật toán mã hoá đối xứng được sử dụng ng1y nay

-Trong mã hoá cổ điển có hai phương pháp nổi bật đó l1:

Mã hoá thay thế k* tự: thay thế các k* tự trên bản rõ bằng các k* tự kháctrên bản mã

Mã hoá hoán vị: thay đổi vị trí các k* tự trong bản rõ, tức l1 thực hiện hoán vị các k* tự của bản rõ

- M-i mã cổ điển đ/u l1 mã đối xứng

2.2 Mã hóa đối xứng hiện đại

- Mã DES: Đây l1 kiểu mã được sử dụng rộng rãi nhất của các thuật toán mãhoá Đồng thời nó cũng được sử dụng kết hợp với các thủ tục khác nhằm cung cấp cácdịch vụ an to1n v1 xác thực Đây l1 kiểu mã được sử dụng rộng rãi nhất của các thuậttoán mã hoá Đồng thời nó cũng được sử dụng kết hợp với các thủ tục khác nhằm cungcấp các dịch vụ an to1n v1 xác thực

- Mã AES: Giống như DES, mã hóa AES l1 một mã khối gồm nhi/u vòng.Khác với DES, mã hóa AES không phải l1 một mã hóa Feistel Thuật toán AES kháphức tạp, ở đây chúng ta chỉ nêu ra một số đặc điểm chính của AES

Cho phép lựa ch-n kích thước khối mã hóa l1 128, 192 hay 256 bít

Cho phép lựa ch-n kích thước của khóa một cách độc lập với kích thướckhối: l1 128, 192 hay 256 bít

Số lượng vòng có thể thay đổi từ 10 đến 14 vòng tùy thuộc v1o kích thước khóa.

Độ an to1n của AES l1m cho AES được sử dụng ng1y c1ng nhi/u v1 trong tương lai sẽ chiếm vai trò của DES v1 Triple DES

2.3 Mã hóa đối xứng công khai

- Mật mã hóa khóa công khai l1 một dạng mật mã hóa cho phép người sử dụngtrao đổi các thông tin mật m1 không cần phải trao đổi các khóa chung bí mật trước đó.Đi/u n1y được thực hiện bằng cách sử dụng một cặp khóa có quan hệ toán h-c với nhaul1 khóa công khai v1 khóa cá nhân (hay khóa bí mật)

- Hệ thống mật mã hóa khóa công khai có thể sử dụng với các mục đích:

Mã hóa: giữ bí mật thông tin v1 chỉ có người có khóa bí mật mới giải

Chương III Mô hình hóa quá trình xác thực

RADIUS (LDAP) trên mạng WiFi:

3.1 Tìm hiểu về RADIUS( Remote Authentication Dial-In User Service ) :

- Remote Authentication Dial-In User Service (RADIUS) l1 một giao thứcmạng, hoạt động trên cổng mặc định l1 UDP 1812 cung cấp quản l* xác thực tập trung(Authentication), phân quy/n (Authorization) v1 tính cước (Accounting) (AAA) chongười dùng kết nối v1 sử dụng dịch vụ mạng RADIUS được Livingston Enterprises,Inc phát triển v1o năm 1991 dưới dạng giao thức tính cước v1 xác thực truy cập, sau

đó được đưa v1o các tiêu chuẩn của Internet Engineering Task Force (IETF)

- RADIUS rất phổ biến, được sử dụng rộng rãi, nó thường được các nh1 cungcấp dịch vụ Internet (ISP) v1 doanh nghiệp sử dụng để quản l* truy cập Internet hoặcmạng nội bộ, mạng không dây v1 dịch vụ email tích hợp Các mạng n1y có thể kết hợpmodem, đường dây thuê bao kỹ thuật số (DSL), điểm truy cập, mạng riêng ảo (VPN),cổng mạng, máy chủ web, v.v

- RADIUS l1 giao thức máy khách / máy chủ chạy trên lớp ứng dụng(Application Layer) v1 có thể sử dụng TCP hoặc UDP l1m phương thức vận chuyển.RADIUS thường l1 lựa ch-n đầu cuối cho xác thực 802.1X

- RADIUS thường chạy như một dịch vụ trên máy chủ UNIX hoặc Microsoft Windows

- Hạn chế của RADIUS: Giao thức RADIUS đã được chứng minh l1 giúp tăngkhả năng kiểm soát v1 bảo mật mạng, nhưng không phải không có những thách thứcnhất định Ví dụ, trước đây, RADIUS l1 một triển khai tại chỗ (on-prem) yêu cầu hiệuquả cơ sở hạ tầng quản l* nhận dạng tại chỗ để vận h1nh (ví dụ: hệ thống, máy chủ,router, switch, v.v ) Thiết lập n1y có thể khó khăn v1 tốn kém Hơn nữa, cơ sở hạtầng quản l* danh tính tại chỗ chủ yếu tập

trung v1o Microsoft Windows, với Microsoft Active Directory (AD) đóng vai trò l1 identity provider chính.

3.2 Tìm hiểu LDAP và phương thức hoạt động :

- Ldap l1 gì? The Lightweight Directory Access Protocol (LDAP) l1 một giao thức ứng dụng trung lập với nh1 cung cấp Được sử dụng để duy trì thông tin thư mục phân tán theo cách có tổ chức, dễ truy vấn Đi/u đó có nghĩa l1 nó cho phép bạn giữ một thư mục các mục v1 thông tin v/ chúng LDAP lưu trữ dữ liệu n1y bằng các bản ghi có chứa một tập các thuộc tính Hãy nghĩ v/ các thuộc tính như các trường trong cơ

sở dữ liệu Bản thân bản ghi có một mã định danh duy nhất Distinguished Name (Tên phân biệt) theo cách nói LDAP Thường được xem l1 ‘DN’, đây l1 bit duy nhất của mỗi mục Giống như đường dẫn đến tệp trên hệ thống tệp của bạn Hoặc có lẽ chính xác hơn tương tự như một địa chỉ đường phố Vì các địa chỉ bưu chính bắt đầu bằng bit

cụ thể nhất trước tiên (số nh1, v.v.), cũng như các DN Mỗi thuộc tính khác trong bản ghi có một tên v1 một loại, cũng như một hoặc nhi/u giá trị

- LDAP hoạt động theo mô hình l1 client–server Một hay nhi/u LDAP server chứa các thông tin v/ cây thư mục (Directory Information Tree – DIT) Client kết nối đến server v1 gửi đi yêu cầu Server phản hồi lại bằng chính nó hoặc trỏ tới LDAP server khác để client lấy được thông tin Trình tự khi có kết nối với LDAP l1:

Connect (kết nối với LDAP): client sẽ mở kết nối tới LDAP serverBind (kiểu kết nối: ẩn danh hoặc đăng nhập xác thực): client gửi đi các thông tin xác thực

Search (tìm kiếm): client gửi đi yêu cầu tìm kiếmInterpret search (xử l* tìm kiếm): server thực hiện việc xử l* tìm kiếmResult (kết quả): máy chủ trả lại kết quả cho client

Unbind: client gửi đi yêu cầu đóng kết nối tới server

9

Chương IV Xác thực RADIUS trên mạng wifi:

⇒ Mục đích: dùng để xác thực các kết nối tin cậy v1o hệ thống, có độ an to1n cao Mỗi user sẽ được cấp 1 t1i khoản khi sử dụng wifi, vì vậy sẽ đảm bảo được tốc độ truy cập internet v1 tính an to1n của hệ thống

* Các bước thực hiện :

⇒ Yêu cầu hệ thống:

Trong hệ thống sử dụng Domain (đã nâng cấp Active Diretory)

Radius server đã join domain hoặc sử dụng máy DC c1i dịch vụ

⇒ Máy đã nâng cấp lên Domain

A Cấu hình trên máy server Radius

⇒ Phần nâng cấp AD l1 bắt buộc, mình không đ/ cập lại quá trình c1i đặt nha, mình dùng chính máy Domain để c1i tiếp các dịch vụ cần thiết

1 Cài đặt, cấu hình Active Diretory Certificate Services (CA)

1.1 Cài đặt CA

V1o server manager → add roles and features

Hộp thoại select server role xuất hiện, tick v1o Active Directory Certification server → ch-n Add Feature → next → next.

Hộp thoại role services xuất hiện, tick v1o Certification Authority → next→next

Hộp thoại confirm installation selection xuất hiện, ch-n install để c1i đặt, sau khi c1i xong nhấn Close

1.2 Tạo CA mới

Sau khi c1i đặt xong ở Server Manager bạn thấy dấu chấm than bên góc trên bên tay phải, bạn click v1o dấu chấm than, Ch-n Configure Active Directory Certificate Server On th…

Ch-n next đến khi hộp thoại Role Services xuất hiện, ch-n Certification Authority , next … Mặc định

Hộp thoại Cryptography xuất hiện, ch-n kiểu mã hóa SHA1,next

Các bước còn lại giữ nguyên theo mặc định, cuối cùng ch-n Close

1.3 Cấu hình xác thực CA

V1o Start,nhập MMC v1 nhấn Enter.

Trên cửa sổ MMC, ch-n File → Add/Remove Snap-in, ch-n Certificates, ch-n Add.

Ch-n Computer account, kích Next.

Ch-n Local computer, kích Finish v1 kích OK

Mở Certificates (Local Computer Account), mở Personal, kích phải Certificates v1 ch-n All Tasks → Request New Certificate

Tiếp tục nhấn next → next → ch-n Domain Controller → Eroll

Ch-n Finish để ho1n tất cấu hình cấp CA

2 Cài đặt và cấu hình NAP (network Policy and Access Services)

2.1 Cài đặt NAP

v1o Server Manager → Add Roles and Features → ch-n Network Policy and Access Services Hộp thoại Add Role And Feature Wizard xuất hiện ch-n Add Features → Next → next để tiếp tục.

Hộp thoại Role Services xuất hiện, ch-n Network Policy Server v1 Health Registration Authority, tiếp tục nhấn next

Hộp thoại Certification Authority xuất hiện ch-n : Use the local CA toissue heath certificates for this HRA server sau đó bấm Next để quabước tiếp theo

Hộp thoại Authentication Requirements xuất hiện ch-n No, allowanonymous requests for heath certificates v1 ch-n Next để qua bước tiếptheo.

Hộp thoại Server Authentication Certificate xuất hiện ch-n Choose anexisting certificate for SSL encryption ( recommended ) v1 ch-n Next đểqua bước tiếp theo

Hộp thoại Confirm Installation Selections xuất hiện Ch-n Install, sau khic1i xong ch-n Close.

2.2 Tạo user và group để cho phép sử dụng dịch vụ CA

V1o Tools → Acti Directory User and Computers để tạo, ở đây mình đã

tạo group WIFI RADIUS add các user v1o

2.3 Cấu hình NAP

Tại Server Manager click ch-n NAP, sau đó click chuột phải v1o AD 192.168.137.250 – Online – Performance… Ch-n Network Policy Server để v1o cấu hình NAP

Hộp thoại Network Policy Server xuất hiện tại Standard Configuration

bạn xổ drop down list ra ch-n RADIUS server for 802.1X Wireless or

Wired Connections → chọn Configure 802.1X

Hộp thoại 802.1X Connections Type xuất hiện: Tick ch-n Seucre Wiresless Connections v1 đặt tên cho Policy Sau khi ch-n v1 đi/n xong bạn nhấn Next để qua bước tiếp theo

Hộp thoại Specify 802.1X Switches xuất hiện bạn ch-n Add để Add Radius client

Lưu ý: Radius client ở đây chính l1 access point của bạn Nếu bạn có 1 access

point thì bạn add 1 cái, bạn có 2 thì add 2, … nếu bạn không add v1o thì accesspoint của bạn cho dù cố tình trở v/ RADIUS Server cũng không sử dụng được Sau khi click Add… hộp thoại New RADIUS Client xuất hiện, bạn cần l1m như sau:

Sau khi add RADIUS Client xong bạn bấn Next để qua bước tiếp theo.

Hộp thoại Cofigure an Authentication method ch-n kiểu mã hóa l1 EAP-MSCHAP v2

Hộp thoại Specify User Groups xuất hiện bạn bấn v1o Add… để Add group cho phép sử dụng 802.1X chứng thực wifi Mình add Group

“WIFI RADIUS” vừa tạo ở bước trên v1o, nhấn next.

Hộp thoại Completing New 802.1X Secure Wired and Wireless Connections and RADIUS clients xuất hiện bạn ch-n Finish để ho1n tất.

B Cấu hình trên Unifi controller

2 Tạo profile Radius

Profile name: tên profileVlan Suport: cấu hình Vlan trong radiusRadius Auth Server

a Ip Address: “IP Radius server”, của mình l1 192.168.100.2

Sau khi tạo xong profile ta ch-n profile để áp dụng

III Test kết quả

1 Máy Client kết nối wifi radius

2 Nhập user và password để xác thực

3 Máy client truy cập internet thành công

Chương III: Kết luận

Sau khi thực hiện xong đ/ t1i, cũng đã hiểu được tổng quan v/ hệ thống hệ mật

mã máy tính, mô hình hóa quá trình xác thực RADIUS (LDAP) trên mạngWiFi Đặc biệt hiểu rõ được cơ chế, tầm quan tr-ng của bảo mật không dâybằng chứng thực RADIUS