Bảo mật mạng WLAN bằng chứng thực RADIUS

Bảo mật mạng WLAN bằng chứng thực RADIUS Mục tiêu của đề tài Nắm được các kiến thức cơ bản về mạng không dây. Tìm hiểu được các hình thức tấn công cũng như bảo mật mạng không dây cơ bản. Tìm hiểu và hiểu được rõ cơ chế, tầm quan trọng của bảo mật mạng không dây bằng chứng thực Radius . Thực hành cấu hình các kiểu chứng thực, mã hóa, cũng như bảo mật Wireless Access Point.

MỤC LỤC

DANH MỤC HÌNH VẼ 4

CÁC THUẬT NGỮ ĐƯỢC SỬ DỤNG 6

CHƯƠNG 1 TỔNG QUAN VỀ ĐỀ TÀI 8

1.1 Lý do chọn đề tài 8

1.2 Mục tiêu của đề tài 9

1.3 Giới hạn và phạm vi của đề tài 9

1.4 Kết quả dự kiến 9

CHƯƠNG 2 CƠ SỞ LÝ THUYẾT 10

2.1 Tổng quan về WLAN 10

2.1.1 Mạng WLAN là gì? 10

2.1.2 Lịch sử hình thành và phát triển 10

2.1.3 Ưu điểm của WLAN 11

2.1.4 Nhược điểm 11

2.2 Cơ sở hạ tầng WLAN 12

2.2.1 Cấu trúc cơ bản của WLAN 12

2.2.2 Thiết bị dành cho WLAN 13

2.2.3 Các mô hình WLAN 17

2.2.3.1 Mô hình mạng độc lập 17

2.2.3.2 Mô hình mạng cơ sở (BSSs) 18

2.2.3.3 Mô hình mạng mở rộng (ESSs) 19

2.3 Các hình thức tấn công phổ biến trong WLAN 20

2.3.1 Rogue Access Point 21

2.3.1.1 Định nghĩa 21

2.3.1.2 Phân loại 21

2.3.1.3 Access Point được cấu hình không hoàn chỉnh: 21

2.3.1.4 Access Point giả mạo từ các mạng WLAN lân cận 21

2.3.1.5 Access Point giả mạo do kẻ tấn công tạo ra 22

2.3.2 Tấn công yêu cầu xác thực lại 24

2.3.3 Face Access Point 24

2.3.4 Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý 25

2.3.5 Tấn công ngắt kết nối 26

2.4 Các giải pháp bảo mật WLAN 27

2.4.1 WEP 29

2.4.2 WLAN VPN 29

2.4.3 TKIP (Temporal Key Integrity Protocol) 30

2.4.4 AES 30

2.4.5 802.1X và EAP 31

2.4.6 WPA (WI-FI Protected Access) 32

2.4.7 WPA2 33

2.4.8 LỌC (Filltering) 34

2.5 Kết luận 36

2.6 Giao thức RADIUS 37

2.6.1 Tổng quan về giao thức RADIUS 37

2.6.2 Giới thiệu 37

2.6.3 Tính chất của RADIUS 38

2.6.4 Giao thức RADIUS 1 39

2.6.4.1 Cơ chế hoạt động 39

2.6.4.2 Dạng gói của packet 40

2.6.4.3 Packet type (kiểu packet) 43

2.6.5 Giao thức RADIUS 2 49

2.6.5.1 Cơ chế hoạt động 49

2.6.5.2 Packet Format 50

2.6.6 Phương pháp mã hóa và giả mã 50

2.7 RADIUS SERVER 51

2.7.1 Tổng quan 51

2.7.2 Xác thực- cấp phép và kiểm toán 52

2.7.3 Sự bảo mật và tính mở rộng 53

2.7.4 Áp dụng RADIUS cho WLAN 54

2.7.5 Các tùy chọn bổ sung 55

CHƯƠNG 3: NỘI DUNG THỰC HIỆN 56

3.1 Phân tích và thiết kế hệ thống chứng thực bảo mật WLAN với RADIUS 56

3.1.1 Giới thiệu 56

3.1.2 Yêu cầu hệ thống 56

3.1.2.2 Phần mềm 56

3.2 Quy trình cài đặt và triển khai 57

3.2.1 Cài đặt và cấu hình DHCP 57

3.2.1.1 Cài đặt DHCP 57

3.2.1.2 Cấu hình DHCP 57

3.2.2 Cài Enterprise CA và Request Certificate từ CA Enterprite Server 58

3.2.2.1 Cài đặt Enterprise CA 58

3.2.2.2 Request Certificate từ CA Enterprite Server 58

3.2.3 Tạo user, cấp quyền Remote Access cho users và chuyển sang Native Mode.59 3.2.3.1 Tạo OU có tên “wifi” 59

3.2.3.2 Chuyển sang Native Mode 61

3.2.4 Cài đặt và cấu hình RADIUS, tạo Remote Access Policy 61

3.2.4.1 Cài đặt RADIUS 61

3.2.4.2 Cấu hình RADIUS 61

3.2.4.3 Tạo Remove Access Policy 63

3.2.5 Cấu hình AP 68

3.2.6 Cấu hình Wireless Client 69

3.2.7 Demo 73

CHƯƠNG 4: KẾT LUẬN 74

4.1 Kết quả đạt được 74

4.2 Hạn chế và hướng phát triển của đề tài 74

TÀI LIỆU THAM KHẢO 75

DANH MỤC HÌNH V

Hình 2 1 Cấu trúc cơ bản của WLAN 13

Hình 2 2 Thiết bị Wireless AccessPoint 13

Hình 2 3 AP hoạt động ở root mode 14

Hình 2 4 Chế độ cầu nối của AP 15

Hình 2 5 Chế độ Repeater của AP 15

Hình 2 6 Thiết bị Wireless Router 16

Hình 2 7 Wireless NICs 17

Hình 2 8 Mô hình mạng Ad- hoc 18

Hình 2 9 Mô hình mạng BSS chuẩn 19

Hình 2 10 Mô hình mạng ESS 20

Hình 2 11 Tấn công Man-In-The-Middle 23

Hình 2 12 Mô hình tấn công “yêu cầu xác thực lại” 24

Hình 2 13 Mô hình tấn công Fake AccessPoint 25

Hình 2 14 Mô hình tấn công ngắt kết nối 26

Hình 2 15 Truy cập trái phép mạng không dây 28

Hình 2 16 Mô hình WLAN VPN 30

Hình 2 17 Mô hình hoạt động xác thực 802.1x 31

Hình 2 18 Tiến trình xác thực MAC 35

Hình 2 19 Lọc giao thức 36

Hình 2 20 Escalating Security 37

Hình 2 21 Packet Format 41

Hình 2 22 Access-request Packet Format 44

Hình 2 23 Access-accept Packet Format 44

Hình 2 24 Access-reject packet format 45

Hình 2 25 Access-challenge Packet Format 46

Hình 2 26 Attributes type 46

Hình 2 27 Mô hình xác thực sử dụng RADIUS Server 52

Hình 3 2 Các thông số cấu hình Enterprise CA……… …

58Hình 3 3 Kết quả sau khi đã Request Certificate từ CA Enterprise Server……… …

59Hình 3 4 Tạo OU, User và Group……… …

60Hình 3 5 Chuyển domain sang Native mode……… …

61Hình 3 6 Cấu hình RADIUS……… …

62Hình 3 7 Tạo mới RADIUS Client………

63Hình 3 8 Tạo mới Remote Access Policy……… ……

64Hình 3 9 Access Mote là “Wireless”……… ……

65Hình 3 10 User or Group Access……… …

65Hình 3 11 Tạo mới Remote Access Policy………

66Hình 3 12 Kết quả tạo Remote Access Policy………

66Hình 3 13 Cấu hình quản lý truy cập từ xa cho User………

67Hình 3 14 Cấu hình AP………

68Hình 3 15 Cấu hình SSID, kiểu chứng thực và mã hóa………

69Hình 3 16 Cấu hình chứng thực………

70

Hình 3 17 Cấu hình kiểu kết nối và phương pháp chứng thực………

71Hình 3 18 Kết quả cấu hình Wireless Network cho client……… …

72Hình 3 19 Cửa sổ đăng nhập chứng thực cho client……… ……

73

CÁC THUẬT NGỮ ĐƯỢC SỬ DỤNG

ADSL Asymmetric Digital Subscriber

Line

Mạng thuê bao không đồng bộ

AES Advanced Encryption Standard Chuẩn mã hóa nâng cao

CCK Complementary Code Keying Khóa mã bổ xung

CDMA Code Divison Multiple Access Đa truy nhập phân chia theo

mãCPE Customer Premises Equipment Thiết bị tại nhà của khách

hàngCSMA/CA Carrier Sense Multiple Access/

Collision Avoidance

Đa truy xuất cảm biến mangtránh xung đột

DHCP Dynamic Host Configuration

ESS Extended Service Set Bộ dịch vụ mở rộng

FDD Frequency Division Duplexing

FDMA Frequency Division Multiple

Viện kĩ thuật điện và điện tử

MAC Media Access Control Điều khiển truy cập môi

trườngNIST National Institute of Standards

PSK Phase Shifp Keying Điều pha

QPSK Quardrature Phase Shift Keying Điều chế khóa dịch pha cầu

phươngRADIUS Remote Authentication Dial_In

User Service

Dịch vụ truy nhập bằng điệnthoại xác nhận từ xa

SSID Service Set Identifiers Bộ nhận dạng dịch vụ

TDD Time Division Duplexing Phân chia theo thời gian

TDMA Time Division Multiple Access Đa truy nhập phân chia theo

thời gianTKIP Temporal Key Integrity Protocol Hàm thay đổi khóa

VPN Virtual Private Network Mạng riêng ảo

WDMZ Wireless DeMilitarized Zone Vùng phi quân sự không dâyWEP Wired Equivalent Privacy

Wi-fi Wireless Fidelity

CHƯƠNG 1 TỔNG QUAN VỀ ĐỀ TÀI 1.1 Lý do chọn đề tài

Trong thời gian gần đây chúng ta thường nghe nói về Wi-Fi và Internet khôngdây Thực ra Wi-Fi không chỉ được dùng để kết nối Internet không dây mà còn dùng

để kết nối hầu hết các thiết bị tin học và viễn thông quen thuộc như máy tính, máy in,PDA, điện thoại di động mà không cần dây cáp nối, rất thuận tiện cho người sử dụng

Mạng không dây là một trong những bước tiến lớn của ngành máy tính Truycập Internet trở thành nhu cầu quen thuộc với mọi người

Tuy nhiên để có thể kết nối Internet người sử dụng phải truy cập Internet từmột vị trí cố định thông qua một máy tính kết nối vào mạng Điều này đôi khi gây rarất nhều khó khăn cho những người sử dụng khi đang di chuyển hoặc đến một nơikhông có điều kiện kết nối vào mạng

Xuất phát từ yêu cầu mở rộng Internet, WLAN đã được nghiên cứu và triểnkhai ứng dụng trong thực tế, với những tính năng hỗ trợ đáp ứng được băng thông,

việc sử dụng công nhệ Internet không dây Wi-Fi cho phép mọi người truy cập lấythông tin ở bất kỳ vị trí nào như bến xe, nhà ga, sân bay,…

Với rất nhiều lợi ích và sự truy cập công cộng như vậy, nhưng vấn đề bảo mậtluôn làm đau đầu các nhà sản xuất, các tổ chức và cá nhân người sử dụng Vì phươngtiện truyền tin của WLAN là sóng vô tuyến và môi trường truyền tin là không khí,thiết bị thu chỉ cần nằm trong vùng phủ sóng là có có khả năng truy cập vào mạng.Điều này dẫn đến vấn đề nghiêm trọng về bảo mật mạng WLAN Chính vì vậy, em đã

chọn đề tài “Bảo mật mạng WLAN bằng chứng thực RADIUS” để làm đề tài cho đồ

án

Trong quá trình thực hiện đề tài, do hạn chế về thời gian và lượng kiến thứccũng như kinh nghiệm thực tế nên không tránh khỏi những thiếu sót Kính mong sựđóng góp ý kiến của thầy cô và các bạn để bài báo cáo của em được hoàn thiện hơn

1.2 Mục tiêu của đề tài

 Nắm được các kiến thức cơ bản về mạng không dây

 Tìm hiểu được các hình thức tấn công cũng như bảo mật mạng không dây cơ bản

 Tìm hiểu và hiểu được rõ cơ chế, tầm quan trọng của bảo mật mạng không dâybằng chứng thực Radius

 Thực hành cấu hình các kiểu chứng thực, mã hóa, cũng như bảo mật WirelessAccess Point

1.3 Giới hạn và phạm vi của đề tài

Ứng dụng kết quả nghiên cứu được cùng với kiến thức về bảo mật mạng khôngdây bằng chứng thực RADIUS để triển khai hệ thống trên quy mô nhỏ

1.4 Kết quả dự kiến

 Tìm hiểu được lý thuyết về mạng WLAN bằng chứng thực RADIUS

 Cài đặt và cấu hình triển khai hệ thống xác thực RADIUS trên windows 2003

 CD chứa video cài đặt và cấu hình và các báo cáo trong quá trình thực hiện

CHƯƠNG 2 CƠ SỞ LÝ THUYẾT 2.1.Tổng quan về WLAN

2.1.1.Mạng WLAN là gì?

Mạng LAN không dây viết tắt là WLAN (Wireless Local Area Network) hayWIFI (Wireless Fidelity), là một mạng dùng để kết nối hai hay nhiều máy tính vớinhau mà không sử dụng dây dẫn WLAN dùng công nghệ trải phổ, sử dụng sóng vôtuyến cho phép truyền thông giữa các thiết bị trong một vùng nào đó gọi là BasicService Set

Đây là một giải pháp có rất nhiều ưu điểm so với kết nối mạng có dây(wireline) truyền thống Người dùng vẫn duy trì kết nối với mạng khi di chuyển trongvùng phủ sóng

2.1.2.Lịch sử hình thành và phát triển.

Năm 1990, công nghệ WLAN lần đầu tiên xuất hiện, khi những nhà sản xuất

có sự thống nhất của các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mbs, thấp hơnrất nhiều so với tốc độ 10 Mbs của hầu hết các mạng sử dụng cáp lúc đó.

Năm 1992, các nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băngtần 2.4GHz Mặc dù những sản phẩm này có tốc độ truyền cao hơn nhưng chúng vẫnchỉ là những giải pháp riêng của mỗi nhà sản xuất và không được công bố rộng rãi Sựcần thiết cho việc thống nhất hoạt động giữa các thiết bị ở những dãy tần số khác nhaudẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây

Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã thôngqua sự ra đời của chuẩn 802.11, và được biết đến với tên WIFI (Wireless Fidelity) chocác mạng WLAN

Năm 1999, IEEE thông qua sự bổ sung cho chuẩn 802.11 là chuẩn 802.11a và802.11b (định nghĩa ra những phương pháp truyền tín hiệu) Và các thiết bị WLANdựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây nổi trội

Năm 2003, IEEE công bố thêm sự cải tiến là chuẩn 802.11g, chuẩn này cốgắng tích hợp tốt nhất các chuẩn 802.11a, 802.11b và 802.11g Sử dụng băng tần2.4Ghz cho phạm vi phủ sóng lớn hơn

Năm 2009, IEEE cuối cùng cũng thông qua chuẩn WIFI thế hệ mới 802.11nsau 6 năm thử nghiệm Chuẩn 802.11n có khả năng truyền dữ liệu ở tốc độ 300Mbpshay thậm chí cao hơn

2.1.3.Ưu điểm của WLAN

 Sự tiện lợi: Mạng không dây cung cấp giải pháp cho phép người sử

dụng truy cập tài nguyên trên mạng ở bất kì nơi đâu trong khu vực WLANđược triển khai (khách sạn, trường học, thư viện…) Với sự bùng nổ của máytính xách tay và các thiết bị di động hỗ trợ wifi như hiện nay, điều đó thật sựrất tiện lợi

 Khả năng di động: Với sự phát triển vô cùng mạnh mẽ của viễn thông

di động, người sử dụng có thể truy cập internet ở bất cứ đâu như: Quán café,thư viện, trường học và thậm chí là ở các công viên hay vỉa hè Người sử dụngđều có thể truy cập Internet miễn phí

 Hiệu quả: Người sử dụng có thể duy trì kết nối mạng khi họ đi từ nơi

này đến nơi khác

 Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, chúng ta

chỉ cần một đường truyền ADSL và một AP là được một mạng WLAN đơngiản Với việc sử dụng cáp, sẽ rất tốn kém và khó khăn trong việc triển khai ởnhiều nơi trong tòa nhà

 Bảo mật: Đây có thể nói là nhược điểm lớn nhất của mạng WLAN, bởi

vì phương tiện truyền tín hiệu là sóng và môi trường truyền tín hiệu là khôngkhí nên khả năng một mạng không dây bị tấn công là rất lớn

 Phạm vi: Như ta đã biết chuẩn IEEE 802.11n mới nhất hiện nay cũng

chỉ có thể hoạt động ở phạm vi tối đa là 150m, nên mạng không dây chỉ phùhợp cho một không gian hẹp

 Độ tin cậy: Do phương tiện truyền tín hiệu là sóng vô tuyến nên việc bị

nhiễu, suy giảm…là điều không thể tránh khỏi Điều này gây ảnh hưởng đếnhiệu quả hoạt động của mạng

 Tốc độ: Tốc độ cao nhất hiện nay của WLAN có thể lên đến 600Mbps

nhưng vẫn chậm hơn rất nhiều so với các mạng cáp thông thường (có thể lên đến hàng Gbps)

2.2.Cơ sở hạ tầng WLAN

2.2.1.Cấu trúc cơ bản của WLAN

 Distribution System (Hệ thống phân phối ): Đây là một thành phần

logic sử dụng để điều phối thông tin đến các station đích Chuẩn 802.11

1 Access Point (AP)

2 Wireless Medium

3 Station

 Access Point (Điểm truy cập): Chức năng chính chủa AP là mở rộng

mạng Nó có khả năng chuyển đổi các frame dữ liệu trong 802.11 thành cácframe thông dụng để có thể sử dụng trong mạng khác Access Point cũng làcầu nối giữa mạng không dây thành mạng có dây

 Wireless Medium (Tầng liên lạc vô tuyến): Chuẩn 802.11 sử dụng tầng

liên lạc vô tuyến để chuyển đổi các frame dữ liệu giữa các máy trạm với nhau

 Station (Các máy trạm): Đây là các thiết bị ngoại vi có hỗ trợ kết nối vô

tuyến như: Laptop, PDA, Palm…

Hình 2 1 Cấu trúc cơ bản của WLAN

2.2.2 Thiết bị dành cho WLAN

khách (client) một điểm truy cập vào mạng AP là một thiết bị song công (Fullduplex) có mức độ thông minh tương đương với một chuyển mạch Ethernetphức tạp (Switch)

Hình 2 2 Thiết bị Wireless AccessPoint

dây, với mạng có dây truyền thống và với các AP khác AP có ba chế độ hoạtđộng chính:

mạng backbone có dây thông qua giao diện có dây (thường là Ethernet) của

nó Hầu hết các AP đều hoạt động ở chế độ mặc định là root mode Khimột AP được kết nối với phân đoạn có dây thông qua cổng Ethernet của

nó, nó sẽ được cấu hình để hoạt động trong root mode Khi ở trong rootmode, các AP được kết nối với cùng một hệ thống phân phối có dây có thểnói chuyện được với nhau thông qua phân đoạn có dây Các Client khôngdây có thể giao tiếp với các Client không dây khác nằm trong những cell (ô

tế bào, hay vùng phủ sóng của AP) khác nhau thông qua AP tương ứng mà

chúng kết nối vào, sau đó các AP này sẽ giao tiếp với nhau thông qua phânđoạn có dây

Hình 2 3 AP hoạt động ở root mode

hoàn toàn như cầu nối không dây Với chế độ này, máy khách (Client) sẽkhông kết nối trực tiếp với AP, nhưng thay vào đó, AP dùng để nối hai haynhiều đoạn mạng có dây lại với nhau Hiện nay, hầu hết các thiết bị AP đều

hỗ trợ chế độ Bridge

Hình 2 4 Chế độ cầu nối của AP

 Chế độ lặp (Repeater mode): Ở chế độ Repeater, sẽ có ít nhất hai thiết

bị AP, một root AP và một AP hoạt động như một Repeater không dây AP

trong Repeater mode hoạt động như một máy khách khi kết nối với root AP

và hoạt động như một AP khi kết nối với máy khách

Hình 2 5 Chế độ Repeater của AP

Ngày nay, với sự tiến bộ của công nghệ và kỹ thuật, sự ra đời của thiết bị đanăng Wireless Router với sự kết hợp chức năng của ba thiết bị là Wireless AccessPoint, Ethernet Switch và Router

 Wireless NICs:

Là các thiết bị được máy khách dùng để kết nối vào AP

Hình 2 7 Wireless NICs

2.2.3.Các mô hình WLAN.

Mạng 802.11 rất linh hoạt về thiết kế, bao gồm 3 mô hình cơ bản sau:

 Mô hình mạng độc lập (IBSSs) hay còn gọi là mạng Ad-hoc

thời gian ngắn Khi mà sự liên lạc kết thúc thì mô hình IBSSs này cũng được giảiphóng.

Hình 2 8 Mô hình mạng Ad- hoc

2.2.3.2.Mô hình mạng cơ sở (BSSs)

The Basic Service Sets (BSS) là một topology nền tảng của mạng 802.11 Cácthiết bị giao tiếp tạo nên một BSS với một AP duy nhất với một hoặc nhiều client Cácmáy trạm kết nối với sóng Wireless của AP và bắt đầu giao tiếp thông qua AP Cácmáy trạm là thành viên của BSS được gọi là “có liên kết”

Thông thường các AP được kết nối với một hệ thống phân phối trung bình(DSM), nhưng đó không phải là một yêu cầu cần thiết của một BSS Nếu một APphục vụ như là cổng để vào dịch vụ phân phối, các máy trạm có thể giao tiếp, thôngqua AP, với nguồn tài nguyên mạng ở tại hệ thống phân phối trung bình Nó cũng cầnlưu ý là nếu các máy client muốn giao tiếp với nhau, chúng phải chuyển tiếp dữ liệuthông qua các AP Các client không thể truyền thông trực tiếp với nhau, trừ khi thôngqua các AP Hình sau mô tả mô hình một BSS chuẩn

Hình 2 9 Mô hình mạng BSS chuẩn

2.2.3.3.Mô hình mạng mở rộng (ESSs)

Trong khi một BSS được coi là nền tảng của mạng 802.11, một mô hình mạng

mở rộng ESS (Extended Service Set) của mạng 802.11 sẽ tương tự như là một tòa nhàđược xây dựng bằng đá Một ESS là hai hoặc nhiều BSS kết nối với nhau thông qua

hệ thống phân phối Một ESS là một sự hội tụ nhiều điểm truy cập và sự liên kết cácmáy trạm của chúng Tất cả chỉ bằng một DS Một ví dụ phổ biến của một ESS có các

AP với mức độ một phần các tế bào chồng chéo lên nhau Mục đích đằng sau của việcnày là để cung cấp sự chuyển vùng liên tục cho các client Hầu hết các nhà cung cấpdịch vụ đề nghị các tế bào chồng lên nhau khoảng 10%-15% để đạt được thành côngtrong quá trình chuyển vùng

Hình 2 10 Mô hình mạng ESS 2.3.Các hình thức tấn công phổ biến trong WLAN

Tấn công và phòng chống trong mạng WLAN là vấn đề được quan tâm đến rấtnhiều hiện nay bởi các chuyên gia trong lĩnh vực bảo mật Nhiều giải pháp tấn công

và phòng chống đã được đưa ra nhưng cho đến bây giờ chưa có giải pháp nào đượcgọi là bảo mật an toàn, cho đến hiện nay mọi giải pháp phòng chống được đưa ra đềuchỉ là tương đối (nghĩa là tính bảo mật trong mạng WLAN vẫn có thể bị phá vỡ bằngnhiều cách khác nhau) Vấn đề tấn công một mạng WLAN như thế nào? Và giải phápphòng chống ra sao? Chúng ta sẽ cùng tìm hiểu rõ hơn trong phần dưới đây

Theo rất nhiều tài liệu nghiên cứu, hiện tại để tấn công vào mạng WLAN thìcác attacker có thể sử dụng một trong những cách sau:

 Rogue Access Point

 De-authentication Flood Attack

 Fake Access Point

 Tấn công dựa trên cảm nhận lớp vật lý

 Disassociation Flood Attack

2.3.1.Rogue Access Point

2.3.1.1.Định nghĩa

Access Point giả mạo được dùng để mô tả những Access Point được tạo ra mộtcách vô tình hay cố ý làm ảnh hưởng đến hệ thống mạng hiện có Nó được dùng đểchỉ các thiết bị hoạt động không dây trái phép mà không quan tâm đến mục đích sửdụng của chúng

2.3.1.2.Phân loại

2.3.1.3.Access Point được cấu hình không hoàn chỉnh:

Một Access Point có thể bất ngờ trở thành thiết bị giả mạo do sai sót trong việccấu hình Sự thay đổi trong Services Set Indentifier (SSID), thiết lập xác thực, thiếtlập mã hóa, Điều nghiêm trọng nhất là chúng sẽ không thể xác thực các kết nối nếu

bị cấu hình sai

Ví dụ: Trong trạng thái xác thực mở (open mode authentication) các ngườidùng không dây ở trạng thái 1 (chưa xác thực và chưa kết nối) có thể gửi các yêu cầuxác thực đến một Access Point và được xác thực thành công sẽ chuyển sang trạng thái

2 (được xác thực nhưng chưa kết nối) Nếu một Access Point không xác nhận sự hợp

lệ của một máy khách do lỗi trong cấu hình, kẻ tấn công có thể gửi một số lượng lớnyêu cầu xác thực, làm tràn bảng yêu cầu kết nối của các máy khách ở Access Point,làm cho Access Point từ chối truy cập của các người dùng khác bao gồm các ngườidùng được phép truy cập

2.3.1.4.Access Point giả mạo từ các mạng WLAN lân cận

Các máy khách theo chuẩn 802.11 tự động chọn Access Point có sóng mạnhnhất mà nó phát hiện được để kết nối

Ví dụ: Windows XP tự động kết nối đến kết nối tốt nhất có thể xung quanh nó

Vì vậy, những người dùng được xác thực của một tổ chức có thể kết nối đến cácAccess Point của các tổ chức khác lân cận Mặc dù các Access Point lân cận không cố

ý thu hút kết nối từ các người dùng, những kết nối đó để lộ những dữ liệu nhạy cảm

2.3.1.5.Access Point giả mạo do kẻ tấn công tạo ra.

Giả mạo AP là kiểu tấn công “Man-In-The-Middle” cổ điển Đây là kiểu tấncông mà tin tặc đứng ở giữa và trộm lưu lượng truyền giữa 2 nút Kiểu tấn công nàyrất mạnh vì tin tặc có thể lấy trộm tất cả lưu lượng đi qua mạng Rất khó khăn để tạomột cuộc tấn công “man in middle” trong mạng có dây bởi vì kiểu tấn công này yêucầu truy cập thực sự đến đường truyền Trong mạng không dây thì lại rất dễ bị tấncông kiểu này Tin tặc phải tạo ra một AP thu hút nhiều sự lựa chọn hơn AP chínhthống AP giả này có thể thiết lập bằng cách sao chép tất cả các cấu hình của AP chínhthống đó là: SSID, địa chỉ MAC…

Bước tiếp theo là làm cho nạn nhân thực hiện kết nối đến AP giả

 Cách thứ nhất là đợi cho người dùng tự kết nối

 Cách thứ 2 là gây ra một cuộc tấn công từ chối dịch vụ DOS trong APchính thống do vậy người dùng sẽ phải kết nối lại với AP giả

Trong mạng 802.11 sự lựa chọn được thực hiện bởi cường độ tín hiệunhận Điều duy nhất mà tin tặc phải thực hiện là chắc chắn rằng AP của mìnhphải có cường độ tín hiệu của mình mạnh hơn cả Để có được điều đó tin tặcphải đặt AP của mình gần người bị lừa hơn là AP chính thống hoặc sử dụng kĩthuật anten định hướng Sau khi nạn nhân kết nối tới AP giả, nạn nhân vẫnhoạt động như bình thường do vậy nếu nạn nhân kết nối đến một AP chínhthống khác thì dữ liệu của nạn nhân đều đi qua AP giả Tin tặc sẽ sử dụng cáctiện ích để ghi lại mật khẩu của nạn nhân trao đổi với Web Server Như vậytin tặc sẽ có được những gì anh ta muốn để đăng nhập vào mạng chính thống.Kiểu tấn công này tồn tại là do trong 802.11 không yêu cầu xác thực 2 hướnggiữa AP và nút AP phát quảng bá ra toàn mạng Điều này rất dễ bị tin tặcnghe trộm và do vậy tin tặc có thể lấy được tất cả các thông tin mà chúng cần.Các nút trong mạng sử dụng WEP để xác thực chúng với AP nhưng WEPcũng có những lỗ hổng có thể khai thác Một tin tặc có thể nghe trộm thôngtin và sử dụng bộ phân tích mã hóa để trộm mật khẩu của người dùng

 Access Point giả mạo được thiết lập bởi chính nhân viên của công ty:

Vì sự tiện lợi của mạng không dây một số nhân viên của công ty đã tựtrang bị Access Point và kết nối chúng vào mạng có dây của công ty Do

không hiểu rõ và nắm vững về bảo mật trong mạng không dây nên họ vô tìnhtạo ra một lỗ hổng lớn về bảo mật.

Những người lạ vào công ty và hacker bên ngoài có thể kết nối đếnAccess Point không được xác thực để đánh cắp băng thông, đánh cắp thôngtin nhạy cảm của công ty, sử dụng mạng của công ty tấn công người khác……

Hình 2 11 Tấn công Man-In-The-Middle

2.3.2.Tấn công yêu cầu xác thực lại

Hình 2 12 Mô hình tấn công “yêu cầu xác thực lại”

 Kẻ tấn công xác định mục tiêu tấn công là các người dùng trong mạngwireless và các kết nối của họ (Access Point đến các kết nối của nó)

 Chèn các frame yêu cầu xác thực lại vào mạng WLAN bằng cách giảmạo địa chỉ MAC nguồn và đích lần lượt của Access Point và các người dùng

 Người dùng wireless khi nhận được frame yêu cầu xác thực lại thì nghĩrằng chúng do Access Point gửi đến

 Sau khi ngắt được một người dùng ra khỏi dịch vụ không dây, kẻ tấncông tiếp tục thực hiện tương tự đối với các người dùng còn lại

 Thông thường thì người dùng sẽ kết nối lại để phục hồi dịch vụ, nhưng

kẻ tấn công đã nhanh chóng gửi các gói yêu cầu xác thực lại cho người dùng

2.3.3.Face Access Point

Kẻ tấn công sử dụng công cụ có khả năng gửi các gói beacon với địa chỉ vật lý(MAC) giả mạo và SSID giả để tạo ra vô số các Access Point giả lập Điều này làmxáo trộn tất cả các phần mềm điều khiển card mạng không dây của người dùng

Hình 2 13 Mô hình tấn công Fake AccessPoint

2.3.4.Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý

Kẻ tấn công lợi dụng giao thức chống đụng độ CSMA/CA, tức là nó sẽ làm chotất cả người dùng nghĩ rằng lúc nào trong mạng cũng có một máy đang truyền thông.Điều này làm cho các máy tính khác luôn luôn ở trạng thái chờ đợi kể tấn công ấytruyền dữ liệu xong, dẫn đến tình trạng nghẽn trong mạng

Tần số là một nhược điểm bảo mật trong mạng không dây Mức độ nguy hiểmthay đổi phụ thuộc vào giao diện của lớp vật lý Có một vài tham số quyết định sựchịu đựng của mạng là: năng lượng máy phát, độ nhạy của máy thu, tần số RF (RadioFrequency), băng thông và sự định hướng của anten Trong 802.11 sử dụng thuật toán

đa truy cập cảm nhận sóng mang (CSMA) để tránh va chạm CSMA là một phần củalớp MAC CSMA được sử dụng để chắc chắn sẽ không có va chạm dữ liệu trên đườngtruyền Kiểu tấn công này không sử dụng tạp âm để tạo ra lỗi cho mạng nhưng nó sẽlợi dụng chính chuẩn đó Có nhiều cách để khai thác giao thức cảm nhận sóng mangvật lý Cách đơn giản là làm cho các nút trong mạng đều tin tưởng rằng có một nútđang truyền tin tại thời điểm hiện tại Cách dễ nhất để đạt được điều này là tạo ra mộtnút giả mạo để truyền tin một cách liên tục Một cách khác là sử dụng bộ tạo tín hiệu

RF Một cách tấn công tin vi hơn là làm cho card mạng chuyển vào chế độ kiểm tra

mà ở đó nó truyền đi liên tiếp một mẩu kiểm tra Tất cả các nút trong phạm vi của một

nút giả là rất nhạy với sóng mang và trong khi có một nút đang truyền thì sẽ không cónút nào được truyền.

2.3.5.Tấn công ngắt kết nối

Hình 2 14 Mô hình tấn công ngắt kết nối

 Kẻ tấn công xác định mục tiêu (Wireless Cliens) và mối liên kết giữa

Có thể ta sẽ rất dễ nhầm lẫn giữa 2 kiểu tấn công: Disassocition flood attack vàDe-authentication Flood Attack.

 Giống nhau: Về hình thức tấn công, có thể cho rằng chúng giống nhau vì

nó giống như một đại bác 2 nòng, vừa tấn công Access Point vừa tấn côngClients Và qua trọng hơn hết chúng “nã pháo” liên tục

2.4.Các giải pháp bảo mật WLAN

Để kết nối tới một mạng LAN hữu tuyến ta cần phải truy cập theo đườngtruyền bằng dây cáp, phải kết nối một PC vào một cổng mạng Với mạng không dây tachỉ cần có máy của ta trong vùng sóng bao phủ của mạng không dây Điều khiển chomạng có dây là đơn giản: Đường truyền bằng cáp thông thường được đi trong các tòanhà cao tầng và các Port không sử dụng có thể làm cho nó Disable bằng các ứng dụngquản lý Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vậtliệu của các tòa nhà và như vậy sự bao phủ là không giới hạn ở bên trong một tòa nhà.Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát từ các mạng LANnày, và như vậy ai đó có thể truy cập nhờ thiết bị thích hợp Do đó mạng không dâycủa một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ

Với giá thành xây dựng một hệ thống mạng WLAN giảm, ngày càng có nhiềucông ty sử dụng Điều này sẽ không thể tránh khỏi việc Hacker chuyển sang tấn công

và khai thác các điểm yếu trên nền tảng mạng sử dụng chuẩn 802.11 Những công cụSniffers cho phép tóm được các gói tin giao tiếp trên mạng, họ có thể phân tích và lấy

đi những thông tin quan trọng của chúng ta

Hình 2 15 Truy cập trái phép mạng không dây

 Các thiết bị có thể kết nối tới những Access Point đang Broadcast SSID

 Hacker sẽ cố gắng tìm kiếm các phương thức mã hoá đang được sử dụngtrong quá trình truyền thông tin trên mạng, sau đó có phương thức giải mã riêng

và lấy các thông tin nhạy cảm

 Người dùng sử dụng Access Point tại gia đình sẽ không đảm bảo tínhbảo mật như khi sử dụng tại doanh nghiệp

Encryption  IDS & IPS

 Chỉ có những người dùng được xác thực mới có khả năng truy cập vào mạngthông qua các Access Point

 Các phương thức mã hoá được áp dụng trong quá trình truyền các thông tinquan trọng

 Bảo mật các thông tin và cảnh báo nguy cơ bảo mật bằng hệ thống IDS(Intrusion Detection System) và IPS (Intrusion Prevention System) Xác thực

và bảo mật dữ liệu bằng cách mã hoá thông tin truyền trên mạng IDS như mộtthiết bị giám sát mạng Wireless và mạng Wired để tìm kiếm và cảnh báo khi cócác dấu hiệu tấn công

WEP (Wired Equivalen Privacy) có nghĩa là bảo mật không dây tương đươngvới có dây Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệuvào cùng một phương thức không an toàn WEP sử dụng một khóa mã hóa không thayđổi có độ dài 64 bit hoặc 128 bit, (nhưng trừ đi 24 bit sử dụng cho vector khởi tạokhóa mã hóa, nên độ dài khóa chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thựccác thiết bị được phép truy cập vào trong mạng và cũng được sử dụng để mã hóatruyền dữ liệu

Rất đơn giản, các khóa mã hóa này dể dàng được “bẻ gãy” bởi thuật toán force và kiểu tấn công thử lỗi (tria-and-error) Các phần mềm miễn phí như Aircrack-

brute-ng, Airsnort, hoặc WEP crack sẽ cho phép hacker có thể phá vỡ khóa mã hóa nếu họthu thập từ 5 đến 10 triệu gói tin trên một mạng không dây Với những khóa mã hóa

128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hóa nên chỉ có 104 bit được sửdụng

Dùng để mã hoá và cách thức cũng giống như mã hóa có độ dài 64 bit nên mãhoá 128 bit cũng dễ dàng bị bẻ khóa Ngoài ra, những điểm yếu trong những vectorkhởi tạo khóa mã hoá giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít góithông tin hơn rất nhiều

Không dự đoán được những lỗi trong khóa mã hóa WEP có thể được tao racách bảo mật mạnh mẽ hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗikhóa mã hóa mới cho mỗi phiên làm việc Khóa mã hóa sẽ thay đổi trên mỗi phiênlàm việc Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dự liệu cầnthiết để có thể bẽ gãy khóa bảo mật

2.4.2.WLAN VPN

Mạng riêng VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữliệu khỏi các truy cập trái phép VPN tạo ra một tin cậy cao thông qua việc sử dụngmột cơ chế bảo mật như Ipsec (Internet Protocol Security) IPSec để mã hóa dự liệu vàdùng các thuật toán khác để các thực gói dự liệu Ipsec cũng sử dụng thẻ xác nhận số

để xác nhận khóa mã (public key) Khi được sử dụng trên mạng WLAN, công kết củaVPN đảm nhận việc xác thực, đóng gói và mã hóa.

Hình 2 16 Mô hình WLAN VPN

2.4.3.TKIP (Temporal Key Integrity Protocol)

Là giải pháp của IEEE được phát triển năm 2004 Là một nâng cấp cho WEDnhằm và những vấn đề bảo mật trong cài đặt mã dòng RC4 trong WEP TKIP dùnghàm băm (hashing) IV để chống lại việc MIC (Message Integity Check) để đảm bảotính chính xác của gói tin TKIP và sử dụng khóa động bằng cách đặt cho mỗi framemột chuỗi sống lại dạng tấn công giả mạo

2.4.4.AES

Trong mật mã học AES (viết tắt của từ tiếng Anh: Advanced EncryptionStadar, hay Tiêu chuẩn mã hóa tiên tiến) là một thuật toán mà hóa khối được chínhphủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa Giống như tiêu chuẩn tiền nhiệm DES,AES được kì vọng áp dụng trên phạm vi thế giới và đã được nghiên cứu rất kỹ lưỡng.AES được chấp nhận làm tiêu chuẩn liên bang bởi viện tiêu chuẩn và công nghệ quốcgia Hoa kỳ (NIST) sau một quá trình tiêu chuẩn hóa kéo dài 5 năm

Thuật toán được thiết kế bởi 2 nhà mật mã học người Bỉ: Joan Daemen vàVincent Rijmen (lấy tên chung là Rijndael khi tham gia cuộc thi thiết kế AES).

Rijdael được phát âm là “Rhine dahl” (theo phiên âm quốc tế )

2.4.5.802.1X và EAP

802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) được địnhnghĩa bởi IEEE Hoạt động trên cả môi trường có dây truyền thống và không dây.Việc điều khiển truy cập được thực hiện bằng cách: Khi một người dùng cố gắng kếtnối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn(bloking) và chờ cho việc kiểm tra định danh người dùng hoàn tất

Hình 2 17 Mô hình hoạt động xác thực 802.1x

EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng(password, certificate,…), giao thức được sử dụng (MD5, TLI_Transport LayerSecurity, OTP_One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫnnhau

 Quá tình chứng thực 802.1x-EAP như sau:

Wireless client muốn lien kết với một AP trong mạng

1 AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào

2 AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP.

3 Client gửi đáp lại yêu cầu nhận dạng EAP cho AP

4 Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tớiServer chứng thực

5 Server chứng thực gửi một yêu cầu cho phép AP

6 AP chuyển yêu cầu cho phép tới client

7 Client gửi trả lời sự cấp phép EAP tới AP

8 AP chuyển sự trả lời đó tới Server chứng thực

9 Server chứng thực gửi một thông báo thành công EAP tới AP

10 AP chuyển thông báo thành công tới client và đặt cổng của client trongchế độ forward

2.4.6.WPA (WI-FI Protected Access)

WEP được xây dựng để bảo vệ một mạng không dây tránh bị nghe trộm.Nhưng nhanh chóng sau đó người ta phát hiện ra nhiều lỗ hổng công nghệ này Do đócông nghệ mới có tên gọi WPA (Wi-Fi Protected Access) ra đời, khắc phục đượcnhiều nhược điểm của WEP

Trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khóaTKIP WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hóa đầy đủ 128 bit

Và một đặc điểm khác là WPA thay đổi khóa cho mỗi gói tin Các công cụ thu thậpcác gói tin để khóa phá mã hóa đều không thể thực hiện được với WPA Bởi WPAthay đổi khóa liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mậtkhẩu

Không những thế WPA còn bao gồm cả tính toàn vẹn của thông tin (MessageIntegrity Check) Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đườngtruyền WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise Cả 2 lựa chọnđều sử dụng giáo thức TKIP, và sự khác biệt chỉ là khóa khởi tạo mã hóa lúc đầu.WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khóa khởi tạo sẽ được

sử dụng tại các điểm truy cập và thiết bị máy trạm Trong khi đó, WPA cho doanhnghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khóa khởi tạo cho mỗiphiên làm việc.

Lưu ý:

 Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal.Khi mà sử dụng hàm thay đổi khóa TKIP được sử dụng để tạo ra các khóa mã hóachưa phát hiện, nếu hacker có thể đoán được khóa khởi tạo hoặc một phần của mậtkhẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu.Tuy nhiên, lỗ hổng này cũng sẽ được loại bỏ bằng cách sử dụng những khóa khởi tạokhông dễ đoán (đừng sử dụng những từ như “P@SSWORD” để làm mật khẩu)

 Điều này cũng có nghĩa rằng thủ thuật TKIP của WPA chỉ là giải pháptạm thời, chưa cung cấp một phương thức bảo mật cao nhất WPA chỉ thích hợp vớinhững công ty mà không truyền dữ liệu “mật” về những thương mại hay các thông tinnhạy cảm…WPA cũng thích hợp với những hoạt động hằng ngày và mang tính thửnghiệm công nghệ

2.4.7 WPA2

Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, đượcchứng nhận bởi Wi-Fi Alliance Chuẩn này sử dụng thuật toán mã hóa mạnh mẽ vàđược gọi là Chuẩn mã hóa nâng cao AES AES sử dụng thuật toán mã hóa đối xứngtheo khối Rijndael, sử dụng khối mã hó 128 bit, và 192 bit hoặc 256 bit Để đánh giáchuẩn mã hóa này, Việc nghiên cứu quốc gia về Chuẩn và Công nghệ của Mỹ, NIST(National Institute of Standards and Technology), đã thông qua thuật toán mã đốixứng này

Lưu ý: Chuẩn mã hóa này được sử dụng cho các cơ quan chính phủ Mỹ để bảo

vệ các thông tin nhạy cảm

Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bithoặc 168 bit DES (Digital Encryption standanrd) Để đảm bảo về mặt hiệu năng, quá

hết các thiết bị cầm tay WI-FI và máy quét mã vạch đều không tương thích với chuẩn802.11i.

2.4.8.LỌC (Filltering)

Lọc là cơ chế bảo mật cơ bản có thể sử dụng cùng với WEP Lọc hoạt độnggiống Access list trên router, cấm những cái không mong muốn và cho phép nhữngcái mong muốn Có 3 kiểu lọc cơ bản có thể sử dụng trong Wireless Lan:

 Sử dụng SSID có liên qua đến công ty

 Sử dụng SSID như là phương thức bảo mật của công ty

 Quảng bá SSID một cách không cần thiết

- Lọc địa chỉ MAC

Hầu hết các AP đều có chức năng lọc địa chỉ MAC Người quản trị xây dựngdanh sách các địa chỉ MAC được cho phép

Nếu client có địa chỉ MAC không nằm trong danh sách lọc địa chỉ MAC của

AP thì AP sẽ ngăn chặn không cho phép client đó kết nối vào mạng

Nếu công ty có nhiều client thì có thể xây dựng máy chủ RADIUS có chứcnăng lọc địa chỉ MAC thay vì AP Cấu hình lọc địa chỉ MAC là giải pháp bảo mật cótính mở rộng cao.

- Lọc giao thức

Mạng LAN không dây có thể lọc các gói đi qua mạng dựa trên các giao thức từlớp 2 đến lớp 7 Trong nhiều trường hợp người quản trị nên cài đặt lọc giao thức trongmôi trường dùng chung,

Hình 2 18 Tiến trình xác thực MAC

 Có một nhóm cầu nối không dây được đặt trên một Remote building trongmột mạng WLAN của một trường đại học mà kết nối lại tới AP của tòa nhà kỹ thuậttrung tâm

 Vì tất cả những người sử dụng trong Remote builing chia sẻ băng thông5Mbs giữa những tòa nhà này, nên một số lượng đáng kể các điểu khiển trên các sửdụng này phải được thực hiện

 Nếu các kết nối này được cài đặt với mục đích đặc biệt của sự truy nhậpInternet của người sử dụng, thì bộ lọc giao thức sẽ loại trừ tất cả các giao thức, ngoạitrừ HTTP, SMTP, HTTPS, FTP…

Hình 2 19 Lọc giao thức 2.5.Kết luận

Qua các hình thức tấn công cũng như các giải pháp bảo mật WLAN trên, ngườithiết kế mạng cũng như bảo mật mạng phải nắm được cụ thể các hình thức tấn côngnào có thể xảy ra đối với mô hình mạng mình thiết kế Từ đó có được các giải phápbảo mật phù hợp với từng mô hình Đảm bảo tính bảo mật nhưng cũng đảm bảo tínhtiện dụng, không gây khó khăn cho người dùng Sau đây là một số kiểu bảo mật ápdụng cho các mô hình mạng khác nhau

 Cho các điểm truy cập tự động (hotspots), việc mã hóa không cần thiết, chỉcần người dùng xác thực mà thôi

 Với người dùng sử dụng mạng WLAN cho gia đình, một phương thức bảomật với WPA passphare hay preshared key được khuyến cáo sử dụng

 Với giải pháp doanh nghiệp, để tối ưu quá trình bảo mật với 802.1x EAPlàm phương thức xác thực và TKIP hay AES làm phương thức mã hóa Được dựa theochuẩn WPA hay WPA2 và 802.11i security Với các doanh nghiệp đòi hỏi bảo mật,quản lý người dùng chặc chẽ và tập trung, một giải pháp tối ưu được đặt ra đó là sửdụng dịch vụ chứng thực RADIUS kết hợp với WPA2 Với dịch vụ chứng thực này,

người dùng không dùng chung một “share key” mà có tên đăng nhập và mật khẩuriêng, được quản lý bởi server AAA Cụ thể về dịch vụ xác thực sẽ được trình bàytrong chương sau.

Hình 2 20 Escalating Security 2.6.Giao thức RADIUS

2.6.1.Tổng quan về giao thức RADIUS

RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủyquyền và kiểm toán truy cập cho mạng Ban đầu được phát triển cho thiết lập kết nối

từ xa Radius bây giờ thì hỗ trợ cho máy chủ VPN, các điểm truy cập không dây,chứng thực chuyển mạch Internet, truy cập DSL, và các loại truy cập mạng khác.RADIUS được mô tả trong RFC 2865, "Remote Authentication Dial-in User Service(RADIUS), (IETF Draft Standard) and RFC 2866, "RADIUS Accounting"(Informational)

2.6.2.Giới thiệu

Có 2 loại giao thức RADIUS mô tả về:

Giao thức RADIUS 1: Xác nhận quyền (authentication), phân quyền

(authorization), thông tin cấu hình giữa máy chủ quản lý truy cập (NAS-NetworkAccess Server) mà có các yêu cầu cần xác nhận và máy chủ xác nhận quyền dùngchung (Shared Authentication Server)