ĐỒ ÁN TỐT NGHIỆP XÂY DỰNG GIẢI PHÁP BẢO MẬT MẠNG WLAN SỬ DỤNG RADIUS SERVER

Một trong số cách tốt nhất là họ có thể giám sát những gì mà người dùng đầu cuối có thể làm trên mạng bằng cách xác thực người dùng, cấp quyền cho người dùng, cũng như kiểm toán để tập h

LỜI CẢM ƠN

Lời đầu tiên, em xin gửi lời biết ơn sâu sắc tới toàn thể thầy, cô giáo trong Khoa Công Nghệ Thông Tin, Trường Đại Học Công Nghệ Thông Tin và Truyền Thông nói chung, Bộ Môn Mạng và Truyền Thông nói riêng đã tận tình giảng dạy, truyền đạt cho em những kiến thức, những kinh nghiệm quý báu trong suốt các năm em học tập và rèn luyện tại trường

Đặc biệt, em xin gửi lời cảm ơn chân thành nhất đến thầy giáo Phạm Hồng Việt, Bộ Môn Mạng và Truyền Thông đã tận tình hướng dẫn, trực tiếp chỉ bảo em trong suốt thời gian làm thực tập tốt nghiệp cũng như đồ án tốt nghiệp Thời gian được thầy hướng dẫn, em không những tiếp thu thêm nhiều kiến thức

bổ ích mà còn được thầy dạy bảo tinh thần làm việc hăng say, thái độ nghiên cứu nghiêm túc, hiệu quả, phát huy khả năng tư duy sáng tạo trong nhiều lĩnh vực

Sau cùng, em xin chân thành cảm ơn gia đình, các anh chị khóa trước, bạn

bè thân thiết đã luôn bên cạnh em, đã động viên, đóng góp ý kiến và giúp đỡ em trong quá trình học tập, nghiên cứu để hoàn thành đồ án này

Thái Nguyên, ngày……tháng 6 năm 2014

Sinh viên:

Lê Văn Nam

LỜI CAM ĐOAN

Em xin cam đoan những kết quả đạt được trong đồ án tốt nghiệp là sản phẩm của sự tìm tòi, học hỏi, nghiên cứu các tài liệu một cách nghiêm túc dưới

sự chỉ bảo tận tình của giáo viên hướng dẫn Nội dung đồ án không hề có sự sao chép lại các đồ án khác mà có ý tưởng sáng tạo riêng của bản thân, kết hợp tổng hợp kiến thức từ nhiều nguồn tài liệu tham khảo hợp pháp khác nhau Nếu có thông tin sai lệch, em xin chịu hoàn toàn trách nhiệm

Thái nguyên, ngày……tháng 6 năm 2014

Sinh viên:

Lê Văn Nam

BSS Basic Service Set

ESS Extended Service Set

SSID Services Set Indentifier

WEP Wired Equivalen Privacy

IPSec Internet Protocol Security

MIC Message Integity Check

AES Advanced Encryption Stadar

WPA Wi-Fi Protected Access

IBSS Independent Basic Service Set

PDA Personal Digital Associasion

DES Digital Encryption Standanrd

NAS Network Access Service

MỤC LỤC

LỜI NÓI ĐẦU

Ngày nay, sự phát triển nhanh chóng của Internet và các công nghệ mạng

đã thúc đẩy nhu cầu kết nối mọi lúc, mọi nơi của tất cả mọi người nhằm tiết kiệm công sức, thời gian, và tăng tính hiệu quả trong học tập và làm việc Vì lẽ đó, mạng WLAN ra đời là một bước tiến quan trọng trong việc phát triển các công nghệ mạng nhằm đáp ứng nhu cầu này

Mạng WLAN ra đời thực sự mang lại những tiện ích vô cùng to lớn cho người dùng, đặc biệt là tính di động của nó Mạng WLAN đảm bảo kết nối mọi lúc mọi nơi, chúng ta có thể dễ dàng truy cập mạng một cách đơn giản, ở bất kỳ đâu trong phạm vi phủ sóng của mạng WLAN

Đi kèm với những lợi ích to lớn như vậy, nhưng do đặc thù dễ dàng truy cập nên vấn đề bảo mật mạng WLAN, đảm bảo an toàn cho các tài nguyên trên mạng, tránh xâm phạm, mất mát thông tin luôn được các nhà quản trị mạng quan tâm Một trong số cách tốt nhất là họ có thể giám sát những gì mà người dùng đầu cuối có thể làm trên mạng bằng cách xác thực người dùng, cấp quyền cho người dùng, cũng như kiểm toán để tập hợp được thông tin như thời gian bắt đầu hay kết thúc của người dùng

Vì vậy, trong đợt làm đồ án tốt nghiệp này, em đã lựa chọn đề tài ‘’An ninh

trong mạng máy tính không dây, ứng dụng xây dựng giải pháp bảo mật phương pháp xác thực Radius Server’’ để tìm hiểu những vấn đề trên.

Trong quá trình làm đồ án, tuy em đã rất cố gắng, nhưng do kiến thức còn hạn chế nên chắc chắn không thể tránh khỏi những thiếu sót Em mong quý thầy

cô và các bạn đóng góp ý kiến để đồ án của em được hoàn thiện hơn Em xin chân thành cảm ơn!

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT

1.1. Tổng quan về mạng không dây WLAN:

1.1.1. Giới thiệu:

WLAN (Wireless Local Area Network) hay WIFI (Wireless Fidelity), là một mạng LAN không dây dùng để kết nối hai hay nhiều máy tính với nhau mà không sử dụng dây dẫn thông thường, môi trường truyền thông giữa các thành phần trong mạng là không khí WLAN dùng công nghệ trải phổ, sử dụng sóng vô tuyến để cho phép truyền thông giữa các thiết bị trong mạng

WLAN là một giải pháp có rất nhiều ưu điểm so với kết nối mạng có dây truyền thống WLAN cung cấp khả năng kết nối lưu động, cho phép người dùng hoàn toàn có thể duy trì kết nối với mạng trong khi di chuyển trong vùng phủ sóng của các điểm truy cập( access point)

Mạng WLAN có thể triển khai theo 3 vai trò: vai trò điểm truy cập (access role), vai trò phân tán (distribution role) và vai trò truyền tại lớp lõi (core role)

Tuy nhiên, do vấn đề về băng thông và tính ổn định, mạng WLAN chủ yếu vẫn được sử dụng để triển khai ở vai trò điểm truy cập, đóng vai trò như 1 điểm kết nối cho các máy tính kết nối vào mạng có dây Access Point được kết nối cố định vào mạng Ethernet, trong đó có các tài nguyên cần thiết cho người sử dụng như: máy chứa dữ liệu (file server), máy in, kết nối internet…

Hình 1-1 Mô hình mạng WLAN

1.1.2. Quá trình hình thành và phát triển mạng WLAN:

Năm 1990, công nghệ WLAN lần đầu tiên xuất hiện, khi những nhà sản xuất giới thiệu những sản phẩm hoạt động ở băng tần 900 Mhz Các giải pháp này (không có sự thống nhất của các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mbs, thấp hơn rất nhiều so với tốc độ 10 Mbs của hầu hết các mạng sử dụng cáp lúc đó

Năm 1992, các nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần 2.4GHz Mặc dù những sản phẩm này có tốc độ truyền cao hơn nhưng chúng vẫn chỉ là những giải pháp riêng của mỗi nhà sản xuất và không được công bố rộng rãi Sự cần thiết cho việc thống nhất hoạt động giữa các thiết bị ở những dãy tần số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây

Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã thông qua sự ra đời của chuẩn 802.11, và được biết đến với cái tên WIFI (Wireless Fidelity) dành cho các mạng WLAN

Năm 1999, IEEE thông qua sự bổ sung cho chuẩn 802.11 là chuẩn 802.11a và 802.11b (định nghĩa ra những phương pháp truyền tín hiệu) Và các thiết bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây nổi trội

Năm 2003, IEEE công bố thêm sự cải tiến là chuẩn 802.11g, chuẩn này cố gắng tích hợp tốt nhất các chuẩn 802.11a, 802.11b và 802.11g Sử dụng băng tần 2.4Ghz cho phạm vi phủ sóng lớn hơn

Năm 2009, IEEE cuối cùng cũng thông qua chuẩn WIFI thế hệ mới 802.11n sau 6 năm thử nghiệm Chuẩn 802.11n có khả năng truyền dữ liệu ở tốc độ 300Mbps hay thậm chí cao hơn

1.1.3. Ưu điểm của mạng WLAN:

Với đặc điểm là kết nối không dây, mạng WLAN mang lại cho chúng ta một số thuận lợi sau:

 Sự tiện lợi: Mạng không dây cung cấp giải pháp cho phép người sử dụng

truy cập tài nguyên trên mạng ở bất kì nơi đâu trong khu vực WLAN được triển khai (khách sạn, trường học, thư viện…) Với sự bùng nổ của máy tính xách tay và các thiết bị di động hỗ trợ wifi như hiện nay, điều đó thật

sự rất tiện lợi

 Khả năng di động: Với sự phát triển vô cùng mạnh mẽ của viễn thông di

động, người sử dụng có thể truy cập internet ở bất cứ đâu: Quán café, thư viện, trường học và thậm chí là ở các công viên hay vỉa hè Người sử dụng đều có thể truy cập internet miễn phí

 Hiệu quả: Người sử dụng có thể duy trì kết nối mạng khi họ đi từ nơi này

đến nơi khác

 Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, chúng ta chỉ

cần một đường truyền ADSL và một AP là được một mạng WLAN đơn giản Với việc sử dụng cáp, sẽ rất tốn kém và khó khăn trong việc triển khai ở nhiều nơi trong tòa nhà

 Bảo mật: Đây có thể nói là nhược điểm lớn nhất của mạng WLAN, bởi vì

phương tiện truyền tín hiệu là sóng và môi trường truyền tín hiệu là không khí nên khả năng một mạng WLAN bị tấn công là rất lớn

 Phạm vi: Như ta đã biết chuẩn IEEE 802.11n mới nhất hiện nay cũng chỉ

có thể hoạt động ở phạm vi tối đa là 150m, nên mạng không dây chỉ phù hợp cho một không gian hẹp

 Độ tin cậy: Do phương tiện truyền tín hiệu là sóng vô tuyến nên việc bị

nhiễu, suy giảm tín hiệu…là điều không thể tránh khỏi Điều này gây ảnh hưởng đến hiệu quả hoạt động của mạng

 Tốc độ: Tốc độ cao nhất hiện nay của WLAN có thể lên đến 600Mbps

nhưng vẫn chậm hơn rất nhiều so với các mạng cáp thông thường (có thể lên đến hàng Gbps)

1.1.5. Các mô hình mạng WLAN:

Mạng WLAN rất linh hoạt về thiết kế, bao gồm 3 mô hình cơ bản sau:

 Mô hình mạng độc lập (IBSS) hay còn gọi là mạng Ad-hoc

Hình 1-2 Mô hình mạng IBSS

b) Mô hình mạng cơ sở (BSS):

The Basic Service Sets (BSS) là một topology nền tảng của mạng 802.11 Các thiết bị giao tiếp tạo nên một BSS với một AP duy nhất với một hoặc nhiều client Các máy trạm kết nối với sóng của AP và bắt đầu giao tiếp thông qua AP Các máy trạm là thành viên của BSS được gọi là “có liên kết”

Thông thường, các AP được kết nối với một hệ thống phân phối trung bình (DSM), nhưng đó không phải là một yêu cầu cần thiết của một BSS Nếu một AP phục vụ như là cổng để vào dịch vụ phân phối, các máy trạm có thể giao tiếp( thông qua AP) với nguồn tài nguyên mạng ở tại hệ thống phân phối trung bình Cũng cần lưu ý là nếu các máy client muốn giao tiếp với nhau, chúng phải chuyển tiếp dữ liệu thông qua các AP Các client không thể truyền thông trực tiếp với nhau, trừ khi thông qua các AP Hình sau mô tả mô hình một BSS chuẩn:

Hình 1-3 Mô hình mạng BSS

c) Mô hình mạng mở rộng (ESS):

Trong khi một BSS được coi là nền tảng của mạng 802.11, một mô hình mạng mở rộng ESS (Extended Service Set) của mạng 802.11 sẽ tương tự như là một tòa nhà được xây dựng bằng đá Một ESS là hai hoặc nhiều BSS kết nối với nhau thông qua hệ thống phân phối Một ESS là một sự hội tụ nhiều điểm truy cập và sự liên kết các máy trạm của chúng Tất cả chỉ bằng một DS Một ví dụ phổ biến của một ESS có các AP với mức độ một phần các tế bào chồng chéo lên nhau Mục đích đằng sau của việc này là để cung cấp sự chuyển vùng liên tục cho các client Hầu hết các nhà cung cấp dịch vụ đề nghị các tế bào chồng lên nhau khoảng 10%-15% để đạt được thành công trong quá trình chuyển vùng

Hình 1-4 Mô hình mạng ESS

1.1.6. Kiến trúc mạng WLAN:

a) Cấu trúc cơ bản của mạng WLAN:

 Hệ thống phân phối (Distribution System): Đây là một thành phần logic

sử dụng để điều phối thông tin đến các station đích Chuẩn 802.11 không đặc tả chính xác kỹ thuật cho DS

 Access Point: chức năng chính của AP là mở rộng mạng Nó có khả năng

chuyển đổi các frame dữ liệu trong 802.11 thành các frame thông dụng để

có thể sử dụng trong mạng khác

 Tầng liên lạc vô tuyến (Wireless Medium): Chuẩn 802.11 sử dụng tầng

liên lạc vô tuyến để chuyển đổi các frame dữ liệu giữa các máy trạm với nhau

 Máy trạm (Station): Đây là các thiết bị ngoại vi có hỗ trợ kết nối vô

tuyến

Hình 1-5 Cấu trúc cơ bản của mạng WLAN

b) Thiết bị dành cho mạng WLAN:

 Access Point (AP):

Là thiết bị có nhiệm vụ cung cấp cho máy client một điểm truy cập vào mạng

Hình 1-6 Access Point

Các chế độ hoạt động của AP: AP có ba chế độ hoạt động chính:

- Chế độ gốc ( Root mode):

Root mode được sử dụng khi AP kết nối với mạng backbone có dây thông qua giao diện có dây( thường là Ethernet) của nó Hầu hết các AP đều hoạt động ở chế độ mặc định là root mode

Hình 1-7 AP hoạt động ở chế độ gốc

- Chế độ cầu nối ( Bridge mode):

Trong bridge mode, AP hoạt động hoàn toàn như cầu nối không dây Với chế độ này, máy client sẽ không kết nối trực tiếp với AP, nhưng thay vào đó, AP dùng để nối hai hay nhiều đoạn mạng có dây lại với nhau Hiện nay, hầu hết các thiết bị AP đều hỗ trợ chế độ bridge

Hình 1-8 AP hoạt động ở chế độ cầu nối

- Chế độ lặp (Repeater mode):

Ở chế độ Repeater, sẽ có ít nhất hai thiết bị AP, một root AP và một

AP hoạt động như một Repeater không dây AP trong Repeater mode hoạt động như một máy client khi kết nối với root AP và hoạt động như một AP khi kết nối với máy client

Hình 1-10 Wireless Router

 Wireless NICs:

Là các thiết bị được máy client dùng để kết nối vào AP

Hình 1-11 Wireless NICs

- Card PCI Wireless:

Là thành phần phổ biến nhất trong WLAN Dùng để kết nối các

máy khách vào hệ thống mạng không dây Được cắm vào khe PCI trên

máy tính Loại này được sử dụng phổ biến cho các máy tính để bàn(desktop) kết nối vào mạng không dây

- Card PCMCIA Wireless:

Trước đây được sử dụng trong các máy tính xách tay(laptop) và các thiết bị hỗ trợ cá nhân số PDA( Personal Digital Associasion) Hiện nay nhờ sự phát triển của công nghệ nên PCMCIA wireless ít được sử dụng vì máy tính xách tay và PDA, … đều được tích hợp sẵn Card Wireless bên trong thiết bị

- Card USB Wireless:

Loại rất được ưu chuộng hiện nay dành cho các thiết bị kết nối vào mạng không dây vì tính năng di động và nhỏ gọn Có chức năng tương tự như Card PCI Wireless, nhưng hỗ trợ chuẩn cắm là USB Có thể tháo lắp nhanh chóng (không cần phải cắm cố định như Card PCI Wireless) và hỗ trợ cắm khi máy tính đang hoạt động

1.1.7. Nguyên tắc hoạt động của mạng WLAN:

Mạng WLAN sử dụng sóng điện từ (vô tuyến và tia hồng ngoại) để truyền thông tin từ điểm này sang điểm khác mà không dựa vào bất kỳ kết nối vật lý nào Các sóng vô tuyến thường là các sóng mang vô tuyến bởi vì chúng thực hiện chức năng phân phát năng lượng đơn giản tới máy thu ở xa Dữ liệu truyền được chồng lên trên sóng mang vô tuyến để nó được nhận lại đúng ở máy thu Đó là sự điều biến sóng mang theo thông tin được truyền Một khi dữ liệu được chồng (được điều chế) lên trên sóng mang vô tuyến, thì tín hiệu vô tuyến chiếm nhiều hơn một tần số đơn, vì tần số hoặc tốc độ truyền theo bit của thông tin biến điệu được thêm vào sóng mang

Nhiều sóng mang vô tuyến tồn tại trong cùng không gian tại cùng một thời điểm mà không nhiễu với nhau nếu chúng được truyền trên các tần số vô tuyến

khác nhau Để nhận dữ liệu, máy thu vô tuyến bắt sóng (hoặc chọn) một tần số

vô tuyến xác định trong khi loại bỏ tất cả các tín hiệu vô tuyến khác trên các tần

số khác

Trong một cấu hình mạng WLAN tiêu biểu, một thiết bị thu phát, được

gọi một điểm truy cập (AP - access point), nối tới mạng nối dây từ một vị trí cố định sử dụng cáp Ethernet chuẩn Điểm truy cập (access point) nhận, lưu vào bộ

nhớ đệm, và truyền dữ liệu giữa mạng WLAN và cơ sở hạ tầng mạng nối dây Một điểm truy cập đơn hỗ trợ một nhóm nhỏ người sử dụng và vận hành bên trong một phạm vi vài mét tới vài chục mét Điểm truy cập (hoặc anten được gắn tới nó) thông thường được gắn trên cao nhưng thực tế được gắn bất cứ nơi đâu miễn là khoảng vô tuyến cần thu được

Các người dùng đầu cuối truy cập mạng WLAN thông qua các card giao tiếp mạng WLAN, mà được thực hiện như các card PC trong các máy tính notebook, hoặc sử dụng card giao tiếp ISA hoặc PCI trong các máy tính để bàn, hoặc các thiết bị tích hợp hoàn toàn bên trong các máy tính cầm tay

1.2. Một số vấn đề an ninh trong mạng không dây WLAN:

Hiện nay, vấn đề an ninh trong mạng WLAN luôn là một vấn đề được quan tâm rất nhiều bởi các chuyên gia trong lĩnh vực bảo mật Nhiều giải pháp tấn công và phòng chống đã được đưa ra nhưng cho đến bây giờ chưa có giải pháp nào được gọi là bảo mật an toàn thật sự Mọi giải pháp phòng chống được đưa ra đều chỉ mang tính tương đối (nghĩa là tính bảo mật trong mạng WLAN vẫn có thể bị phá vỡ bằng nhiều cách khác nhau)

1.2.1. Một số hình thức tấn công phổ biến trong mạng WLAN:

Hiện tại, để tấn công vào mạng WLAN thì kẻ tấn công có thể sử dụng một trong những cách sau:

 Tấn công bị động

 Tấn công chủ động

 Tấn công Man-In-The-Middle

 Tấn công yêu cầu xác thực lại

 Giả mạo Access point

 Tấn công dựa trên cảm nhận lớp vật lý

 Tấn công ngắt kết nối.

a) Tấn công bị động:

Tấn công bị động là một phương pháp tấn công WLAN đơn giản nhất nhưng vẫn rất hiệu quả Tấn công bị động không để lại một dấu vết nào chứng tỏ đã có sự hiện diện của attacker trong mạng vì khi tấn công attacker không gửi bất kỳ gói tin nào mà chỉ lắng nghe mọi dữ liệu lưu thông trên mạng WLAN sniffer hay các ứng dụng miễn phí có thể được sử dụng để thu thập thông tin về mạng không dây ở khoảng cách xa bằng cách sử dụng anten định hướng Phương pháp này cho phép attacker giữ khoảng cách với mạng, không để lại dấu vết trong khi vẫn lắng nghe và thu thập được thông tin

Bất kỳ thông tin nào truyền trên mạng không dây đều rất dễ bị tấn công bởi attacker Tác hại là không thể lường trước được nếu như attacker có thể đăng nhập vào mạng bằng thông tin của một người dùng nào đó thông qua một số công cụ crack WEP key và thực hiện phá hoại mạng

b) Tấn công chủ động:

Attacker có thể tấn công chủ động để thực hiện một số tác vụ trên mạng Một cuộc tấn công chủ động có thể được sử dụng để truy cập vào server và lấy được những dữ liệu có giá trị hay sử dụng đường kết nối Internet của doanh nghiệp để thực hiện những mục đích phá hoại hay thậm chí là thay đổi cấu hình của hạ tầng mạng Bằng cách kết nối với mạng không dây thông qua

AP, attacker có thể xâm nhập sâu hơn vào mạng hoặc có thể thay đổi cấu hình của mạng

c) Tấn công Man-In-The-Middle:

Tấn công theo kiểu Man-in-the-middle là trường hợp trong đó attacker sử dụng một AP để đánh cắp các node di động bằng cách gửi tín hiệu RF mạnh hơn AP thực đến các node đó Các node di động nhận thấy có AP phát tín hiệu

RF tốt hơn nên sẽ kết nối đến AP giả mạo này, truyền dữ liệu có thể là những

dữ liệu nhạy cảm đến AP giả mạo và attacker có toàn quyền xử lý Đơn giản

là kẻ đóng vai trò là một AP giả mạo đứng giữa tất cả các Client và AP thực

sự, thậm chí các Client và AP thực không nhận thấy sự hiện diện của AP giả mạo này

Attacker muốn tấn công trước tiên phải biết được giá trị SSID là các client đang sử dụng (giá trị này rất dễ dàng có được bằng các công cụ quét mạng WLAN) Sau đó, attacker phải biết được giá trị WEP key nếu mạng có sử dụng WEP Kết nối upstream (với mạng trục có dây) từ AP giả mạo được điều khiển thông qua một thiết bị client như PC card hay Workgroup Bridge Nhiều khi, tấn công Man-in-the-middle được thực hiện chỉ với một laptop và

2 PCMCIA card Phần mềm AP chạy trên máy laptop nơi PC card được sử dụng như là một AP và một PC card thứ 2 được sử dụng để kết nối laptop đến

AP thực gần đó Trong cấu hình này, laptop chính là man-in-the-middle (người ở giữa), hoạt động giữa client và AP thực Từ đó attacker có thể lấy được những thông tin giá trị bằng cách sử dụng các sniffer trên máy laptop

Hình 1-12 Tấn công Man-In-The-Middle

d) Tấn công yêu cầu xác thực lại:

Hình 1-13 Tấn công yêu cầu xác thực lại

 Kẻ tấn công xác định mục tiêu tấn công là các người dùng trong mạng WLAN và các kết nối của họ (Access Point đến các kết nối của nó)

 Chèn các frame yêu cầu xác thực lại vào mạng WLAN bằng cách giả mạo địa chỉ MAC nguồn và đích lần lượt của Access Point và các người dùng

 Người dùng mạng WLAN khi nhận được frame yêu cầu xác thực lại thì nghĩ rằng chúng do Access Point gửi đến

 Sau khi ngắt được một người dùng ra khỏi dịch vụ không dây, kẻ tấn công tiếp tục thực hiện tương tự đối với các người dùng còn lại

 Thông thường thì người dùng sẽ kết nối lại để phục hồi dịch vụ, nhưng kẻ tấn công đã nhanh chóng gửi các gói yêu cầu xác thực lại cho người dùng

e) Giả mạo Access Point:

Kẻ tấn công sử dụng công cụ có khả năng gửi các gói beacon với địa chỉ vật lý (MAC) giả mạo và SSID giả để tạo ra vô số các Access Point giả lập Điều này làm xáo trộn tất cả các phần mềm điều khiển card mạng không dây của người dùng

Hình 1-14 Tấn công giả mạo Access Point

f) Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý:

Kẻ tấn công lợi dụng giao thức chống đụng độ CSMA/CA, tức là nó sẽ làm cho tất cả người dùng nghĩ rằng lúc nào trong mạng cũng có một máy đang truyền thông Điều này làm cho các máy tính khác luôn luôn ở trạng thái chờ đợi

kể tấn công ấy truyền dữ liệu xong, dẫn đến tình trạng nghẽn trong mạng

Tần số là một nhược điểm bảo mật trong mạng không dây Mức độ nguy hiểm thay đổi phụ thuộc vào giao diện của lớp vật lý Có một vài tham số quyết định sự chịu đựng của mạng: năng lượng máy phát, độ nhạy của máy thu, tần số RF( Radio Frequency), băng thông và sự định hướng của anten Trong 802.11 sử dụng thuật toán đa truy cập cảm nhận sóng mang (CSMA) để tránh va chạm CSMA là một phần của lớp MAC CSMA được sử dụng để chắc chắn sẽ không

có va chạm dữ liệu trên đường truyền Kiểu tấn công này không sử dụng tạp âm

để tạo ra lỗi cho mạng nhưng nó sẽ lợi dụng chính chuẩn đó Có nhiều cách để khai thác giao thức cảm nhận sóng mang vật lý Cách đơn giản là làm cho các nút trong mạng đều tin tưởng rằng có một nút đang truyền tin tại thời điểm hiện tại Cách dễ nhất để đạt được điều này là tạo ra một nút giả mạo để truyền tin một cách liên tục Một cách khác là sử dụng bộ tạo tín hiệu RF Một cách tấn công

tinh vi hơn là làm cho card mạng chuyển vào chế độ kiểm tra mà ở đó nó truyền

đi liên tiếp một mẫu kiểm tra Tất cả các nút trong phạm vi của một nút giả là rất nhạy với sóng mang và trong khi có một nút đang truyền thì sẽ không có nút nào được truyền

1.2.2. Các giải pháp phòng chống cho mạng WLAN:

Với các hình thức tấn công được nêu trên, hacker có thể lợi dụng bất cứ điểm yếu và tấn công vào hệ thống WLAN bất cứ lúc nào Vì vậy, đề ra các biện pháp bảo mật WLAN là điều cần thiết Dưới đây là các biệt pháp bảo mật WLAN qua các thời kỳ Có một số biện pháp đã bị hacker qua mặt như mã hóa WEP… nhưng trong phạm vi đồ án, em xin trình bày để biết rõ được ưu điểm, nhược điểm của các giải pháp bảo mật Từ đó lựa chọn các giải pháp bảo mật phù hợp với từng mô hình của mạng WLAN

a) WEP:

WEP (Wired Equivalen Privacy) có nghĩa là bảo mật không dây tương đương với có dây Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệu vào cùng một phương thức không an toàn WEP sử dụng một khối

mã hóa không thay đổi có độ dài 64 bit hoặc 128 bit, ( nhưng trừ đi 24 bit sử dụng cho vector khởi tạo khóa mã hóa, nên độ dài khóa chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thực các thiết bị được phép truy cập vào trong mạng và cũng được sử dụng để mã hóa truyền dữ liệu

Rất đơn giản, các khóa mã hóa này dễ dàng được “bẻ gãy” bởi thuật toán brute-force và kiểu tấn công thử lỗi (trial-and-error) Các phần mềm miễn phí như Aircrack-ng, Airsnort, hoặc WEP crack sẽ cho phép hacker có thể phá vỡ khóa mã hóa nếu họ thu thập từ 5 đến 10 triệu gói tin trên một mạng không dây Với những khóa mã hóa 128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hóa nên chỉ có 104 bit được sử dụng để mã hoá và cách thức cũng giống như mã hóa

có độ dài 64 bit nên mã hóa 128 bit cũng dễ dàng bi bẻ khóa Ngoài ra, những điểm yếu trong những vector khởi tạo khóa mã hoá giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông tin hơn rất nhiều

Không dự đoán được những lỗi trong khóa mã hóa, WEP có thể được tao

ra cách bảo mật mạnh mẽ hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khóa mã hóa mới cho mỗi phiên làm việc Khóa mã hóa sẽ thay đổi trên mỗi

phiên làm việc Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẽ gãy khóa bảo mật.

b) WLAN VPN:

Mạng riêng VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép VPN tạo ra một tin cậy cao thông qua việt sử dụng một cơ chế bảo mật như IPsec (Internet Protocol Security) để mã hóa dữ liệu và dùng các thuật toán khác để xác thực gói dữ liệu IPSec cũng sử dụng thẻ xác nhận số để xác nhận khóa mã (public key) Khi được sử dụng trên mạng WLAN, VPN đảm nhận việt xác thực, đóng gói và mã hóa

Hình 1-16 Mô hình WLAN VPN

c) TKIP:

TKIP (Temporal Key Integrity Protocol) là giải pháp của IEEE được phát triển năm 2004 Là một nâng cấp cho WEP nhằm vá những vấn đề bảo mật trong cài đặt mã dòng RC4 trong WEP TKIP dùng hàm băm (hashing) IV để chống lại việc MIC (Message Integity Check) đẻ đảm bảo tính chính xác của gói tin TKIP

và sử dụng khóa động bằng cách đặt cho mỗi frame một chuỗi sống lại dạng tấn công giả mạo

d) AES:

Trong mật mã học, AES (Advanced Encryption Stadar) là một thuật toán

mã hóa khối được chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa Giống như tiêu chuẩn tiền nhiệm DES, AES được kì vọng áp dụng trên phạm vi thế giới và

đã được nghiên cứu rất kỹ lưỡng AES được chấp nhận làm tiêu chuẩn liên bang bởi viện tiêu chuẩn và công nghệ quốc gia Hoa Kỳ (NIST) sau một quá trình tiêu chuẩn hóa kéo dài 5 năm

Thuật toán được thiết kế bởi 2 nhà mật mã học người Bỉ: Joan Daemen và Vincent Rijmen (lấy tên chung là Rijndael khi tham gia cuộc thi thiết kế AES)

e) 802.1x và EAP:

802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) được định nghĩa bởi IEEE Hoạt động trên cả môi trường có dây truyền thống và không dây Việc điều khiển truy cập được thực hiện bằng cách: Khi một người dùng cố gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn (bloking) và chờ cho việc kiểm tra định danh người dùng hoàn tất

Hình 1-17 Mô hình hoạt động xác thực 802.1x

EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, certificate,…), giao thức được sử dụng (MD5, TLI_Transport Layer Security, OTP_One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau.

 Quá tình chứng thực 802.1x-EAP như sau:

Wireless client muốn liên kết với một AP trong mạng

1. AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log

on vào mạng Khi đó client yêu cầu liên kết tới AP

2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP

3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP

4. Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng thực

5. Server chứng thực gửi một yêu cầu cho phép AP

6. AP chuyển yêu cầu cho phép tới client

7. Client gửi trả lời sự cấp phép EAP tới AP

8. AP chuyển sự trả lời đó tới Server chứng thực

9. Server chứng tực gửi một thông báo thành công EAP tới AP

10. AP chuyển thông báo thành công tới client và đặt cổng của client trong chế độ forward

f) WPA:

WEP (WI-FI Protected Access) được xây dựng để bảo vệ một mạng không dây tránh bị nghe trộm Nhưng nhanh chóng sau đó người ta phát hiện ra nhiều lỗ hổng công nghệ này Do đó công nghệ mới có tên gọi WPA (Wi-Fi Protected Access) ra đời, khắc phục được nhiều nhược điểm của WEP

Một trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khóa TKIP WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hóa đầy

đủ 128 bit Và một đặc điểm khác là WPA thay đổi khóa cho mỗi gói tin Các công cụ thu thập các gói tin để khóa phá mã hóa đều không thể thực hiện được với WPA Bởi WPA thay đổi khóa liên tục nên hacker không bao giờ thu thập đủ

dữ liệu mẫu để tìm ra mật khẩu

Không những thế WPA còn bao gồm cả tính toàn vẹn của thông tin (Message Integrity Check) Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise

Cả 2 lựa chọn đều sử dụng giáo thức TKIP, và sự khác biệt chỉ là khóa khởi tạo

mã hóa lúc đầu WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khóa khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khóa khởi tạo cho mỗi phiên làm việc

Lưu ý:

Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal Khi

mà hàm thay đổi khóa TKIP được sử dụng để tạo ra các khóa mã hóa chưa phát hiện, nếu hacker có thể đoán được khóa khởi tạo hoặc một phần của mật khẩu, họ

có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu tuy nhiên, lỗ hỏng này cũng sẽ được loại bỏ bằng cách sử dụng những khóa khởi tạo không dể đoán (đừng sử dụng những từ như “P@SSWORD” để làm mật khẩu)

Điều này cũng có nghĩa rằng thủ thuật TKIP của WPA chỉ là giải pháp tam thời, chưa cung cấp một phương thức bảo mật cao nhất WPA chỉ thích hợp với những công ty mà không truyền dữ liệu “mật” về thương mại hay các thông tin nhạy cảm…WPA cũng thích hợp với những hoạt động hằng ngày và mang tính thử nghiệm công nghệ

g) WPA2:

Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng nhận bởi Wi-Fi Alliance Chuẩn này sử dụng thuật toán mã hóa mạnh mẽ và được gọi là Chuẩn mã hóa nâng cao AES AES sử dụng thuật toán

mã hóa đối xứng theo khối Rijndael, sử dụng khối mã hóa 128 bit, và 192 bit

hoặc 256 bit Để đánh giá chuẩn mã hóa này, Việc nghiên cứu quốc gia về Chuẩn

và Công nghệ của Mỹ, NIST (National Institute of Standards and Technology),

đã thông qua thuật toán mã đối xứng này

Lưu ý:

Chuẩn mã hóa này được sử dụng cho các cơ quan chính phủ Mỹ để bảo vệ các thông tin nhạy cảm

Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP

128 bit hoặc 168 bit DES (Digital Encryption Standanrd) Để đảm bảo về mặt hiệu năng, quá trình mã hóa cần thực hiện trong các thiết bị phần cứng như tích hợp vào chip Tuy nhiên, rất ít người sử dụng mạng không dây quan tâm tới vấn

đề này Hơn nữa, hầu hết các thiết bị cầm tay WI-FI và máy quét mã vạch đều không tương thích với chuẩn 802.11i

h) Lọc:

Lọc là cơ chế bảo mật cơ bản có thể sử dụng cùng với WEP Lọc hoạt động giống access list trên router, cấm những cái không mong muốn và cho phép những cái mong muốn Có 3 kiểu lọc cơ bản có thể sử dụng trong WLAN:

- Sử dụng giá trị SSID mặc định tạo điều kiện cho hacker dò tìm địa chỉ MAC của AP

- Sử dụng SSID như là phương thức bảo mật của công ty.

- Quảng bá SSID một cách không cần thiết

Hình 1-18 Tiến trình xác thực MAC

 Lọc giao thức:

Mạng WLAN có thể lọc các gói đi qua mạng dựa trên các giao thức từ lớp

2 đến lớp 7 Trong nhiều trường hợp, người quản trị nên cài đặt lọc giao thức trong môi trường dùng chung

- Có một nhóm cầu nối không dây được đặt trên một Remote Building trong một mạng WLAN của một trường đại học mà kết nối lại tới AP của tòa nhà kỹ thuật trung tâm

- Vì tất cả những người sử dụng trong Remote Builing chia sẻ băng thông 5Mbs giữa những tòa nhà này, nên một số lượng đáng kể các điều khiển trên các sử dụng này phải được thực hiện.

- Nếu các kết nối này được cài đặt với mục đích đặc biệt của sự truy nhập internet của người sử dụng, thì bộ lọc giao thức sẽ loại trừ tất cả các giao thức, ngoại trừ HTTP, SMTP, HTTPS, FTP…

Hình 1-19 Lọc giao thức

CHƯƠNG 2: GIAO THỨC XÁC THỰC RADIUS

2.1 Giới thiệu về RADIUS:

RADIUS (Remote Authentication Dial In User Service) là một giao thức

sử dụng cơ chế AAA để xác thực, phân quyền và theo dõi truy cập của người dùng kết nối từ xa tới các máy chủ nhận kết nối (Network Access Server)

RADIUS là giao thức bảo mật mạng dựa theo mô hình client-server Nó

sử dụng giao thức UDP Client là các dạng thiết bị có thể truyền thông tin đến RADIUS server được chỉ định trước và sau đó đóng vai trò phúc đáp mà nó trả

về Giao tiếp giữa client và RADIUS server được xác thực thông qua việc sử dụng khóa bí mật chung không được truyền qua mạng

RADIUS là một giao thức được sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền và theo dõi truy cập trong mạng Ban đầu, RADIUS được phát triển dành cho thiết lập kết nối từ xa RADIUS bây giờ hỗ trợ cho máy chủ VPN, các điểm truy cập không dây, chứng thực chuyển mạch internet, truy cập ADSL,

và các loại truy cập mạng khác

Có 2 loại giao thức RADIUS:

- Giao thức RADIUS 1: mô tả về xác nhận quyền (authentication), phân quyền (authorization), thông tin cấu hình giữa máy chủ quản lý truy cập (NAS-Network Access Server) mà có các yêu cầu cần xác nhận và máy chủ xác nhận quyền dùng chung (Shared Authentication Server)

- Giao thức RADIUS 2: mô tả về thông tin về tài khoản giữa NAS và máy chủ quản lý tài khoản dùng chung

Hình 2-1 Mô hình RADIUS

2.2 Đặc điểm của RADIUS:

RADIUS cho phép nhà quản trị mạng biết được các thông tin quan trọng về tình hình cũng như mức độ an toàn trong mạng Nó cung cấp việc xác thực (authentication) người dùng nhằm bảo đảm có thể nhận dạng đúng người dùng Một khi đã nhận dạng đúng người dùng, ta có thể giới hạn uỷ quyền (authorization) mà người dùng có thể làm Khi người dùng sử dụng mạng, ta cũng có thể giám sát tất cả những gì mà họ làm AAA với ba phần:

authentication, authorization và accounting là các phần riêng biệt mà ta có thể sử

dụng trong dịch vụ mạng, cần thiết để mở rộng và bảo mật mạng

AAA có thể dùng để tập hợp thông tin từ nhiều thiết bị trên mạng Ta có thể kích hoạt các dịch vụ AAA trên Router, Switch, Firewall, các thiết bị VPN, Server… Các dịch vụ AAA bao gồm:

- Authentication

- Authorization

- Accounting

2.2.1 Authentication:

Xác thực dùng để nhận dạng người dùng Trong suốt quá trình xác thực, username và password của người dùng được kiểm tra và đối chiếu với cơ sở dữ liệu lưu trong AAA Server Tất nhiên, tuỳ thuộc vào giao thức mà AAA hỗ trợ mã hoá đến đâu, ít nhất thì cũng mã hoá username và password

Xác thực sẽ xác định người dùng là ai Ví dụ: Người dùng có username là User1 và password là CNTT sẽ là hợp lệ và được xác thực thành công với hệ thống Sau khi xác thực thành công thì người dùng đó có thể truy cập được vào mạng Tiến trình này chỉ là một trong các thành phần để điều khiển người dùng với AAA Một khi username và password được chấp nhận, AAA có thể dùng để định nghĩa thẩm quyền mà người dùng được phép làm trong hệ thống

2.2.2 Authorization:

Ủy quyền cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng thời gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên từng giao thức AAA cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của người dùng được phép thao tác vào tài nguyên Do đó, người dùng phải được xác thực trước khi uỷ quyền cho người đó

Ủy quyền trong AAA làm việc giống như một tập các thuộc tính mô tả những gì mà người dùng đã được xác thực có thể có

Ví dụ: Người dùng User1 sau khi đã xác thực thành công có thể chỉ được phép truy cập vào server CNTT_SERVER thông qua FTP Những thuộc tính này được so sánh với thông tin chứa trong cơ sở dữ liệu của người dùng đó và kết quả được trả về AAA để xác định khả năng cũng như giới hạn thực tế của người

đó Điều này yêu cầu cơ sở dữ liệu phải giao tiếp liên tục với AAA server trong suốt quá trình kết nối đến thiết bị truy cập từ xa (RAS)

Ủy quyền liên quan đến việc sử dụng một bộ quy tắc hoặc các mẫu để quyết định những gì một người sử dụng đã chứng thực có thể làm trên hệ thống

Ví dụ: Trong trường hợp của một nhà cung cấp dịch vụ Internet, nó có thể quyết định liệu một địa chỉ IP tĩnh được cho là trái ngược với một địa chỉ DHCP được giao Các quản trị hệ thống định nghĩa những quy tắc này.

Máy chủ AAA sẽ phân tích yêu cầu và cấp quyền truy cập bất cứ yêu cầu nào có thể, có hoặc không phải là toàn bộ yêu cầu là hợp lệ Ví dụ: Một máy khách quay số kết nối và yêu cầu nhiều liên kết Một máy chủ AAA chung chỉ đơn giản là sẽ từ chối toàn bộ yêu cầu, nhưng một sự thực thi thông minh hơn sẽ xem xét yêu cầu, xác định rằng máy khách chỉ được phép một kết nối dial-up, và cấp một kênh trong khi từ chối các yêu cầu khác

2.2.3 Accouting:

Accouting cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin trong

hệ thống cơ sở dữ liệu quan hệ Nói cách khác, accouting cho phép giám sát dịch

vụ và tài nguyên được người dùng sử dụng Ví dụ: thống kê cho thấy người dùng

có tên truy cập là User1 đã truy cập vào CNTT_SERVER bằng giao thức FTP với số lần là 5 lần Điểm chính trong accouting đó là cho phép người quản trị giám sát tích cực và tiên đoán được dịch vụ và việc sử dụng tài nguyên Thông tin này có thể được dùng để tính cước khách hàng, quản lý mạng, kiểm toán sổ sách

Các đòi hỏi về thời gian của RADIUS rất khác biệt so với TCP Một mặt, RADIUS không yêu cầu câu trả lời (responsive) về việc dò tìm dữ liệu bị mất User sẵn sàng chờ trong nhiều giây để cho việc xác nhận quyền được hoàn thành Việc truyền lại thường xảy ra đối với các TCP dựa trên thời gian truyền nhận trung bình không cần thiết nữa, kể cả thời gian hao tổn cho việc nhận biết phản hồi về Mặt khác, user không thể chờ đợi quá lâu trong nhiều phút cho việc xác nhận quyền Việc phải chờ đợi quá lâu là không hữu ích Việc sử dụng luân phiên nhanh chóng các server sẽ cho phép user truy cập được vào mạng trước khi họ bỏ cuộc.

Trạng thái rất tự do của RADIUS đã đơn giản hóa việc sử dụng UDP Các client và server có thể đăng ký vào hoặc ra khỏi mạng Hệ thống bị khởi động lại

vì một lý do nào đó như nguồn điện bị mất, …Các sự kiện bất thường này nói chung sẽ không gây nguy hiểm nếu như có những timeout tốt và xác định được các cầu nối TCP đã bị đứt Tuy nhiên, UDP hoàn toàn bỏ qua các sự cố đặc biệt này Các client và server có thể một chuyến vận chuyển dữ liệu UDP ngay lập tức và để nó tự nhiên truyền trên mạng với các sự kiện có thể có

UDP đơn giản hóa việc thực hiện server Ở những phiên bản trước, server được thực hiện đơn luồng (single thread), có nghĩa là mỗi lúc chỉ có một yêu cầu được nhận, xử lí và trả về Điều này không thể quản lý được trong môi trường kỹ thuật an toàn quay vòng (back-end security mechanism) dùng thời gian thực (real-time) Hàng đợi yêu cầu của server sẽ bị đầy, và trong một môi trường có hàng trăm người được yêu cầu xác nhận quyền trong mỗi phút, thời gian quay vòng của yêu cầu sẽ lớn hơn rất nhiều so với thời gian mà user chờ đợi Do vậy, giải pháp được chọn là thực hiện server chế độ đa luồng (multu-thread) với UDP Những quá trình xử lý độc lập sẽ được sinh ra trên server tương ứng với mỗi yêu cầu và những quá trình này sẽ trả lời trực tiếp với các NAS khách hàng bằng gói UDP tới lớp truyền dẫn chính của client