Đồ án Vấn đề an ninh an toàn mạng máy tính và các giải pháp xác thực người dùng

ải pháp xác thực người dùng Lê Thị Thùy Lương 26 b. Các Access Point không được cấu hình đúng cách Thình thoảng một cái Access Point có thể bỗng nhiên trở thành một thiết bị thâm nhập trái phép chỉ bởi một lỗi cấu hình rất nhỏ. Thay đổi trong việc thiết lập xác định dịch vụ, thiết lập xác nhận, thiết lập mã hóa …, có thể diễn ra nghiêm trọng bởi vì chúng có thể cho phép sự kết hợp trái phép nếu không được cấu hình đúng cách. Lấy ví dụ, trong chế độ xác thực mở, bất cứ thiết bị không dây ở máy khách nào trong trạng thái 1 (chưa được xác thực và chưa được liên kết) đều có thể gửi những yêu cầu xác thực tới một Access Point và nếu xác thực thành công thì có thể chuyển sang trạng thái 2 (được xác thực và chưa được liên kết). Nếu như một Access Point không xác định đúng người dùng bởi những lối cấu hình thì kẻ tấn công có thể gửi rất nhiều yêu cầu xác thực là tràn bảng chứa thông tin xác thực người dùng của Access Point, và làm cho nó không thể phục vụ được những người dùng hợp pháp khác. c. Rogue Access Point từ những mạng WLAN lân cận Những máy tính sử dụng chuẩn 802.11 ngày nay đều tự động chọn cái Access Point gần nhất và kết nối với chúng. Ví dụ, Window XP tự động kết nối tới liên kết gần nhất có thể ở trong vùng lân cận. Chính bởi vì đặc tính này mà các máy tính của một tổ chức có thể kết nối tới những Access Point của một tổ chức lân cận. Mặc dù là các Access Point lân cận này không phải chủ ý muốn lôi kéo các máy tính đó, nhưng chính sự liên kết này có thể làm lộ các thông tin nhạy cảm. Trong mạng ad-hoc, các thiết bị không dây có thể liên lạc trực tiếp giữa chúng mà không cần một thiết bị tạo mạng LAN như là Access Point. Mặc dù các thiết bị này về bản chất có thể tự chia sẻ dữ liệu tuy nhiên chúng có thể gây ra những đe dọa nguy hiểm cho cả tổ chức bởi vì chúng thiếu những biện pháp bảo mật cần thiết như là việc xác thực người dùng 802.1x, và mã hóa khóa động. Kết quả là mạng ad-hoc có thể gây ra nhiều mối nguy hiểm cho dữ liệu (khi dữ liệu không được mã hóa). Thêm vào đó, việc xác thực người dùng yếu cũng có thể cho phép các thiết bị truy cập bất hợp pháp. Nếu như các thiết bị trong mạng ad-hoc có kết nối với mạng có dây thì toàn bộ hệ thống mạng có dây đều bị đặt trong tình trạng nguy hiểm. d. Các Rogue Access Point không áp dụng đúng các chính sách bảo mật Các tổ chức có thể thiết lập các chính sách bảo mật lên trên các Access Point tham gia truy nhập vào mạng không dây. Chính sách cơ bản nhất là dựa trên việc phân loại các địa chỉ MAC. Các tổ chức có thể cấu hình trước cho phép một loạt các địa chỉ MAC hợp lệ và định danh của một số các thiết bị khác ngoài danh sách địa chỉ MAC Giải pháp xác thực người dùng Lê Thị Thùy Lương 27 để nhằm ngăn chặn việc xâm nhập trái phép của các thiết bi khác. Hoặc giả như một tổ chức chỉ hoàn toàn dùng các Access Point của hãng Cisco thì một chiếc Access Point của một hãng khác chắc chắn là chiếc không hợp lệ rồi. Một cách đơn giản, các tổ chức có thể thiết lập hàng loạt các chính sách sử dụng SSID, loại sóng truyền thông, và kênh. Bất cứ khi nào một chiếc Access Point bị phát hiện là không tuân theo các chính sách đã được thiết lập trước này thì nó đều bị coi là Access Point trái phép. e. Các Rogue Access Point được điều khiển bới kẻ tấn công Các mạng LAN không dây phải chịu rất nhiều cuộc tấn công. Thêm vào đó các công cụ tấn công mã nguồn mở đã làm cho công việc của những kẻ tấn công dễ dàng hơn. Những kẻ tấn công có thể cài đặt những Access Point với cùng chỉ số SSID như những chiếc Access Point hợp lệ khác. Khi các máy tính nhận được tín hiệu mạnh hơn từ chiếc Access Point mà kẻ tấn công điều khiển thì chúng sẽ tự động kết nối với chiếc Access Point đó. Sau đó thì kẻ tấn công có thể thực hiện một cuộc tấn công. Những kẻ tấn công sẽ điều khiển các máy tính truy cập vào Access Point bằng cách sử dụng một chiếc laptop dùng mạng không dây và một vài thiết bị khác, kẻ tấn công có thể phá hoại thành công những dịch vụ không dây ở xung quanh đó. Phần lớn các cuộc tấn công từ chối dịch vụ là đều nhằm vào việc làm cạn kiệt những tài nguyên của Access Point như là bảng chứa thông tin xác thực người dùng. Tóm lại, một rogue Access Point là một Access Point không đáng tin cậy hoặc chưa được xác định đang chạy trong hệ thống WLAN của bạn. Việc dò tìm các Access Point bất hợp pháp này là bước đầu tiên để phòng vệ cho hệ thống WLAN của bạn. 2.6.2. Tổng hợp các phương pháp tấn công khác a. Tấn công Duration Các thiết bị không dây có một bộ cảm biến để ưu tiên việc dùng sóng RF. Bộ cảm biến này làm giảm khả năng 2 thiết bị cùng truyền phát một lúc. Những nút không dây dành quyền sử dụng kênh truyền sóng trong một khoảng thời gian nhất định quy định trong gói tin. Thông thường một gói tin 802.11 có định dạng như sau: Giải pháp xác thực người dùng Lê Thị Thùy Lương 28 Giá trị Duration trong gói tin này là để chỉ khoảng chờ tính theo mini giây mà kênh sẽ dành để phục vụ cho thiết bị truyền gói tin này tới. Véctơ định vị mạng sẽ lưu giữ thông tin về khoảng chờ này và định ra cho mỗi nút. Quy luật cơ bản nhất là bất cứ nút nào cũng có thể truyền tin chỉ khi véctơ định vị mạng đang ở số 0 hay nói cách khác tức là không có nút nào đang chiếm giữ kênh tại thời điểm đó. Những kẻ tấn công đã lợi dụng đặc điểm này của véctơ định vị mạng. Một kẻ tấn công có thể gửi một gói tin với một giá trị khoảng đợi rất lớn. Điều này buộc cho tất cả các nút khác sẽ phải đợi cho đến khi giá trị đó trở về 0. Nếu như kẻ tấn công thành công trong việc gửi liên tục nhìều gói tin với khoảng đợi lớn, thì nó sẽ ngăn cản các nút khác hoạt động trong một thời gian dài và do đó gây ra từ chối dịch vụ. Chương trình WiFi Manager có thể cảnh báo khi nó phát hiện ra những thông số thời gian Duration không bình thường được gửi đi. Các nhà quản trị mạng WLAN ngay lập tức phải phân tích xem thông số Duration đó là vô tình hay là cố ý được gửi bởi kẻ tấn công. b. Tấn công tràn kết nối Tấn công tràn kết nối là một kiểu tấn công từ chối dịch vụ mà kẻ tấn công cố gắng lấp đầy bảng kết nối của Access Point bằng cách làm tràn Access Point bởi một loạt các thông tin yêu cầu kết nối giả. Theo chuẩn 802.11 thì chứng thực dùng khóa chia sẻ gặp nhiều khiếm quyết và rất ít khi được sử dụng. Cách duy nhất là sử dụng chứng thực mở một thủ tục dựa trên sự chứng thực cao hơn từ 802.1x hoặc VPN. Chứng thực mở cho phép bất cứ máy khách nào được chứng thực sau đó kết nối. Một kẻ tấn công có thể làm tràn bảng kết nối của Access Point bằng cách tạo ra nhiều máy khách đạt tới trạng thái được chứng thực và được kết nối. Một khi bảng kết nối đã tràn thì các máy khách khác sẽ không thể kết nối được với Access Point và lúc này tấn công từ chối dịch vụ đã thành công. Khi WiFi tìm kiếm các địa chỉ MAC giả và lần theo những hoạt động của 802.1x và việc truyền dữ liệu sau khi một kết nối máy khách thành công để ngăn chặn kiểu tấn công từ chối dịch vụ này. c. Tấn công tràn phân tách Tấn công phân tách là một dạng của tấn công từ chối dịch vụ để buộc các máy khách luôn ở trạng thái được chứng thực nhưng chưa được kết nối bằng cách lừa gửi những gói tin phân tách từ Access Point tới các máy khách. Cứ mỗi khi máy khách yêu cầu dịch vụ kết nối thì kẻ tấn công lại gửi một gói tin phân tách đến cho máy khách Giải pháp xác thực người dùng Lê Thị Thùy Lương 29 làm cho máy khách không thể nào kết nối thành công được và không thể đạt được trạng thái được chứng thực và được kết nối. WiFi manager phát hiện ra kiểu tấn công từ chối dịch vụ này bằng cách dò tìm các gói tin phân tách giả và lần theo tình trạng chứng thực và kết nối của các máy khách. Một khi được cảnh báo, các Access Point và máy khách bị tấn công sẽ bị phát hiện và người quản trị mạng WLAN có thể giải quyết vấn đề này. d. Tấn công ngăn cản chứng thực Tấn công ngăn cản chứng thực là một dạng của tấn công từ chối dịch vụ bằng cách cố tình tạo ra các gói tin chứng thực với các thông số sai (thông số dịch vụ chứng thực và mã trạng thái) từ các máy khách ở trạng thái được chứng thực và được kết nối đến một Access Point. Khi nhận được các gói tin chứng thực sai này, Access Point sẽ chuyển máy khách về trạng thái chưa được chứng thực và chưa được kết nối làm ngưng kết nối đường truyền. Công cụ để thực hiện kiểu tấn công này gọi là Fata-jack – một phiên bản nâng cấp của Wlan-jack víêt bởi Mark Osbourne. WiFi manager sẽ phát hiện ra dạng tấn công từ chối dịch vụ này bằng cách quan sát các địa chỉ MAC giả và các chứng thực thất bại. Những cảnh báo này cũng ám chỉ các nỗ lực xâm nhập vào hệ thống. Mỗi khi một thiết bị không dây thất bại nhiều lần trong việc chứng thực với một Access Point thì WiFi manager sẽ đưa ra một lời cảnh báo về việc có một kẻ tấn công tiềm tàng đang cố gắng chọc thủng hệ thống bảo mật. Chú ý rằng những cảnh báo này chỉ chú trọng và phương thức chứng thực 802.11 (Hệ thống mở và chia sẻ khóa). Chứng thực 802.1x và EAP sẽ dựa trên những cảnh báo của WiFi manager khác. e. Tấn công tràn chứng thực Tấn công tràn chứng thực là một kiểu tấn công từ chối dịch vụ nhằm mục đích làm tràn ngập bảng lưu trữ dữ liệu truy cập của Access Point bằng cách dùng nhiều máy khách gửi rất nhiều yêu cầu chứng thực tới Access Point. Bảng lưu dữ liệu truy cập của Access Point là nơi mà Access Point lưu trữ thông tin về tình trạng máy khách và nó có kích cỡ giới hạn phụ thuộc vào bộ nhớ vật lý. Mỗi khi nhận được một yêu cầu chứng thực thì Access Point đều tạo ra một bảng lưu lại đầu vào ở trạng thái chưa chứng thực và chưa kết nối trong bảng kết nối Khi bảng kết nối này đã bị đầy tràn, các máy khách khách sẽ không thể được chứng thực và kết nối với Access Point, do đó cuộc tấn công từ chối dịch vụ này đã thành công. Giải pháp xác thực người dùng Lê Thị Thùy Lương 30 WiFi manager sẽ phát hiện ra kiểu tấn công từ chối dịch vụ này bằng cách dò tìm các tình trạng chứng thực và kết nối trong bảng tình trạng máy khách. Một khi có cảnh báo thì Access Point và máy khách bị tấn công sẽ được phát hiện và người quản trị mạng WLAN sẽ được báo. f. Tấn công tràn gây từ chối xác nhận Tấn công tràn gây ra từ chối xác thực là một dạng tấn công từ chối dịch vụ nhằm mục đích đưa các máy khách tới trạng thái chưa chứng thực và chưa kết nối bằng cách giả truyền các gói tin từ chối xác thực tới địa chỉ unicast của máy khách. Với những sự bổ sung của các máy khách hiện nay thì dạng tấn công này là rất hiệu quả và ngay lập tức gây ra sự chia cắt giữa Access Point và máy khách. Điển hình, các máy khách sẽ phải chứng thực lại và kết nối lặp đi lặp lại đến dịch vụ cho đến khi nào kẻ tấn công gửi một gói tin từ chối xác thực khác. Kẻ tấn công sẽ sử dụng các gói tin giả từ chối xác thực này tới tất cả các máy khách trong dịch vụ. g. Tấn công tràn Access Point Access Point lưu trữ bảng thông tin tình trạng máy khách ở trong bảng liên kết máy khách. Mỗi khi bảng liên kết máy khách đạt tới mức cho phép của các máy khách kết nối, Access Point sẽ bắt đầu từ chối các yêu cầu kết nối mới. Tình trạng này của Access Point gọi là tình trạng quá tải. WiFi manager sẽ từ chối các yêu cầu kết nối và cảnh bảo tới người quản trị. Một Access Point có thể bị quá tải vì một trong các lý do sau: Thực sự bị quá tải bởi lượng người truy cập quá đông: Các Access Point ở trong các vùng có mật độ truy cập đông thường bị quá tải. Đây là chuyện hết sức bình thường. Việc này có thể được giải quyết bằng cách thêm nhiều Access Point nữa vào vùng đó. Kiểu tấn công từ chối dịch vụ sử dụng sự kết nối giả: Nếu như Access Point không thực sự bị quá tải nhưng vẫn từ chối các máy khách thì nó chính là đã bị tấn công từ chối dịch vụ. Những kẻ tấn công sử dụng máy laptop có WiFi và các công cụ mã nguồn mở để gây ra vấn đề này. Nếu có quá nhiều cảnh báo về tấn công từ chối dịch vụ vào một Access Point thì phải khoanh vùng và tìm kẻ tấn công để làm cho Access Point này hoạt động bình thường trở lại. Giải pháp xác thực người dùng Lê Thị Thùy Lương 31 2.7. Chính sách bảo mật mạng không dây 2.7.1. Đánh giá về hệ thống bảo mật của WLAN Một mạng WLAN là cách hoàn hảo để chúng ta kết nối dữ liệu trong một tòa nhà mà không cần phải thiết đặt hàng đống dây rợ trong văn phòng. Tuy nhiên đi kèm với sự tiện lợi đó là rất nhiều vấn đề về an ninh đang còn tồn tại ở WLAN. Trong phần lớn các mạng LAN, hệ thống dây nằm ở trong văn phòng, vì thế nếu muốn phá hoại thì trước tiên kẻ tấn công phải đánh bại hệ thống phòng thủ vật lý. Tuy nhiên sóng radio trong mạng không dây lại có thể đi xuyên ra ngòai tòa nhà làm gây nên rất nhiều nguy hiểm cho hệ thống mạng WLAN. Nói tóm lại hệ thống bảo mật của WLAN còn rất nhiều lỗ hổ và các nhà quản trị mạng WLAN cần tuân theo các chính sách bảo mật nghiêm ngặt. 2.7.2. Chính sách bảo mật WLAN Với bất cứ mạng WLAN nào bạn cũng nên xem xét việc áp dụng các chính sách này đối với những tài nguyên để tránh những kẻ xâm nhập bất hợp pháp. o Kích hoạt bảo vệ WEP ít thôi. Thực tế thì WEP rất yếu, nó không đủ để bảo vệ các thông tin quý giá ở trong mạng. Vấn đề của chuẩn 802.11b là nó không hỗ trợ việc thay đổi WEP động nên làm cho việc mã hóa yếu đi từng ngày. o Tận dụng các cơ chế trao đổi khóa tĩnh. Hiện nay với chuẩn 802.11i bạn có thể dùng cơ chế WiFi Protected Access để tăng cường khả năng an ninh cho mạng. o Đảm bảo rằng các card mạng và các phần cứng Access Point đều được cập nhật. Các nhà sản xuất thường xuyên đưa các bản patch mới để tăng cường khả năng bảo mật của các thiết bị này. o Đảm bảo rằng không có người lạ nào có thể reset Access Point. Đừng để Access Point ở nơi dễ dàng chạm tới nếu không thì bạn sẽ phải hối tiếc đó. o Hãy cấu hình Access Point đúng cách. Điều này là rất quan trọng nhưng nhiều khi các nhà quản trị quá chủ quan vì nó quá là đơn giản. o Hãy đặt các Password thật mạnh cho Access Point. Để đảm bảo rằng chỉ có admin mới có thể kiểm soát chiếc Access Point. o Đừng sử dụng các tên SSID mặc định. Đặt tên mặc định thì bạn dễ nhớ nhưng điều này cũng làm cho kẻ tấn công cảm thấy dễ dàng hơn. Giải pháp xác thực người dùng Lê Thị Thùy Lương 32 o Hãy hạn chết sóng radio lan ra bên ngoài. Việc này có thể khắc phục bằng cách điều chỉnh mức độ phát sóng của các Access Point để đảm bảo sóng chỉ ở trong tòa nhà. o Hãy cài đặt các tường lửa cá nhân. Sẽ khó hơn cho các hacker khi gặp phải tường lửa tốt. o Tận dụng hệ thống mạng ảo ở các máy khách để tăng cường khả năng bảo mật của WLAN. o Quan sát kỹ lưỡng khi có những tình huống khả nghi để có thể xử lý kịp thời. Giải pháp xác thực người dùng Lê Thị Thùy Lương 33 Chương 3: CÔNG NGHỆ CAPTIVE PORTAL VÀ SỬ DỤNG RADIUS XÁC THỰC TRONG WLAN 3.1. Công nghệ Captive Portal là gì? Chúng ta sẽ tìm hiểu khái niệm Captive Portal (viết tắt là CP) thông qua cách thức hoạt động của chúng. Công nghệ CP sẽ bắt buộc một máy muốn sử dụng Internet trong mạng thì trước tiên phải sử dụng trình duyệt để “được” tới một trang đặc biệt (thường dùng cho mục đích xác thực). CP sẽ chuyển hướng trình duyệt tới thiết bị xác thực an ninh. Điều này được thực hiện bằng cách bắt tất cả các gói tin, kể cả địa chỉ và cổng, đến khi người dùng mở một trình duyệt và thử truy cập Internet. Tại thời điểm đó, trình duyệt sẽ được chuyển hướng tới trang web đặc biệt yêu cầu xác thực (đăng nhập) hoặc thanh toán, hoặc đơn giản chỉ là hiện một bảng thông báo về các quy định mà người dùng sẽ phải tuân theo và yêu cầu người dùng phải chấp nhận các quy định đó trước khi truy cập Internet. CP thường được triển khai ở hầu hết các điểm truy nhập WiFi và nó cũng có thể được dùng để điều khiển mạng có dây. Do trang web đăng nhập phải truy cập được từ trình duyệt của máy khách, do đó trang web này cần phải đặt ngay trên gateway hoặc trên một web server nằm trong “danh sách trắng” nghĩa là có thể truy cập mà không cần quá trình xác thực. Ngoài việc có danh sách trắng của các địa chỉ URL, một vài loại gateway còn có danh sách trắng đối với một vài cổng TCP. 3.1.1. Các cách triển triển khai a. Chuyển hướng bằng HTTP (Hypertext Transfer Protocol) Nếu một máy khách chưa xác thực truy cập đến một website, trình duyệt sẽ yêu cầu địa chỉ IP tương ứng với tên miền từ máy chủ DNS và nhận được thông tin này như bình thường. Tiếp đó trình duyệt sẽ gửi một yêu cầu HTTP đến địa chỉ IP đó. Tuy nhiên yêu cầu này sẽ bị firewall chặn lại và chuyển tiếp tới một máy chủ chuyển tiếp. Máy chủ chuyển tiếp này phản hồi với một trả lời HTTP thông thường, trong đó gồm mã trạng thái HTTP 302 để chuyển hướng máy khách tới CP. Đối với máy khách thì quá trình này hoàn toàn “trong suốt”. Máy khách sẽ tưởng rằng website đó đã thực sự trả lời với yêu cầu đầu tiên và gửi thông tin chuyển hướng. Giải pháp xác thực người dùng Lê Thị Thùy Lương 34 b. Chuyển hướng bằng DNS Nếu một máy khách chưa xác thực truy cập đến một website, trình duyệt sẽ yêu cầu địa chỉ IP tương ứng với tên miền từ máy chủ DNS. Thay vì trả về IP chính xác của tên miền website đó, máy chủ DNS sẽ trả về IP của CP. Nếu quản trị mạng không có hành động ngăn ngừa thì cách thức này có thể dễ dàng bị vượt qua bằng cách sử dụng một máy chủ DNS khác tại máy khách. 3.1.3. Giới thiệu một số phần mềm sử dụng công nghệ Captive Portal a. Dành cho FreeBSD/OpenBSD PfSense pfSense là một phiên bản phần mềm tường lửa được tách ra từ phần mềm tường lửa mã nguồn mở m0n0wall phát triển trên nền hệ điều hành FreeBSD. Gói phần mềm bao gồm hệ hiều hành Unix FreeBSD và các gói dịch tích hợp có chức năng router, tường lửa, máy chủ VPN, và một số dịch khác. Với mục tiêu là các hệ thống PC nhúng, gói phần mềm được thiết kế nhỏ gọn, dễ dàng cài đặt thông qua giao diện web và đặc biệt là có khả năng cài đặt thêm gói dịch vụ để mở rộng tính năng. Trang web chính thức của pfSense là www.pfSense.com. Để có thể tiếp tục thao tác như trong bài viết, các bạn vào mục downloads trên website, chọn download phiên bản iso LiveCD và ghi ra đĩa CD tập tin iso này. Ưu điểm - Miễn phí. - Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm. - Dễ cài đặt, cấu hình. Hạn chế - Phải trang bị thêm modem nếu không có sẵn. - Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác. - Vẫn chưa có tính năng lọc URL như các thiết bị thương mại. - Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình. Giải pháp xác thực người dùng Lê Thị Thùy Lương 35 b. Dành cho Linux PacketFence ( sử dụng ARP Spoofing thay vì lọc địa chỉ MAC/IP. Có thể được sử dụng để phát hiện/cô lập worms. Sử dụng Snort cho IDS. ZeroShell ( là một bản phân phối Linux nhỏ dạng LiveCD hoặc CompactFlash có chứa một multi-gateway Captive Portal. ... c. Dành cho Windows DNS Redirector ( không cần MAC, cho phép tích hộp 3rd party với MAC. ... d. Các loại khác HotSpotSystem.com ( Giải pháp hoàn thiện cho dịch vụ HotSpot trả tiền và miễn phí. WorldSpot.net ( Giải pháp dựa trên ChilliSpot. Miễn phí cho các HotSpot miễn phí. ... 3.1.4. Một số hạn chế Hấu hết các sản phẩm này chỉ đòi hỏi người sử dụng tới một trang đăng nhập có mã hoá SSL, sau đó IP và MAC của họ sẽ được cho phép đi qua gateway. Điều này sẽ có thể bị lợi dụng với một công cụ nghe lén gói tin đơn giản. Một khi địa chỉ IP và MAC của một máy tính khác đã được xác thực thì một máy tính bất kì có thể giả mạo địa chỉ IP và MAC của máy tính đó và do đó được phép đi qua gateway. Những platform có Wi-Fi và TCP/IP stack nhưng không có trình duyệt hỗ trợ HTTPS thì không thể sử dụng nhiều loại CP. Ví dụ như máy chơi game Nintendo DS sử dụng Nintendo Wi-Fi Connection. 3.2. Sử dụng RADIUS cho quá trình xác thực trong WLAN Với khả năng hỗ trợ xác thực cho cả chuẩn không dây 802.1X, RADIUS là giải pháp không thể thiếu cho các doanh nghiệp muốn quản lý tập trung và tăng cường tính bảo mật cho hệ thống. Giải p với xá nền tả Trong thiết m háp xác th Việc bảo c thực ngư ng RADIU phần này t áy chủ RA ực người d mật mạng ời dùng trê S có thể l ôi sẽ giới t DIUS để h ùng LAN khôn n Access P à một giải hiệu về các ỗ trợ việc x g dây (WL oint. Một m pháp tốt cu h thức làm ác thực ch AN) sử dụ áy chủ th ng cấp xá việc của R o WLAN. Lê T ng chuẩn 8 ực hiện việ c thực cho ADIUS và hị Thùy Lư 02.1X kết c xác thực chuẩn 802 vì sao phải ơng hợp trên .1X. cần Giải pháp xác thực người dùng Lê Thị Thùy Lương 37 3.2.1. Xác thực, cấp phép, và thanh toán Giao thức Remote Authentication Dial In User Service (RADIUS) được định nghĩa trong RFC 2865: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập cho các phiên làm việc với SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet. Nó cần thiết trong tất cả các bộ dịch vụ truy cập mạng(Network Access Server-NAS) để làm việc với danh sách tên và mật khẩu cho việc cấp phép, RADIUS Yêu cầu truy nhập sẽ chuyển các thông tin tới một máy chủ xác thực, thông thường nó là một máy chủ xác thực, cấp phép và thanh toán (máy chủ). Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất, trong khi có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NASs. Khi một người dùng kết nối, NAS sẽ gửi một thông báo dạng RADIUS Yêu cầu truy nhập tới máy chủ xác thực, chuyển các thông tin như tên và mật khẩu, thông qua một cổng xác định, NAS nhận dạng, và một thông báo xác thực. Sau khi nhận được các thông tin máy chủ sử dụng các gói tin được cung cấp như NAS nhận dạng và xác thực thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không. Nếu có khả năng, máy chủ sẽ tìm kiểm tra thông tin tên và mật khẩu mà người dùng yêu cầu truy cập trong cơ sở dữ lệu. Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin trong Yêu cầu truy nhập quyết định quá trình truy cập của người dùng đó là được chấp nhận. Khi quá trình xác thực bắt đầu được sử dụng, máy chủ có thể sẽ trả về một RADIUS Thách thức truy nhập mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến người dùng từ xa (với ví dụ này sử dụng CHAP). Khi đó người dùng sẽ phải trả lời đúng các yêu cầu xác nhận, sau đó NAS sẽ chuyển tới một thông báo RADIUS Yêu cầu truy nhập. Nếu máy chủ sau khi kiểm tra các thông tin của người dùng hoàn toàn thoả mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một thông báo dạng RADIUS Chấp nhận truy nhập. Nếu không thoả mãn máy chủ sẽ trả về một tin RADIUS Từ chối truy nhập và NAS sẽ ngắt kết nối với người dùng. Khi một gói tin Chấp nhận truy nhập được nhận và RADIUS tính toán đã được thiết lập, NAS sẽ gửi một gói tin RADIUS Yêu cầu thanh toán tới máy chủ. Máy chủ sẽ thêm các thông tin vào file Log của nó, với việc NAS sẽ cho phép phiên làm việc với người dùng bắt đầu khi nào, và kết thúc khi nào, RADIUS Thanh toán làm nhiệm Giải pháp xác thực người dùng Lê Thị Thùy Lương 38 vụ ghi lại quá trình xác thực của người dùng vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Yêu cầu thanh toán. 3.2.2. Sự an toàn và mở rộng Tất cả các thông báo của RADIUS đều được đóng gói bởi gói dữ liệu người dùng UDP, nó bao gồm các thông tin như: kiểu thông báo, số thứ tự, độ dài, xác thực, và một loạt các giá trị thuộc tính. Xác thực: tác dụng của xác thực là cung cấp một chế độ bảo mật. NAS và máy chủ sử dụng xác thực để hiểu đuợc các thông tin đã được mã hoá của nhau như mật khẩu chẳng hạn. Nó cũng giúp NAS phát hiện sự giả mạo của gói tin RADIUS Trả lời. Cuối cùng, nó được sử dụng làm cho biến mật khẩu thành một dạng nào đó, ngăn chặn việc làm lộ mật khẩu của người dùng trong các thông báo RADIUS. Xác thực gửi yêu cầu truy nhập trong một số ngẫu nhiên. MD5 sẽ băm (hash) số ngẫu nhiên đó thành một dạng riêng là OR’ed cho mật khẩu của người dùng và gửi trong yêu cầu truy nhập mật khẩu người dùng. Toàn bộ RADIUS Trả lời sau đó được MD5 băm với cùng thông số bảo mật của xác thực, và các thông số trả lời khác. Xác thực giúp cho quá trình giao tiếp giữa NAS và máy chủ được bảo mật nhưng nếu kẻ tấn công tóm được cả hai gói tin RADIUS Yêu cầu truy nhập và Trả lời truy nhập thì có thể thực hiện "tấn công từ điển" để phân tích việc đóng gói này. Trong điều kiện thực tế việc giải mã khó khăn bạn cần phải sử dụng những thông số dài hơn, toàn bộ vấn đề có khả năng nguy hại cho quá trình truyền tải này được miêu tả rất kỹ trong RFC 3580. Cặp giá trị thuộc tính: Thông tin được mang bởi RADIUS đuợc miêu tả trong một dạng giá trị thuộc tính, để hỗ trợ cho nhiều công nghệ khác nhau, và nhiều phương Giải pháp xác thực người dùng Lê Thị Thùy Lương 39 thức xác thực khác nha