LỜI CẢM ƠN
Để hoàn thành đồ án chuyên ngành đúng yêu cầu và thời gian đặt ra, em xin
chân thành cảm ơn thầy đã giao cho chúng em đề tài này và tận tình hướng dẫn, tạo
mọi điều kiện giúp đỡ chúng em trong quá trình làm đồ án. Qua quá trình làm đồ án
chuyên ngành chúng em đã học hỏi được rất nhiều. Giúp chúng em có được cái nhìn
sơ bộ về chuyên ngành của mình, là hành trang quan trọng để chúng em tốt nghiệp
sau này.
Mặc dù đã rất cố gắng trong quá trình làm đồ án môn học chuyên ngành
nhưng khó tránh khỏi những thiếu sót, rất mong được sự góp ý của thầy để chúng
em rút kinh nghiệm.
Chúng em xin chân thành cảm ơn!

Tp. Hồ Chí Minh, Ngày 7 Tháng 04 Năm 2018
Nhóm sinh viên thực hiện

1


MỤC LỤC
LỜI CẢM ƠN............................................................................................................................................... 1
CHƯƠNG I: TỔNG QUAN VỀ WIRELESS LAN................................................................................... 3
1.1. Wireless lan là gì?..................................................................................................................................3
1.1.1. Khái niệm........................................................................................................................................3
1.1.2. Lịch sử hình thành và phát triển.....................................................................................................3
1.2. Ưu điểm và nhược điểm...........................................................................................................................4
1.2.1. Ưu điểm của WLAN........................................................................................................................4
1.2.2. Nhược điểm.....................................................................................................................................4
CHƯƠNG II: QUI TRÌNH CHỨNG THỰC TRONG WIRELESS LAN................................................ 6
2.1. Khái niệm EAP......................................................................................................................................6
2.2. Quá tình chứng thực 802.1x-EAP..........................................................................................................6
2.3. Mã hóa và giải mã trong WPA...............................................................................................................6

2.4. Giao thức xác thực IEEE 802.1X...........................................................................................................7
CHƯƠNG III: BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP CHỨNG THỰC RADIUS.....................19
3.1. RADIUS là gì.......................................................................................................................................19
3.2. Quá trình trao đổi gói tin trong RADIUS............................................................................................19
3.2.1. Xác thực cấp phép và kiểm toán...................................................................................................19
3.2.2. Sự bảo mật và tính mở rộng..........................................................................................................20
3.2.3. Áp dụng RADIUS cho WLAN.....................................................................................................21
3.2.4. Các tùy chọn bổ sung....................................................................................................................22
CHƯƠNG VI: QUY TRÌNH CÀI ĐẶT VÀ TRIỂN KHAI HỆ THỐNG RADIUS SERVER............. 24
4.1. Cài đặt, cấu hình radius..........................................................................................................................24
4.2. Chuẩn bị cho bài lab cấu hình 802.1x wifi radius trên window server 2012.......................................24
4.3. Nâng cấp Active Director(AD)..............................................................................................................24
4.4. Cài đặt, cấu hình radius..........................................................................................................................24
4.5. Cài đặt NAP và cấu hình NAP(Network Policy and Access Services)................................................33
4.6. Cấu trên access point và client..............................................................................................................45
KẾT LUẬN................................................................................................................................................. 51
TÀI LIỆU THAM KHẢO.......................................................................................................................... 52


CHƯƠNG I: TỔNG QUAN VỀ WIRELESS LAN
1.1. Wireless lan là gì?
1.1.1. Khái niệm
Mạng LAN không dây viết tắt là WLAN (Wireless Local Area Network) hay WIFI
(Wireless Fidelity), là một mạng dùng để kết nối hai hay nhiều máy tính với nhau mà
không sử dụng dây dẫn. WLAN dùng công nghệ trải phổ, sử dụng sóng vô tuyến cho
phép truyền thông giữa các thiết bị trong một vùng nào đó gọi là Basic Service Set.
Đây là một giải pháp có rất nhiều ưu điểm so với kết nối mạng có dây (wireline)
truyền thống. Người dùng vẫn duy trì kết nối với mạng khi di chuyển trong vùng phủ
sóng.


1.1.2. Lịch sử hình thành và phát triển.
Năm 1990, công nghệ WLAN lần đầu tiên xuất hiện, khi những nhà sản xuất giới
thiệu những sản phẩm hoạt động ở băng tần 900 Mhz. Các giải pháp này (không có sự
thống nhất của các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mbs, thấp hơn rất nhiều
so với tốc độ 10 Mbs của hầu hết các mạng sử dụng cáp lúc đó.
Năm 1992, các nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần
2.4GHz. Mặc dù những sản phẩm này có tốc độ truyền cao hơn nhưng chúng vẫn chỉ là
những giải pháp riêng của mỗi nhà sản xuất và không được công bố rộng rãi. Sự cần thiết
cho việc thống nhất hoạt động giữa các thiết bị ở những dãy tần số khác nhau dẫn đến một
số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây.
Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã thông qua
sự ra đời của chuẩn 802.11, và được biết đến với tên WIFI (Wireless Fidelity) cho các
mạng WLAN.
Năm 1999, IEEE thông qua sự bổ sung cho chuẩn 802.11 là chuẩn 802.11a và
802.11b (định nghĩa ra những phương pháp truyền tín hiệu). Và các thiết bị WLAN dựa
trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây nổi trội.
Năm 2003, IEEE công bố thêm sự cải tiến là chuẩn 802.11g, chuẩn này cố gắng
tích hợp tốt nhất các chuẩn 802.11a, 802.11b và 802.11g. Sử dụng băng tần 2.4Ghz cho
phạm vi phủ sóng lớn hơn.


Năm 2009, IEEE cuối cùng cũng thông qua chuẩn WIFI thế hệ mới 802.11n sau 6
năm thử nghiệm. Chuẩn 802.11n có khả năng truyền dữ liệu ở tốc độ 300Mbps hay thậm
chí cao hơn.

1.2. Ưu điểm và nhược điểm
1.2.1. Ưu điểm của WLAN


Sự tiện lợi: Mạng không dây cung cấp giải pháp cho phép người sử dụng truy


cập tài nguyên trên mạng ở bất kì nơi đâu trong khu vực WLAN được triển khai
(khách sạn, trường học, thư viện…). Với sự bùng nổ của máy tính xách tay và các
thiết bị di động hỗ trợ wifi như hiện nay, điều đó thật sự rất tiện lợi.


Khả năng di động: Với sự phát triển vô cùng mạnh mẽ của viễn thông di

động, người sử dụng có thể truy cập internet ở bất cứ đâu. Như: Quán café, thư
viện, trường học và thậm chí là ở các công viên hay vỉa hè. Người sử dụng đều có
thể truy cập internet miễn phí.


Hiệu quả: Người sử dụng có thể duy trì kết nối mạng khi họ đi từ nơi này

đến nơi khác.


Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, chúng ta chỉ

cần một đường truyền ADSL và một AP là được một mạng WLAN đơn giản. Với
việc sử dụng cáp, sẽ rất tốn kém và khó khăn trong việc triển khai ở nhiều nơi
trong tòa nhà.


Khả năng mở rộng: Mở rộng dễ dàng và có thể đáp ứng tức thì khi có sự gia

tăng lớn về số lượng người truy cập.

1.2.2. Nhược điểm

Bên cạnh những thuận lợi mà mạng không dây mang lại cho chúng ta thì nó cũng
mắc phải những nhược điểm. Đây là sự hạn chế của các công nghệ nói chung.


Bảo mật: Đây có thể nói là nhược điểm lớn nhất của mạng WLAN, bởi vì

phương tiện truyền tín hiệu là song và môi trường truyền tín hiệu là không khí nên
khả năng một mạng không dây bị tấn công là rất lớn


Phạm vi: Như ta đã biết chuẩn IEEE 802.11n mới nhất hiện nay cũng chỉ có

thể hoạt động ở phạm vi tối đa là 150m, nên mạng không dây chỉ phù hợp cho một
không gian hẹp.




Độ tin cậy: Do phương tiện truyền tín hiệu là sóng vô tuyến nên việc bị

nhiễu, suy giảm…là điều không thể tránh khỏi. Điều này gây ảnh hưởng đến hiệu
quả hoạt động của mạng.


Tốc độ: Tốc độ cao nhất hiện nay của WLAN có thể lên đến 600Mbps nhưng

vẫn chậm hơn rất nhiều so với các mạng cáp thông thường (có thể lên đến hàng
Gbps)



CHƯƠNG II: QUI TRÌNH CHỨNG THỰC TRONG WIRELESS LAN
2.1. Khái niệm EAP
EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password,
certificate,…), giao thức được sử dụng (MD5, TLI_Transport Layer Security, OTP_One
Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau.

2.2. Quá tình chứng thực 802.1x-EAP
Wireless client muốn liên kết với một AP trong mạng.
1. AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng. Khi
đó client yêu cầu lien kết tới AP.
2.

AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP.

3.

Client gửi đáp lại yêu cầu nhận dạng EAP cho AP.

4. Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng
thực.
5.

Server chứng thực gửi một yêu cầu cho phép AP.

6.

AP chuyển yêu cầu cho phép tới client.

7.


Client gửi trả lời sự cấp phép EAP tới AP.

8.

AP chuyển sự trả lời đó tới Server chứng thực.

9.

Server chứng tực gửi một thông báo thành công EAP tới AP.

10. AP chuyển thông báo thành công tới client và đặt cổng của client trogn chế độ
forward.

2.3. Mã hóa và giải mã trong WPA
WPA là sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol). WPA
cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm
khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá
mã hoá đều không thể thực hiện được với WPA. Bởi WPA thay đổi khoá liên tục

nên

hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu. Không những thế, WPA
còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ
liệu không thể bị thay đổi trong khi đang ở trên đường truyền.
WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn này đều
sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu. WPA


Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụng
tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một

máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc.
 WPA cung cấp hai yếu tố cải tiến về bảo mật như sau:


Cải tiến mã hóa dữ liệu thông qua TKIP. Temporal Key Integrity Protocol, cung
cấp sự cải tiến trong mã hóa dữ liệu bằng cách trộn lẫn key đựơc sinh theo từng
packet với véc tơ khởi tạo (IV) được mở rộng với những sequence counter để
chống replay attack trên WEP, sau đó mới chuyển đến quy trình khởi tạo mã hóa
RC4. Ngoài ra, TKIP còn hiện thực chức năng kiểm tra sự toàn vẹn thông điệp
(Message Integrity Check – MIC) 64 bit với giải thuật MICHAEL.



Authenticate người dùng ở mức độ doanh nghiệp thông qua 802.1x và EAP.
Framework 802.1x và EAP dùng một máy chủ authenticate tập trung, chẳng
hạn như RADIUS, để authenticate mỗi người dùng trong mạng trước khi họ kết
nối vào. Nó cũng sử dụng cơ chế “nhận dạng lẫn nhau” để ngăn chặn người
dùng truy cập vào một mạng giả mạo có thể đánh cắp nhận dạng của họ.

Các bước cụ thể như sau:
Bước 1: AP tạo ra một số ngẫu nhiên và gửi nó cho PC.PC sau đó sử dụng một
cụm từ mật khẩu cùng với số ngẫu nhiên để lấy được một mã khóa được sử dụng
để mã hóa dữ liệu đến AP.
Bước 2: PC tạo 1 số ngẫu nhiên kèm với MIC (Message Integrity Code:được dùng
để bảo đảm rằng dữ liệu không phải là giả mạo).
Bước 3: Để xác minh, AP sẽ gửi số ngẫu nhiên một lần nữa, mật mã bằng cách sử
dụng giá trị ở bước 1.
Bước 4: Một thông điệp cuối cùng được gửi, cho biết đã có sự kết nối giữa 2 bên.

2.4. Giao thức xác thực IEEE 802.1X

IEEE 802.1X (điều khiển truy nhập mạng dựa trên cổng - Port-Based Network Access
Control) được phát triển dành cho các mạng không dây, cung cấp các cơ chế xác thực, cấp
quyền và phân phối khóa, và thực hiện điều khiển truy nhập đối với user truy nhập mạng.
Cấu trúc IEEE 802.1X bao gồm 3 thành phần chính:
 User truy nhập mạng.


 Xác thực cung cấp điều khiển truy nhập mạng.
 Server xác thực.
 Trong các mạng không dây, AP hoạt động như xác thực cung cấp điều khiển
truy nhập mạng.
 Mỗi cổng vật lý (cổng ảo trong WLAN) được chia thành 2 cổng logic tạo nên
thực thể truy nhập mạng - PAE (Port Access Entity).
 Authenticator PAE luôn luôn mở để cho phép các frame xác thực đi qua, trong
khi các dịch vụ PAE chỉ được mở khi xác thực thành công. Quyết định cho
phép truy nhập thường được thực hiện bởi thành phần thứ ba, được gọi là server
xác thực (nó có thể là một server Radius dành riêng hoặc chỉ là một phần mềm
chạy trên AP).
 Chuẩn 802.11i thực hiện một số thay đổi nhỏ đối với 802.1X để các mạng
không dây kiểm toán khả năng ăn trộm ID.
 Bản tin xác thực được kết hợp chặt chẽ để đảm bảo rằng cả user và AP tính
toán khóa bí mật và cho phép mã hóa trước khi truy nhập vào mạng.
 User và authenticator liên lạc với nhau sử dụng giao thức dựa trên EAP. Chú ý
rằng vai trò của authenticator chủ yếu là thụ động – nó chỉ đơn giản chuyển tiếp
tất cả các bản tin đến server xác thực.

 EAP là một khung cho sử dụng các phương pháp xác thực khác nhau (cho phép chỉ
một số giới hạn các loại message – Request, Respond, Succcess, Failure) và dựa



trên việc lựa chọn các phương pháp xác thực: EAP-TLS, EAP-TTLS, PEAP,
Kerberos v5, EAP- SIM, ... Khi quá trình này hoàn thành, cả hai thực thể có một
khóa bí mật chủ (Master key).
 Truyền thông giữa authenticator và server xác thực sử dụng giao thức EAPOL
(EAP Over LAN), được sử dụng trong các mạng không dây để chuyển tiếp các dữ
liệu EAP sử dụng các giao thức lớp cao như Radius.
 Một RSN đặc thù sẽ chỉ chấp nhận các thiết bị có khả năng RSN, nhưng IEEE
802.1i cũng hỗ trợ một kiến trúc mạng an toàn chuyển tiếp (Transitional Security
Network - TSN) để cả hai hệ thống RSN và WEP cùng tham gia, cho phép các user
nâng cấp các thiết bị của họ theo thời gian.
 Các thủ tục xác thực và kết hợp sử dụng cơ chế bắt tay 4 bước, kết hợp được gọi là
kết hợp mạng an toàn mạnh (Robust Security Network Association - RSNA).
Thiết lập một phiên truyền thông bao gồm 4 giai đoạn:
 Tán thành các chính sách bảo mật.


Xác thực 802.1X.

 Nhận được khóa nguồn và phân phối.
 Bảo mật và toàn vẹn dữ liệu RSNA.
Thiết lập một phiên truyền thông


Giai đoạn 1 -tán thành các chính sách bảo mật:
 Ở giai đoạn này yều cầu các bên truyền thông thỏa thuận các chính sách bảo mật
để sử dụng.
 Các chính sách bảo mật được hỗ trợ bởi AP được phát quảng bá trên các beacon
hoặc trong các bản tin Probe Respond (tiếp sau một Probe Respond từ client).
 Tiếp theo là các xác thực mở (giống như trong các mạng TSN, ở đó xác thực là
luôn luôn thành công).


 Client phản ứng đưa ra các yêu cầu trong Associaton Request và được phê
chuẩn bởi Associaton Respond từ AP. Các thông tin chính sách an toàn được gửi
trong trường RSN IE, bao gồm:
 Các phương pháp xác thực được hỗ trợ (802.1X, PSK).
 Các giao thức an toàn cho truyền thông unicast (CCMP, TKIP, ...) – cặp khóa mã
hóa.
 Các giao thức an toàn cho truyền thông multicast (CCMP, TKIP, ...) - nhóm khóa
mã hóa.

10


 Hỗ trợ tiền xác thực, cho phép các user tiền xác thực trước khi được chuyển tới
truy nhập mạng.
Giai đoạn 2 – xác thực 802.1X
 Dựa trên EAP và các phương pháp xác thực được thỏa thuận ở giai đoạn 1 (EAPTLS cho client và các chứng chỉ server (yêu cầu sử dụng PKI);, ...).
 802.1X được bắt đầu khi AP yêu cầu định danh client, các thông tin đáp trả từ
client bao gồm các thông tin về phương thức xác thực. Các bản tin hợp lệ sau đó
được trao đổi giữa client và AS để sinh ra một khóa chủ (Master Key - MK).
 Tại điểm cuối của thủ tục một bản tin chấp nhận Radius được gửi từ AP tới client
bao gồm MK và bản tin thành công EAP.

Giai đoạn 3 – cây khóa và phân phối
 Kết nối an toàn dựa trên các khóa bí mật. Trong RSN, mỗi khóa có một thời gian
sống giới hạn và bảo mật tổng thể được đảm bảo nhờ sử dụng một tập hợp các
khóa khác nhau, được tổ chức thành cây. Khi một phiên bảo mật được thiết lập sau


khi xác thực thành công, các khóa tạm thời (khóa phiên) được tạo và thường xuyên

cập nhật cho đến khi phiên bảo mật kết thúc.
 Có 2 bước bắt tay trong khi sinh khóa.
 4-way Handshake sinh ra PTK (Pair-wire Transient Key) và GTK (Group
Transient Key).
 Group Handshake Key: tạo mới cho GTK.

 PMK (Pairwire Master Key) nhận được dựa trên
phương pháp xác thực được sử dụng:
 Nếu sử dụng PSK, PMK = PSK. PSK được sinh ra từ mật khẩu thông thường (từ 863 ký tự) hoặc là một chuỗi 256 bit, cung cấp các giải pháp bảo mật cho cá nhân
hoặc văn phòng nhỏ (không cần server xác thực).
 Nếu một AS được sử dụng, PMK nhận được từ MK của xác thực 802.11 X.


 PMK bản thân không bao giờ được sử dụng cho mã hóa và kiểm tra toàn vẹn. nó
được sử dụng để sinh ra một khóa mã hóa tạm thời PTK. Độ dài của PTK phụ
thuộc vào giao thức mã hóa: 512 bit cho TKIP và 384 cho CCMP.
 PTK bao gồm các phần sau:
o KCK – 128 bit: khóa dành cho xác thực các bản tin (MIC) trong quá trình 4way handshake và group handshake key.
o KEK - 128 bit: khóa để đảm bảo bảo mật dữ liệu trong quá trình 4-way
handshake và group handshake key.
o TK – 128 bit: khóa cho mã hóa dữ liệu (được sử dụng bởi TKIP hoặc CCMP).
o TMK – 2x64 bit: khóa dành cho xac thực dữ liệu (được sử dụng chỉ với MIC).
Một khóa dành riêng cho mỗi kênh liên lạc.


4-way handshake: được khởi nguồn từ AP, tạo cho nó có các khả năng:
 Xác nhận sự nhận biết của client với PTK.
 Sinh ra PTK mới.
 Cài đặt các khóa mã hóa và toàn vẹn.
 Xác nhận bộ mã hóa được chọn.



Giai đoạn 4 – RSNA bảo mật và toàn vẹn dữ liệu
 Tất cả các khóa sinh ra ở các giai đoạn trên được sử dụng trong các giao thức hỗ
trợ RSNA bảo mật và toàn vẹn.
 TKIP (Temporal Key Hash).
 CCMP (Counter-Mode/ Cipher Bock Chaining Message Authentication Code
Protocol).
 WRAP (Wireless Robust Authenticated Protocol).
TKIP
 WPA được xây dựng tương thích hoàn toàn với các thiết bị WLAN đang tồn tại.
TKIP tăng nâng cao khả năng bảo mật và phải tuân theo các yêu cầu tương thích,
vì vậy nó cũng sử dụng thuật toán mật mã dòng RC4. Vì vậy để sử dụng TKIP chỉ
cần nâng cấp phần mềm.
 Trong thực tế hầu hết các chuyên gia tin rằng TKIP là một giải pháp mã hóa mạnh
hơn WEP. Tuy nhiên họ cũng đồng ý rằng TKIP chỉ là một giải pháp tạm thời vì nó
sử dụng RC4.
Ưu điểm chính của TKIP so với WEP là sự luân phiên khóa.
 TKIP sử dụng thay đổi thường xuyên các khóa mã cho RC4 (khoảng 10000
packet), và véc tơ khởi tại IV được tạo khác.


 TKIP được bao gồm trong 802.11i như là một lựa chọn.
 Trên thực tế, TKIP bao gồm 4 thuật toán để thực hiện tốt nhất các khả năng an
toàn:
o Mã kiểm tra tính toàn vẹn bản tin (MIC): có thể thực hiện trên phần mềm chạy trên
các CPU tốc độ thấp.
o Nguyên tắc chuỗi IV mới.
o Chức năng trộn khóa trên mỗi gói.
o Phân phối khóa: một phương pháp mới để phân phối khóa.

Chức năng trộn khóa trên mỗi gói

Giá trị MIC được tính


CCMP
 Không giống như TKIP bắt buộc phải được xây dựng để tương thích với các phần
cứng WEP đã có. CCMP là một giao thức được thiết kế mới.
 CCMP sử dụng chế độ đếm (Counter mode) kết hợp với một phương thức xác
thực bản tin được gọi là CBC-MAC để tạo MIC.
 Một số tính năng mới cũng được phát triển thêm như sử dụng một khóa đơn cho
mã hóa và xác thực (với các IV khác nhau) hoặc bao phủ phần dữ liệu không được
mã hóa bởi xác thực

Các điểm yếu trong WPA/WPA2
 Chỉ một ít các điểm yếu nhỏ được phát hiện trên WPA/WPA2 từ khi chúng được phê
chuẩn, không có điểm yếu là là quá nguy hiểm.
 Hầu hết các điểm yếu thực tế là tấn công chống lại khóa PSK của WPA/WPA2.
 Như đã biết PSK là phương án thay thế của 802.1x PMK sinh ra bởi AS. Nó là một
chuỗi 256 bit hoặc một mật khẩu từ 8-63 ký tự, được sử dụng để sinh ra sử dụng thuật
toán: PSK = PMK = PBKDF2 (pass, SSID, SSID length, 4096, 256), ở đây PBKDF2
là một phương pháp được sử dụng trọng PKCS #5, 4096 là số lượng của các hàm


hash và 256 là giá trị lối ra. PTK được sinh ra từ PMK sử dụng 4-way handshake và
tất cả thông tin được sử dụng để tính toán giá trị của nó được truyền ở dạng plaintext.
 Sức mạnh của PTK vì thế dựa trên các giá trị của PMK, để PSK hiệu quả bằng cách
sử dụng các mật khẩu mạnh. Như đã được chỉ ra bởi Robert Moskiwitz, bản tin thứ
hai của 4-way handshake phải chịu được các tấn công sử dụng từ điển và brute force.
 Có một số tiện ích được tạo ra để lợi dụng điểm yếu này, aicrack được sử dụng để tấn

công PSK trong WPA.
 Giao thức thiết kế (4096 hàm hash cho mỗi pass) nghĩa là một tấn công brute force sẽ
rất chậm.
 Một biện pháp chống lại tấn công mật khẩu là sử dụng ít nhất mật khẩu 20 ký tự.
 Để thực hiện tấn công này attacker phải bắt được các bản tin trong quá trình 4-way
handshake nhờ chế độ giám sát thụ động mạng không dây hoặc sử dụng tấn công
không xác thực.


CHƯƠNG III: BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP CHỨNG THỰC
RADIUS
3.1. RADIUS là gì
RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền
và kiểm toán truy cập cho mạng. Ban đầu được phát triển cho thiết lập kết nối từ xa.
Radius bâu giờ thì hỗ trợ cho máy chủ VPN, các điểm truy cập không dây, chứng thực
chuyển mạch internet, truy cập DSL, và các loại truy cập mạng khác. RADIUS được mô
tả trong RFC 2865, "Remote Authentication Dial-in User Service (RADIUS), (IETF Draft
Standard) and RFC 2866, "RADIUS Accounting" (Informational).

3.2. Quá trình trao đổi gói tin trong RADIUS
3.2.1. Xác thực cấp phép và kiểm toán
Giao thức RADIUS được định nghĩa trong RFC 2865 như sau: Với khả năng cung
cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization và
Accouting-AAA) cho các phiên làm việc với SLIP và PPP Dial-Up. Như việc cung cấp
dịch vụ internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập
internet.
Nó cần thiết trong các NAS để làm việc với danh sách các username và password
cho việc cấp phép, RADIUS Access-request sẽ chuyển thông tin tới một Authentication
Server, thông thường nó là một AAA Server. Trong kiến trúc của hệ thống nó tạo ra khả
năng tập trung các dữ liệu, thông tin của người dùng, các điều khiển truy cập trên một

điểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ thống lớn, cung
cấp giải pháp NASs
Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access-request tới
máy chủ AAA Server, chuyển các thông tin như Username, Password , UDP port, NAS
indentifier và một Authentication message.
Sau khi nhận các thông tin AAA sử dụng gói tin được cung cấp như NAS Indentify,
và Authentication thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không?Nếu
có khả năng, AAA server sẽ kiểm tra thông tin username và password mà người dùng yêu
cầu truy cập trong database. Nếu quá trình kiểm tra là đúng thì nó sẽ


mang một thông tin trong Access-request quyết định quá trình truy cập của user đó là
được chấp nhận.
Khi quá trình chứng thực bắt đầu được sử dụng, AAA server có thể trả về một
RADIUS Access-Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến người
dùng từ xa. Khi đó người dùng sẽ phải trả lời đúng yêu cầu xác nhận, sau đó NAS sẽ
chuyển đến AAA server một RADIUS Access-Request
AAA server sau khi kiểm tra các thông tin của người dùng hoàn toàn thỏa mãn sẽ cho
phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-accept. Nếu không
thỏa mãn AAA server sẽ trả về một tin RADIUS Access-reject và NAS sẽ ngắt dịch vụ.
Khi gói tin Access-accept được nhận và RADIUS Accouting đã được thiết lập,
NAS sẽ gửi một gói tin RADIUS Accouting –request tới AAA server. Máy chủ sẽ thêm các
thông tin vào logfile của nó, với việc NAS sẽ cho phép phiên làm việc với User bắt đầu
khi nào và kết thúc khi nào. RADIUS Accouting làm nhiệm vụ ghi lại quá trình xác thực
của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi thông tin RADIUS
Accouting-request
3.2.2. Sự bảo mật và tính mở rộng
Tất cả các message của RADIUS đều được đóng gói bởi UDP datagrams, nó bao gồm các
thông tin như: message type, sequence number, length, Authenticator, và một loạt các
Attribute-Value.

Authenticator: tác dụng của Authenticator là cung cấp một chế độ bảo mật. NAS và AAA
Server sử dụng Authenticator để hiểu đuợc các thông tin đã đươcj mã hoá của nhau như
mật khẩu chẳng hạn. Authenticator cũng giúp NAS phát hiện sự giả mạo của gói tin
RADIUS Responses. Cuối cùng, Authenticator được sử dụng làm cho để biễn password
thành một dạng nào đó, ngăn chặn việc làm lộ mật khẩu của người dùng trong các
message RADIUS.
Authenticator gửi Access-Request trong một số ngẫu nhiên. MD5 sẽ băm (hash) số ngẫu
nhien đó thành một dạng riêng là OR’ed cho mật khẩu của ngwoif dùng và gửi trong
Access-Request User-Password. Toàn bộ RADIUS response sau đó được MD5 băm
(hash) với cùng thông số bảo mật của Authenticator, và các thông số response khác.

20


Authenticator giúp cho quá trình giao tiếp giữa NAS và máy chủ AAA được bảo mật
nhưng nếu kẻ tấn công tóm được cả hai gói tin RADIUS Access-Request và AccessResponse thì có thể thực hiện "dictionary attack" để phân tích việc đóng gói này. Trong
điều kiện thực tế để việc giải mã khó khăn bạn cần phải sử dụng những thông số dài hơn,
toàn bộ vấn đề có khả năng nguy hại cho quá trình truyền tải này được miêu tả rất kỹ
trong RFC 3580
Attribute-Value Pairs: Thông tin được mang bởi RADIUS đuợc miêu tả trong một dạng
Attribute-Value, để hỗ trợ cho nhiều công nghệ khác nhau, và nhiều phương thức xác
thực khác nhau. Một chuẩn được định nghĩa trong
Attribute-Value pairs (cặp đôi), bao gồm User-Nam, User-Password, NAS-IPAddress,
NAS-Port, Service-Type. Các nhà sản xuất (vendors) cũng có thể định nghĩa AttributeValue pairs để mang các thông tin của mình như Vendor-Specific toàn bộ ví dụ này được
miêu tả trong RFC 2548 - Định nghĩ Microsoft Attribute-Value pair trong MS-CHAP.
Thêm vào đó, rất nhiều chuẩn Attribute-Value pairs được định nghĩa trong nhiều năm để
hỗ trợ Extensible Authentication Protocol (EAP), một dạng khác cũ hơn của nó là PAP và
CHAP dial-up protocol. Bạn có thể tìm thấy trong tài liệu RFC 3579 cho phiên bản mới
nhất của RADIUS hỗ trợ EAP. Trong phần này sẽ nói rất rõ về hỗ trợ xác thực cho WLAN,
từ khi chuẩn EAP được sử dụng cho 802.1X Port Access Control để cho phép xác thực từ

bên ngoài cho wireless.
3.2.3. Áp dụng RADIUS cho WLAN
Trong một mạng WLAN sử dụng 802.11x port access control, các máy trạm sử
dụng Wireless đóng vai trò Remote Access và Wireless Access Point làm việc như một
NAS-Network Access Server. Để thay thế việc kết nối đến NAS với dial-up như giao thức
PPP, Wireless station kết nối đến AP bằng việc sử dụng giao thức 802.11
Một quá trình được thực hiện , wireless station gửi một EAP-Start tơi AP. AP sẽ
yêu cầu station nhận dạng và chuyển thông tin đó tới một AAA server với thông tin là
RADIUS Access-request Usename attribute.
AAA server và Wireless Station hoàn thành bằng việc chuyển các thông tin
RADIUS Access-challenge và Access-request qua AP. Được quyết định bởi phía trên là


một dạng EAP, thông tin này được chuyển trong một đường hầm được mã hóa TLS
(Encypted TLS Tunnel).
Nếu AAA server gửi một message Access-accept, AP và Wireless station sẽ hoàn
thành quá trình kết nối và hoàn thành phiên làm việc với việc sử dụng WEP hay TKIP để
mã hóa dữ liệu. Và tại điểm đó, AP sẽ không cấm cổng và wireless station có thể gửi và
nhận dữ liệu từ hệ thống mạng một cách bình thường.
Cần chú ý là quá trình mã hóa dữ liệu giữa wireless station và AP khác quá trình
mã hóa từ AP đến AAA server.
Nếu AAA server gửi một message Access-reject, AP sẽ ngắt kết nối đến wireless
station. Wireless station có thể cố gắng thử lại quá trình xác thực, nhưng AP cấm wireless
station này không được gửi các gói UDP đến các AP gần đó. Chú ý là station này hoàn toàn
có thể lắng nghe các dữ liệu được truyền đi từ các station khác. Trên thực tế dữ liệu được
truyền qua song radio và đó là lí do tại sao bạn phải mã hóa dữ liệu khi truyền trên mạng
không dây.
Attribute-value pare bao gồm tròn các message của RADIUS có thể sử dụng AAA
server để quyết định phiên làm việc giữa AP và wireless station, như session-timeout hay
VLAN tag (Tunnel-Type=VLAN, Tunnel-Private-Group-ID=TAG). Chính xác thông tin

thêm vào có thể phụ thuộc vào AAA server hay AP và wireless station mà bạn đang sử
dụng.
3.2.4. Các tùy chọn bổ sung
Một vấn đề đầu tiên bạn phải hiểu vai trò của RADIUS trong quá trình xác thực
của WLAN, bạn cần thiết lập một AAA server hỗ trợ interaction.
Nếu một AAA server gọi là RADIUS, nó sẵn sang để hỗ trợ xác thực cho chuẩn
802.11x và cho phép lựa chọn các dạng EAP. Nếu đã có bạn chuyển đến bước tiếp theo là
làm thế nào để thiết lập tính năng này.
Nếu bạn có một RADIUS hỗ trợ 802.11x, hoặc không hỗ trợ dạng EAP, bạn có thể
lựa chọn bằng cách cập nhật các phiên bản phần mềm mới hơn cho server, hay bạn có thể
cài đặt một máy chủ mới. Nếu bạn cài một server mới có hỗ trợ xác thực cho chuẩn
802.11x, bạn có thể sử dụng tính năng RADIUS proxy để thiết lập một chuỗi các máy


chủ, cùng chia sẽ một cơ sở dữ liệu tập trung, RADIUS proxy có thể sử dụng để chuyển
các yêu cầu xác thực đến các máy chủ có khả năng xác thực chuẩn 802.11x
Nếu bạn không có máy chủ RADIUS, bạn cần thiết phải cài đặt một máy chủ cho
quá trình xác thực WLAN, lựa chọn cài đặt này là một công việc thú vị.
Với cơ sở trung tâm –Giải pháp sử dụng RADIUS cho mạng WLAN là rất quan
trọng bởi nếu một hệ thống mạng của bạn có nhiều AP thì việc cấu hình bảo mật hệ thống
này rất khó để quản lí riêng biệt, người dùng có thể xác thực từ nhiều AP khác nhau và
điều đó là không thực sự bảo mật
Khi sử dụng RADIUS cho WLAN mang lại khả năng tiện lợi rất cao, xác thực cho
toàn bộ hệ thống nhiều AP,…cung cấp các giải pháp thông minh hơn.


CHƯƠNG VI: QUY TRÌNH CÀI ĐẶT VÀ TRIỂN KHAI HỆ THỐNG
RADIUS SERVER
4.1. Cài đặt, cấu hình radius
 Cài đặt + Cấu hình Active Directory Certificate Services (CA)

 Cài đặt NAP (Network Policy and Access Services)
 Cấu hình NAP
 Test từ phía client (Laptop sử dụng Window 7)

4.2. Chuẩn bị cho bài lab cấu hình 802.1x wifi radius trên window server 2012
 Một access point hỗ trợ WPA2-Enterprise
 Một Window server 2012 bản standard trở lên RAM tối thiểu là 2GB
 Một Laptop đã cài sẳn hệ điều hành Window 7 ( chưa join domain)
 Kết nối network giữa access point và Window server 2012 phải thông xuốt, không bị
chặn bởi firewall.

4.3. Nâng cấp Active Director(AD)
Bước 1: đảm bảo Window server 2012 đã active hoặc đang còn trong tình trạng sử
dụng trial.
Bước 2: Server phải được đặt IP và trỏ Prefer DNS về chính nó.

4.4. Cài đặt, cấu hình radius
Cài đặt + Cấu hình Active Directory Certificate Services (CA)
4.4.1. Cài đặt CA
–

Đầu tiên vào Server Manager> Add Roles and Features

–

Chọn Active Directory Certificate Services


-Hộp thoại Add Roles and Feature Wizard xuất hiện chọn Add và bấm Next để tiếp tục


Hộp thoại Active Directory Certificate Service xuất hiện bấm Next để tiếp tục