Upload
vuong-pham-van
View
175
Download
10
Embed Size (px)
DESCRIPTION
giới thiệu
Citation preview
------
Luận văn
Giải pháp xác thực người dùng bằng công
nghệ Captive Portal
LỜI CẢM ƠN
Để hoàn thành luận án tốt nghiệp, em xin gửi lời cảm ơn sâu sắc tới các thầy cô
giáo trong Bộ môn tin học trƣờng ĐHDL Hải Phòng đã trực tiếp giảng dạy và cung
cấp cho em những kiến thức quý báu để em có thể tìm hiểu và tiếp cận với những công
nghệ và lĩnh vực mới.
Đặc biệt em xin chân thành gửi lời cảm ơn đến TS. Phạm Hồng Thái và CN.
Lƣơng Việt Nguyên - ĐH Công nghệ đã tận tình hƣớng dẫn em cũng nhƣ tạo mọi điều
kiện về tài liệu và kiến thức để em có thể hoàn thành đƣợc luận án tốt nghiệp này.
Và cuối cùng xin gửi lời cảm ơn tới gia đình, tới các bạn đã động viên, góp ý và
sát cánh cùng em trên con đƣờng học tập.
Do thời gian eo hẹp và khả năng có hạn nên luận án tốt nghiệp không tránh khỏi
những thiếu sót. Kính mong nhận đƣợc nhiều ý kiến đóng góp, phê bình của quý thầy
cô và các bạn để chƣơng trình đƣợc hoàn thiện hơn.
Em xin chân thành cảm ơn !
Hải Phòng, tháng 8 năm 2007
Sinh viên
Lê Thị Thùy Lƣơng
Giải pháp xác thực người dùng Lê Thị Thùy Lương
2
MỤC LỤC
LỜI CẢM ƠN ....................................................................................................... 1
MỤC LỤC ............................................................................................................. 2
LỜI NÓI ĐẦU....................................................................................................... 5
Chƣơng 1: VẤN ĐỀ AN NINH AN TOÀN MẠNG MÁY TÍNH VÀ CÁC
GIẢI PHÁP XÁC THỰC NGƢỜI DÙNG ........................................................... 7
1.1. Tổng quan về vấn đề an ninh an toàn mạng máy tính ............................... 7
1.1.1. Đe dọa an ninh từ đâu? ........................................................................ 7
1.1.2. Các giải pháp cơ bản đảm bảo an ninh ............................................... 8
1.2. Vấn đề bảo mật hệ thống và mạng ........................................................... 10
1.2.1. Các vấn dề chung về bảo mật hệ thống và mạng ............................. 10
1.2.2. Một số khái niệm và lịch sử bảo mật hệ thống ................................. 10
1.3. Các kiến thức cơ bản về xác thực ngƣời dùng ......................................... 11
1.3.1. Khái niệm về xác thực ngƣời dùng ................................................... 12
1.3.2. Các giải pháp xác thực ngƣời dùng phổ biến .................................... 12
1.3.3. Các giao thức xác thực ...................................................................... 18
1.3.4. Nhận xét ............................................................................................ 20
Chƣơng 2: MẠNG KHÔNG DÂY VÀ CÁC CHÍNH SÁCH BẢO MẬT ....... 21
2.1. Giới thiệu chung về mạng không dây ...................................................... 21
2.2. Lịch sử phát triển và sự phát triển của mạng không dây ......................... 22
2.2.1. Lịch sử phát triển của mạng không dây ............................................ 22
2.2.2. Sự phát triển của mạng không dây .................................................... 23
2.2.3. Các thế hệ phát triển của mạng không dây ....................................... 24
2.3. Công nghệ phổ biến của mạng không dây ............................................... 25
2.3.1. Công nghệ TDMA ............................................................................. 25
2.3.2. Công nghệ GSM ................................................................................ 25
2.3.3. Công nghệ CDMA ............................................................................ 26
2.3.4. Công nghệ WiFi ................................................................................ 26
2.3.5. Công Nghệ WiMax ........................................................................... 27
2.3.6. Công nghệ GPRS .............................................................................. 27
2.4. Các chuẩn phổ biến của mạng không dây ................................................ 27
2.6. Công nghệ tấn công và cách phòng thủ ................................................... 29
2.6.1. Phƣơng pháp tấn công bằng Rogue Access Point ............................. 29
2.6.2. Tổng hợp các phƣơng pháp tấn công khác ....................................... 31
2.7. Chính sách bảo mật mạng không dây ..................................................... 35
2.7.1. Đánh giá về hệ thống bảo mật của WLAN ....................................... 35
2.7.2. Chính sách bảo mật WLAN .............................................................. 35
Giải pháp xác thực người dùng Lê Thị Thùy Lương
3
Chƣơng 3: CÔNG NGHỆ CAPTIVE PORTAL VÀ SỬ DỤNG RADIUS XÁC
THỰC TRONG WLAN ...................................................................................... 37
3.1. Công nghệ Captive Portal là gì?............................................................... 37
3.1.1. Các cách triển triển khai .................................................................... 37
3.1.3. Giới thiệu một số phần mềm sử dụng công nghệ Captive Portal ..... 38
3.1.4. Một số hạn chế .................................................................................. 39
3.2. Sử dụng RADIUS cho quá trình xác thực trong WLAN ......................... 39
3.2.1. Xác thực, cấp phép, và thanh toán .................................................... 41
3.2.2. Sự an toàn và mở rộng ...................................................................... 42
3.2.3. Áp dụng RADIUS cho mạng LAN không dây ................................. 43
3.2.4.Tthực hiện các tùy chọn ..................................................................... 44
3.2.5. Kết luận ............................................................................................. 44
Chƣơng 4: CÀI ĐẶT VÀ THỬ NGHIỆM PHẦN MỀM CHILLISPOT ........... 45
4.1. Giới thiệu ChilliSpot ................................................................................ 45
4.1.1. Phƣơng pháp xác thực của ChilliSpot ............................................... 45
4.1.2. Một số giao diện của ChilliSpot ........................................................ 45
4.1.3. Yêu cầu để xây dựng một HotSpot ................................................... 46
4.1.4. Kiến trúc mạng khi xây dựng ............................................................ 47
4.2. Mô tả......................................................................................................... 48
4.2.1. Máy chủ Web xác thực...................................................................... 48
4.2.2. RADIUS ............................................................................................ 48
4.2.2. Access Point ...................................................................................... 53
4.2.3. Máy khách ......................................................................................... 53
4.2.4. Kiến trúc phần mềm .......................................................................... 53
4.3. Cài đặt trên RedHat 9, Fedora (FC1,FC2,FC3 hoặc FC4) ....................... 54
4.3.1. Yêu cầu tối thiểu ............................................................................... 54
4.3.2. Chuẩn bị ............................................................................................ 54
4.3.3. Cài đặt Redhat hoặc Fedora .............................................................. 54
4.3.4. Cài đặt và định cấu hình ChilliSpot .................................................. 55
4.3.5. Cài đặt Firewall ................................................................................. 56
4.3.6. Cài đặt và cấu hình máy chủ web chứng thực UAM ........................ 57
4.3.7. Cài đặt và cấu hình FreeRADIUS ..................................................... 57
4.4. Cấu hình máy khách ................................................................................. 58
4.4.1. Phƣơng pháp truy nhập phổ thông - Universal Access Method ....... 58
4.4.2. Bảo vệ sự truy nhập không dây - Wireless Protected Access ........... 59
4.5. Những file đƣợc tạo ra hoặc đƣợc sử dụng .............................................. 59
4.6. Tùy chọn ................................................................................................... 60
4.6.1. Tóm tắt .............................................................................................. 60
Giải pháp xác thực người dùng Lê Thị Thùy Lương
4
4.6.2. Tùy chọn ............................................................................................ 60
4.6.3. Tệp tin................................................................................................ 67
4.6.4. Tín hiệu ............................................................................................. 67
4.7. Các phiên bản của ChilliSpot ................................................................... 67
4.7.1. ChilliSpot 1.1 .................................................................................... 67
4.7.2. ChilliSpot 1.0 .................................................................................... 68
4.7.3. ChilliSpot 1.0 RC3 ............................................................................ 68
4.7.4. ChilliSpot 1.0 RC2 ............................................................................ 69
4.7.5. ChilliSpot 1.0 RC1 ............................................................................ 69
4.7.6. ChilliSpot 0.99 .................................................................................. 70
4.7.7. ChilliSpot 0.98 .................................................................................. 71
4.7.8. ChilliSpot 0.97 .................................................................................. 72
4.7.9. ChilliSpot 0.96 .................................................................................. 73
4.7.10. ChilliSpot 0.95 ................................................................................ 73
4.7.11. ChilliSpot 0.94 ................................................................................ 74
4.7.12. ChilliSpot 0.93 ................................................................................ 75
4.7.13. ChilliSpot 0.92 ................................................................................ 75
4.7.14. ChilliSpot 0.91 ................................................................................ 75
4.7.15. ChilliSpot 0.90 ................................................................................ 75
KẾT LUẬN ......................................................................................................... 76
Kết quả đạt đƣợc ............................................................................................. 76
Hƣớng phát triển của đề tài ............................................................................. 76
CÁC TÀI LIỆU THAM KHẢO ......................................................................... 77
Tài liệu ............................................................................................................. 77
Một số website: ............................................................................................... 77
Giải pháp xác thực người dùng Lê Thị Thùy Lương
5
LỜI NÓI ĐẦU
Hiện nay vấn đề toàn cầu hoá và nền kinh tế thị trƣờng mở cửa đã mang lại
nhiều cơ hội làm ăn hợp tác kinh doanh và phát triển. Các ngành công nghiệp máy tính
và truyền thông phát triển đã đƣa thế giới chuyển sang thời đại mới: thời đại công
nghệ thông tin. Việc nắm bắt và ứng dụng Công nghệ thông tin trong các lĩnh vực
khoa học, kinh tế, xã hội đã đem lại cho các doanh nghiệp và các tổ chức những thành
tựu và lợi ích to lớn. Máy tính đã trở thành công cụ đắc lực và không thể thiếu của con
ngƣời, con ngƣời có thể ngồi tại chỗ mà vẫn nắm bắt đƣợc các thông tin trên thế giới
hàng ngày đó là nhờ vào sự phát triển mạnh mẽ của Internet. Các tổ chức, công ty hay
các cơ quan đều phải (tính đến) xây dựng hệ thống tài nguyên chung để có thể phục vụ
cho nhu cầu của các nhân viên và khách hàng. Và một nhu cầu tất yếu sẽ nảy sinh là
ngƣời quản lý hệ thống phải kiểm soát đƣợc việc truy nhập sử dụng các tài nguyên đó.
Một vài ngƣời có nhiều quyền hơn một vài ngƣời khác. Ngoài ra, ngƣời quản lý cũng
muốn rằng những ngƣời khác nhau không thể truy nhập đƣợc vào các tài nguyên nào
đó của nhau. Để thực hiện đƣợc các nhu cầu truy nhập trên, chúng ta phải xác định
đƣợc ngƣời dùng hệ thống là ai để có thể phục vụ một cách chính xác nhất, đó chính là
việc xác thực ngƣời dùng. Đây là một vấn đề nóng bỏng và đang đƣợc quan tâm hiện
nay. Đó là một trong những nguyên nhân khiến em chọn đề tài "Giải pháp xác thực
ngƣời dùng bằng công nghệ Captive Portal”.
Với công nghệ Captive Portal sẽ bắt buộc một máy muốn sử dụng Internet
trong mạng thì trƣớc tiên phải sử dụng trình duyệt để “đƣợc” tới một trang đặc biệt
(thƣờng dùng cho mục đích xác thực). Captive Portal sẽ chuyển hƣớng trình duyệt tới
thiết bị xác thực an ninh. Điều này đƣợc thực hiện bằng cách bắt tất cả các gói tin, kể
cả địa chỉ và cổng, đến khi ngƣời dùng mở một trình duyệt và thử truy cập Internet.
Tại thời điểm đó, trình duyệt sẽ đƣợc chuyển hƣớng tới trang Web đặc biệt yêu cầu
xác thực (đăng nhập) hoặc thanh toán, hoặc đơn giản chỉ là hiện một bảng thông báo
về các quy định mà ngƣời dùng sẽ phải tuân theo và yêu cầu ngƣời dùng phải chấp
nhận các quy định đó trƣớc khi truy cập Internet. Captive Portal thƣờng đƣợc triển
khai ở hầu hết các điểm truy nhập Wi-Fi và nó cũng có thể đƣợc dùng để điều khiển
mạng có dây.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
6
Đề tài gồm phần mở đầu, bốn chương và kết luận
Chương 1: Vấn đề an ninh an toàn mạng máy tính và các giải pháp xác thực
người dùng
Trình bày tổng quan về vấn đề an ninh trong mạng máy tính, các nguy cơ và
vấn đề bảo mật hệ thống mạng.
Tìm hiểu khái niệm xác thực ngƣời dùng và các giải pháp xác thực ngƣời dùng
phổ biến. Qua đó đƣa ra đƣợc các ƣu điểm và nhƣợc điểm của các giải pháp đó.
Chương II: Mạng không dây và các chính sách bảo mật
Chƣơng này tìm hiểu khái quát về mạng không dây và các chính sách bảo mật.
Chương III: Công nghệ Captive Portal và sử dụng Radius xác thực trong WLAN
Chƣơng này đi vào khảo sát một công nghệ xác thực ngƣời dùng. Đó là xác
thực ngƣời dùng bằng công nghệ Captive Portal.
Chương IV: Cài đặt và thử nghiệm phân mềm ChilliSpot
Chƣơng này sẽ trình bày về cách cấu hình; cách triển khai cài đặt và sử dụng
chƣơng trình.
Phần kết luận:
Phần này tóm tắt kết quả đạt đƣợc, đƣa ra những hạn chế của và hƣớng khai
thác hệ thống trên thực tế.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
7
Chương 1:
VẤN ĐỀ AN NINH AN TOÀN MẠNG MÁY TÍNH VÀ CÁC
GIẢI PHÁP XÁC THỰC NGƯỜI DÙNG
1.1. Tổng quan về vấn đề an ninh an toàn mạng máy tính
1.1.1. Đe dọa an ninh từ đâu?
Trong xã hội, cái thiện và cái ác luôn song song tồn tại nhƣ hai mặt không tách
rời, chúng luôn phủ định nhau. Có biết bao nhiêu ngƣời muốn hƣớng tới cái chân
thiện, cái tốt đẹp, thì cũng có không ít kẻ vì mục đích này hay mục đích khác lại làm
cho cái ác nảy sinh, lấn lƣớt cái thiện. Sự giằng co giữa cái thiện và cái ác ấy luôn là
vấn đề bức xúc của xã hội, cần phải loại trừ cái ác, thế nhƣng cái ác lại luôn nảy sinh
theo thời gian. Mạng máy tính cũng vậy, có những ngƣời phải mất biết bao nhiêu công
sức nghiên cứu ra các biện pháp bảo vệ cho an ninh của tổ chức mình, thì cũng lại có
kẻ tìm mọi cách phá vỡ lớp bảo vệ đó với nhiều ý đồ khác nhau.
Mục đích của ngƣời lƣơng thiện là luôn muốn tạo ra các khả năng bảo vệ an
ninh cho tổ chức rất rõ ràng. Ngƣợc lại, ý đồ của kẻ xấu lại ở nhiều góc độ, cung bậc
khác nhau. Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả năng của mình, để thoả
mãn thói hƣ ích kỷ. Loại ngƣời này thƣờng làm hại ngƣời khác bằng cách phá hoại các
tài nguyên trên mạng, xâm phạm quyền riêng tƣ hoặc bôi nhọ danh dự của họ. Nguy
hiểm hơn, có những kẻ lại muốn đoạt không các nguồn lợi của ngƣời khác nhƣ việc
lấy cắp các thông tin mật của các công ty, đột nhập vào ngân hàng để chuyển trộm
tiền... Bởi trên thực tế, hầu hết các tổ chức công ty tham gia vào mạng máy tính toàn
cầu đều có một lƣợng lớn các thông tin kết nối trực tuyến. Trong lƣợng lớn các thông
tin ấy, có các thông tin bí mật nhƣ: các bí mật thƣơng mại, các kế hoạch phát triển sản
phẩm, chiến lƣợc maketing, phân tích tài chính... hay các thông tin về nhân sự, bí mật
riêng tƣ... Các thông tin này hết sức quan trọng, việc để lộ ra các thông tin cho các đối
thủ cạnh tranh sẽ dẫn đến một hậu quả hết sức nghiêm trọng.
Tuy nhiên, không phải bất cứ khi nào muốn những kẻ xấu cũng có thể thực hiện
đƣợc mục đích của mình. Chúng cần phải có thời gian, những sơ hở, yếu kém của
chính những hệ thống bảo vệ an ninh mạng. Và để thực hiện đƣợc điều đó, chúng cũng
phải có trí tuệ thông minh cộng với cả một chuỗi dài kinh nghiệm. Còn để xây dựng
đƣợc các biện pháp đảm bảo an ninh, đòi hỏi ở ngƣời xây dựng cũng không kém về trí
tuệ và kinh nghiệm thực tiễn. Nhƣ thế, cả hai mặt tích cực và tiêu cực ấy đều đƣợc
Giải pháp xác thực người dùng Lê Thị Thùy Lương
8
thực hiện bởi bàn tay khối óc của con ngƣời, không có máy móc nào có thể thay thế
đƣợc. Vậy, vấn đề an ninh an toàn mạng máy tính hoàn toàn mang tính con ngƣời.
Ban đầu, những trò phá hoại chỉ mang tính chất là trò chơi của những ngƣời có
trí tuệ không nhằm mục đích vụ lợi, xấu xa. Tuy nhiên, khi mạng máy tính trở nên phổ
dụng, có sự kết nối của nhiều tổ chức, công ty, cá nhân với nhiều thông tin bí mật, thì
những trò phá hoại ấy lại không ngừng gia tăng. Sự phá hoại ấy đã gây ra nhiều hậu
quả nghiêm trọng, nó đã trở thành một loại tội phạm. Theo số liệu thống kê của CERT
(Computer Emegency Response Team) thì số lƣợng các vụ tấn công trên Internet đƣợc
thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991,
1400 năm 1993 và 2241 năm 1994. Những vụ tấn công này nhằm vào tất cả các máy
tính có mặt trên Internet, từ các máy tính của các công ty lớn nhƣ AT & T, IBM, các
trƣờng đại học, các cơ quan nhà nƣớc, các nhà băng... Những con số đƣa ra này, trên
thực tế chỉ là phần nổi của tảng băng. Một phần lớn các vụ tấn công không đƣợc thông
báo vì nhiều lý do khác nhau, nhƣ sự mất uy tín, hoặc chỉ đơn giản là họ không hề biết
mình bị tấn công.
Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức, mà bên trong tổ chức
vấn đề cũng hết sức nghiêm trọng. Đe dọa bên trong tổ chức xẩy ra lớn hơn bên ngoài,
nguyên nhân chính là do các nhân viên có quyền truy nhập hệ thống gây ra. Vì họ có
quyền truy nhập hệ thống nên họ có thể tìm đƣợc các điểm yếu của hệ thống, hoặc vô
tình họ cũng có thể phá hủy hay tạo cơ hội cho những kẻ khác xâm nhập hệ thống. Và
nguy hiểm hơn, một khi họ là kẻ bất mãn hay phản bội thì hậu quả không thể lƣờng
trƣớc đƣợc.
Tóm lại, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con ngƣời
và không ngừng gia tăng, nó có thể bị đe doạ từ bên ngoài hoặc bên trong tổ chức. Vấn
đề này đã trở thành mối lo ngại lớn cho bất kì chủ thể nào tham gia vào mạng máy tính
toàn cầu. Và nhƣ vậy, để đảm bảo việc trao đổi thông tin an toàn và an ninh cho mạng
máy tính, buộc các tổ chức đó phải triển khai các biện pháp bảo vệ đảm bảo an ninh,
mà trƣớc hết là cho chính mình.
1.1.2. Các giải pháp cơ bản đảm bảo an ninh
Nhƣ trên ta đã thấy, an ninh an toàn mạng máy tính có thể bị đe doạ từ rất nhiều
góc độ và nguyên nhân khác nhau. Đe doạ an ninh có thể xuất phát từ bên ngoài mạng
nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó, việc đảm bảo an
ninh an toàn cho mạng máy tính cần phải có nhiều giải pháp cụ thể khác nhau. Tuy
nhiên, tổng quan nhất có ba giải pháp cơ bản sau:
Giải pháp xác thực người dùng Lê Thị Thùy Lương
9
o Giải pháp về phần cứng.
o Giải pháp về phần mềm.
o Giải pháp về con ngƣời.
Đây là ba giải pháp tổng quát nhất mà bất kì một nhà quản trị an ninh nào cũng
phải tính đến trong công tác đảm bảo an ninh an toàn mạng máy tính. Mỗi giải pháp có
một ƣu nhƣợc điểm riêng mà ngƣời quản trị an ninh cần phải biết phân tích, tổng hợp
và chọn lựa để tạo khả năng đảm bảo an ninh tối ƣu nhất cho tổ chức mình.
Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý nhƣ các hệ thống
máy chuyên dụng, cũng có thể là các thiết lập trong mô hình mạng (thiết lập kênh
truyền riêng, mạng riêng)... Giải pháp phần cứng thông thƣờng đi kèm với nó là hệ
thống phần mềm điều khiển tƣơng ứng. Đây là một giải pháp không phổ biến, vì
không linh hoạt trong việc đáp ứng với các tiến bộ của các dịch vụ mới xuất hiện, và
chi phí rất cao.
Khác với giải pháp phần cứng, giải pháp về phần mềm hết sức đa dạng. Giải
pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng. Cụ thể các giải
pháp về phần mềm nhƣ: các phƣơng pháp xác thực, các phƣơng pháp mã hoá, mạng
riêng ảo, các hệ thống bức tƣờng lửa,... Các phƣơng pháp xác thực và mã hoá đảm bảo
cho thông tin truyền trên mạng một cách an toàn nhất. Vì với cách thức làm việc của
nó, thông tin thật trên đƣờng truyền đƣợc mã hoá dƣới dạng mà những kẻ “nhòm
trộm” không thể thấy đƣợc, hoặc nếu thông tin bị sửa đổi thì tại nơi nhận sẽ có cơ chế
phát hiện sự sửa đổi đó. Còn phƣơng pháp sử dụng hệ thống bức tƣờng lửa lại đảm bảo
an ninh ở góc độ khác. Bằng cách thiết lập các luật tại một điểm đặc biệt (thƣờng gọi
là điểm nghẹt) giữa hệ thống mạng bên trong (mạng cần bảo vệ) với hệ thống mạng
bên ngoài (mạng đƣợc coi là không an toàn về bảo mật - hay là Internet), hệ thống bức
tƣờng lửa hoàn toàn có thể kiểm soát các kết nối trao đổi thông tin giữa hai mạng. Với
cách thức này, hệ thống tƣờng lửa đảm bảo an ninh khá tốt cho hệ thống mạng cần bảo
vệ. Nhƣ thế, giải pháp về phần mềm gần nhƣ hoàn toàn gồm các chƣơng trình máy
tính, do đó chi phí cho giải pháp này sẽ ít hơn so với giải pháp về phần cứng.
Bên cạnh hai giải pháp trên, giải pháp về chính sách con ngƣời là một giải pháp
hết sức cơ bản và không thể thiếu đƣợc. Vì nhƣ phần trên đã thấy, vấn đề an ninh an
toàn mạng máy tính hoàn toàn là vấn đề con ngƣời, do đó việc đƣa ra một hành lang
pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết. Ở đây, hành lang pháp lý có
thể gồm: các điều khoản trong bộ luật của nhà nƣớc, các văn bản dƣới luật,... Còn các
quy định có thể do từng tổ chức đặt ra cho phù hợp với từng đặc điểm riêng. Các quy
Giải pháp xác thực người dùng Lê Thị Thùy Lương
10
định có thể nhƣ: quy định về nhân sự, việc sử dụng máy, sử dụng phần mềm,... Và nhƣ
vậy, sẽ hiệu quả nhất trong việc đảm bảo an ninh an toàn cho hệ thống mạng máy tính
một khi ta thực hiện triệt để giải pháp về chính sách con ngƣời.
Tóm lại, vấn đề an ninh an toàn mạng máy tính là một vấn đề lớn, nó yêu cầu
cần phải có một giải pháp tổng thể, không chỉ phần mềm, phần cứng máy tính mà nó
đòi hỏi cả vấn đề chính sách về con ngƣời. Và vấn đề này cần phải đƣợc thực hiện một
cách thƣờng xuyên liên tục, không bao giờ triệt để đƣợc vì nó luôn nảy sinh theo thời
gian. Tuy nhiên, bằng các giải pháp tổng thể hợp lý, đặc biệt là giải quyết tốt vấn đề
chính sách về con ngƣời ta có thể tạo ra cho mình sự an toàn chắc chắn hơn.
1.2. Vấn đề bảo mật hệ thống và mạng
1.2.1. Các vấn dề chung về bảo mật hệ thống và mạng
Đặc điểm chung của một hệ thống mạng là có nhiều ngƣời sử dụng chung và
phân tán về mặt địa lý nên việc bảo vệ tài nguyên phức tạp hơn nhiều so với việc môi
trƣờng một máy tính đơn lẻ, hoặc một ngƣời sử dụng.
Hoạt động của ngƣời quản trị hệ thống mạng phải đảm bảo các thông tin trên
mạng là tin cậy và sử dụng đúng mục đích, đối tƣợng đồng thời đảm bảo mạng hoạt
động ổn định không bị tấn công bởi những kẻ phá hoại.
Nhƣng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ
thống dù đƣợc bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi những
kẻ có ý đồ xấu.
1.2.2. Một số khái niệm và lịch sử bảo mật hệ thống
a. Đối tượng tấn công mạng (intruder)
Đối tƣợng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và
các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu và các
lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài
nguyên trái phép.
Một số đối tƣợng tấn công mạng nhƣ:
Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công
cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống
Masquerader: Là những kẻ giả mạo thông tin trên mạng nhƣ giả mạo địa chỉ IP,
tên miền, định danh ngƣời dùng…
Giải pháp xác thực người dùng Lê Thị Thùy Lương
11
Eavesdropping: Là những đối tƣợng nghe trộm thông tin trên mạng, sử dụng
các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy đƣợc các
thông tin có giá trị.
Những đối tƣợng tấn công mạng có thể nhằm nhiều mục đích khác nhau nhƣ ăn
cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể
đó là những hành động vô ý thức…
b. Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một
dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực
hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.
Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bản thân
hệ thống, hoặc phần mềm cung cấp hoặc ngƣời quản trị yếu kém không hiểu sâu về
các dịch vụ cung cấp…
Mức độ ảnh hƣởng của các lỗ hổng tới hệ thống là khác nhau. Có lỗ hổng chỉ
ảnh hƣởng tới chất lƣợng dịch vụ cung cấp, có lỗ hổng ảnh hƣởng tới toàn bộ hệ thống
hoặc phá hủy hệ thống.
c. Chính sách bảo mật
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những ngƣời tham gia
quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng.
Đối với từng trƣờng hợp phải có chính sách bảo mật khác nhau. Chính sách bảo
mật giúp ngƣời sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên
trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biện pháp đảm bảo
hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và
mạng.
1.3. Các kiến thức cơ bản về xác thực người dùng
Khi ngƣời sử dụng muốn truy nhập vào một hệ thống máy tính, thông thƣờng,
ngƣời sử dụng cần cung cấp các thông tin nhận dạng cho máy tính. Khi nhận đƣợc các
thông tin ấy, máy tính kiểm tra xem ngƣời sử dụng có quyền truy nhập vào hệ thống
không. Đây cũng là một nguyên tắc cơ bản đƣợc áp dụng cho một ngƣời khi muốn trao
đổi thông tin với ngƣời khác: Trƣớc tiên cần phải xác định ngƣời tham gia trao đổi
thông tin có đúng là ngƣời muốn trao đổi không. Do đó cần phải có một phƣơng thức
Giải pháp xác thực người dùng Lê Thị Thùy Lương
12
để cung cấp đặc điểm nhận dạng nhằm đảm bảo ngƣời trao đổi thông tin là hợp lệ. Quá
trình này đƣợc gọi là xác thực ngƣời sử dụng.
Trên thế giới cũng nhƣ ở Việt Nam, vấn đề xác thực ngƣời dùng đang đƣợc
quan tâm và đã có nhiều giải pháp đƣợc sử dụng và nghiên cứu. Có rất nhiều cách để
xác thực: ngƣời sử dụng có thể cung cấp các thông tin mà chỉ có ngƣời đó mới biết: ví
dụ mật khẩu, mã số cá nhân,… hoặc ngƣời đó có thể cung cấp các thông tin riêng khác
nhƣ số chứng minh thƣ, thẻ từ, thẻ thông minh… Trong đó, mỗi giải pháp lại có những
ƣu điểm và nhƣợc điểm riêng khác nhau.
1.3.1. Khái niệm về xác thực người dùng
Xác thực ngƣời dùng là một quá trình qua đó hệ thống có thể xác minh rằng
một ai đó thực sự là họ. Quá trình xác thực sẽ xác định xem một ngƣời có phải là
ngƣời đƣợc sử dụng hệ thống không. Nó thƣờng đi kèm với quá trình xác định quyền
hạn của ngƣời đó trong hệ thống.
1.3.2. Các giải pháp xác thực người dùng phổ biến
a. Giải pháp sử dụng tên và mật khẩu
Mô tả
Đây là giải pháp truyền thống hay đƣợc sử dụng nhất, là giải pháp sử dụng tài
khoản của hệ thống. Mỗi tài khoản bao gồm tên truy nhập (uername) và mật khẩu
(password). Tên truy nhập dùng để phân biệt các ngƣời dùng khác nhau (thƣờng là duy
nhất trong hệ thống), còn mật khẩu để xác thực lại ngƣời sử dụng tên đó có đúng là
ngƣời dùng thật sự không. Mật khẩu thƣờng do ngƣời sở hữu tên truy nhập tƣơng ứng
đặt và đƣợc giữ bí mật chỉ có ngƣời đó biết.
Khi ngƣời dùng muốn đăng nhập và sử dụng tài nguyên hệ thống thì phải đăng
nhập bằng cách nhập tên và mật khẩu của mình. Trƣớc hết, hệ thống sẽ đối chiếu tên
truy nhập của ngƣời dùng đƣa vào với cơ sở dữ liệu tên ngƣời dùng, nếu tồn tại tên
ngƣời dùng nhƣ vậy thì hệ thống tiếp tục đối chiếu mật khẩu đƣợc đƣa vào tƣơng ứng
với tên truy nhập trong cơ sở dữ liệu. Qua 2 lần đối chiếu nếu thỏa mãn thì ngƣời đăng
nhập là ngƣời dùng hợp lệ của hệ thống.
Ưu điềm
Thiết kế và sử dụng đơn giản, tốn ít tài nguyên. Hệ thống chỉ gồm một cơ sở dữ
liệu ngƣời dùng với 2 thông tin chủ yếu là tên truy nhập và mật khẩu. Tƣơng ứng với
Giải pháp xác thực người dùng Lê Thị Thùy Lương
13
mỗi tên truy nhập là quyền sử dụng của ngƣời đó trong hệ thống. Do đó các thông tin
này không chiếm nhiều tài nguyên. Ngƣời dùng dễ hiểu và dễ sử dụng.
Chi phí để thực hiện giải pháp này là rẻ so với các giải pháp khác. Nó không
phụ thuộc vào các thiết bị phần cứng mà chỉ dựa trên phần mềm. Giải pháp này có khả
năng làm việc trên mọi hệ điều hành. Do đó, việc thực hiện giải pháp này khá dễ dàng
và không tốn kém.
Nhược điểm
Giải pháp này có nhƣợc điểm lớn nhất là không có đƣợc sự bảo mật cao. Vì
ngƣời dùng thƣờng có tên đăng nhập nhiều ngƣời dùng có. Mặt khác, ngƣời dùng
thƣờng chọn mật khẩu dễ nhớ hoặc không cẩn thận khi gõ mật khẩu, do vậy dễ bị tấn
công. Kẻ tấn công có nhiều phƣơng pháp để đạt đƣợc mật khẩu nhƣ thâm nhập vào hệ
thống đọc file mật khẩu, dự đoán mật khẩu, vét cạn các từ trong từ điển để tìm mật
khẩu, hoặc có thể lừa ngƣời dùng để lộ mật khẩu.
Một số biện pháp để tăng thêm tính bảo mật cho giải pháp này:
Đặt mật khẩu phức tạp: mật khẩu phải chứa tối thiểu 6 ký tự, không trùng với
tên đăng nhập, chứa các loại ký tự là chữ cái, chữ số, ký tự đặc biệt. Nếu đặt nhƣ vậy
thì kẻ muốn tấn công cũng sẽ rất khó đoán đƣợc mật khẩu.
Thay đổi mật khẩu: quy định sau một thời gian nhất định mật khẩu sẽ không
còn tác dụng đối với hệ thống và ngƣời dùng phải đặt lại mật khẩu khác. Mật khẩu sẽ
đƣợc thay đổi nên khả năng kiểm soát tình trạng an toàn của mật khẩu cao hơn.
Mã hóa thông tin: Trong môi trƣờng làm việc là mạng, những nhà thiết kế
thƣờng dùng biện pháp mã hóa thông tin đăng nhập từ một máy khách nào đó trƣớc
khi chúng đƣợc gửi đi tới máy chủ của hệ thống. Do đó, khả năng bị mất cắp mật khẩu
sẽ giảm đi rất nhiều khi kẻ xấu bắt gói tin đăng nhập trên đƣờng truyền.
Hiện nay, giải pháp mật khẩu sử dụng một lần (one-time password) đƣợc sử
dụng rất nhiều trong các ứng dụng. Các mật khẩu trong danh sách chỉ có thể sử dụng
một lần duy nhất mà không thể sử dụng lại trong những lần đăng nhập sau. Có 2 cách
để hệ thống mật khẩu sử dụng một lần có thể làm việc là:
Danh sách các mật khẩu đƣợc tạo ra một cách ngẫu nhiên bởi hệ thống và đƣợc
sao làm 2 bản, một bản cho ngƣời dùng và một bản cho hệ thống.
Danh sách mật khẩu đƣợc tạo ra theo yêu cầu của ngƣời sử dụng và đƣợc hệ
thống công nhận.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
14
Quá trình thực hiện: Sử dụng thuật toán MD4 (hiện nay là MD5) từ một giá trị
cho trƣớc (do ngƣời dùng hoặc do máy ngẫu nhiên tạo ra) để tạo ra khóa đầu tiên, tiếp
tục áp dụng thuật toán MD4 cho khóa đầu tiên để đƣợc khóa thứ 2 …và cứ áp dụng
liên tục thuật toán MD4 để sinh ra các khóa nối tiếp nhau. Khi xác thực ngƣời dùng, hệ
thống phải biết một trong các khóa (khóa thứ n) , nó sẽ hỏi ngƣời dùng khóa trƣớc đó
(khóa thứ n-1). Nếu ngƣời dùng nhập đúng khóa n-1 thì hệ thống sẽ cho ngƣời dùng
đăng nhập và ghi lại khóa n-1 vào bộ nhớ. Đến lần đăng nhập sau, hệ thống sẽ hỏi
ngƣời dùng khóa thứ n-2 …
Khi dùng thuật toán MD4 để sinh ra kết quả thì từ kết quả hầu nhƣ không thể
suy ngƣợc lại giá trị đầu vào nên hệ thống không thể tìm ra đƣợc khóa thứ n-1 là gì,
mặc dù khi biết cả khóa thứ n.
Tuy nhiên, theo cách này kẻ xấu vẫn có thể tấn công. Nếu ngƣời dùng tự thiết
lập giá trị đầu vào để xây dựng hệ thống khóa thì rất có thể nó sẽ đƣợc đoán ra theo
các cách giống nhƣ khi đoán các mật khẩu thông thƣờng. Đối với những từ đoán đƣợc,
kẻ tấn công sẽ áp dụng thuật toán MD4 để sinh ra các khóa và sẽ thử hết các khóa này
cho đến khi tìm đƣợc khóa ngƣời dùng đang sử dụng. Còn trong trƣờng hợp hệ thống
sẽ tự sinh ra giá trị ban đầu và một lƣợng mật khẩu đủ dùng trong một thời gian nào
đó, ngƣời dùng sẽ có một danh sách các mật khẩu đƣợc đánh thứ tự. Về phía ngƣời
dùng, họ sẽ không thích phải dùng nhiều mật khẩu. Điều này gây phiền toái cho ngƣời
dùng và khả năng bị mất cắp danh sách khóa là rất cao. Ngoài ra, kẻ tấn công còn có
thể dùng phƣơng pháp bắt gói tin đăng nhập của ngƣời dùng để lấy mật khẩu.
Ứng dụng
Giải pháp này đã và đang đƣợc sử dụng rất nhiều trong các ứng dụng. Nó đƣợc
ứng dụng trên một máy tính và đặc biệt đƣợc ứng dụng cả trên mạng. Kể cả các cơ
quan, tổ chức không có điều kiện kinh tế để có thể trang bị cho hệ thống mạng của
mình các đƣờng truyền tốc độ cao thì vẫn có thể sử dụng giải pháp này. Bởi vì, thông
tin truyền và lƣu trữ chỉ bao gồm tên đăng nhập và mật khẩu. Dung lƣợng truyền đi
trên đƣờng truyền nhỏ nên dù đƣờng truyền có băng thông không lớn thì thông tin này
cũng đƣợc truyền đi trong một khoảng thời gian chấp nhận đƣợc.
Các ứng dụng tiêu biểu hiện nay đang sử dụng giải pháp xác thực bằng mật
khẩu nhƣ: Hệ điều hành (Windows, Unix…), các dịch vụ thƣ điện tử, thƣơng mại điện
tử…
Giải pháp xác thực người dùng Lê Thị Thùy Lương
15
b. Giải pháp dùng thẻ thông minh
Mô tả
Thẻ thông minh (smart cart) là một thẻ plastic có kích cỡ nhƣ thẻ tín dụng đƣợc
trang bị một vi mạch dùng để chứa bộ nhớ và một mạch xử lý với hệ điều hành để
kiểm soát bộ nhớ.
Nó có thể lƣu trữ dữ liệu về thông tin cá nhân, tiền hoặc một số thông tin khác
mà sự thay đổi của chúng cần đƣợc kiểm soát chặt chẽ. Ngoài ra, nó có thể lƣu trữ các
khóa mã hóa để ngƣời dùng có thể nhận dạng qua mạng, chữ ký điện tử … Đặc biệt,
hiện nay thẻ thông minh có hỗ trợ chứng nhận số. Nó mã hóa dữ liệu và kiểm tra tính
hợp lệ của các giao dịch qua mạng. Đây là một giải pháp rất hiệu quả và linh động cho
các vấn đề về xác thực ngƣời dùng.
Hiện nay, các cơ quan tổ chức dùng thẻ rầt nhiều. Đầu tiên, những thông tin cần
thiết cho việc nhận dạng các nhân viên trong cơ quan, tổ chức sẽ đƣợc lƣu vào bộ nhớ
của thẻ. Sau đó, nó đƣợc cung cấp cho các nhân viên tƣơng ứng với các thông tin đó.
Mỗi cơ quan, tổ chức khác nhau sẽ có các yêu cầu về thông tin xác thực khác nhau
nhƣng thƣờng là các thông tin nhƣ tên truy nhập, mật khẩu và một số thông tin cá nhân
khác.
Trong hệ thống thông tin đòi hỏi phải có xác thực ngƣời dùng, nhân viên trong
tổ chức chỉ cần đƣa thẻ vào thiết bị đọc thẻ và nhập vào một mã số bí mật nào đó để
xác nhận với hệ thống là chính họ là ngƣời sở hữu chiếc thẻ đó. Khi đã nhập đúng mã
này, thiết bị đọc thẻ sẽ đọc các thông tin nhận dạng đƣợc ghi trong thẻ và chuyển các
thông tin này đến hệ thống, sau đó hệ thống sẽ kiểm tra chúng với cơ sở dữ liệu ngƣời
dùng.
Ưu điểm
Nhờ vào kiến trúc vật lý và logic của thẻ mà đã giảm đƣợc rất nhiều các nguy
cơ gây mất an toàn thông tin. Mọi hoạt động của thẻ đều đƣợc kiểm soát bởi hệ điều
hành nên các thông tin cần giữ bí mật sẽ không thể lấy ra đƣợc từ thẻ. Các thông tin
bên trong thẻ không thể bị kẻ xấu lấy cắp nhƣ các thông tin đƣợc lƣu trữ trong các
phần mềm hệ quản trị cơ sở dữ liệu thông thƣờng.
Các khóa bí mật dùng cho chữ ký điện tử và nhận dạng đều đƣợc lƣu trữ bên
trong thẻ. Nhà sản xuất thẻ cũng nhƣ ngƣời sở hữu thẻ đều không thể biết đƣợc các
khóa này. Vì vậy, chúng không thể bị lấy cắp hay bị sao chép.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
16
Mỗi chiếc thẻ đều có số nhận dạng PIN để tránh việc đánh cắp và bị kẻ xấu sử
dụng. Trƣớc khi sử dụng thẻ, ngƣời dùng phải nhập vào số PIN của thẻ. Cơ chế quản
lý số PIN của thẻ cũng rất an toàn bởi vì số PIN gần nhƣ không thể đoán ra đƣợc. Mặt
khác, thẻ quy định số lần nhập tối đa, nếu số lần nhập không chính xác liên tục đến
con số quy định thì thẻ sẽ tự động khóa. Muốn mở khóa thì ngƣời dùng phải nhập vào
một số dùng để mở khóa của thẻ. Tƣơng tự, nếu nhập không chính xác liên tiếp đến
một số nào đó thẻ sẽ bị khóa vĩnh viễn và không thể sử dụng lại nữa. Nhƣ vậy, việc sử
dụng thẻ là rất an toàn và thuận tiện. Giờ đây ngƣời dùng thay vì phải nhớ nhiều số mà
chỉ phải nhớ một số, còn các thông tin nhận dạng đều ở trong thẻ. Trong trƣờng hợp
thẻ bị mất cắp, kẻ lấy cắp cũng không thể sử dụng đƣợc thẻ vì không có số PIN.
Nhược điểm
Tuy giải pháp này đã hạn chế đƣợc sự mất cắp thẻ bằng cách kết hợp thẻ với
một số PIN nhƣng vẫn có thể bị đánh cắp cả thẻ và cả số PIN. Vẫn bắt ngƣời dùng
phải nhớ số PIN và phải thêm một chiếc thẻ mới có thể thực hiện việc xác thực.
Để áp dụng giải pháp này, các cơ quan phải trang bị thêm các thiết bị nhƣ thiết
bị đọc thẻ, thiết bị ghi, các phần mềm hỗ trợ …Số lƣợng và giá thành của các thiết bị
này không phải là nhỏ, do đó khá là tốn kém.
Các dịch vụ hỗ trợ phổ biến cho việc xác thực bằng thẻ là chƣa đầy đủ. Các
dịch vụ thƣ điện tử, các dịch vụ thƣơng mại …cần đến xác thực trên Internet đều chƣa
hỗ trợ xác thực bằng thẻ. Hiện nay, hầu nhƣ các nhà cung cấp giải pháp xác thực bằng
thẻ đều phát triển các dịch vụ theo mô hình riêng của mình, sử dụng các thiết bị riêng
chƣa thống nhất, do đó khả năng liên hệ giữa các hệ thống hầu nhƣ không có.
Ứng dụng
Đây đƣợc coi là giải pháp tƣơng đối hoàn chỉnh và đƣợc nhận định là có tiềm
năng lớn. Hiện nay, trên thế giới có rất nhiều công ty lớn đang phát triển những giải
pháp xác thực hoàn thiện hơn về cả mức độ an toàn và khả năng linh động trong việc
sử dụng thẻ. Có rất nhiều quốc gia đã sử dụng công nghệ này để làm chƣng minh thƣ,
thẻ rút tiền ngân hàng… Giải pháp này ngày càng đƣợc sử dụng nhiều hơn do sự phát
triển về khoa học công nghệ, giá thành của thẻ cũng nhƣ của các thiết bị có liên quan
giảm đi rất nhiều trong thời gian vừa qua. Tổ chức chuẩn hóa quốc tế ISO đã và đang
đƣa ra những tiêu chuẩn thống nhất trong việc xây dựng và phát triển thẻ.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
17
c. Giải pháp xác thực sử dụng các kỹ thuật sinh trắc học
Mô tả
Tuy giải pháp xác thực sử dụng thẻ thông minh khá an toàn và linh hoạt nhƣng
trong những lĩnh vực quan trọng cần sự an toàn chặt chẽ nhƣ ngân hàng, quân sự …
đòi hỏi phải có giải pháp khác an toàn hơn. Và các nhà nghiên cứu đã đƣa ra giải pháp
xác thực sử dụng các kỹ thuật sinh trắc học để giải quyết những vấn đề đó.
Giải pháp này dựa vào một số bộ phận của con ngƣời nhƣ dấu vân tay, hình
dạng lòng bàn tay, mắt, giọng nói…Đây là những đặc điểm đặc trƣng mà không của
ngƣời nào hoàn toàn giống của ngƣời nào. Để xác thực trong máy tính, chúng ta phải
số hóa và lƣu trữ các đặc điểm này vào một cơ sở dữ liệu. Ngoài ra còn phải có các
thiết bị để ghi nhận các thông tin và chuyển về để đối chiếu với cơ sở dữ liệu đã có
trong hệ thống.
Ở phía máy khách, ngƣời dùng sử dụng một thiết bị đầu cuối có hỗ trợ biểu
mẫu dùng cho việc đăng nhập vào hệ thống hoặc trong môi trƣờng Internet thì sử dụng
trình duyệt để mở trang đăng nhập.
Ngƣời dùng sẽ phải điền vào biểu mẫu mật khẩu hay một thông tin nhận dạng
tƣơng tự và cung cấp mẫu sinh trắc học nhƣ dấu vân tay, hình dạng lòng bàn tay, mắt,
giọng nói, chữ ký …thông qua các thiết bị nhận dạng đƣợc tích hợp trong đó. Sau đó,
các thông tin này sẽ đƣợc chuyển về trung tâm xác thực của hệ thống để kiểm tra.
Trung tâm sẽ phân tích mẫu thu đƣợc và đối chiếu xem mẫu tƣơng ứng với mật khẩu
đƣợc lƣu trong cơ sở dữ liệu có trùng hay không, nếu trùng thì ngƣời dùng đăng nhập
là hợp lệ. Và hệ thống sẽ đƣa ra các quyền hạn, tài nguyên phù hợp cho ngƣời sử dụng.
Ưu điểm
Ngƣời dùng hầu nhƣ không thể thay đổi đƣợc đặc điểm các bộ phận nhƣ dấu
vân tay, mắt …để dùng trong xác thực.
Ngƣời dùng cũng không thể đƣa những đặc điểm này cho ngƣời khác sử dụng
nhƣ thẻ hay mật khẩu đƣợc.
Các đặc điểm sinh trắc học này thì không thể bị mất cắp. Ngày nay với trình độ
khoa học công nghệ phát triển, việc nhận biết các thông tin sinh trắc học đã có thể
phân biệt đƣợc thông tin sinh trắc học của ngƣời sống và của ngƣời chết.
Nhược điểm
Giải pháp xác thực người dùng Lê Thị Thùy Lương
18
Khi mà các dữ liệu sinh trắc học khó có sự thay đổi nhƣ dấu vân tay, mắt đƣợc
sử dụng trong các ứng dụng khác nhau thì rất dễ bị đánh cắp.
Trên thế giới vẫn chƣa có một chuẩn chung nào cho việc số hóa các mẫu sinh
trắc học. Mặt khác, các nhà sản xuất khác nhau cung cấp các thiết bị xác thực mẫu sinh
trắc học theo các chuẩn khác nhau không có sự thống nhất. Do đó, việc trang bị hệ
thống xác thực này không có tính linh động cao.
Có một số thông tin có thể bị thay đổi vì nhiều lý do. Ví dụ: Dấu vân tay bị thay
đối do bị chấn thƣơng, giọng nói bị méo do bị viêm họng …Do đó, việc xác thực đúng
các thông tin này thƣờng rất thấp.
Ở nhiều nơi việc đƣa giải pháp này vào các ứng dụng trên Internet là không
thực tế. Các thông tin xác thực sinh trắc học thƣờng khá lớn trong khi băng thông
đƣờng truyền không phải ở đâu cũng đủ rộng. Dẫn đến kết quả phản hồi lại rất chậm.
Ứng dụng
Đây là một giải pháp có mức độ an toàn cao nhất và đƣợc đánh giá là có khả
năng phát triển rộng rãi. Khoa học công nghệ ngày càng phát triển hiện đại sẽ làm tăng
thêm sự an toàn, tính tiện lợi và giảm giá thành của các thiết bị liên quan đến.
Một số hãng phần mềm lớn đã hỗ trợ giải pháp xác thực bằng sinh trắc học nhƣ
hãng Microsoft với các phiên bản hệ điều hành Windows NT, Windows 2000… Nƣớc
Anh cũng đã bắt đầu nghiên cứu và đƣa vào triển khai kế hoạch sử dụng các thông tin
sinh trắc học trong công việc quản lý nhƣ các thẻ dịch vụ, chứng minh thƣ …
1.3.3. Các giao thức xác thực
Dịch vụ xác thực đặc biệt quan trọng trong việc đảm bảo cho một hệ thống hoạt
động an toàn. Một hệ thống thƣờng phải xác thực một thực thể trƣớc khi tiến hành
truyền thông với thực thể đó. Nhận dạng của thực thể sau đó đƣợc sử dụng để xác định
quyền truy cập hay để thực hiện chống chối bỏ. Trong giao thức xác thực, hai bên
thƣờng đồng ý chia sẻ một bí mật để đảm bảo tính toàn vẹn và tính bí mật.
Các kỹ thuật xác thực thƣờng dựa trên ba mô hình: bạn-có-cái-gì-đó, bạn-biết-
cái-gì-đó và bạn-là-cái-gì-đó. Trong mô hình xác thực bạn-biết-cái-gì-đó, ngƣời sử
dụng đƣa ra tri thức về một cái gì đó ví dụ nhƣ password hoặc một số định danh cá
nhân. Trong hƣớng tiếp cận bạn-có-cái-gì-đó, ngƣời sử dụng chứng minh sự chiếm
hữu một vật gì đó ví dụ nhƣ một khóa vật lý, một dấu hiệu, một card tự nhận dạng
hoặc một khóa bí mật đƣợc lƣu trữ trên smart card. Mô hình bạn-là-cái-gì-đấy dựa trên
Giải pháp xác thực người dùng Lê Thị Thùy Lương
19
một đặc điểm không thể thay đổi của ngƣời sử dụng nhƣ giọng nói, dấu vân tay hay
võng mạc.
Vì các kỹ thuật này không cung cấp đủ sự đảm bảo về nhận dạng nếu đƣợc sử
dụng đơn lẻ, nên các hệ thống kết hợp cả ba mô hình có thể đƣợc sử dụng. Các hệ
thống này yêu cầu ngƣời sử dụng đƣa ra hơn một loại bằng chứng để chứng minh nhận
dạng của mình. Ví dụ nhƣ một máy ATM (Asynchronous Transfer Mode) yêu cầu một
ngƣời chứng minh cả tri thức về số nhận dạng cá nhân và sự sở hữu một card để truy
cập đƣợc đến account của mình.
Hệ thống xác thực có thể thực hiện các giao thức xác thực phức tạp với các thiết
bị kiểm tra nhận dạng của ngƣời sử dụng. Các giao thức này có thể sử dụng các thao
tác mã hóa phức tạp và sử dụng các khóa mã hóa dài để ngăn cản nhiều loại tấn công
truyền thống. Sau đây là một số giao thức xác thực phổ biến:
Giao thức thử thách và trả lời: Giao thức thử thách và trả lời cho phép ngƣời
truy nhập tự xác thực mình với hệ thống bằng cách chứng minh hiểu biết của mình về
giá trị mật mã bí mật mà không yêu cầu ngƣời truy nhập tiết lộ bí mật. Hệ thống xác
thực đƣa ra cho ngƣời truy nhập một số đƣợc tạo ra một cách ngẫu nhiên đƣợc gọi là
thử thách. Ngƣời truy nhập nhập số thử thách và giá trị mật để hàm mật mã tính ra câu
trả lời. Hệ thống xác thực nét nhận dạng của ngƣời truy nhập nếu câu trả lời là giá trị
mong đợi. Bởi vì thử thách là một số ngẫu nhiên, giao thức thử thách – trả lời cung cấp
một lá chắn có hiệu quả chống lại sự tấn công lặp lại.
Giao thức xác thực không tiết lộ bí mật: cho phép ngƣời sử dụng tự xác thực
với một hệ thống bằng cách chứng minh tri thức về một giá trị bí mật mà không yêu
cầu ngƣời sử dụng tiết lộ bí mật. Hệ thống xác thực gửi cho ngƣời sử dụng một số bất
kỳ. Ngƣời sử dụng sử dụng giá trị bất kỳ đó và bí mật để tính toán một giá trị trả lời.
Hệ thống xác nhận nhận dạng của ngƣời sử dụng nếu giá trị trả lời đúng.
Giao thức biến đổi mật khẩu: một ngƣời sử dụng xử lý mật khẩu của mình
thông qua một hàm băm và gửi kết quả cho hệ thống xác thực. Hệ thống so sánh giá trị
băm với giá trị băm đúng mà nó lƣu trữ, ngƣời sử dụng sẽ đƣợc xác thực nếu hai giá trị
này giống nhau. Nếu hệ thống lƣu trữ mật khẩu thay vì lƣu trữ các giá trị băm của nó,
nó phải tính toán giá trị băm trƣớc khi thực hiện so sánh. Các giao thức này ngăn chặn
việc ăn cắp mật khẩu trên đƣờng truyền nhƣng lại dễ bị đánh lừa bởi các cuộc tấn công
lặp lại.
Giao thức sử dụng mật khẩu một lần: là cải tiến của phƣơng pháp biến đổi
mật khẩu để chống lại các cuộc tấn công lặp lại. Giao thức này yêu cầu ngƣời sử dụng
Giải pháp xác thực người dùng Lê Thị Thùy Lương
20
và hệ thống xác thực chia sẻ một số bí mật nhỏ n. Ngƣời sử dụng băm mật khẩu của
mình n lần để tạo ra mật khẩu sử dụng một lần và gửi nó tới hệ thống, trong khi đó hệ
thống cũng thực hiện băm giá trị mật khẩu của ngƣời sử dụng mà nó lƣu trữ n lần và sẽ
xác thực ngƣời sử dụng nếu hai giá trị này trùng nhau. Các cuộc tấn công lặp lại không
thể thực hiện đƣợc bởi mật khẩu lần sau không xác định đƣợc từ mật khẩu của lần truy
nhập trƣớc.
Giao thức sử dụng chứng chỉ số: là một dạng khác của giao thức xác thực
không tiết lộ bí mật trong đó giá trị mã hóa bí mật là một khóa riêng và hệ thống xác
thực sử dụng khóa công khai tƣơng ứng để kiểm tra trả lời.
1.3.4. Nhận xét
Giải pháp xác thực sử dụng tên và mật khẩu là giải pháp truyền thống đƣợc sử
dụng phổ biến nhất hiện nay. Nó có hiệu quả, đơn giản, nhanh gọn và giá thành thấp.
Song, giải pháp này còn tồn tại khá nhiều bất cập, nguy cơ bị đánh cắp cao. Khi ứng
dụng trên Internet, các thông tin này cũng rất dễ bị lấy cắp trong quá trình truyền thông
tin đi. Hiện nay, để hạn chế các nhƣợc điểm này, có nhiều cơ chế bảo mật đƣợc sử
dụng nhƣ mật khẩu dùng một lần.
Giải pháp xác thực sử dụng thẻ đã hạn chế một số nhƣợc điểm của giải pháp
dùng tên và mật khẩu. Các thông tin cần thiết của ngƣời dùng đƣợc lƣu trữ ngay trên
thẻ. Các thẻ hầu nhƣ đều yêu cầu ngƣời sử dụng phải nhập vào một số nhận dạng PIN
làm tăng thêm mức độ an toàn. Đây là giải pháp khá hoàn chỉnh và an toàn nhƣng chi
phí cho việc áp dụng giải pháp này lại cao. Các nƣớc phát triển trên thế giới sử dụng
nhiều.
Giải pháp xác thực sử dụng kỹ thuật trong sinh trắc học cung cấp một cơ chế
đặc biệt an toàn. Ngƣời dùng sẽ đƣợc xác thực thông qua những gì của chính mình.
Nhƣng việc áp dụng giải pháp này trong các ứng dụng trên Internet là không khả quan
vì đƣờng truyền băng thông không đủ lớn so với lƣợng thông tin cần truyền. Mặt khác,
giải pháp này đòi hỏi phải có các trang thiết bị với công nghệ cao và hiện đại nên việc
áp dụng giải pháp này còn gặp nhiều khó khăn.
Hiện nay, trên thế giới để nâng cao tính an toàn, một số nhà sản xuất đã cung
cấp những giải pháp kết hợp các giải pháp khác nhau. Tuy nhiên, nó đòi hỏi các trang
thiết bị hiện đại và giá thành rất cao. Và thực tế hiện nay, sự kết hợp này chƣa đƣợc sử
dụng nhiều.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
21
Chương 2:
MẠNG KHÔNG DÂY VÀ CÁC CHÍNH SÁCH BẢO MẬT
Mạng không dây là một công nghệ sử dụng sóng điện từ để truyền tin. Hiện
nay mạng không dây đƣợc ứng dụng trong rất nhiều thiết bị, đặc biệt là các thiết bị
cầm tay ví dụ nhƣ: Pocket PC, điện thoại di động thế hệ mới … Mục đích chính của
công nghệ không dây là cung cấp cho ngƣời sử dụng khả năng truy cập thông tin ở bất
cứ đâu và tại bất kì thời điểm nào với các thiết bị có vị trí liên tục thay đổi.
2.1. Giới thiệu chung về mạng không dây
Ngày nay sự phát triển công nghệ đã diễn ra với một tốc độ chóng mặt, không
thể đoán trƣớc. Công nghệ Internet cũng không nằm ngoài xu hƣớng đó, chỉ cách đây
một thời gian ngắn khi các modem 56Kbps đang còn phổ biến và đƣợc nhiều ngƣời
chấp nhận, nhƣng đến nay với công nghệ DSL thì ngƣời dùng có thể truy cập Internet
tốc độ cao ngay tại chính nhà mình với đƣờng kết nối có thể lên tới 6Mbps. Chƣa bao
giờ ngƣời dùng có thể truy nhập miễn phí rất nhiều thông tin một cách nhanh chóng và
thuận tiện. Con ngƣời có thể ngồi nhà và tìm kiếm trao đổi thông tin với tốc độ tải dữ
liệu lên tới hàng megabit. Nhƣng thực sự thì chi phí cho DSL là không rẻ, điều đó làm
cho nó không phải là một giải pháp tối ƣu đối với ngƣời dùng. Với sự phát triển mạnh
mẽ của các thiết bị cầm tay và các thiết bị hỗ trợ không dây đã đƣa đến một công nghệ
mới chính là công nghệ mạng không dây, dùng sóng điện từ để thực hiện các giao thức
truyền tin không cần qua dây hoặc cáp nối. Giao tiếp qua mạng không dây hiện nay
đƣợc cung cấp rất dễ dàng, giá rẻ, dịch vụ mạng băng thông rộng. Cùng với các thiết
bị hỗ trợ nhƣ là bluetooth, mạng không dây đang đƣợc áp dụng rộng rãi, đặc biệt với
các thiết bị cầm tay nhƣ là: mobile, PDA, pocketPC, …
Công nghệ không dây - đúng với tên gọi của nó - là công nghệ cho phép một
hoặc nhiều thiết bị giao tiếp đƣợc với nhau mà không cần những kết nối vật lí hay nói
cách khác là kết nối mà không cần đến cable mạng. Công nghệ không dây sử dụng
sóng radio trong khi các công nghệ truyền thống sử dụng các loại cable làm phƣơng
tiện truyền dữ liệu. Phạm vị của công nghệ không dây là rất lớn, kể từ những hệ thống
mạng trên diện rộng và phức tạp nhƣ mạng WLAN, mạng điện thoại di động cho tới
những hệ thống, thiết bị cực kì đơn giản nhƣ tai nghe, micro không dây và một loạt các
thiết bị không có nhiệm vụ lƣu trữ và xử lí thông tin khác. Nó cũng bao gồm các thiết
bị hồng ngoại nhƣ các loại điều khiển từ xa, một số loại chuột và bàn phím không dây
và tai nghe stereo không dây, các thiết bị loại này đều cần một không gian không bị
Giải pháp xác thực người dùng Lê Thị Thùy Lương
22
chắn giữa hai thiết bị truyền và nhận tín hiệu để đóng đƣờng kết nối. Mục đích chính
của công nghệ không dây là cung cấp cho ngƣời sử dụng khả năng truy cập thông tin ở
bất cứ đâu và tại bất kì thời điểm nào với các thiết bị có vị trí liên tục thay đổi. Trong
lĩnh vực phát triển ứng dụng cho công nghệ không dây, điều đầu tiên phải nhắc tới
chính là các ứng dụng phục vụ cho việc đàm thoại bằng các thiết bị điện thoại di động.
Nhƣng ngày nay, với sự phát triển liên tục của các thiết bị di động, nền tảng mạng di
động và cả nhu cầu của ngƣời sử dụng, lĩnh vực phát triển ứng dụng cho công nghệ
không dây đã đƣợc mở ra nhiều hƣớng đầy tiềm năng nhƣ truy cập Internet, truy cập
tới các tài nguyên đa phƣơng tiện và các trò chơi .
2.2. Lịch sử phát triển và sự phát triển của mạng không
dây
2.2.1. Lịch sử phát triển của mạng không dây
Sau đây là những thông tin cơ bản dẫn đến sự ra đời của hệ thống truyền thông
không dây hiện nay:
Năm 1928: Lần đầu tiên John Baird đã sử dụng bộ biến điệu biên độ trong công
nghệ không dây để thu phát tín hiệu Tivi qua thái bình dƣơng.
Năm 1933: Amstrong phát minh ra bộ biến điệu tần số
Năm 1958: Hệ thống mạng không dây đầu tiên ở Đức ra đời, đó là hệ thống A-
Netz, theo công nghệ tƣơng tự sử dụng tần số 160MHz. Đến năm 1971 mức độ phủ
sóng đạt 80% diện tích lãnh thổ, phục vụ hơn 11.000 khách hàng.
Năm 1982: Hệ thống mới ra đời, sử dụng dải tần 900MHz, cho phép truyền âm
thanh và dữ liệu, đó là hệ thống GSM (Groupe Speciale Mobile) (sau này thuật ngữ
này viết tắt cho Global System for Mobile communication).
Năm 1983: Mỹ đƣa ra hệ thống AMPS và đến năm 1989 hệ thống này đƣợc
phát triển thành hệ thống điện thoại di động tƣơng tự làm việc ở dải tần 850 MHz.
Đầu năm 1990: Đánh dấu sự khởi đầu của hệ thống kỹ thuật số hoàn chỉnh.
Năm 1991, cơ quan Tiêu chuẩn truyền thông Châu Âu ETSI phát triển chuẩn DECT
cho hệ thống điện thoại không dây kỹ thuật số, làm việc ở dải tần 1880-1900 MHz với
phạm vi liên lạc 100-500m, gồm 120 kênh khác nhau, có thể chuyển tải đƣợc 2Mbit/s.
Hệ thống có khả năng hỗ trợ 10.000 ngƣời sử dụng trên 1 km² và sau đó đã đƣợc sử
dụng ở hơn 40 nƣớc.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
23
Năm 1991: GSM đƣợc chuẩn hoá, phiên bản đầu tiên của GSM đƣợc gọi là hệ
thống toàn cầu cho truyền thông di động, hoạt động ở tần số 900MHz, sử dụng 124
kênh song công. GSM có thể cung cấp dịch vụ trên phạm vi quốc tế, tự động định vị
những dịch vụ, nhận dạng, mã hoá, nhắn tin ngắn với 160 ký tự, fax. Hiện nay, trên thế
giới có khoảng 130 nƣớc sử dụng các hệ thống truyền thông theo chuẩn GSM.
Năm 1996: Chuẩn ESTI đƣợc chuẩn hoá thành HYPERLAN (High
Performance Radio Local Area Network) hoạt động ở tần số 5.2GHz, băng thông
đƣờng truyền lên tới 23,5Mbit/s.
Năm 1997: Chuẩn IEEE 802.11 ra đời, hoạt động ở dải tần 2,4 GHz và băng
thông 2Mbit/s (có thể nâng lên 10Mbit/s)
Năm 1998: Đánh dấu sự bắt đầu của truyền thông di động bằng việc sử dụng vệ
tinh với hệ thống Iridium. Hệ thống này bao gồm 66 vệ tinh quay quanh trái đất ở tầng
thấp và sử dụng dải tần 1.6GHz cho việc kết nối với điện thoại di động .
2.2.2. Sự phát triển của mạng không dây
Mạng không dây có tuổi đời còn rẩt trẻ, tuy nhiên trên thể giới đã có tới hàng
triệu ngƣời sử dụng Web phone và các thiết bị cầm tay không dây để truy cập Internet.
Các quốc gia và các tập đoàn đa quốc gia đang nỗ lực rất lớn để thiết lập một cơ sở hạ
tầng không dây vững chắc. Để thấy đƣợc sự phát triển của mạng không dây chúng ta
sẽ so sánh mạng không dây và mạng có dây và các ứng dụng của chúng với nhau.
Hình 1. Mạng không dây có dây và các ứng dụng của nó
Giải pháp xác thực người dùng Lê Thị Thùy Lương
24
Mạng không dây bắt đầu phát triển vào năm 1990 nhƣng mãi cho tới năm
2000 nó mới thực sự phát triển.
Công nghệ truy cập không dây thế hệ 2G truyền với tốc độ: từ 9,6 -> 19,2
kbps, tốc độ này thấp hơn nhiều so với di-up Destop Pc kết nối Internet. Tuy nhiên, ở
thế hệ 2.5G tốc độ này đã lên tới100 kbps, thế hệ 3G tốc độ đạt 2 -> 4Mbps. Với tốc
độ này cho phép kết nối không dây chạy nhanh hơn nhiều so với kết nối có dây và các
dịch vụ DSL.
Hình vẽ trên cho thấy: ở thế hệ 2G, các thông điệp đƣợc truyền đi chủ yếu
dƣới dạng tiếng nói và văn bản. Nhƣng thế hệ 2.5G đặc biệt là 3G đã mở ra một cánh
cửa mới cho nhiều ứng dụng không dây mới ví dụ nhƣ hội thảo qua mạng …
Một so sánh nữa mà chúng tôi muốn đƣa ra đó là: số lƣợng thuê bao
(Subscrible) không dây và có dây truy cập Internet. Từ năm 2003 trở về trƣớc số
lƣợng thuê bao có dây cao hơn nhiều so với không dây. Theo dự đoán của ông
Ericson, thì đến năm 2006 số thuê bao không dây sẽ cao hơn nhiều. (Minh họa Hình 2)
Hình 2: Truy cập internet di động
2.2.3. Các thế hệ phát triển của mạng không dây
Các thế hệ phát triển của mạng không dây đƣợc phân chia dựa vào công nghệ
truy cập không dây(Wireless Access Technology).
1G. Hệ thống mạng không dây thế hệ thứ nhất ra đời vào cuối những năm 70
đầu những năm 80. Hệ thống đƣợc xây dựng với mục đích duy nhất truyền tiếng nói
dựa trên công nghệ FDMA. Với công nghệ này, mỗi ngƣời gọi sẽ có một kênh tần số
riêng .
Giải pháp xác thực người dùng Lê Thị Thùy Lương
25
2G. Thế hệ thứ 2 ra đời vào cuối những năm 80 đầu những năm 90. Hệ thống
đã đƣợc số hóa, chất lƣợng đƣờng truyền đƣợc cải thiện đáng kể, dung lƣợng hệ thống
tăng lên, phạm vi của khu vực phủ sóng tăng lên. Công nghệ đa truy nhập chính đƣợc
sử dụng cho thế hệ 2G đó là TDMA và CDMA.
3G. Thế hệ 3G là thế hệ của tiếng nói kỹ thuật số và dữ liệu. Hệ thống có thể
truyền đƣợc tiếng nói, dữ liệu , hình ảnh, audio và video. Công nghệ sử dụng chính là
W-CDMA and CDMA 2000. W-CDMA(Wideband CDMA): có băng thông 5MHz,
cùng hoạt động với GSM, có thể chuyển giao với cell của GSM, thúc đẩy bởi UMTS
(Universal Mobile Telecommunication System) của châu Âu. CDMA 2000: đƣợc đƣa
ra bởi Qualcomm của US, băng thông 5MHz, không cùng hoạt động với GSM, không
thể chuyển giao với cell của GSM.
2.5G. Băng thông 100 kbps, lớn hơn nhiều so với thế hệ 2G nhƣng thấp hơn
nhiều so với thế hệ 3G.
4G. Thế hệ 4G gắn liền với sự phát triển của mạng LAN không dây.
2.3. Công nghệ phổ biến của mạng không dây
2.3.1. Công nghệ TDMA
Hệ thống sử dụng TDMA hoạt động theo kênh tần số, trong đó các caller sử
dụng chế độ chia sẻ thời gian theo kênh tấn số này, mỗi caller sẽ sử dụng một khe thời
gian trong cả chuỗi khe thời gian.
Ƣu điểm của hệ thống TDMA: tăng hiệu quả truyền dữ liệu. Công nghệ
TDMA phân chia ngƣời sử dụng theo thời gian vì vậy đảm bảo cho các sự truyền
thông diễn ra đồng thời không gây ra xung đột.
Bên cạnh đó, một nhƣợc điểm của TDMA là mỗi một caller có một khe thời
gian đƣợc định nghĩa trƣớc, kết quả là khi mà một caller đang đi lang thang từ khối
này sang khối khác thì tất cả khe thời gian của khối tiếp theo đã bị chiếm dữ, vì vậy có
thể bị ngừng kết nối.
2.3.2. Công nghệ GSM
GSM(Group Special Mobile hoặc Global System for Mobile Communication)
Công nghệ này trƣớc kia phát triển chủ yếu ở Châu Âu và Mĩ. Tuy nhiên, ngày nay
GSM đã phổ biến ở nhiều nƣớc trên thế giới. Hệ thống triển khai GSM là DECT
(digital enhanced cordless telephony), dùng chuẩn IS – 136 và iDEN(integrated Digital
Enhanced Network).
Giải pháp xác thực người dùng Lê Thị Thùy Lương
26
2.3.3. Công nghệ CDMA
CDMA và GSM thuộc thế hệ 2G. Công nghệ CDMA hoạt động ở dải tần
1.25MHz, đƣợc đặc tả trong chuẩn IS – 95. CDMA cho sử dụng toàn bộ phổ tần số, có
khả năng đồng bộ ngƣời dùng tuy nhiên mức độ điện năng của toàn bộ ngƣời dùng
phải nhƣ nhau, tại trạm cơ sở biết mọi ngƣời dùng. Tín hiệu truyền đi với chất lƣợng
tốt, giao tiếp an toàn. Ngày nay có khá nhiều các chuẩn mobile phone đang đƣợc phát
triển dựa trên công nghệ CDMA.
2.3.4. Công nghệ WiFi
Wifi - Wireless Fidelity là tên gọi mà các nhà sản xuất đặt cho một chuẩn kết
nối không dây (IEEE 802.11), công nghệ sử dụng sóng radio để thiết lập hệ thống kết
nối mạng không dây. Công nghệ WiFi cho phép kết nối Internet vô tuyến với tốc độ
cực nhanh, có thể sử dụng trong vòng bán kính từ vài chục mét trở lên. Bằng cách thiết
lập nhiều điểm truy cập hay còn gọi là “điểm nóng” (hot spots). Đây là công nghệ
mạng đƣợc thƣơng mại hóa tiên tiến nhất thế giới hiện nay. Một mạng Internet không
dây Wifi thƣờng gồm ba bộ phận cơ bản: điểm truy cập (Access Point); card giao tiếp
mạng (Network Interface Card - NIC); và bộ phận thu phát, kết nối thông tin tại các
nút mạng gọi là Wireless CPE (Customer Premier Equipment). Trong đó, Access Point
đóng vai trò trung tâm của toàn mạng, là điểm phát và thu sóng, trao đổi thông tin với
tất cả các máy trạm trong mạng, cho phép duy trì kết nối hoặc ngăn chặn các máy trạm
tham gia vào mạng. Một Access Point có thể cho phép tới hàng nghìn máy tính trong
vùng phủ sóng truy cập mạng cùng lúc.
Đến nay, Viện Kỹ thuật điện và Điện tử của Mỹ (Institute of Electrical and
Electronic Engineers - IEEE) đã phát triển ba chỉ tiêu kỹ thuật cho mạng LAN không
dây gồm: chuẩn 802.11a ở tần số 5,lGHz, tốc độ 54Mbps; chuẩn 802.11b ở tần số 2,4
GHz, tốc độ 11 Mbps; và chuẩn 802.11g ở tần số 2,4GHz, tốc độ 54Mbps. Các ứng
dụng mạng LAN, hệ điều hành hoặc giao thức mạng, bao gồm cả TCP/IP, có thể chạy
trên mạng không dây WLAN (Wireless Local Area Network) tƣơng thích chuẩn
802.11 dễ dàng mà không cần tới hệ thống cáp dẫn lằng nhằng.
Wifi đặc biệt thích hợp cho nhu cầu sử dụng di động và các điểm truy cập
đông ngƣời dùng. Nó cho phép ngƣời sử dụng truy cập mạng giống nhƣ khi sử dụng
công nghệ mạng máy tính truyền thống tại bất cứ thời điểm nào trong vùng phủ sóng.
Thêm vào đó, Wifi có độ linh hoạt và khả năng phát triển mạng lớn do không bị ảnh
hƣởng bởi việc thay đổi lại vị trí, thiết kế lại mang máy tính. Cũng vì là mạng không
Giải pháp xác thực người dùng Lê Thị Thùy Lương
27
dây nên Wifi khắc phục đƣợc những hạn chế về đƣờng cáp vật lý, giảm đƣợc nhiều chi
phí triển khai thi công dây mạng và không phải tác động nhiều tới cơ sở hạ tầng.
2.3.5. Công Nghệ WiMax
WiMax cũng tƣơng tự nhƣ WiFi. Cả hai đều tạo ra các điểm nóng truy nhập,
tức là vùng xung quanh một ăngten trung tâm để mọi ngƣời có thể chia sẻ thông tin và
truy nhập Internet chỉ bằng một chiếc laptop đã cài đặt. Trong khi Wi-Fi chỉ bao phủ
trong vùng rộng vài trăm feet (1 feet = 0,3048m), WiMax có thể bao phủ vùng rộng 25
đến 30 dặm. Nhƣ vậy, WiMax có thể đƣợc dùng để thay thế cả các công nghệ băng
thông rộng truyền thống, sử dụng đƣờng điện thoại cố định và dây cáp. Công nghệ
WiMax sử dụng băng tần 10 MHz hứa hẹn tốc độ truyền 30 Mb/giây trong phạm vi 1
km ở khu vực đông dân và 5 km ở vùng hẻo lánh. WiMax sử dụng chuẩn OFDM
(Phân chia tần số trực giao) với khả năng tiêu thụ năng lƣợng thấp hơn WiFi. OFDM
có thể thu hẹp băng thông khi kết nối mạng và chỉ áp dụng tốc độ cao nhất trong quá
trình truyền thông tin. Khi gói dữ liệu đã tới nơi, hệ thống chuyển sang chế độ không
hoạt động trong khi WiFi không thể thực hiện đƣợc điều này."Wimax là tiềm năng lớn
cho công nghệ mạng di động thế hệ 4 (4G)".
2.3.6. Công nghệ GPRS
GPRS đã đƣợc nhắc đến nhiều trong khoảng 3-4 năm trở lại đây. GPRS
(General Packet Radio Service) là công nghệ chuyển mạch gói đƣợc phát triển trên
nền tảng công nghệ thông tin di động toàn cầu (GSM: Global System for Mobile) sử
dụng đa truy nhập phân chia theo thời gian (TDMA: Time Division Multiple Access).
Với công nghệ GPRS, tốc độ đƣờng truyền có thể đạt tới 150 Kbp/s, gấp tới 15 lần
đƣờng truyền hiện nay (GSM mới chỉ đạt tốc độ 9,6kbp/s). Ngƣời sử dụng có thể truy
cập Internet từ điện thoại di động có tính năng WAP để gửi tin nhắn hình ảnh và âm
thanh; chia sẻ các kênh truyền số liệu tốc độ cao và ứng dụng đa phƣơng tiện; truyền
ảnh, truyền dữ liệu tốc độ cao, thƣơng mại điện tử... GPRS là bƣớc quan trọng hội
nhập tới các mạng thông tin thế hệ ba (3G).
2.4. Các chuẩn phổ biến của mạng không dây
Chuẩn 802.1. Là chuẩn không dây đầu tiên đƣợc đƣa ra trong “802 family”,
đƣợc đề xuất bởi IEEE năm 1997, và định nghĩa ba công nghệ đƣợc sử dụng trong
tầng vật lý: FHSS ở 2.4Ghz, DSSS ở 2.4 Ghz, và Infrared. Các mạng radio 802.11b và
802.11g sử dụng DSSS có thể đạt đƣợc tốc độ truyền dữ liệu là 1 hoặc 2Mbps trong
khi có mạng radio sử dụng truyền thông FHSS và hồng ngoại không đạt đƣợc nhƣ vậy.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
28
Chuẩn 802.11a. Theo tài liệu có trên IEEE cả 802.11a và 802.11b đều đƣợc
phê chuẩn vào 16/09/1999. Trƣớc đó, 802.11a đƣợc biết đến nhƣ là sự chấm hết cho
802.11b, nhƣ là nó không chỉ truyền dữ liệu nhanh hơn (lên tới 54Mbs) mà còn thực
hiện ở một phổ hoàn toàn khác, 5Ghz UNII band. Nó sử dụng công nghệ mã hoá gọi là
OFDM ( Orthogonal Frequency Division Multiplexing ). Với những hứa hẹn về tốc độ
thực thi cao hơn, không bị nhiễu với các thiết bị 2.4GHz, 802.11có vẻ đầy tiềm năng
và nó đƣợc đƣa ra thị trƣờng chậm hơn 802.11b. 802.11a cũng phải trải qua một số
vấn đề: tại cùng điều kiện mức năng lƣợng nhƣ nhau, các tín hiệu tại 5GHz chỉ đƣợc
truyền đi với khoảng cách bằng một nửa so với các tín hiệu cùng loại ở 2.5Ghz, đây
thực sự là rào cản công nghệ với các nhà thiết kế và thực thi. Kết quả là 802.11a không
đƣợc sử dụng rộng rãi nhƣ 802.11b cũng nhƣ giá thành vẫn ở mức cao dù giá thiết bị
đã giảm xuống theo thời gian.
Chuẩn 802.11b. Đây là chuẩn phố biến (đƣợc thừa nhận do thực tế sản xuất)
trong một vài năm trở lại đây. Nó đem lại khả năng truyền cũng nhƣ thông lƣợng
truyền dữ liệu đáng nể (trong khi sóng radio có thể gửi frames với tốc độ có thể lên tới
11Mbps, chi phí giao thức làm cho tốc độ dữ liệu chỉ khoảng 5 tới 6 Mbps ngang với
chuẩn Ethernet 10baseT). Nó sử dụng DSSS ở 2.4Ghz, và tự động lựa chọn tốc độ tốc
độ truyền dữ liệu tốt nhất (1, 2, 5.5, hoặc 11Mbps), phụ thuộc vào năng lƣợng tín hiệu
hiện thời.. Ƣu điểm lớn nhất của nó chính là tính phổ biến: hàng triệu các thiết bị
802.11b đã đƣợc mang đến các vùng trên thế giới, giá cả của các thiết bị cũng tƣơng
đối rẻ mà không chỉ có thế rât nhiều các máy tính xách tay cũng nhƣ các thiết bị cầm
tay bây giờ đã đƣợc kèm theo với khả năng kết nối dựa trên chuẩn 802.11b.
Chuẩn 802.11g. Sử dụng mã hóa OFDM của 802.11a ở dải tần 2.4Ghz, và
cũng hạ xuống tới DSSS để tƣơng thích ngƣợc với các sóng radio của 802.11b. Điều
đó có nghĩa là các tốc độ thuộc dòng 54Mbps theo lí thuyết có thể đạt đƣợc ở dải tần
2.4Ghz, trong khi tất cả vẫn đƣợc giữ lại để tƣơng thích với các thiết bị 802.11b đang
hiện có. Điều đó thực sự rất hứa hẹn, các thiết bị đƣợc bán ra giờ đây có thể nâng cấp
thành 802.11g thông qua nâng cấp các firmware, 802.11g thực sự sẽ hƣa hẹn trở thành
công nghệ chính phổ biến trong thời gian tới với sự khắc phục các nhƣớc điểm về kĩ
thuật, giá cả, sự tƣơng thích của 802.11a.
Chuẩn 802.16. Đƣợc đƣa ra vào năm 2001, 802.16 hứa hẹn sẽ khắc phục
đƣợc tất cả các thiếu sót của những ứng dụng khoảng cách xa so với các chuẩn 802.11.
Do họ gia đình chuẩn 802.11 chỉ áp dụng trong các mạng LAN, không đƣợc sử dụng
trong các khoảng cách xa nên 802.16 đƣợc thiết kế nhƣ một chuẩn cung cấp một cơ sở
Giải pháp xác thực người dùng Lê Thị Thùy Lương
29
hạ tầng cho mạng không dây cho các thành phố, với khoảng cách đƣợc tính bằng km.
Nó sử dụng tần số từ 10 đến 66Ghz để cung cấp các dịch vụ thƣơng mại chất lƣợng tới
các trạm, các toà nhà … Các thiết bị cho 802.16 đã có trên thị trƣờng và giá cả sẽ tốt
hơn theo thời gian.
Chuẩn 802.1x. Phƣơng thức 802.1x không chỉ là phƣơng thức của mạng
không dây. Nó đƣợc mô tả nhƣ là một phƣơng pháp cho xác thực cổng và có thể áp
dụng cho bất kì mạng nào, cả không dây lẫn có dây.
Chuẩn Bluetooth. Ngày nay, Bluetooth là chuẩn khá phổ biến của mạng Ad
Hoc. Chuẩn Bluetooth là một đặc điểm kĩ thuật của tính toán và giao tiếp từ xa. Chuẩn
Bluetooth hoạt động ở băng thông radio 2.45GHz và hỗ trợ tốc độ truyền dữ liệu lên
tới 720 kbps. Trong tƣơng lai nó có thể hỗ trợ đồng thời ba kênh tiếng nói cùng diễn ra
một lúc, nó có thể làm giảm xung đột bên trong của các thiết bị khác nhau hoạt động ở
cùng một băng thông tần số. Chuẩn IEEE 802.15 dựa trên các đặc điểm của Bluetooth
Version1.1. Các ứng dụng mạng của chuẩn Bluetooth bao gồm: sự đồng bộ hóa không
dây, truy cập Internet, Intranet, e-mail bằng cách sử dụng kết nối máy tính cá nhân cục
bộ, có thể tính toán ẩn thông qua các ứng dụng tính toán tự động .
2.6. Công nghệ tấn công và cách phòng thủ
2.6.1. Phương pháp tấn công bằng Rogue Access Point
Thuật ngữ “Rogue Access Point” là để chỉ những Access Point đƣợc triển khai
trái phép nhằm những mục đích xấu. Nhƣng trên thực tế nó dùng để chỉ tất cả các thiết
bị đƣợc triển khai trái phép bất kể mục đích thực là gì.
a. Các nhân viên triển khai Access Point trái phép
Do sự tiện dụng của các thiết bị mạng không dây tại gia đình nên một vài nhân
viên đã gắn những Access Point rẻ tiền vào mạng WLAN nội bộ. Chính những hành
động không cố ý này của ngƣời dùng đã vô tình tạo nên một lỗ hổng lớn có thể dẫn tới
việc dò rỉ các thông tin quan trọng ra ngoài. Những Access Point rẻ tiền này có thể
không tuân theo các thủ tục tiêu chuẩn triển khai do đó tạo nên nhiều vấn đề bảo mật
trong mạng không dây và có dây. Những vị khách bên trong tòa nhà và các hacker bên
ngoài tòa nhà có thể kết nối tới các Access Point này để ăn cắp băng thông, gửi nhìêu
nội dung xấu tới ngƣời khác, lấy các dữ liệu quan trọng, tấn công các tài sản của công
ty, hoặc sử dụng mạng đó để tấn công các mạng khác.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
30
b. Các Access Point không được cấu hình đúng cách
Thình thoảng một cái Access Point có thể bỗng nhiên trở thành một thiết bị
thâm nhập trái phép chỉ bởi một lỗi cấu hình rất nhỏ. Thay đổi trong việc thiết lập xác
định dịch vụ, thiết lập xác nhận, thiết lập mã hóa …, có thể diễn ra nghiêm trọng bởi vì
chúng có thể cho phép sự kết hợp trái phép nếu không đƣợc cấu hình đúng cách. Lấy
ví dụ, trong chế độ xác thực mở, bất cứ thiết bị không dây ở máy khách nào trong
trạng thái 1 (chƣa đƣợc xác thực và chƣa đƣợc liên kết) đều có thể gửi những yêu cầu
xác thực tới một Access Point và nếu xác thực thành công thì có thể chuyển sang trạng
thái 2 (đƣợc xác thực và chƣa đƣợc liên kết). Nếu nhƣ một Access Point không xác
định đúng ngƣời dùng bởi những lối cấu hình thì kẻ tấn công có thể gửi rất nhiều yêu
cầu xác thực là tràn bảng chứa thông tin xác thực ngƣời dùng của Access Point, và làm
cho nó không thể phục vụ đƣợc những ngƣời dùng hợp pháp khác.
c. Rogue Access Point từ những mạng WLAN lân cận
Những máy tính sử dụng chuẩn 802.11 ngày nay đều tự động chọn cái Access
Point gần nhất và kết nối với chúng. Ví dụ, Window XP tự động kết nối tới liên kết
gần nhất có thể ở trong vùng lân cận. Chính bởi vì đặc tính này mà các máy tính của
một tổ chức có thể kết nối tới những Access Point của một tổ chức lân cận. Mặc dù là
các Access Point lân cận này không phải chủ ý muốn lôi kéo các máy tính đó, nhƣng
chính sự liên kết này có thể làm lộ các thông tin nhạy cảm. Trong mạng ad-hoc, các
thiết bị không dây có thể liên lạc trực tiếp giữa chúng mà không cần một thiết bị tạo
mạng LAN nhƣ là Access Point. Mặc dù các thiết bị này về bản chất có thể tự chia sẻ
dữ liệu tuy nhiên chúng có thể gây ra những đe dọa nguy hiểm cho cả tổ chức bởi vì
chúng thiếu những biện pháp bảo mật cần thiết nhƣ là việc xác thực ngƣời dùng
802.1x, và mã hóa khóa động. Kết quả là mạng ad-hoc có thể gây ra nhiều mối nguy
hiểm cho dữ liệu (khi dữ liệu không đƣợc mã hóa). Thêm vào đó, việc xác thực ngƣời
dùng yếu cũng có thể cho phép các thiết bị truy cập bất hợp pháp. Nếu nhƣ các thiết bị
trong mạng ad-hoc có kết nối với mạng có dây thì toàn bộ hệ thống mạng có dây đều
bị đặt trong tình trạng nguy hiểm.
d. Các Rogue Access Point không áp dụng đúng các chính sách bảo mật
Các tổ chức có thể thiết lập các chính sách bảo mật lên trên các Access Point
tham gia truy nhập vào mạng không dây. Chính sách cơ bản nhất là dựa trên việc phân
loại các địa chỉ MAC. Các tổ chức có thể cấu hình trƣớc cho phép một loạt các địa chỉ
MAC hợp lệ và định danh của một số các thiết bị khác ngoài danh sách địa chỉ MAC
Giải pháp xác thực người dùng Lê Thị Thùy Lương
31
để nhằm ngăn chặn việc xâm nhập trái phép của các thiết bi khác. Hoặc giả nhƣ một tổ
chức chỉ hoàn toàn dùng các Access Point của hãng Cisco thì một chiếc Access Point
của một hãng khác chắc chắn là chiếc không hợp lệ rồi. Một cách đơn giản, các tổ
chức có thể thiết lập hàng loạt các chính sách sử dụng SSID, loại sóng truyền thông, và
kênh. Bất cứ khi nào một chiếc Access Point bị phát hiện là không tuân theo các chính
sách đã đƣợc thiết lập trƣớc này thì nó đều bị coi là Access Point trái phép.
e. Các Rogue Access Point được điều khiển bới kẻ tấn công
Các mạng LAN không dây phải chịu rất nhiều cuộc tấn công. Thêm vào đó
các công cụ tấn công mã nguồn mở đã làm cho công việc của những kẻ tấn công dễ
dàng hơn. Những kẻ tấn công có thể cài đặt những Access Point với cùng chỉ số SSID
nhƣ những chiếc Access Point hợp lệ khác. Khi các máy tính nhận đƣợc tín hiệu mạnh
hơn từ chiếc Access Point mà kẻ tấn công điều khiển thì chúng sẽ tự động kết nối với
chiếc Access Point đó. Sau đó thì kẻ tấn công có thể thực hiện một cuộc tấn công.
Những kẻ tấn công sẽ điều khiển các máy tính truy cập vào Access Point bằng cách sử
dụng một chiếc laptop dùng mạng không dây và một vài thiết bị khác, kẻ tấn công có
thể phá hoại thành công những dịch vụ không dây ở xung quanh đó. Phần lớn các cuộc
tấn công từ chối dịch vụ là đều nhằm vào việc làm cạn kiệt những tài nguyên của
Access Point nhƣ là bảng chứa thông tin xác thực ngƣời dùng.
Tóm lại, một rogue Access Point là một Access Point không đáng tin cậy hoặc
chƣa đƣợc xác định đang chạy trong hệ thống WLAN của bạn. Việc dò tìm các Access
Point bất hợp pháp này là bƣớc đầu tiên để phòng vệ cho hệ thống WLAN của bạn.
2.6.2. Tổng hợp các phương pháp tấn công khác
a. Tấn công Duration
Các thiết bị không dây có một bộ cảm biến để ƣu tiên việc dùng sóng RF. Bộ
cảm biến này làm giảm khả năng 2 thiết bị cùng truyền phát một lúc. Những nút không
dây dành quyền sử dụng kênh truyền sóng trong một khoảng thời gian nhất định quy
định trong gói tin. Thông thƣờng một gói tin 802.11 có định dạng nhƣ sau:
Giải pháp xác thực người dùng Lê Thị Thùy Lương
32
Giá trị Duration trong gói tin này là để chỉ khoảng chờ tính theo mini giây mà
kênh sẽ dành để phục vụ cho thiết bị truyền gói tin này tới. Véctơ định vị mạng sẽ lƣu
giữ thông tin về khoảng chờ này và định ra cho mỗi nút. Quy luật cơ bản nhất là bất cứ
nút nào cũng có thể truyền tin chỉ khi véctơ định vị mạng đang ở số 0 hay nói cách
khác tức là không có nút nào đang chiếm giữ kênh tại thời điểm đó. Những kẻ tấn
công đã lợi dụng đặc điểm này của véctơ định vị mạng. Một kẻ tấn công có thể gửi
một gói tin với một giá trị khoảng đợi rất lớn. Điều này buộc cho tất cả các nút khác sẽ
phải đợi cho đến khi giá trị đó trở về 0. Nếu nhƣ kẻ tấn công thành công trong việc gửi
liên tục nhìều gói tin với khoảng đợi lớn, thì nó sẽ ngăn cản các nút khác hoạt động
trong một thời gian dài và do đó gây ra từ chối dịch vụ.
Chƣơng trình WiFi Manager có thể cảnh báo khi nó phát hiện ra những thông
số thời gian Duration không bình thƣờng đƣợc gửi đi. Các nhà quản trị mạng WLAN
ngay lập tức phải phân tích xem thông số Duration đó là vô tình hay là cố ý đƣợc gửi
bởi kẻ tấn công.
b. Tấn công tràn kết nối
Tấn công tràn kết nối là một kiểu tấn công từ chối dịch vụ mà kẻ tấn công cố
gắng lấp đầy bảng kết nối của Access Point bằng cách làm tràn Access Point bởi một
loạt các thông tin yêu cầu kết nối giả. Theo chuẩn 802.11 thì chứng thực dùng khóa
chia sẻ gặp nhiều khiếm quyết và rất ít khi đƣợc sử dụng. Cách duy nhất là sử dụng
chứng thực mở một thủ tục dựa trên sự chứng thực cao hơn từ 802.1x hoặc VPN.
Chứng thực mở cho phép bất cứ máy khách nào đƣợc chứng thực sau đó kết nối. Một
kẻ tấn công có thể làm tràn bảng kết nối của Access Point bằng cách tạo ra nhiều máy
khách đạt tới trạng thái đƣợc chứng thực và đƣợc kết nối. Một khi bảng kết nối đã tràn
thì các máy khách khác sẽ không thể kết nối đƣợc với Access Point và lúc này tấn
công từ chối dịch vụ đã thành công.
Khi WiFi tìm kiếm các địa chỉ MAC giả và lần theo những hoạt động của
802.1x và việc truyền dữ liệu sau khi một kết nối máy khách thành công để ngăn chặn
kiểu tấn công từ chối dịch vụ này.
c. Tấn công tràn phân tách
Tấn công phân tách là một dạng của tấn công từ chối dịch vụ để buộc các máy
khách luôn ở trạng thái đƣợc chứng thực nhƣng chƣa đƣợc kết nối bằng cách lừa gửi
những gói tin phân tách từ Access Point tới các máy khách. Cứ mỗi khi máy khách yêu
cầu dịch vụ kết nối thì kẻ tấn công lại gửi một gói tin phân tách đến cho máy khách
Giải pháp xác thực người dùng Lê Thị Thùy Lương
33
làm cho máy khách không thể nào kết nối thành công đƣợc và không thể đạt đƣợc
trạng thái đƣợc chứng thực và đƣợc kết nối.
WiFi manager phát hiện ra kiểu tấn công từ chối dịch vụ này bằng cách dò tìm
các gói tin phân tách giả và lần theo tình trạng chứng thực và kết nối của các máy
khách. Một khi đƣợc cảnh báo, các Access Point và máy khách bị tấn công sẽ bị phát
hiện và ngƣời quản trị mạng WLAN có thể giải quyết vấn đề này.
d. Tấn công ngăn cản chứng thực
Tấn công ngăn cản chứng thực là một dạng của tấn công từ chối dịch vụ bằng
cách cố tình tạo ra các gói tin chứng thực với các thông số sai (thông số dịch vụ chứng
thực và mã trạng thái) từ các máy khách ở trạng thái đƣợc chứng thực và đƣợc kết nối
đến một Access Point. Khi nhận đƣợc các gói tin chứng thực sai này, Access Point sẽ
chuyển máy khách về trạng thái chƣa đƣợc chứng thực và chƣa đƣợc kết nối làm
ngƣng kết nối đƣờng truyền. Công cụ để thực hiện kiểu tấn công này gọi là Fata-jack –
một phiên bản nâng cấp của Wlan-jack víêt bởi Mark Osbourne.
WiFi manager sẽ phát hiện ra dạng tấn công từ chối dịch vụ này bằng cách quan
sát các địa chỉ MAC giả và các chứng thực thất bại. Những cảnh báo này cũng ám chỉ
các nỗ lực xâm nhập vào hệ thống. Mỗi khi một thiết bị không dây thất bại nhiều lần
trong việc chứng thực với một Access Point thì WiFi manager sẽ đƣa ra một lời cảnh
báo về việc có một kẻ tấn công tiềm tàng đang cố gắng chọc thủng hệ thống bảo mật.
Chú ý rằng những cảnh báo này chỉ chú trọng và phƣơng thức chứng thực 802.11 (Hệ
thống mở và chia sẻ khóa). Chứng thực 802.1x và EAP sẽ dựa trên những cảnh báo
của WiFi manager khác.
e. Tấn công tràn chứng thực
Tấn công tràn chứng thực là một kiểu tấn công từ chối dịch vụ nhằm mục đích
làm tràn ngập bảng lƣu trữ dữ liệu truy cập của Access Point bằng cách dùng nhiều
máy khách gửi rất nhiều yêu cầu chứng thực tới Access Point. Bảng lƣu dữ liệu truy
cập của Access Point là nơi mà Access Point lƣu trữ thông tin về tình trạng máy khách
và nó có kích cỡ giới hạn phụ thuộc vào bộ nhớ vật lý.
Mỗi khi nhận đƣợc một yêu cầu chứng thực thì Access Point đều tạo ra một
bảng lƣu lại đầu vào ở trạng thái chƣa chứng thực và chƣa kết nối trong bảng kết nối
Khi bảng kết nối này đã bị đầy tràn, các máy khách khách sẽ không thể đƣợc
chứng thực và kết nối với Access Point, do đó cuộc tấn công từ chối dịch vụ này đã
thành công.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
34
WiFi manager sẽ phát hiện ra kiểu tấn công từ chối dịch vụ này bằng cách dò
tìm các tình trạng chứng thực và kết nối trong bảng tình trạng máy khách. Một khi có
cảnh báo thì Access Point và máy khách bị tấn công sẽ đƣợc phát hiện và ngƣời quản
trị mạng WLAN sẽ đƣợc báo.
f. Tấn công tràn gây từ chối xác nhận
Tấn công tràn gây ra từ chối xác thực là một dạng tấn công từ chối dịch vụ
nhằm mục đích đƣa các máy khách tới trạng thái chƣa chứng thực và chƣa kết nối
bằng cách giả truyền các gói tin từ chối xác thực tới địa chỉ unicast của máy khách.
Với những sự bổ sung của các máy khách hiện nay thì dạng tấn công này là rất hiệu
quả và ngay lập tức gây ra sự chia cắt giữa Access Point và máy khách. Điển hình, các
máy khách sẽ phải chứng thực lại và kết nối lặp đi lặp lại đến dịch vụ cho đến khi nào
kẻ tấn công gửi một gói tin từ chối xác thực khác. Kẻ tấn công sẽ sử dụng các gói tin
giả từ chối xác thực này tới tất cả các máy khách trong dịch vụ.
g. Tấn công tràn Access Point
Access Point lƣu trữ bảng thông tin tình trạng máy khách ở trong bảng liên kết
máy khách. Mỗi khi bảng liên kết máy khách đạt tới mức cho phép của các máy khách
kết nối, Access Point sẽ bắt đầu từ chối các yêu cầu kết nối mới. Tình trạng này của
Access Point gọi là tình trạng quá tải.
WiFi manager sẽ từ chối các yêu cầu kết nối và cảnh bảo tới ngƣời quản trị.
Một Access Point có thể bị quá tải vì một trong các lý do sau:
Thực sự bị quá tải bởi lƣợng ngƣời truy cập quá đông: Các Access Point ở
trong các vùng có mật độ truy cập đông thƣờng bị quá tải. Đây là chuyện hết sức bình
thƣờng. Việc này có thể đƣợc giải quyết bằng cách thêm nhiều Access Point nữa vào
vùng đó.
Kiểu tấn công từ chối dịch vụ sử dụng sự kết nối giả: Nếu nhƣ Access Point
không thực sự bị quá tải nhƣng vẫn từ chối các máy khách thì nó chính là đã bị tấn
công từ chối dịch vụ. Những kẻ tấn công sử dụng máy laptop có WiFi và các công cụ
mã nguồn mở để gây ra vấn đề này. Nếu có quá nhiều cảnh báo về tấn công từ chối
dịch vụ vào một Access Point thì phải khoanh vùng và tìm kẻ tấn công để làm cho
Access Point này hoạt động bình thƣờng trở lại.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
35
2.7. Chính sách bảo mật mạng không dây
2.7.1. Đánh giá về hệ thống bảo mật của WLAN
Một mạng WLAN là cách hoàn hảo để chúng ta kết nối dữ liệu trong một tòa
nhà mà không cần phải thiết đặt hàng đống dây rợ trong văn phòng. Tuy nhiên đi kèm
với sự tiện lợi đó là rất nhiều vấn đề về an ninh đang còn tồn tại ở WLAN. Trong phần
lớn các mạng LAN, hệ thống dây nằm ở trong văn phòng, vì thế nếu muốn phá hoại thì
trƣớc tiên kẻ tấn công phải đánh bại hệ thống phòng thủ vật lý. Tuy nhiên sóng radio
trong mạng không dây lại có thể đi xuyên ra ngòai tòa nhà làm gây nên rất nhiều nguy
hiểm cho hệ thống mạng WLAN.
Nói tóm lại hệ thống bảo mật của WLAN còn rất nhiều lỗ hổ và các nhà quản
trị mạng WLAN cần tuân theo các chính sách bảo mật nghiêm ngặt.
2.7.2. Chính sách bảo mật WLAN
Với bất cứ mạng WLAN nào bạn cũng nên xem xét việc áp dụng các chính
sách này đối với những tài nguyên để tránh những kẻ xâm nhập bất hợp pháp.
o Kích hoạt bảo vệ WEP ít thôi. Thực tế thì WEP rất yếu, nó không đủ để bảo
vệ các thông tin quý giá ở trong mạng. Vấn đề của chuẩn 802.11b là nó không
hỗ trợ việc thay đổi WEP động nên làm cho việc mã hóa yếu đi từng ngày.
o Tận dụng các cơ chế trao đổi khóa tĩnh. Hiện nay với chuẩn 802.11i bạn có
thể dùng cơ chế WiFi Protected Access để tăng cƣờng khả năng an ninh cho
mạng.
o Đảm bảo rằng các card mạng và các phần cứng Access Point đều được cập
nhật. Các nhà sản xuất thƣờng xuyên đƣa các bản patch mới để tăng cƣờng khả
năng bảo mật của các thiết bị này.
o Đảm bảo rằng không có người lạ nào có thể reset Access Point. Đừng để
Access Point ở nơi dễ dàng chạm tới nếu không thì bạn sẽ phải hối tiếc đó.
o Hãy cấu hình Access Point đúng cách. Điều này là rất quan trọng nhƣng
nhiều khi các nhà quản trị quá chủ quan vì nó quá là đơn giản.
o Hãy đặt các Password thật mạnh cho Access Point. Để đảm bảo rằng chỉ có
admin mới có thể kiểm soát chiếc Access Point.
o Đừng sử dụng các tên SSID mặc định. Đặt tên mặc định thì bạn dễ nhớ nhƣng
điều này cũng làm cho kẻ tấn công cảm thấy dễ dàng hơn.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
36
o Hãy hạn chết sóng radio lan ra bên ngoài. Việc này có thể khắc phục bằng
cách điều chỉnh mức độ phát sóng của các Access Point để đảm bảo sóng chỉ ở
trong tòa nhà.
o Hãy cài đặt các tường lửa cá nhân. Sẽ khó hơn cho các hacker khi gặp phải
tƣờng lửa tốt.
o Tận dụng hệ thống mạng ảo ở các máy khách để tăng cƣờng khả năng bảo
mật của WLAN.
o Quan sát kỹ lưỡng khi có những tình huống khả nghi để có thể xử lý kịp thời.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
37
Chương 3:
CÔNG NGHỆ CAPTIVE PORTAL VÀ SỬ DỤNG RADIUS
XÁC THỰC TRONG WLAN
3.1. Công nghệ Captive Portal là gì?
Chúng ta sẽ tìm hiểu khái niệm Captive Portal (viết tắt là CP) thông qua cách
thức hoạt động của chúng.
Công nghệ CP sẽ bắt buộc một máy muốn sử dụng Internet trong mạng thì
trƣớc tiên phải sử dụng trình duyệt để “đƣợc” tới một trang đặc biệt (thƣờng dùng cho
mục đích xác thực). CP sẽ chuyển hƣớng trình duyệt tới thiết bị xác thực an ninh. Điều
này đƣợc thực hiện bằng cách bắt tất cả các gói tin, kể cả địa chỉ và cổng, đến khi
ngƣời dùng mở một trình duyệt và thử truy cập Internet. Tại thời điểm đó, trình duyệt
sẽ đƣợc chuyển hƣớng tới trang web đặc biệt yêu cầu xác thực (đăng nhập) hoặc thanh
toán, hoặc đơn giản chỉ là hiện một bảng thông báo về các quy định mà ngƣời dùng sẽ
phải tuân theo và yêu cầu ngƣời dùng phải chấp nhận các quy định đó trƣớc khi truy
cập Internet. CP thƣờng đƣợc triển khai ở hầu hết các điểm truy nhập WiFi và nó cũng
có thể đƣợc dùng để điều khiển mạng có dây.
Do trang web đăng nhập phải truy cập đƣợc từ trình duyệt của máy khách, do
đó trang web này cần phải đặt ngay trên gateway hoặc trên một web server nằm trong
“danh sách trắng” nghĩa là có thể truy cập mà không cần quá trình xác thực. Ngoài
việc có danh sách trắng của các địa chỉ URL, một vài loại gateway còn có danh sách
trắng đối với một vài cổng TCP.
3.1.1. Các cách triển triển khai
a. Chuyển hướng bằng HTTP (Hypertext Transfer Protocol)
Nếu một máy khách chƣa xác thực truy cập đến một website, trình duyệt sẽ yêu
cầu địa chỉ IP tƣơng ứng với tên miền từ máy chủ DNS và nhận đƣợc thông tin này
nhƣ bình thƣờng. Tiếp đó trình duyệt sẽ gửi một yêu cầu HTTP đến địa chỉ IP đó. Tuy
nhiên yêu cầu này sẽ bị firewall chặn lại và chuyển tiếp tới một máy chủ chuyển tiếp.
Máy chủ chuyển tiếp này phản hồi với một trả lời HTTP thông thƣờng, trong đó gồm
mã trạng thái HTTP 302 để chuyển hƣớng máy khách tới CP. Đối với máy khách thì
quá trình này hoàn toàn “trong suốt”. Máy khách sẽ tƣởng rằng website đó đã thực sự
trả lời với yêu cầu đầu tiên và gửi thông tin chuyển hƣớng.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
38
b. Chuyển hướng bằng DNS
Nếu một máy khách chƣa xác thực truy cập đến một website, trình duyệt sẽ yêu
cầu địa chỉ IP tƣơng ứng với tên miền từ máy chủ DNS. Thay vì trả về IP chính xác
của tên miền website đó, máy chủ DNS sẽ trả về IP của CP.
Nếu quản trị mạng không có hành động ngăn ngừa thì cách thức này có thể dễ
dàng bị vƣợt qua bằng cách sử dụng một máy chủ DNS khác tại máy khách.
3.1.3. Giới thiệu một số phần mềm sử dụng công nghệ Captive
Portal
a. Dành cho FreeBSD/OpenBSD
PfSense
pfSense là một phiên bản phần mềm tƣờng lửa đƣợc tách ra từ phần mềm tƣờng
lửa mã nguồn mở m0n0wall phát triển trên nền hệ điều hành FreeBSD. Gói phần mềm
bao gồm hệ hiều hành Unix FreeBSD và các gói dịch tích hợp có chức năng router,
tƣờng lửa, máy chủ VPN, và một số dịch khác. Với mục tiêu là các hệ thống PC
nhúng, gói phần mềm đƣợc thiết kế nhỏ gọn, dễ dàng cài đặt thông qua giao diện web
và đặc biệt là có khả năng cài đặt thêm gói dịch vụ để mở rộng tính năng. Trang web
chính thức của pfSense là www.pfSense.com. Để có thể tiếp tục thao tác nhƣ trong bài
viết, các bạn vào mục downloads trên website, chọn download phiên bản iso LiveCD
và ghi ra đĩa CD tập tin iso này.
Ưu điểm
- Miễn phí.
- Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm.
- Dễ cài đặt, cấu hình.
Hạn chế
- Phải trang bị thêm modem nếu không có sẵn.
- Không đƣợc hỗ trợ từ nhà sản xuất nhƣ các thiết bị cân bằng tải khác.
- Vẫn chƣa có tính năng lọc URL nhƣ các thiết bị thƣơng mại.
- Đòi hỏi ngƣời sử dụng phải có kiến thức cơ bản về mạng để cấu hình.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
39
b. Dành cho Linux
PacketFence (http://www.packetfence.org): sử dụng ARP Spoofing thay vì lọc
địa chỉ MAC/IP. Có thể đƣợc sử dụng để phát hiện/cô lập worms. Sử dụng Snort cho
IDS.
ZeroShell (http://www.zeroshell.net/eng): là một bản phân phối Linux nhỏ dạng
LiveCD hoặc CompactFlash có chứa một multi-gateway Captive Portal.
...
c. Dành cho Windows
DNS Redirector (http://www.dnsredirector.com): không cần MAC, cho phép
tích hộp 3rd
party với MAC.
...
d. Các loại khác
HotSpotSystem.com (http://www.hotspotsystem.com): Giải pháp hoàn thiện
cho dịch vụ HotSpot trả tiền và miễn phí.
WorldSpot.net (http://worldspot.net): Giải pháp dựa trên ChilliSpot. Miễn phí
cho các HotSpot miễn phí.
...
3.1.4. Một số hạn chế
Hấu hết các sản phẩm này chỉ đòi hỏi ngƣời sử dụng tới một trang đăng nhập có
mã hoá SSL, sau đó IP và MAC của họ sẽ đƣợc cho phép đi qua gateway. Điều này sẽ
có thể bị lợi dụng với một công cụ nghe lén gói tin đơn giản. Một khi địa chỉ IP và
MAC của một máy tính khác đã đƣợc xác thực thì một máy tính bất kì có thể giả mạo
địa chỉ IP và MAC của máy tính đó và do đó đƣợc phép đi qua gateway.
Những platform có Wi-Fi và TCP/IP stack nhƣng không có trình duyệt hỗ trợ
HTTPS thì không thể sử dụng nhiều loại CP. Ví dụ nhƣ máy chơi game Nintendo DS
sử dụng Nintendo Wi-Fi Connection.
3.2. Sử dụng RADIUS cho quá trình xác thực trong WLAN
Với khả năng hỗ trợ xác thực cho cả chuẩn không dây 802.1X, RADIUS là giải
pháp không thể thiếu cho các doanh nghiệp muốn quản lý tập trung và tăng cƣờng tính
bảo mật cho hệ thống.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
40
Việc bảo mật mạng LAN không dây (WLAN) sử dụng chuẩn 802.1X kết hợp
với xác thực ngƣời dùng trên Access Point. Một máy chủ thực hiện việc xác thực trên
nền tảng RADIUS có thể là một giải pháp tốt cung cấp xác thực cho chuẩn 802.1X.
Trong phần này tôi sẽ giới thiệu về cách thức làm việc của RADIUS và vì sao phải cần
thiết máy chủ RADIUS để hỗ trợ việc xác thực cho WLAN.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
41
3.2.1. Xác thực, cấp phép, và thanh toán
Giao thức Remote Authentication Dial In User Service (RADIUS) đƣợc định
nghĩa trong RFC 2865: Với khả năng cung cấp xác thực tập trung, cấp phép và điều
khiển truy cập cho các phiên làm việc với SLIP và PPP Dial-up – nhƣ việc cung cấp
xác thực của các nhà cung cấp dịch vụ Internet đều dựa trên giao thức này để xác thực
ngƣời dùng khi họ truy cập Internet. Nó cần thiết trong tất cả các bộ dịch vụ truy cập
mạng(Network Access Server-NAS) để làm việc với danh sách tên và mật khẩu cho
việc cấp phép, RADIUS Yêu cầu truy nhập sẽ chuyển các thông tin tới một máy chủ
xác thực, thông thƣờng nó là một máy chủ xác thực, cấp phép và thanh toán (máy
chủ). Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các thông tin của
ngƣời dùng, các điều kiện truy cập trên một điểm duy nhất, trong khi có khả năng cung
cấp cho một hệ thống lớn, cung cấp giải pháp NASs.
Khi một ngƣời dùng kết nối, NAS sẽ gửi một thông báo dạng RADIUS Yêu cầu
truy nhập tới máy chủ xác thực, chuyển các thông tin nhƣ tên và mật khẩu, thông qua
một cổng xác định, NAS nhận dạng, và một thông báo xác thực.
Sau khi nhận đƣợc các thông tin máy chủ sử dụng các gói tin đƣợc cung cấp
nhƣ NAS nhận dạng và xác thực thẩm định lại việc NAS đó có đƣợc phép gửi các yêu
cầu đó không. Nếu có khả năng, máy chủ sẽ tìm kiểm tra thông tin tên và mật khẩu mà
ngƣời dùng yêu cầu truy cập trong cơ sở dữ lệu. Nếu quá trình kiểm tra là đúng thì nó
sẽ mang một thông tin trong Yêu cầu truy nhập quyết định quá trình truy cập của
ngƣời dùng đó là đƣợc chấp nhận.
Khi quá trình xác thực bắt đầu đƣợc sử dụng, máy chủ có thể sẽ trả về một
RADIUS Thách thức truy nhập mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến
ngƣời dùng từ xa (với ví dụ này sử dụng CHAP). Khi đó ngƣời dùng sẽ phải trả lời
đúng các yêu cầu xác nhận, sau đó NAS sẽ chuyển tới một thông báo RADIUS Yêu
cầu truy nhập.
Nếu máy chủ sau khi kiểm tra các thông tin của ngƣời dùng hoàn toàn thoả mãn
sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một thông báo dạng RADIUS Chấp nhận
truy nhập. Nếu không thoả mãn máy chủ sẽ trả về một tin RADIUS Từ chối truy nhập
và NAS sẽ ngắt kết nối với ngƣời dùng.
Khi một gói tin Chấp nhận truy nhập đƣợc nhận và RADIUS tính toán đã đƣợc
thiết lập, NAS sẽ gửi một gói tin RADIUS Yêu cầu thanh toán tới máy chủ. Máy chủ
sẽ thêm các thông tin vào file Log của nó, với việc NAS sẽ cho phép phiên làm việc
với ngƣời dùng bắt đầu khi nào, và kết thúc khi nào, RADIUS Thanh toán làm nhiệm
Giải pháp xác thực người dùng Lê Thị Thùy Lương
42
vụ ghi lại quá trình xác thực của ngƣời dùng vào hệ thống, khi kết thúc phiên làm việc
NAS sẽ gửi một thông tin RADIUS Yêu cầu thanh toán.
3.2.2. Sự an toàn và mở rộng
Tất cả các thông báo của RADIUS đều đƣợc đóng gói bởi gói dữ liệu ngƣời
dùng UDP, nó bao gồm các thông tin nhƣ: kiểu thông báo, số thứ tự, độ dài, xác thực,
và một loạt các giá trị thuộc tính.
Xác thực: tác dụng của xác thực là cung cấp một chế độ bảo mật. NAS và máy
chủ sử dụng xác thực để hiểu đuợc các thông tin đã đƣợc mã hoá của nhau nhƣ mật
khẩu chẳng hạn. Nó cũng giúp NAS phát hiện sự giả mạo của gói tin RADIUS Trả lời.
Cuối cùng, nó đƣợc sử dụng làm cho biến mật khẩu thành một dạng nào đó, ngăn chặn
việc làm lộ mật khẩu của ngƣời dùng trong các thông báo RADIUS.
Xác thực gửi yêu cầu truy nhập trong một số ngẫu nhiên. MD5 sẽ băm (hash) số
ngẫu nhiên đó thành một dạng riêng là OR’ed cho mật khẩu của ngƣời dùng và gửi
trong yêu cầu truy nhập mật khẩu ngƣời dùng. Toàn bộ RADIUS Trả lời sau đó đƣợc
MD5 băm với cùng thông số bảo mật của xác thực, và các thông số trả lời khác.
Xác thực giúp cho quá trình giao tiếp giữa NAS và máy chủ đƣợc bảo mật
nhƣng nếu kẻ tấn công tóm đƣợc cả hai gói tin RADIUS Yêu cầu truy nhập và Trả lời
truy nhập thì có thể thực hiện "tấn công từ điển" để phân tích việc đóng gói này. Trong
điều kiện thực tế việc giải mã khó khăn bạn cần phải sử dụng những thông số dài hơn,
toàn bộ vấn đề có khả năng nguy hại cho quá trình truyền tải này đƣợc miêu tả rất kỹ
trong RFC 3580.
Cặp giá trị thuộc tính: Thông tin đƣợc mang bởi RADIUS đuợc miêu tả trong
một dạng giá trị thuộc tính, để hỗ trợ cho nhiều công nghệ khác nhau, và nhiều phƣơng
Giải pháp xác thực người dùng Lê Thị Thùy Lương
43
thức xác thực khác nhau. Một chuẩn đƣợc định nghĩa trong cặp giá trị thuộc tính , bao
gồm tên ngƣời dùng-mật khẩu, NAS-địa chỉ IP, cổng NAS-kiểu dịch vụ. Các nhà sản
xuất cũng có thể định nghĩa cặp giá trị thuộc tính để mang các thông tin của mình.
Thêm vào đó, rất nhiều chuẩn cặp giá trị thuộc tính đƣợc định nghĩa trong nhiều
năm để hỗ trợ giao thức xác thực mở rộng (Extensible Authentication Protocol-EAP),
một dạng khác cũ hơn của nó là giao thức PAP và CHAP dial-up. Ta có thể tìm thấy
trong tài liệu RFC 3579 cho phiên bản mới nhất của RADIUS hỗ trợ EAP. Trong phần
này sẽ nói rất rõ về hỗ trợ xác thực cho WLAN, từ khi chuẩn EAP đƣợc sử dụng cho
802.1X cổng điều khiển truy cập để cho phép xác thực từ bên ngoài cho mạng không
dây.
3.2.3. Áp dụng RADIUS cho mạng LAN không dây
Trong một mạng không dây sử dụng 802.1X cổng điều khiển truy cập, các máy
trạm sử dụng không dây với vai trò ngƣời sử dụng từ xa và điểm truy nhập không dây
làm việc với vai trò nhƣ một NAS. Để thay thế cho việc kết nối đến NAS với dial-up
nhƣ giao thức PPP, trạm không dây kết nối đến Access Point bằng việc sử dụng giao
thức 802.11.
Một quá trình đƣợc thực hiện, trạm không dây gửi một thông báo EAP bắt đầu
tới Access Point. Access Point sẽ yêu cầu trạm nhận dạng và chuyển các thông tin đó
tới một máy chủ với thông tin là RADIUS Yêu cầu truy nhập thuộc tính tên ngƣời
dùng.
Bây giờ ta đã hiểu, máy chủ và trạm không dây hoàn thành quá trình bằng việc
chuyển các thông tin RADIUS Thách thức truy nhập và Yêu cầu truy nhập qua Access
Point. Đƣợc quyết định bởi phía trên là một dạng EAP, thông tin này đƣợc chuyển
trong một đƣờng hầm đƣợc mã hoá TLS (Encypted TLS Tunnel).
Nếu máy chủ gửi một thông báo chấp nhận truy nhập, Access Point và trạm
không dây sẽ hoàn thành quá trình kết nối và thực hiện phiên làm việc với việc sử
dụng WEB hay TKIP để mã hoá dữ liệu. Và tại điểm đó, Access Point sẽ không cấm
cổng và trạm không dây có thể gửi và nhận dữ liệu từ hệ thống mạng một cách bình
thƣờng.
Chúng ta cần lƣu ý là mã hoá dữ liệu từ trạm không dây tới Access Point khác
với quá trình mã hoá từ Access Point tới máy chủ.
Nếu máy chủ gửi một thông báo từ chối truy nhập, Access Point sẽ ngắt kết nối
tới trạm. Trạm có thể cố gắng thử lại quá tình xác thực, nhƣng Access Point sẽ cấm
Giải pháp xác thực người dùng Lê Thị Thùy Lương
44
trạm này không gửi đƣợc các gói tin tới các Access Point ở gần đó. Chú ý là trạm này
hoàn toàn có khả năng nghe đƣợc các dữ liệu đƣợc truyền đi từ các trạm khác. Trên
thực tế dữ liệu đƣợc truyền qua sóng radio và đó là câu trả lời tại sao ta phải mã hoá
dữ liệu khi truyền trong mạng không dây.
Giá trị thuộc tính bao gồm trong thông báo của RADIUS có thể sử dụng bởi
máy chủ để quyết định phiên làm việc giữa Access Point và trạm không dây. Chính
xác các thông tin thêm vào có thể phụ thuộc vào máy chủ hay Access Point và trạm
bạn sử dụng.
3.2.4.Thực hiện các tùy chọn
Một vấn đề đầu tiên ta phải hiều vai trò của RADIUS trong quá trình xác thực
của WLAN, ta phải thiết lập một máy chủ hỗ trợ sự tƣơng tác.
- Nếu có một máy chủ trong mạng gọi là RADIUS, nó đã sẵn sàng để hỗ trợ xác
thực cho chuẩn 802.1X và cho phép chọn lựa các dạng EAP. Nếu đã có thì chuyển tiếp
đến bƣớc tiếp theo là làm thế nào để thiết lập tính năng này.
- Nếu ta có một máy chủ RADIUS không hỗ trợ 802.1X, hoặc không hỗ trợ các
dạng EAP, ta có thể lựa chọn bằng cách cập nhật các phiên bản phần mềm mới hơn
cho máy chủ, hay là có thể cài đặt một máy chủ mới. Nếu khi cài đặt một máy chủ hỗ
trợ xác thực cho chuẩn 802.1X, ta có thể sử dụng tính năng RADIUS proxy để thiết
lập một chuỗi các máy chủ, cùng chia sẻ chung một cơ sở dữ liệu tập trung, RADIUS
proxy có thể sử dụng để chuyển các yêu cầu xác thực tới máy chủ có khả năng xác
thực qua chuẩn 802.1X.
- Nếu không có một máy chủ RADIUS thì cần thiết phải cài đặt một máy chủ
cho quá trình xác thực của WLAN, lựa chọn cài đặt này là một công việc thú vị.
3.2.5. Kết luận
Với cơ sở tập trung, giải pháp sử dụng RADIUS cho mạng WLAN là rất quan
trọng bởi nếu một hệ thống mạng của chúng ta có rất nhiều Access Point việc cấu hình
để bảo mật hệ thống này là rất khó nếu quản lý riêng biệt, ngƣời dùng có thể xác thực
từ nhiều Access Point khác nhau và điều đó là không bảo mật.
Khi sử dụng RADIUS cho WLAN mang lại khả năng tiện lợi rất cao, xác thực
cho toàn bộ hệ thống nhiều Access Point, … cung cấp các giải pháp thông minh hơn.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
45
Chương 4:
CÀI ĐẶT VÀ THỬ NGHIỆM PHẦN MỀM CHILLISPOT
4.1. Giới thiệu ChilliSpot
ChilliSpot là một phần mềm sử dụng công nghệ Captive Portal mã nguồn mở
dùng để điều khiển truy nhập mạng LAN không dây. Phần mềm đƣợc sử dụng để xác
thực ngƣời dùng của một mạng LAN không dây. Có hỗ trợ đăng nhập qua web, xác
thực, cấp quyền và thống kê đƣợc điều khiển thông qua máy chủ radius.
ChilliSpot có bản dịch cho các phiên bản: Redhat, Fedora, Debian, Mandrake
và OpenWRT.
4.1.1. Phương pháp xác thực của ChilliSpot
ChilliSpot hỗ trợ 2 phƣơng pháp xác thực:
o Phƣơng pháp truy nhập phổ thông (UAM - Universal Access Method)
o Bảo vệ truy cập mạng không dây (WPA - Wireless Protected Access)
Với UAM, máy khách không dây đƣợc cấp một địa chỉ IP do Chilli cấp. Khi
ngƣời dùng khởi động trình duyệt web, Chilli sẽ bắt kết nối TCP và gửi tới trình duyệt
web xác thực của máy chủ. ChilliSpot sẽ hỏi ngƣời dùng username và password.
Password đƣợc mã hóa và gửi lại cho ChilliSpot.
Với WPA, xác thực đƣợc điều khiển bởi Access Point và sau đó đƣợc chuyển từ
Access Point đến ChilliSpot. Nếu nhƣ WPA đƣợc sử dụng kết nối giữa Access Point
và máy khách đƣợc mã hóa.
Đối với UAM và WPA, ChilliSpot chuyển yêu cầu xác thực cho máy chủ
radius. Máy chủ radius gửi một thông báo chấp nhận truy cập tới Chilli nếu việc xác
thực đó thành công. Cách khác là sự truy nhập bị loại bỏ đƣợc gửi sau.
4.1.2. Một số giao diện của ChilliSpot
ChilliSpot có 3 giao diện chính:
o Một giao diện liên kết xuống dƣới để chấp nhận kết nối từ khách hàng.
o Một giao diện radius để xác thực khách hàng.
o Một giao diện mạng liên kết lên trên để chuyển tiếp lƣu lƣợng cho những
mạng khác.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
46
Xác thực máy khách đƣợc thực hiện bởi máy chủ radius ngoài. Cho UAM
CHAP-Challenge và CHAP-Password nhƣ chỉ rõ RFC 2865 đƣợc sử dụng. Cho WPA
thuộc tính EAP- Thông báo radius đƣợc định nghĩa trong RFC 2869 đƣợc sử dụng.
Thông báo các thuộc tính đƣợc mô tả trong RFC 2548 đƣợc sử dụng để chuyển các
khóa mã hóa từ máy chủ radius tới ChilliSpot. Ngoài ra, giao diện radius còn hỗ trợ
thống kê.
Giao diện liên kết xuống dƣới chấp nhận DHCP và yêu cầu ARP từ máy khách.
Máy khách có thể trong 2 trạng thái: Không đƣợc xác thực và đƣợc xác thực. Trong
trạng thái không đƣợc xác thực, mạng yêu cầu máy khách đƣợc gửi một lần nữa tới
web server xác thực.
Trong một ứng dụng không đựợc xác thực điển hình, máy khách sẽ đƣợc
chuyển tiếp tới web server và nhập lại tên và mật khẩu. Web server chuyển tiếp ngƣời
dùng tới Chilli có nghĩa là gửi một lần nữa trình duyệt web tới Chilli. Một yêu cầu xác
thực chuyển tiếp tới máy chủ radius. Nếu xác thực thành công trạng thái của máy
khách đƣợc thay đổi thành đƣợc xác thực. Phƣơng pháp xác thực này chính là phƣơng
pháp truy nhập phổ thông (UAM).
Giống một trong những khả năng tới UAM mà các Access Point có thể đƣợc
định hình để xác thực khách hàng bởi việc sử dụng bảo vệ truy nhập không dây
(WPA). Trong quyền xác thực trƣờng hợp này đƣợc chuyển từ Access Point tới Chilli
bởi việc sử dụng giao thức radius. Yêu cầu radius nhận đƣợc là sự ủy quyền bởi Chilli
và chuyển tiếp tới máy chủ radius.
Giao diện liên kết lên trên đƣợc thực hiện bởi việc sử dụng bộ điều khiển
TUN/TAP. Khi Chilli khởi động một giao diện TUN đƣợc thiết lập và để tùy chọn cấu
hình ngoài tập lệnh đƣợc gọi.
4.1.3. Yêu cầu để xây dựng một HotSpot
Để xây dựng một HotSpot cần những thành phần sau đây:
o Đƣờng kết nối Internet.
o Wireless LAN access point
o Phần mềm ChilliSpot
o Máy chủ RADIUS
o Máy chủ Web
Giải pháp xác thực người dùng Lê Thị Thùy Lương
47
4.1.4. Kiến trúc mạng khi xây dựng
Một kiến trúc mạng tiêu biểu nhƣ hình dƣới đây:
Máy khách không dây có thể thiết lập kết nối không dây tới Access Point nhƣng
trƣớc hết nó phải xác thực với Chilli.
Theo cấu trúc có 3 kiểu mạng khác nhau:
o Mạng ngoài: tiêu biểu là Internet hoặc Intranet. Sự truy nhập từ mạng ngoài
đƣợc Chilli bảo vệ và chỉ cho phép lƣu lƣợng từ máy khách đã đƣợc xác thực đi
qua.
o Mạng trong: mạng bên trong đang nối Access Point với ChilliSpot. Đƣợc sử
dụng để chuyển tiếp cho Ethernet các khung giữa Chilli và máy khách cũng nhƣ
cho lƣu lƣợng quản lý IP tới và từ những Access Point.
o Mạng không dây: máy khách đƣợc kết nối tới mạng không dây và những
Access Point phục vụ nhu cầu nối giữa mạng trong và mạng không dây. Cho
phép chuyển tiếp tới Ethernet các khung giữa Chilli và máy khách không dây.
Chilli phụ thuộc vào một số máy chủ ngoài:
o Máy chủ DNS: khi truy nhập mạng ngoài, máy khách dựa trên một hay nhiều
những máy chủ DNS để giải quyết tên miền đến những địa chỉ IP. Máy khách
có đƣợc thông tin của máy chủ DNS và địa chỉ IP nhờ vào Chilli. Trƣớc khi bắt
đầu cài đặt ChilliSpot bạn phải xác định địa chỉ IP của ít nhất một máy chủ
DNS mà có thể sử dụng mạng không dây. Nếu bạn không chỉ rõ máy chủ DNS
Chillli sẽ sử dụng máy chủ DNS mà đƣợc chỉ định bởi hệ điều hành.
Giải pháp xác thực người dùng Lê Thị Thùy Lương
48
o Máy chủ UAM: khi một ngƣời đăng nhập, khi đó đƣợc gửi một lần nữa tới
trang chủ xác thực và yêu cầu ngƣời dùng cho biết tên và mật khẩu. Nếu một
máy chủ UAM không có sẵn thì có thể cài đặt một máy chủ Chilli.
o Máy chủ radius: quyền ngƣời dùng đƣợc lƣu trữ trong một hay một số máy
chủ radius. Bất cứ nơi nào máy khách kết nối tới mạng, Chilli sẽ liên hệ với
máy chủ radius để xác nhận quyền ngƣời dùng. Nếu máy chủ radius riệng biệt
không có sẵn thì có thể cài đặt trên máy chủ Chilli.
Nói chung, Access Point cần phải định cấu hình với sự xác thực mở và không
có sự mã hóa nào. Sự xác thực đƣợc điều khiển bởi Chilli. Để an toàn hơn Access
Point cần phải định cấu hình cho sự bảo vệ truy nhập không dây.
4.2. Mô tả
4.2.1. Máy chủ Web xác thực
Một máy chủ web xác thực là cần thiết để xác nhận những ngƣời dùng sử dụng
phƣơng pháp truy nhập phổ thông. Cho sự bảo vệ truy nhập mạng không dây máy chủ
web là không cần thiết.
Giao diện truyền thông tới máy chủ web thực hiện sử dụng giao thức HTTP.
Không có “call backs ” nào từ máy chủ web đến Chilli là cần thiết để xác nhận máy
khách. Điều này có nghĩa là HotSpot có thể đƣợc đặt đằng sau một cổng vào NAT
(Network Address Translation - Hệ thống dịch địa chỉ IP), proxy hoặc firewall trong
khi máy chủ web đƣợc định vị trên Internet công cộng.
Chúng ta cung cấp một nguyên bản CGI (Common Gateway Interface – Hệ
giao tiếp cổng vào chung) cho máy chủ web của bạn và sẽ hỏi ngƣời dùng tên và mật
khẩu. Ngƣời dùng đƣa thông tin này vào, mật khẩu đƣợc mã hóa sau đó đƣợc gửi tới
Chilli và chuyển tiếp yêu cầu cho máy chủ radius. Bạn cần phải sử dụng giao thức SSL
/ TLS trên máy chủ web của bạn để bảo vệ tên và mật khẩu.
4.2.2. RADIUS
a. Máy chủ radius
Chúng ta không cung cấp bất kì phần mềm máy chủ radius nào. Cho những dự
án nhỏ, chúng ta giới thiệu sử dụng máy chủ radius mã nguồn mở nhƣ: FreeRADIUS,
Cistron hoặc OpenRADIUS.
b. Những thuộc tính RADIUS
Thuộc tính # Kiểu Yêu cầu
xác thực
Trả lời
xác thực
Yêu cầu
chấp nhận Nhận xét
User-name 1 String X X Tên đăng nhập đầy đủ của ngƣời dùng
User-Password 2 String X Sử dụng cho UAM luân phiên tới CHAP-Password
và CHAP-Challenge.
CHAP-Password 3 String X Sử dụng cho UAM
CHAP-Challenge 60 String X Sử dụng cho UAM
EAP-Message 79 String X X Sử dụng cho WPA
NAS-IP-Address 4 IPaddr X X
Địa chỉ IP của Chilli (đặt bởi tùy chọn radiusnasip hoặc
radiuslisten). Nếu cả radiuslisten lẫn nasipaddress đều không
thiết lập NAS-địa chỉ IP thiết lập tới "0.0.0.0".
Service-Type 6 Integer X X
Đặt tới Đăng nhập những yêu cầu xác thực bình thƣờng.Cho
những thông báo -Yêu cầu quản lí cấu hình kiểu RFC 2882 tới
máy chủ radius đây là thiết lập tới ChilliSpot cho phép duy
nhất (0x38df0001). Thông báo sự chấp nhận từ máy chủ radius
cho những thông báo quản lí cấu hình cũng phải thiết lập tới
ChilliSpot cho phép duy nhất (0x38df0001).
Framed-IP-Address 8 IPaddr X X X Địa chỉ IP của ngƣời sử dụng
Reply-Message 18 String X Lí do loại bỏ nếu hiện hành.
State 24 String X X Gửi tới Chilli: Access-Accept hay Access-Challenge.
Sử dụng trong suốt sau yêu cầu truy xuất.
Class 25 String X X Sao chép trong suốt bởi Chilli từ Access-Accept tới
Accounting-Request.
Session-Timeout 27 Integer X Rời 1lần ngoài phiên là hoàn thành (giây)
Idle-Timeout 28 Integer X Rời 1lần ngoài thời gian rỗi là hoàn thành (giây)
Called-Station-ID 30 String X X Thiết lập radius gọi là lệnh chọn đƣờng hay địa chỉ MAC của
50
Thuộc tính # Kiểu Yêu cầu
xác thực
Trả lời
xác thực
Yêu cầu
chấp nhận Nhận xét
ChilliSpot nếu không hiện hành.
Calling-Station-ID 31 String X X Địa chỉ MAC của máy khách
NAS-ID 32 String X X Thiết lập tùy chọn radiusnasid nếu hiện hành.
Acct-Status-Type 40 Integer X 1=Start, 2=Stop, 3=Interim-Update
Acct-Input-Octets 42 Integer X Số của octets nhận từ máy khách.
Acct-Output-Octets 43 Integer X Số của octets truyền tới máy khách.
Acct-Session-ID 44 String X X ID duy nhất để liên kết Access-Request và Accounting-Request
messages.
Acct-Session-Time 46 Integer X Khoảng thời gian phiên làm việc
Acct-Input-Packets 47 Integer X Số của gói tin nhận từ máy khách.
Acct-Output-Packets 48 Integer X Số của gói tin truyền từ máy khách.
Acct-Terminate-Cause 49 Integer X 1=User-Request, 2=Lost-Carrier, 4=Idle-Timeout,
5=Session-Timeout, 11=NAS-Reboot
Acct-Input-Gigawords 52 Integer X Thời gian Acct-Input-Octets counter has wrapped around.
Acct-Output-Gigawords 53 Integer X Thời gian Acct-Output-Octets counter has wrapped around.
NAS-Port-Type 61 Integer X X 19=Wireless-IEEE-802.11
Message-Authenticator 80 String X X
Luôn bao gồm trong Access-Request. Nếu hiện hành trong
Access-Accept, Access-Challenge hay Access-reject Chilli
sẽ xác nhận thông báo xác thực là chính xác.
Acct-Interim-Interval 85 Integer X Nếu hiện hành trong Access-Accept Chilli sẽ tạo ra thời gian
chuyển tiếp mục bản ghi với thời gian đƣợc chỉ rõ.
WISPr-Location-ID 14122, 1 String X X
Vị trí ID là thiết lập tùy chọn radiuslocationid nếu hiện hành.
Cần phải trong định dạng: isocc=<ISO_Country_Code>,
cc=<E.164_Country_Code>,ac=<E.164_Area_Code>,
51
Thuộc tính # Kiểu Yêu cầu
xác thực
Trả lời
xác thực
Yêu cầu
chấp nhận Nhận xét
network=<ssid/ZONE>
WISPr-Location-Name 14122, 2 String X X
Định vị tên là thiết lập tùy chọn radiuslocationname nếu hiện
hành.Cần định dạng: <HOTSPOT_OPERATOR_NAME>,
<LOCATION>
WISPr-Logoff-URL 14122, 3 String X
Chilli bao gồm thuộc tính trong thông báo Access-Request .Thứ
tự thông báo thao tác viên rời khỏi URL để sử dụng cho đăng kí
của máy khách. Mặc định tới "http://192.168.182.1:3990/logoff".
WISPr-Redirection-URL 14122, 4 String X
Nếu hiện hành máy chủ sẽ gửi 1 lần nữa tới URL 1 xác thực.
URL này cần 1 liên kết tới WISPr-Logoff-URL để cho phép máy
khách rời khỏi hệ thống.
WISPr-Bandwidth-Max-Up 14122, 7 Integer X Tốc độ truyền cực đại (b/s). Giới hạn bandwidth của kết nối.
Chú ý thuộc tính này là b/s.
WISPr-Bandwidth-Max-
Down 14122, 8 Integer X
Tốc độ nhận cực đại (b/s). giới hạn bandwidth của kết nối.
Chú ý thuộc tính này chỉ rõ b/s.
WISPr-Session-Terminate-
Time 14122, 9 String X
Thời gian ngƣời dùng bỏ kết nối trong định dạng ISO 8601
(YYYY-MM-DDThh:mm:ssTZD). Nếu TZD không đƣợc
chỉ rõ giờ địa phƣơng đƣợc giả thiết.Ví dụ ngắt kết nối vào
18 December 2001 at 7:00 PM UTC đƣợc chỉ rõ là
2001-12-18T19:00:00+00:00.
ChilliSpot-Max-Input-
Octets 14559, 1 Integer X
octets số cực đại ngƣời dùng cho phép truyền. Sau giới hạn
này ngƣời dùng sẽ ngừng kết nối.
ChilliSpot-Max-Output-
Octets 14559, 2 Integer X
octets số cực đại ngƣời dùng cho phép nhận. Sau giới hạn
này ngƣời dùng sẽ ngừng kết nối.
52
Thuộc tính # Kiểu Yêu cầu
xác thực
Trả lời
xác thực
Yêu cầu
chấp nhận Nhận xét
ChilliSpot-Max-Total-
Octets 14559, 3 X
octets số cực đại ngƣời dùng cho phép chuyển giao(tổng
truyền và nhận). Sau giới hạn này ngƣời dùng sẽ ngừng kết nối.
ChilliSpot-UAM-Allowed X
Khi nào nhận đƣợc từ máy chủ radius trong thông báo quản
lí cấu hình kiểu RFC 2882 thuộc tính này sẽ tùy chọn dòng
lệnh uamallowed.
ChilliSpot-MAC-Allowed X
Khi nào nhận đƣợc từ máy chủ radius trong thông báo quản
lí cấu hình kiểu RFC 2882 thuộc tính này sẽ tùy chọn dòng
lệnh macallowed.
ChilliSpot-MAC-Interval
Khi nào nhận đƣợc từ máy chủ radius trong thông báo quản
lí cấu hình kiểu RFC 2882 thuộc tính này sẽ tùy chọn dòng
lệnh interval.
MS-MPPE-Send-Key 311,16 String X Sử dụng cho WPA
MS-MPPE-Recv-Key 311,17 String X Sử dụng cho WPA
4.2.2. Access Point
Chúng ta không giới thiệu Access Point từ bất kì nhà cung cấp đặc biệt nào.
Cho UAM hầu nhƣ bất kì Access Point nào cũng sử dụng đƣợc.
Nếu bạn muốn hỗ trợ WPA, bạn cần một Access Point mà hỗ trợ điều này.
ChilliSpot đƣợc kiểm tra với những Access Point từ Cisco và Proxim để WPA hoạt
động.
4.2.3. Máy khách
Máy khách có thể chỉ là thiết bị mà có card WLAN PC hoặc xây dựng trong
LAN không dây. Bạn phải tìm một máy khách “wifi” thích hợp.
Đối với UAM, máy khách cần có một bộ duyệt web. Ví dụ những máy khách
không dây với bộ duyệt web bao gồm những thiết bị nhúng và những phone WLAN
VoIP nào đó.
Đối với WPA, bạn cần một máy khách mà hỗ trợ điều này. Cái này cần hỗ trợ
bởi cả card WLAN PC cũng nhƣ hệ điều hành. Microsoft cung cấp một gói WPA cho
Windows XP.
4.2.4. Kiến trúc phần mềm
Nền tảng chính cho ChilliSpot là Linux, nhƣng nó có thể biên dịch phần mềm
khác nhƣ: FreeBSD, OpenBSD, Solaris và even Apple OSX.
Mục đích thiết kế chính của ChilliSpot là sự ổn định, có thể di chuyển đƣợc và
biến đổi đƣợc. Kết quả của sự lựa chọn thiết kế nhƣ sau:
o Lập trình bằng ngôn ngữ C để hoàn thiện tính di chuyển đƣợc tiến tới
những nền tảng khác.
o Sự trùng nhau đƣợc thực hiện sử dụng một vòng select() đơn để cải tiến
có thể chuyển và cùng lúc đạt đƣợc thông lƣợng cao. Một quá trình máy
khách tạo ra mỗi khi một yêu cầu xác thực http từ máy khách nhận đƣợc.
o Ứng dụng chỉ phát triển trong không gian ngƣời dùng. Cung cấp tính di
chuyển tốt với chi phí thực hiện. Tính thực thi có thể tăng bởi việc ngƣời
dùng thực hiện cách trình bày trong nhân.
o Duy trì kênh truy cập của bộ nhớ kiểm tra định vị và lỗi. Giúp cải tiến sự
ổn định nhƣng cần phải đƣợc tối ƣu hóa cho sự thực thi ở giai đoạn về
sau.
54
4.3. Cài đặt trên RedHat 9, Fedora (FC1,FC2,FC3 hoặc FC4)
4.3.1. Yêu cầu tối thiểu
o Bộ xử lý loại Intel pentium 233MHz (hoặc nhanh hơn).
o 2 card mạng.
o RAM 64 MB.
o Đĩa cứng 1 GB (nếu cài đặt hệ điều hành mới).
o Đĩa cứng trống 10 MB (nếu sử dụng hệ điều hành đã cài đặt).
o RedHat 9, Fedora 1, Fedora 2.
4.3.2. Chuẩn bị
Trƣớc khi bắt đầu cài đặt ChilliSpot, bạn sẽ cần phần cứng và phần mềm sau:
o Một PC phù hợp với 2 card mạng.
o Đĩa CD RedHat 9 hay Fedora 1 - 4 để cài đặt.
o File ChilliSpot cài đặt cho Redhat 9, Fedora 1 - 4.
Bạn cũng cần quyết định sắp đặt bố trí mạng của bạn. Đối với mạng không dây
và mạng trong, bạn có thể sử dụng địa chỉ IP cho trong lời giới thiệu. Địa chỉ IP của
mạng ngoài thƣờng đƣợc xác định bằng cấu hình có sẵn, vì vậy bạn cần tìm địa chỉ IP
cũng nhƣ netmask cho mạng này. Hơn nữa, một địa chỉ IP thƣờng đƣợc yêu cầu. Nếu
bạn sử dụng địa chỉ IP động, bạn không cần định cấu hình địa chỉ IP và thông tin cổng.
4.3.3. Cài đặt Redhat hoặc Fedora
Cài đặt Redhat hoặc Fedora trong mục này, những phần của cài đặt yêu cầu chú
ý đặc biệt hơn nữa.
Trong quá trình cài đặt bạn sẽ đƣợc hỏi một lựa chọn trong các lựa chọn.
Dƣới “Installation Type” chọn “Server”
Dƣới "Network Configuration" cấu hình những giao diện thích hợp.
o eth0: Là giao diện ngoài của ChilliSpot (thƣờng kết nối với Internet).
Định hình giao diện này cho DHCP hoặc nếu bạn đang sử dụng địa chỉ
IP tĩnh bạn cần định cấu hình cả địa chỉ IP và netmask.
o eth1: Là giao diện bên trong của ChilliSpot. Giao diện mạng này không
cần định cấu hình mà nó tự động đƣợc định cấu hình bởi ChilliSpot.
55
Bạn cần thiết lập hostname của máy chủ. Trong ví dụ này, chúng ta sử dụng
“chilli”.
Nếu bạn sử dụng DHCP cho giao diện ngoài, bạn làm bình thƣờng không phải
định cấu hình bất cứ cái gì. Nếu bạn sử dụng IP tĩnh, bạn sẽ cần điền vào "Gateway"
cũng nhƣ "Primary DNS". Bạn có thể chọn điền vào "Secondary DNS" và "Tertiary
DNS".
Dƣới "Firewall Configuration" chọn "Enable Firewall" (Redhat 9: an toàn mức
" trung bình "). Chúng ta sẽ tùy chỉnh những quy tắc firewall về sau trong quá trình cài
đặt, vì vậy bây giờ bạn có thể bỏ những tùy chọn firewall khác .
Dƣới "Package Group Selection" chọn những gói sau:
o "Server Configuration Tools"
o "Web Server" (không cần nếu sử dụng máy UAM riêng )
o Dƣới những chi tiết cho "Network Servers" chọn "freeradius" (Không
cần nếu sử dụng máy Radius riêng)
o Những công cụ quản lý.
Đối với RedHat9, bạn cần download và biên dịch radius miễn phí từ
www.freeradius.org. Không có gói khác nào cần bởi Chilli. Ở trên cài đặt quy định
khoảng 850 MB của đĩa cứng. Bạn có thể cũng muốn cài đặt giao diện đồ họa ngƣời
dùng hoặc gói khác, tuy nhiên điều này không đƣợc yêu cầu bởi Chilli.
Sau khi bạn cài đặt Linux, hệ thống sẽ khởi động lại. Đăng nhập gốc và bạn sẵn
sàng cài đặt phần còn lại của phần mềm.
4.3.4. Cài đặt và định cấu hình ChilliSpot
ChilliSpot cài đặt bởi kết qủa của tập lệnh:
rpm -i http://www.chillispot.org/download/chillispot-1.1.0.i386.rpm
Trong thời gian cài đặt ChilliSpot, file cấu hình đƣợc sao chép tới
/etc/chilli.conf. Bạn cần hiệu chỉnh lại file này.
Nhƣ bắt đầu, bạn có thể bỏ hầu hết tham số. Nếu bạn sử dụng một máy chủ
radius ngoài bạn cần phải sửa đổi các tham số:
o radiusserver1
o radiusserver2
o radiussecret
56
Nếu bạn không sử dụng máy chủ radius ngoài, bạn có thể bỏ các tham số này,
chúng ta sẽ cài đặt một máy chủ radius sau quá trình cài đặt.
Nếu bạn sử dụng máy chủ UAM ngoài, bạn cần sửa tham số:
o uamserver
Nếu bạn không sử dụng máy chủ UAM ngoài, bạn có thể bỏ các tham số này.
Chúng ta sẽ cài đặt một máy chủ UAM sau quá trình cài đặt.
Để tự động khởi động, Chilli đƣa ra lệnh:
chkconfig chilli on
ChilliSpot sẽ bắt đầu ngay sau bạn khởi động lại, hay bạn có thể khởi động trực
tiếp bằng lệnh:
/etc/init.d/chilli start
4.3.5. Cài đặt Firewall
Firewall rất quan trọng để bảo vệ ChilliSpot khỏi lƣu lƣợng không hợp pháp.
Không thể thỏa mãn tất cả các cấu hình kết nối mạng và nói chung bạn cần viết tập
hợp các quy tắc firewall đơn. Nhƣ điểm bắt đầu, bạn có thể sử dụng tập lệnh đặt trong:
/usr/share/doc/chillispot-1.1.0/firewall.iptables
Bạn có thể hiệu chỉnh file này để thỏa mãn cấu hình của chính mình hoặc đơn
giản sử dụng nó mà không phải sửa đổi. Bạn hiệu chỉnh file cài đặt nó bởi các lệnh
sau:
/etc/init.d/iptables stop
/usr/share/doc/chillispot-1.1.0/firewall.iptables
/etc/init.d/iptables save
Trƣớc hết làm sạch những quy tắc firewall hiện thời, cài đặt những quy tắc mới
và cuối cùng lƣu giữ những quy tắc để chúng sẽ đƣợc khôi phục mỗi khi hệ thống khởi
động lại.
ChilliSpot đẩy tới cho mạng những gói tin, IP chuyển tới phải đƣợc bật trong
nhân. Bạn cần thay đổi dòng để đọc: net.ipv4.ip_forward = 0 trong /etc/sysctl.conf
tới:
net.ipv4.ip_forward = 1
Những thay đổi thực hiện khi bạn khởi động lại hệ thống, hay bạn có thể kích
hoạt chúng trực tiếp bởi việc đƣa ra tập lệnh:
/sbin/sysctl –p
57
Nếu bạn sử dụng một máy chủ radius và UAM ngoài kết thúc sự cài đặt. Bạn
khởi động lại hệ thống, trong thứ tự làm chính xác tất cả các thay đổi bạn đã thực hiện.
Nếu bạn không sử dụng máy chủ radius hoặc UAM ngoài, bạn cần cài đặt nhƣ
miêu tả bên dƣới.
4.3.6. Cài đặt và cấu hình máy chủ web chứng thực UAM
Mạng chủ Apache đƣợc cài đặt nhƣ phần cài đặt của Linux. Chúng ta sẽ định
cấu hình Apache để yêu cầu tên ngƣời dùng và mật khẩu của máy khách không dây.
Trong thời gian cài đặt ChilliSpot, một tập lệnh CGI đƣợc đặt trong
/usr/share/doc/chillispot-1.1.0/hotspotlogin.cgi. Bạn cần phải sao chép tập lệnh này tới
/var/www/cgi-bin/hotspotlogin.cgi trên web chủ của bạn.
Để tự động khởi động đƣa ra tập lệnh:
chkconfig httpd on
Apache sẽ bắt đầu tiếp ngay sau bạn khởi động lại hệ thống, hoặc bạn có thể
khởi động trực tiếp bằng tập lênh:
/etc/init.d/httpd start
Bạn cần chỉ cho Chilli khoảng định vị của máy chủ xác thực. Điều này đƣợc
làm bởi sự hiệu chỉnh trong dòng sau "/etc/chilli.conf":
uamserver https://192.168.182.1/cgi-bin/hotspotlogin.cgi
Bạn cần khởi động lại Chilli trong thứ tự để cấu hình thay đổi, thực hiện:
/etc/init.d/chilli restart
4.3.7. Cài đặt và cấu hình FreeRADIUS
Máy chủ Radius FreeRADIUS đƣợc cài đặt nhƣ một phần của cài đặt Linux.
Bây giờ, chúng ta sẽ định cấu hình FreeRADIUS để xác thực những ngƣời dùng
HotSpot. Đọc tài liệu FreeRADIUS để định cấu hình máy chủ. Nhƣ một mức tối thiểu,
bạn sẽ cần thêm những ngƣời dùng. Điều này làm bằng cách hiệu chỉnh file
"/usr/share/doc/chillispot-1.1.0/freeradius.users" nhƣ một khuôn mẫu.
Bạn cũng có thể hiệu chỉnh "/etc/raddb/clients.conf" để định cấu hình địa chỉ IP
và chia sẻ bí mật của Chilli. Bí mật đƣợc định hình bên trong "/etc/raddb/clients.conf"
phải phù hợp với tham số radiussecret trong"/etc/chilli.conf". Để tự động khởi động
FreeRADIUS đƣa ra lệnh:
chkconfig radiusd on
58
FreeRADIUS sẽ bắt đầu tiếp sau khi bạn khởi động lại hệ thống, hoặc bạn có thể khởi
động nó trực tiếp bằng cách đƣa ra lệnh:
/etc/init.d/radiusd start
Bạn cần chỉ ra cho Chilli khoảng định vị của máy chủ radius. Điều này làm theo
sự hiệu chỉnh của dòng sau trong "/etc/chilli.conf":
radiusserver1 127.0.0.1
radiusserver2 127.0.0.1
radiussecret testing123
Bạn cần khởi động lại Chilli cho cấu hình thay đổi để thực hiện:
/etc/init.d/chilli restart
Bạn có thể kiểm tra cấu hình bằng cách sử dụng một LAN laptop không dây.
Kết hợp với Access Point và khởi động trình duyệt web. Bạn cũng có thể đăng nhập sử
dụng tên đăng nhập "steve" và mật khẩu "testing". Nếu bạn muốn tích hợp
FreeRADIUS với MySQL, PostgreSQL hoặc làm cài gì đó cao cấp hơn. Trong trƣờng
hợp đó www.freeradius.org là nguồn thông tin tốt nhất.
4.4. Cấu hình máy khách
4.4.1. Phương pháp truy nhập phổ thông - Universal Access
Method
Với phƣơng pháp truy nhập phổ thông (UAM) máy khách không dây đƣợc gửi
một lần nữa tới trang web đăng nhập. Tên đăng nhập và mật khẩu hợp lệ đƣợc máy
khách cho phép truy nhập mạng ngoài (Internet hoặc Intranet). Việc sử dụng UAM
bao gồm các bƣớc trong máy khách nhƣ sau:
o Cài đặt card LAN không dây.
o Kết hợp với Access Point trong hotspot.
o Bắt đầu trình duyệt thay vào trang chủ, bình thƣờng trình duyệt sẽ gửi
một lần nữa tới trang đăng nhập HotSpot .
o Nhập tên đăng nhập và mật khẩu, cần phải phù hợp với tên đăng nhập và
mật khẩu đƣợc định hình trƣớc đó trong máy chủ radius.
Sau đó máy khách này đƣợc phép truy nhập mạng ngoài. Máy khách không dây
sẽ thoát bởi DHCP timeout, hoặc quay lại trang đăng nhập và thoát ra ngoài.
59
Với UAM lƣu lƣợng giữa máy khách không dây và Access Point truyền không
cần mã hóa. Có nghĩa là bất cứ ai có thiết bị thích hợp đều có thể quan sát truyền thông
tin và nó cũng có thể bị đánh cắp khi kết nối có sẵn. Đối với nhiều cách sử dụng sự
thiếu an toàn này không là vấn đề nhƣng cho cách sử UAM thì không thích hợp.
Hƣớng dẫn ngƣời dùng chung:
1. Thay đổi WLAN SSID tới ChilliSpot (hoặc bất cứ SSID nào bạn định
hình trên Access Point).
2. PC phải kết nối tới Access Point tự động (tối thiểu nếu bạn sử dụng
Windows MS).
3. Bắt đầu trình duyệt. Khi trình duyệt web khởi động Chilli phải gửi ngƣời
dùng tới web server xác thực của bạn.
4. Ngƣời dùng nhập tên đăng nhập và mật khẩu (nhƣ đƣợc định hình trong
máy chủ radius )
5. Đăng nhập đƣợc xác nhận và ngƣời dùng đƣợc tự do duyệt Internet.
6. Nếu bất kỳ điều gì sai: làm chắc chắn rằng sự mã hóa mạng WLAN
đƣợc tắt và ủy quyền trình duyệt web cho phép sửa chữa. Khởi động lại
PC.
4.4.2. Bảo vệ sự truy nhập không dây - Wireless Protected Access
Bảo vệ sự truy nhập không dây (WPA) giải quyết hầu hết vấn đề an toàn liên
quan đến phƣơng pháp UAM. WPA sử dụng giao thức xác thực mở rộng Extensible
Authentication Protocol (EAP) mà yêu cầu phạm vi băng rộng của phƣơng pháp xác
thực. Với WPA có thể mã hóa lƣu lƣợng giữa máy khách không dây và Access Point .
WPA phải đƣợc hỗ trợi bởi cả card mạng LAN máy khách cũng nhƣ hệ điều
hành. Microsoft cung cấp một gói WPA cho dịch vụ Windows XP gói 1.
4.5. Những file được tạo ra hoặc được sử dụng
Thư mục
/usr/share/doc/chillispot-1.1.0/ Thƣ mục tài liệu ngƣời dùng, ví dụ tập lệnh và tệp
cấu hình.
Tệp tin
60
/usr/sbin/chilli Có thể thi hành ChilliSpot
/etc/chilli.conf Tệp cấu hình ChilliSpot
/etc/rc.d/init.d/chilli Hệ thống ChilliSpot khởi tạo tập lệnh.
/var/www/cgi-
bin/hotspotlogin.cgi
Tập lệnh Perl cgi thực hiện phƣơng pháp truy nhập
phổ thông
Trang sách hướng dẫn
chilli (8) Sách hƣớng dẫn ChilliSpot.
4.6. Tùy chọn
4.6.1. Tóm tắt
chilli --help
chilli --version
chilli
[ --fg ] [ --debug ] [ --conf file ] [ --pidfile file ] [ --statedir file ] [ --net net ] [ -
-dynip net ] [ --statip net ] [ --dns1 host ] [ --dns2 host ] [ --domain domain ] [ --ipup
script ] [ --ipdown script ] [ --conup script ] [ --condown script ] [ --radiuslisten host
] [ --radiusserver1 host ] [ --radiusserver2 host ] [ --radiusauthport port ] [ --
radiusacctport port ] [ --radiussecret secret ] [ --radiusnasid id ] [ --radiusnasip
host ] [ --radiuscalled name ] [ --radiuslocationid id ] [ --radiuslocationname name
] [ --radiusnasporttype type ] [ --coaport port ] [ --coanoipcheck ] [ --proxylisten
host ] [ --proxyport port ] [ --proxyclient host ] [ --proxysecret secret ] [ --
confusername username ] [ --confpassword password ] [ --dhcpif dev ] [ --dhcpmac
address ] [ --lease seconds ] [ --eapolenable ] [ --uamserver url ] [ --uamhomepage
url ] [ --uamsecret secret ] [ --uamlisten host ] [ --uamport port ] [ --uamallowed
domain ] [ --uamanydns ] [ --macauth ] [ --macallowed ] [ --macsuffix suffix ] [ --
macpasswd password ]
4.6.2. Tùy chọn
--help
Trợ giúp in và thoát.
61
--version
Phiên bản in và thóat.
--fg
Chạy trong mặt trƣớc (mặc định = off)
--debug
Chạy trong chế độ debug (mặc định = off)
--conf file
Đọc file cấu hình (mặc định = /etc/chilli.conf) nơi mỗi hàng tƣơng ứng tới một
dòng lệnh tùy chọn, nhƣng khoảng cách giữa những dòng chữ in '--' loại bỏ. Tùy chọn
dòng lệnh ghi đè tùy chọn cho trong file cấu hình.
--interval seconds
Đọc lại file cấu hình và làm DNS tra cứu mỗi interval seconds. Cái này có
cùng hiệu ứng nhƣ việc gửi tín hiệu HUP. Nếu interval là 0 (zero) tính năng này đƣợc
vô hiệu hóa.
file (mặc định = /etc/chilli.conf) nơi mỗi hàng tƣơng ứng tới một lệnh tùy chọn,
nhƣng với khoảng cách giữa những dòng in '--' loại bỏ. Tùy chọn hàng lệnh ghi đè
những tùy chọn cho trong file cấu hình.
--pidfile file
Tên file của file id xử lý (mặc định = /var/run/chilli.pid)
--statedir path
Đƣờng dẫn tới thƣ mục của dữ liệu không thay đổi (mặc định = /var/lib/chilli/)
--net net
Địa chỉ mạng của giao diện liên kết lên trên (mặc định = 192.168.182.0/24). Địa
chỉ mạng là quá trình thiết đặt initialisation khi chilli thiết lập một thiết bị TUN cho
giao diện liên kết lên trên. Địa chỉ mạng đƣợc chỉ rõ nhƣ <address>/<netmask>
(192.168.182.0/255.255.255.0) hoặc <address>/<prefix> (192.168.182.0/24).
--dynip net
Vùng địa chỉ IP động. Chỉ rõ một vùng của địa chỉ IP động. Nếu tùy chọn này
bị bỏ qua địa chỉ mạng chỉ rõ bởi tùy chọn net đƣợc sử dụng cho sự định vị địa chỉ IP
động. Xem xét tùy chọn net cho phần miêu tả của định dạng địa chỉ mạng.
--statip net
62
Vùng địa chỉ IP tĩnh. Chỉ rõ một vùng của địa chỉ IP tĩnh. Với định phần một
địa chỉ tĩnh, địa chỉ IP của máy khách có thể đƣợc chỉ rõ bởi máy chủ radius. Định
phần địa chỉ tĩnh có thể sử dụng cho cả xác thực MAC và WPA..
--dns1 host
Máy chủ DNS 1. Nó sử dụng để thông tin cho máy khách khoảng địa chỉ DNS
để sử dụng cho quyết định hostname. Nếu tùy chọn này không đƣợc định sẵn hệ thống
DNS sơ cấp đƣợc sử dụng.
--dns2 host
Máy chủ DNS 2. Nó sử dụng để thông tin cho máy khách khoảng địa chỉ DNS
để sử dụng cho quyết định hostname. Nếu tùy chọn này không đƣợc định sẵn hệ
thống DNS thứ cấp đƣợc sử dụng.
--domain domain
Tên miền. Nó sử dụng để thông tin máy khách về tên miền để sử dụng cho việc
tra cứu DNS.
--ipup script
Thực hiện tập lệnh sau khi giao diện mạng TUN đƣợc đƣa lên. Thực hiện với
các tham số sau: <devicename> <ip address> <mask>
--ipdown script
Thực hiện tập lệnh sau khi giao diện mạng TUN đƣa xuống. Thực hiện với các
tham số sau: <devicename> <ip address> <mask>
--conup script
Thực hiện tập lệnh sau khi xác thực. Thực hiện với các tham số sau:
<devicename> <ip address> <mask> <user ip address> <user mac address> <filter
ID>
--condown script
Thực hiện tập lệnh sau khi ngƣời dùng tắt. Thực hiện với các tham số sau:
<devicename> <ip address> <mask> <user ip address> <user mac address> <filter
ID>
--radiuslisten host
Giao diện địa phƣơng địa chỉ IP sử dụng cho giao diện radius. Địa chỉ này cũng
xác định giá trị cho thuộc tính NAS-IP-Address radius. Nếu radiuslisten bị bỏ qua thì
63
thuộc tính NAS-IP-Address sẽ đƣợc đặt "0.0.0.0" và điạ chỉ IP nguồn của yêu cầu
radius sẽ đƣợc xác định bởi bảng lộ trình hệ điều hành.
--radiusserver1 host
Địa chỉ IP của máy chủ radius 1 (mặc định=rad01.hotradius.com).
--radiusserver2 host
Địa chỉ IP của máy chủ radius 2 (mặc định =rad02.hotradius.com).
--radiusauthport port
Số cổng UDP sử dụng cho radius yêu cầu xác thực (mặc định=1812).
--radiusacctport port
Số cổng UDP sử dụng cho radius yêu cầu tính toán (mặc định=1813).
--radiussecret secret
Radius chia sẻ bí mật cho cả các máy chủ (mặc định=testing123). Bí mật này
nên thay đổi để không làm bí mật bị lộ.
--radiusnasid id
Định danh máy chủ truy nhập mạng (mặc định=nas01).
--radiusnasip host
Địa chỉ IP tới báo cáo trong thuộc tính NAS-IP-Addres. Mặc định địa chỉ IP chỉ
rõ bởi tùy chọn radiuslisten.
--radiuscalled name
Đặt tên tới báo cáo trong thuộc tính Called-Station-ID. Mặc định cho địa chỉ
MAC của giao diện không dây mà có thể chỉ rõ bởi tùy chọn dhcpmac.
--radiuslocationid id
ID định vị WISPr. Cần định dang: isocc=<ISO_Country_Code>,
cc=<E.164_Country_Code>,ac=<E.164_Area_Code>,network=<ssid/ZONE>. Tham
số này miêu tả rõ hơn trong tài liệu: Wi-Fi Alliance - Wireless ISP Roaming - Best
Current Practices v1, tháng 2- 2003.
--radiuslocationname name
Tên định vị WISPr. Cần định dạng: <HOTSPOT_OPERATOR_NAME>,
<LOCATION Tham số này miêu tả rõ hơn trong tài liệu: Wi-Fi Alliance - Wireless
ISP Roaming - Best Current Practices v1, tháng 2- 2003.
64
--radiusnasporttype type
Giá trị của thuộc tính NAS-Port-Type. Mặc định 19 (Wireless-IEEE-802.11).
--coaport port
Cổng UDP nghe cho radius chấp nhận yêu cầu ngừng kết nối.
--coanoipcheck
Nếu tùy chọn đã cho không có sự kiểm tra nào đƣợc thực hiện trên địa chỉ IP
nguồn của radius yêu cầu ngừng kết nối. Mặt khác, nó kiểm tra là radius yêu cầu
ngừng kết nối bắt nguồn từ máy chủ radius1 hoặc máy chủ radius2.
--proxylisten host
Giao diện IP địa phƣơng gửi tới sử dụng để chấp nhận radius yêu cầu.
--proxyport port
Cổng UDP nghe để cho chấp nhận radius yêu cầu.
--proxyclient host
Từ địa chỉ IP mà radius yêu cầu đƣợc chấp nhận. Nếu bỏ qua máy chủ sẽ không
chấp nhận radius yêu cầu.
--proxysecret secret
Radius chia sẻ bí mật cho máy khách. Nếu không chỉ rõ nó mặc định
radiussecret.
--confusername username
Nếu confusername đƣợc chỉ rõ cùng với confpassword, ChilliSpot sẽ chỉ rõ
khoảng cách bởi tùy chọn interval truy vấn máy chủ radius cho thông tin cấu hình. Trả
lời từ máy chủ radius phải có thuộc tính Service-Type đặt tới ChilliSpot cho phép duy
nhất để có bất kỳ hiệu ứng nào. Hiện nay, hỗ trợ ChilliSpot-UAM-Allowed,
ChilliSpot-MAC-Allowed và ChilliSpot-Interval. Những thuộc tính này ghi đè các tùy
chọn theo thứ tự uamallowed , macallowed và interval.
--confpassword password
Xem ở dƣới tùy chọn confusername.
--dhcpif dev
Giao diện Ethernet nghe để cho giao diện liên kết xuống. Tùy chọn này cần chỉ
rõ.
65
--dhcpmac address
Địa chỉ MAC lắng nghe. Nếu không chỉ rõ địa chỉ MAC của giao diện sẽ đựợc
sử dụng. Địa chỉ MAC cần phải chọn để nó không xung đột với địa chỉ khác trong
LAN. Địa chỉ trong miền 00:00:5E:00:02:00 - 00:00:5E:FF:FF:FF nằm trong miền
IANA của địa chỉ và không đƣợc cấp phát cho những mục đích khác.
Tùy chọn --dhcpmac có thể đƣợc sử dụng trong sự liên kết với bộ lọc truy
nhập, hoặc với những điểm truy nhập mà hỗ trợ gói tin chuyển tiếp tới địa chỉ MAC.
Nhƣ vậy nó có thể ở mức MAC để phân ra lƣu lƣợng quản lý điểm truy nhập từ lƣu
lƣợng ngƣời dùng cho hệ thống an toàn hoàn thiện.
Tùy chọn --dhcpmac sẽ đặt giao diện trong chế độ promisc.
--lease seconds
Sử dụng một DHCP lease thứ hai (mặc định = 600).
--eapolenable
Nếu tùy chọn này dựa vào IEEE 802.1x xác thực đƣợc cho phép. ChilliSpot sẽ
lắng nghe cho xác thực EAP yêu cầu trên giao diện chỉ rõ bởi --dhcpif. Những thông
báo EAP nhận đƣợc trên giao diện này đƣợc chuyển tiếp tới máy chủ radius.
--uamserver url
URL của web server sử dụng để xác thực máy khách.
--uamhomepage url
URL của trang chủ gửi một lần nữa những ngƣời dùng không đƣợc xác nhận.
Nếu không chỉ rõ cái này xác lập mặc định tới uamserver.
--uamsecret secret
Chia sẻ bí mật giữa uamserver và chilli. Bí mật này cần phải thiết lập trong thứ
tự để không làm lộ bí mật.
--uamlisten host
Địa chỉ IP lắng nghe sự xác thực từ máy khách. Nếu một máy khách chƣa xác
thực cố gắng truy nhập Internet thì sẽ đƣợc gửi một lần nữa tới địa chỉ này.
--uamport port
Cổng TCP nối kết để cho máy khách xác thực (mặc định = 3990). Nếu một máy
khách chƣa đƣợc xác thực cố gắng truy nhập Internet thì sẽ đƣợc gửi một lần nữa tới
cổng này trên --uamlisten địa chỉ IP.
66
--uamallowed domain
Dấu phẩy tách danh sách tên miền, địa chỉ IP hoặc mạng phân đoạn máy khách
có thể truy nhập không dùng xác thực đầu tiên. Ví dụ:
--uamallowed http://www.chillispot.org,10.11.12.0/24
Tùy chọn này đƣợc dùng cho truy nhập tới một cổng thanh toán thẻ, cho truy
nhập tới cộng đồng và thông tin miễn phí khác cũng nhƣ truy nhập tới VPN mà máy
chủ lần đầu tiên không đăng nhập tới HotSpot.
ChilliSpot giải quyết tên miền để thiết lập địa chỉ IP trong quá trình khởi động.
Một số vị trí lớn thay đổi địa chỉ IP quay lại để tra cứu. Hoạt động này không tƣơng
thích với tùy chọn này. Điều này có thể chỉ rõ tùy chọn uamallowed nhiều hơn. Nó có
ích nếu nhiều tên miiền đƣợc chỉ rõ.
--uamanydns
Cho phép bất kỳ máy chủ DNS nào. Bình thƣờng máy khách chƣa xác thực chỉ
cho phép giao tiếp với máy chủ DNS chỉ rõ bởi tùy chọn dns1 và dns2. Nếu tùy chọn
uamanydns đƣợc định sẵn ChilliSpot sẽ cho phép máy khách sử dụng tất cả các máy
chủ DNS. Điều này thuận lợi cho máy khách đã định cấu hình sử dụng một thiết lập cố
định của máy chủ DNS. Cho những lý do an toàn tùy chọn này cần phải đƣợc kết hợp
với một quy tắc NAT firewall đích mà chuyển tiếp tất cả các yêu cầu DNS cho máy
chủ DNS đã cho.
--macauth
Nếu tùy chọn này đã cho ChilliSpot sẽ cố gắng xác thực tất cả ngƣời dùng dựa
vào địa chỉ MAC. Tên ngƣời dùng gửi tới máy chủ radius sẽ gồm có địa chỉ MAC và
một hậu tố để tùy chọn mà đƣợc chỉ rõ bởi tùy chọn macsuffix. Nếu tùy chọn macauth
đƣợc chỉ rõ thì tùy chọn macallowed đƣợc bỏ qua.
--macallowed mac
Danh sách địa chỉ MAC mà xác thực MAC sẽ thực hiện. Ví dụ:
--macallowed 00-0A-5E-AC-BE-51,00-30-1B-3C-32-E9
Tên ngƣời dùng gửi tới máy chủ radius sẽ bao gồm địa chỉ MAC và một hậu tố
suffix mà đƣợc chỉ rõ bởi tùy chọn macsuffix. Nếu tùy chọn macauth đƣợc chỉ rõ thì
tùy chọn macallowed đƣợc bỏ qua.
67
Nó có thể chỉ rõ tùy chọn macallowed nhiều hơn. Điều này có ích nếu nhiều địa
chỉ MAC đƣợc chỉ rõ.
--macsuffix suffix
Hậu tố thêm vào địa chỉ MAC để hình thành tên ngƣời dùng, mà đƣợc gửi cho
máy chủ radius.
--macpasswd password
Mật khẩu đƣợc sử dụng khi xác thực MAC đƣợc thực hiện (mặc định =
password)
4.6.3. Tệp tin
/etc/chilli.conf File cấu hình cho Chilli.
/var/run/chilli.pid Xử lý file ID.
4.6.4. Tín hiệu
Phát tín hiệu HUP tới Chilli sẽ tạo ra file cấu hình để đọc ra và thực hiện tra
cứu DNS. Những tùy chọn cấu hình không ảnh hƣởng bởi sự phát tín hiệu HUP:
[ --fg ] [ --conf file ] [ --pidfile file ] [ --statedir file ] [ --net net ] [ --dynip net ] [ --
statip net ] [ --uamlisten host ] [ --uamport port ] [ --radiuslisten host ] [ --coaport
port ] [ --coanoipcheck ] [ --proxylisten host ] [ --proxyport port ] [ --proxyclient
host ] [ --proxysecret secret ] [ --dhcpif dev ] [ --dhcpmac address ] [ --lease seconds
] [ --eapolenable ]
Những tùy chọn cấu hình ở trên có thể chỉ thay đổi bởi việc khởi động lại
daemon.
4.7. Các phiên bản của ChilliSpot
Ở đây chúng ta chỉ nói về những điều mới trong các phiên bản này
4.7.1. ChilliSpot 1.1
Là một phiên bản mới và phát triển nhất hiện nay.
Tùy chọn cấu hình mới:
o Tùy chọn Radiusnasip: Cho phép đặc tả địa chỉ IP đƣợc sử dụng cho
thuộc tính NAS-IP-Address. Việc này đƣợc xác định trƣớc bởi tùy chọn
radiuslisten, cái mà vẫn đƣợc sử dụng nếu tùy chọn radiusnasip không
đƣợc định rõ. Nhờ có David Bird.
68
o Tùy chọn Radiuscalled: Cho phép đặc tả của tên đƣợc sử dụng cho thuộc
tính Called-Station-ID. Việc này đƣợc xác định trƣớc bởi địa chỉ MAC
của giao diện không dây, nó vẫn đƣợc sử dụng nếu tùy chọn radiuscalled
không đƣợc định rõ. Nhờ có David Bird.
o Tùy chọn Confusername và confpassword: Khi các tùy chọn này đƣợc
đƣa ra ChilliSpot sẽ truy vấn máy chủ radius đều đặn. Các thuộc tính
đƣợc trả lại bởi máy chủ radius sẽ ghi đè những tùy chọn aumallowed,
macallowed và interval.
o Tùy chọn Conup và condown: Những lựa chọn này cho phép các tập
lệnh chạy khi ngƣời dùng xác thực và ngừng kết nối. Các lệnh đƣợc
thực thi với một nhóm các tham số: devicename, ip address, mask, user
ip address user mac address và filter ID. Một nhóm các biến môi trƣờng
đƣợc cung cấp khá tốt.
4.7.2. ChilliSpot 1.0
Tùy chọn Macallowed và uanallowed có thể nhân lên gấp nhiều lần theo lý
thuyết. Giờ đây ChilliSpot chấp nhận nhiều dòng macallowed hoặc uamallowed trong
file cấu hình hay nhân lên nhiều lần trong dòng lệnh. Trƣớc đây, danh sách địa chỉ
MAC hoặc các tên miền bị giới hạn trong một dòng đơn, giới hạn trong 255 ký tự.
Nhờ có David Bird cho lần thực hành đầu tiên và Lorenzo Bettini nâng cấp hoàn thiện
Gengetopt để hỗ trợ nhiều dòng.
Cải thiện sự định vị IP sau khi khởi động lại cho MAC xác thực ngƣời dùng.
Ngƣời dùng mà đƣợc xác thực trên địa chỉ MAC cơ bản sẽ ngay lập tức xác thực liên
tục sau khi ChilliSpot khởi động lại.
Hơn nữa, bản quyền câu lệnh và sự tín nhiệm đƣợc bao gồm trong chƣơng
trình.
4.7.3. ChilliSpot 1.0 RC3
Cải thiện sự định vị IP sau khi khởi động lại ChilliSpot sẽ định vị đúng địa chỉ
IP ngay lập tức sau khi khởi động lại. Trƣớc đây, máy khách không dây đã đƣa ra một
yêu cầu DHCP mới nhằm đăng nhập lại sau khi khởi động.
Cải thiện tính tƣơng thích Skype. Trƣớc đây không xác thực ngƣời dùng Skype
gây ra việc sử dụng CPU quá mức. Hiện nay, việc này đã đƣợc giảm bớt đi đến mức
có thể chấp nhận đƣợc.
69
Phân tách tốt hơn tùy chọn --uamserver và --uamhomepage. Có thể định rõ số
cổng nhƣ một phần của URL cho tùy chọn --uamserver và --uamhomepage. Cùng lúc
cổng hạn chế bị gỡ bỏ bởi vậy máy khách không dây có lớp IP chính thức, truy cập tới
địa chỉ IP của tùy chọn --uamserver và --uamhomepage.. Nhờ có Drew S.Dupont.
Daemon sẽ ghi lỗi đầu ra. Trong khi chạy nhƣ daemon ChilliSpot sẽ viết đầu ra
gỡ rối tới stdout.
Sửa chữa lỗi memcpy trên tùy chọn --uamallowed. Lỗi- nguyên nhân bởi một
phần của tùy chọn --uamallowed bị sao chép. Nhờ có Jerome Heulot.
Cải thiện thử lại radius không cần thiết. Trƣớc đây ChilliSpot buộc phải luân
phiên giữa máy chủ radius1 và máy chủ radius2 trên những lần thử lại. Giờ đây nó sẽ
thử lại 3 lần trên cùng máy chủ radius trƣớc khi chuyển đổi tới phần khác.
Ngoài ra, một tùy chọn --radiussporttype mới đƣợc thêm vào, định rõ thuộc tính
NAS-Port-Type radius sử dụng.
4.7.4. ChilliSpot 1.0 RC2
Những lỗi khi chạy nhƣ daemon. Lỗi đƣợc đƣa ra trong 1.0 RC1 là do một số
vấn đề khi chạy trong nền sau. Nó ảnh hƣởng tới Session-Timeout, tính toán tạm thời
và sóng mang mất không kết nối tốt nhƣ các tính năng khác.
ChilliSpot-Max-Total-Octets. Thuộc tính này làm việc nhƣ mong đợi.
4.7.5. ChilliSpot 1.0 RC1
Các thuộc tính giới hạn bộ đĩa
ChilliSpot hỗ trợ 3 thuộc tính giới hạn bộ đĩa:
ChilliSpot-Max-Iput-Octets. Một số lƣợng cực đại các octets (bộ tám) ngƣời
dùng đƣợc phép truyền. Sau khi giới hạn này đạt đƣợc, ngƣời dùng sẽ ngừng kết nối.
ChilliSpot-Max-Output-Octets. Một số lƣợng cực đại các octets (bộ tám) ngƣời
dùng đƣợc phép nhận. Sau khi giới hạn này đạt đƣợc, ngƣời dùng sẽ ngừng kết nối.
ChilliSpot-Max-Total-Octets. Một số lƣợng cực đại các octets (bộ tám) ngƣời
dùng đƣợc phép chuyển giao( tổng số octets truyền và nhận). Sau khi giới hạn này đạt
đƣợc, ngƣời dùng sẽ ngừng kết nối.
Để sử dụng đƣợc thuộc tính mới này một từ điển radius phải đƣợc sao chép
sang máy chủ radius. Tệp từ điển đƣợc tìm thấy trong doc/dictionary.chillispot.
70
Hơn nữa bộ đếm byte ChilliSpot đã thay đổi bởi vậy chúng không đếm các gói
tin mà bị thả bởi ChilliSpot nhƣ phần của khuôn lƣu lƣợng. Nhờ có Philipp Kobel
<[email protected]> và Haralld Jenny [email protected] hỗ trợ làm việc trong các thuộc
tính giới hạn bộ đĩa.
Đọc lại File cấu hình
Khi gửi một tín hiệu HUP, ChilliSpot daemon sẽ đọc lại file cấu hình và thực
hiện tra cứu tên miền. File cấu hình có thể đƣợc đọc lại mà không cần kết nối hoạt
động ngƣời dùng. Hơn nữa một tùy chọn --interval mới sẽ là nguyên nhân file cấu hình
phải đọc lại đều đặn.
EAPOL địa phương
ChilliSpot có một tùy chọn --eapolable mới cho phép ChilliSpot thực hiện xác
thực EAPOL. Với sự lựa chọn này, ChilliSpot làm việc nhƣ một bộ xác thực EAPOL.
Hiện nay, ChilliSpot không thiết lập các khóa mã hóa bởi vậy WAP không hỗ trợ
EAPOL địa phƣơng.
4.7.6. ChilliSpot 0.99
Tuân theo WISPr Appendix D
ChilliSpot tuân theo WISPr Appendix D chỉ rõ việc giao tiếp giữa máy khách
và HotSpot. Điều này có nghĩa là ngƣời dùng mà có cài đặt máy khách có thể đăng
nhập vào ChilliSpot mà không cần trình duyệt web.
Nhờ có Stefan Lengacher đƣa ra đặc tính này và đặc biệt là WERoam đã bảo
trợ Appendix D.
Radius hỗ trợ ngưng kết nối
ChilliSpot hỗ trợ RFC 3567 Radius –ngƣng kết nối thông điệp.
RFC 3567 cho phép một quản trị viên gửi một thông điệp Radius-Disconnect
tới NAS trên cổng UDP 3799. Thông điệp nên ở dạng tối thiểu bao gồm thƣộc tính
User-name. Đã có lần NAS nhận thông điệp này nó sẽ không kết nối ngƣời dùng và
gửi lại một tin báo nhận. Ngoài ra một thông điệp ngừng giải thích sẽ đƣợc gửi tới máy
chủ radius.
Để sử dụng đặc tính này bạn nên chạy ChilliSpot nhƣ sau:
chilli -c chilli.conf --fg --debug --coaport 3799 --coanoipcheck
71
Căn cứ trên bản ghi giải thích bạn kiểm tra mà ngƣời dùng đựợc đăng nhập
hiện thời. Để log off ngƣời dùng cần sử dụng chƣơng trình radclient cung cấp radius
miễn phí:
echo "User-Name = user" | radclient 10.0.0.219:3799 40 secret123
Received response ID 219, code 41, length = 20
Một mã trả lời là 41 chỉ ra rằng việc không kết nối là tốt, 42 nghĩa là ngƣời
dùng không thể kết nối.
Địa chỉ MAC kiểu RFC 3585
ChilliSpot định dạng các đỉa chỉ MAC nhƣ chỉ rõ trong RFC 3585. Những ứng
dụng này cho đến thuộc tính Called- Station-ID, Calling-Station-ID radius chẳng khác
gì một vài vị trí khác nơi địa chỉ MAC đƣợc định dạng nhƣ dạng văn bản.
Địa chỉ MAC được chuyển tiếp tới máy chủ UAM
Địa chỉ MAC của ngƣời dùng đƣợc hƣớng tới máy chủ UAM.
Xác thực MAC giới hạn tới địa chỉ MAC cụ thể.
Với xác thực MAC có thể giới hạn yêu cầu xác thực địa chỉ MAC cụ thể. Tùy
chọn mới này đƣơc sử dụng nhƣ sau:
--macallowed 000A5EACBE51,00301B3C32E9
Cái mà chỉ ra rằng xác thực MAC sẽ chỉ đƣợc sử dụng cho địa chỉ MAC
000A5EACBE51 và 00301B3C32E9. Tất cả các khách hàng khác sẽ sử dụng đăng
nhập cơ bản web.
Initial FreeBSD port- Ký tắt vào cổng FreeBSD
ChilliSpot biên dịch và chạy dƣới FreeBSD. Kiểm tra dƣới FreeBSD5.3.
Cố định lỗi
Giới hạn dải thông trên sự xác thực MAC. ChilliSpot giới hạn dải thông phù
hợp khi sử dụng xác thực MAC.
Cấp cho địa chỉ IP tốt hơn. Sau khi khởi động lại ChilliSpot cố gắng cấp cho
máy khách cùng một địa chỉ IP nhƣ chỉ định trƣớc khi khởi động lại.
4.7.7. ChilliSpot 0.98
ChilliSpot 0.98 là một bản bảo trì bao gồm sửa chữa lỗi cho các lỗi đƣợc phát
hiện ra từ phiên bản cuối cùng.
Cố định lỗi
72
Ngƣng kết nối Session-Time và những bản ghi kế toán: Một lỗi gây ra cho
ChilliSpot ngừng gửi bản ghi giải thích cho một số ngƣời dùng và không logout ngƣời
dùng khi thuộc tính Session-Timeout đƣợc sử dụng. Lỗi có thể xuất hiện khi
logon/logoff. Lỗi đƣợc cố đinh trong 0.98.
IP tĩnh: IP tĩnh với xác thực MAC không làm việc cho một vài cấu hình. Điều
này đƣợc cố định trong 0.98.
4.7.8. ChilliSpot 0.97
Radius Hosting miễn phí
ChilliSpot Radius Hosting sẵn có bây giờ. Dịch vụ là một giới hạn về mặt chức
năng của dịch vụ thƣơng mại HotRadius và có thể đƣợc sử dụng cho home hostspots
và cho việc kiểm tra của ChilliSpot. Máy chủ miễn phí sử dụng không lợi nhuận. Kiểm
tra tại http://radius.chillispot.org. Hỗ trợ sự nâng cấp ChilliSpot bằng cách sử dụng
HotRadius cho thƣơng mại hotspot của bạn.
Cải thiện hotspotlogin.cgi
Tính tƣơng thích IE XP SP2: ChilliSpot pop-ups tƣơng thích với Internet
Explorer Windows XP SP2.
Chuyển hƣớng tới trang chủ: Sau khi đăng nhập thành công ngƣời dùng hiện
thời có thể mặc định chuyển hƣớng tới trình duyệt của mình định cấu hình trang chủ.
Nếu sử dụng WISPr-Redirection-URL trong radius chấp nhận gói ngƣời dùng sẽ
chuyển hƣớng tới URL này để thay thế.
Máy đếm trực truyến: Cửa sổ ChilliSpot pop-up hiển thị tổng số lần trực tuyến.
Nếu thuộc tính timeout đƣợc sử dụng thì time left sẽ thay thế.
Sự thay đổi API: Giao diện giữa ChilliSpot daemon và web server đã thay đổi.
Giao diện này ngắt một cách đáng tiếc tính tƣơng thích với ngƣời dùng qua tập lệnh
riêng. Nhƣng giao diện đó khá ổn định trong một khoảng thời gian.
Từ khóa Logout: Nếu pop-up bị mất, ngƣời dùng có thể logout trở lại trang
bằng cách đánh “exit” trên thanh vị trí.
Thuộc tính Radius
ChilliSpot khi đó hỗ trợ Acct-Input-Gigawords và Acct-Output-Gigawords.
Cách sử dụng của Acct-Input-Octets và Acct-Output-Octers đã đảo ngƣợc lại bởi vậy
chúng tuân theo RFC 2866.
73
4.7.9. ChilliSpot 0.96
Các lựa chọn cấu hình mới
Uamhomepage: Ngƣợc hƣớng ngƣời dùng không xác thực đƣợc ngƣời dùng với
URL. URL có thể hiển thị thông tin về hostspot và cả đƣờng link tới
http://192.168.182.1:3990/prelogin cho phép ngƣời dùng đăng nhập.
Uamanydns: Cho phép ngƣời dùng không xác thực để sử dụng bất cứ máy chủ
DNS nào. Việc này cần cho ngƣời dùng mà phải định cấu hình cố định cho máy chủ
DNS. Vì lý do an toàn, lựa chọn này nên kết hợp với đích NAT đến máy chủ DNS
hostspot.
Macauth: Cho phép MAC xác thực. Khi lựa chọn này đã cho, ChilliSpot đầu
tiên cố gắng xác thực cơ bản địa chỉ MAC. Nếu không thành công, xác thực UAM
bình thƣờng sẽ xảy ra. Nhờ có Gavin đã đề xuất tính năng này.
Macpassword: password sử dụng cho xác thực MAC.
Macsuffix: Hậu tố đƣợc thêm vào địa chỉ MAC để tạo thành dạng User-name.
Nếu bỏ sót địa chỉ MAC sẽ đƣợc sử dụng nhƣ User-name.
Statip: Đia chỉ IP và netmask sử dụng cho vị trí địa chỉ IP tĩnh. Khi lựa chọn
này đƣợc chọn ChilliSpot sử dụng thuộc tính Framed-IP-Address radius cho địa chỉ IP.
Đặc tính này chỉ làm việc cho xác thực MAC và WPA.
Xem lại mã nguồn, sửa lỗi và thêm vào bản ghi
Sự hạn chế trong phiên bản 0.95: Giới hạn số lƣợng máy khách đƣợc gỡ bỏ và
việc mã hóa đƣợc tối ƣu cho hostspot rộng.
Việc truy nhập bổ xung đƣợc giới thiệu. Nhờ có Vladimir Vuksan.
4.7.10. ChilliSpot 0.95
Duyệt qua một số trang web mà không có xác thực
Lựa chon cấu hình “uamallowed” mới đƣợc bao gồm trong sự giải thoát này.
Nó cho phép ngƣời dùng kết nối với một danh sách đặc biệt các tên miền, địa chỉ IP
hay phân đoạn mạng mà không có xác thực lần đầu. Lựa chọn mới này có thể sử dụng
cho nhiều mục đích.
Ngƣời dùng có thể kết nối tới cổng thanh toán thẻ để trả cho hệ thống dịch vụ
trƣớc khi kết nối.
74
Cho phép ngƣời dùng lựa chọn nội dung miễn phí chẳng hạn nhƣ cộng đồng
hay thông tin liên quan đến hostspot mà không cần xác thực.
Cho phép ngƣời dùng chung sử dụng Hostspot chung để kết nối tới máy chủ
VPN mà không cần xác thức với ChilliSpot .
Cải tiến makefiles
Sự thay đổi makefiles và một vài mã nguồn đƣợc sửa đổi để cải tiến khả năng
cài đặt trên Gentoo.
Thông tin được chuyển đổi sang tập lệnh perl cgi
Nhiều thông tin đƣợc chuyển đổi sang tập lệnh perl cgi . Lúc xác thực thành
công, tập lệnh perl cho thông tin thêm sau:
o User-name: Username đƣợc gửi trở lại cho tập lệnh cgi nhƣ một tham số
“uid” cgi.
o Session –timeout: trên cơ sở Session-Timeout thuộc tính radius thời gian
còn lại cho việc kết nối đƣợc gửi trở lại nhƣ một tham số “timeleft” cgi.
Nó cho phép ngƣời phát triển tập lệnh cgi tính đến bộ đếm cơ bản
javascript cái mà hiển thị time left trƣớc khi việc kết nối đƣợc hoàn
thành.
o URL gốc: URL mà ngƣời dùng bình thƣờng yêu cầu đƣợc gửi trở lại tập
lệnh cgi nhƣ tham số “userurl” cgi. Việc này cho phép ngƣời phát triển
tập lệnh cgi gửi một lần nữa ngƣời dùng tớI URL sau khi họ xác thực.
Chú ý rằng tham số “userurl” cgi đƣợc thiết lập tới URL đầu tiên, khách hàng
cố gắng kết nối tới. Một số trình duyệt nối tới URLs cùng lúc. Nó có kết quả trong vấn
đề tƣơng thích trình duyệt bất ngờ.
Cấu hình của giao diện mạng
ChilliSpot đƣợc đƣa ra giao diện mạng nếu nó không đƣợc cấu hình.
4.7.11. ChilliSpot 0.94
o Cổng OpenWRT đầu tiên.
o Tính tƣơng thích cố định lỗi đối với Yahoo cho bạn sửa đổi trình duyệt
web.
o Các lựa chọn cấu hình radiusauthport và radiusacctport mới tƣơng thích
với máy chủ radius sử dụng cổng phi chuẩn.
75
4.7.12. ChilliSpot 0.93
o Hồi âm thông điệp Radius đƣợc bổ sung đầy đủ.
o Quản lý lỗi tốt hơn khi chilli.conf hay web server định cấu hình.
o Tắt máy tốt. Khi chilli log off ngƣời dùng gửi thông điệp ngừng tính
toán radius và sau đó giải phóng tài nguyên.
4.7.13. ChilliSpot 0.92
o Radius Session-Time, Idle-Timeout cũng nhƣ thuộc tính WISPr.
o Cố định lỗi: ngƣời dùng thậm chí sẽ log out khi ấn “Logout”
4.7.14. ChilliSpot 0.91
o Radius tạm thời tính toán.
o Hoàn thiện tập lệnh cgi với cửa sổ popup logout.
o Gỡ bỏ cảnh báo proxy khi không sử dụng WPA.
4.7.15. ChilliSpot 0.90
o Phiên bản công cộng đầu tiên
76
KẾT LUẬN
Kết quả đạt được
Nghiên cứu và tìm hiểu các giải pháp xác thực phổ biến là giải pháp sử dụng
mật khẩu, giải pháp dùng thẻ thông minh và giải pháp sử dụng các yếu tố sinh trắc
học. Đối với mỗi giải pháp nêu trên, luận văn đều phải đƣa ra đƣợc mô tả, các ƣu
điểm, nhƣợc điểm và mức độ khả thi ứng dụng một cách đầy đủ và chính xác.
So sánh đƣợc ƣu, nhƣợc điểm giữa các giải pháp để áp dụng vào thực tế. Từ đó
đƣa ra đƣợc các giải pháp kết hợp để tăng tính an toàn và độ tin cậy của giải pháp.
Để đƣa ra giải pháp mới phải tìm hiểu và nghiên cứu về mạng không dây.
Đƣa ra giải pháp xác thực sử dụng công nghệ mới đó là xác thực ngƣời dùng
bằng công nghệ Captive Portal. Giải pháp này phải đƣợc mô tả kỹ lƣỡng về mặt lý
thuyết, rút ra những hạn chế và triển khai vào thực tế.
Phần mềm đã thực hiện đƣợc các chức năng chính của hệ thống.
Thu thập đƣợc thông tin đƣa vào chạy thử chƣơng trình và đã hoàn thiện
chƣơng trình.
Hướng phát triển của đề tài
Trong thời gian tới em sẽ thực hiện thêm các chức năng còn thiếu sót của
chƣơng trình:
Tăng cƣờng tính bảo mật, an toàn cho chƣơng trình.
Cải tiến các thuật toán tốt hơn, bắt lỗi và hoàn thiện thêm các chức năng khác.
Do thực hiện đề tài trong một khoảng thời gian ngắn và cộng thêm sự thiếu kinh
nghiệm cũng nhƣ sự hạn chế về kiến thức, nên đề tài của em chắc chắn còn có nhiều
thiếu sót. Em rất mong nhận đƣợc sự chỉ bảo của thầy cô và góp ý của các bạn để đề
tài của em ngày càng hoàn thiện hơn và có thể đƣa vào sử dụng trong thực tế.
Để viết đƣợc chƣơng trình này em xin chân thành cảm ơn các thầy cô giáo
trong khoa Công Nghệ Thông Tin trƣờng Đại học Dân Lập Hải Phòng, đặc biệt em xin
chân thành cảm ơn sự giúp đỡ nhiệt tình của thầy: TS. Phạm Hồng Thái và CN. Lƣơng
Việt Nguyên đã trực tiếp hƣớng dẫn em hoàn thành đề tài.
77
CÁC TÀI LIỆU THAM KHẢO
Tài liệu
1. Phan Đình Diệu. Lí thuyết mật mã và an toàn thông tin. Đại học Quốc
Gia Hà Nội.
2. Nguyễn Bình (2004), Giáo trình mật mã học.
3. Trịnh Nhật Tiến, Bài giảng lý thuyết mật mã và an toàn thông tin.
Một số website:
http://en.wikipedia.org
http://www.zeroshell.net
http://www.chillispot.org
http://www.nocat.net
http://www.openit.it
http://www.coova.org
http://www.aradial.com
http://www.2hotspot.com
http://www.spotngo.ca
http://sweetspost.sf.net
http://www.iea-software.com