Bảo mật WLAN bằng RADIUS Server và WPA2 -8

Bảo mật WLAN bằng RADIUS Server và WPA2 3.10 KẾT LUẬN  Cho các điểm truy cập tự động (hotspots), việc mã hoá không cần thiết, chỉ cần người dung xác thực mà thôi.  Với người dùng sử dụng mạng WLAN cho gia đình, một phương thức bảo mật với WPA passphare hay preshared key được khuyến cáo sử dụng.  Với giải pháp doanh nghiệp, để tối ưu quá trình bảo mật với 802.1x EAP làm phương thức xác thực và TKIP hay AES làm phương thức mã hoá. Được dựa theo chuẩn WPA hay WPA2 và 802.11i security. Bảng...
Nội dung trích xuất từ tài liệu:
Bảo mật WLAN bằng RADIUS Server và WPA2 -8 Bảo mật WLAN bằng RADIUS Server và WPA2 3.10 KẾT LUẬN  Cho các điểm truy cập tự động (hotspots), việc mã hoá không cần thiết, chỉ cần n gười dung xác thực mà thôi.  Với ngư ời dùng sử dụng mạng WLAN cho gia đ ình, một phương thức bảo mật với WPA passphare hay preshared key được khuyến cáo sử dụng.  Với giải pháp doanh nghiệp, để tối ưu quá trình bảo mật với 802.1x EAP làm phương thức xác thực và TKIP hay AES làm phương thức mã hoá. Đư ợc dựa theo chu ẩn WPA hay WPA2 và 802.11i security. Bảng 3 .1 Escalating Security O pen Access Basic Security Enhanced Remote Access Security - No encryption - WPA Passphase - 802.1x EAP - Virtual Private - Basic - WEP Encryption - Mutual Network (VPN) anthentication - Home use Anthentication - Business - Public - TKIP Encrytion Traveler “hotspots” - WPA/WPA2 - Telecommuter - 802.11i Security - Enterprise  Bảo mật mạng WLAN cũng tương tự như bảo mật cho các hệ thống mạng khác. Bảo mật hệ thống phải được áp dụng cho nhiều tầng, các thiết bị nhận dạng phát hiện tấn công phải được triển khai. Giới hạn các quyền truy cập tối Trang 65 Bảo mật WLAN bằng RADIUS Server và WPA2 thiểu cho những người dùng cần thiết. Dữ liệu được chia sẻ và yêu cầu xác thực mới cho phép tru y cập. Dữ liệu truyền phải được mã hoá.  Kẻ tấn công có thể tấn công mạng WLAN không bảo mật bất cứ lúc n ào. Bạn cần có một phương án triển khai hợp lý.  Phải ước lượng được các nguy cơ bảo mật và các mức độ bảo mật cần thiết để áp dụng.  Đánh giá đư ợc toàn bộ các giao tiếp qua WLAN và các phương thức bảo mật cần được áp dụng.  Đánh giá được các công cụ và các lựa chọn khi thiết kế về triển khai mạng WLAN.  Trong khi sử dụng VPN Fix qua các kết nối WLAN có thể là một ý tưởng hay và cũng sẽ là một hướng đi đúng. Nhưng sự không thuận tiện cũng như giá cả và tăng lưu lượng mạng cũng là rào cản cần vượt qua. Sự chuyển đổi sang 802.11i và mã hoá AES đem lại khả năng bảo mật cao nhất. Nhưng các tổ chức, cơ quan vẫn đang sử dụng hàng nghìn những card mạng WLAN không hỗ trợ chuẩn n ày. Hơn nữa AES không hỗ các thiết bị cầm tay và máy quét mã vạch hoặc các thiết bị khác... Đó là những giới hạn khi lựa chọn 802.11i. Sự chuyển hư ớng sang WPA vẫn còn là những thử thách. Mặc dù, vẫn còn những lỗ hổng về bảo mật và có thể những lỗ hổng mới sẽ được phát hiện. Nhưng tại thời điểm này, WPA là lựa chọn tốt. Trang 66 Bảo mật WLAN bằng RADIUS Server và WPA2 CHƯƠNG 4. BẢO MẬT WLAN BẰNG PHƯƠNG PHÁP XÁC THỰC RADIUS SERVER VÀ WPA2 4.1 GIỚI THIỆU TỔNG QUAN H ình 4.1 Mô hình xác thực giữa Wireless Clients và RADIUS Server.  Việc bảo m ật WLAN sử dụng chuẩn 802.1x kết hợp với xác thực người dùng trên Access Point (AP). Một máy chủ thực hiện việc xác thực trên nền tảng RADIUS có thể là một giải pháp tốt cung cấp xác thực cho chuẩn 802.1x. Trang 67 Bảo mật WLAN bằng RADIUS Server và WPA2  Trong phần n ày này tôi sẽ giới thiệu cách thức làm việc của RADIUS và vì sao phải cần máy chủ RADIUS để hỗ trợ việc xác thực cho WLAN. 4.1.1 Xác thực, cấp phép và kiểm toán  Giao thức Remote Authentication Dial In User Service (RADIUS) được định nghĩa trong RFC 2865 như sau: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization, và Accounting – AAA) cho các phiên làm việc với SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao th ức này để xác thực người dùng khi họ truy cập Internet.  Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Access- Request sẽ chuyển các thông tin tới một Authentication Server, thông thường nó là một AAA Server (AAA – Authentication, Authoriztion, và Accounting). Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu, thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NASs.  Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access-Request tới máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một port xác định, NAS identify, và một message Authenticator.  Sau khi nh ận được các thông tin máy chủ AAA sử dụng các gói tin được cung cấp như NAS identify, và Authenticator th ẩm định lại việc NAS đó có đ ược phép gửi các yêu cầu đó không. Nếu có khả năng, máy chủ AAA sẽ tìm kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong cơ sở dữ Trang 68 Bảo mật WLAN bằng RADIUS Server và WPA2 lệu. Nếu quá trình kiểm tra là đúng th ì nó sẽ mang một thông tin trong Access- Request quyết định quá trình truy cập của user đó là được chấp nhận.  Khi quá trình xác thực bắt đầu được sử dụng, máy ch ủ AAA có thể sẽ trả về một RADIUS Access-Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến người dùng từ xa (với ví dụ này sử dụng CHAP). Khi đó ngư ời dùng sẽ phải trả lời đúng các yêu cầu xác nhận (trong ví dụ n ày, đưa ra lời đề nghị mã hoá password), sau đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request.  Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn ...