Luận văn:Nghiên cứu phương pháp nhận thực 802.1X-EAP trong bảo mật mạng cục bộ không dây WLAN

Chia sẻ: Nguyen Vang | Ngày: | Loại File: PDF | Số trang:26

Thêm vào BST

Báo xấu

126
lượt xem 27
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Lớp vật lý của IEEE 802.11 tương ứng hoàn toàn với lớp vật lý trong mô hình OSI chuẩn. Lớp vật lý cung cấp sự kết nối cho phép truyền các khung dữ liệu MAC từ trạm này đến trạm khác qua môi trường truyền. Lớp vật lý PHY được chia thành 2 phân lớp và thực thể chức năng quản lý lớp vật lý: - PMD (Physical Medium Depentdant): Phân lớp phụ thuộc môi trường vật lý. Xử lý các thuộc tính của môi trường vô tuyến (tức là các phương pháp trải phổ) và xác định cách phát và thu...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Luận văn:Nghiên cứu phương pháp nhận thực 802.1X-EAP trong bảo mật mạng cục bộ không dây WLAN

1 B GIÁO D C VÀ ĐÀO T O Đ I H C ĐÀ N NG NGUY N Đ C THI N NGHIÊN C U PHƯƠNG PHÁP NH N TH C 802.1X–EAP TRONG B O M T M NG C C B KHÔNG DÂY WLAN Chuyên ngành : K THU T ĐI N T Mã s : 60.52.70 TÓM T T LU N VĂN TH C SĨ K THU T Đà N ng – Năm 2010
2 Công trình ñư c hoàn thành t i Đ I H C ĐÀ N NG Ngư i hư ng d n khoa h c: TS. Ph m Công Hùng Ph n bi n 1: TS. Nguy n Lê Hùng Ph n bi n 2: TS. Nguy n Hoàng C m Lu n văn s ñư c b o v t i H i ñ ng ch m Lu n văn t t nghi p th c sĩ K thu t h p t i Đ i H c Đà N ng vào ngày 10 tháng 10 năm 2010 Có th tìm hi u lu n văn t i: - Trung tâm Thông tin – H c li u, Đ i h c Đà N ng - Trung tâm h c li u, Đ i h c Đà N ng
3 M Đ U 1. Tính c p thi t c a ñ tài. Nh n th c - ñi u khi n truy nh p là m t trong hai quá trình cơ b n khi ñ c p ñ n ch c năng b o m t cho m ng không dây nói chung và WLANs nói riêng. M c dù khái ni m nh n th c cho WLANs ñã xu t hi n t lâu, nhưng cho ñ n nay, ñây v n là m t v n ñ h t s c quan tr ng và c n ñư c nghiên c u sâu hơn theo s phát tri n c a t c ñ x lý và ph n m m trong tin h c. 2. M c ñích nghiên c u. N m ñư c nh ng n i dung cơ b n v WLANs, v b o m t và nh n th c, v IEEE 802.1X/EAP và giao th c RADIUS. Trên cơ s ñó, th c nghi m quá trình nh n th c trong WLAN, nghiên c u và ñ xu t gi i pháp ñ tăng cư ng nh n th c cho WLANs trong th c t th i gian cho phép trên thi t b hi n hành. 3. Đ i tư ng và ph m vi nghiên c u. - Đ i tư ng nghiên c u: IEEE 802.11i, 802.1X/EAP, các mô hình nh n th c trong WLANs, RADIUS và giao th c EAP. - Ph m vi nghiên c u: quá trình nh n th c trong WLAN 4. Phương pháp nghiên c u. - Nghiên c u lý thuy t ñ làm rõ các v n ñ v WLANs, v b o m t - nh n th c trong WLANs và IEEE 802.1X/EAP. - K t h p lý thuy t v i th c nghi m ñ xây d ng mô hình nh n th c và ñ xu t gi i pháp nh m tăng cư ng kh năng b o m t cho quá trình nh n th c trong WLANs. 5. Ý nghĩa khoa h c và th c ti n c a ñ tài. Bài toán b o m t và nghiên c u các phương pháp nâng cao kh năng b o m t cho m ng thông tin nói chung, m ng không dây nói
4 riêng, ñ c bi t là WLANs luôn ñư c ñ t v trí hàng ñ u và phát tri n không ng ng. Đ tài “Nghiên c u phương pháp nh n th c 802.1X-EAP trong b o m t m ng c c b không dây WLAN” là phù h p v i xu hư ng hi n nay. 6. C u trúc lu n văn. C u trúc lu n văn g m 5 chương: CHƯƠNG 1. T NG QUAN V WLANs CHƯƠNG 2. B O M T TRONG WLANs CHƯƠNG 3. QUÁ TRÌNH NH N TH C TRONG WLAN CHƯƠNG 4. GIAO TH C NH N TH C M R NG EAP (EXTENSIBLE AUTHENTICATION PROTOCOL) CHƯƠNG 5. TH C NGHI M QUÁ TRÌNH NH N TH C D A TRÊN IEEE 802.1X/EAP TRONG WLANs
5 CHƯƠNG 1 T NG QUAN V WLANs 1.1. Gi i thi u 1.2. Khái quát v IEEE 802.11 WLAN 1.2.1. S hình thành và phát tri n c a IEEE 802.11 WLAN 1.2.2. Ki n trúc IEEE 802.11 Hình 1.1. Ki n trúc IEEE 802 và m i quan h v i mô hình OSI. 1.2.2.1. IEEE 802.11 MAC 1.2.2.2. IEEE 802.11 PHY 1.2.3. M t s chu n IEEE 802.11 cơ b n 1.2.3.1. Chu n IEEE 802.11b 1.2.3.2. Chu n IEEE 802.11a 1.2.4. Các chu n b sung cho IEEE 802.11 1.3. Đ c ñi m cơ b n c a WLANs 1.3.1. Các thành ph n cơ b n c a WLAN V cơ b n, WLANs ñư c xây d ng d a trên ba thành ph n như minh h a trên hình 1.3:
6 Hình 1.3. Các thành ph n cơ b n c a WLAN. 1.3.2. C u hình c a WLANs 1.3.2.1. C u hình WLAN ñ c l p IBSS 1.3.2.2. C u hình WLAN ph thu c BSS 1.3.2.3. C u hình WLAN m r ng ESS 1.4. Ưu và như c ñi m c a WLAN 1.4.1. Ưu ñi m c a WLAN - Tính di ñ ng. - Kh năng m r ng. - Kh năng l p ñ t và b o dư ng linh ho t. - Tính d s d ng và tính trong su t. 1.4.2. Như c ñi m c a WLAN - Khi s lư ng máy tính trong m ng tăng, t c ñ truy n d li u dành cho m i máy s gi m xu ng tương ng. - Băng thông c a WLANs th p hơn so v i LAN có dây. - Kh năng b o m t thông tin h t s c khó khăn. - Các chu n IEEE 802.11 áp d ng cho WLAN ch cho phép thi t b ho t ñ ng trong ph m vi nh 1.5. K t lu n chương
7 CHƯƠNG 2 B O M T TRONG WLANs 2.1. Gi i thi u 2.2. Khái ni m cơ b n v b o m t 2.2. 1. Đ nh nghĩa v b o m t “B o m t là s b o v thông tin cá nhân cũng như tài nguyên c a máy tính ho c các h th ng khác kh i các cá nhân, các t ch c có ý ñ nh phá h y ho c s d ng nh ng thông tin này vào m c ñích ñe d a s an toàn c a m ng“ [6], [15]. 2.2.2. Nguyên t c chung v b o m t Hình 2.1. Các nguyên t c b o m t cơ b n. 2.2.2.1. Đ tin c y “ Đ tin c y là m t thu c tính c a d li u, trong ñó quy ñ nh d li u là kín ñ i v i các th c th trong toàn h th ng n u như các th c th này không ñư c quy n truy nh p vào d li u” [26]
8 2.2.2.2. Tính toàn v n “Tính toàn v n m t thu c tính c a d li u, trong ñó yêu c u d li u không ñư c thay ñ i, phá h y ho c m t mát trong quá trình truy n d n. Khi ñó, phía thu s nh n ñư c d li u m t cách chính xác so v i khi g i b i m t th c th ñư c y quy n”[26]. 2.2.2.3. Kh năng s n sàng “ Thu c tính c a h th ng ho c tài nguyên h th ng ñư c truy nh p, ho c ñư c s d ng ho c ho t ñ ng theo yêu c u b i m t th c th h th ng ñư c y quy n, theo các ñ c trưng hi u su t cho h th ng”[26]. 2.3. L h ng b o m t trong WLANs 2.4. Các hình th c t n công b o m t trong WLANs Hình 2.2. Các hình th c t n công b o m t trên WLAN. 2.4.1. T n công th ñ ng Là hình th c t n công trong ñó k t n công ch th c hi n vi c nghe tr m ho c theo dõi quá trình truy n d li u. Đây là hình th c t n công nguy hi m vì r t khó b phát hi n và thư ng g p trên th c t . Chính vì v y, phương án t ng quát ñ ñ i phó v i hình th c này là ngăn ch n hơn là phát hi n và s a l i. 2.4.1.1. Nghe tr m 2.4.1.2. Phân tích lưu lư ng
9 2.4.2. T n công ch ñ ng K t n công s tác ñ ng ñ n các ph n t m ng và t o ra s thay ñ i trong n i dung b n tin g c ho c t o ra b n tin l i. Không d ñ ngăn ch n hình th c t n công này. Tuy nhiên, có th phát hi n ñ h n ch các tác ñ ng x u c a chúng. So v i t n công th ñ ng, t n công ch ñ ng ña d ng hơn. 2.4.2.1. T n công t ch i d ch v DoS 2.4.2.2. M o danh 2.4.2.3. T n công theo ki u thu hút 2.4.2.4. T n công theo ki u chi m gi phiên 2.5. IEEE 802.11i 2.5.1. T ng quan IEEE 802.11i Đ c t k thu t IEEE 802.11i ñưa ra khái ni m v m ng b o m t m nh RSN (Robust Security Network). RSN là m ng b o m t không dây ch cho phép kh i t o các liên k t m ng b o m t m nh RSNAs (Robust Security Network Associations). M i RSNA là m t liên k t logic gi a các th c th truy n thông IEEE 802.11 ñư c thi t l p thông qua cơ ch qu n lý khóa nh m chia s PMK (Pairwise Master Key), ñ ng b quá trình cài ñ t khóa t m th i, nh n th c (d a trên IEEE 802.1X), xác nh n l a ch n và c u hình các giao th c toàn v n, tin c y cho d li u. 2.5.2. C u trúc b o m t trong IEEE 802.11i 2.5.2.1. Pre- RSN 2.5.2.2. RSN RSN ñ nh nghĩa các th t c qu n lý khóa cho các m ng 802.11, tăng cư ng ch c năng nh n th c - mã hóa cho pre-RSN: Tăng cư ng ch c năng nh n th c
10 Qu n lý và thi t l p khóa. Hình 2.6. Qu n lý khóa trong IEEE 802.11i. Tăng cư ng mã hóa. 2.6. K t lu n chương
11 CHƯƠNG 3 QUÁ TRÌNH NH N TH C TRONG WLAN 3.1. Gi i thi u 3.2. Nh ng v n ñ cơ b n v nh n th c 3.2.1. Khái ni m nh n th c Nh n th c là quá trình phê chu n m t th c th d a trên các d u hi u nh n d ng ñ c trưng và ch ng ch ñư c xác ñ nh trư c [5],[11],[31],[34]. Trong b o m t m ng, nh n th c t p trung vào kh năng c a ph n t ki m tra nh m xác ñ nh tính chính xác c a các ñ c trưng mà th c th ñang ñư c nh n th c cung c p. 3.2.2. Yêu c u chung v nh n th c - Có kh năng nh n th c qua l i. - Ch ng l i hình th c t n công t ñi n. - T o ra các khóa phiên. - Nhanh chóng, hi u qu và thu n ti n cho ngư i dùng. 3.2.3. Các mô hình nh n th c cơ b n 3.2.3.1. Mô hình nh n th c d a vào Web. 3.2.3.2. Mô hình VPN ñi m – ñi m. 3.2.3.3. Mô hình nh n th c d a trên SIM. 3.2.3.4. Ki n trúc nh n th c 802.1X. 3.2.4. Các phương pháp nh n th c IEEE 802.11 ñưa ra hai phương pháp nh n th c cơ b n cho WLAN: nh n th c h th ng m OSA (Open System Authentication) và nh n th c khóa chia s SKA (Shared Key Authentication) [6],[8]. 3.2.4.1. Nh n th c h th ng m OSA 3.2.4.2. Nh n th c khóa chia s SKA
12 3.3. Ki n trúc nh n th c IEEE 802.1X. 3.3.1. Gi i thi u 3.3.2. IEEE 802.1X và EAP 3.3.2.1. Mô hình ki n trúc IEEE 802.1X. IEEE 802.1X là giao th c ñi u khi n truy nh p d a trên c ng ñư c s d ng nh m nh n th c qua l i gi a các th c th trong m ng [6],[13],[20]. Hình 3.3. Mô hình ki n trúc IEEE 802.1X. Ki n trúc nh n th c IEEE 802.1X mang l i m t s ưu ñi m: - Tăng tính b o m t d a trên qu n lý ñ ng khóa mã hóa. - Các chu n cho trao ñ i b n tin ñ u d a trên EAP. - S d ng các server nh n th c chu n (RADIUS server). - T p trung qu n lý truy nh p m ng. 3.3.2.2. Nguyên lý ñi u khi n truy nh p c ng Đi u khi n truy nh p ch ñư c th c hi n d a vào h th ng nh n th c c a supplicants g n v i các controlled ports. T k t qu c a quá trình nh n th c, h th ng có th xác ñ nh Supplicant có quy n truy nh p vào d ch v trên controlled port c a nó hay không. N u không, h th ng s thi t l p controlled port ñ n tr ng thái unauthorized và gi i h n truy n d li u trên port này.
13 3.3.3. Nguyên lý ho t ñ ng c a IEEE 802.1X trong WLAN Hình 3.5. Nguyên lý ho t ñ ng c a IEEE 802.1X trong WLAN Ki n trúc 802.1X áp d ng giao th c nh n th c m r ng EAP (Extensible Authentication Protocol) vào quá trình nh n th c th c th trong WLAN. Chu n 802.1X ñ nh nghĩa c u trúc ñóng gói EAP over LAN (EAPoL) ñ ñóng gói các b n tin EAP và cho phép truy n tr c ti p d a trên d ch v LAN MAC. Các b n tin EAP ñư c ñóng thành gói RADIUS v i các thu c tính ñư c ñ nh nghĩa trong RFC 2869 (Extensions RADIUS). Ch khi supplicant ñư c nh n th c thành công, controlled port trong Authenticator m i ñư c y quy n và cho phép supplicant th c hi n truy n d li u. 3.4. T ng quan v RADIUS 3.4.1. Gi i thi u. RADIUS tuân theo mô hình client - server, trong ñó RADIUS client hay NAS (Network Access Server) tương tác v i RADIUS server thông qua m t ho c nhi u RADIUS proxies. RADIUS là cơ ch giao ti p cơ b n gi a authenticator và AS trong ki n trúc 802.1X/EAP.
14 Hình 3.6. RADIUS trong ki n trúc nh n th c 802.1X/EAP. 3.4.2. C u trúc gói RADIUS (RADIUS packet) 3.4.3. Các phương án nh n th c RADIUS 3.4.4. RADIUS và kh năng h tr EAP Hình 3.9. Kh năng h tr EAP c a giao th c RADIUS. 3.4.5. L h ng b o m t c a RADIUS 3.5. K t lu n chương
15 CHƯƠNG 4 GIAO TH C NH N TH C M R NG EAP (EXTENSIBLE AUTHENTICATION PROTOCOL) 4.1. Gi i thi u 4.2. Giao th c nh n th c m r ng EAP 4.2.1. Đ nh nghĩa Theo RFC 2284, EAP (Extensible Authentication Protocol) là giao th c t ng quát cho quá trình nh n th c PPP v i kh năng h tr các phương pháp nh n th c, là phương pháp ñ nh nghĩa cách th c trao ñ i b n tin chu n gi a các thi t b ñang s d ng giao th c nh n th c ñư c th a thu n trư c [23]. EAP là m t k thu t cơ b n ñ nh n th c các supplicants LAN và WLAN. Do ho t ñ ng l p 2 nên EAP có th truy n b n tin gi a các thi t b mà không c n ñ a ch IP [16]. 4.2.2. C u trúc gói d li u EAP 4.2.3. Quá trình trao ñ i b n tin EAP Hình 4.2. Quá trình trao ñ i EAP packets.
16 4.2.4. Mô hình giao th c EAP 4.2.5. EAPoL (EAP over LAN) Chu n 802.1X ñ nh nghĩa c u trúc ñóng gói EAP over LAN (EAPoL) ñ ñóng gói các b n tin EAP và cho phép truy n tr c ti p d a trên LAN. Giao th c EAPoL ho t ñ ng l p 2 ñ ngăn supplicant k t n i v i m ng trư c khi ñư c nh n th c [24]. 4.2.5.1. C u trúc EAPoL frame Hình 4.4. C u trúc EAPoL frame. 4.2.5.2. Các lo i EAP frame 4.2.6. Ưu và như c ñi m c a EAP 4.2.6.1. Ưu ñi m - Cho phép h tr nhi u giao th c nh n th c. - Authenticator có th nh n th c các client n i b ho c ho t ñ ng như m t pass-through v i client khác. - S tách bi t c a authenticator kh i AS trong ch ñ pass- through ñơn gi n hóa ch c năng qu n lý ch ng th c và cách th c quy t ñ nh. K t qu nh n th c không b tác ñ ng b i n i dung c a các gói EAP. 4.2.6.2. Như c ñi m: - Đ i v i ng d ng trong PPP, EAP yêu c u b sung
17 lo i nh n th c m i vào LPC, vì v y PPP ph i ñư c thay ñ i ñ s d ng phương pháp nh n th c m i này. - S tách bi t gi a authenticator và AS làm ph c t p s phân tích b o m t và nh hư ng ñ n phân ph i khóa. 4.3. Giao th c TLS (Transport Layer Security) 4.3.1. Gi i thi u v TLS TLS là m t giao th c client – server v i nhi m v cơ b n là cung c p tính năng b o m t và toàn v n d li u gi a hai th c th 4.3.2. T p giao th c TLS 4.3.2.1. Giao th c b n ghi TLS (TLS Record Protocol) [22] 4.3.2.2. Giao th c TLS Handshake Protocol 4.3.2.3. TLS Alert protocol. 4.3.2.4. TLS ChangeCipherSpec protocol. 4.4. M t s phương pháp nh n th c EAP 4.4.1. EAP – TLS (TLS over EAP) EAP - TLS là m t trong s ít các giao th c h tr các ch c năng: nh n th c qua l i, mã hóa và qu n lý khóa d a trên các liên k t PPP ñư c mô t trong RFC 2716. EAP – TLS là s k th a nh ng ưu ñi m c a TLS và s linh ho t c a EAP. 4.4.1.1. C u trúc EAP – TLS frame 4.4.1.2. Trao ñ i b n tin nh n th c trong EAP – TLS 4.4.2. EAP – TTLS (EAP – Tunneled TLS) [22] EAP – TTLS (EAP – Tunneled TLS) là m t phương pháp nh n th c EAP khác, cung c p m t s ch c năng vư t tr i so v i EAP – TLS. EAP – TTLS m r ng s th a thu n nh n th c b ng cách s d ng liên k t an toàn ñư c thi t l p b i TLS Handshake ñ trao ñ i thông tin b sung gi a client và server. Liên k t an toàn này s ñư c
18 server s d ng ñ nh n th c client trên h t ng nh n th c có s n theo các giao th c: PAP, CHAP, MS–CHAP v2 ... 4.4.2.1. Ki n trúc EAP – TTLS và ñ nh d ng b n tin 4.4.2.2.Ho t ñ ng c a giao th c EAP – TTLS EAP – TTLS k th a hai giai ño n c a giao th cTLS, ñó là: Hì nh 4.13. Trao ñ i b n tin EAP – TTLS. Thông tin gi a client và TTLS server ñư c trao ñ i thông qua AVPs tương thích v i RADIUS và DIAMETER. 4.4.3. PEAP (Protect EAP – EAP over TLS over EAP) Giao th c PEAP (Protect EAP) ñ ra gi i pháp ñ b o v nh n d ng ngư i dùng. Hi n t i, phiên b n PEAPv2 hư ng ñ n nh ng v n ñ b o m t như: b o v nh n th c ngư i dùng, phương pháp chu n ñ trao ñ i khóa và h tr tái liên k t nhanh.
19 4.4.3.1. EAP – TLV PEAP gi i thi u c u trúc payload m i là Type–Length–Value (TLV). EAP–TLV cho phép tri n khai PEAP v i kh năng l a ch n nhi u phương pháp nh n th c EAP trên kênh TLS ñã ñư c thi t l p theo ki u n i ti p ho c song song [11]. 4.4.3.2. C u trúc PEAP packet 4.4.3.3. Trao ñ i b n tin trong PEAP Quá trình nh n th c trong PEAP v2 ñư c th c hi n theo hai giai ño n [11]: Giai ño n 1 – Th a thu n và thi t l p phiên TLS. Trong giai ño n này client không g i nh n d ng th c c a nó thông qua b n tin EAP Response/Identity, mà thay vào ñó là s d ng NAI (Network Access Identifier) [27]. Nh n d ng th c c a client ñư c thi t l p trong giai ño n 2. Giai ño n 2 – Đóng gói EAP. Trong giai ño n này, toàn b quá trình h i tho i gi a client và server ñư c b o v trong kênh TLS, ñ m b o nh ng yêu c u v b o m t cho PEAP. 4.4.3.4. L i ích c a PEAP Phương pháp nh n th c PEAP mang l i m t s l i ích b o m t như sau: - B o v nh n d ng. - B o v quá trình thương lư ng và k t thúc. - B o v header. 4.5. K t lu n chương
20 CHƯƠNG 5 TH C NGHI M QUÁ TRÌNH NH N TH C D A TRÊN IEEE 802.1X/EAP TRONG WLANs 5.1. Gi i thi u 5.2. Mô hình th c nghi m quá trình nh n th c trong WLAN 5.2.1. Mô hình th c nghi m nh n th c WLAN Hình 5.1. Mô hình th c nghi m nh n th c trong WLAN. 5.2.2. C u hình thi t b 5.2.2.1. C u hình AS và kh i t o ch ng th c (Certificates) 5.2.2.2. C u hình Access Point 5.2.2.3. Cài ñ t thông tin ch ng th c cho End Users 5.3. K ch b n và k t qu th c nghi m 5.3.1. K ch b n 1 M c ñích c a k ch b n này là so sánh và ñánh giá s nh hư ng c a t c ñ CPU c a các End Users ñ n hi u năng c a các giao th c nh n th c EAP thông qua ñánh giá th i gian x lý các yêu c u nh n th c. K ch b n này th c hi n các thí nghi m: - Thí nghi m 1: Nh n th c ñ i v i End user 1 - Thí nghi m 2: Nh n th c ñ i v i End user 2 - Thí nghi m 3: Nh n th c ñ ng th i trên Users 1 và 2 theo 4 nhóm. K t qu minh h a trên các hình 5.8, 5.9, 5.10, 5.11, 5.12, 5.13).