Tổng quan về hệ mật mã máy tính
Mật mã học là lĩnh vực kết hợp giữa ngôn ngữ học và toán học nhằm bảo đảm an toàn thông tin, đặc biệt trong giao tiếp Lịch sử mật mã học gắn liền với quá trình mã hóa, chuyển đổi thông tin từ dạng có thể nhận thức sang dạng không thể nhận thức được, bảo vệ thông tin khỏi sự truy cập trái phép Quá trình mã hóa chủ yếu được áp dụng để bảo vệ tính bí mật trong các lĩnh vực như tình báo, quân sự, ngoại giao và kinh tế Gần đây, ứng dụng của mật mã hóa đã mở rộng, không chỉ dừng lại ở việc bảo mật mà còn bao gồm chứng thực khóa công khai, chữ ký số, bầu cử điện tử và thanh toán điện tử Ngoài ra, công nghệ mật mã hóa còn được sử dụng rộng rãi trong các hệ thống công nghệ thông tin và viễn thông, phục vụ cả những người không có nhu cầu bảo mật đặc biệt.
Mật mã học là một lĩnh vực liên ngành, được hình thành từ nhiều lĩnh vực khác nhau Các hình thức cổ xưa của mật mã hóa chủ yếu dựa vào các mẫu trong ngôn ngữ Gần đây, tầm quan trọng của mật mã hóa đã thay đổi, với việc áp dụng nhiều hơn các khía cạnh toán học, đặc biệt là toán học rời rạc Điều này bao gồm các vấn đề liên quan đến lý thuyết số, lý thuyết thông tin, độ phức tạp tính toán, thống kê và tổ hợp Mật mã hóa hiện nay là một công cụ thiết yếu trong an ninh máy tính và mạng.
Phân loại hệ mật mã
Mã hóa đối xứng cổ điển
- Mã hoá cổ điển l1 phương pháp mã hoá đơn giản nhất xuất hiện đầu tiên trong lịch sử ng1nh mã hoá.
- Thuật toán đơn giản v1 dễ hiểu.
- Những phương pháp mã hoá n1y l1 cở sở cho việc nghiên cứu v1 phát triển thuật toán mã hoá đối xứng được sử dụng ng1y nay.
-Trong mã hoá cổ điển có hai phương pháp nổi bật đó l1:
Mã hoá thay thế k* tự: thay thế các k* tự trên bản rõ bằng các k* tự khác trên bản mã
Mã hoá hoán vị: thay đổi vị trí các k* tự trong bản rõ, tức l1 thực hiện hoán vị các k* tự của bản rõ.
- M-i mã cổ điển đ/u l1 mã đối xứng
Mã hóa đối xứng hiện đại
Mã DES là một trong những kiểu mã hóa phổ biến nhất, thường được áp dụng trong các thuật toán mã hóa Nó không chỉ được sử dụng độc lập mà còn kết hợp với nhiều thủ tục khác để cung cấp các dịch vụ an toàn và xác thực hiệu quả.
Mã AES, giống như DES, là một mã hóa khối với nhiều vòng Tuy nhiên, khác với DES, AES không sử dụng cấu trúc mã hóa Feistel Thuật toán AES có độ phức tạp cao, và dưới đây là một số đặc điểm chính của nó.
Cho phép lựa ch-n kích thước khối mã hóa l1 128, 192 hay 256 bít.
Cho phép lựa ch-n kích thước của khóa một cách độc lập với kích thước khối: l1 128, 192 hay 256 bít.
Số lượng vòng có thể thay đổi từ 10 đến 14 vòng tùy thuộc v1o kích thước khóa.
Độ an to1n của AES l1m cho AES được sử dụng ng1y c1ng nhi/u v1 trong tương lai sẽ chiếm vai trò của DES v1 Triple DES.
2.3 Mã hóa đối xứng công khai
Mật mã hóa khóa công khai là một phương pháp cho phép người dùng trao đổi thông tin mật mà không cần chia sẻ khóa bí mật trước đó Điều này được thực hiện thông qua việc sử dụng một cặp khóa liên quan đến nhau, bao gồm khóa công khai và khóa cá nhân (hay khóa bí mật).
- Hệ thống mật mã hóa khóa công khai có thể sử dụng với các mục đích:
Mã hóa: giữ bí mật thông tin v1 chỉ có người có khóa bí mật mới giải mã được.
Tạo chữ ký số: cho phép kiểm tra một văn bản có phải đã được tạo với một khóa bí mật n1o đó hay không.
Thỏa thuận khóa: cho phép thiết lập khóa dùng để trao đổi thông tin mật giữa 2 bên.
Các kỹ thuật mã hóa khóa công khai thường yêu cầu nhiều tài nguyên tính toán hơn so với mã hóa khóa đối xứng Tuy nhiên, những lợi ích mà chúng mang lại khiến chúng trở thành lựa chọn phổ biến trong nhiều ứng dụng.
Mã hóa đối xứng công khai
RADIUS (LDAP) trên mạng WiFi:
3.1 Tìm hiểu về RADIUS( Remote Authentication Dial-In User Service ) :
Remote Authentication Dial-In User Service (RADIUS) is a network protocol that operates on the default UDP port 1812, providing centralized authentication, authorization, and accounting (AAA) for users connecting to network services Developed by Livingston Enterprises, Inc in 1991, RADIUS initially served as a billing and access authentication protocol before being standardized by the Internet Engineering Task Force (IETF).
RADIUS là một giao thức phổ biến, thường được các nhà cung cấp dịch vụ Internet (ISP) và doanh nghiệp sử dụng để quản lý truy cập Internet, mạng nội bộ, mạng không dây và dịch vụ email tích hợp Các mạng này có thể bao gồm modem, đường dây thuê bao kỹ thuật số (DSL), điểm truy cập, mạng riêng ảo (VPN), cổng mạng, máy chủ web và nhiều thiết bị khác.
RADIUS là giao thức máy khách/máy chủ hoạt động trên lớp ứng dụng, có thể sử dụng TCP hoặc UDP làm phương thức vận chuyển RADIUS thường được chọn làm giải pháp xác thực cho 802.1X.
- RADIUS thường chạy như một dịch vụ trên máy chủ UNIX hoặc Microsoft Windows.
Giao thức RADIUS đã nâng cao khả năng kiểm soát và bảo mật mạng, nhưng vẫn tồn tại một số hạn chế Một trong những thách thức lớn là yêu cầu triển khai tại chỗ, đòi hỏi một cơ sở hạ tầng quản lý danh tính hiệu quả, bao gồm hệ thống, máy chủ, router và switch Việc thiết lập này không chỉ phức tạp mà còn tốn kém, gây khó khăn cho nhiều tổ chức trong việc duy trì và vận hành Hơn nữa, cơ sở hạ tầng quản lý danh tính tại chỗ thường gặp khó khăn trong việc mở rộng và thích ứng với các nhu cầu thay đổi.
Mô hình hóa quá trình xác thực RADIUS (LDAP) trên mạng WiFi
Tìm hiểu LDAP v1 phương thức hoạt động
Mục đích của hệ thống là xác thực các kết nối tin cậy với độ an toàn cao Mỗi người dùng sẽ được cấp một tài khoản khi sử dụng wifi, từ đó đảm bảo tốc độ truy cập internet và tính an toàn của hệ thống.
Trong hệ thống sử dụng Domain (đã nâng cấp Active Diretory)
Radius server đã join domain hoặc sử dụng máy DC c1i dịch vụ
Xác thực RADIUS trên mạng wifi
Mục đích của hệ thống là xác thực các kết nối tin cậy và đảm bảo an toàn cao Mỗi người dùng sẽ được cấp một tài khoản khi sử dụng wifi, giúp đảm bảo tốc độ truy cập internet và tính an toàn cho hệ thống.
Trong hệ thống sử dụng Domain (đã nâng cấp Active Diretory)
Radius server đã join domain hoặc sử dụng máy DC c1i dịch vụ
⇒ Máy đã nâng cấp lên Domain
A Cấu hình trên máy server Radius
⇒ Phần nâng cấp AD l1 bắt buộc, mình không đ/ cập lại quá trình c1i đặt nha, mình dùng chính máy Domain để c1i tiếp các dịch vụ cần thiết
1 Cài đặt, cấu hình Active Diretory Certificate Services (CA)
V1o server manager → add roles and features
Hộp thoại select server role xuất hiện, tick v1o Active Directory
Certification server → ch-n Add Feature → next → next.
Hộp thoại role services xuất hiện, tick v1o Certification Authority → next→next
Hộp thoại confirm installation selection xuất hiện, ch-n install để c1i đặt, sau khi c1i xong nhấn Close.
After completing the setup in Server Manager, you may notice an exclamation mark in the upper right corner Click on the exclamation mark and select "Configure Active Directory Certificate Services."
Ch-n next đến khi hộp thoại Role Services xuất hiện, ch-n
Certification Authority , next … Mặc định
Hộp thoại Cryptography xuất hiện, ch-n kiểu mã hóa SHA1,next
Các bước còn lại giữ nguyên theo mặc định, cuối cùng ch-n Close
1.3 Cấu hình xác thực CA
V1o Start,nhập MMC v1 nhấn Enter
Trên cửa sổ MMC, ch-n File → Add/Remove Snap-in, ch-n Certificates, ch-n Add.
Ch-n Computer account, kích Next.
Ch-n Local computer, kích Finish v1 kích OK.
Mở Certificates (Local Computer Account), mở Personal, kích phải Certificates v1 ch-n All Tasks → Request New Certificate
Tiếp tục nhấn next → next → ch-n Domain Controller → Eroll
Ch-n Finish để ho1n tất cấu hình cấp CA
2 Cài đặt và cấu hình NAP (network Policy and Access Services)
v1o Server Manager → Add Roles and Features → ch-n Network Policy and Access Services Hộp thoại Add Role And Feature Wizard xuất hiện ch-n Add Features → Next → next để tiếp tục.
Hộp thoại Role Services xuất hiện, ch-n Network Policy Server v1 Health Registration Authority, tiếp tục nhấn next
Hộp thoại Certification Authority xuất hiện ch-n : Use the local CA to issue heath certificates for this HRA server sau đó bấm Next để qua bước tiếp theo.
Hộp thoại Authentication Requirements xuất hiện ch-n No, allow anonymous requests for heath certificates v1 ch-n Next để qua bước tiếp theo.
Hộp thoại Server Authentication Certificate xuất hiện ch-n Choose an existing certificate for SSL encryption ( recommended ) v1 ch-n Next để qua bước tiếp theo.
Hộp thoại Confirm Installation Selections xuất hiện Ch-n Install, sau khi c1i xong ch-n Close.
2.2 Tạo user và group để cho phép sử dụng dịch vụ CA
V1o Tools → Acti Directory User and Computers để tạo, ở đây mình đã tạo group WIFI RADIUS add các user v1o
Tại Server Manager click ch-n NAP, sau đó click chuột phải v1o AD 192.168.137.250 – Online – Performance… Ch-n Network Policy Server để v1o cấu hình NAP.
Hộp thoại Network Policy Server xuất hiện tại Standard Configuration bạn xổ drop down list ra ch-n RADIUS server for 802.1X Wireless or
Hộp thoại 802.1X Connections Type xuất hiện: Tick ch-n SeucreWiresless Connections v1 đặt tên cho Policy Sau khi ch-n v1 đi/n xong bạn nhấn Next để qua bước tiếp theo
Hộp thoại Specify 802.1X Switches xuất hiện bạn ch-n Add để Add Radius client
Lưu ý rằng Radius client ở đây chính là access point của bạn; nếu bạn có một access point, hãy thêm một cái, nếu có hai thì thêm hai cái, và nếu không thêm vào, access point của bạn sẽ không thể kết nối với RADIUS Server, dù có cố gắng Sau khi nhấn "Add", hộp thoại "New RADIUS Client" sẽ xuất hiện và bạn cần thực hiện các bước tiếp theo.
Sau khi add RADIUS Client xong bạn bấn Next để qua bước tiếp theo.
Hộp thoại Cofigure an Authentication method ch-n kiểu mã hóa l1 EAP-MSCHAP v2
Hộp thoại Specify User Groups xuất hiện bạn bấn v1o Add… để Add group cho phép sử dụng 802.1X chứng thực wifi Mình add Group
“WIFI RADIUS” vừa tạo ở bước trên v1o, nhấn next.
Hộp thoại Completing New 802.1X Secure Wired and Wireless Connections and RADIUS clients xuất hiện bạn ch-n Finish để ho1n tất.
B Cấu hình trên Unifi controller
V1o setting → Wireless Networks o Security : WPAEnterprise o RADIUS profile: Create new RADIUS profile
Vlan Suport: cấu hình Vlan trong radius
Radius Auth Server a Ip Address: “IP Radius server”, của mình l1 192.168.100.2 b Port: 1812 c Password/Shared Secret: chuỗi mã hóa đã tạo trên radius server
Accounting: check v1o Enable accounting a Ip Address: “IP Radius server”, của mình l1 192.168.100.2 b Port: 1813 c Password/Shared Secret: chuỗi mã hóa đã tạo trên radius server
Sau khi tạo xong profile ta ch-n profile để áp dụng
1 Máy Client kết nối wifi radius
2 Nhập user và password để xác thực
3 Máy client truy cập internet thành công
Sau khi hoàn thành dự án, tôi đã nắm vững tổng quan về hệ thống mã hóa máy tính và mô hình hóa quá trình xác thực RADIUS (LDAP) trên mạng WiFi Đặc biệt, tôi đã hiểu rõ cơ chế và tầm quan trọng của bảo mật không dây thông qua việc xác thực RADIUS.
