Báo Cáo Môn Học Mạng Máy Tính Căn Bản LAB 1 : Giảng Viên : Nguyễn Đức Quang Sinh viên : Nguyễn Duy Ý - 106102205
1. Tìm Tìm hiểu hiểu giao giao thức thức PPP PPP PPP được xây dựng dựa trên nền tảng giao thức điều khiển kh iển truyền dữ liệu lớp cao (HighLevel Data link Control (HDLC)) nó định ra các chuẩn cho việc truyền dữ liệu các giao diện DTE và DCE của mạng WAN như V.35, T1, E1, HSSI, EIA-232-D, EIA-449. PPP được ra đời như một sự thay thế giao thức Serial Line Internet Protocol (SLIP), một dạng đơn giản của TCP/IP. PPP cung cấp cơ chế chuyển tải dữ liệu của nhiều giao thức trên một đường truyền, cơ chế sửa lỗi nén header, nén dữ liệu và multilink. PPP có hai thành phần: Link Control Protocol (LCP): (được đề cập đến trong RFC 1570) thiết lập, điều chỉnh cấu hình, và hủy bỏ một liên kết. Hơn thế nữa LCP còn có cơ chế Link Quality Monitoring (LQM) có thể được cấu hình kết hợp với một trong hai cơ chế chứng thực Password Authentication Protocol (PAP) hay Challenge Handshake Authentication Protocol (CHAP). Network Control Protocol (NCP): NCP làm nhiệm vụ thiết lập, điều chỉnh cấu hình và hủy bỏ việc truyền dữ liệu của các giao thức của lớp network như: IP, IPX, AppleTalk and DECnet. Cả LCP và NCP đều họat động ở lớp 2. Hiện đã có mở rộng của PPP phục vụ cho việc truyền dữ liệu sử dụng nhiều nh iều links một lúc, đó là Multilink PPP (MPPP) trong đó sủ dụng Multilink Protocol (MLP) để liên kết các lớp LCP và NCP Các bước vận hành của giao thức liên kết điểm điểm -
Sau khi gói dữ liệu được đóng gói, nút nguồn gửi các frame LCP tới nút đích thông qua kết nối điểm điểm
-
Các frame LCP được sử dụng để cấu hình kết nối theo các thông số quy định, kiểm soát kết nối được thiết lập, nếu có yêu cầu
-
Sau khi nút đích chấp nhận yêu cầu kết nối và một đường kết nối được thiết lập, các điều kiện được thỏa thuận bởi LCPs
- Nút nguồn gửi các frame NCP( Netware Core Protocal ) để chọn và cấu hình giao thức
lớp mạng -
Sau khi giao thức lớp mạng đã được cấu hình, hai nút bắt đàu trao đổi dữ liệu
Khi kết nối PPP đã được cấu hình, nó sẽ tồn tại cho đến khi có tín hiệu kết thúc kết nối của LCP và NCP. Kết nối cũng có thể kết thúc do có lỗi trên đường truyền hoặc sự can thiệp của user. 2. Giao thức MPPP Tốc độ truyền Internet quá chậm luôn là một vấn đề đau đầu đối với người sử dụng muốn lướt trên Internet với tốc độ cao. Chính vì vậy hàng loạt công nghệ băng thông đã được đưa ra nhằm giải quyết tình trạng tắc nghẽn trên mạng như mạng thuê bao kỹ thuật số ADSL, mạng dịch vụ số tích hợp ISDN, modem cáp hay vệ tinh. Nhưng các công nghệ này đều mang một đặc điểm chung là đắt tiền và hơn nữa lại chưa thể áp dụng rộng rãi. Rất may là còn có cách khác với chi phí có thể chấp nhận được,công nghệ kết nối điểm - điểm đa luồng MPPP là giải pháp có thể chấp nhận. Nguyên lý hoạt động của MPPP Giao thức Multilink Point-to-point là chuẩn mở rộng của giao thức kết nối mạng diện rộng WAN hiện đang được sử dụng rất phổ biến là giao thức điểm-nối-điểm (point-to-point protocol - PPP). Multilink PPP cho phép kết hợp nhiều kênh truyền dẫn vật lý chạy giao thức điểm-nối-điểm thành một kênh truyền dẫn logic với tốc độ truyền dẫn dữ liệu cao hơn, gần bằng tổng tốc độ truyền dẫn dữ liệu của các kênh vật lý. Tất cả các gói dữ liệu cần truyền tải qua kênh logic ở phía thiết bị phát được chia thành các gói tin có kích thước nhỏ hơn và phân bố qua các kênh truyền dẫn vật lý thành phần. Tại đầu phía thiết bị thu sẽ thực hiện quá trình sắp xếp lại các gói tin bị phân mảnh và đóng gói thành các gói tin có kích thước nguyên thuỷ. Toàn bộ quá trình phân mảnh và đóng gói lại các gói tin truyền dẫn qua kênh truyền dẫn logic được điều khiển bởi các trình phần mềm kết nối mạng diện rộng qua thoại có hỗ trợ trao thức Multilink PPP. Multilink PPP có thể cho phép kết hợp nhiều kênh truyền dẫn đồng bộ (synchronous) hoặc nhiều kênh truyền dẫn không đồng bộ (async) thành 1 kênh logic. Đặc biệt Multilink PPP rất
hiệu quả khi sử dụng trong dịch vụ thoại ISDN. Người dùng ISDN đầu cuối cơ bản (basic rate) có thể sử dụng kết hợp 2 kênh dữ liệu B (có tốc độ 64kbps) để được một kênh truyền dẫn tốc độ cao (khoảng 112kbps ). Nhưng hạn chế lớn nhất của dịch vụ Multilink qua ISDN là giá đầu tư thiết bị và thuê bao sử dụng tương đối cao. Multilink PPP cũng hỗ trợ việc kết hợp các kênh truyền dẫn PPP qua modem và mạng thoại truyền thống. Khi đó người sử dụng có thể sử dụng nhiều modem (chuẩn hỗ trợ modem có tốc độ cao nhất hiện tại là 56kbps) để tạo thành đường truyền dẫn logic có tốc độ cao hơn. Trong trường hợp này giá thành đầu tư thiết bị và phí sử dụng thấp hơn so với ISDN. Tuy nhiên, do tốc độ truyền dữ liệu trên đường thoại không ổn định nên hiệu quả của Multilink PPP trên đường thoại không cao bằng trên ISDN. 3. Khái niệm Radius RADIUS là giao thức bảo mật Internet dựa trên mô hình máy chủ/máy khách. Máy truy cập vào mạng là máy khách và server RADIUS ở cuối mạng xác nhận máy khách. Tổng quát, server RADIUS xác nhận người sử dụng bằng danh sách username/password được lưu. RADIUS cũng có thể hoạt động như một máy khách để xác nhận người sử dụng của các hệ điều hành như UNIX, NT hay Netware. Thêm vào đó, server RADIUS cũng có thể hoạt động như một máy khách cho các server RADIUS khác. Để bảo mật cho các thông tin trên đường truyền giữa các máy khách và server RADIUS thì có thể sử dụng mã hóa sử dụng cơ chế xác nhận (authentication mechanisms) ví dụ như Password Authentication Protocol (PAP) và Challenge Handshake Authentication Protocol (CHAP). Cơ chế hoạt động của Radius Giao thức Remote Authentication Dial In User Service (RADIUS) được định nghĩa trong RFC 2865 được đưa ra với định nghĩa: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization, và Access Control – AAA) cho các phiên làm việc với SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet. Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các thông tin tới một Authentication Server, thông thường nó là một AAA Server (AAA –
Authentication, Authoriztion, và Accounting). Trong kiến trúc cua hệ thống nó tạo ra khả năng tập trung các dữ thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NASs. Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access-Request tới máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một port xác định, NAS identify, và một message Authenticator. Sau khi nhận được các thông tin máy chủ AAA sử dụng các gói tin được cung cấp như, NAS identify, và Authenticator thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không. Nếu có khả năng, máy chủ AAA sẽ tìm kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong cơ sở dữ lệu. Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin trong Access-Request quyết định quá trình truy cập của user đó là được chấp nhận. Khi quá trình xác thực bắt đầu được sử dụng, máy chủ AAA có thể sẽ trả về một RADIUS Access-Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến người dùng từ xa (với ví dụ này sử dụng CHAP). Khi đó người dùng sẽ phải trả lời đúng các yêu cầu xác nhận (trong ví dụ này, đưa ra lời đề nghị mã hoá password), sau đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request. Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn thoả mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-Accept. Nếu không thoả mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject và NAS sẽ ngắt kết nối với user. Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được thiết lập, NAS sẽ gửi mộtgói tin RADIUS Accounting-Request (Start) tới máy chủ AAA. Máy chủ sẽ thêm các thông tin vào file Log của nó, với việc NAS sẽ cho phép phiên làm việc với user bắt đầu khi nào, và kết thúc khi nào, RADIUS Accouting làm nhiệm vụ ghi lại quá trình xác thực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Accounting-Request (stop).
Phương thức bảo mật Tất cả các message của RADIUS đều được đóng gói bởi UDP datagrams, nó bao gồm các thông tin như: message type, sequence number, length, Authenticator, và một loạt các Attribute-Value. Authenticator: tác dụng của Authenticator là cung cấp một chế độ bảo mật. NAS và AAA Server sử dụng Authenticator để hiểu đuợc các thông tin đã đươc mã hoá của nhau như mật khẩu chẳng hạn. Authenticator cũng giúp NAS phát hiện sự giả mạo của gói tin RADIUS Responses. Cuối cùng, Authenticator được sử dụng làm cho để biễn password thành một dạng nào đó, ngăn chặn việc làm lộ mật khẩu của người dùng trong các message RADIUS. Authenticator gửi Access-Request trong một số ngẫu nhiên. MD5 sẽ băm (hash) số ngẫu nhien đó thành một dạng riêng là OR’ed cho mật khẩu của ngwoif dùng và gửi trong AccessRequest User-Password. Toàn bộ RADIUS response sau đó được MD5 băm (hash) với cùng thông số bảo mật của Authenticator, và các thông số response khác. Authenticator giúp cho quá trình giao tiếp giữa NAS và máy chủ AAA được bảo mật nhưng nếu kẻ tấn công tóm được cả hai gói tin RADIUS Access-Request và Access-Response thì có thể thực hiện "dictionary attack" để phân tích việc đóng gói này. Trong điều kiện thực tế để việc giải mã khó khăn bạn cần phải sử dụng những thông số dài hơn, toàn bộ vấn đề có khả năng nguy hại cho quá trình truyền tải này được miêu tả rất kỹ trong RFC 3580. Attribute-Value Pairs: Thông tin được mang bởi RADIUS đuợc miêu tả trong một dạng Attribute-Value, để hỗ trợ cho nhiều công nghệ khác nhau, và nhiều phương thức xác thực khác nhau. Một chuẩn được định nghĩa trong Attribute-Value pairs (cặp đôi), bao gồm User Nam, User-Password, NAS-IPAddress, NAS-Port, Service-Type. Các nhà sản xuất (vendors) cũng có thể định nghĩa Attribute-Value pairs để mang các thông tin của mình như VendorSpecific toàn bộ ví dụ này được miêu tả trong RFC 2548 - Định nghĩ Microsoft AttributeValue pair trong MS-CHAP.
4. Mô hình lab Radius Server
Thiết lập cấu hình cho Radius Server
Chọn Start > Programs > Admintrative tools > Internet Authentication Service
Trong cửa sổ Internet Authentication Service, ta click chuot phải mục Internet Authentication Service (Local) chọn Register Server in Active Directory de đăng ký máy RADIUS Server vớimáy chủ Active Directory.
Trong hop thoại IAS Information chọn OK để hoàn tât quá trình đăng ký.
Chỉ định máy làm Radius Client > Right-click Radius Clients > New Radius clients
Client address ta điền IP máy Radius Client vào :192.168.100.1
Client-Vendor ở đây chúng ta chọn thiết bị mà chúng ta làm Radius Client > ở đây chúng ta dùng 1 Router mền của Microsoft nên ta chọn Microsoft > Nếu ở đây không có tên hãng thiết bị mà chúng ta làm Radius Client thì chúng ta chọn RADIUS-Standar.
Shared Secret : ta điền 123456 thông số này chúng cần nhớ để khi thiết lập Radius Client chúng ta điền vào > Finish
Thông tin mô tả máy một máy RADIUS Client xuât hiện.
Tạo Remote Access Policy > Right-lick Remote access policy > New Remote access policy > Next
Trong hop thoại Policy Configuration Method, ta đặt tên cho chính sách này là Radius Server
Chọn Group là DialUser
Để mặc định lực chọn MS-CHAPv2
Chọn mặc định Level Encryption > Next
Nhấn finish để hoàn thàn Khi cấu hình xong ta được như sau:
Cấu hình RRAS chứng thực bằng Radius server. Trong hop thoại Properties - Security. Trong mục Authentication provide, chọn RADIUS Authentication.
Chọn Radius Authentication
Nhấn Yes
Chọn Add
Điền IP của Radius Server
Nhập vào secrect. Ở đây là 123456
Lúc này ta có kết quả như sau . Nhấn next
Chọn Apply - OK de hoàn tât quá trình mô t_ máy RADIUS Server cung như cấu hình cho máy RRAS dùng phương pháp xác thực là RADIUS.
Chọn Ok
Khởi động lại dịch vụ để hoàn thành.
Dề cho User có thể kết ne61i Dial Up và thực hiện Call Back , trên Properties của User ta cấu hình như sau :
User cde sau khi thuc hien ket noi :
Bắt các gói tin bằng WireShark:
Gói tin CallBack Resquest: Gói tin làm nhiệm vụ gử tín hiệu đến server báo kết nối gọi đến này là kết nối Callback khi nhận được gói này server sẽ ngắt kết nối và gửi lại gói CallBack Response cho biết nó sẽ gọi lại.
Gói tin CallBack Response : Gói tin Server gửi cho client biết là nó sẽ gọi lại . Khi nhận gói này client sẽ chuyển qua chế độ Waiting Callback và chờ server gọi lại . Khi server gọi lại thì quá trình kết nối CallBack xem như đã thành công.