Chillispot - Giải pháp chứng thực Wifi thông qua chứng thực web

Guide full download tại: http://mediafire.com/?5k05td46s18203s
Pass giải nén: tuaninfo


Chillispot là gì?

Chillispot là một phần mềm nguồn mở được sử dụng để chứng thức người dùng truy cập mạng LAN Wireless. Phần mềm có hỗ trợ giao diện web page login và sử dụng với một máy chủ chứng thức (cụ thể ở đây là Raudius)


Mục đích/tính áp dụng:

   Client được phép kết nối tới sóng wifi free, nhưng khi sử dụng internet (mở trình duyệt web) lướt một trang web bất kỳ sẽ redirect tới web page login, tại đây người dùng phải nhập thông in username & password, nếu thông tin chính xác Client sẽ được truy cập internet, sử dụng mọi tác vụ bình thường.
Cơ chế: Chillispot kiểm soát eth1 sử dụng module vtun kernel để bring up tới một interface ảo tun0. Nhưng trên thực tế module vtun kernel được sử dụng để di chuyển các gói tin IP từ kernel tới user mode, chức năng chllispot có thể thực hiện không qua bất kỳ các module kernel phi tiêu chuẩn nào (non-standard). Chillispot sẽ setup một DHCP server trên interface tun0, khi Client kết nối tới mạng Wifi, client sẽ được cấp 1 IP động (mặc định dải 192.168.182.X) sinh ra từ Chilllispot. Vì IP động được cấp phát khác mạng so với mạng thực nên để Client truy cập Internet cần sử dụng cơ chế NAT trên 2 card mạng Server.
Khi một client non-authenticated kết nối tới webpage (port 80 hoặc 443), yêu cầu sẽ được chấp nhận bởi chilli và bị redirect tới script perl (được gọi là hotspotlogin.cgi).

Script hotspotlogin.cgi sẽ cung cấp một web-page cho end-user với trường username & password. Thông tin chứng thực này sẽ được gửi tới Raudius Server.
Áp dụng thực tế: áp dụng cho quản lý truy cập wifi cho doanh nghiệp, quán café, tòa nhà, khách sạn, thành phố, kinh doanh cung cấp wifi internet trên địa bàn lớn,..

Bảo mật: Mỗi người dùng sẽ có 1 account (username & password ) riêng, thông tin sẽ khó bị rò rỉ.

I. Cấu hình chuẩn bị trên Server

- Phần cứng yêu cầu:
1 Server có 2 card mạng, cài Linux (Centos, Redhat, Ubuntu, …)
1 Wireless ( là một Access Point – AP).
Internet kết nối vào server.
Phần mềm yêu cầu:
Chillispot, download tại: http://www.chillispot.info/
FreeRaudius download tại: http:// freeradius.org
Apache (httpd)
Note:
Trong bài hướng dẫn này tôi sẽ sử dụng CentOS cài trên máy Server, các OS Unix khác làm tương tự.
Raudius server & web server vị trí có thể được đặt trên Internet.

- Interface eth0 kết nối tới Internet, interface eth1 kết nối tới Laptop (giả sử)
- Interface eth1 không nên cấu hình, nhưng cần active:

[root@chillispot ~]# ifconfig eth1 up
Or
[root@chillispot ~]# ifconfig eth1 0.0.0.0 up

- Enable Firewall và thực hiện NAT,
Chilli đã có sẵn script cấu hình NAT, file firewall example đặt tại “/usr/share/doc/chillispot/firewall.iptables”

[root@chillispot ~]#sh “/usr/share/doc/chillispot/firewall.iptables


Để scipt trên cần chạy sau khi reboot máy, bạn cần copy script vào “/etc/init.d” và tạo quyền thực thi.
[root@chillispot ~]# cp /usr/share/doc/chillispot/firewall.iptables /etc/init.d/chili.iptables

[root@chillispot ~]# chmod u+x /etc/init.d/chilli.iptables

- Bật chế độ IP packet forwarding trong file “/etc/sysctl.conf”.

[root@chillispot ~]# vim /etc/sysctl.conf

đổi “net.ipv4.ip_forward = 0” thành “net.ipv4.ip_forward = 1”
Để apply cấu hình forwarding packet vừa thiết lập, thực hiện lệnh sau:
[root@chillispot ~]#/sbin/sysctl -p


II. Cài đặt và cấu hình trên Server

2.1 Cài đặt apache
[root@chillispot ~]#yum install httpd

2.2 Cài đặt và cấu hình FreeRaudius server


FreeRaudius tham khảo tại http://www.freeradius.org/

[root@chillispot ~]#yum install freeraudius

File cấu hình freeraudius "radiusd.conf" có thể tìm thấy tại "/usr/local/etc/raddb/" hoặc "/etc/raddb/" tùy thuộc vào bản distro Linux bạn đang sử dụng.
Đảm bảo trong file cấu hình “raudiusd.conf”, cấu hình “authorize”, “authenticate” được thiết lập:
#vim etc/raddb/raudiusd.conf
authorize {
preprocess
mschap
suffix
eap
files
}
authenticate {
# MSCHAP authentication.
Auth-Type MS-CHAP {
mschap
}
# Allow EAP authentication.
eap
}

Sau đó thay đổi file “clients.conf” để chỉ định dải mạng sẽ phục vụ:

[root@chillispot ~]#vim /etc/raddb/clients.conf

# Here, we specify which network we're serving
client 192.168.0.0/24 {
# This is the shared secret between the Authenticator (the
# access point) and the Authentication Server (RADIUS).
secret = tuaninfo123456
shortname = testnet
}

“secret” là mã bảo mật giao tiếp giữa raudius và chillispot server,
ở đây “secret” là “tuaninfo123456”,

Thông tin người dùng được lưu trữ trong file plain text “users”, giải pháp khác các bạn có thể sử dụng SQL, LDAP, PDC,… trong trường hợp có cơ sở dữ liệu chứa account tập trung.
Sau đây ta sẽ tạo file “users” theo format sau:
"tuaninfo" User-Password == "secret_of_tuaninfo"

- Start dịch vụ raudius, sử dụng command line:
[root@chillispot ~]#/etc/init.d/raudiusd start

Chạy command line sau để dịch vụ tự động chạy sau khi khởi động:


[root@chillispot ~]#chkconfig radiusd on

2.3 Cài đặt và cấu hình chillispot

- Download file chillispot.xxx.rpm tại website http://www.chillispot.info
Wget http://www.chillispot.info/download/...1.1.0.i386.rpm
- Cài đặt
[root@chillispot ~]#rpm – ivh chllispot-XXX.rpm

- Cấu hình apache để yêu cầu username & password từ các wireless client:
[root@chillispot ~]#cp /usr/share/doc/chillispot-XX/hotspotlogin.cgi /var/www/cgi-bin/hotspotlogin.cgi

Sau đó nói với Chilli vị trí Server authentication bằng cách uncomment và edit dòng sau trên file “/etc/chilli.conf”

[root@chillispot ~]#vim /etc/chilli.conf
uamserver https://192.168.182.1/cgi-bin/hotspotlogin.cgi

Note: 192.168.182.1 là IP mặc định được Chilli cấp cho interface tun0 (interface ảo)
Cần sử dụng CHAP-Challenge & CHAP-Password để bảo vệ từ các cuộc tấn công “dictionary attack”. Để bảo vệ, uncomment dòng sau tại “/var/www/cgi-bin/hotspotlogin.cgi”
uamsecret ht2eb8ej6s4et3rg1ulp

- Restart lại chillispot để áp dụng các cấu hình vừa thay đổi:
[root@chillispot ~]#/etc/init.d/chilli restart



- Chỉ định Raudius Server:
Chỉ định vị trí của Raudius server trong file config “/etc/chillispot.conf”, bằng cách uncomment & edit dòng sau:

[root@chillispot ~]#vim /etc/chillispot.conf
radiusserver1 127.0.0.1
radiusserver2 127.0.0.1
radiussecret tuaninfo123456


Note: - Ở đây chilli cho phép ta chỉ định 2 vị trí raudius server, nếu Raudius Server đặt chung với Chilli server, ta sẽ sử dụng các thông số như trên (127.0.0.1).
- Thuộc tính “radiussecret” cần chỉ định mã là “tuaninfo123456” đã được nhắc ở phía trên.

- Restart chilli để các thay đổi trong file cấu hình chillispot được áp dụng:
[root@chillispot ~]#/etc/init.d/chilli restart


References:
- Setup FreeRaudius: http://tldp.org/HOWTO/8021X-HOWTO/freeradius.html
- Chillispot: http://www.chillispot.info/FAQ.html
- Cấu hình trên Ubuntu: http://www.multiplicity.dk/2006/10/chillispot-howto/

--
TABATECH
Cung cấp giải pháp lưu trữ cho doanh nghiệp. 

Giải pháp lưu trữ mềm dẻo, hỗ trợ đa nền tảng mạnh mẽ, kết nối dữ liệu đạt hiệu năng cao. Đảm bảo hệ thống được vận hành thông suốt trong quá trình sử dụng.

1. Giải pháp lưu trữ cho doanh nghiệp vừa và nhỏ
2. Giải pháp lưu trữ cho khối chính phủ và doanh nghiệp lớn
3. Giải pháp lưu trữ cho nhà cung cấp điện toán đám mây (Cloud Computing Strorage)

Chúng tôi sẵn sàng đồng hành cùng quý doanh nghiệp để mang lại những hỗ trợ hiệu quả nhất trong suốt quá trình vận hành hệ thống!

Mọi chi tiết xin liên hệ:

TA BA TUAN
Email:    tuantb@tabatech.vn
Mobile:  0949.242.832 hoặc 01638.369.743
Website: http://tabatech.vn
Địa chỉ: Số 56, Ngõ 126, Hào Nam, Phường Ô Chợ Dừa, Quận Đống Đa, Thành phố Hà Nội, Việt Nam.