Εγκατάσταση και παραμετροποίηση μηχανισμών ασφάλειας FreeRADIUS / MySQL - FreeRADIOUS / LDAP - OpenVPN - WiKID - PhoneFactor

Abstract

Η διπλωματική αυτή εργασία αποτελείται από πέντε ξεχωριστές ενότητες, που η καθεμία περιγράφει την εγκατάσταση και παραμετροποίηση διαφορετικών μηχανισμών ασφαλείας, όπου ως αυτόνομοι ή συνδυασμένοι μεταξύ τους, είναι απαραίτητοι ώστε να παρέχουν τη μέγιστη ασφάλεια σε χρήστες διάφορων υπηρεσιών στις καθημερινές απαιτήσεις αυθεντικοποίησης τους. Στο πρώτο κεφάλαιο περιγράφεται η εγκατάσταση και παραμετροποίηση του μηχανισμού αυθεντικοποίησης FreeRADIUS, όπου χρησιμοποιεί τη βάση δεδομένων MySQL και για τη διαχείρισή της χρησιμοποιείται η δικτυακή κονσόλα phpMyAdmin. Η εγκατάσταση έγινε σε ένα τοπικό δίκτυο υλοποιώντας ένα σενάριο πρόσβασης σε ένα Wi-Fi Access Point, χρησιμοποιώντας αυθεντικοποίηση των χρηστών μέσω των πρωτοκόλλων PAP, CHAP και EAP-TLS. Στην αυθεντικοποίηση μέσω πρωτόκολλου EAP-TLS, χρησιμοποιούνται μόνο ψηφιακά πιστοποιητικά, χρησιμοποιώντας τη βιβλιοθήκη κρυπτογράφησης OpenSSL για τη δημιουργία τους. Στο δεύτερο κεφάλαιο περιγράφεται η εγκατάσταση και παραμετροποίηση του μηχανισμού αυθεντικοποίησης FreeRADIUS, όπου χρησιμοποιεί το πρωτόκολλο LDAP (Light Directory Access Protocol). Η βάση δεδομένων του OpenLDAP που έχει εγκατασταθεί στον ίδιο εξυπηρετητή, γίνεται ευκολότερα διαχειρίσιμη εγκαθιστώντας τη δικτυακή κονσόλα phpLDAPAdmin. Οι υπηρεσίες καταλόγου βασίζονται σε μία βάση δεδομένων, η οποία οργανώνει τις εγγραφές και παρέχει βελτιστοποιημένες διαδικασίες ανάγνωσης και αναζήτησης δεδομένων. Στο τρίτο κεφάλαιο αναλύεται ο μηχανισμός δύο παραγόντων αυθεντικοποίησης WiKID, που χρησιμοποιείται ως λογισμικό παραγωγής κωδικών μιας χρήσης OTP (One Time Password). Ο πρώτος παράγοντας αυθεντικοποίησης είναι το PIN (Personal Identification Number) του αντίστοιχου κάθε φορά τομέα WiKID που ανήκει και πρέπει να γνωρίζει ο χρήστης και ο δεύτερος παράγοντας είναι ο εξαφήφιος κωδικός μίας χρήσης OTP που δημιουργείται με χρονική περίοδο λήξης. Γίνεται αναλυτική περιγραφή της εγκατάστασης του WiKID εξυπηρετητή και του WiKID πελάτη και στη συνέχεια γίνεται έλεγχος αυθεντικοποίησης με την εφαρμογή NTRadPing, μέσω πρωτοκόλλου RADIUS που είναι εγκατεστημένο ως υπηρεσία στον WiKID εξυπηρετητή. Στο τέταρτο κεφάλαιο γίνεται ανάλυση της εγκατάστασης και παραμετροποίησης του λογισμικού OpenVPN, όπου εφαρμόζει τεχνικές εικονικών ιδιωτικών δικτύων VPN (Virtual Private Network) και βασίζεται στην εγκατάσταση ενός SSL (Secure Sockets Layer) τούνελ εικονικού ιδιωτικού δικτύου (VPN tunnel). Χρησιμοποιείται για τη δημιουργία ασφαλών συνδέσεων από σημείο σε σημείο ή από τοποθεσία σε τοποθεσία. Χρησιμοποιεί ένα προσαρμοσμένο πρωτόκολλο ασφάλειας που χρησιμοποιεί πρωτόκολλο SSLv3/TLSv1 για την ανταλλαγή κλειδιών. Για τη δημιουργία κλειδιών και ψηφιακών πιστοποιητικών χρησιμοποιήθηκε εκτενώς η βιβλιοθήκη κρυπτογράφησης OpenSSL. Στο πέμπτο κεφάλαιο περιγράφεται ο μηχανισμός πολλαπλών παραγόντων αυθεντικοποίησης PhoneFACTOR. Ο μηχανισμός PhoneFACTOR χρησιμοποιεί αυτοματοποιημένες τηλεφωνικές κλήσεις ή SMS σε σταθερά και κινητά τηλέφωνα, για την εξακρίβωση της ταυτότητας των χρηστών και την πρόσβαση τους σε διάφορες εφαρμογές που απαιτούν αυθεντικοποίηση. Χρησιμοποιώντας τον τηλεφωνικό αριθμό του χρήστη (πρώτος παράγοντας), ένα PIN (δεύτερος παράγοντας) που γνωρίζει ο χρήστης ή/και το βιομετρικό χαρακτηριστικό της φωνή του (τρίτος παράγοντας), ο μηχανισμός υποστηρίζει αυθεντικοποίηση δύο ή τριών παραγόντων αντίστοιχα. Γίνεται περιγραφή της παραμετροποίησης του PhoneFACTOR Agent και της διαχειριστικής κονσόλας του server. Επίσης περιγράφεται ένα σενάριο αυθεντικοποίησης τεσσάρων παραγόντων που υλοποιήθηκε στην πρώτη περίπτωση, χρησιμοποιώντας το συνδυασμό των δύο μηχανισμών αυθεντικοποίησης PhoneFACTOR και WiKID, για την πρόσβαση του χρήστη στο απομακρυσμένο VPN δίκτυο που βρίσκεται ο OpenVPN server. Στη δεύτερη εναλλακτική περίπτωση, χρησιμοποιούνται οι δύο μηχανισμοί PhoneFACTOR και FreeRADIUS με βάση LDAP χρησιμοποιώντας αυθεντικοποίηση τριών παραγόντων, για την πρόσβαση του χρήστη στο απομακρυσμένο VPN δίκτυο που βρίσκεται ο OpenVPN server.