Đang tải... (xem toàn văn)
Mục lục 1 1. Tổng quan về an toàn thông tin cho mạng không dây 4 1.1. Giới thiệu công nghệ mạng Internet không dây. 4 1.1.1. Ưu điểm của công nghệ mạng Internet không dây. 5 1.1.2. Nhược điểm của công nghệ mạng Internet không dây. 6 1.2. Thực trạng mất an ninh an toàn của mạng không dây 6 1.2.1. Khái niệm an ninh an toàn thông tin 6 1.2.2. Đánh giá vấn đề an toàn, bảo mật hệ thống 8 1.3. Phân loại mạng không dây 10 1.3.1. Khái niệm 10 1.3.2. Phân loại 11 1.4. Chuẩn IEEE 802.11 11 1.4.1. Tầng vật lý 12 1.4.2. Tầng con MAC 19 1.4.3. Kiến trúc mạng 26 1.4.4. Quá trình kết nối 29 2. Nghiên cứu và phân tích về đe dọa an toàn thông tin của mạng không dây 32 2.1. Các nguy cơ mất an ninh an toàn trong mạng không dây 32 2.1.1. Tấn công thụ động Passive attacks 33 2.1.2. Tấn công chủ động Active attacks 35 2.1.3. Tấn công vào cơ chế phản ứng MIC 42 2.1.4. Tấn công vào quá trình bắt tay 4bước 43 2.1.5. Tấn công dựa vào những lỗ hổng bảo mật trên mạng: 44 2.1.6. Sử dụng các công cụ để phá hoại: 48 2.1.7. Tấn công theo kiểu chèn ép Jamming attacks 49 2.1.8. Tấn công theo kiểu thu hút Man in the middle attacks 49 2.1.9. Tấn công vào các yếu tố con người 50 2.1.10. Một số kiểu tấn công khác 51 3. Nghiên cứu và hướng dẫn bảo mật dữ liệu trong mạng không dây 51 3.1. Phương pháp bảo mật WLAN dựa trên WEP 51 3.1.1. Vấn đề chứng thực 52 3.1.2. Vấn đề mã hóa 54 3.1.3. Cơ chế hoạt động của WEP 57 3.1.4. Những điểm yếu của WEP 59 3.2. Phương pháp bảo mật WLAN dựa trên VPN 65 3.3. Phương pháp bảo mật WLAN sử dụng TKIP hoặc AES 68 3.4. Phương pháp bảo mật WLAN sử dụng 802.1X và EAP 72 3.5. Phương pháp bảo mật WLAN sử dụng WPA 74 3.6. Phương pháp bảo mật WLAN sử dụng LỌC (Filltering) 81 4. Nghiên cứu và quản lý xác thực truy cập trong mạng không dây 83 4.1. Xác thực trong chuẩn 802.11 ban đầu 84 4.2. Xác thực dựa trên địa chỉ MAC 86 4.3. Xác thực trong chuẩn 802.11i 87 4.3.1. Chuẩn 802.1X 88 4.3.2. Giao thức xác thực mở rộng (EAP) 90 4.3.2. Xác thực trong WLAN dựa trên 802.1X 92 4.3.3. Xác thực trong chế độ khóa chia sẻ trước 95 5. Nghiên cứu và xây dựng hướng dẫn quản trị mạng không dây 97 5.1. Quản trị WLAN 97 5.2. Yêu cầu cho quản trị WLAN 97 5.3. Quản lý cấu hình 98 5.4. Chẩn đoán lỗi 98 5.5. Theo dõi sự thực thi 99 5.6. Cách sử dụng mạng 99 5.7. Gán chính sách 100 6. An toàn trong mạng không dây có đa điểm truy cập 101 6.1. Tổng quan về giải pháp mạng không dây có đa điểm truy cập của Cisco 101 6.1.1. Triển khai SingleController 102 6.1.2. Triển khai MultipleController 103 6.2. Phần mềm hệ điều hành 104 6.2.1. Hệ điều hành an toàn 104 6.2.2. Danh sách kiểm soát truy cập 106 6.3. Xác định mạng 106 6.3.1. Tích hợp nâng cao với Cisco Secure ACS 108 6.4. Các điều khiển Cisco Wireless LAN Controller 110 6.4.1 Bộ nhớ Cisco Wireless LAN Controller 110 6.4.2. Bảo vệ chuyển đổi dự phòng điều Cisco Wireless LAN Controller 111 6.4.3. Bộ tùy chọn thời gian tự động của Cisco Wireless LAN Controller 112 6.4.4. Vùng thời gian Cisco Wireless LAN Controller 112 Tài liệu tham khảo 113
HỢP ĐỒNG NGHIÊN CỨU XÂY DỰNG HƯỚNG DẪN SỬ DỤNG AN TOÀN THÔNG TIN CHO MẠNG KHÔNG DÂY Mục lục Mục lục 1 Tổng quan an toàn thông tin cho mạng không dây .4 1.1 Giới thiệu công nghệ mạng Internet không dây 1.1.1 Ưu điểm công nghệ mạng Internet không dây 1.1.2 Nhược điểm công nghệ mạng Internet không dây 1.2 Thực trạng an ninh an toàn mạng không dây 1.2.1 Khái niệm an ninh an toàn thông tin 1.2.2 Đánh giá vấn đề an toàn, bảo mật hệ thống .8 1.3 Phân loại mạng không dây 10 1.3.1 Khái niệm 10 1.3.2 Phân loại 11 1.4 Chuẩn IEEE 802.11 11 1.4.1 Tầng vật lý .12 1.4.2 Tầng MAC 19 1.4.3 Kiến trúc mạng 26 1.4.4 Quá trình kết nối 29 Nghiên cứu phân tích đe dọa an toàn thông tin mạng không dây 32 2.1 Các nguy an ninh an toàn mạng không dây .32 2.1.1 Tấn công thụ động - Passive attacks .33 2.1.2 Tấn công chủ động - Active attacks 35 2.1.3 Tấn công vào chế phản ứng MIC .42 2.1.4 Tấn công vào trình bắt tay 4-bước 43 2.1.5 Tấn công dựa vào lỗ hổng bảo mật mạng: .44 2.1.6 Sử dụng công cụ để phá hoại: 48 2.1.7 Tấn công theo kiểu chèn ép - Jamming attacks .49 2.1.8 Tấn công theo kiểu thu hút - Man in the middle attacks 49 2.1.9 Tấn công vào yếu tố người 50 2.1.10 Một số kiểu công khác .51 Nghiên cứu hướng dẫn bảo mật liệu mạng không dây 51 3.1 Phương pháp bảo mật WLAN dựa WEP 51 3.1.1 Vấn đề chứng thực 52 3.1.2 Vấn đề mã hóa 54 3.1.3 Cơ chế hoạt động WEP .57 3.1.4 Những điểm yếu WEP 59 3.2 Phương pháp bảo mật WLAN dựa VPN 65 3.3 Phương pháp bảo mật WLAN sử dụng TKIP AES 68 3.4 Phương pháp bảo mật WLAN sử dụng 802.1X EAP 71 3.5 Phương pháp bảo mật WLAN sử dụng WPA 74 3.6 Phương pháp bảo mật WLAN sử dụng LỌC (Filltering) 81 Nghiên cứu quản lý xác thực truy cập mạng không dây 83 4.1 Xác thực chuẩn 802.11 ban đầu .84 4.2 Xác thực dựa địa MAC 86 4.3 Xác thực chuẩn 802.11i 87 4.3.1 Chuẩn 802.1X 88 4.3.2 Giao thức xác thực mở rộng (EAP) 90 4.3.2 Xác thực WLAN dựa 802.1X 92 4.3.3 Xác thực chế độ khóa chia sẻ trước .95 Nghiên cứu xây dựng hướng dẫn quản trị mạng không dây .97 5.1 Quản trị WLAN .97 5.2 Yêu cầu cho quản trị WLAN 97 5.3 Quản lý cấu hình .98 5.4 Chẩn đoán lỗi 98 5.5 Theo dõi thực thi 99 5.6 Cách sử dụng mạng 99 5.7 Gán sách .100 An toàn mạng không dây có đa điểm truy cập 101 6.1 Tổng quan giải pháp mạng không dây có đa điểm truy cập Cisco 101 6.1.1 Triển khai Single-Controller 102 6.1.2 Triển khai Multiple-Controller 103 6.2 Phần mềm hệ điều hành 104 6.2.1 Hệ điều hành an toàn 104 6.2.2 Danh sách kiểm soát truy cập 106 6.3 Xác định mạng 106 6.3.1 Tích hợp nâng cao với Cisco Secure ACS 108 6.4 Các điều khiển Cisco Wireless LAN Controller 110 6.4.1 Bộ nhớ Cisco Wireless LAN Controller 110 6.4.2 Bảo vệ chuyển đổi dự phòng điều Cisco Wireless LAN Controller 110 6.4.3 Bộ tùy chọn thời gian tự động Cisco Wireless LAN Controller 111 6.4.4 Vùng thời gian Cisco Wireless LAN Controller 112 Tài liệu tham khảo 112 Tổng quan an toàn thông tin cho mạng không dây 1.1 Giới thiệu công nghệ mạng Internet không dây Mạng Internet từ lâu trở thành thành phần thiếu nhiều lĩnh vực đời sống xã hội, từ cá nhân hộ gia đình, đơn vị, doanh nghiệp dùng mạng Internet phục vụ cho công việc, học tập, hoạt động tổ chức kinh doanh, quảng bá v.v…cho đến hệ thống mạng Internet toàn cầu mà xã hội, giới hàng ngày hàng sử dụng Các hệ thống mạng hữu tuyến vô tuyến ngày phát triển, phát huy vai trò mạng Internet không dây lên phương thức truy nhập Inetrnet phổ biến dần thay cho mạng Internet có dây khó triển khai, lắp đặt Mặc dù mạng Internet không dây xuất từ nhiều thập niên năm gần đây, với bùng nổ thiết bị di động nhu cầu nghiên cứu phát triển hệ thống mạng Internet không dây ngày trở nên cấp thiết Nhiều công nghệ, phần cứng, giao thức, chuẩn đời tiếp tục nghiên cứu phát triển Mạng Internet không dây có tính linh hoạt, hỗ trợ thiết bị di động nên không bị ràng buộc cố định phân bố địa lý mạng Internet hữu tuyến Ngoài ra, ta dễ dàng bổ sung hay thay thiết bị tham gia mạng Internet mà không cần phải cấu hình lại toàn toplogy mạng Tuy nhiên, hạn chế lớn mạng Internet không dây khả bị nhiễu gói tin so với mạng Internet hữu tuyến Bên cạnh đó, tốc độ truyền vấn đề đáng để quan tâm Hiện nay, hạn chế dần khắc phục Những nghiên cứu mạng Internet không dây thu hút Viện nghiên cứu Doanh nghiệp giới Với đầu tư đó, hiệu chất lượng hệ thống mạng Internet không dây ngày nâng cao, hứa hẹn bước phát triển tương lai Trong hệ thống mạng Internet hữu tuyến, liệu nhận truyền từ máy chủ tới hệ thống Website thông qua dây cáp thiết bị trung gian Còn mạng Internet không dây, máy chủ truyền nhận thông tin từ Internet thông qua sóng điện từ, sóng radio Tín hiệu Internet truyền không khí khu vực gọi vùng phủ sóng Internet Thiết bị nhận Internet cần nằm vùng phủ sóng Internet thiết bị phát Internet nhận tín hiệu 1.1.1 Ưu điểm công nghệ mạng Internet không dây - Tính tiện lợi, di động: Cho phép người dùng truy xuất tài nguyên mạng Internet nơi đâu khu vực triển khai (công viên, nhà hay văn phòng), điều khó mạng Internet có dây khó triển khai lập tức, không động, khó nhiều khu vực không kéo dây được, nhiều thời gian, tiền v.v Tính di động tăng xuất tính kịp thời thỏa mãn nhu cầu thông tin mà mạng Internet hữu tuyến có - Tính hiệu quả: Người dùng trì kết nối mạng Internet họ từ nơi đến nơi khác phạm vi vùng phủ sóng mạng Internet không dây (trong tòa nhà, khu vực định) - Tiết kiệm chi phí lâu dài: Việc thiết lập hệ thống mạng Internet không dây ban đầu cần Accesspoint Accesspoint có kết nối với Internet thông qua Switch Modem Nhưng từ Accesspoint nhiều máy tính truy cập Internet, tiết kiệm chi phí nhiều so với phải kéo dây mạng Internet hữu tuyến, chi phí dài hạn có lợi môi trường động cần phải di chuyển thay đổi thường xuyên, chi phí thời gian tồn mạng Internet hữu tuyến thấp đáng kể so với mạng Internet không dây - Khả mở rộng: Mạng Internet không dây đáp ứng tức gia tăng số lượng người dùng (điều mạng Internet có dây phải lắp đặt thêm thiết bị,…) - Tính linh hoạt: Dễ dàng bổ xung hay thay thiết bị tham gia mạng mà không cần phải cấu hình lại toàn topology mạng 1.1.2 Nhược điểm công nghệ mạng Internet không dây - Bảo mật: Môi trường kết nối Internet không dây không khí -> khả bị công người dùng cao - Phạm vi: Một mạng chuẩn 802.11g với thiết bị chuẩn hoạt động tốt phạm vi vài chục mét, phạm vi thiết bị truy cập Internet nhận tín hiệu nhận tín hiệu yếu, ngắt quãng không đảm bảo - Chất lượng: Vì mạng Internet không dây sử dụng sóng vô tuyến để truyền thông nên việc bị nhiễu, tín hiệu bị giảm tác động thiết bị khác ( lò vi sóng ) không tránh khỏi - Tốc độ: Tốc độ mạng Internet không dây (1 – 125 Mbps) chậm so với mạng sử dụng cáp (100 Mbps đến hàng Gbps) 1.2 Thực trạng an ninh an toàn mạng không dây 1.2.1 Khái niệm an ninh an toàn thông tin An ninh an toàn thông tin (ANATTT) nghĩa thông tin bảo vệ, hệ thống dịch vụ có khả chống lại hiểm họa, lỗi tác động không mong đợi, thay đổi tác động đến độ an toàn hệ thống nhỏ Thực chất ANATTT không công cụ mà trình bao gồm sách liên quan đến tổ chức, người, môi trường bảo mật, mối quan hệ công nghệ để đảm bảo an toàn hệ thống mạng Hệ thống có đặc điểm sau không an toàn: Các thông tin liệu hệ thống bị người quyền truy nhập tìm cách lấy sử dụng (thông tin bị rò rỉ) Các thông tin hệ thống bị thay sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn)… Không thể đảm bảo ANATTT 100%, giảm bớt rủi ro không mong muốn Khi tổ chức, đơn vị tiến hành đánh giá rủi ro cân nhắc kỹ biện pháp đối phó ANATTT họ luôn đến kết luận: Những giải pháp công nghệ (kỹ thuật) đơn lẻ cung cấp đủ an toàn Những sản phẩm Anti-virus, Firewall công cụ khác cung cấp an toàn cần thiết cho hầu hết tổ chức ANATTT mắt xích liên kết hai yếu tố: yếu tố công nghệ yếu tố người - Yếu tố công nghệ: Bao gồm sản phẩm công nghệ Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành ứng dụng như: trình duyệt Internet phần mềm nhận Email từ máy trạm - Yếu tố người: Là người sử dụng máy tính, người làm việc với thông tin sử dụng máy tính công việc Con người khâu yếu toàn trình đảm bảo ANATTT Hầu phần lớn phương thức công hacker sử dụng khai thác điểm yếu hệ thống thông tin đa phần điểm yếu tiếc lại người tạo Việc nhận thức không tuân thủ sách ANATTT nguyên nhân gây tình trạng Đơn cử vấn đề sử dụng mật chất lượng, không thay đổi mật định kỳ, quản lý lỏng lẻo khâu yếu mà hacker lợi dụng để xâm nhập công 1.2.2 Đánh giá vấn đề an toàn, bảo mật hệ thống Để đảm bảo an ninh cho mạng, cần phải xây dựng số tiêu chuẩn đánh giá mức độ an ninh an toàn mạng Một số tiêu chuẩn thừa nhận thước đo mức độ an ninh mạng 1.2.2.1 Đánh giá phương diện vật lý 1.2.2.1.1 An toàn thiết bị Các thiết bị sử dụng mạng cần đáp ứng yêu cầu sau: - Có thiết bị dự phòng nóng cho tình hỏng đột ngột Có khả thay nóng phần toàn phần (hot-plug, hot-swap) - Khả cập nhật, nâng cấp, bổ sung phần cứng phần mềm - Yêu cầu đảm bảo nguồn điện, dự phòng tình điện đột ngột - Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ, vv 1.2.2.1.2 An toàn liệu - Có biện pháp lưu liệu cách định kỳ không định kỳ tình phát sinh - Có biện pháp lưu trữ liệu tập trung phân tán nhằm giảm bớt rủi ro trường hợp đặc biệt cháy nổ, thiên tai, chiến tranh, 1.2.2.2 Đánh giá phương diện logic Đánh giá theo phương diện chia thành yếu tố sau: 1.2.2.2.1 Tính bí mật, tin cậy Là bảo vệ liệu truyền khỏi công thụ động Có thể dùng vài mức bảo vệ để chống lại kiểu công Dịch vụ rộng bảo vệ liệu người sử dụng truyền hai người dùng khoảng thời gian Nếu kênh ảo thiết lập hai hệ thống, mức bảo vệ rộng ngăn chặn rò rỉ liệu truyền kênh Cấu trúc hẹp dịch vụ bao gồm việc bảo vệ tin riêng lẻ hay trường hợp cụ thể bên tin Khía cạnh khác tin bí mật việc bảo vệ lưu lượng khỏi phân tích Điều làm cho kẻ công quan sát tần suất, đặc điểm khác lưu lượng phương tiện giao tiếp 1.2.2.2.2 Tính xác thực Liên quan tới việc đảm bảo trao đổi thông tin đáng tin cậy Trong trường hợp tin đơn lẻ, ví dụ tín hiệu báo động hay cảnh báo, chức dịch vụ ủy quyền đảm bảo với bên nhận tin từ nguồn mà xác nhận Trong trường hợp tương tác xảy ra, ví dụ kết nối đầu cuối đến máy chủ, có hai vấn đề sau: thứ thời điểm khởi tạo kết nối, dịch vụ đảm bảo hai thực thể đáng tin Mỗi chúng thực thể xác nhận Thứ hai, dịch vụ cần phải đảm bảo kết nối không bị gây nhiễu thực thể thứ ba giả mạo hai thực thể hợp pháp để truyền tin nhận tin không cho phép 1.2.2.2.3 Tính toàn vẹn Cùng với tính bí mật, tính toàn vẹn áp dụng cho luồng tin, tin riêng biệt trường lựa chọn tin Một lần nữa, phương thức có ích dễ dàng bảo vệ toàn luồng liệu Một dịch vụ toàn vẹn hướng kết nối, liên quan tới luồng liệu, đảm bảo tin nhận gửi trùng lặp, chèn, sửa, hoán vị tái sử dụng Việc hủy liệu bao gồm dịch vụ Vì vậy, dịch vụ toàn vẹn hướng kết nối phá hủy thay đổi luồng liệu từ chối liệu Mặt khác, dịch vụ toàn vẹn không kết nối, liên quan tới tin riêng lẻ, không quan tâm tới hoàn cảnh rộng nào, cung cấp bảo vệ chống lại sửa đổi tin 1.2.2.2.4 Tính phủ nhận Tính phủ nhận bảo đảm người gửi người nhận chối bỏ tin truyền Vì vậy, tin gửi đi, bên nhận chứng minh tin thật gửi từ người gửi hợp pháp Hoàn toàn tương tự, tin nhận, bên gửi chứng minh tin thật nhận người nhận hợp lệ 1.2.2.2.5 Khả điều khiển truy nhập Trong hoàn cảnh an ninh mạng, điều khiển truy nhập khả hạn chế truy nhập với máy chủ thông qua đường truyền thông Để đạt việc điều khiển này, thực thể cố gắng đạt quyền truy nhập cần phải nhận diện, xác nhận cho quyền truy nhập đáp ứng nhu cầu người 1.2.2.2.6 Tính khả dụng, sẵn sàng Một hệ thống đảm bảo tính sẵn sàng có nghĩa truy nhập liệu lúc mong muốn vòng khoảng thời gian cho phép Các công khác tạo mát thiếu sẵn sàng dịch vụ Tính khả dụng dịch vụ thể khả ngăn chặn khôi phục tổn thất hệ thống công gây 1.3 Phân loại mạng không dây 1.3.1 Khái niệm Công nghệ không dây hiểu theo nghĩa đơn giản công nghệ cho phép thiết bị giao tiếp với mà không cần sử dụng đến dây dẫn Phương tiện truyền dẫn sóng điện từ truyền qua không khí 10 Những thiết bị quản lý mạng không dây, cung cấp Cisco Symbol, thăm dò thiết bị mạng từ mạng hữu tuyến để quan sát nét đặc trưng thuộc tính thiết bị đó, báo cho nhân viên kết thu Trong mức cao việc chuẩn đoán lỗi : việc theo dõi tốc độ xử lý máy, khảo sát thiết bị WLAN, phân tích kiểu dáng lưu lượng báo cáo thiết bị lỗi tạp nhiễu mức không khí dẫn đến làm tê liệt mạng không dây 5.5 Theo dõi thực thi Sau lần mạng hoạt động, người quản lý mạng phải theo dõi phân tích việc hoạt động WLAN bảo đảm mạng hoạt động tốt Những công cụ quản lý WLAN, Cisco WLSE, cung cấp vài thông tin thực thi từ mạng hữu tuyến Thêm vào đó, theo dõi tốc độ xử lý máy tính xác định thực thi phát sinh mà thấy từ không khí, tín hiệu bị hạ thấp từ chồng lấp kênh, can thiệp tầng số từ thiết bị có chuẩn 802.1x, lượng tải AP 5.6 Cách sử dụng mạng Nhiều việc chẩn đoán lỗi kiểm tra thực thi, trương mục cho việc sử dụng mạng thực việc nối gần tảng quản lý theo dõi 24x7 Những tảng quản lý mạng từ tảng giống Cisco Symbol kết nối trạm WLAN tới ứng dụng khác mạng cho mục đích tiến hành tạo trương mục Kiểm tra lưu lượng mạng WLAN thông qua sóng không khí cho phép người quản lý mạng kiểm tra việc sử dụng mạng công suất cao AP băng thông cao – trạm chi phối AP Điều cho phép người quản lý mạng có sơ đồ cho việc tăng công suất cần thiết đối phó với người dùng riêng lẻ lạm dụng WLAN để 99 tải xuống tập tin không liên quan đến công việc công ty, MP3, … 5.7 Gán sách Sự lòng cho sách qua WLAN ảnh hưởng đến hầu hết khía cạnh việc quản lý bảo mật mạng Các sách khống chế cấu hình, việc sử dụng, thiết lập bảo mật, giới hạn thực thi WLAN Tuy nhiên, sách bảo mật quản lý vô ích mạng đặt theo dõi cho sách ưng thuận tổ chức có bước hoạt động để gán sách Theo dõi tốc độ xử lý máy tính, theo dõi 24x7 lưu lượng không dây phát sinh vi phạm sách sau : • Những kẻ lừa đảo WLAN – bao gồm phần mềm cho AP • Không có chứng thực mã hóa • Những trạm không phép • Các mạng ngang hàng • Các SSID mặc định không thích hợp • Những AP trạm trung tâm kênh không phép • Lưu lượng thời gian cao điểm • Các đại lý phần cứng không cấp phép • Tỷ lệ liệu không cho phép • Những giới hạn thực thi biểu thị sức ổn định WLAN 100 An toàn mạng không dây có đa điểm truy cập 6.1 Tổng quan giải pháp mạng không dây có đa điểm truy cập Cisco Các giải pháp vệ mạng WLAN Cisco thiết kế để cung cấp giải pháp cho mạng không dây 802.11 cung cấp cho doanh nghiệp nhà cung cấp dịch vụ Giải pháp đưa yêu cầu mạng WLAN phải triển khai thiết kế cách đơn giản diện rộng mà đảm bảo an toàn kiến trúc hạ tầng Hệ điều hành quản lý quản lý tất liệu client, truyền thông, chức quản trị hệ thống, chức RRM, quản lý hệ thống với sách linh hoạt sử dụng giải pháp đảm bảo an toàn hệ điều hành phối hợp tất chức bảo mật sử dụng cách sử dụng framework đảm bảo an toàn hệ điều hành Giải pháp đảm bảo an toàn cho WLAN Cisco bao gồm hệ thống WLAN Controller điểm điều khiển truy cập hệ điều hành tất quản lý giao diện người dùng hệ điều hành Giao thức HTTP HTTPS đầy đủ tính giao diện người dùng web cung cấp Controller WLAN sử dụng để cấu hình giám sát theo dõi Controller riêng lẻ Hệ thống điều khiển mạng không dây Cisco (WCS) để sử dụng cấu hình giám sát WLAN Controller điểm truy cập WCS có công cụ thuận tiện cho việc giảm sát kiểm soát WCS chạy hệ điều hành Window window 2000, window server 2003, Red hat Enterprise, máy chủ linux khác Các chuẩn công nghiệp SNMP ver1, ver2, ver3 giao diện sử dụng với thiết bị SNMP hệ thống quản lý mạng hãng Giải pháp WLAN Cisco hỗ trợ dịch vụ liệu, giám sát điều khiển client Giải pháp WLAN sử dụng điểm truy cập lightweight, Controller WLAN Cisco tùy chọn WCS Cisco cung cấp dịch vụ không dây cho công ty nhà cung cấp dịch vụ 101 Hình 6.1 Miêu tả thành phần giải pháp WLAN Cisco, mô việc triển khai WLAN nhiều tầng, nhiều tòa nhà Hình 6.1 Các thành phần WLAN theo giải pháp Cisco 6.1.1 Triển khai Single-Controller Một Controller hỗ trợ đa điểm truy cập lightweight thông qua nhiều tầng tòa nhà theo mô phỏng, hỗ trợ số tính đây: - Tự động phát tự động cấu hình điểm truy cập Lightweight giống việc thêm thiết bị vào hệ thống mạng - Kiểm soát tất điểm truy cập Lightweight - Kiểm soát đầy đủ 16 sách WLAN (SSID) dòng Cisco 1000 (Lưu ý: Lightweight access point hỗ trợ tối đo sách WLAN) - Điểm truy cập Lightweight kết nối tới controller thông qua mạng Thiết bị mạng có không cung cấp nguồn điện điều khiển qua mạng POE tới điểm truy cập 102 Hình 6.2 Mô hình triển khai Single-Controller 6.1.2 Triển khai Multiple-Controller Mỗi Controller hỗ trợ điểm truy cập Lightweight thông qua nhiều tầng nhiều tòa nhà theo mô hình vẽ Tuy nhiên chức đầy đủ giải pháp WLAN thực hệ thống bao gồm multiple- Controllers Một hệ thống Multi-controller bổ sung thêm số tính sau: - Tự động phát tự động cấu hình tham số RF việc thêm Controller vào mạng - Chuyển vùng Same-Subnet(Layer 2) Inter-Subnet(Layer 3) - Tự động cân tải cho Controller dự phòng để cẩn tải giảm điểm truy cập Hình 6.3 Minh họa mô hình Multiple-Controller điển hình triển khai Mô hình cho thấy việc định lựa chọn quản lý mạng kiểu kết nối mạng Controllers 103 Hình 6.3 Mô hình triển khai Multi-Controllers 6.2 Phần mềm hệ điều hành Phần mềm điều hành điều khiển Controller WLAN Cisco sản phẩm Cisco 1000 Lightweight AP Bao gồm an toàn hệ điều hành an toàn tính RRM, danh sách kiểm soát truy cập 6.2.1 Hệ điều hành an toàn Hệ điều hành an toàn bao gồm thành phần an toàn lớp 1, lớp 2, lớp bên giải pháp WLAN, người quản lý sách tạo sách an toàn độc lập mà WLAN có tối đa 16 sách Điểm yếu WEP tĩnh 802.11 bị vượt qua sử dụng giải pháp an toàn chuẩn công nghiệp như: - Các khóa động theo chuẩn 802.1X với giao thức xác thực mở rộng - Các khóa động bảo vệ truy cập Wi-Fi Giải pháp WLAN Cisco triển khai WPA bao gồm: 104 + Giao thức toàn vẹn khóa thời gian (TKIP), kiểm tra lỗi mã toàn vẹn thông điệp khóa động + Các khóa WEP có cụm mật mã Pre-Shared + RSN có Pre-Shared + Thông qua thiết bị Cranite FIPS140-2 + Thông qua thiết bị Fortress FIPS140-2 + Lựa chọn lọc địa MAC Các vấn đề WEP giải sử dụng chuẩn công nghiệp giải pháp an toàn Lớp là: + Thiết bị đầu cuối thông qua VPN + Thiết bị đầu cuối thông qua giao thức đường hàm lớp (L2TP), sử dụng giao thức IPSec - Thiết bị đầu cuối thông qua giao thức IPSec Thiết bị đầu cuối giải pháp WLAN triển khai IPSec bao gồm: + Trao đổi khóa Internet (IKE) + Sử dụng nhóm trao đổi khóa Diffie Hellman + Sử dụng mức độ lựa chọn mã hóa: DES, 3DES, AES/CBC Triển khai giải pháp WLAN Cisco sử dụng tiêu chuẩn xác thực như: + Thuật toán mã hóa MD5 + Thuật toán hàm băm an toàn SHA-1 - Giải pháp WLAN Cisco hỗ trợ lọc địa MAC - Giải pháp WLAN Cisco hỗ trợ xác thực mật khẩu/người dùng - Giải pháp WLAN Cisco sử dụng tính Disabling trực tiếp tự động để khóa truy cập tới dịch vụ mạng 105 6.2.2 Danh sách kiểm soát truy cập Hệ điều hành cho phép xác định tối đa 64 Access Control Lists (ACL), tương tự tiêu chuẩn tường lửa Access Control Lists Mỗi ACL có đến 64 luật (lọc) Có thể sử dụng ACL để kiểm soát truy cập khách hàng cho nhiều máy chủ VPN mạng LAN không dây Nếu tất khách hàng mạng LAN không dây phải truy cập vào máy chủ VPN nhất, sử dụng IPSec / VPN Gateway Sau xác định, ACL áp dụng cho giao diện quản lý, giao diện AP-Manager, giao diện điều hành xác định Tham khảo Access Control Lists> trang web giao diện người dùng trực tuyến giúp để hướng dẫn cấu hình Access Control Lists 6.3 Xác định mạng Cisco LAN không dây điều khiển có thông số sau áp dụng cho tất máy khách liên kết với mạng LAN không dây đặc biệt: QoS, máy chủ DHCP, sách an toàn tầng tầng 3, giao diện mặc định (bao gồm cổng vật lý, VLAN ACL) Tuy nhiên, Cisco LAN không dây điều khiển có khách hàng cá nhân (địa MAC) ghi đè lên cài sẵn thông số mạng LAN không dây cách sử dụng MAC Filtering Cho phép thông số Override AAA Cấu hình sử dụng, ví dụ, để có tất khách hàng công ty đăng nhập vào mạng không dây công ty LAN, sau kết nối khách hàng sử dụng khác : QoS, máy chủ DHCP, sách an toàn tầng tầng 3, giao diện mặc định (bao gồm cổng vật lý, VLAN ACL) cài đặt địa MAC sở Khi nhà khai thác mạng LAN không dây giải pháp Cisco cấu hình MAC Filtering cho khách hàng, họ định VLAN khác cho địa MAC, sử dụng để có hệ thống tự động hoạt động định 106 tuyến lại khách hàng đến giao diện quản lý giao diện điều hành xác định, số có họ VLAN riêng, ACL, máy chủ DHCP, tập cổng vật lý Này MAC Filtering sử dụng phiên thô AAA Override, thường ưu tiên AAA (RADIUS khác) Ghi đè lên Tuy nhiên, AAA Override kích hoạt, RADIUS (hoặc AAA khác) máy chủ cách khác cấu hình để trở QoS ACL sở Địa MAC Cho phép AAA Override cho AAA Ghi đè lên ưu tiên thông số lọc MAC thiết lập Cisco LAN không dây điều khiển, ghi đè AAA sẵn sàng cho địa MAC định, hệ điều hành sử dụng MAC Lọc thông số có điều khiển mạng LAN không dây Cisco Này AAA (RADIUS khác) Ghi đè lên sử dụng phiên tốt AAA Override, ưu tiên MAC Filtering phép AAA Override kích hoạt Lưu ý trường hợp, thông số Override (điều hành định nghĩa giao diện QoS, ví dụ) phải xác định mạng LAN cấu hình điều khiển không dây Cisco Trong trường hợp, hệ điều hành sử dụng QoS ACL cung cấp máy chủ AAA MAC Filtering không phụ thuộc vào lớp / chứng thực lớp sử dụng Cũng lưu ý hệ điều hành di chuyển khách hàng từ mặc định giải pháp WLAN Cisco mạng LAN không dây VLAN cho VLAN khác cấu hình cho tính lọc MAC, 802.1X, / WPA Lớp xác thực Để cấu hình mạng WLAN Giải pháp mạng LAN không dây Cisco, tham khảo "Cấu hình mạng LAN không dây" 107 6.3.1 Tích hợp nâng cao với Cisco Secure ACS Các tính kết nối mạng dựa nhận dạng sử dụng xác thực, ủy quyền, kế toán (AAA) ghi đè lên Khi thuộc tính nhà cung cấp cụ thể sau có mặt truy cập RADIUS chấp nhận tin nhắn, giá trị ghi đè lên người diện hồ sơ cá nhân mạng LAN không dây: • Chất lượng dịch vụ QoS • Giá trị 802.1p • tên giao diện VLAN • Kiểm soát truy cập danh sách (ACL) Trong phiên này, hỗ trợ bổ sung cho máy chủ AAA để trả lại số VLAN tên cách sử dụng tiêu chuẩn "RADIUS giao VLAN tên / số" tính xác định IETF RFC 2868 (RADIUS Thuộc tính cho đường hầm Hỗ trợ Protocol) Để định khách hàng không dây để VLAN Đặc biệt, AAA máy chủ gửi thuộc tính sau để điều khiển việc tiếp cận chấp nhận tin nhắn: • IETF 64 (Tunnel Type): VLAN • IETF 65 (Tunnel Loại Trung Bình): 802 • IETF 81 (Tunnel Private Group ID): VLAN # VLAN Tên chuỗi Điều cho phép Cisco Secure ACS để giao tiếp thay đổi VLAN kết tư phân tích Lợi ích tính bao gồm: • Tích hợp với Cisco Secure ACS giảm cài đặt thiết lập thời gian • Cisco Secure ACS hoạt động trơn tru hai mạng có dây không dây Tính hỗ trợ 2000, 4100, 4400 điều khiển loạt 1000, 1130, 1200 1500 hàng loạt điểm truy cập nhẹ 108 Chuyển tập tin Mạng LAN không dây điều hành giải pháp Cisco tải lên tải mã hệ điều hành, cấu hình, giấy chứng nhận tập tin từ mạng LAN không dây điều khiển Cisco sử dụng lệnh CLI, Web tài lệnh giao diện, Cisco WCS Cấp nguồn qua Ethernet – POE (Power over ethernet) Hiện nay, PoE cung cấp nguồn 48VDC với công suất 12,95W qua cáp Cat5 dịch vụ Ethernet 10/100/1000Mbit/s tiêu chuẩn Để phù hợp với chuẩn IEEE 802.3af PoE, thiết bị cấp nguồn Ethernet phải định nghĩa, phân loại, có khả điều khiển trình khởi động đáp ứng yêu cầu cách ly nguồn liệu Các điểm truy cập, nhẹ nhận sức mạnh qua cáp Ethernet họ từ điện 802.3af tương thích over Ethernet (PoE) thiết bị, giảm chi phí nguồn cung cấp điện riêng biệt, hệ thống dây điện bổ sung, ống dẫn, cửa hàng, thời gian cài đặt PoE giải phóng trình cài đặt từ phải gắn kết 1000 series Cisco điểm truy cập nhẹ thiết bị hỗ trợ khác gần cửa hàng AC, cung cấp linh hoạt định vị Cisco 1000 series điểm truy cập nhẹ cho bảo hiểm tối đa Khi bạn sử dụng PoE, cài đặt chạy đơn cáp CAT-5 từ điểm truy cập nhẹ để thành phần mạng PoE trang bị, chẳng hạn trung tâm nguồn PoE giải pháp WLAN Cisco đơn-Line PoE Phun Khi thiết bị PoE xác định điểm truy cập nhẹ PoE kích hoạt, gửi 48 VDC cặp không sử dụng cáp Ethernet đến quyền lực điểm truy cập nhẹ Chiều dài cáp PoE bị hạn chế 100BASE-T 10BASE-T đặc điểm kỹ thuật đến 100 m 200 m, tương ứng 109 Các điểm truy cập, nhẹ nhận sức mạnh từ thiết bị 802.3af đồng thuận từ bên cung cấp điện 6.4 Các điều khiển Cisco Wireless LAN Controller Bộ điều khiển Cisco doanh nghiệp cấp cao hiệu suất chuyển đổi tảng không dây có hỗ trợ 802.11a 802.11b/802.11g giao thức Họ hoạt động kiểm soát hệ điều hành, bao gồm quản lý tài nguyên vô tuyến (RRM), tạo giải pháp Cisco WLAN tự động điều chỉnh để thay đổi thời gian thực môi trường 802.11 RF Các điều khiển xây dựng xung quanh mạng hiệu suất cao phần cứng bảo mật, dẫn đến doanh nghiệp 802.11 cao đáng tin cậy mạng lưới an ninh chưa có 6.4.1 Bộ nhớ Cisco Wireless LAN Controller Cisco LAN không dây điều khiển có hai loại nhớ: RAM dễ bay hơi, mà giữ nay, hoạt động Cisco LAN cấu hình điều khiển không dây, NVRAM (non-volatile RAM), chứa cấu hình khởi động lại Khi bạn cấu hình hệ điều hành mạng LAN không dây Cisco Điều khiển, bạn thay đổi RAM dễ bay hơi, bạn phải lưu lại cấu hình từ RAM dễ bay để NVRAM để đảm bảo mạng LAN không dây khởi động lại điều khiển Cisco cấu hình Biết nhớ bạn thay đổi quan trọng bạn là: • • • • • Sử dụng Configuration Wizard Xóa cấu hình điều khiển Nhớ cấu hình Cài đặt lại điều khiển Đăng nhập Trong số CLI 6.4.2 Bảo vệ chuyển đổi dự phòng điều Cisco Wireless LAN Controller Mỗi điều khiển Cisco LAN không dây có số quy định cổng giao tiếp cho Cisco 1000 hàng loạt điểm truy cập nhẹ Điều có nghĩa nhiều điều khiển với điểm truy cập không sử dụng cổng triển 110 khai mạng, điều khiển không thành công, truy cập giảm xuống tự động thăm dò ý kiến cho cổng điều khiển không sử dụng liên kết với họ Trong cài đặt, Cisco khuyến cáo kết nối tất điểm truy cập nhẹ để chuyên dụng điều khiển cấu hình điểm truy cập nhẹ cho hoạt động thức Bước cấu hình điểm truy cập nhẹ cho điều khiển mức 3, cho phép để lưu trữ cấu hình mạng WLAN Giải pháp di động thông tin Tập đoàn Trong trình phục hồi chuyển đổi dự phòng, điểm truy cập cấu hình nhẹ có địa IP từ địa phương DHCP server (chỉ hoạt động lớp 3), cố gắng liên lạc với điều khiển cấp 3, sau cố gắng liên hệ với địa IP điều khiển khác nhóm di động Điều ngăn cản điểm truy cập từ dành thời gian gửi tin nhắn bỏ phiếu mù, kết thời gian phục hồi nhanh Trong triển khai nhiều điều khiển, điều có nghĩa điều khiển không, giảm điểm truy cập khởi động lại làm sau theo đạo quản lý tài nguyên vô tuyến (RRM): • Có địa IP từ máy chủ DHCP địa phương (một mạng địa phương) • Nếu loạt điểm truy cập nhẹ Cisco 1000 có một, điều khiển trung học, đại học tiểu học phân công, cố gắng để kết hợp với điều khiển • Nếu điểm truy cập tiểu học, điều khiển học, đại học giao, nó, điều khiển trung học, đại học sẵn, cố gắng để kết hợp với điều khiển tổng thể subnet 6.4.3 Bộ tùy chọn thời gian tự động Cisco Wireless LAN Controller Mỗi điều khiển có thời gian tự thiết lập cấu hình để có thời gian từ Network Time Protocol 111 (NTP) máy chủ Mỗi địa IP máy chủ NTP thêm vào điều khiển sở liệu Mỗi điều khiển tìm kiếm cho máy chủ NTP có thời gian khởi động lại người dùng định nghĩa khoảng thời gian bỏ phiếu (hàng ngày đến hàng tuần) 6.4.4 Vùng thời gian Cisco Wireless LAN Controller Mỗi Cisco LAN không dây điều khiển có thời gian theo vùng tự thiết lập cấu hình để có thời gian từ nhiều Network Time Protocol (NTP) máy chủ Mỗi địa IP máy chủ NTP thêm vào mạng LAN sở liệu điều khiển không dây Cisco Mỗi điều khiển mạng LAN không dây Cisco tìm kiếm máy chủ NTP có múi khởi động lại người dùng định nghĩa (hàng ngày hàng tuần) khoảng thời gian bỏ phiếu Tài liệu tham khảo Tiếng Việt Phạm Huy Điển, Hà Huy Khoái (2003), Mã hóa thông tin sở toán học ứng dụng, Nhà xuất Đại học Quốc gia Hà Nội Phan Đình Diệu (1999), Lý thuyết mật mã an toàn thông tin, Đại học Quốc Gia Hà Nội, Hà Nội 112 Trịnh Nhật Tiến (2004), Bài giảng: “Một số vấn đề an toàn liệu” Nguyễn Thúy Vân (1999), Lý thuyết mã, Nhà xuất Khoa học kỹ thuật Tiếng Anh Aaron E Earle (2006), Wireless Security Handbook, Auerbach Publications Taylor & Francis Group, New York Cyrus Peikari, Seth Fogie (2002), Maximum Wireless Security, Sams Publishing, USA Jahanzeb Khan, Anis Khwaja (2003), Building Secure Wireless Networks with 802.11, Wiley Publishing, Indianapolis, Indiana Jon Edney, William A Arbaugh (2003), Real 802.11 Security: Wi-Fi Protected Access and 802.11i, Addison Wesley, Boston Lee Barken (2003), How Secure Is Your Wireless Network? Safeguarding Your Wi-Fi LAN, Prentice Hall PTR, New Jersey 10 P Nicopolitidis, M S Obaidat, G I Papadimitriou and A S Pomportsis (2003), Wireless Networks, John Wiley & Sons 11 Pejman Roshan, Jonathan Leary (2003), 802.11 Wireless LAN Fundamentals, Cisco Press, Cisco Wireless LAN Controller Configuration Guide, Indianapolis, Indiana 12 Wi-Fi Alliance (2003), Wi-Fi Protected Access: Strong, standardsbased, interoperable security for today’s Wi-Fi networks, USA 13 Wi-Fi Alliance (2004), Enabling the Future of Wi-Fi Public Access, USA 14 William Stallings (2003), Network security essentials: Applications and standards, Second Edition, Alan Apt 113