Quỏ trỡnh triển khai sẽ được thực hiện thụng qua cỏc bước, ở đõy đang
đề cập đến kết nối mạng khụng dõy nờn tụi sẽ tập trung nhiều vào cỏc phần
đú.
Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy
Xõy dựng mụ hỡnh mạng phi quõn sự DMZ, tỏch biệt cỏc mỏy chủ ra khỏi mạng Intranet của mọi người sử dụng trong trường tới một khu vực riờng (DMZ). Cú một Firewall server kiểm soỏt quỏ trỡnh trao đổi giữa 2 khu vực này. Làm như vậy để đảm bảo an toàn cho cỏc mỏy chủ đồng thời ngăn chặn việc người bờn ngoài cú thể truy cập vào cỏc mỏy bờn trong mạng nội bộ sau này
Mụ hỡnh kết nối như hỡnh 3.1
Hỡnh 3.1 :Mụ hỡnh mạng LAN kết nối với mạng DMZ
- Người dựng bờn trong mạng LAN truy cập vào hệ thống cỏc mỏy chủ
như Web server, Mail server, Data server trong mạng phi quõn sự DMZ thụng qua sự kiểm soỏt của Firewall server và đảm bảo kết nối này trong suốt.
101
Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy
Xõy dựng mạng kết nối khụng dõy WLAN trong trường. Giả sử chỳng ta sẽ triển khai trong một khoảng khụng gian 100m x 100m = 10.000 m2, trong
đú ở trung tõm là thư viện điện tử diện tớch khoảng 50m x 50m = 2.500m2, khụng gian trống xung quanh cú thể là thảm cỏ, cõy xanh. Như vậy để phủ
súng được diện tớch này, đảm bảo được tốc độ truyền dữ liệu cao và đó xột tới cỏc yếu tố trong nhà (indoor) và ngoài trời (outdoor), xột đến số người sử
dụng trờn 1 AP, tụi đưa ra số lượng AP sử dụng là 4, mụ hỡnh 3.2
100
m
50m 100m
Hỡnh 3.2 : Xõy dựng mạng kết nối khụng dõy WLAN trong trường
Nếu định mức mỗi AP cú thể phục vụ tối đa khoảng 30 STA một lỳc thỡ mụ hỡnh 4 AP cú thể phục vụ cho khoảng trờn 100 người trong một lỳc (tớnh cả những phần phủ súng chung của cỏc AP).
Giải phỏp an ninh ở đõy mà tụi đưa ra là
- Sử dụng VLAN phõn chia nhúm người sử dụng thụng qua giỏ trị SSID.
Đối tượng phục vụ cú thể chia ra làm 4 nhúm:
+ Cỏn bộ cụng tỏc tại trường, chủ yếu là cỏc giảng viờn. Sử dụng SSID là “professor”
Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy
+ Nghiờn cứu sinh, học viờn cao học. Sử dụng SSID là “research” + Sinh viờn, số lượng đụng đảo. Sử dụng SSID là “student”
+ Đối tượng ngoài, cú thể là khỏch, cỏn bộ trường khỏc đến cụng tỏc ở
trường trong một thời gian. Sử dụng SSID là “guest”
LAN RADIUS Server Access Point Access Point Access Point Access Point Router Switch VLAN
Hỡnh 3.3: Sử dụng VLAN phõn chia nhúm người sử dụng
Sau khi phõn chia thành cỏc nhúm, AP sẽ chuyển yờu cầu thực hiện chứng thực giữa người dựng và RADIUS server. Người dựng của cỏc nhúm professor, research và student phải đó đăng ký tài khoản truy cập và thụng tin
đú được lưu trờn cơ sở dữ liệu của RADIUS Server, riờng nhúm guest thỡ khụng cần chứng thực, tất nhiờn là nguồn tài nguyờn mà họ được truy cập cũng hạn chế.
- Sử dụng mó húa bằng Cisco-LEAP cho quỏ trỡnh chứng thực vỡ giải phỏp này cú nhiều ưu điểm, hơn nữa giải phỏp này là của Cisco nờn nú hoàn toàn tương thớch với cỏc thiết bị của Cisco.
- Quỏ trỡnh mó húa dữ liệu sử dụng mó húa WEP cú bổ xung thờm giải phỏp 2 giải phỏp của TKIP là thờm trường kiểm tra sự toàn vẹn của bản tin
103
Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy
MIC và thay đổi mó khúa theo từng gúi tin Per packet keying. Với 2 giải phỏp này cú thểđảm bảo trỏnh được sự mất an toàn mó húa dữ liệu.
3.3.3. Bước 3
Xõy dựng kết nối từ trường tới nhà cung cấp dịch vụ Internet theo 2 chiều kết nối từ trong ra Internet và từ Internet đi vào, kết nối này được thực hiện thụng qua Bridge giữa 2 đầu.
- Người dựng bờn trong mạng LAN truy cập Internet bờn ngoài thụng qua đường viba nối giữa trường đại học và ISP
- Đường viba này cũng cho phộp người dựng bờn ngoài Internet truy cập vào hệ thống cỏc mỏy chủ của trường (hệ thống đặt trong DMZ)
Mụ hỡnh kết nối như hỡnh 3.4 Internet ISP University building RADIUS Server `
Wireless Bridge Wireless Bridge
Hỡnh 3.4: Kết nối từ trường tới nhà cung cấp dịch vụ Internet
Khỏc với kết nối khụng dõy của mạng WLAN ở trờn, kết nối khụng dõy này chỉ là “cầu nối” giữa 2 điểm, vỡ thế khụng cú nhiều user khi chứng thực, và quỏ trỡnh chứng thực cũng ớt xẩy ra vỡ kết nối này được duy trỡ 24/24. Vỡ vậy cú thể dựng một giải phỏp chứng thực bỡnh thường như WEP. Chỳng ta
Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy
chỉ cần tập trung đảm bảo việc mó húa dữ liệu truyền giữa 2 điểm vỡ lượng dữ
liệu này cú lưu lượng lớn. Giải phỏp mó húa dữ liệu của tụi đề ra ở đõy cũng giống như cho WLAN ở trờn nghĩa là WEP cú bổ xung TKIP bao gồm MIC và Per packet keying.
3.3.4. Bước 4
Phối ghộp cỏc phần mà đó thực hiện ở 3 bước trờn với nhau thành một mụ hỡnh tổng thể. Mụ hỡnh kết nối như hỡnh 3.5
105
Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy