II. Wireless VLAN
2. Nguyên lý hoạt động
Nếu mạng VLAN phân các mạng con theo địa chỉ IP của máy tính kết nối thì mạng Wireless VLAN phân chia mạng con dựa vào các nhóm SSID mà người kết nối vào mạng sử dụng. Ta hãy phân tích mô hình sau
Hình 37: Mô tả quá trình hoạt động trong mạng Wireless VLAN
Giả sử có 4 nhóm người kết nối vào mạng với quyền truy cập khác nhau, khi đó AP sẽ cấp 4 loại SSID cho 4 nhóm đó ứng với các cổng VLAN và chính sách chứng thực khác nhau
SSID VLAN-Id Security Policy
Engineering 14 802.1x with Dynamic WEP + TKIP
Marketing 24 802.1x with Dynamic WEP + TKIP
HR 34 802.1x with Dynamic WEP + TKIP
Guest 44 Open/no WEP
3 nhóm đầu cần đảm bảo an ninh nên sử dung phương thức WEP có khóa mã hóa động kết hợp với sử dụng giải pháp TKPI, còn nhóm thứ tư là nhóm khách, không cần bảo mật nên có thể không dùng WEP hoặc dùng WEP mã khóa mở. Sau khi nhận được SSID thì AP sẽ chuyển cho Switch giá trị này để Switch phân chia vào các VLAN qua chuẩn kết nối Truck 802.11q. Một số loại Switch lớp 3 mới có thể thực hiện việc định tuyến thay cho router nên mô hình mạng trở nên khá đơn giản, không cần dùng router nữa.
- Khác với VLAN bản tin broadcast chỉ trong phạm vi từng mạng con riêng rẽ thì Wireless VLAN, vì yếu tố truyền sóng mà phải broadcast toàn bộ cho tất cả các mạng con và tạo điều kiện cho kẻ tấn công quét, bắt được các thông tin của các VLAN khác
- Kẻ tấn công có thể thay đổi SSID của nhóm này sang SSID của nhóm khác và sử dụng giá trị SSID để được tham gia vào mạng con mong muốn trên VLAN
Các từ viết tắt
AAA - Authentication Authorization Audit ACL - Access control lists
ACS - Access Control Server ACU - Aironet Client Utility
AES – Advanced Encryption Standard AP - Access point
APOP - Authentication POP BSS - Basic Service Set
BSSID - Basic Service Set Identifier CA - Certificate Authority
CCK - Complimentary Code Keying CDMA - Code Division Multiple Access
CHAP - Challenge Handshake Authentication Protocol
CMSA/CD - Carrier Sense Multiple Access with Collision Detection CRC - Cyclic redundancy check
CSMA/CA - Carrier Sense Multiple Access with Collision Avoidance CTS - Clear To Send
DES - Data Encryption Standard DFS - Dynamic Frequency Selection
DHCP - Dynamic Host Configuration Protocol DMZ - Demilitarized Zone
DOS - Denial of service
DRDOS - Distributed Reflection DOS DS - Distribution System
DSSS - Direct Sequence Spread Spectrum EAP - Extensible Authentication Protocol EAPOL - EAP Over LAN
ESS - Extended Service Set
ETSI - European Telecommunications Standards Institute FCC - Federal Communications Commissio
FHSS – Frequency Hopping Spread Spectrum GPS - Global Positioning System
HiperLAN - High Performance Radio LAN HTML -HyperText Markup Language HTTP - HyperText Transfer Protocol IBSS - Independent Basic Service Set ICMP -Internet Control Message Protocol ICV – Intergrity Check Value
IEEE - Institute of Electrical and Electronics Engineers IETF - Internet Engineering Task Force
IR - Infrared Light
IKE - Internet Key Exchange IP - Internet Protocol
IPSec - Internet Protocol Security IrDA - Infrared Data Association
ISDN -Integrated Services Digital Network ISM - Industrial Scientific and Medical ISP - Internet Service Provider
ITU - International Telecommunication Union IV - Initialization Vector
LAN - Local Area Network LCP – Link Control Protocol
LEAP - Light Extensible Authentication Protocol LLC - Logical Link Control
LOS - Light of Sight
MIC - Message Integrity Check
MSDU - Media Access Control Service Data Unit OCB - Offset Code Book
OFDM - Orthogonal Frequency Division OSI - Open Systems Interconnection OTP - One-time password
PAN - Person Area Network
PBCC - Packet Binary Convolutional Coding
PCMCIA - Personal Computer Memory Card International Association PDA - Personal Digital Assistant
PEAP - Protected EAP Protocol PKI-Public Key Infrastructure
PRNG - Pseudo Random Number Generator QoS - Quality of Service
RADIUS - Remote Access Dial-In User Service RF - Radio frequency
RFC - Request For Comment RTS - Request To Send SIG - Special Interest Group SSH - Secure Shell
SSID - Service Set ID SSL - Secure Sockets Layer STA - Station
SWAP - Standard Wireless Access Protocol
TACACS - Terminal Access Controller Access Control System TCP - Transmission Control Protocol
TFTP - Trivial File Transfer Protocol TKPI - Temporal Key Integrity Protocol TLS - Transport Layer Security
UDP - User Datagram Protocol UWB – Ultra Wide Band
UNII - Unlicensed National Information Infrastructure VLAN - Virtual LAN
WAN - Wide Area Network
WECA - Wireless Ethernet Compatibility WEP - Wired Equivalent Protocol
Wi-Fi - Wireless fidelity WLAN - Wireless LAN
Tài liệu tham khảo
1) Mạng máy tính và các hệ thống mở (Nguyễn Thúc Hải) 2) Bài giảng mạng máy tính (Phạm Thế Quế)
3) Wireless Local Area Netwozzrks (Pierfranco Issa 1999) 4) Designing A Wireless Network (Syngress Publishing 2001) 5) Building A Cisco Wireless LAN (Syngress Publishing 2002)
6) Building Wireless Community Networks (O'Reilly 2002)
7) Configuring the Cisco Wireless Security Suite (Cisco System 2002) 8) Wireless Security and Privacy: Best Practices and Design Techniques
(Addison Wesley 9/2002)
9) Building Secure Wireless Networks with 802.11 (Wiley Publishing 2003) 10) Wireless Security: Critical Issues and Solutions (Craig J. Mathias 2003)