Một số ứng dụng của mạng không dây

Một phần của tài liệu luận văn thạc sĩ bảo mật wlan và ứng dụng (Trang 76 - 94)

4.1.1. Gii pháp cho văn phòng di động

Với sự xuất hiện và phát triển của công nghệ mạng không dây, các văn phòng làm việc đã thực sự trở thành 1 Văn phòng Mở. Các kết nối mạng người dùng được duy trì một cách dễ dàng, liên tục mà không phụ thuộc vào sự thay đổi vị

trí làm việc hay sự bổ sung các điểm kết nối mới.

Giải pháp này không chỉ đơn thuần là tăng khả năng trao đổi thông tin ở

trong Văn phòng mà còn giúp người sử dụng nâng cao năng lực làm việc và hiệu quả kinh doanh.

Hình 4.1: Giải pháp cho văn phòng di động

Mỗi Wireless Access Point hoạt động như là một điểm trung tâm để kết nối tới các máy trạm sử dụng card không dây. Tầm phủ sóng của một Access Point đơn lẻ (trong văn phòng) khoảng 30 mét.

Các Access Point được liên kết với nhau bằng một thiết bị chuyển mạnh (Switch), điều đó có nghĩa là một mạng có thể bao gồm nhiều Access Point hoạt

động cùng với nhau để mở rộng phạm vi phủ sóng.

4.1.2. Gii pháp liên kết các mng (Building-to-Building)

Đối với nhiều Tổ chức và doanh nghiệp lớn, ngoài Văn phòng chính còn có rất nhiều các văn phòng chi nhánh, nhu cầu liên kết các Hệ thống mạng thành viên với Hệ thống mạng trung tâm được xem như 1 điều kiện tiên quyết cho việc đồng bộ hoá phương thức Quản lý và các trao đổi thông tin, dữ liệu hoạt động.

Với các phương thức kết nối mạng truyền thống đòi hỏi 1 chi phí rất cao và các đường dây kết nối đỏi hỏi nhiều công thi công cũng như những chi phí bảo dưỡng. Phương thức kết nối thông qua đường điện thoại công cộng đã đáp ứng được phần nào nhu cầu này nhưng lại có tốc độ quá thấp so với 1 đường truyền không dây thông thường sử dụng chuẩn IEEE802.11b.

Sự lựa chọn là không bắt buộc, nhưng giải pháp kết nối không dây hiện nay

đang được xem là giải pháp hợp lý nhất và kinh tế nhất cho các doanh nghiệp lớn, các khu công nghiệp, các Bộ - Ban - Ngành trong việc liên kết các mạng thông tin.

Hình 4.2: Liên các các mạng khoảng cách xa

Các thiết bị mạng không dây cũng cho phép người dùng thực hiện các phương thức kết nối:

• Đim – nhiu đim (Point – to – MultiPoint) 4.1.3. Đim truy cp mng Công cng (Hotspot)

Giải pháp này đặc biệt phù hợp với các nhà cung cấp dịch vụ Internet như: Các ISP: cung cấp dịch vụ truy cập internet công cộng cho các điểm công cộng như: Sân bay, Nhà ga, Trường học, Bệnh viện, Trung tâm Hội nghị, Triển lãm, Sân vận động, ....

Các khách sạn, nhà hàng: cung cấp dịch vụ Internet tới từng phòng như: Guest Room, Lobby, Meeting room, Restaurant,...

Các toà nhà thương mại: cung cấp dịch vụ truy cập internet cho các Văn phòng cho thuê, các khách hàng,...

...v..v...

Tại mỗi điểm cung cấp dịch vụ truy cập Internet không dây này, nhà cung cấp dịch vụ đặt các Access Point, hoặc các Antenna thu phát tín hiệu, cho phép những khách hàng có máy tính xách tay hoặc thiết bị di động có tích hợp công nghệ

không dây Wi-Fi truy cập Internet mà không cần dây dẫn. Công nghệ Zero- Configuration được áp dụng nhằm nâng cao tính bảo mật và tạo điều kiện thuận lợi nhất cho người sử dụng trong việc đăng nhập (thông thường người dùng được cung cấp 1 Account đểđăng nhập vào mạng mà không cần phải thay đổi bất kỳ một thiết lập cấu hình nào trong thiết bị của mình như: IP, DNS, Gateway, Subnet mask,...).

Để đáp ứng những yêu cầu đăng nhập sử dụng, các nhà cung cấp tích hợp các thiết bị như: PMS (Property Management System), Billing Server, Radius Server,... để cung cấp, quản lý các account truy cập và tính cước truy cập.

Hình 4.3: Các điểm truy cập mạng công cộng

4.2. H thng LAN không dây trong trường ĐH Kinh Tế Quc Dân Thiêt kế cơ bn Thiêt kế cơ bn Internet Service Provider Server Farms RADIUS Corporate LAN(s) Universities Schools MDU/MTU Airports Train Stations Hotels Restaurants Malls Backbone: leased line, DSL, Cable, Wireless...

Bng phân b thiết b h thng Wireless

Hệ thống Wireless của trường ĐH KTQD bao gồm các thiết bị sau:

01 Cisco Wireless LAN Controllers 5508 (WLC) • Dùng đểđiều khiển các Access Poin tập trung

• Xử lý các thuật toán và tối ưu RF

• Cung cấp khả năng bảo mật và quản trị tính di động

01 Cisco Secure Access Control Server (CSACS) 1120 Appliance: • Cung cấp xác thực đối với người dung

• Tăng cường khả năng bảo mật.

01 Server cài phần mềm Cisco Wireless LAN Control System Software

WCS-STANDARD-K9:

• Hệ thống quản trị các Wireless LAN Controller và Access Point

• Cho phép quản trị thiết bị và cấu hình các chính sách an toàn an ninh trong mạng

• Hỗ trợ SNMP và syslog

10 Cisco Aironet 1300 Outdoor Access Point: Các điểm truy nhập được bố

trí ngoài trời, phủ sóng truy nhập cho khu vực khuôn viên trường

55 Cisco Aironet 1300 Indoor Access Point: Các Các điểm truy nhập được

bố trí trong nhà, phủ sóng truy nhập cho các phòng làm việc, giảng đường, phòng họp

Bng phân b s lượng và v trí Access Point Đại hc KTQD

STT Tòa nhà Đ.V.T Wifi Indoor Wifi Outdoor

1 Building 7 Bộ 8 3 2 Building 12 Bộ 2 1 3 Building D Bộ 6 0 4 Building 5 Bộ 2 0 5 Building 9 Bộ 2 0 6 Building A Bộ 5 0 7 Library Bộ 3 1 8 Building 14 Bộ 1 0 9 Building 6B Bộ 1 0 10 Building 10 Bộ 4 1 11 Building B Bộ 4 1 12 Building 6 Bộ 6 0 13 Building 11 Bộ 1 1 14 Building C Bộ 4 1 15 Building D2 Bộ 6 1 Tng cng B55 10

Các Access Point được đặt tên theo vị trí lắp đặt để thuận lợi cho việc quản trị. Cách đặt tên như sau:

Building(Tòa nhà)-In/Out-(Tầng)(Số AccessPoint)

Bng chi tiết tên Access Point Tên

thiết bSTT Tên Qun trMAC

V Trí lp đặt (Tòa nhà)

S

1 BuildingC-Out-21 7081053A73CE C 1 2 2 BuildingB-Out-21 7081053A78CE B 1 2 3 BuildingD2-Out-21 7081053A73BA D2 1 2 4 Library-Out-21 7081053A73E4 Thư viện 1 3 5 Building7-Out-21 7081053A7474 6 Building7-Out-22 7081053A73E0 2 2 7 Building7-Out-23 7081053A7484 7 1 Đầu hồi 8 Building12-Out-21 7081053A789A 12 1 2 9 Building10-Out-31 7081053A73FE 10 1 3 10 11 Không lắp Outdoor AP Tổng 9 1 BuildingC-In-11 7081058FEADC 2 BuildingC-In-12 44D3CA4490E2 2 1 3 BuildingC-In-31 44D3CAE5A664 4 BuildingC-In-32 44D3CA4490AA C 2 3 5 BuildingB-In-11 44D3CAE5A600 6 BuildingB-In-12 7081058FE990 2 1 7 BuildingB-In-31 44D3CAE5A594 8 BuildingD-In-32 44D3CA449996 B 2 3 9 BuildingD-In-11 44D3CA449A38 10 BuildingD-In-12 7081058FEABC 2 1 11 BuildingD-In-31 44D3CAE5A5E8 12 BuildingD-In-32 44D3CAE5A57C 2 3 13 BuildingD-In-51 44D3CAE5A656 14 BuildingD-In-52 44D3CA449082 D 2 5 15 BuildingD2-In-11 44D3CAE5A5A4 Indoor AP 16 BuildingD2-In-12 44D3CAE5A5AA D2 2 1

17 BuildingD2-In-31 44D3CAE5A6DA 18 BuildingD2-In-32 44D3CA4499B0 2 3 19 BuildingD2-In-51 44D3CAE5A62A 20 BuildingD2-In-52 44D3CAE5A650 2 5 21 Library-In-11 44D3CAE5A540 22 Library-In-12 44D3CAE5A772 2 2 23 Library-In-31 44D3CA449140 Thư viện 1 3 24 Building9-In-11 44D3CAE5A7DE 1 1 25 Building9-In-21 44D3CA44903C 9 1 2 26 Building7-In-11 44D3CAE5A7B4 27 Building7-In-12 44D3CAE5A6B2 2 1 28 Building7-In-21 44D3CAE5A6D2 29 Building7-In-22 44D3CAE5A60A 2 2 30 Building7-In-31 44D3CAE5A6AA 31 Building7-In-32 44D3CA449D5C 2 3 32 Building7-In-41 7081058FEB32 33 Building7-In-42 44D3CAE5A65A 7 2 4 34 Building6-In-11 44D3CAE5A5D8 35 Building6-In-12 44D3CAE5A646 2 1 36 Building6-In-21 44D3CAE5A5BC 37 Building6-In-22 44D3CAE5A7CC 2 2 38 Building6-In-31 44D3CAE5A672 1 3 39 Building10-In-41 44D3CAE5A64A 6 1 4 40 Building10-In-11 44D3CAE5A6D0 41 Building10-In-12 44D3CAE5A62E 2 1 42 Building10-In-31 44D3CA449050 1 3 43 Building10-In-41 44D3CA449184 10 1 4

45 Building12-In-11 44D3CAE5A5D4 46 Building12-In-12 44D3CA4490B0 12 2 1 47 Building14-In-11 44D3CAE5A670 14 1 1 48 BuildingA-In-11 7081058FE9BC 49 BuildingA-In-12 44D3CAE5A762 50 BuildingA-In-13 44D3CAE5A6C4 51 BuildingA-In-14 44D3CAE5A5DE 52 BuildingA-In-15 44D3CA449988 A 5 1 53 Building5-In-11 44D3CA449D5E 1 1 54 Building5-In-12 44D3CAE5A608 5 1 2 55 BuildingA3-In-11 7081058FEB52 A3 1 1 Tổng 54

4.2.3. Mô t h thng Wireless Mô t chung Mô t chung

Hệ thống Wireless sẽ cung cấp dịch vụ kết nối tới mạng LAN và Internet cho

toàn bộ người dùng có nhu cầu kết nối qua mạng Wifi. Hệ thống Wireless

được thiết nhằm thực hiện các chức năng chính như sau:

• Hỗ trợ người dùng trong trường truy cập vào hệ thống mạng LAN và Internet. Tất cả cán bộ nhân viên, sinh viên trong trường và khách đều có thể truy cập vào mạng Internet một cách dễ dàng và tiện lợi

• Module Wireless được xây dựng bằng việc sử dụng Wireless LAN Controller để quản lý các thiết bị truy nhập vô tuyến đặt tại trong trường

Toàn bộ các Access Point phát 3 SSID đáp ứng từng nhóm người dùng

riêng:

• Các User là Cán bộ công nhân viên, giảng viên muốn truy cập Wifi của trường sẽ kết nối thông qua SSID “ NEU – Staffs ”

• Các User là Sinh viên muốn truy cập Wifi của trường sẽ kết nối thông qua SSID “NEU – Students” .

• Các User là Khách muốn truy cập Wifi của trường sẽ kết nối thông qua SSID “NEU – Guest”

Hình 4.4: Mô hình người dùng

Mỗi SSID sẽ tương ứng với các Vlan khác nhau. Việc phân chia nhóm truy

cập không dây thành các Vlan để tiện lợi trong việc quản lý, điều khiển truy cập

Bảng phân bổđịa chỉ IP cho từng nhóm người dùng Wifi Subnet

STT Tên SSID

Network Subnet Mask Ghi chú

1 NEU - Students 172.16.0.0 255.255.224.0

Subnet cấp cho Cán bộ nhân viên, Giảng viên kết nối đến hệ

thống Wifi trường

2 NEU - Staffs 172.16.32.0 255.255.224.0 Subnet cấp cho Sinh viên kết nối đến hệ thống Wifi trường 3 NEU - Guest 172.16.64.0 255.255.224.0 Subnet cấp Khách kết nối đến

hệ thống Wifi trường 4 172.16.96.0 255.255.224.0 Dự phòng 5 172.16.128.0 255.255.224.0 Dự phòng 6 172.16.160.0 255.255.224.0 Dự phòng 7 172.16.192.0 255.255.224.0 Dự phòng 8 172.16.224.0 255.255.224.0 Dự phòng

Với cách chia địa chỉ như trên, mỗi Subnet sẽ cấp được 8190 địa chỉ IP, đáp

ứng đủ nhu cầu cho từng nhóm người dùng.

Xác thc User kết ni h thng Wireless

Sau khi kết nối đến các SSID trên, khi người dùng mở trình duyệt Internet (IE, Firefox,…) sẽ hiện ra trang web yêu cầu đăng nhập bằng Username/Password:

Hình 4.5: Giao diện xác thực trên trình duyệt

Đối với người dùng là Sinh viên, Khách

• Sinh viên, Khách sử dụng Username/Password được cấp đểđăng nhập Việc tạo các Account cho Sinh viên, Khách được thực hiện dựa trên

Controller. Bằng cách tạo ra một User quản lý, User này sẽ không

được phép thay đổi các cấu hình trên Wireless LAN Controller mà chỉ

thực hiện việc cấp phát các Account cho Sinh viên, Khách

Đối với người dùng là Cán bộ công nhân viên

• Cán bộ công nhân viên sẽ sử dụng Username/Password của hệ thống Active Directory để đăng nhập. Việc chứng thực được thực hiện qua RADIUS (Cisco ACS) Server sử dụng bộ Username/Password Active Directory.

• Việc sử dụng Account trên Active Directory rất dễ dàng cho việc quản trị, đồng thời người dùng cũng dễ dàng quản lý Account của mình (ví dụ thay đổi Password…)

Bng kết ni vt lý thiết b Wireless Management

No From To Notice

Connector Connector

Device Name Port /

Interface

FO RJ45

Type Speed Device

Name

Port / Interface

FO RJ45

Type Speed

Port 1 x UTP 1GB 6506-2 Gi2/3

Port Trunk x UTP 1Gb 1

NEU-WLC

Port 2 x UTP 1GB 6506-2 Gi2/1

Port Trunk x UTP 1Gb

Kết nối WLAN Controller tới SW6506-2 dùng Port-Channel để cân bằng tải

2 NEU - ACS Port 1 x UTP 1Gb 6506-1 Gi2/3

Access Vlan 200 x UTP 1Gb

Kết nối Cisco Secure Access Control Server tới SW6506-1

3 NEU - WCS Port 1 x UTP 1Gb 6506-1 Gi2/4

KẾT LUẬN

Luận văn đã trình bày được các nội dung cơ bản về bảo mật mạng WLAN: tổng quan mạng WLAN, các phương thức bảo mật và một số phương thức tấn công mạng WLAN. Về bảo mật, chúng ta có thể áp dụng các phương thức khác nhau dựa trên quy mô người dùng:

+ Cá nhân, tại nhà hoặc doanh nghiệp nhỏ: WEP/WPA/WPA2, Lọc MAC…

+ Doanh nghiệp vừa và lớn: nên sử dụng RADIUS server, có thể sử

dụng cùng tường lửa và các phương thức bảo mật khác để bảo mật được tốt nhất.

Hướng phát trin ca đề tài :

+ Nghiên cứu về công nghệ WMAN (IEEE 802.16), WWAN (IEEE 802.20).

+ Tìm hiểu các yêu cầu, mô hình khi thiết kế, triển khai và bảo mật hệ thống Server RADIUS trong thực tế.

+ Tìm hiểu, xây dựng hệ thống phát hiện xâm nhập cho mạng WLAN và thực hiện tấn công trên hệ thống này.

TÀI LIỆU THAM KHẢO

[1] Introduction to 802.11 Wireless LAN (WLAN) Technology, Market, Operation, Profiles, & Services - Lawrence Harte ( 2004 ).

[2] Luận văn thạc sỹ “Nghiên cu vn đề an ninh mng Internet không dây ng dng” của Bùi Phi Long – đại học Thái Nguyên.

[3] Luận văn “Các kiu tn công trên mng” của Đặng Phạm Phúc Duy và Nguyễn Hoàng Quốc Phong – đại học Ngoại Ngữ Tin Học TP Hồ Chí Minh. [4] Các trang Web:

- http://vnpro.org/forum/

- http://www.thegioiwifi.vn/forum/

- http://www.quantrimang.com.vn/

Một phần của tài liệu luận văn thạc sĩ bảo mật wlan và ứng dụng (Trang 76 - 94)

Tải bản đầy đủ (PDF)

(94 trang)