Mô hình thiết kế Logic

Một phần của tài liệu luận văn thạc sĩ bảo mật wlan và ứng dụng (Trang 81 - 88)

4.2. Hệ thống LAN không dây trong trường ĐH Kinh Tế Quốc Dân Thiêt kế cơ bản Internet Service Provider Server Farms RADIUS Corporate LAN(s) Universities Schools MDU/MTU Airports Train Stations Hotels Restaurants Malls Backbone: leased line, DSL, Cable, Wireless...

Bảng phân bố thiết bị hệ thống Wireless

Hệ thống Wireless của trường ĐH KTQD bao gồm các thiết bị sau:

01 Cisco Wireless LAN Controllers 5508 (WLC) • Dùng để điều khiển các Access Poin tập trung

• Xử lý các thuật tốn và tối ưu RF

• Cung cấp khả năng bảo mật và quản trị tính di động

01 Cisco Secure Access Control Server (CSACS) 1120 Appliance: • Cung cấp xác thực đối với người dung

• Tăng cường khả năng bảo mật.

01 Server cài phần mềm Cisco Wireless LAN Control System Software

WCS-STANDARD-K9:

• Hệ thống quản trị các Wireless LAN Controller và Access Point

• Cho phép quản trị thiết bị và cấu hình các chính sách an tồn an ninh trong mạng

• Hỗ trợ SNMP và syslog

10 Cisco Aironet 1300 Outdoor Access Point: Các điểm truy nhập được bố

trí ngồi trời, phủ sóng truy nhập cho khu vực khuôn viên trường

55 Cisco Aironet 1300 Indoor Access Point: Các Các điểm truy nhập được

bố trí trong nhà, phủ sóng truy nhập cho các phòng làm việc, giảng đường,

Bảng phân bổ số lượng và vị trí Access Point Đại học KTQD

STT Tòa nhà Đ.V.T Wifi Indoor Wifi Outdoor

1 Building 7 Bộ 8 3 2 Building 12 Bộ 2 1 3 Building D Bộ 6 0 4 Building 5 Bộ 2 0 5 Building 9 Bộ 2 0 6 Building A Bộ 5 0 7 Library Bộ 3 1 8 Building 14 Bộ 1 0 9 Building 6B Bộ 1 0 10 Building 10 Bộ 4 1 11 Building B Bộ 4 1 12 Building 6 Bộ 6 0 13 Building 11 Bộ 1 1 14 Building C Bộ 4 1 15 Building D2 Bộ 6 1 Tổng cộng Bộ 55 10

Các Access Point được đặt tên theo vị trí lắp đặt để thuận lợi cho việc quản trị. Cách đặt tên như sau:

Building(Tòa nhà)-In/Out-(Tầng)(Số AccessPoint) Bảng chi tiết tên Access Point

Tên

thiết bị STT Tên Quản trị MAC

Vị Trí lắp đặt (Tịa nhà)

Số

1 BuildingC-Out-21 7081053A73CE C 1 2 2 BuildingB-Out-21 7081053A78CE B 1 2 3 BuildingD2-Out-21 7081053A73BA D2 1 2 4 Library-Out-21 7081053A73E4 Thư viện 1 3 5 Building7-Out-21 7081053A7474 6 Building7-Out-22 7081053A73E0 2 2 7 Building7-Out-23 7081053A7484 7 1 Đầu hồi 8 Building12-Out-21 7081053A789A 12 1 2 9 Building10-Out-31 7081053A73FE 10 1 3 10 11 Không lắp Outdoor AP Tổng 9 1 BuildingC-In-11 7081058FEADC 2 BuildingC-In-12 44D3CA4490E2 2 1 3 BuildingC-In-31 44D3CAE5A664 4 BuildingC-In-32 44D3CA4490AA C 2 3 5 BuildingB-In-11 44D3CAE5A600 6 BuildingB-In-12 7081058FE990 2 1 7 BuildingB-In-31 44D3CAE5A594 8 BuildingD-In-32 44D3CA449996 B 2 3 9 BuildingD-In-11 44D3CA449A38 10 BuildingD-In-12 7081058FEABC 2 1 11 BuildingD-In-31 44D3CAE5A5E8 12 BuildingD-In-32 44D3CAE5A57C 2 3 13 BuildingD-In-51 44D3CAE5A656 14 BuildingD-In-52 44D3CA449082 D 2 5 15 BuildingD2-In-11 44D3CAE5A5A4 Indoor AP 16 BuildingD2-In-12 44D3CAE5A5AA D2 2 1

17 BuildingD2-In-31 44D3CAE5A6DA 18 BuildingD2-In-32 44D3CA4499B0 2 3 19 BuildingD2-In-51 44D3CAE5A62A 20 BuildingD2-In-52 44D3CAE5A650 2 5 21 Library-In-11 44D3CAE5A540 22 Library-In-12 44D3CAE5A772 2 2 23 Library-In-31 44D3CA449140 Thư viện 1 3 24 Building9-In-11 44D3CAE5A7DE 1 1 25 Building9-In-21 44D3CA44903C 9 1 2 26 Building7-In-11 44D3CAE5A7B4 27 Building7-In-12 44D3CAE5A6B2 2 1 28 Building7-In-21 44D3CAE5A6D2 29 Building7-In-22 44D3CAE5A60A 2 2 30 Building7-In-31 44D3CAE5A6AA 31 Building7-In-32 44D3CA449D5C 2 3 32 Building7-In-41 7081058FEB32 33 Building7-In-42 44D3CAE5A65A 7 2 4 34 Building6-In-11 44D3CAE5A5D8 35 Building6-In-12 44D3CAE5A646 2 1 36 Building6-In-21 44D3CAE5A5BC 37 Building6-In-22 44D3CAE5A7CC 2 2 38 Building6-In-31 44D3CAE5A672 1 3 39 Building10-In-41 44D3CAE5A64A 6 1 4 40 Building10-In-11 44D3CAE5A6D0 41 Building10-In-12 44D3CAE5A62E 2 1 42 Building10-In-31 44D3CA449050 1 3 43 Building10-In-41 44D3CA449184 10 1 4

45 Building12-In-11 44D3CAE5A5D4 46 Building12-In-12 44D3CA4490B0 12 2 1 47 Building14-In-11 44D3CAE5A670 14 1 1 48 BuildingA-In-11 7081058FE9BC 49 BuildingA-In-12 44D3CAE5A762 50 BuildingA-In-13 44D3CAE5A6C4 51 BuildingA-In-14 44D3CAE5A5DE 52 BuildingA-In-15 44D3CA449988 A 5 1 53 Building5-In-11 44D3CA449D5E 1 1 54 Building5-In-12 44D3CAE5A608 5 1 2 55 BuildingA3-In-11 7081058FEB52 A3 1 1 Tổng 54

4.2.3. Mô tả hệ thống Wireless Mô tả chung Mô tả chung

Hệ thống Wireless sẽ cung cấp dịch vụ kết nối tới mạng LAN và Internet cho

toàn bộ người dùng có nhu cầu kết nối qua mạng Wifi. Hệ thống Wireless

được thiết nhằm thực hiện các chức năng chính như sau:

• Hỗ trợ người dùng trong trường truy cập vào hệ thống mạng LAN và Internet. Tất cả cán bộ nhân viên, sinh viên trong trường và khách đều có thể truy cập vào mạng Internet một cách dễ dàng và tiện lợi

• Module Wireless được xây dựng bằng việc sử dụng Wireless LAN

Controller để quản lý các thiết bị truy nhập vô tuyến đặt tại trong

trường

Toàn bộ các Access Point phát 3 SSID đáp ứng từng nhóm người dùng

riêng:

• Các User là Cán bộ công nhân viên, giảng viên muốn truy cập Wifi của trường sẽ kết nối thơng qua SSID “ NEU – Staffs ”

• Các User là Sinh viên muốn truy cập Wifi của trường sẽ kết nối thông qua SSID “NEU – Students” .

• Các User là Khách muốn truy cập Wifi của trường sẽ kết nối thông qua SSID “NEU – Guest”

Hình 4.4: Mơ hình người dùng

Mỗi SSID sẽ tương ứng với các Vlan khác nhau. Việc phân chia nhóm truy

cập khơng dây thành các Vlan để tiện lợi trong việc quản lý, điều khiển truy cập

Bảng phân bổ địa chỉ IP cho từng nhóm người dùng Wifi Subnet

STT Tên SSID

Network Subnet Mask Ghi chú

1 NEU - Students 172.16.0.0 255.255.224.0

Subnet cấp cho Cán bộ nhân viên, Giảng viên kết nối đến hệ thống Wifi trường

2 NEU - Staffs 172.16.32.0 255.255.224.0 Subnet cấp cho Sinh viên kết nối đến hệ thống Wifi trường 3 NEU - Guest 172.16.64.0 255.255.224.0 Subnet cấp Khách kết nối đến

hệ thống Wifi trường 4 172.16.96.0 255.255.224.0 Dự phòng 5 172.16.128.0 255.255.224.0 Dự phòng 6 172.16.160.0 255.255.224.0 Dự phòng 7 172.16.192.0 255.255.224.0 Dự phòng 8 172.16.224.0 255.255.224.0 Dự phòng

Với cách chia địa chỉ như trên, mỗi Subnet sẽ cấp được 8190 địa chỉ IP, đáp

ứng đủ nhu cầu cho từng nhóm người dùng.

Xác thực User kết nối hệ thống Wireless

Sau khi kết nối đến các SSID trên, khi người dùng mở trình duyệt Internet (IE, Firefox,…) sẽ hiện ra trang web yêu cầu đăng nhập bằng Username/Password:

Hình 4.5: Giao diện xác thực trên trình duyệt

Đối với người dùng là Sinh viên, Khách

• Sinh viên, Khách sử dụng Username/Password được cấp để đăng nhập Việc tạo các Account cho Sinh viên, Khách được thực hiện dựa trên

Controller. Bằng cách tạo ra một User quản lý, User này sẽ không

được phép thay đổi các cấu hình trên Wireless LAN Controller mà chỉ

thực hiện việc cấp phát các Account cho Sinh viên, Khách

Đối với người dùng là Cán bộ cơng nhân viên

• Cán bộ cơng nhân viên sẽ sử dụng Username/Password của hệ thống Active Directory để đăng nhập. Việc chứng thực được thực hiện qua RADIUS (Cisco ACS) Server sử dụng bộ Username/Password Active Directory.

• Việc sử dụng Account trên Active Directory rất dễ dàng cho việc quản trị, đồng thời người dùng cũng dễ dàng quản lý Account của mình (ví dụ thay đổi Password…)

Bảng kết nối vật lý thiết bị Wireless Management

No From To Notice

Connector Connector

Device Name Port /

Interface

FO RJ45

Type Speed Device

Name

Port / Interface

FO RJ45

Type Speed

Port 1 x UTP 1GB 6506-2 Gi2/3

Port Trunk x UTP 1Gb 1

NEU-WLC

Port 2 x UTP 1GB 6506-2 Gi2/1

Port Trunk x UTP 1Gb

Kết nối WLAN Controller tới SW6506-2 dùng Port-Channel để cân bằng tải

2 NEU - ACS Port 1 x UTP 1Gb 6506-1 Gi2/3

Access Vlan 200 x UTP 1Gb

Kết nối Cisco Secure Access Control Server tới SW6506-1

3 NEU - WCS Port 1 x UTP 1Gb 6506-1 Gi2/4

KẾT LUẬN

Luận văn đã trình bày được các nội dung cơ bản về bảo mật mạng

WLAN: tổng quan mạng WLAN, các phương thức bảo mật và một số phương thức tấn công mạng WLAN. Về bảo mật, chúng ta có thể áp dụng các phương thức khác nhau dựa trên quy mô người dùng:

+ Cá nhân, tại nhà hoặc doanh nghiệp nhỏ: WEP/WPA/WPA2, Lọc MAC…

+ Doanh nghiệp vừa và lớn: nên sử dụng RADIUS server, có thể sử dụng cùng tường lửa và các phương thức bảo mật khác để bảo mật được tốt

nhất.

Hướng phát triển của đề tài :

+ Nghiên cứu về công nghệ WMAN (IEEE 802.16), WWAN (IEEE 802.20).

+ Tìm hiểu các yêu cầu, mơ hình khi thiết kế, triển khai và bảo mật hệ thống Server RADIUS trong thực tế.

+ Tìm hiểu, xây dựng hệ thống phát hiện xâm nhập cho mạng WLAN và thực hiện tấn công trên hệ thống này.

TÀI LIỆU THAM KHẢO

[1] Introduction to 802.11 Wireless LAN (WLAN) Technology, Market, Operation, Profiles, & Services - Lawrence Harte ( 2004 ).

[2] Luận văn thạc sỹ “Nghiên cứu vấn đề an ninh mạng Internet không dây

và ứng dụng” của Bùi Phi Long – đại học Thái Nguyên.

[3] Luận văn “Các kiểu tấn công trên mạng” của Đặng Phạm Phúc Duy và Nguyễn Hoàng Quốc Phong – đại học Ngoại Ngữ Tin Học TP Hồ Chí Minh. [4] Các trang Web:

- http://vnpro.org/forum/

- http://www.thegioiwifi.vn/forum/

- http://www.quantrimang.com.vn/

Một phần của tài liệu luận văn thạc sĩ bảo mật wlan và ứng dụng (Trang 81 - 88)

Tải bản đầy đủ (PDF)

(94 trang)