Thiết bị sử dụng trong hệ thống mạng không dây

Một phần của tài liệu Một số vấn đề an ninh trong mạng máy tính không dây1 (Trang 65 - 71)

TRƯỜNG ĐHKTCN THÁI NGUYÊN

I. MÔ HÌNH MẠNG KHÔNG DÂY TRONG TRƯỜNG ĐHKTCN

2. Thiết kế chi tiết của hệ thống

2.2. Thiết bị sử dụng trong hệ thống mạng không dây

Thiết bị sử dụng trong hệ thống bao gồm các Access Point (AP) 1242 series của Cisco, mỗi AP sẽ được trang bị 1 antenna ngoài để hỗ trợ phủ sóng outdor ra bên ngoài khuôn viên.

Thiết bị này hỗ trợ các cơ chế bảo mật mới nhất như:

- Authentication Security Standards - WPA

- WPA2 (802.11i) - Cisco TKIP

- Cisco message integrity check (MIC)

- IEEE 802.11 WEP keys of 40 bits and 128 bits - 802.1X EAP types:

- EAP-Flexible Authentication via Secure Tunneling (EAP-FAST) - Protected EAP-Generic Token Card (PEAP-GTC)

- PEAP-Microsoft Challenge Authentication Protocol Version 2 (PEAP-MSCHAP) - EAP-Transport Layer Security (EAP-TLS)

- EAP-Tunneled TLS (EAP-TTLS)

- EAP-Subscriber Identity Module (EAP-SIM) - Cisco LEAP

- Encryption

- AES-CCMP encryption (WPA2) - TKIP (WPA)

- Cisco TKIP - WPA TKIP

- IEEE 802.11 WEP keys of 40 bits and 128 bits

Một thiết bị hết sức quan trọng đi cùng với các AP là WLC-4402 (Cisco wireless control system) để cung cấp các chức năng cho hệ thống không dây.

Cisco wireless LAN controller cung cấp khả năng quản trị mạng tập trung không dây theo cách hĩu hình và các tính năng điều khiển cần thiết một cách hiệu quả và bảo mật.

Một số tính năng như sau:

- Khả năng kiểm tra chính sách bảo mật của WLAN.

- Khả năng quản lý tập chung tường minh về môi trường sóng.

- Hoạt động với tốc độ cao nhờ khả năng hội tụ tin cậy và băng thông được tối ưu.

- Các tính năng di động cung cấp khả năng truy cập liên tục cho người dùng di chuyển.

- Khả năng mở rộng linh hoạch phù hợp với yêu cầu của khách hàng từ nhỏ đến lớn.

- Bảo vệ đầu tư, Tiết kiệm chi phí vận hành nhờ mô hình và phương thức triển khai đơn giản, dễ vận hành.

Các đặc tính về kỹ thuật:

Item Specification

Wireless IEEE 802.11a, 802.11b, 802.11g, 802.11d, 802.11h, 802.11n

Wired/Switching/Routing IEEE 802.3 10BASE-T, IEEE 802.3u 100BASE-TX specification, IEEE 802.1Q VLAN tagging, and IEEE 802.1D Spanning Tree Protocol

Data Request For Comments (RFC)

• RFC 768 UDP

• RFC 791 IP

• RFC 792 ICMP

• RFC 793 TCP

• RFC 826 ARP

• RFC 1122 Requirements for Internet Hosts

• RFC 1519 CIDR

• RFC 1542 BOOTP

• RFC 2131 DHCP Security Standards • WPA

• IEEE 802.11i (WPA2, RSN)

• RFC 1321 MD5 Message-Digest Algorithm

• RFC 1851 The ESP Triple DES Transform

• RFC 2104 HMAC: Keyed Hashing for Message Authentication

• RFC 2246 TLS Protocol Version 1.0

• RFC 2401 Security Architecture for the Internet Protocol

• RFC 2403 HMAC-MD5-96 within ESP and AH

• RFC 2404 HMAC-SHA-1-96 within ESP and AH

• RFC 2405 ESP DES-CBC Cipher Algorithm with Explicit IV

• RFC 2406 IPsec

• RFC 2407 Interpretation for ISAKMP

• RFC 2408 ISAKMP

• RFC 2409 IKE

• RFC 2451 ESP CBC-Mode Cipher Algorithms

• RFC 3280 Internet X.509 PKI Certificate and CRL Profile

• RFC 3602 The AES-CBC Cipher Algorithm and Its Use with IPsec

• RFC 3686 Using AES Counter Mode with IPsec ESP

Encryption • WEP and TKIP-MIC: RC4 40, 104 and 128 bits (both static and shared keys)

• SSL and TLS: RC4 128-bit and RSA 1024- and 2048-bit

• AES: CCM, CCMP

• IPSec: DES-CBC, 3DES, AES-CBC Authentication,

Authorization, and Accounting (AAA)

• IEEE 802.1X

• RFC 2548 Microsoft Vendor-Specific RADIUS Attributes

• RFC 2716 PPP EAP-TLS

• RFC 2865 RADIUS Authentication

• RFC 2866 RADIUS Accounting

• RFC 2867 RADIUS Tunnel Accounting

• RFC 2869 RADIUS Extensions

• RFC 3576 Dynamic Authorization Extensions to RADIUS

• RFC 3579 RADIUS Support for EAP

• RFC 3580 IEEE 802.1X RADIUS Guidelines

• RFC 3748 Extensible Authentication Protocol

• Web-based authentication Management Interfaces • Web-based: HTTP/HTTPS

• Command-line interface: Telnet, SSH, serial port Một số tính năng bảo mật được tích hợp sẵn trên WLAN Controller:

- Tính năng IDS:

Bảo mật là mối quan tâm lớn của người quản trị hệ thống, và bảo mật cho hệ thống không dây là mối quan tâm lớn của một chuyên gia bảo mật. Cisco lightweight access point và WLAN controller đồng thời đóng vai trò là thiết bị cung cấp truy cập không dây và cảm biến IDS (hệ thống phát hiện xâm nhập).

Điều này được thực hiện nhờ kiến trúc split-MAC duy nhất của LWAPP. Split- MAC của LWAPP cho phép quét các kênh mà không làm dán đoạn đến dịch vụ dữ liệu. Access point và Controller có một thư viện khổng lồ về các dấu hiệu của sự tấn công. Ngoài ra, với chứng nhận X.509 giúp hệ thống có thể phát hiện các Access point chưa được chứng thực đang giả dạng access point đã được chứng thực trong hệ thống.

Mạng không dây hợp nhất của Cisco cũng giảm bớt các mối đe dọa từ các access point không hợp pháp bằng cách sử dụng công cụ ngăn chặn rất mạnh, bằng cách đảm bảo cho máy trạm không thể tương tác được với các access point giả mạo.

- RADIUS:

Là một giao thức loại client/server cung cấp bảo mật tập chung, cung cấp dịch vụ chứng thực và quản lý.

RADIUS được tích hợp trong wireless controller cung cấp dịch vụ chứng thực người dùng khi người dùng muốn login vào hệ thống và ghi lại các hoạt động của người dùng sau khi đã đăng nhập

- TACACS+:

Cũng giống như RADIUS tuy nhiên thay vì chỉ hỗ trợ chứng thực và bị giới hạn trong việc phân quyền thì TACACS có khả năng cung cấp được các dịch vụ sau:

Authentication: Dịch vụ xác định người dùng khi người dùng truy cập vào hệ thống

Authorization: Xác định quyền hạn mà người dùng được phép trong cấp độ truy cập của người dùng.

Accounting: Là quá trình theo dõi các hoạt động và thay đổi của người dùng - Cấu hình cho người dùng mạng cục bộ:

Là cơ sở dữ liệu về người dụng cục bộ trên controller. Cơ sở dữ liệu về người dùng nội bộ lưu trữ các thông tin định danh (username và password) của tất cả người dùng cục bộ, sau đó những thông tin này sẽ được dùng để chứng thực người dùng.

- LDAP :

Tương tự như RADIUS hoặc cơ sở dữ liệu người dùng cục bộ, Cơ sở dữ liệu LDAP cho phép lưu trữ các thông tin định danh (username/password) của người dùng. Các thông tin này sẽ được dùng để xác thực người dùng. Ví dụ, EAP cục bộ có thể dùng LDAP để xác định username và password của người dùng.

- Local EAP:

EAP cục bộ là phương thức cho phép người dùng và các thiết bị không dây có thể được chứng thực một cách cục bộ. Được thiết kế để cho các văn phòng từ xa muốn duy trì kết nối không dây khi hệ thống chứng thực không hoạt động hoặc các hệ thống backend bị gián đoạn hoạt động.

Một phần của tài liệu Một số vấn đề an ninh trong mạng máy tính không dây1 (Trang 65 - 71)

Tải bản đầy đủ (DOC)

(88 trang)
w