Bảo mật mạng LAN không dây (Kỳ 2) - AdminTalk

Chip

4. Cấu trúc của một LAN không dây

Một LAN không dây gồm có 3 phần: Wireless Client, Access Points và Access Server. Wireless Client điển hình là một chiếc laptop với NIC (Network Interface Card) không dây được cài đặt để cho phép truy cập vào mạng không dây. Access Points (AP) cung cấp sự bao phủ của sóng vô tuyến trong một vùng nào đó (được biết đến như là các cell (tế bào)) và kết nối đến mạng không dây. Còn Access Server điều khiển việc truy cập. Cả hai chuẩn 802.11b (LAN 11Mbps tại tần số 2,4GHz) và APs Bluetooth được hỗ trợ ở đây. Một Access Server (như là Enterprise Access Server or EAS) cung cấp sự điều khiển, quản lý, các đặc tính bảo mật tiên tiến cho mạng không dây Enterprise.

Enterprise Access Server trong Gateway Mode

Một bộ phận không dây có thể được kết nối đến các mạng không dây tồn tại theo một số cách. Kiến trúc tổng thể sử dụng EAS trong “Gateway Mode” hay “Controller Mode”. Trong Gateway Mode (xem hình 2 ở trên) EAS được đặt ở giữa mạng AP và phần còn lại của mạng Enterprise. Vì vậy EAS điều khiển tất cả các luồng lưu lượng giữa các mạng không dây và có dây và thực hiện như một firewall.

Trong Controll Mode (hình dưới), EAS quản lý APs và điều khiển việc truy cập đến mạng không dây, nhưng nó không liên quan đến việc truyền tải dữ liêu người dùng. Trong chế độ này, mạng không dây có thể bị phân chia thành mạng dây với firewall thông thường hay tích hợp hoàn toàn trong mạng dây Enterprise.

Enterprise Access Server trong Controller Mode.

5. Mô hình bảo mật không dây

Kiến trúc LAN không dây hỗ trợ một mô hình bảo mật mở và toàn diện dựa trên chuẩn công nghiệp như thể hiện trên hình 4. Mỗi một phần tử bên trong mô hình đều có thể cấu hình theo người quản lý mạng để thỏa mãn và phù hợp với những gì họ cần.

Mô hình bảo mật không cho mạng không dây

Dievice Authorisation: các Client không dây có thể bị ngăn chặn theo địa chỉ phần cứng của họ (ví dụ như địa chỉ MAC). EAS duy trì một cơ sở dữ liệu của các Client không dây được cho phép và các AP riêng biệt khóa hay thông lưu lượng phù hợp.

Encryption: WLAN cũng hổ trợ WEP, 3DES và chuẩn TLS sử dụng mã hóa để tránh người truy cập trộm. Các khóa WEP có thể đươck tạo trên một per-user, per session basic.

Authentication: WLAN hỗ trợ sự ủy quyền lẫn nhau (bằng việc sử dụng 802.1x EAP-TLS) để bảo đảm chỉ có các Client không dây được ủy quyền mới được truy cập vào mạng. EAS sử dụng một RADIUS server bên trong cho sự ủy quyền bằng việc sử dụng các chứng chỉ số. Các chứng chỉ số này có thể đạt được từ quyền chứng nhận bên trong (CA) hay được nhập từ một CA bên ngoài. Điều này đã tăng tối đa sự bảo mật và giảm tối thiểu các thủ tục hành chính.

Firewall: EAS hợp nhất customable packet filtering và port blocking firewall dựa trên các chuỗi Linux IP. Việc cấu hình từ trước cho phép các loại lưu lượng chung được enable hay disable.

VPN: EAS bao gồm một IPSec VPN server cho phép các Client không dây thiết lập các session VPN vững chắc trên mạng.

Phạm Văn Linh

Bài viết cùng chủ đề: