Giáo trình môn: Công nghệ mạng không dây (Phần 2)

Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 48 Chương 3 BẢO MẬT VÀ QUẢN LÝ MẠNG KHÔNG DÂY 1. ACCESS POINT Access Points ( APs) đầu tiên được thiết kế cho các khu trường sở rộng rãi. Nó cung cấp các điểm đơn mà người quản trị có thể cấu hình nó. Nó có những đặc thù cho phép một hoặc hai sóng vô tuyến cho mỗi AP. Về mặt lý thuyết, AP hỗ trợ hàng trăm người dùng cùng một lúc. AP được cấu hình bởi ESSID ( Extended Service Set ID). Nó là một chuỗi các nhận dạng mạng không dây. Nhiều người sử dụng chương trình máy khách để cấu hình và có một mật khẩu đơn giản để bảo vệ các thiết lập của mạng. - Hầu hết các AP đều tăng cường cung cấp các tính năng, như là : - Tính năng lọc địa chỉ MAC. Một sóng vô tuyến của máy khách cố gắng truy cập phải có địa chỉ MAC trong bảng địa chỉ của AP trước khi AP cho phép kết hợp với AP. - Tính năng đóng mạng. Thông thường, một máy khách có thể chỉ định một ESSID của bất cứ sự kết hợp nào với bất cứ một mạng hiện hữu nào. Trong tính năng đóng mạng, máy khách phải chỉ định ESSID rõ ràng, hoặc nó không thể kết hợp với AP. - Tính năng Anten ngoài. - Tính năng kết nối liên miền. - Bản ghi mở rộng, thống kê, và thực hiện báo cáo. Hình 3.1. Access point Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 49 Một tính năng tăng cường khác bao gồm quản lý khóa WEP động, khóa mã hóa trao đổi công cộng, kết ghép kênh. Nhưng đáng tiếc, những kiểu mở rộng hoàn toàn các hãng sản xuất (kiểu mẫu), và không có bảo hộ bởi bất cứ chuẩn nào, và không hoạt động với các sản phẩm khác. Điều đó có nghĩa là, một máy khách phải kết hợp nó với một AP, và nó sẽ không đi xa hơn các hạn chế của AP trên những dịch vụ mà máy khách có thể truy cập. APs là sự lựa chọn lý tưởng cho những mạng cá nhân với nhiều máy khách đặt trong một khoảng không vật lý, đặc biệt là các đoạn mạng có cùng Subnet ( giống như là doanh nghiệp hoặc khu sở trường). AP cung cấp mức độ điều khiển cao để có thể truy cập bằng dây, nhưng giá của nó không rẻ. Hình 3.2. Mô hình cài đặt Access Point Một lớp khác của AP thỉng thoảng được xem như là cổng nhà riêng. The Apple AirPort, Orinoco RG-1000 và Linksys WAP11 là các ví dụ cụ thể của các AP cấp thấp. Các sản phẩm này phải có giá thành thấp hơn các sản phẩm thương mại khác. Nhiều Modems được sản xuất, cho phép truy cập mạng không dây bằng cách quay số. Những dịch vụ cung cấp cân bằng nhất là Network Address Translation (NAT), DHCP, và dịch vụ cầu nối cho các máy khách. Trong khi các dịch vụ đó không thể hỗ trợ đồng thời nhiều máy khách như là AP cao cấp, thì chúng lại có thể cung cấp truy cập rẻ và đơn giản cho nhiều ứng dụng. Cấu hình một AP không đắt tiền cho kiểu bắt cầu mạng cục bộ, bạn có trình độ điều khiển cao hơn các máy khách riêng lẻ để có thể truy cập mạng không dây. Không kể những AP giá cao, những AP là nơi để xây dựng hệ thống thông tin mạng không dây. Chúng là một dãy đặc biệt tốt để điều khiển sự lặp lại các vị trí, vì chúng dễ dàng cấu hình, tiêu thụ năng lượng thấp, và thiếu những bộ phận di chuyển. 1.1. Các mode của Access Point APs thông tin với những máy khách, với mạng hữu tuyến, và với một AP Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 50 khác. Có ba chế độ trong AP mà chúng ta có thể cấu hình : Chế độ gốc ( Root Mode) Chế độ lặp ( Repeater Mode) Chế độ cầu nối ( Bridge Mode) 1.2. Chế độ gốc ( Root Mode) Chế độ gốc được dùng khi AP kết nối với mạng xương sống thông qua giao diện mạng cục bộ. Những AP mới nhất hỗ trợ những chế độ cao hơn chế độ gốc cũng cấu hình từ chế độ gốc mặc định. Khi AP kết nối tới đoạn mạng hữu tuyến thông qua cổng cục bộ, nó sẽ cấu hình mặc định ở chế độ gốc. Khi trong chế độ gốc, AP kết nối tới những đoạn mạng phân bổ giống nhau để có thể giao tiếp với các đoạn mạng khác. AP giao tiếp với mỗi chức năng có sắp xếp như là kết hợp lại. Các máy khách có thể thông tin với các máy khách khác ở các ô khác nhau thông qua AP tương ứng để đi qua đoạn mạng hữu tuyến. Hình 3.3. Access Point trong chế độ gốc Hiện trạng hệ thống và mong muốn Hệ thống mạng đang sử dụng được trang bị thêm một số card mạng không dây. Mong muốn hướng dẫn cài đặt card mạng này cho window ở cả 2 chế độ thường và chế độ có bảo mật Card mạng không dây của PLANET có nhiều loại tuân theo các chuẩn khác nhau nhưng chúng đều tương thích ngược chẳng hạn như card mạng không dây tốc độ 54 Mb/s có thể chạy được với Access Point tốc độ 11 Mb/s và ngược lại Hướng dẫn cấu hình Access Point Có 2 cách để cấu hình : Cách 1: Cấu hình trực tiếp trong Window Chuột phải vào My Network Place - Chọn Properties - Chuột phải vào Wireless Network Connection - Chọn Properties - Chọn Tab Wireless Networks , đánh dấu vào Use Windows to Configure my wireless network settings sau đó chọn Configure để cấu hình Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 51 Hình 3.4. Cửa sổ Wireless Network Cách 2: Cấu hình thông qua tiện ích : Khi cấu hình thông qua tiện ích thì ta có thể dùng chuột phải vào My Network Place chọn Wireless Network Connection (Ở đây là PLANEt WL – 8310)chọn Properties - Tại Tab Wireless Network hãy bỏ đánh dấu Use Window to configure my network setting. Thông thường khi cấu hình thông qua tiện ích , sau khi cài tiện ích Utility có sẵn trong đĩa CD Rom đi kèm với sản phẩm , ta cài đặt chương trình này sau đó chạy chúng từ shortcut trên Desktop của màn hình hoặc từ khay hệ thống ta nhấp đúp vào biểu tượng Wireless. Hình 3.5. Biểu tượng mạng Bước 1: Sau khi nhấp đúp vào biểu tượng vạch sóng màu trắng ở dưới khay màn hình một cửa sổ cấu hình như sau : Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 52 Hình 3.6. Cửa sổ Planet WL-8310 Bước 2: Nếu Access Point không đặt mã hoá thì ta chỉ cần nhấp vào Rescan để tìm các AP có trên mạng , sau đó nhấp vào Site Survey, nhấp vào AP muốn kết nối sau đó nhấp vào conect Hình 3.7. Tìm kiếm các AP Bước 3: Khi kết nối thành công thì ta sẽ thấy được các thông số của AP như địa chỉ MAC, SSID, mã hoá ( Encryption) , Kênh ( Channel) , tốc độ truyền . Hình 3.8. Thông số của AP đã kết nối Bước 4: (Tuỳ chọn) Thiết lập AP chế độ mã hoá (các chế độ Wep Key, WPA – PreShared Key, WPA) thì khi cấu hình card mạng để kết nối với AP thì ta phải cấu hình đúng chế độ mã hoá. Giả sử như với card mạng PCI 8310 sẽ có các chế độ mã hoá Wep Key ( Chọn Enable trong dòng Encryption dưới đây ). Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 53 Hình 3.9. Chế độ mật khẩu của AP Trong Access Point đặt chế độ nhận thực là Open Authentication hoặc Shared Authentication thì ta lựa chọn trong ô Auth Mode , mã hoá dạng HEXA hoặc dạng ASC II thì ta chọn trong Key Format, độ dài bao nhiêu bít thì ta chọn trong Key Length. Mặc định có 4 Key để ta có thể thay đổi từ khoá mã hoá , tại một thời điểm thì ta chỉ chọn được một . Sau đó ta gõ từ khoá mà ta đã cấu hình trong Access Point vào ô Network Key Chú ý : Trong Access Point đặt chế độ mã hoá như thế nào thì trong card mạng không dây phải đặt mã hoá tương tự với nó. Chế độ mã hoá WPA ( kết hợp với Radius Server. WPA – PSK ( chọn WPA – PSK sau đó nhấp vào configuration Hình 3.10. Chia sẻ kết nối 1.3. Chế độ lặp ( Repeater Mode) Trong chế độ lặp, APs có khả năng cung cấp những liên kết ngược trong mạng hữu tuyến khá hơn một liên kết hữu tuyến bình thường. Một AP được thỏa mãn như là một AP gốc và các AP khác giống như là các bộ lặp. AP ở chế độ lặp kết nối tới máy khách như là một AP và kết nối tới AP gốc ngược như là chính máy khách. Không đề nghị sử dụng AP ở chế độ lặp trừ khi cần sự tuyệt đối an Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 54 toàn bởi vì các ô xung quanh mỗi AP trong viễn cảnh này phải được chồng lấp nhỏ nhất là 50%. Cấu hình này phải đủ mạnh để giảm bớt các kết nối của các máy khách tới AP ở chế độ lặp. Ngoài ra, AP ở chế độ lặp là sự truyền đạt với những máy khách chẳng khác gì AP ngược với liên kết không dây, giảm số lượng trên một đoạn mạng không dây. Người dùng gắn bó với AP ở chế độ lặp sẽ có kinh nghiệm hạn chế số lượng và những sự tiềm tàng cao trong viễn cảnh này. Đây là điển hình để vô hiệu hóa mạng cục bộ hữu tuyến trong chế độ lặp. Hình 3.11.Access Point trong chế độ lặp Các bước cài đặ AP ở chế độ Repeater Mode Hiện trạng hệ thống và mong muốn Một sảnh lớn một khách sạn có chiều dài 30mét, chiều rộng 20mét cần phủ sóng cho các thiết bị mạng không dây đế các máy tính xách tay tự do di chuyển trong sảnh truy cập mạng LAN và Internet từ hệ thống khách sạn . Cần bố trí khoảng 2 AP giữa sảnh đế các máy tính xách tay di chuyển mà vẫn giữ các kết nối mạng không bị ngắt quãng. Dải địa chỉ mạng của khách sạn là 192.168.1.5 đến 192.168.1.150 với subnet mark 255.255.255.0 kết nối Internet qua modem có địa chỉ 192.168.1.3 Tại đây không thể đi dây mạng tới AP thứ hai, chỉ có một AP thứ nhất là nhận mạng qua dây cáp từ switch. Cần thiết phải phủ sóng toàn bộ sảnh mà không phải thiết kế lại giải pháp khác. Giải pháp Sử dụng một AP mode (phần này đã trình bày ở phần trên) với địa chỉ 192.168.1.4 Sử dụng AP thứ hai có địa chỉ 192.168.1.3 hoạt động ở chế độ Repeater. AP thứ hai này sẽ nằm trong vùng phủ sóng của AP thứ nhất, nhận SSID của AP thứ nhất và phủ sóng cho phần sảnh còn lại. Khi đó các máy tính dùng thiết bị wireless sẽ chỉ nhìn thấy 1 SSID trong danh mục AP list và kết nối mạng thông qua nó, AP thứ hai sẽ ở trong suốt với mô hình WLAN trong sảnh. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 55 Các AP thiết lập ở chế độ Repeater cần một AP chính ở chế độ AP mode, các AP xung quanh thiết lập ở chế độ Repeater sẽ không cần kết nối mạng có dây với thiết bị, nhận sóng từ các AP phát sóng và có tác dụng lặp và tái tạo sóng nhằm tăng khoảng cách của chức năng AP phát sóng. Hình 3.12. Sơ đồ nối kết các máy tính Hướng dẫn cấu hình Hướng dẫn cấu hình AP ở chế độ Repeater Bước 1: Cấu hình AP nguồn ở chế độ AP mode (xem lại phần trước) Bước 2: Cấu hình AP Repeater : Truy cập câu hình AP như bài hướng dẫn cài đặt cơ bản chọn Advanced Setting , đánh dấu chọn Repeater Mode, điền SSID của AP ở chế độ AP Mode vào ô Remote AP SSID, hay nhấp nút “Site survey”sau đó nhấp Apply. Các thông số còn lại để mặc định AP – Repeater sẽ phát sóng khi nhận tín hiệu từ AP – mode và các máy trong phạm vi phủ sóng sẽ liên lạc với các máy tính trong phạm vi AP chính (AP-mode) Hình 3.13. Cửa sổ Advanced Setting Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 56 1.4. Chế độ cầu nối ( Brigde Mode) Trong chế độ cầu nối, APs hành động chính xác như là những chiếc cầu không dây. Trên thực tế, nó trở thành những chiếc cầu không dây trong khi cấu hình trong kiểu đó. Chỉ có một số lượng nhỏ AP có chức năng cầu nối, sự trang bị có ý nghĩa so với giá phải trả. Các máy khách không kết hợp với những cấu nối, nhưng đúng hơn, những cầu nối sử dụng liên kết hai hoặc nhiều hơn đoạn mạng hữu tuyến với mạng không dây. Hình 3.14.Access Point trong chế độ cầu nối AP được coi như là một cái cổng bởi vì nó cho phép máy khách kết nối từ mạng IEEE 802.11 đến những mạng IEEE 802.3 hoặc IEEE 802.5. Như ta đã biết IEEE 802.3 là chuẩn đặc tả một mạng cục bộ dựa trên mạng Ethernet nổi tiếng do Digital, Intel và Xerox hợp tác phát triển từ năm 1990. IEEE 802.3 bao gồm cả tầng vật lý và tầng con MAC với các đặc tả sau: - Đặc tả dịch vụ MAC. - Giao thức MAC. - Đặc tả vật lý độc lập với đường truyền. - Đặc tả vật lý phụ thuộc vào đường truyền. Phần IEEE 802.4 là chuẩn đặc tả mạng cục bộ với hình trạng bus sử dụng thẻ bài để điều khiển truy cập đường truyền. IEEE 802.4 cũng bao gồm cả tầng vật lý và tầng con MAC với các đặc tả sau: - Đặc tả dịch vụ MAC. - Giao thức MAC. - Đặc tả dịch vụ tầng vật lý. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 57 - Đặc tả thực thể tầng vật lý. - Đặc tả đường truyền. IEEE 802.5 là chuẩn đặc tả mạng cục bộ với hình trạng vòng sử dụng thẻ bài để điều khiển truy cập đường truyền. IEEE 802.5 cũng bao gồm cả tầng vật lý và tầng con MAC với các đặc tả sau: - Đặc tả dịch vụ MAC. - Giao thức MAC. - Đặc tả thực thể tầng vật lý. - Đặc tả nối trạm. IEEE 802.6 là chuẩn đặc tả một mạng tốc độ cao nối kết nhiều LAN thuộc các khu vực khác nhau của một đô thị. Mạng này sử dụng cáp quang với hình trạng dạng bus kép (dual-bus), vì thế còn được gọi là DQDB (Distributed Queue Dual Bus). Lưu thông trên mỗi bus là một chiều và khi cả cặp bus cùng hoạt động sẽ tạo thành một cấu hình chịu lỗi. Phương pháp điều khiển truy cập dựa theo một giải thuật xếp hàng phân tán có tên là QPDS (Queued-Packet, Distributed-Switch) cốt lõi của IEEE 802.3 là giao thức MAC dựa trên phương pháp CSMA/CD đã trình bày ở phần trước. Các bước để cài đặt AP ở chế độ Bridge Mode Mong muốn của người dùng Hiện có 2 mạng LAN cần kết nối như một mạng LAN chung. Nhưng lại không thể đi dây trực tiếp từ mạng LAN này tới mạng LAN kia. Cần giải pháp kết nôi không dây giữa hai mạng LAN. Giải pháp Sử dụng thiết bị WAP-4033PE của Planet đặt ở chế độ Bridge cho phép kết nối 2 mạng LAN từ xa với nhau. Hướng dẫn cấu hình Trong bài hướng dẫn này chúng tôi hướng dẫn các bạn cài đặt nhanh một hệ thống kết nối 2 mạng LAN bằng 2 thiết bị WAP-4000A để ở chế độ Bridge. Để cài đặt hoàn thiện căn bản cho một hệ thống như vậy bạn cần tiến hành những bước cơ bản như sau: - Cài đặt cơ bản cho hệ thống mạng sử dụng 2 thiết bị WAP-4033PE - Cấu hình cho hai thiết bị WAP-4033PE Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 58 Cài đặt cơ bản cho hệ thống mạng sử dụng 2 thiết bị WAP-4033PE Bước 1: Cài đặt nhanh theo mô hình bên dưới Hình 3.15. Sơ đồ nối kết thiết bị thông qua WAP Cấu hình cho hai thiết bị WAP-4033PE Thông thường cấu hình Internet Camera thông qua giao diện Web browser, các thông số mặc định của WAP-4033PE Địa chỉ IP: 192.168.0.1 Subnet mask: 255.255.255.0 Username/ Password: admin / admin Bước 1: Bạn đổi địa chỉ máy tính của mình về cùng lớp mạng với Modem WAP- 4033PE. Địa chỉ mặc định của Modem là 192.168.0.1(vậy bạn đổi địa chỉ máy của bạn là 192.168.0.x).Vào trình duyệt IE và vào một cửa sổ đăng nhập xuất hiện ở đây bạn đăng nhập với username và password là admin. Màn hình giao diện như sau. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 59 Hình 3.16. Màn hình thông số của Modem WAP Bước 2: Trong trang web cấu hình chọn Basic Settings. Màn hình giao diện như sau: Hình 3.17. Màn hình cửa sổ Basic Setting Bước 3: Chọn chế độ là AP Bridge Point to Point. Màn hình giao diện như sau: Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 60 Hình 3.18. Chọn chế độ cho AP Bạn điền địa chỉ Mac của thiết bị WAP-4033PE ở đầu mạng LAN thứ hai. Để có thể lấy được địa chỉ MAC của thiết bị WAP-4033PE bạn có thể làm như sau: Trong giao diện cấu hình chọn mục Home. Địa chỉ MAC được ghi như trên hình sau. Hình 3.19. Địa chỉ MAC của thiết bị (Ở ví dụ hình dưới chúng tôi add ví dụ thíêt bị ở đầu thứ 2 có địa chỉ MAC 00-30-4e- 5f-6d-3f) Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 61 Hình 3.20. Gán địa chỉ MAC Bước 4: Cấu hình thiết bị WAP-4000A ở đầu mạng LAN thứ hai giống hệt ở đầu thứ nhất. (nhưng add địa chỉ MAC của thiết bị ở đầu mạng LAN thứ nhất vào trong thiết bị WAP-4000A thứ hai). 2. BẢO MẬT Chúng ta xem xét vấn đề này thông qua một vài ví dụ thực tế (có thể xảy ra khi truyền tải/trao đổi thông tin trên mạng) sau đây: Người sử dụng A chuyển một tập tin đến người sử dụng B, tập tin này chứa những thông tin cần được bảo vệ. Trong môi trường mạng (không an toàn), người sử dụng C – người không được phép đọc tập tin này, có thể theo dõi sự di chuyển của tập tin. Người sử dụng C cũng có thể bắt giữ (capture/copy) tập tin trong quá trình di chuyển của nó. Người quản lý mạng tên D, chuyển một thông điệp đến máy tính thành viên của mạng, máy tính E. Thông điệp này yêu cầu máy tính E cập nhật tập tin “cấp phép” – có thể bao gồm các định danh của người sử dụng được phép truy cập máy tính đó. Trong môi trường mạng (không an toàn), người sử dụng F có thể chặn thông điệp này, sửa đổi nó (theo ý đồ riêng) và rồi chuyển tiếp đến máy tính E. Máy E thừa nhận thông điệp từ người quản lý D và cập nhật vào tập tin “cấp phép” của nó. Điều đáng nói ở đây là máy E không hề biết thông điệp được gửi đến từ F và nó đã bị thay đổi. Trong môi trường mạng (không an toàn) của một một Công ty, khi nhân viên Malconten bị sa thải, người quản lý nhân sự sẽ gửi một thông điệp đến máy Server của hệ thống để yêu cầu làm mất hiệu lực của account user của anh ta. Trong trường hợp này, Malconten có thể chặn thông điệp lại và làm trễ nó trong một khoảng thời gian đủ để anh ta thực hiện một truy cập lần cuối cùng đến máy server và nhận một số Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 62 thông tin “nhạy cảm” nào đó. Rõ ràng thông điệp cũng được chuyển đến máy Server, nhưng nó đã “quá trễ”. Trong môi trường thương mại điện tử (không tin cậy), một thông điệp được gửi từ một khách hàng mua vàng đến trung tâm mua bán vàng The Sun, với nội dung: thoả thuận mua một lượng vàng 9999 với giá 10 triệu đồng. Nhưng trong khi việc giao nhận vàng chưa diễn ra thì giá một lượng vàng trên thị trường giảm xuống còn 9 triệu đồng. Có thể xảy ra tình huống: Người khách mua vàng nói rằng anh ta chưa bao giờ gửi thông điệp thoả thuận mua vàng trước đó. Điều gì sẽ xảy ra? Làm thế nào để buộc khách hàng đó phải thừa nhận rằng anh ta đã từng đồng ý mua vàng với giá 10 triệu đồng một lượng? Từ các ví dụ trên, hãy liên hệ đến các mối đe dọa tìm ẩn trong việc truyền thông tin (message/packet) trong môi trường mạng không an toàn/không tin cậy. Để từ đó có thể đưa ra các giải pháp để phát hiện và ngăn chặn chúng. Đó là nhiệm vụ của công tác An toàn mạng/Bảo mật mạng. Nên nhớ rằng, an toàn mạng là quá trình chứ không phải một công cụ, các công cụ liên quan chỉ có tác dụng hỗ trợ cho quá trình bảo mật đạt hiệu quả hơn. 2.1. Các giải pháp bảo mật Nhóm giải pháp về qui hoạch, thiết kế Thiết kế, quy hoạch một hệ thống mạng lớn không đơn thuần là phát triển thêm các thiết bị hỗ trợ người dùng mà phải dựa trên mô hình chuẩn đã và đang áp dụng cho các hệ thống mạng tiên tiến tại các cơ quan, doanh nghiệp phát triển trên thế giới, đó chính là mô hình mạng Định hướng Kiến trúc Dịch vụ (Service-Oriented Architecture – SOA). Thiết kế cơ sở hạ tầng theo mô hình SOA Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 63 Kiến trúc SOA gồm có 3 lớp: Lớp cơ sở hạ tầng mạng (networked infrasstructure layer): là lớp mạng liên kết các khối chức năng theo kiến trúc phân tầng, có trật tự. Lớp dịch vụ tương tác (Interactive services layer): bao gồm sự kết hợp một số kiến trúc mạng đầy đủ với nhau tạo thành các chức năng cho phép nhiều ứng dụng có thể sử dụng trên mạng. Lớp ứng dụng (Application layer): Bao gồm các loại ứng dụng cộng tác và nghiệp vụ. Các ứng dụng này kết hợp với các dịch vụ tương tác cung cấp ở lớp dưới sẽ giúp triển khai nhanh và hiệu quả Trong phần này, chúng tôi xin giới thiệu sơ lược về các phương thức thiết kế mạng và bảo mật được sử dụng trong việc thiết kế các hệ thống mạng lớn và hiện đại Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 64 của các tổ chức và doanh nghiệp lớn. Tương ứng với kiến trúc SOA là thuộc lớp Cơ sở hạ tầng mạng. Phương thức thiết kế phân lớp – Hierarchical Hierarchical là Một mạng là gồm nhiều mạng LAN trong một hoặc nhiều toà nhà, tất cả các kết nối thường nằm trong một khu vực địa lý. Thông thường các Campus gồm có Ethernet, Wireless LAN, Gigabit Ethernet, FDDI (Fiber Distributed Data Interface). Được thiết kế theo các tầng, khu vực khác nhau; trên mỗi tầng, mỗi khu vực được triển khai các thiết bị, các chính sách mạng tương ứng. Hình 3.21: Sơ đồ thiết kế hệ thống mạng SOA theo các khu vực, tầng. a) Khu vực LAN Từ mô hình trên ta cũng thấy được rằng khu vực này được thiết kế theo tầng. Tầng lõi, tầng phân tán, tầng truy xuất vừa đảm bảo tính dự phòng đường truyền, lưu lượng mạng được phân bố đều, toàn mạng được chia thành nhiều phân đoạn để dễ dàng kiểm soát và bảo mật. b) Khu vực kết nối WAN Đây là vùng cung cấp các kết nối ra môi trường Internet và các cơ quan thành viên, đối tác. Tại đây phải đảm bảo tính sẵn sàng cao và tính dự phòng đường truyền. Vì vậy hệ thống cân bằng tải và dự phòng đường truyền WAN cần được triển khai. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 65 c) Khu vực các máy chủ public Khu vực này thường được biết đến với tên là vùng phi quân sự (DMZ- demilitarized zone) có nghĩa rằng tại khu vực này được hệ thống tường lửa kiểm soát vào ra các máy chủ rất chặt chẽ nhằm ngăn chặn các cuộc tấn công của Hacker, người dùng trong LAN + Ưu điểm: dự phòng, dễ phát triển, hiệu năng cao, dễ khắc phục sự cố, thích hợp với môi trường đào tạo và nghiên cứu ở các trường đại học và cao đẳng, doanh nghiệp lớn. + Khó khăn khi xây dựng mạng theo phân lớp là chi phí khá cao, cần đội ngũ quản trị hệ thống chuyên nghiệp Mô hình triển khai dịch vụ và quản lý người dùng Mô hình này được triển khai trên cơ sở hạ tầng đã thiết kế là yếu tố quyết định đến hiệu năng hoạt động và cách thức quản lý hệ thống. Thực tế một số cơ quan, doanh nghiệp hiện nay đang triển khai hệ thống mạng theo mô hình mạng ngang hàng. Mô hình này chỉ triển khai cho các tổ chức có quy mô nhỏ hẹp. Khi quy mô hệ thống có trên hàng trăm máy tính, nhiều phòng ban, chức năng thì việc quản lý theo mô hình ngang hàng không còn phù hợp nữa. Giải pháp triển khai dịch vụ và quản lý người dùng theo mô hình chủ-khách là giải pháp tối ưu, hiệu quả nhất. Hệ thống này có nhiều thuận lợi và tính năng tối ưu như: - Phần quyền truy nhập vào các tài nguyên dùng chung trên mạng. - Triển khai cấu hình các phần mềm, dịch vụ tự động cho các máy khách, người dùng nhanh chóng. - Triển khai một chính sách bảo mật cho toàn đơn vị một cách dễ dàng, thống nhất, tập trung, ví dụ: Khi người dùng không sử dụng trong thời gian nhất định, hệ thống sẽ tự lock, luôn yêu cầu người dùng đặt mật khẩu cho hệ điều hành ở chế độ phức tạp, thường xuyên thay đổi mật khẩunhằm tránh các hacker dùng các phần mềm giải mã mật khẩu. - Dễ dàng giám sát an ninh, bảo mật, logging v.v Phân hoạch VLAN (LAN ảo) Thực trạng hệ thống mạng ở một số doanh nghiệp hiện nay được phân chia thành các khu vực, chưa kiểm soát được lưu lượng download và upload cũng như băng thông truy xuất Internet của người dùng. Mô hình mạng như vậy là một miền quảng bá, mỗi gói tin kiểu quảng bá thì ở bất kỳ máy nào cũng có thể tới được tất cả các máy tính khác trong mạng nên có những vấn đề sau: Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 66 - Về băng thông: Toàn doanh nghiệp là một vùng quảng bá rất lớn, số máy tính, số người dùng sẽ tăng lên khi đơn vị phát triển thêm các khu vực khác. Do vậy băng thông, hiệu năng của toàn mạng sẽ giảm, thậm chí thường gây tắc nghẽn. - Về bảo mật: Việc kiểm soát bảo mật gặp rất nhiều khó khăn khi hệ thống trải rộng khắp toàn cơ quan, doanh nghiệp. Để giải quyết các vấn đề trên, chúng ta đưa ra giải pháp chia mạng thành nhiều mạng LAN ảo. VLAN được định nghĩa là một nhóm logic các thiết bị mạng, và được thiết lập dựa trên các yếu tố chức năng, bộ phận, ứng dụng của tổ chức. Việc chia VLAN thành các phân hệ khác nhau giúp khả năng bảo mật, quản lý và hiệu năng đạt kết quả cao nhất. Hình 3.22: Minh họa về nhiều VLAN khác nhau ở một trường học Ví dụ: Tất cả các máy tính thuộc các phòng thực hành, thí nghiệm trong toàn trường thì thuộc vlan01; các phòng ban thuộc vlan02, các wireless thuộc vlan03 v.v. Các VLAN đó mặc định sẽ không liên lạc được với nhau. Khi muốn có sự liên lạc giữa các VLAN với nhau ta tiến hành cấu hình trên thiết bị định tuyến router và kiểm soát băng thông giữa các Vlan. (hình 2) Nhóm giải pháp về hệ thống ngăn chặn, phát hiện tấn công Hệ thống tường lửa đa tầng Hệ thống tường lửa là hệ thống kiểm soát truy nhập giữa mạng Internet và mạng nội bộ. Tường lửa có 2 loại: phần cứng và phần mềm. Mỗi loại có các ưu điểm khác nhau. Phần cứng có hiệu năng ổn định, không phụ thuộc vào hệ điều hành, virus, mã độc, ngăn chặn tốt giao thức ở tầng mạng trong mô hình tham chiếu TCP/IP. Phần mềm rất linh hoạt trong những cấu hình ở giao thức tầng ứng dụng trong mô hình TCP/IP. Ví dụ, tường lửa tầng thứ nhất (thường là phần cứng) đã loại bỏ hầu hết các kiểu tấn công trực diện vào hệ thống máy chủ web, máy chủ mail như kiểu tấn công Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 67 phân tán (DDOS), tức hacker dùng các công cụ tạo các yêu cầu truy xuất tới máy chủ từ nhiều máy tính khác trên mạng với tần suất cao để nhằm làm cho máy chủ quá tải và dẫn tới ngừng phục vụ. Nhưng hacker cũng không dừng tại đó, chúng có thể vượt qua hệ thống tường lửal tầng thứ nhất với những gói tin hợp lệ để vào hệ thống mạng LAN. Bằng các giao thức tầng ứng dụng chúng có thể lại đạt được mục đích. Chính vì thế triển khai hệ thống tường lửa phần mềm sẽ hỗ trợ và làm gia tăng tính bảo mật cho toàn mạng. Trong trường hợp, một hệ thống tường lửa gặp sự cố thì hệ thống còn lại vẫn kiểm soát được. Sau đây là giải pháp thiết kế hệ thống tường lửa thường đa tầng, nó bao gồm ít nhất 2 tầng chính sau: tường lửa trước và tường lửa sau (hình 3) Hình 3.23: Hệ thống tường lửa với 2 tầng trước và sau Hệ thống phát hiện và chống xâm nhập IDS/IPS Hiện nay các hình thức tấn công của người có ý đồ xấu ngày càng nhiều và tinh vi. Ví dụ: Trong đơn vị có thể tự cài đặt các công cụ (Ethereal, Cain & abel) trên máy tính làm việc hoặc máy tính xách tay để tiến hành nghe lén hay quét trực tiếp lên các máy chủ, từ đó có thể lấy các tài khoản email, Web, FTP, SQL server nhằm thay đổi điểm thi, tiền học phí đã nộp, thay đổi lịch công táccác hình thức tấn công kiểu này, hệ thống tường lửa không thể phát hiện [3]. Giải pháp hữu hiệu cho thực trạng này là xây dựng hệ thống IDS/IPS (Intrusion Detection System/Intrusion prevention system). IDS/IPS là hệ thống bảo mật vô cùng quan trọng, nó có khả năng phát hiện ra các cuộc tấn công dựa vào các dấu hiệu thiết Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 68 lập sẵn hoặc các đoạn mã độc hại, bất thường trên giao thông mạng; đồng thời có thể loại bỏ chúng trước khi có thể gây hại cho hệ thống. Danh sách điều khiển truy xuất, an toàn cổng thiết bị, lọc địa chỉ mạng a) Danh sách điều khiển truy xuất Tình trạng các phòng ban, đang tự triển khai mạng wireless và mở rộng mạng LAN, nhất là tại các phòng có nhiều thiết bị di động, laptop dẫn tới số kết nối vào mạng nội bộ tăng, băng thông toàn mạng giảm và khó kiểm soát bảo mật. Danh sách truy nhập là gồm các luật cho phép hay ngăn chặn các gói tin sau khi tham chiếu vào thông tin trong tiêu đề của gói tin để giới hạn các người dùng có thể truy xuất vào các hệ thống máy chủ nội bộ v.v. b) Bảo mật cổng của thiết bị, lọc địa chỉ vật lý của thiết bị mạng Ở các điểm truy nhập mạng công cộng, việc mở rộng LAN của người dùng; việc truy xuất vào các máy chủ nội bộ cần được kiểm soát. Các giải pháp như cấu hình bảo mật cổng của thiết bị, quản lý địa chỉ vật lý là giải pháp cực kỳ an ninh và hiệu quả trong trường hợp này. - Cấu hình bảo mật cổng của thiết bị trên các switch nhằm đảm bảo không thể mở rộng LAN khi chưa có sự đồng ý của người quản trị hệ thống, nếu vi phạm điều đó, port trên switch đó sẽ chuyển về trạng thái cấm hoặc trạng thái ngừng hoạt động. - Địa chỉ vật lý là địa chỉ được cài đặt sẵn từ nhà sản xuất. Về nguyên tắc tất cả các máy tính trên mạng sẽ không trùng nhau về địa chỉ này. Sự kiểm soát theo địa chỉ này là rất cụ thể tới từng máy tính trong mạng, trừ khi người dùng có quyền cài đặt phần mềm và làm giả địa chỉ này ở máy tính đó, hoặc là mở máy tính rồi thay thế card giao tiếp mạng mới. - Các thiết bị mạng hiện nay đều được trang bị chức năng ngăn theo địa chỉ vật lý này giúp quản trị mạng kiểm soát được người dùng sử dụng mạng, nhất là muốn triển khai trên hệ thống wireless. Nhóm các giải pháp khác Xây dựng hệ thống cập nhật, sửa lỗi tập trung Công đoạn đầu tiên của hacker khi tiến hành tấn công là khảo sát hệ thống đích để tìm ra các lỗi của hệ điều hành, của các dịch vụ, của các ứng dụng khi chúng chưa được cập nhật trên website của nhà cung cấp. Thực trạng ở các cơ quan, doanh nghiệp cho thấy việc sử dụng các sản phẩm phần mềm hầu như ít cập nhật các bản vá lỗi, có chăng cũng đang riêng lẻ trên các máy tính cá nhân, đó chính là cơ hội cho hacker dùng các công để khai thác lỗ hổng Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 69 bảo mật. Để cập nhật bản vá lỗi cho tất cả các máy khách trong toàn bộ hệ thống qua Internet mất thời gian và tốn nhiều băng thông đường truyền và không thống nhất. Giải pháp xây dựng hệ thống tự động cập nhật từ nhà cung cấp trên Internet về máy chủ rồi từ máy chủ này, triển khai cho tất cả các máy khách trong toàn mạng. Hệ thống WSUS (Windows Server Update Services) của Microsoft không những cập nhập bản vá lỗi cho hệ điều hành Windows mà còn cập nhật bản vá lỗi cho tất cả các sản phẩm khác của hãng bao gồm Internet Explorer, SQL server, Office, Mail, máy chủ Web v.v Ghi nhật ký, theo dõi, giám sát hệ thống a) Ghi nhật ký Giải pháp ghi lại các phiên kết nối, các phiên đăng nhập của người dùng, các tiến trình hoạt động sẽ giúp quản trị mạng có thể tìm lại dấu vết của người dùng, hacker và các lỗi có thể gây ra cho hệ thống trước đó. Các máy chủ Web , máy chủ Email và máy chủ ứng dụng khác cần được kích hoạt tính năng ghi nhật ký, việc quản lý lưu trữ các thông tin này là rất cần thiết. Hacker chuyên nghiệp khi đã xâm nhập thành công vào hệ thống, việc không thể bỏ qua chính là việc xóa dấu vết đã được ghi. Chính vì thế triển khai hệ thống ghi nhật ký tập trung tại một máy chủ chuyên dụng khác là rất hiệu quả. Các phần mềm mã nguồn mở như: Syslog-ng: ( SyslogAgent: ( là giải pháp tốt. Hệ thống sẽ giúp chúng ta ghi các cảnh báo, thông báo từ các thiết bị phần cứng như: tường lửa, router, switch, từ các máy chủ Web, Database, và các hệ thống khác. b) Theo dõi, giám sát Theo dõi, giám sát là công việc thường xuyên và quan trọng của nhà quản trị mạng chuyên nghiệp, đó chính là công việc phòng chống hiệu quả trước khi sự cố xuất hiện. Theo dõi, giám sát có thể: - Phát hiện trên hệ thống mạng có nhiều virus phát tán. - Giám sát các máy tính trong mạng LAN và trên môi trường Internet. - Theo dõi hiệu năng hoạt động các phần cứng của máy chủ để tiến hành nâng cấp, bảo trì, bảo dưỡng. - Phát hiện hacker đang dùng các công cụ nghe lén mật khẩu, quét các lỗi của hệ thống và các ứng dụng. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 70 - Thống kê số lượng các kết nối, các session cũng như những lưu lượng bất thường trên hệ thống mạng v.v Giải pháp mã hóa dữ liệu và đường truyền Dữ liệu trên máy chủ, máy tính cá nhân của các cơ quan, doanh nghiệp hiện chưa an toàn vì không được mã hóa nội dung và kể cả khi đi trên đường truyền. Dữ liệu ấy có thể được đọc bởi: - Người dùng đăng nhập thành công vào máy tính - Hacker dùng các phần mềm capture (bắt) thông tin trên đường truyền - Tại các máy chủ và máy tính có lưu trữ dữ liệu nhạy cảm, có dữ liệu cần chia sẽ; tại các thiết bị lưu trữ cần thiết phải tiến hành mã hóa nội dung, điều đó đảm bảo rằng nếu có mất thiết bị lưu trữ, máy tính, người tấn công cũng không thể giải mã được dữ liệu. Giải pháp Ipsec sẽ được triển khai tại các hệ thống máy chủ và máy người dùng cũng như các thiết bị mạng phải được cấu hình. Đào tạo người dùng Theo các thống kê về an ninh mạng của CERT (Computer Emergency Response Team- cho thấy, có khoảng 70% số trường hợp bị thất thoát thông tin có liên quan tới yếu tố con người bên trong các hệ thống còn 30% là xuất phát từ bên ngoài mạng nội bộ của các tổ chức thông qua các hành vi truy nhập trái phép hệ thống của hacker. Theo chuẩn quản lý an ninh thông tin (Information Security Management) ISO 17799/BS-7799, trong đó có tiêu chí về “An ninh về nhân sự (Personnel Security)” mô tả trách nhiệm của nhân viên, vai trò của các cá nhân trong an ninh thông tin, nhằm giảm thiểu các sai sót do lỗi của con người, do ăn cắp hoặc lạm dụng tài sản công. Do vậy việc đào tạo người dùng để họ tự bảo vệ các tài nguyên cho máy tính họ và cho cả tổ chức là nhiệm vụ hết sức quan trọng. Đào tạo người dùng biết cách phòng chống các thủ đoạn của hacker như lừa đảo qua email. Ví dụ: hacker thường lợi dụng tính tò mò của người dùng khi tham gia Internet để lấy thông tin khi yêu cầu người dùng nhập vào. Đào tạo người dùng sử dụng các công cụ, phần mềm đúng trình tự, khi cần thiết phải kịp thời báo cáo với người quản trị hệ thống.v.v. Đào tạo người dùng phải tuân thủ nguyên tắc bảo mật và an toàn thông tin của tổ chức, kể cả khi họ không tham gia làm việc tại cơ quan. Hệ thống chống virus Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 71 Để cải thiện tốc độ xử lý của tường lửa, thông thường quản trị mạng không cấu hình kích hoạt tính năng lọc cao cấp của tường lửa (tường lửa ở các vị trí phải xử lý lưu lượng lớn). Khi đó các chương trình quét virus được cài đặt nhằm phát hiện và ngăn chặn các đoạn mã độc, các chương trình gián điệp, các email có tệp tin virus đính kèm.v.v. Nhưng trên thực tế để đầu tư một khối lượng lớn các chương trình virus cho tất cả các máy tính toàn cơ quan thì kinh phí đầu tư khá cao. Để giảm chi phí bản quyền, giải pháp là triển khai mô hình chống virus chủ – khách. Hiện nay có nhiều hãng nỗi tiếng như Norton, Kaspersky, Trend micro .v.v có thể triển khai theo mô hình này. Lợi ích khi triển khai hệ thống là: - Chi phí giảm hơn nhiều so với cài đặt trên từng máy khách - Việc cập nhật phiên bản mới của các máy khách dễ dàng, nhanh chóng và hiệu quả cao. 2.2. Nhu cầu bảo mật Tại sao chúng ta lại phải quan tâm đến vấn đề bảo mật của mạng wireless LAN? Điều này bắt nguồn từ tính cố hữu của môi trường không dây. Để kết nối tới một mạng LAN hữu tuyến bạn cần phải truy cập theo đường truyền bằng dây cáp, phải kết nối một PC vào một cổng mạng. Với mạng không dây bạn chỉ cần có máy của bạn trong vùng sóng bao phủ của mạng không dây. Điều khiển cho mạng hữu tuyến là đơn giản: đường truyền bằng cáp thông thường được đi trong các tòa nhà cao tầng và các port không sử dụng có thể làm cho nó disable bằng các ứng dụng quản lý. Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vật liệu của các tòa nhà và như vậy sự bao phủ là không giới hạn ở bên trong một tòa nhà. Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát từ các mạng LAN này, và như vật ai đó có thể truy cập nhờ thiết bị thích hợp. Do đó mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ. Hình 1 thể hiện một người lạ có thể truy cập đến một LAN không dây từ bên ngoài như thế nào. Giải pháp ở đây là phải làm sao để có được sự bảo mật cho mạng này chống được việc truy cập theo kiểu này. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 72 Hình 3.24. Bảo mật cho các Client Chọn một giải pháp bảo mật mà thích hợp với nhu cầu và ngân sách của công ty, cả cho hiện tại và mai sau. WLAN phổ biến có ích đến mức là một phần chắc chắn vì chúng có thể bổ sung thoải mái. Điều đó có nghĩa là WLAN đã bắt đầu bằng một AP và 5 máy khách rồi phát triển tới 15 AP và 300 máy khách. Những kỹ thuật bảo mật giống nhau làm việc chỉ tốt cho một AP sẽ không thể chấp nhận được, hoặc khi bảo mật, cho 300 người dùng. Một tổ chức có thể sẽ tốn nhiều tiền cho các giải pháp bảo mật khi mà chúng phát triển nhanh chóng như là WLAN. Trong nhiều trường hợp, những tổ chức đã thật sự có sự bảo mật như là kiểm tra sự xâm nhập hệ thống, tường lửa, và máy chủ RADIUS. 2.3. Sử dụng thêm các công cụ bảo mật Nắm được sự thuận lợi của các công nghệ, như là VPN, tường lửa, kiểm tra sự xâm nhập hệ thống – Intrustion Detection Systems (IDS), những chuẩn và giao thức như là 802.1x và chứng thức máy khách với RADIUS có thể giúp tạo nên các giải pháp bảo vệ cao và xa hơn chuẩn 802.11 yêu cầu. Chi phí và thời gian là phương tiện cho các giải pháp tốt hơn từ các giải pháp SOHO đến các giải pháp cho các doanh nghiệp lớn. WiFi Protected Access là phương thức được Liên minh WiFi đưa ra để thay thế WEP trước những nhược điểm không thể khắc phục của chuẩn cũ. WPA được áp dụng chính thức vào năm 2003, một năm trước khi WEP bị loại bỏ. Phiên bản phổ biến nhất của WPA là WPA-PSK (Pre-Shared Key). Các kí tự được sử dụng bởi WPA là loại 256 bit, tân tiến hơn rất nhiều so với kí tự 64 bit và 128 bit có trong hệ thống WEP. Một trong những thay đổi lớn lao được tích hợp vào WPA bao gồm khả năng kiểm tra tính toàn vẹn của gói tin (message integrity check) để xem liệu hacker có thu thập hay thay đổi gói tin chuyền qua lại giữa điểm truy cập và thiết bị dùng WiFi hay Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 73 không. Ngoài ra còn có giao thức khóa toàn vẹn thời gian (Temporal Key Integrity Protocol – TKIP). TKIP sử dụng hệ thống kí tự cho từng gói, an toàn hơn rất nhiều so với kí tự tĩnh của WEP. Sau này, TKIP bị thay thế bởi Advanced Encryption Standard (AES). Tuy vậy điều này không có nghĩa là WPA đã hoàn hảo. TKIP, một bộ phận quan trọng của WPA, được thiết kế để có thể tung ra thông qua các bản cập nhật phần mềm lên thiết bị được trang bị WEP. Chính vì vậy nó vẫn phải sử dụng một số yếu tố có trong hệ thống WEP, vốn cũng có thể bị kẻ xấu khai thác. WPA, giống như WEP, cũng trải qua các cuộc trình diễn công khai để cho thấy những yếu điểm của mình trước một cuộc tấn công. Phương pháp qua mặt WPA không phải bằng cách tấn công trực tiếp vào thuật toán của nó mà là vào một hệ thống bổ trợ có tên WiFi Protected Setup (WPS), được thiết kế để có thể dễ dàng kết nối thiết bị tới các điểm truy cập. Đến năm 2006, WPA chính thức bị thay thế bởi WPA2. Một trong những cải tiến đáng chú ý nhất của WPA2 so với WPA là sự có mặt bắt buộc của AES và CCMP (Counter Cipher Mode with Block Chaining Message Authentication Code Protocol) nhằm thay thế cho TKIP. Tuy vậy, TKIP vẫn có mặt trong WPA2 để làm phương án dự phòng và duy trì khả năng tương tác với WPA. Hiện tại, lỗ hổng bảo mật chính của hệ thống WPA2 không thực sự lộ rõ. Kẻ tấn công phải có quyền truy cập vào mạng WiFi đã được bảo vệ trước khi có thể có trong tay bộ kí tự, sau đó mới có thể tiến hành tấn công các thiết bị khác trong cùng mạng. Như vậy, các lỗ hổng của WPA2 khá hạn chế và gần như chỉ gây ảnh hưởng đến các mạng quy mô lớn như của tập đoàn. Trong khi đó người dùng mạng tại nhà có thể yên tâm với chuẩn mới nhất này. Tuy nhiên không may là lỗ hổng lớn nhất trong bộ giáp của WPA vẫn còn tồn tại trong WPA2, đó là WPS. Mặc dù để thâm nhập được vào mạng lưới được bảo vệ bởi WPA/WPA2 bằng lỗ hổng trên cần tới 2-14 giờ hoạt động liên tục của một máy tính hiện đại, đây vẫn là một mối lo tiềm tàng. Vì thế tốt nhất WPS nên được tắt đi hoặc xóa bỏ hoàn toàn khỏi hệ thống thông qua các lần cập nhật firmware của điểm truy cập. Ngoài ra ta có thê thay đổi một số các thông yếu tố cơ bản sau Cập nhật, nâng cấp Firmware Khi chọn dùng Modem, Router thì các bạn tuyệt đối không nên bỏ qua bước này. Đó là kiểm tra và cập nhật Firmware - phần mềm điều khiển lên phiên bản ổn định mới nhất. Cách tốt nhất là kiểm tra trực tiếp trên trang chủ của những nhà cung cấp thiết bị lớn, có danh tiếng trên thế giới. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 74 Chọn tên Wifi linh hoạt Khi thiết lập, cấu hình Wifi, chắc chắn các bạn phải đổi tên Wifi - SSID (đầy đủ là Service Set Identifier) mặc định rồi. Nếu bạn lười, vẫn giữ nguyên cái tên mặc định (thường có dạng như tplink-wireless, linksys-wifi...) và đặt thêm mật khẩu thì sẽ dễ dàng hơn cho hacker trong việc bẻ khóa Pre-Shared Key (PSK). Vì sao lại nói dễ dàng ở đây? Là vì thông tin SSID dùng trong quá trình hash để tạo ra key - mật khẩu, và bảng dữ liệu rainbow được tối ưu hóa trong việc Brute Force Cracking được chủ yếu áp dụng với các SSID mặc định. Một vấn đề khác với SSID mặc định, đó là các thiết bị thu phát wifi hầu như không thể phân biệt nổi sự khác nhau giữa những hệ thống Wifi có cùng SSID. Điều này sẽ dẫn đến việc máy tính, điện thoại di động sẽ tự động kết nối vào các SSID đó và dẫn đến việc không ổn định. Thêm 1 lý do tế nhị nữa, đó là các vị khác quen thuộc. Nếu bạn cứ giữ nguyên 1 SSID từ năm này qua năm khác, thì rất nhiều người sẽ vô tình kết nối vào hệ thống Wifi của bạn, cho dù họ chỉ đi ngang qua văn phòng, quán cafe... của bạn. Việc đổi SSID định kỳ sẽ giúp hạn chế vấn đề này. Đổi mật khẩu quản trị và hạn chế truy cập Tương tự như với SSID, việc đổi mật khẩu Wifi thường xuyên được các nhà cung cấp giải pháp bảo mật... khuyên dùng. Thời gian là 1 tuần 1 lần hoặc 3 lần trong 1 tháng. Vì việc đổi mật khẩu Wifi cũng khá đơn giản, không mất nhiều thời gian mà sao ít người làm quá. Cách đặt mật khẩu thì cũng dễ nhớ, các bạn chỉ cần tuân theo quy luật: - Tránh những thông tin nhạy cảm, dễ nhớ như tên chủ quán, số điện thoại, ngày sinh nhật... - Thay vào đó là những thông tin trời ơi đất hỡi, bao gồm chữ số và ký tự đặc biệt. Ví dụ:Hoilamgi1234@, Khongcospass&&... ví dụ vậy Một số nhà cung cấp thiết bị có trang bị thêm tính năng hạn chế truy cập - Control Access trong sản phẩm của họ. Bạn có thể thiết lập tính năng hạn chế qua tường lửa, hoặc tắt chế độ truy cập vào quyền admin qua giao thức LAN, WLAN, hoặc trực tiếp từ Wi-Fi. Tắt tính năng Wi-Fi Protected Setup (WPS) Chức năng này được thiết kế để làm quá trình mã hóa tín hiệu Wifi nhanh chóng hơn, dễ dàng hơn. Người dùng chỉ việc chọn, hoặc nhập mã PIN là xong. Tuy nhiên, cách làm này lại chứa khá nhiều lỗ hổng bảo mật, cho phép hacker lợi dụng để bẻ khóa PIN, qua đó chiếm quyền truy cập và điều khiển toàn bộ thiết bị thu phát Wifi. 2.4. Theo dõi việc lừa đảo phần cứng Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 75 Phát hiện ra các AP lừa đảo, sự phát hiện ra các phiên của AP nên lập biểu nhưng không loan báo. Khám phá sự hoạt động và xóa các AP lừa đảo, sẽ giống như là loại bỏ hacker và cho phép người quản trị điều khiển duy trì mạng và bảo mật. Các kiểm định bảo mật nên được thực hiện cho các cấu hình không đúng của các AP mà các cấu hình này có thể gây nên sự nguy hiểm cho việc bảo mật. Tác vụ này có thể kết thúc trong khi theo dõi các AP lừa đảo như là một phần của một sự bảo mật bình thường. Các cấu hình hiện tại nên được so sánh đến các cấu hình trong quá khứ để có thể biết nếu người dùng hoặc hacker cấu hình lại AP. Việc ghi lại các truy cập nên là phương tiện và theo dõi cho mục đích của sự tìm ra bất cứ sự truy cập không chính đáng nào trên các đoạn mạng không dây. Kiểu theo dõi này có thể giúp tìm ra sự những thiết bị máy khách không dây đã mất hoặc bị lấy trộm. 2.5. Switch không phải Hub Một sự chỉ dẫn đơn giản khác là luôn luôn kết nối các AP với các Swicth thay vì các Hub. Các Hub là các thiết bị phát rộng, mỗi gói tin được nhận bởi một Hub sẽ được gửi cho tất cả các Hub khác. Nếu những AP đã kết nối đến Hub, thì mỗi gói tin đi qua đoạn mạng hữu tuyến sẽ bị phát tán. Chức năng này cho đem lại cho các hacker có được các thông tin như là mật mã và những địa chỉ IP. Với hub, một khung dữ liệu được truyền đi hoặc được phát tới tất cả các cổng của thiết bị mà không phân biệt các cổng với nhau. Việc chuyển khung dữ liệu tới tất cả các cổng của hub để chắc rằng dữ liệu sẽ được chuyển tới đích cần đến. Tuy nhiên, khả năng này lại tiêu tốn rất nhiều lưu lượng mạng và có thể khiến cho mạng bị chậm đi (đối với các mạng công suất kém). Ngoài ra, một hub 10/100Mbps phải chia sẻ băng thông với tất cả các cổng của nó. Do vậy khi chỉ có một PC phát đi dữ liệu (broadcast) thì hub vẫn sử dụng băng thông tối đa của mình. Tuy nhiên, nếu nhiều PC cùng phát đi dữ liệu, thì vẫn một lượng băng thông này được sử dụng, và sẽ phải chia nhỏ ra khiến hiệu suất giảm đi. Trong khi đó, switch lưu lại bản ghi nhớ địa chỉ MAC của tất cả các thiết bị mà nó kết nối tới. Với thông tin này, switch có thể xác định hệ thống nào đang chờ ở cổng nào. Khi nhận được khung dữ liệu, switch sẽ biết đích xác cổng nào cần gửi tới, giúp tăng tối đa thời gian phản ứng của mạng. Và không giống như hub, một switch 10/100Mbps sẽ phân phối đầy đủ tỉ lệ 10/100Mbps cho mỗi cổng thiết bị. Do vậy với switch, không quan tâm số lượng PC phát dữ liệu là bao nhiêu, người dùng vẫn luôn nhận được băng thông tối đa. Đó là lý do tại sao switch được coi là lựa chọn tốt hơn so với hub. 2.6. DMZ không dây Một ý tưởng khác trong công cụ bảo mật cho các đoạn mạng WLAN là một tạo vùng phi quân sự không dây – Wireless Demilitarized zone (WDMZ). Tạo những WDMZ sử dụng tường lửa hoặc những bộ định tuyến (Router) có thể phụ thuộc vào Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 76 chi phí của các công cụ. Những WDMZ là các công cụ thông thường trong sự triển khai sắp xếp trung bình – và lớn – của WLAN. Bởi vì các AP về cơ bản không có bảo mật và những thiết bị không đáng tin cậy, những AP này tách rời với các đoạn mạng khách bởi một thiết bị tường lửa. Hình 3.24.DMZ không dây Về mặt địa lý và con người, thì DMZ (Demilitarized Zone – vùng phi quân sự) là một khu vực mà tại đó sự hiện diện của các lực lượng quân đội (gồm binh lính, vũ khí, đạn dược) cũng như các hoạt động quân sự (như do thám, tập trận, đánh nhau) đều không được cho phép. Vì vậy, DMZ được coi như là một vùng ranh giới chia tách hai bên mà là thù địch của nhau và vùng DMZ thường được tạo nên sau những hiệp ước hòa bình, những thỏa thuận đình chiến. Trong thế giới thực, dải đất cắt ngang bán đảo Triều Tiên và phân tách bán đảo này ra thành hai nước là Hàn Quốc và Triều Tiên chính là một ví dụ về DMZ. Còn trong lịch sử chiến tranh Việt Nam thì sông Bến Hải chia tách hai miền nam Bắc cũng là một ví dụ khác về DMZ. Trước khi đi vào giải thích DMZ là gì cũng như tác dụng của nó chúng ta đưa ra một tình huống như thế này. Hệ thống mạng nội bộ (internal network) của một tổ chức thường bao gồm các server cung cấp các dịch vụ cơ bản như: Directory Service (Active Directory, OpenLDAP), DNS, DHCP, File/Print Sharing, Web, Mail, FTP. Trong đó thì các server Web, Mail, FTP thường phải cung cấp các dịch vụ của chúng cho cả những người dùng nằm bên trong lẫn bên ngoài mạng nội bộ của tổ chức. Nếu trường hợp bạn đặt tất cả các server này nằm trong cùng một lớp mạng với các máy trạm của người dùng trong tổ chức thì sẽ như thế nào nếu hacker từ mạng bên ngoài (external network – ví dụ như Internet) kiểm soát được (các) “public server” như Web, Mail, FTP? Rất có thể hacker sẽ dựa vào các server đã bị chiếm đoạt này để đánh vào các server khác (như DNS, DHCP, Directory Service) cũng như thâm nhập sâu hơn vào các máy trạm bên trong. Thế nên ở đây, ta cần có một giải pháp nào đó để hạn chế khả năng mạng internal bị tổn thương khi các public server trên bị tấn công. Và DMZ là một câu trả lời cho vấn đề này. DMZ là một mạng tách biệt với mạng internal vì DMZ sử dụng đường mạng (hoặc có subnet) khác với mạng internal. Và các server như Web, Mail, FTP, VoIP là các dịch vụ tổ chức mong muốn người dùng có thể truy cập và sử dụng thông qua Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 77 các mạng ngoài như Internet được đặt trong vùng DMZ. Còn các server phục vụ cho các mục đích nội bộ như DNS, DHCP, File/Print vẫn được đặt trong vùng internal. Giữa DMZ và mạng external ta có thể đặt một firewall để cho phép các kết nối từ external chỉ đến được DMZ mà thôi. Còn giữa mạng internal và DMZ ta có thể đặt thêm một firewall khác để kiểm soát các lưu lượng từ DMZ đi vào internal. Như vậy, cũng giống với vùng DMZ trong quân sự, DMZ ở đây đã tạo ra sự phân tách giữa hai bên đối nghịch nhau: mạng internal và mạng external. Và có thể nói rằng DMZ đã bổ sung thêm một lớp bảo vệ cách ly cho mạng internal khi mà hacker từ mạng ngoài chỉ có thể tiếp cận tới các máy nằm trong DMZ mà thôi. Hình 3.25 Kết nối DMZ Nếu bạn nghĩ mạng external như là “untrusted network” và mạng internal như là “trusted network” thì có thể coi DMZ như là mạng “nửa tin cậy, nửa không tin cậy” (semi-trusted). Nó không được an toàn như LAN nhưng do nó nằm sau một firewall nên nó an toàn hơn Internet. Hoặc bạn cũng có thể nghĩ về DMZ như là một “liaison network” (mạng có quan hệ bất chính :-p) vì nó có thể liên lạc với cả hai mạng Internet và LAN trong khi nằm giữa hai mạng này như được thể hiện trong hình trên. Nhưng không giống như sự yên ả, không có giao tranh mà ta có thể tìm thấy ở vùng DMZ ngoài đời thực, mạng DMZ ở đây thực sự ẩn chứa rất nhiều rủi ro do các mối đe dọa từ phía ngoài mang lại. Điển hình như việc hacker có thể sử dụng hình thức tấn công từ chối dịch vụ (DoS/DDoS) nhắm vào các server trong DMZ để làm gián đoạn hoặc dập tắt khả năng đáp ứng yêu cầu dịch vụ của các server này cho những người dùng hợp pháp thông thường. Và cũng không giống như sự vô chủ, trung lập của các vùng DMZ ở đời thực, khi tạo ra một DMZ cho tổ chức thì thực sự Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 78 nó là một phần của cả hệ thống mạng nội bộ mà bạn phải kiểm soát chúng thật tốt. “Screened subnet” hoặc “Perimeter network” là những tên gọi khác của DMZ. Kiến trúc xây dựng DMZ DMZ được tạo nên bởi hai thành phần cơ bản là: các địa chỉ IP và các firewall. Có hai đặc điểm nhận dạng quan trọng của DMZ mà bạn cần nhớ là: 1. Nó có một network ID khác so với mạng internal. 2. Nó bị phân tách khỏi mạng Internet và cả mạng internal bởi (các) firewall. Dưới đây tôi sẽ nói rõ hơn về hai đặc điểm này của DMZ Địa chỉ IP dùng trong DMZ Tùy vào kiến trúc của DMZ và cấu hình trên firewall mà một DMZ có thể sử dụng public IP hoặc private IP cho các server trong DMZ. Nếu bạn sử dụng public IP cho DMZ, thường bạn sẽ cần chia mạng con (subnetting) khối địa chỉ IP mà ISP cấp cho bạn để bạn có được hai network ID tách biệt. Một trong hai network ID này sẽ được dùng cho external interface (card mạng nối trực tiếp tới ISP) của firewall và network ID còn lại được dùng cho mạng DMZ. Lưu ý khi chia subnet khối public IP này, bạn phải cấu hình cho router của bạn để các gói tin từ ngoài Internet đi vào sẽ tới được DMZ. Bạn cũng có thể tạo một DMZ có network ID giống với mạng internal nhưng vẫn đảm bảo có sự cách ly giữa DMZ và mạng internal bằng cách sử dụng VLAN Tagging (IEEE 802.1q). Lúc này các server trong DMZ và các máy trạm trong mạng internal đều được cắm chung vào một switch (hoặc khác switch nhưng các switch này được nối với nhau) nhưng được gán vào các VLAN khác nhau. Còn nếu bạn sử dụng private IP cho DMZ, bạn sẽ cần đến NAT (một số firewall hỗ trợ sẵn tính năng này) để chuyển các private IP này sang một public IP (mà được gán cho external interface của firewall nằm giữa Internet và DMZ). Vì một số ứng dụng không làm việc tốt với NAT (ví dụ, Java RMI) nên bạn cân nhắc việc chọn cấu hình NAT hay định tuyến giữa Internet và DMZ. Các Firewall Có nhiều cách khi thiết kế một hệ thống mạng có sử dụng DMZ. Hai mô hình cơ bản và thường gặp nhất là: single firewall (hay three legged firewall) và dual firewall. Dưới đây tôi sẽ nói sơ qua về phương thức hoạt động cũng như ưu khuyết điểm của hai mô hình này. - Với single firewall Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 79 Bạn sẽ chỉ cần tới một thiết bị có ba NIC (network interface card). Trong đó, một NIC nối với mạng external, NIC thứ hai nối với mạng DMZ, và NIC còn lại nối với mạng internal. Hình 3.26. Hệ thống tường lửa Đó là lý do tại sao người ta gọi nó là “three legged firewall” (mỗi “chân” của firewall chính là một NIC của nó). Lúc này “three legged firewall” phải có khả năng kiểm soát toàn bộ traffic vào/ra giữa ba mạng (internal, external và DMZ) và nó trở thành điểm chịu lỗi duy nhất (single point of failure) cho toàn hệ thống mạng. Nếu có sự cố xảy ra với “three legged firewall” này thì cả DMZ và mạng internal đều không còn được bảo vệ nhưng bù lại bạn không phải tốn chi phí đầu tư thêm một firwewall nữa như trong mô hình dual firewall dưới đây. Khi sử dụng single firewall để tạo DMZ, ta có khái niệm trihomed DMZ. Bạn cũng có thể tạo ra hai (hoặc nhiều hơn) vùng DMZ tách biệt có các network ID khác nhau bằng cách cách trang bị thêm số NIC tương ứng cho single firewall. - Với dual firewall Bạn sẽ cần tới hai thiết bị firewall, mỗi firewall có hai NIC và được bố trí như sau: – Firewall thứ nhất (được gọi là front-end firewall) có một NIC nối với mạng external (external interface) và NIC còn lại nối với DMZ (internal interface). Front- end firewall này có nhiệm vụ kiểm soát traffic từ Internet tới DMZ và mạng internal. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 80 – Firewall thứ hai (được gọi là back-end firewall) có một NIC nối với DMZ (external interface) và NIC còn lại nối với mạng internal (internal interface). Back- end firewall này có nhiệm vụ kiểm soát traffic từ DMZ và Internet tới mạng internal. Rõ ràng, so với single firewall thì giải pháp này tuy tốn kém hơn về chi phí triển khai khi phải đầu tư tới hai thiết bị firewall tách biệt nhưng về mặt hiệu suất và độ an toàn cho hệ thống mạng của bạn sẽ được cải thiện. Vậy nên, tùy vào hoàn cảnh của tổ chức và môi trường của từng hệ thống mạng mà bạn nên xem xét lựa chọn giữa single firewall hay dual firewall cho thích hợp. Một số khuyến cáo cho rằng nên chọn hai firewall từ hai nhà cung cấp (vendor) khác nhau với lời giải thích rằng nếu hacker có thể bẻ gãy firewall đầu tiên thì cũng hắn cũng khó khăn hơn trong việc phá vỡ firewall thứ hai bởi chúng được tạo nên theo những cách khác nhau. Còn bạn, bạn nghĩ như thế nào về điều này? 2.7. Phần mềm hệ thống và nâng cấp phần mềm Nâng cấp phần mềm hệ thống và các bộ phận điều khiển (driver) trong các AP và các card không dây. Điều này luôn luôn đúng để sử dụng phần mềm hệ thống mới nhất và các bộ phận điều khiển trong các AP và các card không dây. Những nhà sản xuất thường thường đưa ra những sữa chữa, bảo mật các lỗ hổng mạng, và bật những tính năng mới với những nâng cấp này. 2.8. Các thiết bị bảo mật Giống như gắn một cánh cửa vào một tòa nhà để tránh kẻ trộm, những doanh nghiệp phải điều khiển vành đai mạng của họ. Theo truyền thống của mạng hữu tuyến, tường lửa là lựa chọn hoàn hảo cho việc này. Tuy nhiên, WLAN giới thiệu một Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 81 lựa chọn tốt hơn từ sự điều khiển tự nhiên của truyền sóng vô tuyến. Với dữ liệu và những kết nối mạng phát rộng thông qua không khí và đi qua cửa sổ, tường, trần nhà và sàn nhà, vành đai của WLAN có thể gặp khó khăn để điều khiển cũng như xác định chúng. Tuy nhiên, nhiều doanh nghiệp có thể điều khiển vành đai của WLAN bởi những thiết bị bảo mật hoạt động như là điểm cuối của mạng. Điều khiển vành đai của WLAN bắt đầu với việc triển khai các tường lửa cá nhân trên chiếc mỗi tính máy sách tay và cũng bao gồm triển khai những AP của các doanh nghiệp có sự bảo mật và khả năng quản lý cao. WLAN nên cách ly với mạng hữu tuyến để cho phép quản lý cụ thể và những chính sách bảo mật không ảnh hưởng đến mạng hữu tuyến. Tất cả các AP phải hoàn toàn được khóa lại và cấu hình lại từ các thiết lập mặc đinh. SSIDs và những mật khẩu của AP phải thay đổi từ những tên mặc định ban đầu. Vài tổ chức được thành lập để thiết lập những kênh của thao tác cho mỗi AP để nhận dạng tất cả các kênh đã tắt khi có những hành động nghi ngờ. 2.9. Bảo mật thông tin – Chứng thực và mã hóa Trong sự triển khai bảo mật WLAN, điều khó nhất cho người quản lý mạng và bảo mật là lựa chọn làm sao để bảo mật thông tin WLAN với nhiều loại chứng thực và mã hóa. Giống như việc cài đặt khóa và những chìa khóa để điều khiển cho ai có thể mở nó, tầng tiếp theo của bảo mật WLAN là điều khiển người dùng có thể truy cập WLAN. Để cung cấp những chứng thực cơ bản, AP hỗ trợ địa chỉ lọc MAC, duy trì một danh sách những địa chỉ MAC hợp lệ. Trong khi điều này không mấy rõ ràng, lọc địa chỉ MAC cung cấp những điều khiển cơ bản vượt lên những trạm có thể kết nối tới mạng của bạn. Những tổ chức tin vào cách lọc địa chỉ mạng ở trên cho việc điều khiển cho phép chính họ tấn công đến kẻ đột nhập. Những doanh nghiệp lớn hơn với WLAN phức tạp có hàng trăm trạm và hàng tá AP yêu cầu việc điều khiển truy cập tinh xảo hơn thông qua dịch vụ hợp nhất chứng thực quay số từ xa – Remote authentication dial-in service (RADIUS). Cisco Systems, Microsoft, và Funk Software là những tập đoàn dẫn đầu trong lĩnh vực này. Quan tâm đến những công nghệ tiêu chuẩn, IEEE giới thiệu chuẩn 802.1x cung cấp các điểm điều khiển truy cập đơn giản, xác nhập với việc máy chủ chứng thực. tuy nhiên, vài phiên bản của 802.1x đã có vài lỗ hổng. Cisco giới thiệu Giao thức chứng thực có thể mở rộng - LightWeight Extensible Authentication Protocol (LEAP) như là giải pháp chứng thực riêng dựa trên chuẩn 802.1x nhưng thêm vào những phần Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 82 tử riêng của bảo mật. LEAP là một phần thêm của việc bảo mật, và Cisco chuyển từ LEAP sang Giao thức Chứng thực bảo vệ mở rộng – Protected Extensible Authentication Protocol (PEAP). Sự mã hóa cung cấp lõi của bảo mật cho WLAN bằng cách bảo vệ dữ liệu mà giao với sóng không khí. Tuy nhiên, những lỗi của các chuẩn mã hóa và chứng thực vẫn chưa được bổ sung. Giao thức toàn bộ khóa biểu thị thời gian – Temporal Key Integrity Protocol (TKIP) được giới thiệu đến những địa chỉ thiếu sót của WEP với mỗi gói dữ liệu có khóa trộn lẫn, một thông báo kiểm tra toàn bộ và một bộ máy gán lại khóa. Những công nghệ chuẩn mới và những giải pháp độc quyền giờ đây đã được giới thiệu cả hai kênh điều khiển mã hóa và chứng thực. Cisco, RSA Security, và Microsoft phát triển PEAP như là một trong những giải pháp độc quyền. Tuy nhiên, Microsoft và Cisco đã tách rời PEAP của họ để nổ lực phát triển và giới thiệu những phiên bản của giao thức này. Phiên bản PEAP của Microsoft không làm việc với các phiên bản PEAP của Cisco. Trong khi phiên bản PEAP của Microsoft gói gọn trong máy tính sách tay, thì phiên bản PEAP của Cisco đề nghị phải cài phần mềm cho máy khách và quản lý trên mỗi trạm người dùng trong WLAN. Trong tháng 6 năm 2003, khối liên minh Wi-Fi Bảo Vệ truy cập Wi-Fi – Wi- Fi Protected Access (WPA) như là một chuẩn cấp thấp của chuẩn bảo mật tương lai 802.11i trong TKIP. Những đại lý tốt nhất loan báo rằng những AP đang hoạt động có thể được nâng cấp phần sụn từ sự hỗ trợ của WPA. Tuy nhiên, những AP mới sẽ cần một chuẩn 802.11i phiên bản cuối. Mạng riêng ảo – Virtual Private Network (VPN) của những cổng vào WLAN cung cấp một chuẩn riêng khác về mã hóa và chứng thực. Tường lửa và các đại lý cổng vào VPN, như là Check Point và NetScreen Technologies, VPN về cơ bản là một đường hầm internet dùng để vận chuyển giao thức ngoại lai ngang qua mạng. Những giải pháp của VPN là dùng giao thức IPSec (IP Security) và không làm việc tốt với WLAN khi người dùng đi lang thang giữa AP hoặc tín hiệu có thể bị biến đổi và hạ thấp, và sẽ có nhiều người dùng chứng thực lại và bắt đầu một tác vụ mới. 3. QUẢN LÝ 3.1. Theo dõi WLAN Như là một chiếc máy quay phim, theo dõi tất cả các hoạt động trong ngày, theo dõi nhận dạng những kẻ xâm nhập WLAN, dò tìm những kẻ xâm phạm và những mối đe dọa sắp đến, và gán các chính sách bảo mật cho WLAN (enforce policies). Một ví dụ cho việc cần thiết phải theo dõi : AP được nâng cấp bởi WPA, AP phải Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 83 được theo dõi để chắc rằng AP đó vẫn có cấu hình đúng. Theo dõi WLAN của các doanh nghiệp cần phải rõ ràng rành mạch. Vài giải pháp đã được thực hiện cho các tổ chức nhỏ nhưng không đủ qui mô cho các doanh nghiệp lớn hơn với hàng tá hoặc hàng trăm công ty trên khắp thế giới. Những doanh nghiệp lớn yêu cầu những giải pháp có hiệu quả, có sự quản lý trung tâm và không đòi hỏi nhiều tài nguyên con người. Windows 7 là hệ điều hành desktop thứ ba của Microsoft hỗ trợ việc kết nối mạng không dây. Nếu bạn đã từng sử dụng Windows XP và Windows Vista để thực hiện các kết nối mạng không dây trước đây thì bạn sẽ thấy được những ưu điểm mới trong kết nối mạng không dây của Windows 7 (bạn sẽ thấy sự dễ dàng trong thiết lập và duy trì hơn rất nhiều so với hai phiên bản trước). Sự khác biệt trong sự hỗ trợ các mạng không dây của Windows 7 bắt đầu ngay khi Windows 7 phát hiện một mạng không dây nào đó. Khám phá các mạng không dây Windows 7 đã cải thiện rất nhiều về khả năng phát hiện mạng không dây tự động có trong Windows XP và Windows Vista. Lưu ý: Windows 7 sử dụng dịch vụ WLAN AutoConfig (được giới thiệu đầu tiên trong Windows Vista) để quản lý các mạng không dây thay cho dịch vụ Wireless Zero Configuration được sử dụng bởi Windows XP. Trong khi đó Windows 7 phát hiện được các mạng không dây mà bạn có thể kết nối nhưng không có một kết nối mạng tích cực nào, lúc này nó sẽ hiển thị một biểu tượng được đánh dấu bằng một ngôi sao trong vùng thông báo của desktop. Biểu tượng này là “Not connected – Connections are Available” có nghĩa “Không kết nối – Các kết nối hiện có vẫn có sẵn”. Để bắt đầu quá trình kết nối, bạn hãy kích vào biểu tượng để hiển thị các mạng không dây được phát hiện (Hình 3.27). Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 84 Hình 3.27. Mở hộp thoại các kết nối không dây từ vùng thông báo Như những gì bạn thấy trong hình , bạn có thể kết nối với một loạt các mạng không dây khác nhau bằng Windows 7. Những mạng này gồm có: - Infrastructure - Ad-hoc - Unsecured (open) - Secured (encrypted) Các kết nối WLAN được liệt kê với một biểu tượng cường độ tín hiệu chính là các kết nối cơ sở hạ tầng. Một kết nối cơ sở hạ tầng sử dụng một điểm truy cập không dây (WAP) hoặc một router không dây để kết nối bạn đến các máy tính khác trên mạng và với Internet. Các kết nối WLAN đang được hiển thị bằng một biểu tượng là các kết nối ad- hoc. Kết nối ad-hoc là một liên kết trực tiếp giữa hai máy tính hoặc giữa hệ thống với một máy in, thiết bị đa chức năng, camera số hoặc các thiết bị khác. Các kết nối này không thể kết nối bạn trực tiếp đến Internet. Các kết nối được đánh dấu bằng một hình khiên bảo mật màu vàng của Windows là các kết nối không an toàn (hay có thể nói là kết nối mở). Các kết nối này không sử dụng các khóa mã hóa. Các mạng cơ sở hạ tầng không an toàn thường được sử dụng ở những vị trí có dịch vụ Internet miễn phí chẳng hạn như các phòng chờ trong các khách sạn, thư viện, phòng hội thảo, nhà hàng hoặc các quán cà phê. Các mạng Ad-hoc cũng thường được thiết lập cho truy cập không an toàn. Các kết nối không có biểu tượng khiên bảo mật màu vàng của Windows là các mạng không dây an toàn. Bạn phải cung cấp khóa mã hóa được sử dụng cho mạng khi kết nối đến mạng không dây kiểu này. Để có thêm thông tin chi tiết về các kết nối mạng, bạn có thể đưa chuột qua kết nối (xem trong hình 3.28) Hình 3.28. Kết nối này làm việc với các adapter không dây 2.4GHz (802.11g) và 5GHz (802.11a). Kết nối đến một mạng không dây không an toàn Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 85 Nếu bạn thường xuyên phải lưu động trong quá trình làm việc, chắc chắn bạn sẽ bắt gặp rất nhiều các mạng không dây không an toàn. Đây là cách kết nối với các mạng không an toàn và lưu các kết nối này để sử dụng lại lần sau. Để kết nối với một mạng không dây không an toàn: - Mở danh sách các mạng không dây (xem hình 3.27) - Kích vào kết nối không an toàn (xem hình 3.27) - Để lưu kết nối nhằm sử dụng lại sau này, kích vào hộp kiểm Connect Automaticallytrống (hình 3.29A). - Kích Connect để tạo kết nối (hình 3.29B). . Hình 3.29: Lưu kết nối không an toàn để sử dụng lại (A) và kết nối với mạng không an toàn (B) - Sau khi kết nối đến một mạng không an toàn, chọn kiểu mạng Public Network. ChọnPublic Network (hình 3.30), khi đó bạn sẽ cấu hình Windows Firewall để đóng các chia sẻ mạng trên máy tính của mình và ngăn chặn truy cập không xác thực. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 86 Hình 3.30: Chọn Public Network sẽ cung cấp mức bảo mật tối đa cho một kết nối không dây không an toàn Nếu bạn lưu kết nối (bước 3), Windows 7 sẽ tự động tạo kết nối bất cứ khi nào hệ thống của bạn phát hiện ra mạng này lần sau. Kết nối đến một mạng không dây an toàn Bạn cũng có thể kết nối với một mạng không dây không dây an toàn (được mã hóa) từ vùng thông báo. Đây là cách thực hiện: - Mở danh sách các mạng không dây (xem hình 3.27) - Kích vào một kết nối an toàn (các mạng này không bị dánh dấu bằng một biểu tượng khiên màu vàng). - Để lưu kết nối để sử dụng sau này, kích vào hộp kiểm Connect Automatically. - Kích Connect để bắt đầu quá trình kết nối. - Nhập khóa bảo mật của mạng (WPA, WPA2 hoặc WEP) khi được nhắc nhở. Mặc định, bạn có thể thấy các chữ cái khi đánh (hình 3.31A). Kích vào hộp kiểm Hide Characters để ẩn các chữ cái để giữ bảo mật tốt hơn (hình 3.31B). Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 87 Hình 3.31: Nhập vào khóa bảo mật mạng - Sau khi kết nối đến một mạng bảo mật, chọn mạng Home hoặc Work để cấu hình Windows Firewall thích hợp cho kiểu mạng (xem hình 3.30). Nếu bạn muốn thiết lập hoặc gia nhập một homegroup, hãy sử dụng kiểu mạng Home Network. Tự động kết nối lại với các mạng không dây Windows 7 sẽ tự động kết nối trở lại với một mạng không dây được lưu khi máy tính của bạn nằm trong phạm vi và nếu mạng quảng bá SSID của nó. Để xác định xem Windows đã kết nối vào một mạng không dây nào đó hay chưa, bạn chỉ cần quan sát biểu tượng mạng không dây trong vùng thông báo (hình 6). Hình 3.32: Các mạng không dây có sẵn Số các vạch chỉ thị trong hình 3.32 B chỉ thị cường độ tín hiệu của kết nối không dây. Khi bạn đưa chuột qua biểu tượng kết nối không dây, tên của kết nối mạng không dây hiện hành sẽ xuất hiện (Hình 3.33) . Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 88 Hình 3.33: Đưa chuột qua biểu tượng để xem tên kết nối mạng không dây. Kết nối vói các mạng không dây có SSID ẩn. Windows 7 sẽ phát hiện các mạng không dây không quảng bá SSID là "Other Network". Để kết nối với một mạng không quảng bá, nhập vào SSID của mạng cũng như khóa mã hóa khi được nhắc. Mở một website để hoàn tất kết nối Một số kết nối không dây yêu cầu bạn phải đồng ý với thỏa thuận của dịch vụ hoặc phải truy cập chứng chỉ an toàn trước khi bạn có thể sử dụng chúng. Windows 7 sẽ nhắc nhở bạn sự kiện cần thiết bằng cách hiển thị thông báo "Additional Log On Information May Be Required" (Hình 3.34). Kích thông báo để mở trình duyệt của bạn và hoàn tất quá trình. Hình3.34: Kích thông báo để mở trang web cần thiết để hoàn tất quá trình kết nối vào một mạng không dây. Quản lý các kết nối không dây Như những gì giới thiệu ở trên, Windows 7 sẽ nhắc nhở bạn lưu kết nối không dây ngay khi bạn bắt đầu quá trình kết nối. Để quản lý các kết nối không dây, mở Network and Sharing Center (bạn có thể mở nó từ hộp thoại kết nối mạng trong vùng thông báo hoặc từ Control Panel). Kích liên kết Manage Wireless Networks trong panel trái ( Hình 3.35) để bắt đầu việc quản lý. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 89 Hình 3.35: Mở hộp thoại Manage Wireless Connections từ Network and Sharing Center. Hộp thoại quản lý các kết nối mạng không dây (hình 3.36) được sử dụng để thêm, bớt hoặc xắp xếp lại các kết nối mạng không dây. Bạn cũng có thể hiển thị các thuộc tính của adapter không dây, chọn kiểu thuộc tính hoặc mở Network and Sharing Center. Hình 3.36: Hộp thoại quản lý các kết nối không dây Kết nối mạng không dây ở vị trí trên cùng của danh sách là mạng được ưu tiên. Để chuyển một kết nối khác lên phía trên của danh sách, hãy chọn nó và kích Move Up cho tới khi kết nối đó nằm phía trên danh sách. Để bỏ một kết nối mà bạn không muốn sử dụng, hãy chọn kết nối đó và kích Remove. Để bổ sung một kết nối, kích Add và cung cấp các thông tin cần thiết, chẳng hạn như SSID, kiểu mã hóa, khóa mã hóa và, Xem thuộc tính và thiết lập kết nối Internet chia sẻ Để xem các thuộc tính cho adapter không dây, kích các thuộc tính Adapter (Hình 3.37) từ hộp thoại quản lý mạng không dây được hiển thị trong hình 3.36. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 90 Hình 3.37: Tab Networking của trang thuộc tính adapter sẽ liệt kê các thành phần đang được sử dụng và cho phép bạn cài đặt hoặc hủy bỏ cài đặt các thành phần. Tab Sharing được sử dụng để cấu hình hệ thống của bạn như một Internet Connection Sharing host (hình 3.38). Một ICS host sẽ cung cấp truy cập Internet đến các máy tính trong mạng thông qua kết nối Internet của chính nó. Bạn có thể sử dụng ICS cùng với một điểm truy cập không dây (hoặc switch hay hub được chạy dây) như một cách khác để sử dụng router. Hình 3.38: Tab Networking của trang thuộc tính adapter không dây sẽ liệt kê các Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 91 thành phần mạng đang được sử dụng và cho phép bạn cài đặt hoặc hủy bỏ cài đặt các thành phần Kích hộp kiểm Allow Other Network Users to Connect để kích hoạt ICS. Để chỉ định dịch vụ nào ICS sẽ hỗ trợ, kích nút Settings và chọn Services từ danh sách Services(hình 3.39). Hình 3.39: Sử dụng nút Settings để cấu hình kết nối ICS không dây Lưu ý: Để tìm hiểu thêm về việc sử dụng ICS, kích liên kết Using ICS (Internet Connection Sharing) trong hình 3.38. Hủy kết nối từ một kết nối không dây Để hủy kết nối từ một kết nối không dây, mở biểu tượng mạng không dây trong vùng thông báo, kích chuột phải lên kết nối hiện hành và chọn Disconnect (hình 3.40). Bạn cũng có thể kiểm tra trạng thái mạng và các thuộc tính từ hộp thoại này. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 92 Hình 3.40: Chuẩn bị để hủy kết nối khỏi một mạng không dây 3.2. Yêu cầu cho quản trị WLAN Bảo mật WLAN cũng giống như sự bảo mật của mạng hữu tuyến, dẫn đến sự quản lý đúng đắn cho việc quản lý WLAN. Những nhà quản lý mạng nên thật sự biết rõ những yêu cầu cơ bản của việc quản lý WLAN nhưng phải có những giải pháp chủ chốt trong việc chẩn đoán lỗi, cấu hình quản lý, tạo trương mục sử dụng mạng, thực hiện việc theo dõi, và gán các chính sách (policy). Quản lý một mạng không dây nhỏ có khoảng 5 hoặc 10 AP có thể dễ dàng hoàn thành với việc xây dựng chức năng trong những AP. Tuy nhiên, quản lý một mạng không dây lớn hơn khoảng từ 12 đến hàng trăm AP trong phạm vi trường sở hoặc trong phạm vi nhiều khu vực của cả nước yêu cầu cần phải có thêm những giải pháp để có thể hỗ trợ, phân bổ một cách tự nhiên trong mạng. Quản lý những mạng không dây sẽ cảm thấy hài lòng với sự kết hợp của các giải pháp cung cấp cơ sở hạ tầng cho mạng không dây, như là Cisco System và Symbol Technologies, nhiều công ty đã bắt đầu, như là Aruba Networks và Trapeze Networks. Tuy nhiên, hệ thống quản lý mạng không dây tốt nhất là tính đến sự giới hạn bởi những khả năng để chỉ quản lý AP sản xuất bởi đại lý cung cấp của hệ thống WLAN. 3.3. Quản lý cấu hình Quản lý các cấu hình của mạng không dây thông qua tất cả các AP và các trạm thường đưa ra những thách thức lớn cho việc quản lý mạng. Trong mức độ khó nhất, mỗi thiết bị phải có quan hệ chắc chắn đến các thiết lập thích hợp cho việc bảo mật, sự thực thi và những chính sách đúng đắn. Có nhiều sự đề nghị để quản lý mạng WLAN, như là Cisco’s Wireless LAN Solution Engine (WLSE) hoặc Symbol’s Wireless Switch System, có thể quản lý từ xa các cấu hình AP và áp dụng nhiều các cấu hình tạm thời đến các đoạn mạng khác nhau của một mạng không dây. Quản lý các cấu hình người dùng gặp phải những thách thức lớn hơn bởi vì những người quản lý mạng có thể không hướng dẫn truy cập người dùng tới tất cả các trạm, và một số ít trạm có thể là những dự án tốn nhiều thời gian. Theo dõi tốc độ xử lý của máy và cấu hình phần dây phụ để chắc rằng những Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 93 AP và những trạm còn lại vẫn trong trạng thái cấu hình xác định. Sự tràn năng lượng hoặc ngưng hoạt động có thể làm cho AP tự động xác lập lại các thiết lập mặc định. Các nhân viên có thể thay đổi những thiết lập cho thiết bị để có thể truy cập mạng trở lại. Phân tích lưu lượng của mạng không dây để nhận dạng các mạng cấu hình sai. Cài đặt Router không dây. Một router không dây hỗ trợ cho một mạng WLAN.Sử dụng router không dây cho mạng trên nếu: - Chúng ta đang xây dựng mạng gia đình đầu tiên, hoặc chúng ta muốn xây dựng lại mạng gia đình để không dây hoàn toàn. - Chúng ta muốn thiết lập WLAN ở mức đơn giản nhất có thể.Cố gắn lắp đặt router không dây ở vị trí trung tâm nhất trong không gian nhà chúng ta.Trong mạng Wi-fi, máy tính đặt gần với router sẽ có tốc độ cao hơn máy tính đặt xa.Kết nối router không dây đều hỗ trợ modem băng thông rộng và một số hỗ trợ kết nối điện thoại qua dịch vụ Internet quay số.Cuối cùng cho các router không dây tích hợp sẵn một điểm truy cập nên chúng ta có quyền kết nối với một router đi dây, switch hoặc hub..Tiếp theo nên chon một tên mạng.Trong mạng Wi-fi, tên mạng thường được gọi là SSID.Router và tất cả máy tính trong WLAN phải chia sẻ cùng SSID.Mặc dù mỗi router được gắn một tên mặc định do nhà sản xuất đặt, nhưng tốt nhất là chúng ta nên thay đổi nó vì lí do an toàn.Tham khảo tài liệu hướng dẫn đi kèm của nhà sản xuất để biết tên mạng cho từng router không dây cụ thể. - Cuối cùng thực hiện theo hướng dẫn trong tài liệu đi kèm khi mua router của nhà sản xuất để sử dụng chức năng bảo mật WEP, bật chức năng tường lửa và các tham số yêu cầu. Cài đặt điểm truy cập không dây. Mỗi điểm truy nhập không dây hỗ trợ một mạng WLAN.Sử dụng điểm truy nhập không dây trên mạng gia đình của chúng ta nếu: - Không cần các thành phần mở rộng do router không dây cung cấp. - Đang mở rộng một mạng Ethernet đi dây. - Có ( hoặc sẽ có) từ 4 máy tính không dây trở lên nằm rải rác khắp nhà. - Cố gắng cài đặt điểm truy cập ở vị trí trung tâm nếu có thể.Kết nối nguồn và kết nối Internet số nếu muốn.Cũng cần nối cáp điểm truy cập với router LAN, switch hoặc hub. Cấu hình bộ điều hợp không dây. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 94 Cấu hình bộ điều hợp sau khi lắp đặt router không dây hoặc điểm truy cập (nếu có).Đưa bộ điều hợp vào các máy tính theo giải thích của tài liệu hướng dẫn sản phẩm.Bộ điều hợp Wi-fi đòi hỏi giao thức TCP/IP phải được cài đặt trên máy trạm.Mỗi nhà sản xuất đều cung cấp một tiện ích cấu hình cho bộ điều hợp của họ. Cấu hình mạng WLAN gia đình đặc biệt Tất cả bộ điều hợp Wi-fi đều đòi hỏi chúng ta phải chọn giữa mô hình cơ sở hạ tầng và mô hình đặc biệt.Khi sử dụng điểm truy cập không dây hay router, chúng ta cần đặt tất cả bộ điều hợp không dây ở mô hình cơ sở hạ tầng. Ở mô hình này, bộ điều hợp không dây sẽ tự động dò tìm và thiết lập mã số kênh WLAN để khớp với điểm truy cập. Cấu hình phần mềm chia sẻ kết nối Internet. Chúng ta chỉ có thể chia sẻ kết nối Internet qua mạng không dây ad-hoc.Để thực hiện điều này, đặt một trong các máy tính của chúng ta là máy trạm.Máy tính này sẽ giữ kết nối modem và rõ rang là phải được cung cấp nguồn bất cứ khi nào mạng được sử dụng.Microsoft Windows cung cấp một thành phần có tên Internet Sharing(ISC), hỗ trợ trong mạng WLAN. 3.4. Chẩn đoán lỗi Các nhân viên và những người dùng có thể có lợi ích từ mạng không dây chỉ khi nó hoạt động. Đáp ứng các cuộc gọi hỗ trợ có thể là một thao tác làm át hẳn phạm vi hoạt động của IT (Information Technology) để đáp ứng sự hỗ trợ mạng không dây trong các vị trí điều khiển. Những thiết bị quản lý mạng không dây, được cung cấp bởi Cisco và Symbol, có thể thăm dò những thiết bị mạng từ mạng hữu tuyến để quan sát những nét đặc trưng và thuộc tính của các thiết bị đó, rồi báo cho các nhân viên các kết quả thu được. Trong một mức cao hơn của việc chuẩn đoán lỗi : việc theo dõi tốc độ xử lý của máy, khảo sát những thiết bị WLAN, phân tích những kiểu dáng lưu lượng và báo cáo những thiết bị lỗi và những tạp nhiễu quá mức trong không khí dẫn đến làm tê liệt mạng không dây. 3.5. Theo dõi sự thực thi Sau lần đầu tiên chắc rằng mạng đã hoạt động, những người quản lý mạng phải theo dõi và phân tích việc hoạt động của một WLAN bảo đảm mạng này hoạt động tốt nhất. Những công cụ quản lý WLAN, như là Cisco WLSE, có thể cung cấp vài thông tin thực thi từ mạng hữu tuyến. Thêm vào đó, theo dõi tốc độ xử lý máy tính sẽ xác định được những thực thi phát sinh mà có thể chỉ thấy được từ không khí, như là tín hiệu bị hạ thấp từ sự chồng lấp kênh, sự can thiệp tầng số từ những thiết bị có chuẩn 802.1x, và lượng quá tải của một AP. Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 95 3.6. Trương mục – Cách sử dụng mạng Nhiều như những việc chẩn đoán lỗi và kiểm tra thực thi, trương mục cho việc sử dụng mạng là thực hiện việc nối gần các nền tảng quản lý và theo dõi liên tục. Những nền tảng quản lý mạng từ những nền tảng giống của Cisco và Symbol kết nối các trạm của WLAN tới những ứng dụng khác nhau trên mạng cho mục đích tiến hành tạo trương mục. Kiểm tra lưu lượng mạng WLAN thông qua sóng không khí cho phép những người quản lý mạng kiểm tra việc sử dụng mạng cơ bản trên công suất cao nhất của mỗi AP và băng thông cao nhất – những trạm chi phối và những AP. Điều này cho phép những người quản lý mạng có sơ đồ cho việc tăng công suất khi cần thiết và đối phó với những người dùng riêng lẻ lạm dụng WLAN để tải xuống những tập tin không liên quan đến công việc của công ty, như là MP3, 3.7. Gán chính sách ( Policy) Sự bằng lòng cho các chính sách đi qua WLAN ảnh hưởng đến hầu hết mỗi khía cạnh của việc quản lý và bảo mật mạng. Các chính sách khống chế các cấu hình, việc sử dụng, các thiết lập bảo mật, và những giới hạn thực thi của WLAN. Tuy nhiên, các chính sách bảo mật và quản lý sẽ vô ích khi mạng đã đặt sự theo dõi cho các chính sách được ưng thuận và tổ chức có những bước hoạt động để gán các chính sách. Theo dõi tốc độ xử lý máy tính, theo dõi 24x7 của lưu lượng không dây phát sinh các vi phạm chính sách sau : - Những kẻ lừa đảo WLAN – bao gồm cả phần mềm cho các AP. - Không có chứng thực hoặc mã hóa. - Những trạm không được phép. - Các mạng ngang hàng. - Các SSID mặc định hoặc không thích hợp. - Những AP và những trạm trung tâm trên các kênh không được phép. - Lưu lượng trong thời gian không phải cao điểm. - Các đại lý phần cứng không được cấp phép. - Tỷ lệ dữ liệu không cho phép. - Những giới hạn thực thi biểu thị sức ổn định của WLAN Câu hỏi ôn tập chương 3 Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 96 Câu 1: Hãy nêu các chế độ hoạt động của Access Point. Câu 2: Nêu sự khác nhau giữa các chế độ hoạt động đó. Câu 3: Tầm quan trọng của công tác bảo mật mạng không dây. Câu 4: Nêu ưu và nhược điểm của các chính sách bảo mật. Câu 5: Hãy nêu các bước quản trị VLAN. Câu 6: Hãy nêu các bước quản lý cấu hình và chuẩn đoán lỗi TÀI LIỆU THAM KHẢO - KS Nguyễn Công Minh, giáo trình hướng dẫn cài đặt gỡ rối và sửa chữa mạng không dây , Nxb Giao thông vận tải; - KS Huỳnh Quyết Thắng, Giáo trình lập trình ứng dụng web và mạng không dây( tập 1), Nxb Khoa học và Kỹ thuật Hà Nội; - KS Huỳnh Quyết Thắng, Giáo trình lập trình ứng dụng web và mạng không dây( tập 2), Nxb Khoa học và Kỹ thuật Hà Nội; Giáo trình môn: Công nghệ mạng không dây Trường Cao đẳng nghề Yên Bái 97 MỤC LỤC LỜI NÓI ĐẦU ................................................................................................................................. 1 Chương 1 ......................................................................................................................................... 2 GIỚI THIỆU VỀ WIRELESS .......................................................................................................... 2 1. LỊCH SỬ PHÁT TRIỂN ......................................................................................................... 2 2. TRUYỀN THÔNG VÔ TUYẾN ............................................................................................. 3 3. TRUYỀN THÔNG DI ĐỘNG ................................................................................................. 5 4. TRUYỀN THÔNG LAN VÔ TUYẾN .................................................................................... 9 5. WIRELESS BRIDGING AND INTERNETWORKING ........................................................ 10 6. TIÊU CHUẨN MẠNG KHÔNG DÂY HIỆN NAY .............................................................. 11 7. VAI TRÒ TRUY CẬP ........................................................................................................... 16 8. MẠNG MỞ RỘNG ............................................................................................................... 17 9. XÂY DỰNG KẾT NỐI ......................................................................................................... 20 10. TÍNH DI ĐỘNG .................................................................................................................. 26 11. VĂN PHÒNG NHỎ - VĂN PHÒNG NHÀ ......................................................................... 27 12. VĂN PHÒNG DI ĐỘNG .................................................................................................... 28 Chương 2 ....................................................................................................................................... 30 CÁC TẦNG CỦA MẠNG KHÔNG DÂY ...................................................................................... 30 1. CÁC TẦNG CỦA MẠNG HỮU TUYẾN .............................................................................. 30 2. CÁC TẦNG CỦA MẠNG VÔ TUYẾN ................................................................................. 39 3. BẮT ĐẦU .............................................................................................................................. 41 4. CÁC CỔNG VÀO (GATEWAY) ........................................................................................... 42 5. BỘ ĐỊNH TUYẾN KHÔNG DÂY......................................................................................... 42 6. CÁC ĐIỂM TRUY CẬP ........................................................................................................ 44 7. THIẾT BỊ CHO MÁY TÍNH ĐỂ BÀN .................................................................................. 44 8. THIẾT BỊ CHO MÁY TÍNH XÁCH TAY ............................................................................. 45 9. TÌM KIẾM NHÃN WIFI ....................................................................................................... 46 10. LÀM CHO MỌI THỨ HOẠT ĐỘNG ................................................................................. 46 Chương 3 ....................................................................................................................................... 48 BẢO MẬT VÀ QUẢN LÝ MẠNG KHÔNG DÂY ........................................................................ 48 1. ACCESS POINT .................................................................................................................... 48 2. BẢO MẬT ............................................................................................................................. 61 3. QUẢN LÝ ............................................................................................................................. 82