Tải bản đầy đủ (.pdf) (50 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Giáo trình môn công nghệ mạng không dây phần 2

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.13 MB, 50 trang )

Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

Chương 3
BẢO MẬT VÀ QUẢN LÝ MẠNG KHÔNG DÂY
1. ACCESS POINT
Access Points ( APs) đầu tiên được thiết kế cho các khu trường sở rộng rãi.
Nó cung cấp các điểm đơn mà người quản trị có thể cấu hình nó. Nó có những đặc
thù cho phép một hoặc hai sóng vô tuyến cho mỗi AP. Về mặt lý thuyết, AP hỗ trợ
hàng trăm người dùng cùng một lúc. AP được cấu hình bởi ESSID ( Extended
Service Set ID). Nó là một chuỗi các nhận dạng mạng không dây. Nhiều người sử
dụng chương trình máy khách để cấu hình và có một mật khẩu đơn giản để bảo
vệ các thiết lập của mạng.
- Hầu hết các AP đều tăng cường cung cấp các tính năng, như là :
- Tính năng lọc địa chỉ MAC. Một sóng vô tuyến của máy khách cố gắng
truy cập phải có địa chỉ MAC trong bảng địa chỉ của AP trước khi AP cho phép
kết hợp với AP.
- Tính năng đóng mạng. Thông thường, một máy khách có thể chỉ định một
ESSID của bất cứ sự kết hợp nào với bất cứ một mạng hiện hữu nào. Trong tính
năng đóng mạng, máy khách phải chỉ định ESSID rõ ràng, hoặc nó không thể
kết hợp với AP.
- Tính năng Anten ngoài.
- Tính năng kết nối liên miền.
- Bản ghi mở rộng, thống kê, và thực hiện báo cáo.

Hình 3.1. Access point

48



Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

Một tính năng tăng cường khác bao gồm quản lý khóa WEP động, khóa mã
hóa trao đổi công cộng, kết ghép kênh. Nhưng đáng tiếc, những kiểu mở rộng
hoàn toàn các hãng sản xuất (kiểu mẫu), và không có bảo hộ bởi bất cứ chuẩn
nào, và không hoạt động với các sản phẩm khác. Điều đó có nghĩa là, một máy
khách phải kết hợp nó với một AP, và nó sẽ không đi xa hơn các hạn chế của AP
trên những dịch vụ mà máy khách có thể truy cập.
APs là sự lựa chọn lý tưởng cho những mạng cá nhân với nhiều máy khách
đặt trong một khoảng không vật lý, đặc biệt là các đoạn mạng có cùng Subnet (
giống như là doanh nghiệp hoặc khu sở trường). AP cung cấp mức độ điều khiển
cao để có thể truy cập bằng dây, nhưng giá của nó không rẻ.

Hình 3.2. Mô hình cài đặt Access Point
Một lớp khác của AP thỉng thoảng được xem như là cổng nhà riêng. The
Apple AirPort, Orinoco RG-1000 và Linksys WAP11 là các ví dụ cụ thể của các
AP cấp thấp. Các sản phẩm này phải có giá thành thấp hơn các sản phẩm thương
mại khác. Nhiều Modems được sản xuất, cho phép truy cập mạng không dây bằng
cách quay số. Những dịch vụ cung cấp cân bằng nhất là Network Address
Translation (NAT), DHCP, và dịch vụ cầu nối cho các máy khách. Trong khi các
dịch vụ đó không thể hỗ trợ đồng thời nhiều máy khách như là AP cao cấp, thì
chúng lại có thể cung cấp truy cập rẻ và đơn giản cho nhiều ứng dụng. Cấu hình
một AP không đắt tiền cho kiểu bắt cầu mạng cục bộ, bạn có trình độ điều khiển
cao hơn các máy khách riêng lẻ để có thể truy cập mạng không dây.
Không kể những AP giá cao, những AP là nơi để xây dựng hệ thống thông
tin mạng không dây. Chúng là một dãy đặc biệt tốt để điều khiển sự lặp lại các vị
trí, vì chúng dễ dàng cấu hình, tiêu thụ năng lượng thấp, và thiếu những bộ
phận di chuyển.

1.1. Các mode của Access Point
APs thông tin với những máy khách, với mạng hữu tuyến, và với một AP
49


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

khác.
Có ba chế độ trong AP mà chúng ta có thể cấu hình :
Chế độ gốc ( Root Mode)
Chế độ lặp ( Repeater Mode)
Chế độ cầu nối ( Bridge Mode)
1.2. Chế độ gốc ( Root Mode)
Chế độ gốc được dùng khi AP kết nối với mạng xương sống thông qua giao
diện mạng cục bộ. Những AP mới nhất hỗ trợ những chế độ cao hơn chế độ gốc
cũng cấu hình từ chế độ gốc mặc định. Khi AP kết nối tới đoạn mạng hữu tuyến
thông qua cổng cục bộ, nó sẽ cấu hình mặc định ở chế độ gốc. Khi trong chế độ
gốc, AP kết nối tới những đoạn mạng phân bổ giống nhau để có thể giao tiếp với
các đoạn mạng khác. AP giao tiếp với mỗi chức năng có sắp xếp như là kết hợp
lại. Các máy khách có thể thông tin với các máy khách khác ở các ô khác
nhau thông qua AP tương ứng để đi qua đoạn mạng hữu tuyến.

Hình 3.3. Access Point trong chế độ gốc
Hiện trạng hệ thống và mong muốn
Hệ thống mạng đang sử dụng được trang bị thêm một số card mạng không
dây. Mong muốn hướng dẫn cài đặt card mạng này cho window ở cả 2 chế độ
thường và chế độ có bảo mật
Card mạng không dây của PLANET có nhiều loại tuân theo các chuẩn khác

nhau nhưng chúng đều tương thích ngược chẳng hạn như card mạng không dây tốc
độ 54 Mb/s có thể chạy được với Access Point tốc độ 11 Mb/s và ngược lại
Hướng dẫn cấu hình Access Point
Có 2 cách để cấu hình :
Cách 1: Cấu hình trực tiếp trong Window
Chuột phải vào My Network Place - Chọn Properties - Chuột phải vào Wireless
Network Connection - Chọn Properties - Chọn Tab Wireless Networks , đánh dấu
vào Use Windows to Configure my wireless network settings sau đó chọn
Configure để cấu hình
50


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

Hình 3.4. Cửa sổ Wireless Network
Cách 2: Cấu hình thông qua tiện ích : Khi cấu hình thông qua tiện ích thì ta có thể
dùng chuột phải vào My Network Place chọn Wireless Network Connection (Ở
đây là PLANEt WL – 8310)chọn Properties - Tại Tab Wireless Network hãy bỏ
đánh dấu Use Window to configure my network setting.
Thông thường khi cấu hình thông qua tiện ích , sau khi cài tiện ích Utility có
sẵn trong đĩa CD Rom đi kèm với sản phẩm , ta cài đặt chương trình này sau đó
chạy chúng từ shortcut trên Desktop của màn hình hoặc từ khay hệ thống ta nhấp
đúp vào biểu tượng Wireless.

Hình 3.5. Biểu tượng mạng
Bước 1: Sau khi nhấp đúp vào biểu tượng vạch sóng màu trắng ở dưới khay màn
hình một cửa sổ cấu hình như sau :


51


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

Hình 3.6. Cửa sổ Planet WL-8310
Bước 2: Nếu Access Point không đặt mã hoá thì ta chỉ cần nhấp vào Rescan để tìm
các AP có trên mạng , sau đó nhấp vào Site Survey, nhấp vào AP muốn kết nối sau
đó nhấp vào conect

Hình 3.7. Tìm kiếm các AP
Bước 3: Khi kết nối thành công thì ta sẽ thấy được các thông số của AP như địa chỉ
MAC, SSID, mã hoá ( Encryption) , Kênh ( Channel) , tốc độ truyền ….

Hình 3.8. Thông số của AP đã kết nối
Bước 4: (Tuỳ chọn) Thiết lập AP chế độ mã hoá (các chế độ Wep Key, WPA –
PreShared Key, WPA) thì khi cấu hình card mạng để kết nối với AP thì ta phải cấu
hình đúng chế độ mã hoá. Giả sử như với card mạng PCI 8310 sẽ có các chế độ mã
hoá
Wep Key ( Chọn Enable trong dòng Encryption dưới đây ).

52


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái


Hình 3.9. Chế độ mật khẩu của AP
Trong Access Point đặt chế độ nhận thực là Open Authentication hoặc
Shared Authentication thì ta lựa chọn trong ô Auth Mode , mã hoá dạng HEXA
hoặc dạng ASC II thì ta chọn trong Key Format, độ dài bao nhiêu bít thì ta chọn
trong Key Length. Mặc định có 4 Key để ta có thể thay đổi từ khoá mã hoá , tại
một thời điểm thì ta chỉ chọn được một . Sau đó ta gõ từ khoá mà ta đã cấu hình
trong Access Point vào ô Network Key
Chú ý : Trong Access Point đặt chế độ mã hoá như thế nào thì trong card mạng
không dây phải đặt mã hoá tương tự với nó.
Chế độ mã hoá WPA ( kết hợp với Radius Server.
WPA – PSK ( chọn WPA – PSK sau đó nhấp vào configuration

Hình 3.10. Chia sẻ kết nối
1.3. Chế độ lặp ( Repeater Mode)
Trong chế độ lặp, APs có khả năng cung cấp những liên kết ngược trong
mạng hữu tuyến khá hơn một liên kết hữu tuyến bình thường. Một AP được thỏa
mãn như là một AP gốc và các AP khác giống như là các bộ lặp. AP ở chế độ lặp
kết nối tới máy khách như là một AP và kết nối tới AP gốc ngược như là chính
máy khách. Không đề nghị sử dụng AP ở chế độ lặp trừ khi cần sự tuyệt đối an
53


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

toàn bởi vì các ô xung quanh mỗi AP trong viễn cảnh này phải được chồng lấp nhỏ
nhất là 50%. Cấu hình này phải đủ mạnh để giảm bớt các kết nối của các máy
khách tới AP ở chế độ lặp. Ngoài ra, AP ở chế độ lặp là sự truyền đạt với những
máy khách chẳng khác gì AP ngược với liên kết không dây, giảm số lượng trên

một đoạn mạng không dây. Người dùng gắn bó với AP ở chế độ lặp sẽ có kinh
nghiệm hạn chế số lượng và những sự tiềm tàng cao trong viễn cảnh này. Đây là
điển hình để vô hiệu hóa mạng cục bộ hữu tuyến trong chế độ lặp.

Hình 3.11.Access Point trong chế độ lặp
Các bước cài đặ AP ở chế độ Repeater Mode
Hiện trạng hệ thống và mong muốn
Một sảnh lớn một khách sạn có chiều dài 30mét, chiều rộng 20mét cần phủ
sóng cho các thiết bị mạng không dây đế các máy tính xách tay tự do di chuyển
trong sảnh truy cập mạng LAN và Internet từ hệ thống khách sạn . Cần bố trí
khoảng 2 AP giữa sảnh đế các máy tính xách tay di chuyển mà vẫn giữ các kết nối
mạng không bị ngắt quãng.
Dải địa chỉ mạng của khách sạn là 192.168.1.5 đến 192.168.1.150 với subnet
mark 255.255.255.0 kết nối Internet qua modem có địa chỉ 192.168.1.3
Tại đây không thể đi dây mạng tới AP thứ hai, chỉ có một AP thứ nhất là
nhận mạng qua dây cáp từ switch. Cần thiết phải phủ sóng toàn bộ sảnh mà không
phải thiết kế lại giải pháp khác.
Giải pháp
Sử dụng một AP mode (phần này đã trình bày ở phần trên) với địa chỉ
192.168.1.4
Sử dụng AP thứ hai có địa chỉ 192.168.1.3 hoạt động ở chế độ Repeater. AP
thứ hai này sẽ nằm trong vùng phủ sóng của AP thứ nhất, nhận SSID của AP thứ
nhất và phủ sóng cho phần sảnh còn lại. Khi đó các máy tính dùng thiết bị wireless
sẽ chỉ nhìn thấy 1 SSID trong danh mục AP list và kết nối mạng thông qua nó, AP
thứ hai sẽ ở trong suốt với mô hình WLAN trong sảnh.

54


Giáo trình môn: Công nghệ mạng không dây


Trường Cao đẳng nghề Yên Bái

Các AP thiết lập ở chế độ Repeater cần một AP chính ở chế độ AP mode,
các AP xung quanh thiết lập ở chế độ Repeater sẽ không cần kết nối mạng có dây
với thiết bị, nhận sóng từ các AP phát sóng và có tác dụng lặp và tái tạo sóng nhằm
tăng khoảng cách của chức năng AP phát sóng.

Hình 3.12. Sơ đồ nối kết các máy tính
Hướng dẫn cấu hình
Hướng dẫn cấu hình AP ở chế độ Repeater
Bước 1: Cấu hình AP nguồn ở chế độ AP mode (xem lại phần trước)
Bước 2: Cấu hình AP Repeater :
Truy cập câu hình AP như bài hướng dẫn cài đặt cơ bản chọn Advanced Setting
, đánh dấu chọn Repeater Mode, điền SSID của AP ở chế độ AP Mode vào
ô Remote AP SSID, hay nhấp nút “Site survey”sau đó nhấp Apply. Các thông
số còn lại để mặc định AP – Repeater sẽ phát sóng khi nhận tín hiệu từ AP –
mode và các máy trong phạm vi phủ sóng sẽ liên lạc với các máy tính trong
phạm vi AP chính (AP-mode)

Hình 3.13. Cửa sổ Advanced Setting

55


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

1.4. Chế độ cầu nối ( Brigde Mode)

Trong chế độ cầu nối, APs hành động chính xác như là những chiếc cầu không
dây. Trên thực tế, nó trở thành những chiếc cầu không dây trong khi cấu hình trong
kiểu đó. Chỉ có một số lượng nhỏ AP có chức năng cầu nối, sự trang bị có ý nghĩa
so với giá phải trả. Các máy khách không kết hợp với những cấu nối, nhưng đúng
hơn, những cầu nối sử dụng liên kết hai hoặc nhiều hơn đoạn mạng hữu tuyến với
mạng không dây.

Hình 3.14.Access Point trong chế độ cầu nối
AP được coi như là một cái cổng bởi vì nó cho phép máy khách kết nối từ
mạng IEEE 802.11 đến những mạng IEEE 802.3 hoặc IEEE 802.5. Như ta đã biết
IEEE 802.3 là chuẩn đặc tả một mạng cục bộ dựa trên mạng Ethernet nổi tiếng do
Digital, Intel và Xerox hợp tác phát triển từ năm 1990. IEEE 802.3 bao gồm cả tầng
vật lý và tầng con MAC với các đặc tả sau:
- Đặc tả dịch vụ MAC.
- Giao thức MAC.
- Đặc tả vật lý độc lập với đường truyền.
- Đặc tả vật lý phụ thuộc vào đường truyền.
Phần IEEE 802.4 là chuẩn đặc tả mạng cục bộ với hình trạng bus sử dụng thẻ
bài để điều khiển truy cập đường truyền.
IEEE 802.4 cũng bao gồm cả tầng vật lý và tầng con MAC với các đặc tả sau:
- Đặc tả dịch vụ MAC.
- Giao thức MAC.
- Đặc tả dịch vụ tầng vật lý.
56


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái


- Đặc tả thực thể tầng vật lý.
- Đặc tả đường truyền.
IEEE 802.5 là chuẩn đặc tả mạng cục bộ với hình trạng vòng sử dụng thẻ bài để
điều khiển truy cập đường truyền.
IEEE 802.5 cũng bao gồm cả tầng vật lý và tầng con MAC với các đặc tả sau:
- Đặc tả dịch vụ MAC.
- Giao thức MAC.
- Đặc tả thực thể tầng vật lý.
- Đặc tả nối trạm.
IEEE 802.6 là chuẩn đặc tả một mạng tốc độ cao nối kết nhiều LAN thuộc các
khu vực khác nhau của một đô thị. Mạng này sử dụng cáp quang với hình trạng dạng
bus kép (dual-bus), vì thế còn được gọi là DQDB (Distributed Queue Dual Bus). Lưu
thông trên mỗi bus là một chiều và khi cả cặp bus cùng hoạt động sẽ tạo thành một
cấu hình chịu lỗi. Phương pháp điều khiển truy cập dựa theo một giải thuật xếp hàng
phân tán có tên là QPDS (Queued-Packet, Distributed-Switch)
cốt lõi của IEEE 802.3 là giao thức MAC dựa trên phương pháp CSMA/CD đã trình
bày ở phần trước.
Các bước để cài đặt AP ở chế độ Bridge Mode
Mong muốn của người dùng
Hiện có 2 mạng LAN cần kết nối như một mạng LAN chung. Nhưng lại không thể đi
dây trực tiếp từ mạng LAN này tới mạng LAN kia. Cần giải pháp kết nôi không dây
giữa hai mạng LAN.
Giải pháp
Sử dụng thiết bị WAP-4033PE của Planet đặt ở chế độ Bridge cho phép kết nối 2
mạng LAN từ xa với nhau.
Hướng dẫn cấu hình
Trong bài hướng dẫn này chúng tôi hướng dẫn các bạn cài đặt nhanh một hệ thống kết
nối 2 mạng LAN bằng 2 thiết bị WAP-4000A để ở chế độ Bridge.
Để cài đặt hoàn thiện căn bản cho một hệ thống như vậy bạn cần tiến hành những
bước cơ bản như sau:

- Cài đặt cơ bản cho hệ thống mạng sử dụng 2 thiết bị WAP-4033PE
- Cấu hình cho hai thiết bị WAP-4033PE
57


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

Cài đặt cơ bản cho hệ thống mạng sử dụng 2 thiết bị WAP-4033PE
Bước 1: Cài đặt nhanh theo mô hình bên dưới

Hình 3.15. Sơ đồ nối kết thiết bị thông qua WAP
Cấu hình cho hai thiết bị WAP-4033PE
Thông thường cấu hình Internet Camera thông qua giao diện Web browser, các thông
số mặc định của WAP-4033PE
Địa chỉ IP: 192.168.0.1
Subnet mask: 255.255.255.0
Username/ Password: admin / admin
Bước 1: Bạn đổi địa chỉ máy tính của mình về cùng lớp mạng với Modem WAP4033PE. Địa chỉ mặc định của Modem là 192.168.0.1(vậy bạn đổi địa chỉ máy của
bạn là 192.168.0.x).Vào trình duyệt IE và vào http://192.168.0.1 một cửa sổ đăng
nhập xuất hiện ở đây bạn đăng nhập với username và password là admin. Màn hình
giao diện như sau.

58


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái


Hình 3.16. Màn hình thông số của Modem WAP
Bước 2: Trong trang web cấu hình chọn Basic Settings. Màn hình giao diện như sau:

Hình 3.17. Màn hình cửa sổ Basic Setting
Bước 3: Chọn chế độ là AP Bridge Point to Point. Màn hình giao diện như sau:

59


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

Hình 3.18. Chọn chế độ cho AP
Bạn điền địa chỉ Mac của thiết bị WAP-4033PE ở đầu mạng LAN thứ hai.
Để có thể lấy được địa chỉ MAC của thiết bị WAP-4033PE bạn có thể làm như sau:
Trong giao diện cấu hình chọn mục Home. Địa chỉ MAC được ghi như trên hình sau.

Hình 3.19. Địa chỉ MAC của thiết bị
(Ở ví dụ hình dưới chúng tôi add ví dụ thíêt bị ở đầu thứ 2 có địa chỉ MAC 00-30-4e5f-6d-3f)

60


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

Hình 3.20. Gán địa chỉ MAC

Bước 4: Cấu hình thiết bị WAP-4000A ở đầu mạng LAN thứ hai giống hệt ở đầu thứ
nhất. (nhưng add địa chỉ MAC của thiết bị ở đầu mạng LAN thứ nhất vào trong thiết
bị WAP-4000A thứ hai).
2. BẢO MẬT
Chúng ta xem xét vấn đề này thông qua một vài ví dụ thực tế (có thể xảy ra khi
truyền tải/trao đổi thông tin trên mạng) sau đây:
Người sử dụng A chuyển một tập tin đến người sử dụng B, tập tin này chứa
những thông tin cần được bảo vệ. Trong môi trường mạng (không an toàn), người sử
dụng C – người không được phép đọc tập tin này, có thể theo dõi sự di chuyển của tập
tin. Người sử dụng C cũng có thể bắt giữ (capture/copy) tập tin trong quá trình di
chuyển của nó.
Người quản lý mạng tên D, chuyển một thông điệp đến máy tính thành viên của
mạng, máy tính E. Thông điệp này yêu cầu máy tính E cập nhật tập tin “cấp phép” –
có thể bao gồm các định danh của người sử dụng được phép truy cập máy tính đó.
Trong môi trường mạng (không an toàn), người sử dụng F có thể chặn thông điệp này,
sửa đổi nó (theo ý đồ riêng) và rồi chuyển tiếp đến máy tính E. Máy E thừa nhận
thông điệp từ người quản lý D và cập nhật vào tập tin “cấp phép” của nó. Điều đáng
nói ở đây là máy E không hề biết thông điệp được gửi đến từ F và nó đã bị thay đổi.
Trong môi trường mạng (không an toàn) của một một Công ty, khi nhân viên
Malconten bị sa thải, người quản lý nhân sự sẽ gửi một thông điệp đến máy Server
của hệ thống để yêu cầu làm mất hiệu lực của account user của anh ta. Trong trường
hợp này, Malconten có thể chặn thông điệp lại và làm trễ nó trong một khoảng thời
gian đủ để anh ta thực hiện một truy cập lần cuối cùng đến máy server và nhận một số

61


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái


thông tin “nhạy cảm” nào đó. Rõ ràng thông điệp cũng được chuyển đến máy Server,
nhưng nó đã “quá trễ”.
Trong môi trường thương mại điện tử (không tin cậy), một thông điệp được gửi
từ một khách hàng mua vàng đến trung tâm mua bán vàng The Sun, với nội dung:
thoả thuận mua một lượng vàng 9999 với giá 10 triệu đồng. Nhưng trong khi việc
giao nhận vàng chưa diễn ra thì giá một lượng vàng trên thị trường giảm xuống còn 9
triệu đồng. Có thể xảy ra tình huống: Người khách mua vàng nói rằng anh ta chưa bao
giờ gửi thông điệp thoả thuận mua vàng trước đó. Điều gì sẽ xảy ra? Làm thế nào để
buộc khách hàng đó phải thừa nhận rằng anh ta đã từng đồng ý mua vàng với giá 10
triệu đồng một lượng?
Từ các ví dụ trên, hãy liên hệ đến các mối đe dọa tìm ẩn trong việc truyền
thông tin (message/packet) trong môi trường mạng không an toàn/không tin cậy. Để
từ đó có thể đưa ra các giải pháp để phát hiện và ngăn chặn chúng. Đó là nhiệm vụ
của công tác An toàn mạng/Bảo mật mạng. Nên nhớ rằng, an toàn mạng là quá trình
chứ không phải một công cụ, các công cụ liên quan chỉ có tác dụng hỗ trợ cho quá
trình bảo mật đạt hiệu quả hơn.
2.1. Các giải pháp bảo mật
Nhóm giải pháp về qui hoạch, thiết kế
Thiết kế, quy hoạch một hệ thống mạng lớn không đơn thuần là phát triển thêm các
thiết bị hỗ trợ người dùng mà phải dựa trên mô hình chuẩn đã và đang áp dụng cho
các hệ thống mạng tiên tiến tại các cơ quan, doanh nghiệp phát triển trên thế giới, đó
chính là mô hình mạng Định hướng Kiến trúc Dịch vụ (Service-Oriented Architecture
– SOA).
Thiết kế cơ sở hạ tầng theo mô hình SOA

62


Giáo trình môn: Công nghệ mạng không dây


Trường Cao đẳng nghề Yên Bái

Kiến trúc SOA gồm có 3 lớp:
Lớp cơ sở hạ tầng mạng (networked infrasstructure layer): là lớp mạng liên
kết các khối chức năng theo kiến trúc phân tầng, có trật tự.
Lớp dịch vụ tương tác (Interactive services layer): bao gồm sự kết hợp một
số kiến trúc mạng đầy đủ với nhau tạo thành các chức năng cho phép nhiều ứng dụng
có thể sử dụng trên mạng.
Lớp ứng dụng (Application layer): Bao gồm các loại ứng dụng cộng tác và
nghiệp vụ. Các ứng dụng này kết hợp với các dịch vụ tương tác cung cấp ở lớp dưới
sẽ giúp triển khai nhanh và hiệu quả
Trong phần này, chúng tôi xin giới thiệu sơ lược về các phương thức thiết kế
mạng và bảo mật được sử dụng trong việc thiết kế các hệ thống mạng lớn và hiện đại
63


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

của các tổ chức và doanh nghiệp lớn. Tương ứng với kiến trúc SOA là thuộc lớp Cơ
sở hạ tầng mạng.
Phương thức thiết kế phân lớp – Hierarchical
Hierarchical là Một mạng là gồm nhiều mạng LAN trong một hoặc nhiều toà
nhà, tất cả các kết nối thường nằm trong một khu vực địa lý. Thông thường các
Campus gồm có Ethernet, Wireless LAN, Gigabit Ethernet, FDDI (Fiber Distributed
Data Interface). Được thiết kế theo các tầng, khu vực khác nhau; trên mỗi tầng, mỗi
khu vực được triển khai các thiết bị, các chính sách mạng tương ứng.


Hình 3.21: Sơ đồ thiết kế hệ thống mạng SOA theo các khu vực, tầng.
a) Khu vực LAN
Từ mô hình trên ta cũng thấy được rằng khu vực này được thiết kế theo tầng.
Tầng lõi, tầng phân tán, tầng truy xuất vừa đảm bảo tính dự phòng đường truyền, lưu
lượng mạng được phân bố đều, toàn mạng được chia thành nhiều phân đoạn để dễ
dàng kiểm soát và bảo mật.
b) Khu vực kết nối WAN
Đây là vùng cung cấp các kết nối ra môi trường Internet và các cơ quan thành
viên, đối tác. Tại đây phải đảm bảo tính sẵn sàng cao và tính dự phòng đường truyền.
Vì vậy hệ thống cân bằng tải và dự phòng đường truyền WAN cần được triển khai.
64


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

c) Khu vực các máy chủ public
Khu vực này thường được biết đến với tên là vùng phi quân sự (DMZdemilitarized zone) có nghĩa rằng tại khu vực này được hệ thống tường lửa kiểm soát
vào ra các máy chủ rất chặt chẽ nhằm ngăn chặn các cuộc tấn công của Hacker, người
dùng trong LAN…
+ Ưu điểm: dự phòng, dễ phát triển, hiệu năng cao, dễ khắc phục sự cố, thích hợp với
môi trường đào tạo và nghiên cứu ở các trường đại học và cao đẳng, doanh nghiệp
lớn.
+ Khó khăn khi xây dựng mạng theo phân lớp là chi phí khá cao, cần đội ngũ quản trị
hệ thống chuyên nghiệp
Mô hình triển khai dịch vụ và quản lý người dùng
Mô hình này được triển khai trên cơ sở hạ tầng đã thiết kế là yếu tố quyết định
đến hiệu năng hoạt động và cách thức quản lý hệ thống.
Thực tế một số cơ quan, doanh nghiệp hiện nay đang triển khai hệ thống mạng

theo mô hình mạng ngang hàng. Mô hình này chỉ triển khai cho các tổ chức có quy
mô nhỏ hẹp. Khi quy mô hệ thống có trên hàng trăm máy tính, nhiều phòng ban, chức
năng thì việc quản lý theo mô hình ngang hàng không còn phù hợp nữa. Giải pháp
triển khai dịch vụ và quản lý người dùng theo mô hình chủ-khách là giải pháp tối ưu,
hiệu quả nhất. Hệ thống này có nhiều thuận lợi và tính năng tối ưu như:
- Phần quyền truy nhập vào các tài nguyên dùng chung trên mạng.
- Triển khai cấu hình các phần mềm, dịch vụ tự động cho các máy khách, người
dùng nhanh chóng.
- Triển khai một chính sách bảo mật cho toàn đơn vị một cách dễ dàng, thống
nhất, tập trung, ví dụ: Khi người dùng không sử dụng trong thời gian nhất định, hệ
thống sẽ tự lock, luôn yêu cầu người dùng đặt mật khẩu cho hệ điều hành ở chế độ
phức tạp, thường xuyên thay đổi mật khẩu…nhằm tránh các hacker dùng các phần
mềm giải mã mật khẩu.
- Dễ dàng giám sát an ninh, bảo mật, logging v.v
Phân hoạch VLAN (LAN ảo)
Thực trạng hệ thống mạng ở một số doanh nghiệp hiện nay được phân chia
thành các khu vực, chưa kiểm soát được lưu lượng download và upload cũng như
băng thông truy xuất Internet của người dùng. Mô hình mạng như vậy là một miền
quảng bá, mỗi gói tin kiểu quảng bá thì ở bất kỳ máy nào cũng có thể tới được tất cả
các máy tính khác trong mạng nên có những vấn đề sau:
65


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

- Về băng thông: Toàn doanh nghiệp là một vùng quảng bá rất lớn, số máy tính,
số người dùng sẽ tăng lên khi đơn vị phát triển thêm các khu vực khác. Do vậy băng
thông, hiệu năng của toàn mạng sẽ giảm, thậm chí thường gây tắc nghẽn.

- Về bảo mật: Việc kiểm soát bảo mật gặp rất nhiều khó khăn khi hệ thống trải
rộng khắp toàn cơ quan, doanh nghiệp.
Để giải quyết các vấn đề trên, chúng ta đưa ra giải pháp chia mạng thành nhiều
mạng LAN ảo. VLAN được định nghĩa là một nhóm logic các thiết bị mạng, và được
thiết lập dựa trên các yếu tố chức năng, bộ phận, ứng dụng của tổ chức. Việc chia
VLAN thành các phân hệ khác nhau giúp khả năng bảo mật, quản lý và hiệu năng đạt
kết quả cao nhất.

Hình 3.22: Minh họa về nhiều VLAN khác nhau ở một trường học
Ví dụ: Tất cả các máy tính thuộc các phòng thực hành, thí nghiệm trong toàn trường
thì thuộc vlan01; các phòng ban thuộc vlan02, các wireless thuộc vlan03 v.v. Các
VLAN đó mặc định sẽ không liên lạc được với nhau. Khi muốn có sự liên lạc giữa
các VLAN với nhau ta tiến hành cấu hình trên thiết bị định tuyến router và kiểm soát
băng thông giữa các Vlan. (hình 2)
Nhóm giải pháp về hệ thống ngăn chặn, phát hiện tấn công
Hệ thống tường lửa đa tầng
Hệ thống tường lửa là hệ thống kiểm soát truy nhập giữa mạng Internet và
mạng nội bộ. Tường lửa có 2 loại: phần cứng và phần mềm. Mỗi loại có các ưu điểm
khác nhau. Phần cứng có hiệu năng ổn định, không phụ thuộc vào hệ điều hành, virus,
mã độc, ngăn chặn tốt giao thức ở tầng mạng trong mô hình tham chiếu TCP/IP. Phần
mềm rất linh hoạt trong những cấu hình ở giao thức tầng ứng dụng trong mô hình
TCP/IP.
Ví dụ, tường lửa tầng thứ nhất (thường là phần cứng) đã loại bỏ hầu hết các
kiểu tấn công trực diện vào hệ thống máy chủ web, máy chủ mail như kiểu tấn công
66


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái


phân tán (DDOS), tức hacker dùng các công cụ tạo các yêu cầu truy xuất tới máy chủ
từ nhiều máy tính khác trên mạng với tần suất cao để nhằm làm cho máy chủ quá tải
và dẫn tới ngừng phục vụ.
Nhưng hacker cũng không dừng tại đó, chúng có thể vượt qua hệ thống tường
lửal tầng thứ nhất với những gói tin hợp lệ để vào hệ thống mạng LAN. Bằng các giao
thức tầng ứng dụng chúng có thể lại đạt được mục đích. Chính vì thế triển khai hệ
thống tường lửa phần mềm sẽ hỗ trợ và làm gia tăng tính bảo mật cho toàn mạng.
Trong trường hợp, một hệ thống tường lửa gặp sự cố thì hệ thống còn lại vẫn kiểm
soát được.
Sau đây là giải pháp thiết kế hệ thống tường lửa thường đa tầng, nó bao gồm ít
nhất 2 tầng chính sau: tường lửa trước và tường lửa sau (hình 3)

Hình 3.23: Hệ thống tường lửa với 2 tầng trước và sau
Hệ thống phát hiện và chống xâm nhập IDS/IPS
Hiện nay các hình thức tấn công của người có ý đồ xấu ngày càng nhiều và tinh
vi. Ví dụ: Trong đơn vị có thể tự cài đặt các công cụ (Ethereal, Cain & abel…) trên
máy tính làm việc hoặc máy tính xách tay để tiến hành nghe lén hay quét trực tiếp lên
các máy chủ, từ đó có thể lấy các tài khoản email, Web, FTP, SQL server nhằm thay
đổi điểm thi, tiền học phí đã nộp, thay đổi lịch công tác…các hình thức tấn công kiểu
này, hệ thống tường lửa không thể phát hiện [3].
Giải pháp hữu hiệu cho thực trạng này là xây dựng hệ thống IDS/IPS (Intrusion
Detection System/Intrusion prevention system). IDS/IPS là hệ thống bảo mật vô cùng
quan trọng, nó có khả năng phát hiện ra các cuộc tấn công dựa vào các dấu hiệu thiết
67


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái


lập sẵn hoặc các đoạn mã độc hại, bất thường trên giao thông mạng; đồng thời có thể
loại bỏ chúng trước khi có thể gây hại cho hệ thống.
Danh sách điều khiển truy xuất, an toàn cổng thiết bị, lọc địa chỉ mạng
a) Danh sách điều khiển truy xuất
Tình trạng các phòng ban, …đang tự triển khai mạng wireless và mở rộng mạng
LAN, nhất là tại các phòng có nhiều thiết bị di động, laptop dẫn tới số kết nối vào
mạng nội bộ tăng, băng thông toàn mạng giảm và khó kiểm soát bảo mật.
Danh sách truy nhập là gồm các luật cho phép hay ngăn chặn các gói tin sau khi tham
chiếu vào thông tin trong tiêu đề của gói tin để giới hạn các người dùng có thể truy
xuất vào các hệ thống máy chủ nội bộ v.v.
b) Bảo mật cổng của thiết bị, lọc địa chỉ vật lý của thiết bị mạng
Ở các điểm truy nhập mạng công cộng, việc mở rộng LAN của người dùng; việc truy
xuất vào các máy chủ nội bộ cần được kiểm soát.
Các giải pháp như cấu hình bảo mật cổng của thiết bị, quản lý địa chỉ vật lý là giải
pháp cực kỳ an ninh và hiệu quả trong trường hợp này.
- Cấu hình bảo mật cổng của thiết bị trên các switch nhằm đảm bảo không thể
mở rộng LAN khi chưa có sự đồng ý của người quản trị hệ thống, nếu vi phạm điều
đó, port trên switch đó sẽ chuyển về trạng thái cấm hoặc trạng thái ngừng hoạt động.
- Địa chỉ vật lý là địa chỉ được cài đặt sẵn từ nhà sản xuất. Về nguyên tắc tất cả
các máy tính trên mạng sẽ không trùng nhau về địa chỉ này. Sự kiểm soát theo địa chỉ
này là rất cụ thể tới từng máy tính trong mạng, trừ khi người dùng có quyền cài đặt
phần mềm và làm giả địa chỉ này ở máy tính đó, hoặc là mở máy tính rồi thay thế card
giao tiếp mạng mới.
- Các thiết bị mạng hiện nay đều được trang bị chức năng ngăn theo địa chỉ vật
lý này giúp quản trị mạng kiểm soát được người dùng sử dụng mạng, nhất là muốn
triển khai trên hệ thống wireless.
Nhóm các giải pháp khác
Xây dựng hệ thống cập nhật, sửa lỗi tập trung
Công đoạn đầu tiên của hacker khi tiến hành tấn công là khảo sát hệ thống đích

để tìm ra các lỗi của hệ điều hành, của các dịch vụ, của các ứng dụng khi chúng chưa
được cập nhật trên website của nhà cung cấp.
Thực trạng ở các cơ quan, doanh nghiệp cho thấy việc sử dụng các sản phẩm
phần mềm hầu như ít cập nhật các bản vá lỗi, có chăng cũng đang riêng lẻ trên các
máy tính cá nhân, đó chính là cơ hội cho hacker dùng các công để khai thác lỗ hổng
68


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

bảo mật. Để cập nhật bản vá lỗi cho tất cả các máy khách trong toàn bộ hệ thống qua
Internet mất thời gian và tốn nhiều băng thông đường truyền và không thống nhất.
Giải pháp xây dựng hệ thống tự động cập nhật từ nhà cung cấp trên Internet về
máy chủ rồi từ máy chủ này, triển khai cho tất cả các máy khách trong toàn mạng.
Hệ thống WSUS (Windows Server Update Services) của Microsoft không
những cập nhập bản vá lỗi cho hệ điều hành Windows mà còn cập nhật bản vá lỗi cho
tất cả các sản phẩm khác của hãng bao gồm Internet Explorer, SQL server, Office,
Mail, máy chủ Web v.v
Ghi nhật ký, theo dõi, giám sát hệ thống
a) Ghi nhật ký
Giải pháp ghi lại các phiên kết nối, các phiên đăng nhập của người dùng, các
tiến trình hoạt động sẽ giúp quản trị mạng có thể tìm lại dấu vết của người dùng,
hacker và các lỗi có thể gây ra cho hệ thống trước đó. Các máy chủ Web , máy chủ
Email và máy chủ ứng dụng khác cần được kích hoạt tính năng ghi nhật ký, việc quản
lý lưu trữ các thông tin này là rất cần thiết. Hacker chuyên nghiệp khi đã xâm nhập
thành công vào hệ thống, việc không thể bỏ qua chính là việc xóa dấu vết đã được
ghi. Chính vì thế triển khai hệ thống ghi nhật ký tập trung tại một máy chủ chuyên
dụng khác là rất hiệu quả.

Các
phần
mềm

nguồn
mở
như:
Syslog-ng:
();
SyslogAgent: () là giải
pháp tốt. Hệ thống sẽ giúp chúng ta ghi các cảnh báo, thông báo từ các thiết bị phần
cứng như: tường lửa, router, switch, từ các máy chủ Web, Database, và các hệ thống
khác.
b) Theo dõi, giám sát
Theo dõi, giám sát là công việc thường xuyên và quan trọng của nhà quản trị
mạng chuyên nghiệp, đó chính là công việc phòng chống hiệu quả trước khi sự cố
xuất hiện. Theo dõi, giám sát có thể:
- Phát hiện trên hệ thống mạng có nhiều virus phát tán.
- Giám sát các máy tính trong mạng LAN và trên môi trường Internet.
- Theo dõi hiệu năng hoạt động các phần cứng của máy chủ để tiến hành nâng
cấp, bảo trì, bảo dưỡng.
- Phát hiện hacker đang dùng các công cụ nghe lén mật khẩu, quét các lỗi của
hệ thống và các ứng dụng.

69


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái


- Thống kê số lượng các kết nối, các session cũng như những lưu lượng bất
thường trên hệ thống mạng v.v
Giải pháp mã hóa dữ liệu và đường truyền
Dữ liệu trên máy chủ, máy tính cá nhân của các cơ quan, doanh nghiệp hiện
chưa an toàn vì không được mã hóa nội dung và kể cả khi đi trên đường truyền. Dữ
liệu ấy có thể được đọc bởi:
- Người dùng đăng nhập thành công vào máy tính
- Hacker dùng các phần mềm capture (bắt) thông tin trên đường truyền
- Tại các máy chủ và máy tính có lưu trữ dữ liệu nhạy cảm, có dữ liệu cần chia
sẽ; tại các thiết bị lưu trữ cần thiết phải tiến hành mã hóa nội dung, điều đó đảm bảo
rằng nếu có mất thiết bị lưu trữ, máy tính, người tấn công cũng không thể giải mã
được dữ liệu.
Giải pháp Ipsec sẽ được triển khai tại các hệ thống máy chủ và máy người dùng
cũng như các thiết bị mạng phải được cấu hình.
Đào tạo người dùng
Theo các thống kê về an ninh mạng của CERT (Computer Emergency
Response Team- cho thấy, có khoảng 70% số trường hợp bị thất
thoát thông tin có liên quan tới yếu tố con người bên trong các hệ thống còn 30% là
xuất phát từ bên ngoài mạng nội bộ của các tổ chức thông qua các hành vi truy nhập
trái phép hệ thống của hacker.
Theo chuẩn quản lý an ninh thông tin (Information Security Management) ISO
17799/BS-7799, trong đó có tiêu chí về “An ninh về nhân sự (Personnel Security)”
mô tả trách nhiệm của nhân viên, vai trò của các cá nhân trong an ninh thông tin,
nhằm giảm thiểu các sai sót do lỗi của con người, do ăn cắp hoặc lạm dụng tài sản
công.
Do vậy việc đào tạo người dùng để họ tự bảo vệ các tài nguyên cho máy tính họ
và cho cả tổ chức là nhiệm vụ hết sức quan trọng. Đào tạo người dùng biết cách
phòng chống các thủ đoạn của hacker như lừa đảo qua email. Ví dụ: hacker thường lợi
dụng tính tò mò của người dùng khi tham gia Internet để lấy thông tin khi yêu cầu

người dùng nhập vào. Đào tạo người dùng sử dụng các công cụ, phần mềm đúng trình
tự, khi cần thiết phải kịp thời báo cáo với người quản trị hệ thống.v.v. Đào tạo người
dùng phải tuân thủ nguyên tắc bảo mật và an toàn thông tin của tổ chức, kể cả khi họ
không tham gia làm việc tại cơ quan.
Hệ thống chống virus
70


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

Để cải thiện tốc độ xử lý của tường lửa, thông thường quản trị mạng không cấu
hình kích hoạt tính năng lọc cao cấp của tường lửa (tường lửa ở các vị trí phải xử lý
lưu lượng lớn). Khi đó các chương trình quét virus được cài đặt nhằm phát hiện và
ngăn chặn các đoạn mã độc, các chương trình gián điệp, các email có tệp tin virus
đính kèm.v.v. Nhưng trên thực tế để đầu tư một khối lượng lớn các chương trình virus
cho tất cả các máy tính toàn cơ quan thì kinh phí đầu tư khá cao.
Để giảm chi phí bản quyền, giải pháp là triển khai mô hình chống virus chủ –
khách. Hiện nay có nhiều hãng nỗi tiếng như Norton, Kaspersky, Trend micro .v.v có
thể triển khai theo mô hình này. Lợi ích khi triển khai hệ thống là:
- Chi phí giảm hơn nhiều so với cài đặt trên từng máy khách
- Việc cập nhật phiên bản mới của các máy khách dễ dàng, nhanh chóng và
hiệu quả cao.
2.2. Nhu cầu bảo mật
Tại sao chúng ta lại phải quan tâm đến vấn đề bảo mật của mạng wireless
LAN? Điều này bắt nguồn từ tính cố hữu của môi trường không dây. Để kết nối tới
một mạng LAN hữu tuyến bạn cần phải truy cập theo đường truyền bằng dây cáp,
phải kết nối một PC vào một cổng mạng. Với mạng không dây bạn chỉ cần có máy
của bạn trong vùng sóng bao phủ của mạng không dây. Điều khiển cho mạng hữu

tuyến là đơn giản: đường truyền bằng cáp thông thường được đi trong các tòa nhà cao
tầng và các port không sử dụng có thể làm cho nó disable bằng các ứng dụng quản lý.
Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vật liệu của
các tòa nhà và như vậy sự bao phủ là không giới hạn ở bên trong một tòa nhà. Sóng
vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát từ các mạng LAN này, và
như vật ai đó có thể truy cập nhờ thiết bị thích hợp. Do đó mạng không dây của một
công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ. Hình 1 thể hiện
một người lạ có thể truy cập đến một LAN không dây từ bên ngoài như thế nào. Giải
pháp ở đây là phải làm sao để có được sự bảo mật cho mạng này chống được việc truy
cập theo kiểu này.

71


Giáo trình môn: Công nghệ mạng không dây

Trường Cao đẳng nghề Yên Bái

Hình 3.24. Bảo mật cho các Client
Chọn một giải pháp bảo mật mà thích hợp với nhu cầu và ngân sách của công
ty, cả cho hiện tại và mai sau. WLAN phổ biến có ích đến mức là một phần chắc
chắn vì chúng có thể bổ sung thoải mái. Điều đó có nghĩa là WLAN đã bắt đầu bằng
một AP và 5 máy khách rồi phát triển tới 15 AP và 300 máy khách. Những kỹ thuật
bảo mật giống nhau làm việc chỉ tốt cho một AP sẽ không thể chấp nhận được, hoặc
khi bảo mật, cho 300 người dùng. Một tổ chức có thể sẽ tốn nhiều tiền cho các
giải pháp bảo mật khi mà chúng phát triển nhanh chóng như là WLAN. Trong
nhiều trường hợp, những tổ chức đã thật sự có sự bảo mật như là kiểm tra sự xâm
nhập hệ thống, tường lửa, và máy chủ RADIUS.
2.3. Sử dụng thêm các công cụ bảo mật
Nắm được sự thuận lợi của các công nghệ, như là VPN, tường lửa, kiểm tra sự

xâm nhập hệ thống – Intrustion Detection Systems (IDS), những chuẩn và giao thức
như là 802.1x và chứng thức máy khách với RADIUS có thể giúp tạo nên các giải
pháp bảo vệ cao và xa hơn chuẩn 802.11 yêu cầu. Chi phí và thời gian là phương tiện
cho các giải pháp tốt hơn từ các giải pháp SOHO đến các giải pháp cho các doanh
nghiệp lớn.
WiFi Protected Access là phương thức được Liên minh WiFi đưa ra để thay thế
WEP trước những nhược điểm không thể khắc phục của chuẩn cũ. WPA được áp
dụng chính thức vào năm 2003, một năm trước khi WEP bị loại bỏ. Phiên bản phổ
biến nhất của WPA là WPA-PSK (Pre-Shared Key). Các kí tự được sử dụng bởi WPA
là loại 256 bit, tân tiến hơn rất nhiều so với kí tự 64 bit và 128 bit có trong hệ thống
WEP.
Một trong những thay đổi lớn lao được tích hợp vào WPA bao gồm khả năng
kiểm tra tính toàn vẹn của gói tin (message integrity check) để xem liệu hacker có thu
thập hay thay đổi gói tin chuyền qua lại giữa điểm truy cập và thiết bị dùng WiFi hay
72


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×