Đề tài Tìm hiểu và xây dựng mạng không dây cho cơ sở 2 - Trường cao đẳng Bách Việt

1b: Từ tháng 6 năm 1999, IEEE bắt đầu mở rộng chuẩn 802.11 ban đầu và tạo ra các đặc tả kỹ thuật cho 802.11b. Chuẩn 802.11b hỗ trợ băng thông lên đến 11Mbps, ngang với tốc độ Ethernet thời bấy giờ. Đây là chuẩn WLAN đầu tiên đƣợc chấp nhận trên thị trƣờng, sử dụng tần số 2,4 GHz. Chuẩn 802.11b sử dụng kỹ thuật điều chế khóa mã bù (Complementary Code Keying - CCK) và dùng kỹ thuật trải phổ trực tiếp giống nhƣ chuẩn 802.11 nguyên bản. Với lợi thế về tần số (băng tần nghiệp dƣ ISM 2,4GHz), các hãng sản xuất sử dụng tần số này để giảm chi phí sản xuất, tốc độ truyền tải với tốc độ thấp hơn Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 11 802.11a, vùng phủ sóng từ 100-300m . Hai chuẩn 802.11a và 802.11b không tƣơng thích với nhau Nhƣng khi đó, tình trạng "lộn xộn" lại xảy ra, 802.11b có thể bị nhiễu do lò vi sóng, điện thoại “mẹ bồng con” và các dụng cụ khác cùng sử dụng tần số 2,4GHz. Tuy nhiên, bằng cách lắp đặt 802.11b ở khoảng cách hợp lý sẽ dễ dàng tránh đƣợc nhiễu + Ƣu điểm của 802.11b: giá thành thấp nhất, tầm phủ sóng tốt và không dễ bị che khuất + Nhƣợc điểm của 802.11b: tốc độ tối đa thấp nhất, có thể bị nhiễu bởi các thiết bị gia dụng - Chuẩn 802.11g: Năm 2002 và 2003, các sản phẩm WLAN hỗ trợ chuẩn mới hơn đƣợc gọi là 802.11g, đƣợc đánh giá cao trên thị trƣờng, chuẩn này cố gắng kết hợp tốt nhất 802.11a và 802.11b. 802.11g hỗ trợ băng thông 54Mbps và sử dụng tần số 2,4GHz cho phạm vi phủ sóng lớn hơn. 802.11g tƣơng thích ngƣợc với 802.11b, nghĩa là các điểm truy cập (access point –AP) 802.11g sẽ làm việc với card mạng Wi-Fi chuẩn 802.11b... Tháng 7/2003, IEEE phê chuẩn 802.11g. Chuẩn này cũng sử dụng phƣơng thức điều chế OFDM tƣơng tự 802.11a nhƣng lại dùng tần số 2,4GHz giống với chuẩn 802.11b. Điều thú vị là chuẩn này vẫn đạt tốc độ 54Mbps và có khả năng tƣơng thích ngƣợc với chuẩn 802.11b nhƣng không tƣơng thích với chuẩn 802.11a Vùng phủ sóng khoảng 38-140m.Chuẩn 802.11g phổ biến nhất hiện nay vùng phủ sóng khoảng 38 - 140m + Ƣu điểm của 802.11g: là tốc độ cao, tầm phủ sóng tốt và ít bị che khuất + Nhƣợc điểm của 802.11g: giá thành đắt hơn 802.11b, có thể bị nhiễu bởi các thiết bị khác sử dụng cùng băng tần - Chuẩn 802.11n : ChuẩnWi-Fi mới nhất trong danh mục Wi-Fi là 802.11n. Đây là chuẩn đƣợc thiết kế để cải thiện tính năng của 802.11g về tổng băng thông đƣợc hỗ trợ bằng cách tận dụng nhiều tín hiệu không dây và anten (gọi là công nghệ MIMO(multiple-input and multiple-output)). Khi chuẩn này hoàn thành, 802.11n sẽ hỗ trợ tốc độ lên đến 248Mbps(Có thể lên tới). 802.11n cũng cho tầm phủ sóng tốt hơn các chuẩn Wi-Fi trƣớc đó nhờ tăng cƣờng độ tín hiệu. Các thiết bị 802.11n sẽ tƣơng thích ngƣợc với 802.11g. hoạt động trên cả hai tần số 2.4GHz và 5GHz . Vùng phủ sóng rộng khoảng 70 - 250m + Ƣu điểm của 802.11n: tốc độ nhanh nhất, vùng phủ sóng tốt nhất, trở kháng lớn hơn để chống nhiễu từ các tác động của môi trƣờng + Nhƣợc điểm của 802.11n: chuẩn vẫn chƣa đƣợc ban bố, giá cao hơn 802.11g, sử dụng nhiều luồng tín hiệu có thể gây nhiễu với các thiết bị 802.11b/g kế cận. Ngoài 4 chuẩn Wi-Fi chung ở trên, vẫn còn một vài công nghệ mạng không dây khác vẫn tồn tại Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 12  Các chuẩn của nhóm 802.11 giống nhƣ 802.11h và 802.11j là các mở rộng của công nghệ Wi-Fi, mỗi một chuẩn phục vụ cho một mục đích cụ thể.  Bluetooth là một công nghệ mạng không dây khác. Công nghệ này hỗ trợ trong một phạm vi rất hẹp (xấp xỉ 10m) và băng thông thấp (1-3Mbps) đƣợc thiết kế cho các thiết bị mạng năng lƣợng thấp giống nhƣ các máy cầm tay. Giá thành sản xuất thấp của phần cứng Bluetooth cũng hấp dẫn các hãng sản xuất trong lĩnh vực này. Bạn có thể tìm thấy Bluetooth trong kết nối mạng PDA hoặc các điện thoại di động với các máy tính PC, nhƣng nó hiếm khi đƣợc sử dụng cho mục đích kết nối mạng WLAN nói chung do phạm vi và tốc độ  WiMax cũng đƣợc phát triển riêng với Wi-Fi. WiMax đƣợc thiết kế nhằm có thể kết nối mạng trong phạm vi rộng hơn (trải rộng đến hàng dặm hoặc km) 2.1.4 Các mô hình kết nối của mạng không dây * Ad-hoc : còn gọi là dạng Peer-to-Peer , mô hình này các máy tính kết nối trực tiếp với nhau , số máy tối đa theo lí thuyết là 9 . Tuy nhiên trên thực tế rất ít khi sử dụng vì tốc độ tƣơng đối chậm - Yêu cầu thiết bị : máy vi tính ( PC hay Laptop ) và card wireless Hình 2.1.4a – Mô hình Ad-hoc - Để sử dụng tính năng Ad-hoc phải khai báo trong Windows mới có thể sử dụng tính năng này , đồng thời Card Wireless phải hỗ trợ , có một số Card Wireless không hỗ trợ tính năng này * Infrastructure : là mô hình thông dụng hiện nay , nó bao gồm 1 Access Point đóng vai trò thu/phát tín hiệu , về nguyên tắc nó đóng vai trò tƣơng tự nhƣ Hub trên mạng Lan truyền thống . Access Point là điểm tập trung nhận các tín hiệu sóng , đồng thời chuyển phát các tín hiệu sóng tới các máy cần nhận - Yêu cầu thiết bị : máy tính ( PC hay Laptop ) , Access Point và card wireless Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 13 Hình 2.1.4b – Mô hình Infrastructure * Mô hình trên thực tế sử dụng : Hình 2.1.4c – Mô hình trên thực tế sử dụng Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 14 Ghi chú : - Internet Modem hiện nay thông thƣờng là các Modem ADSL , tuy nhiên hiện nay trên thị trƣờng đã có dạng Modem ADSL tích hợp sẵn tính năng Wireless trên thiết bị , lúc đó mô hình chỉ còn Internet Modem 2.1.5 Bảo mật mạng không dây - Khi đã triển khai thành công hệ thống mạng không dây thì bảo mật là vấn đề kế tiếp cần phải quan tâm, công nghệ và giải pháp bảo mật cho mạng Wireless hiện tại cũng đang gặp phải nhiều nan giải, rất nhiều công nghệ và giải pháp đã đƣợc phát triển rồi đƣa ra nhằm bảo vệ sự riêng tƣ và an toàn cho dữ liệu của hệ thống và ngƣời dùng. Nhƣng với sự hổ trợ của các công cụ (phần mềm chuyên dùng) thì Attacker dễ dàng phá vở sự bảo mật này - Để sử dụng đƣợc wi-fi cần có các thiết bị cơ bản là Access Point (AP – thiết bị cung cấp sóng wi-fi) và card mạng không dây ( thiết bị thu sóng wi-fi ) - Nhƣ rất nhiều tài liệu nghiên cứu về bảo mật trong mạng Wireless thì để có thể bảo mật tối thiểu bạn cần một hệ thống có 2 thành phần sau : 1. Authentication - chứng thực cho ngƣời dùng: quyết định cho ai có thể sử dụng mạng WLAN. 2. Encryption - mã hóa dữ liệu: cung cấp tính bảo mật dữ liệu Authentication + Encryption = Wireless Security - Bởi vì mạng Wireless truyền và nhận dữ liệu dựa trên sóng radio, và vì AP phát sóng lan truyền trong bán kính cho phép nên bất cứ thiết bị nào có hổ trợ truy cập Wireless đều có thể bắt sóng này, sóng Wireless có thể truyền xuyên qua các vật liệu nhƣ bêtông, nhựa, sắt,... Sóng Wireless có thể truyền xuyên qua các vật liệu nhƣ bêtông, nhựa, sắt,... Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 15 - Cho nên rủi ro thông tin bị các attacker đánh cắp hoặc nghe trộm rất cao, vì hiện tại có rất nhiều công cụ hổ trợ cho việc nhận biết và phân tích thông tin của sóng Wireless sau đó dùng thông tin này để dò khóa WEP (nhƣ AirCrack, AirSnort,...) - Một hệ thống wi-fi bao gồm các tham số chứng thực là SSID (Service Set IDentifier – định danh mạng); MAC (Media Access Control – địa chỉ vật lý của máy tính, mỗi card mạng đều có một địa chỉ và đƣợc ghi ngay từ khi sản xuất); địa chỉ IP (địa chỉ Internet) và mã hóa. Hầu hết các AP đều đƣợc cấu hình ở chế độ mặc định cho phép tất cả các máy tính có thể nhận đƣợc SSID của nó - Do vậy, trong vùng có tín hiệu, hacker có thể dễ dàng lấy đƣợc thông tin này. Ngƣời quản trị có thể che giấu SSID bằng việc bỏ mặc định này đi, nhƣng việc làm này không đảm bảo an toàn tuyệt đối vì với một số công cụ, hacker vẫn có thể dò ra SSID. Hơn nữa, việc che giấu SSID gây khó khăn cho ngƣời sử dụng bình thƣờng vì phải tự nhập tham số này vào trong cấu hình card mạng. Ngƣời sử dụng sẽ phải tự gõ SSID nếu hệ thống wi-fi không đƣợc cấu hình cho phép broadcast SSID. - Thông thƣờng, một máy tính chỉ có một địa chỉ MAC (MAC address) tƣơng ứng với một card mạng. Nhiều hệ thống wi-fi cho phép cấu hình chỉ những máy có địa chỉ MAC nằm trong danh sách đƣợc định nghĩa trên AP mới đƣợc phép truy cập vào mạng. Một trong những biện pháp hạn chế truy cập bất hợp pháp là lọc theo địa chỉ MAC (MAC Filtering). Phƣơng pháp này cũng đã hạn chế đƣợc những truy cập bất hợp pháp, tuy nhiên hacker có thể lấy địa chỉ MAC của các máy tính đƣợc phép truy cập và giả địa chỉ MAC để vƣợt qua rào cản này Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 16 Giả địa chỉ MAC để vượt qua rào cản MAC Filtering - Nếu đã có SSID, để truy cập đƣợc vào các máy tính trong mạng, ta phải có thêm địa chỉ IP. Thông thƣờng các AP đƣợc cấu hình mặc định cấp phát địa chỉ IP động cho các máy trạm (chức năng DHCP Server). Để tăng mức độ an ninh chúng ta nên bỏ tính năng này trên AP. Tuy nhiên, kể cả khi chúng ta đã bỏ tính năng DHCP Server đi, hacker vẫn có thể dò ra dải địa chỉ IP mà ta sử dụng bằng các công cụ có sẵn. Chúng tôi đã tiến hành thử nghiệm dò tìm địa chỉ của các mạng wi-fi không cấp phát DHCP và vẫn xác định đƣợc các dải địa chỉ IP tƣơng ứng. Dò tìm dải địa chỉ wi-fi - Để đảm bảo chứng thực an toàn, tránh các nguy cơ kể trên, một số AP cho phép thiết lập theo mô hình chứng thực mở rộng (Extensible Authentication Protocol - EAP). Mô hình này có thêm một server chứa các thông tin chứng thực của ngƣời sử dụng (ACS server). Khi ngƣời sử dụng muốn kết nối vào hệ thống, thông tin chứng thực (username/password hoặc chữ ký điện tử) sẽ đƣợc gửi tới AP và chuyển đến ACS server để kiểm tra trong dữ liệu đã có, sau đó gửi lại thông tin cho AP. Nếu đúng là ngƣời dùng hợp lệ sẽ đƣợc thiết bị cho phép kết nối. Trái lại, kết nối sẽ bị hủy bỏ Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 17 - Hiện có hơn 40 giao thức đƣợc xây dựng theo mô hình EAP nhƣ EAP – MD5, LEAP, EAP – TLS, EAP – TTLS, PEAP... Tuy nhiên, EAP-MD5 là kém an toàn nhất vì bị tấn công dạng MITMD (Man-in-the-middle – hacker có thể xem trộm thông tin trao đổi trên mạng, chủ yếu trong mạng nội bộ) và tấn công kiểu từ điển (ngƣời dùng hay đặt password theo quy luật nào đó và hacker sẽ dò password theo các quy luật này, ví dụ: ngày sinh, 123456, admin...). Còn LEAP chỉ sử dụng đƣợc với card mạng và AP của Cisco. Nhìn chung, các giao thức EAP-TLS, EAP-TTLS, PEAP sử dụng chữ ký điện tử và các giao thức chứng thực theo mô hình khóa công khai PKI (Public Key Infrastructure) là an toàn nhất hiện nay - Với hệ thống wi-fi chƣa đƣợc mã hóa, hacker có thể dễ dàng truy nhập vào hệ thống để nghe trộm, đánh cắp thông tin. Để chống lại nguy cơ này cần sử dụng các biện pháp mã hóa (đƣợc thực hiện trên AP và card mạng không dây). Một số phƣơng pháp mã hóa phổ biến hiện nay là WEP, WPA, WPA 2 - Để nhận ra sự khác biệt giữa một mạng Wireless không bảo mật và Wireless có tính năng bảo mật là hình ảnh chiếc chìa khoá bên cạnh nhƣ hình bên dƣới và dòng chữ Security Enable : - Do vùng phủ sóng của Wireless là hình cầu và đôi khi vƣợt quá mức cho phép kết nối , do đó những ngƣời trong khu vực này đều có thể sử dụng đƣợc mạng Wireless . Chính vì những lí do đó , ngƣời dùng cá nhân và trong các công ty , xí nghiệp không muốn ngƣời khác sử dụng Wireless của mình để truy cập mạng đồng thời bảo mật những thông tin . Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 18 Cách hạn chế ngƣời khác truy cập vào mạng của mình đó là bật tính năng bảo mật dùng các key để truy cập mạng - Hầu hết các Wireless đều có tính năng bảo mật đơn giản này , và đƣợc cung cấp theo mô tả sau : + WEP Key 64bit – 128bit : hiện sử dụng phổ biến + WPA – PSK ( PRE – Share key ) + WPA V2 ( RADIUS ) : hiện tại ở Việt Nam rất ít nơi sử dụng vì vấn đề chi phí và tính phức tạp . WEP – Wired Equivalent Privacy - WEP là một hệ thống mã hóa dùng cho việc bảo mật dữ liệu cho mạng Wireless, WEP là một phần của chuẩn 802.11 gốc và Phƣơng pháp này sử dụng thuật toán mã hóa đối xứng RC4 do RSA Security phát triển, mã hóa dữ liệu 40bit để ngăn chặn sự truy cập trái phép từ bên ngoài. Ngƣời sử dụng sẽ phải nhập một khóa bí mật và khóa này phải giống khóa đƣợc định nghĩa trƣớc trên AP. Thực tế WEP là một thuật toán đƣợc dùng để mã hóa và giải mã dữ liệu. Phƣơng pháp này có nhƣợc điểm là khó quản lý khóa bí mật bởi khoá này phải đƣợc nhập trên tất cả các máy tính truy nhập vào hệ thống wi-fi. Không có gì đảm bảo là tất cả những ngƣời đƣợc cung cấp khoá không để lộ thông tin này, chỉ cần một ngƣời để lộ là hệ thống sẽ bị nguy hiểm. Ngoài ra, hiện nay WEP đã có thể dễ dàng bị bẻ khóa trong thời gian rất ngắn mà không cần ai trong số đƣợc cấp khoá để lộ - Hai Sự Cải Tiến Chính với WEP : 1. Mã hóa dữ liệu cải tiến thông qua giao thức Temporal Key Integrity Protocol (TKIP). TKIP scrambles key Sử dụng thuật toán hashing và bằng đặc tính kiểm tra số nguyên, đảm bảo rằng Key sẽ không bị giả mạo Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 19 2. Chứng thực ngƣời dùng, là phƣơng thức thƣờng bị lỗi trong WEP, thông qua giao thức extensible authentication protocol (EAP). WEP qui định truy cập mạng wireless dựa trên địa chỉ MAC cuả máy tính, điều này dể bị phát hiện và bị tấn công. EAP đƣợc xây dựng trên hệ thống mã hóa Key công cộng bảo mật hơn để đảm bảo chỉ cho những ngƣời sử dụng mạng có chứng thực có thể truy cập mạng - Đặc tính kỹ thuật của WEP :  Điều khiển việc truy cập, ngăn chặn sự truy cập của những Client không có khóa phù hợp  Sự bảo mật nhằm bảo vệ dữ liệu trên mạng bằng cách mã hóa chúng và chỉ cho những Client nào có đúng khóa WEP giải mã - WEP key lengths: Một khóa WEP chuẩn sử dụng khóa 64bit mã hóa theo thuật toán RC4 (sẽ nghiên cứu trong phần sau). Trong 64bit có 40bit đƣợc ẩn Nhiều nhà cung cấp sử dụng nhiều tên khác nhau cho khóa WEP nhƣ: "standar WEP", "802.11-compliant WEP", "40-bit WEP", "40+24-bit WEP" hoặc thậm chí là "64-bit WEP". Nhƣng hiện tại thì 64-bit WEP thƣờng đƣợc nhắc đến hơn hết. Nhƣng với những thiết bị sử dụng 64-bit WEP thƣờng thì tính bảo mật không cao và dễ dàng bị tấn công. Hiện nay có một chuẩn tốt hơn đó là 128-bit WEP, hầu hết các doanh nghiệp, cá nhân đều dần chuyển sang 128-bit WEP sử dụng thuật toán RC4 mã hóa, tính bảo mật cao hơn, các Attacker cũng khó khăn trong việc dò thấy khóa WEP. Nhƣng về sau tính bảo mật của khóa WEP 128-bit cũng không còn khó khăn nữa đối với các Attacker nhờ sự hổ trợ của các công cụ dò tìm khóa WEP Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 20 WPA - Wi-fi Protected Access - Cũng sử dụng thuật toán mã hóa đối xứng RC4 nhƣng với khóa dài hơn (128 bits so với 64 bit của WEP). Ngoài ra WPA còn sử dụng cơ chế thay đổi khóa nhằm chống lại việc dò tìm khóa. Tuy nhiên, hiện nay khoá WPA đã có thể bẻ đƣợc và phƣơng pháp này cũng gặp phải vấn đề nhƣ đối với WEP là quản lý khoá khó khăn do có yếu tố con ngƣời - WPA đƣợc thiết kế nhằm thay thế cho WEP vì có tính bảo mật cao hơn. Temporal Key Intergrity Protocol (TKIP), còn đƣợc gọi là WPA key hashing là một sự cải tiến dựa trên WEP, là vì nó tự động thay đổi khóa, điều này gây khó khăn rất nhiều cho các Attacker dò thấy khóa của mạng - Mặt khác WPA cũng cải tiến cả phƣơng thức chứng thực và mã hóa. WPA bảo mật mạnh hơn WEP rất nhiều. Vì WPA sử dụng hệ thống kiểm tra và bảo đảm tính toàn vẹn của dữ liệu tốt hơn WEP (bạn có thể tìm hiểu rõ hơn trong các tài liệu về bảo mật mạng không dây của Cisco) WPA 2 - Wi-fi Protected Access version 2 - WPA2 là một chuẩn ra đời sau đó và đƣợc kiểm định lần đầu tiên và ngày 1/9/2004. WPA2 đƣợc National Institute of Standards and Technology (NIST) khuyến cáo sử dụng, WPA2 sử dụng thuật toán mã hóa Advance Encryption Standar (AES) - WPA2 cũng có cấp độ bảo mật rất cao tƣơng tự nhƣ chuẩn WPA, nhằm bảo vệ cho ngƣời dùng và ngƣời quản trị đối với tài khoản và dữ liệu - Nhƣng trên thực tế WPA2 cung cấp hệ thống mã hóa mạnh hơn so với WPA, và đây cũng là nhu cầu của các tập đoàn và doanh nghiệp có quy mô lớn. WPA2 sử dụng rất nhiều thuật toán để mã hóa dữ liệu nhƣ TKIP, RC4, AES và một vài thuật toán khác. Những hệ thống sử dụng WPA2 đều tƣơng thích với WPA. với độ dài khóa 256 bits. Trên lý thuyết, AES vẫn có thể bẻ đƣợc, nhƣng thời gian để bẻ khoá là không khả thi trong thực tế tại thời điểm này. Mặc dù vậy, WPA 2 cũng gặp phải vấn đề là khó khăn trong việc giữ bí mật khoá này do những ngƣời sử dụng có thể nói cho nhau hoặc bị lộ do vô tình ghi khóa ra đâu đó What is TKIP ? - TKIP là một chuẩn dựa trên chuẩn IEEE 802.11i. TKIP đƣợc phát triển nhằm nâng cao tính bảo mật cho WEP. TKIP sử dụng thuật toán RC4 để mã hóa với 128bit cho mã hóa và 64bit cho chứng thực Đảm bảo thông tin không bị đánh cắp trên hệ thống Wi-fi - WEP đƣợc xây dựng để bảo vệ một mạng không dây tránh bị nghe trộm. Nhƣng nhanh chóng sau đó ngƣời ta phát hiện ra hàng nghìn lỗi ở công nghệ này. Tính bảo mật của WEP Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 21 không tƣơng đƣơng chút nào nhƣ một mạng đi dây. Do đó, không lâu sau một công nghệ mới có tên gọi WPA (Wi-Fi Protected Access) ra đời, khắc phục đƣợc nhiều nhƣợc điểm của WEP - Cho đến nay, WPA đã trở thành công nghệ chủ đạo trong nhiều năm. Song WEP vẫn để lại một thành phần tiêu chuẩn trong tất cả router không dây ảo trên các ngăn xếp lƣu trữ. Mặc dù thành phần này đƣợc giữ lại chỉ nhằm mục đích tƣơng thích với những phần cứng "cổ" nhất, nhƣng nếu thông tin trên nhiều báo cáo nghiên cứu chính xác thì một lƣợng đáng kể hoạt động của mạng nội bộ không dây (WLAN), nhất là mạng không dây gia đình vẫn đang dùng kỹ thuật lỗi thời và kém an toàn WEP cho cơ chế mã hoá của mình - Sự lan rộng và sử dụng phổ biến của WEP có thể đƣợc hiểu là do cụm từ viết tắt của WEP và WPA khá giống nhau. Chúng không chuyển tải đƣợc bất kỳ ý nghĩa khác nhau nào giữa hai phƣơng thức (thậm chí còn ngụ ý tƣơng đƣơng). Thêm vào đó, WEP luôn đƣợc thể hiện đầu tiên trên giao diện bảo mật của hầu hết router băng thông, do WEP ra đời trƣớc và cũng đứng trƣớc theo thứ tự alphabe - Bây giờ chúng ta sẽ xem vì sao không nên sử dụng WEP thêm chút nào nữa, và vì sao WPA là lựa chọn tốt hơn WEP = Weak Encryption Protocol (Giao thức mã hoá yếu)! - Nhƣợc điểm lớn nhất của WEP là sử dụng các khoá mã hoá tĩnh. Khi thiết lập cơ chế WEP cho router, một khoá đƣợc dùng cho mọi thiết bị trên mạng để mã hoá tất cả gói tin truyền tải. Nhƣng sự thật là các gói đã mã hoá này không tránh đƣợc hiện tƣợng bị chặn lại. Do một số lỗi kỹ thuật "bí truyền", một kẻ nghe trộm hoàn toàn có thể chặn đủ số lƣợng gói tin đã mã hoá để tìm ra đƣợc khoá giải mã là gì - Vấn đề có thể đƣợc giải quyết nếu bạn thay đổi định kỳ khoá WEP (Đó là lý do vì sao router thƣờng cho phép lƣu trữ 4 khoá). Nhƣng cũng khá phiền phức và khó chịu vì thay đổi khoá WEP rất bất tiện và tốn thời gian, không chỉ thực hiện trên router mà còn trên tất cả các thiết bị kết nối tới nó. Kết quả là hầu hết mọi ngƣời đều chỉ thiết lập một khoá đơn và tiếp tục sử dụng nó mãi mãi - Một chƣơng trình phát triển gần đây tăng cƣờng khả năng thay đổi khoá WEP thƣờng xuyên nhƣng nhƣng không có hiệu quả bảo vệ mạng WLAN. Hacker có thể bẻ khoá WEP bằng cách chặn hàng triệu gói tin cộng với lƣợng thời gian và nguồn tƣơng ứng - Nhƣng công nghệ vốn biến đổi rất nhanh. Các nhà nghiên cứu ở bộ môn khoa học máy tính trƣờng Đại học German (Đức) gần đây đã chứng minh đƣợc khả năng phá hoại mạng dùng WEP rất nhanh. Sau khi mất chƣa đến một phút để chặn dữ liệu (gần 100 000 gói tin), họ có thể phá khoá WEP chỉ trong ba giây. Thử nghiệm đƣợc thực hiện trên hệ thống CPU Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 22 Pentium M 1.7GHz, một máy có bộ vi xử lý ngay cả trên các máy tính xách tay đời thấp bây giờ cũng hiếm gặp - Tất nhiên, không có nghĩa là bất cứ ai hễ cứ ẩn nấp bên ngoài nhà bạn là đã có thể phá khoá, hack đƣợc mạng không dây. Nhƣng khả năng bẻ khoá dễ dàng với thiết bị và phần mềm phổ thông ngày càng tăng khiến không ít ngƣời lo ngại. Tại sao cứ phải tiếp tục sử dụng WEP trong khi WPA an toàn hơn và dễ dùng hơn ? - Cho dù router của bạn đã có tuổi thọ vài năm, chắc chắn nó vẫn hỗ trợ một số dạng WPA (nếu không, nâng cấp bản firmware mới nhất là đƣợc). Phiên bản dễ dùng nhất và đƣợc hỗ trợ rộng nhất bây giờ là WPA Personal, đôi khi còn đƣợc gọi là WPA Pre-Shared Key (PSK) - Để mã khoá một mạng với WPA Personal (hay PSK), bạn cần cung cấp cho router không phải một khoá mã hoá mà là một cụm mật khẩu tiếng Anh đơn thuần từ 8 đến 63 ký tự. Sử dụng kỹ thuật gọi là TKIP (Temporal Key Integrity Protocol - giao thức toàn vẹn khoá thời gian), cụm mật khẩu đó cùng với SSID mạng đƣợc dùng để tạo các khoá mã hoá duy nhất cho từng máy trạm không dây. Các khoá mã hoá này đƣợc thay đổi thƣờng xuyên. (Mặc dù WEP cũng hỗ trợ cụm mật khẩu nhƣng chỉ nhằm mục đích tạo khoá tĩnh dễ dàng hơn, thƣờng bao gồm ký tự hệ hecxadecimal: số từ 0 đến 9 và chữ từ A đến F) - Đáng tiếc là ngày nay vẫn có nhiều thiết bị không dây không hỗ trợ WPA đƣợc bán ra thị trƣờng (hầu hết là các thiết bị tiêu tốn điện năng lớn). Trung thực mà nói, chúng ta nên tránh mua các thiết bị loại này. Với máy tính thông thƣờng, WPA đƣợc hỗ trợ cả Windows XP Service Pack 2 và Mac OS X (tất nhiên cả với Windows Vista). Trong XP, bạn sẽ không tìm thấy các tuỳ chọn WPA trên Data encryption trong bảng thuộc tính của Wireless Network Connection. Thay vào đó, hãy tìm bên dƣới Network Authencation và chọn lựa kiểu Data encrytion phù hợp với thiết lập trên router (TKIP hoặc AES). (Nhiều router hỗ trợ AES, là cơ chế mã khoá mạnh hơn so với TKIP) - Nếu cấu hình một cách phù hợp, WPA sẽ khởi tạo chƣơng trình bảo vệ tốt hơn WEP, nhƣng không có nghĩa WPA là bức tƣờng bảo mật vạn năng. Bạn nên tránh sử dụng các từ liên quan đến SSID và mật khẩu WPA trong từ điển (mật khẩu càng dài càng tốt). Nhƣ thế sẽ cung cấp chƣơng trình bảo vệ tốt hơn là dùng "hệ thống liên kết" hay tên "ngƣời yêu" bạn Phòng chống truy cập bất hợp pháp  Đối với các cơ quan, doanh nghiệp mà an ninh là yếu tố rất quan trọng nhƣ Chính Phủ, các bộ, ngành tài chính, ngân hàng..., nên sử dụng phƣơng pháp mạnh nhất là chứng thực theo mô hình khóa công khai kết hợp với mã hóa WPA2  Đối với các cơ quan khác, khi chƣa có điều kiện thiết lập hệ thống wi-fi an ninh nhất theo mô hình khóa công khai, nên kết hợp nhiều nhất các biện pháp có thể. Ngoài ra, nên tách mạng Wi-fi ra thành một vùng riêng (ví dụ tạo riêng một VLAN cho wi-fi) Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 23 và quy định để hạn chế tối đa truy cập không cần thiết từ mạng wi-fi. Khi áp dụng các biện pháp này, có thể thấy rằng độ an ninh của hệ thống giờ sẽ phụ thuộc vào việc đảm bảo tính bí mật của khóa. Nhƣ vậy, yếu tố con ngƣời sẽ quyết định mức độ an ninh của hệ thống. Vì thế bạn chỉ nên phân phối khóa cho những ngƣời tin cậy và đảm bảo rằng những ngƣời này có đủ kỹ năng để giữ đƣợc bí mật của khóa (ví dụ: không đƣợc cho mƣợn máy của mình, không nhập khóa trên một máy tính khác...)  Đối với các hệ thống mạng wi-fi tại gia đình: chúng ta nên kết hợp đồng thời biện pháp chứng thực và mã hóa, chẳng hạn áp dụng lọc địa chỉ MAC với mã hóa dùng WPA2. Do sử dụng trong nội bộ gia đình, vấn đề quản lý khóa WPA2 sẽ đơn giản đi rất nhiều và giải pháp này là phù hợp  Tại những nơi công cộng: Khi sử dụng wi-fi tại những nơi ngoài cơ quan, ví dụ nhƣ tại quán cafe wi-fi, sân bay..., do các hệ thống này thƣờng không áp dụng các biện pháp đảm bảo an ninh và bạn không thể can thiệp để thay đổi điều này, nên chúng ta phải tự lo cho chính mình bằng một số biện pháp: dùng firewall cá nhân để ngăn chặn tối đa những truy nhập bất hợp pháp vào máy; thông tin gửi đi phải đƣợc đặt mật khẩu; khi kết nối về hệ thống của cơ quan nhất thiết phải sử dụng mã hoá VPN và đặc biệt bạn cần phải cập nhật đầy đủ các bản vá lỗi cho những phần mềm đƣợc sử dụng trên máy, nếu không thì tất cả các biện pháp trên cũng trở nên vô nghĩa Lọc địa chỉ MAC  Thông thƣờng, một máy tính chỉ có một địa chỉ MAC (MAC address) tƣơng ứng với một card mạng. Nhiều hệ thống wi-fi cho phép cấu hình chỉ những máy có địa chỉ MAC nằm trong danh sách đƣợc định nghĩa trên AP mới đƣợc phép truy cập vào mạng  Một trong những biện pháp hạn chế truy cập bất hợp pháp là lọc theo địa chỉ MAC (MAC Filtering). Phƣơng pháp này cũng đã hạn chế đƣợc những truy cập bất hợp pháp Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 24 Firewall ( Tƣờng lửa )  Quản lý bảo mật CSM (Content Security Management) cho ứng dụng tán gẫu IM (MSN, YM!, ICQ...) chia sẻ ngang hàng P2P (SoulSeek, eDonkey, BitTorrent...) và lọc nội dung URL/Web  Lọc gói tin IP thông qua chính sách lọc gói  Chống lại DoS/DDoS  Phòng chống mạo danh địa chỉ IP  Thông báo bằng E-Mail và ghi nhật ký thông qua phần mềm Syslog  Gán IP cố định theo địa chỉ MAC VPN ( Mạng riêng ảo )  VPN Server với 32 kênh đồng thời theo 2 dạng : Remote Dial-In User và LAN-to- LAN  Giao thức: PPTP, L2TP, PSec  Mã hóa: AES, MPPE và Hardware-Based DES/3DES  Định danh: MD5, SHA-1  Cơ chế mã hóa và xác thực IKE: Khóa chia xẻ và chữ ký điện tử  Hỗ trợ kết nối LAN-to-LAN, Teleworker-to-LAN  Dead Peer Detection (DPD) : Phát hiện đƣờng không hoạt động  Hỗ trợ VPN Pass-Through  Cơ chế VPN dự phòng (VPN Bakup) Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 25 Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 26 2.1.6 Những khó khăn khi gặp phải khi xây dựng mạng không dây - Bộ thu phát đặt quá cao so với mặt đất , đặt cao quá 15m sẽ làm giảm sự thu/phát tín hiệu - Tốc độ giảm khi khoảng cách tăng - Phải xây dựng thêm hệ thống dây cáp âm tƣờng (nếu cần) - Độ bảo mật không cao - Khả năng đi xuyên vật cản và chất liệu của vật cản còn yếu 2.2 Thực Thi 2.2.1 Tổng quan và mô tả đặc tính của toà nhà Cơ sở 2 – Trƣờng Cao Đẳng Bách Việt Cơ sở 2 của trƣờng toạ lạc tại số 10 An Nhơn, Phƣờng 17, Quận Gò Vấp, TP.Hồ Chí Minh. Toà nhà có 1 tầng hầm ,Thƣ Viện , và có 6 tầng : - Dƣới cùng là tầng hầm , sau đó tới tầng trệt và phòng Thƣ viện. - Tầng 1: có các phòng học 101 , 102 , 103 , 104 - Tầng 2 : có các phòng học 201 , 202 , 203 , 204 - Tầng 3 : có các phòng học 301 , 302 , 303 , 304 - Tầng 4 : có các phòng học 401 , 402 , 403 , 404 - Tầng 5 là hội trƣờng - Tầng 6 tìm có hai phòng LAB 1 và LAB 2 2.2.2 Vẽ sơ đồ các toà nhà đặt thiết bị Cơ sở 2 - Trƣờng Cao Đẳng Bách Việt Sau khi có những thử nghiệm thực tế nhóm số 3 quyết định đặt Accesspoint tại Phòng Thƣ viện,tầng 2 ,tầng 4 và tầng 6.Tổng là 4 chiếc Accesspoint loại Linksys WRT 54 GS .Chuẩn G. Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 27 - Sơ đồ 1:Thư viện - Sơ đồ 2 :Lầu2 Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 28 - Sơ đồ 3 : Lầu 4 - Sơ đồ 4 : Tầng 6 Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 29 2.2.3 Liệt kê các linh kiện cần thiết và đặc tính kỹ thuật . Chúng ta cần có Accesspoint và máy vi tính có cạc mạng không dây - Bốn chiếc Accesspoint Linksys WRT 54 GS chuẩn G . Giá bán là: 130.000đ Đặc tính kỹ thuật Wireless-G Broadband Router  WRT54GS là thiết bị định tuyến chia sẻ Internet (có nhiều chức năng trong một thiết bị), hỗ trợ 4 cổng Switch và có chức năng của AP sử dụng chuẩn 802.11g tốc độ truyền dữ liệu 54Mbps  Chia sẻ kết nối Internet và chia sẻ tài nguyên mạng đơn giản bằng kết nối có dây hoặc không dây chuẩn 802.11b và g  Thiết bị có sẵn nút thiết lập cấu hình và bảo mật không dây  Bảo mật cao: Mã hóa TKIP và AES, lọc địa chỉ MAC, chức năng tƣờng lửa SPI Thiết bị định tuyến băng thông rộng không dây chuẩn g của Linksys - WRT54GS là thiết bị 3 trong 1 . Chức năng đầu tiên là chức năng của AP, thiết bị có thể kết nối với cả các thiết bị không dây chuẩn 802.11g và chuẩn 802.11b trong mạng Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 30 Chức năng thứ 2 : Thiết bị có 4 cổng Switch với tốc độ truyền tải 10/100Mbps cho kết nối có dây với thiết bị khác . Với chức năng này bạn có thể kết nối trực tiếp tới 4 máy tính để bàn hoặc nối tới nhiều Hub hoặc Switch để tạo ra một mạng lơn nhƣ bạn mong muốn. Chức năng cuối cùng: Chức năng định tuyến giúp cho toàn bộ hệ thống mạng chia sẻ dữ liệu với tốc độ cao khi sử dụng cáp hoặc kết nối DSL Internet Một máy tính kết nối tới Router và ra Internet , thì máy tính đó có thể truyền thông, chia sẻ tài nguyên và tập tin cho các máy tính khác trong mạng. Tất cả các máy tính đƣợc kết nối vào mạng đều có thể in ấn thông qua một máy in đƣợc chia sẻ trong mạng. Máy tính của bạn có thể chia sẻ tất cả những gì bạn muốn nhƣ: Các tập tin nhạc, ảnh số, và các tài liệu…Nhƣ vậy, bạn có thể nghe những tập tin nhạc đƣợc chia sẻ trên bất kì máy tính nào trong mạng. Bạn có thể tập hợp những hình ảnh mà bạn muốn và dễ dàng sao lƣu vào đĩa CD . Việc chia sẻ dữ liệu giúp bạn sử dụng vùng đĩa cứng còn trống trên máy tính khác trong mạng khi ổ cứng trên một máy bị đầy Trên Router có sẵn nút thiết lập cấu hình, thiết lập mã hóa đƣợc bật tự động tạo ra bảo mật cho kết nối không dây . Thiết bị sử dụng công nghệ TKIP và AES để bảo vệ dữ liệu của bạn với độ dài mã hóa 128 bit . Router có thể cung cấp các dịch vụ nhƣ: DHCP server, tính năng tƣờng lửa SPI bảo vệ máy tính của bạn khỏi bị xâm nhập và đề phòng tấn công từ ngoài Internet, hỗ trợ đƣờng truyền VPN , và có thể cấu hình để hạn chế ngƣời dùng nội bộ truy cập Internet. Bạn có thể cấu hình thiết bị thông qua giao diện Web Thiết bị định tuyến băng thông rộng không dây chuẩn G - WRT54GS đặt ở trung tâm của hệ thống mạng trong khu nhà hoặc trong văn phòng, bạn có thể chia sẻ các tài nguyên với tính linh hoạt, tốc độ, bảo mật và đơn giản nhƣ: Kết nối Internet tốc độ cao, các tập tin, các máy in, và các trò chơi đa phƣơng tiện... - Thiết bị thứ 2 : Máy vi tính có gắn cạc mạng không dây Chi tiết cấu hình máy vi tính có gắn cạc mạng không dây: Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 31 Dell STUDIO XPS 1340 (DX-017) Processor(CPU) Intel Core2 TM Duo Processor P8700 2x2.53Ghz. 3MB L2 Cache, 1066 Mhz FSB Chipset Mobile Intel® PM45 Express Display(Màn Hình) 13.3' WXGA Ultral Sharp True Life Memory(Bộ nhớ RAM) 4096 MB DDRAM3 Hard Disk Drive(Ổ cứng) 320 GB hard disk drive SATA CD/DVD(Ổ đĩa CD) DVDRW VGA(Cạc màn hình) 256MB Geforce 9400M GS EX Camera , Reader Wireless LAN(Cạc mạng không dây) 802.11b/g wireless Operation System(Hệ điều hành) Windows 7 Premium Battery Type 6-cell Weight 2.0 kg Giá bán: 17,398,725 VNĐ Hoặc chúng ta có thể dùng một máy vi tính để bàn có gắn cạc Wireless.Chúng ta mua Cạc Wireless rời chuẩn PCI: Ở đây chúng tôi đề cập tới Card Wireless DWA510 của Hãng Dlink :Giá bán là : 450.000đ Đặc tính sản phẩm : • Đọc mail, duyệt web, tán gẫu • Làm việc với chuẩn không dây 802.11g và 802.11b • Dễ dàng kết nối tới mạng không dây Mô tả sản phẩm :Sản phẩm này có thể hỗ trợ bạn trong việc: kết nối tới mạng không dây của bạn bằng cách gắn card D-Link Wireless DWA-510 vào máy tính để bàn. Khi đã kết nối, bạn đã có một kết nối internet tốc độ cao và có thể kết nối tới Shared Documents, âm nhạc, hình ảnh tới các máy tính khác trong mạng Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 32 Tạo kết nối không dây Kết nối tới mạng không dây của bạn từ máy để bàn hay máy xách tay khi sử dụng card không dây DWA-510 để duyệt web, đọc email, tán gẫu với bạn bè trên mạng. DWA-510 cung cấp cho bạn kết nối mạng mà không cần đi dây Hỗ trợ nhiều thuật toán mã hóa Để bảo vệ dữ liệu và tính riêng tƣ, card không dây DWA-510 cung cấp các thuật toán mã hóa WEP , WPA để mã hóa dữ liệu của bạn, làm cho kết nối an toàn hơn Tƣơng thích tốt Card không dây DWA-510 đƣợc thiết kế trên chuẩn 802.11g và tƣơng thích ngƣợc với chuẩn 802.11b để có thế kết nối tới bất kỳ mạng không dây nào hiện nay. Dễ dàng cài đặt và sử dụng Cài đặt DWA-510 dễ dàng chỉ trong vài phút với D-Link’s Quick Setup Wizard. Hơn nữa, với công cụ cấu hình mới của D-Link’s tự động quét mạng wireless đang tồn tại nên bạn có thể dễ dàng kết nối - Cable RJ 45 và các đầu RJ 45 dùng để kết nối các Accesspoint lại với nhau. 2.2.4 Quá trình thi công và hoàn thiện hệ thống mạng không dây Sau khi mua thiết bị :Acceepoint ,Card Wireless,Cable xoắn đôi,Các đầu RJ45 Connector. Đặt các AP cho Phòng Thƣ viện, tầng 2,Tầng 4 và Tầng 6 của toà nhà, mỗi vị trí đặt 1 AP. Chúng gắn đƣờng dây cáp từ nhà cung cấp dịch vụ ADSL vào phía sau AP của AP đặt tại Phòng Thƣ viện của cơ sở 2.Cấp điện cho AP.và gắn Card Wireless chuẩn PCI cho máy PC Bấm dây mạng nối kết các AP của các tầng lại với nhau bằng kiểu bấm cáp thẳng. Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 33 2.2.5 Cấu hình các thiết bị và đƣa vào hoạt động thực tế Bƣớc 1:Kết nối Laptop tới AP Laptop có thể bắt đƣợc sóng Wireless do AP phát ra mà chúng ta không cần gắn cable. Trên Laptop chúng ta vào Start -> run ,sau đó nhập Cmd và nhấn Enter,để vào môi trƣờng Dos. Sau đó chúng ta nhập ipconfig /all ngay sau dấu nháy và nhấn Enter để tìm IP mặc định của AP Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 34 Một bảng hiện ra cho chúng ta thấy IP mặc định của AP là 192.168.1.1 chúng ta dựa vào Default gateway Sau đó chúng ta mở trình duyệt Web(Internet Explorer,Firefox..) lên: và nhập 192.168.1.1 vào ô địa chỉ và nhấn Enter: Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 35 Sau đó chúng ta nhập UserName và PassWord mặc định của AP . Thông thƣờng UserName là : Admin , Password là Admin Nhấn Enter sau đó giao diện của Trình Setup AP xuất hiện Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 36 Bƣớc 2 :Cấu hình.Đầu tiên cấu hình AP đặt tại Thƣ Viện Nếu chúng ta đã có một modem ADSL rồi thì khi mua AP với mục đích là một thiết bị có chức năng là một thiết bị thu và phát sóng Wireless thì chúng ta không phải cấu hình gì thêm mà có thể đƣa vào sử dụng ngay.Ở đây chúng tôi thiết lập AP giống nhƣ một modem ADSL và kèm theo các chức năng khác của AP Linsys WRT 54 GS Ở đây chúng tôi sử dụng máy Laptop để cấu hình cho AP Sau khi truy cập đƣợc vào trong giao diện cấu hình của AP chúng ta cấu hình các thông số sau : a. Thẻ Setup : Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 37 a.1. Basic Setup : Chúng ta nhập vào kiểu kết nối ISP là :PPPoE - UserName,Password Sau đó nhập vào hai ô mà nhà cung cấp dịch vụ ADSl đƣa cho chúng ta khi đăng ký - Local IP Address:là IP của AP - DHCP Server là chức năng cấp IP của AP cấp IP động cho máy trạm khi mà máy trạm truy cập Internet.Chúng ta chọn Enable,Sau khi cấu hình xong chúng ta chọn Save Setting a.2 MAC Address Clone Là chức năng thay đổi địa chỉ MAC của AP . Nếu muôn đổi MAC của AP thì chúng ta chọn Enable và sau đó nhấn Clone Your PC’s MAC.Sau đó nhấn Save Settings a.3. Advanced Routing : Các tiện ích định tuyến của AP Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 38 - Ở Tab này chúng ta có thể cấu hình AP theo dạng là một cầu nối hay là một bộ định tuyến,bằng cách nhấn vào mũi tên sổ xuống.Ở đây chúng ta chọn Router - Dynamic Routing : định tuyến động ,chúng ta chọn Both ở mũi tên sổ xuống - Nếu muốn xem bảng định tuyến thì chúng ta nhấn vào Show Routing Table Bảng định tuyến sẽ hiển thị : Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 39 b.Wireless Chúng ta chọn thẻ Wireless và giao diện cấu hình của Wireless sẽ hiển thị b.1.Basic Wireless Settings - Wireless Network Mode : Chuẩn mà Ap sẽ phát sóng nhƣ chuẩn 802.11b và 802.11g… ở đây Ap này chỉ có chức năng phát ra hai chuẩn là 802.11b và 802.11g.Nếu chúng ta chọn Mixed thì AP sẽ giúp cho các thiết bị chuẩn 802.11b và 802.11g đều thu đƣợc sóng từ AP này - Wireless Network Name(SSID) : là tên mà chúng ta gán cho AP.Khi máy trạm kết nối Internet thông qua AP thì sẽ thấy tên này.Chúng ta có thể đặt tên cho AP này tuỳ ý - Wireless Chanel:Tần số phủ sóng của AP ở đây chúng ta chọn kênh 11-2.642 GHz - Wireless SSID Broadcast:AP sẽ cho các máy trạm khi kết nối vào nó sẽ hiển thị tên mà chúng ta gán cho AP.Chúng ta chọn Enable trong mục này - Reset Security : Huỷ chức năng bảo mật của AP.Nếu chúng ta nhấn vào nút này thì AP sẽ không có chức năng bảo mật Sau khi cấu hình xong các thông số trên chúng ta chọn Save Settings Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 40 b.2. Wiless Sercurity : Chúng ta chuyển sang mục cấu hình bảo mật cho hệ thống mạng Wifi của mình. Chúng ta nhấn nút mũi tên sổ xuống trên dòng Security Mode và chọn các phƣơng pháp mã hoá key đăng nhập khi máy trạm dùng key này để truy cập vào hệ thống mạng Wireless - WPA Personal : dùng khóa xác nhận đƣợc chia xẻ trƣớc giữa tất cả các hệ thống trong mạng. Điều đó có nghĩa là mạng này ẩn chứa việc dễ bị xâm nhập bằng cuộc tấn công “dựa trên từ điển” nếu Password sử dụng không đủ mạnh - WPA Enterprise : đƣợc dùng cho những máy chủ RADIUS ( Remote Authentication Dial User Service ) riêng biệt . Trong trƣờng hợp này những thiết bị muốn truy cập tới Access Point ( AP ) phải có những yêu cầu kiểm tra chứng nhận riêng biệt . AP chuyển yêu cầu và bất kì thông tin kết hợp tới máy chủ RADIUS . Máy chủ RADIUS kiểm tra chứng nhận này tại dữ liệu lƣu trữ trong đó và nó có thể cho phép ngƣời dùng truy cập hoặc từ chối hoặc phản hồi lại những thông tin khác nhƣ Password thứ hai hoặc nguồn tƣơng đƣơng - WPA2 Personal : Chuẩn WPA2 đƣợc cập nhật từ năm 2004 với những tính năng của WPA đƣợc hỗ trợ từ phía chính phủ Mỹ và sử dụng giao thức mã hoá gọi là AES ( Advanced Encryption Standard ) . Bây giờ AES cũng đƣợc dùng với WPA phụ thuộc vào Firmware trong Router - RADIUS : Rất phức tạp ở Việt Nam hiện khó áp dụng - WEP : Phổ biến hiện nay nhƣng đã từng bị bẻ khoá.Có hai phƣơng thức mã hoá là 64bit và 128 bit Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 41 + 64 bit thì khi nhập key bảo mật thì chúng ta phải nhập 10 ký tự trở lên +128 bit thì khi nhập key bảo mật chúng ta phải nhập 26 ký tự trở lên Ở đây chúng ta chọn phƣơng pháp bảo mật WEP.Và theo phƣơng thức mã hoá 64 bit Sau đó chúng ta nhập key vào ô Key 1.Key 2…Và cuối cùng nhấn Save Settings Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 42 b.3.Wireless MAC Filter Là chức năng ngăn cản các máy con truy cập vào hệ thông mạng không dây , dựa vào địa chỉ vật lý cạc mạng của máy trạm truy cập vào mạng không dây Chúng ta cẩn chọn Enable ở mục Wireless MAC Fliter lên để có thể sử dụng chức năng này - Prevent : nếu chọn mục này chúng ta sẽ chặn các máy trạm mà có địa chỉ MAC trong danh sách không thể lắng nghe và truy cập vào hệ thông mạng Wireless - Permit Only : Chỉ cho phép những địa chỉ MAC có trong danh sách đƣợc phép lắng nghe và truy cập vào hệ thống Wireless - Edit MAC Filter List:mục này cho chúng ta thêm và huỷ , sửa các địa chỉ MAC của máy muốn truy cập vào hệ thông mạng Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 43 c.Sercurity. Tiếp theo chúng ta cấu hình chức năng bảo vệ cho hệ thông Wireless - FireWall : Trên AP -WRT54 GS này có tích hợp chức năng Firewall đơn giản , chúng ta có thể cấu hình khoá các kiểu tấn công phân tán , lọc Multicast , lọc chuyển hƣớng NAT , lọc IDENT . Muốn khoá hay lọc chức năng nào thì chúng ta chọn vào ô vuông bên cạnh dòng chức năng đó và sau đó nhấn Save Setting - VPN : Chức năng mạng riêng ảo đƣợc tính hợp trên AP Chúng ta có thể cấu hình các chức năng chứng thực Ipsec , PPTP , L2TP cho các máy trong mạng , bằng cách chọn Enable sau đó nhấn Save Setting Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 44 d. Access Restriction Đây là các chính sách mà ngƣời quản trị sẽ cấu hình trên AP để áp dụng cho các máy trong mạng Wireless của mình Ngƣời quản trị có thể liệt kê tên máy PC mà muốn cho phép hay cấm truy cập vào hệ thông mạng và cấm các máy sử dụng dịch vụ vào những thời điểm nào,vào những ngày nào Để bật chức năng này chúng ta làm nhƣ sau : + Chọn Enable ở Status + Nhập tên chính sách sẽ áp dụng + Edit List of PCs + Chọn Deny (Không cho phép),Allow(Cho phép) + Days:Cho phép hay chặn vào những ngày nào trong tuần + Times:Chính sách này sẽ có hiệu lực trong những thời điểm nào trong ngày + Block Services:khoá các dịch vụ mà máy trạm sẽ không đƣợc truy cập + WebSite Blocking by URL Address:Khoá địa chỉ trang Web không cho máy trạm truy cập + WebSite Blocking by Keyword:khoá truy cập Website không cho máy con truy cập bằng một từ nào đó Cuối cùng chúng ta nhấn Save Settings Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 45 e. Application And Gaming : Dãy cổng ƣu tiên Cổng kích hoạt Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 46 Tính năng DMZ (phi quân sự ) – giúp dữ liệu đƣợc bảo vệ tốt hơn QoS ( Quality of Service ) – chất lƣợng của dịch vụ của mạng bao gồm : trễ, biến thiên trễ, thông lƣợng, tổn thất gói tin, độ sẵn sàng, bảo mật ... Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 47 f. Administration : Đây là Tab quản lý AP f.1. Managerment : Cấu hình Password đăng nhập để cấu hình AP , cách đăng nhập , Remote f.2.Log sẽ ghi lại những bƣớc đi của máy trạm từ trong ra ngoài và từ ngoài vào trong.Điều này chúng ta có thể giám sát đƣợc an toàn mạng.Để cấu hình Log thì chúng ta chỉ cần Enable sau đó chọn Save Settings và thƣờng xuyên kiểm tra hai nút IncomingLog và Outgoing Log Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 48 f.3. Diagnostics : Chuẩn đoán Chúng ta có thể sử dụng hai công cụ đó là Ping và Traceroute để kiểm tra tính ổn định của mạng - Ping : chúng ta chọn Ping và nhập địa chỉ hoặc tên miền cần Ping và kiểm tra kết quả Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 49 - Traceroute : Chúng ta chọn Traceroute và sau đó nhập IP hoặc tên miền để kiểm tra f.4. Factory Default : Phục hồi lại cấu hình AP theo nguyên trạng của nhà sản xuất Nếu muốn phục hồi lại nguyên trạng của AP thì chúng ta chọn Yes và nhấn Save Settings. Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 50 f.5. Firmware Upgrade : Nâng cấp Firmware cho AP Để nâng cấp Firmware cho AP chúng ta phải có sẳn 1 file Firmware mới đã tải về từ nhà sản xuất .Và file này phải mới hơn phiên bản Firmware hiện đang có trong AP.Để Upgrade Firmware chúng ta tìm đƣờng dẫn chứa file Firmware mới và sau đó nhấn Upgrade - Lƣu ý : Khi đang trong quá trình cập nhật Firmware thì chúng ta không đƣợc ngắt điện cung cấp cho AP.Nếu mất điện trong quá trình cập nhật này có thể dẫn tới tình trạng hỏng AP f.6. Config Managerment : Quản lý cấu hình Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 51 Tại mục Config Managerment thì chúng ta có thể sao lƣu những gì đã cấu hình và phục hồi khi những cấu hình này bị hỏng hay bị ai đó phá hoại - Để sao lƣu chúng ta chọn Backup và chọn nơi lƣu file Backup - Để phục hồi chúng ta tìm đƣờng dẫn mà chứa file cần phục hồi sau đó chọn restore. g.Status : Hiện trạng Sau khi đã cấu hình xong những mục cần thiết thì chúng ta vào thẻ Status để xem lại những gì mình đã cấu hình và tình trạng kết nối của hệ thống Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 52 Bƣớc 3 : Cấu hình cho các AP các tầng Để cấu hình cho các AP của tầng khác thì chúng ta chỉ cần cấu hình ba thông số.Đầu tiên là là Internet Connection Type là:Automatic – configuration DHCP trong mục Basic Setup Thông số thứ 2 là:Operating Mode chọn là Gateway trong mục Advanced Routing Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 53 Thông số thứ 3:là SSID nhằm phân biệt AP của các tầng Máy con kết nối vào AP sẽ nhập key theo thông số cấu hình.Chúng ta nhập key chứng thực sau đó nhấn Connect Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 54 Phần 3 : Kết Luận 3.1 Hƣớng phát triển của đề tài Mạng không dây hiện nay phát triển rất nhanh đó là nhờ vào sự thuận tiện của nó. Hiện nay công nghệ không dây, nhất là Wi-Fi hiện đang đƣợc ứng dụng ngày càng mạnh mẽ trong đời sống. Nhƣng đa số mọi ngƣời đều chỉ sử dụng Wi-Fi ở các lĩnh vực liên quan đến máy tính mà không biết rằng bằng sóng Wi-Fi, ngƣời dùng dùng máy tính để điều khiển hệ thống đèn, quạt, máy lạnh, lò sƣởi, máy tƣới, hệ thống nƣớc… Nhƣng vấn đề quan trọng nhất của mạng không dây hiện nay là sự bảo mật của nó chƣa có một giải pháp nào ổn định Tuy nhiên với những gì đã nghiên cứu và tìm hiểu thì: Mạng không dây theo chúng em nghĩ là một giải pháp hay và thời đại, nó giúp cho chúng ta tiết kiệm đƣợc thời gian cũng nhƣ công sức trong việc lắp đặt cũng nhƣ sử dụng Một xu hƣớng phát triển mạnh mẽ hiện nay theo ba hƣớng sau : Thứ nhất là sự bảo mật của hệ thống mạng Wifi sẽ ngày càng đƣợc phát minh ra các phƣơng thức bảo mật và chống xâm nhập hệ thống và mã hoá để mạng Wifi sẽ an toàn và bảo mật nhƣ hệ thống mạng có dây Hƣớng thứ hai là tốc độ của mạng Wifi sẽ đƣợc nghiên cứu nâng lên ngang bằng với mạng có dây hoặc nhanh hơn và sẽ có các chuẩn mới tƣơng thích với các chuẩn cũ Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 55 Liên minh Wi-Fi và WiGig tuyên bố hợp tác phát triển mạng không dây mới có tốc độ truyền tải lên đến 7 Gbps. Việc nâng cấp lên 60 GHz với tốc độ từ 1 Gbps đến 7 Gbps cho phép truyền tải hình ảnh, video HD 1080p từ đầu phát Blu-ray không dây qua TV màn ảnh rộng một cách dễ dàng. Tuy nhiên, phạm vị phủ sóng của hệ thống Wi-Fi 60 GHz vẫn bị hạn chế xung quanh một căn hộ Dự kiến, sản phẩm ứng dụng mạng Wi-Fi thế hệ mới sẽ đƣợc xuất xƣởng trong vào năm 2012 tới Hƣớng thứ 3 : Là sự thống nhất giữa các nhà sản xuất thiết bị và nhà mạng nhằm đƣa sóng Wifi trở nên phổ biến và dễ sử dụng,ai cũng có thể sử dụng sóng Wifi cho công việc và giải trí . Để ngƣời sử dụng có thể dùng Wifi ở bất kỳ đâu và bất kỳ thời điểm nào 3.2 Bài học kinh nghiệm Mặc dù đã đƣợc rèn luyện qua rất nhiều khoá đào tạo về mạng máy tính nhƣng khi triển khai thực tế thi công hệ thống mạng không dây nhóm chúng em đã gặp phải một số khó khăn ban đầu và chúng em xem đây là những kinh nghiệm quý báu cho cả nhóm : - Thứ nhất : trƣớc khi cấu hình lại một thiết bị AP thì phải nghiên cứu kỹ xem UserName và Password mặc định của một loại AP là gì sau đó mới tiến hành Reset lại và cấu hình - Thứ hai : Sau khi cấu hình xong AP thì phải Backup lại các thông số mình đã cấu hình ,nhằm mục đích sau này có sự cố thì chỉ cần Restore lại và khắc phục đƣợc kết nối nhanh chóng - Thứ ba : Cách đặt Anten của AP.Khi toà nhà có nhiều tầng thì chúng em lại đặt AP thẳng chứ không đặt vuông góc với thân của AP điều này gây cản trở cho việc thu sóng của các thiết bị của các tầng khác vì sóng Wfi cũng nhƣ các sóng khác sẽ phát sóng hình cung tròn - Thứ tƣ : Khi cấu hình AP thì không cần gắn dây cáp trực tiếp vào máy tính Laptop để cấu hình AP.Cả nhóm đã đi tìm cáp để nối AP vào Laptop để cấu hình.Mặc định khi cấp điện cho AP thì Laptop có thể nhận đƣợc sóng từ AP và có thể đăng nhập vào để cấu hình Nghiên cứu–xây dựng hệ thống mạng không dây Cơ sở 2 Trƣờng CĐ Bách Việt Giảng viên hướng dẫn:Nguyễn Chí Nhân 56