Làm việc với Ad-hoc Wireless LAN
Mục tiêu
Cài đặt card mạng không dây Tạo mạng ad-hoc gồm các PC dùng card mạng không dây Cấu hình bảo mật cho mạng ad-hoc
Cấu hình để các Windows client có thể chia sẻ file trên mạng ad-hoc
Cài đặt card mạng không dây Linksys Wireless WUSB54G
Cắm card mạng Linksys WUSB54G vào cổng USB Xuất hiện màn hình tự cài đặt của Windows 7
Thông báo cài đặt trình điều khiển không thành công
Vào Device Manager: Nhấn phải chuột vào My Computer chọn Properties
click vào liên kết Device Manager
Nhắp phải chuột vào Wireless-G USB Network Adapter, chọn Update Driver
Click mục Browse my computer for driver software
Click nút Browse và trỏ đến thư mục WUSB54G-Win7-32bit Ấn OK và ấn Next
Click vào mục Install this driver software anyway để tiếp tục cài đặt
Xuất hiện thông báo cài đặt hoàn tất Click nút Close để kết thúc.
Tạo mạng ad-hoc không dây trên Windows
Thực hiện các công việc sau trên 1 máy tính – gọi là MAY1
Click vào biểu tượng mạng Wireless trên khay hệ thống xuất hiện danh sách kết nối mạng
Click mục Open Network and Sharing Center Xuất hiện cửa sổ Network and Sharing Center Click vào Setup a new connection or network
In the "Set Up a Connection or Network" dialog, select the option to set up a wireless ad-hoc (computer-to-computer) network and click Next In the setup window, click Next again Name the network "CSE-Ad-hoc," choose "No authentication (Open)" for the security type, and check the box to save this network Finally, click Next to complete the setup.
Xuất hiện thông báo khởi tạo mạng thành công Click nút Close
Biểu tượng của kết nối Adhoc sẽ xuất hiện trên Network list.
Kết nối vào mạng wireless ad-hoc từ Windows Client
Trên một máy tính khác với máy vừa tạo mạng adhoc – gọi là MAY2 , làm những việc sau:
Click vào biểu tượng kết nối trên khay hệ thống, xuất hiện danh sách các kết nối mạng sẵn có
Click vào mạng CSE-Ad-hoc , click vào nút Connect
Khi kết nối vào CSE-Ad-hoc, thiết bị MAY2 sẽ tự động nhận một địa chỉ IP, được gọi là địa chỉ IP riêng tự động (APIPA), nằm trong dải 169.254.x.x Để kiểm tra địa chỉ này, bạn chỉ cần nhấn chuột phải vào kết nối CSE-Ad-hoc trong danh sách mạng và chọn mục Trạng thái.
Click vào nút Details trên cửa sổ hiện ra Kết quả tương tự như sau:
Trên MAY1, card mạng không dây ứng với kết nối ad-hoc vừa tạo cũng được gán 1 địa chỉ IP trong range 169.254.x.x
Thực hiện disable Windows Firewall
Sau khi tắt Windows Firewall, hãy kiểm tra kết nối bằng cách thực hiện lệnh ping Trên máy tính MAY2, ping đến địa chỉ IP của máy tính MAY1, và ngược lại, trên máy tính MAY1, ping đến địa chỉ IP của máy tính MAY2.
Cấu hình Secutity cho mạng wireless ad-hoc
Trên MAY1, thực hiện chỉnh sửa cấu hình Security từ Open-None thành
Open-WEP Nhấn phải chuột vào biểu tượng Connection CSE-Ad-hoc trên
Xuất hiện hộp thoại Wireless Network Properties
Chỉnh Encryption type thành WEP , nhập vào Network key là 1234567890 Ấn OK
MAY1 bị ngắt kết nối khỏi mạng CSE-Ad-hoc Các máy khác kết nối vào mạng này cũng bị ngắt kết nối khỏi mạng
Thực hiện kết nối MAY1 vào mạng CSE-Ad-hoc
Trở lại MAY2, kết nối MAY2 vào mạng CSE-Ad-hoc Người dùng MAY2 sẽ phải nhập Security key Nhập vào chuỗi 1234567890 Ấn OK
Thực hiện ping từ MAY2 sang MAY1 để kiểm tra kết quả.
Chia sẻ file trên mạng wireless ad-hoc
To enable file sharing on MAY2, navigate to the Network and Sharing Center Be aware that the ad-hoc connection is categorized under Public network Click on "Change advanced sharing settings," then select "Turn on file and printer sharing" under the File and printer sharing section Additionally, disable password protected sharing by choosing "Turn off password protected sharing."
To enable Guest user access from other machines, right-click on "My Computer" and select "Manage." In the "Local Users and Groups" section, navigate to "Users," right-click on "Guest," and choose "Properties." In the window that appears, uncheck the "Account is disabled" option and click "OK."
Tạo folder Lab1-MAY2 trên MAY2 Tạo 1 tập tin bất kỳ trong folder này Nhấn phải chuột vào folder này, chọn Properties
Trong cửa sổ hiện ra, chọn tab Sharing
Click nút Advanced Sharing và check vào mục Share this folder trong cửa sổ hiện ra Đặt Share name và nhấn OK
Vào tab Security, click nút Edit
Click nút Add trên cửa sổ này và thêm vào nhóm Everyone Cho nhóm này quyền Read
Từ MAY1, kết nối vào MAY2 và kiểm tra việc chia sẻ file có thành công hay không.
Cấu hình Router và Client – Phần Cơ bản
Mục tiêu
Kết nối đến Wireless Router Cấu hình các tính năng quản trị cơ bản và tùy biến cấu hình Kiểm tra kết nối từ client lên Internet
Cấu hình wireless security cơ bản
Kết nối đến Wireless Router
Trên MAY1, thực hiện kết nối đến access point Thông thường, access point được hiển thị dưới SSID mặc nhiên, chẳng hạn linksys
MAY1 sẽ được gán 1 địa chỉ IP mặc nhiên, chẳng hạn 192.168.1.108 : Để thực hiện cấu hình router, trỏ trình duyệt web đến địa chỉ http://192.168.1.1 , như dưới đây:
Nhập vào username là admin , password là admin Nhấn OK Đây là giao diện ban đầu của trang web quản lý router:
Cấu hình Wireless Router cơ bản
Từ màn hình đầu tiên của wireless router, người dùng có thể thực hiện nhiều thay đổi quan trọng như cấu hình dịch vụ DHCP, thiết lập địa chỉ IP cho router trên mạng LAN, thay đổi tên máy chủ và múi giờ, cài đặt mật khẩu, phương thức truy cập từ xa và tắt chức năng uPnP Ngoài ra, người dùng cũng có thể bật hoặc tắt chức năng log để theo dõi hoạt động của router.
2.3.1 Thay đổi host name và time zone Để đổi host name và time zone, thực hiện ngay trên màn hình setup chính Hãy đổi host name thành CSE1 , time zone thành GMT+7:00 Thailand, Russia như hình dưới đây:
Click nút Save Settings để lưu lại thay đổi vừa thực hiện
2.3.2 Đổi mật khẩu admin, truy cập từ xa và disable uPnP Để thay đổi mật khẩu administrator, remote access method và disable uPnP, hãy chuyển sang tab Administration Wireless router có thể sẽ yêu cầu nhập lại mật khẩu admin mặc định và chuyển đến trang mặc nhiên của tab này là Management Đổi mật khẩu của tài khoản admin thành 1cse1
Cài đặt để trang web quản trị chỉ có thể được truy cập thông qua giao thức HTTPS bằng cách check vào mục HTTPS và un-check mục HTTP
Vô hiệu hóa tính năng universal plug and play bằng cách chọn thiết lập Disable bên cạnh nhãn UpnP
Kết quả tương tự như sau:
Click nút Save Settings để lưu lại thay đổi vừa thực hiện
Người quản trị sẽ được yêu cầu cung cấp lại username và password của tài khoản admin cho quá trình xác thực của router
Router sẽ yêu cầu bạn chấp nhận thẻ chứng thực (certificate) của Linksys Nếu không thấy yêu cầu này, có thể firmware của router chưa được cập nhật, vì các phiên bản firmware dưới 4.0 thường gặp trục trặc với HTTPS.
Người dùng sẽ được trả về giao diện quản lý Lưu ý giao thức làm việc lúc này đã là HTTPS:
2.3.3 Cấu hình hệ thống log
Trên trang Management, click vào sub tab Log , click vào option button Enable và cuối cùng click nút Save Settings
Dưới đây là một bản log demo:
Test kết nối Internet
Vào tab Status và click sub tab Router
Router trong ví dụ dưới đây đã được cấu hình với một địa chỉ IP trên mạng Internet, cụ thể là 67.x.x.x, địa chỉ này không thuộc phạm vi private theo RFC1918 và cũng không nằm trong dải APIPA Hơn nữa, router này đang sử dụng DHCP để quản lý địa chỉ IP.
Các thông số quan trọng khác cho thấy điều này là subnet mask, default gateway và các địa chỉ DNS server.
Cấu hình wireless security cơ bản
Để cấu hình WEP, click vào tab Wireless và click vào mục Wireless Security Chọn dạng mã hóa 64-bit WEP encryption với key có giá trị là 1234567890
Kết nối đến wireless router sẽ bị ngắt Thực hiện kết nối lại Lúc này, phía client sẽ phải nhập key để có thể đăng nhập vào router
Kiểm tra lại trên network list:
Cấu hình Wireless cơ bản
Mục tiêu
Thực hiện site survey Cấu hình kênh không dây (wireless channel) Cấu hình SSID
Site survey
Một RF Site Survey là một bản đồ (sóng vô tuyến) để cài đặt thành công mạng không dây
Nếu không thực hiện một Site Survey nghiêm túc, mạng WLAN sẽ không hoạt động tối ưu và có thể gặp lỗi, dẫn đến việc bạn hoặc khách hàng phải chi tiêu nhiều cho phần cứng không đạt yêu cầu Do đó, Site Survey là bước quan trọng nhất trong việc cài đặt mạng không dây.
Site Survey là quy trình khảo sát từng bước nhằm hiểu rõ đặc điểm sóng vô tuyến, mức độ phủ sóng, và nguồn nhiễu để xác định vị trí lắp đặt thiết bị tối ưu trong công ty Mục tiêu chính của Site Survey là đảm bảo công nhân di động (WLAN Client) luôn nhận được tín hiệu mạnh và liên tục khi di chuyển trong facility, đồng thời duy trì kết nối ổn định với mạng và các ứng dụng Trong bài lab này, chúng ta sẽ thực hiện Site Survey theo các bước hướng dẫn cụ thể.
Cài đặt và khởi động chương trình Ekahau HeatMapper Mang laptop có card mạng không dây đi 1 vòng xung quanh facility
Click trái chuột thường xuyên trên đường đi Khi kết thúc di chuyển, nhấn phải chuột
Sau khi nhấn phải chuột, chúng ta sẽ thấy một bản đồ kết hợp vùng phủ sóng của các access point có trong facility
Di chuyển chuột lên một access point để kiểm tra vùng phủ sóng cụ thể của nó Bạn có thể ẩn hoặc hiển thị danh sách các access point bằng cách nhấn vào nút hình mũi tên.
Dưới đây là một kết quả khảo sát:
Trong kết quả ở trên, chúng ta có 3 access point trong vùng khảo sát Hai acccess point Linksys hỗ trợ chuẩn 802.11n và chạy ở channel (kênh) 1 Access point CNet (CWR-
854) hỗ trợ chuẩn 802.11g và chạy ở channel 9.
Cấu hình wireless channel
Trong thực tế, các wireless access point cần hoạt động khác kênh (channel) để tránh đụng độ Hai access point Linksys ở sơ đồ trên đang bị đụng độ
Thực hiện cấu hình wireless channel như sau:
Trên trang quản trị wireless router, vào tab Wireless
Trên sub tab Basic Wireless Settings , chọn dạng Wireless Configuration là
Chọn Standard Channel muốn thiết lập, chẳng hạn channel 11
Thực hiện tương tự để các access point trên mạng có channel lần lượt là 1,
Cấu hình Service Set Identifier (SSID)
Cấu hình trong hình trên cho thấy sự xung đột về SSID giữa hai access point Linksys, cả hai đều sử dụng SSID mặc định "linksys" Để thay đổi SSID, bạn cần thực hiện các bước sau:
Trên trang quản trị của access point, vào tab Wireless
Trên sub tab Basic Wireless Settings , chọn dạng Wireless Configuration là
Nhập vào SSID muốn thiết lập, chẳng hạn CSE1
Thực hiện tương tự cho access point Linksys còn lại
Disable SSID broadcast
SSID của các access point thường được phát sóng công khai, điều này không chỉ giúp người dùng dễ dàng phát hiện vùng dịch vụ và kết nối với client mà còn tạo ra lỗ hổng an ninh, cho phép kẻ tấn công dễ dàng xác định thông số và vị trí của access point.
Một giải pháp cho vấn đề này là tắt quảng bá SSID Thực hiện các bước sau:
Trên trang quản trị của access point, vào tab Wireless
Trên sub tab Basic Wireless Settings, chọn dạng Wireless Configuration là Manual
Trong mục SSID Broadcast, click lựa chọn Disabled Click nút Save Settings.
Cấu hình IAT, Firewall và Lọc địa chỉ MAC
Mục tiêu
Cấu hình chức năng dịch địa chỉ nội bộ (inbound address translation) cho web & email server
Hạn chế truy cập Internet bằng cách sử dụng firewall
Lọc danh sách máy trạm được truy cập mạng không dây bằng chức năng MAC Filtering.
Cấu hình inbound address translation cho web/email server
Mở giao diện quản trị router trên trình duyệt bằng cách trỏ đến địa chỉ https://192.168.1.1 và đăng nhập bằng tài khoản admin
Mở tab Applications & Gaming Chuyển đến phần Port Range Forwarding Để forward inbound web traffic đến web server sẵn có trong hệ thống, cấu hình theo bảng sau:
By integrating these applications, the router forwards incoming Internet requests to the designated web server, which is configured to send requests out to the Internet and respond to inquiries from within the WLAN network To verify the configured settings, follow these steps:
Enable máy chủ web (chẳng hạn IIS hoặc WAMP) trên 1 máy trong mạng, gọi là Server1
Trên Server1, mở trình duyệt và vào trang http://localhost để kiểm tra xem web server có hoạt động chưa
Trên một máy con, giả sử MAY1 , mở trình duyệt và trỏ đến địa chỉ internal
IP của Server1 Kiểm tra xem trình duyệt có mở đến trang nhà của web server không
Trên thiết bị MAY1, hãy mở trình duyệt và nhập địa chỉ IP bên ngoài (lấy từ trang Status của router) Kiểm tra xem trình duyệt có truy cập thành công vào trang chính của máy chủ web hay không.
Giới hạn truy cập Internet bằng firewall của router
Thực hiện cấu hình giới hạn truy cập Internet theo những quy định dưới đây:
Các client trong DHCP range chỉ được phép truy cập Internet qua giao thức HTTP (port 80) và sử dụng dịch vụ tên miền DNS (port 53)
Chỉ được phép truy cập từ thứ 2 đến hết ngày thứ 6 trong tuần
Không được phép có truy cập nào vào thứ 7 và Chủ nhật
Các bước thực hiện như sau:
Mở trang quản trị của router, vào tab Access Restrictions Theo mặc nhiên chúng ta sẽ đứng ở sub tab Internet Access Policy
Giao diện trang web cho phép cấu hình dễ dàng Tiếp theo, chúng ta cần tạo một Policy để giới hạn quyền truy cập Trong mục "Enter Policy Name:", hãy nhập tên cho Policy, ví dụ như "blockallbut53and80".
Mục Status, chọn option Enabled
Trong mục Applied PCs, click nút Edit List và quy định vùng địa chỉ được áp dụng Policy là DHCP client range của wireless router
Trong mục Blocked Applications, tạo 3 nhóm blocked services theo yêu cầu trong bảng dưới đây:
STT Tên Application Loại service Port Range
Xem demo ở hình dưới đây:
Chuyển 3 nhóm application vừa tạo sang danh sách Blocked List
Thực hiện test policy vừa tạo trên các máy client.
Lọc địa chỉ MAC (MAC filtering)
Để giới hạn truy cập theo địa chỉ MAC trong mạng, cần xác định địa chỉ MAC của các thiết bị kết nối Địa chỉ MAC có thể tìm thấy trong thông số Physical Address của Connection Properties.
Giả sử chúng ta có 2 Client, Client1 và Client2, với địa chỉ MAC như sau:
Client1: 00-0f-66-e7-50-d1 Client2: 00-12-17-88-18-71 Thực hiện cấu hình chức năng MAC Filtering như sau:
Mở trang web quản trị wireless router
Vào tab Wireless Click vào sub tab Wireless MAC Filter
Click vào option button Enabled
Click chọn mục Permit Only PC’s listed to access the wireless network
Để chỉnh sửa danh sách địa chỉ MAC được phép truy cập mạng không dây, bạn có thể thực hiện theo hai cách: nhập trực tiếp các địa chỉ MAC vào danh sách trên trang web, hoặc nhấn nút "Wireless Client List" để hiển thị cửa sổ các client đang kết nối với router.
Kết quả tương tự như sau:
Click nút Save Settings để lưu lại các thay đổi đã thực hiện
Test kết quả trên các máy client.
WPA & WPA2 PSK Authentication
Mục tiêu
Cấu hình WPA Pre-shared Key Authentication
Cấu hình WPA2 Pre-shared Key Authentication (802.11i personal mode) Test WPA2 PSK.
Cấu hình WPA Pre-shared Key Authentication
Đăng nhập vào trang web cấu hình access point
Mở tab Wireless – Wireless Security
Chọn cấu hình bảo mật là WPA Personal Nhập share key là mycsesite
Cấu hình và thử nghiệm WPA trên client
Trên máy client, vào Network List và kết nối vào access point Giả sử ở hình dưới đây, access point có SSIA là Nhom 2
Nhập vào khóa chia sẻ và nhấn OK
Thực hiện cấu hình WPA cho access point ở trên theo cách sau: o Nhấn phải chuột vào AP trên network list, chọn Properties
Xuất hiện cửa sổ cấu hình:
To connect to the network, navigate to the Security tab and select WPA-Personal under the Security type For the Encryption type, choose TKIP and enter the network security key as "mycsesite." Click OK to save the settings Test the network connection by sharing files with another device on the same access point.
Cấu hình WPA2-PSK trên router
Trên trang web cấu hình của AP, vào tab Wireless, chọn mục Wireless Security
Chọn cấu hình bảo mật là WPA2 Personal Chọn Encryption type là AES
Nhập share key là mycsesite Click Save Settings.
Cấu hình và thử nghiệm WPA2 trên client
Thực hiện cấu hình lại về security cho kết nối đến access point, theo hình dưới đây:
Kết nối từ client vào access point hỗ trợ WPA2 Kiểm tra kết nối bằng cách thực hiện chia sẻ file trên các máy tính cùng mạng.
RADIUS (802.1x Authentication)
Mục tiêu
Cấu hình Windows Internet Authentication Service (IAS)
Sử dụng RADIUS (802.1x) kết hợp với WPA2
Cấu hình và kiểm tra trên client.
Cài đặt RADIUS server trên Windows Server 2003
Trước khi cài đặt RADIUS server (bằng cách sử dụng Microsoft Internet Authentication Service), thực hiện những việc sau:
Cài Internet Authentication Service (IAS)
Chuyển server thành Windows Active Directory domain controller (DC) Cài Certificate Services
6.3.1 Cài đặt DNS và IAS
6.3.2 Cài đặt Windows Active Directory
Vào Start – Run và chạy lệnh dcpromo Đặt domain là cse.net
Giữ nguyên NetBIOS name do wizard cài đặt đề nghị
Nhập Restore Mode Password là cse123456
Khởi động lại máy ảo Windows Server 2003 khi quá trình cài đặt kết thúc
Vào Control Panel – Add/Remove Programs Mở Windows Components Wizard
Chọn mục Enterprise Root CA và click Next Đặt Common Name cho CA là CSE Giữ nguyên giá trị mặc nhiên cho các lựa chọn khác
Giữ nguyên địa chỉ log database, C:\WINDOWS\system32\CertLog
Quá trình cài đặt có thể cần đĩa CDROM Windows 2003 Enterprise Server.
Cấu hình Windows Internet Authentication Service (IAS)
6.4.1 Đăng ký IAS server với AD
Mở công cụ quản trị IAS bằng cách vào Start – Programs - Administrative Tools - Internet Authentication Service
Trên IAS management console, right click vào server và click Register Server in Active Directory
6.4.2 Thêm mới IAS RADIUS client
Nhấn phải vào tùy chọn RADIUS clients và chọn New RADIUS Client
Nhập vào thông số của router:
Nhập giá trị 123456 cho 2 mục Shared Secret và Confirm Shared Secret :
Trên cửa sổ Internet Authentication Service, vào mục Remote Access Policies
Xóa tất cả default policy (nếu có)
Tạo mới 1 policy, như hình sau: Đặt tên policy là wireless
Trong mục Access Method, chọn Wireless
Chúng ta sẽ sử dụng User permission để kiểm soát việc ai được truy cập vào mạng bằng cách chọn mục User trong cửa sổ tiếp theo:
Chọn phương thức xác thực là Protected EAP (PEAP)
Nhấn Finish để kết thúc
SV tạo một Windows domain user để kiểm tra các cấu hình đã cài đặt
Vào Start Menu - Administrative Tools - Active Directory Users and Computers Right click mục Users và chọn New - User
Cấu hình như dưới đây:
Nhập mật khẩu cho user test là Abc@123
Vào cửa sổ Properties của user test, vào tab Dial in và chọn mục Allow Access
Thực hiện cài DHCP Server trên máy chủ Win2k3 Đặt Scope mới trên DHCP Server có tên là CSENET
Kết hợp RADIUS với WPA2
Chỉ 1 sinh viên thực hiện các bước sau, các sinh viên khác xem để biết:
Vào giao diện quản trị access point Tắt DHCP Service của Access point
Access the Wireless tab and select the Wireless Security sub-tab In the Security mode section, choose WPA2 Enterprise and set the Encryption to AES Enter the IP address of the RADIUS Server and input the shared secret as 123456 The configuration results should resemble the example provided below.
Kiểm tra kết quả trên client
6.6.1 Cấu hình connection từ client đến access point
Vào Network and Sharing Center Manage wireless networks Click nút Add để tạo mới network
Chọn Manually create a network profile Cấu hình tương tự như dưới đây (Lưu ý Network name là SSID của access point) Ấn Next
Click chọn mục Change connection settings xuất hiện cửa sổ sau:
Trong mục Security type, chọn WPA2-Enterprise Mục Encryprion type, chọn AES
Mục Authentication method, chọn Protected EAP (PEAP)
Click vào nút Settings cạnh mục Authentication method Xuất hiện cửa sổ sau:
Uncheck mục Validate server certificate
Mục Select Authentication Method, chọn lựa chọn Secured password (EAP-
Click nút Configure Uncheck mục Automatically use my Windows logon name …
Trở lại hộp thoại Wireless Network Properties, click nút Advanced Settings.