Thứ Sáu, 29/03/2024
32 C
Ho Chi Minh City

Cấu trúc và bảo mật mạng WLAN

Kinh tế Sài Gòn Online

Kinh tế Sài Gòn Online

Cấu trúc và bảo mật mạng WLAN

Đồng Nguyên

(TBVTSG) -Mạng không dây (WLAN) với định chuẩn 802.11 cung cấp thông tin giúp theo dõi và phân tích nhiều hơn bất kỳ giao thức nào khác trong nhóm tiêu chuẩn 802. Tuy nhiên, để tận dụng được lợi thế này, bạn phải thiết lập cấu trúc WLAN sao cho hợp lý để có thể vừa tiết kiệm chi phí vừa tạo ra được các giải pháp gia tăng tính linh hoạt cho toàn bộ hệ thống. Một khi đã quy hoạch hợp lý hạ tầng mạng, quản trị tốt hệ thống và xử lý triệt để các sự cố (nếu có), việc bảo mật mạng sẽ không phải là một vấn đề quá tầm tay.

Cũng như mạng LAN, mạng WLAN yêu cầu các công cụ phân tích và xử lý phải đồng bộ, để có thể duy trì, tối ưu hóa và gia tăng bảo mật đối với các chức năng của toàn bộ hệ thống. Tuy nhiên, trong môi trường LAN, tất cả các tín hiệu được cấu trúc và truyền tải qua hệ thống dây cáp ổn định; còn tín hiệu trong mạng WLAN được truyền đi qua việc ứng dụng công nghệ tần số vô tuyến (RF), có thể truyền ra bên ngoài theo tất cả các hướng nên rất dễ bị gián đoạn hoặc bị can thiệp bởi bên thứ ba.

Chất lượng của tín hiệu truyền đi trong nội mạng WLAN có thể thay đổi theo thời gian và không gian, ngay cả khi nguồn phát và điểm tiếp nhận đã được cố định. Bởi vì nhiều người có thể truy cập vào mạng WLAN mở, thậm chí khi kết nối chưa được xác thực, các dữ liệu sẽ dễ dàng bị truy cập và sử dụng một cách bất hợp pháp. Việc sử dụng phổ tần chưa được cấp phép phù hợp với tiêu chuẩn 802.11 cũng dễ làm gia tăng tính nguy hiểm của hệ thống vì nó phải chia sẻ băng thông với các thiết bị không theo chuẩn 802.11, như Bluetooth, điện thoại không dây và lò vi ba. Do đó, các kỹ sư CNTT phải cấu trúc hợp lý trước khi thiết lập các giải pháp bảo mật cho hệ thống WLAN.

Quy hoạch và thiết kế một mạng WLAN

Cấu trúc và bảo mật mạng WLAN
Hình 1. Các thông số cơ sở của một mạng WLAN.

Một trong những lợi thế của mạng WLAN với định chuẩn 802.11 (WLAN 802.11) là khả năng tự điều chỉnh và thay đổi cấu hình để có thể vận dụng tốt băng thông có sẵn. Tuy nhiên, bạn chỉ nên vận dụng khả năng này nếu biết rõ phương pháp điều chỉnh giới hạn của nó sao cho phù hợp với môi trường phổ tần chung tại những nơi mạng WLAN được triển khai.

Thiết lập các thông số cơ sở:

Khi thiết lập các thông số cơ sở trong WLAN, bạn nên đánh giá một cách chính xác nguồn gây nhiễu từ các thiết bị không thuộc định chuẩn 802.11 và các tín hiệu phát ra từ các thiết bị 802.11 hiện đang được sử dụng gần đó (Hình 1).

Các nguồn gây nhiễu thường hay bị bỏ qua khi triển khai một mạng WLAN, mặc dù đây là một trong những thông tin rất quan trọng đối với việc thiết kế vị trí, khoảng cách và lựa chọn kênh cho điểm truy cập (AP). Khi nguồn gây nhiễu cao, nút WLAN 802.11 sẽ hoạt động liên tục để gia tăng sự phân mảnh, đơn giản hóa các quang phổ lan truyền và làm giảm tỷ lệ truyền tải khi sử dụng băng thông có sẵn.

Ngoài ra, sự can thiệp ở các lớp vật lý sẽ làm gia tăng sự truyền tải lặp đi lặp lại vốn rất hay xảy ra đối với các gói dữ liệu có phân mảnh lớn, mặc dù hệ thống  vẫn đang hiển thị rằng không có bất cứ tác động xấu nào từ một nguồn can thiệp.

Kiểm tra giao diện ban đầu:

Ngay khi môi trường cho WLAN và giao diện ban đầu đã được xác định, bạn đã có thể tiến hành kiểm tra hệ thống. Các chuyên gia khuyên nên kiểm tra những thông số cơ sở trước khi triển khai và đo lường hiệu suất thực tế của mạng WLAN mà bạn sắp cấu hình. 

Bạn có thể sử dụng một trong các giải pháp, chẳng hạn như OmniPeek của WildPackets, để đánh giá thông lượng tổng thể và cường độ tín hiệu tại các địa điểm quan trọng trong hệ thống mạng; hoặc để xác định và đồng thời khắc phục các sự cố trong mạng cả có dây lẫn không dây.

Quản lý mạng WLAN

Quản lý tín hiệu:

Để quản lý tốt tín hiệu trong WLAN, nên bắt đầu bằng việc xem qua “bảng điều khiển” để có thể nhanh chóng nắm được tình hình tổng thể về hoạt động của hệ thống. Màn hình của các thiết bị quản lý WLAN luôn hiển thị tín hiệu và tiếng ồn trên WLAN dưới dạng biểu đồ thanh được cập nhật liên tục. Dựa trên các biểu đồ này, bạn có thể so sánh được cường độ tín hiệu hoặc biên độ tiếng ồn trên các kênh phát sóng khác nhau.

Quản lý đối tượng truy cập:

Các mạng không dây được thiết lập trên cơ sở một hoặc nhiều tế bào vô tuyến, tập trung ở điểm truy cập (AP). Không giống như mạng có dây, cấu trúc liên kết chính xác của WLAN sẽ thay đổi theo phạm vi phủ sóng từ một AP này đến một AP khác. Cấu trúc này có thể được biểu đạt dưới dạng một diễn đồ phân cấp với lớp trên cùng là các Extended Service Set (mạng không dây có hơn một AP) – ESS (tất cả các AP đều kết nối với nhau ở cùng một hệ thống phân tỏa – DS), lớp kế tiếp là các Basic Service Set (mạng không dây chỉ có một AP) – BSS (các AP riêng rẽ và các thiết bị liên kết) và cuối cùng là các nút mạng hay các trạm phát tín hiệu (STA).

Tuy nhiên, không phải lúc nào các thiết bị không dây kết nối vào mạng WLAN cũng đều được hiển thị dưới hình thái một cây phân cấp với các lớp ESS, BSS và STA. Các thiết bị riêng rẽ có thể được xác định bằng các định danh của chúng trong ESS (ESSID), BSS (BSSID) hoặc bằng địa chỉ Media Access Control (MAC) thích hợp.

ESSID là định danh cho một nhóm các AP, còn BSSID là định danh cụ thể của AP với nhận dạng SSID được gửi ra từ chính AP đó qua địa chỉ MAC của riêng nó. Định chuẩn 802.11 giúp theo dõi được hàng chục đặc tính khác nhau tại mỗi nút mạng, bao gồm: thể mã hóa, phương thức xác thực, kênh phát sóng, tốc độ truyền tải, các số liệu thống kê về tín hiệu và tiếng ồn (dBm hoặc %) và những thống kê về thông luồng. Hầu hết những giá trị đáng tin cậy này đều được gán tại mỗi nút mạng cho phép bạn có thể xác định được “ai” đang truy cập vào WLAN của mình.

Bảo mật mạng WLAN

Do WLAN sử dụng sóng radio trong truyền tải nên việc ứng dụng các giải pháp bảo mật hệ thống trở nên khó khăn nhiều hơn so với mạng có dây.

Hoàn toàn có thể gia tăng tính an toàn và khả năng bảo mật cho hệ thống WLAN bằng cách sử dụng các phương pháp mã hóa WEP, WPA và WPA2. Trong khi kỹ thuật xác thực và mã hóa giản đơn WEP chỉ có thể ngăn chặn sự truy cập trái phép từ bên ngoài vào lưu lượng WLAN của bạn để duyệt web, chứ không thể giúp ngăn chặn được những cuộc tấn công có chủ ý thì WPA và WPA2 lại có thể đáp ứng các yêu cầu về an ninh cho WLAN một cách cao nhất. Mặc dù vậy, bạn vẫn phải luôn chủ động với hàng loạt các biện pháp phòng bị nhằm bảo đảm: thứ nhất, sự xâm nhập trái phép phải được xác định và ngăn chặn; thứ hai, hệ thống phải được giám sát thường xuyên để đảm bảo các chính sách an ninh được áp dụng triệt để.

Việc phân tích các dữ liệu thực tế trên lưu lượng của một WLAN cho phép xác định được đâu là những truy cập bất thường và liệu hệ thống có được vận hành hết công suất tối ưu chưa. Nhờ vậy, bạn có thể ứng dụng các công cụ giúp phát hiện và xử lý sự cố kịp thời dựa trên các vấn đề vừa được tìm thấy, như: các đợt tấn công trái phép (DoS), sự tấn công từ bên thứ ba, những sai sót trong chính sách bảo mật (chẳng hạn như việc cấu hình sai), sự xâm nhập trái phép, AP giả mạo…

Phân tích các giao thức mạng cao cấp:

Ngày nay, những yêu cầu trong việc quản lý một hệ thống đối với các kỹ sư CNTT không đơn giản chỉ là công tác quản lý Ethernet hay mạng WLAN như trước mà họ còn phải bảo đảm được khả năng truy cập trơn tru vào các nguồn lực sẵn có của công ty, đặc biệt là các giao thức mạng cao cấp, cho tất cả những người sử dụng được cấp quyền. Khi WLAN được sử dụng để mở rộng và tăng cường hiệu quả của mạng LAN, các giao thức cao cấp đó cũng phải được ứng dụng, đồng bộ hóa và tương thích đa chiều trên các giao diện di động.

Mặc dù một phần công việc này có thể được thực hiện riêng rẽ bằng cách theo dõi lưu lượng truy cập vào mạng có dây, bạn cũng nên xác định và phân tích lưu lượng truy cập không dây trước khi chúng được đi vào hệ thống phân tỏa DS để có thể dễ dàng giải quyết các vấn đề phát sinh (nếu có), chẳng hạn như sai sót trong cầu nối từ AP và tới các AP hoặc các gói dữ liệu bị biến đổi trong quá trình truyền từ nút mạng đến điểm tiếp nhận.

Trong môi trường không dây hoàn toàn, cách duy nhất để xử lý những sự cố xảy ra đối với các giao thức mạng cao cấp, như TCP/IP, là bạn phải quản lý được các gói dữ liệu gửi ra bên ngoài. Đối với những văn phòng nhỏ, nhất là những văn phòng có không gian không tiếp giáp nhau ở cùng một tầng lầu, giải pháp không dây ngày càng được ứng dụng rộng rãi bởi sự tiện dụng, tính thẩm mỹ (kết nối có dây duy nhất là kết nối từ modem DSL đến bộ định tuyến và AP) và khả năng lắp đặt nhanh chóng của WLAN.

Hình 2. Giao thức VoIP của Skype.

Về cơ bản, việc xử lý sự cố thực tế trên các giao thức cao cấp không khác nhau mấy đối với mạng WLAN hay LAN, khi phần mềm phân tích mạng có thể đọc được các gói dữ liệu một cách đầy đủ. Khi tính năng bảo mật được kích hoạt, công cụ phân tích giao thức sẽ hoạt động như bất kỳ nút mạng nào trên mạng không dây và có thể giải mã tốt các gói dữ liệu dựa vào các phím chia sẻ, miễn là các nút mạng phải được tích hợp vào công cụ phân tích đó.

Tận dụng các thiết bị hiện có với adapter của AP:

Hiện nay, vấn đề quan trọng nhất trong việc xử lý các sự cố trên WLAN chính là sự truy cập vào các gói dữ liệu mạng tại điểm nguồn xảy ra sự cố. Việc triển khai các cảm biến không dây ở các mạng đa tầng có thể giúp giám sát lưu lượng truy cập không dây từ các AP hiện hữu là một giải pháp có hiệu quả nhưng lại đòi hỏi chi phí đầu tư lớn.

Một giải pháp khác hấp dẫn hơn là dựa vào kết quả việc theo dõi các gói dữ liệu được sử dụng trong hệ thống mạng không dây hiện tại, với yêu cầu phần cứng phải được thiết kế sao cho bảo đảm được cả hai khả năng truyền và nhận. Tuy nhiên, giải pháp này chỉ được áp dụng có hiệu quả với adapter của AP được cung cấp bởi WildPackets.

Phân tích đa kênh:

Việc phân tích đa kênh trên WLAN giúp bạn theo dõi và phân tích lưu lượng truy cập qua nhiều kênh khác nhau trong cùng một thời điểm. Ngoài ra, bạn cũng có thể đo lường được thông lượng trên mỗi kênh riêng biệt và tính toán được độ trễ của thiết bị khi chuyển vùng giữa các AP.

Phân tích về độ trễ khi chuyển vùng:

Độ trễ khi chuyển vùng là khoảng thời gian cần thiết cho một thiết bị không dây có thể chuyển hướng từ một AP này đến một AP khác, cũng có thể gọi nôm na là việc tái thiết lập liên kết không dây. Bạn có thể phân tích độ trễ này bằng cách tính toán lượng thời gian truyền tải các gói dữ liệu trên cùng một AP, căn cứ vào khoảng thời gian truyền tải thành công gói dữ liệu đầu tiên đến gói dữ liệu gần nhất (Hình 2).

Bạn có thể hình dung rõ hơn về độ trễ khi chuyển vùng qua giao thức thoại VoIP trên các thiết bị di động như điện thoại di động hay máy tính xách tay. Chỉ cần các gói dữ liệu được truyền chậm hơn vài trăm mili giây, chất lượng thoại sẽ không đạt hoặc thậm chí cuộc đàm thoại có thể bị cắt ngang đột ngột.

________________________________________

(Mời tham khảo bài “Mạng không dây ngày nay” từ số báo trước, ngày 10-8-2011)

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

Tin liên quan

Có thể bạn quan tâm

Tin mới