Nếu không thực hiện một Site Survey nghiêm túc thì mạng WLAN được cài đặt dựa trên kết quả của Site Survey sẽ hoạt động không tối ưu (đôi khi có thể gây ra lỗi).. Lúc đó, bạn (hay khác[r]
(1)(2)MỤC LỤC
Lab 1: Làm việc với Ad-hoc Wireless LAN
1.1 Mục tiêu
1.2 Cài đặt card mạng không dây Linksys Wireless WUSB54G
1.3 Tạo mạng ad-hoc không dây Windows
1.4 Kết nối vào mạng wireless ad-hoc từ Windows Client 10
1.5 Cấu hình Secutity cho mạng wireless ad-hoc 12
1.6 Chia sẻ file mạng wireless ad-hoc 13
Lab 2: Cấu hình Router Client – Phần Cơ 17
2.1 Mục tiêu 17
2.2 Kết nối đến Wireless Router 17
2.3 Cấu hình Wireless Router 19
2.3.1 Thay đổi host name time zone 19
2.3.2 Đổi mật admin, truy cập từ xa disable uPnP 20
2.3.3 Cấu hình hệ thống log 22
2.4 Test kết nối Internet 23
2.5 Cấu hình wireless security 24
Lab 3: Cấu hình Wireless 26
3.1 Mục tiêu 26
3.2 Site survey 26
3.3 Cấu hình wireless channel 27
3.4 Cấu hình Service Set Identifier (SSID) 28
3.5 Disable SSID broadcast 29
Lab 4: Cấu hình IAT, Firewall Lọc địa MAC 31
(3)4.2 Cấu hình inbound address translation cho web/email server 31
4.3 Giới hạn truy cập Internet firewall router 32
4.4 Lọc địa MAC (MAC filtering) 35
Lab 5: WPA & WPA2 PSK Authentication 38
5.1 Mục tiêu 38
5.2 Cấu hình WPA Pre-shared Key Authentication 38
5.3 Cấu hình thử nghiệm WPA client 39
5.4 Cấu hình WPA2-PSK router 41
5.5 Cấu hình thử nghiệm WPA2 client 41
Lab 6: RADIUS (802.1x Authentication) 43
6.1 Mục tiêu 43
6.2 Sơ đồ mạng 43
6.3 Cài đặt RADIUS server Windows Server 2003 43
6.3.1 Cài đặt DNS IAS 44
6.3.2 Cài đặt Windows Active Directory 44
6.3.3 Cài đặt Certificate Services 44
6.4 Cấu hình Windows Internet Authentication Service (IAS) 46
6.4.1 Đăng ký IAS server với AD 46
6.4.2 Thêm IAS RADIUS client 47
6.4.3 Thiết lập IAS policy 48
6.4.4 Tạo Domain user 50
6.4.5 Cài DHCP Server 52
6.5 Kết hợp RADIUS với WPA2 52
6.6 Kiểm tra kết client 53
(4)(5)Lab 1: Làm việc với Ad-hoc Wireless LAN
1.1. Mục tiêu
Cài đặt card mạng không dây
Tạo mạng ad-hoc gồm PC dùng card mạng khơng dây Cấu hình bảo mật cho mạng ad-hoc
Cấu hình để Windows client chia sẻ file mạng ad-hoc
1.2. Cài đặt card mạng không dây Linksys Wireless WUSB54G
Cắm card mạng Linksys WUSB54G vào cổng USB Xuất hình tự cài đặt Windows
Thơng báo cài đặt trình điều khiển không thành công
Vào Device Manager: Nhấn phải chuột vào My Computer chọn Properties
(6)Nhắp phải chuột vào Wireless-G USB Network Adapter, chọn Update Driver Software…
Click mục Browse my computer for driver software
(7)Ấn OK ấn Next
Click vào mục Install this driver software anyway để tiếp tục cài đặt
Xuất thông báo cài đặt hoàn tất Click nút Close để kết thúc
1.3. Tạo mạng ad-hoc không dây Windows
Thực công việc sau máy tính – gọi MAY1
(8)Click mục Open Network and Sharing Center
Xuất cửa sổ Network and Sharing Center Click vào Setup a new
connection or network
Trong hộp thoại Set Up a Connection or Network, click vào lựa chọn Setup a
(9)Ấn Next cửa sổ Setup a wireless ad-hoc network
Đặt Network name CSE-Ad-hoc, Security type No authentication
(Open) Check vào mục Save this network Click Next
(10)Biểu tượng kết nối Adhoc xuất Network list
1.4. Kết nối vào mạng wireless ad-hoc từ Windows Client
Trên máy tính khác với máy vừa tạo mạng adhoc – gọi MAY2, làm
việc sau:
Click vào biểu tượng kết nối khay hệ thống, xuất danh sách kết nối mạng sẵn có
(11)Sau kết nối vào CSE-Ad-hoc, MAY2 có địa IP tự động, gọi
automatic private IP address (APIPA) Địa nằm range
169.254.x.x Để xem địa này, nhấn phải chuột vào kết nối CSE-Ad-hoc danh sách Network list, chọn mục Status
Click vào nút Details trên cửa sổ Kết tương tự sau:
Trên MAY1, card mạng không dây ứng với kết nối ad-hoc vừa tạo gán địa IP range 169.254.x.x
Thực disable Windows Firewall
(12)o Trên MAY2, thực ping đến địa IP MAY1
o Trên MAY1, thực ping đến địa IP MAY2
1.5. Cấu hình Secutity cho mạng wireless ad-hoc
Trên MAY1, thực chỉnh sửa cấu hình Security từ Open-None thành
Open-WEP Nhấn phải chuột vào biểu tượng Connection CSE-Ad-hoc
Network list, chọn Properties
(13)Chỉnh Encryption type thành WEP, nhập vào Network key 1234567890 Ấn OK
MAY1 bị ngắt kết nối khỏi mạng CSE-Ad-hoc Các máy khác kết nối vào mạng bị ngắt kết nối khỏi mạng
Thực kết nối MAY1 vào mạng CSE-Ad-hoc
Trở lại MAY2, kết nối MAY2 vào mạng CSE-Ad-hoc Người dùng MAY2
phải nhập Security key Nhập vào chuỗi 1234567890 Ấn OK
Thực ping từ MAY2 sang MAY1 để kiểm tra kết
1.6. Chia sẻ file mạng wireless ad-hoc
Cho phép File Sharing
o Trên MAY2, vào Network and Sharing Center Lưu ý kết nối ad-hoc
đang liệt vào nhóm Public network
(14)o Trong mục File and printer sharing, click lựa chọn Turn on file and
printer sharing
o Trong mục Password protected sharing, click lựa chọn Turn off
password protected sharing
Enable user Guest để cho phép truy cập từ máy khác
o Ấn phải chuột vào My Computer, chọn Manage
o Trong mục Local Users and Groups – Users, nhấn phải vào Guest
chọn Properties
(15)Tạo folder Lab1-MAY2 MAY2 Tạo tập tin folder Nhấn phải chuột vào folder này, chọn Properties
Trong cửa sổ ra, chọn tab Sharing
(16)Đặt Share name nhấn OK Vào tab Security, click nút Edit
Click nút Add cửa sổ thêm vào nhóm Everyone Cho nhóm
quyền Read
(17)Lab 2: Cấu hình Router Client – Phần Cơ bản
2.1. Mục tiêu
Kết nối đến Wireless Router
Cấu hình tính quản trị tùy biến cấu hình Kiểm tra kết nối từ client lên Internet
Cấu hình wireless security
2.2. Kết nối đến Wireless Router
Trên MAY1, thực kết nối đến access point Thông thường, access point hiển thị SSID mặc nhiên, chẳng hạn linksys
(18)Để thực cấu hình router, trỏ trình duyệt web đến địa
http://192.168.1.1 , đây:
Nhập vào username admin, password admin Nhấn OK
(19)2.3. Cấu hình Wireless Router bản
Ngay từ hình thực nhiều thay đổi quan trọng với wireless router, chẳng hạn như:
o DHCP service
o Địa IP router mạng LAN
o Host name time zone
o Password, phương thức truy cập từ xa (remote access method) disable uPnP
o Bật/tắt chức log
2.3.1. Thay đổi host name time zone
Để đổi host name time zone, thực hình setup
Hãy đổi host name thành CSE1, time zone thành GMT+7:00 Thailand,
(20)Click nút Save Settings để lưu lại thay đổi vừa thực
2.3.2. Đổi mật admin, truy cập từ xa disable uPnP
Để thay đổi mật administrator, remote access method disable uPnP, chuyển sang tab Administration Wireless router yêu cầu nhập lại mật admin mặc định chuyển đến trang
tab Management
Đổi mật tài khoản admin thành 1cse1
Cài đặt để trang web quản trị truy cập thơng qua giao thức HTTPS cách check vào mục HTTPS un-check mục HTTP
Vơ hiệu hóa tính universal plug and play cách chọn thiết lập Disable bên cạnh nhãn UpnP
(21)Click nút Save Settings để lưu lại thay đổi vừa thực
Người quản trị yêu cầu cung cấp lại username password tài khoản admin cho trình xác thực router
(22)Người dùng trả giao diện quản lý Lưu ý giao thức làm việc lúc HTTPS:
2.3.3. Cấu hình hệ thống log
Trên trang Management, click vào sub tab Log, click vào option button
(23)Dưới log demo:
2.4. Test kết nối Internet
Vào tab Status và click sub tab Router
Trong hình ví dụ đây, router cập địa chi IP mạng Internet Chúng ta nhận thấy điều địa 67.x.x.x (không nằm private RFC1918 không nằm APIPA range) router sử dụng DHCP
(24)2.5. Cấu hình wireless security bản
(25)Kết nối đến wireless router bị ngắt Thực kết nối lại Lúc này, phía client phải nhập key để đăng nhập vào router
(26)Lab 3: Cấu hình Wireless bản
3.1. Mục tiêu
Thực site survey
Cấu hình kênh khơng dây (wireless channel) Cấu hình SSID
Disable SSID broadcast
3.2. Site survey
Một RF Site Survey đồ (sóng vơ tuyến) để cài đặt thành công mạng không dây
Nếu không thực Site Survey nghiêm túc mạng WLAN cài đặt dựa kết Site Survey hoạt động khơng tối ưu (đơi gây lỗi) Lúc đó, bạn (hay khách hàng bạn) phải tốn nhiều tiền vào phần cứng mà khơng hoạt động mong muốn Vì thế, Site Survey xem bước quan trọng việc cài đặt mạng không dây
Site Survey trình làm theo bước, người khảo sát tìm hiểu đặc điểm sóng vơ tuyến, mức độ phủ sóng, nguồn nhiễu, xác định địa điểm đặt thiết bị tối ưu cơng ty (facility) Mục đích Site Survey đảm bảo cho cơng nhân di động (chính WLAN Client) ln có tín hiệu mạnh liên tục họ di chuyển xung quanh facility họ, đồng thời đảm bảo cho client trì kết nối với mạng ứng dụng chạy cách thông suốt
Trong lab này, thực Site Survey theo bước đây: Cài đặt khởi động chương trình Ekahau HeatMapper
Mang laptop có card mạng khơng dây vòng xung quanh facility Click trái chuột thường xuyên đường
Khi kết thúc di chuyển, nhấn phải chuột
(27)Trỏ chuột lên access point để xem vùng phủ sóng riêng access point
Ẩn cho hiển thị danh sách access point cách nhấn vào nút có hình mũi tên
Dưới kết khảo sát:
Trong kết trên, có access point vùng khảo sát Hai acccess point Linksys hỗ trợ chuẩn 802.11n chạy channel (kênh) Access point CNet (CWR- 854) hỗ trợ chuẩn 802.11g chạy channel
3.3. Cấu hình wireless channel
Trong thực tế, wireless access point cần hoạt động khác kênh (channel) để tránh đụng độ Hai access point Linksys sơ đồ bị đụng độ
Thực cấu hình wireless channel sau:
Trên trang quản trị wireless router, vào tab Wireless
Trên sub tab Basic Wireless Settings, chọn dạng Wireless Configuration
Manual
(28)Thực tương tự để access point mạng có channel 1, 11
3.4. Cấu hình Service Set Identifier (SSID)
Cấu hình có hình có đụng độ SSID access point Linksys: dùng SSID mặc nhiên, linksys
Để đổi SSID, thực bước sau:
(29)Trên sub tab Basic Wireless Settings, chọn dạng Wireless Configuration
Manual
Nhập vào SSID muốn thiết lập, chẳng hạn CSE1
Click nút Save Settings
Thực tương tự cho access point Linksys lại Kết sau:
3.5. Disable SSID broadcast
Mặc nhiên SSID access point gửi quảng bá Bên cạnh tác dụng hỗ trợ việc phát vùng dịch vụ (service zone) access point việc đăng nhập client, lỗ hổng an ninh giúp đối tượng công dễ dàng xác định thông số vị trí access point
Một giải pháp cho vấn đề tắt quảng bá SSID Thực bước sau: Trên trang quản trị access point, vào tab Wireless
Trên sub tab Basic Wireless Settings, chọn dạng Wireless Configuration Manual
Trong mục SSID Broadcast, click lựa chọn Disabled
(30)(31)Lab 4: Cấu hình IAT, Firewall Lọc địa MAC
4.1. Mục tiêu
Cấu hình chức dịch địa nội (inbound address translation) cho web & email server
Hạn chế truy cập Internet cách sử dụng firewall
Lọc danh sách máy trạm truy cập mạng không dây chức MAC Filtering
4.2. Cấu hình inbound address translation cho web/email server
Mở giao diện quản trị router trình duyệt cách trỏ đến địa
https://192.168.1.1 và đăng nhập tài khoản admin
Mở tab Applications & Gaming Chuyển đến phần Port Range Forwarding
Để forward inbound web traffic đến web server sẵn có hệ thống, cấu hình theo bảng sau:
Kết sau:
(32)Bằng cách thêm vào ứng dụng này, router forward inbound Internet request đến web server định Web server cấu hình để gửi yêu cầu mạng Internet phản hồi cho yêu cầu từ phía mạng WLAN
Để kiểm tra thiết lập vừa cấu hình, thực việc sau:
Enable máy chủ web (chẳng hạn IIS WAMP) máy mạng, gọi Server1
Trên Server1, mở trình duyệt vào trang http://localhost để kiểm tra xem
web server có hoạt động chưa
Trên máy con, giả sử MAY1, mở trình duyệt trỏ đến địa internal
IP của Server1 Kiểm tra xem trình duyệt có mở đến trang nhà web server khơng
Cũng MAY1, mở trình duyệt trỏ đến địa external IP (lấy từ trang
Status router) Kiểm tra xem trình duyệt có mở đến trang nhà web server không
4.3. Giới hạn truy cập Internet firewall router
Thực cấu hình giới hạn truy cập Internet theo quy định đây:
Các client DHCP range phép truy cập Internet qua giao thức HTTP (port 80) sử dụng dịch vụ tên miền DNS (port 53)
Chỉ phép truy cập từ thứ đến hết ngày thứ tuần Không phép có truy cập vào thứ Chủ nhật
Các bước thực sau:
Mở trang quản trị router, vào tab Access Restrictions Theo
(33)Ở bước tiếp theo, tạo Policy quy định việc giới hạn truy cập Trong
mục Enter Policy Name:, nhập vào tên Policy cần tạo, chẳng hạn
blockallbut53and80
(34)Trong mục Applied PCs, click nút Edit List và quy định vùng địa áp dụng Policy DHCP client range wireless router
Click nút Save Settings
Trong mục Blocked Applications, tạo nhóm blocked services theo yêu cầu bảng đây:
STT Tên Application Loại service Port Range
From To
1 upto52 Both (TCP & UDP) 52
2 54to79 Both (TCP & UDP) 54 79
3 above80 Both (TCP & UDP) 81 65535
(35)Kết sau:
Chuyển nhóm application vừa tạo sang danh sách Blocked List
Thực test policy vừa tạo máy client
4.4. Lọc địa MAC (MAC filtering)
Để giới hạn truy cập theo địa MAC, phải biết địa MAC node tham gia vào mạng
(36)Giả sử có Client, Client1 Client2, với địa MAC sau: Client1: 00-0f-66-e7-50-d1
Client2: 00-12-17-88-18-71
Thực cấu hình chức MAC Filtering sau: Mở trang web quản trị wireless router
Vào tab Wireless Click vào sub tab Wireless MAC Filter Click vào option button Enabled
Click chọn mục Permit Only PC’s listed to access the wireless network Thực chỉnh sửa danh sách địa MAC phép truy cập mạng wireless cách sau:
o Nhập trực tiếp vào danh sách địa MAC trang web
o Click nút Wireless Client List để xuất cửa sổ hiển thị client
(37)Kết tương tự sau:
(38)Lab 5: WPA & WPA2 PSK Authentication
5.1. Mục tiêu
Cấu hình WPA Pre-shared Key Authentication Test WPA PSK
Cấu hình WPA2 Pre-shared Key Authentication (802.11i personal mode) Test WPA2 PSK
5.2. Cấu hình WPA Pre-shared Key Authentication
Đăng nhập vào trang web cấu hình access point Mở tab Wireless – Wireless Security
Chọn cấu hình bảo mật WPA Personal
Nhập share key mycsesite
(39)5.3. Cấu hình thử nghiệm WPA client
Trên máy client, vào Network List kết nối vào access point Giả sử hình đây, access point có SSIA Nhom
(40)Thực cấu hình WPA cho access point theo cách sau:
o Nhấn phải chuột vào AP network list, chọn Properties
Xuất cửa sổ cấu hình:
(41)o Mục Security type, chọn WPA-Personal
o Mục Encryption type, chọn TKIP
o Nhập vào Network security key mycsesite
o Click OK
Thử nghiệm kết nối mạng cách chia sẻ file với máy khác access point
5.4. Cấu hình WPA2-PSK router
Trên trang web cấu hình AP, vào tab Wireless, chọn mục Wireless Security
Chọn cấu hình bảo mật WPA2 Personal
Chọn Encryption type AES
Nhập share key mycsesite
Click Save Settings
5.5. Cấu hình thử nghiệm WPA2 client
(42)Kết nối từ client vào access point hỗ trợ WPA2
(43)Lab 6: RADIUS (802.1x Authentication)
6.1. Mục tiêu
Cài đặt RADIUS server
Cấu hình Windows Internet Authentication Service (IAS) Cài DHCP Server
Sử dụng RADIUS (802.1x) kết hợp với WPA2 Cấu hình kiểm tra client
6.2. Sơ đồ mạng
6.3. Cài đặt RADIUS server Windows Server 2003
Trước cài đặt RADIUS server (bằng cách sử dụng Microsoft Internet Authentication Service), thực việc sau:
Cài DNS
Cài Internet Authentication Service (IAS)
(44)6.3.1. Cài đặt DNS IAS
6.3.2. Cài đặt Windows Active Directory
Vào Start – Run chạy lệnh dcpromo Đặt domain cse.net
Giữ nguyên NetBIOS name wizard cài đặt đề nghị
Nhập Restore Mode Password cse123456
Khởi động lại máy ảo Windows Server 2003 trình cài đặt kết thúc
6.3.3. Cài đặt Certificate Services
Vào Control Panel – Add/Remove Programs Mở Windows Components Wizard
(45)Chọn mục Enterprise Root CA và click Next
Đặt Common Name cho CA CSE Giữ nguyên giá trị cho lựa
(46)Giữ nguyên địa log database, C:\WINDOWS\system32\CertLog
Q trình cài đặt cần đĩa CDROM Windows 2003 Enterprise Server
6.4. Cấu hình Windows Internet Authentication Service (IAS)
6.4.1. Đăng ký IAS server với AD
(47)Trên IAS management console, right click vào server click Register Server
in Active Directory
6.4.2. Thêm IAS RADIUS client
Nhấn phải vào tùy chọn RADIUS clients và chọn New RADIUS Client
Nhập vào thông số router:
(48)6.4.3. Thiết lập IAS policy
Trên cửa sổ Internet Authentication Service, vào mục Remote Access Policies
Xóa tất default policy (nếu có)
(49)Đặt tên policy wireless
(50)Chúng ta sử dụng User permission để kiểm soát việc truy cập vào
mạng cách chọn mục User trong cửa sổ tiếp theo:
Chọn phương thức xác thực Protected EAP (PEAP) Nhấn Finish để kết thúc
6.4.4. Tạo Domain user
SV tạo Windows domain user để kiểm tra cấu hình cài đặt
Vào Start Menu - Administrative Tools - Active Directory Users and Computers Right click mục Users chọn New - User
(51)Nhập mật cho user test Abc@123
(52)6.4.5. Cài DHCP Server
Thực cài DHCP Server máy chủ Win2k3 Đặt Scope DHCP Server có tên CSENET IP Range: 192.168.1.151-192.168.1.254
6.5. Kết hợp RADIUS với WPA2
Chỉ sinh viên thực bước sau, sinh viên khác xem để biết: Vào giao diện quản trị access point
Tắt DHCP Service Access point
Vào tab Wireless chọn sub-tab Wireless Security
o Trong mục Security mode, chọn WPA2 Enterprise
o Chọn Encryption AES
o Nhập vào địa IP RADIUS Server
o Nhập shared secret 123456
o Kết tương tự đây:
(53)6.6. Kiểm tra kết client
6.6.1. Cấu hình connection từ client đến access point
Vào Network and Sharing Center Manage wireless networks
Click nút Add để tạo network
Chọn Manually create a network profile
Cấu hình tương tự (Lưu ý Network name SSID access point) Ấn Next
(54)Trong mục Security type, chọn WPA2-Enterprise Mục Encryprion type, chọn AES
Mục Authentication method, chọn Protected EAP (PEAP)
(55)Uncheck mục Validate server certificate
Mục Select Authentication Method, chọn lựa chọn Secured password (EAP-
MSCHAP v2)
Click nút Configure Uncheck mục Automatically use my Windows logon
name …
Nhấn OK
(56)Trong hộp thoại xuất hiện, chọn tab 802.1x settings
Chọn mục Specify authentication mode
Chọn lựa chọn User or computer authentication Nhấn OK
6.6.2. Kết nối vào access point từ client
Thực kết nối đến access point từ Network list
Cung cấp username password Domain user tạo bước Khi kết nối xong
o Kiểm tra thông số IP kết nối thời lệnh ipconfig
http://192.168.1.1 , http://localhost