Công nghệ LAN không dây IEEE 802.11 là một tùy chọn quan trọng cho việc kết nối mạng trong các mạng nội bộ của tổ chức, mạng gia đình và truy cập Internet. Mục đích bài viết này nhằm mô tả những thuận lợi của mạng LAN không dây được hỗ trợ chuẩn bảo mật và công nghệ 802.11 trong Microsoft® Windows® và hướng dẫn chung về mạng LAN không dây trong các tổ chức vừa và lớn, các mạng văn phòng nhỏ.
Lợi ích của LAN không dây
Mạng LAN không dây 802.11 cung cấp cho bạn các lợi ích như sau:
- Các kết nối không dây có thể được thay thế cho cơ sở hạ tầng mạng dây trong trường hợp mạng dây gây tốn kém về chi phí mà lại không thuận tiện triển khai. Các lợi ích này bao gồm:
- Để kết nối mạng trong hai tòa nhà cao tầng được tách biệt bởi trở ngại về vật lý, hợp lệ và tài chính, bạn có thể sử dụng liên kết được cung cấp bởi các hãng truyền thông (chi một chi phí cài đặt cố định và giá thành chi phí đinh kỳ) hoặc bạn có thể tạo một liên kết không dây point-to-point bằng việc sử dụng công nghệ LAN không dây (chi một chi phí cài đặt cố định mà không cần chi phí định kỳ). Việc loại bỏ được các gánh nặng về truyền thông định kỳ có thể tiết kiệm một cách đáng kể các chi phí cho tổ chức.
- Công nghệ mạng LAN không dây có thể được sử dụng để tạo một mạng tạm thời, điều này có ý nghĩa đối với các nhiệm vụ nào đó chỉ diễn ra trong một thời điểm ngắn. Ví dụ: mạng sử dụng cho hội nghị hoặc các trình chiếu mang tinh chất thương mại có thể ứng dụng loại hình mạng không dây này, hiển nhiên là nó linh hoạt hơn việc triển khai bằng các đường truyền cáp với kiểu nối mạng chạy dây Ethernet truyền thống.
- Nhiều tòa nhà như các tòa nhà có từ lâu đời có thể không được phép chạy dây, vì việc này có thể dẫn đến làm xấu đi tòa nhà. Chính vì vậy nếu áp dụng giải pháp không dây ở đây sẽ là một lựa chọn cần thiết.
- Khía cạnh không dây của mạng LAN không dây cũng rất hấp dẫn với bất kì gia đình nào, người có điều kiện kết nối máy tính trong nhà cùng nhau mà không cần đục lỗ, kéo dây cáp qua các bức tường và trần nhà.
- Tăng hiệu quả cho những nhân viên lưu động. Lợi ích này cụ thể như sau:
- Người dùng lưu động như người sử dụng laptop và máy tính notebook có thể thay đổi vị trí mà vẫn luôn duy trì được kết nối mạng. Điều này cho phép người dùng di động có thể di chuyển từ địa điểm này đến các địa điểm khác, đi lại trong các cuộc hội thảo, hành lang, quán cà phê, lớp học mà vẫn có thể truy cập vào dữ liệu mạng. Nếu không có mạng không dây, người dùng phải mang theo cáp và bị hạn chế vì phải làm việc gần với các giắc cắm cáp.
- Kết nối LAN không dây là một công nghệ hoàn hảo cho các môi trường cần đến nhiều sự di động. Ví dụ: các môi trường mua bán lẻ có thể có lợi khi người dùng sử dụng laptop để vào thông tin kiểm kê một cách trực tiếp trong cơ sở dữ liệu từ các quầy hàng.
- Thậm chí nếu không có cơ sở hạ tầng không dây, các máy tính laptop không dây vẫn có thể từ mạng ad hoc truyền thông và chia sẻ dữ liệu với các máy tính khác.
- Dễ dàng truy cập tại các đại điểm Internet công cộng.
Xa hơn nữa là các tòa nhà cao tầng của nhiều công ty, truy cập Internet và thậm trí là truy cập vào các trang của công ty có thể được thực hiện thông qua các mạng hot spot không dây công cộng. Các sân bay, nhà hàng, bến xe lửa và các vùng công cộng khác trong toàn thành phố có thể được cung cấp với các loại hình dịch vụ không dây này. Khi một ai đó đi đến đích trong chuyến công tác của họ có lẽ việc gặp một khách hàng tại văn phòng công ty của họ mà bị giới hạn thì việc giới hạn về truy cập có thể được cung cấp bằng một mạng không dây cục bộ. Mạng này có thể nhận ra người dùng này là từ một công ty khác và tạo một kết nối được cô lập với công ty đó nhưng vẫn có thể truy cập Internet cho người dùng mới đến này. Nhà cung cấp cơ sở hạ tầng không dây đang cho phép việc kết nối không dây trong các vùng công cộng xung quanh thế giới. Nhiều sân bay, các trung tâm hội thảo, khách sạn cung cấp truy cập không dây cho khách của họ.
Hỗ trợ các chuẩn IEEE 802.11
Windows Vista™, Windows XP, Windows Server® 2003 và Windows Server Code Name “Longhorn” hỗ trợ cho chuẩn LAN không dây 802.11. Một adapter mạng LAN không dây được cài đặt xuất hiện khi một kết nối mạng trong thư mục Network Connections. Nhiều máy tính đang sử dụng hệ điều hành Windows XP hoặc Windows Server 2003 bạn có thể cấu hình thiết lập không dây trên tab Wireless Networks từ các thuộc tính của một kết nối mạng không dây.
Mặc dù Windows Vista, Windows XP, Windows Server 2003, và Windows Server “Longhorn” cung cấp hỗ trợ gắn sẵn cho chuẩn mạng LAN không dây 802.11, thì các thành phần không dây của Windows vẫn phụ thuộc vào:
- Những tính năng của adapter mạng không dây
Adapter mạng không dây được cài đặt phải hỗ trợ các chuẩn bảo mật không dây hoặc LAN không dây mà bạn yêu cầu. Ví dụ: Windows XP SP2 hỗ trợ các cấu hình tùy chọn cho chuẩn bảo mật WPA (Wi-Fi Protected Access). Mặc dù vậy, nếu adapter không hỗ trợ WPA thì bạn sẽ không thể cho phép hoặc cấu hình các tùy chọn bảo mật này. - Những tính năng của phần mềm cài đặt adapter mạng không dây.
Để cho phép bạn cấu hình các tùy chọn mạng không dây, bộ cài adapter mạng không dây phải hỗ trợ việc báo cáo tất cả các tính năng của nó với Windows. Việc xác minh bộ cài adapter không dây được viết cho các tính năng của Windows Vista hoặc XP và là phiên bản hiện hành nhất bằng việc kiểm tra Windows Update hoặc Web site của hãng sản xuất adapter không dây.
Nếu được hỗ trợ bởi adapter không dây và được báo cáo bởi bộ cài adapter mạng không dây, Windows hỗ trợ các chuẩn không dây của IEEE sau:
- 802.11
- 802.11b
- 802.11a
- 802.11g
Bảng dưới đây là các chuẩn, tốc độ bit tối đa của chúng, dãy thiết lập tần số và ứng dụng của nó.
Chuẩn | Tốc độ bit tối đa | Dải tần | Ứng dụng |
802.11 | 2 megabits trên một giây (Mbps) 2Mbps | Băng tần S cho công nghiệp, khoa học và y học dải tần (từ 2.4 đến 2.5 GHz) | Không được sử dụng rộng rãi. |
802.11b | 11 Mbps | Băng tần S cho công nghiệp, khoa học và y học | Được sử dụng rộng rãi |
802.11a | 54 Mbps | Băng tần C cho công nghiệp, khoa học và y học (5.725 to 5.875 GHz) | Không được sử dụng rộng rãi do đắt và giới hạn về dải tần |
802.11g | 54 Mbps | Băng tần S cho công nghiệp, khoa học và y học | Phổ biến cao với các thiết bị 802.11g và tương ứng về sau với thiết bị 802.11b |
Lưu ý
Băng tần S sử dụng cùng một dải tấn như các lò vi sóng, điện thoại không dây, camera video không dây, các thiết bị Bluetooth. Băng tần C sử dụng cùng dải tần như các điện thoại không dây mới hơn và nhiều thiết bị khác.
Các mô hình hoạt động 802.11
Mạng LAN không dây cho tất cả các chuẩn 802.11 sử dụng mô hình hoạt động dưới đây:
- Mô hình cơ sở hạ tầng: một mạng không dây ít nhất cũng phải có một điểm truy cập (AP), một thiết bị đóng vai trò bắc cầu cho máy tính dựa trên tín hiệu vô tuyến đến các máy tính khác và đến một mạng chạy dây như Internet hoặc mạng riêng.
- Mô hình ad hoc: Mô hình này không có chứa các điểm truy cập không dây và máy tính dựa trên kết nối không dây kết nối và truyền thông trực tiếp với các máy tính khác.
Không quan tâm đến chế độ hoạt động, một bộ phân biệt thiết lập dịch vụ (SSID), cũng được biết đến như tên của mạng không dây, nhận dạng mạng không dây cụ thể bằng tên. SSID được cấu hình trên ANTISPYWARE không dây cho chế độ cơ sở hạ tầng hoặc máy khách không dây ban đầu trong chế độ ad hoc. Điểm truy cập không dây và máy khách không dây ban đầu thông báo một cách định kỳ SSID để các nút không dây khác có thể tìm kiếm thấy và gia nhập mạng không dây.
Hỗ trợ cho các chuản bảo mật IEEE 802.11
Mặc dù các công nghệ LAN không dây 802.11 của IEEE cung cấp nhiều lợi ích như đã được miêu tả trong phần trước, nhưng chúng cũng xuất hiện nhiều vấn đề bảo mật khác không có trong mạng chạy dây thông thường. Không giống như hệ thống cáp được khép kín của một mạng Ethernet vì chúng được bảo vệ trong đường truyền vật lý, đối với hệ thống không dây hoàn toàn khác, các khung không dây được gửi đi dưới dạng truyền dẫn vô tuyến và lan truyền đi xa đến các vùng trong văn phòng hoặc nhà bạn. Bất kỳ máy tính nào nằm trong vùng phủ sóng của mạng không dây đều có thể nhận được các khung tín hiệu không dây cũng như gửi tín hiệu không dây của nó ngược lại (có thể nói chúng có thể truyền thông với nhau). Nếu không bảo vệ mạng không dây của bạn, một số người dùng nguy hiểm có thể sử dụng để truy cập vào các thông tin cá nhân hoặc thực hiện các tấn công chống lại máy tính hoặc có thể lợi dụng máy tính của bạn để tấn công máy tính khác trên mạng Internet.
Để bảo vệ mạng không dây, bạn phải cấu hình các tùy chọn thẩm định và mã hóa:
- Sự thẩm định yêu cầu máy tính phải cung cấp các ủy nhiệm tài khoản hợp lệ của chúng (như tên sử dụng và password) hoặc bằng chứng mà chúng đã được cấu hình với phím thẩm định trước khi cho phép gửi các khung dữ liệu trên mạng không dây. Sự thẩm định ngăn chặn người dùng nguy hiểm, không cho phép những người này có thể đăng nhập vào mạng không dây của bạn.
- Sự mã hóa yêu cầu mã hóa nội dung của tất cả các khung dữ liệu không dây để chỉ có người nhận mới có thể thông dịch được nó. Sự mã hóa ngăn cản người dùng nguy hiểm, không cho những người này có thể bắt giữ được các tín hiệu không dây trong mạng và chỉ định dữ liệu nhạy cảm. Sự mã hóa cũng có thể ngăn chặn người dùng nguy hiểm gửi các khung dữ liệu hợp lệ và truy cập vào tài nguyên riêng của bạn trên Internet.
Các LAN không dây IEEE 802.11 hỗ trợ các chuẩn bảo mật dưới đây:
- IEEE 802.11
- IEEE 802.1X
- Wi-Fi Protected Access (WPA)
- Wi-Fi Protected Access 2 (WPA2)
IEEE 802.11
Chuẩn IEEE 802.11 gốc được định nghĩa cho hệ thống mở và các phương thức thẩm định phím chia sẻ cho sự thẩm định và Wired Equivalent Privacy (WEP) cho sự mã hóa. WEP có thể sử dụng các phím mã hóa 40-bit hoặc 104-bit. Chuẩn bảo mật IEEE 802.11 gốc được cải thiện với những gì liên quan đến điểm yếu của nó và sự cồng kềnh phức tạp của triển khai cá nhân và trải rộng một cách công cộng. Do sự nhạy cảm của nó có thể bị tấn công và có hỗ trợ việc trải rộng của các chuẩn bảo mật mới hơn như WPA nên việc sử dụng nó giảm đáng kể.
IEEE 802.1X
IEEE 802.1X là một chuẩn đã tồn tại cho các chuyển mạch Ethernet và thích nghi với các mạng LAN không dây 802.11 để cung cấp thẩm định mạnh hơn với chuẩn 802.11. Sư thẩm định của IEEE 802.1X được thiết kế cho các mạng LAN không dây vừa và lớn, chúng có chứa một cơ sở hạ tầng thẩm định sự tồn tại của các máy chủ dịch vụ người dùng thẩm định quay số từ xa (Remote Authentication Dial-In User Service: RADIUS) và các cơ sở dữ liệu tài khoản như dịch vụ thư mục Active Directory®. IEEE 802.1X cũng ngăn ngừa cho một nút không dây từ việc đăng nhập vào một mạng không dây đến nút đã thực hiện thẩm định thành công. IEEE 802.1X sử dụng giao thức thẩm định mở rộng (Extensible Authentication Protocol: EAP). Sự thẩm định mạng không dây có thể dựa trên các phương thức thẩm định EAP khác như sử dụng tên và password hoặc cấp chứng chỉ số.
Lưu ý
Nhiều adapter mạng không dây sử có một liên kết để chỉ thị các khung dữ liệu đã được gửi hay nhận. Mặc dù vậy, vì sự thẩm định IEEE 802.11X xuất hiện trước khi adapter mạng không dây bắt đầu gửi hoặc nhận các khung dữ liệu, nên liên kết này không phản ánh hành động thẩm định 802.11X.
WPA
Mặc dù 802.11X ra đời với mục đích là vá những điểm yếu kém trong phiên bản trước đó của nó là 802.11 gốc nhưng nó không có giải pháp đối với các điểm yếu của WEP. Khi mà chuẩn 802.11i đang được chuẩn bị hoàn thành thì Wi-Fi Alliance, một tổ chức của các hãng thiết bị không dây đã tạo được một chuẩn chuyển tiếp được biết đến với tên Wi-Fi Protected Access (WPA). Wpa thay thế cho WEP vì nó có sự mã hóa tốt hơn với phương thức mã hóa được biết đến như Temporal Key Integrity Protocol (TKIP).
WPA cũng cho phép sử dụng tùy chọn của chuẩn mã hóa nâng cao (AES).
- WPA-Enterprise sử dụng sự thẩm định 802.1X
- WPA-Personal sử dụng một phím được chia sẻ trước (PSK) cho sự thẩm định và được thiết kế cho các văn phong nhỏ và gia đình (SOHO).
WPA2
Chuẩn IEEE 802.11i được thành lập để thay thế cho WEP và các tính năng bảo mật khác của chuẩn 802.11. Wi-Fi Protected Access 2 (WPA2) là một chứng chỉ sản phẩm có sẵn qua Wi-Fi Alliance để chứng nhận thiết bị không dây tồn tại thích hợp với chuẩn 802.11i. Mục đích của chứng nhận WPA2 là để hỗ trợ các tính năng bảo mật có tính cách bắt buộc của chuẩn IEEE 802.11i có thể không có được trong tất cả các sản phầm WPA. Ví dụ, WPA2 yêu cầu hỗ trợ cả mã hóa TKIP và AES.
WPA2 có hai chế độ khác nhau:
- WPA2-Enterprise sử dụng sự thẩm định 802.1X được thiết kế cho các mạng chế độ cơ sở hạ tầng vừa và nhỏ.
- WPA2-Personal sử dụng một PSK cho sự thẩm định và được thiết kế cho các mạng chế độ cơ sở hạ tầng SOHO.
Bảng tổng cộng các chuẩn bảo mật của IEEE 802.11
Bảng tổng cộng dưới đầy là tất cả các chuẩn bảo mật LAN không dây.
Chuẩn bảo mật | Các phương pháp thẩm định | Các phương pháp mã hóa | Kích thước mã hóa (bit) | Chú thích |
IEEE 802.11 | Hệ thống mở và chia sẻ phím | WEP | 40 và 104 | Với thẩm định và mã hóa yếu thì việc sử dụng có thể bị giảm. |
IEEE 802.1X | Các phương pháp thẩm định EAP | N/A | N/A | Phương pháp EAP cung cấp cho sự thẩm định |
WPA-Enterprise | 802.1X | TKIP và AES (Tùy chọn) | 128 | Sự thẩm định tốt (với phương pháp EAP) và TKIP hoặc mã hóa rất mạnh AES |
WPA-Personal | PSK | TKIP và AES (Tùy chọn) | 128 | Sự thẩm định mạnh (với PSK) và TKIP hoặc mã hóa rất mạnh AES. |
WPA2-Enterprise | 802.1X | TKIP và AES | 128 | Sự thẩm định mạnh (với EAP) và TKIP hoặc mã hóa rất mạnh AES. |
WPA2-Personal | PSK | TKIP và AES | 128 | Sự thẩm định mạnh (với PSK) và TKIP hoặc mã hóa rất mạnh AES. |
Nếu được hỗ trợ bởi adapter mạng không dây và được báo cáo bởi bộ cài adapter không dây thì Windows sẽ hỗ trợ các tính năng bảo mật cho mạng LAN không dây 802.11.
- 802.11 với WEP (Windows Vista, Windows XP, Windows Server 2003 và Windows Server “Longhorn”)
- 802.1X (Windows Vista, Windows XP, Windows Server 2003 và Windows Server “Longhorn”)
- WPA (Windows Vista, Windows XP SP2, Windows XP [SP1] và gói rollup update mạng không dây cho Windows XP, Windows Server 2003 SP1 và Windows Server “Longhorn”)
- WPA2 (Windows Vista, Windows XP SP2, Wireless Client Update cho Windows XP Service Pack 2, và Windows Server “Longhorn”)
Mặc dù Windows hỗ trợ cho chuẩn 802.11X, nhưng phần mềm máy khách không dây nhóm thứ ba thỉnh thoảng cũng dùng cho các thành phần 802.1X kèm theo của Windows. Trong trường hợp này, sự thất bại để thẩm định một mạng không dây có thể là do mất cấu hình của phần mềm 802.1X nhóm thứ ba.
Danh sách kiểm tra và tài nguyên
Phần dưới đây chúng tôi cung cấp các nguyên tắc chung của mạng không dây với các kích thước khác nhau và liên kết đến các tài nguyên cần thiết.
Các mạng trung bình và lớn
Với một mạng không dây cỡ trung bình và lớn mà có sử dụng sự thẩm định 802.11X thì bạn nên sử dụng chế độ cơ sở hạ tầng và một trong các kỹ thuật bảo mật dưới đây:
- WPA2-Enterprise với bộ thẩm định 802.1X
- WPA-Enterprise với thẩm định 802.1X
Danh sách sản phẩm WPA
Để tạo một mạng không dây vừa và lớn dựa trên WPA- Enterprise, bạn phải bảo đảm có các phần dưới đây:
- Các điểm truy cập không dây có hỗ trợ WPA
- Các adapter không dây hỗ trợ WPA
- Bộ cài adapter không dây hỗ trợ việc báo cáo các tính năng WPA với Windows.
- Các máy tính đang chạy hệ điều hành Windows Vista, Windows XP SP2, Windows XP SP1, gói rollup update mạng không dây cho Windows XP, Windows Server 2003 SP 1, hoặc Windows Server “Longhorn”
Danh sách các sản phẩm của WPA2
Để tạo một mạng không dây vừa và lớn dựa trên WPA2- kinh doanh bạn phải có các phần dưới đây:
- Các điểm truy cập không dây có hỗ trợ WPA2
- Các adapter không dây hỗ trợ WPA2
- Bộ cài adapter không dây hỗ trợ việc báo cáo các tính năng WPA với Windows.
- Các máy tính đang chạy hệ điều hành Windows Vista, Windows XP SP2 và Wireless Client Update cho Windows XP Service Pack 2, hoặc Windows Server “Longhorn”
Các mạng văn phòng nhỏ hoặc gia đình
Với các mạng cho văn phòng nhỏ hoặc gia đình (SOHO) không sử dụng sự thẩm định 802.1X thì bạn nên sử dụng mô hình cơ sở hạ tầng và một trong các kỹ thuật bảo mật dưới đây:
- WPA2-Personal với bộ thẩm định PSK.
- WPA-Personal với sự thẩm định PSK.
Trong một hoặc hai trường hợp bạn phải cấu hình PSK trên ANTISPYWARE không dây và mỗi máy khách không dây hoặc thiết bị. Nếu có máy tính đang chạy Windows XP SP2 thì bạn có thể sử dụng Wireless Network Setup Wizard để đơn giản hóa cấu hình cho PSK.
Bạn có thể sử dụng sự thẩm định 802.11X trong mạng không dây SOHO. Mặc dù vậy, bạn cần phải có cơ sở hạ tầng thẩm định và nhiều thiết bị không dây cũ như máy in, các thiết bị này không được hỗ trợ cho sự thẩm định của 802.11X..
Danh sách kiểm tra sản phẩm WPA
Để tạo một mạng không dây SOHO dựa vào WPA-Personal bạn phải bảo đảm phần dưới đây:
- Các điểm truy cập AP có hỗ trợ WPA
- Các adapter mạng không dây hỗ trợ WPA
- Bộ cài mạng không dây hỗ trợ việc báo cáo các tính năng WPA cho Windows.
- Các máy tính đang sử dụng Windows Vista Windows XP SP2, Windows XP SP1, gói rollup update mạng không dây cho Windows XP, Windows Server 2003 Service Pack 1, hoặc Windows Server “Longhorn”
Danh sách sản phẩm WPA2
Để tạo một mạng không dây SOHO dựa trên WPA2-Personal bạn phải bảo đảm các phần dưới đây:
- Các điểm truy cập AP có hỗ trợ WPA2
- Các adapter mạng không dây hỗ trợ WPA2
- Bộ cài mạng không dây hỗ trợ việc báo cáo các tính năng WPA2 cho Windows.
- Windows Vista, Windows XP SP2 và Wireless Client Update cho Windows XP Service Pack 2, hoặc Windows Server “Longhorn”