Upload
dangkiet
View
244
Download
5
Embed Size (px)
Citation preview
THỰC HÀNH QUẢN TRI MẠNG
(PCWorldVN) Với nghề quản trị mạng, kinh nghiệm là trên hết, kế đến mới
là bằng cấp. PCW giới thiệu đến bạn 9 bài thực hành được thiết kế cho 3 cấp độ, từ
cơ bản cho đến nâng cao.
Về cơ bản, các chứng chỉ huấn luyện CNTT như Network+ hay CCNA chính là
tấm vé thông hành để bạn bắt đầu chuỗi ngày tìm kiếm một chân quản trị mạng, nhưng
kinh nghiệm mới là tất cả.
Khi đối mặt với vấn đề nào đó, nếu chưa có kinh nghiệm thì hẳn là bạn khó lòng
lọt vào "mắt xanh" của nhà tuyển dụng, nhất là trong những năm đầu bước vào ngành
quản trị hệ thống.
Câu hỏi đặt ra ở đây chính là bạn có từng phải cấu hình hoặc vọc phá một hệ thống
mạng nào đó chưa? Thậm chí, nếu từng làm nhà quản trị hay kỹ thuật viên mạng thì cũng
khó lòng nào mà bạn có thể chạm hết được đến mọi khía cạnh trong lĩnh vực này.
Loạt 9 bài thực hành được phân bổ cho 3 cấp độ cơ bản, trung cấp và cao cấp được
đề cập bên dưới sẽ hướng đến các chủ đề mạng khác nhau, từ cơ bản đến nâng cao.
Vài bài thực hành chỉ mất vài phút là xong, nhưng có một số bài sẽ khiến bạn mất
hết thời gian của ngày nghỉ cuối tuần. Có thể bạn cũng cần đầu tư một chút về trang thiết
bị phần cứng, mà cụ thể là thiết bị mạng nhưng vẫn có những cách không cần đến chúng.
Phần 1 - Trình độ cơ bản
Bài thực hành 1: Cấu hình TCP/IP
Một trong những nhiệm vụ cơ bản nhất của nhà quản trị mạng là cấu hình thiết lập
TCP/IP. Nếu một mạng không sử dụng giao thức cấp phát động DHCP (Dynamic Host
Configuration Protocol), nghĩa là tự động quản lý địa chỉ IP khi máy khách kết nối thì
bạn phải tự thiết lập IP tĩnh và địa chỉ DNS cho mỗi máy khách. Có thể hệ thống yêu cầu
bạn đặt thông tin IP tĩnh khi bắt đầu bước thiết lập và cấu hình router hoặc các thành
phần khác trên mạng.
Để đặt IP tĩnh, bạn phải biết địa chỉ IP của router và dải địa chỉ IP để bạn có thể
đặt cho máy khách. Bạn có thể tìm được dữ kiện này trong Settings của máy tính nào kết
nối thành công vào mạng.
Bạn sẽ cần đến địa chỉ IP, địa chỉ Subnet Mask, địa chỉ IP của router (cũng như
Default Gateway) và địa chỉ máy chủ DNS (Domain Name System).
C
ửa sổ
Netw
ork
Conn
ectio
n
Detai
ls
cho
bạn
biết
được
thông
tin về
địa
chỉ
IP,
Subn
et
Mask
,
Defa
ult
Gate
way
và
máy
chủ
DNS.
- Trong Windows: ở Network Connections qua Control Panel, hoặc
Network and Sharing Center. Tiếp theo, mở kết nối đang hoạt động và nhấn vào
nút Details.
- Trong Mac OS X: Trong System Preferences, nhấn vào biểu tượng Network,
sau đó chọn kết nối đang hoạt động, như AirPort (wireless) hay Ethernet (wired).
Với kết nối có dây, bạn sẽ thấy thông tin ngay trên màn hình đầu tiên; còn
với kết nối không dây, nhấn thêm vào nút Advanced và tìm dưới tab TCP/IP và
DNS.
Bạn hãy viết những con số này vào giấy hoặc copy chúng vào một tập tin
văn bản nào đó, rồi đóng cửa sổ lại.
Để xem dải địa chỉ IP cho mạng, bạn có thể nhập địa chỉ IP và địa chỉ Subnet
Mask vào một ứng dụng tính subnet tên là Subnet Calculator. Ví dụ, nhập vào IP
192.168.1.1 và Subnet Mask 255.255.255.0 sẽ cho bạn kết quả dải địa chỉ từ
192.168.1.1 đến 192.168.1.254.
S
ubnet
Calc
ulato
r cho
bạn
biết
IP
nào
là
hợp
lệ.
Đến đây, bạn đã biết được dải địa chỉ IP rồi, nhưng cần nhớ là mỗi thiết bị phải có
một địa chỉ IP duy nhất. Cách tốt nhất để kiểm tra địa chỉ IP là đăng nhập vào router,
nhưng bạn cũng có thể đoán được hoặc đơn giản là chọn một địa chỉ ngẫu nhiên nào đó
trong dải. Nếu địa chỉ đó đã có thiết bị nào đó sử dụng thì Windows hoặc OS X sẽ cảnh
báo là có xung đột về địa chỉ IP và bạn có thể chọn một địa chỉ khác. Một khi thiết lập
thành công địa chỉ IP thì bạn ghi địa chỉ đó xuống hoặc lưu lại trong file văn bản. Đây là
cách tốt nhất để ghi nhận lại mọi địa chỉ IP tĩnh cùng với số seri của máy tính sử dụng địa
chỉ IP đó.
Bây giờ, chúng ta cùng thiết lập một địa chỉ IP tĩnh:
- Trong Windows: Mở cửa sổ Network Connection Status, nhấn vào nút
Properties và mở thiết lập TCP/IPv4 (Internet Protocol Version 4). Chọn "Use the
following IP address" và gõ vào thiết lập: một địa chỉ IP phải nằm trong dải IP cho phép,
cộng với Subnet Mask, Default Gateway và máy chủ DNS trong cửa sổ Network
Connection Details.
- Trong Mac OS X: mở cửa sổ Network và nhấn vào nút Advanced. Trong tab
TCP/IP, nhấn vào nút sổ xuống kế bên Configure IPv4, chọn Manually và gõ vào địa chỉ
IP hợp lệ trong dải, cộng với Subnet Mask và địa chỉ router mà bạn đã copy trước đó.
Sang tab DNS và gõ vào địa chỉ máy chủ DNS.
B
ạn gõ
vào
thiết
lập
IP
thủ
công.
Nhấn OK để hoàn tất.
Bài thực hành 2: Phân tích Wi-Fi
Là quản trị mạng, bạn sẽ muốn thiết lập, tinh chỉnh và duy trì mạng không dây
trên mạng. Một trong những công cụ cơ bản nhất mà bạn cần có là một công cụ phân tích
Wi-Fi (Wi-Fi stumbler). Những công cụ này có thể quét sóng và liệt kê những thông tin
cơ bản về các mạng không dây, gồm router và Access Point (AP) gần đó, trong đó có mã
mạng SSID (service set identifier), còn gọi là tên mạng không dây; địa chỉ MAC của
router/AP; kênh; mức tín hiệu; và trạng thái bảo mật.
Bạn có thể sử dụng một công cụ dò Wi-Fi để kiểm tra sóng mạng tại nhà. Ví dụ
bạn có thể kiểm tra hàng xóm đang dùng Wi-Fi trên kênh nào để bạn có thể chuyển sang
kênh khác cho giảm nhiễu. Bạn cũng cần đảm bảo chế độ bảo mật của router ở thấp nhất
là WPA hoặc WPA2.
N
etSur
veyor
cho
bạn
biết
chi
tiết
về
các
mạng
Wi-
Fi
xung
quan
h
bằng
chữ
cũng
như
bằng
biểu
đồ.
Windows có công cụ Vistumbler và NetSurveyor; Mac OS X có KisMac;
hay Kismet cho cả hai hệ điều hành trên, cộng cả Linux. Cả 4 công cụ trên đều miễn phí,
cho phép bạn xem thông tin dạng văn bản hoặc dạng biểu đồ về kênh và mức tín hiệu
sóng Wi-Fi.
Còn nếu bạn sử dụng điện thoại thông minh hay máy tính bảng nền Android, bạn
có thể sử dụng Wifi Analyzer hay Meraki WiFi Stumbler, cả hai đều miễn phí.
W
iFi
Anal
yzer
trình
bày
kênh
Wi-
Fi
dạng
biểu
đồ rất
trực
quan.
Bài thực hành 3: Cấu hình router không dây và AP
Để có thêm kinh nghiệm thiết lập và cấu hình không dây, bạn nên tập với router
không dây tại nhà. Hoặc tốt hơn, bạn nên tiếp xúc với một AP nào được sản xuất cho
doanh nghiệp. Tốt nhất là bạn mượn của ai đó trong bộ phận CNTT trong công ty mình,
hoặc thử xem trên thị trường có loại router hay AP nào dành cho doanh nghiệp giá rẻ
không, như AP của Ubiquiti Networks có giá khá mềm (khoảng 70 USD trên eBay).
Để truy cập được vào giao diện cấu hình router không dây, bạn gõ vào địa chỉ IP
trên trình duyệt. Hãy tham khảo lại Bài thực hành 1, địa chỉ IP của router giống như địa
chỉ Default Gateway mà Windows liệt kê trong cửa sổ Details về kết nối không dây.
Truy cập giao diện cấu hình AP khá khác nhau. Nếu có một bộ điều khiển không
dây thì sẽ có một giao diện chung để bạn có thể cấu hình cho mọi AP. Còn hệ thống nào
không có bộ điều khiển không dây này thì bạn phải truy cập từng AP một thông qua địa
chỉ IP của nó.
Một khi bạn truy cập được vào giao diện cấu hình router hoặc AP, hãy xem mọi
thiết lập và cố hiểu chúng. Hãy xem kích hoạt tính năng tách không dây (hoặc layer 2)
nếu thiết bị hỗ trợ và xem nó chặn người dùng-người dùng như thế nào. Bạn cũng có thể
thay đổi địa chỉ IP của router/AP trong thiết lập LAN, tắt DHCP và gán địa chỉ IP cụ thể
cho từng thiết bị/máy tính. Bạn cũng xem địa chỉ DNS tĩnh (như OpenDNS) trong thiết
lập WAN; thiêt lập Quality of Service (QoS) để ưu tiên luồng dữ liệu. Khi bạn đã thông
thạo các thông số ấy, hãy thiết lập mức bảo mật cao nhất cho hệ thống mạng là WPA2.
G
án
địa
chỉ
IP và
địa
chỉ
DNS
cho
route
r.
Trong trường hợp bạn không thể kiếm được một AP mức doanh nghiệp, hãy xem
qua các công cụ giả lập giao diện hoặc demo của một số hãng sản xuất, như Cisco chẳng
hạn.
Sau khi thuần thục mọi kỹ năng được đề cập trong 3 bài thực hành cấp độ cơ bản,
bạn hãy chuẩn bị sẵn sàng bước vào giai đoạn "khó nhai" hơn với nhiều thao tác đòi hỏi
kiến thức nền tảng tốt.
Phần 2 - Trình độ trung cấp
Bài thực hành 4: Cài DD-WRT trên router không dây
Để "vọc" nhiều hơn mạng không dây, bạn có thể cài firmware nguồn mở cho các
router không dây DD-WRT. Firmware này có nhiều tính năng tiên tiến chỉ có cho cấp
doanh nghiệp, và có thể tùy biến rất tốt. Nhưng trước khi tải và cập nhật firmware, bạn
cần kiểm tra trên danh sách router tương thích với firmware này.
Ví dụ, nó hỗ trợ mạng LAN ảo và nhiều SSID nên bạn cót thể chia một mạng ra
thành nhiều mạng ảo. Nó cũng hỗ trợ một máy khách và máy chủ VPN để truy cập từ xa,
hoặc thậm chí kết nối trực tiếp site-to-site. Hơn nữa, nó cho bạn tùy biến tường lửa, chạy
script khởi chạy và tắt, hỗ trợ nhiều giải pháp hotspot khác nhau.
D
D-
WRT
có
nhiều
tính
năng
mới
tiên
tiến
cho
bạn
"vọc"
.
Bài thực hành 5: Phân tích mạng và luồng dữ liệu trên mạng
Là nhà quản trị hệ thống, bạn sẽ cần phải xử lý những vấn đề liên quan đến việc
theo dõi các gói dữ liệu đang truyền trên mạng. Mặc dù các công cụ phân tích giao thức
mạng có thể tốn rất nhiều tiền của,Wireshark là một chọn lựa miễn phí, nguồn mở, làm
việc trên mọi hệ điều hành. Nó có nhiều tính năng và hỗ trợ theo dõi thời gian thực và cả
phân tích offline cho hàng trăm giao thức mạng khác nhau, giải mã cho nhiều loại mã hóa
và có các bộ lọc mạnh, có khả năng đọc/ghi thông qua nhiều định dạng tập tin (file) bắt
được trên mạng.
W
iresh
ark
bắt
các
gói
pack
et
trên
mạng
.
Một khi bạn cài xong Wireshark, hãy thử bắt gói dữ liệu và xem nó có gì trong đó.
Nói cách khác, bạn hãy dạo lòng vòng trên web hoặc định vị những chia sẻ trên mạng để
xem luồng dữ liệu trên mạng luân chuyển như thế nào. Hãy nhớ là bạn có thể ngừng quá
trình bắt gói dữ liệu để theo dõi kỹ hơn một điểm nào đó. Mặc dù Wireshark có thể bắt
mọi luồng dữ liệu luân chuyển qua mạng, có thể bạn chỉ thấy được luồng dữ liệu vào/ra
của một máy khách mà thôi nếu chế độ bắt packet "hỗn hợp" không được hệ điều hành
mà bạn đang dùng hoặc card mạng (adapter mạng) của bạn hỗ trợ. Thông tin chi tiết, bạn
có thể tham khảo tại trang web của Wireshark.
Lưu ý: thậm chí khi cách bắt gói packet thường chạy ở chế độ chạy thụ động,
nghĩa là không can thiệp hay gây nhiễu mạng nhưng vài người xem việc theo dõi kiểu
này là vi phạm chính sách riêng tư và cá nhân. Vậy nên bạn cần lưu ý là chỉ nên áp dụng
cho mạng cá nhân tại nhà, hoặc yêu cầu quyền của nhà quản trị hệ thống hoặc CTO công
ty trước khi thực hiện.
Ngoài ra, còn vài công cụ phân tích mạng miễn phí khác mà có thể bạn muốn thử
qua. Ví dụ EffeTech HTTP Sniffer có thể tập hợp các gói HTTP và hiển thị chúng trên
một trang web để có thể trình bày rõ ràng bằng đồ thị cho bạn theo dõi dễ hơn, thay vì
phải nhìn vào cả đống packet dữ liệu thô. Hoặc nhưPassword Sniffer chỉ "nghe" mật
khẩu trên mạng và liệt kê chúng ra, cho ta thấy được rằng mật khẩu bằng chữ số là rất
không an toàn. Và để phân tích dữ liệu di động thông qua điện thoại hay máy tính bảng
nền Android, có những công cụ miễn phí như Shark for Root.
Bài thực hành 6: Thử với bộ giả lập mạng
Mặc dù khó có thể sử dụng trực tiếp mạng doanh nghiệp để thực tập thì chúng ta
có thêm cách khác, đó là sử dụng các bộ giả lập để ảo hóa việc thiết lập và cấu hình
mạng. Chúng là những công cụ vô giá để chuẩn bị cho những kỳ thi CNTT, trong đó có
các chứng chỉ của Cisco và Juniper. Một khi bạn tạo được một hệ thống mạng ảo với các
thành phần và máy khách đầy đủ, bạn có thể cấu hình và quản trị chúng bằng những thiết
lập và lệnh giả lập. Thậm chí bạn có thể chạy các công cụ phân tích mạng như Wireshark
với vài bộ giả lập để xem luồng dữ liệu mạng đi đâu về đâu.
Dưới đây là vài bộ giả lập bạn nên xem qua:
- GNS3 Graphical Network Simulator là chọn lựa miễn phí, nguồn mở. Nó yêu
cầu bạn chạy hệ điều hành tương ứng, như Cisco IOS hoặc Junos OS của Juniper, và bạn
cần đăng ký.
G
NS3
Grap
hical
Netw
ork
Simu
lator
hỗ
trợ
Cisco
IOS/I
PS/PI
X/AS
A và
Junip
er
JunO
S.
- Netkit là một chọn lựa miễn phí, nguồn mở khác. Nó không đòi hỏi những chức
năng chuyên biệt gắn với nhà sản xuất nào và nó khá hạn chế về thành phần mạng. Đáng
mừng là Netkit không có những đòi hỏi khắt khe về hệ điều hành như GNS3.
- Boson NetSim Network Simulator là bộ giả lập tính phí, giá 99 USD; mục đích
chính của nó là cho bạn học về IOS của Cisco. Nó có bản demo miễn phí nhưng chức
năng rất hạn chế.
Ngoài ra, cũng có một số trang web như SharonTools và Open Network
Laboratory cho bạn truy cập từ xa đến các thành phần mạng và giả lập nền web để bạn
thực hành các lệnh. Bạn cũng nên thử qua các bộ giả lập miễn phí của Cisco.
Qua 6 bài thực hành ở phần 1 và phần 2 của bài viết, bạn đã gần như hiểu rõ cách
thiết lập và vận hành một hệ thống mạng nội bộ. Với phần cuối cùng này, hãy cùng
PC World Vietnam nghiên cứu làm thế nào để tăng cường khả năng bảo mật cho toàn bộ
hệ thống với những công cụ, tiện ích sẵn có.
Ngoài ra, bài viết sẽ hướng dẫn bạn các bước và nguyên tắc cơ bản để triển khai
Windows Server cho mạng tại nhà hay doanh nghiệp.
Phần 3 - Trình độ cao cấp
Bài thực hành 7: Tự tấn công hệ thống
Bạn có thể đọc nhiều về bảo mật mạng, nhưng cách tốt nhất là học cách đánh giá
mức độ bảo mật của hệ thống mạng bằng những thử nghiệm tấn công chính hệ thống
mạng của mình.
Dưới đây là vài cách tấn công mà bạn có thể thử:
- Bẻ khoá Wi-Fi. Mã hoá WEP là cách dễ xâm nhập nhất bằng Aircrack-ng. Bẻ
khoá Wi-Fi Protected Setup (WPS) với số PIN bằng Reaver-WPS cũng có thể truy cập
được vào một router không dây.
- Tấn công tài khoản trực tuyến thông qua Wi-Fi sử dụng tiện ích bổ sung trên
Firefox là Firesheephoặc ứng dụng Android DroidSheep.
- Bắt gói dữ liệu và bẻ khoá thông tin đăng nhập trên mạng 802.11X sử
dụng FreeRadius-WPE.
Khi học, bạn sẽ tìm thấy được những hướng dẫn cách làm thế nào của từng công
cụ. Một công cụ phổ biến khác tích hợp hàng trăm công cụ có sẵn là đĩa CD BackTrack,
nhưng hiện dự án này đã ngưng hoạt động.
Tuy vậy, Kali Linux là công cụ tương tự, hiện đang rất nổi, có thể cài thẳng vào
máy tính hoặc máy ảo, hoặc chạy trên USB, CD.
Nếu muốn tìm cách test hệ thống mạng của mình, bạn có thể tham khảo thêm
tại Ethical Hacker.
Bài thực hành 8: Thiết lập máy chủ bảo mật RADIUS
Ở nhà, bạn thường mã hóa router không dây của mình bằng chế độ Personal hoặc
Pre-shared Key (PSK) cho bảo mật WPA hoặc WPA2 để giúp mạng không dây không bị
kẻ khác dòm ngó. Chế độ Personal là cách đơn giản nhất để mã hoá Wi-Fi: thiết lập một
mật khẩu trên router và đơn giản là nhập mật khẩu này vào thiết bị và máy tính kết nối.
Tuy nhiên, với doanh nghiệp, chế độ Enterprise của WPA hoặc WPA2 được các
chuyên gia bảo mật khuyến khích dùng hơn, vì kết hợp với xác thực 802.11x.
Thay vì dùng mật khẩu Wi-Fi, mỗi người dùng sẽ nhận được một thông tin đăng
nhập riêng; mã hóa này bảo vệ chống lại việc trộm dữ liệu giữa người dùng với nhau.
Hơn nữa, bạn có thể thay đổi hoặc xóa một tài khoản nào đó để bảo vệ mạng khi một
nhân viên không làm việc nữa hoặc thiết bị nào đó bị thất lạc hoặc mất cắp.
Để sử dụng chế độ cho doanh nghiệp, bạn phải có một máy chủ RADIUS (Remote
Authentication Dial-In User Service) riêng để xử lý đăng nhập 802.11x của người dùng.
Là nhà quản trị hệ thống, bạn sẽ phải cấu hình và chỉnh cho máy khách với xác thực
802.11x và giúp duy trì máy chủ RADIUS. Để thực tập, hãy xem thiết lập máy chủ cho
bạn ở nhà và sử dụng bảo mật Wi-Fi mức doanh nghiệp ở nhà.
Nếu bạn đang chạy hệ thống mạng nền Windows, Network Policy Server (NPS)
hoặc Internet Authentication Service (IAS) có thể lấy làm máy chủ RADIUS. Còn không,
bạn có vài chọn lựa miễn phí. Nếu bạn rành Linux, hãy xem qua phần mềm nguồn
mở FreeRADIUS. Vài tùy chọn dễ dùng hơn, có giao diện GUI và miễn phí
như TekRADIUS, hoặc công cụ dùng thử 30 ngày ClearBox.
Khi đã cài xong máy chủ RADIUS, bạn tạo các tài khoản người dùng và nhập vào
mật mã (shared secrets) cho AP. Sau đó, cấu hình router không dây hoặc AP với
WPA/WPA2-Enterprise: gõ vào địa chỉ IP và cổng của máy chủ RADIUS, rồi đến shared
secret mà bạn đã đặt trên máy chủ RADIUS. Sau đó, bạn có thể kết nối thiết bị bằng cách
gõ vào thông tin đăng nhập mà bạn quy định trên máy chủ RADIUS.
Bài thực hành 9: Cài đặt Windows Server và thiết lập tên miền
Nhà quản trị cũng cần quản lý các hệ thống mạng nền Windows chạy
với Windows Server. Để có thêm kinh nghiệm, bạn thử chạy một bản Windows Server
tại nhà.
Mặc dù mua một phiên bản hệ điều hành máy chủ không hề rẻ nhưng bạn có vài
chọn lựa miễn phí. Microsoft cho bạn dùng thử miễn phí 180 ngày bản ISO tải về để cài
trên một máy chủ vật lý, ổ cứng ảo (VHD) cho máy chủ ảo và truy cập được đến một
máy ảo chưa cấu hình trên đám mây Azure. Hơn nữa, Microsoft cũng đưa ra Virtual
Labs, có những hướng dẫn cho bạn trong môi trường ảo hóa, bạn có thể thử qua.
Một khi bạn truy cập được vào một máy chủ, hãy khám phá nó và thực tập. Có lẽ
bạn nên thử cấu hình Active Directory và thử với Group Policies, thiết lập Exchange và
cấu hình một máy khách Outlook, hoặc thiết lập NPS cho xác thực 802.11x.
Nguồn :Computerworld