Các cụ nhà mình cứ muốn nhiều tiền mua thiết bị nhỉ.

Thế này nhé, trên mạng LAN, bác cho em một SUBNET
trên AP, bác cho em một dải IP khác subnet, (cấu hình DHCP, cái này không khó đâu, trong tài liệu của thiết bị nó ghi rõ lắm)
Để các Wireless Client có thể vào Internet được, thì chỉ cần cấu hình Default gateway trên AP là của thằng modem ADSL,
còn trên các máy dùng Wireless bác cứ để động, nó sẽ tự nhận.
Thế là đảm bảo chia được 2 mạng: LAN, và Wireless LAN.

Giải quyết được vấn đề 1

Còn vấn đề 2: Các máy cùng chạy Mạng Wireless: sẽ phân hai loại, máy của khách và máy của cơ quan.
Vì khách vào rất ít, nên nói chung bác không lo chuyện nó capture gói, nó làm gì trong cơ quan thì mình phải biết chứ.

Còn nếu không, khi các máy vào trong mạng Wireless, bác sẽ có danh sách các địa chỉ MAC trên đó, lập một cái rule cho tất cả các MAC cua máy trong cơ quan.
Các MAC khác, sẽ chịu số phận là rule còn lại.

Ngoài ra có thể tăng thêm các rule trên ISA của bác.

Còn nếu như bác chưa nắm rõ lắm về các thiết bị nói trên, thì em potay.
Lúc đó chỉ có một cách duy nhất là MUA THÊM MỘT AP như đc nào đó đã nói.

(nếu muốn tăng thêm bảo mật trên wireless, để không bị capture gói, thì bác có thể tham khảo bài viết về 802.1x của em trên cùng diễn đàn

Cái này thì đơn giản, chì cần cài một thằng WIN 2000 server, em cho bác phần mềm ACS, làm con server chứng thực, là xong)

Nếu như khách thay đổi MAC trùng với MAC của 1 PC nào đó trong công ty thì sao ? Tình trạng chập chờn sẽ xảy ra. Hoặc là rule sẽ ko ngăn chặn được khách hoặc là 1 PC nào đó công ty (bị trùng MAC) sẽ die luôn

- Mà không có khách hay nhân viên nào change MAC để làm gì cả, mà nếu tên nào change thì các bác không phải nói rồi, nó phải đáp ứng các điều kiện sau :
Hiểu biết về IT
Biết MAC list của bác (các bác vui lòng nhớ cho là MAC có 12 chữ vừa số vừa ký tự, nếu làm tổ hợp tuyến tính bác viết ra giấy đến lúc chết viết cũng chưa chắc là xong nữa ... he he he)
Và mục đích change (vì bình thường bác đã cho nó sài Internet rồi, còn vào LAN của bác mà LAN của bác chẳng có gì hứng thú vào ngủ à?), còn có nhiều thứ hứng và thú thì vui lòng request mua đồ về làm cho ra làm
------
để khỏi bị cáp các bác cứ làm như bác Huy Bắc hướng dẫn (rất cụ thể trên diễn đàn này)
Tớ còn đang đợi dẫn bác đi uống cafe để được mục kích vụ harck AP nữa đấy ... bác cứ yên tâm đi

LOVE nhớ cho là: để thay được MAC thì phải làm hai việc;
1/ Dùng tool để bắt các gói tin, từ đó kiếm được một MAC nào đó
2/ Sau khi có nó rồi, lại phải dùng tool nữa để tạo MAC giả.

Vì LOVE nhớ là: MAC là một địa chỉ vật lí duy nhất cho mỗi CARD mạng, không cái nào trùng cái nào, nó không phải như địa chỉ IP.

Còn vấn đề nữa, Bác nào sợ vụ giả MAC, thì tham khảo bài của em về 802.1x, nó làm cho BÁC o thể xâm nhập, capture gói tin trên Wireless nếu không có quyền.

3/ Xong MAC rồi, thì chắc thằng cu này cũng hết giờ viếng thăm KHÁCH HÀNG.

hihi.

Còn cái vụ HACK wireless, thì chỉ hack được với WEP thôi,

Với 802.1x thì em chưa thấy tài liệu nào công bố là HACK được. Vì 802.1x mà dùng cấp cao nó sẽ sử dụng chứng thực cảu bọn RSA.
Tức là có một cặp KEY.
Mà cái này thì trên thế giới chưa thấy chú nào HACK được cả

Rất cám ơn bạn đã giải thích rất hay, chi tiết và thuyết phục. Nhưng mình còn có 1 thắc mắc nữa là trong Window có lệnh " nbtstat -a IP " dùng để lấy MAC của các PC khác trong Lan. Ko biết đối với trường hợp 802.1x mà bạn nói thì lệnh này có lấy được MAC hay ko ?

Cặp KEY nghĩa là sao vậy bạn ? Bạn có thể giải thích giùm ko ?

Bài viết này nằm ở đâu vậy các bác ? Cho mình xin cái link bài viết này với .

Cám ơn mọi người

802.1x là để chứng thực ban đầu, trước khi cho phép người dùng xâm nhập vào mạng.
Thế nên đương nhiên là o vượt qua được cái này thì làm sao mà vào mạng để dùng lệnh lấy MAC được

Ngoài ra, nếu bác nào nghiên cứu sâu hơn về 802.1x, thì cái RADIUS Server bác có thể cấu hình các luật cho nó.

Cặp key: là private key và Public Key.
Cái này bác tham khảo thêm các tài liệu trên mạng nhé

nick: huybac_nguyen

Bác Huy Bắc thấy đấy, nhiều lúc trên này tớ thấy anh em không chịu nhìn xa ra một chút, cứ lẫn quẫn lanh quanh hoài, tài liệu thì cũng không phải là không có .... đến cái 802.1 tiếng việt của bác cất công thế mà tớ thấy có ai thèm quan tâm đâu, chả lẽ tớ chỉ cho họ cuốn tiếng anh nữa...

:) :) :) :) hì hì

Đối với Zyxel ,bạn muốn ko cho 1 IP nào đó kết nối internet ,thì chỉ đơn giản vào mục Firewall - Rule Summary ,tạo ra (insert) 1 cái rule để block cái IP đó là xong ( ngoài ra còn có thể quy định cụ thể thời gian bao lâu , ngày giờ truy cập internet , được / hoặc ko được sử dụng dịch vụ gì của từng IP)

:) :) :) :) hì hì

Bên mình xài Zyxel Prestige 2602H-61C ,thì thấy có hỗ trợ tạo access list để ngăn chặn , giới hạn quyền truy cập của mỗi IP. Bạn check kỹ lại xem bên bạn thế nào (có mục nào cho phép tạo rule gì đó ko?) , chứ nếu router ko hỗ trợ thì chịu thôi :D (phải dùng cách khác thôi)

Liên hệ với huybac_nguyen nhé, mình muốn biết bạn định làm quả 802.1x theo kiểu gì, vì bạn hoàn toàn có thể backup file cấu hình ở cơ quan, làm xong rồi lại trả lại. Ở nhà thì đâu có quan trọng ngang hàng hay o

Nếu vậy sau khi vào được mạng rồi , vậy có lấy MAC của các máy khác bằng lệnh nbtstat được ko ? hay phải có quyền mới lấy được ? Vì nếu sau khi em chứng thực thành công để vào mạng ,nghĩa là em vẫn có thể lấy MAC và giả MAC được rồi ??? :confused:

Thêm một điều nữa em chưa rõ ,đó là nếu xài 802.1x có nghĩa là gần như bảo đảm tuyệt đối sẽ ko bị mấy tên hàng xóm ăn cắp xài net chùa ? Đúng ko bác?

Mong bác nói rõ giùm em chút. Thank bác nhiều :)

Chú chơi kiểu giặc trong nhà này thì ai mà làm gì được nữa, khi đã vào được rồi, thì còn nói làm gì, bời khi đó, người ta đã được chú cho vào rồi.
Với lại, lúc này MAC có vai trò gì đâu, chú cứ mang MAC cho chúng nó, chúng nó cũng chịu.

2/ Thực ra chú cũng có thể hạn chế quyền của từng ACCOUNT hoặc nhóm ACCOUNT, khi đã vào mạng wireless rồi, nhưng phần này hơi khó, nó là phần nâng cao trong 802.1x

Khi đó, trên Radius server chú phải có một Database, để đặt các rule (luật) cho từng nhóm ACC, ví dụ: nhóm acc này thì được vào WEB, nhóm khác thì chỉ được vào mạng nội bộ, nhóm kia thì chỉ có FTP thôi, v.v.

3/ Thực ra chẳng có gì là 100% cả, nhưng với mạng ở nhà, nếu mấy thằng hàng xóm coi trộm cái KEY của chú, thì nó vào được

Còn nó không có TOOL Nào để lấy cái ACC đó đâu, trừ khi nó sang nhà chú nhòm vào mấy tờ giấy chú ghi.
Thế nên ở nhà, có thể coi như là 100% an toàn (lưu ý: nhà ở VN thôi nhé, hihi)

Còn ở doanh nghiệp, thì có thể dùng them cái TOKEN ID cuả bọn RSA, thì là an toàn nhất

Oh ,em đã hiểu vấn đề rồi . cám ơn bác nhiều lắm :D . Ah ,mà sao bài viết của bác lại ko có hình minh họa vậy ? Bác có thể post hình lên được ko ?

Em thấy bác rành về wireless quá , nên mong rằng bác có tài liệu nào hay về wireless , giới thiệu giùm em cái (từ cơ bản đến nâng cao). Vì trước giờ ,em đọc cũng lung tung ,lang tang , chủ yếu là học lóm cái bài viết trên các website IT khác ,chứ chưa được hệ thống kiến thức đầy đủ về vấn đề này . Giúp em cái bác nhé . Thanks again :D