9 bài thực hành để trở thành quản trị mạng chuyên nghiệp

Với nghề quản trị mạng, hiểu biết là trên hết, kế đến mới là bằng cấp. Về cơ bản, các chứng thư CNTT như Network+ hay CCNA chính là tấm vé thông hành để bạn bắt đầu chuỗi ngày kiếm tìm một chân quản trị mạng, nhưng hiểu biết mới là tất cả.

Khi đương đầu với vấn đề nào đó, nếu chưa xuất hiện kinh nghiệm thì hẳn là bạn khó lòng lọt được vào “mắt xanh” của nhà tuyển dụng, đặc biệt là trong các năm đầu bước vào ngành quản trị hệ thống.

Câu hỏi đề ra tại đó chính là bạn có từng phải cấu hình hoặc vọc phá một hệ thống mạng nào đó chưa? Thậm chí, nếu từng làm nhà quản trị hay kỹ thuật viên mạng thì cũng khó lòng nào mà bạn có thể chạm hết được đến mọi khía cạnh trong ngành này.

Loạt 9 bài thực hiện được phân bổ cho 3 cấp độ cơ bản, trung cấp và cao cấp được nhắc đến bên dưới sẽ hướng đến các chủ đề mạng khác nhau, từ cơ bản đến nâng cao.

Vài bài thực hành chỉ mất vài phút là xong, nhưng có một số bài sẽ khiến bạn mất hết thời gian của ngày nghỉ cuối tuần. Có thể bạn cũng cần đầu tư một chút về trang thiết bị phần cứng, mà cụ thể là thiết bị mạng nhưng vẫn có các cách không cần đến chúng.

Phần 1 – Trình độ cơ bản

Bài thi hành 1: Cấu hình TCP/IP

Một trong số trọng trách cơ bản nhất của nhà quản trị mạng là cấu hình thiết lập TCP/IP. Nếu một mạng không sử dụng giao thức cấp phát động DHCP (Dynamic Host Configuration Protocol), tức là tự động quản lý địa điểm IP khi máy khách kết nối thì bạn cần tự thiết lập IP tĩnh và địa điểm DNS cho mỗi máy khách. Có thể hệ thống yêu cầu bạn đặt thông tin IP tĩnh khi bắt đầu bước thiết lập và cấu hình router hoặc các phần tử khác trên mạng.

Để đặt IP tĩnh, bạn cần phải biết địa chỉ IP của router và dải địa chỉ IP để bạn có thể đặt cho máy khách. Bạn cũng đều có thể tìm được dữ kiện này trong Settings của máy tính nào kết nối thành công vào mạng.

Bạn sẽ cần đến địa điểm IP, địa chỉ Subnet Mask, địa chỉ IP của router (cũng như Default Gateway) và địa chỉ máy chủ DNS (Domain Name System).

Trong Windows : Mở Network Connections qua Control Panel, hoặc Network and Sharing Center. Tiếp theo, mở kết nối đang hoạt động và bấm vào nút Details.

Trong Mac OS X : Trong System Preferences, nhấn vào biểu trưng Network, sau đó chọn kết nối đang hoạt động, như AirPort (wireless) hay Ethernet (wired). Với kết nối có dây, bạn sẽ thấy tin tức ngay trên màn hình đầu tiên; còn với kết nối không dây, nhấn thêm vô nút Advanced và tìm dưới tab TCP/IP và DNS.

Bạn hãy viết những số lượng này vào giấy hoặc copy chúng vào một tập tin văn bản nào đó, rồi đóng cửa sổ lại.

Để xem dải địa điểm IP cho mạng, bạn cũng đều có thể nhập địa điểm IP và địa chỉ Subnet Mask vào một ứng dụng tính subnet tên là Subnet Calculator. Ví dụ, nhập vào IP 192.168.1.1 và Subnet Mask 255.255.255.0 sẽ cho bạn kết quả dải địa điểm từ 192.168.1.1 đến 192.168.1.254.

Đến đây, bạn đã biết được dải địa điểm IP rồi, nhưng cần nhớ là mỗi thiết bị phải có một địa điểm IP duy nhất. Cách tốt nhất để kiểm tra địa điểm IP là đăng nhập vào router, nhưng bạn cũng đều có thể đoán được hoặc đơn giản là chọn một địa chỉ tình cờ nào đó trong dải. Nếu địa chỉ đó đã có thiết bị nào đó sử dụng thì Windows hoặc OS X sẽ cảnh báo là có xung đột về địa chỉ IP và bạn cũng có thể chọn một địa điểm khác. Một khi thiết lập thành đạt địa điểm IP thì bạn ghi địa chỉ đó xuống hoặc lưu lại trong file văn bản. Đây là cách hữu hiệu nhất để ghi nhận lại mọi địa điểm IP tĩnh cùng theo với số seri của máy tính sử dụng địa chỉ IP đó.

Bây giờ, chúng ta cùng thiết lập một địa điểm IP tĩnh:

Trong Windows : mở cửa sổ Network Connection Status, bấm vào nút Properties và mở thiết lập TCP/IPv4 (Internet Protocol Version 4). Chọn “Use the following IP address” và gõ vào thiết lập: một địa điểm IP phải nằm ở trong dải IP cho phép, cộng với Subnet Mask, Default Gateway và máy server DNS trong cửa sổ Network Connection Details.

Trong Mac OS X : mở cửa sổ Network và nhấn vào nút Advanced. Trong tab TCP/IP, nhấn vào nút sổ xuống cạnh bên Condiv IPv4, chọn Manually và gõ vào địa điểm IP hợp lệ trong dải, cộng với Subnet Mask và địa điểm router mà bạn đã copy trước đó. Sang tab DNS và gõ vào địa chỉ máy server DNS.

Nhấn OK để hoàn tất.

Bài thực hành 2: Phân tích Wi-Fi

Là quản trị mạng, bạn sẽ muốn thiết lập, tinh chỉnh và duy trì mạng không dây trên mạng. Một trong số công cụ cơ bản nhất mà bạn phải có là một công cụ phân tích Wi-Fi (Wi-Fi stumbler). Những công cụ này cũng có thể quét sóng và liệt kê những thông tin cơ bản về các mạng không dây, gồm router và Access Point (AP) gần đó, trong đấy có mã mạng SSID (service set identifier), còn coi là tên mạng không dây; địa điểm MAC của router/AP; kênh; mức tín hiệu; và trạng thái bảo mật.

Bạn cũng đều có thể sử dụng một công cụ dò Wi-Fi để kiểm tra sóng mạng tại nhà. Ví dụ bạn có thể kiểm tra hàng xóm đang dùng Wi-Fi trên kênh nào để bạn cũng có thể có thể chuyển qua kênh khác cho giảm nhiễu. Bạn cũng cần được đảm bảo chế độ bảo mật của router ở thấp nhất là WPA hoặc WPA2.

Windows có công cụ Vistumbler và NetSurveyor; Mac OS X có KisMac; hay Kismet cho tất cả 2 hệ điều hành trên, cộng cả Linux. Cả 4 công cụ trên đều miễn phí, cho phép bạn xem thông tin dạng chữ hoặc dạng biểu đồ về kênh và mức tín hiệu sóng Wi-Fi.

Còn nếu bạn sử dụng điện thoại thông minh hay máy tính bảng nền Android, bạn cũng có thể sử dụng Wifi Analyzerhay Meraki WiFi Stumbler, cả 2 đều miễn phí.

Bài thực hành 3: Cấu hình router không dây và AP

Để có thêm kinh nghiệm thiết lập và cấu hình không dây, bạn nên tập với router không dây tại nhà. Hoặc tốt hơn, bạn nên tiếp xúc với một AP nào được sản xuất cho doanh nghiệp. Tốt đặc biệt là bạn mượn của ai đó trong cơ quan CNTT trong công ty mình, hoặc thử xem trên thị trường có loại router hay AP nào dành cho doanh nghiệp giá thấp không, như AP của Ubiquiti Networks có giá khá mềm (khoảng 70 USD trên eBay).

Để truy cập được vào giao diện cấu hình router không dây, bạn gõ vào địa điểm IP trên trình duyệt. Hãy tham khảo lại Bài thi hành 1, địa chỉ IP của router giống như địa điểm Default Gateway mà Windows liệt kê trong cửa sổ Details về kết nối không dây.

Truy cập giao diện cấu hình AP khá khác nhau. Nếu có một bộ điều khiển không dây thì sẽ được một giao diện chung để bạn cũng đều có thể cấu hình cho mọi AP. Còn hệ thống nào không có bộ điều khiển không dây này thì bạn cần truy cập từng AP một thông qua địa điểm IP của nó.

Một khi bạn truy cập được vào giao diện cấu hình router hoặc AP, hãy xem mọi thiết lập và cố hiểu chúng. Hãy xem kích hoạt tính năng tách không dây (hoặc layer 2) nếu thiết bị hỗ trợ và xem nó chặn người dùng-người dùng như thế nào. Bạn cũng cũng có thể thay đổi địa chỉ IP của router/AP trong thiết lập LAN, tắt DHCP và gán địa chỉ IP cụ thể cho từng thiết bị/máy tính. Bạn cũng xem địa điểm DNS tĩnh (như OpenDNS) trong thiết lập WAN; thiêt lập Quality of Service (QoS) để ưu ái luồng dữ liệu. Khi bạn đã thông thuộc các thông số ấy, hãy thiết lập mức bảo mật đỉnh cao cho hệ thống mạng là WPA2.

Trong trường hợp bạn chẳng thể kiếm được một AP mức doanh nghiệp, hãy xem qua các công cụ mô phỏng giao diện hoặc demo của 1 số hãng sản xuất, như Cisco chẳng hạn.

Phần 2 – Trình độ trung cấp

Bài thực hiện 4: Cài DD-WRT trên router không dây

Để “vọc” nhiều hơn mạng không dây, bạn có thể cài firmware nguồn mở cho các router không dây DD-WRT. Firmware này có nhiều tính năng tiên tiến chỉ có cho cấp doanh nghiệp, và cũng có thể có thể tùy biến rất tốt. Nhưng trước lúc tải và cập nhật firmware, bạn phải kiểm tra trên bản kê router tương thích với firmware này.

Ví dụ, nó bổ trợ mạng LAN ảo và nhiều SSID nên bạn cót thể chia một mạng ra thành nhiều mạng ảo. Nó cũng hỗ trợ một máy khách và máy server VPN để truy cập từ xa, hoặc thậm chí kết nối trực tiếp site-to-site. Hơn nữa, nó cho bạn tùy biến tường lửa, chạy script khởi chạy và tắt, hỗ trợ nhiều biện pháp hotspot khác nhau.

Bài thực hành 5: Phân tích mạng và luồng dữ liệu trên mạng

Là nhà quản trị hệ thống, bạn sẽ rất càng phải xử lý những vấn đề liên quan đến việc theo dõi các gói dữ liệu đang truyền trên mạng. Mặc dù các công cụ phân tích giao thức mạng có thể tốn biết bao tiền của, Wireshark là một chọn lựa miễn phí, nguồn mở, làm việc trên tất cả hệ điều hành. Nó có nhiều tính năng và bổ trợ theo dấu thời gian thực và cả phân tích offline cho hàng trăm giao thức mạng khác nhau, giải mã cho nhiều loại mã hóa và có các bộ lọc mạnh, có khả năng đọc/ghi thông qua nhiều định dạng tập tin (file) bắt được trên mạng.

Một khi bạn cài xong Wireshark, hãy thử bắt gói dữ liệu và xem nó có gì trong đó. Nói cách khác, bạn hãy dạo lòng vòng trên web hoặc xác định những chia sẻ trên mạng để xem luồng dữ liệu trên mạng luân chuyển như thế nào. Hãy nhớ là bạn cũng có thể có thể ngừng qui trình bắt gói dữ liệu để theo dấu kỹ hơn một điểm nào đó. Mặc dù Wireshark có thể bắt mọi luồng dữ liệu luân chuyển qua mạng, có thể bạn chỉ thấy được luồng dữ liệu vào/ra của 1 máy khách mà thôi nếu chế độ bắt packet “hỗn hợp” không được hệ điều hành mà bạn đang dùng hoặc card mạng (adapter mạng) của bạn hỗ trợ. Thông tin chi tiết, bạn cũng có thể có thể tham khảo tại trang web của Wireshark.

Lưu ý: cho dù khi cách bắt gói packet thường chạy ở chế độ chạy thụ động, nghĩa là không can thiệp hay gây nhiễu mạng nhưng vài người xem việc theo dõi kiểu này là phạm luật chính sách riêng tư và cá nhân. Vậy nên bạn phải lưu ý là chỉ nên áp dụng cho mạng cá nhân tại nhà, hoặc yêu cầu quyền của nhà quản trị hệ thống hoặc CTO công ty trước khi thực hiện.

Ngoài ra, còn vài công cụ phân tích mạng miễn phí khác mà cũng đều có thể bạn muốn thử qua. Ví dụ EffeTech HTTP Sniffer cũng đều có thể tập hợp các gói HTTP và hiển thị chúng trên một trang web để cũng có thể có thể trình bày rõ ràng bằng đồ thị cho bạn theo dõi dễ hơn, thay vì phải nhìn vào cả đống packet dữ liệu thô. Hoặc như Password Sniffer chỉ “nghe” mật khẩu trên mạng và liệt kê chúng ra, cho ta thấy được rằng mật khẩu bằng văn bản số là rất không an toàn. Và để phân tích dữ liệu di động thông qua điện thoại hay máy tính bảng nền Android, có các công cụ miễn phí như Shark for Root.

Bài thực hiện 6: Thử với bộ mô phỏng mạng

Mặc dù khó có thể sử dụng trực tiếp mạng doanh nghiệp để thực tập thì chúng ta có thêm cách khác, đó là sử dụng các bộ mô phỏng để ảo hóa việc thiết lập và cấu hình mạng. Chúng là những công cụ vô giá để chuẩn bị cho những kỳ thi CNTT, trong đấy có những chứng từ của Cisco và Juniper. Một khi bạn tạo được một hệ thống mạng ảo với những phần tử và máy khách đầy đủ, bạn có thể cấu hình và quản trị chúng bằng những thiết lập và lệnh giả lập. Thậm chí bạn có thể chạy các công cụ phân tích mạng như Wireshark với vài bộ mô phỏng mạng để xem luồng dữ liệu mạng đi đâu về đâu.

Dưới đây là vài bộ giả lập bạn nên xem qua:

• GNS3 Graphical Network Simulator là chọn lựa miễn phí, nguồn mở. Nó yêu cầu bạn chạy hệ điều hành tương ứng, như Cisco IOS hoặc Junos OS của Juniper, và bạn phải đăng ký.

• Netkit là một lựa chọn miễn phí, nguồn mở khác. Nó không yêu cầu những chức năng chuyên biệt gắn kèm với nhà sản xuất nào và nó khá hạn chế về phần tử mạng. Đáng mừng là Netkit không có những yêu cầu khắt khe về hệ điều hành như GNS3.

• Boson NetSim Network Simulator là bộ mô phỏng tính phí, giá 99 USD; mục tiêu chính của nó là cho bạn học về IOS của Cisco. Nó có bản demo miễn phí nhưng chức năng rất hạn chế.

Ngoài ra, cũng có thể có 1 số trang web như SharonTools và Open Network Laboratory cho bạn truy cập từ xa đến các phần tử mạng và giả lập nền web để bạn thi hành các lệnh. Bạn cũng nên thử qua các bộ giả lập miễn phí của Cisco.

Phần 3 – Trình độ cao cấp

Bài thực hành 7: Tự tấn công hệ thống

Bạn có thể đọc nhiều về bảo mật mạng, nhưng cách hiệu quả đặc biệt là học cách đánh giá mức độ bảo mật của hệ thống mạng bằng những thử nghiệm tấn công chính hệ thống mạng của mình.

Dưới đây là một số cách tấn công mà bạn cũng có thể có thể thử:

• Bẻ khoá Wi-Fi. Mã hoá WEP là cách dễ xâm nhập nhất bằng Aircrack-ng. Bẻ khoá Wi-Fi Protected Setup (WPS) với con số PIN bằng Reaver-WPS cũng cũng đều có thể truy cập được vào một router không dây.

• Tấn công tài khoản trực tuyến thông qua Wi-Fi sử dụng tiện ích bổ sung trên Firefox là Firesheep hoặc ứng dụng Android DroidSheep.

• Bắt gói dữ liệu và bẻ khoá tin tức đăng nhập trên mạng 802.11X sử dụng FreeRadius-WPE.

Khi học, bạn sẽ tìm thấy được các hướng dẫn việc làm ra sao của từng công cụ. Một công cụ phổ biến khác tích hợp hàng trăm công cụ có sẵn là đĩa CD BackTrack, nhưng hiện dự án này đã ngưng hoạt động.

Tuy vậy, Kali Linux là công cụ tương tự, hiện đang rất nổi, có thể cài thẳng vào máy tính hoặc máy ảo, hoặc chạy trên USB, CD.

Bài thực hiện 8: Thiết lập máy server bảo mật RADIUS

Ở nhà, bạn thường mã hóa router không dây của mình bằng chế độ Personal hoặc Pre-shared Key (PSK) cho bảo mật WPA hoặc WPA2 để giúp mạng không dây không bị kẻ khác dòm ngó. Chế độ Personal là cách đơn giản nhất để mã hoá Wi-Fi: thiết lập một mật khẩu trên router và đơn giản là nhập mật khẩu này vào thiết bị và máy tính kết nối.

Tuy nhiên, với doanh nghiệp, chế độ Enterprise của WPA hoặc WPA2 được các chuyên gia bảo mật khuyến khích dùng hơn, vì phối hợp với xác thực 802.11x.

Thay vì dùng mật khẩu Wi-Fi, mỗi người dùng sẽ thu được một thông tin đăng nhập riêng; mã hóa này bảo quản chống lại việc trộm dữ liệu giữa người sử dụng với nhau. Hơn nữa, bạn có thể thay đổi hoặc xóa một tài khoản nào đó để bảo vệ mạng khi một chuyên viên không làm việc nữa hoặc thiết bị nào đó bị mất tích hoặc mất cắp.

Để sử dụng chế độ cho doanh nghiệp, bạn phải có một máy server RADIUS (Remote Authentication Dial-In User Service) riêng để giải quyết đăng nhập 802.11x của người dùng. Là nhà quản trị hệ thống, bạn sẽ phải cấu hình và chỉnh cho máy khách với xác thực 802.11x và giúp duy trì máy server RADIUS. Để thực tập, hãy xem thiết lập máy chủ cho bạn ở trong nhà và sử dụng bảo mật Wi-Fi mức doanh nghiệp ở nhà.

Nếu bạn đang chạy hệ thống mạng nền Windows, Network Policy Server (NPS) hoặc Internet Authentication Service (IAS) có thể lấy làm máy chủ RADIUS. Còn không, bạn có vài chọn lựa miễn phí. Nếu bạn rành Linux, hãy nhìn qua phần mềm nguồn mở FreeRADIUS. Vài tùy chọn dễ dùng hơn, có giao diện GUI và miễn phí như TekRADIUS, hoặc công cụ trải nghiệm một tháng ClearBox.

Khi đã cài xong máy server RADIUS, bạn tạo các tài khoản người sử dụng và nhập vào mật mã (shared secrets) cho AP. Sau đó, cấu hình router không dây hoặc AP với WPA/WPA2-Enterprise: gõ vào địa điểm IP và cổng của máy chủ RADIUS, rồi đến shared secret mà bạn đã đặt trên máy chủ RADIUS. Sau đó, bạn có thể kết nối thiết bị bằng cách gõ vào tin tức đăng nhập mà bạn quy định trên máy chủ RADIUS.

Bài thi hành 9: Cài đặt Windows Server và thiết lập tên miền

Nhà quản trị cũng cần được quản lý các hệ thống mạng nền Windows chạy với Windows Server. Để có thêm kinh nghiệm, bạn thử chạy một bản Windows Server tại nhà.

Mặc dù mua một phiên bản hệ điều hành máy server không hề rẻ nhưng bạn có vài lựa chọn miễn phí. Microsoft cho bạn dùng thử miễn phí 180 ngày bản ISO tải về để cài trên một máy server vật lý, ổ hdd ảo (VHD) cho máy chủ ảo và truy cập được đến một máy ảo chưa cấu hình trên đám mây Azure. Hơn nữa, Microsoft cũng đưa ra Virtual Labs, có các chỉ dẫn cho bạn trong môi trường ảo hóa, bạn có thể thử qua.

Một khi bạn truy cập được vào một máy chủ, hãy khám phá nó và thực tập. Có lẽ bạn nên thử cấu hình Active Directory và thử với Group Policies, thiết lập Exchange và cấu hình một máy khách Outlook, hoặc thiết lập NPS cho xác thực 802.11x.

Bước tiếp theo: Học, học nữa, học mãi

Nếu thấy những bài thực hành trên thực thụ hữu ích và cần có thêm được nhiều hiểu biết quản trị thì vẫn có nhiều khóa học trực tuyến mà bạn có thể tham gia. Hãy tìm và chọn khóa huấn luyện theo những chứng từ quản trị cụ thể.

• [Lý thuyết] Proxy Server là gì?

Từ khóa bài viết: truongthinh.info, bài thực hành quản trị mạng, bài tập quản trị mạng, học quản trị mạng, bắt đầu học quản trị mạng, thực hành quản trị mạng

Bài viết 9 bài thực hành để trở thành quản trị mạng chuyên nghiệp được tổng hợp và biên tập bởi: truongthinh.info. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho truongthinh.info để điều chỉnh. truongthinh.info xin cảm ơn.