Nếu thực thi kết nối Wi-Fi trong mạng doanh nghiệp
của mình, bạn nên sử dụng chế độ Enterprise của bảo mật Wi-Fi Protected
Access (WPA hoặc WPA2) – tốt nhất là WPA2 với mã hóa AES.
Chế độ Enterprise này sử dụng nhận thực 802.1X, đây
là kiểu nhận thực cung cấp các khóa mã hóa duy nhất cho mỗi session
người dùng. Còn chế độ Personal sử dụng các khóa tiền chia sẻ
Pre-Shared Key (PSK), đây là các mã hóa tĩnh và không đủ an toàn cho
các doanh nghiệp hoặc các tổ chức.
Chế độ Enterprise của WPA/WPA2 có một số ưu điểm quan trọng:
- Người dùng kết cuối có thể đăng nhập bằng username và password của tài khoản miền của họ nếu bạn sử dụng Active Directory. Có thể thay đổi các chứng chỉ đăng nhập cũng như thu hồi quyền truy cập của một người dùng nào đó. Nếu sử dụng chế độ Personal, mọi người sẽ đăng nhập với cùng một khóa mã hóa tĩnh. Vì vậy nếu một laptop nào đó bị mất cắp, bạn cần phải thay đổi khóa mã hóa cho tất cả các máy khách khác – với chế độ Enterprise bạn sẽ không gặp phải điều này.
- Chế độ này cho phép bảo mật khóa mã hóa tốt hơn. PSK của chế độ Personal rất dễ đoán bởi các tấn công brute-force dictionary.
- Người dùng kết cuối sẽ nhận một cách an toàn các khóa mã hóa duy nhất cho mỗi session. Cho ví dụ, các nhân viên khác không thể can thiệp vào lưu lượng không dây của người khác giống như trong chế độ Personal.
- Chế độ này hỗ trợ các mạng VLAN tốt hơn. Bạn có thể cấp một wireless network (SSID) cho tất cả người dùng, gồm có các nhân viên và các khách hàng. Có thể gán cho người dùng các VLAN khác nhau trong máy chủ RADIUS và đặt họ vào một VLAN được gán khi họ kết nối không dây.
Chỉ có một vấn đề với chế độ Enterprise là việc
thiết lập máy chủ Remote Authentication Dial In User Service (RADIUS)
và việc cấu hình các máy khách. Công việc này yêu cầu khá nhiều thời
gian (và nhiều kinh phí hơn nếu bạn chưa có máy chủ Windows) trong
thiết lập máy chủ và cấu hình các điểm truy cập không dây (AP). Thêm vào
đó Windows cũng không cho phép dễ dàng kết nối với các kiểu mạng này,
do đó bạn phải nhờ thêm sự trợ giúp của những người có chuyên môn.
Như những gì bạn có thể dự đoán, máy chủ Windows hiện
có chức năng RADIUS server cho phép thực hiện nhận thực 802.1X. Do đó
mà các bạn không cần phải mua riêng một máy chủ RADIUS hoặc cần phải
tìm hiểu về sản phẩm máy chủ mã nguồn mở như FreeRADIUS. Chức năng
RADIUS của Windows Server đã được đề cập trước đây trong nhiều phiên
bản Windows Server 2000 và 2003, do đó trong bài này chúng tôi sẽ giới
thiệu việc sử dụng nó trong phiên bản Windows Server 2008.
Bắt đầu từ Windows Vista và Windows Server 2008,
Microsoft đã giới thiệu một tính năng mới mang tên Network Policy Server
(NPS). Tính năng Network Policy Server (NPS) của Microsoft cho phép
bạn thi hành các chính sách sức khỏe cho các máy khách theo các tính
năng hoặc thiết lập dưới đây:
- Truyền thông Internet Protocol security (IPsec)
- Các kết nối nhận thực 802.1X
- Kết nối VPN
- Cấu hình Dynamic Host Configuration Protocol (DHCP)
- Các kết nối Terminal Services Gateway (TS Gateway)
NPS cũng thay thế và tích hợp Internet Authenticate
Service (IAS) có trong các phiên bản trước của Windows Server. Nếu bạn
quan tâm tới toàn bộ các tính năng NPS của Windows Server 2008, hãy
tham khảo bài viết bằng tiếng Anh tại đây.
Các lưu ý và yêu cầu trước khi thực thi
Trong hướng dẫn này, chúng ta sẽ chỉ thiết lập chức
năng RADIUS của NPS. Chúng ta sẽ sử dụng Extensible Authentication
Protocol (EAP)—Protected EAP (PEAP) một cách chi tiết. Để thực thi nhận
thực 802.1X yêu cầu bạn cần có một chứng chỉ bảo mật máy chủ. Người
dùng đăng nhập bằng username và password của các tài khoản được định
nghĩa trong Active Directory trên Windows Server.
Cần lưu ý rằng bạn cần có một bộ điều khiển không
dây hoặc AP được cấu hình bằng một địa chỉ IP tĩnh. Sau đó cần tạo một
entry trong Windows Server cho mỗi AP với địa chỉ IP của nó và bí mật
chia sẻ.
Cần bảo đảm bạn đã thực hiện cấu hình ban đầu của
Windows Server 2008. Thiết lập thời gian vùng, kết nối với mạng bằng
một địa chỉ IP tĩnh, đặt tên cho máy chủ, kích hoạt tự động nâng cấp,
cài đặt các nâng cấp có sẵn.
Bạn cũng cần có một Active Directory Domain setup.
Bảo đảm rằng Active Directory Domain Services role được kích hoạt và bạn
đã cấu hình nó với tiện ích dcpromo.exe.
Cài đặt Certificate Services role
Để sử dụng giao thức PEAP, bạn phải cài đặt
Certificate Services role. Role Certificate Services cho phép bạn tạo
một Certificate Authority (CA) để gán chứng chỉ yêu cầu tại máy chủ. Ở
đây máy khách có thể hợp lệ hóa máy chủ trước khi gửi các chứng chỉ
đăng nhập của nó.
Trong cửa sổ Initial Configuration Tasks, tìm đến phần Add roles và kích nó. Nếu bạn đã đóng hoặc ẩn cửa sổ này, hãy kích Start > Server Manager, chọn Roles, kích Add Roles.
Chọn Active Directory Certificate Services (xem trong hình 1), kích Next.
Trong cửa sổ Initial Configuration Tasks, tìm đến phần Add roles và kích nó. Nếu bạn đã đóng hoặc ẩn cửa sổ này, hãy kích Start > Server Manager, chọn Roles, kích Add Roles.
Chọn Active Directory Certificate Services (xem trong hình 1), kích Next.
Hình 1: Chọn cài đặt Active Directory Certificate Services role
Kích Next trên màn hình. Sau đó chọn role Certification Authority và Certificate Authority Web Enrollment. Khi gặp nhắc nhở (xem trong hình 2), kích Add Required Role Services. Sau đó kích Next để tiếp tục.
Hình 2: Cấu hình bằng cách thêm các dịch vụ role
Chọn kiểu Enterprise (hình 3) và kích Next.
Hình 3: Chọn kiểu Enterprise
Với kiểu CA, chọn Root CA (xem hình 4), kích Next.
Hình 4: Chọn Root CA
Với tùy chọn Set Up Private Key, chọn Create a new private key (xem hình 5), kích Next.
Hình 5: Tạo khóa riêng mới
Sử dụng các tùy chọn mặc định để mã hóa CA (xem hình 6) và kích Next.
Hình 6: Tiếp tục bằng cách chấp nhận các giá trị mặc định
Nếu cần thiết bạn có thể thay đổi các thiết lập CA (xem ví dụ trong hình 7), kích Next. Tuy nhiên với lý do bảo mật bạn nên sử dụng FQDN làm tên chung. Để dễ phân biệt chứng chỉ, bạn nên đặt -CA ở cuối tên.
Hình 7: Chọn tên CA
Về thời gian hợp lệ, bạn có thể kéo dài thời gian
này thêm đến 5 năm (chẳng hạn đến 20 năm giống như trong hình 8), bằng
cách này bạn sẽ không phải renew hoặc tạo lại chứng chỉ. Kích Next để tiếp tục.
Hình 8: Tăng thời gian hợp lệ
Sử dụng các location cơ sở dữ liệu chứng chỉ mặc định (xem hình 9) bằng cách kích Next.
Hình 9: Tiếp tục chấp nhận các location mặc định
Làm mới lại Introduction to IIS và kích Next.
Nếu muốn, bạn có thể thay đổi các role đã được cài đặt và kích Next.
Làm mới lại các thiết lập và kích Install.
Yêu cầu chứng chỉ
Lúc này bạn đã thiết lập được CA, đã có một chứng
chỉ được yêu cầu bởi PEAP cho máy chủ nhận thực. Đầu tiên bạn phải tạo
Microsoft Management Console (MMC): Kích Start, đánh MMC và nhấn Enter.
Trên cửa sổ MMC, kích File>Add/Remove Snap-in.
Chọn Certificates (xem hình 10), kích Add.
Hình 10: Thêm Certificates snap-in
Chọn Computer account, kích Next.
Chọn Local computer, kích Finish và kích OK.
Mẹo:
Bạn có thể lưu MMC này trên desktop của mình để dễ dàng truy cập: kích File>Save.
Mở Certificates (Local Computer Account), mở Personal, kích phải Certificates và chọn All Tasks>Request New Certificate (xem hình 11).
Hình 11: Yêu cầu chứng chỉ mới
Trong cửa sổ thông tin, kích Next để tiếp tục.
Chọn Domain Controller, kích Enroll. Sau khi thành công, kích Finish.
Kết luận
Trong bài này, chúng tôi đã giới thiệu cho các bạn về
chế độ Enterprise của Wi-Fi Protected Access cùng với nhận thực 802.1X
có thể bảo mật cho mạng không dây như thế nào. Sau khi thực hiện việc
cấu hình ban đầu đối với Windows Server 2008 và thiết lập Active
Directory, chúng ta đã cài đặt Certificate Services để tạo CA. Sau đó
đã cấp phát chứng chỉ.
Trong phần tiếp theo của loạt bài này, chúng ta sẽ
tiếp tục việc cài đặt Network Policy và Access Services role, cấu hình
các bộ điều khiển không dây hay AP, cấu hình các máy tính khách.
