Cấu hình bảo mật với XpressConnect của Cloudpath Networks

Chế độ Enterprise của mã hóa WPA/WPA2, cùng với nhận thực
802.1X, có thể bảo vệ mạng không dây của bạn với nhiều username
và password thay vì một PSK hay một mật khẩu thiếu an toàn.
Mặc dù vậy chế độ này yêu cầu người dùng cần phải thực hiện nhiều thay
đổi về mặt cấu hình. Các thiết bị máy khách phải được cấu hình với máy
chủ và các chi tiết đăng nhập để kết nối với mạng. Đây là một vấn đề gây
khó khăn cho cả người dùng và quản trị
viên.
Cloudpath Networks đã lên kế hoạch để
thiết kế một chương trình giúp quá trình
cấu hình và kết nối với các mạng
802.1X được dễ dàng, nhanh chóng và
an toàn một cách có thể. Sản phẩm
XpressConnect của hãng cho phép các
quản trị viên có thể tạo một wizard để tự
động cấu hình các thiết bị khách. Công
ty này nói rằng sản phẩm của họ có thể
giảm chi phí có liên quan với WPA-
Enterprise, WPA2-Enterprise, hoặc mạng 802.1X một cách rõ dệt, trong
khi đó vẫn cho cải thiện trải nghiệm người dùng.
Sau đây chúng tôi sẽ cùng các bạn đi xem xét xem liệu Cloudpath
Networks có thành công và có thể cung cấp những gì như hứa hẹn của nó.
Như đề cập bên trên, XpressConnect cho phép các quản trị viên tạo một
wizard để người dùng có thể chạy trên máy tính của họ (máy tính chạy
Windows, Mac OS, hoặc Ubuntu Linux) hoặc iPhone để tự động hóa việc
cấu hình các thiết lập mã hóa và nhận thực PEAP hoặc TTLS đối với
mạng. Cũng có thể gồm các thiết lập có liên quan đến mạng khác có thể
trợ giúp người dùng kết nối. Cả nhận thực không dây và nhận thực
802.1X chạy dây đều được hỗ trợ, ngoài WEP, còn có cả WPA/WPA2-

PSK và truy cập không được bảo vệ.
Các quản trị viên đăng nhập vào Cloudpath Administrative Console để
tạo và download giao diện XpressConnect. Họ có thể định nghĩa các chi
tiết mạng và tùy chỉnh giao diện wizard thông qua giao diện web. Sau đó
các quản trị viên có thể download wizard cuối cùng được đóng gói cho
Web server hoặc cho cài đặt độc lập, chẳng hạn như trên CD hoặc USB
Sản phẩm: XpressConnect của
Cloudpath Networks
Ưu điểm: Giao diện thông
minh, khả năng tùy chỉnh, tài
liệu cung cấp đầy đủ
Nhược điểm: Thiếu sự hỗ trợ
cho EAP-TLS (các chứng chỉ
phía trình khách)
flash. Các bộ cài đặt MSI có thể được tạo và các triển khai dựa trên GPO
cũng được hỗ trợ.
Cuối cùng, người dùng có thể chạy wizard trên máy tính hoặc iPhone của
họ và wizard này sẽ tự động tích các thiết lập, cấu hình mạng và kết nối
với nó. Điều này cho phép những người dùng với ít kinh nghiệp có thể
kết nối mà không cần sự hỗ trợ “một–một” từ bàn trợ giúp hoặc nhóm
CNTT.
Một cài đặt lý tưởng là phải có một SSID không được bảo vệ hoặc một
VLAN khách với một portal bị giữ để chuyển hướng (redirect) người
dùng đến bộ cài đặt web, nơi XpressConnect wizard có thể cấu hình
người dùng để có SSID an toàn và VLAN riêng.
Tạo XpressConnect wizard
Khi bạn, quản trị viên, đăng nhập vào Cloudpath Administrative Console
(xem hình 1), bạn sẽ được chào đón bằng một sự hướng dẫn về cách
XpressConnect làm việc như thế nào và một liên kết để download hướng
dẫn sử dụng nhanh (Quick Start Guide).


Hình 1
Chúng ta hãy bắt đầu quá trình bằng cách định nghĩa các chi tiết mạng.
Đầu tiên là Visual Settings. Ở đây bạn có thể thay đổi logo mặc định, ảnh,
chữ và các thứ khác được hiển thị trong wizard. Sau đó có thể định nghĩa
các thiết lập mạng có liên quan.
Đây không phải là một nhiệm vụ có thể thực hiện nhanh, nó là một quá
trình toàn diện gồm có 12 bước. Quá trình này gồm có nhiều thiết lập
khác nhau và có nhiều vấn đề về mạng cũng như cấu hình địa chỉ - một
thứ tốt.
Hãy bắt đầu với những thứ cơ bản, SSID (tên mạng) và kiểu mã hóa/
nhận thực. Các thiết bị khách thậm chí có thể sử dụng các sản phẩm
802.1X của các hãng thứ ba. Bạn cũng có thể chỉ định hệ điều hành nào
sẽ hỗ trợ. Thêm vào đó, có thể định địa chỉ để tránh xung đột giữa các
SSID bằng cách đưa mạng của bạn lên top trên trong danh sách ưu tiên
của máy khách, thiết lập SSID cụ thể để kết nối thủ công, hoặc xóa
profile mạng cho một SSID nào đó.
Bạn có thể làm cho wizard cho phép hợp lệ hóa chứng chỉ bằng cách
chọn Certificate Authority (CA) của máy chủ hoặc tự upload. Xem trong
hình 2. Có thể định nghĩa tên máy chủ, thứ bạn bảo đảm chúng chỉ kết nối
với RADIUS server của bạn. Thậm chí bạn còn có một wizard để kiểm
tra đồng hồ hệ thống của người dùng, đây là thứ nếu sai có thể gây ra
nhiều vấn đề với sự hợp lệ hóa chứng chỉ.

Hình 2
Một bonus được bổ sung mà bạn có thể tích và cho phép trên wizard nếu
cần, Windows Auto Updates, Firewall, NAP,… Xem hình 3. Với
Windows 7, bạn thậm chí có thể vô hiệu hóa Wireless Hosted Networks,
đây là thành phần có thể gây ra rủi ro bảo mật đối với mạng của bạn.


Hình 3
Khi XpressConnect wizard cho phép người dùng của bạn kết nối, nó có
thể mở trình duyệt web họ với URL mà bạn chọn. Bạn cũng có thể đặt
một shortcut quay trở lại trên desktop của họ phòng khi họ muốn undo
các thay đổi đối với wizard.
Chúng tôi thực hiện và tạo một mạng test ở đây trong văn phòng và phát
hiện thấy các thiết lập được minh chứng tài liệu khá tốt. Mỗi một tùy
chọn đều được mở rộng để xem thêm thông tin về nó. Các thiết lập và các
tùy chọn bản thân chúng chỉ hiển thị XpressConnect phức tạp như thế
nào.
Sử dụng XpressConnect wizard để cấu hình máy khách
Tiếp theo chúng ta sẽ test wizard để kiểm tra trải nghiệm người dùng.
Đầu tiên, chúng ta hãy download một gói cài đặt độc lập, mở nén nó và
đặt các file vào một CD. Sau đó vào máy tính Windows 7 và Windows
XP.
Khi nhét đĩa CD vào, XpressConnect wizard sẽ tự động xuất hiện. Xem
trong hình 4. Chúng ta nhập vào username và password cho mạng test
802.1X của mình và nhấn Continue. Chương trình đã hoạt động và thông
báo cho biết là kết nối đã thành công. Nó thậm chí còn cho phép xem
chính xác những thay đổi gì được thực hiện đối với máy tính và cho
chúng ta một tùy chọn tạo một shortcut trở lại trên desktop. Không tốn
hơn một phút để kết nối.

Hình 4
Chúng ta cũng đi test phương pháp tiển khai Web server. Hãy download
một gói HTML, giải nén nó và upload các file lên máy chủ web. Khi bạn
truy cập URL, nó sẽ download một chương trình Java Applet hay
ActiveX, thứ gì đó giống với XpressConnect wizard khi thực hiện ở
phương pháp độc lập. Trong thực hiện chúng tôi đã không gặp vấn đề gì,
hệ thống đã làm việc như phương pháp trước.

Kết luận
Có thể nói XpressConnect là một sản phẩm vững chắc. Cloudpath
Networks đã thực hiện được những gì như đã hứa. Giao diện thông minh
của nó có thể giảm được thời gian và chi phí trong việc hỗ trợ mạng
802.1X. Thêm vào đó nó còn cho phép người dùng có thể sử dụng một
cách thân thiện. Ngoài ra XpressConnect còn có khả năng tùy chỉnh,
minh chứng tài liệu tuyệt vời.
Chỉ có một vấn đề mà ở đây là phần mềm không hỗ trợ EAP-TLS.
XpressConnect chỉ làm việc với các thiết lập PEAP và TTLS, về vấn đề
nhận thực 802.1X. Mặc dù vậy đây là một trong những thực thi phổ biến
nhất ngày nay.