Bảo mật lưu lượng mạng không dây ppsx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (291.75 KB, 7 trang )
Bảo mật lưu lượng mạng
không dây
Trong phần tiếp theo này, chúng tôi sẽ giới thiệu cho các bạn cách triển
khai máy chủ chính sách và cách kết nạp chứng chỉ cũng như đăng ký
Active Directory cho máy chủ đó.
Trong phần trước của loạt bài này, chúng ta đã biết rằng một trong những
cách tốt nhất bảo mật lưu lượng mạng không dây là coi chúng như một mạng
không được bảo vệ. Ý tưởng ở đây là xác thực bất cứ ai sử dụng mạng
không dây theo cách mà bạn xác thực người dùng kết nối với VPN của
mình. Windows Server 2008 có thể được cấu hình để cung cấp hành động
xác thực như vậy. Để thực hiện điều này, bạn phải cấu hình Windows làm
việc như một máy chủ chính sách mạng (NPS).
Trước khi bắt đầu
Trước khi giới thiệu cách cấu hình máy chủ chính sách mạng, chúng tôi
muốn cung cấp cho các bạn một số điều kiện tiên quyết. Như đã giải thích
trong phần trước, quá trình xác thực chủ yếu dựa trên chứng chỉ. Chính vì
vậy bạn cần phải triển khai CA doanh nghiệp trên mạng theo cách được mô
tả trong phần trước hoặc thu thập chứng chỉ từ tổ chức thương mại.
Ngoài ra, chúng ta cũng phải thiết lập môi trường Active Directory và máy
chủ sẽ cấu hình làm máy chủ NPS là thành viên miền. Thêm vào đó mạng
cũng sẽ yêu cầu máy chủ DNS (giống như tất cả các môi trường Active
Directory) và cần phải có thêm máy chủ DHCP.
Cuối cùng, tuy không nhất thiết yêu cầu nhưng chúng ta nên cài đặt Network
Policy Server trên một máy tính chuyên biệt (có thể là vật lý hoặc có thể là
máy ảo). Ý tưởng ở đây là, nếu Network Policy Server có bị thỏa hiệp thì
hacker cũng không thể tăng truy cập vào các dịch vụ mạng khác.
Triển khai máy chủ chính sách mạng
Để triển khai máy chủ chính sách mạng, các bạn hãy mở Server
Manager và kích mục Roles. Tiếp theo, kích liên kết Add Roles, Windows
sẽ mở Add Roles Wizard. Sau khi Wizard xuất hiện, kích Next để băng qua
màn hình chào. Tại đây, bạn sẽ thấy màn hình yêu cầu bạn chọn role máy
chủ. Chọn Network Policy and Access Services và kích Next.
Lúc này bạn sẽ thấy màn hình giới thiệu về role Network Policy and Access
Services. Kích Next một lần nữa bạn sẽ thấy nhắc nhở chọn dịch vụ role cần
triển khai. Chọn dịch vụ Network Policy Server như thể hiện trong hình A
và kích Next.
Hình A: Chọn dịch vụ Network Policy Server và kích Next.
Màn hình tiếp theo sẽ hiển thị bảng tóm tắt các tùy chọn cài đặt mà bạn đã
chọn. Hãy thẩm định lại các tùy chọn tên màn hình và sau đó kích
nút Install. Khi quá trình triển khai hoàn tất, kích Close.
Yêu cầu chứng chỉ
Cho đến đây chúng ta đã cài đặt xong các dịch vụ chính sách mạng, bước
tiếp theo cần thực hiện là cung cấp cho nó một chứng chỉ để sử dụng trong
quá trình xác thực. Do chúng ta đã thiết lập CA doanh nghiệp trong phần
trước nên chúng tôi sẽ giới thiệu cho các bạn cách phát hành yêu cầu từ CA
đó. Thủ tục cần thực hiện ở đây được thực hiện trên Windows Server 2008
R2. Các bước thực hiện cụ thể có thể khác biệt đôi chút nếu bạn sử dụng
Windows Server 2008.
Bắt đầu quá trình bằng cách nhập lệnh MMC tại nhắc lệnh Run của máy
chủ. Khi đó máy chủ sẽ load một giao diện quản lý trống. Chọn Add /
Remove Snap-in từ menu File và sau đó Certificates từ danh sách các
snap-in có sẵn, tiếp theo kích nút Add. Khi gặp nhắc nhở, hãy thiết lập sử
dụng snap-in để quản lý chứng chỉ cho tài khoản máy tính. Kích Next, sau
đó chọn tùy chọn Local Computer và kích Finish.
Khi kích OK, bạn sẽ thấy giao diện Certificates. Điều hướng qua cây giao
diện để đến mục Certificates (Local Computer) | Personal như thể hiện
trong hình B.
Hình B: Điều hướng đến mục Certificates (Local Computer) | Personal
Kích phải vào mục Personal và chọn All Tasks | Request New
Certificate từ menu xuất hiện. Lúc đó Windows sẽ khởi chạy Certificate
Enrollment Wizard. Kích Next để băng qua màn hành chào, và bạn sẽ
được đưa đến màn hình yêu cầu chọn chính sách kết nạp chứng chỉ. Hãy sử
dụng giá trị mặc định (Active Directory Enrollment Policy) và kích Next.
Màn hình dưới đây sẽ yêu cầu bạn cung cấp kiểu chứng chỉ mà bạn muốn
yêu cầu. Chọn tùy chọn Computernhư thể hiện trong hình C và kích
nút Enroll.
Hình C: Chọn tùy chọn Computer và kích nút Enroll
Đăng ký máy chủ chính sách mạng
Máy chủ chính sách mạng đã được cung cấp chứng chỉ cần thiết, lúc này
chúng ta hãy đi đăng ký máy chủ trong cơ sở dữ liệu Active Directory. Để
thực hiện điều đó, hãy vào Administrative Tools và mở giao diện quản
lý Network Policy Server. Kích phải vào nút (NPS (Local)) và
chọn Register Server trong lệnh Active Directory từ menu chuột phải, xem
thể hiện trong hình D.
Hình D: Bạn phải đăng ký máy chủ chính sách mạng trong Active Directory
Khi đăng ký máy chủ trong Active Directory, bạn sẽ thấy thông báo xuất
hiện như trong hình E, đây là thông báo giải thích cho bạn biết rằng, để máy
chủ chính sách mạng được sử dụng cho mục đích xác thực thì nó phải được
phép đọc thuộc tính “dial in” của người dùng trong miền. Hộp thoại này sẽ
hỏi bạn có muốn cung cấp cho máy chủ chính sách mạng sự cho phép. Hãy
cấp phép và kích OK. Sau khi thực hiện xong bạn sẽ thấy một thông báo
như thể hiện trong hình F báo cho bạn biết rằng máy chủ chính sách hiện
được phép đọc các thuộc tính “dial in” của người dùng từ miền hiện có. Mặc
dù vậy, nếu cần xác thực người dùng từ các miền khác, máy chủ chính sách
mạng phải là thành viên miền của nhóm các máy chủ RAS / NPS cho các
miền đó.
Hình E: Máy chủ chính sách mạng phải có khả năng đọc thuộc tính “dial-in”
của người dùng từ Active Directory
Hình F: Máy chủ chính sách mạng chỉ được phép đọc các thuộc tính “dial-in
của người dùng từ miền hiện hành
Kết luận
Cho đến đây, chúng ta đã đăng ký được chính sách mạng bên trong Active
Directory và có thể bắt đầu việc cấu hình nó để xác thực truy cập không dây.
Chúng tôi sẽ giới thiệu cho các bạn quá trình đó trong phần tiếp theo của loạt
bài. Cũng trong phần tiếp theo đó, chúng ta sẽ đi cấu hình máy chủ chính
sách mạng để nó coi điểm truy cập không dây của bạn như một máy khách
RADIUS. Một phần của quá trình sẽ liên quan đến việc thiết lập các bí mật
được dùng chung bởi máy chủ chính sách mạng và điểm truy cập không dây.
