Bảo mật lưu lượng mạng không dây – Phần 5
Quản trị mạng – Trong phần tiếp theo của loạt bài này, chúng tôi s
ẽ giới thiệu
cho các bạn một số tùy chọn bảo mật mạng không dây trong hệ điều h
ành
Windows Server 2008.
Một trong những giải pháp tốt nhất có thể th
ực hiện để bảo mật mạng không
dây là tránh k
ết nối các điểm truy cập không dây trực tiếp với các đoạn mạng
riêng tư mang nhiều thông tin nhạy cảm. Tốt hơn hết nên coi m
ạng không dây
là một mạng không an toàn và yêu c
ầu tất cả máy khách tự minh chứng bản
thân chúng là tin cậy trước khi được phép truy cập tài nguyên mạng.
Phương thức này cũng giống như phương thức đư
ợc sử dụng bởi máy chủ
VPN. Các máy khách VPN kết nối với mạng thông qua Internet. Giống nh
ư
một mạng không dây, Internet là môi trường không tin cậy, vì v
ậy các máy
khách VPN phải được xác thực trước khi được phép truy cập tài nguyên m
ạng.
Cho rằng cả VPN và mạng không dây đều yêu cầu người dùng thi
ết lập kết nối
từ một môi trường không tin cậy, khi đó các kỹ thuật bảo mật các kết nối n
ày
sẽ hoàn toàn giống nhau.
Các tùy chọn bảo mật mạng không dây
Microsoft cung cấp hai tùy chọn chính để bảo mật các mạng không dây (b
ên

cạnh đó cũng có các giải pháp của các hãng thứ ba). Tùy chọn thứ nhất l
à xác
thực các kết nối không dây bằng PEAP-MS_CHAP v2 (tron
g bài chúng tôi
dùng PEAP để đơn giản) và tùy chọn khác là sử dụng EAP-TLS.
Sự khác biệt chủ yếu giữa hai phương pháp xác thực n
ày là, phương pháp
PEAP cho phép xác th
ực thông qua việc sử dụng mật khẩu. Trong khi đó
phương pháp EAP-TLS sử dụng các chứng chỉ số. Các chứng chỉ số này có th
ể
tồn tại trên thẻ thông minh, hoặc có thể được phát hành tr
ực tiếp đến máy
khách Windows bởi Enterprise Certificate Authority.
Nói chung, PEAP phù h
ợp hơn với các tổ chức có kích thước nhỏ v
à trung bình
vì nó đơn giản trong triển khai cũng như giá thành chi phí thấp. EAP-
TLS
thường được sử dụng trong các mô trường doanh nghiệp lớn, tuy nhiên c
ũng có
thể được sử dụng trong các tổ chức nhỏ hơn. Cả hai phương pháp đ
ều thực
hiện tốt việc điều khiển truy cập mạng không dây và cả hai đ
ều cho phép bạn
quản lý tập trung bảo mật các máy khách.
Triển khai CA doanh nghiệp
Không quan tâm đến việc bạn sử dụng PEAP hay EAP-TLS để xác thực l
ưu
lượng không dây, quá trình xác thực đều phụ thuộc vào vi

ệc sử dụng các chứng
chỉ số. Trong trường h
ợp sử dụng PEAP, bạn có thể triển khai Enterprise
Certificate Authority hoặc có thể mua chứng chỉ từ một CA thương mại nh
ư
VeriSign hoặc Go Daddy. Nếu sử dụng EAP-TLS, b
ạn sẽ cần phải có một CA
doanh nghiệp vì việc xác thực máy khách sẽ dựa trên việc sử d
ụng các chứng
chỉ chứ không phải mật khẩu, thêm vào đó bạn phải khả năng phát h
ành các
chứng chỉ cần thiết cho máy khách.
Do cả hai thiết kế đều có thể sử dụng CA doanh nghiệp nên chúng tôi s
ẽ giới
thiệu cho cách triển khai và cấu hình CA doanh nghiệp của riêng bạn.
Một số lưu ý
Trước khi bắt đầu, chúng tôi muốn cung cấp cho các bạn một số lưu ý. Đ
ầu
tiên đó là, cả hai thiết kế mà chúng tôi sẽ giới thiệu đều yêu c
ầu bạn phải có
một Active Directory. Các thiết kế này sẽ không làm việc nếu mạng của bạn l
à
mạng workgroup.
Một vấn đề khác là, chúng tôi sẽ cài đặt CA doanh nghiệp vào m
ột máy tính
domain controller chạy Windows Server 2008 R2. Khi CA doanh nghiệp đư
ợc
cài đặt xong, bạn sẽ không thể đặt lại tên của domain controller.
Các bạn cũng phải nỗ lực để gia cố thêm máy chủ làm CA doanh nghi
ệp. Cần

nhớ rằng, nếu có ai đó thỏa hiệp CA thì về cơ bản người này sẽ sở hữu đư
ợc
mạng của bạn. Việc gia cố thêm máy chủ nằm ngoài phạm vi của loạt b
ài này,
tuy nhiên nơi bạn có thể thực hiện việc đó là ch
ạy Security Configuration
Wizard của Microsoft.
Vấn đề quan trọng nhất là bạn phải backup CA thường xuyên. N
ếu máy chủ bị
lỗi, toàn bộ quá trình xác thực của bạn sẽ bị đổ vỡ.
Quá trình triển khai
Bắt đầu quá trình bằng việc mở Server Manager và chọn mục Roles. Kích li
ên
k
ết Add Roles, khi đó Windows sẽ khởi chạy Add Roles Wizard. Kích Next để
băng qua màn hình chào của wizard, sau đó bạn sẽ thấy màn hình h
ỏi bạn
muốn cài đặt role nào. Chọn Active Directory Certificate Services ro
le như
hiển thị trong hình A và kích Next để tiếp tục.

Hình A: Chọn Active Directory Certificate Services role
Bạn sẽ thấy màn hình gi
ới thiệu Active Directory Certificate Services. Kích
Next, Windows s
ẽ hỏi bạn về thành phần mà bạn muốn cài đặt. Lúc này
, hãy
chọn các tùy chọn Certification Authority v
à Certification Authority Web
Enrollment. Phụ thuộc vào cách cấu hình máy chủ mà b

ạn sẽ thấy thông báo
chỉ thị cần cài đặt một số dịch vụ role bổ sung. Nếu nhận được thông báo n
ày,
hãy kích nút Add Required Role Services.
Kích Next, Windows s
ẽ hỏi bạn muốn tạo Standalone Certificate Authority hay
Enterprise Certificate Authority. Hãy chọn tùy chọn Enterprise và kích Next.
Lúc này b
ạn sẽ thấy một thông báo hỏi bạn muốn tạo Root CA hay
Subordinate CA. Do đây là CA đầu tiên nên bạn phải chọn tùy ch
ọn Root CA
như thể hiện trong hình B bên dưới.

Hình B: Chọn tùy chọn Root CA và kích Next.
Màn hình ti
ếp theo sẽ hỏi bạn có muốn tạo khóa mới hay không hay muốn sử
dụng khóa cũ hiện có. Do đây là một triển khai mới ho
àn toàn nên chúng ta
hãy tạo một khóa mới.
Kích Next, Windows sẽ yêu cầu bạn cấu hình các thiết lập m
ã hóa cho CA.
Kích Next để chấp nhận các gia trị mặc định.
Lúc này bạn sẽ được nhắc nhở cung cấp tên cho CA. Mặc dù b
ạn có thể sử
dụng các giá trị mặc định nhưng cách tốt nhất là chúng ta nên thay thành tên d
ễ
nhớ. Cho ví dụ, bạn có thể thấy trong hình C chúng tôi đã đặt tên cho CA c
ủa
mình là Lab2-CA.


Hình C: Nên chọn tên dễ nhớ
Kích Next, b
ạn sẽ thấy nhắc nhở chọn thời gian hiệu lực cho các chứng chỉ
được phát hành bởi CA. Giá trị mặc định là 5 năm, tuy nhiên b
ạn có thể điều
chỉnh tham số này nếu muốn.
Kích Next, Windows sẽ yêu cầu bạn chọn vị trí cho cơ s
ở dữ liệu chứng chỉ.
Cần lưu ý như những gì chúng tôi đề cập ở trên là t
ầm quan trọng trong việc
bảo vệ kho chứa chứng chỉ. Việc nên làm ở đây là chọn một vị trí nào đó t
ồn
tại mảng tự động chuyển đổi dự phòng nếu có thể.
Phụ thuộc vào việc bạn có bị yêu cầu thêm dịch vụ IIS role vào máy ch
ủ hay
không, màn hình tiếp theo mà bạn thấy có thể sẽ là một giới thi
ệu của IIS. Kích
Next đ
ể chuyển sang màn hình tiếp theo.
Lúc này bạn sẽ thấy một màn hình hỏi có muốn cài đ
ặt các dịch vụ role bổ
sung hay không. Do Windows sẽ tự động chọn tất cả các dịch vụ role được y
êu
cầu, vì vậy bạn không cần phải bổ sung thêm bất cứ dịch vụ nào mà ch
ỉ cần
kích Next để tiếp tục.
Sau đó bạn sẽ thấy màn hình tóm tắt các tùy chọn cấu hình đã chọn, như th
ể
hiện trong hình D. Hãy th
ẩm định lại mọi thông tin xuất hiện có đúng hay

không, sau đó kích Install. Khi quá trình cài đặt hoàn tất, kích Close.

Hình D: Đọc qua bảng tóm tắt cấu hình để bảo đảm mọi thứ chính xác
Kết luận
Cho đến đây, chúng tôi đã gi
ới thiệu cho các bạn cách triển khai một CA doanh
nghiệp, đây là lúc chúng ta có thể bắt đầu xây dựng phần còn lại của cơ s
ở hạ
tầng cần thi
ết cho việc bảo mật mạng không dây. Trong phần tiếp theo của loạt
bài này, chúng tôi sẽ giới thiệu cho các bạn cách thực thi bảo mật dựa tr
ên
PEAP.

Văn Linh (Theo Windowsnetworking)