Triển khai bảo mật không dây WPA2-Enterprise trong doanh nghiệp nhỏ docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (177.24 KB, 6 trang )
Triển khai bảo mật không dây WPA2-Enterprise trong doanh nghiệp nhỏ
Quản trị mạng – Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn một số vấn đề
cần biết khi thiết lập bảo mật không dây WPA2-Enterprise. Các thông tin trong bài
bao giồm những mẹo giúp các bạn có thể hiểu, cài đặt và quản lý vấn đề bảo mật
không dây trong các doanh nghiệp nhỏ.
Khi thiết lập một mạng không dây, chắc chắn các bạn sẽ thấy có hai chế độ bảo mật
Wi-Fi Protected Access (WPA) khác nhau đó là WPA và WPA2.
Có thể nói chế độ Personal là chế độ dễ cài đặt nhất, đây là chế độ vẫn hay được gọi l
à
Pre-Shared Key (PSK). Nó không yêu cầu bất cứ thứ gì ngoài Router không dây, các
điểm truy cập AP và việc sử dụng mật khẩu cho tất cả người dùng hay thiết bị.
Một chế độ khác đó là Enterprise, đây là chế độ mà các doanh nghiệp và tổ chức nên
sử dụng, nó cũng được biết đến như RADIUS, 802.1X, 802.11i hoặc EAP. Chế độ n
ày
cung cấp giải pháp bảo mật hữu hiệu hơn, quản lý khóa tốt hơn và hỗ trợ các chức
năng doanh nghiệp khác như VLAN và NAP. Mặc dù vậy chế độ này yêu cầu cần có
thêm một máy chủ xác thực, Remote Authentication Dial In User Service (RADIUS)
server, để quản lý việc xác thực 802.1X của người dùng.
Trong bài này chúng tôi sẽ chia sẻ một số thông tin và mẹo nhằm giúp các bạn hiểu,
cài đặt và quản lý bảo mật không dây Enterprise trong doanh nghiệp nhỏ - thậm chí
điều hành mạng non-domain không cần Windows Server.
Các ưu điểm của chế độ Enterprise
Chế độ Enterprise cho phép người dùng đăng nhập vào mạng không dây bằng tên và
mật khẩu hay chứng chỉ số. Cả hai kiểu chứng chỉ đều có thể được thay đổi hoặc thu
hồi ở bất cứ thời điểm nào trên máy chủ khi thiết bị không dây bị mất hoặc bị đánh
cắp. Ngược lại khi sử dụng chế độ Personal, mật khẩu cần phải thay đổi một cách thủ
công trên tất cả các AP và thiết bị không dây.
Do chế độ Enterprise cung cấp cho người dùng một khóa mã hóa động và duy nhất
nên nó có thể ngăn chặn việc xem trộm thông tin giữa các người dùng trong mạng.
Khi sử dụng chế độ Personal, người dùng kết nối thành công có thể thấy lưu lượng
của người dùng khác – có thể là mật khẩu, email, hay các dữ liệu nhạy cảm khác.
Khóa động giúp tăng cường sức mạnh cho mã hóa WPA (TKIP) và WPA2 (AES).
Còn chế độ Personal dễ bị tiết lộ khóa hơn đối với các tấn công từ điển brute-force.
Điều này lý giải tạo sao khi sử dụng chế độ Personal thì việc tạo mật khẩu dài và ph
ức
tạp là điều rất quan trọng.
Các tùy chọn máy chủ
N
ếu doanh nghiệp nhỏ có Windows Server, bạn có thể sử dụng tính năng Internet
Authenticate Service (IAS) hoặc Network Policy Server (NPS) cho RADIUS server.
Mặc dù vậy còn có nhiều tùy chọn khác, một số phù hợp với việc thiếu domain:
Mua và sử dụng các AP có máy chủ RADIUS đi kèm. Ví dụ như HP
ProCurve 530 và ZyXEL NWA-3500 hoặc NWA3166. Nếu là một thiết lập
không dây đơn giản, bạn có thể chỉ cần sử dụng một máy chủ và nhiều AP
rẻ tiền để tăng độ bao phủ.
Tạo router/gateway riêng với RADIUS server đi kèm, chẳng hạn như
RouterOS hoặc Zeroshell. Vấn đề này thường bao gồm việc cài đặt phần
mềm vào máy chủ. Với các mạng ít quan trọng và nhỏ hơn, b
ạn có thể tái sử
dụng các máy tính cũ cho việc này.
Sử dụng dịch vụ, chẳng hạn như AuthenticateMyWiFi, để tiết kiệm thời
gian, kinh phí và các kiến thức cần thiết trong thiết lập máy chủ. Nó cũng
cung cấp sự hỗ trợ cấu hình máy khách và bảo đảm triển khai dễ dàng hơn
cơ chế bảo mật doanh nghiệp ở nhiều vị trí.
Sử dụng máy chủ miễn phí như TekRADIUS.
Sử dụng máy chủ mã nguồn mở và miễn phí như FreeRADIUS, s
ử dụng các
file văn bản thuần túy cho việc cấu hình và quản trị. Chủ yếu cho các máy
tính Linux/Unix nhưng cũng có thể chạy trên Windows.
Mua và sử dụng phần mềm máy chủ RADIUS như Elektron ($750) cho
Windows hoặc Mac OS X và ClearBox ($599) cho Windows.
Cấu hình máy khách
Ngoài vi
ệc điều hành máy chủ RADIUS, chế độ Enterprise còn yêu cầu một cấu hình
máy khách phức tạp hơn trên các máy tính và thiết bị không dây của người dùng. Chế
độ Personal chỉ yêu cầu nhập mật khẩu khi được nhắc nhở và có thể được thực hiện
bởi người dùng. Tuy nhiên với chế độ Enterprise, bạn cần phải cài đặt CA vào các
máy khách (cộng với các chứng chỉ cho người dùng nếu sử dụng EAP-
TLS) và sau đó
cấu hình thủ công thiết lập bảo mật không dây và xác thực 802.1X. Yêu cầu này r
ất có
ích cho các nhân viên CNTT trong việc cài đặt và khắc phục sự cố cấu hình máy
khách hoặc sử dụng tiện ích triển khai để trợ giúp.
N
ếu sử dụng Windows Server, bạn có thể phân bố các chứng chỉ và cấu hình thiết lập
từ xa và tập trung bằng cách sử dụng Group Policy, tối thiểu l
à các máy tính Windows
được join vào miền.
Với các mạng non-domain, bạn có thể sử dụng tiện ích miễn phí SU1X 802.1X hay
các sản phẩm thương mại như XpressConnect và Quick1X. Những tiện ích này sẽ cho
phép chỉ định hoặc capture các thiết lập bảo mật và xác thực cũng như tạo chương
trình cài đặt khách. Người dùng (thậm chí cả nhân viên CNTT) có thể thực thi ch
ương
trình, tự động hóa cấu hình c
ủa máy tính. Họ cũng có thể trợ giúp phân phối chứng chỉ
CA của máy chủ RADIUS. Một số tiện ích còn có thể thực hiện kiểm tra và những
thay đổi cấu hình không dây để hỗ trợ việc triển khai, ví dụ như vi
ệc gỡ bỏ profile cho
các SSID đang tồn tại và thiết lập sự ưu tiên cho profile.
Toàn bộ các bước
Để trợ giúp tốt hơn trong việc hiểu quá trình thiết lập WPA/WPA2-Enterprise và
802.1X, chúng tôi liệt kê thêm toàn bộ các bước cơ bản trong quá trình thiết lập:
1.
Chọn, cài đặt và cấu hình máy chủ RADIUS hoặc sử dụng dịch vụ.
2.
Tạo một CA để có thể phát hành và cài đặt chứng chỉ số trên máy chủ
RADIUS, chiêu thức này có thể được thực hiện như một phần của cài đặt v
à
cấu hình máy chủ RADIUS. Một cách làm khác là bạn có thể mua chứng
chỉ số từ CA công như GoDaddy hoặc Verisign để không phải cài đ
ặt chứng
chỉ máy chủ trên tất cả máy khách. Nếu sử dụng EAP-TLS, bạn cũng phải
tạo các chứng chỉ số cho mỗi người dùng.
3.
Trên máy chủ, định cư cơ sở dữ liệu máy khách RADIUS với địa chỉ IP và
bí mật chia sẻ cho mỗi AP.
4.
Trên máy chủ, định cư dữ liệu người dùng bằng tên và mật khẩu cho mỗi
người dùng.
5.
Trên mỗi AP, cấu hình bảo mật WPA/WPA2-Enterprise và nhập địa chỉ
máy IP của máy chủ RADIUS và bí mật chia sẻ đã được tạo cho AP cụ thể
đó.
6.
Trên mỗi máy tính và thiết bị không dây, cấu hình bảo mật WPA/WPA2-
Enterprise và cấu hình các thiết lập xác thực 802.1X.
Văn Linh (Theo Windowsnetworking)
