Cấu hình bảo mật với XpressConnect của Cloudpath Networks

Quản trị mạng - Chế độ Enterprise của mã hóa WPA/WPA2, cùng với nhận thực 802.1X, có thể bảo vệ mạng không dây của bạn với nhiều username và password thay vì một PSK hay một mật khẩu thiếu an toàn.

Mặc dù vậy chế độ này yêu cầu người dùng cần phải thực hiện nhiều thay đổi về mặt cấu hình. Các thiết bị máy khách phải được cấu hình với máy chủ và các chi tiết đăng nhập để kết nối với mạng. Đây là một vấn đề gây khó khăn cho cả người dùng và quản trị viên.

Sản phẩm: XpressConnect của Cloudpath Networks

Ưu điểm: Giao diện thông minh, khả năng tùy chỉnh, tài liệu cung cấp đầy đủ

Nhược điểm: Thiếu sự hỗ trợ cho EAP-TLS (các chứng chỉ phía trình khách)

Cloudpath Networks đã lên kế hoạch để thiết kế một chương trình giúp quá trình cấu hình và kết nối với các mạng 802.1X được dễ dàng, nhanh chóng và an toàn một cách có thể. Sản phẩm XpressConnect của hãng cho phép các quản trị viên có thể tạo một wizard để tự động cấu hình các thiết bị khách. Công ty này nói rằng sản phẩm của họ có thể giảm chi phí có liên quan với WPA-Enterprise, WPA2-Enterprise, hoặc mạng 802.1X một cách rõ dệt, trong khi đó vẫn cho cải thiện trải nghiệm người dùng.

Sau đây chúng tôi sẽ cùng các bạn đi xem xét xem liệu Cloudpath Networks có thành công và có thể cung cấp những gì như hứa hẹn của nó.

Như đề cập bên trên, XpressConnect cho phép các quản trị viên tạo một wizard để người dùng có thể chạy trên máy tính của họ (máy tính chạy Windows, Mac OS, hoặc Ubuntu Linux) hoặc iPhone để tự động hóa việc cấu hình các thiết lập mã hóa và nhận thực PEAP hoặc TTLS đối với mạng. Cũng có thể gồm các thiết lập có liên quan đến mạng khác có thể trợ giúp người dùng kết nối. Cả nhận thực không dây và nhận thực 802.1X chạy dây đều được hỗ trợ, ngoài WEP, còn có cả WPA/WPA2-PSK và truy cập không được bảo vệ.

Các quản trị viên đăng nhập vào Cloudpath Administrative Console để tạo và download giao diện XpressConnect. Họ có thể định nghĩa các chi tiết mạng và tùy chỉnh giao diện wizard thông qua giao diện web. Sau đó các quản trị viên có thể download wizard cuối cùng được đóng gói cho Web server hoặc cho cài đặt độc lập, chẳng hạn như trên CD hoặc USB flash. Các bộ cài đặt MSI có thể được tạo và các triển khai dựa trên GPO cũng được hỗ trợ.

Cuối cùng, người dùng có thể chạy wizard trên máy tính hoặc iPhone của họ và wizard này sẽ tự động tích các thiết lập, cấu hình mạng và kết nối với nó. Điều này cho phép những người dùng với ít kinh nghiệp có thể kết nối mà không cần sự hỗ trợ “một–một” từ bàn trợ giúp hoặc nhóm CNTT.

Một cài đặt lý tưởng là phải có một SSID không được bảo vệ hoặc một VLAN khách với một portal bị giữ để chuyển hướng (redirect) người dùng đến bộ cài đặt web, nơi XpressConnect wizard có thể cấu hình người dùng để có SSID an toàn và VLAN riêng.


Tạo XpressConnect wizard

Khi bạn, quản trị viên, đăng nhập vào Cloudpath Administrative Console (xem hình 1), bạn sẽ được chào đón bằng một sự hướng dẫn về cách XpressConnect làm việc như thế nào và một liên kết để download hướng dẫn sử dụng nhanh (Quick Start Guide).


Hình 1

Chúng ta hãy bắt đầu quá trình bằng cách định nghĩa các chi tiết mạng. Đầu tiên là Visual Settings. Ở đây bạn có thể thay đổi logo mặc định, ảnh, chữ và các thứ khác được hiển thị trong wizard. Sau đó có thể định nghĩa các thiết lập mạng có liên quan.

Đây không phải là một nhiệm vụ có thể thực hiện nhanh, nó là một quá trình toàn diện gồm có 12 bước. Quá trình này gồm có nhiều thiết lập khác nhau và có nhiều vấn đề về mạng cũng như cấu hình địa chỉ - một thứ tốt.

Hãy bắt đầu với những thứ cơ bản, SSID (tên mạng) và kiểu mã hóa/ nhận thực. Các thiết bị khách thậm chí có thể sử dụng các sản phẩm 802.1X của các hãng thứ ba. Bạn cũng có thể chỉ định hệ điều hành nào sẽ hỗ trợ. Thêm vào đó, có thể định địa chỉ để tránh xung đột giữa các SSID bằng cách đưa mạng của bạn lên top trên trong danh sách ưu tiên của máy khách, thiết lập SSID cụ thể để kết nối thủ công, hoặc xóa profile mạng cho một SSID nào đó.

Bạn có thể làm cho wizard cho phép hợp lệ hóa chứng chỉ bằng cách chọn Certificate Authority (CA) của máy chủ hoặc tự upload. Xem trong hình 2. Có thể định nghĩa tên máy chủ, thứ bạn bảo đảm chúng chỉ kết nối với RADIUS server của bạn. Thậm chí bạn còn có một wizard để kiểm tra đồng hồ hệ thống của người dùng, đây là thứ nếu sai có thể gây ra nhiều vấn đề với sự hợp lệ hóa chứng chỉ.


Hình 2

Một bonus được bổ sung mà bạn có thể tích và cho phép trên wizard nếu cần, Windows Auto Updates, Firewall, NAP,… Xem hình 3. Với Windows 7, bạn thậm chí có thể vô hiệu hóa Wireless Hosted Networks, đây là thành phần có thể gây ra rủi ro bảo mật đối với mạng của bạn.


Hình 3

Khi XpressConnect wizard cho phép người dùng của bạn kết nối, nó có thể mở trình duyệt web họ với URL mà bạn chọn. Bạn cũng có thể đặt một shortcut quay trở lại trên desktop của họ phòng khi họ muốn undo các thay đổi đối với wizard.

Chúng tôi thực hiện và tạo một mạng test ở đây trong văn phòng và phát hiện thấy các thiết lập được minh chứng tài liệu khá tốt. Mỗi một tùy chọn đều được mở rộng để xem thêm thông tin về nó. Các thiết lập và các tùy chọn bản thân chúng chỉ hiển thị XpressConnect phức tạp như thế nào.


Sử dụng XpressConnect wizard để cấu hình máy khách

Tiếp theo chúng ta sẽ test wizard để kiểm tra trải nghiệm người dùng. Đầu tiên, chúng ta hãy download một gói cài đặt độc lập, mở nén nó và đặt các file vào một CD. Sau đó vào máy tính Windows 7 và Windows XP.

Khi nhét đĩa CD vào, XpressConnect wizard sẽ tự động xuất hiện. Xem trong hình 4. Chúng ta nhập vào username và password cho mạng test 802.1X của mình và nhấn Continue. Chương trình đã hoạt động và thông báo cho biết là kết nối đã thành công. Nó thậm chí còn cho phép xem chính xác những thay đổi gì được thực hiện đối với máy tính và cho chúng ta một tùy chọn tạo một shortcut trở lại trên desktop. Không tốn hơn một phút để kết nối.


Hình 4

Chúng ta cũng đi test phương pháp tiển khai Web server. Hãy download một gói HTML, giải nén nó và upload các file lên máy chủ web. Khi bạn truy cập URL, nó sẽ download một chương trình Java Applet hay ActiveX, thứ gì đó giống với XpressConnect wizard khi thực hiện ở phương pháp độc lập. Trong thực hiện chúng tôi đã không gặp vấn đề gì, hệ thống đã làm việc như phương pháp trước.

Kết luận

Có thể nói XpressConnect là một sản phẩm vững chắc. Cloudpath Networks đã thực hiện được những gì như đã hứa. Giao diện thông minh của nó có thể giảm được thời gian và chi phí trong việc hỗ trợ mạng 802.1X. Thêm vào đó nó còn cho phép người dùng có thể sử dụng một cách thân thiện. Ngoài ra XpressConnect còn có khả năng tùy chỉnh, minh chứng tài liệu tuyệt vời.

Chỉ có một vấn đề mà ở đây là phần mềm không hỗ trợ EAP-TLS. XpressConnect chỉ làm việc với các thiết lập PEAP và TTLS, về vấn đề nhận thực 802.1X. Mặc dù vậy đây là một trong những thực thi phổ biến nhất ngày nay.

Thứ Sáu, 10/09/2010 15:46
31 👨 204
0 Bình luận
Sắp xếp theo