Quản trị mạng – Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một số tùy chọn bảo mật mạng không dây trong hệ điều hành Windows Server 2008.
Một trong những giải pháp tốt nhất có thể thực hiện để bảo mật mạng không dây là tránh kết nối các điểm truy cập không dây trực tiếp với các đoạn mạng riêng tư mang nhiều thông tin nhạy cảm. Tốt hơn hết nên coi mạng không dây là một mạng không an toàn và yêu cầu tất cả máy khách tự minh chứng bản thân chúng là tin cậy trước khi được phép truy cập tài nguyên mạng.
Phương thức này cũng giống như phương thức được sử dụng bởi máy chủ VPN. Các máy khách VPN kết nối với mạng thông qua Internet. Giống như một mạng không dây, Internet là môi trường không tin cậy, vì vậy các máy khách VPN phải được xác thực trước khi được phép truy cập tài nguyên mạng. Cho rằng cả VPN và mạng không dây đều yêu cầu người dùng thiết lập kết nối từ một môi trường không tin cậy, khi đó các kỹ thuật bảo mật các kết nối này sẽ hoàn toàn giống nhau.
Các tùy chọn bảo mật mạng không dây
Microsoft cung cấp hai tùy chọn chính để bảo mật các mạng không dây (bên cạnh đó cũng có các giải pháp của các hãng thứ ba). Tùy chọn thứ nhất là xác thực các kết nối không dây bằng PEAP-MS_CHAP v2 (trong bài chúng tôi dùng PEAP để đơn giản) và tùy chọn khác là sử dụng EAP-TLS.
Sự khác biệt chủ yếu giữa hai phương pháp xác thực này là, phương pháp PEAP cho phép xác thực thông qua việc sử dụng mật khẩu. Trong khi đó phương pháp EAP-TLS sử dụng các chứng chỉ số. Các chứng chỉ số này có thể tồn tại trên thẻ thông minh, hoặc có thể được phát hành trực tiếp đến máy khách Windows bởi Enterprise Certificate Authority.
Nói chung, PEAP phù hợp hơn với các tổ chức có kích thước nhỏ và trung bình vì nó đơn giản trong triển khai cũng như giá thành chi phí thấp. EAP-TLS thường được sử dụng trong các mô trường doanh nghiệp lớn, tuy nhiên cũng có thể được sử dụng trong các tổ chức nhỏ hơn. Cả hai phương pháp đều thực hiện tốt việc điều khiển truy cập mạng không dây và cả hai đều cho phép bạn quản lý tập trung bảo mật các máy khách.
Triển khai CA doanh nghiệp
Không quan tâm đến việc bạn sử dụng PEAP hay EAP-TLS để xác thực lưu lượng không dây, quá trình xác thực đều phụ thuộc vào việc sử dụng các chứng chỉ số. Trong trường hợp sử dụng PEAP, bạn có thể triển khai Enterprise Certificate Authority hoặc có thể mua chứng chỉ từ một CA thương mại như VeriSign hoặc Go Daddy. Nếu sử dụng EAP-TLS, bạn sẽ cần phải có một CA doanh nghiệp vì việc xác thực máy khách sẽ dựa trên việc sử dụng các chứng chỉ chứ không phải mật khẩu, thêm vào đó bạn phải khả năng phát hành các chứng chỉ cần thiết cho máy khách.
Do cả hai thiết kế đều có thể sử dụng CA doanh nghiệp nên chúng tôi sẽ giới thiệu cho cách triển khai và cấu hình CA doanh nghiệp của riêng bạn.
Một số lưu ý
Trước khi bắt đầu, chúng tôi muốn cung cấp cho các bạn một số lưu ý. Đầu tiên đó là, cả hai thiết kế mà chúng tôi sẽ giới thiệu đều yêu cầu bạn phải có một Active Directory. Các thiết kế này sẽ không làm việc nếu mạng của bạn là mạng workgroup.
Một vấn đề khác là, chúng tôi sẽ cài đặt CA doanh nghiệp vào một máy tính domain controller chạy Windows Server 2008 R2. Khi CA doanh nghiệp được cài đặt xong, bạn sẽ không thể đặt lại tên của domain controller.
Các bạn cũng phải nỗ lực để gia cố thêm máy chủ làm CA doanh nghiệp. Cần nhớ rằng, nếu có ai đó thỏa hiệp CA thì về cơ bản người này sẽ sở hữu được mạng của bạn. Việc gia cố thêm máy chủ nằm ngoài phạm vi của loạt bài này, tuy nhiên nơi bạn có thể thực hiện việc đó là chạy Security Configuration Wizard của Microsoft.
Vấn đề quan trọng nhất là bạn phải backup CA thường xuyên. Nếu máy chủ bị lỗi, toàn bộ quá trình xác thực của bạn sẽ bị đổ vỡ.
Quá trình triển khai
Bắt đầu quá trình bằng việc mở Server Manager và chọn mục Roles. Kích liên kết Add Roles, khi đó Windows sẽ khởi chạy Add Roles Wizard. Kích Next để băng qua màn hình chào của wizard, sau đó bạn sẽ thấy màn hình hỏi bạn muốn cài đặt role nào. Chọn Active Directory Certificate Services role như hiển thị trong hình A và kích Next để tiếp tục.
Hình A: Chọn Active Directory Certificate Services role
Bạn sẽ thấy màn hình giới thiệu Active Directory Certificate Services. Kích Next, Windows sẽ hỏi bạn về thành phần mà bạn muốn cài đặt. Lúc này, hãy chọn các tùy chọn Certification Authority và Certification Authority Web Enrollment. Phụ thuộc vào cách cấu hình máy chủ mà bạn sẽ thấy thông báo chỉ thị cần cài đặt một số dịch vụ role bổ sung. Nếu nhận được thông báo này, hãy kích nút Add Required Role Services.
Kích Next, Windows sẽ hỏi bạn muốn tạo Standalone Certificate Authority hay Enterprise Certificate Authority. Hãy chọn tùy chọn Enterprise và kích Next.
Lúc này bạn sẽ thấy một thông báo hỏi bạn muốn tạo Root CA hay Subordinate CA. Do đây là CA đầu tiên nên bạn phải chọn tùy chọn Root CA như thể hiện trong hình B bên dưới.
Hình B: Chọn tùy chọn Root CA và kích Next.
Màn hình tiếp theo sẽ hỏi bạn có muốn tạo khóa mới hay không hay muốn sử dụng khóa cũ hiện có. Do đây là một triển khai mới hoàn toàn nên chúng ta hãy tạo một khóa mới.
Kích Next, Windows sẽ yêu cầu bạn cấu hình các thiết lập mã hóa cho CA. Kích Next để chấp nhận các gia trị mặc định.
Lúc này bạn sẽ được nhắc nhở cung cấp tên cho CA. Mặc dù bạn có thể sử dụng các giá trị mặc định nhưng cách tốt nhất là chúng ta nên thay thành tên dễ nhớ. Cho ví dụ, bạn có thể thấy trong hình C chúng tôi đã đặt tên cho CA của mình là Lab2-CA.
Hình C: Nên chọn tên dễ nhớ
Kích Next, bạn sẽ thấy nhắc nhở chọn thời gian hiệu lực cho các chứng chỉ được phát hành bởi CA. Giá trị mặc định là 5 năm, tuy nhiên bạn có thể điều chỉnh tham số này nếu muốn.
Kích Next, Windows sẽ yêu cầu bạn chọn vị trí cho cơ sở dữ liệu chứng chỉ. Cần lưu ý như những gì chúng tôi đề cập ở trên là tầm quan trọng trong việc bảo vệ kho chứa chứng chỉ. Việc nên làm ở đây là chọn một vị trí nào đó tồn tại mảng tự động chuyển đổi dự phòng nếu có thể.
Phụ thuộc vào việc bạn có bị yêu cầu thêm dịch vụ IIS role vào máy chủ hay không, màn hình tiếp theo mà bạn thấy có thể sẽ là một giới thiệu của IIS. Kích Next để chuyển sang màn hình tiếp theo.
Lúc này bạn sẽ thấy một màn hình hỏi có muốn cài đặt các dịch vụ role bổ sung hay không. Do Windows sẽ tự động chọn tất cả các dịch vụ role được yêu cầu, vì vậy bạn không cần phải bổ sung thêm bất cứ dịch vụ nào mà chỉ cần kích Next để tiếp tục.
Sau đó bạn sẽ thấy màn hình tóm tắt các tùy chọn cấu hình đã chọn, như thể hiện trong hình D. Hãy thẩm định lại mọi thông tin xuất hiện có đúng hay không, sau đó kích Install. Khi quá trình cài đặt hoàn tất, kích Close.
Hình D: Đọc qua bảng tóm tắt cấu hình để bảo đảm mọi thứ chính xác
Kết luận
Cho đến đây, chúng tôi đã giới thiệu cho các bạn cách triển khai một CA doanh nghiệp, đây là lúc chúng ta có thể bắt đầu xây dựng phần còn lại của cơ sở hạ tầng cần thiết cho việc bảo mật mạng không dây. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách thực thi bảo mật dựa trên PEAP.