Hướng dẫn sử dụng FreeRADIUS để thẩm định Wi-Fi – Phần 2

Hướng dẫn sử dụng FreeRADIUS để thẩm định Wi-Fi – Phần 1

Quản trị mạng – Trong phần một của loạt bài này chúng tôi đã giới thiệu cho các bạn cách cài đặt FreeRADIUS để thực hiện thẩm định 802.1 X/PEAP, với mục đích để chạy mã hóa WPA hoặc WPA2 Enterprise trên mạng Wi-Fi. Chúng ta đã load một PC với hệ điều hành CentOS 5.3 và đã cài đặt FreeRADIUS phiên bản 2.1.6. Thêm vào đó chúng ta đã tạo một số tài khoản người dùng và đã nhập vào một số thông tin chi tiết của AP.

Trong phần hai này, chúng tôi sẽ giới thiệu cho các bạn cách mở tường lửa CentOS và cấu hình các điểm truy cập (AP). Sau đó sẽ là phân phối file CA đến tất cả các máy tính và cấu hình chúng với các thiết lập thẩm định và mã hóa. Cuối cùng là thiết lập SQL để bạn có thể lưu trữ các thông tin AP và thông tin người dùng trong một cơ sở dữ liệu thay vì các file văn bản.

Mở tường lửa

CentOS có tường lửa đính kèm được kích hoạt một cách mặc định. Để lưu lượng RADIUS đến được FreeRADIUS, bạn phải mở các cổng mà nó sử dụng. Kích System > Administration > Security Level and Firewall. Sau đó kích mũi tên để mở rộng phần Other Ports. Thêm các cổng UDP 1812 và 1813 sau đó kích Apply.

Khởi động lại máy chủ để load các thiết lập mới

Nếu bạn thực hiện những thay đổi về cấu hình trong khi FreeRADIUS đang hoạt động, khi đó bạn phải khởi động lại máy chủ để những thay đổi của bạn có hiệu lực. Để stop máy chủ, hãy vào cửa sổ terminal và nhấn Ctrl + C. Sau đó đánh '/usr/sbin/radiusd -X' lần nữa (hoặc nhấn phím mũi tên hướng lên) để bắt đầu quá trình khởi động lại. Nếu bạn đang mở một cửa sổ terminal mới, bạn phải đánh 'su' trước để chạy ở chế độ root.

Lúc này máy chủ sẽ chạy và chuẩn bị chấp nhận các yêu cầu thẩm định từ phía người dùng Wi-Fi.

Khi mạng mã hóa của bạn hoạt động, bạn có thể bỏ qua '–X' để bắt đầu FreeRADIUS mà không cần việc gỡ rối. Máy chủ sẽ làm việc trong chế độ background và bạn có thể tham chiếu đến các file bản ghi và việc giải thích dữ liệu.

Cấu hình các AP

Đây cũng là lúc bạn có thể cấu hình các AP. Sau khi thiết lập chúng để sử dụng mã hóa WPA (TKIP) hay WPA2 (AES) Enterprise, bạn phải nhập vào các thiết lập RADIUS. Những thiết lập này bao gồm địa chỉ IP của máy FreeRADIUS, cổng (1812), và những bí mật mà bạn đã định nghĩa cho AP nào đó. Hầu hết các AP đều hỗ trợ việc giải thích để lưu các thông tin session. Nếu bạn cần giải thích, bạn phải nhập vào các thông tin chi tiết tương tự của máy chủ với cổng 1813.

Cài đặt file CA trên tất cả các máy tính

Mặc dù giao thức thẩm định PEAP không yêu cầu các chứng chỉ máy khách, tuy nhiên bạn vẫn phải cài đặt một chứng chỉ cho Certificate Authority (CA) trên mỗi một máy tính. Điều này là vì chúng ta sẽ sử dụng chứng chỉ tự ký cho máy chủ thay cho việc mua một chứng chỉ đã ký từ một CA mà Windows có thể nhận diện, chẳng hạn như VeriSign hoặc GoDaddy.

Bạn cần copy file etc/raddb/certs/ca.dervào tất cả các máy tính. Bạn có thể copy nó vào ổ USB và thực hiện paste vào mỗi một máy tính. Để copy, bạn hãy mở một terminal mới và đánh "su" để vào chế độ root, hoặc sử dụng một chế độ đang tồn tại nào đó, và chạy một lệnh copy, chẳng hạn như "cp /etc/raddb/certs/ca.der /newlocation/certs".

Mẹo: Để tìm ra đường dẫn đến thiết bị, chẳng hạn như USB, kích Places > Computer, mở thiết bị và kích chuột phải vào bất cứ file nào trên thiết bị đó, sau đó chọn Properties và copy lấy giá trị Location.

Lúc này, trên mỗi máy tính Windows, kích chuột phải vào file chứng chỉ và chọn Install Certificate. Sau đó đặt nó vào kho lưu trữ Trusted Root Certification Authorities. Trên hộp thoại xác nhận, chọn Yes để cài đặt.

Cấu hình các máy tính với các thiết lập thẩm định và mã hóa

Trên các mạng WEP và WPA/WPA2-personal, bạn chỉ chọn mạng và sẽ được nhắc nhở về key. Mặc dù việc kết nối đến các mạng mã hóa doanh nghiệp gặp nhiều phức tạp trong việc cấu hình hơn nhưng khi đã cấu hình, bạn có thể kết nối một cách đơn giản với mạng bằng cách nhập vào username và password, thậm chí bạn có thể lưu những thông tin này để không phải nhập nó nhiều lần.

Nếu chưa có một profile nào không tồn tại trong mạng, bạn cần tạo một profile mới. Sau đó cấu hình các thiết lập. Nhớ rằng, bạn đang sử dụng mã hóa WPA (TKIP) hoặc WPA2 (AES) Enterprise với thẩm định PEAP. Trong hộp thoại các thuộc tính của PEAP, bạn cần chọn để hợp lệ hóa chứng chỉ máy chủ và chọn chứng chỉ mình đã import. Thêm vào đó bạn có thể nhập địa chỉ IP của máy chủ để sử dụng khi hợp lệ hóa. Sau đó bảo đảm rằng bạn sử dụng phương pháp Password (EAP-MSCHAP v2). Kích nút Configure để bảo đảm thiết lập (Automatically use my Windows logon name and password) trên hộp thoại không được kiểm.

Cần lưu ý rằng, lần đầu bạn kết nối mạng, hộp thoại Validate Server Certificate sẽ xuất hiện, đôi khi nó có thể ẩn đằng sau các cửa sổ khác. Khi đó hãy kích Ok để chấp nhận chứng chỉ và tiếp tục kết nối.

Thiết lập SQL cho người dùng và tra cứu AP

Nếu bạn có một số lượng lớn người dùng và các AP, hoặc bạn thay đổi các thông tin chi tiết của họ hay của các AP một cách thường xuyên, khi đó bạn có thể sử dụng một cơ sở dữ liệu để lưu các thông tin thay cho các file văn bản. Bạn có thể cài đặt và cấu hình máy chủ của mình hoặc sử dụng một máy chủ được host trước, chẳng hạn từ một nhà cung cấp website. Bằng cách nào trong hai cách trên, bạn cũng phải cài đặt gói phần mềm FreeRADIUS MySQL (freeradius2-mysql).

Lúc này bạn cần load cấu trúc cơ sở dữ liệu mặc định vào máy chủ cơ sở dữ liệu. Nếu đang chạy máy chủ của bạn trong CentOS, bạn hãy chạy lệnh "mysql -uroot -prootpass radius < /etc/raddb/sql/mysql/schema.sql" từ một Terminal. Nếu sử dụng một máy chủ từ xa hoăc máy chủ được host từ một nhà cung cấp, khi đó bạn hãy chạy "gedit" với một root Terminal và sử dụng Text Editor để mở etc/raddb/sql/mysql/schema.sql. Sau đó copy và paste các lệnh SQL vào máy chủ để chạy chúng.

Nếu bạn muốn sử dụng SQL cho các thông tin chi tiết của AP, hãy load file etc/raddb/sql/mysql/nas.sql vào cơ sở dữ liệu của bạn.

Bạn cần chỉnh sửa các file cấu hình FreeRADIUS để mách bảo máy chủ sử dụng SQL. Từ root Text Editor,, mở etc/raddb/radiusd.conf và không comment dòng "$INCLUDE sql.conf". Mở etc/raddb/sites-enabled/inner-tunnel và không comment "sql" từ phần Authorize. Lúc này FreeRADIUS sẽ sử dụng các file và SQL.

Bạn cần cung cấp cho FreeRADIUS kết nối cơ sở dữ liệu và các thông tin chi tiết về đăng nhập. Từ trình soạn thảo gốc, mở etc/raddb/sql.conf. Sau đó bảo đảm cho database = 'mysql'. Nếu đang sử dụng một cơ sở dữ liệu từ xa hoặc một cơ sở dữ liệu được cấu hình sẵn, hãy nhập vào địa chỉ máy chủ. Bảo đảm bạn nhập vào Username và Password cho máy chủ của mình. Với giá trị radius_db value, nhập vào tên cơ sở dữ liệu. Nếu đang sử dụng SQL cho các thông tin chi tiết của AP, không comment "readclients = yes".

Cuối cùng, chèn các hàng vào bảng để định nghĩa các tài khoản người dùng. Định dạng tương tự như định dạng đối với file người dùng:

username attribute op value
egeier Cleartext-Password := pass123

Đây là một ví dụ về những gì bạn có thể chèn vào bảng cho các thông tin về AP nếu đã kích hoạt nó:

nasname shortname type secret
192.168.0.1 private-network-1 other testing123

Khắc phục sự cố

Cần lưu ý rằng trong khi thiết lập máy chủ hoặc sau khi tạo những thay đổi, hãy sử dụng chế độ gỡ rối để thấy được hành động của máy chủ. Nếu bạn gặp phải các vấn đề về đăng nhập hoặc kết nối, hãy kiểm tra một cách cẩn thận và phần gỡ rối và phân tích những thay đổi được thực hiện gần đây.