Triển khai bảo mật không dây WPA2-Enterprise trong doanh nghiệp nhỏ

Quản trị mạngTrong bài viết này chúng tôi sẽ giới thiệu cho các bạn một số vấn đề cần biết khi thiết lập bảo mật không dây WPA2-Enterprise. Các thông tin trong bài bao giồm những mẹo giúp các bạn có thể hiểu, cài đặt và quản lý vấn đề bảo mật không dây trong các doanh nghiệp nhỏ.

Khi thiết lập một mạng không dây, chắc chắn các bạn sẽ thấy có hai chế độ bảo mật Wi-Fi Protected Access (WPA) khác nhau đó là WPA và WPA2.

Có thể nói chế độ Personal là chế độ dễ cài đặt nhất, đây là chế độ vẫn hay được gọi là Pre-Shared Key (PSK). Nó không yêu cầu bất cứ thứ gì ngoài Router không dây, các điểm truy cập AP và việc sử dụng mật khẩu cho tất cả người dùng hay thiết bị.

Một chế độ khác đó là Enterprise, đây là chế độ mà các doanh nghiệp và tổ chức nên sử dụng, nó cũng được biết đến như RADIUS, 802.1X, 802.11i hoặc EAP. Chế độ này cung cấp giải pháp bảo mật hữu hiệu hơn, quản lý khóa tốt hơn và hỗ trợ các chức năng doanh nghiệp khác như VLAN và NAP. Mặc dù vậy chế độ này yêu cầu cần có thêm một máy chủ xác thực, Remote Authentication Dial In User Service (RADIUS) server, để quản lý việc xác thực 802.1X của người dùng.

Trong bài này chúng tôi sẽ chia sẻ một số thông tin và mẹo nhằm giúp các bạn hiểu, cài đặt và quản lý bảo mật không dây Enterprise trong doanh nghiệp nhỏ - thậm chí điều hành mạng non-domain không cần Windows Server.

Các ưu điểm của chế độ Enterprise

Chế độ Enterprise cho phép người dùng đăng nhập vào mạng không dây bằng tên và mật khẩu hay chứng chỉ số. Cả hai kiểu chứng chỉ đều có thể được thay đổi hoặc thu hồi ở bất cứ thời điểm nào trên máy chủ khi thiết bị không dây bị mất hoặc bị đánh cắp. Ngược lại khi sử dụng chế độ Personal, mật khẩu cần phải thay đổi một cách thủ công trên tất cả các AP và thiết bị không dây.

Do chế độ Enterprise cung cấp cho người dùng một khóa mã hóa động và duy nhất nên nó có thể ngăn chặn việc xem trộm thông tin giữa các người dùng trong mạng. Khi sử dụng chế độ Personal, người dùng kết nối thành công có thể thấy lưu lượng của người dùng khác – có thể là mật khẩu, email, hay các dữ liệu nhạy cảm khác.

Khóa động giúp tăng cường sức mạnh cho mã hóa WPA (TKIP) và WPA2 (AES). Còn chế độ Personal dễ bị tiết lộ khóa hơn đối với các tấn công từ điển brute-force. Điều này lý giải tạo sao khi sử dụng chế độ Personal thì việc tạo mật khẩu dài và phức tạp là điều rất quan trọng.

Các tùy chọn máy chủ

Nếu doanh nghiệp nhỏ có Windows Server, bạn có thể sử dụng tính năng Internet Authenticate Service (IAS) hoặc Network Policy Server (NPS) cho RADIUS server.

Mặc dù vậy còn có nhiều tùy chọn khác, một số phù hợp với việc thiếu domain:

  • Mua và sử dụng các AP có máy chủ RADIUS đi kèm. Ví dụ như HP ProCurve 530 và ZyXEL NWA-3500 hoặc NWA3166. Nếu là một thiết lập không dây đơn giản, bạn có thể chỉ cần sử dụng một máy chủ và nhiều AP rẻ tiền để tăng độ bao phủ.
  • Tạo router/gateway riêng với RADIUS server đi kèm, chẳng hạn như RouterOS hoặc Zeroshell. Vấn đề này thường bao gồm việc cài đặt phần mềm vào máy chủ. Với các mạng ít quan trọng và nhỏ hơn, bạn có thể tái sử dụng các máy tính cũ cho việc này.
  • Sử dụng dịch vụ, chẳng hạn như AuthenticateMyWiFi, để tiết kiệm thời gian, kinh phí và các kiến thức cần thiết trong thiết lập máy chủ. Nó cũng cung cấp sự hỗ trợ cấu hình máy khách và bảo đảm triển khai dễ dàng hơn cơ chế bảo mật doanh nghiệp ở nhiều vị trí.
  • Sử dụng máy chủ miễn phí như TekRADIUS.
  • Sử dụng máy chủ mã nguồn mở và miễn phí như FreeRADIUS, sử dụng các file văn bản thuần túy cho việc cấu hình và quản trị. Chủ yếu cho các máy tính Linux/Unix nhưng cũng có thể chạy trên Windows.
  • Mua và sử dụng phần mềm máy chủ RADIUS như Elektron ($750) cho Windows hoặc Mac OS X và ClearBox ($599) cho Windows.

Cấu hình máy khách

Ngoài việc điều hành máy chủ RADIUS, chế độ Enterprise còn yêu cầu một cấu hình máy khách phức tạp hơn trên các máy tính và thiết bị không dây của người dùng. Chế độ Personal chỉ yêu cầu nhập mật khẩu khi được nhắc nhở và có thể được thực hiện bởi người dùng. Tuy nhiên với chế độ Enterprise, bạn cần phải cài đặt CA vào các máy khách (cộng với các chứng chỉ cho người dùng nếu sử dụng EAP-TLS) và sau đó cấu hình thủ công thiết lập bảo mật không dây và xác thực 802.1X. Yêu cầu này rất có ích cho các nhân viên CNTT trong việc cài đặt và khắc phục sự cố cấu hình máy khách hoặc sử dụng tiện ích triển khai để trợ giúp.

Nếu sử dụng Windows Server, bạn có thể phân bố các chứng chỉ và cấu hình thiết lập từ xa và tập trung bằng cách sử dụng Group Policy, tối thiểu là các máy tính Windows được join vào miền.

Với các mạng non-domain, bạn có thể sử dụng tiện ích miễn phí SU1X 802.1X hay các sản phẩm thương mại như XpressConnectQuick1X. Những tiện ích này sẽ cho phép chỉ định hoặc capture các thiết lập bảo mật và xác thực cũng như tạo chương trình cài đặt khách. Người dùng (thậm chí cả nhân viên CNTT) có thể thực thi chương trình, tự động hóa cấu hình của máy tính. Họ cũng có thể trợ giúp phân phối chứng chỉ CA của máy chủ RADIUS. Một số tiện ích còn có thể thực hiện kiểm tra và những thay đổi cấu hình không dây để hỗ trợ việc triển khai, ví dụ như việc gỡ bỏ profile cho các SSID đang tồn tại và thiết lập sự ưu tiên cho profile.

Toàn bộ các bước

Để trợ giúp tốt hơn trong việc hiểu quá trình thiết lập WPA/WPA2-Enterprise và 802.1X, chúng tôi liệt kê thêm toàn bộ các bước cơ bản trong quá trình thiết lập:

  1. Chọn, cài đặt và cấu hình máy chủ RADIUS hoặc sử dụng dịch vụ.
  2. Tạo một CA để có thể phát hành và cài đặt chứng chỉ số trên máy chủ RADIUS, chiêu thức này có thể được thực hiện như một phần của cài đặt và cấu hình máy chủ RADIUS. Một cách làm khác là bạn có thể mua chứng chỉ số từ CA công như GoDaddy hoặc Verisign để không phải cài đặt chứng chỉ máy chủ trên tất cả máy khách. Nếu sử dụng EAP-TLS, bạn cũng phải tạo các chứng chỉ số cho mỗi người dùng.
  3. Trên máy chủ, định cư cơ sở dữ liệu máy khách RADIUS với địa chỉ IP và bí mật chia sẻ cho mỗi AP.
  4. Trên máy chủ, định cư dữ liệu người dùng bằng tên và mật khẩu cho mỗi người dùng.
  5. Trên mỗi AP, cấu hình bảo mật WPA/WPA2-Enterprise và nhập địa chỉ máy IP của máy chủ RADIUS và bí mật chia sẻ đã được tạo cho AP cụ thể đó.
  6. Trên mỗi máy tính và thiết bị không dây, cấu hình bảo mật WPA/WPA2-Enterprise và cấu hình các thiết lập xác thực 802.1X.
Thứ Ba, 05/07/2011 08:55
3,33 👨 8.423
0 Bình luận
Sắp xếp theo