Thiết lập hệ thống mạng Wifi sử dụng chuẩn mã hóa WPA/WPA2

QuanTriMang.com - Trong bài viết sau, Quản Trị Mạng sẽ hướng dẫn các bạn cách thiết lập mô hình mạng Wifi sử dụng giao thức WPA/WPA2 và khả năng xác nhận trong 1 khoảng cách nhất định. Lưu ý rằng bài viết này chỉ đề cập đến những vấn đề và khía cạnh đơn giản của hệ thống mạng này dựa trên CIITIX-WiFi – 1 dự án khá mới mẻ và ít người biết đến. Tại thời điểm bài viết này, dự án vẫn đang trong phiên bản 1.1

Yêu cầu sơ bộ

Các bạn cần tải file ISO và chuẩn bị để cài đặt, truy cập vào trang chủ của CIITIX-WiFi.
Cần có thiết bị access point hoặc wireless router hỗ trợ chuẩn WPA/WPA2.
Các kiến thức cơ bản về hệ thống mạng và phần cứng. Tại bài thử nghiệm này, chúng tôi sử dụng VMWare ESXi server, 1 vCPU, 1 vHDD (4gb) và Ram 768 MB.

Bắt đầu

Tải file ISO download bên trên về máy tính, ghi ra đĩa CD và boot từ đĩa đó. Lưu ý rằng quá trình cài đặt và thiết lập này sẽ xóa toàn bộ dữ liệu trên ổ cứng.

Khi boot từ ổ đĩa CD, chọn Start GUI Install, nhấn Enter và bạn sẽ thấy màn hình tiếp theo như sau:

Chọn ngôn ngữ hiển thị tại bước tiếp theo:

Chọn tiếp vị trí địa lý:

Điều chỉnh giá trị host name cho hệ thống, nếu không muốn thì để là debian cho dễ nhớ:

Thiết lập giờ hệ thống và vùng múi giờ:

Lựa chọn phân vùng ổ cứng để cài đặt - Guided - use entire disk:

Và chọn đúng phân vùng bạn muốn:

Và chọn tiếp All files in one partition:


Tiếp theo Finish partitioning and write changes to disk:

Chọn tiếp Yes – quá trình này sẽ xóa sạch dữ liệu trên ổ đĩa:

Và chờ cho quá trình này kết thúc:

Sau đó, hệ thống sẽ yêu cầu bạn khai báo tên tài khoản và mật khẩu quản trị (đây là mật khẩu root):

Chọn Yes để cài đặt GRUB boot loader lên ổ cứng:

Khi đến màn hình này nghĩa là quá trình cài đặt đã hoàn thành:

Tại bước này, server xác nhận khoảng cách truy cập đã được cài đặt thành công và khởi động lại. Khi khởi động xong, các địa chỉ IP của các máy khác sẽ được liệt kê trong danh sách, qua đó chúng ta có thể quản trị và thực hiện các thao tác khác.

Khi hệ thống khởi động lại, đăng nhập vào máy tính với tài khoản root và mật khẩu khai báo lúc trước:


Chọn JWM > Terminal, cửa sổ dòng lệnh hiện ra, bạn gõ lệnh sau:

ifconfig

Nhấn Enter, chương trình sẽ hiển thị toàn bộ thông tin của card mạng trên hệ thống. Tại đây là eth0 với địa chỉ IP 192.168.0.15 – tại dòng inet addr:

Quá trình quản trị hệ thống được thực hiện hoàn toàn qua trình duyệt. Mô hình này còn hỗ trợ chia sẻ và cùng xem các hoạt động diễn ra trên trang web qua mạng local. Ở chế độ mặc định, chúng ta không thể sử dụng được chức năng này. Tất cả những gì cần làm là chỉnh sửa lại file cấu hình /etc/apache2/apache2.conf tại dòng 290:

Allow from all

Tại đây, chúng ta cần ứng dụng hỗ trợ tên là WinSCP và cài trên máy tính con sử dụng hệ điều hành Windows. Sau khi download và cài đặt thành công, thực hiện theo những bước sau:

 - Nhấn New

 - Điền vào đó những thông tin như sau:
      host name = địa chỉ IP của máy tính
      user name = root
      password = mật khẩu khai báo tại bước trên

 - Save

 - Tiếp theo, nhấn Login 

 - Kích đúp vào thư mục có biểu tượng 2 dấu chấm trong danh sách:

 - Và mở các thư mục theo thứ tự sau: etc - apache2 - apache2.conf

 - Chương trình sẽ mở file cấu hình apache2.conf, di chuyển đến dòng 290 và thay đổi lại như sau:
      Allow from all

 - Lưu lại thay đổi và đóng cửa sổ chương trình

 - Mở chương trình WinSCP > Commands > open terminal hoặc nhấn phím tắt Crtl+T, copy và paste dòng lệnh sau, sau đó nhấn execute:
      /etc/init.d/apache2 restart 

 - Quá trình này sẽ khởi động lại toàn server và tải lại toàn bộ thiết lập từ file cấu hình vừa chỉnh sửa, qua đó tất cả các truy cập qua web có thể được thực hiện từ bất cứ nơi nào trên mạng local. 

 - Khởi động trình duyệt và trỏ tới địa chỉ IP của hệ thống (thay thế giá trị 192.168.0.15 với địa chỉ IP của bạn):
      192.168.0.15/daloradius 

 - Trang đăng nhập hiển thị, mặc định tài khoản quản trị với tên đăng nhập administrator, mật khẩu radius. Nếu các thao tác bên trên không chuẩn xác thì bạn sẽ gặp thông báo lỗi sau:

 - Thực hiện theo các bước sau để thiết lập tài khoản người dùng và thiết bị NAS. Chọn management > user > new user, điền username và password tùy chọn. Chọn loại mật khẩu tương ứng là Cleartext-Password và nhấn Apply:

 - Chọn tiếp Management > NAS > new NAS, điền địa chỉ IP của thiết bị access point hoặc router (ở đây là 192.168.0.1).


 - Tiếp theo, tạo mật khẩu trong phần NAS Secret. 

 - Chọn NAS Type = other (nếu sử dụng các thiết bị access point của Cisco thì chọn loại khác)
Điền tên rút gọn cho thiết bị, ở đây là dlinkap:

 - Khi thực hiện xong bước này, đăng nhập vào access point hoặc router và thiết lập để sử dụng authentication server.

 - Ảnh chụp màn hình dưới đây được lấy từ thiết bị access point D-Link DAP-1150. Quá trình cấu hình như với bình thường, các bạn chỉ cần chú ý đến tính năng sử dụng WPA hoặc WPA2 enterprise và chỉ định radius server rõ ràng. Thông số radius server IP là địa chỉ IP của CIITIX-WiFi server, địa chỉ cổng mặc định là 1812:

  - Và bây giờ chúng ta cần xác nhận 1 bản copy chứng nhận - certificate để các máy trạm sử dụng khi đăng nhập. Khởi động WinSCP và trỏ tới /etc/freeradius/certs/client-certificates. Tại dây bạn sẽ thấy 2 file tại đây, copy 2 file này ra desktop (các bạn nên lưu lại 2 file này vào thiết bị lưu trữ USB nào đó để sử dụng trên các máy trạm sau này):

 - Với Windows 7, bạn chỉ cần kích đúp vào file này để cài đặt theo quy trình mẫu có sẵn.
Cài đặt chúng lần lượt với trusted root certificates theo cách tương tự của Windows Vista hoặc XP. Và sau đó, mỗi khi bạn kết nối Wireless, hệ thống sẽ yêu cầu mật khẩu sử dụng. Điền tên đăng nhập và mật khẩu mà bạn tạo ra lúc trên, password dành cho certificate trong lúc cài đặt ciitixwifi.

 - Trên từng máy trạm, bạn cài đặt certificate bằng cách kích đúp vào file đó và chọn Open > install certificate > next > place all in following store > browse > trusted root certification > ok > next > finish như hình sau:

 - Tiếp tục, kích đúp vào file còn lại server certificate > next > next > điền mật khẩu ciitixwifi > next > place all in following store > browse > trusted root ca > ok > next > finish. Như vậy là đã hoàn chỉnh những khâu cơ bản, mỗi khi người sử dụng kết nối vào mạng wifi, hệ thống sẽ yêu cầu nhập tài khoản từ certificate như sau:

 - Windows sẽ có hiện tượng lạ khi bạn sử dụng certificate lần đầu tiên. Điều này là hết sức bình thường vì hệ thống sẽ không yêu cầu lại lần thứ 2. Nguyên nhân chính có thể là do chương trình tự nhận certificate từ server CIITIX-WiFi. Đối với các thiệt bị khác như Iphone và Ipad thì chúng đã có sẵn những certificate này rồi, và do đó bạn không cần phải cài đặt như trên Windows. Đối với người dùng Linux cũng cần cài đặt và áp dụng certificate, nhưng một số distro khác như Linux Mint – dựa trên nền tảng Ubuntu thì quá trình này rất đơn giản, chỉ cần kích đúp vào file certificate đó, hệ thống sẽ hiển thị hướng dẫn như của Windows. Đối với 1 số thiết bị khác sử dụng hệ điều hành nhúng bên trong như Nintendo Wii có thể sẽ không tương thích với mô hình Enterprise Authentication này.

Thứ Sáu, 24/09/2010 09:09
51 👨 5.250