Chuyển sangmãhóa
WPA/WPA2-Enterprise
Quản trị mạng – Các mạng Wi-Fi trong doanh nghiệp nào
cũng cần sử dụng chế độ Enterprise của mãhóa WPA
hoặc WPA2. Trong bài này, chúng tôi sẽ giới thiệu cho các
bạn cách chuyển từ chế độ Personal (PSK) sang chế độ
Enterprise (RADIUS).
Chắc chắn nhiều người trong số
bạn đọc đã biết, mãhóa Wired
Equivalent Privacy (WEP) là một
kiểu mã ngày nay không còn an
toàn. Chuẩn bảo mật cho mạng LAN không dây đầu tiên,
được phát triển bởi IEEE, đã xuất hiện lỗ hổng cho phép các
kẻ tấn công có thể bẻ khóa.
Năm 2003, Hiệp hội Wi-Fi đã phát hành một chuẩn bảo mật
khác mang tên Wi-Fi Protected Access. Mặc dù phiên bản đầu
tiên (WPA), phiên bản sử dụng mãhóa TKIP/RC4, đã gây cho
các kẻ tấn công đôi chút thất vọng, nhưng nó vẫn không được
coi là an toàn.
Trong phiên bản thứ hai (WPA2), được phát hành vào giữa
năm 2004, khả năng bảo mật đã được cải thiện khá tốt với
thực thi chuẩn bảo mật IEEE 802.11i và mãhóa CCMP/AES.
Trong bài này, chúng tôi sẽ giới thiệu cho các bạn hai chế độ
rất khác nhau trong truy cập một mạng Wi-Fi được bảo vệ
(Wi-Fi Protected Access) và giới thiệu cách chuyển từ chế độ
Personal sang chế độ Enterprise.
Hãy bắt đầu!
Hai chế độ của WPA/WPA2: Personal (PSK) và
Enterprise
Cả hai phiên bản của Wi-Fi Protected Access (WPA/WPA2)
đều có thể được thực thi trong hai chế độ:
Chế độ Personal hoặc Pre-Shared Key (PSK): Chế độ
này thích hợp với hầu hết các mạng gia đình – không thích
hợp với các mạng doanh nghiệp. Bạn có thể định nghĩa mật
khẩu mãhóa trên router không dây và các điểm truy cập (AP)
khác. Sau đó mật khẩu phải được nhập vào bởi người dùng
khi kết nối với mạng Wi-Fi.
Mặc dù chế độ này dường như rất dễ thực thi, nhưng nó
không thể bảo đảm an toàn cho mạng doanh nghiệp. Không
giống như chế độ Enterprise, truy cập không dây không mang
tính riêng biệt hoặc có thể quản lý tập trung. Một mật khẩu
được áp dụng cho tất cả người dùng. Nếu mật khẩu toàn cục
cần phải thay đổi thì nó phải được thay đổi trên tất cả các AP
và máy tính. Điều này sẽ gây ra rất nhiều khó khăn khi bạn
cần thay đổi; cho ví dụ, khi một nhân viên nào đó rời công ty
hoặc, khi có máy tính nào đó bị mất cắp hoặc bị thỏa hiệp.
Không giống như chế độ Enterprise, mật khẩu mãhóa được
lưu trên các máy tính. Mặc dù vậy, bất cứ ai trên máy tính –
dù là nhân viên hay tội phạm – cũng đều có thể kết nối với
mạng và cũng có thể khôi phục được mật khẩu mã hóa.
Chế độ Enterprise (EAP/RADIUS): Chế độ này cung
cấp khả năng bảo mật cần thiết cho các mạng không dây trong
các môi trường doanh nghiệp. Mặc dù phức tạp trong thiết
lập, nhưng chế độ bảo mật này cung cấp khả năng điều khiển
tập trung và phân biệt trong việc truy cập mạng Wi-Fi. Người
dùng được gán các thông tin đăng nhập mà họ cần phải nhập
vào khi kết nối với mạng, các thông tin đăng nhập này có thể
được thay đổi hoặc thu hồi bởi các quản trị viên bất cứ lúc
nào.
Người dùng không cần quan tâm đến các khóa mãhóa thực
sự. Chúng được tạo một cách an toàn và được gán trên mỗi
session người dùng trong chế độ background sau khi một
người dùng nào đó nhập vào các chứng chỉ đăng nhập của họ.
Điều này sẽ tránh được việc ai đó có thể khôi phục lại khóa
mạng từ các máy tính.
Giới thiệu thẩm định 802.1X và các máy chủ RADIUS
Phương pháp thẩm định được sử dụng để thẩm định các thông
tin người dùng (và máy chủ) trên các mạng WPA/WPA2-
Enterprise được định nghĩa theo chuẩn IEEE 802.1X. Cách
thức thẩm định này yêu cầu một máy chủ ngoài, vẫn được gọi
là máy chủ Remote Authentication Dial In User Service
(RADIUS) hoặc Authentication, Authorization, và
Accounting (AAA), được sử dụng cho một loạt các giao thức
mạng và các môi trường có chứa ISP.
Một máy chủ RADIUS cần phải hiểu ngôn ngữ Extensible
Authentication Protocol (EAP) và có thể truyền thông với các
AP không dây, ám chỉ như các máy khách RADIUS hoặc các
bộ thẩm định. Máy chủ RADIUS về bản chất sẽ phục vụ như
một máy trung gian giữa các AP và dữ liệu người dùng. Để từ
đó các AP có thể truyền thông trực tiếp với máy khách
802.1X, cũng được nói đến như một 802.1X Supplicant, trên
máy tính hoặc thiết bị của người dùng.
Thẩm định 802.1X không dựa trên port. Điều này có nghĩa khi
ai đó cố gắng kết nối đến một mạng doanh nghiệp được bảo
vệ, sự truyền thông sẽ được phép qua một cổng ảo để truyền
tải các thông tin đăng nhập. Nếu quá trình thẩm định thành
công, các khóa mãhóa sẽ được gửi đi một cách an toàn và
người dùng lúc này sẽ được trao quyền truy cập hoàn toàn.
. Chuyển sang mã hóa WPA/WPA2-Enterprise Quản trị mạng – Các mạng Wi-Fi trong doanh nghiệp nào cũng cần sử dụng chế độ Enterprise của mã hóa WPA hoặc WPA2. Trong. các bạn cách chuyển từ chế độ Personal (PSK) sang chế độ Enterprise (RADIUS). Chắc chắn nhiều người trong số bạn đọc đã biết, mã hóa Wired Equivalent Privacy (WEP) là một kiểu mã ngày nay. khẩu mã hóa được lưu trên các máy tính. Mặc dù vậy, bất cứ ai trên máy tính – dù là nhân viên hay tội phạm – cũng đều có thể kết nối với mạng và cũng có thể khôi phục được mật khẩu mã hóa.