Bảo mật lưu lượng mạng không dây – Phần 5 Quản trị mạng – Trong phần tiếp theo của loạt bài này, chúng tôi s ẽ giới thiệu cho các bạn một số tùy chọn bảo mật mạng không dây trong hệ điều h ành Windows Server 2008. Một trong những giải pháp tốt nhất có thể th ực hiện để bảo mật mạng không dây là tránh k ết nối các điểm truy cập không dây trực tiếp với các đoạn mạng riêng tư mang nhiều thông tin nhạy cảm. Tốt hơn hết nên coi m ạng không dây là một mạng không an toàn và yêu c ầu tất cả máy khách tự minh chứng bản thân chúng là tin cậy trước khi được phép truy cập tài nguyên mạng. Phương thức này cũng giống như phương thức đư ợc sử dụng bởi máy chủ VPN. Các máy khách VPN kết nối với mạng thông qua Internet. Giống nh ư một mạng không dây, Internet là môi trường không tin cậy, vì v ậy các máy khách VPN phải được xác thực trước khi được phép truy cập tài nguyên m ạng. Cho rằng cả VPN và mạng không dây đều yêu cầu người dùng thi ết lập kết nối từ một môi trường không tin cậy, khi đó các kỹ thuật bảo mật các kết nối n ày sẽ hoàn toàn giống nhau. Các tùy chọn bảo mật mạng không dây Microsoft cung cấp hai tùy chọn chính để bảo mật các mạng không dây (b ên cạnh đó cũng có các giải pháp của các hãng thứ ba). Tùy chọn thứ nhất l à xác thực các kết nối không dây bằng PEAP-MS_CHAP v2 (tron g bài chúng tôi dùng PEAP để đơn giản) và tùy chọn khác là sử dụng EAP-TLS. Sự khác biệt chủ yếu giữa hai phương pháp xác thực n ày là, phương pháp PEAP cho phép xác th ực thông qua việc sử dụng mật khẩu. Trong khi đó phương pháp EAP-TLS sử dụng các chứng chỉ số. Các chứng chỉ số này có th ể tồn tại trên thẻ thông minh, hoặc có thể được phát hành tr ực tiếp đến máy khách Windows bởi Enterprise Certificate Authority. Nói chung, PEAP phù h ợp hơn với các tổ chức có kích thước nhỏ v à trung bình vì nó đơn giản trong triển khai cũng như giá thành chi phí thấp. EAP- TLS thường được sử dụng trong các mô trường doanh nghiệp lớn, tuy nhiên c ũng có thể được sử dụng trong các tổ chức nhỏ hơn. Cả hai phương pháp đ ều thực hiện tốt việc điều khiển truy cập mạng không dây và cả hai đ ều cho phép bạn quản lý tập trung bảo mật các máy khách. Triển khai CA doanh nghiệp Không quan tâm đến việc bạn sử dụng PEAP hay EAP-TLS để xác thực l ưu lượng không dây, quá trình xác thực đều phụ thuộc vào vi ệc sử dụng các chứng chỉ số. Trong trường h ợp sử dụng PEAP, bạn có thể triển khai Enterprise Certificate Authority hoặc có thể mua chứng chỉ từ một CA thương mại nh ư VeriSign hoặc Go Daddy. Nếu sử dụng EAP-TLS, b ạn sẽ cần phải có một CA doanh nghiệp vì việc xác thực máy khách sẽ dựa trên việc sử d ụng các chứng chỉ chứ không phải mật khẩu, thêm vào đó bạn phải khả năng phát h ành các chứng chỉ cần thiết cho máy khách. Do cả hai thiết kế đều có thể sử dụng CA doanh nghiệp nên chúng tôi s ẽ giới thiệu cho cách triển khai và cấu hình CA doanh nghiệp của riêng bạn. Một số lưu ý Trước khi bắt đầu, chúng tôi muốn cung cấp cho các bạn một số lưu ý. Đ ầu tiên đó là, cả hai thiết kế mà chúng tôi sẽ giới thiệu đều yêu c ầu bạn phải có một Active Directory. Các thiết kế này sẽ không làm việc nếu mạng của bạn l à mạng workgroup. Một vấn đề khác là, chúng tôi sẽ cài đặt CA doanh nghiệp vào m ột máy tính domain controller chạy Windows Server 2008 R2. Khi CA doanh nghiệp đư ợc cài đặt xong, bạn sẽ không thể đặt lại tên của domain controller. Các bạn cũng phải nỗ lực để gia cố thêm máy chủ làm CA doanh nghi ệp. Cần nhớ rằng, nếu có ai đó thỏa hiệp CA thì về cơ bản người này sẽ sở hữu đư ợc mạng của bạn. Việc gia cố thêm máy chủ nằm ngoài phạm vi của loạt b ài này, tuy nhiên nơi bạn có thể thực hiện việc đó là ch ạy Security Configuration Wizard của Microsoft. Vấn đề quan trọng nhất là bạn phải backup CA thường xuyên. N ếu máy chủ bị lỗi, toàn bộ quá trình xác thực của bạn sẽ bị đổ vỡ. Quá trình triển khai Bắt đầu quá trình bằng việc mở Server Manager và chọn mục Roles. Kích li ên k ết Add Roles, khi đó Windows sẽ khởi chạy Add Roles Wizard. Kích Next để băng qua màn hình chào của wizard, sau đó bạn sẽ thấy màn hình h ỏi bạn muốn cài đặt role nào. Chọn Active Directory Certificate Services ro le như hiển thị trong hình A và kích Next để tiếp tục. Hình A: Chọn Active Directory Certificate Services role Bạn sẽ thấy màn hình gi ới thiệu Active Directory Certificate Services. Kích Next, Windows s ẽ hỏi bạn về thành phần mà bạn muốn cài đặt. Lúc này , hãy chọn các tùy chọn Certification Authority v à Certification Authority Web Enrollment. Phụ thuộc vào cách cấu hình máy chủ mà b ạn sẽ thấy thông báo chỉ thị cần cài đặt một số dịch vụ role bổ sung. Nếu nhận được thông báo n ày, hãy kích nút Add Required Role Services. Kích Next, Windows s ẽ hỏi bạn muốn tạo Standalone Certificate Authority hay Enterprise Certificate Authority. Hãy chọn tùy chọn Enterprise và kích Next. Lúc này b ạn sẽ thấy một thông báo hỏi bạn muốn tạo Root CA hay Subordinate CA. Do đây là CA đầu tiên nên bạn phải chọn tùy ch ọn Root CA như thể hiện trong hình B bên dưới. Hình B: Chọn tùy chọn Root CA và kích Next. Màn hình ti ếp theo sẽ hỏi bạn có muốn tạo khóa mới hay không hay muốn sử dụng khóa cũ hiện có. Do đây là một triển khai mới ho àn toàn nên chúng ta hãy tạo một khóa mới. Kích Next, Windows sẽ yêu cầu bạn cấu hình các thiết lập m ã hóa cho CA. Kích Next để chấp nhận các gia trị mặc định. Lúc này bạn sẽ được nhắc nhở cung cấp tên cho CA. Mặc dù b ạn có thể sử dụng các giá trị mặc định nhưng cách tốt nhất là chúng ta nên thay thành tên d ễ nhớ. Cho ví dụ, bạn có thể thấy trong hình C chúng tôi đã đặt tên cho CA c ủa mình là Lab2-CA. Hình C: Nên chọn tên dễ nhớ Kích Next, b ạn sẽ thấy nhắc nhở chọn thời gian hiệu lực cho các chứng chỉ được phát hành bởi CA. Giá trị mặc định là 5 năm, tuy nhiên b ạn có thể điều chỉnh tham số này nếu muốn. Kích Next, Windows sẽ yêu cầu bạn chọn vị trí cho cơ s ở dữ liệu chứng chỉ. Cần lưu ý như những gì chúng tôi đề cập ở trên là t ầm quan trọng trong việc bảo vệ kho chứa chứng chỉ. Việc nên làm ở đây là chọn một vị trí nào đó t ồn tại mảng tự động chuyển đổi dự phòng nếu có thể. Phụ thuộc vào việc bạn có bị yêu cầu thêm dịch vụ IIS role vào máy ch ủ hay không, màn hình tiếp theo mà bạn thấy có thể sẽ là một giới thi ệu của IIS. Kích Next đ ể chuyển sang màn hình tiếp theo. Lúc này bạn sẽ thấy một màn hình hỏi có muốn cài đ ặt các dịch vụ role bổ sung hay không. Do Windows sẽ tự động chọn tất cả các dịch vụ role được y êu cầu, vì vậy bạn không cần phải bổ sung thêm bất cứ dịch vụ nào mà ch ỉ cần kích Next để tiếp tục. Sau đó bạn sẽ thấy màn hình tóm tắt các tùy chọn cấu hình đã chọn, như th ể hiện trong hình D. Hãy th ẩm định lại mọi thông tin xuất hiện có đúng hay không, sau đó kích Install. Khi quá trình cài đặt hoàn tất, kích Close. Hình D: Đọc qua bảng tóm tắt cấu hình để bảo đảm mọi thứ chính xác Kết luận Cho đến đây, chúng tôi đã gi ới thiệu cho các bạn cách triển khai một CA doanh nghiệp, đây là lúc chúng ta có thể bắt đầu xây dựng phần còn lại của cơ s ở hạ tầng cần thi ết cho việc bảo mật mạng không dây. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách thực thi bảo mật dựa tr ên PEAP. Văn Linh (Theo Windowsnetworking) . Bảo mật lưu lượng mạng không dây – Phần 5 Quản trị mạng – Trong phần tiếp theo của loạt bài này, chúng tôi s ẽ giới thiệu cho các bạn một số tùy chọn bảo mật mạng không dây trong. trường không tin cậy, khi đó các kỹ thuật bảo mật các kết nối n ày sẽ hoàn toàn giống nhau. Các tùy chọn bảo mật mạng không dây Microsoft cung cấp hai tùy chọn chính để bảo mật các mạng không dây. để bảo mật mạng không dây là tránh k ết nối các điểm truy cập không dây trực tiếp với các đoạn mạng riêng tư mang nhiều thông tin nhạy cảm. Tốt hơn hết nên coi m ạng không dây là một mạng không