Bảo mật lưu lượng mạng không dây – Phần 6 Quản trị mạng – Trong phần tiếp theo này, chúng tôi s ẽ giới thiệu cho các bạn cách triển khai máy chủ chính sách và cách kết nạp chứng chỉ cũng nh ư đăng ký Active Directory cho máy chủ đó. Trong phần trước của loạt bài này, chúng ta đã bi ết rằng một trong những cách tốt nhất bảo mật lưu lượng mạng không dây là coi chúng như m ột mạng không được bảo vệ. Ý tưởng ở đây là xác th ực bất cứ ai sử dụng mạng không dây theo cách mà bạn xác thực người dùng kết nối với VPN của mình. Windows Server 2008 có thể được cấu hình để cung cấp hành động xác thực như v ậy. Để thực hiện điều này, bạn phải cấu hình Windows làm việc như m ột máy chủ chính sách mạng (NPS). Trước khi bắt đầu Trước khi giới thiệu cách cấu hình máy chủ chính sách m ạng, chúng tôi muốn cung cấp cho các bạn một số điều kiện tiên quyết. Như đã gi ải thích trong phần trước, quá trình xác thực chủ yếu dựa trên chứng chỉ. Chính vì v ậy bạn cần phải triển khai CA doanh nghiệp trên mạng theo cách đư ợc mô tả trong phần trước hoặc thu thập chứng chỉ từ tổ chức thương mại. Ngoài ra, chúng ta c ũng phải thiết lập môi trường Active Directory và máy ch ủ sẽ cấu hình làm máy chủ NPS là thành viên miền. Thêm vào đó m ạng cũng sẽ yêu cầu máy chủ DNS (giống như tất cả các môi trường Active Directory) và cần phải có thêm máy chủ DHCP. Cuối cùng, tuy không nhất thiết yêu cầu nhưng chúng ta nên cài đ ặt Network Policy Server trên một máy tính chuyên biệt (có thể là vật lý hoặc có thể l à máy ảo). Ý tưởng ở đây là, nếu Network Policy Server có bị thỏa hiệp th ì hacker cũng không thể tăng truy cập vào các dịch vụ mạng khác. Triển khai máy chủ chính sách mạng Để triển khai máy chủ chính sách mạng, các bạn hãy mở Server Manager v à kích mục Roles. Tiếp theo, kích liên k ết Add Roles, Windows sẽ mở Add Roles Wizard. Sau khi Wizard xuất hiện, kích Next để băng qua m àn hình chào. Tại đây, bạn sẽ thấy màn hình yêu c ầu bạn chọn role máy chủ. Chọn Network Policy and Access Services và kích Next. Lúc này bạn sẽ thấy màn hình giới thiệu về role Network Policy an d Access Services. Kích Next m ột lần nữa bạn sẽ thấy nhắc nhở chọn dịch vụ role cần triển khai. Chọn dịch vụ Network Policy Server như thể hiện trong h ình A và kích Next. Hình A: Chọn dịch vụ Network Policy Server và kích Next. Màn hình tiếp theo sẽ hiển thị bảng tóm tắt các tùy chọn cài đặt mà bạn đ ã chọn. Hãy thẩm định lại các tùy chọn tên màn hình và sau đó kích nút Install. Khi quá trình triển khai hoàn tất, kích Close. Yêu cầu chứng chỉ Cho đến đây chúng ta đã cài đặt xong các dịch vụ chính sách mạng, bư ớc tiếp theo cần thực hiện là cung c ấp cho nó một chứng chỉ để sử dụng trong quá trình xác thực. Do chúng ta đã thiết lập CA doanh nghiệp trong phần trước n ên chúng tôi sẽ giới thiệu cho các bạn cách phát hành yêu c ầu từ CA đó. Thủ tục cần thực hiện ở đây được thực hiện trên Windows Server 2008 R2. Các bư ớc th ực hiện cụ thể có thể khác biệt đôi chút nếu bạn sử dụng Windows Server 2008. Bắt đầu quá trình bằng cách nhập lệnh MMC tại nhắc lệnh Run c ủa máy chủ. Khi đó máy ch ủ sẽ load một giao diện quản lý trống. Chọn Add / Remove Snap-in từ menu File và sau đó Certificates từ danh sách các snap-in có s ẵn, tiếp theo kích nút Add. Khi gặp nhắc nhở, hãy thiết lập sử dụng snap-in đ ể quản lý chứng chỉ cho tài khoản máy tính. Kích Next, sau đó chọn tùy ch ọn Local Computer và kích Finish. Khi kích OK, bạn sẽ thấy giao diện Certificates. Điều hư ớng qua cây giao diện để đến mục Certificates (Local Computer) | Personal như thể hiện trong h ình B. Hình B: Điều hướng đến mục Certificates (Local Computer) | Personal Kích phải vào mục Personal và ch ọn All Tasks | Request New Certificate từ menu xu ất hiện. Lúc đó Windows sẽ khởi chạy Certificate Enrollment Wizard. Kích Next để băng qua màn hành chào, và bạn sẽ được đưa đến m àn hình yêu cầu chọn chính sách kết nạp chứng chỉ. Hãy s ử dụng giá trị mặc định (Active Directory Enrollment Policy) và kích Next. Màn hình dưới đây sẽ yêu cầu bạn cung cấp kiểu chứng chỉ mà bạn muốn y êu cầu. Chọn tùy chọn Computer như thể hiện trong hình C và kích nút Enroll. Hình C: Chọn tùy chọn Computer và kích nút Enroll Đăng ký máy chủ chính sách mạng Máy chủ chính sách mạng đã được cung cấp chứng chỉ cần thiết, lúc n ày chúng ta hãy đi đăng ký máy chủ trong cơ sở dữ liệu Active Directory. Đ ể thực hiện điều đó, hãy vào Administrative Tools và m ở giao diện quản lý Network Policy Server. Kích phải vào nút (NPS (Local)) và ch ọn Register Server trong lệnh Active Directory từ menu chuột phải, xem thể hiện trong hình D. Hình D: Bạn phải đăng ký máy chủ chính sách mạng trong Active Directory Khi đăng ký máy ch ủ trong Active Directory, bạn sẽ thấy thông báo xuất hiện như trong hình E, đây là thông báo gi ải thích cho bạn biết rằng, để máy chủ chính sách mạng được sử dụng cho mục đích xác thực thì nó phải đư ợc phép đọc thuộc tính “dial in” của người dùng trong miền. Hộp thoại này s ẽ hỏi bạn có muốn cung cấp cho máy chủ chính sách mạng sự cho phép. Hãy c ấp phép và kích OK. Sau khi thực hiện xong bạn sẽ thấy một thông báo như th ể hiện trong hình F báo cho bạn biết rằng máy chủ chính sách hiện đư ợc phép đọc các thuộc tính “dial in” của người dùng từ miền hiện có. Mặc dù v ậy, nếu cần xác thực người dùng từ các miền khác, máy chủ chính sách mạng phải l à thành viên miền của nhóm các máy chủ RAS / NPS cho các miền đó. Hình E: Máy chủ chính sách mạng phải có khả năng đọc thuộc tính “dial-in” của người dùng từ Active Directory Hình F: Máy chủ chính sách mạng chỉ được phép đọc các thuộc tính “dial-in của người dùng từ miền hiện hành Kết luận Cho đến đây, chúng ta đã đăng ký được chính sách mạng b ên trong Active Directory và có thể bắt đầu việc cấu hình nó đ ể xác thực truy cập không dây. Chúng tôi sẽ giới thiệu cho các bạn quá trình đó trong ph ần tiếp theo của loạt bài. Cũng trong phần tiếp theo đó, chúng ta sẽ đi cấu hình máy ch ủ chính sách mạng để nó coi điểm truy cập không dây của bạn như m ột máy khách RADIUS. Một phần của quá trình sẽ liên quan đ ến việc thiết lập các bí mật được dùng chung bởi máy chủ chính sách mạng và điểm truy cập không dây. Văn Linh (Theo Windowsnetworking) . Bảo mật lưu lượng mạng không dây – Phần 6 Quản trị mạng – Trong phần tiếp theo này, chúng tôi s ẽ giới thiệu cho các bạn cách. máy chủ đó. Trong phần trước của loạt bài này, chúng ta đã bi ết rằng một trong những cách tốt nhất bảo mật lưu lượng mạng không dây là coi chúng như m ột mạng không được bảo vệ. Ý tưởng ở. truy cập không dây của bạn như m ột máy khách RADIUS. Một phần của quá trình sẽ liên quan đ ến việc thiết lập các bí mật được dùng chung bởi máy chủ chính sách mạng và điểm truy cập không dây.