Đang tải... (xem toàn văn)
Quản trị mạng – Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một số tùy chọn bảo mật mạng không dây trong hệ điều hành Windows Server 2008. Một trong những giải pháp tốt nhất có thể thực hiện để bảo mật mạng không dây là tránh kết nối các điểm truy cập không dây trực tiếp với các đoạn mạng riêng tư mang nhiều thông tin nhạy cảm. Tốt hơn hết nên coi mạng không dây là một mạng không an toàn và yêu cầu tất cả máy khách tự...
Bảo mật lưu lượng mạng không dây – Phần Quản trị mạng – Trong phần loạt này, giới thiệu cho bạn số tùy chọn bảo mật mạng không dây hệ điều hành Windows Server 2008 Một giải pháp tốt thực để bảo mật mạng không dây tránh kết nối điểm truy cập không dây trực tiếp với đoạn mạng riêng tư mang nhiều thông tin nhạy cảm Tốt hết nên coi mạng không dây mạng không an toàn yêu cầu tất máy khách tự minh chứng thân chúng tin cậy trước phép truy cập tài nguyên mạng Phương thức giống phương thức sử dụng máy chủ VPN Các máy khách VPN kết nối với mạng thông qua Internet Giống mạng không dây, Internet mơi trường khơng tin cậy, máy khách VPN phải xác thực trước phép truy cập tài nguyên mạng Cho VPN mạng không dây yêu cầu người dùng thiết lập kết nối từ mơi trường khơng tin cậy, kỹ thuật bảo mật kết nối hoàn toàn giống Các tùy chọn bảo mật mạng khơng dây Microsoft cung cấp hai tùy chọn để bảo mật mạng khơng dây (bên cạnh có giải pháp hãng thứ ba) Tùy chọn thứ xác thực kết nối không dây PEAP-MS_CHAP v2 (trong dùng PEAP để đơn giản) tùy chọn khác sử dụng EAP-TLS Sự khác biệt chủ yếu hai phương pháp xác thực là, phương pháp PEAP cho phép xác thực thông qua việc sử dụng mật Trong phương pháp EAP-TLS sử dụng chứng số Các chứng số tồn thẻ thơng minh, phát hành trực tiếp đến máy khách Windows Enterprise Certificate Authority Nói chung, PEAP phù hợp với tổ chức có kích thước nhỏ trung bình đơn giản triển khai giá thành chi phí thấp EAP-TLS thường sử dụng mô trường doanh nghiệp lớn, nhiên sử dụng tổ chức nhỏ Cả hai phương pháp thực tốt việc điều khiển truy cập mạng không dây hai cho phép bạn quản lý tập trung bảo mật máy khách Triển khai CA doanh nghiệp Không quan tâm đến việc bạn sử dụng PEAP hay EAP-TLS để xác thực lưu lượng không dây, trình xác thực phụ thuộc vào việc sử dụng chứng số Trong trường hợp sử dụng PEAP, bạn triển khai Enterprise Certificate Authority mua chứng từ CA thương mại VeriSign Go Daddy Nếu sử dụng EAP-TLS, bạn cần phải có CA doanh nghiệp việc xác thực máy khách dựa việc sử dụng chứng mật khẩu, thêm vào bạn phải khả phát hành chứng cần thiết cho máy khách Do hai thiết kế sử dụng CA doanh nghiệp nên giới thiệu cho cách triển khai cấu hình CA doanh nghiệp riêng bạn Một số lưu ý Trước bắt đầu, muốn cung cấp cho bạn số lưu ý Đầu tiên là, hai thiết kế mà chúng tơi giới thiệu yêu cầu bạn phải có Active Directory Các thiết kế không làm việc mạng bạn mạng workgroup Một vấn đề khác là, cài đặt CA doanh nghiệp vào máy tính domain controller chạy Windows Server 2008 R2 Khi CA doanh nghiệp cài đặt xong, bạn đặt lại tên domain controller Các bạn phải nỗ lực để gia cố thêm máy chủ làm CA doanh nghiệp Cần nhớ rằng, có thỏa hiệp CA người sở hữu mạng bạn Việc gia cố thêm máy chủ nằm phạm vi loạt này, nhiên nơi bạn thực việc chạy Security Configuration Wizard Microsoft Vấn đề quan trọng bạn phải backup CA thường xuyên Nếu máy chủ bị lỗi, tồn q trình xác thực bạn bị đổ vỡ Quá trình triển khai Bắt đầu trình việc mở Server Manager chọn mục Roles Kích liên kết Add Roles, Windows khởi chạy Add Roles Wizard Kích Next để băng qua hình chào wizard, sau bạn thấy hình hỏi bạn muốn cài đặt role Chọn Active Directory Certificate Services role hiển thị hình A kích Next để tiếp tục Hình A: Chọn Active Directory Certificate Services role Bạn thấy hình giới thiệu Active Directory Certificate Services Kích Next, Windows hỏi bạn thành phần mà bạn muốn cài đặt Lúc này, chọn tùy chọn Certification Authority Certification Authority Web Enrollment Phụ thuộc vào cách cấu hình máy chủ mà bạn thấy thơng báo thị cần cài đặt số dịch vụ role bổ sung Nếu nhận thông báo này, kích nút Add Required Role Services Kích Next, Windows hỏi bạn muốn tạo Standalone Certificate Authority hay Enterprise Certificate Authority Hãy chọn tùy chọn Enterprise kích Next Lúc bạn thấy thông báo hỏi bạn muốn tạo Root CA hay Subordinate CA Do CA nên bạn phải chọn tùy chọn Root CA thể hình B bên Hình B: Chọn tùy chọn Root CA kích Next Màn hình hỏi bạn có muốn tạo khóa hay khơng hay muốn sử dụng khóa cũ có Do triển khai hoàn toàn nên tạo khóa Kích Next, Windows yêu cầu bạn cấu hình thiết lập mã hóa cho CA Kích Next để chấp nhận gia trị mặc định Lúc bạn nhắc nhở cung cấp tên cho CA Mặc dù bạn sử dụng giá trị mặc định cách tốt nên thay thành tên dễ nhớ Cho ví dụ, bạn thấy hình C chúng tơi đặt tên cho CA Lab2-CA Hình C: Nên chọn tên dễ nhớ Kích Next, bạn thấy nhắc nhở chọn thời gian hiệu lực cho chứng phát hành CA Giá trị mặc định năm, nhiên bạn điều chỉnh tham số muốn Kích Next, Windows yêu cầu bạn chọn vị trí cho sở liệu chứng Cần lưu ý chúng tơi đề cập tầm quan trọng việc bảo vệ kho chứa chứng Việc nên làm chọn vị trí tồn mảng tự động chuyển đổi dự phịng Phụ thuộc vào việc bạn có bị yêu cầu thêm dịch vụ IIS role vào máy chủ hay khơng, hình mà bạn thấy giới thiệu IIS Kích Next để chuyển sang hình Lúc bạn thấy hình hỏi có muốn cài đặt dịch vụ role bổ sung hay không Do Windows tự động chọn tất dịch vụ role u cầu, bạn khơng cần phải bổ sung thêm dịch vụ mà cần kích Next để tiếp tục Sau bạn thấy hình tóm tắt tùy chọn cấu hình chọn, thể hình D Hãy thẩm định lại thơng tin xuất có hay khơng, sau kích Install Khi q trình cài đặt hồn tất, kích Close Hình D: Đọc qua bảng tóm tắt cấu hình để bảo đảm thứ xác Kết luận Cho đến đây, giới thiệu cho bạn cách triển khai CA doanh nghiệp, lúc bắt đầu xây dựng phần lại sở hạ tầng cần thiết cho việc bảo mật mạng không dây Trong phần loạt này, giới thiệu cho bạn cách thực thi bảo mật dựa PEAP Văn Linh (Theo Windowsnetworking) ... hình để bảo đảm thứ xác Kết luận Cho đến đây, giới thiệu cho bạn cách triển khai CA doanh nghiệp, lúc bắt đầu xây dựng phần lại sở hạ tầng cần thiết cho việc bảo mật mạng không dây Trong phần loạt... bắt đầu, muốn cung cấp cho bạn số lưu ý Đầu tiên là, hai thiết kế mà chúng tơi giới thiệu u cầu bạn phải có Active Directory Các thiết kế không làm việc mạng bạn mạng workgroup Một vấn đề khác là,...Triển khai CA doanh nghiệp Không quan tâm đến việc bạn sử dụng PEAP hay EAP-TLS để xác thực lưu lượng khơng dây, q trình xác thực phụ thuộc vào việc sử dụng chứng