Thiết lập nhận thực Wi-Fi trong Windows Server 2008 pot

Thiết lập nhận thực Wi-Fi trong Windows Server 2008 – Phần 1 Bản in Chia sẻ Quản trị mạng – Tại sao doanh nghiệp sử dụng chế độ Enterprise của mã hóa WPA/WPA2 với nhận thực 802.1X cho

Thiết lập nhận thực Wi-Fi trong Windows Server 2008 – Phần 1

 Bản in Chia sẻ

Quản trị mạng – Tại sao doanh nghiệp sử dụng chế độ Enterprise của mã hóa WPA/WPA2 với nhận

thực 802.1X cho các mạng không dây của họ và thiết lập Windows Server 2008 làm việc như một máy chủ RADIUS

Nếu thực thi kết nối Wi-Fi trong mạng doanh nghiệp của mình, bạn nên sử dụng chế độ Enterprise của bảo mật Wi-Fi Protected Access (WPA hoặc WPA2) – tốt nhất là WPA2 với mã hóa AES

Chế độ Enterprise này sử dụng nhận thực 802.1X, đây là kiểu nhận thực cung cấp các khóa mã hóa duy nhất cho mỗi session người dùng Còn chế độ Personal sử dụng các khóa tiền chia sẻ Pre-Shared Key (PSK), đây là các mã hóa tĩnh và không đủ an toàn cho các doanh nghiệp hoặc các tổ chức

Chế độ Enterprise của WPA/WPA2 có một số ưu điểm quan trọng:

• Người dùng kết cuối có thể đăng nhập bằng username và password của tài khoản miền của họ nếu bạn sử dụng Active Directory Có thể thay đổi các chứng chỉ đăng nhập cũng như thu hồi quyền truy cập của một người dùng nào đó Nếu sử dụng chế độ Personal, mọi người sẽ đăng nhập với cùng một khóa mã hóa tĩnh Vì vậy nếu một laptop nào đó bị mất cắp, bạn cần phải thay đổi khóa mã hóa cho tất

cả các máy khách khác – với chế độ Enterprise bạn sẽ không gặp phải điều này

• Chế độ này cho phép bảo mật khóa mã hóa tốt hơn PSK của chế độ Personal rất dễ đoán bởi các tấn công brute-force dictionary

• Người dùng kết cuối sẽ nhận một cách an toàn các khóa mã hóa duy nhất cho mỗi session Cho ví

dụ, các nhân viên khác không thể can thiệp vào lưu lượng không dây của người khác giống như trong chế độ Personal

• Chế độ này hỗ trợ các mạng VLAN tốt hơn Bạn có thể cấp một wireless network (SSID) cho tất

cả người dùng, gồm có các nhân viên và các khách hàng Có thể gán cho người dùng các VLAN khác nhau trong máy chủ RADIUS và đặt họ vào một VLAN được gán khi họ kết nối không dây

Chỉ có một vấn đề với chế độ Enterprise là việc thiết lập máy chủ Remote Authentication Dial In User Service (RADIUS) và việc cấu hình các máy khách Công việc này yêu cầu khá nhiều thời gian (và nhiều kinh phí hơn nếu bạn chưa có máy chủ Windows) trong thiết lập máy chủ và cấu hình các điểm truy cập không dây (AP) Thêm vào đó Windows cũng không cho phép dễ dàng kết nối với các kiểu mạng này, do

đó bạn phải nhờ thêm sự trợ giúp của những người có chuyên môn

Như những gì bạn có thể dự đoán, máy chủ Windows hiện có chức năng RADIUS server cho phép thực hiện nhận thực 802.1X Do đó mà các bạn không cần phải mua riêng một máy chủ RADIUS hoặc cần phải tìm hiểu về sản phẩm máy chủ mã nguồn mở như FreeRADIUS Chức năng RADIUS của Windows Server đã được đề cập trước đây trong nhiều phiên bản Windows Server 2000 và 2003, do đó trong bài này chúng tôi sẽ giới thiệu việc sử dụng nó trong phiên bản Windows Server 2008

Bắt đầu từ Windows Vista và Windows Server 2008, Microsoft đã giới thiệu một tính năng mới mang tên Network Policy Server (NPS) Tính năng Network Policy Server (NPS) của Microsoft cho phép bạn thi hành các chính sách sức khỏe cho các máy khách theo các tính năng hoặc thiết lập dưới đây:

• Truyền thông Internet Protocol security (IPsec)

• Các kết nối nhận thực 802.1X

• Cấu hình Dynamic Host Configuration Protocol (DHCP)

• Các kết nối Terminal Services Gateway (TS Gateway)

NPS cũng thay thế và tích hợp Internet Authenticate Service (IAS) có trong các phiên bản trước của Windows Server Nếu bạn quan tâm tới toàn bộ các tính năng NPS của Windows Server 2008, hãy tham khảo bài viết bằng tiếng Anh tại đây.

Các lưu ý và yêu cầu trước khi thực thi

Trong hướng dẫn này, chúng ta sẽ chỉ thiết lập chức năng RADIUS của NPS Chúng ta sẽ sử dụng

Extensible Authentication Protocol (EAP)—Protected EAP (PEAP) một cách chi tiết Để thực thi nhận thực 802.1X yêu cầu bạn cần có một chứng chỉ bảo mật máy chủ Người dùng đăng nhập bằng username

và password của các tài khoản được định nghĩa trong Active Directory trên Windows Server

Cần lưu ý rằng bạn cần có một bộ điều khiển không dây hoặc AP được cấu hình bằng một địa chỉ IP tĩnh Sau đó cần tạo một entry trong Windows Server cho mỗi AP với địa chỉ IP của nó và bí mật chia sẻ.Cần bảo đảm bạn đã thực hiện cấu hình ban đầu của Windows Server 2008 Thiết lập thời gian vùng, kết nối với mạng bằng một địa chỉ IP tĩnh, đặt tên cho máy chủ, kích hoạt tự động nâng cấp, cài đặt các nâng cấp có sẵn

Bạn cũng cần có một Active Directory Domain setup Bảo đảm rằng Active Directory Domain Services

role được kích hoạt và bạn đã cấu hình nó với tiện ích dcpromo.exe.

Cài đặt Certificate Services role

Để sử dụng giao thức PEAP, bạn phải cài đặt Certificate Services role Role Certificate Services cho phép bạn tạo một Certificate Authority (CA) để gán chứng chỉ yêu cầu tại máy chủ Ở đây máy khách có thể hợp lệ hóa máy chủ trước khi gửi các chứng chỉ đăng nhập của nó

Trong cửa sổ Initial Configuration Tasks, tìm đến phần Add roles và kích nó Nếu bạn đã đóng hoặc ẩn

cửa sổ này, hãy kích Start > Server Manager, chọn Roles, kích Add Roles

Chọn Active Directory Certificate Services (xem trong hình 1), kích Next.

Hình 1: Chọn cài đặt Active Directory Certificate Services role

Kích Next trên màn hình Sau đó chọn role Certification Authority và Certificate Authority Web Enrollment.Khi gặp nhắc nhở (xem trong hình 2), kích Add Required Role Services Sau đó kích Next để tiếp tục.

Hình 2: Cấu hình bằng cách thêm các dịch vụ role

Chọn kiểu Enterprise (hình 3) và kích Next.

Hình 5: Tạo khóa riêng mới

Sử dụng các tùy chọn mặc định để mã hóa CA (xem hình 6) và kích Next.

Hình 6: Tiếp tục bằng cách chấp nhận các giá trị mặc định

Nếu cần thiết bạn có thể thay đổi các thiết lập CA (xem ví dụ trong hình 7), kích Next Tuy nhiên với lý

do bảo mật bạn nên sử dụng FQDN làm tên chung Để dễ phân biệt chứng chỉ, bạn nên đặt -CA ở cuối tên

Hình 7: Chọn tên CA

Về thời gian hợp lệ, bạn có thể kéo dài thời gian này thêm đến 5 năm (chẳng hạn đến 20 năm giống như

trong hình 8), bằng cách này bạn sẽ không phải renew hoặc tạo lại chứng chỉ Kích Next để tiếp tục.

Hình 8: Tăng thời gian hợp lệ

Sử dụng các location cơ sở dữ liệu chứng chỉ mặc định (xem hình 9) bằng cách kích Next.

Hình 9: Tiếp tục chấp nhận các location mặc định

Làm mới lại Introduction to IIS và kích Next.

Nếu muốn, bạn có thể thay đổi các role đã được cài đặt và kích Next.

Làm mới lại các thiết lập và kích Install.

Yêu cầu chứng chỉ

Lúc này bạn đã thiết lập được CA, đã có một chứng chỉ được yêu cầu bởi PEAP cho máy chủ nhận thực

Đầu tiên bạn phải tạo Microsoft Management Console (MMC): Kích Start, đánh MMC và nhấn Enter Trên cửa sổ MMC, kích File>Add/Remove Snap-in.

Chọn Certificates (xem hình 10), kích Add.

Hình 10: Thêm Certificates snap-in

Chọn Computer account, kích Next.

Chọn Local computer, kích Finish và kích OK.

Mẹo:

Bạn có thể lưu MMC này trên desktop của mình để dễ dàng truy cập: kích File>Save.

Mở Certificates (Local Computer Account), mở Personal, kích phải Certificates và chọn All Tasks>Request New Certificate (xem hình 11).

Hình 11: Yêu cầu chứng chỉ mới

Trong cửa sổ thông tin, kích Next để tiếp tục.

Chọn Domain Controller, kích Enroll Sau khi thành công, kích Finish.

Kết luận

Trong bài này, chúng tôi đã giới thiệu cho các bạn về chế độ Enterprise của Wi-Fi Protected Access cùng với nhận thực 802.1X có thể bảo mật cho mạng không dây như thế nào Sau khi thực hiện việc cấu hình ban đầu đối với Windows Server 2008 và thiết lập Active Directory, chúng ta đã cài đặt Certificate

Services để tạo CA Sau đó đã cấp phát chứng chỉ

Trong phần tiếp theo của loạt bài này, chúng ta sẽ tiếp tục việc cài đặt Network Policy và Access Services role, cấu hình các bộ điều khiển không dây hay AP, cấu hình các máy tính khách

Văn Linh (Theo Windowsnetworking)

Thiết lập nhận thực Wi-Fi trong Windows Server 2008 – Phần 2

sẻ

Quản trị mạng – Phần hai này chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cấu hình chức năng

RADIUS trong Windows Server 2008, giới thiệu cách cấu hình các điểm truy cập không dây và cách cấu hình các máy khách

Trong phần một của loạt bài này, chúng tôi đã giới thiệu cho các bạn lý do tại sao các doanh nghiệp nên

sử dụng chế độ Enterprise của Wi-Fi Protected Access (WPA hoặc WPA2) thay vì sử dụng chế độ

Personal (PSK) Chúng ta cũng biết rằng nhận thực 802.1X trong chế độ Enterprise yêu cầu máy chủ RADIUS và đây là mọt thành phần có sẵn trong Windows Server

Chúng ta đã cài đặt và cấu hình Certificate Services trong Windows Server 2008 Trong phần này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách cài đặt và cấu hình Network Policy and Access Services Sau

đó sẽ thiết lập các bộ điều khiển và các điểm truy cập không dây với các thiết lập mã hóa và RADIUS Tiếp đến chúng ta sẽ cấu hình các máy khách và thực hiện kết nối

Cài đặt Network Policy and Access Services Role

Trong các phiên bản Windows Server trước, chức năng RADIUS được cung cấp bởi dịch vụ nhận thực Internet (Internet Authenticate Service, được viết tắt là IAS) Tuy nhiên bắt đầu từ Windows Server 2008,

nó được cung cấp bởi Network Policy and Access Services Thành phần này gồm có các dịch vụ IAS trước cùng với tính năng NAP mới

Trong cửa sổ Initial Configuration Tasks, bạn tìm và kích Add roles Nếu bạn đã đóng hoặc đã ẩn cửa

sổ đó, hãy kích Start> Server Manager, chọn Roles và kích Add Roles

Chọn Network Policy and Access Services (xem trong hình 1) và kích Next.

Hình 1: Cài đặt Network Policy and Access Services role

Xem lại hướng dẫn và kích Next.

Chọn các mục được liệt kê dưới đây (xem hình 2):

• Network Policy Server

• Routing and Remote Access Servers

• Remote Access Services

Hình 2: Chọn cài đặt bốn tùy chọn đầu tiên

Kích Next, sau đó kích Install và đợi cho quá trình cài đặt hoàn tất rồi kích Close.

Lúc này bạn có thể bắt đầu việc cấu hình NPS với chức năng RADIUS: kích Start, đánh nps.msc và nhấnEnter.

Với tùy chọn Standard Configuration, chọn RADIUS server for 802.1X Wireless or Wired

Connections(xem hình 3) từ menu sổ xuống.

Hình 3: Chọn RADIUS server for 802.1X

Kích Configure 802.1X.

Với Type of 802.1X connections, chọn Secure Wireless Connections (xem trong hình 4) và kích Next.

Hình 4: Chọn bảo mật các kết nối không dây

Với mỗi bộ điều khiển hoặc điểm truy cập không dây, kích Add để tạo một entry máy khách RADIUS

mới Nhưng những gì thể hiện trong hình 5, bạn sẽ phải chỉ định tên, đây là thứ giúp bạn dễ phân biệt, địa chỉ IP hoặc DNS và bí mật chia sẻ Shared Secret

Hình 5: Nhập vào các thông tin chi tiết cho bộ điều khiển hay điểm truy cập không dây của bạnCác bí mật này rất quan trọng cho việc nhận thực và mã hóa Hãy nhập vào các chi tiết phức tạp và có độ dài nhất định, giống như mật khẩu Chúng cần phải mang tính duy nhất đối với mỗi bộ điều khiển hay AP không dây Sau đó bạn cần phải nhập các bí mật chia sẻ Shared Secret như vậy vào các bộ điều khiển hay

AP tương ứng Nhớ giữ bí mật chúng, lưu chúng vào một nơi nào đó an toàn

Về phương pháp nhận thực, Authentication Method, chọn Microsoft Protected EAP (PEAP) vì chúng ta

đang sử dụng PEAP

Kích nút Configure…, chọn chứng chỉ mà bạn đã tạo trước, kích OK.

Trong cửa sổ Specify User Groups (xem hình 6), kích Add.

Hình 6: Bổ sung các nhóm người dùng mà bạn muốn họ có thể kết nốiTrong các hộp thoại Select Group, nhập vào các nhóm, kích Advanced để tìm kiếm các nhóm có sẵn

Nếu chưa tạo các nhóm bổ sung, bạn hãy chọn Domain Users để cho phép người dùng và Domain Computers cho nhận thực máy nếu các bộ điều khiển hay AP của bạn hỗ trợ nó Nếu nhận được thông

báo lỗi rằng miền đó không tồn tại, bạn hãy khởi động lại máy chủ Active Directory Domain Services và thực hiện lại lần nữa

Khi đã thêm các nhóm mong muốn, kích Next để tiếp tục.

Trong cửa sổ Configure a VLAN (xem hình 7), nếu mạng của bạn (switch và các bộ điều khiển hay AP)

hỗ trợ VLAN và bạn đã cấu hình chúng, khi đó hãy kích Configure… để thiết lập chức năng VLAN.

Hình 7: Kích nút Configure để định nghĩa các thiết lập VLAN

Giờ đây bạn đã thực hiện xong việc cấu hình VLAN, hãy kích Next.

Xem lại các thiết lập và kích Finish.

Cấu hình các bộ điều khiển hoặc AP không dây

Giờ là lúc chúng ta thực hiện cấu hình các bộ điều khiển hay các điểm truy cập không đây Đầu tiên, hãy triệu gọi giao diện web bằng cách nhập địa chỉ IP của chúng vào trình duyệt Sau đó điều hướng đến các thiết lập không dây

Chọn -Enterprise hoặc WPA2-Enteprise Về kiểu mã hóa, chọn TKIP if using WPAorAES if using WPA2 Sau đó nhập vào địa chỉ IP cho máy chủ RADIUS, đây là máy Windows Sever mà bạn thiết lập

Tiếp đến, nhập vào các bí mật chia sẻ mà bạn đã tạo trước đó cho bộ điều khiển và AP Sau đó lưu lại các thiết lập

Cài đặt chứng chỉ CA tên máy khách

Trong phần 1, bạn đã tạo chứng chỉ máy chủ và Certificate Authority (CA) cho riêng mình Vì vậy bạn

cần cài đặt CA vào các máy khách của mình Bằng cách này, máy khách có thể hợp lệ hóa máy chủ trước khi thực hiện nhận thực.

Nếu đang điều hành một mạng miền bằng Active Directory, bạn cần triển khai chứng chỉ này với Group Policy Mặc dù vậy, cũng có thể tự mình thực hiện việc cài đặt nó, đây là những gì chúng ta sẽ thảo luận

Để xem và quản lý các chứng chỉ trong Windows Server 2008, triệu gọi Certificate Manager Nếu bạn đã lưu MMC đó vào desktop của mình trong phần 1, hãy mở nó Bằng không hãy làm theo các bước dưới đây:

1. Kích Start, đánh MMC và nhấn Enter.

2. Trên cửa sổ MMC, kích File>Add/Remove Snap-in.

3. Chọn Certificates và kích Add.

4. Chọn Computer account và kích Next.

5. Chọn Local computer, kích Finish, sau đó kích OK.

Mẹo: Bạn nên lưu MMC này ra desktop của mình để dễ truy cập sau này: kích File>Save.

Mở rộng Certificates (Local Computer Account), mở Personal, kích Certificates.

Như những gì thể hiện trong hình 8, kích phải vào chứng chỉ có tận cùng là CA, sau đó chọn All

Tasks,Export… Sau đó thực hiện theo wizard để export Khi được nhắc nhở, không export khóa riêng

mà sử dụng định dạng DER Bạn nên export vào ổ USB để có thể mang đến các máy khách khác một cách dễ dàng

Hình 8: Export chứng chỉ CA để cài đặt vào các máy khách

Lúc này trên các máy khách, kích đúp chứng chỉ và kích nút Install Certificate (hình 9) Sử dụng wizard

để import nó vào kho chứa Trusted Root Certificate Authorities.

Hình 9: Cài đặt chứng chỉ CA vào máy khách

Cấu hình các thiết lập mạng trên máy khách

Bạn có thể cấu hình các thiết lập mạng Giống như việc cài đặt chứng chỉ, bạn có thể đẩy các thiết lập mạng cho các máy khách bằng Group Policy nếu đang điều hành một mạng miền bằng Active Directory Mặc dù vậy bạn vẫn có thể cấu hình một cách thủ công các máy khách, giống như cách được thảo luận với Windows XP, Vista và 7 dưới đây

Đầu tiên, tạo một network profile hoặc entry mạng ưa thích Với Security Type chọn

WPA-Enterprise hoặcWPA2-Enteprise Với Encryption Type, chọn TKIP if using WPA hoặc AES if using

WPA2.

Mở network profile và chọn tab Security (trong Vista & 7) hoặc tab Authentication (trong XP) Trong

XP, tích tùy chọn Enable IEEE 802.1x authentication for this network.

Với Network Authentication method (trong Vista & 7, như thể hiện trong hình 10) hoặc EAP Type (trong

XP), chọn Protected EAP (PEAP) Trong XP, cũng hủy chọn cả hai hộp kiểm dưới cùng của cửa sổ.