Bảo mật lưu lượng mạng không dây – Phần 6

Quản trị mạng – Trong phần tiếp theo này, chúng tôi sẽ giới thiệu cho các bạn cách triển khai máy chủ chính sách và cách kết nạp chứng chỉ cũng như đăng ký Active Directory cho máy chủ đó. Trong phần trước của loạt bài này, chúng ta đã biết rằng một trong những cách tốt nhất bảo mật lưu lượng mạng không dây là coi chúng như một mạng không được bảo vệ. Ý tưởng ở đây là xác thực bất cứ ai sử dụng mạng không dây theo cách mà bạn xác thực người dùng kết nối...
Nội dung trích xuất từ tài liệu:
Bảo mật lưu lượng mạng không dây – Phần 6 Bảo mật lưu lượng mạng không dây – Phần 6Quản trị mạng – Trong phần tiếp theo này, chúng tôi sẽ giới thiệu cho các bạncách triển khai máy chủ chính sách và cách kết nạp chứng chỉ cũng nh ư đăngký Active Directory cho máy ch ủ đó.Trong phần trước của loạt bài này, chúng ta đã biết rằng một trong những cáchtốt nhất bảo mật l ưu lượng mạng không dây là coi chúng như m ột mạng khôngđược bảo vệ. Ý t ưởng ở đây là xác thực bất cứ ai sử dụng mạng không dây theocách mà bạn xác thực người dùng kết nối với VPN của mình. Windows Server2008 có thể được cấu hình để cung cấp hành động xác thực như vậy. Để thựchiện điều này, bạn phải cấu hình Windows làm việc như một máy chủ chínhsách mạng (NPS).Trước khi bắt đầuTrước khi giới thiệu cách cấu hình máy chủ chính sách mạng, chúng tôi muốncung cấp cho các bạn một số điều kiện ti ên quyết. Như đã giải thích trong phầntrước, quá trình xác thực chủ yếu dựa trên chứng chỉ. Chính vì vậy bạn cầnphải triển khai CA doanh nghiệp trên mạng theo cách được mô tả trong phầntrước hoặc thu thập chứng chỉ từ tổ chức th ương mại.Ngoài ra, chúng ta c ũng phải thiết lập môi tr ường Active Directory và máy chủsẽ cấu hình làm máy chủ NPS là thành viên miền. Thêm vào đó mạng cũng sẽyêu cầu máy chủ DNS (giống như tất cả các môi trường Active Directory) vàcần phải có thêm máy chủ DHCP.Cuối cùng, tuy không nhất thiết yêu cầu nhưng chúng ta nên cài đặt NetworkPolicy Server trên m ột máy tính chuyên biệt (có thể là vật lý hoặc có thể làmáy ảo). Ý tưởng ở đây là, nếu Network Policy Server có bị thỏa hiệp thìhacker cũng không thể tăng truy cập vào các dịch vụ mạng khác.Triển khai máy chủ chính sách mạngĐể triển khai máy chủ chính sách mạng, các bạn hãy mở Server Manager vàkích mục Roles. Tiếp theo, kích liên kết Add Roles, Windows sẽ mở AddRoles Wizard. Sau khi Wizard xuất hiện, kích Next để băng qua màn hìnhchào. Tại đây, bạn sẽ thấy màn hình yêu cầu bạn chọn role máy chủ. ChọnNetwork Policy and Access Services và kích Next.Lúc này bạn sẽ thấy màn hình giới thiệu về role Network Policy an d AccessServices. Kích Next m ột lần nữa bạn sẽ thấy nhắc nhở chọn dịch vụ role cầntriển khai. Chọn dịch vụ Network Policy Server nh ư thể hiện trong hình A vàkích Next. Hình A: Chọn dịch vụ Network Policy Server và kích Next.Màn hình tiếp theo sẽ hiển thị bảng tóm tắt các t ùy chọn cài đặt mà bạn đãchọn. Hãy thẩm định lại các t ùy chọn tên màn hình và sau đó kích nút Install.Khi quá trình triển khai hoàn tất, kích Close.Yêu cầu chứng chỉCho đến đây chúng ta đã cài đặt xong các dịch vụ chính sách mạng, bước tiếptheo cần thực hiện l à cung cấp cho nó một chứng chỉ để sử dụng trong quátrình xác thực. Do chúng ta đã thiết lập CA doanh nghiệp trong phần tr ước nênchúng tôi sẽ giới thiệu cho các bạn cách phát h ành yêu cầu từ CA đó. Thủ tụccần thực hiện ở đây được thực hiện trên Windows Server 2008 R2. Các bướcthực hiện cụ thể có thể khác biệt đôi chút nếu bạn sử dụng Windows Server2008.Bắt đầu quá trình bằng cách nhập lệnh MMC tại nhắc lệnh Run của máy chủ.Khi đó máy chủ sẽ load một giao diện quản lý trống. Chọn Add / RemoveSnap-in từ menu File và sau đó Certificates t ừ danh sách các snap-in có sẵn,tiếp theo kích nút Add. Khi gặp nhắc nhở, hãy thiết lập sử dụng snap-in đểquản lý chứng chỉ cho tài khoản máy tính. Kích Next, sau đó chọn t ùy chọnLocal Computer và kích Finish.Khi kích OK, bạn sẽ thấy giao diện Certificates. Điều h ướng qua cây giao diệnđể đến mục Certificates (Local Computer) | Personal nh ư thể hiện trong hìnhB. Hình B: Điều hướng đến mục Certificates (Local Computer) | PersonalKích phải vào mục Personal và chọn All Tasks | Request New Certificate từmenu xuất hiện. Lúc đó Windows sẽ khởi chạy Certificate Enrollment Wizard.Kích Next để băng qua màn hành chào, và bạn sẽ được đưa đến màn hình yêucầu chọn chính sách kết nạp chứng chỉ. Hãy sử dụng giá trị mặc định (ActiveDirectory Enrollment Policy) và kích Next.Màn hình dưới đây sẽ yêu cầu bạn cung cấp kiểu chứng chỉ mà bạn muốn yêucầu. Chọn tùy chọn Computer như thể hiện trong hình C và kích nút Enroll. Hình C: Chọn tùy chọn Computer và kích nút EnrollĐăng ký máy chủ chính sách mạngMáy chủ chính sách mạng đã được cung cấp chứng chỉ cần thiết, lúc này chúngta hãy đi đăng ký máy chủ trong cơ sở dữ liệu Active Directory. Để thực hiệnđiều đó, hãy vào Administrative Tools và mở giao diện quản lý NetworkPolicy Server. Kích phải vào nút (NPS (Local)) và ch ọn Register Server tronglệnh Active Directory từ menu chuột phải, xem thể hiện trong h ình D. Hình D: Bạn phải đăng ký máy chủ chính sách mạng trong Active DirectoryKhi đăng ký máy chủ trong Active Directory, bạn sẽ thấy thông báo xuất hiệnnhư trong hình E, đây là thông báo giải thích cho bạn biết rằng, để máy chủchính sách mạng được sử dụng cho mục đích xác thực thì nó phải được phépđọc thuộc tín ...