Hướng dẫn sử dụng FreeRADIUS để thẩm định Wi-Fi – Phần 1

Quản trị mạng – Các mạng không dây cho các doanh nghiệp, dù lớn hay nhỏ, luôn phải được bảo vệ bằng chế độ enterprise của Wi-Fi Protected Access (WPA hoặc WPA2). Đây là chế độ cung cấp khả năng mã hóa mạnh hơn để bảo vệ mạng của bạn chống lại các tấn công Wi-Fi. Nó cũng có thể ẩn các khóa mã hóa đối với người dùng của bạn, chính vì vậy người dùng sẽ khó khăn hơn trong việc thỏa hiệp, không giống như chế độ (PSK) (personal hoặc pre-shared key) của WPA hoặc WPA2, chế độ...
Nội dung trích xuất từ tài liệu:
Hướng dẫn sử dụng FreeRADIUS để thẩm định Wi-Fi – Phần 1 Hướng dẫn sử dụng FreeRADIUS để thẩm định Wi-Fi – Phần 1 Quản trị mạng – Các mạng không dây cho các doanh nghiệp, dù lớn hay nhỏ, luôn phải được bảo vệ bằng chế độ enterprise của Wi -Fi Protected Access (WPA hoặc WPA2). Đây là chế độ cung cấp khả năng mã hóa mạnh hơn để bảo vệ mạng của bạn chống lại các tấn công Wi -Fi. Nó cũng có thể ẩn các khóa mã hóa đối với người dùng của bạn, chính vì vậy người dùng sẽ khó khăn hơn trong việc thỏa hiệp, không giống nh ư chế độ (PSK) (personal hoặc pre-shared key) của WPA hoặc WPA2, chế độ phân phối các khóa mã hóa dễ bị tấn công, vì người dùng có thể tiết lộ các khóa của họ cho các ch ương trình mã độc mặc dù không chủ tâm. Mặc dù vậy phiên bản enterprise lại yêu cầu bạn sử dụng một máy chủ RADIUS. Máy chủ này sẽ giúp người dùng tự thẩm định họ để có thể truy cập vào mạng. Thay vì phải nhập vào khóa mã hóa, người dùng đăng nhập vào mạng bằng username và password. Các khóa th ực sẽ được trao đổi mà người dùng không hề biết và khóa của người dùng là khác nhau c ũng như được cập nhật thường xuyên. Chúng ta có thể sử dụng máy chủ FreeRADIUS l àm máy chủ thẩm định, đây là một dự án mã nguồn mở, được phát triển trong GNU General Public License Version 2 (GPLv2). Nó quả thực là một máy chủ RADIUS đã được sử dụng rộng khắp trên toàn thế giới. Ngoài việc thực hiện thẩm định 802.1X/PEAP, thẩm định mà chúng ta sẽ thiết lập, máy chủ này còn hỗ trợ nhiều kiểu thẩm định khác đối với một loạt kiểu mạng khác nhau. Nó cũng có khả năng tự động chuyển đổi dự phòng, cân bằng tải và hỗ trợ nhiều cơ sở dữ liệu backend. Trước tiên bạn cần cài đặt một phân phối Linux. Hướng dẫn này được dựa trên hệ điều hành CentOS, một hệ điều hành mã nguồn mở miễn phí. Bên cạnh đó các hệ điều hành Mac OS X và Windows cũng được hỗ trợ, cũng như các phân phối Linux. Mẹo: Nếu không thực hiện một cài đặt mới mặc định của CentOS 5.3, bạn cần bảo đảm đã cài đặt gói OpenSSL trước khi thực hiện. Bạn có thể cài đặt FreeRADIUS trên bất cứ PC cũ nào. Chỉ cần bảo đảm rằng máy tính FreeRADIUS có m ột kết nối chạy dây với mạng. Thêm vào đó cũng bảo đảm rằng nó có một địa chỉ IP tĩnh chứ không phải l à một địa chỉ động. Gán địa chỉ này cho adapter mạng trong CentOS hoặc dự trữ một địa chỉ khác thông qua các thiết lập DHCP của router. Lưu ý: Hướng dẫn cài đặt được dựa tên phiên bản 5.3 của hệ điều hành CentOS và phiên bản FreeRADIUS 2.1.6. Lúc này các gói phần mềm FreeRADIUS hiện hành không được cung cấp thông qua địa chỉ l ưu trữ CentOS thông thường mà chỉ có các gói phần mềm phi ên bản cũ 1.x.x. Chính vì vậy chúng ta sẽ sử dụng một location của nhóm thứ ba. Mặc dù vậy sau này bạn vẫn có thể cài đặt phiên bản hiện hành (2.x.x) của FreeRADIUS bằng cách sử dụng các gói phần mềm thông qua Package Manager hoặc một cách n ào đó. 1. Sử dụng CentOS, download file freeradius2.repo và lưu nó vào desktop. 2. Mở một Terminal và đánh su, nhập vào mật khẩu gốc của bạn. Sau đó đánh cp /home/yourusername/Desktop/freeradius2.repo /etc/yum.repos.d. 3. Tiếp tục đánh yum install freeradius2, và khi được nhắc nhở, nhập y để bắt đầu quá trình cài đặt. 4. Nếu cần đến các dependency, hãy chọn để cài đặt chúng. Mẹo: Nếu bạn gặp lỗi Package is not signed, hãy đánh gedit và sử dụng trình soạn thảo văn bản (text editor) để thay đổi gpgcheck=1 thành gpgcheck=0 trong file /etc/yum.conf, sau đó lưu và đóng tr ình soạn thảo văn bản. Sau khi cài đặt hoàn tất, đảo ngược các thiết lập n ày. Hãy đánh vào dòng cài đặt lần nữa trong cửa sổ terminal đang tồn tại. Bạn có thể cài đặt các gói phần mềm FreeRADIUS bổ sung, chẳng hạn nh ư gói phần mềm hỗ trợ cho cơ sở dữ liệu backend. Để thấy đ ược danh sách các gói, hãy đánh yum info freeradius2*. Trong hướng dẫn này, chúng tôi chỉ sử dụng MySQL, vì vậy chúng tôi cài đặt nó bằng câu lệnh yum install freeradius2-mysql. Tiếp đến, chọn cài đặt các dependency bằng cách đánh “y”. Khởi động cấu hình file Nếu bạn chưa làm việc với các máy chủ Unix/Linux hoặc các ứng dụng dòng lệnh thì FreeRADIUS có thể khá khó hiểu đối với bạn lúc này. Mặc dù có một vài tiện ích GUI có sẵn nh ưng nó thường được cấu hình thông qua các file văn bản cấu hình. Việc cài đặt FreeRADIUS rất đơn giản. Các file cấu hình mặc định được cấu hình trước để chạy hầu hết các giao thức thẩm định m à không cần nhiều hay bất cứ thay đổi nào. Không thay đổi hoặc xóa các thiết lập mà bạn không hiểu những gì về nó và những gì nó thực hiện. Một lỗi đơn giản có thể phá hỏng cấu hình và có thể tốn nhiều thời gian để khắc phục sự cố. Nếu bạn có bất cứ thay đổi n ào bên ngoài hướng dẫn này, hãy thực hiện từng bước một. Thay đổi một thiết lập hoặc một phần chứa các thiết lập, sau đó test xem điều gì đã xảy ra với thay đổi của bạn. Tạo các chứng chỉ tự ký cho PEAP Mặc dù các chứng chỉ SSL được yêu cầu cho PEAP nhưng TLS hiện được tạo một cách tự động bởi FreeRADIUS, vì vậy bạn vẫn phải t ùy chỉnh các thuộc tính n ...