Hướng dẫn sử dụng FreeRADIUS để thẩm định Wi-Fi – Phần 2

Quản trị mạng – Trong phần một của loạt bài này chúng tôi đã giới thiệu cho các bạn cách cài đặt FreeRADIUS để thực hiện thẩm định 802.1 X/PEAP, với mục đích để chạy mã hóa WPA hoặc WPA2 Enterprise trên mạng Wi-Fi. Chúng ta đã load một PC với hệ điều hành CentOS 5.3 và đã cài đặt FreeRADIUS phiên bản 2.1.6. Thêm vào đó chúng ta đã tạo một số tài khoản người dùng và đã nhập vào một số thông tin chi tiết của AP. Trong phần hai này, chúng tôi sẽ giới thiệu cho các...
Nội dung trích xuất từ tài liệu:
Hướng dẫn sử dụng FreeRADIUS để thẩm định Wi-Fi – Phần 2 Hướng dẫn sử dụng FreeRADIUS để thẩm định Wi-Fi – Phần 2 Quản trị mạng – Trong phần một của loạt bài này chúng tôi đã giới thiệu cho các bạn cách cài đặt FreeRADIUS để thực hiện thẩm định 802.1 X/PEAP, với mục đích để chạy mã hóa WPA hoặc WPA2 Enterprise trên mạng Wi-Fi. Chúng ta đã load một PC với hệ điều hành CentOS 5.3 và đã cài đặt FreeRADIUS phiên bản 2.1.6. Thêm vào đó chúng ta đã tạo một số tài khoản người dùng và đã nhập vào một số thông tin chi tiết của AP. Trong phần hai này, chúng tôi sẽ giới thiệu cho các bạn cách mở tường lửa CentOS và cấu hình các điểm truy cập (AP). Sau đó sẽ là phân phối file CA đến tất cả các máy tính và cấu hình chúng với các thiết lập thẩm định và mã hóa. Cuối cùng là thiết lập SQL để bạn có thể lưu trữ các thông tin AP và thông tin người dùng trong một cơ sở dữ liệu thay vì các file văn bản. Mở tường lửa CentOS có tường lửa đính kèm được kích hoạt một cách mặc định. Để lưu lượng RADIUS đến được FreeRADIUS, bạn phải mở các cổng mà nó sử dụng. Kích System > Administration > Security Level and Firewall. Sau đó kích mũi tên để mở rộng phần Other Ports. Thêm các cổng UDP 1812 và 1813 sau đó kích Apply. Khởi động lại máy chủ để load các thiết lập mới Nếu bạn thực hiện những thay đổi về cấu hình trong khi FreeRADIUS đang hoạt động, khi đó bạn phải khởi động lại máy chủ để những thay đổi của bạn có hiệu lực. Để stop máy chủ, hãy vào cửa sổ terminal và nhấn Ctrl + C. Sau đó đánh '/usr/sbin/radiusd -X' lần nữa (hoặc nhấn phím mũi tên hướng lên) để bắt đầu quá trình khởi động lại. Nếu bạn đang mở một cửa sổ terminal mới, bạn phải đánh 'su' trước để chạy ở chế độ root. Lúc này máy chủ sẽ chạy và chuẩn bị chấp nhận các yêu cầu thẩm định từ phía người dùng Wi-Fi. Khi mạng mã hóa của bạn hoạt động, bạn có thể bỏ qua '–X' để bắt đầu FreeRADIUS mà không cần việc gỡ rối. Máy chủ sẽ làm việc trong chế độ background và bạn có thể tham chiếu đến các file bản ghi và việc giải thích dữ liệu. Cấu hình các AP Đây cũng là lúc bạn có thể cấu hình các AP. Sau khi thiết lập chúng để sử dụng mã hóa WPA (TKIP) hay WPA2 (AES) Enterprise, bạn phải nhập vào các thiết lập RADIUS. Những thiết lập này bao gồm địa chỉ IP của máy FreeRADIUS, cổng (1812), và những bí mật mà bạn đã định nghĩa cho AP nào đó. Hầu hết các AP đều hỗ trợ việc giải thích để lưu các thông tin session. Nếu bạn cần giải thích, bạn phải nhập vào các thông tin chi tiết tương tự của máy chủ với cổng 1813. Cài đặt file CA trên tất cả các máy tính Mặc dù giao thức thẩm định PEAP không yêu cầu các chứng chỉ máy khách, tuy nhiên bạn vẫn phải cài đặt một chứng chỉ cho Certificate Authority (CA) trên mỗi một máy tính. Điều này là vì chúng ta sẽ sử dụng chứng chỉ tự ký cho máy chủ thay cho việc mua một chứng chỉ đã ký từ một CA mà Windows có thể nhận diện, chẳng hạn như VeriSign hoặc GoDaddy. Bạn cần copy file etc/raddb/certs/ca.dervào tất cả các máy tính. Bạn có thể copy nó vào ổ USB và thực hiện paste vào mỗi một máy tính. Để copy, bạn hãy mở một terminal mới và đánh su để vào chế độ root, hoặc sử dụng một chế độ đang tồn tại nào đó, và chạy một lệnh copy, chẳng hạn như cp /etc/raddb/certs/ca.der /newlocation/certs. Mẹo: Để tìm ra đường dẫn đến thiết bị, chẳng hạn như USB, kích Places > Computer, mở thiết bị và kích chuột phải vào bất cứ file nào trên thiết bị đó, sau đó chọn Properties và copy lấy giá trị Location. Lúc này, trên mỗi máy tính Windows, kích chuột phải vào file chứng chỉ và chọn Install Certificate. Sau đó đặt nó vào kho lưu trữ Trusted Root Certification Authorities. Trên hộp thoại xác nhận, chọn Yes để cài đặt. Cấu hình các máy tính với các thiết lập thẩm định và mã hóa Trên các mạng WEP và WPA/WPA2-personal, bạn chỉ chọn mạng và sẽ được nhắc nhở về key. Mặc dù việc kết nối đến các mạng mã hóa doanh nghiệp gặp nhiều phức tạp trong việc cấu hình hơn nhưng khi đã cấu hình, bạn có thể kết nối một cách đơn giản với mạng bằng cách nhập vào username và password, thậm chí bạn có thể lưu những thông tin này để không phải nhập nó nhiều lần. Nếu chưa có một profile nào không tồn tại trong mạng, bạn cần tạo một profile mới. Sau đó cấu hình các thiết lập. Nhớ rằng, bạn đang sử dụng mã hóa WPA (TKIP) hoặc WPA2 (AES) Enterprise với thẩm định PEAP. Trong hộp thoại các thuộc tính của PEAP, bạn cần chọn để hợp lệ hóa chứng chỉ máy chủ và chọn chứng chỉ mình đã import. Thêm vào đó bạn có thể nhập địa chỉ IP của máy chủ để sử dụng khi hợp lệ hóa. Sau đó bảo đảm rằng bạn sử dụng phương pháp Password (EAP-MSCHAP v2). Kích nút Configure để bảo đảm thiết lập (Automatically use my Windows logon name and password) trên hộp thoại không được kiểm. Cần lưu ý rằng, lần đầu bạn kết nối mạng, hộp thoại Validate Server Certificate sẽ xuất hiện, đôi khi nó có thể ẩn đằng sau các cửa sổ khác. Khi đó hãy kích Ok để chấp nhận chứng chỉ và tiếp tục kết nối. Thiết lập SQL ...