Thiết lập nhận thực Wi-Fi trong Windows Server 2008

Quản trị mạng – Tại sao doanh nghiệp sử dụng chế độ Enterprise của mã hóa WPA/WPA2 với nhận thực 802.1X cho các mạng không dây của họ và thiết lập Windows Server 2008 làm việc như một máy chủ RADIUS.Nếu thực thi kết nối Wi-Fi trong mạng doanh nghiệp của mình, bạn nên sử dụng chế độ Enterprise của bảo mật Wi-Fi Protected Access (WPA hoặc WPA2) – tốt nhất là WPA2 với mã hóa AES.Chế độ Enterprise này sử dụng nhận thực 802.1X, đây là kiểu nhận thực cung cấp các khóa mã hóa duy nhất cho mỗi...
Nội dung trích xuất từ tài liệu:
Thiết lập nhận thực Wi-Fi trong Windows Server 2008Thiết lập nhận thực Wi-Fi trong Windows Server 2008 – Phần 1 Chia  Bản in sẻQuản trị mạng – Tại sao doanh nghiệp sử dụng chế độ Enterprise của mã hóa WPA/WPA2 với nhậnthực 802.1X cho các mạng không dây của họ và thiết lập Windows Server 2008 làm việc như mộtmáy chủ RADIUS.Nếu thực thi kết nối Wi-Fi trong mạng doanh nghiệp của mình, bạn nên sử dụng chế độ Enterprisecủa bảo mật Wi-Fi Protected Access (WPA hoặc WPA2) – tốt nhất là WPA2 với mã hóa AES.Chế độ Enterprise này sử dụng nhận thực 802.1X, đây là kiểu nhận thực cung cấp các khóa mã hóaduy nhất cho mỗi session người dùng. Còn chế độ Personal sử dụng các khóa tiền chia sẻ Pre-SharedKey (PSK), đây là các mã hóa tĩnh và không đủ an toàn cho các doanh nghiệp hoặc các tổ chức.Chế độ Enterprise của WPA/WPA2 có một số ưu điểm quan trọng: • Người dùng kết cuối có thể đăng nhập bằng username và password của tài khoản miền của họ nếu bạn sử dụng Active Directory. Có thể thay đổi các chứng chỉ đăng nhập cũng như thu hồi quyền truy cập của một người dùng nào đó. Nếu sử dụng chế độ Personal, mọi người sẽ đăng nhập với cùng một khóa mã hóa tĩnh. Vì vậy nếu một laptop nào đó bị mất cắp, bạn cần phải thay đổi khóa mã hóa cho tất cả các máy khách khác – với chế độ Enterprise bạn sẽ không gặp phải điều này. • Chế độ này cho phép bảo mật khóa mã hóa tốt hơn. PSK của chế độ Personal rất dễ đoán bởi các tấn công brute-force dictionary. • Người dùng kết cuối sẽ nhận một cách an toàn các khóa mã hóa duy nhất cho mỗi session. Cho ví dụ, các nhân viên khác không thể can thiệp vào lưu lượng không dây của người khác giống như trong chế độ Personal. • Chế độ này hỗ trợ các mạng VLAN tốt hơn. Bạn có thể cấp một wireless network (SSID) cho tất cả người dùng, gồm có các nhân viên và các khách hàng. Có thể gán cho người dùng các VLAN khác nhau trong máy chủ RADIUS và đặt họ vào một VLAN được gán khi họ kết nối không dây.Chỉ có một vấn đề với chế độ Enterprise là việc thiết lập máy chủ Remote Authentication Dial InUser Service (RADIUS) và việc cấu hình các máy khách. Công việc này yêu cầu khá nhiều thời gian(và nhiều kinh phí hơn nếu bạn chưa có máy chủ Windows) trong thiết lập máy chủ và cấu hình cácđiểm truy cập không dây (AP). Thêm vào đó Windows cũng không cho phép dễ dàng kết nối với cáckiểu mạng này, do đó bạn phải nhờ thêm sự trợ giúp của những người có chuyên môn.Như những gì bạn có thể dự đoán, máy chủ Windows hiện có chức năng RADIUS server cho phépthực hiện nhận thực 802.1X. Do đó mà các bạn không cần phải mua riêng một máy chủ RADIUShoặc cần phải tìm hiểu về sản phẩm máy chủ mã nguồn mở như FreeRADIUS. Chức năng RADIUScủa Windows Server đã được đề cập trước đây trong nhiều phiên bản Windows Server 2000 và 2003,do đó trong bài này chúng tôi sẽ giới thiệu việc sử dụng nó trong phiên bản Windows Server 2008.Bắt đầu từ Windows Vista và Windows Server 2008, Microsoft đã gi ới thiệu một tính năng mới mangtên Network Policy Server (NPS). Tính năng Network Policy Server (NPS) c ủa Microsoft cho phép bạnthi hành các chính sách sức khỏe cho các máy khách theo các tính năng hoặc thiết lập dưới đây: • Truyền thông Internet Protocol security (IPsec) • Các kết nối nhận thực 802.1X • Kết nối VPN • Cấu hình Dynamic Host Configuration Protocol (DHCP) • Các kết nối Terminal Services Gateway (TS Gateway)NPS cũng thay thế và tích hợp Internet Authenticate Service (IAS) có trong các phiên bản trước củaWindows Server. Nếu bạn quan tâm tới toàn bộ các tính năng NPS của Windows Server 2008, hãytham khảo bài viết bằng tiếng Anh tại đây.Các lưu ý và yêu cầu trước khi thực thiTrong hướng dẫn này, chúng ta sẽ chỉ thiết lập chức năng RADIUS của NPS. Chúng ta sẽ sử dụngExtensible Authentication Protocol (EAP)—Protected EAP (PEAP) một cách chi ti ết. Để thực thi nhậnthực 802.1X yêu cầu bạn cần có một chứng chỉ bảo mật máy chủ. Người dùng đăng nhập bằngusername và password của các tài khoản được định nghĩa trong Active Directory trên Windows Server.Cần lưu ý rằng bạn cần có một bộ điều khiển không dây hoặc AP được cấu hình bằng một địa chỉ IPtĩnh. Sau đó cần tạo một entry trong Windows Server cho mỗi AP với địa chỉ IP của nó và bí mật chiasẻ.Cần bảo đảm bạn đã thực hiện cấu hình ban đầu của Windows Server 2008. Thiết lập thời gian vùng,kết nối với mạng bằng một địa chỉ IP tĩnh, đặt tên cho máy chủ, kích hoạt tự động nâng cấp, cài đặtcác nâng cấp có sẵn.Bạn cũng cần có một Active Directory Domain setup. Bảo đảm rằng Active Directory DomainServices role được kích hoạt và bạn đã cấu hình nó với tiện ích dcpromo.exe.Cài đặt Certificate Services roleĐể ...