intTypePromotion=1

Bảo mật lưu lượng mạng không dây – Phần 6

Chia sẻ: Abcdef_46 Abcdef_46 | Ngày: | Loại File: PDF | Số trang:6

0
57
lượt xem
8
download

Bảo mật lưu lượng mạng không dây – Phần 6

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Quản trị mạng – Trong phần tiếp theo này, chúng tôi sẽ giới thiệu cho các bạn cách triển khai máy chủ chính sách và cách kết nạp chứng chỉ cũng như đăng ký Active Directory cho máy chủ đó. Trong phần trước của loạt bài này, chúng ta đã biết rằng một trong những cách tốt nhất bảo mật lưu lượng mạng không dây là coi chúng như một mạng không được bảo vệ. Ý tưởng ở đây là xác thực bất cứ ai sử dụng mạng không dây theo cách mà bạn xác thực người dùng kết nối...

Chủ đề:
Lưu

Nội dung Text: Bảo mật lưu lượng mạng không dây – Phần 6

  1. Bảo mật lưu lượng mạng không dây – Phần 6 Quản trị mạng – Trong phần tiếp theo này, chúng tôi sẽ giới thiệu cho các bạn cách triển khai máy chủ chính sách và cách kết nạp chứng chỉ cũng nh ư đăng ký Active Directory cho máy ch ủ đó. Trong phần trước của loạt bài này, chúng ta đã biết rằng một trong những cách tốt nhất bảo mật l ưu lượng mạng không dây là coi chúng như m ột mạng không được bảo vệ. Ý t ưởng ở đây là xác thực bất cứ ai sử dụng mạng không dây theo cách mà bạn xác thực người dùng kết nối với VPN của mình. Windows Server 2008 có thể được cấu hình để cung cấp hành động xác thực như vậy. Để thực hiện điều này, bạn phải cấu hình Windows làm việc như một máy chủ chính sách mạng (NPS). Trước khi bắt đầu Trước khi giới thiệu cách cấu hình máy chủ chính sách mạng, chúng tôi muốn cung cấp cho các bạn một số điều kiện ti ên quyết. Như đã giải thích trong phần trước, quá trình xác thực chủ yếu dựa trên chứng chỉ. Chính vì vậy bạn cần phải triển khai CA doanh nghiệp trên mạng theo cách được mô tả trong phần trước hoặc thu thập chứng chỉ từ tổ chức th ương mại. Ngoài ra, chúng ta c ũng phải thiết lập môi tr ường Active Directory và máy chủ sẽ cấu hình làm máy chủ NPS là thành viên miền. Thêm vào đó mạng cũng sẽ yêu cầu máy chủ DNS (giống như tất cả các môi trường Active Directory) và cần phải có thêm máy chủ DHCP. Cuối cùng, tuy không nhất thiết yêu cầu nhưng chúng ta nên cài đặt Network Policy Server trên m ột máy tính chuyên biệt (có thể là vật lý hoặc có thể là máy ảo). Ý tưởng ở đây là, nếu Network Policy Server có bị thỏa hiệp thì hacker cũng không thể tăng truy cập vào các dịch vụ mạng khác. Triển khai máy chủ chính sách mạng Để triển khai máy chủ chính sách mạng, các bạn hãy mở Server Manager và kích mục Roles. Tiếp theo, kích liên kết Add Roles, Windows sẽ mở Add Roles Wizard. Sau khi Wizard xuất hiện, kích Next để băng qua màn hình chào. Tại đây, bạn sẽ thấy màn hình yêu cầu bạn chọn role máy chủ. Chọn Network Policy and Access Services và kích Next. Lúc này bạn sẽ thấy màn hình giới thiệu về role Network Policy an d Access
  2. Services. Kích Next m ột lần nữa bạn sẽ thấy nhắc nhở chọn dịch vụ role cần triển khai. Chọn dịch vụ Network Policy Server nh ư thể hiện trong hình A và kích Next. Hình A: Chọn dịch vụ Network Policy Server và kích Next. Màn hình tiếp theo sẽ hiển thị bảng tóm tắt các t ùy chọn cài đặt mà bạn đã chọn. Hãy thẩm định lại các t ùy chọn tên màn hình và sau đó kích nút Install. Khi quá trình triển khai hoàn tất, kích Close. Yêu cầu chứng chỉ Cho đến đây chúng ta đã cài đặt xong các dịch vụ chính sách mạng, bước tiếp theo cần thực hiện l à cung cấp cho nó một chứng chỉ để sử dụng trong quá trình xác thực. Do chúng ta đã thiết lập CA doanh nghiệp trong phần tr ước nên chúng tôi sẽ giới thiệu cho các bạn cách phát h ành yêu cầu từ CA đó. Thủ tục cần thực hiện ở đây được thực hiện trên Windows Server 2008 R2. Các bước thực hiện cụ thể có thể khác biệt đôi chút nếu bạn sử dụng Windows Server 2008. Bắt đầu quá trình bằng cách nhập lệnh MMC tại nhắc lệnh Run của máy chủ.
  3. Khi đó máy chủ sẽ load một giao diện quản lý trống. Chọn Add / Remove Snap-in từ menu File và sau đó Certificates t ừ danh sách các snap-in có sẵn, tiếp theo kích nút Add. Khi gặp nhắc nhở, hãy thiết lập sử dụng snap-in để quản lý chứng chỉ cho tài khoản máy tính. Kích Next, sau đó chọn t ùy chọn Local Computer và kích Finish. Khi kích OK, bạn sẽ thấy giao diện Certificates. Điều h ướng qua cây giao diện để đến mục Certificates (Local Computer) | Personal nh ư thể hiện trong hình B. Hình B: Điều hướng đến mục Certificates (Local Computer) | Personal Kích phải vào mục Personal và chọn All Tasks | Request New Certificate từ menu xuất hiện. Lúc đó Windows sẽ khởi chạy Certificate Enrollment Wizard. Kích Next để băng qua màn hành chào, và bạn sẽ được đưa đến màn hình yêu cầu chọn chính sách kết nạp chứng chỉ. Hãy sử dụng giá trị mặc định (Active Directory Enrollment Policy) và kích Next. Màn hình dưới đây sẽ yêu cầu bạn cung cấp kiểu chứng chỉ mà bạn muốn yêu cầu. Chọn tùy chọn Computer như thể hiện trong hình C và kích nút Enroll.
  4. Hình C: Chọn tùy chọn Computer và kích nút Enroll Đăng ký máy chủ chính sách mạng Máy chủ chính sách mạng đã được cung cấp chứng chỉ cần thiết, lúc này chúng ta hãy đi đăng ký máy chủ trong cơ sở dữ liệu Active Directory. Để thực hiện điều đó, hãy vào Administrative Tools và mở giao diện quản lý Network Policy Server. Kích phải vào nút (NPS (Local)) và ch ọn Register Server trong lệnh Active Directory từ menu chuột phải, xem thể hiện trong h ình D.
  5. Hình D: Bạn phải đăng ký máy chủ chính sách mạng trong Active Directory Khi đăng ký máy chủ trong Active Directory, bạn sẽ thấy thông báo xuất hiện như trong hình E, đây là thông báo giải thích cho bạn biết rằng, để máy chủ chính sách mạng được sử dụng cho mục đích xác thực thì nó phải được phép đọc thuộc tính “dial in” của ng ười dùng trong miền. Hộp thoại này sẽ hỏi bạn có muốn cung cấp cho máy chủ chính sách mạng sự cho phép. Hãy cấp phép và kích OK. Sau khi th ực hiện xong bạn sẽ thấy một thông báo nh ư thể hiện trong hình F báo cho bạn biết rằng máy chủ chính sách hiện đ ược phép đọc các thuộc tính “dial in” của ng ười dùng từ miền hiện có. Mặc dù vậy, nếu cần xác thực người dùng từ các miền khác, máy chủ chính sách mạng phải l à thành viên miền của nhóm các máy chủ RAS / NPS cho cá c miền đó.
  6. Hình E: Máy chủ chính sách mạng phải có khả năng đọc thuộc tính “dial -in” của người dùng từ Active Directory Hình F: Máy chủ chính sách mạng chỉ được phép đọc các thuộc tính “dial-in của người dùng từ miền hiện hành Kết luận Cho đến đây, chúng ta đã đăng ký được chính sách mạng b ên trong Active Directory và có thể bắt đầu việc cấu hình nó để xác thực truy cập không dây. Chúng tôi sẽ giới thiệu cho các bạn quá trình đó trong phần tiếp theo của loạt bài. Cũng trong phần tiếp theo đó, chúng ta sẽ đi cấu hình máy chủ chính sách mạng để nó coi điểm truy cập không dây của bạn nh ư một máy khách RADIUS. Một phần của quá trình sẽ liên quan đến việc thiết lập các bí mật được dùng chung bởi máy chủ chính sách mạng và điểm truy cập không dây. Văn Linh (Theo Windowsnetworking)
ADSENSE
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2