Các mạng Wi-Fi trong doanh nghiệp nào cũng cần sử dụng chế độ Enterprise của mã hóa WPA hoặc WPA2. Trong bài này, chúng tôi sẽ giới thiệu cho các bạn cách chuyển từ chế độ Personal (PSK) sang chế độ Enterprise (RADIUS).
Chắc chắn nhiều người trong số bạn đọc đã biết, mã hóa Wired Equivalent Privacy (WEP) là một kiểu mã ngày nay không còn an toàn. Chuẩn bảo mật cho mạng LAN không dây đầu tiên, được phát triển bởi IEEE, đã xuất hiện lỗ hổng cho phép các kẻ tấn công có thể bẻ khóa.
Năm 2003, Hiệp hội Wi-Fi đã phát hành một chuẩn bảo mật khác mang tên Wi-Fi Protected Access. Mặc dù phiên bản đầu tiên (WPA), phiên bản sử dụng mã hóa TKIP/RC4, đã gây cho các kẻ tấn công đôi chút thất vọng, nhưng nó vẫn không được coi là an toàn.
Trong phiên bản thứ hai (WPA2), được phát hành vào giữa năm 2004, khả năng bảo mật đã được cải thiện khá tốt với thực thi chuẩn bảo mật IEEE 802.11i và mã hóa CCMP/AES.
Trong bài này, chúng tôi sẽ giới thiệu cho các bạn hai chế độ rất khác nhau trong truy cập một mạng Wi-Fi được bảo vệ (Wi-Fi Protected Access) và giới thiệu cách chuyển từ chế độ Personal sang chế độ Enterprise.
Hãy bắt đầu!
Hai chế độ của WPA/WPA2: Personal (PSK) và Enterprise
Cả hai phiên bản của Wi-Fi Protected Access (WPA/WPA2) đều có thể được thực thi trong hai chế độ:
Giới thiệu thẩm định 802.1X và các máy chủ RADIUS
Phương pháp thẩm định được sử dụng để thẩm định các thông tin người dùng (và máy chủ) trên các mạng WPA/WPA2-Enterprise được định nghĩa theo chuẩn IEEE 802.1X. Cách thức thẩm định này yêu cầu một máy chủ ngoài, vẫn được gọi là máy chủ Remote Authentication Dial In User Service (RADIUS) hoặc Authentication, Authorization, và Accounting (AAA), được sử dụng cho một loạt các giao thức mạng và các môi trường có chứa ISP.
Một máy chủ RADIUS cần phải hiểu ngôn ngữ Extensible Authentication Protocol (EAP) và có thể truyền thông với các AP không dây, ám chỉ như các máy khách RADIUS hoặc các bộ thẩm định. Máy chủ RADIUS về bản chất sẽ phục vụ như một máy trung gian giữa các AP và dữ liệu người dùng. Để từ đó các AP có thể truyền thông trực tiếp với máy khách 802.1X, cũng được nói đến như một 802.1X Supplicant, trên máy tính hoặc thiết bị của người dùng.
Thẩm định 802.1X không dựa trên port. Điều này có nghĩa khi ai đó cố gắng kết nối đến một mạng doanh nghiệp được bảo vệ, sự truyền thông sẽ được phép qua một cổng ảo để truyền tải các thông tin đăng nhập. Nếu quá trình thẩm định thành công, các khóa mã hóa sẽ được gửi đi một cách an toàn và người dùng lúc này sẽ được trao quyền truy cập hoàn toàn.
Máy chủ thẩm định (Authentication)
Có một số cách bạn có thể có được một máy chủ thẩm định 802.1X:
Các ưu điểm khác của EAP
Bộ óc phía sau cơ chế thẩm định 802.1X chính là Extensible Authentication Protocol (EAP). Có khá nhiều ưu điểm khác của EAP. Nên sử dụng những tính năng nào trong mỗi tổ chức là hoàn toàn phụ thuộc vào mức bảo mật mong muốn, cũng như sự phức tạp ở một mức độ nào đó và các chi tiết kỹ thuật server/client.
Đây là các kiểu phổ biến nhất:
Các bước tiếp theo của bạn
Qua những gì chúng tôi giới thiệu cho các bạn ở trên, chắc chắn bạn đã biết được cơ chế thẩm định 802.1X làm cho mã hóa WPA/WPA2-Enterprise trở thành một cách có thể bảo mật các mạng Wi-Fi trong doanh nghiệp. Ngoài ra các bạn cũng biết được rằng để thực hiện chúng, ta cần có máy chủ thẩm định và PEAP, TLS, và TTLS là các kiểu EAP phổ biến.
Đây là một số mẹo có thể giúp bạn với các bước tiếp theo:
Chắc chắn nhiều người trong số bạn đọc đã biết, mã hóa Wired Equivalent Privacy (WEP) là một kiểu mã ngày nay không còn an toàn. Chuẩn bảo mật cho mạng LAN không dây đầu tiên, được phát triển bởi IEEE, đã xuất hiện lỗ hổng cho phép các kẻ tấn công có thể bẻ khóa.Năm 2003, Hiệp hội Wi-Fi đã phát hành một chuẩn bảo mật khác mang tên Wi-Fi Protected Access. Mặc dù phiên bản đầu tiên (WPA), phiên bản sử dụng mã hóa TKIP/RC4, đã gây cho các kẻ tấn công đôi chút thất vọng, nhưng nó vẫn không được coi là an toàn.
Trong phiên bản thứ hai (WPA2), được phát hành vào giữa năm 2004, khả năng bảo mật đã được cải thiện khá tốt với thực thi chuẩn bảo mật IEEE 802.11i và mã hóa CCMP/AES.
Trong bài này, chúng tôi sẽ giới thiệu cho các bạn hai chế độ rất khác nhau trong truy cập một mạng Wi-Fi được bảo vệ (Wi-Fi Protected Access) và giới thiệu cách chuyển từ chế độ Personal sang chế độ Enterprise.
Hãy bắt đầu!
Hai chế độ của WPA/WPA2: Personal (PSK) và Enterprise
Cả hai phiên bản của Wi-Fi Protected Access (WPA/WPA2) đều có thể được thực thi trong hai chế độ:
- Chế độ Personal hoặc Pre-Shared Key (PSK): Chế độ này thích hợp với hầu hết các mạng gia đình – không thích hợp với các mạng doanh nghiệp. Bạn có thể định nghĩa mật khẩu mã hóa trên router không dây và các điểm truy cập (AP) khác. Sau đó mật khẩu phải được nhập vào bởi người dùng khi kết nối với mạng Wi-Fi. Mặc dù chế độ này dường như rất dễ thực thi, nhưng nó không thể bảo đảm an toàn cho mạng doanh nghiệp. Không giống như chế độ Enterprise, truy cập không dây không mang tính riêng biệt hoặc có thể quản lý tập trung. Một mật khẩu được áp dụng cho tất cả người dùng. Nếu mật khẩu toàn cục cần phải thay đổi thì nó phải được thay đổi trên tất cả các AP và máy tính. Điều này sẽ gây ra rất nhiều khó khăn khi bạn cần thay đổi; cho ví dụ, khi một nhân viên nào đó rời công ty hoặc, khi có máy tính nào đó bị mất cắp hoặc bị thỏa hiệp.
Không giống như chế độ Enterprise, mật khẩu mã hóa được lưu trên các máy tính. Mặc dù vậy, bất cứ ai trên máy tính – dù là nhân viên hay tội phạm – cũng đều có thể kết nối với mạng và cũng có thể khôi phục được mật khẩu mã hóa.
- Chế độ Enterprise (EAP/RADIUS): Chế độ này cung cấp khả năng bảo mật cần thiết cho các mạng không dây trong các môi trường doanh nghiệp. Mặc dù phức tạp trong thiết lập, nhưng chế độ bảo mật này cung cấp khả năng điều khiển tập trung và phân biệt trong việc truy cập mạng Wi-Fi. Người dùng được gán các thông tin đăng nhập mà họ cần phải nhập vào khi kết nối với mạng, các thông tin đăng nhập này có thể được thay đổi hoặc thu hồi bởi các quản trị viên bất cứ lúc nào.
Người dùng không cần quan tâm đến các khóa mã hóa thực sự. Chúng được tạo một cách an toàn và được gán trên mỗi session người dùng trong chế độ background sau khi một người dùng nào đó nhập vào các chứng chỉ đăng nhập của họ. Điều này sẽ tránh được việc ai đó có thể khôi phục lại khóa mạng từ các máy tính.
Phương pháp thẩm định được sử dụng để thẩm định các thông tin người dùng (và máy chủ) trên các mạng WPA/WPA2-Enterprise được định nghĩa theo chuẩn IEEE 802.1X. Cách thức thẩm định này yêu cầu một máy chủ ngoài, vẫn được gọi là máy chủ Remote Authentication Dial In User Service (RADIUS) hoặc Authentication, Authorization, và Accounting (AAA), được sử dụng cho một loạt các giao thức mạng và các môi trường có chứa ISP.
Một máy chủ RADIUS cần phải hiểu ngôn ngữ Extensible Authentication Protocol (EAP) và có thể truyền thông với các AP không dây, ám chỉ như các máy khách RADIUS hoặc các bộ thẩm định. Máy chủ RADIUS về bản chất sẽ phục vụ như một máy trung gian giữa các AP và dữ liệu người dùng. Để từ đó các AP có thể truyền thông trực tiếp với máy khách 802.1X, cũng được nói đến như một 802.1X Supplicant, trên máy tính hoặc thiết bị của người dùng.
Thẩm định 802.1X không dựa trên port. Điều này có nghĩa khi ai đó cố gắng kết nối đến một mạng doanh nghiệp được bảo vệ, sự truyền thông sẽ được phép qua một cổng ảo để truyền tải các thông tin đăng nhập. Nếu quá trình thẩm định thành công, các khóa mã hóa sẽ được gửi đi một cách an toàn và người dùng lúc này sẽ được trao quyền truy cập hoàn toàn.
Máy chủ thẩm định (Authentication)
Có một số cách bạn có thể có được một máy chủ thẩm định 802.1X:
- FreeRADIUS: Đây là một trong những máy chủ AAA phổ biến nhất trên thế giới. Dù nó là một dự án mã nguồn mở, miễn phí, nhưng máy chủ này có nhiều điểm khá tiến bộ. Nó có sẵn cho các nền tảng khác nhau, gồm có Linux, Mac OS X, và Windows. Mặc định, bạn thay đổi các thiết lập này trong file cấu hình.
- Windows Server: Nếu đã thiết lập một Windows Server, bạn có thể sử dụng một Internet Authentication Service (IAS) có trong Windows Server 2003 hoặc Network Policy Server (NPS) trong Windows Server 2008.
- Outsourced Services: Các dịch vụ hosting, chẳng hạn như AuthenticateMyWiFi, là một trong những cách khá hay cho những ai không muốn đầu tư nhiều tiền của hoặc thời gian vào việc thiết lập một máy chủ RADIUS, có nhiều văn phòng, hoặc không có chuyên môn kỹ thuật sâu. Các dịch vụ này có thể cung cấp nhiều chức năng bổ sung cho các máy chủ RADIUS truyền thống.
Cho ví dụ, các AP không phải kết nối trực tiếp với Internet; chúng có thể được đặt phía sau các router NAT hoặc gateway, cho phép bạn có thể gán một bí mật duy nhất nào đó cho mỗi AP. Các dịch vụ này cũng có panel điều khiển trên web, do dó người dùng có thể dễ dàng cấu hình các thiết lập thẩm định.
Bộ óc phía sau cơ chế thẩm định 802.1X chính là Extensible Authentication Protocol (EAP). Có khá nhiều ưu điểm khác của EAP. Nên sử dụng những tính năng nào trong mỗi tổ chức là hoàn toàn phụ thuộc vào mức bảo mật mong muốn, cũng như sự phức tạp ở một mức độ nào đó và các chi tiết kỹ thuật server/client.
Đây là các kiểu phổ biến nhất:
- PEAP (Protected EAP): Đây là một trong các phương pháp EAP phổ biến nhất và dễ thực thi. Nó có thể thẩm định người dùng thông qua username và password mà họ nhập vào khi kết nối với mạng.
Máy chủ thẩm định cũng có thể được hợp lệ hóa trong suốt quá trình thẩm định PEAP khi một chứng chỉ SSl được cài đặt trên máy chủ. Kiểu này được hỗ trợ mặc định trong Windows. - TLS (Transport Layer Security): Là một trong những kiểu bảo mật an toàn nhất, tuy nhiên lại khá phức tạp trong vấn đề thực thi và bảo trì. Quá trình hợp lệ hóa máy chủ và khách đều cần được thực hiện thông qua chứng chỉ SSL. Thay vì phải cung cấp username và password khi kết nối, các thiết bị của người dùng hoặc các máy tính phải được load file chứng chỉ SSL vào máy khách 802.1X của nó. Các quản trị viên có thể kiểm soát Certificate Authority (CA) và quản lý các chứng chỉ máy khách, điều này cho phép họ có nhiều quyền kiểm soát, nhưng cũng yêu cầu nhiều thời gian quản trị hơn.
- TTLS (Tunneled TLS): Một phiên bản được cải tiến của TLS, không yêu cầu chứng chỉ bảo mật phía máy khách, vấn đề này đã giảm được sự phức tạp trong việc quản lý mạng. Mặc dù vậy, kiểu EAP này không có sự hỗ trợ nguyên bản trong Windows; nó cần đến một máy khách thứ ba như SecureW2.
Qua những gì chúng tôi giới thiệu cho các bạn ở trên, chắc chắn bạn đã biết được cơ chế thẩm định 802.1X làm cho mã hóa WPA/WPA2-Enterprise trở thành một cách có thể bảo mật các mạng Wi-Fi trong doanh nghiệp. Ngoài ra các bạn cũng biết được rằng để thực hiện chúng, ta cần có máy chủ thẩm định và PEAP, TLS, và TTLS là các kiểu EAP phổ biến.
Đây là một số mẹo có thể giúp bạn với các bước tiếp theo:
- Tìm và chọn một máy chủ RADIUS hoặc dịch vụ outsource.
- Thiết lập một máy chủ RADIUS với các thiết lập EAP, AP và người dùng.
- Cấu hình các AP với các thông tin mã hóa và máy chủ RADIUS.
- Cấu hình Windows (hoặc hệ điều hành khác) với các thiết lập mã hóa và 802.1X.
- Cuối cùng, kết nối với mạng Enterprise được bảo vệ của bạn!
Theo QTM
Hầu hết các Wi-Fi hotspot đều không sử dụng mã hóa để bảo vệ hành động duyệt web và các hành động khác trên Internet giống như mạng riêng. Thêm vào đó, mã hóa không tồn tại trên hầu hết các kết nối chạy dây mà bạn kết nối tại các khách sạn, sân bay hay các địa điểm công cộng khác. Bảo mật toàn bộ các mạng công cộng là việc rất không khả thi.
Liên minh 
Hai ngoại lệ đáng lưu ý là Gmail và hệ thống email công ty của bạn (chẳng hạn như Outlook Web Access). Đầu năm ngoái, Gmail đã chuyển từ việc sử dụng HTTPS chỉ khi đăng nhập sang sử dụng HTTPS trong toàn bộ quá trình giao dịch của Webmail.
Hãy thử nghiệm HotSpot Shield, một dịch vụ VPN của AnchorFree. Đây là công ty cung cấp phần mềm VPN mà bạn có thể cài đặt trên laptop từ trước để sử dụng tại các Wi-Fi hotspot công cộng.
Vấn đề bảo mật luôn là chủ đề "hot" đối với mọi cư dân mạng, đặc biệt là người thường xuyên sử dụng mạng không dây Wi-Fi. Theo nhiều nghiên cứu cho thấy hệ thống bảo mật WEP hiện tại có nhiều lỗ hổng nhưng vẫn được dùng rộng rãi so với hệ thống WPA-2 bảo mật hơn. Một điều thật khó tin... nhưng lại là sự thật.
- Cảnh báo Internet Explorer không phải là trình duyệt mặc định của hệ thống, và nó luôn luôn hiển thị cho dù bạn có hoặc không kích vào biểu tượng IE. Nếu gặp phải tình huống này, tốt nhất là di chuyển cửa sổ IE về góc màn hình và để yên đó.
