Cách triển khai 802.1X Với hệ thống Windows Server 2003 Service Pack 1

[kaspersky]

Cách triển khai 802.1X Với hệ thống Windows Server 2003 Service Pack 1 (Win2k3-SP1).

các thành phần được sử dụng đến trong bài này: DHCP, DNS, IAS, AD, Certificate Authority.

Tại sao Win2k3-SP1 lại được chọn trong bài này:

- Enhancements for Wireless Networking
Vì Win2k3 SP1 đã được bổ sung những tính năng hỗ trợ nhiều hơn cho mạng Wireless. Hỗ trợ WPA security method, quản trị viên cho thể cung cấp cho người dùng (XP-SP2) phương pháp chứng thực bằng Certificate đơn giản bằng cách cài trên máy trạm 1 chứng chỉ đã được admin tạo ra trước đó. mà dùng cert để ký vào gói tin thì an tâm việc tấn công "Man in the midle"

- Centralized Management
Với tính năng quản lý tập trung của AD thông qua Group Policies, ta có thể triển khai các Wireless setting từ Domain xuống các máy XP-SP2 (mục Wireless Zero Configuration).

- Wireless Setup Wizard
Giống như Windows XP SP2, Windows 2003 SP1 sử dụng Wireless Network Wizard để cấu hình mạng wireless an toàn, các setting có thể được lưu trên USB Flash và copy qua các máy khác nhau. nhanh chóng trong việc triển khai.

- PEAP Authentication Scheme
Giao thức LEAP (là giao thức chứng thực không hỗ trợ TLS; phát triển bởi Cisco, trong các Aironet AP) có lỗ hổng trong việc bảo vệ Point to Point vì nó cho phép hacker tấn công vào directory tại thời điểm xác thực khóa.
Với PEAP đi kèm trong IAS (IAS là 1 thành phần trong Win2k3, đừng nhầm với ISA firewall; nhiều người nghe tôi nói IAS xong là sửa ngay thành ISA, 2 cái này khác nhau đấy) thì lỗi này đã được giải quyết ví PEAP mã hóa ngay từ bước xác thực.

- Wireless Provisioning Services
Với kỹ thuật này, thật là dễ dàng để giúp các người dùng Wireless kết nối vào mạng. GPO giúp ta giảm thiểu việc cấu hình trên Clients. ngoài ra, với IAS ta có thể quản lý truy nhập của Guess account theo kiểu bán thẻ cào :015: bệnh nghề nghiệp các bạn ạ :014:

Triển khai mạng Wireless an toàn trên Windows 2003 SP1

Lý do: Với hacker nhiều khắp nơi như hiện này, phương pháp chứng thực bằng pasword đơn giản là không đủ. chỉ mất vài phút là có thể crack cái WEP key rồi :021: . Vì thế cho nên đã đến lúc cần thiết setup 802.1X với Internet Authentication Service trong Windows 2003.
Các thành phần cần phải có:

• DHCP and DNS
• Active Directory Service
• RADIUS Server (Internet Authentication Service)
• Certificate based infrastructure (còn gọi là Public Key Infrastructure - PKI)

Các bước thực hiện:

• Cấu hình AP để xác thực thông qua RADIUS Server
• Cài đặt và cấu hình Windows 2003 Certification Authority để cấp Cerificate cho Clients.
• Cấu hình Active Directory để cho phép IAS đọc thuộc tính Dial-In của User account
• Cấu hình IAS nốt những việc còn lại

Cấu hình Access Point

- AP của bạn phải hỗ trợ 802.1X và WEP.
- Vào giao diện quản trị của AP, tìm mục "Wireless Security" hoặc "Wireless Settings" tùy từng loại AP. sau đó thiết lập các giá trị RADIUS Server, Port, Secret key.

- Vào mục 802.1X Security bật tính năng này lên. thiết lập các giá trị: độ dài key (chọn cái dài nhất cho an tâm) và re-key.

No rekeying - clients sẽ không làm gì cả.
Rekeying every X minutes – sinh key mới sau X phút.
Rekeying every X packets – sinh key mới sau X gói tin được gửi đi.

- Save, exit.

Cấu hình Windows 2003 Certification Authority

PEAP là phương pháp xác thực 2 chiều, nên Server (IAS) cần phải xác thực chính nó với Clients trước khi Clients gừi username và mật khẩu (đã được mã bằng Public key của IAS Certificate) hóa đến nó. Sau đó thì IAS sẽ giải mã để lấy username và mật khẩu bằng Private key của mình.
- Cài đặt: Control panel --> Add/remove program --> Add/remove Win component --> Certificate service (Trong quá trình cài đặt nhớ chọn luôn IIS để dùng Web Enrollment Wizard).
- Cấp chứng chỉ cho IAS Server: vào địa chỉ [Only registered and activated users can see links. ] (CAServer là địa chỉ IP hoặc tên máy cài CA)

- Cấp chứng chỉ cho Wireless clients (tương tự)

Cấu hình Active Directory

- Vào User account --> Dial-in Tab --> ở mục Remote Access Permission chọn “Control Access through Remote Access Policy” để quản lý việc ra vào của ông User qua IAS. (Nếu option này bị mờ, có nghĩa là domain functional level nhỏ hơn 2000 native hoặc 2003 mode, ta phải nâng domain functional level lên).
- thêm tài khoản máy tính chạy dịch vụ IAS vào Group "RAS and IAS Servers" hoặc cách đơn giản hơn là mở IAS console, phải chuột vào tên máy, chọn "Authorize".

[IMG]http://www.*************/titanevn/reg_ad_ISA.JPG[/IMG]

Cấu hình IAS
- Cài đặt: Control panel --> Add/remove program --> Add/remove Win component --> Networking Services --> Internet Authentication Service.
- Mở IAS Console từ thư mục Administrative Tools, bấm phải chuột vào tên server và chọn "Register Server in Active Directory"
- Chuyển lên mục RADIUS Client, bấm phải chuột và chọn "New RADIUS Client" trong cửa sổ mở ra, ta nhập các thông số của Thiết bị Access Point: địa chỉ IP và Secret key.

Ở phần chọn "Client-Vendor" nếu loại Access Point có tên trong danh mục thì chọn; nếu không biết loại gì thì chọn "RADIUS Standard".

Tạo Policies cho phép Wireless clients kết nối vào mạng
- Bấm phải chuột vào Remote Access Policies; chọn New Remote Access Policy;
- ở Wizard hiện ra: gõ tên Policies (gì cũng được, miễn sao dễ hiểu, dễ phân biệt với các Policies khác)
- Kiểu kết nối: chọn Wireless
- Kiểu xác thực: PEAP; ở cửa sổ này, ta chọn thêm cái Certificate lúc đầu tạo ra cho IAS Server.
Vậy là ta đã thực hiện xong việc quản lý truy nhập User tập trung bằng IAS với Win2k3-SP1, ngoài ra còn tăng tính bảo mật trên mạng Wireless.

[thanhhieu]

Trích:

Nguyên văn bởi kaspersky

Cách triển khai 802.1X Với hệ thống Windows Server 2003 Service Pack 1 (Win2k3-SP1).

các thành phần được sử dụng đến trong bài này: DHCP, DNS, IAS, AD, Certificate Authority.

Tại sao Win2k3-SP1 lại được chọn trong bài này:

- Enhancements for Wireless Networking
Vì Win2k3 SP1 đã được bổ sung những tính năng hỗ trợ nhiều hơn cho mạng Wireless. Hỗ trợ WPA security method, quản trị viên cho thể cung cấp cho người dùng (XP-SP2) phương pháp chứng thực bằng Certificate đơn giản bằng cách cài trên máy trạm 1 chứng chỉ đã được admin tạo ra trước đó. mà dùng cert để ký vào gói tin thì an tâm việc tấn công "Man in the midle"

- Centralized Management
Với tính năng quản lý tập trung của AD thông qua Group Policies, ta có thể triển khai các Wireless setting từ Domain xuống các máy XP-SP2 (mục Wireless Zero Configuration).

- Wireless Setup Wizard
Giống như Windows XP SP2, Windows 2003 SP1 sử dụng Wireless Network Wizard để cấu hình mạng wireless an toàn, các setting có thể được lưu trên USB Flash và copy qua các máy khác nhau. nhanh chóng trong việc triển khai.

- PEAP Authentication Scheme
Giao thức LEAP (là giao thức chứng thực không hỗ trợ TLS; phát triển bởi Cisco, trong các Aironet AP) có lỗ hổng trong việc bảo vệ Point to Point vì nó cho phép hacker tấn công vào directory tại thời điểm xác thực khóa.
Với PEAP đi kèm trong IAS (IAS là 1 thành phần trong Win2k3, đừng nhầm với ISA firewall; nhiều người nghe tôi nói IAS xong là sửa ngay thành ISA, 2 cái này khác nhau đấy) thì lỗi này đã được giải quyết ví PEAP mã hóa ngay từ bước xác thực.

- Wireless Provisioning Services
Với kỹ thuật này, thật là dễ dàng để giúp các người dùng Wireless kết nối vào mạng. GPO giúp ta giảm thiểu việc cấu hình trên Clients. ngoài ra, với IAS ta có thể quản lý truy nhập của Guess account theo kiểu bán thẻ cào :015: bệnh nghề nghiệp các bạn ạ :014:

Triển khai mạng Wireless an toàn trên Windows 2003 SP1

Lý do: Với hacker nhiều khắp nơi như hiện này, phương pháp chứng thực bằng pasword đơn giản là không đủ. chỉ mất vài phút là có thể crack cái WEP key rồi :021: . Vì thế cho nên đã đến lúc cần thiết setup 802.1X với Internet Authentication Service trong Windows 2003.
Các thành phần cần phải có:

• DHCP and DNS
• Active Directory Service
• RADIUS Server (Internet Authentication Service)
• Certificate based infrastructure (còn gọi là Public Key Infrastructure - PKI)

Các bước thực hiện:

• Cấu hình AP để xác thực thông qua RADIUS Server
• Cài đặt và cấu hình Windows 2003 Certification Authority để cấp Cerificate cho Clients.
• Cấu hình Active Directory để cho phép IAS đọc thuộc tính Dial-In của User account
• Cấu hình IAS nốt những việc còn lại

Cấu hình Access Point

- AP của bạn phải hỗ trợ 802.1X và WEP.
- Vào giao diện quản trị của AP, tìm mục "Wireless Security" hoặc "Wireless Settings" tùy từng loại AP. sau đó thiết lập các giá trị RADIUS Server, Port, Secret key.

- Vào mục 802.1X Security bật tính năng này lên. thiết lập các giá trị: độ dài key (chọn cái dài nhất cho an tâm) và re-key.

No rekeying - clients sẽ không làm gì cả.
Rekeying every X minutes – sinh key mới sau X phút.
Rekeying every X packets – sinh key mới sau X gói tin được gửi đi.

- Save, exit.

Cấu hình Windows 2003 Certification Authority

PEAP là phương pháp xác thực 2 chiều, nên Server (IAS) cần phải xác thực chính nó với Clients trước khi Clients gừi username và mật khẩu (đã được mã bằng Public key của IAS Certificate) hóa đến nó. Sau đó thì IAS sẽ giải mã để lấy username và mật khẩu bằng Private key của mình.
- Cài đặt: Control panel --> Add/remove program --> Add/remove Win component --> Certificate service (Trong quá trình cài đặt nhớ chọn luôn IIS để dùng Web Enrollment Wizard).
- Cấp chứng chỉ cho IAS Server: vào địa chỉ [Only registered and activated users can see links. ] (CAServer là địa chỉ IP hoặc tên máy cài CA)

- Cấp chứng chỉ cho Wireless clients (tương tự)

Cấu hình Active Directory

- Vào User account --> Dial-in Tab --> ở mục Remote Access Permission chọn “Control Access through Remote Access Policy” để quản lý việc ra vào của ông User qua IAS. (Nếu option này bị mờ, có nghĩa là domain functional level nhỏ hơn 2000 native hoặc 2003 mode, ta phải nâng domain functional level lên).
- thêm tài khoản máy tính chạy dịch vụ IAS vào Group "RAS and IAS Servers" hoặc cách đơn giản hơn là mở IAS console, phải chuột vào tên máy, chọn "Authorize".

[IMG]http://www.*************/titanevn/reg_ad_ISA.JPG[/IMG]

Cấu hình IAS
- Cài đặt: Control panel --> Add/remove program --> Add/remove Win component --> Networking Services --> Internet Authentication Service.
- Mở IAS Console từ thư mục Administrative Tools, bấm phải chuột vào tên server và chọn "Register Server in Active Directory"
- Chuyển lên mục RADIUS Client, bấm phải chuột và chọn "New RADIUS Client" trong cửa sổ mở ra, ta nhập các thông số của Thiết bị Access Point: địa chỉ IP và Secret key.

Ở phần chọn "Client-Vendor" nếu loại Access Point có tên trong danh mục thì chọn; nếu không biết loại gì thì chọn "RADIUS Standard".

Tạo Policies cho phép Wireless clients kết nối vào mạng
- Bấm phải chuột vào Remote Access Policies; chọn New Remote Access Policy;
- ở Wizard hiện ra: gõ tên Policies (gì cũng được, miễn sao dễ hiểu, dễ phân biệt với các Policies khác)
- Kiểu kết nối: chọn Wireless
- Kiểu xác thực: PEAP; ở cửa sổ này, ta chọn thêm cái Certificate lúc đầu tạo ra cho IAS Server.
Vậy là ta đã thực hiện xong việc quản lý truy nhập User tập trung bằng IAS với Win2k3-SP1, ngoài ra còn tăng tính bảo mật trên mạng Wireless.

Cho mình hỏi là nếu như mình không cấu hình CA cho máy chủ và Wireless client có được không? Và mỗi RADIUS client mà chúng ta tạo ra sẽ quản lý một Access Point hay không?

[duongvinh]

. Cám ơn Bạn đã có bài viết hay như vậy.
. Cho minh hỏi, minh muốn xây dựng một hệ thống mạng wireless có chứng thực Radius như công ty FPT đang triển khai được không?
. Nếu thực hiện như vậy, yêu cầu thiết bị như thế nào>???

[thangtc]

Khong co ai tra loi ah? Minh cung dang lam theo huong dan nay nhung den phan authenticate giua wireless client va ad thi toan loi

[luxurylife2009]

ver 3000 styles of Quality Luxury replica Watches,Replica Rolex,Replica Cartier,Breitling Replica and many more Replica watches at your free choice.Lowest Price possible--Fast Free shipping.Secure Payment!Choose now at:[Only registered and activated users can see links. ]