Cấu hình bảo mật Wi-Fi Cisco theo chuẩn WPA2 Enterprise và WPA2 Personal trên mạng WLAN bằng GUI

Cấu hình WPA2 Enterprise và WPA2 Personal trên mạng WLAN của Cisco bằng GUI

WPA2 là gì:

WPA2 là viết tắt của Wi-Fi Protected Access 2 và được chuẩn hóa theo tiêu chuẩn IEEE 802.11i. WPA2 là một khung giao thức bảo mật được sử dụng để bảo vệ các mạng không dây.

WPA2 hiện được coi là phương pháp an toàn nhất để bảo vệ mạng Wi-Fi. Nó cung cấp bảo mật dựa trên lớp 2 và sử dụng giao thức xác thực dựa trên cổng IEEE 802.1x.

Note: WPA3 mới nhất hiện là giao thức an toàn nhất để bảo vệ mạng WLAN.

So với các tiêu chuẩn bảo mật Wi-Fi cũ hơn, WPA2 an toàn hơn nhiều so với WPA và WEP vì nó sử dụng Tiêu chuẩn mã hóa nâng cao (AES) mạnh hơn nhiều cùng với một số thuật toán mã hóa, xác thực và trao đổi khóa khác.

Ví dụ: WPA2 tạo khóa phiên mới trên mọi liên kết. Các khóa mã hóa được sử dụng cho mỗi máy khách trên mạng là duy nhất và dành riêng cho máy khách đó. Điều này có nghĩa là mọi gói được gửi qua mạng đều được mã hóa bằng một khóa duy nhất.

Chế độ hoạt động WPA2:

WPA2 hỗ trợ hai chế độ hoạt động tùy thuộc vào môi trường được triển khai và mức độ bảo mật mà bạn muốn cung cấp. Đây là WPA2 Personal và WPA2 Enterprise.

WPA2 Personal : Khóa chia sẻ trước được sử dụng để xác thực ứng dụng khách trên mạng WLAN và đây là chế độ phù hợp nhất để sử dụng tại nhà hoặc cho các mạng WiFi nhỏ. Điều này vẫn rất an toàn với điều kiện là khóa chia sẻ hoàn toàn riêng tư đối với người dùng mạng WiFi và cùng với điều kiện là khóa có đủ độ dài hơn 8-10 ký tự bao gồm cả ký tự chữ và số và ký tự đặc biệt.

WPA2 Enterprise : Đây là chế độ hoạt động an toàn nhất và – đúng như tên gọi – nó chủ yếu được sử dụng trong các mạng Doanh nghiệp. Phương pháp xác thực dựa trên 802.1x EAP phải được sử dụng để xác thực máy khách.

Bạn cần một máy chủ RADIUS bên ngoài để định cấu hình WPA2 Enterprise. Ngoài ra, nếu bạn sử dụng giao thức xác thực EAP-PEAP được sử dụng rộng rãi, bạn sẽ cần cài đặt Chứng chỉ số đáng tin cậy trên máy chủ RADIUS.

Một kịch bản rất phổ biến với các Doanh nghiệp đã cài đặt máy chủ Microsoft Active Directory là tích hợp máy chủ RADIUS với Microsoft AD để cung cấp xác thực người dùng thông qua thư mục người dùng AD.

Tiếp theo, chúng ta sẽ xem cách cấu hình WPA2 Personal và WPA2 Enterprise trên Bộ điều khiển WLAN của Cisco và cả trên các thiết bị Điểm truy cập (Access Point devices).

Cấu hình WPA2 Personal trên Bộ điều khiển mạng LAN không dây Cisco 5508 (thực hiện tương tư cho các dòng WLC Cisco 3500, 9800 Series):

Xem hình và các bước bên dưới để biết cấu hình:

1. Kết nối PC của bạn trên mạng nơi bộ điều khiển đã được thiết lập.
2. Truy cập GUI của bộ điều khiển với địa chỉ IP quản lý của nó.
3. Điều hướng đến tab WLAN và chọn Create New hoặc chọn id mạng WLAN hiện có để chỉnh sửa.
4. Chọn Security > layer 2
5. Trong menu thả xuống layer 2 Security, chọn WPA+WPA2.
6. Trong WPA+WPA2 Parameters, hãy bật WPA2 Policy-AES.
7. Trong Phần Authentication Key Management, hãy bật chế độ cá nhân PSK cho WPA2.
8. Trong PSK Format chọn ASCII hoặc HEX và nhập khóa chia sẻ trước mong muốn.

Thiết lập như trên sẽ sử dụng khóa chia sẻ trước để xác thực các máy khách không dây trên mạng WLAN đó.

​

​

Cấu hình WPA2 Enterprise trên Bộ điều khiển mạng LAN không dây Cisco 5508 (thực hiện tương tư cho các dòng WLC Cisco 3500, 9800 Series):

Để cấu hình chế độ WPA2 Enterprise, bạn cần có máy chủ RADIUS để xác thực bên ngoài. WLC cần được cấu hình để chuyển tiếp thông tin đăng nhập của người dùng tới máy chủ RADIUS bên ngoài. Sau đó, máy chủ RADIUS bên ngoài xác thực thông tin xác thực của người dùng và cung cấp quyền truy cập vào các máy khách không dây. Máy chủ RADIUS cũng cần được cấu hình cho WLC.

Thực hiện theo các bước bên dưới để cấu hình WLC cho máy chủ RADIUS bên ngoài:

1. Chọn Security > RADIUS Authentication từ GUI của bộ điều khiển.
2. Nhấp vào New để xác định máy chủ RADIUS.
3. Xác định các tham số máy chủ RADIUS trên RADIUS Authentication Servers > New như minh họa bên dưới.

Trong hình, WLC đang được cấu hình cho máy chủ RADIUS mới. Nhập địa chỉ IP và khóa chia sẻ (được xác định trong máy chủ RADIUS) mà bộ điều khiển sẽ sử dụng để liên lạc với máy chủ.

Số cổng mặc định là 1812. Trạng thái máy chủ phải là Enable. Để xác thực ứng dụng khách không dây, hãy chọn hộp Network User. Nhấp vào nút áp dụng ở góc trên cùng bên phải để áp dụng các cài đặt mới.

​

Tiếp theo, chúng ta cần kích hoạt xác thực 802.1x trên mạng WLAN.

1. Điều hướng đến mạng WLAN và chọn mạng WLAN mới hoặc hiện có để chỉnh sửa.
2. Trong tab Security > Layer2, chọn WPA+WPA2 từ menu thả xuống.
3. Kiểm tra WPA2 Policy-AES
4. Chọn hộp 802.1x trong Authentication Key Management.

​

Tiếp theo, chúng ta cần định cấu hình máy chủ RADIUS cho mạng WLAN đã chọn

1. Chọn Security > AAA server.
2. Chọn máy chủ RADIUS từ trình đơn thả xuống cho Authentication Services và Accounting Services.
3. Nhấp vào nút Apply để thực hiện các thay đổi cấu hình của bạn.

​

Cấu hình WPA2 Personal trên Điểm truy cập tự trị (Autonomous AP) Cisco 1250 Series (các dòng Wifi Cisco 1800, 2800, 3800 và 9100 Series cấu hình tương tự):

Xem các bước và hình bên dưới để biết cách định cấu hình WPA2 Personal trên Cisco Autonomous AP.

1. Kết nối điểm truy cập với PC của bạn bằng cáp Console.
2. Đặt địa chỉ IP và mặt nạ mạng con trên giao diện BVI1.
3. Định cấu hình địa chỉ IP trên PC của bạn trong cùng mạng con của điểm truy cập.
4. Nhập địa chỉ IP của điểm truy cập trong trình duyệt để truy cập GUI của điểm truy cập.
5. Nhập tên người dùng và mật khẩu (Cisco, Cisco theo mặc định).
6. Nhấp vào Security > Encryption Manager.
7. Kiểm tra Cipher và chọn AES CCMP từ trình đơn thả xuống.
8. Nhấp vào Apply.
9. Chọn Security > SSID manager từ menu bên trái.
10. Nhập tên SSID.
11. Chọn hộp Open Authentication trong Client Authentication Settings.
12. Cuộn xuống và chọn Mandatory đối với Key management và chọn hộp WPA và chọn WPA2.
13. Nhập Khóa mong muốn WPA Pre-shared Key . (Hoặc ASCII hoặc Hexadecimal).
14. Nhấp vào Apply.

​

​

​

Cấu hình WPA2 Enterprise trên Điểm truy cập tự trị (Autonomous AP) Cisco 1250 series (các dòng Wifi mới hơn như 1800, 2800, 3800 và 9100 Series cấu hình tương tự):

Xem các bước và hình bên dưới để biết cách cấu hình WPA2 Enterprise trên Cisco Autonomous AP.

Nếu bạn không có Máy chủ Radius bên ngoài, bạn có thể cấu hình điểm truy cập (AP) như một local radius server.

1. Truy cập GUI của điểm truy cập từ máy tính của bạn.
2. Chọn Security > Server Manager từ menu bên trái.
3. Trong Corporate Servers, hãy nhập địa chỉ IP của AP để định cấu hình nó làm local Radius Server hoặc tốt hơn là cấu hình RADIUS bên ngoài, chẳng hạn như Cisco ACS.
4. Nhập Shared Secret.
5. Sử dụng 1812 và 1813 cho Authentication Port và Accounting Port và nhấp vào Apply.
6. Trong Default Server Priorities, chọn EAP authentication Priority làm địa chỉ IP của máy chủ từ trình đơn thả xuống và nhấp vào Apply.
7. Chọn Security > Encryption Manager ở menu bên trái.
8. Từ trình Cipher, chọn AES CCMP. Nhấp chuột
9. Chọn Security > SSID manager từ menu bên trái.
10. Tạo một SSID mới để sử dụng WPA2 Enterprise.
11. Trong Authentication Settings, chọn hộp Network EAP.
12. Cuộn xuống. Trong Client Authenticated Key Management, chọn Mandatory đối với Key Management và Bật WPA và chọn WPAv2 từ menu thả xuống. Nhấp chuột
13. Chọn Security > Local Radius Server > General Set-up.
14. Trong Local Radius Server Authentication Settings chọn Leap để Enable Authentication Protocol. Nhấp vào Apply.
15. Trong Network Access Servers, Nhập địa chỉ IP của local server và shared secret. Nhấp vào Apply.
16. Cuộn xuống, bên dưới Individual Users, Xác định thông tin đăng nhập của người dùng để xác thực với máy chủ cục bộ.

​

​

​

​

​

Chúc các bạn thành công!

Bài viết liên quan:
- Cấu hình RADIUS Server - Cấu hình Wireless xác thực với RADIUS Server

 

rất hữu ích, thks