Hầu hết mọi người sử dụng wireless trong văn phòng thường hay cấu hình chế độ bảo mật cho các access point không dây (hay các router không dây) là WEP, hay WPA TKIP/AES với các “Key” được chia sẽ chung cho mọi người. Tuy nhiên, các “Key” của WEP và WPA TKIP có thể bị hacker bẻ khóa dễ dàng nên có thể thấy rằng việc xác thực bằng “Key” là chưa đủ và bạn nên hạn chế sử dụng mode này khi cấu hình cho mạng không dây doanh nghiệp của mình. Hiện tại, hầu hết các access point không dây đều có hỗ trợ một mode bảo mật khác an toàn hơn là WPA RADIUS giúp tăng cường bảo mật cho các mạng không dây cần độ an toàn cao. Với mode bảo mật này, bạn dùng một RADIUS server để xác thực cho các user cần đăng nhập vào mạng không dây. Nghĩa là người muốn sử dụng không dây cần phải có username và password hợp pháp mới có thể gia nhập mạng. Bạn cũng có thể kết hợp chung với Active directory có sẵn để tạo thuận tiện tối đa cho người dùng cũng như để thiết lập các chính sách an ninh mạng khác như bạn mong muốn. Bài viết này sẽ hường dẫn bạn thiết lập một hệ thống mạng không dây sử dụng RADIUS kết hợp Active Directory (có sẵn) của Windows 2003 server để xác thực người dùng không dây. Mô hình hệ thống Bước 1: Cài đặt và cấu hình Enterprite CA trên Active Directory Để cài đặt Enterprite CA, từ menu Start chọn Setting click chọn Control panel. Trong cửa sổ control panel chọn “Add/Remove programs” Trong cửa sổ Add/Remove Programs chọn “Add/Remove Windows Components”. Sau đó chọn “Application Server” và “certificate Services”. Click “Next” để tiếp tục. Chọn “Yes” để tiếp tục. Trong cửa sổ CA Type chọn “Enterprise root CA”, sau đó click Next để tiếp tục. Trong cửa sổ “CA Identifying Information” nhập vào đầy đủ thông tin, sau đó click “Next” để tiếp tục. Sau đó click “Finish” để hoàn tất cài đặt Enterprite CA. Bước 2: Cài đặt Radius server. Bạn có thể cài đặt Radius trên một server riêng chạy HĐH Windows 2003 hay cũng có thể cài chung với server đang chay Active Directory cũng được. Để cài đặt dịch vụ Radius Server, từ menu Start chọn Setting click chọn Control panel.Trong cửa sổ control panel chọn “Add/Remove programs” chọn network services. Trong cửa sổ Network Services chọn “Internet Authentication Service”.click OK > click “Next” để bắt đầu cài đặt. Sau đó click “Finish” để hoàn tất cài đặt. Bước 3: cấu hình Radius server. Từ menu Start > chọn Programs > Administrative Tool > Internet Authentication Services. Trong của sổ Internet Authentication Service > click chuột phải Radius clients chọn “New RADIUS Client” . Trong cửa sổ “New RADIUS Client” nhập vào tên và IP của Access Point. Click Next để tiếp tục. Trong cửa sổ Addition information nhập vào “Shared secret” của radius server và wireless- ây là một chuỗi ký tự do bạn tự chọn và bạn cần nhớ hay ghi lại để khai báo cho access point sau này. Sau khi nhập xong hãy click “Finish” để hoàn tất khai báo Radius client mới. Bước 4: Cấu hình remote access policy Trở lại cửa sổ chính của Internet Authentication Server, click chuột phải Remote Access Policies chọn “new remote access policy”. Click ”Next” trong “New Remote Access Policy Wizard” Trong cửa sổ “Policy Configuration Method” nhập vào tên policy và click Next. Click chọn “wireless” trong phần “ Access Method”, Click Next để tiếp tục. Trong cửa sổ “User or Group Access” chọn Group cần cho phép truy cập Wify bằng cách click add. Click Next sau khi đã chọn group xong. Click “Next” để tiếp tục trong cửa sổ “Authentication Method”. Sau đó click “Finish” để hoàn tất tạo Policy. Bước 5. Request Certificate từ CA Enterprite Server. Để xin Certificate server, từ cửa sổ Internet explorer nhập vào địa chỉ của CA server “http://dia chỉ CA server/certsrv” Click chọn “Request a certificate”. ] Click chọn “ Advanced certificate request’. Sau đó click chọn “Create and submit a request to this CA” Trong trang “Advanced Certificate Request” chọn Certificate Template và điền đầy đủ thông tin trong phần “Identifying information For Offline Template”. Trong phần “key Options” click chọn “store certificate in the local computer certificate store” Click “yes”. Sau khi certification được cấp phát click “install this certificate” để cài cài certificate Click “yes” Sau khi click Yes, CA server báo là đã cấp phát certification thành công Bước 6: Cấu hình trên Access Point. Để cấu hình cho Access Point trở thành Radius client, trong ví dụ này cấu hình trên thiết bị Edimax BR-6226n một sản phẩm có chất lượng khá tốt trong dòng sản phẩm Wireless của hãng Edimax. Từ cửa sổ cấu hình chính của Edimax, click chọn “General Setup” Sau đó click chọn “ Security Settings”, click Next để tiếp tục. Sau đó nhập vào các thông tin kết nối đên Radius server Click Apply để hoàn tất khai báo thông số trên Access Point. Bước 7: Cấu hình trên máy trạm. Để máy trạm có thể kết nối đển Access Point và được xác thực qua máy chủ radius server, ta cần điều chỉnh một số thông số trên máy trạm. Từ menu Start > Settings > Network Connections. Click chuột phải trên biểu tượng Wireless Network Conection và chọn “Properties”. Sau đó, chọn qua tab “Wireless Networks”, rồi chọn biểu tên cửa SSID của access point. Sau đó chọn “Properties”. Trong cửa sổ properties của SSID Access Point chọn loại Network Authentication là “WPA” và Data encryption là “TKIP”. Sau đó click chọn qua tab “Authentication”. Trong tab authentication chọn loại EAP type là “protected EAP (PEAP)”. Click Properties. Trong cửa sổ Protected EAP Properties click chọn Configure.. Bỏ phần chọn trong mục “ EAP MSCHAPv2 Properties”. Sau đó click “OK”, click tiếp tục “OK” để hoàn tất khai báo trong phần Network properties. Khi đã hoàn tất khai báo ở máy trạm, khi kết nối vào Access point sẽ hiện ra cửa sổ nhập User name và password, nhập User name và password tương ứng trong group được cho phép truy cập trong phần tạo Policy remote access. Sau khi nhập username & password thường dùng để đang nhập vào Domain. Bạn đã có thể sử dụng an toàn kết nối không dây tại văn phòng của mình. Chúc bạn thành công!
