| MAX Secure Wi-Fi với VPN của Windows 2003 |
 |
 |
 |
|
Những tính năng bảo mật tích hợp sẵn trên Access Point: - Không Broadcast SSID Không Broadcast SSID có thể là một giải pháp chống một số kẻ tò mò và hiểu biết không cao về mạng Wireless. Đối tượng này đôi khi cũng không nguy hiểm. Ngoài ra SSID bắt buộc phải truyền trên mỗi gói tin của mạng không dây, SSID và MAC không được mã hóa khi truyền thông tin trên mạng. Bất kỳ một công cụ tấn công mạng Wireless nào đều có thể phát hiện ra các mạng không Broadcast SSID - MAC Address Filter Tính năng cấu hình trên Access Point chỉ cho phép một số địa chỉ MAC nhất định truy cập tới Access Point. Ồ, giải pháp này có vẻ được, nhưng thật không may hiện nay rất nhiều tools cho phép tóm gói tin của mạng Wireless, địa chỉ MAC và SSID không được mã hóa trên bất kỳ gói tin nào và kẻ tấn công dễ dàng phát hiện ra những địa chỉ MAC có quyền truy cập tới Access Point. Hiện nay cũng có rất nhiều Tools cho phép giải mạo địa chỉ MAC. - WEP Đây là phương thức mã hóa sử dụng Share Key giữa thiết bị và Access Point nhưng rất tiếc phương thức bảo mật này đã có rất nhiều Tools có thể giải mã gói tin và ăn chộm Key. - WPA Có vẻ bảo mật đây, nhưng thật không may các tool Crack Wireless mới nhất hiện nay như Air Crack đã hỗ trợ để tấn công hệ thống mạng Wireless sử dụng giao thức mã hóa này. à Vậy chúng ta bó tay sao - Hiện nay có một giải pháp bảo mật mạng Wireless duy nhất có thể tin tưởng đó là sử dụng giải pháp VPN. - Mô hình triển khai VPN cho Access Point như hình dưới đây:
Các thiết lập cấu hình trên các thiết bị: - Cấu hình trên Access Point - Cấu hình Enable tính năng VPN trên máy chủ Windows Server 2003 - Tạo kết nối VPN từ các thiết bị truy cập Wireless (Laptop). 1. Cấu hình trên Access Point a. Loại thiết bị sử dụng - Tôi sử dụng Access Point của Linksys - Thiết bị bao gồm: 1 Port ra Internet, 4 Port LAN - Cắm dây từ Switch vào Port Internet, tôi không cần quan tâm tới 4 Port LAN b. Cấu hình mã hóa gói tin từ Laptop tới Access Point sử dụng WPA2-Personal - Hoàn thành các bước trên tôi truy cập vào Access Point để bắt đầu cấu hình, sau khi truy cập vào Access Point qua giao diện Web tôi cấu hình địa chỉ IP cho Access Point. - Port Internet trên Access Point tôi đặt địa chỉ là: 192.168.50.33, các thông số tôi thiết lập như trên Hình dưới đây. - Địa chỉ IP làm Gateway các thiết bị Wi-Fi tôi đặt: 192.168.1.1 - Địa chỉ IP gán cho các thiết bị kết nối tới Access Point là giải: 192.168.1.0/24 - Hoàn thành các bước trên tôi cấu hình tính năng Security cho các kết nối Wi-Fi
Cấu hình bảo mật: - Chọn Security Mode là: WPA2 Personal - Chọn thuật toán mã hóa cho giao thức WPA là: TKIP+AES - Key khi các thiết bị muốn kết nối tới mạng Wireless này là: vnexperts.net
- SSID tôi để là VNEXPERTS.NET
Save toàn bộ các thiết lập tôi đứng từ một máy tính kết nối Wi-Fi tới Access Point này. - Dùng chính công cụ trên Windows tìm kiếm các SSID của mạng Wireless. Tôi thấy có mạng có SSID là VNEXPERTS.NET nhấn Connect gõ key như vừa rồi vào là hoàn thành kết nối Wireless - Nhưng sau khi kết nối chắc chắn bạn vẫn chưa truy cập được vào Internet
Gõ Key truy cập
Hoàn tất kết nối
2. Cấu hình Enable tính năng VPN trên máy chủ Windows Server 2003. Trong phần trước của bài viết tôi đã trình bày với các bạn chi tiết về cách thiết lập một máy chủ Windows Server 2003 thành máy chủ VPN Server qua các bước cơ bản nhất dưới đây: a. Đặt địa chỉ IP cho 2 card mạng của máy chủ b. Enable tính năng Routing and Remote Access c. Tạo User và Group cho phép Group truy cập VPN d. Tạo Remote Access Policy cho phép các kết nối VPN e. Gán địa chỉ IP ảo cho các kết nối VPN. a. Đặt địa chỉ IP cho hai card mạng của máy chủ như dươi đây và dựa theo hình đầu tiên của bài viết này - Card nối ra Internet thì đặt Gateway - Card nối vào Internal thì không cần đặt Gateway
b. Enable tính năng Routing and Remote Access Start à Administrative tools à Routing and Remote Access à Chuột phải chọn Enable and … rồi nhấn Next tới cửa sổ tiếp theo chọn Custom Configuration chọn như hình dưới đây: Hệ thống yêu cầu có bật Service này không bạn nhấn Yes là hoàn thành quá trình
c. Tạo User và Group cho phép truy cập VPN - Máy chủ của tôi đã là Domain Controller (Không nhất thiết – Nếu máy chủ chưa là DC vẫn tạo user và Group bình thường). Ở đây tôi tạo user với tên “vnexperts.net” password đặt là 123456
- Nhấn vào Tab Dial In kiểm tra như dưới đây là OK
Sau đó tạo một Group với tên VPN rồi Add user vnexperts.net vào group này hoàn thành bước này d. Tạo Remote Access Policy cho phép may chủ thành VPN Server - Mục đích bước này là cho phép một Group được thực hiện một kết nối VPN. Chuột phải vào Remote Access Policy chọn New Remote Access Policy
Chọn Custome rồi gõ tên của Remote Access Policy
Nhấn Next hệ thống sẽ yêu cầu điều kiện cho phép kết nối bạn nhấn Add rồi chọn tới Windows Group Nhân Add tiếp để add Group mà bạn cho phép thực hiện kết nối VPN tới máy chủ này.
Add Group VPN cho phép truy cập
Nhấn OK để tiếp tục quá trình - Chọn Grant cho phép truy cập nhấn Next rồi Finish
e. Gán địa chỉ IP cho những kết nối VPN tới - Chuột phải máy chủ chọn Properties - Chuyển sang Tab IP chọn Options Static Address Pool - Nhấn Add để gán dải địa chỉ IP cho các kết nối VPN tới tôi chọn dải
Nhấn OK để hoàn thành toàn bộ quá trình cấu hình trên máy chủ Routing and Remote Access. 3. Tạo kết nối VPN từ các thiết bị truy cập qua Wireless. - Bước 1 vừa rồi bạn đã kết nối thành công tới một mạng WiFi nếu không sử dụng giải pháp VPN thì Access Point của bạn cắm trực tiếp vào Modem ADSL là các kết nối đã có thể truy cập tới Internet. Nhưng như vậy sẽ không bảo mật do mới mã hóa một lần với giao thức WPA và sử dụng thuật toàn AES-TKIP. Ở đây bạn có thể sử dụng phương thức mã hóa WEP để hỗ trợ cho các kết nối không hỗ trợ giao thức WPA - Trong giải pháp này sau khi kết nối WiFi bạn phải kết nối VPN nữa mới có thể truy cập được ra Internet. Với ứng dụng VPN sử dụng mã hóa hai lần cho một gói tin, lần 1 mã hóa với WPA lần 2 mã hóa tầng IP với PPTP hoặc IPsec - Tạo kết nối VPN cho máy kết nối Wi-Fi – Thực hiện với Windows XP Professional - Start à Control Panel à Network Connections à Chọn “New Connection Wirard” Cửa sổ đầu tiên nhấn Next để tiếp tục quá trình.
Chọn sử dụng kết nối VPN, nhấn Next để tiếp tục quá trình
Lựa chọn VPN connections
Chọn tên cho kết nối tôi chọn VNEXPERTS.NET
Địa chỉ IP của máy chủ VPN Server tôi gõ địa chỉ 192.168.50.1 la địa chỉ của máy chủ VPN Server vừa rồi tôi cấu hình. Nhấn Next để hoàn thành quá trình
Hoàn thành quá trình tạo một kết nối VPN trên máy tính kết nối WiFi
Kết nôi - Nhấn dúp vào kết nối tôi vừa tạo gõ User “vnexperts.net” nằm trong Group VPN được phép kết nối VPN tới máy chủ VPN: 192.168.50.1 à Nhấn Connect
Quá trình Xác thực
Kiểm tra Truy cập vào trang web: vnexperts.net và kết quả thật tuyệt vời
Trong bài viết này tôi giới thiệu với các bạn một giải pháp Bảo mật các kết nối Wi-Fi. Khi một hệ thống bao gồm các máy chủ với dữ liệu hết sức quan trọng nhiều doanh nghiệp không giám triển khai sử dụng giải pháp Wireless. Nhưng với ứng dụng VPN vào các kết nối Wireless hoàn toàn bạn có thể tin tưởng được bởi hệ thống đã được mã hóa hai tầng. Theo Tocbatdat của Vnexperts Research Department. Tin mới hơn:
Tin cũ hơn:
|
Phần I của loạt bài viết triển khai VPN toàn tập trên công nghệ của Microsoft tôi đã giới thiệu với các bạn cách cấu hình một máy chủ Windows Server 2003 thành một máy chủ VPN. Phần này tôi sẽ trình bày giải pháp bảo mật cho dịch vụ Wi-Fi. Hiện nay mạng WiFi được sử dụng rất rộng rãi nhưng nhiều người chưa hiểu hết những lỗ hổng bảo mật tồn tại trong hệ thống mạng WiFi. Bài viết này giới thiệu công nghệ ứng dụng VPN vào bảo mật mạng WiFi.
