Cách triển khai xác thực 802.1x bằng WPA3-Enterprise trên hệ thống Wi-Fi
Wi-Fi Protected Access 3 có thể cung cấp xác thực với bảo mật nâng cao.
Wi-Fi Protected Access 3 (WPA3) đã mang lại những cải tiến bảo mật đáng kể cho mạng Wi-Fi, đặc biệt là WPA-3 Enterprise, bao gồm các chỉnh sửa để xác thực mạng an toàn hơn. Một trong những điều này là liên quan đến xác thực 802.1x được sử dụng để xác định Wi-Fi Client có được cấp quyền truy cập vào mạng Wifi hay không ? nó giống như một tính năng của hệ thống Network Access Controller ( NAC )
Chế độ doanh nghiệp của WPA luôn cho phép bạn cấp cho mỗi người dùng một username/ Password duy nhất để đăng nhập vào Wi-Fi hoặc sử dụng các chứng chỉ ( CA ) kỹ thuật số duy nhất cho mỗi người dùng để cài đặt trên các thiết bị nhằm bảo mật hơn nữa. Giờ đây với WPA3-Enterprise, tính bảo mật được tăng cường vì các máy client khi truy cập vào mạng được yêu cầu để đảm bảo rằng nó đang giao tiếp với máy server xác thực thực trước khi gửi thông tin xác thực đăng nhập. Xác minh đó là tùy chọn với hai phiên bản WPA trước đó.
Ngoài ra còn có những cải tiến đối với sức mạnh mã hóa với WPA3-Enterprise. Tuy nhiên, trong hầu hết các trường hợp, đối với doanh nghiệp mực độ an toàn không phải đặt lên quá thì thì việc triển khai WPA3 Enterprise chưa thật sự cần thiết cho bảo mật hệ thống vì tình phức tạp trong qúa trình triển khai hay chi phí đầu tư cho nó.Vì vậy, WPA2-Enterprise chắc chắn vẫn là một lựa chọn an toàn tốt hiện nay.
Dưới đây là cách triển khai 802.1x trong WPA3-Enterprise.
Cung cấp RADIUS
Enterprise WPA 802.1x yêu cầu máy chủ RADIUS để xác thực các máy Client Wi-Fi muốn truy cập mạng và có một số yêu cầu cầu hình một máy chủ như sau:
• Tích hợp vào thiết bị Controler hoặc Access Point hay Cloud ( tuy vào mô hình hay tính năng của các hãng cung cấp sẽ khác nhau, Một số hãng cung cấp nền tảng này trên thiết bị controler, bao gồm cả nền tảng dựa trên đám mây và AP có máy chủ RADIUS sẵn tích hợp và thư mục người dùng để chúng có thể thực hiện xác thực. Tuy nhiên, chức năng bị hạn chế và bạn có thể không sử dụng tích hợp được với hệ thống Active Directory của doanh nghiệp bạn. Nhưng nó có thể cung cấp một cách dễ dàng và rẻ tiền để kích hoạt xác thực.
• Router, Firewall , Network Access Controler, và các thiết bị bảo mật khác: Một số thiết bị mạng cung cấp máy chủ RADIUS tích hợp. Tương tự như những gì được cung cấp Controller hoặc AP, chúng có thể không cung cấp chức năng RADIUS đầy đủ nhưng một số hỗ trợ thư mục người dùng của bên thứ ba. Vì vậy, hãy xem thiết bị mạng chính hiện có để xem nó có cung cấp các tính năng RADIUS hay không và những thiết bị nào.
• Server hiệnn tại: Xem các máy chủ hiện tại có bao gồm máy chủ RADIUS như một tính năng hay không. Ví dụ: trên Máy chủ Windows, bạn có thể nhận được máy chủ RADIUS thông qua vai trò Máy chủ chính sách mạng, sử dụng Active Directory cho thông tin đăng nhập Wi-Fi.
• Cloud-hosted RADIUS services: Tùy chọn này cung cấp một cách dễ dàng để sử dụng RADIUS mà không cần triển khai phần cứng của riêng bạn. Điều này cũng hữu ích nếu bạn có nhiều vị trí mà bạn muốn sử dụng nó vì bạn chỉ phải quản lý nó trên đám mây chứ không phải ở từng vị trí. Hơn nữa, một số dịch vụ đám mây cho phép bạn kết nối thư mục người dùng của bên thứ ba.
• Thiết lập một máy chủ RADIUS riêng biệt: Tùy chọn cuối cùng là triển khai một máy chủ RADIUS đầy đủ riêng biệt trên phần cứng chuyên dụng hoặc nền tảng ảo. Có các tùy chọn thương mại cho phần mềm máy chủ RADIUS, nhưng FreeRADIUS là mã nguồn mở và rất phổ biến. tuy nhiên phổ biến nhất trong hệ thống thường chúng ta sẽ build trên nền tảng của Windowns Server, dễ dàng tích hợp với Active Directory
Thiết lập RADIUS.
Độ khó của việc thiết lập máy chủ RADIUS khác nhau tùy thuộc vào giải pháp bạn chọn và nó thường được sắp xếp hợp lý nếu sử dụng bộ điều khiển không dây hoặc các AP. Nếu sử dụng máy chủ bên ngoài, bạn thường phải nhập địa chỉ IP của bộ điều khiển không dây hoặc từng AP và chỉ định bí mật được chia sẻ mà sau này bạn nhập vào cài đặt bộ điều khiển hoặc từng AP. Đối với các máy chủ RADIUS truyền thống, chúng thường được nhập vào danh sách Network Access Server (NAS).
Trên máy chủ RADIUS, bạn cũng phải định cấu hình thông tin xác thực người dùng với tên người dùng và mật khẩu trong cơ sở dữ liệu cục bộ hoặc cơ sở dữ liệu / thư mục bên ngoài hoặc bằng cách tạo chứng chỉ kỹ thuật số mà bạn cài đặt sau trên thiết bị.
Một số máy chủ RADIUS hỗ trợ các thuộc tính tùy chọn mà bạn có thể áp dụng cho từng người dùng hoặc nhóm người dùng trở thành một phần của chính sách áp dụng cho từng máy khách. Các thuộc tính phổ biến mà máy chủ RADIUS hỗ trợ bao gồm: thời gian đăng nhập, cho phép bạn xác định ngày và giờ chính xác mà họ có thể đăng nhập; được gọi-trạm-ID để chỉ định những AP nào chúng có thể kết nối thông qua; và gọi-trạm-ID để chỉ định thiết bị khách nào họ có thể kết nối.
Một số máy chủ RADIUS cũng hỗ trợ các phép gán VLAN động tùy chọn. Thay vì gán SSID cho một VLAN, bạn có thể xác định các chỉ định VLAN trong máy chủ RADIUS dựa trên người dùng và ID VLAN cụ thể của họ sẽ được áp dụng khi kết nối với Wi-Fi trong quá trình xác thực 802.1x.
Cấu hình AP để bảo mật doanh nghiệp
Khi cấu hình các AP không dây, bạn sẽ nhập địa chỉ IP và cổng của máy chủ RADIUS và bí mật được chia sẻ mà bạn đã chỉ định trước đó nếu sử dụng máy chủ RADIUS bên ngoài. Nếu các AP hỗ trợ nhiều giao thức xác thực doanh nghiệp (EAP), bạn cũng sẽ phải chọn giao thức mình đang sử dụng, chẳng hạn như EAP được bảo vệ (PEAP) cho tên người dùng / mật khẩu hoặc EAP-TLS cho chứng chỉ kỹ thuật số. EAP cho phép cuộc trò chuyện giữa máy khách và máy chủ RADIUS như được ủy quyền thông qua AP.
Nếu các AP của bạn hỗ trợ WPA3, bạn cũng sẽ có khả năng chọn một trong ba tùy chọn WPA: chỉ WPA2-Enterprise, chỉ WPA3-Enterprise hoặc WPA2 / WPA3-Enterprise. Tùy chọn thứ ba là lựa chọn khả dĩ nhất cho đến khi tất cả các thiết bị khách của bạn được nâng cấp để hỗ trợ WPA3.
Hầu hết các bộ điều khiển không dây và AP cũng hỗ trợ tính toán RADIUS, nơi chúng sẽ gửi chi tiết sử dụng trở lại máy chủ RADIUS để bạn có thể giữ nhật ký kết nối. Đối với các máy chủ RADIUS bên ngoài, bạn sẽ phải nhập địa chỉ IP máy chủ RADIUS và cổng kế toán cũng như bí mật được chia sẻ mà bạn đã chỉ định trước đó.
Kết nối bảo mật cho doanh nghiệp
Nếu bạn chọn sử dụng tên người dùng và mật khẩu, như với PEAP, người dùng chỉ cần chọn SSID trên thiết bị của họ và nó sẽ nhắc họ đăng nhập. Hoặc bạn có thể đẩy các cài đặt được xác định trước ra thiết bị của họ và sử dụng chức năng đăng nhập một lần mà người dùng có thể không phải tự cung cấp bất kỳ thông tin đăng nhập nào.
Nếu bạn đang sử dụng chứng chỉ kỹ thuật số (như với EAP-TLS), thì chứng chỉ của mỗi người dùng cần được cài đặt trên mỗi thiết bị sử dụng cuối. Ngoài việc thực hiện việc này theo cách thủ công, có nhiều giải pháp để triển khai các giải pháp này để giúp tự động hóa quy trình. Kiểm tra với máy chủ RADIUS hoặc dịch vụ đám mây của bạn để xem họ cung cấp những gì.