Bảo vệ thiết bị di động iOS và Android bằng 802.11x

Discussion in 'Tin tức - Đồ chơi số' started by Robot Siêu Nhân, Feb 26, 2015.

  1. Robot Siêu Nhân

    Robot Siêu Nhân Moderator

    (Lượt xem: 239)

    (PCWorldVN) Khi kết nối bằng thiết bị di động, bạn chỉ có 1 lần nhắc nhập mật khẩu và tên tài khoản và bạn không thể chỉnh sửa gì được với những thiết lập 802.1x trên thiết bị, nhưng cũng có cách giải quyết trở ngại này.


    Khi kết nối một thiết bị Android vào hệ thống mạng bảo mật của doanh nghiệp, bạn có thể khá bối rối vì có nhiều hộp thoại nhắc nhở hiện ra. Khi kết nối bằng thiết bị nền iOS như iPad, iPhone, iPod Touch..., bạn chỉ có 1 lần nhắc nhập mật khẩu và tên tài khoản mà thôi. Bạn không thể chỉnh sửa gì được với những thiết lập 802.1x trên thiết bị, nhưng cũng có cách giải quyết trở ngại này.

    [​IMG]

    Cài các chứng thực trên Android

    Nếu bạn đang sử dụng một phương pháp xác thực dựa trên chứng thực (certification) như TLS thì đầu tiên, bạn phải cài chứng thực số của người dùng.

    Thậm chí nếu bạn không sử dụng xác thực dựa trên chứng thực thì có lẽ bạn cũng muốn tải một chứng thực trên Android. Đối với hầu hết phương pháp chứng thực, bạn đều có thể tùy chọn cài chứng thực nào đó từ Certificate Authority để máy chủ xác thực kích hoạt tính năng xác thực. Giống như xác thực máy chủ trong Windows, nó có thể chống được kiểu tấn công man-in-the-middle.

    Các chứng thực số là những file nhỏ, có đuôi như là .p12, .pfx hoặc .crt.

    Trong các phiên bản Android mới, cài đặt chứng thực rất đơn giản. Bạn tải chứng thực về, và hệ thống sẽ tự động mở một màn hình để nhập nó vào. Bạn đặt tên cho chứng thực và chọn Wi-Fi để sử dụng nhiều lần về sau. Nếu điện thoại chưa kích hoạt chức năng bảo mật khóa màn hình thì bạn có thể được nhắc nhở bật chức năng đó lên.

    Nếu sử dụng phiên bản Android cũ hơn, có thể bạn sẽ phải làm thủ công quá trình nhập chứng thực này. Đầu tiên, tải về hoặc chuyển file chứng thực lên thiết bị. Sau đó, bạn vào mục Security hoặc Location & Security và chọn Install from SD card. Nếu bạn chưa có mật khẩu, hệ thống sẽ nhắc bạn tạo một mật khẩu để để sử dụng cho lưu trữ chứng thực về sau này.

    Hãy nhớ là bạn luôn luôn có thể loại bỏ chứng thực nào mà bạn từng cài đặt, bằng cách vào mục Security và chọn Clear credentials. Làm điều này cũng sẽ cho phép bạn gỡ bỏ PIN/mật khẩu của khóa màn hình trong các phiên bản Android mới nếu bạn muốn. Tuy vậy, nếu làm vậy thì bạn cũng sẽ gỡ bỏ mọi chứng thực người dùng, chọn Trusted credentials từ mục Security và chọn tab User để xem và xóa từng chứng thực cụ thể.

    Cấu hình 802.11x trong Android

    Một khi bạn kết nối được vào mạng Wi-Fi bảo mật của doanh nghiệp bằng thiết bị Android ngay lần đầu tiên, bạn sẽ thấy một trang thiết lập xác thực. Mặc dù các thiết lập đó cứ "ám" mãi với một số người dùng nhưng thường thì chúng có 2 trường cần bạn điền vào: Identity (username) và Password.

    [​IMG].

    Sau khi tải một profile người dùng hoặc một chứng thực CA,
    Android có thể tự động nhắc bạn nhập vào.


    Nếu phương pháp EAP không được chọn thì bạn hãy chọn bật phương pháp này, vì EAP được máy chủ xác thực hỗ trợ như PEAP, TLS, TTLS, FAST hoặc LEAP. Sau đó, đối với hầu hết phiên bản EAP, bạn đều có thể tùy chọn quy định sử dụng chứng thực CA, là chứng thực bạn cần tải về và cài (như mô tả ở bước bên trên). Đối với TLS, bạn cũng có thể chỉ định sử dụng chứng thực này; một lần nữa, chứng thực TLS cũng cần cài đặt trước.

    Dưới đây là những thiết lập mà bạn có thể tìm thấy khi dùng các phương pháp PEAP hoặc TTLS:

    • Xác thực Phase 2: xác thực này chỉ định phương pháp xác thực từ ngoài vào, như MS-CHAPv2 hoặc GTC. Bạn chỉ việc chọn phương pháp nào mà máy chủ xác thực hỗ trợ là được, nhớ rằng MS-CHAPv2 là phổ biến nhất. Nếu bạn không chắc chắn, hãy thử chọn None.
    • Nhận diện: đây là lúc bạn cần gõ username vào, gồm cả tên miền, ví dụ như toasoan@pcworld.com.vn, tùy vào mạng cụ thể của bạn.
    • Nhận diện ẩn danh: mặc định, username (identity) được gửi 2 lần đến máy chủ xác thực. Đầu tiên, nó được gửi không mã hóa, gọi là nhận diện từ bên ngoài (Anonymous identity), sau đó, lần thứ 2 gửi bên trong có mã hóa, gọi là nhận diện từ bên trong (inner identity). Trong hầu hết trường hợp, bạn không phải sử dụng tên username thực ở nhận diện bên ngoài để kẻ ác ý không biết được bạn là ai. Tuy vậy, tùy vào máy chủ xác thực của bạn mà có thể bạn phải gõ thêm cả tên miền cho chính xác.

    [​IMG]

    Các thiết lập xác thực hiển thị trong quá trình kết nối lần đầu.
    Bạn có thể chỉnh lại sau này bằng cách nhấn vào biểu tượng mạng không dây.


    Đề xuất: bạn nên sử dụng một username ngẫu nhiên nào đó, như "anonymous" cho Anomynous Identity. Còn nếu chương trình yêu cầu cả tên miền, bạn có thể gõ: "anonymous@tenmiencuaban.com".

    • Gõ mật khẩu: dĩ nhiên, đây là chỗ bạn cần nhập mật khẩu tương ứng với username của bạn.

    Về sau, bạn lúc nào cũng có thể thay đổi những thiết lập này. Đơn giản bạn chỉ cần chạm vào tên mạng, và chọn Modify network config.

    Cài chứng thực trên iOS

    Tương tự như Android, iOS hoặc bất kỳ thiết bị liên quan nào, đầu tiên bạn phải cài đặt một chứng thực số của người dùng nếu sử dụng một phương pháp xác thực dựa trên chứng thực như là TLS.

    Tuy vậy, với iOS, bạn không phải cài thủ công chứng thực Certificate Authority khi sử dụng các loại EAP khác như PEAP, để tận dụng xác thực máy chủ. Xác thực này giúp chặn các cuộc tấn công kiểu man-in-the-middle và được tự động hóa trên thiết bị iOS, bởi vì hệ thống sẽ nhắc bạn đồng ý các chứng thực mới mà máy chủ xác thực sử dụng.

    Mặt khác, loại xác thực mặc định này rất dễ khiến người dùng bỏ qua hoặc làm ngơ, vì chúng sẽ chỉ chấp nhận các chứng thực mới mà thôi. Do vậy, tốt nhất là nên định nghĩa các tên chứng thực được tin cậy bằng cách tạo ra các profile cấu hình mà bài viết sẽ đề cập ở phần sau.

    Nếu máy chủ xác thực yêu cầu một chứng thực người dùng, thì bạn email hoặc truyền file đó đến thiết bị iOS. Chọn file chứng thực trên thiết bị iOS và hệ thống nhắc bạn cài đặt.

    Bạn cũng có thể chạm vào More Details để xem mọi thông tin chi tiết về chứng thực đó để xác nhận tính hợp pháp của nó. Sau đó nhấn vào Install để nhập chứng thực ấy. Nếu thiết bị bạn có mã PIN hoặc passcode, có thể bạn sẽ cần nhập vào thì mới có thể nhập chứng thực.

    Kết nối với thiết bị iOS

    Khi kết nối đến mạng không dây bảo mật mức doanh nghiệp bằng một thiết bị nền iOS lần đầu tiên, bạn sẽ được thông báo thiết lập các bảo mật xác thực. Khi mạng dùng xác thực dựa trên mật khẩu như là PEAP, đơn giản là bạn chỉ cần nhập vào username và mật khẩu.

    [​IMG]

    Ví dụ về cài một chứng thực số trên thiết bị iOS.


    Tiếp theo, bạn sẽ được nhắc chấp nhận chứng thực Certificate Authority của máy chủ xác thực. Bạn sẽ thấy tên miền và tên Certificate Authority tương ứng với chứng thực này. Nó sẽ hiện ra nội dung tương tự như "Not Verified" (chưa được xác thực) khi lần đầu tiên bạn kết nối. Bạn có thể thấy được ngày hết hạn của chứng thực đó và bạn hãy nhấn vào More Details để xem mọi chi tiết liên quan đến chứng thực ấy.

    [​IMG]

    Cấu hình chuyên sâu cho 802.1x trên iOS

    Trên thiết bị iOS, bạn không thể cấu hình các thiết lập chuyên sâu cho 802.1x được, như là loại chính xác loại EAP được phép, các tên chứng thực tin cậy và bật Protected Access Credential (PAC). Bạn cũng không thể định nghĩa được Outer Identity, như Identity Privacy trong Windows và định danh Anonymous trong Android, nghĩa là cho bạn ngụy trang username của mình khi lần đầu gửi qua mạng. Vấn đề này cũng tương tự như hệ điều hành Mac OS X 10.7 Lion trở lên, bạn không thể cấu hình chuyên sâu được cho 802.1x.

    Tuy vậy, bạn có thể sử dụng Apple Configurator (cho Mac OS X) hoặc iPhone Configuration Utility (iPCU) (cho Mac và Windows) để tạo một profile cấu hình mạng mà bạn có thể tạo và cài lên các thiết bị iOS (và Mac), có thể kèm theo người dùng và các chứng thực Certificate Authority.

    [​IMG]

    Màn hình đăng nhập bạn sẽ thấy khi kết nối thông qua
    xác thực dựa trên mật khẩu như là PEAP.


    Apple Configurator cho bạn làm mọi thứ hệt như iPhone Configuration Utility. Cả hai đều có khả năng chỉnh sửa được thiết lập 802.1x chuyên sâu, ngoài ra còn thêm được các chính sách bảo mật cho thiết bị và các thiết lập mạng khác như Wi-Fi, VPN, tài khoản Exchange và thiết lập email. Tuy nhiên, Apple Configurator có nhiều chức năng hơn, như chỉ định cụ thể từng ứng dụng để cài đặt và hướng cấu hình cho nhiều thiết bị gắn vào máy tính qua USB.

    Một khi bạn tạo được profile cấu hình, bạn có thể phân phối file đó cho người dùng qua email hoặc tải lên trang web. Thậm chí bạn có thể tạo một SSID riêng trên mạng, với một cổng trỏ tới file cấu hình đó, để người dùng có thể tải về nhanh chóng và dễ dàng. Bạn cũng có thể kết nối thiết bị đến máy tính và cài trực tiếp bằng iPCU.

    PC World VN, 02/2015

    [​IMG]
    Nguồn PC World VN
     
  2. Facebook comment - Bảo vệ thiết bị di động iOS và Android bằng 802.11x

Share This Page