Trong bài viết trước, chúng tôi đã giới thiệu với các bạn một số điểm cơ bản cần chú ý khi triển khai các ứng dụng trên nền tảng iPhone và iPad vào mô hình công ty, tổ chức, doanh nghiệp... qua Exchange ActiveSync và VPN, và lần này chúng ta sẽ tiếp tục quá trình tìm hiểu cách áp dụng của quá trình này qua Wifi. Về mặt kỹ thuật, iPhone và iPad có thể dễ dàng thiết lập và kết nối tới các hệ thống mạng Wifi công cộng hoặc của riêng cá nhân.
Nền tảng hệ điều hành iOS hỗ trợ khá nhiều giao thức Wireless phổ biến hiện nay, bao gồm cả WPA2 Enterprise – sử dụng cơ chế mã hóa 128-bit AES (thực chất là 1 phương pháp mã hóa dựa trên các khối dữ liệu điển hình) cung cấp cho người sử dụng sự đảm bảo an toàn tuyệt đối.
Với sự hỗ trợ chuẩn wifi 802.1X, iOS có thể tương thích với rất nhiều môi trường xác nhận RADIUS nào. Về mặt kỹ thuật, cơ chế xác nhận chuẩn Wifi 802.1X được hỗ trợ đầy đủ trên các dòng điện thoại iPhone và iPad, bao gồm EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1, và LEAP.
Bên cạnh đó, người sử dụng hoàn toàn có thể thiết lập iPhone và iPad kết nối vào bất kỳ mạng Wifi nào theo cơ chế tự động. Khi đó, hệ thống sẽ yêu cầu người dùng cung cấp thông tin nhận dạng để truy cập và không cần phải thực hiện bất kỳ bước thiết lập nào bên ngoài, từ phần Wifi Settings hoặc ở ngay bên trong ứng dụng nào đó, ví dụ như Mail. Để thiết lập, ứng dụng và triển khai hệ thống Wifi một cách nhanh chóng, người sử dụng hoàn toàn có thể thực hiện quá trình này qua tính năng Configuration Profiles.
- Kiểm tra rằng chuẩn 802.1X đã được kích hoạt trên hệ thống server xác nhận thông tin, và trong những trường hợp cần thiết thì cài đặt thêm server Certificate, sau đó gán quyền truy cập tới những tài khoản User và Group nhất định.
- Thiết lập Access Point Wireless để xác nhận 802.1X, sau đó nhập thông tin tương ứng từ server RADIUS.
- Nếu các bạn có dự định sử dụng cơ chế xác nhận tài khoản dựa trên Certificate, thì hãy tiến hành thiết lập khóa key public sao cho phù hợp với thiết bị và Certificate tương ứng.
- Kiểm tra các định dạng Certificate và tính tương thích của server xác thực, iOS chủ yếu hỗ trợ PKCS#1 (*.cer, *.crt, *.der) và PKCS#12.
- Để tìm hiểu thêm về các chuẩn Wireless và Wifi Protected Access – WPA, các bạn hãy tham khảo tại đây.
- WPA Personal
- WPA Enterprise
- WPA2 Personal
- WPA2 Enterprise
- EAP-TTLS
- EAP-FAST
- EAP-SIM
- PEAPv0 (EAP-MS-CHAP v2)
- PEAPv1 (EAP-GTC)
- LEAP
Trên iPhone và iPad, Certificate có thể được áp dụng theo nhiều cách khác nhau. Việc gán thông tin, dữ liệu cá nhân với Digital Certificate sẽ giúp họ đảm bảo được an toàn, và lượng dữ liệu đó sẽ không thể bị xâm nhập hoặc khai thác từ bên ngoài, bên cạnh đó, Certificate cũng được sử dụng để đảm bảo việc xác nhận thông tin tài khoản của người tạo hoặc signer. Mặt khác, chúng còn được áp dụng để mã hóa thông tin Configuration Profiles và quá trình kết nối vào hệ thống mạng công cộng hoặc cá nhân trong khi sử dụng.
Nền tảng hệ điều hành iOS hỗ trợ khá nhiều giao thức Wireless phổ biến hiện nay, bao gồm cả WPA2 Enterprise – sử dụng cơ chế mã hóa 128-bit AES (thực chất là 1 phương pháp mã hóa dựa trên các khối dữ liệu điển hình) cung cấp cho người sử dụng sự đảm bảo an toàn tuyệt đối.
Với sự hỗ trợ chuẩn wifi 802.1X, iOS có thể tương thích với rất nhiều môi trường xác nhận RADIUS nào. Về mặt kỹ thuật, cơ chế xác nhận chuẩn Wifi 802.1X được hỗ trợ đầy đủ trên các dòng điện thoại iPhone và iPad, bao gồm EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1, và LEAP.
Bên cạnh đó, người sử dụng hoàn toàn có thể thiết lập iPhone và iPad kết nối vào bất kỳ mạng Wifi nào theo cơ chế tự động. Khi đó, hệ thống sẽ yêu cầu người dùng cung cấp thông tin nhận dạng để truy cập và không cần phải thực hiện bất kỳ bước thiết lập nào bên ngoài, từ phần Wifi Settings hoặc ở ngay bên trong ứng dụng nào đó, ví dụ như Mail. Để thiết lập, ứng dụng và triển khai hệ thống Wifi một cách nhanh chóng, người sử dụng hoàn toàn có thể thực hiện quá trình này qua tính năng Configuration Profiles.
Thiết lập WPA2 Enterprise:
- Xác định các thiết bị mạng để kiểm tra tính tương thích và phương pháp xác nhận – EAP được hỗ trợ bởi iOS.- Kiểm tra rằng chuẩn 802.1X đã được kích hoạt trên hệ thống server xác nhận thông tin, và trong những trường hợp cần thiết thì cài đặt thêm server Certificate, sau đó gán quyền truy cập tới những tài khoản User và Group nhất định.
- Thiết lập Access Point Wireless để xác nhận 802.1X, sau đó nhập thông tin tương ứng từ server RADIUS.
- Nếu các bạn có dự định sử dụng cơ chế xác nhận tài khoản dựa trên Certificate, thì hãy tiến hành thiết lập khóa key public sao cho phù hợp với thiết bị và Certificate tương ứng.
- Kiểm tra các định dạng Certificate và tính tương thích của server xác thực, iOS chủ yếu hỗ trợ PKCS#1 (*.cer, *.crt, *.der) và PKCS#12.
- Để tìm hiểu thêm về các chuẩn Wireless và Wifi Protected Access – WPA, các bạn hãy tham khảo tại đây.
Một số giao thức bảo mật của Wireless:
- WEP- WPA Personal
- WPA Enterprise
- WPA2 Personal
- WPA2 Enterprise
Một số phương pháp xác thực chuẩn 802.1X:
- EAP-TLS- EAP-TTLS
- EAP-FAST
- EAP-SIM
- PEAPv0 (EAP-MS-CHAP v2)
- PEAPv1 (EAP-GTC)
- LEAP
Mô hình triển khai WPA2 Enterprise/802.1X:
Sơ đồ dưới đây là 1 ví dụ điển hình về việc triển khai các thiết bị bảo mật qua Wifi để tận dụng lợi thế của cơ chế xác nhận qua RADIUS:
1: thiết bị iPhone và iPad gửi tín hiệu yêu cầu tới hệ thống mạng, kết nối được thiết lập dựa trên sự lựa chọn của người dùng, hoặc theo cơ chế tự động sau lần thiết lập cuối cùng gần nhất.
2: sau khi các tín hiệu yêu này này được chuyển tới Access Point, những thông tin này tiếp tục được chuyển tới server RADIUS để xác nhận trong bước tiếp theo.
3: server RADIUS tiến hành kiểm tra và xác thực tài khoản của người sử dụng dựa vào các dịch vụ Directory.
4: sau khi quá trình xác nhận này hoàn tất, thiết bị Access Point sẽ cung cấp tín hiệu truy cập vào hệ thống mạng với các chính sách và quyền hạn được “chỉ dẫn” bởi server RADIUS.
Triển khai ứng dụng iPhone và iPad với Digital Certificate:
Hệ điều hành iOS còn hỗ trợ khá tốt Certificate dưới dạng Digital, cung cấp cho người sử dụng nhiều ưu điểm và độ an toàn, bảo mật tối đa khi thực hiện các phiên giao dịch trực tuyến. Về mặt kỹ thuật, một Digital Certificate là tổ hợp của các khóa key public, thông tin của người sử dụng, và quyền xác nhận Certificate được cấp bởi tổ chức có quyền hạn và trách nhiệm. Hay hiểu theo cách nôm na thì Digital Certificate là 1 nhóm các thông tin có liên quan tới người sử dụng đã được kích hoạt sẵn để tích hợp, mã hóa và truyền tải dữ liệu.Trên iPhone và iPad, Certificate có thể được áp dụng theo nhiều cách khác nhau. Việc gán thông tin, dữ liệu cá nhân với Digital Certificate sẽ giúp họ đảm bảo được an toàn, và lượng dữ liệu đó sẽ không thể bị xâm nhập hoặc khai thác từ bên ngoài, bên cạnh đó, Certificate cũng được sử dụng để đảm bảo việc xác nhận thông tin tài khoản của người tạo hoặc signer. Mặt khác, chúng còn được áp dụng để mã hóa thông tin Configuration Profiles và quá trình kết nối vào hệ thống mạng công cộng hoặc cá nhân trong khi sử dụng.
Sử dụng Certificate trong iOS:Digital Certificate: trên thực tế, những thông tin này được sử dụng khá phổ biến để đảm bảo an toàn quá trình xác nhận dữ liệu của người dùng tới các dịch vụ trong hệ thống mà không cần tới tên tài khoản, mật khẩu hoặc khóa token. Trong iOS, quá trình xác nhận tài khoản Certificate được hỗ trợ khá đầy đủ để truy cập tới hệ thống mạng Microsoft Exchange ActiveSync, VPN, và Wi-Fi.  Một số phương pháp xác nhận và bảo mật hỗ trợ:- iOS hỗ trợ Certificate X.509 với key RSA- Một số file với định dạng: *.cer, *.crt, *.der, *.p12 và *. pfx Root Certificate:Bên cạnh đó, iOS còn có sẵn một số Certificate ở dạng root đã được cài đặt sẵn. Nếu muốn kiểm tra danh sách các Certificate Root này, các bạn hãy tham khảo thêm tại trang Apple Support. Còn trong trường hợp mọi người sử dụng Certificate Root chưa được cài đặt sẵn, chẳng hạn như Certificate Root tự tạo bởi tổ chức, công ty hoặc cá nhân... thì chúng ta có thể tự xác định và phân phát Certificate theo cách được trình bày ở phần tiếp theo của bài viết – Sắp xếp và cài đặt Certificate.Cài đặt và sắp xếp Certificate:Thực chất, việc phân phối và sắp xếp Certificate tới thiết bị iPhone và iPad khá đơn giản. Cụ thể như sau: khi Certificate được hệ thống chấp nhận, người sử dụng có thể sử dụng chức năng Preview để xem trước phần nội dung bên trong, sau đó gán trực tiếp vào thiết bị. Và khi quá trình cài đặt này kết thúc, hệ thông sẽ yêu cầu người dùng khai báo thông tin xác nhận để đảm bảo an toàn. Nếu thông tin người dùng nhập không đúng thì hệ thống sẽ hiển thị thông tin cảnh báo trước khi chuyển sang bước tiếp theo.Cài đặt Certificate qua Configuration Profiles:Nếu chức năng Configuration Profiles đang được sử dụng để sắp xếp và phân phối lượng thông tin tới các dịch vụ trong hệ thống như Exchange, VPN hoặc Wifi... thì Certificate tương ứng có thể được gán trực tiếp vào Profile để triển khai và mở rộng mô hình.Cài đặt Certificate qua Mail hoặc Safari:Nếu Certificate được gửi đi kèm với email thì hệ thống sẽ hiển thị dưới dạng file đính kèm – Attachment. Và trên thực tế, Safari có thể được sử dụng để tải các thông tin Certificate đó về hệ thống từ trang web. Chúng ta có thể lưu trữ dữ liệu Certificate này trên các website bảo mật, sau đó cung cấp cho người dùng đường dẫn URL để tải Certificate tương ứng về thiết bị của họ.Cài đặt qua Simple Certificate Enrollment Protocol – SCEP:Về mặt kỹ thuật, SCEP được thiết kế để đơn giản hóa toàn bộ quá trình tập hợp, sắp xếp và lưu trữ Certificate khi được ứng dụng trong công ty, tổ chức, doanh nghiệp... có mô hình lớn. Đồng thời, kích hoạt chế độ Over the Air Enrollment của Digital Certificate trên thiết bị iPhone và iPad, sau đó có thể được sử dụng để xác nhận các dịch vụ hỗ trợ khác trong tổ chức, cũng tương tự như với server Mobile Device Management. Để tham khảo thêm thông tin chi tiết về quá trình này, các bạn hãy truy cập vào đây.Xóa bỏ và thu hồi Certificate:Để gỡ bỏ Certificate đã cài đặt theo cách thủ công, các bạn chọn Settings > General > Profiles. Nếu bạn xóa Certificate bất kỳ có yêu cầu truy cập tới tài khoản trên hệ thống mạng thì thiết bị đó sẽ không thể kết nối tới các dịch vụ tương ứng.Còn nếu muốn thực hiệc quá trình này 1 cách nhanh chóng, các bạn hãy sử dụng chức năng Mobile Device Management, về bản chất thì server này có thể giám sát toàn bộ Certificate có trong hệ thống, và qua đó việc quản lý cũng như cài đặt, gỡ bỏ hết sức đơn giản và dễ dàng. Bên cạnh đó, dịch vụ Online Certificate Status Protocol – OCSP còn được hỗ trợ tối đa để kiểm tra tình trạng hiện thời của Certificate. Và khi Certificate OSCP đã được kích hoạt và sử dụng, iOS sẽ kiểm tra và xác nhận rằng nó sẽ không bị hệ thống thu hồi trước khi hoàn thành công việc. T.Anh (theo Apple) |
No comments:
Post a Comment