วิธีการทำ 802.1X บน Cisco Wireless LAN Controller
การทำ Authentication แบบใช้มาตรฐาน IEEE 802.1x เป็นมาตรฐานที่องค์กรใหญ่ควรจะมีการทำไว้ เนื่องจากเป็นการเข้าตรวจสอบก่อนที่จะใช้งานระบบเครือข่ายไร้สาย พูดง่ายๆ ก็คือ ผู้ใช้จะต้องกรอกรหัสผ่านก่อนที่จะได้รับไอพี เพื่อสามารถเข้ามาสู่ระบบภายในองค์กรได้ หากกรอกผิดก็ไม่สามารถเข้ามาใช้งานได้ เพราะฉะนั้นจึงเป็นวิธี Authentication ที่ปลอดภัยที่สุดในปัจจุบัน และดีกว่าการ Authentication แบบหน้าเว็บหรือ Web Authen (Captive Portal) เพราะวิธีการนี้ผู้ใช้งานสามารถเข้ามายังเครือข่ายได้ก่อนและได้รับไอพีไปเรียบร้อยแล้ว ซึ่งถ้าเป็น Hacker ก็จะเข้ามาสแกนช่องโหว่ภายในองค์กรได้ทันที โดยที่ไม่จำเป็นต้อง login ใดๆ
ในบทความนี้ ผมจะเน้นวิธีการ Configure ผ่านอุปกรณ์ Wireless LAN Controller ของ Cisco ซึ่งมีรูปในการ Configure ทุกรุ่นเหมือนกันหมดตั้งแต่รุ่น WLC2504, CT5508, CT5520 เป็นต้น ซึ่งสามารถสร้าง Local Database (Local Radius) โดยการใช้ user และ password ที่สร้างลงบน Controller ได้เลย ถึงแม้ว่าเราจะไม่มี Radius Server หรือ Microsoft Active Directory ภายนอกก็ตาม แต่หากเรามี Radius Server ภายนอก เราก็สามารถสร้างมาเพื่อ Sync ได้เช่นเดียวกัน มาเริ่มดูวิธีการแบบ Step by Step กันดูเลยนะครับ
- Security > Local Net Users > New
- Create user ตามตัวอย่าง รูปด้านล่าง
- Security > Local EAP > Profiles > New เพื่อสร้าง Profile สำหรับการทำ 802.1x
- Click PEAP (Protected EAP) เพื่อให้ตรวจสอบการเชื่อมต่อความถูกต้องของเครือข่ายแบบ PEAP
- สร้าง SSID ให้กับ AP ที่เมนู WLANs และ ไปทำการ add interface profile เข้ามา และให้เข้าไปทำที่เมนู WLANs > Security > Layer 2 แล้วเลือก การเข้ารหัสแบบ WPA + WPA2 ส่วนตัว Authentication Key Management ให้ click 802.1x
- ไปที่เมนู AAA Server และไปที่ Local EAP Authentication ให้ click Enabled ไว้ และเลือก Profile Name เป็น Profile ที่สร้างขึ้นมาสำหรับ 1X
เมื่อทำการ Configure บน Cisco WLAN Controller เสร็จเรียบร้อยแล้ว เราสามารถใช้ Client ไม่ว่าจะเป็น Laptop, Smart Phone, Tablet, Smart Device ต่างๆ ทำการ Search หา SSID ที่สร้างขึ้นมาและทำการเข้าไปใส่รหัสผ่านทั้ง User Name และ Password ได้เลยครับ