Bảo mật Wi-Fi từ những bước cơ bản

1. Không nên sử dụng WEP

Bảo mật WEP (wired equivalent privacy) từ lâu đã chết. Khả năng mã hóa của nó có thể dễ dàng và nhanh chóng bị phá vỡ bởi hầu hết các hacker không chuyên. Do vậy, bạn không nên sử dụng WEP một chút nào cả. Nếu đang sử dụng, hãy nâng cấp ngay lên WPA2 (Wi-Fi protected access) với chứng thực 802.1X. Nếu mới được cho một chiếc router wifi hoặc access point không hỗ trợ WPA2, hãy thử cập nhật firmware hoặc đơn giản nhất là thay thiết bị mới.

2. Không nên sử dụng WPA/WPA2-PSK

Chế độ pre-shared key (PSK) của WPA và WPA2 không được bảo mật đối với môi trường doanh nghiệp cho lắm. Khi sử dụng chế độ này, cần phải điền key PSK cho mỗi thiết bị phát wifi. Do đó, key này cần được thay đổi mỗi lần một nhân viên rời khỏi công ty và khi một thiết bị phát bị mất hoặc bị trộm – những điều vẫn chưa thực sự được chú trọng với hầu hết các môi trường doanh nghiệp.

3. Triển khai 802.11i

Chế độ EAP (extensible authentication protocol) của bảo mật WPA và WPA2 sử dụng chứng thực 802.1X thay vì dùng PSKs, cung cấp cho khả năng đưa cho mỗi người dùng hoặc thiết bị một thông tin đăng nhập riêng: tên người dùng và mật khẩu hoặc một chứng thực điện tử.

Các key mã hóa thực sự sẽ thường xuyên được thay đổi và trao đổi “âm thầm” trong background. Do đó, nếu muốn thay đổi hoặc có thay đổi về nhân sự, tất cả những gì bạn cần phải làm là điều chỉnh thông tin đăng nhập ở server tập trung, thay vì thay đổi PSK ở mỗi thiết bị. Key PSK cũng ngăn chặn người dùng khỏi việc nghe trộm lưu lượng mạng của người khác – một công việc rất dễ thực hiện với những công cụ như add-on Firesheep của Mozilla Firefox hay ứng dụng DroidSheep dành cho Google Android.

Bảo mật Wi-Fi từ những bước cơ bản

Hãy nhớ trong đầu rằng, để có được bảo mật cao nhất có thể, bạn nên sử dụng WPA2 với 802.1X, hay 802.11i.

Để kích hoạt chứng thực 802.1X, bạn cần phải có một server RADIUS/AAA. Nếu đang chạy Windows Server 2008 hoặc cao hơn, hãy cân nhắc sử dụng Network Policy Server (NPS) hoặc Internet Authenticate Service (IAS) (hay phiên bản server trước đó). Nếu bạn không chạy Windows Server, bạn có thể sử dụng server mã nguồn mở FreeRADIUS.

Bạn có thể áp dụng cài đặt 802.1X cho các thiết bị qua Group Policy nếu đang chạy Windows Server 2008 R2. Nếu không, hãy thử cân nhắc sử dụng một giải pháp bên thứ 3 nào đó để cấu hình thiết bị.

4. Thực hiện cài đặt bảo mật 802.1X

Chế độ EPA của WPA/WPA2 vẫn có khả năng bị tấn công bởi các hacker bán chuyên. Tuy nhiên, bạn có thể ngăn chặn chúng tấn công bằng cách bảo mật cài đặt EAP cho thiết bị. Ví dụ, trong cài đặt EAP cho Windows, bạn có thể kích hoạt chế độ xác nhận chứng thực server bằng cách chọn chứng thực CA, gán địa chỉ server và disable nó khỏi việc hỏi người dùng trust server mới hoặc xác thực CA.

Bạn có thể áp dụng cài đặt 802.1X cho các thiết bị qua Group Policy hoặc sử dụng giải pháp bên thứ 3, ví như Quick1X của Avenda.

5. Nên sử dụng một hệ thống ngăn chặn xâm nhập trái phép vào mạng không dây

Bảo mật mạng không dây là điều nên làm thay vì tập trung vào đánh bại những kẻ cố gắng chiếm quyền truy cập vào mạng của bạn. Ví dụ, hacker có thể thiết lập một điểm truy cập ảo hoặc thực hiện tấn công DOS – denial-of-service. Để có được khả năng dò tìm và đánh bại những kiểu tấn công như vậy, bạn nên triển khai một hệ thống ngăn chặn xâm nhập mạng không dây (WIPS). Thiết kế và phương pháp được sử dụng trong WIPS khác biệt theo từng nhà sản xuất nhưng nhìn chung chúng có thể giám sát mạng, thông báo cho người dùng và có thể ngăn chặn điểm truy cập ảo hay các hoạt động mã độc.

Bảo mật Wi-Fi từ những bước cơ bản

Có rất nhiều nhà sản xuất hiện đang cung cấp giải pháp WIPS, ví như AirMagnet và AirTight Neworks. Bạn cũng có thể tìm tới các sản phẩm mã nguồn mở, tiêu biểu là Snort.

6. Nên triển khai NAP hoặc NAC

Ngoài việc sử dụng 802.11i và WIPS, bạn nên cân nhắc tới việc triển khai giải pháp Network Access Protection (NAP – bảo vệ truy cập mạng) hoặc Network Access Control (NAC – quản lý truy cập mạng). Chúng sẽ cung cấp thêm khả năng quản lý truy cập mạng, dựa vào nhận dạng thiết bị với các policy đã được đặt trước. Chúng cũng bao gồm một chức năng để cách ly những thiết bị có vấn đề và sửa chữa để thiết bị có thể nhanh chóng quay trở lại làm việc.

Một số giải pháp NAC có khả năng bao gồm chức năng dò tìm và ngăn chặn xâm nhập vào mạng, nhưng bạn sẽ phải kiểm tra xem nó có cung cấp khả năng chuyên biệt về bảo vệ mạng không dây hay không.

Nếu đang chạy Windows Server 2008 trở lên và Windows Vista/7 đối với thiết bị, bạn có thể sử dụng chức năng NAP của Microsoft. Nếu không, hãy tìm tới những giải pháp do bên thứ 3 cung cấp, ví như PacketFence.

7. Không nên tin tưởng SSID ẩn

Một trong những lời đồn về bảo mật mạng không dây là disable truyền phát SSID của các điểm truy cập sẽ giúp ẩn mạng của bạn hay ít nhất là tạo SSID an toàn khiến hacker khó phá. Tuy nhiên, cách này chỉ giúp gỡ bỏ SSID khỏi điểm truy cập. Nó vẫn có trong chứa yêu cầu 802.11 và trong một số trường hợp, nó còn có trong yêu cầu dò mạng và các gói trả lời. Do đó, một hacker hay kẻ nghe lén nào đó có thể dễ dàng và nhanh chóng phát hiện ra SSID ẩn – đặc biệt là ở mạng bận – với tính năng phân tích mạng không dây hợp pháp.

Một số người tranh luận là tắt truyền phát SSID vẫn cung cấp thêm tầng bảo mật cho mạng, nhưng bạn cũng hãy nhớ luôn rằng nó có khả năng gây ra ảnh hưởng tiêu cực lên cấu hình và khả năng thực hiện của mạng. Bạn sẽ phải nhập thủ công SSID vào các thiết bị, tiếp đến là cấu hình thiết bị. Nó cũng có thể gây ra việc tăng những yêu cầu thăm dò và gói tin trả về, giảm lượng băng thông hiện có.

8. Không nên tin tưởng lọc địa chỉ MAC

Lời đồn khác về bảo mật mạng không dây là kích hoạt tính năng lọc địa chỉ MAC sẽ giúp có thêm được một tầng bảo mật, quản lý các ứng dụng kết nối với mạng. Điều này có đôi chút chính xác, nhưng hãy nhớ rằng hacker có thể dễ dàng theo dõi mạng của bạn để lấy địa chỉ MAC hợp pháp, sau đó chúng sẽ thay đổi địa chỉ Mac cho máy của chúng.

Bảo mật Wi-Fi từ những bước cơ bản

Do vậy, bạn không nên triển khai khả năng lọc địa chỉ MAC với suy nghĩ chúng sẽ giúp ích cho bảo mật của mình, nhưng có thể là một cách quản lý các thiết bị, máy tính người dùng cuối mang đến công ty và kết nối với mạng. Bạn cũng nên chú ý tới những vấn đề quản lý có khả năng nảy sinh để giữ cho danh sách MAC luôn được cập nhật.

9. Nên hạn chế người dùng SSID có thể kết nối

Rất nhiều nhân viên quản trị mạng đã bỏ qua một nguy cơ có vẻ như đơn giản nhưng lại có độ nguy hiểm cao: người dùng nhận thức được hoặc không nhận thức được việc kết nối tới mạng không dây của hàng xóm hoặc điểm truy cập không rõ ràng, mở ra cơ hội xâm nhập vào máy đối cho hacker. Tuy nhiên, lọc SSID là một cách có khả năng ngăn chặn được việc này. Ví dụ, trong Windows Vista (hay các phiên bản cao hơn), bạn có thể sử dụng lệnh netsh wlan để thêm bộ lọc vào những người dùng SSID muốn xem và kết nối. Đối với máy tính để bàn, bạn có thể từ chối tất cả các SSID ngoại trừ mạng của công ty. Đối với máy xách tay, nhân viên IT chỉ có khả năng từ chối SSID của mạng hàng xóm, cho phép chúng vẫn kết nối với điểm truy cập hay mạng gia đình.

10. Nên bảo vệ các thiết bị mạng

Hãy nhớ, bảo mật máy tính không phải là công nghệ và mã hóa mới nhất. Bảo vệ vật lý cho các thiết bị mạng cũng rất quan trọng. Hãy chắc chắn rằng các thiết bị access point được đặt xa khỏi tầm với, ví như ở trên trần giả hoặc thậm chí là cho nó vào một vị trí an toàn rồi sử dụng ăng ten để có được sóng tối ưu. Nếu không được bảo mật, ai đó có thể dễ dàng cài đặt lại access point về với cài đặt gốc của nhà sản xuất để mở truy cập.

11. Đừng quên bảo vệ các thiết bị di động

Các mối lo ngại về bảo mật mạng không dây không chỉ dừng ở đây. Người dùng sở hữu smartphone, máy xách tay và máy tính bảng có thể được bảo vệ ngay tại chỗ. Tuy nhiên, khi họ kết nối với các điểm truy cập Wi-Fi miễn phí hoặc kết nối với router không dây gia đình thì sao? Bạn nên đảm bảo rằng các kết nối mạng Wi-Fi khác cũng được bảo mật nhằm ngăn chặn xâm nhập trái phép hoặc hacker nghe lén.

Bảo mật Wi-Fi từ những bước cơ bản

Dẫu vậy, không dễ dàng gì để chắc chắn các kết nối Wi-Fi ngoài luôn được bảo mật. Bạn sẽ phải kết hợp việc cung cấp, yêu cầu sử dụng các giải pháp và tuyên truyền cho người dùng về các nguy cơ bảo mật cùng với các phương pháp ngăn chặn.

Trước hết, tất cả các mẫu laptop và netbook sẽ phải kích hoạt tường lửa cá nhân (ví như Windows Firewall) để ngăn chặn xâm nhập trái phép. Bạn có thể thực thi điều này qua Group Policy (nếu đang chạy Windows Server) hoặc sử dụng một giải pháp nào đó, ví như Windows Intune để quản lý các máy tính không có trong miền.

Tiếp đến, bạn sẽ phải chắc chắn rằng lưu lượng Internet của người dùng đã được mã hóa khi họ ở một mạng khác bằng cách cung cấp truy cập VPN vào mạng doanh nghiệp. Nếu không muốn sử dụng VPN trong trường hợp này, có thể cân nhắc tới các dịch vụ khác như Hotspot Shield hoặc Witopia. Đối với các thiết bị iOS (iPhone, iPad, iPod Touch) và Android, bạn có thể sử dụng ứng dụng VPN của chúng. Tuy nhiên, đối với thiết bị BlackBerry và Windows Phone 7, bạn sẽ phải thiết lập và cấu hình server message với thiết bị này để có thể sử dụng VPN của chúng.

Bên cạnh đó, bạn cũng nên đảm bảo rằng tất cả các dịch vụ liên quan tới mạng đều được bảo mật, đề phòng trường hợp người dùng không sử dụng VPN khi đang truy cập từ mạng công cộng hay một mạng không đáng tin cậy. Ví dụ, nếu bạn cung cấp quyền truy cập email (qua ứng dụng hoặc trên web) ở bên ngoài mạng LAN, WAN hoặc VPN, hãy chắc chắn rằng bạn có sử dụng mã hóa SSL để ngăn chặn hacker nghe lén và trộm thông tin đăng nhập quan trọng hay các message cá nhân.

Recent posts

Cảnh báo thủ đoạn hack iCloud mới cực kỳ tinh vi, sử dụng chính công cụ do Apple tạo ra

Cảnh báo thủ đoạn hack iCloud mới cực kỳ tinh vi, sử dụng chính công cụ do Apple tạo ra

Người dùng có thể mất quyền truy cập tài khoản iCloud nếu “sa lưới” vào hình thức lừa đảo mới […]

Ngoại hình iPhone 16 Pro lộ diện, thiết kế tuyệt đẹp

Ngoại hình iPhone 16 Pro lộ diện, thiết kế tuyệt đẹp

Bản vẽ thiết kế được cho là của iPhone 16 Pro cho thấy dòng iPhone thế hệ mới của Apple […]

Apple tăng gấp đôi tuổi thọ pin cho iPhone 15 nhờ iOS 17.4

Apple tăng gấp đôi tuổi thọ pin cho iPhone 15 nhờ iOS 17.4

Tuổi thọ pin iPhone được xác định thông qua chu kỳ sạc/xả, với con số 500 để về 80%. Tuy […]

Rối loạn về tin đồn iPhone màn hình gập của Apple

Rối loạn về tin đồn iPhone màn hình gập của Apple

Báo cáo mới nhất cho hay, Apple vẫn chưa từ bỏ iPhone màn hình gập nhưng cũng không gấp gáp […]

Nhiều mẫu iPhone cũ ‘gặp nguy’, người dùng nên chuẩn bị tâm lý mua máy mới

Nhiều mẫu iPhone cũ ‘gặp nguy’, người dùng nên chuẩn bị tâm lý mua máy mới

Một rò rỉ mới cho biết phiên bản cập nhật iOS 18 mà Apple phát hành vào mùa thu 2024 […]

© 2021 Tạp Chí CNTT. Mr Hoang