Trong bài viết
này chúng tôi sẽ liệt kê 6 lỗi bảo mật Wi-Fi lớn nhất mà người dùng
thường mắc phải với mục đích giúp các bạn tránh và bảo vệ mạng không
dây của mình tốt hơn.
Mạng không dây cung cấp rất nhiều sự
thuận tiện trong sử dụng. Mặc dù vậy, ngược lại với sự thuận tiện trong
sử dụng là những phức tạp trong vấn đề bảo mật. Đây là 6 lỗi bảo mật
điển hình nhất mà chúng ta hay mắc phải khi thiết lập và sử dụng một
mạng không dây. Tránh được vấn đề này, mạng và dữ liệu của bạn sẽ được
an toàn hơn.
6 lỗi bảo mật Wi-Fi điển hình
1. Không mã hóa hoặc chỉ sử dụng bảo mật WEP không an toàn
Việc mã hóa mạng không dây rất cần thiết
vì hai lý do: không cho phép người dùng không xác thực kết nối với
mạng và ngăn chặn hiện tượng nghe trộm lưu lượng Internet. Nếu người
dùng ngẫu nhiên có thể kết nối với mạng, họ có thể truy cập các thư mục
chia sẻ của bạn hay các tài nguyên mạng khác. Nếu có thể nghe trộm, họ
có thể capture mật khẩu hoặc chiếm quyền điều khiển website hay các
tài khoản dịch vụ được đăng nhập không sử dụng mã hóa SSL.
Cần nhớ rằng mã hóa WEP hiện không an
toàn và nó có thể bị crack một cách dễ dàng. Tối thiểu nhất bạn cũng
nên sử dụng WPA-PSK hoặc WPA2-PSK. Hai chế độ bảo mật này sẽ mã hóa
lưu lượng và ngăn chặn hiện tượng truy cập trái phép. Mặc dù vậy chúng
vẫn dễ bị tấn công trước các tấn công “brute force”, vì vậy hãy tạo và
sử dụng mật khẩu mã hóa mạnh (passphrase). Sử dụng mật khẩu dài (lên
đến 63 ký tự) và trộn lẫn các ký tự, chữ số, các ký tự đặc biệt,…
2. Không sử dụng bảo mật WAP2-Enterprise với xác thực 802.1X
Tất cả các mạng không dây được sử dụng
bởi các tổ chức và doanh nghiệp có nhiều nhân viên nên sử dụng chế độ
bảo mật WPA-Enterprise. Chế độ bảo mật này yêu cầu một máy chủ riêng
(máy chủ này được gọi là RADIUS server) để thực hiện xác thực 802.1X,
tuy nhiên một số trường hợp có thể sử dụng các điểm truy cập có hỗ trợ
chức năng RADIUS server đi kèm. Ngoài ra cũng có nhiều dịch vụ (chẳng
hạn như AuthenticateMyWiFi) trợ giúp toàn bộ quá trình này.
Chế độ Enterprise này giúp tăng độ bảo
mật và cho phép bạn quản lý sự truy cập tốt hơn đối với các mạng Wi-Fi.
Thay vì phải sử dụng cùng một mật khẩu trên tất cả các máy tính và
thiết bị truy cập không dây, bạn có thể gán cho mỗi người dùng một tài
khoản riêng hay một chứng chỉ số riêng mà họ phải sử dụng để kết nối.
Vì vậy, khi một nhân viên nào đó rời công ty hoặc một thiết bị nào đó
bị mất, bạn chỉ phải thay đổi một tài khoản. Nếu sử dụng chế độ
WPA-Personal, bạn phải thay đổi mật khẩu trên tất cả các điểm truy cập,
máy tính và thiết bị của mình.
Chế độ WPA-Enterprise cũng ngăn chặn
người dùng trên mạng không dây nghe trộm lưu lượng của người dùng khác.
Không giống như trường hợp sử dụng chế độ Personal, người dùng không
thể sử dụng các ứng dụng phần mềm hacker để capture mật khẩu cũng như
chiếm quyền điều khiển tài khoản của những người dùng khác.
3. Không bảo mật các thiết lập 802.1X client
Nếu đang sử dụng chế độ WPA-Enterprise,
bạn nên cấu hình tất cả các tài khoản người dùng với mức bảo mật hoàn
chỉnh để ngăn chặn các tấn công “man-in-the-middle”. Trong các thiết
lập EAP của máy khách (chẳng hạn như Windows), bảo đảm nó phải được
thiết lập để hợp lệ hóa chứng chỉ máy chủ, địa chỉ máy chủ cần được đặt
sẵn và chọn chứng chỉ CA gốc.
4. Tin tưởng vào việc lọc địa chỉ MAC
Tính năng lọc địa chỉ MAC luôn được cung
cấp trong các router và điểm truy cập không dây. Nó cho phép bạn định
nghĩa danh sách các máy tính và thiết bị được phép hay không được phép
kết nối, dựa trên địa chỉ MAC của các thiết bị.
Mặc dù vậy, địa chỉ MAC vẫn có thể bị
làm giả một cách dễ dàng. Ai đó có thể biết một địa chỉ MAC nào đó là
xác thực và sau đó thay đổi địa chỉ MAC trên máy tính của họ giống với
địa chỉ MAC xác thực thì hoàn toàn có thể kết nối. Không bao giờ sử
dụng lọc địa chỉ MAC trên mạng không dây không được mã hóa. Bạn có thể
hình dung, nếu không cho phép người khác truy cập mạng nhưng mạng của
bạn không được mã hóa thì nó vẫn có thể bị nghe trộm.
Nếu sử dụng mã hóa, bạn có thể sử dụng
lọc địa chỉ MAC để quản lý máy tính hay thiết bị nào mà người dùng xác
thực kết nối với mạng không dây.
5. Tin tưởng vào các SSID ẩn
Các router và điểm truy cập không dây
cho phép bạn ẩn tên mạng (SSID). Đây là chiêu không cho người lạ phát
hiện được mạng của bạn, tuy nhiên SSID vẫn xuất hiện trong một số gói
dữ liệu. Họ hoàn toàn có thể sử dụng công cụ đặc biệt (miễn phí và dễ
kiếm) để nhanh chóng phát hiện ra SSID ẩn của bạn. Biện pháp này chỉ
bịt mắt được người dùng thông thường chứ không hề ngăn chặn được các
hacker.
Có thể cho rằng việc ẩn SSID giống như
việc trang bị thêm một lớp bảo mật khác – gây khó khăn cho những kẻ tấn
công – nhưng cần lưu ý rằng, cách thức này làm cho việc sử dụng mạng
trở nên khó khăn hơn cũng như giảm hiệu suất mạng. Điều này là vì bạn
phải tạo thủ công một profile trên các máy tính và thiết bị của mình,
do không thể nhìn thấy chúng và kích để kết nối. Vấn đề này cũng làm
phát sinh thêm rất nhiều dữ liệu không đáng có trên mạng, vô tình làm
giảm băng thông mạng.
6. Không hạn chế SSID mà nhân viên có thể kết nối đến
Một trong những vấn đề bảo mật thường bị
bỏ sót là người dùng có thể kết nối một cách dễ dàng với các tín hiệu
không dây khác. Các tín hiệu này có thể được phát đi từ một router
Wi-Fi không an toàn, thuộc một tổ chức khác hay do hacker thiết lập lên
để đánh cắp các chứng chỉ người dùng. Người dùng có thể kết nối một
cách có chủ tâm, ví dụ như muốn tránh hành động lọc web, hay không hề
có chủ tâm. Tuy nhiên dù trong bất cứ trường hợp nào, nó cũng đều có
thể phơi bày máy tính hoặc thiết bị của bạn trước những kẻ có mưu đồ
xấu.
Trong Windows Vista và các phiên bản mới, bạn có thể đặt giới hạn cho SSID để có thể nhìn và kết nối mạng thông qua lệnh netsh wlan
từ Command Prompt. Cách thức này không thể thực hiện trong Windows XP.
Và cần bảo đảm rằng các thiết lập được cấu hình cho phép tự động kết
nối với các mạng có sẵn và xóa các mạng khác khỏi danh sách các mạng ưa
thích.
Theo Wi-fiplanet
0 nhận xét:
Đăng nhận xét