Wi-Fi vốn dĩ rất dễ bị tấn công
và bị nghe lén, nhưng nó vẫn có thể được bảo mật nếu bạn sử dụng nó hợp
lý. Vậy, hãy thực hiện theo những điều nên và không nên sau đây để giúp
cho mạng không dây nhà bạn được an toàn hơn.
1. Không nên sử dụng WEP
Bảo mật WEP (wired equivalent privacy)
từ lâu đã chết. Khả năng mã hóa của nó có thể dễ dàng và nhanh chóng bị
phá vỡ bởi hầu hết các hacker không chuyên. Do vậy, bạn không nên sử
dụng WEP một chút nào cả. Nếu đang sử dụng, hãy nâng cấp ngay lên WPA2
(Wi-Fi protected access) với chứng thực 802.1X. Nếu mới được cho một
chiếc router wifi hoặc access point không hỗ trợ WPA2, hãy thử cập nhật
firmware hoặc đơn giản nhất là thay thiết bị mới.
2. Không nên sử dụng WPA/WPA2-PSK
Chế độ pre-shared key
(PSK) của WPA và WPA2 không được bảo mật đối với môi trường doanh nghiệp
cho lắm. Khi sử dụng chế độ này, cần phải điền key PSK cho mỗi thiết bị
phát wifi. Do đó, key này cần được thay đổi mỗi lần một nhân viên rời
khỏi công ty và khi một thiết bị phát bị mất hoặc bị trộm – những điều
vẫn chưa thực sự được chú trọng với hầu hết các môi trường doanh nghiệp.
3. Triển khai 802.11i
Chế độ EAP (extensible authentication
protocol) của bảo mật WPA và WPA2 sử dụng chứng thực 802.1X thay vì dùng
PSKs, cung cấp cho khả năng đưa cho mỗi người dùng hoặc thiết bị một
thông tin đăng nhập riêng: tên người dùng và mật khẩu hoặc một chứng
thực điện tử.
Các key mã hóa thực sự sẽ thường xuyên
được thay đổi và trao đổi “âm thầm” trong background. Do đó, nếu muốn
thay đổi hoặc có thay đổi về nhân sự, tất cả những gì bạn cần phải làm
là điều chỉnh thông tin đăng nhập ở server tập trung, thay vì thay đổi
PSK ở mỗi thiết bị. Key PSK cũng ngăn chặn người dùng khỏi việc nghe
trộm lưu lượng mạng của người khác – một công việc rất dễ thực hiện với
những công cụ như add-on Firesheep của Mozilla Firefox hay ứng dụng DroidSheep dành cho Google Android.
Hãy nhớ trong đầu rằng, để có được bảo mật cao nhất có thể, bạn nên sử dụng WPA2 với 802.1X, hay 802.11i.
Để kích hoạt chứng thực 802.1X, bạn cần
phải có một server RADIUS/AAA. Nếu đang chạy Windows Server 2008 hoặc
cao hơn, hãy cân nhắc sử dụng Network Policy Server (NPS) hoặc Internet
Authenticate Service (IAS) (hay phiên bản server trước đó). Nếu bạn
không chạy Windows Server, bạn có thể sử dụng server mã nguồn mở
FreeRADIUS.
Bạn có thể áp dụng cài đặt 802.1X cho
các thiết bị qua Group Policy nếu đang chạy Windows Server 2008 R2. Nếu
không, hãy thử cân nhắc sử dụng một giải pháp bên thứ 3 nào đó để cấu
hình thiết bị.
4. Thực hiện cài đặt bảo mật 802.1X
Chế độ EPA của WPA/WPA2 vẫn có khả năng
bị tấn công bởi các hacker bán chuyên. Tuy nhiên, bạn có thể ngăn chặn
chúng tấn công bằng cách bảo mật cài đặt EAP cho thiết bị. Ví dụ, trong
cài đặt EAP cho Windows, bạn có thể kích hoạt chế độ xác nhận chứng thực
server bằng cách chọn chứng thực CA, gán địa chỉ server và disable nó
khỏi việc hỏi người dùng trust server mới hoặc xác thực CA.
Bạn có thể áp dụng cài đặt 802.1X cho các thiết bị qua Group Policy hoặc sử dụng giải pháp bên thứ 3, ví như Quick1X của Avenda.
5. Nên sử dụng một hệ thống ngăn chặn xâm nhập trái phép vào mạng không dây
Bảo mật mạng không dây là điều nên làm
thay vì tập trung vào đánh bại những kẻ cố gắng chiếm quyền truy cập vào
mạng của bạn. Ví dụ, hacker có thể thiết lập một điểm truy cập ảo hoặc
thực hiện tấn công DOS –
denial-of-service. Để có được khả năng dò tìm và đánh bại những kiểu
tấn công như vậy, bạn nên triển khai một hệ thống ngăn chặn xâm nhập
mạng không dây (WIPS). Thiết kế và phương pháp được sử dụng trong WIPS
khác biệt theo từng nhà sản xuất nhưng nhìn chung chúng có thể giám sát
mạng, thông báo cho người dùng và có thể ngăn chặn điểm truy cập ảo hay
các hoạt động mã độc.
Có rất nhiều nhà sản xuất hiện đang cung
cấp giải pháp WIPS, ví như AirMagnet và AirTight Neworks. Bạn cũng có
thể tìm tới các sản phẩm mã nguồn mở, tiêu biểu là Snort.
0 nhận xét:
Đăng nhận xét