Bảo mật Wi-Fi từ những bước cơ bản

Wi-Fi vốn dĩ rất dễ bị tấn công và bị nghe lén, nhưng nó vẫn có thể được nếu bạn sử dụng nó hợp lý. Vậy, hãy thực hiện theo những điều nên và không nên sau đây để giúp cho mạng không dây nhà bạn được an toàn hơn.

 

1. Không nên sử dụng WEP

Bảo mật WEP (wired equivalent privacy) từ lâu đã chết. Khả năng mã hóa của nó có thể dễ dàng và nhanh chóng bị phá vỡ bởi hầu hết các hacker không chuyên. Do vậy, bạn không nên sử dụng WEP một chút nào cả. Nếu đang sử dụng, hãy nâng cấp ngay lên WPA2 (Wi-Fi protected access) với chứng thực 802.1X. Nếu mới được cho một chiếc router wifi hoặc access point không hỗ trợ WPA2, hãy thử cập nhật firmware hoặc đơn giản nhất là thay thiết bị mới.

2. Không nên sử dụng WPA/WPA2-PSK

Chế độ pre-shared key (PSK) của WPA và WPA2 không được bảo mật đối với môi trường doanh nghiệp cho lắm. Khi sử dụng chế độ này, cần phải điền key PSK cho mỗi thiết bị phát wifi. Do đó, key này cần được thay đổi mỗi lần một nhân viên rời khỏi công ty và khi một thiết bị phát bị mất hoặc bị trộm – những điều vẫn chưa thực sự được chú trọng với hầu hết các môi trường doanh nghiệp.

3. Triển khai 802.11i

Chế độ EAP (extensible authentication protocol) của bảo mật WPA và WPA2 sử dụng chứng thực 802.1X thay vì dùng PSKs, cung cấp cho khả năng đưa cho mỗi người dùng hoặc thiết bị một thông tin đăng nhập riêng: tên người dùng và mật khẩu hoặc một chứng thực điện tử.

Các key mã hóa thực sự sẽ thường xuyên được thay đổi và trao đổi “âm thầm” trong background. Do đó, nếu muốn thay đổi hoặc có thay đổi về nhân sự, tất cả những gì bạn cần phải làm là điều chỉnh thông tin đăng nhập ở server tập trung, thay vì thay đổi PSK ở mỗi thiết bị. Key PSK cũng ngăn chặn người dùng khỏi việc nghe trộm lưu lượng mạng của người khác – một công việc rất dễ thực hiện với những công cụ như add-on Firesheep của Mozilla Firefox hay ứng dụng DroidSheep dành cho Google Android.

Hãy nhớ trong đầu rằng, để có được bảo mật cao nhất có thể, bạn nên sử dụng WPA2 với 802.1X, hay 802.11i.

Để kích hoạt chứng thực 802.1X, bạn cần phải có một server RADIUS/AAA. Nếu đang chạy Windows Server 2008 hoặc cao hơn, hãy cân nhắc sử dụng Network Policy Server (NPS) hoặc Internet Authenticate Service (IAS) (hay phiên bản server trước đó). Nếu bạn không chạy Windows Server, bạn có thể sử dụng server mã nguồn mở FreeRADIUS.

Bạn có thể áp dụng cài đặt 802.1X cho các thiết bị qua Group Policy nếu đang chạy Windows Server 2008 R2. Nếu không, hãy thử cân nhắc sử dụng một giải pháp bên thứ 3 nào đó để cấu hình thiết bị.

4. Thực hiện cài đặt bảo mật 802.1X

Chế độ EPA của WPA/WPA2 vẫn có khả năng bị tấn công bởi các hacker bán chuyên. Tuy nhiên, bạn có thể ngăn chặn chúng tấn công bằng cách bảo mật cài đặt EAP cho thiết bị. Ví dụ, trong cài đặt EAP cho Windows, bạn có thể kích hoạt chế độ xác nhận chứng thực server bằng cách chọn chứng thực CA, gán địa chỉ server và disable nó khỏi việc hỏi người dùng trust server mới hoặc xác thực CA.

Bạn có thể áp dụng cài đặt 802.1X cho các thiết bị qua Group Policy hoặc sử dụng giải pháp bên thứ 3, ví như Quick1X của Avenda.

5. Nên sử dụng một hệ thống ngăn chặn xâm nhập trái phép vào mạng không dây

Bảo mật mạng không dây là điều nên làm thay vì tập trung vào đánh bại những kẻ cố gắng chiếm quyền truy cập vào mạng của bạn. Ví dụ, hacker có thể thiết lập một điểm truy cập ảo hoặc thực hiện tấn công DOS – denial-of-service. Để có được khả năng dò tìm và đánh bại những kiểu tấn công như vậy, bạn nên triển khai một hệ thống ngăn chặn xâm nhập mạng không dây (WIPS). Thiết kế và phương pháp được sử dụng trong WIPS khác biệt theo từng nhà sản xuất nhưng nhìn chung chúng có thể giám sát mạng, thông báo cho người dùng và có thể ngăn chặn điểm truy cập ảo hay các hoạt động mã độc.

Có rất nhiều nhà sản xuất hiện đang cung cấp giải pháp WIPS, ví như AirMagnet và AirTight Neworks. Bạn cũng có thể tìm tới các sản phẩm mã nguồn mở, tiêu biểu là Snort.

6. Nên triển khai NAP hoặc NAC

Ngoài việc sử dụng 802.11i và WIPS, bạn nên cân nhắc tới việc triển khai giải pháp Network Access Protection (NAP – bảo vệ truy cập mạng) hoặc Network Access Control (NAC – quản lý truy cập mạng). Chúng sẽ cung cấp thêm khả năng quản lý truy cập mạng, dựa vào nhận dạng thiết bị với các policy đã được đặt trước. Chúng cũng bao gồm một chức năng để cách ly những thiết bị có vấn đề và sửa chữa để thiết bị có thể nhanh chóng quay trở lại làm việc.

Một số giải pháp NAC có khả năng bao gồm chức năng dò tìm và ngăn chặn xâm nhập vào mạng, nhưng bạn sẽ phải kiểm tra xem nó có cung cấp khả năng chuyên biệt về bảo vệ mạng không dây hay không.

Nếu đang chạy Windows Server 2008 trở lên và Windows Vista/7 đối với thiết bị, bạn có thể sử dụng chức năng NAP của Microsoft. Nếu không, hãy tìm tới những giải pháp do bên thứ 3 cung cấp, ví như PacketFence.

7. Không nên tin tưởng SSID ẩn

Một trong những lời đồn về bảo mật mạng không dây là disable truyền phát SSID của các điểm truy cập sẽ giúp ẩn mạng của bạn hay ít nhất là tạo SSID an toàn khiến hacker khó phá. Tuy nhiên, cách này chỉ giúp gỡ bỏ SSID khỏi điểm truy cập. Nó vẫn có trong chứa yêu cầu 802.11 và trong một số trường hợp, nó còn có trong yêu cầu dò mạng và các gói trả lời. Do đó, một hacker hay kẻ nghe lén nào đó có thể dễ dàng và nhanh chóng phát hiện ra SSID ẩn – đặc biệt là ở mạng bận – với tính năng phân tích mạng không dây hợp pháp.

Một số người tranh luận là tắt truyền phát SSID vẫn cung cấp thêm tầng bảo mật cho mạng, nhưng bạn cũng hãy nhớ luôn rằng nó có khả năng gây ra ảnh hưởng tiêu cực lên cấu hình và khả năng thực hiện của mạng. Bạn sẽ phải nhập thủ công SSID vào các thiết bị, tiếp đến là cấu hình thiết bị. Nó cũng có thể gây ra việc tăng những yêu cầu thăm dò và gói tin trả về, giảm lượng băng thông hiện có.

8. Không nên tin tưởng lọc địa chỉ MAC

Lời đồn khác về bảo mật mạng không dây là kích hoạt tính năng lọc địa chỉ MAC sẽ giúp có thêm được một tầng bảo mật, quản lý các ứng dụng kết nối với mạng. Điều này có đôi chút chính xác, nhưng hãy nhớ rằng hacker có thể dễ dàng theo dõi mạng của bạn để lấy địa chỉ MAC hợp pháp, sau đó chúng sẽ thay đổi địa chỉ Mac cho máy của chúng.

Do vậy, bạn không nên triển khai khả năng lọc địa chỉ MAC với suy nghĩ chúng sẽ giúp ích cho bảo mật của mình, nhưng có thể là một cách quản lý các thiết bị, người dùng cuối mang đến công ty và kết nối với mạng. Bạn cũng nên chú ý tới những vấn đề quản lý có khả năng nảy sinh để giữ cho danh sách MAC luôn được cập nhật.

9. Nên hạn chế người dùng SSID có thể kết nối

Rất nhiều nhân viên đã bỏ qua một nguy cơ có vẻ như đơn giản nhưng lại có độ nguy hiểm cao: người dùng nhận thức được hoặc không nhận thức được việc kết nối tới mạng không dây của hàng xóm hoặc điểm truy cập không rõ ràng, mở ra cơ hội xâm nhập vào máy đối cho hacker. Tuy nhiên, lọc SSID là một cách có khả năng ngăn chặn được việc này. Ví dụ, trong Windows Vista (hay các phiên bản cao hơn), bạn có thể sử dụng lệnh netsh wlan để thêm bộ lọc vào những người dùng SSID muốn xem và kết nối. Đối với máy tính để bàn, bạn có thể từ chối tất cả các SSID ngoại trừ mạng của công ty. Đối với máy xách tay, nhân viên IT chỉ có khả năng từ chối SSID của mạng hàng xóm, cho phép chúng vẫn kết nối với điểm truy cập hay mạng gia đình.

10. Nên bảo vệ các thiết bị mạng

Hãy nhớ, bảo mật máy tính không phải là công nghệ và mã hóa mới nhất. Bảo vệ vật lý cho các thiết bị mạng cũng rất quan trọng. Hãy chắc chắn rằng các thiết bị access point được đặt xa khỏi tầm với, ví như ở trên trần giả hoặc thậm chí là cho nó vào một vị trí an toàn rồi sử dụng ăng ten để có được sóng tối ưu. Nếu không được bảo mật, ai đó có thể dễ dàng cài đặt lại access point về với cài đặt gốc của nhà sản xuất để mở truy cập.

11. Đừng quên bảo vệ các thiết bị di động

Các mối lo ngại về bảo mật mạng không dây không chỉ dừng ở đây. Người dùng sở hữu smartphone, máy xách tay và máy tính bảng có thể được bảo vệ ngay tại chỗ. Tuy nhiên, khi họ kết nối với các điểm truy cập Wi-Fi miễn phí hoặc kết nối với router không dây gia đình thì sao? Bạn nên đảm bảo rằng các kết nối mạng Wi-Fi khác cũng được bảo mật nhằm ngăn chặn xâm nhập trái phép hoặc hacker nghe lén.

Dẫu vậy, không dễ dàng gì để chắc chắn các kết nối Wi-Fi ngoài luôn được bảo mật. Bạn sẽ phải kết hợp việc cung cấp, yêu cầu sử dụng các giải pháp và tuyên truyền cho người dùng về các nguy cơ bảo mật cùng với các phương pháp ngăn chặn.

Trước hết, tất cả các mẫu laptop và netbook sẽ phải kích hoạt tường lửa cá nhân (ví như Windows Firewall) để ngăn chặn xâm nhập trái phép. Bạn có thể thực thi điều này qua Group Policy (nếu đang chạy Windows Server) hoặc sử dụng một giải pháp nào đó, ví như Windows Intune để quản lý các máy tính không có trong miền.

Tiếp đến, bạn sẽ phải chắc chắn rằng lưu lượng Internet của người dùng đã được mã hóa khi họ ở một mạng khác bằng cách cung cấp truy cập VPN vào mạng doanh nghiệp. Nếu không muốn sử dụng VPN trong trường hợp này, có thể cân nhắc tới các dịch vụ khác như Hotspot Shield hoặc Witopia. Đối với các thiết bị iOS (iPhone, iPad, iPod Touch) và Android, bạn có thể sử dụng ứng dụng VPN của chúng. Tuy nhiên, đối với thiết bị BlackBerry và Windows Phone 7, bạn sẽ phải thiết lập và cấu hình server message với thiết bị này để có thể sử dụng VPN của chúng.

Bên cạnh đó, bạn cũng nên đảm bảo rằng tất cả các dịch vụ liên quan tới mạng đều được bảo mật, đề phòng trường hợp người dùng không sử dụng VPN khi đang truy cập từ mạng công cộng hay một mạng không đáng tin cậy. Ví dụ, nếu bạn cung cấp quyền truy cập email (qua ứng dụng hoặc trên web) ở bên ngoài mạng LAN, WAN hoặc VPN, hãy chắc chắn rằng bạn có sử dụng mã hóa SSL để ngăn chặn hacker nghe lén và trộm thông tin đăng nhập quan trọng hay các message cá nhân.

Theo Quantrimang

Bài viết liên quan