Nếu tiến hành thực hiện một tìm kiếm về bảo mật Wi-Fi trên Google thì chắc chắn những gì bạn nhận được sẽ là: Không nên sử dụng WEP mà sử dụng WPA hoặc WPA2, vô hiệu hóa SSID broadcasting, thay đổi các thiết lập mặc định,…

Đây là những vấn đề rất cơ bản, trong bảo mật Wi-Fi. Tuy nhiên trong bài này chúng tôi sẽ bỏ qua những cánh thức cơ bản đó và giới thiệu cho các bạn những kỹ thuật nâng cao nhằm tăng độ bảo mật cho mạng không dây của mình.

1. Chuyển sang mã hóa doanh nghiệp - Enterprise

Nếu bạn đã tạo một khóa mã hóa WPA hoặc WPA2 ở bất cứ kiểu nào và phải nhập vào khóa này khi kết nối với mạng không dây thì bạn cũng mới chỉ sử dụng chế độ Personal hay Pre-shared key (PSK) của Wi-Fi Protected Access (WPA). Các mạng doanh nghiệp – dù to hoặc nhỏ - vẫn cần phải được bảo vệ với chế độ Enterprise, đây là chế độ có bổ sung thêm tính năng thẩm định 802.1X/EAP cho quá trình kết nối không dây. Thay vì nhập vào khóa mã hóa trên tất cả các máy tính, người dùng sẽ đăng nhập bằng tên và mật khẩu. Các khóa mã hóa được cung cấp một cách an toàn trong chế độ background và duy nhất cho mỗi người dùng cũng như mỗi session.

Phương pháp này cho phép quản lý tập trung và toàn diện đối với sự an toàn của mạng Wi-Fi.

Thay vì load các khóa mã hóa vào các máy tính nơi các nhân viên và những người dùng khác có thể phát hiện ra chúng, mỗi người dùng sẽ đăng nhập vào mạng bằng tài khoản riêng của mình khi sử dụng chế độ Enterprise. Bạn có thể dễ dàng thay đổi hoặc thu hồi truy cập nếu cần. Cách thức này đặc biệt hữu dụng khi có các nhân viên rời công ty hoặc laptop bị đánh cắp. Nếu sử dụng chế độ Personal, bạn sẽ phải tự thay đổi các khóa mã hóa trên tất cả các máy tính và các điểm truy cập (AP).

Một thành phần đặc biệt của chế độ Enterprise là máy chủ RADIUS/AAA. Máy chủ này sẽ truyền thông với các AP trên mạng và tra cứu cơ sở dữ liệu người dùng. Cân nhắc đến việc sử dụng Internet Authentication Service (IAS) của Windows Server 2003 hay Network Policy Server (NPS) của Windows Sever 2008.

2. Thẩm định bảo mật vật lý

Bảo mật cho một hệ thống không dây không phải chỉ đơn thuần là các công việc kỹ thuật. Bạn có thể có được kỹ thuật mã hóa Wi-Fi tốt nhất nhưng vẫn có ai đó có thể truy cập vào mạng của bạn bằng cách sử dụng cổng ethernet. Hoặc người nào đó có thể vào công ty hay nhà bạn và ấn nút reset của điểm truy cập và khôi phục lại các thiết lập mặc định nhà máy và để mở hoàn toàn mạng không dây của bạn.

Hãy bảo đảm rằng tất cả các AP của bạn phải nằm ngoài tầm với của những người không cần thiết và ngoài tầm nhìn của nhân viên trong công ty. Thay vì đặt các AP trên bàn, hãy gắn nó lên tường hoặc trần nhà là cách làm tốt nhất.

Bạn có thể cân nhắc đến việc gắn các AP ngoài tầm nhìn và lắp đặt thêm các anten mở rộng để tăng tín hiệu thu phát của AP. Cách thức này cho phép bạn bảo mật được AP trong khi vẫn cung cấp tín hiệu không dây tốt thông qua các anten có độ khuyếch đại cao.

Tuy nhiên không chỉ các AP là thành phần mà bạn cần quan tâm. Tất cả các thành phần mạng cũng cần được bảo vệ đúng cách, thậm chí ngay cả cáp ethernet. Các hacker có thể cắt đứt cáp ethernet của bạn và truy cập vào mạng của bạn bằng cách đó.

Cùng với việc gắn và bảo vệ các AP, bạn cũng cần kiểm tra chặt chẽ các AP của mình. Tạo một trang bảng tính để ghi chép các model AP được sử dụng cùng với các địa chỉ IP và MAC. Thêm vào đó là nơi đặt chúng. Cách này giúp bạn biết chính xác nơi đặt AP khi thực hiện các hành động kiểm tra hoặc kiểm tra một AP nào đó có vấn đề.

3. Cài đặt hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS)

Các hệ thống này thường có một chương trình phần mềm để sử dụng adapter không dây của bạn nhằm phát hiện xem các tín hiệu Wi-Fi xem có vấn đề nào hay không. Chúng có thể phát hiện các AP giả mạo, một AP mới xuất hiện trong mạng hoặc một AP đang tồn tại được reset về các thiết lập mặc định hay không hợp kiểu với một tập các chuẩn mà bạn đã định nghĩa.

Các hệ thống này cũng có thể phân tích các gói mạng để xem có ai đó có thể đang sử dụng kỹ thuật hacking hay jamming hay không.

Có nhiều hệ thống phát hiện và ngăn chặn xâm nhập khác nhau và sử dụng nhiều kỹ thuật khác nhau. Bạn có thể sử dụng các tùy chọn mã nguồn mở hoặc miễn phí phải nói đến như Kismet và Snort. Bên cạnh đó là các sản phẩm thương mại của nhiều hãng khác như AirMagnet, AirDefenseAirTight.

4. Tạo các chính sách sử dụng mạng không dây

Cùng với các hướng dẫn sử dụng máy tính, bạn cần phải có một tập các chính sách đặc biệt cho việc truy cập mạng Wi-Fi, tối thiểu các chính sách đó phải như những gì được liệt kê dưới đây:

• Danh sách các thiết bị được thẩm định có quyền truy cập mạng không dây: Đây là cách tốt nhất để từ chối tất cả các thiết bị và cho phép các thiết bị mong muốn bằng cách sử dụng lọc địa chỉ MAC trên router mạng của bạn. Mặc dù các địa chỉ MAC có thể bị giả mạo, nhưng cách thức này vẫn cung cấp sự điều khiển ở một mức độ nào đó trên các thiết bị mà nhân viên của bạn đang sử dụng trên mạng. Bạn cần giữ một copy chứa tất cả các thiết bị được phép và các chi tiết của chúng để so sánh đối chiếu khi kiểm tra mạng và nhập vào các hệ thống phát hiện xâm nhập.

• Danh sách các cá nhân có thẩm quyền truy cập vào mạng Wi-Fi. Danh sách này này có thể được điều chỉnh lại khi sử dụng thẩm định 802.1X (WPA/WPA2-Enterprise) bằng cách tạo các tài khoản trong máy chủ RADIUS cho những ai cần truy cập Wi-Fi. Nếu thẩm định 802.1X cũng đang được sử dụng trên mạng chạy dây thì bạn có thể chỉ định người dùng nhận truy cập chạy dây hoặc không dây bằng cách thay đổi Active Directory hoặc sử dụng các chính sách thẩm định trên bản thân máy chủ RADIUS.

• Các rule trong thiết lập router không dây hoặc AP: Cho ví dụ, chỉ phòng CNTT mới có quyền thiết lập thêm các AP để các nhân viên không thể mang AP từ nhà của mình đến và cắm vào mạng để mở rộng phạm vi tín hiệu. Một rule bên trong cho phòng CNTT là có thể định nghĩa các model và cấu hình thiết bị có thể được sử dụng.

• Các Rule đang sử dụng trên các hotspot Wi-Fi hoặc kết nối đến các mạng gia đình với các thiết bị công ty. Vì dữ liệu trên một thiết bị hoặc laptop có thể bị thỏa hiệp và hành động Internet có thể bị kiểm tra trên các mạng không dây không an toàn nên bạn có thể hạn chế các kết nối Wi-Fi chỉ cho mạng công ty. Vấn đề này có thể được điều khiển bằng cách đặt thêm các bộ lọc mạng với tiện ích Network Shell (netsh) trong Windows. Cách khác có thể thực hiện là bạn có thể yêu cầu một kết nối VPN cho mạng công ty để bảo vệ hoạt động Internet và các file truy cập từ xa.

5. Sử dụng SSL hoặc IPsec phía trên mã hóa Wi-Fi

Mặc dù có thể đang sử dụng mã hóa Wi-Fi mới nhất (trên lớp 2 của mô trình OSI) nhưng bạn vẫn cần xem xét đến việc thực thi một cơ chế bảo mật khác, chẳng hạn như IPSec (trên lớp 3 của mô trình OSI). Ngoài việc cung cấp sự mã hóa hai lần trên các hệ thống không dây, nó cũng có thể bảo vệ kết nối chạy dây. Cách thức này sẽ ngăn chặn được hành vi nghe trộm từ phía các nhân viên hoặc những kẻ xấu bên ngoài thâm nhập vào cổng ethernet.

Theo Quản trị mạng



Bình luận

  • TTCN (0)