Banner chính
Thứ Năm, 21/11/2024
Liên hiệp Các Hội Khoa học và Kỹ thuật tỉnh Ninh Bình

Những điều cần biết về bảo mật mạng không dây

Thứ Ba, 04/12/2012
Wifi vốn đã dễ bị tấn công và xâm nhập nhưng người dùng có thể sử dụng các thiết lập nhằm hạn chế các tấn công. Sau đây là những điều người dùng nên biết về bảo mật Wifi cho công ty, tổ chức và hộ gia đình.

1. Không sử dụng chuẩn bảo mật WEP

Thuật ngữ bảo mật WEP (wired equivalent privacy) đã đi vào di vãng nhưng các thiết bị phát Wifi vẫn có chuẩn này trong mục cấu hình. Chuẩn bảo mật này dễ dàng bị phá nhanh chóng bởi hầu hết các tin tặc có kinh nghiệm hoặc nhưng người rành về công nghệ. Lời khuyên hữu ích là người dùng nên chuyển sang chuẩn WPA2 (Wifi protected access) với việc chứng thực theo chuẩn 802.11i. Nếu người dùng có một bộ phát không dây không hỗ trợ chuẩn mã hóa WPA2, người dùng hãy thử cập nhật firmware hoặc thay thế bằng sản phẩm mới hơn.
2. Không sử dụng chuẩn mã hóa WPA/WPA2-PSK
Chế độ PSK (pre-shared key) của chuẩn mã hóa WPA/WPA2 không bảo mật đối với môi trường doanh nghiệp. Khi người dùng sử dụng chế độ này, PSK phải được nhập ở mỗi máy tính kết nối với bộ phát. Và điều phiền toái là người dùng phải thay đổi PSK khi có sự thay đổi về nhân sự và khi một máy tính hay thiết bị nào đó của công ty bị đánh cắp. Đây là điều không phù hợp đối với hầu hết các môi trường sử dụng bộ phát không dây..
3. Triển khai chuẩn 802.11i

Chế độ EAP (Extensible Authentication Protocol, tạm dịch: giao thức chứng thực có khả năng mở rộng) của WPA và WPA2 sử dụng chứng thực 802.1X bao gồm cả PSK sẽ cung cấp khả năng để cấp cho mỗi người sử dụng tài khoản hoặc chứng thực số khi muốn sử dụng Wifi.
Các khóa mã hóa đuợc thay đổi thường xuyên và trao đổi một cách lặng lẽ. Để thay đổi hoặc hủy bỏ các truy cập người dùng phải thay đổi các thông tin đăng nhập trên một máy chủ trung tâm, điều này thuận tiện hơn việc phải thay đổi PSK trên mỗi thiết bị kết nối. Các khóa sinh ra theo mỗi phiên cũng ngăn cản việc người sử dụng khỏi việc bị nghe trộm. Hiện tại thì điều này được thực hiện dễ dàng với add-on của Firefox là Firesheep và ứng dụng Android là DroidSheep. Việc sử dụng chuẩn mã hóa WPA2 với chuẩn 802.1X thường được biết đến là chuẩn 802.11i.
Để khởi tạo chuẩn chứng thực 802.1X, người dùng cần phải có một máy chủ chứng thực Radius/AAA. Nếu người dùng đang sử dụng hệ điều hành Windows Server 2008 hoặc các phiên bản kế tiếp, người dùng cần quan tâm sử dụng Network Policy Server (NPS, tạm dịch: các chính sách mạng máy chủ) hoặc Internet Authenticate Service (IAS, tạm dịch: dịch vụ chứng thực Internet) của nhưng phiên bản máy chủ kế tiếp. Nếu người dùng không sử dụng một hệ điều hành máy chủ, người dùng nên quan tâm tới máy chủ mã nguồn mở FreeRadius.
4. Cấu hình các thiết lập bảo mật 802.1X cho chuẩn máy trạm
Chế độ EAP của chuẩn mã hóa WPA/WPA2 vẫn có thể có khả năng bị tấn công. Tuy nhiên, người dùng có thể hạn chế bằng các thiết lập bảo mật. Các thiết lập EAP của hệ điều hành Windows giúp người dùng kích hoạt các chứng thực số bằng cách chọn các chứng thực số.


Người dùng có thể sử dụng các thiết lập chuẩn 802.1X để đăng ký vào miền cho máy trạm (join domain) qua các chính sách trên máy chủ hoặc sử dụng phần mềm của bên thứ 3 như Avendas Quick1X.
5. Sử dụng bộ phát có hệ thống ngăn chặn xâm nhập
Có nhiều hơn là việc bảo mật Wifi hơn là việc trực tiếp mgăn cản các kết nối tới mạng. Tin tặc có thể cài đặt đánh lừa các bộ phát không dây hoặc tấn công từ chối dịch vụ. Để phát hiện và chống lại các hành vi này, người dùng nên triển khai hệ thống ngăn chặn xâm nhập cho bộ phát (WIPS). Việc thiết kế và triển khai WIPSes có rất nhiều các nhà cung cấp nhưng tựu chung vẫn là tìm kiếm các sự kết nối, cảnh báo người dùng và có thể dừng hoạt động đánh lừa bộ phát hoặc các mã độc hại.
Các nhà cung cấp giải pháp WIPSes như AirMagnet và AirTight Neworks hoặc lựu chọn mã nguồn mở Snort có thể giúp người dùng.
6. Triển khai NAP hoặc NAC
Đối với chuẩn 802.11i và WIPS, người dùng nên quan tâm tới việc triển khai một hệ thống bảo vệ truy cập mạng Network Access Protection (NAP) hoặc hệ thống điều khiển truy cập mạng Network Access Control (NAC).
Các hệ thống này giúp người dùng điều khiển qua việc truy cập mạng dựa trện việc nhận dạng máy trạm và yêu cầu từ chính sách đã tạo. Một vài hệ thống NAC cũng có các chức năng phát hiện và ngăn cản truy cập mạng. Nếu người dùng sử dụng hệ điều hành Windows Server 2008 cho máy chủ và Windows Vista, các phiên bản hệ điều hành kế tiếp cho máy trạm, người dùng có thể sử dụng chức năng NAP của Microsoft. Nếu điều kiện không cho phép, người dùng có thể sử dụng giải pháp mã nguồn mở PacketFence.
7. Không nên tin tưởng vào các SSID ẩn


Nhiều người suy nghĩ rằng tắt chức năng phát tán SSID của bộ phát nhằm ẩn mạng của họ để gây khó khăn cho tin tặc. Tuy nhiên, việc này chỉ loại bỏ SSID các trạm phát sóng, nó vẫn tồn tại các yêu cầu liên quan đến chuẩn 802.11 nên sẽ vẫn bị tìm thấy bởi các gói tin trả lời khi có yêu cầu. Thực tế, một kẻ nghe trộm có thể khám phá ra các SSID được ẩn mình một cách khá nhanh, đặc biệt là trên mạng có nhiều thiết bị truy cập từ một công cụ phân tích hợp pháp.
Một nhược điểm nữa khi ẩn SSID, các máy trạm hoặc các thiết bị khác cần kết nối sẽ phải gõ SSID một cách thủ công và điều này gây nên các yêu cầu, gói tin trả lời tăng lên làm giảm băng thông có sẵn.
8. Không nên tin tưởng chức năng lọc địa chỉ MAC


Đây cũng là một hiểu lầm về việc sử dụng chức năng lọc địa chỉ MAC nhằm quản lý các máy trạm khi muốn kết nối vào mạng. Khi sử dụng chức năng này, những tin tặc có thể dễ dàng lần theo các địa chỉ MAC đã được chứng thực và chúng có thể thay đổi địa chỉ MAC của chính máy tính chúng dùng để tấn công.
9. Nên sử dụng chức năng giới hạn số thiết bị kết nối qua SSID
Điều quan tâm của các quản trị viên cũng như các chuyên viên bảo mật thường chống lại các kết nối không cho phép và việc sử dụng lọc các SSID là một giải pháp tốt. Đối với laptop, người dùng có thể từ chối các SSID của hàng xóm nhưng vẫn kết nối với các điểm phát khác cũng như điểm phát của chính nhà mình.
10. Triển khai các thành phần bảo mật mạng vật lý
Điều quan trọng cần nhớ là bảo mật máy tính không chỉ là những công nghệ mới nhất và mã hóa. Bảo mật vật lý các thành phần mạng của người dùng cũng rất quan trọng. Hãy chắc rằng các bộ phát được đặt tại nơi an toàn. Nếu đặt tại nơi không an toàn, một ai đó có thể sử dụng chức năng thiết lập lại để đưa bộ phát về chế độ mặc định và mở cửa cho các truy cập trái phép.
11. Đừng quên bảo vệ các máy trạm di động

Những vấn đề bảo mật Wifi sẽ không chỉ xoay quanh mạng của người dùng, người sử dụng có thể sử dụng smartphone, laptop, máy tính bảng có thể được bảo vệ trong vùng an toàn nhưng điều gì sẽ xảy ra khi họ kết nối tới các điểm phát Wifi. Người dùng cần phải chắc chắn rằng các kết nối Wifi được bảo mật tốt để tránh các đột nhập và nghe trộm.
Trên thực tế, thật không dễ để chắc rằng các kết nối Wifi bên ngoài đã an toàn hay chưa. Nó là một giải pháp tổng thể về các bảo mật về phần cứng, các thiết lập và cảnh giác những người sử dụng khi kết nối vào các mạng không dây.
Công nghệ không dây đang là một trong những phát minh giúp cho công việc và học tập trở nên thuận tiện hơn nhưng bên cạnh đó người dùng cần trang bị cho mình các kiến thức về bảo mật để tránh các hậu quả có thể có khi kết nối vào các mạng không dây.

donghalcit

Các tin khác