Wi-Fi vốn dĩ rất dễ bị tấn công và bị nghe lén, nhưng nó vẫn có thể được bảo mật nếu bạn sử dụng nó hợp lý. Vậy, hãy thực hiện theo những điều nên và không nên sau đây để giúp cho mạng không dây nhà bạn được an toàn hơn.
[h=2]1. Không nên sử dụng WEP[/h]Bảo mật WEP (wired equivalent privacy) từ lâu đã chết. Khả năng mã hóa của nó có thể dễ dàng và nhanh chóng bị phá vỡ bởi hầu hết các hacker không chuyên. Do vậy, bạn không nên sử dụng WEP một chút nào cả. Nếu đang sử dụng, hãy nâng cấp ngay lên WPA2 (Wi-Fi protected access) với chứng thực 802.1X. Nếu mới được cho một chiếc router wifi hoặc access point không hỗ trợ WPA2, hãy thử cập nhật firmware hoặc đơn giản nhất là thay thiết bị mới.
[h=2]2. Không nên sử dụng WPA/WPA2-PSK[/h]Chế độ pre-shared key (PSK) của WPA và WPA2 không được bảo mật đối với môi trường doanh nghiệp cho lắm. Khi sử dụng chế độ này, cần phải điền key PSK cho mỗi thiết bị phát wifi. Do đó, key này cần được thay đổi mỗi lần một nhân viên rời khỏi công ty và khi một thiết bị phát bị mất hoặc bị trộm – những điều vẫn chưa thực sự được chú trọng với hầu hết các môi trường doanh nghiệp.
[h=2]3. Triển khai 802.11i[/h]Chế độ EAP (extensible authentication protocol) của bảo mật WPA và WPA2 sử dụng chứng thực 802.1X thay vì dùng PSKs, cung cấp cho khả năng đưa cho mỗi người dùng hoặc thiết bị một thông tin đăng nhập riêng: tên người dùng và mật khẩu hoặc một chứng thực điện tử.
Các key mã hóa thực sự sẽ thường xuyên được thay đổi và trao đổi “âm thầm” trong background. Do đó, nếu muốn thay đổi hoặc có thay đổi về nhân sự, tất cả những gì bạn cần phải làm là điều chỉnh thông tin đăng nhập ở server tập trung, thay vì thay đổi PSK ở mỗi thiết bị. Key PSK cũng ngăn chặn người dùng khỏi việc nghe trộm lưu lượng mạng của người khác – một công việc rất dễ thực hiện với những công cụ như add-on Firesheep của Mozilla Firefox hay ứng dụng DroidSheep dành cho Google Android.
Hãy nhớ trong đầu rằng, để có được bảo mật cao nhất có thể, bạn nên sử dụng WPA2 với 802.1X, hay 802.11i.
Để kích hoạt chứng thực 802.1X, bạn cần phải có một server RADIUS/AAA. Nếu đang chạy Windows Server 2008 hoặc cao hơn, hãy cân nhắc sử dụng Network Policy Server (NPS) hoặc Internet Authenticate Service (IAS) (hay phiên bản server trước đó). Nếu bạn không chạy Windows Server, bạn có thể sử dụng server mã nguồn mở FreeRADIUS.
Bạn có thể áp dụng cài đặt 802.1X cho các thiết bị qua Group Policy nếu đang chạy Windows Server 2008 R2. Nếu không, hãy thử cân nhắc sử dụng một giải pháp bên thứ 3 nào đó để cấu hình thiết bị.
[h=2]4. Thực hiện cài đặt bảo mật 802.1X[/h]Chế độ EPA của WPA/WPA2 vẫn có khả năng bị tấn công bởi các hacker bán chuyên. Tuy nhiên, bạn có thể ngăn chặn chúng tấn công bằng cách bảo mật cài đặt EAP cho thiết bị. Ví dụ, trong cài đặt EAP cho Windows, bạn có thể kích hoạt chế độ xác nhận chứng thực server bằng cách chọn chứng thực CA, gán địa chỉ server và disable nó khỏi việc hỏi người dùng trust server mới hoặc xác thực CA.
Bạn có thể áp dụng cài đặt 802.1X cho các thiết bị qua Group Policy hoặc sử dụng giải pháp bên thứ 3, ví như Quick1X của Avenda.
[h=2]5. Nên sử dụng một hệ thống ngăn chặn xâm nhập trái phép vào mạng không dây[/h]Bảo mật mạng không dây là điều nên làm thay vì tập trung vào đánh bại những kẻ cố gắng chiếm quyền truy cập vào mạng của bạn. Ví dụ, hacker có thể thiết lập một điểm truy cập ảo hoặc thực hiện tấn công DOS – denial-of-service. Để có được khả năng dò tìm và đánh bại những kiểu tấn công như vậy, bạn nên triển khai một hệ thống ngăn chặn xâm nhập mạng không dây (WIPS). Thiết kế và phương pháp được sử dụng trong WIPS khác biệt theo từng nhà sản xuất nhưng nhìn chung chúng có thể giám sát mạng, thông báo cho người dùng và có thể ngăn chặn điểm truy cập ảo hay các hoạt động mã độc.
Có rất nhiều nhà sản xuất hiện đang cung cấp giải pháp WIPS, ví như AirMagnet và AirTight Neworks. Bạn cũng có thể tìm tới các sản phẩm mã nguồn mở, tiêu biểu là Snort
[h=2]1. Không nên sử dụng WEP[/h]Bảo mật WEP (wired equivalent privacy) từ lâu đã chết. Khả năng mã hóa của nó có thể dễ dàng và nhanh chóng bị phá vỡ bởi hầu hết các hacker không chuyên. Do vậy, bạn không nên sử dụng WEP một chút nào cả. Nếu đang sử dụng, hãy nâng cấp ngay lên WPA2 (Wi-Fi protected access) với chứng thực 802.1X. Nếu mới được cho một chiếc router wifi hoặc access point không hỗ trợ WPA2, hãy thử cập nhật firmware hoặc đơn giản nhất là thay thiết bị mới.
[h=2]2. Không nên sử dụng WPA/WPA2-PSK[/h]Chế độ pre-shared key (PSK) của WPA và WPA2 không được bảo mật đối với môi trường doanh nghiệp cho lắm. Khi sử dụng chế độ này, cần phải điền key PSK cho mỗi thiết bị phát wifi. Do đó, key này cần được thay đổi mỗi lần một nhân viên rời khỏi công ty và khi một thiết bị phát bị mất hoặc bị trộm – những điều vẫn chưa thực sự được chú trọng với hầu hết các môi trường doanh nghiệp.
[h=2]3. Triển khai 802.11i[/h]Chế độ EAP (extensible authentication protocol) của bảo mật WPA và WPA2 sử dụng chứng thực 802.1X thay vì dùng PSKs, cung cấp cho khả năng đưa cho mỗi người dùng hoặc thiết bị một thông tin đăng nhập riêng: tên người dùng và mật khẩu hoặc một chứng thực điện tử.
Các key mã hóa thực sự sẽ thường xuyên được thay đổi và trao đổi “âm thầm” trong background. Do đó, nếu muốn thay đổi hoặc có thay đổi về nhân sự, tất cả những gì bạn cần phải làm là điều chỉnh thông tin đăng nhập ở server tập trung, thay vì thay đổi PSK ở mỗi thiết bị. Key PSK cũng ngăn chặn người dùng khỏi việc nghe trộm lưu lượng mạng của người khác – một công việc rất dễ thực hiện với những công cụ như add-on Firesheep của Mozilla Firefox hay ứng dụng DroidSheep dành cho Google Android.
Hãy nhớ trong đầu rằng, để có được bảo mật cao nhất có thể, bạn nên sử dụng WPA2 với 802.1X, hay 802.11i.
Để kích hoạt chứng thực 802.1X, bạn cần phải có một server RADIUS/AAA. Nếu đang chạy Windows Server 2008 hoặc cao hơn, hãy cân nhắc sử dụng Network Policy Server (NPS) hoặc Internet Authenticate Service (IAS) (hay phiên bản server trước đó). Nếu bạn không chạy Windows Server, bạn có thể sử dụng server mã nguồn mở FreeRADIUS.
Bạn có thể áp dụng cài đặt 802.1X cho các thiết bị qua Group Policy nếu đang chạy Windows Server 2008 R2. Nếu không, hãy thử cân nhắc sử dụng một giải pháp bên thứ 3 nào đó để cấu hình thiết bị.
[h=2]4. Thực hiện cài đặt bảo mật 802.1X[/h]Chế độ EPA của WPA/WPA2 vẫn có khả năng bị tấn công bởi các hacker bán chuyên. Tuy nhiên, bạn có thể ngăn chặn chúng tấn công bằng cách bảo mật cài đặt EAP cho thiết bị. Ví dụ, trong cài đặt EAP cho Windows, bạn có thể kích hoạt chế độ xác nhận chứng thực server bằng cách chọn chứng thực CA, gán địa chỉ server và disable nó khỏi việc hỏi người dùng trust server mới hoặc xác thực CA.
Bạn có thể áp dụng cài đặt 802.1X cho các thiết bị qua Group Policy hoặc sử dụng giải pháp bên thứ 3, ví như Quick1X của Avenda.
[h=2]5. Nên sử dụng một hệ thống ngăn chặn xâm nhập trái phép vào mạng không dây[/h]Bảo mật mạng không dây là điều nên làm thay vì tập trung vào đánh bại những kẻ cố gắng chiếm quyền truy cập vào mạng của bạn. Ví dụ, hacker có thể thiết lập một điểm truy cập ảo hoặc thực hiện tấn công DOS – denial-of-service. Để có được khả năng dò tìm và đánh bại những kiểu tấn công như vậy, bạn nên triển khai một hệ thống ngăn chặn xâm nhập mạng không dây (WIPS). Thiết kế và phương pháp được sử dụng trong WIPS khác biệt theo từng nhà sản xuất nhưng nhìn chung chúng có thể giám sát mạng, thông báo cho người dùng và có thể ngăn chặn điểm truy cập ảo hay các hoạt động mã độc.
Có rất nhiều nhà sản xuất hiện đang cung cấp giải pháp WIPS, ví như AirMagnet và AirTight Neworks. Bạn cũng có thể tìm tới các sản phẩm mã nguồn mở, tiêu biểu là Snort