Nội dung Bảo mật Wi-Fi bằng các kỹ thuật nâng cao
Nếu tiến hành thực hiện một tìm kiếm về bảo mật Wi-Fi
trên Google thì chắc chắn những gì bạn nhận được sẽ là: Không nên sử dụng WEP mà
sử dụng WPA hoặc WPA2, vô hiệu hóa SSID broadcasting, thay đổi các thiết lập mặc
định,… Đây là những vấn đề rất cơ bản, trong bảo mật Wi-Fi. Tuy nhiên trong bài
này chúng tôi sẽ bỏ qua những cánh thức cơ bản đó và giới thiệu cho các bạn
những kỹ thuật nâng cao nhằm tăng độ bảo mật cho mạng không dây của mình.
1. Chuyển sang mã hóa doanh
nghiệp - Enterprise
Nếu bạn đã tạo một khóa mã hóa WPA hoặc WPA2 ở bất cứ kiểu
nào và phải nhập vào khóa này khi kết nối với mạng không dây thì bạn cũng mới
chỉ sử dụng chế độ Personal hay Pre-shared key (PSK) của Wi-Fi Protected Access
(WPA). Các mạng doanh nghiệp – dù to hoặc nhỏ - vẫn cần phải được bảo vệ với chế
độ Enterprise, đây là chế độ có bổ sung thêm tính năng thẩm định 802.1X/EAP cho
quá trình kết nối không dây. Thay vì nhập vào khóa mã hóa trên tất cả các máy
tính, người dùng sẽ đăng nhập bằng tên và mật khẩu. Các khóa mã hóa được cung
cấp một cách an toàn trong chế độ background và duy nhất cho mỗi người dùng cũng
như mỗi session.
Phương pháp này cho phép quản lý tập trung và toàn diện đối
với sự an toàn của mạng Wi-Fi.
Thay vì load các khóa mã hóa vào các máy tính nơi các nhân viên và những người
dùng khác có thể phát hiện ra chúng, mỗi người dùng sẽ đăng nhập vào mạng bằng
tài khoản riêng của mình khi sử dụng chế độ Enterprise. Bạn có thể dễ dàng thay
đổi hoặc thu hồi truy cập nếu cần. Cách thức này đặc biệt hữu dụng khi có các
nhân viên rời công ty hoặc laptop bị đánh cắp. Nếu sử dụng chế độ Personal, bạn
sẽ phải tự thay đổi các khóa mã hóa trên tất cả các máy tính và các điểm truy
cập (AP).
Một thành phần đặc biệt của chế độ Enterprise là máy chủ
RADIUS/AAA. Máy chủ này sẽ truyền thông với các AP trên mạng và tra cứu cơ sở dữ
liệu người dùng. Cân nhắc đến việc sử dụng Internet Authentication Service (IAS)
của Windows Server 2003 hay Network Policy Server (NPS) của Windows Sever 2008.
2. Thẩm định bảo mật vật lý
Bảo mật cho một hệ thống không dây không phải chỉ đơn thuần
là các công việc kỹ thuật. Bạn có thể có được kỹ thuật mã hóa Wi-Fi tốt nhất
nhưng vẫn có ai đó có thể truy cập vào mạng của bạn bằng cách sử dụng cổng
ethernet. Hoặc người nào đó có thể vào công ty hay nhà bạn và ấn nút reset của
điểm truy cập và khôi phục lại các thiết lập mặc định nhà máy và để mở hoàn toàn
mạng không dây của bạn.
Hãy bảo đảm rằng tất cả các AP của bạn phải nằm ngoài tầm với
của những người không cần thiết và ngoài tầm nhìn của nhân viên trong công ty.
Thay vì đặt các AP trên bàn, hãy gắn nó lên tường hoặc trần nhà là cách làm tốt
nhất.
Bạn có thể cân nhắc đến việc gắn các AP ngoài tầm nhìn và lắp
đặt thêm các anten mở rộng để tăng tín hiệu thu phát của AP. Cách thức này cho
phép bạn bảo mật được AP trong khi vẫn cung cấp tín hiệu không dây tốt thông qua
các anten có độ khuyếch đại cao.
Tuy nhiên không chỉ các AP là thành phần mà bạn cần quan tâm.
Tất cả các thành phần mạng cũng cần được bảo vệ đúng cách, thậm chí ngay cả cáp
ethernet. Các hacker có thể cắt đứt cáp ethernet của bạn và truy cập vào mạng
của bạn bằng cách đó.
Cùng với việc gắn và bảo vệ các AP, bạn cũng cần kiểm tra
chặt chẽ các AP của mình. Tạo một trang bảng tính để ghi chép các model AP được
sử dụng cùng với các địa chỉ IP và MAC. Thêm vào đó là nơi đặt chúng. Cách này
giúp bạn biết chính xác nơi đặt AP khi thực hiện các hành động kiểm tra hoặc
kiểm tra một AP nào đó có vấn đề.
3. Cài đặt hệ thống phát hiện
và ngăn chặn xâm nhập (IDS/IPS)
Các hệ thống này thường có một chương trình phần mềm để sử
dụng adapter không dây của bạn nhằm phát hiện xem các tín hiệu Wi-Fi xem có vấn
đề nào hay không. Chúng có thể phát hiện các AP giả mạo, một AP mới xuất hiện
trong mạng hoặc một AP đang tồn tại được reset về các thiết lập mặc định hay
không hợp kiểu với một tập các chuẩn mà bạn đã định nghĩa.
Các hệ thống này cũng có thể phân tích các gói mạng để xem có
ai đó có thể đang sử dụng kỹ thuật hacking hay jamming hay
không.
Có nhiều hệ thống phát hiện và ngăn chặn xâm nhập khác nhau
và sử dụng nhiều kỹ thuật khác nhau. Bạn có thể sử dụng các tùy chọn mã nguồn mở
hoặc miễn phí phải nói đến như Kismet và Snort. Bên cạnh đó là các
sản phẩm thương mại của nhiều hãng khác như AirMagnet, AirDefense
và AirTight.
4. Tạo các chính sách sử dụng
mạng không dây
Cùng với các hướng dẫn sử dụng máy tính, bạn cần phải có một
tập các chính sách đặc biệt cho việc truy cập mạng Wi-Fi, tối thiểu các chính
sách đó phải như những gì được liệt kê dưới đây:
- Danh sách các thiết bị được thẩm định có quyền truy cập mạng
không dây: Đây là cách tốt nhất để từ chối tất cả các thiết bị
và cho phép các thiết bị mong muốn bằng cách sử dụng lọc địa chỉ MAC
trên router mạng của bạn. Mặc dù các địa chỉ MAC có thể bị giả mạo,
nhưng cách thức này vẫn cung cấp sự điều khiển ở một mức độ nào đó trên
các thiết bị mà nhân viên của bạn đang sử dụng trên mạng. Bạn cần giữ
một copy chứa tất cả các thiết bị được phép và các chi tiết của chúng để
so sánh đối chiếu khi kiểm tra mạng và nhập vào các hệ thống phát hiện
xâm nhập.
- Danh sách các cá nhân có thẩm quyền truy cập vào mạng
Wi-Fi. Danh sách này này có thể được điều chỉnh lại khi
sử dụng thẩm định 802.1X (WPA/WPA2-Enterprise) bằng cách tạo các tài
khoản trong máy chủ RADIUS cho những ai cần truy cập Wi-Fi. Nếu thẩm
định 802.1X cũng đang được sử dụng trên mạng chạy dây thì bạn có thể chỉ
định người dùng nhận truy cập chạy dây hoặc không dây bằng cách thay đổi
Active Directory hoặc sử dụng các chính sách thẩm định trên bản thân máy
chủ RADIUS.
- Các rule trong thiết lập router không dây hoặc AP:
Cho ví dụ, chỉ phòng CNTT mới có quyền thiết lập thêm các AP để các nhân
viên không thể mang AP từ nhà của mình đến và cắm vào mạng để mở rộng
phạm vi tín hiệu. Một rule bên trong cho phòng CNTT là có thể định nghĩa
các model và cấu hình thiết bị có thể được sử dụng.
- Các Rule đang sử dụng trên các hotspot
Wi-Fi hoặc kết nối đến các mạng gia đình với các thiết bị công ty.
Vì dữ liệu trên một thiết bị hoặc laptop có thể bị thỏa hiệp và
hành động Internet có thể bị kiểm tra trên các mạng không dây không an
toàn nên bạn có thể hạn chế các kết nối Wi-Fi chỉ cho mạng công ty. Vấn
đề này có thể được điều khiển bằng cách đặt thêm các bộ lọc mạng với
tiện ích Network Shell (netsh) trong Windows. Cách khác có thể thực hiện
là bạn có thể yêu cầu một kết nối VPN cho mạng công ty để bảo vệ hoạt
động Internet và các file truy cập từ xa.
5. Sử dụng SSL hoặc
IPsec phía trên mã hóa Wi-Fi
Mặc dù có thể đang sử dụng mã hóa Wi-Fi mới nhất (trên lớp 2
của mô trình OSI) nhưng bạn vẫn cần xem xét đến việc thực thi một cơ chế bảo mật
khác, chẳng hạn như IPSec (trên lớp 3 của mô trình OSI). Ngoài việc cung cấp sự
mã hóa hai lần trên các hệ thống không dây, nó cũng có thể bảo vệ kết nối chạy
dây. Cách thức này sẽ ngăn chặn được hành vi nghe trộm từ phía các nhân viên
hoặc những kẻ xấu bên ngoài thâm nhập vào cổng ethernet.
Bảo mật mạng Wi-Fi trong doanh nghiệp nhỏ
Source Bảo mật Wi-Fi bằng các kỹ thuật nâng cao: ThongTinBaoMat.Com Bảo mật Wi-Fi bằng các kỹ thuật nâng cao Tags
Bảo mật | Wi-Fi | bằng các kỹ thuật nâng cao Những bài viết tương tự Bảo mật Wi-Fi bằng các kỹ thuật nâng cao:
Tổng quan về Firewall của Windows Server 2008 với tính năng bảo mật nâng cao | Khám phá các tính năng nâng cao của Exchange ActiveSync trong Exchange Server 2007 SP1 | Giảm những rắc rối trong hỗ trợ kỹ thuật cho Mac | Biến máy ảnh kỹ thuật số thành máy scan | 10 thủ thuật bảo mật cơ sở dữ liệu Access | Bảo mật Endpoint bằng Group Policy | Ổ cứng bảo vệ bằng mật khẩu | Bảo mật FTP bằng Firewall ISA 2006 (P.2) | Bảo mật FTP bằng Firewall ISA 2006 (P.1) | Tăng cường bảo mật bằng hệ thống phòng thủ đa lớp | 
