Mạng Wi-Fi có thể rất an toàn nếu bạn biết cách sử dụng các biện pháp an ninh hợp lý. Thật không may, Internet ngày nay đầy rẫy những hiểm họa

Mạng Wi-Fi có thể rất an toàn nếu bạn biết cách sử dụng các biện pháp an ninh hợp lý. Thật không may, Internet ngày nay đầy rẫy những hiểm họa, mạng Wi-Fi dễ bị tấn công và nghe trộm hơn bao giờ hết. Và dưới đây là một số những điều nên và không nên làm để bảo đảm an toàn tuyệt đối cho mạng Wi-Fi của bạn.

Không nên

1. Không nên sử dụng WEP

Tính năng bảo mật WEP (Wired Equivalent Privacy) chỉ là một tính năng “chết”. Mã hóa cơ bản của tính năng này có thể bị bẻ gãy nhanh chóng và dễ dàng bởi những tin tặc thậm chí còn “non tay”. Vì vậy tốt nhất bạn không nên sử dụng WEP. Còn nếu bạn đang sử dụng tính năng này, hãy lập tức nâng cấp lên WPA2 với quyền thẩm định 802.1X.

2. Không nên sử dụng WPA/WPA2-PSK

Chế độ an ninh chia sẻ (PSK) của WPA và WPA2 không hề an toàn cho môi trường kinh doanh. Khi sử dụng chế độ này, admin sẽ phải nhập mã khóa từng khách hàng. Do đó, PSK sẽ cần phải được thay đổi mỗi lần thay đổi nhân viên quản trị mạng và khi khách hàng bị mất hoặc bị đánh cắp mã khóa. Điều này là không thực tế và quá tốn kém.

3. Không nên tin tưởng tính năng SSID ẩn

Một hiểu lầm nghiêm trọng về bảo mật không dây là vô hiệu hóa tính năng phát thanh truyền hình SSID của AP sẽ giúp ẩn mạng của bạn, hoặc ít nhất là gây khó khăn hơn cho hacker khi muốn thâm nhập. Tuy nhiên, điều này chỉ loại bỏ các SSID từ các cảnh báo AP. Thực ra chúng vẫn còn tồn tại trong yêu xác thực của 802,11, và trong những trường hợp nhất định, vẫn có thể yêu cầu thăm dò và gửi thông điệp trả lời. Vì vậy, một kẻ nghe trộm có thể khám phá một SSID ẩn "khá nhanh chóng - đặc biệt là trên một mạng lưới bận rộn – chỉ với một dụng cụ phân tích không dây hợp pháp.

4. Không nên tin tưởng tính năng lọc địa chỉ MAC

Một sự hiểu lầm khác về bảo mật không dây, đó là các tính năng lọc địa chỉ MAC sẽ tạo thêm một lớp bảo mật, kiểm soát các khách hàng kết nối vào mạng lưới. Điều này có thể đúng phần nào, nhưng hãy nhớ rằng các hacker có thể dễ dàng theo dõi mạng lưới để tạo tính năng ủy quyền của địa chỉ MAC và sau đó thay đổi địa chỉ MAC của máy tính.

Nên

1. Sử dụng quyền thẩm định 802.11i

Phương thức EAP (giao thức xác thực mở rộng) của WPA và WPA2 sử dụng quyền thẩm định 802.1X thay vì PSKs, tạo cho mỗi khách hàng thông tin đăng nhập riêng: tên người dùng và mật khẩu và/hoặc giấy chứng nhận kỹ thuật số. Các khóa mã hóa thực tế thường xuyên được thay đổi và trao đổi nội bộ trong hệ thống. Vì vậy, để thay đổi hoặc thu hồi quyền truy cập của người sử dụng tất cả mọi điều bạn phải làm chỉ là sửa đổi các thông tin đăng nhập trên một máy chủ trung tâm, thay vì phải thay đổi PSK của mỗi khách hàng. Một mã khóa truy cập duy nhất cũng bảo vệ người dùng khỏi việc nghe trộm và đánh cắp thông tin từ các hacker – điều hiện giờ trở nên rất dễ dàng với các công cụ như Firefox add-on Firesheep và ứng dụng Android DroidSheep. Để kích hoạt tính năng xác thực 802.1X, bạn cần có máy chủ RADIUS/AAA. Nếu bạn đang chạy Windows Server 2008, thì nên xem xét đến việc sử dụng Network Policy Server (NPS), hoặc Internet Authenticate Service (IAS) của phiên bản máy chủ trước đó. Nếu bạn không sử dụng máy chủ Windows, hãy xem xét việc sử dụng các máy chủ nguồn mở FreeRADIUS.

2. Cài đặt tính năng bảo mật khách hàng 802.1X

Chế độ EAP của WPA/WPA2 vẫn còn dễ bị tấn công bởi các tin tặc. Tuy nhiên, bạn có thể ngăn ngừa các cuộc tấn công bằng cách cài đặt thiết lập EAP của khách hàng. Ví dụ, trong các thiết lập EAP của Windows, bạn có thể cho phép xác nhận chứng chỉ máy chủ bằng cách chọn chứng chỉ CA, xác định địa chỉ máy chủ, và vô hiệu hóa nó khiến người dùng tin tưởng vào các máy chủ mới hoặc giấy chứng nhận CA.

Bạn cũng có thể đẩy các thiết lập 802.1X vào lĩnh vực tham gia của các khách hàng thông qua Group Policy hoặc sử dụng một giải pháp của bên thứ ba, chẳng hạn như Quick1X Avenda.

3. Sử dụng một hệ thống phòng chống xâm nhập không dây

Sử dụng một hệ thống phòng chống xâm nhập không dây sẽ đảm bảo an ninh hơn nhiều so với việc đấu tranh chống lại các hacker. Ví dụ, một hacker có thể thiết lập các điểm truy cập giả mạo hoặc thực hiện các cuộc tấn công từ chối dịch vụ. Để giúp phát hiện và chống lại những điểu trên, bạn nên thực hiện một hệ thống phòng chống xâm nhập không dây (WIPS). Việc thiết kế và các phương pháp tiếp cận WIPSs khác nhau đối với những nhà cung cấp khác nhau, nhưng nói chung họ đều thực hiện theo một trình tự nhất định: theo dõi, cảnh báo cho người dùng, và ngăn chặn các AP giả mạo hoặc hoạt động độc hại.

Hiện trên thị trường có rất nhiều công ty an ninh dang cung cấp các giải pháp WIPS, như AirMagnet và Neworks AirTight. Ngoài ra còn có các tùy chọn mã nguồn mở, như Snort.

4. Triển khai NAP hoặc NAC

Ngoài ra 802.11i và WIPS, bạn cũng có thể sử dụng tính năng Network Access Protection (NAP) hoặc giải pháp kiểm soát truy cập mạng (NAC). Những tính năng này có thể cung cấp thêm quyền kiểm soát truy cập mạng, dựa trên nhận dạng khách hàng và tuân thủ các chính sách quy định. Chúng cũng bao gồm chức năng có thể cô lập các vấn đề và khắc phục hậu quả trong thời gian sớm nhất.

Nếu bạn đang sử dụng Windows Server 2008 hoặc phiên bản mới hơn và Windows Vista, bạn có thể sử dụng chức năng NAP của Microsoft. Nếu không, bạn có thể xem xét các giải pháp của bên thứ ba, chẳng hạn như mã nguồn mở PacketFence.

5. Giới hạn người dùng SSID có thể kết nối với wifi của bạn

Nhiều nhà quản trị mạng thường xuyên bỏ qua một nguy cơ bảo mật đơn giản nhưng có khá nguy hiểm: người sử dụng cố ý hoặc vô tình kết nối với một mạng không dây lân cận hoặc trái phép, mở máy tính của họ để có thể xâm nhập. Tuy nhiên, chọn lọc các SSID là một trong những cách để giúp ngăn chặn điều này. Trong Windows Vista và những phiên bản mới hơn, bạn có thể sử dụng các câu lệnh netsh wlan tạo thêm các bộ lọc để những người dùng SSID có thể nhìn thấy và kết nối. Đối với máy tính để bàn, bạn có thể từ chối tất cả các SSID chỉ trừ những SSID  thuộc mạng không dây của bạn. Đối với máy tính xách tay, bạn chỉ có thể từ chối các SSID của các mạng lân cận, cho phép họ vẫn còn kết nối với các điểm nóng và mạng gia đình của họ.

6. Bảo vệ an toàn theo phương pháp vật lý cho các bộ phận mạng không dây

Hãy nhớ rằng, bảo mật máy tính không chỉ là về công nghệ và mã hóa. Bảo vệ an toàn theo phương pháp vật lý cho các bộ phận mạng không dây cũng vô cùng quan trọng. Hãy chắc chắn rằng các AP được đặt ngoài tầm với, chẳng hạn như trên một giá cao hoặc các vị trí an toàn và sau đó đặt ăng-ten ở một vị trí tối ưu. Nếu không có bảo đảm, bất kỳ ai cũng có thể dễ dàng tiếp cận và đặt lại AP về mặc định để mở truy cập.