Bảo mật Wi-Fi từ những bước cơ bản
1. Không nên sử dụng WEP
Bảo mật WEP (wired equivalent privacy) tlâu đã chết. Khả ng mã hóa của
có thdễ dàng và nhanh chóng bị phá vỡ bởi hầu hết các hacker không chuyên. Do
vậy, bạn không nên sdụng WEP một chút nào cả. Nếu đang sử dụng, hãy nâng
cấp ngay lên WPA2 (Wi-Fi protected access) với chứng thực 802.1X. Nếu mới
được cho một chiếc router wifi hoặc access point không hỗ trợ WPA2, hãy thử cập
nhật firmware hoặc đơn giản nhất là thay thiết bị mới.
2. Không nên sử dụng WPA/WPA2-PSK
Chế độ pre-shared key (PSK) của WPA và WPA2 không được bảo mật đối với
môi trường doanh nghiệp cho lắm. Khi sử dụng chế độ này, cần phải điền key PSK
cho mỗi thiết bị phát wifi. Do đó, key này cần được thay đổi mỗi lần một nhân
viên rời khỏi công ty và khi một thiết bị phát bị mất hoặc bị trộm những điều vẫn
chưa thực sự được chú trọng với hầu hết các môi trường doanh nghiệp.
3. Triển khai 802.11i
Chế độ EAP (extensible authentication protocol) của bảo mật WPA và WPA2 s
dụng chứng thực 802.1X thay vì dùng PSKs, cung cấp cho khả năng đưa cho mỗi
người dùng hoặc thiết bị một thông tin đăng nhập riêng: n người dùng mật
khẩu hoặc một chứng thực điện tử.
Các key hóa thực ssẽ thường xuyên đưc thay đổi trao đổi “âm thầm”
trong background. Do đó, nếu muốn thay đổi hoặc thay đổi về nhân sự, tất c
những gì bạn cần phải làm điều chỉnh thông tin đăng nhập server tập trung,
thay thay đổi PSK mỗi thiết bị. Key PSK cũng ngăn chặn người dùng khỏi
việc nghe trộm lưu lượng mạng của người khác một công việc rất dễ thực hiện
với những công cụ như add-on Firesheep củaMozilla Firefox hay ứng
dụng DroidSheep dành cho Google Android.
Hãy nh trong đầu rằng, để được bảo mật cao nhất thể, bạn nên sdụng
WPA2 với 802.1X, hay 802.11i.
Để kích hoạt chứng thực 802.1X, bạn cần phải một server RADIUS/AAA. Nếu
đang chạy Windows Server 2008 hoặc cao hơn, hãy cân nhắc sử dụng Network
Policy Server (NPS) hoặc Internet Authenticate Service (IAS) (hay phiên bản
server trước đó). Nếu bạn không chạy Windows Server, bạn thể sdụng server
mã nguồn mở FreeRADIUS.
Bạn thể áp dụng cài đặt 802.1X cho các thiết bị qua Group Policy nếu đang
chạy Windows Server 2008 R2. Nếu không, hãy thcân nhắc sử dụng một giải
pháp bên thứ 3 nào đó để cấu hình thiết bị.
4. Thực hiện cài đặt bảo mật 802.1X
Chế độ EPA của WPA/WPA2 vẫn có khả năng bị tấn công bởi các hacker bán
chuyên. Tuy nhiên, bạn thể ngăn chặn chúng tấn công bằng cách bảo mật cài
đặt EAP cho thiết bị. dụ, trong cài đặt EAP cho Windows, bạn có thkích hoạt
chế độ c nhận chứng thực server bằng cách chọn chứng thực CA, gán địa chỉ
server và disable nó khỏi việc hỏi người dùng trust server mới hoặc xác thực CA.
Bạn có thể áp dụng cài đặt 802.1X cho các thiết bị qua Group Policy hoặc sử dụng
giải pháp bên thứ 3, ví như Quick1X của Avenda.
5. Nên sdụng một hệ thống ngăn chặn xâm nhập trái phép vào mạng không
dây
Bảo mật mạng không y điều nên làm thay vì tập trung vào đánh bại những kẻ
cgắng chiếm quyền truy cập vào mạng của bạn. dụ, hacker ththiết lập
một điểm truy cập ảo hoặc thực hiện tấn ng DOS denial-of-service. Để
được khả năng dò tìm đánh bại những kiểu tấn công như vậy, bạn nên triển khai
một hệ thống ngăn chặn m nhập mạng không dây (WIPS). Thiết kế và phương
pháp được sử dụng trong WIPS khác biệt theo từng nhà sn xuất nhưng nhìn
chung chúng có th giám sát mạng, thông báo cho người dùng và có thể ngăn chặn
điểm truy cập ảo hay các hoạt động mã độc