Những điều cần biết về bảo mật mạng không dây
Thứ Ba, 15/11/2011, 12:56 PM (GMT+7)
Wi-Fi vốn đã dễ bị tấn công và "đột nhập" nhưng bạn có thể sử dụng các thiết lập nhằm hạn chế các tấn công. Sau đây là những điều bạn nên biết về bảo mật Wi-Fi cho công ty, tổ chức và hộ gia đình.
1. Không sử dụng chuẩn bảo mật WEP
Thuật ngữ bảo mật WEP (wired equivalent privacy) đã đi vào di vãng nhưng các thiết bị phát Wifi vẫn có chuẩn này trong mục cấu hình. Chuẩn bảo mật này dễ dàng bị phá nhanh chóng bởi hầu hết các tin tặc có kinh nghiệm hoặc nhưng người rành về công nghệ. Lời khuyên hữu ích là bạn nên chuyển sang chuẩn WPA2 (Wi-Fi protected access) với việc chứng thực theo chuẩn 802.11i. Nếu bạn có một bộ phát không dây không hỗ trợ chuẩn mã hóa WPA2, bạn hãy thử cập nhật firmware hoặc thay thế bằng sản phẩm mới hơn.
2. Không sử dụng chuẩn mã hóa WPA/WPA2-PSK
Chế độ PSK (pre-shared key) của chuẩn mã hóa WPA/WPA2 không bảo mật đối với môi trường doanh nghiệp. Khi bạn sử dụng chế độ này, PSK phải được nhập ở mỗi máy tính kết nối với bộ phát. Và điều phiền toái là bạn phải thay đổi PSK khi có sự thay đổi về nhân sự và khi một máy tinh hay thiết bị nào đó của công ty bị đánh cắp. Đây là điều không phù hợp đối với hầu hết các môi trường sử dụng bộ phát không dây..
3. Triển khai chuẩn 802.11i
Chế độ EAP (extensible authentication protocol, tạm dịch: giao thức chứng thực có khả năng mở rộng) của WPA và WPA2 sử dụng chứng thực 802.1X bao gồm cả PSK sẽ cung cấp khả năng để cấp cho mỗi người sử dụng tài khoản hoặc chứng thực số khi muốn sử dụng Wifi.
Các khóa mã hóa đuợc thay đổi thường xuyên và trao đổi một cách lặng lẽ. Để thay đổi hoặc hủy bỏ các truy cập bạn phải thay đổi các thông tin đăng nhập trên một máy chủ trung tâm, điều này thuận tiện hơn việc phải thay đổi PSK trên mỗi thiết bị kết nối. Các khóa sinh ra theo mỗi phiên cũng ngăn cản việc người sử dụng khỏi việc bị "nghe trộm". Hiện tại thì điều này được thực hiện dễ dàng với add-on của Firefox là Firesheep và ứng dụng Android là DroidSheep. Việc sử dụng chuẩn mã hóa WPA2 với chuẩn 802.1X thường được biết đến là chuẩn 802.11i.
Để khởi tạo chuẩn chứng thực 802.1X, bạn cần phải có một máy chủ chứng thực Radius/AAA. Nếu bạn đang sử dụng hệ điều hành Windows Server 2008 hoặc các phiên bản kế tiếp, bạn cần quan tâm sử dụng Network Policy Server (NPS, tạm dịch : các chính sách mạng máy chủ) hoặc Internet Authenticate Service (IAS, tạm dịch : dịch vụ chứng thực Internet) của nhưng phiên bản máy chủ kế tiếp. Nếu bạn không sử dụng một hệ điều hành máy chủ, bạn nên quan tâm tới máy chủ mã nguồn mở FreeRadius.
4. Cấu hình các thiết lập bảo mật 802.1X cho chuẩn máy trạm
Chế độ EAP của chuẩn mã hóa WPA/WPA2 vẫn có thể có khả năng bị tấn công. Tuy nhiên, bạn có thể hạn chế bằng các thiết lập bảo mật. Các thiết lập EAP của hệ điều hành Windows giúp bạn kích hoạt các chứng thực số bằng cách chọn các chứng thực số.
Bạn có thể sử dụng các thiết lập chuẩn 802.1X để đăng ký vào miền cho máy trạm (join domain) qua các chính sách trên máy chủ hoặc sử dụng phần mềm của bên thứ 3 như Avenda's Quick1X.
5. Sử dụng bộ phát có hệ thống ngăn chặn xâm nhập
Có nhiều hơn là việc bảo mật Wi-Fi hơn là việc trực tiếp mgăn cản các kết nối tới mạng. Tin tặc có thể cài đặt đánh lừa các bộ phát không dây hoặc tấn công từ chối dịch vụ. Để phát hiện và chống lại các hành vi này, bạn nên triển khai hệ thống ngăn chặn xâm nhập cho bộ phát (WIPS). Việc thiết kế và triển khai WIPSes có rất nhiều các nhà cung cấp nhưng tựu chung vẫn là tìm kiếm các sự kết nối, cảnh báo bạn và có thể dừng hoạt động đánh lừa bộ phát hoặc các mã độc hại.
Các nhà cung cấp giải pháp WIPSes như AirMagnet và AirTight Neworks hoặc lựu chọn mã nguồn mở Snort có thể giúp bạn.
6. Triển khai NAP hoặc NAC
Đối với chuẩn 802.11i và WIPS, bạn nên quan tâm tới việc triển khai một hệ thống bảo vệ truy cập mạng Network Access Protection (NAP) hoặc hệ thống điều khiển truy cập mạng Network Access Control (NAC).
Các hệ thống này giúp bạn điều khiển qua việc truy cập mạng dựa trện việc nhận dạng máy trạm và yêu cầu từ chính sách đã tạo. Một vài hệ thống NAC cũng có các chức năng phát hiện và ngăn cản truy cập mạng. Nếu bạn sử dụng hệ điều hành Windows Server 2008 cho máy chủ và Windows Vista, các phiên bản hệ điều hành kế tiếp cho máy trạm, bạn có thể sử dụng chức năng NAP của Microsoft. Nếu điều kiện không cho phép, bạn có thể sử dụng giải pháp mã nguồn mở PacketFence.
7. Không nên tin tưởng vào các SSID ẩn
Nhiều người suy nghĩ rằng tắt chức năng "phát tán" SSID của bộ phát nhằm ẩn mạng của họ để gây khó khăn cho tin tặc. Tuy nhiên, việc này chỉ loại bỏ SSID các trạm phát sóng, nó vẫn tồn tại các yêu cầu liên quan đến chuẩn 802.11 nên sẽ vẫn bị tìm thấy bới các gói tin trả lời khi có yêu cầu. Thực tế, một kẻ nghe trộmcó thể khám phá ra các SSID được "ẩn mình" một cách khá nhanh, đặc biệt là trên mạng có nhiều thiết bị truy cập từ một công cụ phân tích hợp pháp.
Một nhược điểm nữa khi ẩn SSID, các máy trạm hoặc các thiết bị khác cần kết nối sẽ phải gõ SSID một cách thủ công và điều này gây nên các yêu cầu, gói tin trả lời tăng lên làm giảm băng thông có sẵn.
8. Không nên tin tưởng chức năng lọc địa chỉ MAC
Đây cũng là một hiểu lầm về việc sử dụng chức năng lọc địa chỉ MAC nhằm quản lý các máy trạm khi muốn kết nối vào mạng. Khi sử dụng chức năng này, những tin tặc có thể dễ dàng "lần theo" các địa chỉ MAC đã được chứng thực và chúng có thể thay đổi địa chỉ MAC của chính máy tính chúng dùng để tấn công.
9. Nên sử dụng chức năng giới hạn số thiết bị kết nối qua SSID
Điều quan tâm của các quản trị viên cũng như các chuyên viên bảo mật thường chống lại các kết nối không cho phép và việc sử dụng lọc các SSID là một giải pháp tốt. Đối với laptop, bạn có thể từ chối các SSID của hàng xóm nhưng vẫn kết nối với các điểm phát khác cũng như điểm phát của chính nhà bạn.
10. Triển khai các thành phần bảo mật mạng vật lý
Điều quan trọng cần nhớ là bảo mật máy tính không chỉ là những công nghệ mới nhất và mã hóa. Bảo mật vật lý các thành phần mạng của bạn cũng rất quan trọng. Hãy chắc rằng các bộ phát được đặt tại nơi an toàn. Nếu đặt tại nơi không an toàn, một ai đó có thể sử dụng chức năng "thiết lập lại" để đưa bộ phát về chế độ mặc định và mở cửa cho các truy cập trái phép.
11. Đừng quên bảo vệ các máy trạm di động
Những vấn đề bảo mật Wi-Fi sẽ không chỉ xoay quanh mạng của bạn, người sử dụng có thể sử dụng smartphone, laptop, máy tính bảng có thể được bảo vệ trong "vùng an toàn" nhưng điều gì sẽ xảy ra khi họ kết nối tới các điểm phát Wi-Fi. Bạn cần phải chắc chắn rằng các kết nối Wi-Fi được bảo mật tốt để tránh các đột nhập và nghe trộm.
Trên thực tế, thật không dễ để chắc rằng các kết nối Wi-Fi bên ngoài đã an toàn hay chưa. Nó là một giải pháp tổng thể về các bảo mật về phần cứng, các thiết lập và cảnh giác những người sử dụng khi kết nối vào các mạng không dây.
Công nghệ không dây đang là một trong những phát minh giúp cho công việc và học tập trở nên thuận tiện hơn nhưng bên cạnh đó bạn cần trang bị cho mình các kiến thức về bảo mật để tránh các hậu quả có thể có khi kết nối vào các mạng không dây.
Thuật ngữ bảo mật WEP (wired equivalent privacy) đã đi vào di vãng nhưng các thiết bị phát Wifi vẫn có chuẩn này trong mục cấu hình. Chuẩn bảo mật này dễ dàng bị phá nhanh chóng bởi hầu hết các tin tặc có kinh nghiệm hoặc nhưng người rành về công nghệ. Lời khuyên hữu ích là bạn nên chuyển sang chuẩn WPA2 (Wi-Fi protected access) với việc chứng thực theo chuẩn 802.11i. Nếu bạn có một bộ phát không dây không hỗ trợ chuẩn mã hóa WPA2, bạn hãy thử cập nhật firmware hoặc thay thế bằng sản phẩm mới hơn.
2. Không sử dụng chuẩn mã hóa WPA/WPA2-PSK
Chế độ PSK (pre-shared key) của chuẩn mã hóa WPA/WPA2 không bảo mật đối với môi trường doanh nghiệp. Khi bạn sử dụng chế độ này, PSK phải được nhập ở mỗi máy tính kết nối với bộ phát. Và điều phiền toái là bạn phải thay đổi PSK khi có sự thay đổi về nhân sự và khi một máy tinh hay thiết bị nào đó của công ty bị đánh cắp. Đây là điều không phù hợp đối với hầu hết các môi trường sử dụng bộ phát không dây..
3. Triển khai chuẩn 802.11i
Chế độ EAP (extensible authentication protocol, tạm dịch: giao thức chứng thực có khả năng mở rộng) của WPA và WPA2 sử dụng chứng thực 802.1X bao gồm cả PSK sẽ cung cấp khả năng để cấp cho mỗi người sử dụng tài khoản hoặc chứng thực số khi muốn sử dụng Wifi.
Các khóa mã hóa đuợc thay đổi thường xuyên và trao đổi một cách lặng lẽ. Để thay đổi hoặc hủy bỏ các truy cập bạn phải thay đổi các thông tin đăng nhập trên một máy chủ trung tâm, điều này thuận tiện hơn việc phải thay đổi PSK trên mỗi thiết bị kết nối. Các khóa sinh ra theo mỗi phiên cũng ngăn cản việc người sử dụng khỏi việc bị "nghe trộm". Hiện tại thì điều này được thực hiện dễ dàng với add-on của Firefox là Firesheep và ứng dụng Android là DroidSheep. Việc sử dụng chuẩn mã hóa WPA2 với chuẩn 802.1X thường được biết đến là chuẩn 802.11i.
Để khởi tạo chuẩn chứng thực 802.1X, bạn cần phải có một máy chủ chứng thực Radius/AAA. Nếu bạn đang sử dụng hệ điều hành Windows Server 2008 hoặc các phiên bản kế tiếp, bạn cần quan tâm sử dụng Network Policy Server (NPS, tạm dịch : các chính sách mạng máy chủ) hoặc Internet Authenticate Service (IAS, tạm dịch : dịch vụ chứng thực Internet) của nhưng phiên bản máy chủ kế tiếp. Nếu bạn không sử dụng một hệ điều hành máy chủ, bạn nên quan tâm tới máy chủ mã nguồn mở FreeRadius.
4. Cấu hình các thiết lập bảo mật 802.1X cho chuẩn máy trạm
Chế độ EAP của chuẩn mã hóa WPA/WPA2 vẫn có thể có khả năng bị tấn công. Tuy nhiên, bạn có thể hạn chế bằng các thiết lập bảo mật. Các thiết lập EAP của hệ điều hành Windows giúp bạn kích hoạt các chứng thực số bằng cách chọn các chứng thực số.
Bạn có thể sử dụng các thiết lập chuẩn 802.1X để đăng ký vào miền cho máy trạm (join domain) qua các chính sách trên máy chủ hoặc sử dụng phần mềm của bên thứ 3 như Avenda's Quick1X.
5. Sử dụng bộ phát có hệ thống ngăn chặn xâm nhập
Có nhiều hơn là việc bảo mật Wi-Fi hơn là việc trực tiếp mgăn cản các kết nối tới mạng. Tin tặc có thể cài đặt đánh lừa các bộ phát không dây hoặc tấn công từ chối dịch vụ. Để phát hiện và chống lại các hành vi này, bạn nên triển khai hệ thống ngăn chặn xâm nhập cho bộ phát (WIPS). Việc thiết kế và triển khai WIPSes có rất nhiều các nhà cung cấp nhưng tựu chung vẫn là tìm kiếm các sự kết nối, cảnh báo bạn và có thể dừng hoạt động đánh lừa bộ phát hoặc các mã độc hại.
Các nhà cung cấp giải pháp WIPSes như AirMagnet và AirTight Neworks hoặc lựu chọn mã nguồn mở Snort có thể giúp bạn.
6. Triển khai NAP hoặc NAC
Đối với chuẩn 802.11i và WIPS, bạn nên quan tâm tới việc triển khai một hệ thống bảo vệ truy cập mạng Network Access Protection (NAP) hoặc hệ thống điều khiển truy cập mạng Network Access Control (NAC).
Các hệ thống này giúp bạn điều khiển qua việc truy cập mạng dựa trện việc nhận dạng máy trạm và yêu cầu từ chính sách đã tạo. Một vài hệ thống NAC cũng có các chức năng phát hiện và ngăn cản truy cập mạng. Nếu bạn sử dụng hệ điều hành Windows Server 2008 cho máy chủ và Windows Vista, các phiên bản hệ điều hành kế tiếp cho máy trạm, bạn có thể sử dụng chức năng NAP của Microsoft. Nếu điều kiện không cho phép, bạn có thể sử dụng giải pháp mã nguồn mở PacketFence.
7. Không nên tin tưởng vào các SSID ẩn
Nhiều người suy nghĩ rằng tắt chức năng "phát tán" SSID của bộ phát nhằm ẩn mạng của họ để gây khó khăn cho tin tặc. Tuy nhiên, việc này chỉ loại bỏ SSID các trạm phát sóng, nó vẫn tồn tại các yêu cầu liên quan đến chuẩn 802.11 nên sẽ vẫn bị tìm thấy bới các gói tin trả lời khi có yêu cầu. Thực tế, một kẻ nghe trộmcó thể khám phá ra các SSID được "ẩn mình" một cách khá nhanh, đặc biệt là trên mạng có nhiều thiết bị truy cập từ một công cụ phân tích hợp pháp.
Một nhược điểm nữa khi ẩn SSID, các máy trạm hoặc các thiết bị khác cần kết nối sẽ phải gõ SSID một cách thủ công và điều này gây nên các yêu cầu, gói tin trả lời tăng lên làm giảm băng thông có sẵn.
8. Không nên tin tưởng chức năng lọc địa chỉ MAC
Đây cũng là một hiểu lầm về việc sử dụng chức năng lọc địa chỉ MAC nhằm quản lý các máy trạm khi muốn kết nối vào mạng. Khi sử dụng chức năng này, những tin tặc có thể dễ dàng "lần theo" các địa chỉ MAC đã được chứng thực và chúng có thể thay đổi địa chỉ MAC của chính máy tính chúng dùng để tấn công.
9. Nên sử dụng chức năng giới hạn số thiết bị kết nối qua SSID
Điều quan tâm của các quản trị viên cũng như các chuyên viên bảo mật thường chống lại các kết nối không cho phép và việc sử dụng lọc các SSID là một giải pháp tốt. Đối với laptop, bạn có thể từ chối các SSID của hàng xóm nhưng vẫn kết nối với các điểm phát khác cũng như điểm phát của chính nhà bạn.
10. Triển khai các thành phần bảo mật mạng vật lý
Điều quan trọng cần nhớ là bảo mật máy tính không chỉ là những công nghệ mới nhất và mã hóa. Bảo mật vật lý các thành phần mạng của bạn cũng rất quan trọng. Hãy chắc rằng các bộ phát được đặt tại nơi an toàn. Nếu đặt tại nơi không an toàn, một ai đó có thể sử dụng chức năng "thiết lập lại" để đưa bộ phát về chế độ mặc định và mở cửa cho các truy cập trái phép.
11. Đừng quên bảo vệ các máy trạm di động
Những vấn đề bảo mật Wi-Fi sẽ không chỉ xoay quanh mạng của bạn, người sử dụng có thể sử dụng smartphone, laptop, máy tính bảng có thể được bảo vệ trong "vùng an toàn" nhưng điều gì sẽ xảy ra khi họ kết nối tới các điểm phát Wi-Fi. Bạn cần phải chắc chắn rằng các kết nối Wi-Fi được bảo mật tốt để tránh các đột nhập và nghe trộm.
Trên thực tế, thật không dễ để chắc rằng các kết nối Wi-Fi bên ngoài đã an toàn hay chưa. Nó là một giải pháp tổng thể về các bảo mật về phần cứng, các thiết lập và cảnh giác những người sử dụng khi kết nối vào các mạng không dây.
Công nghệ không dây đang là một trong những phát minh giúp cho công việc và học tập trở nên thuận tiện hơn nhưng bên cạnh đó bạn cần trang bị cho mình các kiến thức về bảo mật để tránh các hậu quả có thể có khi kết nối vào các mạng không dây.
Không có nhận xét nào:
Đăng nhận xét