Bảo mật lưu lượng mạng không dây – Phần 4

Quản trị mạng – Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một số cơ chế bảo mật có trong phần cứng không dây. Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về tầm quan trọng của SSID của một điểm truy cập không dây, bên cạnh đó là lọc địa chỉ MAC. Trong phần này, chúng tôi sẽ giới thiệu một số tính năng bảo mật thường có bên trong các điểm truy cập không dây. Ở đây có một điểm cần lưu ý...
Nội dung trích xuất từ tài liệu:
Bảo mật lưu lượng mạng không dây – Phần 4 Bảo mật lưu lượng mạng không dây – Phần 4Quản trị mạng – Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu chocác bạn một số cơ chế bảo mật có trong phần cứng không dây.Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về tầm quantrọng của SSID của một điểm truy cập không dây, bên cạnh đó là lọc địa chỉ MAC.Trong phần này, chúng tôi sẽ giới thiệu một số tính năng bảo mật thường có bêntrong các điểm truy cập không dây. Ở đây có một điểm cần lưu ý là không phải tấtcả các điểm truy cập không dây đều có các tính năng được giới thiệu ở đây.Mã hóaKhi đề cập đến việc bảo mật các mạng không dây, một tính năng bảo mật d ườngnhư thu hút nhiều mối quan tâm nhất là mã hóa. Chính vì lý do này mà chúng tôimuốn bắt đầu bằng cách cung cấp cho các bạn một số thông tin cơ bản về một sốtùy chọn mã hóa nói chung. Lưu ý ở đây chúng tôi chỉ giới thiệu về các cơ chế mãhóa có trong phần cứng không dây, các tính năng mã hóa mức hệ điều hành sẽđược giới thiệu trong các phần sau.Không mã hóaNgay ở phần đầu của loạt bài này, chúng tôi đã đưa ra một câu hỏi rằng điều gì sẽxảy ra nếu mạng không dây không được mã hóa. Sở dĩ chúng tôi đặt ra câu hỏi nàylà vì trong hầu hết các điểm truy cập, cấu hình các kết nối thường được đặt mặcđịnh ở trạng thái không mã hóa.Nếu sẽ sử dụng tính năng mã hóa mức hệ điều hành chẳng hạn như IPSec hoặc nếusẽ sử dụng điểm truy cập để cung cấp truy cập Wi-Fi công cộng thì việc không mãhóa hay mã hóa không phải là vấn đề đáng lo. Tuy nhiên, trong các trường hợpkhác, sử dụng một trong các tùy chọn mã hóa được giới thiệu dưới đây sẽ tốt hơncho mạng của bạn.WEPWEP (Wired Equivalent Privacy) là thuật toán mã hóa đầu tiên của mạng khôngdây. Ngày nay, hầu hết các điểm truy cập không dây vẫn cung cấp cơ chế mã hóaWEP này, tuy nhiên mục đích của chúng chỉ để giải quyết một số vấn đề t ươngthích. Mã hóa WEP đã cho thấy có nhiều bất cập trong nhiều năm gần đây và hiệnbị coi là thiếu an toàn.WPA-PSK [TKIP]WPA (Wi-Fi Protected Access) được thiết kế với tư cách một cơ chế để khắc phụcnhững thiếu sót của WEP. Có một số dạng thức của WPA nhưng dạng thức đượcbiết đến nhiều nhất là WPA-PSK, mã hóa sử dụng khóa tiền chia sẻ.Một số dạng thức khác của WPA sử dụng giao thức có tên TKIP, đây là tên đượcviết tắt cho cụm từ Temporal Key Integrity Protocol. TKIP sẽ tạo ra khóa 128-bitcho mỗi một gói dữ liệu.WPA2-PSKWPA2-PSK là phiên bản kế tiếp của WPA. Mặc dù vẫn sử dụng khóa tiền chia sẻnhưng WPA2 đã thay thế giao thức mã hóa TKIP bằng CCMP để tăng cường thêmđộ bảo mật. CCMP dựa trên thuật toán Advanced Encryption Standard (AES) sửdụng 10 vòng mã hóa để tạo ra khóa 128-bit. WPA2 hiện là cơ chế mã hóa đượcưu thích.Vấn đề khác cần lưu tâmMặc dù mã hóa là cơ chế bảo mật chủ yếu trên bất cứ điểm truy cập không dâynào, nhưng có một điểm quan trọng chúng ta cần nhớ ở đây là, chỉ mã hóa sẽkhông bảo mật bảo mật cho mạng không dây. Bảo mật toàn diện chỉ có thể đạtđược bằng cách tiến hành phòng vệ theo chiều sâu, điều đó cũng có nghĩa rằngchúng ta phải lợi dụng hết các ưu điểm trong cơ chế bảo mật hiện có. Chúng tôi sẽgiới thiệu thêm một số cơ chế bảo mật khác có trong một số điểm truy cập.Bản ghiNhiều điểm truy cập có khả năng cho phép ghi chép những gì diễn ra. Ví dụ, điểmtruy cập mà chúng tôi sử dụng có cơ chế ghi chép, cho phép tạo entry bản ghi mỗikhi có một kết nối được thực hiện. Quan trọng hơn ở đây là điểm truy cập cho phépbạn biết nơi khởi nguồn kết nối (mạng chạy dây, mạng không dây hay Internet),địa chỉ IP của thiết bị muốn thực hiện kết nối, số cổng kết nối đ ược thực hiện quađó.Các bản ghi trên điểm truy cập của chúng tôi cũng cho phép lần vết theo các đăngnhập muốn truy cập vào giao diện quản trị của điểm truy cập. Tính năng này chophép chúng ta dễ dàng phát hiện ra các cố gắng truy cập không xác thực.Danh sách đenMột số điểm truy cập có kiểu danh sách đen khác nhau. Cho ví dụ, nhiều điểm truycập cung cấp danh sách này để người dùng có thể sử dụng nó cho việc khóa chặntruy cập đến các website nào đó. Dù tính năng này được thiết kế với mục đích khóachặn truy cập nội dung không tương thích nhưng bạn cũng có thể sử dụng danhsách đen như một cách ngăn chặn việc truy cập vô tình đến các website có chứa mãđộc. Trong thực tế, có nhiều website cung cấp danh sách các site mã độc và chúngta hoàn toàn có thể sử dụng danh sách như vậy kết hợp với tính năng danh sách đencủa điểm truy cập để giảm lỗi do người dùng truy cập vào một site như vậy.Dõ dàng danh sách đen không thể giải tất cả thông qua URL. Một số điểm truy cậpcòn cho phép người dùng có thể lập danh sách đen qua cổng và dịch vụ. Cho ví dụ,nếu chính sách bảo mật của công ty hạn chế sử dụng phần mềm thư tín điện tử thìbạn có thể sử dụng danh sách đen của điểm truy cập để khóa chặn lưu lượng thư tíntức thì. Bằng cách này, thậm chí người dùng có thể cài đặt p ...