Bảo mật Wi-Fi từ những bước cơ bản

1. Không nên sử dụng WEP Bảo mật WEP (wired equivalent privacy) từ lâu đã chết. Khả năng mã hóa của nó có thể dễ dàng và nhanh chóng bị phá vỡ bởi hầu hết các hacker không chuyên. Do vậy, bạn không nên sử dụng WEP một chút nào cả. Nếu đang sử dụng, hãy nâng cấp ngay lên WPA2 (Wi-Fi protected access) với chứng thực 802.1X. Nếu mới được cho một chiếc router wifi hoặc access point không hỗ trợ WPA2, hãy thử cập nhật firmware hoặc đơn giản nhất là thay thiết bị mới. 2. Không nên...
Nội dung trích xuất từ tài liệu:
Bảo mật Wi-Fi từ những bước cơ bản Bảo mật Wi-Fi từ những bước cơ bản1. Không nên sử dụng WEPBảo mật WEP (wired equivalent privacy) từ lâu đã chết. Khả năng mã hóa của nócó thể dễ dàng và nhanh chóng bị phá vỡ bởi hầu hết các hacker không chuyên. Dovậy, bạn không nên sử dụng WEP một chút nào cả. Nếu đang sử dụng, hãy nângcấp ngay lên WPA2 (Wi-Fi protected access) với chứng thực 802.1X. Nếu mớiđược cho một chiếc router wifi hoặc access point không hỗ trợ WPA2, hãy thử cậpnhật firmware hoặc đơn giản nhất là thay thiết bị mới.2. Không nên sử dụng WPA/WPA2-PSKChế độ pre-shared key (PSK) của WPA và WPA2 không được bảo mật đối vớimôi trường doanh nghiệp cho lắm. Khi sử dụng chế độ này, cần phải điền key PSKcho mỗi thiết bị phát wifi. Do đó, key này cần được thay đổi mỗi lần một nhânviên rời khỏi công ty và khi một thiết bị phát bị mất hoặc bị trộm – những điều vẫnchưa thực sự được chú trọng với hầu hết các môi trường doanh nghiệp.3. Triển khai 802.11iChế độ EAP (extensible authentication protocol) của bảo mật WPA và WPA2 sửdụng chứng thực 802.1X thay vì dùng PSKs, cung cấp cho khả năng đưa cho mỗingười dùng hoặc thiết bị một thông tin đăng nhập riêng: tên người dùng và mậtkhẩu hoặc một chứng thực điện tử.Các key mã hóa thực sự sẽ thường xuyên được thay đổi và trao đổi “âm thầm”trong background. Do đó, nếu muốn thay đổi hoặc có thay đổi về nhân sự, tất cảnhững gì bạn cần phải làm là điều chỉnh thông tin đăng nhập ở server tập trung,thay vì thay đổi PSK ở mỗi thiết bị. Key PSK cũng ngăn chặn người dùng khỏiviệc nghe trộm lưu lượng mạng của người khác – một công việc rất dễ thực hiệnvới những công cụ như add-on Firesheep củaMozilla Firefox hay ứngdụng DroidSheep dành cho Google Android.Hãy nhớ trong đầu rằng, để có được bảo mật cao nhất có thể, bạn nên sử dụngWPA2 với 802.1X, hay 802.11i.Để kích hoạt chứng thực 802.1X, bạn cần phải có một server RADIUS/AAA. Nếuđang chạy Windows Server 2008 hoặc cao hơn, hãy cân nhắc sử dụng NetworkPolicy Server (NPS) hoặc Internet Authenticate Service (IAS) (hay phiên bảnserver trước đó). Nếu bạn không chạy Windows Server, bạn có thể sử dụng servermã nguồn mở FreeRADIUS.Bạn có thể áp dụng cài đặt 802.1X cho các thiết bị qua Group Policy nếu đangchạy Windows Server 2008 R2. Nếu không, hãy thử cân nhắc sử dụng một giảipháp bên thứ 3 nào đó để cấu hình thiết bị.4. Thực hiện cài đặt bảo mật 802.1XChế độ EPA của WPA/WPA2 vẫn có khả năng bị tấn công bởi các hacker bánchuyên. Tuy nhiên, bạn có thể ngăn chặn chúng tấn công bằng cách bảo mật càiđặt EAP cho thiết bị. Ví dụ, trong cài đặt EAP cho Windows, bạn có thể kích hoạtchế độ xác nhận chứng thực server bằng cách chọn chứng thực CA, gán địa chỉserver và disable nó khỏi việc hỏi người dùng trust server mới hoặc xác thực CA.Bạn có thể áp dụng cài đặt 802.1X cho các thiết bị qua Group Policy hoặc sử dụnggiải pháp bên thứ 3, ví như Quick1X của Avenda.5. Nên sử dụng một hệ thống ngăn chặn xâm nhập trái phép vào mạng khôngdâyBảo mật mạng không dây là điều nên làm thay vì tập trung vào đánh bại những kẻcố gắng chiếm quyền truy cập vào mạng của bạn. Ví dụ, hacker có thể thiết lậpmột điểm truy cập ảo hoặc thực hiện tấn công DOS – denial-of-service. Để cóđược khả năng dò tìm và đánh bại những kiểu tấn công như vậy, bạn nên triển khaimột hệ thống ngăn chặn xâm nhập mạng không dây (WIPS). Thiết kế và phươngpháp được sử dụng trong WIPS khác biệt theo từng nhà sản xuất nhưng nhìnchung chúng có thể giám sát mạng, thông báo cho người dùng và có thể ngăn chặnđiểm truy cập ảo hay các hoạt động mã độc