Quản trị mạng – Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một số cơ chế bảo mật có trong phần cứng không dây.
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về tầm quan trọng của SSID của một điểm truy cập không dây, bên cạnh đó là lọc địa chỉ MAC. Trong phần này, chúng tôi sẽ giới thiệu một số tính năng bảo mật thường có bên trong các điểm truy cập không dây. Ở đây có một điểm cần lưu ý là không phải tất cả các điểm truy cập không dây đều có các tính năng được giới thiệu ở đây.
Mã hóa
Khi đề cập đến việc bảo mật các mạng không dây, một tính năng bảo mật dường như thu hút nhiều mối quan tâm nhất là mã hóa. Chính vì lý do này mà chúng tôi muốn bắt đầu bằng cách cung cấp cho các bạn một số thông tin cơ bản về một số tùy chọn mã hóa nói chung. Lưu ý ở đây chúng tôi chỉ giới thiệu về các cơ chế mã hóa có trong phần cứng không dây, các tính năng mã hóa mức hệ điều hành sẽ được giới thiệu trong các phần sau.
Không mã hóa
Ngay ở phần đầu của loạt bài này, chúng tôi đã đưa ra một câu hỏi rằng điều gì sẽ xảy ra nếu mạng không dây không được mã hóa. Sở dĩ chúng tôi đặt ra câu hỏi này là vì trong hầu hết các điểm truy cập, cấu hình các kết nối thường được đặt mặc định ở trạng thái không mã hóa.
Nếu sẽ sử dụng tính năng mã hóa mức hệ điều hành chẳng hạn như IPSec hoặc nếu sẽ sử dụng điểm truy cập để cung cấp truy cập Wi-Fi công cộng thì việc không mã hóa hay mã hóa không phải là vấn đề đáng lo. Tuy nhiên, trong các trường hợp khác, sử dụng một trong các tùy chọn mã hóa được giới thiệu dưới đây sẽ tốt hơn cho mạng của bạn.
WEP
WEP (Wired Equivalent Privacy) là thuật toán mã hóa đầu tiên của mạng không dây. Ngày nay, hầu hết các điểm truy cập không dây vẫn cung cấp cơ chế mã hóa WEP này, tuy nhiên mục đích của chúng chỉ để giải quyết một số vấn đề tương thích. Mã hóa WEP đã cho thấy có nhiều bất cập trong nhiều năm gần đây và hiện bị coi là thiếu an toàn.
WPA-PSK [TKIP]
WPA (Wi-Fi Protected Access) được thiết kế với tư cách một cơ chế để khắc phục những thiếu sót của WEP. Có một số dạng thức của WPA nhưng dạng thức được biết đến nhiều nhất là WPA-PSK, mã hóa sử dụng khóa tiền chia sẻ.
Một số dạng thức khác của WPA sử dụng giao thức có tên TKIP, đây là tên được viết tắt cho cụm từ Temporal Key Integrity Protocol. TKIP sẽ tạo ra khóa 128-bit cho mỗi một gói dữ liệu.
WPA2-PSK
WPA2-PSK là phiên bản kế tiếp của WPA. Mặc dù vẫn sử dụng khóa tiền chia sẻ nhưng WPA2 đã thay thế giao thức mã hóa TKIP bằng CCMP để tăng cường thêm độ bảo mật. CCMP dựa trên thuật toán Advanced Encryption Standard (AES) sử dụng 10 vòng mã hóa để tạo ra khóa 128-bit. WPA2 hiện là cơ chế mã hóa được ưu thích.
Vấn đề khác cần lưu tâm
Mặc dù mã hóa là cơ chế bảo mật chủ yếu trên bất cứ điểm truy cập không dây nào, nhưng có một điểm quan trọng chúng ta cần nhớ ở đây là, chỉ mã hóa sẽ không bảo mật bảo mật cho mạng không dây. Bảo mật toàn diện chỉ có thể đạt được bằng cách tiến hành phòng vệ theo chiều sâu, điều đó cũng có nghĩa rằng chúng ta phải lợi dụng hết các ưu điểm trong cơ chế bảo mật hiện có. Chúng tôi sẽ giới thiệu thêm một số cơ chế bảo mật khác có trong một số điểm truy cập.
Bản ghi
Nhiều điểm truy cập có khả năng cho phép ghi chép những gì diễn ra. Ví dụ, điểm truy cập mà chúng tôi sử dụng có cơ chế ghi chép, cho phép tạo entry bản ghi mỗi khi có một kết nối được thực hiện. Quan trọng hơn ở đây là điểm truy cập cho phép bạn biết nơi khởi nguồn kết nối (mạng chạy dây, mạng không dây hay Internet), địa chỉ IP của thiết bị muốn thực hiện kết nối, số cổng kết nối được thực hiện qua đó.
Các bản ghi trên điểm truy cập của chúng tôi cũng cho phép lần vết theo các đăng nhập muốn truy cập vào giao diện quản trị của điểm truy cập. Tính năng này cho phép chúng ta dễ dàng phát hiện ra các cố gắng truy cập không xác thực.
Danh sách đen
Một số điểm truy cập có kiểu danh sách đen khác nhau. Cho ví dụ, nhiều điểm truy cập cung cấp danh sách này để người dùng có thể sử dụng nó cho việc khóa chặn truy cập đến các website nào đó. Dù tính năng này được thiết kế với mục đích khóa chặn truy cập nội dung không tương thích nhưng bạn cũng có thể sử dụng danh sách đen như một cách ngăn chặn việc truy cập vô tình đến các website có chứa mã độc. Trong thực tế, có nhiều website cung cấp danh sách các site mã độc và chúng ta hoàn toàn có thể sử dụng danh sách như vậy kết hợp với tính năng danh sách đen của điểm truy cập để giảm lỗi do người dùng truy cập vào một site như vậy.
Dõ dàng danh sách đen không thể giải tất cả thông qua URL. Một số điểm truy cập còn cho phép người dùng có thể lập danh sách đen qua cổng và dịch vụ. Cho ví dụ, nếu chính sách bảo mật của công ty hạn chế sử dụng phần mềm thư tín điện tử thì bạn có thể sử dụng danh sách đen của điểm truy cập để khóa chặn lưu lượng thư tín tức thì. Bằng cách này, thậm chí người dùng có thể cài đặt phần mềm máy khách thư tín tức thì vào máy trạm thì máy khách này cũng vô tích sự.
Nếu quyết định sử dụng danh sách đen để ngăn chặn một số kiểu lưu lượng nào đó đi ngang qua mạng của bạn, cách tốt nhất lúc này là bạn nên sử dụng cả danh sách cổng và danh sách dịch vụ nếu có.
Cảnh báo
Một số điểm truy cập không dây cao cấp hơn còn có các cơ chế cảnh báo. Khi được sử dụng, cơ chế này sẽ là một tài sản quý giá cho việc bảo mật mạng không dây của bạn.
Ý tưởng cơ bản nằm phía sau hành động cảnh báo là, người dùng có thể định nghĩa một số điều kiện nào đó mà họ muốn biết. Các điều kiện này có thể bất kỳ. Cho ví dụ, bạn có thể muốn biết khi nào một người dùng cố gắng truy cập vào website bị chặn hoặc bạn có thể muốn biết thời điểm nào ai đó cố gắng đăng nhập vào giao diện quản trị. Một số điểm truy cập không dây thậm chí còn có thể được cấu hình để cảnh báo quản trị viên nếu có ai đó cố gắng kết nối với điểm truy cập bên ngoài giờ làm việc chính thức của doanh nghiệp.
Khi đã định nghĩa các điều kiện để tạo cảnh báo, bạn phải tự cấu hình cảnh báo của mình. Các tùy chọn cảnh báo trong mỗi điểm truy cập không dây rất khác nhau, tuy nhiên nhìn chung bạn có thể cấu hình điểm truy cập để nó có thể gửi email cho bạn khi có sự kiện xuất hiện.
Tín hiệu không dây
Một khía cạnh khác trong bảo mật không dây mà chúng tôi muốn đề cập ở đây có liên quan đến tín hiệu được tạo ra bởi điểm truy cập. Một số điểm truy cập cho phép người dùng điều chỉnh cường độ tín hiệu. Nếu điểm truy cập của bạn có tính năng như vậy thì việc bạn nên thực hiện là giảm cường độ tín hiệu để nó chỉ bao phủ ở một vùng nào đó mà bạn cần.
Việc kiểm soát được tín hiệu không dây sao cho phạm vi bao phủ của nó không vượt ra bên ngoài ngoại vi công ty là một hành động hết sức cần thiết. Cách thức này sẽ làm cho mạng của bạn trở nên an toàn hơn trước những nhòm ngó không thân thiện của ai đó ngoài đường phố.
Kết luận
Cho đến đây, chúng tôi đã giới thiệu được cho các bạn về một số khía cạnh bảo mật có trong phần cứng không dây. Tuy nhiên vấn đề bảo mật không chỉ nằm ở phần cứng mà thực sự còn có rất nhiều tính năng hữu hiệu nằm trong hệ điều hành Windows. Trong phần tiếp theo của loạt bài, chúng tôi sẽ giới thiệu cho các bạn các tính năng đó.