Quản trị mạng – Việc bảo mật cho một mạng không dây phải xuất phát từ nhiều góc độ. Mã hóa có thể giúp bạn ngăn chặn những người dùng trái phép kết nối vào mạng Wi-Fi nhưng cách thức này vẫn thực sự không hiệu quả nếu người dùng trái phép này đột nhập vào bên trong tòa nhà công ty của bạn. Thêm vào đó khóa mã hóa có thể bị bẻ, khi đó hệ thống bảo mật của bạn coi như không. Mặc dù vậy dù nói thế nào đi chăng nữa thì mã hóa vẫn là một lớp bảo mật quan trọng nhất cho các mạng không dây, chính vì vậy bạn cần sử dụng thêm các biện pháp khác để tăng thêm nhiều lớp bảo mật có thể.
Các mẹo trong bài mà chúng tôi giới thiệu sẽ mô tả một số kỹ thuật và phương pháp để bảo vệ mạng Wi-Fi trong các doanh nghiệp nhỏ.
Sử dụng mã hóa WPA – tốt hơn là WPA2
Phương pháp mã hóa Wired Equivalent Privacy (WEP) được sử dụng từ lâu và dần cho thấy có một số hạn chế trong việc bảo mật Wi-Fi. Trong một số trường hợp các khóa của phương pháp mã hóa này có thể bị bẻ một cách dễ dàng và nhanh chóng. Chính vì vậy bạn nên sử dụng phương pháp mã hóa tiên tiến Wi-Fi Protected Access (WPA hoặc WPA2).
Phiên bản WPA đầu tiên, phiên bản sử dụng thuật toán Temporal Key Integrity Protocol (TKIP), cũng đã bị tấn công nhiều trong thời gian gần đây. Mặc dù vậy, những điểm yếu của WPA không tồi tệ như WEP và sử dụng những mật khẩu mạnh có thể trợ giúp thêm. Tuy nhiên, nếu các máy tính và thiết bị mạng trong doanh nghiệp bạn hỗ trợ cho WPA2 với thuật toán Advanced Encryption Standard (AES), hãy sử dụng công nghệ mới này.
Sử dụng phiên bản Enterprise của WPA/WPA2
Để ngăn không cho các nhân viên thấy các khóa mã hóa hoặc mật khẩu và không phải load chúng trên máy tính của họ, bạn hãy sử dụng phiên bản Enterprise của WPA hoặc WPA2 thay cho phiên bản Pre Shared Key (PSK) hoặc phiên bản sử dụng cá nhân. Bên cạnh đó trong trường hợp một nhân viên rời công ty, anh ta chắc chắn sẽ vẫn có khóa để mở mạng công ty bạn. Ngoài ra, laptop của họ cũng có thể bị đánh cắp và kẻ trộm đánh cắp chiếc laptop đó sẽ có thể biết được khóa. Chính vì vậy bạn cần thay đổi các thiết lập mã hóa, tuy nhiên đó là một việc làm khó. Trong trường hợp này hãy sử dụng WPA/WPA2-Enterprise để ẩn các khóa mã hóa thực; chương trình cũng không bao giờ load chúng vào các máy tính. Sau khi mọi thứ được cấu hình, người dùng đăng nhập vào mạng bằng username và password đã được thay đổi hoặc thu hồi.
WPA/WPA2-Enterprise yêu cầu một máy chủ RADIUS, đây là máy chủ dùng để quản lý các tài khoản người dùng. Bạn có thể sử dụng các dòng máy chủ RADIUS chuyên sử dụng trong các doanh nghiệp nhỏ như Elektron và ClearBox với giá thành khoảng 600$ đến 700$. Để tiết kiệm chi phí, bạn có thể chọn một dịch vụ cáu hình các máy chủ chẳng hạn như WiTopia, dịch vụ này có giá khoảng 99$ mỗi năm. Một tùy chọn khác là mua một điểm truy cập có một máy chủ RADIUS đi kèm như NWA-3160 của ZyXEL với giá khoảng 140$.
Bảo mật các cổng Ethernet
Mặc dù có thể sử dụng cộng nghệ mã hóa Wi-Fi mới nhất nhưng cũng vẫn là vô tác dụng nếu ai đó sử dụng các cổng Ethernet ngay trong tòa nhà công ty của bạn để truy cập vào mạng. Thêm vào đó, một số nhân viên cũng có thể vô tình cắm AP (điểm truy cập) của họ vào một cổng để tạo một điểm truy cập không dây vào mạng nội bộ của bạn qua cổng Ethernet này. Để hạn chế những tình huống như vậy, bạn cần phải bảo đảm rằng tất cả các Router, AP và các thiết bị mạng đều được ẩn và được bảo vệ an toàn.
Để bảo vệ an toàn hơn cho các mạng chạy dây, bạn có thể sử dụng cơ chế thẩm định 802.1X nếu biết các thiết bị lớp doanh nghiệp của mình có hỗ trợ nó. Việc sử dụng cách thức lọc địa chỉ MAC cũng có thể giúp bạn ngăn chặn những người dùng trái phép truy cập vào mạng. Mặc dù vậy, cả hai biện pháp trên đều không ẩn được lưu lượng trước những kẻ truy cập trộm vào các mạng chạy dây – xem các mẹo tiếp theo.
Sử dụng mã hóa mở rộng (VPN)
Để mã hóa mạng chạy dây và tăng độ mã hóa cho mạng Wi-Fi, bạn có thể sử dụng các VPN bằng cách mua một máy chủ VPN chuẩn, cài đặt phần mềm máy chủ trên một máy tính hay có thể mua một dịch vụ. Mỗi một máy tính trên mạng đều có thể được cấu hình để kết nối với máy chủ VPN. Khi đó lưu lượng của người dùng trên phía mạng chạy dây sẽ được mã hóa an toàn hơn.
Không kết nối với các mạng khác
Do các máy tính có thể đang chia sẻ các file hoặc có chứa dữ liệu nhạy cảm trong chúng nên bạn cần tránh kết nối chúng với các mạng khác. Kiểm tra Windows để bảo đảm rằng nó không được thiết lập để tự động kết nối đến các mạng có sẵn. Trong Vista, bạn có thể sử dụng các lệnh WLAN cho tiện ích Netsh để khóa tất cả các mạng trừ mạng của bạn. Điều này sẽ ngăn chặn tình trạng nhân viên trong công ty vô tình kết nối đến các mạng gần đó.
Tách biệt lưu lượng giữa các VLAN
Việc chia mạng của bạn thành những mạng ảo riêng (VLAN) sẽ tạo được sự bảo mật bên trong. Với cách thức này, bạn có thể kiểm soát tốt hơn tài nguyên và lưu lượng mạng mà các nhân viên có thể truy cập và nhận được. Có thể thiết lập sao cho nhân viên thông thường sẽ không thể mở được các file được chia sẻ trên các máy tính của nhân viên quản lý. Thêm vào đó, nếu một nhân viên kiểm tra lưu lượng mạng với ý đồ xấu thì nhân viên này chỉ thấy được lưu lượng trên mạng ảo của riêng họ. VLAN cũng có thể cung cấp tính năng bảo mật mở rộng khi người dùng trái phép có thể đột nhập được vào VLAN. Thêm vào đó, nếu ai đó muốn tăng quyền truy cập trái phép, người này cũng chỉ có thể truy cập đến một phần mạng nào đó trong toàn bộ hệ thống mạng của công ty.
Bảo mật các thư mục chia sẻ và các thiết bị NAS
Để kiểm soát chính xác các file và tài nguyên mà người dùng có thể truy cập, bạn cần thẩm định các điều khoản chia sẻ thư mục và các điều khoản NTFS của file và thư mục. Thêm vào đó, cấu hình các thiết lập chia sẻ cho bất cứ thiết bị drive mạng hoặc NAS nào (network attached storage). Cấu hình các thiết lập trợ giúp nhằm ngăn chặn người dùng không xác thực truy cập vào các file.
Thẩm định tường lửa
Để bảo vệ mạng của bạn trên Internet hay các tấn công nội bộ cũng như sự xâm nhập trái phép, bạn thường phải sử dụng tường lửa trên các máy tính và trên Router mạng của mình. Các cổng chỉ nên mở khi cần thiết. Để tăng thêm độ bảo mật, bạn có thể định nghĩa phạm vi địa chỉ IP có thể sử dụng cho các cổng.
Sử dụng lọc địa chỉ MAC
Mặc dù các hacker Wi-Fi có thể dễ dàng đánh lừa địa chỉ MAC của các adapter mạng, tuy nhiên nếu sử dụng lọc địa chỉ bạn có thể bổ sung thêm một lớp bảo mật nữa cho hệ thống của mình.
Vô hiệu hóa việc quảng bá SSID
Không quảng bá tên mạng sẽ làm cho hacker Wi-Fi mất nhiều thời gian hơn trong việc phát hiện ra mạng của bạn, đây cũng là một cách tăng thêm lớp bảo mật cho hệ thống của bạn. Tuy nhiên bạn cần biết rằng SSID vẫn có thể truy tìm và bị phát hiện trong một khoảng thời gian nào đó bằng một số công cụ. Thêm vào đó là việc ẩn SSID có thể gây ra một số vấn đề, chẳng hạn như nó có thể gây ra một số vấn đề về kết nối.
Nâng cấp kịp thời
Việc bảo vệ mạng và các máy tính của bạn yêu cầu một số hoạt động bảo trì bảo dưỡng. Bạn cần kiểm tra một cách định kỳ các nâng cấp về phần mềm cho các Router, các điểm truy cập và các thành phần khác. Tuy nhiên bên cạnh đó bạn cũng cần kiểm tra các adapter mạng được tích hợp trong các máy tính và nâng cấp driver mới nhất cho chúng nếu có. Thêm vào đó cần phải bảo đảm rằng các hệ điều hành trên tất cả các máy tính cần phải được cập nhật một cách kịp thời với các bản vá lỗi. Duy trì được những công việc trên bạn sẽ tránh được những hiểm họa từ các lỗi hổng trong phần mềm cũng như phần cứng hệ thống và bổ sung thêm khả năng hỗ trợ bảo mật từ những tính năng mới.
Kiểm soát vùng bao phủ của sóng điện từ
Nếu có thể khóa tín hiệu vô tuyến đến và đi trong một phạm vi nào đó của tòa nhà thì bạn sẽ không phải lo lắng về việc những kẻ tấn công Wi-Fi hay những kẻ truy cập trộm vào hệ thống của bạn ở phía ngoài toàn nhà công ty. Mặc dù điều này khó thực hiện trong thực tế nhưng bạn cũng nên có gắng giảm lượng tín hiệu vô tuyến lọt ra ngoài. Giữa việc định vị lại các AP và điều chỉnh mức công suất của chúng, bạn có thể cho phép tín hiệu của mình bao phủ trong một vùng nào đó thuộc tầm kiểm soát của mình.