Phòng ngừa virus trong các mạng WLAN của doanh nghiệp

Trước khi các mạng LAN vô tuyến (WLANs) trở nên phổ biến, cách thức duy nhất mà các loại virus và sâu có thể xâm nhập vào các hệ thông máy tính của các tổ chức doanh nghiệp đó là thông qua các phương tiện có khả năng di dời như đĩa mềm hoặc qua các mạng ngoại vi được bảo đảm bởi một chuỗi các hệ thống phòng vệ phức tạp gồm tường lửa, bộ lọc thư điện tử và các công cụ phòng chống virus.

Việc sử dụng các đĩa mềm và các phương tiện có thể di chuyển đã giảm, còn thư điện tử có gắn file đã trở thành kênh thông tin được ưa chuộng để truyền các file. Với kết quả đó, trong một mạng hữu tuyến kết nối, có nhiều dữ liệu chứa những tiềm ẩn nguy hại được đưa vào doanh nghiệp qua mạng ngoại vi-nơi mà các dữ liệu này bị phát hiện và khoá.

Các mạng WLAN tạo cơ sở nền tảng bảo vệ phạm vi mạng. Những người sử dụng vô tuyến chủ yếu là di động. Họ đã đưa máy tính của mình truy nhập vào nhiều mạng khác. Trong đó có những mạng được quản lý tốt và bảo vệ, một số mạng khác thì không được quản lý và bảo mật tốt. Các máy tính không được bảo mật này có thể đã bị nhiễm virus mà người sử dụng không biết. Khi những người sử dụng kết nối vào mạng doanh nghiệp vào mạng nôi bộ, họ sẽ mang những loại virus và sâu vào mạng. Nếu mạng không ổn định, các loại virus và sâu sẽ tấn công các hệ thống IT bên trong và tấn công mạng, vượt qua các lớp bảo vệ bên trong mạng.

Thông thường các loại virus và sâu sử dụng lưu lượng TCP/IP để tạo bản sao của chúng trong 1 mạng và thực hiện các cuộc tấn công. Các phiên bản của chúng được gửi ồ ạt qua các thông báo giao thức điều khiển Internet để xác định các thiết bị nội vùng khác. Và đó là những lỗ hổng để virus và sâu có thể tấn công. Cơ sở hạ tầng WLAN chuẩn (các điểm truy nhập, các thẻ mạng, máy chủ RADIUS) không có ý nghĩa trong việc xác định và ngăn chặn lưu lượng này: lưu lượng vô tuyến, nguy hại hay không nguy hại từ phía người sử dụng có quyền xác thực là rất đơn giản khi đi qua mạng hữu tuyến.

Nhu cầu bảo mật bên trong

Để ngăn cản các loại virus và sâu, điều khiển bảo mật cần được xây dựng tại biên vô tuyến, vì vậy các lưu lượng TCP/IP nguy hại sẽ bị ngăn cản trước khi chúng có thể lây lan sang các thiết bị khác. Để bổ sung phạm vi bảo mật bên trong có nhiệm vụ bảo vệ mạng hữu tuyến, các doanh nghiệp cần phải tạo ra một phạm vi bảo mật bên trong để bảo vệ các mạng WLAN của mình.

Một giải pháp là phải triển khai các công nghệ bảo mật WLAN - là những công cụ mạng được thiết kế để bảo đảm, quản lý, và cấp nguồn mạng cho các WLAN. Hoạt động tại biên vô tuyến, giữa các điểm truy nhập và các thiết bị ngược tuyến khác, các cổng bảo mật WLAN bảo vệ các mạng tránh khỏi các cuộc tấn công thực hiện từ các thiết bị vô tuyến.

Các cổng này phải thực hiện 3 yêu cầu chủ yếu sau :

1. Điều khiển khả năng lọc gói chính xác để khoá hoặc tái định tuyến lưu lượng. Các cổng này bao gồm các điều khiển lọc gói chính xác để có thể phân biệt lưu lượng nguy hại từ các lưu lượng chính thống và thực hiện việc khoá hoặc tái định tuyến lưu lượng nguy hại. Người quản trị mạng có thể đọc được một mẩu tin báo hiệu mô tả bảo mật các đặc điểm của virus hoặc sâu và sau đó sẽ xác định chính xác bộ lọc là nơi có lưu lượng chứa virus hoặc sâu. Bộ lọc này sẽ khoá các lưu lượng nguy hại mà không làm ảnh hưởng tới các lưu lượng chính thống. Bằng việc phát hiện và khoá các lưu lượng có chứac các loại sâu hay virus các khả năng lọc của một cổng bảo mật WLAN còn có khả năng ngăn chặn các cuộc tấn công qua không khí.

2. Lọc tại biên vô tuyến để quản lý lưu lượng giữa các thiết bị
Để ngăn chặn một cuộc tấn công, bộ lọc gói phải thực hiện ở biên vô tuyến càng gần với điểm truy nhập càng tốt. Để bảo vệ tối ưu mạng, các cổng bảo mật WLAN cần được cài đặt giữa các điểm truy nhập và các thiết bị mạng mạng luồng ngược (luồng lên) kế tiếp.

3. Các công cụ kiểm tra và ghi nhật ký phiên để xác định các máy tính nhiễm virus và tăng tốc độ sửa chữa. Các cổng bảo mật WLAN còn hỗ trợ công cụ ghi nhật ký và kiểm tra để giúp người quản trị sửa chữa các cuộc tấn công khi đã được ngăn chặn. Với việc duy trì nhật ký phiên đầy đủ về lưu lượng mạng và theo dõi dữ liệu lưu lượng lớp 3, các cổng bảo mật WLAN tạo thuận lợi xác định những người sử dụng có máy tính bị nhiễm virus và các địa chỉ MAC của các máy tính đó. Sử dụng thông tin này những người quản trị có thể liên lạc trực tiếp với người sử dụng và bắt đầu thực hiện việc làm sạch các máy tính bị nhiễm virus.

Quản lý chính sách (bảo mật) tập trung

Một giải pháp chia tầng được kết hợp với các cổng bảo mật WLAN ở biên vô tuyến với một máy chủ bảo mật đặt ở trung tâm sẽ cung cấp những thuận lợi mới để các nhà quản trị mạng chống lại các loại virus và sâu. Với việc cung cấp điều khiển tập trung qua bộ lọc, máy chủ bảo mật trung tâm cho phép các nhà quản trị xác định mmọt cơ chế bảo mật có thể tác động hiệu quả xuyên suốt mạng. Máy chủ bảo mật tự động phân bổ các bộ lọc tới các cổng bảo mật WLAN, hỗ trợ trực tiếp khả năng bảo vệ tại tất cả các điểm truy nhập trên mạng. Việc tập trung hoá đồng thời sẽ giảm cả lao động nhân công và mức độ lỗi.

Máy chủ bảo mật trung tâm có thể quản lý các tài khoản người sử dụng và nhóm người sử dụng đối với những người sử dụng vô tuyến. Các nhà quản trị có thể sử dụng các đặc điểm quản lý nhóm của máy chủ để xác định nhóm một người sử dụng đặc biệt có máy tính bị nhiễm virus. Đặc điểm của nhóm sẽ gồm việc tái định tuyến người sử dụng tới một trang web với những thông tin làm thế nào để cài đặt các phần nâng cấp bảo mật và loại bỏ sự lây nhiễm. Với việc ấn định người sử dụng tạm thời có máy tính bị nhiễm virus vào nhóm này, các nhà quản trị có thể bảo đảm những người sử dụng có máy vi tính bị nhiễm sẽ nhận được thông tin mà họ cần vào lần kế tiếp khi họ đăng nhập vào. Và qua đó các nhà quản trị có thể xác minh được các máy tính bị nhiễm virus đã được làm sạch, nhà quản trị có thể chuyển những người sử dụng khỏi nhóm này và hồi phục các quyền truy nhập thông thường.

Ngoài ra để có thể ngăn chặn các cuộc tấn công đặc biệt, các cổng bảo mật WLAN còn hỗ trợ các đặc tính quản lý và bảo mật khác cho mạng WLAN của doanh nghiệp gồm:

• Điều khiển truy nhập mang tính cơ bản
• Hỗ trợ một loạt các công nghệ xác thực như : RADIUS và WPA
• Hỗ trợ các công nghệ mã hoá chuẩn như IPSec và
• Chống lập địa chỉ và các đặc điểm khác để bảo vệ sự xâm nhập lưu lượng và chặn lưu lượng