Bảo mật lưu lượng mạng không dây – Phần 4 Quản trị mạng – Trong phần tiếp theo của loạt bài này, chúng tôi s ẽ giới thiệu cho các bạn một số cơ chế bảo mật có trong phần cứng không dây. Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn v ề tầm quan trọng của SSID của một điểm truy cập không dây, bên cạnh đó là l ọc địa chỉ MAC. Trong phần này, chúng tôi sẽ giới thiệu một số tính năng bảo mật thường có b ên trong các điểm truy cập không dây. Ở đây có một điểm cần lưu ý là không ph ải tất cả các điểm truy cập không dây đều có các tính năng được giới thiệu ở đây. Mã hóa Khi đề cập đến việc bảo mật các mạng không dây, một tính năng bảo mật dư ờng như thu hút nhiều mối quan tâm nhất l à mã hóa. Chính vì lý do này mà chúng tôi muốn bắt đầu bằng cách cung cấp cho các bạn một số thông tin cơ b ản về một số tùy chọn mã hóa nói chung. Lưu ý ở đây chúng tôi chỉ giới thiệu về các cơ chế m ã hóa có trong phần cứng không dây, các tính năng mã hóa mức hệ điều hành s ẽ được giới thiệu trong các phần sau. Không mã hóa Ngay ở phần đầu của loạt bài này, chúng tôi đã đưa ra một câu hỏi rằng điều gì s ẽ xảy ra nếu mạng không dây không được mã hóa. Sở dĩ chúng tôi đặt ra câu hỏi n ày là vì trong hầu hết các điểm truy cập, cấu hình các kết nối thường đư ợc đặt mặc định ở trạng thái không mã hóa. N ếu sẽ sử dụng tính năng mã hóa mức hệ điều hành chẳng hạn như IPSec ho ặc nếu sẽ sử dụng điểm truy cập để cung cấp truy cập Wi-Fi công cộng thì việc không m ã hóa hay mã hóa không phải là vấn đề đáng lo. Tuy nhiên, trong các trường h ợp khác, sử dụng một trong các tùy chọn mã hóa được giới thiệu dưới đây sẽ tốt h ơn cho mạng của bạn. WEP WEP (Wired Equivalent Privacy) là thuật toán mã hóa đầu tiên c ủa mạng không dây. Ngày nay, hầu hết các điểm truy cập không dây vẫn cung cấp cơ chế mã hóa WEP này, tuy nhiên mục đích của chúng chỉ để giải quyết một số vấn đề t ương thích. Mã hóa WEP đã cho thấy có nhiều bất cập trong nhiều năm gần đây và hi ện bị coi là thiếu an toàn. WPA-PSK [TKIP] WPA (Wi-Fi Protected Access) được thiết kế với tư cách một cơ ch ế để khắc phục những thiếu sót của WEP. Có một số dạng thức của WPA nhưng dạng thức đư ợc biết đến nhiều nhất là WPA-PSK, mã hóa sử dụng khóa tiền chia sẻ. Một số dạng thức khác của WPA sử dụng giao thức có tên TKIP, đây là tên đư ợc viết tắt cho cụm từ Temporal Key Integrity Protocol. TKIP sẽ tạo ra khóa 128- bit cho mỗi một gói dữ liệu. WPA2-PSK WPA2-PSK là phiên bản kế tiếp của WPA. Mặc dù v ẫn sử dụng khóa tiền chia sẻ nhưng WPA2 đã thay thế giao thức mã hóa TKIP bằng CCMP để tăng cường th êm độ bảo mật. CCMP dựa trên thu ật toán Advanced Encryption Standard (AES) sử dụng 10 vòng mã hóa để tạo ra khóa 128-bit. WPA2 hiện là cơ chế mã hóa đư ợc ưu thích. Vấn đề khác cần lưu tâm Mặc dù mã hóa là cơ chế bảo mật chủ yếu trên b ất cứ điểm truy cập không dây nào, nhưng có một điểm quan trọng chúng ta cần nhớ ở đây là, chỉ mã hóa s ẽ không bảo mật bảo mật cho mạng không dây. Bảo mật toàn di ện chỉ có thể đạt được bằng cách tiến hành phòng v ệ theo chiều sâu, điều đó cũng có nghĩa rằng chúng ta phải lợi dụng hết các ưu điểm trong cơ ch ế bảo mật hiện có. Chúng tôi sẽ giới thiệu thêm một số cơ chế bảo mật khác có trong một số điểm truy cập. Bản ghi Nhi ều điểm truy cập có khả năng cho phép ghi chép những gì di ễn ra. Ví dụ, điểm truy cập mà chúng tôi sử dụng có cơ chế ghi chép, cho phép t ạo entry bản ghi mỗi khi có một kết nối được thực hiện. Quan trọng hơn ở đây là đi ểm truy cập cho phép bạn biết nơi kh ởi nguồn kết nối (mạng chạy dây, mạng không dây hay Internet), địa chỉ IP của thiết bị muốn thực hiện kết nối, số cổng kết nối đư ợc thực hiện qua đó. Các bản ghi trên điểm truy c ập của chúng tôi cũng cho phép lần vết theo các đăng nhập muốn truy cập vào giao diện quản trị của điểm truy cập. Tính năng n ày cho phép chúng ta dễ dàng phát hiện ra các cố gắng truy cập không xác thực. Danh sách đen Một số điểm truy cập có kiểu danh sách đen khác nhau. Cho ví d ụ, nhiều điểm truy cập cung cấp danh sách này để người dùng có th ể sử dụng nó cho việc khóa chặn truy cập đến các website nào đó. Dù tính năng này đư ợc thiết kế với mục đích khóa chặn truy cập nội dung không tương thích nhưng bạn c ũng có thể sử dụng danh sách đen như một cách ngăn chặn việc truy cập vô tình đến các website có chứa m ã độc. Trong thực tế, có nhiều website cung cấp danh sách các site mã độc v à chúng ta hoàn toàn có thể sử dụng danh sách như vậy kết hợp với tính năng d anh sách đen của điểm truy cập để giảm lỗi do người dùng truy cập vào một site như vậy. Dõ dàng danh sách đen không th ể giải tất cả thông qua URL. Một số điểm truy cập còn cho phép người dùng có thể lập danh sách đen qua cổng và d ịch vụ. Cho ví dụ, nếu chính sách bảo mật của công ty hạn chế sử dụng phần mềm thư tín điện tử th ì bạn có thể sử dụng danh sách đen của điểm truy cập để khóa chặn lưu lượng th ư tín tức thì. Bằng cách này, thậm chí người dùng có thể cài đ ặt phần mềm máy khách thư tín tức thì vào máy trạm thì máy khách này cũng vô tích sự. N ếu quyết định sử dụng danh sách đen để ngăn chặn một số kiểu lưu lượng n ào đó đi ngang qua mạng của bạn, cách tốt nhất lúc này là bạn nên s ử dụng cả danh sách cổng và danh sách dịch vụ nếu có. Cảnh báo Một số điểm truy cập không dây cao cấp hơn còn có các cơ ch ế cảnh báo. Khi được sử dụng, cơ chế này sẽ là một tài s ản quý giá cho việc bảo mật mạng không dây của bạn. Ý tưởng cơ bản nằm phía sau hành động cảnh báo là, người dùng có th ể định nghĩa một số điều kiện nào đó mà họ muốn biết. Các điều kiện này có th ể bất kỳ. Cho ví dụ, bạn có thể muốn biết khi nào một người dùng cố gắng truy cập vào website b ị chặn hoặc bạn có thể muốn biết thời điểm nào ai đó cố gắng đăng nhập v ào giao diện quản trị. Một số điểm truy cập không dây thậm chí còn có thể được cấu h ình để cảnh báo quản trị viên nếu có ai đó cố gắng kết nối với điểm truy cập b ên ngoài giờ làm việc chính thức của doanh nghiệp. Khi đã định nghĩa các điều kiện để tạo cảnh báo, bạn phải tự cấu hình c ảnh báo của mình. Các tùy ch ọn cảnh báo trong mỗi điểm truy cập không dây rất khác nhau, tuy nhiên nhìn chung bạn có thể cấu hình đi ểm truy cập để nó có thể gửi email cho bạn khi có sự kiện xuất hiện. Tín hiệu không dây Một khía cạnh khác trong bảo mật không dây mà chúng tôi mu ốn đề cập ở đây có liên quan đến tín hiệu đư ợc tạo ra bởi điểm truy cập. Một số điểm truy cập cho phép người dùng điều chỉnh cư ờng độ tín hiệu. Nếu điểm truy cập của bạn có tính năng như vậy thì việc bạn nên thực hiện là giảm cường độ tín hiệu để nó ch ỉ bao phủ ở một vùng nào đó mà bạn cần. Việc kiểm soát đư ợc tín hiệu không dây sao cho phạm vi bao phủ của nó không vượt ra bên ngoài ngoại vi công ty là một hành đ ộng hết sức cần thiết. Cách thức này sẽ làm cho mạng của bạn trở nên an toàn hơn trước những nhòm ngó không thân thiện của ai đó ngoài đường phố. Kết luận Cho đến đây, chúng tôi đã giới thiệu đư ợc cho các bạn về một số khía cạnh bảo mật có trong phần cứng không dây. Tuy nhiên v ấn đề bảo mật không chỉ nằm ở phần cứng mà thực sự còn có rất nhiều tính năng hữu hiệu nằm trong hệ điều h ành Windows. Trong phần tiếp theo của loạt bài, chúng tôi s ẽ giới thiệu cho các bạn các tính năng đó. Văn Linh (Theo Windowsnetworking) . Bảo mật lưu lượng mạng không dây – Phần 4 Quản trị mạng – Trong phần tiếp theo của loạt bài này, chúng tôi s ẽ giới thiệu cho các bạn một số cơ chế bảo mật có trong phần cứng không dây. . cơ chế bảo mật chủ yếu trên b ất cứ điểm truy cập không dây nào, nhưng có một điểm quan trọng chúng ta cần nhớ ở đây là, chỉ mã hóa s ẽ không bảo mật bảo mật cho mạng không dây. Bảo mật toàn. giới thiệu một số tính năng bảo mật thường có b ên trong các điểm truy cập không dây. Ở đây có một điểm cần lưu ý là không ph ải tất cả các điểm truy cập không dây đều có các tính năng được