, An ninh trong thực tế Một cách tổng quát, để có sự thoả hiệp giữa khả năng an ninh và giá thành sản phẩm, hiệu năng và cách sử dụng đơn giản. Mạng có an ninh tốt hơn thì chi phí thực hiện sẽ lớn hơn, có khả năng là khó khăn hơn khi sử dụng và lo ngại về hiệu năng mạng thấp hơn. Trong khi mỗi môi trường có những đòi hỏi nhất định về mức độ an ninh ở đây xem xét các khuyến nghị như sau đây. D1, Home and SOHO – (Khu vực nhà ở và văn phòng nhỏ) – Yêu cầu an ninh mức thấp Đối với người sử dụng trong phạm vi nhà ở và văn phòng nhỏ chi phí triển khai mạng là một vấn đề, người sử dụng có các server nhận thực trung tâm hoặc các thành phần hạ tầng trung tâm khác. Họ thường không có nguồn tài nguyên thông tin nào khả dụng. Các việc làm sau đây cho phép bảo vệ an ninh cấp 1: • Phần mềm: Cập nhật các NIC và các điểm truy nhập tới phần mềm gần đây nhất. Khởi động khi mua thiết bị và kiểm tra thường xuyên. • Kích hoạt WEP: Thiết lập kích thước khoá mật mã cao nhất có thể được. Trong khi vẫn tồn tại các điểm yếu thì đối với các hacker mức trung bình việc bẻ gãy WEP là tương đối khó khăn – nhất là trong các môi trường mà lưu lượng truyền tải thấp. • Thay đổi tên mặc định SSID thành một tên duy nhất. Không sử dụng các tên gọi có gợi ý như tên đường phố hay địa chỉ, công ty hay nhà riêng. • Không kích hoạt SSID quảng bá: Windows XP và các công cụ giám sát khác sẽ tự động dò tìm các khung đèn hiệu 802.11 để thu được SSID. Khi quá trình quảng bá SSID bị ngắt, điểm truy nhập sẽ không chứa SSID trong một khung đèn hiệu làm cho hầu hết các công cụ dò tìm trở nên vô dụng. • Lọc địa chỉ MAC: Một vài điểm truy nhập có khả năng chấp nhận các kết nối chỉ đối với các địa chỉ MAC đáng tin cậy là các địa chỉ duy nhất trên mạng (không trùng khớp nhau). Thực hiện điều này là rất khó khăn trong một mối trường động với hơn 20 người sử dụng do việc thiết lập điểm truy nhập rất mất thời gian đối với tất cả các khách hàng tin cậy. Tuy nhiên, nó có thể được thiết lập một cách đơn giản trong môi trường nhà ở và môi trường văn phòng nhỏ SOHO. • Các tường lửa cho các mạng LAN hữu tuyến: Bảo vệ các file trên cùng một mạng LAN sử dụng phần mềm hoặc tường lửa phần cứng để cô lập một mạng WLAN và giữ chúng tránh xa người sử dụng không được phép. • Sử dụng WPA khi khả dụng. Hầu hết các nhà cung cấp thiết bị sử dụng WPA thông qua quá trình nâng cấp phần mềm. D2, Văn phòng nhỏ và người dùng ở xa – Yêu cầu an ninh mức độ trung bình Các văn phòng nhỏ và người dùng ở xa có thể là một phần của một tổ chức lớn hơn. Đảm bảo an ninh thông tin là vấn đề quan trọng và phải cân bằng với năng suất tổng và số liệu lớn hơn những người sử dụng. • Phần mềm: Cập nhật NIC vì các điểm truy nhập tới phần mềm gần nhất. Khởi động khi mua thiết bị và kiểm tra thường xuyên. • Kích hoạt WEP: Thiết lập kích thước khoá mã hoá cao nhât có thẻ được. Trong khi vẫn tồn tại những điểm yếu thì đối với các hacker mức trung bình việc bẻ gãy WEP vẫn còn khó khăn nhất là trong các môi trường lưu lượng dữ liệu thấp. • VPN: Trong trường hợp có thể được sử dụng các điểm truy nhập kích hoạt IPSec hoặc các tường lửa mà chúng có thể thiết lập các đường ống VPN từ người dùng đầu cuối tới điểm truy nhập. Phần mềm VPN cho phép quá trình nhận thực và mã hoá hiệu quả hơn trong mạng công cộng bao gồm các thành phần vô tuyến và hữu tuyến. • Sử dụng WPA khi có thể. • Các điểm truy nhập: Gán các mật khẩu hữu ích cho các điểm truy nhập, thay đổi mật khẩu mặc định của nhà sản xuất. Chúng rất phổ biến nên người sử dụng có thể dễ dàng thay đổi các tham số cấu hình ở điểm truy nhập để thuận lợi khi sử dụng. • Đảm bảo các mật khẩu được mã hoá trước khi truyền qua mạng. Khi gửi mật khẩu tới người sử dụng, sử dụng một chương trình tương tự như PGP để đảm bảo rằng các mật khẩu không bao giờ được gửi đi một cách rõ ràng để có thể hiểu được bởi người sử dụng khác. • Một cài điểm truy nhập sẽ trở lại các thiết lập mặc định (không có khả năng đảm bảo an ninh) khi có một ai đó nhấn vào nút “reset” ở điểm truy nhập. Điều này làm cho điểm truy nhập dễ bị tấn công bởi các hacker, khi đó các hacker có thể mở rộng tầm với của họ vào trong mạng. • Ch phép khả năng an ninh tương ứng đối với phần cứng điểm truy nhập D3, Người sử dụng của các tổ chức/tập đoàn – Yêu cầu an ninh mức cao Các mạng WLAN yêu cầu cùng một mức độ an ninh giống như người sử dụng hữu tuyến. Ngoài các khuyến nghị cho văn phòng nhỏ và người dùng ở xa (như ở trên), ở đây xem xét các yếu tố sau: • Giám sát các điểm truy nhập bí mật. Thiết bị mạng WLAN không có giá thành cao và dễ dàng khi cài đặt. Tận dụng các công cụ hỗ trợ vận hành để giám sát mạng một cách liên tục và kiểm tra các điểm truy nhập không tuân thủ các nguyên tắc về cấu hình. Một vài điểm truy nhập không tương ứng với các thiết lập an ninh xác định hầu như sẽ bị reset, hoặc nó có thể là một điểm truy nhập bí mật thiết lập bởi một hacker hoặc một người sử dụng không mong muốn kết hợp với các thông tin riêng. Các công cụ phát hiện xâm nhập trái phép có thể giúp nhận dạng sự xuất hiện của hacker, dựa trên các địa chỉ MAC hoặc các yếu tố khác. • Các bộ điều khiển truy nhập: Các điểm truy nhập chỉ theo chuẩn 802.11 cho phép nhận thực không đầy đủ. Thực tế thì 802.11 chỉ thực hiện nhận thực một NIC vô tuyến tới một điểm truy nhập chứ không tới điểm nào khác xung quanh nó. Trong những trường hợp như vậy người ta xem xét sử dụng một bộ điều khiển truy nhập do các nhà sản xuất thiết bị cung cấp như là ReefEdge, Bluesocket, và Nomadix. Các thiết bị này cho phép khả năng điều khiển truy nhập chắc chắn vào mạng, trong khi thực hiện giao diện với các server nhận thực như RADIUS. Các bộ điều khiển truy nhập cho phép điều khiển từng phần khi thực hiện đối với một số lượng lớn người sử dụng và điểm truy nhập. • Nhận thực: Tích hợp các mạng WLAN vào trong có chế nhận thực ở các tổ chức lớn, sử dụng RADIUS hoặc LDAP. EAP có thể áp dụng cho quá trình nhận thực các giao thức thích hợp đối với mỗi người dùng, phụ thuộc vào các yếu tố an ninh riêng biệt. 802.1x cho phép điều khiển truy nhập thực hiện trên cổng và quá trình nhận thực hai chiều giữa khách hàng và điểm truy nhập thông qua một server nhận thực (RADIUS). Các mật khẩu và tên người sử dụng có thể được mã hoá hoặc các chứng chỉ số có thể được sử dụng để nâng cao khả năng nhận thực. • Điều khiển sóng vô tuyến: Tối thiểu hoá quá trình truyền sóng vô tuyến trong các khu vực không có người sử dụng như các khu vực đỗ xe hay các khu vực lân cận văn phòng. Thử nghiệm các anten để tránh các vùng phủ bên ngoài các biên giới điều khiển về mặt vật lý trong điều kiện thuật lợi. Nếu có thể, không đặt các điểm truy nhập tại biên của khu vực nhà ở hay văn phòng. Một vài bộ điều khiển truy nhập có thể làm giảm công suất điểm truy nhập. • Phân mảnh: Cách làm hiệu quả là đưa các điểm truy nhập vào một DMZ, và làm cho người sử dụng vô tuyến tạo đường ống ở trong mạng dùng một mạng VPN. Hạn chế các đặc quyền của người sử dụng mạng WLAN khi thích hợp. Để bảo vệ chống lại những kẻ xâm nhập trái phép truy nhập vào các tài nguyên thông tin của tổ chức đảm bảo rằng các điểm truy nhập mạng WLAN không bị thay đổi bên ngoài tường lửa. Thiết lập cấu hình cho tường lửa để cho phép truy nhập đối với người sử dụng hợp lệ dựa trên các địa chỉ MAC, làm cho các hacker khó khăn hơn khi tấn công vào mạng. • DHCP: Theo mặc định hầu hết các mạng WLAN sử dụng DHCP để tự động gán các địa chỉ IP cho các thiết bị người dùng. Tuy nhiên, DHCP không tạo ra khác biệt giữa người sử dụng và hacker. Với một nhận dạng SSID đúng, bất cứ ai thực hiện giao thức DHCP sẽ thu được địa chỉ IP một cách tự động và trở thành một nút xác thực trong mạng. Khi không kích hoạt DHCP và gán các địa chỉ IP tĩnh tới tất cả người sử dụng vô tuyến, các nhà quản trị mạng có thể tối thiểu hoá khả năng một hacker thu được địa chỉ IP có hiệu lực. Cũng như vậy ở đây cũng xem xét việc thay đổi địa chỉ IP của mạng con. Nhiều router vô tuyến nhận giá trị mặc đinh 192.168.0.1, và sử dụng các địa chỉ tương tự như là router mặc định. Việc thay đổi địa chỉ mạng con xiết chặt khả năng an ninh của mạng. D4, An ninh truy nhập công cộng Sự thuận lợi của các điểm “hot spot” – điểm truy nhập mức độ cao là khó hạn chế - người sử dụng có thể kiểm tra thư điện tử trong khi ở hàng cafe hoặc đệ trình các bản báo cáo khi ở sân bay. Nhưng một số lượng lớn các điển “hot spot” công cộng không có bất cứ có chế an ninh nào ngoại trừ việc biết được đối tượng để gửi đi các hoá đơn thanh toán. Rất nhiều người sử dụng trong vùng truy nhập công cộng gặp phải rủi ro tại sân bay hay các hàng cafe mò tìm dữ liệu của họ sử dụng các công cụ Network Neighborhood của các hệ điều hành Microsoft Windows. Những kẻ dò tìm có thể phát hiện các gói tin vô tuyến không được mã hoá và xác định được tên người sử dụng và mật khẩu để sử dụng sau này. Các công nhân trong doanh nghiệp di dộng sử dụng một kết nối mạng VPN nếu họ có ý định sử dụng một dịch vụ mạng WLAN truy nhập công cộng để xâm nhập vào cơ sở dữ liệu của một tổ chức hay server thư điện tử. Một tường lửa cá nhân cũng có thể được thiết lập để hạn chế nghe trộm từ những người sử dụng trên cùng một mạng công cộng. Các nhà cung cấp điểm truy nhập hot spot và các nhà chế tạo Wi-Fi đang làm việc để khắc phục các vấn đề an ninh bằng cách sử dụng các công nghệ được thiết kế để bảo vệ người sử dụng vô tuyến chống lại việc ngăn chặn thông tin và nghe trộm ở các điểm truy nhập hot spot công cộng. Chẳng hạn, một vài nhà cung cấp đường truy nhập đang liên kết lại sự phân tách ở lớp 2 mà điều này ngăn không cho người sử dụng ở hàng cafe truy nhập vào các máy tính xách tay của một người khác. . An ninh trong thực tế Một cách tổng quát, để có sự thoả hiệp giữa khả năng an ninh và giá thành sản phẩm, hiệu năng và cách sử dụng đơn giản. Mạng có an. nhận thực không đầy đủ. Thực tế thì 802.11 chỉ thực hiện nhận thực một NIC vô tuyến tới một điểm truy nhập chứ không tới điểm nào khác xung quanh nó. Trong