Các mạng WLAN yêu cầu cùng một mức độ an ninh giống như người sử dụng
hữu tuyến. Ngoài các khuyến nghị cho văn phòng nhỏ và người dùng ở xa (như ở
trên), ở đây xem xét các yếu tố sau:
Giám sát các điểm truy nhập bí mật. Thiết bị mạng Wi- Fi không có giá thành cao và dễ dàng khi cài đặt. Tận dụng các công cụ hỗ trợ vận hành để giám sát
mạng một cách liên tục và kiểm tra các điểm truy nhập không tuân thủ các nguyên tắc
về cấu hình. Một vài điểm truy nhập không tương ứng với các thiết lập an ninh xác định hầu như sẽ bị reset, hoặc nó có thể là một điểm truy nhập bí mật thiết lập bởi một
hacker hoặc một người sử dụng không mong muốn kết hợp với các thông tin riêng. Các công cụ phát hiện xâm nhập trái phép có thể giúp nhận dạng sự xuất hiện của
Nguyễn Thị Huyền_ K49Đ- HTVT 58
Các bộ điều khiển truy nhập: Các điểm truy nhập chỉ theo chuẩn 802.11
cho phép nhận thực không đầy đủ. Thực tế thì 802.11 chỉ thực hiện nhận thực một NIC
vô tuyến tới một điểm truy nhập chứ không tới điểm nào khác xung quanh nó. Trong những trường hợp như vậy người ta xem xét sử dụng một bộ điều khiển truy nhập do
các nhà sản xuất thiết bị cung cấp như là ReefEdge, Bluesocket, và Nomadix. Các thiết
bị này cho phép khả năng điều khiển truy nhập chắc chắn vào mạng, trong khi thực
hiện giao diện với các server nhận thực như RADIUS. Các bộ điều khiển truy nhập cho phép điều khiển từng phần khi thực hiện đối với một số lượng lớn người sử dụng và điểm truy nhập.
Nhận thực: Tích hợp các mạng WLAN vào trong có chế nhận thực ở các
tổ chức lớn, sử dụng RADIUS hoặc LDAP. EAP có thể áp dụng cho quá trình nhận
thực các giao thức thích hợp đối với mỗi người dùng, phụ thuộc vào các yếu tố an ninh
riêng biệt. 802.1x cho phép điều khiển truy nhập thực hiện trên cổng và quá trình nhận
thực hai chiều giữa khách hàng và điểm truy nhập thông qua một server nhận thực
(RADIUS). Các mật khẩu và tên người sử dụng có thể được mã hoá hoặc các chứng
chỉ số có thể được sử dụng để nâng cao khả năng nhận thực.
Điều khiển sóng vô tuyến: Tối thiểu hoá quá trình truyền sóng vô tuyến
trong các khu vực không có người sử dụng như các khu vực đỗ xe hay các khu vực lân
cận văn phòng. Thử nghiệm các anten để tránh các vùng phủ bên ngoài các biên giới điều khiển về mặt vật lý trong điều kiện thuật lợi. Nếu có thể, không đặt các điểm truy
nhập tại biên của khu vực nhà ở hay văn phòng. Một vài bộ điều khiển truy nhập có
thể làm giảm công suất điểm truy nhập.
Phân mảnh: Cách làm hiệu quả là đưa các điểm truy nhập vào một DMZ, và làm cho người sử dụng vô tuyến tạo đường ống ở trong mạng dùng một mạng VPN.
Hạn chế các đặc quyền của người sử dụng mạng Wi- Fi khi thích hợp. Để bảo vệ
chống lại những kẻ xâm nhập trái phép truy nhập vào các tài nguyên thông tin của tổ
chức đảm bảo rằng các điểm truy nhập mạng WLAN không bị thay đổi bên ngoài
tường lửa. Thiết lập cấu hình cho tường lửa để cho phép truy nhập đối với người sử
dụng hợp lệ dựa trên các địa chỉ MAC, làm cho các hacker khó khăn hơn khi tấn công
vào mạng.
DHCP: Theo mặc định hầu hết các mạng Wi- Fi sử dụng DHCP để tự động gán các địa chỉ IP cho các thiết bị người dùng. Tuy nhiên, DHCP không tạo ra
khác biệt giữa người sử dụng và hacker. Với một nhận dạng SSID đúng, bất cứ ai thực
hiện giao thức DHCP sẽ thu được địa chỉ IP một cách tự động và trở thành một nút xác
thực trong mạng. Khi không kích hoạt DHCP và gán các địa chỉ IP tĩnh tới tất cả người
Nguyễn Thị Huyền_ K49Đ- HTVT 59
được địa chỉ IP có hiệu lực. Cũng như vậy ở đây cũng xem xét việc thay đổi địa chỉ IP
của mạng con. Nhiều router vô tuyến nhận giá trị mặc đinh 192.168.0.1, và sử dụng các địa chỉ tương tự như là router mặc định. Việc thay đổi địa chỉ mạng con xiết chặt
khả năng an ninh của mạng.