CHƯƠNG 3: MỘT SỐ VẤN ĐỀ BẢO MẬT VÀ NGĂN CHẶN SỰ TẤN CÔNG XÂM NHẬP MẠNG WLAN
3.4.3 Người sử dụng của các tổ chức/tập đoàn – Yêu cầu an ninh cao
Các mạng WLAN yêu cầu cùng một mức độ an ninh giống như người sử dụng hữu tuyến. Ngoài các khuyến nghị cho văn phòng nhỏ và người dùng ở xa (như ở trên), ở đây xem xét các yếu tố sau:
• Giám sát các điểm truy nhập bí mật. Thiết bị mạng Wi- Fi không có giá thành cao và dễ dàng khi cài đặt. Tận dụng các công cụ hỗ trợ vận hành để giám sát mạng một cách liên tục và kiểm tra các điểm truy nhập không tuân thủ các nguyên tắc về cấu hình. Một vài điểm truy nhập không tương ứng với các thiết lập an ninh xác định hầu như sẽ bị reset, hoặc nó có thể là một điểm truy nhập bí mật thiết lập bởi một hacker hoặc một người sử dụng không mong muốn kết hợp với các thông tin riêng. Các công cụ phát hiện xâm nhập trái phép có thể giúp nhận dạng sự xuất hiện của hacker, dựa trên các địa chỉ MAC hoặc các yếu tố khác.
• Các bộ điều khiển truy nhập: Các điểm truy nhập chỉ theo chuẩn 802.11 cho phép nhận thực không đầy đủ. Thực tế thì 802.11 chỉ thực hiện nhận thực một NIC vô tuyến tới một điểm truy nhập chứ không tới điểm nào khác xung quanh nó. Trong những trường hợp như vậy người ta xem xét sử dụng một bộ điều khiển truy nhập do các nhà sản xuất thiết bị cung cấp như là ReefEdge, Bluesocket, và Nomadix. Các thiết bị này cho phép khả năng điều khiển truy nhập chắc chắn vào mạng, trong khi thực hiện giao diện với các server nhận thực như RADIUS. Các bộ điều khiển truy nhập cho phép điều khiển từng phần khi thực hiện đối với một số lượng lớn người sử dụng và điểm truy nhập.
• Nhận thực: Tích hợp các mạng WLAN vào trong có chế nhận thực ở các tổ chức lớn, sử dụng RADIUS hoặc LDAP. EAP có thể áp dụng cho quá trình nhận thực các giao thức thích hợp đối với mỗi người dùng, phụ thuộc vào các yếu tố an ninh riêng biệt. 802.1x cho phép điều khiển truy nhập thực hiện trên cổng và quá trình nhận thực hai chiều giữa khách hàng và điểm truy nhập thông qua một server nhận thực (RADIUS). Các mật khẩu và tên người sử dụng có thể được mã hoá hoặc các chứng chỉ số có thể được sử dụng để nâng cao khả năng nhận thực.
• Điều khiển sóng vô tuyến: Tối thiểu hoá quá trình truyền sóng vô tuyến trong các khu vực không có người sử dụng như các khu vực đỗ xe hay các khu vực lân cận văn phòng. Thử nghiệm các anten để tránh các vùng phủ bên ngoài các biên giới điều khiển về mặt vật lý trong điều kiện thuật lợi. Nếu có thể, không đặt các điểm truy nhập tại biên của khu vực nhà ở hay văn phòng. Một vài bộ điều khiển truy nhập có thể làm giảm công suất điểm truy nhập.
• Phân mảnh: Cách làm hiệu quả là đưa các điểm truy nhập vào một DMZ, và làm cho người sử dụng vô tuyến tạo đường ống ở trong mạng dùng một mạng VPN. Hạn chế các đặc quyền của người sử dụng mạng Wi- Fi khi thích hợp. Để bảo vệ chống lại những kẻ xâm nhập trái phép truy nhập vào các tài nguyên thông tin của tổ chức đảm bảo rằng các điểm truy nhập mạng WLAN không bị thay đổi bên ngoài tường lửa. Thiết lập cấu hình cho tường lửa để cho phép truy nhập đối với người sử dụng hợp lệ dựa trên các địa chỉ MAC, làm cho các hacker khó khăn hơn khi tấn công vào mạng.
• DHCP: Theo mặc định hầu hết các mạng Wi- Fi sử dụng DHCP để tự động gán các địa chỉ IP cho các thiết bị người dùng. Tuy nhiên, DHCP không tạo ra khác biệt giữa người sử dụng và hacker. Với một nhận dạng SSID đúng, bất cứ ai thực hiện giao thức DHCP sẽ thu được địa chỉ IP một cách tự động và trở thành một nút xác thực trong mạng. Khi không kích hoạt DHCP và gán các địa chỉ IP tĩnh tới tất cả người sử dụng vô tuyến, các nhà quản trị mạng có thể tối thiểu hoá khả năng một hacker thu được địa chỉ
IP có hiệu lực. Cũng như vậy ở đây cũng xem xét việc thay đổi địa chỉ IP của mạng con. Nhiều router vô tuyến nhận giá trị mặc đinh 192.168.0.1, và sử dụng các địa chỉ tương tự như là router mặc định. Việc thay đổi địa chỉ mạng con xiết chặt khả năng an ninh của mạng.