Mục tiờu của phần này là đưa ra cỏc phương phỏp mà một mạng khụng dõy WLAN cú thể trở nờn an toàn hơn, sử dụng cỏc giải phỏp bảo mật rất cơ bản
2.1 – Mỏy chủ cung cấp dịch vụ chứng thực từ xa RADIUS (Remote Authentication Dial-In User Service) Authentication Dial-In User Service)
Một vài access point đề nghị sử dụng cỏc mỏy chủ chứng thực từ xa RADIUS, yờu cầu cỏc người dựng muốn kết nối vào hệ thống mạng phải cung cấp một tài khoản đó được cấp phỏt trờn mỏy chủ. Cỏc thụng tin này sẽ được bảo vệ một cỏch chặt chẽ trong quỏ trỡnh gửi đi trờn mạng, làm giảm khả năng bị can thiệp.
Việc chứng thực người dựng cung cấp phương phỏp quản lý chớnh cho việc kiểm tra lại cỏc thụng tin về người dựng muốn truy cập vào mạng khụng dõy. Một mỏy chủ chứng thực từ xa RADIUS cung cấp chức năng này và
47
đồng thời cú khả năng xử lý việc chứng thực cho một mạng riờng ảo VPN. Một vài thao tỏc của mỏy chủ RADIUS cú thể cho phộp người dựng được chứng thực thụng qua hệ thống khoỏ số và cấm việc truy cập vào cỏc vựng chưa được cấp phộp cho người dựng, một số mỏy chủ RADIUS khỏc cũn cú khả năng quản lý theo ngày và giờ.
2.2 – Lọc địa chỉ MAC (Media Access Control)
Một vài điểm truy cập Access Point cú khả năng ngăn chặn truy cập đến một số thiết bị cú một định danh nào đú xỏc định, vớ dụ như địa chỉ MAC (Media Access Control). Một vài thiết bị Access Point cũng chứa một bảng cỏc địa chỉ MAC được phộp và khụng được phộp truy nhập, cho phộp người quản trị thiết bị xỏc định chớnh xỏc trạm từ xa nào cú thể được phộp sử dụng cỏc dịch vụ khụng dõy. Cỏc mỏy trạm được xem như là cú một địa chỉ MAC xỏc định của thiết bị kết nối mạng (card mạng), địa chỉ này là địa chỉ cứng, cú thể coi là duy nhất trờn toàn thế giới. Khi một mỏy trạm đề nghị truy nhập, access point kiểm tra xem địa chỉ MAC của mỏy đú cú được phộp vào mạng hay khụng, nếu khụng trong danh sỏch được phộp, cỏc yờu cầu đề nghị kết nối sẽ khụng được xem xột.
Tuy nhiờn, việc lọc địa chỉ MAC là rất tốn thời gian vỡ danh sỏch địa chỉ MAC cần được nhập vào một cỏch thủ cụng cho mỗi access point [4], và danh sỏch này cũng cần được cập nhật hàng ngày. Vỡ những lý do này, phương phỏp này phự hợp hơn với những mạng nhỏ, khi mả giải phỏp an ninh là kết hợp của việc sử dụng WEP 128 bit, lọc địa chỉ MAC và sử dụng SSID.
Với việc xõy dựng danh sỏch địa chỉ MAC được quyền truy nhập mạng, một tổ chức cú thể hạn chế khả năng truy nhập trỏi phộp của người tấn cụng ngay từ đầu. Tuy nhiờn, nếu số lượng cỏc người dựng khụng dõy là nhiều, sử dụng cỏc danh sỏch này dễ làm việc quản trị mạng trở nờn quỏ tải. Thờm vào đú, từ khi địa chỉ MAC của cỏc thiết bị mạng khụng dõy được
48
truyền đi mà khụng bị mó hoỏ, một kẻ nghe trộm cú thể giả mạo địa chỉ MAC này để tiến hành tấn cụng. Vỡ thế, cỏc địa chỉ MAC của tất cả cỏc card mạng nờn được đăng ký với người quản trị mạng LAN, và cỏc trạm cơ sở nờn được thiết lập để chỉ chấp nhận cỏc địa chỉ MAC đú.
Sử dụng một mỏy chủ RADIUS cú khả năng chứng thực kiểu EAP của Cisco, cú thể quản lý truy cập đến hệ thống mạng bằng cỏc địa chỉ MAC. Điều này cú thể là một gỏnh nặng được thờm vào cho việc quản trị mạng, nhưng là cần thiết để chống lại sự xõm nhập trỏi phộp và cỏc access point giả mạo, đặc biệt là từ khi rất nhiều cụng ty cho phộp việc mua bỏn cỏc thiết bị mạng được tiến hành bởi cỏc phũng ban hay thậm chớ là cỏ nhõn.
Một tiếp cận tới việc quản trị card mạng khụng dõy là cú người quản trị bảo mật ghi lại cỏc địa chỉ MAC của cỏc card mạng khụng dõy, cú nhõn viờn đọc và xỏc nhận chớnh sỏch bảo mật phự hợp, nhập địa chỉ MAC vào mỏy chủ chứng thực từ xa RADIUS, và cuối cựng đúng dấu một mó số xỏc nhận lờn cỏc card mạng này.
Giả mạo địa chỉ MAC
Cỏc nhà nghiờn cứu cho rằng việc lọc địa chỉ MAC khụng phải là phương phỏp đỏng tin cậy trong việc bảo mật một mạng khụng dõy vỡ cỏc địa chỉ MAC hợp lệ cú thể dễ dàng bị đỏnh cắp bởi người tấn cụng mạng bằng việc lấy cắp cỏc gúi tin nhỏ. Người này sau đú cú thể thay đổi địa chỉ MAC của họ thành địa chỉ này để chiếm quyền truy nhập hợp lệ. Mặc dự điều này là đỳng, nhưng cũng cần biết rằng, việc thay đổi địa chỉ MAC của một card mạng là một việc cực kỳ khú, đũi hỏi phải ghi lại thụng tin trong bộ nhớ của card mạng, núi túm lại, là một việc khụng đơn giản.
Một cỏch đơn giản hơn, người tấn cụng cú thể lấy được cỏc địa chỉ MAC được in ngay trờn cỏc sản phẩm khụng dõy, từ đú họ giả mạo và sử dụng nú để truy nhập hệ thống mạng. Điều này cũng cú thể làm được nhờ
49
việc sử dụng cỏc phần mềm cho phộp thay đổi địa chỉ MAC (đi kốm với một số loại card mạng nhất định). Việc chỉ quản lý được một số lượng hữu hạn cỏc địa chỉ MAC trong một access point cũng gõy ra những ảnh hưởng nhất định của phương phỏp này.
2.3- Giải phỏp SSID (Service Set Identify)
Cỏc nhà sản xuất thiết bị khụng dõy sử dụng một định danh mặc định SSID để xỏc định mạng cho cỏc client sử dụng mạng. Tất cả cỏc SSID cũng thường quảng bỏ địa chỉ SSID của nú để cung cấp cho khỏch hàng một danh sỏch cỏc mạng cú thể truy nhập được. Khụng may là cỏc SSID cũng se cho phộp một số lượng lớn người dựng khụng được phộp xỏc định được tờn cỏc mạng để tấn cụng. Nếu cỏc SSID sử dụng cỏc giỏ trị mặc định của nhà sản xuất, nú thường cú nghĩa là cỏc thiết lập khỏc (vớ dụ như mật khẩu để truy nhập đến access point) cũng cú thể là cỏc thụng số mặc định. Và người tấn cụng cú thể sử dụng kiến thức của mỡnh về cỏc access point để thử dũ tỡm và truy nhập vào hệ thống.
Vỡ thế, một phương phỏp rất đơn giản cho cỏc chớnh sỏch bảo mật là tắt chế độ quảng bỏ SSID cho access point, như vậy cỏc người dựng phải biết chớnh xỏc là mỡnh đang kết nối đến mạng nào và nhập tờn mạng một cỏch thủ cụng. Nếu cụng ty phải quảng bỏ định danh này, thỡ tốt nhất là thay đổi tờn mặc định của nú. Thờm vào đú, mọi thiết lập mặc định cũng nờn thay đổi để giảm bớt rủi ro của việc bị tấn cụng. Cỏc tớn hiệu vụ tuyến SSID nờn được thiết lập là cỏc giỏ trị duy nhất, và tờn của access point khụng nờn liờn quan đến cỏc thụng tin như tờn, sản phẩm, vựng làm việc, hay bất cứ thụng tin gỡ liờn quan đến cụng ty để cú thể gợi cho người tấn cụng những ý tưởng là họ đang tấn cụng vào cụng ty nào.
50
2.4 – Lựa chọn ăng ten
Ăng ten được sử dụng bởi một mang cú thể ảnh hưởng rất lớn đến an toàn của mạng khụng dõy. Cỏc mạng của doanh nghiệp và cơ sở đào tạo cú thể nờn trỏnh việc phủ súng theo mọi hướng, việc này chỉ nờn dành cho cỏc địa điểm cụng cộng như sõn bay, nhà ga, khỏch sạn… Hơn nữa, mọi tổ chức quan tõm đờn vấn đề bảo mật nờn chọn lựa hướng phủ súng, điều chỉnh ăng ten để quản lý được vết của súng radio.
Việc sử dụng cỏc cụng cụ kiểm tra độ mạnh của súng cú thể cú được những quyết định đỳng đắn trong trường hợp này là một ý hay, cỏc kỹ sư phụ trỏch cú thể kiểm tra và xỏc định độ mạnh yếu, từ đú tiến hành điều chỉnh ăng ten để ngăn chặn bớt việc rũ rỉ tớn hiệu ra bờn ngoài cỏc khu vực cụng cộng.
Đõy là một vài hướng dẫn để cài đặt cỏc ăng ten một cỏch hợp lý : - Nờn mời cỏc chuyờn gia về súng tư vấn vị trớ đặt ăngten và tiến hành
cài đặt
- Sử dụng cỏc cụng cụ của nhà phõn phối để xem độ mạnh của súng và giới hạn của súng tại cỏc vị trớ.
- Dự đoỏn nơi nào là nơi mà luồng tớn hiệu cú thể bị chặn bắt. Điều này sẽ rất cú ớch. Đảm bảo rằng việc dũ vết truy nhập nằm trong tầm kiểm soỏt. Nếu tớn hiệu cú thể dũ được bờn ngoài trụ sở, nờn thiết lập một camera giỏm sỏt để theo dỏi khu vực đú.
- Đặt vị trớ của ăng ten một cỏch chớnh xỏc, để giới hạn lượng tớn hiệu vừa đủ mạnh cho cỏc mỏy cần kết nối và đủ yếu để khụng bị rũ rỉ ra ngoài quỏ xa. Thờm vào đú, cú thể xõy dựng những hàng rào xớch, những hàng rào xớch này, nếu được đan xen với khoảng cỏch 0.5 inch (xấp xỉ 1.77 cm) sẽ trở thành một bức tường chặn súng tần số 2.4Ghz.
51