(Bảo mật mạng Wi-Fi giúp ngăn chặn người lạ mặt truy cập trái phép vào hệ thống mạng nội bộ.)
Bảo mật mạng Wi-Fi cĩ thể xem như việc gắn ổ khĩa vào cửa, cách trao chìa khĩa vào nhà đúng người.
Để minh họa, chúng tơi đưa ra ví dụ thiết lập bảo mật cho modem/router ADSL của CISCO: LINKSYS WAG120N. Đây là một trong những thiết bị cĩ đầy đủ các chế độ mã hĩa mạnh nhất và các thiết lập bảo mật mạng Wi-Fi cho cả người dùng cá nhân, gia đình lẫn doanh nghiệp.
Hình 33: Hình minh họa CISCO 1
Trước tiên, bạn cần thay đổi tài khoản đăng nhập mặc định (username và password: admin) của LINKSYS WAG120N vì nếu tin tặc biết tài khoản đăng nhập mặc định, họ cĩ thể truy cập vào thiết bị dễ dàng và thay đổi các thơng số thiết lập trên đĩ. Bạn vào mục Administration.Management, nhấn chọn ơ Modem Router User Name để đổi tên, chọn ơ Modem Router Password để đổi mật khẩu và nhập lại mật khẩu đăng nhập lần nữa vào ơ Re-Enter to Confirm, sau đĩ nhấn Save Settings để lưu các thiết lập.
72
Hình 34: Hình ảnh minh họa CISCO 2
Tiếp theo là phần khá quan trọng trong thiết lập bảo mật mạng Wi- Fi. Hiện nay, hầu hết các modem/router Wi-Fi đều hỗ trợ chế độ bảo mật WPA2/WPA/WEP, trong đĩ WPA2 là chế độ bảo mật cao nhất, sau đĩ là WPA và cuối cùng là WEP - WPA/WPA2 dùng khĩa mã hĩa động (thay đổi theo thời gian định trước - mặc định là 3600 giây). Lời khuyên là bạn nên dùng mức bảo mật cao nhất mà thiết bị hỗ trợ để đảm bảo an tồn dữ liệu truyền qua mạng Wi- Fi.
Trên LINKSYS WAG120N, vào mục Wireless.Wireless Security, chọn Security Mode là WPA2-Personal (thiết lập được đề nghị cho người dùng cá nhân, gia đình. Với doanh nghiệp cĩ máy chủ xác thực Radius, nên chọn WPA2-Enterprise), tiếp theo chọn mã hĩa TKIP or AES, và đặt khĩa từ 8-63 ký tự trong ơ Pre-Shared Key (bạn sẽ cung cấp khĩa này cho những ai được phép truy cập vào mạng Wi-Fi của mình), nhấn Save Settings để lưu các thiết lập.
Để tăng cường thêm khả năng bảo mật cho mạng Wi-Fi, bạn cĩ thể thiết lập lọc truy cập mạng Wi-Fi theo địa chỉ MAC (Media Access Control). Địa chỉ MAC là dãy số và ký tự duy nhất trên mỗi thiết bị mạng
Từ lúc này, để truy cập vào LINKSYS WAG120N, bạn cần đăng nhập với tài khoản mới thay đổi ở trên. Tiếp theo, bạn cần ẩn và thay đổi tên mạng Wi-Fi mặc định (SSID) - mặc định SSID sẽ được modem/router Wi-Fi phát quảng bá và bất kỳ ai cũng cĩ thể “nhìn thấy”, nên việc ẩn và thay đổi SSID là bước cần thiết trong bảo mật mạng Wi-Fi (Bạn chỉ nên ẩn tên mạng Wi-
73
Fi nếu chỉ muốn cho một vài người trong gia đình/cơng ty sử dụng, cịn trong trường hợp bạn thường xuyên cĩ khách cần sử dụng Wi-Fi thì chỉ cần đổi tên mạng Wi-Fi mặc định là đủ).
Vào mục Wireless.Basic Wireless Settings, chuyển mục Wireless Configuration từ Wi-Fi Protected Setup sang Manual, sau đĩ thay đổi tên SSID trong phần Network Name (SSID), chọn Disable trong mục SSID Broadcast rồi nhấn Save Settings . Lúc này, các thiết bị máy khách kết nối khơng dây (client): máy tính xách tay (MTXT), card mạng khơng dây, điện thoại di động, netbook... sẽ khơng thể phát hiện ra tên mạng của bạn. Để client truy cập mạng Wi-Fi, bạn cần cung cấp SSID và nhập thủ cơng trên mỗi máy.
Việc lọc địa chỉ MAC giúp bạn xác định cụ thể máy tính nào được phép/khơng được phép truy cập mạng Wi-Fi. Vào mục Wireless.Wireless MAC Filter, chọn Enable, chọn Permit. Nếu các client đã truy cập vào mạng Wi-Fi, bạn cĩ thể nhấn ngay nút Wireless Client List để ghi nhận các địa chỉ MAC, cịn khơng thì bạn nhập thủ cơng từng địa chỉ MAC các client mà bạn cho phép truy cập. Sau đĩ nhấn Save Settings để lưu các thiết lập.
Ngồi ra, LINKSYS cịn đem đến cho người dùng tính năng hỗ trợ thiết lập nhanh kết nối bảo mật mạng Wi-Fi rất hữu ích: Wi-Fi Protected Setup. Nếu client hỗ trợ Wi-Fi Protected Setup, trên modem/router LINKSYS WAG120N, vào phần Wireless.Basic Wireless Settings, chọn Wi-Fi Protected Setup rồi nhấn Save Settings, sau đĩ thực hiện thiết lập nhanh kết nối bảo mật mạng Wi-Fi trên client:
74
Hình 35: Hình ảnh minh họa CISCO 3
- Nếu client cĩ nút Wi-Fi Protected Setup, nhấn nút này; sau đĩ trên WAG120N nhấn vào biểu tượng trong mục 1 phần Wireless.Basic Wireless Settings hoặc nhấn nút ở mặt trước modem/router.
- Nếu client cĩ số PIN Wi-Fi Protected Setup thì nhập số PIN này vào mục 2 và nhấn nút Register trong phần Basic Wireless Settings của WAG120N.
- Nếu client yêu cầu số PIN của modem/router, hãy nhập dãy số ở mục 3 trên WAG120N vào client.
Việc bảo mật mạng Wi-Fi giúp ngăn chặn người lạ mặt truy cập trái phép vào hệ thống mạng nội bộ. Với tất cả các sản phẩm modem/router Wi-Fi, access point của CISCO như LINKSYS WRT610N, LINKSYS WRT320N, LINKSYS WAP610N, LINKSYS WRT160NL, LINKSYS WRT160N, LINKSYS WRT120N, LINKSYS WAG160N... bạn đều cĩ thể thực hiện các thiết lập bảo mật Wi-Fi tương tự như trên.
Các chế độ bảo mật của thiết bị Wifi thƣờng cĩ:
* Wired Equivalency Privacy (WEP) sử dụng cơng nghệ mã hĩa 64 bit hoặc 128 bit. Mã hĩa 128 bit an tồn hơn. Những ai muốn sử dụng mạng đã
75
được kích hoạt WEP đều phải biết khĩa WEP, khĩa này thường là mật khẩu dạng dãy số.
* WiFi Protected Access (WPA) là một bước tiến của WEP và hiện giờ là một phần của giao thức mạng bảo mật khơng dây 802.11i. Nĩ sử dụng giao thức mã hĩa tồn bộ bằng một khĩa tạm thời. Giống như WEP, bảo mật WPA cũng phải đăng nhập bằng một mật khẩu. Hầu hết các điểm truy cập khơng dây cơng cộng hoặc là mở hồn tồn hoặc bảo mật bằng WPA hay WEP 128 bit.
* Media Access Control (MAC) bảo mật bằng cách lọc địa chỉ của máy tính. Nĩ khơng dùng mật khẩu đối với người sử dụng, nĩ căn cứ vào phần cứng vật lý của máy tính. Mỗi một máy tính đều cĩ riêng một địa chỉ MAC độc nhất. Việc lọc địa chỉ MAC chỉ cho phép những máy đã đăng ký mới được quyền truy cập mạng. Cần đăng ký địa chỉ của máy tính khi thiết lập trong router.
Mã hĩa Wired Equivalent Privacy (WEP) là một kiểu mã ngày nay khơng cịn an tồn. Chuẩn bảo mật cho mạng LAN khơng dây đầu tiên, được phát triển bởi IEEE, đã xuất hiện lỗ hổng cho phép các kẻ tấn cơng cĩ thể bẻ khĩa.
Năm 2003, Hiệp hội Wi-Fi đã phát hành một chuẩn bảo mật khác mang tên Wi-Fi Protected Access. Mặc dù phiên bản đầu tiên (WPA), phiên bản sử dụng mã hĩa TKIP/RC4, đã gây cho các kẻ tấn cơng đơi chút thất vọng, nhưng nĩ vẫn khơng được coi là an tồn.
Trong phiên bản thứ hai (WPA2), được phát hành vào giữa năm 2004, khả năng bảo mật đã được cải thiện khá tốt với thực thi chuẩn bảo mật IEEE 802.11i và mã hĩa CCMP/AES.
Cĩ 2 chế độ rất khác nhau trong truy cập một mạng Wi-Fi đƣợc bảo vệ (Wi-Fi Protected Access) , và cách chuyển từ chế độ Personal sang chế độ Enterprise:
76
Cả hai phiên bản của Wi-Fi Protected Access (WPA/WPA2) đều cĩ thể được thực thi trong hai chế độ:
Chế độ Personal hoặc Pre-Shared Key (PSK): Chế độ này thích hợp với hầu hết các mạng gia đình – khơng thích hợp với các mạng doanh nghiệp. Bạn cĩ thể định nghĩa mật khẩu mã hĩa trên router khơng dây và các điểm truy cập (AP) khác. Sau đĩ mật khẩu phải được nhập vào bởi người dùng khi kết nối với mạng Wi-Fi.
Mặc dù chế độ này dường như rất dễ thực thi, nhưng nĩ khơng thể bảo đảm an tồn cho mạng doanh nghiệp. Khơng giống như chế độ Enterprise, truy cập khơng dây khơng mang tính riêng biệt hoặc cĩ thể quản lý tập trung. Một mật khẩu được áp dụng cho tất cả người dùng. Nếu mật khẩu tồn cục cần phải thay đổi thì nĩ phải được thay đổi trên tất cả các AP và máy tính. Điều này sẽ gây ra rất nhiều khĩ khăn khi bạn cần thay đổi; cho ví dụ, khi một nhân viên nào đĩ rời cơng ty hoặc, khi cĩ máy tính nào đĩ bị mất cắp hoặc bị thỏa hiệp.
Khơng giống như chế độ Enterprise, mật khẩu mã hĩa được lưu trên các máy tính. Mặc dù vậy, bất cứ ai trên máy tính – dù là nhân viên hay tội phạm – cũng đều cĩ thể kết nối với mạng và cũng cĩ thể khơi phục được mật khẩu mã hĩa.
Chế độ Enterprise (EAP/RADIUS): Chế độ này cung cấp khả năng bảo mật cần thiết cho các mạng khơng dây trong các mơi trường doanh nghiệp. Mặc dù phức tạp trong thiết lập, nhưng chế độ bảo mật này cung cấp khả năng điều khiển tập trung và phân biệt trong việc truy cập mạng Wi-Fi. Người dùng được gán các thơng tin đăng nhập mà họ cần phải nhập vào khi kết nối với mạng, các thơng tin đăng nhập này cĩ thể được thay đổi hoặc thu hồi bởi các quản trị viên bất cứ lúc nào.
Người dùng khơng cần quan tâm đến các khĩa mã hĩa thực sự. Chúng được tạo một cách an tồn và được gán trên mỗi session người dùng trong chế độ background sau khi một người dùng nào đĩ nhập vào các chứng chỉ đăng nhập của họ. Điều này sẽ tránh được việc ai đĩ cĩ thể khơi phục lại khĩa mạng từ các máy tính.
77
Giới thiệu thẩm định 802.1X và các máy chủ RADIUS
Phương pháp thẩm định được sử dụng để thẩm định các thơng tin người dùng (và máy chủ) trên các mạng WPA/WPA2-Enterprise được định nghĩa theo chuẩn IEEE 802.1X. Cách thức thẩm định này yêu cầu một máy chủ ngồi, vẫn được gọi là máy chủ Remote Authentication Dial In User Service (RADIUS) hoặc Authentication, Authorization, và Accounting (AAA), được sử dụng cho một loạt các giao thức mạng và các mơi trường cĩ chứa ISP.
Một máy chủ RADIUS cần phải hiểu ngơn ngữ Extensible Authentication Protocol (EAP) và cĩ thể truyền thơng với các AP khơng dây, ám chỉ như các máy khách RADIUS hoặc các bộ thẩm định. Máy chủ RADIUS về bản chất sẽ phục vụ như một máy trung gian giữa các AP và dữ liệu người dùng. Để từ đĩ các AP cĩ thể truyền thơng trực tiếp với máy khách 802.1X, cũng được nĩi đến như một 802.1X Supplicant, trên máy tính hoặc thiết bị của người dùng.
Thẩm định 802.1X khơng dựa trên port. Điều này cĩ nghĩa khi ai đĩ cố gắng kết nối đến một mạng doanh nghiệp được bảo vệ, sự truyền thơng sẽ được phép qua một cổng ảo để truyền tải các thơng tin đăng nhập. Nếu quá trình thẩm định thành cơng, các khĩa mã hĩa sẽ được gửi đi một cách an tồn và người dùng lúc này sẽ được trao quyền truy cập hồn tồn.
Máy chủ thẩm định (Authentication)
Cĩ một số cách bạn cĩ thể cĩ được một máy chủ thẩm định 802.1X:
FreeRADIUS: Đây là một trong những máy chủ AAA phổ biến nhất trên thế giới. Dù nĩ là một dự án mã nguồn mở, miễn phí, nhưng máy chủ này cĩ nhiều điểm khá tiến bộ. Nĩ cĩ sẵn cho các nền tảng khác nhau, gồm cĩ Linux, Mac OS X, và Windows. Mặc định, bạn thay đổi các thiết lập này trong file cấu hình.
78
Windows Server: Nếu đã thiết lập một Windows Server, bạn cĩ thể sử dụng một Internet Authentication Service (IAS) cĩ trong Windows Server 2003 hoặc Network Policy Server (NPS) trong Windows Server 2008. Outsourced Services: Các dịch vụ hosting, chẳng hạn như AuthenticateMyWiFi, là một trong những cách khá hay cho những ai khơng muốn đầu tư nhiều tiền của hoặc thời gian vào việc thiết lập một máy chủ RADIUS, cĩ nhiều văn phịng, hoặc khơng cĩ chuyên mơn kỹ thuật sâu. Các dịch vụ này cĩ thể cung cấp nhiều chức năng bổ sung cho các máy chủ RADIUS truyền thống.
Cho ví dụ, các AP khơng phải kết nối trực tiếp với Internet; chúng cĩ thể được đặt phía sau các router NAT hoặc gateway, cho phép bạn cĩ thể gán một bí mật duy nhất nào đĩ cho mỗi AP. Các dịch vụ này cũng cĩ panel điều khiển trên web, do dĩ người dùng cĩ thể dễ dàng cấu hình các thiết lập thẩm định.
Các ƣu điểm khác của EAP
Bộ ĩc phía sau cơ chế thẩm định 802.1X chính là Extensible Authentication Protocol (EAP). Cĩ khá nhiều ưu điểm khác của EAP. Nên sử dụng những tính năng nào trong mỗi tổ chức là hồn tồn phụ thuộc vào mức bảo mật mong muốn, cũng như sự phức tạp ở một mức độ nào đĩ và các chi tiết kỹ thuật server/client.
Đây là các kiểu phổ biến nhất:
PEAP (Protected EAP): Đây là một trong các phương pháp EAP phổ biến nhất và dễ thực thi. Nĩ cĩ thể thẩm định người dùng thơng qua username và password mà họ nhập vào khi kết nối với mạng. Máy chủ thẩm định cũng cĩ thể được hợp lệ hĩa trong suốt quá trình thẩm định PEAP khi một chứng chỉ SSl được cài đặt trên máy chủ. Kiểu này được hỗ trợ mặc định trong Windows.
79
TLS (Transport Layer Security): Là một trong những kiểu bảo mật an tồn nhất, tuy nhiên lại khá phức tạp trong vấn đề thực thi và bảo trì. Quá trình hợp lệ hĩa máy chủ và khách đều cần được thực hiện thơng qua chứng chỉ SSL. Thay vì phải cung cấp username và password khi kết nối, các thiết bị của người dùng hoặc các máy tính phải được load file chứng chỉ SSL vào máy khách 802.1X của nĩ.
Các quản trị viên cĩ thể kiểm sốt Certificate Authority (CA) và quản lý các chứng chỉ máy khách, điều này cho phép họ cĩ nhiều quyền kiểm sốt, nhưng cũng yêu cầu nhiều thời gian quản trị hơn.
TTLS (Tunneled TLS): Một phiên bản được cải tiến của TLS, khơng yêu cầu chứng chỉ bảo mật phía máy khách, vấn đề này đã giảm được sự phức tạp trong việc quản lý mạng. Mặc dù vậy, kiểu EAP này khơng cĩ sự hỗ trợ nguyên bản trong Windows; nĩ cần đến một máy khách thứ ba như SecureW2.
Cơ chế thẩm định 802.1X làm cho mã hĩa WPA/WPA2-Enterprise trở thành một cách cĩ thể bảo mật các mạng Wi-Fi trong doanh nghiệp. Ngồi ra các bạn cũng biết được rằng để thực hiện chúng, ta cần cĩ máy chủ thẩm định và PEAP, TLS, và TTLS là các kiểu EAP phổ biến.
Đây là một số mẹo cĩ thể giúp bạn với các bƣớc tiếp theo:
Tìm và chọn một máy chủ RADIUS hoặc dịch vụ outsource.
Thiết lập một máy chủ RADIUS với các thiết lập EAP, AP và người dùng. Cấu hình các AP với các thơng tin mã hĩa và máy chủ RADIUS.
Cấu hình Windows (hoặc hệ điều hành khác) với các thiết lập mã hĩa và 802.1X.
80
Đối với mạng WiFi lớn, tầm xa, nhà cung cấp dịch vụ phải triển khai giải pháp hotsport hỗ trợ quản lý băng thơng, kiểm sốt truy cập và tính cước, nhà quản trị cĩ thể lựa chọn nhiều giải pháp phần cứng hoặc phần mềm.
Dưới đây, giới thiệu một số giải pháp hotspot gateway (gọi tắt hotspot), giúp nhà quản trị quản lý kết nối truy cập khơng dây theo thời gian, kiểm sốt băng thơng theo người dùng và cĩ thể tính phí truy cập theo nhu cầu sử dụng.
Cứng hay mềm
Hotspot cĩ 2 dạng: phần mềm hoặc phần cứng. Hostpot phần mềm cĩ các tính năng như phân hạn mức băng thơng cho người dùng, kiểm sốt truy cập theo thời gian và cĩ thể tính phí truy cập theo tài khoản; đặc biệt nĩ khơng địi hỏi phải cài đặt phần mềm cho máy khách (client) như các các phần mềm quản lý phịng net hay Internet cafe khác. Hotspot phần cứng ngồi các tính năng như phần mềm, nĩ cịn là một AP. Người dùng trước khi truy cập Internet (cĩ dây hoặc khơng dây) đều phải đăng nhập bằng tài khoản (username,
password) do nhà quản trị cung cấp. Với hotspot nhà quản trị cĩ thể tùy biến trang đăng nhập kèm thơng tin quảng bá của mình. Việc in hĩa đơn tính cước đơn giản, bạn cĩ thể trang bị máy chuyên dùng in hĩa đơn hoặc máy in dùng