1. WEP
Không nên chỉ dựa vào WEP cho dù bạn đã cài đặt một giải pháp bảo mật tốt đến thế nào đi nữa. Một môi trường không dây chỉ được bảo vệ bởi WEP là một môi trường hoàn toàn không an toàn. Khi sử dụng WEP, không nên sử dụng WEP key có liên quan đến SSID hay công ty. Hãy tạo ra một WEP key khó nhớ và khó nhận biết được. Trong nhiều trường hợp, WEP key có thể đoán ra mà chỉ cần nhìn vào SSID hay tên của công ty. WEP chỉ nên được sử dụng để giảm những nguy cơ như nghe trộm tình cờ chứ không nên là một giải pháp bảo mật duy nhất.


2. Kích thước Cell
Để giảm nguy cơ bị nghe lén, admin nên đảm bảo rằng kích thước cell của AP là hợp lý. Phần lớn các hacker thường tìm những vị trí có sóng RF và ít được bảo vệ nhất như vỉa hè, bãi đậu xe để đột nhập vào mạng không dây. Vì thế, các AP không nên phát tín hiệu mạnh đến bãi đậu xe (hay các vị trí khác) trừ khi thật sự cần thiết. Các AP dành cho doanh nghiệp cho phép cấu hình công suất phát, rất hiệu quả để điều khiển kích thước của cell xung quanh AP. Nếu kẻ nghe lén ở trong bãi đậu xe của công ty không bắt được sóng RF của AP thì sẽ không có cách nào xâm nhập được mạng nên mạng sẽ được bảo vệ khỏi kiểu tấn công này.

Thường thì các admin bị hấp dẫn bởi việc thiết lập mức công suất phát tối đa trên tất cả các thiết bị WLAN nhằm đạt được throughput cũng như vùng bao phủ tối đa, nhưng cách cấu hình mù quáng như vậy sẽ trả giá rất đắt cho an toàn của mạng WLAN. Kích thước cell thích hợp của một AP trong một vùng nào đó nên được document cẩn thận lại lúc cấu hình AP. Trong một số trường hợp có thể cài đặt 2 AP (ở cùng một vị trí) với kích thước cell nhỏ hơn để giảm nguy cơ bị tấn công.

Hãy cố đặt AP ở trung tâm của tòa nhà, điều này sẽ làm giảm nguy cơ rò rỉ tín hiệu ra bên ngoài vùng bao phủ mong muốn. Nếu bạn đang sử dụng một anten lắp ngoài thì nên chọn kiểu anten thích hợp để giảm thiểu kích thước phủ sóng vừa đủ. Hãy tắt AP khi không còn sử dụng, điều này sẽ giúp giảm nguy cơ tấn công cũng như bị sét đánh.

(còn tiếp)

3. Xác thực người dùng
Bởi vì xác thực người dùng chính là điểm yếu nhất trong mạng WLAN và chuẩn 802.11 không chỉ định một phương thức nào để xác thực người dùng nên điều cần thiết đối với admin là cài đặt một phương thức xác thực dựa trên người dùng (user-based) càng sớm càng tốt khi cài đặt hạ tầng mạng WLAN. Xác thực người dùng nên dựa trên những cơ chế không phụ thuộc thiết bị như username, password, sinh trắc học, smart card, hệ thống token-based, hay các phương thức xác thực khác định danh người dùng (chứ không phải là thiết bị). Giải pháp bạn triển khai nên hỗ trợ xác thực 2 chiều giữa Server xác thực (RADIUS) và các client không dây.

RADIUS là một chuẩn thực tế trong các hệ thống xác thực người dùng được sử dụng phổ biến trên thị trường công nghệ thông tin. AP sẽ gởi một yêu cầu xác thực người dùng đến RADIUS server (user authentication request), RADIUS server này có thể có cơ sở dữ liệu người dùng tích hợp hay có thể chuyển authentication request đến một domain controller, một NDS server, một Active Directory server hay thậm chí là một hệ thống tương thích LDAP. Một số nhà cung cấp RADIUS còn hỗ trợ các giao thức xác thực mới nhất như EAP.

Việc quản lý một RADIUS server có thể là rất đơn giản hoặc rất phức tạp tùy thuộc vào việc cài đặt. Bởi vì các giải pháp bảo mật không dây là rất nhạy cảm nên cần cẩn thận khi chọn một giải pháp RADIUS server để đảm bảo các admin có thể quản trị.

(còn tiếp)

4. Sự cần thiết của bảo mật
Hãy chọn lựa một giải pháp bảo mật thích hợp với nhu cầu và ngân sách của công ty cho cả hiện tại lẫn tương lai. Mạng WLAN có được sự phổ biến nhanh như vậy là do tính dễ cầi đặt của chúng. Giả sử một mạng WLAN bắt đầu với một AP và 5 người dùng có thể phát triển nhanh chóng lên 15 AP và 300 người dùng trên toàn bộ campus của công ty. Vì thế, cơ chế bảo mật đã sử dụng cho 1 AP không còn thích hợp nữa khi số lượng người dùng tăng lên đến 300 người. Công ty có thể lãng phí tiền bạc vào các giải pháp bảo mật mà có thể nhanh chóng bị lỗi thời khi WLAN phát triển. Trong nhiều trườn hợp, các công ty đã có sẵn IDS (Intrusion Detection System), firewall hay RADIUS servaer, khi quyết định lựa chọn giải pháp bảo mật không dây thì hãy tận dụng những thiết bị có sẵn để giảm chi phí xuống thấp nhất có thể.


5. Sử dụng các công cụ bảo mật khác.
Tận dụng những công nghệ sẵn có như VPN, Firewall, Hệ thống phát hiện xâm nhập (IDS = Intrusion Detection System), các giao thức và chuẩn như 802.1X, EAP, xác thực người dùng với RADIUS … sẽ giúp cho mạng không giây được an toàn hơn nhiều so với yêu cầu của chuẩn 802.11. Chi phí và thời gian để cài đặt những giải pháp này tùy thuộc vào độ lớn của doanh nghiệp.


6. Giám sát những phần cứng giả mạo
Để phát hiện được những AP giả mạo thì bạn nên thường xuyên kiểm tra các AP hiện có của mình nhưng không nên thông báo rộng rãi điều này. Chủ động phát hiện và loại bỏ những AP giả sẽ giúp chống lại hacker và cho phép admin duy trì và điều khiển mạng một cách an toàn. Thường xuyên kiểm tra bảo mật để xác định những AP có cấu hình sai có thể gây nguy hiểm cho mạng. Cấu hình hiện tại nên được so sánh với những cấu hình đã lưu trước đó để biết được liệu người dùng hay hacker đã thay đổi cấu hình của AP hay chưa. Bạn cũng có thể cài đặt và giám sát việc truy nhập của người dùng nhằm mục đích phát hiện những truy nhập trái phép trên phân đoạn mạng không dây. Kiểu giám sát này có thể giúp tìm lại những thiết bị không dây đã bị mất.

(còn tiếp)

7. Switch, not Hub
Một chính sách khác nên được tuân thủ là luôn luôn kết nối AP với Switch thay vì Hub. Hub là một thiết bị broadcast, vì thế, mọi gói tin mà Hub nhận được sẽ được phát ra trên tất cả các port của Hub. Nếu AP được kết nối với Hub thì mọi gói tin truyền trong mạng có dây sẽ được broadcast ra mạng có dây. Điều này sẽ giúp hacker thu thập thêm được những thông tin giá trị như password hay IP address.


8. Wireless DMZ
Một ý tưởng khác trong bảo mật mạng WLAN là tạo ra một vùng phi quân sự không dây (WDMZ = Wireless Demilitarized Zone). Việc tạo ra những WDMZ này sử dụng Firewall hay Router có thể tốn kém tùy thuộc vào mức độ của việc cài đặt. WDMZ thường được cài đặt ở những môi trường WLAN trung bình và lớn. Vì AP là một thiết bị không an toàn và không đáng tin vì thế, chúng nên được cách ly khỏi những đoạn mạng khác bằng một Firewall.

http://i47.photobucket.com/albums/f185/hinhup/8-10-13.gif


9. Cập nhật Firmware và Software
Bạn nên thường xuyên cập nhật firware và driver cho AP và card mạng. Việc sử dụng firmware và driver phiên bản mới nhất sẽ giúp tránh được những lỗ hổng bảo mật đã biết, vì chúng được các nhà sản xuất vá những lỗ hổng này cũng như thêm vào các tính năng mới.

(hết)

tại sao diễn đàn về công nghệ đang phát triển như thế mà lại có ít người tham gia vậy:confused: