Bảo mật mạng Wi-Fi trong doanh nghiệp

Dù có thể bị tấn công, nhưng Wi-Fi vẫn được bảo mật nếu doanh nghiệp cố gắng tìm hiểu và áp dụng các biện bảo mật mạng nâng cao

Wi-Fi vốn là entry-point (điểm nhập) mà tin tặc có thể sử dụng để xâm nhập vào mạng, nên nhà quản trị mạng phải cẩn thận hơn trong vấn đề bảo mật mạng Wi-Fi. Vì vậy, hãy thực hiện theo những điều nên và không nên sau đây để giúp cho mạng không dây Wi-Fi an toàn hơn.

Sử dụng SSID kín đáo, không nên tin tưởng SSID ẩn

SSID (Service Set Identifier) là một trong những cài đặt mạng Wi-Fi cơ bản nhất. Việc sử dụng SSID bất cẩn có thể gây nguy hại cho sự an toàn của mạng Wi-Fi. Dùng những tên SSID quá phổ biến như “wireless” hoặc tên mặc định từ nhà cung cấp có thể khiến kẻ tấn công dễ dàng bẻ khóa chế độ cá nhân của bảo mật WPA hay WPA2. Điều này là do thuật toán mã hóa kết hợp với SSID, và tin tặc sử dụng từ điển bẻ khóa mật khẩu với những tên SSID mặc định, phổ biến. Vì thế, sử dụng tên SSID mặc định hoặc quá phổ biến sẽ khiến tin tặc trở nên dễ dàng phá mã hơn. (Tuy nhiên, lỗ hổng này không thể khai thác trên các mạng sử dụng chế độ Enterprise của bảo mật WPA, WPA2 – một trong rất nhiều lợi ích của chế độ Enterprise).

Mặc dù có thể đặt SSID theo một tiêu chí dễ nhớ như tên công ty, địa chỉ, số phòng, nhưng đây không phải là ý tưởng hay, nhất là khi doanh nghiệp nằm trong cùng một tòa nhà với nhiều công ty khác hoặc ở gần các tòa nhà, mạng khác. Vì khi tới gần địa điểm tòa nhà, tin tặc có thể nhanh chóng nhắm mục tiêu tới một mạng có định danh dễ hiểu nhất và cũng giúp đoán được sẽ có gì khi hack vào mạng này.

Một trong những lời đồn về bảo mật mạng không dây là vô hiệu hóa truyền phát SSID của các điểm truy cập sẽ giúp ẩn mạng hay ít nhất là tạo SSID an toàn khiến tin tặc khó phá. Tuy nhiên, cách này chỉ giúp gỡ bỏ SSID khỏi điểm truy cập. Nó vẫn có trong chứa yêu cầu 802.11 và trong một số trường hợp, nó còn có trong yêu cầu dò mạng và các gói trả lời. Do đó, một tin tặc hay kẻ nghe lén nào đó có thể dễ dàng và nhanh chóng phát hiện ra SSID ẩn – đặc biệt là ở mạng bận – với tính năng phân tích mạng không dây hợp pháp.

Một số người tranh luận là tắt truyền phát SSID vẫn cung cấp thêm tầng bảo mật cho mạng, nhưng cũng hãy nhớ luôn rằng nó có khả năng gây ra ảnh hưởng tiêu cực lên cấu hình và khả năng thực hiện của mạng. Doanh nghiệp sẽ phải nhập thủ công SSID vào các thiết bị, tiếp đến là cấu hình thiết bị. Nó cũng có thể gây ra việc tăng những yêu cầu thăm dò và gói tin trả về, giảm lượng băng thông hiện có.

---> Tham khảo các cách ẩn sóng SSID wifi tại Aruba Việt Nam

Chú trọng bảo mật mặt vật lý

Dù doanh nghiệp có trong tay phương thức mã hóa tốt nhất thì nó vẫn có thể tồn tại những lỗ hổng. An toàn về mặt vật lý là một trong những lỗ hổng như vậy. Hầu hết các điểm truy cập Access Point (AP) đều có nút reset để khôi phục cài đặt mặc định, xóa bảo mật Wi-Fi và cho phép bất kỳ ai kết nối vào mạng. Do đó, các AP được sử dụng trong doanh nghiệp cũng cần được bảo vệ (về mặt vật lý, kiểu như cho vào các hộp có khóa cẩn thận) để ngăn chặn kẻ gian. Hãy đảm bảo chỉ những người liên quan mới có thể tiếp cận chúng, xem xét sử dụng các cơ chế khóa có sẵn của nhà cung cấp AP để hạn chế quyền truy cập vào các nút và cổng trên AP.

Một mối quan tâm bảo mật vật lý khác với Wi-Fi là khi ai đó thêm AP không được phép vào mạng, còn được gọi là “rogue AP” – AP giả mạo. Điều này có thể được thực hiện một cách chính đáng, ví như mở rộng vùng phủ sóng Wi-Fi hoặc vì mục đích xấu của nhân viên (hay thậm chí là người ngoài công ty) đang muốn truy cập vào mạng. Để ngăn chặn những AP giả mạo này, hãy đảm bảo mọi cổng ethernet chưa sử dụng (cổng gắn trên tường hoặc cổng chờ) đều bị vô hiệu hóa. Doanh nghiệp có thể loại bỏ hoặc ngắt kết nối điện các cổng, cáp mạng đó trên router, switch. Nếu muốn tăng cường bảo mật hơn hãy bật xác thực 802.1X ở phía cắm dây (nếu router hoặc switch hỗ trợ điều đó), khi đó, bất cứ thiết bị nào cắm vào cổng ethernet đều phải nhập thông tin xác thực đăng nhập để truy cập mạng.

Không nên sử dụng WEP, WPA/WPA2-PSK

Chuẩn bảo mật WEP (Wired Equivalent Privacy) từ lâu đã bị tin tặc phá vỡ nhanh chóng. Do vậy, doanh nghiệp không nên sử dụng WEP. Nếu đang sử dụng, hãy nâng cấp ngay lên WPA2 (Wi-Fi Protected Access) với chứng thực 802.1X. Nếu mới được cho một chiếc router Wi-Fi hoặc access point không hỗ trợ WPA2, hãy thử cập nhật firmware hoặc đơn giản nhất là thay thiết bị mới.

Chế độ pre-shared key (PSK) của WPA và WPA2 không được bảo mật đối với môi trường doanh nghiệp cho lắm. Khi sử dụng chế độ này, cần phải điền key PSK cho mỗi thiết bị phát Wi-Fi. Do đó, key này cần được thay đổi mỗi lần một nhân viên rời khỏi công ty và khi một thiết bị phát bị mất hoặc bị trộm – những điều vẫn chưa thực sự được chú trọng với hầu hết các môi trường doanh nghiệp.

Một trong những cơ chế bảo mật Wi-Fi có lợi nhất mà doanh nghiệp có thể triển khai chính là chế độ bảo mật Enterprise của doanh nghiệp, vì nó xác thực từng người dùng riêng lẻ: mọi người có thể có tên đăng nhập và mật khẩu Wi-Fi riêng. Vì thế, nếu laptop hoặc thiết bị di động bị mất, đánh cắp hoặc nhân viên nghỉ việc ở công ty, thì người quản trị có thể thay đổi hoặc hủy bỏ đăng nhập của những thiết bị/người dùng cụ thể đó. Một ưu điểm lớn khác của chế độ Enterprise là mỗi người dùng được gán khóa mã hóa của riêng họ. Điều đó có nghĩa là người dùng chỉ có thể giải mã lưu lượng dữ liệu của riêng họ mà không thể rình mò traffic không dây của bất cứ ai khác.

Để đặt các AP trong chế độ Enterprise, trước tiên người quản trị cần thiết lập server RADIUS. Server này cho phép xác thực người dùng và kết nối đến (hoặc lưu) cơ sở dữ liệu hay thư mục (như Active Directory) chứa tên và mật khẩu của mọi người.

Giống như các công nghệ bảo mật khác, chế độ Enterprise vẫn có lỗ hổng bảo mật. Một trong số đó là những cuộc tấn công trung gian (man-in-the-middle), với các tin tặc bán chuyên. Họ có thể thiết lập mạng Wi-Fi giả với SSID giống hoặc tương tự như mạng mà họ đang cố giả mạo, khi laptop hoặc thiết bị của người dùng kết nối tới mạng giả này, máy chủ RADIUS giả mạo sẽ ghi lại những thông tin xác thực đăng nhập. Sau đó, tin tặc có thể sử dụng thông tin xác thực đăng nhập đó để kết nối với mạng Wi-Fi thật. Một cách để ngăn chặn những cuộc tấn công với xác thực 802.1X kiểu này là sử dụng xác thực máy chủ trên máy khách. Khi xác thực máy chủ được bật trên máy khách, máy khách sẽ không chuyển thông tin xác thực đăng nhập Wi-Fi của bạn cho máy chủ RADIUS cho đến khi nó xác nhận rằng nó đang kết nối đến đúng máy chủ hợp pháp. Khả năng và yêu cầu xác thực máy chủ chính xác mà người quản trị có thể thiết lập cho các máy khách sẽ tùy thuộc vào thiết bị hoặc hệ điều hành mà máy khách đang chạy.

Nên sử dụng các chuẩn Wifi thế hệ mới có chuẩn bảo mật tốt hơn như Wifi 6, Wifi 7

Ngăn chặn xâm nhập trái phép vào mạng không dây, phát hiện AP giả

Những AP không được phép có thể tồn tại trong thời gian dài mà người quản trị không hề hay biết nếu không có biện pháp bảo vệ thích hợp. Để tăng cường khả năng phát hiện, một số nhà cung cấp AP còn tích hợp sẵn hệ thống phát hiện không dây (WIDS) hoặc hệ thống bảo vệ xâm nhập (WIPS). Chúng có thể cảm nhận được những cuộc tấn công vào mạng không dây cũng như những hoạt động đáng ngờ từ AP giả mạo như: Các yêu cầu xác thực không đúng (erroneous de-authentication request), yêu cầu liên kết sai (mis-association request) và giả mạo địa chỉ MAC. Hơn nữa, WIPS cung cấp sự bảo vệ nhiều hơn hệ thống WIDS (chỉ phát hiện), thậm chí WIPS có thể tự động thực hiện một số biện pháp đối phó như ngắt kết nối, chặn máy khách nghi ngờ để bảo vệ mạng đang bị tấn công.

Ngoài việc sử dụng WIPS, doanh nghiệp nên cân nhắc tới việc triển khai giải pháp Network Access Protection (NAP – bảo vệ truy cập mạng) hoặc Network Access Control (NAC – quản lý truy cập mạng). Chúng sẽ cung cấp thêm khả năng quản lý truy cập mạng, dựa vào nhận dạng thiết bị với các policy đã được đặt trước. Chúng cũng bao gồm một chức năng để cách ly những thiết bị có vấn đề và sửa chữa để thiết bị có thể nhanh chóng quay trở lại làm việc.

Không nên tin tưởng lọc địa chỉ MAC

Lời đồn khác về bảo mật mạng không dây là kích hoạt tính năng lọc địa chỉ MAC sẽ giúp có thêm được một tầng bảo mật, quản lý các ứng dụng kết nối với mạng. Điều này có đôi chút chính xác, nhưng hãy nhớ rằng tin tặc có thể dễ dàng theo dõi mạng để lấy địa chỉ MAC hợp pháp, sau đó chúng sẽ thay đổi địa chỉ MAC cho máy của chúng.

Do vậy, doanh nghiệp không nên triển khai khả năng lọc địa chỉ MAC với suy nghĩ chúng sẽ giúp ích cho bảo mật của mình, nhưng có thể là một cách quản lý các thiết bị, máy tính của khách hàng. Đồng thời, cũng nên chú ý tới những vấn đề quản lý có khả năng nảy sinh để giữ cho danh sách MAC luôn được cập nhật.

Đừng quên bảo vệ các thiết bị di động

Các mối lo ngại về bảo mật mạng không dây không chỉ dừng ở đây. Người dùng sở hữu smartphone, máy xách tay và máy tính bảng có thể được bảo vệ ngay tại chỗ. Tuy nhiên, khi họ kết nối với các điểm truy cập Wi-Fi miễn phí hoặc kết nối với router không dây gia đình thì sao? Nên đảm bảo rằng các kết nối mạng Wi-Fi khác cũng được bảo mật nhằm ngăn chặn xâm nhập trái phép hoặc tin tặc nghe lén.

Tiếp đến, doanh nghiệp sẽ phải chắc chắn rằng lưu lượng Internet của người dùng đã được mã hóa khi họ ở một mạng khác bằng cách cung cấp truy cập VPN vào mạng doanh nghiệp. Nếu không muốn sử dụng VPN trong trường hợp này, có thể cân nhắc tới các dịch vụ khác như Hotspot Shield hoặc Witopia. 

Bên cạnh đó, doanh nghiệp cũng nên đảm bảo rằng tất cả các dịch vụ liên quan tới mạng đều được bảo mật, đề phòng trường hợp người dùng không sử dụng VPN khi đang truy cập từ mạng công cộng hay một mạng không đáng tin cậy. Ví dụ, nếu cung cấp quyền truy cập email (qua ứng dụng hoặc trên web) ở bên ngoài mạng LAN, WAN hoặc VPN, hãy chắc chắn rằng có sử dụng mã hóa SSL để ngăn chặn tin tặc nghe lén và trộm thông tin đăng nhập quan trọng hoặc tin nhắn cá nhân.

Nguồn Congnghe.thanhnien.vn, PCWorld.com.vn

Tham khảo những dòng Wifi Aruba  bảo mật tốt nhất tại  Aruba Việt Nam