Tweet
- Đối với các cơ quan, doanh nghiệp mà an ninh là yếu tố rất quan trọng: Như Chính Phủ, các bộ, ngành tài chính, ngân hàng,… nên sử dụng phương pháp mạnh nhất là chứng thực theo mô hình khoá công khai kết hợp với mã hoá WPA2.
- Đối với các cơ quan khác: Khi chưa đủ điều kiện thiết lập hệ thống Wi-Fi an ninh nhất theo mô hình khoá công khai, nên kết hợp nhiều nhất các biện pháp có thể. Ngoài ra, nên tách mạng Wi-Fi ra thành một vùng riêng (ví dụ tạo riêng một VLAN cho Wi-Fi) và quy định để hạn chế tối đa truy cập không cần thiết từ mạng Wi-Fi.
Khi áp dụng các biện pháp này, có thể thấy rằng độ an ninh của hệ thống giờ sẽ phụ thuộc vào việc đảm bảo tính bí mật của khoá. Như vậy, yếu tố con người sẽ quyết định mức độ an ninh của hệ thống.
- Đối với các hệ thống mạng Wi-Fi tại gia đình: chúng ta nên kết hợp đồng thời biện pháp chứng thực và mã hoá, chẳng hạn áp dụng lọc địa chỉ MAC với mã hoá dùng WPA2. Do sử dụng trong nội bộ gia đình, vấn đề quản lý khoá WPA2 sẽ đơn giản đi rất nhiều và giải pháp này là phù hợp.
- Tại những nơi công cộng: Khi sử dụng wi-fi tại những nơi ngoài cơ quan, ví dụ như tại quán cafe wi-fi, sân bay…, do các hệ thống này thường không áo dụng các biện pháp đảm bảo an ninh và bạn không thể can thiệp để thay đổi điều nay, nên chúng ta phải tự lo chính mình bằng một số biện pháp : dùng firewall cá nhân để ngăn chặn tối đa những truy nhập bất hợp pháp vào máy ; thông tin gửi đi phải được đặt mật khẩu ; khi kết nối về hệ thống của cơ quan nhất thiết phải sử dụng mã hoá VPN và đặc biệt bạn cần phải cập nhật đầy đủ các bản vá lỗi cho những phần mềm được sử dụng trên máy, nếu không thì tất cả các biện pháp trên cũng trở nên vô nghĩa.
- Phòng chống truy cập bất hợp pháp:
- Lọc địa chỉ MAC
+ Thông thường, một máy tính chỉ có một địa chỉ MAC (MAC address) tương ứng với một card mạng. Nhiều hệ thống Wi-Fi cho phép cấu hình chỉ những máy có địa chỉ MAC nằm trong danh sách được định nghĩa trên AP mới được phép truy cập vào mạng.
+ Một trong những biện pháp hạn chế truy cập bất hợp pháp là lọc theo địa chỉ MAC (MAC Filtering). Phương pháp này cũng đã hạn chế được những truy cập bất hợp pháp.
Firewall (Tường lửa)
- Quản lý bảo mật CSM (Content Security Management) cho ứng dụng tán gẫu IM (MSN, YM !, ICQ…), chia sẻ ngang hàng P2P (SoulSeek, eDonkey, BitTorrent…) và lọc nội dung URL/Web.
- Lọc gói tin IP thống qua chính sách lọc gói.
- Chống lại DoS/DdoS.
- Phòng chống mạo danh địa chỉ IP.
- Thông báo bằng E-Mail và ghi nhật ký thông qua phần mềm Syslog.
- Gán IP cố định theo địa chỉ MAC.
.jpg)
VPN (Mạng riêng ảo)
- VPN Server với 32 kênh đồng thời theo 2 dạng : Remote Dial-In User và LAN-to-LAN.
- Giao thức : PPTP, L2TP, Psec.
- Mã hoá : AES, MPPE và Hardware-Based DES/3DES.
- Định danh : MD5, SHA-1.
- Cơ chế mã hoá và xác thực IKE : Khoá chia sẻ và chữ ký điện tử.
- Hỗ trợ kết nối LAN-to-LAN, Teleworker-to-LAN.
- Dead Peer Detection (DPD) : Phát hiện đường không hoạt động.
- Hỗ trợ VPN dự phòng (VPN Backup).
.jpg)
Đặng Nguyễn Nhựt Trường – VnPro
- Đối với các cơ quan khác: Khi chưa đủ điều kiện thiết lập hệ thống Wi-Fi an ninh nhất theo mô hình khoá công khai, nên kết hợp nhiều nhất các biện pháp có thể. Ngoài ra, nên tách mạng Wi-Fi ra thành một vùng riêng (ví dụ tạo riêng một VLAN cho Wi-Fi) và quy định để hạn chế tối đa truy cập không cần thiết từ mạng Wi-Fi.
Khi áp dụng các biện pháp này, có thể thấy rằng độ an ninh của hệ thống giờ sẽ phụ thuộc vào việc đảm bảo tính bí mật của khoá. Như vậy, yếu tố con người sẽ quyết định mức độ an ninh của hệ thống.
- Đối với các hệ thống mạng Wi-Fi tại gia đình: chúng ta nên kết hợp đồng thời biện pháp chứng thực và mã hoá, chẳng hạn áp dụng lọc địa chỉ MAC với mã hoá dùng WPA2. Do sử dụng trong nội bộ gia đình, vấn đề quản lý khoá WPA2 sẽ đơn giản đi rất nhiều và giải pháp này là phù hợp.
- Tại những nơi công cộng: Khi sử dụng wi-fi tại những nơi ngoài cơ quan, ví dụ như tại quán cafe wi-fi, sân bay…, do các hệ thống này thường không áo dụng các biện pháp đảm bảo an ninh và bạn không thể can thiệp để thay đổi điều nay, nên chúng ta phải tự lo chính mình bằng một số biện pháp : dùng firewall cá nhân để ngăn chặn tối đa những truy nhập bất hợp pháp vào máy ; thông tin gửi đi phải được đặt mật khẩu ; khi kết nối về hệ thống của cơ quan nhất thiết phải sử dụng mã hoá VPN và đặc biệt bạn cần phải cập nhật đầy đủ các bản vá lỗi cho những phần mềm được sử dụng trên máy, nếu không thì tất cả các biện pháp trên cũng trở nên vô nghĩa.
- Phòng chống truy cập bất hợp pháp:
- Lọc địa chỉ MAC
+ Thông thường, một máy tính chỉ có một địa chỉ MAC (MAC address) tương ứng với một card mạng. Nhiều hệ thống Wi-Fi cho phép cấu hình chỉ những máy có địa chỉ MAC nằm trong danh sách được định nghĩa trên AP mới được phép truy cập vào mạng.
+ Một trong những biện pháp hạn chế truy cập bất hợp pháp là lọc theo địa chỉ MAC (MAC Filtering). Phương pháp này cũng đã hạn chế được những truy cập bất hợp pháp.
Firewall (Tường lửa)
- Quản lý bảo mật CSM (Content Security Management) cho ứng dụng tán gẫu IM (MSN, YM !, ICQ…), chia sẻ ngang hàng P2P (SoulSeek, eDonkey, BitTorrent…) và lọc nội dung URL/Web.
- Lọc gói tin IP thống qua chính sách lọc gói.
- Chống lại DoS/DdoS.
- Phòng chống mạo danh địa chỉ IP.
- Thông báo bằng E-Mail và ghi nhật ký thông qua phần mềm Syslog.
- Gán IP cố định theo địa chỉ MAC.
VPN (Mạng riêng ảo)
- VPN Server với 32 kênh đồng thời theo 2 dạng : Remote Dial-In User và LAN-to-LAN.
- Giao thức : PPTP, L2TP, Psec.
- Mã hoá : AES, MPPE và Hardware-Based DES/3DES.
- Định danh : MD5, SHA-1.
- Cơ chế mã hoá và xác thực IKE : Khoá chia sẻ và chữ ký điện tử.
- Hỗ trợ kết nối LAN-to-LAN, Teleworker-to-LAN.
- Dead Peer Detection (DPD) : Phát hiện đường không hoạt động.
- Hỗ trợ VPN dự phòng (VPN Backup).
Đặng Nguyễn Nhựt Trường – VnPro