Announcement

**camaptrang** · 30-11-2006, 11:52 AM

Hè hè, bác Sang nói quá chuẩn, tớ nghĩ là anh em đọc tài liệu của bác Huy Bắc và bài viết này có thể có có thêm nhiều kiến thức cũng như kinh nghiệ, về Wi Sec và dựa trên đó để triển khai.
- Mình cũng đưa vào hệ thống một "AP mồi", gần như AP này đóng vai trò dễ truy xuất và cường độ phát đến các phần có thể là nơi Hacker ngồi được, nếu một ai đó truy xuất đến sẽ tìm các Hack nó mà không biết nó chỉ nằm trong vùng DMZ mà thôi.
- Bên UK họ còn ứng dụng loại giấy thiết dán tường nhằm giới hạn vùng phát của AP trong khu vực office mà thôi.
....

**tamii** · 30-11-2006, 02:09 PM

Vài biện pháp cơ bản để bảo mật wlan
1. Thay đổi administration passworḍ và cả username nếu AP hỗ trợ và SSID mặc định của AP hoặc wireless router.Nếu không thay đổi mạng của bạn rất có thể bị xâm nhập và sửa đổi.Tránh dùng SSID và password có liên quan đến các thông tin cá nhân,tổ chức của bản thân

2. Thường xuyên cập nhật firmware mới nhất cho AP hoặc Wireless router

3. Nên dùng chế độ ẩn SSID hoặc ESSID để tránh bị scan bởi các phần mềm thông dụng như Net Stumbler,Air Magnet...

4. Nên tắt AP khi không sử dụng.Trong khoảng thời gian không theo dõi là cơ hội cho các Hacker tấn công và thâm nhập
5. Sử dụng các công cụ bảo mật của Acess Point như Firewall,NAT.....Rất nhiều người khi sử dụng AP thường để chế độ mặc định của nhà sản xuất.Trong chế độ này các phần về bảo mật thường không được bật
̣
Tận dụng các công nghệ sẵn có như VPNs, firewall, hệ thống phát hiện xâm nhập, Intrusion Detection System (IDS), các giao thức và các chuẩn như 802.1x và EAP, và chứng thực client với Radius Sever có thể giúp đỡ các giải pháp an toàn nằm ngoài phạm vi mà chuẩn 802.11 yêu cầu, và thừa nhận. Giá và thời gian thực hiện các giải pháp này thay đổi tùy theo quy mô thực hiên. (RADIUS là chuẩn không chính thức trong hệ thống chứng thực người sử dụng. Các AP gửi những yêu cầu chứng thực người sử dụng đến một RADIUS server, mà có thể hoặc có một cơ sở dữ liệu được gắn sẵn hoặc có thể qua yêu cầu chứng thực để tới một bộ điều khiển vùng, như NDS server, active directory server, hoặc thậm chí là một hệ thống cơ sở dữ liệu tương hợp LDAP)

6. Mã hóa: WEP, WPA/WPA2 là những kiểu mã hóa thông dụng trong các AP, nếu AP chỉ hỗ trợ WEP thì hãy dùng key dài nhất có thể (thường là 128bit), nếu có hỗ trợ WPA thì xài key tối thiểu 128bit or 256bit. Đa phần các AP có support WPA đều dùng kiểu WPA-PSK (pre-shared key hoặc passphare key), WPA2 mã hóa thì an toàn hơn nữa nhưng phải cần thêm 1 server Radius nhằm mục đích xác thực. Nên đặt khóa càng phức tạp càng tốt(bao gồm ký tự hoa thường, số & ký tự đặc biệt kết hợp lại), không nên dùng những từ có nghĩa hay có trong từ điển, vì cracker vẫn dò được mã khóa WPA khi dùng tự điển dò theo kiểu brute force attack.

Chú ý: Nên dùng WPA/WPA2 và sử dụng kiểu mã hóa AES (Advanced Encryption Standard) đây là kiểu mã hoá tiên tiến nhất hiện nay
7. Lọc địa chỉ MAC: AP đều có tính năng lọc MAC của các client kết nối vào, có 2 cách lọc là chỉ cho phép và chỉ cấm địa chỉ MAC nào đó.

8. Nên chỉ dùng chuẩn 802.11g nếu có thể vì do các phần mềm crack wireless hiện nay rất ít hỗ trợ card wireless chuẩn g
9. Nên thay đổi password định kỳ : đây là phương pháp đơn giản nhưng hữu hiệu để bảo đảm an toàn cho WLan
10. Định cỡ cell để giảm bớt cơ hội nghe trộm,kích cỡ cell của AP phải thích hợp với khu vực an toàn. Phần lớn hacker tìm những nơi mà tốn ít thời gian và năng lượng nhất để tìm cách truy cập mạng. Vì lí do này, rất quan trọng khi không cho phép những AP phát ra những tín hiệu ra ngoài khu vực an toàn trừ khi tuyệt đối cần thiết. Vài AP cho phép cấu hình mức công suất đầu ra, do đó có thể điều khiển kích thước Cell RF xung quanh AP.Hoặc sử dụng các vật cản thông thường như lưới sắt,tường.... Cố gắng đặt AP về phía trung tâm của khu vực sẽ giảm thiểu việc rò tín hiệu ra ngoài phạm vi mong đợi.

11. Nên tắt DHCP của Access Point và thiết lập các dãy IP của Lan ngoài các dãy thông thường như: 192.168.0.X và 192.168.1.X.Dãy IP cho phép thiết lập là 10.0.0.0-10.255.255.255,172.16.0.0- 172.31.255.255,192.168.0.0-192.168.255.255

12. Hãy chắc chắn là đã bật chế độ logging(thường được tắt theo mặc định) và thường xuyên kiểm tra log .Log có thể báo cho ta biết các cuộc viếng thăm không mời

13. Dùng chế độ HTTPs :hoàn toàn có thể điều khiển AP qua các trình duyệt web vốn không được mã hoá

14. Bảo mật cho mạng nội bộ:Mã hóa file khi truyền,sử dụng các chế độ bảo mật của HĐH......
15. Nên chia thành 2 mạng riêng biệt WirelessLAN và WiredLAN bằng các dãy IP khác nhau để tránh xâm nhập
16. Switches không Hubs : Một nguyên tắc đơn giản khác là luôn kết nối các AP tới switch thay vì hub, hub là thiết bị có tính chất quảng bá các gói tin, do đó dễ bị mất password và IP address.
17. Wireless DMZ : ý tưởng khác trong việc thực hiện bảo mật cho những segment không dây là thiết lập một vùng riêng cho mạng không dây, Wireless DeMilitarized Zone (WDMZ). Tạo vùng WDMZ sử dụng firewalls hoặc router thì có thể rất tốn kém, phụ thuộc vào quy mô, mức độ thực hiện. WDMZ nói chung được thực hiện với những môi trường WLAN rộng lớn. Bởi các AP về cơ bản là các thiết bị không bảo đảm và không an toàn, nên cần phải tách ra khỏi các đoạn mạng khác
(còn tiếp)

**camaptrang** · 01-12-2006, 02:08 PM

các bác có nhìn thấy bài này thấy có vẻ như rất giống nhau ? tớ không bàn cải với các bác về các vấn đề này nhiều, nhưng nếu cần tài liệu về các vấn đề này có thể email cho mình mình gửi cho các bạn quan tâm.
(Không có tài liệu tiếng việt và cũng chi tham khảo tài liệu nước ngoài)
Bài viết của bác TAMII có rất nhiều điểm mình không chuẩn xác ....

**tamii** · 01-12-2006, 03:31 PM

Originally posted by camaptrang View Post

các bác có nhìn thấy bài này thấy có vẻ như rất giống nhau ? tớ không bàn cải với các bác về các vấn đề này nhiều, nhưng nếu cần tài liệu về các vấn đề này có thể email cho mình mình gửi cho các bạn quan tâm.
(Không có tài liệu tiếng việt và cũng chi tham khảo tài liệu nước ngoài)
Bài viết của bác TAMII có rất nhiều điểm mình không chuẩn xác ....

:) .Điểm nào ko chuẩn xác??Nếu trên bạn vừa bảo tôi viết giống bác Sanḥ dưới thì bảo ko chuẩn xác thì có nghĩa Bác Sanh viết sai?? :) .Hình như đâu đó ở trên tôi thấy bạn vừa ca ngợi Bác Sanh mà?? Hoá ra người khác viết thì̀ lại sai ah??

**camaptrang** · 01-12-2006, 05:05 PM

Originally posted by tamii View Post

5. Sử dụng các công cụ bảo mật của Acess Point như Firewall,NAT.....Rất nhiều người khi sử dụng AP thường để chế độ mặc định của nhà sản xuất.Trong chế độ này các phần về bảo mật thường không được bật.
(còn tiếp)

Ngay chuyện viết đến câu NAT trong phần công cụ bảo mật của AP thì thành thật ... thành thật là tớ không nói thêm gì cả ... mình nghĩ là bạn copy đoạn trên từ nhiều nguồn viết khác nhau.

Originally posted by tamii

Nên chỉ dùng chuẩn 802.11g nếu có thể vì do các phần mềm crack wireless hiện nay rất ít hỗ trợ card wireless chuẩn g )

Vậy những bài viết gần đây bạn sử dụng chương trình scan với chuẩn gì A hay B chăng ? chuẩn G cho Wiless Network mình mua và lắp đặt cho VP từ 2003 rồi (3 năm cho một công nghệ trong CNTT là thời gian khá dài đó bạn).
Bác nhìn và đọc bài viết của bạn SANG đi rồi thấy, mong là các bác chọn lọc chúng trước khi đưa lên.

Originally posted by truongthang.sang

7. Switch, not Hub: - Một chính sách khác nên được tuân thủ là luôn luôn kết nối AP với Switch thay vì Hub. Hub là một thiết bị broadcast, vì thế, mọi gói tin mà Hub nhận được sẽ được phát ra trên tất cả các port của Hub. Nếu AP được kết nối với Hub thì mọi gói tin truyền trong mạng có dây sẽ được broadcast ra mạng có dây. Điều này sẽ giúp hacker thu thập thêm được những thông tin giá trị như password hay IP address.

Originally posted by tamii

16. Switches không Hubs : Một nguyên tắc đơn giản khác là luôn kết nối các AP tới switch thay vì hub, hub là thiết bị quảng bá, do đó dễ bị mất password và IP address.

và thật tớ không hiểu cụm từ "Hub là thiết bị quảng bá" lần đầu tiên tớ nghe đến đoạn này. vậy HUB = Broadcast chăng ?
Các bạn có thể đọc thông tin định nghĩa về Network "http://compnetworking.about.com or http://www.webopedia.com/TERM/h/hub.html"

**wlansecu** · 01-12-2006, 05:36 PM

Thực ra các tài liệu này, mọi người có được từ hai nguồn:
1/ Copy của người khác
2/ Dịch tài liệu.

Nhưng nguồn gốc các tài liệu này thực ra là được dịch từ cuốn Wireless Studyguide, và có thể thêm một số tài liệu tham khảo khác.
Chỉ có điều mỗi người VIỆT HÓA một kiểu, nên mới có chuyện giông giống nhau,
Và có chuyện: quảng bá hay broadcast ,,,,

Và tài liệu này (tài liệu tiếng Anh) cũng xuất bản từ những năm 2002, thế nên chuyện công nghệ chuẩn G chưa phổ biến là điều đương nhiên

Huy Bắc
Có thế thôi,

**camaptrang** · 01-12-2006, 05:47 PM

Hiện nay mình cũng có một số cuốn về Wireless
addison wesley - real 802.11 security. wi-fi protected access and 802.11i.chm
cisco press - wireless networks first-step
OReilly.802.11.Wireless.Networks.The.Definitive.Gu ide.2nd.edition.Apr.2005
prentice hall - ip in wireless networks.chm
prentice hall ptr - a field guide to wireless lan's for administrators and power users
que publishing - absolute beginner's guide to wi-fi wireless networking
crc press - wireless technology. protocols, standards and techniques
Designing a Wireless Network
Linux.Wireless
McGraw.Hill.Wi.Fi.Home.Networking.eBook-DDU
McGraw.Hill.Wi-Fi.Security.eBook-LiB
Springer.Resource.Management.in.Wireless.Networkin g.Jan.2005.eBook-DDU
Springer.Verlag.Telos.Wireless.Optical.Communicati on.Systems.Sep.2004.eBook-DDU
wiley & sons - building secure wireless networks with 802.11
digital press - wireless operational security
sams - maximum wireless security
OReilly.Wireless.Hacks.2nd.Edition.Nov.2005
--- và còn rất nhiều nữa , mình sẽ cho các bác một file list để các bác coi thích cuốn nào mình email cho. (rất nhiều khoảng gấp 4 đến 5 lần List trên (để nhiều không đọc cũng bỏ phí, mà các bạn cũng vậy chép về nhiều khó đọc lắm)
Và một số sách Vietnam nhưng mình vẫn thấy chưa được vì dịch chưa đủ hoặc theo ý riêng hoặc là đã không bắt kịp kỹ thuật hiện nay. bác Bắc có cuốn nào cập nhật mới và hay share với anh em nhá...

**admin** · 02-12-2006, 07:06 AM

Chào mọi người.
Hiện nay mình cũng có một ít sách về wireless, không biết có trùng với list của bác Camaptrang không nhưng mình cũng muốn share với mọi người :)
Sybex.CWNA.Certified.Wireless.Network.Administrato r.Study.Guide.Exam.PW0-100.Sep.2006
Syngress.Publishing.How.to.Cheat.at.Securing.a.Wir eless.Network.Jul.2006
John.Wiley.and.Sons.Next.Generation.Wireless.Syste ms.and.Networks.Jul.2006
Cambridge.University.Press.Fundamentals.of.Wireles s.Communication.Jun.2005
chúc mọi người sức khỏe và thành công

**tamii** · 02-12-2006, 07:15 AM

Originally posted by camaptrang View Post

Ngay chuyện viết đến câu NAT trong phần công cụ bảo mật của AP thì thành thật ... thành thật là tớ không nói thêm gì cả ... mình nghĩ là bạn copy đoạn trên từ nhiều nguồn viết khác nhau.

Tôi đã từng nói rằng những điều tôi và bạn nói chẳng qua chỉ là nhứng điều người ta đã nói cả rôì.Chúng ta chẳng sáng tạo ra cái gì.Tôi ko ngại mà nói rằng chỉ nhờ đọc mà tôi biết chút ít.Nếu bạn sáng tạo ra cái gì sao ko đưa cho mọi người xem???Hay bạn cũng chỉ copy từ đâu đó???Tôi thấy hôm trước bạn nói rất hùng hồn rằng nên viết những điều hay cho diễn đàn đến khi tôi ghóp thêm vào thì bạn nói tôi copy :D .Nếu những điều tôi nói bạn biết rồi thì để dành cho người chưa biết.Kể cả tôi cũng luôn sẵn sàng nghe mọi người những điều tôi chưa biết.Vấn đề không phải chúng ta copy,mà là chúng ta dùng những chuyện copy ấy thế nào

Originally posted by camaptrang View Post

Vậy những bài viết gần đây bạn sử dụng chương trình scan với chuẩn gì A hay B chăng ? chuẩn G cho Wiless Network mình mua và lắp đặt cho VP từ 2003 rồi (3 năm cho một công nghệ trong CNTT là thời gian khá dài đó bạn).
Bác nhìn và đọc bài viết của bạn SANG đi rồi thấy, mong là các bác chọn lọc chúng trước khi đưa lên.

Nghe bạn nói câu này tôi chắc chắn bạn chưa từng thử qua các trương trình crack wep key,đúng ko?Tôi nghiệm điều này khi đi mua card wireless cho bản thân để thử mấy cái crack.Đối với cao thủ ko nói,chứ đối với ông hàng xóm ngịch ngợm thì cái này là 1 trở ngại lớn đó bạn.Tôi nhường bạn tự tìm hiểu nhé.Nếu ko ra tôi sẽ giúp
Không phải là vì dịch từ cuốn sách cũ đâu bác Huy Bắc

Originally posted by camaptrang View Post

và thật tớ không hiểu cụm từ "Hub là thiết bị quảng bá" lần đầu tiên tớ nghe đến đoạn này. vậy HUB = Broadcast chăng ?
Các bạn có thể đọc thông tin định nghĩa về Network "http://compnetworking.about.com or http://www.webopedia.com/TERM/h/hub.html"

Phần này thì công nhận tôi dịch ko chuẩn lắm.Tôi dịch thoát theo ý nói về tính chất của hub chứ ko phải tôi định nghĩa Hub là gì.Tôi cũng không sửa lại vì có phần của Bác Sang ở trên viết rồi
Thêm vài điều lạm bàn cùng Camap:Tôi thấy bạn nói nhiều câu trong diễn đàn nghe kém lắm.Tôi ko trích ra đây bạn nếu muốn biết thì cứ xem lại.Tôi nghĩ trình độ bạn cao nhưng tiếc là con người bạn không cao tương xứng.Bạn có thể học hỏi thêm Bác Triệu tử Long,tôi thấy đây là người cao cả về 2 mặt xứng đáng cho bạn học hỏi theo
Tôi thấy bạn có nhiều sách thế kia thì copy là ok rồi :p .Rảnh rỗi thì dịch ra tiếng việt giúp mọi người hiểu biết có phải hay hơn ko bạn.Bạn lo chỉ trích tôi nhỡ sai thì người ta lại tưởng bạn trình độ thấp thì phí công.Vả lại như thế trông trẻ con lắm. :) Vài lời cá nhân mong bạn tiếp thu,nếu bạn ko thích nghe thì cứ nói tôi sẽ xoá

**westcoast** · 02-12-2006, 07:20 AM

Em chào các bác.
Em thấy bài viết của bác Sang dẫn nguồn từ một website khác. Sao các bác không qua bên site ấy hỏi tác giả bài viết là ai, rồi tiếp tục cãi nhau nhỡ. hehehehe

**tamii** · 02-12-2006, 07:23 AM

Originally posted by admin View Post

Chào mọi người.
Hiện nay mình cũng có một ít sách về wireless, không biết có trùng với list của bác Camaptrang không nhưng mình cũng muốn share với mọi người :)
Sybex.CWNA.Certified.Wireless.Network.Administrato r.Study.Guide.Exam.PW0-100.Sep.2006
Syngress.Publishing.How.to.Cheat.at.Securing.a.Wir eless.Network.Jul.2006
John.Wiley.and.Sons.Next.Generation.Wireless.Syste ms.and.Networks.Jul.2006
Cambridge.University.Press.Fundamentals.of.Wireles s.Communication.Jun.2005
chúc mọi người sức khỏe và thành công

Em muốn xin 4 quyển này ,bác cho em với.Cám ơn Bác Admin nhiều

**wlansecu** · 03-12-2006, 01:07 PM

Thỉnh thoảng chán chán, vô diễn đàn nghe các bác cãi nhau cũng vui phết.

Bác nào cũng muốn chia sẻ kinh nghiệm của mình cho người khác, thế nhưng mỗi người một cách, một phương pháp khác nhau.

Rồi lại CÃI NHAU, Ý NHẦM: TRANH LUẬN HƠI TO TIẾNG, hihi

**camaptrang** · 03-12-2006, 02:59 PM

Tớ nghĩ kiến thức không có chi là sai và là xấu cả, việc tranh luận trên này theo tớ là tốt .. chứ thật sự nếu bài viết của bác mà không có ai phản biện thì chưa chắc bài viết đó hay ... có khi là nó quá tệ đến nổi chằng nói được gì .
--------
Ha ha ha ...

**tamii** · 03-12-2006, 03:38 PM

Originally posted by camaptrang View Post

Tớ nghĩ kiến thức không có chi là sai và là xấu cả, việc tranh luận trên này theo tớ là tốt .. chứ thật sự nếu bài viết của bác mà không có ai phản biện thì chưa chắc bài viết đó hay ... có khi là nó quá tệ đến nổi chằng nói được gì .

Tranh luận để trao đổi xây dựng thỉ ok,chứ tranh luận theo kiểu khích bác,miệt thị,xoi mói thì tôi nhường cho người khác.Bài viết có giá trị hay không mọi người tự xem xét là được rồi đâu phải nhờ bạn tham gia mà có giá trị.Thôi một lần nữa tôi xin tự chấm dứt ý kiến của mình ở đây.Bài của tôi có 25 biện pháp cơ bản cũng chỉ là copy từ nhiều nguồn,phần còn lại sợ ít giá trị không post xin nhường ý kiến người khác.:)

Announcement

Các khuyến cáo về bảo mật WLAN

Các khuyến cáo về bảo mật WLAN

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment