Hiểu các mối đe dọa và cách bảo vệ mạng của bạn chống lại chúng
Thuận tiện ở mức giá
Sự tiện lợi của mạng không dây đi kèm với một mức giá mặc dù. Truy cập mạng có dây có thể được kiểm soát bởi vì dữ liệu được chứa trong cáp kết nối máy tính với công tắc. Với mạng không dây, “cáp” giữa máy tính và công tắc được gọi là “không khí”, mà bất kỳ thiết bị nào trong phạm vi có khả năng truy cập. Nếu người dùng có thể kết nối với một điểm truy cập không dây cách xa 300 feet, thì theo lý thuyết, có thể bất kỳ ai khác trong bán kính 300 foot của điểm truy cập không dây.
Các mối đe dọa đối với an ninh mạng không dây
- Rogue WLAN - Cho dù doanh nghiệp của bạn có mạng không dây chính thức bị xử phạt hay không, các bộ định tuyến không dây tương đối rẻ và những người dùng tham vọng có thể cắm thiết bị trái phép vào mạng. Các mạng không dây giả mạo này có thể không an toàn hoặc được bảo mật không đúng cách và gây rủi ro cho mạng lớn.
- Spoofing Internal Communications - Một cuộc tấn công từ bên ngoài mạng thường có thể được xác định như vậy. Nếu kẻ tấn công có thể kết nối với mạng WLAN của bạn, họ có thể giả mạo các liên lạc dường như đến từ các tên miền nội bộ. Người dùng có nhiều khả năng tin tưởng và hành động trên các giao tiếp nội bộ giả mạo hơn.
- Trộm cắp tài nguyên mạng - Ngay cả khi kẻ xâm nhập không tấn công máy tính của bạn hoặc xâm phạm dữ liệu của bạn, họ có thể kết nối với mạng WLAN của bạn và chiếm đoạt băng thông mạng của bạn để lướt Web. Chúng có thể tận dụng băng thông cao hơn trên hầu hết các mạng doanh nghiệp để tải xuống nhạc và video clip, sử dụng tài nguyên mạng quý giá của bạn và tác động đến hiệu suất mạng cho người dùng hợp pháp của bạn.
Bảo vệ mạng của bạn khỏi WLAN của bạn
An ninh được cải thiện là một lý do tuyệt vời để thiết lập WLAN của bạn trên VLAN của riêng nó. Bạn có thể cho phép tất cả các thiết bị không dây kết nối với mạng WLAN, nhưng bảo vệ phần còn lại của mạng nội bộ của bạn khỏi mọi sự cố hoặc các cuộc tấn công có thể xảy ra trên mạng không dây.
Sử dụng tường lửa hoặc ACL của bộ định tuyến (danh sách điều khiển truy cập), bạn có thể hạn chế giao tiếp giữa mạng WLAN và phần còn lại của mạng. Nếu bạn kết nối mạng WLAN với mạng nội bộ qua proxy web hoặc VPN, bạn thậm chí có thể hạn chế truy cập bằng thiết bị không dây để chúng chỉ có thể lướt web hoặc chỉ được phép truy cập vào các thư mục hoặc ứng dụng nhất định.
Truy cập WLAN an toàn
Mã hóa không dây
Một trong những cách để đảm bảo người dùng trái phép không nghe trộm trên mạng không dây của bạn là mã hóa dữ liệu không dây của bạn. Phương pháp mã hóa ban đầu, WEP (bảo mật tương đương có dây), đã được tìm thấy về cơ bản là thiếu sót. WEP dựa vào khóa hoặc mật khẩu được chia sẻ để hạn chế quyền truy cập. Bất cứ ai biết khóa WEP đều có thể tham gia vào mạng không dây. Không có cơ chế nào được tích hợp vào WEP để tự động thay đổi khóa, và có những công cụ sẵn có có thể crack khóa WEP trong vài phút, vì vậy sẽ không mất nhiều thời gian để kẻ tấn công truy cập vào mạng không dây được mã hóa WEP.
Trong khi sử dụng WEP có thể tốt hơn một chút so với việc không sử dụng mã hóa, nó không đủ để bảo vệ mạng doanh nghiệp. Thế hệ mã hóa tiếp theo, WPA (Truy cập Wi-Fi Protect), được thiết kế để tận dụng một máy chủ xác thực tương thích 802.1X, nhưng nó cũng có thể chạy tương tự như WEP trong chế độ PSK (Khóa chia sẻ trước). Cải tiến chính từ WEP sang WPA là việc sử dụng TKIP (Giao thức toàn vẹn khóa tạm thời), thay đổi động khóa để ngăn chặn các loại kỹ thuật bẻ khóa được sử dụng để ngắt mã hóa WEP.
Ngay cả WPA cũng là một cách tiếp cận băng thông. WPA là một nỗ lực của các nhà cung cấp phần cứng và phần mềm không dây để thực hiện bảo vệ đầy đủ trong khi chờ tiêu chuẩn 802.11i chính thức. Dạng mã hóa mới nhất là WPA2. Mã hóa WPA2 cung cấp các cơ chế phức tạp và an toàn hơn bao gồm cả CCMP, dựa trên thuật toán mã hóa AES.
Để bảo vệ dữ liệu không dây khỏi bị chặn và ngăn chặn truy cập trái phép vào mạng không dây của bạn, mạng WLAN của bạn nên được thiết lập với ít nhất mã hóa WPA, và tốt nhất là mã hóa WPA2.
Xác thực không dây
Ngoài việc mã hóa dữ liệu không dây, WPA có thể giao tiếp với các máy chủ xác thực 802.1X hoặc RADIUS để cung cấp phương thức kiểm soát truy cập mạng WLAN an toàn hơn. Trong trường hợp WEP hoặc WPA ở chế độ PSK, cho phép truy cập vô danh tới bất kỳ ai có khóa hoặc mật khẩu chính xác, xác thực RADIUS 802.1X hoặc RADIUS yêu cầu người dùng phải có thông tin đăng nhập tên người dùng và mật khẩu hợp lệ hoặc chứng chỉ hợp lệ để đăng nhập vào mạng không dây.
Yêu cầu xác thực cho mạng WLAN cung cấp bảo mật tăng lên bằng cách hạn chế quyền truy cập, nhưng nó cũng cung cấp tính năng ghi nhật ký và đường dẫn pháp lý để điều tra nếu có bất kỳ điều gì đáng ngờ xảy ra. Mặc dù mạng không dây dựa trên khóa chia sẻ có thể ghi nhật ký địa chỉ MAC hoặc IP, thông tin đó không hữu ích khi xác định nguyên nhân gốc rễ của sự cố. Việc tăng tính bảo mật và tính toàn vẹn được cung cấp cũng được khuyến nghị, nếu không được yêu cầu, đối với nhiều nhiệm vụ tuân thủ bảo mật.
Với WPA / WPA2 và máy chủ xác thực 802.1X hoặc RADIUS, các tổ chức có thể tận dụng nhiều giao thức xác thực, như Kerberos, MS-CHAP (Giao thức xác thực bắt tay Microsoft Challenge), hoặc TLS (Bảo mật lớp truyền tải) và sử dụng một mảng các phương thức xác thực thông tin xác thực như tên người dùng / mật khẩu, chứng chỉ, xác thực sinh trắc học hoặc mật khẩu một lần.
Mạng không dây có thể tăng hiệu quả, cải thiện năng suất và làm cho mạng hiệu quả hơn về chi phí, nhưng nếu chúng không được triển khai đúng cách, chúng cũng có thể là gót chân Achilles của bảo mật mạng của bạn và khiến toàn bộ tổ chức của bạn thỏa hiệp. Dành thời gian để hiểu những rủi ro, và làm thế nào để bảo mật mạng không dây của bạn để tổ chức của bạn có thể tận dụng sự tiện lợi của kết nối không dây mà không tạo ra một cơ hội cho một vi phạm an ninh.