Bảo mật mạng không dây, quản lý và Hỗ trợ DHCP

Khi tôi đang viết ấn bản đầu tiên của cuốn sách này, cách ưa thích của tin tặc là cố gắng vào mạng trái phép để tìm số điện thoại của modem trên mạng, quay số với một máy tính và đoán mật khẩu, như trong phim các trò chơi chiến tranh (War Games). Ngày nay, war driving đã thay thế rộng rãi trò tiêu khiển này như một môn thể thao phổ biến của tin tặc.

Bảo mật mạng không dây

War driving là tên đặt cho việc lái xe quanh khu phố với máy xách tay có card mạng không dây canh tìm những mạng không an toàn. Tất cả đều quá dễ dàng để tìm kiếm và sau khi ai đó xâm nhập vào mạng của bạn, tất cả bí mật trên máy tính đều bị lấy đi.

Laptop

Bởi vì bất kỳ ai cũng truy cập được mạng không dây trong phạm vi tín hiệu mà NIC phù hợp tiêu chuẩn IEEE của mạng không dây này, NIC và access point không dây cung cấp các tùy chọn mã hóa. Phần lớn access point (thậm chí các kiểu dùng trong công ty, văn phòng nhỏ rẻ tiền hơn) cũng cho khả năng để giới hạn kết nối đến access point bằng cách dùng danh sách số MAC cho phép (mỗi NIC chỉ có một địa chỉ MAC). Nó được thiết kế chỉ để truy cập đến các thiết bị được phép.

Mặc dù việc lọc theo địa chỉ MAC hữu ích trong việc ngăn chặn hàng xóm mượn băng thông, nhưng nó không thể chặn các tấn công do địa chỉ MAC này dễ dàng bị “nhái” hay giả mạo. Do đó bạn cũng cần xem các tính năng bảo mật khác trong mạng không dây, như mã hóa.

Lưu ý :

Trong quá khứ, người ta nghĩ rằng tính năng SSID của tiêu chuẩn IEEE 802.11 cũng là tính năng bảo mật. Không phải vậy, SSID của mạng Wi-Fi không gì khác hơn một tên mạng cho mạng không dây, giống như nhóm làm việc (workgroup), miền (domain) có tên mạng để xác định chúng. Việc quảng bá của SSID bị tắt (khi các máy con tìm kiếm mạng, chúng không thấy SSID ngay). Microsoft đã xác định SSID không quảng bá (Non-broadcast SSID) thực sự là mối hiểm họa an ninh lớn hơn SSID quảng bá (broadcast SSID), đặc biệt đối với Windows XP và Windows Server 2003. Để có nhiều thông tin, vào http://technet.microsoft.com/en- us/library/bb726942.aspx. Thực tế, có nhiều công cụ có sẵn miễn phí (và khá mạnh) cho phép các cá nhân đang rình mò nhanh chóng tìm ra SSID ngay cả khi nó không được quảng bá, do đó cho phép họ kết nối mạng không dây không an toàn của bạn.

Cách duy nhất mà SSID cung cấp một bảo mật nhỏ cho mạng không dây là thay đổi SSID mặc định của nhà sản xuất access point hay bộ định tuyến không dây. SSID mặc định thường xác định nhà sản xuất thiết bị (và đôi khi số mẫu). Một tin tặc có thông tin này có thể tìm ra tên người dùng và mật khẩu mặc định cho bộ định tuyến hay access point cũng như dãy địa chỉ mạng mặc định bằng cách tải tài liệu từ website nhà cung cấp. Dùng thông tin này, tin tặc có thể thâm nhập vào mạng nếu bạn không có những biện pháp bảo mật khác, chẳng hạn như mã hóa WPA/WPA2. Bằng cách dùng SSID mới và thay đổi mật khẩu cho chương trình cấu hình trên web của bộ định tuyến, bạn đã tạo ra một ít khó khăn cho tin tặc. Thực hiện các thay đổi bằng các hình thức mã hóa mạnh nhất mà mạng không dây của bạn hỗ trợ.

Tất cả sản phẩm Wi-Fi hỗ trợ tối thiểu mã hóa 40 bít thông qua đặc điểm kỹ thuật hệ thống mạng nội bộ không dây (WEP: wired equivalent privacy), nhưng tiêu chuẩn tối thiếu trên những sản phẩm gần đây là mã hóa WEP 64 bit. Nhiều nhà sản xuất cung cấp mã hóa 128 bít hay 256 bít trên một số sản phẩm cùa họ. Tuy nhiên, tính năng mã hóa 128 bit và mạnh hơn thì đại trà trong các sản phẩm cấp cho doanh nghiệp hơn là sản phẩm hướng cho công ty, văn phòng nhỏ. Không may, đặc điểm kỹ thuật WEP tại bất kỳ mức độ mã hóa nào cũng không an toàn đối với sự tấn công có chủ ý. Kích hoạt WEP sẽ giữ khoảng cách an toàn với người rình mò, nhưng bất kỳ ai muốn vào mạng không dây sẽ không mất nhiều công sức bẻ WEP. Vì lý do đó tất cả sản phẩm mạng không dây sản xuất sau năm 2003 đều kết hợp một tiêu chuẩn an ninh được biết như Truy cập Wi-Fi được bảo vệ (WPA: Wi-Fi Protected Access). WPA bắt nguồn từ tiêu chuẩn bảo mật IEEE 802.11i đang phát triển.

Phần cứng có khả năng WPA vận hành với các thiết bị tương thích WEP và phần mềm nâng cấp thường có sẵn cho các thiết bị hiện có để làm chúng có khả năng WPA. Thiết bịn 802.11g và 802.1ln mới nhất cũng hỗ trợ WPA2, một phiên bản được nâng cấp của WPA có phương thức mã hóa mạnh hơn (WPA dùng TKIP; WPA2 dùng AES).

Ghi chú :

Không may phần lớn phần cứng mạng không dây 802.11b chỉ hỗ trợ mã hóa WEP. Sự thiếu hỗ trợ cho các chuẩn mã hóa mạnh hơn là lý do chính để rời bỏ phần cứng 802.11b ủng hộ phần cứng 802.1lg hay 802.11n Draft 2, tất cả chúng đểu hỗ trợ mã hóa WPA hay WPA2.

Nâng cấp lên WPA hay WPA2 cũng có thể phải nâng cấp hệ điều hành. Cho thí dụ, Windows XP Service Pack 2 có hỗ trợ mã hóa WPA. Tuy nhiên, để dùng WPA2 với Windows XP Service Pack 2, bạn phải tải về Wireless Client Update cho Windows XP Service Pack 2 hay cài đặt Service Pack 3. Tại http://support.microsoft.com website, tìm Knowledge Base mục 917021. Bạn nên chọn mức độ mã hóa và loại mã hóa phù hợp trên cả access point lẫn NIC để đạt sự bảo mật tốt nhất, cần nhớ rằng nếu một số thiết bị trên mạng hỗ trợ WPA nhưng phần khác chỉ hỗ trợ WEP, mạng của bạn phải dùng tiêu chuẩn an ninh ít hơn (WEP). Nếu muốn dùng bảo mật WPA hay WPA2, bạn phải đảm bảo tất cả thiết bị trên mạng không dây hỗ trợ WPA. Do WEP dễ dàng bị bể và các thực thi WEP thay đổi tùy nhà sản xuất, tôi đề nghị chỉ dùng thiết bị hỗ trợ WPA hay WPA2.

Quản lý và Hỗ trợ DHCP

Phần lớn access point không dây được quản lý qua trình duyệt web, cung cấp sự chuẩn đoán và điều khiển các công cụ giúp bạn tối ưu vị trí của các access point. Phần lớn sản phẩm có tính năng hỗ trợ cho Giao thức cấu hình địa chỉ động (DHCP: Dynamic Host Configuration Protocol) cho phép người dùng di chuyển từ mạng con này sang mạng khác dễ dàng.

Số người dùng cho mỗi Access Point

Số người dùng cho mỗi access point thay đổi theo sản phẩm; Wi-Fi access point hỗ trợ bất kỳ nơi nào từ 15 đến 254 người dùng. Bạn nên liên lạc với nhà cung cấp Wi-Fi access point để biết chi tiết.

Mặc dù mạng Ethernet có dây vẫn là mạng ít tốn kém nhất nếu bạn tự làm hệ thống dây, mạng Wi-Fi hiện nay có giá cạnh tranh với mạng Ethernet có dây khi chi phí đi dây chuyên nghiệp được tính vào chi phí tổng thể.

Do Wi-Fi là tiêu chuẩn tin cậy, bạn có thể trộn và tìm access point và NIC không dây phù hợp đáp ứng giá, tốc độ, yêu cầu tính năng mong muốn cho hệ mạng không dây của bạn.

Các giao thức mạng

Nhiều năm qua, chọn lựa quan trọng thứ hai phải thực hiện khi tạo ra một hệ mạng là giao thức mạng bởi vì nó ảnh hướng đến loại máy tính mà mạng kết nối. Ngày nay, sự lựa chọn này đã được mở rộng: TCP/IP thay thế cho các giao thức mạng khác chẳng hạn như IPX/SPX (được dùng trong phiên bản cũ của Novell NetWare) và NetBEUI (được dùng trong mạng cũ của Windows và mạng ngang hàng trên hệ DOS, kết nối cáp trực tiếp) do nó được sử dụng cho cả Internet lẫn kết nối LAN. TCP/IP cũng là một giao thức phổ biến được dùng bởi hầu hết hệ điều hành.

Mặc dù các giao thức liên kết dữ liệu như Ethernet đòi hỏi phần cứng cụ thể, các giao thức mạng là phần mềm có thể cài đặt hay tháo gỡ trên bất kỳ máy tính nào trong mạng bất kỳ lúc nào, khi cần thiết. Bảng 1 tóm tắt các khác biệt giữa các giao thức.

Bảng 1: Tổng quan giao thức mạng

Giao thức Sử dụng tốt nhất Ghi chú
TCP/IP Phần lớn mạng trên hệ Windows cũng như Linux, Unix, Mac OS và các mạng khác Bộ giao thức được thiết kế cho Windows 2000 trở lên, Novell NetWare 5.x và mới hơn, Linux, Unix, Mac OS. Cũng được sử dụng cho truy cập Internet quay số.
IPX/SPX Novell 4.X và các mạng cũ hơn Được dùng bởi NetWare 5.x chỉ cho các tính năng cụ thể.
NetBIOS Windows cũ cho mạng Nhóm làm việc (Workgroup) hay mạng ngang hàng hệ DOS. Giao thức đơn giản nhất. Không thể chuyển giữa các mạng và được dùng với “mạng” kết nối cáp trực tiếp qua cổng USB, parallel hay serial.

Tất cả máy tính trên hệ mạng phải sử dụng cùng giao thức hay bộ giao thức để liên lạc với nhau.