• Thứ Năm, 15/05/2014 07:11 (GMT+7)

    Cẩn trọng với bảo mật Wi-Fi doanh nghiệp

    Quang Anh
    Doanh nghiệp vừa và nhỏ có thể sẽ phải trả giá đắt cho việc không đánh giá đúng mức về vấn đề bảo mật mạng không dây ở nơi làm việc. Sau đây là 7 lý do quan trọng.

    Mặc dù việc cài đặt và sử dụng chế độ cá nhân của bảo mật Wi-Fi là khá dễ dàng và đơn giản, song các công ty và tổ chức cần phải sử dụng mức độ bảo mật doanh nghiệp WPA2 (cũng được biết tới với tên gọi 802.11i. Tuy rằng việc này yêu cầu một máy chủ RADIUS (Remote Authentication Dial In User Service – dịch vụ xác thực người dùng truy cập) để tiến hành các xác thực chuẩn 802.1X và việc cài đặt cũng phức tạp hơn vào thời điểm ban đầu, song nó mang lại những tùy chọn bảo mật không dây cao cấp hơn và tiết kiệm được thời gian và tiền bạc trong dài hạn. Để cân nhắc xem có nên chọn chuẩn bảo mật này hay không, các doanh nghiệp hãy thử tham khảo các nguyên nhân được PCW nêu ra dưới đây.
     

    1. Triệt tiêu các nguy cơ tiềm ẩn của việc chia sẻ mật khẩu
    Khi sử dụng chế độ cá nhân (Personal mode) mà dân kỹ thuật thường gọi là phương thức chia sẻ mật khẩu trước (Pre-shared Key - PSK) của các chuẩn bảo mật WPA hay WPA2, nó sẽ tạo ra một mật khẩu thống nhất và duy nhất tại thời điểm đó. Mọi người sử dụng mạng không dây đó sẽ dùng chung một mật khẩu này và lưu chúng trên thiết bị kết nối của mình. Do vậy một khi thiết bị kết nối này bị thất thoát hoặc mất cắp, người sở hữu thiết bị có thể sử dụng chúng để kết nối thoải mái vào mạng. Một nguy cơ khác là khi nhân viên chuyển chỗ làm, họ có thể sử dụng mật khẩu này để tiếp tục truy cập vào mạng không dây đó trên những thiết bị khác.
    Để phòng tránh điều này, bộ phận quản lý mạng không dây chỉ có cách là thay đổi mật khẩu Wi-Fi mỗi khi có nhân  viên nghỉ việc hay có người báo mất thiết bị. Tiếp theo đó là phải thông báo với toàn thể những người dùng còn lại về mật khẩu mới và những người này lại phải nhập lại mật khẩu mới vào thiết bị của họ. Đó là chưa kể đến một vài phiên bản Windows hay một số thiết bị nhất định, người dùng cần phải vào phần lưu mật khẩu để xóa hẳn mật khẩu cũ. Nếu không thì thiết bị sẽ vẫn cố dùng mật khẩu cũ để kết nối. Chắc hẳn người dùng sẽ khá bối rối và bộ phận IT lại có thêm việc để làm.
    Chế độ bảo mật doanh nghiệp (Enterprise mode) của WPA hay WPA2 thì cho phép bộ phận quản trị khởi tạo cho mỗi người dùng tài khoản với tên đăng nhập và mật khẩu riêng biệt với phương thức phổ biến PEAP. Với cách làm này, mỗi khi có nhân viên nghỉ việc hay mất thiết bị thì chỉ đơn giản xóa đi quyền truy cập của tài khoản người dùng tương ứng là xong.
    Lưu ý với là kể từ Windows Vista trở về sau, mật khẩu Wi-Fi có thể tìm được rất dễ dàng ở phần hồ sơ mạng. Với Windows XP, cũng có công cụ để tìm ra mật khẩu này. Kể cả khi Windows có lưu các thông tin đăng nhập dạng 801.X trong bộ nhớ đệm thì mật khẩu này cũng đã bị mã hóa. Và ngay trong trường hợp có người cố tình giải mã được thì bộ phận quản trị cũng có thể thay đổi mật khẩu này ngay lập tức.
     

    2. Ngăn chặn việc xem lén thành viên khác
    Với chế độ bảo mật Wi-Fi cá nhân, bất kỳ ai có mật khẩu truy cập không dây đều có thể quan sát và truy xuất dữ liệu liên quan đến băng thông của mạng. Hậu quả của nó là kẻ xấu có thể xem được lịch sử duyệt web của các thành viên dùng chung mạng không dây, qua đó có thể tiến hành đánh cắp các thông tin truy nhập tới các trang không mã hóa hay tệ hơn là đánh cắp mật khẩu truy cập e-mail hoặc các các tài khoản mạng xã hội khác.
    Với chế độ bảo mật doanh nghiệp - Enterprise mode của mạng không dây, các khóa mã hóa được tạo ra và trao đổi ở chế độ chạy nền nhằm ngăn chặn người dùng giải mã để xem các hoạt động trong mạng không dây của các thành viên khác. Nó hoàn toàn không ảnh hưởng đến việc chia sẻ qua mạng, người dùng vẫn có thể truy cập các thư mục chia sẻ và máy in dùng chung nhưng lại không xem được việc truy cập mạng của các thành viên khác.
     

    3. Cho phép ứng dụng nhiều giải pháp bảo mật nâng cao hơn
    Khi sử dụng phương thức PEAP của chuẩn 802.1X để cung cấp những mật khẩu riêng biệt, chế độ bảo mật Enterprise mode còn có thể cung cấp thêm các tùy chọn yêu cầu xác thực SSL (X.509) đối với người truy cập khi sử dụng phương thức EAP-TLS. Mặc dù phương thức này sẽ phải cung cấp và cài đặt chứng chỉ trên máy khách song đây là một phương thức bảo mật còn tốt hơn cả mật khẩu. Để nâng độ bảo mật cao hơn nữa, bộ phận quản trị mạng có thể áp dụng thêm các xác thực người dùng cẩn mật hơn như các thông tin cá nhân được lưu trữ trên thẻ thông minh. Khi ấy sẽ cần thêm một thẻ vật lý tương tác với thiết bị truy cập vào mạng 802.1X.

    4. Có thể áp dụng quản lý sang cả mạng có dây
    Quá trình xác thực của chuẩn không dây 802.1X trong chế độ bảo mật Enterprise được cung cấp bởi máy chủ RADIUS và cũng được sử dụng để xác thực các kết nối hữu tuyến khác của hệ thống mạng. Mặc dù chuẩn 802.1X đơn độc cũng chưa thể cung cấp khả năng mã hóa cho mạng Ethernet nhằm ngăn chặn kẻ xấu rình mò, song nó vẫn yêu cầu cung cấp xác thực về tài khoản đăng nhập trước khi kết nối.

    5. Mạng LAN ảo dễ xử lý hơn
    Việc áp dụng cơ chế xác thực 802.1X cũng đưa tới cho bộ phận quản trị mạng khả năng gán mã xác thực động cho các thiết bị sử dụng mạng LAN ảo. Ví dụ, thay vì việc gán mã xác thực của những người cùng dùng mạng VLAN vào SSID, bộ phận quản trị có thể tạo ra một ID riêng dành cho mạng LAN ảo này trong máy chủ RADIUS và chúng sẽ được nhập vào mạng VLAN khi đăng nhập với bất kỳ SSID nào bằng tên người dùng thống nhất.
     


    6. Thêm nhiều khả năng kiểm soát khác
    Khi áp dụng chế độ Personal, tất cả các thành viên sử dụng mạng Wi-Fi đều dùng chung một mật khẩu và bộ phận quản trị không có khả năng xử lý riêng biệt các cá nhân truy cập mạng. Với chế độ bảo mật cấp Enterprise, máy chủ RADIUS có thể cung cấp các thuộc tính hỗ trợ để có thể tùy chọn sử dụng đối với từng cá nhân hay một nhóm người dùng, miễn là họ đăng ký truy nhập bằng mật khẩu riêng của chính mình do bộ phận quản trị cấp.
    Các thuộc tính phổ biến mà máy chủ RADIUS hỗ trợ bao gồm tính năng cho phép truy cập chính xác theo thời gian quy định Login-Time, cho phép người dùng truy cập tại các điểm phát sóng cụ thể nào trong mạng  Called-Station-ID, hay Calling-Station-ID để xác định chính xác các thiết bị khách có thể được truy cập vào mạng.
     

     

    7. Hỗ trợ bảo vệ truy cập mạng (Network Access Protection - NAP)
    Bên cạnh các thuộc tính hỗ trợ thiết bị khách cơ bản mà máy chủ RADIUS mang lại, bộ phận quản trị còn có thể tận dụng các tính năng bảo vệ truy cập mạng NAP áp dụng bổ trợ cho việc xác thực của 802.1X.
    NAP là một công nghệ của Microsoft cho phép người quản trị có thể kiểm soát việc truy cập mạng của người dùng dựa trên độ an toàn của thiết bị người sử dụng. Ví dụ như trước khi cấp đầy đủ quyền truy cập mạng, người quản trị sẽ kiểm tra xem hệ điều hành và các chương trình chống virus của thiết bị truy cập đã được cập nhật hay chưa, tường lửa cá nhân đã được thiết lập chưa hay các tùy chọn bảo mật khác theo yêu cầu của tổ chức. 
     

    Lời khuyên
    Mặc dù các máy chủ RADIUS là không miễn phí, phần cứng và phần mềm phụ trợ cũng có giá hàng ngàn USD, thậm chí cũng có các giải pháp kinh tế hơn cho các mạng vừa và nhỏ song đừng để chúng ngăn cản doanh nghiệp bạn áp dụng chuẩn bảo mật mạng không dây Enterprise.
    Trước hết hãy kiểm tra xem có máy chủ hay máy tính nào trong mạng có thể cung cấp được các tính năng của máy chủ RADIUS. Ví dụ như đối với Windows Server, bộ phận quản trị có thể dùng Internet Authentication Service (IAS) tích hợp sẵn trong  Windows Server 2003 R2 hay dùng Network Policy Server (NPS) vốn đã tích hợp vào các phiên bản Windows Server 2008 và sau này.
    Nếu như không muốn tự điều hành một máy chủ RADIUS của riêng mình, doanh nghiệp có thể chọn các dịch vụ điện toán đám mây có hỗ trợ xác thực theo chuẩn 802.1X qua internet.
    Với hệ điều hành (vẫn còn) rất phổ biến Windows XP, bộ phận quản trị mạng cần tiến hành thiết lập các cài đặt xác thực theo chuẩn 802.1X trước khi áp dụng chuẩn bảo mật Enterprise đối với mạng không dây. Đối với các phiên bản hệ điều hành Windows kể từ Vista trở đi, người quản trị chỉ cần nhập vào tài khoản và mật khẩu đăng nhập vào là có thể tiến hành thiết lập được ngay. Khả năng này cũng áp dụng cho các thiết bị di động và các hệ điều hành khác kiểu như iOS hay Android.
    Đối với các trường hợp cần thiết lập xác thực theo chuẩn 802.1X trước nhằm đảm bảo các tiêu chuẩn bảo mật nhất định khi cấu hình cũng như cung cấp các chứng chỉ sử dụng EAP-TLS, áp dụng chế độ Enterprise hoàn toàn có thể xử lý được. Đối với các thiết bị sử dụng tên miền dùng chung, bộ phận quản trị vẫn có thể cung cấp hồ sơ mạng thông qua Group Policy. Hoặc cũng có thể sử dụng công cụ dòng lệnh để đẩy các thiết lập này xuống máy người dùng. Họ cũng có thể sử dụng công cụ của bên thứ ba như phần mềm SU1X 802.1X Configuration Deployment Tool miễn phí. Nếu muốn có các ứng dụng chất lượng cao hơn, bộ phận quản trị có thể xem xét các phần mềm có phí như Xpressconnect hay ClearPass QuickConnect.
    Trong quá khứ, việc áp dụng chuẩn xác thực 802.1X có thể bị bỏ qua vì các thiết bị cũ chỉ hỗ trợ chuẩn bảo mật WEP hoặc chế độ PSK của WPA mà thôi. Các doanh nghiệp ở tình trạng này cần xem xét cập nhật phần mềm hỗ trợ chuẩn xác thwucj 802.1X càng sớm càng tốt hoặc tìm cách nâng cấp thiết bị mạng không dây ngay. Nếu chưa làm được điều đó, hãy xem xét việc tạo ra các SSID riêng biệt với chế độ PSK trong WPA/WPA2 đối với tất cả các thiết bị  chưa hỗ trợ 802.1X.

    PC World VN, 05/2014

     

    ID: A1405_63