Gửi lúc: 14/08/2018 14:20:37
Bookmark and Share

Một số khuyến nghị bảo đảm an toàn thông tin mạng không dây

Mới đây, Cục An toàn thông tin, Bộ Thông tin và Truyền thông đã đưa ra một số khuyến nghị bảo đảm an toàn thông tin mạng không dây dành cho các cán bộ kỹ thuật.

Untitled Document

Mạng không dây - Wireless LAN (WLAN) là mô hình mạng được sử dụng cho một khu vực có phạm vi nhỏ (tòa nhà, khuôn viên của một công ty, trường học). WLAN sử dụng băng tần phục vụ công nghiệp, khoa học, y tế là 2.4GHz và 5GHz, không chịu sự quản lý của chính phủ, cũng như không cần cấp giấy phép sử dụng, vì vậy tồn tại nhiều vấn đề liên quan tới rủi ro mất an toàn thông tin của người dùng trong mạng WLAN.

Ngoài ra, do sử dụng môi trường truyền dẫn vô tuyến, nên WLAN rất dễ bị rò rỉ thông tin do tác động của môi trường bên ngoài, đặc biệt là sự tấn công của các tin tặc. Do đó, đi đôi với phát triển WLAN, phải phát triển các khả năng bảo mật WLAN an toàn, để cung cấp thông tin hiệu quả, tin cậy cho người sử dụng.

 

Đối với người dùng tại gia đình và các cơ quan, văn phòng nhỏ

Do chi phí triển khai các biện pháp bảo đảm an toàn thông tin là một vấn đề không được lưu tâm đầu tư, nên một số biện pháp có thể áp dụng để giảm thiểu rủi ro mất an toàn thông tin bao gồm:

- Cập nhật phần mềm, firmware cho các thiết bị truy nhập và các điểm truy nhập với phiên bản mới nhất do nhà sản xuất cung cấp.

- Kích hoạt các phương thức mã hóa WEP/WPA/WPA2 theo thứ tự ưu tiên sử dụng WPA2, WPA nếu thiết bị hỗ trợ.

- Thay đổi tên mạng không dây (Service Set Identifier - SSID) mặc định do các nhà sản xuất cài đặt sẵn, chú ý không sử dụng các tên gọi có gợi ý như tên đường phố hay địa chỉ, công ty, nhà riêng hay họ tên các thành viên trong gia đình, cơ quan, văn phòng.

- Không kích hoạt chức năng quảng bá SSID. Để thực hiện tính năng này, cần đảm người dùng hợp pháp đã lưu trữ thông tin SSID trên thiết bị.

- Lọc địa chỉ MAC (Media Access Control): Một vài điểm truy nhập có khả năng chấp nhận các kết nối chỉ đối với các địa chỉ MAC đáng tin cậy là các địa chỉ duy nhất trên mạng (không trùng khớp nhau). Thực hiện điều này là rất khó khăn trong một môi trường với hơn 20 người dùng do việc thiết lập điểm truy nhập bằng tay rất mất thời gian. Tuy nhiên, nó có thể được thiết lập một cách đơn giản trong môi trường nhà ở và văn phòng nhỏ.

Đối với người dùng tại các cơ quan, tổ chức, văn phòng vừa và nhỏ

Các cơ quan, tổ chức, văn phòng vừa và nhỏ có thể là một phần của một tổ chức lớn hơn. Đảm bảo an toàn thông tin là vấn đề quan trọng và phải cân bằng với hiệu suất sử dụng khi số lượng người dùng gia tăng. Các biện pháp tăng khả năng an toàn thông tin đối với người dùng cho các đối tượng này bao gồm:

- Cập nhật phần mềm, firmware cho các thiết bị truy nhập và các điểm truy nhập với phiên bản mới nhất do nhà sản xuất cung cấp.

- Kích hoạt các phương thức mã hóa WEP/WPA/WPA2 theo thứ tự ưu tiên sử dụng WPA2, WPA nếu thiết bị hỗ trợ.

- Sử dụng mạng riêng ảo (VPN - Virtual Private Network): Trong trường hợp có thể sử dụng các điểm truy nhập kích hoạt IPSec hoặc các tường lửa có cơ chế thiết lập các đường truyền VPN từ người dùng cuối tới điểm truy nhập. Phần mềm VPN cho phép quá trình xác thực và mã hoá hiệu quả hơn trong mạng công cộng (bao gồm các thành phần vô tuyến và hữu tuyến).

- Thay đổi mật khẩu mặc định của nhà sản xuất, sử dụng các mật khẩu an toàn cho các điểm truy nhập.

- Đảm bảo các mật khẩu được mã hoá trước khi truyền qua mạng. Khi gửi mật khẩu tới người dùng, sử dụng một chương trình mã hóa để đảm bảo rằng các mật khẩu không bao giờ được gửi đi một cách rõ ràng mà những người dùng khác có thể hiểu được.

- Luôn lưu ý kiểm tra cấu hình điểm truy nhập để đảm bảo thiết bị này không bị khôi phục về các thiết lập mặc định do một nguyên nhân khách quan hay chủ quan nào đó. Khi khôi phục, các thiết lập mặc định của điểm truy nhập không có khả năng bảo đảm an toàn khiến dễ trở thành mục tiêu của tin tặc.

Đối với người dùng tại các cơ quan, tổ chức, tập đoàn lớn

Do yêu cầu về an toàn thông tin với các đối tượng này là cao hơn, nên ngoài các khuyến nghị đã nêu trên, các cơ quan, tổ chức có thể xem xét các yếu tố sau:

- Giám sát các điểm truy nhập: Sử dụng các công cụ hỗ trợ vận hành để giám sát mạng một cách liên tục và kiểm tra các điểm truy nhập không tuân thủ các nguyên tắc về cấu hình. Một vài điểm truy nhập không có các thiết lập an toàn thông tin theo quy định tương ứng có thể là một điểm truy nhập bí mật thiết lập bởi tin tặc.

- Xác thực: Tích hợp các mạng WLAN vào trong cơ chế xác thực bằng cách sử dụng các máy chủ RADIUS hoặc LDAP. Các mật khẩu và tên người dùng có thể được mã hoá hoặc các dùng chứng thực số.

- Điều khiển sóng vô tuyến: Tối thiểu hoá quá trình truyền sóng vô tuyến trong các khu vực không có người dùng như các khu vực đỗ xe hay các khu vực lân cận văn phòng. Thử nghiệm các anten để tránh các vùng phủ bên ngoài các biên giới điều khiển về mặt vật lý trong điều kiện thuận lợi. Nếu có thể, không đặt các điểm truy nhập tại biên của khu vực nhà ở hay văn phòng.

- Phân vùng các thiết bị: đưa các điểm truy nhập vào một vùng mạng trung lập giữa mạng nội bộ và mạng Internet (DeMilitarized Zone - DMZ). Thiết lập cấu hình cho tường lửa để cho phép truy nhập đối với người dùng hợp lệ dựa trên các địa chỉ MAC, làm cho các tin tặc tấn công vào mạng khó khăn hơn.

T.U (Theo Cục An toàn thông tin)