 |
I-Today - Bạn lo sợ về tình trạng mất an ninh thông tin trên mạng Internent? nhất là bảo mật đối với mạng LAN không dây? Ngoài những công cụ, công nghệ ''cao siêu'' để bảo vệ, điều quan là nhận thức của mỗi người sử dụng, ''các doanh nghiệp làm sao phải có biện pháp cứng rắn đối với nhân viên sử dụng LAN không dây, không có biện pháp bảo mật nào hữu hiệu nếu người được hệ thống bảo mật bảo vệ lại không hiểu hoặc tuân thủ các nguyên tắc bảo mật đang được áp dụng'', quan điểm của ông Ray Wu, Giám đốc Marketing Sản phẩm, Bộ phận mạng không dây, Intel châu Á - Thái Bình Dương về vấn đề nóng hổi - BẢO MẬT MẠNG KHÔNG DÂY ngày nay...
Hiện trạng...
Nghiên cứu của công ty IDC chỉ ra rằng, 72% các công ty được hỏi cho biết, họ đã bị nhiễm virus qua Internet, 39% cảm thấy mức độ đe dọa về bảo mật gia tăng trong suốt năm 2002. Một công ty nghiên cứu thị trường khác là Gartner cũng dự báo, sẽ có khoảng 20% doanh nghiệp gặp các sự cố về bảo mật Internet cho tới năm 2005. Các sự cố này không chỉ là virus mà còn bao gồm các cuộc cố ý tấn công vào thông tin và sở hữu trí tuệ. Theo Cục cảnh sát quốc gia Hàn Quốc, từ tháng 8/2001 tới tháng 3/2002, tổng cộng có 4.376 báo cáo về thâm nhập virus qua Internet và các tấn công của hacker, chiếm 39% các vụ tấn công trực tuyến trên toàn thế giới. Mỹ, Trung Quốc và Đài Loan lần lượt đứng ở các ví trứ thứ hai, ba và bốn sau số 1 là Hàn Quốc.
Trong lúc các doanh nghiệp cố gắng giải quyết các vấn đề bảo mật thì những công nghệ mới lại làm tăng thêm thách thức. Ví dụ như: các dịch vụ Web gây ra các gián đoạn trong bảo mật ứng dụng mới, hay mạng LAN không dây chưa bảo mật tạo để lộ ra các điểm truy cập quan trọng trên mạng của doanh nghiệp.
Bạn lo sợ ? Đúng vậy! Nhưng trong lúc có rất nhiều quan ngại về bảo mật mạng LAN không dây thì tôi cũng phải khẳng định rằng, có nhiều công cụ công nghệ khác mạnh mẽ để bảo mật mạng LAN không dây, nhưng quan trọng hơn là các doanh nghiệp phải có biện pháp cứng rắn đối với nhân viên sử dụng LAN không dây, giáo dục cho họ có nhận thức bảo mật đúng đắn. Không có biện pháp bảo mật nào hữu hiệu nếu người được hệ thống bảo mật bảo vệ lại không hiểu hoặc tuân thủ các nguyên tắc bảo mật đang được áp dụng.
Kẻ thù tệ nhất!
Theo Hiệp hội ngành công nghệ máy tính (CTIA), các lỗi do con người, chứ không phải của công nghệ, là nguyên nhân chính gây ra hầu hết các sự cố bảo mật CNTT. Một khảo sát của CTIA cho thấy hơn lỗi con người có vai trò chính trong 63% các sự cố bảo mật CNTT và chỉ có 8% là do lỗi của công nghệ.
Khảo sát này cũng cho thấy 22% công ty có nhân viên CNTT gần đây không được huấn luyện về bảo mật, 69% công ty có dưới 25% số nhân viên kỹ thuật được huấn luyện để chống sự cố bảo mật, chỉ có 11% công ty có nhân viên CNTT được huấn luyện chu đáo về bảo mật.
Trước tiên, hãy cùng xem xét những công nghệ hiện có dùng để cải thiện bảo mật mạng LAN không dây. Sau đó chúng ta sẽ thảo luận tại sao các chính sách cứng rắn và nhận thức đúng đắn về bảo mật lại là các yếu tố quan trọng nhất trong việc bảo vệ mạng LAN không dây.
Làm sao khắc phục tính chất dễ bị tấn công của mạng LAN không dây?
Giống như bất cứ mạng máy tính nào, mạng LAN không dây phải được bảo mật để đảm bảo an toàn và bí mật cho dữ liệu trên mạng. Do công nghệ LAN không dây dựa trên truyền sóng radio nên nó tạo ra các lo ngại chính đáng về bảo mật mạng. Bởi vậy, việc lãnh đạo công ty cẩn phải hiểu được bản chất và gia tăng rủi ro của mạng LAN không dây cũng như các giải pháp hiện có để dùng cho các khu vực dễ bị tấn công.
Các tài liệu kỹ thuật đều cho biết, chuẩn không dây 802.11 WLAN sử dụng bảo mật tương đương mạng kết nối dây (Wired Equivalent Privacy -WEP) có những điểm yếu cố hữu trong cách mà nó bảo vệ mạng. Có rất nhiều công cụ có công khai trên Internet và có thể tải về miễn phí để dùng vào việc đột nhập các mạng không bảo mật. Và điều này có nghĩa là kẻ tấn công có khả năng lấy thông tin đang truyền trên mạng và dùng những công cụ này để giải mã, bắt các gói dữ liệu trên mạng, xâm nhập trái phép vào mạng.
Do tính bảo mật yếu kém của 802.11 với WEP và chuẩn 802.11 WLAN gốc, sự phát triển của tính năng bảo vệ truy cập Wi-Fi 9 (Wi-Fi Protected Access -WPA) không chỉ cung cấp khả năng mã hóa mạnh hơn để sửa các điểm yếu WEP mà còn thêm xác thực người sử dụng mà WEP không có. WPA đang được triển khai như một tính năng chuẩn trong các sản phẩm WLAN như công nghệ di động Centrino của Intel, và các nhà sản xuất đang đưa tính năng bảo vệ này sẵn sàng để tải xuống bằng phần mềm. WPA áp dụng bộ mã hóa sử dụng giao thức toàn bộ khoá thời gian (temporal key integrity protocol - TKIP). TKIP được các nhà mã hóa hàng đầu thiết kết và nghiên cứu kỹ càng để bảo vệ tốt hơn nữa mạng LAN không dây.
Để giải quyết tốt hơn nữa các lỗi bảo mật WEP, các doanh nghiệp đang bắt đầu ứng dụng chuẩn 802.1X, là chuẩn dùng cơ sở hạ tầng của WLAN để xác thực các thiest bị gắn vào cổng trên mạng và từ chối truy nhập cổng nếu không xác thực được. 802.1X được thiết kế để cung cấp các truy nhập qua cổng có điều khiển giữa các thiết bị khách không dây, các điểm truy cập và máy chủ. Nó sử dụng các khóa mã động thay vì khóa tĩnh như trong xác thực WEP, nó cũng đòi hỏi giao thức xác thực hai chiều. Điều này có nghĩa là các cổng truy cập có thể xác định máy khách và máy khách cũng xác định điểm truy cập nào là hợp pháp. Để xác thực hoạt động được, truyền tải thông tin của người sử dụng phải đi qua cổng truy nhập WLAN để tới máy chủ làm nhiệm vụ xác thực thông qua dịch vụ xác thực khách hàng từ xa (remote authentication dial-in user service (RADIUS). Do 802.1X thống nhất trên cả LAN và WLAN, các doanh nghiệp có thể tránh được việc đào tạo và duy trì kỹ năng bảo mật của nhân viên do phải dùng hai giải pháp xác thực khác nhau.
802.11i, một chuẩn bảo mật sẽ có trên thị trường vào cuối năm 2003 và đầu năm 2004a, sẽ có cơ chết xác thực và mã hóa mạnh hơn nữa nhờ áp dụng WPA. Người ta sẽ sử dụng xác chuẩn xác thực 802.1X cho các thiết bị 802.11 mới hoặc đã có. Điều đáng ghi nhận nhất là chuẩn mã hóa hiện đại (advanced encryption standard AES) sẽ được thêm vào để tăng cường mã hóa và bảo mật dữ liệu. 802.11i cũng sẽ kết hợp với cập nhật bảo mật TKIP cho các phần cứng hiện có, tạo ra một phần mềm mạnh mà bỏ bọc bằng phần sụn (firmware) cho WEP.
Mạng riêng ảo (VPN) - Cơ chế bảo mật tốt hơn!
Để mạng riêng ảo (Virtual Private Networks - VPN) hỏi quyền truy cập mạng không dây là phương thức đã được chứng minh và có khả năng mở rộng để bảo vệ mạng của bạn. Một mạng riêng ảo cho phép người sử dụng truy cập một mạng công cộng hoặc một mạng không đáng tin cậy như Internet hoặc mạng LAN 802.11 không dây dựa trên WEP để tạo ra kết nối với một mạng riêng. Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật chuẩn công nghiệp đã được chứng minh, trong đó có IPSec (Internet Protocol Security). IPSec dùng các thuật toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu, và dùng các thuật toán khác để xác thực gói dữ liệu. IPSec cũng sử dụng thẻ xác nhận số để xác nhận khóa mã (public key). Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa.
Nhân viên bảo mật phải làm gì?
Để bảo vệ một mạng WLAN, phải giải quyết cả hai vấn đề: truy cập mạng (xác thực) lẫn bảo vệ dữ liệu (mã hóa). Xâm phạm bảo mật thường đi qua các điểm truy cập được nhân viên CNTT đặt chế độ bảo mật kém, thường do thiếu kiến thức quản trị mạng hoặc cài đặt với chế độ tắt các tính năng bảo mật.
Nhân viên quản trị mạng có thể tuân theo một loạt các kỹ năng thực hành và đặt các yếu tố bảo mật vào đúng chỗ. Từ các cơ chế bảo mật cơ bản nhất đến các giao thức xác thực và mã hóa mới nhất, phòng CNTT của công ty cần phải tận dụng khả năng bảo mật cao nhất. Công ty càng được bảo mật tốt bao nhiêu, mạng được bảo mật tốt bấy nhiêu, độ an toàn của dữ liệu tăng cao bấy nhiêu.
Các nhà quản trị mạng có thể biến mỗi người dùng máy tính cá nhân trong văn phòng trở nên tự chủ trong bảo mật, sử dụng tất cả những người nối mạng như những nhân viên bảo mật để giúp quản lý mọi rủi ro bằng cách giải thích cho họ biết mỗi nhân viên phải làm chủ việc bảo mật cho riêng mình đồng thời chia sẻ chi phí của việc bảo mật bị xâm phạm. Làm cho các nhân viên nhận thức được rủi ro của các điểm truy cập có bảo mật yếu và những điểm yếu này là do cài đặt thiếu kiến thức và không có sự đòng ý của người quản trị mạng khi đặt dự liệu của công ty vào hoàn cảnh hiểm nghèo. Nhấn mạnh đến tầm quan trọng của việc chỉ kết nối vào những điểm truy cập mà mình biết và áp dụng một hệ thống trong đó người sử dụng biết tên thực của điểm truy cập. Người sử dụng cũng phải được giáo dục về rủi ro bảo mật của việc kết nối không dây bằng cách sử dụng mạng ngang hàng và các mối nguy hiểm không lường trước ở những nơi công cộng hoặc chia sẻ.
Giúp nhân viên hiểu được rủi ro của việc không sử dụng bảo mật là một điều rất quan trọng, đặc biệt là cho họ thấy cách kiểm tra cơ chế bảo mật trên máy PC, và nếu được yêu cầu, họ phải kích hoạt được những cơ chế này. Điều này cho phép kiểm soát và quản lý mạng dễ dàng hơn.
Gỡ bỏ dây nối...
Trong một doanh nghiệp, việc cải tiến triệt để hiệu suất lao động là rất hiếm. Điện toán di động và các công nghệ không dây đã trỗi dậy như một sự ngoại lệ mạnh mẽ, mang đến gia tăng năng suất lao động bổ sung cho nhân viên. Tuy nhiên, hiệu suất chỉ tăng thêm nếu có những biện pháp bảo mật đúng mức được áp dụng, còn không, doanh nghiệp sẽ đối mặt với những vụ xâm phạm bảo mật và những vụ tất công của hacker trước khi nhận ra được sự gia tăng hiệu suất lao động.
Các công nghệ như WPA hiện đã có cho bảo mật mạng WLAN, các công ty thứ ba hàng đầu cũng đang đưa ra các giải pháp bảo mật mạnh và tương thích tương lai với chuấn 802.11i. Việc ứng dụng công nghệ không dây an toàn chỉ là một nửa câu chuyện, nửa còn lại tùy thuộc vào chúng ta. Một số công ty cho nhân viên nhận cổ phần thay cho lương cũng như khuyến khích các cuộc họp thường kỳ để tạo ý thức về sự sở hữu và trách nhiệm của nhân viên đối với tổ chức doanh nghiệp. Bằng cách dạy nhân viên - từ cấp thấp tới mức quản trị nhân sự - về lợi ích của việc tuân thủ chặt chẽ quy chế bảo mật mạng WLAN và họ chỉ đóng vai trò trong bảo mật mạng WLAN khi doanh nghiệp thực sự đánh giá cao và có lợi ích từ môi trường làm việc không dây. Với công nghệ bảo mật và văn hóa công ty đúng đắn, bây giờ là thời điểm nên triển khai các công nghệ WLAN như công nghệ di động Centrino của Intel - để gỡ bỏ dây nối doanh nghiệp và mang đến cho doanh nghiệp những công cụ tối đa hóa hiệu suất, an toàn và bảo mật.
(Huyền Chi lược ghi)
