Khi sử dụng thiết bị hotspot wifi nếu không biết bảo mật đúng cách thì sẽ bị dễ bị tấn công và "đột nhập" nhưng bạn có thể sử dụng các thiết lập nhằm hạn chế các tấn công.
Không không sử dụng chuẩn bảo mật WEP
Thuật ngữ bảo mật WEP (wired equivalent privacy) đã đi vào di vãng nhưng các thiết bị phát Wifi vẫn có chuẩn này trong mục cấu hình. Chuẩn bảo mật này dễ dàng bị phá nhanh chóng bởi hầu hết các tin tặc có kinh nghiệm hoặc nhưng người rành về công nghệ. Lời khuyên hữu ích là bạn nên chuyển sang chuẩn WPA2 (Wi-Fi protected access) với việc chứng thực theo chuẩn 802.11i. Nếu bạn có một bộ phát không dây không hỗ trợ chuẩn mã hóa WPA2, bạn hãy thử cập nhật firmware hoặc thay thế bằng sản phẩm mới hơn.
Không sử dụng chuẩn mã hóa WPA/WPA2-PSK
Chế độ PSK (pre-shared key) của chuẩn mã hóa WPA/WPA2 không bảo mật đối với môi trường doanh nghiệp. Khi bạn sử dụng chế độ này, PSK phải được nhập ở mỗi máy tính kết nối với bộ phát. Và điều phiền toái là bạn phải thay đổi PSK khi có sự thay đổi về nhân sự và khi một máy tinh hay thiết bị nào đó của công ty bị đánh cắp. Đây là điều không phù hợp đối với hầu hết các môi trường sử dụng bộ phát không dây.
Triển khai chuẩn 802.11i
Chế độ EAP (extensible authentication protocol, tạm dịch: giao thức chứng thực có khả năng mở rộng) của WPA và WPA2 sử dụng chứng thực 802.1X bao gồm cả PSK sẽ cung cấp khả năng để cấp cho mỗi người sử dụng tài khoản hoặc chứng thực số khi muốn lap dat wifi.
Các khóa mã hóa đuợc thay đổi thường xuyên và trao đổi một cách lặng lẽ. Để thay đổi hoặc hủy bỏ các truy cập bạn phải thay đổi các thông tin đăng nhập trên một máy chủ trung tâm, điều này thuận tiện hơn việc phải thay đổi PSK trên mỗi thiết bị kết nối. Các khóa sinh ra theo mỗi phiên cũng ngăn cản việc người sử dụng khỏi việc bị "nghe trộm". Hiện tại thì điều này được thực hiện dễ dàng với add-on của Firefox là Firesheep và ứng dụng Android là DroidSheep. Việc sử dụng chuẩn mã hóa WPA2 với chuẩn 802.1X thường được biết đến là chuẩn 802.11i.
Để khởi tạo chuẩn chứng thực 802.1X, bạn cần phải có một máy chủ chứng thực Radius/AAA. Nếu bạn đang sử dụng hệ điều hành Windows Server 2008 hoặc các phiên bản kế tiếp, bạn cần quan tâm sử dụng Network Policy Server (NPS, tạm dịch : các chính sách mạng máy chủ) hoặc Internet Authenticate Service (IAS, tạm dịch : dịch vụ chứng thực Internet) của nhưng phiên bản máy chủ kế tiếp. Nếu bạn không sử dụng một hệ điều hành máy chủ, bạn nên quan tâm tới máy chủ mã nguồn mở FreeRadius.
Cấu hình các thiết lập bảo mật 802.1X cho chuẩn máy trạm
Chế độ EAP của chuẩn mã hóa WPA/WPA2 vẫn có thể có khả năng bị tấn công. Tuy nhiên, bạn có thể hạn chế bằng các thiết lập bảo mật. Các thiết lập EAP của hệ điều hành Windows giúp bạn kích hoạt các chứng thực số bằng cách chọn các chứng thực số.
Bạn có thể sử dụng các thiết lập chuẩn 802.1X để đăng ký vào miền cho máy trạm (join domain) qua các chính sách trên máy chủ hoặc sử dụng phần mềm của bên thứ 3 như Avenda's Quick1X.
Trên đây là những điều bạn nên biết về bảo mật khi mua wifi cho công ty, tổ chức và hộ gia đình
Không không sử dụng chuẩn bảo mật WEP
Thuật ngữ bảo mật WEP (wired equivalent privacy) đã đi vào di vãng nhưng các thiết bị phát Wifi vẫn có chuẩn này trong mục cấu hình. Chuẩn bảo mật này dễ dàng bị phá nhanh chóng bởi hầu hết các tin tặc có kinh nghiệm hoặc nhưng người rành về công nghệ. Lời khuyên hữu ích là bạn nên chuyển sang chuẩn WPA2 (Wi-Fi protected access) với việc chứng thực theo chuẩn 802.11i. Nếu bạn có một bộ phát không dây không hỗ trợ chuẩn mã hóa WPA2, bạn hãy thử cập nhật firmware hoặc thay thế bằng sản phẩm mới hơn.
Không sử dụng chuẩn mã hóa WPA/WPA2-PSK
Chế độ PSK (pre-shared key) của chuẩn mã hóa WPA/WPA2 không bảo mật đối với môi trường doanh nghiệp. Khi bạn sử dụng chế độ này, PSK phải được nhập ở mỗi máy tính kết nối với bộ phát. Và điều phiền toái là bạn phải thay đổi PSK khi có sự thay đổi về nhân sự và khi một máy tinh hay thiết bị nào đó của công ty bị đánh cắp. Đây là điều không phù hợp đối với hầu hết các môi trường sử dụng bộ phát không dây.
Triển khai chuẩn 802.11i
Chế độ EAP (extensible authentication protocol, tạm dịch: giao thức chứng thực có khả năng mở rộng) của WPA và WPA2 sử dụng chứng thực 802.1X bao gồm cả PSK sẽ cung cấp khả năng để cấp cho mỗi người sử dụng tài khoản hoặc chứng thực số khi muốn lap dat wifi.
Các khóa mã hóa đuợc thay đổi thường xuyên và trao đổi một cách lặng lẽ. Để thay đổi hoặc hủy bỏ các truy cập bạn phải thay đổi các thông tin đăng nhập trên một máy chủ trung tâm, điều này thuận tiện hơn việc phải thay đổi PSK trên mỗi thiết bị kết nối. Các khóa sinh ra theo mỗi phiên cũng ngăn cản việc người sử dụng khỏi việc bị "nghe trộm". Hiện tại thì điều này được thực hiện dễ dàng với add-on của Firefox là Firesheep và ứng dụng Android là DroidSheep. Việc sử dụng chuẩn mã hóa WPA2 với chuẩn 802.1X thường được biết đến là chuẩn 802.11i.
Để khởi tạo chuẩn chứng thực 802.1X, bạn cần phải có một máy chủ chứng thực Radius/AAA. Nếu bạn đang sử dụng hệ điều hành Windows Server 2008 hoặc các phiên bản kế tiếp, bạn cần quan tâm sử dụng Network Policy Server (NPS, tạm dịch : các chính sách mạng máy chủ) hoặc Internet Authenticate Service (IAS, tạm dịch : dịch vụ chứng thực Internet) của nhưng phiên bản máy chủ kế tiếp. Nếu bạn không sử dụng một hệ điều hành máy chủ, bạn nên quan tâm tới máy chủ mã nguồn mở FreeRadius.
Cấu hình các thiết lập bảo mật 802.1X cho chuẩn máy trạm
Chế độ EAP của chuẩn mã hóa WPA/WPA2 vẫn có thể có khả năng bị tấn công. Tuy nhiên, bạn có thể hạn chế bằng các thiết lập bảo mật. Các thiết lập EAP của hệ điều hành Windows giúp bạn kích hoạt các chứng thực số bằng cách chọn các chứng thực số.
Bạn có thể sử dụng các thiết lập chuẩn 802.1X để đăng ký vào miền cho máy trạm (join domain) qua các chính sách trên máy chủ hoặc sử dụng phần mềm của bên thứ 3 như Avenda's Quick1X.
Trên đây là những điều bạn nên biết về bảo mật khi mua wifi cho công ty, tổ chức và hộ gia đình