Skip to main content

5 Huyền thoại bảo mật Wi-Fi, bạn phải từ bỏ

Wi-Fi đã phát triển qua nhiều năm và do đó có các kỹ thuật để bảo vệ mạng không dây của bạn. Một tìm kiếm trên Internet có thể khai quật thông tin đã lỗi thời và không còn an toàn hoặc có liên quan nữa, hoặc đó đơn giản là huyền thoại.

Chúng tôi sẽ tách biệt tín hiệu khỏi tiếng ồn và cho bạn thấy phương tiện bảo mật mạng Wi-Fi hiện tại và hiệu quả nhất.

Huyền thoại số 1: Không phát SSID của bạn

Mọi bộ định tuyến không dây (hoặc điểm truy cập không dây) đều có tên mạng được gán cho nó. Thuật ngữ kỹ thuật là Mã định danh dịch vụ ( SSID ). Theo mặc định, một bộ định tuyến sẽ phát SSID của nó trong các cảnh báo, vì vậy tất cả người dùng trong phạm vi của nó có thể thấy mạng trên máy tính hoặc thiết bị khác của họ

[Đọc thêm: Các bộ định tuyến không dây tốt nhất]

SSID chương trình phát sóng sẽ vẫn hiển thị dưới dạng
một 'Mạng khác' trong Windows 7.

Ngăn không cho bộ định tuyến của bạn phát sóng thông tin này, và do đó hiển thị phần nào ẩn với những người bạn không muốn trên mạng của mình, có vẻ như ý tưởng tốt. Nhưng một số thiết bị bao gồm cả PC chạy Windows 7 trở lên sẽ vẫn thấy mọi mạng tồn tại, ngay cả khi nó không thể xác định được từng tên, và lộ diện SSID ẩn là một nhiệm vụ tương đối tầm thường. Trong thực tế, cố gắng ẩn SSID theo cách này có thể làm giảm sự quan tâm của tin tặc Wi-Fi gần đó, bằng cách đề xuất với họ rằng mạng của bạn có thể chứa dữ liệu nhạy cảm.

Bạn có thể ngăn bộ định tuyến của bạn bao gồm SSID của nó trong đèn hiệu, nhưng bạn không thể ngăn nó bao gồm thông tin đó trong các gói dữ liệu của nó, các yêu cầu liên kết / phân phối lại và các yêu cầu / phản hồi thăm dò của nó. Một máy phân tích mạng không dây như Kismet hoặc CommView cho WiFi, có thể lấy một SSID ra khỏi sóng vô tuyến trong thời gian không.

Máy phân tích mạng không dây này cho thấy SSID ẩn của 'cottage111' sau khi tôi kết nối thiết bị với mạng. Máy phân tích đã thu thập SSID từ các gói liên kết mà thiết bị đã trao đổi với bộ định tuyến. (Click to enlarge.)

Vô hiệu hóa việc phát SSID sẽ ẩn tên mạng của bạn khỏi Joe trung bình, nhưng nó không có rào cản đối với bất kỳ ai có ý định đột nhập vào mạng của bạn, có thể là một blackhat có kinh nghiệm hoặc một đứa trẻ lân cận chỉ loanh quanh. > Sai số 2: Bật lọc địa chỉ MAC

Địa chỉ

Kiểm soát truy cập phương tiện ( MAC ) duy nhất xác định mọi thiết bị trên mạng của bạn. Địa chỉ MAC là một chuỗi ký tự chữ và số được phân tách bằng dấu hai chấm, như sau: 00: 02: D1: 1A: 2D: 12. Các thiết bị được nối mạng sử dụng địa chỉ này làm nhận dạng khi chúng gửi và nhận dữ liệu qua mạng. Một huyền thoại công nghệ khẳng định rằng bạn có thể bảo vệ mạng của bạn và ngăn không cho các thiết bị không mong muốn tham gia bằng cách định cấu hình bộ định tuyến của bạn để chỉ cho phép các thiết bị có địa chỉ MAC cụ thể Thiết lập các hướng dẫn cấu hình này là dễ dàng. địa chỉ MAC của mọi thiết bị bạn muốn cho phép trên mạng của bạn, và sau đó bạn điền vào một bảng trong giao diện người dùng của bộ định tuyến. Không có thiết bị nào có địa chỉ MAC không có trên bảng đó sẽ có thể tham gia mạng của bạn, ngay cả khi nó biết mật khẩu mạng không dây của bạn.

Nhưng bạn không cần bận tâm đến hoạt động đó. Tin tặc sử dụng máy phân tích mạng không dây sẽ có thể xem địa chỉ MAC của mọi máy tính bạn đã cho phép trên mạng và có thể thay đổi địa chỉ MAC của máy tính để khớp với địa chỉ trong bảng mà bạn đã tạo một cách cẩn thận. Điều duy nhất bạn sẽ thực hiện bằng cách làm theo quy trình này là lãng phí thời gian, trừ khi bạn nghĩ rằng có một danh sách đầy đủ các địa chỉ MAC của các máy khách mạng sẽ hữu ích cho một số mục đích khác. các sóng phát sóng và hiển thị địa chỉ MAC của các bộ định tuyến không dây và các điểm truy cập trên mạng của bạn, cũng như tất cả các máy tính và các thiết bị khác được kết nối với chúng. (Bấm để phóng to.)

Lọc địa chỉ MAC có thể giúp bạn chặn Joe trung bình kết nối với bộ định tuyến của bạn từ một máy tính trái phép hoặc thiết bị khác, nhưng nó sẽ không ngăn chặn một hacker xác định. Tuy nhiên, nó sẽ làm cho mạng của bạn trở nên khó khăn hơn đối với người dùng hợp pháp, vì bạn sẽ phải định cấu hình bộ định tuyến mỗi khi bạn thêm thiết bị mới vào hoặc cung cấp cho khách quyền truy cập tạm thời. Giới hạn địa chỉ IP của bộ định tuyến của bạn

Mọi thiết bị trên mạng của bạn cũng phải được xác định bằng địa chỉ

Giao thức Internet

(

IP ) duy nhất. Địa chỉ IP được gán cho bộ định tuyến sẽ chứa một chuỗi các chữ số như sau: 192.168.1.10. Không giống như địa chỉ MAC, thiết bị gửi đến router, router của bạn sẽ sử dụng máy chủ Giao thức điều khiển máy chủ động ( DHCP ) để gán và gửi địa chỉ IP duy nhất cho mỗi thiết bị tham gia mạng. Theo một huyền thoại công nghệ dai dẳng, bạn có thể kiểm soát số lượng thiết bị có thể tham gia mạng của bạn bằng cách giới hạn nhóm địa chỉ IP mà bộ định tuyến của bạn có thể vẽ từ 192.168.1.1 đến 192.168.1.10. Chuyện hoang đường số 4: Tắt máy chủ DHCP của router Lý do sai lầm đằng sau huyền thoại này cho rằng bạn có thể bảo mật mạng bằng cách vô hiệu hoá máy chủ DHCP của router và bằng tay gán địa chỉ IP cho mỗi thiết bị. Giả sử, bất kỳ thiết bị nào không có một trong các địa chỉ IP bạn đã gán sẽ không thể tham gia mạng của bạn. Trong trường hợp này, bạn sẽ tạo một bảng gồm các địa chỉ IP và các thiết bị mà chúng được gán cho, như bạn làm với một địa chỉ MAC. Bạn cũng cần cấu hình từng thiết bị theo cách thủ công để sử dụng địa chỉ IP được chỉ định của nó. Tắt máy chủ DHCP của router và tự giới hạn số lượng địa chỉ IP mà nó có thể gán không phải là thủ tục bảo mật hiệu quả. (Click to enlarge.)

Điểm yếu phủ nhận các thủ tục này là nếu một hacker đã xâm nhập vào mạng của bạn, việc quét IP nhanh có thể xác định địa chỉ IP mà mạng của bạn đang sử dụng. Sau đó, hacker có thể gán địa chỉ tương thích theo cách thủ công cho một thiết bị để có quyền truy cập đầy đủ vào mạng của bạn. Cũng giống như lọc địa chỉ MAC, tác dụng chính của việc hạn chế địa chỉ IP (hoặc gán chúng theo cách thủ công) là làm phức tạp quá trình kết nối các thiết bị mới mà bạn chấp nhận cho mạng của bạn.

Ứng dụng quét này cho thấy tất cả các địa chỉ IP đang sử dụng trên mạng không dây. (Click to enlarge.)

Chuyện hoang đường số 5: Mạng nhỏ khó thâm nhập

Huyền thoại này cho thấy việc giảm sức mạnh truyền dẫn của bộ định tuyến không dây sẽ khiến người khác ở ngoài nhà hoặc nơi kinh doanh của bạn khó khăn hơn để lẻn vào bởi vì họ sẽ không thể phát hiện ra nó. Đây là ý tưởng bảo mật ngu ngốc nhất của họ. Bất kỳ ai có ý định bẻ khóa mạng không dây của bạn sẽ sử dụng một ăng-ten lớn để nhận tín hiệu của bộ định tuyến. Giảm sức mạnh truyền dẫn của bộ định tuyến sẽ chỉ giảm phạm vi và hiệu quả của nó cho người dùng hợp pháp

Không có huyền thoại: Mã hóa là bảo mật mạng tốt nhất

Bây giờ chúng ta đã phân phát năm huyền thoại bảo mật Wi-Fi, hãy thảo luận cách tốt nhất để bảo mật mạng không dây của bạn: mã hóa. Mã hóa - về cơ bản xáo trộn dữ liệu di chuyển qua mạng của bạn là cách mạnh mẽ để ngăn chặn kẻ nghe trộm truy cập dữ liệu dưới dạng có ý nghĩa. Mặc dù họ có thể thành công trong việc chặn và chụp một bản sao của việc truyền dữ liệu, họ sẽ không thể đọc thông tin, nắm bắt mật khẩu đăng nhập của bạn hoặc chiếm đoạt tài khoản của bạn trừ khi họ có khóa mã hóa. nổi bật trong những năm qua

Bảo mật tương đương có dây

(

WEP

) cung cấp sự bảo mật tốt nhất trong những ngày đầu của Wi-Fi. Nhưng ngày nay mã hóa WEP có thể bị bẻ khóa chỉ trong vài phút. Nếu đó là bảo mật duy nhất mà bộ định tuyến của bạn cung cấp hoặc nếu một số thiết bị được kết nối mạng của bạn quá cũ đến nỗi chúng chỉ có thể hoạt động với WEP, thời gian đã qua để bạn tái chế và nâng cấp lên chuẩn mới hơn. Wi-Fi được bảo vệ Truy cập ( WPA ) xuất hiện tiếp theo, nhưng giao thức bảo mật đó cũng gặp sự cố bảo mật và đã bị thay thế bởi WPA2. WPA2 đã được khoảng gần 10 năm. Nếu thiết bị của bạn đủ lớn để giới hạn bảo mật WPA, bạn nên cân nhắc nâng cấp.

WPA2, với khóa chia sẻ mã hóa AES, là một giao thức bảo mật hiệu quả cho mạng gia đình. Cả hai WPA và WPA2 đều có hai chế độ khác nhau: Personal (còn gọi là PSK, một từ viết tắt cho Khóa chia sẻ trước ) và Enterprise (còn gọi là RADIUS, một từ viết tắt cho từ xa Quay số xác thực trong máy chủ người dùng

). WPA Personal được thiết kế để sử dụng tại nhà và dễ thiết lập. Bạn chỉ cần thiết lập mật khẩu trên bộ định tuyến và sau đó nhập mật khẩu đó trên mỗi máy tính và thiết bị khác mà bạn muốn kết nối với mạng Wi-Fi của mình. Miễn là bạn sử dụng mật khẩu mạnh, tôi khuyên bạn nên sử dụng 13 ký tự và ký tự hỗn hợp hơn - bạn sẽ ổn thôi. Không sử dụng các từ được tìm thấy trong từ điển, danh từ thích hợp, tên cá nhân, tên của thú nuôi của bạn hoặc bất kỳ thứ gì giống như vậy. Mật khẩu mạnh có thể trông như thế này: h & 5U2v $ (q7F4 *.

Bộ định tuyến của bạn có thể bao gồm tính năng bảo mật nút bấm có tên Thiết lập Wi-Fi được bảo vệ ( WPS ). cho phép bạn kết nối thiết bị với mạng không dây bảo mật WPA2 của bạn bằng cách nhấn nút trên bộ định tuyến và nút trên máy khách (nếu máy khách cũng hỗ trợ WPS), tuy nhiên, một lỗ hổng trong WPS khiến cho nó dễ bị tấn công brute-force. Nếu bạn đặc biệt quan tâm đến bảo mật, bạn có thể cân nhắc tắt WPS trong bộ định tuyến của mình.

Chế độ Enterprise WPA2 được thiết kế cho các mạng do các doanh nghiệp và tổ chức điều hành. RADIUS server hoặc dịch vụ RADIUS được lưu trữ. Bây giờ bạn đã hiểu cách tốt nhất để bảo mật mạng của mình, hãy dành vài phút để đảm bảo rằng router của bạn được cấu hình đúng cách.