1. Không nên s�?dụng WEP

Bảo mật WEP (wired equivalent privacy) t�?lâu đã chết. Kh�?năng mã hóa của nó có th�?d�?dàng và nhanh chóng b�?phá v�?bởi hầu hết các hacker không chuyên. Do vậy, bạn không nên s�?dụng WEP một chút nào c�? Nếu đang s�?dụng, hãy nâng cấp ngay lên WPA2 (Wi-Fi protected access) với chứng thực 802.1X. Nếu mới được cho một chiếc router wifi hoặc access point không h�?tr�?WPA2, hãy th�?cập nhật firmware hoặc đơn giản nhất là thay thiết b�?mới.

2. Không nên s�?dụng WPA/WPA2-PSK

Ch�?đ�?nbsp;pre-shared key (PSK) của WPA và WPA2 không được bảo mật đối với môi trường doanh nghiệp cho lắm. Khi s�?dụng ch�?đ�?này, cần phải điền key PSK cho mỗi thiết b�?phát wifi. Do đó, key này cần được thay đổi mỗi lần một nhân viên rời khỏi công ty và khi một thiết b�?phát b�?mất hoặc b�?trộm �?những điều vẫn chưa thực s�?được chú trọng với hầu hết các môi trường doanh nghiệp.

3. Triển khai 802.11i

Ch�?đ�?EAP (extensible authentication protocol) của bảo mật WPA và WPA2 s�?dụng chứng thực 802.1X thay vì dùng PSKs, cung cấp cho kh�?năng đưa cho mỗi người dùng hoặc thiết b�?một thông tin đăng nhập riêng: tên người dùng và mật khẩu hoặc một chứng thực điện t�?

Các key mã hóa thực s�?s�?thường xuyên được thay đổi và trao đổi “âm thầm�?trong background. Do đó, nếu muốn thay đổi hoặc có thay đổi v�?nhân s�? tất c�?những gì bạn cần phải làm là điều chỉnh thông tin đăng nhập �?server tập trung, thay vì thay đổi PSK �?mỗi thiết b�? Key PSK cũng ngăn chặn người dùng khỏi việc nghe trộm lưu lượng mạng của người khác �?một công việc rất d�?thực hiện với những công c�?như add-on Firesheep của  hay ứng dụngDroidSheep dành cho Google Android.

Hãy nh�?trong đầu rằng, đ�?có được bảo mật cao nhất có th�? bạn nên s�?dụng WPA2 với 802.1X, hay 802.11i.

Đ�?kích hoạt chứng thực 802.1X, bạn cần phải có một server RADIUS/AAA. Nếu đang chạy Windows Server 2008 hoặc cao hơn, hãy cân nhắc s�?dụng Network Policy Server (NPS) hoặc Internet Authenticate Service (IAS) (hay phiên bản server trước đó). Nếu bạn không chạy Windows Server, bạn có th�?s�?dụng server mã nguồn m�?FreeRADIUS.

Bạn có th�?áp dụng cài đặt 802.1X cho các thiết b�?qua Group Policy nếu đang chạy Windows Server 2008 R2. Nếu không, hãy th�?cân nhắc s�?dụng một giải pháp bên th�?3 nào đó đ�?cấu hình thiết b�?

4. Thực hiện cài đặt bảo mật 802.1X

Ch�?đ�?EPA của WPA/WPA2 vẫn có kh�?năng b�?tấn công bởi các hacker bán chuyên. Tuy nhiên, bạn có th�?ngăn chặn chúng tấn công bằng cách bảo mật cài đặt EAP cho thiết b�? Ví d�? trong cài đặt EAP cho Windows, bạn có th�?kích hoạt ch�?đ�?xác nhận chứng thực server bằng cách chọn chứng thực CA, gán địa ch�?server và disable nó khỏi việc hỏi người dùng trust server mới hoặc xác thực CA.

Bạn có th�?áp dụng cài đặt 802.1X cho các thiết b�?qua Group Policy hoặc s�?dụng giải pháp bên th�?3, ví như Quick1X của Avenda.

5. Nên s�?dụng một h�?thống ngăn chặn xâm nhập trái phép vào mạng không dây

Bảo mật mạng không dây là điều nên làm thay vì tập trung vào đánh bại những k�?c�?gắng chiếm quyền truy cập vào mạng của bạn. Ví d�? hacker có th�?thiết lập một điểm truy cập ảo hoặc thực hiện tấn công �?denial-of-service. Đ�?có được kh�?năng dò tìm và đánh bại những kiểu tấn công như vậy, bạn nên triển khai một h�?thống ngăn chặn xâm nhập mạng không dây (WIPS). Thiết k�?và phương pháp được s�?dụng trong WIPS khác biệt theo từng nhà sản xuất nhưng nhìn chung chúng có th�?giám sát mạng, thông báo cho người dùng và có th�?ngăn chặn điểm truy cập ảo hay các hoạt động mã độc.

Có rất nhiều nhà sản xuất hiện đang cung cấp giải pháp WIPS, ví như AirMagnet và AirTight Neworks. Bạn cũng có th�?tìm tới các sản phẩm mã nguồn m�? tiêu biểu là .

6. Nên triển khai NAP hoặc NAC

Ngoài việc s�?dụng 802.11i và WIPS, bạn nên cân nhắc tới việc triển khai giải pháp Network Access Protection (NAP �?bảo v�?truy cập mạng) hoặc Network Access Control (NAC �?quản lý truy cập mạng). Chúng s�?cung cấp thêm kh�?năng quản lý truy cập mạng, dựa vào nhận dạng thiết b�?với các policy đã được đặt trước. Chúng cũng bao gồm một chức năng đ�?cách ly những thiết b�?có vấn đ�?và sửa chữa đ�?thiết b�?có th�?nhanh chóng quay tr�?lại làm việc.

Một s�?giải pháp NAC có kh�?năng bao gồm chức năng dò tìm và ngăn chặn xâm nhập vào mạng, nhưng bạn s�?phải kiểm tra xem nó có cung cấp kh�?năng chuyên biệt v�?bảo v�?mạng không dây hay không.

Nếu đang chạy Windows Server 2008 tr�?lên và Windows Vista/7 đối với thiết b�? bạn có th�?s�?dụng chức năng NAP của Microsoft. Nếu không, hãy tìm tới những giải pháp do bên th�?3 cung cấp, ví như PacketFence.

7. Không nên tin tưởng SSID ẩn

Một trong những lời đồn v�?bảo mật mạng không dây là disable truyền phát SSID của các điểm truy cập s�?giúp ẩn mạng của bạn hay ít nhất là tạo SSID an toàn khiến hacker khó phá. Tuy nhiên, cách này ch�?giúp g�?b�?SSID khỏi điểm truy cập. Nó vẫn có trong chứa yêu cầu 802.11 và trong một s�?trường hợp, nó còn có trong yêu cầu dò mạng và các gói tr�?lời. Do đó, một hacker hay k�?nghe lén nào đó có th�?d�?dàng và nhanh chóng phát hiện ra SSID ẩn �?đặc biệt là �?mạng bận �?với tính năng phân tích mạng không dây hợp pháp.

Một s�?người tranh luận là tắt truyền phát SSID vẫn cung cấp thêm tầng bảo mật cho mạng, nhưng bạn cũng hãy nh�?luôn rằng nó có kh�?năng gây ra ảnh hưởng tiêu cực lên cấu hình và kh�?năng thực hiện của mạng. Bạn s�?phải nhập th�?công SSID vào các thiết b�? tiếp đến là cấu hình thiết b�? Nó cũng có th�?gây ra việc tăng những yêu cầu thăm dò và gói tin tr�?v�? giảm lượng băng thông hiện có.

8. Không nên tin tưởng lọc địa ch�?MAC

Lời đồn khác v�?bảo mật mạng không dây là kích hoạt tính năng lọc địa ch�?MAC s�?giúp có thêm được một tầng bảo mật, quản lý các ứng dụng kết nối với mạng. Điều này có đôi chút chính xác, nhưng hãy nh�?rằng hacker có th�?d�?dàng theo dõi mạng của bạn đ�?lấy địa ch�?MAC hợp pháp, sau đó chúng s�?thay đổi địa ch�?Mac cho máy của chúng.

Do vậy, bạn không nên triển khai kh�?năng lọc địa ch�?MAC với suy nghĩ chúng s�?giúp ích cho bảo mật của mình, nhưng có th�?là một cách quản lý các thiết b�? máy tính người dùng cuối mang đến công ty và kết nối với mạng. Bạn cũng nên chú ý tới những vấn đ�?quản lý có kh�?năng nảy sinh đ�?gi�?cho danh sách MAC luôn được cập nhật.

9. Nên hạn ch�?người dùng SSID có th�?kết nối

Rất nhiều nhân viên quản tr�?mạng đã b�?qua một nguy cơ có v�?như đơn giản nhưng lại có đ�?nguy hiểm cao: người dùng nhận thức được hoặc không nhận thức được việc kết nối tới mạng không dây của hàng xóm hoặc điểm truy cập không rõ ràng, m�?ra cơ hội xâm nhập vào máy đối cho hacker. Tuy nhiên, lọc SSID là một cách có kh�?năng ngăn chặn được việc này. Ví d�? trong Windows Vista (hay các phiên bản cao hơn), bạn có th�?s�?dụng lệnh netsh wlan đ�?thêm b�?lọc vào những người dùng SSID muốn xem và kết nối. Đối với máy tính đ�?bàn, bạn có th�?t�?chối tất c�?các SSID ngoại tr�?mạng của công ty. Đối với máy xách tay, nhân viên IT ch�?có kh�?năng t�?chối SSID của mạng hàng xóm, cho phép chúng vẫn kết nối với điểm truy cập hay mạng gia đình.

10. Nên bảo v�?các thiết b�?mạng

Hãy nh�? bảo mật máy tính không phải là công ngh�?và mã hóa mới nhất. Bảo v�?vật lý cho các thiết b�?mạng cũng rất quan trọng. Hãy chắc chắn rằng các thiết b�?access point được đặt xa khỏi tầm với, ví như �?trên trần gi�?hoặc thậm chí là cho nó vào một v�?trí an toàn rồi s�?dụng ăng ten đ�?có được sóng tối ưu. Nếu không được bảo mật, ai đó có th�?d�?dàng cài đặt lại access point v�?với cài đặt gốc của nhà sản xuất đ�?m�?truy cập.

11. Đừng quên bảo v�?các thiết b�?di động

Các mối lo ngại v�?bảo mật mạng không dây không ch�?dừng �?đây. Người dùng s�?hữu smartphone, máy xách tay và máy tính bảng có th�?được bảo v�?ngay tại ch�? Tuy nhiên, khi h�?kết nối với các điểm truy cập Wi-Fi miễn phí hoặc kết nối với router không dây gia đình thì sao? Bạn nên đảm bảo rằng các kết nối mạng Wi-Fi khác cũng được bảo mật nhằm ngăn chặn xâm nhập trái phép hoặc hacker nghe lén.

Dẫu vậy, không d�?dàng gì đ�?chắc chắn các kết nối Wi-Fi ngoài luôn được bảo mật. Bạn s�?phải kết hợp việc cung cấp, yêu cầu s�?dụng các giải pháp và tuyên truyền cho người dùng v�?các nguy cơ bảo mật cùng với các phương pháp ngăn chặn.

Trước hết, tất c�?các mẫu laptop và netbook s�?phải kích hoạt tường lửa cá nhân (ví như Windows Firewall) đ�?ngăn chặn xâm nhập trái phép. Bạn có th�?thực thi điều này qua Group Policy (nếu đang chạy Windows Server) hoặc s�?dụng một giải pháp nào đó, ví như Windows Intune đ�?quản lý các máy tính không có trong miền.

Tiếp đến, bạn s�?phải chắc chắn rằng lưu lượng Internet của người dùng đã được mã hóa khi h�?�?một mạng khác bằng cách cung cấp truy cập VPN vào mạng doanh nghiệp. Nếu không muốn s�?dụng VPN trong trường hợp này, có th�?cân nhắc tới các dịch v�?khác như Hotspot Shield hoặc Witopia. Đối với các thiết b�?iOS (iPhone, iPad, iPod Touch) và Android, bạn có th�?s�?dụng ứng dụng VPN của chúng. Tuy nhiên, đối với thiết b�?BlackBerry và Windows Phone 7, bạn s�?phải thiết lập và cấu hình server message với thiết b�?này đ�?có th�?s�?dụng VPN của chúng.

Bên cạnh đó, bạn cũng nên đảm bảo rằng tất c�?các dịch v�?liên quan tới mạng đều được bảo mật, đ�?phòng trường hợp người dùng không s�?dụng VPN khi đang truy cập t�?mạng công cộng hay một mạng không đáng tin cậy. Ví d�? nếu bạn cung cấp quyền truy cập email (qua ứng dụng hoặc trên web) �?bên ngoài mạng LAN, WAN hoặc VPN, hãy chắc chắn rằng bạn có s�?dụng mã hóa SSL đ�?ngăn chặn hacker nghe lén và trộm thông tin đăng nhập quan trọng hay các message cá nhân.