Giải pháp bảo mật nào cho Wifi [Archive]

View Full Version : Giải pháp bảo mật nào cho Wifi

Hajime

17-06-2005, 11:27 PM

Trong Cafe:

Nếu cài chế độ bảo mật sử dụng WEP hay WPA-PSK thì mắc công người dùng mỗi lần muốn truy cập wifi thì phải nhập cái key đó; nếu không nhập thì vấn đề bảo mật cho mạng Wireless này bị "lỏng lẻo" ; có thể gây nguy hiểm cho người sử dụng.

Nếu người sử dụng không biết một số cách như tắt tính năng File and Printer Sharing đi, và xài firewall trên máy mình thì có thể bị ăn cắp dữ liệu bất cứ lúc nào mà không hay biết...:)

Trong công ty vừa và nhỏ:

Chắc là phải xài tới bảo mật rồi; nhưng nếu sử dụng WEP hay WPA-PSK ; cũng phải nhập key manual à.... Chẳng lẽ người quản trị phải tới từng máy nhập? Với lại để đảm bào tính bảo mật cao, các key này phải được thay đổi định kỳ nữa... Quá mệt ! Có cách gì "linh động" hơn trong vấn đề này không?

Nếu sử dụng chỉ WEP hay WPA-PSK thì không chứng thực được người dùng. Nếu muốn chứng thực người dùng luôn thì theo Hajime phải sử dụng 802.1X thông qua một cái RADIUS Server (chẳng hạn)....

Có các bác nào quan tâm tới cái này, có thể bàn bạc tiếp không?...:)

Hajime

17-06-2005, 11:32 PM

Ngoài ra, chẳng hạn, Hajime muốn người xài Wifi phải trả tiền; khi người đó có ý định sử dụng Wifi, trong một khoảng thời gian t; thì Hajime làm sao để cấp cho người đó một cái acc với username và pass để người đó chỉ có thể truy cập trong thời gian t thôi....!

Chú ý: Chỉ cấp user và pass thôi (thông qua nhiều hình thức; chẳng hạn in ra một tờ giấy nhỏ và đưa cho người đó) và người đó chỉ việc điền vào khi muốn truy cập wifi là xong!

titanevn

18-06-2005, 04:25 PM

vấn đề này có vẻ khoai đây nha!

1''hpSky

20-06-2005, 01:56 PM

Hi,

Bồ dùng đồ của bọn nào đó? Internet Cafee = IBSS thì pre-shared key là hợp lý rùi :). Nếu bạn ko muốn manual typing password thì chuyển sang dùng TKIP hoặc CCMP, dynamic key management.

Theo tớ thì để xử lý được vấn đề thứ 3 của bạn, chỉ còn cách dùng 802.1x secure frame-work. Điều này đồng nghĩa với việc phải đầu tư thêm con AAA server :(, thử xem RADIUS của Win2003 đảm đương được ko?

Với môi trường Office thì có thể chia làm nhiều VLAN mà? Thông thường thì chỉ cho Internet Access thôi chẳng hạn, Internal User có thể set cho secure khác.

Nếu card mạng của bạn hỗ trợ LEAP, bạn dùng kiểu này là hợp lý, authen đó, có thể dùng username+pass access domain làm credentials, có thể nhập manual...cần AAA nha :). Theo tớ biết, card mạng của các hãng như Cisco, IBM, Linksys,...hỗ trợ LEAP

Có gì trao đổi tiếp,