Bảo mật lưu lượng không dây – Phần 3

Quản trị mạngTrong phần tiếp theo này chúng tôi sẽ giới thiệu cho các bạn các ưu nhược điểm trong việc quảng bá SSID và lọc địa chỉ MAC.

Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn liệu có nên hay không thay đổi mật khẩu mặc định của điểm truy cập không dây. Trong phần này, chúng tôi sẽ tiếp tục thảo luận bằng cách giới thiệu về một số thiết lập bảo mật khác có trong hầu hết các điểm truy cập không dây.

SSID

Một trong những khuyến cáo bảo mật phổ biến nhất cho mạng không dây là nên vô hiệu hóa việc quảng bá SSID. SSID là từ được viết tắt từ thuật ngữ Service Set Identifier. SSID xuất hiện với tư cách là một từ hoặc một cụm từ được sử dụng để nhận dạng một mạng không dây.

Lý do tại sao có rất nhiều chuyên gia CNTT khuyên nên vô hiệu hóa việc quảng bá SSID là vì SSID gần giống như một nhãn mà bạn có thể sử dụng để phân biệt một mạng không dây. SSID thực là một bí mật và được sử dụng để hạn chế việc truy cập vào một mạng không dây nào đó. Nói theo cách khác, trừ khi ai đó biết bí mật, bằng không họ không thể kết nối với mạng không dây của bạn.

Cần lưu ý rằng, mặc dù SSID là một bí mật nhưng nó khác với các khóa WEP hoặc WPA. Chúng tôi sẽ giới thiệu về WEP và WPA trong các phần sau của loạt bài.

Lúc này, chúng ta sẽ quay trở lại và tìm hiểu khái niệm khóa mật SSID. Nếu SSID thực sự là một khóa mật được sử dụng để bảo vệ sự truy cập cho một mạng không dây thì tại sao hầu hết các điểm truy cập lại quảng bá SSID?

Chúng tôi cho rằng lý do tại sao SSID lại được quảng bá như vậy là sự phát triển của việc kết nối mạng không dây. Dù SSID có thể ban đầu được tạo như một cơ chế bảo mật, nhưng nó đã nhanh chóng được quảng bá để trở thành một cơ chế cho việc phân biệt giữa các mạng không dây với nhau. Thậm chí hệ điều hành Windows còn coi SSID là thành phần chỉ sự tồn tại của một mạng không dây.

Vậy có nên quảng bá SSID của mình hay nên vô hiệu hóa việc quảng bá này? Rốt cuộc, vô hiệu hóa việc quảng bá SSID không mang lại gì nhiều cho việc cải thiện bảo mật mạng. Khi bạn vô hiệu hóa việc quảng bá, điểm truy cập không dây sẽ cố gắng không quảng bá khi gặp các gói yêu cầu sự đáp trả. Nói cách khác, SSID sẽ không được hiển thị trên danh sách các mạng không dây có sẵn của Windows.

Cách thức này có thể tăng mức độ bảo mật, nhưng thậm chí nếu bạn vô hiệu hóa quảng bá SSID thì SSID vẫn được truyền tải trong các khung Association và Re-association cũng như các khung Probe Response. Điều này gần như một trò chơi trẻ con đối với bất cứ ai có một bộ đánh hơi gói dữ liệu, họ đều có thể khám phá ra SSID mạng không dây mạng của bạn vì bất cứ thời điểm nào khi có người dùng hợp pháp kết nối với mạng không dây của bạn thì SSID cũng đều được phát dưới dạng văn bản trong sáng. Tất cả những gì các hacker cần thực hiện là ngồi và đợi.

Về cá nhân, chúng tôi nghĩ rằng việc coi SSID là một cơ chế bảo mật là không đúng vì thực hiện như vậy chỉ tạo ra một cải thiện không đáng kể trong khía cạnh bảo mật và nó có thể tạo ra một cảm nhận bảo mật không đúng. Quan trọng hơn, hầu hết các NIC driver không dây cũ cho Windows (thậm chí một số driver hiện hành) không làm việc đúng khi người dùng thử kết nối với một mạng không dây hiện không quảng bá SSID của nó. Chính vì vậy, tối hơn hết chúng ta nên coi SSID chỉ là một thứ để phân biệt các mạng không dây, không phải một cơ chế bảo mật.

Lọc địa chỉ MAC

Một trong những kỹ thuật bảo mật hiệu quả hơn cho các mạng không dây ở mức điểm truy cập là sử dụng lọc địa chỉ MAC. Ý tưởng cơ bản nằm bên dưới kỹ thuật này cũng giống như một card mạng chạy dây, tất cả các NIC không dây đều có một địa chỉ MAC (Media Access Control) duy nhất. Kỹ thuật lọc địa chỉ MAC là quá trình bạn tạo một danh sách trắng để chỉ rõ các địa chỉ MAC nào là xác thực và được quyền kết nối với điểm truy cập.

Một ưu điểm của kỹ thuật này là dù có ai đó biết SSID mạng không dây của bạn và mật khẩu WEP hoặc WPA thì họ cũng không thể kết nối với mạng trừ khi họ sử dụng card mạng mà bạn đã xác thực.

Chính vì vậy lọc địa chỉ MAC là một cơ chế bảo mật khá tốt mà có thể bạn chưa được nghe nhiều về nó. Một lý do tại sao lọc địa chỉ MAC không được sử dụng rộng dãi trên các mạng không dây là vì có rất nhiều vấn đề đi kèm trong việc thực thi và duy trì cơ chế này.

Kỹ thuật lọc địa chỉ MAC chỉ làm việc thực sự tốt trong các tổ chức nhỏ, nó không thực tế khi sử dụng trong các mạng lớp doanh nghiệp cỡ lớn vì mỗi lần đưa vào sử dụng một card mạng mới, địa chỉ MAC của card đó phải được thêm vào bộ lọc địa chỉ MAC. Tương tự như vậy, bất cứ khi nào laptop hoặc card không dây không làm việc, quản trị viên phải chỉ ra được địa chỉ MAC nào thuộc về thiết bị đó và remove nó khỏi danh sách trắng.

Hơn thế nữa, trong các công ty lớn, thường có rất nhiều các chuyên gia, nhân viên thẩm định và khách ghé thăm, đây là những người cần truy cập qua mạng không dây. Nếu bạn sử dụng kỹ thuật lọc địa chỉ MAC thì điều này đã vô tình làm cản trở các vị khách này truy cập vào mạng không dây.

Quá trình quản lý danh sách của bộ lọc MAC là khá công phu, tuy nhiên những nhược điểm này không đủ để ngăn các tổ chức sử dụng nó. Có hai vấn đề có thể minh chứng là những nhược điểm trong việc sử dụng kỹ thuật lọc địa chỉ MAC.

Một trong hai vấn đề đó là kỹ thuật lọc địa chỉ MAC được thực thi ở mức điểm truy cập. Điều này sẽ không thành vấn đề đối với các tổ chức nhỏ hoặc trung bình, tuy nhiên với các tổ chức lớn hơn, các tổ chức có nhiều điểm truy cập không dây ảo và vật lý thì việc quản lý danh sách trắng cho mỗi thiết bị này sẽ là một nhiệm vụ không hề đơn giản.

Một nhược điểm khác trong việc sử dụng kỹ thuật lọc địa chỉ MAC là các điểm truy cập yêu cầu khởi động lại mỗi lần có sự thay đổi đối với danh sách lọc. Những lần khởi động lại này sẽ rất khó chịu nếu một tổ chức nào đó thực hiện nhiều thay đổi cho danh sách lọc.

Có một số người cho rằng những điểm bất thuật lợi này vẫn đáng giá với những ưu điểm thu được trong việc sử dụng lọc địa chỉ MAC.

Nói chung, hacker thường không có khả năng thay đổi NIC của họ để gán cho nó một địa chỉ MAC khác. Tương tự như vậy, hacker cũng không có khả năng thay đổi danh sách lọc của bạn nếu danh sách đó ngăn chặn họ truy cập vào mạng của bạn ngay từ đầu. Lý do tại sao việc lọc địa chỉ MAC không được coi hoàn toàn tin cậy là vì có nhiều cách có thể giả mạo địa chỉ MAC bằng phần mềm. Cho ví dụ, chúng tôi đã từng thấy các driver Windows cho các NIC không dây có một tùy chọn đi kèm để chỉ định một địa chỉ MAC khác. Nếu hacker đánh hơi thấy mạng không dây của bạn, chúng có thể dễ dàng lấy được địa chỉ MAC của NIC đã được xác thực. Khi có được địa chỉ này rồi, chúng có thể cấu hình máy tính để giả mạo địa chỉ đó và tăng truy cập vào mạng của bạn.

Vậy điều này có nghĩa là chúng ta không nên sử dụng kỹ thuật lọc địa chỉ MAC nữa? Không phải ý đó! Bạn cần biết rằng không có một tính năng bảo mật nào là hoàn hảo. Bảo mật cần phải có nhiều lớp và có chiều sâu. Nó theo cách khác, bạn nên có nhiều biện pháp bảo mật để tránh ai đó có thể đột nhập vào mạng của mình. Có thể việc lọc địa chỉ MAC là một tùy chọn không thực tế cho các tổ chức lớn nhưng nó lại là một tùy chọn phù hợp với các tổ chức nhỏ và trung bình.

Kết luận

Trong bài này, chúng tôi đã giới thiệu cho các bạn một số vai trò của việc quảng bá SSID và lọc địa chỉ MAC trong bảo mật mạng không dây. Trong phần 4 của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một số tùy chọn bảo mật khác nữa.

Thứ Tư, 15/12/2010 09:10
31 👨 4.432
0 Bình luận
Sắp xếp theo