Quản trị mạng – Trong một bài gần đây, chúng tôi đã giới thiệu cho các bạn khá nhiều thông tin về lỗ hổng bảo mật mới trong mã hóa WPA/WPA2 đối với một mạng không dây. Trong bài đó chúng tôi đã giới thiệu điểm yếu và sau đó đã chia sẻ một số mẹo và cách bảo vệ nhằm tránh được các tấn công sử dụng khai thác này dù trên mạng của bạn hay khi bạn sử dụng các mạng công cộng.
Đầu tiên chúng ta cần hiểu các tấn công sử dụng lỗ hổng này phải được thực hiện bên trong mạng. Thủ phạm phải có các chứng chỉ mạng và cần có kết nối thành công với mạng của bạn. Các tấn công hầu như được xuất phát từ nhân viên xấu hoặc kẻ nào đó nằm bên trong tổ chức bạn.
Lỗ hổng 196 cũng ảnh hưởng đến các chế độ Enterprise (802.1X) và Personal (PSK) của Wi-Fi Protected Access, tuy nhiên đáng kể hơn đối với các mạng không dây sử dụng chế độ Enterprise.
Một lưu ý quan trọng nữa – một số người quy kết đây là điểm yếu của WPA2, tuy nhiên nó thực sự ảnh hưởng đến hai phiên bản WPA (TKIP) và WPA2 (AES).
Để hiểu lỗ hổng này, bạn phải nhận ra một trong các lợi ích trong việc sử dụng chế độ Enterprise của WPA/WPA2: Mỗi người dùng hoặc kết nối nhận một khóa mã hóa riêng. Vì vậy người dùng này không thể giải mã lưu lượng của người dùng kia – hoặc ngược lại. Khi sử dụng chế độ Personal, người dùng kết nối với một khóa mã hóa, vì vậy họ có thể đọc lưu lượng của nhau.
Lỗ hổng 196 cho phép người dùng trên mạng được bảo vệ ở chế độ Enterprise có thể giải mã các gói dữ liệu từ người dùng khác. Nó không đúng hẳn như việc crack mã hóa mà là một tấn công man-in-the-middle bằng cách sử dụng kỹ thuật ARP cache-poisoning giống như trong các mạng chạy dây. Vấn đề bên dưới là giao thức 802.11.
Cần biết rằng, lỗ hổng này cũng ảnh hưởng tới các mạng công cộng bảo mật các Wi-Fi hotspot bằng mã hóa Enterprise và nhận thực 802.1X. Một người dùng hotspot có thể rình mò dữ liệu của người dùng khác mặc dù họ nghĩ rằng lưu lượng của mình đã được bảo vệ.
Dòng cuối là một người dùng nào đó được cấp quyền có thể capture lưu lượng dữ liệu đã được giải mã của người dùng khác, gửi lưu lượng mang dữ liệu độc hại (chẳng hạn như malware) đến họ bằng cách cải trang như các điểm truy cập mạng (AP) và thực hiện các tấn công từ chối dịch vụ.
Bảo vệ mạng của bạn trước lỗ hổng này
Trong khi đợi các hãng tiến hành vã lỗi cũng như bổ sung thêm bản vá lỗi cho các chuẩn về lỗ hổng bảo mật này, đây là một số thứ có thể thực hiện để hạn chế lỗ hổng trên mạng cá nhân của bạn:
- Cô lập sự truy cập đối với VLAN và các SSID ảo: Đặt các phòng hay các nhóm trên các mạng ảo khác nhau có thể cách ly được các tấn công. Các doanh nghiệp nhỏ hơn có thể sử dụng phần mềm thay thế DD-WRT để thiết lập các LAN ảo và nhận được sự hỗ trợ SSID.
- Cách ly máy khách: Một số hãng đã tích hợp tính năng này vào các AP và các bộ điều khiển của họ. Tính năng này có thể ngăn chặn sự truyền thông người dùng với người dùng; vì vậy nó có thể trợ giúp người dùng tránh được lỗ hổng này.
- Sử dụng các kết nối VPN: Nếu thực sự lo ngại, bạn có thể tạo đường hầm cho lưu lượng của mỗi người dùng qua máy chủ VPN. Như vậy nếu có ai đó nghe trộm thành công lưu lượng của người dùng khác, thì thủ phạm sẽ chỉ nghe thấy các dữ liệu không đúng cú pháp. Nếu bạn chưa có giải pháp VPN, hãy xem xét đến giải pháp OpenVPN.
Trong tương lai gần, bạn nên:
- Nâng cấp phần mềm AP: Các hãng có thể cung cấp các bản vá lỗi cho vấn đề này bằng một nâng cấp phần mềm đơn giản, vì vậy bạn cần liên tục theo dõi và nâng cấp các AP cũng như các thành phần mạng khác.
- Nâng cấp hệ thống IDS/IPS không dây: Các hệ thống phát hiện xâm nhập (IDS) không dây và hệ thống ngăn chặn xâm nhập (IPS) có khả năng phát hiện và cảnh báo cho bạn các kiểu tấn công này. Các giải pháp này hầu như đã cập nhật về lỗ hổng 196, vì vậy bạn cần bảo đảm nâng cấp nó. Nếu chưa có hệ thống IDS/IPS không dây, bạn nên cân nhắc đến nó ngay lập tức.
Bảo vệ bản thân bạn tránh lỗ hổng 196 này trên các mạng công cộng
Như được đề cập ở trên, lỗ hổng 196 cũng có thể ảnh hưởng tới các mạng công cộng hoặc các Wi-Fi hotspot sử dụng WPA/WPA2-Enterprise với nhận thực 802.1X. Vì bất cứ ai cũng có thể kết nối, do đó các điểm truy cập này sẽ là nơi chúng ta thấy các tấn công kiểu này nhất. Giống như trong một mạng riêng, hacker có thể capture lưu lượng Internet hay lưu lượng mạng được mã hóa của bạn và có thể giử đến bạn lưu lượng độc hại.
Mặc dù vậy, bảo vệ lưu lượng của bạn trong các mạng này không hề khó khăn. Tạo một đường hầm về VPN server và lưu lượng thực của bạn sẽ không bị capture. Nếu bạn không có máy chủ VPN server tại nhà hoặc nơi làm việc, hãy xem xét đến các dịch vụ hosting trả tiền hoặc miễn phí khác.
Một số mẹo cho các lỗ hổng nói chung
Cần nhớ rằng, đây chỉ là một trong số các lỗ hổng trong sử dụng các mạng không dây. Dưới đây là một số mẹo khác để bạn giữ an toàn cho mạng của mình:
- Khi sử dụng chế độ Personal (PSK), sử dụng mật khẩu phức tạp, dài – các mật khẩu ngắn hơn có thể dễ bị đoán bởi các tấn công từ điển.
- Khi sử dụng chế độ Enterprise với 802.1X, cấu hình đúng các thiết lập trong Windows, nếu không bạn sẽ dễ bị ảnh hưởng bởi các tấn công man-in-the-middle.
- Kiểm tra tùy chọn Validate server certificate và chọn Trusted Root Certificate Authority từ danh sách.
- Tích tùy chọn Connect to these servers và nhập vào tên miền hoặc địa chỉ IP của RADIUS server.
- Tích mục Do not prompt user to authorize new servers or trusted certificate authorities.
- Các mạng Wi-Fi được sử dụng bởi các tổ chức hoặc các doanh nghiệp cần sử dụng chế độ Enterprise, vì vậy sự truy cập có thể được kiểm soát tốt hơn. Mặc dù yêu cầu máy chủ RADIUS server nhưng vẫn có một số giải pháp cho các tổ chức nhỏ hơn.
- Không dựa vào việc vô hiệu hóa quảng bá SSID hoặc lọc địa chỉ MAC để được an toàn.