Lọc địa chỉ MAC trên mạng không dây

Để tăng cường khả năng bảo mật cho mạng Wi-Fi, ngoài việc sử dụng các chế độ mã hóa, xác thực, ẩn tên mạng... thì người dùng nên kết hợp thêm tính năng lọc địa chỉ MAC.

Trước khi nền công nghiệp Wi-Fi giải quyết được những vấn đề và thiếu sót của WEP (wireless encryption protocol) - công nghệ bảo mật bằng mã hóa, nhiều chuyên gia khuyến cáo sử dụng thêm cơ chế lọc địa chỉ MAC nhằm tăng cường bảo mật.

Mỗi thiết bị Wi-Fi được gán duy nhất một địa chỉ MAC (Media Access Control) gồm 12 chữ số thập lục phân. Địa chỉ MAC là phần “ngầm” của thiết bị phần cứng và được gửi tự động tới điểm truy cập Wi-Fi mỗi khi thiết bị kết nối vào mạng.

Sử dụng trình quản lý cấu hình của điểm truy cập (Access Point - AP), bạn có thể lập được một danh sách thiết bị an toàn (được phép truy xuất vào mạng) hay danh sách thiết bị không được phép truy xuất vào mạng (black list – danh sách đen). Nếu bộ lọc địa chỉ MAC được kích hoạt, AP chỉ cho phép các thiết bị trong danh sách an toàn được kết nối vào mạng và cấm tất cả thiết bị trong danh sách đen truy xuất vào mạng, ngay cả khi bạn có khóa kết nối, bất kể bạn đang sử dụng giao thức kết nối nào.

Với sự xuất hiện của các giao thức mã hóa tin cậy, trong đó mạnh nhất là WPA2 (Wi-Fi Protected Access II), chúng ta ít nghe nói đến lọc địa chỉ MAC hơn. Tuy nhiên, tin tặc (hacker) cũng đã tìm ra cách để tấn công giao thức này, bằng cách giả mạo địa chỉ của thiết bị kết nối hay giả mạo là một trong số các thiết bị này.

Bảo mật nhiều lớp

Theo Jacob Sharony, chuyên viên tư vấn chính và cũng là chủ tịch của Mobius Consulting, công ty tư vấn về không dây tại New York cho rằng lọc địa chỉ MAC là chưa đủ. Sharony cho rằng một chiến lược bảo mật tốt phải được xây dựng trên nhiều lớp. Trong hầu hết trường hợp, bạn không nên chỉ sử dụng bộ lọc địa chỉ MAC – chỉ một giải pháp này sẽ không đủ để ngăn chặn các hacker tinh vi – mà nên sử dụng kết hợp với những lớp bảo mật khác. Có những tình huống phù hợp để sử dụng bộ lọc địa chỉ MAC, đó là, trong trường hợp nỗ lực đầu tư thêm cho bảo mật mà không đủ đáp ứng.

Sử dụng địa chỉ MAC?

Để thiết lập bộ lọc MAC, bạn cần lập danh sách địa chỉ MAC cho các thiết bị có nhu cầu kết nối vào mạng. Mỗi lần muốn thêm hay xóa một thiết bị, bạn phải đăng nhập vào trình quản lý cấu hình của AP. (AP cấp doanh nghiệp có thể cho phép thực hiện việc này bằng câu lệnh).

Trong hầu hết bộ định tuyến (router) dành cho doanh nghiệp nhỏ/người dùng gia đình mà nhiều công ty đang sử dụng, bạn mở trình trình duyệt và nhập địa chỉ IP của router (xem thêm trong tài liệu hướng dẫn sử dụng, thường là: 192.168.0.1 hay 192.168.1.1) vào thanh địa chỉ của trình duyệt.

Lúc đó, màn hình trình duyệt quản lý thiết bị sẽ yêu cầu bạn nhập tài khoản đăng nhập (ID và mật khẩu) – xem tài khoản đăng nhập mặc định trong tài liệu hướng dẫn đi kèm thiết bị. Sau khi đăng nhập thành công, để an toàn, bạn nên thay đổi ngay tài khoản đăng nhập mặc định. Sau đó, bạn tìm phần thiết lập nâng cao cho mạng không dây và chọn phần "MAC filtering" hay "Access list" hay một số tên gọi khác (tùy hãng mà sẽ có tên gọi khác nhau, bạn nên xem trước trong tài liệu hướng dẫn đi kèm sản phẩm để biết rõ hơn).

Cách lọc địa chỉ MAC

Nếu bạn cần thêm một thiết bị mới vào hệ thống, bạn cần phải biết địa chỉ của thiết bị này trước. Địa chỉ này thường được in ngay trên mặt ngoài của sản phẩm, nhưng cũng có ngoại lệ. Trong một số sản phẩm như điện thoại di động, địa chỉ MAC có thể tìm thấy thông qua phần mềm của điện thoại, nhưng có một số sản phẩm, việc tìm thấy địa chỉ MAC rất khó khăn.

Phương án cuối cùng có thể thực hiện là bạn có thể tạm thời tắt tính năng lọc địa chỉ MAC, cho phép thiết bị mới kết nối vào, và lấy địa chỉ MAC của thiết bị này từ danh sách thiết bị kết nối trong trình quản lý truy cập của AP.

Để thêm một địa chỉ MAC của thiết bị mới vào mạng Wi-Fi, bạn đăng nhập vào trình quản lý thiết bị, mở mục Wireless MAC Filter và nhập địa chỉ MAC của thiết bị đó vào. Trước đó, bạn nên kích hoạt (Enabled) chức năng Wireless MAC Filter và chọn chế độ tạo danh sách đen hay danh sách an toàn.

Thực tế cho thấy, nếu bạn là người quản lý mạng không dây và biết địa chỉ MAC của thiết bị đang kết nối vào mạng và các máy này truy cập mạng thường xuyên thì lọc địa chỉ MAC là một lớp bảo mật dễ triển khai.

Khi nào không dùng lọc MAC?

Nếu môi trường mạng không dây của bạn thường xuyên thay đổi, các thiết bị mới kết nối và ngắt kết nối liên tục, hay bạn đang quản lý một hệ thống mạng doanh nghiệp lớn với hàng ngàn, thậm chí chục ngàn thiết bị, việc duy trì và cập nhật liên tục bảng địa chỉ MAC khá khó khăn nên khó mang lại kết quả như mong muốn.

Có nhiều chức năng trên router Wi-Fi/AP có thể hỗ trợ thực hiện việc này dễ dàng hơn, chẳng hạn chức năng WPS (Wi-Fi Protected Setup), cho phép người quản trị mạng dễ dàng thêm thiết bị mới vào mạng cũng như tự động thêm địa chỉ MAC vào danh sách.

Có những trường hợp hệ thống mạng quá nhỏ và chưa đến lúc phải sử dụng cách bộ lọc địa chỉ MAC, nhưng đôi khi nhà/văn phòng có thêm các máy khách muốn truy cập vào mạng – sử dụng thiết bị của họ để truy cập.

Để giải quyết tình huống này, nhiều AP mới cho phép bạn thiết lập mạng thứ hai hoàn toàn tách biệt với mạng chính (chẳng hạn tính năng Guest Access trên các router Wi-Fi dòng E của hãng Cisco Linksys), một tên mạng Wi-Fi (SSID - service set identifier) khác dành riêng cho máy khách. Mạng chính sẽ được bảo vệ bằng cách kết hợp mã hóa và bộ lọc địa chỉ MAC, trong khi mạng thứ hai vẫn mở để cho khách truy cập Internet bình thường.

Lọc MAC có thay mã hóa?

Liệu có những tình huống để bạn chỉ sử dụng phương pháp bộ lọc địa chỉ MAC?

Có ý kiến cho rằng không có trường hợp này, phải sử dụng mã hóa. Vì quá nhiều giao thức và chương trình (trên web) không được mã hóa, trong đó có nhiều công cụ bắt gói tin không dây (cho hacker) cho tải miễn phí nên mã hóa mạng không dây có ý nghĩa quan trọng.

Một ý kiến khác cho rằng, phương pháp bảo mật chỉ sử dụng bộ lọc địa chỉ MAC chỉ phù hợp khi sử dụng một điểm truy cập cá nhân, chẳng hạn với MiFi của Novatel Wireless – bộ sản phẩm sử dụng trên xe hơi, thường dành cho các thành viên trong gia đình hay các đồng nghiệp truy cập. Với cách này, bạn có thể sử dụng kết hợp giữa bộ lọc MAC và mã hóa hay không cần mã hóa. Vì thỉnh thoảng, việc mã hóa sẽ trở nên nặng nề do yêu cầu người dùng biết khóa truy cập.

Dùng danh sách đen hay danh sách an toàn?

Thông thường, người dùng muốn sử dụng bộ lọc địa chỉ MAC chỉ cho phép những thiết bị đã xác định kết nối – danh sách an toàn. Nhưng cũng sẽ có những trường hợp người dùng muốn tạo danh sách đen – danh sách người dùng không được phép kết nối vào mạng của bạn.

Nếu bạn muốn đảm bảo một số thiết bị không kết nối được vào mạng của bạn, ví vụ như máy tính cá nhân/điện thoại di động của các nhân viên đã nghỉ việc; các thiết bị được xác định là có liên quan với các cuộc tấn công từ chối dịch vụ trong quá khứ hay người hàng xóm mà bạn nghi ngờ đang tìm cách tấn công mạng của bạn để truy cập internet, bạn nên chọn thiết lập danh sách trắng.

"Nếu nhà/văn phòng của bạn có thiết lập hẳn mạng Wi-Fi mở (không sử dụng bảo mật như mã hóa và lọc địa chỉ MAC) dành cho khách hàng của bạn truy cập thì cũng có ý kiến đề nghị rằng, bạn nên đưa tất cả máy tính của nhà/văn phòng vào danh sách đen của mạng này, như vậy các máy tính chứa dữ liệu quan trọng của bạn không "bị tình cờ" kết nối vào mạng và có thể bị đánh cắp dữ liệu quan trọng."

"Một số chuyên gia cho rằng, trong một số trường hợp, quản trị mạng có thể khóa tất cả thiết bị (của nhiều nhà sản xuất khác nhau) đang kết nối vào mạng dựa trên các cặp ký tự đầu tiên trong địa chỉ MAC (tuy nhiên, cách này bạn bạn thông hiểu nhiều chi tiết kỹ thuật, quản trị, vì thế hy vọng chúng tôi sẽ có bài trình bày riêng trong thời gian tới)."

Lọc địa chỉ MAC là một tính năng bổ sung hữu ích cho mã hóa, nhưng bạn cũng nên nhớ rằng tính năng này cũng có thể bị đe dọa dù sử dụng kèm với các phương thức mã hóa tốt nhất.