Bảo mật lưu lượng không dây – Phần 3 Trong phần tiếp theo này chúng tôi sẽ giới thiệu cho các bạn các ưu nhược điểm trong việc quảng bá SSID và lọc địa chỉ MAC. Trong phần trước của loạt bài này, chúng tôi đã gi ới thiệu cho các bạn liệu có nên hay không thay đ ổi mật khẩu mặc định của điểm truy cập không dây. Trong phần này, chúng tôi s ẽ tiếp tục thảo lu ận bằng cách giới thiệu về một số thiết lập bảo mật khác có trong hầu hết các điểm truy cập không dây. SSID Một trong những khuyến cáo bảo mật phổ biến nh ất cho mạng không dây là nên vô hiệu hóa việc quảng bá SSID. SSID là t ừ được viết tắt từ thuật ngữ Service Set Identifier. SSID xu ất hiện với tư cách là một từ hoặc một cụm từ đư ợc sử dụng để nhận dạng một mạng không dây. Lý do tại sao có rất nhiều chuyên gia CNTT khuyên nên vô hi ệu hóa việc quảng bá SSID là vì SSID gần giống như một nh ãn mà b ạn có thể sử dụng để phân biệt một mạng không dây. SSID thực là một bí mật và được sử dụng để hạn chế việc truy cập vào m ột mạng không dây nào đó. Nói theo cách khác, tr ừ khi ai đó biết bí m ật, bằng không họ không thể kết nối với mạng không dây của bạn. Cần lưu ý rằng, mặc dù SSID là một bí mật nhưng nó khác v ới các khóa WEP hoặc WPA. Chúng tôi sẽ giới thiệu về WEP v à WPA trong các phần sau của loạt bài. Lúc này, chúng ta sẽ quay trở lại và tìm hi ểu khái niệm khóa mật SSID. Nếu SSID thực sự là một khóa mật đư ợc sử dụng để bảo vệ sự truy cập cho một mạng không dây thì t ại sao hầu hết các điểm truy cập lại quảng bá SSID? Chúng tôi cho rằng lý do tại sao SSID lại được quảng bá như v ậy là sự phát triển của việc kết nối mạng không dây. Dù SSID có th ể ban đầu được tạo như một cơ chế bảo mật, nhưng nó đ ã nhanh chóng được quảng bá để trở thành một cơ ch ế cho việc phân biệt giữa các mạng không dây với nhau. Thậm chí hệ điều h ành Windows còn coi SSID là thành ph ần chỉ sự tồn tại của một mạng không dây. Vậy có nên quảng bá SSID của mình hay nên vô hi ệu hóa việc quảng bá này? R ốt cuộc, vô hiệu hóa việc quảng bá SSID không mang lại gì nhi ều cho việc cải thiện bảo mật mạng. Khi bạn vô hi ệu hóa việc quảng bá, điểm truy cập không dây sẽ cố gắng không quảng bá khi gặp các gói yêu c ầu sự đáp trả. Nói cách khác, SSID sẽ không được hiển thị trên danh sách các m ạng không dây có sẵn của Windows. Cách thức này có thể tăng mức độ bảo mật, nhưng th ậm chí nếu bạn vô hiệu hóa quảng bá SSID thì SSID vẫn đư ợc truyền tải trong các khung Association và Re-association cũng nh ư các khung Probe Response. Điều này gần như một trò chơi tr ẻ con đối với bất cứ ai có một bộ đánh hơi gói dữ liệu, họ đều có thể kh ám phá ra SSID mạng không dây mạng của bạn vì b ất cứ thời điểm nào khi có người dùng h ợp pháp kết nối với mạng không dây của bạn thì SSID cũng đều được phát dư ới dạng văn bản trong sáng. Tất cả những gì các hacker cần thực hiện là ngồi và đợi. Về cá nhân, chúng tôi nghĩ rằng việc coi SSID là một cơ ch ế bảo mật là không đúng vì thực hiện như v ậy chỉ tạo ra một cải thiện không đáng kể trong khía cạnh bảo mật và nó có th ể tạo ra một cảm nhận bảo mật không đúng. Quan trọng hơn, h ầu hết các NIC driver không dây c ũ cho Windows (thậm chí một số driver hiện hành) không làm việc đúng khi người dùng th ử kết nối với một mạng không dây hiện không quảng bá SSID của nó. Chính vì v ậy, tối hơn hết chúng ta nên coi SSID chỉ là m ột thứ để phân biệt các mạng không dây, không phải một cơ chế bảo mật. Lọc địa chỉ MAC Một trong những kỹ thuật bảo mật hiệu quả hơn cho các m ạng không dây ở mức điểm truy cập là sử dụng lọc địa ch ỉ MAC. Ý tưởng cơ bản nằm bên dưới kỹ thuật này cũng giống như m ột card m ạng chạy dây, tất cả các NIC không dây đều có một địa chỉ MAC (Media Access Control) duy nh ất. Kỹ thuật lọc địa chỉ MAC là quá trình bạn tạo một danh sách trắng để chỉ rõ các đ ịa chỉ MAC nào là xác thực và đư ợc quyền kết nối với điểm truy cập. Một ưu điểm của kỹ thuật này là dù có ai đó bi ết SSID mạng không dây của bạn và mật khẩu WEP hoặc WPA thì h ọ cũng không thể kết nối với mạng trừ khi họ sử dụng card mạng mà b ạn đã xác thực. Chính vì vậy lọc địa chỉ MAC là một cơ chế bảo mật khá tốt m à có thể bạn chưa đư ợc nghe nhiều về nó. Một lý do tại sao lọc địa chỉ MAC không được sử dụng rộng dãi trên các m ạng không dây là vì có rất nhiều vấn đề đi kèm trong việc thực thi và duy trì c ơ chế này. Kỹ thuật lọc địa chỉ MAC chỉ làm vi ệc thực sự tốt trong các tổ ch ức nhỏ, nó không thực tế khi sử dụng trong các mạng lớp doanh nghiệp cỡ lớn vì mỗi lần đưa vào s ử dụng một card mạng mới, địa chỉ MAC của card đó phải được thêm vào b ộ lọc địa chỉ MAC. Tương tự như vậy, bất cứ khi nào laptop ho ặc card không dây không làm việc, quản trị viên phải chỉ ra đư ợc địa chỉ MAC nào thuộc về thiết bị đó và remove nó khỏi danh sách trắng. Hơn thế nữa, trong các công ty lớn, thường có rất nhi ều các chuyên gia, nhân viên thẩm định v à khách ghé thăm, đây là những ngư ời cần truy cập qua mạng không dây. Nếu bạn sử dụng kỹ thuật lọc địa chỉ MAC thì điều này đã vô tình làm c ản trở các vị khách này truy cập vào mạng không dây. Quá trình quản lý danh sách của bộ lọc MAC l à khá công phu, tuy nhiên những nhược điểm này không đ ủ để ngăn các tổ chức sử dụng nó. Có hai vấn đề có thể minh chứng là những như ợc điểm trong việc sử dụng kỹ thuật lọc địa chỉ MAC. Một trong hai vấn đề đó là kỹ thuật lọc địa chỉ MAC đư ợc thực thi ở mức điểm truy cập. Điều này sẽ không thành v ấn đề đối với các tổ chức nhỏ hoặc trung bình, tuy nhiên v ới các tổ chức lớn hơn, các tổ chức có nhiều điểm truy cập không dây ảo và v ật lý thì việc quản lý danh sách trắng cho mỗi thiết bị này sẽ là m ột nhiệm vụ không hề đơn giản. Một như ợc điểm khác trong việc sử dụng kỹ thuật lọc địa chỉ MAC là các điểm truy cập yêu c ầu khởi động lại mỗi lần có sự thay đổi đối với danh sách lọc. Những lần khởi động lại này s ẽ rất khó chịu nếu một tổ chức nào đó th ực hiện nhiều thay đổi cho danh sách lọc. Có một số người cho rằng những điểm bất thuật lợi này v ẫn đáng giá với những ưu điểm thu đư ợc trong việc sử dụng lọc địa chỉ MAC. Nói chung, hacker thư ờng không có khả năng thay đổi NIC của họ để gán cho nó một địa chỉ MAC khác. Tương tự như v ậy, hacker c ũng không có khả năng thay đổi danh sách lọc của bạn nếu danh sách đó ngăn chặn họ truy cập vào m ạng của bạn ngay từ đầu. Lý do tại sao việc lọc địa chỉ MAC không được coi ho àn toàn tin cậy là vì có nhiều cách có th ể giả mạo địa chỉ MAC bằng phần mềm. Cho ví dụ, chúng tôi đã t ừng thấy các driver Windows cho các NIC không dây có một tùy chọn đi kèm đ ể chỉ định một địa chỉ MAC khác. Nếu hacker đánh hơi th ấy mạng không dây của bạn, chúng có thể dễ dàng lấy được địa chỉ MAC của NIC đ ã được xác thực. Khi có được địa chỉ này rồi, chúng có thể cấu h ình máy tính để giả mạo địa chỉ đó và tăng truy cập vào m ạng của bạn. Vậy điều này có nghĩa là chúng ta không nên s ử dụng kỹ thuật lọc địa chỉ MAC nữa? Không phải ý đó! Bạn cần bi ết rằng không có một tính năng bảo mật nào là hoàn h ảo. Bảo mật cần phải có nhiều lớp và có chiều sâu. Nó theo cách khác, bạn nên có nhi ều biện pháp bảo mật để tránh ai đó có thể đột nhập vào m ạng của mình. Có thể việc lọc địa chỉ MAC là một tùy chọn không th ực tế cho các tổ chức lớn nhưng nó lại là một tùy chọn phù h ợp với các tổ chức nhỏ và trung bình. Kết luận Trong bài này, chúng tôi đã giới thiệu cho các bạn một số vai tr ò của việc quảng bá SSID và l ọc địa chỉ MAC trong bảo mật mạng không dây. Trong phần 4 của loạt bài này, chúng tôi s ẽ giới thiệu cho các bạn một số tùy chọn bảo mật khác nữa. . Bảo mật lưu lượng không dây – Phần 3 Trong phần tiếp theo này chúng tôi sẽ giới thiệu cho các bạn các ưu nhược điểm trong việc quảng bá SSID và lọc địa chỉ MAC. Trong phần trước. SSID là một cơ ch ế bảo mật là không đúng vì thực hiện như v ậy chỉ tạo ra một cải thiện không đáng kể trong khía cạnh bảo mật và nó có th ể tạo ra một cảm nhận bảo mật không đúng. Quan trọng. m ột thứ để phân biệt các mạng không dây, không phải một cơ chế bảo mật. Lọc địa chỉ MAC Một trong những kỹ thuật bảo mật hiệu quả hơn cho các m ạng không dây ở mức điểm truy cập là sử dụng