Client khác (mô hình Ad — Hoc) để có thể xác thực và kết nối SSID có thể được phát

Một phần của tài liệu Nghiên cứu bảo mật trong hệ thống Wireless LAN (Trang 67 - 69)

IV Key +1 Key +(N-1) Key

client khác (mô hình Ad — Hoc) để có thể xác thực và kết nối SSID có thể được phát

quảng bá trong các gói tin Beacon hoặc đặt chế độ ấn (không phát quảng bá). Ở chế độ SSID ân, client muốn truy cập vào mạng bắt buộc phải biết trước giá trị SSID. Cơ chế này chính là SSID filtering.

Tuy nhiên, với các công cụ dò tìm cấu hình mạng WLAN được phát tán rộng rãi trên Internet như hiện nay thì việc đặt chế độ ân cho SSID cũng không phải là biện pháp an toàn. Do đó SSID filtering không được xem như là một phương thức tin cậy để ngăn chặn các người dùng trái phép truy cập vào mạng. SSID chỉ nên được sử dụng như là một phương thức để phân đoạn mạng chứ không phải là bảo mật mạng.

® Lọc địa chỉ MAC :

WLAN có thể lọc dựa trên địa chỉ MAC (hay còn được gọi là địa chỉ vật lý — Physical Address) của client. Hầu hết các AP (kế cả những loại rẻ tiền) đều có chức năng MAC Address Filter. Người quản trị mạng có thể xây dựng, phân phát và duy trì một danh sách các địa chỉ MAC được cho phép. Nếu một client có địa chỉ MAC không

năm trong danh sách cho phép của AP cố gắng truy cập vào mạng thì chức năng MAC Address Filter sẽ ngăn chặn và không cho phép kết nối.

Dĩ nhiên việc đưa tất cả địa chỉ MAC của client vào bảng MAC Address Filter của tất cả các AP trong một doanh nghiệp lớn là không khả thi. MAC Address Filter có thể được cài đặt trên một AAA Server sử dụng dịch vụ RADIUS thay vì trên AP. Cấu hình này làm cho MAC Address Filter là một giải pháp bảo mật mang tính mở rộng cao.

Tuy nhiên, địa chỉ MAC được truyền đi trong các gói tin giữa client và AP ở dạng không mã hóa, do đó một hacker có thể lắng nghe traffic trên mạng và nhanh chóng tìm ra địa chỉ MAC của các client được cho phép.

Có một số card mạng cho phép thay đổi địa chỉ MAC của chúng hoặc là chỉ cần sử dụng một phần mềm thay đổi địa chỉ MAC cùng với một danh sách đầy đủ các địa chỉ MAC hợp lệ đã thu thập được. Hacker có thể đơn giản giả mạo địa chỉ MAC của mình thành địa chỉ MAC được cho phép là có thể vượt qua được MAC Address Filter. Do đó MAC Address Filter nên được sử dụng nhưng không nên là phương thức bảo mật duy nhất trên mạng WLAN.

® Lọc giao thức sử dụng :

WLAN có thể lọc các gói tin truyền trên mạng dựa trên các giao thức được sử dụng trên các gói tin đó. Trong nhiều trường hợp, các nhà sản xuất làm cho Protocol

FiHer có thể được cấu hình một cách độc lập cho cả phân đoạn mạng có dây và đoạn

mạng không dây trên AP.

Nếu đường kết nối được cài đặt với mục đích cung cấp các truy cập Internet nhanh chóng cho người dùng thì người quản trị mạng chỉ nên cho phép các giao thức như SMTP, POP3, HTIP, HTTPS, FTP... được sử dụng. Khả năng lọc giao thức như vậy là rất hữu ích trong việc quản lý sử dụng môi trường mạng dùng chung.

Với chức năng lọc giao thức, người quản trị mạng sẽ đễ dàng thiết lập và kiểm soát được các dịch vụ được phép sử dụng trên môi trường mạng của mình. Đồng thời giúp quản lí băng thông sử dụng một cách hiệu quả.

3.3.2 Hệ thống phát hiện xâm nhập WIDS :

WIDS — Wireless Intrusion Detection System, là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. Ngoài ra WIDS cũng đảm nhận việc phản ứng lại các lưu thông bất thường hay có hại bằng các hành động đã được thiết lập trước như khóa người dùng hoặc địa chỉ IP nguồn đó truy cập hệ thống mạng...

WIDS cũng có thể phân biệt giữa những tấn công từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). WIDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa

Một phần của tài liệu Nghiên cứu bảo mật trong hệ thống Wireless LAN (Trang 67 - 69)

Tải bản đầy đủ (PDF)

(100 trang)