Bảo mật lưu lượng không dây – Phần 3

Bảo mật lưu lượng không dây – Phần 3Trong phần tiếp theo này chúng tôi sẽ giới thiệu cho các bạn các ưu nhược điểm trong việc quảng bá SSID và lọc địa chỉ MAC. Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn liệu có nên hay không thay đổi mật khẩu mặc định của điểm truy cập không dây. Trong phần này, chúng tôi sẽ tiếp tục thảo luận bằng cách giới thiệu về một số thiết lập bảo mật khác có trong hầu hết các điểm truy cập không dây. SSID...
Nội dung trích xuất từ tài liệu:
Bảo mật lưu lượng không dây – Phần 3 Bảo mật lưu lượng không dây – Phần 3Trong phần tiếp theo này chúng tôi sẽ giới thiệu cho các bạncác ưu nhược điểm trong việc quảng bá SSID và lọc địa chỉMAC.Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho cácbạn liệu có nên hay không thay đổi mật khẩu mặc định của điểmtruy cập không dây. Trong phần này, chúng tôi sẽ tiếp tục thảoluận bằng cách giới thiệu về một số thiết lập bảo mật khác cótrong hầu hết các điểm truy cập không dây.SSIDMột trong những khuyến cáo bảo mật phổ biến nhất cho mạngkhông dây là nên vô hiệu hóa việc quảng bá SSID. SSID là từđược viết tắt từ thuật ngữ Service Set Identifier. SSID xuất hiệnvới tư cách là một từ hoặc một cụm từ được sử dụng để nhậndạng một mạng không dây.Lý do tại sao có rất nhiều chuyên gia CNTT khuyên nên vô hiệuhóa việc quảng bá SSID là vì SSID gần giống như một nhãn màbạn có thể sử dụng để phân biệt một mạng không dây. SSID thựclà một bí mật và được sử dụng để hạn chế việc truy cập vào mộtmạng không dây nào đó. Nói theo cách khác, trừ khi ai đó biết bímật, bằng không họ không thể kết nối với mạng không dây củabạn.Cần lưu ý rằng, mặc dù SSID là một bí mật nhưng nó khác vớicác khóa WEP hoặc WPA. Chúng tôi sẽ giới thiệu về WEP vàWPA trong các phần sau của loạt bài.Lúc này, chúng ta sẽ quay trở lại và tìm hiểu khái niệm khóa mậtSSID. Nếu SSID thực sự là một khóa mật được sử dụng để bảo vệsự truy cập cho một mạng không dây thì tại sao hầu hết các điểmtruy cập lại quảng bá SSID?Chúng tôi cho rằng lý do tại sao SSID lại được quảng bá như vậylà sự phát triển của việc kết nối mạng không dây. Dù SSID có thểban đầu được tạo như một cơ chế bảo mật, nhưng nó đã nhanhchóng được quảng bá để trở thành một cơ chế cho việc phân biệtgiữa các mạng không dây với nhau. Thậm chí hệ điều hànhWindows còn coi SSID là thành phần chỉ sự tồn tại của một mạngkhông dây.Vậy có nên quảng bá SSID của mình hay nên vô hiệu hóa việcquảng bá này? Rốt cuộc, vô hiệu hóa việc quảng bá SSID khôngmang lại gì nhiều cho việc cải thiện bảo mật mạng. Khi bạn vôhiệu hóa việc quảng bá, điểm truy cập không dây sẽ cố gắngkhông quảng bá khi gặp các gói yêu cầu sự đáp trả. Nói cáchkhác, SSID sẽ không được hiển thị trên danh sách các mạngkhông dây có sẵn của Windows.Cách thức này có thể tăng mức độ bảo mật, nhưng thậm chí nếubạn vô hiệu hóa quảng bá SSID thì SSID vẫn được truyền tảitrong các khung Association và Re-association cũng như cáckhung Probe Response. Điều này gần như một trò chơi trẻ con đốivới bất cứ ai có một bộ đánh hơi gói dữ liệu, họ đều có thể khámphá ra SSID mạng không dây mạng của bạn vì bất cứ thời điểmnào khi có người dùng hợp pháp kết nối với mạng không dây củabạn thì SSID cũng đều được phát dưới dạng văn bản trong sáng.Tất cả những gì các hacker cần thực hiện là ngồi và đợi.Về cá nhân, chúng tôi nghĩ rằng việc coi SSID là một cơ chế bảomật là không đúng vì thực hiện như vậy chỉ tạo ra một cải thiệnkhông đáng kể trong khía cạnh bảo mật và nó có thể tạo ra mộtcảm nhận bảo mật không đúng. Quan trọng hơn, hầu hết các NICdriver không dây cũ cho Windows (thậm chí một số driver hiệnhành) không làm việc đúng khi người dùng thử kết nối với mộtmạng không dây hiện không quảng bá SSID của nó. Chính vì vậy,tối hơn hết chúng ta nên coi SSID chỉ là một thứ để phân biệt cácmạng không dây, không phải một cơ chế bảo mật.Lọc địa chỉ MACMột trong những kỹ thuật bảo mật hiệu quả hơn cho các mạngkhông dây ở mức điểm truy cập là sử dụng lọc địa chỉ MAC. Ýtưởng cơ bản nằm bên dưới kỹ thuật này cũng giống như mộtcard mạng chạy dây, tất cả các NIC không dây đều có một địa chỉMAC (Media Access Control) duy nhất. Kỹ thuật lọc địa chỉMAC là quá trình bạn tạo một danh sách trắng để chỉ rõ các địachỉ MAC nào là xác thực và được quyền kết nối với điểm truycập.Một ưu điểm của kỹ thuật này là dù có ai đó biết SSID mạngkhông dây của bạn và mật khẩu WEP hoặc WPA thì họ cũngkhông thể kết nối với mạng trừ khi họ sử dụng card mạng mà bạnđã xác thực.Chính vì vậy lọc địa chỉ MAC là một cơ chế bảo mật khá tốt màcó thể bạn chưa được nghe nhiều về nó. Một lý do tại sao lọc địachỉ MAC không được sử dụng rộng dãi trên các mạng không dâylà vì có rất nhiều vấn đề đi kèm trong việc thực thi và duy trì cơchế này.Kỹ thuật lọc địa chỉ MAC chỉ làm việc thực sự tốt trong các tổchức nhỏ, nó không thực tế khi sử dụng trong các mạng lớpdoanh nghiệp cỡ lớn vì mỗi lần đưa vào sử dụng một card mạngmới, địa chỉ MAC của card đó phải được thêm vào bộ lọc địa chỉMAC. Tương tự như vậy, bất cứ khi nào laptop hoặc card khôngdây không làm việc, quản trị viên phải chỉ ra được địa chỉ MACnào thuộc về thiết bị đó và remove nó khỏi danh sách trắng.Hơn thế nữa, trong các công ty lớn, thường có rất nhiều cácchuyên gia, nhân viên thẩm định và khách ghé thăm, đây lànhững người cần truy cập qua mạng không dây. Nếu bạn sử dụngkỹ thuật lọc địa chỉ MAC thì điều này đã vô tình ...