Bảo mật cho mạng Wi-Fi

Bảo mật cho mạng Wi-Fi

Vân Ly

(TBVTSG) – Hiện nay, mạng không dây (Wi-Fi) đã trở thành một hình thức truy cập Internet tiện dụng và khá phố biến ở các thành phố lớn trên cả nước. Tuy nhiên, thời gian gần đây, các thiết bị và phần mềm có khả năng phá mật khẩu Wi-Fi được rao bán nhiều trên mạng khiến các đơn vị và cá nhân sử dụng Wi-Fi lo lắng.

Trước đây, khi Wi-Fi mới xuất hiện (thử nghiệm), người sử dụng thường được truy cập tự do. Nhưng đến nay thì các khách sạn, quán cà-phê… đã bắt đầu quản lý việc truy cập Wi-Fi bằng mật khẩu chứ không cho dùng tự do nữa. Tuy nhiên, mật khẩu Wi-Fi sẽ bị vô hiệu hóa nếu có thiết bị phá mật khẩu. Theo ông Ngô Tuấn Anh, Giám đốc Bkis Telecom, lúc đó mạng Wi-Fi không chỉ bị dùng bất hợp pháp mà kẻ xâm nhập còn có khả năng truy cập vào hệ thống, nghe trộm hoặc đánh cắp thông tin… “Rủi ro về an ninh, bảo mật đối với mạng Wi-Fi cao hơn so với mạng có dây. Điều này cũng đồng nghĩa với việc bảo đảm an ninh cho mạng Wi-Fi phức tạp hơn so với mạng có dây thông thường”, ông Tuấn Anh nói.

Các biện pháp

Các SSID nhìn từ một máy tính.

Theo Bkis Telecom, có nhiều phương pháp bảo đảm an ninh cho hệ thống Wi-Fi.

– Tắt định danh mạng (SSID): Các hệ thống Wi-Fi có tham số để phân biệt là định danh mạng SSID (Service Set Identifier). Để kết nối vào một mạng Wi-Fi, máy tính phải tìm thấy thông tin về định danh mạng này. Mặc định SSID của một hệ thống Wi-Fi được cấu hình cho phép bất kỳ máy tính nào cũng có thể tìm thấy thông tin này. Để tăng tính bảo mật cho mạng Wi-Fi, người sử dụng có thể che giấu SSID bằng việc bỏ mặc định này. Tuy nhiên, biện pháp này không phải là an toàn tuyệt đối, bởi chỉ với một số công cụ, những kẻ tấn công (hacker) có thể dễ dàng dò ra SSID ẩn này. Hơn nữa, việc che giấu SSID cũng gây khó khăn cho người sử dụng bình thường, vì phải tự nhập tham số này vào khi muốn kết nối vào mạng Wi-Fi.

– Lọc địa chỉ MAC (MAC Filtering): Một trong những biện pháp hạn chế nạn truy cập Wi-Fi bất hợp pháp là lọc địa chỉ MAC. Với mỗi máy tính, ứng với một card mạng có một địa chỉ MAC tương ứng (do nhà sản xuất thiết lập). Hầu hết các hệ thống Wi-Fi cho phép chỉ những máy tính có địa chỉ MAC nằm trong danh sách được định nghĩa trên hệ thống Wi-Fi mới được phép truy cập. Phương pháp này cũng hạn chế được phần lớn những cuộc truy cập bất hợp pháp, tuy nhiên hacker có thể sử dụng công cụ giả địa chỉ MAC để vượt qua rào cản này.

– Tắt dịch vụ cấp phát IP tự động (DHCP): Để truy cập được vào mạng, máy tính sử dụng Wi-Fi cần phải có thêm địa chỉ IP. Thông thường các hệ thống Wi-Fi cũng được cấu hình mặc định cấp phát địa chỉ IP động cho các máy tính (chức năng DHCP). Để tăng mức độ an ninh nên tắt chức năng DHCP trên hệ thống Wi-Fi. Tuy nhiên, kể cả khi đã bỏ chức năng DHCP, hacker vẫn có thể dò ra dải địa chỉ IP bằng các công cụ (xem hình minh họa). Ngoài ra, việc bỏ tính năng DHCP cũng làm giảm tính tiện lợi vốn có của Wi-Fi. Do đó, có thể triển khai biện pháp trung gian là cho phép DHCP nhưng hạn chế, chỉ cấp IP cho các máy tính theo danh sách có sẵn (danh sách địa chỉ MAC).

Giả địa chỉ MAC để vượt qua rào cản MAC Filtering.

– Sử dụng biện pháp an ninh cho Wi-Fi theo mô hình khóa chia sẻ chung (Preshared Key): Với phương pháp này, để truy cập vào hệ thống mạng không dây Wi-Fi, người sử dụng sẽ phải nhập một khóa bí mật và khóa này phải giống khóa được định nghĩa trước trên hệ thống Wi-Fi. Hiện nay, các giao thức được sử dụng phổ biến với Wi-Fi là WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access), WPA2 (Wi-Fi Protected Access version 2). Các phương pháp này có nhược điểm là khó quản lý khóa bí mật vì khóa này phải được nhập trên tất cả các máy tính truy nhập vào hệ thống Wi-Fi nên không có gì bảo đảm là tất cả những người được cung cấp khóa không để lộ thông tin này. Chỉ cần một người để lộ là hệ thống sẽ bị nguy hiểm. Đặc biệt, hiện nay WEP đã có thể dễ dàng bị bẻ khóa chỉ trong vài phút mà không cần người được cấp khóa để lộ khi có các phần mềm và thiết bị bẻ khóa mật khẩu Wi-Fi.

– Sử dụng biện pháp an ninh cho Wi-Fi theo mô hình chứng thực mở rộng: Theo mô hình này, mỗi máy tính khi truy cập vào hệ thống Wi-Fi sẽ phải cần một thông tin định danh riêng. Thông tin định danh có thể là một cặp username/password hoặc là chứng thư số (Digital Certificate). Khi người sử dụng muốn kết nối vào hệ thống, thông tin định danh sẽ được gửi tới hệ thống xác thực của Wi-Fi. Nếu thông tin định danh đúng, người sử dụng có thể kết nối vào hệ thống Wi-Fi, trái lại, kết nối sẽ bị hủy bỏ.

Trong mô hình này, có hai lựa chọn: dùng username/password và dùng chứng thư số. Mỗi lựa chọn đều có những ưu điểm, nhược điểm khác nhau.

Giải pháp username/password có ưu điểm là dễ triển khai, chi phí thấp nhưng cũng có nhược điểm là có khả năng bị tấn công dạng từ điển và tấn công dạng MITMD (man-in-the-middle).

Giải pháp chứng thư số theo mô hình khóa công khai bảo đảm an toàn. Tuy nhiên, để triển khai giải pháp này phải xây dựng hệ thống khá phức tạp và tốn kém.

Tùy đối tượng mà chọn giải pháp

Dò tìm dải địa chỉ Wi-Fi.

Bkis Telecom đã đưa ra một số khuyến cáo cho các đối tượng khác nhau khi sử dụng Wi-Fi.

Đối với các cơ quan, tổ chức mà an ninh là yếu tố rất quan trọng như Chính phủ, các bộ, ngành tài chính, ngân hàng…, nên sử dụng phương pháp mạnh nhất là chứng thực theo mô hình khóa công khai kết hợp với mã hóa WPA2. Khóa để mã hóa dữ liệu sẽ được tự động tạo ra thông qua kênh mã hóa được thực hiện bằng mã hóa công khai, nhờ vậy bảo đảm tính an toàn và bí mật.

Còn đối với các đơn vị chưa có điều kiện thiết lập hệ thống Wi-Fi an ninh nhất theo mô hình khóa công khai, nên kết hợp nhiều biện pháp bảo vệ như: lọc địa chỉ MAC, ẩn SSID, không cấp phát DHCP, mã hóa WPA2. Ngoài ra, nên tách mạng Wi-Fi ra thành một vùng riêng (ví dụ tạo riêng một VLAN cho Wi-Fi) và có những quy định để hạn chế đến mức thấp nhất cuộc truy cập không cần thiết từ mạng Wi-Fi. Khi áp dụng các biện pháp này, có thể thấy rằng độ an ninh của hệ thống sẽ phụ thuộc vào việc bảo đảm tính bí mật của khóa WPA2. Như vậy, yếu tố con người sẽ quyết định mức độ an ninh của hệ thống. Vì thế, chỉ nên phân phối khóa cho những người đáng tin cậy (không phải người nào trong đơn vị cũng được cung cấp khóa). Và những người được cấp khóa cần có đủ trách nhiệm và kỹ năng để giữ được bí mật của khóa (không được cho mượn máy, không nhập khóa trên một máy tính khác…).

Đối với các hệ thống mạng Wi-Fi tại gia đình, nên kết hợp đồng thời biện pháp chứng thực và mã hóa, chẳng hạn, áp dụng lọc địa chỉ MAC với mã hóa dùng WPA2. Trong nội bộ gia đình, vấn đề quản lý khóa WPA2 sẽ đơn giản hơn rất nhiều và giải pháp này là phù hợp.

Khi sử dụng Wi-Fi tại những nơi công cộng (quán cà-phê, sân bay…) – là những nơi mà các hệ thống Wi-Fi thường không áp dụng các biện pháp bảo đảm an ninh – người sử dụng cần phải tự lo việc bảo đảm an ninh cho chính mình. Một số biện pháp là: dùng tường lửa cá nhân để ngăn chặn tối đa những cuộc truy nhập bất hợp pháp vào máy; đặt mật khẩu cho những thông tin gửi đi; khi kết nối về hệ thống của cơ quan nhất thiết phải sử dụng mã hóa VPN và đặc biệt cần phải cập nhật đầy đủ các bản vá lỗi cho những phần mềm được sử dụng trên máy tính. Có nhiều giải pháp để phát hiện và phòng chống xâm nhập cho hệ thống Wi-Fi, cả miễn phí (như Snort, WIDZ…) và có thu phí (như AirMagnet, Airtight, Airdefense…). Các giải pháp có thu phí thường hỗ trợ nhiều tính năng hơn nhưng đi kèm chi phí khá cao. Đối với doanh nghiệp, việc lựa chọn giải pháp nào phụ thuộc vào nhu cầu và chính sách an ninh. Nếu doanh nghiệp cho phép dùng Wi-Fi chỉ để truy cập Internet, không truy cập vào hệ thống tác nghiệp nội bộ thì có thể áp dụng các giải pháp phát hiện và phòng chống xâm nhập đơn giản với chi phí thấp. Còn nếu cho phép sử dụng Wi-Fi khi truy cập vào hệ thống mạng tác nghiệp chứa dữ liệu quan trọng, cần sử dụng các giải pháp có đầy đủ tính năng và hỗ trợ kỹ thuật tốt với chi phí thường khá cao… Theo ông Ngô Tuấn Anh, để có phương án phù hợp nhất về an ninh và tài chính, các đơn vị nên sử dụng dịch vụ của các công ty tư vấn chuyên nghiệp trong lĩnh vực này.