LỌC ( FILTERING)

168

Quá trình sinh số của RC4 cũng sinh ra dãy số ngẫu nhiên, khó đoán trước, vì vậy RC4 đạt được mức độ an toàn cao theo tinh thần của mã hóa One-Time Pad. Mã hóa RC4 hoàn toàn được thực hiện trên các số nguyên một byte do đó tối ưu cho việc thiết lập bằng phần mềm và tốc độ thực hiện nhanh hơn so với mã khối.

169

SSID thực sự là một khóa mật được sử dụng để bảo vệ sự truy cập cho một mạng không dây. Cách thức này có thể tăng mức độ bảo mật, nhưng thậm chí nếu bạn vô hiệu hóa quảng bá SSID thì SSID vẫn được truyền tải trong các khung Association và Re-association cũng như các khung Probe Response. Điều này gần như một trò chơi trẻ con đối với bất cứ ai có một bộ đánh hơi gói dữ liệu, họ đều có thể khám phá ra SSID mạng không dây, vì bất cứ thời điểm nào khi có người dùng hợp pháp kết nối với mạng không dây của bạn thì SSID cũng đều được phát dưới dạng văn bản trong sáng. Tất cả những gì các hacker cần thực hiện là ngồi và đợi.

Hình 11.2: Truy cập WLAN.

Về cá nhân, chúng tôi nghĩ rằng việc coi SSID là một cơ chế bảo mật là không đúng vì thực hiện như vậy chỉ tạo ra một cải thiện không đáng kể trong khía cạnh bảo mật và nó có thể tạo ra một cảm nhận bảo mật không đúng. Quan trọng hơn, hầu hết các NIC driver không dây cũ cho Windows (thậm chí một số driver hiện hành) không làm việc đúng khi người dùng thử kết nối với một mạng không dây hiện không quảng bá SSID của nó. Chính vì vậy, tốt hơn hết chúng ta nên coi SSID chỉ là một thứ để phân biệt các mạng không dây, không phải một cơ chế bảo mật.

5.3.2. Lọc địa chỉ MAC.

Một trong những kỹ thuật bảo mật hiệu quả hơn cho các mạng không dây ở mức điểm truy cập là sử dụng lọc địa chỉ MAC. Ý tưởng cơ bản nằm bên dưới kỹ thuật này cũng giống như một card mạng chạy dây, tất cả các NIC không dây đều có một địa chỉ MAC (Media Access Control) duy nhất. Kỹ thuật lọc địa chỉ MAC là quá trình bạn tạo

170

một danh sách trắng để chỉ rõ các địa chỉ MAC nào là xác thực và được quyền kết nối với điểm truy cập.

WLAN có thể lọc dựa vào địa chỉ MAC của các trạm khách. Hầu hết tất cả các AP đều có chức năng lọc MAC. Người quản trị mạng có thể biên tập, phân phối và bảo trì một danh sách những địa chỉ MAC được phép và lập trình chúng vào các AP. Nếu một Card PC hoặc những Client khác với một địa chỉ MAC mà không trong danh sách địa chỉ MAC của AP, nó sẽ không thể đến được điểm truy cập đó.

Lập trình các địa chỉ MAC của các Client trong mạng WLAN vào các AP trên một mạng rộng là không thực tế. Bộ lọc MAC có thể được thực hiện trên vài RADIUS Server thay vì trên mỗi điểm truy cập. Cách cấu hình này làm cho lọc MAC là một giải pháp an toàn, và do đó có khả năng được lựa chọn nhiều hơn.

Hình 11.13: Lọc địa chỉ MAC.

Mặc dù lọc MAC trông có vẻ là một phương pháp bảo mật tốt, chúng vẫn còn dễ bị ảnh hưởng bởi những thâm nhập sau:

- Sự ăn trộm một Card PC trong có một bộ lọc MAC của AP.

- Việc thăm dò WLAN và sau đó giả mạo với một địa chỉ MAC để thâm nhập vào mạng.

Với những mạng gia đình hoặc những mạng trong văn phòng nhỏ, nơi mà có một số lượng nhỏ các trạm khách, thì việc dùng bộ lọc MAC là một giải pháp bảo mật hiệu quả. Vì không một hacker thông minh nào lại tốn hàng giờ để truy cập vào một mạng có giá trị sử dụng thấp.

Một ưu điểm của kỹ thuật này là dù có ai đó biết SSID mạng không dây của bạn và mật khẩu WEP hoặc WPA thì họ cũng không thể kết nối với mạng trừ khi họ sử dụng card mạng mà bạn đã xác thực.

171

Chính vì vậy lọc địa chỉ MAC là một cơ chế bảo mật khá tốt mà có thể bạn chưa được nghe nhiều về nó. Một lý do tại sao lọc địa chỉ MAC không được sử dụng rộng dãi trên các mạng không dây là vì có rất nhiều vấn đề đi kèm trong việc thực thi và duy trì cơ chế này:

- Kỹ thuật lọc địa chỉ MAC chỉ làm việc thực sự tốt trong các tổ chức nhỏ, nó không thực tế khi sử dụng trong các mạng lớp doanh nghiệp cỡ lớn vì mỗi lần đưa vào sử dụng một card mạng mới, địa chỉ MAC của card đó phải được thêm vào bộ lọc địa chỉ MAC. Tương tự như vậy, bất cứ khi nào laptop hoặc card không dây không làm việc, quản trị viên phải chỉ ra được địa chỉ MAC nào thuộc về thiết bị đó và remove nó khỏi danh sách trắng.

- Hơn thế nữa, trong các công ty lớn, thường có rất nhiều các chuyên gia, nhân viên thẩm định và khách ghé thăm, đây là những người cần truy cập qua mạng không dây. Nếu bạn sử dụng kỹ thuật lọc địa chỉ MAC thì điều này đã vô tình làm cản trở các vị khách này truy cập vào mạng không dây.

5.3.3. Lọc giao thức.

Mạng Lan không dây có thể lọc các gói đi qua mạng dựa trên các giao thức lớp 2-7. Trong nhiều trường hợp, các nhà sản xuất làm các bộ lọc giao thức có thể định hình độc lập cho cả những đoạn mạng hữu tuyến và vô tuyến của AP. Nếu các kết nối được cài đặt với mục đích đặc biệt của sự truy nhập Internet của người sử dụng, thì bộ lọc giao thức sẽ loại tất cả giao thức, ngoại trừ SMTP, POP3, HTTP, HTTPS, FTP, …

Hình 11: Lọc giao thức