• Thứ Năm, 30/06/2011 10:15 (GMT+7)

    Lọc địa chỉ MAC trên mạng không dây

    Đức Thịnh
    Để tăng cường khả năng bảo mật cho mạng Wi-Fi, ngoài việc sử dụng các chế độ mã hóa, xác thực, ẩn tên mạng... thì người dùng nên kết hợp thêm tính năng lọc địa chỉ MAC.

    MẠNG 

     

    Trước khi nền công nghiệp Wi-Fi giải quyết được những vấn đề và thiếu sót của WEP (wireless encryption protocol) - công nghệ bảo mật bằng mã hóa, nhiều chuyên gia khuyến cáo sử dụng thêm cơ chế lọc địa chỉ MAC nhằm tăng cường bảo mật.

    Mỗi thiết bị Wi-Fi được gán duy nhất một địa chỉ MAC (Media Access Control) gồm 12 chữ số thập lục phân. Địa chỉ MAC là phần “ngầm” của thiết bị phần cứng và được gửi tự động tới điểm truy cập Wi-Fi mỗi khi thiết bị kết nối vào mạng.

    Sử dụng trình quản lý cấu hình của điểm truy cập (Access Point - AP), bạn có thể lập được một danh sách thiết bị an toàn (được phép truy xuất vào mạng) hay danh sách thiết bị không được phép truy xuất vào mạng (black list – danh sách đen). Nếu bộ lọc địa chỉ MAC được kích hoạt, AP chỉ cho phép các thiết bị trong danh sách an toàn được kết nối vào mạng và cấm tất cả thiết bị trong danh sách đen truy xuất vào mạng, ngay cả khi bạn có khóa kết nối, bất kể bạn đang sử dụng giao thức kết nối nào.

    Với sự xuất hiện của các giao thức mã hóa tin cậy, trong đó mạnh nhất là WPA2 (Wi-Fi Protected Access II), chúng ta ít nghe nói đến lọc địa chỉ MAC hơn. Tuy nhiên, tin tặc (hacker) cũng đã tìm ra cách để tấn công giao thức này, bằng cách giả mạo địa chỉ của thiết bị kết nối hay giả mạo là một trong số các thiết bị này.

    Bảo mật nhiều lớp

    Theo Jacob Sharony, chuyên viên tư vấn chính và cũng là chủ tịch của Mobius Consulting, công ty tư vấn về không dây tại New York cho rằng lọc địa chỉ MAC là chưa đủ. Sharony cho rằng một chiến lược bảo mật tốt phải được xây dựng trên nhiều lớp. Trong hầu hết trường hợp, bạn không nên chỉ sử dụng bộ lọc địa chỉ MAC – chỉ một giải pháp này sẽ không đủ để ngăn chặn các hacker tinh vi – mà nên sử dụng kết hợp với những lớp bảo mật khác. Có những tình huống phù hợp để sử dụng bộ lọc địa chỉ MAC, đó là, trong trường hợp nỗ lực đầu tư thêm cho bảo mật mà không đủ đáp ứng.

    Sử dụng địa chỉ MAC?

    Để thiết lập bộ lọc MAC, bạn cần lập danh sách địa chỉ MAC cho các thiết bị có nhu cầu kết nối vào mạng. Mỗi lần muốn thêm hay xóa một thiết bị, bạn phải đăng nhập vào trình quản lý cấu hình của AP. (AP cấp doanh nghiệp có thể cho phép thực hiện việc này bằng câu lệnh).

    Trong hầu hết bộ định tuyến (router) dành cho doanh nghiệp nhỏ/người dùng gia đình mà nhiều công ty đang sử dụng, bạn mở trình trình duyệt và nhập địa chỉ IP của router (xem thêm trong tài liệu hướng dẫn sử dụng, thường là: 192.168.0.1 hay 192.168.1.1) vào thanh địa chỉ của trình duyệt.

    Lúc đó, màn hình trình duyệt quản lý thiết bị sẽ yêu cầu bạn nhập tài khoản đăng nhập (ID và mật khẩu) – xem tài khoản đăng nhập mặc định trong tài liệu hướng dẫn đi kèm thiết bị. Sau khi đăng nhập thành công, để an toàn, bạn nên thay đổi ngay tài khoản đăng nhập mặc định. Sau đó, bạn tìm phần thiết lập nâng cao cho mạng không dây và chọn phần "MAC filtering" hay "Access list" hay một số tên gọi khác (tùy hãng mà sẽ có tên gọi khác nhau, bạn nên xem trước trong tài liệu hướng dẫn đi kèm sản phẩm để biết rõ hơn).

    Cách lọc địa chỉ MAC

    Nếu bạn cần thêm một thiết bị mới vào hệ thống, bạn cần phải biết địa chỉ của thiết bị này trước. Địa chỉ này thường được in ngay trên mặt ngoài của sản phẩm, nhưng cũng có ngoại lệ. Trong một số sản phẩm như điện thoại di động, địa chỉ MAC có thể tìm thấy thông qua phần mềm của điện thoại, nhưng có một số sản phẩm, việc tìm thấy địa chỉ MAC rất khó khăn.

    Phương án cuối cùng có thể thực hiện là bạn có thể tạm thời tắt tính năng lọc địa chỉ MAC, cho phép thiết bị mới kết nối vào, và lấy địa chỉ MAC của thiết bị này từ danh sách thiết bị kết nối trong trình quản lý truy cập của AP.
    Để thêm một địa chỉ MAC của thiết bị mới vào mạng Wi-Fi, bạn đăng nhập vào trình quản lý thiết bị, mở mục Wireless MAC Filter và nhập địa chỉ MAC của thiết bị đó vào. Trước đó, bạn nên kích hoạt (Enabled) chức năng Wireless MAC Filter và chọn chế độ tạo danh sách đen hay danh sách an toàn.

    Thực tế cho thấy, nếu bạn là người quản lý mạng không dây và biết địa chỉ MAC của thiết bị đang kết nối vào mạng và các máy này truy cập mạng thường xuyên thì lọc địa chỉ MAC là một lớp bảo mật dễ triển khai.

     

    Khi nào không dùng lọc MAC?

    Nếu môi trường mạng không dây của bạn thường xuyên thay đổi, các thiết bị mới kết nối và ngắt kết nối liên tục, hay bạn đang quản lý một hệ thống mạng doanh nghiệp lớn với hàng ngàn, thậm chí chục ngàn thiết bị, việc duy trì và cập nhật liên tục bảng địa chỉ MAC khá khó khăn nên khó mang lại kết quả như mong muốn.

    Có nhiều chức năng trên router Wi-Fi/AP có thể hỗ trợ thực hiện việc này dễ dàng hơn, chẳng hạn chức năng WPS (Wi-Fi Protected Setup), cho phép người quản trị mạng dễ dàng thêm thiết bị mới vào mạng cũng như tự động thêm địa chỉ MAC vào danh sách.

    Có những trường hợp hệ thống mạng quá nhỏ và chưa đến lúc phải sử dụng cách bộ lọc địa chỉ MAC, nhưng đôi khi nhà/văn phòng có thêm các máy khách muốn truy cập vào mạng – sử dụng thiết bị của họ để truy cập.
    Để giải quyết tình huống này, nhiều AP mới cho phép bạn thiết lập mạng thứ hai hoàn toàn tách biệt với mạng chính (chẳng hạn tính năng Guest Access trên các router Wi-Fi dòng E của hãng Cisco Linksys), một tên mạng Wi-Fi (SSID - service set identifier) khác dành riêng cho máy khách. Mạng chính sẽ được bảo vệ bằng cách kết hợp mã hóa và bộ lọc địa chỉ MAC, trong khi mạng thứ hai vẫn mở để cho khách truy cập Internet bình thường.

    Lọc MAC có thay mã hóa?

    Liệu có những tình huống để bạn chỉ sử dụng phương pháp bộ lọc địa chỉ MAC?

    Có ý kiến cho rằng không có trường hợp này, phải sử dụng mã hóa. Vì quá nhiều giao thức và chương trình (trên web) không được mã hóa, trong đó có nhiều công cụ bắt gói tin không dây (cho hacker) cho tải miễn phí nên mã hóa mạng không dây có ý nghĩa quan trọng.

    Một ý kiến khác cho rằng, phương pháp bảo mật chỉ sử dụng bộ lọc địa chỉ MAC chỉ phù hợp khi sử dụng một điểm truy cập cá nhân, chẳng hạn với MiFi của Novatel Wireless – bộ sản phẩm sử dụng trên xe hơi, thường dành cho các thành viên trong gia đình hay các đồng nghiệp truy cập. Với cách này, bạn có thể sử dụng kết hợp giữa bộ lọc MAC và mã hóa hay không cần mã hóa. Vì thỉnh thoảng, việc mã hóa sẽ trở nên nặng nề do yêu cầu người dùng biết khóa truy cập.

    Dùng danh sách đen hay danh sách an toàn?

    Thông thường, người dùng muốn sử dụng bộ lọc địa chỉ MAC chỉ cho phép những thiết bị đã xác định kết nối – danh sách an toàn. Nhưng cũng sẽ có những trường hợp người dùng muốn tạo danh sách đen – danh sách người dùng không được phép kết nối vào mạng của bạn.

    Nếu bạn muốn đảm bảo một số thiết bị không kết nối được vào mạng của bạn, ví vụ như máy tính cá nhân/điện thoại di động của các nhân viên đã nghỉ việc; các thiết bị được xác định là có liên quan với các cuộc tấn công từ chối dịch vụ trong quá khứ hay người hàng xóm mà bạn nghi ngờ đang tìm cách tấn công mạng của bạn để truy cập internet, bạn nên chọn thiết lập danh sách trắng.

    "Nếu nhà/văn phòng của bạn có thiết lập hẳn mạng Wi-Fi mở (không sử dụng bảo mật như mã hóa và lọc địa chỉ MAC) dành cho khách hàng của bạn truy cập thì cũng có ý kiến đề nghị rằng, bạn nên đưa tất cả máy tính của nhà/văn phòng vào danh sách đen của mạng này, như vậy các máy tính chứa dữ liệu quan trọng của bạn không "bị tình cờ" kết nối vào mạng và có thể bị đánh cắp dữ liệu quan trọng."

    "Một số chuyên gia cho rằng, trong một số trường hợp, quản trị mạng có thể khóa tất cả thiết bị (của nhiều nhà sản xuất khác nhau) đang kết nối vào mạng dựa trên các cặp ký tự đầu tiên trong địa chỉ MAC (tuy nhiên, cách này bạn bạn thông hiểu nhiều chi tiết kỹ thuật, quản trị, vì thế hy vọng chúng tôi sẽ có bài trình bày riêng trong thời gian tới)."

    Lọc địa chỉ MAC là một tính năng bổ sung hữu ích cho mã hóa, nhưng bạn cũng nên nhớ rằng tính năng này cũng có thể bị đe dọa dù sử dụng kèm với các phương thức mã hóa tốt nhất.

    Tham khảo Test Lab PC World Việt Nam Wi-Fi Planet

    “Kế sách” giao dịch trực tuyến an toàn

     
    Thông thường, địa chỉ website ngân hàng thường bắt đầu bằng “https” thay vì “http”.

    Không có gì bảo đảm tội phạm sẽ từ bỏ ý định thâm nhập vào tài khoản ngân hàng trực tuyến của bạn. Hãy tuân thủ tối đa 6 lưu ý sau để đảm bảo rằng bạn luôn an toàn mỗi khi giao dịch qua mạng.

    1. Cài đặt phần mềm an ninh hiệu quả: Đây là công cụ không thể thiếu với hầu hết nguời dùng thường xuyên duyệt web nói chung và sử dụng các giao dịch ngân hàng trực tuyến. Bạn nên định kỳ cập nhật phiên bản mới cho phần mềm “gác cổng” hệ thống này, nếu được hãy thiết lập tính năng tự động cập nhật. Bằng cách này, hệ thống của bạn sẽ nhạy bén hơn trong việc phát hiện và ngăn chặn các hiểm họa bảo mật.

    2. Cảnh giác với email: Một số người có thể không quan tâm đến vấn đề này, song đây là nơi tin tặc thường tấn công nhất. Vài ngân hàng có thói quen định kỳ hàng tháng gửi email cho khách hàng bản sao kê giao dịch, tuy nhiên bạn không nên nhấn chuột vào liên kết mà email đó cung cấp. Thay vào đó, hãy mở trình duyệt và truy cập thẳng vào website của ngân hàng để tham khảo các thông tin tương tự.

    3. Không đăng nhập vào trang web không bảo mật: Hãy đảm bảo rằng website của ngân hàng mà bạn đang sử dụng được bảo mật trước khi nhập vào mật khẩu tài khoản. Địa chỉ URL của website ngân hàng phải bắt đầu với từ “https” chứ không phải là “http” như thường thấy. Khác với trình duyệt IE của Microsoft, cả Firefox lẫn Chrome đều đánh dấu nhãn màu xanh ở đầu dòng địa chỉ nếu trang web đó thuộc dạng an toàn.

    4.Sử dụng mật khẩu “mạnh”: Một mật khẩu được xem là tốt nhất nếu kết hợp ngẫu nhiên ký tự và chữ số. Bạn nên tránh sử dụng mật khẩu có nội dung liên quan đến tên, ngày sinh hay bất kỳ từ nào có nghĩa mà tin tặc có thể suy đoán được. Nếu trình duyệt hỏi bạn có muốn lưu lại mật khẩu không, thì đừng ngần ngại chọn KHÔNG. Cạnh đó, đừng bao giờ sử dụng cùng một mật khẩu cho 2 trang web hay dịch vụ. Còn nếu bạn cho rằng không thể nhớ tất cả mật khẩu mà mình đang sử dụng, hãy nghĩ đến một tiện ích quản lý và mã hoá mật khẩu.

    5.Tránh xa mạng công cộng: Hãy đặt cho mình thói quen không truy cập vào website ngân hàng, công ty thẻ tín dụng hay thực hiện bất kỳ giao dịch trực tuyến nào từ một mạng Wi-Fi công cộng (như ở quán café, nhà ga, sân bay,…). Với nhu cầu dạng này, bạn nên sử dụng mạng tại nhà hoặc trong công ty.

    Minh Xuân

    PC World Mỹ 3/2011

     

    ID: A1103_118