• Thứ Sáu, 06/07/2007 17:01 (GMT+7)

    Wi-fi và an toàn thông tin

    Làm việc từ xa gắn liền với các thiết bị di động như laptop, PDA, Pocket PC và Internet. Kỳ trước, chuyên gia của Misoft đã tư vấn cách hạn chế rủi ro trong làm việc từ xa bằng cách mã hóa dữ liệu và giới hạn quyền truy cập. Kỳ này, các chuyên gia BKIS sẽ tư vấn cho bạn đọc cách thiết lập hệ thống mạng Internet không dây (wi-fi) an toàn.

    Làm việc từ xa gắn liền với các thiết bị di động như laptop, PDA, Pocket PC và Internet. Kỳ trước, chuyên gia của Misoft đã tư vấn cách hạn chế rủi ro trong làm việc từ xa bằng cách mã hóa dữ liệu và giới hạn quyền truy cập. Kỳ này, các chuyên gia BKIS sẽ tư vấn cho bạn đọc cách thiết lập hệ thống mạng Internet không dây (wi-fi) an toàn.

    Đôi khi chúng ta vẫn nghe nói dùng mạng wi-fi không an toàn. Nhưng thực sự nó không an toàn như thế nào và cách phòng chống ra sao?

    Để sử dụng được wi-fi cần có các thiết bị cơ bản là Access Point (AP – thiết bị cung cấp sóng wi-fi) và card mạng không dây (thiết bị thu sóng wi-fi). Đối với hệ thống wi-fi chưa được bảo vệ, do sóng rađio không bị giới hạn bởi rào cản vật lý (tường, cửa...) nên một người sử dụng máy tính xách tay có hỗ trợ wi-fi trong phạm vi phát sóng hoàn toàn có thể truy cập được vào hệ thống. Vì thế, hai vấn đề an toàn chính trong hệ thống wi-fi là: Chứng thực (chỉ những người được phép mới kết nối được với hệ thống) và mã hoá (thông tin khi trao đổi trong hệ thống không bị đánh cắp). Bài viết đề cập đến các tham số dùng để truy cập và đánh cắp thông tin từ một hệ thống wi-fi bao gồm các tham số chứng thực là SSID (Service Set Identifier – định danh mạng); MAC (Media Access Control – địa chỉ vật lý của máy tính, mỗi card mạng đều có một địa chỉ và được ghi ngay từ khi sản xuất); địa chỉ IP (địa chỉ Internet) và mã hóa.

    Phòng chống truy cập bất hợp pháp

    Như đã nói ở trên, các tham số để truy cập vào một hệ thống wi-fi gồm SSID, MAC và địa chỉ IP. Hầu hết các AP đều được cấu hình ở chế độ mặc định cho phép tất cả các máy tính có thể nhận được SSID của nó (hình 1). Do vậy, trong vùng có tín hiệu, hacker có thể dễ dàng lấy được thông tin này. Người quản trị có thể che giấu SSID bằng việc bỏ mặc định này đi, nhưng việc làm này không đảm bảo an toàn tuyệt đối vì với một số công cụ, hacker vẫn có thể dò ra SSID. Hơn nữa, việc che giấu SSID gây khó khăn cho người sử dụng bình thường vì phải tự nhập tham số này vào trong cấu hình card mạng (hình 2).

     

    Hình 1. Nếu để chế độ mặc định, hacker có thể quét ra SSID của mạng wi-fi.

    Thông thường, một máy tính chỉ có một địa chỉ MAC (MAC address) tương ứng với một card mạng. Nhiều hệ thống wi-fi cho phép cấu hình chỉ những máy có địa chỉ MAC nằm trong danh sách được định nghĩa trên AP mới được phép truy cập vào mạng. Một trong những biện pháp hạn chế truy cập bất hợp pháp là lọc theo địa chỉ MAC (MAC Filtering). Phương pháp này cũng đã hạn chế được những truy cập bất hợp pháp, tuy nhiên hacker có thể lấy địa chỉ MAC của các máy tính được phép truy cập và giả địa chỉ MAC để vượt qua rào cản này (hình 3).

    Nếu đã có SSID, để truy cập được vào các máy tính trong mạng, ta phải có thêm địa chỉ IP. Thông thường các AP được cấu hình mặc định cấp phát địa chỉ IP động cho các máy trạm (chức năng DHCP Server). Để tăng mức độ an ninh chúng ta nên bỏ tính năng này trên AP. Tuy nhiên, kể cả khi chúng ta đã bỏ tính năng DHCP Server đi, hacker vẫn có thể dò ra dải địa chỉ IP mà ta sử dụng bằng các công cụ có sẵn. Chúng tôi đã tiến hành thử nghiệm dò tìm địa chỉ của các mạng wi-fi không cấp phát DHCP và vẫn xác định được các dải địa chỉ IP tương ứng (hình 4).

    Hình 2. Người sử dụng sẽ phải tự gõ SSID nếu hệ thống wi-fi không được cấu hình cho phép broadcast.

     

    Để đảm bảo chứng thực an toàn, tránh các nguy cơ kể trên, một số AP cho phép thiết lập theo mô hình chứng thực mở rộng (Extensible Authentication Protocol - EAP). Mô hình này có thêm một server chứa các thông tin chứng thực của người sử dụng (ACS server). Khi người sử dụng muốn kết nối vào hệ thống, thông tin chứng thực (username/password hoặc chữ ký điện tử) sẽ được gửi tới AP và chuyển đến ACS server để kiểm tra trong dữ liệu đã có, sau đó gửi lại thông tin cho AP. Nếu đúng là người dùng hợp lệ sẽ được thiết bị cho phép kết nối. Trái lại, kết nối sẽ bị hủy bỏ.

    Hiện có hơn 40 giao thức được xây dựng theo mô hình EAP như EAP – MD5, LEAP, EAP – TLS, EAP – TTLS, PEAP... Tuy nhiên, EAP-MD5 là kém an toàn nhất vì bị tấn công dạng MITMD (Man-in-the-middle – hacker có thể xem trộm thông tin trao đổi trên mạng, chủ yếu trong mạng nội bộ) và tấn công kiểu từ điển (người dùng hay đặt password theo quy luật nào đó và hacker sẽ dò password theo các quy luật này, ví dụ: ngày sinh, 123456, admin...). Còn LEAP chỉ sử dụng được với card mạng và AP của Cisco. Nhìn chung, các giao thức EAP-TLS, EAP-TTLS, PEAP sử dụng chữ ký điện tử và các giao thức chứng thực theo mô hình khóa công khai PKI (Public Key Infrastructure) là an toàn nhất hiện nay.

    Đảm bảo thông tin không bị đánh cắp trên hệ thống Wi-fi

    Với hệ thống wi-fi chưa được mã hóa, hacker có thể dễ dàng truy nhập vào hệ thống để nghe trộm, đánh cắp thông tin. Để chống lại nguy cơ này cần sử dụng các biện pháp mã hóa (được thực hiện trên AP và card mạng không dây). Một số phương pháp mã hóa phổ biến hiện nay là WEP, WPA, WPA 2.

    WEP

     

    Hình 3. Giả địa chỉ MAC để vượt qua rào cản MAC Filtering

    WEP (Wired Equivalent Privacy) là phương pháp mã hóa đầu tiên được sử dụng trong wi-fi. Phương pháp này sử dụng thuật toán mã hóa đối xứng RC4 do RSA Security phát triển. Người sử dụng sẽ phải nhập một khóa bí mật và khóa này phải giống khóa được định nghĩa trước trên AP. Phương pháp này có nhược điểm là khó quản lý khóa bí mật bởi khoá này phải được nhập trên tất cả các máy tính truy nhập vào hệ thống wi-fi. Không có gì đảm bảo là tất cả những người được cung cấp khoá không để lộ thông tin này, chỉ cần một người để lộ là hệ thống sẽ bị nguy hiểm. Ngoài ra, hiện nay WEP đã có thể dễ dàng bị bẻ khóa trong thời gian rất ngắn mà không cần ai trong số được cấp khoá để lộ.

    WPA


    WPA (Wi-fi Protected Access) cũng sử dụng thuật toán mã hóa đối xứng RC4 nhưng với khóa dài hơn (128 bits so với 64 bit của WEP). Ngoài ra WPA còn sử dụng cơ chế thay đổi khóa nhằm chống lại việc dò tìm khóa. Tuy nhiên, hiện nay khoá WPA đã có thể bẻ được và phương pháp này cũng gặp phải vấn đề như đối với WEP là quản lý khoá khó khăn do có yếu tố con người.

    WPA 2


    WPA 2 (Wi-fi Protected Access version 2) – hay còn gọi là chuẩn 802.11i: WPA 2 cũng tương tự như WPA nhưng sử dụng phương pháp mã hóa mạnh hơn - AES (Advanced Encryption Standard) - với độ dài khóa 256 bits. Trên lý thuyết, AES vẫn có thể bẻ được, nhưng thời gian để bẻ khoá là không khả thi trong thực tế tại thời điểm này. Mặc dù vậy, WPA 2 cũng gặp phải vấn đề là khó khăn trong việc giữ bí mật khoá này do những người sử dụng có thể nói cho nhau hoặc bị lộ do vô tình ghi khóa ra đâu đó.

    Hình 4. Dò tìm dải địa chỉ wi-fi

     

    Qua phân tích trên, chúng tôi khuyến cáo khi sử dụng và thiết lập hệ thống nên chọn các thiết bị có hỗ trợ những phương pháp mã hóa phù hợp và cấu hình tính năng đó lên. Cụ thể:

    Đối với các cơ quan, doanh nghiệp mà an ninh là yếu tố rất quan trọng như Chính Phủ, các bộ, ngành tài chính, ngân hàng..., nên sử dụng phương pháp mạnh nhất là chứng thực theo mô hình khóa công khai kết hợp với mã hóa WPA2.

    Đối với các cơ quan khác, khi chưa có điều kiện thiết lập hệ thống wi-fi an ninh nhất theo mô hình khóa công khai, nên kết hợp nhiều nhất các biện pháp có thể. Ngoài ra, nên tách mạng Wi-fi ra thành một vùng riêng (ví dụ tạo riêng một VLAN cho wi-fi) và quy định để hạn chế tối đa truy cập không cần thiết từ mạng wi-fi. Khi áp dụng các biện pháp này, có thể thấy rằng độ an ninh của hệ thống giờ sẽ phụ thuộc vào việc đảm bảo tính bí mật của khóa. Như vậy, yếu tố con người sẽ quyết định mức độ an ninh của hệ thống. Vì thế bạn chỉ nên phân phối khóa cho những người tin cậy và đảm bảo rằng những người này có đủ kỹ năng để giữ được bí mật của khóa (ví dụ: không được cho mượn máy của mình, không nhập khóa trên một máy tính khác...).

    Đối với các hệ thống mạng wi-fi tại gia đình: chúng ta nên kết hợp đồng thời biện pháp chứng thực và mã hóa, chẳng hạn áp dụng lọc địa chỉ MAC với mã hóa dùng WPA2. Do sử dụng trong nội bộ gia đình, vấn đề quản lý khóa WPA2 sẽ đơn giản đi rất nhiều và giải pháp này là phù hợp.

    Tại những nơi công cộng: Khi sử dụng wi-fi tại những nơi ngoài cơ quan, ví dụ như tại quán cafe wi-fi, sân bay..., do các hệ thống này thường không áp dụng các biện pháp đảm bảo an ninh và bạn không thể can thiệp để thay đổi điều này, nên chúng ta phải tự lo cho chính mình bằng một số biện pháp: dùng firewall cá nhân để ngăn chặn tối đa những truy nhập bất hợp pháp vào máy; thông tin gửi đi phải được đặt mật khẩu; khi kết nối về hệ thống của cơ quan nhất thiết phải sử dụng mã hoá VPN và đặc biệt bạn cần phải cập nhật đầy đủ các bản vá lỗi cho những phần mềm được sử dụng trên máy, nếu không thì tất cả các biện pháp trên cũng trở nên vô nghĩa.

    Ngô Tuấn Anh, Trần Đức Thành - Trung tâm An Ninh Mạng BKIS

    ID: B0707_73