|
Mạng Wi-fi ngày càng trở nên thông dụng tại Việt Nam với các ưu điểm như việc thiết lập đơn giản, giá thành ngày càng rẻ và sử dụng tiện lợi. Tuy nhiên, sử dụng Wi-fi liệu có an toàn hay không ?, chúng ta sẽ cùng đề cập đến điều đó trong bài viết này.
1. Thiết lập hệ thống Wi-fi
Thiết bị
Để sử dụng được Wi-fi, cần có các thiết bị cơ bản là Access Point và card mạng không dây, các máy tính xách tay đời mới hầu như đều đã tích hợp sẵn card mạng không dây. Hiện nay có nhiều chuẩn Wi-fi khác nhau: 802.11a, 802.11b, 802.11g… Tại Việt nam, chuẩn 802.11b đang được sử dụng rộng rãivới băng thông 11Mbps, trong thời gian gần đây, chuẩn này đang dần được thay thế bởi các chuẩn khác có tốc độ cao hơn: 802.11g với băng thông 54Mbps và 802.11g MIMO – (Multi Input, Multi Output) với băng thông 108Mbps.
Một điểm quan trọng cần chú ý khi thiết lập hệ thống Wi-fi là bạn cần chọn các loại thiết bị tương thích với nhau để có được tốc độ tối ưu nhất.
Thiết lập hệ thống
Một hệ thống Wi-fi cần có 2 tham số hoạt động là định danh mạng (Service Set Identifier – SSID) và kênh hoạt động của mạng (Channel).
Ta cần đặt SSID của Acces Point của mình khác với các Access Point khác trong hệ thống để tránh ảnh hưởng lẫn nhau.
Nếu trong một vùng có nhiều Access Point hoạt động trên cùng một tần số (tức là cùng chuẩn), thì tham số kênh sẽ được dùng để phân biệt các Access Point với nhau.
2. Wi-fi và các vấn đề an ninh
Trong hệ thống mạng LAN dùng dây, nếu một máy tính không được kết nối qua cáp thì không thể nào truy cập được vào hệ thống. Tuy nhiên, đối với hệ thống Wi-fi chưa được bảo vệ, với một máy tính xách tay có hỗ trợ Wi-fi, do sóng radio không bị giới hạn bởi rào cản vật lý như tường, cửa,… một người bất kỳ hoàn toàn có thể ngồi ở một vị trí nào đó trong phạm vi phát sóng để truy cập được vào hệ thống nhằm nghe trộm, đánh cắp thông tin….
Có hai vấn đề an ninh chính trong hệ thống Wi-fi đó là: Chứng thực (chỉ những người được phép mới kết nối được với hệ thống) và vấn đề mã hoá (giúp thông tin khi trao đổi trong hệ thống không bị đánh cắp).
Để làm rõ các nguy cơ này, chúng ta sẽ cùng đề cập đến các tham số dùng để truy nhập vào một hệ thống Wi-fi bao gồm: SSID, khóa mã và địa chỉ IP. Đây chính là các “chìa khoá” mà các hacker dùng để xâm nhập, tấn công vào hệ thống.
2.1 Truy cập bất hợp pháp và các biện pháp phòng chống
Vấn đề SSID
|
|
Hình 1. Nếu để chế độ mặc định, hacker có thể quét ra SSID của mạng wi-fi.
|
Các Access point hầu hết đều được cấu hình ở chế độ mặc định cho phép tất cả các máy tính có thể nhận được SSID của nó – chế độ broadcast SSID (hình 1). Do vậy, trong khoảng cách có tín hiệu, hacker có thể dễ dàng lấy được thông tin này. Người quản trị có thể che giấu SSID bằng việc bỏ mặc định này đi. Việc làm này vẫn không đảm bảo an toàn tuyệt đối vì với một số công cụ, hacker vẫn có thể dò ra SSID này. Hơn nữa, việc che giấu SSID cũng gây khó khăn cho người sử dụng bình thường vì phải tự nhập tham số này vào trong cấu hình card mạng (hình 2).
|
Hình 2. Người sử dụng sẽ phải tự gõ SSID nếu hệ thống wi-fi không được cấu hình cho phép broadcast.
|
|
Chúng tôi đã tiến hành thử nghiệm, nếu card máy tính xách tay của chúng tôi được chuyển sang chế độ monitor và sử dụngchương trình để bắt gói tin (hình 3, 4), kết quả là vẫn biết được SSID này (vì lý do an ninh, chúng tôi sẽ không nêu ra đây chi tiết các công cụ và hướng dẫn thực hiện. Do vậy, nếu bạn quan tâm, xin vui lòng liên hệ với Phòng thí nghiệm An ninh mạng, Trung tâm An ninh mạng Bkis).
|
Hình 3. Chuyển card wi-fi sang chế độ "monitor"
|
Hình 4.Tìm được SSID sau khi chuyển card mạng sang chế độ “Monitor”
MAC Filtering
|
|
Hình 5. Giả địa chỉ MAC để vượt qua rào cản MAC Filtering
|
Một trong những biện pháp hạn chế truy cập bất hợp pháp là lọc theo địa chỉ MAC (MAC filter). Thông thường, một máy tính chỉ có một địa chỉ MAC tương ứng với một card mạng, nhiều hệ thống Wifi cho phép cấu hình chỉ những máy có địa chỉ MAC nằm trong danh sách được định nghĩa trên Access Point mới được phép truy cập vào mạng. Phương pháp này cũng đã hạn chế được những truy cập bất hợp pháp, tuy nhiên hacker có thể sử dụng kết hợp kỹ thuật lấy địa chỉ MAC của các máy tính được phép truy cập và giả địa chỉ MAC để vượt qua rào cản này (hình 5).
Địa chỉ IP
|
Hình 6. Dò tìm dải địa chỉ wi-fi
|
|
Nếu đã có SSID, để truy cập được vào các máy tính trong mạng, ta phải có thêm địa chỉ IP. Thông thường các Access Point cũng được cấu hình mặc định cấp phát địa chỉ IP động cho các máy trạm (chức năng DHCP Server), để tăng mức độ an ninh chúng ta nên bỏ tính năng này trên Access Point. Tuy nhiên, kể cả khi chúng ta đã bỏ tính năng DHCP Server đi, hacker vẫn có thể dò ra dải địa chỉ IP mà ta sử dụng bằng các công cụ có sẵn. Chúng tôi đã tiến hành thử nghiệm dò tìm địa chỉ của các mạng Wi-fi không cấp phát DHCP và kết quả là vẫn có thể xác định được các dải địa chỉ IP tương ứng (hình 6)
Sử dụng chứng thực ngoài
Một số Access Point cho phép thiết lập theo mô hình chứng thực mở rộng EAP (Extensible Authentication Protocol).
Mô hình này có thêm một server chứa các thông tin chứng thực của người sử dụng – ACS (Access Control Server) Server (hình 7).
|
|
Hình 7.Mô hìn chứng thực mở rộng EAP
|
Hoạt động của hệ thống EAP như sau: khi người sử dụng muốn kết nối vào hệ thống, thông tin chứng thực (username/password hoặc chữ ký điện tử) sẽ được gửi tới Access point, Access point sẽ chuyển thông tin này tới ACS server, ACS Server kiểm tra trong dữ liệu đã có, sau đó gửi thông tin lại cho Access point. Nếu đúng là người dùng hợp lệ, thông tin gửi từ ACS server đến Access point cho phép thiết lập kết nối; trái lại, kết nối sẽ bị hủy bỏ.
Các phương pháp chứng thực này được sử dụng kết hợp với các phương pháp mã hóa (sẽ đề cập tới ở phần tiếp theo).
Hiện nay có hơn 40 giao thức được xây dựng theo mô hình EAP, một số giao thức hay được sử dụng là: EAP-MD5, LEAP (Lightweight EAP của Cisco), EAP-TLS (Transport Layer Security), EAP-TTLS (Tunneled Transport Layer Security) và PEAP (Protected EAP).
Với EAP-MD5, username/password được gửi về cho ACS Server, phương pháp này kém an toàn nhất trong họ EAP vì bị tấn công dạng MITMD (man-in-the-middle) và tấn công kiểu từ điển - thường người dùng hay đặt password theo quy luật nào đó, hacker sẽ dò password theo các quy luật này, ví dụ: tên người, admin, 12456,….
LEAP tương tự như EAP nhưng chỉ sử dụng được với các card mạng và Access point của Cisco.
Các giao thức EAP-TLS, EAP-TTLS, PEAP sử dụng chữ ký điện tử, các giao thức chứng thực theo mô hình khóa công khai PKI này là an toàn nhất hiện nay.
2.2 Đảm bảo thông tin không bị đánh cắp trên hệ thống Wi-fi
Hệ thống mạng LAN có dây hay Wi-fi đều gặp phải một vấn đề, đó chính là nguy cơ bị nghe trộm. Tuy nhiên, do khác biệt về môi trường truyền dẫn, hệ thống Wi-fi có nguy cơ cao hơn so với mạng LAN có dây truyền thống.
Với hệ thống Wi-fi chưa được mã hoá, hacker có thể dễ dàng truy nhập vào hệ thống để nghe trộm, đánh cắp thông tin. Do vậy, các biện pháp mã hoá cần phải được sử dụng để chống lại nguy cơ này.
WEP
WEP (Wired Equivalent Privacy) là phương pháp mã hóa đầu tiên được sử dụng trong Wi-fi. Phương pháp này sử dụng thuật toán mã hóa đối xứng RC4 do RSA Security phát triển. Người sử dụng sẽ phải nhập một khóa bí mật và khóa này phải giống khóa được định nghĩa trước trên Access Point. Phương pháp này có nhược điểm là khó quản lý khóa bí mật bởi vì khoá này phải được nhập trên tất cả các máy tính truy nhập vào hệ thống Wi-fi, không có gì đảm bảo là tất cả những người được cung cấp khoá không để lộ thông tin này, chỉ cần một người để lộ là hệ thống sẽ bị nguy hiểm. Ngoài ra, hiện nay WEP đã có thể dễ dàng bị bẻ khóa trong thời gian rất ngắn mà không cần ai trong số được cấp khoá để lộ.
|
|
Hình 8.Bẻ khóa WEP thành công trên hệ thống thử nghiệm
|
Chúng tôi đã tiến hành thử nghiệm và có thể dễ dàng tìm được khóa WEP (hình  . Nguyên lý bẻ khóa WEP như sau: độ dài khóa WEP là 64 bit, trong đó có 40 bit cố định – do người quản trị nhập vào khi cấu hình Access Point, ví dụ như “secur”, còn 24 bit là giá trị của Vectơ khởi tạo IV (Initialization Vector), các IV này có giá trị khác nhau do giải thuật RC4 tạo ra. Mỗi gói tin gửi đi trên hệ thống mạng gồm có dữ liệu đã má hóa và giá trị IV – không mã hóa, điểm yếu của WEP chính là có một số IV đặc biệt, mà từ những giá trị IV này người ta có thể tìm ngược lại được khóa WEP. Do vậy, để bẻ khóa WEP, ta chỉ cần bắt các gói tin và tìm đủ các gói tin có chứa IV đặc biệt. Thời gian bẻ khoá phụ thuộc vào từng hệ thống khác nhau, nếu có càng nhiều dữ liệu trao đổi thì số lượng gói tin có IV đặc biệt càng lớn và thời gian bẻ khoá càng ngắn.
WPA
WPA (Wi-fi Protected Access) cũng sử dụng thuật toán mã hóa đối xứng RC4, nhưng với khóa dài hơn (128 bits so với 64 bit của WEP), ngoài ra WPA còn sử dụng cơ chế thay đổi khóa TKIP nhằm chống lại việc dò tìm khóa. Tuy nhiên, hiện nay khoá WPA cũng đã có thể bẻ được và phương pháp này cũng gặp phải vấn đề như đối với WEP là quản lý khoá khó khăn do có yếu tố con người.
WPA 2
WPA 2 (Wi-fi Protected Access version 2) – hay còn gọi là chuẩn 802.11i: WPA 2 cũng tương tự như WPA nhưng sử dụng phương pháp mã hóa mạnh hơn AES (Advanced Encryption Standard) với độ dài khóa 256 bits. Theo lý thuyết, AES vẫn có thể bẻ được, nhưng thời gian sử dụng để bẻ khoá là không khả thi trong thực tế tại thời điểm này. Mặc dù vậy, WPA 2 cũng gặp phải vấn đề là khó khăn trong việc giữ bí mật khoá này do những người sử dụng có thể nói cho nhau hoặc bị lộ do vô tình ghi khóa ra đâu đó.
3. Kết luận
Qua các vấn đề phân tích ở trên, chúng ta có thể đưa ra một vài kết luận như sau:
Các phương pháp kiểm soát truy cập như ẩn SSID, lọc địa chỉ MAC, không cung cấp DHCP, đều có thể vượt qua được dễ dàng.
Đối với các hệ thống Wi-fi sử dụng mã hóa, chúng tôi khuyến cáo không nên áp dụng phương pháp mã hoá WEP vì người ta đã khai thác được điểm yếu của giải thuật mã hóa trong WEP và bẻ khóa trong thời gian rất ngắn.
Việc sử dụng WPA cũng nên hạn chế, tuy WPA an toàn hơn so với WEP vì sử dụng khóa có độ dài lớn hơn, nhưng do cùng sử dụng một giải thuật mã hóa (RC4) nên cũng không hoàn toàn đảm bảo an toàn.
Phương pháp sử dụng chứng thực ngoài (EAP) sử dụng username/password tăng cường một mức an ninh vì mỗi người khi muốn truy cập vào hệ thống cần cung cấp thêm tài khoản riêng của mình. Phương pháp này có nhược điểm là có thể bị tấn công dạng từ điển và MITMD.
Phương pháp chứng thực ngoài sử dụng chữ ký điện tử theo mô hình khóa công khai đảm bảo an toàn nhất. Tuy nhiên, để triển khai giải pháp này thường đòi hỏi xây dựng hệ thống khá phức tạp và tốn kém.
Qua phân tích trên, chúng tôi xin khuyến cáo một số điểm khi sử dụng, thiết lập hệ thống Wi-fi như sau:
- Đối với các cơ quan, doanh nghiệp mà an ninh là yếu tố rất quan trọng như Chính phủ, các Bộ, ngành tài chính, ngân hàng,… chúng ta nên sử dụng phương pháp mạnh nhất là chứng thực theo mô hình khóa công khai kết hợp với mã hóa WPA2. Khóa để mã hóa dữ liệu sẽ được tự động tạo ra thông qua kênh mã hóa được tạo ra bằng mã hóa công khai, do vậy đảm bảo tính an toàn và bí mật.
- Còn đối với các cơ quan khác, khi chưa có điều kiện thiết lập hệ thống Wi-fi an ninh nhất theo mô hình khóa công khai, nên kết hợp nhiều nhất các biện pháp có thể sử dụng: lọc địa chỉ MAC, giấu SSID, không cấp phát DHCP, mã hóa WPA2. Ngoài ra, nên tách mạng Wi-fi ra thành một vùng riêng (ví dụ tạo riêng một VLAN cho Wi-fi) và đặt luật để hạn chế tối đa truy cập không cần thiết từ mạng Wi-fi. Khi áp dụng các biện pháp này, có thể thấy rằng độ an ninh của hệ thống giờ sẽ phụ thuộc vào việc đảm bảo tính bí mật của khóa WPA2. Như vậy, yếu tố con người sẽ quyết định mức độ an ninh của hệ thống, và vì thế bạn chỉ nên phân phối khóa cho những người tin cậy (không phải đối tượng nào trong cơ quan cũng được cung cấp khóa), đảm bảo rằng những người này có đủ kỹ năng cần thiết để giữ được bí mật của khóa (ví dụ: không được cho mượn máy của mình, không nhập khóa trên một máy tính khác,…).
- Đối với các hệ thống mạng Wi-fi tại gia đình: chúng ta nên kết hợp đồng thời biện pháp chứng thực và mã hóa, chẳng hạn áp dụng lọc địa chỉ MAC với mã hóa dùng WPA2. Do sử dụng trong nội bộ gia đình, vấn đề quản lý khóa WPA2 sẽ đơn giản đi rất nhiều và giải pháp này là phù hợp.
- Sử dụng Wi-fi tại những nơi công cộng: Khi sử dụng Wi-fi tại những nơi ngoài cơ quan, ví dụ như tại quán Cafe Wi-fi, sân bay… Do các hệ thống này thường không áp dụng các biện pháp đảm bảo an ninh và bạn không thể can thiệp để thay đổi điều này, nên chúng ta phải tự lo cho chính mình. Một số biện pháp mà chúng ta nên sử dụng là: dùng Firewall cá nhân để ngăn chặn tối đa những truy nhập bất hợp pháp vào máy, những thông tin gửi đi cần phải được đặt mật khẩu, khi kết nối về hệ thống của cơ quan nhất thiết phải sử dụng mã hoá VPN và đặc biệt các bạn cần phải cập nhật đầy đủ các bản vá lỗi cho những phần mềm được sử dụng trên máy, nếu không thì tất cả các biện pháp trên cũng trở nên vô nghĩa.
Chúng tôi hi vọng rằng, qua bài viết này, phần nào các vấn đề an ninh cho hệ thống Wi-fi đã được làm sáng tỏ, đây cũng là những băn khăn thắc mắc của rất nhiều người. Bạn có thể yên tâm rằng với những công nghệ hiện có, chúng ta hoàn toàn có thể thiết lập được các hệ thống Wi-fi đảm bảo an ninh, chỉ có điều chúng ta cần cân nhắc giữa chi phí bỏ ra với nhu cầu và lợi ích thu được. Cuối cùng, nếu có những thắc mắc cần tư vấn về vấn đề này, hãy đừng ngại ngần liên hệ với chúng tôi.
Ngô Tuấn Anh, Trần Đức Thành - Trung tâm An Ninh Mạng Bkis
|
. Nguyên lý bẻ khóa WEP như sau: độ dài khóa WEP là 64 bit, trong đó có 40 bit cố định – do người quản trị nhập vào khi cấu hình Access Point, ví dụ như “secur”, còn 24 bit là giá trị của Vectơ khởi tạo IV (Initialization Vector), các IV này có giá trị khác nhau do giải thuật RC4 tạo ra. Mỗi gói tin gửi đi trên hệ thống mạng gồm có dữ liệu đã má hóa và giá trị IV – không mã hóa, điểm yếu của WEP chính là có một số IV đặc biệt, mà từ những giá trị IV này người ta có thể tìm ngược lại được khóa WEP. Do vậy, để bẻ khóa WEP, ta chỉ cần bắt các gói tin và tìm đủ các gói tin có chứa IV đặc biệt. Thời gian bẻ khoá phụ thuộc vào từng hệ thống khác nhau, nếu có càng nhiều dữ liệu trao đổi thì số lượng gói tin có IV đặc biệt càng lớn và thời gian bẻ khoá càng ngắn.