Sử dụng trình quản lý cấu hình của điểm truy cập Access Point - AP, bạn có thể lập được một danh sách thiết bị an toàn được phép truy xuất vào mạng hay danh sách thiết bị không được phép
Trang 1Lọc địa chỉ MAC trên mạng không dây
Để tăng cường khả năng bảo mật cho mạng Wi-Fi,
ngoài việc sử dụng các chế độ mã hóa, xác thực, ẩn tên mạng thì người dùng nên kết hợp thêm tính năng lọc địa chỉ MAC
Trước khi nền công nghiệp Wi-Fi giải quyết được những vấn đề và thiếu sót của WEP (wireless encryption protocol)
- công nghệ bảo mật bằng mã hóa, nhiều chuyên gia
Trang 2khuyến cáo sử dụng thêm cơ chế lọc địa chỉ MAC nhằm tăng cường bảo mật
Mỗi thiết bị Wi-Fi được gán duy nhất một địa chỉ MAC (Media Access Control) gồm 12 chữ số thập lục phân Địa
chỉ MAC là phần “ngầm” của thiết bị phần cứng và được
gửi tự động tới điểm truy cập Wi-Fi mỗi khi thiết bị kết nối vào mạng
Sử dụng trình quản lý cấu hình của điểm truy cập (Access Point - AP), bạn có thể lập được một danh sách thiết bị an toàn (được phép truy xuất vào mạng) hay danh sách thiết bị không được phép truy xuất vào mạng (black list – danh
sách đen) Nếu bộ lọc địa chỉ MAC được kích hoạt, AP chỉ cho phép các thiết bị trong danh sách an toàn được kết nối vào mạng và cấm tất cả thiết bị trong danh sách đen truy xuất vào mạng, ngay cả khi bạn có khóa kết nối, bất kể bạn đang sử dụng giao thức kết nối nào
Với sự xuất hiện của các giao thức mã hóa tin cậy, trong đó
mạnh nhất là WPA2 (Wi-Fi Protected Access II), chúng ta
Trang 3ít nghe nói đến lọc địa chỉ MAC hơn Tuy nhiên, tin tặc
(hacker) cũng đã tìm ra cách để tấn công giao thức này,
bằng cách giả mạo địa chỉ của thiết bị kết nối hay giả mạo
là một trong số các thiết bị này
Bảo mật nhiều lớp
Theo Jacob Sharony, chuyên viên tư vấn chính và cũng là
chủ tịch của Mobius Consulting, công ty tư vấn về không dây tại New York cho rằng lọc địa chỉ MAC là chưa đủ Sharony cho rằng một chiến lược bảo mật tốt phải được xây dựng trên nhiều lớp Trong hầu hết trường hợp, bạn không nên chỉ sử dụng bộ lọc địa chỉ MAC – chỉ một giải pháp này sẽ không đủ để ngăn chặn các hacker tinh vi – mà nên
sử dụng kết hợp với những lớp bảo mật khác Có những tình huống phù hợp để sử dụng bộ lọc địa chỉ MAC, đó là, trong trường hợp nỗ lực đầu tư thêm cho bảo mật mà không
đủ đáp ứng
Sử dụng địa chỉ MAC?
Để thiết lập bộ lọc MAC, bạn cần lập danh sách địa chỉ
Trang 4MAC cho các thiết bị có nhu cầu kết nối vào mạng Mỗi lần muốn thêm hay xóa một thiết bị, bạn phải đăng nhập vào trình quản lý cấu hình của AP (AP cấp doanh nghiệp có thể cho phép thực hiện việc này bằng câu lệnh)
Trong hầu hết bộ định tuyến (router) dành cho doanh
nghiệp nhỏ/người dùng gia đình mà nhiều công ty đang sử dụng, bạn mở trình trình duyệt và nhập địa chỉ IP của router (xem thêm trong tài liệu hướng dẫn sử dụng, thường là:
192.168.0.1 hay 192.168.1.1) vào thanh địa chỉ của trình duyệt
Lúc đó, màn hình trình duyệt quản lý thiết bị sẽ yêu cầu bạn nhập tài khoản đăng nhập (ID và mật khẩu) – xem tài khoản đăng nhập mặc định trong tài liệu hướng dẫn đi kèm thiết bị Sau khi đăng nhập thành công, để an toàn, bạn nên thay đổi ngay tài khoản đăng nhập mặc định Sau đó, bạn tìm phần thiết lập nâng cao cho mạng không dây và chọn
phần "MAC filtering" hay "Access list" hay một số tên gọi
khác (tùy hãng mà sẽ có tên gọi khác nhau, bạn nên xem
Trang 5trước trong tài liệu hướng dẫn đi kèm sản phẩm để biết rõ hơn)
Cách lọc địa chỉ MAC
Nếu bạn cần thêm một thiết bị mới vào hệ thống, bạn cần phải biết địa chỉ của thiết bị này trước Địa chỉ này thường được in ngay trên mặt ngoài của sản phẩm, nhưng cũng có ngoại lệ Trong một số sản phẩm như điện thoại di động, địa chỉ MAC có thể tìm thấy thông qua phần mềm của điện thoại, nhưng có một số sản phẩm, việc tìm thấy địa chỉ
MAC rất khó khăn
Phương án cuối cùng có thể thực hiện là bạn có thể tạm thời tắt tính năng lọc địa chỉ MAC, cho phép thiết bị mới kết nối vào, và lấy địa chỉ MAC của thiết bị này từ danh sách thiết bị kết nối trong trình quản lý truy cập của AP
Để thêm một địa chỉ MAC của thiết bị mới vào mạng
Wi-Fi, bạn đăng nhập vào trình quản lý thiết bị, mở mục
Wireless MAC Filter và nhập địa chỉ MAC của thiết bị đó
vào Trước đó, bạn nên kích hoạt (Enabled) chức năng
Trang 6Wireless MAC Filter và chọn chế độ tạo danh sách đen
hay danh sách an toàn
Thực tế cho thấy, nếu bạn là người quản lý mạng không dây và biết địa chỉ MAC của thiết bị đang kết nối vào mạng
và các máy này truy cập mạng thường xuyên thì lọc địa chỉ MAC là một lớp bảo mật dễ triển khai
Khi nào không dùng lọc MAC?
Nếu môi trường mạng không dây của bạn thường xuyên
Trang 7thay đổi, các thiết bị mới kết nối và ngắt kết nối liên tục, hay bạn đang quản lý một hệ thống mạng doanh nghiệp lớn với hàng ngàn, thậm chí chục ngàn thiết bị, việc duy trì và cập nhật liên tục bảng địa chỉ MAC khá khó khăn nên khó mang lại kết quả như mong muốn
Có nhiều chức năng trên router Wi-Fi/AP có thể hỗ trợ thực hiện việc này dễ dàng hơn, chẳng hạn chức năng WPS
(Wi-Fi Protected Setup), cho phép người quản trị mạng dễ dàng thêm thiết bị mới vào mạng cũng như tự động thêm địa chỉ MAC vào danh sách
Có những trường hợp hệ thống mạng quá nhỏ và chưa đến lúc phải sử dụng cách bộ lọc địa chỉ MAC, nhưng đôi khi nhà/văn phòng có thêm các máy khách muốn truy cập vào mạng – sử dụng thiết bị của họ để truy cập
Để giải quyết tình huống này, nhiều AP mới cho phép bạn thiết lập mạng thứ hai hoàn toàn tách biệt với mạng chính (chẳng hạn tính năng Guest Access trên các router Wi-Fi dòng E của hãng Cisco Linksys), một tên mạng Wi-Fi
Trang 8(SSID - service set identifier) khác dành riêng cho máy khách Mạng chính sẽ được bảo vệ bằng cách kết hợp mã hóa và bộ lọc địa chỉ MAC, trong khi mạng thứ hai vẫn mở
để cho khách truy cập Internet bình thường
Lọc MAC có thay mã hóa?
Liệu có những tình huống để bạn chỉ sử dụng phương pháp bộ lọc địa chỉ MAC?
Có ý kiến cho rằng không có trường hợp này, phải sử dụng
mã hóa Vì quá nhiều giao thức và chương trình (trên web) không được mã hóa, trong đó có nhiều công cụ bắt gói tin không dây (cho hacker) cho tải miễn phí nên mã hóa mạng không dây có ý nghĩa quan trọng
Một ý kiến khác cho rằng, phương pháp bảo mật chỉ sử dụng bộ lọc địa chỉ MAC chỉ phù hợp khi sử dụng một
điểm truy cập cá nhân, chẳng hạn với MiFi của Novatel Wireless – bộ sản phẩm sử dụng trên xe hơi, thường dành cho các thành viên trong gia đình hay các đồng nghiệp truy cập Với cách này, bạn có thể sử dụng kết hợp giữa bộ lọc
Trang 9MAC và mã hóa hay không cần mã hóa Vì thỉnh thoảng, việc mã hóa sẽ trở nên nặng nề do yêu cầu người dùng biết khóa truy cập
Dùng danh sách đen hay danh sách an toàn?
Thông thường, người dùng muốn sử dụng bộ lọc địa chỉ MAC chỉ cho phép những thiết bị đã xác định kết nối –
danh sách an toàn Nhưng cũng sẽ có những trường hợp người dùng muốn tạo danh sách đen – danh sách người
dùng không được phép kết nối vào mạng của bạn
Nếu bạn muốn đảm bảo một số thiết bị không kết nối được vào mạng của bạn, ví vụ như máy tính cá nhân/điện thoại di động của các nhân viên đã nghỉ việc; các thiết bị được xác định là có liên quan với các cuộc tấn công từ chối dịch vụ trong quá khứ hay người hàng xóm mà bạn nghi ngờ đang tìm cách tấn công mạng của bạn để truy cập internet, bạn nên chọn thiết lập danh sách trắng
"Nếu nhà/văn phòng của bạn có thiết lập hẳn mạng Wi-Fi
mở (không sử dụng bảo mật như mã hóa và lọc địa chỉ
Trang 10MAC) dành cho khách hàng của bạn truy cập thì cũng có ý kiến đề nghị rằng, bạn nên đưa tất cả máy tính của nhà/văn phòng vào danh sách đen của mạng này, như vậy các máy tính chứa dữ liệu quan trọng của bạn không "bị tình cờ" kết nối vào mạng và có thể bị đánh cắp dữ liệu quan trọng."
"Một số chuyên gia cho rằng, trong một số trường hợp,
quản trị mạng có thể khóa tất cả thiết bị (của nhiều nhà sản xuất khác nhau) đang kết nối vào mạng dựa trên các cặp ký
tự đầu tiên trong địa chỉ MAC (tuy nhiên, cách này bạn bạn thông hiểu nhiều chi tiết kỹ thuật, quản trị, vì thế hy vọng chúng tôi sẽ có bài trình bày riêng trong thời gian tới)."
Lọc địa chỉ MAC là một tính năng bổ sung hữu ích cho mã hóa, nhưng bạn cũng nên nhớ rằng tính năng này cũng có thể bị đe dọa dù sử dụng kèm với các phương thức mã hóa tốt nhất
Theo PC World VN (PCW)