Lọc địa chỉ MAC trên mạng không dây
Để tăng cường khả năng bảo mật cho mạng Wi-Fi,
ngoài việc sử dụng các chế độ mã hóa, xác thực, ẩn tên
mạng... thì người dùng nên kết hợp thêm tính năng lọc
địa chỉ MAC.
Trước khi nền công nghiệp Wi-Fi giải quyết được những
vấn đề và thiếu sót của WEP (wireless encryption protocol)
- công nghệ bảo mật bằng mã hóa, nhiều chuyên gia
khuyến cáo sử dụng thêm cơ chế lọc địa chỉ MAC nhằm
tăng cường bảo mật.
Mỗi thiết bị Wi-Fi được gán duy nhất một địa chỉ MAC
(Media Access Control) gồm 12 chữ số thập lục phân. Địa
chỉ MAC là phần “ngầm” của thiết bị phần cứng và được
gửi tự động tới điểm truy cập Wi-Fi mỗi khi thiết bị kết nối
vào mạng.
Sử dụng trình quản lý cấu hình của điểm truy cập (Access
Point - AP), bạn có thể lập được một danh sách thiết bị an
toàn (được phép truy xuất vào mạng) hay danh sách thiết bị
không được phép truy xuất vào mạng (black list – danh
sách đen). Nếu bộ lọc địa chỉ MAC được kích hoạt, AP chỉ
cho phép các thiết bị trong danh sách an toàn được kết nối
vào mạng và cấm tất cả thiết bị trong danh sách đen truy
xuất vào mạng, ngay cả khi bạn có khóa kết nối, bất kể bạn
đang sử dụng giao thức kết nối nào.
Với sự xuất hiện của các giao thức mã hóa tin cậy, trong đó
mạnh nhất là WPA2 (Wi-Fi Protected Access II), chúng ta
ít nghe nói đến lọc địa chỉ MAC hơn. Tuy nhiên, tin tặc
(hacker) cũng đã tìm ra cách để tấn công giao thức này,
bằng cách giả mạo địa chỉ của thiết bị kết nối hay giả mạo
là một trong số các thiết bị này.
Bảo mật nhiều lớp
Theo Jacob Sharony, chuyên viên tư vấn chính và cũng là
chủ tịch của Mobius Consulting, công ty tư vấn về không
dây tại New York cho rằng lọc địa chỉ MAC là chưa đủ.
Sharony cho rằng một chiến lược bảo mật tốt phải được xây
dựng trên nhiều lớp. Trong hầu hết trường hợp, bạn không
nên chỉ sử dụng bộ lọc địa chỉ MAC – chỉ một giải pháp
này sẽ không đủ để ngăn chặn các hacker tinh vi – mà nên
sử dụng kết hợp với những lớp bảo mật khác. Có những
tình huống phù hợp để sử dụng bộ lọc địa chỉ MAC, đó là,
trong trường hợp nỗ lực đầu tư thêm cho bảo mật mà không
đủ đáp ứng.
Sử dụng địa chỉ MAC?
Để thiết lập bộ lọc MAC, bạn cần lập danh sách địa chỉ
MAC cho các thiết bị có nhu cầu kết nối vào mạng. Mỗi lần
muốn thêm hay xóa một thiết bị, bạn phải đăng nhập vào
trình quản lý cấu hình của AP. (AP cấp doanh nghiệp có
thể cho phép thực hiện việc này bằng câu lệnh).
Trong hầu hết bộ định tuyến (router) dành cho doanh
nghiệp nhỏ/người dùng gia đình mà nhiều công ty đang sử
dụng, bạn mở trình trình duyệt và nhập địa chỉ IP của router
(xem thêm trong tài liệu hướng dẫn sử dụng, thường là:
192.168.0.1 hay 192.168.1.1) vào thanh địa chỉ của trình
duyệt.
Lúc đó, màn hình trình duyệt quản lý thiết bị sẽ yêu cầu
bạn nhập tài khoản đăng nhập (ID và mật khẩu) – xem tài
khoản đăng nhập mặc định trong tài liệu hướng dẫn đi kèm
thiết bị. Sau khi đăng nhập thành công, để an toàn, bạn nên
thay đổi ngay tài khoản đăng nhập mặc định. Sau đó, bạn
tìm phần thiết lập nâng cao cho mạng không dây và chọn
phần "MAC filtering" hay "Access list" hay một số tên gọi
khác (tùy hãng mà sẽ có tên gọi khác nhau, bạn nên xem
trước trong tài liệu hướng dẫn đi kèm sản phẩm để biết rõ
hơn).
Cách lọc địa chỉ MAC
Nếu bạn cần thêm một thiết bị mới vào hệ thống, bạn cần
phải biết địa chỉ của thiết bị này trước. Địa chỉ này thường
được in ngay trên mặt ngoài của sản phẩm, nhưng cũng có
ngoại lệ. Trong một số sản phẩm như điện thoại di động,
địa chỉ MAC có thể tìm thấy thông qua phần mềm của điện
thoại, nhưng có một số sản phẩm, việc tìm thấy địa chỉ
MAC rất khó khăn.
Phương án cuối cùng có thể thực hiện là bạn có thể tạm
thời tắt tính năng lọc địa chỉ MAC, cho phép thiết bị mới
kết nối vào, và lấy địa chỉ MAC của thiết bị này từ danh
sách thiết bị kết nối trong trình quản lý truy cập của AP.
Để thêm một địa chỉ MAC của thiết bị mới vào mạng Wi-
Fi, bạn đăng nhập vào trình quản lý thiết bị, mở mục
Wireless MAC Filter và nhập địa chỉ MAC của thiết bị đó
vào. Trước đó, bạn nên kích hoạt (Enabled) chức năng
Wireless MAC Filter và chọn chế độ tạo danh sách đen
hay danh sách an toàn.
Thực tế cho thấy, nếu bạn là người quản lý mạng không
dây và biết địa chỉ MAC của thiết bị đang kết nối vào mạng
và các máy này truy cập mạng thường xuyên thì lọc địa chỉ
MAC là một lớp bảo mật dễ triển khai.
Khi nào không dùng lọc MAC?
Nếu môi trường mạng không dây của bạn thường xuyên
thay đổi, các thiết bị mới kết nối và ngắt kết nối liên tục,
hay bạn đang quản lý một hệ thống mạng doanh nghiệp lớn
với hàng ngàn, thậm chí chục ngàn thiết bị, việc duy trì và
cập nhật liên tục bảng địa chỉ MAC khá khó khăn nên khó
mang lại kết quả như mong muốn.
Có nhiều chức năng trên router Wi-Fi/AP có thể hỗ trợ thực
hiện việc này dễ dàng hơn, chẳng hạn chức năng WPS (Wi-
Fi Protected Setup), cho phép người quản trị mạng dễ dàng
thêm thiết bị mới vào mạng cũng như tự động thêm địa chỉ
MAC vào danh sách.
Có những trường hợp hệ thống mạng quá nhỏ và chưa đến
lúc phải sử dụng cách bộ lọc địa chỉ MAC, nhưng đôi khi
nhà/văn phòng có thêm các máy khách muốn truy cập vào
mạng – sử dụng thiết bị của họ để truy cập.
Để giải quyết tình huống này, nhiều AP mới cho phép bạn
thiết lập mạng thứ hai hoàn toàn tách biệt với mạng chính
(chẳng hạn tính năng Guest Access trên các router Wi-Fi
dòng E của hãng Cisco Linksys), một tên mạng Wi-Fi
(SSID - service set identifier) khác dành riêng cho máy
khách. Mạng chính sẽ được bảo vệ bằng cách kết hợp mã
hóa và bộ lọc địa chỉ MAC, trong khi mạng thứ hai vẫn mở
để cho khách truy cập Internet bình thường.
Lọc MAC có thay mã hóa?
Liệu có những tình huống để bạn chỉ sử dụng phương
pháp bộ lọc địa chỉ MAC?
Có ý kiến cho rằng không có trường hợp này, phải sử dụng
mã hóa. Vì quá nhiều giao thức và chương trình (trên web)
không được mã hóa, trong đó có nhiều công cụ bắt gói tin
không dây (cho hacker) cho tải miễn phí nên mã hóa mạng
không dây có ý nghĩa quan trọng.
Một ý kiến khác cho rằng, phương pháp bảo mật chỉ sử
dụng bộ lọc địa chỉ MAC chỉ phù hợp khi sử dụng một
điểm truy cập cá nhân, chẳng hạn với MiFi của Novatel
Wireless – bộ sản phẩm sử dụng trên xe hơi, thường dành
cho các thành viên trong gia đình hay các đồng nghiệp truy
cập. Với cách này, bạn có thể sử dụng kết hợp giữa bộ lọc
MAC và mã hóa hay không cần mã hóa. Vì thỉnh thoảng,
việc mã hóa sẽ trở nên nặng nề do yêu cầu người dùng biết
khóa truy cập.
Dùng danh sách đen hay danh sách an toàn?
Thông thường, người dùng muốn sử dụng bộ lọc địa chỉ
MAC chỉ cho phép những thiết bị đã xác định kết nối –
danh sách an toàn. Nhưng cũng sẽ có những trường hợp
người dùng muốn tạo danh sách đen – danh sách người
dùng không được phép kết nối vào mạng của bạn.
Nếu bạn muốn đảm bảo một số thiết bị không kết nối được
vào mạng của bạn, ví vụ như máy tính cá nhân/điện thoại di
động của các nhân viên đã nghỉ việc; các thiết bị được xác
định là có liên quan với các cuộc tấn công từ chối dịch vụ
trong quá khứ hay người hàng xóm mà bạn nghi ngờ đang
tìm cách tấn công mạng của bạn để truy cập internet, bạn
nên chọn thiết lập danh sách trắng.
"Nếu nhà/văn phòng của bạn có thiết lập hẳn mạng Wi-Fi
mở (không sử dụng bảo mật như mã hóa và lọc địa chỉ
MAC) dành cho khách hàng của bạn truy cập thì cũng có ý
kiến đề nghị rằng, bạn nên đưa tất cả máy tính của nhà/văn
phòng vào danh sách đen của mạng này, như vậy các máy
tính chứa dữ liệu quan trọng của bạn không "bị tình cờ" kết
nối vào mạng và có thể bị đánh cắp dữ liệu quan trọng."
"Một số chuyên gia cho rằng, trong một số trường hợp,
quản trị mạng có thể khóa tất cả thiết bị (của nhiều nhà sản
xuất khác nhau) đang kết nối vào mạng dựa trên các cặp ký
tự đầu tiên trong địa chỉ MAC (tuy nhiên, cách này bạn bạn
thông hiểu nhiều chi tiết kỹ thuật, quản trị, vì thế hy vọng
chúng tôi sẽ có bài trình bày riêng trong thời gian tới)."
Lọc địa chỉ MAC là một tính năng bổ sung hữu ích cho mã
hóa, nhưng bạn cũng nên nhớ rằng tính năng này cũng có
thể bị đe dọa dù sử dụng kèm với các phương thức mã hóa
tốt nhất.
Theo PC World VN (PCW)
