Lọc địa chỉ MAC trên mạng không dây

Lọc địa chỉ MAC trên mạng không dây

Để tăng cường khả năng bảo mật cho mạng Wi-Fi,

ngoài việc sử dụng các chế độ mã hóa, xác thực, ẩn

tên mạng... thì người dùng nên kết hợp thêm tính

năng lọc địa chỉ MAC.

MẠNG

Trước khi

nền công

nghiệp Wi-

Fi giải

quyết được

những vấn

đề và thiếu

sót

của WEP

(wireless encryption protocol) - công nghệ bảo mật

bằng mã hóa, nhiều chuyên gia khuyến cáo sử dụng

thêm cơ chế lọc địa chỉ MAC nhằm tăng cường bảo

mật.

Mỗi thiết bị Wi-Fi được gán duy nhất một địa chỉ

MAC (Media Access Control) gồm 12 chữ số thập

lục phân. Địa chỉ MAC là phần “ngầm” của thiết bị

phần cứng và được gửi tự động tới điểm truy cập Wi-

Fi mỗi khi thiết bị kết nối vào mạng.

Sử dụng trình quản lý cấu hình của điểm truy cập

(Access Point - AP), bạn có thể lập được một danh

sách thiết bị an toàn (được phép truy xuất vào mạng)

hay danh sách thiết bị không được phép truy xuất vào

mạng (black list – danh sách đen). Nếu bộ lọc địa chỉ

MAC được kích hoạt, AP chỉ cho phép các thiết bị

trong danh sách an toàn được kết nối vào mạng và

cấm tất cả thiết bị trong danh sách đen truy xuất vào

mạng, ngay cả khi bạn có khóa kết nối, bất kể bạn

đang sử dụng giao thức kết nối nào.

Với sự xuất hiện của các giao thức mã hóa tin cậy,

trong đó mạnh nhất là WPA2 (Wi-Fi Protected

Access II), chúng ta ít nghe nói đến lọc địa chỉ MAC

hơn. Tuy nhiên, tin tặc (hacker) cũng đã tìm ra cách

để tấn công giao thức này, bằng cách giả mạo địa chỉ

của thiết bị kết nối hay giả mạo là một trong số các

thiết bị này.

Bảo mật nhiều lớp

Theo Jacob Sharony, chuyên viên tư vấn chính và

cũng là chủ tịch của Mobius Consulting, công ty tư

vấn về không dây tại New York cho rằng lọc địa chỉ

MAC là chưa đủ. Sharony cho rằng một chiến lược

bảo mật tốt phải được xây dựng trên nhiều lớp. Trong

hầu hết trường hợp, bạn không nên chỉ sử dụng bộ

lọc địa chỉ MAC – chỉ một giải pháp này sẽ không đủ

để ngăn chặn các hacker tinh vi – mà nên sử dụng kết

hợp với những lớp bảo mật khác. Có những tình

huống phù hợp để sử dụng bộ lọc địa chỉ MAC, đó là,

trong trường hợp nỗ lực đầu tư thêm cho bảo mật mà

không đủ đáp ứng.

dụng địa chỉ MAC? Sử

Để thiết lập bộ lọc MAC, bạn cần lập danh sách địa

chỉ MAC cho các thiết bị có nhu cầu kết nối vào

mạng. Mỗi lần muốn thêm hay xóa một thiết bị, bạn

phải đăng nhập vào trình quản lý cấu hình của AP.

(AP cấp doanh nghiệp có thể cho phép thực hiện việc

bằng câu lệnh). này

Trong hầu hết bộ định tuyến (router) dành cho doanh

nghiệp nhỏ/người dùng gia đình mà nhiều công ty

đang sử dụng, bạn mở trình trình duyệt và nhập địa

chỉ IP của router (xem thêm trong tài liệu hướng dẫn

sử dụng, thường là: 192.168.0.1 hay 192.168.1.1) vào

thanh địa chỉ của trình duyệt.

Lúc đó, màn hình trình duyệt quản lý thiết bị sẽ yêu

cầu bạn nhập tài khoản đăng nhập (ID và mật khẩu) –

xem tài khoản đăng nhập mặc định trong tài liệu

hướng dẫn đi kèm thiết bị. Sau khi đăng nhập thành

công, để an toàn, bạn nên thay đổi ngay tài khoản

đăng nhập mặc định. Sau đó, bạn tìm phần thiết lập

nâng cao cho mạng không dây và chọn phần "MAC

filtering" hay "Access list" hay một số tên gọi khác

(tùy hãng mà sẽ có tên gọi khác nhau, bạn nên xem

trước trong tài liệu hướng dẫn đi kèm sản phẩm để

biết rõ hơn).

Cách lọc địa chỉ MAC

Nếu bạn cần thêm một thiết bị mới vào hệ thống, bạn

cần phải biết địa chỉ của thiết bị này trước. Địa chỉ

này thường được in ngay trên mặt ngoài của sản

phẩm, nhưng cũng có ngoại lệ. Trong một số sản

phẩm như điện thoại di động, địa chỉ MAC có thể tìm

thấy thông qua phần mềm của điện thoại, nhưng có

một số sản phẩm, việc tìm thấy địa chỉ MAC rất khó

khăn.

Phương án cuối cùng có thể thực hiện là bạn có thể

tạm thời tắt tính năng lọc địa chỉ MAC, cho phép

thiết bị mới kết nối vào, và lấy địa chỉ MAC của thiết

bị này từ danh sách thiết bị kết nối trong trình quản lý

truy cập của AP.

Để thêm một địa chỉ MAC của thiết bị mới vào mạng

Wi-Fi, bạn đăng nhập vào trình quản lý thiết bị, mở

mục Wireless MAC Filter và nhập địa chỉ MAC của

thiết bị đó vào. Trước đó, bạn nên kích hoạt

(Enabled) chức năng Wireless MAC Filter và chọn

chế độ tạo danh sách đen hay danh sách an toàn.

Thực tế cho thấy, nếu bạn là người quản lý mạng

không dây và biết địa chỉ MAC của thiết bị đang kết

nối vào mạng và các máy này truy cập mạng thường

xuyên thì lọc địa chỉ MAC là một lớp bảo mật dễ

triển khai.

Khi nào không dùng lọc MAC?

Nếu môi trường mạng không dây của bạn thường

xuyên thay đổi, các thiết bị mới kết nối và ngắt kết

nối liên tục, hay bạn đang quản lý một hệ thống mạng

doanh nghiệp lớn với hàng ngàn, thậm chí chục ngàn

thiết bị, việc duy trì và cập nhật liên tục bảng địa chỉ

MAC khá khó khăn nên khó mang lại kết quả như

mong muốn.

Có nhiều chức năng trên router Wi-Fi/AP có thể hỗ

trợ thực hiện việc này dễ dàng hơn, chẳng hạn chức

năng WPS (Wi-Fi Protected Setup), cho phép người

quản trị mạng dễ dàng thêm thiết bị mới vào mạng

cũng như tự động thêm địa chỉ MAC vào danh sách.

Có những trường hợp hệ thống mạng quá nhỏ và

chưa đến lúc phải sử dụng cách bộ lọc địa chỉ MAC,

nhưng đôi khi nhà/văn phòng có thêm các máy khách

muốn truy cập vào mạng – sử dụng thiết bị của họ để

truy cập.

Để giải quyết tình huống này, nhiều AP mới cho

phép bạn thiết lập mạng thứ hai hoàn toàn tách biệt

với mạng chính (chẳng hạn tính năng Guest Access

trên các router Wi-Fi dòng E của hãng Cisco

Linksys), một tên mạng Wi-Fi (SSID - service set

identifier) khác dành riêng cho máy khách. Mạng

chính sẽ được bảo vệ bằng cách kết hợp mã hóa và bộ

lọc địa chỉ MAC, trong khi mạng thứ hai vẫn mở để

cho khách truy cập Internet bình thường.

Lọc MAC có thay mã hóa?

Liệu có những tình huống để bạn chỉ sử dụng phương

pháp bộ lọc địa chỉ MAC?

Có ý kiến cho rằng không có trường hợp này, phải sử

dụng mã hóa. Vì quá nhiều giao thức và chương trình

(trên web) không được mã hóa, trong đó có nhiều

công cụ bắt gói tin không dây (cho hacker) cho tải

miễn phí nên mã hóa mạng không dây có ý nghĩa

quan trọng.

Một ý kiến khác cho rằng, phương pháp bảo mật chỉ

sử dụng bộ lọc địa chỉ MAC chỉ phù hợp khi sử dụng

một điểm truy cập cá nhân, chẳng hạn với MiFi của

Novatel Wireless – bộ sản phẩm sử dụng trên xe hơi,

thường dành cho các thành viên trong gia đình hay

các đồng nghiệp truy cập. Với cách này, bạn có thể

sử dụng kết hợp giữa bộ lọc MAC và mã hóa hay

không cần mã hóa. Vì thỉnh thoảng, việc mã hóa sẽ

trở nên nặng nề do yêu cầu người dùng biết khóa truy

cập.

Dùng danh sách đen hay danh sách an toàn?

Thông thường, người dùng muốn sử dụng bộ lọc địa

chỉ MAC chỉ cho phép những thiết bị đã xác định kết

nối – danh sách an toàn. Nhưng cũng sẽ có những

trường hợp người dùng muốn tạo danh sách đen –

danh sách người dùng không được phép kết nối vào

mạng của bạn.

Nếu bạn muốn đảm bảo một số thiết bị không kết nối

được vào mạng của bạn, ví vụ như máy tính cá

nhân/điện thoại di động của các nhân viên đã nghỉ

việc; các thiết bị được xác định là có liên quan với

các cuộc tấn công từ chối dịch vụ trong quá khứ hay

người hàng xóm mà bạn nghi ngờ đang tìm cách tấn

công mạng của bạn để truy cập internet, bạn nên chọn

thiết lập danh sách trắng.

"Nếu nhà/văn phòng của bạn có thiết lập hẳn mạng

Wi-Fi mở (không sử dụng bảo mật như mã hóa và lọc

địa chỉ MAC) dành cho khách hàng của bạn truy cập

thì cũng có ý kiến đề nghị rằng, bạn nên đưa tất cả

máy tính của nhà/văn phòng vào danh sách đen của

mạng này, như vậy các máy tính chứa dữ liệu quan

trọng của bạn không "bị tình cờ" kết nối vào mạng và

có thể bị đánh cắp dữ liệu quan trọng."

"Một số chuyên gia cho rằng, trong một số trường

hợp, quản trị mạng có thể khóa tất cả thiết bị (của

nhiều nhà sản xuất khác nhau) đang kết nối vào mạng

dựa trên các cặp ký tự đầu tiên trong địa chỉ MAC

(tuy nhiên, cách này bạn bạn thông hiểu nhiều chi tiết

kỹ thuật, quản trị, vì thế hy vọng chúng tôi sẽ có bài

trình bày riêng trong thời gian tới)."

Lọc địa chỉ MAC là một tính năng bổ sung hữu ích

cho mã hóa, nhưng bạn cũng nên nhớ rằng tính năng

này cũng có thể bị đe dọa dù sử dụng kèm với các

phương thức mã hóa tốt nhất.

Tham khảo Test Lab PC World Việt Nam Wi-Fi

Planet

“Kế sách” giao dịch trực tuyến an toàn

Không có gì bảo đảm tội

phạm sẽ từ bỏ ý định thâm

nhập vào tài khoản ngân

hàng trực tuyến của bạn.

Thông thường, địa chỉ website

Hãy tuân thủ tối đa 6 lưu ý

ngân hàng thường bắt đầu

sau để đảm bảo rằng bạn

bằng “https” thay vì “http”.

luôn an toàn mỗi khi giao

qua mạng. dịch

1. Cài đặt phần mềm an ninh hiệu quả: Đây là công cụ

không thể thiếu với hầu hết nguời dùng thường xuyên

duyệt web nói chung và sử dụng các giao dịch ngân hàng

trực tuyến. Bạn nên định kỳ cập nhật phiên bản mới cho

phần mềm “gác cổng” hệ thống này, nếu được hãy thiết lập

tính năng tự động cập nhật. Bằng cách này, hệ thống của

bạn sẽ nhạy bén hơn trong việc phát hiện và ngăn chặn các

họa bảo mật. hiểm

2. Cảnh giác với email: Một số người có thể không quan

tâm đến vấn đề này, song đây là nơi tin tặc thường tấn

công nhất. Vài ngân hàng có thói quen định kỳ hàng tháng

gửi email cho khách hàng bản sao kê giao dịch, tuy nhiên

bạn không nên nhấn chuột vào liên kết mà email đó cung

cấp. Thay vào đó, hãy mở trình duyệt và truy cập thẳng

vào website của ngân hàng để tham khảo các thông tin

tương tự.

3. Không đăng nhập vào trang web không bảo mật: Hãy

đảm bảo rằng website của ngân hàng mà bạn đang sử dụng

được bảo mật trước khi nhập vào mật khẩu tài khoản. Địa

chỉ URL của website ngân hàng phải bắt đầu với từ “https”

chứ không phải là “http” như thường thấy. Khác với trình

duyệt IE của Microsoft, cả Firefox lẫn Chrome đều đánh

dấu nhãn màu xanh ở đầu dòng địa chỉ nếu trang web đó

thuộc dạng an toàn.

4.Sử dụng mật khẩu “mạnh”: Một mật khẩu được xem là

tốt nhất nếu kết hợp ngẫu nhiên ký tự và chữ số. Bạn nên

tránh sử dụng mật khẩu có nội dung liên quan đến tên,

ngày sinh hay bất kỳ từ nào có nghĩa mà tin tặc có thể suy

đoán được. Nếu trình duyệt hỏi bạn có muốn lưu lại mật

khẩu không, thì đừng ngần ngại chọn KHÔNG. Cạnh đó,

đừng bao giờ sử dụng cùng một mật khẩu cho 2 trang web

hay dịch vụ. Còn nếu bạn cho rằng không thể nhớ tất cả

mật khẩu mà mình đang sử dụng, hãy nghĩ đến một tiện ích

quản lý và mã hoá mật khẩu.

5.Tránh xa mạng công cộng: Hãy đặt cho mình thói quen

không truy cập vào website ngân hàng, công ty thẻ tín

dụng hay thực hiện bất kỳ giao dịch trực tuyến nào từ một

mạng Wi-Fi công cộng (như ở quán café, nhà ga, sân

bay,…). Với nhu cầu dạng này, bạn nên sử dụng mạng tại

hoặc trong công ty. nhà

Minh Xuân