Các giải pháp bảo mật VPN nổi bật

Bảo mật là một trong những vấn đề quan trọng nhất trong mạng WLAN. Tuy nhiên, người dùng có thể hoàn toàn yên tâm vì hiện tại trên thị trường tồn tại rất nhiều giải pháp bảo mật VPN nổi bật, có thể kể đến như:

WLAN VPN là gì?

Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh có khả năng che chắn dữ liệu khỏi các truy cập trái phép. VPN sử dụng cơ chế bảo mật IPSec từ đó tạo ra độ tin cậy cao. IPSec là viết tắt của Internet Protocol Security.

TKIP (Temporal Key Integrity Protocol)

TKIP dùng hàm băm (hashing) IV để chống lại việc giả mạo gói tin. Cũng dùng để xác định tính toàn vẹn của thông điệp MIC (message integrity check). Nhằm mục đích đảm bảo sự minh bạch của gói tin. Khóa động của TKIP cài đặt cho mỗi frame có chức năng chống lại dạng tấn công giả mạo.

AES (Advanced Encryption Standard)

Được phê chuẩn bởi NIST (National Institute of Standard and Technology), AES có thể đáp ứng các nhu cầu của người dùng trên mạng WLAN. Trong đó, chế độ đặc biệt này của AES được gọi là CBC-CTR (Cipher Block Chaining Counter Mode) với CBC-MAC (Cipher Block Chaining Message Authenticity Check).

802.1x và EAP

Theo IEEE, 802.1x là chuẩn đặc tả cho việc truy cập Internet thông qua cổng (port-based). Đây là giải pháp có thể hoạt động trên cả môi trường đường truyền có dây lẫn không dây. Trong đó, việc điều khiển truy cập được thực hiện bằng cách tạm thời chặn người dùng cho đến khi quá trình thẩm định hoàn tất.

EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, certificate,…), giao thức được sử dụng và hỗ trợ tự động sinh khóa và xác thực lẫn nhau.

WPA (Wi-Fi Protected Access)

WPA là giải pháp công nghệ thay thế cho WEP vốn còn nhiều khuyết điểm. Một trong những cải tiến quan trọng của WPA là sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol) và kiểm tra tính toàn vẹn của thông tin (Message Integrity Check).

WPA 2

WPA 2 là giải pháp lâu dài được chứng nhận bởi Wi-Fi Alliance và sử dụng sử dụng 802.11i. Với thuật toán mã hóa nâng cao AES (Advanced Encryption Standard), WPA 2 được nhiều cơ quan chính phủ Mỹ sử dụng để bảo vệ các thông tin nhạy cảm.

WPA3

WLAN Wifi Alliance

Sự đáp trả của Wifi Alliance trong WPA3 là rất mạnh mẽ. Ví dụ như khi hệ thống mạng bị tấn công hoặc bẻ khóa thì WPA3 vẫn có khả năng cung cấp mã hóa cho người dùng. Như vậy sẽ ngăn chặn được sự tấn công của những Hacker.

Hơn nữ Wifi Alliance còn có khả năng tăng cường bảo vệ quyền riêng tư, bảo mật các dữ liệu của người dùng nhờ PMF.

WLAN SAE là gì?

SAE chỉ là một giao thức trao đổi key mới được tích hợp trong phương pháp bảo mật WPA3. Mục đích của giao thức này chính là giải quyết lỗ hổng KRACK.

Ưu điểm nổi bật của giao thức này đó là khả năng chống lại các cuộc tấn công giải mã ngoại tuyến thông qua việc cung cấp Forward Secrecy. Tác dụng của việc cung cấp Forward Secrecy là có thể ngăn chặn lại sự tấn công của kẻ thù kể cả khi chúng đã biết mật khẩu.

Lọc (Filtering)

Filtering là cơ chế bảo mật cơ bản có thể sử dụng cùng với WEP. Cơ chế này cho phép những thiết bị mong muốn và cấm những thiết bị không mong muốn truy cập vào. Có 3 kiểu lọc cơ bản có thể được sử dụng trong hệ thống mạng không dây nội bộ:

• Lọc SSID: thường được sử dụng trong các điều khiển truy cập cơ bản. Trong đó, SSID của client phải khớp với SSID của AP để có thể xác thực và kết nối với tập dịch vụ.
• Lọc địa chỉ MAC: là chức năng tồn tại trong hầu hết các AP. Nếu client có địa chỉ MAC không nằm trong danh sách lọc địa chỉ MAC của AP thì AP sẽ ngăn chặn không cho phép client đó kết nối vào mạng.
• Lọc giao thức: được sử dụng trong các mạng WLAN không dây để lọc  các gói đi qua mạng dựa trên các giao thức từ lớp 2 đến lớp 7.

Nên lựa chọn giải pháp bảo mật WLAN nào?

• WPA2 vẫn đang là tiêu chuẩn mã hóa Wifi an toàn nhất hiện nay. Tiêu chuẩn WPA2 tính đến cả lỗ hổng KRACK.
• Bảo mật WEP lại rất dễ bị bẻ khóa. Hiện nay tiêu chuẩn mã hóa này không được sử dụng cho bất kỳ mục đích nào. Nếu vẫn còn sử dụng những thiết bị áp dụng chuẩn mã hóa này thì người dùng nên thay thế để tăng cường độ bảo mật cho WLAN.
• Mặc dù chưa được đưa vào sử dụng, người dùng cũng không nên quá mong đợi vào chuẩn WPA3. Bởi cho dù là tiêu chuẩn mã hóa nào đi chăng nữa thì cũng sẽ không có khả năng bảo mật tất cả các thiết bị trong nháy mắt. Việc đưa ra một tiêu chuẩn mã hóa mới và áp dụng lâu dài là cả một quá trình.

Tiêu chuẩn bảo mật WLAN mà Mắt Bão khuyên dùng là gì?

• Tiêu chuẩn bảo mật wifi WPA2 vẫn là chuẩn bảo mật wifi tốt nhất mà bạn nên lựa chọn và sử dụng cho hệ thống mạng của mình.

Các kiểu tấn công mạng WLAN là gì?

Rogue Access Point

Access Point giả mạo (Rogue Access Point) là cụm từ được dùng để mô tả những AP được tạo ra một cách vô tình hoặc cố ý nhằm làm ảnh hưởng đến hệ thống mạng không dây hiện có. Có nhiều cách để phân loại các AP giả mạo. Trong đó, bốn loại AP giả mạo thường gặp trong mạng WLAN là:

• Access Point được cấu hình không hoàn chỉnh
• Access Point giả mạo từ các mạng WLAN lân cận
• Access Point giả mạo do kẻ tấn công tạo ra
• Access Point giả mạo được thiết lập bởi chính nhân viên của công ty

De-authentication Flood Attack (tấn công yêu cầu xác thực lại)

De-authentication Flood Attack được tạo ra nhằm hướng đến các mục tiêu tấn công là người dùng đang kết nối và giao tiếp trong mạng không dây. Trong đó, người dùng sẽ nhận được các frame yêu cầu xác thực thông tin giả mạo địa chỉ MAC nguồn và đích từ kẻ tấn công. Khi đó, người dùng sẽ bị ngắt khỏi dịch vụ liên kết mạng WLAN và kẻ tấn công sẽ thực hiện các bước tương tự với những người dùng khác.

Fake Access Point

Với Fake Access Point, kẻ tấn công sẽ gửi các gói beacon với địa chỉ vật lý (MAC) và SSID giả để tạo ra nhiều điểm truy cập giả lập. Quá trình này sẽ gây xáo trộn toàn bộ các phần mềm điều khiển card mạng không dây của người dùng trên hệ thống.

Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý

Với phương thức này, kẻ tấn công sẽ tìm cách tạo ra lỗi nghẽn mạng vì nhầm lẫn tín hiệu. Điều này có thể được thực hiện bằng hình thức tạo ra một nút giả truyền tin liên tục đồng thời sử dụng bộ tạo tín hiệu RF hoặc làm cho card mạng chuyển vào chế độ kiểm tra.

Tấn công ngắt kết nối (Disassociation flood attack)

Phương thức này được thực hiện tuần tự theo các bước sau:

• Kẻ tấn công xác định mục tiêu và mối liên kết giữa điểm truy cập với các clients. Sau đó sẽ gửi disassociation frame bằng cách giả mạo địa chỉ MAC nguồn và đích đến AP với các client tương ứng.
• Client sẽ nhận các frame này và nghĩ rằng frame hủy kết nối đến từ AP.
• Kẻ tấn công tiếp tục thực hiện tương tự với các client còn lại làm cho các client tự động ngắt kết nối với AP.
• Khi bị ngắt kết nối, client sẽ thực hiện kết nối lại với AP ngay lập tức. Kẻ tấn công sẽ tiếp tục gửi disassociation frame đến AP và client.

Có nhiều vấn đề xoay quanh mạng WLAN mà người dùng cần tìm hiểu kỹ lưỡng trước khi sử dụng. “Mắt Bão – nhà cung cấp dịch vụ thuê hosting uy tín, bảo mật” hy vọng rằng, bài viết này đã cung cấp đến bạn đọc cái nhìn tổng quát và toàn diện nhất về mạng cục bộ không dây WLAN.

Bài viết có chủ đề liên quan:

• Socket là gì? Khái niệm cần biết về giao thức TCP/IP và UDP
• DDos/Dos là gì? Cách phòng chống tấn công DDos

• WLAN là gì? Nên chọn giải pháp bảo mật nào cho WLAN?