Tấn công Wi-Fi và cách chống
Bạn cũng biết là những tay tin tặc luôn tìm cách bẻ khóa mật khẩu để truy cập mạng của mình nên bạn thường dùng mật khẩu rất phức tạp.
Vậy mà những lo lắng về bảo mật cho mạng Wi-Fi cũng chẳng mất đi. Những tay tin tặc quyết tâm thâm nhập hay phá hoại vẫn có thể lợi dụng những lổ hổng phi kỹ thuật khác như giả mạo, lừa đảo, đánh cắp hay chiếm đoạt thông tin nội bộ, dùng điểm truy cập giả, gây nhiễu tín hiệu…
Vì thế ngoài mật khẩu mạnh bạn còn phải chuẩn bị sẵn sàng cho những kiểu tấn công khác. Bài viết giới thiệu một số lỗ hổng hacker thường lợi dụng và cách chống trả.
Mất cắp thiết bị
Nếu bạn dùng cách chia sẻ khóa (pre-share key - PSK) trong chế độ bảo mật WPA2 nghĩa là chỉ có một mật khẩu chung cho toàn mạng Wi-Fi. Mật khẩu này thường được lưu trong tất cả thiết bị kết nối vào mạng vì thế khi có nhân viên nghỉ việc hay thiết bị Wi-Fi bị mất, đánh cắp, bạn phải đổi mật khẩu. Việc này có nghĩa là bạn phải thay đổi mật khẩu trên tất cả các bộ định tuyến, bộ truy cập không dây (AP), chia sẻ mật khẩu mới với mọi người dùng mạng Wi-Fi và yêu cầu họ nhập lại mất khẩu này khi kết nới mạng.
Giải pháp này thật sự không thân thiện với người dùng và với cả quản trị mạng nên hầu như bạn sẽ không đổi mật khẩu trong nhiều tình huống xảy ra.
Nếu thiết bị nào đó bị mất hay bị đánh cắp thì hầu như ai cũng có thể dễ dàng tìm thấy PSK đã được lưu trong môi trường Windows, thậm chí họ không cần đánh cắp mà chỉ cần thâm nhập một điểm nào đó trên đường truyền của gói tin.
Bất kỳ ai cũng có thể dễ dàng tìm thấy PSK được lưu trong Windows trên thiết bị đã bị mất/đánh cắp, thậm chí họ có thể thâm nhập máy tính mà không cần phải đánh cắp. |
Để quản lý và kiểm soát tốt hơn việc truy cập Wi-Fi bạn nên dùng chế độ bảo mật WPA2 cấp doanh nghiệp (enterprise), xác thực theo chuẩn 802.1X. dù chế độ này bắt buộc phải thiết lập máy chủ theo giao thức RADIUS (Remote Authentication Dial In User Service) để xác thực. Bằng cách này bạn có thể thiết lập quyền hạn đăng nhập riêng cho từng người dùng Wi-Fi như tên đăng nhập (username) và mật khẩu hay thậm chí cả chứng nhận bảo mật. Nhờ vậy, khi có nhân viên ra đi hay thiết bị Wi-Fi bị đánh cắp hay bị mất, bạn chỉ việc thu hồi hay thay đổi các thiết lập đăng nhập tương ứng mà thôi…
Lấy trộm thông tin giữa những người dùng
Dù cảm thấy phương pháp PSK của chế độ bảo mật WPA2 tiện dụng cho khách hàng hay đối tác truy cập trên mạng LAN ảo hay định dang mạng riêng biệt thì bạn cũng sẽ nhận ra rằng chế độ bảo mật doanh nghiệp mang lại nhiều lợi ích cho mạng không dây riêng của mình.
Những mối đe dọa không phải bao giờ cũng từ bên ngoài. Một khách hàng, đối tác hay thậm chí nhân viên cũng có thể rình mò đánh cắp thông tin trên mạng không dây. Dù phương pháp PSK của WPA2 dùng cách mã hóa thông tin nhưng nếu ai có mật khẩu thì cũng có thể giải mã và xem trộm thông tin của những người dùng khác trên mạng "bảo mật" này. Đây là một lý do sống còn nữa cho thấy ưu điểm của chế độ bảo mật doanh nghiệp WPA2: chặn đứng tình trạng lấy trộm thông tin giữa những người dùng với nhau nhưng đồng thời vẫn cho phép chia sẻ giữa những người dùng nếu họ muốn.
Hình cho thấy cách FaceNiff dò tìm những người dùng đăng nhập Wi-Fi không bảo mật và khả năng chiếm đoạt phiên làm việc sau một cú nhấn. |
Chiếm đoạt phiên truy cập
Có rất nhiều công cụ mà bất kỳ ai cũng có thể sử dụng để nhanh chóng và dễ dàng chiếm quyền truy cập phiên làm việc của bạn nếu mạng Wi-Fi được bảo mật kém, ví dụ điển hình như DroidSheep và FaceNiff. Để hoạt động được, những ứng dụng đặc biệt này chỉ cần một thiết bị Android gốc (rooted) và ai đó trên mạng Wi-Fi này đăng nhập vào một website không được bảo mật toàn diện. Sau đó những ứng dụng này sẽ tìm những đăng nhập không bảo mật và chiếm quyền phiên truy cập, thế là kẻ nghe trộm sẽ có toàn quyền truy cập tài khoản hớ hênh này mà không cần phải nhập mật khẩu.
Dù người dùng Wi-Fi có thể dùng cách an toàn là đăng nhập các website hay dịch vụ qua giao thức bảo mật HTTPS/SSL để tránh bị chiếm phiên truy cập, nhưng có lúc các trình cookie của phiên truy cập lại được gửi đi có vẻ vô hại khiến người dùng không hề biết là mình có thể bị tấn công dễ dàng.
Bạn nên nhớ rằng, kiểu chiếm đoạt tài khoản này chỉ có thể xảy ra trong những mạng Wi-Fi không bảo mật sử dụng chế độ bảo mật WEP, hoặc PSK của chế độ WPA hay WPA2. Ở đây, nếu bạn dùng chế độ bảo mật doanh nghiệp để chống tình trạng đánh cắp thông tin giữa người dùng với nhau thì cũng ngăn được tình trạng chiếm đoạt phiên làm việc thông qua đăng nhập không bảo mật. Tuy đây là một lý do khác để bạn dùng chế độ bảo mật doanh nghiệp cho mạng Wi-Fi của mình, nhưng khi người dùng đang sử dụng các điểm truy cập không dây công cộng hay những mạng Wi-Fi khác, bạn nên lưu ý buộc người dùng kết nối qua mạng riêng ảo (VPN) để bảo vệ dòng dữ liệu của bạn bằng một lớp mã hóa nữa.
Điểm truy cập giả
Nếu có người muốn truy cập trái phép mạng không dây của bạn thì họ sẽ tìm cách kết nối qua điểm truy cập giả mạo hiện có hay tự thiết lập điểm truy cập giả của riêng họ. Bất kỳ điểm truy cập nào không được bảo mật đúng cách thì đều có thể xếp vào loại giả mạo (rogue).
Ví dụ, một nhân viên có thể ngây thơ mang bộ định tuyến không dây ở nhà lên văn phòng công ty để tăng cường tín hiệu Wi-Fi ở văn phòng mình nhưng cho phép truy cập tự do hay bảo mật bằng mật khẩucủa riêng họ. Nguy hiểm hơn là khi có một người ngoài vào công ty và phát hiện một cổng Ethernet vẫn dùng được nên cắm router hay bộ truy cập không dây của họ vào. Hay có một điểm truy cập không dây mà họ có thể tiếp cận thì họ chỉ cần nhấn nút reset để trả các thông số của nó về giá trị mặc định như khi xuất xưởng và nó sẽ cho phép truy cập tự do hoàn toàn.
Để chống những điểm truy cập giả (rogue access points), bạn dùng hệ thống phát hiện hay chống thâm nhập mạng không dây để chủ động phát hiện những lỗ hổng bảo mật kiểu này. Bạn cũng nên nghĩ đến việc dùng bộ truy cập không dây có vài tính năng phát hiện hay chống thâm nhập mạng hoặc triển khai giải pháp của bên thứ ba. Bạn cũng phải lưu ý phát hiện những điểm truy cập giả khi kiểm tra hiệu năng mạng không dây của mình.
Để ngăn ngừa người dùng cài đặt bộ định tuyến hay truy cập không dây của riêng họ, bạn nên soạn thảo quy định sử dụng mạng Wi-Fi trong đó nêu rõ những điều người dùng được phép và không được phép làm. Ngoài ra, bạn cũng nên hướng dẫn, huấn luyện cho họ về những điểm dễ bị phá hoại và cách họ chung sức chống lại những nguy cơ này.
Bạn cũng nên chú trọng tầm quan trọng của việc bảo mật vật lý đối với mạng; phải bảo đảm tất cả thiết bị mạng có tủ khóa hay không thể truy cập đối với nhân viên thông thường hay người ngoài. Để giảm thiểu khả năng nhân viên hay người ngoài tìm được cổng Ethernet để cắm router hay bộ truy cập không dây, bạn phải bảo đảm đóng tất cả các cổng.
Để bảo đảm là tất cả cổng, cáp, bảng cắm cáp và cổng của bộ chuyển mạch đều được dán nhãn để bạn có thể dễ dàng xác định ngay được hai đầu cuối của cáp. Nhờ vậy bạn có thể dễ dàng kiểm tra để bảo đảm là tất cả những cổng không dùng đến đều đã được tháo cáp và cấm để tránh tình trạng sử dụng trái phép.
Thuật ngữ
RADIUS (Remote Authentication Dial In User Service) server: máy chủ dịch vụ xác thực người dùng từ xa thường được các nhà cung cấp dịch vụ Internet (ISP) dùng để thông tin về tên đăng nhập và mật khẩu của người dùng.
Rogue access point hay rogue AP: bộ truy cập không dây giả là bất kỳ bộ truy cập không dây Wi-Fi nào được cài đặt trái phép trên mạng, không được xác thực và vì thế không chịu sự quản lý của quản trị mạng. bộ truy cập không dây giả thường không tuân thủ các quy định bảo mật của mạng không dây cục bộ (wireless LAN - WLAN) và có thể cho phép bất kỳ ai có thiết bị Wi-Fi kết nối vào mạng của bạn.
Session hijacking: hay còn gọi là chiếm đoạt phiên TCP là kiểu tấn công phiên truy cập của người dùng trên mạng được bảo mật. phương pháp chiếm đoạt phiên phổ biến nhất còn được gọi là giả dạng IP, lúc đó kẻ tấn công sẽ dùng những gói tin IP trên đường truyền để chèn lệnh vào các "trao đổi" giữa hai nút trên mạng và giả dạng là một trong những người dùng đã được xác thực.
Từ chống dịch vụ
Vì mạng Wi-Fi dùng sóng vô tuyến nên tất cả mạng không dây rất dễ bị tấn công từ chối dịch vụ (denial of service - DOS). Người nội bộ hay người ngoài có thể gửi những dòng dữ liệu nhằm làm gián đoạn hoạt động của mạng không dây hay làm treo mạng. Sở dĩ như vậy là vì chế độ mã hóa của mạng không dây không áp dụng cho mọi khung truyền thông tin dạng điều khiển hay dạng hay dữ liệu, vì thế những người không kết nối hay không được xác thực trên mạng không dây này vẫn có thể gửi những dòng thông tin điều khiển giả mạo. Hơn nữa, không có mạng nào có thể chống lại hoàn toàn với những dạng tấn công này.
Ví dụ, những kẻ tấn công có thể liên tục gửi khung tín hiệu không xác thực (de-authentication) giả mạo đến máy khách để liên tục "đá văng" họ khỏi mạng. Chúng cũng có thể gửi một khối lượng lớn yêu cầu giả mạo đến bộ truy cập không dây, làm mạng quá tải và gây ảnh hưởng cho toàn bộ máy khách đang kết nối vào mạng.
Mặc dù chuẩn 802.11w đã cải tiến những đặc điểm dễ bị tấn công này bằng cách bổ sung sequencing to prevent replays và mã xác thực thông điệp để phát hiện sự giả mạo, nó cũng không thể chống lại mọi kiểu tấn công từ chối dịch vụ.
Bên cạnh việc sử dụng các bức tường, sơn đặc biệt, và cửa sổ nhằm bảo về tòa nhà văn phòng khỏi các tín hiệu giả mạo từ bên ngoài, bạn có thề sử dụng phương pháp phát hiện xâm nhập không dây (wireless intrusion detection) hay ngăn chặn chức năng để phát hiện và thậm chí làm yếu các cuộc tấn công DOS.
Một tình huống tấn công từ chối dịch vụ "vô tội" hơn là do nhiễu của các mạng không dây nhà hàng xóm. Đó có thể là doanh nghiệp kế bên đổi kênh bộ truy cập không dây của họ hay bắt đầu dùng băng thông rộng hơn cũng gây ảnh hưởng xấu đến mạng Wi-Fi của bạn. Nhiễu tín hiệu cũng có thể xuất phát từ bên trong cơ quan của bạn như từ những thiết bị không dây dùng tần số 2,4 hay 5GHz, chẳng hạn máy quay an ninh, hệ thống báo động, điện thoại hay loa không dây.
Tóm tắt những mối đe dọa và biện pháp phòng ngừa
Dùng chế độ bảo mật WPA hay WPA2 cấp doanh nghiệp (enterprise), xác thực theo chuẩn 802.1X có thể giúp bạn ngăn chặn một vài trong rất nhiều kiểu tấn công như chiếm phiên truy cập và đánh cắp thông tin giữa người dùng trên mạng Wi-Fi. Dù bạn phải dùng máy chủ RADIUS với chế độ bảo mật này nhưng bù lại sẽ có rất nhiều chọn lựa, kể cả nhiều dịch vụ thiết kế chuyên biệt trên điện toán mây hay nơi cung cấp dịch vụ kết nối 802.1X để bảo mật và quản lý việc truy cập mạng Wi-Fi.
Bạn cũng thấy là mạng của mình có thể bị truy cập qua các bộ truy cập không dây giả hay bị nghẽn vì những tấn công từ chối dịch vụ, cả hai đều có thể được phát hiện bằng hệ thống dò tìm hay chống thâm nhập mạng không dây. Tuy nhiên, cách này cũng không thể thay thế hoàn toàn cho việc kiểm tra định kỳ toàn hệ thống để bạn có thể xem xét kỹ càng việc sử dụng các kênh, tình trạng xâm nhập và xác nhận thủ công các bộ truy cập không dây.
Bảo mật vật lý cũng quan trọng vì có thể giảm thiểu tình trạng truy cập trái phép. Cấm những cổng Ethernet chưa dùng đến và bảo đảm rằng những thiết bị mạng được bảo vệ để nhân viên và khách bên ngoài không thể tùy tiện sử dụng.