Hướng dẫn bảo mật mạng trước lỗ hổng 196 docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (155.29 KB, 7 trang )
Hướng dẫn bảo mật mạng trước lỗ hổng 196
Trong một bài gần đây, chúng tôi đã giới thiệu cho
các bạn khá nhiều thông tin về lỗ hổng bảo mật mới
trong mã hóa WPA/WPA2 đối với một mạng không
dây. Trong bài đó chúng tôi đã giới thiệu điểm yếu và sau
đó đã chia sẻ một số mẹo và cách bảo vệ nhằm tránh được
các tấn công sử dụng khai thác này dù trên mạng của bạn
hay khi bạn sử dụng các mạng công cộng.
Đầu tiên chúng ta cần hiểu các tấn công sử dụng lỗ hổng
này phải được thực hiện bên trong mạng. Thủ phạm phải có
các chứng chỉ mạng và cần có kết nối thành công với mạng
của bạn. Các tấn công hầu như được xuất phát từ nhân viên
xấu hoặc kẻ nào đó nằm bên trong tổ chức bạn.
Lỗ hổng 196 cũng ảnh hưởng đến các chế độ Enterprise
(802.1X) và Personal (PSK) của Wi-Fi Protected Access,
tuy nhiên đáng kể hơn đối với các mạng không dây sử dụng
chế độ Enterprise.
Một lưu ý quan trọng nữa – một số người quy kết đây là
điểm yếu của WPA2, tuy nhiên nó thực sự ảnh hưởng đến
hai phiên bản WPA (TKIP) và WPA2 (AES).
Để hiểu lỗ hổng này, bạn phải nhận ra một trong các lợi ích
trong việc sử dụng chế độ Enterprise của WPA/WPA2:
Mỗi người dùng hoặc kết nối nhận một khóa mã hóa riêng.
Vì vậy người dùng này không thể giải mã lưu lượng của
người dùng kia – hoặc ngược lại. Khi sử dụng chế độ
Personal, người dùng kết nối với một khóa mã hóa, vì vậy
họ có thể đọc lưu lượng của nhau.
Lỗ hổng 196 cho phép người dùng trên mạng được bảo vệ
ở chế độ Enterprise có thể giải mã các gói dữ liệu từ người
dùng khác. Nó không đúng hẳn như việc crack mã hóa mà
là một tấn công man-in-the-middle bằng cách sử dụng kỹ
thuật ARP cache-poisoning giống như trong các mạng chạy
dây. Vấn đề bên dưới là giao thức 802.11.
Cần biết rằng, lỗ hổng này cũng ảnh hưởng tới các mạng
công cộng bảo mật các Wi-Fi hotspot bằng mã hóa
Enterprise và nhận thực 802.1X. Một người dùng hotspot
có thể rình mò dữ liệu của người dùng khác mặc dù họ nghĩ
rằng lưu lượng của mình đã được bảo vệ.
Dòng cuối là một người dùng nào đó được cấp quyền có
thể capture lưu lượng dữ liệu đã được giải mã của người
dùng khác, gửi lưu lượng mang dữ liệu độc hại (chẳng hạn
như malware) đến họ bằng cách cải trang như các điểm truy
cập mạng (AP) và thực hiện các tấn công từ chối dịch vụ.
Bảo vệ mạng của bạn trước lỗ hổng này
Trong khi đợi các hãng tiến hành vã lỗi cũng như bổ sung
thêm bản vá lỗi cho các chuẩn về lỗ hổng bảo mật này, đây
là một số thứ có thể thực hiện để hạn chế lỗ hổng trên mạng
cá nhân của bạn:
Cô lập sự truy cập đối với VLAN và các SSID ảo:
Đặt các phòng hay các nhóm trên các mạng ảo khác
nhau có thể cách ly được các tấn công. Các doanh
nghiệp nhỏ hơn có thể sử dụng phần mềm thay thế DD-
WRT để thiết lập các LAN ảo và nhận được sự hỗ trợ
SSID.
Cách ly máy khách: Một số hãng đã tích hợp tính
năng này vào các AP và các bộ điều khiển của họ. Tính
năng này có thể ngăn chặn sự truyền thông người dùng với
người dùng; vì vậy nó có thể trợ giúp người dùng tránh
được lỗ hổng này.
Sử dụng các kết nối VPN: Nếu thực sự lo ngại, bạn
có thể tạo đường hầm cho lưu lượng của mỗi người dùng
qua máy chủ VPN. Như vậy nếu có ai đó nghe trộm thành
công lưu lượng của người dùng khác, thì thủ phạm sẽ chỉ
nghe thấy các dữ liệu không đúng cú pháp. Nếu bạn chưa
có giải pháp VPN, hãy xem xét đến giải pháp OpenVPN.
Trong tương lai gần, bạn nên:
Nâng cấp phần mềm AP: Các hãng có thể cung cấp
các bản vá lỗi cho vấn đề này bằng một nâng cấp phần
mềm đơn giản, vì vậy bạn cần liên tục theo dõi và nâng cấp
các AP cũng như các thành phần mạng khác.
Nâng cấp hệ thống IDS/IPS không dây: Các hệ
thống phát hiện xâm nhập (IDS) không dây và hệ thống
ngăn chặn xâm nhập (IPS) có khả năng phát hiện và cảnh
báo cho bạn các kiểu tấn công này. Các giải pháp này hầu
như đã cập nhật về lỗ hổng 196, vì vậy bạn cần bảo đảm
nâng cấp nó. Nếu chưa có hệ thống IDS/IPS không dây,
bạn nên cân nhắc đến nó ngay lập tức.
Bảo vệ bản thân bạn tránh lỗ hổng 196 này trên các
mạng công cộng
Như được đề cập ở trên, lỗ hổng 196 cũng có thể ảnh
hưởng tới các mạng công cộng hoặc các Wi-Fi hotspot sử
dụng WPA/WPA2-Enterprise với nhận thực 802.1X. Vì bất
cứ ai cũng có thể kết nối, do đó các điểm truy cập này sẽ là
nơi chúng ta thấy các tấn công kiểu này nhất. Giống như
trong một mạng riêng, hacker có thể capture lưu lượng
Internet hay lưu lượng mạng được mã hóa của bạn và có
thể giử đến bạn lưu lượng độc hại.
Mặc dù vậy, bảo vệ lưu lượng của bạn trong các mạng này
không hề khó khăn. Tạo một đường hầm về VPN server và
lưu lượng thực của bạn sẽ không bị capture. Nếu bạn không
có máy chủ VPN server tại nhà hoặc nơi làm việc, hãy xem
xét đến các dịch vụ hosting trả tiền hoặc miễn phí khác.
Một số mẹo cho các lỗ hổng nói chung
Cần nhớ rằng, đây chỉ là một trong số các lỗ hổng trong sử
dụng các mạng không dây. Dưới đây là một số mẹo khác để
bạn giữ an toàn cho mạng của mình:
- Khi sử dụng chế độ Personal (PSK), sử dụng mật khẩu
phức tạp, dài – các mật khẩu ngắn hơn có thể dễ bị đoán
bởi các tấn công từ điển.
- Khi sử dụng chế độ Enterprise với 802.1X, cấu hình đúng
các thiết lập trong Windows, nếu không bạn sẽ dễ bị ảnh
hưởng bởi các tấn công man-in-the-middle.
Kiểm tra tùy chọn Validate server certificate và chọn
Trusted Root Certificate Authority từ danh sách.
Tích tùy chọn Connect to these servers và nhập vào
tên miền hoặc địa chỉ IP của RADIUS server.
Tích mục Do not prompt user to authorize new
servers or trusted certificate authorities.
- Các mạng Wi-Fi được sử dụng bởi các tổ chức hoặc các
doanh nghiệp cần sử dụng chế độ Enterprise, vì vậy sự truy
cập có thể được kiểm soát tốt hơn. Mặc dù yêu cầu máy
chủ RADIUS server nhưng vẫn có một số giải pháp cho các
tổ chức nhỏ hơn.
- Không dựa vào việc vô hiệu hóa quảng bá SSID hoặc lọc
địa chỉ MAC để được an toàn.
