Bảo mật mạng trước lỗ hổng 196

“Lỗ hổng 196” là một lỗ hổng trong giao thức bảo mật WPA2, lỗ hổng này làm phơi bày các mạng Wi-Fi được bảo mật WPA2 trước những kẻ tấn công bên trong.

Hướng dẫn bảo mật mạng trước lỗ hổng 196

Chúng ta cần hiểu các tấn công sử dụng lỗ hổng này phải được thực hiện bên trong mạng. Thủ phạm phải có các chứng chỉ mạng và cần có kết nối thành công với mạng của bạn. Các tấn công hầu như được xuất phát từ nhân viên xấu hoặc kẻ nào đó nằm bên trong tổ chức bạn.

Lỗ hổng 196 cũng ảnh hưởng đến các chế độ Enterprise (802.1X) và Personal (PSK) của Wi-Fi Protected Access, tuy nhiên đáng kể hơn đối với các mạng không dây sử dụng chế độ Enterprise.

Một lưu ý quan trọng là một số người quy kết đây là điểm yếu của WPA2, tuy nhiên nó thực sự ảnh hưởng đến hai phiên bản WPA (TKIP) và WPA2 (AES).

Để hiểu lỗ hổng này, bạn phải nhận ra một trong các lợi ích trong việc sử dụng chế độ Enterprise của WPA/WPA2: Mỗi người dùng hoặc kết nối nhận một khóa mã hóa riêng. Vì vậy người dùng này không thể giải mã lưu lượng của người dùng kia – hoặc ngược lại. Khi sử dụng chế độ Personal, người dùng kết nối với một khóa mã hóa, vì vậy họ có thể đọc lưu lượng của nhau.

Lỗ hổng 196 cho phép người dùng trên mạng được bảo vệ ở chế độ Enterprise có thể giải mã các gói dữ liệu từ người dùng khác. Nó không đúng hẳn như việc crack mã hóa mà là một tấn công man-in-the-middle bằng cách sử dụng kỹ thuật ARP cache-poisoning giống như trong các mạng chạy dây. Vấn đề bên dưới là giao thức 802.11.

Cần biết rằng, lỗ hổng này cũng ảnh hưởng tới các mạng công cộng bảo mật các Wi-Fi hotspot bằng mã hóa Enterprise và nhận thực 802.1X. Một người dùng hotspot có thể rình mò dữ liệu của người dùng khác mặc dù họ nghĩ rằng lưu lượng của mình đã được bảo vệ.

Dòng cuối là một người dùng nào đó được cấp quyền có thể capture lưu lượng dữ liệu đã được giải mã của người dùng khác, gửi lưu lượng mang dữ liệu độc hại (chẳng hạn như malware) đến họ bằng cách cải trang như các điểm truy cập mạng (AP) và thực hiện các tấn công từ chối dịch vụ.

Bảo vệ mạng của bạn trước lỗ hổng này

Trong khi đợi các hãng tiến hành vã lỗi cũng như bổ sung thêm bản vá lỗi cho các chuẩn về lỗ hổng bảo mật này, đây là một số thứ có thể thực hiện để hạn chế lỗ hổng trên mạng cá nhân của bạn:

  • Cô lập sự truy cập đối với VLAN và các SSID ảo: Đặt các phòng hay các nhóm trên các mạng ảo khác nhau có thể cách ly được các tấn công. Các doanh nghiệp nhỏ hơn có thể sử dụng phần mềm thay thế DD-WRT để thiết lập các LAN ảo và nhận được sự hỗ trợ SSID.
  • Cách ly máy khách: Một số hãng đã tích hợp tính năng này vào các AP và các bộ điều khiển của họ. Tính năng này có thể ngăn chặn sự truyền thông người dùng với người dùng; vì vậy nó có thể trợ giúp người dùng tránh được lỗ hổng này.
  • Sử dụng các kết nối VPN: Nếu thực sự lo ngại, bạn có thể tạo đường hầm cho lưu lượng của mỗi người dùng qua máy chủ VPN. Như vậy nếu có ai đó nghe trộm thành công lưu lượng của người dùng khác, thì thủ phạm sẽ chỉ nghe thấy các dữ liệu không đúng cú pháp. Nếu bạn chưa có giải pháp VPN, hãy xem xét đến giải pháp OpenVPN.

Trong tương lai gần, bạn nên:

  • Nâng cấp phần mềm AP: Các hãng có thể cung cấp các bản vá lỗi cho vấn đề này bằng một nâng cấp phần mềm đơn giản, vì vậy bạn cần liên tục theo dõi và nâng cấp các AP cũng như các thành phần mạng khác.
  • Nâng cấp hệ thống IDS/IPS không dây: Các hệ thống phát hiện xâm nhập (IDS) không dây và hệ thống ngăn chặn xâm nhập (IPS) có khả năng phát hiện và cảnh báo cho bạn các kiểu tấn công này. Các giải pháp này hầu như đã cập nhật về lỗ hổng 196, vì vậy bạn cần bảo đảm nâng cấp nó. Nếu chưa có hệ thống IDS/IPS không dây, bạn nên cân nhắc đến nó ngay lập tức.

Bảo vệ bản thân bạn tránh lỗ hổng 196 này trên các mạng công cộng

Như được đề cập ở trên, lỗ hổng 196 cũng có thể ảnh hưởng tới các mạng công cộng hoặc các Wi-Fi hotspot sử dụng WPA/WPA2-Enterprise với nhận thực 802.1X. Vì bất cứ ai cũng có thể kết nối, do đó các điểm truy cập này sẽ là nơi chúng ta thấy các tấn công kiểu này nhất. Giống như trong một mạng riêng, hacker có thể capture lưu lượng Internet hay lưu lượng mạng được mã hóa của bạn và có thể giử đến bạn lưu lượng độc hại.

Mặc dù vậy, bảo vệ lưu lượng của bạn trong các mạng này không hề khó khăn. Tạo một đường hầm về VPN server và lưu lượng thực của bạn sẽ không bị capture. Nếu bạn không có máy chủ VPN server tại nhà hoặc nơi làm việc, hãy xem xét đến các dịch vụ hosting trả tiền hoặc miễn phí khác.

Một số mẹo cho các lỗ hổng nói chung

Cần nhớ rằng, đây chỉ là một trong số các lỗ hổng trong sử dụng các mạng không dây. Dưới đây là một số mẹo khác để bạn giữ an toàn cho mạng của mình:

– Khi sử dụng chế độ Personal (PSK), sử dụng mật khẩu phức tạp, dài – các mật khẩu ngắn hơn có thể dễ bị đoán bởi các tấn công từ điển.

– Khi sử dụng chế độ Enterprise với 802.1X, cấu hình đúng các thiết lập trong Windows, nếu không bạn sẽ dễ bị ảnh hưởng bởi các tấn công man-in-the-middle.

  • Kiểm tra tùy chọn Validate server certificate và chọn Trusted Root Certificate Authority từ danh sách.
  • Tích tùy chọn Connect to these servers và nhập vào tên miền hoặc địa chỉ IP của RADIUS server.
  • Tích mục Do not prompt user to authorize new servers or trusted certificate authorities.

– Các mạng Wi-Fi được sử dụng bởi các tổ chức hoặc các doanh nghiệp cần sử dụng chế độ Enterprise, vì vậy sự truy cập có thể được kiểm soát tốt hơn. Mặc dù yêu cầu máy chủ RADIUS server nhưng vẫn có một số giải pháp cho các tổ chức nhỏ hơn.

– Không dựa vào việc vô hiệu hóa quảng bá SSID hoặc lọc địa chỉ MAC để được an toàn.

Theo WiFi planet

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s